¿Qué áreas incluye la seguridad de la información?
Diferencia
La autenticación es el proceso de verificar el sujeto en la red. Generalmente hay tres formas de verificar la identidad del sujeto. Uno es el secreto que sólo el sujeto conoce, como contraseñas y claves; el segundo son los elementos que lleva el sujeto, como tarjetas inteligentes, tarjetas simbólicas, etc., tercero, solo el sujeto tiene características o habilidades únicas, como por ejemplo; huellas dactilares, voces, retinas o firmas.
Mecanismo de contraseña: La contraseña es un código acordado por ambas partes, que se supone que es conocido sólo por el usuario y el sistema. Las contraseñas a veces las elige el usuario y otras las asigna el sistema. Por lo general, el usuario primero ingresa cierta información del logotipo, como el nombre de usuario y el número de identificación, y luego el sistema le pide que ingrese una contraseña. Si la contraseña coincide con la contraseña del archivo del usuario, el usuario obtendrá acceso. Existen muchos tipos de contraseñas, como las contraseñas de un solo uso. El sistema genera una lista de contraseñas de un solo uso. Debes usar x la primera vez, Y la segunda, Z la tercera vez, y así sucesivamente. También hay contraseñas basadas en el tiempo, donde la contraseña correcta para el acceso cambia con el tiempo, y este cambio se basa en el tiempo y una clave de usuario secreta. Por eso las contraseñas cambian cada minuto y son más difíciles de adivinar.
Tarjeta Inteligente: El acceso requiere no sólo una contraseña sino también una tarjeta inteligente física. Verifique si el acceso al sistema está permitido antes de permitir la entrada al sistema. Una tarjeta inteligente tiene aproximadamente el tamaño de una tarjeta de crédito y normalmente consta de un microprocesador, memoria y dispositivos de entrada y salida. El microprocesador puede calcular el número único (ID) de la tarjeta y otros datos de forma cifrada. La identificación garantiza que la tarjeta es auténtica y que el titular de la tarjeta puede acceder al sistema. Para proteger su tarjeta inteligente contra pérdida o robo, muchos sistemas requieren una tarjeta inteligente y un PIN. Si solo tienes la tarjeta y no sabes el PIN, no podrás ingresar al sistema. Las tarjetas inteligentes son mejores que los métodos tradicionales de contraseña para la autenticación, pero son incómodas de llevar y cuestan más abrir una cuenta.
Identificación de características del sujeto: El método de identificación de características personales es altamente seguro. Actualmente, los equipos existentes incluyen: escáneres de retina, dispositivos de verificación de voz y reconocedores de manos.
Sistema de seguridad de transmisión de datos
El propósito de la tecnología de cifrado de transmisión de datos es cifrar el flujo de datos durante la transmisión para evitar escuchas, fugas, manipulación y destrucción en la línea de comunicación. Si distinguimos los niveles de comunicación implementados por el cifrado, el cifrado se puede implementar en tres niveles de comunicación diferentes, a saber, cifrado de enlace (cifrado por debajo de la capa de red OSI), cifrado de nodo y cifrado de extremo a extremo (cifrado antes de la transmisión y por encima de la red OSI). capa).
Los más utilizados incluyen el cifrado de enlaces y el cifrado de extremo a extremo. El cifrado de enlaces se centra en los enlaces de comunicación independientemente del origen y el destino, proporcionando seguridad para la información confidencial mediante el uso de diferentes claves de cifrado en cada enlace. El cifrado de enlaces está orientado a nodos y es transparente para los sujetos de la red de alto nivel. Cifra información de protocolo de alto nivel (dirección, detección de errores, encabezado de trama y cola de trama), por lo que los datos son texto cifrado durante la transmisión, pero deben descifrarse en. el nodo central. Obtener información de enrutamiento. El cifrado de extremo a extremo significa que el remitente cifra automáticamente la información, la encapsula en paquetes TCP/IP y luego pasa a través de Internet como datos ilegibles e irreconocibles. Una vez que la información llega a su destino, se reorganiza y descifra automáticamente en datos legibles. El cifrado de extremo a extremo es para los principios avanzados de la red. No cifra la información del protocolo de capa inferior. La información del protocolo se transmite en texto claro, por lo que no es necesario descifrar los datos del usuario en el nodo central.
Tecnología de autenticación de integridad de datos Actualmente, para la información transmitida dinámicamente, muchos protocolos garantizan principalmente la integridad de la información al recibir y retransmitir errores y descartar paquetes de datos posteriores. Sin embargo, los ataques de piratería pueden alterar el contenido interno de los paquetes, por lo que se deben tomar medidas efectivas para controlar la integridad.
Autenticación de mensajes: similar al control CRC de la capa de enlace de datos, el campo (o dominio) del nombre del mensaje se combina en un valor de restricción a través de ciertas operaciones, lo que se denomina vector de verificación de integridad ICV del mensaje. (Vector de cheque integrado). Luego se encapsula con los datos para su cifrado. Durante la transmisión, dado que el intruso no puede descifrar el mensaje, es imposible modificar los datos y calcular un nuevo ICV al mismo tiempo. De esta forma, el receptor puede descifrar y calcular el ICV después de recibir los datos. Si es diferente del ICV en el texto claro, el mensaje se considera inválido.
Suma de comprobación: Uno de los métodos de control de integridad más simples y sencillos es utilizar una suma de comprobación para calcular el valor de la suma de comprobación del archivo y compararlo con el último valor calculado. Si son iguales, el documento no ha cambiado; si no son iguales, es posible que el documento haya sido cambiado por un comportamiento no intencionado. El método de suma de comprobación puede comprobar si hay errores pero no protege los datos.
Suma de verificación cifrada: divida el archivo en archivos pequeños, calcule el valor de verificación CRC de cada bloque y luego agregue estos valores CRC como suma de verificación. Este mecanismo de control de integridad es difícil de romper siempre que se utilicen algoritmos adecuados. Sin embargo, este mecanismo es costoso y requiere mucho cálculo, y solo es adecuado para situaciones con una protección de integridad extremadamente alta.
MIC (Código de integridad del mensaje (MIC): utiliza una función hash unidireccional simple para calcular el resumen del mensaje, que se envía con el mensaje al receptor. El receptor vuelve a calcular el resumen y lo compara con verificar la integridad de la información durante la transmisión. La característica de esta función hash es que no hay dos entradas diferentes que puedan producir dos salidas idénticas.
Por lo tanto, los archivos modificados no pueden tener el mismo valor hash. Las funciones hash unidireccionales se pueden implementar de manera eficiente en diferentes sistemas.
La tecnología de repudio incluye prueba de origen y destino. Un método común es la firma digital, que utiliza un determinado protocolo de intercambio de datos para que ambas partes cumplan dos condiciones: el receptor puede identificar la identidad reclamada por el remitente y el remitente no puede negar el hecho de que envió datos en el futuro. Por ejemplo, las partes que se comunican utilizan un sistema de clave pública. El remitente utiliza la clave pública del receptor y su propia clave privada para cifrar la información. El receptor utiliza su propia clave privada y la clave pública del remitente para descifrar la información antes de que pueda leerse. Lo mismo ocurre con el recibo del destinatario. Además, los métodos para evitar el no repudio incluyen: usar tokens de terceros confiables, usar marcas de tiempo, usar terceros en línea, combinar firmas digitales y marcas de tiempo, etc.
Para garantizar la seguridad de la transmisión de datos, se debe utilizar tecnología de cifrado de transmisión de datos, tecnología de autenticación de integridad de datos y tecnología de no repudio. Por lo tanto, para ahorrar inversión, simplificar la configuración del sistema y facilitar la gestión y el uso, es necesario elegir medidas y equipos de tecnología de seguridad integrada. El dispositivo debe poder proporcionar servicios de cifrado para hosts o servidores de claves de sistemas de red a gran escala, proporcionar firmas digitales seguras y funciones de distribución automática de claves para sistemas de aplicaciones, admitir una variedad de funciones hash unidireccionales y algoritmos de código de verificación, y realizar Datos Identificación de integridad.
Sistema de seguridad de almacenamiento de datos
La información almacenada en el sistema de información de la computadora incluye principalmente información de datos pura y diversa información de archivos funcionales. Para la protección de seguridad de información de datos pura, la protección de información de bases de datos es la más típica. La seguridad del terminal es muy importante para la protección de varios archivos funcionales.
Seguridad de la base de datos: Proporciona protección de seguridad para los datos y recursos administrados por el sistema de la base de datos, incluyendo generalmente los siguientes puntos. En primer lugar, la integridad física, que protege los datos de daños físicos, como cortes de energía, incendios, etc. El segundo es la integridad lógica, que puede mantener la estructura de la base de datos. Por ejemplo, la modificación de un campo no afectará a otros campos; el tercero, la integridad de los elementos, es decir, los datos contenidos en cada elemento son precisos; cifrado de datos; quinto, la autenticación del usuario garantiza que cada usuario esté correctamente identificado para evitar la intrusión ilegal del usuario; 6. Accesibilidad significa que los usuarios generalmente pueden acceder a la base de datos y todos los datos autorizados pueden rastrear quién ha accedido a la base de datos;
Para lograr la protección de seguridad de la base de datos, una opción es proteger de forma segura el sistema de base de datos, es decir, se debe seguir un conjunto completo de políticas de seguridad del sistema desde el diseño, implementación, uso y administración del sistema; on La funcionalidad proporcionada por el sistema de base de datos existente crea un módulo de seguridad diseñado para mejorar la seguridad del sistema de base de datos existente.
Seguridad del terminal: resuelve principalmente el problema de protección de seguridad de la información de la computadora. Las funciones de seguridad generales son las siguientes. Autenticación basada en contraseñas y/o algoritmos criptográficos para evitar el uso ilegal de máquinas; control de acceso autónomo y obligatorio para evitar el acceso ilegal a archivos; gestión de permisos multinivel para evitar operaciones no autorizadas de dispositivos de almacenamiento para evitar copias ilegales de disquetes; arranque en disco duro; almacenamiento cifrado de datos y códigos de programas para evitar el robo de información; antivirus, ataques antivirus; seguimiento de auditoría estricto para facilitar la trazabilidad de los incidentes responsables.
Sistema de auditoría de contenido de información
Realiza auditorías de contenido en tiempo real de la información que entra y sale de la red interna para prevenir o rastrear posibles fugas. Por lo tanto, para cumplir con los requisitos de la ley nacional de confidencialidad, este tipo de sistema debe instalarse y utilizarse en algunas redes importantes o confidenciales.
-Lo anterior es una reproducción de www.infosec.gov.cn, Red de Seguridad de la Información de China.