网络信息安全技术分析

　　随着现代网络通信技术的应用和发展，互联网络发展迅猛(CNNIC2007年12月报告，全球网民超过12亿，我国网民己达2.1亿人，据世界第二)，我们己进入信息化新世纪，并可以预见的很长一段时期内，国家对趋向网络化、共享化、不确定等特征的信息资源的依赖性会越来越强。由于互联网本身所具有的开放性，Internet自诞生起，网络信息安全问题便如影随形，近几年更表现出恶化趋势，给世界各国带来巨大的经济威胁。据ITAA的调查显示，美、德、英、法等国每年由于网络安全问题而遭受的经济损失达数百亿美元。美国约有75%企业网信息遭受过黑客攻击，其中25%的企业损失高达25万美元以上。我国每年由于网络安全问题而遭受的经济损失也超过了10亿人民币。与公众网络相比，军事网络安全受到的威胁更大。美军曾对军网系统进行了3.8万次模拟袭击，袭击成功率高达65%，而被发现的概率仅为12%，能做出反应的不到1%。网络信息安全问题将会全方位地危及一个国家的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和金融经济高度风险的威胁之中。在Internet这块1引言“没有硝烟的战场”上，谁掌握了信息优势，谁便控制着未来，因而我们必须主权、保护国家安全的高度来研究。

　　2网络信息安全的内涵和目标

　　2.1网络信息安全的概念和内涵网络信息安全定义是：不因偶然或恶意的因素，使网络信息遭受非法篡改、插入、删除或显现，以保证信息的完整性、安全保密性和可用性[1]。同时网络信息安全是涉及计算机技术、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论、社会心理等多种技术的边缘性的综合学科。就总体而言，信息安全主要包括信息本体安全、计算机系统安全、网络安全、管理体系安全四个层次的内容。只有通过对上述诸多研究领域长期的知识积累，才能确保网络信息安全合理的共享。本文主要将叙述其中的应用协议、数据加密、病毒学、防火墙、入侵检测等技术。

　　2.2网络信息安全的主要目标综观国内外有关信息安全事件，网络信息安全的研究目标应主要集中在以下五个方面：

　　(1)、网络的可靠性这是网络安全最基本的要求之一。目前，对于网络可靠性的研究基本上偏重于硬件可靠性方面，研制高可靠性元器件设备，采取合理的冗余备份措施仍是最基本可靠性对策。但有资料表明，系统失效性很大一部分是由人为因素造成的。

　　(2)、网络的可用性

　　网络最基本的功能是向用户提供所需信息和通信服务，必须随时满足用户通信的要求。为此网络需要采用科学合理的网络拓扑结构、冗余容错和备份措施以及网络自愈技术、负荷分担、各种完善的物理安全和应急措施等，保障网络安全。

　　(3)、信息的保密性

　　采用访问控制技术，可以有效地防止网络信息资源不被非法使用和访问。访问控制包括入网访问控制、网络权限控制、服务器控制等多种技术手段。

　　(4)、信息的完整性

　　由于网络本身的不安全，会导致信息在传输过程中遭受非法用户的窃取、破坏，而通过信息加密技术，即使信息被窃取，加密后的信息也不易泄漏，可将损失降到最低点。

　　(5)、信息的不可抵赖性

　　随着通信业务不断扩大，电子商务、电子金融和办公自动化等许多信息处理过程都需要通信双方对信息内容的真实性进行认同，需要对此应采用数字签名、认证等有效措施。

　　3现行主要信息安全技术

　　3.1通信协议安全

　　便捷和高效的互联网络一直是网络标准制定者力求达到的目标，网络的安全是影响这两者的最重要因素。IPv6作为下一代互联网通信协议，具有很强安全性。IPv6强制实施Internet安全协议IPSec，它主要由3个部分组成，即认证协议(AH)、封装安全载荷(ESP)和Internet密钥交换协议(IKEhIPSec为IPv6提供了具有极强的互操作能力、高质量和基于密码的安全，在IP层实现多种安全服务，包括访问控制、无连接完整性、数据源验证、抗重播、加密和有限的业务流机密性。和网络协议不同，网络信息安全目前还没有统一的标准，但美国国防部的计算机安全橙皮书(1985)得到广泛支持，成为制定计算机安全标准的基础。橙皮书将计算机安全分为A、B、C、D四个安全级别，每个级别内还可再细分。其中C2级已成为事实上的工业标准，许多计算机厂商都采用C2标准中各项准则和原理来完善自己的系统安全特性。GSSP是另一组重要的信息安全标准，它是由美国信息系统安全协会GSSP委员会为实现信息安全制定的一组原理，与C2标准不同，GSSP更强调个人管理而不是系统管理。

　　3.2密码技术

　　密码技术是信息安全的核心与关键。一般而言，密码体制分为单钥(对称密码)、双钥(不对称密码)、混合密码(单双钥的混合实现)三种体制。采用加密技术网络系统的优点在于：不仅不需要特殊网络拓扑结构的支持，而且在数据传输过程中也不会对所经过网络路径的安全程度作出要求，从而真正实现了网络通信过程端到端的安全保障。当前网络信息加密主要使用的是不对称密码或混合密码。

　　3.2.1公钥密码曾经作为美国联邦信息处理标准的DES算法在1997年被攻破。IDEA作为DES的一种改进方法，具有128bit的密钥和更强的安全性。为了保证公钥密码RSA的安全性，公钥长度至少要600bit，实现速度比DES至少要慢两个数量级。近来提出的一种基于Montgomery算法的RSA公钥密码可以同时进行乘法和模减运算，取代原先的除法运算模式，使得运算速度大幅提高，成为现今广泛采用的RSA密码。基于椭圆曲线的公钥密码ECC是密码学研究和应用的热门领域，很多厂商己经开发出符合IEEEP1363标准的椭圆曲线公钥密码。己有将ECC的数字签名应用于电子政务中的可行方案，并且椭圆曲线密码从试验结果来看加密性和运行速度均优于RSA算法[3]，很有可能取代RSA的地位，成为主流的公钥加密算法，目前己有ECC在CDMA和IC智能卡上的应用方案提出。

　　3.2.2Hash函数王小云于2005年给出了SHA-0的碰撞，以及SHA-1的理论破解，将破解SHA-1的计算量降低了3个数量级，这对评估Hash函数的安全现状以及未来Hash函数的设计会产生极大影响。MD5和SHA-1的破解，动摇了目前数字签名的理论根基，对现有的数字签名方法构成了威胁。美国国家技术与标准局(NIST)计划在2010年前逐步淘汰SHA-1，换用其他更长更安全的算法(如SHA-384，SHA-512)来替代。

　　3.2.3量子密码将来有可能取代公钥加密算法的还有一种加密方法，即量子加密系统。量子加密是两个用户各自产生一个私有的随机数字字符串。第1个用户向第2个用户的接收装置发送代表数字字符串的单个量子序列(光脉冲)，接收装置从2个字符中取出相匹配的比特值，这些比特值就组成了密钥的基础。量子加密法的先进之处在于这种方法依赖的是量子力学定律，传输的量子是无法被窃听的，如果有人窃听，通信双方会得知，这是因为窃听动作本身会对通信系统造成干扰，使通信系统的量子状态出现不可挽回的变化，这样通信双方会结束通信，生成新的密钥。试验证明，这种加密方法在卫星通信中也是可行的，但只有在宽带光纤通信中才可以进行量子密钥的发送。在实际的应用中，通过光纤传输的量子密钥可以用于加密普通宽带数据信道所传送的信息。2004年6月，美国BBN公司建立的世界上第一个量子密码通信网络在马塞诸塞州剑桥城正式投入运行，它标志着量子密码通信技术己进入实际应用阶段。

　　3.2.4其它加密体制其它一些领域的研究也对信息加密产生了积极的影响，甚至可能带来革命性转变，其中较引人注意的有混沌密码、DNA密码和神经网络在密码学上的应用。

　　1)混沌密码：由于混沌系统对初值及参数极其敏感，同时还具有非周期性和伪随机性的特点，可针对现有方法数据运算量大的缺陷，在运用整数计算代替浮点数计算减低计算量，提供了一种新的实现方法，已引起了密码学领域的广泛关注。

　　2)DNA密码：DNA密码是近年来伴随着DNA计算的研究而出现的密码学新领域，其特征是以DNA为信息载体，以现代生物技术为实现工具，挖掘DNA固有的高存储密度和高并行性等优点，实现加密、认证及签名等密码学功能。2000年，加拿大DNATechnology公司把DNA序列用到了悉尼奥运会的产品认证上。DNA密码现在仍处于发展阶段，它的广泛应用还有待各方面技术的进一步发展。

　　3)神经网络：目前神经网络在许多学科领域都获得了成功的应用，其中通信及保密通信就是神经网络的重要研究领域,并己成为神经网络应用研究的一个热点。

　　3.3计算机病毒

　　近2年来，随着网络广泛融入各个经济金融领域，计算机病毒的攻击技术也越来越复杂，破坏力越来越强，并且更多地以获取经济利益为目标，例如窃取银行账户信息，盗取网游密码等。在网络游戏市场，网上虚拟装备交易十分活跃，一件好的装备或高级别的账号卖出上万元人民币并不鲜见，大批针对网络游戏的木马病毒因此而出现，如2007年初爆发的窃取“魔兽世界”游戏帐号木马。该木马破解了游戏的加密算法，主动截取局域网中的数据包，通过分析游戏里的通讯协议来获得玩家的账号、密码和装备等信息。并且局域网中1台计算机一旦感染了魔兽木马，其余的计算机用户也会感染，该病毒还可以阻止防毒软件的运行。2006年8月出现了针对AMD芯片的病毒和w64•bounds，病毒感染计算机后能够获得比操作系统更高的权限，即可以躲避处理器或软件的防毒功能而进行肆意的传播和破坏。它的出现是一个病毒由通过软件漏洞传播转向通过硬件漏洞传播的标志，相信这种形式的传播将具有更强的攻击性。目前，快速更新病毒库和增强杀毒软件自行识别新病毒的能力是作为防范病毒攻击的两种较为有效方法。

　　3.4防火墙技术

　　防火墙技术是在内部与外部网络间非常有效的实施访问控制的一种手段，它逻辑上处于内部网和外部网之间，是为确保内部网正常安全运行的一组软硬件的有机组合[6]。它可提供存取控制和保密服务，从而为企业网提供了抵抗外部侵袭的能力。由于它简单实用且透明度高，可以在不修改原有网络应用系统的情况下，达到一定的安全要求，所以被广泛使用。在引入防火墙之后，内部网和外部网之间的通信必须经过防火墙进行，当某企业决定设置防火墙时，首先需由网络决策者及网络专家共同决定本企业网的安全策略，即确定什么类型的信息不允许通过防火墙。防火墙的职责就是根据这一安全策略，对外部网络与内部网络交流的信息进行检查，符合的予以放行，不符合的拒之门外。

　　防火墙技术主要分三大类：

　　⑴包过滤技术(Packetfiltering):作用在网络层，主要根据防火墙系统所收到的每个数据包的源IP地址，目的IP地址，TCP/UDP源端口号、TCP/UDP目的端口号，及数据包头中的各种标志位来进行判定，根据系统设定的安全策略来决定是否让数据包通过，其核心就是安全策略，即过滤算法的设计。

　　(2)代理(Proxy)服务技术用来提供应用层服务的控制，起到外部网络向内部网络申请服务时中间转接作用，内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用网关，代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。

　　(3)状态监控(StateInspection)技术它是一种新的防火墙技术，在网络层完成所有必要的防火墙功能一一包过滤和网络服务代理。目前最有效的实现方法一般采用CheckPoint提出的虚拟机方式(InspectVirtualMachine)。

　　防火墙技术作为一种简单实用的网络信息安全技术将得到进一步发展，但防火墙只是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的响应，不能提供完全的网络安全性，它不能阻止所有的外部入侵;它不能防病毒;有经验的黑客也会破“墙”而入。在过去的统计中曾遭受过“黑客”入侵的网络用户有三分之一是有防火墙保护的[7]。防火墙对内部袭击毫无防范作用，需要有特殊的相对较为封闭的网络拓扑结构支持，也就是说还必须有例如对数据加密处理、对内部网络的有效控制和管理一系列措施来实现网络安全。

　　3.5入侵检测技术

　　入侵检测系统是对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程[8]。它不仅监测来自外部的入侵行为，同时也对内部用户的未授权活动进行检测，还能对网络入侵事件和过程做出实时响应，是网络动态安全的核心技术。

　　根据不同的分类标准，入侵检测技术主要有基于行为的入侵检测和基于知识的入侵检测两类：基于行为的入侵检测(也称异常检测)是指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵;基于知识的入侵检测(也称误用检测)是指运用己知的攻击方法通过分析入侵迹象来加以判断是否发生入侵。通过对迹象的分析,不仅对己发生的入侵行为有帮助，而且对即将发生的入侵也会产生警戒作用。

　　相对己成熟的网络入侵检测系统，模仿生物免疫原理的入侵检测系统模型是入侵检测领域的新兴研究领域，并有了初步进展;但是现有的系统大多还是实验室环境下的原型系统，具有较高的误报率和漏报率，难于满足大规模网络下的入侵检测和反病毒要求。实验者预测在不远的将来，有望提出一个行之有效的未知病毒和入侵手段识别模型和算法。此外“蜜罐(Honey)”技术也备受瞩目，“蜜罐”是指受到严密监控的网络诱骗系统，通过真实或模拟的网络和服务来吸引攻击，从而在黑客攻击“蜜罐”期间对其行为和过程进行记录分析，以搜集信息，对新攻击发出预警，同时“蜜罐”也可以延缓攻击和转移攻击目标。它区别于传统的入侵检测技术，不是在攻击时进行被动的防护，而是采取主动的方式，用定制好的特征吸引和诱骗攻击者，将攻击从网络中比较重要的机器上转移，同时对黑客的攻击做全面的分析和研究。

　　网络信息安全技术是当前必不可少的技术之一，所涉及的范围广，内容丰富，需要解决的问题也很多。本文只是综合论述了网络信息安全领域中的一些协议和主流应用技术，并对国内外信息安全领域未来的发展方向尝试进行探讨。Internet上信息安全是个非常复杂的问题，光采取某几种安全技术是不够的，此外还应该采取加强管理、完善法律、提高公众安全意识等方面的措施。