網路安全生態系統尚處於發展初期,相兄蘆關技術、法律、政策、組織機構、技能、合作等內容正在逐步建立和完善,且處於快速發展的階段。
網路安全包含網路設備安全、網路信息安殲螞全、網路軟體安全,是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因羨改帶而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
B. 計算機信息安全在國外發展趨勢
國外目前不僅在密碼基礎理論方面的研究做的很好,而且在實際應用方面也做的非常好。制定了一系列的密碼標准,特別規范。演算法的徵集和討論都已經公開化,但密碼技術作為一種關鍵技術,各國都不會放棄自主權和控制權,都在爭奪霸權地位。美國這次徵集AES的活動就充分體現了這一點游差雀,歐洲和日本就不願意袖手旁觀,他們也採取了相應的措施,其計劃比美國更宏大,投資力度更大。我國在密碼基礎理論的某些方面的研究做的很好,但在實際應用方面與國外的差距較大,沒有自己的標准,也不規范。
目前最為人們所關注的實用密碼技術是PKI技術。國外的PKI應用已經開始,開發PKI的廠商也有多家。許多廠家,如Baltimore,Entrust等推出了可以應用的PKI產品,有些公司如VerySign等已經開始提供PKI服務。網路許多應用正在使用PKI技術來保證網路的認證、不可否認、加解密和密鑰管理等。盡管如此,總的說來PKI技術仍在發展中。按照國外一些調查公司的說法,PKI系統僅僅還是在做示範工程。IDC公司的Internet安全知深分析家認為:PKI技術將成為所有應用的計算基礎結構的核心部件,包括那些越出傳統網路界限的應用。B2B電子商務活動需要的認證、不可否認等只有PKI產品才有能力提供這些功能。
目前國際上對非數學的密碼理論與技術(包括信息隱形,量子密碼,基於生物特徵的識別理論與技術等)非常關注,討論也非常活躍。信息隱藏將在未來網路中保護信息免於破壞起到重要作用,信息隱藏是網路環境下把機密信息隱藏在大量信息中不讓對方發覺的一種方法。特別是圖象疊加、數字水印、潛信道、隱匿協議等的理論與技術的研究已經引起人們的重視。1996年以來,國際上召開了多次有關信息隱藏的專業研討會。基於生物特徵(比如手形、指紋、語音、視網膜、虹膜、臉形、DNA等)的識別理論與技術已有所發展,形成了一些理論和技術,也形成了一些產品,這類產品往往由於成本高而未被廣泛採用。1969年美國哥倫比亞大學的Wiesner創造性地提出了共軛編碼的概念,遺憾的是他的這一思想當時沒神早有被人們接受。十年後,源於共軛編碼概念的量子密碼理論與技術才取得了令人驚異的進步,已先後在自由空間和商用光纖中完成了單光子密鑰交換協議,英國BT實驗室通過30公里的光纖信道實現了每秒20k比特的密鑰分配。近年來,英、美、日等國的許多大學和研究機構競相投入到量子密碼的研究之中,更大的計劃在歐洲進行。到目前為止,主要有三大類量子密碼實現方案:一是基於單光子量子信道中測不準原理的;二是基於量子相關信道中Bell原理的;三是基於兩個非正交量子態性質的。但有許多問題還有待於研究。比如,尋找相應的量子效應以便提出更多的量子密鑰分配協議,量子加密理論的形成和完善,量子密碼協議的安全性分析方法研究,量子加密演算法的開發,量子密碼的實用化等。總的來說,非數學的密碼理論與技術還處於探索之中。
密碼技術特別是加密技術是信息安全技術中的核心技術,國家關鍵基礎設施中不可能引進或採用別人的加密技術,只能自主開發。目前我國在密碼技術的應用水平方面與國外還有一定的差距。國外的密碼技術必將對我們有一定的沖擊力,特別是在加入WTO組織後這種沖擊力只會有增無減。有些做法必須要逐漸與國際接軌,不能再採用目前這種關門造車的做法,因此,我們必須要有我們自己的演算法,自己的一套標准,自己的一套體系,來對付未來的挑戰。實用密碼技術的基礎是密碼基礎理論,沒有好的密碼理論不可能有好的密碼技術、也不可能有先進的、自主的、創新的密碼技術。因此,首先必須持之以恆地堅持和加強密碼基礎理論研究,與國際保持同步,這方面的工作必須要有政府的支持和投入。另一方面,密碼理論研究也是為了應用,沒有應用的理論是沒有價值的。我們應在現有理論和技術基礎上充分吸收國慶毀外先進經驗形成自主的、創新的密碼技術以適應國民經濟的發展。
特別值得一提的是歐洲大計劃NESSIE工程必將大大推動密碼學的研究和發展,我們應予以密切關注.
C. 誰能告訴我下防火牆的國內國外發展形勢
防火牆未來的技術發展趨勢
隨著新的網路攻擊的出現,防火牆技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火牆體系結構和防火牆系統管理三方面來體現。
1. 防火牆包過濾技術發展趨勢
(1). 一些防火牆廠商把在AAA系統上運用的用戶認證及其服務擴展到防火牆中,使其擁有可以支持基於用戶角色的安全策略功能。該功能在無線網路應用中非常必要。具有用戶身份驗證的防火牆通常是採用應用級網關技術的,包過濾技術的防火牆不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網路通信帶來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗證。
(2). 多級過濾技術
所謂多級過濾技術,是指防火牆採用多級過濾措施,並輔以鑒別手段。在分組過濾(網路層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數嫌則嘩據包如nuke包、聖誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火牆技術的不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。
這種過濾技術在分層上非常清楚,每種過濾技術對應於不同的網路層,從這個概念出發,又有很多內容可以擴展,為將來的防火牆技術發展打下基礎。
(3). 使防火牆具有病毒防護功能。現在通常被稱之為"病毒防火牆",當然目前主要還是在個人防火牆中體現,因為它是純軟體形式,更容易實現。這種防火牆技術可以有效地防止病毒在網路中的傳播,比等待攻擊的發生更加積極。擁有病毒防護功能的防火牆可以大大減少公司的損失。
2. 防火牆的體系結構發展趨勢
隨著網路應用的增加,對網路帶寬提出了更高的要求。這意味著防火芹行牆要能夠以非常高的速率處理數據。另外,在以後幾年裡,多媒體應用將會越來越普遍,它要求數據穿過防火牆所帶來的延遲要足夠小。為了滿足這種需要,一些防火牆製造商開發了基於ASIC的防火牆和基於網路處理器的防火牆。從執行速度的角度看來,基於網路處理器的防火牆也是基於軟體的解決方案,它需要在很大程度上依賴於軟體的性能,但是由於這類防火牆中有一些專門用於處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火牆的性能要比傳統防火牆的性能好許多。
與基於ASIC的純硬體防火牆相比,基於網路處理器的防火牆具有軟體色彩,因而更加具有靈活性。基於ASIC的防火牆使用專門的硬體處理網路數據流,比起前兩種類型的防火牆具有更好的性能。但是純硬體的ASIC防火牆缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火牆功能的快速發展。理想的解決方案是增加ASIC晶元的可編程性,使其與軟體更好地配合。這樣的防火牆就可以同時滿足來自靈活性和運行性能的要求。
3. 防火牆的系統管理發展趨勢
防火牆的系統管理也有一些發展趨勢,主要體現在以下幾個方面:
(1). 首先是集中式管理,分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本,並保證在大型網路中安全策略的一致性。快速響應和快速防禦也要求採用集中式管理系統。目前這種分布式防火牆早已在Cisco(思科)、3Com等大的網路設備開發商中開發成功,也就是目前所稱的"分布式防火牆"和"嵌入式防火牆"。關於這一新技術在本篇下面將詳細介紹。
(2). 強大的審計功能和自動日誌分析盯歷功能。這兩點的應用可以更早地發現潛在的威脅並預防攻擊的發生。日誌功能還可以管理員有效地發現系統中存的安全漏洞,及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火牆通常是比較高級的,早期的靜態包過濾防火牆是不具有的。
(3). 網路安全產品的系統化
隨著網路安全技術的發展,現在有一種提法,叫做"建立以防火牆為核心的網路安全體系"。因為我們在現實中發現,僅現有的防火牆技術難以滿足當前網路安全需求。通過建立一個以防火牆為核心的安全體系,就可以為內部網路系統部署多道安全防線,各種安全技術各司其職,從各方面防禦外來入侵。
如現在的IDS設備就能很好地與防火牆一起聯合。一般情況下,為了確保系統的通信性能不受安全設備的影響太大,IDS設備不能像防火牆一樣置於網路入口處,只能置於旁路位置。而在實際使用中,IDS的任務往往不僅在於檢測,很多時候在IDS發現入侵行為以後,也需要IDS本身對入侵及時遏止。顯然,要讓處於旁路偵聽的IDS完成這個任務又太難為,同時主鏈路又不能串接太多類似設備。在這種情況下,如果防火牆能和IDS、病毒檢測等相關安全產品聯合起來,充分發揮各自的長處,協同配合,共同建立一個有效的安全防範體系,那麼系統網路的安全性就能得以明顯提升。
目前主要有兩種解決辦法:一種是直接把IDS、病毒檢測部分直接"做"到防火牆中,使防火牆具有IDS和病毒檢測設備的功能;另一種是各個產品分立,通過某種通訊方式形成一個整體,一旦發現安全事件,則立即通知防火牆,由防火牆完成過濾和報告。目前更看重後一種方案,因為它實現方式較前一種容易許多。
三、分布式防火牆技術
在前面已提到一種新的防火牆技術,即分布式防火牆技術已在逐漸興起,並在國外一些大的網路設備開發商中得到了實現,由於其優越的安全防護體系,符合未來的發展趨勢,所以這一技術一出現便得到許多用戶的認可和接受。下面我們就來介紹一下這種新型的防火牆技術。
因為傳統的防火牆設置在網路邊界,外於內、外部互聯網之間,所以稱為"邊界防火牆(Perimeter Firewall)"。隨著人們對網路安全防護要求的提高,邊界防火牆明顯感覺到力不從心,因為給網路帶來安全威脅的不僅是外部網路,更多的是來自內部網路。但邊界防火牆無法對內部網路實現有效地保護,除非對每一台主機都安裝防火牆,這是不可能的。基於此,一種新型的防火牆技術,分布式防火牆(Distributed Firewalls)技術產生了。它可以很好地解決邊界防火牆以上的不足,當然不是為每對路主機安裝防火牆,而是把防火牆的安全防護系統延伸到網路中各對台主機。一方面有效地保證了用戶的投資不會很高,另一方面給網路所帶來的安全防護是非常全面的。
我們都知道,傳統邊界防火牆用於限制被保護企業內部網路與外部網路(通常是互聯網)之間相互進行信息存取、傳遞操作,它所處的位置在內部網路與外部網路之間。實際上,所有以前出現的各種不同類型的防火牆,從簡單的包過濾在應用層代理以至自適應代理,都是基於一個共同的假設,那就是防火牆把內部網路一端的用戶看成是可信任的,而外部網路一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火牆是一種主機駐留式的安全系統,它是以主機為保護對象,它的設計理念是主機以外的任何用戶訪問都是不可信任的,都需要進行過濾。當然在實際應用中,也不是要求對網路中每對台主機都安裝這樣的系統,這樣會嚴重影響網路的通信性能。它通常用於保護企業網路中的關鍵結點伺服器、數據及工作站免受非法入侵的破壞
D. 國外研究了3G網路安全的哪些問題
第三代移動通信系統(3G)在2G的基礎上進行了改進,繼承了2G系統安全的優點,同時針對3G系統的新特性,定義了更加完善的安全特徵與鑒權服務。未來的移動通信系統除了能夠提供傳統的語音、數據、多媒體業務外,還應當能支持電子商務、電子支付、股票交易、互聯網業務等,個人智能終端將獲得廣泛使用,移動通信網路最終會演變成開放式的網路,能向用戶提供開放式的應用程序介面,以滿足用戶的個性化需求。因此,網路的開放性以及無線傳輸的特性,使安全問題將成為整個移動通信系統的核心問題之一。
3G系統的面臨的安全問題與以往的移動通信網路有本質的不同:3G上最重要的安全問題將是IP網路的安全和基於IP技術的應用的 安全。其中IP網不僅指承載網,更是指業務網;IP應用也不僅指網際網路瀏覽、下載、郵件等應用,也包括承載在IP協議之上的移動通信系統控制信令和 數據。
安全威脅產生的原因來自於網路協議和系統的弱點,攻擊者可以利用網路協議和系統的弱點非授權訪問和處理敏感數據,或是干擾、濫用網路服務,對用戶和網路資源造成損失。按照攻擊的物理位置,對移動通信系統的安全威脅可以分為無線鏈路的威脅、對服務網路的威脅和對移動終端的威脅。主要威脅方式有以下幾種:
(1)竊聽,即在無線鏈路或服務網內竊聽用戶數據、信令數據及控制數據;
(2)偽裝,即偽裝成網路單元截取用戶數據、信令數據及控制數據,偽終端欺騙網路獲取服務;
(3)流量分析,即主動或被動流量分析以獲取信息的時間、速率、長度、來源及目的地;
(4)破壞數據的完整性,即修改、插入、重放、刪除用戶數據或信令數據以破壞數據的完整性;
(5)拒絕服務,即在物理上或協議上干擾用戶數據、信令數據及控制數據在無線鏈路上的正確傳輸,以實現拒絕服務攻擊;
(6)否認,即用戶否認業務費用、業務數據來源及發送或接收到的其他用戶的數據,網路單元否認提供的網路服務;
(7)非授權訪問服務,即用戶濫用許可權獲取對非授權服務的訪問,服務網濫用許可權獲取對非授權服務的訪問;
(8)資源耗盡,即通過使網路服務過載耗盡網路資源,使合法用戶無法訪問。
(9) 隨著網路規模的不斷發展和網路新業務的應用,還會有新的攻擊類型出現。
E. 什麼是網路安全 網路安全的發展現狀如何
1、網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
2、網路安全的發展現狀:隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。有很多是敏感運飢信息,甚至是國家機密。所運歷以難免會旁悄搜吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
F. 國際和國內的網路安全評價標准
計算機網路安全
編者按:"千里之提,潰於蟻穴"。配置再完善的防火牆、功能 再強大的入侵檢測系統、結構再復雜的系統密碼也擋不住內部人員從網管背後的一瞥。"微軟被黑案"的事例證明,當前企業網路最大的安全漏洞來自內部管理的不嚴密。因此網路安全,重在管理。那麼如何管理呢?請仔細研讀下文。
網路安全的重要性及現狀
隨著計算機網路的普及和發展,我們的生活和工作都越來越依賴於網路。與此相關的網路安全問題也隨之凸現出來,並逐漸成為企業網路應用所面臨的主要問題。那麼網路安全這一要領是如何提到人們的議事日程中來的呢?
1. 網路安全的概念的發展過程
網路發展的早期,人們更多地強調網路的方便性和可用性,而忽略了網路的安全性。當網路僅僅用來傳送一般性信息的時候,當網路的覆蓋面積僅僅限於一幢大樓、一個校園的時候,安全問題並沒有突出地表現出來。但是,當在網路上運行關鍵性的如銀行業務等,當企業的主要業務運行在網路上,當政府部門的活動正日益網路化的時候,計算機網路安全就成為一個不容忽視的問題。
隨著技術的發展,網路克服了地理上的限制,把分布在一個地區、一個國家,甚至全球的分支機構聯系起來。它們使用公共的傳輸信道傳遞敏感的業務信息,通過一定的方式可以直接或間接地使用某個機構的私有網路。組織和部門的私有網路也因業務需要不可避免地與外部公眾網直接或間接地聯系起來,以上因素使得網路運行環境更加復雜、分布地域更加廣泛、用途更加多樣化,從而造成網路的可控制性急劇降低,安全性變差。
隨著組織和部門對網路依賴性的增強,一個相對較小的網路也突出地表現出一定的安全問題,尤其是當組織的部門的網路就要面對來自外部網路的各種安全威脅,即使是網路自身利益沒有明確的安全要求,也可能由於被攻擊者利用而帶來不必要的法律糾紛。網路黑客的攻擊、網路病毒的泛濫和各種網路業務的安全要求已經構成了對網路安全的迫切需求。
2. 解決網路安全的首要任務
但是,上面的現狀僅僅是問題的一個方面,當人們把過多的注意力投向黑客攻擊和網路病毒所帶來的安全問題的時候,卻不知道內部是引發安全問題的根源,正所謂"禍起蕭牆"。國內外多家安全權威機構統計表明,大約有七八成的安全事件完全或部分地由內部引發。在一定程度上,外部的安全問題可以通過購置一定的安全產品來解決,但是,大多數的外部安全問題是由內部管理不善、配置不當和不必要的信息泄露引起的。因此,建立組織的部門的網路安全體系是解決網路安全的首要任務。
網路安全存在的主要問題
任何一種單一的技術或產品者無法滿足無法滿足網路對安全的要求,只有將技術和管理有機結合起來,從控制整個網路安全建設、運行和維護的全過程角度入手,才能提高網路的整體安全水平。
無論是內部安全問題還是外部安全問題,歸結起來一般有以下幾個方面:
1. 網路建設單位、管理人員和技術人員缺乏安全防範意識,從而就不可能採取主動的安全 措施加以防範,完全處於被動挨打的位置。
2. 組織和部門的有關人員對網路的安全現狀不明確,不知道或不清楚網路存在的安全隱 患,從而失去了防禦攻擊的先機。
3. 組織和部門的計算機網路安全防範沒有形成完整的、組織化的體系結構,其缺陷給攻擊 者以可乘之機。
4. 組織和部門的計算機網路沒有建立完善的管理體系,從而導致安全體系和安全控制措施 不能充分有效地發揮效能。業務活動中存在安全疏漏,造成不必要的信息泄露,給攻擊者以收集敏感信息的機會。
5. 網路安全管理人員和技術有員缺乏必要的專業安全知識,不能安全地配置和管理網路, 不能及時發現已經存在的和隨時可能出現的安全問題,對突發的安全事件不能作出積極、有序和有效的反應。
網路安全管理體系的建立
實現網路安全的過程是復雜的。這個復雜的過程需要嚴格有效的管理才能保證整個過程的有效性,才能保證安全控制措施有效地發揮其效能,從而確保實現預期的安全目標。因此,建立組織的安全管理體系是網路安全的核心。我們要從系統工程的角度構建網路的安全體系結構,把組織和部門的所有安全措施和過程通過管理的手段融合為一個有機的整體。安全體系結構由許多靜態的安全控制措施和動態的安全分析過程組成。
1. 安全需求分析 "知已知彼,百戰不殆"。只有明了自己的安全需求才能有針對性地構建適合於自己的安全體系結構,從而有效地保證網路系統的安全。
2. 安全風險管理 安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行風險評估,以組織和部門可以接受的投資,實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。
3. 制定安全策略 根據組織和部門的安全需求和風險評估的結論,制定組織和部門的計算機網路安全策略。
4. 定期安全審核 安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行。其次,由於網路安全是一個動態的過程,組織和部門的計算機網路的配置可能經常變化,因此組織和部門對安全的需求也會發生變化,組織的安全策略需要進行相應地調整。為了在發生變化時,安全策略和控制措施能夠及時反映這種變化,必須進行定期安全審核。 5. 外部支持 計算機網路安全同必要的外部支持是分不開的。通過專業的安全服務機構的支持,將使網路安全體系更加完善,並可以得到更新的安全資訊,為計算機網路安全提供安全預警。
6. 計算機網路安全管理 安全管理是計算機網路安全的重要環節,也是計算機網路安全體系結構的基礎性組成部分。通過恰當的管理活動,規范組織的各項業務活動,使網路有序地進行,是獲取安全的重要條件。
G. 電子商務安全問題國內外研究現狀
一、安全問題是實施電子商務的關鍵
傳統的交易是面對面的,比較容易保證建立交易雙方的信任關系和交易過程的安全性。而電子商務活動中的交易行為是通過網路進行的,買賣雙方互不見面,因而缺乏傳統交易中的信任感和安全感。美國密執安大學一個調查機構通過對23000名網際網路用戶的調查顯示,超過60%的人由於電子商務的安全問題而不願進行網上購物。任何個人、企業或商業機構以及銀行都不會通過一個不安全的網路進行商務交易,這樣會導致商業機密信息或個人隱私的泄露,從而導致巨大的利益損失。根據中國互聯網路信息中心(CNNIC)發布的「中國互聯網路發展狀況統計報告」,在電子商務方面,52.26%的用戶最關心的是交易的安全可靠性。由此可見,電子商務中的網路安全和交易安全問題是實現電子商務的關鍵之所在。
二、電子商務中的安全隱患和安全需求
1、電子商務中的安全隱患有:(1)篡改。電子的交易信息在網路上傳輸的過程中,可能被他人非法的修改,刪除或重放(指只能使用一次的信息被多次使用),從而使信息失去了真實性和完整性。(2)信息破壞。包括網路硬體和軟體的問題而導致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導致電子商務信息遭到破壞。(3)身份識別。如果不進行身份識別.第三方就有可能假冒交易一方的身份,以破壞交易.敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。而不進行身份識別,交易的一方可不為自己的行為負責任,進行否認,相互欺詐。(4)信息泄密。主要包括兩個方面,即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。
2、電子商務的安全性需求:電子商務的安全性需求可以分為兩個方面,一方面是對計算機及網路系統安全性的要求,表現為對系統硬體和軟體運行安全性和可靠性的要求、系統抵禦非法用戶入侵的要求等;另一方面是對電子商務信息安全的要求。(1)信息的保密性:指信息在存儲、傳輸及處理過程中不被他人竊取。(2)信息的完整性:包括信息在存儲中不被篡改和破壞,以及在傳輸過程中收到的信息和原發送信息的一致性。(3)信息的不可否認性:指信息的發送方不可否認已經發送的信息.接收方也不可否認已經收到的信息。(4)交易者身份的真實性:指交易雙方是確實存在的,不是假冒的。(5)系統的可靠性:指計算機及網路系統的硬體和軟體工作的可靠性,是否會因為計算機故障或意外原因造成信息錯誤、失效或丟失。
三、電子商務的安全技術
根據電子商務的這些安全性需求通常採用的安全技術主要有:密鑰加密技術、信息摘要技術、數字簽名、數字證書及CA認證。
1、密鑰加密技術:密碼加密技術有對稱密鑰加密技術和非對稱密鑰加密技術。
(1)對稱密鑰加密技術:對稱密鑰加密技術使用DES(Data En-cryption Standard)演算法,要求加密解密雙方擁有相同的密鑰,密鑰的長度一般為64位或56位。這種加密方法可以解決信息的保密問題,但又帶來了一些新的問題:一是在首次通信前,雙方必須通過網路以外的途徑傳遞統一的密鑰:二是當通信對象增多時,需要相應數量的密鑰,這就使密鑰管理和使用的難度增大;三是對稱加密是建立在共同保守秘密的基礎之上的,在管理和分發密鑰過程中,任何一方的泄露都會造成密鑰的失效,存在著潛在的危險和復雜的管理難度。
(2)非對稱密鑰加密技術:為了克服對稱密鑰加密技術存在的密鑰管理和分發上的問題,1976年Diffie和Hellman以及Merkle分別提出了公開密鑰密碼體制的思想:要求密鑰成對出現,一個為加密密鑰,另一個為解密密鑰,且不可能從其中一個推導出另一個。根據這種思想自1976年以來已經提出了多種公鑰加密演算法。公鑰加密演算法也稱為非對稱密鑰演算法,加密和解密的時候使用兩把密鑰,一把為公鑰,另一把為私鑰。私鑰只有自己知道,嚴密保管,公鑰和加密演算法則可以通過網路等渠道發布出去。公鑰加密演算法主要有:RSA、Fertezza、ElGama等。非對稱加密技術採用的是RSA演算法,是由Rivest、Shanir和Adle-man三人發明的。演算法如下:公鑰n=pq(p,q分別為兩個互異的大素數,必須要保密,n的長度大於512bit),選一個數e與(p-1)(q-1)互質,私鑰d=e-1(mod(p-1)(q-1)),加密:c=me(mod n)(其中m為明文,c為密文),解密:m=cd(mod n)。通信時,發送方用接收者的公鑰對明文加密後發送,接收方用自己的私鑰進行解密,這樣既解決了信息保密問題,又克服了對稱加密中密鑰管理與分發傳遞的問題。
2、信息摘要技術:密鑰加密技術只能解決信息的保密性問題,對於信息的完整性則可以用信息摘要技術來保證。信息摘要(Messagedigest)又稱Hash演算法,是Ron Rivest發明的一種單向加密演算法,指從原文中通過Hash演算法而得到一個有固定長度(128位)的散列值,不同的原文所產生的信息摘要必不相同,相同原文產生的信息摘要必定相同,因此信息摘要類似於人類的「指紋」,可以通過「指紋」去鑒別原文的真偽。信息摘要的使用過程如下:1、對原文使用Hash演算法得到信息摘要;2、將信息摘要與原文一起發送;3、接收方對接收到的原文應用Hash演算法產生一個摘要;4、用接收方產生的摘要與發送方發來的摘要進行對比,若兩者相同則表明原文在傳輸過程中沒有被修改,否則就說明原文被修改過
3、數字簽名:數字簽名(Digital Signature)是密鑰加密和信息摘要相結合的技術,可以保證信息的完整性和不可否認性。數字簽名的過程如下:1、發送方用自己的私鑰對信息摘要加密;2、發送方將加密後的信息摘要與原文一起發送;3、接收方用發送方的公鑰對收到的加密摘要進行解密;4、接收方對收到的原文用Hash演算法得到接收方的信息摘要;5、將解密後的摘要與接收方的信息摘要對比,相同說明信息完整且發送方身份是真實的,否則說明信息被修改或不是該發送者發送
由於私鑰是自己保管的他人無法仿冒,同時發送方也不能否認用自己的私鑰加密發送的信息,所以數字簽名解決了信息的完整性和不可否認性問題。數字簽名加密和密鑰加密技術不同,密鑰加密是發送方用接收方的公鑰加密,接收方在用自己的私鑰解密,是多對一的關系;而數字簽名中的加密是發送方用自己的私鑰對摘要進行加密,接收方用發送方的公鑰對數字簽名解密,是一對多的關系,表明公司的任何一個貿易夥伴都可以驗證數字簽名的真偽性。
4、數字證書與CA認證:非對稱加密技術和數字簽名技術都用到了公鑰,當交易的一方通過公開渠道得到了另一方的公鑰後,存在著這樣的問題:這個公鑰到底是不是真正屬於對方的,是否會有其他人假冒對方發布的公鑰。那麼如何確定網上交易雙方真實身份的確認,要用到由認證中心CA頒發的數字證書。
(1)數字證書:數字證書類似於現實生活中的身份證,它是標志網路用戶身份信息的一系列數據,用來在網路應用中識別通訊各方的身份。數字證書採用公鑰體制.即用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私鑰,用它進行解密和數字簽名;同時擁有一把公鑰並可以對外公開,用於信息加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據進行加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤的到達目的地了。用戶可以採用自己的私鑰對信息加以處理,由於私鑰僅為本人所有,所以能生成別人無法偽造的文件,也就形成了數字簽名。同時,由於數字簽名與信息的內容相關,因此經過簽名的文件如有改動,就會導致數字簽名的驗證過程失敗,這樣就可以保證文件的完整性。
(2)數字證書的內容:主要包括以下內容:1、證書擁有者的姓名;2、證書擁有者的公鑰;3、公鑰的有限期;4、頒發數字證書的單位;5、頒發數字證書單位的數字簽名;6、數字證書的序列號等。
(3)認證中心CA(Certificate Authority):認證中心是頒發數字證書的第三方權威機構。在電子交易中,商家、客戶、銀行的身份都要由認證中心來認證。因此認證中心主要有以下的功能:1、核發證書:核實申請人的各項資料是否真實,根據核實情況決定是否頒發數字證書。2、管理證書:檢查證書、廢除證書、更新證書。3、搜索證書:查找或下載個人(單位)的數字證書。4、驗證證書:可以幫助確定數字證書是否已被持有人廢除
電子商務的前途是光明的,但道路依然曲折,安全問題是阻礙電子商務廣泛應用的最大問題,改進數字簽名在內的安全技術措施、確定CA認證權的歸屬問題十分關鍵。
H. 國外的網路安全法律法規對我們有何啟示
在實踐上,應加強公私部門合作,加大網路安全保障力度。
可借鑒英國、歐盟等的做法。
成立網路犯罪中心,科學合理地劃分各個部門的職責;建立情報事務處理部門,負責網路安全威脅信息的搜集與研判;建立網路安全國際合作部門,負責加強國際網路安全合作。
加強公私部門之間的聯動機制,發揮公私部門的優勢。引導私營部門成立網路安全小組或協會,加強業內之間、業內與政府之間的網路安全威脅信息共享與溝通,提升應對網路威脅和攻擊的能力;同時可加強產學研和政企合作,通過企業與高校合作、政府與企業合作、政府與高校合作等多方機制,培養高學歷、高水平的網路安全人才。
一、關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
1.設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;
2.定期對從業人員進行網路安全教育、技術培訓和技能考核;
3.對重要系統和資料庫進行容災備份;
4.制定網路安全事件應急預案,並定期進行演練;
5.法律、行政法規規定的其他義務。
二、網路安全法下列用語的含義:
1.網路,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
2.網路安全,是指通過採取必要措施,防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網路處於穩定可靠運行的狀態,以及保障網路數據的完整性、保密性、可用性的能力。
3.網路運營者,是指網路的所有者、管理者和網路服務提供者。
4.網路數據,是指通過網路收集、存儲、傳輸、處理和產生的各種電子數據。
5.個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
法律依據:《中華人民共和國網路安全法》
第二十五條 網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
第二十六條 開展網路安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息,應當遵守國家有關規定。
第二十七條任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
I. 2015目前網路信息安全的現狀3000字
21世紀已經進入信息化時代,隨著信息技術的快速發展和廣泛應用,計算機網路在帶來信息資源共享等極大便利,同時也出現了許多網路安全問題,並成為信息安全的重要研究內容和社會需求最大的研究方向,不僅關繫到企事業機構的信息化建設與發展、對網路系統的正常使用、以及用戶資產和信息資源的風險,也關繫到國家安全和社會穩定,不僅成為各國關注的焦點,也成為熱門研究和人才需求的新領域。
國內外網路信息安全的現狀
【案例1】我國網路遭受攻擊近況。據國家互聯網應急中心CNCERT監測和國家信息安全漏洞共享平台CNVD發布的數據,2014年2月10日至16日一周境內被篡改網站數量為8965個,比上周增長79.7%;境內被植入後門的網站數量為1168個;針對境內網站的仿冒頁面數量為181個。其中,政府網站被篡改418個、植入後門的35個。感染網路病毒的主機數量約為69萬個,新增信息安全漏洞280個。
另據國家互聯網應急中心(CNCERT)的數據顯示,中國遭受境外網路攻擊的情況日趨嚴重。CNCERT抽樣監測發現,2013年1月1日至2月28日,境外6747台木馬或僵屍網路控制伺服器控制了中國境內190萬余台主機;其中位於美國的2194台控制伺服器控制了中國境內128.7萬台主機,無論是按照控制伺服器數量還是按照控制中國主機數量排名,美國都名列第一。
國內外網路安全威脅的現狀及主要因由,主要涉及以下5個方面:
(1)法律法規和管理不完善
隨著信息技術快速發展和廣泛應用,國內外的法律法規和管理政策等在解決信息資源保密性、完整性、可用性、可控性、可審查性等方面應用中出現的一些問題,顯得相對滯後且不夠健全與完善。出現了一些企事業機構或個人用戶法制觀念淡薄,對網路風險和隱患不甚了解,網路安全意識不強、自身管理措施和方法不完善等問題,甚至出現內部監守自盜案件。重技術、輕管理和網路安全知識不夠普及成為一個重要問題。
(2)企業和政府的側重點不一致
政府注重信息及網路安全的可管性和可控性,企業則注重其可用性、效益和可靠性。由國際標准化組織ISO制定的OSI協議及美國政府組織的KRS系統等,由於不受企業歡迎而難以實施和推廣。在一些欠發達國家或地區,對網路安全技術重視不夠,經費投入無法滿足實際需要,或時常被擠占或挪用。
(3)網路安全規范和標准不統一
網路安全是一個系統工程,只有統一技術的規范標准,才能更好地進行實施。西方發達國家計算機網路技術最先進且對網路安全很重視,也同樣存在網路安全規范和標准等問題。西歐國家則實行另一套信息安全標准,在原理和結構上與美國也有異同。
(4)網路安全技術和手段滯後
計算機網路技術不斷快速發展,伴隨的各種網路安全問題層出不窮,網路攻擊及計算機病毒變化多端。相應的網路安全技術和手段相對滯後,更新不及時、不完善。
(5)網路安全風險和隱患增強
在現代信息化社會,電子商務、網路銀行、電子政務、辦公自動化和其他各種業務的應用對計算機網路的依賴程度越來越高,計算機網路的開放性、共享性、交互性和分散性等特點,以及網路系統及協議等從設計到實現自身存在的安全漏洞、缺陷和隱患,致使網路存在著巨大的風險和威脅,詳見1.2.3介紹。各種惡意攻擊、計算機病毒、垃圾郵件和廣告等也嚴重影響了網路的正常應用。全球平均不足15秒就發生一次黑客入侵事件,全世界每年因網路安全問題造成的經濟損失達幾千億美元。
注意:計算機病毒防範技術、網路防火牆技術和入侵檢測技術,常被稱為網路安全技術的三大主流。這些傳統的安全「老三樣」為網路安全建設起到了重要作用,卻具有一定局限性,也存在許多新的問題:計算機病毒防範技術滯後於實際的發生各種新病毒及繁衍變異。用戶在系統中安裝了防火牆後,卻難以避免垃圾郵件、病毒傳播和拒絕服務的侵擾。入侵檢測技術在提前預警、精確定位、實時交互、整體性、漏報誤報率和全局管理等方面存在著先天不足。另外,內網的安全還包含安全策略的執行、外來非法侵入、補丁更新及合規管理等問題。
摘自:網路安全技術與實踐,賈鐵軍主編,高等教育出版社2014.8
J. 信息安全技術 與此課題有關的國內,國外研究情況、課題研究的主要內容、目的和意義
熱心相助
您好!
國內外網路安全技術研究現狀
1.國外網路安全技術的現狀
(1)構建完善網路安全保障體系
針對未來網路信息戰和各種網路威脅、安全隱患越來越暴露的安全問題。新的安全需求、新的網路環境、新的威脅,促使美國和其他很多發達國家為具體的技術建立一個以深度防禦為特點的整體網路安全平台——網路安全保障體系。
(2)優化安全智能防禦技術
美國等國家對入侵檢測、漏洞掃描、入侵防禦技術、防火牆技術、病毒防禦、訪問控制、身份認證等傳統的網路安全技術進行更為深入的研究,改進其實現技術,為國防等重要機構研發了新型的智能入侵防禦系統、檢測系統、漏洞掃描系統、防火牆、統一資源管理等多種安全產品。
另外,美國還結合生物識別、公鑰基礎設施PKI(Public Key Infrastructure )和智能卡技術研究訪問控制技術。美國軍隊將生物測量技術作為一個新的研究重點。從美國發生了恐怖襲擊事件,進一步意識到生物識別技術在信息安全領域的潛力。除利用指紋、聲音成功鑒別身份外,還發展了遠距人臉掃描和遠距虹膜掃描的技術,避免了傳統識別方法易丟失、易欺騙等許多缺陷。
(3)強化雲安全信息關聯分析
目前,針對各種更加復雜及頻繁的網路攻擊,加強對單個入侵監測系統數據和漏洞掃描分析等層次的雲安全技術的研究,及時地將不同安全設備、不同地區的信息進行關聯性分析,快速而深入地掌握攻擊者的攻擊策略等信息。美國在捕獲攻擊信息和掃描系統弱點等傳統技術上取得了很大的進展。
(4)加強安全產品測評技術
系統安全評估技術包括安全產品評估和信息基礎設施安全性評估技校。
美國受恐怖襲擊「9.11」事件以來,進一步加強了安全產品測評技術,軍隊的網路安全產品逐步採用在網路安全技術上有競爭力的產品,需要對其進行嚴格的安全測試和安全等級的劃分,作為選擇的重要依據。
(5)提高網路生存(抗毀)技術
美軍注重研究當網路系統受到攻擊或遭遇突發事件、面臨失效的威脅時,盡快使系統關鍵部分能夠繼續提供關鍵服務,並能盡快恢復所有或部分服務。結合系統安全技術,從系統整體考慮安全問題,是網路系統更具有韌性、抗毀性,從而達到提高系統安全性的目的。
主要研究內容包括進程的基本控制技術、容錯服務、失效檢測和失效分類、服務分布式技術、服務高可靠性控制、可靠性管理、服務再協商技術。
(6)優化應急響應技術
在美國「9.11」 襲擊事件五角大樓被炸的災難性事件中,應急響應技術在網路安全體系中不可替代的作用得到了充分的體現。僅在遭受襲擊後幾小時就基本成功地恢復其網路系統的正常運作,主要是得益於事前在西海岸的數據備份和有效的遠程恢復技術。在技術上有所准備,是美軍五角大樓的信息系統得以避免致命破壞的重要原因。
(7)新密碼技術的研究
美國政府在進一步加強傳統密碼技術研究的同時,研究和應用改進新橢圓曲線和AES等對稱密碼,積極進行量子密碼新技術的研究。量子技術在密碼學上的應用分為兩類:一是利用量子計算機對傳統密碼體制進行分析;二是利用單光子的測不準原理在光纖一級實現密鑰管理和信息加密,即量子密碼學。
2. 我國網路安全技術方面的差距
我國對網路安全技術研究非常重視,已經納入國家「973」計劃、「863」計劃和國家自然科學基金等重大高新技術研究項目,而且在密碼技術等方面取得重大成果。但是,與先進的發達國家的新技術、新方法、新應用等方面相比還有差距,應當引起警覺和高度重視,特別是一些關鍵技術必須盡快趕上,否則「被動就要挨打」。
(1)安全意識差,忽視風險分析
我國較多企事業機構在進行構建及實施網路信息系統前,經常忽略或簡化風險分析,導致無法全面地認識系統存在的威脅,很可能導致安全策略、防護方案脫離實際。
(2)急需自主研發的關鍵技術
現在,我國計算機軟硬體包括操作系統、資料庫系統等關鍵技術嚴重依賴國外,而且缺乏網路傳輸專用安全協議,這是最大的安全隱患、風險和缺陷,一旦發生信息戰時,非國產的晶元、操作系統都有可能成為對方利用的工具。所以,急需進行操作系統等安全化研究,並加強專用協議的研究,增強內部信息傳輸的保密性。
對於已有的安全技術體系,包括訪問控制技術體系、認證授權技術體系、安全DNS體系、公鑰基礎設施PKI技術體系等,並制訂持續性發展研究計劃,不斷發展完善,為網路安全保障充分發揮更大的作用。
(3)安全檢測防禦薄弱
網路安全檢測與防禦是網路信息有效保障的動態措施,通過入侵檢測與防禦、漏洞掃描等手段,定期對系統進行安全檢測和評估,及時發現安全問題,進行安全預警,對安全漏洞進行修補加固,防止發生重大網路安全事故。
我國在安全檢測與防禦方面比較薄弱,應研究將入侵檢測與防禦、漏洞掃描、路由等技術相結合,實現跨越多邊界的網路入侵攻擊事件的檢測、防禦、追蹤和取證。
(4)安全測試與評估不完善
如測試評估的標准還不完整,測試評估的自動化工具匱乏,測試評估的手段不全面,滲透性測試的技術方法貧乏,尤其在評估網路整體安全性方面。
(5)應急響應能力欠缺
應急響應就是對網路系統遭受的意外突發事件的應急處理,其應急響應能力是衡量系統生存性的重要指標。網路系統一旦發生突發事件,系統必須具備應急響應能力,使系統的損失降至最低,保證系統能夠維持最必需的服務,以便進行系統恢復。
我國應急處理的能力較弱,缺乏系統性,對系統存在的脆弱性、漏洞、入侵、安全突發事件等相關知識研究不夠深入。特別是在跟蹤定位、現場取證、攻擊隔離等方面的技術,缺乏研究和相應的產品。
(6)強化系統恢復技術不足
網路系統恢復指系統在遭受破壞後,能夠恢復為可用狀態或仍然維持最基本服務的能力。我國在網路系統恢復方面的工作,主要從系統可靠性角度進行考慮,以磁碟鏡像備份、數據備份為主,以提高系統的可靠性。然而,系統可恢復性的另一個重要指標是當系統遭受毀滅性破壞後的恢復能力,包括整個運行系統的恢復和數據信息的恢復等。在這方面的研究明顯存在差距,應注重相關遠程備份、異地備份與恢復技術的研究,包括研究遠程備份中數據一致性、完整性、訪問控制等關鍵技術。
3.網路安全技術的發展態勢
網路安全的發展態勢主要體現在以下幾個方面:
(1)網路安全技術水平不斷提高
隨著網路安全威脅的不斷加劇和變化,網路安全技術正在不斷創新和提高,從傳統安全技術向可信技術、深度檢測、終端安全管控和Web安全等新技術發展,也不斷出現一些雲安全、智能檢測、智能防禦技術、加固技術、網路隔離、可信服務、虛擬技術、信息隱藏技術和軟體安全掃描等新技術。可信技術是一個系統工程,包含可信計算技術、可信對象技術和可信網路技術,用於提供從終端及網路系統的整體安全可信環境。
(2)安全管理技術高度集成
網路安全技術優化集成已成趨勢,如殺毒軟體與防火牆集成、虛擬網VPN與防火牆的集成、入侵檢測系統IDS與防火牆的集成,以及安全網關、主機安全防護系統、網路監控系統等集成技術。
(3)新型網路安全平台
統一威脅管理UTM(UnifiedThreat Management)是實現網路安全的重要手段,也是網路安全技術發展的一大趨勢,已成為集多種網路安全防護技術一體化的解決方案,在保障網路安全的同時大量降低運維成本。主要包括:網路安全平台、統一威脅管理工具和日誌審計分析系統等。將在5.5.5中具體進行介紹。
【案例1-6】國際互聯網安全聯盟DMARC(Domain-based Message Authentication, Reporting & Conformance)。由於全球知名互聯網公司多次出現網站被黑、域名被更改及詐騙性郵件等網路安全問題,在2012年由谷歌、Facebook、微軟、雅虎、網易等15家組建成立,僅1年多時間就使約19.76億的電子郵箱用戶受益,約為全球33億電子郵箱用戶中三分之二,每月攔截過上億封詐騙性郵件。
2013年中國互聯網安全聯盟成立。由網易、網路、人人、騰訊、新浪、微軟、阿里巴巴集團及支付寶七家企業依照相關法律、法規,在平等互利、共同發展、優勢互補、求同存異的原則下共同發起組建,制定了《互聯網企業安全漏洞披露與處理公約》。其中,擁有超過5.3億郵箱用戶的網易公司,已經取得了重大成果。
(4)高水平的服務和人才
網路安全威脅的嚴重性及新變化,對解決網路安全技術和經驗要求更高,急需高水平的網路安全服務和人才。隨著網路安全產業和業務的發展網路安全服務必將擴展,對網路系統進行定期的風險評估,通過各種措施對網路系統進行安全加固,逐漸交給網路安全服務公司或團隊將成為一種趨勢。為用戶提供有效的網路安全方案是服務的基本手段,對網路系統建設方案的安全評估、對人員安全培訓也是服務的重要內容。
(5)特殊專用安全工具
對網路安全影響范圍廣、危害大的一些特殊威脅,應採用特殊專用工具,如專門針對分布式拒絕服務攻擊DDoS的防範系統,專門解決網路安全認證、授權與計費的AAA(Authentication Authorization Accounting)認證系統、單點登錄系統、入侵防禦系統、智能防火牆和內網非法外聯系統等。
近年來,世界競爭會變得更加激烈,經濟從「金融危機」影響下的持續低迷中艱難崛起,企業更注重探尋新的經濟增長點、優先保護品牌、用戶數據、技術研發和知識產權等。同時,在面臨新的挑戰中精打細算,減少非生產項目的投入,使用更少的信息安全人員,以更少的預算保護企業資產和資源。
摘自:高等教育出版社,網路安全技術與實踐,賈鐵軍教授新書。