信息安全技術[網際網路專業學科術語]

信息安全技術是信息管理與信息系統專業本科學生的一門專業課。

隨著計算機技術的飛速發展,計算機信息安全問題越來越受關注。學生掌握必要的信息安全管理和安全防範技術是非常必要的。通過對本門課程的學習,學生可掌握計算機信息安全的基本原理和當今流行的信息安全設定、安全漏洞、防火牆的策略與實現、黑客原理與防範,以便能夠使學生勝任信息系統的實現、運行、管理與維護等相關的工作。

專業簡介

寬頻網已深入生活,對社會活動產生了深遠的影響,網路安全隨之也越發顯得重要。各行業迫切需要從事計算機系統信息安全工作的高級技術人才。本專業培養熟練掌握網路設備的安裝、管理和維護,能分析企業網路和信息系統安全漏洞、及時解決網路安全問題,並能夠根據企事業單位業務特點設計製作安全的電子商務/政務網站的專業人員。從事信息安全產品銷售與推廣,信息系統和電子商務/政務安全設計,網路和信息系統安全測試等工作。

主要專業課程:計算機網路技術基礎、TCP/IP協定、信息安全技術基礎、密碼學基礎、信息安全產品及套用技術、彙編語言程式設計、SQL資料庫安全設計、ASPNET程式設計(Web安全)、計算機系統安全、Web編程技術等。

信息安全的專科專業:成都東軟學院、西北大學軟體職業技術學院、廣州番禺職業技術學院、柳州鐵道職業技術學院、湖南信息職業技術學院、河北司法警官職業學院、四川托普信息技術職業學院開設了信息安全的專科專業。

職業分析

本專業是培養擁護黨的基本路線,適應我國全面建設小康社會實際需要,在生產、建設、服務和管理第一線需要的,具備寬厚紮實的基礎理論知識和專業知識的基礎上,重點掌握信息安全的基本理論、基本知識、基本技能及綜合套用方法;熟悉國家信息安全管理的政策和法律法規,了解信息安全的發展動向和新技術;具有良好的職業道德、敬業與創新精神的高素質技能型人才。

學科組成

密碼套用技術:主要用於保障計算機信息的機密性、完整性和抗禦外部入侵等。

信息安全技術:主要用於防止系統漏洞,防止外部黑客入侵,防禦病毒破壞和對可疑訪問進行有效控制等。  數據災難與數據恢復技術:一旦計算機發生意外、災難等,可使用備份還原及數據恢復技術將丟失的數據找回。

作業系統維護技術:作業系統作為一切操作的平台,在進行相應的計算機信息安全處理前必須對操作平台有一個系統全面的了解。

專業簡介

信息安全技術 信息安全技術

信息安全具有專業“新”、資格證書“硬” 、畢業生“少”,需求部門“多”、用人單位“大”,就業前景“廣”等特點。本專業培養德、智 、體全面發展,能夠從事計算機、電子信息、金融、商務、政務和防務等與IT有關的信息安全技術領域的套用、管理方面一線工作,能勝任信息處理技術員工作:從事信息安全產品的銷售、安裝、維護與用戶培訓工作,能熟練地安裝和維護網路設備的套用型高技能人才。

主要課程

計算機基礎(含註冊表設定)、計算機信息安全概論、計算機組成原理、高級語言程式設計、數據結構、計算機網路技術(含MS Windows 2003)、CISCO路由器交換機安全套用基礎、作業系統安全、入侵檢測與防火牆技術、計算機病毒與黑客防範、ORACLE資料庫設計、TCP/IP網路編程、Web網頁開發技術、網路作業系統及伺服器管理等。

獲得證書

信息安全技術規範 信息安全技術規範

(1)信息處理員證書

(2)微軟安全認證ISA(3)信息系統安全專家CISSP認證

(4)思科安全專家CCSP認證

意義

①數據的完整性:它包括數據單元完整性和數據單位序列完整性。

②數據的可用性:就是要保障網路中數據無論在何時,無論經過何種處理,只要需要,信息必須是可用的。

③數據的保密性:即網路中的數據必須按照數據的擁有者的要求保證一定的秘密性。具有敏感性的秘密信息,只有得到擁有者的許可,其他人才能夠獲得該信息,網路系統必須能夠防止信息的非授權訪問或泄露。

④合法使用性:即網路中合法用戶能夠正常得到服務,正常使自己合法地訪問資源和信息,而不至於因某種原因遭到拒絕或無條件的阻止。

技術組成

信息安全的內涵在不斷地延伸,從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻(攻擊)、防(防範)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。信息網路常用的基礎性安全技術包括以下幾方面的內容。

身份認證技術:用來確定用戶或者設備身份的合法性,典型的手段有用戶名口令、身份識別、PKI證書和生物認證等。 加解密技術:在傳輸過程或存儲過程中進行信息數據的加解密,典型的加密體制可採用對稱加密和非對稱加密。 邊界防護技術:防止外部網路用戶以非法手段進入內部網路,訪問內部資源,保護內部網路操作環境的特殊網路互連設備,典型的設備有防火牆和入侵檢測設備。 訪問控制技術:保證網路資源不被非法使用和訪問。訪問控制是網路安全防範和保護的主要核心策略,規定了主體對客體訪問的限制,並在身份識別的基礎上,根據身份對提出資源訪問的請求加以許可權控制。

主機加固技術:作業系統或者資料庫的實現會不可避免地出現某些漏洞,從而使信息網路系統遭受嚴重的威脅。主機加固技術對作業系統、資料庫等進行漏洞加固和保護,提高系統的抗攻擊能力。

安全審計技術:包含日誌審計和行為審計,通過日誌審計協助管理員在受到攻擊後察看網路日誌,從而評估網路配置的合理性、安全策略的有效性,追溯分析安全攻擊軌跡,並能為實時防禦提供手段。通過對員工或用戶的網路行為審計,確認行為的合規性,確保管理的安全。

檢測監控技術:對信息網路中的流量或套用內容進行二至七層的檢測並適度監管和控制,避免網路流量的濫用、垃圾信息和有害信息的傳播。

實驗室

哈工大計算機網路與信息安全技術研究中心成立於2003年3月,建有信息安全本科專業、計算機科學與技術碩士點、計算機系統結構博士點和博士後流動工作站。

該中心主要研究方向包括網路與信息安全、信息內容安全、網路測量、網路計算技術等,研究基礎雄厚,成果卓著。本實驗室共承擔國家信息安全重大項目4項,國家973項目2項,國家自然科學基金項目5項,國家“863”項目6項,其他國家部委項目近20項。獲得國家科技進步獎一等獎1項、國家科技進步獎二等獎2項,國家部委科技進步獎6項。在國內外重點期刊發表文章逾500篇。實驗室現有教授4人,副教授6人,其中博士生導師2人,在校研究生100餘人。業已形成一支目標明確,富有幹勁,能夠攻堅的老、中、青相結合的科研隊伍。

創新點

隨著網際網路套用的快速發展,信息安全已深入到諸多領域,越來越多的企業用戶和個人用戶開始沉下心來,認真思考著一個問題:當各種各樣針對套用的安全威脅來臨之時,如何在日益增長並更為複雜的各種套用中有效地進行自我保護,如何將思路創新、技術創新的破冰之計與信息安全更好地融合在一起,守好自己的那一方陣地?

要有效保證信息安全,其中之一就是要做好數據搶救措施,如加入數據恢復、數據備份、數據銷毀等信息安全防禦措施。常用的數據恢復技術包括效率源Data Compass數據指南針、HD Doctor、DCK硬碟複製機等。

其實,從較為完整的經典網路安全防護模型--APPDRR中,可以看到網路安全需要的基本要素是:分析、安全策略、保護、檢測、回響和恢復,針對這六個基本要素,需要重點關注安全測試評估、安全存儲、主動實施防護模型與技術、網路安全事件監控、惡意代碼防範與應急回響、數據備份與可生存性六項技術,及衍生而來的可信計算平台技術和網路安全管理與UTM技術的創新點。

4月12日,在2007中國電子信息創新技術年會上,中國工程院院士、信息產業部網際網路應急處理協調辦公室主任方濱興,暢談了自己對這八項重點技術創新點的看法。

(一) 安全測試評估技術

安全是網路正常運行的前提。網路安全不單是單點的安全,而是整個信息網的安全,需要從多角度進行立體防護。要知道如何防護,就要清楚安全風險來源於何處,這就需要對網路安全進行風險分析。方濱興認為網路安全的風險分析,重點應該放在安全測試評估技術方面。它的戰略目標是:掌握網路與信息系統安全測試及風險評估技術,建立完整的面向等級保護的測評流程及風險評估體系。他談到,這一點和過去不一樣,過去進行測評沒有強調等級保護,就是按照以往測評的模式進行。而《國家信息化中長期科學與技術發展戰略規劃綱要》已經明確提出,網路安全測試要按照等級保護的原則進行,所以測評也需要服務於這一點。

那么"安全測評"的主要創新點又是什麼?方院士認為:

首先,要建立適應等級保護和分級測評機制的通用信息系統與信息技術產品測評模型、方法和流程,要適應不同的級別就要有不同的測評方法,這裡的分級要符合等級保護機制,重點放在通用產品方面,所謂通用產品就是要建成一個標準的流程,不能完全是一事一議,如此一來互相之間也才會有所比較;要建立統一的測評信息庫和知識庫,即測評要有統一的背景;制定相關的國家技術標準。

其次,要建立面向大規模網路與複雜信息系統安全風險分析的模型和方法;建立基於管理和技術的風險評估流程;制定定性和定量的測度指標體系。如果沒有這個指標體系,只能抽象地表述,對指導意見來講並沒有太多的實際意義。

(二)安全存儲系統技術

在安全策略方面,方院士認為重點需要放在安全存儲系統技術上。其戰略目標有兩點:一是要掌握海量數據的加密存儲和檢索技術,保障存儲數據的機密性和安全訪問能力。二是要掌握高可靠海量存儲技術,保障海量存儲系統中數據的可靠性。

關於"安全存儲",方院士強調:

首先,採用海量(TB級)分散式數據存儲設備的高性能加密與存儲訪問方法,並建立數據自毀機理。他談到為海量信息進行高性能加密,雖然有加密解密的過程,但對訪問影響並不明顯。這其中不能忽視的是此舉對算法的效率提出了很高的要求,應該加以注意。而且一旦數據出現被非授權訪問,應該產生數據自毀。

其次,採用海量(TB級)存儲器的高性能密文數據檢索手段。需要指出的是,加密的基本思路就是要把它無規則化,讓它根本看不到規則,這才是加密。而檢索就是要有規律,所以這裡就要提出一個折中的方法,如何加密對檢索能夠儘可能的支持,同時又具備一定的安全強度。這就對密碼算法和檢索都提出來了挑戰。

再次,構建基於冗餘的高可靠存儲系統的故障監測、透明切換與處理、數據一致性保護等方面的模型與實現手段。這裡高可靠的關鍵的還是要依賴冗餘,一旦系統崩潰,還有冗餘信息。

最後,制定安全的數據組織方法;採用基於主動防禦的存儲安全技術。

(三)主動實時防護模型與技術

在現有的網路環境下,安全大戰愈演愈烈,防火牆、防毒、入侵檢測"老三樣"等片面的安全防護應對方式已經越來越顯得力不從心,方院士認為這需要的不僅僅是片面的被動防護,而更要在防護的過程中強調主動實時防護模型與技術。

他認為主動防護的戰略目標應該是:掌握通過態勢感知,風險評估、安全檢測等手段對當前網路安全態勢進行判斷,並依據判斷結果實施網路主動防禦的主動安全防護體系的實現方法與技術。傳統的防護一般都是入侵檢測,發現問題後有所回響,但是越來越多的人更加關注主動防護,通過態勢判斷,進行系統的及時調整,提高自身的安全強度。通過感知,主動地做出決策,而不是事後亡羊補牢,事後做決策。

方院士在談到主動防護時說:一是建立網路與信息系統安全主動防護的新模型、新技術和新方法;建立基於態勢感知模型、風險模型的主動實時協同防護機制和方法。

二是建立網路與信息系統的安全運行特徵和惡意行為特徵的自動分析與提取方法;採用可組合與可變安全等級的安全防護技術。方院士進一步強調,不同的系統會有不同的需求,應該具備一定的提取能力,進而監控其特徵,通過監控判斷所出現的各種情況。另外,如果通過檢測發現惡意行為,應該對其特徵進行提取,提取的目的就是為了進一步監測,或在其他區域進行監測,檢查同樣的情況是否存在,如果存在,就要對這個態勢進行明確的分析,而這些都需要有自動的特徵提取。

(四)網路安全事件監控技術

監測是實現網路安全中不可或缺的重要一環,這其中要重點強調的是實施,即網路安全事件監控技術。

方院士認為實時監控的戰略目標是:掌握保障基礎信息網路與重要信息系統安全運行的能力,支持多網融合下的大規模安全事件的監控與分析技術,提高網路安全危機處置的能力。需要強調的是三網融合勢在必行,不同網的狀態下,要實現融合,這就對進行監測就提出了一定的要求,監測水平需要有所提升。

技術問題

電子商務安全從整體上可分為兩大部分:計算機網路安全和商務交易安全

(一)計算機網路安全的內容包括

(1)未進行作業系統相關安全配置

不論採用什麼作業系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對作業系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為作業系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和“後門” 是進行網路攻擊的首選目標。

(2)未進行CGI程式代碼審計

如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程式,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。

(3)拒絕服務(DoS,Denial of Service)攻擊

隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,範圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。

(4)安全產品使用不當

雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設定時,很容易產生許多安全問題。

(5)缺少嚴格的網路安全管理制度 

網路安全最重要的還是要思想上高度重視,網站或區域網路內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。

(二)計算機商務交易安全的內容包括

(1)竊取信息

由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。

(2)篡改信息

當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。

(3)假冒

由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶傳送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。

(4)惡意破壞

由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。

安全策略

加密技術

信息加密的目的是保護網內的數據、檔案、口令和控制信息,保護網上傳輸的數據。數據加密技術主要分為數據傳輸加密和數據存儲加密。數據傳輸加密技術主要是對傳輸中的數據流進行加密,常用的有鏈路加密、節點加密和端到端加密三種方式。鏈路加密的目的是保護網路節點之間的鏈路信息安全;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護;端--端加密的目的是對源端用戶到目的端用戶的數據提供保護。在保障信息安全各種功能特性的諸多技術中,密碼技術是信息安全的核心和關鍵技術,通過數據加密技術,可以在一定程度上提高數據傳輸的安全性,保證傳輸數據的完整性。一個數據加密系統包括加密算法、明文、密文以及密鑰,密鑰控制加密和解密過程,一個加密系統的全部安全性是基於密鑰的,而不是基於算法,所以加密系統的密鑰管理是一個非常重要的問題。數據加密過程就是通過加密系統把原始的數字信息(明文),按照加密算法變換成與明文完全不同得數字信息(密文)的過程。

假設E為加密算法,D為解密算法,則數據的加密解密數學表達式為:P=D(KD,E(KE,P))。

數據加密算法有很多種,密碼算法標準化是信息化社會發展得必然趨勢,是世界各國保密通信領域的一個重要課題。按照發展進程來分,經歷了古典密碼、對稱密鑰密碼和公開密鑰密碼階段,古典密碼算法有替代加密、置換加密;對稱加密算法包括DES和AES;非對稱加密算法包括RSA 、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal算法等。目前在數據通信中使用最普遍的算法有DES算法、RSA算法和PGP算法。

根據收發雙方密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。在實際套用中通常將常規密碼和公鑰密碼結合在一起使用,利用DES或者IDEA來加密信息,而採用RSA來傳遞會話密鑰。

防火牆

防火牆的本義原是指古代人們房屋之間修建的那道牆,這道牆可以防止火災發生的時候蔓延到別的房屋。防火牆技術是指隔離在本地網路與外界網路之間的一道防禦系統的總稱。在網際網路上防火牆是一種非常有效的網路安全模型,通過它可以隔離風險區域與安全區域的連線,同時不會妨礙人們對風險區域的訪問。防火牆可以監控進出網路的通信量,僅讓安全、核准了的信息進入,同時又抵制對企業構成威脅的數據。防火牆主要有包過濾防火牆、代理防火牆和雙穴主機防火牆3種類型,並在計算機網路得到了廣泛的套用。

一套完整的防火牆系統通常是由禁止路由器和代理伺服器組成。禁止路由器是一個多連線埠的IP路由器,它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。禁止路由器從包頭取得信息,例如協定號、收發報文的IP位址和連線埠號、連線標誌以至另外一些IP選項,對IP包進行過濾。代理伺服器是防火牆中的一個伺服器進程,它能夠代替網路用戶完成特定的TCP/TP功能。一個代理伺服器本質上是一個套用層的網關,一個為特定網路套用而連線兩個網路的網關。用戶就一項TCP/TP套用,比如Telnet或者FTP,同代理伺服器打交道,代理伺服器要求用戶提供其要訪問的遠程主機名。當用戶答覆並提供了正確的用戶身份及認證信息後,代理伺服器連通遠程主機,為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用於用戶級的認證。

隨著安全性問題上的失誤和缺陷越來越普遍,對網路的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火牆的作用是防止不希望的、未授權的通信進出被保護的網路。防火牆可以達到以下目的:一是可以限制他人進入內部網路,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防禦設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。由於防火牆假設了網路邊界和服務,因此更適合於相對獨立的網路,例如Intranet等種類相對集中的網路。

入侵檢測

隨著網路安全風險係數不斷提高,作為對防火牆及其有益的補充,IDS(入侵檢測系統)能夠幫助網路系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和回響),提高了信息安全基礎結構的完整性。

入侵檢測系統是一種對網路活動進行實時監測的專用系統,該系統處於防火牆之後,可以和防火牆及路由器配合工作,用來檢查一個LAN網段上的所有通信,記錄和禁止網路活動,可以通過重新配置來禁止從防火牆外部進入的惡意流量。入侵檢測系統能夠對網路上的信息進行快速分析或在主機上對用戶進行審計分析,通過集中控制台來管理、檢測。

理想的入侵檢測系統的功能主要有:

(1)用戶和系統活動的監視與分析;

(2)系統配置極其脆弱性分析和審計;

(3)異常行為模式的統計分析;

(4)重要系統和數據檔案的完整性監測和評估;

(5)作業系統的安全審計和管理;

(6)入侵模式的識別與回響,包括切斷網路連線、記錄事件和報警等。

本質上,入侵檢測系統是一種典型的“窺探設備”。它不跨接多個物理網段(通常只有一個監聽連線埠),無須轉發任何流量,而只需要在網路上被動地、無聲息地收集它所關心的報文即可。IDS分析及檢測入侵階段一般通過以下幾種技術手段進行分析:特徵庫匹配、基於統計的分析和完整性分析。其中前兩種方法用於實時的入侵檢測,而完整性分析則用於事後分析。

各種相關網路安全的黑客和病毒都是依賴網路平台進行的,而如果在網路平台上就能切斷黑客和病毒的傳播途徑,那么就能更好地保證安全。這樣,就出現了網路設備與IDS設備的聯動。IDS與網路交換設備聯動,是指交換機或防火牆在運行的過程中,將各種數據流的信息上報給安全設備,IDS系統可根據上報信息和數據流內容進行檢測,在發現網路安全事件的時候,進行有針對性的動作,並將這些對安全事件反應的動作傳送到交換機或防火牆上,由交換機或防火牆來實現精確連線埠的關閉和斷開,這就是入侵防禦系統(IPS)。IPS技術是在IDS監測的功能上又增加了主動回響的功能,力求做到一旦發現有攻擊行為,立即回響,主動切斷連線。

系統容災

一個完整的網路安全體系,只有“防範”和“檢測”措施是不夠的,還必須具有災難容忍和系統恢復能力。因為任何一種網路安全設施都不可能做到萬無一失,一旦發生漏防漏檢事件,其後果將是災難性的。此外,天災人禍、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難,也能快速地恢復系統和數據,才能完整地保護網路信息系統的安全。主要有基於數據備份和基於系統容錯的系統容災技術。

數據備份是數據保護的最後屏障,不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立複製關係,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時複製本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供資料庫容災功能。

集群技術是一種系統級的系統容錯技術,通過對系統的整體冗餘和容錯來解決系統任何部件實效而引起的系統當機和不可用問題。集群系統可以採用雙機熱備份、本地集群網路和異地集群網路等多種形式實現,分別提供不同的系統可用性和容災性。其中異地集群網路的容災性是最好的。

存儲、備份和容災技術的充分結合,構成一體化的數據容災備份存儲系統,是數據技術發展的重要階段。隨著存儲網路化時代的發展,傳統的功能單一的存儲器,將越來越讓位於一體化的多功能網路存儲器。

管理策略

除了使用上述技術措施之外,在網路安全中,通過制定相關的規章制度來加強網路的安全管理,對於確保網路的安全、可靠地運行,將起到十分有效的作用。網路的安全管理策略包括:首先要制訂有關人員出入機房管理制度和網路操作使用規程;其次確定安全管理等級和安全管理範圍;第三是制定網路系統的維護制度和應急措施等。

專業熱點

新熱點

存儲在硬碟、光碟、軟碟、隨身碟等計算機存儲設備中的信息如果丟失或被破壞而又沒有備份的時候,這是讓人非常頭痛的事情。由於採取一般的手段很難恢復,因此數據修復成為許多人關注的難點和熱點.

國家信息中心已經在信息安全領域積累了豐富的經驗,並具有了一定實力。其所屬的信息安全研究與服務中心在引進國際先進的數據修復技術的基礎上,自主開發了適合中國計算機用戶的數據修復技術達到了國內先進水平,已經可以提供數據修復服務。

DRS數據修復是採用硬體檢修處理和數據重組的特殊技術來修復受損數據,這種方法可以最大可能恢復原有數據。這種方法修複數據可以做到3個“不限”:

1、不限故障類型 不論是由病毒、系統故障、誤操作、升級或安裝軟體等邏輯損壞,還是由於意外事故、電擊、水淹、火燒、撞擊、機械故障等硬體原因造成的數據丟失均可修復;

2、不限存儲介質 包括計算機硬碟、軟碟、計算機磁帶、各種光碟、磁碟陣列,移動硬碟、隨身碟等移動存儲設備,數位相機的存儲卡在內的各類存儲介質;

3、不限系統平台 包括DOS、不同版本的Windows、Linux、Unix等作業系統平台。該公司數據修復總成功率達到了80%以上,軟體故障修復成功率達到了98%。

數據修復技術除可以用於存儲設備數據恢復以外,還可用於計算機類設備的數據徹底刪除、協助執法機關恢復已被破壞的計算機數據及提供與案件相關的電子資料證據。由於病毒的猖獗,計算機內部軟體、數據被破壞的可能性大大增加,長期保存的數據也可能丟失或損壞,而多數人還不了解這方面的情況.計算機數據修復有較大需求,僅2004年第三季度北京新註冊的數據恢復公司就有10多家,已經成為信息安全新熱點。

量子通信將成國家信息安全重要工具

量子通信在國際理論界享有較高知名度,但是現階段能夠進行試驗的國家並不多,其中包括中國、美國(國防部+巴特爾研究所)、歐盟、日本以及南非(夸祖魯-納塔爾大學)。其中,歐盟已將量子通信加入到未來5~10年的商業白皮書中;日本將量子通信提升為國家戰略;而我國領導人也非常重視量子通信的發展(中央常委曾參與了關於量子通信的學習)。並且,我國在全球首次實現了未知量子態的遠程傳輸,加上國家政策支持(安徽、北京-上海多條實驗信道鋪設),量子通信有望成為我國通信重點發展領域。
基於上述安全性的考慮以及可能的推廣路徑,業內人士推算:未來3~5年,量子通信市場份額約為90~120億元人民幣,而未來5~10年,因為量子通信不僅安全性突出,並且較之傳統通信更加高效,有望對傳統的通信手段進行替代。同時,經過我國商用化的實現,量子通信海外市場也將被逐步打開。

產業熱點

如果說2009年信息安全產業的熱點,毫無疑問“雲安全”技術當之無愧。據記者觀察,無論是新技術還是新套用,業內眾多主流安全廠商都在向“雲”靠攏。有意思的是,隨著雲安全套用的重要性日益凸現,針對雲端伺服器群組的保護技術也推陳出新。

可以說,當前的這朵“雲”越來越有味道了。

理解雲安全技術

在大家理解“雲安全”技術之前,記者首先要強調一點,就是雲安全並非絕對的新技術。事實上,伴隨著雲計算技術的發展,雲安全是逐漸發展至今並得以實用化的。追溯到2007年底開始,全球範圍內的惡意軟體、攻擊行為日益複雜並且變得難以防禦,在“海量威脅”的壓力下,傳統的基於“簽名”的安全防預技術受到了挑戰,而這恰恰給了“雲安全”技術發展的空間。

此前Fortinet中國區技術總監李宏凱在接受本報獨家專訪時指出:“雲安全最重要的技術特點在於其分部式運算的強大能力和客戶端的安全配置精簡化,也就是用戶們經常談到的瘦客戶端發展趨勢。 這點對於企業用戶而言確實具有明顯的安全性提升和降低客戶端維護量的優勢。本身雲安全技術也提供了對未知威脅的評估和防禦推送能力,因此在安全防禦級別上無疑是有明顯的進步。”

雲安全重要的推動力主要是威脅的多樣化發展和動態性,用戶越來越多的感覺到單一的防禦技術很難做到有效的防禦效果。套用的多樣化使得當前的攻擊具備了多種途徑的感染,傳播和觸發的方式。比如說部分郵件承載的惡意代碼可以通過垃圾郵件方式進行部分檢測,如郵件信譽列表技術等。這個層次沒有阻攔成功,那么就要分析郵件內容的威脅,要用病毒解碼分析技術。當個體主機被感染後,系統進程會和網上伺服器自動互連進行木馬程式下載和傳播,這時候系統命令層的檢測就要發揮作用。因此可以看到,多樣化威脅的防禦需要動態的多層次的檢測能力。而雲安全的高級特徵分析能力為用戶提供了多層次的威脅防禦分析,也在很大程度上提高的實際安全效能。

基於此,記者希望廣大企業用戶一定要理解一個觀點:“雲安全”技術是未來內容安全防護技術發展的必由之路。因為技術發展來看,這已經是一個無法迴避的趨勢。

對此,趨勢科技資深安全顧問徐學龍表示,由於用戶規模和網路套用的快速增長,Internet上的網路威脅數量也呈爆炸性增長。據AV-testorg統計,每天產生的新惡意程式在三萬支左右,通過製作病毒代碼來防護網路威脅的傳統技術已不能提供有效防護,“雲安全”採用雲計算的處理機制,能夠將Internet上的網路威脅位置計算出來,在網路威脅到達網路前進行阻止,一方面實現了廣譜防護,另一方面實現高效、及時的防護。

需要注意的是,雲安全內在的機制是“雲計算”技術,由於Internet接入頻寬價格的不斷下降和通信質量的不斷提升,雲安全的活力開始被激活,並且在2009年衍生為市場最新的熱點。

持同樣看法的,還有Wedge Networks的全球CEO張鴻文博士。他說:“雲安全目前很熱,而且這個技術本身聯合了兩個領域:雲計算和基於網路的威脅防禦。”不過有意思的是,他對於“雲安全”概念的精準性提出了質疑,“安全的各個角落都在提雲安全,這有點像當年軟體領域的‘人人皆SaaS’。嚴格來看,‘雲安全’必須要為企業的數據中心、伺服器群組、以及端點提供強制的安全防禦支持。”

相關詞條

熱門詞條

聯絡我們