信息安全技術（互聯網專業學科術語）互聯網專業學科術語01專業簡介實驗室技術組成創新點目錄03020405技術問題專業熱點安全策略目錄0706基本信息信息安全技術是信息管理與信息系統專業本科學生的一門專業課。隨著計算機技術的飛速發展，計算機信息安全問題越來越受**。學生掌握必要的信息安全管理和安全防范技術是非常必要的。通過對本門課程的學習，學生可掌握計算機信息安全的基本原理和當今流行的信息安全設置、安全漏洞、防火墻的策略與實現、黑客原理與防范，以便能夠使學生勝任信息系統的實現、運行、管理與維護等相關的工作。專業簡介職業分析學科組成專業簡介主要課程獲得證書意義010302040506專業簡介職業分析本專業是培養擁護黨的基本路線，適應我國全面建設小康社會實際需要，在生產、建設、服務和管理第一線需要的，具備寬厚扎實的基礎理論知識和專業知識的基礎上，重點掌握信息安全的基本理論、基本知識、基本技能及綜合應用方法；熟悉國家信息安全管理的政策和法律法規，了解信息安全的發展動向和新技術；具有良好的職業道德、敬業與創新精神的高素質技能型人才。

學科組成密碼應用技術：主要用于保障計算機信息的機密性、完整性和抗御外部入侵等。信息安全技術：主要用于防止系統漏洞，防止外部黑客入侵，防御病毒破壞和對可疑訪問進行有效控制等。數據災難與數據恢復技術：一旦計算機發生意外、災難等，可使用備份還原及數據恢復技術將丟失的數據找回。操作系統維護技術：操作系統作為一切操作的平臺，在進行相應的計算機信息安全處理前必須對操作平臺有一個系統全面的了解。專業簡介信息安全技術信息安全具有專業“新”、資格證書“硬”、畢業生“少”，需求部門“多”、用人單位“大”，就業前景“廣”等特點。本專業培養德、智、體全面發展，能夠從事計算機、電子信息、金融、商務、政務和防務等與IT有關的信息安全技術領域的應用、管理方面一線工作，能勝任信息處理技術員工作：從事信息安全產品的銷售、安裝、維護與用戶培訓工作，能熟練地安裝和維護網絡設備的應用型高技能人才。主要課程計算機基礎（含注冊表設置）、計算機信息安全概論、計算機組成原理、高級語言程序設計、數據結構、計算機網絡技術（含MSWindows2003）、CISCO路由器交換機安全應用基礎、操作系統安全、入侵檢測與防火墻技術、計算機病毒與黑客防范、ORACLE數據庫設計、TCP/IP網絡編程、Web網頁開發技術、網絡操作系統及服務器管理等。獲得證書信息安全技術規范（1）信息處理員證書（2）微軟安全認證ISA（3）信息系統安全專家CISSP認證（4）思科安全專家CCSP認證意義①數據的完整性：它包括數據單元完整性和數據單位序列完整性。②數據的可用性：就是要保障網絡中數據無論在何時，無論經過何種處理，只要需要，信息必須是可用的。③數據的保密性：即網絡中的數據必須按照數據的擁有者的要求保證一定的秘密性。具有敏感性的秘密信息，只有得到擁有者的許可，其他人才能夠獲得該信息，網絡系統必須能夠防止信息的非授權訪問或泄露。④合法使用性：即網絡中合法用戶能夠正常得到服務，正常使自己合法地訪問資源和信息，而不至于因某種原因遭到拒絕或無條件的阻止。技術組成技術組成信息安全的內涵在不斷地延伸，從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性，進而又發展為“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”等多方面的基礎理論和實施技術。信息網絡常用的基礎性安全技術包括以下幾方面的內容。身份認證技術：用來確定用戶或者設備身份的合法性，典型的手段有用戶名口令、身份識別、PKI證書和生物認證等。加解密技術：在傳輸過程或存儲過程中進行信息數據的加解密，典型的加密體制可采用對稱加密和非對稱加密。邊界防護技術：防止外部網絡用戶以非法手段進入內部網絡，訪問內部資源，保護內部網絡操作環境的特殊網絡互連設備，典型的設備有防火墻和入侵檢測設備。訪問控制技術：保證網絡資源不被非法使用和訪問。訪問控制是網絡安全防范和保護的主要核心策略，規定了主體對客體訪問的限制，并在身份識別的基礎上，根據身份對提出資源訪問的請求加以權限控制。主機加固技術：操作系統或者數據庫的實現會不可避免地出現某些漏洞，從而使信息網絡系統遭受嚴重的威脅。主機加固技術對操作系統、數據庫等進行漏洞加固和保護，提高系統的抗攻擊能力。安全審計技術：包含日志審計和行為審計，通過日志審計協助管理員在受到攻擊后察看網絡日志，從而評估網絡配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，并能為實時防御提供手段。通過對員工或用戶的網絡行為審計，確認行為的合規性，確保管理的安全。實驗室實驗室哈工大計算機網絡與信息安全技術研究中心成立于2003年3月，建有信息安全本科專業、計算機科學與技術碩士點、計算機系統結構博士點和博士后流動工作站。該中心主要研究方向包括網絡與信息安全、信息內容安全、網絡測量、網絡計算技術等，研究基礎雄厚，成果卓著。本實驗室共承擔國家信息安全重大項目4項，國家973項目2項，國家自然科學基金項目5項，國家“863”項目6項，其他國家部委項目近20項。獲得國家科技進步獎一等獎1項、國家科技進步獎二等獎2項，國家部委科技進步獎6項。在國內外重點期刊發表文章逾500篇。實驗室現有教授4人，副教授6人，其中博士生導師2人，在校研究生100余人。業已形成一支目標明確，富有干勁，能夠攻堅的老、中、青相結合的科研隊伍。創新點創新點隨著互聯網應用的快速發展，信息安全已深入到諸多領域，越來越多的企業用戶和個人用戶開始沉下心來，認真思考著一個問題：當各種各樣針對應用的安全威脅來臨之時，如何在日益增長并更為復雜的各種應用中有效地進行自我保護，如何將思路創新、技術創新的破冰之計與信息安全更好地融合在一起，守好自己的那一方陣地？要有效保證信息安全，其中之一就是要做好數據搶救措施，如加入數據恢復、數據備份、數據銷毀等信息安全防御措施。常用的數據恢復技術包括效率源DataCompass數據指南針、HDDoctor、DCK硬盤復制機等。其實，從較為完整的經典網絡安全防護模型--APPDRR中，可以看到網絡安全需要的基本要素是：分析、安全策略、保護、檢測、響應和恢復，針對這六個基本要素，需要重點**安全測試評估、安全存儲、主動實施防護模型與技術、網絡安全事件監控、惡意代碼防范與應急響應、數據備份與可生存性六項技術，及衍生而來的可信計算平臺技術和網絡安全管理與UTM技術的創新點。4月12日，在2007中國電子信息創新技術年會上，中國工程院院士、信息產業部互聯網應急處理協調辦公室主任方濱興，暢談了自己對這八項重點技術創新點的看法。（一）安全測試評估技術安全是網絡正常運行的前提。技術問題技術問題電子商務安全從整體上可分為兩大部分：計算機網絡安全和商務交易安全（一）計算機網絡安全的內容包括（1）未進行操作系統相關安全配置不論采用什么操作系統，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統缺省安裝后，再配上很強的密碼系統就算作安全了。網絡軟件的漏洞和“后門”是進行網絡攻擊的首選目標。（2）未進行CGI程序代碼審計如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網站或軟件供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對于電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重后果。（3）拒絕服務（DoS，DenialofService）攻擊隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。安全策略加密技術防火墻入侵檢測系統容災管理策略12345安全策略加密技術信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。數據加密技術主要分為數據傳輸加密和數據存儲加密。數據傳輸加密技術主要是對傳輸中的數據流進行加密，常用的有鏈路加密、節點加密和端到端加密三種方式。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護；端--端加密的目的是對源端用戶到目的端用戶的數據提供保護。在保障信息安全各種功能特性的諸多技術中，密碼技術是信息安全的核心和關鍵技術，通過數據加密技術，可以在一定程度上提高數據傳輸的安全性，保證傳輸數據的完整性。一個數據加密系統包括加密算法、明文、密文以及密鑰，密鑰控制加密和解密過程，一個加密系統的全部安全性是基于密鑰的，而不是基于算法，所以加密系統的密鑰管理是一個非常重要的問題。數據加密過程就是通過加密系統把原始的數字信息(明文)，按照加密算法變換成與明文完全不同得數字信息(密文)的過程。假設E為加密算法，D為解密算法，則數據的加密解密數學表達式為：P=D(KD，E(KE，P))。數據加密算法有很多種，密碼算法標準化是信息化社會發展得必然趨勢，是世界各國保密通信領域的一個重要課題。按照發展進程來分，經歷了古典密碼、對稱密鑰密碼和公開密鑰密碼階段，古典密碼算法有替代加密、置換加密；對稱加密算法包括DES和AES；非對稱加密算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal算法等。目前在數據通信中使用最普遍的算法有DES算法、RSA算法和PGP算法。防火墻防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發生的時候蔓延到別的房屋。防火墻技術是指隔離在本地網絡與外界網絡之間的一道防御系統的總稱。在互聯網上防火墻是一種非常有效的網絡安全模型，通過它可以隔離風險區域與安全區域的連接，同時不會妨礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信量，僅讓安全、核準了的信息進入，同時又抵制對企業構成威脅的數據。防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻3種類型，并在計算機網絡得到了廣泛的應用。一套完整的防火墻系統通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息，例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項，對IP包進行過濾。代理服務器是防火墻中的一個服務器進程，它能夠代替網絡用戶完成特定的TCP/TP功能。一個代理服務器本質上是一個應用層的網關，一個為特定網絡應用而連接兩個網絡的網關。用戶就一項TCP/TP應用，比如Telnet或者FTP，同代理服務器打交道，代理服務器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后，代理服務器連通遠程主機，為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。隨著安全性問題上的失誤和缺陷越來越普遍，對網絡的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級錯誤或不合適的口令選擇。因此，防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡。入侵檢測隨著網絡安全風險系數不斷提高，作為對防火墻及其有益的補充，IDS（入侵檢測系統）能夠幫助網絡系統快速發現攻擊的發生，它擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。入侵檢測系統是一種對網絡活動進行實時監測的專用系統，該系統處于防火墻之后，可以和防火墻及路由器配合工作，用來檢查一個LAN網段上的所有通信，記錄和禁止網絡活動，可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析，通過集中控制臺來管理、檢測。理想的入侵檢測系統的功能主要有：（1）用戶和系統活動的監視與分析；（2）系統配置極其脆弱性分析和審計；（3）異常行為模式的統計分析；（4）重要系統和數據文件的完整性監測和評估；（5）操作系統的安全審計和管理；系統容災一個完整的網絡安全體系，只有“防范”和“檢測”措施是不夠的，還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失，一旦發生漏防漏檢事件，其后果將是災難性的。此外，天災人禍、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難，也能快速地恢復系統和數據，才能完整地保護網絡信息系統的安全。主要有基于數據備份和基于系統容錯的系統容災技術。數據備份是數據保護的最后屏障，不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器，在兩者之間建立復制關系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統使用，異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連，構成完整的數據容災系統，也能提供數據庫容災功能。集群技術是一種系統級的系統容錯技術，通過對系統的整體冗余和容錯來解決系統任何部件實效而引起的系統死機和不可用問題。集群系統可以采用雙機熱備份、本地集群網絡和異地集群網絡等多種形式實現，分別提供不同的系統可用性和容災性。其中異地集群網絡的容災性是最好的。存儲、備份和容災技術的充分結合，構成一體化的數據容災備份存儲系統，是數據技術發展的重要階段。隨著存儲網絡化時代的發展，傳統的功能單一的存儲器，將越來越讓位于一體化的多功能網絡存儲器。管理策略除了使用上述技術措施之外，在網絡安全中，通過制定相關的規章制度來加強網絡的安全管理，對于確保網絡的安全、可靠地運行，將起到十分有效的作用。網絡的安全管理策略包括：首先要制訂有關人員出入機房管理制度和網絡操作使用規程；其次確定安全管理等級和安全管理范圍；第三是制定網絡系統的維護制度和應急措施等。專業熱點產業熱點新熱點專業熱點新熱點存儲在硬盤、光盤、軟盤、U盤等計算機存儲設備中的信息如果丟失或被破壞而又沒有備份的時候，這是讓人非常頭痛的事情。由于采取一般的手段很難恢復，因此數據修復成為許多人**的難點和熱點.國家信息中心已經在信息安全領域積累了豐富的經驗，并具有了一定實力。其所屬的信息安全研究與服務中心在引進國際先進的數據修復技術的基礎上，自主開發了適合中國計算機用戶的數據修復技術達到了國內先進水平，已經可以提供數據修復服務。DRS數據修復是采用硬件檢修處理和數據重組的特殊技術來修復受損數據，這種方法可以最大可能恢復原有數據。這種方法修復數據可以做到3個“不限”：1、不限故障類型不論是由病毒、系統故障、誤操作、升級或安裝軟件等邏輯損