- 相關推薦
計算機等三級考試《網絡技術》考點:信息安全技術概述
信息安全技術主要用于防止系統漏洞,防止外部黑客入侵,防御病毒破壞和對可疑訪問進行有效控制等。以下是小編整理的計算機等三級考試《網絡技術》考點:信息安全技術概述,希望對大家有所幫助。
1.信息安全的概念
信息安全要實現的目標主要有以下7個方面:
①真實性。
②保密性。
③完整性。
④可用性。
⑤不可抵賴性。
⑥可控制性。
⑦可審查性。
2.信息安全等級
美國國防部所屬的國家計算機安全中心(NCSC) 提出了網絡安全標準(DoD5200.28 STD),即可信任計算機標準評估準則(TCSEC),也稱為橘皮書。美國國防部安全準則(TCSEC)分為4類7個級別,安全性從低到高分別為:Dl、Cl、C2、Bl、B2、B3、Al級別。協議TCSEC級別及其安全性見下表。
在我國以《計算機信息系統安全保護等級劃分準則》為指導,將信息和信息系統的安全保護分為5個等級。
第一級為自主保護級。適用于一般的信息及信息系統受到破壞后產生影響,但不會危害國家安全、社會秩序、經濟建設和公共利益。
第二級為指導保護級。適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統。受到破壞后造成一定損害。
第三級為監督保護級。適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統。受到破壞后會造成較大損害。
第四級為強制保護級。適用于涉用國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統。受到破壞后成嚴重損害。
第五級為專控保護級。適用于涉及國家安全、社會秩序、經濟建設和公共利益的核心信息和信息系統。受到破壞后會造成特別嚴重的損害。
技術組成
信息安全的內涵在不斷地延伸,從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。信息網絡常用的基礎性安全技術包括以下幾方面的內容。
身份認證技術:用來確定用戶或者設備身份的合法性,典型的手段有用戶名口令、身份識別、PKI證書和生物認證等。 加解密技術:在傳輸過程或存儲過程中進行信息數據的加解密,典型的加密體制可采用對稱加密和非對稱加密。邊界防護技術:防止外部網絡用戶以非法手段進入內部網絡,訪問內部資源,保護內部網絡操作環境的特殊網絡互連設備,典型的設備有防火墻和入侵檢測設備。訪問控制技術:保證網絡資源不被非法使用和訪問。訪問控制是網絡安全防范和保護的主要核心策略,規定了主體對客體訪問的限制,并在身份識別的基礎上,根據身份對提出資源訪問的請求加以權限控制。
主機加固技術:操作系統或者數據庫的實現會不可避免地出現某些漏洞,從而使信息網絡系統遭受嚴重的威脅。主機加固技術對操作系統、數據庫等進行漏洞加固和保護,提高系統的抗攻擊能力。
安全審計技術:包含日志審計和行為審計,通過日志審計協助管理員在受到攻擊后察看網絡日志,從而評估網絡配置的合理性、安全策略的有效性,追溯分析安全攻擊軌跡,并能為實時防御提供手段。通過對員工或用戶的網絡行為審計,確認行為的合規性,確保管理的安全。
檢測監控技術:對信息網絡中的流量或應用內容進行二至七層的檢測并適度監管和控制,避免網絡流量的濫用、垃圾信息和有害信息的傳播。
技術問題
電子商務安全從整體上可分為兩大部分:計算機網絡安全和商務交易安全
(一)計算機網絡安全的內容包括
(1)未進行操作系統相關安全配置
不論采用什么操作系統,在缺省安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統缺省安裝后,再配上很強的密碼系統就算作安全了。網絡軟件的漏洞和“后門” 是進行網絡攻擊的首選目標。
(2)未進行CGI程序代碼審計
如果是通用的CGI問題,防范起來還稍微容易一些,但是對于網站或軟件供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對于電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重后果。
(3)拒絕服務(DoS,Denial of Service)攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。
(4)安全產品使用不當
雖然不少網站采用了一些網絡安全設備,但由于安全產品本身的問題或使用問題,這些產品并沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
(5)缺少嚴格的網絡安全管理制度
網絡安全最重要的還是要思想上高度重視,網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。
(二)計算機商務交易安全的內容包括
(1)竊取信息
由于未采用加密措施,數據信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2)篡改信息
當入侵者掌握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然后再發向目的地。這種方法并不新鮮,在路由器或網關上都可以做此類工作。
(3)假冒
由于掌握了數據的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(4)惡意破壞
由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,其后果是非常嚴重的。
安全策略
加密技術
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。數據加密技術主要分為數據傳輸加密和數據存儲加密。數據傳輸加密技術主要是對傳輸中的數據流進行加密,常用的有鏈路加密、節點加密和端到端加密三種方式。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護;端--端加密的目的是對源端用戶到目的端用戶的數據提供保護。在保障信息安全各種功能特性的諸多技術中,密碼技術是信息安全的核心和關鍵技術,通過數據加密技術,可以在一定程度上提高數據傳輸的安全性,保證傳輸數據的完整性。一個數據加密系統包括加密算法、明文、密文以及密鑰,密鑰控制加密和解密過程,一個加密系統的全部安全性是基于密鑰的,而不是基于算法,所以加密系統的密鑰管理是一個非常重要的問題。數據加密過程就是通過加密系統把原始的數字信息(明文),按照加密算法變換成與明文完全不同得數字信息(密文)的過程。
假設E為加密算法,D為解密算法,則數據的加密解密數學表達式為:P=D(KD,E(KE,P))。
數據加密算法有很多種,密碼算法標準化是信息化社會發展得必然趨勢,是世界各國保密通信領域的一個重要課題。按照發展進程來分,經歷了古典密碼、對稱密鑰密碼和公開密鑰密碼階段,古典密碼算法有替代加密、置換加密;對稱加密算法包括DES和AES;非對稱加密算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal算法等。目前在數據通信中使用最普遍的算法有DES算法、RSA算法和PGP算法。
根據收發雙方密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。在實際應用中通常將常規密碼和公鑰密碼結合在一起使用,利用DES或者IDEA來加密信息,而采用RSA來傳遞會話密鑰。
防火墻
防火墻的本義原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發生的時候蔓延到別的房屋。防火墻技術是指隔離在本地網絡與外界網絡之間的一道防御系統的總稱。在互聯網上防火墻是一種非常有效的網絡安全模型,通過它可以隔離風險區域與安全區域的連接,同時不會妨礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信量,僅讓安全、核準了的信息進入,同時又抵制對企業構成威脅的數據。防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻3種類型,并在計算機網絡得到了廣泛的應用。
一套完整的防火墻系統通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息,例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項,對IP包進行過濾。代理服務器是防火墻中的一個服務器進程,它能夠代替網絡用戶完成特定的TCP/TP功能。一個代理服務器本質上是一個應用層的網關,一個為特定網絡應用而連接兩個網絡的網關。用戶就一項TCP/TP應用,比如Telnet或者FTP,同代理服務器打交道,代理服務器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后,代理服務器連通遠程主機,為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。
隨著安全性問題上的失誤和缺陷越來越普遍,對網絡的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡。防火墻可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。由于防火墻假設了網絡邊界和服務,因此更適合于相對獨立的網絡,例如Intranet等種類相對集中的網絡。
入侵檢測
隨著網絡安全風險系數不斷提高,作為對防火墻及其有益的補充,IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
入侵檢測系統是一種對網絡活動進行實時監測的專用系統,該系統處于防火墻之后,可以和防火墻及路由器配合工作,用來檢查一個LAN網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析,通過集中控制臺來管理、檢測。
理想的入侵檢測系統的功能主要有:
(1)用戶和系統活動的監視與分析;
(2)系統配置極其脆弱性分析和審計;
(3)異常行為模式的統計分析;
(4)重要系統和數據文件的完整性監測和評估;
(5)操作系統的安全審計和管理;
(6)入侵模式的識別與響應,包括切斷網絡連接、記錄事件和報警等。
本質上,入侵檢測系統是一種典型的“窺探設備”。它不跨接多個物理網段(通常只有一個監聽端口),無須轉發任何流量,而只需要在網絡上被動地、無聲息地收集它所關心的報文即可。IDS分析及檢測入侵階段一般通過以下幾種技術手段進行分析:特征庫匹配、基于統計的分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
各種相關網絡安全的黑客和病毒都是依賴網絡平臺進行的,而如果在網絡平臺上就能切斷黑客和病毒的傳播途徑,那么就能更好地保證安全。這樣,就出現了網絡設備與IDS設備的聯動。IDS與網絡交換設備聯動,是指交換機或防火墻在運行的過程中,將各種數據流的信息上報給安全設備,IDS系統可根據上報信息和數據流內容進行檢測,在發現網絡安全事件的時候,進行有針對性的動作,并將這些對安全事件反應的動作發送到交換機或防火墻上,由交換機或防火墻來實現精確端口的關閉和斷開,這就是入侵防御系統(IPS)。IPS技術是在IDS監測的功能上又增加了主動響應的功能,力求做到一旦發現有攻擊行為,立即響應,主動切斷連接。
系統容災
一個完整的網絡安全體系,只有“防范”和“檢測”措施是不夠的,還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失,一旦發生漏防漏檢事件,其后果將是災難性的。此外,天災人禍、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難,也能快速地恢復系統和數據,才能完整地保護網絡信息系統的安全。主要有基于數據備份和基于系統容錯的系統容災技術。
數據備份是數據保護的最后屏障,不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供數據庫容災功能。
集群技術是一種系統級的系統容錯技術,通過對系統的整體冗余和容錯來解決系統任何部件實效而引起的系統死機和不可用問題。集群系統可以采用雙機熱備份、本地集群網絡和異地集群網絡等多種形式實現,分別提供不同的系統可用性和容災性。其中異地集群網絡的容災性是最好的。
存儲、備份和容災技術的充分結合,構成一體化的數據容災備份存儲系統,是數據技術發展的重要階段。隨著存儲網絡化時代的發展,傳統的功能單一的存儲器,將越來越讓位于一體化的多功能網絡存儲器。
管理策略
除了使用上述技術措施之外,在網絡安全中,通過制定相關的規章制度來加強網絡的安全管理,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡的安全管理策略包括:首先要制訂有關人員出入機房管理制度和網絡操作使用規程;其次確定安全管理等級和安全管理范圍;第三是制定網絡系統的維護制度和應急措施等。
【計算機等三級考試《網絡技術》考點:信息安全技術概述】相關文章:
計算機三級網絡技術考點網絡搜索技術概述06-30
計算機三級網絡技術認證技術概述03-04
計算機三級網絡技術VoIP概述08-12
計算機三級網絡技術IPTV概述02-03