論信息安全保障體系的建立

1、 論信息安全保障體系的建立【摘要】: 隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)、單位都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們?cè)谙硎苄畔a(chǎn)業(yè)發(fā)展帶給我們的便利的同時(shí)，也面臨著巨大的風(fēng)險(xiǎn)。我們的系統(tǒng)隨時(shí)可能遭受病毒的感染、黑客的入侵，這都可以給我們?cè)斐删薮蟮膿p失。信息安全問(wèn)題也已成為信息系統(tǒng)日益突出和受到關(guān)注的問(wèn)題，信息化程度越高，信息網(wǎng)絡(luò)和系統(tǒng)中有價(jià)值的數(shù)據(jù)信息越多，信息安全問(wèn)題就顯得越重要。隨著信息化程度的提高，信息安全問(wèn)題一步步顯露出來(lái)。 信息安全需求的日益深入，已經(jīng)從原來(lái)的系統(tǒng)安全和網(wǎng)絡(luò)邊界安全日益深入到系統(tǒng)內(nèi)部體系安全和數(shù)據(jù)本身的安全上，并且已經(jīng)開始對(duì)管理制度造成影響和

2、改變。信息安全問(wèn)題是多樣的，存在于信息系統(tǒng)的各個(gè)環(huán)節(jié)，而這些環(huán)節(jié)不是孤立的，他們都是信息安全中不可缺少和忽視的一環(huán)，所以對(duì)一個(gè)信息網(wǎng)絡(luò)，必須從總體上規(guī)劃，建立一個(gè)科學(xué)全面的信息安全保障體系，從而實(shí)現(xiàn)信息系統(tǒng)的整體安全?！娟P(guān)鍵詞】: 信息安全，安全技術(shù)，網(wǎng)絡(luò)一 信息安全的定義信息安全的概念隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展而不斷地發(fā)展，其含義也不斷的變化。20世紀(jì)70年代以前，信息安全的主要研究?jī)?nèi)容是計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)泄漏控制和通信系統(tǒng)中的數(shù)據(jù)保密問(wèn)題。然而，今天計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展使得這個(gè)當(dāng)時(shí)非常自然的定義顯得非常不恰當(dāng)。首先，隨著黑客、特洛伊木馬及病毒的攻擊不斷升溫，人們發(fā)現(xiàn)除了數(shù)據(jù)的機(jī)密性保護(hù)外，數(shù)據(jù)的

3、完整性保護(hù)以及信息系統(tǒng)對(duì)數(shù)據(jù)的可用性支持都非常重要。其次，不斷增長(zhǎng)的網(wǎng)絡(luò)應(yīng)用中所包含的內(nèi)容遠(yuǎn)遠(yuǎn)不能用“數(shù)據(jù)”一詞來(lái)概括。綜上分析，信息安全是研究在特定的應(yīng)用環(huán)境下，依據(jù)特定的安全策略對(duì)信息及其系統(tǒng)實(shí)施防護(hù)檢測(cè)和恢復(fù)的科學(xué)。1 二 信息安全面臨的威脅 由于信息系統(tǒng)的復(fù)雜性、開放性以及系統(tǒng)軟件硬件和網(wǎng)絡(luò)協(xié)議的缺陷，導(dǎo)致了信息系統(tǒng)的安全威脅是多方面的：網(wǎng)絡(luò)協(xié)議的弱點(diǎn)、網(wǎng)絡(luò)操作系統(tǒng)的漏洞、應(yīng)用系統(tǒng)設(shè)計(jì)的漏洞、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷、惡意攻擊、病毒、黑客的攻擊、合法用戶的攻擊、物理攻擊安全、管理安全等。2 其次，非技術(shù)的社會(huì)工程攻擊也是信息安全面臨的威脅，通常把基于非計(jì)算機(jī)的欺騙技術(shù)成為社會(huì)工程。社會(huì)工程中

4、，攻擊者設(shè)法偽裝自己的身份讓人相信就是某個(gè)人，從而去獲得密碼和其他敏感的信息。目前社會(huì)工程攻擊主要包括的方式為打電話請(qǐng)求密碼和偽造E-mail。三 信息安全相關(guān)的防護(hù)理念及其技術(shù)計(jì)算機(jī)信息安全技術(shù)是針對(duì)信息在應(yīng)用環(huán)境下的安全保護(hù)而提出的。是信息安全基礎(chǔ)理論的具體應(yīng)用。安全技術(shù)是對(duì)信息系統(tǒng)進(jìn)行安檢和防護(hù)的技術(shù)，其包括：防火墻技術(shù)、路由器技術(shù)、入侵檢測(cè)技術(shù)、掃面技術(shù)等。（一）防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部和不可信任的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，能根據(jù)個(gè)人的安全政策（允許、拒絕、檢測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較

5、強(qiáng)的抗攻擊能力。一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。通過(guò)防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證和審計(jì)等）配置在防火墻上。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么防火墻就能記錄下這些訪問(wèn)并能做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索從而引起外部攻擊者的興趣甚至因此而透漏內(nèi)部細(xì)節(jié)的服務(wù)。如Finger，NDS等。3（二）路由

6、器技術(shù) 路由器是用于網(wǎng)絡(luò)通信的關(guān)鍵設(shè)備，它通過(guò)路由器選擇協(xié)議來(lái)完成“路徑?jīng)Q策”，評(píng)估所有到達(dá)目的地的可用路徑并決定是用哪一個(gè)路徑。在路由協(xié)議中有效的安全功能包括過(guò)濾路由廣播及認(rèn)證，利用過(guò)濾路由協(xié)議禁止路由廣播到鄰居，因此可以保護(hù)網(wǎng)絡(luò)中的信息安全。4隨著網(wǎng)絡(luò)各種領(lǐng)域應(yīng)用的日益普及，網(wǎng)絡(luò)信息安全問(wèn)題趨于復(fù)雜化和多樣話。針對(duì)網(wǎng)絡(luò)存在各種安全隱患，安全路由器必須具有如下的安全特性：（1）可靠性與線路安全（2）身份認(rèn)證（3）訪問(wèn)控制（4）信息隱藏（5）數(shù)據(jù)加密（6）攻擊探測(cè)和防范（7）安全管理(三)物理隔離器技術(shù) 物理隔離技術(shù)本質(zhì)上是一種網(wǎng)絡(luò)安全技術(shù)，它通過(guò)特殊硬件實(shí)現(xiàn)鏈路層的斷開，使得各種網(wǎng)絡(luò)攻擊與入

7、侵攻擊失去了物理通路的基礎(chǔ)，從而避免了內(nèi)部網(wǎng)絡(luò)遭受外部攻擊的可能性。6實(shí)施內(nèi)部網(wǎng)物理隔離，在技術(shù)應(yīng)達(dá)到以下目的：（1）在物理傳導(dǎo)上隔斷內(nèi)部網(wǎng)與外部網(wǎng)。確保外部網(wǎng)不能通過(guò)網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)，同時(shí)防止內(nèi)部網(wǎng)信息通過(guò)網(wǎng)絡(luò)連接泄漏到外部網(wǎng)（2）在物理存儲(chǔ)上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，對(duì)其斷電后會(huì)遺失的信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時(shí)進(jìn)行清除處理，防止殘留信息竄網(wǎng)；對(duì)于斷電后非遺失性設(shè)備，如磁帶機(jī)、硬盤等存儲(chǔ)設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要分開存儲(chǔ)，嚴(yán)格限制軟盤、光盤等可移動(dòng)介質(zhì)的使用。（3）在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)。確保內(nèi)部網(wǎng)信息不會(huì)通過(guò)電磁輻射或耦合方式泄漏到外部網(wǎng)（4）物理隔離部件的

8、安全功能應(yīng)保證被隔離的計(jì)算機(jī)資源不能被訪問(wèn)（至少應(yīng)包括硬盤、軟盤和光盤），計(jì)算機(jī)數(shù)據(jù)不能被重用（5）邏輯隔離部件的安全功能保證被隔離的計(jì)算機(jī)資源不能被訪問(wèn)只能進(jìn)行隔離器內(nèi)外的原始應(yīng)用數(shù)據(jù)交換 (四) 隔離卡技術(shù)隔離卡技術(shù)是將一臺(tái)計(jì)算機(jī)劃分成兩個(gè)獨(dú)立的虛擬計(jì)算機(jī)，分別連接公共網(wǎng)絡(luò)和涉密網(wǎng)絡(luò)。通過(guò)隔離卡，用戶的硬盤被劃分為公共區(qū)和安全區(qū)，裝有獨(dú)立的操作系統(tǒng)和應(yīng)用軟件。當(dāng)用戶在公共區(qū)啟動(dòng)時(shí)，計(jì)算機(jī)連接公共網(wǎng)絡(luò)；當(dāng)用戶在安全區(qū)啟動(dòng)時(shí)，計(jì)算連接涉密網(wǎng)。 （五）防病毒技術(shù) 計(jì)算機(jī)病毒的防治技術(shù)總是在與病毒的較量中得到發(fā)展?？偟膩?lái)講，計(jì)算機(jī)病毒的防治技術(shù)可以分成四個(gè)方面，即檢測(cè)、清除、免疫和預(yù)防。6計(jì)算機(jī)病

9、毒檢測(cè)技術(shù)是指通過(guò)一定的技術(shù)手段判定出計(jì)算機(jī)病毒；計(jì)算機(jī)病毒的消除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果，是病毒傳染程序的一種逆過(guò)程；計(jì)算機(jī)病毒預(yù)防技術(shù)是通過(guò)一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)進(jìn)行傳染和破壞，實(shí)際上它是一種特性判定技術(shù)。也是可能是一種行為規(guī)則的判定技術(shù)；計(jì)算機(jī)病毒的免疫技術(shù)目前沒有得到很快的發(fā)展。目前尚沒有出現(xiàn)通用的能對(duì)各種病毒都有免疫作用的技術(shù)。現(xiàn)在世界各國(guó)家有以下的防范技術(shù)：（1）虛擬機(jī)技術(shù)虛擬機(jī)技術(shù)是國(guó)際反病毒領(lǐng)域的前沿技術(shù)。這種技術(shù)更接近于人工分析，智能化極高，查毒的準(zhǔn)確性也極高。虛擬技術(shù)的主要執(zhí)行過(guò)程如下： 在查殺病毒時(shí)，在計(jì)算機(jī)內(nèi)存中模擬出一個(gè)“指令執(zhí)行虛擬計(jì)算機(jī)”

10、 在虛擬環(huán)境中虛擬執(zhí)行可疑帶毒文件在執(zhí)行過(guò)程中，從虛擬機(jī)環(huán)境內(nèi)截獲文件數(shù)據(jù)如果含有可疑病毒代碼，則說(shuō)明發(fā)現(xiàn)了病毒 殺毒過(guò)程是在虛擬環(huán)境下摘除可疑代碼然后將其還原到原文件中，從而實(shí)現(xiàn)對(duì)各類可執(zhí)行文件內(nèi)病毒的殺除（2）監(jiān)控病毒源文件 密切關(guān)注、偵測(cè)和監(jiān)控網(wǎng)絡(luò)系統(tǒng)外部病毒的動(dòng)向，將所有病毒源堵截在網(wǎng)絡(luò)入口處，是當(dāng)前網(wǎng)絡(luò)防病毒技術(shù)的一個(gè)重點(diǎn)。趨勢(shì)科技針對(duì)網(wǎng)絡(luò)防病毒所提出的可以遠(yuǎn)程中央空管的趨勢(shì)病毒監(jiān)控系統(tǒng)不僅可完成跨網(wǎng)域的操作而且在傳輸過(guò)程中還能保障文件的安全。（3）無(wú)縫隙連接技術(shù) 無(wú)縫隙連接技術(shù)也叫嵌入式殺毒技術(shù)。通過(guò)該技術(shù)，我們可以對(duì)病毒經(jīng)常攻擊的應(yīng)用程序和信息提供重點(diǎn)保護(hù)。它利用操作系統(tǒng)或應(yīng)用程

11、序提供的內(nèi)部接口來(lái)實(shí)現(xiàn)對(duì)使用頻度高、范圍廣的主要應(yīng)用軟件提供被動(dòng)式的保護(hù)（4）檢查壓縮文件技術(shù) 檢查壓縮文件中的病毒有兩種思路。第一種思路：首先必須搞清壓縮文件的壓縮算法，然后根據(jù)壓縮管理算法將病毒碼壓縮成病毒壓縮碼，最后根據(jù)病毒壓縮碼在壓縮文件中查找以判斷該文件是否有病毒。另一種檢查壓縮文件中病毒的思路：在搞清壓縮文件的壓縮算法和解壓算法的基礎(chǔ)上，首先解壓待檢查的壓縮文件。隨后在解壓后的文件中檢查病毒碼來(lái)判斷該文件是否有病毒，以此來(lái)說(shuō)明原壓縮文件是否有病毒。最后將文件還原成原來(lái)的壓縮格式。（5）主動(dòng)內(nèi)核技術(shù) 主動(dòng)內(nèi)核技術(shù)是將已經(jīng)開始的各種防病毒技術(shù)從源程序級(jí)嵌入到操作系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的內(nèi)核中，

12、實(shí)現(xiàn)防病毒產(chǎn)品與操作系統(tǒng)的無(wú)縫連接。這種技術(shù)可以保證防病毒模塊從系統(tǒng)的底層內(nèi)核與各種操作系統(tǒng)及應(yīng)用環(huán)境密切協(xié)調(diào)，確保防毒操作不會(huì)傷及到操作系統(tǒng)內(nèi)核，同時(shí)確保殺病毒的功效。（6）入侵檢測(cè)技術(shù) 入侵檢測(cè)作為動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)就是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時(shí)做出響應(yīng)。7（7）掃描技術(shù) 掃描是一種行為，目的是收集被掃描系統(tǒng)或網(wǎng)絡(luò)的信息。通常掃描是利用一些程序或者專用的掃描器來(lái)實(shí)現(xiàn)。

13、掃描是通過(guò)向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)報(bào)文，然后根據(jù)響應(yīng)獲得目標(biāo)主機(jī)的情況，根據(jù)掃描的方式不同主要有以下三種類型的掃描： 地址掃描 端口掃描 漏洞掃描四 建立網(wǎng)絡(luò)安全體系的必要性和發(fā)展信息安全體系的重要性21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無(wú)處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我國(guó)將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國(guó)自己特色的網(wǎng)絡(luò)安全體系。 一個(gè)國(guó)家的信息安全體系實(shí)際上包括國(guó)家的法規(guī)和政策，以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我國(guó)在構(gòu)建

14、信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我國(guó)要想真正解決網(wǎng)絡(luò)安全問(wèn)題，最終的辦法就是通過(guò)發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高。 信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。對(duì)于這個(gè)問(wèn)題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國(guó)未來(lái)電子化、信息化的發(fā)展將起到非常重要的作用。國(guó)際上信息安全研究起步較早，力度大，積累多，應(yīng)用廣，在70年代美國(guó)的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型”的基礎(chǔ)上，指定了“可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫(kù)方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的重要內(nèi)容，其形式化方法分析始于80年代初，目前有基于狀態(tài)機(jī)、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和漏洞，處于發(fā)展的提高階段。完整的信息安全保障體系建設(shè)是信息安全走向成熟的標(biāo)記，也受到了國(guó)家和眾多企事業(yè)單位的重視。信息安全保障體系的建設(shè)，必須進(jìn)行科學(xué)的規(guī)劃，以用戶身份認(rèn)證為基礎(chǔ)，信息安全保密為核心，網(wǎng)絡(luò)邊界防護(hù)和信息安全管理為輔助，建立全面有機(jī)的安全整體，從而建立真正有效