1、網(wǎng)絡(luò)信息安全現(xiàn)狀及建設(shè)展望學(xué)校代號：10699 學(xué)號：2009302649分類號：TP330密級： 西北工業(yè)大學(xué)題目：網(wǎng)絡(luò)信息安全現(xiàn)狀及建設(shè)展望作者：劉振東學(xué)院：計(jì)算機(jī)隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)逐步成為人們學(xué)習(xí)、工作、生活領(lǐng)域 不可或缺的重要依靠，其中不免產(chǎn)生網(wǎng)絡(luò)不法行為的與時俱進(jìn)，由此 網(wǎng)絡(luò)中的安全問題研究顯得尤為重要。近來應(yīng)對網(wǎng)絡(luò)安全技術(shù)不斷更 新，其中VPN技術(shù)就是解決網(wǎng)絡(luò)安全問題的有效方法之一。國際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為摘要：“為數(shù) 據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、 軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì) 算機(jī)安全的定

2、義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全 的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性 和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安 全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。隨著信息技術(shù)的發(fā)展，為了適應(yīng)現(xiàn)代網(wǎng)絡(luò)信息化的要求，需要將 網(wǎng)絡(luò)互聯(lián)技術(shù)與傳統(tǒng)工業(yè)相結(jié)合，建立基Internet的商務(wù)領(lǐng)域網(wǎng)絡(luò)， 這樣可以減少大量的人力物力，縮短研究周期，使資源達(dá)到最有效的 共享，但是信息傳輸中的網(wǎng)絡(luò)安全問題卻是網(wǎng)絡(luò)面臨的最大問題，能 否保證信息的安全成為組建網(wǎng)絡(luò)的關(guān)鍵。因特網(wǎng)中存在種種安全隱患，主要體現(xiàn)在下列幾方面：1）因特網(wǎng)是一個開放的、無控制機(jī)構(gòu)的網(wǎng)絡(luò)，黑客

3、經(jīng)常會侵入網(wǎng) 絡(luò)中的計(jì)算機(jī)系統(tǒng)，或竊取機(jī)密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)， 或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。2）因特網(wǎng)的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進(jìn)行的，這些協(xié)議缺 乏使傳輸過程中的信息不被竊取的安全措施。3）在計(jì)算機(jī)上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵 件通信那樣進(jìn)行信封保護(hù)和簽字蓋章。信息的來源和去向是否真實(shí)， 內(nèi)容是否被改動，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是憑 著君子協(xié)定來維系的。4）計(jì)算機(jī)病毒通過因特網(wǎng)的傳播給上網(wǎng)用戶帶來極大的危害，病 毒可以使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。內(nèi)部網(wǎng)絡(luò) 不同部門或用戶之間如果沒有采用相應(yīng)的一些訪問控制，也可能

4、造成信息泄密或非法攻擊。據(jù)調(diào)查統(tǒng)計(jì)，已發(fā)生的網(wǎng)絡(luò)安全實(shí)踐中，70% 的攻擊是來自內(nèi)部網(wǎng)絡(luò)。因此內(nèi)部網(wǎng)的安全風(fēng)險更嚴(yán)重。內(nèi)部人員對 內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉，自己攻擊或泄漏重要信息內(nèi)外勾結(jié)， 都可能成為導(dǎo)致系統(tǒng)受攻擊的最致命安全威脅。正是由于以上這些原因，無論是遠(yuǎn)程故障診斷專家通過因特網(wǎng)連 接到內(nèi)部診斷網(wǎng)絡(luò)還是現(xiàn)場儀器設(shè)備網(wǎng)連接到內(nèi)部診斷網(wǎng)，都面臨著 很多安全威脅。安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實(shí)現(xiàn)自身 的價值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展，其涉及的技 術(shù)面非常廣，主要的技術(shù)如認(rèn)證、加密、防火墻及入侵檢測是網(wǎng)絡(luò)安 全的重要防線。目前應(yīng)對網(wǎng)絡(luò)安全問題主要手段：一

5、.認(rèn)證對合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪 問，使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息?，F(xiàn) 列舉幾種如下摘要：身份認(rèn)證:當(dāng)系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認(rèn)是否是合法的用戶，這就 是身份認(rèn)證。常采用用戶名和口令等最簡易方法進(jìn)行用戶身份的認(rèn)證 識別。報(bào)文認(rèn)證主要是通信雙方對通信的內(nèi)容進(jìn)行驗(yàn)證，以保證報(bào)文由確認(rèn)的發(fā)送 方產(chǎn)生、報(bào)文傳到了要發(fā)給的接受方、傳送中報(bào)文沒被修改過。訪問授權(quán)：主要是確認(rèn)用戶對某資源的訪問權(quán)限。數(shù)字簽名：數(shù)字簽名是一種使用加密認(rèn)證電子信息的方法，其安全性和有用性 主要取決于用戶私匙的保護(hù)和安全的哈希函數(shù)。數(shù)字簽名技術(shù)是基于 加密技術(shù)的，可用對

6、稱加密算法、非對稱加密算法或混合加密算法來 實(shí)現(xiàn)。二.數(shù)據(jù)加密：加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不 懂它。主要存在兩種主要的加密類型摘要：私匙加密和公匙加密。私匙加密：私匙加密又稱對稱密匙加密，因?yàn)橛脕砑用苄畔⒌拿艹拙褪墙饷苄?息所使用的密匙。私匙加密為信息提供了進(jìn)一步的緊密性，它不提供 認(rèn)證，因?yàn)槭褂迷撁艹椎娜魏稳硕伎梢詣?chuàng)建、加密和平共處送一條有 效的消息。這種加密方法的優(yōu)點(diǎn)是速度很快，很輕易在硬件和軟件件 中實(shí)現(xiàn)。公匙加密：公匙加密比私匙加密出現(xiàn)得晚，私匙加密使用同一個密匙加密和解 密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密 信息。公匙加密系統(tǒng)的缺

7、點(diǎn)是它們通常是計(jì)算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個更復(fù)雜的系統(tǒng)。三防火墻技術(shù)：防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確答應(yīng)通過之外的所 有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而 是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點(diǎn)時對其實(shí)施一整套訪問策略的一 個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護(hù)自 己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過濾、 動態(tài)分組過濾、狀態(tài)過濾和代理服務(wù)器技術(shù)，它們的安全級別依次升 高，但具體實(shí)踐中既要考慮體系的性價比，又要考慮安全兼顧網(wǎng)絡(luò)連 接能力。此外，現(xiàn)今良好的防火墻還采用了 VPN、

8、檢視和入侵檢測技 術(shù)。防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi) 外提供一致的安全策略；而且防火墻只實(shí)現(xiàn)了粗粒度的訪問控制，也 不能和企業(yè)內(nèi)部使用的其他安全機(jī)制（如訪問控制）集成使用；另外， 防火墻難于管理和配置，由多個系統(tǒng)（路由器、過濾器、代理服務(wù)器、 網(wǎng)關(guān)、保壘主機(jī)）組成的防火墻，管理上難免有所疏忽。四.入侵檢測系統(tǒng)：入侵檢測技術(shù)是網(wǎng)絡(luò)安全探究的一個熱點(diǎn)，是一種積極主動的安全 防護(hù)技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實(shí)時保護(hù)，在網(wǎng) 絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展摘要：分布式入侵檢測、智能化入侵檢測和全面 的安全防御方案。

9、入侵檢測系統(tǒng)是進(jìn)行入侵檢測的軟件和硬件的組合，其主要功能是 檢測，除此之外還有檢測部分阻止不了的入侵；檢測入侵的前兆，從 而加以處理，如阻止、封閉等；入侵事件的歸檔，從而提供法律依據(jù)； 網(wǎng)絡(luò)遭受威脅程度的評估和入侵事件的恢復(fù)等功能。五 虛擬專用網(wǎng)（VPN）技術(shù)：VPN是目前解決信息安全新問題的一個最新、最成功的技術(shù)課題之 一，所謂虛擬專用網(wǎng)（VPN）技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)， 使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信 網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制，這兩種機(jī)制為路由過濾技術(shù)和隧 道技術(shù)。目前VPN主要采用了如下四項(xiàng)技術(shù)來保障安全摘要：隧道技 術(shù)、加解密技術(shù)、密匙管

10、理技術(shù)和使用者和設(shè)備身份認(rèn)證技術(shù)。其中 幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipseco VPN隧道機(jī)制應(yīng)能 技術(shù)不同層次的安全服務(wù)，這些安全服務(wù)包括不同強(qiáng)度的源鑒別、數(shù) 據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法，如按接入方式分成 專線VPN和撥號VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起 方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。六.其他網(wǎng)絡(luò)安全技術(shù)：（1）智能卡技術(shù)，智能卡技術(shù)和加密技術(shù)相近，其實(shí)智能卡就是 密匙的一種媒體，由授權(quán)用戶持有并由該用戶賦和它一個口令或密碼字，該密碼字和內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般 和身份驗(yàn)證聯(lián)合使用。（2）安全脆弱性掃描技術(shù)，它為

11、能針對網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置 和防御手段，指出系統(tǒng)存在或潛在的安全漏洞，以改進(jìn)系統(tǒng)對網(wǎng)絡(luò)入 侵的防御能力的一種安全技術(shù)。（3）網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃，它是當(dāng)系統(tǒng)或設(shè)備不幸碰 到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù)，使整個系統(tǒng)在最短的時間內(nèi)重新投 入正常運(yùn)行的一種安全技術(shù)方案。其他網(wǎng)絡(luò)安全技術(shù)還有我們較熟悉的各種網(wǎng)絡(luò)防殺病毒技術(shù)等 等。國內(nèi)外對信息安全研究狀況網(wǎng)絡(luò)信息安全是一個綜合、交叉學(xué)科領(lǐng)域，它要綜合利用數(shù)學(xué)、物理、 通信和計(jì)算機(jī)諸多學(xué)科的長期知識積累和最新發(fā)展成果，進(jìn)行自主創(chuàng) 新研究，加強(qiáng)頂層設(shè)計(jì)，提出系統(tǒng)的、完整的，協(xié)同的解決方案。由 于從基礎(chǔ)理論研究到實(shí)際應(yīng)用的距離很短，所以關(guān)鍵的基礎(chǔ)理論

12、需要 保密。現(xiàn)代信息系統(tǒng)中的信息安全的核心問題是密碼理論及其應(yīng)用， 其基礎(chǔ)是可信信息系統(tǒng)的構(gòu)架與評估?？偟膩碚f，目前在信息安全領(lǐng) 域人們所關(guān)注的焦點(diǎn)主要有以下幾方面：1）密碼理論與技術(shù)；2）安全協(xié)議理論與技術(shù)；3）安全體系結(jié)構(gòu)理論與技術(shù)；4）信息對抗理論與技術(shù)；5）網(wǎng)絡(luò)安全與安全產(chǎn)品。國內(nèi)外對以上幾方面的研究現(xiàn)狀及發(fā)展趨勢可以終結(jié)為以下幾點(diǎn): 1）國內(nèi)外密碼理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢。密碼理論與技術(shù)主要包括兩部分，即基于數(shù)學(xué)的密碼理論與技術(shù)（包 括公鑰密碼、分組密碼、序列密碼、認(rèn)證碼、數(shù)字簽名、Hash函數(shù)、 身份識別、密鑰管理、PKI技術(shù)等）和非數(shù)學(xué)的密碼理論與技術(shù)（包 括信息隱形，量子密

13、碼，基于生物特征的識別理論與技術(shù)）。2）國內(nèi)外安全協(xié)議理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢 安全協(xié)議的研究主要包括兩方面內(nèi)容，安全協(xié)議的安全性分析方法和 各種實(shí)用安全協(xié)議的設(shè)計(jì)與分析研究。安全協(xié)議的安全性分析方法主 要有兩類，一類是攻擊檢驗(yàn)方法，一類是形式化分析方法，其中安全 協(xié)議的形式化分析方法是安全協(xié)議研究中最關(guān)鍵的研究問題之一，它 的研究始于80年代初，目前正處于百花齊放，充滿活力的狀態(tài)之中。隨著各種有效方法及思想的不斷涌現(xiàn)，這一領(lǐng)域在理論上正走向成 熟。從大的方面講，在協(xié)議形式化分析方面比較成功的研究思路可以分為 三種: 第一種是基于推理知識和信念的模態(tài)邏輯；第二種是基于狀態(tài)搜索工 具和定理證

14、明技術(shù)；第三種是基于新的協(xié)議模型發(fā)展證明正確性理 論。目前，已經(jīng)提出了大量的實(shí)用安全協(xié)議，有代表的有：電子商務(wù)協(xié)議，IPSe c協(xié)議，SSL/TLS協(xié)議，簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），PGP協(xié)議，PEM協(xié)議，S-HTTP協(xié)議等。實(shí)用安全協(xié)議的安全性分析特別是電子商 務(wù)協(xié)議，IPSec協(xié)議，SSL/TLS協(xié)議是當(dāng)前協(xié)議研究中的另一個熱點(diǎn)。3）國內(nèi)外安全體系結(jié)構(gòu)理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢安全體系結(jié)構(gòu)理論與技術(shù)主要包括:安全體系模型的建立及其形式化 描述與分析，安全策略和機(jī)制的研究，檢驗(yàn)和評估信息安全性的科學(xué) 方法和準(zhǔn)則的建立，符合這些模型、策略和準(zhǔn)則的系統(tǒng)的研制（比如 安全操作系統(tǒng)，安全數(shù)據(jù)庫系

15、統(tǒng)等）。4）國內(nèi)外信息對抗理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢信息對抗理論與技術(shù)主要包括:黑客防范體系，信息偽裝理論與技術(shù)， 信息分析與監(jiān)控，入侵檢測原理與技術(shù)，反擊方法，應(yīng)急響應(yīng)系統(tǒng)， 計(jì)算機(jī)病毒，人工免疫系統(tǒng)在反病毒和抗入侵系統(tǒng)中的應(yīng)用等。5）國內(nèi)外網(wǎng)絡(luò)安全與安全產(chǎn)品研究現(xiàn)狀及發(fā)展趨勢網(wǎng)絡(luò)安全是信息安全中的重要研究內(nèi)容之一，也是當(dāng)前信息安全領(lǐng)域 中的研究熱點(diǎn)。研究內(nèi)容包括:網(wǎng)絡(luò)安全整體解決方案的設(shè)計(jì)與分析， 網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等。網(wǎng)絡(luò)安全包括物理安全和邏輯安全。物理安 全指網(wǎng)絡(luò)系統(tǒng)中各通信、計(jì)算機(jī)設(shè)備及相關(guān)設(shè)施的物理保護(hù)，免于破 壞、丟失等。邏輯安全包含信息完整性、保密性、非否認(rèn)性和可用性。 它是

16、一個涉及網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員管理等方方 面面的事情，必須綜合考慮。在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有虛 擬專用網(wǎng)（VPN），防火墻，安全路由器等。網(wǎng)絡(luò)安全的解決是一個綜合性問題，涉及到諸多因素，包括技術(shù)、產(chǎn)品和管理等。目前國際上已有眾多的網(wǎng)絡(luò)安全解決方案和產(chǎn)品，但 由于出口政策和自主性等問題，不能直接用于解決我國自己的網(wǎng)絡(luò)安 全，因此我國的網(wǎng)絡(luò)安全只能借鑒這些先進(jìn)技術(shù)和產(chǎn)品，自行解決。 可幸的是，目前國內(nèi)已有一些網(wǎng)絡(luò)安全解決方案和產(chǎn)品，不過，這些 解決方案和產(chǎn)品與國外同類產(chǎn)品相比尚有一定的差距。網(wǎng)絡(luò)信息安全是信息化發(fā)展必然產(chǎn)物，網(wǎng)絡(luò)安全新問題的策略可

17、從技術(shù)、管理、組織和立法方面著手。網(wǎng)絡(luò)安全的保障從技術(shù)角度看。首先，要樹立正確的思想預(yù)備。 網(wǎng)絡(luò)平安的特性決定了這是一個不斷變化、快速更新的領(lǐng)域，況且我 國在信息平安領(lǐng)域技術(shù)方面和國外發(fā)達(dá)國家還有較大的差距，這都意 味著技術(shù)上的“持久戰(zhàn)”，也意味著人們對于網(wǎng)絡(luò)平安領(lǐng)域的投資是 長期的行為。其次，建立高素質(zhì)的人才隊(duì)伍。目前在我國，網(wǎng)絡(luò)信息 平安存在的突出新問題是人才稀缺、人才流失，尤其是拔尖人才，同 時網(wǎng)絡(luò)平安人才培養(yǎng)方面的投入還有較大缺欠。最后，在具體完成網(wǎng) 絡(luò)平安保障的需求時，要根據(jù)實(shí)際情況，結(jié)合各種要求（如性價比等）， 需要多種技術(shù)的合理綜合運(yùn)用。網(wǎng)絡(luò)安全的保障從管理角度看?？疾煲粋€內(nèi)部網(wǎng)是否健康，不僅 要看其技術(shù)手段，而更重要的是看對該網(wǎng)絡(luò)所采取的綜合辦法，不光 看重物理的防范因素，