论信息安全保障体系的建立

1、 论信息安全保障体系的建立【摘要】: 随着信息产业的高速发展，众多企业、单位都利用互联网建立了自己的信息系统，以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时，也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵，这都可以给我们造成巨大的损失。信息安全问题也已成为信息系统日益突出和受到关注的问题，信息化程度越高，信息网络和系统中有价值的数据信息越多，信息安全问题就显得越重要。随着信息化程度的提高，信息安全问题一步步显露出来。 信息安全需求的日益深入，已经从原来的系统安全和网络边界安全日益深入到系统内部体系安全和数据本身的安全上，并且已经开始对管理制度造成影响和

2、改变。信息安全问题是多样的，存在于信息系统的各个环节，而这些环节不是孤立的，他们都是信息安全中不可缺少和忽视的一环，所以对一个信息网络，必须从总体上规划，建立一个科学全面的信息安全保障体系，从而实现信息系统的整体安全。【关键词】: 信息安全，安全技术，网络一 信息安全的定义信息安全的概念随着网络与信息技术的发展而不断地发展，其含义也不断的变化。20世纪70年代以前，信息安全的主要研究内容是计算机系统中的数据泄漏控制和通信系统中的数据保密问题。然而，今天计算机网络的发展使得这个当时非常自然的定义显得非常不恰当。首先，随着黑客、特洛伊木马及病毒的攻击不断升温，人们发现除了数据的机密性保护外，数据的

3、完整性保护以及信息系统对数据的可用性支持都非常重要。其次，不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。综上分析，信息安全是研究在特定的应用环境下，依据特定的安全策略对信息及其系统实施防护检测和恢复的科学。1 二 信息安全面临的威胁 由于信息系统的复杂性、开放性以及系统软件硬件和网络协议的缺陷，导致了信息系统的安全威胁是多方面的：网络协议的弱点、网络操作系统的漏洞、应用系统设计的漏洞、网络系统设计的缺陷、恶意攻击、病毒、黑客的攻击、合法用户的攻击、物理攻击安全、管理安全等。2 其次，非技术的社会工程攻击也是信息安全面临的威胁，通常把基于非计算机的欺骗技术成为社会工程。社会工程中

4、，攻击者设法伪装自己的身份让人相信就是某个人，从而去获得密码和其他敏感的信息。目前社会工程攻击主要包括的方式为打电话请求密码和伪造E-mail。三 信息安全相关的防护理念及其技术计算机信息安全技术是针对信息在应用环境下的安全保护而提出的。是信息安全基础理论的具体应用。安全技术是对信息系统进行安检和防护的技术，其包括：防火墙技术、路由器技术、入侵检测技术、扫面技术等。（一）防火墙技术防火墙是指设置在不同网络（如可信任的企业内部和不可信任的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据个人的安全政策（允许、拒绝、检测）出入网络的信息流，且本身具有较

5、强的抗攻击能力。一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。通过防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证和审计等）配置在防火墙上。如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并能做出日志记录，同时也能提供网络使用情况的统计数据。通过利用防火墙对内部网络的划分，可实现内部重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索从而引起外部攻击者的兴趣甚至因此而透漏内部细节的服务。如Finger，NDS等。3（二）路由

6、器技术 路由器是用于网络通信的关键设备，它通过路由器选择协议来完成“路径决策”，评估所有到达目的地的可用路径并决定是用哪一个路径。在路由协议中有效的安全功能包括过滤路由广播及认证，利用过滤路由协议禁止路由广播到邻居，因此可以保护网络中的信息安全。4随着网络各种领域应用的日益普及，网络信息安全问题趋于复杂化和多样话。针对网络存在各种安全隐患，安全路由器必须具有如下的安全特性：（1）可靠性与线路安全（2）身份认证（3）访问控制（4）信息隐藏（5）数据加密（6）攻击探测和防范（7）安全管理(三)物理隔离器技术 物理隔离技术本质上是一种网络安全技术，它通过特殊硬件实现链路层的断开，使得各种网络攻击与入

7、侵攻击失去了物理通路的基础，从而避免了内部网络遭受外部攻击的可能性。6实施内部网物理隔离，在技术应达到以下目的：（1）在物理传导上隔断内部网与外部网。确保外部网不能通过网络连接而侵入内部网，同时防止内部网信息通过网络连接泄漏到外部网（2）在物理存储上隔断内部网与外部网，对其断电后会遗失的信息的部件，如内存、处理器等暂存部件，要在网络转换时进行清除处理，防止残留信息窜网；对于断电后非遗失性设备，如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储，严格限制软盘、光盘等可移动介质的使用。（3）在物理辐射上隔断内部网与外部网。确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网（4）物理隔离部件的

8、安全功能应保证被隔离的计算机资源不能被访问（至少应包括硬盘、软盘和光盘），计算机数据不能被重用（5）逻辑隔离部件的安全功能保证被隔离的计算机资源不能被访问只能进行隔离器内外的原始应用数据交换 (四) 隔离卡技术隔离卡技术是将一台计算机划分成两个独立的虚拟计算机，分别连接公共网络和涉密网络。通过隔离卡，用户的硬盘被划分为公共区和安全区，装有独立的操作系统和应用软件。当用户在公共区启动时，计算机连接公共网络；当用户在安全区启动时，计算连接涉密网。 （五）防病毒技术 计算机病毒的防治技术总是在与病毒的较量中得到发展。总的来讲，计算机病毒的防治技术可以分成四个方面，即检测、清除、免疫和预防。6计算机病

9、毒检测技术是指通过一定的技术手段判定出计算机病毒；计算机病毒的消除技术是计算机病毒检测技术发展的必然结果，是病毒传染程序的一种逆过程；计算机病毒预防技术是通过一定的技术手段防止计算机病毒对系统进行传染和破坏，实际上它是一种特性判定技术。也是可能是一种行为规则的判定技术；计算机病毒的免疫技术目前没有得到很快的发展。目前尚没有出现通用的能对各种病毒都有免疫作用的技术。现在世界各国家有以下的防范技术：（1）虚拟机技术虚拟机技术是国际反病毒领域的前沿技术。这种技术更接近于人工分析，智能化极高，查毒的准确性也极高。虚拟技术的主要执行过程如下： 在查杀病毒时，在计算机内存中模拟出一个“指令执行虚拟计算机”

10、 在虚拟环境中虚拟执行可疑带毒文件在执行过程中，从虚拟机环境内截获文件数据如果含有可疑病毒代码，则说明发现了病毒 杀毒过程是在虚拟环境下摘除可疑代码然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除（2）监控病毒源文件 密切关注、侦测和监控网络系统外部病毒的动向，将所有病毒源堵截在网络入口处，是当前网络防病毒技术的一个重点。趋势科技针对网络防病毒所提出的可以远程中央空管的趋势病毒监控系统不仅可完成跨网域的操作而且在传输过程中还能保障文件的安全。（3）无缝隙连接技术 无缝隙连接技术也叫嵌入式杀毒技术。通过该技术，我们可以对病毒经常攻击的应用程序和信息提供重点保护。它利用操作系统或应用程

11、序提供的内部接口来实现对使用频度高、范围广的主要应用软件提供被动式的保护（4）检查压缩文件技术 检查压缩文件中的病毒有两种思路。第一种思路：首先必须搞清压缩文件的压缩算法，然后根据压缩管理算法将病毒码压缩成病毒压缩码，最后根据病毒压缩码在压缩文件中查找以判断该文件是否有病毒。另一种检查压缩文件中病毒的思路：在搞清压缩文件的压缩算法和解压算法的基础上，首先解压待检查的压缩文件。随后在解压后的文件中检查病毒码来判断该文件是否有病毒，以此来说明原压缩文件是否有病毒。最后将文件还原成原来的压缩格式。（5）主动内核技术 主动内核技术是将已经开始的各种防病毒技术从源程序级嵌入到操作系统或网络系统的内核中，

12、实现防病毒产品与操作系统的无缝连接。这种技术可以保证防病毒模块从系统的底层内核与各种操作系统及应用环境密切协调，确保防毒操作不会伤及到操作系统内核，同时确保杀病毒的功效。（6）入侵检测技术 入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。入侵检测就是通过计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。7（7）扫描技术 扫描是一种行为，目的是收集被扫描系统或网络的信息。通常扫描是利用一些程序或者专用的扫描器来实现。

13、扫描是通过向目标主机发送数据报文，然后根据响应获得目标主机的情况，根据扫描的方式不同主要有以下三种类型的扫描： 地址扫描 端口扫描 漏洞扫描四 建立网络安全体系的必要性和发展信息安全体系的重要性21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建

14、信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。 信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。国际上信息安全研究起步较早，力度大，积累多，应用广，在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”的基础上，指定了“可信计算机系统安全评估准则”（TCSEC），其后又制定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，其形式化方法分析始于80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。完整的信息安全保障体系建设是信息安全走向成熟的标记，也受到了国家和众多企事业单位的重视。信息安全保障体系的建设，必须进行科学的规划，以用户身份认证为基础，信息安全保密为核心，网络边界防护和信息安全管理为辅助，建立全面有机的安全整体，从而建立真正有效