Internet信息安全技术的缺陷及创新.docx

internet 信息安全技术的缺陷及创新张绍武(曲靖师范学院 , 曲靖 655000)袁力(曲靖市经济干部管理学校 , 曲靖 655000)摘 要 internet 信息安全技术是具有对抗性的敏感技术 , 面对日益迫切的安全需要 , 惟一的出路就是自主创 新。internet 信息安全技术的创新在以下几个方面值得注意 : (1) 信息安全系统构建 、模式 、评估的创新 ; (2) 实体安 全设备的创新 ; (3) 密码技术的创新 ; (4) 网络操作系统的创新。关键词 internet ; 信息安全 ; 技术创新abstract internet information safety technology is sensitive technology characterized by antagonism. faced with increasingly pressing need for the safety of the information on internet , the only solution to the problem is to inno2vate in technology by ourselves. the following aspects must be paid attention to during our innovation in internet infor2mation safety technology : innovation of construction , mode and evaluation of information safety system ; innovation of security devices ; innovation of code technology , innovation of network operation center.key words internet ; information safety ; technological innovation中图分类号g201文献标识码b文章编号1008 - 0821 (2004) 11 - 0075 - 03近年来 , internet 正以惊人的速度在全球范围内迅猛发 展 , 信息技术和信息产业正在改变着传统的生产 、经营和 生活方式 , 信息已成为人类社会宝贵的资源 。然而 , 正当 人们沉醉于 internet 神奇妙用的同时 , 也逐步感受到了 in2 ternet 带来的安全威胁 。正如 vincert 有句名言 : “internet 的 绝妙是由于它广泛的互联 , internet 的麻烦也是它广泛的互 联 。”1internet 信息的安全威胁internet 的麻烦主要表现在信息安全方面 。计算机技术 的发展 , 为计算机网络带来了诸多的安全威胁 , 尤其是 tcpip 协议 (传输控制协议网 络协议) 在安全方面的欠 缺 , 使得 internet 的安全问题日益突出 。internet 信息的安全 威胁主要有 :111网络安全危机在 internet 中 , 每个节点都能读取网上的数据 , 这是 internet 的主要脆弱点 。internet 体系结构允许监视器接收网 上传输的数据而不考虑帧的传输目的地址 , 这种特殊性使 得窃取网上的数据或非授权访问很容易且不易发现 。当今 , internet 上的情报战涵盖了国家间 、企业间及至个人间等多 个领域 。112数据修改数据修改是在非授权和不能监测方式下对数据的改变 。 当节点修改进入网中的帧并传送修改版本时就发生了数据 修改 。即使采用某些级别的认证机制 , 此种攻击也能危及 可信节点间的通信 。113重发就是重复一份报文或报文的一部分 , 以便产生一个被 授权效果 。当节点拷贝发到其他节点的报文并在其后重发 他们时 , 如果不能监测重发 , 节点依据此报文的内容接受某些操作 , 例如报文的内容是关闭网络的命令 , 则将会出 现严重的后果 。114假冒当一个实体假扮成另一个实体时 , 就发生了假冒 。很 多网络适配器都允许网帧的源地址由节点自己来选取或改 变 , 这就使冒充变得较为容易 。115服务否认当一个授权实体不能获得对网络资源的访问或当紧急 操作被推迟时 , 就发生了服务否认 。这可能是由网络部件 的物理损坏而引起 , 也可能由使用不正确的网络协议而引起 , 也可能由超载而引起 。信化116计算机病毒息这是一种人为编制的隐藏在计算机中很难被发现且具 与 有特定破坏能力的程序或代码 , 它能够通过软盘 、硬盘 、 网 通信链路和其他途径在计算机网络内传播和蔓延 , 具有极 络建大的破坏性 。设2internet 信息安全技术及其缺陷针对上述安全威胁 , 人们通常采用以下安全技术进行 防范 :211路由器技术路由器技术是一种多端口设备 , 它用于按照协议和网 络信息负责数据帧的转发 。路由器位于一个或多个网段的 交界处 , 它一般在网络层和传输层工作 。在网络层 , 当路 由器遇到一个 ip 包时 , 它便检查 ip 包中的目的 ip 地址 , 并与路由选择表中的项目进行比较 。如果匹配 , 路由器则 依照表中的指示转发 ip 包 ; 如果不匹配 , 并且没有缺省的 路由选择 , ip 包便被滤掉 。在传输层 , 路由器利用 tcp 报 头中的源端口号 、目的端口号和 tcp 标志进行过滤 。路由 器可以阻塞广播信息和不知名地址的传输 , 达到保护内部收稿日期 : 2004 06 28作者简介 : 张绍武 (1953 ) , 男 , 曲靖师范学院图书馆副研究馆员 , 研究方向 : 信息管理 , 发表论文二十余篇。现代情报2004 年 11 月 第 11 期november12004 no. 11安全的目的 。路由器使用包过滤技术的优点是不要求客户机和主机 应用程序做出修改 , 因为它们只在 ip 和 tcp 层工作 , 而 ip 层和 tcp 层与应用层的问题毫不相关 , 但是由于它考虑的 只是 ip 层和 tcp 层的地址 、端口号和 tcp 标志等信息作为 判定过滤与否的惟一依据 , 并没有对其他安全需求做出说 明 , 因此路由器不能对通过高层协议进行的攻击实现有效 的检测 。路由器的另一个缺点是在许多包过滤实施中缺乏 审计和报警装置 。多数路由器采用静态分组过滤来控制网 络信息传输 , 它适用于安全要求不是很高的场合 。212防火墙技术目前保护网络最主要的手段之一是构筑防火墙 。它一 般位于开放的 、不安全的公共网与内部局域网之间 , 用于实现两个网络之间的访问控制和安全策略 。它的主要作用 是阻断非法的网络连接及访问 。然而防火墙也有它的缺陷 :防火墙只允许来自外部网络的一些规则允许的服务通过 , 这样反而会抑制一些正常的信息通信 , 从某种意义上大大 削弱了 internet 应有的功能 , 特别是对电子商务发展较快的 今天 , 防火墙的使用很容易错失商机 。 防火墙把外部网 络当成不可信网络 , 主要是用来预防来自外部网络的攻击 。 它把内部网络当成可信任网络 。然而事实证明 , 50 %以上 的黑客入侵都来自于内部网络 , 但是对此防火墙却无能为 力 。 现在跨地区的大公司常利用公用的 internet 网建立本 公司虚拟专用网 (vpn) , 虽然大部分防火墙集成了对 vpn 的支持 , 但 vpn 只是介于公司两个局域网的网关间的公共 网络上建立起一个加密通道 , 一旦通信越过目标站点网关 , 它将被解密并暴露在内部网络上 , 内部网络上固有的安全 隐患也将可能出现 。213数据加密技术网络安全从本质上与数据加密息息相关 。现在网络上 信 采用的加密算法分对称密钥算法和公开密钥算法两种 。对 息 称密钥算法密钥管理程度较大且安全性不够高 。公开密钥化与 算法使用公共密钥和私有密钥 , 公共密钥可从认证机构 ca 网 中得到 , 私有密钥由个人保存 , 这从根本上解决了对称密 络 钥算法管理上的困难 。采用传统密码学理论开发出来的加建设解密系统 , 不管是对称密钥系统 (如 des) 还是安全性更高的公开密钥系统 (如 rsa) , 对于机密文件的处理都是将 其加密成密文 , 使得在网络传输过程中的非法拦截者无法 从中获取机密信息 , 从而达到保密的目的 。但是这种加密 方法有一个致命的缺点 , 就是它明确地提示攻击者哪些是 重要信息 , 容易引起攻击者的好奇和注意 , 并有被破解的 可能性 , 而且一旦加密文件被破解 , 其内容就完全透明了 。 攻击者还有可能在破译失败的情况下将信息破坏 , 使得即 使是合法的接收者也无法阅读信息的内容 ; 另一方面 , 加 密后的文件因其不可理解性妨碍了信息的传播 。采用加密 技术的另一个潜在的缺点是 , 随着电脑硬件的迅速发展 , 以及基于网络实现的具有并行计算能力的破解技术的日益 成熟 , 加密算法的安全性受到了严重挑战 。仅仅通过增加 密钥长度来增强安全性已经不再是惟一的可行方法 。214入侵检测技术入侵检测的主要作用是通过检查传输内容 , 发现潜在的网络攻击 。一般情况下 , 入侵检测系统只能对已知的入 侵进行报警 。对于针对新发现的漏洞发起的攻击 , 一般的 入侵检测系统都无能为力 。入侵检测系统能够发现部分攻 击者的地址 , 但这些地址有可能被假冒 , 所以只能用于参 考 , 不能作为法律的依据 。入侵检测系统只能作为安全系 统的一种补充 , 简单使用入侵检测系统不能很好地解决网 络信息安全问题 , 如保密 、完整性 、不可否认等 。限于篇幅 , 我们不可能把 internet 信息安全技术及其缺 陷全部列举出来分析 , 但通过以上情况可以说明 : 世上没 有绝对的安全 , 中国没有 , 那些信息技术发达的国家也没 有 。中国的网络安全要靠中国自己解决 。当前我国 internet 信息安全技术的研究和应用正处在忙于封堵现有实际信息 系统安全漏洞的阶段 , 这样不能从根本上解决问题 。我们 应该在国家有关部门组织下 , 依靠创新研究 , 大力发展基 于自主技术的信息安全产业 , 这样才能从根本上摆脱引进 国外的关键信息系统而又难以安全利用和有效监控的被动 局面 。3 internet 信息安全的技术创新internet 信息安全技术是具有对抗性的敏感技术 , 面对 日益迫切的安全需要 , 惟一的出路就是自主创新 。当然 , 自主创新并不排斥吸取国外的先进技术 , 相反 , 只有密切 跟踪国际信息安全技术的新进展才能知己知彼 , 为我所用 。 internet 信息安全技术的创新在以下几个方面值得注意 :311 信息安全系统的构建 、模式 、评估的创新31111 信息安全系统的构建观念 10 年前是 “自上而下”, 即顶层设计 。从 internet 的历史特点和发展现实出发 , 现在 需要实行 “自下而上”, 接着 “上下结合”, 然后再在网络 的确定范围内从全局规划 , 构成新的安全体系 。系统安全 需要动态的构建模型 。31112 传统的风险管理技术的模式是固定的模式 , 现在则 需要向灵活的不断反馈 、不断演进的弹性模式转化 , 应强 调可测量的方法体系 , 形成所谓 “有适应能力的风险管理 模式”。31113 在安全功能 、服务配置上 , 过去是先从整体定义入 手 , 但是 internet 是个多元化的应用环境 , 因此现实的解决 办法是 “分而治之”。各个部门 、各种应用 , 先在统一的规 范下 , 分层分步实施 。这在相当一段时间内 , 是推动网络 发展 、激励安全应用的现实途径 。312 实体安全设备的创新几年前 , 针对 internet 网中网的特点出现了基于 “入口 防守”概念的防火墙 , 它发展很快 , 迅速普及 , 目前仍是 internet 安全的主要卫士 。但防火墙无论从基本概念和实际 功能都不可能完全满足安全的多种需要 。随着网上人口大 量增加和信息量直线上升 , 一些新思路 、新设施应运而生 : 31211 智能化实时安全监控系统它包括基于统计偏离的实时入侵检测 (针对内外入侵等) 和基于违规的实时检测 (针对用户违规调阅网上资 源) 。该系统在识别入侵以后随即做出反应 , 或与防火墙配 合进行控制 。 7631212 自适应网络安全检测软件 它能主动地找出系统的安全隐患 , 对风险做出半定量的分析 , 提出堵塞漏洞的方案 。它还能自动地随着计算机 环境的变化 , 通过入侵模式识别 , 对系统安全做出校正 , 这样就使人们由被动防守转向了主动防守 。31213 各种信息设施日趋综合化和智能化 目前越来越多的网络安全技术开始应用于实际系统 ,由于这些网络安全技术的特点 、功能各不相同 , 因此 , 如 何使这些不同的安全技术联在一起 , 以便发挥更大的作用 , 就显得非常重要了 。近年来国内外正在研究一种新的系统智能联动安全系统 。该系统针对不同安全产品的自动 或人工的安全事件生成及上报 , 即对应于每个安全产品 , 都有相应的安全事件转换 、生产工具 。可以针对不同安全 事件进行响应 , 尤其是来自一种安全产品的事件 , 由于该 产品无法处理 , 则通知安全联动 console , 由另外的安全产 品进行处理 ; 安全联动 console , 可以对不同安全事件进行 响应 , 包括从不同的安全事件中进行下一步的数据融合 , 提高安全判断的准确率 ; 包括从一种安全产品得到的判断 , 由另外一种产品进行处理 。智能联动安全系统可以发挥各 种不同网络安全技术的特点 , 从而取得更好的网络安全防 范效果 。313 密码技术的创新近年来 , 密码技术的实现越来越集中在芯片 、智能 ic 卡和纳米技术 。由于密码大量普及到商业和个人用途 , 商 用密码 、密钥托管 、密钥恢复 、可信第三方等是当前的热 点 , 新的密码算法在不断出现 。目前 , 国际上开始提出并 尝试一种新的关于信息安全的概念 , 开发设计一种不同于 传统保密学的技术 , 即信息隐藏技术 。信息隐藏技术将秘 密资料先隐藏到一般的文件中 , 然后再通过网络来传递 。 由于非法拦截者从网络上拦截下来的是伪装后的资料 , 和 非秘密资料一般无异 , 并不像传统加密过的文件那样 , 看 起来是一堆会激发拦截者破解机密资料动机的乱码 , 因而 十分容易逃过拦截者的破解 。其道理如同生物学上的保护 色 , 巧妙地将自己伪装隐藏于环境中 , 免于被对手发现而 遭到攻击 。这一点是传统加解密系统所欠缺的 。信息隐藏技术包含隐藏术 、数字水印 、数据隐藏和数 据嵌入 、指纹和标签 。信息隐藏技术作为一种新兴的信息 安全技术已经被许多应用领域所采用 。越来越多的数字视 频 、声频信号及图像被 “贴”上了不可见的标签 , 这些标 签往往携带隐藏了的版权标识或序列号以防止非法拷贝 。 军事系统广泛地采用信息安全技术 , 不只用加密技术隐藏 消息内容 , 还用信息隐藏技术来隐藏消息的发送者 、接收 者甚至消息本身 。类似的技术还用在移动电话系统及其他 的电子媒介系统中 。数字水印为电子数据的版权保护等提 供了一个潜在的有效手段 , 因而引起了国际学术界和企业 界的广泛关注 , 是目前国际学术界研究的一个前沿热门方 向 。信息隐藏技术具有十分广阔的应用前景 , 对它的研究 无疑是我国网络安全的创新举措 。314 网络操作系统的创新我们必须建立自主产权的网络操作系统 。现在国内 90 %以上的站点用的都是 windows nt 服务器操作系统 , 而 客户机大部分用的是 window 9598 或 windows nt操作系统 。 这不但意味着我国政府 、商业 、企业和个人用户现在已经 离不开微软的软件 , 而且也意味着一旦失去了微软的操作 系统 , 我国自己生产的所有软件 , 都会因为失去操作平台 , 而陷入全面瘫痪的境地 。再者 , intel pentium 处 理器和 windows 98 在产品中都开了后门 , 通过 pentium 处理器的 序列号 , 在上网时将用户的信息与截获的信息一一对应起 来 , 就能破获用户的隐私和密码 ; 对于 windows 98 的用户 在拨号上网时 , microsoft 的系统能自动搜集用户电脑内的 资料和身份认证资料 。这样我们使用的网络产品极易留下嵌入式病毒 、隐性通道和可恢复密钥的密码等隐患 。建立 在他人操作系统之上的网络安全系统 , 无论从何角度上讲 , 安全性都值得怀疑 。特别对于军队的网络安全系统而言 , 使用自己的网络操作系统就显得更加重要 。当然 , 建立一 个自主的 、安全可靠的操作系统并非易事 , 但 linux 等开放 性源码系统做了大量的前期准备工作 , 建立在该代码之上 的开发对我们会有所帮助 。采用 linux 作为操作系统核心 , 我们就可以在一个全新的高度上迅速发展我国自主的