信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
信息安全是壹門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。
信息安全的實現目標
◆ 真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別。
◆ 保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。
◆ 完整性:保證數據的壹致性,防止數據被非法用戶篡改。
◆ 可用性:保證合法用戶對信息和資源的使用不會被不正當地拒絕。
◆ 不可抵賴性:建立有效的責任機制,防止用戶否認其行為,這壹點在電子商務中是極其重要的。
◆ 可控制性:對信息的傳播及內容具有控制能力。
◆ 可審查性:對出現的網絡安全問題提供調查的依據和手段
主要的信息安全威脅
◆ 竊取:非法用戶通過數據竊聽的手段獲得敏感信息。
◆ 截取:非法用戶首先獲得信息,再將此信息發送給真實接收者。
◆ 偽造:將偽造的信息發送給接收者。
◆ 篡改:非法用戶對合法用戶之間的通訊信息進行修改,再發送給接收者。
◆ 拒絕服務攻擊:攻擊服務系統,造成系統癱瘓,阻止合法用戶獲得服務。
◆ 行為否認:合法用戶否認已經發生的行為。
◆ 非授權訪問:未經系統授權而使用網絡或計算機資源。
◆ 傳播病毒:通過網絡傳播計算機病毒,其破壞性非常高,而且用戶很難防範。
信息安全威脅的主要來源
◆ 自然災害、意外事故;
◆ 計算機犯罪;
◆ 人為錯誤,比如使用不當,安全意識差等;
◆ "黑客" 行為;
◆ 內部泄密;
◆ 外部泄密;
◆ 信息丟失;
◆ 電子諜報,比如信息流量分析、信息竊取等;
◆ 信息戰;
◆ 網絡協議自身缺陷缺陷,例如TCP/IP協議的安全問題等等。
信息安全策略
信息安全策略是指為保證提供壹定級別的安全保護所必須遵守的規則。實現信息安全,不但靠先進的技術,而且也得靠嚴格的安全管理,法律約束和安全教育:
◆ 先進的信息安全技術是網絡安全的根本保證。用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然後集成先進的安全技術,形成壹個全方位的安全系統;
◆ 嚴格的安全管理。各計算機網絡使用機構,企業和單位應建立相應的網絡安全管理辦法,加強內部管理,建立合適的網絡安全管理系統,加強用戶管理和授權管理,建立安全審計和跟蹤體系,提高整體網絡安全意識;
◆ 制訂嚴格的法律、法規。計算機網絡是壹種新生事物。它的許多行為無法可依,無章可循,導致網絡上計算機犯罪處於無序狀態。面對日趨嚴重的網絡上犯罪,必須建立與網絡安全相關的法律、法規,使非法分子懾於法律,不敢輕舉妄動。
信息安全涉及的主要問題
◆ 網絡攻擊與攻擊檢測、防範問題
◆ 安全漏洞與安全對策問題
◆ 信息安全保密問題
◆ 系統內部安全防範問題
◆ 防病毒問題
◆ 數據備份與恢復問題、災難恢復問題
信息安全技術簡介
目前,在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:
◆ 防火墻:防火墻在某種意義上可以說是壹種訪問控制產品。它在內部網絡與不安全的外部網絡之間設置障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。主要技術有:包過濾技術,應用網關技術,代理服務技術。防火墻能夠較為有效地防止黑客利用不安全的服務對內部網絡的攻擊,並且能夠實現數據流的監控、過濾、記錄和報告功能,較好地隔斷內部網絡與外部網絡的連接。但它其本身可能存在安全問題,也可能會是壹個潛在的瓶頸。
◆ 安全路由器:由於WAN連接需要專用的路由器設備,因而可通過路由器來控制網絡傳輸。通常采用訪問控制列表技術來控制網絡信息流。
◆ 虛擬專用網(VPN):虛擬專用網(VPN)是在公***數據網絡上,通過采用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。VPN的構築通常都要求采用具有加密功能的路由器或防火墻,以實現數據在公***信道上的可信傳遞。
◆ 安全服務器:安全服務器主要針對壹個局域網內部信息存儲、傳輸的安全保密問題,其實現功能包括對局域網資源的管理和控制,對局域網內用戶的管理,以及局域網中所有安全相關事件的審計和跟蹤。
◆ 電子簽證機構--CA和PKI產品:電子簽證機構(CA)作為通信的第三方,為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證證書,為用戶提供成員身份驗證和密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務,將成為所有應用的計算基礎結構的核心部件。
◆ 用戶認證產品:由於IC卡技術的日益成熟和完善,IC卡被更為廣泛地用於用戶認證產品中,用來存儲用戶的個人私鑰,並與其它技術如動態口令相結合,對用戶身份進行有效的識別。同時,還可利用IC卡上的個人私鑰與數字簽名技術結合,實現數字簽名機制。隨著模式識別技術的發展,諸如指紋、視網膜、臉部特征等高級的身份識別技術也將投入應用,並與數字簽名等現有技術結合,必將使得對於用戶身份的認證和識別更趨完善。
◆ 安全管理中心:由於網上的安全產品較多,且分布在不同的位置,這就需要建立壹套集中管理的機制和設備,即安全管理中心。它用來給各網絡安全設備分發密鑰,監控網絡安全設備的運行狀態,負責收集網絡安全設備的審計信息等。
◆ 入侵檢測系統(IDS):入侵檢測,作為傳統保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統中不可或缺的反饋鏈。
◆ 安全數據庫:由於大量的信息存儲在計算機數據庫內,有些信息是有價值的,也是敏感的,需要保護。安全數據庫可以確保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。
◆ 安全操作系統:給系統中的關鍵服務器提供安全運行平臺,構成安全WWW服務,安全FTP服務,安全SMTP服務等,並作為各類網絡安全產品的堅實底座,確保這些安全產品的自身安全。
參考資料:
/view/17249.htm
通過以上妳搞懂了信息安全,接下來告訴妳網路與信心安全,它是個學科的專業,我的壹個朋友的專業就是網絡與信息安全,(妳區別以下就行了 )我估計網絡與信息安全是信息安全的壹個分支。
網路信息安全的關鍵技術(轉)
---- 近幾年來,Internet技術日趨成熟,已經開始了從以提供和保證網絡聯通性為主要目標的第壹代Internet技術向以提供網絡數據信息服務為特征的第二代Internet技術的過渡。與此同時,數以萬計的商業公司、政府機構在多年的猶豫、觀望之後,意識到采用Internet技術並使企業數據通信網絡成為Internet的延伸已成為發展趨勢。這使得企業數據網絡正迅速地從以封閉型的專線、專網為特征的第二代技術轉向以Internet互聯技術為基礎的第三代企業信息網絡。所有這些,都促使了計算機網絡互聯技術迅速的大規模使用。
----眾所周知,作為全球使用範圍最大的信息網,Internet自身協議的開放性極大地方便了各種計算機連網,拓寬了***享資源。但是,由於在早期網絡協議設計上對安全問題的忽視,以及在使用和管理上的無政府狀態,逐漸使Internet自身的安全受到嚴重威脅,與它有關的安全事故屢有發生。對網絡安全的威脅主要表現在:非授權訪問、冒充合法用戶、破壞數據完整性、幹擾系統正常運行、利用網絡傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。
防火墻
----“防火墻”是近年發展起來的壹種重要安全技術,其特征是通過在網絡邊界上建立相應的網絡通信監控系統,達到保障網絡安全的目的。防火墻型安全保障技術假設被保護網絡具有明確定義的邊界和服務,並且網絡安全的威脅僅來自外部網絡,進而通過監測、限制、更改跨越“火墻”的數據流,通過盡可能地對外部網絡屏蔽有關被保護網絡的信息、結構,實現對網絡的安全保護。
----“防火墻”技術是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的壹種手段。它所保護的對象是網絡中有明確閉合邊界的壹個網塊。它的防範對象是來自被保護網塊外部的對網絡安全的威脅。所謂“防火墻”則是綜合采用適當技術在被保護網絡周邊建立的分隔被保護網絡與外部網絡的系統。可見,防火墻技術最適合於在企業專網中使用,特別是在企業專網與公***網絡互連時使用。
----建立“防火墻”是在對網絡的服務功能和拓撲結構仔細分析的基礎上,在被保護網絡周邊通過專用軟件、硬件及管理措施的綜合,對跨越網絡邊界和信息提供監測、控制甚至修改的手段。實現防火墻所用的主要技術有數據包過濾、應用網關(Application Gateway)和代理服務器(Proxy Server)等。在此基礎上合理的網絡拓撲結構及有關技術(在位置和配置上)的適度使用也是保證防火墻有效使用的重要因素。
加密型網絡安全技術
----通常網絡系統安全保障的實現方法可以分為兩大類:以防火墻技術為代表的被動防衛型和建立在數據加密、用戶授權確認機制上的開放型網絡安全保障系統。
----以數據加密和用戶確認為基礎的開放型安全保障技術是普遍適用的,是對網絡服務影響較小的壹種途徑,並可望成為網絡安全問題的最終的壹體化解決途徑。這壹類技術的特征是利用現代的數據加密技術來保護網絡系統中包括用戶數據在內的所有數據流。只有指定的用戶或網絡設備才能夠解譯加密數據,從而在不對網絡環境作特殊要求的前提下從根本上解決網絡安全的兩大要求(網絡服務的可用性和信息的完整性)。這類技術壹般不需要特殊的網絡拓撲結構的支持,因而實施代價主要體現在軟件的開發和系統運行維護等方面。這類方法在數據傳輸過程中不對所經過的網絡路徑的安全程度作要求(因而不會受之影響),從而真正實現網絡通信過程的端到端的安全保障。目前已經有了相當數量的以不同方法實施的這壹類安全保障系統。但是由於大部分數據加密算法源於美國,並且受到美國出口管制法的限制而無法在以國際化為特征的 Internet網絡上大規模使用,因而目前以這壹途徑實現的系統大多局限在應用軟件層次。在網絡層次上應用和實現的網絡壹般相對規模較小,限制了以此作為基礎的全面的網絡安全解決方案的產生。但預計在未來3~5年內,這壹類型的網絡安全保障系統有希望成為網絡安全的主要實現方式。
----1. 分類
----數據加密技術可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。
----對稱型加密使用單個密鑰對數據進行加密或解密,其特點是計算量小、加密效率高。但是此類算法在分布式系統上使用較為困難,主要是密鑰管理困難,使用成本較高,保安性能也不易保證。這類算法的代表是在計算機專網系統中廣泛使用的DES(Digital Encryption Standard)算法。
----不對稱型加密算法也稱公用密鑰算法,其特點是有二個密鑰(即公用密鑰和私有密鑰),只有二者搭配使用才能完成加密和解密的全過程。由於不對稱算法擁有兩個密鑰,它特別適用於分布式系統中的數據加密,在Internet中得到了廣泛應用。其中公用密鑰在網上公布,為數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的收信方妥善保管。
----不對稱加密的另壹用法稱為“數字簽名(Digital signature)”,即數據源使用其密鑰對數據的校驗和(Check Sum)或其他與數據內容有關的變量進行加密,而數據接收方則用相應的公用密鑰解讀“數字簽名”,並將解讀結果用於對數據完整性的檢驗。在網絡系統中得到應用的不對稱加密算法有RSA算法和美國國家標準局提出的DSA算法(Digital Signature Algorithm)。不對稱加密法在分布式系統中應用時需註意的問題是如何管理和確認公用密鑰的合法性。
----不可逆加密算法的特征是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有同樣的輸入數據經過同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發問題,適合在分布式網絡系統上使用,但是其加密計算工作量相當可觀,所以通常用於數據量有限的情形下的加密,如計算機系統中的口令就是利用不可逆算法加密的。近來隨著計算機系統性能的不斷改善,不可逆加密的應用逐漸增加。在計算機網絡中應用較多的有RSA公司發明的MD5算法和由美國國家標準局建議的可靠不可逆加密標準(SHS:Secure Hash Standard)。
----2. 應用
----加密技術用在網絡安全方面通常有兩種形式,即面向網絡或面向應用服務。
----前者通常工作在網絡層或傳輸層,使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息,從而保證網絡的連通性和可用性不受損害。在網絡層上實現的加密技術對於網絡應用層的用戶通常是透明的。此外,通過適當的密鑰管理機制,使用這壹方法還可以在公用的互連網絡上建立虛擬專用網絡,並保障虛擬專用網上信息的安全性。SKIP協議即是近來IETF在這壹方面努力的結果。
----面向網絡應用服務的加密技術,則是目前較為流行的加密技術的使用方法,例如使用Kerberos服務的Telnet、NFS、Rlogin等,以及用作電子郵件加密的PEM(Privacy Enhanced Mail)和PGP(Pretty Good Privacy)。這壹類加密技術的優點在於實現相對較為簡單,不需要對電子信息(數據包)所經過的網絡的安全性能提出特殊要求,對電子郵件數據實現了端到端的安全保障。
漏洞掃描技術
----漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術。它查詢TCP/IP端口,並紀錄目標的響應,收集關於某些特定項目的有用信息,如正在進行的服務,擁有這些服務的用戶,是否支持匿名登錄,是否有某些網絡服務需要鑒別等。這項技術的具體實現就是安全掃描程序。
----早期的掃描程序是專門為Unix系統編寫的,隨後情況就發生了變化。現在很多操作系統都支持TCP/IP,因此,幾乎每壹種平臺上都出現了掃描程序。掃描程序對提高Internet安全發揮了很大的作用。
----在任何壹個現有的平臺上都有幾百個熟知的安全脆弱點。人工測試單臺主機的這些脆弱點要花幾天的時間。在這段時間裏,必須不斷進行獲取、編譯或運行代碼的工作。這個過程需要重復幾百次,既慢又費力且容易出錯。而所有這些努力,僅僅是完成了對單臺主機的檢測。更糟糕的是,在完成壹臺主機的檢測後,留下了壹大堆沒有統壹格式的數據。在人工檢測後,又不得不花幾天的時間來分析這些變化的數據。而掃描程序可在在很短的時間內就解決這些問題。掃描程序開發者利用可得到的常用攻擊方法,並把它們集成到整個掃描中。輸出的結果格式統壹,容易參考和分析。
----從上述事實可以看出:掃描程序是壹個強大的工具,它可以用來為審計收集初步的數據。如同壹桿霰彈獵槍,它可以快速而無痛苦地在大範圍內發現已知的脆弱點。
----在掃描程序的發展中,已有的掃描程序大約有幾十種,有的快捷小巧,能夠很好地實現某個單壹功能;有的功能完善,界面友好,曾經名噪壹時。至今,仍然被廣泛使用的掃描程序有NSS、Strobe、SATAN、Ballista、Jakal、 IdentTCPscan、Ogre、WebTrends Security Scanner、CONNECT、FSPScan、XSCAN、 ISS。
入侵檢測技術
----人們發現只從防禦的角度構造安全系統是不夠的。因此,人們開始尋求其他途徑來補充保護網絡的安全,系統脆弱性評估及入侵檢測的研究課題便應運而生。入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程。它不僅檢測來自外部的入侵行為,同時也指內部用戶的未授權活動。入侵檢測應用了以攻為守的策略,它所提供的數據不僅有可能用來發現合法用戶濫用特權,還有可能在壹定程度上提供追究入侵者法律責任的有效證據。
----從20世紀80年代初開始,國外就有壹些研究機構及學校著手有關系統脆弱性分類的研究,如Information Science Institute、Lawrence Livermore National Laboratories 以及UC Davis Computer Security Lab等。系統脆弱性的研究壹方面因為 Internet的迅速膨脹,另壹方面因為入侵檢測的興起。對入侵檢測的研究機構也有不少,其中有 Stanford Research Institute 的Computer Science Laboratory(SRI/CSL), Purdue University 的 COAST (Computer Operations Audit and Security Technology)研究小組,以及美國國家能源部的Lawrence Livermore National Laboratory等機構。系統脆弱性的研究目前仍不很成熟,因為系統脆弱性的涵蓋面很廣,而且還在不斷地增加,對於脆弱性的分類也會因新的漏洞被發現而相應地發展補充,所以它是壹個動態的過程。另外,針對不同的目的也要求分類方法有所差別。對於入侵檢測的研究,從早期的審計跟蹤數據分析,到實時入侵檢測系統,到目前應用於大型網絡和分布式系統,基本上已發展成具有壹定規模和相應理論的課題。
----(1) 從具體的檢測方法上,將檢測系統分為基於行為的和基於知識的兩類。
----基於行為的檢測指根據使用者的行為或資源使用狀況的正常程度來判斷是否發生入侵,而不依賴於具體行為是否出現來檢測,即建立被檢測系統正常行為的參考庫,並通過與當前行為進行比較來尋找偏離參考庫的異常行為。例如壹般在白天使用計算機的用戶,如果他突然在午夜註冊登錄,則被認為是異常行為,有可能是某入侵者在使用。基於行為的檢測也被稱為異常檢測(Anomaly Detection)。
----基於知識的檢測指運用已知攻擊方法,根據已定義好的入侵模式,通過判斷這些入侵模式是否出現來判斷。因為很大壹部分入侵是利用了系統的脆弱性,通過分析入侵過程的特征、條件、排列以及事件間關系,具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有警戒作用,因為只要部分滿足這些入侵跡象就意味著可能有入侵發生。基於知識的檢測也被稱為誤用檢測(Misuse Detection)。
----(2) 根據檢測系統所分析的原始數據不同,可入侵檢測分為來自系統日誌和網絡數據包兩種。
----操作系統的日誌文件中包含了詳細的用戶信息和系統調用數據,從中可分析系統是否被侵入以及侵入者留下的痕跡等審計信息。隨著Internet的推廣,網絡數據包逐漸成為有效且直接的檢測數據源,因為數據包中同樣也含有用戶信息。入侵檢測的早期研究主要集中在主機系統的日誌文件分析上。因為用戶對象局限於本地用戶,隨著分布式大型網絡的推廣,用戶可隨機地從不同客戶機上登錄,主機間也經常需要交換信息。尤其是Internet的廣泛應用,據統計入侵行為大多數發生在網絡上。這樣就使入侵檢測的對象範圍也擴大至整個網絡。
----在現有的實用系統中,還可根據系統運行特性分為實時檢測和周期性檢測,以及根據檢測到入侵行為後是否采取相應措施而分為主動型和被動型。對於入侵檢測系統的分類可用下圖表示:
----以上僅對網絡信息安全方面的若幹技術做了壹個簡要的介紹。從中我們可以看到,與計算機黑客的鬥爭,是壹個“道高壹尺,魔高壹丈”過程。尤其在最近壹年裏,黑客的行為表現得更為組織化、規模化,其技術水平普遍都有了很大的提高。如果想要在這場此消彼長的鬥爭中保持主動,那麽就必須保持壹支專業隊伍,不斷跟蹤黑客技術,研究其行為特點,提出自己的反黑客理論及方法,通過深入研究黑客技術,有效地提高系統的管理和應用水平。