信息安全源自通信領域的“保密”。信息一般可以描述為“客觀世界中各種物質的變化特征的最新反映,是客觀事物之間聯系的表征,也是客觀事物狀态經過傳遞後的再現”。安全一詞沒有統一的定義,基本含義可以解釋為:“客觀上不存在威脅,主觀上不存在恐懼”。信息安全是一個廣泛抽象的概念也沒有公認和統一的定義,不同領域,不同方面對其概念的闡述都會有所不同,國際、國内對信息安全的定義大緻可以分為兩類:一類是具體的信息技術系統的安全;另一類是指某一特定信息體系的安全。21世紀60年代之前還沒有出現“信息安全”通常都叫“通信保密(COMSEC)”,直到20世紀70年代由于通信環境從以往的點對點發展為計算機網絡通信,“計算機安全”與“通信保密”一起合稱為“信息安全”。信息安全性的内涵也包含了信息的保密性、完整性和可用性。20世紀90年代中期,因為不同部門對信息依賴性的差異,而又産生了信息的“可認證性”和“抗抵賴性”。做好信息安全的防護技術要從信息的保密性、完整性、可用性、抗抵賴性、可認證性等五種基本的安全屬性着手。信息安全技術不僅涉及多種技術,而且也涉及多個學科,主要包括,密碼技術、訪問控制技術、身份認證技術、審計追蹤技術、公證技術、信息恢複技術、加/解密技術和密鑰管理技術等。在信息安全技術中比較常用的技術有防火牆技術和密碼技術
防火牆技術:防火牆是一種有效的網絡安全模型,是系統安全策略的一部分,能有效的控制内部網絡和外部網絡之間的訪問及數據的傳輸,從而達到保護保護内部網絡信息,并且過濾掉外部非法請求,防止内部信息的外洩,可以對網絡存取和訪問進行監控審計,收集網絡使用情況的統計數據,部署NAT,緩解地址空間的短缺問題,消除機構在變換ISP時帶來的重新編址麻煩。
密碼技術:密碼技術是信息安全的核心,特别是在國家軍事,政治,外交方面,通過數據加密進行信息傳遞,保障信息傳送安全。密碼學是一種關于發現、認識、掌握和利用内在密碼規律的科學,由密碼編碼和密碼分析組成。它的基本原理就是信息的變換,使沒有授權的用戶不能理解信息的真實含義。在密碼體制中可以分為對稱密碼體制和非對稱密碼體制兩種。
入侵檢測與防禦在密碼通信過程中,除了保密通信雙方外,還存在有非法授權用戶,這些用戶會通過電子竊聽,計算機入侵等獲取相應的數據信息,對原有的密碼進行破譯,獲取大量非法信息,防火牆的設立具有局部性,對于繞過防火牆,非法進入到内部網絡截獲系統中重要的密文的用戶就更要做好系統的入侵檢測,避免信息的洩露。安全系統受到各類入侵的危險越來越大,僅僅依靠被動的防禦已經不足以保證自身的安全,如果系統能夠主動記錄可疑動作,并預測該可疑動作對系統産生的後果,那麼防禦工作就可以占主動和有利的地位。信息安全的三個基本目标是:機密性、完整性和可用性。對網絡系統的入侵則包括:外部入侵、内部入侵、惡意程序、非法探測和掃描。為了避免這些入侵對信息安全造成威脅,便提出了入侵檢測技術。入侵檢測定義為任何不受歡迎的誤用、入侵和非法行為進行識别的過程。進行入侵檢測的軟件和硬件的組合便是入侵檢測系統,它需要更多智能将得到的數據進行分析,并得出有用的結果,做出合理的判斷。入侵檢測系統的檢測主要包括兩種方法:基于知識的入侵檢測和異常檢測系統。另外,它的部署還包括兩種主要策略,即位于網絡或位于主機。入侵檢測系統的選擇和部署也是非常重要的,所要考慮的因素也必須包括計劃的用途是基于主機的還是基于網絡的,如果基于網絡還需考慮擴伸到高流量的能力。影響入侵檢測系統部署的其他因素主要包括分析的信息流量、分析要達到的程度以及要檢測的入侵或攻擊的重要性,對系統入侵的檢測方法一般是基于特征碼的檢測方法和異常檢測方法。在判斷系統是否被入侵前,系統需要收集一些信息從各個方面進行比對檢查,另外,入侵檢測系統還可以通過一些系統自身的命令來檢查、搜索系統本身是否被攻擊。
信息安全發展趨勢近年來,我國的信息化不斷發展,信息安全問題也是捉襟見肘,對涉密信息的保護措施也必須愈加嚴格,未來的信息安全形式變得非常嚴峻,如何保障信息和網絡的安全使用是當前亟待解決的問題。制定一套完整的解決方案和服務也必須遵循全面性,實用性,标準性,一緻性,擴展性,易學和易用性的基本原則。對于未來的信息安全服務要關注的有複雜的網絡安全管理,系統補丁,以及相關知識與漏洞信息。對涉密信息系統和公共信息網絡之間實施物理隔離是一個行之有效的安全措施,加強安全隔離與信息交換技術的研究也是促進信息安全技術發展的有效舉措。信息安全系統的保障能力是一個國家經濟、政治以及民族生存能力的集中體現,要加強信息和網絡技術的開發,目前的信息安全還不是很成熟,有些關鍵技術還需要重點組織研究:唯一性身份識别技術、數字簽名技術、信息的完整性校驗檢測技術、信息的加密解密技術、密鑰管理技術、安全審計跟蹤技術、安全信息系統的構作集成技術、系統的安全評測技術、電子信息系統電磁信息洩露防護技術。另外還要加快有關法規的研究,建立一個健全的信息安全法規體系,加大網絡安全檢查制度,減少網絡犯罪,走信息安全産業化的發展道路。
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!