网络信息安全技术引言在人类认知的有限范围内,信息被定义为人类社会以及自然界其他生命体中需要传递、交换、存储和提取的抽象内容。这样的所谓信息存在于现实世界的一切事物之中,被人类利用来认识世界和改造世界。自从人类开始利用信息来为自己服务后,信息安全问题就自然而然地凸现出来,并随之出现了众多相应的解决办法,不过在当时,这个问题并不显得非常重要。但随着人与人、人与自然交流的日益频繁,信息数量的急剧膨胀,并且当其影响到各个相对独立主体重要利益的时候(无论大到国与国之间的战争,或小到个人与个人之间的秘密隐私),信息安全问题就显得特别重要。多年以来,虽然人们总是不自觉地利用信息安全技术来保证我们的秘密,但是只有当计算机网络出现以后,全球最大的互连网Internet连接到千家万户时,信息安全才成为普通百姓也关注的话题。本文从信息安全理论以及实现技术两个方面来加以讨论,让读者对信息安全有一个比较全面的认识,同时对信息安全理论的发展以及实现技术有更深入的了解。1信息安全概念理解信息安全的概念有利于人们更容易地了解各种名目繁多及众多延伸出来的信息安全理论及其方法技术。问题就是:什么样的信息才认为是安全的呢?一般认为:(1)信息的完整性(Integrity)信息在存储、传递和提取的过程中没有残缺、丢失等现象的出现,这就要求信息的存储介质、存储方式、传播媒体、传播方法、读取方式等要完全可靠,因为信息总是以一定的方式来记录、传递与提取的,它以多种多样的形式存储于多样的物理介质中,并随时可能通过某种方式来传递。简单地说如果一段记录由于某种原因而残缺不全了,那么其记录的信息也就不完整了。那么我们就可以认为这种存储方式或传递方式是不安全的。(2)信息的机密性(Confidentiality)就是信息不被泄露或窃取。这也是一般人们所理解的安全概念。人们总希望有些信息不被自己不信任的人所知晓,因而采用一些方法来防止,比如把秘密的信息进行加密,把秘密的文件放在别人无法拿到的地方等等,都是实现信息机密性的方法。(3)信息的有效性(Availability)一种是对信息的存取有效性的保证,即以规定的方法能够准确无误地存取特定的信息资源;一种是信息的时效性,指信息在特定的时间段内能被有权存取该信息的主体所存取。等等。当然,信息安全概念是随着时代的发展而发展的,信息安全概念以及内涵都在不断地发展变化,并且人们以自身不同的出发点和侧重点不同提出了许许多多不同的理论。另外,针对某特定的安全应用时,这些关于信息安全的概念也许并不能完全地包含所有情况,比如信息的真实性(Authenticity)、实用性(Utinity)、占有性(Possession)等,就是一些其他具体的信息安全情况而提出的。2网络信息安全所要解决的问题计算机网络安全的层次上大致可分为:物理安全、安全控制、安全服务三个方面。2.1物理安全物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。对于计算机网络设备、设施等等免于遭受自然或人为的破坏。主要有环境安全(即自然环境对计算机网络设备与设施的影响);设备安全则是指防止设备被盗窃、毁坏、电磁辐射、电磁干扰、窃听等;媒体安全,保证媒体本身以及媒体所载数据的安全性。该层次上的不安全因素包括三大类:(1)自然灾害、物理损坏、设备故障此类不安全因素的特点是:突发性、自然性、非针对性。这种不安全因素对网络信息的完整性和可用性威胁最大,而对网络信息的保密性影响却较小,因为在一般情况下,物理上的破坏将销毁网络信息本身。解决此类不安全隐患的有效方法是采取各种防护措施、制定安全规章、随时备份数据等。(2)电磁辐射、痕迹泄露等此类不安全因素的特点是:隐蔽性、人为实施的故意性、信息的无意泄露性。这种不安全因素主要破坏网络信息的保密性,而对网络信息的完整性和可用性影响不大。解决此类不安全隐患的有效方法是采取辐射防护、屏幕口令、隐藏销毁等手段。(3)操作失误、意外疏漏其特点是:人为实施的无意性和非针对性。主要破坏了网络信息的完整性和可用性,而对保密性影响不大。主要采用状态检测、报警确认、应急恢复等来防范。2.2安全控制安全控制是指在网络信息系统中对存储和传输辐射信息的操作和进程进行控制和管理。在网络信息处理层次上对信息进行安全保护。(1)操作系统的安全控制包括对用户合法身份的核实,对文件读写权限的控制等。此类控制主要是保护被存储数据的安全。(2)网络接口模块的安全控制在网络环境下对来自其他机器的网络通信进程进行安全控制。此类控制主要包括身份认证、客户权限设置与判别、日志审计等手段。(3)网络互连设备的安全控制对整个子网内的所有主机的传输信息和运行状态进行安全检测和控制。此类控制主要通过网管软件或路由器配置实现。2.3安全服务安全服务是指在应用程序层对网络信息的保密性、完整性和真实性进行保护和鉴别,防止各种安全威胁和攻击,其可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务主要内容包括:安全机制、安全连接、安全协议、安全策略等。(1)安全机制是利用密码算法对重要而敏感的数据进行处理。以保护网络信息的保密性为目标的数据加密和解密;以保证网络信息来源的真实性和合法性为目标的数字签名和签名验证;以保护网络信息的完整性,防止和检测数据被修改、插入、删除和改变的信息认证等。(2)安全连接是在安全处理前与网络通信方之间的连接过程。安全连接为安全处理进行了必要的准备工作。安全连接主要包括会话密钥的分配和生成以及身份验证。(3)安全协议使网络环境下互不信任的通信方能够相互配合,并通过安全连接和安全机制的实现来保证通信过程的安全性、可靠性、公平性。(4)安全策略是安全机制、安全连接和安全协议的有机组合方式,是网络信息安全性完整的解决方案。不同的网络信息系统和不同的应用环境需要不同的安全策略。3网络信息安全技术面对网络信息安全的诸多问题,计算机专家们采取了多种的防范措施来解决很多问题。(1)防火墙技术防火墙是指设置在不同网络(如可以信任的企业内部网和不可以信任的外部网)或网络安全域之间的一系列软件或硬件的组合。在逻辑上它是一个限制器和分析器,能有效地监控内部网和Internet之间的活动,保证内部网络的安全。为迎合广泛用户的需要,可以在网络中实施三种基本类型的防火墙:网络层、应用层和链路层防火墙。创建防火墙时,必须决定防火墙允许或不允许哪些传输信息从Internet传到本地网或从别的部门传到一个被保护的部门。三种最流行的防火墙分别是:双主机防火墙、主机屏蔽防火墙、子网屏蔽防火墙。①双主机防火墙,是把一台主机作为本地网和Internet之间的分界。这台主机使用两块独立网卡把每个网络连接起来。②主机屏蔽防火墙,建立此类防火墙应把屏蔽路由器加到网络上并使主机远离Internet,即主机并不直接与Internet相连,如果网络用户需要连接到Internet,则必须先通过与路由器相连的主机。③子网屏蔽防火墙,此结构把内部网络与Internet隔离开来。它把两台独立的屏蔽路由器和一台代理服务器连接起来。一台路由器控制从本地到网络的传输,另一台屏蔽路由器监测并控制进入Internet和Internet出来的传输。(2)网络信息数据的加密技术目前,信息在网络传输时被窃取,是个人和公司面临的最大安全风险。为防止信息被窃取,则必须对所有传输的信息进行加密。加密体系可分为:常规单密钥加密体系和公用密钥体系。①常规单密钥加密体系。是指在加密和解密.过程中都必须用到同一个密钥的加密体系,此加密体系的局限性在于,在发送和接收方传输数据时必须先通过安全渠道交流密钥,保证在他们发送或接收加密信息之前有可供使用的密钥。但是,如果你能通过一条安全渠道传递密码,你也能够用这条安全渠道传递邮件。②公用密钥体系。公用密钥需要两个相关的.密码,一个密码作为公钥,一个密码作为私钥,在公用密钥体系中,你的伙伴可以把他的公用密钥放到Internet的任意地方,或者用非加密的邮件发给你,你用他的公钥加密信息然后发给他,他则用他自己的私钥解密信息。(3)数字签名通过加密,我们可以保证某个接收者能够正确地解密发送者发送的加密信息,但是我们收到的信息的声明者是否该信息的实际作者,这就要求对传输进行鉴定和证实。一般说来,当你用数字标识一个文件时,你为这个文件附上了一个唯一的数值,它说明你发送了这个文件,并且在你发送之后没人修改它。4网络信息安全技术发展趋势展望随着网络技术的日益普及,以及人们对网络安.全意识的增强,许多用于网络的安全技术得到强化并不断有新的技术得以实现。不过,从总的看来,信息的安全问题并没有得到所有公司或个人的注意,同时,很多的中小型公司或企业对网络信息安全的保护还只处于初级阶段,有的甚至不设防。所以,在安全技术提高的同时,提高人们对网络信息的安全问题的认识是非常必要的。当前,一种情况是针对不同的安全性要求的应用,综合多种安全技术定制不同的解决方案,以及针对内部人员安全问题提出的各种安全策略,以尽量防范网络的安全遭到内部和外部的威胁;另一种是安全理论的进步,并在工程技术上得以实现,例如新的加密技术,生物识别技术等。目前,利用生物免疫技术原理的信息安全技术正处在初步发展阶段,但它是未来信息安全技术的方向。