信息安全分析技术(共12篇)
信息安全分析技术 篇1
1引言
所谓信息安全是指保障国家、机构、个人的信息空间及载体不受来自内外各种形式的危险、威胁、侵害。国际标准化组织给出的定义为:保障信息传输的完整性、可用性、保密性。信息的完整性是指信息在传输过程中没有被篡改;可用性指的是被授权的实体, 一旦需要就可以使用或访问信息;保密性指的是数据传传输是被加密的, 防止因数据被截获而造成的泄密。
当今, 随着网络信息时代的到来, 信息安全领域面临着诸多新的挑战和困难, 如窃听、篡改、伪造、抵赖、重放攻击等。震惊世界的斯诺登事件为我们敲响了信息安全的警钟, 也让我们更进一步认识到当前网络信息安全所面临形势的严峻性。
信息安全领域知识与技术十分广泛, 包括安全传输协议、身份认证技术、算法、操作系统安全技术、操作系统维护技术、数据库安全技术、密码应用技术、硬件防火墙技术、软件保护技术、数据备份恢复技术等, 本文重点介绍身份认证技术、安全传输协议、密码学。
2身份认证技术
身份认证技术是用于计算机网络中确认操作者身份, 目前常用的身份认证方式有如下几种:
2.1静态密码
采用“账号+密码”的方式, 密码为用户自己设定的一串静态数据, 除非用户更改, 否则将保持不变。
2.2动态密码
动态密码身份认证方式中, 密码是随时间或不同的上下文而变化的。常用的方式有短信密码、动态口令牌、二维矩阵卡等。
2.3智能卡
内置集成电路芯片, 芯片中存有用户身份相关的数据, 使用专用的读卡器可以将其数据读出。其认证原理基于智能卡硬件的不可复制性。
2.4数字证书
采用公钥体制, 利用一对互相匹配的密钥进行加密、解密。每个用户设定一个特定的仅为本人所知的私有密钥, 用它进行解密和签名;同时设定一把公共密钥, 并由本人公开, 为一组用户所共享, 用于加密和验证签名。以数字证书为基础可以实现数据传输的保密性、完整性、不可否认性、身份鉴别等。
2.5 USB Key
一种USB接口的硬件设备, 一般内置电子芯片, 有存储能力, 可以存储用户的私钥以及数字证书。其本质也是数字证书认证。
2.6共享密钥
基于共享密钥的认证方式要求认证开始前, 认证主体间需具有一定量的共享密钥, 主体间根据共享的密钥进行认证。常见的有IKE主模式下既可以使用数字签名认证也可以使用共享密钥认证;以用户名和密码的方式登录到Windows主机时使用的认证方式Kerberos也是基于共享密钥的。
3安全传输协议
为了保证网络传输和应用的安全, 有很多运行在基础网络协议上的安全协议, 如IPSec、SSL、TLS、S-HTTP、S/MIME、SET、SOCKSv5等等, 每种协议具有不同的特点, 应用于不同的场合, 常用协议介绍如下:3.1 IPSec协议
IPsec工作在网络层, 提供认证和加密两种安全机制。其中的认证机制是为了数据接收方能够确认数据发送方的身份以及数据在传输过程中是否遭篡改;加密机制是通过对数据进行加密, 以防数据在传输过程中被窃听。
IPsec是一个协议簇, 给出了网络数据安全的一整套体系结构, 包括认证头AH、封装安全载荷协议ESP、因特网密钥交换协议IKE和用于网络认证及加密的一些算法。
通信时, 首先通过IKE协议建立一个安全联盟SA, SA约定了通信使用什么安全协议 (AH或ESP或两者同时使用) 、协议的封装模式 (传输或隧道模式) 、加密算法 (DES、AES等) 、共享密钥以及密钥的生存周期等信息, 然后通信按照约定协议进行安全通信。3.2 SSL协议
SSL协议是设计用来保护网络传输信息的, 它工作在传输层之上, 应用层之下。SSL通过加密传输来确保数据的机密性, 通过信息验证码 (Message Authentication Codes, MAC) 机制来保护信息的完整性, 通过数字证书来对发送和接收者的身份进行认证。
SSL不是一个单独的协议, 而是两层协议, 最主要的两个SSL子协议是握手协议和SSL记录协议。到目前为止, SSL有SSL 1.0、SSL 2.0和SSL 3.0三个版本。因部署的简易性和较高的安全性, 现在它已部署最为广泛的信息安全协议之一。
通信是双方首先通过SSL握手协议完成消息协商 (协商的消息至少包含SSL版本号、加密算法、密钥等信息) 和身份认证, 最终建立一个安全通道, 通信双方在保密通道上进行通信。
3.3 TLS协议
由于今年多次发现基于SSL协议库的漏洞, 导致目前SSL协议被逐渐弃用, 改用安全性更高的TLS协议, 它建立在SSL3.0协议规范之上, 是SSL3.0的后续版本, 主要目标是使SSL更安全, 整体和SSL 3.0区别不大。TLS协议用于在两个通信应用程序之间提供保密性和数据完整性服务。最新的版本为1.2, 是IETF指定的一种新协议。
4密码学
密码学由密码编码学和密码分析学组成, 现代密码学的研究主要分为3类, 分别为Hash函数、对称密码 (私钥密码) 、非对称密码 (公钥密码) , 分别介绍如下:
4.1 Hash函数
主要目的是把任意长度的输入信息变为固定长度的输出信息, 这个定长的输出信息也称为杂凑值, 著名的Hash函数有SHA-1, SHA-256、SHA-512、MD5、HAVAL等。
4.2对称密码
当数据加解密使用的密钥相同, 或能够通过其中一个很容易的推断出另外一个, 这种密码体制成为对称密码, 如著名的DES、AES等。
4.3非对称密码
当数据加解密使用的密钥不同, 且不可能通过其中一个推导出另外一个, 这种密码体制成为非对称密码, 如著名的RSA密码体制。
5加强信息安全的几点看法
任何传统的数据加密手段, 均是依赖于密码或加密算法的复杂度, 数据被截获后, 破译只是时间长短的问题, 随着计算机运算速度的不断提升, 数据被破解的速度也不断在缩小正所谓道高一尺魔高一丈, 信息安全技术虽层出不穷且也在不断地发展, 但也不排除国内外组织对网络可能的攻击。纵观全球国家在网络信息安全的治理机制, 对我国目前及将来的信息安全治理工作提出如下建议:
5.1加快新技术、新成果落地实施, 增强信息保护能力
首要的是大力引进新技术。目前新兴的量子通信技术利用量子态不可复制、单量子不可分割等物理特性, 为通信双方提供理论上无条件安全的通信, 彻底解决长久以来因链路不安全造成的安全通信问题。这一特性是由海森堡不确定性原理、测量塌缩原理及量子不可克隆定理等物理学原理保证的。
5.2加强立法, 加大惩罚力度
我国尚未形成比较完善的信息安全保护法律体系, 信息安全的专门法尚未出台, 部门法规定也比较模糊, 刑法有关内容也存在网络环境下犯罪法律关系主体需进一步扩展、犯罪客观方面尚不健全。未来, 我们的立法工作还需要加快进度, 争取早日形成统一的、全国性的专门法律, 并在刑法及相关部门法中体现最新内容, 加大惩罚力度, 保证信息安全。
5.3加大宣传教育力度, 提高全民安全意识
据国家权威部门统计, 世界范围内的90%的信息泄密是由于人为因素造成的, 但是当前形势下, 人们普遍存在保密意识淡薄, 甚至存在“无密可保”的错误思想。未来应加大宣传力度, 如采取版报、横幅、LED显示屏、宣传栏、媒体等多样保密宣传措施, 向全民灌输安全意识, 牢固树立保密就是保安全、保发展、保前途的保密意识, 不断增强做好保密工作的责任感、使命感和紧迫感。
6小结
网络信息技术高速发展的今天, 信息完全已然成为世界各国普遍存在的共同问题。今天我们在享受信息技术带来巨大收益的同时, 也面临着如何保障信息安全的重大挑战, 因此我们有必要采取加快新技术引进、加强立法、向美国等发达国家借鉴学习等手段, 使我国信息安全技术发展稳步提升。
摘要:随着计算机网络技术的发展, 信息安全问题越来越受到关注, 对信息的获取、处理及安全保障能力已成为国家综合实力的重要组成部分之一。信息安全领域的发展虽然取得了许多显著的成果, 但其知识与技术十分广泛。本文主要介绍了身份认证技术、安全传输协议、密码学等方面的研究和发展。先对常用的信息安全技术做了深入分析, 然后结合社会现状, 提出了自己对信息安全的看法与见解。
关键词:信息安全,传输协议,密码,数据加密
参考文献
[1]尹建国.美国网络信息安全治理机制及其对我国之启示[J].法商研究, 2013 (02) :138-146.
[2]周昕.“云计算”时代的法律意义及网络信息安全法律对策研究[J].重庆邮电大学学报 (社会科学版) , 2011 (04) :39-47.
[3]项文新.基于信息安全风险评估的档案信息安全保障体系构架与构建流程[J].档案学通讯, 2012 (02) :87-90.
[4]张焕国, 王丽娜, 杜瑞颖, 傅建明, 赵波.信息安全学科体系结构研究[J].武汉大学学报 (理学版) , 2010 (05) :614-620.
[5]柴文光, 周宁.网络信息安全防范与Web数据挖掘技术的整合研究[J].情报理论与实践, 2009 (03) :97-101.
信息安全分析技术 篇2
近年来网络工程技术发展迅速,对于海量信息的安全管理日趋重要。但由于网络信息管理系统在硬件、软件及管理策略方面尚存在诸多问题,导致系统中存在大量的脆弱性,因而对网络工程信息系统带来了极大的威胁。
在网络工程信息安全管理过程中,对信息管理技术方案进行制定是不可或缺的一个环节,合理的方案设计对于信息系统安全风险可控化具有十分重大的意义。
因此本文首先对网络工程信息管理技术方案的制定进行了优化,以此为基础,提出基于遗传算法的信息安全管理优化技术,并对实际算例采用上述优化技术,对该优化技术的有效性进行了验证。
2信息安全管理技术方案
制定时的决策模型通过对信息管理技术方案的优化制定可以使信息管理系统中脆弱性的威胁降到最小。将信息管理系统中的各种脆弱性表示为v1,v2……,vm共m种,当脆弱性vi存在时以数值1表示,当这种脆弱性不存在时以0表示,每一种脆弱性对应于一个权值i,这一权值用来表示对应的脆弱性危害信息管理系统的程度,本文对信息安全管理系统中的脆弱性进行了描述,列出了表1信息安全管理系统中的脆弱性及表示20种不同的脆弱性。对应于每一种脆弱性都存在相应的安全技术,这些安全技术以s1,s2……,sn来表示,当技术方案中采用了sj这种安全技术时,sj等于1,当没有采用时取值为0;对应于sj安全技术的实施费用用cj来表示,本文给出了13中安全技术手段。
脆弱性及其对应的安全技术之间存在复杂的关系,对某一脆弱性采取相应的安全技术后该脆弱性可能部分的.或完全的消除,但也有可能导致其他种类的脆弱性产生,其中部分消除安全性是指相应的由该脆弱性导致的信息管理系统破坏程度被限制在一定的范围内。在对脆弱性实施安全技术手段后,相应的脆弱性在系统中可能会有一定的残留,对于残留的脆弱性用r1,r2……rm来表示,ri对应于脆弱性vi,取值分别为0,0.5,1,分别对应于脆弱性存在,脆弱性部分去除以及不存在。用矩阵T={tij}表示对脆弱性采用安全技术处理后的情况,tij是指采用安全技术sj处理脆弱性vi的处理能力的大小。
信息安全分析技术 篇3
关键词:金融信息系统安全性信息安全技术
我国的金融业务经历了从最初的使用计算机办公代替手工作业到银行之间联网办理业务,再到全国范围内计算机联网办理支付等业务,再到现阶段的网上银行,网上支付等等。现阶段随着金融信息系统不断发展,规模逐渐变大,网上金融业务显现出重要的作用,随之而来保障金融信息系统的安全也就成了日后工作的重要内容和面临的挑战。
1 金融信息系统现状及其重要性
随着网上银行,网上支付等业务的增多,银行办理业务开始越来越依赖于金融信息系统。
银行业务的增多使得金融信息系统需要在短时间内完成大规模的数据存储、数据传输与数据交换,在这个过程中就需要保证数据的安全性和完整性,是信息系统安全性面临的一个极大挑战,具体现状如下:
1.1 金融信息的网络化步伐不断加快,为了满足广大消费者网上购物和网上支付的要求,现阶段传统的银行业务网络已经于公共网络相连接。这种情况下金融信息系统的安全性将迎来更多的挑战。
1.2 随着互联网技术的不断发展和广泛应用,网络给犯罪分子提供了较好的平台,之前金融系统部署的安全系统受到威胁。
1.3 由于金融信息系统的安全性还不够高,所以限制了网络上为客户提供的服务种类和权限。
1.4 金融信息系统缺乏整体的安全性建设,具体表现在有些金融信息系统只能预防外部的入侵而不能防范内部的入侵,对于黑客的处理比较被动,只能防范,不能对黑客进行主动的攻击。
1.5 金融信息安全系统的有关人才缺乏,另外在这方面国家的管理比较混乱,缺乏标准安全法律法规。
以上现状表明金融信息系统的安全性显的越来越重要。一旦发生信用卡号失窃或者金融诈骗等将会给人们的财产造成损失,也会给社会的稳定产生不良影响。所以国家和银行应该高度重视金融信息系统的安全问题,因为金融信息系统的安全关系着金融行业的稳定发展,关系着居民和银行的利益,还关系着国家的经济安全,社会稳定等等,对金融业的建设和国家的发展有着重要的意义。
2 金融信息系统的架构及其信息安全技术
金融信息系统的安全性非常重要,安全的金融信息系统需要有合理的架构,这样才能确保在遭受到攻击时可以有效地进行防范。一般情况下金融信息系统的构架需要有五方面的安全保障,并且采取一些信息安全技术,下面就对系统的安全保障和信息安全技术做一介绍。
2.1 金融信息系统的安全保障
金融信息系统的安全保障需要进行全方位的安全保证,具体构架组成如下图所示:
2.1.1 系统安全
系统安全主要包括网络结构安全,操作系统安全,应用系统安全,系统备份与恢复机制这几方面。系统安全设计要求有合理的网络拓扑结构,畅通而没有冗余的线路,操作系统要求安全级别高,可以对使用者设置操作权限,在发生故障时可以对重要的操作和资料进行备份和恢复。
2.1.2 物理安全
金融信息系统的物理安全主要指整个系统在环境方面可以防止自然灾害,比如说雷电,火灾等;也可以防止外界的干扰和破坏,比如说电磁波干扰,不法分子接获线路等。
2.1.3 应用安全
金融信息系统的应用安全主要指系统设计要求可以对用户设置访问控制,可以对用户进行身份识别和验证,用网络传输文件和数据时可以保证文件的安全,对于重要的信息数据可以实现备份和恢复等。
2.1.4 网络安全
金融信息系统的网络安全具体指系统拥有隔离与访问控制机制,可以在不同业务间实现隔离访问控制和数据共享。网络安全还要求系统在进行通信时可以对重要的数据进行保护。系统可以进行安全入侵检测和部件检测,及时发现网络中的入侵者和漏洞。
2.1.5 管理安全
金融信息系统网络是一个多级网络,涉及到业务系统,故障系统,安全系统等所以要建立管理中心,对系统进行统一的管理,对各部分进行实时的监控,确保系统安全可靠地运行。
2.2 金融信息系统采用的信息安全技术
2.2.1 密码
密码技术是以前金融信息系统采用的主要技术,现阶段,采用密码技术对信息进行加密处理仍然是保障安全的有效措施。密码技术可以和金融信息系统后方强大的数据库链接起来,在用户登陆时输入账号和密码对用户进行身份认证,保证用户的金融信息安全。密码技术中现在广泛采用的是DES和PKC。
①DES(数据加密标准)
DES这种算法的突出特点是速度快,加密中有一个复杂的变换函数,可以确保加密的保密性。这种算法在加密和解密过程中都使用同一种密钥,破译难度大。
②PKC(公钥密码体制)
PKC是一种不对称的密码体制,其中加密的密钥和解密的密钥是不相同的,但是加密和解密的算法是公开的,它的安全性体现在不能根据PK计算出SK。现在流行的数字签名技术是依靠PKC中加密和解密算法可以对调来实现的,应用广泛。密码技术中密码的算法是公开的,要想保证信息的安全就必须保护密钥的安全,这就需要系统处理好密钥的管理问题。
2.2.2 入侵检测技术
由于金融信息系统的网络比较复杂,而且又和外网连接,所以系统需要有一套入侵检测机制来对非法入侵者的攻击进行防护。
①体系结构组成。入侵检测体系一般由Agent、Console和Manager这三部分组成。Agent可以监视网段内的数据包,找到网段内有攻击性的信息,并向管理器发送相关的数据。Console将代理处的信息收集起来,并显示有攻击性的信息再将攻击性的数据发送到管理器。Manager响应配置警告信息,执行控制台的命令。
②响应检测。部署在网段中的入侵检测代理一旦检测到攻击信息,就可以以记录日志、封杀进程、启用预处理命令或者通知管理员的响应方式来做出处理,进而对系统信息资源进行保护。
3 结束语
针对金融信息系统的现状,金融业要根据金融信息系统的构架在系统安全,物理安全,应用安全,网络安全,管理安全这五个方面来合理地建设安全系统,采用先进的信息安全技术,保障金融信息系统的安全运行。
参考文献:
[1]韩洁.银行数据安全设计与实施[J]-中国电子商务.2010(10).
[2]杨健,卜红杰,张英彩.网络防火墙技术浅析[J].河北工业科技,2003,20(4):25—27.
[3]张健.电子政务网络信息安全探析[J].河北工业科技,2004,21(4):43—45.
电子商务信息安全技术分析 篇4
电子商务真正实现了在开放、透明的网络环境下实现人们网上购物、网上交易等活动,随着电子商务技术的逐渐成熟,由于电子商务的方便、快捷等优点,得到了越来越多的认可,同时也得到人们更多的关注,那么电子商务的安全问题也变得重要起来,为了解决电子商务的安全问题,信息安全技术成了这个时代的关键。
1 信息安全中存在的问题
电子商务安全大体上可以分为两个方面,一方面是计算机网络安全,另一方面就商务交易安全。对电子商务的安全来说都是十分重要的,计算机网络安全是电子商务安全的基础,商务交易安全是电子商务安全的基本保障,两者密切联系,相辅相成,那么电子商务安全到底存在哪些安全问题呢?
1.1 对数据进行攻击
危机网络信息安全的任何行为都可以称之为数据攻击,主要可以通过对基本信息进行截获、对信息进行伪造、强制中断信息的传输、对信息进行错误的修改等方式对电子商务信息安全进行攻击。
1.2 数据安全的基本保障
用户主要通过信息安全服务加强一个组织的数据处理系统及信息传输的安全性,以此来达到安全服务对抗攻击的主要目标,信息的安全服务主要包括:
(1)数据的保密性
数据的保密性就是指保证企业的一些机密文件或者商业信息不易被截获或者破解,就算被截获也无法读懂信息含义。数据的保密性极大的保护了用户的隐私权,给用电子商务信息的安全提供了基本的保障。
(2)数据的完整性
数据的完整性主要体现在数据的传输过程中,数据的完整性作为电子商务应用的基础主要包括两个方面,一方面,是指真实的数据传输,就是在数据传输过程中无法对基本信息进行篡改,与用户的信息相一致。另一方面,是指统一数据传输。
(3)数据的不可否认性
数据的不可否认性就是指对数据传输的双方来说,数据传输的整个过程都是透明的,这样可以有效的避免双方对信息的收发情况进行抵赖,减少交易过程中的问题纠纷。
(4)确定交易者的正确性
通过电子商务进行交易活动时,时常会有第三方出现进行信息的骗取,因此电子商务能确定交易者的身份这个特点在商务交易显得尤为重要,可以有效的防止信息的丢失与泄露。
2 电子商务信息安全技术分析
在电子商务进行交易等活动时,电子商务的安全问题显得尤为重要,因此要设置一定的安全机制、安全技术,对电子商务中的交易进行保护。
2.1 关于数据防火墙
电子商务的防火墙技术,是指限制公共的数据与服务对内部资源进行访问,防火墙技术可以达到一定的安全要求在不修改原有网络应用系统情况的前提下,由于其实用性及使用透明性,被广泛应用到企业安全问题当中,虽然在商务安全上,防火墙有一定的保护作用,但是防火墙也有不足之处,一方面防火墙不能防止病毒的入侵,另一个方面,在防火墙之间的数据不能及时进行更新,更新速度慢给人们对数据的应用带来不便,同时防火墙也不能满足企业与多个客户同时交流的需求,大大降低的工作效率。
2.2 对数据的信息进行保密处理
数据的加密技术一般被应用到数据的传输过程中,在传输过程中对数据进行加密,若数据安全到达客户手中,客户可以通过密钥进行解密,显示数据的主要内容,若数据被不法分子截获,只会显示一堆乱码,从而达到保护信息数据安全的效果,对数据加密的方法有两种,一种是通过对称密钥对数据进行加密设置,对称密钥的特点就是加密密钥与解密密钥的相同,另一种是通过非对称密钥对数据进行加密设置,那么非对称密钥的最大的特点就是加密密钥与解密密钥不同,非对称密钥的加密算法复杂,解密速度慢,相比之下,非对称密钥的保密性比对称密钥的保密性强一点。
2.3 对已破坏的数据进行修复
数据的恢复就是字面上看到的意思,将受到损坏或者丢失、病毒感染等因素影响的数据进行恢复,使其能够正常使用,对于数据的修复不只是对文件进行修复,同时也要对磁盘中损坏的数据进行修复,数据的修复不只是在被攻击者攻击之后,还有可能是因为数据的载体太过老化,而引起数据的丢失,这些都需要进行数据修复。
2.4 对重要的数据信息进行隐藏
数据的隐藏技术其实主要是利用“最危险的地方最安全”这个理论,数据隐藏为了不让普通用户发现而将秘密数据隐藏到一般的非秘密的文件中,非法分子分不清哪个普通信息中存在其本身需要的数据内容,间接的保护了信息数据的安全,数据的隐藏技术与普通一般的加密技术有所不同,隐藏技术主要通过对代码的不同编写形成不同的密文使其隐藏在一个公开的数据中,通过公开数据对加密数据进行传输,使得非法分子无法识别数据是否存在及数据的意义而保护了信息数据的安全。
2.5 数据的损坏过程及入侵早期监测
通过电子商务安全可以对电子交易中的安全事件进行详细的检测,入侵检测主要是对试图入侵还没开始行动的、正在进行的入侵活动或者已经发生的入侵行为进行识别并及时的处理,电子商务安全主要通过对已知的网络的信息及数据情况进行分析,同时根据不同的情况做出不同处理最大程度保证信息数据的安全,入侵技术主要分为三类:
(1)对数据的前期监测
在进行数据的入侵前,对数据进行全面的了解对攻击者来说是极为重要的,只有全面详细的了解整个数据,才能更加迅速的对数据进行攻击窃取。
(2)对数据进行破坏
在攻击者对整个数据足够了解之后就会实施对数据的破坏行为,在攻击过程中,攻击者会根据不同数据的不同的情况采用不同的攻击方法进行攻击窃取,甚至有些攻击者会通过非法欺骗、窃听等方式得到数据加密的密钥,对数据的密钥进行解密或者直接利用病毒攻击数据防火墙。
(3)伪造数据破坏情况
攻击者在对数据进行破坏窃取之后,伪造数据被破坏的情况,使得用户不易发现数据的破坏甚至被篡改,不能及时对数据信息进行处理。
2.6 安全的网络基础设施
安全的网络基础设施是保证电子商务安全的基础,网络安全包括很多种,其中上文所说的防火墙技术也属于网络安全,另外操作系统技术、漏洞检测技术等都属于网络安全技术,安全的网络基础设施真正做到使计算机的硬件与软件相互结合,为数据信息安全建立一个安全屏障。
3 结束语
信息安全分析技术 篇5
编制说明
1.工作简况 1.1.任务来源
根据国家标准化管理委员会2017年下达的国家标准制修订计划,国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团(电信科学技术研究院)主办。
关键信息基础设正常运转,关系国家安全、经济发展、社会稳定,随着关键信息基础设施逐渐向网络化、泛在化、智能化发展,网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视,陆续出台了相关战略、规划、立法以及实施方案等,加大对关键信息基础设施的保护力度。近年来,随着我国网络强国战略的深化和实施,国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出,构建国家关键信息基础设施安全保障体系已迫在眉睫,是当前一项全局性、战略性任务。
2016年4月19日,总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。” 2016年8月12日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号),要求“按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。2016年12月15日,国务院印发《“十三五”国家信息化规划》(国发〔2016〕73号),明确提出要构建关键信息基础设施安全保障体系。2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,要求“建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”2017年7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征集意见。
目前国外主要国家对关键信息基础设施的保护起步较早,已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措,大力加强关键信息基础设施安全建设,不断提升网络安全保障能力。对于我国而言,一方面,我国在引进外国先进技术、加快产业更新换代的同时,部分关键核心技术和设备受制于他国,存在系统受控、信息泄露发 1
现滞后等隐患,也给关键信息基础设施各领域带来许多安全隐患问题。另一方面,我国关键信息基础设施保护工作起步较晚、发展较慢,缺乏针对性、指导性的标准体系,无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的
本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年,项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究:研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料,总结网络安全保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下我国网络安全保障工作面临的挑战,分析我国网络安全保障工作的新需求,对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结;在理论研究和实践调研的基础上,研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月,项目组赶赴电力、民航、电信、中国银行等相关行业(企业)进行调研。3、2015年1月-2015年7月,项目组根据项目要求开展了研讨会,针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月,项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月,项目组进行了广泛研讨,并咨询了专家意见:2015年1月,对研究提出的网络安全保障评价指标体系的初步框架,召开专家咨询会,听取了崔书昆、李守鹏等专家的意见;2015年6月,召开专家会,听取了中国电信基于大数据的网络安全态势评价工作的介绍;2015年7月,召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状,与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月,与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月,与网络安全检查工作进行对接,采用指标体系对相关检查结果进行了统计测算,并撰写评价报告。8、2016年4月-2016年8月,针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结,进一步更新了指标体系。9、2016年9月-2017年2月,与关键信息设施检查办进行对接,对指标体系的实际应
用进行了深入讨论。10、2017年3月,项目组在草案初稿的基础上,召开行业专家会,形成草案修正稿。11、2017年4月,在全国信息安全标准化技术委员会2017年第一次工作组会议周上,项目组申请国家标准制定项目立项。12、2017年6月,“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月,项目组召开专家咨询会,听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月,在全国信息安全标准化技术委员会WG7第二次全体会议上,项目组广泛听取专家意见,形成征求意见稿。1.4.承担单位
起草单位:大唐电信科技产业集团(电信科学技术研究院)
协作单位:国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。
本部分主要起草人:韩晓露 吕欣 李阳 毕钰 郭晓萧等。2.编制原则和主要内容 2.1.编制原则
为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,主要遵循以下原则:
1、综合性原则
关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此,标准设计的首要原则是综合性。
2、科学适用性原则
关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则,把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵。
适用性原则,就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于,最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。
3、导向性原则
评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确 的方向和目标发展,要引导我国关键信息基础设施安全的健康发展。
4、可操作性强原则
可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面。
5、定性定量结合原则
在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上。
6、可比性原则
可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准,是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容
本标准概述了本标准各部分通用的基础性概念,给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下:
前言 引言 1 范围 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义
附录A(规范性附录)指标测量过程 参考文献
本标准主要贡献如下:
1、明确了标准的目标读者及其可能感兴趣的内容
指出标准主要由三个相互关联的部分组成:第1部分包括1-3节,描述了本标准的范围和所使用的术语与定义,对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释;第2部分为第4节,详细描述了关键信息基础设施安全保障指标体系的体系框架和指标;第3部分包括第5节和附录A,给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法,为体系的可操作性提供了保证。
2、给出了关键信息基础设施的概念
关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。
《中华人民共和国网络安全法》规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
《国家网络空间安全战略》规定:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。
3、指出关键信息基础设施安全保障评价围绕三个维度进行
关键信息基础设施安全保障评价围绕三个维度进行,即建设情况、运行能力和安全态势,并依据关键信息基础设施安全保障对象和内容进行分析和分解,一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。
4、给出了指标测量的一般过程
关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度,应用相应的测量方法得出测量值,并通过分析模型将测量值折算成指标值,最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明
a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面,试图使所提出的指标体系与测量过程具有一定的通用性,以便于指标体系的推广和扩展;
b.考虑到指标设计方面应用的可扩展性,在体系建设和测量过程之中,指标体系可以根据实际评价对象的特性做出相应的指标调整,以完善指标体系并得出合理公正的评价。
《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组
手机信息安全新技术分析与展望 篇6
关键词信息化手机信息安全认证手机安全软件指纹识别 虹膜识别
科技的进步和生活的个性化需求,使手机逐渐成为继报刊、广播、电视、互联网后的“第五媒体”。据工信部统计,至2008年7月底,我国手机用户数超过6亿。手机已然成为个人生活中不可或缺的必需品。人们注意到,随着以手机为终端的数据交易和支付、银行转账、炒股等关键业务的兴起,个人隐私受到威胁侵害的指数越高。因此,保护手机信息安全刻不容缓。
随着智能手机的普及,开放的手机平台出现了类似PC平台的手机病毒;涉及手机的流氓、间谍、病毒软件层出不穷;各类垃圾短信、骚扰电话、欺诈信息也变得无孔不入。然而广大的手机用户还是忽视了安全防范措施。据F-Secure公司的调查显示,四分之三以上的手机用户知道,不安装安全软件的情况下恶意软件能通过蓝牙感染移动设备。28%的受访者说,他们使用自己的移动设备接入互联网。86%的人承认没有任何移动安全的措施。大多数用户都知道用手机连接互联网存在着安全风险:只有21%的人把蓝牙连接当作是安全的,仅有15%的人有着WiFi连接是安全的印象。
面对移动安全领域中的诸多问题,企业及个人消费者呼吁建立安全便捷的移动服务消费环境。移动安全领域的发展,需要整个产业链的通力合作,平台提供商、终端厂商、sP服务商等都应从不同方面认识安全服务在移动应用中的重要性及必要性。手机信息安全是一个复杂的系统工程,需要全社会的关注。笔者认为,手机信息安全认证功能措施,有以下三个方面值得各方的特别关注:
1 手机安全软件:未来一个新兴的软件制造业
就像电脑一样,目前威胁手机安全的一大问题是木马和病毒。手机病毒造成的损害不外乎以下几种:手机被感染后会自动拨打声讯台、发送信息、订购增值业务等,造成话费损失;木马软件可以控制用户的手机,调用信息、监听通话、自动联网等,造成隐私泄露;病毒会导致手机硬件或SIM卡损坏,致使手机无法使用。与PC反病毒一样,手机反病毒软件可以做到实时拦截、提示不安全信息、对已确认的病毒进行杀除,并恢复感染文件等。
影响手机安全的第二大因素是一直以来影响人们生活的隐私泄露问题。比如窃听通话、偷窥短信以及在手机被盗或丢失之后重要文件的流失等。针对隐私泄露,业界目前普遍采用加密的方法来解决。网秦的“通信管家”可以对短信和通话记录进行加密,以保障隐私内容不会轻易被他人偷窥。
影响手机安全的第三大因素是目前引起社会各界广泛讨论的垃圾短信和骚扰电话问题。网秦的“通信管家”可通过显示号码所属地,让用户选择接听还是拒绝。一旦发现了骚扰电话的号码,可以设置为永久拒接。
虽然手机安全软件有种种优点,但生产厂商正经历着艰苦、迷茫的阶段。首先,手机型号繁多、操作系统多样。这不仅是黑客们的技术难题,也是手机安全软件研发面临的最大问题。其次,缺乏成熟的盈利模式是制约手机安全软件厂商发展的最大桎梏。如何打造一个真正安全、干净的手机使用环境,不仅仅是提供手机安全软件产品的厂商的责任,更需要电信运营商、手机制造商和手机安全软件厂商等整个产业链的密切合作。
2手机指纹识别技术:移动电子商务的“安全带”
移动通信技术的进步赋予了手机太多的功能:打电话、上网,甚至缴纳水电煤气费等。随着移动电子商务的日益流行,手机添加认证功能已是必然的趋势,因为仅仅依靠手机自身所带的密码和SIM卡锁无法不能满足人们对安全性的要求。试想,如果利用手机“呔额”支付成为现实,那么就必须将你的个人资料和财务资料保存在手机中,一旦丢失或被盗,后果将十分严重。这也是目前手机支付无法跨越“大额”门槛的主要原因。
指纹识别在保证安全性方面具有独特的优势,运用于手机,能提升手机的安全性。首先,指纹是独一无二的,排除了利用相同指纹来破解手机指纹密码的可能性。其次,一般说来指纹不会随着年龄的增长而变化。因此,相比较声音加密来说,指纹识别具有更加稳定的优点。再次,指纹样本便于获取。易于开发识别系统。目前指纹识别技术已比较成熟,识别系统中完成指纹采样功能的硬件部分也较易实现,而且现在已有标准的指纹样本库,方便了识别系统的软件开发。另外,一个人的十指纹路皆不相同,这样就可以方便地利用多个指纹构成多重口令,提高系统的安全性。
当然具有指纹识别的手机要能够被普通用户所接受,还有很长的一段路要走。首先是指纹识别的准确性问题。厂商制造具有指纹识别功能的手机,主要目的在于增强手机的安全性,在保证用户隐私的同时真正让手机成为日常生活中的“电子钱包”。因此,手机指纹识别的准确性与否是决定这项技术能被用户接受的前提。在进行识别时,一定不能出现无法识别的问题。其次尽管每个人的指纹都不一样,指纹也不会随年龄的变化,但厂家是否考虑到一些意外问题的出现,如果手指受伤无法识别,如何进行支付呢?此时有没有替代的功能?
3虹膜识别:确保在线交易以及供应链活动
尽管使用密码在一定程度上也能保证手机使用的安全,但随着手机新应用的不断出现,一些问题也随之出现:手机支付能够实现买主和卖主的不见面交易。但是在这个交易过程中,潜在的风险也越来越明显,我们用什么来保证远在千里之外的买家/卖家不会是一条坐在电脑前的狗?为了实现较高的安全性,使用复杂的密码是流行的选择,而如果我们埘不同的设备使用相同的密码,那在得到了方便性的同时也增加了安全I生的隐患。所以发展利用人的生理特征,是目前最为方便与安全的识别系统。
虹膜识别技术具有以下几个特点:①虹膜图像通过非接触方式获取,可避免疾病传播容易被人接受;②虹膜纹理结构不易被伪造;③虹膜纹理结构复杂。特征数多,因此可靠性非常高。虹膜识别是与眼睛有关的生物识别中对人产生较少干扰的技术。另外它有能力实现更高的模板匹配性能。在所有生物识别技术中,虹膜识别是当前最为方便和精确的一种。
生物认证作为20世纪末期才开始蓬勃发展的高新技术,必将从根本上改变人类的生活方式。虹膜、指纹、DNA这些人体本身的特点,将逐步取代现有的密码、钥匙成为人们习惯的生活方式,最大限度保证个人资料的安全。虹膜识别技术由于其在采集、精确度等方面独特的优势,必然会成为末来社会的主流生物认证技术。
在线交易的双方身份准确的认证是电子商务发展很重要的环节。为了对交易进行保护,在身份认证的过程中一定要使用数据加密技术,直接把交易和权威身份认证机构连接。虹膜识别系统基本上防止了身份冒用,增加了个人身份验证的可靠性。
电力大数据信息安全分析技术研究 篇7
云计算、物联网、大数据、移动互联等信息化新技术快速发展与应用,促使每天产生大量的数据,这些数据已经渗透到经济社会各个方面和各个环节,成为一项重要资源[1]。伴随着智能化电网的全面建设,以大数据和云计算为代表的新一代IT技术在电力行业广泛应用,电力数据资源开始急剧增长,并形成一定的规模,因此,国家电网公司也开展了相关的研究与应用,积极应对电力数据的增长,通过将基于电网实际的电力数据运用于配网规划业务、智能变电站、电网调度、用电信息采集、移动购电等,使得电力大数据广泛覆盖到“三集五大体系”中的大规划、大检修、大运行、大营销等诸多方面,推动国家电网公司的业务和管理水平的提升。信息化新技术应用的同时也伴随着信息安全风险的提升,因此,通过构建电力大数据信息安全分析架构,对其数据处理、安全分析方法进行系统地分析,为电力企业提供应对大数据的信息安全解决方案。
1 电力大数据的应用特征
大数据本身具有4个典型特征:容量巨大;数据类型多样;价值密度低;处理速度快[2],对此业界已基本达成共识,但还没有统一的定义。
电力大数据的应用主要是以业务应用为主,实现面向典型业务场景的模式创新及应用提升。电力大数据应用于大规划,主要是针对电网趋势进行预测,通过用电量预测、空间负荷预测以及多项指标关联分析,进行综合分析,从而支持规划设计;电力大数据应用于大检修,通过视频监测变电站,实时准确识别多种表计、刀闸、开关与隔离开关的位置、状态或读数,利用大数据技术,智能分析视频数据,从而代替传统的传感器;电力大数据应用于大运行,通过对电网调度的电网设备台账信息、设备拓扑信息、设备遥信遥测的相关信息的历史时刻查询,预测分析未来状态,为设备状态管理提供完善建议,为电网调度提供辅助决策;电力大数据应用于大营销,拓展面向智能化、互动化的服务能力,面向用电信息采集、计量、收费和服务资源,开展用电互动服务,实时反馈用电、购电信息,例如营销微信平台、营销手机、营销支付宝等。
随着居民用电信息采集的表记终端数量达到上亿只,供电电压自动采集接入电压监测点达到上万个,输变电状态监测装置接入上万个,监测数据达到上千万条,电力大数据的应用也具有数据量大、数据类型多、实时性强等大数据的典型应用特征。
2 电力大数据的信息安全风险
电力大数据在提升行业、企业管理水平和经济效益的同时,数据爆发式的增长也给数据存储、分析处理、统计计算带来极大的挑战,加大了数据在产生、传输、处理、存储、应用和运维管理各环节的安全风险。数据在产生和传输过程中存在传输中断、被恶意窃听、伪造和篡改的风险;数据在处理、存储和应用过程中,面临着部分用户越权读写、主机物理故障等风险;以及内部运维控制措施不当带来的风险等[3]。
除了面临上述传统的安全风险外,电力大数据还面临新技术应用后所带来的新型安全风险。高级持续性威 胁(Advanced Persistent Threat,APT)攻击(长时间窃取数据)就是这种新型安全风险之一,其典型特点就是持续时间长,攻击者对于防护设备进行持续的试探和尝试,不断研究和测试攻击目标系统的弱点,一旦发现防护短板,就利用各种技术进行攻击[4]。这不仅对目前信息化新技术应用的业务系统造成巨大威胁,也对传统的信息安全防护体系提出了挑战。
3 电力大数据的信息安全分析架构
新技术的发展也带动信息安全发展趋势从面向合规的安全向面向对抗的安全转变,从消极被动防御到积极主动防御甚至是攻防兼备、积极对抗的转变。100%的安全是绝对不可能的,但是可以主动认识潜在的威胁和敌人,充分分析电力大数据技术应用场景下的安全风险,具备先发制人、主动防御能力,这就是新型信息安全防御体系的理念。将该理念融入到大数据信息安全分析中,通过进一步研究数据分析、挖掘技术[5],构建电力大数据信息安全分析架构(见图1)。
电力大数据信息安全分析架构代表一种技术、一种安全分析的理念和方法,是作为一个较为完备的基于大数据安全分析的解决方案的核心,承载大数据分析的核心功能,将分散的安全要素信息进行集中、存储、分析、可视化,对分析的结果进行分发,对分析的任务进行调度,将各个分散的安全分析技术整合到一起,实现各种技术间的互动。电力大数据信息安全分析架构分为采集层、数据层、分析层、管控层和展现层,分别完成天量异构数据的采集、预处理、存储、分析和展示,采用关联分析、序列分析、联机分析处理、机器学习、恶意代码分析、统计分析等多种分析手段对数据进行综合关联,完成数据分析和挖掘功能,为安全分析人员和管理人员提供快捷高效的决策支持。
4 电力大数据信息安全分析架构的数据处理
4.1 数据库类型
电力大数据信息安全分析架构采集到的数据依据其业务应用的不同分为关系数据、多维数据、事务数据、文本数据以及多媒体数据。按照不同的数据类型,其存储的数据库也不同。
1)关系数据库。关系数据库是建立在关系数据库模型基础上的数据库,是目前最流行、最丰富的数据源,是电力大数据信息安全分析处理的主要数据形式。
2)数据仓库。数据仓库是多维数据库结构。数据仓库的实际数据结构可以是关系数据存储或多维数据立方体,提供数据的多维视图,并允许预计算、快速访问和汇总数据,通过多维数据视图和汇总数据预计算,运用联机分析处理允许在不同的抽象层提供数据,同时允许用户在不同的汇总级别观察数据。
3)事务数据库。事务数据库由一个文件组成,其中每个记录代表一个事务。事务数据库中可有一些相关联的附加表存放事务。
4)文本数据库。文本数据库是包含对象文字描述的数据库,是整篇文档。文本数据库可能是高度非结构化(HTML网页)、半结构化的(E-MAIL)或结构化的(如图书馆数据库)。
5)多媒体数据库。多媒体数据库存放图像、音频和视频数据,用于图像内容、声音、视频的检索等。
4.2 数据处理步骤
电力大数据信息安全分析的数据处理分3步:确定数据处理目标、数据量化处理、评估与展示。
4.2.1 确定数据处理目标
根据不同的数据类型、不同的数据库,确定不同的数据挖掘分析算法进行量化建模检测及预测等。
4.2.2 数据量化处理
将海量信息安全事件数据量化为能够具体反映安全事件的基准指标,并根据基准指标值实时评估信息安全态势[6]。
汇总海量数据判断信息安全态势是否正常的指标,一是事件数量是否正常:正常情况下局域网上每个固定采样周期内产生的安全事件数量是服从一定分布规律的,其波动范围不应超过某个阈值;二是事件地址分布是否正常:正常情况下安全攻击事件的源地址分布、目的地址分布是服从一定分布规律的,其分布状态不应发生明显变化;三是事件增长速度是否正常:正常情况下各攻击事件的增长速度不应太快,如果其增长速度超过某个阈值,则有可能发生了异常。根据上述研判标准设计安全基准指标如下。
1)安全事件数量指标。安全事件数量指标用于度量各类攻击事件数量,按照危害、原理、传播方式的不同,将攻击事件划分为各种类型,然后依次统计在固定时间间隔内,各类攻击事件的数量。设当前为第t个观测周期,在当前观测周期内检测到的各类安全事件数量分别为Pt、Qt、Rt…,这里P、Q、R等分别代表不同类型的安全事件,则Pt、Qt、Rt…即为当前时刻的安全数量指标值。
2)地址熵指标。信息熵是信息论中用于度量信息总量的一个概念。一个系统越有序,分布越集中,信息熵就越低;反之,一个系统越是混乱,分布越分散,信息熵就越高。利用地址熵反映攻击事件IP地址分布状况,IP地址越混乱,分布越分散,地址熵就越高;反之IP地址越有序,分布越集中,地址熵就越低。许多大规模信息安全事件均反映在IP地址分布的异常上。统计攻击事件的源IP地址、目的IP地址的出现次数。
3)安全事件扩散指标。安全事件扩散指标用于度量各类攻击事件的增长速度,对造成大范围传播的事件进行及时检测。设第t–1个观测周期,安全事件数量指标的取值分别为Pt–i、Qt–1、Rt–1,在t个观测周期,安全事件数量指标的取值分别为Pt、Qt、Rt…,观测周期长度为△;则P代表安全事件的扩散指标P=(Pt–Pt–i)/ △。
4.2.3 评估与展示
筛选和评价数据处理结果中有用的部分,将正确的结果直观地以图表等形式展示出来,由用户进一步分析。
5 电力大数据信息安全分析架构的分析方法
大数据的信息安全分析方法很多,随着数据挖掘技术的日渐成熟,分析算法也日渐丰富,其中关联分析、序列分析、空间同位算法、分类技术、离群算法等[7]针对大量序列式的分析具有很好的处理效果。不同的数据库采用不同的数据挖掘分析算法,例如关系数据库、事务数据库可以采用关联分析、序列分析、统计分析等算法进行数据挖掘;数据仓库采用联机分析处理等数据挖掘技术;文本数据库采用自动聚类、机器学习、模式匹配、数据摘要等数据挖掘技术;多媒体数据库采用聚类、关联分析等数据挖掘技术。因此,本文以关联分析、序列分析方法为例,根据数据流量、攻击行为特征与时间的相关性,对每个小时内各个指标值分别进行建模。指定数据的起止时间、观测周期长度,利用各指标值在不同时刻的取值,对指标数据通过关联分析、序列分析进行量化,计算各指标值均值和方差,将其作为指标的统计模型。采用异常检测与假设检验的方式,对攻击事件的指标突变异常和渐变异常进行检测与校验。
5.1 异常检测方式
应用数据挖掘技术的关联分析和序列分析算法对基准指标进行异常检测,寻找发现强关联规则的数据。关联规则就是形如A → B的表达式,A、B均为子集,A与B的交集为空,关联规则的支持度:support=P(A并B);这条关联规则的置信度:confidence=support(A并B)/support(A);如果存在一条关联规则,它的支持度和置信度都大于预先定义好的最小支持度与置信度,就称为强关联规则。因此发现异常就是寻找强关联规则,也就是必须找到频繁集,所谓频繁集就是支持度大于最小支持度的项集。采用关联分析的Apriori算法提取前一次的频繁项,不断迭代生成本次频繁项[8]。然后再利用序列分析算法,把频繁集中的数据之间的关联性与时间联系起来,分析数据间的前后序列关系[9],即将一条记录的横向数据进行关联,然后按照时间序列又进行了纵向排列。例如同一条审计记录中不同字段存在关联规则关系,再利用序列分析将不同记录按照时间顺序排列,这样就可以提取出正常情况下基准指标的实时值与历史值的相关性,不应有太大的偏差。即通过关联分析与序列分析算出当前基准指标实时值为s,在建模时得到的指标模型参数为N(μ0,σ0),其中 μ0,σ0分别表示正态分布模型的均值和方差,则异常检测的判断公式为:
其中的判断阈值2.33、3.1和3.72分别对应于标准正态分布的0.01、0.001和0.000 1分位点[10]。对于安全事件数量指标和安全事件传播指标,按照上述判断方法即可;对于地址熵指标,需要对|s–μ0|进行判断,地址熵实时值过大(IP地址分布过于分散)或过小(IP地址分布过于集中)都是异常,而对于其他指标只有过大时才是异常。
5.2 假设检验方式
某些攻击可能不会引起基准指标的明显变化,通过异常检测的方式无法检测到安全状态异常。但是这些攻击会引起指标的分布与建模时不一致,因此采用假设检验的方式,通过判断指标值是否仍然服从原来的分布来评估信息安全状况,并将可能出现的安全状况进行预警,达到主动防御的目的。
假设某个基准指标S在当前时刻的统计模型参数为N(μ0,σ0),其中 μ0,σ0分别表示正态分布模型的均值和方差,假设通过关联分析与序列分析算出当前基准指标实时值为s,则构造如下的U统计量:
其中:表示从模型参数更新起,所有该指标值的均值;n表示从模型参数更新起,该指标值的观测个数。
利用U统计量进行异常检测的判断方式为:
这里判断阈值的含义与异常检测时相同,对于安全事件数量指标和安全事件扩散指标,按照上述判断方法即可;对于地址熵指标,需要利用|s–μ0|进一步构造双边统计量。
可以通过异常检测方式分析静态信息安全攻击事件;通过假设检验方式检验动态不可预知的信息安全攻击事件,达到主动防御的目的。
6 结语
电力大数据信息安全分析的方法很多,全面预测电力大数据信息安全事件是多种分析方法综合应用的结果,随着大数据技术的迅速演化,基于大数据的安全分析算法也在不断丰富。可以预见的是其前景乐观,新技术应用催生新的安全防护体系发展,大量数据挖掘分析算法综合运用、数据共享,可以更好地实现电力大数据信息安全态势评估。因此,电力大数据信息安全分析架构的广泛应用将指日可待。
摘要:伴随着电力大数据的广泛应用,传统的信息安全防护体系面临着新的挑战,为了给电力企业提供应对大数据的信息安全解决方案,文章通过运用数据挖掘的关联分析、序列分析方法,异常检测与假设检验方式,探讨电力大数据信息安全分析技术的可行性,为电力大数据信息安全事件预警与防护提供技术支持。
信息安全分析技术 篇8
1 油田企业网络安全现状
我国油田企业的管理一直是重中之重, 中原油田对这方面的建设也十分的重视, 目前, 管理工作更多的是依赖网络信息化的系统, 极大的节约了人力、物力和财力, 但是, 随之而来的网络信息安全问题也给中原油田的发展带来了一定的阻碍。
1.1 油田企业的网络信息安全存在一定的隐患
我国油田企业的管理已经逐步转向信息化、专业化的方向发展, 很多涉及油田生产、开采的一些核心数据目前都主要由专业的信息管理系统来保存, 但是, 网络信息是虚拟的, 且在目前的技术手段中, 非常容易发生泄漏, 会给企业带来巨大的损失。目前, 我国的油田企业网络安全还存在一定的隐患, 主要包括以下几个方面:第一, 管理制度不够完善, 我国石油企业的信息化管理起步较晚, 尚未建立起完善的管理制度, 没有明确的规范和措施, 非常容易发生管理的混乱, 这样, 相关的资料就很可能发生遗失, 给企业造成很大的危害。第二, 管理人员的专业素质不强。油田企业目前的管理模式决定了管理人员需要有很强的责任心和专业能力, 才能胜任这项工作, 但是, 目前, 中原油田有很多管理人员的网络保密意识淡薄, 专业素质不强, 出现技术问题解决不了, 也没有学习的劲头, 同时, 保密意识的淡薄使重要的文件被轻易拷贝, 非常容易造成网络泄密, 将给企业带来不可估量的损失。
1.2 病毒入侵和软件的漏洞
目前, 网络病毒非常猖獗, 很多不法人士和机构利用一些特别的手段, 编写一些网络病毒, 利用石油企业管理和软件的漏洞来感染系统, 盗取机密。当然, 这些属于有意识的侵入导致泄密, 还有很多通用的病毒由于员工的不合理操作和在很多无意识的情况下侵入了系统, 造成了系统的崩溃, 导致大量的信息遗失。
2 提高油田企业网络安全的策略
结合上文提到的我国石油企业网络信息安全方面存在的一些隐患, 我们要采取合理的措施, 积极解决这些问题, 提高中原油田的信息管理能力和网络安全水平, 保证油田的安全有序发展。
2.1 建立完善的网络信息管理制度
要保证油田企业的网络信息安全, 制定完善的管理制度是非常必要的。针对目前出现的诸多问题, 根源上就是制度不完善, 管理不到位, 所以, 油田企业要制定翔实细致的管理计划和规定, 让每一名员工提高网络信息安全保密的意识, 在规范和制度中高效率的完成工作, 提高油田企业的工作效率。同时, 我们要把责任落实到个人, 从谁那出问题, 由谁来负责, 这样的责任细化能够提高每一名员工的工作积极性和责任感, 真正的重视起企业的网络信息保密工作。
2.2 加强对软件安全隐患和病毒的防范
网络病毒层出不穷, 给油田企业的网络信息安全带来了非常大的隐患, 目前, 我们要着力提高技术能力, 完善防火墙的建设, 积极防御病毒的入侵。同时, 技术人员要对油田企业的数据进行及时的备份, 这样就可以有效的避免数据丢失后无法还原的现象。除了这些措施外, 我们还要对一些机密度较高的进行加密处理, 进一步保证这些信息的安全。在数据和信息的管理中, 我们应当设置相应的权限, 这样, 能够掌握高级机密的人员数量就少了很多, 对于信息的安全性也就有了很大的把握。
2.3 加强企业人员的培训
我国网络信息化管理的起步较晚, 很多油田的员工年龄较大, 对于计算机的应用并不熟练, 所以在进行数据处理和分析的时候容易发生纰漏, 这样, 就成为了一个非常大的安全隐患, 我们要及时的对企业人员进行计算机的培训和网络安全保密技术的宣讲, 将保密意识入脑入心, 不断提升员工的业务能力和水平。
3 结语
随着科学技术的不断发展, 网络信息将在我国的石油企业中应用更加广泛, 我们要提高信息安全保密意识, 采取有效的手段, 不断提高企业的网络安全保密能力, 为石油企业的发展奠定良好的基础。
参考文献
[1]孙广.油田企业计算机网络的安全防范技术[J].油气田地面工程, 2013, 09:23-24.
[2]刘宏毅.分析与探讨网络信息安全与防范技术[J].现代情报, 2004, 04:20-22.
多节点分析网络技术与信息安全 篇9
网络信息是否安全, 无论是对于个人、企业乃至于国家而言均至关重要。因此, 就大力加强对网络信息安全技术的发展与完善, 是确保社会经济能够得以稳定发展的一项重要因素, 因此, 就计算机网络应用与信息安全展开相关的研究工作便具有极其重要的作用与价值, 应当引起人们的重视与思考, 据此下文将展开具体论述。
1 概述
计算机网络即为将处于人类真实社会空间中不同位置, 但具备有独立功能的若干台计算机以及相关的外接设备利用通信网络所互相连接起来, 在网络操作系统、网络管理软件和网络通信协议的协调基础之上, 建立起了一个可以促成资源共享与信息传递的计算机系统。单个计算机网络的构成主要就涵括了传输介质与通信设备两部分内容。其中计算机网络本身所具备的网络操作系统可以实现为用户的自动化管理。由整体上来看计算机网络便是将分散于不同地区的计算机以及有关的外接通信设备利用通信线路连接成为一个规模庞大、覆盖范围广阔的网络系统, 特别是硬件系统的构成, 可促使大量的计算机能够十分便捷的进行信息传递, 并共同分享有关的硬件组件, 从而促使处在不同地区的计算机设备能够十分便捷的进行信息传递, 互相分享软硬件及数据资源。
2 影响计算机网络信息安全的隐患原因
2.1 安全意识缺失
由于目前的网络设备结构往往十分复杂, 所采用的系统规模也十分庞大, 在应对难以确定的特殊性与差异性变化之时, 时常会使得网络管理人员感到困惑, 并且由于网络当中的设备、操作及系统均有着相互独立的管理及控制平台, 由此也就导致工作程度极其复杂。此外, 应用系统主要视为业务服务所设置的, 在企业内部工作中, 员工所面对的业务内容其工作职能也不尽相同, 因此在系统应用权限上也应作出区分, 但是网络管理人员针对多系统之中不同用户的权限问题却无法保持一致。
2.2 信息运行复杂
在应对海量的网络信息内容时, 管理及有关事件问题愈发趋向于复杂化。网络管理人员时常需将单台设备、系统所发生的状况与信息互相联系起来并予以总结、归纳, 进而来挖掘、探索出更加深层次的安全隐患。因此, 在用户对网络信息进行交流之时, 构建起一种更新型化的网络安全统筹管理措施已经十分迫切。
2.3 操作系统故障
在操作系统当中发生安全问题大多都会与操作系统相关, 其作为一项基础性软件系统, 可保障人们所需要运行的程序处在一个正常的环境之下, 操作系统自身便具备着大量的管理工作, 其主要是针对管理系统软件与硬件资源的管理。鉴于操作系统本身并无良好的安全性, 在系统设计之初便存在着重大的缺陷, 从而对网络安全造成了巨大的隐患危险。并且, 操作系统的结构体系缺陷本身也是一项重要的问题, 操作系统自身所存在的管理体系之中便存在着许多细节上的不足, 若某一方面发生问题, 那么便会造成整个系统出现连锁反应, 例如在内存管理方面出现问题, 外部网络当中便会出现一个连接, 并恰好影响到有关缺陷部分, 相应的计算机系统便会由此发生崩溃。
3 加强计算机网络信息安全管理的措施
3.1 提升用户安全防范意识
提升用户安全意识是保障网络信息安全最为主要的一项措施手段, 例如来源不明的信息、文件、链接等不要轻易点击。不随意打开运行未知的陌生程序, 不从网络上下载一些不良信息文件。并且, 还可将自身的IP地址进行隐藏处理, 这一措施也极其重要。这主要是由于没有了IP地址之后即便计算机中安装了非法程序, 攻击者也无从发起攻击, 但要想实现对IP最有效的保护便是设置代理服务器, 利用这一手段可将外部网络的访问由代理服务器进行转接, 从而实现对数据接收的传达安排, 对用户所需访问的服务器类型采取有效的监管措施, 进而将计算机所面临的安全隐患被完全隔离起来。针对系统补丁采取有效的更新处理, 同时还应大力增强对用户的法制引导, 促使用户能够切实了解有关法律责任, 自觉履行合法信息原则, 切实保障信息系统的安全运行。
3.2 应用防火墙技术
在当前的计算机网络安全预防手段当中, 防火墙技术是应用最为普遍的一种手段方法。其主要工作原理即为在计算机的内、外部网络中间增加硬件设备, 例如路由器设备, 从而促使内外部的连接必须要通过防火墙来实现对于信息的交互, 进而达到对各类信息的有关监管与控制。防火墙具备逻辑分析、网络监控与安全管理等多方面的功能。在计算机的内部与外部网络当中, 防火墙充当了重要的隘口作用, 可对外部访问进行良好的限制, 确保计算机系统不受到非法系统的入侵, 确保其内部信息的安全性。另外, 防火墙还可针对计算机内部的敏感信息、不良信息等直接予以隔离, 对内、外部网络环境采取实时监控, 对网络活动采取有效控制。为了实现对防火墙安全管理作用的有效发挥, 还应当加强对防火墙网络拓扑结构的应用, 其中就包括了屏蔽路由器、替代包过滤网关以及主机过滤结构等。
3.3 应用信息加密技术
由于信息加密技术具备较好的时效性特点, 因此这一技术目前也已经成为了在网络安全管理当中所较为广泛应用的一种安全技术。信息加密技术主要是针对网络传输过程当中的信息采取加密处理来确保其安全性。此种技术的原理是对网络系统所传输的数据信息提升其访问限制, 以此来达到信息传输的安全性, 在对原始数据进行加密以及密钥加密锁形成的编码数据即被称作密文。相应的信息在传输完成被接收以后对其进行解密处理便是加密的逆向操作, 也就是将加密之后的文件恢复成可被有效获取的信息, 在此过程之中需要解密人员在对信息采取解密处理之时, 必须要能够采用和加密之时所采用的设备与密钥完全相同才能够实现正确解密。信息加密技术具有较为良好的灵活性, 且效率极高, 在企业当中有着广泛的应用。
3.4 应用访问控制技术
这一技术手段是确保网络安全最为关键的一项方法措施, 其最为关键的目的即为保障网络资源不会受到非法应用与访问。访问控制技术的牵涉范围较大, 其中不仅入网访问控制、网络权限控制等内容, 同时还包括了目录级别的控制等更加具体的内容。访问控制技术的原理即为对合法用户访问相关信息资源之时对其权限进行确认, 而对于非法访问的用户采取有效的阻止措施, 同时还要针对不同等级的合法用户权限作出明确的规定, 阻止合法用户获取超出其本身权限等级的资源。应用访问控制技术最终所要达到的目的即为利用针对被访问的资源, 确定访问权限, 同时予以授权, 以保障在系统正常运行前提下, 促使共享信息资源可实现最大化的应用, 提高对资源的使用效率。
4 结束语
总而言之, 基于当前网络技术快速发展的大背景之下, 计算机与网络环境密不可分。网络信息安全作为网络发展过程中最为关键的一项内容, 其同样需要发展与完善。仅仅依靠传统的防火墙以及杀毒软件等安全防护产品终究还是难以从本质上解决网络信息安全问题, 对此必须要从更加深入的内在层次当中来思考系统对安全的需求, 并将有关的安全技术融为一体, 只有这样方可最大程度的实现网络环境的安全性。
参考文献
[1]姜腾.计算机网络的信息安全体系结构探讨[J].卷宗, 2016.
[2]田雅静.计算机网络与信息安全系统研究[J].科技风, 2015.
[3]王梁.有关计算机网络的信息安全及其问题防范分析[J].电子制作, 2014.
[4]李红娟, 王祥.计算机网络的信息安全分析及防护策略研究[J].网络空间安全, 2016.
无线网络信息安全技术及风险分析 篇10
关键词:无线网络,安全技术
1 无线网络(WLAN)技术的特点
1.1 无线网络的特点:无线网络的出现使有线网络所遇到的问题迎刃而解,它可以使用户任意对有线网络进行扩展和延伸。只是在有线网络的基础上通过无线接入器、无线网桥、无线网卡等无线设备使无线通信得以实现。在不进行传统的布线的同时,提供有线网络的所有功能,并能够随着用户的需要随意的更改扩展网络,实现移动应用。无线网络具有传统有线网络无法比拟的特点。
1.2 灵活性,不受线缆的限制,可以随意增加和配置工作站;
低成本,无线网络不再需要大量的工程布线,同时节省了线路维护的费用;
1.3 移动性,不受时间、空间的限制,用户可在网络中漫游;
1.4 易安装,对于有线网络来说,无线网络的组建、配置和维护更为容易。
1.5 无线网络应用的环境:随着这两年WLAN不断广泛的应用,无线网络802.11x已经不是原来的作为有线网络的补充,而是以一种最后N*100米的高效的接入手段出现人们面前。WLAN无线应用的特点使其可以广泛使用。
2 无线网络主要安全技术
2.1 扩频技术
扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中,一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送,明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。
2.2 用户验证:密码控制
建议在无线网络的适配器端使用网络密码控制。这与Novell NetWare和Microsoft Windows NT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以精确的密码策略是增加一个安全级别,这可以确保工作站只被授权人使用。
2.3 数据加密
对数据的安全要求极高的系统,例如金融或军队的网络,需要一些特别的安全措施,这就要用到数据加密的技术。借助于硬件或软件,数据包在被发送之前被加密,只有拥有正确密钥的工作站才能解密并读出数据。
如果要求整体的安全性,加密是最好的解决办法。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还选择低价格的第三方产品。
2.4 WEP (Wired Equivalent Privacy)加密配置
WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法,是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。
2.5 防止入侵者访问网络资源
这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
3 无线网络信息安全风险分析
安全风险是指无线网络中的资源面临的威胁。无线网络的资源,包括了在无线信道上传输的数据和无线网络中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线网络中的信号是可以在一定覆盖范围内接听到而不被察觉的。另外,只要按照无线网络规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线网络中主机面临的威胁
无线网络是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线网络移动设备。当无线网络与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线网络中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线网络和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。无线网络中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线网络中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4 无线网络信息安全解决措施
无线局域网完整的安全方案以IEEE802.11b为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol, EAP),是远程认证拨入用户服务(RA-DIUS)的扩展。可以使无线客户适配器与RA-DIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RA-DIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802.lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE802.11的规定要求无线网络至少要和有线网络 (不使用加密技术) 一样安全。其中, 认证提供接入控制, 减少网络的非法使用, 加密则可以减少破坏和窃听。目前, 在基本的WEP安全机制之外, 更多的安全机制正在出现和发展之中。
参考文献
[1]谭润芳.无线网络安全性探讨[J].信息科技, 2008, 37 (6) :24-26.
[2]刘元安, 《宽带无线接入和无线局域网》, 北京邮电大学出版社, 2000.
信息安全技术刍议 篇11
所谓信息安全,主要是保证信息的可用性、完整性、鉴别性、机密性和非抵赖性,所涉及的领域已从主机的安全发展到网络结构体系的安全,从单一层次的安全发展到多层次的立体安全。
1.信息加密技术
信息加密技术是实施信息保护的主要手段。通过数据加密,可有效保证信息在传输过程中不被泄露和破坏。
信息加密技术分为基于数学的密码技术和非数学的密码技术两种。基于数学的密码技术包括公钥密码、分组密码、流密码、数字签名、密钥管理、身份鉴别、消息认证、密钥共享和PKI技术等。非数学的密码技术包括量子密码、DNA密码等,其中量子密码、DNA密码具有广阔的发展前景。
量子密码是以海森堡“测不准理论”为物理基础,运用量子光学方法通过公开信道(通信光纤)异地产生物理噪声来加密的,可以真正实现一报一密,构成理论上不可破译的密码体制。运用量子加密法时,两个用户之间会各自产生一个私有的随机数字符串,除了发件人和收件人之外,任何人都无法掌握量子的状态,也无法复制量子。若攻击者企图接收并检测发件人的信息(偏振),就会造成量子状态的改变,而这种改变对攻击者而言是不可恢复的。但是,收发双方却能很容易检测出信息是否受到攻击,并设法将其消除。目前,国际学术界正围绕如何克服对量子相干性的干扰破坏、有效的量子受控门和量子逻辑网络设计、量子信息理论体系和量子密码的实用技术等问题展开研究。
近年来,DNA技术为信息加密技术发展带来了新的机遇。DNA分子在酶的作用下,可以通过生物化学反应,从某种基因代码转变成另一种基因代码。把转换前的基因代码作为输入数据,转换后的基因代码作为运算结果,能够进行很多高级逻辑运算和数学运算,而利用生物化学反应过程可以研制新型生物计算机,也可以为密码运算和密码分析提供理论依托。
DNA生物化学反应的优势,是能够并行工作。利用这种特性,可以并行处理解决问题的所有可能方法。以DNA分子链取代硅片存储和处理信息,具有计算速度快、存储量大、体积小等特点,可逐步模拟人脑的功能。有人预言,倘若DNA计算机研制成功,其几十个小时的运算量,就相当于目前全球所有计算机问世以来运算量的总和。
当前,DNA密码编码和密码分析的理论研究主要集中在以下几个领域:DNA的筛选、合成与纯化,繁殖与修饰;DNA有序排列点阵的形成;DNA密码编码变换的实施,编码信息的获取;DNA密码分析的实施,破译信息的获取;DNA芯片与DNA诊断薄膜原型器件的研制,等等。
2.信息伪装技术
信息加密技术可以保证“黑客”无法破译机密信息,却不能防止“黑客”阻碍合法接收者读取机密信息,因为“黑客”可以稳、准、狠地破坏被加密的信息。信息伪装技术则可以在很大程度上弥补这一缺点,使“黑客”感觉不到机密信息的存在,从而达到保护信息安全的目的。有潜在应用价值的信息伪装技术主要有信息隐藏、数字水印、叠像术和潜信道等。
2.1信息隐藏
信息隐藏是信息伪装的主体,以至于人们经常将其与信息伪装当成一回事。形象地说,信息隐藏就是将机密信息隐藏在普通信息之中,且不露任何破绽。信息隐藏的基本原理,是利用人类感官系统对某些细节的不敏感性,对载体作某些微小变动,却不引起观察者的怀疑。
2.2数字水印
数字水印是信息伪装的一个重要分支,也是目前国际学术界研究的热门课题。数字水印是永久镶嵌在宿主数据中的具有可鉴别性的数字信息,且不影响宿主数据的可用性。
2.3叠像术
叠像术是由可视化密码技术发展而来的一种新的信息伪装技术。其思想是把要隐藏的机密信息,通过算法隐藏到两个或多个子密钥图片中。这些图片可以存放在磁盘上,也可以印刷到透明胶片上,而每一张图片上都有随机分布的黑点和白点。由于黑、白点是随机分布的,故持有单张图片的人不论用什么方法,都无法得出任何有用的信息。而如果把所有图片叠加在一起,就可以恢复原有的机密信息。
2.4潜信道
潜信道又名隐信道。顾名思义,就是普通人感觉不到此信道的存在,而系统却可以利用这些感觉不到但真实存在的信道传送(存储)机密信息。
3.认证技术
所谓认证,就是确认接收到的数据确实来自所希望的源端。与认证相关的是非抵赖(non-repudiation)问题,即防止信息的发送者抵赖其发送的信息,或者确认接收者确实收到了发送者所发送的信息。认证与下面提到的访问控制都必须注意的一个问题,就是对以前截获信息流的重放。重放技术容易被非授权的主机使用以欺骗目的主机,而利用时间戳技术可有效防止这种问题的发生。
4.访问控制技术
访问控制技术是通过不同手段和策略实现对网络信息系统访问控制的,其目的是保护网络信息资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,对提出资源访问的请求加以控制。根据控制策略的不同,访问控制技术可分为自主访问控制、强制访问控制和角色访问控制三种形式。
自主访问控制是针对访问资源的用户或应用来设置访问控制权限的,安全性最低,但灵活性比较高。
强制访问控制在自主访问控制的基础上,增加了对网络资源的属性划分,规定了不同属性下的访问权限,可防止用户无意或有意使用自主访问的权利。其安全性比自主访问控制有所提高,但灵活性要差一些。
角色访问控制是通过验证合法访问者的身份,来确定访问者在系统中对哪类信息有什么样的访问权限的,具有便于授权管理、便于赋予最小特权、便于根据工作需要分级、便于任务分担、便于文件分级管理、便于大规模实现等优点,是一种有效而灵活的安全措施。目前已有的防火墙、代理服务器、路由器和专用访问控制服务器,都可以视为实现访问控制的产品。
5.病毒防护技术
互联网的迅速普及为计算机病毒的广泛传播营造了有利环境,而其本身的安全漏洞也为培育新一代病毒——网络病毒,提供了绝佳的条件。
根据传播属性不同,计算机病毒可划分为网络病毒和主机病毒。主机病毒的攻击对象是主机中的各种资源,即通过对主机内存、硬盘、主板及各种文件等资源的破坏,导致主机的不可用;网络病毒不仅具有主机病毒的破坏属性,而且具有更粗的破坏粒度,可通过消耗网络中的各种通信资源,如耗尽路由器、交换机和重要服务器等网络资源的处理能力,导致网络的不可用。对于主机病毒,现在已有很多有效的反病毒程序,而对于网络病毒的研究就不那么多了。
在病毒与反病毒的对抗中,反病毒技术将会在应用防毒和未知杀毒两个方面寻求突破。
医院信息网络中的安全技术分析 篇12
1 医院信息网络安全技术体系设计
1.1 目前医院信息网络安全问题
一般医院信息网络安全问题主要围绕局域网平台上的数据库应用和网络接入因特网而产生的漏洞、缺陷。如数据库系统安全漏洞, 由于此系统是在DBMS操作系统上运行的应用程序, 属于多用户共享的应用软件, 从而在会操作过程中因为软件共享服务而构成安全问题, 极易破坏和窃取服务器中还储存的数据文件。局域网服务也是通过一些数据库以分布式管理的方式共享数据和文件, 然而这些共享服务可被经验较高的闯入者获取访问权, 一旦中心服务系统遭到攻击, 会间接损害整个局域网系统。
1.2 安全技术体系结构
医院安全技术系统结构中分为三个部分, 第一部分为安全防护, 涉及防火墙、信息加密、身份认证、防毒系统及DBMS安全管理。第二部分为安全监测, 主要基于防火墙的路由器, 应用于网关服务。第三部分是安全恢复, 主要为应急恢复系统和备份系统。
2 医院信息网络安全技术
2.1 硬件技术
2.1.1 网络设备安全
医院计算机信息网络系统中包含的设备和其他建筑大致相同, 如路由器, 集线器及交换机, 医院应根据要求建立网络拓扑结构的主汇聚点的核心交换机, 一旦交换机在出现故障后, 可作为临时解决方案措施。一些条件较好的医院单位可采用双机在线互为热备的核心交换机方案, 确保网络关键设备在连续运转时有整机或配件运用, 也通过上述操作确保网络的持续、稳定运行。
2.1.2 网络布线安全
医院计算机信息网络系统中最基础的部分就是网络布线, 具体指高密度配线架在需要扩容时通过降低每次安装要求中无源配线架的数量, 从而达到有效地利用空间目的。参照《中国工程建设标准化协会与建筑群综合布线系统工程设计规范》中相关要求, 并结合医院实际实际情况在布线时, 应充分考虑防雷击的要求, 采用两对以上多芯光缆应对室外网络信息线缆, 其次出于抗干扰要求, 强电线缆和网络信息线缆的平时分布相距要在30cm以上, 相交为90°, 建议在楼宇之间采用不同路径双光缆连接, 保证布线安全。
2.2 软件技术
2.2.1 数据库安全
目前大部分医院都建立数据库, 为医院所属各部门和院外有关部门提供病人信息和管理信息, 满足所有用户功能需求。但大部分医院建成后未能有效利用或利用率低, 不能发挥数据库的作用。在网络环境下, 保证数据库安全要使用多种技术, 当前数据库系统安全性依赖于应用程序设置的控制管理和数据库管理系统自身存在的使用权限, 用户名/口令识别等控制及数据加密等措施。虽然上述功能多数数据管理系统系统具备, 但仍需要对系统进行合理地管理和配置, 从而更好地维护数据库安全。首先数据分类;相同类型权限用户对数据库中会用范围和管理可能会存有差异, 因此, 可采用数据分类的模式归并用户查询到的数据逻辑, 形成含有名称的单个或多个视图, 最后再把查询权交付给单个或多个用户。其次数据库管理员权限类;具备数据库管理员权限的用户可访问任何用户的数据, 还能创建各种数据库客体完整库备份, 全系统审计及装入重组等工作, 只有少数用户属于这种含有谨慎且带有全局性的工作。最后, 还可加入数字证书;数字证书就是互联网通讯中标志通讯各方身份信息的一串数字, 由一个由权威机构——CA机构发行, 是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。数字证书绑定了公钥及其持有者的真实身份, 不仅能保证数据传输的保密性, 而且数字签名的唯一性、可靠性、不可否认性、不可修改性等都能为每一个医疗行为作证从而减少不必要的医疗纠纷。
2.2.2 病毒防范
网络病毒指编制在计算机程序中插入的破坏计算机功能或破坏数据, 使计算机正常使用受到严重影响, 病毒还能自我复制一组计算机程序代码或指令。与临床上的病毒不同, 计算机网络病毒主要通过某种途径潜伏在计算机存储介质内, 一旦激活某种条件, 只要通过修改其他程序后便能让自己拷贝的形式放入其他程序中, 达到感染程序和破坏计算机资源目的。网络病毒已经由传统的单机损坏逐步发展成网络爆炸式传播, 导致网络信息丢失和奔溃, 而对于存放了大量医疗资源和病人信息的医院网络系统, 有效防止病毒显得尤为重要。首先防止的则服务器病毒, 可采用集中式扫毒和NLM方法, 建立网络病毒防护系统。其次将网络入口设为工作站, 对公用系统文件、无盘工作站、工具软件、规定用户访问权限设为只读属性, 进一步防止防毒入侵。第三, 防火墙的应用;防火墙是内部网与外部网之间的访问控制设备, 可封堵存在安全缺陷的网络服务, 阻止不可信网络入侵。路由器的防火墙是应用这种技术的主要防火墙类型, 不需另购设备, 采用软件系统来检查分组的源地址弥补路由器选择路由时不检查源地址, 从而造成外部网络伪造内部源IP地址的IP分组问题, 而且最好医院内部网络和外部网络隔离开。最后禁用U盘、移动硬盘、光驱等外设, 防止数据感染, 维护数据安全。
3 结语
总之, 计算机信息网络系统是一个相对较为复杂的工程, 它需要将网络设计、建设、维护等各个方面贯穿其中。只有将先进合理的技术结合有效地管理才能充分实现医院信息网络的安全性, 从而更好地保障医院信息数据和其信息系统的高效运行。
参考文献
[1]赵文君.医院信息网络的安全问题[J].网络安全技术与应用, 2014 (01) :99-100.
【信息安全分析技术】推荐阅读:
网络信息安全技术分析11-09
信息安全防护技术分析06-05
信息安全技术11-16
信息安全技术网络安全07-06
金融信息安全分析12-11
信息安全技术体系05-15
信息通讯安全技术08-26
信息安全技术研究01-27
信息技术安全教育08-24
网络信息安全风险分析05-24