《信息安全论文117149.docx》由会员分享,可在线阅读,更多相关《信息安全论文117149.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全全论文200881155132258信 息 0811李 海 林信息安全全论文摘要:随随着信息息技术的的不断发发展,信信息安全全技术已已经越来来越被人人们所重重视。首首先介绍绍了信息息安全的的起源、近近几年由由于安全全问题所所带来的的巨大损损失,然然后给出出了信息息安全的的几个定定义以及及它的特特点,具具体分析析了信息息安全所所面对的的不同方方面的威威胁。同时简简单的介介绍了信信息安全全的体系系结构,具具体的介介绍了信信息安全全技术的的两个重重要的技技术:密密码技术术和网络络防御技技术。其其中密码码技术包包括基于于数学的的密码技技术和基基于非数数学的密密码技术术,网络络防御技技术主要要讲
2、的是是防火墙墙技术。最最后对未未来进行行了一些些期望,希希望能够够及时的的掌握技技术,避避免过多多的损失失。关键词:信息技技术;信息安安全技术术;密码技技术;防火墙墙技术1引言 信息安安全起源源于计算算机安全全。计算算机安全全就是计计算机硬硬件的物物理位置置远离外外部威胁胁,同时时确保计计算机软软件正常常、可靠靠地运行行,随着着网络技技术不断断地发展展,计算算机安全全的范围围也在不不断地扩扩大,其其中涉及及到数据据的安全全、对数数据的随随机访问问限制和和对未授授权访问问的控制制等问题题。由此此,单纯纯的计算算机安全全开始向向信息安安全演进进。互联联网的出出现使得得这种通通信更加加频繁,由由此而
3、衍衍生出来来的信息息安全问问题层出出不穷。近年来,百度收索引擎被恶意攻击,致使服务器瘫痪;腾讯公司业务系统黑客入侵后得到权限,并被勒索百万人民币。2008年公安部网监局调查了7起网络木马程序案件,每起案件的木马销售获利均超过1000万元,据有关方面统计,目前美国由于每年网络信息安全问题而遭到的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,日本、新加坡在这方面的问题也很严重。另一方面,病毒、流氓软件的大肆泛滥又让人们开始对杀毒软件产生怀疑,杀毒软件永远落后于病毒的传播,因此人们对不断更新变种的病毒防不胜防。2信息安安全定义义“信息安安全”曾经仅仅是学术术界所关关心的事事情,就就像“计
4、算机机”、“网络”这些术术语一样样,以前前都是学学术界从从事具体体研究的的人员想想了解其其究竟解解决相关关问题。但但是随着着互联网网的普及及,信息息安全已已经变得得家喻户户晓,危危及到信信息安全全的因素素也越来来越多,因因此对它它的重视视程度也也在逐渐渐提高。由由于理解解的形式式不同,国国内外对对“信息安安全”没有统统一的定定义。中华人人民共和和过计算算机信息息系统安安全保护护条例的的定义:“保障计计算机及及其相关关的和配配套的设设备、设设施(网络)的安全全,运行行环境的的安全,保保障信息息安全,保保障计算算机功能能的正常常发挥,以以维护计计算机信信息系统统的安全全”。国家家信息安安全重点点实
5、验室室的定义义:“信息安安全涉及及到信息息的机密密性、完完整性、可可用性、可可控性。综综合起来来说,就就是要保保障电子子信息的的有效性性”。国际际标准化化委员会会的定义义:“为数据据处理系系统而采采取的技技术的和和管理的的安全保保护,保保护计算算机硬件件、软件件、数据据不因偶偶然的或或恶意的的原因而而遭到破破坏、更更改、显显露”。广义的信信息安全全是指网网络系统统的硬件件、软件件及其系系统中的的信息受受到保护护。信息息安全又又以下几几个特性性:(1)保保密性:保护数数据不受受非法截截获和未未经授权权浏览。对对于敏感感数据的的传输尤尤为重要要,同时时也是通通信网络络中处理理用户的的私人信信息所必
6、必须的。存储信息的机密性主要通过访问控制来实现,不同的用户对不同的数据拥有不同的权限。(2)完完整性:能保障障被传输输、接收收或存储储的数据据是完整整的和未未被篡改改的特性性。对于于保证重重要数据据的精确确性尤为为关键。除了数据本身不能破坏外,数据的完整性还要求数据的来源具有正确性和可信性。(3)可可控性:保证信信息和信信息系统统的授权权认证和和监控管管理。可可确保某某个实体体(人或或系统)的身份份的真实实性,也也可确保保执政者者对社会会的执法法管理行行为。(4)可可用性:尽管存存在可能能的突发发事件如如供电中中断、自自然灾害害、事故故或攻击击等,但但用户依依然可得得到或使使用数据据,服务务也
7、处于于正常运运转状态态。当然然,数据据不可用用也可能能是由软软件缺陷陷造成的的,如微微软的WWinddowss总是有有缺陷被被发现。(5)非非否认性性:能够够保证信信息行为为人不能能否认其其信息行行为。可可防止参参与某次次通信交交换的一一方事后后否认本本次交换换曾经发发生过。数据签名技术是解决不可否认性的重要手段之一。总体来看看,信息息安全就就是要保保证信息息的基本本属性不不被破坏坏,信息息按照发发送方的的意愿成成功被接接收方接接收。3信息安安全面对对的威胁胁计算机网网络所面面临的威威胁大体体可分为为两种:一是对对网络中中信息的的威胁;二是对对网络中中设备的的威胁。影影响计算算机网络络的因素素
8、很多,有有些因素素可能是是有意的的,也可可能是无无意的;可能是是人为的的,也可可能是非非人为的的;可能能是外来来黑客对对网络系系统资源源的非法法使有,归归结起来来,针对对网络安安全的威威胁主要要有以下下几种:(1)人人为的无无意失误误。如操操作员安安全配置置不当造造成的安安全漏洞洞,用户户安全意意识不强强,用户户口令选选择不慎慎,用户户将自己己的账号号随意转转借他人人或与别别人共享享等都会会对网络络安全带带来威胁胁。(2)人人为的恶恶意攻击击。这是是计算机机网络所所面临的的最大威威胁,敌敌手的攻攻击和计计算机犯犯罪就属属于这一一类。此此类攻击击又可以以分为以以下两种种:一种种是主动动攻击,它它
9、以各种种方式有有选择地地破坏信信息的有有效性和和完整性性;另一一类是被被动攻击击,它是是在不影影响网络络正常工工作的情情况下,进进行截获获、窃取取、破译译以获得得重要机机密信息息。这两两种攻击击均可对对计算机机网络造造成极大大的危害害,并导导致机密密数据的的泄漏。(3)网网络软件件的漏洞洞、“后门”和自然然灾害。网网络软件件不可能能是百分分之百的的无缺陷陷和无漏漏洞的,然然而,这这些漏洞洞和缺陷陷恰恰是是黑客进进行攻击击的首选选目标,曾曾经出现现过的黑黑客攻入入网络内内部的事事件,这这些事件件的大部部分就是是因为安安全措施施不完善善所招致致的苦果果。另外外,软件件的“后门”都是软软件公司司的设
10、计计编程人人员为了了自便而而设置的的,一般般不为外外人所知知,但一一旦“后门洞开,其其造成的的后果将将不堪设设想。自自然灾害害包括地地震、雷雷击、洪洪水等,可可直接导导致物理理设备的的损害或或零部件件故障,这这类威胁胁具有突突发性 、自然然性和不不可抵抗抗性等特特点,当当然还有有环境的的干扰。4信息安安全的体体系结构构信息安全全是一个个完整、系系统的概概念,它它既是一一个理论论问题,又又是一个个工程实实践问题题。由于于计算机机网络的的开放性性、复杂杂性和多多样性,使使得网络络安全系系统需要要一个完完整的、严严谨的体体系结构构来保证证。19995年年ISOO颁布了了ISOO GB/T93887.
11、22-19995标标准,即即五大类类安全服服务、八八大种安安全机制制和相应应的安全全管理标标准。其中五大大类安全全服务包包括认证证服务、访访问控制制服务、数数据保密密性服务务、数据据完整性性服务和和抗否认认性服务务。(1) 认证服务务:提供供对通信信中对等等实体和和数据来来源的认认证。(2)访访问控制制服务:用来防防止未授授权用户户非法使使用系统统资源,包包括用户户身份认认证和用用户权限限确认。(3)数数据保密密性服务务:为防防止网络络个系统统之间交交换的数数据被截截获或被被非法存存取而泄泄密,提提供机密密保护。同同时,对对有可能能通过观观察信息息流就能能推导出出信息的的情况进进行防范范。(4
12、)数数据完整整性服务务:用于于阻止非非法实体体对交换换数据的的修改、插插入、删删除以及及在数据据交换过过程中的的数据丢丢失。(5)抗抗否认性性服务:用于防防止发送送方在发发送数据据后否认认发送和和接收方方在接收收到数据据后否认认受到或或者伪造造数据的的行为。八大种安安全机制制包括加加密机制制、数字字签名机机制、访访问控制制机制、数数据完整整性机制制、认证证机制、业业务流填填充机制制、路由由控制机机制、公公正机制制。5信息安安全技术术信息安全全是一个个综合、交交叉学科科领域,它它要综合合利用数数学、物物理、生生物、通通信和计计算机诸诸多学科科的长期期知识积积累和最最新发展展成果,进进行自主主创新
13、研研究,研研制相关关的应用用产品。具体来来说,信信息安全全包括的的技术有有:密码码技术、网网络防御御技术、网网络攻击击技术、信信息隐藏藏技术、应应用层安安全技术术等等。5.1密密码技术术密码理论论与技术术主要包包括两部部分,即即基于数数学的密密码理论论与技术术(包括公公钥密码码、分组组密码、序序列密码码、认证证码、数数字签名名、Haash函函数、身身份识别别、密钥钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。5.1.1基于于数学的的密码技技术基于数学学的密码码技术分分为经典典密码学学技术、对对称密码码学技术术、非对对称密码码学技术术。经
14、典典密码技技术出现现比较早早,比较较简单而而且容易易破译。对对称密码码体制(Symmmettricc Keey CCryttogrraphhy)中,加加密和解解密采用用相同的的密钥,所所以需要要通信的的双方必必须选择择和保存存他们共共同的密密钥,各各方必须须信任对对方不会会将密钥钥泄密出出去。这这样就可可以实现现数据的的机密性性和完整整性。非非对称密密码体制制(Asyymmeetriic KKey Cryytoggrapphy)也叫公公钥加密密技术(Pubblicc Keey CCryttogrraphhy),该技技术就是是针对对对称密码码体制的的缺陷被被提出来来的。在在公钥加加密系统统中,加
15、加密和解解密是相相对独立立的,加加密和解解密会使使用两“把”不同的的密钥,加加密密钥钥(公开开密钥)向公众众公开,解解密密钥钥(秘密密密钥)只有解解密人自自己知道道,非法法使用者者根据公公开的加加密密钥钥无法推推算出解解密密钥钥,故称称为公钥钥密码体体制。公钥密码码体制的的算法中中最著名名的代表表是RSSA系统统,此外外还有背背包密码码、MccEliiecee密码、DDifffeHHelllmann、Rabbin、椭圆曲曲线、EEIGaamall算法等等。公钥钥密钥的的密钥管管理比较较简单,并并且可以以方便的的实现数数字签名名和验证证。但缺缺点是算算法复杂杂,运算算量大,加加密数据据的速率率较
16、低。因因此,常常用来对对少量关关键数据据(例如如对称加加密算法法的密钥钥)进行行加密,或或者用于于数字签签名。5.1.2基于于非数学学的密码码技术国际上对对非数学学的密码码理论与与技术非非常关注注。其中中以量子子密码最最为引人人注目。1969年美国哥伦比亚大学的Wiesner革命性地提出了共轭编码的概念,多年后,源于共轭编码概念的量子密码理论与技术取得了令人惊异的进步,已先后在自由空间和商用光纤中完成了单光子密钥交换协议,英国BT实验室通过30公里的光纤信道实现了每秒20k比特的密钥分配。近年来,英、美、日等国的许多大学和研究机构竞相投入到量子密码的研究之中,但总的来说,量子密码技术距离实用仍
17、然有一定差距。信息隐藏藏将在未未来网络络中保护护信息免免于破坏坏起到重重要作用用,信息息隐藏是是网络环环境下把把机密信信息隐藏藏在大量量信息中中不让对对方发觉觉的一种种方法。特特别是图图像叠加加、数字字水印、潜潜信道、隐隐匿协议议等的理理论与技技术的研研究已经经引起人人们的重重视。119966年以来来,国际际上召开开了多次次有关信信息隐藏藏的专业业研讨会会。基于于生物特特征(比比如手形形、指纹纹、语音音、视网网膜、虹虹膜、脸脸形、DDNA等等)的识识别理论论与技术术已有所所发展,形形成了一一些理论论和技术术,也形形成了一一些产品品,这类类产品往往往由于于成本高高而未被被广泛采采用。在防止信信息
18、泄漏漏的相关关技术中中,加密密技术具具有绝对对的优势势。可以以说,加加密技术术是信息息安全领领域最后后的堡垒垒。但是是,现有有的加密密算法已已被破解解殆尽,甚甚至国际际通用的的两大密密码算法法MD55和SHAA-1亦亦不能幸幸免,两两者均被被来自中中国的王王小云教教授破译译,破译译时间分分别是220044年和20006年年。也就就是说在在现有技技术体系系下,一一旦非法法窃取者者能够窃窃取揭秘秘方案或或者能够够破译加加密算法法,信息息仍可能能会大量量泄露5.2网网络防御御技术到目前为为止,网网络防御御技术分分为两大大类:被被动防御御技术和和主动防防御技术术。被动动防御技技术是基基于特定定特征的的
19、、静态态的、被被动式的的防御技技术,主主要有防防火墙技技术、漏漏洞扫描描技术、入入侵检测测技术、病病毒扫描描技术等等;主动动防御技技术是基基于自学学习和预预测技术术的主动动式防御御技术,主主要有入入侵防御御技术、计计算机取取证技术术、蜜罐罐技术、网网络自生生存技术术等。5.2.1防火火墙技术术“防火墙墙”是一个个通用术术语,是是指在两两个网络络之间执执行控制制策略的的系统,是是在网络络边界上上建立的的网络通通信监控控系统,用用来保障障计算机机网络的的安全,它它是一种种控制技技术,既既可以是是一种软软件产品品,又可可以制作作或嵌入入到某种种硬件产产品中。防防火墙通通常是由由软件系系统和硬硬件设备
20、备组合而而成,在在内部网网和外部部网之间间构建起起安全的的保护屏屏障。从从逻辑上上讲,防防火墙是是起分隔隔、限制制、分析析的作用用。防火火墙是网网络安全全策略的的有机组组成部分分,它通通过控制制和监测测网络之之间的信信息交换换和访问问行为来来实现对对网络安安全的有有效管理理。防火火墙现在在己成为为各企业业网络中中实施安安全保护护的核心心。防火墙一一般有以以下几个个功能:(1) 限制他人人进入内内部网络络,过滤滤掉不安安全服务务和非法法用户;(2) 防止入侵侵者接近近其他防防御设备备;(3) 限制用户户访问特特殊站点点;(4) 为监视IInteerneet的安安全提供供方便。防火墙的的发展经经过
21、了五五个阶段段。第一一代防火火墙几乎乎是与路路由器同同时出现现,采用用了包过过滤技术术;第二二代防火火墙是贝贝尔实验验室19989年年推出的的电路层层火墙,同同时提出出了第三三代防火火墙应用层层防火墙墙(代理理防火墙墙)的初初步结构构;19994年年以色列列的ChheckkPoiint公公司开发发出采用用状态监监视技术术的第四四代防火火墙;119988年,NAAI推出出了采用用自适应应代理技技术的防防火墙,标标志着第第五代防防火墙的的诞生。目前的防防火墙主主要有两两种类型型:其一,是是包过滤滤型防火火墙。它它一般由由路由器器实现,故故也被称称为包过过滤路由由器。它它在网络络层对进进出内部部网络
22、的的所有信信息进行行分析,一一般检查查数据包包的IPP源地址址、IPP目标地地址、TTCP端端口号、ICMP消息类型,并按照信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的规则允许或拒绝流动的数据,如:Telnet服务器在TCP的23号端口监听远程连接,若管理员想阻塞所有进入的Telnet连接,过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提
23、供日志,这样一来就无法发现黑客的攻击纪录。其二,是是应用级级防火墙墙。大多多数的应应用级防防火墙产产品使用用的是应应用代理理机制,内内置了代代理应用用程序,可可用代理理服务器器作内部部网和IInteerneet之间间的转换换。若外外部网的的用户要要访问内内部网,它它只能到到达代理理服务器器,若符符合条件件,代理理服务器器会到内内部网取取出所需需的信息息,转发发出去。同同样道理理,内部部网要访访问Innterrnett,也要要通过代代理服务务器的转转接,这这样能监监控内部部用户访访问Innterractt这类类防火墙墙能详细细记录所所有的访访问纪录录,但它它不允许许内部用用户直接接访问外外部,会
24、会使速度度变慢。且且需要对对每一个个特定的的Intternnet服服务安装装相应的的代理服服务器软软件,用用户无法法使用未未被服务务器支持持的服务务。6结束束人们越来来越关注注信息安安全,而且随着着研究的的不断深深入,许许多新技技术不断断的涌现,如如密罐系系统、椭椭圆曲线线密码体体制、量量子密码码等都提提供了新新的发展展方向和和更好的的安全性性。但是是,目前前由于国内内大部分分安全产产品很少少具有自自主知识识产权。它们基本上都来源于开放源代码的技术。因此我们极其需要自主产权的技术、产品。需要创新性的技术理念和成果。这也是所有信息安全领域内的科研和企业界技术、管理人员共同的责任和任务。这一切应该引起政府相关主管部门的重视和关注并进行适当的引导和推动。只有理解吸收现有技术,及时了解掌握新技术,才能不断提高安全系统的防护能力,才能在信息安全的争夺战中先行一步。参考文献献1周周学广、刘刘艺信信息安全全学MM第第1版北京:机械工工业出版版社2200332北北京启明明星辰信信息技术术公司网络信信息安全全技术基基础MM第第1版北北京:电电子工业业出版社社200023赵赵泽茂等等.信息安安全技术术M.西安安:西安安电子科科技大学学出版社社,200094王王国鑫等等.信息安安全技术术发展趋趋势MM.分分析办公公自动化化,20008(3)