信息安全及其体系建设概述

信息安全及其体系建设概述

目录

1 信息安全的相关概念 (4)

1.1 计算机网络安全 (4)

1.2 信息安全 (4)

2 信息安全技术 (5)

2.1物理安全技术 (5)

2.2系统安全技术 (6)

2.3防火墙技术 (6)

2.3.1 防火墙的作用 (7)

2.3.2 防火墙一般采取的技术措施 (7)

2.4认证技术 (8)

2.4.1 口令认证 (8)

2.4.2 智能卡令牌卡认证 (10)

2.4.3 生物特征认证 (10)

2.4.4数字证书 (10)

2.4.5单点登录（SSO） (12)

2.5 访问控制技术 (12)

2.6数据加密技术 (15)

2.7扫描评估技术 (17)

2.8入侵检测技术 (17)

2.9审计跟踪技术 (19)

2.10病毒防护技术 (20)

1.11备份恢复技术 (22)

1.12 安全管理技术 (23)

3 信息安全体系的建设 (23)

3.1基本概念 (23)

3.2静态防护体系 (24)

3.3 P2DR、PDRR动态安全模型 (26)

3.4信息保障技术框架（IATF） (28)

3.5 信息安全管理体系（ISMS） (30)

4 信息安全的发展趋势 (32)

4.1动态、立体的安全体系框架 (32)

4.2信息安全统一管理平台 (34)

4.3全生命管理的安全系统工程 (35)

4.4无线网络安全与云计算安全 (35)

4 信息安全的相关军用产品 (35)

5 关于“xx网”信息安全保障的思考 (35)

1 信息安全的相关概念

1.1 计算机网络安全

国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于动态意义描述。

1.2 信息安全

信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义与计算机网络安全基本一致。

信息安全通常强调所谓CIA 三

元组的目标，即保密性、完整性和可

用性，如图1-1所示。CIA 概念的阐

述源自信息技术安全评估标准

（Information Technology Security

Evaluation Criteria，ITSEC），它也是

信息安全的基本要素和安全建设所

图1-1 信息安全基本原则

应遵循的基本原则。

●保密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏

给非授权用户或实体。

●完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权

用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保

持信息内、外部表示的一致性。

●可用性（Availability）：确保授权用户或实体对信息及资源的正常使用

不会被异常拒绝，允许其可靠而及时地访问信息及资源。

除了CIA，信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对CIA原则的细化、补充或加强。

与CIA三元组相反的有一个DAD三元组的概念，即泄漏（Disclosure）、篡改（Alteration）和破坏（Destruction），实际上DAD就是信息安全面临的最普遍的三类风险，是信息安全实践活动最终应该解决的问题。

2 信息安全技术

与信息安全的发展历程一样，信息安全技术在不同的阶段也表现出不同的特点。在通信安全阶段，针对数据通信的保密性需求，人们对密码学理论和技术的研究及应用逐渐成熟了起来。随着计算机和网络技术的急遽发展，信息安全阶段的技术要求集中表现为ISO 7498-2标准中陈述的各种安全机制上面，这些安全机制的共同特点就是对信息系统的保密性、完整性和可用性进行静态的防护。到了互联网遍布全球的时期，以IATF（信息保障技术框架）为代表的标准规范为我们勾画出了更全面更广泛的信息安全技术框架，这时的信息安全技术，已经不再是以单一的防护为主了，而是结合了防护、检测、响应和恢复这几个关键环节在一起的动态发展的完整体系。

目前，信息安全的相关技术主要包括以下几个方面：物理安全技术、系统安全技术、网络安全技术、应用安全技术、数据加密技术、认证授权技术、访问控制技术、扫描评估技术、审计跟踪技术、病毒防护技术、备份恢复技术、安全管理技术等等。

2.1物理安全技术

物理安全（Physical Security），是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致破坏的过程。

物理安全主要包括三个方面：环境安全、设备安全、媒体安全。

保证物理安全可用的技术手段很多，也有许多可以依据的标准，例如，国标GB 50173－93《电子计算机机房设计规范》、GB 2887－89《计算站场地技术条

件》、GB 9361－88《计算站场地安全要求》，以及其他诸如防辐射防电磁干扰的众多标准。

2.2系统安全技术

包括操作系统安全与数据库系统的安全。

对于操作系统安全来说，通过提供对计算机信息系统的硬件和软件资源的有效控制，能够为所管理的资源提供相应的安全保护。它们或是以底层操作系统所提供的安全机制为基础构作安全模块，或者完全取代底层操作系统，目的是为建立安全信息系统提供一个可信的安全平台。具体措施包括系统加固、系统访问控制等。

数据库安全，一般采用多种安全机制与操作系统相结合，实现对数据库的安全保护。

2.3防火墙技术

防火墙是一个网络安全的专用词，它是可在内部网（或局域网）和互连网之间，或者是内部网的各部分之间实施安全防护的系统。通常它是由硬件设备——路由器、网关、堡垒主机、代理服务器和防护软件等共同组成。在网络中它可对信息进行分析、隔离、限制，既可限制非授权用户访问敏感数据，又可允许合法用户自由地访问网络资源，从而保护网络的运行安全。防火墙就内部网和互连网的连接，见图2-1。