信息安全技術

出自 MBA智库百科(https://wiki.mbalib.com/)

　　信息安全技術是指保證己方正常獲取、傳遞、處理和利用信息，而不被無權享用的他方獲取和利用己方信息的一系列技術的統稱。

　　1．國外發展現狀與動態

　　根據美國FBI的調查，美國每年因為網路安全造成的經濟損失超過1700億美元。75％的公司報告，財政損失是由於電腦系統的安全問題造成的。超過50％的安全威脅來自內部；只有17％的公司願意報告黑客入侵，其他的由於擔心負面影響而未聲張。

　　為保證信息安全技術在21世紀的領先地位，美國大力而全面地推動此領域的研究，主要的西方國家也投入大量的人、財、物鼓勵和推進這些前沿學科的發展。目前的研究熱點是：新的分組加密標準、密鑰托管和恢復技術、認證理論、公開密鑰密碼、協議的形式化分析等一系列理論和方法。信息隱形理論和量子技術的飛速發展，給非數學的密碼研究和發展註入了新的活力和希望。在安全體繫結構方面，80年代以來推出了可信計算機系統安全評價準則、信息技術安全評價準則、信息技術安全評價的通用準則等。雖然，發達國家已經研製出了達到安全評價準則的安全系統，但仍有局限性。

　　近年來，美、歐、亞各洲舉行的密碼學和信息安全學術會議越來越頻繁。1976年美國學者提出的公開密鑰密碼體制，剋服了網路信息系統中密鑰分配的困難。1978年提出的RSA體制解決了數字簽名問題並可用於身份認證，現仍是當前研究的熱點。另外，提供信息可認證性的理論依據——認證理論，從80年代後期起已經取得了長足的發展。在密鑰管理理論和技術方面，國際上都有一些大的舉動，比如美國提出的密鑰托管理論和技術、國際標準組織制定的X．509標準以及麻省理工學院開發的Kerboros協議等。目前世界各國都著重考慮電子商務的安全性問題，該問題是當前人們普遍關註的焦點，目前還處於發展階段。1977年美國頒佈使用的國家數據加密標準DES，由於密碼分析和攻擊手段的進步，已不能滿足安全需要，美國正在確定新的加密標準AES，作為21世紀的加密標準。新的密碼體制如量子密碼，正處於探索階段。

　　在安全協議的研究中，安全協議的形式化分析方法是最關鍵的研究問題之一，它的研究始於80年代初，目前有基於狀態機、模態邏輯和代數工具的三種分析方法，但仍有局限性和漏洞，處於發展提高和完善階段。

　　安全系統的構成評估，經歷了80年代中期美國國防部的《可信電腦系統安全評價準則》(TCSEC)、90年代歐洲聯合提出的《信息技術安全評價準則》(ITSEC)和近來正在加以完善的《通用準則》(CC)等三個階段。美國已研製出達到TCSEC要求的操作系統、資料庫和網路系統，但仍有局限性，還沒有真正達到形式化描述和證明的最高級安全系統。這些高安全級別的產品美國對我國是封鎖的。

　　美國國防部(DOD)於1985年出版的《可信電腦系統的評價準則》(又稱“桔皮書”)，使電腦系統的安全性評估有了一個權威性的標準。DOD的桔皮書中使用了可信計算基礎(Trusted Computing Base，TCB)這一概念，即電腦硬體與支持不可信應用及不可信用戶的操作系統的組合體。桔皮書將電腦系統的可信程度劃分為D、C1、C2、B1、B2、B3和A1七個層次。在DOD的評估準則中，從B級開始就要求具有強制存取控制和形式化模型技術的應用。桔皮書論述的重點是通用的操作系統，為了使它的評判方法用於網路的評價，美國國家電腦安全中心於1987年出版了《可信網路指南》。該書從網路安全的角度出發，解釋了準則中的觀點。

　　2．國內發展現狀與動態

　　在我國，70年代初受專門部門的推動，國內一批最優秀的數論和代數學家，帶領一批年輕人研究密碼和信息安全理論，培養了一大批人才。二十多年來，他們的優異工作在國際密碼學界受到廣泛的關註，信息安全的研究隊伍在中國科學院、高等院校、科研單位以及工業系統有相當可觀的發展和壯大。在實用信息安全技術研究方面也取得了一批自主研究的重要成果。在安全產品開發方面，也開發出了一批性能良好的網路安全產品，比如防火牆、安全路由器等。但總的來說，研究和建立創新性實用信息安全技術在我國還是一項很艱巨的任務，尤其在安全協議和系統安全方面的工作與國外還有很大差距。

　　1998年，一連串的網路非法入侵改變了中國網路安全犯罪“一片空白”的歷史。據公安部的資料，1998年中國共破獲電腦黑客案件近百起，利用電腦網路進行的各類違法行為在中國以每年30％的速度遞增。黑客的攻擊方法已超過電腦病毒的種類，總數達近千種。公安部官員估計，目前已發現的黑客攻擊案約占總數的15％，多數事件由於沒有造成嚴重危害或商家不願透露而未被曝光。有媒介報道，中國95％的與Intemet相連的網路管理中心都遭到過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。在中國，針對銀行、證券等金融領域的黑客犯罪案件總涉案金額已高達數億元，針對其他行業的黑客犯罪案件也時有發生。

　　(一)信息保密技術

　　信息保密技術是利用數學或物理手段，對電子信息在傳輸過程中和存儲體內進行保護以防止泄漏的技術。保密通信、電腦密鑰、防複製軟盤等都屬於信息保密技術。信息保密技術是保障信息安全最基本、最重要的技術，一般採用國際上公認的安全加密演算法實現。例如，目前世界上被公認的最新國際密碼演算法標準AES，就是採用128、192、256比特長的密鑰將128比特長的數據加密成128比特的密文技術。在多數情況下，信息保密被認為是保證信息機密性的唯一方法，其特點是用最小的代價來獲得最大的安全保護。

　　(二)信息確認技術

　　信息確認技術是通過嚴格限定信息的共用範圍來防止信息被偽造、篡改和假冒的技術。通過信息確認，應使合法的接收者能夠驗證他所收到的信息是否真實；使發信者無法抵賴他發信的事實；使除了合法的發信者之外，別人無法偽造信息。一個安全的信息確認方案應該做到：第一，合法的接收者能夠驗證他收到的信息是否真實；第二，發信者無法抵賴自己發出的信息；第三，除合法發信者外，別人無法偽造消息；第四，當發生爭執時可由第三人仲裁。按照其具體目的，信息確認系統可分為消息確認、身份確認和數字簽名。例如，當前安全系統所採用的DSA簽名演算法，就可以防止別人偽造信息。

　　(三)網路控製作用

　　常用的網路控制技術包括防火牆技術、審計技術、訪問控制技術和安全協議等。其中，防火牆技術是一種既能夠允許獲得授權的外部人員訪問網路，而又能夠識別和抵制非授權者訪問網路的安全技術，它起到指揮網上信息安全、合理、有序流動的作用。審計技術能自動記錄網路中機器的使用時間、敏感操作和違紀操作等，是對系統事故分析的主要依據之一。訪問控制技術是能識別用戶對其信息庫有無訪問的權利，並對不同的用戶賦予不同的訪問權利的一種技術。訪問控制技術還可以使系統管理員跟蹤用戶在網路中的活動，及時發現並拒絕“黑客”的入侵。安全協議則是實現身份鑒別、密鑰分配、數據加密等安全的機制。整個網路系統的安全強度實際上取決於所使用的安全協議的安全性。

　　(一)確保物理層安全

　　信息安全技術可確保物理安全。物理安全是保護電腦網路設備、設施以及其他媒體免遭水災、火災等環境事故以及人為操作失誤或錯誤和各種電腦犯罪行為導致的破壞過程。網路的物理安全是整個網路系統安全的前提。網路物理層的信息安全風險包括設備被盜、被毀壞，鏈路老化，被有意或者無意地破壞，因電子輻射造成信息泄露，設備意外故障、停電，以及火災、水災等自然災害。針對各種信息安全風險，網路的物理層安全主要包括環境安全、設備安全和線路安全。

　　(二)確保網路層安全

　　信息安全技術可確保網路安全。網路安全風險包括數據傳輸風險、重要數據被破壞的風險、網路邊界風險和網路設備的安全風險。信息安全技術可以在內網與外網之間實現物理隔離或邏輯隔離，在外網的人口處配置網路入侵檢測設備，設置抗拒絕服務網關，用虛擬局部網路保障內網中敏感業務和數據安全，構建VPN網路實現信息傳輸的保密性、完整性和不可否認性，設置網路安全漏洞掃描和安全性能評估設備，並能設置功能強大的網路版的反病毒系統。

　　(三)確保系統層安全

　　信息安全技術可確保系統安全。系統安全風險是系統專用網路採用的操作系統、資料庫及相關商用產品的安全漏洞和病毒進行威脅。系統專用網路通常採用的操作系統本身在安全方面考慮較少，伺服器、資料庫的安全級別較低，存在一些安全隱患。同時病毒也是系統安全的主要威脅，所有這些都造成了系統安全的脆弱性。為確保系統安全，信息安全技術可將應用伺服器、網路伺服器、資料庫伺服器等各類電腦的操作系統設置成安全級別高、可控的操作系統，對各類電腦進行認證配置，按系統的要求開發統一的身份認證系統、統一授權與訪問控制系統和統一安全審計與日誌管理系統，及時發現“黑客”對主機的入侵行為，並能設置功能強大的網路版的反病毒系統，實時檢殺病毒。

　　(四)確保應用層安全

　　信息安全技術可確保應用層安全。應用層安全風險包括身份認證漏洞和萬維網服務漏洞。信息安全技術可採用身份認證技術、防病毒技術以及對各種應用服務的安全性增強配置服務來保障網路系統在應用層的安全，可建立統一的身份認證和授權管理系統，可提供加密機制和數字簽名機制，並能建立安全郵件系統及安全審計和日誌管理系統。