信息安全技術(shù)

1、信息安全技術(shù)13.1 現(xiàn)代電信系統(tǒng)平安的重要性13.1.1 現(xiàn)代電信系統(tǒng)面臨的威脅現(xiàn)代電信系統(tǒng)平安技術(shù)的目的是保護存儲在系統(tǒng)中和在網(wǎng)絡(luò)中傳輸?shù)男畔?。這些信息有如下特性：1保密性信息必須按信息擁有者的要求保持個人的、專有的或高度敏感數(shù)據(jù)的機密，防止信息的非受權(quán)泄漏。2可用性保證信息可由受權(quán)訪問者訪問。3完好性信息必須按它的原形保存。必須保持信息的完好性、真實性、正確性、相容性。信息的上述特性是現(xiàn)代電信系統(tǒng)平安保護的目的。它受到的威脅和破壞包括以下幾種：1對現(xiàn)代電信系統(tǒng)實體的威脅和破壞如自然災(zāi)害、戰(zhàn)爭、人為破壞、設(shè)備故障、電磁干擾和電磁泄漏等對現(xiàn)代電信系統(tǒng)實體造成的破壞。2對信息的威脅和破壞自然災(zāi)

2、害如地震、水、火、風災(zāi)等及環(huán)境因素如溫度、濕度、污染等；偶爾事故系統(tǒng)軟硬件故障、工作失誤等；人為破壞如利用系統(tǒng)軟硬件的脆弱性，非法訪問、非法竊取、修改、復(fù)制和破壞系統(tǒng)信息造成信息泄漏或使信息的完好性受到破壞，使系統(tǒng)信息被修改、刪除、添加、偽造、非法復(fù)制或非法占用。3計算機病毒計算機病毒是利用程序干擾或破壞系統(tǒng)正常工作的一種手段。13.1.2 信息平安保護需求1信息保密性帶來的平安需求2信息可用性帶來的平安需求3信息完好性帶來的平安需求4信息交換的有效性和合法性帶來的平安需求13.2 信息平安技術(shù)的實現(xiàn)13.2.1 信息系統(tǒng)平安對策13.2.2 實體平安技術(shù)實體平安技術(shù)是為了保證現(xiàn)代電信系統(tǒng)平安

3、可靠運行，對應(yīng)用信息系統(tǒng)、通信平臺等設(shè)施采取的平安措施。實體平安技術(shù)包括以下內(nèi)容。1可靠性保證技術(shù)可靠性保證是通過可靠性設(shè)計、容錯設(shè)計、元器件挑選、工藝流程管理、故障診斷與維護等技術(shù)實現(xiàn)的。所謂容錯是指當系統(tǒng)在任一可操作的子系統(tǒng)遭到破壞后，應(yīng)當具備繼續(xù)正常運行的才能。2抗干擾、防泄漏技術(shù)3過失控制技術(shù)采用奇偶校驗、循環(huán)冗余校驗、多重存儲、多重傳輸?shù)却胧┻M展過失控制，保證信息的正確性和完好性。4環(huán)境保障技術(shù)要采取一系列措施防潮、防塵、防腐、防振、防水、防火、防風、防震、防污染，確保系統(tǒng)平安正常工作。13.2.3 數(shù)據(jù)平安技術(shù)數(shù)據(jù)平安技術(shù)包括用戶識別與驗證技術(shù)，數(shù)據(jù)加密、解密技術(shù)和數(shù)據(jù)庫加密技術(shù)。

4、1用戶識別與驗證技術(shù)1口令驗證2磁卡驗證3生理特征驗證2數(shù)據(jù)加密、解密技術(shù)按密碼算法所用的加、解密密鑰是否一樣，可分為對稱密碼體制加、解密密鑰一樣和公開密碼體制加、解密密鑰不同。3數(shù)據(jù)庫加密技術(shù)根據(jù)數(shù)據(jù)庫的特點，對數(shù)據(jù)庫加密有如下要求： 數(shù)據(jù)庫信息保存時間長，因此，數(shù)據(jù)庫數(shù)據(jù)加密密鑰的生存周期也長。 數(shù)據(jù)庫加密的粒度可以不同，如可以對文件、記錄、字段加密，卻允許訪問某一記錄或字段。 數(shù)據(jù)庫加密后，存儲空間不應(yīng)明顯增大，以免破壞數(shù)據(jù)庫構(gòu)造。 加密、解密速度要足夠快，尤其是解密速度要快，使用戶感覺不到系統(tǒng)性能的變化。 加密系統(tǒng)應(yīng)有很強的訪問控制機制和靈敏的受權(quán)機制。 數(shù)據(jù)庫加密后，應(yīng)保持對數(shù)據(jù)庫查

5、詢、檢索、修改和更新的靈敏性。1庫外加密庫外加密的密鑰管理較為簡單，但將加密后的數(shù)據(jù)納入數(shù)據(jù)庫時，要對數(shù)據(jù)進展完好性約束，因此，要對加密算法或數(shù)據(jù)庫系統(tǒng)做必要的改動。2庫內(nèi)加密庫內(nèi)加密的加密粒度可以是數(shù)據(jù)元素、字段或記錄。3數(shù)據(jù)庫硬件加密4密鑰管理13.2.4 軟件平安技術(shù)軟件保護的根本任務(wù)是防止軟件的非法復(fù)制、非受權(quán)侵入及對軟件的分析、修改。1防復(fù)制方法防復(fù)制方法通過采用專門措施，使利用正?？截惷詈透鞣N拷貝工具無法將軟件完好復(fù)制，或復(fù)制的軟件不能正常運行。1硬加密技術(shù) 激光加密法 掩膜加密法 加密卡法2軟件防復(fù)制方法軟件防復(fù)制方法是對加密盤建立非正常格式，將某些重要信息如密鑰、解密算法、解

6、密程序、待檢查的標志、代碼等存放在非正常格式區(qū)內(nèi)，由于非正常格式不能用一般拷貝軟件拷貝，且加密程序的解密要使用非正常格式區(qū)內(nèi)的信息，對加密盤進展非受權(quán)復(fù)制所得到的副本是無法正常運行的。3硬盤加密法硬盤加密有兩種含義，一是對硬盤上的軟件加密，可以采用軟件安裝加密法，防止硬盤上的軟件被非法拷貝；另一種是對硬盤的使用權(quán)加以限制，制止非受權(quán)用戶使用硬盤。2反跟蹤技術(shù)軟件加密除了對明文軟件加密外，還必須采取反跟蹤技術(shù)抵抗、干擾破譯工作的進展。反跟蹤既要防止破譯者的靜態(tài)分析，又要防止其動態(tài)跟蹤。13.2.5 計算機病毒的防治1計算機病毒的含義計算機病毒是人設(shè)計的一種功能程序。2計算機病毒的主要危害計算機病

7、毒的主要危害如下：1格式化整個磁盤、或磁盤的特定磁道、或特定扇區(qū)，使信息喪失；2刪除軟盤或硬盤上的可執(zhí)行文件或數(shù)據(jù)文件；3破壞文件分配表，使得無法讀用磁盤上的信息；4修改或破壞文件中的數(shù)據(jù)；5改變磁盤分配，造成數(shù)據(jù)寫入錯誤；6磁盤出現(xiàn)“壞扇區(qū)，減少磁盤可用空間；7病毒反復(fù)“拷貝，減少磁盤可用空間；8影響內(nèi)存常駐程序的運行；9在系統(tǒng)中產(chǎn)生新的文件。3計算機病毒的防治首先從一些異?，F(xiàn)象推測系統(tǒng)中可能存在病毒，這些異?，F(xiàn)象包括：1系統(tǒng)啟動時，加載時間過長或喇叭發(fā)出不正常蜂鳴音；機器運行速度明顯減慢；磁盤訪問時間變長；2系統(tǒng)運行時，屏幕上出現(xiàn)特殊畫面；3可執(zhí)行文件長度變長；4文件建立日期和時間變化；5

8、系統(tǒng)試圖向貼有寫保護的磁盤寫數(shù)據(jù)；6磁盤出現(xiàn)固定的“壞扇區(qū)；7磁盤上出現(xiàn)異常文件；原有正常文件不能運行；文件或數(shù)據(jù)無故喪失；8系統(tǒng)經(jīng)常出現(xiàn)死機或重新啟動；9系統(tǒng)設(shè)備無故不能使用，如不能進入C盤、不能使用漢字庫等；10異常蜂鳴音；11磁盤的主引導(dǎo)區(qū)、引導(dǎo)扇區(qū)、文件分配表或根目錄被修改。出現(xiàn)上述現(xiàn)象后，可用現(xiàn)有的查病毒軟件檢查，如異?，F(xiàn)象不再出現(xiàn)，那么是病毒所致；如未發(fā)現(xiàn)病毒，那么需做深化分析，如分析中斷向量表、分析軟盤的引導(dǎo)扇區(qū)或硬盤的主引導(dǎo)扇區(qū)、分析內(nèi)存的分布等，現(xiàn)于篇幅，這里不做深化討論。13.2.6 網(wǎng)絡(luò)平安技術(shù)網(wǎng)絡(luò)的主要作用是實現(xiàn)信息的傳送、交換以及各節(jié)點間軟、硬件資源的共享。1ISO標

9、準網(wǎng)絡(luò)平安體系構(gòu)造ISO7498-2標準建議采用以下8種平安機制。1加密機制：包括對報文中的數(shù)據(jù)和報文的信息進展加密。2數(shù)字簽名機制：用于保證信息的合法性。 否認發(fā)送者事后不成認已發(fā)送過某份文件。 偽造接收者偽造一份文件，聲稱它發(fā)自發(fā)送者。 冒充某用戶冒充另一用戶接收或發(fā)送信息。 篡改接收者對收到的信息進展篡改。3訪問控制機制4數(shù)據(jù)完好性機制5鑒別信息交換機制6業(yè)務(wù)流量填充機制7路由控制機制8公證機制2網(wǎng)絡(luò)加密方式1鏈路加密2節(jié)點加密3端對端加密4報文鑒別與數(shù)字簽名數(shù)字簽名利用密碼技術(shù)進展，其平安性取決于密碼體制的平安程度，因此可以獲得比書面簽名更高的平安性。5訪問控制訪問控制的作用是防止非法

10、用戶進入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。6密鑰管理在現(xiàn)代電信系統(tǒng)的環(huán)境中，由于用戶和節(jié)點甚多，密鑰的數(shù)量極大，密鑰的產(chǎn)生、存儲、分配、組織、使用和銷毀等管理是非常復(fù)雜的問題。一級密鑰用于加/解密數(shù)據(jù)。二級密鑰用于加密保護一級密鑰。三級密鑰又稱主機主密鑰是最高級密鑰，用于對存儲于主機系統(tǒng)的一、二級密鑰提供保護。13.3 防火墻技術(shù)簡介13.3.1 防火墻在網(wǎng)絡(luò)平安中的重要性標準的防火墻系統(tǒng)應(yīng)遵循以下原那么：1控制對系統(tǒng)的訪問2集中的平安管理3記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)的情況4防火墻可以對故障進展跟蹤和預(yù)防5透明提供業(yè)務(wù)6對HTTP、FTP、TELNET、SMTP等效勞要有相應(yīng)的代理13.3.2

11、防火墻的主要技術(shù)下面介紹幾種主要防火墻類型：1包過濾器Packet Filter防火墻包過濾防火墻，又稱挑選路由器。它工作在網(wǎng)絡(luò)層上，在網(wǎng)絡(luò)的適當位置有選擇的讓數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進展交換。2應(yīng)用層網(wǎng)關(guān)代理效勞Proxy Server應(yīng)用層網(wǎng)關(guān)有如下功能：1對需要提供的業(yè)務(wù)做開放式代理效勞，一切不開放的業(yè)務(wù)將被阻止；2在允許用戶接入代理效勞之前，先要進展身份驗證工作；3根據(jù)設(shè)置，只允許用戶接入特定的主機系統(tǒng)；4每種代理都管理一份日志，并對每一次連接進展統(tǒng)計；5不同類型的代理之間，互不相關(guān)，互不影響。3復(fù)合防火墻將包過濾器和應(yīng)用層網(wǎng)關(guān)適當組合，構(gòu)成復(fù)合防火墻能到達更大的平安性。13.3

12、.3 防火墻存在的問題1限制了效勞的類型和靈敏性2來自后門的威脅3對來自內(nèi)部網(wǎng)絡(luò)的攻擊無能為力4其他問題13.3.4 新一代防火墻新一代防火墻具有以下特點：1采用多級過濾技術(shù)2利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，允許內(nèi)部網(wǎng)絡(luò)使用自己編制的IP地址和專用網(wǎng)絡(luò)，使外部網(wǎng)絡(luò)無法理解內(nèi)部網(wǎng)絡(luò)。3利用平安效勞器網(wǎng)絡(luò)技術(shù)，即利用一塊網(wǎng)卡將對外效勞器作為一個獨立網(wǎng)絡(luò)處理，對外效勞器既是內(nèi)部網(wǎng)絡(luò)的一局部，又與內(nèi)部網(wǎng)絡(luò)完全隔離。4新一代防火墻應(yīng)具有對用戶進展認證的機制，并對不同用戶賦予不同的權(quán)限；信息在Internet網(wǎng)上傳輸時，應(yīng)利用虛擬專用網(wǎng)VPN技術(shù)對信息進展加密傳輸。5基于連接的包過濾技術(shù)。6防火墻對一切惡意的攻擊應(yīng)

13、能進展審計，并發(fā)出警報。13.4 因特網(wǎng)平安及其防范措施13.4.1 因特網(wǎng)平安問題TCP/IP本身在設(shè)計上就是不平安的：作為分組交換網(wǎng)絡(luò)，每個數(shù)據(jù)分組都可獨立路由，并在中繼節(jié)點存儲轉(zhuǎn)發(fā)，通過路由欺騙就可改變原有的轉(zhuǎn)發(fā)途徑；Internet使用明文TCP/IP網(wǎng)絡(luò)協(xié)議，根據(jù)序列編號就能重組或修改應(yīng)用數(shù)據(jù)；網(wǎng)絡(luò)應(yīng)用程序本身還有許多調(diào)試后門和軟件錯誤；最早引入TCP/IP的Unix操作系統(tǒng)最初也是用于研究目的，以方便用戶為主要目的，缺乏完善有效的平安控制，如遠程命令執(zhí)行和網(wǎng)絡(luò)文件系統(tǒng)的平安約束都相當脆弱。13.4.2 因特網(wǎng)平安防范措施1因特網(wǎng)平安防范措施2TCP/IP各層的平安防范方法1網(wǎng)絡(luò)層的平安防范方法IPSP的主要目的是使需要平安措施的用戶可以使用相應(yīng)的加密平安體制。2運輸層的平安防范方法3應(yīng)用層的平安性網(wǎng)絡(luò)層或運輸層的平安協(xié)議提供主機或進程之間平安機制，不能提供在同一通道上傳輸?shù)拿恳粋€詳細文件的平安保障。3