信息安全技術:互聯網專業學科術語-中文百科頻道

專業簡介

寬帶網已深入生活，對社會活動産生了深遠的影響，網絡安全随之也越發顯得重要。各行業迫切需要從事計算機系統信息安全工作的高級技術人才。本專業培養熟練掌握網絡設備的安裝、管理和維護，能分析企業網絡和信息系統安全漏洞、及時解決網絡安全問題，并能夠根據企事業單位業務特點設計制作安全的電子商務/政務網站的專業人員。從事信息安全産品銷售與推廣、信息系統和電子商務/政務安全設計、網絡和信息系統安全測試等工作。

主要專業課程：計算機網絡技術基礎、TCP/IP協議、信息安全技術基礎、密碼學基礎、信息安全産品及應用技術、彙編語言程序設計、SQL數據庫安全設計、ASPNET程序設計（Web安全）、計算機系統安全、Web編程技術等。

信息安全的專科專業:成都東軟學院、西北大學軟件職業技術學院、廣州番禺職業技術學院、柳州鐵道職業技術學院、湖南信息職業技術學院、河北司法警官職業學院，開設了信息安全的專科專業。

職業分析

本專業是培養擁護黨的基本路線，适應我國全面建設小康社會實際需要，在生産、建設、服務和管理第一線需要的，具備寬厚紮實的基礎理論知識和專業知識的基礎上，重點掌握信息安全的基本理論、基本知識、基本技能及綜合應用方法；熟悉國家信息安全管理的政策和法律法規；了解信息安全的發展動向和新技術；具有良好的職業道德、敬業與創新精神的高素質技能型人才。

學科組成

密碼應用技術：主要用于保障計算機信息的機密性、完整性和抗禦外部入侵等。

信息安全技術：主要用于防止系統漏洞、防止外部黑客入侵、防禦病毒破壞和對可疑訪問進行有效控制等。數據災難與數據恢複技術：一旦計算機發生意外、災難等，可使用備份還原及數據恢複技術将丢失的數據找回。

操作系統維護技術：操作系統作為一切操作的平台，在進行相應的計算機信息安全處理前必須對操作平台有一個系統全面的了解。

專業簡介

信息安全具有專業“新”、資格證書“硬”、畢業生“少”，需求部門“多”、用人單位“大”，就業前景“廣”等特點。本專業培養德、智、體全面發展，能夠從事計算機、電子信息、金融、商務、政務和防務等與IT有關的信息安全技術領域的應用、管理方面一線工作，能勝任信息處理技術員工作，從事信息安全産品的銷售、安裝、維護與用戶培訓工作，能熟練地安裝和維護網絡設備的應用型高技能人才。

主要課程

計算機基礎（含注冊表設置）、計算機信息安全概論、計算機組成原理、高級語言程序設計、數據結構、計算機網絡技術（含MS Windows2003）、CISCO路由器交換機安全應用基礎、操作系統安全、入侵檢測與防火牆技術、計算機病毒與黑客防範、ORACLE數據庫設計、TCP/IP網絡編程、Web網頁開發技術、網絡操作系統及服務器管理等。

獲得證書

（1）信息處理員證書

（2）微軟安全認證ISA（3）信息系統安全專家CISSP認證

（4）思科安全專家CCSP認證

意義

①數據的完整性：它包括數據單元完整性和數據單位序列完整性。

②數據的可用性：就是要保障網絡中數據無論在何時，無論經過何種處理，隻要需要，信息必須是可用的。

③數據的保密性：即網絡中的數據必須按照數據的擁有者的要求保證一定的秘密性。具有敏感性的秘密信息，隻有得到擁有者的許可，其他人才能夠獲得該信息，網絡系統必須能夠防止信息的非授權訪問或洩露。

④合法使用性：即網絡中合法用戶能夠正常得到服務，正常使自己合法地訪問資源和信息，而不至于因某種原因遭到拒絕或無條件的阻止。

實驗室

哈工大計算機網絡與信息安全技術研究中心成立于2003年3月，建有信息安全本科專業、計算機科學與技術碩士點、計算機系統結構博士點和博士後流動工作站。

該中心主要研究方向包括網絡與信息安全、信息内容安全、網絡測量、網絡計算技術等，研究基礎雄厚，成果卓着。本實驗室共承擔國家信息安全重大項目4項，國家973項目2項，國家自然科學基金項目5項，國家“863”項目6項，其他國家部委項目近20項。獲得國家科技進步獎一等獎1項、國家科技進步獎二等獎2項，國家部委科技進步獎6項。在國内外重點期刊發表文章逾500篇。實驗室現有教授4人，副教授6人，其中博士生導師2人，在校研究生100馀人。業已形成一支目标明确，富有幹勁，能夠攻堅的老、中、青相結合的科研隊伍。

創新點

随着互聯網應用的快速發展，信息安全已深入到諸多領域，越來越多的企業用戶和個人用戶開始沉下心來，認真思考着一個問題：當各種各樣針對應用的安全威脅來臨之時，如何在日益增長并更為複雜的各種應用中有效地進行自我保護，如何将思路創新、技術創新的破冰之計與信息安全更好地融合在一起，守好自己的那一方陣地？

要有效保證信息安全，其中之一就是要做好數據搶救措施，如加入數據恢複、數據備份、數據銷毀等信息安全防禦措施。常用的數據恢複技術包括效率源Data Compass數據指南針、HD Doctor、DCK硬盤複制機等。

其實，從較為完整的經典網絡安全防護模型--APPDRR中，可以看到網絡安全需要的基本要素是：分析、安全策略、保護、檢測、響應和恢複，針對這六個基本要素，需要重點關注安全測試評估、安全存儲、主動實施防護模型與技術、網絡安全事件監控、惡意代碼防範與應急響應、數據備份與可生存性六項技術，及衍生而來的可信計算平台技術和網絡安全管理與UTM技術的創新點。

4月12日，在2007中國電子信息創新技術年會上，中國工程院院士、信息産業部互聯網應急處理協調辦公室主任方濱興，暢談了自己對這八項重點技術創新點的看法。

（一）安全測試評估技術

安全是網絡正常運行的前提。網絡安全不單是單點的安全，而是整個信息網的安全，需要從多角度進行立體防護。要知道如何防護，就要清楚安全風險來源于何處，這就需要對網絡安全進行風險分析。方濱興認為網絡安全的風險分析，重點應該放在安全測試評估技術方面。它的戰略目标是：掌握網絡與信息系統安全測試及風險評估技術，建立完整的面向等級保護的測評流程及風險評估體系。他談到，這一點和過去不一樣，過去進行測評沒有強調等級保護，就是按照以往測評的模式進行。而《國家信息化中長期科學與技術發展戰略規劃綱要》已經明确提出，網絡安全測試要按照等級保護的原則進行，所以測評也需要服務于這一點。

那麼"安全測評"的主要創新點又是什麼？方院士認為：

首先，要建立适應等級保護和分級測評機制的通用信息系統與信息技術産品測評模型、方法和流程，要适應不同的級别就要有不同的測評方法，這裡的分級要符合等級保護機制，重點放在通用産品方面，所謂通用産品就是要建成一個标準的流程，不能完全是一事一議，如此一來互相之間也才會有所比較；要建立統一的測評信息庫和知識庫，即測評要有統一的背景；制定相關的國家技術标準。

其次，要建立面向大規模網絡與複雜信息系統安全風險分析的模型和方法；建立基于管理和技術的風險評估流程；制定定性和定量的測度指标體系。如果沒有這個指标體系，隻能抽象地表述，對指導意見來講并沒有太多的實際意義。

（二）安全存儲系統技術

在安全策略方面，方院士認為重點需要放在安全存儲系統技術上。其戰略目标有兩點：一是要掌握海量數據的加密存儲和檢索技術，保障存儲數據的機密性和安全訪問能力。二是要掌握高可靠海量存儲技術，保障海量存儲系統中數據的可靠性。

關于"安全存儲"，方院士強調：

首先，采用海量（TB級）分布式數據存儲設備的高性能加密與存儲訪問方法，并建立數據自毀機理。他談到為海量信息進行高性能加密，雖然有加密解密的過程，但對訪問影響并不明顯。這其中不能忽視的是此舉對算法的效率提出了很高的要求，應該加以注意。而且一旦數據出現被非授權訪問，應該産生數據自毀。

其次，采用海量（TB級）存儲器的高性能密文數據檢索手段。需要指出的是，加密的基本思路就是要把它無規則化，讓它根本看不到規則，這才是加密。而檢索就是要有規律，所以這裡就要提出一個折中的方法，如何加密對檢索能夠盡可能的支持，同時又具備一定的安全強度。這就對密碼算法和檢索都提出來了挑戰。

再次，構建基于冗馀的高可靠存儲系統的故障監測、透明切換與處理、數據一緻性保護等方面的模型與實現手段。這裡高可靠的關鍵的還是要依賴冗馀，一旦系統崩潰，還有冗馀信息。

最後，制定安全的數據組織方法；采用基于主動防禦的存儲安全技術。

（三）主動實時防護模型與技術

在現有的網絡環境下，安全大戰愈演愈烈，防火牆、殺毒、入侵檢測"老三樣"等片面的安全防護應對方式已經越來越顯得力不從心，方院士認為這需要的不僅僅是片面的被動防護，而更要在防護的過程中強調主動實時防護模型與技術。

他認為主動防護的戰略目标應該是：掌握通過态勢感知，風險評估、安全檢測等手段對當前網絡安全态勢進行判斷，并依據判斷結果實施網絡主動防禦的主動安全防護體系的實現方法與技術。傳統的防護一般都是入侵檢測，發現問題後有所響應，但是越來越多的人更加關注主動防護，通過态勢判斷，進行系統的及時調整，提高自身的安全強度。通過感知，主動地做出決策，而不是事後亡羊補牢，事後做決策。

方院士在談到主動防護時說：一是建立網絡與信息系統安全主動防護的新模型、新技術和新方法；建立基于态勢感知模型、風險模型的主動實時協同防護機制和方法。

二是建立網絡與信息系統的安全運行特征和惡意行為特征的自動分析與提取方法；采用可組合與可變安全等級的安全防護技術。方院士進一步強調，不同的系統會有不同的需求，應該具備一定的提取能力，進而監控其特征，通過監控判斷所出現的各種情況。另外，如果通過檢測發現惡意行為，應該對其特征進行提取，提取的目的就是為了進一步監測，或在其他區域進行監測，檢查同樣的情況是否存在，如果存在，就要對這個态勢進行明确的分析，而這些都需要有自動的特征提取。

（四）網絡安全事件監控技術

監測是實現網絡安全中不可或缺的重要一環，這其中要重點強調的是實施，即網絡安全事件監控技術。

方院士認為實時監控的戰略目标是：掌握保障基礎信息網絡與重要信息系統安全運行的能力，支持多網融合下的大規模安全事件的監控與分析技術，提高網絡安全危機處置的能力。需要強調的是三網融合勢在必行，不同網的狀态下，要實現融合，這就對進行監測就提出了一定的要求，監測水平需要有所提升。

安全策略

加密技術

信息加密的目的是保護網内的數據、文件、口令和控制信息，保護網上傳輸的數據。數據加密技術主要分為數據傳輸加密和數據存儲加密。數據傳輸加密技術主要是對傳輸中的數據流進行加密，常用的有鍊路加密、節點加密和端到端加密三種方式。鍊路加密的目的是保護網絡節點之間的鍊路信息安全；節點加密的目的是對源節點到目的節點之間的傳輸鍊路提供保護；端--端加密的目的是對源端用戶到目的端用戶的數據提供保護。在保障信息安全各種功能特性的諸多技術中，密碼技術是信息安全的核心和關鍵技術，通過數據加密技術，可以在一定程度上提高數據傳輸的安全性，保證傳輸數據的完整性。一個數據加密系統包括加密算法、明文、密文以及密鑰，密鑰控制加密和解密過程，一個加密系統的全部安全性是基于密鑰的，而不是基于算法，所以加密系統的密鑰管理是一個非常重要的問題。數據加密過程就是通過加密系統把原始的數字信息(明文)，按照加密算法變換成與明文完全不同得數字信息(密文)的過程。

假設E為加密算法，D為解密算法，則數據的加密解密數學表達式為：P=D(KD，E(KE，P))。

數據加密算法有很多種，密碼算法标準化是信息化社會發展得必然趨勢，是世界各國保密通信領域的一個重要課題。按照發展進程來分，經曆了古典密碼、對稱密鑰密碼和公開密鑰密碼階段，古典密碼算法有替代加密、置換加密；對稱加密算法包括DES和AES；非對稱加密算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal算法等。目前在數據通信中使用最普遍的算法有DES算法、RSA算法和PGP算法。

根據收發雙方密鑰是否相同來分類，可以将這些加密算法分為常規密碼算法和公鑰密碼算法。在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。最有影響的公鑰密碼算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。在實際應用中通常将常規密碼和公鑰密碼結合在一起使用，利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。

防火牆

防火牆的本義原是指古代人們房屋之間修建的那道牆，這道牆可以防止火災發生的時候蔓延到别的房屋。防火牆技術是指隔離在本地網絡與外界網絡之間的一道防禦系統的總稱。在互聯網上防火牆是一種非常有效的網絡安全模型，通過它可以隔離風險區域與安全區域的連接，同時不會妨礙人們對風險區域的訪問。防火牆可以監控進出網絡的通信量，僅讓安全、核準了的信息進入，同時又抵制對企業構成威脅的數據。防火牆主要有包過濾防火牆、代理防火牆和雙穴主機防火牆3種類型，并在計算機網絡得到了廣泛的應用。

一套完整的防火牆系統通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息，例如協議号、收發報文的IP地址和端口号、連接标志以至另外一些IP選項，對IP包進行過濾。代理服務器是防火牆中的一個服務器進程，它能夠代替網絡用戶完成特定的TCP/TP功能。一個代理服務器本質上是一個應用層的網關，一個為特定網絡應用而連接兩個網絡的網關。用戶就一項TCP/TP應用，比如Telnet或者FTP，同代理服務器打交道，代理服務器要求用戶提供其要訪問的遠程主機名。當用戶答複并提供了正确的用戶身份及認證信息後，代理服務器連通遠程主機，為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。

随着安全性問題上的失誤和缺陷越來越普遍，對網絡的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級錯誤或不合适的口令選擇。因此，防火牆的作用是防止不希望的、未授權的通信進出被保護的網絡。防火牆可以達到以下目的：一是可以限制他人進入内部網絡，過濾掉不安全服務和非法用戶；二是防止入侵者接近你的防禦設施；三是限定用戶訪問特殊站點；四是為監視Internet安全提供方便。由于防火牆假設了網絡邊界和服務，因此更适合于相對獨立的網絡，例如Intranet等種類相對集中的網絡。

入侵檢測

随着網絡安全風險系數不斷提高，作為對防火牆及其有益的補充，IDS（入侵檢測系統）能夠幫助網絡系統快速發現攻擊的發生，它擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識别和響應），提高了信息安全基礎結構的完整性。

入侵檢測系統是一種對網絡活動進行實時監測的專用系統，該系統處于防火牆之後，可以和防火牆及路由器配合工作，用來檢查一個LAN網段上的所有通信，記錄和禁止網絡活動，可以通過重新配置來禁止從防火牆外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析，通過集中控制台來管理、檢測。

理想的入侵檢測系統的功能主要有：

（1）用戶和系統活動的監視與分析；

（2）系統配置極其脆弱性分析和審計；

（3）異常行為模式的統計分析；

（4）重要系統和數據文件的完整性監測和評估；

（5）操作系統的安全審計和管理；

（6）入侵模式的識别與響應，包括切斷網絡連接、記錄事件和報警等。

本質上，入侵檢測系統是一種典型的“窺探設備”。它不跨接多個物理網段（通常隻有一個監聽端口），無須轉發任何流量，而隻需要在網絡上被動地、無聲息地收集它所關心的報文即可。IDS分析及檢測入侵階段一般通過以下幾種技術手段進行分析：特征庫匹配、基于統計的分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事後分析。

各種相關網絡安全的黑客和病毒都是依賴網絡平台進行的，而如果在網絡平台上就能切斷黑客和病毒的傳播途徑，那麼就能更好地保證安全。這樣，就出現了網絡設備與IDS設備的聯動。IDS與網絡交換設備聯動，是指交換機或防火牆在運行的過程中，将各種數據流的信息上報給安全設備，IDS系統可根據上報信息和數據流内容進行檢測，在發現網絡安全事件的時候，進行有針對性的動作，并将這些對安全事件反應的動作發送到交換機或防火牆上，由交換機或防火牆來實現精确端口的關閉和斷開，這就是入侵防禦系統（IPS）。IPS技術是在IDS監測的功能上又增加了主動響應的功能，力求做到一旦發現有攻擊行為，立即響應，主動切斷連接。

系統容災

一個完整的網絡安全體系，隻有“防範”和“檢測”措施是不夠的，還必須具有災難容忍和系統恢複能力。因為任何一種網絡安全設施都不可能做到萬無一失，一旦發生漏防漏檢事件，其後果将是災難性的。此外，天災人禍、不可抗力等所導緻的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難，也能快速地恢複系統和數據，才能完整地保護網絡信息系統的安全。主要有基于數據備份和基于系統容錯的系統容災技術。

數據備份是數據保護的最後屏障，不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器，在兩者之間建立複制關系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統使用，異地容災備份存儲器實時複制本地備份存儲器的關鍵數據。二者通過IP相連，構成完整的數據容災系統，也能提供數據庫容災功能。

集群技術是一種系統級的系統容錯技術，通過對系統的整體冗馀和容錯來解決系統任何部件實效而引起的系統死機和不可用問題。集群系統可以采用雙機熱備份、本地集群網絡和異地集群網絡等多種形式實現，分别提供不同的系統可用性和容災性。其中異地集群網絡的容災性是最好的。

存儲、備份和容災技術的充分結合，構成一體化的數據容災備份存儲系統，是數據技術發展的重要階段。随着存儲網絡化時代的發展，傳統的功能單一的存儲器，将越來越讓位于一體化的多功能網絡存儲器。

管理策略

除了使用上述技術措施之外，在網絡安全中，通過制定相關的規章制度來加強網絡的安全管理，對于确保網絡的安全、可靠地運行，将起到十分有效的作用。網絡的安全管理策略包括：首先要制訂有關人員出入機房管理制度和網絡操作使用規程；其次确定安全管理等級和安全管理範圍；第三是制定網絡系統的維護制度和應急措施等。

新熱點

存儲在硬盤、光盤、軟盤、U盤等計算機存儲設備中的信息如果丢失或被破壞而又沒有備份的時候，這是讓人非常頭痛的事情。由于采取一般的手段很難恢複，因此數據修複成為許多人關注的難點和熱點.

國家信息中心已經在信息安全領域積累了豐富的經驗，并具有了一定實力。其所屬的信息安全研究與服務中心在引進國際先進的數據修複技術的基礎上，自主開發了适合中國計算機用戶的數據修複技術達到了國内先進水平，已經可以提供數據修複服務。

DRS數據修複是采用硬件檢修處理和數據重組的特殊技術來修複受損數據，這種方法可以最大可能恢複原有數據。這種方法修複數據可以做到3個“不限”：

1、不限故障類型不論是由病毒、系統故障、誤操作、升級或安裝軟件等邏輯損壞，還是由于意外事故、電擊、水淹、火燒、撞擊、機械故障等硬件原因造成的數據丢失均可修複;

2、不限存儲介質包括計算機硬盤、軟盤、計算機磁帶、各種光盤、磁盤陣列，移動硬盤、U盤等移動存儲設備，數碼相機的存儲卡在内的各類存儲介質;

3、不限系統平台包括DOS、不同版本的Windows、Linux、Unix等操作系統平台。該公司數據修複總成功率達到了80%以上，軟件故障修複成功率達到了98%。

數據修複技術除可以用于存儲設備數據恢複以外，還可用于計算機類設備的數據徹底删除、協助執法機關恢複已被破壞的計算機數據及提供與案件相關的電子資料證據。由于病毒的猖獗，計算機内部軟件、數據被破壞的可能性大大增加，長期保存的數據也可能丢失或損壞，而多數人還不了解這方面的情況.計算機數據修複有較大需求,僅2004年第三季度北京新注冊的數據恢複公司就有10多家,已經成為信息安全新熱點。