信息安全技術

1、信息安全技術13.1 現(xiàn)代電信系統(tǒng)平安的重要性13.1.1 現(xiàn)代電信系統(tǒng)面臨的威脅現(xiàn)代電信系統(tǒng)平安技術的目的是保護存儲在系統(tǒng)中和在網(wǎng)絡中傳輸?shù)男畔ⅰ＿@些信息有如下特性：1保密性信息必須按信息擁有者的要求保持個人的、專有的或高度敏感數(shù)據(jù)的機密，防止信息的非受權泄漏。2可用性保證信息可由受權訪問者訪問。3完好性信息必須按它的原形保存。必須保持信息的完好性、真實性、正確性、相容性。信息的上述特性是現(xiàn)代電信系統(tǒng)平安保護的目的。它受到的威脅和破壞包括以下幾種：1對現(xiàn)代電信系統(tǒng)實體的威脅和破壞如自然災害、戰(zhàn)爭、人為破壞、設備故障、電磁干擾和電磁泄漏等對現(xiàn)代電信系統(tǒng)實體造成的破壞。2對信息的威脅和破壞自然災

2、害如地震、水、火、風災等及環(huán)境因素如溫度、濕度、污染等；偶爾事故系統(tǒng)軟硬件故障、工作失誤等；人為破壞如利用系統(tǒng)軟硬件的脆弱性，非法訪問、非法竊取、修改、復制和破壞系統(tǒng)信息造成信息泄漏或使信息的完好性受到破壞，使系統(tǒng)信息被修改、刪除、添加、偽造、非法復制或非法占用。3計算機病毒計算機病毒是利用程序干擾或破壞系統(tǒng)正常工作的一種手段。13.1.2 信息平安保護需求1信息保密性帶來的平安需求2信息可用性帶來的平安需求3信息完好性帶來的平安需求4信息交換的有效性和合法性帶來的平安需求13.2 信息平安技術的實現(xiàn)13.2.1 信息系統(tǒng)平安對策13.2.2 實體平安技術實體平安技術是為了保證現(xiàn)代電信系統(tǒng)平安

3、可靠運行，對應用信息系統(tǒng)、通信平臺等設施采取的平安措施。實體平安技術包括以下內容。1可靠性保證技術可靠性保證是通過可靠性設計、容錯設計、元器件挑選、工藝流程管理、故障診斷與維護等技術實現(xiàn)的。所謂容錯是指當系統(tǒng)在任一可操作的子系統(tǒng)遭到破壞后，應當具備繼續(xù)正常運行的才能。2抗干擾、防泄漏技術3過失控制技術采用奇偶校驗、循環(huán)冗余校驗、多重存儲、多重傳輸?shù)却胧┻M展過失控制，保證信息的正確性和完好性。4環(huán)境保障技術要采取一系列措施防潮、防塵、防腐、防振、防水、防火、防風、防震、防污染，確保系統(tǒng)平安正常工作。13.2.3 數(shù)據(jù)平安技術數(shù)據(jù)平安技術包括用戶識別與驗證技術，數(shù)據(jù)加密、解密技術和數(shù)據(jù)庫加密技術。

4、1用戶識別與驗證技術1口令驗證2磁卡驗證3生理特征驗證2數(shù)據(jù)加密、解密技術按密碼算法所用的加、解密密鑰是否一樣，可分為對稱密碼體制加、解密密鑰一樣和公開密碼體制加、解密密鑰不同。3數(shù)據(jù)庫加密技術根據(jù)數(shù)據(jù)庫的特點，對數(shù)據(jù)庫加密有如下要求： 數(shù)據(jù)庫信息保存時間長，因此，數(shù)據(jù)庫數(shù)據(jù)加密密鑰的生存周期也長。 數(shù)據(jù)庫加密的粒度可以不同，如可以對文件、記錄、字段加密，卻允許訪問某一記錄或字段。 數(shù)據(jù)庫加密后，存儲空間不應明顯增大，以免破壞數(shù)據(jù)庫構造。 加密、解密速度要足夠快，尤其是解密速度要快，使用戶感覺不到系統(tǒng)性能的變化。 加密系統(tǒng)應有很強的訪問控制機制和靈敏的受權機制。 數(shù)據(jù)庫加密后，應保持對數(shù)據(jù)庫查

5、詢、檢索、修改和更新的靈敏性。1庫外加密庫外加密的密鑰管理較為簡單，但將加密后的數(shù)據(jù)納入數(shù)據(jù)庫時，要對數(shù)據(jù)進展完好性約束，因此，要對加密算法或數(shù)據(jù)庫系統(tǒng)做必要的改動。2庫內加密庫內加密的加密粒度可以是數(shù)據(jù)元素、字段或記錄。3數(shù)據(jù)庫硬件加密4密鑰管理13.2.4 軟件平安技術軟件保護的根本任務是防止軟件的非法復制、非受權侵入及對軟件的分析、修改。1防復制方法防復制方法通過采用專門措施，使利用正?？截惷詈透鞣N拷貝工具無法將軟件完好復制，或復制的軟件不能正常運行。1硬加密技術 激光加密法 掩膜加密法 加密卡法2軟件防復制方法軟件防復制方法是對加密盤建立非正常格式，將某些重要信息如密鑰、解密算法、解

6、密程序、待檢查的標志、代碼等存放在非正常格式區(qū)內，由于非正常格式不能用一般拷貝軟件拷貝，且加密程序的解密要使用非正常格式區(qū)內的信息，對加密盤進展非受權復制所得到的副本是無法正常運行的。3硬盤加密法硬盤加密有兩種含義，一是對硬盤上的軟件加密，可以采用軟件安裝加密法，防止硬盤上的軟件被非法拷貝；另一種是對硬盤的使用權加以限制，制止非受權用戶使用硬盤。2反跟蹤技術軟件加密除了對明文軟件加密外，還必須采取反跟蹤技術抵抗、干擾破譯工作的進展。反跟蹤既要防止破譯者的靜態(tài)分析，又要防止其動態(tài)跟蹤。13.2.5 計算機病毒的防治1計算機病毒的含義計算機病毒是人設計的一種功能程序。2計算機病毒的主要危害計算機病

7、毒的主要危害如下：1格式化整個磁盤、或磁盤的特定磁道、或特定扇區(qū)，使信息喪失；2刪除軟盤或硬盤上的可執(zhí)行文件或數(shù)據(jù)文件；3破壞文件分配表，使得無法讀用磁盤上的信息；4修改或破壞文件中的數(shù)據(jù)；5改變磁盤分配，造成數(shù)據(jù)寫入錯誤；6磁盤出現(xiàn)“壞扇區(qū)，減少磁盤可用空間；7病毒反復“拷貝，減少磁盤可用空間；8影響內存常駐程序的運行；9在系統(tǒng)中產(chǎn)生新的文件。3計算機病毒的防治首先從一些異?，F(xiàn)象推測系統(tǒng)中可能存在病毒，這些異常現(xiàn)象包括：1系統(tǒng)啟動時，加載時間過長或喇叭發(fā)出不正常蜂鳴音；機器運行速度明顯減慢；磁盤訪問時間變長；2系統(tǒng)運行時，屏幕上出現(xiàn)特殊畫面；3可執(zhí)行文件長度變長；4文件建立日期和時間變化；5

8、系統(tǒng)試圖向貼有寫保護的磁盤寫數(shù)據(jù)；6磁盤出現(xiàn)固定的“壞扇區(qū)；7磁盤上出現(xiàn)異常文件；原有正常文件不能運行；文件或數(shù)據(jù)無故喪失；8系統(tǒng)經(jīng)常出現(xiàn)死機或重新啟動；9系統(tǒng)設備無故不能使用，如不能進入C盤、不能使用漢字庫等；10異常蜂鳴音；11磁盤的主引導區(qū)、引導扇區(qū)、文件分配表或根目錄被修改。出現(xiàn)上述現(xiàn)象后，可用現(xiàn)有的查病毒軟件檢查，如異常現(xiàn)象不再出現(xiàn)，那么是病毒所致；如未發(fā)現(xiàn)病毒，那么需做深化分析，如分析中斷向量表、分析軟盤的引導扇區(qū)或硬盤的主引導扇區(qū)、分析內存的分布等，現(xiàn)于篇幅，這里不做深化討論。13.2.6 網(wǎng)絡平安技術網(wǎng)絡的主要作用是實現(xiàn)信息的傳送、交換以及各節(jié)點間軟、硬件資源的共享。1ISO標

9、準網(wǎng)絡平安體系構造ISO7498-2標準建議采用以下8種平安機制。1加密機制：包括對報文中的數(shù)據(jù)和報文的信息進展加密。2數(shù)字簽名機制：用于保證信息的合法性。 否認發(fā)送者事后不成認已發(fā)送過某份文件。 偽造接收者偽造一份文件，聲稱它發(fā)自發(fā)送者。 冒充某用戶冒充另一用戶接收或發(fā)送信息。 篡改接收者對收到的信息進展篡改。3訪問控制機制4數(shù)據(jù)完好性機制5鑒別信息交換機制6業(yè)務流量填充機制7路由控制機制8公證機制2網(wǎng)絡加密方式1鏈路加密2節(jié)點加密3端對端加密4報文鑒別與數(shù)字簽名數(shù)字簽名利用密碼技術進展，其平安性取決于密碼體制的平安程度，因此可以獲得比書面簽名更高的平安性。5訪問控制訪問控制的作用是防止非法

10、用戶進入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。6密鑰管理在現(xiàn)代電信系統(tǒng)的環(huán)境中，由于用戶和節(jié)點甚多，密鑰的數(shù)量極大，密鑰的產(chǎn)生、存儲、分配、組織、使用和銷毀等管理是非常復雜的問題。一級密鑰用于加/解密數(shù)據(jù)。二級密鑰用于加密保護一級密鑰。三級密鑰又稱主機主密鑰是最高級密鑰，用于對存儲于主機系統(tǒng)的一、二級密鑰提供保護。13.3 防火墻技術簡介13.3.1 防火墻在網(wǎng)絡平安中的重要性標準的防火墻系統(tǒng)應遵循以下原那么：1控制對系統(tǒng)的訪問2集中的平安管理3記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)的情況4防火墻可以對故障進展跟蹤和預防5透明提供業(yè)務6對HTTP、FTP、TELNET、SMTP等效勞要有相應的代理13.3.2

11、防火墻的主要技術下面介紹幾種主要防火墻類型：1包過濾器Packet Filter防火墻包過濾防火墻，又稱挑選路由器。它工作在網(wǎng)絡層上，在網(wǎng)絡的適當位置有選擇的讓數(shù)據(jù)包在內部網(wǎng)絡與外部網(wǎng)絡之間進展交換。2應用層網(wǎng)關代理效勞Proxy Server應用層網(wǎng)關有如下功能：1對需要提供的業(yè)務做開放式代理效勞，一切不開放的業(yè)務將被阻止；2在允許用戶接入代理效勞之前，先要進展身份驗證工作；3根據(jù)設置，只允許用戶接入特定的主機系統(tǒng)；4每種代理都管理一份日志，并對每一次連接進展統(tǒng)計；5不同類型的代理之間，互不相關，互不影響。3復合防火墻將包過濾器和應用層網(wǎng)關適當組合，構成復合防火墻能到達更大的平安性。13.3

12、.3 防火墻存在的問題1限制了效勞的類型和靈敏性2來自后門的威脅3對來自內部網(wǎng)絡的攻擊無能為力4其他問題13.3.4 新一代防火墻新一代防火墻具有以下特點：1采用多級過濾技術2利用網(wǎng)絡地址轉換技術，允許內部網(wǎng)絡使用自己編制的IP地址和專用網(wǎng)絡，使外部網(wǎng)絡無法理解內部網(wǎng)絡。3利用平安效勞器網(wǎng)絡技術，即利用一塊網(wǎng)卡將對外效勞器作為一個獨立網(wǎng)絡處理，對外效勞器既是內部網(wǎng)絡的一局部，又與內部網(wǎng)絡完全隔離。4新一代防火墻應具有對用戶進展認證的機制，并對不同用戶賦予不同的權限；信息在Internet網(wǎng)上傳輸時，應利用虛擬專用網(wǎng)VPN技術對信息進展加密傳輸。5基于連接的包過濾技術。6防火墻對一切惡意的攻擊應

13、能進展審計，并發(fā)出警報。13.4 因特網(wǎng)平安及其防范措施13.4.1 因特網(wǎng)平安問題TCP/IP本身在設計上就是不平安的：作為分組交換網(wǎng)絡，每個數(shù)據(jù)分組都可獨立路由，并在中繼節(jié)點存儲轉發(fā)，通過路由欺騙就可改變原有的轉發(fā)途徑；Internet使用明文TCP/IP網(wǎng)絡協(xié)議，根據(jù)序列編號就能重組或修改應用數(shù)據(jù)；網(wǎng)絡應用程序本身還有許多調試后門和軟件錯誤；最早引入TCP/IP的Unix操作系統(tǒng)最初也是用于研究目的，以方便用戶為主要目的，缺乏完善有效的平安控制，如遠程命令執(zhí)行和網(wǎng)絡文件系統(tǒng)的平安約束都相當脆弱。13.4.2 因特網(wǎng)平安防范措施1因特網(wǎng)平安防范措施2TCP/IP各層的平安防范方法1網(wǎng)絡層的平安防范方法IPSP的主要目的是使需要平安措施的用戶可以使用相應的加密平安體制。2運輸層的平安防范方法3應用層的平安性網(wǎng)絡層或運輸層的平安協(xié)議提供主機或進程之間平安機制，不能提供在同一通道上傳輸?shù)拿恳粋€詳細文件的平安保障。3