论信息安全保障体系在技术上的实现.pdfVIP

·190· 全国计算机安全学术交流会论文集 论信息安全保障体系在技术上的实现 龙清 王泉 罗炜 湖南省人民检察院 20世纪70年代以后，计算机软硬件技术开 使用。在开放系统中，网上资源的使用应制订一 始快速发展，并且开始出现了对内开放、对外封 些规定：一是定义哪些用户可以访问哪些资源， 闭的计算网络，这种环境下的信息安全可以归纳 二是定义可以访问的用户各自具备的读、写、操 为对信息系统的保护，即信息安全(INFosEc)，作等权限。 典型标志是美国国防部制定的彩虹系列中的橘桔 (3)数字签名：即通过一定的机制如RSA公 皮书(TCSEC)以及欧洲四国制定的ITSEC，钥加密算法等，使信息接收方能够做出“该信息 TCSEC以信息安全的机密性为主，ITsEC则强是来自某一数据源且只可能来自该数据源”的判 调保障信息的机密性、完整性、可用性(即著名 断。 的信息安全三原则CIA)。其后由于社会管理以及 (4)保护数据完整性：既通过一定的机制如 电子商务，电子政务等的网上应用的开展，人们 加入消息摘要等，以发现信息是否被非法修改， 又逐步认识到还要关注可控性和不可否认性。 避免用户或主机被伪信息欺骗。 1996年美国国防部(DoD)在国防部令S一3600．1(5)审计追踪：既通过记录日志、对一些有关 对信息保障下作了如下定义：保护和防御信息及 信息统计等手段，使系统在出现安全问题时能够追 信息系统，确保其可用性、完整性、保密性、可 查原因。 认证性、不可否认性等特性，这包括在信息系统 (6)密钥管理：信息加密是保障信息安全的 中融入保护、检测、反应功能，并提供信息系统 重要途径，以密文方式在相对安全的信道上传递 的恢复功能。这是目前为止公认的对信息安全保 信息，可以让用户比较放心地使用网络，如果密 障系统最完整的定义。 钥泄露或居心不良者通过积累大量密文而增加密 文的破译机会，都会对通信安全造成威胁。因此， 一、信息安全保障系统应具有的功能 对密钥的产生、存储、传递和定期更换进行有效 地控制而引入密钥管理机制，对增加网络的安全 由于上述威胁的存在，因此采取措施对网络 性和抗攻击性也是非常重要的。 信息加以保护，以使受到攻击的威胁减到最小是 必须的。一个信息安全保障系统应有如下的功能： 二、安全保障体系中信息安全常用技术 (1)身份识别：身份识别是安全系统应具备 的最基本功能。这是验证通信双方身份的有效手 通常保障信息安全的方法有两大类：以“防 段，用户向其系统请求服务时，要出示自己的身 火墙”技术为代表的被动防卫型和建立在数据 份证明，例如输入UserID和Password。而系统加密、用户授权确认机制上的开放型网络安全 应具备查验用户的身份证明的能力，对于用户的 保障技术。 输入，能够明确判别该输入是否来自合法用户。 1．防火墙技术：“防火墙”(FirewaU) (2)存取权限控制：其基本任务是防止非法 安全保障技术主要是为了保护与互联网相连 用户进入系统及防止合法用户对系统资源的非法 的内部网络或单独节点。它具有简单实用的特点， 论信息安全保障体系在技术上的实现 ·191· 并且透明度高，可以在不修改原有应用