信息安全技术
专业介绍信息安全技术是信息管理与信息系统专业本科学生的一门专业课。随着计算机技术的飞速发展,计算机信息安全问题越来越受关注。学生掌握必要的信息安全管理和安全防范技术是非常必要的。通过对本门课程的学习,学生可掌握计算机信息安全的基本原理和当今流行的信息安全设置、安全漏洞、防火墙的策略与实现、黑客原理与防范,以便能够使学生胜任信息系统的实现、运行、管理与维护等相关的工作。
信息安全技术专业
宽带网已深入生活,对社会活动产生了深远的影响,网络安全随之也越发显得重要。各行业迫切需要从事计算机系统信息安全工作的高级技术人才。
本专业培养熟练掌握网络设备的安装、管理和维护,能分析企业网络和信息系统安全漏洞、及时解决网络安全问题,并能够根据企事业单位业务特点设计制作安全的电子商务/政务网站的专业人员。从事信息安全产品销售与推广、信息系统和电子商务/政务安全设计、网络和信息系统安全测试等工作。
主要专业课程:计算机网络技术基础、TCP/IP协议、信息安全技术基础、密码学基础、信息安全产品及应用技术、汇编语言程序设计、SQL数据库安全设计、ASP.NET程序设计(Web安全)、计算机系统安全、Web编程技术等。
信息安全的专科专业
西北大学软件职业技术学院,开设了信息安全的专科专业。
西北大学软件职业技术学院是经教育部批准的首批35所国家级示范性软件职业技术学院之一,属西北大学二级学院,与学校教育资源共享。学院的办学理念是以学生为主体,以就业为导向,以实训为基石,学生学业期满成绩合格颁发西北大学专科毕业证书。
学院位于西北大学桃园校区(西安高新技术产业开发区),交通便利,环境幽雅。教学大楼、运动场、学生公寓、食堂、医院、浴室、学生活动中心、后勤服务中心等基础设施齐全。学院配有多媒体教室、语音教室、网络机房、软件开发实验室、软件测试实验室、网络实验室、认证培训中心等先进的教学设施,为学生学习、生活提供了良好的条件。
学院在办学体制和培养模式上积极推进改革,走产学结合、校企合作道路,与国际国内多家知名软件企业合作,如金蝶软件(中国)有限公司、思递波(上海)信息咨询有限公司(微软办公软件全球认证中心)、北京大陆航星质量认证中心、劳动和社会保障部职业技能鉴定中心(陕西省职业技能鉴定指导中心)、华为3com网络学院等机构共同创建了西北大学IT联合实训基地。形成了新型的教育模式“实战教学法”,为社会培养了一大批应用型专业技术人才。同时定期向学生发布企事业单位招聘信息,每年为毕业生举办校园专场招聘会和就业咨询会,使我院毕业生就业率达到83%以上。专升本率为71%以上。
专业简介
信息安全具有专业“新”、资格证书“硬” 、毕业生“少”,需求部门“多”、用人单位“大”,就业前景“广”等特点。本专业培养德、智 、体全面发展,能够从事计算机、电子信息、金融、商务、政务和防务等与IT有关的信息安全技术领域的应用、管理方面一线工作,能胜任信息处理技术员工作,从事信息安全产品的销售、安装、维护与用户培训工作,能熟练地安装和维护网络设备的应用型高技能人才。
主要课程
计算机基础(含注册表设置)、计算机信息安全概论、计算机组成原理、高级语言程序设计、数据结构、计算机网络技术(含MS Windows 2003)、CISCO路由器交换机安全应用基础、操作系统安全、入侵检测与防火墙技术、计算机病毒与黑客防范、ORACLE数据库设计、TCP/IP网络编程、Web网页开发技术、网络操作系统及服务器管理等。
获得证书
(1)信息处理员证书
(2)微软安全认证ISA
(3)信息系统安全专家CISSP认证
(4)思科安全专家CCSP认证
图书《信息安全技术》信息作者:赵泽茂 朱芳
出版社:西安电子科技大学出版社
出版时间:2009
ISBN:9787560621951
开本:16
定价:31.00 元
内容简介全书共分15章,内容包括信息安全概述、信息保密技术、信息隐藏技术、消息认证技术、密钥管理技术、数字签名技术、物理安全、操作系统安全、网络安全协议、应用层安全技术、网络攻击技术、网络防御技术、计算机病毒、信息安全法律与法规、信息安全解决方案等。
《信息安全技术》可作为计算机、通信、电子工程、信息对抗、信息管理、信息安全及其他电子信息类相关专业的本科生教材,也可作为高等学校及各类培训机构相关课程的教材或教学参考书,还可供从事信息安全、信息处理、计算机、电子商务等领域工作的科研人员和工程技术人员参考。
编辑推荐全书系统介绍了信息安全相关技术,内容包括信息安全概述、信息保密技术、信息隐藏技术、消息认证技术、密钥管理技术、数字签名技术等。《信息安全技术》可作为计算机、通信、电子工程、信息对抗、信息管理、信息安全及其他电子信息类相关专业的本科生教材,也可作为高等学校及各类培训机构相关课程的教材或教学参考书,还可供从事信息安全、信息处理、计算机、电子商务等领域工作的科研人员和工程技术人员参考。
目录第1章信息安全概述
1.1信息安全现状
1.1.1信息安全的威胁
1.1.2信息安全涉及的问题
1.1.3信息安全的困惑
1.2信息安全需求
1.2.1信息安全的含义
1.2.2基本服务需求
1.3网络不安全的根本原因
1.3.1系统漏洞
1.3.2协议的开放性
1.3.3人为因素
1.4信息安全体系结构
1.4.1OSI安全体系结构
1.4.2TCP/IP安全体系结构
1.4.3信息安全保障体系
小结
习题
第2章信息保密技术
2.1密码学的发展简史
2.2密码学中的基本术语
2.3古典密码
2.4对称密码体制
2.4.1序列密码
2.4.2分组密码
2.4.3数据加密标准——DES
2.5非对称密码体制
2.5.1RSA密码算法
2.5.2Diffie-Hellman密钥交换算法
2.5.3ElGamal加密算法
2.6密码学的应用
2.6.1密码应用模式
2.6.2加密方式
2.6.3PGP软件的应用
小结
习题
第3章信息隐藏技术
3.1信息隐藏的发展历史
3.1.1传统的信息隐藏技术
3.1.2数字信息隐藏技术的发展
3.2信息隐藏的基本原理
3.2.1信息隐藏的概念
3.2.2信息隐藏的分类
3.2.3信息隐藏的特性
3.3信息隐藏的算法
3.4数字水印
3.5隐通道技术
3.5.1隐通道的概念
3.5.2隐通道的分类
3.5.3隐通道分析方法
3.6匿名通信技术
3.6.1匿名通信的概念
3.6.2匿名通信技术的分类
3.6.3重路由匿名通信系统
3.6.4广播式和组播式路由匿名通信
小结
习题
第4章消息认证技术
4.1Hash函数
4.1.1一个简单的Hash函数
4.1.2完整性检验的一般方法
4.2消息认证码
4.3MD5算法
4.4SHA-1算法
4.5Hash函数的攻击分析
小结
习题
第5章密钥管理技术
5.1密钥的分类
5.2密钥的生成与存储
5.3密钥的分配
5.3.1秘密密钥的分配
5.3.2公开密钥的分配
5.4密钥的更新与撤销
5.5密钥共享
5.6会议密钥分配
5.7密钥托管
小结
习题
第6章数字签名技术
6.1数字签名的原理
6.2RSA数字签名和加密
6.3Schnorr数字签名
6.4DSA数字签名
6.5特殊的数字签名
6.6数字签名的应用
小结
习题
第7章物理安全
7.1环境安全
7.1.1机房安全设计
7.1.2机房环境安全措施
7.2设备安全
7.2.1访问控制技术
7.2.2防复制技术
7.2.3硬件防辐射技术
7.2.4通信线路安全技术
7.3媒体安全
7.3.1数据备份
7.3.2数据备份的常用方法
7.3.3磁盘阵列(RAID)技术简介
小结
习题
第8章操作系统安全
8.1系统漏洞
8.2Windows系统安全模型
8.3Windows注册表安全
8.4windows帐号与密码
8.5Windows2000安全策略
8.6Windows系统的其他安全措施
小结
习题
第9章网络安全协议
9.1TCP/IP协议簇
9.1.1TCP/IP协议簇的基本组成
9.1.2TCP/lP协议的封装
9.1.3TCP连接的建:辽与关闭过程
9.1.4TCP/IP协议簇的安全问题.
9.2网络安全协议
9.2.1应用层的安全协议
9.2.2传输层的安全协议
9.2.3网络层的安全协议
9.2.4网络接口层的安全协议
9.3SSL协议
9.3.1SSL安全服务
9.3.2SSL记录协议
9.3.3SSL握手协议
9.3.4SSL协议性能分析
9.4IPSec协议
9.4.1IPSec的安全体系结构
9.4.2IPSec的工作模式
9.4.3认证头
9.4.4安全封装载荷
9.4.5安全关联
9.4.6因特网密钥交换协议
小结
习题
第10章应用层安全技术
10.1Web安全技术
10.1.1Web概述
10.1.2Web安全目标
10.1.3Web安全技术的分类
10.2电子邮件安全技术
10.2.1电子邮件系统的组成
10.2.2电子邮件安全目标
10.2.3电子邮件安全技术分类
10.2.4电子邮件安全标准——PGP
10.3身份认证技术
10.3.1身份认证的含义
10.3.2身份认证的方法
10.4PKI技术
10.4.1PKI技术概述
10.4.2PKI的组成
10.4.3数字证书
小结
习题
第11章网络攻击技术
11.1信息收集技术
11.1.1网络踩点
11.1.2网络扫描
11.1.3网络监听
11.2攻击实施技术
11.2.1社会工程学攻击
11.2.2口令攻击
11.2.3漏洞攻击
11.2.4欺骗攻击
11.2.5拒绝服务攻击
11.3隐身巩固技术
11.3.1网络隐藏技术
11.3.2设置代理跳板
11.3.3清除日志
11.3.4留后门
小结
习题
第12章网络防御技术
12.1防火墙技术
12.1.1防火墙的功能
12.1.2防火墙的分类
12.1.3防火墙系统的结构
12.1.4创建防火墙系统的步骤
12.1.5利用WinRoute创建防火墙过滤规则
12.2入侵检测技术
12.2.1入侵检测的任务
12.2.2入侵检测的分类
12.2.3入侵检测的步骤
12.3计算机取证技术
12.3.1计算机取证概述
12.3.2计算机取证的步骤
12.3.3计算机取证技术的内容
12.4蜜罐技术
12.4.1蜜罐的关键技术
12.4.2蜜罐的分类
12.4.3蜜罐在网络中的位置
12.4.4蜜网
小结
习题
第13章计算机病毒
13.1计算机病毒概述
13.1.1计算机病毒的发展历史
13.1.2计算机病毒的特征
13.2计算机病毒的基本结构
13.3计算机病毒的基本原理
13.3.1引导型病毒
13.3.2文件型病毒
13.3.3宏病毒
13.3.4脚本病毒
13.3.5蠕虫病毒
13.4反病毒技术
13.5典型病毒的特征及清除方法
小结
习题
第14章信息安全法律与法规
14.1计算机犯罪与公民隐私权
14.1.1计算机犯罪的概念
14.1.2计算机犯罪的特点
14.1.3公民隐私权
14.2信息安全立法
14.2.1信息安全立法的目标
14.2.2我国信息安全立法现状
14.2.3国际信息安全法律法规建设概况
14.2.4我国信息安全法律法规建设
14.3我国法律对计算机犯罪的规定
14.3.1刑法关于计算机犯罪的规定
14.3.2《关于维护互联网安全的决定》的部分规定
14.3.3《计算机信息系统安全保护条例》的主要内容
14.3.4《计算机病毒防治管理办法》的主要内容
14.3.5电子签名法
14.4我国信息安全法律法规中存在的问题
14.5案例分析
小结
习题
第15章信息安全解决方案
15.1信息安全体系结构现状
15.2网络安全需求
15.3网络安全产品
15.4某大型企业网络安全解决方案实例
15.4.1威胁分析
15.4.2制订策略
15.4.3应用部署方案
15.5电子政务安全平台实施方案
15.5.1电子政务平台
15.5.2物理隔离
15.5.3电子政务平台安全解决方案
小结
习题
附录实验
实验1DES加密和解密演示程序
实验2RSA算法应用
实验3Windows帐号克隆
实验4Windows2000Server证书配置
实验5防火墙配置
实验6Word宏病毒
部分习题参考答案
参考文献
……
基本信息安全技术信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。目前信息网络常用的基础性安全技术包括以下几方面的内容。
身份认证技术:用来确定用户或者设备身份的合法性,典型的手段有用户名口令、身份识别、PKI证书和生物认证等。 加解密技术:在传输过程或存储过程中进行信息数据的加解密,典型的加密体制可采用对称加密和非对称加密。 边界防护技术:防止外部网络用户以非法手段进入内部网络,访问内部资源,保护内部网络操作环境的特殊网络互连设备,典型的设备有防火墙和入侵检测设备。 访问控制技术:保证网络资源不被非法使用和访问。访问控制是网络安全防范和保护的主要核心策略,规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以权限控制。
主机加固技术:操作系统或者数据库的实现会不可避免地出现某些漏洞,从而使信息网络系统遭受严重的威胁。主机加固技术对操作系统、数据库等进行漏洞加固和保护,提高系统的抗攻击能力。
安全审计技术:包含日志审计和行为审计,通过日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。通过对员工或用户的网络行为审计,确认行为的合规性,确保管理的安全。
检测监控技术:对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制,避免网络流量的滥用、垃圾信息和有害信息的传播。
计算机信息内容安全国家重点实验室哈工大计算机网络与信息安全技术研究中心成立于2003年3月,建有信息安全本科专业、计算机科学与技术硕士点、计算机系统结构博士点和博士后流动工作站。
该中心主要研究方向包括网络与信息安全、信息内容安全、网络测量、网络计算技术等,研究基础雄厚,成果卓著。近五年来,本实验室共承担国家信息安全重大项目4项,国家973项目2项,国家自然科学基金项目5项,国家“863”项目6项,其他国家部委项目近20项。获得国家科技进步奖一等奖1项、国家科技进步奖二等奖2项,国家部委科技进步奖6项。在国内外重点期刊发表文章逾500篇。实验室现有教授4人,副教授6人,其中博士生导师2人,在校研究生100余人。业已形成一支目标明确,富有干劲,能够攻坚的老、中、青相结合的科研队伍[2]。
信息安全技术创新点随着互联网应用的快速发展,信息安全已深入到诸多领域,越来越多的企业用户和个人用户开始沉下心来,认真思考着一个问题:当各种各样针对应用的安全威胁来临之时,如何在日益增长并更为复杂的各种应用中有效地进行自我保护,如何将思路创新、技术创新的破冰之计与信息安全更好地融合在一起,守好自己的那一方阵地?
其实,从较为完整的经典网络安全防护模型--APPDRR中,可以看到网络安全需要的基本要素是:分析、安全策略、保护、检测、响应和恢复,针对这六个基本要素,需要重点关注安全测试评估、安全存储、主动实施防护模型与技术、网络安全事件监控、恶意代码防范与应急响应、数据备份与可生存性六项技术,及衍生而来的可信计算平台技术和网络安全管理与UTM技术的创新点。
4月12日,在2007中国电子信息创新技术年会上,中国工程院院士、信息产业部互联网应急处理协调办公室主任方滨兴,畅谈了自己对这八项重点技术创新点的看法。
(一) 安全测试评估技术
安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从多角度进行立体防护。要知道如何防护,就要清楚安全风险来源于何处,这就需要对网络安全进行风险分析。方滨兴认为网络安全的风险分析,重点应该放在安全测试评估技术方面。它的战略目标是:掌握网络与信息系统安全测试及风险评估技术,建立完整的面向等级保护的测评流程及风险评估体系。他谈到,这一点和过去不一样,过去进行测评没有强调等级保护,就是按照以往测评的模式进行。而现在《国家信息化中长期科学与技术发展战略规划纲要》已经明确提出,网络安全测试要按照等级保护的原则进行,所以测评也需要服务于这一点。
那么"安全测评"的主要创新点又是什么?方院士认为:
首先,要建立适应等级保护和分级测评机制的通用信息系统与信息技术产品测评模型、方法和流程,要适应不同的级别就要有不同的测评方法,这里的分级要符合等级保护机制,重点放在通用产品方面,所谓通用产品就是要建成一个标准的流程,不能完全是一事一议,如此一来互相之间也才会有所比较;要建立统一的测评信息库和知识库,即测评要有统一的背景;制定相关的国家技术标准。
其次,要建立面向大规模网络与复杂信息系统安全风险分析的模型和方法;建立基于管理和技术的风险评估流程;制定定性和定量的测度指标体系。如果没有这个指标体系,只能抽象地表述,对指导意见来讲并没有太多的实际意义。
(二)安全存储系统技术
在安全策略方面,方院士认为重点需要放在安全存储系统技术上。其战略目标有两点:一是要掌握海量数据的加密存储和检索技术,保障存储数据的机密性和安全访问能力。二是要掌握高可靠海量存储技术,保障海量存储系统中数据的可靠性。
关于"安全存储",方院士强调:
首先,采用海量(TB级)分布式数据存储设备的高性能加密与存储访问方法,并建立数据自毁机理。他谈到为海量信息进行高性能加密,虽然有加密解密的过程,但对访问影响并不明显。这其中不能忽视的是此举对算法的效率提出了很高的要求,应该加以注意。而且一旦数据出现被非授权访问,应该产生数据自毁。
其次,采用海量(TB级)存储器的高性能密文数据检索手段。需要指出的是,加密的基本思路就是要把它无规则化,让它根本看不到规则,这才是加密。而检索就是要有规律,所以这里就要提出一个折中的方法,如何加密对检索能够尽可能的支持,同时又具备一定的安全强度。这就对密码算法和检索都提出来了挑战。
再次,构建基于冗余的高可靠存储系统的故障监测、透明切换与处理、数据一致性保护等方面的模型与实现手段。这里高可靠的关键的还是要依赖冗余,一旦系统崩溃,还有冗余信息。
最后,制定安全的数据组织方法;采用基于主动防御的存储安全技术。
(三)主动实时防护模型与技术
在现有的网络环境下,安全大战愈演愈烈,防火墙、杀毒、入侵检测"老三样"等片面的安全防护应对方式已经越来越显得力不从心,方院士认为这需要的不仅仅是片面的被动防护,而更要在防护的过程中强调主动实时防护模型与技术。
他认为主动防护的战略目标应该是:掌握通过态势感知,风险评估、安全检测等手段对当前网络安全态势进行判断,并依据判断结果实施网络主动防御的主动安全防护体系的实现方法与技术。传统的防护一般都是入侵检测,发现问题后有所响应,但是现在越来越多的人更加关注主动防护,通过态势判断,进行系统的及时调整,提高自身的安全强度。通过感知,主动地做出决策,而不是事后亡羊补牢,事后做决策。
方院士在谈到主动防护时说:一是建立网络与信息系统安全主动防护的新模型、新技术和新方法;建立基于态势感知模型、风险模型的主动实时协同防护机制和方法。
二是建立网络与信息系统的安全运行特征和恶意行为特征的自动分析与提取方法;采用可组合与可变安全等级的安全防护技术。方院士进一步强调,不同的系统会有不同的需求,应该具备一定的提取能力,进而监控其特征,通过监控判断所出现的各种情况。另外,如果通过检测发现恶意行为,应该对其特征进行提取,提取的目的就是为了进一步监测,或在其他区域进行监测,检查同样的情况是否存在,如果存在,就要对这个态势进行明确的分析,而这些都需要有自动的特征提取。
(四)网络安全事件监控技术
监测是实现网络安全中不可或缺的重要一环,这其中要重点强调的是实施,即网络安全事件监控技术。
方院士认为实时监控的战略目标是:掌握保障基础信息网络与重要信息系统安全运行的能力,支持多网融合下的大规模安全事件的监控与分析技术,提高网络安全危机处置的能力。需要强调的是三网融合势在必行,不同网的状态下,要实现融合,这就对进行监测就提出了一定的要求,监测水平需要有所提升。[3]
电子商务的信息安全技术问题电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全
(一)计算机网络安全的内容包括:
(1)未进行操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。
(2)未进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
(3)拒绝服务(DoS,DenialofService)攻击
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。
(4)安全产品使用不当
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
(5)缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
(二)计算机商务交易安全的内容包括:
(1)窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
(3)假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(4)恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
计算机信息安全策略信息加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供保护;端--端加密的目的是对源端用户到目的端用户的数据提供保护。在保障信息安全各种功能特性的诸多技术中,密码技术是信息安全的核心和关键技术,通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同得数字信息(密文)的过程。
假设E为加密算法,D为解密算法,则数据的加密解密数学表达式为:P=D(KD,E(KE,P))。
数据加密算法有很多种,密码算法标准化是信息化社会发展得必然趋势,是世界各国保密通信领域的一个重要课题。按照发展进程来分,经历了古典密码、对称密钥密码和公开密钥密码阶段,古典密码算法有替代加密、置换加密;对称加密算法包括DES和AES;非对称加密算法包括RSA 、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal算法等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法。
根据收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。在实际应用中通常将常规密码和公钥密码结合在一起使用,利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。
防火墙技术
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型,并在计算机网络得到了广泛的应用。
一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。
随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络。防火墙可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet等种类相对集中的网络。
入侵检测技术
随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
入侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理、检测。
理想的入侵检测系统的功能主要有:
(1)用户和系统活动的监视与分析;
(2)系统配置极其脆弱性分析和审计;
(3)异常行为模式的统计分析;
(4)重要系统和数据文件的完整性监测和评估;
(5)操作系统的安全审计和管理;
(6)入侵模式的识别与响应,包括切断网络连接、记录事件和报警等。
本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。目前,IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
各种相关网络安全的黑客和病毒都是依赖网络平台进行的,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全。这样,就出现了网络设备与IDS设备的联动。IDS与网络交换设备联动,是指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,这就是入侵防御系统(IPS)。IPS技术是在IDS监测的功能上又增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。
系统容灾技术
一个完整的网络安全体系,只有“防范”和“检测”措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。主要有基于数据备份和基于系统容错的系统容灾技术。
数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系统任何部件实效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。
存储、备份和容灾技术的充分结合,构成一体化的数据容灾备份存储系统,是数据技术发展的重要阶段。随着存储网络化时代的发展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。
网络安全管理策略
除了使用上述技术措施之外,在网络安全中,通过制定相关的规章制度来加强网络的安全管理,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:首先要制订有关人员出入机房管理制度和网络操作使用规程;其次确定安全管理等级和安全管理范围;第三是制定网络系统的维护制度和应急措施等。
数据修复需求成为信息安全新热点存储在硬盘、光盘、软盘、U盘等计算机存储设备中的信息如果丢失或被破坏而又没有备份的时候,这是让人非常头痛的事情。由于采取一般的手段很难恢复,因此数据修复成为许多人关注的难点和热点.
国家信息中心已经在信息安全领域积累了丰富的经验,并具有了一定实力。其所属的信息安全研究与服务中心在引进国际先进的数据修复技术的基础上,自主开发了适合中国计算机用户的数据修复技术达到了国内先进水平,已经可以提供数据修复服务。
DRS数据修复是采用硬件检修处理和数据重组的特殊技术来修复受损数据,这种方法可以最大可能恢复原有数据。这种方法修复数据可以做到3个“不限”:
1、不限故障类型 不论是由病毒、系统故障、误操作、升级或安装软件等逻辑损坏,还是由于意外事故、电击、水淹、火烧、撞击、机械故障等硬件原因造成的数据丢失均可修复;
2、不限存储介质 包括计算机硬盘、软盘、计算机磁带、各种光盘、磁盘阵列,移动硬盘、U盘等移动存储设备,数码相机的存储卡在内的各类存储介质;
3、不限系统平台 包括DOS、不同版本的Windows、Linux、Unix等操作系统平台。目前该公司数据修复总成功率达到了80%以上,软件故障修复成功率达到了98%。
数据修复技术除可以用于存储设备数据恢复以外,还可用于计算机类设备的数据彻底删除、协助执法机关恢复已被破坏的计算机数据及提供与案件相关的电子资料证据。由于病毒的猖獗,计算机内部软件、数据被破坏的可能性大大增加,长期保存的数据也可能丢失或损坏,而多数人还不了解这方面的情况.计算机数据修复有较大需求,仅2004年第三季度北京新注册的数据恢复公司就有10多家,已经成为信息安全新热点。[4]
2009年信息安全产业的热点如果说2009年信息安全产业的热点,毫无疑问“云安全”技术当之无愧。据记者观察,无论是新技术还是新应用,业内众多主流安全厂商都在向“云”靠拢。有意思的是,随着云安全应用的重要性日益凸现,针对云端服务器群组的保护技术也推陈出新。
可以说,当前的这朵“云”越来越有味道了。
理解云安全技术
在大家理解“云安全”技术之前,记者首先要强调一点,就是云安全并非绝对的新技术。事实上,伴随着云计算技术的发展,云安全是逐渐发展至今并得以实用化的。追溯到2007年底开始,全球范围内的恶意软件、攻击行为日益复杂并且变得难以防御,在“海量威胁”的压力下,传统的基于“签名”的安全防预技术受到了挑战,而这恰恰给了“云安全”技术发展的空间。
此前Fortinet中国区技术总监李宏凯在接受本报独家专访时指出:“云安全最重要的技术特点在于其分部式运算的强大能力和客户端的安全配置精简化,也就是用户们经常谈到的瘦客户端发展趋势。 这点对于企业用户而言确实具有明显的安全性提升和降低客户端维护量的优势。本身云安全技术也提供了对未知威胁的评估和防御推送能力,因此在安全防御级别上无疑是有明显的进步。”
目前云安全重要的推动力主要是威胁的多样化发展和动态性,现在的用户越来越多的感觉到单一的防御技术很难做到有效的防御效果。应用的多样化使得当前的攻击具备了多种途径的感染,传播和触发的方式。比如说部分邮件承载的恶意代码可以通过垃圾邮件方式进行部分检测,如邮件信誉列表技术等。这个层次没有阻拦成功,那么就要分析邮件内容的威胁,要用病毒解码分析技术。当个体主机被感染后,系统进程会和网上服务器自动互连进行木马程序下载和传播,这时候系统命令层的检测就要发挥作用。因此可以看到,多样化威胁的防御需要动态的多层次的检测能力。而云安全的高级特征分析能力为用户提供了多层次的威胁防御分析,也在很大程度上提高的实际安全效能。
基于此,记者希望广大企业用户一定要理解一个观点:“云安全”技术是未来内容安全防护技术发展的必由之路。因为从目前的技术发展来看,这已经是一个无法回避的趋势。
对此,趋势科技资深安全顾问徐学龙表示,由于用户规模和网络应用的快速增长,Internet上的网络威胁数量也呈爆炸性增长。据AV-test.org统计,目前每天产生的新恶意程序在三万支左右,通过制作病毒代码来防护网络威胁的传统技术已不能提供有效防护,“云安全”采用云计算的处理机制,能够将Internet上的网络威胁位置计算出来,在网络威胁到达网络前进行阻止,一方面实现了广谱防护,另一方面实现高效、及时的防护。
需要注意的是,云安全内在的机制是“云计算”技术,由于Internet接入带宽价格的不断下降和通信质量的不断提升,云安全目前的活力开始被激活,并且在2009年衍生为市场最新的热点。
持同样看法的,还有Wedge Networks的全球CEO张鸿文博士。他说:“云安全目前很热,而且这个技术本身联合了两个领域:云计算和基于网络的威胁防御。”不过有意思的是,他对于目前“云安全”概念的精准性提出了质疑,“安全的各个角落都在提云安全,这有点像当年软件领域的‘人人皆SaaS’。严格来看,‘云安全’必须要为企业的数据中心、服务器群组、以及端点提供强制的安全防御支持。”[5]