韓淑艷

【摘要】信息安全技術(shù)是信息安全控制措施的支撐、本文將系統(tǒng)介紹信息安全技術(shù)情況。

【關(guān)鍵詞】信息安全；技術(shù)體系；分析

一、信息安全技術(shù)體系的概念

根據(jù)信息安全技術(shù)的特性、保護對象及所能發(fā)揮的作用，信息安全技術(shù)可分為基礎(chǔ)支撐技術(shù)、主動防御技術(shù)、被動防御技術(shù)和面向管理的技術(shù)等四個不同層次，如圖1所示。

基礎(chǔ)支撐技術(shù)提供包括機密性、完整性和抗抵賴性等在內(nèi)的最基木的信息安全服務(wù)，同時為信息安全攻防技術(shù)提供支撐。其中密碼技術(shù)、認(rèn)證技術(shù)是信息安全基礎(chǔ)支撐技術(shù)的核心，也是信息安全技術(shù)的核心。主動防御技術(shù)和被動防御技術(shù)是兩類基本的信息安全防范思路，主動防御技術(shù)提供阻斷、控制信息安全威脅的能力，被動防御技術(shù)則著眼信息安全威脅的發(fā)現(xiàn)和如何在信息安全威脅發(fā)生后將損失降到最低。絕大多數(shù)信息安全技術(shù)都可歸到這兩類之一。面向管理技術(shù)手段以如何提高信息安全技術(shù)效率和集成使用信息安全技術(shù)為基本出發(fā)點，并在一般意義信息安全技術(shù)的基礎(chǔ)上引入了管理的思想，是一種綜合的技術(shù)手段。安全網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)監(jiān)控、資產(chǎn)管理、威脅管理等屬于這類技術(shù)。面向管理的技術(shù)是信息安全技術(shù)的一個重要發(fā)展方向。

二、基礎(chǔ)支撐技術(shù)

密碼、認(rèn)證、數(shù)字簽名和其他各種密碼協(xié)議統(tǒng)稱為密碼技術(shù)。數(shù)據(jù)加密算法標(biāo)準(zhǔn)的提出和應(yīng)用、公鑰加密思想的提出是其發(fā)展的重要標(biāo)志。認(rèn)證、數(shù)字簽名和各種密碼協(xié)議則從不同的需求角度將密碼技術(shù)進行延伸。認(rèn)證技術(shù)包括消息認(rèn)證和身份鑒別。消息認(rèn)證的目的是保證通信過程中消息的合法性、有效性。身份鑒別則保證通信雙方身份的合法性，這也是網(wǎng)絡(luò)通信中最基本的安全保證。數(shù)字簽名技術(shù)可以理解為手寫簽名在信息電子化的替代技術(shù)，主要用以保證數(shù)據(jù)的完整性、有效性和不可抵賴性等，它不但具有手寫簽名的類似功能，而且還具有比手寫簽名更高的安全性。密鑰共享、零知識證明系統(tǒng)等其他各種密碼協(xié)議更是將密碼技術(shù)緊緊地與網(wǎng)絡(luò)應(yīng)用連接在一起。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要技術(shù)，它的主要目的是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制技術(shù)規(guī)定何種主體對何種客體具有何種操作權(quán)力。訪問控制是網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標(biāo)識、權(quán)限控制、類型控制和風(fēng)險分析。訪問控制技術(shù)—般與身份驗證技術(shù)一起使用，賦予不同身份的用戶以不同的操作權(quán)限，以實現(xiàn)不同安全級別的信息分級管理。PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)基礎(chǔ)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。

三、主動防御技術(shù)

防火墻、VPN和計算機病毒防范等是經(jīng)典的主動防御技術(shù)。防火墑技術(shù)是將內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng)之間的訪問進行全面控制的一種機制，一般是由一組設(shè)備構(gòu)成，這些設(shè)備可能包括路由器、計算機等硬件，也可能包含軟件，或者同時包含硬件和軟件。這些設(shè)備在物理上或邏輯上將內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)隔離開來，使得外聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的所有網(wǎng)絡(luò)通信必須經(jīng)過防火墻，從而可以進行各種的靈活的網(wǎng)絡(luò)訪問控制，對內(nèi)聯(lián)網(wǎng)進行盡可能的安全保障，提高內(nèi)聯(lián)網(wǎng)的安全性和健壯性。防火墻技術(shù)主要包括數(shù)據(jù)包過濾、應(yīng)用級代理、地址翻譯和安全路內(nèi)器技術(shù)等。根據(jù)網(wǎng)絡(luò)安全需求不同，防火墻可以有多種不同的組成結(jié)構(gòu)，比如雙宿網(wǎng)關(guān)、屏蔽主機和屏蔽子網(wǎng)等。防火墻技術(shù)是當(dāng)前市場上最為流行的網(wǎng)絡(luò)安全技術(shù)，多數(shù)情況下，防火墻已成為網(wǎng)絡(luò)建設(shè)的一個基本配置。VPN技術(shù)利用不可信的公網(wǎng)資源建立可信的虛擬專用網(wǎng)，是保證局域網(wǎng)間通信安全的少數(shù)可行的方案之一。VPN既可在TCP/IP協(xié)議族的鏈路層實現(xiàn)L3F、PPTP等安全協(xié)議，也可在網(wǎng)絡(luò)層實現(xiàn)，還可在傳輸層實現(xiàn)。傳輸加密屬于高端需求，隨著企業(yè)網(wǎng)絡(luò)用戶的迅速增加，VPN技術(shù)有著廣闊的使用前景。反病毒技術(shù)是使用頻率最高的信息安全防范技術(shù)之一，其基本原理就是在殺毒掃描程序中嵌入病毒特征碼引擎，然后根據(jù)病毒特征碼數(shù)據(jù)庫來進行對比查殺。隨著這幾年惡意代碼技術(shù)的不斷更新?lián)Q代，反病毒技術(shù)也有了很大改進。AAA認(rèn)證是指對一個信息系統(tǒng)實施統(tǒng)一的審計、授權(quán)和認(rèn)證的技術(shù)，AAA系統(tǒng)面向應(yīng)用和數(shù)據(jù)實施訪問控制。一般情況下，AAA系統(tǒng)需要PKI作為技術(shù)支撐，而在實施的時候則需要被保護應(yīng)用系統(tǒng)提供開放的接口支持?？刂剖切畔踩貍涞氖侄危鲃臃烙夹g(shù)始終代表信息安全技術(shù)發(fā)展的主流。

四、被動防御技術(shù)

被動防御技術(shù)是信息安全技術(shù)發(fā)展為活躍的領(lǐng)域，其中防御思路不斷椎陳出新。IDS、網(wǎng)絡(luò)掃描、蜜罐是其中的典型代表，數(shù)據(jù)備份與恢復(fù)、信息安全則是傳統(tǒng)系統(tǒng)被動防御技術(shù)在信息技術(shù)中的延伸，也是被動防御信息安全技術(shù)的重要方面。IDS是一種主動保護自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。它從計算機系統(tǒng)或者網(wǎng)絡(luò)中收集、分析信息，檢測任何企圖破壞計算機資源的完整性、機密性和可用性的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應(yīng)的反應(yīng)。網(wǎng)絡(luò)掃描技術(shù)是攻擊者行為的一種模擬。網(wǎng)絡(luò)掃描技術(shù)首先是一種網(wǎng)絡(luò)攻擊技術(shù)的一部分。作為防御技術(shù)的網(wǎng)絡(luò)掃描技術(shù)則是通過對系統(tǒng)或網(wǎng)絡(luò)進行模擬攻擊，從而確認(rèn)網(wǎng)絡(luò)或系統(tǒng)中安全威脅的分行情況，為實施進一歲的控制措施和管理手段做準(zhǔn)備。蜜鑰技術(shù)是網(wǎng)絡(luò)掃捕技術(shù)的進一步延伸，通過主動設(shè)置包含指定脆弱點的設(shè)備，進而捕獲攻擊者或攻擊行為的特征是蜜鑰技術(shù)的基本思想。蜜鑰技術(shù)是人工攻擊分析攻擊行為的自動化的發(fā)展，它為IDS、網(wǎng)絡(luò)掃捕技術(shù)提供服務(wù)。IDS技術(shù)起源于信息審計技術(shù)，而信息安全審計則是IDS技術(shù)的進一步發(fā)展。信息安全審計為受信息安全威脅的系統(tǒng)提供審計信息，為事后分析和計算機取證提供依據(jù)。數(shù)據(jù)備份和恢復(fù)則以資源和管理為代價，為信息系統(tǒng)的穩(wěn)定運行和業(yè)務(wù)的連續(xù)性提供最根本的保證。

五、面向管理的技術(shù)

信息安全技術(shù)的集成使用管理的思想是面向管理的信息安全技術(shù)的基本特點。網(wǎng)絡(luò)監(jiān)控集成可能的網(wǎng)絡(luò)控制技術(shù)和網(wǎng)絡(luò)可疑行為發(fā)現(xiàn)技術(shù)，針對特定的信息系統(tǒng)，主動發(fā)現(xiàn)并阻斷非法用戶行為，一般情況下，還會進一步對相關(guān)行為進行記錄。安全網(wǎng)管系統(tǒng)是最近幾年網(wǎng)絡(luò)安全技術(shù)發(fā)展的一個重要方向.安全網(wǎng)管系統(tǒng)一般能提供網(wǎng)絡(luò)安全設(shè)備（或包括一般網(wǎng)絡(luò)設(shè)備）、日志信息統(tǒng)一管理、網(wǎng)絡(luò)安全設(shè)備策略統(tǒng)一管理的功能。安全網(wǎng)管系統(tǒng)可大規(guī)模提高網(wǎng)絡(luò)安全技術(shù)應(yīng)用的效率，保持各設(shè)備安全策略的一致性。資產(chǎn)管理和威脅管理是配合信息安全管理實施的技術(shù)，良好的資產(chǎn)和威脅管理系統(tǒng)能簡化和優(yōu)化信息安全管理實施的相關(guān)環(huán)節(jié)。面向管理的信息安全技術(shù)是信息安全技術(shù)的必要補充.也是信息安全技術(shù)發(fā)展的重要方向之一。

參考文獻

[1]賈鐵軍.銀行信息安全技術(shù)體系的建立[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006（11）.

[2]史志才，毛玉萃，劉繼峰.網(wǎng)絡(luò)信息安全技術(shù)[J].大連大學(xué)學(xué)報，2003（04）.