浅谈公共图书馆信息安全管理技术
一、防入侵技术
以计算机系统和网络为特征的信息系统存在着弱点和脆弱性,表现在非授权用户,可以对 ϡ系统进行非法访问,窃取和侵害系统内的信息,网络使用的多种协议的差异,使得安全措施的作用难以均衡施展等。这些脆弱性如果被利用,就可能蒙受很大的损失。因此,必须加强对系统入侵防范技术的研究和应用。
1.鉴别与验征技术
计算机系统中时刻都在进行各种各样的信息交换,因此必须保证这个变换过程的有效性和合法性,防止非法用户冒用合法身份来窃取信息、伪造信息或攻击信息系统。鉴别和验证技术就是对用户的身份、报文的内容进行验证,以保证交换信息的有效性和真实性。目前在公共图书馆中主要应用的鉴别技术是身份认证和数字签名。
身份认证
身份认证是用户网络身份的确认技术,它是网络安全的第一道防线,也是最重要的一道防线。网络中的各种应用和计算机系统都将要通过身份认证来确认一个用户的合法性,然后再确定这个用户的个人数据和特定权限。身份认证的主要目的是为访问控制和审计等其他安全措施提供鉴✉别依据,安全可行的认证系统通常建立在密码学的基础上,用户身份认证可以识别合法用户与非法用户,从而阻止非法用户访问系统。旦身份系统被攻破,那么系统的其他安全措施将形同虚设。
身份认证主要涉及两个方面的内容:一是识别,二是验证。所谓识别,即必须对系统的每个合法用户都有识别能力。要保证识别的有效性,就必须保证任意两个不同的用户不能有相同的识别符。所谓验证,就是指在访问者声称自己的身份后♀,系统必须对其所称的身份进行验证,辨明真假,以防假冒。身份认证通常有口令验证、信物鉴别和生物特征识别三种方法。口令物证通常是将用户提供的口令和存放在系统中的口令表进行比较来识别用户的身份;利用信物的身份鉴别方式是利用用户携带的能证明用户身份的物品,如磁条卡、智能卡、USB密钥等识别用户的身份。利用生物特征鉴别的方法是通过验证用户独一无二的生理特征或行为特征来识别身份的。人的生理特征包括指纹、视网膜、声音等,行为特征包括人的下意识动作留下的特征,如签名留下的用力程度、笔迹等。在这二种身份验证方法中,口令验证最简单,系统外销最小,是目前公共图书馆安全系统最常用的方法,缺点是安全性较差。信物鉴别比口令鉴别安全性高些,当然整个验证系统要复杂些。生物特征识别安全性最高,可是验证系统更为复杂、技术要求和成本都很高,目前只应用于一些特别重要的场合。
数字签名
在远程访问和数据传送等资源共享活动中,当信息的收发双方对新型的内容及发送源点产生争执时,就要求能相互证实,以防第三者假冒通信一方窃取信息,有效证实的办法就是数字签名。作为一种安全技术,数字签名应当满足以下几个条件,一是签名者事后不能否认自已的签名;二是任何人不能伪造签名、也不能对传送的信息进行伪造、冒充和篡改;三是当通信双方对签名的真伪发生争执时,可以通过第三者仲裁机构确定签名的真伪。这样。信息接受方就能证明其所收到的信息内存确是由哪个发送方发送的,发送方无法否认自己发送信息的行为和内容,接受方也不能伪造信息而栽赃于另外一方。实现数字签名的方法主要有一种,一是利用公开密钥技术;二是利用传统的密码技术,三是利用单项校验和函☿数进行压缩签名。目前,用得比较多的是第一种方法。
2.访问控制技术
访问控制又称为存取控制,更确定地说应称为系统内部的访问控制,它是指系统内部的用户对系统访问的控制,就是确定合法用户对哪些系统资源享有何种ท权限,决定他们分别可以进行什么类型的访问操作,并防止非法用户进入信息系统和合法用户对系统资源的非法使用。实施访问控制是维护系统安全运行,保护系统资源的一项重要技术。其目标:一是保护被访问的信息;二是对存取访问权限确定、授予和实施。必须值得注意的是,到目前为止,还没有一种绝对安全可靠的病毒防测工具。单纯依靠这些软硬件防毒工具,是不可能彻底有效地杜绝和防止病毒传播,特别是不能杜绝病毒在网络上的入侵和蔓延。因此,还需要公共图书馆工作人员,特别是系统管理员,把技术手段与管理机制紧密结合起来。除了采取上述技术工具外,还必须在实践中不断熟悉系统的运行规律,积累与病毒斗争的经验,采取一些直观的、手工检测的病毒检测、防治方法。例如,通过系统运行的现象分析判断发现病毒,如系统引导时出现异常现象,运行速度变慢、不能正常启动;执行文件时出现异常现象,如文件的属性、特征改变或丢失、程序不能正常运行;使用外设时出现异常现象,如正常的外部设备无法使用,屏幕显示出错等。手工检测方法,主要是指运用工具软件查看系统内存、主引导扇区、中断向量等资源利用情况,进而确定机器是否被病毒感染。
二、防泄漏技术
公共图书馆信息系统所使用的设备、线路、存储介质都有可能引起信息的泄露,被敌方或其他人所截获,构成信息安全的威胁。
1.防信息辐射泄露是指电子信息系统设备工作时其主机及外部设备所产生的电磁辐射和各种电源线、信号线及地线所产生的传导辐射。这种泄露的电磁信号如果被接收下来,经过提取、处理,就可以恢复得到原始信息,从而造成信息的泄露。防电磁泄露是保证信息安全的一个重要环节,如图书馆机要电子阅览室就需要根据信息安全等级,设置不同的防辐射措施。
2.防信息载体泄露
任何信息都需记录于一定的载体,也就是在存储介质上,才能进行处理、传递和利用。各种信息载体流动性大,使用频繁,携带方便,现代技术又使得其拷贝复制十分容易,给安全管理工作造成极大不便。如果记录有秘密信息的载体被盗、遗失或失控,都有可能造成信息的严重泄漏。信息载体泄露的防范,除了登记造册、妥善保管、严格遵守保密制度等管理制度外,对于磁、光等新型信息载体还需要相应的技术措施予以保障。
3.网络隔离技术
网络隔离就是将两个或两个以上可路由的网络通过不可路由的协议进行数据交换,达到隔离目的的技术方法。按照上级的要求,当前公共图书馆在内部网与外部因特网之间采用的是第一代隔离技术完全隔离,就是采用独立的设备、存储和线路分别访问内部网和外部网,实现完全的物理隔离。这是最彻底、最安全的隔离,能够有效防止内部信息的泄露,防止外部的非法访问。但是这样的物理隔离,需要多套网络和系统,其建设和维护成本较高,也给使用造成一定的不便。