通信系统安全研究张健（通信工程14-2班学号：5021210214）摘要：通信系统安全是现带通信研究的重要课题，它关乎通信传输的可靠与准确，在现代的信息化时代有着巨大的作用，本文具体阐述信息安全的研究与发展及通信系统安全的治理问题。

关键词：通信系统信息安全安全管理Keyword：communication system information assurance security administration 1、信息安全研究的发展所谓信息安全, 是指保护信息资源, 防止未经授权者或偶然因素对信息资源的破坏、更动、非法利用或恶意泄露, 以实现信息保密性、完整性与可用性的要求( 即CIA) 。

其中保密性( Confidentiality) 定义了哪些信息不能被窥探, 哪些系统资源不能被未授权的用户使用; 完整性( Integrity) 规定了系统资源如何运转以及信息不能被未授权的来源所替代或遭到改变和破坏; 可用性( Availability) 指防止非法独占资源,每当用户需要时, 总能访问到合适的系统资源。

信息安全研究经历了3 个发展阶段。

1.1、通信安全最早研究通信安全问题的是由保密术发展起来的保密学。

保密学是研究通信安全保密的科学, 是保护信息在传递过程中不被敌方窃取、解读和利用的方法。

它包含两个相互对立的分支: 密码学和密码分析学。

前者是研究把明文( plain text) 变换成没有密码就不能解读或很难读懂的密文( cipher text) 的方法;后者是研究分析破译密码的方法。

彼此目的相反, 但在发展中又相互促进。

密码由两个基本要素构成, 即密码算法和密钥。

密码算法是一些公式、变换法则、运算关系;密钥可看作是算法中的可变参数, 改变密钥也就改变了明文与密文之间的数学关系。

对明文进行加密( encryption)时所采用的一组规则称为加密算法, 对密文进行解密( decryption) 时所采用的一组规则称为解密算法。

加密和解密操作通常都在密钥的控制下进行。

传统密码体制使用的加密密钥和解密密钥相同, 称为单钥或对称密码体制( 私钥密码体制) 。

基于成本、兼容性和推广使用的考虑, 密码算法逐步走向标准化, 即算法公开使密码保护仅限于保护密钥。

1977年1 月15日, 美国国家标准局( NBS) 公布实施了美国数据加密标准( DES) , 公开了DES 加密算法, 并广泛应用于商业数据加密。

虽然DES 的安全性目前已受到怀疑, 但由于其执行速度快、效率高而仍被普遍使用。

1996 年12月15 日, 美国总统克林顿签署了《关于密码技术出口控制的管理》( Administration of Export Control on Encryption)的命令, 并于1997 年1 月1 日生效。

根据该命令,任何签字在两年内实施密钥重获机制( Key RecoveryMechanism, 即确保有一个备用密钥集可经常用于解密数据, 以便为执法机关等政府部门提供一个进入密码数据的后门) 的美国厂商都可以马上出口56 位DES 的密码产品。

而且一旦重获机制就位后, 对密钥长度就完全没有限制了。

2、信息系统的安全需求信息系统自身存在着一些固有的脆弱性, 如信息资源的分布性、流动性大, 系统所存储与处理的数据高度密集、具有可访问性, 信息技术专业性强、隐蔽程度高, 系统内部人员的可控性低, 等等。

这些弱点在信息系统的实际运行中易诱发各种风险, 对其安全性构成了潜在的威胁针对信息系统本身固有的脆弱性和常见的风险,信息系统的基本安全需求包括:1、用户身份验证。

系统要识别进入者的身份并确认是否为合法用户。

在网络环境下识别用户身份比单机复杂得多, 大量黑客随时随地都可能尝试截获合法用户的口令向系统渗透, 如果口令不加密传送, 或是每次密钥相同, 则极易被破译。

因此, 每次远程输入用户联机口令都必须加密, 而且必须每次都变更密钥以防被人截获后下次重新来冒名顶替。

2、存取访问控制。

系统要确定合法用户对哪些资源享有何种授权, 可进行什么类型的访问操作。

在网络环境下不但要有独立计算机系统上本地用户对本地资源的访问控制, 而且还涉及到用户可访问哪些本地资源以及本地用户可访问哪些网络资源的问题。

3、信息交换的有效性和合法性。

信息交换的双方应能证实所收到的信息内容和顺序都是正确的; 应能检测出所收到的信息是否过时或重复。

信息交换的双方要对对方的身份进行鉴别以保证所收到的信息是由确认的一方发送来的; 能抵赖、否认收到或发过信息, 也不能对所收到的信息进行随意删改或伪造。

4、软件和数据的完整性。

信息系统的软件和数据不可非法复制、修改或破坏, 并要保证其真实性和有效性。

为此, 要尽量减少误操作、硬件故障、软件错误、掉电、强电磁干扰等意外, 以防止毁坏运行中的程序和数据; 要具备有效的完整性检验手段以检测错误程序、不正确输入等潜在性错误; 对存贮介质要定期检查以防止由于物理损伤而破坏数据的完整性。

5、加密。

利用密码技术对传输和存贮的信息进行加密处理以防泄漏。

仅采取物理安全措施( 如机房进出制度) 和操作入口控制措施( 如访问控制) 是挡不住有技术、有经验的入侵者的, 因此加密是提高信息安全性的根本措施。

加密的基本要求是, 所采用的密码体制要有足够的保密强度, 要有有效的密钥管理, 包括密钥的产生、存贮、分配、更换、保管、使用乃至销毁的全过程。

6、监理。

为防止系统出现差错而采取的预防性措施, 包括: 外部监理，上级主管部门或专业监理机构对系统运行情况的独立检查; 管理监理对系统开发战略、运行管理制度以及质量效益评估体系等进行监理; 操作监理，对日常的输入/ 输出操作、维护、修改、更新等系统运行操作过程和制度进行监理; 安全保密监理，对系统安全保密措施的监理。

7、审计。

对使用系统资源、涉及信息安全的有关操作, 应有一个完整的记录和彻底的检查, 以便系统出现问题时分析原因, 弄清责任。

审计应与报警结合起来, 每当有违反系统安全的事件发生时, 要向系统安全管理人员发出相应的提醒和告警信息以便及时采取补救措施。

8、防病毒。

计算机病毒是一种恶意程序, 它通过不同的途径潜伏或寄生在系统的正常程序或存储媒体里, 当某种条件或时机成熟时就会滋生并感染系统, 使信息资源受到不同程度的损害。

在网络环境下, 计算机病毒更容易复制传播, 危害性极大。

对付计算机病毒必须以预防为主, 应采取消灭传染源、切断传播途径、保护易感染部位等措施, 增强系统对病毒的识别与抵抗能力。

3、信息系统安全的综合治理随着信息系统的广泛建立和各种不同网络的互联互通, 人们意识到, 不能从单个安全功能、单个网络来孤立地、个别地考虑安全问题, 而必须从体系结构上系统地、全面地考虑安全管理。

这就是说, 信息系统安全管理的对象是整个系统而不是系统中的某个或某些元素。

一般来说, 系统内外所有因素都是管理的内容。

从系统内部看, 有通信安全、计算机安全、操作安全、人事安全、资源安全等; 从系统外部环境看, 有法律、道德、文化传统、社会制度等方面的内容。

按照系统的观点, 信息系统安全追求并强调均衡性, 因而各项因素管理要相互协调, 不能重此轻彼。

这就是信息系统安全的综合性原则。

3.1、技术管理信息安全技术包括: 密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、信息泄漏防护技术、系统安全监测报警与审计技术等。

目前信息安全技术的发展速度很快, 国外不断有新型的安全产品投放市场,但进入中国市场的产品安全级别很低。

我国已研制出防( 反) 病毒卡( 软件) 、安全路由器、保密网关、防火墙以及各种环境下的加密机等关键设备, 但总的来说, 国内自主开发的安全产品甚少, 尚不能满足信息系统的安全需求。

3.2、组织管理对于任一级别的信息系统, 都应有相应级别的负责信息安全的专门管理机构。

其主要职能是制订、审查信息安全措施; 确定实施安全措施的方针、策略和原则; 组织实施安全措施并协调、监督、检查安全措施的执行情况。

安全管理机构的人员要按不同任务分工以确立各自的责任。

一类人员是负责系统安全的领导,另一类人员按分工具体管理系统的安全工作, 如保安员、安全管理员、安全审计员、系统管理员、网络管理员等。

对较少涉及密级信息的部位, 也有不少敏感信息, 也需要有一定的组织机构和人员保证。

3.3、法制管理信息系统安全问题的解决最终要依靠法制的保障。

因此, 有必要通过法制手段制订有关信息安全的法律规范, 强制性地贯彻实施信息安全技术与安全管理等措施, 保护信息系统的资源不受侵害。

我国政府高度重视信息系统的安全立法问题, 1996 年成立的国务院信息化工作领导小组曾设立政策法规组、安全工作组及专家组, 并与国家保密局、安全部、公安部等职能部门进一步加强了信息安全法制建设的组织领导和分工协调。

在信息安全法规建设方面, 我国已制定了中华人民共和国计算机信息系统安全保护条例和中华人民共和国计算机信息网络国际联网管理暂行规定。

此外, 1997 年10 月1 日正式生效的新刑法也增加了专门针对威胁信息系统安全的计算机犯罪行为的条款。

其中明文规定: 违反国家规定,侵入国家事务、国防建设、尖端科学领域的计算机系统的, 处3 年以下有期徒刑或拘役; 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰, 造成计算机系统不能正常运行, 后果严重的处5年以下有期徒刑, 后果特别严重的处5 年以上有期徒刑; 违反国家规定, 对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加操作, 后果严重的应负刑事责。

参考文献1 李仁胜计算机系统信息安全技术的实现中国计算机报, 20052 刘晓敏网络环境下信息安全的技术保护情报科学,20093 肖朝虎安全: 令人不安1 中国计算机报, 20104 谢桂月，谢沛荣编著.通信线路工程设计，20085 姜春华.网络时代的会计创新边疆经济与文化，20056 王峰，徐快.网络安全防范技术与产品微电脑世界，20097 王小芹.计算机网络安全的防范技术及策略内蒙古科技与经济，20088 徐亮.浅析新形势下的计算机网络安全福建电脑，2006。