泰尔网 [收藏到E起摘]
【编者按】
随着全球信息化水平的不断提高,网络与信息安全的重要性日趋增强。当前网络与信息安全产业已成为对各国的国家安全、政治稳定、经济发展、社会生活、健康文化等方方面面具有生存性和保障性支撑作用的关键产业。网络与信息安全可能会影响个人的工作、生活,甚至会影响国家经济发展、社会稳定、国防安全。因此,网络与信息安全产业在整个产业布局乃至国家战略格局中具有举足轻重的地位和作用。
--------------------------------------------------------------------------------
一、网络与信息安全背景
随着全球信息化水平的不断提高,网络与信息安全的重要性日趋增强。当前网络与信息安全产业已成为对各国的国家安全、政治稳定、经济发展、社会生活、健康文化等方方面面具有生存性和保障性支撑作用的关键产业。网络与信息安全可能会影响个人的工作、生活,甚至会影响国家经济发展、社会稳定、国防安全。因此,网络与信息安全产业在整个产业布局乃至国家战略格局中具有举足轻重的地位和作用。
尽管如此,当前网络与信息安全的现状却不容乐观。以网络攻击为例:据调查2004年专门针对美国政府网站的非法入侵事件发生了5.4万件,2005年升至7.9万件。被入侵的政府网站包括国防部、国务院、能源部、国土安全部等重要政府职能部门。我国新华社曾报道,中国近60%的单位网络曾发生过安全事件,其中包括国防部等政府部门。中国公安部进行的一项调查显示,在被调查的7072家单位网络中,有58%曾在2004年遭到过攻击。这些单位包括金融机构和国防、商贸、能源和电信等政府部门。此外,我国每年都会出现包括网络瘫痪、网络突发事件在内的多种网络安全事件。
因此,网络与信息安全方面的研究是当前信息行业的研究重点。在国际上信息安全研究已成体系,20世纪70年代就已经开始标准化。当前有多个国际组织致力于网络与信息安全方面的研究。随着信息社会对网络依赖性的不断增加以及911等突发事件的出现,以美国为首的各个国家在网络与信息安全方面都在加速研究。我国自2003年以来也在网络与信息安全方面有了较大的进展,但是总体相对落后。
二、网络与信息安全需求
网络与信息安全研究涵盖多样内容,其中包括网络自身的可用性、网络的运营安全、信息传递的机密性、有害信息传播控制等大量问题。然而通信参与的不同实体对网络安全关心的内容不同,对网络与信息安全又有不同的需求。在这里按照国家、用户、运营商以及其他实体描述安全需求。
1.国家对网络与信息安全的需求
国家对网络与信息安全有网络与应用系统可靠性和生存性的需求、网络传播信息可控性要求以及对网络传送的信息可知性要求。
网络与应用系统可靠性和生存性要求:国家要求网络与应用系统具有必要的可靠性,防范可能的入侵和攻击并具有必要的信息对抗能力,在攻击和灾难中具有应急通信能力,保障人民群众通信自由的需求以及重要信息系统持续可靠。
网络传播信息可控性要求:国家应当有能力通过合法监听得到通信内容;对于所得到的特定内容应当能获取来源与去向;在必要的条件下控制特定信息的传送与传播;此外国家应当制定必要的法律法规规范网络行为。
网络传送的信息可知性要求:国家应当有能力在海量的信息中筛选需要的内容,分析并使用相应的信息内容。
2.用户(企业用户,个人用户)对网络与信息安全需求
用户包括企业用户和个人用户对网络与信息安全有通信内容机密性要求,用户信息隐私性要求,为了与应用系统可信任要求以及网络与信息系统可用性要求。
通信内容机密性要求:用户希望通信的内容应当通过加密或者隔离等手段,除国家授权机关以外只有通信对端能够获取并使用。
用户信息隐私性要求:用户希望用户留在网络上的个人信息、网络行为以及行为习惯等内容不能被非授权第三方获取。
网络与应用系统可信任要求:用户希望网络能确认通信对端是希望与之通信的对端,应用系统应当有能力并有义务承担相应的责任。
网络与应用系统可用性要求:用户希望网络与应用系统达到所承诺的可用性,网络/应用系统不应具有传播病毒、发送垃圾信息和传播其他有害信息等行为。
3.运营商(ISP、ICP等)对网络与信息安全需求
运营商对未来与信息安全的要求包括满足国家安全需求、用户安全需求以及自身对网络与应用系统的可管理可运营需求。
满足国家安全需求:运营商满足国家安全需求包括应当提供合法监听点、对内容作溯源、控制特定信息的传送传播,提供必要的可用性等。
满足用户安全需求:运营商满足用户安全需求包括必要的认证和加密,有效的业务架构和商务模式保证双方有能力并有义务承担相应的责任效的业务架构和商务模式保证双方有能力并有义务承担相应的责任,提供必要的可用性等。
网络和应用系统可管理可运营要求:运营商要求物力与系统资源只能由授权用户使用;资源由授权管理者调度;安全程度可评估可预警;风险可控;有效的商务模式保证用户和其他合作方实现承诺。
4.其他实体对网络与信息安全的需求
其他参与实体对网络与信息安全还有例如数字版权等其它安全需求。
四、网络与信息安全研究分析
由于全世界对信息社会的依赖性不断增加,网络与信息安全的重要性不断凸现。网络与信息安全的研究将成为未来研究的热点与重点。总体来看,网络与信息安全研究有下面两个方向。
1.基础理论、算法的研究
基础理论和算法的研究是未来信息安全的坚实基础。基础理论和算法包括很多方面的内容,最重要的是安全体系结构理论的研究以及密码学、密码技术研究。
安全体系结构理论主要研究如何利用形式化的数学描述和分析方法建立信息系统的安全体系结构模型。在国际上计算机系统安全标准方面研究起步较早,至今为止已成体系。美国早在1970年就推出了计算机保密模型;1985年制定了“可信计算机系统安全评估准则”。美、加、英、法、德、荷等国家综合了20世纪90年代国际上安全评审准则和技术精华共同推出的“信息技术安全评价公共准则”(CC:Common Criteria for ITSEC),该标准虽然缺少安全属性的模型依据,但是仍然在1999年5月被ISO接纳成为标准。尽管如此,该标准仍然是至今为止评价计算机系统安全水平的权威文献。就通信网络以及正在融合互联网技术的NGN而言,安全方面的体系结构以及理论研究仍在进行中。
密码学是研究数据加密解密算法的一门学科,密码技术包括加解密算法、密钥交换以及实现。密码学以及密码技术是保障信息机密性、完整性以及不可否认性的最基本的技术手段。当前密码研究主要有两大趋势:基于数学计算的传统密码技术以及非基于数学计算的密码技术。基于数学计算的传统密码技术属传统密码学,包括对程密钥机制、非对程密钥机制以及数字签名/身份认证等。基于数学计算的传统密码技术至今为止是信息机密性、完整性和不可否认性保障的主要机制与核心内容,仍然在发展研究中。非基于数学计算的密码技术包括量子密码、生物特征识别、图像叠加、数字水印等内容。总体来看非基于数学计算的密码技术当前还没有广泛应用,正在探索尝试阶段。
2.技术综合应用研究
当前的网络系统是一个复杂巨系统。这个复杂巨系统包括各个环节,包括用户的接入、识别、信息的传递、发布等等,在这个系统上出现的安全问题多种多样,有技术的,有管理的,通常不是一个理论或算法的简单应用就能解决的。通常需要将管理和技术结合起来,综合应用多种技术才能一定程度保障安全。
技术综合应用研究热点举例如下。
*垃圾信息防范:垃圾信息已经是当前网络世界的一个顽疾。垃圾邮件的影响如此之大,以至于很多国家都为此立法。此外还有垃圾短信、骚扰电话等都属于同类问题。垃圾信息的防范与处理不是简单的一个法律规定,或者收费规定或者协议变化就能够解决的,牵涉到法律、技术、管理等方方面面。垃圾信息的防范与治理是当前网络与信息安全研究的热点与重点之一,ITU为此专门在第17研究组成立专门的Question研究。
*信息溯源:由于包括网络钓鱼、传播非法信息在内的网络越来越多,需要通过网络溯源来找到犯罪分子。因此溯源通常是指通过技术手段,通过信息内容、网络行为以及应用行为追查到行为发起人。当前传统电信业务相对单纯,溯源技术成熟;互联网以及基于IP技术的网络溯源相对较弱。溯源不是简单地使用一种协议或者算法就能实现,需要将认证技术、信任体系、日志、安全网络架构等多种技术结合在一起才能完成。
*网络信息对抗:随着国家经济、政治、国防、文化等对网络依赖性的增强,在网络世界的信息对抗以及成为国与国对抗的重要内容。信息对抗的攻防能力也成为国防力量之一,对网络的攻击与核打击一样也是一种威慑力量。网络信息对抗涉及较广,包括海量计算能力、海量存储能力、芯片制造能力、密码学研究、软件水平、设备制造业、病毒研究、入侵检测、脆弱性扫描、黑客入侵等全方位的对抗。
除上述热点以外,还有应急通信、网络可靠性研究、网络与信息安全风险评估等其他技术综合应用研究。
五、小结
综上所述,当前虽然网络与信息安全现状不容乐观,但是已经引起了足够的重视。总体来看网络与信息安全,特别是基于IP技术的互联网以及基于IP技术的NGN承载网、3G核心网相关的安全问题仍然是一个世界范围的难题。需要进一步从基础理论算法和技术综合应用两方面研究解决。当前电信行业更加重视技术综合应用方面的研究。