爱华网信息安全技术是信息管理与信息系统专业本科学生的一门专业课。随着计算机技术的飞速发展,计算机信息安全问题越来越受关注。学生掌握必要的信息安全管理和安全防范技术是非常必要的。通过对本门课程的学习,学生可掌握计算机信息安全的基本原理和当今流行的信息安全设置、安全漏洞、防火墙的策略与实现、黑客原理与防范,以便能够使学生胜任信息系统的实现、运行、管理与维护等相关的工作。
信息安全技术_信息安全技术 -专业简介
宽带网已深入生活,对社会活动产生了深远的影响,网络安全随之也越发显得重要。各行业迫切需要从事计算机系统信息安全工作的高级技术人才。本专业培养熟练掌握网络设备的安装、管理和维护,能分析企业网络和信息系统安全漏洞、及时解决网络安全问题,并能够根据企事业单位业务特点设计制作安全的电子商务/政务网站的专业人员。从事信息安全产品销售与推广、信息系统和电子商务/政务安全设计、网络和信息系统安全测试等工作。
主要专业课程:计算机网络技术基础、TCP/IP协议、信息安全技术基础、密码学基础、信息安全产品及应用技术、汇编语言程序设计、SQL数据库安全设计、ASPNET程序设计(Web安全)、计算机系统安全、Web编程技术等。
信息安全的专科专业:成都东软学院、西北大学软件职业技术学院、广州番禺职业技术学院、柳州铁道职业技术学院、湖南信息职业技术学院、河北司法警官职业学院,开设了信息安全的专科专业。
职业分析
本专业是培养拥护党的基本路线,适应我国全面建设小康社会实际需要,在生产、建设、服务和管理第一线需要的,具备宽厚扎实的基础理论知识和专业知识的基础上,重点掌握信息安全的基本理论、基本知识、基本技能及综合应用方法;熟悉国家信息安全管理的政策和法律法规;了解信息安全的发展动向和新技术;具有良好的职业道德、敬业与创新精神的高素质技能型人才。
学科组成
密码应用技术:主要用于保障计算机信息的机密性、完整性和抗御外部入侵等。
信息安全技术:主要用于防止系统漏洞,防止外部黑客入侵,防御病毒破坏和对可疑访问进行有效控制等。 数据灾难与数据恢复技术:一旦计算机发生意外、灾难等,可使用备份还原及数据恢复技术将丢失的数据找回。
操作系统维护技术:操作系统作为一切操作的平台,在进行相应的计算机信息安全处理前必须对操作平台有一个系统全面的了解。
专业简介
信息安全技术
信息安全具有专业“新”、资格证书“硬” 、毕业生“少”,需求部门“多”、用人单位“大”,就业前景“广”等特点。本专业培养德、智 、体全面发展,能够从事计算机、电子信息、金融、商务、政务和防务等与IT有关的信息安全技术领域的应用、管理方面一线工作,能胜任信息处理技术员工作,从事信息安全产品的销售、安装、维护与用户培训工作,能熟练地安装和维护网络设备的应用型高技能人才。
主要课程
计算机基础(含注册表设置)、计算机信息安全概论、计算机组成原理、高级语言程序设计、数据结构、计算机网络技术(含MS Windows 2003)、CISCO路由器交换机安全应用基础、操作系统安全、入侵检测与防火墙技术、计算机病毒与黑客防范、ORACLE数据库设计、TCP/IP网络编程、Web网页开发技术、网络操作系统及服务器管理等。
获得证书
信息安全技术规范
(1)信息处理员证书
(2)微软安全认证ISA(3)信息系统安全专家CISSP认证
(4)思科安全专家CCSP认证
意义
①数据的完整性:它包括数据单元完整性和数据单位序列完整性。
②数据的可用性:就是要保障网络中数据无论在何时,无论经过何种处理,只要需要,信息必须是可用的。
③数据的保密性:即网络中的数据必须按照数据的拥有者的要求保证一定的秘密性。具有敏感性的秘密信息,只有得到拥有者的许可,其他人才能够获得该信息,网络系统必须能够防止信息的非授权访问或泄露。
④合法使用性:即网络中合法用户能够正常得到服务,正常使自己合法地访问资源和信息,而不至于因某种原因遭到拒绝或无条件的阻止。
信息安全技术_信息安全技术 -实验室
信息安全技术
哈工大计算机网络与信息安全技术研究中心成立于2003年3月,建有信息安全本科专业、计算机科学与技术硕士点、计算机系统结构博士点和博士后流动工作站。
该中心主要研究方向包括网络与信息安全、信息内容安全、网络测量、网络计算技术等,研究基础雄厚,成果卓着。本实验室共承担国家信息安全重大项目4项,国家973项目2项,国家自然科学基金项目5项,国家“863”项目6项,其他国家部委项目近20项。获得国家科技进步奖一等奖1项、国家科技进步奖二等奖2项,国家部委科技进步奖6项。在国内外重点期刊发表文章逾500篇。实验室现有教授4人,副教授6人,其中博士生导师2人,在校研究生100余人。业已形成一支目标明确,富有干劲,能够攻坚的老、中、青相结合的科研队伍。
信息安全技术_信息安全技术 -创新点
随着互联网应用的快速发展,信息安全已深入到诸多领域,越来越多的企业用户和个人用户开始沉下心来,认真思考着一个问题:当各种各样针对应用的安全威胁来临之时,如何在日益增长并更为复杂的各种应用中有效地进行自我保护,如何将思路创新、技术创新的破冰之计与信息安全更好地融合在一起,守好自己的那一方阵地?
要有效保证信息安全,其中之一就是要做好数据抢救措施,如加入数据恢复、数据备份、数据销毁等信息安全防御措施。常用的数据恢复技术包括效率源Data Compass数据指南针、HD Doctor、DCK硬盘复制机等。
其实,从较为完整的经典网络安全防护模型--APPDRR中,可以看到网络安全需要的基本要素是:分析、安全策略、保护、检测、响应和恢复,针对这六个基本要素,需要重点关注安全测试评估、安全存储、主动实施防护模型与技术、网络安全事件监控、恶意代码防范与应急响应、数据备份与可生存性六项技术,及衍生而来的可信计算平台技术和网络安全管理与UTM技术的创新点。
4月12日,在2007中国电子信息创新技术年会上,中国工程院院士、信息产业部互联网应急处理协调办公室主任方滨兴,畅谈了自己对这八项重点技术创新点的看法。
(一) 安全测试评估技术
安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从多角度进行立体防护。要知道如何防护,就要清楚安全风险来源于何处,这就需要对网络安全进行风险分析。方滨兴认为网络安全的风险分析,重点应该放在安全测试评估技术方面。它的战略目标是:掌握网络与信息系统安全测试及风险评估技术,建立完整的面向等级保护的测评流程及风险评估体系。他谈到,这一点和过去不一样,过去进行测评没有强调等级保护,就是按照以往测评的模式进行。而《国家信息化中长期科学与技术发展战略规划纲要》已经明确提出,网络安全测试要按照等级保护的原则进行,所以测评也需要服务于这一点。
那么"安全测评"的主要创新点又是什么?方院士认为:
首先,要建立适应等级保护和分级测评机制的通用信息系统与信息技术产品测评模型、方法和流程,要适应不同的级别就要有不同的测评方法,这里的分级要符合等级保护机制,重点放在通用产品方面,所谓通用产品就是要建成一个标准的流程,不能完全是一事一议,如此一来互相之间也才会有所比较;要建立统一的测评信息库和知识库,即测评要有统一的背景;制定相关的国家技术标准。
其次,要建立面向大规模网络与复杂信息系统安全风险分析的模型和方法;建立基于管理和技术的风险评估流程;制定定性和定量的测度指标体系。如果没有这个指标体系,只能抽象地表述,对指导意见来讲并没有太多的实际意义。
(二)安全存储系统技术
在安全策略方面,方院士认为重点需要放在安全存储系统技术上。其战略目标有两点:一是要掌握海量数据的加密存储和检索技术,保障存储数据的机密性和安全访问能力。二是要掌握高可靠海量存储技术,保障海量存储系统中数据的可靠性。
关于"安全存储",方院士强调:
首先,采用海量(TB级)分布式数据存储设备的高性能加密与存储访问方法,并建立数据自毁机理。他谈到为海量信息进行高性能加密,虽然有加密解密的过程,但对访问影响并不明显。这其中不能忽视的是此举对算法的效率提出了很高的要求,应该加以注意。而且一旦数据出现被非授权访问,应该产生数据自毁。
其次,采用海量(TB级)存储器的高性能密文数据检索手段。需要指出的是,加密的基本思路就是要把它无规则化,让它根本看不到规则,这才是加密。而检索就是要有规律,所以这里就要提出一个折中的方法,如何加密对检索能够尽可能的支持,同时又具备一定的安全强度。这就对密码算法和检索都提出来了挑战。
再次,构建基于冗余的高可靠存储系统的故障监测、透明切换与处理、数据一致性保护等方面的模型与实现手段。这里高可靠的关键的还是要依赖冗余,一旦系统崩溃,还有冗余信息。
最后,制定安全的数据组织方法;采用基于主动防御的存储安全技术。
(三)主动实时防护模型与技术
在现有的网络环境下,安全大战愈演愈烈,防火墙、杀毒、入侵检测"老三样"等片面的安全防护应对方式已经越来越显得力不从心,方院士认为这需要的不仅仅是片面的被动防护,而更要在防护的过程中强调主动实时防护模型与技术。
他认为主动防护的战略目标应该是:掌握通过态势感知,风险评估、安全检测等手段对当前网络安全态势进行判断,并依据判断结果实施网络主动防御的主动安全防护体系的实现方法与技术。传统的防护一般都是入侵检测,发现问题后有所响应,但是越来越多的人更加关注主动防护,通过态势判断,进行系统的及时调整,提高自身的安全强度。通过感知,主动地做出决策,而不是事后亡羊补牢,事后做决策。
方院士在谈到主动防护时说:一是建立网络与信息系统安全主动防护的新模型、新技术和新方法;建立基于态势感知模型、风险模型的主动实时协同防护机制和方法。
二是建立网络与信息系统的安全运行特征和恶意行为特征的自动分析与提取方法;采用可组合与可变安全等级的安全防护技术。方院士进一步强调,不同的系统会有不同的需求,应该具备一定的提取能力,进而监控其特征,通过监控判断所出现的各种情况。另外,如果通过检测发现恶意行为,应该对其特征进行提取,提取的目的就是为了进一步监测,或在其他区域进行监测,检查同样的情况是否存在,如果存在,就要对这个态势进行明确的分析,而这些都需要有自动的特征提取。
(四)网络安全事件监控技术
监测是实现网络安全中不可或缺的重要一环,这其中要重点强调的是实施,即网络安全事件监控技术。
方院士认为实时监控的战略目标是:掌握保障基础信息网络与重要信息系统安全运行的能力,支持多网融合下的大规模安全事件的监控与分析技术,提高网络安全危机处置的能力。需要强调的是三网融合势在必行,不同网的状态下,要实现融合,这就对进行监测就提出了一定的要求,监测水平需要有所提升。
信息安全技术_信息安全技术 -安全策略
加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供保护;端--端加密的目的是对源端用户到目的端用户的数据提供保护。在保障信息安全各种功能特性的诸多技术中,密码技术是信息安全的核心和关键技术,通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同得数字信息(密文)的过程。
假设E为加密算法,D为解密算法,则数据的加密解密数学表达式为:P=D(KD,E(KE,P))。
数据加密算法有很多种,密码算法标准化是信息化社会发展得必然趋势,是世界各国保密通信领域的一个重要课题。按照发展进程来分,经历了古典密码、对称密钥密码和公开密钥密码阶段,古典密码算法有替代加密、置换加密;对称加密算法包括DES和AES;非对称加密算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal算法等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法。
根据收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。在实际应用中通常将常规密码和公钥密码结合在一起使用,利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。
防火墙
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型,并在计算机网络得到了广泛的应用。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。
随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络。防火墙可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet等种类相对集中的网络。
入侵检测
随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
入侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理、检测。
理想的入侵检测系统的功能主要有:
(1)用户和系统活动的监视与分析;
(2)系统配置极其脆弱性分析和审计;
(3)异常行为模式的统计分析;
(4)重要系统和数据文件的完整性监测和评估;
(5)操作系统的安全审计和管理;
(6)入侵模式的识别与响应,包括切断网络连接、记录事件和报警等。
本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
各种相关网络安全的黑客和病毒都是依赖网络平台进行的,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全。这样,就出现了网络设备与IDS设备的联动。IDS与网络交换设备联动,是指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,这就是入侵防御系统(IPS)。IPS技术是在IDS监测的功能上又增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。
系统容灾
一个完整的网络安全体系,只有“防范”和“检测”措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。主要有基于数据备份和基于系统容错的系统容灾技术。
数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系统任何部件实效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。
存储、备份和容灾技术的充分结合,构成一体化的数据容灾备份存储系统,是数据技术发展的重要阶段。随着存储网络化时代的发展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。
管理策略
除了使用上述技术措施之外,在网络安全中,通过制定相关的规章制度来加强网络的安全管理,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:首先要制订有关人员出入机房管理制度和网络操作使用规程;其次确定安全管理等级和安全管理范围;第三是制定网络系统的维护制度和应急措施等。
信息安全技术_信息安全技术 -新热点
存储在硬盘、光盘、软盘、U盘等计算机存储设备中的信息如果丢失或被破坏而又没有备份的时候,这是让人非常头痛的事情。由于采取一般的手段很难恢复,因此数据修复成为许多人关注的难点和热点.
国家信息中心已经在信息安全领域积累了丰富的经验,并具有了一定实力。其所属的信息安全研究与服务中心在引进国际先进的数据修复技术的基础上,自主开发了适合中国计算机用户的数据修复技术达到了国内先进水平,已经可以提供数据修复服务。
DRS数据修复是采用硬件检修处理和数据重组的特殊技术来修复受损数据,这种方法可以最大可能恢复原有数据。这种方法修复数据可以做到3个“不限”:
1、不限故障类型 不论是由病毒、系统故障、误操作、升级或安装软件等逻辑损坏,还是由于意外事故、电击、水淹、火烧、撞击、机械故障等硬件原因造成的数据丢失均可修复;
2、不限存储介质 包括计算机硬盘、软盘、计算机磁带、各种光盘、磁盘阵列,移动硬盘、U盘等移动存储设备,数码相机的存储卡在内的各类存储介质;
3、不限系统平台 包括DOS、不同版本的Windows、Linux、Unix等操作系统平台。该公司数据修复总成功率达到了80%以上,软件故障修复成功率达到了98%。
数据修复技术除可以用于存储设备数据恢复以外,还可用于计算机类设备的数据彻底删除、协助执法机关恢复已被破坏的计算机数据及提供与案件相关的电子资料证据。由于病毒的猖獗,计算机内部软件、数据被破坏的可能性大大增加,长期保存的数据也可能丢失或损坏,而多数人还不了解这方面的情况.计算机数据修复有较大需求,仅2004年第三季度北京新注册的数据恢复公司就有10多家,已经成为信息安全新热点。
量子通信将成国家信息安全重要工具
量子通信在国际理论界享有较高知名度,但是现阶段能够进行试验的国家并不多,其中包括中国、美国(国防部+巴特尔研究所)、欧盟、日本以及南非(夸祖鲁-纳塔尔大学)。其中,欧盟已将量子通信加入到未来5~10年的商业白皮书中;日本将量子通信提升为国家战略;而我国领导人也非常重视量子通信的发展(中央常委曾参与了关于量子通信的学习)。并且,我国在全球首次实现了未知量子态的远程传输,加上国家政策支持(安徽、北京-上海多条实验信道铺设),量子通信有望成为我国通信重点发展领域。
基于上述安全性的考虑以及可能的推广路径,业内人士推算:未来3~5年,量子通信市场份额约为90~120亿元人民币,而未来5~10年,因为量子通信不仅安全性突出,并且较之传统通信更加高效,有望对传统的通信手段进行替代。同时,经过我国商用化的实现,量子通信海外市场也将被逐步打开。
