信息安全体系

1、浅谈信息安全五性的理解所有的信息安全技术都是为了达到一定的安全目标，其核心包括保密性、完整性、 可用性、可控性和不可否认性五个安全目标。1保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就 具有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户 不能够获取敏感信息。对纸质文档信息，我们只需要保护好文件，不被非授权者接触 即可。而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读。也要阻 止授权者将其访问的信息传递给非授权者，以致信息被泄漏。2完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态，

2、 使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将 带来严重的后果。3可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是 在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项 信息安全要求。4可控性(Controlability)是指对信息和信息系统实施安全监控管理，防止非法利用信 息和信息系统。5不可否认性(Non-repudiation)是指在网络环境中，信息交换的双方不能否认其在交 换过程中发送信息或接收信息的行为。信息安全的保密性、完整性和可用性主要强调 对非授权主体的控制。而对授权主体的不正当行为如何控制

3、呢？信息安全的可控性和不可否认性恰恰是通过对授权主体的控制，实现对保密性、完整性和可用性的有效补充， 主要强调授权用户只能在授权范围内进行合法的访问，并对其行为进行监督和审查。WPDRRC模型解析WPDRRC信息安全模型(见图)是我国八六三”信息安全专家组提出的适合中 国国情的信息系统安全保障体系建设模型，它在PDRR模型的前后增加了预警和反击功能。WPDRRC模型有6个环节和3大要素。6个环节包括预警、保护、检测、响应、 恢复和反击，它们具有较强的时序性和动态性，能够较好地反映出信息系统安全保障 体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。3大要素包括人员、策略和技术，

4、人员是核心，策略是桥梁，技术是保证，落实在WPDRRC 6个环节的各个方面，将安全策略变为安全现实。WPDRRC信息安全模型与其他信息安全模型安全防护功能对比如表 1所示。 z w 鬥 股尺匚eTE- M scSt晋-J r-执盘Jft畋-V*JVIt fIVI*ASLW* - tru!Jt*4)ri1厂w1wWPDRRC信息安全模型信息安全模型在信息系统安全建设中起着重要的指导作用，精确而形象地描述信 息系统的安全属性，准确地描述安全的重要方面与系统行为的关系，能够提高对成功 实现关键安全需求的理解层次，并且能够从中开发出一套安全性评估准则和关键的描述变量。WPDRRC（预警、保护、检测、响

5、应、恢复和反击）信息安全模型在等保工作中发挥着日益重要的作用。ISO/OSI安全体系为信息安全问题的解决提供了一种可行的方法，但其可操作性差。在信息安全工作中，一般采用 PDR（保护、检测和响应）、PPDR（安全策略、保护、检 测和响应）、PDRR（保护、检测、响应和恢复）、MPDRR（管理、保护、检测、响应和恢 复）和WPDRRC等动态可适应安全模型，指导信息安全实践活动。WPDRRC信息安全模型与其他信息安全模型相比更加适合中国国情，在进行网上报税 系统的安全建设时，为了实现网上报税系统的安全策略，就必须将人员核心因素与技 术保证因素贯彻在网上报税系统安全保障体系的预警、保护、检测、响应、

6、恢复和反 击6个环节中，针对不同的安全威胁，采用不同的安全措施，对网上报税系统的软硬 件设备、业务数据等受保护对象进行多层次保护。三解析某单位的安全体系建设需要应用到哪些安全技术，并说明。企业计算机网络系统的安全防范措施1严格管理，制定完善制度。根据具体情况制定出合理安全的网络结构，加强培 训，提高网管和工作人员素质。在网络迅速发展的今天，由于操作人员的失误，特别 是企业或单位内部拥有高速的网络环境下，给各种威胁的扩散与转移提供了可能。通 过各类嵌入攻击代码的网页，在浏览者毫不知情的情况下，后台进驻到操作系统中， 修改注册表和系统设置，种植后门程序，收集用户信息和资料等。这一切都会给工作 站造

7、成无法估量的安全风险。一旦工作站遭到攻击与控制，就很可能威胁到整个内部 网络和核心区域，所以说保护好工作站的安全，是企业或单位网络安全的一个重要部 分。2、防火墙技术防火墙是指一个由软件或和硬件设备组合而成 , 处于企业或网络群体计算机与外界 通道之间 , 限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙 是网络安全的屏障 , 配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之 一。当一个网络接上 Internet 之后 , 系统的安全除了考虑计算机病毒、系统的健壮性 之外, 更主要的是防止非法用户的入侵 , 而目前防止的措施主要是靠防火墙技术完成。 防火墙能极大地提

8、高一个内部网络的安全性 , 并通过过滤不安全的服务而降低风险。通 过以防火墙为中心的安全方案配置 , 能将所有安全软件配置在防火墙上。其次对网络存 取和访问进行监控审计。如果所有的访问都经过防火墙 ,那么 ,防火墙就能记录下这些 访问并做出日志记录 ,同时也能提供网络使用情况的统计数据。当发生可疑动作时 , 防 火墙能进行适当的报警 , 并提供网络是否受到监测和攻击的详细信息。再次防止内部信 息的外泄。利用防火墙对内部网络的划分 , 可实现内部网重点网段的隔离 , 从而降低了 局部重点或敏感网络安全问题对全局网络造成的影响。3、对内部网络的保密。 当内部主机与因特网上其它主机进行通信时，为了保

9、证内部网络的安全，可以通过配 置 IPSec 网关实现。因为 IPSec 作为 IPv6 的扩展报头不能被中间路由器而只能被目的 节点解析处理，因此 IPSec 网关可以通过 IPSec 隧道的方式实现，也可以通过 IPv6 扩 展头中提供的路由头和逐跳选项头结合应用层网关技术实现。后者的实现方式更加灵 活，有利于提供完善的内部网络安全，但是比较复杂。4、通过安全隧道构建安全的VPN。该VPN通过IPv6的IPSec隧道实现。在路由器之间建立 IPSec的安全隧道以构成安全 的VPN是最常用的安全网络组建方式。 IPSec网关的路由器实际上是IPSec隧道的终 点和起点，为了满足转发性能的要求

10、，该路由器需要专用的加密板卡。5、漏洞扫描系统。 很多时候，我们必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。众 所周知 Microsoft 有专门的 Update 站点来发布最新的漏洞补丁，我们所需要做的是下 载补丁，安装并重新启动。如何在蠕虫和黑客还没有渗透到网络之前修补这些漏洞， 如何将部署这些补丁对企业的运行影响减小到最低呢?那就是选择一套高效安全的桌面管理软件，来进行完善企业或单位的 IT 管理。又如何解决网络层安全问题呢?首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况， 仅仅依靠网管员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的

11、。解决 的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具， 利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐 患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴 露出网络的漏洞。6. 限制拨号 限制拨号接入或远程网络连接限制拨号用户的接人和限制用户从远程登人的功能。 并且 记录用户活动。若使用公共非安全的介质 ( 如 Intemet) 进行传输，会产生严重 的安全问题；若采用专线传输，则费用巨大。在这种情况下，使用vPN技术访问网络是一种可信任的安全方法。VPN即虚拟专用网(PrivateNetwork) 提供了一种通

12、过公共非 安全的介质 ( 如 Intemet) 建立安全专用连接的技术。它可以帮助用户、公司分支机构、商业伙伴等建立穿越开放的公用网络的安全隧道。在高安全环境下设定远程连接要求 证件检验，在客户端证明使用强的密码认证方法。远程存取依然是最微弱的连接，如 果不正确地实施控制策略，在许多情况下将会被人侵者利用。因此，为了保证VPN的安全性，认证、加密和访问控制必须紧密结合。从公司网络划分出独立的网段给拨号 用户是一个不错的方法。这种解答可能有许多功能特点。如果您的网络用户需要拨号 回到被预先指定的数字是一个好方式，这样可以保证后面设置确实连接到用户的家里。 另一考虑是，用户不能在本地机器存放密码，

13、他访问网络的密码不应该被保存，应该 在每次连接时键人。7. 数据加密技术与防火墙相比，数据加密技术比较灵活，更加适用于开放的网络。数据加密主要用 于对动 态信息的保护，对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这 一切的基础就是数据加密。数据加密技术分为两类：即对称加密和非对称加密。a.对称加密技术对称加密是常规的以口令为基础的技术，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，这种加密方法可简化加密处理过程，信息交换双方都不必彼此 研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那

14、么机密性和报文完整性就可以得以保证。目前，广为采用的一种对称加密方式是数据加密标准DESQES勺成功应用是在银行业中的电子资金转账(EFT)领域中。b.非对称加密/公开密钥加密在非对称加密体系中，密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任 何一把都可以作为公开密钥通过非保密方式向他人公开，而另一把作为私有密钥加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方 无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领 域。8. PKI技术PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的 基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。 由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整 性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。9. 入侵检