信息安全面临的问题及应用.doc

信息安全面临的问题及应用随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。信息技术在为人们提供庞大的共享资源的同时也带来了一系列的安全问题，所以在这个信息爆炸的时代信息安全问题显得日益重要，以下将浅析信息安全面临的主要问题以及它的具体应用。 1、信息安全面临的问题。1.1信息污染方面的问题信息污染主要指的是一些劣质、有害或无用信息渗透到信息资源之中，从而为信息资源的有效开发、收集及利用带来干扰，甚至对用户及国家造成巨大的危害。信息污染的主要表现形式包括（1）无用信息。其对多数用户并无实用价值，会影响信息资源的开发及利用效率，但通常不会产生其他不良影响。（2）劣质信息。其主要指的是具有一定程度的使用价值，但是作用较小且质量低下的信息。（3）有害信息。其主要指的是使用之后会为用户及社会造成不良影响的信息，其不仅会增大信息处理过程的工作量及信息筛选过程的难度，还会严重影响用户的生活、工作与学习过程，甚至会对整个国家的社会、经济、文化及教育事业的顺利发展和运行造成严重的影响。1.2信息泄密方面的问题信息泄密主要指的是通过非法或不合理手段窃取个人隐私、商业机密、政府及军队机密以及计算机软件等信息。网络信息的泄密过程主要是由于网络信息在传播、存储、使用及获取过程中受到他人非法窃取而造成的，其途径很多，例如，电磁辐射及搭线窃听所引起的信息、密钥失密，以及网络资源的非法访问等，这些均会导致网络信息泄密。随着全社会信息化水平的逐步提高，采用计算机网络来对个人信息进行存储及处理的过程也越来越普遍，不少不法之徒可以通过各种手段进入到用户的信息文档中，对他人隐私进行刺探、窃取以及篡改，也有不少机关及网点滥用职权，对个人信息收集及存储范围进行非法扩展，并对公民的隐私进行监督，对其自由权利进行限制。此外，有些厂商及个人出于竞争目的，千方百计闯入互联网中，对其他厂家的商业机密进行盗用，为整个市场的公平竞争造成了严重的危害。与此同时，某些政府部门及军事的机密也可能被盗，某些犯罪分子经信息网络将国家机密出卖。1.3信息遭到恶意破坏信息遭到恶意破坏主要指的是进行恶意程序的制造和传播，并对计算机中所存储的程序、信息，甚至计算机硬件进行破坏。其中，对信息安全威胁相对较大的恶意程序主要包括：（1）电脑病毒，其为一种会传染其他程序的程序，传染途径主要是通过对其他程序进行修改而将自身或变种复制进去。（2）计算机蠕虫，其可通过网络通信功能将自身从某个结点发送至另一个结点并自我启动的一种程序。（3）木马，是一种可对超出程序定义以外的程序进行执行的程序，例如，某个编译程序除执行其编译任务以外，还可将用户源程序拷贝下来，此即特洛伊木马。（4）逻辑炸弹，是一种在运行环境符合某条件时可执行某种特殊功能的程序。（5）邮件炸弹，是通过网络中转站进行匿名发送的无用邮件、威胁性言论以及无用信息等，以便对计算机系统进行阻塞。此外，还存在着信息侵权及侵略等安全问题，这些均对信息的安全性造成了严重的危害，必须采取有效的手段予以防范。2、信息安全的具体应用。21世纪是知识经济时代，网络化、信息化是现代社会的一个重要特征。随着网络的不断普及，电子商务这种商务活动新模式已经逐渐改变了人们的经济、工作和生活方式，可是，电子商务的安全问题依然是制约人们进行电子商务交易的最大问题，因此，安全问题是电子商务的核心问题，是实现和保证电子商务顺利进行的关键所在。信息安全技术在电子商务应用中，最主要的是防止信息的完整性、保密性与可用性遭到破坏;主要使用到的有密码技术、信息认证和访问控制技术、防火墙技术等。1密码技术码是信息安全的基础，现代密码学不仅用于解决信息的保密性，而且也用于解决信息的保密性、完整性和不可抵赖性等，密码技术是保护信息传输的最有效的手段。密码技术分类有多种标准，若以密钥为分类标准，可将密码系统分为对称密码体制(私钥密码体制)和非对称密码体制(公钥密码体制)，他们的区别在于密钥的类型不同。对称密码体制下，加密密钥与解密密钥是相同的密钥在传输过程中需经过安全的密钥通道，由发送方传输到接收方。比较著名的对称密钥系统有美国的DES，欧洲的IDEA，Et本的RC4，RC5等。在非对称密码体制下加密密钥与解密密钥不同，加密密钥公开而解密密钥保密，并且几乎不可能由加密密钥导出解密密钥，也无须安全信道传输密钥，只需利用本地密钥的发生器产生解密密钥。比较著名的公钥密钥系统有RSA密码系统、椭圆曲线密码系统ECC等。数字签名是一项专门的技术，也是实现电子交易安全的核心技术之一，在实现身份认证、数据完整性、不可抵赖性等方面有重要的作用。尤其在电子银行、电子证券、电子商务等领域有重要的应用价值。数字签名的实现基础是加密技术，它使用的是公钥加密算法与散列函数一个数字签名的方案一般有两部分组成：数字签名算法和验证算法。数字签名主要的功能是保证信息传输的完整性、发送者身份的验证、防止交易中抵赖的发生。2信息认证和访问控制技术信息认证技术是网络信息安全技术的一个重要方面，用于保证通信双方的不可抵赖性和信息的完整性。在网络银行、电子商务应用中，交易双方应当能够确认是对方发送或接收了这些信息，同时接收方还能确认接收的信息是完整的，即在通信过程中没有被修改或替换。分为以下两种认证：基于私钥密码体制的认证。基于公钥体制的信息认证。访问控制是通过一个参考监视器来进行的，当用户对系统内目标进行访问时，参考监视器边查看授权数据库，以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。而数据库的授权则是一个安全管理器负责管理和维护的，管理器以阻止的安全策略为基准来设置这些授权。 3防火墙技术。 防火墙是目前用得最广泛的一种安全技术，是一种由计算机硬件和软件的组合。它使互联网与内部网之间建立起一个安全网关，可以过滤进出网络的数据包、管理进出网络的访问行为、对某些禁止的访问行为、记录通过防火墙的信息内容和活动及对网络攻击进行检测和告警等。它为电子商务的施展提供一个相对更安全的平台，具体表现如下： 防火墙可以强化网络安全策略。对网络存取和访问进行监控审计。 防止内部信息的外泄。 网络安全协议。网络协议是网络上所有设备之间通信规则的集合。在网络的各层中存在着许多协议，网络安全协议就是在协议中采用了加密技术、认证技术等保证信息安全交换的安