[科普中國]-信息安全

對于網(wǎng)絡安全來說包括兩個方面：一方面包括的是物理安全，指網(wǎng)絡系統(tǒng)中各通信、計算機設備及相關(guān)設施等有形物品的保護，使他們不受到雨水淋濕等。另一方面還包括我們通常所說的邏輯安全。包含信息完整性、保密性以及可用性等等。物理安全和邏輯安全都非常的重要，任何一方面沒有保護的情況下，網(wǎng)絡安全就會受到影響，因此，在進行安全保護時必須合理安排，同時顧全這兩個方面。1

產(chǎn)業(yè)發(fā)展信息安全的概念在二十世紀經(jīng)歷了一個漫長的歷史階段，90年代以來得到了深化。進入21世紀，隨著信息技術(shù)的不斷發(fā)展，信息安全問題也日顯突出。如何確保信息系統(tǒng)的安全已成為全社會關(guān)注的問題。國際上對于信息安全的研究起步較早，投入力度大，已取得了許多成果，并得以推廣應用。中國已有一批專門從事信息安全基礎研究、技術(shù)開發(fā)與技術(shù)服務工作的研究機構(gòu)與高科技企業(yè)，形成了中國信息安全產(chǎn)業(yè)的雛形，但由于中國專門從事信息安全工作技術(shù)人才嚴重短缺，阻礙了中國信息安全事業(yè)的發(fā)展。信息安全專業(yè)是十分具有發(fā)展前途的專業(yè)。2

安全問題1、個人信息沒有得到規(guī)范采集

現(xiàn)階段，雖然生活方式呈現(xiàn)出簡單和快捷性，但其背后也伴有諸多信息安全隱患。例如詐騙電話、大學生“裸貸”問題、推銷信息以及人肉搜索信息等均對個人信息安全造成影響。不法分子通過各類軟件或者程序來盜取個人信息，并利用信息來獲利，嚴重影響了公民生命、財產(chǎn)安全。此類問題多是集中于日常生活，比如無權(quán)、過度或者是非法收集等情況。除了政府和得到批準的企業(yè)外，還有部分未經(jīng)批準的商家或者個人對個人信息實施非法采集，甚至部分調(diào)查機構(gòu)建立調(diào)查公司，并肆意兜售個人信息。上述問題使得個人信息安全遭到極大影響，嚴重侵犯公民的隱私權(quán)。3

2、公民欠缺足夠的信息保護意識

網(wǎng)絡上個人信息的肆意傳播、電話推銷源源不絕等情況時有發(fā)生，從其根源來看，這與公民欠缺足夠的信息保護意識密切相關(guān)。公民在個人信息層面的保護意識相對薄弱給信息被盜取創(chuàng)造了條件。比如，隨便點進網(wǎng)站便需要填寫相關(guān)資料，有的網(wǎng)站甚至要求精確到身份證號碼等信息。很多公民并未意識到上述行為是對信息安全的侵犯。此外，部分網(wǎng)站基于公民意識薄弱的特點公然泄露或者是出售相關(guān)信息。再者，日常生活中隨便填寫傳單等資料也存在信息被為違規(guī)使用的風險。3

3、相關(guān)部門監(jiān)管不力

政府針對個人信息采取監(jiān)管和保護措施時，可能存在界限模糊的問題，這主要與管理理念模糊、機制缺失聯(lián)系密切。部分地方政府并未基于個人信息設置專業(yè)化的監(jiān)管部門，引起職責不清、管理效率較低等問題。此外，大數(shù)據(jù)需要以網(wǎng)絡為基礎，網(wǎng)絡用戶較多并且信息較為繁雜，因此政府也很難實現(xiàn)精細化管理。再加上與網(wǎng)絡信息管理相關(guān)的規(guī)范條例等并不系統(tǒng)，使得政府很針對個人信息做到有理監(jiān)管。3

檢測網(wǎng)站網(wǎng)站安全檢測，也稱網(wǎng)站安全評估、網(wǎng)站漏洞測試、Web安全檢測等。它是通過技術(shù)手段對網(wǎng)站進行漏洞掃描，檢測網(wǎng)頁是否存在漏洞、網(wǎng)頁是否掛馬、網(wǎng)頁有沒有被篡改、是否有欺詐網(wǎng)站等，提醒網(wǎng)站管理員及時修復和加固，保障web網(wǎng)站的安全運行。4

**1、注入攻擊：**檢測Web網(wǎng)站是否存在諸如SQL注入、SSI注入、Ldap注入、Xpath注入等漏洞，如果存在該漏洞，攻擊者對注入點進行注入攻擊，可輕易獲得網(wǎng)站的后臺管理權(quán)限，甚至網(wǎng)站服務器的管理權(quán)限。4

**2、 XSS跨站腳本：**檢測Web網(wǎng)站是否存在XSS跨站腳本漏洞，如果存在該漏洞，網(wǎng)站可能遭受Cookie欺騙、網(wǎng)頁掛馬等攻擊。4

**3、網(wǎng)頁掛馬：**檢測Web網(wǎng)站是否被黑客或惡意攻擊者非法植入了木馬程序。4

4、緩沖區(qū)溢出檢測Web網(wǎng)站服務器和服務器軟件，是否存在緩沖區(qū)溢出漏洞，如果存在，攻擊者可通過此漏洞，獲得網(wǎng)站或服務器的管理權(quán)限。4

**5、上傳漏洞：**檢測Web網(wǎng)站的上傳功能是否存在上傳漏洞，如果存在此漏洞，攻擊者可直接利用該漏洞上傳木馬獲得WebShell。4

**6、源代碼泄露：**檢測Web網(wǎng)絡是否存在源代碼泄露漏洞，如果存在此漏洞，攻擊者可直接下載網(wǎng)站的源代碼。4

**7、隱藏目錄泄露：**檢測Web網(wǎng)站的某些隱藏目錄是否存在泄露漏洞，如果存在此漏洞，攻擊者可了解網(wǎng)站的全部結(jié)構(gòu)。4

**8、數(shù)據(jù)庫泄露：**檢測Web網(wǎng)站是否在數(shù)據(jù)庫泄露的漏洞，如果存在此漏洞，攻擊者通過暴庫等方式，可以非法下載網(wǎng)站數(shù)據(jù)庫。4

**9、弱口令：**檢測Web網(wǎng)站的后臺管理用戶，以及前臺用戶，是否存在使用弱口令的情況。4

**10、管理地址泄露：**檢測Web網(wǎng)站是否存在管理地址泄露功能，如果存在此漏洞，攻擊者可輕易獲得網(wǎng)站的后臺管理地址。4

網(wǎng)絡1、結(jié)構(gòu)安全與網(wǎng)段劃分

網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；根據(jù)機構(gòu)業(yè)務的特點，在滿足業(yè)務高峰期需要的基礎上，合理設計網(wǎng)絡帶寬。4

2、網(wǎng)絡訪問控制

不允許數(shù)據(jù)帶通用協(xié)議通過。4

3、撥號訪問控制

不開放遠程撥號訪問功能（如遠程撥號用戶或移動VPN用戶）。4

4、網(wǎng)絡安全審計

記錄網(wǎng)絡設備的運行狀況、網(wǎng)絡流量、用戶行為等事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關(guān)的信息。4

5、邊界完整性檢查

能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。4

6、網(wǎng)絡入侵防范

在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡蠕蟲攻擊等入侵事件的發(fā)生；當檢測到入侵事件時，記錄入侵源IP、攻擊類型、攻擊目的、攻擊時間等，并在發(fā)生嚴重入侵事件時提供報警（如可采取屏幕實時提示、E-mail告警、聲音告警等幾種方式）及自動采取相應動作。4

7、惡意代碼防范

在網(wǎng)絡邊界處對惡意代碼進行檢測和清除；維護惡意代碼庫的升級和檢測系統(tǒng)的更新。4

8、網(wǎng)絡設備防護

對登錄網(wǎng)絡設備的用戶進行身份鑒別；對網(wǎng)絡設備的管理員登錄地址進行限制；主要網(wǎng)絡設備對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別。4

主機1、身份鑒別

對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別。4

2、自主訪問控制

依據(jù)安全策略控制主體對客體的訪問。4

3、強制訪問控制

應對重要信息資源和訪問重要信息資源的所有主體設置敏感標記；強制訪問控制的覆蓋范圍應包括與重要信息資源直接相關(guān)的所有主體、客體及它們之間的操作；強制訪問控制的粒度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表/記錄、字段級。4

4、可信路徑

在系統(tǒng)對用戶進行身份鑒別時，系統(tǒng)與用戶之間能夠建立一條安全的信息傳輸路徑。4

5、安全審計

審計范圍覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計內(nèi)容包括系統(tǒng)內(nèi)重要的安全相關(guān)事件。4

6、剩余信息保護

保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間。4

能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；能夠?qū)χ匾绦蛲暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復的措施；操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。4

8、惡意代碼防范

安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；主機防惡意代碼產(chǎn)品具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫；支持防惡意代碼的統(tǒng)一管理。4

9、資源控制

通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；根據(jù)安全策略設置登錄終端的操作超時鎖定；對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況；限制單個用戶對系統(tǒng)資源的最大或最小使用限度；當系統(tǒng)的服務水平降低到預先規(guī)定的最小值時，能檢測和報警。4

數(shù)據(jù)庫數(shù)據(jù)庫信息安全檢測具有很強的系統(tǒng)性和綜合性，需要完善的安全機制才能確保相關(guān)能順利開展，才能及時發(fā)現(xiàn)數(shù)據(jù)庫信息中存在的問題。在計算機網(wǎng)絡系統(tǒng)應用時，需要高度重視數(shù)據(jù)庫信息安全檢測安全機制的構(gòu)建。5

安全隱患網(wǎng)絡環(huán)境中信息安全威脅有：1

1、假冒：是指不合法的用戶侵入到系統(tǒng)，通過輸入賬號等信息冒充合法用戶從而竊取信息的行為；1

2、身份竊取：是指合法用戶在正常通信過程中被其他非法用戶攔截；1

3、數(shù)據(jù)竊?。褐阜欠ㄓ脩艚孬@通信網(wǎng)絡的數(shù)據(jù)；1

4、否認：指通信方在參加某次活動后卻不承認自己參與了；1

5、拒絕服務：指合法用戶在提出正當?shù)纳暾垥r，遭到了拒絕或者延遲服務；1

6、錯誤路由；1

7、非授權(quán)訪問。1

安全指標1、保密性

在加密技術(shù)的應用下，網(wǎng)絡信息系統(tǒng)能夠?qū)ι暾堅L問的用戶展開刪選，允許有權(quán)限的用戶訪問網(wǎng)絡信息，而拒絕無權(quán)限用戶的訪問申請。6

2、完整性

在加密、散列函數(shù)等多種信息技術(shù)的作用下，網(wǎng)絡信息系統(tǒng)能夠有效阻擋非法與垃圾信息，提升整個系統(tǒng)的安全性。6

3、可用性

網(wǎng)絡信息資源的可用性不僅僅是向終端用戶提供有價值的信息資源，還能夠在系統(tǒng)遭受破壞時快速恢復信息資源，滿足用戶的使用需求。6

4、授權(quán)性

在對網(wǎng)絡信息資源進行訪問之前，終端用戶需要先獲取系統(tǒng)的授權(quán)。授權(quán)能夠明確用戶的權(quán)限，這決定了用戶能否對網(wǎng)絡信息系統(tǒng)進行訪問，是用戶進一步操作各項信息數(shù)據(jù)的前提。6

5、認證性

在當前技術(shù)條件下，人們能夠接受的認證方式主要有：一種是實體性的認證，一種是數(shù)據(jù)源認證。之所以要在用戶訪問網(wǎng)絡信息系統(tǒng)前展開認證，是為了令提供權(quán)限用戶和擁有權(quán)限的用戶為同一對象。6

6、抗抵賴性

網(wǎng)絡信息系統(tǒng)領域的抗抵賴性，簡單來說，任何用戶在使用網(wǎng)絡信息資源的時候都會在系統(tǒng)中留下一定痕跡，操作用戶無法否認自身在網(wǎng)絡上的各項操作，整個操作過程均能夠被有效記錄。這樣做能夠應對不法分子否認自身違法行為的情況，提升整個網(wǎng)絡信息系統(tǒng)的安全性，創(chuàng)造更好的網(wǎng)絡環(huán)境。6

防護策略1、數(shù)據(jù)庫管理安全防范

在具體的計算機網(wǎng)絡數(shù)據(jù)庫安全管理中經(jīng)常出現(xiàn)各類由于人為因素造成的計算機網(wǎng)絡數(shù)據(jù)庫安全隱患，對數(shù)據(jù)庫安全造成了較大的不利影響。例如，由于人為操作不當，可能會使計算機網(wǎng)絡數(shù)據(jù)庫中遺留有害程序，這些程序十分影響計算機系統(tǒng)的安全運行，甚至會給用戶帶來巨大的經(jīng)濟損失?；诖?，現(xiàn)代計算機用戶和管理者應能夠依據(jù)不同風險因素采取有效控制防范措施，從意識上真正重視安全管理保護，加強計算機網(wǎng)絡數(shù)據(jù)庫的安全管理工作力度。7

2、加強安全防護意識

每個人在日常生活中都經(jīng)常會用到各種用戶登錄信息，比如網(wǎng)銀賬號、微博、微信及支付寶等，這些信息的使用不可避免，但與此同時這些信息也成了不法分子的竊取目標，企圖竊取用戶的信息，登錄用戶的使用終端，將用戶賬號內(nèi)的數(shù)據(jù)信息或者資金盜取。更為嚴重的是，當前社會上很多用戶的各個賬號之間都是有關(guān)聯(lián)的，一旦竊取成功一個賬號，其它賬號的竊取便易如反掌，給用戶帶來更大的經(jīng)濟損失。因此，用戶必須時刻保持警惕，提高自身安全意識，拒絕下載不明軟件，禁止點擊不明網(wǎng)址、提高賬號密碼安全等級、禁止多個賬號使用同一密碼等，加強自身安全防護能力。7

3、科學采用數(shù)據(jù)加密技術(shù)

對于計算機網(wǎng)絡數(shù)據(jù)庫安全管理工作而言，數(shù)據(jù)加密技術(shù)是一種有效手段，它能夠最大限度的避免和控制計算機系統(tǒng)受到病毒侵害，從而保護計算機網(wǎng)絡數(shù)據(jù)庫信息安全，進而保障相關(guān)用戶的切身利益。數(shù)據(jù)加密技術(shù)的特點是隱蔽性和安全性，具體是指利用一些語言程序完成計算數(shù)據(jù)庫或者數(shù)據(jù)的加密操作。當前市場上應用最廣的計算機數(shù)據(jù)加密技術(shù)主要有保密通信、防復制技術(shù)及計算機密鑰等，這些加密技術(shù)各有利弊，對于保護用戶信息數(shù)據(jù)具有重要的現(xiàn)實意義。因此，在計算機網(wǎng)絡數(shù)據(jù)庫的日常安全管理中，采用科學先進的數(shù)據(jù)加密技術(shù)是必要的，他除了能夠大大降低病毒等程序入侵用戶的重要數(shù)據(jù)信息外，還能夠在用戶的數(shù)據(jù)信息被入侵后，依然有能力保護數(shù)據(jù)信息不出現(xiàn)泄露問題。需要注意的是，計算機系統(tǒng)存有龐大的數(shù)據(jù)信息，對每項數(shù)據(jù)進行加密保護顯然不現(xiàn)實，這就需要利用層次劃分法，依據(jù)不同信息的重要程度合理進行加密處理，確保重要數(shù)據(jù)信息不會被破壞和竊取。7

4、提高硬件質(zhì)量

影響計算機網(wǎng)絡信息安全的因素不僅有軟件質(zhì)量，還有硬件質(zhì)量，并且兩者之間存在一定區(qū)別，硬件系統(tǒng)在考慮安全性的基礎上，還必須重視硬件的使用年限問題，硬件作為計算機的重要構(gòu)成要件，其具有隨著使用時間增加其性能會逐漸降低的特點，用戶應注意這一點，在日常中加強維護與修理。例如，若某硬盤的最佳使用年限為兩年，盡量不要使用其超過四年。7

5、改善自然環(huán)境

改善自然環(huán)境是指改善計算機的灰塵、濕度及溫度等使用環(huán)境。具體來說就是在計算機的日常使用中定期清理其表面灰塵，保證在其干凈的環(huán)境下工作，可有效避免計算機硬件老化；最好不要在溫度過高和潮濕的環(huán)境中使用計算機，注重計算機的外部維護。7

6、安裝防火墻和殺毒軟件

防火墻能夠有效控制計算機網(wǎng)絡的訪問權(quán)限，通過安裝防火墻，可自動分析網(wǎng)絡的安全性，將非法網(wǎng)站的訪問攔截下來，過濾可能存在問題的消息，一定程度上增強了系統(tǒng)的抵御能力，提高了網(wǎng)絡系統(tǒng)的安全指數(shù)。同時，還需要安裝殺毒軟件，這類軟件可以攔截和中斷系統(tǒng)中存在的病毒，對于提高計算機網(wǎng)絡安全大有益處。7

7、加強計算機入侵檢測技術(shù)的應用

入侵檢測主要是針對數(shù)據(jù)傳輸安全檢測的操作系統(tǒng)，通過IDS（入侵檢測系統(tǒng)）入侵檢測系統(tǒng)的使用，可以及時發(fā)現(xiàn)計算機與網(wǎng)絡之間異?，F(xiàn)象，通過報警的形式給予使用者提示。為更好的發(fā)揮入侵檢測技術(shù)的作用，通常在使用該技術(shù)時會輔以密碼破解技術(shù)、數(shù)據(jù)分析技術(shù)等一系列技術(shù)，確保計算機網(wǎng)絡安全。7

8、其他措施

為計算機網(wǎng)絡安全提供保障的措施還包括提高賬戶的安全管理意識、加強網(wǎng)絡監(jiān)控技術(shù)的應用、加強計算機網(wǎng)絡密碼設置、安裝系統(tǒng)漏洞補丁程序等。7

安全防御技術(shù)1、入侵檢測技術(shù)

在使用計算機軟件學習或者工作的時候，多數(shù)用戶會面臨程序設計不當或者配置不當?shù)膯栴}，若是用戶沒有能及時解決這些問題，就使得他人更加輕易的入侵到自己的計算機系統(tǒng)中來。例如，黑客可以利用程序漏洞入侵他人計算機，竊取或者損壞信息資源，對他人造成一定程度上的經(jīng)濟損失。因此，在出現(xiàn)程序漏洞時用戶必須要及時處理，可以通過安裝漏洞補丁來解決問題。此外，入侵檢測技術(shù)也樂意更加有效地保障計算機網(wǎng)絡信息的安全性，該技術(shù)是通信技術(shù)、密碼技術(shù)等技術(shù)的綜合體，合理利用入侵檢測技術(shù)用戶能夠及時了解到計算機中存在的各種安全威脅，并采取一定的措施進行處理。8

2、防火墻以及病毒防護技術(shù)

防火墻是一種能夠有效保護計算機安全的重要技術(shù)，有軟硬件設備組合而成，通過建立檢測和監(jiān)控系統(tǒng)來阻擋外部網(wǎng)絡的入侵。用戶可以使用防火墻有效控制外界因素對計算機系統(tǒng)的訪問，確保計算機的保密性、穩(wěn)定性以及安全性。病毒防護技術(shù)是指通過安裝殺毒軟件進行安全防御，并且及時更新軟件，如金山毒霸、360安全防護中心、電腦安全管家等。病毒防護技術(shù)的主要作用是對計算機系統(tǒng)進行實時監(jiān)控，同時防止病毒入侵計算機系統(tǒng)對其造成危害，將病毒進行截殺與消滅，實現(xiàn)對系統(tǒng)的安全防護。除此以外，用戶還應當積極主動地學習計算機安全防護的知識，在網(wǎng)上下載資源時盡量不要選擇不熟悉的網(wǎng)站，若是必須下載則還要對下載好的資源進行殺毒處理，保證該資源不會對計算機安全運行造成負面影響。8

3、數(shù)字簽名以及生物識別技術(shù)

數(shù)字簽名技術(shù)主要針對于電子商務，該技術(shù)有效的保證了信息傳播過程中的保密性以及安全性，同時也能夠避免計算機受到惡意攻擊或侵襲等問題發(fā)生。生物識別技術(shù)是指通過對人體的特征識別來決定是否給予應用權(quán)利，主要包括了指紋、視網(wǎng)膜、聲音等方面。這種技術(shù)有著決定針對性，能夠最大程度地保證計算機互聯(lián)網(wǎng)信息的安全性，現(xiàn)如今應用最為廣泛的就是指紋識別技術(shù)，該技術(shù)在安全保密的基礎上也有著穩(wěn)定簡便的特點，為人們帶來了極大的便利。8

4、信息加密處理與訪問控制技術(shù)

信息加密技術(shù)是指用戶可以對需要進行保護的文件進行加密處理，設置有一定難度的復雜密碼，并牢記密碼保證其有效性。此外，用戶還應當對計算機設備進行定期的檢修以及為戶，加強網(wǎng)絡安全保護，并對計算機系統(tǒng)進行實時監(jiān)測，防范網(wǎng)絡入侵與風險，進而保證計算機的安全穩(wěn)定運行。訪問控制技術(shù)是指通過用戶的自定義對某些信息進行訪問權(quán)限設置，或者利用控制功能實現(xiàn)訪問限制，該技術(shù)能夠使得用戶信息被保護，也避免了非法訪問此類情況的發(fā)生。8：

5、病毒檢測與清除技術(shù)9

6、安全防護技術(shù)
包含網(wǎng)絡防護技術(shù)（防火墻、UTM、入侵檢測防御等）；應用防護技術(shù)（如應用程序接口安全技術(shù)等）；系統(tǒng)防護技術(shù)（如防篡改、系統(tǒng)備份與恢復技術(shù)等），防止外部網(wǎng)絡用戶以非法手段進入內(nèi)部網(wǎng)絡，訪問內(nèi)部資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的相關(guān)技術(shù)。9

7、安全審計技術(shù)
包含日志審計和行為審計，通過日志審計協(xié)助管理員在受到攻擊后察看網(wǎng)絡日志，從而評估網(wǎng)絡配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，并能為實時防御提供手段。通過對員工或用戶的網(wǎng)絡行為審計，確認行為的合規(guī)性，確保信息及網(wǎng)絡使用的合規(guī)性。9

8、安全檢測與監(jiān)控技術(shù)
對信息系統(tǒng)中的流量以及應用內(nèi)容進行二至七層的檢測并適度監(jiān)管和控制，避免網(wǎng)絡流量的濫用、垃圾信息和有害信息的傳播。9

9、解密、加密技術(shù)
在信息系統(tǒng)的傳輸過程或存儲過程中進行信息數(shù)據(jù)的加密和解密。9

10、身份認證技術(shù)
用來確定訪問或介入信息系統(tǒng)用戶或者設備身份的合法性的技術(shù)，典型的手段有用戶名口令、身份識別、PKI 證書和生物認證等。9

加密技術(shù)概述密碼學借助加密技術(shù)對所要傳送的信息進行處理，防止其它非法人員對數(shù)據(jù)的竊取篡改，加密的強度和選擇的加密技術(shù)、密鑰長度有很大的關(guān)系。10

發(fā)展歷程第一階段數(shù)據(jù)的安全主要依賴于算法的保密；第二階段主要依賴于密鑰的保密程度；第三階段數(shù)據(jù)加密取得了巨大的成就，通信雙方之間支持無密鑰的傳輸。10

現(xiàn)代密碼技術(shù)1、對稱加密又稱私鑰加密，即信息的發(fā)送方和接收方用同一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。對稱加密特點如下：10

（1）對稱加密的密碼算法思想是替代和代換，運算速快；10

（2）對稱加密的加、解密的密鑰一般相同或者通信雙方彼此很容易推出來；10

（3）密鑰是私密的，通訊雙方通訊之前要傳遞密鑰；10

（4）在通信雙方人數(shù)很多時，密鑰的管理很困難；10

（5）Feistel結(jié)構(gòu)是對稱加密的通用結(jié)構(gòu)，融合了擴散和混亂的基本思想?；靵y是用于掩蓋明文和密文之間的關(guān)系，使得密鑰和密文之間的統(tǒng)計關(guān)系盡可能繁雜，從而導致攻擊者無法從密文推理得到密鑰，擴散是指把明文的統(tǒng)計特征散布到密文中去，令明文每一位影響密文的多位的值。10

2、非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發(fā)布（即公鑰），另一個由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰并將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密后再發(fā)送給甲方，甲方再用自己保存的私鑰對加密信息進行解密。非對稱加密特點如下：10

（1）非對稱加密加密又被稱為“公開密鑰算法”，密鑰有公鑰和私鑰之分；10

（2）非對稱加密利用了單向陷門函數(shù)，易單向求值，若逆向變換則就需要依賴“陷門”，否則很難實現(xiàn)；10

（3）非對稱加密通信雙方之間不需要進行密鑰通信；10

（4）密鑰管理相對容易；10

（5）兩者都擁有一對密鑰。發(fā)送方利用接收方的公鑰加密信息后傳遞，接收方需要利用自己的私鑰才能解密得到信息。10

目標和原則目標所有的信息安全技術(shù)都是為了達到一定的安全目標，其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。11

保密性(Confidentiality)是指阻止非授權(quán)的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究內(nèi)容之一。更通俗地講，就是說未授權(quán)的用戶不能夠獲取敏感信息。對紙質(zhì)文檔信息，我們只需要保護好文件，不被非授權(quán)者接觸即可。而對計算機及網(wǎng)絡環(huán)境中的信息，不僅要制止非授權(quán)者對信息的閱讀。也要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者，以致信息被泄漏。11

完整性(Integrity)是指防止信息被未經(jīng)授權(quán)的篡改。它是保護信息保持原始的狀態(tài)，使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等，形成虛假信息將帶來嚴重的后果。11

可用性(Availability)是指授權(quán)主體在需要信息時能及時得到服務的能力?？捎眯允窃谛畔踩Ｗo階段對信息安全提出的新要求，也是在網(wǎng)絡化空間中必須滿足的一項信息安全要求。11

可控性(Controlability)是指對信息和信息系統(tǒng)實施安全監(jiān)控管理，防止非法利用信息和信息系統(tǒng)。

不可否認性(Non-repudiation)是指在網(wǎng)絡環(huán)境中，信息交換的雙方不能否認其在交換過程中發(fā)送信息或接收信息的行為。11

信息安全的保密性、完整性和可用性主要強調(diào)對非授權(quán)主體的控制。而對授權(quán)主體的不正當行為如何控制呢?信息安全的可控性和不可否認性恰恰是通過對授權(quán)主體的控制，實現(xiàn)對保密性、完整性和可用性的有效補充，主要強調(diào)授權(quán)用戶只能在授權(quán)范圍內(nèi)進行合法的訪問，并對其行為進行監(jiān)督和審查。11

除了上述的信息安全五性外，還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。信息安全的可審計性是指信息系統(tǒng)的行為人不能否認自己的信息處理行為。與不可否認性的信息交換過程中行為可認定性相比，可審計性的含義更寬泛一些。信息安全的可見鑒別性是指信息的接收者能對信息的發(fā)送者的身份進行判定。它也是一個與不可否認性相關(guān)的概念。11

原則為了達到信息安全的目標，各種信息安全技術(shù)的使用必須遵守一些基本的原則。

**最小化原則。**受保護的敏感信息只能在一定范圍內(nèi)被共享，履行工作職責和職能的安全主體，在法律和相關(guān)安全策略允許的前提下，為滿足工作需要。僅被授予其訪問信息的適當權(quán)限，稱為最小化原則。敏感信息的。知情權(quán)”一定要加以限制，是在“滿足工作需要”前提下的一種限制性開放?？梢詫⒆钚』瓌t細分為知所必須(need to know)和用所必須(need協(xié)峨)的原則。11

**分權(quán)制衡原則。**在信息系統(tǒng)中，對所有權(quán)限應該進行適當?shù)貏澐?，使每個授權(quán)主體只能擁有其中的一部分權(quán)限，使他們之間相互制約、相互監(jiān)督，共同保證信息系統(tǒng)的安全。如果—個授權(quán)主體分配的權(quán)限過大，無人監(jiān)督和制約，就隱含了“濫用權(quán)力”、“一言九鼎”的安全隱患。11

**安全隔離原則。**隔離和控制是實現(xiàn)信息安全的基本方法，而隔離是進行控制的基礎。信息安全的一個基本策略就是將信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實施主體對客體的訪問。11

在這些基本原則的基礎上，人們在生產(chǎn)實踐過程中還總結(jié)出的一些實施原則，他們是基本原則的具體體現(xiàn)和擴展。包括：整體保護原則、誰主管誰負責原則、適度保護的等級化原則、分域保護原則、動態(tài)保護原則、多級保護原則、深度保護原則和信息流向原則等。11

本詞條內(nèi)容貢獻者為:

閆曉東 - 副教授 - 中央民族大學信息工程學院