1.1.2 信息安全的内容_信息安全技术与实施-QQ阅读男生玄幻网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1.1.2 信息安全的内容

信息安全涉及个人权益、企业生存、金融风险防范、社会稳定和国家的安全，它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全、国家信息安全的总和。

1．物理安全

物理安全是指用来保护计算机网络中的传输介质、网络设备和机房设施安全的各种装置与管理手段。物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等方面的内容。

物理上的安全威胁主要涉及对计算机或人员的访问。可用于增强物理安全的策略有很多，如将计算机系统和关键设备布置在一个安全的环境中，销毁不再使用的敏感文档，保持密码和身份认证部件的安全性，锁住便携式设备等。物理安全的实施更多的是依赖于行政的干预手段并结合相关技术。如果没有基础的物理保护，例如带锁的开关柜、数据中心等，物理安全是不可能实现的。

2．网络安全

计算机网络的逻辑安全主要通过用户身份认证、访问控制、加密、安全管理等方法来实现。

（1）用户身份认证。身份证明是所有安全系统不可或缺的一个组件。它是区别授权用户和入侵者的唯一方法。为了实现对信息资源的保护，并知道何人试图获取网络资源的访问权，任何网络资源拥有者都必须对用户进行身份认证。当使用某些更尖端的通信方式时，身份认证特别重要。

（2）访问控制。访问控制是制约用户连接特定网络、计算机与应用程序，获取特定类型数据流量的能力。访问控制系统一般针对网络资源进行安全控制区域划分，实施区域防御的策略。在区域的物理边界或逻辑边界使用一个许可或拒绝访问的集中控制点。

（3）加密。即使访问控制和身份验证系统完全有效，在数据信息通过网络传送时，企业仍可能面临被窃听的风险。事实上，低成本和连接的简便性已使Internet成为企业内和企业间通信的一个极为诱人的媒介。同时，无线网络的广泛使用也在进一步加大网络数据被窃听的风险。加密技术用于针对窃听提供保护。它通过使信息只能被具有解密数据所需密钥的人员读取来提供信息的安全保护。它与第三方是否通过Internet截取数据包无关，因为数据即使在网络上被第三方截取，它也无法获取信息的本义。这种方法可在整个企业网络中使用，包括在企业内部（内部网）、企业之间（外部网）或通过公共Internet在虚拟专用网络（VPN）中传送私人数据。加密技术主要包括对称式和非对称式两种，这两种方式都有许多不同的密钥算法来实现，在此不一一详述。

（4）安全管理。安全系统应当允许由授权人进行监视和控制。使用验证的任何系统都需要某种集中授权来验证这些身份，而无论它是UNIX主机、Windows NT域控制器还是Novell Directory Services（NDS）服务器上的/etc/passwd文件。由于能够查看历史记录，如突破防火墙的多次失败尝试，安全系统可以为那些负责保护信息资源的人员提供宝贵的信息。一些更新的安全规范，如IPSec，需要包含策略规则数据库。要使系统正确运行，就必须管理所有这些要素。但是，管理控制台本身也是安全系统的另一个潜在故障点。因此，必须确保这些系统在物理上得到安全保护，并确保对管理控制台的任何登录进行验证。

3．操作系统安全

计算机操作系统担负着自身庞大的资源管理，频繁的输入输出控制，以及不可间断的用户与操作系统之间的通信任务。由于操作系统具有“一权独大”的特点，所有针对计算机和网络的入侵及非法访问都是以攫取操作系统的最高权限作为入侵的目的。因此，操作系统安全的内容就是采用各种技术手段和采取合理的安全策略，降低系统的脆弱性。

与过去相比，如今的操作系统性能更先进、功能更丰富，因而对使用者来说更便利，但同时也增加了安全漏洞。要减少操作系统的安全漏洞，需要对操作系统予以合理配置、管理和监控。做到这点的秘诀在于集中、自动管理机构（企业）内部的操作系统安全，而不是分散、人工管理每台计算机。

实际上，如果不集中管理操作系统安全，相应的成本和风险就会非常高。目前所知道的安全入侵事件，一半以上缘于操作系统根本没有合理配置，或者没有经常核查及监控。操作系统都是以默认安全设置来配置的，因而极容易受到攻击。

那些人工更改了服务器安全配置的用户，把技术支持部门的资源过多地消耗于帮助用户处理口令查询上，而不是处理更重要的网络问题。考虑到这些弊端，难怪许多管理员任由服务器操作系统以默认状态运行。这样一来，服务器可以马上投入运行，但这却大大增大了安全风险。

现有技术可以减轻管理负担。要加强机构（企业）网络内操作系统的安全，需要做到以下三方面。

首先，对网络上的服务器进行配置应该在一个地方进行，大多数用户大概需要数十种不同的配置。然后，这些配置文件的一个镜像或一组镜像在软件的帮助下可以通过网络下载。软件能够自动管理下载过程，不需要为每台服务器手工下载。此外，即使有某些重要的配置文件，也不应该让本地管理员对每台服务器分别配置，这样做是很危险的，最好的办法就是一次性全部设定。一旦网络配置完毕，管理员就要核实安全策略的执行情况，定义用户访问权限，确保所有配置正确无误。管理员可以在网络上运行（或远程运行）代理程序，不断监控每台服务器。代理程序不会干扰正常操作。

其次，账户需要加以集中管理，以控制对网络的访问，并且确保用户拥有合理访问机构（企业）资源的权限。策略、规则和决策应在一个地方进行，而不是在每台计算机上进行，然后为用户系统配置合理的身份和许可权。身份生命周期管理程序可以自动管理这一过程，减少手工过程带来的麻烦。

最后，操作系统应该配置成能够轻松、高效地监控网络活动，可以显示谁在进行连接，谁断开了连接，以及发现来自操作系统的潜在安全事件。