¿Cuál es la estructura jerárquica de la seguridad de la información de la red?
Diferencia
La autenticación es el proceso de verificar el sujeto en la red. Generalmente hay tres formas de verificar la identidad del sujeto. Uno es el secreto que sólo el sujeto conoce, como contraseñas y claves; el segundo son los elementos que lleva el sujeto, como tarjetas inteligentes, tarjetas simbólicas, etc., tercero, solo el sujeto tiene características o habilidades únicas, como por ejemplo; huellas dactilares, voces, retinas o firmas.
Mecanismo de contraseña: La contraseña es un código acordado por ambas partes, que se supone que es conocido sólo por el usuario y el sistema. Las contraseñas a veces las elige el usuario y otras las asigna el sistema. Por lo general, el usuario primero ingresa cierta información del logotipo, como el nombre de usuario y el número de identificación, y luego el sistema le pide que ingrese una contraseña. Si la contraseña coincide con la contraseña del archivo del usuario, el usuario obtendrá acceso. Existen muchos tipos de contraseñas, como las contraseñas de un solo uso. El sistema genera una lista de contraseñas de un solo uso. Debes usar x la primera vez, Y la segunda vez, Z la tercera vez, y así sucesivamente. También hay contraseñas basadas en el tiempo, donde la contraseña correcta para el acceso cambia con el tiempo, y este cambio se basa en el tiempo y una clave de usuario secreta. Por eso las contraseñas cambian cada minuto y son más difíciles de adivinar.
Tarjeta Inteligente: El acceso requiere no sólo una contraseña sino también una tarjeta inteligente física. Verifique si el acceso al sistema está permitido antes de permitir la entrada al sistema. Una tarjeta inteligente tiene aproximadamente el tamaño de una tarjeta de crédito y normalmente consta de un microprocesador, memoria y dispositivos de entrada y salida. El microprocesador puede calcular el número único (ID) de la tarjeta y otros datos de forma cifrada. La identificación garantiza que la tarjeta es auténtica y que el titular de la tarjeta puede acceder al sistema. Para proteger su tarjeta inteligente contra pérdida o robo, muchos sistemas requieren una tarjeta inteligente y un PIN. Si solo tienes la tarjeta y no sabes el PIN, no podrás ingresar al sistema. Las tarjetas inteligentes son mejores que los métodos tradicionales de contraseña para la autenticación, pero son incómodas de llevar y cuesta más abrir una cuenta.
Identificación de características del sujeto: El método de identificación de características personales es altamente seguro. Actualmente, los equipos existentes incluyen: escáneres de retina, dispositivos de verificación de voz y reconocedores de manos.
Sistema de seguridad de transmisión de datos
El propósito de la tecnología de cifrado de transmisión de datos es cifrar el flujo de datos durante la transmisión para evitar escuchas, fugas, manipulación y destrucción en la línea de comunicación. Si distinguimos los niveles de comunicación implementados por el cifrado, el cifrado se puede implementar en tres niveles de comunicación diferentes, a saber, cifrado de enlace (cifrado por debajo de la capa de red OSI), cifrado de nodo y cifrado de extremo a extremo (cifrado antes de la transmisión y por encima de la red OSI). capa).
Los más utilizados incluyen el cifrado de enlaces y el cifrado de extremo a extremo. El cifrado de enlaces se centra en los enlaces de comunicación independientemente del origen y el destino, proporcionando seguridad para la información confidencial mediante el uso de diferentes claves de cifrado en cada enlace. El cifrado de enlaces está orientado a nodos y es transparente para los sujetos de la red de alto nivel. Cifra información de protocolo de alto nivel (dirección, detección de errores, encabezado de trama y cola de trama), por lo que los datos son texto cifrado durante la transmisión, pero deben descifrarse en. el nodo central. Obtener información de enrutamiento. El cifrado de extremo a extremo significa que el remitente cifra automáticamente la información, la encapsula en paquetes TCP/IP y luego pasa a través de Internet como datos ilegibles e irreconocibles. Una vez que la información llega a su destino, se reorganiza y descifra automáticamente en datos legibles. El cifrado de extremo a extremo es para los principios avanzados de la red. No cifra la información del protocolo de capa inferior. La información del protocolo se transmite en texto claro, por lo que no es necesario descifrar los datos del usuario en el nodo central.
Tecnología de autenticación de integridad de datos Actualmente, para la información transmitida dinámicamente, muchos protocolos garantizan principalmente la integridad de la información al recibir y retransmitir errores y descartar paquetes de datos posteriores. Sin embargo, los ataques de piratería pueden alterar el contenido interno de los paquetes, por lo que se deben tomar medidas efectivas para controlar la integridad.
Autenticación de mensajes: similar al control CRC de la capa de enlace de datos, el campo (o dominio) del nombre del mensaje se combina en un valor de restricción a través de ciertas operaciones, lo que se denomina vector de verificación de integridad ICV del mensaje. (Vector de cheque integrado). Luego se encapsula con los datos para su cifrado. Durante la transmisión, dado que el intruso no puede descifrar el mensaje, es imposible modificar los datos y calcular un nuevo ICV al mismo tiempo.
De esta forma, el receptor puede descifrar y calcular el ICV después de recibir los datos. Si es diferente del ICV en el texto claro, el mensaje se considera inválido.
Suma de comprobación: Uno de los métodos de control de integridad más simples y sencillos es utilizar la suma de comprobación para calcular el valor de la suma de comprobación del archivo y compararlo con el último valor calculado. Si son iguales, el documento no ha cambiado; si no son iguales, es posible que el documento haya sido cambiado por un comportamiento no intencionado. El método de suma de comprobación puede comprobar si hay errores pero no protege los datos.
Suma de verificación cifrada: divida el archivo en archivos pequeños, calcule el valor de verificación CRC de cada bloque y luego agregue estos valores CRC como suma de verificación. Este mecanismo de control de integridad es difícil de romper siempre que se utilicen algoritmos adecuados. Sin embargo, este mecanismo requiere una gran cantidad de cálculos y es costoso, y solo es adecuado para situaciones con una protección de integridad extremadamente alta.
MIC (Código de integridad del mensaje (MIC): utiliza una función hash unidireccional simple para calcular el resumen del mensaje, que se envía con el mensaje al receptor. El receptor vuelve a calcular el resumen y lo compara con verificar la integridad de la información durante la transmisión. La característica de esta función hash es que no hay dos entradas diferentes que puedan producir dos salidas idénticas. Por lo tanto, el archivo modificado no puede tener el mismo valor hash y se puede implementar de manera eficiente en diferentes sistemas. -Las técnicas de repudio incluyen prueba de origen y destino, utilizando ciertos protocolos de intercambio de datos para satisfacer a ambas partes. Una condición: el receptor puede identificar la identidad reclamada por el remitente, y el remitente no puede negar el hecho de que envió datos en el futuro. Por ejemplo, las partes que se comunican utilizan un sistema de clave pública y el remitente utiliza la clave pública del receptor y su propia clave privada para cifrar la información, el receptor solo puede leerla después de descifrarla con su propia clave privada y la clave pública del remitente. Lo mismo se aplica al recibo del receptor. Además, los métodos para evitar el no repudio incluyen: usar un token de un tercero confiable, usar una marca de tiempo, usar terceros en línea, combinar firmas digitales y marcas de tiempo, etc.
Para garantizar la seguridad de la transmisión de datos, se requiere tecnología de cifrado de transmisión de datos, tecnología de autenticación de integridad de datos y tecnología de no repudio. Por lo tanto, para ahorrar inversión, es necesario simplificar la configuración del sistema y facilitar la administración y el uso. elegir medidas y equipos de tecnología de seguridad integrada El equipo debe poder proporcionar servicios de cifrado para el host o servidor de claves de un sistema de red grande, y proporcionar firmas digitales seguras y cifrado automático para sistemas de aplicaciones. La función de distribución de claves admite una variedad de. Funciones hash unidireccionales y algoritmos de código de verificación para identificar la integridad de los datos.
Sistema de seguridad de almacenamiento de datos
La información almacenada en el sistema de información de la computadora incluye principalmente información de datos puros. y diversa información de archivos funcionales. Para la protección de seguridad de la información de datos puros, la protección de la información de la base de datos es la más típica. Para la protección de varios archivos funcionales, la seguridad de la base de datos es muy importante. Proporciona protección de seguridad para los datos y recursos administrados por. sistema de base de datos, que generalmente incluye los siguientes puntos: primero, la integridad física, que puede proteger los datos de daños físicos, como cortes de energía, incendios, etc., segundo, la integridad lógica, por ejemplo, la estructura de la base de datos. la modificación de un campo no afectará a otros campos; en tercer lugar, la integridad de los elementos, es decir, que los datos contenidos en cada elemento sean precisos; en cuarto lugar, el cifrado de datos, la autenticación del usuario, para garantizar que cada usuario esté correctamente identificado para evitar la intrusión ilegal del usuario; 6. Accesibilidad significa que los usuarios generalmente pueden acceder a la base de datos y a todos los datos autorizados; la auditabilidad puede rastrear quién ha accedido a la base de datos.
Para implementar la protección de seguridad, una opción es proporcionar protección de seguridad. el sistema de base de datos, es decir, se debe seguir un conjunto completo de políticas de seguridad del sistema desde el diseño, implementación, uso y gestión del sistema, el segundo es construir un módulo de seguridad basado en las funciones proporcionadas por el sistema de base de datos existente; para mejorar la seguridad de los sistemas de bases de datos existentes.
Seguridad terminal: resuelve principalmente el problema de la protección de seguridad de la información informática. Las funciones generales de seguridad son las siguientes.
Autenticación basada en contraseñas y/o algoritmos criptográficos para evitar el uso ilegal de máquinas; control de acceso autónomo y obligatorio para evitar el acceso ilegal a archivos; gestión de permisos multinivel para evitar operaciones no autorizadas de dispositivos de almacenamiento para evitar copias ilegales de disquetes; arranque en disco duro; almacenamiento cifrado de datos y códigos de programas para evitar el robo de información; antivirus, seguimiento de auditoría estricto para facilitar la trazabilidad de los incidentes responsables.
Sistema de auditoría de contenido de información
Realiza auditorías de contenido en tiempo real de la información que entra y sale de la red interna para prevenir o rastrear posibles fugas. Por lo tanto, para cumplir con los requisitos de la ley nacional de confidencialidad, este tipo de sistema debe instalarse y utilizarse en algunas redes importantes o confidenciales.