一、防入侵技術
以計算機系統和網路為特徵的資訊系統存在著弱點和脆弱性,表現在非授權使用者,可以對系統進行非法訪問,竊取和侵害系統內的資訊,網路使用的多種協議的差異,使得安全措施的作用難以均衡施展等。這些脆弱性如果被利用,就可能蒙受很大的損失。因此,必須加強對系統入侵防範技術的研究和應用。
1.鑑別與驗徵技術
計算機系統中時刻都在進行各種各樣的資訊交換,因此必須保證這個變換過程的有效性和合法性,防止非法使用者冒用合法身份來竊取資訊、偽造資訊或攻擊資訊系統。鑑別和驗證技術就是對使用者的身份、報文的內容進行驗證,以保證交換資訊的有效性和真實性。目前在公共圖書館中主要應用的鑑別技術是身份認證和數字簽名。
(1)身份認證
身份認證是使用者網路身份的確認技術,它是網路安全的第一道防線,也是最重要的一道防線。網路中的各種應用和計算機系統都將要通過身份認證來確認一個使用者的合法性,然後再確定這個使用者的個人資料和特定許可權。身份認證的主要目的是為訪問控制和審計等其他安全措施提供鑑別依據,安全可行的認證系統通常建立在密碼學的基礎上,使用者身份認證可以識別合法使用者與非法使用者,從而阻止非法使用者訪問系統。—旦身份系統被攻破,那麼系統的其他安全措施將形同虛設。
身份認證主要涉及兩個方面的內容:一是識別,二是驗證。所謂識別,即必須對系統的每個合法使用者都有識別能力。要保證識別的有效性,就必須保證任意兩個不同的使用者不能有相同的識別符。所謂驗證,就是指在訪問者聲稱自己的身份後,系統必須對其所稱的身份進行驗證,辨明真假,以防假冒。身份認證通常有口令驗證、信物鑑別和生物特徵識別三種方法。口令物證通常是將使用者提供的口令和存放在系統中的口令表進行比較來識別使用者的身份;利用信物的身份鑑別方式是利用使用者攜帶的能證明使用者身份的物品,如磁條卡、智慧卡、USB金鑰等識別使用者的身份。利用生物特徵鑑別的方法是通過驗證使用者獨一無二的生理特徵或行為特徵來識別身份的.。人的生理特徵包括指紋、視網膜、聲音等,行為特徵包括人的下意識動作留下的特徵,如簽名留下的用力程度、筆跡等。在這二種身份驗證方法中,口令驗證最簡單,系統外銷最小,是目前公共圖書館安全系統最常用的方法,缺點是安全性較差。信物鑑別比口令鑑別安全性高些,當然整個驗證系統要複雜些。生物特徵識別安全性最高,可是驗證系統更為複雜、技術要求和成本都很高,目前只應用於一些特別重要的場合。
(2)數字簽名
在遠端訪問和資料傳送等資源共享活動中,當資訊的收發雙方對新型的內容及傳送源點產生爭執時,就要求能相互證實,以防第三者假冒通訊一方竊取資訊,有效證實的辦法就是數字簽名。作為一種安全技術,數字簽名應當滿足以下幾個條件,一是簽名者事後不能否認自已的簽名;二是任何人不能偽造簽名、也不能對傳送的資訊進行偽造、冒充和篡改;三是當通訊雙方對簽名的真偽發生爭執時,可以通過第三者仲裁機構確定簽名的真偽。這樣。資訊接受方就能證明其所收到的資訊記憶體確是由哪個傳送方傳送的,傳送方無法否認自己傳送資訊的行為和內容,接受方也不能偽造資訊而栽贓於另外一方。實現數字簽名的方法主要有一種,一是利用公開金鑰技術;二是利用傳統的密碼技術,三是利用單項校驗和函式進行壓縮簽名。目前,用得比較多的是第一種方法。
2.訪問控制技術
訪問控制又稱為“存取控制”,更確定地說應稱為“系統內部的訪問控制”,它是指系統內部的使用者對系統訪問的控制,就是確定合法使用者對哪些系統資源享有何種許可權,決定他們分別可以進行什麼型別的訪問操作,並防止非法使用者進入資訊系統和合法使用者對系統資源的非法使用。實施訪問控制是維護系統安全執行,保護系統資源的一項重要技術。其目標:一是保護被訪問的資訊;二是對存取訪問許可權確定、授予和實施。必須值得注意的是,到目前為止,還沒有一種絕對安全可靠的病毒防測工具。單純依靠這些軟硬體防毒工具,是不可能徹底有效地杜絕和防止病毒傳播,特別是不能杜絕病毒在網路上的入侵和蔓延。因此,還需要公共圖書館工作人員,特別是系統管理員,把技術手段與管理機制緊密結合起來。除了採取上述技術工具外,還必須在實踐中不斷熟悉系統的執行規律,積累與病毒鬥爭的經驗,採取一些直觀的、手工檢測的病毒檢測、防治方法。例如,通過系統執行的現象分析判斷髮現病毒,如系統引導時出現異常現象,執行速度變慢、不能正常啟動;執行檔案時出現異常現象,如檔案的屬性、特徵改變或丟失、程式不能正常執行;使用外設時出現異常現象,如正常的外部裝置無法使用,螢幕顯示出錯等。手工檢測方法,主要是指運用工具軟體檢視系統記憶體、主引導扇區、中斷向量等資源利用情況,進而確定機器是否被病毒感染。
二、防洩漏技術
公共圖書館資訊系統所使用的裝置、線路、儲存介質都有可能引起資訊的洩露,被敵方或其他人所截獲,構成資訊保安的威脅。
1.防資訊輻射洩露是指電子資訊系統裝置工作時其主機及外部裝置所產生的電磁輻射和各種電源線、訊號線及地線所產生的傳導輻射。這種洩露的電磁訊號如果被接收下來,經過提取、處理,就可以恢復得到原始資訊,從而造成資訊的洩露。防電磁洩露是保證資訊保安的一個重要環節,如圖書館機要電子閱覽室就需要根據資訊保安等級,設定不同的防輻射措施。
2.防資訊載體洩露
任何資訊都需記錄於一定的載體,也就是在儲存介質上,才能進行處理、傳遞和利用。各種資訊載體流動性大,使用頻繁,攜帶方便,現代技術又使得其拷貝複製十分容易,給安全管理工作造成極大不便。如果記錄有祕密資訊的載體被盜、遺失或失控,都有可能造成資訊的嚴重洩漏。資訊載體洩露的防範,除了登記造冊、妥善保管、嚴格遵守保密制度等管理制度外,對於磁、光等新型資訊載體還需要相應的技術措施予以保障。
3.網路隔離技術
網路隔離就是“將兩個或兩個以上可路由的網路通過不可路由的協議進行資料交換,達到隔離目的的技術方法。按照上級的要求,當前公共圖書館在內部網與外部因特網之間採用的是第一代隔離技術——完全隔離,就是採用獨立的裝置、儲存和線路分別訪問內部網和外部網,實現完全的物理隔離。這是最徹底、最安全的隔離,能夠有效防止內部資訊的洩露,防止外部的非法訪問。但是這樣的物理隔離,需要多套網路和系統,其建設和維護成本較高,也給使用造成一定的不便。