今日頭條
官方微信
官方抖音
資訊頻道活動鏈接:2012年控制網技術專題---設備安全與信息安全攜手2012
1信息安全的定義
信息和數據安全的范圍要比計算機安全和網絡安全更為廣泛,它包括了信息系統中從信息的產生直至信息的應用這一全部過程。我們日常生活中接觸的數據比比皆是,如考試的分數、銀行的存款、人員的年齡、商品的庫存量等,按照某種需要或一定的規則進行收集,經過不同的分類、運算和加工整理,形成對管理決策有指導價值和傾向性說明的信息。如果非法用戶獲取系統的訪問控制權,從存儲介質或設備上得到機密數據或專利軟件,或出于某種目的修改了原始數據,那么網絡信息安全的保密性、完整性、可用性、真實性和可控性都將遭到破壞,會給原來的用戶造成經濟或政治上的損失。
2計算機信息安全存在的問囊
2.1硬件方面。這類因素主要是指硬件產生物理損壞、設備故障以及傳輸線路安全與質量等問題,它對網絡信息的完整性、可用性及保密性產生了很大的威脅。
2.2軟件方面。這類因素主要包括計算機網絡信息系統本身有缺陷,系統建立時沒有采取有效的安全措施,如對網絡互聯沒有驗證、共享文件沒有保護、文件沒有及時備份等;系統安全防護配置不合理,沒有起到應有的作用;系統權限設置太少,用戶口令簡短且缺乏安全管理;系統在增加新的應用軟件或自身軟件升級時審核制度不嚴。
2.3計算機病毒。計算機病毒是指為了某種目的而蓄意編制的、能夠自我復制與傳播的計算機程序, 它能給計算機系統造成嚴重的損壞,使其不能正常工作,甚至致使系統癱瘓。計算機病毒在抗病毒技術發展的同時,其傳播能力、破壞能力、適應能力、變化能力不斷增強。隨著網絡技術的發展,信息往來交流越來越頻繁,計算機病毒對網絡信息安全構成了極大威脅,必須嚴加防范。
2.4計算機黑客攻擊。計算機黑客對網絡信息的攻擊可以分為兩種:一種是破壞性攻擊,它以某種方式有選擇地破壞信息的有效性和完整性,這是純粹的信息破壞; 另一種是非破壞性攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可以對網絡信息造成極大的危害。
3計算機信息安全的主要技術
3.1防火墻技術。為了防止內部網絡不被入侵,企業內部網在接入Internet的時候就必須加筑安全的“護城河”,通過“護城河”將內部網保護起來,而這個“護城河”就是防火墻。所謂防火墻,是指一種將內部網和公眾網絡分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通信時執行的一種訪問控制手段,它能允許你“同意”的人和數據進入到你的網絡, 同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡,防止他們入侵、更改、復制和毀壞你的重要信息。一個好的防火墻系統應具有以下5方面的特性:① 所有在內部網絡和外部網絡之間傳輸的數據都必須通過防火墻;② 只有被授權的數據,即防火墻系統中安全策略允許的數據可以通過防火墻;⑨ 防火墻本身可以經受住各種攻擊;④ 使用目前新的信息安全技術,比如:現代密碼技術、一次口令系統、智能卡等;⑤ 人機界面良好,用戶配置使用方便,易管理。系統管理員可以方便的對防火墻進行設置,對Internet的訪問者、被訪問者、訪問協議和訪問方式進行控制。
3.2數字簽名和認證技術。數字簽名是郵件、文件或其他數字編碼信息的創作者用來將他們的身份綁定到信息的方法。數字簽名信息的過程需要將此信息以及發件人的一些機密信息轉換成稱為簽名的標記。數字簽名在公鑰的環境中使用,它們提供不可否認性和完整性服務。認證的證書只是在該證書指定的時間段內有效。每個證書包含有時間的開始和結束的日期,這兩個日期設霉了有效期, 己過期證書的主題必須請求新的證書。
3.3信息加密技術。數據加密技術主要包括數據傳輸加密和數據存儲加密。數據傳輸加密技術主要是對傳輸中的數據流進行加密,常用的有鏈路加密、節點加密和端到端加密3種方式。任何一個加密系統至少包括以下4個部分組成:① 未加密的報文,也稱明文;② 加密后的報文,也稱密文;③ 加密解密設備或算法:④ 加密解密的密鑰。在保障信息安全的諸多技術中, 加密技術是信息安全的核心和關鍵技術。通過數據加密技術,可以在一定程度上提高數據傳輸的安全性,保證傳輸數據的完整性。一個數據加密系統包括加密算法、明文、密文以及密鑰,密鑰控制加密和解密過程 一個加密系統的全部安全性是基于密鑰,而不是基于算法,所以加密系統的密鑰管理是一個非常重要的問題。數據加密過程就是通過加密系統把原始的數字信息(明文),按照加密算法變換成與明文完全不同的數字信息(密文)的過程。
3.4入侵檢測技術。隨著網絡安全風險系數不斷提高,作為對防火墻及其有益的補充,IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。入侵檢測系統是一種對網絡活動進行實時監測的專用系統,該系統處于防火墻之后, 可以和防火墻及路由器配合工作,用來檢查一個LAN網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析,通過集中控制臺來管理和檢測。
3.5訪問控制。訪問控制是計算機信息系統安全中一個關鍵技術。它由訪問控制原則和訪問機制構成。訪問控制原則是一種策略性規定,它確定了授于每個用戶權力的限制條件。例如,最小特權原則,也稱“知其必需”原則;特權時限原則,它規定用戶特權的有效期。訪問控制機制是實現訪問策略的預定的訪問控制功能 訪問控制般分為自主(任意)訪問控制和強制訪問控制。由用戶自己規定與其共享資源的其他用戶的訪問權限,稱自主訪問控制。在個系統中有多種密級資源和不同等級用戶時,需采用強制訪問控制。強制訪問控制的機制般在計算機操作系統的內核實現,只有被授權的系統管理員或安全員才能控制和改變系統的訪問控制和設置。
4結論
計算機信息安全是涉及到計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科。當前信息安全技術發展迅速,但沒有任一種解決方案可以防御所有危及信息安全的攻擊,這是“矛”與“盾”的問題,需要不斷吸取新的技術,取眾家所長,才能使“盾” 更堅, 以防御不斷鋒利的“矛” ,因此, 要不斷跟蹤新技術,對所采用的信息安全技術進行升級完善, 以確保相關利益不受侵犯。在維護整個計算機信息安全的過程中,既應重視對計算機網絡安全的硬件產品開發及軟件研制,建立一個好的計算機信息安全系統。同時,也要正確樹立在此過程中參與人員的計算機安全意識,建立完善的管理制度,才可能防微杜漸把可能出現的損失降低到最低點。
參考文獻:
[1]丘昊,計算機網絡安全淺析[J].信息與電腦(理論版),2009(12)
[2]葛韻,淺議計算機網絡安全防范措施[J].萊鋼科技,2009(O2).
北京市公安局海淀分局備案號:11010802023656號