信息安全保障体系分析与分析.docxVIP

PAGE 1 PAGE 1 信息安全保障体系分析与分析  本文对信息安全保障体系的构成进行了阐述，提出了信息安全保障体系应当由用户身份认证体系、信息安全保密体系、信息安全管理体系和网络边界防护体系构成。本文在对信息安全保障体系的各个组成部分进行功能需求的定义和描述的同时，结合技术对市场现有产品的优缺点进行了分析，指出了目前建立信息安全保障体系存在的技术问题，探讨了信息安全保障体系相关产品的发展方向。  一、引言  随着信息化程度的提高，信息安全问题日益突出，备受人们关注。信息安全需求已从原来的系统安全和网络边界安全深入到系统内部体系安全和数据本身的安全上，并已开始对管理制度造成影响和转变。各个单位和企业都在购买和使用众多的安全设备，但是如何协调使用这些安全产品和设备，如何进行信息网络的长期安全规划以避免重复或者不必要的安全投资，成为一个不可忽视的问题。  二、信息安全保障体系框架  对一个信息网络，必需从总体上规划，建立一个科学全面的信息安全保障体系，从而实现信息系统的整体安全。一个全面的信息安全保障体系，其包含的内容是多方面的，应当能够解决信息系统存在的大部分安全威逼。目前的信息安全威逼主要有：  系统稳定性和牢靠性破坏行为，包括从外部网络针对内部网络的攻击入侵行为和病毒破坏等；  大量信息设备的使用、维护和管理问题，包括违反规定的计算机、打印机和其它信息基础设施滥用，以及信息系统违规使用软件和硬件的行为；  学问产权和内部机密材料等有价值信息存储、使用和传输的保密性、完整性和牢靠性存在可能的威逼，其中尤其以信息的保密性存在威逼的可能性最大。  针对这些复杂和技术手段各异的信息安全威逼，要建立一个完整的信息安全保障体系，包含以下几个方面：  1.建立统一的身份认证体系  身份认证是信息交换最基础的要素，假如不能确认交换双方的实体身份，那么信息的安全就根本无从得到保证。身份认证的含义是广泛的，其泛指一切实体的身份，包括人、计算机、设备和应用程序等等，只有确认了全部这些信息在存储、使用和传输中可能涉及的实体，信息的安全性才有可能得到基本保证。  2.建立统一的信息安全管理体系  建立对全部信息实体有效的信息管理体系，能够对信息网络系统中的全部计算机、输出端口、存储设备、网络、应用程序和其它设备进行有效集中的管理，从而有效管理和掌握信息网络中存在的安全风险。信息安全管理体系的建立主要集中在技术性系统的建立上，同时，也应当建立相应的管理制度，才能使信息安全管理系统得到有效实施。  3.建立规范的信息安全保密体系  信息的保密性将是一个大型信息应用网络不可缺少的需求，所以，必需建立符合规范的信息安全保密体系，这个体系不仅仅应当供应完善的技术解决方案，也应当建立相应的信息保密管理制度。  4.建立完善的网络边界防护体系  重要的信息网络一般会跟公共的互联网进行一定程度的分别，在内部信息网络和互联网之间存在一个网络边界。必需建立完善的网络边界防护体系，使得内部网络既能够与外部网络进行信息交流，同时也能防止从外网发起的对内部网络的攻击等安全威逼。  在上述信息安全保障体系四个子体系中，网络边界防护体系最早得到重视，也是技术上解决最为完善的一个体系。本文所指的网络边界，是指内网和外网的边界，不仅仅是指物理上的网络边界，而是指规律上的网络边界，如图1所示，内网A、内网B和内网间通道组成一个完整的内网。  信息系统和网络系统应用初期，信息系统运行的稳定性和牢靠性是首先面临的问题，除了系统本身的因素外，其最大的一类威逼就是来自外部公共网络的入侵威逼，主要包括黑客攻击、病毒传播和木马攻击等。针对这类从外部网络发起的攻击，科研单位和信息安全厂商开发出防火墙、入侵检测和防病毒产品，并取得了明显的效果。另外一种来自网络边界的威逼是网络窃听和哄骗等技术，如在公共网络上针对网络协议的内容窃听以及数据包内容篡改等。针对这类威逼，基于密码技术的安全协议系统得到了发展，如VPN技术和SSL技术等，都是为了解决这类问题。网络边界防护体系技术上和应用上都已经相对成熟，并已经开始进行了建立统一的边界防护系统的趋势，如防火墙和IDS的联动等。  相对于网络边界防护体系相对成熟，其它三个体系的建设却显得相对滞后，本文将重点对其它三个体系进行技术方面的分析和研究。  三、用户身份认证体系  与现实社会生活中一样，用户身份的认证在信息系统中也是最基础和最重要的因素之一。这里所指的用户身份认证，不仅仅指使用者本身，在某些特别的系统中可能泛指参与信息系统活动的任何实体，如计算机、使用者、存储设备或