摘要:跨入21世纪,人类社会步入了信息时代,计算机网络改变了人们工作、生活的方式,但同时其安全问题也日渐突出,在明确信息系统安全及防护意义的基础上,本文实际阐述了信息系统的安全问题与安全模型和防护技术。
关键词:信息系统;信息安全
引言
随着信息技术的不断发展,信息系统得到了越来越广泛的建设和运用。信息系统是以计算机和数据通信网络为基础的信息采集、存储、加工、分析和传输的互联网络应用管理系统,是信息获取与处理的各种方法、过程、技术按一定规律构成的一个有机整体。而信息系统固有安全脆弱性的现实,使得系统及信息安全的重要性与迫切性都与日俱增,信息系统安全及防护任重道远。
1概述
信息系统安全具有保密性(防止非授权泄露)、完整性(防止非授权修改)和可用性(防止非授权存取)三个特性;信息系统的安全脆弱性主要体现在硬件、软件、网络、数据和安全策略等许多方面。
2信息系统安全模型及其分析
从附表可以看出,信息系统安全并不简单地是信息部门的事情,它的实现也不仅是纯粹的技术性问题,而是需要管理、道德、法律等多方面因素的配合,贯穿于信息系统建设、使用的整个生命周期,覆盖到信息系统所覆盖的每一个角落,是一项复杂的系统性工程。
为了有效应对种种安全问题与威胁,需要实施全面、充分与适宜的安全策略、技术、管理,这可以借鉴基于时间的安全方案(TBS,TimeBasedSecurity);TBS的核心是防护(Protection)一检测(Detection)一反应(Reaction)一恢复(Restore)(PDRR)。PDRR模型把信息的安全保护作为基础,信息系统的安全保护作为关键;通过检测、审计等手段发现安全漏洞,并通过快速的应急反应加以及时修正,同时还强调系统应有快速的恢复功能,并注重以时间来量化这些能力。还可以在PDRR的开始和最后增加分析,从而形成分析(Analysis)一防护(Protection)一检测(Detection)一反应(Reaction)一恢复(Restore)一分析(Analysis)(APDRRA);即以信息系统安全分析为基础,进行信息与系统安全防护、检测、反应、恢复,并实施情况分析与梳理,以针对安全薄弱环节及时完善信息系统安全设计与配置,这种过程化、螺旋式模型可以保证信息系统安全措施的适宜性和有效性。
3防护技术
3.1硬保护技术
计算机硬件及其运行环境是信息系统运行的最基本的环境,它们的安全程度对系统信息的安全有着重要的影响。计算机硬件安全技术主要是用硬件实现来防止计算机硬件向外辐射而泄露信息,可采用如下有关措施:
3.1.1采用辐射很低的绿色计算机;
3.1.2采用光纤网和屏蔽网,不会因信息在网络传输中辐射而泄露;
3.1.3对高度保密的信息,可把机房整个屏蔽起来;
3.1.4在计算机旁放置干扰器,使侦测设备无法还原计算机信息。
3.1.5加强电磁频谱的管理,有效控制电子设备的电磁辐射。
3.2信息加密技术
信息加密的目的是保护系统的数据、文件、口令和控制信息。按照收发双方密钥是否相同来分类,可以将加密算法分为常规密码算法和公钥密码算法。密码体制分为三种:对称(传统)密码体制、非对称(公钥)密码体制和混合密码体制;相应的密码算法分别有DES、IDEA、SKIPJACK算法,RSA、Deffie—Hellman算法,BIIC算法。在实际应用中通常将常规密码和公钥密码结合在一起使用。网络加密常用的方法有链路加密、端对端加密和节点加密三种。链路加密保护网络节点之间的链路信息安全;端对端加密对源端用户到目的端用户的数据提供保护;节点加密对源节点到目的节点之间的传输链路提供保护。
3.3身份认证技术
身份认证是信息系统安全防护的首道防线,目的是防止非法用户访问系统。相应方法包括口令控制;有较高安全要求的,可采用比较复杂的计算过程和函数;智能卡技术、数字签名技术以及生理特征如指纹、体温、声纹、视网膜纹等认证技术,能提供更高的安全防护。身份认证是授权控制的基础,应采用高强度的密码技术来进行身份认证,例如Kerberos认证协议,PGP加密方法。
3.4访问控制技术
访问控制是定义和控制用户对信息的访问权限,确保仅授权给有资格访问信息的用户权限,并防止和杜绝信息非授权访问。访问控制技术包括自主访问控制(DAC)和强制访问控制(MAC)两种。在DAC技术中,拥有数据对象的用户即拥有数据的访问权限,且可以将其所拥有的访问权限转授其它用户。在要求高度安全性的系统中一般不采用DAC,而使用MAC技术。MAC技术是对每个存取对象指派一个密级,对每个用户授予一个访问级;对于任意一个对象,只有合法访问级的用户才可访问。
3.5防火墙技术
防火墙是一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。防火墙最主要的功能是控制内外网的连接,防止内外网之间的非法存取和访问。它能够在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻止黑客从外部网络的侵入。防火墙主要有以下三种类型:包过滤防火墙;代理防火墙:双主机防火墙。
3.6人侵监测技术
入侵监测技术是一种主动式的安全防护技术,提供对内部攻击、外部攻击和误操作的实时保护,为防火墙之后的第二道安全闸门。该技术可使系统管理员时刻了解网络系统的任何动向,给网络安全策略的制定提供依据;及时发现正在实施的攻击,迅速发出报警信息并通过自动修改路由器或防火墙的配置来抵御攻击。
3.7审计追踪技术
审计追踪技术是发现系统安全的弱点、追查相关责任者的重要方法。系统自动记录对数据的所有操作于审计日志中,并根据审计数据来分析内部或外部攻击者的攻击意图来达到安全防护目标。通过设置完善的安全审计机制,能及时发现信息与系统安全漏洞,以便及早补救,将风险损失降到最低程度。
3.8备份与恢复技术
系统备份与恢复技术是确保信息系统安全的重要技术之一,为确保信息系统安全必须制定适当的系统备份和故障恢复策略,包括系统运行环境备份和业务数据备份、系统备份策略和恢复方案以及备份与恢复的日常管理等。
4结语
信息系统安全性是一个涉及面很广泛的问题,需要大家的参与和努力,同时加大引进先进技术,建立严密的安全防范体系,并在制度上确保该体系功能的实现,从而真正保证信息系统的安全。
参考文献
[1]王越,罗森林.信息系统与安全对抗理论.北京理工大学出版社,2015,(10)
[2]张基温.信息系统安全教程.清华大学出版社,2015,(01)
[3]黄洪.信息系统安全测评理论与方法.科学出版社,2014,(10)