当前的信息安全技术与下一步的发展方向综合篇

随着信息化建设步伐的加快，人们对信息安全的关注限度越来越高。信息安全不仅是保证信息的机密性、完整性、可用性、可控性和不可否认性，它涉及的领域和内涵也越来越广，从主机的安全技术发展到网络体系结构的安全，从单一层次的安全发展到多层次的立体安全

目前，涉及的领域还涉及黑客的攻防、网络安全管理、网络安全评估、网络犯罪取证等方面的技术。信息安全不仅关系到个人、企事业单位，还关系到国家安全。21世纪的战争，事实上很大限度上取决于我们在信息对抗方面的能力。

信息安全技术从理论到安全产品，重要以现代密码学的研究为核心，涉及安全协议、安全体系结构、信息对抗、安全检测和评估等关键技术。以此为基础，还出现了一大批安全产品。下面就目前信息安全技术的现状及研究的热点问题作一些介绍。一、密码技术发展现状密码理论和技术在信息系统的安全面起着关键的作用。互联网的发展推动了现代密码技术的进一步发展。密码技术重要涉及基于数学的密码技术和非数学的密码技术。基于数学的密码技术重要涉及公钥密码、分组密码、流密码、数字署名、密钥管理、身份鉴别、消息认证、密钥共享、PKI技术等加密和认证理论及算法。非数学的密码技术重要涉及量子密码、DNA密码、数字隐写技术等。

现在世界上的一些大国都非常重视密码学研究。在美国国家安全局(NSA)和国家标准技术研究所(NIST)的共同推动下，20世纪70年代以来陆续建立了国家数据加密标准(DES)和数字署名标准(DSS)，去年又拟定了高级加密标准算法(AES)以作为21世纪的应用基础。美国政府为了适应信息社会发展的需要，加强政府司法机构的社会管理执法的高技术支撑能力和情报部门的对抗信息战的能力，正通过NIST提出并推动着密钥托管、密钥恢复、证书授权认证、公开密钥基础设施、公开密钥管理基础设施等一系列技术手段、技术标准和相关理论基础的研究。

NESSIE是由一个欧洲的信息社会委员会(IST)所提出的一个计划，是一个为期三年的计划，开始于2023年1月，这个计划的重要目的是希望可以通过一个透明、公开的程序，来选出一些经由公开召集方式所提出的密码学的算法。这些算法涉及了分组密码、流密码、Hash函数、消息认证码(MAC)、数字署名法、公钥加密算法。NESSIE这个计划现在尚未结束，还在进行中。该计划将发展一种密码体制评估方法(涉及安全性和性能评价)和支持评估的一个软件工具箱。该计划的另一个目的就是广泛传播这些工程成果并且建立一个使这些成果趋于一致的论坛。尚有一个目的就是保持欧洲工业界在密码学研究领域的领先地位。国际上对在分组密码和序列密码设计和分析的理论和技术已经比较成熟。除了算法的设计之外，美国、欧洲、日本发达国家在加密算法的标准化方面做了大量的工作。我们国内的学者也设计了很多对称加密算法，但是目前的问题是，国内还没有一个统一的加密标准。可喜的是，目前有关部门正在组织对加密标准的讨论和征集。公开密钥密码理论的研究内容重要涉及单向陷门函数的构造与分析、有限自动机理论及其密码分析、椭圆曲线理论以及公开密钥基础设施等。公钥密码重要是用来数字署名和密钥分派。数字署名和密钥分派在很多网络应用中必不可少。并且随着不同应用的需要，署名的种类也很多。密钥分派更是网络安全协议的重要内容，安全协议的核心在于密钥管理。目前很多国家都已经制定了自己的公钥加密标准和数字署名法。例如美国、法国、韩国、德国、新加坡、台湾等国家和地区都已经制定了自己的电子署名法。电子署名法是网络交易中支付和结算顺利进行的主线保证，因此尽快制定我国的电子署名法非常重要。目前我国的电子署名法正在有关部门的主持下进行讨论。目前，PKI技术是密码技术应用的新热点，我国也成立了专门的PKI论坛，并且在亚洲的PKI论坛上非常活跃。在国际上，Baltimore、Entrust、VerySign是三大PKI技术供应商，有非常成熟的PKI产品。基于PKI的认证已经广泛应用于电子商务的交易中，典型的安全标准是SSL、SET协议。在国内有许多安全公司都能提供自主知识产权的PKI产品。在非数学的密码研究方面，量子密码、DNA密码、数字隐写技术都是目前研究的热点。量子密码是以海森堡测不准理论为物理基础，用量子光学的方法运用公开信道(通信光纤)异地产生物理噪声。它可以真正地实现一次一密，构成理论上不可破译的密码体制。光子不能被克隆的性质使量子密码编码操作过程不能被完全窃听，一旦存在窃听也可以察觉，并可以设法消除。西方的一些国家已经投入大量的人财物力推动量子信息科学和量子密码的理论及实用研究。国际学术界正围绕其中的若干基本问题展开剧烈的辩论：如何克服实际量子系统中对量子相干性的干扰破坏以保证系统可以有效工作；有效的量子受控门和量子逻辑网络的设计；经典信息理论在量子理论框架内的重新研究，以便建立量子信息理论的理论体系；量子密码技术的实用技术研究等。量子密码研究已从20世纪90年代初IBM在20厘米距离内进行理论实验，迅速发展到l996年采用光纤传输线上即插即用实现23公里的密钥传送，传输速率已达成每秒20千比特，自由空间的量子密码技术也有了很大的发展。近十年来，DNA技术的发展异常迅速。不仅影响到生命、医学等领域，对信息科学的影响也举世瞻目。l995年，来自世界各地的200多名科学家共同探讨了DNA分子在酶的作用下通过生物化学反映从某种基因代码可以转变成此外一种基因代码的现象。转换前的代码可以作为输入数据，反映后的基因代码可以作为运算结果。运用生物酶功能可以做很多高级逻辑运算和数学运算。运用生化反映的过程可以制作新型生物计算机，也可以成为密码编码和分析的新的理论依托。

DNA生化反映的优势是可以并行工作，运用这种特性可以并行解决解决问题的所有也许方法。用DNA分子链取代硅片存储和解决信息将有很大的优越性：计算速度快、存储量大、体积小、可以逐步模拟人脑的功能。有人预言，倘若DNA计算机研制成功，它几十小时的运算量就相称于目前全球所有计算机问世以来运算量的总和。美国军方和政府最感爱好的是运用DNA技术获得更强更陕的加密和破译的能力。美国普林斯顿大学的计算机科学专家Richard·J·Lipton和博士生Christopher·T·Dunworth、斯坦福大学的计算机科学副专家Daniel·Boneh等3人研制了DNA计算机。DNA密码编码和密码分析的理论研究重要集中在以下几个领域：DNA的筛选、合成与纯化、繁殖与修饰；DNA有序排列点阵的形成；DNA密码编码变换的实行以及编码信息的获取；DNA密码分析的实行，破译信息的获取；DNA芯片与DNA诊断薄膜原型器件的研制等。

信息隐藏是另一种保护信息的方法。对于信息隐藏、信息伪装、数字水印等技术的研究是目前国际上的一个热点。在数字水印和隐写术方面，已有一些著名公司研制了产品，使用密钥伪随机的选择数据块并调整该数据块的频度，达成隐藏秘密信息的目的。也有此外一些学者和公司专门研究对数字水印机制的袭击方法，以便检测并消除水印信息。视觉密码技术是隐写技术的另一研究方向，该方法最初是为密钥分享设计的，它可以将秘密信息隐藏到两幅伪随机二值图像中，恢复密钥时用两幅图像简朴叠加即可。目前视觉密码技术已被用于图像的分存。数字水印、信息隐藏技术已经用于电子产品的知识产权保护方面。

总之，在密码技术的研究方面，有些已经非常成熟，有些正在成为新的热点。在密码技术的产品化方面，重要是出现了各种专用的加密设备。其中，高速加密芯片、高速公钥密码芯片的研制是重点。此外尚有针对各种层次、各种协议类型的加密机。

二安全协议的研究现状网络安全协议的研究内容非常广泛，涉及各种数字署名协议、身份辨认协议、不可否认协议、密钥互换协议、密钥分派协议、各种电子商务的安全协议等内容。按照网络的层次又可以分为应用层的安全协议、网络层的安全协议、链路层的安全协议等。安全协议是完毕信息的安全互换的共同约定的逻辑操作规则，协议是否完备成为它能否提供安全保障的关键。由于逻辑关系的复杂性，用自然语言来描述协议，推理它的完备性不也许保证逻辑的严谨性，因而经常出现漏洞。因此安全协议及其完备性的形式化研究成为信息安全的重要环节。国际学术界共同认为具有形式化证明的安全协议才有保证，但是目前大量的安全要么没有涉及信息安全，要么还是将自然语言表述的规则转换成计算机程序或逻辑芯片，因此不断发现漏洞，威胁着信息安全。

用形式化的手段分析安全协议的尝试始于20世纪80年代初，先后出现了基于状态机的协议分析、基于模态逻辑的系统分析、基于代数理论的协议分析等三类分析方法。如l989年Burrows、Abadi、Needham提出的形式化分析认证协议的BAN逻辑，l993年WenboMao、ColinBoyd提出的MB93等，但仍不完善，形式化系统的局限性和漏洞不断发现，仍处在发展提高阶段目前，针对各种环境下的应用，提出了大量的实用安全协议。例如各种认证协议如CHAP、EAP、Kerberos等，认证协议往往是复杂的交互协议的组成部分；用来实现网络中的安全传输和认证的协议如SSL、TLS、SET、SPKM、IKE、IPSec、L2TP等；针相应用的安全协议如S—HTTP、SSH、PGP、PEM、S／MIME协议等；针对移动通信，尚有一系列的安全协议如无线认证协议、鉴权协议、无线电子商务的应用协议等。

特别是随着现在网络时代的来临，很多传统的业务都在互联网上开展。因此出现大量的保证这些应用的安全协议，例如，电子投票协议、电子支付协议、电子钞票协议、电子拍卖协议、电子投标协议、电子支票协议等。这些安全协议的理论研究是保障我们各种电子化业务正常运营的基础。

在安全协议的研究方面，最重要的是标准化。由于要保证互连互通，标准化是基础。现在几乎所有的安全协议标准都是由发达国家制定的。在RFC中，还没有国内研究人员提出的安全协议。国内应积极参与国际上各种安全标准的制定。三、网络控制技术的研究现状网络控制技术种类繁多并且还互相交叉。虽然没有完整统一的理论基础，但是在不同的场合下，为了不同的目的许多网络控制技术的确可以发挥杰出的功效。下面要介绍一些常用的网络控制技术：访问控制技术、防火墙技术。访问控制都是以类似网关、接口和边界的形式，主业务必须通过访问控制关口才干进行正常访问。目前访问控制技术重要致力于三个方面的研究：操作系统自身的访问控制、边界访问控制、应用系统的访问控制。对操作系统的访问控制能力，一方面是开展对安全操作系统的研究。现在的操作系统的大多数是Cl、C2级，安全操作系统可以达成Bl级。目前各国都在开展安全操作系统的研究，安全操作系统重要是提高了操作系统的强制访问控制能力、安全审计能力、密码存取能力，对进程、文献、目录的保护都得到加强。边界访问控制系统用来解决内外网之间、内部子网之间的访问控制，可实现信息系统的安全域划分，实现不同安全域的隔离及访问控制，可以配置成分布式控制和集中管理。边界访问控制重要通过防火墙系统、支持VLAN的网络设备来实现。防火墙是最常用的边界访问控制设备。应用系统的访问控制一般在应用系统开发中单独实现；有时也可以通过调用底层的操作系统访问控制功能或者数据库管理系统访问控制功能。一些比较通用的应用系统，比如基于Web的应用，可以通过一些专用的应用系统访问控制系统完毕其功能。基于应用的访问控制是未来系统安全必须要加强的环节。但是由于应用系统的千变万化，很难有固定的、通用的应用系统安全访问控制方法。随着互联网、内联网和外联网等基于Web的网络应用越来越普及，我们逐渐将很多业务向Web应用进行移植是有也许的。因此，基于Web应用的访问控制系统也就诞生了。目前比较流行的应用系统的访问控制是将PKI技术、PMI技术、LDAP目录服务器结合起来实现安全访问控制和权限管理防火墙是一种允许接入外部网络，但同时又可以辨认和抵抗非授权访问的网络安全技术。防火墙可以用来集中控制内外网之间的数据流动，限制内外网之间的互相访问。防火墙扮演的是网络中的“交通警察”角色，指挥网上信息合理有序地安全流动，同时也解决网上的各类“交通事故”。目前防火墙在技术实现上，重要分为包过滤型、应用层代理型、全状态检测型。

防火墙的各种功能也在不断地进一步。目前，防火墙已经成为销售量最大的安全产品。在防火墙的研究方面，一方面是在性能上，向宽带化方向发展；在技术上重要是提供多层次的过滤技术，实现与入侵侦测技术、内容过滤技术、防病毒技术等的结合。同时越来越多的防火墙产品提供集成的VPN功能。防火墙将从目前被动防护状态转变为智能地、动态地保护内部网络，并集成目前各种信息安全技术。防火墙将和安全操作系统结合起来，从主线上堵住系统级的漏洞。四、信息对抗技术的研究现状信息对抗技术重要涉及：黑客袭击与防范技术、入侵检测技术、安全审计与监控技术、黑客追踪技术、计算机犯罪取证技术、应急响应系统、计算机病毒、冗余备份和劫难恢复技术等。由于几乎天天都在发生黑客入侵事件，因此对黑客袭击与防范技术的研究成为热点。黑客袭击与防范技术重要侧重于对黑客袭击方法的研究，针对黑客袭击的方法建系统入侵检测系统和访问控制系统。目前，已知的黑客袭击方法有多种，如口令袭击、拒绝服务袭击、网络窃听、缓冲区溢出、逻辑炸弹、蠕虫、病毒、特洛伊木马、陷门和后门等。在黑客袭击与防范技术方面，目前国内外都有一些专业的网络安全公司有比较进一步的研究，并有非常好的产品。美国最著名的研究黑客袭击方法的组织有：CIAC(计算机事故征询功能组)、CERT(计算机紧急响应小组)和COAST(计算机操作、审计和安全技术组)。他们跟踪研究最新的网络袭击手段，对外及时发布信息，并提供安全征询。入侵检测的重要功用就是对网络中的非法入侵行为、恶意破坏行为和信息的滥用等行为进行发现和监控。实时入侵检测可实时地监控网络上的数据访问和系统事件，对可疑的访问行为进行自动响应，使网络在受到危害之前就可阻止非法的入侵行为和内部网络的违规使用，从而最大限度地减少安全风险，保护公司网络的安全。对入侵检测技术的研究也是国内目前研究的热点。开展对入侵检测技术研究的单位从军方、学校到各种民间安全公司有上百家。入侵检测技术由单纯的局域网内基于主机和网络入侵检测发展到对大规模入侵行为的检测。入侵检测技术也侧重于研究入侵检测表达形式、模型、体系结构及与入侵检测相关的海量数据实时解决模型等。

安全审计技术的最重要目的就是帮助系统管理员拟定安全风险和记录日记。目前安全审计技术研究侧重于网络和主机系统的各种日记的分析。黑客追踪技术和计算机犯罪取证技术是信息对抗研究的重要内容。目前国内的相关研究机构和安全公司在这方面都有一些实用化的成果应急反映及劫难恢复技术重点在于研究网络袭击的实时响应模型和袭击源的反向追踪问题，研究系统快速恢复技术、残余信息恢复技术和备份恢复技术，建立普遍实用的劫难实时恢复的框架机制。国际上有应急响应和安全小组论坛(FIRST)，FIRST旨在团结全世界的网络安全组织以及专家，针对日益泛滥的网络破坏采用应急的安全防范措施。FIRST每年举行一次会议，重要讨论计算机安全事件的应急解决与响应(如：计算机防护、弱点袭击和计算机安全等)方面的内容。它的目的是加强全球FIRST组织之间的协调与合作。目前，我国已成为FIRST组织的正式成员。计算机病毒导致的危害重要表现在以下几个方面：①格式化磁盘，致使信息丢失；②删除可执行文献或数据文献；③破坏文献分派表，使得无法读用磁盘上的信息；④修改或破坏文献中的数据；⑤改变磁盘分派，导致数据写入错误；⑥病毒自身迅速复制或磁盘出现假“坏”扇区，使磁盘可用空间减少；⑦影响内存常驻程序的正常运营；⑧在系统中产生新的文献；⑨更改或重写磁盘卷标等。现在针对网络应用如电子邮件、Web服务的病毒大量涌现。由于计算机病毒具有传染的泛滥性、病毒侵害的积极性、病毒程序外形检测的难以拟定性、病毒行为鉴定的难以拟定性、非法性、隐蔽性、衍生性、衍生体的不等性和可激发性等特性，所以必须花大力气认真加以对付。对病毒的防范技术也是研究热点，目前市面上的防病毒系统很多，主流产品重要有瑞星、KILL、KV300、金山毒霸、VRV、AV95以及Norton等