时间:2023-03-21 17:16:04
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇信息安全技术论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
届时,大会将设立 “信息系统整体安全保护的有效途径”和“电子认证服务的解决之道” 两个分论坛,并集纳各界经典名篇、学术成果、研究课题、应用经验,编辑出版《2012中国信息安全技术展望学术论文集》,其中优秀论文将择优在《信息安全与技术》杂志(国家级刊物)上刊登,并全文收录于《中国学术期刊网络出版总库》及CNKI系列数据库、《中文核心期刊(遴选)数据库》、《中文科技期刊数据库》。
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
21.数字证书交叉认证技术规范/应用规范/应用案例分析;
关键词:电子商务;信息安全技术
一、电子商务发展存在的风险
第三方的电子交易平台在网络上对于信息进行储存、记录、处理、和传递,以此来协助一次网络消费行为的完成。一般情况下,这些信息都具有真实性和保密性,属于大众的隐私。但是,现在的网络环境比较恶劣,有很多网络陷阱以及刻意挖掘用户信息的“黑客”,从而导致基本信息出现失真、泄露和删除的危机,不利于正常电子商务交易的完成。对于电子商务信息大致上可以分为以下几类:第一,信息的真实性;第二,信息的实时性;第三,信息的安全性。首先,是信息的真实性。电子商务上的基本信息是卖家和买家进行认识对方和分辨商品真实性可靠性的唯一途径,应该绝对真实。一旦出现虚假信息,则属于欺骗消费者,是危害消费者权益的不法行为。其次,是信息的实时性。信息的实时性主要是指信息的保质期。因为很多信息只在一段时间内有效,具有时效性,一旦错过这段关键时期,那么该信息则失去自身的价值,变得一文不值。最后,就是信息的安全性,这也是消费者最为关心的问题。电子商务出现的安全性问题主要表现为客户的信息被删除、篡改从而失真,同时也表现为用户的信息被窃取从而达成其他目的,使得用户的隐私被侵犯,正常的生活受到打扰。
二、电子商务的信息安全技术的内容
2.1 备份技术。相信备份技术对于大众来说不是很陌生。但是很多人却错误的将备份理解为拷贝,从而片面的看待这个问题。电子商务对于网络环境有很大的依赖性,网络环境自身却存在极大的不稳定性,这就导致电子商务的发展存在不可避免的风险,如果没有一个数据库对于基本信息进行存储,那么一旦出现系统故障或者误删的情况则信息永远消失,这对于商家来说是极其可怕的,因此,电子商务的第三方有一个信息储存库,旨在在必要的时刻段时间内将客户的信息及时恢复。这种恢复不是简单的、传统意义上的恢复,而是通过备份介质得以完成的。这样的话,在系统故障或者其他原因导致信息在短时间内无法正常恢复时,可以借助储存在备份介质中的信息将信息还原到原来的备份状态。2.2 认证技术。所谓认证技术其实一个专业术语,道理实际上很简单,就是我们常说的登录口令。认证技术的目的主要在于阻止不具有系统授权的用户进行非法的破坏计算机机密数据,是数据库系统为减少和避免各种破坏电子商务安全的重要策略。登陆口令是我们正常用户进行电子商务平台登录的方式,是大众在网络环境下的身份证。我们每一个用户在使用某一个电子商务平台之前都被要求进行注册,从而决定或者获得自己的登陆口令即用户名和密码。这些登录口令都是都是独一无二的,是我们进行网上交易的身份认证和识别。因为电子商务平台往往具有开放性,一旦没有身份认证后果将不堪设想。人们的信息安全更是没有任何保障。2.3 访问控制技术。访问控制技术也可以理解为访问等级制度,电子商务的系统会根据用户的不同等级对于用户对于系统数据的访问进行一定的控制。等级较低时,则用户的访问权限有限,一些重要的关键的信息则被系统禁止访问,只要当等级较高时才能获得相关权限,这就保证了一些重要信息不会被窃取。关于用户的访问权限也有两层含义,首先是用户能够获得数据库中的信息种类和数量,另一层含义则是指用户对于获取的数据库信息进行怎样的操作。
关键词:税收信息化;信息状态安全;信息转移安全;信息安全技术
从三个方面来考虑:首先是信息状态安全,即税务系统安全,要防止税务系统中心的数据被攻击者破坏。税务系统要通过Internet对纳税人提供纳税便利,必须以一定的方式将它的数据中心开放,这对税务系统本身带来了很大的风险。其次是信息转移安全,即服务安全,如纳税人识别号、口令、纳税金额等在传输中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保证税务人员正确、安全的使用。本文主要针对以上前两个方面也就是信息安全技术进行研究。
一、信息状态安全技术
信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。
(一)系统主机服务器安全(ServerSecurity)
服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。
(二)操作系统安全(OperatingSystemSecurity)
设置操作系统就像为构筑安全防范体系打好“地基”。
1.自主访问控制(DiscretionaryAccessControl,DAC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(Object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(CapabilitiesList),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(PrefixList),它包括受保护客体名以及主体对客体的访问权。(3)口令(Password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。
2.强制访问控制(MandatoryAccessControl,MAC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。
3.安全核技术(SecurityKernelTechnology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(Isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。
其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。
(三)数据库安全(DatabaseSecurity)
数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。
数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(Authentication),保证只有授权的合法用户才能注册和访问;(2)授权(Authorization),对不同的用户访问数据库授予不同的权限;(3)审计(Auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(Alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。二、信息转移安全技术
信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(IdentificationandAuthentication);访问控制(AccessControl);可记账性(Accountability);对象重用(ObjectReuse);精确性(Accuracy);服务可用性(AvailabilityofServices)等功能。
1.防火墙技术(FirewallTechnology)
为保证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如Internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,IP层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。
2.信息加密技术(InformationEncryptionTechnology)
信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-keyCryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(Public-keyCryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。
在传输过程中,只有税务系统和认证中心(AuthenticationCenter,AC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,也因为无法进行解密而保证了私有密钥的重要性,从而保证了传输文件的安全性。
3.信息认证技术(InformationAuthenticationTechnology)
数字签名技术(DigitalSignatureTechnology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。
完整性认证(IntegrityAuthentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。
4.防病毒技术(Anti-virusTechnology)
病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
参考文献:
[1]杨怀则.税收信息化建设存在的问题及建议[J].草原税务,2002,(12):31-32.
[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.
[3]滕至阳.现代操作系统教程[M].北京:高等教育出版社,2000.
[4]陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.
气象信息的采集:气象信息对道路通信安全具有直接的影响,风向、风力大小等对行车阻力、抗滑能力、能量损耗等都具有直接的关系。另外,能见度是直接影响道路行车安全的因素之一,同时也是高速公路行车速度限制条件之一。当能见度较低是,往往容易出现追尾等交通事故,因此,在雾霾天气中,需要对高速公路行车速度进行一定的限制。雨雪天气以及酷暑、严寒等天气状况会对道路表面发生作用,影响道路的通行能力。因此,在道路安全管理过程中,可以利用气象信息采集技术,及时掌握当地的气象条件,气象信息采集设备包括湿度计、温度计、雨量计、能见度仪、自动气象站等,需要根据具体的需要选择针对性的设备。交通信息的采集:交通信息主要包括车辆占有率、道路交通量、车头时距、车长、车速、交通密度等。通过对这些交通信息的采集,能够为道路使用情况分析提供有力的依据,这些信息在很大程度上决定了道路交通运行的情况。同时,利用这些交通数据信息,能够为交通管理系统、事件预测等提供有用的信息。交通信息往往是动态的信息,有的直接能够通过测量得到,有的必须通过几个测量参数的结合计算才能分析出来。现阶段,交通信息采集技术主要包括磁力计测量技术、感应线圈检测技术、红外线、超声波检测技术、视频图像处理技术等。紧急信息的采集:道路交通运行过程中,有时会遇见紧急情况,主要包括交通事故、自然灾害等等。这些紧急事故发生后,肯定造成交通堵塞、拥挤,影响道路交通正常运行,对此类紧急信息的采集,还需要包括对交通违章监测,为交通执法以及预防事故发生提供有力的依据。目前对紧急信息的采集技术主要包括自动检测技术与非自动检测技术两种,非自动检测技术容易受到天气、自然环境等因素的影响,并且运行成本较高,因此一般采用自动事件检测技术。通过在道路沿线安装摄像头等设备,实现对道路运行的设施监控,并根据具体的情况,做好事件预测和预防工作,提高道路安全管理的质量。
2信息技术在道路安全管理中的应用
如果说对气象、交通、紧急事件信息的采集是实施道路安全管理的基础,那么对这些信息的高效及时就是道路安全管理的重中之重。在道路交通运营过程中,交通状况处于不断的变化中,不良的天气气候因素(大风、雨雪、雾霾等)会对道路运行安全造成很大的影响,容易引发车辆抛锚、追尾等突发紧急事故,从而降低道路交通的通行能力。所以,道路运行网络系统,需要将相关的信息及时准确的出来,为驾驶员行车路线的选择提供有力的依据。为了能够保证信息系统能够发挥对道路安全管理的作用,要求道路网络信息系统具备一定的功能,具体的功能要求体现在以下几个方面:
(1)能够及时准确的气象信息;
(2)能够为用户提供有关道路中路面、隧道、桥涵等状态信息,还包括各种设备的检修情况;
(3)具备道路使用信息的功能,能够提供道路运行状态,包括堵塞、关闭、事故、施工或通畅,为驾驶员线路选择提供依据;
(4)具备道路限速信息功能;
(5)具备警告信息的能力,包括违章警告、拥挤警告、排队警告、施工警告、事故警告、环境警告等;
(6)对限速原因、限速值等信息的供功能。信息技术主要包括图形式可变信息板、移动通讯、文字式可变信息板、交通广播、车载系统、路旁无线电等。各种信息方式都具有各自的优缺点,如车载系统具有信息量大、针对性强、信息及时等优点,但同时也具有投资大、技术要求高等缺陷。再如可变限速标志能够加强驾驶员对限速的重视,并了解限速原因,但缺点在于其的信息较为单一。在道路交通安全管理过程中,需要根据不同信息对象,选择不同的信息技术。信息对象主要包括驾驶员、交通救援部门、交通管理部门等。
3道路安全管理总信息技术发展方向
随着科技水平的进步,越来越多先进的信息技术应用到道路安全管理中,同时信息通信技术、传感技术、人工智能技术等也得到了长足的进步。基于此,道路安全管理工作中信息技术发展前景主要表现在以下几个方面:
(1)信息技术整体性能提升。特别是传感器技术的发展,强化了检测器各项功能。一方面,根据电磁场变化原理,开发功能更加强大的车辆检测器,改进信号处理装置以及探头,提高检测器的使用寿命;另一方面,基于超声波、微波等电磁感应原理,提高检测器的抗干扰能力,提高检测器的安装、维护简单性。
(2)系统化、机电一体化发展前景。以信息技术为基础,充分利用科学计算方法以及人工智能技术,使道路安全管理信息化技术向着更加智能化、系统化的方向发展。如感应线圈智能交通流量检测仪、遥感微波检测器、红外线定位摄像系统等的开发与研究。
(3)在现有的信息技术基础上,加强对新技术的开发,包括用新的计算机图像处理技术,代替传统的视频监测技术,实现对更多车辆运行参数的在线监测,提高交通监控图像识别的准确性与实时性。
4结语
当前,网络信息安全形势严峻,国内有关评估工作还处于起步阶段,云南电信在这方面作了积极的探索。云南电信2013年成立信息安全评估专家项目组,项目组经过研究工业和信息化部以及集团总部相关文件,一致认为要在集团规范指导下抓细节、治痛点,不能流于形式,应通过创新,完善评估流程和方法,真正使信息安全评估为新技术新业务的运营保驾护航,所做工作要对800多万云南电信用户负责,要能有效地防范用户隐私泄露和恶意扣费的风险。
2云南电信的创新实践
云南电信公司新技术新业务信息安全评估的创新性实践,主要从机制、管理和技术手段方面进行执行细化,具体创新点如下。
2.1基于二加一多层次的信息安全评估模式创新
项目依据新技术信息安全评估的总体原则,从解决业务运营中可能出现的安全技术风险和安全管理风险出发,采用机制设计、管理控制和技术监测建立一套新型多维度的信息安全评估模式。该模式包含两个内部评估机制,即输出新业务项目组自评估报告和信息安全专家评估报告;一个外部技术测评,即输出第三方安全测评系列报告,故称为二加一评估模式。新业务项目组自评估报告重点要求开发方承诺在产品中没有无关后门程序存在,同时要求电信业务管理部门、维护支撑部门及开发方组成的项目组对产品按模板条款进行全面梳理,保证产品上线和运营营销后,其信息安全从技术、管理措施方面按模板要求合法合规,且项目组所有成员应达成共识,签字确认。由业务管理和建设维护、IT支撑部门组成的专家组对新技术新业务的自评估报告、新业务的安全管理措施和第三方安全测评报告共同进行审查,各方面达标则出具信息安全评估报告,不达标则对项目组提出整改要求。此外,本评估模式还包括年度业务评估计划统计、已评估档案管理和评估数据积累机制,以确保评估工作的严谨和权威性。
2.2基于新业务平台测评手段的评估技术集成创新
通过具有安全服务能力评定资质的第三方机构对新技术新业务进行平台安全脆弱性扫描,出具第三方安全测评系列报告,报告新业务的平台漏洞状态、账户弱口令状态、主机安全危险状态等信息。如果新产品有移动APP客户端,则通过国家信息产业通信软件测评中心的移动互联网应用测试服务平台和手机应用安全测试仪,对业务加测移动恶意代码程序和手机病毒进行扫描,出具相应的测评报告。有安全隐患的发回整改,复查达标才算报告完结。同时,业务上线运营后还将定期对业务进行跟踪复测,出现安全漏洞或病毒的出具复测通知书,限期整改。项目在技术手段方面的集成创新,充分保障了新技术新业务运营的可靠性和安全性,为电信运营商业务的长期应用和持续发展提供了重要的技术支撑。
3推广效果
本项目实施从2013年第四季度正式启动,选定了涵盖前后端的专家组成员,初步确定了评估流程和方式,开始进行评估实践。2014年3月,根据实践,在评估工作中细分出项目组自评估报告和专家评估报告,重点要求产品开发方签字承诺在产品中没有无关后门和恶意程序存在,并要求所有省级新技术新业务必须进行信息安全评估,通过评估后方能上线运营。2014年7月,随着手机恶意吸费、用户隐私泄露等移动互联网安全事件的增多,为了更加严谨评估移动类新业务的安全状况,引入了技术量化测评,云南电信开始针对新业务移动APP客户端,委托具有安全评定资质的第三方单位进行移动恶意程序和手机病毒的扫描测评,不达标的要求整改复测。从2015年1月开始,云南电信开始委托具有安全资质的第三方单位进行新业务平台安全扫描测评,同样,不达标的要求整改加固,完成后再次复测,达标后专家组才签字通过。至此,完善而成体系化的云南电信评估流程基本建成,新技术新业务信息安全评估的创新实践对云南电信新技术新业务运营管理起到了质的提升作用。自2014年以来,信息安全评估工作已覆盖云南电信所有部门和单位的新技术新业务,业务类型包括信息服务类、视频监控类、娱乐类、移动即时通信类,产品形式包括Web、WAP、APP、iTV等类型。在评估过程中通过安全测评确实发现多起安全漏洞,甚至是高危漏洞,有些业务管理账号存在弱口令设置,有些信息功能审查缺失等。通过严格评估后,上线运营的新技术新业务目前均工作稳定正常,未出现过任何信息安全事故,这无形中为企业和用户挽回了潜在的经济损失。因此,云南电信的评估工作也得到了集团总部和政府管理部门的肯定。今后本项目提供的评估流程将继续严格实施,并有望在中国电信全国体系中推广。
4信息安全评估创造性工作的思考
在信息安全评估创造性工作过程中,有以下几点思考。第一,今后的评估工作应分级分类,根据不同的等级和风险程度,执行不同的评估措施。如对于涉及视频监控、位置服务和用户自媒体发送功能的技术业务,应提升测评审查等级。第二,应加大对评估测评技术的研究和应用,黑客的技术手段在不断翻新发展,因此,安全评估测评的技术和方式也应与时俱进。同时,信息安全评估过程并不代表一劳永逸,定期业务抽查复测也非常必要。第三,应加大对安全评估和安全技术人员的培养。人才是信息时代的第一要素,不仅要培养通信和互联网人才,还要重视信息安全专业人才的培养;同时,信息安全人员的稳定性也不容忽视。第四,对信息安全评估的建立档案管理和评估数据积累机制也至关重要,这既是为新技术新业务安全建档,也是信息安全工作管理和经验的积累过程。第五,信息安全评估是对业务运营的事前进行安全防范,与此同时,事中安全监控和技术拦截、事后的应急处置能力也是电信运营商必须同等重视的环节。
5结束语
加密技术通过密钥体现出来,是确保电力通信安全的基础。电力自动化系统在实际运行中,必须要加强对密钥进行管理,防止发生信息泄露。对密钥进行管理时,要延伸到其使用的所有范围和周期内,严格管理,层层把关,防止受到外界攻击。根据电力环境、使用频率、网络特征等因素综合分析,建立科学的管理机制,通过维护和管理,保证电力通信的安全。通常管理机制包含以下几种:密钥分配模式、与之所有共享密钥、密钥产生及应用、密钥启动机制、随机数的生成。电力通信加密技术属于比较复杂的过程,涉及的知识广、学科多,因此必须要加强对密钥的管理,才能提高系统的安全性。
2电力自动化通信技术中信息安全对策
2.1采用多层次加密的方式实现信息保护
随着网络信息技术的推广应用,在进行数据信息的网络化传输中,为了保障所传输数据的安全性,多采用加密方式进行保障,其中,通过网络链路加密、信息传输端口加密、混合加密等三种加密方式是比较常见的网络信息加密方式。
2.2采用合适的加密算法实现信息保护
在进行网络信息安全保护中,通过使用合适的加密算法实现网络信息的安全保护也是一种常见的网络信息安全技术,它主要是通过在网络信息传输的网络层以及应用层之间,进行SSL层设置,并通过对数据流的完全加密,以实现网络信息的安全保护。值得注意的是,在SSL层进行完全加密的数据流中,加密的内容只包括应用数据和传输协议内容。在进行网络信息加密保护过程中,通过将数据流分割成数据段进行加密,并在加密后数据由明文变成密文,以此来实现网络信息的安全保护。
2.3以摘要算法实现网络信息安全保护
在进行网络信息安全保护中,以摘要算法的方式实现网络传输数据信息的安全保护,也就是通过对于网络传输的数据流进行分段,并通过摘要计算后,将摘要附注在信息明文之后,以进行传输信息完整性的校验,从而来保证网络传输数据信息的完整性与安全性。
2.4加强应用管控,杜绝违规外联
对所有用户终端、网管终端加装防违规外联程序,发现违规外联第一时间进行阻断。严格维护用户准入制度,加强用户口令管理,强制口令定期更新,控制远程维护授权管理。
2.5对通信系统网络进行优化
实施分层、分级管理,核心业务必须通过严格的物理隔离措施经交换平台连接用户。
3电力自动化通信技术在电力通信中的应用
3.1电力通信网络及其特征分析
在电力系统中,电力通信网络,顾名思义是借助电力光缆线路或者载波等实现的一种数据通信与传输方式,现实中,比较常见的电力通信网络有电缆线路、无线等多种通信手段与形式构成的通信方式。而比较常见的电力通信方式主要有电力线路载波通信、电力光纤通信和其他电力通信。首先,电力载波通信主要是借助电力线路进行工频载波电流输送的一种通信方式,它主要是将音频或者是其他数据信息由载波机转换成一种高频弱电流形式,然后通过电力线路完成通信传输,实现电力线路的载波通信。与其他电力通信方式相比,电力线路载波通信具有通信传输可靠性、成本低、通信传输效率高等特征,并且电力线路载波通信与电网建设能够保持一致,具有较为突出的特征优势。此外,在电力通信系统中,电力线路载波通信还具有通过电力架设线路实现载波信号传播等形式,这种电力载波通信线路与普通线路相比,具有较高的绝缘性,并且通信传输过程中造成的电能损耗比较小。最后,比较常见的电力通信形式还有明显电话、音频电缆以及扩频通信等多种形式,对于电力通信的发展都有着举足轻重的作用和影响。
3.2电力通信特征与自动化通信技术的应用
在利益的驱使下,部分不法分子企图通过不合法的网络系统攻击方式对网络通信进行人为的攻击从而获取大量的网络资源。这些“黑客”的攻击不仅出现在商业管理终端等能够获取大量经济利益的领域,甚至还可能出现在个人的计算机中获取个体用户的信息,给用户的信息安全造成重大隐患。应该客观认识的是,我国网络通信在人们生活水平不断提升及通信方式变革的背景下发展速度一日千里,但是作为保障的信息安全维护工作却与网络通信的发展现状存在较大差距。再加上网络通信管理部门对于网络通信信息安全认识不足、网络通信管理制度不健全等问题也加剧了网络通信信息安全隐患,甚至给整个互联网通信系统带来安全隐患,给不法分子以利用的机会。正是基于当前我国网络通信中信息安全的严峻现状及在这一过程中所出现问题的原因,笔者认为,不断加强网络通信技术革新与网络通信制度建设,充分保障网络通信信息安全是时展的必然要求。
2保障网络通信信息安全的途径
2.1充分保障用户IP地址
由于黑客对用户网络通信的侵入与攻击大都是以获取用户IP地址为目的的,因此,充分保障用户的IP地址安全是保护用户网络通信安全的重要途径。用户在使用互联网时也要特别注意对自身IP地址的保护,通过对网络交换机的严格控制,切断用户IP地址通过交换机信息树状网络结构传递被透露的路径;通过对路由器进行有效的隔离控制,经常关注路由器中的访问地址,对非法访问进行有效切断。
2.2完善信息传递与储存的秘密性
信息传递与信息储存的两个过程是当前给网络通信信息安全造成隐患的两个主要途径,在网络信息的存储与传递过程中,黑客可能会对信息进行监听、盗用、恶意篡改、拦截等活动以达到其不可告人目的的需求。这就要求用户在使用网络通信技术时要对网络信息的传递与储存环节尽量进行加密处理,保证密码的多元化与复杂性能够有效甚至从根本上解决信息在传递与储存环节被黑客攻击利用的威胁。当前在网络通信过程中用户可以选择自身合适的加密方式对自身的信息进行加密处理,而网络维护工作者也要根据实际情况加强对信息的加密设置。
2.3完善用户身份验证
对用户的身份进行有效的验证是保障网络通信信息安全的另一条重要途径。在进行网络通信之前对用户身份进行严格验证,确保是本人操作从而对用户的私人信息进行充分有效的保护。当前,用户的身份验证主要是通过用户名与密码的“一对一”配对实现的,只有二者配对成功才能获得通信权限,这种传统的验证方法能够满意一般的通信安全需求,但是在网络通信技术发展速度不断加快的背景下,传统的身份验证方法需要新的变化,诸如借助安全令牌、指纹检测、视网膜检测等具有较高安全性的方法进一步提升网络通信信息安全水平。此外,在保障网络通信信息安全的过程中还可以通过完善防火墙设置,增强对数据源及访问地址恶意更改的监测与控制,从源头上屏蔽来自外部网络对用户个人信息的窃取以及对计算机的攻击。加强对杀毒软件的学习与使用,定期对电脑进行安全监测,从而确保用户自身的信息安全。
3结语
1.1非人为安全隐患
因为信息数据是通过计算机进行存储与传输的,所以数据安全隐患产生的第一步就是计算机中存在的安全风险,包括硬件与软件的安全问题:第一、操作系统出现漏洞,内部含有窃取信息的程序或者木马,其数据信息被盗取与修改都是在使用者毫无察觉的情况下发生的;第二、计算机病毒,如果计算机没有安装杀毒软件,则会让电脑处于危险状态,很多病毒会随着数据的传输或者程序的安装而进入计算机,从而实现窃取与篡改计算机内信息数据的目的;第三、硬件不稳定,计算机硬件的不稳定如磁盘受损、缺少恢复程序等,会造成传输或存储的数据丢失或错误,从而对信息数据造成危害。还有就是网络安全隐患,主要是网络的传播不稳定和网络存在安全漏洞,这也是存在安全隐患最多的一环,不过这一般和人为安全因素有很大的联系,人们会利用网络安全的漏洞进行数据的窃取与篡改。
1.2人为安全隐患
因为利益驱使,为了盗取或者篡改重要信息,出现了很多非法入侵他人电脑或者网络系统的行为,如黑客、传播病毒、电子诈骗、搭线窃听、挂木马等,这些人为的破坏行为其目的性就比较强,往往攻击力强、危害度比较大,一般是涉及窃取重要的经济情报、军事情报、企业重要信息或者是进行国家网络系统的恶意攻击等,给个人、单位,甚至是国家都带来难以弥补的损失,也是必须加以防范的安全隐患。
2计算机信息数据的加密技术
2.1存储加密法
存储加密是用来保护在存储过程当中信息数据的完整性与保密性,包括密文存储与存取控制。而密文存储是通过加密算法的转换、附加密码进行加密、加密模块的设置等技术实现其保密作用;存取控制是通过审查用户资料来辨别用户的合法性,从而通过限制用户权限来保护信息数据不被其他用户盗取或修改,包括阻止合法用户的越权行为和非法用户的入侵行为。
2.2传输加密法
传输加密是通过加密来保护传输中信息数据流的安全性,实现的是过程的动态性加密,分为端—端加密与线路加密两种。端—端是一种从信息数据发出者的端口处制定加密信息,只要是从此端口发出的数据都会自动加密,加密后变成了不可阅读与不可识别的某些信息数据,并通过TCP/IP数据包后,最终到达传输目的地,当到达最终端口时,这些信息数据会自动进行重组与解密,转化为可以阅读与识别的信息数据,以供数据接收者安全的使用;线路加密则有所不同,它是完全不需对信源和信宿进行加密保护,而是运用对信息数据传输的不同路线采用不同加密密钥的手段,达到对线路的保护目的。
2.3密钥管理法
很多的数据信息进行加密都是通过设置密钥进行安全防护,所以密钥是能否保护好信息数据的关键,如果密钥被破解,则信息数据就无保密性可言,故对密钥的保护非常关键,这也就是我们所说的密钥管理法,它在密钥形成的各个环节(产生、保存、分配、更换、销毁等阶段)进行管理控制,确保密钥的安全性。
2.4确认加密法
确认加密法是通过对信息数据的共享范围进行严格控制,来防止这些数据被非法篡改与伪造。按照不同的目的,确认加密法可分为:信息确认、数字签名与身份确认三种。数字签名是根据公开密钥与私人密钥两者存在一定的数学关系而建立的,使用其中任一密钥进行加密的信息数据,只能用另一密钥进行解密,从而确保数据的真实性,如发送者用个人的私人密钥对传输信息数据进行加密之后,传送到接收者那里,接收者必须用其公开密钥对数据进行解密,这样可以准确的知道该信息的发送源是那里,避免信息的错误。
2.5信息摘要法
信息摘要法是通过一个单向的Hash加密函数来对信息数据进行处理,而产生出与数据对应的唯一文本值或消息值,即信息的摘要,来保证数据的完整性,它是在信息数据发送者那里进行加密后产生出一个摘要,接收者通过密钥进行解密后会产生另一个摘要,接收者对两个摘要进行对比,如果两个有差别,就表面数据在传输途中被修改。
2.6完整性鉴别法
完整性鉴别法是将事先设定的某些参数(如口令、各相关人员的身份、密钥、信息数据等)录入系统,在数据信息传输中,通过让验证对象输入相应的特征值,判断输入的特征值是否符合要求,来对信息数据进行保护的技术。
3结束语
论文摘要:网络安全的根本目的是防止通过计算机网络传输的信息被非法使用。信息和数据安全的范围要比计算机安全和网络安全更为广泛,它包括了信息系统中从信息的产生直到信息的应用这一全部过程。密码技术是保护计算机信息安全的主要手段之一,使用密码技术可以保证信息的机密性,还可以保证信息的完整性和确定性,防止信息被篡改、伪造和假冒。
论文关键词:网络;信息安全;密码技术
计算机网络信息安全的两个基本需求是保密性和完整性。密码技术是网络安全通信的基础,通过对通信内容进行加密变换,使未授权者不能理解其真实含义,以防止窃听等被动性攻击,保证信息的保密性;应用密码体制的认证机制,可以防止篡改、意外破坏等对传输信息的主动性攻击,以维护数据的完整性。保密和认证是信息系统安全的两个重要方面,但是认证不能自动提供保密性,而保密也不能提供认证机制。密码设计的基本思想是伪装信息,使未授权者不能理解它的真正含义,未隐藏的信息称为明文(Plaintext),伪装后的信息称为密文(Ciphetrext)。构成一个密码体制的两个基本要素是密码算法和密钥(Key)。在设计密码系统时,总是假定密码算法是公开的,真正需要保密的是密钥。
基于密码技术的访问控制是防止数据传输泄密的主要防护手段。访问控制的类型可分为两类:初始保护和持续保护。初始保护只在入口处检查存取控制权限,一旦被获准,则此后的一切操作都不在安全机制控制之下。防火墙提供的就是初如保护。连续保护指在网络中的入口及数据传输过程中都受到存取权限的检查,这是为了防止监听、重发和篡改链路上的数据来窃取对主机的存取控制。由于网络是一个开放式系统,使得加密变得不仅对于E—mail,而且对于网络通信都很重要。
l电子邮件安全与PGP
PGP是由美国的PhilpZimmermann设计的一种电子邮件安全软件,目前已在网络上广泛传播,拥有众多的用户。PGP是一个免费软件,并且其设计思想和程序源代码都公开,经过不断的改进,其安全性逐渐为人们所依赖。
PGP在电子邮件发送之前对邮件文本进行加密,由于一般是离线工作,所以也可以对文件等其他信息进行加密。PGP中采用了公钥和对称密码技术和单向Hash函数,它实现的安全机制有:数字签名、密钥管理、加密和完整性,它主要为电子邮件提供以下安全服务:保密性;信息来源证明;信息完整性;信息来源的无法否认。
PGP采用密文反馈(CFB)模式的IDEA对信息进行加密,每次加密都产生一个临时128比特的随机加密密钥,用这个随机密钥和IDEA算法加密信息,然后PGP还要利用RSA算法和收信人的公开密钥对该随机加密密钥进行加密保护。收信人在收到加密过的电子邮件后,首先用自己的RSA私有密钥解密出IDEA随机加密密钥,再用这个IDEA密钥对电子邮件的内容进行解密。密钥长度为128位的IDEA算法在加密速度和保密强度方面都比56位密钥的DES算法要好,而且PGP采用的CFB模式的IDEA,更增强了它的抗密码分析能力。另外由于每次加密邮件内容的密钥是临时随机产生的即使破译了一个邮件,也不会对其他邮件造成威胁。PGP的基本操作模式是用IDEA作为信息加密算法,它可以提高加密、解密速度和增强保密性,同时对较短的随机密钥用较慢的RSA算法进行保护,以方便密钥管理。
PGP数字签名采用了MD5单向Hash函数和RSA公钥密码算法。要创建一个数字签名,首先要用MD5算法生成信息的认证码(MAC),再用发信人的RSA私有密钥对此MAC进行加密,最后将加密过的MAC附在信息后面。MAC值的产生和检查就是PGP的完整性保护机制。
PGP采用分散的认证管理,每个用户的ID、RSA公开密钥和此公开密钥生成的时戳构成了这个用户的身份证书。如果一个用户获得了一份被他所信任的朋友或机构签名过的证书,他就可以信任这个证书并使用其中的公开密钥与此证书的主人进行加密通信。如果愿意,他也可以对这份证书签名使信任他的朋友也能信任和使用这份证书。PGP就是采用这种分散模式的公证机构传递对证书的信任,以实现信息来源的不可否认服务。
PGP的密钥管理也是分散的,每个人产生自己的RSA公开密钥和私有密钥对。目前PGP的RSA密钥和长度有3种普通级(384位)、商用级(512位)、军用级(1024位)。长度越长,保密性越强,但加懈密速度也就越慢。
2WWW安全中的密码技术
采用超文本链接和超文本传输协议(HTrP)技术的www是因特网上发展最为迅速的网络信息服务技术,各种实际的因特网应用,如电子商务等大多数是以WWW技术为平台,但是www上的安全问题也是非常严重的。目前,解决www安全的技术主要有两种:安全套接字层SSL和安全HTYP协议。
2.1SSL
SSL是Netscape公司提出的建立在TCP/IP协议之上的提供客户机和服务器双方网络应用通信的开放协议,它由SSL记录协议和SSL握手协议组成,建立在应用层和传输层之间且独立于应用层协议。和确定性。
SSL握手协议在SSL记录协议发送数据之前建立安全机制,包括认证、数据加密和数据完整性。SSL握手协议开始的起点是客户机知道服务器的公钥,它通过服务器的公钥加密向服务器传送一个主密钥,公钥加密算法可以是RSA、Difife—Hellman或Fortezza—KEA。客户机和服务器分别根据这个主密钥计算出它们之间进行数据加密通信的一次性会话密钥这样会话密钥就永远不需要在通信信道上传输。客户机和服务器使用这对会话密钥在一个连接中按DES、RC2/RC4或IDEA算法进行数据加密,此连接用CONNECTION—ID和与此相关的会话密钥作废。所以每个连接都有不同的CONNECTION—ID和会话密钥。由于主密钥不直接参与加密数据,只在客户机与服务器建立第一次连接时传送(同时产生一个SESSION—ID),它的生存期与SESSION—ID有关。推荐的SESSION—ID在通信双方的Cache(高速缓冲区)中保存的时间不大于100秒,这样主密钥被泄漏的机会很小。
SSL握手协议规定每次连接必须进行服务器认证,方法是客户机向服务器发送一个挑战数据,而服务器用本次连接双方所共享的会话密钥加密这个挑战数据后送回客户机。服务器也可以请求客户机的认证,方法与服务器认证一样。SSL记录协议定义了SSL握手协议和应用层协议数据传送的格式,并用MD2/MD5算法产生被封装数据的MAC,以保证数据的完整性。
总之,SSL协议针对网络连接的安全性,利用数据加密、完整换认证、公证机构等机制,实现了对等实体认证、连接的保密性、数据完整性、数据源点认证等安全服务。
2.2SHTTP
SHTTP是有EIT公司提出的增强GTTP安全的一种新协议,SHTTP定义了一个新方法secure和几个新报文头如Con—tent—Privacy—Domain、Content—Transfer—Encoding、Prearranged-Key—Info、Content—Type、Mac—info等。HTTP报文贝0以PKCS一7或PEM报文格式成为SHTI’P的报文体,从而获得了这两种安全增强型报文标准在数据加密、数字签名、完整性等方面的保护。SHTrP还定义了新的I-I,TI’P报文头、可重试的服务器状态错误报告、新的HTML元素和Anchor属性,使客户机和服务器能够通过对等的协商,在报文格式、认证方式、密钥管理、签名算法、加密算法和模式等方面达成一致,从而保证一次安全事务通信。
SHTIP所保护的是一次HTrP请求/应答协议的报文,而H,ITI’P连接是一种无状态的连接,所以SHTI’P采用PKCS一7或PEM作为增强报文安全的主要手段。在数据加密方面,
SHTTP支持的对称加密算法有DES、DESX、CDMF、IDEA和RC2。数字签名算法有RSA和NIST的数字签名标准(DSS),数据完整性保护采用RSA的MD2/MD5和NIST的安全Hash标准(SHS)。支持的认证类型为X.509,从而为H1TP的安全提供了对等实体认证\选择字段的保密性、数据完整性、数据来源认证和防止否认等服务。
