搜索
浅谈信息安全前沿技术及发展趋势1827浅谈信息安全前沿技术及发展趋势姜涛,谭刚(重庆市电力公司信息通信分公司)摘要:随着信息技术的不断发展和应用,信息安全的内涵和范围都在不断延伸。如今信息安全技术从最初单纯的密码学研究,逐步发展成为―攻(攻击)、防(防御)、测(检测)、控(控制)、管(管理)、评(评估)‖多方面的基础理论和实施技术,成为了一个综合、交叉性学科领域和信息技术的重要组成部分,日益受到各国政府、企业和个人的重视。本文主要阐述了信息安全的重要性及信息技术的发展与应用,针对信息安全研究的现状及发展趋势,介绍了安全协议理论与技术、信息对抗理论与技术,重点说明了密码理论与技术、安全体系结构理论与技术、网络安全与安全产品。关键词:信息网络技术;信息安全密码;安全协议;安全体系结构;信息对抗;网络安全;安全产品1引言信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的、协同的解决方案。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划,并注意细节。信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑,则成本会更低、效率会更高。2信息网络安全前沿技术现今网络技术的创新应用和大规模普及,将进一步引发信息安全技术的创新和发展。随着信息技术的网络化程度的进一步提升,网络化也成为了信息安全技术的又一发展趋势。随着由网络应用和普及所引发的新一轮信息技术和应用模式的变革,技术和知识的更新速度在不断加快,产品的生命周期在不断缩短,这就推动着已成型的信息安全关键技术的进一步创新,并诱发新的安全技术和应用模式的出现。如安全基础设施(PKI、PMI、KMI)、安全中间件、安全管理与安全监控、应急响应与应急处理、网络病毒和垃圾邮件防范、网络可生存性、网络信任等。再比如现今最热的两个科技词汇:―云计算‖和―社交网络‖。与云计算相关的网络安全已经引起了各国政府、企业的高度关注。随着更多的公司和政府采用或者计划采用云计算技术来提高效率,无论是公共的还是私人的云计算,它们都变得越来越容易受到破坏和网络袭击,这极有可能导致服务及快速的重要软件应用能力受到破坏。因此,云计算安全技术已经成为目前信息安全技术研究中的热门之一。另外,由于Facebook、开心网、博客、微博和其他社交网络在个人生活中的广泛使用,网络袭击、隐私外泄、恶意欺诈的风险将随之大增,这使得网络认证技术和隐私保护技术成为了另一个热门技术领域。重庆市电机工程学会2012年学术会议论文18282.1网络可生存性理论和技术为进一步加强网络及其服务在安全异常情况下的可用性,需要重点研究网络可生存性系统和体系结构、设计原理和关键技术,以及研究基于关键服务的可生存性系统的模型和实现方法,也需要获得网络可生存性的分析和评测方法。2.2网络病毒与垃圾信息防范技术为了实现对网络病毒和垃圾邮件的管理和清除,需要研究网络病毒的传播机理、模型、预警机制和综合防治技术,并研究垃圾信息的产生、分类、识别、传播与阻隔的机理和技术。2.3新型网络、计算和应用下的信息安全技术可以预见,随着信息处理的下一代网络技术的进展,新型的网络组织、计算环境和电子事务模式还会出现,这将继续为信息安全提出新的问题。因此,在这些应用的推动下,信息安全在这一领域仍将会有快速的发展。2.4网络监控、应急响应与安全管理关键技术为加强信息网络的可控性和自主防御能力,需要研究国家信息安全监控和应急响应所需要的关键技术,研制新一代安全监控、应急响应与管理系统,需要重点研究的具体领域包括网络安全分析、网络行为分析、内窜识别与过滤、大流量安全处理、网络攻击预警技术、网络安全危机控制与应急支援、主动实时防护模型和技术、入侵容忍和主动攻击技术、数据恢复与备份、安全管理技术,等等。2.5网络信任保障的理论、技术和体系为在更大的范围实现授权和认证,需要研究新一代网络信任保障的理论、技术和体系,突破一批网络信任核心理论和技术,开发新一代网络信任保障原形系统。重点需要研究的领域包括可信网络环境支撑技术、新一代认证授权、访问控制与责任认定技术、新型安全审计技术、可信和权限管理技术、高保障可证明安全的原形系统和体系结构等。3密码与安全协议的新理论与新方法应对通用计算设备的计算能力越来越强、安全计算环境日益复杂多样以及网络带宽不断增长的挑战,需要重点研究密码与安全协议的新机制、新设计和新的分析方法,研究高速、低功耗密码运算模块的设计、分析和实现技术,研究非常规的密码和协议设计方法,也包括研究各类环境下的安全协议设计等。3.1密码理论与技术及其发展趋势密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形、量子密码、基于生物特征的识别理论与技术)。目前最为人们所关注的实用密码技是PKI技术。国外的PKI应用已经开始,开发PKI的厂商也有多家。许多厂家,如Baltimore、Entrust等推出了可以应用的PKI产品,有些公司如VerySign等已经开始提供PKI服务。许多网络公司正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此,总的说来,PKI技术仍在发展中。按照国外一些调查公司的说法,PKI系统仅仅还是在做示范工程。IDC公司的Internet安全资深分析家认为:PKI技术将成为所有应用的计算基础结构的核心部件,包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。目前国际上对非数学的密码理论与技术非常关注,讨论也非常活跃。信息隐藏将在未来网络中保护信息免于破坏起到重要作用,信息隐藏是网络环境下把机密信息隐藏在大量信息中不让对方发觉的一种方法。特别是图像叠加、数字水印、潜信道、隐匿协议等的理论与技术的研究已经引起人们的重视。基于生物特征(比如手形、指纹、语音、视网膜、虹膜、脸形、DNA等)的识别理论与技术已有所发展,形成了一些理论和浅谈信息安全前沿技术及发展趋势1829技术,也形成了一些产品,这类产品往往由于成本高而未被广泛采用。密码技术特别是加密技术是信息安全技术中的核心技术,国家关键基础设施中不可能引进或采用别人的加密技术,只能自主开发。目前我国在密码技术的应用水平方面与国外还有一定的差距,我们应在现有理论和技术基础上充分吸收国外先进经验形成自主的、创新的密码技术以适应国民经济的发展。3.2安全协议理论与技术及其发展趋势安全协议的研究主要包括两方面内容,即安全协议的安全性分析方法研究和各种实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类,一类是攻击检验方法,一类是形式化分析方法,其中安全协议的形式化分析方法是安全协议研究中最关键的研究问题之一,它的研究始于80年代初,目前正处于百花齐放,充满活力的状态之中。许多一流大学和公司的介入,使这一领域成为研究热点。随着各种有效方法及思想的不断涌现,这一领域在理论上正在走向成熟。目前,已经提出了大量的实用安全协议,有代表的有:电子商务协议,IPSec(ipsecurity,ip安全性)协议,TLS协议,简单网络管理协议(SNMP),PGP(prettygoodprivacy,可靠加密)协议,PEM(privateenhancedmail增强保密的邮件)协议,S-HTTP协议,S/MIME协议等。实用安全协议的安全性分析特别是电子商务协议(secureelectronictransaction,set),IPSec协议,TLS协议是当前协议研究中的另一个热点。在安全协议的研究中,除理论研究外,实用安全协议研究的总趋势是走向标准化。我国学者虽然在理论研究方面和国际上已有协议的分析方面做了一些工作,但在实际应用方面与国际先进水平还有一定的差距,当然,这主要是由于我国的信息化进程落后于先进国家的原因。4安全体系结构理论与技术及其发展趋势安全体系结构理论与技术主要包括:安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,符合这些模型、策略和准则的系统的研制(比如安全操作系统,安全数据库系统等)。我国在系统安全的研究与应用方面与先进国家和地区存在很大差距。近几年来,在我国进行了安全操作系统、安全数据库、多级安全机制的研究,但由于自主安全内核受控于人,难以保证没有漏洞。而且大部分有关的工作都以美国1985年的TCSEC标准为主要参照系。开发的防火墙、安全路由器、安全网关、黑客入侵检测系统等产品和技术,主要集中在系统应用环境的较高层次上,在完善性、规范性、实用性上还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大距离,其理论基础和自主的技术手段也有待于发展和强化。然而,我国的系统安全的研究与应用毕竟已经起步,具备了一定的基础和条件。1999年10月发布了计算机信息系统安全保护等级划分准则,该准则为安全产品的研制提供了技术支持,也为安全系统的建设和管理提供了技术指导。4.1信息安全新技术开发与安全测试评估的模型和工具为了弥补理论、技术与需求之间的差异,需要研究各类信息安全新技术开发所需的模型,研制一批信息安全技术开发所需的基础工具,包括高性能安全芯片开发模型和工具、信息安全算法研制原形工具、安全协议开发和分析工具等。还需要研究面向信息系统的安全测试评估,研制基础性的测试评估工具,包括信息安全产品及其安全性的测试评估方法和工具、信息系统安全测试评估工具、网络信息系统安全态势与预测系统等。4.2主动实时防护模型和技术亟需研究保障网络和信息系统安全的主动实时防护模型和关键技术,开发主动实时防护原型工具和系统,突破一批主动实时防护关键技术。应重点研究支撑构建高柔性免受攻击的网络与信息系统的安全关键技术和方法、故障容忍和重庆市电机工程学会2012年学术会议论文1830弹性原型系统、攻击与攻击防护模型和关键技术、可组合与可升级的安全技术和原型系统以及主动实时防护的新模型、新技术和新方法等。4.3逆向分析与可控性技术为加强对平台系统和软件系统本身的保护,需要重点研究操作系统、网络设备系统和软件系统的自我保护技术。而从相反的方向,为了实现对信息安全相关产品的控制,需要研究逆向分析的原理和技术。5网络安全与安全产品及其发展趋势网络安全是信息安全中的重要研究内容之一,也是当前信息安全领域中的研究热点。研究内容包括:网络安全整体解决方案的设计与分析,网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护,免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。它是一个涉及网络、操作系统、数据库、应用系统、人员管理等方方面面的事情,必须综合考虑。目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网(VPN)、安全服务器、电子签证机构--CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统(IDS)、安全数据库、