信息系统安全防护技术全扫描

在互联网应用日益普及的今天，信息系统面临的安全挑战也日趋严峻，即使最细小、最隐秘的漏洞也可能马上被人发现和利用，进而给企业带来重大损失; 而另一方面，企业的IT预算却一压再压。因此，如何以最经济、最有效的方式保障信息系统的安全，已经成为众多企业CIO们必须面对的问题。本期我们围绕信息系统安全这个话题，结合安全技术手段的介绍，提供几个实际的系统安全解决方案案例，供读者参考。

信息系统的安全防护是一项非常复杂的工程，围绕它目前已经形成了众多安全技术。而一个安全的信息系统通常要综合采用多种技术和部署相应的安全产品，通过建立一个纵深的安全防护体系，从而增加攻击者入侵系统所花费的时间、成本和所需要的资源，以最终降低系统被攻击的危险，达到安全防护的目标。下文是信息安全防护的技术架构，它基本上囊括了当今安全领域内所采用的主要安全技术，包括身份认证、访问控制、内容安全、审计和跟踪、响应和恢复几个部分。下面将分别对这些技术的特点及其使用范围进行介绍。

身份认证

身份认证是对网络中的主体和客体的身份进行验证的过程，所包括的典型技术有：口令认证机制、公开密钥基础设施(PKI)强认证机制、基于生物特征的认证等。

口令认证 口令认证是最常用的一种认证方式。口令是相互约定的代码，通常只有用户和系统知道。口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令相匹配，用户即可进入系统访问。口令有多种，如一次性口令，系统生成一次性口令的清单，规定第一次时必须使用X，第二次时必须使用Y，第三次时用Z……还有基于时间的口令，即访问者使用的口令随时间变化，变化基于时间和一个秘密的用户密钥，这样口令随时都在改变，使其更加难以猜测。

PKI的认证机制 PKI(Public Key Infrastructure)技术是通过公钥密码体制中用户私钥的机密性来提供用户身份的惟一性验证，并通过数字证书的方式为每个合法用户的公钥提供一个合法性的证明，建立了用户公钥到证书ID号之间的惟一映射关系。PKI主要由证书生产系统和应用系统组成，证书生产系统又包括数字证书认证中心(Certification Authority，CA)和密钥管理中心(Key Management，KM)，共同完成数字证书的申请、审核、签发、注销、更新、查询等功能。证书应用系统提供身份认证、加解密、签名验签等安全服务功能，以解决业务应用中的机密性、完整性、认证性、不可否认性等安全问题。

由于数字证书本身是公开的，因此在身份验证过程中必须通过公钥与私钥之间的惟一映射关系(由公钥加密体制自身提供保证)来间接建立用户私钥和证书ID号之间的映射关系。数字证书可以存储在多种介质上(硬盘、软盘、IC卡、USB Key等)。若采用硬件形式如智能IC卡、USB Key等，把用户的私钥存放其中则更安全。

PKI的认证是一种强认证机制，综合采用了摘要算法、非对称加密、对称加密、数字签名等技术，很好地将安全性和高效性结合起来。这种认证方法目前广泛应用在电子邮件、应用服务器访问、客户端认证、防火墙认证等领域。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友