孫彪++張賽男

摘要：在信息系統(tǒng)當中，所有的運用者的操作都應該嚴格符合相關的要求，有效保證信息系統(tǒng)的安全性。在本文中，簡單分析了對于信息安全系統(tǒng)的反思，描述了可信賴的計算環(huán)境，并提出了安全技術的防護框架。

關鍵詞：積極防御；綜合防范；防護體系；反思；計算環(huán)境

1.對信息安全系統(tǒng)的反思進行一定的分析

現(xiàn)在，大多數(shù)的信息安全系統(tǒng)的構成主要包括病毒的防范、入侵的監(jiān)測以及防火墻等。相對比較常規(guī)的安全方法應該在網(wǎng)絡層當中進行設防，封堵外圍的越權訪問以及非法的用戶等，進而實現(xiàn)有效避免外部的攻擊【1】。但是，沒有有效的控制資源共享的客戶機，同時，沒有非常完善的操作系統(tǒng)，存在著非常嚴重的安全隱患。進行封堵的具體手段是對入侵病毒以及攻擊的特征性信息進行捕捉，其屬于是已經(jīng)發(fā)生的存在滯后性的特征，對于未來的入侵以及攻擊不能實現(xiàn)有效的預測【1】?，F(xiàn)階段，惡性用戶有著逐漸增多的攻擊方法，因此，防護者有了逐漸增大的安全投入，增加了管理以及維護的復雜性以及實施難度，同時，在很大程度上降低了信息系統(tǒng)使用的實際效率【1】。進行的具體反思是：老三樣-防外攻、作高墻以及堵漏洞。

這些安全方面的事故產(chǎn)生的技術方面的原因為：目前計算機的硬件以及軟件結構實現(xiàn)了很大的簡化，造成能夠任意的運用資源，特別是可以修改編碼，這就會植入惡性軟件，最終實現(xiàn)病毒的快速傳播【1】。更加嚴重的是未嚴格訪問控制合法的用戶，能夠越權進行訪問，這就會導致安全方面的事故。

通常來講，積極防御指的主要是對未授權的訪問操作進行主動的防止，在客戶端的操作平臺當中進行高級防范的具體實施，對不安全的因素進行徹底的控制【2】。

2.對可信賴的計算環(huán)境進行一定的分析

現(xiàn)在，在全世界范圍內已經(jīng)廣泛推行了可信賴的計算環(huán)境，有效解決計算機機構的不安全，進而提升可信程度【2】。

根據(jù)可信賴平臺模塊，可信的計算終端會依靠安全操作系統(tǒng)以及密碼技術，最終實現(xiàn)的功能如下：

首先，能夠保證用戶身份的唯一性、工作空間以及權限的完整性；其次，可以有效保證處理、保存以及傳輸?shù)耐暾砸约皺C密性；然后，能夠保證操作系統(tǒng)的內核、應用系統(tǒng)、環(huán)境配置以及服務的完整性；最后，保證存儲、保密密鑰的安全性以及較強的系統(tǒng)免疫力，進而有效防止黑客以及病毒的惡性攻擊【2】。

通常來講，安全操作系統(tǒng)屬于可信計算終端平臺的基礎以及核心，能夠有效保證可信賴平臺模塊作用的充分發(fā)揮【3】。

3.對安全技術的防護框架進行一定的分析

一般來講，信息系統(tǒng)有著三個構成部分，具體表現(xiàn)為網(wǎng)絡通信、共享服務以及操作應用等。若在信息系統(tǒng)當中所有的用戶都是經(jīng)過合法的授權以及認證的，具體的操作嚴格符合相關的規(guī)定，那么就不會出現(xiàn)竊聽以及攻擊性的事故發(fā)生，進而有效保證信息系統(tǒng)的安全性，在此基礎上，建立積極防御綜合防范的防護體系【3】。

運用可信的操作平臺來有效保證用戶資源的一致性以及合法性，嚴格要求用戶按照相關的規(guī)定來實施具體的操作，保證訪問權限與身份的一致性，科學合理的制定控制的相關規(guī)則，實現(xiàn)整個訪問過程的安全運行【4】。

通常情況下，安全共享的服務邊界會運用安全邊界設備當中所具有的安全審計以及身份認證的相關功能，有效隔離非法的訪問者以及共享服務器，有效避免非授權用戶進行訪問【4】。這能夠在一定程度上保證共享服務端沒有必要進行比較復雜的訪問方面的控制，可以有效減少服務器的壓力。

在全程的網(wǎng)絡通信當中，一般會運用IPSec來保證網(wǎng)絡通信的保密性以及安全性。在實際的操作系統(tǒng)當中，該工作會實現(xiàn)有效的安全保護，進而保證數(shù)據(jù)的機密性以及傳輸?shù)恼鎸嵭浴?】。

上面所提到的可信操作平臺、共享服務資源邊界以及全程網(wǎng)絡通信三者共同構成了信息安全的防護框架。

在該框架當中，若想有效的保障邊界、終端以及通信的安全性，應該向管理中心進行密碼支撐的授權【5】。在技術角度來講，能夠分成五個具體的環(huán)節(jié)，表現(xiàn)為：

第一，應用環(huán)境的安全。主要會包含B/S模式以及單機模式的安全，嚴格運用安全審計、密碼加密以及控制訪問等相關機制，對可信應用環(huán)境進行有效的建立。第二，應用區(qū)域邊界的安全。利用相關的保護措施來實現(xiàn)訪問內部局域網(wǎng)，保證廣域網(wǎng)以及局域網(wǎng)間的安全性。運用防火墻等相關的隔離過濾機制來實現(xiàn)資源的傳輸?shù)目尚判浴?】。第三，通信與網(wǎng)絡傳輸?shù)陌踩?。保證通信的可用性、一致性以及機密性，運用實體鑒別、完整校驗等相關的機制，最終實現(xiàn)安全通信以及可信連接。第四，安全管理中心。該中心會對實時訪問、授權以及認證等的安全運行提供有效的服務【5】。第五，密碼管理中心。該中心主要對比較傳統(tǒng)的對稱密鑰的管理、密碼的配置等提供有效的管理。

對于比較重要以及復雜的信息系統(tǒng)，能夠有效的構成信息防護的框架。三種有著不同性質的運用區(qū)域在運用安全保障方面的相關措施后，三者間應該存在一定的溝通，需要運用信息交換以及安全隔離的相關設備來實現(xiàn)連接【5】。在相對比較重要的應用區(qū)域間，應該采用信息交換以及安全隔離的相關設備實現(xiàn)邊界的有效保護。

4.總結

綜上所述，我國現(xiàn)階段依然處于建設信息安全的一個關鍵性的時期，需要對研究方向進行正確以及熟練的把握，并有效的制定出發(fā)展戰(zhàn)略，需要對我國的基本國情進行充分的符合，引進國際上相對比較先進的技術，致力于積極開發(fā)簡潔廉價以及安全高效，同時具有自主性的知識產(chǎn)權的信息安全性比較高的產(chǎn)品，進而對我國的實際需求進行有效的滿足，推動信息安全事業(yè)的快速穩(wěn)定發(fā)展。

參考文獻

[1]沈昌祥.構建積極防御綜合防范的防護體系[J].信息安全與通信保密，2004，9（5）：48-50.

[2]時予.安全高效，簡潔廉價，自主可控--“2004年中國網(wǎng)絡安全系統(tǒng)防火墻技術與應用大會”側記[J].計算機安全， 2004，12（5）：121-123.

[3]沈昌祥.構建積極防御綜合防范的信息安全保障體系[J].金融電子化， 2010，24（21）：45-46.

[4]沈昌祥.構建積極防御綜合防范的防護體系[J].電力信息與通信技術，2004，9（5）：48-50.

[5]李杰.構建積極防御、綜合防御的信息安全保障體系[J].民營科技， 2012，27（12）：23-24.endprint