网络信息系统安全能力及关键技术研究.pdfVIP

卫蜀嚣曼虿强圈 网络信息系统安全能力及关键技术研究 ◆黄治华高峰汪慧君 (武汉船舶通信研究所湖北430205) 摘要：网络安全防护已成为网络信息系统稳定可靠运行的前提务件。本文针对网络信息系统的网络安全防护问题，分析了一个安全的 网络信息系统应具备的安全能力，提出了安全能力构成，并对实现这些安全能力的关键技术进行了初步研究。 关键词：网络安全防护；物理安全；网络安全；系统安全；应用安全 O引育 行基于访问控制策略基础上的操作活动；数据完整性和保密性保 网络信息系统一般由支持软件运行的硬件系统、对系统资源 护主要指确保数据在存储以及传输过程中不被泄露、窃取或篡 进行管理和为用户使用提供基础支持的系统软件、和实现系统应 改。 用功能的应用系统软件组成，这些硬件和软件共同协作运行，实 1．4应用安全 现整个系统的整体功能…。从安全角度看，组成网络信息系统的 应用安全应具备应用软件的安全检测分析、安全审计、抵赖 各类硬件和软件都应具备相应的安全能力，本文首先分析了一个 性、服务安全等能力。其中，安全检测分析主要指支持对各类应 安全的网络信息系统应具备的安全能力构成，然后对实现这些安 用服务的帐号设置、鉴权、访问控制、程序真实性进行扫描、检 全能力的关键技术进行初步研究。 测和分析；安全审计主要指对应用使用者实施的操作、审计功能 1 阿络信息系镌安全麓力构成 的开启和关闭、应用数据进行完全审计；抵赖性主要指按主体请 根据安全防护对象不同，安全能力可划分为保障硬件系统安 求对传输的数据生成原发证据以及接收证据，实现抗接收抵赖和 全的物理安全，保障数据网络传输、交换安全的网络安全，保障 抗原发抵赖；服务安全主要指确保正在进行传输的服务控制信息 操作系统和数据库管理系统等的系统安全，保障应用软件安全运 只在源端与目的端之间流动，不被转向或拦截。 行的应用系统安全以及为保障安全能力达到应用安全性而采取 I．5安全管理 的管理措施。 安全管理应具备数据管理、安全机制管理、应急处理、备份 1．1物理安全 与故障恢复等能力。其中，数据管理主要指有限制的提供授权用 物理安全应具备环境安全、设备安全和记录介质安全等能 户对数据进行创建、清除、查询等操作；安全机制管理主要指对 力。其中，环境安全主要指中心机房防火、防潮、防强电场、防 分布于系统各个层面、各个安全域、各个环节的安全机制和产品， 高温、防静电等防护和通信线缆防护；设备安全主要指设备的防 按照确定的安全策略和操作要求，实施统一的配置和管理；应急 盗、防毁和设备的安全可用；记录介质安全主要指重要数据介质 处理主要指明确系统的要求、计划、制度，并能制定具体的应急 保护、关键数据介质保护以及核心数据介质保护。 处理措施；备份与故障恢复主要指建立数据、网络等备份系统， 1．2网络安全 在限定的时间内，利用备份数据正确恢复系统、应用软件及各类 网络安全应具备安全性检测分析、安全审计、恶意代码防护、 数据，并可正确恢复各项关键业务功能。 网络安全监控、边界防护、数据流控制以及身份鉴别等能力。其 2网络信息系统安全关■技术 中，安全性检测分析主要指路由器、交换机安全检测、扫描，能 网络信息系统5个层面的安全能力中，很多安全能力的技术 抵抗对路由协议的已知攻击；安全审计主要指对网络管理人员实 实现机制是相同的，本节从安全技术的角度分析安全能力的形 施的操作、审计功能的开启和关闭，路由器、网络数据包进行安 成。网络信息系统安全关键技术主要包括身份鉴别技术、PKl技 全审计，并对审计数据进行分析；恶意代码防护主要指对路由器、 术”1、标记与访问控制技术、密码技术、可信计算技术9I、