个人信息安全保护技术的发展与策略.doc

信息安全技术论文 信息安全技术课程论文题目：个人信息安全保护技术的发展与策略学科专业：计科职112 . 指导教师：曾劼 .学生姓名： 毛朋艺 .学生学号： 1120020363 . 中国贵州贵阳 2013年12月第一章 个人信息安全保护技术概论1.1背景简介在21世纪的今天，随着计算机技术的不断发展，计算机的使用已经深入到人们生活工作中的每个角落，对其网络的应用以来也来越高，然而，随着计算机应用的普及，信息安全的问题也渐渐的浮出水面，大量的信息都出存在网络上，可能随时早到非法侵入，对信息安全造成威胁，因此，计算机网络信息安全及维护是非常重要的，必须引起高度的重视，本文阐述了关于计算机网络信息安全与防护的策略进行探讨分析，仅供参考。由于互联网技术在全球的发展速度很迅猛，在给人们工作带来方便和带来物质享受的同时，在在承担着来自网络的安全威胁，例如像数据被剽窃、黑客的侵袭、系统内部的信息被盗等，虽然在计算机的系统里安装了很多的安全软件，但还是难免发生诸如的类似的情况，目前，怎样能够保证计算机网络信息的安全性和可靠性，是全球都在关注的话题.1.2研究意义从发展的眼光来看，Windows平台的发展方向已经从桌面应用转向网络应用，计算机用户也已经越来越离不开网络。这一方面大大提高了人们的工作效率，另一方面也对计算机上的信息安全提出了更高的要求。一个没有任何安全维护的网站的安全漏洞至少有1 500个，而这些漏洞恰恰使黑客攻击的主要目标。病毒、黑客、木马程序都对我们的系统安全造成严重的威胁。1999年4月26日的CIH病毒大爆发给我国带来了数以亿计的损失，根据Financial Times的统计，全球平均每20s就有一个网络遭到非法入侵，Yahoo，Sina，263等很多国内外著名站点都曾遭到黑客的攻击。信息安全是一个相对的概念，有些用户认为只要使用了防病毒软件和防火墙产品，信息安全问题就可以迎刃而解，这是完全错误的。随着计算机操作系统漏洞的不断发现、新病毒和新的攻击手段的不断产生，我们只能使系统越来越安全，而做不到绝对的安全。为了保护计算机系统里的各种信息，我们必须时刻保持高度的警惕。一方面要使用合格的防病毒软件和防火墙产品，并对其进行正确的设置；另一方面要了解病毒、木马程序、防病毒软件和防火墙等产品的基本知识，注意计算机系统漏洞、软件安全方面的最新信息，做到对自己的系统安全情况始终有一个清醒的认识。只有这样才能使你的系统受到最大程度的保护，从而保障个人信息的安全。1.3国内外研究状况 由于国外安全操作系统都是基于成熟的、占据相当市场分额的操作系统进行的，而我国在安全操作系统领域起步晚，研究水平滞后，原创成果匾乏；我国政府对安全操作系统投入有限并且比较分散，产学研的体系尚未成熟。总起来说，我国在安全操作系统领域与国外相比差距比较大。 第二章 个人信息安全保护技术发展趋势2.1主要技术和发展趋势 信息安全是一个综合、交叉学科领域，它要综合利用数学、物理、生物、通信和计算机诸多学科的长期知识积累和最新发展成果，进行自主创新研究，研制相关的应用产品，加强顶层设计，提出系统的、完整的、协同的解决方案。具体来说，包括的主要技术有:密码技术、高可信计算机技术、网络隔离技术、身份认证技术、网络监管技术、容灾与应急处理等技术。 目前，最为人们所关注的实用密码技术是公钥基础设施(PKI)技术。国外的PKI应用已经开始，如Baltimo比，Entluat等推出了可以应用的PKI产品，有些公司如verisign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。 我国在密码技术领域具有长期的积累，在认证码、椭圆曲线密码系统、序列密码的设计与生成以及分析方面都处于世界前列。但是在实际应用方面与国外差距较大，首要的问题是缺乏自己的标准和规范。由于我国采取专用算法的做法，针对每个或每一类安全产品需要开发所用的算法，算法和源代码都不允许公开。受限制密码算法不可育目进行质量控制或标准化。其次是密码实现技术方面比较落后，密码芯片处理速度与国外差距非常明显。 安全操作系统技术主要包括可信技术、虚拟操作系统环境、网络安全技术、公用数据安全架构、加密文件系统、程序分析技术等。安全操作系统产品主要包括安全操作系统(为SMP、刀片服务器和巨型计算机等高端计算机配备的安全操作系统)和桌面安全操作系统(在现有桌面操作系统上进行安全增强，使其具备部分安全特征)。 随着越来越多的公司加人可信计算组织(TCG)，可信计算技术越来越受到重视。最近几年来，可信操作系统已经不仅仅是政府、国防和安全敏感领域的专用产品，在主流操作系统供应商将密码技术和操作系统更加紧密的结合，纷纷向可信操作系统靠拢。近年来，主流操作系统SUN公司的Solaris10以及如微软的WindowsServer2003都采用新的安全机制，提高了操作系统的安全性能。在微软名为“Windowsvista”(最初代号为“longhorn”)的下一代操作系统中将采用基于TCG定义的可信平台计算规范的NGSCB技术，使“WindowsVista成为可信操作系统。 由于国外安全操作系统都是基于成熟的、占据相当市场分额的操作系统进行的，而我国在安全操作系统领域起步晚，研究水平滞后，原创成果匾乏；我国政府对安全操作系统投入有限并且比较分散，产学研的体系尚未成熟。总起来说，我国在安全操作系统领域与国外相比差距比较大。 基于数学的密码技术分为经典密码学技术、对称密码学技术、非对称密码学技术。经典密码技术出现比较早，比较简单而且容易破译。 对称密码体制(SyUneirto Key Crtytograhy)中，加密和解密采用相同的密钥，所以需要通信的双方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去，这样就可以实现数据的机密性和完整性。 对称密码算法的优点是计算开销小，加解密速度快，是目前用于信息加密的主要算法。它的局限性在于它存在着通信的贸易双方之间确保密钥安全交换的问题。此外，在电子商务中，当某一贸易方有几个贸易关系，就需要维护几个专用密钥。它也没法鉴别贸易发起方或贸易最终方，因为贸易的双方的密钥相同。另外，由于对称加密系统仅能用于对数据进行加解密处理，提供数据的机密性，不能用于数字签名。 非对称密码体制(AsymmetricKey Crytography)也叫公钥加密技术(PubicKey Crytography)，该技术就是针对对称密码体制的缺陷被提出来的。在公钥加密系统中，加密和解密是相对独立的，加密和解密会使用两“把”不同的密钥，加密密钥(公开密钥)向公众公开，解密密钥(秘密密钥)只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，故称为公钥密码体制。如果一个人选择并公布了他的公钥，另外任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的，只有私钥的所有者才能利用私钥对密文进行解密。 公钥密码体制的算法中最著名的代表是RSA系统，此外还有背包密码、McEliece密码、Diffe-Hellman、Rabin、椭圆曲线、EIGalnal算法等。公钥密钥的密钥管理比较简单，并且可以方便的实现数字签名和验证。但缺点是算法复杂，运算量大，加密数据的速率较低。因此，常用来对少量关键数据(例如对称加密算法的密钥)进行加密，或者用于数字签名。网络隔离技术从整体上可以分为逻辑隔离和物理隔离两大类。根据公安部制定的GA370-2001端设备隔离部件安全技术要求的定义，逻辑隔离的含义是公共网络和专网在物理上是有连线的，通过技术手段保证在逻辑上是隔离的。物理隔离的含义是公共网络和专网在网络物理连线上是完全隔离的，且没有任何公用的存储信息。 网络行为监控是网络安全的重要方面，研究的范围包括网络事件分析、网络流量分析、网络内容分析以及相应的响应策略与响应方式。该领域涉及的主要产品包括:人侵检测系统、网络内容审计、垃圾邮件过滤、计算机取证。 从02世纪0年代到现在，入侵检测技术的发展大致分为五个阶段，第一阶段是基于简单攻击行为模式匹配检测；第二阶段，基于异常模型检测；第三阶段，基于人侵报警的分析检测；第四阶段，基于攻击意图检测；第五阶段，基于安全态势检测。经过多年发展，已经形成了成熟的产品。国产的人侵检测产品与国际先进水平相比在算法先进性和系统性能方面还有明显差距，但是让人欣慰的是已经形成了全系列的产品线，并占有了一定的市场分额。 随着大量高速网络技术在近年里得到广泛应用，人侵检测将向宽带高速实时和大规模分布式两个方向发展，IDS需要进行海量计算，高性能检测算法、新的人侵检测体系、高性能并行计算技术在人侵检测系统的应用，高速模式匹配算法及基于纯硬件的IDS都是目前研究的热点。 此外，嵌入式人侵检测以及多种安全技术的集成(如集成IDS、Scanner、Firewal等功能)的入侵阻断系统(Intrusion Prevention System)成为IDs的发展方向。 容灾与应急响应是一个非常复杂的网络安全技术领域，涉及到众多网络安全关键技术，需要多个技术产品的支持。其主要技术包含以下几个方面:应急响应体系的整体架构；应急响应体系的标准制定；应急响应的工具开发。 总体来看，目前的研究主要集中在部分应急响应工具以及小规模(如LAN)的一些应急响应技术，而像容灾与应急响应整体架构、标准、大规模网络的应用服务、系统集成等关键技术以及系统联动技术，大规模网络的协同预警定位与隔离技术，安全时间综合管理平台等方面的工具和产品的研发还处于刚刚起步阶段。 就容灾技术而言，国外的系统级容灾技术已经比较成熟，并且推出了成熟的产品。国内在系统级容灾产品方面还不成熟，应用级的容灾系统也只处于探索阶段。 未来的应急响应技术及相关产品的发展必须首先解决标准制定和体系结构的设计问题。系统集成等关键技术以及系统联动技术、安全时间综合管理平台等高端产品和技术将是未来市场发展的主要方向。联动和主动防御技术也将是容灾与应急处理的主流思想。身份认证技术作为其他安全机制的基础，因而在信息安全地位非常重要，只有有效的身份认证，才能保证访问控制、安全审计、人侵防范等安全机制的有效实施。通常身份认证技术有以下几类:基于口令的认证技术，给予密钥的认证鉴别技术，基于智能卡1智能密码钥匙(USBKEY)的认证技术，基于生物特征识别的认证技术。 专家预测，身份认证技术的发展将呈现以下态势:首先，生物特征识别技术以其独特的、优越的安全性和便利性必将成为未来身份认证技术的主导技术，特别是与其他认证技术互相融合后，如生物信息技术与数字水印技术相结合，多模态生物特征识别系统的应用都非常引人注目。其次，口令认证系统逐渐向动态口令认证的过渡；此外，作为数字证书载体的智能密码钥匙(USB陇Y)将快速发展并形成统一的标准。 目前，计算机系统就其规模和互连程度而言，可分为单独计算平台和计算网络系统，高可信计算的实现可分为高可信计算平台以及高可信网络。 为了解决PC机结构上的不安全，从基础上提高其可信性。199年10月由国际几大IT巨头Compaq、HP、IBM、Intel和Microsoft牵头组织了可信计算平台联盟TCPA(Trusted Com Puting PlatformAlliance)，成员达10家，遍布全球各大洲主力厂商。TCPA以定义了具有安全存储和加密功能的可信平台模块(TPM)，并于2001年1月发布了基于硬件系统的“可信计算平台规范(v1.0)”。2003年3月TCPA改组为TCG(Trusted Computing Group)，同年10月发布了TPM规范(v1.2)。其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。 可信计算的概念由TCG提出，但并没有明确定义，其目的主要是通过增强现有的PC终端体系结构的安全性来保证整个计算机网络的安全，意义就是在计算机网络中搭建一个诚信体系，每个终端都具有合法的网络身份，并能够被认可；而且终端具有对恶意代码，如病毒、木马等有免疫能力。在这样的可信计算环境中，任何终端出现问题，都能保证合理取证，方便监控和管理。 对于可信计算平台的实现来说，可靠性包括硬件可靠性研究和软件可靠性研究。硬件可靠性主要是通过硬件冗余提高系统的可靠性，具体的手段是通过增加系统故障诊断部件和冗余部件，这个领域的研究开始于上个世纪的5、60年代，目前在技术和实现上都比较成熟。软件可靠性研究主要包括设计技术和平测技术两方面内容。其中软件可靠性设计又可以氛围高可靠性设计、鲁棒性设计和可测试设计等研究领域，即利用软件的技术手段使得软件少发生故障以及在软件发生故障时能够自我检测和修复的技术。软件可信评测技术是可信性研究的重点，目前国内已经对此开展了研究，但是还没有达到实用化的程度。2.2常见的安全威胁 网络发展到现在，与我们的生活密切相关，“账户”“密码”“个人用户”已成为必备的生活数据。在越来越普及的计算机生活中，我们在应用的同时也要预防黑客攻击，病毒入侵，人肉搜索目前，信息安全技术涉及的领域还包括黑客的攻防、网络安全管理、网络安全评估、网络犯罪取证等方面的技术。信息安全关系到个人、企事业单位，国家安全。21世纪的战争，实际上很大程度上取决于我们在信息对抗方面的能力。信息安全的目标是保证数据的保密性、完整性、可用性、真实性、不了否认性、可控制性、以及可追究性。而从信息安全技术发展到安全应用，是主要以密码学为主，包括安全协议、安全体系结构、信息对抗、安全检测和评估等关键技术。以此为基础，还出现了一大批安全产品。常见的安全威胁有：第一，信息泄露。信息被泄露或透露给某个非授权的实体。第二，破坏信息的完整性。数据被非授权地进行增删、修改或破坏而受到损失。第三，拒绝服务。对信息或其他资源的合法访问无条件地阻止。第四，非法使用（非授权访问）。某一资源被某个非授权的人，或以非授权的方式使用。第五，窃听、窃取。用各种可能的合法或非法的的信息资源和敏感信息，盗用他人的用户密码，用不法手段牟取钱财。第六，业务流分析。通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。第七，假冒。通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。第八，特洛伊木马。软件中含有一个察觉不出的或者无害的程序段，当它被执行时，会破坏用户的安全。第九，计算机病毒。计算机病毒的潜在破坏力极大，正在成为信息战中的一种新式进攻武器。第十，人员不慎。一个授权的人为了钱或某种利益，或由于粗心，将信息泄露给一个非授权的人。在信息交换中，“安全”是相对的，而“不安全”是绝对的，随着社会的发展和技术的进步，信息安全标准不断提升，因此信息安全问题永远是一个全新的问题。“发展”和“变化”是信息安全的最主要特征，只有紧紧抓住这个特征才能正确地处理和对待信息安全问题，以新的防御技术来阻止新的攻击方法。第三章 个人信息安全防护策略 由于互联网技术在全球的发展速度很迅猛，在给人们工作带来方便和带来物质享受的同时，在在承担着来自网络的安全威胁，例如像数据被剽窃、黑客的侵袭、系统内部的信息被盗等，虽然在计算机的系统里安装了很多的安全软件，但还是难免发生诸如的类似的情况，目前，怎样能够保证计算机网络信息的安全性和可靠性，是全球都在关注的话题。3.1威胁计算机信息安全主要因素3.1.1黑客的威胁和攻击这是计算机网络所面临的最大威胁。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、www的欺骗技术和寻找系统漏洞等。3.1.2计算机病毒20世纪90年代，出现了曾引起世界性恐慌的“计算机病毒”，其蔓延范围广，增长速度惊人，损失难以估计。它像灰色的幽灵将自己附在其他程序上，在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后，轻则使系统工作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等部件的损坏。3.1.3网络软件的漏洞网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。3.2计算机信息安全的防护措施3.2.1设置身份鉴别系统首先在用户进入（即使用）计算机信息系统前，系统要对用户的身份进行鉴别，以判断该用户是否为系统的合法用户，其目的是防止非法用户进入。这是系统安全控制的第一道防线。3.2.2设制口令识别一是设置口令字；二是采用智能卡和口令字相结合的方式；三是用人的生物特征等强认证措施，如指纹、视网膜等，口令字的设置原理是：在信息系统中存放一张“用户信息表”，它记录所有的可以使用这个系统的用户的有关信息，如用户名和口令字等。用户名是可以公开的，不同用户使用不同的用户名，但口令字是秘密的。当一个用户要使用系统时，必须键入自己的用户名和相应的口令字，系统通过查询用户信息表，验证用户输入的用户名和口令字与用户信息表中的是否一致，如果一致，该用户即是系统的合法用户，可进入系统，否则被挡在系统之外。3.2.3安装防火墙技术软件防火墙”是一种形象的说法，它实际上是计算机硬件和软件的组合，在网络网关服务器上运作，在内部网与公共网络之间建立起一个安全网关，保护私有网络资源免遭其他网络使用者的擅用或入侵。防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。3.2.4安装网络版防病杀毒软件防病毒服务器作为防病毒软件的控制中心，及时通过INTERNET更新病毒库，并强制局域网中已开机的终端及时更新病毒库软件。3.2.5采取数据加密技术采取加密技术的主要因素就是可以保证数据在传输的过程中对数据流的加密，这样有效能够保证信息的安全性，目前最常用的只有线路加密和端对端加密，线路加密是将需要保密的信息用不同的加密密钥提供安全保护，然而