信息安全應用精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全應用主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全應用范文
本文重點描述了根據公安部出臺的《信息安全技術信息系統安全保護定級指南》的要求,在醫院信息系統等級防護中應用堡壘機去解決與保護域內計算機系統資源實現身份鑒別認證,并提供有效可回溯的安全審計方式,讓醫院信息系統獲得最大的保障和管理應用效果。
關鍵詞:
信息系統;安全;堡壘機
1、現狀與要求
近年國家對企業的信息安全越來越重視,公安部及信息部等出臺了《信息安全技術信息系統安全保護定級指南》(以下簡稱《指南》),衛生部也出臺了《衛生行業信息安全等級保護工作的指導意見》對在建及已經運營的醫院信息系統進行檢查,要求重要信息系統其安全保護等級按照不低于三級進行建設。在《指南》中,要求信息系統必須建立及保存運維訪問的各種操作日志。《定指南》將系統劃分物理、網絡、主機、應用和數據安全及備份等幾大安全領域,其中幾大領域均涉及到了數據以及操作審計、操作人員身份鑒別等安全問題。
2、醫療信息安全領域存在的問題
醫院信息系統主要劃分為his,pacs,Lis等幾大子系統,其主要目標是支持醫院的行政與管理運作,減輕各事務處理人員勞動強度,輔助醫院高層對醫院運作進行管理決策,提高醫院工作效率,從而使醫院能夠獲得良好的社會與經濟效益。在對日常各系統的運維過程中,不同公司的維保人員有可能通過互聯網絡,在外地甚至在家對醫院的業務系統進行升級與維護,操作方式基本分散無序,普遍存在由于管理人員登陸帳號管理不規范、運維權限劃分不清晰、認證流程簡單、缺乏對運維過程的監控、無法控制運維的時間段等等問題,容易導致其運維行為可能存在誤操作、違規操作甚至惡意操作等現象,造成系統服務異常或宕機,病人數據信息被泄露或破壞。因此,進一步加強對擁有信息系統高級管理權限的運維操作人員的行為管理與監控,也是醫院信息安全發展的必然趨勢。
3、堡壘機在信息安全領域的應用
堡壘機,提供了在特定網絡環境下,為確保域內服務器、路由器等設備的安全運行,使用協議等方式,接管對終端目標設備的訪問界面,對其訪問行為進行安全審計與翻譯,集中管理、監控記錄運維過程的一種設備,確保域內網絡與數據不受破壞。堡壘機扮演了對信息系統和網絡、數據看門者的角色,所有對網絡關鍵設備、服務器以及數據庫的訪問,都要經過這個看門者的安全檢查。符合安全規定條件在命令和操作才可以從大門通過,這個看門人可以對這些命令和操作進行登記記錄,而某些非法訪問、惡意攻擊以及不合法命令則被阻隔于大門之外。因此,在提高醫院信息安全防護等級的過程中,使用堡壘機不僅可以實現用戶的身份鑒別、單點登陸、多因素安全認證,還可以將服務器、網絡路由設備、數據庫等資源的操作進行詳細的記錄并錄像,提供有效的安全審計查詢。堡壘機作為醫院信息系統等級保護安全體系中的一個環節,可以很方便地做到事中監控,事后找出問題根源。醫療單位要選擇一款好的堡壘機,要注意其生產廠家必須能在IT運維管理領域里,可以深刻感知醫療安全行業和國家的合規性規范及高安全性、高可用性和高可靠性需求,不斷創新發展,致力從事智能的自動化運維管理。醫院在選擇堡壘機廠商時要注意廠商是否具備快速響應能力及行業內口碑等,多了解其產品的行業經驗,注意了解廠商的是否有醫院信息安全領域的服務經驗及良好的服務質量,并建議選購前要做好堡壘機設備與醫院信息系統的兼容性測試,選擇良好的堡壘機廠商可以讓醫院醫療信息行業運維管理工作增值,這樣才能讓醫院醫療信息系統獲得最大的保障和應用效果。
4、堡壘機所應具備功能:
4.1單點登錄
堡壘機可通過保護域內的安全設備、數據庫、網絡設備等對堡壘機專用帳號的授權,支持針對一系列授權帳號的密碼定期變換,規范及簡化密碼管理流程。被授權的維護人員無需再記憶各種不同系統的密碼,即可通過堡壘機安全便捷地登錄被保護域內設備。
4.2帳號管理
針對保護域內的網絡設備、服務器及其他安全設備的各種帳號進行統一管理,監控授權訪問資源帳號的整個生命周期。可以根據運維人員的不同身份設計不同帳號角色,滿足審計及運維操作管理要求。
4.3身份認證
由堡壘機提供統一的認證入口,支持包括動態與靜態口令、硬件密鑰、生物指紋認證等多種認證模式對用戶認證。并要求可訂制接口,支持第三方認證服務;有效提高保護域內設備的安全型及可靠性。
4.4資源授權
針對訪問域內網絡設備、服務器、數據庫等根據ip協議類型、行為等多種要素進行授權操作
4.5訪問控制
保壘機能支持對不同用戶制定不同策略,有針對性地進行細粒度的訪問控制,有效禁止非法及越權訪問,最大限度地保護用戶資源的安全。
4.6操作審計
堡壘機能支持針對命令字符操作、圖形界面操作、文件傳輸操作等的多種行為的審計與錄像全程記錄,支持通過實時界面監控、對違規事件進行事中阻截。并能支持對指令信息的關鍵字搜索,精確定位錄像回放位置等功能。
5.堡壘機在醫院醫療信息系統安全的主要作用:
5.1從醫院來看:
通過堡壘機細粒度的安全管控策略,保證醫療信息系統的服務器、網絡設備、數據庫、安全設備等安全可靠運行,并可以在一定保障數據的隱私性與安全性,降低人為安全損失,保障醫療信息系統的運營效益。
5.2從信息系統管理員來看
可以將保護域內系統所有的運維賬號在堡壘機這個安全平臺上管理,讓管理更簡單有序,確保用戶擁有的權限是恰當的,只擁有完成任務所需的最小權限。
5.3權限控制:
通過堡壘機可以通過字符與圖形界面直觀方便的監控各種韻維訪問行為,及時發現與阻隔違規操作、權限濫用等。
5.4以普通用戶來看:
系統運維只需要記住一個自己的運維賬號和口令,登錄一次,就可以訪問個資源,大大降低工作復雜性,提高了效率。
作者:胡名堅 周春華 黃慧勇 單位:佛山市第一人民醫院計算機中心
參考文獻:
第2篇:信息安全應用范文
【關鍵詞】信息安全;應用驅動;實驗教學
一、信息安全實驗教學現狀
1.缺乏合適的實驗類教材。國內信息安全實驗類教材種類繁多,但大多數教材認為實驗的目的是為了更好地理解理論概念,因而只強調了理論概念本身。例如,為了讓學生理解RSA算法中的大數N,很多教材只講了N是兩個素數的乘積,一些實驗教材也允許學生任意產生兩個素數,將其乘積作為N(正確的方式應當是,產生兩個超過1024比特位的大素數)。這種教材誤導學生認為“使用一般的素數也可以實現RSA算法”,讓學生在真正面臨生產實踐時,無法正確產生安全的大數。使用這類教材的最明顯后果就是,導致學生對實踐需求了解不夠,實驗課程對學生實踐能力培養不夠。2.實驗環境落后,實驗內容缺乏實用性。目前,大多數信息安全實驗教學仍然采用WindowsXP平臺下的VisualC++6.0集成編譯環境。該編譯環境早在1998年便投入使用,已經無法支持當前一些重要編程語言的最新標準(如C99標準),不再適合編程學習和應用程序開發。并且,大多數信息安全實驗內容通常為教材中某些知識、定理、算法的實驗性驗證,尚沒有從生產實踐中抽象出來,具有明確針對性,并與應用問題相關的實驗訓練內容,因而難以適應就業市場對學生實際技能的要求,也難以激發學生探索新知識的興趣。還有部分信息安全實驗課程仍將一些已被遺棄的加密標準(如DES算法)列入教學計劃。3.對學生學習動力的刺激不夠。由于實驗教材和實驗內容與實踐脫軌而缺乏趣味性,加劇了學生對實驗類課程的忽視。導致的結果就是學生將信息安全實驗課的學習視為“走過場”,很難達到課程預期的“提高學生程序設計能力,培養學生信息安全實踐能力”的目的。4.考核手段片面。目前,大部分信息安全實驗課程仍以筆試來考核學生對知識的掌握能力,無法脫離具有理論課程特色的選擇、判斷、填空、問答等題型;還有部分信息安全課程雖然考察學生編程能力,但要求學生在試卷上編寫程序,這種考核方式單調、枯燥,無法合理反映學生的實際操作能力,也容易誤導學生埋頭于書本知識,忽視實際操作與應用能力的培養。
二、應用驅動式信息安全實驗教學
本文提出以實際應用為驅動的信息安全實驗的教學模式。在目前基本驗證型實驗的基礎上,改進現有實驗內容和實驗環境,形成現代化信息安全實驗教學平臺;根據基礎實驗內容,增加應用前景廣闊、創新空間較大的綜合性實驗設計,提高學生應用所學信息安全知識解決生產實踐中的信息安全問題的能力;制定以問題為驅動的教學方式,鼓勵學生發揮主觀能動性,開發自身創新潛能;設計靈活科學的考核方式,綜合考慮學生的應用實踐能力以及相關實驗的理論基礎知識。1.實驗環境升級。采用Linux平臺下基于gcc或g++的編譯環境來替代過時的VisualC++6.0。這種實驗方式的優勢包括:首先,gcc或g++支持最新的C/C++語言標準,利于學生接觸最前沿的編程規范;其次,學生在程序設計語言課程之后,可以通過使用gcc和g++來了解程序編譯的基本規則(之前程序設計語言課程采用集成開發環境隱藏了該規則),可以通過使用Linux來熟悉這種操作系統下的基本操作,為“編譯原理”和“Unix操作系統”等課程打下基礎。2.實驗內容重設計。為了解決過去信息安全實驗與生產實踐脫節的缺陷,通過重設計實驗內容來注重對學生應用能力的培養,包括:弱化過時信息安全算法在實驗課程中的分量,并引入一些前沿新型信息安全算法(例如基于橢圓曲線的密碼算法)作為選學內容(但仍講授實踐),以吸引學生興趣;在學生理解掌握信息安全理論算法的基礎上,強調靈活調用密碼學庫中應用程序接口的能力以適應實踐生產需求;加強與企業單位和兄弟院校的合作,從科研或產業前沿獲取最新的實驗素材,設計解決實踐中真實信息安全問題的綜合性實驗內容。2.優化教學方式。在實驗過程中,教師只起到指導和協助作用,充分激發和調動學生自主學習精神,即學生不僅僅需要考慮當前所學的知識點,更需要面向問題自適應地學習新內容新方法,并與其他學生分工合作,共同解決問題。最終,提高學生解決問題的綜合能力。4.多元化考核方式。實驗課程也將采用綜合的考核方式,不再由一張試卷或一次實驗來確定學生的最終成績。每個學生在實驗課程的最終成績將由教師根據其在每一次實驗任務的完成情況所形成的綜合評估決定。
第3篇:信息安全應用范文
關鍵詞:計算機系統安全保護技術
Abstract: The following author described this stage the security of computer information technology and the safe handling and application.
Keywords: computer, system security and protection technology.
中圖分類號:G623.58文獻標識碼:A 文章編號:
一、計算機信息系統安全技術
1.1數據加密技術EFS加密的定義
①EFS為NTFS文件系統卷上創建的文件提供文件級別的加密;②EFS的默認配置無需管理工作———用戶可以立即開始加密文件;③EFS使用公/私鑰對系統來加密文件,該系統針對特定的安全主體是全球惟一的。
1.2防火墻技術防火墻的定義
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,實現網絡的安全保護,以防止發生不可預測的、潛在破壞性的侵入。它是不同網絡或網絡安全域之間信息的唯一出入口。
1.3 VPN技術
VPN(Virtual Private Network,虛擬專用網絡)虛擬專用網絡可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。
二、計算機信息系統安全技術研究的必要性
2.1信息系統面臨的安全威脅
計算機信息系統面臨的威脅主要有:信息被截獲、竊取、篡改、假冒、刪除以及插入;黑客的入侵;病毒的侵入;內部人員的破壞等3.2計算機信息系統的安全需求計算機信息必須滿足的安全需求有:確保信息的完整性、認證性、機密性、不可抵賴性、不可拒絕性等。
2.2計算機信息系統面臨攻擊
計算機信息系統會遭受到各個方面的攻擊,總結如下:
(1)對計算機信息系統中信息的篡改,并且進行攻擊導致系統信息的不完整,包括篡改計算機信息系統中有關的數據內容,更改消息的時間、次序等,從而讓信息失真。
(2)偽造系統中的信息,對系統的認證進行攻擊,偽造份子首先將偽造的假信息注入到系統、然后以合法人的名義進入系統、對信息進行非法操作,阻礙信息完整有效的傳遞。
(3)為了攻擊系統信息中的機密性文件,對系統中重要信息進行竊取,通過各種手段來泄露信息包括搭線法等,又或者為了獲得有的情報采用業務流量法進行分析。
(4)通過攻擊硬件系統來達到攻擊系統的目的,導致系統癱瘓、中斷,從而不能正常運作。
三、計算機信息系統安全技術能解決的實際問題
EFS加密系統對用戶是透明的。這也就是說,如果你加密了一些數據,那么你對這些數據的訪問將是完全允許的,并不會受到任何限制。而其他非授權用戶試圖訪問加密過的數據時,就會收到“訪問拒絕”的錯誤提示。EFS加密的用戶驗證過程是在登錄Windows時進行的,只要登錄到Windows,就可以打開任何一個被授權的加密文件。能夠意識到是否被ARP攻擊,能夠很好的防范它的攻擊,并能解決關于此的問題及攻擊。
欺騙數據包是探測、攻擊和有經驗攻擊者的標志。帶有內部地址的傳入數據包可能表示有人企圖入侵或者探測,應該拒絕它進入網絡。同樣,應該設置路由器只路由帶有有效內部IP地址的傳出數據包。驗證傳出數據包并不能保護您遭受拒絕服務攻擊,但是它卻能夠防止這種攻擊從您的網絡發起。
VPN部署在企業接入因特網的路由器之后,或者它本身就具有路由器的功能,因此,它己經成為保護企業內部資產安全最重要的門戶。阻止黑客入侵、檢查病毒、身份認證與權限檢查等很多安全功能需要VPN完成或在同VPN與相關產品協同完成。因此,VPN必須按照一個開放的標準,提供與第三方安全產品協同工作的能力。
在Internet傳輸的所有數據都暴露于任何網絡客戶面前,任何對通信進行監測的人都可以對通信的數據進行截取和修改。保證數據傳輸的保密性、完整性和安全性的關鍵在于防止網絡的監聽和篡改。SSL技術為應用層間數據通信提供安全的途徑,它位于可靠的傳輸層之上,為高層的應用提供透明的服務,保證傳輸信息的隱私性、可靠性和用戶的非否認性。
防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
四、計算機信息系統安全保護技術
從上述的分析中可以了解到計算機信息系統面臨著各種威脅,為了防患于未然,使系統免受攻擊,采取必要的計算機信息系統安全保護技術就具有重大的意義。系統安全保護技術的目標和任務是為了防止計算機內部信息遭到非法的獲取、破壞和更改。
(1)對計算機信息系統存在的風險進行評估
進行風險評估是估計計算機中系統資源在遭受威脅或者攻擊導致損失的大小。然后把為用于消除這種威脅所需要付出的資金多少與損失進行比較,最后做出相應的對策。評估的重點就是進行效益風險對比。
(2)對計算機信息系統進行監控
對計算機信息系統進行監控就必須采取監控技術,監控技術主要任務是對網絡中的信息進行收取、分析、處理,然后提取識別出計算機信息系統中信息的隱含特征。
(3)進行安全評測
為了保護計算機的信息安全就要對攻擊對象進行分析研究。安全評測就是建立在此基礎上的,通過分析然后提出相應對策。主要作用就是為了減少損失。
(4)采用安全審計技術
安全審計技術的應用過程就是首先當用戶在計算機系統上進行操作時,對其動作進行記錄,如果出現違反計算機安全操作規則后,就可以對相應用戶進行追查,追究其責任,防止用戶抵賴。
五、信息系統安全技術的應用策略
(1)制定信息系統安全技術的戰略計劃,制定信息系統安全戰略計劃主要是將信息系統建設與國家信息資源開發利用的整體目標有機聯接起來,與社會科技發展戰略目標接軌,不斷以戰略計劃為指導,將信息系統安全技術用到實處。
(2)運用集成的視覺,將信息實體安全技術的應用引導信息安全技術研究步入正軌。
(3)信息系統安全技術存在多功能相似的信息系統和共同的基礎性的技術問題,必須不斷創新,開發出可利用的高質量的程序和安全系統,通過共享信息資源不斷提高信息系統質量,加快信息系統現代化建設速度、減少開支。
(4)以信息為中心的設計,以信息資源開發利用為出發點,不斷從具體作業的數據模型到構造完整的形式化的信息模型中總結經驗,啟發研發靈感,構造完整的關于信息系統安全管理的指導條例。
(5)信息系統安全技術要特別強調預測及追蹤能力,在不斷更新的計算機信息中提高計算機信息系統安全技術與社會動態發展的銜接性。
(6)統一標準化、數據通信網的宏觀管理標準,完善信息系統的建設和發展。
六、構建完善的計算機信息系統安全技術體系結構
(1)建立智能化的信息安全系統。信息系統將成為未來管理決策的參考導向,采用人工智能、專家系統技術、知識庫系統的技術、模式識別以及語言理解技術綜合建立智能化信息系統,以確保滿足日益發展的計算機管理的需要。
(2)開放式的信息系統。宏觀上管理信息資源共享,不斷優化網絡化的環境、應用開放式的系統來控制的信息,充分發揮信息資源的共享效用,以信息交流為導向,不斷揚長避短,最終實現開放式的信息系統安全技術模式的轉變。
(3)運用工程的設計知道研發新的安全技術,成立新的安全技術體系,并將新的技術寫入程序,及時做到安全技術體系的檢測及升級。不斷促進信息系統安全技術的開發。
七、結束語
綜上所述,加強對計算機信息系統安全技術的研究與應用探討,將對計算機信息保護工作以及信息監督管理提供更多可參考的依據,完善具體的、系統全面的計算機信息系統安全管理制度,不斷規范化監督、指導準則,確保計算機信息安全技術應用,以達到計算機信息技術的可持續發展。
參考文獻:
第4篇:信息安全應用范文
【關鍵詞】虛擬化技術 信息安全領域 應用
虛擬化技術自1959年被首次提出后,逐漸引起了人們的廣泛關注和研究,虛擬化技術的特點使其應用能夠有效降低計算機軟硬件的購買成本、降低電力消耗、節省設備放置空間。近年來,計算機虛擬化、存儲虛擬化以及網絡虛擬化的應用在處理信息安全問題方面也發揮出重要作用。
1 常見的信息安全問題
1.1 網絡環境下的信息安全問題
計算機網絡具有高度開放性,有利于信息的快速傳播,但同時也具有明顯的安全隱患。計算機在網絡環境下面臨著多種信息安全問題,比如黑客攻擊、計算機病毒以及隱藏在應用程序中的間諜軟件。黑客攻擊分為破壞性攻擊和盜竊性攻擊,前者是直接干擾系統的正常運行,使目標系統癱瘓,后者則是入侵電腦系統,盜取系統保密信息,造成信息泄露問題。計算機病毒種類繁多,常見的有木馬病毒、腳本病毒、后門病毒等,向目標計算機植入病毒也是黑客攻擊的主要手段。一般民用電腦主要面臨的信息安全問題是隱藏在應用程序中的間諜軟件,這種軟件通常寄生于應用程序的安裝包和升級補丁中,普遍攻擊性不強,但是會給用戶帶來信息泄露風險,還會占用較多的系統資源,造成系統性能下降。
1.2 存儲過程中的信息安全問題
利用計算機存儲信息具有存儲量大、方便整理和調用等優點,但是一旦計算機系統或硬件出現問題,也將造成大量的有用信息丟失或泄露。傳統的信息備份系統對軟硬件環境有較高要求,而且數據恢復周期長。常見的信息備份方式有拷貝、壓縮文件和日志文件等。在開放的網絡環境下,計算機的內部存儲系統也面臨著暴露的風險,或受計算機系統影響,一旦系統被病毒入侵,可能會永久遺失或被盜取。
2 虛擬化技術在信息安全領域的應用
2.1 虛擬化技術的隔離效果
在一臺物理設備上運行多個虛擬操作系統是虛擬化技術的主要應用之一,這些虛擬的操作系統之間、與主機操作系統之間相互隔離,盡管在同一臺物理設備上運行、共享外設和網絡,但是它們之間不能直接通信。虛擬技術的隔離效果如圖1所示。
虛擬化技術的隔離效果可以有效應對黑客攻擊和應用程序的不穩定性,降低主機系統崩潰以及重要信息泄露的風險。利用虛擬系統掩護主機操作系統,為主機資源提供保護。用戶在應用虛擬技術的主機上,可以把重要數據和網絡口令存儲在主機操作系統中,利用虛擬系統進行網絡連接和應用程序下載安裝,將重要數據與存在安全風險的新安裝應用程序相隔離,提高用戶數據的安全性。而且虛擬系統及時遭到破壞,也可通過簡單的一鍵操作進行恢復,使用起來沒有技術難度。
利用虛擬技術的隔離特性進行病毒查殺也是非常有效的手段,傳統的病毒查殺方式普遍是從代碼分析,比較被動,無法有效發現、阻攔新型病毒入侵。在虛擬系統中進行病毒查殺,可以從病毒的行為進行分析,將病毒控制在虛擬環境下,對新型病毒也能實現及時發現和有效控制,是病毒查殺領域的前沿課題。
2.2 虛擬化技術幫助數據備份和恢復
利用虛擬化技術進行數據備份和數據恢復可以有效降低恢復代價,減短恢復周期。可以建立虛擬機映像文件對整個虛擬環境進行備份,其實質只是備份幾個映像文件,操作固定性強,需要恢復文件時通過加載映像文件,在幾分鐘之內即可完成。而且可以實現在不同物理設備和操作系統下進行數據恢復,大大降低魍潮阜莘絞蕉勻磧布的要求和恢復周期。
傳統的宕機和人備份技術需要兩個以上的物理設備同時運行才能保障業務的連續性,虛擬化技術的應用只需在同一臺物理設備上建立虛擬節點,即可提供熱備份服務,在主節點沒有業務需要處理時可以建立多個虛擬備份節點,動態地提供人備份服務。
2.3 虛擬化技術中的蜜罐技術
蜜罐技術是一種誘惑攻擊的技術手段,蜜罐用來被探測、被攻擊甚至被攻陷,不修補任何東西,為使用者提供有價值的額外信息,是信息安全中的重要防御手段。可以利用蜜罐進行惡意代碼的收集、分析,通過建立蜜罐網絡可以實現大范圍的攻擊監測。利用虛擬化技術部署蜜罐可以在一臺物理設備商建立多個虛擬蜜罐,模仿不同的配置和系統環境,而且虛擬蜜罐被破壞之后易于重建,可以有效降低經濟成本。
3 結束語
隨著虛擬技術相關研究的不斷深入,虛擬技術在信息安全領域已經有了較為廣泛的應用。利用虛擬技術維護信息安全可以有效降低安全維護的成本、提高安全維護效率,是未來信息安全的主要研究方向之一。本文只是對目前虛擬技術在信息安全領域應用的粗淺分析,其應用還有很大研究空間。
參考文獻
[1]沈敏虎,查德平,劉百祥,趙澤宇.虛擬機網絡部署與管理研究[J].實驗技術與管理,2011,28(14):311-313.
[2]盧凱,遲萬慶,劉勇鵬,唐宏偉.高效能計算機系統虛擬化技術研究[J].計算機工程與科學,2014,22(17):153-157.
[3]錢磊,李宏亮,謝向輝,陳左寧.虛擬化技術在高性能計算機系統中的應用研究[J].計算機工程與科學,2014,29(11):307-311.
[4]張巖峰,張熒允,王翠榮,王和興,高遠.一種基于虛擬化技術的面向服務網絡[J].東南大學學報,2014,45(21):217-220.
第5篇:信息安全應用范文
一、銀行業金融機構信息系統等級保護現狀
人民銀行作為我國中央銀行,承擔著指導協調我國金融業信息安全工作的職責。2010年以來,人民銀行為全面落實國家信息安全等級保護制度,制定了《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息系統信息安全等級保護測評指南》、《金融行業信息安全等級保護測評服務安全指引》三項行業標準,建立了金融業等級保護標準規范體系。在此基礎上,人民銀行圍繞定級、備案、安全建設整改、等級測評和監督檢查等五個規定動作,在人民銀行及銀行業全面部署實施信息安全等級保護工作,截至目前,全國銀行業金融機構已基本完成重要信息系統的定級、備案和測評整改工作,等級保護工作取得了長足進步,信息系統的安全防護水平得到了全面提升,推動了金融業信息化建設和業務發展,但在等級保護執行過程中也面臨以下一些困難:一是金融機構分支機構多、分布廣,總部對分支機構等級保護工作的可控管理水平有限。二是金融機構信息系統數量多、運行環境復雜,定級范圍廣且標準不統一,加大了等級保護的運維難度。三是部分銀行分支機構沒有認識到信息系統等級保護工作的重要性,等級保護工作流于形式,使等級保護工作未能真正落到實處。四是缺少如何將信息安全等級保護工作與信息安全日常保障工作、風險測評等安全管理工作相結合的有效技術手段。引入安全基線管理機制,充分利用基線技術的特點和優勢,去化解當前金融機構等級保護所面臨的問題,不失為一種有效的解決辦法。現就安全基線在基層人民銀行等級保護中的應用實踐為例,談談安全基線技術在加強等級保護管理,促進長效管理機制形成中所發揮的作用。
二、安全基線在基層人民銀行等級保護管理中的應用
1.人民銀行信息安全基線概述
人民銀行安全基線建立在《人民銀行信息安全綜合規范》基礎之上,《人民銀行信息安全綜合規范》主要吸收了金融行業信息系統信息安全等級保護及人民銀行內部多類制度安全管理要求項,涉及總行、省級行、地市中支、縣支行4級機構,包含機房環境、網絡安全、應用安全、保密技術管理、信息安全管理、安全運維等10個方面的內容,涵蓋了人民銀行所有信息系統等級保護定級管理要求,是人民銀行信息系統需要滿足的安全管理要求。它是由一組安全配置項組成,形成了針對不同信息系統的詳細CheckList及操作指南,為人民銀行分支行建立本單位的安全基線提供了統一規范。人民銀行分支行結合本單位最佳安全實踐,通過對《人民銀行信息安全綜合規范》進行篩選、檢測、配平等操作,最終形成符合各單位實際情況、本地化的安全基線。
2.安全基線在基層人民銀行等級保護管理中的應用過程
人民銀行分支行的安全基線包含了本單位已定級信息系統安全管理的各項要求,通過對安全基線進行管理,能夠促進等級保護各項措施的落實。安全基線在基層人民銀行等級保護中的應用過程可分為三部分:建立安全基線、安全基線的檢測與控制、基線度量與報告。
(1)建立安全基線。人民銀行分支機構在綜合考慮本單位等級保護定級管理要求及企業自身安全建設發展需求基礎之上,對IT設備及業務系統的安全目標進行識別和梳理,并對照《人民銀行信息安全綜合規范》進行篩選,分離出不適用項,并對剩余適用本單位的配置項進行安全檢測、配合平等操作,形成了符合本單位實際情況的一組安全配置項,即本單位的初始安全基線。初始安全基線被上級管理部門批準確認后,形成本單位的安全基線,變為受控狀態,作為當前時期的安全基準點,不允許隨便更改。
(2)安全基線的檢測與控制。安全基線建立后,將定期對目標業務開展合規性檢測,找出不符合項,并通過整改、加固等措施,消除安全風險,逐步達到安全基線標準要求。隨著業務的不斷調整變化,對已建立的安全基線進行評估,整理出需要補充、維護和完善配置項后,提出“變更請求”(checkrequest),在變更請求得到批準的情況下,允許配置項從安全基線中檢出(實施check-out),待變更完成,并經評審后,確認無誤,方可重新進入安全基線,使其恢復到受控狀態,從而實現安全基線動態更新。對安全基線的檢測與控制,可以有效監控各單位等級保護管理整體安全狀態,跟蹤信息系統等級保護工作中的未達標項,把未達標項納入信息安全基線控制范圍,通過對本單位信息安全基線的定期檢測和整改,可以逐步提升信息系統等級保護的安全保障能力。
(3)基線度量與報告。對本單位安全基線檢測后得到的數據是安全基線配置項的狀態表,它反映了本單位在某一時點上的整體信息安全狀態,是信息安全總體水平的量化表述,可以度量企業安全現狀與安全基線之間的差距,為后續的整改提供依據。人民銀行分支機構的安全基線是上級單位管理決策的重要依據之一,安全基線建立后,實行季報制度,每個季度向上級行上報本轄區的安全基線報告,人民銀行總行安全管理部門則可以不定期查看分支機構的安全基線報告,方便了解分支機構的整體安全狀況及安全變動趨勢。
3.安全基線在基層人民銀行等級保護管理中的應用效果
(1)實現了信息安全工作可控、可管、可操作。通過安全基線技術,將本單位信息安全管理工作統一轉化為一組可操作的配置項,便于數據匯總和分析安全變動趨勢,可以有效監控本單位的整體信息安全狀態,跟蹤整改未達標的信息安全要求、消除存在的信息安全隱患。
(2)綜合了多方運維管理內容。安全基線實際上已經綜合了等級保護、風險評估、內部管理制度等多方面的管理要求,與人民銀行信息安全保障工作有機結合,建立了集中統一的安全運維管理體系。
(3)提升等級保護測評符合率。安全基線管理,通過采用“填平補齊”的方式,逐步完善各單位安全狀況,較全面地解決各單位(特別是技術力量比較薄弱的分支機構)中存在的信息安全管理問題,能有效提升各單位等級保護測評符合率。
(4)促進了安全長效機制形成。安全基線管理過程遵循“生命環”管理體系,通過對安全基線的定期檢查、更新、報告及風險跟蹤,周而復始,持續改進,形成螺旋上升的良性循環態勢,促進了安全長效機制形成。
第6篇:信息安全應用范文
關鍵詞:網絡信息;安全管理;PGP
中圖分類號:TN918
PGP,一種以RSA公鑰加密體系為基礎的加密軟件,該軟件能夠對數據信息進行保密,防止他人侵入閱讀。該技術還能夠對數據信息設置數字簽名,使收信人能夠確認郵件的發送者,避免出現文件誤傳導致信息泄漏的問題,并且經過數字簽名設置的信息能夠在收到的同時確認信息是否被篡改,以便在信息被篡改后明確雙方責任。PGP技術具備強大的功能,并且擁有較好的人機工程設計,能夠讓信息在高速的狀態下傳播,提高了信息傳播的速度。其使用源代碼也免費,從而降低了信息加密的成本。總體來說,該技術為網絡信息安全管理做出了很大的貢獻。
1 PGP網絡信息安全技術介紹
1.1 不對稱加密
不對稱加密即通過公鑰和私鑰這兩種完全不同的鑰匙來對信息進行加密,此兩種鑰匙能夠完全匹配,其中用公鑰加密過的數據信息必須要私鑰才能完全解密,用私鑰簽名的數據信息也只能用公鑰進行驗證,因此公鑰和私鑰是互相應用的。此種不對稱加密能夠提高數據信息的保密程度,使其技術含量更高,安全保障性更強。不對稱加密有多重算法,其中使用較為廣泛的為RSA算法和DSA算法,很多加密技術都應用了此類算法,PGP也如此。
1.2 技術原理
PGP主要以RSA公鑰作為加密體系的信息加密軟件,該種軟件能夠在獨立計算機上對數據信息進行保護,使信息不受外界的侵犯。在互聯網普及的今天,網絡數據的安全性也受到了威脅,因此加密技術對網絡信息安全管理而言至關重要。PGP加密系統采用一種獨特的加密技術,該種技術的獨特之處在于將公開秘鑰加密和傳統秘鑰加密相結合,使其優勢進行過互補,強化信息安全管理。
1.3 特點及用途
PGP主要以RSA公鑰加密作為其運作體系,該種加密軟件能夠選擇最好的、適合其運作的加密算法作為系統構造的主要模塊。在運作過程中,這些算法會進行匯集,從而集成到常用程序中,能夠和操作系統以及處理器保持相對獨立的關系。由于其算法生命力和安全性都得到了有關部門的專業認可,因此其使用較為普及,應用范圍也較為廣泛。
2 PGP網絡信息安全技術的優勢
PGP網絡信息安全技術在發展過程中能夠受使用者所青睞主要源于它有其獨有的優勢。在應用PGP技術時,它能夠具備安全可靠的協作能力,該能力能夠適用于多個用戶之間,并且將標準的加密作為基礎。PGP技術能夠解決遵從性需求,在授權范圍內保障使用者的數據信息隱私,使使用者的隱私不被侵犯,從而保障了網絡信息的安全。遵從性需求方面的應用需要強制實行責任分離,使實際責任落實到具體的責任人。PGP技術具備無縫集成的優勢,能夠利用現有的內容進行策略的構架,而不需要再對已有的內容進行整改,從而減少了工作量。PGP技術能夠對應用程序策略加密,根據文件存儲和傳輸的要求進行所需的加密,此過程一般要對其行使自動強制實施。PGP技術能夠遵守法律法規的控制,其操作和管理都在法律允許的范圍內進行,操作的全過程都具有合法性。在對敏感數據進行保護時,它能夠有效保證數據不被泄露、丟失。對于企業而言,PGP技術對網絡信息的保護不僅僅停留企業內,還能夠拓展到企業外。對于桌面或網絡服務器的內容,PGP技術能夠對文件進行保存,并且及時對其加密。該過程操作較為簡單,不需要進行任何修改程序或者賬戶的操作即可完成。PGP技術能夠實現自動化操作,該軟件在進行操作時,其操作步驟完全透明,使用者在日常使用中能夠了解信息管理的一舉一動。
3 PGP網絡信息安全技術的應用
3.1 公鑰的確定
秘鑰在使用過程中,如果用戶有多個秘鑰,接收者則需要先確定好秘鑰的種類,然后采用相應的公鑰來加密會話秘鑰。要想使秘鑰確定更加便利,可以將公鑰和消息一起發送,并且將標識符和公鑰一對一聯系到一起,讓客戶能夠簡潔明了的了解到消息和公鑰。在定義Key ID時,需要涵蓋64個有效位,并且需要PGP數字簽名才可生效。
3.2 公鑰的作廢
秘鑰在暴露以后則報廢,其定時更新也會導致秘鑰失去原有的用處。在處理公鑰作廢時,要用對應的私鑰來簽名秘鑰報廢證書,并且將該證書進行散布,使其能夠在短時間能達到較好的傳播效果,有關人員在獲知到該情況的同時會對公鑰環進行更新,從而保證秘鑰的有效性和安全性。
3.3 公鑰的管理
PGP是一種應用較為普遍的加密軟件,其應用環境也較為開放,因此容易出現信息遭到攔截的情況。面對多樣的網絡環境,PGP加密技術顯得尤為重要。但是由于PGP被應用的環境較為多樣,因此其管理模式也較為寬松,規范性不強。在進行秘鑰的管理和驗證時,要采取合理的方法來保證數據信息的安全性,例如:通過電話來驗證秘鑰;讓雙方都信任的個體進行秘鑰的保管,此類方法都能夠強化秘鑰管理的安全性。PGP不僅能夠用于個人數據信息的傳輸,還適用于公開發表聲明時證實個人身份。在處理較為正規的問題時,為了保證個人權益的保密,可以使用自己的私鑰進行簽名,讓收件人能夠明確獲知發件者的身份,從而保證傳送信息的有效性。這一點應用一般用于商業領域,其應用前景非常廣闊,能夠保證網絡信息安全的同時,維護信息傳送雙方的權益。
3.4 PGP通用服務器
為了保護網絡信息的安全,設置加密系統和秘鑰是遠遠不夠的,為了提高信息保護的安全強度,可以通過PGP通用服務器來集中操控安全策略,有效規避機密數據流失、財務損失、衍生法律問題、商業信譽受損等問題。PGP加密平臺能夠對秘鑰進行創建,并且對加密的數據進行分配和存放,其信息也只對指定的人開放。其策略的執行能夠傳送集中操作的策略配置,并且在此操作中能夠移除其面對的配置危險。PGP通用服務器在管理報告和記錄時,能夠提供可見的保密狀態,其服務還能夠使管理員和審查員的工作更加便利。除此之外,PGP通用服務器能夠消除管理系統中多余的部分,從而減少所占的空間和所需的資金成本。
3.5 資料的刪除
在計算機的使用過程中,對于想刪除的內容,windows無法實現檔案的徹底刪除,還能夠隨時取回,因此檔案在刪除后仍然存在泄露的隱患。PGP技術能夠很好的解決這一問題,將檔案的內容徹底刪除,即使能夠找回檔案,顯示的內容也只是沒有意義的亂碼,因此資料在刪除后不需要再擔心信息泄露的問題,能夠很大程度上提高網絡信息安全管理的強度。
總之,PGP能夠對計算機實現信息的保護,并且強化信息保密系統,使用者能夠應用數據加密功能對其傳輸的內容進行加密保護,利用秘鑰等對其進行保護。信息在傳輸過程中通過使用者的秘鑰能夠翻譯成其他編碼,接受者必須要有相應的私鑰才能將信息進行解碼,從而獲取所需要的內容。PGP技術應用于網絡信息安全管理能夠提高信息的私密性,通過認證、數字簽名、壓縮等多種功能的輔助完善網絡數據保密系統,使其能夠面高強度的攻擊而不受任何影響。在信息化時代的今天,網絡信息安全尤其重要,不恰當的操作或系統的疏漏都會導致嚴重的后果,PGP能夠強化網絡信息的安全,使數據安全有了強有力的保障。
參考文獻:
[1]肖陽,李陽.校園網絡的多層安全體系研究[J].中南林業科技大學學報,2010(04).
[2]徐建華,張英,萬發仁.影響網絡安全的因素及防控措施[J].農業網絡信息,2008(08).
[3]冷飆.網絡與信息安全[J].農村實用科技信息,2010(10).
[4]滕立春.國家林業局計算機網絡的安全管理探討[J].林業資源管理,2008(04).
[5]夏晶.淺議PGP[J].電腦知識與技術,2008(36).
[6]賴順天.PGP工作原理及其安全性[J].計算機安全,2008(08).
第7篇:信息安全應用范文
1電子信息安全問題
伴隨著電子商務信息的不斷發展,其中的信息安全問題也逐漸出現,主要有:在網絡傳輸過程中大量保密信息被竊取;在網絡交易的過程中,交易信息容易被中途篡改或者是虛假的交易信息;電子信息交換雙方的身份信息的正確性得不到確認;當雙方電子信息交易完畢之后,另一方有可能出現否認的現象等,這一系列的安全問題直接影響著電子商務信息的進一步發展,因此,解決電子信息的安全問題,成為電子信息發展的當務之急。
2PIK技術的內涵
為了解決電子信息交換過程中的安全問題,PKI技術應運而生。PKI,即公鑰基礎設施,這是網絡密碼技術逐漸發展過程中產生的一項技術,PKI通過借助公共密鑰技術,搭建一個技術平臺,從而為網絡電子信息的安全提供一定的規范,事實上,PKI就是由一整套軟硬件系統以及安全策略相組合而形成的一個集合,其中最為基礎的一項元素就是數字證書,有了數字證書,PKI平臺才能夠發揮出其對信息安全的控制作用。而這一平臺是通過網絡中真實存在的CA,即信息傳輸認證中心,根據網絡中信息使用者的分布狀況,不斷發送數字證書,從而最終到達用戶端。
3數字證書
數字證書是一種證明信息所有者的電子性文件,一般由CA進行發放,其主要含有的信息與公開密鑰相關。數字證書能夠保證在電子信息傳輸過程中的保密性以及完整性,同時,它能夠對信息所有者的身份進行鑒別,從而保證其身份的正確性,從而避免電子信息中出現的安全隱患。除此之外,數字證書還能夠有效的防止電子信息在進行交換中出現的惡意篡改現象,在數字證書的監督之下,破壞信息完整性的違規操作無法輕易進入到電子信息交換的環節,而一旦電子信息到達接收方,再通過簽名以及身份驗證等環節后,電子信息就擁有了唯一的所有權,同時也具備了不可否認的特性。
4PKI平臺的組成
一般來說,國際上所使用的PKI平臺主要是由軟硬件系統、組策略、數字證書以及CA等組成。
4.1組策略
組策略一般是在保持軟硬件系統穩定的基礎之上,然后根據國際上普遍所使用的密碼準則,在PKI平臺的操作系統當中建造出系統的安全指導方案或者建立一個相應的密碼系統。
4.2CA
如果要想有效的管理公共密鑰,就應當有一個與之相應的認證機構在其中發揮出相應的作用,而CA,作為數字證書進行認證的一個機構,其主要是借助數字證書的發送以及其對數字證書的相關規定來對公共密鑰進行管理。CA作為保證PKI平臺照常運行的一個基礎性環節,若缺少了對數字證書的有效監管,那就會致使電子信息的安全得不到控制及保障。
5PKI在電子信息安全中的應用
5.1身份驗證
由于信息網絡環境之中的用戶數量眾多,要想對這數以億計的用戶進行身份信息的驗證是一項不小的工程,因此,為了能夠有效地統計網絡用戶的信息,相關的技術人員通過長期的研究開發,最終確定出了使用公用密鑰和數字證書,通過一定的規范來對網絡環境中的用戶進行身份的驗證。PKI平臺在利用這一方式對網絡用戶進行身份驗證之時,需要借助第三方的認證力量來實現,而這第三方的力量就是CA。CA通過借助RA實現了對數據交換用戶相關信息的收集和整理,然后再把與用戶相關的標志性的信息與公用密鑰進行綁定,對于滿足相關認證條件的信息用戶,CA統一對其發送特定的數字ID,而發送的這種特定的數字ID本身就擁有唯一性,避免了偽造的現象,當用戶具有了這一數字ID之后,就可以開始更進一步的數據信息的交流。就目前而言,網絡電子商務在進行信息交流的過程中,使用的較為普遍的支付寶以及財付通等都實現了身份驗證這一功能。除此之外,鑒于在進行網絡電子商務的過程中,用戶對于密碼等的相關要求都比較高,現實生活中的部分網絡交易性質的網站都借助CA建立了雙重甚至是多重的身份信息驗證系統,也就是說用戶要想在網絡上進行資金的支付,就必須要使用兩個甚至是多個數字證書才能夠進行有效的支付操作,從而保證了用戶在電子信息交換過程中的私密性,也使用戶身份信息的驗證得到了進一步的強化。
5.2電子信息的完整性
由于網絡環境十分的復雜,在開放的網絡環境當中,存在有電子信息被第三方非法截取甚至篡改的現象,直接影響了電子信息的完整性,而只有保證網絡電子信息傳輸中的完整性,才能夠使得電子信息的交換存在著意義,因此,這就要求針對開放的網絡環境,必須要加強對電子信息完整性的有效控制,從而避免電子信息被截取或者篡改,確保電子信息的安全。針對這一的要求,PKI平臺實現了數字信息檢索技術的應用,數字信息檢索技術主要是針對電子信息之中具有標志性的相關信息元素進行必要的編碼,從而使之形成一種較為特別的電子信息摘要碼。摘要碼主要應用的是一種數字函數的技術,通過把電子信息文件之中的關鍵性元素轉化成與之相對應的數字編碼,然后由發送方發送給接收方,而接收方則根據相應的規則對編碼進行解析,從而得到完整的電子信息,這種方法能夠有效地檢驗電子信息的完整性,從而保證了信息的安全。
5.3電子信息的不可否認性
PKI平臺除了具有身份驗證、保證信息完整及其私密性之外,其所具有的數字簽名技術也是電子信息交換中的一種有效憑證,能夠證明電子信息進行傳遞的時間、發送以及接收電子信息雙方的資料,一旦電子信息交換雙方發生糾紛,這些證明信息都可以成為必要的參考材料,從而使得與信息有關人員都不能推卸其應擔的責任。
6結論
第8篇:信息安全應用范文
關鍵詞:信息管理系統;信息資產安全;動力學模型
前言
信息安全仍然是企業信息化推進所面臨的一個關鍵問題,通過調查,各類管理信息系統造成的泄密(主要設計商業機密)事件時有發生。隨著移動互聯網的發展,企業各類電子商務系統的接入導致內部管理信息系統處在風口浪尖,各類入侵、攻擊等日趨增加。雖然大多數企業都采取了一系列措施來加強信息安全,但這僅僅通過預防威脅,而不是通過主動打擊此類威脅的解決方案。企業往往需要從成本—收益角度來講,按照施加的成本效益的方法來解決問題,因為許多模型傾向于省略定性或非金融的標準,但這種方法在信息安全層面有效性較差。信息安全管理者的任務包含安全規劃、政策制定、人員配備、風險管理、安全技術選擇、威脅評估、對策實施、性能監控和設備修理。信息安全管理者可以選擇不同策略來對抗各種各樣的威脅,包括檢測、威懾、減少脆弱性、教育和培訓等,然而,通過不同的策略組合明顯優于采用單一的解決方案。對于管理者,每個安全戰略的采用存在相異的成本,效益以及潛在效益,然而這些參數卻都難以量化,往往一次信息泄露的危害性也是難以評估的。本文針對企業管理信息系統所面臨的信息安全問題提出了一種基于動力學模型的信息安全監管方法。信息安全管理者對所轄管理信息系統資源按照模型進行監管并調整系統,通過對相應安全問題進行動態地捕捉,按照系統動力學的相關理論進行模型匹配,并且通過3個月的系統監控,證明模型對安全問題的調整和校準的有效性。
1相關研究介紹
管理信息系統信息安全問題的研究已經經歷了幾十年的發展,傳統的系統信息安全研究主要針對個性化的網絡攻擊[3]、內部濫用[2]、法律法規漏洞。然而,近來一些學者倡導研究一套更全面的方法來解決信息安全問題,這些安全性地研究通過各類模型來解決相應安全問題,包含訪問模型,經濟模型、動態模型可以深入了解信息安全動態[4]。(1)信息安全訪問模型信息安全訪問模型的早期型號是貝爾LaPadula模型,它試圖通過分配不同的安全級別人員和資產,通過控制訪問來保持信息的保密性;同時還有通過形式化的模型在操作系統級別訪問程序和其他對象進行了討論,在這個擴展的前期研究中,通過添加和刪除新的資產和人員,安全角度考慮來改變當前授權的能力。(2)信息安全經濟模型信息安全的經濟模型的研究一般采用定量方法。然而,安全性往往超越了并且通常包括定性和非功能兩方面:一些研究人員采用層次分析法結合定量和定性標準[5],此類研究往往采用信息安全問題的靜態視圖。然而,實際上,信息安全是一個復雜的系統,它由許多緊密耦合的變量決定最終的復雜度,比如,信息安全因素涉及人的因素,組織因素,防范技術因素,任務和工作環境因素等。此外,管理信息系統的安全子系統往往涉及多個控件,通過技術控制(正式的控制和非正式控制)建立一個更加動態的方法來建模信息安全。(3)信息安全動態模型信息安全動態模型研究采用系統動力學來研究一個組織(可認為公司級)的信息資產基礎的安全決策對財務的影響,通過在時間段內關聯構建體和跟蹤進展跨越的時間段來作為選擇系統動力學的模擬方法的重要因素。該模型旨在包括安全策略。漏洞和攻擊,并將它們與安全成本和對系統破壞性作為評價標準。盡管該模型不能涵蓋所有的安全攻擊和方案,它為管理人員提供了相對風險的權衡策略,工件的效用是通過模型在各種條件下的仿真模型試驗證明[6]。
2基于動力學模型的信息安全應用
信息安全管理模型涵蓋了信息安全若干方面的研究內容,該模型從多個領域作為融合對象,包括軟件的漏洞、風險評估、攻擊動機、威脅檢測、威懾和安全成本評價等[7,8]。該模型通過公式的重新校準和改進,對相應結構進行了改善用以確保潛在異常的避免,其流程結構如圖1所示。如圖1所示,對于大多數信息安全方面的投資,該流程通過控制人員對系統信息安全的威脅和攻擊,并且通過形象與感知目標值相結合形成目標吸引力。顯然,根據流程分析一些惡意組織的首選攻擊目標要么是出于商業上的考慮或者成功攻擊的感知惡名目標。攻擊的概率由攻擊者的動機決定,該模型的信息資產的感知脆弱性,并且通過地方威懾機制來結合目標所吸引類型。與后者構建體相關,所有其他因素對最終概率將產生積極地影響。感知漏洞是對攻擊概率產生一個穩定增加的效果,它是利用負指數函數的近似模型來判斷,同時針對適用于目標吸引力和攻擊者的動機模型采用相類似的凹關系,盡管前者的影響更加明顯。相反,威懾的影響與攻擊的概率特性的反關系,模擬為一個簡單的遞減凸函數。
2.1模型應用
系統動力學模型的驗證通常采用兩種方法中進行。一種方式為是通過對模型結構的驗證來確定其是否能準確反映真實的世界,在行為評估執行期間系統專注于模型的行為和評估結果的可信,這種采用結構進行結構驗證核查和極端條件分析的方法,解決了區分模型結構是否與被模擬關于真實世界現象的陳述性知識是否一致,在模型中使用的結構包含攻擊、破壞、風險、脆弱性和成本等結構因素;另一種是通過在極端條件分析評估模型中的參數是否正確的方式。為了評估這一參數屬性,模型表面被編為各個內生變量,通過檢測結果判斷任何不協調的行為和邏輯期望是否一致,前者評估是否有任何參數已經在規定的范圍以外的值,例如,評估概率大于1,后者通過檢查內生變量來響應輸入變化,通過核定不符合條件的限制和期望的行為來觸發內省的評價。結構驗證的大部分工作內容是針對一定時間周期內模型行為,而行為評估需要執行整個模型和檢查結果。基于以上兩種方法,參數的變化按照整個模型評估預期是否能夠正在運行來判斷。此外,個別構建體的行為是隨時間跟蹤,按照行為分析振蕩和趨勢趨向極端值,來判斷是否存在異常行為引發的相關結構,并可追溯原因來判斷各個造成威脅的可能。基于動力學模型的結構和行為驗證,通過實驗驗證,按照攻擊概率落在0-1范圍之外的極端條件下取值可證明,試驗預先設定的兩股不安全行為,通過對結構方程式的重新校準(模型的自動驗證過程),從而解決了這種不正常現象,證明了該模型在信息管理系統中應用的可行性。
2.2模型因素分析
安全攻擊可以從系統內部或外部產生。在這一點上,該模型不區分內部或外部的攻擊者;同樣地,它不區分不同的信息資產攻擊。據專業機構預計,內部攻擊者和外部攻擊者的成功率會不相同,也會對不同資產產生不同的影響。根據需要,該模型不深入到這個水平的細節;相反,它更側重于總的層面,同樣,模型不解析攻擊分為不同類型,如拒絕服務攻擊,黑客攻擊,網絡釣魚,鍵擊捕捉,病毒攻擊和SQL注入攻擊。根據相應機構地預計,大部分的攻擊將通過現有的一些安全工具的監測,如防火墻、入侵檢測系統、防病毒程序、惡意軟件檢測程序和垃圾郵件檢測程序等,該類工具被表征為防止攻擊。模型定義檢測能力強弱取決于對安全工具的投資。在安全性工具上的投資是不需要連續的,因為在現有安全工具的投資將給公司帶來來攻擊檢測效果,因此,安全投資工具的累積性是用來評估檢測的能力。隨著系統檢測能力的增加,防止攻擊的數量也隨著增加,這樣為了找到與成功攻擊的平衡,根據實際應用,成功的攻擊會以各種身份體現,并伴有顯著不同的效果。損害幅度—損害即時性,以及成功攻擊次數塑造的攻擊報告的范圍。公開的攻擊報告將決定組織的信息資產的感知脆弱性,從而完成攻擊循環。這是一個循環的增強,表明成功的破壞將導致更多的攻擊和有效防止攻擊會導致攻擊者可以尋求其他更容易或更具吸引力的目標。在極端的情況下,增強環路驅動在循環到零或無窮大所有構建體的值。但是,如果該模型仔細構造,該行為可被控制,并在極端的情況下避免。該模型包括一個加強環和三個平衡循環。該加強環周圍的安全攻擊,感知為中心的宣傳在成功的攻擊就產生漏洞,從而吸引更多的攻擊者。此行為將繼續有增無減,但通過檢查涉及系統漏洞的平衡環舉行。攻擊成功檢測導致各種減少脆弱性活動,包括修補基礎軟件的缺陷、消除開發的軟件缺陷,并實施新的安全程序。
2.3模型實驗驗證
本文采用Vensim1PLE仿真軟件對模型進行性能仿真測試,該軟件是美國Ventana系統公司用于系統動力學仿真軟件,設置單位時限是一個月,然后將模型歷時3個月運行。由于系統長期的運行無法確保安全性,因此該模型的模擬就選用周期較中和的長度作為測試周期,通過將該模型是在各種模擬條件下運行,用以了解對系統整體的攻擊效果、損失、費用不同的安全策略和投資的影響,這樣的測試對于信息安全管理人員能夠做出更有效的信息安全有效決策[1]。如圖2所示為按照模型參數(抗擊威脅成本與安全造成資產損失)的測試對比圖。圖2(a)顯示隨著信息安全防范投資的增加,相應安全事故造成的損失也就越小;圖2(b)顯示主動攻擊的增加對信息安全的造成的損失沒有確定的線性關系。圖3將信息安全防御投入、主動攻擊投入與信息安全最終造成損失進行線性對比,如圖顯示,信息安全的最終損失量取決于其他多方面因素的共同決定。通過實驗驗證,模型的決定參數主要取決于對信息安全投入的多少,以及其他部分參數的小范圍影響,這樣就明確了在企業信息管理系統的信息安全管防策略中加強信息安全投入并增加對安全管理人員的培訓投入才能從基礎上降低由于信息泄露造成的損失。
3總結
第9篇:信息安全應用范文
【關鍵詞】電子信息安全 PKI 數字證書 應用
1 PKI概述
PKI實質上為一套用于維護網絡安全的基礎技術與規范,包括數字簽名服務與公鑰加密,其系統即為PKI系統。PKI在電子信息中的應用,主要是為保障用戶所使用的網絡運行環境的安全、可靠,其采用的安全技術與安全防護措施較多,如數字證書、公鑰技術、證書發放機構等,在很大程度上提高網絡運行中,各類傳輸、存儲數據的有效性、機密性以及完整性,為當前電子信息安全防護領域內,一致認可的網絡社會最佳保障體系結構。
2 PKI架構
(1)PKI安全策略:是對信息安全方面指導方針、密碼系統運用原則及方法的定義。
(2)證書認證機構CA:主要是對公鑰的生命周期進行管理,為PKI的信任基礎。CA的主要功能包括:證書發放,對證書的有效使用期限作出規定,證書廢除列表CRL的及時等等。
(3)注冊機構RA:對用戶身份進行讀取,并完成用戶身份認證,再將證書請求傳達至CA,提供CA與用戶間的接口。其中,CA的主要功能便是收集與認證向CA提出數字證書申請客戶的身份信息。而這些申請客戶并不僅僅指個人,還包括政府機構、企業或其他團體。注冊機構只負責用戶資格審查,而非證書簽發。
(4)證書系統:主要功能為對資質合格客戶證書的簽發。其中,通過資質審查的客戶既可以直接利用網絡在線下載,也可以到申請相應組織機構發放點來完成證書的領取。
3 PKI的技術關鍵
3.1 數字簽名
數字簽名主要是指對傳遞的數據內容進行某種算法的處理,在對數據信息進行私鑰加密的同時,生成相應的數據摘要信息。當另一端用戶接收到所發送的數據信息時,通過獲取的公鑰解密的數字簽名,進而得到摘要信息,再對比原始數據所形成的摘要信息,通過信息數據對照,準確判斷出所接收信息的真實性、完整性以及權威性。數字簽名技術在信息安全中的應用,主要通過兩方面方式來保證信息的安全。一方面,確認信息的方身份,簽名者的簽名信息無法被篡改,具有較強的識別性;另一方面,確保信息數據傳輸過程中不被篡改或損壞,為簽發文件的完整性與可靠性提供保證。
3.2 數字信封
通過密碼技術的應用,來密封數據信息,確保信息僅為收信人所獲取。在數字信封中,通過自動生成的對稱密鑰進行信息原件的加密,在此基礎上對密鑰進行RSA算法處理,形成數字信封。而當收信人后接受信封后,首先需要對信封進行解密,通過私鑰解密獲取對稱密碼,再通過對稱密碼進行更深層次的數據解密,最終獲取信息原件,以此來保證信息數據傳輸過程中的真實性與機密性。
4 PKI的具體應用
4.1 安全電子郵件
在網絡信息服務中,電子郵件是應用較多的一種方式,而其郵件內容的安全性也越來越受用戶的關注,因為電子郵件的安全性還有待提升,其在傳輸過程中容易被篡改或被非指定接收方所截取。現階段,關于電子郵件安全方面,發展較成熟的管理協議為S-MIME,在其協議中,PKI技術的應用,主要是對郵件進行數字簽名發送加密處理。在這個過程中,用戶通過支持S/MIME協議的郵件系統,運用私鑰完成郵件的數字簽名,郵件接收方在收到郵件后,也會獲取相應的證書,再借助證書來對郵件的有效性作出準確的驗證。對于需加密的電子郵件,用戶可通過接收到的證書來實現其操作,將證書內的公鑰用于會話密鑰的加密,并完成對電子郵件信息數據及相關附件的加密。
4.2 虛擬專用網絡(VPN)
虛擬專用網絡VPN作為一種專業用途的數據通信網絡,其得以實施的前提是公用通信基礎設施的構建,通過加密及簽名技術、網絡安全協議層,來保障網絡運行的安全。VPN的運用具有較顯著的優勢,如操作便捷、安裝簡單、成本投入小等,是當前企業Extranet及Intranet構架的優先選擇策略。VPN構架基礎為IPSec協議,是PKI技術下提供防火墻與路由器之間或各自間加密、認證的通信。IPSec協議相比其他協議要更為復雜,但其對通信安全的防護更強,且通用性較高,能支持IPv6協議,因而其發展前景較好。
4.3 Web安全
在Web瀏覽器安全運行中,用于身份認證及傳輸中數據機密的安全協議主要為SSL,其作為Internet數據安全協議,是由Netscape公司所研發,在保障通信對話過程的安全上,發揮著較大的作用。SSL協議作為一種安全機制,是基于TCP/IP協議與應用程序協議的數據交換,能為TCP/IP連接提供相應的服務器認證、數據機密服務。同時,SSL中關于X.509數字證書技術、公鑰體制的應用,在很大程度上保證了信息數據傳遞過程中的不被泄露及篡改。其中,建立SSL連接的安全通信層,處于傳輸層與應用層之間,是信息傳輸還未在其兩個實體內執行前便已形成的。PKI技術的應用,在SSL協議下完成服務器與瀏覽器間通信數據的加密,并在此基礎上采用數字證書,以進一步提升通信對話的安全性。而瀏覽器端與服務器端數字證書的頒發,則由權威性較高的第三方負責,以便于雙方更好地進行身份認證。
4.4 其他應用
電子信息安全中,PKI技術是極為重要的一項技術,對解決其安全問題起到較大作用。PKI技術在電子信息安全中的應用,可通過應用編程接口API協議標準,規范PKI系統中的通信流程及規格,由編程界面API對協議的具體運用作出定義,并提供必要的PKI服務,如公共密鑰的獲取、證書申請、證書廢除請求等,確保上層應用的實現。現階段,電子通信中的大部分協議都能支持PKI,因此PKI應用具備較好的發展前景,能集成到更多應用系統中去。PKI作為網絡商務交流安全平臺,并通過其所的數字證書,來加密與認證信息,必然會成為今后電子信息安全發展主要方向。
參考文獻
[1]羅萱.PKI技術的基本原理及常規應用[J].電腦知識與技術,2014(24).
