信息网络安全的核心和关键技术

物理安全 建立网络安全区 锁定服务器和主机 应用程序漏洞扫描 协调沟通可视数据流设备的安全性

保障信息安全最基本、最核心的技术是信息加密技术。　　所谓信息加密技术，是指利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，以防止泄漏的技术。一般来说，保密通信、计算机密钥、防复制软盘等都属于信息加密技术。通信过程中的加密主要是采用密码，在数字通信中可利用计算机采用加密法，改变负载信息的数码结构。　　计算机信息保护则以软件加密为主。目前世界上最流行的几种加密体制和加密算法有RSA算法和CCEP算法等。为防止破密，加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡，这就是硬件加密措施。在软盘上用激光穿孔，使软件的存储区有不为人所知的局部破坏，就可以防止非法复制。这样的加密软盘可以为不掌握加密技术的人员使用，以保护软件。由于计算机软件的非法复制、解密及盗版问题日益严重，甚至引发国际争端，因此信息加密技术和加密手段的研究，正在日新月异地发展。

现在的网络没有什么保证安全的，只有在新的病毒出现，漏洞出现后，才会有针对性方案解决。

认识五大关键核心要素实现信息化系统安全最基本的出发点就是认识安全体系中的关键核心要素，然后，围绕这些要素在系 统的每一个环节和系统运行中进行安全防护。因此，这里首先说明安全的五大核心要素。认证(Authentication)。认证是安全的最基本要素。信息系统的目的就是供使用者使用的，但只能给 获得授权的使用者使用，因此，首先必须知道来访者的身份。使用者可以是人、设备和相关系统，无论是 什么样的使用者，安全的第一要素就是对其进行认证。认证的结果无非是三种：可以授权使用的对象，不 可以授权使用的对象和无法确认的对象。在信息化系统中，对每一个可能的入口都必须采取认证措施，对 无法采取认证措施的入口必须完全堵死，从而防堵每一个安全漏洞。来访对象的身份得到认证之后，对不 可授权的对象就必须拒绝访问，对可授权的对象则进到下一步安全流程，对无法确认的对象则视来访的目 的采取相应的步骤。例如，公众Web的使用和邮件的接收等，虽然对来访对象无法完全认证，但也不能拒 之门外。2授权(Authorization)。授权就是授予合法使用者对系统资源的使用权限并且对非法使用行为进行监测 。授权可以是对具体的对象进行授权，例如，某一用户或某台设备可以使用所指定的资源。授权可以是对 具体的对象进行授权，也可以是对某一组对象授权，也可以是根据对象所扮演的角色授权。授权除了授予 某种权利之外，对于非法使用的发现和管理也是很重要的部分。尽管使用各种安全技术，非法使用并不是 可以完全避免的，因此，及时发现非法使用并马上采取安全措施是非常重要的。例如，当病毒侵入信息系 统后，如果不及时发现并采取安全措施，后果可以是非常严重的。保密(Confidentiality)。认证和授权是信息安全的基础，但是光有这两项是不够的。保密是要确保信 息在传送过程和存储时不被非法使用者“看”到。一个典型的例子是，合法使用者在使用信息时要通过网 络，这时信息在传送的过程中可能被非法“截取”并导致泄密。一般来说，信息在存储时比较容易通过认 证和授权的手段将非授权使用者“拒之门外”。但是，数据在传送过程中则无法或很难做到这一点，因此 ，加密技术就成为了信息保密的重要手段。完整性(Integrity)。如果说信息的失密是一个严重的安全问题，那么信息在存储和传送过程中被修改 则更严重了。例如，A给B传送一个文件和指令。在其传送过程中，C将信息截取并修改，并将修改后的信 息传送给B，使B认为被C修改了的内容就是A所传送的内容。在这种情况下，信息的完整性被破坏了。信息 安全的一个重要方面就是保证信息的完整性，特别是信息在传送过程中的完整性。不可否认(Non-repudiation)。无论是授权的使用还是非授权的使用，事后都应该是有据可查的。对于 非授权的使用，必须是非授权的使用者无法否认或抵赖的，这应该是信息安全的最后一个重要环节