adobe
助理工程师
帖子
463
精华
1
无忧币 6655
积分 1793
阅读权限 40
|
发表于:2007-4-26 16:29
标题:IT安全系列:IT系统整体安全解决方案(三)
<上一帖 |
下一帖>
四、信息系统安全技术及规划(续)
2、信息安全技术及规划
信息安全技术主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。
(1)鉴别技术
鉴别是对网络中的主体进行验证的过程,通常有三种方式验证主体身份。一是只有该主体了解的秘密,如口令、密钥;而是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。
口令机制:口令是相互约定的代码,假设只有用户和系统知道。口令有时由用户选择,有时由系统分配。
智能卡:访问不但需要口令,也需要使用物理智能卡,在允许其进入系统之前检查是否允许其接触系统。
主体特征识别:利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括:视网膜鉴别仪、声音验证设备、手型识别器和指纹识别器等。
(2)数据信息加密技术
数据信息加密技术目的是对传输中的数据流信息加密,仪防止通信线路上的窃听、泄漏、篡改和破坏。信息加密过程是由加密算法来实现的,以很小的代价提供很牢靠的安全保护。在多数情况下,信息加密是保证信息保密性的唯一方法。
(3)数据完整性鉴别技术
对于动态传输的数据信息,许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法,但黑客的攻击可以改变信息的内容,所以应采取有效的措施来保证信息的完整性。
(4)防抵赖技术
防抵赖技术包括对源和目的地双方的证明,常用的方法是数字签名。数字签名采用一定的数据交换协议,使得通信双方能够满足两个条件:接受方能够鉴别发送方所宣称的身份,发送方以后不能否认它发送过数据这一事实。实现防抵赖技术的途径主要有:采用可信的第三方数字证书;使用时间戳;采用一个在线的第三方、数字签名与时间戳相结合等方法。
鉴于为保障数据传输的安全,需采用数据加密技术、数据完整性鉴别技术与防抵赖技术。因此为节省投资、简化系统配置、便于管理、使用方便,有必要选取集成的安全保密技术措施及设备。
(5)数据存储安全技术
在信息系统中,存储的信息主要包括纯粹的数据信息和各种功能性文件信息两大类。对于纯粹的数据信息的保护,以数据库信息的保护最为典型,而对各种功能文件的保护,终端安全很重要。
(6)数据库安全技术
对数据库系统所管理的数据和资源提供安全保护,一般包括以下几点:
物理完整性,即数据能够免于物理方面的破坏,如调电、火灾等;
逻辑完整性,能够保持数据库的结构,如对一个字段的修改不至于影响其他字段;
元素完整性,包括在每个元素中的数据是准确的;
数据的加密;
用户鉴别,确保每隔用户被正确识别,避免非法用户的入侵;
可获得性,指用户一般可访问数据库和所有授权访问的数据;
可审计性,能够追踪到谁访问过数据库。
要实现对数据库的安全保护,一种选择是安全数据库系统,即从系统的涉及、实现、使用和管理等各个阶段都要遵循一定的系统安全策略;二是以现有的数据库系统所提供的功能为基础构建安全模块,旨在加强现有数据库系统的安全性。
(7)信息内容审计技术
实时对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。
五、信息系统安全管理
面对信息化安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络和信息的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员管理等方面,而这又是计算机网络安全所必须考虑的基本问题,所以应引起个计算机网络应用部门的重视。在建立管理体系、制度的同时,建议建立反应团队、诊断团队、监察团队,并且进行经常性的学习和培训。
1、信息系统安全管理原则
对于信息系统的安全管理,需要确定其安全管理原则,一般的,信息系统的安全管理原则有以下三个:
(1)、多人负责原则
每一项与安全有关的操作和管理活动,都必须有两人或多人在场。所进行的活动应该是与安全管理相关的各项活动:
访问控制使用证件的发放与回收;
信息处理系统使用的媒介发放与回收;
处理保密信息;
硬件和软件的维护;
系统软件的设计、实现和修改;
重要程序和数据的删除和销毁等。
(2)、任期有限原则
一般的讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务使专有的或永久性的。为遵循任期有限原则,工作人员应不定期的循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
(3)、职责分离原则
在信息系统工作的人员不要打听、了解或参与职责意外的任何与安全有关的事情,出于对安全的考虑,下面每组内的两项信息处理工作建议分开:
计算机操作与计算机编程;
机密资料的接收与发送;
安全管理与系统管理;
应用程序与系统程序的编制;
访问证件的管理与其他工作;
计算机操作与信息处理系统使用媒介的保管等。
2、信息系统安全管理的工作内容
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采取相应的规范。具体工作是:
根据工作的重要程度,确定该系统的安全等级。根据确定的安全等级,确定安全管理范围;
制定相应的机房管理制度。对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与自己工作无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理;
制定严格的操作规范。操作规范要根据职责分离和多人负责的原则,各负其责,不能超越自己的管理范围;
制定完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经上级主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录;
|
论坛活动:测测你对IT技术大会的了解指数(赠微软礼品、无忧币) |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图