国内外信息安全研究现状及发展趋势
国内外信息安全研究现状及发展趋势
国内外信息安全研究现状及发展趋势(一)
冯登国
随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保
密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为"攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)"等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的,协同的解决方案。与其他学科相比,信息安全的研究更强调自主性和创新性,自主性可以避免陷门",体现国家主权;而创新性可以抵抗各种攻击,适应技术发展的需求。
就理论研究而言,一些关键的基础理论需要保密,因为从基础理论研究到实际应用的距离很短。现代信息系统中的信息安全其核心问题是密码理论及其应用,其基础是可信信息系统的构作与评估。总的来说,目前在信息安全领域人们所关注的焦点主要有以下几方面:1)密码理论与技术;
2)安全协议理论与技术;
3)安全体系结构理论与技术;
4)信息对抗理论与技术;
5)网络安全与安全产品。
下面就简要介绍一下国内外在以上几方面的研究现状及发展趋势。
1.国内外密码理论与技术研究现状及发展趋势
密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。
自从1976年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。由于分解大整数的能力日益增强,所以对RSA的安全带来了一定的威胁。目前768比特模长的RSA已不安全。一般建议使用1024比特模长,预计要保证20年的安全就要选择1280比特的模长,增大模长带来了实现上的难度。而基于离散对数问题的公钥密码在目前技术下512比特模长就能够保证其安全性。特别是椭圆曲线上的离散对数的计算要比有限域上的离散对数的计算更困难,目前技术下只需要160比特模长即可,适合于智能卡的实现,因而受到国内外学者的广泛关注。国际上制定了椭圆曲线公钥密码标准IEEEP1363,RSA等一些公司声称他们已开发出了符合该标准的椭圆曲线公钥密码。我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方面也做了一定的工作,比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究中的一个热点,包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。
公钥密码主要用于数字签名和密钥分配。当然,数字签名和密钥分配都有自己的研究体系,形成了各自的理论框架。目前数字签名的研究内容非常丰富,包括普通签名和特殊签
名。特殊签名有盲签名,代理签名,群签名,不可否认签名,公平盲签名,门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS),部分州已制定了数字签名法。法国是第一个制定数字签名法的国家,其他国家也正在实施之中。在密钥管理方面,国际上都有一些大的举动,比如1993年美国提出的密钥托管理论和技术、国际标准化组织制定的标准(已经发展到第3版本)以及麻省里工学院开发的Kerboros协议(已经发展到第5版本)等,这些工作影响很大。密钥管理中还有一种很重要的技术就是秘密共享技术,它是一种分割秘密的技术,目的是阻止秘密过于集中,自从1979年Shamir提出这种思想以来,秘密共享理论和技术达到了空前的发展和应用,特别是其应用至今人们仍十分关注。我国学者在这些方面也做了一些跟踪研究,发表了很多论文,按照标准实现了一些CA。但没有听说过哪个部门有制定数字签名法的意向。目前人们关注的是数字签名和密钥分配的具体应用以及潜信道的深入研究。
认证码是一个理论性比较强的研究课题,自80年代后期以来,在其构造和界的估计等方面已经取得了长足的发展,我国学者在这方面的研究工作也非常出色,影响较大。目前这方面的理论相对比较成熟,很难有所突破。另外,认证码的应用非常有限,几乎停留在理论研究上,已不再是密码学中的研究热点。
Hash函数主要用于完整性校验和提高数字签名的有效性,目前已经提出了很多方案,各有千秋。美国已经制定了Hash标准-SHA-1,与其数字签名标准匹配使用。由于技术的原因,美国目前正准备更新其Hash标准,另外,欧洲也正在制定Hash标准,这必然导致Hash函数的研究特别是实用技术的研究将成为热点。
在身份识别的研究中,最令人瞩目的识别方案有两类:一类是1984年Shamir提出的基于身份的识别方案,另一类是1986年Fiat等人提出的零知识身份识别方案。随后,人们在这两类方案的基础上又提出了一系列实用的身份识别方案,比如,Schnorr识别方案、Okamoto 识别方案、Guillou-Quisquater识别方案、Feige-Fiat-Shamir识别方案等。目前人们所关注的是身份识别方案与具体应用环境的有机结合。
序列密码主要用于政府、军方等国家要害部门,尽管用于这些部门的理论和技术都是保密的,但由于一些数学工具(比如代数、数论、概率等)可用于研究序列密码,其理论和技术相对而言比较成熟。从八十年代中期到九十年代初,序列密码的研究非常热,在序列密码的设计与生成以及分析方面出现了一大批有价值的成果,我国学者在这方面也做了非常优秀的工作。虽然,近年来序列密码不是一个研究热点,但有很多有价值的公开问题需要进一步解决,比如自同步流密码的研究,有记忆前馈网络密码系统的研究,混沌序列密码和新研究方法的探索等。另外,虽然没有制定序列密码标准,但在一些系统中广泛使用了序列密码比如RC4,用于存储加密。事实上,欧洲的NESSIE计划中已经包括了序列密码标准的制定,这一举措有可能导致序列密码研究热。
美国早在1977年就制定了自己的数据加密标准(一种分组密码),但除了公布具体的算法之外,从来不公布详细的设计规则和方法。随着美国的数据加密标准的出现,人们对分组密码展开了深入的研究和讨论,设计了大量的分组密码,给出了一系列的评测准则,其他国家,如日本和苏联也纷纷提出了自己的数据加密标准。但在这些分组密码中能被人们普遍接受和认可的算法却寥寥无几。何况一些好的算法已经被攻破或已经不适用于技术的发展要求。比如美国的数据加密标准已经于1997年6月17日被攻破。美国从1997年1月起,正在征集、制定和评估新一代数据加密标准(称作AES),大约于2001年出台,目前正处于讨论和评估之中。AES活动
使得国际上又掀起了一次研究分组密码的新高潮。继美国征集AES活动之后,欧洲和日本也不甘落后启动了相关标准的征集和制定工作,看起来比美国更宏伟。同时国外比如美国为适应技术发展的需求也加快了其他密码标准的更新,比如SHA-1和FIPS140-1。我国目前的做法是针对每个或每一类安全产品需要开发所用的算法,而且算法和源代码都不公开,这样一来,算法的需求量相对就比较大,继而带来了兼容性、互操作性等问题。
国外目前不仅在密码基础理论方面的研究做的很好,而且在实际应用方面也做的非常好。制定了一系列的密码标准,特别规范。算法的征集和讨论都已经公开化,但密码技术作为一种关键技术,各国都不会放弃自主权和控制权,都在争夺霸权地位。美国这次征集AES的活动就充分体现了这一点,欧洲和日本就不愿意袖手旁观,他们也采取了相应的措施,其计划比美国更宏大,投资力度更大。我国在密码基础理论的某些方面的研究做的很好,但在实际应用方面与国外的差距较大,没有自己的标准,也不规范。
目前最为人们所关注的实用密码技术是PKI技术。国外的PKI应用已经开始,开发PKI的厂商也有多家。许多厂家,如Baltimore,Entrust等推出了可以应用的PKI产品,有些公司如VerySign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此,总的说来PKI技术仍在发展中。按照国外一些调查公司的说法,PKI系统仅仅还是在做示范工程。IDC公司的Internet安全知深分析家认为:PKI 技术将成为所有应用的计算基础结构的核心部件,包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。
目前国际上对非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术等)非常关注,讨论也非常活跃。信息隐藏将在未来网络中保护信息免于破坏起到重要作用,信息隐藏是网络环境下把机密信息隐藏在大量信息中不让对方发觉的一种方法。特别是图象叠加、数字水印、潜信道、隐匿协议等的理论与技术的研究已经引起人们的重视。1996年以来,国际上召开了多次有关信息隐藏的专业研讨会。基于生物特征(比如手形、指纹、语音、视网膜、虹膜、脸形、DNA等)的识别理论与技术已有所发展,形成了一些理论和技术,也形成了一些产品,这类产品往往由于成本高而未被广泛采用。1969年美国哥伦比亚大学的Wiesner创造性地提出了共轭编码的概念,遗憾的是他的这一思想当时没有被人们接受。十年后,源于共轭编码概念的量子密码理论与技术才取得了令人惊异的进步,已先后在自由空间和商用光纤中完成了单光子密钥交换协议,英国BT实验室通过30公里的光纤信道实现了每秒20k比特的密钥分配。近年来,英、美、日等国的许多大学和研究机构竞相投入到量子密码的研究之中,更大的计划在欧洲进行。到目前为止,主要有三大类量子密码实现方案:一是基于单光子量子信道中测不准原理的;二是基于量子相关信道中Bell原理的;三是基于两个非正交量子态性质的。但有许多问题还有待于研究。比如,寻找相应的量子效应以便提出更多的量子密钥分配协议,量子加密理论的形成和完善,量子密码协议的安全性分析方法研究,量子加密算法的开发,量子密码的实用化等。总的来说,非数学的密码理论与技术还处于探索之中。
密码技术特别是加密技术是信息安全技术中的核心技术,国家关键基础设施中不可能引进或采用别人的加密技术,只能自主开发。目前我国在密码技术的应用水平方面与国外还有一定的差距。国外的密码技术必将对我们有一定的冲击力,特别是在加入WTO组织后这种冲击力只会有增无减。有些做法必须要逐渐与国际接轨,不能再采用目前这种关门造车的做法,因此,我们必须要有我们自己的算法,自己的一套标准,自己的一套体系,来对付未来的挑战。实用密码技术的基础是密码基础理论,没有好的密码理论不可能有好的密码技术、也不可能有先进的、自主的、创新的密码技术。因此,首先必须持之以恒地坚持和加强密码基础理论研究,与国际保
持同步,这方面的工作必须要有政府的支持和投入。另一方面,密码理论研究也是为了应用,没有应用的理论是没有价值的。我们应在现有理论和技术基础上充分吸收国外先进经验形成自主的、创新的密码技术以适应国民经济的发展。
特别值得一提的是欧洲大计划NESSIE工程必将大大推动密码学的研究和发展,我们应予以密切关注。
国内外信息安全研究现状及发展趋势(二)
2.国内外安全协议理论与技术研究现状及发展趋势
安全协议的研究主要包括两方面内容,即安全协议的安全性分析方法研究和各种实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类,一类是攻击检验方法,一类是形式化分析方法,其中安全协议的形式化分析方法是安全协议研究中最关键的研究问题之一,它的研究始于80年代初,目前正处于百花齐放,充满活力的状态之中。许多一流大学和公司的介入,使这一领域成为研究热点。随着各种有效方法及思想的不断涌现,这一领域在理论上正在走向成熟。
目前,在这一领域中比较活跃的群体包括:以Meadows 及Syverson为代表的美国空军研究实验室;以Lowe为代表的英国Leicester学院;以Schneider为代表的英国London 学院;以Roscoe为代表的英国Oxford学院;以Millen为代表的美国Carnegie Mellon学院;以Stoller为代表的美国Indiana大学;以Thayer、Herzon及Guttman为代表的美国MITRE公司;以Bolignano为代表的美国IBM公司;以及为代表的美国Stanford大学;以Stubblebine 为代表的美国AT&T实验室;以Paulson为代表的英国Cambridge学院;以Abadi为代表的美国数据设备公司系统研究中心等等。除了这些群体外,许多较有实力的计算机科学系及公司都有专业人员从事这一领域的研究。
从大的方面讲,在协议形式化分析方面比较成功的研究思路可以分为三种:第一种思路是基于推理知识和信念的模态逻辑;第二种思路是基于状态搜索工具和定理证明技术;第三种思路是基于新的协议模型发展证明正确性理论。沿着第一种思路,Brackin推广了GNY逻辑并给出了该逻辑的高阶逻辑(HOL)理论,之后利用HOL理论自动证明在该系统内与安全相关的命题;Kindred则提出安全协议的理论生成,解决更广的问题:给定一个逻辑和协议,生成协议的整个理论的有限表示。尽管也有人提出不同的认证逻辑来检查不同的攻击,但是与前两项工作相比是不重要的。第二种思路是近几年研究的焦点,大量一般目的的形式化方法被用于这一领域,取得了大量成果,突出的成果有:Lowe使用进程代数CSP发现了Needham-Schroeder公钥协议的十七年未发现的漏洞;Schneider用进程代数CSP归范了大量的安全性质;基于进程代数CSP ,Lowe和Roscoe分别发展了不同的理论和方法把大系统中协议安全性质的研究约化为小系统中协议安全性质的研究;Abadi及 Gordon发展推演密码协议的Spi演算,等把Spi演算与他们发展的工具Murφ结合,有可能把MIT群体的基于算法复杂性的协议安全理论与进程代数有机结合;Meadows及Syverson发展协议分析仪的工作是重要的;Bolignano使用Coq来分析大协议取得实效。总之,第二种思路至今仍是热点。第三种思路是推广或完善协议模型,根据该模型提出有效的分析理论。在这方面Thayer、Herzon及Guttman提出的Strand Space理论是一个相当简洁、优美的理论,它把以往使用过的许多思想及技术合理融为一体。Paulson的归纳方法也是有力的,而Schneider基于CSP的理论分析体系已引发许多工作。正如Meadows所说:这一领域已出现了统一的信号,标明了该领域正走向成熟。但该领域还有许多工作需要完成,主要包括:如何把分
析小系统协议的思想与方法扩充到大系统协议;如何扩充现已较成熟的理论或方法去研究更多的安全性质,使同一系统中安全性质在统一的框架下进行验证,而不是同一系统中不同安全性质采用不同系统进行验证,只有这样才能保证不会顾此失彼。
目前,已经提出了大量的实用安全协议,有代表的有:电子商务协议,IPSec协议,TLS协议,简单网络管理协议(SNMP),PGP协议,PEM协议,S-HTTP协议,S/MIME协议等。实用安全协议的安全性分析特别是电子商务协议,IPSec协议,TLS协议是当前协议研究中的另一个热点。
典型的电子商务协议有SET协议,iKP协议等。另外,值得注意的是Kailar逻辑,它是目前分析电子商务协议的最有效的一种形式化方法。
为了实现安全IP,Internet工程任务组IETF于1994年开始了一项IP安全工程,专门成立了IP安全协议工作组IPSEC,来制定和推动一套称为IPSec的IP安全协议标准。其目标就是把安全集成到IP层,以便对Internet的安全业务提供底层的支持。IETF于1995年8月公布了一系列关于IPSec的建议标准。IPSec适用于IPv4和下一代IP协议IPv6,并且是IPv6自身必备的安全机制。但由于IPSec还比较新,正处于研究发展和完善阶段。
1994年,Netscape公司为了保护Web通信协议HTTP,开发了SSL协议,该协议的第一个成熟的版本是,被集成到Netscape公司的Internet产品中,包括Navigator浏览器和Web服务器产品等。协议的出现,基本上解决了Web通信协议的安全问题,很快引起了人们的关注。Microsoft公司对该协议进行了一些修改,发布了PCT协议,并应用在Internet Explorer 等产品中。1996年,Netscape公司发布了,该版本增加了一些功能和安全特性,并修改了一些安全缺陷。1997年,IETF基于协议发布了传输层安全协议的草案,Microsoft公司丢弃了PCT,和Netscape公司一起宣布支持该开放的标准。1999年,正式发布了RFC2246。
在安全协议的研究中,除理论研究外,实用安全协议研究的总趋势是走向标准化。我国学者虽然在理论研究方面和国际上已有协议的分析方面做了一些工作,但在实际应用方面与国际先进水平还有一定的差距,当然,这主要是由于我国的信息化进程落后于先进国家的原因。
3.国内外安全体系结构理论与技术研究现状及发展趋势
安全体系结构理论与技术主要包括:安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,符合这些模型、策略和准则的系统的研制(比如安全操作系统,安全数据库系统等)。
80年代中期,美国国防部为适应军事计算机的保密需要,在70年代的基础理论研究成果计算机保密模型(Bell&La padula模型)的基础上,制订了"可信计算机系统安全评价准则"(TCSEC),其后又对网络系统、数据库等方面作出了系列安全解释,形成了安全信息系统体系结构的最早原则。至今美国已研制出达到TCSEC要求的安全系统(包括安全操作系统、安全数据库、安全网络部件)多达100多种,但这些系统仍有局限性,还没有真正达到形式化描述和证明的最高级安全系统。90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的"信息技术安全评价准则"( ITSEC ),但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出quot;信息技术安全评价通用准则"(C
C for ITSEC)。CC综合了国际上已有的评测准则和技术标准的精华,给出了框架和原则要求,但它仍然缺少综合解决信息的多种安全属性的理论模型依据。CC标准于1999年7月通过国际标准化组织认可,确立为国际标准,编号为ISO/IEC 15408。ISO/IEC 15408标准对安全的内容和级别给予了更完整的规范,为用户对安全需求的选取提供了充分的灵活性。然而,国外研制的高安全级别的产品对我国是封锁禁售的,即使出售给我们,其安全性也难以令人放心,我们只能自主研究和开发。
我国在系统安全的研究与应用方面与先进国家和地区存在很大差距。近几年来,在我国进行了安全操作系统、安全数据库、多级安全机制的研究,但由于自主安全内核受控于人,难以保证没有漏洞。而且大部分有关的工作都以美国1985年的TCSEC标准为主要参照系。开发的防火墙、安全路由器、安全网关、黑客入侵检测系统等产品和技术,主要集中在系统应用环境的较高层次上,在完善性、规范性、实用性上还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大距离,其理论基础和自主的技术手段也有待于发展和强化。然而,我国的系统安全的研究与应用毕竟已经起步,具备了一定的基础和条件。1999年1 0月发布了"计算机信息系统安全保护等级划分准则",该准则为安全产品的研制提供了技术支持,也为安全系统的建设和管理提供了技术指导。
Linux开放源代码为我们自主研制安全操作系统提供了前所未有的机遇。作为信息系统赖以支持的基础系统软件--操作系统,其安全性是个关键。长期以来,我国广泛使用的主流操作系统都是从国外引进的。从国外引进的操作系统,其安全性难以令人放心。具有我国自主版权的安全操作系统产品在我国各行各业都迫切需要。我国的政府、国防、金融等机构对操作系统的安全都有各自的要求,都迫切需要找到一个既满足功能、性能要求,又具备足够的安全可信度的操作系统。Linux的发展及其应用在国际上的广泛兴起,在我国也产生了广泛的影响,只要其安全问题得到妥善解决,将会得到我国各行各业的普遍接受。
国内外信息安全研究现状及发展趋势(三)
4.国内外信息对抗理论与技术研究现状及发展趋势
信息对抗理论与技术主要包括:黑客防范体系,信息伪装理论与技术,信息分析与监控,入侵检测原理与技术,反击方法,应急响应系统,计算机病毒,人工免疫系统在反病毒和抗入侵系统中的应用等。
由于在广泛应用的国际互联网上,黑客入侵事件不断发生,不良信息大量传播,网络安全监控管理理论和机制的研究受到重视。黑客入侵手段的研究分析,系统脆弱性检测技术,入侵报警技术,信息内容分级标识机制,智能化信息内容分析等研究成果已经成为众多安全工具软件的组成部分。大量的安全事件和研究成果揭示出系统中存在许多设计缺陷,存在情报机构有意埋伏的安全陷阱的可能。例如在CPU芯片中,在发达国家现有技术条件下,可以植入无线发射接收功能;在操作系统、数据库管理系统或应用程序中能够预先安置从事情报收集、受控激发破坏程序。通过这些功能,可以接收特殊病毒、接收来自网络或空间的指令来触发CPU
的自杀功能、搜集和发送敏感信息;通过特殊指令在加密操作中将部分明文隐藏在网络协议层中传输等。而且,通过唯一识别CPU个体的序列号,可以主动、准确地识别、跟踪或攻击一个使用该芯片的计算机系统,根据预先设定收集敏感信息或进行定向破坏。
1988年著名的"Internet蠕虫事件"和计算机系统Y2k问题足以让人们高度重视信息系统的安全。最近黑客利用分布式拒绝服务方法攻击大型网站,导致网络服务瘫痪,更
是令人震惊。由于信息系统安全的独特性,人们已将其用于军事对抗领域。计算机病毒和网络黑客攻击技术必将成为新一代的军事武器。信息对抗技术的发展将会改变以往的竞争形式,包括战争。
Shane 在他的论文"信息战"中写道:"信息战环境中的关键部分是参与者不需要拥有超级能力。任何势力(甚至不必考虑国家状态)拥有适当技术就可以破坏脆弱的C2级网络并拒绝关键信息服务。相对Mahanian的'信息控制'战略而言(该战略试图控制信息领域的每个部分),美国军方更现实的战略方法是采用'信息拒绝'中的一种(特别是对真实信息访问的拒绝)。"RAND的专家较零散。但它的确是一个研究热点。目前看到的成果主要是一些产品(比如IDS、防范软件、杀病毒软件等),攻击程序和黑客攻击成功的事件。当前在该领域最引人瞩目的问题是网络攻击,美国在网络攻击方面处于国际领先地位,有多个官方和民间组织在做攻击方法的研究。其中联邦调查局的下属组织NIPC维护了一个黑客攻击方法的数据库,列入国家机密,不对外提供服务。该组织每两周公布一次最新的黑客活动报道及其攻击手段与源码。美国最著名的研究黑客攻击方法的组织有:CIAC(计算机事故咨询功能组),CERT(计算机紧急响应小组)和COAST(计算机操作、审计认为"信息战没有前线,潜在的战场是一切联网系统可以访问的地方,比如,油气管线、电力网、电话交换网。总体来说,美国本土不再是能提供逃避外部攻击的避难所。
该领域正在发展阶段,理论和技术都很不成熟,也比和安全技术组)。他们跟踪研究最新的网络攻击手段,对外及时发布信息,并提供安全咨询。此外,国际上每年举行一次FIRST(安全性事故与响应小组论坛)会议,探讨黑客攻击方法的最新进展。
该领域的另一个比较热门的问题是入侵检测与防范。这方面的研究相对比较成熟,也形成了系列产品,典型代表是IDS产品。国内在这方面也做了很好的工作,并形成了相应的产品。
信息对抗使得信息安全技术有了更大的用场,极大地刺激了信息安全的研究与发展。信息对抗的能力不仅体现了一个国家的综合实力,而且体现了一个国家信息安全实际应用的水平。为此,通过调研国际上在该领域的发展现状和趋势,结合我们自己的理解和观点,对信息对抗的定义、研究内容、研究目标等方面进行了详细描述和总结。详细介绍参见论文《网络环境下的信息对抗理论与技术》(作者:冯登国、蒋建春,发表在《世界科技研究与发展》上,2000年4月,第22卷,第2期,27-30页)。
5.国内外网络安全与安全产品研究现状及发展趋势
网络安全是信息安全中的重要研究内容之一,也是当前信息安全领域中的研究热点。研究内容包括:网络安全整体解决方案的设计与分析,网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护,免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。它是一个涉及网络、操作系统、数据库、应用系统、人员管理等方方面面的事情,必须综合考虑。
网络中的安全威胁主要有:
1)身份窃取,指用户身份在通信时被非法截取;
2)假冒,指非法用户假冒合法用户身份获取敏感信息的行为;
3)数据窃取,指非法用户截获通信网络的数据;
4)否认,指通信方事后否认曾经参与某次活动的行为;
5)非授权访问;
6)拒绝服务,指合法用户的正当申请被拒绝、延迟、更改等;
7)错误路由。
解决网络信息安全问题的主要途径是利用密码技术和网络访问控制技术。密码技术用于隐蔽传输信息、认证用户身份等。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。
目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:
1)防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
2)安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
3)虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。
4)安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
5)电子签证机构--CA和PKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。6)用户认证产品:由于IC卡技术的日益成熟和完善,IC卡被更为广泛地用于用户认证产品中,用来存储用户的个人私钥,并与其他技术如动态口令相结合,对用户身份进行有效的识别。同时,还可利用IC卡上的个人私钥与数字签名技术结合,实现数字签名机制。随着模式识别技术的发展,诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用,并与数字签名等现有技术结合,必将使得对于用户身份的认证和识别更趋完善。
7)安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
8)入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
9)安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
10)安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP 服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。
在上述所有主要的发展方向和产品种类上,都包含了密码技术的应用,并且是非常基础性的应用。很多的安全功能和机制的实现都是建立在密码技术的基础之上,甚至可以说没有密码技术就没有安全可言。但是,我们也应该看到密码技术与通信技术、计算机技术以及芯片技术的融合正日益紧密,其产品的分界线越来越模糊,彼此也越来越不能分割。在一个计算机系统中,很难简单地划分某个设备是密码设备,某个设备是通信设备。而这种融合的最终目的还是在于为用户提供高可信任的、安全的计算机和网络信息系统。
网络安全的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。目前国际上已有众多的网络安全解决方案和产品,但由于出口政策和自主性等问题,不能直接用于解决我国自己的网络安全,因此我国的网络安全只能借鉴这些先进技术和产品,自行解决。可幸的是,目前国内已有一些网络安全解决方案和产品,不过,这些解决方案和产品与国外同类产品相比尚有一定的差距。
数字签名技术研究–棋虫博客
数字签名技术的核心是加密和解密,把明文变换成密文的过程叫加密;把密文变换成
明文的过程叫解密,明文和密文之间的变换应该是唯一的;
对称密码学的加解密:
加密需要三个东西,第一:明文,指需要加密的信息;第二:加密算法;第三:密钥,
加密时:加密算法根据密钥将明文加密生成密文,相同的加密算法利用不同的密钥生
成的密文是不一样的。
同样的,解密时,也需要用于解密的密钥,尽管算法一样但用不同的加密密钥生成密
文需要不同的解密密钥来将密文重新变回明文。
由此可见,有一个加密密钥就有一个解密密钥相对应,加密密钥和解密密钥是不同的;
加密算法保证了即使你知道加密密钥,知道明文,并且知道加密后的密文,也是无法
推出解密密钥;
通常情况下,加密密钥是公开的,所以经常叫做公钥,解密密钥不公开,常叫做私钥。
举一个电子邮件加解密的过程来说明公钥和私钥,比如你拥有一组相对应的公钥和私
钥
你先将你的公钥通过某种方式公开,我要给你发邮件时,先取得你的公钥,并利用这
个公钥将邮件信息加密,然后将邮件发给你。这封加密后的邮件只有你的那一个密钥
才能解密。如果邮件在传送途中被黑客截走,由于黑客没有解密密钥,也是无法看到邮
件加密前的信息。前面已经提到,根据公钥是推算不出密钥的,公钥和密钥是不对称
的。
公钥和密钥的不对称,并且无法相互推算是由加密算法决定的。公钥和私钥反过来也
是能用的,就是用私钥加密,公钥解密也是可以的。这样,就可以利用私钥签名,而
其他人就可以利用公钥来检验发送该信息的人的身份,如果用公钥无法解密,说明发
该信息的人不拥有与公钥相对应的私钥。
密码的算法据说是利用了歌德巴赫猜想,将一个大数分解成两个质数的乘机(~),
还好网上有很多现成的算法,并且都提供了相关的SDK,比如DES等,网上很多地方都有用于C++的下载,在微软的Windows SDK里算法已经被集成进了CryptoAPI,可以在MFC等程序中都可以调用。公钥和密钥在编程中就是一个字符串。
证书
每对密钥由一个公钥和一个私钥组成,私钥由拥有者自己保存,而公钥则需要公开出来,公钥本身并没标记,仅从公钥本身不能判别谁拥有与这个公钥相对应的私钥,在很小的范围内,比如只有两人,他们之间相互信任,交换公钥,用于相互之间验证身份,没有什么问题。这个集体再稍大一点,彼此信任,也不成问题,但从法律角度讲这种信任也是有问题的。想个简单的情况:比如某人用自己的私钥对一个信息进行签名,过了一段时间之后有人发现这段信息有某种纠纷了,需要追查,那么如果拥有私钥的签名者不承认自己拥有这个私钥,那也没什么办法了...签名就变得毫无意义。证书将公钥和公钥的主人名字(也就是谁拥有与这个公钥相对应的私钥)联系在一起,再请一个大家都信得过有信誉的公正、权威机构确认,就形成了证书。大体上证书包含这么三个东西:公钥、主人的名字等信息、权威机构的确认信息。由于证书上有权威机构的确认信息(当然也是加密的,下文再描述怎么确认),所以可以认为证书上的内容是可信任的;又由于证书的内容里有主人的各种信息,所以就可以确认这份证书里的公钥是谁的(也就是谁拥有与这个公钥相对应的私钥)。
(证书目前最常用的是X509格式的证书)
前面说的那个权威机构就是我们经常在网上看到的这个名词:CA(英文全称:Certi ficate Authority)。
这个CA也有他自己的公钥和私钥。
Windows 环境下,我们的电脑存储有我们所信任的CA的证书(里边有该CA的公钥),启动Internet Explorer――>工具――>InterNet 选项――>内容――>证书,可以看到你的电脑所信任的权威机构的证书。权威机构可以利用自己的私钥对另一份证书进行签名,也就是前面所说的证书中的权威机构的确认信息,一旦权威机构对一份证书签了名,就表示他确认这本证书是属于某人的。被签了名的证书还能继续对其他证书进行签名,这样一层层签下去,就形成了一个证书链。每个证书链有一个开始,那就是根证书,根证书是利用与自己本身公钥相对应的私钥进行签名的,所以又叫自签名证书。微软为我们的windows 默认装了几十个根证书,以及十几个这些根证书签过名的第二级证书。以后我们要作“正宗”证书的话就要要求这些根证书的拥有者用他们的私钥给我们的证书签一下名(当然要钱的)。如果是企业内部的应用,我们也可以自己做一个自签名证书,项目实施的时候给用户的电脑装上。生成自签名证书有很多方法:
1.利用SDK,自己编程生成,网上有很多这方面的SDK,最著名的如OpenSSL
2.利用openssl提供的命令行工具生成
3. Windows2000的证书服务也可以自己生成自签名证书(自签名证书就是根证书). 有了根证书的私钥就可以对其他证书进行签名,注:私钥不仅可以用来对信息,程序,
代码甚至是证书等等各种信息进行签名。
Windows SDK的 CryptoAPI 中包含了对证书进行编程的函数,在里提供了一个X509
的托管类,可以方便的进行证书方面的编程,OpenSSL不仅可以进行Windows下的证书
编程,也可以进行Unix下的编程,但网上几乎很能找到OpenSSL的说明资料,中文的
根本没有,入门比较难。CryptoAPI和.Net的X509Certificate类在MSDN里有详细的
说明,同时在MSDN里还能看到X509Certificate的十几个派生类,对于编程者来说,
开发功能能够简单许多。
常见使用举例:
https 的网站
访问方法,网站服务器将公钥发给浏览者,浏览者发给web服务器的信息都经过公钥
加密,然后web服务器端利用私钥将信息进行解密,黑客即使获得了公钥和加密后的信
息,也无法获得加密前的信息
3.2 数字签名
数字签名(也称数字签字、电子签名)在信息安全方面有重要应用,是实现认证的重要工具,在电子商务系统中是不可缺少的。
3.2.1 数字签名的基本概念
在电子商务中,为了保证电子商务安全中的认证性和不可否认性,必须具有数字签名技术。数字签名是利用数字技术实现在网络传送文件时,附加个人标记,完成传统上手书签名盖章的作用,以表示确认、负责、经手等。
数字签名与消息的真实性认证是不同的。消息认证是使接收方能验证消息发送者及所发信息内容是否被篡改过。当收发者之间没有利害冲突时,这对于防止第三者的破坏来说是足够了。但当接收者和发送者之间相互有利害冲突时,单纯用消息认证技术就无法解决他们之间的纠纷,此时需借助数字签名技术。
3.2.2 数字签名的必要性
商业中的契约、合同文件、公司指令和条约,以及商务书信等,传统采用手书签名或印章,以便在法律上能认证、核准、生效。
传统手书签名仪式要专门预定日期时间,契约各方到指定地点共同签署一个合同文件,短时间的签名工作量需要很长时间的前期准备工作。由于某个人不在要签署文件的当地,于是要等待、再等待。这种状况对于管理者,是延误时机:对于合作伙伴,是丢失商机:对于政府机关,是办事效率低下。
电子商务的发展大大地加快了商务的流程,已经不能容忍这种“慢条斯理”的传统手书签名方式。在电子商务时代,为了使商、贸、政府机构和直接消费者各方交流商务信息更快、更准确和更便于自动化处理,各种凭证、文件、契约、合同、指令、条约、书信、订单、企业内部(分散在各地)的管理等必须实现网络化的传递。保障传递文件的机密性应使用加密技术,保障其完整性则用信息摘要技术,而保障认证性和不可否认性则应使用数字签名技术。
数字签名可做到高效而快速的响应,任一时刻,在地球任何地方——只要有Internet,就可完成签署工作。
数字签名除了可用于电子商务中的签署外,还可用于电子办公、电子转账及电子邮递等系
统。
3.2.3 数字签名的原理
签名是针对某一文件的,数字签名也必须针对某一电子文件,加上签名者个人的数字标记形成“数字签名”电子文件,这个电子文件从网上发送出去,接收方要能识别签名,具有认证性:从法律角度,具有不可否认性:发送方确实签署了,而接收方确实收到了。
数字签名用一般的加密方法是无法完成的。它的基本原理是:发送者A用自己的私钥KSA 对消息M加密后,得密文c,B收到密文c后,用A的公钥KPA解密后,得消息M’。如果可得消息M’,且M和M’一致,即KSA和KPA是一对密钥,M是经KSA加密的——说明M是经过A“签字”的,因为只有A有这个私钥KSA。而对于消息M,B可同时通过其他途径直接从A处得到。
上述的基本原理是严格的,但不“实用”,因为用双钥密码体制加密消息M是非常慢的。与单钥密码体制加密消息的速度相比,双钥的要慢1 000倍以上。即使以后计算机的速度大幅度地提高,情况依然如此。因为为了防止破密,加密的复杂性和位数也会提高的。因此,在实际应用中,不是直接加密消息M,而是加密消息M的消息摘要H(M);消息摘要是很短的,用双钥密码体制加密它是很快的。消息用散列函数处理得到消息摘要,再用双钥密码体制的私钥加密就得到数字签名。这是实际使用的实现数字签名处理的方法。
归纳一下,数字签名实际使用原理是:消息M用散列函数H得到消息摘要h1=H(M),然后发送方A用自己的双钥密码体制的私钥KSA对这个散列值进行加密:EKSA(h1),来形成发送方A的数字签名。然后,这个数字签名将作为消息M的附件和消息M一起发送给消息接收方B。消息的接收方B首先把接收到的原始消息分成M’和EKSA(h1)。从M’中计算出散列值h2= H(M’),接着再用发送方的双钥密码体制的公钥KPA来对消息的数字签名进行解密DKPA(EKSA(h1))得h1。如果散列值h1=h2,那么接收方就能确认该数字签名是发送方A的,而且还可以确定此消息没有被修改过。
3.2.4 数字签名的要求
类似于手书签名,数字签名也应满足以下要求;
(1)接收方B能够确认或证实发送方A的签名,但不能由B或第三方C伪造;
(2)发送方A发出签名的消息给接收方B后,A就不能再否认自己所签发的消息;
(3)接收方B对已收到的签名消息不能否认,即有收报认证;
(4)第三者C可以确认收发双方之间的消息传送,但不能伪造这一过程。
数字签名与手书签名的区别在于:手写签名(包括盖章)是模拟的,因人而异,即使同一个人也有细微差别,比较容易伪造,要区别是否是伪造,往往需要特殊专家。而数字签名是0和1的数字串,极难伪造,要区别是否为伪造,不需专家。对不同的信息摘要,即使是同一人,其数字签名也是不同的。这样就实现了文件与签署的最紧密的“捆绑”。
数字签名分确定性数字签名和随机化式数字签名。确定性数字签名,其明文与密文一一时应,它对一特定消息的签名不变化,如RSA,Rabin等签名;另一类是随机式(概率式)数字签名,根据签名算法中的随机参数值,对同一消息的签名也有对应的变化。这样,一个明文可能有多个合法数字签名,如ELGamal等签名。
3.2.5 数字签名的作用
数字签名可以证明:
(1)如果他人可以用公钥正确地解开数字签名,则表示数字签名的确是由签名者产生的。
(2)如果消息M是用散列函数H得到的消息摘要H(M),和消息的接收方从接收到的消息M’计算出散列值H(M’),这两种信息摘要相同表示文件具有完整性。
数字签名机制提供了一种数字鉴别方法,普遍用于银行、电子商务、电子办公等。
数字签名可以解决下述安全鉴别问题:
(1)接收方伪造:接收方伪造一份文件,并声称这是发送方发送的;
(2)发送者或接收者否认:发送者或接收者事后不承认自己曾经发送或接收过文件:
(3)第三方冒充:网上的第三方用户冒充发送或接收文件;
(4)接收方篡改:接收方对收到的文件进行改动。
posted on 2006-01-20 18:24 LabVIEW开发者阅读(209) 评论(1) 编辑收藏网摘
数字签名技术
数字签名技术即进行身份认证的技术。在数字化文档上的数字签名类似于纸张上的手写签名,是不可伪造的。接收者能够验证文档确实来自签名者,并且签名后文档没有被修改过,从而保证信息的真实性和完整性。在指挥自动化系统中,数字签名技术可用于安全地传送作战指挥命令和文件。
完善的签名应满足以下三个条件:
1.签名者事后不能抵赖自己的签名;
2.任何其它人不能伪造签名;
3.如果当事人双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪。
数字签名技术
Internet的迅猛发展使电子商务成为商务活动的新模式。电子商务包括管理信息系统MIS、电子数据交换EDI、电子订货系统EOS、商业增值网VAN等,其中EDI成为电子商务的核心部分,涉及到多个环节的复杂的人机工程。网络的开放性与共享性也导致了网络的安全性受到严重影响,在开放的Internet平台上,社会生活中传统的犯罪和不道德行为将变得更加隐蔽和难以控制。人们从面对面的交易和作业,变成网上互不见面的操作、没有国界、没有时间限制,就产生了更大的安全隐患。因此,在电子商务的发展热潮中,电子商务的安全性已成为制约电子商务发展的重要瓶颈。
如何保证网上传输的数据的安全和交易对方的身份确认是电子商务是否得到推广的关键,可以说电子商务最关键的问题是安全性问题;而数字签名(Digital Signatures)技术是保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性的一种有效的解决方案,是电子商务安全性的重要部分。
一、电子商务中数据传输的几个安全性需求
1. 数据的保密性:用于防止非法用户进入系统及合法用户对系统资源的非法使用;通过对一些敏感的数据文件进行加密来保护系统之间的数据交换,防止除接收方之外的第三方截获数据及即使获取文件也无法得到其内容。如在电子交易中,避免遭到黑客的袭击使信用卡信息丢失的问题。
2. 数据的完整性:防止非法用户对进行交换的数据进行无意或恶意的修改、插入,防止交换的数据丢失等。
3. 数据的不可否认性:对数据和信息的来源进行验证,以确保数据由合法的用户发出;防止数据发送方在发出数据后又加以否认;同时防止接收方在收到数据后又否认曾收到过此数据及篡改数据。
上述需求对应于防火墙、加密、数字签名、身份认证等技术,但其关键在于数字签名技术。
二、数字签名的含义和功能
数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来
源并核实报文是否发生变化的一个字母数字串。
在传统的商业系统中,通常都利用书面文件的亲笔签名或印章来规定契约性的责任,在电子商务中,传送的文件是通过电子签名证明当事人身份与数据真实性的.数据加密是保护数据的最基本方法,但也只能防止第三者获得真实数据。电子签名则可以解决否认、伪造、篡改及冒充等问题,具体要求:发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、网络中的某一用户不能冒充另一用户作为发送者或接收者。
三、数字签名的实现方法
实现数字签名有很多方法,目前数字签名采用较多的是公钥加密技术,如基于RSA Date Security 公司的PKCS( Public Key Cryptography Standards )、Digital Signature Algorithm、、PGP(Pretty Good Privacy). 1994年美国标准与技术协会公布了数字签名标准(DSS)而使公钥加密技术广泛应用。&127;公钥加密系统采用的是非对称加密算法。
(一)用非对称加密算法进行数字签名
1、算法的含义
此算法使用两个密钥:公开密钥(public key)和私有密钥(private key),&127;分别用于对数据的加密和解密,即如果用公开密钥对数据进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,则只有用对应的公开密钥才能解密。
2 签名和验证过程
(1)发送方首先用公开的单向函数对报文进行一次变换,得到数字签名,然后利用私有密钥对数字签名进行加密后附在报文之后一同发出。
(2)接收方用发送方的公开密钥对数字签名进行解密变换,得到一个数字签名的明文。发送方的公钥是由一个可信赖的技术管理机构即验证机构(CA: Certification Authority)发布的。
(3)接收方将得到的明文通过单向函数进行计算,同样得到一个数字签名,再将两个数字签名进行对比,如果相同,则证明签名有效,否则无效。
这种方法使任何拥有发送方公开密钥的人都可以验证数字签名的正确性。由于发送方私有密钥的保密性,使得接收方既可以根据验证结果来拒收该报文,也能使其无法伪造报文签名及对报文进行修改,原因是数字签名是对整个报文进行的,是一组代
表报文特征的定长代码,同一个人对不同的报文将产生不同的数字签名。这就解决了银行通过网络传送一张支票,而接收方可能对支票数额进行改动的问题,也避免了发送方逃避责任的可能性。
(二)用对称加密算法进行数字签名
1 算法的含义
对称加密算法所用的加密密钥和解密密钥通常是相同的,即使不同也可以很容易地由其中的任意一个推导出另一个。在此算法中,加、解密双方所用的密钥都要保守秘密。由于计算速度快而广泛应用于对大量数据如文件的加密过程中,如RD4 和DES。
2 签名和验证过程
Lamport发明了称为Lamport-Diffie的对称加密算法:利用一组长度是报文的比特数(n)两倍的密钥A,来产生对签名的验证信息,即随机选择2n个数B,由签名密钥对这2n个数B进行一次加密变换,得到另一组2n个数C。
(1)发送方从报文分组M的第一位开始,依次检查M的第i位,若为0时,取密钥A的第i位,若为1则取密钥A的第i+1位;直至报文全部检查完毕。所选取的n个密钥位形成了最后的签名。
(2)接收方对签名进行验证时,也是首先从第一位开始依次检查报文M,如果M 的第i位为0时,它就认为签名中的第I组信息是密钥A的第i位,若为1则为密钥A的第i+1位;直至报文全部验证完毕后,就得到了n个密钥,由于接收方具有发送方的验证信息C,所以可以利用得到的n个密钥检验验证信息,从而确认报文是否是由发送方所发送。
这种方法由于它是逐位进行签名的,只要有一位被改动过,接收方就得不到正确的数字签名,因此其安全性较好,其缺点是:签名太长(对报文先进行压缩再签名,可以减少签名的长度。);签名密钥及相应的验证信息不能重复使用,否则极不安全。
(三)几个认证产品
认证产品可分两大类:一是用户认证,主要是通过单独签名访问网络资源;二是对象认证,即判定传递信息和文件的认证及其真实性。数字签名技术就主要用于信息、文件以及其他存储在网上的传输对象的认证。AT&T Government Market的Secret Agent 便通过将数字签发的文档作为E-mail消息的文件附件来发表的形式,将现有客户机运行的环境 E-mail系统、Web浏览器等应用密切地结合在一起;Regnoc Software 的Signature 使用OLE 可对Windows 下的任何文本作数字签名;ViaCrypt 的ViaCrypt PGP可从传递信息的应用中切割文本至Windows 或Macintosh裁剪板,在那里对它进行数字签名后将它粘贴到传递信息中,其面对电子商务的一个功能是,无论雇员发送或接收的所有密文都能破译,可设置成在公司密钥下去自动破译所有外发信息,且要求雇员须使用职权范围允许的解密密钥。
四数字签名的算法及数字签名的保密性
数字签名的算法很多,应用最为广泛的三种是: Hash签名、DSS签名、RSA签名。
签名
Hash签名不属于强计算密集型算法,应用较广泛。很多少量现金付款系统,如DEC的Millicent和CyberCash的CyberCoin等都使用Hash签名。使用较快的算法,可以降低服务器资源的消耗,减轻中央服务器的负荷。Hash的主要局限是接收方必须持有用户密钥的副本以检验签名, 因为双方都知道生成签名的密钥,较容易攻破,存在伪造签名的可能。如果中央或用户计算机中有一个被攻破,那么其安全性就受到了威胁。
和RSA签名
DSS和RSA采用了公钥算法,不存在Hash的局限性。RSA是最流行的一种加密标准,许多产品的内核中都有RSA的软件和类库,早在Web飞速发展之前,RSA数据安全公司就负责数字签名软件与Macintosh操作系统的集成,在Apple的协作软件PowerTalk上还增加了签名拖放功能,用户只要把需要加密的数据拖到相应的图标上,就完成了电子形式的数字签名。RSA与Microsoft、IBM、Sun和Digital都签订了许可协议,使在其生产线上加入了类似的签名特性。与DSS不同,RSA既可以用来加密数据,也可以用于身份认证。和Hash签名相比,在公钥系统中,由于生成签名的密钥只存储于用户的计算机中,安全系数大一些。
数字签名的保密性很大程度上依赖于公开密钥。数字认证是基于安全标准、协议和密码技术的电子证书,用以确立一个人或服务器的身份,它把一对用于信息加密和签名的电子密钥捆绑在一起,保证了这对密钥真正属于指定的个人和机构。数字认证由验证机构CA进行电子化发布或撤消公钥验证,信息接收方可以从CA Web站点上下载发送方的验证信息。Verisign是第一家公开密钥的商业化发布机构,在它的Digital ID 下可以生成、管理应用于其它厂商的数字签名的公开密钥验证。
五数字签名的发展前景展望
生成和验证数字签名的工具需要完善,只有广泛使用SSL(安全套接层)建立安全链接的Web浏览器,才可能频繁用到数字签名技术。比如一个公司要对其雇员在网络上的行为进行规范,就要建立广泛协作机制来支持数字签名的实现。支持数字签名是Web发展的目标,确保数据保密性、数据完整性和不可否认性才能保证在线商业的安全交易。
和数字签名有关的复杂认证能力就像现在操作、应用环境中的口令保护一样直接做进操作系统环境、应用、远程访问产品、信息传递系统及Internet防火墙中,像Netscape 支持标准的Communicator Web客户机软件;Microsoft支持的Internet Explorer 客户机软件及支持对象签名检查的Java虚拟机等。
安全问题是阻碍电子商务广泛应用的最大问题,改进数字签名在内的安全技术措施、确定CA认证权的归属问题是解决电子商务安全问题的关键。
32.量子密码及其研究现状如何
发表日期:2004年1月12日
-----------------------------------------------------------------------------------------------
美国科学家威斯纳首先将量子物理用于密码学的研究之中,他于1970年提出可利用单量子态制造不可伪造的“电子钞票”。但这个设想的实现需要长时间保存单量子态,不太现实。贝内特和布拉萨德在研究中发现,单量子态虽然不好保存但可用于传输信息。1984年,贝内特和布拉萨德提出了第一个量子密码方案,称为BB84方案。1992年,贝内特又提出一种更简单但效率减半的方案,即B92方案。
目前,在量子密码实验研究上进展最快的国家为英国、瑞士和美国。英国国防研究部于1993年首先在光纤中实现了基于BB84方案的相位编码量子密钥分发,光纤传输长度为10千米。这项研究后来转到英国通信实验室进行,到1995年,经多方改进,在30千米长的光纤传输中成功实现了量子密钥分发。与偏振编码相比,相位编码的好处是对光的偏振态要求不那么苛刻。在长距离的光纤传输中,光的偏振性会退化,造成误码率的增加。然而,瑞士日内瓦大学1993年基于BB84方案的偏振编码方案,在1.1千米长的光纤中传输(10一18米)波长的光子,误码率仅为%,并于1995年在日内瓦湖底铺设的23千米长民用光通信光缆中进行了实地表演,误码率为%。1997年,他们利用法拉第镜消除了光纤中的双折射等影响因素,大大提高了系统的稳
定性和使用的方便性,被称为:即插即用”的量子密码方案。美'国洛斯阿拉莫斯国家实验室创造了目前光纤中量子密码通信距离的新纪录。他们采用类似英国的实验装置,通过先进的电子手段,以B92方案成功地在长达48千米的地下光缆中传送量子密钥,同时他们在自由空间里也获得了成功。1999年,瑞典和日本合作,在光纤中成功地进行了40千米的量子密码通信实验。目前,瑞士日内瓦大学创造了光纤中量子密码通信距离为67千米的新纪录。在中国,量子密码的研究刚刚起步,1995年,以BB84方案和B92方案在国内做了演示性实验,是在距离较短的自由空间里进行的。2000年,在850纳米的单模光纤中完成了1.1千米的量子密码通信演示性实验。总的来说,与国外相比,我国还有较大差距。
到目前为止,主要有王大类量子密码实现方案:一是基于单光子量子信道中海森堡(Heisenberg)测不准原理的;二是基于量子相关信道中Bell原理的;三是基于两个非正交量子态性质的。但有许多问题还有待于研究。比如,寻找相应的量子效应以便提出更多的量子密钥分配协议、量子加密理论的形成和完善、量子密码协议的安全性分析方法研究、量子加密算法的开发、量子密码的实用化、量子攻击算法的研究(包括Shor的大数因子分解算法和Grover搜索算法的改进和新算法的提出)等。总的来说,量子密码理论与技术还处于实验和探索之中。
Copyright ?2008 福建省数字福建领导小组办公室 All Rights Reserved
信息安全将迎来多核时代
发表日期:2008年11月17日出处:中国计算机报
-----------------------------------------------------------------------------------------------
多核,这个几年前还在PC领域被质疑的概念已经被人们所认可,买PC一定要多核的。随后多核技术延伸到服务器领域,以明显提高的运算分析处理能力占领了每一个数据中心。
如今,多核架构更是被信息安全厂商所追捧。其本质原因是网络及应用的逐渐深化,信息安全设备处理能力的瓶颈逐渐突出,一些用户甚至不得不牺牲网络的安全性以满足业务连续性的需求,这一矛盾也成为摆在安全厂商面前的新挑战。
九月底,网御神州率先推出了拥有独立知识产权的“全线多核”处理器芯片(Multi-Core Processor)架构防火墙及UTM系列产品。这也从一个侧面表现出信息安全领域对多核架构解决安全挑战的一种期盼。
信息安全向“多核”偏转
自从IP网络转型成为以应用为中心的业务平台后,所面对的网络安全威胁也被放大,如今垃圾邮件、蠕虫、病毒、木马大量在网络上传播,SYN Flood、UDP Flood、网络钓鱼、僵尸网络等攻击或窃取用户机密的手段层出不穷。与此同时,网上银行、电子政府、电子商务日益普及,网络与人们的工作、生活结合越来越紧密。如果缺乏足够的安全机制和架构,用户的网络只能越来越脆弱。
目前,网御神州旗舰“泰山”系列的五款多核架构新产品,分别是面向小型网络、中型网络、大中型网络、大型网络,以及大型数据中心的综合安全网关产品。网御神州试图通过全线的多核架构改变用户的安全环境,满足当今的用户需求。
刘保华:2002年以前,信息安全网关产品大部分以x86架构单核为主,后来逐渐从千兆发展为万兆,也经历了网络处理器(NP)和专用集成电路(ASIC)架构的解决方案时期。如今,用户对应用层的深度过滤和深度检测,让网络和安全上升到一个新的高度。看起来,信息安全网关也在遵循着某种类似
摩尔定律的规则。网御神州为何推出“全线多核”产品
任增强:实际上,是客户需求的变化拉动了技术的发展,全线多核的推出正是因为客户需求的五大变化趋势。
趋势一:网络应用大流量趋势。越来越多的视频、语音等多媒体数据在网络上传输,信息量和传统的文本形式相比呈指数级增长,安全设备的吞吐量需要更高。
趋势二:全面的稳定性要求更高的趋势。由于信息网络越来越成为整个社会的基础设备,成为每个人每天工作、生活、学习都离不开的基础设施,所以用户需求由以保护核心的数据服务器等关键业务的稳定性需求,开始变为希望所有的网络业务都非常稳定,用户对网络的稳定性的要求变得更高,逐渐成为习惯性要求——希望网络永远畅通,永不宕机。
趋势三:用户的网络体验需要更快速的趋势。就像我们平时下载文件,以前可以忍受下载一个几MB字节的大文件,需要10分钟左右。现在恨不得下载一个几GB的电影,要在1分钟之内完成。还有越来越多的在线视频会议系统,要求远隔千里,但让交流的几方感觉声音和图像几乎没有时延,就像面对面一样,对网络安全设备的安全处理性能要求更高了。
趋势四:统一化高集成的趋势。这主要是在中小规模的网络环境中,用户越来越希望将多种安全防御的手段集成在一个边界网关的安全设备上。就是我们大家常说的UTM技术,也是客户对安全防御设备的一种呼唤。
趋势五:客户对于设备的随时随地的可管理要求更高,希望做到一切尽在掌握的趋势。网络安全设备在网络处于任何情况下,要能够做到可以管理和查看,随时了解掌握网络的实时状况,尤其在大负载下更能全面了解状况,做出安全策略的随时优化调整。
面对这五大趋势,现有的传统x86单核架构、ASIC架构或是NP架构都不能同时解决这些需求和问题,只有采取新的技术。
不可破解的量子密码
作者:硕博网文章来源:中华硕博网点击数: 12 更新时间:2008-4-28
中华硕博网全球500所高校指定报名中心--不可破解的量子密码
不可破解的量子密码Gary Stix 量子密码技术已经从理论走向实验室,再从实验室走向产品。量子加密是一种基本上仍处于实验室阶段的先进技术,图示为MagiQ技术公
司的量子加密实验室。目前,想将量子密码放到实际网络上(而非点对点通讯)的首次尝
试,已经开始进行。美国国防高级研究计划署资助了一项计划,连接6个网络节点,覆盖麻
省剑桥的哈佛大学、波士顿大学以及BBN科技公司(这家公司在建立网际网路上曾扮演关键
角色)。密匙通过专用的连接发送,然后将加密过的信息,通过网际网路传送出去。BBN主
管这个项目的Chip Elliott说:“这可是第一次在实验室外连续操作量子密码网络。”这
个网路传送的是一般的非机密网络信息,目的只是用来证实这一技术确实可行。Elliott表
示:“我想这里唯一的机密,就是哪里有停车位。”2004年秋天,日内瓦的网际网路服务
供应商Deckpoint与id Quantique共同展示了一个线路,可以将日内瓦内的好几台服务器
的资料备份到10千米外的站台,并通过量子加密网路,频繁地发送新钥匙。目前量子密码
技术的应用仅限于地区性网路。这项技术的威力在于,任何人只要剌探到钥匙的传送,都必
然会改变钥匙。但这也意味着,载有量子钥匙的信号不可能被网路设备放大,然后继续传送
到下一个中继器。光学放大器会破坏量子比特。为了延伸这些连接的距离,研究人员正在
尝试用光纤之外的媒介传送量子钥匙。科学家爬上山顶(在那样的高度下,大气的干扰可以
减到最小),想证明通过空气发送量子钥匙的可能性。2002年美国洛斯阿拉莫斯国家实验
室的一项实验创造了10千米的连接。同年,英国Farnborough的QinetiQ与德国慕尼黑的
Ludwig Maximilian大学合作,在一个实验中将距离延伸到23千米,横跨南阿尔卑斯山的
两个山顶。他们进一步改进技术,例如利用较大的望远镜进行侦测,用较佳的滤镜以及抗反
射镀膜,希望由此建造出一个系统,能够收发距离1000千米以上的信号,这样的距离足以
到达近地轨道卫星。一个卫星网络便可以覆盖全球。(欧洲太空总署正开展一项计划,要做
地面对卫星的实验。欧盟在2004年4月也发起一项计划,要在通讯网络上发展量子密码技
术,部分原因是为了防止梯队系统(Echelon)的窃听。梯队系统截取电子信息,供美、英
以及其他国家的情报机构使用。)密码专家希望最终能够最终发展出某种形式的量子中继
浅谈企业网络信息安全技术_单松
INTELLIGENCE 科技天地 浅谈企业网络信息安全技术 江苏省常州市委党校行政管理教研室单松 由于信息系统本身的脆弱性和复杂性,大量的信息安全问题也伴随着计算机应用的拓展而不断涌现。病毒传播、黑客入侵、网络犯罪等安全事件的发生频率逐年升高,危害性也越来越大。如何构建企业级的信息安全体系,保护企业的利益和信息资产不受侵害,为企业发展和业务经营提供有力支撑,为用户提供可信的服务,已成为各企业当前迫切需要解决的问题。 一、企业信息安全技术 (一)防病毒 随着计算机媒体的不断出现,电子邮件、盗版光盘、压缩文件、上载下载软件等已经取代软盘,成为传播计算机病毒的主要途径,而且也使计算机病毒的寄宿和传播变得更加容易。世界上计算机病毒现已达5万多种,并且还在以每月300多种的速度增加,成为威胁企业信息安全的主要因素之一。企业可从以下几方面进行病毒的防范: (1)隔离法,计算机网络最突出的优点就是信息共享和传递,这一优点也给病毒提供了快速传播的条件,使病毒很容易传播到网络上的各种资源,若取消信息共享而采取隔离措施,可切断病毒的传播途径。但此方法是以牺牲网络的最大优点来换取,因此只能在发现病毒隐患时使用。 (2)分割法,将用户分割成不能互相访问的子集,由于信息只能在一定的区域中流动,因此建立一个防卫机制,病毒不会在子系统之间相互传染。 (3)选用高效的防病毒软件,利用防病毒软件进行计算机病毒的监测和清除是目前广泛采用的方法。 (4)及时升级防病毒软件,防病毒软件不同于其它应用软件,它不具备主动性,需要实时追踪新的病毒,因此要不断更新病毒样本库和扫引擎,这样才能查,杀新的病毒。 (二)防火墙 防火墙技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。它是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。 (三)网络入侵检测 随着网络技术的发展,网络环境变得越来越复杂,网络攻击方式也不断翻新。对于网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,许多攻击(如DOS攻击,会伪装成合法的数据流)可以绕过通常的防火墙,且防火墙因不具备实时入侵检测能力而对病毒束手无策。在这种情况下,网络的入侵检测系统在网络的整个安全系统解决方案中就显示出极大作用。它可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。 (四)数据加密技术 与防火墙技术相比,数据信息加密技术比较灵活,更加适用于开放网络。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击,我们注意到,对于主动攻击,虽无法避免,但却可以有效的检测;而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密技术。 数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受称为密钥的符号串控制的,加密和解密算法通常是在密钥控制下进行的。完成加密和解密的算法称为密码体制。密码体制有对称密钥密码技术和非对称密钥密码技术。 (五)身份认证技术 身份识别是用户向系统出示自己身份证明的身份证明过程,身份认证是系统查核用户身份证明的过程。这两项工作统称为身份验证。是判明和确认通信双方真实身份的两个重要环节。 (六)访问控制 访问控制是提供信息安全保障的主要手段和安全机制,被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。 访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。 二、网络安全技术在企业中的应用 企业网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括网络本身的安全问题,也有物理的和逻辑的技术措施。只有通过明晰的安全策略、先进的技术措施以及高素质的网络管理人才构建一个由安全策略、防护、加密、备份、检测、响应所组成的中小企业网络安全体系,才能完整、实时地保证企业网络环境中信息的完整性和正确性。 (一)网络边界的信息安全 在内、外部网络实施隔离的是以防火墙为主的入侵防御体系。它可以通过分析进出网络的数据来保护内部网络。是保障数据和网络资源安全的强有力的手段。它可以实现以下三个功能: 1连接内部网络和外部网络; 2通过外部网络来连接不同的内部网络; 3保护内部网络数据的完整性和私有性。 在实际的策略制订时主要从三个方面来提高网络信息的安全性,即数据过滤、数据加密和访问控制。通过防火墙的安全规则进行数据过滤,通过对发往外部网络的数据进行加密来 162
2017年中国信息安全行业发展现状及未来发展趋势分析
2017年中国信息安全行业发展现状及未来发展趋势分析 (一)行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管,具体如下: 数据来源:公开资料整理 2、行业主要法律法规及政策 (1)行业主要法律法规 信息安全行业,受到信息安全行业相关法律法规的管理。行业的主要法律法规如下:
数据来源:公开资料整理(2)行业主要发展政策
行业主要发展政策如下: 数据来源:公开资料整理(二)信息安全行业概况及未来发展趋势 1、信息安全的定义
信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性: 数据来源:公开资料整理 2、信息安全行业的技术、产品和服务 (1)信息安全技术 为了实现信息安全的七个核心属性,需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而,目前信息安全的主流技术包括信息系统自身的安全技术(物理安全和运行安全技术)、信息自身的安全技术(数据安全与内容安全技术)、信息利用的安全技术(信息对抗技术),具体如下:
数据来源:公开资料整理(2)信息安全产品 信息安全产品按照功能分类主要包括:防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。主要产品的情况如下:
中国信息安全行业发展现状及未来发展趋势分析
年中国信息安全行业发展现状及未来发展趋势分析
————————————————————————————————作者:————————————————————————————————日期:
2017年中国信息安全行业发展现状及未来发展趋势分析 (一)行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管,具体如下: 数据来源:公开资料整理 2、行业主要法律法规及政策 (1)行业主要法律法规 信息安全行业,受到信息安全行业相关法律法规的管理。行业的主要法律法规如下:
数据来源:公开资料整理
(2)行业主要发展政策 行业主要发展政策如下: 数据来源:公开资料整理(二)信息安全行业概况及未来发展趋势 1、信息安全的定义
信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性: 数据来源:公开资料整理 2、信息安全行业的技术、产品和服务 (1)信息安全技术 为了实现信息安全的七个核心属性,需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而,目前信息安全的主流技术包括信息系统自身的安全技术(物理安全和运行安全技术)、信息自身的安全技术(数据安全与内容安全技术)、信息利用的安全技术(信息对抗技术),具体如下:
网络安全汇报材料
网络及信息安全工作汇报 学校网络及信息安全基本情况 我校校园网自2012年2月进行建设并投入使用至今,校内主干网为百兆,实现了教学楼、生活楼、综合楼近80个“节点”的联网。中心机房光纤接入中国电信100M宽带,1个IP地址。 1、硬件建设 网管信息中心现有:防火墙、交换机、服务器、路由器、等主要设备。我校网IP分为2个网段,即“18”段(前教学楼)、“28”段(后宿舍楼)不但提高了我校网络的安全和服务水平、还为学校节省了相关费用。 2、机房环境建设 网管信息中心、教学微机室均采取标准的布线系统,便于故障快速排查,配置了机房专用空调,保证良好的设备运行环境。机房采用稳压器,全部机柜电位接地等安全措施。 3、计算机终端运行情况 我校共有计算机75台,网络管理中心统一为每台计算机分配了IP,并与MAC 地址绑定,确保只有经过申请和许可的机器方可进入校园网;所有计算机都安装了360杀毒软件和360安全卫士,保证计算机安全使用;其中用于学生信息技术等学科教学的300台计算机,每一台均安装了“增霸卡”的系统还原措施,一方面防止计算机病毒的入侵及传播,另一方面保证病毒入侵后能及时有效地处理;所有计算机都安装有“净网先锋”软件,为师生提供健康,安全的上网环境。 4、校园网络的运行维护 目前,我校网络信息管理中心和微机室都有专职人员负责网络的运行维护,已实现: A.骨干设备技术配置得当。路由器及防火墙、核心交换机能够避免网络的数据断包、丢包等问题。 B.针对网络的安全,采取了有效地安全策略和措施,能够保障网络的安全稳定运行,也能够有效地防范黑客、病毒的攻击。 C.保障校园网的安全、稳定运行,对教学楼、宿舍楼出现的额故障及问题,
国内外研究现状及发展趋势
国内外研究现状及发展趋势 世界银行2000年研究报告《中国:服务业发展和中国经济竞争力》的研究结果表明,在中国有4个服务性行业对于提高生产力和推动中国经济增长具有重要意义,它们是物流服务、商业服务、电子商务和电信。其中,物流服务占1997年服务业产出的42.4%,是比重最大的一类。进入21世纪,中国要实现对WTO缔约国全面开放服务业的承诺,物流服务作为在服务业中所占比例较大的服务门类,肯定会首先遭遇国际物流业的竞争。 物流的配送方式从手工下单、手工核查的方式慢慢转变成现今的物流平台电子信息化管理方式,从而节省了大量的人力,使得配送流程管理自动化、一体化。 当今出现一种智能运输系统,即是物流系统的一种,也是我国未来大力研究的方向。它是指采用信息处理、通信、控制、电子等先进技术,使人、车、路更加协调地结合在一起,减少交通事故、阻塞和污染,从而提高交通运输效率及生产率的综合系统。我国是从70年代开始注意电子信息技术在公路交通领域的研究及应用工作的,相应建立了电子信息技术、科技情报信息、交通工程、自动控制等方面的研究机构。迄今为止以取得了以道路桥梁自动化检测、道路桥梁数据库、高速公路通信监控系统、高速公路收费系统、交通与气象数据采
集自动化系统等为代表的一批成果。尽管如此,由于研究的分散以及研究水平所限,形成多数研究项目是针对交通运输的某一局部问题而进得的,缺乏一个综全性的、具有战略意义的研究项目恰恰是覆盖这些领域的一项综合性技术,也就是说可以通过智能运输系统将原来这些互不相干的项目有机的联系在一起,使公路交通系统的规划、建设、管理、运营等各方面工作在更高的层次上协调发展,使公路交通发挥出更大的效益。 1.国内物流产业发展迅速。国内物流产业正处在前所未有的高速增长阶段。2008年,全国社会物流总额达89.9万亿元,比2000年增长4.2倍,年均增长23%;物流业实现增加值2万亿元,比2000年增长1.9倍,年均增长14%。2008年,物流业增加值占全部服务业增加值的比重为16. 5%,占GDP的比重为6. 6%。预计“十一五”期间,我国物流产业年均增速保持在15%以上,远远高于美国的10%和加拿大、西欧的9%。 2.物流专业化水平与服务效率不断提高。社会物流总费用与GDP 的比例体现了一个国家物流产业专业化水平和服务效率。我国社会物流总费用与GDP的比例在近年来呈现不断下降趋势,“十五”期间,社会物流总费用占GDP的比例,由2000年的19.4%下降到2006年的18. 3%;2007年这一比例则下降到18. 0%,标志着我国物流产业的专业化水平和服务效率不断提高。但同发达国家相比较,我国物流
未来信息安全技术发展四大趋势
未来信息安全技术发展四大趋势 可信化: 这个趋势是指从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。近年来计算机安全问题愈演愈烈,传统安全理念很非常难有所突破,人们试图利用可信计算的理念来解决计算机安全问题,其主要思想是在硬件平台上引入安全芯片,从而将一点(不多的意思)或几个计算平台变为“可信”的计算平台。目前还有很非常多问题需要研究跟探索,就像如基于TCP的访问控制、基于TCP的安全操作系统、基于TCP的安全中间件、基于TCP的安全应用等。 网络化: 由网络应用、普及引发的技术与应用模式的变革,正在进一步推动信息安全关键技术的创新开展,并诱发新技术与应用模式的发现。就像如安全中间件,安全管理与安全监控都是网络化开展的带来的必然的开展方向;网络病毒与垃圾信息防范都是网络化带来的一些安全性问题;网络可生存性;网络信任都是要继续研究的领域…… 标准化: 发达国家地区高度重视标准化的趋势,现在逐步渗透到发展中国家都应重视标准化问题。逐步体现专利标准化、标准专利化的观点。安全技术也要走向国际,也要走向应用。我国政府、产业界、学术界等必将更加高度重视信息安全标准的研究与制定工作的进一步深化与细化,就像如密码算法类标准(加密算法、签名算法、密码算法接口)、安全认证与授权类标准(PKI、PMI、生物认证)、安全评估类标准(安全评估准则、方法、规范)、系统与网络类安全标准(安全体系结构、安全操作系统、安全数据库、安全路由器、可信计算平台)、安全管理类标准(防信息泄漏、质量保证、机房设计)等。 集成化: 即从单一功能信息安全技术与产品,向多种功能融于某一个产品,或者是几个功能相结合的集成化产品,不再以单一的形式发现,否则产品太多了,也
计算机网络信息安全与防范毕业论文
网络信息安全与防范 摘要 网络发展的早期,人们更多地强调网络的方便性和可用性,而忽略了网络的安全性。当网络仅仅用来传送一般性信息的时候,当网络的覆盖面积仅仅限于一幢大楼、一个校园的时候,安全问题并没有突出地表现出来。但是,当在网络上运行关键性的如银行业务等,当企业的主要业务运行在网络上,当政府部门的活动正日益网络化的时候,计算机网络安全就成为一个不容忽视的问题。 随着技术的发展,网络克服了地理上的限制,把分布在一个地区、一个国家,甚至全球的分支机构联系起来。它们使用公共的传输信道传递敏感的业务信息,通过一定的方式可以直接或间接地使用某个机构的私有网络。组织和部门的私有网络也因业务需要不可避免地与外部公众网直接或间接地联系起来,以上因素使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化,从而造成网络的可控制性急剧降低,安全性变差。 随着组织和部门对网络依赖性的增强,一个相对较小的网络也突出地表现出一定的安全问题,尤其是当组织的部门的网络就要面对来自外部网络的各种安全威胁,即使是网络自身利益没有明确的安全要求,也可能由于被攻击者利用而带来不必要的法律纠纷。网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全要求已经构成了对网络安全的迫切需求。 本文对现有网络安全的威胁以及表现形式做了分析与比较,特别对为加强安全应采取的应对措施做了较深入讨论,并描述了本研究领域的未来发展走向。
关键词网络安全;信息网络;网络技术;安全性
. 目录 摘要............................................................................................................. I 第1章绪论 (1) 1.1课题背景 (1) 1.1.1计算机网络安全威胁及表现形式.......... 错误!未定义书签。 1.1.1.1常见的计算机网络安全威胁 (1) 1.1.1.2常见的计算机网络安全威胁的表现形式 (2) 第2章网络信息安全防范策略 (2) 2.1防火墙技术 (2) 2.2数据加密技术 (2) 2.2.1私匙加密 (4) 2.2.2公匙加密 (4) 2.3访问控制 (2) 2.4防御病毒技术 (2) 2.4安全技术走向 (2) 结论 (5) 参考文献 (5)
国内外信息安全研究现状及发展趋势
国内外信息安全研究现状及发展趋势 国内外信息安全研究现状及发展趋势(一) 冯登国 随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发 展到信息的完整性、可用性、可控性和不可否认性,进而又发展为"攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)"等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的,协同的解决方案。与其他学科相比,信息安全的研究更强调自主性和创新性,自主性可以避免陷门",体现国家主权;而创新性可以抵抗各种攻击,适应技术发展的需求。 就理论研究而言,一些关键的基础理论需要保密,因为从基础理论研究到实际应用的距离很短。现代信息系统中的信息安全其核心问题是密码理论及其应用,其基础是可信信息系统的构作与评估。总的来说,目前在信息安全领域人们所关注的焦点主要有以下几方面: 1)密码理论与技术; 2)安全协议理论与技术; 3)安全体系结构理论与技术; 4)信息对抗理论与技术; 5)网络安全与安全产品。 下面就简要介绍一下国内外在以上几方面的研究现状及发展趋势。 1.国内外密码理论与技术研究现状及发展趋势 密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。 自从1976年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。由于分解大整数的能力日益增强,所以对RSA的安全带来了一定的威胁。目前768比特模长的RSA已不安全。一般建议使用1024比特模长,预计要保证20年的安全就要选择1280比特的模长,增大模长带来了实现上的难度。而基于离散对数问题的公钥密码在目前技术下512比特模长就能够保证其安全性。特别是椭圆曲线上的离散对数的计算要比有限域上的离散对数的计算更困难,目前技术下只需要160比特模长即可,适合于智能卡的实现,因而受到国内外学者的广泛关注。国际上制定了椭圆曲线公钥密码标准IEEEP1363,RSA等一些公司声称他们已开发出了符合该标准的椭圆曲线公钥密码。我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方面也做了一定的工作,比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究中的一个热点,包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。 公钥密码主要用于数字签名和密钥分配。当然,数字签名和密钥分配都有自己的研究体系,形成了各自的理论框架。目前数字签名的研究内容非常丰富,包括普通签名和特殊签名。特
网络安全的现状及发展趋势.
网络安全的现状以及发展趋势 信息安全111班 030 崔 摘要:网络技术的发展给人们的生产活动带来了极大便利,开辟了前人梦寐以求的机会和市场,同时也伴随着一系列的安全问题。随着近年来网络安全事件的频繁发生,人们对网络安全问题的重视达到了从未有过的程度。反观当下网络安全现状,可以说是不容乐观。不过也正是供求的相互作用促进一系列产业的发展,网络技术同样不例外。人们已经认识到,当下及以后若要实现网络安全所要面临和解决的问题是复杂多样的。因此,我们有必要对网络安全的现状及其发展趋势做相关研究分析,以更好地应对当下及以后所需面临的网络安全问题。 关键词:网络安全;现状;发展趋势;安全问题 1.网络安全的定义及特征 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 网络安全应具有以下五个方面的特征。 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可控性:对信息的传播及内容具有控制能力。 可审查性:出现的安全问题时提供依据与手段。 2.网络安全的体系结构 网络安全的任何一项工作,都必须在网络安全组织、网络安全策略、网络安全技术、网络安全运行体系的综合作用下才能取得成效。首先必须有具体的人和组织来承担安全工作,并且赋予组织相应的责权;其次必须有相应的安全策略来指导和规范安全工作的开展,明确应该做什么,不应该做什么,按什么流程和方法来做;再次若有了安全组织、安全目标和安全策略后,需要选择合适的安全技术方案来满足安全目标;最后在确定了安全组织、安全策略、安全技术后,必须通过规范的运作过程来实施安全工作,将安全组织、安全策略和安全技术有机地结合起来,形成一个相互推动、相互联系地整体,通过实际的工程运作和动态的运营维护,最终实现安全工作的目标。 完善的网络安全体系应包括安全策略体系、安全组织体系、安全技术体系、安全运作体系.安全策略体系应包括网络安全的目标、方针、策略、规范、标准及流程等,并通过在组织内对安全策略的发布和落实来保证对网络安全的承诺与支持。安全组织体系包括安全组织结构建立、安全角色和职责划分、人员安全管理、安全培训和教育、第三方安全管理等。安全技术体系主要包括鉴别和认证、访问控制、内容安全、冗余和恢复、审计和响应。安全运作体系包括安全管理和技术实施的操作规程,实施手段和考核办法。安全运作体系提供安全管理和安全操作人员具体的实施指导,是整个安全体系的操作基础。 3.网络安全的主要威胁 (1)计算机病毒——所谓计算机病毒实际是一段可以复制的特殊程序,主要对计算机进行破坏,病毒所造成的破坏非常巨大,可以使系统瘫痪。 (2)黑客——黑客主要以发现和攻击网络操作系统的漏洞和缺陷为目的,利用网络安全的脆弱性进行非法活动,如,修改网页、非法进入主机破坏程序,窃取网上信息。采用特洛伊木马盗取网络计算机系统的密码;窃取商业或军事机密,达到了个人目的。
浅论计算机网络信息安全技术
浅论计算机网络信息安全 夏杰机制091 109011010 [论文关键词]Web Services 网络完全技术 [论文摘要]为了满足日益增长的需求,人们提出了基于XML的Web服务。它的主要目标是在现有的各种异构平台的基础上构建一个通用的与平台无关、语言无关的技术层,各种平台上的应用依靠这个技术层来实现彼此的连接和集成,Web Services的核心技术主要是XML技术、SOAP技术、WSDL及UDDI等。本文对此进行了探讨。 1 XML技术 近年来,XML已成为数据表示和数据交换的一种新标准。其基本思想是数据的语义通过数据元素的标记来表达,数据元素之间关系通过简单的嵌套和引用来表示。若所有web服务器和应用程序将它们的数据以XML编码并发布到Internet,则信息可以很快地以一种简单、可用的格式获得,信息提供者之间也易于互操作。XML一推出就被广泛地采用,并且得到越来越多的数据库及软件开发商的支持。总体讲来,XML具有自描述性、独立于平台和应用、半结构化、机器可处理的、可扩展性和广泛的支持等特点。因此,XML可被广泛应用于电子商务、不同数据源的集成、数据的多样显示等各个方面。XML描述了一个用来定义标记集的方法用于规定一个标记集,填入文本内容后,这些标记和纯文本一起构成了一个XML 文档。 一个良好的XML文档必须满足以下几条规则:(1)有一致良好定义的结构(2)属性需用引号引起来:(3)空白区域不能忽略:(4)每个开始标签必须要有一个与之对应的结束标签:(5)有且只有一个根元素包含其他所有的结点:(6)元素不能交叉重叠但可以包含:(7)注释和处理指令不能出现在标签中:(8)大小写敏感:(9)关键词“D0CTYPE”、“ELEMENT”、“ATTRIBUTE”和“ENTITY”要大写。为了说明特定的语法规则,XMLDTD(DocumentTypeDefination)采用了一系列正则式。语法分析器(或称解析器)将这些正则式与XML文件内部的数据模式相匹配,以判别文件是否是有效。一个DTD描述了标记语言的语法和词汇表,定义了文件的整体结构以及文件的语法。在Internet中,一个最重要的问题是如何实现数据的交互,即客户端和服务器端双向数据交流。当前所面对的是一个物理上分散的、异源、异构的数据环境,能方便地从这些数据中取得所需要的信息极为重要。XML 满足这一要求,它可以将各种类型的数据转换成XML文档,然后对XML文档进行处理,之后,再将XML数据转换为某种方式存储的数据。XML的数据源多种多样,但主要分为三种:第一种为本身是纯文本的XML文档、TXT文件、DAT文件等第
网络与信息安全工作总结
网络与信息安全工作总结 篇一: 情况报告 今年以来,我局大力夯实信息化基础建设,严格落实信息系统安全机制,从源头做起,从基础抓起,不断提升信息安全理念,强化信息技术的安全管理和保障,加强对包括设备安全、网络安全、数据安全等信息化建设全方位的安全管理,以信息化促进农业管理的科学化和精细化。 一、提升安全理念,健全制度建设 我局结合信息化安全管理现状,在充分调研的基础上,制定了《保密及计算机信息安全检查工作实施方案》,以公文的形式下发执行,把安全教育发送到每一个岗位和人员。进一步强化信息化安全知识培训,广泛签订《保密承诺书》。进一步增强全局的安全防范意识,在全农业系统建立保密及信息安全工作领导小组,由书记任组长,局长为副组长,农业系统各部门主要负责同志为成员的工作领导小组,下设办公室,抽调精兵强将负责对州农业局及局属各事业单位保密文件和局上网机、工作机、中转机以及网络安全的日管管理与检查。局属各单位也相应成立了网络与信息安全领导小组。 二、着力堵塞漏洞,狠抓信息安全 我局现有计算机37台,其中6台为工作机,1台中转机,每个工作人员使用的计算机按涉密用、内网用、外网用三种
情况分类登记和清理,清理工作分为自我清理和检查两个步骤。清理工作即每个干部职工都要对自己使用的计算机(含笔记本电脑)和移动存储介质,按涉密用、内网用、外网用进行分类,并进行相应的信息清理归类,分别存储。检查组办公室成员对各类计算机和移动存储介质进行抽查,确保所有计算机及存储设备都符合保密的要求。 定期巡查,建立安全保密长效机制。针对不同情况采用分类处理办法(如更新病毒库、重装操作系统、更换硬盘等),并制定相应制度来保证长期有效。严肃纪律,认真学习和严格按照《计算机安全及保密工作条例》养成良好的行为习惯,掌握安全操作技能,强化安全人人有责、违规必究的责任意识和机制。 三、规范流程操作,养成良好习惯 我局要求全系统工作人员都应该了解信息安全形势,遵守安全规定,掌握操作技能,努力提高全系统信息保障能力,提出人人养成良好信息安全习惯“九项规范”。 1、禁止用非涉密机处理涉密文件。所有涉密文件必须在涉密计算机上处理(包括编辑、拷贝和打印),内外网计算机不得处理、保存标密文件。 2、禁止在外网上处理和存放内部文件资料。 3、禁止在内网计算机中安装游戏等非工作类软件。 4、禁止内网计算机以任何形式接入外网。包括插头转
国内外测试仪器发展现状及趋势
国内外测试仪器发展现状及趋势 科学是从测量开始的—这是19世纪著名科学家门捷列夫的名言。到了21世纪的今天,作为信息产业的三大关键技术之一,测试测量行业已经成为电子信息产业的基础和发展保障。 而测试仪器作为测试测量行业发展不可或缺的工具,在测试测量行业的发展中起到了巨大的作用。中国“十一五”期间,由于国家不断增加基础建设的投入力度,在旺盛市场需求的带动下,对仪器需求不断增加,同时测试仪器市场也正在快速发展。 全球测试仪器市场情况及分析 国内电子测量仪器行业在经过一段沉寂后,慢慢开始复苏。产品大幅增长主要有两个原因,一是市场的巨大需求,特别是通信、广播电视市场的巨大发展,引发了电子测量仪器市场的迅速增长,二是电子测量仪器行业近几年迅速向数字化、
智能化方向发展,推出了部分数字化产品,因而在若干个门类品种上取得了较快增长。从近期中国仪表行业发展的情况来看势头喜人的,与全国制造业一样,虽然遇到了不少困难但仍然保持了向上发展的态势。 尽管中国仪器市场正在快速的发展着,但与国外仪器生产企业比较仍然有很大的差距。中国主要科研单位、学校以及企业等单位中使用的高档、大型仪器设备几乎全部依赖进口。同时,国外公司还占有国内中档产品以及许多关键零部件市场60%以上的份额。世界测试仪器市场对中国的影响依然非常大。目前,在世界电子测量仪器市场上,竞争日趋激烈。以往,测试仪器生产厂商主要都将仪器产品的高性能作为竞争优势,厂商开发什么,用户买什么。而今则已变成厂商努力开发用户需要的仪器,并且把更便宜、更好、更快、更易使用的测试仪器作为奋斗目标。在信息化的推动下,全世界测试仪器市场将继续保持增长的势头。人们普遍认为,电子测量仪器市场的前景依然乐观。 国际仪器发展趋势和国内现状 一、国际趋势
2020年网络与信息安全工作总结
网络与信息安全工作总结 最近发表了一篇名为《网络与信息安全工作总结》的范文,觉得有用就收藏了,重新了一下发到这里[]。 网络与信息系统安全自查总结报告 市信息化领导小组办公室: 按照《印发张家界市重点单位网络与信息安全检查工作方案和信息安全自查操作指南 ___》(X信办[xx]X号,我司立即组织开展信息系统安全检查工作,现将自查情况汇报如下: 一、信息安全状况总体评价 我司信息系统运转以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安(: :网络与信息安全工作总结)全工作经费,信息安全风险得到有效降低,应急处置能力切实得到提高,保证了本会信息系统持续安全稳定运行。 二、信息安全工作情况
(一)信息安全组织管理 领导重视,机构健全。针对信息系统安全检查工作,理 事会高度重视,做到了 ___亲自抓,并成立了专门的信息安全工作领导小组,组长由XXX担任,副组长由XXX,成员由各科(室)、直属单位负责人组成,领导小组下设办公室,办公室设在XXX。建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了残疾人工作的良好运行,确保了信息系统的安全。 (二)日常信息安全管理 1、建立了信息系统安全责任制。按责任规定:安全小组对信息安全负首责,主管领导负总责,具体管理人负主责。 2、制定了《计算机和网络安全管理规定》。网站和网络有专人负责信息系统安全管理。 (三)信息安全防护管理 1、涉密计算机经过了保密技术检查,并安装了防火墙,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。 3、网络终端没有违规上国际互联网及其他的 ___的现象。 (四)信息安全应急管理 1、制定了初步应急预案,并随着信息化程度的深入,结合我会实际,不断进行完善。 2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并给予应急技术最大支持。 3、严格文件的收发,完善了清点、、编号、签收制度,并要求信息管理员每天下班前进行存档。 4、及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。 (五)信息安全教育培训
国内外公路研究现状与发展趋势
第1章绪论 1.1我国公路现状 交通运输业是国民经济中从事运送货物和旅客的社会生产部门,是国民经济和社会发展的动脉,是经济社会发展的基础行业、先行产业。交通运输主要包括铁路、公路、水运、航空、管道五种运输方式,其中,铁路、水运、航空、管道起着“线”的作用,公路则起着“面”的作用,各种运输方式之间通过公路路网联结起来,形成四通八达、遍布城乡的运输网络。改革开放以来,灵活、快捷的公路运输发展迅速,目前,在综合运输体系中,公路运输客运量、货运量所占比重分别达90%以上和近80%。高速公路是经济发展的必然产物,在交通运输业中有着举足轻重的地位。在设计和建设上,高速公路采取限制出入、分向分车道行驶、汽车专用、全封闭、全立交等较高的技术标准和完善的交通基础设施,为汽车快速、安全、经济、舒适运行创造了条件。与普通公路相比,高速公路具有行车速度快、通行能力大、运输成本低、行车安全、舒适等突出优势,其行车速度比普通公路高出50%以上,通行能力提高了2~6倍,并可降低30%以上的燃油消耗、减少1/3的汽车尾气排放、降低1/3的交通事故率。 新中国成立以来,经过60多年的建设,公路建设有了长足发展。2011年初正值“十一五”规划结束,“十二五”规划伊始。“十一五”时期是我国公路交通发展速度最快、发展质量最好、服务水平提升最为显著的时期。经过4年多的发展,公路交通运输紧张状况已实现总体缓解,基础设施规模迅速扩大,运输服务水平稳步提升,安全保障能力明显增强,为应对国际金融危机、保持经济平稳较快发展、加快经济发展方式转变、促进城乡区域协调发展、保障社会和谐稳定、进一步提高我国的综合国力和国际竞争力作出了重要贡献。 “十一五”前4年,全国累计完成公路建设投资2.93万亿元,年均增长近16%,约为“十一五”预计总投资的1.2倍,也超过了“九五”和“十五”的投资总和。公路建设投资的快速增长,极大地拉动和促进了国民经济的迅猛发展。从公路建设投资占同期全社会固定资产总投资的比重来看,“十一五”期间基本保持在4.5%左右。 在投资带动下,公路网规模不断扩大,截至2009年底,全国公路网总里程达到386万公里,其中高速公路6.51万公里,二级及以上公路42.52万公里,分别较"十五"末增加36.4万公里、2.5万公里和9.4万公里;全国公路网密度由“十五”末的每百平方公里34.8公里提升至40.2公里。预计到2010年底,全国公路网总里程将达到395万公里,高速公路超过7万公里,分别较“十五”末增加45.3万公里与3万公里。农村公路投资规模年均增长30%,总里程将达到345万公里,实现全国96%的乡镇通沥青(水泥)路。 “十一五”期间公路的快速发展,为扩大内需、拉动经济增长作出了突出贡献。特别是2008年以来,为应对国际金融危机,以高速公路为重点,建设步伐进一步加快,“十一五”末高速公路里程将达到"十五"末的1.78倍。“十一五”期间全社会高速公路建设累计投资达2万亿元,直接拉动GDP增长约3万亿元,拉动相关行业产出
信息安全技术及应用
信息安全技术及应用· 浅谈网络信息安全及其防范技术 刘 辉 (天津滨海职业学院信息工程系,天津300451) 摘要:介绍网络信息安全的内容及其特性,分析了影响网络安全的主要因素,针对目前常见的网络安全隐患提出了有效的防范技术. 关键词:网络信息安全;防范技术 中图分类号: 文献标识码:A Simply Discussion of the Network Information Security and Precautionary Technology UU Hui (Department of Information ,Tianjin Coastal Polytechnic Imtitute,Tianjin Key words:Network information security;Precautionary technology 300451) 计算机网络是通过某种通信手段,把地理上分散的计算机连接起来实现资源共享的系统.因此在计算机网络的设计过程中,人们总是过多地考虑如何能够方便地实现资源共享,但在实际应用中,资源共享总是在一个局部或者某些特定用户之间进行的,超越了这个范围,就会造成信息泄密,信息破坏等危害网络安全的现象,这是所有设计者和使用者都不希望出现的,因此必须通过采用各种技术和管理措施,使网络系统正常运行.从而确保网络数据的可用性,完整性和保密性.确
保经过网络传输和交换的数据不会发生增加,修改,丢失和泄露等现象. 1 f1)完整性:是指信息在存储或传输过程中保持不被修改,不被破坏,不延迟,不乱序和不丢失的特性,即保证信息的来源,去向,内容真实无误.信息的完整性是信息安全的基本要求.破坏信息的完整性是影响信息安全的常用手段.许多协议确保信息完整性的方法大多是收错重传,丢弃后续包,但黑客的攻击可以改变信息包内部的内容. (2)保密性:是指信息不泄露给非授权人,实体和过程,或供其使用的特性,即保证信息不会被非法泄露扩散. (3)町用性:是指信息可被合法用户访问并能按要求的特性使用,即信息可被授权实体访问并能按需求使用.例如,网络环境下拒绝服务,破坏网络和有关系统的正常运行等都属于对于..一, 司用性的攻击. 誊'o丘 网络信息安全含义 计算机网络信息安全通常是指利用网络管理控制和技术措施使网络系统的硬件,软件及其中的数据受到保护,防止网络本身及网上传输的信息财产受偶然的因素或者恶意的攻击而遭到破坏,更改,泄漏,或使网上传输的信息被非法系统辨认,控制, 即确保网上传输信息的完整性(Integrity),保密性(confidentimid), 可用性fAvailability)及可控性(Controllability),也就是确保信息的安全有效性并使系统能连续,可靠,正常地运行,网络服务不中断.由于计算机网络通常由多级网络组成,其信息系统也由多级组成,各级网络信息的安全要求也各不相同. 针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全,数据库安全,网络安全,病毒保护,访问控制,加密与鉴别等内容,大致可以概括为
国内外信息安全研究现状及发展趋势
来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。 我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方面也做了一定的工作,比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。 公钥密码主要用于数字签名和密钥分配。当然,数字签名和密钥分配都有自己的研究体系,形成了各自的理论框架。目前数字签名的研究内容非常丰富,包括普通签名和特殊签名。特殊签名有盲签名,代理签名,群签名,不可否认签名,公平盲签名,门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。 序列密码主要用于政府、军方等国家要害部门,尽管用于这些部门的理论和技术都是保密的,但由于一些数学工具(比如代数、数论、概率等)可用于研究序列密码,其理论和技术相对而言比较成熟。从八十年代中期到九十年代初,序列密码的研究非常热,在序列密码的设计与生成以及分析方面出现了一大批有价值的成果,我国学者在这方面也做了非常优秀的工作。 国外目前不仅在密码基础理论方面的研究做的很好,而且在实际应用方面也做的非常好。制定了一系列的密码标准,特别规范。算法的征集和讨论都已经公开化,但密码技术作为一种关键技术,各国都不会放弃自主权和控制权,都在争夺霸权地位。我国在密码基础理论的某些方面的研究也做得很好,但在实际应用方面与国外存在差距,缺乏自己的标准,也不够规范。 密码技术特别是加密技术是信息安全技术中的核心技术,国家关键基础设施中不可能引进或采用别人的加密技术,只能自主开发。目前我国在密码技术的应用水平
信息安全自查工作总结报告
信息安全自查工作总结 报告 集团公司文件内部编码:(TTT-UUTT-MMYB-URTTY-ITTLTY-
信息安全自查工作总结报告根据上级网络安全管理文件精神,**成立了网络信息安全工作领导小组,在组长***的领导下,制定计划,明确责任,具体落实,对***系统网络与信息安全进行了一次全面的调查。发现问题,分析问题,解决问题,确保了网络能更好地保持良好运行,为我市报业发展提供一个强有力的信息支持平台。 一、加强领导,成立了网络与信息安全工作领导小组 为进一步加强网络信息系统安全管理工作,***成立了网络与信息系统安全保密工作领导小组,做到分工明确,责任具体到人。安全工作领导小组组长为***,副组长***,成员有***、***。分工与各自的职责如下:***为计算机网络与信息系统安全保密工作第一责任人,全面负责计算机网络与信息安全管理工作。***负责计算机网络与信息安全管理工作的日常事务。***、***负责计算机网络与信息安全管理工作的日常协调、网络维护和日常技术管理工作。
二、***信息安全工作情况 安全管理方面,制定了***等管理制度。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。存储介质管理,完善了《存储介质管理制度》,建立了***。运行维护管理,建立了《***运行维护操作记录表》,完善了《***日常运行维护制度》。 1、技术防护方面 网站服务器及计算机设置防火墙,拒绝外来恶意攻击,保障网络正常运行,安装正牌的防病毒软件,对计算机病毒、有害电子邮件采取有效防范,根据系统服务需求,按需开放端口,遵循最小服务配置原则。一旦发生网络信息安全事故应立即报告相关方面并及时进行协调处理。 2、应急处理方面 拥有专业技术团队,对突发网络信息安全事故可快速安全地处理。 3、容灾备份 对数据进行即时备份,当出现设备故障时,保证了数据完整。
国内外研究现状和发展趋势
北京市绿化隔离带可持续经营技术及效益评价 二、项目所属领域国内外研究开发现状和发展趋势 1、由城市绿地到城市林业的发展 城市绿地是城市中一种特殊的生态系统,它是城市系统中能够执行“吐故纳新”负反馈调节机制的子系统。这个系统一方面能为城市居民提供良好的生活环境,为城市生物提供适宜的生境;另一方面能增强城市景观的自然性、促进城市居民与自然的和谐共生。它是城市现代化和文明程度的重要标志。 绿地(green space)一词,各国的法律规范和学术研究对它的定义和范围有着不同的解释,西方城市规划概念中一般不提城市绿地,而是开敞空间(Open Space),我国建国以来一直延用原苏联的绿地概念,包括城市区域内的各类公园、居住区绿地、单位绿地、道路绿化、墓地、农地、林地、生产防护绿地、风景名胜区、植物覆盖较好的城市待用地等。 尽管各国关于开敞空间(或绿地)的定义不尽相同,但它们都强调了开敞空间(或绿地)在城市中的自然属性,即都是为了保持、恢复或建立自然景观的地域。绿地作为城市的一种景观,是城市中保持自然景观,或使自然景观得到恢复的地域,是城市自然景观和人文景观的综合体现,是城市中最能体现生态性的生态空间,是构成城市景观的重要组成部分。在结构上为人工设计的植物景观、自然植物景观或半自然植物景观。绿地在城市中的功能和作用主要包括:组织城市空间的功能、生态功能(改善生态环境的功能、生物多样性保护功能)、游憩休闲功能、文化(历史)功能、教育功能、社会功能、城市防护和减灾功能。 城市绿地发展和研究进程包括:城市绿地思想启蒙阶段、城市绿地规划思想形成阶段、城市绿地理论和方法的发展阶段、城市绿地生态规划和建设阶段。 吴人韦[1]、汪永华[2]、胡衡生[3]等从城市公共绿地的起源开始介绍了国外城市绿地的发展历程,认为国外的城市绿地建设经历了从公园运动(1843~1887)、公园体系(1880~1890)、重塑城市(1898~1946)、战后大发展(1945~1970)、生物圈意识(1970年以后)等一系列由简单到复杂的城市绿地发展过程,其中“重塑城市”阶段提出了“田园城市”和城市绿带概念,绿带网络提供城区间的隔离、交通通道,并为城市提供新鲜空气。“有机疏散”理论中的城市与自然的有机结合原则,对以后的城市绿化建设具有深远的影响。1938年,英国议会通过了绿带法案(Green Belt Act)。1944年的大伦敦规划,环绕伦敦形成一道宽达5英里的绿带。1955年,又将该绿带宽度增加到6~10英里。英国“绿带政策”的主要目的是控制大城市无限蔓延、鼓励新城发展、阻止城市连体、改善大城市环境质量。早在1935年,莫斯科进行了第一个市政建设总体规划,规划在城市用地外围建立10公里宽的“森林公园带”;1960年调整城市边界时,“森林公园带”进一步扩大为10~15公里宽,北部最宽处达28公里;1971年,莫斯科采用环状、楔状相结合的绿地布局模式,将城市分隔为多中心结构。目前,德国城市森林建设已取得了让世人瞩目的成绩,其树种主要为乡土树种,基本上是高大的落叶乔木(栎类、栗类、悬铃木、杨树、核桃、欧洲山毛榉等)[4]。在绿化城