信息安全论文
200811513258 信 息 081 李 海 林
信息安全论文
摘要:随着信息技术的不断发展,信息安全技术已经越来越被人们所重视。首先介绍了信息安全的起源、近几年由于安全问题所带来的巨大损失,然后给出了信息安全的几个定义以及它的特点,具体分析了信息安全所面对的不同方面的威胁。同时简单的介绍了信息安全的体系结构,具体的介绍了信息安全技术的两个重要的技术:密码技术和网络防御技术。其中密码技术包括基于数学的密码技术和基于非数学的密码技术,网络防御技术主要讲的是防火墙技术。最后对未来进行了一些期望,希望能够及时的掌握技术,避免过多的损失。
关键词:信息技术;信息安全技术;密码技术;防火墙技术
1引言
信息安全起源于计算机安全。计算机安全就是计算机硬件的物理位置远离外部威胁,同时确保计算机软件正常、可靠地运行,随着网络技术不断地发展,计算机安全的范围也在不断地扩大,其中涉及到数据的安全、对数据的随机访问限制和对未授权访问的控制等问题。由此,单纯的计算机安全开始向信息安全演进。互联网的出现使得这种通信更加频繁,由此而衍生出来的信息安全问题层出不穷。
近年来,百度收索引擎被恶意攻击,致使服务器瘫痪;腾讯公司业务系统黑客入侵后得到权限,并被勒索百万人民币。2008年公安部网监局调查了7起网络木马程序案件,每起案件的木马销售获利均超过1000万元,据有关方面统计,目前美国由于每年网络信息安全问题而遭到的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,日本、新加坡在这方面的问题也很严重。另一方面,病毒、流氓软件的大肆泛滥又让人们开始对杀毒软件产生怀疑,杀毒软件永远落后于病毒的传播,因此人们对不断更新变种的病毒防不胜防。
2信息安全定义
“信息安全”曾经仅是学术界所关心的事情,就像“计算机”、“网络”这些术语一样,以前都是学术界从事具体研究的人员想了解其究竟解决相关问题。但是随着互联网的普及,信息安全已经变得家喻户晓,危及到信息安全的因素也越来越多,因此对它的重视程度也在逐渐提高。由于理解的形式不同,国内外对“信息安全”没有统一的定义。
《中华人民共和过计算机信息系统安全保护条例》的定义:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。国家信息安全重点实验室的定义:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性”。国际标准化委员会的定义:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。
广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。信息安全又以下几个特性:
(1)保密性:保护数据不受非法截获和未经授权浏览。对于敏感数据的传输尤为重要,同时也是通信网络中处理用户的私人信息所必须的。存储信息的机密性主要通过访问控制来实现,不同的用户对不同的数据拥有不同的权限。
(2)完整性:能保障被传输、接收或存储的数据是完整的和未被篡改的特性。对于保证重要数据的精确性尤为关键。除了数据本身不能破坏外,数据的完整性还要求数据的来源具有正确性和可信性。 (3)可控性:保证信息和信息系统的授权认证和监控管理。可确保某个实体(人或系统)的身份的真实性,也可确保执政者对社会的执法管理行为。
(4)可用性:尽管存在可能的突发事件如供电中断、自然灾害、事故或攻击等,但用户依然可得到或使用数据,服务也处于正常运转状态。当然,数据不可用也可能是由软件缺陷造成的,如微软的Windows总是有缺陷被发现。 (5)非否认性:能够保证信息行为人不能否认其信息行为。可防止参与某次通信交换的一方事后否认本次交换曾经发生过。数据签名技术是解决不可否认性的重要手段之一。 总体来看,信息安全就是要保证信息的基本属性不被破坏,信息按照发送方的意愿成功被接收方接收。
3信息安全面对的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有以下几种:
(1)人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。 (2)人为的恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(3)网络软件的漏洞、“后门”和自然灾害。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门\"洞开,其造成的后果将不堪设想。自然灾害包括地震、雷击、洪水等,可直接导致物理设备的损害或零部件故障,这类威胁具有突发性、自然性和不可抵抗性等特点,当然还有环境的干扰。
4信息安全的体系结构
信息安全是一个完整、系统的概念,它既是一个理论问题,又是一个工程实践问题。由于计算机网络的开放性、复杂性和多样性,使得网络安全系统需要一个完整的、严谨的体系结构来保证。1995年ISO颁布了ISO GB/T9387.2-1995标准,即五大类安全服务、八大种
安全机制和相应的安全管理标准。其中五大类安全服务包括认证服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。
(1) 认证服务:提供对通信中对等实体和数据来源的认证。
(2)访问控制服务:用来防止未授权用户非法使用系统资源,包括用户身份认证和用户权限确认。
(3)数据保密性服务:为防止网络个系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。同时,对有可能通过观察信息流就能推导出信息的情况进行防范。 (4)数据完整性服务:用于阻止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
(5)抗否认性服务:用于防止发送方在发送数据后否认发送和接收方在接收到数据后否认受到或者伪造数据的行为。
八大种安全机制包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。
5信息安全技术
信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、生物、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,研制相关的应用产品。具体来说,信息安全包括的技术有:密码技术、网络防御技术、网络攻击技术、信息隐藏技术、应用层安全技术等等。 5.1密码技术
密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和
非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。5.1.1基于数学的密码技术
基于数学的密码技术分为经典密码学技术、对称密码学技术、非对称密码学技术。经典密码技术出现比较早,比较简单而且容易破译。对称密码体制(Symmetric Key Crytography)中,加密和解密采用相同的密钥,所以需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去。这样就可以实现数据的机密性和完整性。非对称密码体制(Asymmetric Key Crytography)也叫公钥加密技术(Public Key Crytography),该技术就是针对对称密码体制的缺陷被提出来的。在公钥加密系统中,加密和解密是相对独立的,加密和解密会使用两“把”不同的密钥,加密密钥(公开密钥)向公众公开,解密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,故称为公钥密码体制。
公钥密码体制的算法中最著名的代表是RSA系统,此外还有背包密码、McEliece密码、Diffe—Hellman、Rabin、椭圆曲线、EIGamal算法等。公钥密钥的密钥管理比较简单,并且可以方便的实现数字签名和验证。但缺点是算法复杂,运算量大,加密数据的速率较低。因此,常用来对少量关键数据(例如对称加密算法的密钥)进行加密,或者用于数字签名。 5.1.2基于非数学的密码技术
国际上对非数学的密码理论与技术非常关注。其中以量子密码最为引人注目。1969年美国哥伦比亚大学的Wiesner革命性地提出了共轭编码的概念,多年后,源于共轭编码概念的量子密码理论与技术取得了令人惊异的进步,已先后在自由空间和商用光纤中完成了单光子密钥交换协议,英国BT实验室通过30公里的光纤信道实现了每秒20k比特的密钥分配。近年来,英、美、日等国的许多大学和研究机构竞相投入到量子密码的研究之中,但总的来说,量子密码技术距离实用仍然有一定差距。
信息隐藏将在未来网络中保护信息免于破坏起到重要作用,信息隐藏是网络环境下把机密信息隐藏在大量信息中不让对方发觉的一种方法。特别是图像叠加、数字水印、潜信道、隐匿协议等的理论与技术的研究已经引起人们的重视。1996年以来,国际上召开了多次有关信息隐藏的专业研讨会。基于生物特征(比如手形、指纹、语音、视网膜、虹膜、脸形、DNA等)的识别理论与技术已有所发展,形成了一些理论和技术,也形成了一些产品,这类产品往往由于成本高而未被广泛采用。
在防止信息泄漏的相关技术中,加密技术具有绝对的优势。可以说,加密技术是信息安全领域最后的堡垒。但是,现有的加密算法已被破解殆尽,甚至国际通用的两大密码算法MD5和SHA-1亦不能幸免,两者均被来自中国的王小云教授破译,破译时间分别是2004年和2006年。也就是说在现有技术体系下,一旦非法窃取者能够窃取揭秘方案或者能够破译加密算法,信息仍可能会大量泄露 5.2网络防御技术
到目前为止,网络防御技术分为两大类:被动防御技术和主动防御技术。被动防御技术是基于特定特征的、静态的、被动式的防御技术,主要有防火墙技术、漏洞扫描技术、入侵检测技术、病毒扫描技术等;主动防御技术是基于自学习和预测技术的主动式防御技术,主要有入侵防御技术、计算机取证技术、蜜罐技术、网络自生存技术等。 5.2.1防火墙技术
“防火墙”是一个通用术语,是指在两个网络之间执行控制策略的系统,是在网络边界上建立的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。防火墙通常是由软件系统和硬件设备组合而成,在内部网和外部网之间构建起安全的保护屏障。从逻辑上讲,防火墙是起分隔、限制、分析的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙现在己成为各企业网络中实施安全保护的核心。
防火墙一般有以下几个功能:
(1) 限制他人进入内部网络,过滤掉不安全服务和非法用户; (2) 防止入侵者接近其他防御设备; (3) 限制用户访问特殊站点;
(4) 为监视Internet的安全提供方便。 防火墙的发展经过了五个阶段。第一代防火墙几乎是与路由器同时出现,采用了包过滤技术;第二代防火墙是贝尔实验室1989年推出的电路层火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构;1994年以色列的CheckPoint公司开发出采用状态监视技术的第四代防火墙;1998年,NAI推出了采用自适应代理技术的防火墙,标志着第五代防火墙的诞生。
目前的防火墙主要有两种类型:
其一,是包过滤型防火墙。它一般由路由器实现,故也被称为包过滤路由器。它在网络层对进出内部网络的所有信息进行分析,一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型,并按照信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的规则允许或拒绝流动的数据,如:Telnet服务器在TCP的23号端口监听远程连接,若管理员想阻塞所有进入的Telnet连接,过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提供日志,这样一来就无法发现黑客的攻击纪录。
其二,是应用级防火墙。大多数的应用级防火墙产品使用的是应用代理机制,内置了代理应用程序,可用代理服务器作内部网和Internet之间的转换。若外部网的用户要访问内部网,它只能到达代理服务器,若符合条件,代理服务器会到内部网取出所需的信息,转发出去。同样道理,内部网要访问Internet,也要通过代理服务器的转接,这样能监控内部用户访问Interact.这类防火墙能详细记录所有的访问纪录,但它不允许内部用户直接访问外部,会使速度变慢。且需要对每一个特定的Internet服务安装相应的代理服务器软件,用户无法使用未被服务器支持的服务。
6.结束
人们越来越关注信息安全,而且随着研究的不断深入,许多新技术不断的涌现,如密罐系统、椭圆曲线密码体制、量子密码等都提供了新的发展方向和更好的安全性。但是,目前由于国内大部分安全产品很少具有自主知识产权。它们基本上都来源于开放源代码的技术。因此我们极其需要自主产权的技术、产品。需要创新性的技术理念和成果。这也是所有信息安全领域内的科研和企业界技术、管理人员共同的责任和任务。这一切应该引起政府相关主管部门的重视和关注.并进行适当的引导和推动。只有理解吸收现有技术,及时了解掌握新技术,才能不断提高安全系统的防护能力,才能在信息安全的争夺战中先行一步。
参考文献
[1]周学广、刘艺.信息安全学[M].第1版.北京:机械工业出版社.2003 [2]北京启明星辰信息技术公司.网络信息安全技术基础[M].第1版.北京:电子工业出版社.2002 [3]赵泽茂等.信息安全技术[M].西安:西安电子科技大学出版社,2009 [4]王国鑫等.信息安全技术发展趋势[M].分析办公自动化,2008(3)
