近期热点
·企业网络安全的规划设计与实践
·网络安全之我见
·制造执行系统(MES)的应用与发展
·基于PDM的工作流程管理
·<连载>Protel二次开发从入门到精通
·PDM选型决策支持系统的研究与实现
 相关文章
·浅谈企业信息安全保障体系建设
·构建等级化信息安全保障体系
·关于加强信息安全保障体系的思考
 相关博客
·RFID技术在肉食品生产安全管理中的最新应用
·ISA Server在企业网络安全管理中的应用探讨
·统一身份认证服务
 相关新闻
·
北京将建成电子政务网络和信息安全保障体系
·
国务院信息化工作办公室表示用五年构建信息安全保障体系
·
我国将用五年时间建成国家网络信息安全保障体系
 相关热贴
 相关商城商品
 
 
当前位置:基础信息化 -> 综合
 
信息安全保障体系分析与研究
发表时间:2007-7-23 王志海 童新海   来源:万方数据
关键字:信息安全保障体系 安全保密 身份认证 安全管理 数据安 
本文对信息安全保障体系的构成进行了阐述,提出了信息安全保障体系应该由用户身份认证体系、信息安全保密体系、信息安全管理体系和网络边界防护体系构成。本文在对信息安全保障体系的各个组成部分进行功能需求的定义和描述的同时,结合技术对市场现有产品的优缺点进行了分析,指出了目前建立信息安全保障体系存在的技术问题,探讨了信息安全保障体系相关产品的发展方向。

    一、引言

    随着信息化程度的提高,信息安全问题日益突出,备受人们关注。信息安全需求已从原来的系统安全和网络边界安全深入到系统内部体系安全和数据本身的安全上,并已开始对管理制度造成影响和改变。各个单位和企业都在购买和使用众多的安全设备,但是如何协调使用这些安全产品和设备,如何进行信息网络的长期安全规划以避免重复或者不必要的安全投资,成为一个不可忽视的问题。

    二、信息安全保障体系框架

    对一个信息网络,必须从总体上规划,建立一个科学全面的信息安全保障体系,从而实现信息系统的整体安全。一个全面的信息安全保障体系,其包含的内容是多方面的,应该能够解决信息系统存在的大部分安全威胁。目前的信息安全威胁主要有:
    系统稳定性和可靠性破坏行为,包括从外部网络针对内部网络的攻击入侵行为和病毒破坏等;
    大量信息设备的使用、维护和管理问题,包括违反规定的计算机、打印机和其它信息基础设施滥用,以及信息系统违规使用软件和硬件的行为;
    知识产权和内部机密材料等有价值信息存储、使用和传输的保密性、完整性和可靠性存在可能的威胁,其中尤其以信息的保密性存在威胁的可能性最大。
    针对这些复杂和技术手段各异的信息安全威胁,要建立一个完整的信息安全保障体系,包含以下几个方面:

    1. 建立统一的身份认证体系
    身份认证是信息交换最基础的要素,如果不能确认交换双方的实体身份,那么信息的安全就根本无从得到保证。身份认证的含义是广泛的,其泛指一切实体的身份,包括人、计算机、设备和应用程序等等,只有确认了所有这些信息在存储、使用和传输中可能涉及的实体,信息的安全性才有可能得到基本保证。

    2. 建立统一的信息安全管理体系
    建立对所有信息实体有效的信息管理体系,能够对信息网络系统中的所有计算机、输出端口、存储设备、网络、应用程序和其它设备进行有效集中的管理,从而有效管理和控制信息网络中存在的安全风险。信息安全管理体系的建立主要集中在技术性系统的建立上,同时,也应该建立相应的管理制度,才能使信息安全管理系统得到有效实施。

    3. 建立规范的信息安全保密体系
    信息的保密性将是一个大型信息应用网络不可缺少的需求,所以,必须建立符合规范的信息安全保密体系,这个体系不仅仅应该提供完善的技术解决方案,也应该建立相应的信息保密管理制度。

    4. 建立完善的网络边界防护体系
    重要的信息网络一般会跟公共的互联网进行一定程度的分离,在内部信息网络和互联网之间存在一个网络边界。必须建立完善的网络边界防护体系,使得内部网络既能够与外部网络进行信息交流,同时也能防止从外网发起的对内部网络的攻击等安全威胁。
    在上述信息安全保障体系四个子体系中,网络边界防护体系最早得到重视,也是技术上解决最为完善的一个体系。本文所指的网络边界,是指内网和外网的边界,不仅仅是指物理上的网络边界,而是指逻辑上的网络边界,如图1所示,内网A、内网B和内网间通道组成一个完整的内网。
    信息系统和网络系统应用初期,信息系统运行的稳定性和可靠性是首先面临的问题,除了系统本身的因素外,其最大的一类威胁就是来自外部公共网络的入侵威胁,主要包括黑客攻击、病毒传播和木马攻击等。针对这类从外部网络发起的攻击,科研单位和信息安全厂商开发出防火墙、入侵检测和防病毒产品,并取得了明显的效果。另外一种来自网络边界的威胁是网络窃听和欺骗等技术,如在公共网络上针对网络协议的内容窃听以及数据包内容篡改等。针对这类威胁,基于密码技术的安全协议系统得到了发展,如VPN技术和SSL技术等,都是为了解决这类问题。网络边界防护体系技术上和应用上都已经相对成熟,并已经开始进行了建立统一的边界防护系统的趋势,如防火墙和IDS的联动等。
    相对于网络边界防护体系相对成熟,其它三个体系的建设却显得相对滞后,本文将重点对其它三个体系进行技术方面的分析和研究。

    三、用户身份认证体系

    与现实社会生活中一样,用户身份的认证在信息系统中也是最基础和最重要的因素之一。这里所指的用户身份认证,不仅仅指使用者本身,在某些特殊的系统中可能泛指参与信息系统活动的任何实体,如计算机、使用者、存储设备或者应用程序等。用户身份认证或者说用户身份确认是信息系统安全运行的基础,如果身份不能得到确认,那么进一步的授权和控制都无从谈起,也没有任何基础。
    为了建立信息安全保障体系,统一的用户身份认证尤为重要,保证信息系统安全的第一步是确定参与信息系统活动的每个用户和每台计算机设备的身份,然后进一步对用户和计算机授权和控制。建立信息安全保障体系的用户身份认证技术主要包括以下几点:
    用户身份必须是全系统唯一的和可确认的;
    用户身份必须是可管理的,包括注册、变更和注销等管理操作,并能够实时地告知相关的应用信息系统;
    用户身份认证技术必须是高强度的,可以抵抗常见的用户口令破解和用户身份冒充等攻击;
    用户身份认证系统必须是开放的和易于集成的,可以集成到其它应用系统中,作为一个基础的统一认证体系。 用户身份认证技术从计算机系统使用的初期就已经存在,常用的用户身份认证技术主要包括:传统的基于用户名和口令的身份认证、基于随机口令的双因素认证技术、基于PKI体制的数字证书认证技术等。

    本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
 
<<首页 <上一页  1  2  3  下一页>  末页>>  
3页,当前第1
责任编辑:郑兆丰