探討構(gòu)建計(jì)算機(jī)信息安全技術(shù)體系

1、探討構(gòu)建計(jì)算機(jī)信息安全技術(shù)體系2013 年 12 刀 3 日 14:18:55隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化己成為大趨勢(shì)。但由于計(jì)算機(jī)網(wǎng)絡(luò) 有聯(lián)結(jié)形式多樣性、終端分布的不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使 網(wǎng)絡(luò)易受黑客、惡意軟件和其它不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè) 至關(guān)重要的問題。因此，下文中對(duì)網(wǎng)絡(luò)安全技術(shù)、數(shù)據(jù)庫安全技術(shù)、密碼技術(shù)與 防火墻安全技術(shù)進(jìn)行細(xì)致的研究。一、網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確 保網(wǎng)絡(luò)信息的保密性、完整性和可用性。計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅大體可分為對(duì)網(wǎng) 絡(luò)屮信息與設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素主要有

2、人為的無意失誤、人 為的惡意攻擊與網(wǎng)絡(luò)軟件的漏洞。網(wǎng)絡(luò)安全策略包括物理安全策略與訪問控制策略。具體的策略如下：1,入 網(wǎng)訪問控制：入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制那些用戶 能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制合法用戶入網(wǎng)的吋間以及在哪臺(tái)工作站 入網(wǎng)。2,網(wǎng)絡(luò)的權(quán)限控制：網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種 安全保護(hù)措施。用戶和用戶組被授予一定的權(quán)限。3,網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制：網(wǎng) 絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問，對(duì)卄法訪問, 服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警。若非法訪問達(dá)到一定的值，那么該賬 戶將自動(dòng)鎖定。4,網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制：網(wǎng)絡(luò)

3、中服務(wù)器的端口使用自動(dòng) 回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來識(shí)別節(jié)點(diǎn)的身份?？趧?dòng) 回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的口動(dòng)撥號(hào)程序 對(duì)計(jì)算機(jī)進(jìn)行攻擊。網(wǎng)絡(luò)述常對(duì)服務(wù)器和用戶端采取控制，如身份驗(yàn)證等。此外, 還有防火墻控制、信息加密策略、入侵檢測(cè)技術(shù)、數(shù)字簽名技術(shù)、智能卡技術(shù)、 vp7技術(shù)、vlan技術(shù)、網(wǎng)絡(luò)安全管理策略等。二、數(shù)據(jù)庫安全技術(shù)數(shù)據(jù)庫技術(shù)產(chǎn)生于20世紀(jì)60年代，目前已發(fā)展成為計(jì)算機(jī)領(lǐng)域的重耍技術(shù) 之一，它是軟件學(xué)科的一個(gè)獨(dú)立分支，數(shù)據(jù)庫技術(shù)與網(wǎng)絡(luò)通訊技術(shù)，面向?qū)ο笤O(shè) 計(jì)技術(shù)，并行計(jì)算機(jī)技術(shù)、人工智能技術(shù)等相互滲透，成為當(dāng)今數(shù)據(jù)庫技術(shù)發(fā)展 的主要特

4、征。數(shù)據(jù)庫的安全性是指數(shù)據(jù)庫的任何部分都不允許受到惡意的侵害或 未經(jīng)授權(quán)的存取與修改采取必耍的防范措施對(duì)數(shù)據(jù)席的安金是至關(guān)重耍的。1 數(shù)據(jù)庫管理系統(tǒng)：數(shù)據(jù)庫安全是處丁數(shù)據(jù)庫管理系統(tǒng)（dbms）的管理與控制下，而 dbms又是建立在操作系統(tǒng)上的，操作系統(tǒng)管理系統(tǒng)的資源，包括數(shù)據(jù)資源。 dbms. 供可靠的保護(hù)措施以確保數(shù)據(jù)庫的安全。dbms對(duì)數(shù)據(jù)庫的安全從如下三 個(gè)方面提供幫助：用戶授權(quán);防止非授權(quán)用戶使用系統(tǒng)的問題;統(tǒng)計(jì)數(shù)據(jù)庫的安全 性。2,訪問控制：訪問控制是數(shù)據(jù)庫安全的基本手段，它是對(duì)用戶訪問數(shù)據(jù)庫 各種資源，如表、視窗、各種目錄以及實(shí)用程序等所授予的權(quán)利。3,數(shù)據(jù)加密: 數(shù)據(jù)庫訪問控制的

5、安全措施是防止從數(shù)據(jù)庫系統(tǒng)中竊取數(shù)據(jù)。4,跟蹤審查是一 種監(jiān)視措施，它對(duì)某些保密的數(shù)據(jù)跟蹤一記錄有關(guān)這些數(shù)據(jù)的訪問活動(dòng)，一旦發(fā) 現(xiàn)潛在的竊密企圖，入重復(fù)的、相似的查詢，可以根據(jù)這些數(shù)據(jù)進(jìn)行事后分析和 調(diào)查。三、密碼技術(shù)信息安全的根木措施應(yīng)該是邏輯的，即用密碼學(xué)的方法和技術(shù)從體制上保證 信息不被篡改和泄露。密碼技術(shù)包括密碼設(shè)計(jì)、密碼分析、密鑰管理、驗(yàn)證技術(shù) 等。對(duì)數(shù)據(jù)進(jìn)行加密，都有其實(shí)現(xiàn)的方法，這種加密的方法稱為加密算法。加密 技術(shù)不僅提供保密通信，也是許多其它安全機(jī)制的基礎(chǔ)，是保障網(wǎng)絡(luò)安全的基石。 對(duì)數(shù)據(jù)進(jìn)行加密，通常是利用密碼技術(shù)來實(shí)現(xiàn)的。根據(jù)加解密鑰的不同，可分為 對(duì)稱密鑰加密技術(shù)（對(duì)稱密

6、鑰加密又稱作私鑰加密，因?yàn)榧用芎徒饷苁褂孟嗤?鑰，并且密鑰是保密的，不向外公布）和非對(duì)稱密鑰加密技術(shù)（非對(duì)稱密鑰加密技 術(shù)乂稱為公開密鑰加密技術(shù)）。非對(duì)稱密鑰加密技術(shù)與對(duì)稱加密技術(shù)相比，有明 顯的優(yōu)點(diǎn)：1）用戶將用于加密的密鑰，公開地分發(fā)給任何需耍的其它用戶。除了 持有私有密鑰的合法用戶外，沒有人能解開密文。解決了在對(duì)稱加密方法中代價(jià) 沉重的密鑰分發(fā)問題。2）非對(duì)稱密鑰加密系統(tǒng)允許用戶事先把公鑰公布出來，這 樣可用于身份鑒別和數(shù)字簽名。缺點(diǎn)：算法復(fù)雜，加密數(shù)據(jù)的速率較低。冃前較 常用的公開密鑰算法有rsa等。四、防火墻技術(shù)要使一個(gè)防火墻有效，所有來自和去往internet的信息都必須經(jīng)過防火

7、墻 并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免 于滲透。但是，防火墻系統(tǒng)一旦被攻擊突破或迂冋繞過，就不能提供任何保護(hù)了。目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為包過濾技術(shù)（一 種基于網(wǎng)絡(luò)層的防火墻技術(shù)）、代理技術(shù)（與包過濾技術(shù)完全不同的另一種防火墻 技術(shù)）與狀態(tài)監(jiān)視技術(shù)（這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點(diǎn)，能對(duì)網(wǎng)絡(luò) 通信的各層實(shí)行檢測(cè)）。防火墻的體系結(jié)構(gòu)有以幾種：1,包過濾防火墻：也稱作過濾過濾路由器， 它是最基本、最簡單的一種防火墻，可以在一般的路由器上實(shí)現(xiàn)，也可以在基于 主機(jī)的路由器上實(shí)現(xiàn)。2,雙宿主主機(jī)防火墻：這種防火墻系統(tǒng)由一種特殊的主機(jī)來

8、實(shí)現(xiàn)。這臺(tái)主機(jī)擁有兩個(gè)不同的網(wǎng)絡(luò)接 口，一端接外部網(wǎng)絡(luò)，一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò)，并運(yùn)行代理服務(wù)器，故被稱 為雙宿主主機(jī)防火墻。它不使用包過濾規(guī)則，而是在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng) 絡(luò)之間設(shè)置一個(gè)網(wǎng)關(guān)，隔斷ip層之間的直接傳輸。兩個(gè)網(wǎng)絡(luò)中的主機(jī)不能直接 通信，兩個(gè)網(wǎng)絡(luò)z間的通信通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來實(shí)現(xiàn)。3, 屏蔽主機(jī)網(wǎng)關(guān)防火墻:它由一臺(tái)過濾路由器和一臺(tái)堡壘主機(jī)組成。在這種配置下, 堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，過濾路由器則放置在內(nèi)部網(wǎng)路和外部網(wǎng)絡(luò)z間。外 部網(wǎng)絡(luò)的主機(jī)只能訪問該堡壘主機(jī)，而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其它主機(jī)。內(nèi)部 網(wǎng)絡(luò)在向外通信吋，必須先到堡壘主機(jī)，由該堡壘主機(jī)決定是否允許訪問外部網(wǎng) 絡(luò)。這樣堡壘主機(jī)成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。4,屏蔽了網(wǎng)防火 墻：屏蔽子網(wǎng)防火墻在屏蔽主機(jī)網(wǎng)關(guān)防火墻的配置上加上另一個(gè)包過濾路由器。 在屏蔽主機(jī)網(wǎng)關(guān)防火墻小，堡壘主機(jī)最易受到攻擊。而且內(nèi)部網(wǎng)對(duì)堡壘主機(jī)是完 全公開的，入侵者只要破壞了這一層的保護(hù)，那么入侵也就成功了。屏