信息安全三要素：機制 服務 技術

■

隨著信息化的延伸，處理信息的種類繁多，帶來的“麻煩”也越來越多。人們不得不考慮為應用系統能正常健康地運營而建造一個安全保障系統。這個安全保障系統就是信息安全保障系統，一般簡稱為“信息安全系統”。可以從三個方面進行認識：安全機制、安全服務、安全技術。

安全機制

1.基礎設施實體安全。包括機房安全、場地安全、設施安全、動力系統安全和災難預防與恢復。

2.平臺安全。包括操作系統漏洞檢測與修復，網絡基礎設施漏洞檢測與修復，通用基礎應用程序漏洞檢測與修復，網絡安全產品部署。

3.數據安全。包括介質與載體的安全保護，數據訪問控制，數據的完整性、可用性，數據監控和審計、數據存儲與備份安全。

4.通信安全。包括通信線路和網絡基礎設施安全性測試與優化、安裝網絡加密設施、設置通信加密軟件、設置身份鑒別機制、設置并測試安全通道、測試各項網絡協議運行漏洞。

5.應用安全。包括業務軟件的程序安全性測試，業務交往的防抵賴測試，業務資源的訪問控制驗證測試，業務實體的身份鑒別檢測，業務現場的備份與恢復機制檢查，業務數據的唯一性、一致性、防沖突和保密性測試，業務系統的可靠性和可用性測試。

6.運行安全。包括應急處置機制和配套服務，網絡系統安全性監測，網絡安全產品運行監測，定期檢查和評估，系統升級和補丁提供，跟蹤新的安全漏洞及通報，災難恢復機制與預防，系統改造管理，網絡安全專業技術咨詢服務。

7.管理安全。包括人員、培訓、應用系統、軟件、文檔、數據、操作、運行、機房管理。

8.授權和審計安全。授權安全：以向用戶和應用程序提供權限管理和授權服務為目標；審計安全是指監控網絡內部的用戶活動，偵察系統存在的潛在威脅，對日常運行狀況的統計和分析，對突發案件和異常事件的事后分析，輔助偵破和取證。

9.安全防范體系。企業安全防范體系的建立，就是使得企業具有較強的應急事故處理能力，其核心是實現企業信息安全資源的綜合管理。

安全服務

1.對等實體認證服務。對等實體認證服務用于兩個開放系統同等層中的實體建立鏈接或數據傳輸時，對對方實體的合法性、真實性進行確認，以防假冒。

2.數據保密服務。目的是為了防止網絡中各系統之間的數據被截獲或被非法存取而泄露信息，提供密碼加密保護。可提供鏈接方式和無鏈接方式兩種數據保密，同時可對用戶可選字段的數據進行保護。

3.數據完整性服務。用以防止非法實體對交換數據的修改、插入、刪除以及在數據交換過程中的數據丟失。

4.數據源點認證服務。用于確保數據發自真正的源點，防止假冒。

5.禁止否認服務。禁止否認服務用以防止發送方在發送數據后否認自己發送過此數據，接收方在收到數據后否認自己收到此數據或偽造接收數據，由兩種服務組成：不得否認發送；不得否認接收。

6.犯罪證據提供服務。事后的取證、分析，對于已經發生的系統破壞行為提供有效的追糾證據。

安全技術

1.加密技術。加密是確保數據安全性的基本方法，在OSI安全體系結構中應根據加密所處的層次及加密對象的不同，而采用不同的密碼。

2.數字簽名技術。數字簽名是確保數據真實性的基本方法。利用數字簽名技術還可以進行報文認證和用戶身份認證。數字簽名具有解決收發雙方糾紛的能力。這是其他安全技術所沒有的。

3.訪問控制技術。訪問控制按照事先確定的規則決定主體對客體的訪問是否合法。

4.數據完整性技術。數據完整性技術通過糾正錯誤編碼和差錯控制來應對信道干擾，通過報文認證來應對非法入侵者的主動攻擊，通過病毒實時檢測來應對計算機病毒。

5.認證技術在計算機網絡中認證主要有站點認證、報文認證、用戶和進程認證等。

6.數據挖掘技術。數據挖掘技術是及早發現隱患、將犯罪扼殺在萌芽階段并及時修補不健全的安全防范體系的重要技術。

信息安全保障系統是一個在網絡上，集成各種硬件、軟件和密碼設備，以保障其他業務應用信息系統正常運行的專用的信息應用系統，以及與之相關的崗位、人員、制度和規程的總和。任何一個成功的信息安全保障系統，都需要各方面通力合作并不斷努力。