网络安全长期发展规划初探

1、信息平安及其关键技术讨论方滨兴，二OO五年九月二十二日.从作用点角度看信息平安层次国标定义：“计算机信息人机系统平安的目的是着力于实体平安、运转平安、信息平安和人员平安维护。平安维护的直接对象是计算机信息系统，实现平安维护的关键要素是人。“部标定义是：“本规范适用于维护计算机信息系统平安公用产品，涉及实体平安、运转平安和信息平安三个方面。.从目的维护角度看信息平安属性ISO17799定义：“信息平安是使信息防止一系列要挟，保证商务的延续性，最大限制地减少商务的损失，最大限制地获取投资和商务的报答，涉及的是性、完好性、可用性。国际规范化委员会定义：“为数据

2、处置系统而采取的技术的和管理的平安维护，维护计算机硬件、软件、数据不因偶尔的或恶意的缘由而遭到破坏可用性、更改完好性、显露性 .关于信息平安的两个主要视点管理/人员平安数据/信息平安运转平安实体/物理平安信息平安分层构造面向运用的信息平安框架信息平安金三角CIA面向属性的信息平安框架性(Confidentiality)完好性 可用性Integrity (Availability).两个被忽略的问题之一：内容平安谁在关怀文化平安？内容平安的本质是什么？文化平安不是技术问题，是哲学问题。内容平安着眼点是根据内容来对平安问题进展判别，但需求经过技术方式来处理。内容平安技术的本质是对数据的攻击技术国际

3、社会经常将反网络病毒Anti Vandalism、反渣滓邮件问题列入内容平安的范畴.两个被忽略的问题之二：信息内容对抗一支从事信息平安的队伍研讨的是信息对抗的问题，所引发的问题是：信息对抗与信息平安的关系是什么？信息对抗本身也存在体系问题，包括不同层次的对抗问题，我们仅选择信息内容对抗来讨论信息隐藏是典型的信息内容对抗的研讨内容站在信息平安的角度思索这个问题，给出的命题是：一个客观存在的信息，如何发现？数据发掘、情报分析、信息获取假设我们不能掩盖一个信息，那就淹没这个信息围绕信息利用的对抗行为(所谓虚真假实真真假假).信息平安的技术层次视点 层次构造 层面模型系统平安物理平安系统平安信息系统

4、方面的平安 环境平安 设备平安 动力平安 容灾 .指对网络与信息系统物理配备的维护。主要涉及网络与信息系统的性、可用性、完好性等属性。所涉及的主要技术：加扰处置、电磁屏蔽：防备电磁泄露容错、容灾、冗余备份、生存性技术：防备随机性缺点信息验证：防备信号插入关于物理平安 863方案关注的重要技术灾难恢复与缺点容错技术网络可生存性技术空间信息系统平安技术 242方案关注的重要技术系统数据、网络和效力的可生存性技术系统容灾技术.信息平安的技术层次视点系统平安 层次构造 层面模型系统平安物理平安系统平安运转平安 信息系统 方面的平安 系统评价-测试评价才干 平安战略-信息对抗才干 访问控制-平安防护才干

5、 入侵检测-平安预警才干 应急呼应-应急呼应才干.关于运转平安指对网络与信息系统的运转过程和运转形状的维护。主要涉及网络与信息系统的真实性、可控性、可用性等主要涉及的技术风险评价体系、平安测评体系：支持系统评价破绽扫描、平安协议：支持对平安战略的评价与保证防火墙、物理隔离系统、访问控制技术、防恶意代码技术：支持访问控制入侵检测及预警系统、平安审计技术：支持入侵检测反制系统、容侵技术、审计与追踪技术、取证技术、动态隔离技术：支持应急呼应网络攻击技术，Phishing、Botnet、DDoS、木马等技术 863方案关注的重要技术可信平安计算、网络环境技术生物识别技术病毒与渣滓邮件防备技术测试评价技

6、术高性能平安芯片技术 242方案关注的重要技术大流量网络数据获取与实时处置技术公用采集及负载分流技术宏观网络平安监测技术异常行为的发现、网络态势发掘与综合分析技术大规模网络建模、丈量与模拟技术宏观网络应急呼应技术大规模网络平安事件预警与联动呼应技术异常行为的重定向、隔离等控管技术网络平安要挟及应对技术僵尸网络等网络攻击的发现与反制技术破绽发掘技术.信息平安的技术层次视点系统平安 层次构造 层面模型系统平安物理平安 系统平安运转平安 信息平安数据平安信息系统 方面的平安信息平安信息本身 方面的平安信任保证才干 防泄露 仿冒充 防篡改 防抵赖.关于数据平安指对信息在数据搜集、处置、存储、检索、传输

7、、交换、显示、分散等过程中的维护，使得在数据处置层面保证信息根据授权运用，不被非法冒充、窃取、篡改、抵赖。主要涉及信息的性、真实性、完好性、不可否认性等主要涉及的技术对称与非对称密码技术及其硬化技术、VPN等技术：防备信息泄密认证、鉴别、PKI等技术：防备信息伪造完好性验证技术：防备信息篡改数字签名技术：防备信息抵赖共享技术：防备信息破坏863方案关注的重要技术密码技术运用密码技术网络信任体系技术.信息平安的技术层次视点系统平安信息平安层次构造 层面模型系统平安物理平安 系统平安运转平安 信息平安数据平安信息平安内容平安 信息本身 方面的平安有害信息的过滤.关于内容平安指对信息在网络内流动中的

8、选择性阻断，以保证信息流动的可控才干。主要涉及信息的性、真实性、可控性、可用性等主要涉及的技术：文本识别、图像识别、流媒体识别、群发邮件识别等：用于对信息的了解与分析；面向内容的过滤技术CVP、面向URL的过滤技术UFP、面向DNS的过滤技术等：用于对信息的过滤。 863方案关注的重要技术网络监控技术面向互联网面向广播电视面向VoIP面向短信息 242方案关注的重要技术基于互联网的监控技术P2P网络行为的发现与监控技术大规模特征串匹配算法与数据流查询技术渣滓信息检测与过滤技术渣滓信息自动识别技术渣滓信息综合告发、分类与处置技术反色情绿色上网软件技术网站效力性质识别与色情网站自动发现技术图像与网

9、络流媒体识别技术.信息平安的技术层次视点系统平安信息平安 层次构造层面模型系统平安物理平安 系统平安运转平安信息平安数据平安 信息平安内容平安 信息对抗信息内容对抗信息本身 方面的平安信息对抗信息利用 方面的平安 信息的隐藏与发现 信息的干绕与提取.指对信息有效内容真实性的隐藏、维护与分析。主要涉及信息有效内容的性、完好性等所涉及的主要技术：数据发掘技术：发现信息隐写技术、水印技术：维护信息即时通、MSN等协议的分析技术：对特定协议的了解，VoIP识别技术：对数字化语音信息的了解音频识别与按内容匹配：锁定音频目的进展关于信息利用的平安 863方案关注的重要技术灾难恢复与缺点容错技术网络可生存性

10、技术空间信息系统平安技术 242方案关注的重要技术舆情发掘与预警技术特定主题信息的识别、特征发现技术敏感/热点事件发现及趋势预测技术信息隐藏技术基于图像或音频的隐写、检测及复原工具库非拼装隐藏信息的快速检测.信息平安的技术层次视点System security物理平安 System security运转平安Information security数据平安 Information security内容平安 系统本身的平安“系统平安Information Security信息利用的平安“信息对抗信息本身的平安“信息平安层次构造构造层次三级信息平安框架信息内容对抗.ITU-X.800给出的相关属性的

11、定义:性Confidentiality： Prevent unauthorised disclosure of information完好性Integrity： assurance that data received are exactly as sent by an authorized sender可用性Availability：services should be accessible when needed and without delay真实性Authentication：assurance that the communicating entity is the one it

12、claims to be peer entity authentication Data-origin authentication 不可抵赖性Non-Repudiation：protection against denial by one of the parties in a communicationOrigin non-repudiation：proof that the message was sent by the specified partyDestination non-repudiation：proof that the message was received by the specified party.关于信息平安的根本属性性Confidentiality ：反映了信息与信息系统的不可被非授权者所利用 真实性Authentication ：反映了信息与信息系统的行为不被伪造、篡改、冒充可控性controllability ：反映了信息的流动与信息系统可被控制者所监控 可用性Availability ：反映了信息与信息系统可被授权者所正常运用 .信息平安的根本属性视点性Cf真实性Au可控性Ct可用性Av信息平安四要素：CACA.机密性真实性可控性可用