网络信息安全现状及建设展望

1、网络信息安全现状及建设展望学校代号：10699 学号：2009302649分类号：TP330密级： 西北工业大学题目：网络信息安全现状及建设展望作者：刘振东学院：计算机随着网络的快速发展，网络逐步成为人们学习、工作、生活领域 不可或缺的重要依靠，其中不免产生网络不法行为的与时俱进，由此 网络中的安全问题研究显得尤为重要。近来应对网络安全技术不断更 新，其中VPN技术就是解决网络安全问题的有效方法之一。国际标准化组织（ISO）将“计算机安全”定义为摘要：“为数 据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、 软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计 算机安全的定

2、义包含物理安全和逻辑安全两方面的内容，其逻辑安全 的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性 和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安 全是对网络信息保密性、完整性和可用性的保护。随着信息技术的发展，为了适应现代网络信息化的要求，需要将 网络互联技术与传统工业相结合，建立基Internet的商务领域网络， 这样可以减少大量的人力物力，缩短研究周期，使资源达到最有效的 共享，但是信息传输中的网络安全问题却是网络面临的最大问题，能 否保证信息的安全成为组建网络的关键。因特网中存在种种安全隐患，主要体现在下列几方面：1）因特网是一个开放的、无控制机构的网络，黑客

3、经常会侵入网 络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据， 或使系统功能得不到充分发挥直至瘫痪。2）因特网的数据传输是基于TCP/IP通信协议进行的，这些协议缺 乏使传输过程中的信息不被窃取的安全措施。3）在计算机上存储、传输和处理的电子信息，还没有像传统的邮 件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实， 内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭 着君子协定来维系的。4）计算机病毒通过因特网的传播给上网用户带来极大的危害，病 毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。内部网络 不同部门或用户之间如果没有采用相应的一些访问控制，也可能

4、造成信息泄密或非法攻击。据调查统计，已发生的网络安全实践中，70% 的攻击是来自内部网络。因此内部网的安全风险更严重。内部人员对 内部网络结构、应用比较熟悉，自己攻击或泄漏重要信息内外勾结， 都可能成为导致系统受攻击的最致命安全威胁。正是由于以上这些原因，无论是远程故障诊断专家通过因特网连 接到内部诊断网络还是现场仪器设备网连接到内部诊断网，都面临着 很多安全威胁。安全是网络赖以生存的保障，只有安全得到保障，网络才能实现自身 的价值。网络安全技术随着人们网络实践的发展而发展，其涉及的技 术面非常广，主要的技术如认证、加密、防火墙及入侵检测是网络安 全的重要防线。目前应对网络安全问题主要手段：一

5、.认证对合法用户进行认证可以防止非法用户获得对公司信息系统的访 问，使用认证机制还可以防止合法用户访问他们无权查看的信息。现 列举几种如下摘要：身份认证:当系统的用户要访问系统资源时要求确认是否是合法的用户，这就 是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证 识别。报文认证主要是通信双方对通信的内容进行验证，以保证报文由确认的发送 方产生、报文传到了要发给的接受方、传送中报文没被修改过。访问授权：主要是确认用户对某资源的访问权限。数字签名：数字签名是一种使用加密认证电子信息的方法，其安全性和有用性 主要取决于用户私匙的保护和安全的哈希函数。数字签名技术是基于 加密技术的，可用对

6、称加密算法、非对称加密算法或混合加密算法来 实现。二.数据加密：加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不 懂它。主要存在两种主要的加密类型摘要：私匙加密和公匙加密。私匙加密：私匙加密又称对称密匙加密，因为用来加密信息的密匙就是解密信 息所使用的密匙。私匙加密为信息提供了进一步的紧密性，它不提供 认证，因为使用该密匙的任何人都可以创建、加密和平共处送一条有 效的消息。这种加密方法的优点是速度很快，很轻易在硬件和软件件 中实现。公匙加密：公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙加密和解 密，而公匙加密使用两个密匙，一个用于加密信息，另一个用于解密 信息。公匙加密系统的缺

7、点是它们通常是计算密集的，因而比私匙加密系统的速度慢得多，不过若将两者结合起来，就可以得到一个更复杂的系统。三防火墙技术：防火墙是网络访问控制设备，用于拒绝除了明确答应通过之外的所 有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而 是在网络传输通过相关的访问站点时对其实施一整套访问策略的一 个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自 己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、 动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升 高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连 接能力。此外，现今良好的防火墙还采用了 VPN、

8、检视和入侵检测技 术。防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内 外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制，也 不能和企业内部使用的其他安全机制（如访问控制）集成使用；另外， 防火墙难于管理和配置，由多个系统（路由器、过滤器、代理服务器、 网关、保垒主机）组成的防火墙，管理上难免有所疏忽。四.入侵检测系统：入侵检测技术是网络安全探究的一个热点，是一种积极主动的安全 防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网 络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展摘要：分布式入侵检测、智能化入侵检测和全面 的安全防御方案。

9、入侵检测系统是进行入侵检测的软件和硬件的组合，其主要功能是 检测，除此之外还有检测部分阻止不了的入侵；检测入侵的前兆，从 而加以处理，如阻止、封闭等；入侵事件的归档，从而提供法律依据； 网络遭受威胁程度的评估和入侵事件的恢复等功能。五 虚拟专用网（VPN）技术：VPN是目前解决信息安全新问题的一个最新、最成功的技术课题之 一，所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络， 使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信 网络上构建VPN有两种主流的机制，这两种机制为路由过滤技术和隧 道技术。目前VPN主要采用了如下四项技术来保障安全摘要：隧道技 术、加解密技术、密匙管

10、理技术和使用者和设备身份认证技术。其中 几种流行的隧道技术分别为PPTP、L2TP和Ipseco VPN隧道机制应能 技术不同层次的安全服务，这些安全服务包括不同强度的源鉴别、数 据加密和数据完整性等。VPN也有几种分类方法，如按接入方式分成 专线VPN和拨号VPN；按隧道协议可分为第二层和第三层的；按发起 方式可分成客户发起的和服务器发起的。六.其他网络安全技术：（1）智能卡技术，智能卡技术和加密技术相近，其实智能卡就是 密匙的一种媒体，由授权用户持有并由该用户赋和它一个口令或密码字，该密码字和内部网络服务器上注册的密码一致。智能卡技术一般 和身份验证联合使用。（2）安全脆弱性扫描技术，它为

11、能针对网络分析系统当前的设置 和防御手段，指出系统存在或潜在的安全漏洞，以改进系统对网络入 侵的防御能力的一种安全技术。（3）网络数据存储、备份及容灾规划，它是当系统或设备不幸碰 到灾难后就可以迅速地恢复数据，使整个系统在最短的时间内重新投 入正常运行的一种安全技术方案。其他网络安全技术还有我们较熟悉的各种网络防杀病毒技术等 等。国内外对信息安全研究状况网络信息安全是一个综合、交叉学科领域，它要综合利用数学、物理、 通信和计算机诸多学科的长期知识积累和最新发展成果，进行自主创 新研究，加强顶层设计，提出系统的、完整的，协同的解决方案。由 于从基础理论研究到实际应用的距离很短，所以关键的基础理论

12、需要 保密。现代信息系统中的信息安全的核心问题是密码理论及其应用， 其基础是可信信息系统的构架与评估。总的来说，目前在信息安全领 域人们所关注的焦点主要有以下几方面：1）密码理论与技术；2）安全协议理论与技术；3）安全体系结构理论与技术；4）信息对抗理论与技术；5）网络安全与安全产品。国内外对以上几方面的研究现状及发展趋势可以终结为以下几点: 1）国内外密码理论与技术研究现状及发展趋势。密码理论与技术主要包括两部分，即基于数学的密码理论与技术（包 括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、 身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包 括信息隐形，量子密

13、码，基于生物特征的识别理论与技术）。2）国内外安全协议理论与技术研究现状及发展趋势 安全协议的研究主要包括两方面内容，安全协议的安全性分析方法和 各种实用安全协议的设计与分析研究。安全协议的安全性分析方法主 要有两类，一类是攻击检验方法，一类是形式化分析方法，其中安全 协议的形式化分析方法是安全协议研究中最关键的研究问题之一，它 的研究始于80年代初，目前正处于百花齐放，充满活力的状态之中。随着各种有效方法及思想的不断涌现，这一领域在理论上正走向成 熟。从大的方面讲，在协议形式化分析方面比较成功的研究思路可以分为 三种: 第一种是基于推理知识和信念的模态逻辑；第二种是基于状态搜索工 具和定理证

14、明技术；第三种是基于新的协议模型发展证明正确性理 论。目前，已经提出了大量的实用安全协议，有代表的有：电子商务协议，IPSe c协议，SSL/TLS协议，简单网络管理协议（SNMP），PGP协议，PEM协议，S-HTTP协议等。实用安全协议的安全性分析特别是电子商 务协议，IPSec协议，SSL/TLS协议是当前协议研究中的另一个热点。3）国内外安全体系结构理论与技术研究现状及发展趋势安全体系结构理论与技术主要包括:安全体系模型的建立及其形式化 描述与分析，安全策略和机制的研究，检验和评估信息安全性的科学 方法和准则的建立，符合这些模型、策略和准则的系统的研制（比如 安全操作系统，安全数据库系

15、统等）。4）国内外信息对抗理论与技术研究现状及发展趋势信息对抗理论与技术主要包括:黑客防范体系，信息伪装理论与技术， 信息分析与监控，入侵检测原理与技术，反击方法，应急响应系统， 计算机病毒，人工免疫系统在反病毒和抗入侵系统中的应用等。5）国内外网络安全与安全产品研究现状及发展趋势网络安全是信息安全中的重要研究内容之一，也是当前信息安全领域 中的研究热点。研究内容包括:网络安全整体解决方案的设计与分析， 网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安 全指网络系统中各通信、计算机设备及相关设施的物理保护，免于破 坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。 它是

16、一个涉及网络、操作系统、数据库、应用系统、人员管理等方方 面面的事情，必须综合考虑。在市场上比较流行，而又能够代表未来发展方向的安全产品大致有虚 拟专用网（VPN），防火墙，安全路由器等。网络安全的解决是一个综合性问题，涉及到诸多因素，包括技术、产品和管理等。目前国际上已有众多的网络安全解决方案和产品，但 由于出口政策和自主性等问题，不能直接用于解决我国自己的网络安 全，因此我国的网络安全只能借鉴这些先进技术和产品，自行解决。 可幸的是，目前国内已有一些网络安全解决方案和产品，不过，这些 解决方案和产品与国外同类产品相比尚有一定的差距。网络信息安全是信息化发展必然产物，网络安全新问题的策略可

17、从技术、管理、组织和立法方面着手。网络安全的保障从技术角度看。首先，要树立正确的思想预备。 网络平安的特性决定了这是一个不断变化、快速更新的领域，况且我 国在信息平安领域技术方面和国外发达国家还有较大的差距，这都意 味着技术上的“持久战”，也意味着人们对于网络平安领域的投资是 长期的行为。其次，建立高素质的人才队伍。目前在我国，网络信息 平安存在的突出新问题是人才稀缺、人才流失，尤其是拔尖人才，同 时网络平安人才培养方面的投入还有较大缺欠。最后，在具体完成网 络平安保障的需求时，要根据实际情况，结合各种要求（如性价比等）， 需要多种技术的合理综合运用。网络安全的保障从管理角度看。考察一个内部网是否健康，不仅 要看其技术手段，而更重要的是看对该网络所采取的综合办法，不光 看重物理的防范因素，