网络信息安全技术综述(2)

第20卷　第1期　　　　　　　　　林　业　劳　动　安　全

2007年　2月

Vol120,No11　Feb,2007

　FORESTRYLABOURSAFETY

文章编号:1006-5091(2007)01-0025-05研究与技术

网络信息安全技术综述

李彦辉,王述洋,王春艳

1

2

3

(11东北林业大学计算机与信息工程学院,黑龙江哈尔滨150040;

21东北林业大学机电工程学院,黑龙江哈尔滨150040;

31铁力市网络通信公司,黑龙江铁力152500)

摘　要:简述了信息安全问题的由来和发展历史,具体分析了网络安全技术的主要研究领域与关键技术,,探讨了国内外研究开发网络信息安全技术的现状、关键词:信息安全;网络;安全策略

中图分类号:TP30912:InformationSecurityTechnology

LIYan2hui,WANGShu2yang,WANGChun2yan

1

2

3

(11ComputerandInformationEngineeringCollegeofNortheastForestryUniversity,Harbin150040,China;

21ElectromechanicalEngineeringCollegeofNortheastForestryUniversity,Harbin150040,China;

31TieliNetworkCommunicationCompany,Heilongjiang152500,China)

Abstract:Theoriginandthedevelopmenthistoryofinformationsecurityrelatedproblemsareintroducedinbrief1Thedefinitionandcharacteristicsofinformationsecurityrelatedproblemsarestated1Theresearchfieldsandkeytechnologyofnetworksecuritytechnologyhavebeenanalyzedaswellasthepracticalapplicationofnetworksecuritytechnology　methodsandstrategies1Thepresentstateanddevelopmenttrendofnetworkinformationsecuritytechnologyresearch&developmentfromhomeandabroadhavebeendiscussed.

Keywords:informationsecurity;network;safetystrategy

1　网络信息安全问题的由来

随着现代网络通信技术的发展和应用,过去各自独立运行的单机或单个系统通过网络相互连接起来,实现了跨系统、跨区域的资源共享和信息交换。然而,随着计算机网络的广泛应用和网络空间的逐步开放,为自身系统的安全运行埋下了隐患,

收稿日期:2006-12-14

使网络极易受黑客、恶意软件和计算机病毒的攻击。事实上,自互联网问世以来,一场网络安全防范与入侵攻击之间的战争就已拉开帷幕。

信息和网络安全问题所造成的后果严重。第一,网络不安全,国家信息就不安全。国家信息系统往往成为敌对国家和不法分子攻击和窃取国家信息情报的重要途径。1996年8月17日,美国司

第一作者简介:李彦辉(1975-),男,黑龙江铁力市人,1997年毕业于燕山大学工业自动化专业,现就读于东北林业大学

计算机科学与技术专业,硕士研究生。

26

林　业　劳　动　安　全　第20卷第1期

法部的网络服务器遭到黑客入侵,并将“美国司法部”的主页改为“美国不公正部”,令美国上下一片哗然。其次,网络不安全,经济信息就不安全。信息技术与信息产业已成为当今世界经济与社会发展的主要驱动力。但网络是把“双刃剑”,世界各国的经济每年都因信息安全问题遭受巨大损失。据介绍,目前美国、德国、英国、法国每年由于网络安全问题而遭受的经济损失达数百亿美元。其中2005年,英国有500万人仅被网络诈骗就造成经济

工、转换、存储、传输、使用等一系列环节和过程中,为确保实现上述信息安全目标所参与的一系列营销对策、知识方法和各种技术的总称。就总体而言,信息安全主要包括信息本身的安全、计算机系统的安全、网络安全、信息管理体系的安全四个层次的内容。

21211　信息本身的安全

信息本身的安全主要是指为了保证信息本身在产生、传输、使用、存储过程中免遭破坏、修改窃取、非法截获和使用;为了使秘密信息不泄露,非秘密信息本身的完整性、真实性、可用性能够得到长久不变的维护所应采取的一切技术、方法和措施。常见的有身份认证技术、术、存储介质。1损失达5亿美元。再次,网络不安全,军事信息就不安全。与公众网络相比,军事网络安全受到的威胁更大。美军曾对计算机系统进行了318万次模拟袭击,袭击成功率高达65%,而被发现的概率仅为12%,对已发现的袭击能及时通报的只有27%,能

做出反应的还不到1%。还有,网络不安全,文化信息就不安全。截至2005年,“法轮功利用境内外设置的网络站点在信息时代,由信息网络安全问题引发的损失将会全方位地危及一个国家的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中。由此可见,保证网络安全运行已提升到维护国家主权、保护国家安全的高度。因此,阻止网络中的恶意攻击及数据窃取已成为当前信息系统建设和运行中所面临的重要课题。

计算机系统安全的主要目标是保护存放在计算机系统中的信息与资源免受毁坏、替换、盗窃和丢失。计算机系统安全技术涉及的内容比较多,大体包括硬件系统安全技术、软件系统安全技术、数据信息安全技术、运行服务安全技术、病毒防治技术、“防火墙”技术和计算机应用系统安全检测与评价技术等。

21213　信息管理体系的安全

信息管理体系的安全主要涉及数据信息管理体系建制安全、规章制度安全、人事人才安全、立法安全和信息安全管理标准等系统化、规范化和法制化管理等内容。21214　网络安全

2　信息安全的概念和内涵

211　信息安全的主要目标

网络安全有广义和狭义之分。广义网络安全强调的是整个信息系统的安全,它涉及的领域相当广泛,强调的是对整个网络而不是网络中的某个或某些单元进行保护。凡是涉及网络上信息的表面性、完整性、可用性、真实性和可控性的相关技术和力量都是广义网络安全的研究领域。狭义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。

综观国内外有关信息安全事件的危害和后果,信息安全的研究目标应主要集中在以下三个方面:

1)保障各种有用信息(包括动态的信息和静态的、存储在计算机、网络、工作场所和各种载体中的有用信息和各种资源)免遭毁坏、泄露、盗窃、监听、截获、丢失、修改或被非法访问、获取和使用;

2)保障信息本身的完整性、真实性和可用性能够长久维护和不变;

3)确保信息发出者不能抵赖所发信息,收到信息者不能否认收到了所要信息或篡改其内容。212　信息安全的概念和内涵

3　信息安全技术介绍

当前,信息安全技术的特点主要表现在对信息和信息系统进行全面保护,以及信息安全技术与密

所谓信息安全,笼统地讲,是一门有关信息安全的全新的系统工程技术,是指在信息的生产、加

2007年2月网络信息安全技术综述

27

码技术的紧密结合等方面。311　物理安全技术

31214　网络防病毒

计算机病毒的危害是众所周知的,网络的发展给病毒的传播提供了更为方便的途径。网络防病毒应从整体防御、防管结合及多层防御等方面进行考虑。整体防御是指在病毒管理中心通过对系统中的每一台机器进行扫描,检查病毒情况,并设置在线报告功能,当发现病毒侵入时,由管理人员从管理中心予以解决;防管结合是指将防病毒与网络管理相结合,在网管所涉及的重要部位设置防病毒软件,在所有病毒能够进入的地方都采取相应的防范措施,防止病毒侵袭;多层防御即采用实时扫描、完整性保护和完整性检验等不同层次的技术来检测和发现病毒,。31　计算机网络信息系统的物理安全是一个信息系统安全运行的基础,应在建设计算机网络信息系统时同步考虑。

此外,安全的网络信息系统应设置安全管理中心,统一管理信息系统的安全运行。安全管理中心通过各种渠道与有关设备及部件发生联系,汇集有关信息。显然,安全管理中心自身的安全应成为安全系统设计的重点之一。312　运行安全技术

运行安全技术是指为保障计算机网络信息系统安全运行而采取的各种检测、监控、分析、审计、备份及容错等方法和措施。这些方法和措施以软、硬件机制,以装置或设备的形式,确保信息系统不运行。

当前,:风险分析、网络防病毒、备份与故障恢复等。31211　风险分析

,,能尽快投入再使用的重要保证。313　信息保护技术

信息保护技术是指在物理安全的基础上,在运行安全得到保证的前提下,为保护计算机网络系统中所存储和处理的信息不被窃取、破坏和篡改而采取的一系列措施。

计算机网络系统中信息的安全保护技术主要涉及以下几个方面。31311　标识和认证

风险分析是保障计算机信息系统安全运行的重要技术手段。风险分析的方法是采用风险分析工具,通过收集数据、分析数据、输出数据,确定危险的严重性等级,分析危险的可能性,以便确定安全对策。

31212　网络安全检测分析

标识用来表明用户的身份,确保用户在系统中的唯一性和可辨认性。

认证是对用户身份的真实性进行鉴别,用于认证的信息一般是非公开的、难以仿造的。常用的认

)信息、证信息有口令(俗称“密码”指纹信息、视网膜信息、智能IC卡信息等。到目前为止,身份认证用得最多的方法还是“口令”信息。当然,对于高等级的安全要求,仅用口令进行身份认证显然是不够的,这时就必须采用更加先进的生物技术和电子技术进行身份认证。31312　标记与访问控制

网络安全检测分析是指对网络系统、操作系统及防火墙等进行安全性检测与分析。网络安全性分析实际上是一个侵袭模拟器,通过自动扫描来分析网络系统,检查并报告网络系统中存在的缺点和漏洞,提出补救措施,达到增强网络安全性的目的。31213　网络安全监控

网络安全监控由网络安全监控管理中心和分布式探测器组成,通过在网络通信枢纽或主机内部设置探测器,实时监测各种入侵行为,并具有一定的控制功能。通过实时监听网络数据流,监视和记录内、外部用户出入网络的相关操作,发现违规格式和未授权访问时,报告网络安全监控中心。监控中心可根据安全策略做出反应,并进行审计、报告、事件记录。同时,中心还具有一定的远程管理功能,如对探测器实现远程参数设置、远程数据下载、远程启动等操作。

访问控制主要有两种:一种是自主访问控制,简称DAC;另一种是强制访问控制,简称MAC,标记是实施强制访问控制的基础。

访问控制是对处理状态下的信息进行保护,是系统安全机制的核心,它的目标是:保护被访问的客体;对访问权限的确定、授予和实施;在保证系统安全的前提下,最大限度地共享资源等。

28

林　业　劳　动　安　全　第20卷第1期

31313　客体安全重用

展。第四代防火墙本身具有一个安全的操作系统,因而在安全性上有了质的提高。

客体安全重用主要是指各种动态使用的资源(客体)在被释放前或重新分配前,必须将其中的残

留信息全部清除,以防敏感信息丢失。对于某些有更高安全要求的系统,为了防止某些人采用特殊手段获取残留信息,需要采用更加有效的方法将介质上的残留信息完全擦除干净。31314　审计

314　安全管理技术

安全管理是实现信息系统安全运行的重要保证。通过对有关人员安全意识和安全知识的培养教育,建立、健全安全管理规章制度,设置安全管理中心等措施,强化安全管理,确保安全机制真正发挥应有的作用。31411　安全教育

审计主要是确保可查性。审计作为一项安全技术,对信息系统的安全有着很重要的作用。通过设置完善的审计机制,能及时提供与系统运行过程中的各种可疑现象有关的信息,供有关人员分析,以便及时发现隐患。审计机制需要一定的运行开销。好的审计系统应在满足系统设计要求的同时,尽量减少开销,并提供安全、方便的审计操作界面。31315　密码技术

要使所有与信息系统有关的人员都能充分认识到“人是安全信息系统的重要组成部分”,没有安全可靠的各类人员的参与,对不同类。越是授予较高权。412　安全管理制度

统的、。在此平台上,操作系统、数据库和网络系统可以建立自己的加密系统和认证机制,实现所需的加密和认证。因而,密码技术已成为信息安全保护的关键技术。

这里仅就当前热门的PKI作简单介绍。PKI是IETF下属的SEC小组制定的标准,PKI标准与协

按照国家的有关方针政策和行业规定,结合信息系统安全设计的具体要求,制定详细的安全管理规章制度,并采取切实可行的措施,使制度落到实处。

31413　安全管理中心

安全管理中心应集中管理与信息系统安全有关的所有方面,包括网络管理中心、审计与风险分析中心、检测与监控中心、CA中心、密钥管理中心、防火墙管理中心及网络防病毒管理中心等。每一个方面均应配备专人负责,他们分别对有关的安全机制进行统一配置和管理,汇集有关信息,并通过对汇集信息的分析做出行动决策。

议的开发已有15年的历史,到了1997年,已有近50种关于PKI的标准得以统一。

PKI是一种混合密码系统。一个PKI由许多部

件组成,这些部件共同完成两个主要功能:即为数

据加密和创建数字认证。CA(证书授权)数据库管理着数字认证、公开密钥和私有密钥等数据,并负责发布、废除和修改X.509数字认证信息。它存有用户的公开密钥、证书有效期,并具有对数据进行加密和对数字签名进行验证等功能。为了防止对数据签名的篡改,CA在把每一数字签名发送给发出请求的客户之前,需对每一个数字签名进行认证。一旦数字认证得以创建,它将会被自动存储在X.500目录中,X.500目录为树形结构。31316　防火墙技术

4　信息安全技术研究趋势

作为网络信息安全基础的安全协议,其形式化的分析方法始于80年代初,发展至今仍有一些局限性和漏洞,尚处于发展提高阶段。而作为信息安全关键技术的密码学,近年来空前活跃,由于计算机运算速度的不断提高,各种加密算法如量子密码、DNA密码、混沌理论等正处于探索之中。目前我国

网络信息安全的防护能力尚处于初级阶段,多年来在学习借鉴国外技术的基础上,国内一些部门也已经研制了一些防火墙、安全路由器、安全网关、入侵检测系统、系统脆弱性扫描软件等产品,但由于系统安全内核受控于人,因此难以保证没有漏洞,从而影响了进一步的推广应用。然而我国的网络信

防火墙是基于硬件和/或软件方法,采用过滤和代理技术,实现网络安全隔离的一种装置。防火墙技术在短短的几年内经历了基于路由器的防火墙、用户化的防火墙、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙等四个阶段的发

2007年2月网络信息安全技术综述

29

息安全研究毕竟己具备了一定的基础和条件,尤其是在密码学研究方面积累的经验较多,今后只要我们能够加大投入,一定会取得实质性进展,这不仅能构筑我国信息与网络安全防线,而且在国际上也能占领一席之地。

总的来说,信息网络安全技术的发展,主要呈现四大趋势。

可信化:这个趋势是指从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。近年来计算机安全问题愈演愈烈,传统安全理念很难有所突破,人们试图利用可信计算的理念来解决计算机安全问题,其主要思想是在硬件平台上引入安全芯片,从而将部分或整个计算平台变为“可信”的计算平台。目前还有很多问题需要研究和探索,如基于TCP的访问控制、基于TCP的安全操作系统、基于TCP的安全中间件

、基于TCP网络化:模式的变革,创新发展,。如安全中间件,;网络可生存性、网络信任都是要继续研究的领域。

标准化:发达国家和地区高度重视标准化的趋势,发展中国家也应重视标准化问题。安全技术也要走向国际,也要走向应用,我国政府、产业界、学术界等必将更加高度重视信息安全标准的研究与制定工作,如密码算法类标准(加密算法、签名算法、密码算法接口)、安全认证与授权类标准(PKI、PMI、生物认证)、安全评估类标准(安全评估准则、方法、规范)、系统与网络类安全标准(安全体系结构、安全操作系统、安全数据库、安全路由器、可信计算平台)、安全管理类标准(防信息遗漏、质量保证、机房设计)等。

集成化:即从单一功能的信息安全技术与产品,向多种功能融于某一个产品,或者是几个功能相结合的集成化的产品,不再以单一的形式出现,否则产品太多了,也不利于产品的推广和应用。安全产品呈硬件化/芯片化发展趋势,这将带来更高的安全度与更高的运算速率,也需要发展更灵活的安全芯片的实现技术,特别是密码芯片的物理防护机制。

随着互联网的迅速发展,网络信息安全的问题必将受到人们的高度重视。

参考文献

[1]MichaelE.Whitman,HerbertJ.Mattord[美].信息安全

原理[M].齐立博译.北京:清华大学出版社,2002.

[2]王述洋,黎粤华.信息与网络安全技术基础[M].哈尔

滨:东北林业大学出版社,2005.

[3]刘荫明.计算机安全技术[M].北京:清华大学出版

社,2000.

[4]赵斌斌.网络安全与黑客工具防范[M].北京:科学出版

社,2001.

[5]袁津生.计算机网络安全基础[M].北京:人民邮电出版

社,2004.

[6]张仕斌.网络安全技术[M].北京:清华大学出版

社,2004.

[7]清.络M:清华大学出版

社,第三届中国(北京)国际安全生产及防护用品展览会

主办单位:中国劳保用品信息网

《安全健康和环境》

展览场管:北京.中国国际展览中心展会时间:2007年6月28

30日

参展范围:安全检测仪器与监控设备;生产环境安

全保护设施;矿山安全设施;特种安全设施;应急救援设备;交通安全生产设施;石油化工安全生产设施;机械安全防护装置;消防设备;建筑安全设备;电力安全保护设施;个人防护装备;防护服及工作织物;安全生产防护材料。

联系电话:010-68683076传　　真:010-68631368电子邮件:yfzhaowei@网　　址:

本文来源：https://www.bwwdw.com/article/h2mm.html