信息安全技术

1、信息安全技术13.1 现代电信系统平安的重要性13.1.1 现代电信系统面临的威胁现代电信系统平安技术的目的是保护存储在系统中和在网络中传输的信息。这些信息有如下特性：1保密性信息必须按信息拥有者的要求保持个人的、专有的或高度敏感数据的机密，防止信息的非受权泄漏。2可用性保证信息可由受权访问者访问。3完好性信息必须按它的原形保存。必须保持信息的完好性、真实性、正确性、相容性。信息的上述特性是现代电信系统平安保护的目的。它受到的威胁和破坏包括以下几种：1对现代电信系统实体的威胁和破坏如自然灾害、战争、人为破坏、设备故障、电磁干扰和电磁泄漏等对现代电信系统实体造成的破坏。2对信息的威胁和破坏自然灾

2、害如地震、水、火、风灾等及环境因素如温度、湿度、污染等；偶尔事故系统软硬件故障、工作失误等；人为破坏如利用系统软硬件的脆弱性，非法访问、非法窃取、修改、复制和破坏系统信息造成信息泄漏或使信息的完好性受到破坏，使系统信息被修改、删除、添加、伪造、非法复制或非法占用。3计算机病毒计算机病毒是利用程序干扰或破坏系统正常工作的一种手段。13.1.2 信息平安保护需求1信息保密性带来的平安需求2信息可用性带来的平安需求3信息完好性带来的平安需求4信息交换的有效性和合法性带来的平安需求13.2 信息平安技术的实现13.2.1 信息系统平安对策13.2.2 实体平安技术实体平安技术是为了保证现代电信系统平安

3、可靠运行，对应用信息系统、通信平台等设施采取的平安措施。实体平安技术包括以下内容。1可靠性保证技术可靠性保证是通过可靠性设计、容错设计、元器件挑选、工艺流程管理、故障诊断与维护等技术实现的。所谓容错是指当系统在任一可操作的子系统遭到破坏后，应当具备继续正常运行的才能。2抗干扰、防泄漏技术3过失控制技术采用奇偶校验、循环冗余校验、多重存储、多重传输等措施进展过失控制，保证信息的正确性和完好性。4环境保障技术要采取一系列措施防潮、防尘、防腐、防振、防水、防火、防风、防震、防污染，确保系统平安正常工作。13.2.3 数据平安技术数据平安技术包括用户识别与验证技术，数据加密、解密技术和数据库加密技术。

4、1用户识别与验证技术1口令验证2磁卡验证3生理特征验证2数据加密、解密技术按密码算法所用的加、解密密钥是否一样，可分为对称密码体制加、解密密钥一样和公开密码体制加、解密密钥不同。3数据库加密技术根据数据库的特点，对数据库加密有如下要求： 数据库信息保存时间长，因此，数据库数据加密密钥的生存周期也长。 数据库加密的粒度可以不同，如可以对文件、记录、字段加密，却允许访问某一记录或字段。 数据库加密后，存储空间不应明显增大，以免破坏数据库构造。 加密、解密速度要足够快，尤其是解密速度要快，使用户感觉不到系统性能的变化。 加密系统应有很强的访问控制机制和灵敏的受权机制。 数据库加密后，应保持对数据库查

5、询、检索、修改和更新的灵敏性。1库外加密库外加密的密钥管理较为简单，但将加密后的数据纳入数据库时，要对数据进展完好性约束，因此，要对加密算法或数据库系统做必要的改动。2库内加密库内加密的加密粒度可以是数据元素、字段或记录。3数据库硬件加密4密钥管理13.2.4 软件平安技术软件保护的根本任务是防止软件的非法复制、非受权侵入及对软件的分析、修改。1防复制方法防复制方法通过采用专门措施，使利用正常拷贝命令和各种拷贝工具无法将软件完好复制，或复制的软件不能正常运行。1硬加密技术 激光加密法 掩膜加密法 加密卡法2软件防复制方法软件防复制方法是对加密盘建立非正常格式，将某些重要信息如密钥、解密算法、解

6、密程序、待检查的标志、代码等存放在非正常格式区内，由于非正常格式不能用一般拷贝软件拷贝，且加密程序的解密要使用非正常格式区内的信息，对加密盘进展非受权复制所得到的副本是无法正常运行的。3硬盘加密法硬盘加密有两种含义，一是对硬盘上的软件加密，可以采用软件安装加密法，防止硬盘上的软件被非法拷贝；另一种是对硬盘的使用权加以限制，制止非受权用户使用硬盘。2反跟踪技术软件加密除了对明文软件加密外，还必须采取反跟踪技术抵抗、干扰破译工作的进展。反跟踪既要防止破译者的静态分析，又要防止其动态跟踪。13.2.5 计算机病毒的防治1计算机病毒的含义计算机病毒是人设计的一种功能程序。2计算机病毒的主要危害计算机病

7、毒的主要危害如下：1格式化整个磁盘、或磁盘的特定磁道、或特定扇区，使信息丧失；2删除软盘或硬盘上的可执行文件或数据文件；3破坏文件分配表，使得无法读用磁盘上的信息；4修改或破坏文件中的数据；5改变磁盘分配，造成数据写入错误；6磁盘出现“坏扇区，减少磁盘可用空间；7病毒反复“拷贝，减少磁盘可用空间；8影响内存常驻程序的运行；9在系统中产生新的文件。3计算机病毒的防治首先从一些异常现象推测系统中可能存在病毒，这些异常现象包括：1系统启动时，加载时间过长或喇叭发出不正常蜂鸣音；机器运行速度明显减慢；磁盘访问时间变长；2系统运行时，屏幕上出现特殊画面；3可执行文件长度变长；4文件建立日期和时间变化；5

8、系统试图向贴有写保护的磁盘写数据；6磁盘出现固定的“坏扇区；7磁盘上出现异常文件；原有正常文件不能运行；文件或数据无故丧失；8系统经常出现死机或重新启动；9系统设备无故不能使用，如不能进入C盘、不能使用汉字库等；10异常蜂鸣音；11磁盘的主引导区、引导扇区、文件分配表或根目录被修改。出现上述现象后，可用现有的查病毒软件检查，如异常现象不再出现，那么是病毒所致；如未发现病毒，那么需做深化分析，如分析中断向量表、分析软盘的引导扇区或硬盘的主引导扇区、分析内存的分布等，现于篇幅，这里不做深化讨论。13.2.6 网络平安技术网络的主要作用是实现信息的传送、交换以及各节点间软、硬件资源的共享。1ISO标

9、准网络平安体系构造ISO7498-2标准建议采用以下8种平安机制。1加密机制：包括对报文中的数据和报文的信息进展加密。2数字签名机制：用于保证信息的合法性。 否认发送者事后不成认已发送过某份文件。 伪造接收者伪造一份文件，声称它发自发送者。 冒充某用户冒充另一用户接收或发送信息。 篡改接收者对收到的信息进展篡改。3访问控制机制4数据完好性机制5鉴别信息交换机制6业务流量填充机制7路由控制机制8公证机制2网络加密方式1链路加密2节点加密3端对端加密4报文鉴别与数字签名数字签名利用密码技术进展，其平安性取决于密码体制的平安程度，因此可以获得比书面签名更高的平安性。5访问控制访问控制的作用是防止非法

10、用户进入系统和合法用户对系统资源的非法使用。6密钥管理在现代电信系统的环境中，由于用户和节点甚多，密钥的数量极大，密钥的产生、存储、分配、组织、使用和销毁等管理是非常复杂的问题。一级密钥用于加/解密数据。二级密钥用于加密保护一级密钥。三级密钥又称主机主密钥是最高级密钥，用于对存储于主机系统的一、二级密钥提供保护。13.3 防火墙技术简介13.3.1 防火墙在网络平安中的重要性标准的防火墙系统应遵循以下原那么：1控制对系统的访问2集中的平安管理3记录和统计网络利用数据的情况4防火墙可以对故障进展跟踪和预防5透明提供业务6对HTTP、FTP、TELNET、SMTP等效劳要有相应的代理13.3.2

11、防火墙的主要技术下面介绍几种主要防火墙类型：1包过滤器Packet Filter防火墙包过滤防火墙，又称挑选路由器。它工作在网络层上，在网络的适当位置有选择的让数据包在内部网络与外部网络之间进展交换。2应用层网关代理效劳Proxy Server应用层网关有如下功能：1对需要提供的业务做开放式代理效劳，一切不开放的业务将被阻止；2在允许用户接入代理效劳之前，先要进展身份验证工作；3根据设置，只允许用户接入特定的主机系统；4每种代理都管理一份日志，并对每一次连接进展统计；5不同类型的代理之间，互不相关，互不影响。3复合防火墙将包过滤器和应用层网关适当组合，构成复合防火墙能到达更大的平安性。13.3

12、.3 防火墙存在的问题1限制了效劳的类型和灵敏性2来自后门的威胁3对来自内部网络的攻击无能为力4其他问题13.3.4 新一代防火墙新一代防火墙具有以下特点：1采用多级过滤技术2利用网络地址转换技术，允许内部网络使用自己编制的IP地址和专用网络，使外部网络无法理解内部网络。3利用平安效劳器网络技术，即利用一块网卡将对外效劳器作为一个独立网络处理，对外效劳器既是内部网络的一局部，又与内部网络完全隔离。4新一代防火墙应具有对用户进展认证的机制，并对不同用户赋予不同的权限；信息在Internet网上传输时，应利用虚拟专用网VPN技术对信息进展加密传输。5基于连接的包过滤技术。6防火墙对一切恶意的攻击应

13、能进展审计，并发出警报。13.4 因特网平安及其防范措施13.4.1 因特网平安问题TCP/IP本身在设计上就是不平安的：作为分组交换网络，每个数据分组都可独立路由，并在中继节点存储转发，通过路由欺骗就可改变原有的转发途径；Internet使用明文TCP/IP网络协议，根据序列编号就能重组或修改应用数据；网络应用程序本身还有许多调试后门和软件错误；最早引入TCP/IP的Unix操作系统最初也是用于研究目的，以方便用户为主要目的，缺乏完善有效的平安控制，如远程命令执行和网络文件系统的平安约束都相当脆弱。13.4.2 因特网平安防范措施1因特网平安防范措施2TCP/IP各层的平安防范方法1网络层的平安防范方法IPSP的主要目的是使需要平安措施的用户可以使用相应的加密平安体制。2运输层的平安防范方法3应用层的平安性网络层或运输层的平安协议提供主机或进程之间平安机制，不能提供在同一通道上传输的每一个详细文件的平安保障。3