西宁软件优化网站建设,网站制作公司排行榜,建个门户网站,wordpress手机移动主题下面我们概括性探讨一下等级保护用到的一些技术#xff0c;有关这些技术的每一个方面的每一个部分都可以是一部大块头#xff0c;甚至一部大块头都无法介绍清楚#xff0c;需要系列性的书籍去展开#xff0c;所以这里也只能做到抛砖而已。期望起到抛砖引玉的作用#xff0… 下面我们概括性探讨一下等级保护用到的一些技术有关这些技术的每一个方面的每一个部分都可以是一部大块头甚至一部大块头都无法介绍清楚需要系列性的书籍去展开所以这里也只能做到抛砖而已。期望起到抛砖引玉的作用 今天我们先简单概括性谈一下有关网络安全等级保护基本技术等级保护工作是系统性、体系性的工作其技术可以用庞大或庞杂来形容。
如果你对安全知识体系有了一个真正的认知那么你对其感觉是庞大而有条理的但是如果你对安全知识体系一知半解那么就变得庞大而杂乱很多东西似是而非总能找到不同的解答。
究其原因就是对知识的把握不全面不牢固造成的这个是每一个人都可能经历的过程不必为此而烦恼做事秉持着当下最佳就行了。
下面我们概括性探讨一下等级保护用到的一些技术有关这些技术的每一个方面的每一个部分都可以是一部大块头甚至一部大块头都无法介绍清楚需要系列性的书籍去展开所以这里也只能做到抛砖而已。期望起到抛砖引玉的作用
1.标识与鉴别技术
标识是区别实体身份的方法。
用户标识通常由用户名和用户标识符UID表示设备标识通常由设备名和设备号表示。用户标识确保系统中标识用户的唯一性这种唯一性要求在信息系统的整个生存周期起作用从而支持系统安全事件的可审计性设备标识确保连接到系统中的设备的可管理性。
鉴别是确认实体真实性的方法。
用户鉴别用以确认试图进入系统的用户身份的真实性防止攻击者假冒合法用户进入系统设备鉴别用以确认接入系统的设备身份的真实性防止设备的非法接入。
鉴别的主要特点是鉴别信息的不可见性和难以伪造。
常见的鉴别技术有
a) 口令鉴别
口令鉴别是长期以来主要使用的用户身份鉴别方法。但简单的口令容易被猜测复杂的口令用户又难以记忆。
b) 生物特征鉴别
主要用于用户身份真实性鉴别包括以指纹特征信息为鉴别信息的用户身份鉴别以虹膜特征信息为鉴别信息的用户身份鉴别具有唯一性好和难以伪造等优点。
c) 数字证书鉴别
以数字形式表示的用于鉴别实体身份的证书信息以一定的格式存放在证书载体之中系统通过检验证书载体中的证书信息实现对实体身份鉴别的目的。证书信息的不可见性通常是由密码支持的安全机制实现的也可以由其它安全机制如采用信息隐藏技术安全机制实现。数字证书鉴别既可以用于用户身份的真实性鉴别也可以用于设备身份的真实性鉴别。 基于生物特征识别的移动智能终端身份鉴别技术架构
2.访问控制技术
访问控制是通过对信息系统中主、客体之间的访问关系进行控制实现对主体行为进行限制、对客体安全性进行保护的技术。访问控制是以授权管理为基础实现的。由系统按照统一的规则进行授权管理所实现的访问控制称为强制访问控制由用户按照个人意愿自主进行授权管理所实现的访问控制称为自主访问控制。
其实除了下面谈到的几种访问控制两大类还有基于对象、基于任务等访问类型这里主要谈两种最基础的类型顺便提及基于角色的访问。
a) 自主访问控制
自主访问控制是一种提供由用户对自身所创建的客体的访问权限进行控制的安全机制。这些访问权限包括允许或拒绝其它用户对该用户所创建客体进行读、写、执行、修改、删除操作以及授权转移等。自主访问控制的主要特点是由用户自主进行授权管理。
目前常见的实现自主访问控制的方法是各种形式的访问控制表ACL目录表访问控制、访问控制矩阵、能力表等。
b) 强制访问控制
强制访问控制是一种提供由系统按确定的规则对每一个用户所创建的客体的访问权限进行控制的安全机制。这种访问权限包括主体对客体的读、写、修改、删除等操作。强制访问控制的主要特点是由系统安全员统一进行授权管理。强制访问控制安全策略通过对主体访问客体的访问操作的控制实现对客体的保密性保护和完整性保护。
目前常见的强制访问控制有基于多级安全模型的访问控制和基于角色的访问控制BRAC。在多级安全模型中Bell-La Padula信息保密性模型是实现保密性保护的安全策略Biba信息完整性模型是实现完整性保护安全策略。
c)基于角色的访问控制
基于角色的访问控制BRAC则是既可以实现保密性保护也可以实现完整性保护的安全策略。强制访问控制通常需要按照最小授权原则对系统管理员、系统安全员和系统审计员的权限进行合理的分配和严格的管理。 三种访问控制之间的关系
3.存储和传输数据的完整性保护技术
完整性保护是对因各种原因引起的数据信息和系统破坏进行对抗的安全保护技术包括传输数据的完整性保护和存储数据的完整性保护。由于系统的破坏实际上是对系统中的软件和数据信息的破坏所以系统破坏可以归结为是信息破坏。
实现完整性保护的安全技术和机制包括一般的校验码机制如奇偶校验、海明校验等、密码系统支持的校验机制、隐藏信息技术支持的纠错机制等。访问控制、身份鉴别、边界隔离与防护等实际上也都是与完整性保护有关的安全技术和机制。
4.存储和传输数据的保密性保护技术
保密性保护是对因各种原因引起的信息和系统的非法泄露进行对抗的安全保护技术包括数据传输的保密性保护、数据存储的保密性保护。由于系统的非法泄露实际上是对系统中的软件和数据信息的泄露所以系统泄露同样可以归结为是信息泄露。
实现保密性保护的安全技术和机制主要包括密码系统支持的加密机制、隐藏信息技术支持的信息保护机制等。访问控制、身份鉴别、边界隔离与防护等实际上也都是与保密性保护有关的安全技术和机制。
5.边界隔离与防护技术
边界隔离与防护是一种适用于信息系统边界也称网络边界安全防护的安全技术主要包括防火墙、入侵检测、防病毒网关、非法外连检测、网闸、逻辑隔离、物理隔离、信息过滤等用于阻止来自外部网络的各种攻击行为。
使用边界隔离与防护技术进行安全防护首先要有明确的边界包括整个信息系统的外部边界和信息系统中各个安全域的内部边界。
6.系统安全运行及可用性保护技术
为了确保信息系统的安全运行确保信息系统中的信息及信息系统所提供的安全功能达到应有的可用性要求除了上述信息安全保护技术和边界防护技术外还应提供以下安全技术
a) 安全审计技术
对信息安全系统运行过程中的每一个安全相关事件应提供审计支持。审计机制应能及时发现并记录各种与安全事件有关的行为成功的或失败的并根据不同安全等级的要求对发现的安全事件作出不同的处理。
b) 安全性检测分析技术
对运行中的信息系统应定期或不定期进行信息系统安全性检测分析发现存在的问题和漏洞。信息系统安全性检测分析机制应提供对信息系统的各个重要组成部分如硬件系统、操作系统、数据库管理系统、应用软件系统、网络系统的各关键设备、设施以及电磁泄露发射等提供安全性检测分析功能。高安全等级的信息系统应由安全机制管理控制中心集中管理系统安全性检测分析功能。
c) 系统安全监控技术
对运行中的信息系统应实时地进行安全监控及时发现并处理各种攻击和入侵。信息系统安全监控机制应通过设置分布式探测机制监测并截获与攻击和入侵有关的信息在信息系统安全机制管理控制中心设置安全监控集中管理机制汇集由探测机制截获的信息并在综合分析的基础上对攻击和入侵事件作出处理。
d) 信息系统容错备份与故障恢复技术
确保信息系统不间断运行和对故障的快速处理和恢复是提供信息和信息系统功能可用性的基础和前提。信息系统容错、备份与故障恢复要求对信息系统的各个重要组成部分应提供复算、热备份等容错机制使可能出现的某些错误消除在内部对上层应用透明应提供信息备份与故障恢复、系统备份与故障恢复等机制对出现的某些故障通过备份所提供的支持实现恢复。对于重要的信息系统通过设置主机系统的异地备份当主机系统发生灾难性故障中断运行时能在较短时间内启动替代主机系统工作使系统不间断运行以确保业务应用的连续性。 灾难恢复服务生命周期示意图
7.密码技术
应根据信息系统安全保护的要求配置国家批准的相应密码技术。密码技术包含对称密钥密码、非对称密钥密码和单向函数。密码技术可用于实现数据加密、数字签名、身份认证、权限验证、数据完整性验证等安全需求的场合。 电子文件密码应用技术框架
后记宋郭若虚《图画见闻志》有关阎立本的记载唐阎立本至荆州观张僧繇旧迹曰‘定虚得名耳。’明日又往曰‘犹是近代佳手’ 明日又往曰‘名下无虚士。’坐卧观之留宿其下十余日不能去。我曾思考数日如何表述这段文字描述的故事。其中义理大部分人都一眼明了人却都在其中。试看文字描述同样一幅画三看三异三得次次都有新境界。
故事在告诫我们自身的知识和认知尚不圆满需日日不断精进故学习这事情需要保持空杯心态苟日新、日日新等级保护这些基本技术我个人自是都很熟悉但却又不深入也需要时时多读做到“旧书重读添新味”一次要比一次多得一些吧。
最后我也整理了一些网络安全黑客方面的学习进阶资料 如果你想跟同道中人交流
