¿Qué áreas incluye la seguridad de la información?
La seguridad de la información implica principalmente tres aspectos: la seguridad de la transmisión de la información, la seguridad del almacenamiento de la información y la auditoría del contenido de la información de transmisión de la red.
Autenticación
La autenticación es el proceso de verificar el sujeto en la red. Generalmente existen tres métodos para verificar la identidad del sujeto. El primero son los secretos que sólo el sujeto conoce, como contraseñas y claves; el segundo son los elementos que porta el sujeto, como las tarjetas inteligentes y las tarjetas simbólicas; el tercero son las características o habilidades únicas que solo el sujeto tiene, como las huellas dactilares; , voces, retinas o firmas esperan.
Mecanismo de contraseña: la contraseña es un código acordado mutuamente, que se supone que sólo el usuario y el sistema conocen. Las contraseñas a veces las elige el usuario y otras las asigna el sistema. Normalmente, el usuario primero ingresa algún tipo de información de identificación, como un nombre de usuario y un número de identificación, y luego el sistema le solicita una contraseña. Si la contraseña coincide con la del archivo de usuario, el usuario puede acceder. Hay muchos tipos de contraseñas, como las contraseñas de un solo uso. El sistema genera una lista de contraseñas de un solo uso. X debe usarse por primera vez, Y debe usarse por segunda vez, Z debe usarse por tercera vez. tiempo, etc.; también hay contraseñas basadas en el tiempo. La contraseña, la contraseña correcta para el acceso, cambia con el tiempo, según el tiempo y una clave de usuario secreta. De esta forma, la contraseña cambia cada minuto, lo que hace que sea más difícil de adivinar.
Tarjeta inteligente: El acceso requiere no sólo una contraseña, sino también una tarjeta inteligente física. Compruebe si se le permite el acceso al sistema antes de permitirle el acceso al sistema. Las tarjetas inteligentes tienen aproximadamente el tamaño de una tarjeta de crédito y generalmente constan de un microprocesador, memoria e instalaciones de entrada y salida. El microprocesador calcula un número único (ID) para la tarjeta y una forma cifrada de otros datos. El DNI garantiza la autenticidad de la tarjeta y da al titular acceso al sistema. Para evitar la pérdida o el robo de las tarjetas inteligentes, muchos sistemas requieren que se utilicen juntos la tarjeta y un número de identificación (PIN). Si solo tienes la tarjeta pero no sabes el código PIN, no podrás ingresar al sistema. Las tarjetas inteligentes son mejores que los métodos tradicionales de contraseña para la identificación, pero son incómodas de llevar y los costos de apertura de cuentas son altos.
Identificación de características del sujeto: El método de utilizar características personales para la identificación es altamente seguro. El equipo existente incluye: escáneres de retina, equipos de verificación de voz y dispositivos de reconocimiento de manos.
Sistema de seguridad de transmisión de datos
La tecnología de cifrado de transmisión de datos tiene como objetivo cifrar el flujo de datos durante la transmisión para evitar escuchas, fugas, manipulación y destrucción en la línea de comunicación. Si se distingue por el nivel de comunicación implementado por el cifrado, el cifrado se puede implementar en tres niveles diferentes de comunicación, a saber, cifrado de enlace (cifrado ubicado debajo de la capa de red OSI), cifrado de nodo y cifrado de extremo a extremo (cifrado de archivos antes de la transmisión, Cifrado que se encuentra por encima de la capa de red OSI).
Los dos métodos más utilizados son el cifrado de enlaces y el cifrado de extremo a extremo. El cifrado de enlaces se centra en el enlace de comunicación sin considerar el origen y el sumidero. Utiliza diferentes claves de cifrado para brindar protección de seguridad a la información confidencial a través de cada enlace. El cifrado de enlaces está orientado a nodos y es transparente para los sujetos de la red de alto nivel. Cifra toda la información del protocolo de alto nivel (dirección, detección de errores, encabezado de trama y cola de trama), por lo que los datos son texto cifrado durante la transmisión, pero en el centro. nodo La información de enrutamiento debe descifrarse. El cifrado de extremo a extremo significa que la información es cifrada automáticamente por el extremo emisor e ingresa al retorno del paquete TCP/IP, y luego pasa a través de Internet como datos ilegibles e irreconocibles. Una vez que la información llega al destino, se reorganizará automáticamente. y descifrados se convierten en datos legibles. El cifrado de extremo a extremo está orientado a entidades de red de alto nivel. No cifra información en protocolos de capa inferior. La información del protocolo se transmite en texto sin formato y no es necesario descifrar los datos del usuario en el nodo central.
Tecnología de identificación de la integridad de los datos Actualmente, para la información transmitida dinámicamente, muchos protocolos utilizan métodos para garantizar la integridad de la información, principalmente recibiendo errores, retransmitiendo y descartando paquetes posteriores. Sin embargo, los ataques de piratas informáticos pueden cambiar el interior del paquete de información. contenido, por lo que se deben tomar medidas efectivas para el control de la integridad.
Identificación del mensaje: similar al control CRC de la capa de enlace de datos, el campo (o dominio) del nombre del mensaje utiliza ciertas operaciones para formar un valor de restricción, que se denomina vector de detección de integridad ICV del mensaje. (Vector de cheque integrado).
Luego se encapsula con los datos para el cifrado. Durante el proceso de transmisión, el intruso no puede descifrar el mensaje, por lo que no puede modificar los datos y calcular un nuevo ICV al mismo tiempo. De esta manera, el receptor descifra y calcula el ICV después. recibir los datos Si es diferente del ICV en el texto sin formato, el mensaje se considera inválido.
Suma de comprobación: Uno de los métodos de control de integridad más sencillos y sencillos es utilizar la suma de comprobación, calcular el valor de la suma de comprobación del archivo y compararlo con el último valor calculado. Si son iguales, significa que el archivo no ha cambiado; si no son iguales, significa que es posible que el archivo haya cambiado por un comportamiento inadvertido. El método de suma de comprobación puede detectar errores, pero no puede proteger los datos.
Suma de verificación cifrada: divida el archivo en bloques pequeños, calcule el valor de verificación CRC para cada bloque y luego agregue estos valores CRC como suma de verificación. Siempre que se utilice el algoritmo adecuado, este mecanismo de control de integridad es casi imposible de romper. Sin embargo, este mecanismo requiere una gran cantidad de cálculos y es costoso, y sólo es adecuado para situaciones en las que los requisitos de protección de la integridad son extremadamente altos.
Código de integridad del mensaje MIC (Código de integridad del mensaje): utilice una función hash unidireccional simple para calcular el resumen del mensaje y enviarlo al receptor junto con la información. El receptor vuelve a calcular el resumen y. lo compara para verificar que la información se está transmitiendo con integridad en el proceso. La característica de esta función hash es que dos entradas diferentes no pueden producir dos salidas idénticas. Por lo tanto, un archivo modificado no puede tener el mismo valor hash. Las funciones hash unidireccionales se pueden implementar de manera eficiente en diferentes sistemas.
La tecnología anti-repudio incluye prueba tanto del origen como del destino. El método común es la firma digital. La firma digital adopta un determinado protocolo de intercambio de datos para que ambas partes que se comunican puedan cumplir dos condiciones: el receptor puede autenticarse. el remitente. El remitente no puede negar posteriormente el hecho de haber enviado datos. Por ejemplo, las dos partes en la comunicación adoptan un sistema de clave pública y el remitente utiliza la clave pública del receptor y su propia clave privada para cifrar la información. El receptor solo puede leerla después de descifrarla con su propia clave privada y la pública del remitente. clave. Lo mismo ocurre con la respuesta de Fang. Además, las formas de lograr el antirepudio incluyen: usar el token de un tercero confiable, usar marcas de tiempo, usar un tercero en línea, combinar firmas digitales con marcas de tiempo, etc.
Para garantizar la seguridad de la transmisión de datos, se debe utilizar tecnología de cifrado de transmisión de datos, tecnología de identificación de integridad de datos y tecnología anti-repudio. Por tanto, para ahorrar inversión, simplificar la configuración del sistema, facilitar la gestión y la facilidad de uso, es necesario seleccionar medidas y equipos técnicos integrados de seguridad y confidencialidad. Este tipo de equipo debería poder proporcionar servicios de cifrado para hosts o servidores de claves de sistemas de red a gran escala, proporcionar firmas digitales altamente seguras y funciones de distribución automática de claves para sistemas de aplicaciones, y admitir una variedad de funciones hash unidireccionales y códigos de verificación. algoritmos para lograr la identificación de la integridad de los datos.
Sistema de seguridad de almacenamiento de datos
La información almacenada en los sistemas de información informáticos incluye principalmente información de datos pura y diversa información de archivos funcionales. La protección de seguridad más típica para información de datos puros es la protección de la información de la base de datos. En cuanto a la protección de diversos archivos funcionales, la seguridad del terminal es muy importante.
Seguridad de la base de datos: proporciona protección de seguridad para los datos y recursos administrados por el sistema de base de datos, que generalmente incluye los siguientes puntos. En primer lugar, la integridad física, es decir, los datos pueden protegerse de daños físicos, como cortes de energía, incendios, etc., en segundo lugar, la integridad lógica, que puede mantener la estructura de la base de datos, por ejemplo, la modificación de un campo no afectará; otros campos; tercero, integridad del elemento, los datos incluidos en cada elemento son precisos; 4. Cifrado de datos; 5. Autenticación del usuario, asegurando que cada usuario esté correctamente identificado para evitar la intrusión ilegal del usuario; 6. Disponibilidad, que se refiere a la disponibilidad general; de usuarios Acceder a la base de datos y a todos los datos de acceso autorizados 7. Auditabilidad, pudiendo rastrear quién ha accedido a la base de datos;
Para realizar la protección de seguridad de la base de datos, una opción es un sistema de base de datos seguro, es decir, se debe seguir un conjunto completo de políticas de seguridad del sistema desde el diseño, implementación, uso y gestión del sistema; el segundo es El módulo de seguridad se construye en función de las funciones proporcionadas por el sistema de base de datos existente, con el objetivo de mejorar la seguridad del sistema de base de datos existente.
Seguridad del terminal: Resuelve principalmente el problema de protección de seguridad de la información de la computadora. Las funciones generales de seguridad son las siguientes.
Autenticación basada en contraseñas y/y algoritmos criptográficos para evitar el uso ilegal de máquinas; control de acceso autónomo y obligatorio para evitar el acceso ilegal a archivos; gestión de permisos multinivel para evitar operaciones no autorizadas en dispositivos de almacenamiento para evitar copias ilegales en disquetes y discos duros; arranque del disco; los datos y códigos de programas se cifran y almacenan para evitar el robo de información; se previenen ataques de virus; el seguimiento de auditoría estricto facilita el rastreo de accidentes responsables.
Sistema de auditoría de contenidos de información
Realiza auditorías de contenido en tiempo real de la información que entra y sale de la red interna para prevenir o rastrear posibles fugas. Por lo tanto, para cumplir con los requisitos de la ley nacional de confidencialidad, este sistema debe instalarse y utilizarse en algunas redes importantes o confidenciales.
----Lo anterior es una reproducción de "Red de Seguridad de la Información de China www.infosec.gov.cn"