精华内容
下载资源
问答
  • 网络信息安全重要

    万次阅读 2018-08-15 11:39:01
    正如事情都具有两面性,互联网的便捷性给人们带来了负面问题,计算机病毒的侵害、信息泄露、网络欺诈等利用互联网的犯罪行为日益增多。 2.信息安全的内涵 网络出现前:主要面向数据的安全,对信息的机密性、完整性...

    一、信息安全技术概论

    1.网络安全的重要作用

    在互联网普及的初期,人们更关注单纯的连接性,以不受任何限制地建立互联网为最终目的。正如事情都具有两面性,互联网的便捷性给人们带来了负面问题,计算机病毒的侵害、信息泄露、网络欺诈等利用互联网的犯罪行为日益增多。

    2.信息安全的内涵

    网络出现前:主要面向数据的安全,对信息的机密性、完整性和可用性的保护,即CIA三元组;网络出现后,还涵盖了面向用户的安全,即鉴别,授权,访问控制,抗否认性和可服务性,以及对于内容的个人隐私、知识产权等的保护。

    基本特征

    • 保密性:信息不泄露给非授权的个人、实体和过程
    • 完整性:信息未经授权不能被破坏,插入,乱序或丢失
    • 可用性:合法用户在需要时可以访问到信息及相关资产
    • 可控性:授权机构对信息的内容及传播具有控制能力
    • 可审查性:在信息交流过程结束后,通信双方不能抵赖曾经做出的行为

    3.网络参考模型和安全体系结构

    安全体系结构

    (1)安全服务
    认证、访问控制、数据保密性、数据完整性
    (2)安全机制
    加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制、公证机制
    (3)安全管理
    系统安全管理、安全机制管理、安全服务管理

    4.信息安全保障体系的建设

    (1)信息保障的三要素:人、技术、操作,信息保障源于人员执行技术支持的操作,因此,要满足信息保障的目的,就要达到人、技术和操作三者之间的平衡。
    (2)信息保障技术框架
    一个中心、三重防御:安全管理中心,安全计算环境,安全区域边界,安全通信网络。
    (3)P2DR安全模型
    策略、防护、检测、防御。
    (4)纵深防御的基本思路
    多处设防、多层保卫。

    二、密码技术

    1、密码技术概述

    (1)密码学包括密码编码学和密码分析学
    (2)密码体制的组成

    • 全体明文集合M
    • 全体密文集合C
    • 全体密钥集合K
    • 加密算法E
    • 解密算法D

    以上描述的五元组称为一个密码体制,香农1949年奠定了密码学的理论基础。

    (3)密码技术的作用
    基本作用
    保密性:使非法用户无法知道信息的真实内容

    其他作用
    鉴别:信息接受者能够确认信息的真实来源
    完整性:信息的接受者能够验证信息在传输过程中没有发生改变
    不可否认:信息的发送方不能否认已经发送过的信息

    (4)计算复杂性理论
    密码技术的安全性
    可证明安全性:理论证明破解某个密码系统的代价不低于求解某个已知的数学难题。

    计算安全性:用已知的最好算法和利用现有的最大计算资源,仍然不能在合理的时间内完成破译该系统所需要的计算。
    可证明安全性和计算安全性统称为实际安全性。

    2、对称密码技术

    优点:实现速度快,密文紧凑,算法公开,应用广泛,固化成本低。

    缺点:密钥的分发与管理非常复杂,代价高,不能实现数字签名。
    典型技术:DES AES IDEA

    3、非对称密码技术

    优点:

    • 密钥分发简单
    • 需要密钥保存的密钥量少
    • 互不相识的人之间也能进行保密对话
    • 可以进行数字签名

    缺点:

    • 执行效率低,比同等强度的对称密码技术要慢10倍到100倍
    • 密文不紧凑,密文长度大于最初的明文长度

    主要技术:RSA,离散对数和ECC

    4、密钥分配和管理技术

    密钥分配:

    对称密钥分配:

    (1)集中式密钥分配方案
    由密钥分配中心KDC或者一组节点组成的层次结构负责密钥的分配给通信双方
    优点:用户不需要保存大量的会话密钥,只需要保存同KDC通信的加密密钥
    缺点:通信量大,要求具有较好的鉴别功能以鉴别KDC和通信方式。

    (2)分布式密钥分配
    各个通信方具有相同的地位,它们之间的密钥分配取决于它们之间的写上
    缺点:需要n(n-1)/2个主密钥。
    不适合规模较大的网络应用。

    非对称密钥分配

    (1)公钥的分配。
    【1】公开发布,缺点:伪造公钥,冒充他人。
    【2】公用目录,由一个可信任的系统或组织简历和管理维护公用目录,缺点:公用目录自身的安全性(一旦得到其私钥,就可以伪造公钥进行欺骗)。
    【3】公钥机构,由公钥管理结构来为各个用户简历、维护和控制动态的公用目录。
    【4】公钥证书,由授权中心CA颁发的,其中的数据项包括与该用户的私钥相匹配的公钥及用户的身份和时间戳等,所有数据经过CA用自己的私钥签字后形成证书。
    基于公钥证书的密钥分配方式。

    密钥管理技术:

    (1)密钥生成(随机数发生器)
    (2)密钥使用(严防密钥泄漏,及时更换密钥)
    (3)密钥存储(【1】无介质,【2】记录介质,【3】物理介质)
    (4)密钥的备份和恢复
    (5)密钥的销毁

    公钥基础设施PKI技术

    PKI是一个利用公钥密码理论和技术,在开放的Internet网络环境中建立起来的提供数据加密以及数字签名信息安全服务的基础设施。
    PKI的组成:软件系统+硬件系统+安全策略
    PKI系统包括:
    【1】权威认证机构CA
    【2】数字证书库
    【3】密钥备份及恢复系统
    【4】证书作废系统
    【5】应用接口API

    授权管理基础设施PMI技术

    PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。
    功能:向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,使用属性证书,表示和容纳权限信息。
    AC:属性证书 AA 属性权威。

    5、数字签名技术

    (1)最简单的数字签名,直接用私钥加密。
    (2)保密性的数据签名,采用双重公私钥加密机制。
    (3)基于数字指纹的解决方案,对指纹进行加密。

    数字签名算法:RSA DSA。

    6、信息隐藏技术

    利用人类感觉器官对数字信号的感觉冗余,将一个消息隐藏在另一个消息之中,实现隐藏通信和隐蔽标志。
    信息隐藏的分类:

    【1】隐藏信道,那些既不打算用来传输信息也不是专门设计的通信信道被成为隐藏信道,比如BMP描述像素的第四个字节
    【2】隐写术:一种将要加密的信息隐藏在大量其他信息之中的技术
    【3】匿名通信:指通信时隐蔽通信信息的主体(信息的信源和信宿)
    【4】版权标志:包括防伪标志和鲁棒的版权标志
    数字隐写术分类:

    【1】替换系统,使用秘密信息隐藏宿主的冗余信息部分
    【2】变换域技术:在信号的变换域中嵌入秘密信息
    【3】扩展频谱技术:利用信息扩频通信的原理来实现信息隐藏
    【4】失真技术:通过信号处理过程中的失真来保存信息,在机密时通过测量与原始信息载体的偏差以恢复秘密信息
    【5】载体生成方法:通过对信息进行编码以声称用于秘密通信的伪装载体,以隐蔽信息
    【6】统计方法:通过改装伪装载体的若干统计特性对信息进行编码,并在提取过程中使用假设检验发来达到恢复秘密信息。

    数字水印:

    是永久镶嵌在其他数据中具有可鉴别性的数字信号或模式,而且并不影响宿主数据的可用性。
    【1】空间域数字水印:通过改变某些像素的灰度,将需要隐蔽的信息嵌入其中,将数字水印直接加载到数据上
    特点:算法简单,速度快,易实现。几乎可以无损的恢复载体图像和水印信息,水印容易被移去,鲁棒性不强
    【2】变换域数字水印:通过改变频域的一些系统的值,采用类似扩频图像的技术来隐藏水印信息,可以嵌入大量数据而不会导致不可察觉的缺陷
    特点:有利于保证水印的不可见性;更方便有效地进行水印的编码;频域法可以与国际数据压缩标准兼容。

    三、访问控制&防火墙技术

    1、访问控制技术

    对系统资源的保护要求每一个访问请求都在控制下进行,保证只有合法授权的访问才能发生,这个过程称之为访问控制。
    访问控制的作用:机密性和完整性、可用性
    (1)两个基本理论模型

    【1】引用监控器

    访问控制依赖引用监控器进行主体对客体访问的控制,以决定主题是否有权对客体进行操作和进行何种操作。引用监控器查询授权数据库,根据系统安全策略进行访问控制的判断,同时将相应活动记录在审计数据库中。

    【2】访问矩阵
    访问矩阵模型描述了访问控制策略
    三元组(S,O,A) S是主体的集合,O是客体的集合,A是访问矩阵,矩阵A[S,O]是主体s在o上实施的操作
    访问矩阵的三种方法:访问控制列表,能力列表,授权表

    访问控制系统由主体、客体以及主客体属性组成。访问控制就是通过比较系统内主客体的相关属性来决策的

    (2)访问控制策略

    【1】自主访问控制DAC
    【2】强制访问控制
    【3】基于角色的访问控制

    (3)DAC和MAC的区别

    策略不同,自主访问控制策略中的主体一般是指用户,强制策略中的主体和用户之间是有区别的
    DAC存在的问题:
    【1】自主授权给用户权限管理带来隐患
    【2】没有严格区分已授权用户和执行授权的行为主体
    【3】授权管理工作量大,对用户权利的监控难度大
    【4】不利于在大规模应用总实施
    MAC的特点
    【1】相对DAC,更安全
    【2】不适合处理访问控制力度细的应用,适用于操作系统但不适用于数据库

    2、防火墙技术基础

    (1)防火墙的类型

    【1】数据包过滤路由器
    深入到系统的网络层和数据链路层之间,通过检查模块,防火墙能拦截和检查所有出站的数据
    优点:
    关键位置设置一个数据包过滤路由器就可以保护整个网络
    对网络管理员和应用程序的透明度较高
    多数路由器具有包过滤功能,网络管理员可以方便地在路由器中实现包过滤
    缺点:
    过滤规则比较复杂,缺乏规则的正确性自动检测工具
    过滤规则的增加会导致分析计算量的增加
    抗欺骗性能力不强
    【2】代理服务器
    让所有用户通过一台单一的设备访问外部网络,这台单一的设备就是代理服务器
    (2)不同防火墙的对比

    【1】工作层面
    包过滤:网络层
    应用层网关:应用层
    电路层网关:会话层与应用层
    包状态检查:网络层
    【2】对非法包的判断能力
    工作层次越高,对数据包的理解能力越好,对非法报的判断能力越高

    3、防火墙安全设计策略

    (1)传统边界防火墙技术的不足

    【1】网络应用收到结构性限制
    【2】内部安全隐患依然存在
    【3】效率较低,故障率高,由于边界式防火墙把检查机制集中在网络边界处的单点之上,造成网络的瓶颈和单点失效的隐患
    (2)分布式防火墙的优势

    【1】增强了系统安全性
    【2】提高了系统性能
    【3】提高了系统可扩展性
    【4】实施主机策略
    【5】应用更为广泛,支持VPN通信

    4、防火墙发展的新方向

    5、防火墙选择原则与常见产品

    四、入侵检测技术

    1、入侵检测的重要性和发展进程

    网络入侵是指任何视图破坏资源完整性、机密性和可用性的行为,包括用户对系统资源的误用

    2、入侵检测方法

    3、入侵检测系统

    入侵检测系统是对防火墙的必要补充,作为重要的网络安全工具,它可以对系统或网络资源进行实时监测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。
    (1)几种入侵检测系统的优缺点
    【1】集中型入侵检测系统
    优点:可以检测系统内部发生的攻击行为和可以活动,可管理性好,简单,易于实现
    缺点:网络负荷重,扩展性和鲁棒性差
    【2】层次化入侵检测系统
    优点:可实现对分布式入侵的检测,可管理型号,一定程度上提高了系统的可扩展性
    缺点:网络符合重,鲁棒性较差
    【3】完全分布式入侵检测系统
    优点:数据在本地处理,降低了网络符合,检测实时性好,可扩展性和鲁棒性好
    缺点:可管理性差,各个检测节点间的协作问题复杂,对分布式入侵检测的实施过程比较复杂

    4、入侵检测技术存在的问题

    (1)误报率、漏报率高
    (2)没有通用的构造方法
    (3)执行效率低
    (4)自身结构上存在安全隐患,鲁棒性和容错性不强
    (5)自我更新能力不强,规则集维护困难,系统缺乏灵活性
    (6)缺乏好的测试手段
    (7)对入侵的理解能力有限
    (8)系统响应能力有限

    5、新技术的研究与应用

    6、未来研究方向

    7、安全审计

    (1)CC准则中定义的安全审计
    【1】安全审计自动响应
    【2】安全审计数据生成
    【3】安全审计分析
    【4】安全审计浏览
    【5】安全审计时间存储
    【6】安全审计时间选择

    五、黑客与病毒防范技术

    “头号电脑黑客”–凯文 米特尼克

    1、计算机病毒的特征

    【1】人为的特制程序
    【2】具有自我复制能力
    【3】很强的感染性
    【4】一定的潜伏性
    【5】特定的触发性
    【6】较强的破坏性
    【7】不可预见性

    2、如何有效防范黑客和病毒攻击

    【1】安装自动补丁系统,及时给系统打补丁
    【2】安装杀毒软件,并及时更新
    【3】定期扫描系统
    【4】良好的网络访问和系统使用习惯
    【5】不要访问无名和不熟悉的网站

    展开全文
  • 计算机网络信息安全重要性 摘要当今社会是一个高...重要性 随着计算机网络技术的迅猛发展信息安全问题日益突出所谓信息安全逐渐成为一个综合性的多层面的问题所谓信息安全是指防止信息财产被故意的或偶然的非授权泄
  • 摘要现如今面对我国信息化时代的到来以及人们认知水平不断提升的时代大背景固有的工作模式处理越来越烦琐复杂的校内事宜...日益加深所面临的信息安全问题逐渐暴露于人们的视野作为信息化建设中不可忽视的重要问题之一
  • 随着Internet技术的飞速发展,电子商务也得到了迅速发展,然而信息安全对电子商务发展的瓶颈也日益严重,如何使双方协同发展,成为当前重要课题。本文从电子商务与信息安全的关系入手,剖析电子商务同信息安全发展的必然...
  • 高效率管理手段的日益成熟, 智能科技软硬件设施在单位全面发展中发挥着至关重要的作用网络信息共享和数字化的快速崛起给单位带来了更多的发展机会和较高的经济效益, 但与此同时, 各个单位也正在收到信息安全威胁产生...
  • 随着计算机互联网技术不断发展云计算时代的到来为推动行业发展提供了重要的技术支持通过打造一种优质高效安全的服务模式从而进一步提高了个体化服务水平促进了资源的深度开发和利用但是也可以看到在云计算时代背景下...
  • 信息安全风险评估规范 随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。 信息安全风险评估...
  • 网络日益渗透到社会生活的每一个角落,对于煤炭企业来说,它日益成为其重要的信息交换媒介。而信息安全隐患不可小觑,它与网络发展同在。文章主要围绕网络环境下煤炭企业信息安全及防护问题展开探析,进而确保煤炭企业的...
  • 国家标准象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要...在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中
  • 我看信息安全治理 ;...信息安全治理是落实解决信息安全问题方法论的重要途径;信息安全必须综合治理;信息安全必须服务于发展;信息安全问题的特点趋势及战略评估;我国信息化进程势头良好;我国信息安全
  • 随着大数据的日益成熟,信息安全显得更加额外重要,那么高校作为主要人才培养的摇篮,关于如何促进、培养信息安全人才培养起到至关重要的作用,通过竞赛的学习模式,达到“以赛促学”的方式提升学生的技能水平,培养...
  • 互联网背景下的服务外包信息安全管理策略 摘要互联网的高度开放性对信息安全的威胁日益严峻在服务外包过程中信息安全管理被视为最为核心的内容从数据保护的角度看信息安全重要的就是合同各方必须建立高度的信任...
  • 浅谈信息安全及解决方案

    千次阅读 2017-01-16 15:15:04
    随着信息技术的发展,随着市场竞争的激烈化与网络攻击技术的飞速发展,信息安全形势变得日益严峻。信息安全是信息社会的保障,而网络环境的开放性复杂性和多变性决定了信息安全的威胁长期客观存在。在信息攻防战中,...

    随着信息技术的发展随着市场竞争的激烈化与网络攻击技术的飞速发展,信息安全形势变得日益严峻。信息安全是信息社会的保障,而网络环境的开放性复杂性和多变性决定了信息安全的威胁长期客观存在。在信息攻防战中,信息系统内部的重要数据通常是攻击者发动攻击行为的目标,同时也是用户着力保护的对象,围绕数据机密性与完整性展开的安全保护工作逐渐成为信息安全建设的重心,同时是所有人要面对的一道重要命题。

    信息安全建设是一项复杂的系统工程,内容涵盖广泛,数据安全是其中较为重要的一个环节。国家标准《信息安全技术-信息系统安全等级保护基本要求》(GB/T 22239-2008)中明确指出,在基本安全要求中,技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。

    根据保护侧重点的不同,技术类安全要求分为数据保护、系统服务功能保护、通用安全保护三大类。其中数据保护是信息安全建设的重要目标和核心内容。保护数据,要保护数据的什么?我们必须清楚,保护数据就是要保护数据的机密性(C)、完整性(I)和可用性(A)。

    针对数据保护的CIA原则。举例一个线路数据保护的示例:


    首先,发送方与接收方共同约定一个相同的管理密钥。

    其次发送方在发送数据的时候,先通过随机算法产生一个随机密钥,利用随机密钥对明文数据进行加密,获得相应的密文数据。将随机密钥以及信息数据,用管理密钥对信息加密得到文件A。将文件A与密文拼接起来组成数据包发送给接收方。

    接收方收到发送方传送来的数据包后,将其拆分成文件A和数据密文两项。将文件A放入缓冲区,用接收方的管理密钥对密文包头进行解密,得到随机密钥、信息等数据。利用得到的随机密钥对密文数据进行解密,得到相应的明文数据。

    以上这种方案在线路交互过程中可以确保敏感数据在游走的过程中不会被泄露,实现动态的数据机密性与完整性保护功能,为系统及系统内重要数据的安全提供保障。由于目前信息安全形式日益严峻,在未来的路上需要我们不断探索不断进步,以确保未来在信息攻防战中,能确确实实做到保护重要数据的机密性,完整性和可用性。


    展开全文
  • 随着城市人口的快速增长,交通问题日益凸显,智能网联汽车构建的...速推进,暴露出的安全问题益增多,其中,信息安全对于保障智能化交通体系的正常高效运行起着至关重要的 作用,并成为智能网联汽车发展中的重要议题。
  • 浅析网络信息安全 摘要随着世界科学技术的迅猛发展和信息技术的广泛应用特 别是我国国民经济和社会信息化进程的全面加快网络与信息系统的 基础性全局性作用日益增强信息网络已成为国家和社会发展新的 重要战略资源...
  • 网络信息安全的现状及防护 摘要:随着现代网络信息技术的发展,计算机网络逐渐成为人们生活和工作中不可或缺的组成部分人们越来越依赖网络,信息安全问题日益突显,大量的信息存储在网络上,随时可能遭到非法入侵,存在着...
  • 在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加 导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统 和网络的安全的OECD 指南)。信息可以以多种形式存在。它...
  • 当前, 发展壮大网络与信息安全产业的需求日益迫切。一方面, 国际网络空间的竞争博弈日趋激烈,安全产业是否壮大已经成为衡 量国家网络安全综合实力的重要标准。 另一方面,“互联网+”融合 创新的新业态使得各关键...
  • 信息安全简答题

    千次阅读 2020-12-28 11:57:49
    一、区块链技术在网络与信息安全领域的应用 ...区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着密切的联系,可以用来解决该领域的一些问题,例如攻击防御、数据保护、隐私保护、身份认证..

    一、区块链技术在网络与信息安全领域的应用

    1.1区块链概念

    在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改和可追溯的块链式数据结构,实现和管理事务处理的模式。区块链本质上是一个去中心化的数据库,通过其独特的技术设计和数据管理方式,可以支撑不同领域的多方协作。区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着密切的联系,可以用来解决该领域的一些问题,例如攻击防御、数据保护、隐私保护、身份认证、崩溃恢复等。但区块链作为新技术在许多方面尚未成熟,多数的应用仍处于研究和发展阶段,运行成本较高,现阶段的用途和效果可能存在夸大和炒作的情况,实现技术优化和更好的应用仍是需要研究的重要课题。

    1.2区块链的核心技术

    区块链的核心技术中共识机制、数据存储、网络协议、加密算法、隐私保护和智能合约等6类公认的区块链核心技术发展活跃,不断取得新的进展。此外,跨链、分片等技术进展较快,也已逐渐成为新的核心技术方向。

    1.2.1共识机制

    共识机制指的是群体或组织达成和维护共识的方式。区块链作为分布式记账技术,没有一个中心来指挥协调多方之间的协作,就必须有一个共识机制来解决谁有权写入数据和如何进行同步数据的问题。常用的共识机制主要有PoW工作量证明、PoS 权益证明、DPoS 委托权益证明、Paxos 算法、PBFT实用拜占庭容错算法、dBFT授权拜占庭容错算法等。

    1.2.2数据存储

    区块链中每一个区块记录了创建期间所有的交易信息,按时间顺序逐个先后生成并连接成链。每个区块都指向前一个区块,形成链表。区块分为区块头和区块体两部分。区块头存储着区块的多项特征值,包含上一个区块的哈希值、本区块体的哈希值以及时间戳等等。区块体中记录了该区块存储的交易数量以及交易数据。

    1.2.3网络协议

    区块链在网络层一般采用P2P协议,由多个节点组成网络结构,节点之间处于对等的地位且共享资源,既可以是资源的提供者,也可以资源的接受者。P2P 网络结构是扁平化的拓扑结构,节点相互之间没有层次之分。不同的区块链系统往往有其独特的P2P网络协议。

    1.2.4加密算法

    区块链中用到的密码学算法主要有两大类:哈希算法和非对称加密算法。哈希算法是将任意长度的字符串映射为较短的固定长度的字符串。其确定性、高效性使得去中心化的计算能够实现,其对输入的敏感性和抗原像攻击对区块链系统的安全性有很大帮助,被广泛地用于构建区块和确认交易的完整性。非对称加密技术的加密和解密过程使用的是一对不同的密钥:公开密钥和私有密钥。交换信息时使用一方的公钥或私钥加密,则需对应的私钥或公钥才能解密。非对称加密在区块链中有数据加密和数字签名等用途。

    1.2.5隐私保护

    目前区块链上传输和存储的数据都是公开可见的。为了达到匿名效果,通常以一串无意义的数字作为组织或个人的代号,通过该代号的表面信息无法将其对应到某一个具体对象的真实身份。但这样的保护并非完美,通过一°些手段还是可以追查到帐户和交易的关联性。想要加强区块链的隐私保护,可以采用混币、环签名、同态加密、零知识证明等方式。

    1.2.6智能合约

    智能合约是一种特殊协议,旨在提供、验证及执行合约,可以由一个计算系统自动执行。其最大的优势是利用程序算法替代人仲裁和执行合同。区块链可以实现去中心化的重要原因之一是智能合约,使得进行可追溯、不可逆转和安全的交易时可以不依赖第三方。

    1.2.7跨链

    区块链的链与链之间存在高度异构化,每一个单独的区块链网络都是-一个相对独立的网络,数据信息不能做到互通互联。不同的区块链网络之间协作的难度大,极大地限制了区块链应用的发展。跨链可以理解为一种协议,解决两个或多个不同链上的资产以及功能状态可以互相传递、转移、交换的难题。跨链的存在,不仅是增加了区块链的可拓展性,还可以解决不同区块链之间交易困难产生的信息孤岛问题。

    1.2.8分片

    分片是数据库设计中的一个概念,将较大的数据库分成更小、更快、更容易管理的部分,实现扩容并提高性能。可以将分片的思想运用到区块链网络中,将一个大任务拆分为多个可以并行处理的小任务,从而提升性能。将网络中的工作分摊给所有参与的节点,通过使用多个网络设备来获得平行处理转账的功能,进行分片处理。将网络分割为碎片可以使得更多的交易同时被处理和验证。

    1.3区块链技术在网络与信息安全领域的应用

    区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着本质的联系,提供了一种完全不同的方法来存储信息、进行交易、执行功能和建立信任,可以用来解决网络与信息安全领域的某些问题。

    1.3.1支持更安全的DNS架构

    区块链中的交易一旦被确认,不容易被篡改。可以利用该特性将域名和P地址对应关系的操作记录在区块链中,在全网达成共识,不可篡改,形成交易记录,完美地保存域名服务器信息。使用去中心化的区块链技术的域名服务器比传统的中心化域名服务器更安全,能支持域名管理,防止域名服务器缓存投毒。

    1.3.2 缓解DDoS攻击

    分布式拒绝服务攻击(DDoS 攻击)将多个计算机联合起来作为攻击平台来发动攻击,通过大量合法的请求,大规模消耗目标网站的主机资源,使被攻击的对象无法正常提供服务。区块链技术允许用户加入分布式网络,从而缓解DDoS攻击。此外,还可通过出租额外带宽,以支持那些流量过载的网络。

    1.3.3保护边缘计算设备

    由于边缘计算的网络体系和网络环境庞杂,要想为分散布局的边缘计算设备设置有效的隔离保护,增加的大量网络隔离设备会带来成本和工作量的压力。但若不防护,边缘计算设备一旦被入侵或者攻击,会渗透到整个网络。此外,如果边缘计算中的终端设备没有身份认证体系,攻击者可以随意接入恶意终端来传播病毒或恶意软件,也会导致网络瘫瘓,影响生产和生活。通过区块链技术可以很好解决以上问题。区块链技术可以通过给边缘计算不同域及终端设备分发数字证书,控制功能权限和数据权限,提供更安全的运算与存储环境。区块链技术也可以为边缘计算中的终端设备提供身份认证体系。在进行边缘计算和数据上传前,首先要进行身份验证,之后才能传输数据。

    1.3.4数据保护

    区块链构建分布式账本不可篡改,能够通过加密和权限控制等技术保障数据的机密性、完整性、可用性。区块链对数据的完全加密可以确保这些数据在传输过程中不会被未授权的用户访问。使用分布式记账技术对文件进行签名,来代替传统的签名方式,使得攻击者几乎不可能伪造和窃取数据。区块链可以被视为一条存储数据的链条,环环紧扣。每当加入新的一环,前一环中数据的特征值将被记录在新的环节上。只要验证对应某一环与前后两环的特征值,就可以判断原始信息是否被篡改。

    1.3.5与PKI结合提高安全性

    目前标准的加密技术是基于公钥基础设施(PKI)的,主要依赖于中心化、受信任的第三方认证机构(CA)来发放、激活和存储用户证书。如果黑客攻击了这些第三方认证机构,就可以伪造成CA欺骗用户身份并破解加密通信。在区块链中依靠非对称加密技术,对用户的身份信息进行高度加密,发放密钥来鉴别对方的真实身份,一旦信息经过验证并添加至区块链,采用去中心化的管理方式,不容易篡改,理论上来说可以大大提高数字证书的安全性。

    1.3.6隐私保护

    区块链技术可以通过分布式结构、可追溯性、匿名性来实现隐私保护。在区块链中,用户的隐私数据是随机发布在分布式账本中的,攻击者无法通过入侵单一节点来收集到用户的所有数据,能最大限度地防止数据泄露。区块链的可追溯特性使得数据从采集、交易、流通到计算分析的每步记录都可以留存在区块链上,不容易被篡改。在区块链技术中,各节点之间的数据交换基于地址而非个人身份,交易双方采取匿名方式就能交易,因此大部分个人隐私信息都不会暴露。

    1.3.7崩溃恢复

    区块链上的数据分布在对等节点之间。不同于传统数据库中所有数据都存储在中心位置,区块链上的每个用户有权生成并维护数据的完整副本。虽然造成数据冗余,但大大提高了可靠性,增加了网络的容错性。如果某些节点受到攻击,不会对其余部分网络造成损害,也容易实现崩溃恢复。

    1.4

    运用区块链技术可以解决一些网络与信息安全领域的问题,例如攻击防御、数据保护、隐私保护、身份认证、崩溃恢复等。但其作为新技术,在稳定性、安全性、业务模式、经济评价等方面尚未成熟,多数的应用仍处于研究和发展阶段,运行成本较高。现阶段的用途和效果可能存在夸大和炒作的情况,如何实现技术优化和更好的应用仍是需要研究的重要课题。

    二、大数据背景下的网络信息安全控制的研究

    2.1大数据

    2.1.1大数据的概念

    20 世纪 80 年代,美国著名学者阿尔文·托夫勒在《第三次浪潮》中提出了“大数据”(Big Data)的概念。大数据是指以计算机技术为基础的规模庞大、无法用当前常规数据处理方法实现有效、及时的提取、储存、分析、搜索以及处理等操作的数据。大数据的出现也在表明,当今的信息技术框架和数据处理模式,已经与过去的情形完全不同,当前的数据信息处理模式要求能够更加经济、高效、智能地从海量信息以及多样化类型的数据中找到可利用价值。

    2.1.2大数据的特点

    (1)Volume 表示大数据规模巨大、数据量多的特性。在描述大数据时,常见的

    GB 或者 TB 的数据储存单位已经无法再适用,而是通过 PB(1024TB)、EB(1024PB)甚至 ZB(1024EB)进行储存。国际互联网数据中心 IDC 预测,2020 年全球互联网数据量将达到 35ZB。因此,大数据的特点之一就是数据规模庞大。

    (2)Variety 表示大数据的数据结构多样化,数据类型复杂多变,不但包括常规的计算机处理的结构型数据,同时也包括大量的视频、文字、音频以及图片等非结构化的数据信息。互联网数据分布具有自身的特点,再加上云计算、物联网等技术平台的不断完善,信息数据的来源逐渐向多样化趋势发展,互联网数据来源逐渐增多。主要的数据来源有以下几个方面:海量的互联网终端用户在多种互联网应用中传递、应用图片、文字、音频、视频等多种类型的数据信息;各种互联网设备以及多种信息管理系统在运作过程中产生各种数据库、文件、操作日志、审计等等信息数据;近些年兴起的物联网信号采集设备和传感设备,例如智能医疗设备所产生的各种生命特征数据、天文望远镜产生的大量天文观测相关的信息数据等。

    1. Value 表示大数据具有价值密度低的特性。因为大数据虽然拥有庞大的数据量,但是对决策产生有利作用的信息和数据是有限的,需要进行有效地挖掘。相对有限的价值量除以巨大的数据基数,就使得大数据形成了价值密度低的又一特点。需要强调的是,价值密度低并不代表没有价值,而是强调大数据的价值需要利用更精密的算法进行更进一步的数据挖掘才能体现,这对数据处理技术提出了新的要求。
    2. Velocity 表示大数据的数据信息处理速度快的特性。因为大数据数量巨大,从中提取有效信息成为大数据发挥作用的关键,因此对数据传递和处理的速度要求也大大提升。并且大数据所催生的信息产业瞬息万变,因此要求大数据处理过程能及时快速的响应变化,对数据的分析也要快速,因此数据处理速度快将为大数据时代处理数据的一个最显著的特点。
    3. Complexity 表示大数据复杂性的特征。数据量的庞大和数据类型的繁多都成为大数据复杂特征的原因,在当前环境下,大数据的智能处理和分析成为体现大数据价值的关键步骤,大数据的复杂性已经成为其处理与分析过程中必须应对的问题。

    2.2大数据背景下网络信息安全存在的问题及成因分析

    2.2.1网络信息安全面临的挑战

    1.日益严重的计算机病毒的形成

    以“震荡波”病毒为例,“震荡波”(Sasser)病毒利用微软公布的 Lsass漏洞进行传播,通过Windows2000/XP 等操作系统,开启上百个线程去攻击其他网上用户,造成机器运行缓慢、网络堵塞。利用病毒,木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。

    2.愈发严重的网络黑客攻击

    网络黑客(Hacker)是专业进行网络计算机入侵的人员,通过入侵计算机网络窃取机密数据和盗用特权,或进行文件破坏,或使系统功能得不到充分发挥直至瘫痪。从世界范围看,黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。黑客就是利用网络安全的漏洞,尝试侵入其聚焦的目标。

    2.2.2网络信息安全面临的问题成因分析

    1. 技术层面的问题:网络通信线路和设备的缺陷以及软件存在漏洞和后门。网络通信线路和设备缺陷包括电磁泄漏、设备监听、终端接入和网络攻击。软件存在漏洞和后门包括网络软件的漏洞被利用、软件病毒入侵和软件端口未进行安全限制。
    2. 人员层面的问题:网络信息安全存在的问题离不开人员的控制和影响。从系统使用人员的角度上出发,系统使用人员保密观念不强,关键信息没进行加密处理,密码保护强度低和文档的共享没有经过必要的权限控制;从技术人员的角度上出发,技术人员因为业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施;从专业人员的角度上出发,专业人员利用工作之便,用非法手段访问系统,非法获取信息;从不法人员的角度上出发,不法人员利用系统的端口或者传输的介质,采用监听、捕获、破译等手段窃取保密信息。所以,人员层面是严重危害和影响网络信息安全的关键主体。
    3. 管理层面的问题:网络安全管理可以有效提高网络安全系数,保护用户的个人信息及电脑中的重要数据信息,但由于管理层面上的问题,也导致网络信息安全的问题的产生。首先,安全管理制度不健全,缺乏完善的制度管理体系,管理人员对网络信息安全重视不够;其次,监督机制不完善,技术人员有章不循,对安全麻痹大意,缺乏有效地监管;再次,教育培训不到位。对使用者缺乏安全知识教育,对技术人员缺乏专业技术培训。

    2.3大数据背景下网络信息安全控制要素分析

    2.3.1人员

    1. 网络控制人员:网络用户构成网络信息安全管理工作的又一管理对象群体。网络用户并不是孤立存在的,而是处于相互连接的系统中。网络用户的信息行为是影响网络信息安全的重要因素之一,不安全的操作行为会在不经意间暴露个人隐私信息,且由于是网络用户的主观行为,使得追责工作难以有效取证。
    2. 网络安全管理者:首先要明确的是,作为网络信息安全管理者,必须具备较高的网络信息安全素养,尤其是在信息量剧增的大数据时代,海量数据对网络信息安全工作的影响已见端倪,在数据存储、数据挖掘、数据过滤等方面均面临挑战。网络信息安全管理者的信息安全素养是指管理工作人员积极适应网络信息安全管理活动职业所需要的和信息环境变化(如大数据环境)所要具备的有关信息安全方面的知识、能力和文化修养。只有具备较高的网络信息安全意识,才能从根本上明确网络信息安全工作的重要性,才能为掌握必须的安全工作技能与技术打下坚实的基础。

    2.3.2环境

    1. 网络设施:互联网的正常运行离不开网络设施的正常运转与维护,在大数据背景下,物联网、云计算、三网融合等 IT 与通信技术的迅猛发展,对现有 IT 架构的处理和计算能力提出了挑战,目前大数据的数据处理规模能够从 TB 级上升到 PB、EB级,因而如何降低数据存储成本,如何充分地利用计算资源,并且提高系统并发吞吐率,如何支持分布式的非线性迭代算法的优化,成为升级和维护网络设施的重要难题。大数据背景下,如何构建海量数据的存储与管理体系,挖掘和计算体系以及网络平台及其应用是保障网络信息安全的基础。
    2. 网络文化:在信息技术高速发展的今天,网络文化由一种草根文化,被逐步引导而向高级文化发展,在社会生活中逐渐起到不可忽视的作用。作为大数据背景下传播速度最快的文化形式,网络文化与网络信息安全息息相关。网络文化尤其以社交网络中的形式为典型,社交网络拥有庞大的用户群,能够产生巨大的用户信息量。社交网络的社会交互性使得用户的个人信息很大程度上处于公开透明的状态,而且,热点信息会在短时间内吸引众多的关注并且以病毒式营销的方式迅速传播,因此网络暴力等网络信息安全问题容易出现。因此,健康的网络文化会促进网络信息安全工作的进行,相反,不健康的网络文化则会引发相应的网络安全问题。
    3. 政策与法规:我国现有的政策制度和法律法规大多存在原则性强、实际执行操作性差的问题,在大数据背景下,无法切实对网络信息行为进行有效地规范,对网络信息和数据的保护力度也不够大。需要明确在网络环境中,政策与法规的强制力作用是保障网络信息安全的有效外在动力,是网络信息安全控制机制正常运行的有效保障。

    2.3.3技术

    1. “防”——防火墙技术:“防火墙”是位于内部网络与外部网络间的网络安全系统,是在两个网络通讯时执行的一种访问控制,属于网络通信监控系统范畴。“防火墙”被建立在网络边界上,具有对计算机网络安全进行保障的功能,既可以用软件产品体现,又可以在某种硬件产品上制作或嵌入。通常防火墙构成为软件系统和硬件设备的组合,在内部网络和外部网络间把安全的保护屏障构建起来。立足逻辑视角看防火墙,其作用体现为分隔和限制以及分析;就网络安全策略组成而言,防火墙可以借助对网络间信息交换和访问行为的控制与监测,效管理网络安全。在网络安全保护实施中,防火墙处于核心地位。防火墙是连接所有内部网和外部网的必经之路,检查和连接在此进行,只通过被授权的通信。防火墙基于一定条件具备隔离内部网络与外部网络功能,并对非法入侵和对系统资源非法使用具有防止的作用。
    2. “密”——数据加密技术: 在不断发展和创新的科技背景下,不断的更新与改进加密技术才能使当下网络信息安全保障需要得以满足。对称加密和非对称加密是加密技术被划分的两种类型。对称加密就是以相同密钥进行加密和解密,目前是使用最为广泛的加密技术,典型的 SessionKey 就是美国政府使用的数据加密标准(DES)。反之,非对称加密(公开或私有密钥)技术就是在加密和解密上使用不同密匙,其中能够对外公布公钥,私人持有私钥,因而数据的安全性具有保障。为了保密传输的数据,加密和解密数据环节必不可少。加密就是把明文数据转化为特定的密码算法,使其达到不易辨认的程度,某一明文可依靠不同密钥和相同算法进行加密,形成不相同的密文。解密就是把密文数据依靠密钥进行转化,形成明文数据过程。
    3. “控”——入侵检测技术与网络监控技术:入侵检测系统就是识别和处理恶意使用计算机和网络资源行为的系统。外部入侵系统行为和没有授权的内部用户行为是其处理的主要内容。入侵检测系统是能够对系统中没有授权现象及时发现并报告的技术,其目的是为计算机系统安全提供保障,入侵检测系统包括入侵检测软件与硬件两部分。网络监控,是针对局域网内的计算机进行监视和控制。在大数据背景下,互联网的使用呈现出越来越普遍的情况,网络监控技术的使用也越发频繁。监控软件与监控硬件是网络监控产品的主要类型。
    4. “审”——安全审计技术:计算机网络安全审计就是以一定的安全策略为指导依据,以记录的系统活动等信息为依托,对事件的环境及活动进行检查和审查以及检验等操作,从而把系统漏洞和入侵行为找出,使系统性能改善的技术,也是针对系统安全风险进行审查评估并实施相应措施过程,是系统安全性提高的重要途径。安全审计的主要作用和目的如下:
    • 具有威慑和警示可能存在的潜在攻击者功能,风险评估是核心。
    • 对系统的控制情况进行测试,进而及时调整,达到与安全策略和操作规程实现协调一致目的。
    • 评估已经出现的破坏事件,从而为灾难恢复和责任追究提供有效依据。
    • 评价和反馈系统控制和安全策略以及变更规程,从而为决策和部署的修订带来便利。
    • 发挥使系统管理员对网络系统入侵或对潜在漏洞及时发现的协助作用。

    (创作不易,欢迎您的意见和建议,感谢支持♥♥♥)

     
    展开全文
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、...
      
    

    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。

    信息安全

      是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

      其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。

      信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

      关于这一部分的具体介绍,详见信息安全专业

    重要性

      

      

    积极推动信息安全等级保护

    信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。

      我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船侦察机卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我国通信传输中的信息。

      从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把

      

    信息安全策略

    [1]

    日益繁多的事情托付给计算机来完成 ,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。

      传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。

    编辑本段主要威胁

      信息安全的威胁来自方方面面,不可一一罗列。但这些威胁根据其性质,基本上可以归结为以下几个方面:

      (1) 信息泄露:保护的信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      

    现代密码学宗师——肖国镇

    (3) 拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。

      (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (11)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为类似病毒,故称作计算机病毒。

      (12)信息安全法律法规不完善:由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。

    实现目标

      ◆ 真实性:对信息的来源进行判断,能对伪造来源的信息

      

    信息安全相关书籍

    予以鉴别。

      ◆ 保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。

      ◆ 完整性:保证数据的一致性,防止数据被非法用户篡改。

      ◆ 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。

      ◆ 不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。

      ◆ 可控制性:对信息的传播及内容具有控制能力。

      ◆ 可审查性:对出现的网络安全问题提供调查的依据和手段

    安全威胁

      (1) 信息泄露:信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      (3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。

      

    信息安全

    (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。

      (11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。

      (12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。

      (14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。

      (15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。

      (16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。

      (17)物理侵入:侵入者绕过物理控制而获得对系统的访问。

      (18)窃取:重要的安全物品,如令牌或身份卡被盗。

      业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等

    主要来源

      ◆ 自然灾害、意外事故;

      ◆ 计算机犯罪

      ◆ 人为错误,比如使用不当,安全意识差等;

      ◆ "黑客" 行为;

      ◆ 内部泄密;

      ◆ 外部泄密;

      ◆ 信息丢失;

      ◆ 电子谍报,比如信息流量分析、信息窃取等;

      ◆ 信息战

      ◆ 网络协议自身缺陷,例如TCP/IP协议的安全问题等等。

      ◆ 嗅探,sniff。嗅探器可以窃听网络上流经的数据包。

    编辑本段安全策略

      信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      ◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;

      ◆ 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;

      ◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

    主要问题

      ◆ 网络攻击与攻击检测、防范问题

      ◆ 安全漏洞与安全对策问题

      ◆ 信息安全保密问题

      ◆ 系统内部安全防范问题

      ◆ 防病毒问题

      ◆ 数据备份与恢复问题、灾难恢复问题

    编辑本段技术简介

      目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:

      ◆ 用户身份认证:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。

      ◆ 防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈

      ◆网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料[2]。网络安全隔离与防火墙的区别可参看参考资料[3]。 ◆ 安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

      ◆ 虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。

      ◆ 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。

      ◆ 电子签证机构--CAPKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。

      ◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。

      ◆ 入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。

      ◆ 入侵防御系统(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。

      ◆ 安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      信息安全服务

      信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作

    安全问题

      电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全

      (一)计算机网络安全的内容包括:

      (1)未进行操作系统相关安全配置

      不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。

      (2)未进行CGI程序代码审计

      如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

      (3)拒绝服务(DoS,Denial of Service)攻击

      随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。

      (4)安全产品使用不当

      虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。

      (5)缺少严格的网络安全管理制度 

      网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

      (二)计算机商务交易安全的内容包括:

      (1)窃取信息

      由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

      (2)篡改信息

      当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

      (3)假冒

      由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

      (4)恶意破坏

      由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

    安全对策

      电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。

      1.计算机网络安全措施

      计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

      (一)保护网络安全。

      网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:

      (1)全面规划网络平台的安全策略。

      (2)制定网络安全的管理措施。

      (3)使用防火墙。

      (4)尽可能记录网络上的一切活动。

      (5)注意对网络设备的物理保护。

      (6)检验网络平台系统的脆弱性

      (7)建立可靠的识别和鉴别机制。

      (二)保护应用安全。

      保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。

      由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。

      虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

      (三)保护系统安全。

      保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:

      (1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。

      (2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。

      (3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。

      2.商务交易安全措施

      商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。

      各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。

      (一)加密技术。

      加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。

      (1)对称加密。

      对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。

      (2)非对称加密。

      非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。

      (二)认证技术。

      认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。

      (1)数字签名。

      数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。

      (2)数字证书。

      数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。

      (三)电子商务的安全协议。

      除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。

      (1)安全套接层协议SSL。

      SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。

      (2)安全电子交易协议SET。

      SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。

      SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。

    工程监理

      信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。

      信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。

    编辑本段技术对比

    1. 信息安全法规、政策与标准

      1)法律体系初步构建,但体系化与有效性等方面仍有待进一步完善信息安全法律法规体系初步形成。

      据相关统计,截至2008年与信息安全直接相关的法律有65部,涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,从形式看,有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时,与信息安全相关的司法和行政管理体系迅速完善。但整体来看,与美国、欧盟等先进国家与地区比较,我们在相关法律方面还欠体系化、覆盖面与深度。缺乏相关的基本法,信息安全在法律层面的缺失对于信息安全保障形成重大隐患。

      2)相关系列政策推出,与国外也有异曲同工之处从政策来看,美国信息安全政策体系也值得国内学习与借鉴。美国在信息安全管理以及政策支持方面走在全球的前列:

      一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;

      二是形成了军、政、学、商分工协作的风险管理体系;

      三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。

      3)信息安全标准化工作得到重视,但标准体系尚待发展与完善信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。

      我国信息技术安全标准化技术委员会(CITS)主持制定了GB系列的信息安全标准对信息安全软件、硬件、施工、检测、管理等方面的几十个主要标准。但总体而言,我国的信息安全标准体系目前仍处于发展和建立阶段,基本上是引用与借鉴了国际以及先进国家的相关标准。因此,我国在信息安全标准组织体系方面还有待于进一步发展与完善。

    2.信息安全用户意识与实践

      1) 信息安全意识有待提高

      与发达国家相比,我国的信息安全产业不单是规模或份额的问题,在深层次的安全意识等方面差距也不少。而从个人信息安全意识层面来看,与美欧等相比较,仅盗版软件使用率相对较高这种现象就可以部分说明我国个人用户的信息安全意识仍然较差。包括信用卡使用过程中暴露出来的签名不严格、加密程度低,以及在互联网使用过程中的密码使用以及更换等方面都更多地表明,我国个人用户的信息安全意识有待于提高。

      2)信息安全实践过程有待加强管理

      信息安全意识较低的必然结果就是导致信息安全实践水平较差。广大中小企业与大量的政府、行业与事业单位用户对于信息安全的淡漠意识直接表现为缺乏有效地信息安全保障措施,虽然,这是一个全球性的问题,但是我国用户在这一方面与发达国家还有一定差距。

    3.中间组织对信息安全产业发展的影响

      同国外相比较,国内的中间组织机构多为政府职能部门所属机构或者是下属科研机构与企业等,而欧美国家这方面的中间组织则包括了国家的相关部门组织、教育与科研组织、企业组织与同业组织等,其覆盖层次更多,面积更广。与欧美比较,国内资本市场相对薄弱,对于安全产业的发展而言,就缺乏有效的中间组织形式来推进和导向其发展,虽然国内目前有一些依托于政府部门的中间组织在产品测试等服务的基础之上开展了一些相关的服务,但是距离推进、引导国内安全产业中的各类企业尤其是中小企业的发展的需求还有很大的差距。

    4.信息安全培训与教育

      教育培训是培育信息安全公众或专业人才的重要手段,我国近些年来在信息安全正规教育方面也推出了一些相应的科目与专业,国家各级以及社会化的信息安全培训也得到了开展,但这些仍然是不够的,社会教育深入与细化程度与美国等发达国家比较仍有差距。在美国,对于企业的信息安全有很多监管规范,因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。美国政府对于信息安全培训与教育采取了有效的战略推进计划。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。

    编辑本段信息安全专业

    专业简介

      信息安全是国家重点发展的新兴交叉学科,它和政府、国防、金融、制造、商业等部门和行业密切相关,具有广阔的发展前景。通过学习,使学生具备信息安全防护与保密等方面的理论知识和综合技术。能在科研单位、高等学校、政府机关(部队)、金融行业、信息产业及其使用管理部门从事系统设计和管理,特别是从事信息安全防护方面的高级工程技术人才。

    主要课程

      离散数学、信号与系统、通信原理、软件工程、编码理论、信息安全概论、信息论、数据结构、操作系统、信息系统工程现代密码学、网络安全、信息伪装等

    培养要求

      通过学习本专业的学生应获得以下几方面的基本知识和职业能力:(1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识;(2)掌握计算机软、硬件加密、解密的基本理论、基本知识;(3)掌握计算机维护和系统支持的基本知识、基本技能;(4)掌握参与企业管理进行经济信息分析、处理的基本技能;(5)较熟练掌握一门外语,并能实际应用于信息安全管理领域

      基本技能掌握

      (1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识。

      (2)掌握计算机软、硬件加密、解密的基本理论、基本知识。

      (3)掌握计算机维护和系统支持的基本知识、基本技能。

      (4)掌握参与企业管理进行经济信息分析、处理的基本技能。

      (5)较熟练掌握一门外语,并能实际应用于信息安全管理领域。

    我国信息安全专业较强的大学

      1. 信息安全国家重点实验室。

      最早由中国科学技术大学创办,后归中科院统一管理。以国字头命名,是中国目前唯一的国家级信息安全实验室。其实力不言而喻,当之无愧的NO.1!

      2、西安电子科技大学

      作为信息安全的主干学科,西电的密码学全国第一。1959年,受钱学森指示,西安电子科技大学在全国率先开展密码学研究,1988年,西电第一个获准设立密码学硕士点,1993年获准设立密码学博士点,是全国首批两个密码学博士点之一,也是唯一的军外博士点,1997年开始设有长江学者特聘教授岗位,并成为国家211重

      

    西安电子科技大学

    点建设学科。2001年,在密码学基础上建立了信息安全专业,是全国首批开设此专业的高校。在中国密码学会的34个理事中,西电占据了12个,且2个副理事长都是西电毕业的,中国在国际密码学会唯一一个会员也出自西电。毫不夸张地说,西电已成为中国培养密码学和信息安全人才的核心基地。 以下简单列举部分西电信安毕业生:来学嘉,国际密码学会委员,IDEA分组密码算法设计者;陈立东,美国标准局研究员;丁存生,香港科技大学教授;邢超平,新加坡NTU教授;冯登国,中国科学院信息安全国家实验室主任,中国密码学会副理事长;张焕国,中国密码学会常务理事,武汉大学教授、信安掌门人;何大可,中国密码学会副理事长,西南交通大学教授、信安掌门人;何良生,中国人民解放军总参谋部首席密码专家;叶季青,中国人民解放军密钥管理中心主任。西电拥有中国在信息安全领域的三位领袖:肖国镇、王育民、王新梅。其中肖国镇教授是我国现代密码学研究的主要开拓者之一,他提出的关于组合函数的统计独立性概念,以及进一步提出的组合函数相关免疫性的频谱特

      

    西安电子科技大学礼仪广场

    征化定理,被国际上通称为肖—Massey定理,成为密码学研究的基本工具之一,开拓了流密码研究的新领域,他是亚洲密码学会执行委员会委员,中国密码学会副理事长,还是国际信息安全杂志(IJIS)编委会顾问。西电的信息安全专业连续多年排名全国第一,就是该校在全国信息安全界领袖地位的最好反映。

      3. 中国科学技术大学

      信息安全的概念最早由中科大的华罗庚教授提出来,并参与创建了信息安全国家重点实验室。现在依托于中科院各软件所、计算所、实验室,所系结合创办有自己风格的信息安全专业,并每年有接近半数的本科毕业生保送到中科院各研究所、实验室。

      4. 武汉大学 2001年武汉大学第一批创建了信息安全本科专业, 2003武大又建立了信息安全硕士点、博士点和信息安全企业博士后流动站。

      武汉大学的信息安全专业综合实力不容小觑,就业率高达98%。毕业生大部分去了腾讯 (Tencent)、百度 (baidu)、谷歌(Google),更有少部分较优秀的直接去了IBM 、微软。

      其教学优势在于学院学风严谨 要求严格 专业设置与国际接轨。而且全国名师(百度百科可查)梁意文、余纯武等均亲自授课。信息安全作为新兴的综合性专业 涉及法律经济通讯等多个方面,综合实力强取传统IT学科之精华,去其糟粕,而且此专业录取分数较高。

      5. 上海交通大学

      上海交通大学信息安全工程学院,创建于2000年10月,是由国家教育部、科技部共同发起的国内首家信息安全专业人才培养基地;学院同时也是国家863计划信息安全产业化(东部)基地的重要组成部分,将为加速信息安全的研究及产业化进程,培养国家紧缺的信息安全专业人才提供有力保障。

      信息安全工程学院是以交通大学通信与信息系统学科和计算机应用技术学科中从事信息安全的研究力量为主,集中了学校信息安全各方面优势的跨学科、跨专业的新型教学科研实体。信息安全工程学院目前有密码理论及应用技术、网络安全与检测技术、计算机病毒防范技术、保密通信理论技术、电子商务技术、安全集成电路芯片设计、移动通信安全、安全操作系统、安全数据库、信息智能检索等研究方向。信息安全工程学院所有专业依托通信与信息系统和计算机应用技术两个二级学科,都具有博士、硕士学位授予权。

      6. 清华大学

      整个清华大学的综合实力就是这个专业的保证。如果在国内读的话,清华的信息安全是很不错的。王小云,姚期智都在那里。

      清华大学的信息安全课程需要设计的内容包括:国家的政策与法规,计算机环境安全和实体安全,用户安全,软件安全与盗版,软件加密,软件防拷贝和反跟踪技术,软件漏洞,操作系统安全,计算机病毒,计算机密码学,网络安全协议,防火墙,通讯安全和数据库安全,黑客安全技术,入侵检测,电子商务的安全等等。

    全国高校信息安全专业排名

      

    学位代码院校名称整体排名学术队伍科学研究人才培养学术声誉
    排名得分排名得分排名得分排名得分排名得分
    10701西安电子科技大学192.44977.701100483.141100
    10003清华大学291.56786.59386.741100492.83
    10358中国科学技术大学388.651100582.89284.84293.72
    10486武汉大学483.16885.99876.93580.03393.31
    10248上海交通大学581.07394.04976.81677.93982.40
    90002国防科学技术大学680.65294.58286.83383.87683.81
    10013北京邮电大学780.62588.14779.25775.96882.69
    10213哈尔滨工业大学879.44687.01680.071068.96584.48
    10001北京大学978.291070.34485.18871.561080.17
    10613西南交通大学1078.09490.991073.88971.24783.06

    就业方向和主要从事的工作

      信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是抵御信息侵略的重要屏障,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国都在奋力攀登的制高点。信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面,如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。

      总之,在网络信息技术高速发展的今天,信息安全已变得至关重要,信息安全已成为信息科学的热点课题。目前我国在信息安全技术方面的起点还较低,国内只有极少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。本专业毕业生可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。我们应充分认识信息安全在网络信息时代的重要性和其具有的极其广阔的市场前景,适应时代,抓住机遇!

    编辑本段安全技术

    加密

      数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。

      在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都应在实际环境中具体考虑。

      对于对称密钥加密。其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境。

      在Internet中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。

    认证和识别

      认证就是指用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到计算机上的读出器读出来。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以上网访问。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听,如果口令以明码(未加密)传输,接入到网上的规程分析仪就会在用户输入帐户和口令时将它记录下来,任何人只要获得这些信息就可以上网工作。为了解决安全问题,一些公司和机构正千方百计地解决用户身份认证问题,主要有以下几种认证办法。

      1. 双重认证。如波斯顿的Beth IsrealHospital公司和意大利一家居领导地位的电信公司正采用“双重认证”办法来保证用户的身份证明。也就是说他们不是采用一种方法,而是采用有两种形式的证明方法,这些证明方法包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器。

      2.数字证书。这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。随着电信行业坚持放松管制,GTE已经使用数字证书与其竞争对手(包括Sprint公司和AT&T公司)共享用户信息。

      3. 智能卡。这种解决办法可以持续较长的时间,并且更加灵活,存储信息更多,并具有可供选择的管理方式。

      4. 安全电子交易(SET)协议。这是迄今为止最为完整最为权威的电子商务安全保障协议。 信息安全的目标和原则

      信息安全的目标

      所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。

      保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。

      完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。

      可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。

      可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。

      不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

      信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。

      除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。

      信息安全的原则

      为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。

      最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。

      分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。

      安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。

      在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

    展开全文
  • 为何企业级架构日益盛行?

    千次阅读 2017-08-21 10:50:48
    对于大多数企业来讲最大的挑战并非是堆砌更多的代码到产品中去,而是集成、数据和安全问题。 随着企业变得越来越重视程序的外包、企业社交媒体、SaaS 以及云基础设施 - 对于架构师的需求将急剧上升。 CIO 角色 在...
  • 信息系统安全论文

    2015-05-15 21:19:20
    随着计算机技术的发展,基于web的信息系统越来越多,web数据库应用也越来越广泛,而面临的数据库安全也显得日益突出。当然web数据库安全离不开信息安全,所以信息系统安全的重要性也越来越重要。数据库中存储了大量...
  • 络安全与信息安全问题日益突出如何能最大程度的保证网络的安全信 息的完整就显得尤为重要本文从网络与信息安全理论以及技术防范两个 方面来加以讨论让读者对网络与信息安全有一个比较全面的了解
  • 计算机网络安全重要

    千次阅读 2019-02-04 11:44:08
    而计算机技术的发展,使计算机网络安全技术问题日益凸显。黑客恶意攻击、病毒肆意传播扩散、网络违法事件的频繁上演,给人们的生活频添困扰和麻烦。故而计算机网络安全重要性成为社会讨论的热点话题。本文试从...
  • 作者彭晓宇北京理工大学硕士 文章摘要 随着信息时代的到来网络日益成为我们工作生活的重要组成部分网络 信息安全对于国家企业和个人来说已变得十分重要网络的日益繁荣对网络 信息安全不断提出了新的课题本文将从密码...
  • 这样,电子文档就成为企业信息的主要存储方式及企业内、外部之间进行信息交换的重要载体, 可是随着网络安全隐患问题日益突出,与外网的安全比起来,内部的整体安全越来越受到政府等众多大中型企业和机关单位的重视...
  • 由于报告本身描述众多,中科信安选取了其中最后的部分——年度信息安全事件,进行解读、汇总,以供各位读者参考。 Verizon报告的事件来源:Verizon研究咨询中心(VTRAC)、合作伙伴、其它组织、互联网公开披露的事件...
  • 近年来,数据泄露事件频繁发生,从雅虎公司因黑客入侵导致共30亿用户账号信息被窃取,到京东因内部恶意员工作案致使共50亿条公民信息被泄露,泄露的数据越来越多,造成的影响越来越大,数据安全形势日益严峻。...
  • 二制定标准的必要性和意义 随着国民经济和社会发展对信息安全保障的要求不断增强日益突出的信息安全问题给国家政治经济文化和国防安全带来新的挑战在我国信息化飞速发展的重要时期做好建设国家信息安全保障体系的...
  • 摘要21世纪是互联网的时代以计算机网络为基础的互联网信息化进程也在不断深入其为我国的电商经济虚拟经济的发展飞跃提供了保障但随之而来的计算机网络信息安全问题日益凸显网络安全问题带来的私人信息的泄露数据的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 37,217
精华内容 14,886
关键字:

信息安全问题日益重要