提下的一种限制性开放。 分权制衡原则:在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只 能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如 果一个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的 安全隐患。 安全隔离原则:隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。 信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安 全的前提下实施主体对客体的访问。 1.3.2安全威胁 1、基本概念 随着计算机网络的迅速发展,使得信息的交换和传播变得非常容易。由于信息在存储、 共享和传输中,会被非法窃听、截取、篡改和破坏,从而导致不可估量的损失。特别是一些 重要的部门,如银行系统、证券系统、商业系统、政府部门和军事系统对在公共通信网络中 进行信息的存储和传输中的安全问题就更为重视。所谓的信息安全威胁就是指某个人、物 事件或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险。攻击就是对安 全威胁的具体体现。虽然人为因素和非人为因素都可以对通信安全构成威胁,但是精心设计 的人为攻击威胁最大。 安全威胁有时可以被分为故意的和偶然的。故意的威胁如假冒、篡改等,偶然的威胁如 信息被发往错误的地址、误操作等。故意的威胁又可以进一步分为主动攻击和被动攻击。被 动攻击不会导致对系统中所含信息的任何改动,如搭线窃听、业务流分析等,而且系统的操 作和状态也不会改变,因此被动攻击主要威胁信息的保密性:主动攻击则意在篡改系统中所 含信息、或者改变系统的状态和操作,因此主动攻击主要威胁信息的完整性、可用性和真实 性。 目前还没有统一的方法来对各种威胁进行分类,也没有统一的方法来对各种威胁加以区 别。信息安全所面临的威胁与环境密切相关,不同威胁的存在及重要性是随环境的变化而变 化的。 2、安全威肋 对信息系统来说,信息安全的威胁来自方方面面,我们不可能完全罗列出所有的 安全威胁。通过对已有的信息安全事件进行研究和分析,根据安全威胁的性质,基本 上可以将安全威胁归结为以下几个方面: (1)信息泄露:信息被泄露或透露给某个非授权的实体。 (2)破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。 (3)拒绝服务:对信息或其他资源的合法访问被无条件地阻止。 (4)非授权访问(非法使用):某一资源被某个非授权的人,或以非授权的方式使用。 (5)窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如 对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有 用信息等。 (6)业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通 信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 (7)假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权 小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。 (8)网络钓鱼:攻击者通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮 件,意图引诱收信人给出敏感信息(如用户名、口令、帐号D、ATM PIN码或信用卡详 细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标 组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这 个攻击过程不会让受害者警觉,它是“社会工程攻击”的一种形式。 (9)社会工程攻击:是一种利用"社会工程学"来实施的网络攻击行为。社会工程学不 是一门科学,而是一门艺术和窍门的方术。社会工程学利用人的弱点,以顺从你的意愿、满 足你的欲望的方式,让你上当的一些方法、一门艺术与学问。说它不是科学,因为它不是总 能重复和成功,而且在信息充分多的情况下,会自动失效。社会工程学的窍门也蕴涵了各式
9 提下的一种限制性开放。 分权制衡原则:在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只 能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如 果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的 安全隐患。 安全隔离原则:隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。 信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安 全的前提下实施主体对客体的访问。 1.3.2 安全威胁 1、基本概念 随着计算机网络的迅速发展,使得信息的交换和传播变得非常容易。由于信息在存储、 共享和传输中,会被非法窃听、截取、篡改和破坏,从而导致不可估量的损失。特别是一些 重要的部门,如银行系统、证券系统、商业系统、政府部门和军事系统对在公共通信网络中 进行信息的存储和传输中的安全问题就更为重视。所谓的信息安全威胁就是指某个人、物、 事件或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险。攻击就是对安 全威胁的具体体现。虽然人为因素和非人为因素都可以对通信安全构成威胁,但是精心设计 的人为攻击威胁最大。 安全威胁有时可以被分为故意的和偶然的。故意的威胁如假冒、篡改等,偶然的威胁如 信息被发往错误的地址、误操作等。故意的威胁又可以进一步分为主动攻击和被动攻击。被 动攻击不会导致对系统中所含信息的任何改动,如搭线窃听、业务流分析等,而且系统的操 作和状态也不会改变,因此被动攻击主要威胁信息的保密性;主动攻击则意在篡改系统中所 含信息、或者改变系统的状态和操作,因此主动攻击主要威胁信息的完整性、可用性和真实 性。 目前还没有统一的方法来对各种威胁进行分类,也没有统一的方法来对各种威胁加以区 别。信息安全所面临的威胁与环境密切相关,不同威胁的存在及重要性是随环境的变化而变 化的。 2、安全威胁 对信息系统来说,信息安全的威胁来自方方面面,我们不可能完全罗列出所有的 安全威胁。通过对已有的信息安全事件进行研究和分析,根据安全威胁的性质,基本 上可以将安全威胁归结为以下几个方面: (1)信息泄露:信息被泄露或透露给某个非授权的实体。 (2)破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。 (3)拒绝服务:对信息或其他资源的合法访问被无条件地阻止。 (4)非授权访问(非法使用):某一资源被某个非授权的人,或以非授权的方式使用。 (5)窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如 对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有 用信息等。 (6)业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通 信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 (7)假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权 小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。 (8)网络钓鱼:攻击者通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮 件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详 细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标 组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这 个攻击过程不会让受害者警觉,它是“社会工程攻击”的一种形式。 (9)社会工程攻击:是一种利用"社会工程学" 来实施的网络攻击行为。社会工程学不 是一门科学,而是一门艺术和窍门的方术。社会工程学利用人的弱点,以顺从你的意愿、满 足你的欲望的方式,让你上当的一些方法、一门艺术与学问。说它不是科学,因为它不是总 能重复和成功,而且在信息充分多的情况下,会自动失效。社会工程学的窍门也蕴涵了各式
各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点如人的本能反应、好奇心、 信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。现实中运用社 会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推 销诈骗等,都运用到社会工程学的方法。近年来,更多的黑客转向利用人的弱点即社会工程 学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,己经呈现出 上升甚至泛滥的趋势。 (10)旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权 利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统 “特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。 (11)授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于 其他非授权的目的,也称作“内部攻击”。 (12)特洛伊木马:软件中含有一个察觉不出的或者无害的程序段,当它被执行时, 会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。 (13)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时, 允许违反安全策略。 (14)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪 造一份对方来信等。 (15)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。 (16)计算机病毒:所谓计算机病毒,是一种在计算机系统运行过程中能够实现传染 和侵害的功能程序。一种病毒通常含有两种功能:一种功能是对其他程序产生“感染”:另 外一种或者是引发损坏功能,或者是一种植入攻击的能力。它造成的危害主要表现在以下几 个方面: ①格式化磁盘,致使信息丢失: ②删除可执行文件或者数据文件: ③破坏文件分配表,使得无法读用磁盘上的信息: ④修改或破坏文件中的数据: ⑤改变磁盘分配,造成数据写入错误: ⑥病毒本身迅速复制或磁盘出现假“坏”扇区,使磁盘可用空间减少: ⑦影响内存常驻程序的正常运行: ⑧在系统中产生新的文件: ⑨更改或重写磁盘的卷标等。 计算机病毒是对软件、计算机和网络系统的最大威胁。随着网络化,特别是Internet的 发展,大大加剧了病毒的传播。计算机病毒的潜在破坏力极大,正在成为信息战中的一种新 式进攻武器。 (17)人员不慎:一个授权的人为了钱或某种利益,或由于粗心,将信息泄露给一个 非授权的人。 (18)媒体废弃:信息被从废弃的磁的或打印过的存储介质中获得。 (19)物理侵入:侵入者绕过物理控制而获得对系统的访问。 (20)窃取:重要的安全物品,如令牌或身份卡被盗。 (21)业务欺骗:某一伪系统或系统部件欺骗合法的用户,或系统自愿地放弃敏感信 息等。 上面给出的是一些常见的安全威胁,各种威胁之间是相互联系的,如窃听、业务流分析、 人员不慎、媒体废弃物等可造成信息泄露,而信息泄露、窃取、重放等可造成假冒,而假冒 等又可造成信息泄露。 对于信息系统来说,安全威胁可以是针对物理环境、通信链路、网络系统、操作系统、 应用系统以及管理系统等方面。 物理安全威胁是指对系统所用设备的威胁。物理安全是信息系统安全的最重要方面。物 理安全的威胁主要有自然灾害(地震、水灾、火灾等)造成整个系统毁灭:电源故障造成设 备断电导致操作系统引导失败或数据库信息丢失:设备被盗、被毁造成数据丢失或信息泄露, 通常,计算机里存储的数据价值远远超过计算机本身,必须采取很严格的防范措施确保不会 被入侵者偷去:媒体废弃物威胁,如废弃磁盘或一些打印错误的文件都不能随便丢弃,媒体 0
10 各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点如人的本能反应、好奇心、 信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。现实中运用社 会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推 销诈骗等,都运用到社会工程学的方法。近年来,更多的黑客转向利用人的弱点即社会工程 学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出 上升甚至泛滥的趋势。 (10) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权 利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统 “特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。 (11) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于 其他非授权的目的,也称作“内部攻击”。 (12) 特洛伊木马:软件中含有一个察觉不出的或者无害的程序段,当它被执行时, 会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。 (13) 陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时, 允许违反安全策略。 (14) 抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪 造一份对方来信等。 (15) 重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。 (16) 计算机病毒:所谓计算机病毒,是一种在计算机系统运行过程中能够实现传染 和侵害的功能程序。一种病毒通常含有两种功能:一种功能是对其他程序产生“感染”;另 外一种或者是引发损坏功能,或者是一种植入攻击的能力。它造成的危害主要表现在以下几 个方面: ① 格式化磁盘,致使信息丢失; ② 删除可执行文件或者数据文件; ③ 破坏文件分配表,使得无法读用磁盘上的信息; ④ 修改或破坏文件中的数据; ⑤ 改变磁盘分配,造成数据写入错误; ⑥ 病毒本身迅速复制或磁盘出现假“坏”扇区,使磁盘可用空间减少; ⑦ 影响内存常驻程序的正常运行; ⑧ 在系统中产生新的文件; ⑨ 更改或重写磁盘的卷标等。 计算机病毒是对软件、计算机和网络系统的最大威胁。随着网络化,特别是 Internet 的 发展,大大加剧了病毒的传播。计算机病毒的潜在破坏力极大,正在成为信息战中的一种新 式进攻武器。 (17) 人员不慎:一个授权的人为了钱或某种利益,或由于粗心,将信息泄露给一个 非授权的人。 (18) 媒体废弃:信息被从废弃的磁的或打印过的存储介质中获得。 (19) 物理侵入:侵入者绕过物理控制而获得对系统的访问。 (20) 窃取:重要的安全物品,如令牌或身份卡被盗。 (21) 业务欺骗:某一伪系统或系统部件欺骗合法的用户,或系统自愿地放弃敏感信 息等。 上面给出的是一些常见的安全威胁,各种威胁之间是相互联系的,如窃听、业务流分析、 人员不慎、媒体废弃物等可造成信息泄露,而信息泄露、窃取、重放等可造成假冒,而假冒 等又可造成信息泄露。 对于信息系统来说,安全威胁可以是针对物理环境、通信链路、网络系统、操作系统、 应用系统以及管理系统等方面。 物理安全威胁是指对系统所用设备的威胁。物理安全是信息系统安全的最重要方面。物 理安全的威胁主要有自然灾害(地震、水灾、火灾等)造成整个系统毁灭;电源故障造成设 备断电导致操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄露, 通常,计算机里存储的数据价值远远超过计算机本身,必须采取很严格的防范措施确保不会 被入侵者偷去;媒体废弃物威胁,如废弃磁盘或一些打印错误的文件都不能随便丢弃,媒体
废弃物必须经过安全处理,对于废弃磁盘仅删除是不够的,必须销毁:电磁辐射可能造成数 据信息被窃取或偷阅,等等。 通信链路安全威胁。网络入侵者可能在传输线路上安装窃听装置,窃取网上传输的信号, 再通过一些技术手段读出数据信息,造成信息泄露;或对通信链路进行干扰,破坏数据的完 整性。 网络安全威肋。计算机的连网使用对数据造成了新的安全威胁。由于在网络上存在着电 子窃听,而分布式计算机的特征是一个个分立的计算机通过一些媒介相互通讯,如局域网一 般都是广播式的,每个用户都可以收到发向任何用户的信息。当内部网络与国际互联网相接 时,由于国际互联网的开放性、国际性与无安全管理性,对内部网络形成严重的安全威胁。 如果系统内部局域网络与系统外部网络之间不采取一定的安全防护措施,内部网络容易受到 来自外部网络入侵者的攻击。例如,攻击者可以通过网络监听等先进手段获得内部网络用户 的用户名、口令等信息,进而假冒内部合法用户非法登录,窃取内部网重要信息。 操作系统安全威胁。操作系统是信息系统的工作平台,其功能和性能必须绝对可靠。由 于系统的复杂性,不存在绝对安全的系统平台。对系统平台最危险的威胁是在系统软件或硬 件芯片中的植入威胁,如“木马”和“陷阱门”。操作系统的安全漏洞通常是操作系统开发 者有意设置的,这样他们就能在即使用户失去了对系统的所有访问权时仍能进入系统。例如, 一些BIOS有万能密码,维护人员用这个口令可以进入计算机。 应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁。应用系统对应用安全 的需求应有足够的保障能力。应用系统安全也受到“木马”和“陷阱门”的威胁。 管理系统安全威胁。不管是什么样的网络系统都离不开人的管理,必须从人员管理上杜 绝安全漏洞。再先进的安全技术也不可能完全防范由于人员不慎造成的信息泄露,管理安全 是信息安全有效的前提。 要保证通信安全就必须想办法在一定程度上克服以上的种种威胁。需要指出的是无论采 取何种防范措施都不能保证通信系统的绝对安全。安全是相对的,不安全才是绝对的。在具 体实用过程中,经济因素和时间因素是判别安全性的重要指标。换句话说,过时的“成功” 和“赔本”的攻击都被认为是无效的。 1.4信息安全的实现 保护信息安全所采用的手段也称作安全机制。所有的安全机制都是针对某些安全攻击威 胁而设计的,可以按不同的方式单独或组合使用。合理地使用安全机制会在有限的投入下最 大地降低安全风险。 信息安全并非局限于对信息加密等技术问题,它涉及到许多方面。一个完整的信息安全 系统至少包含3类措施:技术方面的安全措施、管理方面的安全措施和相应的政策法律。信 息安全的政策、法律、法规是安全的基石,它是建立安全管理的标准和方法。信息安全技术 涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面,当然也包 括对用户的鉴别和授权。为保障数据传输的安全,需采用数据传输加密技术、数据完整性鉴 别技术;为保证信息存储的安全,需保障数据库安全和终端安全:信息内容审计,则是实时 地对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。 根据国家标准《信息处理开放系统互连基本参考模型 一第二部分:安全体系结构》 (GB/T9387.2-1995)指出,适合于数据通信环境下的安全机制有:加密机制、数字签名 机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、抗抵赖机制、公 证机制、安全标记、安全审计跟踪和安全恢复等。 1.4.1信息安全技术 目前,实现信息安全的主要技术包括:信息加密技术、数字签名技术、身份认证技术、 访问控制技术、网络安全技术、反病毒技术、信息安全管理等。 1、信息加密技术 信息加密是指使有用的信息变为看上去似为无用的乱码,使攻击者无法读懂信息的内容 从而保护信息。信息加密是保障信息安全的最基本、最核心的技术措施和理论基础,它也是 现代密码学的主要组成部分。信息加密过程由形形色色的加密算法来具体实施,它以很小的 代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法,具不完 全统计,到目前为止,己经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是
11 废弃物必须经过安全处理,对于废弃磁盘仅删除是不够的,必须销毁;电磁辐射可能造成数 据信息被窃取或偷阅,等等。 通信链路安全威胁。网络入侵者可能在传输线路上安装窃听装置,窃取网上传输的信号, 再通过一些技术手段读出数据信息,造成信息泄露;或对通信链路进行干扰,破坏数据的完 整性。 网络安全威胁。计算机的连网使用对数据造成了新的安全威胁。由于在网络上存在着电 子窃听,而分布式计算机的特征是一个个分立的计算机通过一些媒介相互通讯,如局域网一 般都是广播式的,每个用户都可以收到发向任何用户的信息。当内部网络与国际互联网相接 时,由于国际互联网的开放性、国际性与无安全管理性,对内部网络形成严重的安全威胁。 如果系统内部局域网络与系统外部网络之间不采取一定的安全防护措施,内部网络容易受到 来自外部网络入侵者的攻击。例如,攻击者可以通过网络监听等先进手段获得内部网络用户 的用户名、口令等信息,进而假冒内部合法用户非法登录,窃取内部网重要信息。 操作系统安全威胁。操作系统是信息系统的工作平台,其功能和性能必须绝对可靠。由 于系统的复杂性,不存在绝对安全的系统平台。对系统平台最危险的威胁是在系统软件或硬 件芯片中的植入威胁,如“木马”和“陷阱门”。操作系统的安全漏洞通常是操作系统开发 者有意设置的,这样他们就能在即使用户失去了对系统的所有访问权时仍能进入系统。例如, 一些 BIOS 有万能密码,维护人员用这个口令可以进入计算机。 应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁。应用系统对应用安全 的需求应有足够的保障能力。应用系统安全也受到“木马”和“陷阱门”的威胁。 管理系统安全威胁。不管是什么样的网络系统都离不开人的管理,必须从人员管理上杜 绝安全漏洞。再先进的安全技术也不可能完全防范由于人员不慎造成的信息泄露,管理安全 是信息安全有效的前提。 要保证通信安全就必须想办法在一定程度上克服以上的种种威胁。需要指出的是无论采 取何种防范措施都不能保证通信系统的绝对安全。安全是相对的,不安全才是绝对的。在具 体实用过程中,经济因素和时间因素是判别安全性的重要指标。换句话说,过时的“成功” 和“赔本”的攻击都被认为是无效的。 1.4 信息安全的实现 保护信息安全所采用的手段也称作安全机制。所有的安全机制都是针对某些安全攻击威 胁而设计的,可以按不同的方式单独或组合使用。合理地使用安全机制会在有限的投入下最 大地降低安全风险。 信息安全并非局限于对信息加密等技术问题,它涉及到许多方面。一个完整的信息安全 系统至少包含 3 类措施:技术方面的安全措施、管理方面的安全措施和相应的政策法律。信 息安全的政策、法律、法规是安全的基石,它是建立安全管理的标准和方法。信息安全技术 涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面,当然也包 括对用户的鉴别和授权。为保障数据传输的安全,需采用数据传输加密技术、数据完整性鉴 别技术;为保证信息存储的安全,需保障数据库安全和终端安全;信息内容审计,则是实时 地对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。 根据国家标准《信息处理 开放系统互连基本参考模型——第二部分:安全体系结构》 (GB/T 9387.2-1995)指出,适合于数据通信环境下的安全机制有:加密机制、数字签名 机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、抗抵赖机制、公 证机制、安全标记、安全审计跟踪和安全恢复等。 1.4.1 信息安全技术 目前,实现信息安全的主要技术包括:信息加密技术、数字签名技术、身份认证技术、 访问控制技术、网络安全技术、反病毒技术、信息安全管理等。 1、信息加密技术 信息加密是指使有用的信息变为看上去似为无用的乱码,使攻击者无法读懂信息的内容 从而保护信息。信息加密是保障信息安全的最基本、最核心的技术措施和理论基础,它也是 现代密码学的主要组成部分。信息加密过程由形形色色的加密算法来具体实施,它以很小的 代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法,具不完 全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是
否相同来分类,可以将这些加密算法分为对称密码算法和公钥密码算法。当然在实际应用中, 人们通常是将对称密码和公钥密码结合在一起使用,比如:利用DES或者DEA加密信息, 采用RSA传递会话密钥。如果按照每次加密所处理的比特数来分类,可以将加密算法分为 序列密码和分组密码。前者每次只加密一个比特,而后者则先将信息序列分组,每次处理 个组。 2、数字签名技术 数字签名是保障信息来源可靠性,防止发送方抵赖的一种有效技术手段。根据数字签名 的应用场景和实现方式,目前常见的数字签名包括:不可否认数字签名、群签名等。实现数 字签名的基本流程包括两个过程: (1)签名过程 签名过程是利用签名者的私有信息作为密钥,或对数据单元进行加密,或产生该数据单 元的密码校验值。 (2)验证过程 验证过程是利用公开的规程和信息来确定签名是否是利用该签名者的私有信息产生的。 数字签名是在数据单元上附加数据,或对数据单元进行密码变换。通过这一附加数据或 密码变换,使数据单元的接受者可以证实数据单元的来源和完整性,同时对数据进行保护。 验证过程是利用了公之于众的规程和信息,但并不能推出签名者的私有信息,即数字签 名与日常的手写签名效果一样,可以为仲裁者提供发信者对消息签名的证据,而且能使消息 接收者确认消息是否来自合法方。 3、数据完整性保护技术 数据完整性保护用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡 改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性可以被验证却无法模仿时, 收到信息的一方可以认定信息的发送者,数字签名就可以提供这种手段。 4、身份认证技术 身份识别是信息安全的基本机制,通信的双方之间应互相认证对方的身份,以保证赋予 正确的操作权力和数据的存取控制。网络也必须认证用户的身份,以保证合法的用户进行正 确的操作并进行正确的审计。 目前,常见的身份认证实现方式包括以下3种: ①只有该主体了解的秘密,如口令、密钥。 ②主体携带的物品,如智能卡和令牌卡。 ③ 只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。 5、访问控制技术 访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对 其常用的信息库进行一定权限的访问,限制他随意删除、修改或拷贝信息文件。访问控制技 术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。 访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获 得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。权利控制和存取控 制是主机系统必备的安全手段,系统根据正确的认证,赋予某用户适当的操作权力,使其不 能进行越权的操作。该机制一般采用角色管理办法,针对不同的用户,系统需要定义各种角 色,然后赋予他们不同的执行权利。Kerberos存取控制就是访问控制技术的一个代表,它由 数据库、验证服务器和票据授权服务器3部分组成。其中,数据库包括用户名称、口令和授 权存取的区域:验证服务器验证要存取的人是否有此资格:票据授权服务器在验证之后发给 票据允许用户进行存取。 6、网络安全技术 实现网络安全的技术种类繁多而且还相互交叉。这些网络安全技术虽然没有完整统一的 理论基础,但是在不同的场合下,为了不同的目的,许多网络安全技术确实能够发挥较好的 功能,实现一定的安全目标。 当前主要的网络安全技术包括: (1)防火墙技术:它是一种既可允许接入外部网络,但同时又有能够识别和抵抗非授 权访问的安全技术。防火墙扮演的是网络中“交通警察”角色,指挥网上信息合理有序地安
12 否相同来分类,可以将这些加密算法分为对称密码算法和公钥密码算法。当然在实际应用中, 人们通常是将对称密码和公钥密码结合在一起使用,比如:利用 DES 或者 IDEA 加密信息, 采用 RSA 传递会话密钥。如果按照每次加密所处理的比特数来分类,可以将加密算法分为 序列密码和分组密码。前者每次只加密一个比特,而后者则先将信息序列分组,每次处理一 个组。 2、数字签名技术 数字签名是保障信息来源可靠性,防止发送方抵赖的一种有效技术手段。根据数字签名 的应用场景和实现方式,目前常见的数字签名包括:不可否认数字签名、群签名等。实现数 字签名的基本流程包括两个过程: (1)签名过程 签名过程是利用签名者的私有信息作为密钥,或对数据单元进行加密,或产生该数据单 元的密码校验值。 (2)验证过程 验证过程是利用公开的规程和信息来确定签名是否是利用该签名者的私有信息产生的。 数字签名是在数据单元上附加数据,或对数据单元进行密码变换。通过这一附加数据或 密码变换,使数据单元的接受者可以证实数据单元的来源和完整性,同时对数据进行保护。 验证过程是利用了公之于众的规程和信息,但并不能推出签名者的私有信息,即数字签 名与日常的手写签名效果一样,可以为仲裁者提供发信者对消息签名的证据,而且能使消息 接收者确认消息是否来自合法方。 3、数据完整性保护技术 数据完整性保护用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡 改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性可以被验证却无法模仿时, 收到信息的一方可以认定信息的发送者,数字签名就可以提供这种手段。 4、身份认证技术 身份识别是信息安全的基本机制,通信的双方之间应互相认证对方的身份,以保证赋予 正确的操作权力和数据的存取控制。网络也必须认证用户的身份,以保证合法的用户进行正 确的操作并进行正确的审计。 目前,常见的身份认证实现方式包括以下 3 种: ① 只有该主体了解的秘密,如口令、密钥。 ② 主体携带的物品,如智能卡和令牌卡。 ③ 只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。 5、访问控制技术 访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对 其常用的信息库进行一定权限的访问,限制他随意删除、修改或拷贝信息文件。访问控制技 术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。 访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获 得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。权利控制和存取控 制是主机系统必备的安全手段,系统根据正确的认证,赋予某用户适当的操作权力,使其不 能进行越权的操作。该机制一般采用角色管理办法,针对不同的用户,系统需要定义各种角 色,然后赋予他们不同的执行权利。Kerberos 存取控制就是访问控制技术的一个代表,它由 数据库、验证服务器和票据授权服务器 3 部分组成。其中,数据库包括用户名称、口令和授 权存取的区域;验证服务器验证要存取的人是否有此资格;票据授权服务器在验证之后发给 票据允许用户进行存取。 6、网络安全技术 实现网络安全的技术种类繁多而且还相互交叉。这些网络安全技术虽然没有完整统一的 理论基础,但是在不同的场合下,为了不同的目的,许多网络安全技术确实能够发挥较好的 功能,实现一定的安全目标。 当前主要的网络安全技术包括: (1)防火墙技术:它是一种既可允许接入外部网络,但同时又有能够识别和抵抗非授 权访问的安全技术。防火墙扮演的是网络中“交通警察”角色,指挥网上信息合理有序地安
全流动,同时也处理网上的各类“交通事故”。防火墙可分为外部防火墙和内部防火墙,前 者在内部网络和外部网络之间建立起一个保护层,从而防止“黑客”的侵袭,其方法是监听 和限制所有进出通信,挡住外来非法信息并控制敏感信息被泄露:后者将内部网络分隔成多 个局域网,从而限制外部攻击造成的损失。 (2)VPN技术:虚拟专用网(VPN:Virtual Private Network)被定义为通过一个公用 网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、 稳定的隧道。虚拟专用网是对企业内部网的扩展。VPN的基本原理是:在公共通信网上为 需要进行保密通信的通信双方建立虚拟的专用通信通道,并且所有传输数据均经过加密后再 在网络中进行传输,这样做可以有效保证机密数据传输的安全性。在虚拟专用网中,任意两 个节点之间的连接并没有传统专用网所需的端到端的物理链路,虚拟的专用网络通过某种公 共网络资源动态组成。 (3)入侵检测技术:入侵检测技术扫描当前网络的活动,监视和记录网络的流量,根 据己定义的规则过滤从主机网卡到网线上的流量,提供实时报警。大多数的入侵监测系统可 以提供关于网络流量非常详尽的分析。 (4)网络隔离技术:网络隔离(Network Isolation)主要是指把两个或两个以上可路由 的网络(如:TCPP)通过不可路由的协议(如:PX/SPX、NetBEUI等)进行数据交换而 达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外,在保证可信网络 内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基 础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。 (5)安全协议:整个网络系统的安全强度实际上取决于所使用的安全协议的安全性」 安全协议的设计和改进有两种方式:一是对现有网络协议(如TCP/P)进行修改和补充: 二是在网络应用层和传输层之间增加安全子层,如安全协议套接字层(S$L)、安全超文本 传输协议(SHTTP)和专用通信协议(PCP)。依据安全协议实现身份鉴别、密钥分配、数 据加密、防止信息重传和不可否认等安全机制。 7、反病毒技术 由于计算机机病毒具有传染的泛滥性、病毒侵害的主动性、病毒程序外形检测和病毒行 为判定的难以确定性、非法性与隐蔽性、衍生性、衍生体的不等性和可激发性等特性,所以 必须花大力气认真加以对付。实际上计算机病毒研究己经成为计算机安全学的一个极具挑战 性的重要课题,作为普通的计算机用户,虽然没有必要去全面研究病毒和防止措施,但是养 成“卫生”的工作习惯并在身边随时配备最新的杀毒工具软件是完全必要的。 8、安全审计 安全审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要事件的记录,从而 在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。安全审计是一种很有价值 的安全机制,可以通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏 的情况。安全审计需要记录与安全有关的信息,通过明确所记录的与安全有关的事件的类别, 安全审计跟踪信息的收集可以适应各种安全需要。审计技术能使信息系统自动记录机器的使 用时间、敏感操作和违纪操作等,所以审计类似于飞机上的“黑匣子”,为系统进行事故原 因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据 或支持。审计对用户的正常操作也有记载,因为往往有些“正常”操作(如修改数据等)恰 恰是攻击系统的非法操作。安全审计信息应具有防止非法删除和修改的措施。安全审计跟踪 对潜在的安全攻击源的攻击起到威慑作用。 9、业务填充 所谓业务填充是指在业务空闲时发送无用的随机数据,以增加攻击者通过通信流量获得 信息的困难。它是一种制造假的通信、产生欺骗性数据单元或在数据单元中填充假数据的安 全机制。该机制可用于应对各种等级的保护,用来防止对业务进行分析,同时也增加了密码 通信的破译难度。发送的随机数据应具有良好的模拟性能,能够以假乱真。该机制只有在业 务填充受到保密性服务时才有效。 10、路由控制机制 路由控制机制可使信息发送者选择特殊的路由,以保证连接、传输的安全。路由控制机
13 全流动,同时也处理网上的各类“交通事故”。防火墙可分为外部防火墙和内部防火墙,前 者在内部网络和外部网络之间建立起一个保护层,从而防止“黑客”的侵袭,其方法是监听 和限制所有进出通信,挡住外来非法信息并控制敏感信息被泄露;后者将内部网络分隔成多 个局域网,从而限制外部攻击造成的损失。 (2)VPN 技术:虚拟专用网(VPN:Virtual Private Network)被定义为通过一个公用 网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、 稳定的隧道。虚拟专用网是对企业内部网的扩展。VPN 的基本原理是:在公共通信网上为 需要进行保密通信的通信双方建立虚拟的专用通信通道,并且所有传输数据均经过加密后再 在网络中进行传输,这样做可以有效保证机密数据传输的安全性。在虚拟专用网中,任意两 个节点之间的连接并没有传统专用网所需的端到端的物理链路,虚拟的专用网络通过某种公 共网络资源动态组成。 (3)入侵检测技术:入侵检测技术扫描当前网络的活动,监视和记录网络的流量,根 据已定义的规则过滤从主机网卡到网线上的流量,提供实时报警。大多数的入侵监测系统可 以提供关于网络流量非常详尽的分析。 (4)网络隔离技术:网络隔离(Network Isolation)主要是指把两个或两个以上可路由 的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI 等)进行数据交换而 达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外,在保证可信网络 内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基 础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。 (5)安全协议:整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。 安全协议的设计和改进有两种方式:一是对现有网络协议(如 TCP/IP)进行修改和补充; 二是在网络应用层和传输层之间增加安全子层,如安全协议套接字层(SSL)、安全超文本 传输协议(SHTTP)和专用通信协议(PCP)。依据安全协议实现身份鉴别、密钥分配、数 据加密、防止信息重传和不可否认等安全机制。 7、反病毒技术 由于计算机机病毒具有传染的泛滥性、病毒侵害的主动性、病毒程序外形检测和病毒行 为判定的难以确定性、非法性与隐蔽性、衍生性、衍生体的不等性和可激发性等特性,所以 必须花大力气认真加以对付。实际上计算机病毒研究已经成为计算机安全学的一个极具挑战 性的重要课题,作为普通的计算机用户,虽然没有必要去全面研究病毒和防止措施,但是养 成“卫生”的工作习惯并在身边随时配备最新的杀毒工具软件是完全必要的。 8、安全审计 安全审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要事件的记录,从而 在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。安全审计是一种很有价值 的安全机制,可以通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏 的情况。安全审计需要记录与安全有关的信息,通过明确所记录的与安全有关的事件的类别, 安全审计跟踪信息的收集可以适应各种安全需要。审计技术能使信息系统自动记录机器的使 用时间、敏感操作和违纪操作等,所以审计类似于飞机上的“黑匣子”,为系统进行事故原 因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据 或支持。审计对用户的正常操作也有记载,因为往往有些“正常”操作(如修改数据等)恰 恰是攻击系统的非法操作。安全审计信息应具有防止非法删除和修改的措施。安全审计跟踪 对潜在的安全攻击源的攻击起到威慑作用。 9、业务填充 所谓业务填充是指在业务空闲时发送无用的随机数据,以增加攻击者通过通信流量获得 信息的困难。它是一种制造假的通信、产生欺骗性数据单元或在数据单元中填充假数据的安 全机制。该机制可用于应对各种等级的保护,用来防止对业务进行分析,同时也增加了密码 通信的破译难度。发送的随机数据应具有良好的模拟性能,能够以假乱真。该机制只有在业 务填充受到保密性服务时才有效。 10、路由控制机制 路由控制机制可使信息发送者选择特殊的路由,以保证连接、传输的安全。路由控制机