第一章 信息化和信息系統(tǒng)
1.6 信息系統(tǒng)安全技術(shù)
1.6.1. 信息安全的有關(guān)概念
隨著物聯(lián)網(wǎng)���、云計(jì)算���、三網(wǎng)融合、大數(shù)據(jù)等新一代信息技術(shù)的廣泛應(yīng)用��,也給信息安全提出了新的需求和挑戰(zhàn)�。我國政府高度重視信息安全。2013年底中央成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組���,集中領(lǐng)導(dǎo)和規(guī)劃我國的信息化發(fā)展和信息安全保障���。
1. 信息安全概念
信息安全強(qiáng)調(diào)信息(數(shù)據(jù))本身的安全屬性,主要包括以下內(nèi)容:
秘密性:信息不被未授權(quán)者知曉的屬性��;
完整性:信息是正確的、真實(shí)的���、未被篡改的���、完整無缺的屬性;
可用性:信息可以隨時(shí)正常使用的屬性���。
(1) 設(shè)備安全:信息系統(tǒng)設(shè)備的安全是信息系統(tǒng)安全的首要問題��。這里主要包括三個(gè)方面:
① 設(shè)備的穩(wěn)定性:設(shè)備在一定時(shí)間內(nèi)不出故障的概率;
② 設(shè)備的可靠性:設(shè)備能在一定時(shí)間內(nèi)正常執(zhí)行任務(wù)的概率�����;
③ 設(shè)備的可用性:設(shè)備隨時(shí)可以正常使用的概率����。
(2) 數(shù)據(jù)安全:其安全屬性包括秘密性���、完整性和可用性���。
(3) 內(nèi)容安全:內(nèi)容安全是信息安全在政治、法律�、道德層次上的要求。
① 信息內(nèi)容在政治上是健康的�����;
② 信息內(nèi)容符合國家的法律法規(guī)���;
③ 信息內(nèi)容符合中華民族優(yōu)良的道德規(guī)范���;
(4) 行為安全:數(shù)據(jù)安全本質(zhì)上是一種靜態(tài)的安全,而行為安全是一種動(dòng)態(tài)安全�����。
① 行為的秘密性:行為的過程和結(jié)果不能危害數(shù)據(jù)的秘密性���。必要時(shí),行為的過程和結(jié)果也應(yīng)是秘密的���;
② 行為的完整性:行為的過程和結(jié)果不能危害數(shù)據(jù)的完整性,行為的過程和結(jié)果是預(yù)期的。
③ 行為的可控性:當(dāng)行為的過程出現(xiàn)偏離預(yù)期時(shí)��,能夠發(fā)現(xiàn)�����、控制或糾正��。
2. 信息安全技術(shù)
保障信息安全的技術(shù)包括:硬件系統(tǒng)安全技術(shù)�、操作系統(tǒng)安全技術(shù)���、數(shù)據(jù)庫安全技術(shù)�、軟件安全技術(shù)�����、網(wǎng)絡(luò)安全技術(shù)、密碼技術(shù)�����、惡意軟件防治技術(shù)��、信息隱藏技術(shù)、信息設(shè)備可靠性技術(shù)等����。其中�����,硬件系統(tǒng)安全和操作系統(tǒng)安全是信息系統(tǒng)安全的基礎(chǔ)�����,密碼和網(wǎng)絡(luò)安全等是關(guān)鍵技術(shù)�。網(wǎng)絡(luò)安全技術(shù)主要包括防火墻���、VPN���、IDS、防病毒����、身份認(rèn)證、數(shù)據(jù)加密���、安全審計(jì)�、網(wǎng)絡(luò)隔離等���。
3. 信息安全法律法規(guī)
確保信息安全是復(fù)雜的系統(tǒng)工程�,僅僅靠技術(shù)措施是不夠的���,還應(yīng)有健全的法律體系,完善的信息系統(tǒng)安全管理制度����,另外對(duì)信息行業(yè)的從業(yè)人員的職業(yè)道德要求及培訓(xùn)也是非常重要的,信息系統(tǒng)用戶也要有很強(qiáng)的信息安全意識(shí)����。我國信息安全的法律體系可分為四個(gè)層面:
① 一般性法律規(guī)定:
② 規(guī)范和懲罰信息網(wǎng)絡(luò)犯罪的法律:
③ 直接針對(duì)信息安全的特別規(guī)定:
④ 具體規(guī)范信息安全技術(shù)�����、信息安全管理等方面的規(guī)定:
4. 信息安全等級(jí)保護(hù)
《信息安全等級(jí)保護(hù)管理辦法》將信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):
第一級(jí):信息系統(tǒng)受到破壞后���,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害�,但不損害國家安全、社會(huì)秩序和公共利益����。
第二級(jí):信息系統(tǒng)受到破壞后,會(huì)對(duì)公民���、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害��,但不損害國家安全�����。
第三級(jí):信息系統(tǒng)受到破壞后�����,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害��,或者對(duì)國家安全造成損害�。第三級(jí)信息系統(tǒng)運(yùn)營(yíng)����、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)���。
第四級(jí):信息系統(tǒng)受到破壞后���,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害����,或者對(duì)國家安全造成嚴(yán)重?fù)p害�。第四級(jí)信息系統(tǒng)運(yùn)營(yíng)��、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范��、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)���。
第五級(jí):信息系統(tǒng)受到破壞后��,會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)���、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范���、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。
GB 17859--1999標(biāo)準(zhǔn)規(guī)定了
5. 人員管理
人員管理首先要求加強(qiáng)人員審查�。信息安全教育對(duì)象���,應(yīng)當(dāng)包括與信息安全相關(guān)的所有人員����,信息系統(tǒng)的工程技術(shù)人員��,一般用戶等���。
1.6.2. 信息加密、解密與常用算法
1. 信息加密概念
為了保證信息的安全性(即秘密性�、完整性和可用性)需要采用信息加密技術(shù)對(duì)信息進(jìn)行偽裝,使得信息非法竊取者無法理解信息的真實(shí)含義��。
2. 對(duì)稱加密技術(shù)
對(duì)稱加密采用了對(duì)稱密碼編碼技術(shù)�����,它的特點(diǎn)是文件加密和解密使用相同的密鑰���,即加密密鑰也可以用作解密密鑰����,這種方法在密碼學(xué)中叫作對(duì)稱加密算法�����,對(duì)稱加密算法使用起來簡(jiǎn)單快捷�����,密鑰較短���,且破譯困難。數(shù)據(jù)加密標(biāo)準(zhǔn)于1957年由美國政府頒布�。DES的設(shè)計(jì)目標(biāo)是,用于加密保護(hù)靜態(tài)存儲(chǔ)和傳輸信道中的數(shù)據(jù)����,安全使用10~15年����。除了數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)���,另一個(gè)對(duì)稱密鑰加密系統(tǒng)是國際數(shù)據(jù)加密算法(IDEA),它比DES的加密性好��,而且對(duì)計(jì)算機(jī)功能要求也沒有那么高。IDEA加密標(biāo)準(zhǔn)由PGP系統(tǒng)使用��。2001年���,美國政府頒布數(shù)據(jù)加密標(biāo)準(zhǔn)算法AES(密碼算法為RIJNDAEL)以取代1998年廢止的DES�。
3. 非對(duì)稱加密技術(shù)
1976年美國斯坦福大學(xué)的博士生W.Diffie和他的導(dǎo)師M.Hellman教授發(fā)表了“密碼學(xué)新方向”的論文���,第一次提出公開密鑰密碼的概念。公開密鑰密碼的基本思想是將傳統(tǒng)密碼的密鑰K一分為二��,分為加密鑰Ke和解密鑰Kd���,用加密鑰Ke控制加密���,用解密鑰Kd控制解密,而且由計(jì)算復(fù)雜性確保由加密鑰Ke在計(jì)算上不能推出解密鑰Kd���。這樣����,即使是將Ke公開也不會(huì)暴露Kd����,也不會(huì)損害密碼的安全。于是便可將Ke公開���,而只對(duì)Kd保密。由于Ke是公開的���,只有Kd是保密的����,所以便從根本上克服了傳統(tǒng)密碼在密鑰分配上的困難���。當(dāng)前公開密鑰密碼有基于大合數(shù)因子分解困難性的RAS密碼類和基于離散對(duì)數(shù)問題困難性的ELGamal密碼類���。
4. Hash函數(shù)的概念
Hash函數(shù)將任意長(zhǎng)的報(bào)文M映射為定長(zhǎng)的Hash碼h。Hash函數(shù)的目的就是要產(chǎn)生文件��、報(bào)文或其他數(shù)據(jù)塊的“指紋”---hash碼�。Hash碼也稱報(bào)文摘要,它是所有報(bào)文位的函數(shù)����。它具有錯(cuò)誤檢測(cè)能力����,即改變報(bào)文的任何一位或多位�,都會(huì)導(dǎo)致Hash碼的改變。在實(shí)現(xiàn)認(rèn)證過程中發(fā)送方將Hash碼附于要發(fā)送的報(bào)文之后發(fā)送給接收方����,接收方通過重新計(jì)算Hash碼來認(rèn)證報(bào)文。Hash函數(shù)可提供保密性����、報(bào)文認(rèn)證以及數(shù)字簽名功能���。
5. 數(shù)字簽名的概念
完善的數(shù)字簽名體系應(yīng)滿足以下3個(gè)條件:
(1) 簽名者事后不能抵賴自己的簽名���。
(2) 任何其他人不能偽造簽名����。
(3) 如果當(dāng)事的雙方關(guān)于簽名的真?zhèn)伟l(fā)生爭(zhēng)執(zhí)��,能夠在公正的仲裁者面前通過驗(yàn)證簽名來確認(rèn)其真?zhèn)?��。利用RSA密碼可以同時(shí)實(shí)現(xiàn)數(shù)字簽名和數(shù)據(jù)加密。
6. 認(rèn)證的概念
認(rèn)證又稱鑒別����、確認(rèn),它是證實(shí)某事是否名副其實(shí)或是否有效的一個(gè)過程��。認(rèn)證和加密的區(qū)別在于:加密用以確保數(shù)據(jù)的保密性����,阻止對(duì)手的被動(dòng)攻擊,如截取�����、竊聽等����;而認(rèn)證用以確保報(bào)文發(fā)送者和接收者的真實(shí)性以及報(bào)文的完整性,阻止對(duì)手的主動(dòng)攻擊���,如冒充����、篡改�、重播等。認(rèn)證往往是許多應(yīng)用系統(tǒng)中安全保護(hù)的第一道設(shè)防�����,因而極為重要。
認(rèn)證系統(tǒng)常用的參數(shù)有口令�����、標(biāo)識(shí)符����、密鑰、信物���、智能卡����、指紋��、視網(wǎng)紋等�����。認(rèn)證和數(shù)字簽名技術(shù)都是確保數(shù)據(jù)真實(shí)性的措施���,但兩者有著明顯的區(qū)別����。
認(rèn)證總是基于某種收發(fā)雙方共享的保密數(shù)據(jù)來認(rèn)證被鑒別對(duì)象的真實(shí)性��,而數(shù)字簽名中用于驗(yàn)證簽名的數(shù)據(jù)是公開的�。
1.6.3. 信息系統(tǒng)安全
信息系統(tǒng)一般由計(jì)算機(jī)系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)���、操作系統(tǒng)���、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)組成,與此對(duì)應(yīng)�,信息系統(tǒng)安全主要包括計(jì)算機(jī)設(shè)備安全、網(wǎng)絡(luò)安全���、操作系統(tǒng)安全�����、數(shù)據(jù)庫系統(tǒng)安全和應(yīng)用系統(tǒng)安全等。
(1) 計(jì)算機(jī)設(shè)備安全
計(jì)算機(jī)設(shè)備安全要包括計(jì)算機(jī)實(shí)體及其信息的完整性���、機(jī)密性、抗否認(rèn)性�、可用性、可審計(jì)性�����、可靠性等幾個(gè)關(guān)鍵因素�。
抗否認(rèn)性:抗否認(rèn)性是指能保障用戶無法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成、簽發(fā)�����、接收等行為的特性�����。一般通過數(shù)字簽名來提供抗否認(rèn)服務(wù)���。
可審計(jì)性:利用審計(jì)方法����,可以對(duì)計(jì)算機(jī)信息系統(tǒng)的工作過程進(jìn)行詳盡的審計(jì)跟蹤���,同時(shí)保存審計(jì)記錄和審計(jì)日志,從中可以發(fā)現(xiàn)問題���。
可靠性:計(jì)算機(jī)設(shè)備的可靠性是指計(jì)算機(jī)在規(guī)定的條件下和給定的時(shí)間內(nèi)完成預(yù)定功能的概率��。
① 物理安全
物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震���、水災(zāi)��、火災(zāi)等環(huán)境事故(如電磁污染等)及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞��。物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提����。物理安全主要包括:場(chǎng)地安全(環(huán)境安全);是指系統(tǒng)所在環(huán)境的安全�����,主要是場(chǎng)地與機(jī)房���。設(shè)備安全:主要指設(shè)備的防盜、防毀����、防電磁信息輻射泄露、防止線路截獲�����、抗電磁干擾及電源保護(hù)等����。
② 設(shè)備安全
設(shè)備安全包括設(shè)備的防盜和防毀�����,防止電磁信息泄露���,防止線路截獲�����、抗電磁干擾以及電源的保護(hù)���。
③ 存儲(chǔ)介質(zhì)安全
存儲(chǔ)介質(zhì)安全是指介質(zhì)本身和介質(zhì)上存儲(chǔ)數(shù)據(jù)的安全���。存儲(chǔ)介質(zhì)本身的安全包括介質(zhì)的防盜�����;介質(zhì)的防毀���,如防霉和防砸等���。
④ 可靠性技術(shù)
計(jì)算機(jī)的可靠性工作����,一般采用容錯(cuò)系統(tǒng)實(shí)現(xiàn)。容錯(cuò)主要依靠冗余設(shè)計(jì)實(shí)現(xiàn)�,以增加資源換取可靠性。
(2) 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)作為信息的主要收集��、存儲(chǔ)�����、分配����、傳輸��、應(yīng)用的載體����,其安全對(duì)整個(gè)信息的安全起著至關(guān)重要甚至是決定性的作用。網(wǎng)絡(luò)環(huán)境是信息共享、信息交流���、信息服務(wù)的理想空間。
① 防火墻:防火墻是一種較早使用��、實(shí)用性很強(qiáng)的網(wǎng)絡(luò)安全防御技術(shù)��,它阻擋對(duì)網(wǎng)絡(luò)的非法訪問和不安全數(shù)據(jù)傳遞����,使得本地系統(tǒng)和網(wǎng)絡(luò)免于受到許多網(wǎng)絡(luò)安全威脅�。在網(wǎng)絡(luò)安全中,防火墻主要用于邏輯隔離外部網(wǎng)絡(luò)與受保護(hù)的內(nèi)部網(wǎng)絡(luò)�����。防火墻主要是實(shí)現(xiàn)網(wǎng)絡(luò)安全的安全策略����,而這種策略是預(yù)先定義好的��,所以是一種靜態(tài)安全技術(shù)�。在策略中涉及的網(wǎng)絡(luò)訪問行為可以實(shí)施有效管理,而策略之外的網(wǎng)絡(luò)訪問行為則無法控制。防火墻的安全策略由安全規(guī)則表示�。
② 入侵檢測(cè)與防護(hù):入侵檢測(cè)與防護(hù)的技術(shù)主要有兩種:入侵檢測(cè)系統(tǒng)(IDS)和入侵防護(hù)系統(tǒng)(IPS)���。入侵檢測(cè)系統(tǒng)注重的是網(wǎng)路安全狀況的監(jiān)管���,通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源,尋找違反安全策略的行為或攻擊跡象�,并發(fā)出報(bào)警。因此絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的����。入侵防護(hù)系統(tǒng)則傾向于提供主動(dòng)防護(hù)�,注重對(duì)入侵行為的控制。其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截��,避免其造成損失����。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的,即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量����,經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后���,再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中���。這樣一來����,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包�,都能在IPS設(shè)備中被清除掉��。
③ VPN:VPN(虛擬專用網(wǎng)絡(luò))����,它是依靠ISP(internet服務(wù)提供商)和其他NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的�、安全的數(shù)據(jù)通信通道的技術(shù)。VPN可以認(rèn)為是加密和認(rèn)證技術(shù)在網(wǎng)絡(luò)傳輸中的應(yīng)用�����。
VPN網(wǎng)絡(luò)連接由客戶機(jī)���、傳輸介質(zhì)和服務(wù)器三部分組成���,VPN的連接不是采用物理的傳輸介質(zhì),而是使用稱之為“隧道”的技術(shù)作為傳輸介質(zhì)�����,這個(gè)隧道是建立在公共網(wǎng)絡(luò)或?qū)S镁W(wǎng)絡(luò)基礎(chǔ)上的�。常見的隧道技術(shù)包括:點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)、第2層隧道協(xié)議(L2TP)和IP安全協(xié)議(IPSec)���。
④ 安全掃描
安全掃描包括漏洞掃描�����、端口掃描��、密碼類掃描(發(fā)現(xiàn)弱口令密碼)等��。
⑤ 網(wǎng)絡(luò)蜜罐技術(shù)
蜜罐(Honeypot)技術(shù)是一種主動(dòng)防御技術(shù)�����,是入侵檢測(cè)技術(shù)的一個(gè)重要發(fā)展方向���,也是一個(gè)“誘捕”攻擊者的陷阱。蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng)����,它通過模擬一個(gè)或多個(gè)易受攻擊的主機(jī)和服務(wù),給攻擊者提供一個(gè)容易攻擊的目標(biāo)���。攻擊者往往在蜜罐上浪費(fèi)時(shí)間,延緩對(duì)真正目標(biāo)的攻擊�。由于蜜罐技術(shù)的特性和原理��,使得它可以對(duì)入侵的取證提供重要的信息和有用的線索�����,便于研究入侵者的攻擊行為����。
常見的無線網(wǎng)絡(luò)安全技術(shù)包括:無線公開密鑰基礎(chǔ)設(shè)施(WPKI)、有線對(duì)等加密協(xié)議(WEP)���、Wi-Fi網(wǎng)絡(luò)安全接入(WPA/WPA2)���、無線局域網(wǎng)鑒別與保密體系(WAPI)、802.11i(802.11工作組為新一代WLAN制定的安全標(biāo)準(zhǔn))等����。
(3) 操作系統(tǒng)安全
操作系統(tǒng)位于硬件之上,其他軟件之下����,是計(jì)算機(jī)系統(tǒng)最基礎(chǔ)的軟件,操作系統(tǒng)安全是計(jì)算機(jī)系統(tǒng)軟件安全的必要條件���,若沒有操作系統(tǒng)提供的基礎(chǔ)安全性��,信息系統(tǒng)的安全性是沒有基礎(chǔ)的。
針對(duì)操作系統(tǒng)的安全威脅按照行為方式劃分����,通常有下面四種:
① 切斷:這是對(duì)可用性的威脅。系統(tǒng)的資源被破壞或變得不可用或不能用���,如破壞硬盤���、切斷通信線路或使文件管理失效����。
② 截?。哼@是對(duì)機(jī)密性的威脅�����。未經(jīng)授權(quán)的用戶�����、程序或計(jì)算機(jī)系統(tǒng)獲得了對(duì)某資源的訪問����,如在網(wǎng)絡(luò)中竊取數(shù)據(jù)及非法拷貝文件的程序�。
③ 篡改:這是對(duì)完整性的攻擊。未經(jīng)授權(quán)的用戶不僅獲得了對(duì)某資源的訪問�,而且進(jìn)行篡改�,如修改數(shù)據(jù)文件中的值,修改網(wǎng)絡(luò)中正在傳送的消息內(nèi)容���。
④ 偽造:這是對(duì)合法性的威脅����。未經(jīng)授權(quán)的用戶將偽造的對(duì)象插入到系統(tǒng)中,如非法用戶把偽造的消息加到網(wǎng)絡(luò)中或向當(dāng)前文件加入記錄����。
按照安全威脅的表現(xiàn)形式來分,操作系統(tǒng)面臨的安全威脅有以下幾種:
① 計(jì)算機(jī)病毒����;
② 邏輯炸彈���;
③ 特洛伊木馬���;
④ 后門:后門指的是潛在操作系統(tǒng)中的一段非法代碼,滲透者可以利用這段代碼侵入系統(tǒng)����。安裝后門就是為了滲透。
⑤ 隱藏通道:隱藏通道可定義為系統(tǒng)中不受安全策略控制的�、違反安全策略、非公開的信息泄露路徑����。
操作系統(tǒng)安全性的主要目標(biāo)是標(biāo)識(shí)系統(tǒng)中的用戶,對(duì)用戶身份進(jìn)行認(rèn)證���,對(duì)用戶的操作進(jìn)行控制���,防止惡意用戶對(duì)計(jì)算機(jī)資源進(jìn)行竊取、篡改�、破壞等非法存取,防止正當(dāng)用戶操作不當(dāng)而危害系統(tǒng)安全��,從而既保證系統(tǒng)運(yùn)行的安全性����,又保證系統(tǒng)自身的安全性�����。具體包括如下幾方面:
① 身份認(rèn)證機(jī)制:實(shí)施強(qiáng)認(rèn)證方法���,比如口令、數(shù)字證書等���。
② 訪問控制機(jī)制:實(shí)施細(xì)粒度的用戶訪問控制�����,細(xì)化訪問權(quán)限���。
③ 數(shù)據(jù)保密性:對(duì)關(guān)鍵信息,數(shù)據(jù)要嚴(yán)加保密�。
④ 數(shù)據(jù)完整性:防止數(shù)據(jù)系統(tǒng)被惡意代碼破壞,對(duì)關(guān)鍵信息進(jìn)行數(shù)字簽名技術(shù)保護(hù)�����。
⑤ 系統(tǒng)的可用性:操作系統(tǒng)要加強(qiáng)應(yīng)對(duì)攻擊的能力����,比如防病毒,防緩沖區(qū)溢出攻擊等���。
⑥ 審計(jì):審計(jì)是一種有效的保護(hù)措施�����。他可以在一定程度上阻止對(duì)計(jì)算機(jī)系統(tǒng)的威脅,并對(duì)系統(tǒng)檢測(cè),故障恢復(fù)方面發(fā)揮重要作用�。
(4) 數(shù)據(jù)庫系統(tǒng)安全
數(shù)據(jù)庫系統(tǒng)是存儲(chǔ)、管理�、使用和維護(hù)數(shù)據(jù)的平臺(tái)。數(shù)據(jù)庫安全主要指數(shù)據(jù)庫管理系統(tǒng)安全�,其安全問題可以認(rèn)為是用于存儲(chǔ)而非傳輸?shù)臄?shù)據(jù)的安全問題。
為了解決以上的安全目標(biāo)����,數(shù)據(jù)庫安全在技術(shù)上采取了一系列的方法��,具體包括:數(shù)據(jù)庫訪問控制技術(shù)���、數(shù)據(jù)庫加密技術(shù)����、多級(jí)安全數(shù)據(jù)庫技術(shù)����、數(shù)據(jù)庫的推理控制問題和數(shù)據(jù)庫的備份與恢復(fù)等。
(5) 應(yīng)用系統(tǒng)安全
互聯(lián)網(wǎng)環(huán)境下���,應(yīng)用系統(tǒng)主要的應(yīng)用模式是B/S或者C/S,基本都是基于TCP/IP網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)庫系統(tǒng)的��,因此應(yīng)用系統(tǒng)安全是以計(jì)算機(jī)設(shè)備安全����、網(wǎng)絡(luò)安全和數(shù)據(jù)庫安全為基礎(chǔ)的。Web威脅防護(hù)技術(shù)主要包括:
① Web訪問控制技術(shù):訪問Web站點(diǎn)要進(jìn)行用戶名����、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查���。Web服務(wù)器一般提供了:通過IP地址���、子網(wǎng)或域名;通過用戶名/口令����;通過公鑰加密體系PKI(CA認(rèn)證)等訪問控制方法����。
② 單點(diǎn)登錄(SSO)技術(shù):?jiǎn)吸c(diǎn)登錄為應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證,實(shí)現(xiàn)“一點(diǎn)登錄�����、多點(diǎn)訪問”。單點(diǎn)登錄系統(tǒng)采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù)���,基于統(tǒng)一的策略的用戶身份認(rèn)證和授權(quán)控制功能�����,對(duì)用戶實(shí)行集中統(tǒng)一的管理和身份認(rèn)證��。
③ 網(wǎng)頁防篡改技術(shù):網(wǎng)頁防篡改技術(shù)包括時(shí)間輪詢技術(shù)、核心內(nèi)嵌技術(shù)����、事件觸發(fā)技術(shù)、文件過濾驅(qū)動(dòng)技術(shù)等���。
④ Web內(nèi)容安全
內(nèi)容安全管理分為電子郵件過濾���、網(wǎng)頁過濾、反間諜軟件三項(xiàng)技術(shù)����,這三項(xiàng)技術(shù)不僅對(duì)內(nèi)容安全市場(chǎng)發(fā)展起到?jīng)Q定性推動(dòng)作用����,而且對(duì)于互聯(lián)網(wǎng)的安全起到至關(guān)重要的保障作用。
售前咨詢專員