NSACE|企業資訊保安包括哪些方面?

從1994年4月20日，中國正式接入國際網際網路到今天，中國網際網路的發展歷程已經走過24年。

在過去的24年當中，網際網路給中國帶來了巨大的變化，也極大地改變了我們的生活方式。

隨著網際網路的普及，我們在享受網路帶來便利的同時也越來越關注網際網路的安全問題，企業資訊保安包括哪些方面呢？

今天，弘博小編特意給大家收集了相關資訊，資訊保安主要涉及到資訊傳輸的安全、資訊儲存的安全以及對網路傳輸資訊內容的審計三方面。

鑑別

鑑別是對網路中的主體進行驗證的過程，通常有三種方法驗證主體身份。一是隻有該主體瞭解的秘密，如口令、金鑰；二是主體攜帶的物品，如智慧卡和令牌卡；三是隻有該主體具有的獨一無二的特徵或能力，如指紋、聲音、視網膜或簽字等。

口令機制：口令是相互約定的程式碼，假設只有使用者和系統知道。口令有時由使用者選擇，有時由系統分配。通常情況下，使用者先輸入某種標誌資訊，比如使用者名稱和ID號，然後系統詢問使用者口令，若口令與使用者檔案中的相匹配，使用者即可進入訪問。口令有多種，如一次性口令，系統生成一次性口令的清單，第一次時必須使用X，第二次時必須使用Y，第三次時用Z，這樣一直下去；還有基於時間的口令，即訪問使用的正確口令隨時間變化，變化基於時間和一個秘密的使用者鑰匙。這樣口令每分鐘都在改變，使其更加難以猜測。

智慧卡：訪問不但需要口令，也需要使用物理智慧卡。在允許其進入系統之前檢查是否允許其接觸系統。智慧卡大小形如信用卡，一般由微處理器、儲存器及輸入、輸出設施構成。微處理器可計算該卡的一個唯一數（ID）和其它資料的加密形式。ID保證卡的真實性，持卡人就可訪問系統。為防止智慧卡遺失或被竊，許多系統需要卡和身份識別碼（PIN）同時使用。若僅有卡而不知PIN碼，則不能進入系統。智慧卡比傳統的口令方法進行鑑別更好，但其攜帶不方便，且開戶費用較高。

主體特徵鑑別：利用個人特徵進行鑑別的方式具有很高的安全性。目前已有的裝置包括：視網膜掃描器、聲音驗證裝置、手型識別器。

資料傳輸安全系統

資料傳輸加密技術目的是對傳輸中的資料流加密，以防止通訊線路上的竊聽、洩漏、篡改和破壞。如果以加密實現的通訊層次來區分，加密可以在通訊的三個不同層次來實現，即鏈路加密（位於OSI網路層以下的加密），節點加密，端到端加密（傳輸前對檔案加密，位於OSI網路層以上的加密）。

一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重與在通訊鏈路上而不考慮信源和信宿，是對保密資訊透過各鏈路採用不同的加密金鑰提供安全保護。

鏈路加密是面向節點的，對於網路高層主體是透明的，它對高層的協議資訊（地址、檢錯、幀頭幀尾）都加密，因此資料在傳輸中是密文的，但在中央節點必須解密得到路由資訊。

端到端加密則指資訊由傳送端自動加密，並進入TCP/IP資料包回封，然後作為不可閱讀和不可識別的資料穿過網際網路，當這些資訊一旦到達目的地，將自動重組、解密，成為可讀資料。

端到端加密是面向網路高層主體的，它不對下層協議進行資訊加密，協議資訊以明文形式傳輸，使用者資料在中央節點不需解密。

資料完整性鑑別技術目前，對於動態傳輸的資訊，許多協議確保資訊完整性的方法大多是收錯重傳、丟棄後續包的辦法，但駭客的攻擊可以改變資訊包內部的內容，所以應採取有效的措施來進行完整性控制。

報文鑑別：與資料鏈路層的CRC控制類似，將報文名欄位（或域）使用一定的操作組成一個約束值，稱為該報文的完整性檢測向量ICV（IntegratedCheckVector）。然後將它與資料封裝在一起進行加密，傳輸過程中由於侵入者不能對報文解密，所以也就不能同時修改資料並計算新的ICV，這樣，接收方收到資料後解密並計算ICV，若與明文中的ICV不同，則認為此報文無效。

校驗和：一個最簡單易行的完整性控制方法是使用校驗和，計算出該檔案的校驗和值並與上次計算出的值比較。若相等，說明檔案沒有改變；若不等，則說明檔案可能被未察覺的行為改變了。校驗和方式可以查錯，但不能保護資料。

加密校驗和：將檔案分成小塊，對每一塊計算CRC校驗值，然後再將這些CRC值加起來作為校驗和。只要運用恰當的演算法，這種完整性控制機制幾乎無法攻破。但這種機制運算量大，並且昂貴，只適用於那些完整性要求保護極高的情況。

訊息完整性編碼MIC（MessageIntegrityCode）：使用簡單單向雜湊函式計算訊息的摘要，連同資訊傳送給接收方，接收方重新計算摘要，並進行比較驗證資訊在傳輸過程中的完整性。這種雜湊函式的特點是任何兩個不同的輸入不可能產生兩個相同的輸出。因此，一個被修改的檔案不可能有同樣的雜湊值。單向雜湊函式能夠在不同的系統中高效實現。

防抵賴技術它包括對源和目的地雙方的證明，常用方法是數字簽名，數字簽名採用一定的資料交換協議，使得通訊雙方能夠滿足兩個條件：接收方能夠鑑別傳送方所宣稱的身份，傳送方以後不能否認他傳送過資料這一事實。

比如，通訊的雙方採用公鑰體制，發方使用收方的公鑰和自己的私鑰加密的資訊，只有收方憑藉自己的私鑰和發方的公鑰解密之後才能讀懂，而對於收方的回執也是同樣道理。另外實現防抵賴的途徑還有：採用可信第三方的權標、使用時戳、採用一個線上的第三方、數字簽名與時戳相結合等。

鑑於為保障資料傳輸的安全，需採用資料傳輸加密技術、資料完整性鑑別技術及防抵賴技術。因此為節省投資、簡化系統配置、便於管理、使用方便，有必要選取整合的安全保密技術措施及裝置。這種裝置應能夠為大型網路系統的主機或重點伺服器提供加密服務，為應用系統提供安全性強的數字簽名和自動金鑰分發功能，支援多種單向雜湊函式和校驗碼演算法，以實現對資料完整性的鑑別。

資料儲存安全系統

在計算機資訊系統中儲存的資訊主要包括純粹的資料資訊和各種功能檔案資訊兩大類。對純粹資料資訊的安全保護，以資料庫資訊的保護最為典型。而對各種功能檔案的保護，終端安全很重要。

資料庫安全：對資料庫系統所管理的資料和資源提供安全保護，一般包括以下幾點。

一、物理完整性，即資料能夠免於物理方面破壞的問題，如掉電、火災等；

二、邏輯完整性，能夠保持資料庫的結構，如對一個欄位的修改不至於影響其它欄位；

三、元素完整性，包括在每個元素中的資料是準確的；

四、資料的加密；

五、使用者鑑別，確保每個使用者被正確識別，避免非法使用者入侵；

六、可獲得性，指使用者一般可訪問資料庫和所有授權訪問的資料；

七、可審計性，能夠追蹤到誰訪問過資料庫。

要實現對資料庫的安全保護，一種選擇是安全資料庫系統，即從系統的設計、實現、使用和管理等各個階段都要遵循一套完整的系統安全策略；二是以現有資料庫系統所提供的功能為基礎構造安全模組，旨在增強現有資料庫系統的安全性。

終端安全：主要解決微機資訊的安全保護問題，一般的安全功能如下。基於口令或（和）密碼演算法的身份驗證，防止非法使用機器；自主和強制存取控制，防止非法訪問檔案；多級許可權管理，防止越權操作；儲存裝置安全管理，防止非法軟盤複製和硬碟啟動；資料和程式程式碼加密儲存，防止資訊被竊；預防病毒，防止病毒侵襲；嚴格的審計跟蹤，便於追查責任事故。

資訊內容審計系統

實時對進出內部網路的資訊進行內容審計，以防止或追查可能的洩密行為。因此，為了滿足國家保密法的要求，在某些重要或涉密網路，應該安裝使用此係統。

由以上內容可見，網路資訊保安不僅涉及企業資訊和財產安全，更是國家和地區資訊化建設戰略的重要部分。

國家工業和資訊化部在2014年1月1日就已經啟動了“全國資訊科技人才培養工程”，旨在規範資訊科技人才管理制度，培養符合國家網路資訊保安需求的新型人才。