信息安全技术（互联网专业学科术语）

信息安全技术（互联网专业学科术语）互联网专业学科术语01专业简介实验室技术组成创新点目录03020405技术问题专业热点安全策略目录0706基本信息信息安全技术是信息管理与信息系统专业本科学生的一门专业课。随着计算机技术的飞速发展，计算机信息安全问题越来越受**。学生掌握必要的信息安全管理和安全防范技术是非常必要的。通过对本门课程的学习，学生可掌握计算机信息安全的基本原理和当今流行的信息安全设置、安全漏洞、防火墙的策略与实现、黑客原理与防范，以便能够使学生胜任信息系统的实现、运行、管理与维护等相关的工作。专业简介职业分析学科组成专业简介主要课程获得证书意义010302040506专业简介职业分析本专业是培养拥护党的基本路线，适应我国全面建设小康社会实际需要，在生产、建设、服务和管理第一线需要的，具备宽厚扎实的基础理论知识和专业知识的基础上，重点掌握信息安全的基本理论、基本知识、基本技能及综合应用方法；熟悉国家信息安全管理的政策和法律法规，了解信息安全的发展动向和新技术；具有良好的职业道德、敬业与创新精神的高素质技能型人才。

学科组成密码应用技术：主要用于保障计算机信息的机密性、完整性和抗御外部入侵等。信息安全技术：主要用于防止系统漏洞，防止外部黑客入侵，防御病毒破坏和对可疑访问进行有效控制等。数据灾难与数据恢复技术：一旦计算机发生意外、灾难等，可使用备份还原及数据恢复技术将丢失的数据找回。操作系统维护技术：操作系统作为一切操作的平台，在进行相应的计算机信息安全处理前必须对操作平台有一个系统全面的了解。专业简介信息安全技术信息安全具有专业“新”、资格证书“硬”、毕业生“少”，需求部门“多”、用人单位“大”，就业前景“广”等特点。本专业培养德、智、体全面发展，能够从事计算机、电子信息、金融、商务、政务和防务等与IT有关的信息安全技术领域的应用、管理方面一线工作，能胜任信息处理技术员工作：从事信息安全产品的销售、安装、维护与用户培训工作，能熟练地安装和维护网络设备的应用型高技能人才。主要课程计算机基础（含注册表设置）、计算机信息安全概论、计算机组成原理、高级语言程序设计、数据结构、计算机网络技术（含MSWindows2003）、CISCO路由器交换机安全应用基础、操作系统安全、入侵检测与防火墙技术、计算机病毒与黑客防范、ORACLE数据库设计、TCP/IP网络编程、Web网页开发技术、网络操作系统及服务器管理等。获得证书信息安全技术规范（1）信息处理员证书（2）微软安全认证ISA（3）信息系统安全专家CISSP认证（4）思科安全专家CCSP认证意义①数据的完整性：它包括数据单元完整性和数据单位序列完整性。②数据的可用性：就是要保障网络中数据无论在何时，无论经过何种处理，只要需要，信息必须是可用的。③数据的保密性：即网络中的数据必须按照数据的拥有者的要求保证一定的秘密性。具有敏感性的秘密信息，只有得到拥有者的许可，其他人才能够获得该信息，网络系统必须能够防止信息的非授权访问或泄露。④合法使用性：即网络中合法用户能够正常得到服务，正常使自己合法地访问资源和信息，而不至于因某种原因遭到拒绝或无条件的阻止。技术组成技术组成信息安全的内涵在不断地延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。信息网络常用的基础性安全技术包括以下几方面的内容。身份认证技术：用来确定用户或者设备身份的合法性，典型的手段有用户名口令、身份识别、PKI证书和生物认证等。加解密技术：在传输过程或存储过程中进行信息数据的加解密，典型的加密体制可采用对称加密和非对称加密。边界防护技术：防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内部网络操作环境的特殊网络互连设备，典型的设备有防火墙和入侵检测设备。访问控制技术：保证网络资源不被非法使用和访问。访问控制是网络安全防范和保护的主要核心策略，规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以权限控制。主机加固技术：操作系统或者数据库的实现会不可避免地出现某些漏洞，从而使信息网络系统遭受严重的威胁。主机加固技术对操作系统、数据库等进行漏洞加固和保护，提高系统的抗攻击能力。安全审计技术：包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的网络行为审计，确认行为的合规性，确保管理的安全。实验室实验室哈工大计算机网络与信息安全技术研究中心成立于2003年3月，建有信息安全本科专业、计算机科学与技术硕士点、计算机系统结构博士点和博士后流动工作站。该中心主要研究方向包括网络与信息安全、信息内容安全、网络测量、网络计算技术等，研究基础雄厚，成果卓著。本实验室共承担国家信息安全重大项目4项，国家973项目2项，国家自然科学基金项目5项，国家“863”项目6项，其他国家部委项目近20项。获得国家科技进步奖一等奖1项、国家科技进步奖二等奖2项，国家部委科技进步奖6项。在国内外重点期刊发表文章逾500篇。实验室现有教授4人，副教授6人，其中博士生导师2人，在校研究生100余人。业已形成一支目标明确，富有干劲，能够攻坚的老、中、青相结合的科研队伍。创新点创新点随着互联网应用的快速发展，信息安全已深入到诸多领域，越来越多的企业用户和个人用户开始沉下心来，认真思考着一个问题：当各种各样针对应用的安全威胁来临之时，如何在日益增长并更为复杂的各种应用中有效地进行自我保护，如何将思路创新、技术创新的破冰之计与信息安全更好地融合在一起，守好自己的那一方阵地？要有效保证信息安全，其中之一就是要做好数据抢救措施，如加入数据恢复、数据备份、数据销毁等信息安全防御措施。常用的数据恢复技术包括效率源DataCompass数据指南针、HDDoctor、DCK硬盘复制机等。其实，从较为完整的经典网络安全防护模型--APPDRR中，可以看到网络安全需要的基本要素是：分析、安全策略、保护、检测、响应和恢复，针对这六个基本要素，需要重点**安全测试评估、安全存储、主动实施防护模型与技术、网络安全事件监控、恶意代码防范与应急响应、数据备份与可生存性六项技术，及衍生而来的可信计算平台技术和网络安全管理与UTM技术的创新点。4月12日，在2007中国电子信息创新技术年会上，中国工程院院士、信息产业部互联网应急处理协调办公室主任方滨兴，畅谈了自己对这八项重点技术创新点的看法。（一）安全测试评估技术安全是网络正常运行的前提。技术问题技术问题电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全（一）计算机网络安全的内容包括（1）未进行操作系统相关安全配置不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。（2）未进行CGI程序代码审计如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。（3）拒绝服务（DoS，DenialofService）攻击随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。安全策略加密技术防火墙入侵检测系统容灾管理策略12345安全策略加密技术信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。链路加密的目的是保护网络节点之间的链路信息安全；节点加密的目的是对源节点到目的节点之间的传输链路提供保护；端--端加密的目的是对源端用户到目的端用户的数据提供保护。在保障信息安全各种功能特性的诸多技术中，密码技术是信息安全的核心和关键技术，通过数据加密技术，可以在一定程度上提高数据传输的安全性，保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥，密钥控制加密和解密过程，一个加密系统的全部安全性是基于密钥的，而不是基于算法，所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过加密系统把原始的数字信息(明文)，按照加密算法变换成与明文完全不同得数字信息(密文)的过程。假设E为加密算法，D为解密算法，则数据的加密解密数学表达式为：P=D(KD，E(KE，P))。数据加密算法有很多种，密码算法标准化是信息化社会发展得必然趋势，是世界各国保密通信领域的一个重要课题。按照发展进程来分，经历了古典密码、对称密钥密码和公开密钥密码阶段，古典密码算法有替代加密、置换加密；对称加密算法包括DES和AES；非对称加密算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal算法等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法。防火墙防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域与安全区域的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型，并在计算机网络得到了广泛的应用。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用，比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络。入侵检测随着网络安全风险系数不断提高，作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统，该系统处于防火墙之后，可以和防火墙及路由器配合工作，用来检查一个LAN网段上的所有通信，记录和禁止网络活动，可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析，通过集中控制台来管理、检测。理想的入侵检测系统的功能主要有：（1）用户和系统活动的监视与分析；（2）系统配置极其脆弱性分析和审计；（3）异常行为模式的统计分析；（4）重要系统和数据文件的完整性监测和评估；（5）操作系统的安全审计和管理；系统容灾一个完整的网络安全体系，只有“防范”和“检测”措施是不够的，还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失，一旦发生漏防漏检事件，其后果将是灾难性的。此外，天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能完整地保护网络信息系统的安全。主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障，不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器，在两者之间建立复制关系，一个放在本地，另一个放在异地。本地存储器供本地备份系统使用，异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连，构成完整的数据容灾系统，也能提供数据库容灾功能。集群技术是一种系统级的系统容错技术，通过对系统的整体冗余和容错来解决系统任何部件实效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现，分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合，构成一体化的数据容灾备份存储系统，是数据技术发展的重要阶段。随着存储网络化时代的发展，传统的功能单一的存储器，将越来越让位于一体化的多功能网络存储器。管理策略除了使用上述技术措施之外，在网络安全中，通过制定相关的规章制度来加强网络的安全管理，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：首先要制订有关人员出入机房管理制度和网络操作使用规程；其次确定安全管理等级和安全管理范围；第三是制定网络系统的维护制度和应急措施等。专业热点产业热点新热点专业热点新热点存储在硬盘、光盘、软盘、U盘等计算机存储设备中的信息如果丢失或被破坏而又没有备份的时候，这是让人非常头痛的事情。由于采取一般的手段很难恢复，因此数据修复成为许多人**的难点和热点.国家信息中心已经在信息安全领域积累了丰富的经验，并具有了一定实力。其所属的信息安全研究与服务中心在引进国际先进的数据修复技术的基础上，自主开发了适合中国计算机用户的数据修复技术达到了国内先进水平，已经可以提供数据修复服务。DRS数据修复是采用硬件检修处理和数据重组的特殊技术来修复受损数据，这种方法可以最大可能恢复原有数据。这种方法修复数据可以做到3个“不限”：1、不限故障类型不论是由病毒、系统故障、误操作、升级或安装软件等逻辑损