时间:2023-10-10 10:40:49
序论:在您撰写信息安全应用时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
当用户想安全、轻松、及时地接入企业机密信息,如何保证这种接入的安全、简单呢?Citrix Password Manager是领先的企业单点登录解决方案,它从根本上改变了传统的多口令管理方式。使用它,用户可简单接入Windows、Web和基于主机的应用,且口令得到了更高的安全保障。它既可以作为独立的解决方案也可以作为Citrix环境的无缝部件使用。
以前,用户需记住5个,甚至15或30个口令,而且还必须弄清楚哪个应用配的是哪个口令,现在,就让我们彻底忘记那些让人感到恼火的事情吧。Password Manager的部署使用户只需一次身份验证,就能以一个口令登录所有受口令保护的应用。它将自动接入受口令保护的信息资源,执行严密的口令策略,监控口令相关事项,自动化最终用户工作,例如口令变更。
单点接入
为了加强IT安全,Password Manager对口令采取了集中化管理,具体事宜由IT机构的专业人员统一负责。这增强了用户的使用安全性及对外部攻击的防御能力。实际上,当用户离开公司后,可以仅关闭惟一的一道门终止他们的应用接入权利(取消主网络登录密码)。
同时,Password Manager加强了对信息接入的内部控制,使公司能轻松应付全球范围的大量法规条款。根据美国的HIPAA及Sarbanes-Oxley法案或European Union Data Protection Directive,安全缺口会让企业受到严厉的惩罚。在信息接入追踪方面,Password Manager执行强口令策略,自动化口令变更,实时抓取用户接入数据以供审查。
根据Forrester Research研究表明,Password Manager的自动口令变更过程使客户不必再为口令问题,尤其是口令重置,支付平均每用户200美元的Help Desk支持费用。利用用户自服务,Password Manager自动化了口令重置,为企业节约了成本。
除了上述几点之外,Password Manager的安装很方便,不需编写脚本,无须应用级别的整合,而且完全不会更改公司的基础架构。另外,它还能透明地直接集成业界先进的多因子认证设备。
主要特性
在应对来自IAM的挑战时,Citrix Password Manager提供了数字式签名,增强型事件记录和集成第三方安全认证来提高安全性、贯彻法律法规要求,另外还提供了一个强大的管理控制台以加强管理控制。此外,它还有更多、更显著的特性:
单点登录――提高生产力,用户仅凭自己的网络凭证进行一次登录。
增强口令策略――基于每个应用实施强口令生成法则,因而消除了用户自创的弱口令。
自动口令更改――用户看不到整个口令变更过程,这使IT人员能随意快速、简单并经常更改口令。
口令重置和账号解锁自服务――允许用户重置网域口令或解锁Windows账号。
Hot Desktop――让共享工作站的用户能在几秒内登录/退出。
用户身份供给机制――将用户的第二身份认证预置于Password Manager的核心存储。
竞争优势
Citrix Password Manager简化了企业用户的接入,为企业节约了成本,为每个人增强了安全性。如果Citrix Password Manager作为Citrix Access Suite的一部分来销售,其价值将大大提升。
Citrix Access Suite是目前安全按需接入领域集成性较好的接入解决方案,用户可在任何地方通过任何设备采用任何网络连接方式接入企业信息资源。Access Suite由Citrix Presentation Server、Citrix Access Gateway和Citrix Password Manager组成,提供了对信息(不管是数据、语音或人)的不间断接入。该套件设计安全,集中化接入,为企业应用奠定了坚实的基础,能自动适应动态的接入场景。
案例:非技术用户的简单接入
关键词:信息安全 风险评估 方法研究
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2015)12-0000-00
信息系统的风险评估是保证信息系统安全的重要措施,通过客观分析可以发现,信息系统的风险评估方法虽然多种多样,各有所长。但是却过分依赖于现实经验,经验固然是评估风险的重要内容,然而过度依赖则会使研究人员在评估过程中无法做到完全客观,从而降低了风险评估结果的科学性。
1信息系统安全风险概述
众所周知,信息系统主要由信息技术系统、系统运行环境以及信息资源三部分组成,因此,着三项也是信息系统安全风险的重点评估对象。信息技术系统包括计算机的硬件、软件以及其他固件,主要负责信息采集、处理等。系统运行环境包括信息系统运行中的内部环境和外部环境,在对系统运行环境进行安全风险评估时,需要充分考虑到信息系统自身安全配置与管理运行等综合因素。信息是进行信息系统安全评估的主要保护对象,一般而言,攻击的最终目的就是为了破坏或者获取信息,主要包括信息数据与相关代码[1]。
2信息安全风险评估研究现状
随着信息系统的发展,其内部结构也越来越复杂,因此,信息系统的安全风险已经不仅仅是由外部攻击而引起的,也很有可能是来自内部破坏或者信息系统自身的安全漏洞。到目前为止,国外关于信息安全风险评估已经初步形成了较为全面系统的研究方式,包括基础设施、网络环境、操作系统、安全数据库等多个方面。相对而言,我国信息安全技术的研究起步较晚,目前主要存在的问题包括风险标准较为落后、缺乏适合的系统理论与先进的研究设施、风险评估模型不成熟以及缺乏专业人才。信息系统的安全风险评估已经成为信息技术的重点研究项目,这项研究对我国社会发展与经济建设都有着至关重要的影响,对此,我国应该加强基础建设和资金投入,引进国外较为先进的指导理论与评估软件,并尽快培养出既有专业技术和管理能力的人才,以保证信息系统的安全运行[2]。
3信息安全风险评估量化方法研究
3.1安全风险的定量分析
一般而言,风险事件的发生是主要还是由于信息系统自身存在漏洞或者管理弱点,在信息系统存在问题时,如果遇到外在的威胁就可能出现风险事件。而其主要因素可以概括为风险事件发生的可能性与威胁行为发生的可能性两个层次。
信息系统受到攻击的动机一般分为主动攻击和意外事件两类,其中,多数风险事件的发生都是由于系统受到主动攻击。因此,在进行风险评估时要充分考虑到对方的破坏动机与破坏能力,以此计算风险发生的可能性。在对安全风险进行定量分析时,要严格按照分析程序,步骤包括分析风险影响、选择影响评估项、确定各评估项的权重以及计算风险影响值。
3.2模糊综合评判法的风险量化评估
模糊综合评判法是以模糊数学为基础,根据其中的隶属理论从而将定性评价转化为定量评价,概括而言,就是指利用模糊数学的优势对受到多重因素影响或制约的事物做出一个客观整体的评价。运用模糊综合评价法进行信息系统安全评估,具有结果清晰、系统性强的特点,适合解决非确定性问题。模糊综合评价法中主要涉及的步骤为构建模糊综合评价指标、构建完成相关的权重向量、构建评价矩阵以及将评价矩阵与权重进行合成。在对评价因素的特征进行系统分析之后,以各评价因素的特征为根据,确定评价值与评价因素之间的隶属度函数,对于确定两者之间的隶属度函数方法并没有严格的规定,通常研究人员会采用F统计方法,也可以与经验丰富的专业学者进行商讨,从而借助专业学者的现实经验进行评价,做出最后的评价结果。但是客观而言,过度依赖现实经验虽然可以减少研究步骤,降低工作难度,但是最终的结果可能会失去客观性与科学性,因此,对于关系社会发展与经济的信息系统,最好根据具体情况,对评价因素进行系统性的筛选,科学客观的确定评价值与评价因素值之间的隶属度函数关系,并且要合理的确定评价因素的权重[3]。
3.3故障树分析法的风险量化评估
故障树分析法是安全系统工程发展的重要标志,它可以运用逻辑方法对潜在的风险进行直观的分析,分析结果具有很强的逻辑性和系统性,可以对系统安全问题作出准确的预测,因此,故障树分析法既适用于定性分析也适用于定量分析。顾名思义,故障树分析法就是一种倒立树状逻辑因果的关系图,它有自身独特的表示方法和语言形式,可以清晰明了的描述出系统中各个事件之间的因果关系。通过研究故障树图可以完整的发现各级之间的关联作用,也正是因此,故障树图分析法的应用可以预知故障事件的发生。故障树逻辑图的构成主要依赖于逻辑门,因此它既可以分析由单一构件而引起的系统故障,也可以分析由多个构件在不同模式下而产生的系统故障问题。运用故障树分析法进行的风险评估结果具有较高的安全性与可靠性,而且通过研究,故障树分析法还在不断的完善,其应用范围也将越来越广泛,分析结果也会更加具有说服力[4]。
4结语
随着社会对信息系统的依赖性逐渐增大,信息系统的安全问题已经直接影响到社会经济的发展趋势,但是信息系统复杂且庞大,对专业性和严谨性都有较高的要求。因此,只有防患于未然才是最好的解决办法,在问题发生之前,通过客观系统的分析,对信息系统做出清晰准确的安全评估,并根据评估结果制定有效的防范于解决措施,以免问题扩大,造成更严重的影响。
参考文献
[1]黄芳芳.信息安全风险评估量化模型的研究与应用[D].湖北工业大学,2010.
[2]宇.基于层次分析法的信息安全风险评估量化方法研究[D].江西财经大学,2012.
1网络安全的定义
网络安全是指使用各种网络管理、控制和技术措施,使得网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,保证网络系统可靠、连续不间断地运行。 而网络安全包含网络硬件安全、网络软件安全、网络信息安全。从广义来说,就是我们的信息,从源头的网络设备开始,到网络的传输过程,最后到网络的设备终端,都是涉及到网络安全保护的范围,最后保证信息的完整性、保密性和可用性。
2校园网面临的安全问题
校园网面临的安全问题主要有以下几个方面:
(1)校园中的计算机设备千差万别。比如学生宿舍的计算机、老师的计算机、学校机房的计算机,这些计算机应用的安全策略都不尽相同,没有一个统一的计算机管理制度,就会造成校园网的安全责任难以区分。
(2)开放的校园环境。极大部分的高校处于一种开放式的校园,很难保证校园内的计算机和通信设备免收破坏。机房出入管理不严,使潜在的入侵者有机会接近重要的设备。所以硬件设备的物理安全是整个校园网正常运行的基本条件,高校必须重视设备的物理安全,完善学校的安保系统。
(3)“家贼难防”。校园网中的用户是一个多元化的群体,有老师、学生和外来人员等,要使得校园网正常稳定运行,就要确保每个用户正确使用校园网。其中学生是一个活跃的群体,他们对新知识充满好奇,一些新的网络知识,比如入侵和攻击技术,会让他们铤而走险,不考虑后果,以校园网作为对象去实施这些攻击。例如DDOS(分布式拒绝服务器攻击),对服务器会造成很大的负载,导致校园网瘫痪。
3校园网的信息安全应用
针对校园网所面对的安全问题,如何正确保护校园网的正常稳定运行,主要体现在管理安全、物理安全、数据安全、网络安全等方面。
3.1管理安全
校园网的管理安全就是对校园内的一切人、设备和环境等资源的状态管理与控制,有以下几个项目:
(1)对校园网进行定期维护和保养,主要的设备应当集中管理,对校园网中的路由器、交换机、服务器等网络资源进行监视、测试、配置、分析、评价和控制,对设备进行实时的监控,及时处理异常情况。
(2)建立完善的机房出入登记制度,任何人出入机房都必须登记姓名和部门等相关信息,而机房管理人员应当每天下班前检查机房是否完好,水电和门锁是否已关闭等。
(3)加强校园网安全基础设备的建设,如重要的校园网设备应当按照监控录像,如遇异常情况能提供录像证明。
3.2物理安全
硬件设备的物理安全是整个校园网正常运行的基本条件,其中包括物理位置选择、物理访问控制、防盗防破坏、防火防潮、防静电、防雷击、电力供应等方面。
(1)校园网主要设备的物理位置应该远离产生粉尘、油烟,以及生产或贮存具有腐蚀性、易燃、易爆物品的场所,避开强电磁场干扰(广播电视发射塔等),与垃圾房、厨房、餐厅保持相当距离,防止鼠害。
(2)机房应该使用专门的防静电地板,重要的设备旁边应该有灭火器等灭火工具;建立有效的制冷系统,保证设备运行在正常的温度和湿度状态下。
(3)机房必须配备UPS(Uninterruptible Power System/Uninterruptible Power Supply),即不间断电源,保证机房24小时不间断运行。
3.3数据安全
在信息化时代里,信息数据是最宝贵的资源,很多违法者想方设法都要窃取这些重要的数据。对于高校校园网而言,最可能的数据安全包括:重要的科研数据被破坏或泄密;财务系统数据被破坏或泄密;教务系统被破坏,教师或学生的个人资料被破坏或泄密。为了保护这些重要的数据,可以从以下几方面着手:
(1)利用数据加密技术(如3DES算法)对校园网中敏感数据进行加密,防止数据在通信过程当中被窃取。
(2)重要数据应当做好异地备份,防止数据被破坏。当出现数据丢失或损坏的时候能够迅速还原。
(3)利用身份认证和权限控制,把校园网内的用户分权限,不同用户依据自身获得的相关权限进行相关数据或信息的处理,从而实现数据和相关信息资源的安全。
3.4网络安全
网络安全主要是利用路由器、交换机、防火墙和入侵防御系统等设备防止数据在通信过程当中遭到破坏。具体方案有如下几点:
(1)构建校园网入网设备的病毒防御体系。在校园网的出口处设置网关防病毒系统。对通过FTP下载文件、通过POP3接收下载外部邮件时可能携带的恶性的程序和病毒进行查杀扫描。在网络中心机房建立防病毒监测与控制中心,能够及时有效地发现、抵御病毒的攻击和彻底清除病毒。
(2)建立7*24小时监控的网络信息入侵检测体系。入侵检测系统(IDS)是新一代动态安全防范技术,通过对计算机网络或主机中的若干关键信息的收集和分析,从中发现是否有违反安全策略的行为和被攻击的迹象。
(3)建立高效可靠的内网安全管理体系。对于移动设备(笔记本等)和新增设备未经过安全过滤和检查,监测内网计算机的一些违规接入网络的行为。对于一些端口(无线接入设备或固定端口)可以使用IP地址与MAC地址进行绑定。
4结语
保证信息的安全是校园网能够得到广泛应用的重要前提条件,一个方面的安全解决方案很难充分保证校园网安全,因此建立一套多方位的安全管理方案是十分必要的。虽然信息没有百分之百的安全,但这样的全面保护方案也仍然是必要的,而且必须与时俱进,随时更新各种网络技术。本文提出的信息安全应用,能够有效保证校园网的信息安全。
关键词:企业;信息安全技术;应用
1概述
现代企业经营发展进程中面对日益激烈的市场竞争环境,积极采用信息化管理模式,引入现代信息技术手段势在必行。随着企业信息化发展进程的不断深入,网络安全问题渐渐变成企业快速发展阶段中的绊脚石。为此,做好信息安全建设,加强安全管理,有效应用信息安全技术成为一项重要对策。
2信息安全技术内涵
信息安全技术具体涵盖防火墙系统技术、保密技术、防范病毒系统、入侵检测系统、专用网系统技术、安全扫描、虚拟技术手段等。信息安全技术应用功能在于保证各类重要信息资源的完整、安全,确保不会出现机密信息丢失的问题,同时体现信息资源的可用性,提升信息系统的可靠稳定性。另外,还可预防由于系统自身出现故障导致信息数据外流或是有害内容蔓延引起不良的社会反映。有效应用信息安全技术可全面抵御病毒入侵造成的伤害、避免恶意代码造成的不良攻击,促进信息系统可靠安全的应用与运行。
3企业发展运行中信息安全技术应用重要性
企业发展运行中有效应用信息安全技术创建信息安全管理系统极为重要,其主体优势表现在下述几个方面。首先,可满足企业自动化发展经营的现实需要,在企业内部创建网络化管理模式,辅助企业制定智能化管理对策。透过信息安全系统,可实现全面信息共享,使企业库存量全面降低、缩减运营管理与生产成本。同时,企业可全面明确客户现实需要,进而依照具体需求做好生产分配,全面提升工作效率,使各项信息数据第一时间更新。信息流则可更快速的在企业内部或是各个企业单位之中流动。当然,伴随企业信息化建设步伐的日益加快,信息安全问题逐步显现出来并成为新时期现代社会需要共同应对的一项重要课题。为确保企业信息化发展应用技术可靠安全,需要引入现代化网络系统、必备的管理程序,保护信息数据机密、内容完整、实用可靠。企业应依照自身发展特征、核心价值创建与之适应的信息系统,对网络资源形成良好保障,确保各项控制业务的可靠运转。例如,需要对系统应用的物理环境进行动态化安全监测,确保企业各项资源、系统设施的可靠安全,设定应急预案,做好应用系统、各类软硬件工具安全维护管理。
4企业管理存在的安全问题
纵观当前企业经营管理发展不难看出,其存在一定的信息安全问题,倘若不加控制,采用科学有效的安全技术手段,将导致内部重要信息非法泄露、被不良篡改,甚至被黑客窃取。具体来说,较多企业存在防范网络安全问题意识薄弱的现象。伴随数字化、现代化技术的快速发展,网络办公室管理模式受到更多企业的追捧,然而由于大部分企业过分依赖办公自动化系统,导致单位内部安全防护系统受到了越来越大的威胁。较多员工由于没能重视安全防护管理,制定的安全机制并不完善,采用的网络恢复手段较为陈旧,总体防御能力不强,进而令企业重要的信息资源面临着更大的威胁与影响。一些非法分子为了窃取企业机密信息、获取更大利益而采用高科技手段入侵至企业办公自动化系统中,对各类网络信息肆意窃取。更有甚者冒充企业员工在网络上从事欺骗行为,对重要信息内容进行篡改导致一部分数据资源泄露出来,该类现象均对企业信息系统造成了不良威胁,成为主要的不安全因素。当前,企业信息化系统感染病毒的途径多种多样,例如打开不明电子邮件、登录网站下载软件工具、打开不明文件等,均有可能激发病毒,同时其快速广泛的传播也会导致网络病毒造成的危害快速扩大。
5企业管理中信息安全技术应用科学对策
为全面提升企业管理综合水平,开创优质安全的信息技术应用环境,首要对策在于确保物理安全,杜绝计算机应用系统、服务器系统、打印机等重要硬件工具以及通信链路受到自然灾害的影响,或是出现人为破坏的现象以及引发搭线攻击问题。通过应用信息安全物理防控对策可快速检验用户身份以及访问权限,预防非法越权行为,给企业计算机应用系统开创一个优质的电磁兼容运行环境。企业可创建相对完备、合理的安全管理机制,以预防非法入侵控制室以及引发各类偷窃行为、人为破坏事件。为有效保障企业网络系统安全,应采取必要的访问控制对策。具体来说即确保各类重要网络资源不会被非法访问或是应用,同时还是确保网络系统可靠、资源完整全面的必要途径。具体来说,企业可进一步加强网络登录访问控制、应用权限控制、目录安全级别管控、服务器应用安全管控、系统检测、锁定目标与控制系统端口以及重要结点。另外,企业应进一步加强防火墙控制,有效预防网络系统中出现黑客入侵、非法登录网络系统的问题。通过创建防火墙系统,企业可控制进、出通信系统的门槛,通过创建有效的监控体系阻隔企业内外网,进而将外网入侵事件机率大大降低。目前,普遍应用的技术手段包括包过滤系统技术、技术以及双穴主机系统技术等。通过信息加密技术手段可确保企业内网信息、资源的可靠安全。一般来说,有效的技术手段包括链路加密、结点以及端点加密技术等。企业可依照自身现实需要采取与之相适应的加密技术手段,进而有效防控信息安全问题,达到事半功倍的工作效果。总之,信息时代,企业应用有效的信息安全技术十分必要。面对日益激烈的市场竞争环境,谁创建了安全可靠的信息化工作系统,谁便拥有了宝贵财富,将全面提升工作效率,使重要的企业信息资源得到最合理化的应用。为此,我们只有针对现实工作中存在的问题制定科学对策,方能真正激发信息安全技术应用价值,推动现代企业实现可持续的全面发展。
作者:刘嬴 单位:哈尔滨市人才服务局
参考文献:
[1]董淑杰,翟慧慧,姜丽珍,路正霞.信息安全技术在电力内网中的应用[J].电子测试,2016(7).
[2]杨晗,袁野.浅论电子科技企业信息安全技术[J].电子制作,2015(6).
关键词:虚拟化技术;信息安全领域;应用
虚拟化技术在信息安全领域的应用原理主要就是同一个物理设备上运行一个操作系统和多个虚拟系统,这样的技术的应用会产生隔离效果、主动防御的效果以及良好的备份效果,不但可以提高信息的安全性,还能够节省网络运行的成本,同时提高运行的效率。
1虚拟化技术概述
虚拟化技术,主要是对存储、计算和网络资源进行全面整合,实现高效率应用的一种技术,它属于云计算技术中的核心。对于云计算平台来说,像网络存储和IT资源这样的软硬件都是可以形成虚拟化的对象,从而让空间得到全面的拓展,从而提高资源的利用率。因此,这项技术具有着降低电能消耗、降低硬件购买成本和节省存储空间的作用,同时,它可以让信息的处理更为安全。
2虚拟化技术在信息安全领域的应用
目前,我国的信息安全领域存在着较为明显的问题,大概可分为两种类型:(1)外力的涉入;(2)自身的修复。前者是因为网络具有开放性的原因,很容易产生各种各样的漏洞而遭到病毒及黑客的攻击,这种攻击或者是盗窃性质的或者是破坏性质的,二者的共同点是都能够让使用者的信息遭到泄露,而后者是因为使用者在使用计算机时未免会出现失误,将重要的文件或者需要存储的信息无意删除,而现在计算机网路的自身修复能力较差,所以信息很有可能因为这些失误而永久消失,虚拟化技术在信息安全领域的应用对这些问题起到了一定解决的效果。
2.1虚拟化技术在信息安全领域应用过程
虚拟化技术在信息安全领域的应用主要体现在服务器上,因为服务器的增多会导致硬件经费的增加,会加大电能的消耗和空间的浪费,所以将服务器进行虚拟化可以让多个平台的应用都传输到一台虚拟机,这样能够减少服务器的数量,提高资源利用效率。如某企业就采用了VMwareESXSever进行了服务器的虚拟化,将三台虚拟机分别部署在三想R630上,并且把小型机P570等服务器上的应用部署在上面,图1位该企业的虚拟化环境结构图。通过如图1所示的方式进行结构部署,可以让工作人员在办公室监测VMware的系统运行状况,主要检查两个方面,一个是ESX的主机性能,如CPU、磁盘和内存的占用情况;还要进行检查的是ESX的HA配置,看看ESX主机图标上没有红色感叹号。这样的监测可以让发现问题变得及时,并能得到有效的解决,并且,当其中一台出现故障的时候能够做到自动地迁移,大大提高了运行效率和安全性能。
2.2虚拟化技术在信息安全领域应用效果
虚拟化技术在信息安全领域的应用效果可以概括为三类,即隔离效果、主动防御效果及良好的备份效果。正是因为这三种效果,让虚拟化技术一直受到人们的广泛关注,并且成为信息安全在未来的主要研究方向。2.2.1隔离效果虚拟化技术的主要应用之一是在一台物理设备上运行多个虚拟操作系统。虽然主机的操作系统和这些虚拟的操作系统共享着同一台设备,并且处在同一个网络环境之中,但是它们却是相互隔离的,不能够直接完成通信。通过这种隔离的技术,可以实现两种两种功能,一是对于外来攻击的防御,二是自身病毒查杀能力的增强。(1)外来攻击的防御:对外来攻击的防御是因为这种隔离效果能够利用虚拟系统保护主机的操作系统,将重要的信息及网络口令都存储在主机的操作系统里面,而利用虚拟系统进行一些应用程序的下载和安装,这样在受到黑客及病毒的攻击时,不能直接攻击到主机系统,从而减少了主机系统的崩溃风险,而早虚拟系统受到攻击的时候,因为相互的隔离,所以对主机操作系统几乎没有任何影响,这时只需要对虚拟系统的应用程序进行重新的下载和安装即可。(2)病毒查杀能力增强:传统的非虚拟化操作系统的病毒查杀能力较弱,因为它是从代码进行分析的,主动查杀能力弱,不能对新型的病毒进行快速地找到并消灭,而虚拟化操作系统是从病毒的行为入手,从而让病毒控制在虚拟系统里,对于新型病毒也有着良好的效果。2.2.2主动防御效果虚拟化技术在信息安全领域应用的主动防御效果是因为用了一种名为蜜罐的技术。蜜罐技术的定义为,这是一种资源,价值在于被攻击或者被攻陷。顾名思义,这种技术意味着它需要主动被攻击,并且它为了获得更多的信息而不会进行自身的修补,它会产生一种主动地防御效果。这种蜜罐的软件大多被用来收集并跟踪恶意的代码,起到了良好的监测效果。而虚拟化技术的实现让蜜罐技术的监测范围更加广泛,这是因为在同一台物理设备下有着多台的虚拟系统,这些系统又各不相同,每一个虚拟系统都可以采用蜜罐技术进行对网络恶意代码的防御并跟踪,拿Honeyd这一蜜罐软件为例,仅仅一个物理设备就可以模拟出65536个虚拟的蜜罐,如此庞大数量的蜜罐,可以吸收足够多的恶意代码进行攻击,并且收集它们的数据,从而进行防范,而正如前文所说,虚拟系统被攻击对于主机的操作系统并无影响。
Internet广泛应用下确保信息安全尤为重要。信息隐藏技术因其不可见性、通用性、安全性等特点,应用前景广阔。文章主要对信息隐藏技术原理、特点及在信息安全领域中的应用进行简要阐述。
关键词:
信息安全技术;信息隐藏技术;原理;应用
0引言
在Internet广泛应用下,网络已经深入到我们工作生活中的各个领域。当前的电子商务对网络安全提出了更高要求,如信息安全不能得到保障,国家信息安全建设就潜在巨大安全隐患。信息隐藏技术是信息安全领域中的新兴学科,能利用人类感觉器官及多媒体信号的冗余性,将信息隐匿到其它宿主信号中,让信息不易被觉察,也不影响宿主信号的使用价值[1-2]。信息隐藏技术具备不可见性、通用性、安全性等特点,应用前景广阔。本文主要对信息隐藏技术原理、特点及在信息安全领域中的应用进行简要阐述。
1信息隐藏技术
1.1基本原理
信息隐藏技术是一种将待隐信息(密文、软件序列号、版权信息等)利用某嵌入算法隐藏至一个载体信息中,从而获得一个隐藏载体的过程[3]。在此过程中,信息隐藏的目的是要确保信息不被觉察破坏,而此过程中信息的交流存储并不受限制。在信息隐藏技术下配合密码加密能更确保信息安全性。
1.2信息隐藏技术特点
信息在不同媒体掩藏下具备不同的特点,但信息隐藏技术都具备如下基本特点:(1)隐藏性:信息嵌入之后,遮掩载体外部特征不会显著改变,秘密信息的质量也不会下降,不会让人们从感官上察觉到掩护对象的变化,让非法拦截者对是否有秘密信息不能判断。(2)不可测性:隐蔽载体同原始载体特性一致,非法拦截者要将秘密信息检测并提取出来非常困难[4]。(3)不可见性:经过隐藏处理,目标资料质量不会明显下降,对这些隐藏信息,人们不会看见,也不会听见。(4)鲁棒性:信息隐藏技术不会因图像文件出现了某种改动而让隐藏的信息丢失。我们所说的改动包括如下几方面:滤波、重采样等一般信号处理;分割、缩放、平移等一般几何变换;恶意攻击等。(5)自恢复性:隐蔽载体尽管在经过变换操作后会受到破坏,但是只要存在部分数据,就可在宿主信号缺失情况下恢复隐藏信息[5]。(6)安全性:信息隐藏技术中的隐藏算法抗攻击力强,可承受较强程度人为攻击,确保隐藏信息安全可靠。
1.3模型
我们将待隐藏信息称之为为秘密信息,将公开信息称之为载体信息,他可以是文本、图像、视频或者是音频信号。信息隐藏多由密钥来控制,密钥将秘密信息利用嵌入算法隐藏到公开信息中,隐藏载体利用通信信道进行传递,随后在检测器中利用密钥将秘密信息从隐蔽载体中进行检测或恢复.
2信息隐藏术与加密技术的关系
信息的密码技术及隐藏技术都是信息安全保障技术,但两者是有显著区别的。信息加密技术能把明文在加密算法下转换成密文并利用公开信道传送至接收者的手中,非授权者能意识到保密信息存在,但却不能获知信息具体内容。信息隐藏技术下攻击者则不能对保密信息进行直观判断。两种技术不是相互竞争、相互矛盾的,是相互补充的,如果在信息隐藏技术中融入加密技术,那么信息在数据传输的过程中会达到理论上的一个最高的安全级别。
3信息隐藏的常用技术
3.1替换技术
替换就是指的是用秘密信息将伪装载体内的不重要部分替换掉,并对秘密信息进行编码的一种技术,属于空间域操作,将适合的伪装载体嵌入到适当区域,确保数据失真度保持在人的视觉允许的范围之内。这种技术算法简单,但不能抵抗图像压缩、尺寸变化等攻击,鲁棒性较差。
3.2变换技术
变换技术主要包括离散小波变换(DWT)、离散余弦变换(DCT)及离散傅利叶变换(DFT)等,每个技术都具有自身特点,DWT可对图像进行多空间、多尺度、多频率分解,可将输入信号分解成系列低分辨率细节信号;DCT能让空间域内能量重新分布,图像相关性降低;DFT能将图像分割为多个感觉的频段,让秘密信息能选择更适合部分去嵌入。这种技术鲁棒性较好,可抵抗压缩、噪音等的攻击。
3.3扩频技术
扩频技术指的是将一个比特多次嵌入到伪装载体中,让隐藏的信息在过滤之后仍能保留。这种技术尽管传输率差,但是实际应用中,在随机码下能使载有信息数据的基带信号频谱扩展,让信号变成宽带低功率谱密度的信号。其中,跳频扩频、直序扩频最为典型。且这种技术检测只需盲检,即使传输中受到乘性、加性噪音攻击,隐藏信息也不会丢失。
4信息安全技术中信息隐藏技术的应用
4.1对数字知识产权进行保护对数字知识产权进行保护是将数字指纹技术及数字水印技术来解决信息隐藏技术中所遇到的问题[6]。信息隐藏技术利用“数字
水印”在数字知识信息中嵌入签字信号,对数字知识进行产权保护。通过信息隐藏技术可将音频信号、视频信号机数字图像中嵌入不可见的信号标签,可防止攻击者对其进行数据跟踪及非法拷贝。为确保数字信息安全,服务商向用户发送产品同时可在作品中以水印形式将双方信息代码隐藏其中,一旦数字产品出现非法传播,能够利用水印代码对非法散播者进行追查。信息隐藏技术对数字知识产权进行保护中数据嵌入量小,因此对签字信号鲁棒性及安全性都要求很高。数字水印技术在使用中有一定缺陷,一旦所保护媒体被篡改,水印就会被破坏,信息就变得容易识别。而对数字票据来说就不会出现这种情况,数据票据中的隐藏水印在打印之后仍是存在的,因此对于数据票据可以利用对数据进行扫描这一形式对防伪隐藏水印进行提取,以此来判断票据真实与否。
4.2对数据完整性进行鉴定
所谓的数据完整性鉴定指的是对信号完整性及真伪进行判别,指出信号同原始信号间的差别,借此确认信息在传输及存储过程中有没有被破坏、篡改。如果接收到音频、视频等多媒体形式的信号,需对信号原始式进行判断,看信号是否为某一真实信号的修改版本,并要对原始信号内容进行是否真实性的判断[7]。要完成这种鉴定需首先在数据库的管理系统中输入各种完整数据,并制定相应的约束机制,这样才能确保数据在输入及存储过程中的完整性。其次,如数据传输可视的情况下,可以采用数据校验的方式对这些数据进行检测。
4.3对数据进行保密
网络上进行秘密数据传输的过程中最重要的就是要防止一些非法用户将其截获及使用,确保数据安全也是信息安全技术的一个主要内容。随经济全球化,电子信息技术得到了飞速发展,已经涉及到国家军事、政治、金融、商业等众多领域,关系到国家安全及个人隐私。而信息隐藏技术就是要确保网上交流信息的安全性,为信息数据进行保密。例如网上银行的交易数据,电子商务的秘密合同,电子政务的敏感信息,重要文件的数字签名等等都可以利用网络隐藏技术进行保护。除此之外,信息隐藏技术还能够将不愿让人知道的信息内容采用隐藏方式来存储,让数据更为隐匿,保密性更强,信息也更为安全。
4.4对资料不可抵赖性进行确认
网上交易的过程中,参与交易的任何一方对自己的行为都不能抵赖,对于曾接收过、接收到了对方信息也不能否认,这是确保网上交易安全的一个重要环节。在交易系统中应用信息隐藏技术之后,交易体系下的任何一方在接收及发送信息时就可以将自身独特的标记隐藏到传递的信息中,这些隐藏的标记不能被清除,从而能够确保交易过程中任何一方都不能对自己行为进行抵赖[8]。
5结语
综上所述,信息隐藏技术为多媒体信号处理及多媒体通信领域内的一个新兴研究方向,信息隐藏技术能为多媒体信息安全提供新思路。当前国际上的信息隐藏技术可以做到将隐藏信息进行仪器检测,抵抗人为攻击,但是还没有发展到可以实用的阶段,今后将密码技术同信息隐藏技术有机结合,建立不可感知性的数学度量模型,有效进行信息隐藏容量上界的计算,是今后信息隐藏技术需要努力的方向。
作者:李蟾膺 单位:民航西南空管局
参考文献:
[1]古春杰.信息隐藏技术的理论及应用[J].计算机光盘软件与应用,2014(10):189-190
[2]李彩容,胡瑞敏,涂卫平.使用信息隐藏技术保障档案信息安全[J].中国电子商情•通信市场,2013(1):183-187
[3]马秀芳,时晨,赵洪钢.具有广泛军事应用前景的信息隐藏技术[J].电信快报:网络与通信,2013(12):11-13
[4]刘会平,国伟.数字加网信息隐藏技术在隐秘保密通信中的应用[J].计算机应用,2014,34(9):2645-2649
[5]谢灵智.数字水印——信息安全研究新方向[J].信息安全与通信保密,2013(2):28.
[6]刘丽,周亚建.二维条码数字水印技术研究[J].信息网络安全,2014(1):56-60
本文重点描述了根据公安部出台的《信息安全技术信息系统安全保护定级指南》的要求,在医院信息系统等级防护中应用堡垒机去解决与保护域内计算机系统资源实现身份鉴别认证,并提供有效可回溯的安全审计方式,让医院信息系统获得最大的保障和管理应用效果。
关键词:
信息系统;安全;堡垒机
1、现状与要求
近年国家对企业的信息安全越来越重视,公安部及信息部等出台了《信息安全技术信息系统安全保护定级指南》(以下简称《指南》),卫生部也出台了《卫生行业信息安全等级保护工作的指导意见》对在建及已经运营的医院信息系统进行检查,要求重要信息系统其安全保护等级按照不低于三级进行建设。在《指南》中,要求信息系统必须建立及保存运维访问的各种操作日志。《定指南》将系统划分物理、网络、主机、应用和数据安全及备份等几大安全领域,其中几大领域均涉及到了数据以及操作审计、操作人员身份鉴别等安全问题。
2、医疗信息安全领域存在的问题
医院信息系统主要划分为his,pacs,Lis等几大子系统,其主要目标是支持医院的行政与管理运作,减轻各事务处理人员劳动强度,辅助医院高层对医院运作进行管理决策,提高医院工作效率,从而使医院能够获得良好的社会与经济效益。在对日常各系统的运维过程中,不同公司的维保人员有可能通过互联网络,在外地甚至在家对医院的业务系统进行升级与维护,操作方式基本分散无序,普遍存在由于管理人员登陆帐号管理不规范、运维权限划分不清晰、认证流程简单、缺乏对运维过程的监控、无法控制运维的时间段等等问题,容易导致其运维行为可能存在误操作、违规操作甚至恶意操作等现象,造成系统服务异常或宕机,病人数据信息被泄露或破坏。因此,进一步加强对拥有信息系统高级管理权限的运维操作人员的行为管理与监控,也是医院信息安全发展的必然趋势。
3、堡垒机在信息安全领域的应用
堡垒机,提供了在特定网络环境下,为确保域内服务器、路由器等设备的安全运行,使用协议等方式,接管对终端目标设备的访问界面,对其访问行为进行安全审计与翻译,集中管理、监控记录运维过程的一种设备,确保域内网络与数据不受破坏。堡垒机扮演了对信息系统和网络、数据看门者的角色,所有对网络关键设备、服务器以及数据库的访问,都要经过这个看门者的安全检查。符合安全规定条件在命令和操作才可以从大门通过,这个看门人可以对这些命令和操作进行登记记录,而某些非法访问、恶意攻击以及不合法命令则被阻隔于大门之外。因此,在提高医院信息安全防护等级的过程中,使用堡垒机不仅可以实现用户的身份鉴别、单点登陆、多因素安全认证,还可以将服务器、网络路由设备、数据库等资源的操作进行详细的记录并录像,提供有效的安全审计查询。堡垒机作为医院信息系统等级保护安全体系中的一个环节,可以很方便地做到事中监控,事后找出问题根源。医疗单位要选择一款好的堡垒机,要注意其生产厂家必须能在IT运维管理领域里,可以深刻感知医疗安全行业和国家的合规性规范及高安全性、高可用性和高可靠性需求,不断创新发展,致力从事智能的自动化运维管理。医院在选择堡垒机厂商时要注意厂商是否具备快速响应能力及行业内口碑等,多了解其产品的行业经验,注意了解厂商的是否有医院信息安全领域的服务经验及良好的服务质量,并建议选购前要做好堡垒机设备与医院信息系统的兼容性测试,选择良好的堡垒机厂商可以让医院医疗信息行业运维管理工作增值,这样才能让医院医疗信息系统获得最大的保障和应用效果。
4、堡垒机所应具备功能:
4.1单点登录
堡垒机可通过保护域内的安全设备、数据库、网络设备等对堡垒机专用帐号的授权,支持针对一系列授权帐号的密码定期变换,规范及简化密码管理流程。被授权的维护人员无需再记忆各种不同系统的密码,即可通过堡垒机安全便捷地登录被保护域内设备。
4.2帐号管理
针对保护域内的网络设备、服务器及其他安全设备的各种帐号进行统一管理,监控授权访问资源帐号的整个生命周期。可以根据运维人员的不同身份设计不同帐号角色,满足审计及运维操作管理要求。
4.3身份认证
由堡垒机提供统一的认证入口,支持包括动态与静态口令、硬件密钥、生物指纹认证等多种认证模式对用户认证。并要求可订制接口,支持第三方认证服务;有效提高保护域内设备的安全型及可靠性。
4.4资源授权
针对访问域内网络设备、服务器、数据库等根据ip协议类型、行为等多种要素进行授权操作
4.5访问控制
保垒机能支持对不同用户制定不同策略,有针对性地进行细粒度的访问控制,有效禁止非法及越权访问,最大限度地保护用户资源的安全。
4.6操作审计
堡垒机能支持针对命令字符操作、图形界面操作、文件传输操作等的多种行为的审计与录像全程记录,支持通过实时界面监控、对违规事件进行事中阻截。并能支持对指令信息的关键字搜索,精确定位录像回放位置等功能。
5.堡垒机在医院医疗信息系统安全的主要作用:
5.1从医院来看:
通过堡垒机细粒度的安全管控策略,保证医疗信息系统的服务器、网络设备、数据库、安全设备等安全可靠运行,并可以在一定保障数据的隐私性与安全性,降低人为安全损失,保障医疗信息系统的运营效益。
5.2从信息系统管理员来看
可以将保护域内系统所有的运维账号在堡垒机这个安全平台上管理,让管理更简单有序,确保用户拥有的权限是恰当的,只拥有完成任务所需的最小权限。
5.3权限控制:
通过堡垒机可以通过字符与图形界面直观方便的监控各种韵维访问行为,及时发现与阻隔违规操作、权限滥用等。
5.4以普通用户来看:
系统运维只需要记住一个自己的运维账号和口令,登录一次,就可以访问个资源,大大降低工作复杂性,提高了效率。
作者:胡名坚 周春华 黄慧勇 单位:佛山市第一人民医院计算机中心
参考文献:
