时间:2022-06-06 17:39:17
许多信息安全技术和标准在现有的其他系统中都已经有了很好的应用,这些技术和标准可以为RFID的信息安全所借鉴。比如在银行卡授权和大楼出入系统等应用中,已经有许多安全标准被采用,如ISO15693数据认证标准。而RFID技术又有其自身的特点,所以现行的安全规范如果应用于RFID系统也可能会引起一些问题。举例而言,如果对标签进行加密,就会大大消耗标签的处理能力,并增加标签的成本。
RFID应用中存在的信息安全问题在标签、网络和数据这三个层面均可能出现,所以本文就这三个方面对RFID的信息安全技术进行了分析。
标签上的“隐私”
标签的体积虽小,但是其潜在的安全问题却不容忽视。对于刚刚使用RFID的企业,RFID标签很容易被黑客、商店扒手或不满的职员所操控。大多数支持EPCglobal标准的无源标签只能写入一次,但是支持ISO等其他标准的RFID标签,就具备多次写入的功能。2005年春天,支持EPCgolbal超频第二代协议的RFID标签大量上市,这些标签也支持多次写入功能,由于没有写保护功能,这些无源标签可以被更改或写入“好几千次”,DN系统企业互联网解决方案公司的咨询师Lukas Grunwald说。
为了应对RFID标签的安全问题,很多建议、技术已经规范开始出现。
例如,给每一个产品惟一的电子产品代码,类似于汽车的牌照号码,一旦有人想破坏安全,他得到的只是单个产品的信息,这样的话,就不值得花时间去解码。不过,Unisys Corp的全球可视贸易方案副总裁Peter Regen认为这种方法门槛太高,没有人会这么做。
新的EPCgolbal超频第二代协议标准增强了无源标签的安全性能。据EPCglobal产品管理总监Sue Hutchinson介绍,新标准不仅提供了密码保护,而且能对数据从标签传输到读取器的过程进行加密,而不是对标签上的数据进行加密。
隐私安全问题主要体现在RFID标签上。一种想法是“软屏蔽器”(soft blocker)。它能加大对顾客的隐私偏好的保护,不过这是在商品已经购买之后。在销售点,顾客会出示其会员卡,通过这张卡就能看到其隐私偏好的数据。“商品购买之后,销售点就会立即对隐私数据进行更新,保证这些数据不会被某些读取器读取,比如供应链读取器。”RSA实验室RFID解决方案构架师Dan Bailey说。软屏蔽器可能是解决RFID标签隐私问题的一个好办法,在EPCglobal第二代标签中就加入了这种功能。
借鉴其他网络技术
在零售商店中,或者在货物从一个地点运输到另一个地点的过程中,有很多机会可以覆盖甚至修改RFID标签上的数据。这种漏洞在公司用来处理贴有RFID标签的货箱、托盘或其他货物的网络上同样存在。这些网络分布在公司的配送中心、仓库或商店的后台。未经安全处理的无线网络,给拦截数据带来了机会。而在RFID读取器的后端是非常标准化的互联网基础设施,因此,RFID后端的网络存在的安全问题及其机会和互联网是一样的。
在读取器后端的网络中,完全可以借鉴现有的互联网络的各种安全技术。
解决办法是,确保网络上的所有阅读器在传送信息给中间件(中间件再把信息传送给企业系统)之前都必须通过验证,并且确保阅读器和后端系统之间的数据流是加密的。部署RFID阅读器时应采取一些非常切合实际的措施,确保验证后方可连入企业网络,并且不会因为传输而被其他人窃取重要信息。比如,基于Symbol Technologies和ThingMagic等公司的技术的阅读器支持标准的网络技术,包括防止未授权者访问的内置验证方法。
为了防止有人窃听RFID阅读器发出的功率较高的信号,一个办法是采用名为“无声爬树”的反窃听技术。RSA实验室的首席科学家兼主任Burt Kaliski表示,在RFID无线接口的限制范围内,这种方法可确保阅读器绝不重复发送标签上的信息。RFID标签上的数字不是由阅读器播送,而是被间接引用,接收端中间件知道如何解释这些数字,而窃听者却不知道。
“透明”引发的数据危机
虽然RFID技术的应用提高了整个供应链的透明度,但由此也引发了人们对数据安全的担忧。企业对数据需要有很强的安全感,对于企业而言,他们的数据,包括和他们业务相关的信息数据,不再仅仅是他们自己的数据,也是他们贸易伙伴的数据,VeriSign公司解决方案市场营销经理Beth Lovett说。
BSI(德国联邦信息安全办公室)也对RFID系统数据保护提出了要求,据该办公室的评估,在系统设计中包含数据安全和匿名个人信息的要求应该尽快执行,为了在充分利用RFID带来的机会的同时尽量减少对隐私安全的威胁,在RFID系统设计和市场应该在初期就颁布数据保护法。
到目前为止,在EPCglobal网络上使用哪个标准来保障数据安全还没有清晰确定。而最新的版本EPCglobal Certificate Profile V1.0在2006年3月已经正式公布在EPCglobal网站上。安全规范涵盖了EPCglobal Network所有组件间的数据安全,从企业间透过EPCIS接口的数据交换,到RFID Reader与Middleware的沟通,以及Reader管理系统等。
当数据在EPCglobal网络上交换时,现有的一些安全手段,比如防火墙和其他接入管理技术可以用来保护数据安全,并确保只有被授权者才能接触到数据。一些公司具有很好的数据安全实践,他们可以把经验应用到RFID项目上。
有关RFID数据安全问题,还有一些技术正在开发中。
比如,SAP正与合作伙伴共同开发新的数据库查询技术,可以让商品生产商和零售商交换RFID数据,不必在无法由数据所有者控制的服务器上建立数据副本,一些数据存放在中央虚拟资料库中,而其他重要数据分开查询。SAP公司全球业务开发副总裁Amar Singh说,“采用我们的技术后,零售商不用再把查询信息公布在虚拟环境中的某个地方。他们可以直接从制造商那儿获得查询的数据。”数据出现的地方越多,风险就越大。
预计现有的安全方法,如防火墙及其他访问管理技术,会被用于数据通过EPCglobal网络交换时只提供给授权方,确保数据安全。
惠普实验室的Pradhan认为: “我们所讨论的有关公司之间共享信息的问题,如怎样确保信息不会落入旁人之手,可借助典型的IT系统得到解决。因为就这些系统而言,我们对安全相当了解。”而进一步的开发正在进行中。
链接:RFID信息安全产品
RFID信息安全的产品,大部分也是基于标签、网络和数据这三个层面。
标签
RFID标签安全产品,主要是物理的硬件性质的。
2004年初,RSA演示了其特别设计的RSA屏蔽器标签(RSA Blocker Tag)。把这个屏蔽器装在购物袋上,RFID读取器就不能读取放在购物袋中的商品的RFID标签,系统会显示“拒绝服务”。
IBM研究人员模仿刮奖彩票的方法研究出一种在利用RFID标签时可以保护消费者隐私的方法。IBM的建议就是在标签上附加一个可以部分被破坏掉的RFID天线,这样消费者在完成购物后可以将部分天线去除,标签整体上依然可以发挥作用,但是它的可读取范围大大缩小了,从而达到保护消费者隐私权,同时也使制造商和贸易商的利益不受损害的“双赢”目的。按照协议,IBM的行列式和热感应印条码印表机将继续使用Printronix,IBM的产品组合也将Printronix无线射频辨识(RFID)加密技术纳入。
2005年9月,XINK公司开发了一种新墨水可以消除RFID标签被仿冒从而其编码系统被复制的隐患,这是一种理论上不可见的印刷墨水,在货币防伪上面已经有采用。把这种墨水与Creo公司的隐形标签技术结合,标签被仿冒的担忧就可以消除。
杜邦鉴别系统(DAS)公司制作出了3D成像技术的RFID标签用以增强产品的防伪性。3D图像可以很直观地证明信息的真实度,因此可以与RFID标签结合起来。如果有人想把正品上的防伪标签撕下贴到伪造品上去,那么3D效果的图像就整个被破坏掉了。
网络
ThingMagic公司副总裁Kevin Ashton表示,安全壳(Secure shell)和安全槽层(secure socket layer)这两大基础安全技术,有望成为RFID设备的标准。该公司已开始将这些技术集成到它们的RFID读卡器内。该公司开发的RFID读取器技术具有内置验证功能,确保“恶意读取器”无法窃取数据。而且同时必须确保网络上所有的RFID读取器,在传输数据到中间设备然后再到系统之前,都要经过验证。
在读取器后端的RFID网络中的信息安全问题的解决方法,完全可以参照互联网的信息安全解决办法和一些有较好经验的公司的现有产品。
数据
关键词:网络信息安全;技术管理;计算机应用
在这个网络信息发达的时代,只有确保信息资源的安全,才能让这个计算机网络时代有条不紊的进行。首先要正确认识到网络信息的安全隐患以及表现形式,还要分析网络信息安全处理方面的计算机应用。除此之外,要正确认识到计算机与网络信息的关系,让他们有机结合起来。
一、简读网络信息安全隐患的具体表现形式
(一)肆意地窃取信息
正是因为网络信息资源在传输的过程中没有进行加密保护,这给入侵者提供了很好的窃取机会。数据包在传输的过程中会经过网关或者路由器,入侵者会选择在经过这些地方的时候窃取信息资源。由于数据在网络通道上是自由传输的,所以入侵者会根据传输的资源的模式和格局,进行数据分析和计算,从而得到精确的信息内容。如果入侵者可以随心所欲地得到自己想要的资源,实现自己利益的最大化,那么这会严重扰乱网络信息的安全传输。如果被不法分子利用,后果是不堪设想的。
(二)随意地篡改信息
当入侵者熟练地掌握了从中途获取信息的方法,那么就说明入侵者已经掌握了数据的格式,一旦掌握了数据的格式,就可以篡改从中途截取到的信息。不法分子可以利用这一点,从中截取信息后并进行篡改,然后再发送给远端用户,由于信息是在中途截取的,发送方并没有改变,所以收到信息的远端用户很难辨识出来。我们都知道计算机网络有四大特性:联结形式多样性,终端分布不均匀性,网络开放性以及互联性。虽然这些特性有利于用户的使用,但这也容易使网络遭到黑客或其他不法分子的攻击。
二、探求网络信息资源与计算机运用的结合
(一)准确地参与信息发布和采集
网络信息具有时效性,人们利用计算机上的网络资源比如天气预报,可以随时更新,保证信息的时效性以及利用率。计算机可以同时收集网络信息的外部和内部资源,收集方法也并不复杂,可以通过网络上的留言板和调查问卷等技术来实现,这样可以保证信息的采全率、及时率。
(二)全面的参与信息传输和管理
要想实现计算机与网络资源的有机结合,还要注重信息的安全管理。特别是在一些政府、企业机构等涉及到机密文件传输方面,必须要加强信息的安全管理,避免被不法分子利用,从中窃取信息,造成人财损失。要想更有效率的管理信息,就需要及时与用户进行交流,可以通过发送邮件的方式,也可以通过聊天或者网上答疑的方式及时掌握动态。
三、浅论网络信息处理与安全方面的计算机应用
(一)信息加密技术的全面运用
要想保证网络信息的安全,就必须建立有效的安全加密技术,安全的有效性也成为人们最关注的问题。在此过程中,采取安全认证等一些措施实现了信息的安全性、机密性、完整性、不可否认性以及交易者的身份认证性。如今的加密技术可以分为两类:对称加密和非对称加密。不管哪种加密技术都需要密钥,密钥也有很多种,如果选用pkezip,这种密钥不仅可以加密文件还可以压缩文件;如果选用dbms的软件包,这种加密技术是更高效的,因为这个软件包对于一些数据是无效的,只针对于需要保护的信息。在提取文件的时候需要用户输入密码,这样就更能保证计算机网络信息的安全性。
(二)身份认证技术的全速加强
目前的身份认证已经不局限于公钥密码算法,之前一般都是使用公钥密码进行身份认证。现在还可以用人的生理特征参数进行安全认证,这种认证的安全性很高,因为每个人的指纹和虹膜都是独一无二的。身份认证是一个验证用户是否拥有这个信息数据的过程,可以有效地保护信息安全,防止被其他不怀好意的用户利用,窃取信息。
(三)防火墙技术的提升应用能力
计算机一般都会使用防火墙技术,这种技术的安全防护主要有过滤、状态检测、代理服务。防火墙是一种相对成熟的安全防护技术,但是防火墙还会有一些缺点,比如:不能防范不经过防火墙的攻击,不能防止数据驱动式的攻击。但是防火墙会经常更新,会根据最近的数据更新成比较先进的技术,防火墙对所有的信息流进行过滤,然后从数据链路层到应用层进行全方位的安全防护。为了提高系统的防护能力,也可以集成一些其他安全技术,比如NAT、VPN以及病毒防护。
【关键词】计算机信息安全;信息安全防范;信息安全补偿
1.引言
信息安全事故在世界范围内时有发生,2013年3月20日韩国遭遇大规模网络攻击,KBS韩国广播公司、MBC文化广播公司、YTN韩联社电视台等广播电视网络和新韩、农协、济洲等金融机构网络以及部分保险公司网络全面瘫痪,造成部分媒体和金融服务中断,超过3.2万台计算机和大量ATM提款机无法启动[1]。调查结果是黑客所为。信息安全不容忽视,针对这些事故,我们提出了一些策略加以预防和弥补。
2.大数据时代网络信息安全
2.1 计算机信息安全的定义
国内常见的信息安全定义:计算机的硬件、软件和数据受到保护,不因偶然的和恶意的原因而遭到破坏、更改和泄露,系统能正常地运行[2]。在信息安全的原则中,基本原则方面上最小化原则、分权制衡原则和安全隔离原则是信息安全活动赖以实现的准绳,而在实施原则方面上人们在实践中总结出的宝贵经验包括:整体保护原则、谁主管谁负责原则、适度保护的等级原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向保护原则。同所有技术一样,信息技术本身也存在局限性、缺陷性或漏洞。
2.2 大数据时代网络信息安全现状
网络安全的本质其实就是信息安全,也就是保证网络中的信息的完整性、可用性、可控性、可审计性和不可否认性等等。网络在服务于用户过程中发挥的主要功能是传递信息,各种生活信息、商业信息、娱乐信息均可借助网络平台操作处理。正计算机网络的广泛性、匿名性、隐蔽性和多样性以及其他计算机自身原因,使得信息安全日益严峻,其中在人为威胁下比较典型的安全威胁有黑客攻击、拒绝服务攻击、假冒服务攻击、网络病毒攻击、中间人攻击和重放攻击。在这些人为威胁下,信息安全还必须考虑自然的威胁。信息系统都是在一定自然环境下运行的,自然灾害对信息系统容易造成毁灭性的破坏,地震、水灾、火灾和雷击都可造成毁灭性的破坏,甚至鼠患,潮湿都可能造成极大的损失。网络无处不在,安全威胁也是无所不在,解决通信网络信息安全的方案包括分层安全防御与运营、Ip安全平台、虚拟化与应用安全交付、安全运维自动化与智能化、安全增值业务、电信业信息技术的风险管理、云安全、Web应用安全、无线安全等[3]。
2.3 大数据时代网络信息安全保护思考方向
信息安全是一门复杂容纳多种学科的专业工程。由规范化的信息安全管理内容组建以风险和策略为核心的控制方法促使信息安全管理的内容实施,并通过定性分析和定量度量的信息安全测评确保任务的顺利进行和成果验收,以此为基本内容建立一套完善的信息安全管理体系[4]。同时,为达到保护信息安全,应建立起系统运行维护的管理体系,将信息安全管理合并信息系统的审核统计以及内部控制体系的强效监控与信息技术服务体系高效结合,高质量确保业务持续性和安全性的要求。
3.计算机本地信息安全
3.1 本地媒体信息种类
所谓的本地媒体信息通俗上来说就是指存在本地(如个人电脑,PC终端)上的信息,常见的媒体信息有文本、图形、图像、声音,音乐、视频、动画等种类。
3.2 本地媒体信息安全现状
目前,本地媒体信息面临的安全隐患可以分为以下几个方面:
(1)本地媒体信息以文件的方式存储于计算机的硬盘内存中,且大多是明文的形式存在。任何人员只要登录操作系统,就能获得本地数据的完全控制权,这其中包括删除数据,篡改数据内容、拷贝数据内容等操作,造成非法访问,数据泄漏;
(2)当用户在使用本地媒体信息时,由于操作不当造成数据丢失,系统崩溃,硬件的损坏等也会使本地信息的安全受到威胁:
(3)由于病毒等恶意程序的入侵使得本地媒体信息受到破坏。会造成一些敏感数据(如财务报表等)和各种账号(如QQ账号密码:支付宝账号和密码,网上股票交易的账号密码等)的泄漏;
3.3 保护本地信息的必要性及影响
随着社会的进步科学的发展,计算机与人们的生活已息息相关,应用范围已经涉及到各行各业,但是计算机本地数据泄漏、被盗的也越来越多。如果计算机本地媒体信息的安全得不到保障,将会使计算机使用者带来很多的麻烦和巨大的损失,如个人信息的泄漏,银行、股票证劵公司、政府机要部门、军方数据的泄漏,被盗等。
当今世界的各行各业都与信息化有着越来越密切的联系,信息产业已经涉及到了社会的各个角落。数据安全是信息产业建设的基石,如果数据安全得不到保障,那么信息产业的发展将会受到极大的影响,将会造成不可估量的损失,甚至致使社会的进步减慢。现在IT技术发展很快,每隔一段时间就会出现新的技术和安全威胁,还将会有更多的威胁涉及到计算机本地数据的安全。如果连本地媒体信息的安全不得不到保障,那么接下来的安全问题也难以保障。
4.计算机可视媒体信息安全
4.1 可视媒体类型
可视媒体的基本类型包括四类:符号、图形、图像和视频。符号是对特定图形某种抽象的结果,我们平时经常用到的文本,就是一种符号媒体形式;图形是图像的抽象化,是对图像进行分析后产生的结果;我们所谈论的图像一般是指光学图像,在日常生活中经常见到,图像只有经过数字化处理,才能适合计算机使用[5];视频又可称作动态图像,这里所说的动态图像不是指gif,gif属于图像的范畴,视频是指通过进行一系列静态影像以电信号方式加以捕捉、纪录等进行一系列处理的技术而构成的运动视感媒体。
4.2 可视媒体现状及发展
信息安全主要是研究如何防范信息免受来自外部和内在的侵害,内在的风险是由系统的脆弱性造成的,是信息安全的内因;外在的威胁不仅会来自人为地破坏,也会来自于各种自然灾害,这是信息安全的外因。所以,对于可视媒体信息安全,这个问题也是在所难免,随着信息安全产业的不断发展,可视媒体的安全研究从可视媒体信息加密发展到可视媒体信息认证和安全分发的过程
4.3 研究可视媒体信息安全的意义
可视媒体是一种重要的信息门类,在当今社会中各个领域已被广泛接受和使用:在警务工作中,随着视频监控等技术的发展,对打击犯罪、维护社会稳定起到了重要作用;在军事工业方面,卫星、遥感技术对信息安全的要求极高,因为这关系到国家的安全,研究可视媒体信息安全有利于保卫国防;在商业领域,符号、图像、视频等资料可能记载着公司的商业秘密,一旦被别有用心的人窃取,可能将遭受不可挽回的损失。目前互联网中网络犯罪集团化趋势明显,所以,研究可视媒体信息安全非常必要,要求可视媒体安全技术水平不断提高。
5.结论
5.1 信息安全主要预防措施
随着信息安全产业的发展,产品体系逐渐健全,信息安全产品的种类不断增多,产品功能逐步向系统化方向发展,密码技术、防火墙、病毒防护、入侵检测、网络隔离、安全审计、安全管理、备份恢复等领域,取得明显进展,在此介绍一些当今社会具有代表性的技术以及对未来技术发展的构想。
5.1.1 风险评估
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对威胁、脆弱点以及由此带来的风险大小的评估[6]。风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三类:定量的评估方法运用数量指标来对风险进行评估,它通过分析风险出现的几率,风险危害程度所形成的量化值;定性的评估方法主要靠研究者的非量化资料对信息系统状况做出判断;定性与定量相结合的评估方法,两者相结合,促使评估结果准确、公正。进行信息系统风险评估,可以发现系统目前与将来发生风险的可能性,从而更好地保障信息安全。
5.1.2 人工智能综合利用
人工智能是指通过人工的方法在计算机上实现智能,在信息安全领域,人工智能主要体现在入侵检测和风险评估两个方面。入侵检测是指在不影响网络性能的情况下对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,同时收集入侵证据,为数据恢复和事故处理提供依据;风险评估模型中的智能方法层次分析法是一种对风险问题建立层次结构并根据评价者的主观判断确定各因素变量的传统的风险评估方法,模糊综合评判法是一种智能方法。在信息安全风险评估模型中,模糊综合评判是根据专家对信息系统的评价结果运用模糊逻辑和熵理论求得信息系统的风险等级,确定在某些方面采取一定程度的安全防范措施[7]。综合利用人工智能技术,可以从多方面,多层次进行信息安全管理,以确保信息系统的安全。
5.1.3 等级保护
为了加强对信息安全监管,我国制定了计算机信息系统安全保护等级划分准则(GB 17859-1999)标准,该标准涉及身份鉴别、自主访问控制等十个安全要求,将信息安全的等级分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,每一个等级包含的安全要求如图1所示,图中的高等级包含低等级的要素。信息系统安全等级保护为信息安全监管奠定了基础,等级保护作为信息安全系统分级分类保护的一项国家标准,对于提高安全建设的整体水平,增强信息安全的整体性、针对性和时效性具有重要意义。
5.1.4 信息安全管理
随着信息技术在科技、军事、企业等领域的大规模应用,信息问题越来越突出,信息安全技术趋于复杂,所以加强信息安全管理很有必要。现代管理理论创始人Henri Fayol认为,管理就是计划、组织、指挥、协调、控制。某位专家曾经说过:“信息安全管理是‘国家意志,政府行为’”,对于信息安全管理要加大力度。在物理安全方面,要做好物理访问控制和设施及防火安全;在人员方面,工作人员要做好保密工作,防止从内部造成对网络安全的威胁,用户自身要增强人员的安全意识,做好自主保护工作。信息系统的安全管理是信息安全保障工作的重要内容之一,为信息安全建设发挥了不可替代的作用。
5.2 信息安全主要补偿措施
5.2.1 转嫁风险
目前,因特网的迅速发展,网络信息安全事故也处于高发状态,图2所示,虽然信息安全技术能够起到一些抑制作用,但是通过运用转嫁风险的方法可以减少损失。转嫁风险主要靠网络信息安全保险,网络信息安全保险是指保险公司对因网络漏洞而导致恶意攻击所造成的重要资料丢失、知识产权受到侵犯、服务中断和营业收入损失等承担赔偿保险金责任的商业保险行为,是一种以信息资产安全性为保险标的的特殊保险[8]。网络信息安全保险主要是对网络灾害事故损失进行补偿的一种经济保障手段,同时也是一种合同行为,具有法律效力。另一方面,这个保险不是万能的,对于不能用金钱衡量的信息,损失将会巨大。尽管如此,转嫁风险的方法对信息安全保障建设能够起到一定的积极作用。
5.2.2 数据恢复
数据恢复技术就是在计算机系统遭受误操作、病毒侵袭、硬件故障、黑客攻击等事件后,将用户的数据从存储设备中重新恢复出来,将损失减到最小的技术。数据恢复方式主要分为软件恢复方式和硬件恢复方式。其中硬件恢复可分为硬件替代、固件修复、盘片读取三种恢复方式,硬件替代就是用同型号的好硬件替代坏硬件达到恢复数据的目的;固件修复,就是用硬盘专用修复工具,修复硬盘固件;盘片读取就是在100级的超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读出盘片上的数据数据恢复方式。软件恢复可分为系统级恢复与文件级恢复,系统级恢复就是操作系统不能启动,利用各种修复软件对系统进行修复,使系统工作正常,从而恢复数据;文件级恢复,就只是存储介质上的某个应用文件坏,如DOC文件坏,用修复软件对其修复,恢复文件的数据[9]。数据恢复不能保证可以将所有遗失的数据恢复出来,对于减小数据丢失的损失,将会起到一定作用。
5.3 信息安全预防和补偿措施的结合
目前,我国信息安全法律体系已经初步建立,但是法律法规不够完善:地方法规比较多,法律法规比较少;部分法律已经过时,无法顺应时代要求;加快制定信息安全基本法,以加强对其他法律的理论指导。对比国外信息安全法律,欧盟信息安全法律框架体系完备,早在1992就出台了信息安全相关法律,这些年来进一步完善,法律结构合理,对信息安全的监管机构、监管模式做出了规定,明确了社会人员的权利和义务,有效地规范了信息经济的发展。美国1981年成立全美计算机安全中心,之后出台了一系列信息安全法律,特别是“9.11”后,美国政府加强了对信息技术的投入和监管,采取强有力地立法措施以解决其网络及计算机系统的脆弱性问题。我国应进一步完善信息安全法律法规,借鉴他国经验,结合本国特色,形成有中国特色的信息安全法律体系。
参考文献
[1]韩国遭大规模网络攻击[OL].中国信息安全等级保护网, 2013.
[2]王斌君,景乾元,吉增瑞,等.信息安全体系[M].北京:高等教育出版社,2008.
[3]李璋.浅析网络信息安全技术[J].天津市政工程,2013 (1):37-39.
[4]邓小民.信息安全管理标准及综合应用[J].建材发展导向,2013,11(13):211-212.
[5]徐正全,徐彦彦.可视媒体信息安全[M].北京:高等教育出版社,2012.
[6]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):10-18.
[7]刘换,赵刚.人工智能在信息安全风险评估中的应用[J].北京信息科技大学学报(自然科学版),2012,4
[8]高雷,吕文豪.论建立我国网络信息安全保险体系[J].保险研究,2011(7):86-91.
[9]龚勇.Windows下数据恢复的研究[D].成都:电子科技大学,2008.
作者简介:
董承瑞,现就读于中国人民公安大学网络安全保卫学院。
宋晶乔,现就读于天津大学建筑工程学院。
徐达,现就读于中国人民公安大学网络安全保卫学院。
[关键词]电子商务信息安全加密电子商务证书电子签名
一、前言
随着通信网络技术的飞速发展和快速普及,人们的消费观念和整个商务系统也发生了巨大了变化,人们更希望通过网络的便利性来进行网络采购和交易,从而导致了电子商务(ElectronicCommerce)的出现,电子商务的发展给人们的工作和生活带来了新的尝试和便利性,但并没有像人们想象的那样普及和深入,一个很重要的原因就是电子商务的安全性。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。所以,研究和分析电子商务的安全性问题,充分借鉴国外的先进技术和经验,开发和研究出具有独立知识产权的电子商务安全产品,这些都成为目前我国发展电子商务的关键。
二、电子商务中的安全隐患可分为如下几类
1.信息的截获和窃取。如果没有采用加密措施或加密强度不够,攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上届截获数据等方式,获取输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出有用信息,如消费者的银行帐号、密码以及企业的商业机密等。
2.信息的篡改。当攻击者熟悉了网络信息格式以后,通过各种技术方法和手段对网络传输的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段主要有三方面:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个消息或消息的某些部分;在消息中插入一些信息,让收方读不懂或接收错误的信息。
3.信息假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,主要用两种方式进行欺骗:一是伪造电子邮件,虚开网站和商店,发大量的电子邮件,窃取商家的商品信息和用户信用等信息。另一种为假冒他人身份,冒充他人消费或栽赃、冒充网络控制程序套取或修改使用权限、通行字、密钥等信息等。
4.交易抵赖。它包括多个方面,如发信者事后否认曾经发送过某条信息或内容、购买者做了定货单不承认、商家卖出的商品因价格差而不承认原有交易等。
三、电子商务安全需求
1.机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取,一般通过密码技术来对传输的信息进行加密处理来实现。
2.完整性。在电子商务中由于数据输入时的意外差错或欺诈等行为,可能会影响贸易各方信息的完整性,这将影响到贸易各方的交易和经营策略,因此保持贸易各方信息的完整性是电子商务应用的基础。完整性一般可通过提取信息消息摘要的方式来获得。
3.认证性。由于网络电子商务交易系统的特殊性,要求对人或实体的身份进行鉴别,即交易双方能够在相互不见面的情况下确认对方的身份,鉴别服务一般通过证书机构CA和证书来实现。
4.不可抵赖性。在无纸化的电子商务方式下,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题是保证电子商务顺利进行的关键。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。
5.有效性。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此要对网络故障、硬件故障及计算机病毒所产生的潜在威胁等加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
四、电子商务安全中的主要技术
1.网络安全技术。网络安全是电子商务安全的基础,它所涉及到最重要的就是防火墙技术。防火墙是建立在通信技术和信息安全技术之上,它用于在网络之间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和审计,并对各种攻击提供有效的防范,主要用于Internet接入和专用网与公用网之间的安全连接。目前国内使用的防火墙产品都是国外厂商提供的,由于他们对加密技术的限制和保护,国内无法得到急需的安全而实用的网络安全系统和数据加密软件。因此我国也应研制开发并采用自己的防火墙系统和数据加密软件,以满足用户和市场的巨大需要。
VPN也使一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其各地的分支机构就可以互相之间安全传递信息。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
2.加密技术。加密技术是保证电子商务安全的重要手段,它包括私钥加密和公钥加密。私钥加密又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据,目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。公钥密钥加密,又称不对称密钥加密系统,它需要使用一对密钥来分别完成家密和解密操作,一个公开,称为公开密钥(Public-Key);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。信息发送者人用公开密钥去加密,而信息接收者则用私有密钥去解密,常用的算法是RSA、ElGamal等。为了充分利用公钥密码和对称密码算法的优点,克服其缺点,提出混合密码系统,即所谓的电子信封(envelope)技术。发送者自动生成对称密钥,用对称密钥加密钥发送的信息,将生成的密文连同用接收方的公钥加密后的对称密钥一起传送出去。收信者用其秘密密钥解密被加密的密钥来得到对称密钥,并用它来解密密文。
3.数字签名。在网络环境中,可以用电子数字签名作为模拟,数字签名中很常用的就是散列(HASH)函数,从而为电子商务提供不可否认服务。把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH。把这两种机制结合起来就可以产生所谓的数字签名(DigitalSignature)。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sageDigest)值。只要改动报文的任何一位,重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密,将该密文同原报文一起发送给接收者,所产生的报文即称数字签名。数字签名相的优点:它不仅与签名者的私有密钥有关,而且与报文的内容有关,因此不能将签名者对一份报文的签名复制到另一份报文上,同时也能防止篡改报文的内容。
4.认证机构和数字证书。对数字签名和公开密钥加密技术来说,都会面临公开密钥的分发问题。必须有一项技术来解决公钥与合法拥有者身份的绑定问题。数字证书是解决这一问题的有效方法。它通常是一个签名文档,标记特定对象的公开密钥。电子证书由一个认证中心(CA)签发,认证中心类似于现实生活中公证人的角色,它具有权威性,是一个普遍可信的第三方。当通信双方都信任同一个CA时,两者就可以得到对方的公开密钥从而能进行秘密通信、签名和检验。证书机构CA(CertificationAuthority)是一个可信的第三方实体,其主要职责是保证用户的真实性。网络用户的电子身份(electronicidentity)是由CA来的,也就是说他是被CA所信任的,该电子身份就成为数字证书。护照颁发机构和证书机构CA都是由策略和物理元素构成。在护照颁发机构,有一套由政府确定的政策来判定那些人可信任为公民,以及护照的颁发过程。一个CA系统也可以看成由许多人组成的一个组织,它用于指定网络安全策略,并决定组织中的那些人可以发给一个在网络上使用的电子身份。
关键词:信息安全技术;网络安全;保密管理
中图分类号:TP393.08文献标识码:A文章编号:1007-9416(2018)01-0199-01
当今社会俨然已经成为了一个巨大的网络社会,随着计算机的普及,我们早已习惯将工作日志、照片等一些资料储存在我们的电脑文件夹里面,在需要的时候随时调用,或者将其上传到网络空间供大家点评。这一系列的操作为信息的安全性带来了很大的威胁,在个人信息的分享过程中很容易受到黑客的攻击或者计算机病毒的干扰导致个人存储在计算机上的文件丢失或者被非法修改,所以十分有必要对网络信息安全加密技术进行发展,通过各种形式确保信息数据的安全性,为人民提供一个安全放心的网络环境。
1网络信息安全保密管理的关键技术
根据当前的网络系统安全保密管理,可以将网络系统分为公共信息网络和涉密网络,其中公共信息网络也可以称之为公众网络,是一种和国家机密无关的网络。在保护网络信息安全性的时候,最重要的就是信息技术,也是提升信息安全性的重要手段。按照国家相关规定,融合信息技术的时候要从网络信息安全保密和网络运行安全、五路网络安全的额三个方面进行[1]。
1.1介质安全管理
网络系统中使用的存储介质类型多、数量大,得到广泛应用。这些介质极其容易被病毒感染,进而导致整个网络瘫痪,比如存在在U盘中的内容,其范围广、传播速度快,造成的危害也大。所以要做好各��介质的安全检测工作,利用杀毒软件做好介质安全区的划分,将检测一次性写入,使风险降到最小。
1.2身份认证和访问控制
身份认证是网络对用户身份进行确认的过程,就是在数据传输或者使用之前核查用户的身份,身份认真贯穿在网络信息使用的所有环节之中,其验正方式有指纹、编辑、视网膜和口令等。
1.3传输和存储加密技术
传输加密技术主要有线路加密和脱线加密两种,线路加密是不考虑端口的信息安全,主要加密网络线路;脱线加密是对数据始终保持加密状态,直到数据传输到接收终端前是不会解密的。
2信息安全保密管理工作面临的挑战
2.1电磁辐射的泄露
电子设备运行过程中会产生电子辐射,这些辐射出来的信号中携带着可能正在处理中的机密信息。目前计算机的显示器和非屏蔽双绞线计算机无线设备和计算机网络是辐射最容易造成的泄密内容,利用先进的设备对电脑显示器的辐射重新处理之后就能够对部分信息进行真相还原。已经有一些西方国家拥有了接收一公里外电脑屏幕电磁辐射信号的技术,若使用非屏蔽双绞线传输涉密网络,非屏蔽网络就好像一根天线起着传输涉密信息的作用,通过相应的设备就能够还原出传输中的涉密信息。另外,蓝牙、无线鼠标和无线网卡等是电脑的主要设备,这些设备的传输方式是以空间传输为主,即使使用加密技术也很容易被特殊设备拦截[2]。
2.2信息使用人员的泄密
如果网络管理者和信息使用者缺乏较高的素质就会增加信息泄露的可能性,目前网络的普及的同时,计算机网络使用用户的数量也在不断地增长,不过大部分人对于计算机和网络专业知识都知之甚少,信息安全意识淡薄,常常在毫无准备的情况下连接计算机网络并浏览外部违规网站,这些行为都是信息可能会泄露的严重威胁。如果信息没有备份还有可能被黑客攻击导致信息被攥改或者丢失,将会给信息使用者带来巨大的损失。另外还因为没有使用有效地病毒防护措施保护系统,杀毒软件病毒数据库过时等都会给信息安全带来威胁。
2.3存储介质导致的信息泄露
对于用来保存信息的各种介质,如U盘、光盘等都属于物理存储介质。在处理信息的时候,单纯的格式化并不能从根本上解决问题,利用专业软件依然可以进行反格式化,恢复信息原貌。比如计算机病毒“摆渡木马”,其主要是对移动存储进行感染,能够在计算机运行后台自动运行,将电脑中的隐藏资料自动打包并且存储。当使用受到感染的移动存储设备时,木马就会将涉密信息传送到网络上的特定主机,导致信息外露。
3新时期信息安全保密管理框架建议与相关重点工作
3.1信息安全保密管理框架的建议
做好保密管理首先应该明确具体业务的责任负责人,明确由谁来负责保密工作。保密工作的主要工作内容有明确保密内容和保密等级,需要建立良好的管理模式和完善的保密组织体系,二者必不可少。从细微处看,建立保密体系要重视建设的整体性,不能仅仅将工作重点放在信息技术层面,还要加强对信息安全层面的重视,因为根据木桶效应,黑客往往会攻击信息安全系统中最为薄弱的一部分,正因如此信息安全保密框架的建立也要抓住信息安全管理的短板,做好相关的框架设计工作[3]。
3.2信息安全保密管理相关的重点工作
3.2.1信息安全监控和防护
(1)如果想要保证信息安全和秘密就要建立多重防护监控机制,构建更加安全的平台并对网络进行实时监控,减少安全事件发生概率进而降低安全风险。(2)规划信息安全防护架构,构建安全防护措施。
3.2.2信息安全分析
(1)全面搜集网络中的各种攻击信息,对黑客的常用入侵技巧和常见计算机病毒进行深入分析和了解,掌握当前信息安全防范的重点对象,并制定相应的措施进行预防。(2)不断加强对Botnet的分析能力,并且大面积搜索相关信息,掌握其分布的具体情况和数量。
3.2.3信息安全的渗透测试
从根本上加强对信息安全的扫描能力,严格排查相关的弱点并进行修复,及时发现相关的渗透网站并进行修复。
3.2.4信息安全认知和质量提升
(1)加强对安全管理系统的验证工作。要不断加强组织信息的安全防护能力,为信息安全使用者提供一个安全的网络服务环境,增强使用者的信息并保护其相关权益,进而通过安全管理系统的验证。(2)建立组织信息的安全检测。保证信息安全质量的前提是要遵循国家通信安全标准构建安全规范蓝图,建立适合公司内部工作的信息安全检测系统,从根本上保证信息的安全性。(3)提升员工的安全意识。企业员工是信息的主要使用者和管理者,提高相关人员的信息安全保密意识有利于加强相关保密工作。
关键词:信息安全技术;校园安全;安全防御体系
引言
现如今,随着信息科学技术的不断发展,各种各样的网络攻击和威胁都在以更加多样化、广泛化和智能化的方向发展,面对这种不断增强的攻击和威胁,我国必须在信息技术的安全技术和安全防御方面不断的完善,尤其是针对我国的校园信息安全,因为我国的校园网担负着重要信息的交流和共享,一旦校园的信息安全和安全防御出现了问题,就有可能导致许多重要的信息遭受到损坏甚至瘫痪,而且,由于校园网的信息安全和安全防御,实际上是一个动态的过程,需要不断的针对校园网的信息安全和安全防御方面的特性,适时的做出相应的变化和调整,才能更加有效的保证校园网的安全。
1我国校园网信息安全和安全防御体系中存在的主要问题
1.1校园安全防御技术落后
过去,我国基于信息安全技术的校园安全防御体系,主要是集中在各种不同类型的杀毒和监测软件、虚拟专用网络、访问控制列表等,但实际上随着现代计算机技术的不断发展,各种针对校园信息安全方面的攻击和威胁开始越来越智能化和广泛化,各种校园网络设计方面的漏洞、校园网络和计算机系统口令的偷窃、协议出错、认证出错、信息泄露、信息传输加密算法以及电子签名等各种安全隐患在校园网中层出不穷,因此,过去我国那些传统单一的安全保护工具,已经不能再真正的使校园的信息安全得到有效和全面的保护,必须要通过引进更多先进的信息安全技术和安全防御体系,例如,数字签名、IPSEC技术、DES加密技术等,全面提升校园信息的安全和防御指数。
1.2校园网受到的攻击更加智能化
随着现代全球计算机网络技术的不断发展,过去针对校园网传统的缺陷式的DDOS攻击、ARP欺骗、DNS欺骗、DLL劫持以及0dayHacker攻击等,都在不断的进行升级,而且变得更加智能化,各种各样的蠕虫、病毒和木马的隐藏周期越来越长,而且更加隐蔽,甚至面对现在的很多的网络攻击和威胁,校园网中的病毒防御和查杀软件都已经变得无能为力。
2校园网信息安全和安全防御体系的构建
2.1PublicKeyInfrastructure
PublicKeyInfrastructure,PKI技术,又叫公钥基础设施,是目前计算机信息安全技术和安全防御体系中较常用到的一种技术,在校园网当中通过利用PublicKeyInfrastructure,可以建立起一种能够为校园网信息安全和安全防御体系提供服务的一种基础设施,PublicKeyInfrastructure主要是通过对校园网传输中的数据流进行再次组合或者加密的方式,使得只有校园网当中的合法接受者或拥有秘钥的人才能效打开,PublicKeyInfrastructure不仅确保了校园网数据信息的隐秘性,更使得校园网当中的数据信息很难被不明身份的访客复制。PublicKeyInfrastructure能够充分保证校园网信息的机密性、真实性以及完整性等,且PublicKeyInfrastructure具有着极强的灵活性、经济性、互操作性以及可扩展性,能够在校园网的信息安全和安全防御体系中发挥出极强的作用[1]。
2.2在校园网中采用信息安全预警技术
想要校园网信息安全的机密性、完整性以及可靠性,就必须加强校园网信息安全的预警技术,在校园网中通过采用信息安全预警技术,可以实现对校园网的整个运行状态进行全面的监视的作用。依照校园网当中不同事件的信息来源,校园网中的信息安全预警技术大致可以分为基于主机的安全预警、基于校园网的网络安全预警和混合型安全预警。根据校园网的具体不同实际情况,从而采用不同的校园网信息安全预警技术,能够有效的提高校园网的安全防御指数,校园网的信息安全预警技术主要是通过数据采集模块为系统提供原始数据,数据源可以是主机上的日志信息或者变动信息,也可以是网络上的数据信息或流量变化等。当数据提取模块获得数据源之后,通过对数据源进行简单的过滤、数据格式的标准化等处理,并且将处理后的数据存入数据库当中,这个时候事件的分析模块就会对数据库中的数据进行深入分析和分类,从而根据不同的协议建立数据仓库,通过对数据的挖掘从而发现基本的时间变化规则,最终提交给校园网的安全预警系统生成模块,对校园网信息安全中可能出现的一切威胁和攻击进行全面的监测,一旦监测发现任何问题,就会进行信息安全预警,提示校园网当中可能出现的各种安全漏洞和安全威胁,使校园网当中的管理员能够更快更及时的通过采取相应的防护措施,避免校园网的信息安全受到进一步的威胁。校园网的信息安全预警技术作为一种新型的信息安全技术,在很大程度上,填补了过去传统校园网当中动态解决信息安全问题上的不足,同时,校园网信息安全预警技术通过网络入侵技术、检测模型、审计分析策略等,为校园网的信息安全和防御体系的构建,提供了有力的检测和防护手段。
2.3在校园网中利用多重安全防御策略
一旦校园网当中出现任何的信息隐患或者安全漏洞,就会导致整个校园网的安全性遭受到破坏,因此,面对日益增多的信息安全方面的威胁,校园网已经不能够再只采用过去传统的单一防御和信息安全技术方法进行处理,而是需要通过多重安全防御策略的综合运用,全面提升校园网的信息安全和安全的主动防御能力,例如,当黑客通过Unicode、缓存溢出等各种各样的方式对校园网进行破坏,并获取相关的信息的时候,由于我国的校园网当中存在着大量的WEB服务器、数据库服务器、邮件服务器、文件服务器等各种各样的服务器,一旦校园网中的这些服务器瘫痪或者被远程控制,后果都将不堪设想,因而在校园网信息安全技术和安全防御体系中,首要措施就是要通过采取防御防范于未然,主要可以通过防火墙、认证技术、访问控制、病毒防范、入侵检测等各种传统的安全体系,加之最新的入侵防护技术、蜜罐和蜜网技术、取证技术等各种主动的安全体系防御措施,双管齐下确保校园网的信息安全。而对于各种JavaApplet或者ActiveX的小程序,由于都有可能带入病毒或者木马程序,进而对校园网内的数据信息造成极大的破坏,并且黑客能够很容易的通过抓住WEB、DNS、FTAM、MHS、VAP、E-mail、FTP等校园网的安全缺陷进行攻击,因而,针对校园网中可能出现的DNS服务威胁、身份认证漏洞、E-mail系统漏洞、CGI脚本缺陷等,仅仅在校园网当中通过防火墙的设置是远远不够的,这就要求必须对校园网中的一些有密码的数据库文件进行隐藏、修改格式或者加密等,从而进行提前的防御,全面应对校园网中存在的各种安全漏洞和病毒威胁等[2]。
3结束语
只有针对校园网的特性,通过采取监测、预防和解决校园网当中信息安全中可能出现的各种信息泄露、信息污染以及信息的不易受控等,及时有效的预防和处理校园网中出现的黑客、病毒以及木马攻击等,通过有效的校园网安全防御策略提前进行预防,通过全面提升校园网信息安全的技术水平,降低校园网信息安全中风险的发生机率,才能保证我国的校园网时刻处于安全和良好的运行环境。
参考文献:
[1]周晓娟.校园网信息化升级的样板工程[J].计算机网络,2013.
Internet广泛应用下确保信息安全尤为重要。信息隐藏技术因其不可见性、通用性、安全性等特点,应用前景广阔。文章主要对信息隐藏技术原理、特点及在信息安全领域中的应用进行简要阐述。
关键词:
信息安全技术;信息隐藏技术;原理;应用
0引言
在Internet广泛应用下,网络已经深入到我们工作生活中的各个领域。当前的电子商务对网络安全提出了更高要求,如信息安全不能得到保障,国家信息安全建设就潜在巨大安全隐患。信息隐藏技术是信息安全领域中的新兴学科,能利用人类感觉器官及多媒体信号的冗余性,将信息隐匿到其它宿主信号中,让信息不易被觉察,也不影响宿主信号的使用价值[1-2]。信息隐藏技术具备不可见性、通用性、安全性等特点,应用前景广阔。本文主要对信息隐藏技术原理、特点及在信息安全领域中的应用进行简要阐述。
1信息隐藏技术
1.1基本原理
信息隐藏技术是一种将待隐信息(密文、软件序列号、版权信息等)利用某嵌入算法隐藏至一个载体信息中,从而获得一个隐藏载体的过程[3]。在此过程中,信息隐藏的目的是要确保信息不被觉察破坏,而此过程中信息的交流存储并不受限制。在信息隐藏技术下配合密码加密能更确保信息安全性。
1.2信息隐藏技术特点
信息在不同媒体掩藏下具备不同的特点,但信息隐藏技术都具备如下基本特点:(1)隐藏性:信息嵌入之后,遮掩载体外部特征不会显著改变,秘密信息的质量也不会下降,不会让人们从感官上察觉到掩护对象的变化,让非法拦截者对是否有秘密信息不能判断。(2)不可测性:隐蔽载体同原始载体特性一致,非法拦截者要将秘密信息检测并提取出来非常困难[4]。(3)不可见性:经过隐藏处理,目标资料质量不会明显下降,对这些隐藏信息,人们不会看见,也不会听见。(4)鲁棒性:信息隐藏技术不会因图像文件出现了某种改动而让隐藏的信息丢失。我们所说的改动包括如下几方面:滤波、重采样等一般信号处理;分割、缩放、平移等一般几何变换;恶意攻击等。(5)自恢复性:隐蔽载体尽管在经过变换操作后会受到破坏,但是只要存在部分数据,就可在宿主信号缺失情况下恢复隐藏信息[5]。(6)安全性:信息隐藏技术中的隐藏算法抗攻击力强,可承受较强程度人为攻击,确保隐藏信息安全可靠。
1.3模型
我们将待隐藏信息称之为为秘密信息,将公开信息称之为载体信息,他可以是文本、图像、视频或者是音频信号。信息隐藏多由密钥来控制,密钥将秘密信息利用嵌入算法隐藏到公开信息中,隐藏载体利用通信信道进行传递,随后在检测器中利用密钥将秘密信息从隐蔽载体中进行检测或恢复.
2信息隐藏术与加密技术的关系
信息的密码技术及隐藏技术都是信息安全保障技术,但两者是有显著区别的。信息加密技术能把明文在加密算法下转换成密文并利用公开信道传送至接收者的手中,非授权者能意识到保密信息存在,但却不能获知信息具体内容。信息隐藏技术下攻击者则不能对保密信息进行直观判断。两种技术不是相互竞争、相互矛盾的,是相互补充的,如果在信息隐藏技术中融入加密技术,那么信息在数据传输的过程中会达到理论上的一个最高的安全级别。
3信息隐藏的常用技术
3.1替换技术
替换就是指的是用秘密信息将伪装载体内的不重要部分替换掉,并对秘密信息进行编码的一种技术,属于空间域操作,将适合的伪装载体嵌入到适当区域,确保数据失真度保持在人的视觉允许的范围之内。这种技术算法简单,但不能抵抗图像压缩、尺寸变化等攻击,鲁棒性较差。
3.2变换技术
变换技术主要包括离散小波变换(DWT)、离散余弦变换(DCT)及离散傅利叶变换(DFT)等,每个技术都具有自身特点,DWT可对图像进行多空间、多尺度、多频率分解,可将输入信号分解成系列低分辨率细节信号;DCT能让空间域内能量重新分布,图像相关性降低;DFT能将图像分割为多个感觉的频段,让秘密信息能选择更适合部分去嵌入。这种技术鲁棒性较好,可抵抗压缩、噪音等的攻击。
3.3扩频技术
扩频技术指的是将一个比特多次嵌入到伪装载体中,让隐藏的信息在过滤之后仍能保留。这种技术尽管传输率差,但是实际应用中,在随机码下能使载有信息数据的基带信号频谱扩展,让信号变成宽带低功率谱密度的信号。其中,跳频扩频、直序扩频最为典型。且这种技术检测只需盲检,即使传输中受到乘性、加性噪音攻击,隐藏信息也不会丢失。
4信息安全技术中信息隐藏技术的应用
4.1对数字知识产权进行保护对数字知识产权进行保护是将数字指纹技术及数字水印技术来解决信息隐藏技术中所遇到的问题[6]。信息隐藏技术利用“数字
水印”在数字知识信息中嵌入签字信号,对数字知识进行产权保护。通过信息隐藏技术可将音频信号、视频信号机数字图像中嵌入不可见的信号标签,可防止攻击者对其进行数据跟踪及非法拷贝。为确保数字信息安全,服务商向用户发送产品同时可在作品中以水印形式将双方信息代码隐藏其中,一旦数字产品出现非法传播,能够利用水印代码对非法散播者进行追查。信息隐藏技术对数字知识产权进行保护中数据嵌入量小,因此对签字信号鲁棒性及安全性都要求很高。数字水印技术在使用中有一定缺陷,一旦所保护媒体被篡改,水印就会被破坏,信息就变得容易识别。而对数字票据来说就不会出现这种情况,数据票据中的隐藏水印在打印之后仍是存在的,因此对于数据票据可以利用对数据进行扫描这一形式对防伪隐藏水印进行提取,以此来判断票据真实与否。
4.2对数据完整性进行鉴定
所谓的数据完整性鉴定指的是对信号完整性及真伪进行判别,指出信号同原始信号间的差别,借此确认信息在传输及存储过程中有没有被破坏、篡改。如果接收到音频、视频等多媒体形式的信号,需对信号原始式进行判断,看信号是否为某一真实信号的修改版本,并要对原始信号内容进行是否真实性的判断[7]。要完成这种鉴定需首先在数据库的管理系统中输入各种完整数据,并制定相应的约束机制,这样才能确保数据在输入及存储过程中的完整性。其次,如数据传输可视的情况下,可以采用数据校验的方式对这些数据进行检测。
4.3对数据进行保密
网络上进行秘密数据传输的过程中最重要的就是要防止一些非法用户将其截获及使用,确保数据安全也是信息安全技术的一个主要内容。随经济全球化,电子信息技术得到了飞速发展,已经涉及到国家军事、政治、金融、商业等众多领域,关系到国家安全及个人隐私。而信息隐藏技术就是要确保网上交流信息的安全性,为信息数据进行保密。例如网上银行的交易数据,电子商务的秘密合同,电子政务的敏感信息,重要文件的数字签名等等都可以利用网络隐藏技术进行保护。除此之外,信息隐藏技术还能够将不愿让人知道的信息内容采用隐藏方式来存储,让数据更为隐匿,保密性更强,信息也更为安全。
4.4对资料不可抵赖性进行确认
网上交易的过程中,参与交易的任何一方对自己的行为都不能抵赖,对于曾接收过、接收到了对方信息也不能否认,这是确保网上交易安全的一个重要环节。在交易系统中应用信息隐藏技术之后,交易体系下的任何一方在接收及发送信息时就可以将自身独特的标记隐藏到传递的信息中,这些隐藏的标记不能被清除,从而能够确保交易过程中任何一方都不能对自己行为进行抵赖[8]。
5结语
综上所述,信息隐藏技术为多媒体信号处理及多媒体通信领域内的一个新兴研究方向,信息隐藏技术能为多媒体信息安全提供新思路。当前国际上的信息隐藏技术可以做到将隐藏信息进行仪器检测,抵抗人为攻击,但是还没有发展到可以实用的阶段,今后将密码技术同信息隐藏技术有机结合,建立不可感知性的数学度量模型,有效进行信息隐藏容量上界的计算,是今后信息隐藏技术需要努力的方向。
作者:李蟾膺 单位:民航西南空管局
参考文献:
[1]古春杰.信息隐藏技术的理论及应用[J].计算机光盘软件与应用,2014(10):189-190
[2]李彩容,胡瑞敏,涂卫平.使用信息隐藏技术保障档案信息安全[J].中国电子商情•通信市场,2013(1):183-187
[3]马秀芳,时晨,赵洪钢.具有广泛军事应用前景的信息隐藏技术[J].电信快报:网络与通信,2013(12):11-13
[4]刘会平,国伟.数字加网信息隐藏技术在隐秘保密通信中的应用[J].计算机应用,2014,34(9):2645-2649
[5]谢灵智.数字水印——信息安全研究新方向[J].信息安全与通信保密,2013(2):28.
[6]刘丽,周亚建.二维条码数字水印技术研究[J].信息网络安全,2014(1):56-60
关键词:信息通信;加密;安全技术
一、信息通信安全技术的发展概况
人类的进步离不开信息技术的发展,信息通信技术借助互联网和移动通信技术的支持,得到了飞速地发展,在人们的日常生活中得到了广泛的应用,并且已经取代了传统的信息通信方式。随着移动通信技术的不断发展,其应用的范围也越来越广泛,移动通信已被应用到国家经济建设的方方面面。正是随着移动通信技术的广泛应用,其受到的关注也越来越多,与通信密切相关的群体也是越来越庞大。针对信息通信技术的安全技术发展,要从移动通信的起源开始。最早的移动通信技术——蜂窝网系统,这是一个提供语音业务的通信系统,旨在提供稳定的语音会话功能,但是由于当时的技术条件的限制,该系统的语音传输都是直接传输,没有经过任何的加密处理就直接发送,存在很大的安全隐患,保密性差极易受到不法人员的攻击[1]。因此在该通信网络的使用后期,出现了很多模仿该网络的克隆产品,使运营商受到了很大的经济的损失,针对此种情况,又推出了下一代的通信技术——数字蜂窝网系统。该系统较前一代,有了较大的安全性提升,采用TDMA和CDMA两种加密技术来对通信传输信息进行加密处理,这就提升了信息传输的安全性,该通信网络虽然修复了上代系统的易被复制的缺陷,但是它自身也存在一定的缺陷,那就是它的加密只能是单向的,这就给不法人员的破解留下了隐患。
二、信息通信技术的安全体系
1.目标通过对上两代通信网络系统的分析,下一代通信网络系统需要能够根据上一代移动通信系统的缺点来进行改进,要能规避已经知道的风险问题。然而针对系统的安全问题来说,没有最安全,只有更安全,在已知的风险威胁被设计规避了之后,就是现阶段对用户来说最安全可靠的系统。新一代的通信技术对加密和认证的设计更加完善,但是随着社会的发展,不法分子的窃取手段也在改进进步,这就对系统的保密性和安全加密性提出了更高的要求。2.安全结构新一代的信息通信系统的安全结构主要通过控制控制三个组成部分的安全性来得以实现,这三个组成部分分别是:(1)终端设备,这是整个信息通信系统进行信息发送和接受的源头和终点,常见的终端设备有多种,比如办公用的办公电脑、专业的信息接收设备以及现在通用的适应性极强的移动终端手机和平板电脑。用户使用终端设备来进行信息的通信传输,网络和移动运营商有义务保证用户信息传输通道的安全性,保证信息传输端口的可靠性,新一代的信息通信系统针对这个问题采用的技术手段是SACM来进行信息交互过程的加密,保证信息传输的安全。(2)服务端,是信息用户用来接收信息的设备,用户通过服务端设备,可以获取自己的申请信息,如登陆系统需要的口令或者是订阅的服务内容。服务端的目的就是要根据用户的需求来整合所有能够获得的服务资源,使用户得到最好的服务和问题的解决。
三、信息通信技术的安全策略
1.用户信息保密。用户的信息包括用户身份信息、活动范围以及最重要的通信内容,而且这些内容都会暴露在信息通信的行为过程中。为了使用户信息得到保密,必须要对用户身份信息进行密钥保护,提高查看权限,用户活动范围可以通过屏蔽网络通信线路的地址信息,对于通信内容的保密则需要通过采用数据加密技术,来杜绝信息泄露事件的发生。2.认证系统。认证系统主要是对信息传输基站之间进行认证,通过双向确认的方式来保证基站的真伪,防止假冒基站对用户信息的窃取和散播垃圾信息。3.数据保护。数据的保护有两个指标,完整性和保密性。对于信息通信系统来说,信息的传输质量需要通过确定信息的完整性来进行考核,如果传输的信息不完整,就失去了信息通信的基础用途了。保密性就更重要了,人类的信息通信需要私密性这就决定信息通信的数据要保证保密性,为了使数据传输保密,要对传输的数据进行密钥加密,且通过不断更新加密密钥,来时时保证数据信息的保密性。
结论
信息通信技术的发展改变了人类的生活状态,引领了人类新的交流方式,同时也带来了信息安全问题。为了让信息通信技术得到进一步发展,本文对信息通信的安全技术进行了详细的分析讨论,望能对同行工作起到积极作用。
参考文献
关键词:电力自动化;通信技术;信息安全
中图分类号:F407文献标识码: A
引言
电力是我国国民经济中的重要组成部分,对于社会经济的发展有着重要的作用。所以保证电力系统的安全运行十分重要。电力系统运行的安全对社会经济的发展和社会的稳定有着很大程度的影响。我国电力自动化的发展,自动化通信水平不断的提高需要电力企业采取一定的措施,加强对电力自动化通信的安全防护保证电力系统的正常运行。
1、电力自动化系统信息安全研究现状
电力自动化系统的不断发展,无线通信传输协议的不断改进,促进着各项信息安全技术在电力行业中的广泛应用。国际电工委员会(IEC)提出了公共信息模型CIM,该模型保证了不同应用系统之间可以进行数据交换和交互操作;除此之外,公用集成总线(UIB)的规范也被电工委提出并被广泛推广。随着计算机系统虚拟化技术越来越成熟,人们渐渐考虑将电力调度中心机房服务器虚拟化,即在一个物理服务器上利用分区技术同时运行多个虚拟机,将不同系统的操作系统和应用程序进行压缩,方便其在不同虚拟机之间进行传输,从而实现服务器资源利用率最大化的目的。将服务器虚拟化的目的在于减少虚拟机和硬件平台之间的相互依赖性,提高业务系统信息资源的可靠性和安全性。
2、电力系统通信数据对信息安全的需求
电力自动化系统对不同类型数据的安全性要求有所区别。从数据加密的角度来看,系统中主要数据流可以分为实时数据以及非实时数据两类。
2.1、实时数据及其特点
通信网络传输实时数据的过程中,对通信规约时间有着很严格的要求,对数据传输的稳定性、时效性要求也很高,不允许出现较大的传输延迟。电力自动化系统中的实时数据主要包括:遥控、遥测、遥调、遥信、负荷管理、事件记录、停电计划管理等数据,这些数据对实时性、完整性、保密性要求甚高,因此对实时数据的加密必须保持谨慎。
2.2、非实时数据及其特点
通信网络中传输数据量较大的为非实时数据,此类数据对时效性要求不高,在一定范围内允许出现传输延迟。非实时数据主要包括:电力系统设备的维护日志以及电力用户的记录信息等。总体而言非实时数据对传输的实时性要求不高,但是其对传输数据的完整性以及保密性有很高的要求。所以针对不同数据类型,在数据加密过程中要选择最合适的加密算法。
3、电力通信安全加密技术
3.1、数据加密应用原理
3.1.1、数据加密标准算法。标准数据加密算法是基于分组乘积理论,主要是利用多种简单算法连续形成复杂的技术算法,继而提高信息的安全性,目前该方法广泛应用于磁卡、IC卡、银行自动柜员机以及高速公路收费站等多个领域中,比如信用卡使用者的PIN加密传输、金融交易数据包的MAC校验等等。
3.1.2、公开密钥算法。公开密钥是一个复杂的密钥分配过程,也叫非对称密钥算法,主要包括公共密钥和专用密钥,公开密钥的加密密钥PK是公开信息,可以出去的,而解密密钥SK是保密信息,需要用户注意保护信息的安全性。然而,共同密钥和专用密钥之间是相互联系相互制约的,比如专用密钥加密信息需要利用公共密钥进行解密,而公共密钥信息则需要专用密钥进行加密,两者在应用过程中相辅相成,相互联系。由于公共密钥在使用过程中无需连接总服务器,使得密钥管理简单,常常被作为公共密钥应用于电力运行中的局域网内。公开密钥算法多数比较复杂,在实际工程中使用应当根据不同的功能选择合理的密钥算法。
3.1.3、标准算法和公开密钥算法的区别。在应用过程中,标准计算法通常被强力攻击、查分密码分析法攻击,而后者安全胜主要依赖于大数分解。根据摩尔定律可知,计算机的计算能力会随着时间的推移而不断增强,继而导致计算机抗爆能力下降,而公开密钥算法过程比较复杂,外界威胁只存在协议方面而不是攻击方法。因此,在电力信息、防护管理中,针对信息保密级别较低的数据,可以直接采用标准算法,其适用范围广、操作性强。
3.2、密钥的生成及管理。目前我国电力自动化通信安全防护体系中应用的数据加密标准算法,主要的应用领域包括银行卡、高速公路收费站和磁卡等。数据加密算法主要是实现对关键数据的加密。例如信用卡的使用者的加密传输和金融交易数据包中的校验等等。加密算法是一种分组乘积密码主要是利用连续简单的算法,形成一种相对比较复杂的总体实现保证安全性的作用。算法具有较好的安全性目前可以产生攻击的只有穷举搜索法。
4、电力自动化通信技术中的信息安全构建思路
4.1健全安全防范机制
国家电网下电力企业通信技术平台下的各个管理单元众多,在网络信息安全中制定必要的安全防范机制非常重要。因此,在安全机制构建过程中,需要保障安全机制具有严谨的逻辑性,要能结合电力企业自身需求情况,确认出重点网络防范区域与划分出普通网络访问区域。比如,对于一般性网络访问区域,需要设置具备一定开放性的访问权限;而重点网络防范区则需要严格限制普通权限客户登录,设立较高安全级别权限,以此才能对安全数据、资源信息、QA系统运营进行重点安全监督。
4.2、完善信息网络设备管理机制信息
设备管理主要以电网系统下信息安全设备管理作为研究载体,强调设备管理综合效率最大化提升。基于此,设备管理机制中要配套使用促进人员职能发挥的激励奖惩机制,以此来提升其责任意识和凝聚归属感,激发人员信息安全运维作业的人员主观能动性。此外,设备管理工作开展从基本规划、设计研发、平台选型、配件采购、安装组建、故障维修、定期养护、技术更新、设施技改等方面进行组织管理,以此才能确保信息网络设备及使用软件平台的可靠性与实用性。
4.3、强化电力系统信息安全技术
为了充分保障信息网络安全,对于信息网络的安全技术研究而言则非常重要。一般当前通信网络安全技术主要有:防火墙、身份鉴别与验证、信息资源加密手段应用等。因此,第一,强化防火墙网络管理是必然的安全防控手段,特别是防火墙这种具备保护屏障作用的内、外网安全服务通道。所以,防火墙优化设计时要重点考虑其接口连接问题的同时,配套做好网络漏洞修复。第二,身份鉴别与验证,则要重点控公司内、外网的数据监控,人员操作日志,控制权限访问等,以便于公司内部网络安全软件开发时可提供必要信息资源依据。第三,对于信息加密手段应用,则要重点考虑口令卡、智能卡、以及密钥安全形手段的配套使用。同时,信息加密还可以结合企业自身条件,配套使用DES/RAS等密码技术应用,以避免未经授权时可有效控制非访访问获得数据等,防范重要数据泄漏。
5、信息化技术在电力自动化技术中应用的发展趋势研究
5.1、首先就是大量的计算机程序、电子器件、远程操控信息技术会被应用到电力生产过程中去,使的电力控制系统及电力生产管理系统更加智能化、自动化,并且操作程序会更加方便快捷、规范,不易发生人为出现的操作错误,保证整个电网安全、可靠的运行。
5.2、电力系统的运行由提高安全性、稳定性和经济性。实现管理与服务自动化方向拓展。计算机技术的迅猛发展使得计算机技术、通讯技术、控制技术以及电力装备技术实现在电力系统中的完善结合,功能一体化的实现操作实现更加简单化。随着电力系统的快速发展,设计范围也日益扩展,细节日益完善,功能日益提高,操作更趋人性化特征。
5.3、信息化技术在电力生产中的广泛应用,会使传统的控制手段向智能化方向迅速转变,系统的智能化会掌握最新电力相关的动态,会向工作人员直接传达信息,会极大的提高电工工作人员的工作效率,并且会进一步降低在控制过程中出现的错误,保证电力系统的正常运行。
结束语
电力自动化通信技术在我国的不同领域中有着重要的作用,确保其安全性是非常重要的,因此必须要保障信息资源安全,提高信息网络系统风险抵御能力,从而更好的促进电网系统下各工作单位实现高效生产与经营。
参考文献
[1]刘成.关于电力自动化通信技术如何确保信息安全的探讨[J].电子技术与软件工程,2013,19:146-147.
1威胁计算机网络安全的因素
目前家用计算机的系统有windows、Unix、Linux和Mac等,一种微软公司的windows系统,它占据着市场巨大的份额。我们一般所说的计算机安全问题也一般是出在这个系统上的,因为windows是一个开放的系统。开放性一方面帮助所以使用计算机的人都处在同一平台网络,互相交流方便快捷;另一方面也造就了大量的系统漏洞,为计算机网络发展产生负面影响。
1.1非法计算机工程师因素
非法计算机工程师俗称黑客,他们拥有高超的计算机网络技术,他们能够在不经过用户允许的情况下,入侵他人的计算机窃取用户信息。同时他们能制造一种能自我复制,窃取他人信息的程序,这种程序就是电脑病毒。电脑病毒因为自我复制性能够在互联网上大量传播。感染病毒的计算机会降低了工作能力,因为病毒的自我复制占据了大量的硬盘空间和内存,严重时会破坏计算机原有系统,甚至出现计算机死机,不断重启等现象,同时电脑内的用户资料可能也被损坏,或被远程复制。有些黑客还会刻意破坏计算机的系统,或者通过盗取计算机内的各种资料来谋取利益。
1.2系统和软件的漏洞
计算机和网络的开放提升了系统不稳定性和保护信息安全的难度。现在随着网络购物和网上银行的兴起,网络上的信息具有更大的价值性。如果相应的支付软件和网上银行后台的网络协议存在漏洞,就容易出现信息的大量泄露等情况。比如网易邮箱出现漏洞时,引发了大量民众恐慌,因为不少人把银行卡安全邮箱设在网易。账户密码等重要信息与邮箱相联系。泄露邮箱信息相当于把银行卡密码告诉别人。因此系统和软件本身安全性也是维护网络安全的要解决的重要问题。
2计算机位置信息被利用
通信网络的安全威胁在于在电脑位置信息的修改和欺骗。计算机病毒可通过找到原路径信息找到计算机用户的位置,从而传输有害的数据给计算机,造成对计算机的破坏。此外利用IP流直接破坏服务器,之后在进行非法入侵。在拷贝好想要的用户资料后对用户的电脑系统进行破坏,或者安装木马和监视工具。对电脑的数据进行实时偷窥。或者非法打开用户摄像或录音装置,对计算机使用者在生活工作隐私进行违法侵犯。这种行为属于犯罪,是人们十分厌恶的一种计算机入侵行为。
3有效且常用的计算机网络安全技术
计算机网络网络安全的防护的方法也是多种多样,但是最佳的方法就是使用正版系统程序,浏览安全的网站,不要下载来历不明的软件。同时使用正版安全的软件,如果能做到着几点,黑客和病毒就很难找到你的电脑,从而维护了自己的安全。同时在日常使用计算机时,要采取一些必要手段,来保护自己的重要资料和信息不回被窃取盗用。
3.1密码技术
密码技术即为对数据进行加密。是为了提高信息系统与数据的安全性和保密性,防止机密数据被外部破译而采用的主要技术手段之一,主要有对称加密技术与非对称加密技术两种,其中加密技术以口令作为基础,通过使用密钥进而通过加密或者是解密运算;而对于非对称的加密技术而言,加密密钥是已知的,而解密密钥只有主人知道,由此提高了信息与计算机通信网络的安全。
3.2配置防火墙
设置防火墙能够减少病毒或者是非法程序的访问,有效减少对信息数据的破坏。防火墙指的是于公共网络以及专用的网络间进行隔离墙的设置,有效对用户请求的授权情况、对进出的专用网络数据以及信息的准许情况等进行检查,从而进一步阻止非授权的用户进入或者访问。利用网络数据包实施有效的监控,并对网络系统的各个端口进行掌控,有效核实用户的身份。假如计算机系统中遭到不安全的程序影响,防火墙将会及时进行拦截,在经主人同意后程序方可进入至计算机的系统网络中,对与计算机的安全与正常运行具有重要的意义。
3.3安全审计及入侵检测技术
安全审计技术能够对用户的入侵过程以及活动进行记录,分成诱捕及反击2个阶段。诱捕指的是特意安排出现漏洞并且允许入侵者侵入,以便获得较多的入侵特征及证据;反击是指计算机系统在掌握较多的证据以及进行充分的准备之后,对入侵的行为给予跟踪并查询其的来源以及身份,从而将系统与入侵者的连接切断。此外IDS又可称为入侵检测技术,能够提供动态的入侵检测进而采取有效的预防措施,当检测出计算机网络受到非法侵入后,可给予有效的预防措施进行阻断,还可追踪定位并对攻击源进行反击。
3.4VLAN技术
在ATM以及以太网进行交换技术的基础上发展而来的虚拟局域网技术,能够将局域网的技术发展成连接的技术,进一步预防了网络进行监听及入侵等非法操作。例如将企业的内联网当中的信息与电子邮件及数据服务器进行单独的划分,使之形成VLAN1,再将企业外联网进行划分成VLAN2,有效控制企业内、外联网当中的各个信息流向;即企业的内联网能够访问外联网的有关信息;而外联网不可访问内联网的数据及信息。由此一来确保企业的内部重要信息与数据免受利用及非法访问,大大提高了通信网络的安全及可靠性。
3.5正版系统和软件以及经常的漏洞修补
任何对计算机非法的操作都是需要漏洞才能实现的,所以保护计算机信息安全最有效方式就是堵死黑客和病毒入侵电脑的漏洞。这就需要保证计算机系统的正版以及及时更新系统漏洞。在中国有很多人使用盗版的计算机操作系统,这也是黑客和病毒猖獗的主要原因之一,大量的盗版操作系统存在大量的漏洞,成为孕育黑客和病毒温床,所以为了保护计算机信息,使用正版系统和正版程序是快捷最有效的方法之
【关键词】计算机;网络信息安全;发展趋势
随着Internet的普及和发展,计算机网络已经和人们的学习、工作紧密地联系在一起,人们在享受网络带来的巨大便利的同时,网络安全也正受到前所未有的考验,网络安全所引发的数据丢失、系统被破坏、机密被盗等问题也在困扰着人们,因此解决网络安全问题势在必行。
1.网络安全
1.1 网络安全威胁的类型
网络威胁是对网络安全缺陷的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面,并且随着时间的变化而变化。网络安全威胁的种类有:窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用等。
1.2 网络安全机制应具有的功能
采取措施对网络信息加以保护,以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能:身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理等。
2.常用网络安全技术
2.1 防火墙技术
尽管近年来各种网络安全技术不断涌现,但目前防火墙仍是网络系统安全保护中最常用的技术。防火墙系统是一种网络安全部件,它可以是软件,也可以是硬件,还可以是芯片级防火墙。这种安全部件处于被保护网络和其他网络的边界,接收进出于被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或作出其他操作,防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截被保护网络向外传送有价值的信息[1]。
(1)软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说,这台计算机就是整个网络的网关,俗称”个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用Checkpoint防火墙,需要网管对所操作的系统平台比较熟悉。
(2)硬件防火墙硬件防火墙是指基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构,就是说,和普通家庭用的PC机没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有旧版本的Unix、Linux和FreeBSD系统。但是由于此类防火墙采用的依然是其他内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。芯片级防火墙厂商主要有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高。
2.2 数据加密技术
在计算机网络中,加密技术是信息安全技术的核心,是一种主动的信息安全防范措施,信息加密技术是其他安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的不可理解的密文形式(即加密),对电子信息在传输过程中或存储体内进行保护,以阻止信息泄露或盗取,从而确保信息的安全性。
数据加密的方法很多,常用的是加密算法,它是信息加密技术的核心部分,按照发展进程来看,加密算法经历了古典密码、对称密钥密码和公开密钥密码3个阶段。古典密码算法有替代加密、置换加密;对称加密算法包括DES和AES;非对称加密算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal D H等。目前世界上最流行的加密算法有DES算法、RSA算法和CCEP算法等。同时随着技术的进步,加密技术正结合芯片技术和量子技术逐步形成密码专用芯片和量子加密技术[2]。
2.3 入侵检测技术
网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库等比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。因此入侵检测是对防火墙及其有益的补充。可在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
2.4 网络安全扫描技术
网络安全扫描技术是网络安全领域的重要技术之一。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级[3]。利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。
3.网络安全策略
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但网上信息的安全和保密是一个至关重要的问题。网络必须有足够强的安全措施,否则该网络将无用,甚至会危及国家安全。因此,网络的安全措施应是能全方位针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
3.1 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。目前的主要防护措施有两类:一类是对传导发射的防护,另一类是辐射的防护。
3.2 政策保护策略
有效的政策制度环境,是保障网络安全、促进互联网健康发展的重要基础。网络安全需要政府综合运用各种手段,解决发展需要解答的一系列问题。政府要针对不同网络安全问题,采取有效的措施,不断提高防范和保障能力,为人们创造一个安全的网络应用环境。网络安全已成为国家安全的一个重要组成部分和非传统安全因素的一个重要方面。
4.网络安全技术发展趋势
近年来随着网络攻击技术发展,网络攻击技术手段也由原来的单一攻击手段,向多种攻击手段相结合的综合性攻击发展。这也是目前网络安全信息技术面临的挑战,也预示着未来网络信息安全技术的发展趋势。使其从过去的单一功能向全方位功能转变,进一步完善和提升网络信息的安全性。采用"积极防御,综合防范"的理念,结合多种信息安全技术,建立起更全面的网络信息防护体系,从而更好的保护用户的网络安全[4]。
参考文献
[1]杨彬.浅析计算机网络信息安全技术研究及发展趋势[J].应用科技,2010(20):221-223.
[2]任志勇,张洪毅,孟祥鑫.网络信息安全技术的发展[J].信息与电脑,2013(8):91-93.
关键词:企业;安全;信息;技术;防御
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Information Security Technology Design in Enterprise Security Defense System
Yang Dapeng
(Rural Credit Cooperative of Shandong,Huangdao Technology Center,Qingdao250001.China)
Abstract:The Internet has brought convenience and benefits to the enterprise,while Brought risk and security risk for enterprise.By analyzing the existing enterprise network security issues,security defense system for enterprise information security technology in the design of reference.
Keywords:Enterprise;Safety;Information;Technology;Defense
一、前言
在当今的电子商务活动中,互联网已经渐渐成为了获取信息的一条主要途径。国内外各大企业用内部网络技术手段有机地共享企业内部不同部门、不同区域的信息和资源,以实现内部资源的最大利用,以提高工作效率和管理水平。但是,共享资源很有可能通过互联网进入其他的局域网,这样就很容易遭到黑客入侵,导致企业系统瘫痪,重要信息外泄及丢失。互联网在提供方便的同时还带来了一定的危险,因此,企业万万不可忽视网络的安全问题。
二、企业网络中存在的安全问题
企业的内网一旦过渡到电子商务阶段,就会接入互联网,这样可以实时掌握企业的信息,带来一定程度的商业利益,但是也会带来一定的风险。
(一)来自企业外部的风险
互联网的共享性与开放性导致企业在接入互联网时会暴露许多企业内部的资源和信息,带来各种威胁。
1.计算机病毒
计算机病毒是网络上最常见的威胁,它是一种特殊编制的程序,能侵入计算机并摧毁内部存贮的各种信息。
2.黑客
在接入网络时,一些人可以有目的地避开或摧毁企业网络防火墙,侵入企业网络,冒充合法用户登录企业网络,非法使用企业内部资源,私自删改企业内部信息,窃取商业秘密,实施破坏。
3.网络设备瘫痪
网络瘫痪是计算机软件或硬件故障造成的,比如说防火墙出现故障导致安全系统瘫痪,或者服务器负载过大导致数据丢失。
4.使用的软件配置不当或者有错误
这样会影响其他合法使用资源的用户,带来严重后果。
(二)来自企业内部的风险
内部工作人员很有可能操作失误而给企业带来一定的安全隐患,甚至造成损失。员工有时会偷偷利用企业网络处理私事,进入与工作不相干的网站,或者接收私人电子邮件,下载私人文件。这些做法会大大降低企业网络的安全性,招来病毒或黑客。倘若企业内部人员蓄意攻击企业网络,会更加难以防范,也会带来更大的危害。为了牟取暴力,有的公司员工会与企业的竞争对手私通,出卖商业秘密,甚至攻击企业网路系统。
三、企业安全访问体系的设计
企业网络需要全方位的防御,及时发现计算机设备和网络服务器的新漏洞,仅有静态防御是远远不够的,企业网络还要有一定的动态防御能力。建立具有不同功能的防御层,使各个防御层相互支持,可以提高企业网络的动态防御能力。
(一)基于网络防护技术的安全层
防火墙技术、漏洞扫描技术、薄弱环节检测技术、病毒防治技术等都属于安全防护技术,这一层以防护为目的,控制用户访问。
1.在被保护网络和公共网络之间设置网络防火墙,限制、监测、更改数据流,以保护企业网络信息资源不扰和破坏。
2.漏洞扫描技术和防泄露技术可以检验系统漏洞,防止信息在传播过程中泄露,将有用的信息限制在安全区内。
3.薄弱环节检测技术可以及时准确地检测出系统异常,防止黑客及病毒入侵。
4.病毒防护技术通过完善软硬件设备、修补缺陷来防止网络薄弱环节被攻击。
基于网络防护技术的这一层可以强制检验所有经过此层的连接,阻止非法访问。但是这一层只能抵御外部入侵,不能抵御内部攻击,这一点犹需谨慎。因此可以考虑使用企业虚拟专用网技术控制重要数据的传输。VPN(企业虚拟专用网)主要公共通信网络为通信数据保密,采用隧技术、加解密技术、密钥管理技术、身份认证技术,保证机密数据的安全传输。
(二)基于入侵检测的安全层
入侵检测技术通过检测计算机网络中违反安全策略行为,可以及时发现并报告系统中的异常现象,保证计算机的安全,它是网络安全防护的重要组成部分。违反安全策略的行为有入侵和滥用两种,入侵是非法用户的违规行为,滥用是合法用户的违规行为。入侵检测系统的应用,能提前检测出入侵攻击嫌疑,利用报警与防护系统进行驱逐,减少损失。即使预警失败,该技术也能在被攻击后收集入侵攻击的有关信息,引以为戒。我们还应该在该层防御中加入内容检查工具,即过滤内容又防护病毒,以防止病毒感染及恶意攻击。
(三)基于控制技术的安全层
控制技术即口令控制和访问控制。口令控制技术可以设置口令技术来判断用户的身份和用户享有的使用资源的权限,防止黑客入侵。访问控制可以确定特定用户的合法性和访问权限,并通过特定的访问路径,保护信息资源的合法利用。判断访问权限的方法有三种:强制法、随意法和基于角色的判断法,最后一种方法比较安全,值得提倡。
四、结论
在知识经济化和信息化程度日益加深的今天,网络已经渗透到了人们的生活中,企业网络应用也越来越普及。在企业与企业的竞争中,网络能给企业带来一定的商业利益,因此企业网络比家庭网络更容易受到侵入和损害。设计出更安全的网路防御体系,对于企业的安全规划具有重要的现实意义。与此同时,还要注重培养内部员工的安全意识,组建一支分析企业信息风险的专业队伍,加大信息安全防范和管理的力度,增强企业网络的应急能力。
参考文献:
[1]孟杰,李飒.艾克斯特:打造企业的“安全通道”――访艾克斯特网络安全事业部总经理秦仕存[J].《中国制造业信息化:学术版》,2005年第5期
