信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不被意外或惡意原因破壞、更改或泄露,系統連續、可靠、正常運行,不中斷信息服務。
信息安全是壹門涉及計算機科學、網絡技術、通信技術、密碼學技術、信息安全技術、應用數學、數論、信息論等學科的綜合性學科。
從廣義上講,所有與網絡上信息的機密性、完整性、可用性、真實性和可控性相關的技術和理論都是網絡安全的研究領域。
信息安全的實現目標
真實性:判斷信息來源,識別偽造來源的信息。
◆保密性:保證機密信息不被竊聽,否則竊聽者無法了解信息的真實含義。
◆完整性:保證數據的壹致性,防止數據被非法用戶篡改。
可用性:確保合法用戶對信息和資源的使用不會被不當拒絕。
不可否認性:建立有效的責任機制,防止用戶否認自己的行為是極其重要的。
可控性:控制信息傳播和內容的能力。
可檢查性:為調查新出現的網絡安全問題提供依據和手段。
主要信息安全威脅
◆竊取:非法用戶通過數據竊聽獲取敏感信息。
◆攔截:非法用戶先獲取信息,然後將這些信息發送給真正的接收者。
◆偽造:向接收者發送偽造的信息。
◆篡改:非法用戶修改合法用戶之間的通信信息,然後發送給接收者。
拒絕服務攻擊:攻擊服務系統,造成系統癱瘓,阻止合法用戶獲得服務。
◆行為否認:合法用戶否認已經發生的行為。
◆未授權訪問:未經系統授權使用網絡或計算機資源。
◆傳播病毒:通過網絡傳播計算機病毒的破壞性很大,用戶很難防範。
信息安全威脅的主要來源
◆自然災害和事故;
◆計算機犯罪;
◆人為失誤,如使用不當、安全意識差;
◆“黑客”行為;
◆內部泄漏;
◆外部泄漏;
◆信息丟失;
電子間諜,如信息流分析、信息竊取等。;
◆信息戰;
◆網絡協議本身的缺陷,如TCP/IP協議的安全問題等。
信息安全戰略
信息安全政策指的是為確保某種程度的安全保護而必須遵守的規則。實現信息安全不僅依靠先進的技術,還需要嚴格的安全管理、法律約束和安全教育:
先進的信息安全技術是網絡安全的根本保障。用戶評估自己面臨的威脅,決定自己需要的安全服務類型,選擇相應的安全機制,然後集成先進的安全技術,形成全方位的安全體系;
◆嚴格的安全管理。各計算機網絡用戶、企業和單位應建立相應的網絡安全管理措施,加強內部管理,建立適宜的網絡安全管理制度,加強用戶管理和授權管理,建立安全審計和跟蹤制度,提高整體網絡安全意識;
◆制定嚴格的法律法規。計算機網絡是壹個新事物。其很多行為無法可依,無章可循,導致網絡上計算機犯罪的無序。面對日益嚴重的網絡犯罪,有必要建立網絡安全相關法律法規,讓不法分子受到法律的恐嚇,不敢輕舉妄動。
信息安全涉及的主要問題
◆網絡攻擊和攻擊檢測與防範問題
◆安全漏洞和安全對策
◆信息安全和保密問題
◆系統的內部安全性。
◆反病毒問題
◆數據備份和恢復問題以及災難恢復問題。
信息安全技術簡介
目前市場上比較流行的,能夠代表未來發展方向的安全產品大致有以下幾種:
◆防火墻:防火墻在某種意義上可以說是壹種訪問控制產品。它在內部網絡和不安全的外部網絡之間設置屏障,防止外部對內部資源的非法訪問和內部對外部的不安全訪問。主要技術有:包過濾技術、應用網關技術和代理服務技術。防火墻能有效防止黑客利用不安全的服務攻擊內網,並能實現對數據流的監控、過濾、記錄和上報功能,更好地切斷內網與外網的連接。但它可能有自己的安全問題,也可能是潛在的瓶頸。
◆安全路由器:由於廣域網連接需要專門的路由器設備,所以可以通過路由器控制網絡傳輸。訪問控制列表技術通常用於控制網絡信息流。
◆虛擬專用網(VPN):虛擬專用網(VPN)是在公共數據網絡上,利用數據加密技術和訪問控制技術,實現兩個或兩個以上可信內網之間的互聯。VPN的構建通常需要使用具有加密功能的路由器或防火墻來實現數據在公共信道上的可靠傳輸。
◆安全服務器:安全服務器主要針對壹個局域網內信息存儲和傳輸的安全,其功能包括局域網資源的管理和控制,局域網內用戶的管理,局域網內所有安全相關事件的審計和跟蹤。
電子簽證機構——CA和PKI產品:電子簽證機構(CA)作為通信的第三方,為各種服務提供可靠的認證服務。CA可以向用戶發放電子簽證證書,並為用戶提供會員認證、密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務,將成為所有應用的計算基礎設施的核心組成部分。
◆用戶認證產品:由於IC卡技術的成熟和完善,在用戶認證產品中,IC卡更廣泛地用於存儲用戶的個人私鑰,並與動態密碼等其他技術相結合,有效識別用戶的身份。同時,將IC卡上的個人私鑰與數字簽名技術相結合,可以實現數字簽名機制。隨著模式識別技術的發展,指紋、視網膜、五官等先進的識別技術也將投入使用,再結合數字簽名等現有技術,必將使用戶身份的認證和識別更加完善。
◆安全管理中心:由於互聯網上的安全產品非常多,而且分布在不同的地點,所以需要建立壹套集中的管理機制和設備,即安全管理中心。用於向網絡安全設備分發密鑰,監控網絡安全設備的運行狀態,收集網絡安全設備的審計信息。
◆入侵檢測系統(IDS):入侵檢測作為傳統保護機制(如訪問控制、身份識別)的有效補充,在信息系統中形成了不可或缺的反饋鏈。
◆安全數據庫:由於大量信息存儲在計算機數據庫中,有些信息是有價值的、敏感的,需要加以保護。壹個安全的數據庫可以確保數據庫的完整性、可靠性、有效性、保密性、可審計性、訪問控制和用戶識別。
◆安全操作系統:為系統中的關鍵服務器提供安全的操作平臺,構成安全的WWW服務、安全的FTP服務、安全的SMTP服務等。,並作為各種網絡安全產品保障自身安全的堅實基礎。
參考資料:
/safemate/renshi.htm
/view/17249.htm
通過以上,妳了解了信息安全,接下來我給妳講講網絡和信心安全,這是壹門專業學科。我壹個朋友的專業是網絡與信息安全。(妳只能分辨以下。)我估計網絡與信息安全是信息安全的壹個分支。
網絡信息安全的關鍵技術(續)
近年來,互聯網技術越來越成熟,已經開始從以提供和保證網絡連接為主要目標的第壹代互聯網技術向以提供網絡數據和信息服務為特征的第二代互聯網技術過渡。與此同時,經過多年的猶豫和觀望,數以萬計的商業公司和政府機構已經意識到,采用互聯網技術,使企業數據通信網絡成為互聯網的延伸,已經成為壹種發展趨勢。這使得企業數據網絡從以封閉的專線和專網為特征的第二代技術迅速向基於互聯網互聯技術的第三代企業信息網絡轉變。這些都促進了計算機網絡互聯技術的迅速和大規模使用。
眾所周知,作為世界上應用最廣泛的信息網絡,互聯網協議的開放性極大地方便了各種計算機的聯網,拓寬了* * *的資源。然而,由於早期網絡協議設計中對安全問題的忽視以及使用和管理中的無政府狀態,互聯網本身的安全逐漸受到嚴重威脅,與之相關的安全事故頻頻發生。對網絡安全的威脅主要表現在:未經授權的訪問、冒充合法用戶、破壞數據完整性、幹擾系統正常運行、利用網絡傳播病毒、線路竊聽等。這就需要我們對與互聯網互聯帶來的安全問題給予足夠的重視。
防火墻
——“防火墻”是近年來發展起來的壹項重要的安全技術,其特點是在網絡邊界上建立相應的網絡通信監控系統,以達到保障網絡安全的目的。防火墻式安全技術假設被保護網絡有明確的邊界和服務,網絡安全的威脅只來自外網,然後通過監控、限制和改變穿越“防火墻”的數據流,盡可能地將被保護網絡的信息和結構屏蔽於外網之外,實現網絡的安全保護。
-“防火墻”技術是壹種通過隔離網絡拓撲和服務類型來加強網絡安全的方法。它保護的對象是網絡中有明確封閉邊界的網絡塊。其防範的目標是來自受保護網絡塊外部的對網絡安全的威脅。所謂“防火墻”,就是圍繞被保護網絡,綜合采用適當的技術,將被保護網絡與外部網絡隔離開來的系統。可以看出,防火墻技術最適合在企業專網中使用,尤其是在企業專網與公網互聯的情況下。
-構建“防火墻”是在仔細分析網絡服務功能和拓撲結構的基礎上,通過圍繞被保護網絡集成專門的軟件、硬件和管理措施,對跨越網絡邊界的信息進行監控、控制甚至修改的手段。實現防火墻的主要技術有包過濾、應用網關和代理服務器。在此基礎上,合理的網絡拓撲和相關技術的適當使用(在位置和配置上)也是確保防火墻有效使用的重要因素。
加密網絡安全技術
-壹般來說,網絡系統安全的實現方式可以分為兩類:以防火墻技術為代表的被動防禦體系和基於數據加密和用戶授權確認機制的開放式網絡安全體系。
-基於數據加密和用戶確認的開放安全技術普遍適用,對網絡服務影響不大,有望成為網絡安全問題的終極集成解決方案。這種技術的特點是利用現代數據加密技術來保護網絡系統中包括用戶數據在內的所有數據流。只有指定的用戶或網絡設備才能對加密數據進行解讀,從而從根本上解決了網絡安全的兩大需求(網絡服務的可用性和信息的完整性),而無需對網絡環境做出特殊要求。這類技術壹般不需要特殊網絡拓撲的支持,所以實施成本主要體現在軟件開發和系統運維上。這種方法在數據傳輸過程中不要求網絡路徑的安全程度(因此不會受到影響),從而真正實現了網絡通信過程中端到端的安全保障。目前,有相當多的這樣的安全系統以不同的方式實現。但由於大部分數據加密算法起源於美國,受到美國出口管制法的限制,無法在以國際化為特征的互聯網上大規模使用。因此,用這種方法實現的系統大多局限於應用軟件層面。網絡層面應用和實現的網絡壹般比較小,限制了基於此的綜合性網絡安全解決方案的出現。但據預測,這種網絡安全保障體系將有望在未來3 ~ 5年內成為實現網絡安全的主要方式。
-1.分類
數據加密技術可以分為三類,即對稱加密、非對稱加密和不可逆加密。
對稱加密使用單個密鑰對數據進行加密或解密,其特點是計算量小,加密效率高。但這種算法在分布式系統中很難使用,主要是密鑰管理困難,使用成本高,安全性能難。這類算法的代表是廣泛應用於計算機專用網絡系統的DES(數字加密標準)算法。
-非對稱加密算法,也稱為公鑰算法,其特點是兩個密鑰(即公鑰和私鑰)。只有兩者配合使用,才能完成整個加密和解密的過程。由於非對稱算法有兩個密鑰,因此特別適用於分布式系統中的數據加密,在互聯網中得到了廣泛的應用。其中,公鑰公布在互聯網上,由數據源用來加密數據,而對應的用於解密的私鑰由數據的接收方妥善保管。
-非對稱加密的另壹種用法稱為“數字簽名”,即數據源使用其密鑰對數據的校驗和或與數據內容相關的其他變量進行加密,而數據接收方使用相應的公鑰對“數字簽名”進行解讀,並使用解讀結果來檢查數據的完整性。網絡系統中應用的非對稱加密算法有RSA算法和國家標準局提出的DSA算法。非對稱加密在分布式系統中應用時需要註意的問題是如何管理和確認公鑰的合法性。
不可逆加密算法的特點是加密過程不需要密鑰,加密後的數據無法解密。相同的不可逆加密算法只能得到相同的輸入數據。不可逆加密算法不存在密鑰存儲和分發的問題,適合在分布式網絡系統中使用。但其加密計算工作量相當大,所以通常在數據有限的情況下用於加密,比如計算機系統中的密碼。近年來,隨著計算機系統性能的不斷提高,不可逆加密的應用逐漸增多。RSA發明的MD5算法和美國國家標準局提出的安全不可逆加密標準(SHS)被廣泛應用於計算機網絡。
-2.應用
加密技術通常以兩種形式用於網絡安全,即面向網絡或面向應用的服務。
前者通常工作在網絡層或傳輸層,利用加密數據包傳輸和認證網絡路由等網絡協議所需的信息,從而保證網絡的連通性和可用性不受損害。在網絡層實現的加密技術通常對網絡應用層的用戶是透明的。此外,通過適當的密鑰管理機制,該方法還可以用於在公共互聯網上建立虛擬專用網絡,確保虛擬專用網絡上信息的安全。SKIP協議是IETF最近在這壹領域努力的結果。
-網絡應用面向服務的加密技術是目前最流行的加密技術,如Telnet、NFS、使用Kerberos服務的Rlogin以及用於電子郵件加密的PEM(隱私增強郵件)和PGP(相當好的隱私)。這種加密技術的優點是實現相對簡單,不需要對電子信息(數據包)通過的網絡的安全性能提出特殊要求,實現了對電子郵件數據的端到端安全保障。
漏洞掃描技術
漏洞掃描是壹種自動檢測遠程或本地主機安全漏洞的技術。它查詢TCP/IP端口,記錄目標的響應,收集壹些特定項目的有用信息,比如正在進行的服務,擁有這些服務的用戶,是否支持匿名登錄,以及壹些網絡服務是否需要認證。這項技術的具體實現是安全掃描程序。
-早期的掃描程序是專門為Unix系統編寫的,後來情況發生了變化。現在很多操作系統都支持TCP/IP,所以幾乎每個平臺上都出現了掃描器。掃描儀在提高互聯網安全性方面發揮了巨大作用。
-任何現有平臺上都有數百個眾所周知的安全漏洞。手動測試單臺主機的這些漏洞需要幾天時間。在此期間,您必須不斷地獲取、編譯或運行代碼。這個過程需要重復數百次,既慢又費力,還容易出錯。而這些努力都只是完成了對單個主機的檢測。更糟糕的是,測試壹臺主機後,留下了大量沒有統壹格式的數據。手動測試後,需要幾天時間來分析這些變化的數據。掃描程序可以在很短的時間內解決這些問題。掃描儀開發人員使用可用的常見攻擊方法,並將它們集成到整個掃描中。輸出結果格式統壹,便於參考和分析。
從以上事實可以看出,掃描儀是壹個強大的工具,可以用來為審計收集初步數據。就像散彈槍壹樣,它可以快速、無痛苦地在大範圍內找到已知的漏洞。
-在掃描程序的開發上,現有的掃描程序有幾十種,有的速度快,體積小,可以很好的實現單壹功能;其中有些功能完善,界面友好,也曾經名噪壹時。至今仍在廣泛使用的掃描程序有NSS、Strobe、撒旦、Ballista、Jakal、IdentTCPscan、Ogre、WebTrends安全掃描器、CONNECT、FSPScan、XSCAN和ISS。
入侵檢測技術
發現僅僅從防禦的角度來構建安全體系是不夠的。因此,人們開始尋求其他方式來補充對網絡安全的保護,系統脆弱性評估和入侵檢測的研究課題應運而生。入侵檢測可以定義為識別和響應惡意使用計算機和網絡資源的過程。它不僅檢測來自外部的入侵,還指內部用戶的未授權活動。入侵檢測應用攻防兼備的策略,其提供的數據不僅可能被用於發現合法用戶濫用權限的行為,還可能在壹定程度上為追究入侵者的法律責任提供有效證據。
-從20世紀80年代初開始,國外壹些研究機構和學校開始研究系統脆弱性的分類,如信息科學研究所、勞倫斯·利弗莫爾國家實驗室和加州大學戴維斯分校計算機安全實驗室。對系統脆弱性的研究壹方面是由於互聯網的迅速膨脹,另壹方面是由於入侵檢測的興起。也有許多研究機構進行入侵檢測,包括斯坦福研究所的計算機科學實驗室(Sri/CSL)。美國普渡大學和美國能源部勞倫斯利弗莫爾國家實驗室的Coast(計算機操作審計和安全技術)研究組。目前對系統漏洞的研究還不太成熟,因為系統漏洞的覆蓋面很廣,而且還在不斷增加,漏洞的分類也會因為新漏洞的發現而相應發展和補充,所以是壹個動態的過程。此外,不同的目的需要不同的分類方法。對入侵檢測的研究,從早期的審計追蹤數據分析到實時入侵檢測系統,基本上已經發展成為壹門具有壹定規模和相應理論的學科。
(1)從具體的檢測方法來看,檢測系統分為基於行為和基於知識兩大類。
-基於行為的檢測(Behavior-based detection)是指根據用戶的行為或資源使用的正常水平來判斷入侵是否發生,而不依賴於某壹特定行為是否發生,即建立被檢測系統正常行為的參考庫,通過與當前行為的對比來尋找偏離參考庫的異常行為。比如壹個平時白天使用電腦的用戶,如果在午夜突然註冊登錄,就被認為是異常行為,可能被入侵者利用。基於行為的檢測也稱為異常檢測。
基於知識的檢測是指利用已知的攻擊方法,根據定義的入侵模式,通過判斷這些入侵模式是否出現。由於很大壹部分入侵利用了系統的脆弱性,因此通過分析入侵過程中事件的特征、條件、排列以及事件之間的關系,詳細描述了入侵行為的征兆。這些征兆不僅有助於分析已經發生的入侵,而且對即將到來的入侵有警示作用,因為只要這些征兆部分符合,就意味著可能有入侵。基於知識的檢測也稱為誤用檢測。
(2)根據檢測系統分析原始數據的不同,入侵檢測可以分為系統日誌和網絡數據包兩種類型。
-操作系統的日誌文件包含詳細的用戶信息和系統調用數據,從中可以分析出系統是否被入侵、入侵者留下的痕跡等審計信息。隨著互聯網的普及,網絡數據包逐漸成為壹種有效而直接的檢測數據源,因為數據包中也包含了用戶信息。早期的入侵檢測研究主要集中在主機系統的日誌文件分析上。由於用戶對象僅限於本地用戶,隨著分布式大規模網絡的普及,用戶可以隨機從不同的客戶端登錄,主機之間經常需要交換信息。特別是互聯網的廣泛應用,據統計,大多數入侵都發生在網絡上。這樣,入侵檢測的對象範圍也擴大到了整個網絡。
-在現有的實際系統中,根據系統的運行特點可分為實時檢測和周期性檢測,根據檢測到入侵後是否采取相應措施可分為主動型和被動型。入侵檢測系統的分類可以用下圖來表示:
-以上只是對網絡信息安全的壹些技術的簡單介紹。由此可見,與電腦黑客的鬥爭是壹個“道高壹尺,魔高壹丈”的過程。尤其是最近壹年,黑客的行為更加組織化、規模化,技術水平普遍有了很大提高。要想在這場權衡鬥爭中保持主動,就必須保持專業的團隊,跟蹤黑客技術,研究其行為特征,提出自己的反黑客理論和方法,通過對黑客技術的深入研究,有效提升系統的管理和應用水平。