網路安全發展現狀
Ⅰ 網路安全產品的發展史,分類及現狀
隨著WLAN(無線區域網)技術的快速發展,WLAN應用的增長速度非常驚人,各級組織在選用WLAN產品時都會擔心WLAN的數據傳輸是否安全,是否能確保數據的完整和安全。而面對眾多的WLAN安全方案,我們又能指望誰呢?
有線網路和無線網路存在不同的傳輸方式。有線網路的訪問控制往往以物理埠的接入方式進行監控,數據通過雙絞線、光纖等介質傳輸到特定的目的地,有線網路輻射到空氣中的電磁信號強度很小,一般情況下,只有在物理鏈路遭到盜用後數據才有可能泄漏。
無線網路的數據傳輸是利用電磁波在空氣中輻射傳播,只要在接入點(AP)覆蓋的范圍內,所有的無線終端都可以接收到無線信號。無線網路的這種電磁輻射的傳輸方式是無線網路安全保密尤為突出的主要原因。
雙因素考核無線安全
通常網路的安全性主要體現在兩個方面:一是訪問控制,用於保證敏感數據只能由授權用戶進行訪問;另一個是數據加密,用於保證傳送的數據只被所期望的用戶所接收和理解。無線區域網相對於有線區域網所增加的安全問題,主要是由於其採用了電磁波作為載體來傳輸數據信號,其他方面的安全問題兩者是相同的。
WLAN的訪問控制手段
服務集標識SSID匹配:通過對多個無線AP設置不同的SSID標識字元串(最多32個字元),並要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,並對資源的訪問許可權進行區別限制。
但是SSID只是一個簡單的字元串,所有使用該無線網路的人都知道該SSID,很容易泄漏;而且如果配置AP向外廣播其SSID,那麼安全性還將下降,因為任何人都可以通過工具或Windows XP自帶的無線網卡掃描功能就可以得到當前區域內廣播的SSID。這是一種較低級別的訪問控制方法。
物理地址過濾:由於每個無線工作站的網卡都有惟一的,類似於乙太網的48位的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現基於物理地址的過濾。如果各級組織中的AP數量很多,為了實現整個各級組織所有AP的無線網卡MAC地址統一認證,現在有的AP產品支持無線網卡MAC地址的集中RADIUS認證。
物理地址過濾的方法要求AP中的MAC地址列表必須及時更新,由於此方法維護不便、可擴展性差,而且MAC地址還可以通過工具軟體或修改注冊表偽造,因此這也是較低級別的訪問控制方法。
可擴展認證協議:可靠性、靈活性和可擴展性都不是很好,IEEE 802.1x(簡稱802.1x)協議應運而生,它定義了基於埠的網路接入控制協議,其主要目是為了解決無線區域網用戶的接入認證問題。
802.1x提供了一個可靠的用戶認證和密鑰分發的框架,可以控制用戶只有在認證通過以後才能連接到網路。但802.1x本身並不提供實際的認證機制,需要和擴展認證協議(EAP)配合來實現用戶認證和密鑰分發。
當無線工作站與無線AP關聯後,是否可以使用AP的受控埠要取決於802.1x的認證結果,如果通過非受控埠發送的認證請求通過了驗證,則AP為無線工作站打開受控埠,否則一直關閉受控埠,用戶將不能上網。
WLAN的數據加密技術
WEP有線等效保密:是一個為了保證數據能安全地通過無線網路傳輸而制定的加密標准,使用了共享秘鑰RC4加密演算法,只有在用戶的加密密鑰與AP的密鑰相同時才能獲准存取網路的資源,從而防止非授權用戶的監聽以及非法用戶的訪問,密鑰最高可以支持152位加密。
WEP標准在保護網路安全方面存在固有缺陷,例如一個服務區內的所有用戶都共享同一個密鑰,一個用戶丟失或者泄漏密鑰將使整個網路不安全。WEP加密自身也存在安全缺陷,有許多公開可用的工具能夠從互聯網上免費下載,用於入侵不安全網路。而且黑客有可能發現網路傳輸,然後利用這些工具來破解密鑰,截取網路上的數據包,或非法訪問網路。
WPA保護訪問技術:WEP存在的缺陷不能滿足市場的需要,Wi-Fi聯盟適時推出了WPA技術,作為臨時代替WEP的無線安全標准協議,為IEEE 802.11無線區域網提供較強大的安全性能。WPA實際上是IEEE 802.11i的一個子集,其核心就是IEEE 802.1x和臨時密鑰完整性協議(TKIP)。
TKIP與WEP同樣基於RC4加密演算法,但對現有的WEP進行了改進,使用了動態會話密鑰。TKIP引入了48位初始化向量(IV)和IV順序規則、每包密鑰構建、Michael消息完整性代碼以及密鑰重獲/分發4個新演算法,提高了無線網路數據加密安全強度。
WPA之所以比WEP更可靠,就是因為它改進了WEP的加密演算法。由於WEP密鑰分配是靜態的,黑客可以通過攔截和分析加密的數據,在很短的時間內就能破解密鑰。而在使用WPA時,系統頻繁地更新主密鑰,確保每一個用戶的數據分組使用不同的密鑰加密,即使截獲很多的數據,破解起來也非常地困難。
Ⅱ 國內外網路安全的現狀是怎樣的
1、普遍受到重視。網路為信息安全提供了更大的用武之地,保證網路和信息安全是進行網路應用及電子商務的基礎。如網上訂票,由於轉款上的問題,存在很多不便。
2、 國際網路與信息安全產業界發展迅速。如防火牆行業發展非常迅速。
3、 政府大力扶持。各國政府關於信息安全的技術扶持都非常強。我國進口的信息技術沒有密碼技術。美國政府嚴格控制密碼技術出口。我國嚴禁進口,甚至禁止國外密碼產品的展覽在中國的展覽。
4、 標准化、國際化。很多電信安全協議,如通信協議都有安全標准,但密碼技術還沒有國際標准。
5、 學術活躍。學術界關於安全密碼的研究非常活躍。
6、 媒體熱情關注。但僅僅關注到黑客攻擊,還沒有關注到密碼層次。
Ⅲ 中國網路安全發展前景如何
伴隨著各行各業信息化的不斷推進,互聯網的不安全因素也在逐日擴張,病毒木馬,垃圾郵件,間諜軟體等網路帶來的"副作用"也在困擾著所有網路用戶,一次又一次給企業敲響警鍾,讓企業認識到網路安全的重要性。然而在面臨網路安全產品的選擇時,很多企業都顯得無所適從,因為目前的網路安全市場正可謂是群雄並起、各成一家。從產品而言,不同廠商的理念大相徑庭,甚至出現截然相反的發展趨勢。從渠道而言,渠道類型多種多樣,在產品的推廣和應用方面也採取了多種多樣的策略。所有這些都表明,目前的網路安全市場似乎還未走向成熟,而是處於一種群雄逐鹿的局面。 盡管市場環境錯綜復雜,但是網路安全市場的增長卻是有目共睹的。且不論網路安全市場如何混亂,如何競爭激烈,對從業者而言,這本身就是一塊大蛋糕,成長迅速的網路安全市場是不容錯過的機遇。除了未來的前景相當誘人之外,目前行業內的盈利狀況也十分樂觀。業內人士指出,從以往一些國外的網路安全公司的經營情況看,大多都有比較豐厚的盈利。從國內市場上看,由於目前國內的網路安全行業還沒有出現領導者,專業公司比較少,整個行業呈現一片蓬勃的生機,一些剛起步的安全公司大多數也都有盈利。另外,網路安全核心技術具有的較大的不可模仿性使得行業從整體上看仍然屬於賣方市場。 "黑客"催生網路安全市場對一般人來說,打開計算機很少會聯想到"危險"二字,然而專業人士卻告誡說:"一條信息從美國傳到中國不過600毫秒,這意味著一個來自地球對面的黑客在一秒鍾之內就能到達你的計算機。" 專內人士指出,如今的網路經營者和使用者如果不重視自身的安全防範,就很有可能受到入侵者的光顧。黑客們的破壞形形色色,有的醜化網站頁面,損害網站聲譽;有的竊取用戶的機密數據,並將其復制和散播,甚至將竊得的重要資料(如網站的程序和資料庫等)賣給用戶的競爭對手;有的則修改系統文件和重要資料,造成系統無法正常運行,甚至導致不可預測的嚴重結果;有的竊取用戶網路系統控制權以後"借刀殺人",利用用戶機器瘋狂做案,破壞諸如金融、國防等重要部門的系統,使用戶成為替罪羔羊;有的則攻擊牽涉到資金周轉的網站,借機肥己,使用戶蒙受巨大的經濟損失。 據了解,當今世界上平均每20秒鍾就有一起黑客事件發生,僅在美國每年造成的經濟損失就超過100億美元,而且損失還在以驚人的速度增長。在中國,網路安全問題更加不容忽視,國內一家著名的網路安全組織"綠盟軍團"在搜索了國內電子商務站點後宣稱,90%以上的網站存在嚴重安全漏洞。而中國電子商務網路最近的一項調查發現,44%公司的網上資訊曾被黑客竄改,另有40%曾遭"惡意攻擊"。面對漏洞百出的網路系統和無孔不入的黑客,越來越多的人認識到網路安全的重要性。 行業仍然稚嫩隨著政府對網路安全研究日益重視,和一些專著於研究黑客技術研究的民間組織相繼轉為商業公司,最近國內出現了一些比較專業的組織和公司,一些大公司開始涉足網路安全行業,政府有關部門對網路安全的投入力度也日漸加大。業內人士認為,就國內目前市場需求的特點來看,兼顧服務和產品開發的公司最有發展前途。不過,雖然發展勢頭十分強勁,但行業尚處於初期發展階段,仍然相當稚嫩,一些相關的技術和政策標准也還在制訂之中。 就中國國情而言,國人開發的網路安全產品是有很大市場優勢的。雖然從整體技術水平上看,國外安全產品存在一些優勢,品種齊全,也能提供全面的解決方案,但費用高,而且不太切合中國的國情,往往不能解決實際問題,在技術支持和服務上也難以跟上。而國內安全產品提供商在價格和售後服務上就具有相當優勢。 技術是成功的敲門磚在談到進入行業的條件時,幾乎所有的業內人士都認為人才和技術是關鍵。同樣,要在行業內立足、保持競爭優勢,除了加大市場推廣的力度外,技術領先的重要性也是不可小視的。行內人士指出,網路安全行業是一個比較特殊的行業,技術含量相當高。一個合格的網路安全公司,其技術研究幾乎必須覆蓋當今計算機領域的所有軟硬體產品。這是因為網路安全專家的主要對手是"黑客",他們掌握了精深計算機技術,破壞力超乎平常人的想像。目前在中國乃至世界范圍內,網路安全方面的人才都十分稀缺,因此絕大多數的網路安全公司對人才的需求都非常迫切,其中一些網路安全公司開始在"亦正亦邪"的黑客中吸納人才,一方面可以發揮他們的特長,促進國內網路安全,另一方面也可以將他們的不利影響降低到最少。除了具備精深而廣博的專業技術的人才,資金也是一家網路安全公司能否生存壯大的決定性因素。由於網路安全公司必須不斷加強基礎研究才能提高產品的技術含量和不可模仿性,因此公司必須投入相當資金購置相關的軟體和硬體,並進行各種計算機產品的大規模研究測試。另外,由於行業內人才緊俏,只有高薪才可能留住人才,對技術人員的人工費用投資也相當大。據透露,雖然不少網路安全公司依靠幾十萬元就開始起步,但真正要具備一定的開發能力和規模氣候,投資規模通常在幾千萬元以上
網安廠商發展理念大相徑庭關於網路安全市場,不同的廠商所看到的趨勢也不盡相同。部分廠商認為,伴隨著信息化基礎設施逐漸增加,應用功能不斷擴展,企業公共出口的網路安全是最為重要的。在這種情況下,單一功能的防火牆已經不能完全滿足用戶的需求,而集成了防火牆、防病毒、IDP、反垃圾郵件、VPN、內容過濾等多功能於一身的UTM將成為網路安全市場的翹楚。與此同時,也有部分廠商認為,目前網路安全市場存在明顯的"重開發,輕應用"的現象。很多安全方案都被設計的非常宏觀,功能與效益覆蓋范圍過於全面,沒有按照客戶的實際需求來構建,從而造成價格昂貴但是實際效果卻未必盡如人意。 中小企業網安市場升溫由於資金和技術等方面的原因,中小企業的網路安全問題一直存在著種種隱患。據了解,大部分中小企業並沒有設置專門的網路管理員,有些企業採用兼職管理的方式,而有些中小企業甚至完全沒有網路安全方面的維護意識。正因為這樣的原因,很多中小企業的網路管理都存在嚴重的安全漏洞。事實上,很多中小企業已經受到過網路病毒的侵害,甚至有些也經受了嚴重的損失,但是考慮到網路安全的投入成本高、維護起來有一定難度,這也使得善於精打細算的中小企業在防範病毒問題上進退兩難。 盡管如此,考慮到中小企業作為佔中國企業主體比重95%以上的一個群體,其規模消費能力絕不能低估。因此,不少網路安全廠商已經意識到,雖然把目標客戶定位於購買力強的大中企業能夠獲得豐厚的利潤,但是如今的競爭已經越來越激烈,要想在這個客戶群體中有快速的業績增長是非常困難的。相反,開發中小企業客戶,不需過大投入,並且客戶基數遠大於大中型企業,使得網路安全廠商和渠道在低風險的情況下,能夠盡可能多的增加新客戶,也有利於實現空白領域的快速增長。因此,越來越多的網路安全廠商和渠道開始重視起中小企業市場,在共同推動中小企業網路安全的進程。 從產品來看,雖然市場上的安全產品五花八門、種類繁多,防病毒、防火牆、信息加密、入侵檢測、安全認證、核心防護無不囊括其中,但從其應用范圍來看,這些方案大多數面向銀行、證券、電信、政府等行業用戶和大型企業用戶,針對中小企業的安全解決方案寥寥無幾,產品僅僅是簡單的客戶端加伺服器,不能完全解決中小企業用戶所遭受的安全威脅。目前,國內廠商推出了網路版病毒軟體,但由於功能的單一,並不能為中小企業提供完善的防護。這一現狀也要求網路安全廠商必須要做出進一步的努力,為中小企業用戶量身打造最佳的安全解決方案。對網路安全的從業者而言,只有從中小企業用戶的實際出發,切實打造適合的網路安全產品,降低服務和維護的成本,讓中小企業切實感受到網路安全是高性價比的投入,才能使得這一市場真正快速火熱起來。【參考資料】: http://www.skyln.net/topics/wlaq/114.html
Ⅳ 計算機安全發展現狀
隨著網路技術的迅速發展和網路應用的廣泛普及,網路安全問題日益突出。如何對網路
上的非法行為進行主動防禦和有效抑制,是當今亟待解決的重要問題。本期專題就計算機網
絡安全研究的現狀、發展動態以及相關的理論進行了論述,並介紹了幾種計算機安全模型及
開發方法。
1.開放式互聯網路的安全問題研究 本文介紹了計算機安全研究的現狀和發展動態,並對
公鑰密碼體制和OSI的安全體系結構進行了詳細的分析。
2.計算機安全模型介紹 存取控制模型和信息流模型是計算機安全模型的兩大主流,作者
在文章中對此分別做了介紹。
3.計算機安全策略模型的開發方法 本文涉及兩類安全模型的開發方法,即函數型方法和
關系型方法,文中詳細敘述了這兩類開發方法中的狀態機模型與邊界流方法開發的具體步驟
。
4.Internet上防火牆的實現 目前,防火牆已成為實現網路安全策略最有效的工具之一。
防火牆的體系結構是什麼?防火牆有幾種類型?作者將在文章中做介紹。開放式互聯網路的安
全問題研究
上海交通大學金橋網路工程中心 余巍 唐冶文 白英彩
一、開放系統對安全的需求
當前,我國正處在Internet的應用熱潮中,隨著國民經濟信息化的推進,人們對現代信息
系統的應用投入了更多的關注。人們在享受網路所提供的各種好處的同時,還必須考慮如何
對待網上日益泛濫的信息垃圾和非法行為,必須研究如何解決Internet上的安全問題。
眾所周知,利用廣泛開放的物理網路環境進行全球通信已成為時代發展的趨勢。但是,如
何在一個開放的物理環境中構造一個封閉的邏輯環境來滿足集團或個人的實際需要,已成為
必須考慮的現實問題。開放性的系統常常由於節點分散、難於管理等特點而易受到攻擊和蒙
受不法操作帶來的損失,若沒有安全保障,則系統的開放性會帶來災難性的後果。
開放和安全本身是一對矛盾,如何進行協調,已成為我們日益關心的問題。因此,必須對
開放系統的安全性進行深入和自主的研究,理清實現開放系統的安全性所涉及的關鍵技術環
節,並掌握設計和實現開放系統的安全性的方案和措施。
二、計算機安全概論
在現實社會中會遇到各種威脅,這些威脅來自各方面,有些是由於我們自身的失誤而產生
的,有些是各種設施和設備失常而造成的,也有一些是由各種自然災害引起的。這些危害的一
個共同特點是"被動的",或者說是帶有偶然性的,它不屬於本文所要研究的范疇。最危險的威
脅是"主動的"。所謂"主動威脅"是指人故意做出的,這些人出於各種各樣的目的,他們的目標
就是要使對手蒙受損失,自己獲得利益。 計算機安全包括:
·計算機實體的安全 如計算機機房的物理條件及設施的安全標准、計算機硬體的安裝
及配置等。
·軟體安全 如保護系統軟體與應用軟體不被非法復制、不受病毒的侵害等 。
·計算機的數據安全 如網路信息的數據安全、資料庫系統的安全。
·計算機的運行安全 如運行時突發事件的安全處理等。包括計算機安全技術、計算機
安全管理和計算機安全評價等內容。
對於計算機網路的安全問題,一方面,計算機網路具有資源的共享性,提高了系統的可靠
性,通過分散負荷,提高了工作效率,並具有可擴充性;另一方面,正是由於這些特點,而增加了
網路的脆弱性和復雜性。資源的共享和分布增加了網路受攻擊的可能性。現在的網路不僅有
區域網(LAN),還有跨地域採用網橋(Bridge)、網關(Gateway)設備、數據機、各種公用
或專用的交換機及各種通信設備,通過網路擴充和異網互聯而形成的廣域網(WAN)。由於大大
增加了網路的覆蓋范圍和密度,更難分清網路的界限和預料信息傳輸的路徑,因而增加了網路
安全控制管理的難度。
計算機網路系統的安全性設計和實現包括以下五個因素:
·分析安全需求 分析本網路中可能存在的薄弱環節以及這些環節可能造成的危害和由
此產生的後果。
·確定安全方針 根據上述安全需求分析的結果,確定在網路中應控制哪些危害因素及
控製程度、應保護的資源和保護程度。
·選擇安全功能 為了實現安全方針而應具備的功能和規定。
·選擇安全措施 實現安全功能的具體技術和方法。
·完善安全管理 為有效地運用安全措施,體現安全功能,而採取的支持性和保證性的技
術措施,包括有關信息報告的傳遞等。
本文主要討論網路資源的安全性,尤其是網路在處理、存儲、傳輸信息過程中的安全性
,因此,衡量網路安全性的指標是可用性、完整性和保密性。
·可用性(Availability) 當用戶需要時,就可以訪問系統資源。
·完整性(Integrity) 決定系統資源怎樣運轉以及信息不能被未授權的來源替代和破壞
。
·機密性(Confidentiality) 定義哪些信息不能被窺探,哪些系統資源不能被未授權的
用戶訪問。
任何信息系統的安全性都可以用4A的保密性來衡量,即:
·用戶身份驗證(Authentication) 保證在用戶訪問系統之前確定該用戶的標識,並得
到驗證(如口令方式)。
·授權(Authorization) 指某個用戶以什麼方式訪問系統。
·責任(Accountablity) 如檢查跟蹤得到的事件記錄,這是業務控制的主要領域,因為
它提供證據(Proof)和跡象(Evidence)。
·保證(Assurance) 系統具有什麼級別的可靠程度。
三、計算機安全研究的現狀與發展動態
60年代以前,西方注意的重點是通信和電子信號的保密。60年代中期,美國官方正式提出
計算機安全問題。1981年美國成立了國防部安全中心(NCSC),1983年正式發布了《桔皮書》
,此書及以後發布的一系列叢書,建立了有關計算機安全的重要概念,影響了一代產品的研製
和生產,至今仍具有權威性。 ISO在提出OSI/RM以後,又提出了ISO/7498-2(安全體系結構)。
另外,從80年代中期開始,CEC(Commission of European Communications)以合作共享成果
的方式進行了一系列工作,探討和研究了適用於開放式計算機系統的環境和可集成的安全系
統。 隨著Internet網上商業應用的發展,發達國家開始了防火牆的研究和應用工作。
近年來,國內外在安全方面的研究主要集中在兩個方面:一是以密碼學理論為基礎的各種
數據加密措施;另一是以計算機網路為背景的孤立的通信安全模型的研究。前者已更多地付
諸於實施,並在實際應用中取得了較好的效果;而後者尚在理論探索階段,且不健全,特別是缺
乏有機的聯系,僅局限於孤立地開展工作。ISO在1989年提出了一個安全體系結構,雖然包括
了開放式系統中應該考慮的安全機制、安全管理以及應提供的安全服務,但只是一個概念模
型,至今仍未能有真正適用於實際的形式化的安全模型。盡管如此,眾多的學者和科研機構在
此基礎上還是進行了許多有益的探索。
對於分布式安全工程的實施,MIT於1985年開始進行Athena工程,最終形成了一個著名的
安全系統Kerb-deros。這個系統是一個基於對稱密碼體制DES的安全客戶服務系統,每個客戶
和密鑰中心公用一個密鑰。它的特點是中心會記住客戶請求的時間,並賦予一個生命周期,用
戶可以判斷收到的密鑰是否過期。它的缺點在於,網上所有客戶的時鍾必須同步。另外,它忽
略了一個重要的問題———安全審計。在網路環境下,必須考慮多級安全的需要,如美國軍用
DDN網的多級安全性研究。此外,還應考慮不同域之間的多級安全問題。由於各個域的安全策
略有可能不同,因此,必須考慮各個域之間的協調機制,如安全邏輯和一致性的訪問控制等。
Internet的基礎協議TCP/IP協議集中有一系列缺陷,如匿名服務及廣播等,因此,可能會
導致路由攻擊、地址欺騙和假冒身份所進行的攻擊。為此,提出了大量的RFC文檔,表明了TC
P/IP協議和Internet之間密不可分的關系。隨著應用的深入,TCP/IP中的各種問題首先在In
ternet上發現,並在實際中得到了解決。有的學者考慮到Unix環境下的遠程過程調用中,採用
UDP方式易受到非法監聽,以及DES演算法密鑰傳輸的困難性,建議採用公鑰體制。
有關Internet的安全應用,已有大量的文獻報導。如採用一個能提供安全服務並適用於
開放式環境的企業集成網EINET,它根據Internet的服務是採用Client/Server結構的特點,向
用戶提供一個"柔性"的安全框架,既能兼顧安全性又能兼顧開放性,使用戶不會因為安全機制
的提供而影響對網上數據的正常訪問。它以OSI的安全體系為基礎,構造了一個三層的安全體
系結構,即安全系統、安全操作和安全管理。最後,將安全系統集成到Internet上的各種應用
中,如FTP、Telnet、WAIS和E-mail等。又如,對Internet上的各種瀏覽工具Gopher、WAIS和
WWW的安全性提出了建議,像末端用戶認證機制、訪問控制、數據安全及完整性,等等。考慮
到Client/Server結構的特點,可以運用對象管理組(Object Management Group)實施多級分
布式安全措施,並提出一個基於OSI考慮的通用的安全框架,將安全模塊和原有的產品進行集
成。
在有的文獻中討論了公用交換電信網在開放環境下所面臨的威脅,並在政策措施方面提
出公司應與政府合作,通過OSI途徑,開發實用的工具,進行公用網的安全管理。同時指出了在
分布式多域的環境下,建立一個國際標準的分布式安全管理的重要性,並著重從分布式管理功
能服務的角度進行了闡述。由於網路的開放性和安全性是一對矛盾,所以,必須對在網路通信
中,由於安全保密可能引起的一系列問題進行探討。現在,網路上採用的安全信關設備只能保
證同一級別上保密的有效性,對於不同級別的用戶必須進行協議安全轉換,因此而形成網路通
信的瓶頸。因此,採用保密信關設備進行互聯只是權宜之計。要解決這個問題,就必須從網路
的安全體繫上進行考慮。目前,高速網的安全問題已經逐漸被人們所重視,如ATM和ISDN網路
安全性研究等。主要的研究問題有:高性能快速加密演算法的研究、信元丟失對密碼系統的影
響等。
在一個安全系統中,除了加密措施外,訪問控制也起很重要的作用。但是,一般的訪問控
制技術,如基於源、目的地址的網關節點上的濾波技術,由於處於網路層,不能對應用層的地
址信息進行有意義的決策,因而不能對付冒名頂替的非法用戶。另外,由於常見的訪問控制矩
陣比較稀疏,增加用戶項時效率不高,而且不能進行有效的刪除操作。因此,應該研究一種有
效的動態訪問控制方法。
四、公鑰密碼體制
計算機網路安全的發展是以密碼學的研究為基礎的。隨著密碼學研究的進展,出現了眾
多的密碼體制,極大地推動了計算機網路安全的研究進程。
1.對稱密碼體制
一個加密系統,如果加密密鑰和解密密鑰相同,或者雖不相同,但可以由其中一個推導出
另一個,則是對稱密碼體制。最常見的有著名的DES演算法等。其優點是具有很高的保密強度,
但它的密鑰必須按照安全途徑進行傳遞,根據"一切秘密寓於密鑰當中"的公理,密鑰管理成為
影響系統安全的關鍵性因素,難於滿足開放式計算機網路的需求。
DES是一種數據分組的加密演算法,它將數據分成長度為64位的數據塊,其中8位作為奇偶校
驗,有效的密碼長度為56位。首先,將明文數據進行初始置換,得到64位的混亂明文組,再將其
分成兩段,每段32位;然後,進行乘積變換,在密鑰的控制下,做16次迭代;最後,進行逆初始變
換而得到密文。
對稱密碼體制存在著以下問題:
·密鑰使用一段時間後就要更換,加密方每次啟動新密碼時,都要經過某種秘密渠道把密
鑰傳給解密方,而密鑰在傳遞過程中容易泄漏。
·網路通信時,如果網內的所有用戶都使用同樣的密鑰,那就失去了保密的意義。但如果
網內任意兩個用戶通信時都使用互不相同的密鑰,N個人就要使用N(N-1)/2個密鑰。因此,密
鑰量太大,難以進行管理。
·無法滿足互不相識的人進行私人談話時的保密性要求。
·難以解決數字簽名驗證的問題。
2.公鑰密碼體制
如果將一個加密系統的加密密鑰和解密密鑰分開,加密和解密分別由兩個密鑰來實現,並
且,由加密密鑰推導出解密密鑰(或由解密密鑰推導出加密密鑰)在計算上是不可行的,一般系
統是採用公鑰密碼體制。採用公鑰密碼體制的每一個用戶都有一對選定的密鑰,一個可以公
開,一個由用戶秘密保存。公鑰密碼體制的出現是對現代密碼學的一個重大突破,它給計算機
網路的安全帶來了新的活力。
公鑰密碼體制具有以下優點:
·密鑰分配簡單。由於加密密鑰與解密密鑰不同,且不能由加密密鑰推導出解密密鑰,因
此,加密密鑰表可以像電話號碼本一樣,分發給各用戶,而解密密鑰則由用戶自己掌握。
·密鑰的保存量少。網路中的每一密碼通信成員只需秘密保存自己的解密密鑰,N個通信
成員只需產生N對密鑰,便於密鑰管理。
·可以滿足互不相識的人之間進行私人談話時的保密性要求。
·可以完成數字簽名和數字鑒別。發信人使用只有自己知道的密鑰進行簽名,收信人利
用公開密鑰進行檢查,即方便又安全。
由於具有以上優點,在短短的幾十年中,相繼出現了幾十種公鑰密碼體制的實現方案。如
:W·Deffie和M·E·Hellmanbit提出了一種稱為W·Deffie和M·E·Hellman協議的公鑰交換
體制,它的保密性是基於求解離散對數問題的困難性;Rivest、Shamir和Adleman提出了基於
數論的RSA公鑰體制,它的依據是大整數素因子的分解是十分困難的;我國學者陶仁驥、陳世
華提出的有限自動機密碼體制,是目前唯一的以一種時序方式工作的公鑰體制,它的安全性是
建立在構造非線性弱可逆有限自動機弱逆的困難性和矩陣多項式分解的困難性上的;Merkle
和Herman提出了一種將求解背包的困難性作為基礎的公鑰體制。此外,在上述基礎上還形成
了眾多的變形演算法。
五、ISO/OSI安全體系結構
安全體系結構、安全框架、安全模型及安全技術這一系列術語被認為是相互關聯的。安
全體系結構定義了最一般的關於安全體系結構的概念,如安全服務、安全機制等;安全框架定
義了提供安全服務的最一般方法,如數據源、操作方法以及它們之間的數據流向;安全模型是
表示安全服務和安全框架如何結合的,主要是為了開發人員開發安全協議時採用;而安全技術
被認為是一些最基本的模塊,它們構成了安全服務的基礎,同時可以相互任意組合,以提供更
強大的安全服務。
國際標准化組織於1989年對OSI開放互聯環境的安全性進行了深入的研究,在此基礎上提
出了OSI安全體系,定義了安全服務、安全機制、安全管理及有關安全方面的其它問題。此外
,它還定義了各種安全機制以及安全服務在OSI中的層位置。為對付現實中的種種情況,OSI定
義了11種威脅,如偽裝、非法連接和非授權訪問等。
1.安全服務
在對威脅進行分析的基礎上,規定了五種標準的安全服務:
·對象認證安全服務 用於識別對象的身份和對身份的證實。OSI環境可提供對等實體認
證和信源認證等安全服務。對等實體認證是用來驗證在某一關聯的實體中,對等實體的聲稱
是一致的,它可以確認對等實體沒有假冒身份;而數據源點鑒別是用於驗證所收到的數據來源
與所聲稱的來源是否一致,它不提供防止數據中途修改的功能。
·訪問控制安全服務 提供對越權使用資源的防禦措施。訪問控制可分為自主訪問控制
和強制型訪問控制兩類。實現機制可以是基於訪問控制屬性的訪問控製表、基於安全標簽或
用戶和資源分檔的多級訪問控制等。
·數據保密性安全服務 它是針對信息泄漏而採取的防禦措施。可分為信息保密、選擇
段保密和業務流保密。它的基礎是數據加密機制的選擇。
·數據完整性安全服務 防止非法篡改信息,如修改、復制、插入和刪除等。它有五種形
式:可恢復連接完整性、無恢復連接完整性、選擇欄位連接完整性、無連接完整性和選擇字
段無連接完整性。
·訪抵賴性安全服務 是針對對方抵賴的防範措施,用來證實發生過的操作。可分為對發
送防抵賴、對遞交防抵賴和進行公證。
2.安全機制
一個安全策略和安全服務可以單個使用,也可以組合起來使用,在上述提到的安全服務中
可以藉助以下安全機制:
·加密機制 藉助各種加密演算法對存放的數據和流通中的信息進行加密。DES演算法已通過
硬體實現,效率非常高。
·數字簽名 採用公鑰體制,使用私有密鑰進行數字簽名,使用公有密鑰對簽名信息進行
證實。
·訪問控制機制 根據訪問者的身份和有關信息,決定實體的訪問許可權。訪問控制機制的
實現常常基於一種或幾種措施,如訪問控制信息庫、認證信息(如口令)和安全標簽等。
·數據完整性機制 判斷信息在傳輸過程中是否被篡改過,與加密機制有關。
·認證交換機制 用來實現同級之間的認證。
·防業務流量分析機制 通過填充冗餘的業務流量來防止攻擊者對流量進行分析,填充過
的流量需通過加密進行保護。
·路由控制機制 防止不利的信息通過路由。目前典型的應用為IP層防火牆。
·公證機制 由公證人(第三方)參與數字簽名,它基於通信雙方對第三者都絕對相信。目
前,Internet上的許多Server服務都向用戶提供此機制。
3.安全管理
為了更有效地運用安全服務,需要有其它措施來支持它們的操作,這些措施即為管控。安
全管理是對安全服務和安全機制進行管理,把管理信息分配到有關的安全服務和安全機制中
去,並收集與它們的操作有關的信息。
OSI概念化的安全體系結構是一個多層次的結構,它本身是面向對象的,給用戶提供了各
種安全應用,安全應用由安全服務來實現,而安全服務又是由各種安全機制來實現的。如圖所
示。
@@05085000.GIF;圖1 OSI安全系統層次結構@@
OSI提出了每一類安全服務所需要的各種安全機制,而安全機制如何提供安全服務的細節
可以在安全框架內找到。
一種安全服務可以在OSI的層協議上進行配置。在具體的實現過程中,可以根據具體的安
全需求來確定。OSI規定了兩類安全服務的配置情況:即無連接通信方式和有連接通信方式。
4.安全層協議擴展和應用標准
國際標准化組織提出了安全體系結構,並致力於進行安全層協議的擴展和各種應用標准
的工作。
為了把安全功能擴展到層協議上,目前,有兩個小組負責這方面的工作。一是ISO/IEC分
委會中的JTC1/SC6,主要負責將安全功能擴展到傳輸層及網路層的服務和協議上;另一個是J
TC1/SC21,負責把安全功能擴展到表示層和應用層上。目前,在建立會話(相當於應用層連接
)的同時,可以進行經過登記的雙向驗證交換,這使任何OSI應用在進行會話時均可採用公鑰密
碼驗證機制。此外,保密交換應用服務單元也是OSI/IEC和CCITT正在研究的問題。如果這一
問題解決,將能把保密信息交換(如公鑰驗證交換)綜合到應用層協議中。
在應用方面,OSI大都包含了安全功能,如MHS(文電作業系統)和目錄驗證應用協議均對安
全性進行了綜合的考慮,而且兩者都應用了公鑰密碼體制。
(1)公鑰密碼技術的安全標准
ISO/IEC分委會下的JTC1/SC27小組負責制定整個信息安全技術領域的標准,其中也包括
OSI。該小組主要以公鑰密碼技術為基礎制定安全標准,其中包括雙方、三方、四方的公鑰驗
證技術。
(2)網路層公鑰密碼技術
網路層可以提供端到端加密和子網保密。這不僅可以使定址信息和高層協議信息受到保
護,而且對網路管理人員控制以外的應用也可進行保護。網路安全協議(NLSP)標准由ISO/IE
C的JTC1/SC6小組負責。該協議採用了公鑰和對稱密碼相混合的方式來實現安全任務,採用對
稱式密碼體制(如DES)來保證機密性,而用公鑰系統(如RSA)進行驗證。對於在大型網路系統
中建立保密呼叫來說,這一混合體制很有前途。
(3)目錄驗證框架
OSI目錄標准(CCITT X.500)為計算機/通信系統的互聯提供了邏輯上完整、物理上分散
的目錄系統。目錄涉及互聯系統復雜的配置關系和數量上眾多的用戶,因此,在目錄環境中的
機密性證書和簽名證書的分發,有著極為重要的作用。
目錄驗證框架包括:
·驗證機制的描述;
·目錄中用戶密鑰的獲取方法;
·RSA演算法描述;
·解釋材料。
(4)用於文電作業系統的公鑰密碼
CCITT 1984年版的MHS(X.400)中未提出安全要求,但1988年版增加了以下安全內容:驗證
、完整性、機密性、訪問控制和防復制性。這些服務可用混合方式由公鑰密碼加以保護。
六、存在的問題及解決方法
1.加密的效率及可靠性問題
在網路中引入安全服務和安全管理後,如同等實體鑒別及訪問控制等機制,網路的安全性
加強了,但是,網路的通信效率下降,實時性變差。效率下降的主要原因是由於加密演算法的復
雜性而引起計算量的增大。因此,應該研究簡單、適用且效率高的加密演算法。為了提高加密
的速度,還應該對加密演算法的硬體實現進行研究。
2.安全保密和網路互通問題
安全保密的特性決定了網路加密會損害網路的互通性。目前,流行的做法是在網路中引
入保密網關設備,即在網關設備上設置安全功能,實現安全協議的轉換。但是,這種做法存在
著許多問題,它會造成網路通信的瓶頸,引起通信效率的下降。因此,採用保密網關設備只是
權宜之計,還必須從整個網路的安全體系結構出發,採取措施。現有的OSI安全體系只是針對
網路通信的安全而言,而開放式系統的安全不僅與網路通信有關,還和參與通信的末端系統有
關。目前,這兩者只是孤立地進行研究。要實現不同域內的系統中不同級別用戶之間的安全
互通,我們應將兩者結合起來。
3.網路規模和網路安全問題
由於網路規模擴大了,相應地,網路的薄弱環節和受到攻擊的可能性也就增加了,密鑰的
分配和安全管理問題也就比較突出。因此,必須對鑒別機制、訪問控制機制和密鑰的分發機
制進行研究。
4.不同安全域內的多級安全問題
由於不同安全域內的安全政策不同,且每一個安全域的用戶不同,其相應的安全級別也不
同。因此,要實現不同域內不同級別的用戶之間的安全互通,必須對中間的協調機制進行研究
。應對OSI安全體系結構進行研究,理清安全需求、安全服務和安全機制在OSI各層中的位置
與作用, 並通過對安全管理資料庫(SMIB)和安全管理模塊的分析, 研究SMIB分配和使用的安
全管理協議及各管理Agent之間的相互協作和通信問題, 從而進一步研究OSI安全設施的集成
。
(計算機世界報 1997年 第5期)
Ⅳ 中國網路安全現狀
如今的互聯網也就是intel網,已經深入到全世界各個領域,離開互聯網任何國家專可以說就會陷入大范圍屬甚至永久性癱瘓狀態,而網路構成的物理和軟體底層技術基礎都是美國標准!這也導致,只要你用的是intel網和基於此的軟體和軟體,無論如何防範,都不能從技術原理上根本性解決美國隨時發動對中國的網路攻擊甚至物理關閉連結中國的互聯網!即使網路戰高如諸如俄羅斯也只能採取所謂備胎計劃,但是理論上只能解決被癱瘓後數據恢復問題,但是依然無法解決與世界網路聯通的授權問題和被物理隔斷的問題!
Ⅵ 網路安全發展現狀
新技術不斷進入日常生活,網路安全已不僅僅關系隱私、財產安全,還可能直接關聯人身安全。前瞻認為,數字安全新生態的建設,需要以全新視角去理解安全問題,並跳出傳統攻防概念,以協作為基礎,推動政府、企業、用戶聯動,共同提升防護意識,避免鏈條中某一環節被攻破。數字經濟時代的安全已不再是單個企業或某個行業的事情,需要各機構、各領域協同合作,才能織好互聯網安全的「防護網」,構建起整體安全防護。
Ⅶ 網路安全近十年發展狀況如何
安全情況整體有上升的趨勢,主要受病毒和黑客、間諜類軟體影響,現在專黑客的目的都不是顯屬示什麼技術為主了,商業目的會多一些,為了錢,刷Q幣,盜銀行賬號密碼等。近年來病毒的數量呈幾何式增長。估計日後網路安全問題會提升到一個很高的受重視地位。
Ⅷ 互聯網安全的現狀有什麼特點
互聯網金融首要是互聯網,互聯網金融信息的安全就是網路安全信息安全,因此信息安全保障是互聯網金融創新發展的必要基礎。
動態性和綜合性是互聯網信息安全的主要特點,互聯網金融除了具有這些特點外,還有服務方式虛擬化,業務開展跨領域化,市場經營環境開放與透明,使其具備了互聯網所包含的信息安全的動態性、綜合性等特點,當前互聯網金融信息安全保障體系的發展遠遠滯後於其業務運營的發展。
美國的「棱鏡門」事件出現後,信息安全的保障越發重要,成為網路服務的重中之重。與傳統金融相比,互聯網金融引發的風險由自身特點決定勢必具有特殊性。一般互聯網金融除了具有傳統金融業經營過程中存在的流動性、市場及利率風險外,還受到由信息技術引發的平台、技術、安全等風險,還有虛擬金融服務出現的業務風險,這些風險誘因越來越復雜,風險擴散傳播速度越來越快。
互聯網金融是基於大數據和雲計算技術基礎,網路與金融高度融合,在其發展過程中網路安全事件頻發,要解決網路空間的安全問題及信息安全風險,關鍵在能夠找准風險點,對症下葯,保障其健康有序發展。互聯網金融依賴大數據為核心資源,對數據的分析,能幫助解決信息不對稱和信用問題兩大困擾金融領域的風險問題。
有了大數據的支持,互聯網金融機構可以從數據分析結果得到客戶的偏好和信用情況等信息,從而能夠為客戶提供針對性和多樣化的服務與產品。不過,大數據包括龐大的資料庫,假如數據遭到竊取、非法篡改或泄露,將有可能對個人隱私、客戶權益、財富構成威脅。同時雲計算也需大量用戶參與,也潛在諸多的安全問題。