网络信息安全现状及建设展望Word下载.docx
《网络信息安全现状及建设展望Word下载.docx》由会员分享,可在线阅读,更多相关《网络信息安全现状及建设展望Word下载.docx(6页珍藏版)》请在冰豆网上搜索。
计算机
随着网络的快速开展,网络逐步成为人们学习、工作、生活领域不可或缺的重要依靠,其中不免产生网络不法行为的与时俱进,由此网络中的平安问题研究显得尤为重要。
近来应对网络平安技术不断更新,其中VPN技术就是解决网络平安问题的有效方法之一。
国际标准化组织〔ISO〕将“计算机平安〞定义为摘要:
“为数据处理系统建立和采取的技术和管理的平安保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏〞。
上述计算机平安的定义包含物理平安和逻辑平安两方面的内容,其逻辑平安的内容可理解为我们常说的信息平安,是指对信息的保密性、完整性和可用性的保护,而网络平安性的含义是信息平安的引申,即网络平安是对网络信息保密性、完整性和可用性的保护。
随着信息技术的开展,为了适应现代网络信息化的要求,需要将网络互联技术与传统工业相结合,建立基Internet的商务领域网络,这样可以减少大量的人力物力,缩短研究周期,使资源到达最有效的共享,但是信息传输中的网络平安问题却是网络面临的最大问题,能否保证信息的平安成为组建网络的关键。
因特网中存在种种平安隐患,主要表达在以下几方面:
1〕因特网是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2〕因特网的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的平安措施。
3〕在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。
信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的效劳协议中是凭着君子协定来维系的。
4〕计算机病毒通过因特网的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丧失。
内部网络不同部门或用户之间如果没有采用相应的一些访问控制,也可能造成信息泄密或非法攻击。
据调查统计,已发生的网络平安实践中,70%的攻击是来自内部网络。
因此内部网的平安风险更严重。
内部人员对内部网络结构、应用比拟熟悉,自己攻击或泄漏重要信息内外勾结,都可能成为导致系统受攻击的最致命平安威胁。
正是由于以上这些原因,无论是远程故障诊断专家通过因特网连接到内部诊断网络还是现场仪器设备网连接到内部诊断网,都面临着很多平安威胁。
平安是网络赖以生存的保障,只有平安得到保障,网络才能实现自身的价值。
网络平安技术随着人们网络实践的开展而开展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络平安的重要防线。
目前应对网络平安问题主要手段:
一.认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
现列举几种如下摘要:
1.身份认证:
当系统的用户要访问系统资源时要求确认是否是合法的用户,这就是身份认证。
常采用用户名和口令等最简易方法进行用户身份的认证识别。
2.报文认证
主要是通信双方对通信的内容进行验证,以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改正。
3.访问授权:
主要是确认用户对某资源的访问权限。
4.数字签名:
数字签名是一种使用加密认证电子信息的方法,其平安性和有用性主要取决于用户私匙的保护和平安的哈希函数。
数字签名技术是基于加密技术的,可用对称加密算法、非对称加密算法或混合加密算法来实现。
二.数据加密:
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。
主要存在两种主要的加密类型摘要:
私匙加密和公匙加密。
1.私匙加密:
私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。
私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创立、加密和平共处送一条有效的消息。
这种加密方法的优点是速度很快,很轻易在硬件和软件件中实现。
2.公匙加密:
公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。
公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过假设将两者结合起来,就可以得到一个更复杂的系统。
三.防火墙技术:
防火墙是网络访问控制设备,用于拒绝除了明确容许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。
大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理效劳器技术,它们的平安级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑平安兼顾网络连接能力。
此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的平安控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的平安策略;
而且防火墙只实现了粗粒度的访问控制,也不能和企业内部使用的其他平安机制〔如访问控制〕集成使用;
另外,防火墙难于管理和配置,由多个系统〔路由器、过滤器、代理效劳器、网关、保垒主机〕组成的防火墙,管理上难免有所疏忽。
四.入侵检测系统:
入侵检测技术是网络平安探究的一个热点,是一种积极主动的平安防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。
随着时代的开展,入侵检测技术将朝着三个方向开展摘要:
分布式入侵检测、智能化入侵检测和全面的平安防御方案。
入侵检测系统是进行入侵检测的软件和硬件的组合,其主要功能是检测,除此之外还有检测局部阻止不了的入侵;
检测入侵的前兆,从而加以处理,如阻止、封闭等;
入侵事件的归档,从而提供法律依据;
网络遭受威胁程度的评估和入侵事件的恢复等功能。
五.虚拟专用网〔VPN〕技术:
VPN是目前解决信息平安新问题的一个最新、最成功的技术课题之一,所谓虚拟专用网〔VPN〕技术就是在公共网络上建立专用网络,使数据通过平安的“加密管道〞在公共网络中传播。
用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。
目前VPN主要采用了如下四项技术来保障平安摘要:
隧道技术、加解密技术、密匙管理技术和使用者和设备身份认证技术。
其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。
VPN隧道机制应能技术不同层次的平安效劳,这些平安效劳包括不同强度的源鉴别、数据加密和数据完整性等。
VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;
按隧道协议可分为第二层和第三层的;
按发起方式可分成客户发起的和效劳器发起的。
六.其他网络平安技术:
〔1〕智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋和它一个口令或密码字,该密码字和内部网络效劳器上注册的密码一致。
智能卡技术一般和身份验证联合使用。
〔2〕平安脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的平安漏洞,以改良系统对网络入侵的防御能力的一种平安技术。
〔3〕网络数据存储、备份及容灾规划,它是当系统或设备不幸碰到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种平安技术方案。
其他网络平安技术还有我们较熟悉的各种网络防杀病毒技术等等。
国内外对信息平安研究状况
网络信息平安是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新开展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的,协同的解决方案。
由于从根底理论研究到实际应用的距离很短,所以关键的根底理论需要保密。
现代信息系统中的信息平安的核心问题是密码理论及其应用,其根底是可信信息系统的构架与评估。
总的来说,目前在信息平安领域人们所关注的焦点主要有以下几方面:
1〕密码理论与技术;
2〕平安协议理论与技术;
3〕平安体系结构理论与技术;
4〕信息对抗理论与技术;
5〕网络平安与平安产品。
国内外对以上几方面的研究现状及开展趋势可以终结为以下几点:
1〕国内外密码理论与技术研究现状及开展趋势。
密码理论与技术主要包括两局部,即基于数学的密码理论与技术〔包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等〕和非数学的密码理论与技术〔包括信息隐形,量子密码,基于生物特征的识别理论与技术〕。
2〕国内外平安协议理论与技术研究现状及开展趋势
平安协议的研究主要包括两方面内容,平安协议的平安性分析方法和各种实用平安协议的设计与分析研究。
平安协议的平安性分析方法主要有两类,一类是攻击检验方法,一类是形式化分析方法,其中平安协议的形式化分析方法是平安协议研究中最关键的研究问题之一,它的研究始于80年代初,目前正处于百花齐放,充满活力的状态之中。
随着各种有效方法及思想的不断涌现,这一领域在理论上正走向成熟。
从大的方面讲,在协议形式化分析方面比拟成功的研究思路可以分为三种:
第一种是基于推理知识和信念的模态逻辑;
第二种是基于状态搜索工具和定理证明技术;
第三种是基于新的协议模型开展证明正确性理论。
目前,已经提出了大量的实用平安协议,有代表的有:
电子商务协议,IPSec协议,SSL/TLS协议,简单网络管理协议〔SNMP〕,PGP协议,PEM协议,S-HTTP协议等。
实用平安协议的平安性分析特别是电子商务协议,IPSec协议,SSL/TLS协议是当前协议研究中的另一个热点。
3〕国内外平安体系结构理论与技术研究现状及开展趋势
平安体系结构理论与技术主要包括:
平安体系模型的建立及其形式化描述与分析,平安策略和机制的研究,检验和评估信息平安性的科学方法和准那么的建立,符合这些模型、策略和准那么的系统的研制〔比方平安操作系统,平安数据库系统等〕。
4〕国内外信息对抗理论与技术研究现状及开展趋势
信息对抗理论与技术主要包括:
黑客防范体系,信息伪装理论与技术,信息分析与监控,入侵检测原理与技术,还击方法,应急响应系统,计算机病毒,人工免疫系统在反病毒和抗入侵系统中的应用等。
5〕国内外网络平安与平安产品研究现状及开展趋势
网络平安是信息平安中的重要研究内容之一,也是当前信息平安领域中的研究热点。
研究内容包括:
网络平安整体解决方案的设计与分析,网络平安产品的研发等。
网络平安包括物理平安和逻辑平安。
物理平安指网络系统中各通信、计算机设备及相关设施的物理保护,免于破坏、丧失等。
逻辑平安包含信息完整性、保密性、非否认性和可用性。
它是一个涉及网络、操作系统、数据库、应用系统、人员管理等方方面面的事情,必须综合考虑。
在市场上比拟流行,而又能够代表未来开展方向的平安产品大致有虚拟专用网(VPN),防火墙,平安路由器等。
网络平安的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。
目前国际上已有众多的网络平安解决方案和产品,但由于出口政策和自主性等问题,不能直接用于解决我国自己的网络平安,因此我国的网络平安只能借鉴这些先进技术和产品,自行解决。
可幸的是,目前国内已有一些网络平安解决方案和产品,不过,这些解决方案和产品与国外同类产品相比尚有一定的差距。
网络信息平安是信息化开展必然产物,网络平安新问题的策略可从技术、管理、组织和立法方面着手。
网络平安的保障从技术角度看。
首先,要树立正确的思想预备。
网络平安的特性决定了这是一个不断变化、快速更新的领域,况且我国在信息平安领域技术方面和国外兴旺国家还有较大的差距,这都意味着技术上的“持久战〞,也意味着人们对于网络平安领域的投资是长期的行为。
其次,建立高素质的人才队伍。
目前在我国,网络信息平安存在的突出新问题是人才稀缺、人才流失,尤其是拔尖人才,同时网络平安人才培养方面的投入还有较大缺欠。
最后,在具体完成网络平安保障的需求时,要根据实际情况,结合各种要求〔如性价比等〕,需要多种技术的合理综合运用。
网络平安的保障从管理角度看。
考察一个内部网是否健康,不仅要看其技术手段,而更重要的是看对该网络所采取的综合方法,不光看重物理的防范因素,更要看重人员的素质等“软〞因素,这主要是重在管理,“平安源于管理,向管理要平安〞。
再好的技术、设备,而没有高质量的管理,也只是一堆废铁。
网络平安的保障从组织体系角度看。
要尽快建立完善的网络平安组织体系,明确各级的责任。
建立科学的认证认可组织管理体系、技术体系的组织体系,和认证认可各级结构,保证信息平安技术、信息平安工程、信息平安产品,信息平安管理工作的组织体系。
最后,在尽快加强网络立法和执法力度的同时,不断提高全民的文明道德水准,倡导健康的“网络道德〞,增强每个网络用户的平安意识,只有这样才能从根本上解决网络平安新问题。