信息安全技术

1.什么是信息安全技术

信息安全技术是指保证己方正常获取、传递、处理和利用信息,而不被无权享用的他方获取和利用己方信息的一系列技术的统称。

2.信息安全技术的现状与趋势[1]

1.国外发展现状与动态

根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1700亿美元。75%的公司报告,财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部;只有17%的公司愿意报告黑客入侵,其他的由于担心负面影响而未声张。

为保证信息安全技术在21世纪的领先地位,美国大力而全面地推动此领域的研究,主要的西方国家也投入大量的人、财、物鼓励和推进这些前沿学科的发展。目前的研究热点是:新的分组加密标准、密钥托管和恢复技术、认证理论、公开密钥密码、协议的形式化分析等一系列理论和方法。信息隐形理论和量子技术的飞速发展,给非数学的密码研究和发展注入了新的活力和希望。在安全体系结构方面,80年代以来推出了可信计算机系统安全评价准则、信息技术安全评价准则、信息技术安全评价的通用准则等。虽然,发达国家已经研制出了达到安全评价准则的安全系统,但仍有局限性。

近年来,美、欧、亚各洲举行的密码学和信息安全学术会议越来越频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统中密钥分配的困难。1978年提出的RSA体制解决了数字签名问题并可用于身份认证,现仍是当前研究的热点。另外,提供信息可认证性的理论依据——认证理论,从80年代后期起已经取得了长足的发展。在密钥管理理论和技术方面,国际上都有一些大的举动,比如美国提出的密钥托管理论和技术、国际标准组织制定的X.509标准以及麻省理工学院开发的Kerboros协议等。目前世界各国都着重考虑电子商务的安全性问题,该问题是当前人们普遍关注的焦点,目前还处于发展阶段。1977年美国颁布使用的国家数据加密标准DES,由于密码分析和攻击手段的进步,已不能满足安全需要,美国正在确定新的加密标准AES,作为21世纪的加密标准。新的密码体制如量子密码,正处于探索阶段。

在安全协议的研究中,安全协议的形式化分析方法是最关键的研究问题之一,它的研究始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展提高和完善阶段。

安全系统的构成评估,经历了80年代中期美国国防部的《可信计算机系统安全评价准则》(TCSEC)、90年代欧洲联合提出的《信息技术安全评价准则》(ITSEC)和近来正在加以完善的《通用准则》(CC)等三个阶段。美国已研制出达到TCSEC要求的操作系统、数据库和网络系统,但仍有局限性,还没有真正达到形式化描述和证明的最高级安全系统。这些高安全级别的产品美国对我国是封锁的。

美国国防部(DOD)于1985年出版的《可信计算机系统的评价准则》(又称“桔皮书”),使计算机系统的安全性评估有了一个权威性的标准。DOD的桔皮书中使用了可信计算基础(Trusted Computing Base,TCB)这一概念,即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。桔皮书将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。在DOD的评估准则中,从B级开始就要求具有强制存取控制和形式化模型技术的应用。桔皮书论述的重点是通用的操作系统,为了使它的评判方法用于网络的评价,美国国家计算机安全中心于1987年出版了《可信网络指南》。该书从网络安全的角度出发,解释了准则中的观点。

2.国内发展现状与动态

在我国,70年代初受专门部门的推动,国内一批最优秀的数论和代数学家,带领一批年轻人研究密码和信息安全理论,培养了一大批人才。二十多年来,他们的优异工作在国际密码学界受到广泛的关注,信息安全的研究队伍在中国科学院、高等院校、科研单位以及工业系统有相当可观的发展和壮大。在实用信息安全技术研究方面也取得了一批自主研究的重要成果。在安全产品开发方面,也开发出了一批性能良好的网络安全产品,比如防火墙、安全路由器等。但总的来说,研究和建立创新性实用信息安全技术在我国还是一项很艰巨的任务,尤其在安全协议和系统安全方面的工作与国外还有很大差距。

1998年,一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料,1998年中国共破获电脑黑客案件近百起,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增。黑客的攻击方法已超过计算机病毒的种类,总数达近千种。公安部官员估计,目前已发现的黑客攻击案约占总数的15%,多数事件由于没有造成严重危害或商家不愿透露而未被曝光。有媒介报道,中国95%的与Intemet相连的网络管理中心都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。在中国,针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元,针对其他行业的黑客犯罪案件也时有发生。

3.信息安全技术的组成[2]

(一)信息保密技术

信息保密技术是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护以防止泄漏的技术。保密通信、计算机密钥、防复制软盘等都属于信息保密技术。信息保密技术是保障信息安全最基本、最重要的技术,一般采用国际上公认的安全加密算法实现。例如,目前世界上被公认的最新国际密码算法标准AES,就是采用128、192、256比特长的密钥将128比特长的数据加密成128比特的密文技术。在多数情况下,信息保密被认为是保证信息机密性的唯一方法,其特点是用最小的代价来获得最大的安全保护。

(二)信息确认技术

信息确认技术是通过严格限定信息的共享范围来防止信息被伪造、篡改和假冒的技术。通过信息确认,应使合法的接收者能够验证他所收到的信息是否真实;使发信者无法抵赖他发信的事实;使除了合法的发信者之外,别人无法伪造信息。一个安全的信息确认方案应该做到:第一,合法的接收者能够验证他收到的信息是否真实;第二,发信者无法抵赖自己发出的信息;第三,除合法发信者外,别人无法伪造消息;第四,当发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。例如,当前安全系统所采用的DSA签名算法,就可以防止别人伪造信息。

(三)网络控制作用

常用的网络控制技术包括防火墙技术、审计技术、访问控制技术和安全协议等。其中,防火墙技术是一种既能够允许获得授权的外部人员访问网络,而又能够识别和抵制非授权者访问网络的安全技术,它起到指挥网上信息安全、合理、有序流动的作用。审计技术能自动记录网络中机器的使用时间、敏感操作和违纪操作等,是对系统事故分析的主要依据之一。访问控制技术是能识别用户对其信息库有无访问的权利,并对不同的用户赋予不同的访问权利的一种技术。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。安全协议则是实现身份鉴别、密钥分配、数据加密等安全的机制。整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。

4.信息安全技术在数字环保中的应用[2]

(一)确保物理层安全

信息安全技术可确保物理安全。物理安全是保护计算机网络设备、设施以及其他媒体免遭水灾、火灾等环境事故以及人为操作失误或错误和各种计算机犯罪行为导致的破坏过程。网络的物理安全是整个网络系统安全的前提。网络物理层的信息安全风险包括设备被盗、被毁坏,链路老化,被有意或者无意地破坏,因电子辐射造成信息泄露,设备意外故障、停电,以及火灾、水灾等自然灾害。针对各种信息安全风险,网络的物理层安全主要包括环境安全、设备安全和线路安全。

(二)确保网络层安全

信息安全技术可确保网络安全。网络安全风险包括数据传输风险、重要数据被破坏的风险、网络边界风险和网络设备的安全风险。信息安全技术可以在内网与外网之间实现物理隔离或逻辑隔离,在外网的人口处配置网络入侵检测设备,设置抗拒绝服务网关,用虚拟局部网络保障内网中敏感业务和数据安全,构建VPN网络实现信息传输的保密性、完整性和不可否认性,设置网络安全漏洞扫描和安全性能评估设备,并能设置功能强大的网络版的反病毒系统。

(三)确保系统层安全

信息安全技术可确保系统安全。系统安全风险是系统专用网络采用的操作系统、数据库及相关商用产品的安全漏洞和病毒进行威胁。系统专用网络通常采用的操作系统本身在安全方面考虑较少,服务器、数据库的安全级别较低,存在一些安全隐患。同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱性。为确保系统安全,信息安全技术可将应用服务器、网络服务器、数据库服务器等各类计算机的操作系统设置成安全级别高、可控的操作系统,对各类计算机进行认证配置,按系统的要求开发统一的身份认证系统、统一授权与访问控制系统和统一安全审计与日志管理系统,及时发现“黑客”对主机的入侵行为,并能设置功能强大的网络版的反病毒系统,实时检杀病毒。

(四)确保应用层安全

信息安全技术可确保应用层安全。应用层安全风险包括身份认证漏洞和万维网服务漏洞。信息安全技术可采用身份认证技术、防病毒技术以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全,可建立统一的身份认证和授权管理系统,可提供加密机制和数字签名机制,并能建立安全邮件系统及安全审计和日志管理系统。