电子商务师考试：信息安全技术

　　一 简介

　　随着Internet及网络的迅猛发展，众多用户可以借助网络共享和交流信息，极大地提高了工作效率;但另一方面，网络(尤其是Internet)本身的开放性也必然存在着极大的安全隐患，伴随网络接踵而来的黑客大肆攻击网站事件、蠕虫病毒导致严重网络瘫痪事件，已经不断向人们敲响了网络安全的警钟。毫不夸张地说，在缺乏保护的情况下，用户在网络上存储和传输的任何信息，都存在着被泄露和篡改的可能性。因此，在网络化、信息化进程不可逆转的形势下，如何最大限度地减少或避免因信息泄漏、破坏所造成的经济损失，是摆在我们面前亟需解决的一项重大课题。

　　网络信息安全是一个涉及计算机技术、网络通信技术、密码技术、信息安全技术等多种技术的边缘性综合学科。有效的安全策略或方案的制定，是网络信息安全的首要目标。网络信息安全技术通常从防止信息窃密和防止信息破坏两个方面加以考虑。防止信息窃密的技术通常采用防火墙技术、密钥管理、通信保密、文件保密、数字签名等。防止信息破坏的技术有防止计算机病毒、入侵检测、接入控制等。

　　二 网络信息安全技术的分类

　　本文从另一个角度综述了网络信息安全技术，主要基于以下两个特性对目前使用的网络信息安全技术进行了分类：

　　(1)技术与数据的交互时间：即主动的或者被动的。

　　(2)技术是在网络层、主机层还是在应用层上实现的。

　　主动意味着：特定的信息安全技术采用主动的措施，试图在出现安全破坏之前保护数据或者资源。被动意味着：一旦检测到安全破坏，特定的信息安全技术才会采取保护措施，试图保护数据或者资源。主动和被动的信息安全技术都可以应用于应用层、主机层或者网络层。应用层上的信息安全技术试图保护“明确与主机上的单个计算机程序有关”的数据或者资源。主机层上的信息安全技术试图保护单个计算机上的数据或者资源。网络层上的信息安全技术试图保护正在计算机系统(通过电话线或者其他方式互连以共享信息)上传输的数据或者资源。

　　1 被动的信息安全技术

　　1.1 防火墙

　　防火墙是抵御入侵者的第一道防线，它的目的是阻止未授权的通信进入或者流出被保护的机构内部网络或者主机，最大限度地防止网络中的黑客更改、拷贝、毁坏敏感信息。Internet防火墙是安装在特殊配置计算机上的软件工具，作为机构内部或者信任网络和不信任网络或者Internet之间的安全屏障、过滤器或者瓶颈。

　　个人防火墙是面向个人用户的防火墙软件，可以根据用户的要求隔断或连通用户计算机与Internet之间的连接。用户可以通过设定规则来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输，哪些情况下允许两者间的数据传输。与网络防火墙不同的是个人防火墙通常直接切入用户的个人操作系统，并接管用户操作系统对网络的控制，使得运行在系统上的网络应用软件在访问网络的时候，都必须经过防火墙的确认，从而达到控制用户计算机和Internet之间连接的目的。

　　防火墙是被动的信息安全技术，因为一旦出现特定的安全事件，才会使用防火墙抵御它们。在以下各个层次上实现防火墙：

　　(l)在主机层：可以将个人防火墙安装在主机上，试图只阻止或者只允许特定数据流进入或者流出那个特定的主机。

　　(2)在网络层：可以将网络防火墙安装在充当专用网络网关的主机上。网络防火墙试图阻止或者允许特定数据流进入或者流出位于网络防火墙后面的所有主机.

　　1.2 接入控制

　　接入控制的目的是确保主体有足够的权利对系统执行特定的动作。主体可以是一个用户、一群用户、服务或者应用程序。主体对系统中的特定对象有不同的接入级别。对象可以是文件、目录、打印机或者进程.

　　一旦有接入请求，就会使用接入控制技术允许或者拒绝接入系统，所以它是被动的信息安全技术。在各个层次上实现接入控制：

　　(l)在应用层：使用应用程序中列出的接入控制，针对主体对特定对象的接入请求允许或者拒绝接入。

　　(2)在主机层：当用户试图登录到主机时，允许或者拒绝接入该主机。

　　(3)在网络层：当用户试图通过主机或者进程登录到网络时，允许或者拒绝接入该网络。

　　1.3 口令

　　口令是某个人必须输入才能获得进入或者接入信息(例如文件、应用程序或者计算机系统)的保密字、短语或者字符序列。

　　口令是被动的信息安全技术，因为一旦有人或者进程想登录到应用程序、主机或者网络，才会使用它们允许或者拒绝接入系统。在各个层次上实现口令：

　　(l)在应用层：根据一个人或者进程是否提供正确的口令，允许或者拒绝这个人或者进程接入特定的应用程序。

　　(2)在主机层：根据一个人或者进程是否提供正确的口令，允许或者拒绝这个人或者进程接入特定主机。

　　(3)在网络层：根据一个人或者进程是否提供正确的口令，允许或者拒绝这个人或者进程接入网络。

　　1.4 生物特征识别

　　生物特征识别技术是指通过计算机利用人类自身的生理或行为特征进行身份认定的一种技术，包括指纹、虹膜、掌纹、面相、声音、视网膜和DNA等人体的生理特征，以及签名的动作、行走的步态、击打键盘的力度等行为特征。生物特征的特点是人各有异、终生不变(几乎)、随身携带。

　　一旦某个人想使用他/她人体的一部分的几何结构登录到应用程序、主机或者网络，就会使用生物特征识别技术允许或者拒绝他/她接入系统，所以该技术是被动的信息安全技术，在各个层次上实现生物特征识别技术：

　　(l)在应用层：根据某个人是否提供他/她自己的生物统计特征，允许或者拒绝这个人接入特定的应用程序。

　　(2)在主机层：根据某个人是否提供他/她自己的生物统计特征，允许或者拒绝这个人接入特定的主机。

　　(3)在网络层：根据某个人是否提供他/她自己的生物统计特征，允许或者拒绝这个人接入网络。

　　1.5 入侵检测系统

　　入侵检测是监控计算机系统或者网络中发生的事件、并且分析它们的入侵迹象的进程。入侵是试图损害资源的完整性、机密性或者可用性的任何一组动作。入侵检测系统(IDS)是自动实现这个监控和分析进程的软件或者硬件技术。

　　由于IDS用于监控网络上的主机，并且一旦出现入侵，就会对入侵采取行动，所以IDS是被动的信息安全技术。在以下各层次上实现IDS：

　　(l)在主机层：IDS监控特定的主机，从而检测对那个特定主机的入侵。它运行在个人主机上，并且连续检查那个主机的检查日志，查找可能的入侵迹象。

　　(2)在网络层：可以将IDS节点放置在试图检测由多台主机引起的入侵(例如分布式拒绝服务攻击)并对其起作用的网络中。