論信息安全保障體系的建立

1、 論信息安全保障體系的建立【摘要】: 隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)、單位都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時，也面臨著巨大的風(fēng)險。我們的系統(tǒng)隨時可能遭受病毒的感染、黑客的入侵，這都可以給我們造成巨大的損失。信息安全問題也已成為信息系統(tǒng)日益突出和受到關(guān)注的問題，信息化程度越高，信息網(wǎng)絡(luò)和系統(tǒng)中有價值的數(shù)據(jù)信息越多，信息安全問題就顯得越重要。隨著信息化程度的提高，信息安全問題一步步顯露出來。 信息安全需求的日益深入，已經(jīng)從原來的系統(tǒng)安全和網(wǎng)絡(luò)邊界安全日益深入到系統(tǒng)內(nèi)部體系安全和數(shù)據(jù)本身的安全上，并且已經(jīng)開始對管理制度造成影響和

2、改變。信息安全問題是多樣的，存在于信息系統(tǒng)的各個環(huán)節(jié)，而這些環(huán)節(jié)不是孤立的，他們都是信息安全中不可缺少和忽視的一環(huán)，所以對一個信息網(wǎng)絡(luò)，必須從總體上規(guī)劃，建立一個科學(xué)全面的信息安全保障體系，從而實現(xiàn)信息系統(tǒng)的整體安全。【關(guān)鍵詞】: 信息安全，安全技術(shù)，網(wǎng)絡(luò)一 信息安全的定義信息安全的概念隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展而不斷地發(fā)展，其含義也不斷的變化。20世紀(jì)70年代以前，信息安全的主要研究內(nèi)容是計算機系統(tǒng)中的數(shù)據(jù)泄漏控制和通信系統(tǒng)中的數(shù)據(jù)保密問題。然而，今天計算機網(wǎng)絡(luò)的發(fā)展使得這個當(dāng)時非常自然的定義顯得非常不恰當(dāng)。首先，隨著黑客、特洛伊木馬及病毒的攻擊不斷升溫，人們發(fā)現(xiàn)除了數(shù)據(jù)的機密性保護外，數(shù)據(jù)的

3、完整性保護以及信息系統(tǒng)對數(shù)據(jù)的可用性支持都非常重要。其次，不斷增長的網(wǎng)絡(luò)應(yīng)用中所包含的內(nèi)容遠遠不能用“數(shù)據(jù)”一詞來概括。綜上分析，信息安全是研究在特定的應(yīng)用環(huán)境下，依據(jù)特定的安全策略對信息及其系統(tǒng)實施防護檢測和恢復(fù)的科學(xué)。1 二 信息安全面臨的威脅 由于信息系統(tǒng)的復(fù)雜性、開放性以及系統(tǒng)軟件硬件和網(wǎng)絡(luò)協(xié)議的缺陷，導(dǎo)致了信息系統(tǒng)的安全威脅是多方面的：網(wǎng)絡(luò)協(xié)議的弱點、網(wǎng)絡(luò)操作系統(tǒng)的漏洞、應(yīng)用系統(tǒng)設(shè)計的漏洞、網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷、惡意攻擊、病毒、黑客的攻擊、合法用戶的攻擊、物理攻擊安全、管理安全等。2 其次，非技術(shù)的社會工程攻擊也是信息安全面臨的威脅，通常把基于非計算機的欺騙技術(shù)成為社會工程。社會工程中

4、，攻擊者設(shè)法偽裝自己的身份讓人相信就是某個人，從而去獲得密碼和其他敏感的信息。目前社會工程攻擊主要包括的方式為打電話請求密碼和偽造E-mail。三 信息安全相關(guān)的防護理念及其技術(shù)計算機信息安全技術(shù)是針對信息在應(yīng)用環(huán)境下的安全保護而提出的。是信息安全基礎(chǔ)理論的具體應(yīng)用。安全技術(shù)是對信息系統(tǒng)進行安檢和防護的技術(shù)，其包括：防火墻技術(shù)、路由器技術(shù)、入侵檢測技術(shù)、掃面技術(shù)等。（一）防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部和不可信任的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，能根據(jù)個人的安全政策（允許、拒絕、檢測）出入網(wǎng)絡(luò)的信息流，且本身具有較

5、強的抗攻擊能力。一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。通過防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證和審計等）配置在防火墻上。如果所有的訪問都經(jīng)過防火墻，那么防火墻就能記錄下這些訪問并能做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索從而引起外部攻擊者的興趣甚至因此而透漏內(nèi)部細節(jié)的服務(wù)。如Finger，NDS等。3（二）路由

6、器技術(shù) 路由器是用于網(wǎng)絡(luò)通信的關(guān)鍵設(shè)備，它通過路由器選擇協(xié)議來完成“路徑?jīng)Q策”，評估所有到達目的地的可用路徑并決定是用哪一個路徑。在路由協(xié)議中有效的安全功能包括過濾路由廣播及認(rèn)證，利用過濾路由協(xié)議禁止路由廣播到鄰居，因此可以保護網(wǎng)絡(luò)中的信息安全。4隨著網(wǎng)絡(luò)各種領(lǐng)域應(yīng)用的日益普及，網(wǎng)絡(luò)信息安全問題趨于復(fù)雜化和多樣話。針對網(wǎng)絡(luò)存在各種安全隱患，安全路由器必須具有如下的安全特性：（1）可靠性與線路安全（2）身份認(rèn)證（3）訪問控制（4）信息隱藏（5）數(shù)據(jù)加密（6）攻擊探測和防范（7）安全管理(三)物理隔離器技術(shù) 物理隔離技術(shù)本質(zhì)上是一種網(wǎng)絡(luò)安全技術(shù)，它通過特殊硬件實現(xiàn)鏈路層的斷開，使得各種網(wǎng)絡(luò)攻擊與入

7、侵攻擊失去了物理通路的基礎(chǔ)，從而避免了內(nèi)部網(wǎng)絡(luò)遭受外部攻擊的可能性。6實施內(nèi)部網(wǎng)物理隔離，在技術(shù)應(yīng)達到以下目的：（1）在物理傳導(dǎo)上隔斷內(nèi)部網(wǎng)與外部網(wǎng)。確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)，同時防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄漏到外部網(wǎng)（2）在物理存儲上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，對其斷電后會遺失的信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時進行清除處理，防止殘留信息竄網(wǎng)；對于斷電后非遺失性設(shè)備，如磁帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要分開存儲，嚴(yán)格限制軟盤、光盤等可移動介質(zhì)的使用。（3）在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)。確保內(nèi)部網(wǎng)信息不會通過電磁輻射或耦合方式泄漏到外部網(wǎng)（4）物理隔離部件的

8、安全功能應(yīng)保證被隔離的計算機資源不能被訪問（至少應(yīng)包括硬盤、軟盤和光盤），計算機數(shù)據(jù)不能被重用（5）邏輯隔離部件的安全功能保證被隔離的計算機資源不能被訪問只能進行隔離器內(nèi)外的原始應(yīng)用數(shù)據(jù)交換 (四) 隔離卡技術(shù)隔離卡技術(shù)是將一臺計算機劃分成兩個獨立的虛擬計算機，分別連接公共網(wǎng)絡(luò)和涉密網(wǎng)絡(luò)。通過隔離卡，用戶的硬盤被劃分為公共區(qū)和安全區(qū)，裝有獨立的操作系統(tǒng)和應(yīng)用軟件。當(dāng)用戶在公共區(qū)啟動時，計算機連接公共網(wǎng)絡(luò)；當(dāng)用戶在安全區(qū)啟動時，計算連接涉密網(wǎng)。 （五）防病毒技術(shù) 計算機病毒的防治技術(shù)總是在與病毒的較量中得到發(fā)展?？偟膩碇v，計算機病毒的防治技術(shù)可以分成四個方面，即檢測、清除、免疫和預(yù)防。6計算機病

9、毒檢測技術(shù)是指通過一定的技術(shù)手段判定出計算機病毒；計算機病毒的消除技術(shù)是計算機病毒檢測技術(shù)發(fā)展的必然結(jié)果，是病毒傳染程序的一種逆過程；計算機病毒預(yù)防技術(shù)是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)進行傳染和破壞，實際上它是一種特性判定技術(shù)。也是可能是一種行為規(guī)則的判定技術(shù)；計算機病毒的免疫技術(shù)目前沒有得到很快的發(fā)展。目前尚沒有出現(xiàn)通用的能對各種病毒都有免疫作用的技術(shù)。現(xiàn)在世界各國家有以下的防范技術(shù)：（1）虛擬機技術(shù)虛擬機技術(shù)是國際反病毒領(lǐng)域的前沿技術(shù)。這種技術(shù)更接近于人工分析，智能化極高，查毒的準(zhǔn)確性也極高。虛擬技術(shù)的主要執(zhí)行過程如下： 在查殺病毒時，在計算機內(nèi)存中模擬出一個“指令執(zhí)行虛擬計算機”

10、 在虛擬環(huán)境中虛擬執(zhí)行可疑帶毒文件在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)如果含有可疑病毒代碼，則說明發(fā)現(xiàn)了病毒 殺毒過程是在虛擬環(huán)境下摘除可疑代碼然后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的殺除（2）監(jiān)控病毒源文件 密切關(guān)注、偵測和監(jiān)控網(wǎng)絡(luò)系統(tǒng)外部病毒的動向，將所有病毒源堵截在網(wǎng)絡(luò)入口處，是當(dāng)前網(wǎng)絡(luò)防病毒技術(shù)的一個重點。趨勢科技針對網(wǎng)絡(luò)防病毒所提出的可以遠程中央空管的趨勢病毒監(jiān)控系統(tǒng)不僅可完成跨網(wǎng)域的操作而且在傳輸過程中還能保障文件的安全。（3）無縫隙連接技術(shù) 無縫隙連接技術(shù)也叫嵌入式殺毒技術(shù)。通過該技術(shù)，我們可以對病毒經(jīng)常攻擊的應(yīng)用程序和信息提供重點保護。它利用操作系統(tǒng)或應(yīng)用程

11、序提供的內(nèi)部接口來實現(xiàn)對使用頻度高、范圍廣的主要應(yīng)用軟件提供被動式的保護（4）檢查壓縮文件技術(shù) 檢查壓縮文件中的病毒有兩種思路。第一種思路：首先必須搞清壓縮文件的壓縮算法，然后根據(jù)壓縮管理算法將病毒碼壓縮成病毒壓縮碼，最后根據(jù)病毒壓縮碼在壓縮文件中查找以判斷該文件是否有病毒。另一種檢查壓縮文件中病毒的思路：在搞清壓縮文件的壓縮算法和解壓算法的基礎(chǔ)上，首先解壓待檢查的壓縮文件。隨后在解壓后的文件中檢查病毒碼來判斷該文件是否有病毒，以此來說明原壓縮文件是否有病毒。最后將文件還原成原來的壓縮格式。（5）主動內(nèi)核技術(shù) 主動內(nèi)核技術(shù)是將已經(jīng)開始的各種防病毒技術(shù)從源程序級嵌入到操作系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的內(nèi)核中，

12、實現(xiàn)防病毒產(chǎn)品與操作系統(tǒng)的無縫連接。這種技術(shù)可以保證防病毒模塊從系統(tǒng)的底層內(nèi)核與各種操作系統(tǒng)及應(yīng)用環(huán)境密切協(xié)調(diào)，確保防毒操作不會傷及到操作系統(tǒng)內(nèi)核，同時確保殺病毒的功效。（6）入侵檢測技術(shù) 入侵檢測作為動態(tài)安全技術(shù)的核心技術(shù)之一，是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測就是通過計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時做出響應(yīng)。7（7）掃描技術(shù) 掃描是一種行為，目的是收集被掃描系統(tǒng)或網(wǎng)絡(luò)的信息。通常掃描是利用一些程序或者專用的掃描器來實現(xiàn)。

13、掃描是通過向目標(biāo)主機發(fā)送數(shù)據(jù)報文，然后根據(jù)響應(yīng)獲得目標(biāo)主機的情況，根據(jù)掃描的方式不同主要有以下三種類型的掃描： 地址掃描 端口掃描 漏洞掃描四 建立網(wǎng)絡(luò)安全體系的必要性和發(fā)展信息安全體系的重要性21世紀(jì)全世界的計算機都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。 一個國家的信息安全體系實際上包括國家的法規(guī)和政策，以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建

14、信息防衛(wèi)系統(tǒng)時，應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。 信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。國際上信息安全研究起步較早，力度大，積累多，應(yīng)用廣，在70年代美國的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機保密模型”的基礎(chǔ)上，指定了“可信計算機系統(tǒng)安全評估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的重要內(nèi)容，其形式化方法分析始于80年代初，目前有基于狀態(tài)機、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和漏洞，處于發(fā)展的提高階段。完整的信息安全保障體系建設(shè)是信息安全走向成熟的標(biāo)記，也受到了國家和眾多企事業(yè)單位的重視。信息安全保障體系的建設(shè)，必須進行科學(xué)的規(guī)劃，以用戶身份認(rèn)證為基礎(chǔ)，信息安全保密為核心，網(wǎng)絡(luò)邊界防護和信息安全管理為輔助，建立全面有機的安全整體，從而建立真正有效