信息安全技术是保障信息安全的重要手段。
1. 信息系统面临的威胁
信息安全技术的发展是用于应对各种威胁的。 信息安全威胁是指对公司或组织信息资源带来潜在危害的个人、 组织、 机制或事件。 谈到信息安全威胁,我们很自然地想到是由于某一企业或组织外部的个人或组织对内部资源进行攻击的故意行为。 实际上,威胁可能来自外部,也可能来自组织内部。 处于互联网中的信息系统受到的威胁可以分为三类: 信息系统实体、 组织内部管理及组织外部攻击。
(1) 信息系统实体
信息系统实体所受的威胁一般是由各种自然灾害 (如水灾、 火灾、 雷电)、 恶劣的场地环境、 电磁干扰和电力故障等事故引发的网络中断、 系统瘫痪、 数据破坏等。 自然灾难的破坏,会对系统造成巨大的破坏,某些数据文件甚至可能无法恢复,因此,应用信息系统的企业或者政府,必须具有应对灾难的能力和措施。
(2) 组织内部管理
大多数公开的报告都是关于企业计算机系统受到来自外来攻击的。 但是实际上,企业内部行为不轨的员工造成的经济损失比来自外部的破坏大得多。 经验表明,75%的计算机犯罪都是企业内部人员犯下的。
计算机犯罪的形式很多,例如买主诈骗、 向虚构的员工支付工资、 为根本没有发生的费用退款等。 现在又出现了新的犯罪形式,如窃取密码、 信用卡号码、 个人资料等。 非物质资产是企业内部人员犯罪最热衷的目标。 生产计算机监控软件的厂商指出,购买和安装这类监控软件的公司多将其用于监控公司的非物质资产,如产品设计草图、 各种报表,而不是大量用于监控其员工。
企业内部职业犯罪的检查人员流传着一个 “搭便车” 理论,即一个企业中有10%的员工是诚实的,有10%的肯定会偷东西,剩下的80%其行为就取决于环境。 大多数的职业犯罪都发生在员工陷入经济危机、 员工有机会接触防范不严的资金或员工自认为犯罪行为被发现的概率很小的情况下。
(3) 组织外部攻击
来自组织外部的攻击多种多样,主要包括以下几种。
①系统穿透: 未经授权而不能接入系统的人通过一定手段对认证性 (authenticity) 进行攻击,假冒合法人员接入系统,实现对文件进行篡改、 窃取机密信息、 非法使用资源等。 一般采取伪装 (masquerade) 或利用系统的薄弱环节 (如绕过监测控制)、 收集情报 (如口令) 等方式实现。
②违反授权原则: 一个授权进入系统做某件事的合法用户,他在系统中做未经授权的其他事情,威胁系统的安全。
③通信监视: 是指在通信过程中,依靠软硬件的帮助从信道搭线窃取信息。 硬件可通过无线电和电磁泄漏等来截获信息 软件则是利用信息在Internet上传输的特点对流过本机的信息流进行截获和分析,即所称的嗅探器 (sniffer)。
④拒绝服务 (Denialof Service,Do S): 是指黑客计算机向网络服务器或Web服务器发送大量请求,使服务器来不及响应,从而无法正常工作。 分布式拒绝服务 (Distributed Denialof Service,DDo S) 的危害更大,因为黑客可以通过操纵成千上万台计算机集中进行Do S攻击,最终导致服务器瘫痪。
⑤植入: 一般在系统穿透或违反授权攻击成功之后,入侵者为以后的攻击提供方便,会在系统中植入恶意软件。 恶意软件包括计算机病毒、 蠕虫、 特洛伊木马、 间谍软件等。
计算机病毒 (computervirus) 是指编制或者在计算机程序中插入的破坏计算功能或者毁坏数据、 影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
蠕虫 (worm) 与病毒不同,它不需要依赖其他程序而可以独立存在,并能够自我复制和传播,因此蠕虫比计算机病毒传播得更快、 更广。 蠕虫不仅可以破坏数据和程序,甚至消耗网络资源,使网络不能正常运行。
特洛伊木马 (Trojanhorse) 从严格意义上讲不是病毒,但它经常会把病毒和其他恶意程序带入计算机。 实质上,特洛伊木马是一个网络客户机服务器程序,使被安装的计算机成为被控制端。 被控制端相当于一台服务器,可以为入侵者所在的控制端提供服务,如盗窃账号和密码、 发动拒绝服务攻击等。
间谍软件通常也表现为恶意软件,会监控计算机用户的上网记录并用于广告用途。
正是由于信息系统面临着如此多的威胁,一旦出现数据破坏、 信息泄露的问题,将会给企业带来巨大的损失。 因此,实施安全控制,降低威胁事件发生的概率是企业普遍关心的问题。
2. 安全控制技术
企业可以应用多种工具和技术来防止或尽可能减少信息威胁,如使用备份、 防病毒软件、 防火墙、 身份认证、 加密技术、 入侵探测和安全审核软件等。
(1) 备份
要防止信息丢失,最简单的方法就是把全部文件进行备份。 备份就是把存储在计算机上的全部信息进行复制的过程。 没有什么方法比定期复制重要文件更基本、 更有效的了。 历史上由于丢失信息而造成的经济损失中,有2/3以上是源于员工的粗心大意。
(2) 防病毒软件
安装防病毒软件是非常必要的。 防病毒软件是扫描、 消灭或隔离计算机病毒的软件。 新的计算机病毒每天都在出现,而且一代比一代危害性强。 应至少定期检查如下病毒:
①特洛伊木马病毒 (隐藏在良性软件中的病毒) 和后门程序 (打开系统的通路,为以后的攻击做准备)
②病毒变种或蠕虫病毒,它们很难被防病毒软件发现,因为这些病毒会在传播过程中不断变种
③在ZIP文件或其他压缩文件中的病毒
④在电子邮件附件中的病毒。
安装防病毒软件的要点: 一是防病毒软件能够杀灭病毒,但是同时不能破坏藏匿病毒的文件。 二是新病毒随时出现,必须有规律地更新升级防病毒软件。
(3) 防火墙
防火墙是网络互联环境下一种必需的安全设备,用于控制进入和流出网络的数据流的硬件和软件。 通常放置在内、 外部网络之间,对进出网络的信息和服务进行隔离和分析,保护内部网资源和信息。也可以用于内部网络把某个部分与其他部分分隔开来 (图7-3)。
图7-3 企业防火墙
防火墙过滤技术主要包括静态分组过滤、 状态检测、 网络地址转换和应用代理过滤等。分组过滤用于检查在安全的内联网和不安全的外联网之间传输的数据包的特定的头字段,过滤非法数据,可以避免多种类型的攻击。 状态检测通过检测数据包是否是正在进行合法对话的发送方与接收方之间的数据,来进一步加强安全检测。 网络地址转换则是在分组过滤和状态检测的基础上进行进一步的安全防护,通过隐藏企业内部主机的IP地址,防止外部的嗅探器程序侵入和攻击企业内部计算机系统。 应用代理过滤用于检查应用程序内容的分组数据包。 外部数据进入内部计算机前先通过代理服务器的检查后,才传给内部的目标计算机。 无论是由外部向内部发送信息,还是由内部向外部发送信息,都必须经过中间的应用代理服务器。
(4) 身份确认
防火墙把外部人员拦在外面,但是没有把自己人也挡住。 换句话说,没有得到授权的员工会尝试进入计算机系统或者访问某些文件,企业保护计算机系统的做法就是使用确认系统,查清楚来者是谁,然后放行。
自计算机问世以来,密码就被广泛使用。 访问控制就是一种普遍使用的认证工具,包括企业用来防止非授权的内部访问与外部访问的所有政策和程序。 用户若要访问系统中的信息,必须得到授权和认证。 认证是指确认用户真实身份的能力。 通常是通过只有用户知道的密码来认证用户身份,但有时用户会忘记密码,或者密码设置得过于简单,系统依然存在安全隐患。 生物认证技术,如指纹识别、 视网膜识别、 面部识别等,能够克服密码认证的缺点,有效确认用户的真实身份,但成本较高。
(5) 加密技术
通过一组秘密的数字代码 (即加密密钥) 对信息进行加密,使传输的数据以混乱无意义的字符形式进行传输,要阅读加密的信息,必须用与加密密钥相匹配的解密密钥进行解密,从而保证了信息的完整性及认证问题。
加密技术分为对称加密和非对称加密。图7-4给出了两种加密的原理示意。
图7-4 对称加密与非对称加密
(a) 对称加密 (b) 非对称加密
目前,公钥加密的方法被普遍应用。 公钥加密采用了两把不同的密钥: 一把是公钥,一把是私钥。 数据经公钥加密后,以混乱无意义的字符形式传送到接收方,只有经过私钥解密才能够阅读。
加密技术可用于解决消息完整性和认证的问题。 消息完整性是指保证传输的消息未经复制和修改到达正确目的地的能力。 数字签名和数字证书可用于认证过程。 数字签名是在传输消息上附加的一串用于验证消息来源和内容的数字代码。 数字证书是用来建立用户身份和电子资产的数据文件,需要通过一个具有公信力的第三方认证授权机构CA验证用户身份。 CA认证授权机构首先收集数字证书用户的个人信息,并储存到CA服务器中,生成一份加密的数字证书,其中包括用户身份及公钥。 当用户将加密消息发送给接收方时,接收方用CA公布在互联网上的公钥解密附加的数字证书,验证发送方的身份。 接收方同样可以应用这种方法回复发送方。 这种使用公钥密码系统和数字证书认证的方法,称为公钥基础设施 (PKI)是目前最主要的安全认证方式。
(6) 入侵探测和安全审核软件
安全软件包的另两种形式就是入侵探测和安全审核软件。 入侵探测软件 (IDS) 的功能就是在网络系统上寻找不速之客或者形迹可疑的人。 例如,某些人可能反复试验不同的密码希望进入某个系统。 “蜜罐” 软件是一种入侵探测系统,蜜罐好比是情报收集系统。 蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。 所以攻击者入侵后,就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。 还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
安全审核系统检查计算机或网络的潜在隐患,目的就是找出黑客可能攻击的薄弱环节并加以弥补。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
