信息安全现状分析及保护策略(二)

　　非对称密码体制(AsymmetricKey Crytography)也叫公钥加密技术(PubicKey Crytography)，该技术就是针对对称密码体制的缺陷被提出来的。在公钥加密系统中，加密和解密是相对独立的，加密和解密会使用两“把”不同的密钥，加密密钥(公开密钥)向公众公开，解密密钥(秘密密钥)只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，故称为公钥密码体制。如果一个人选择并公布了他的公钥，另外任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的，只有私钥的所有者才能利用私钥对密文进行解密。 

　　公钥密码体制的算法中最著名的代表是RSA系统，此外还有背包密码、McEliece密码、Diffe-Hellman、Rabin、椭圆曲线、EIGalnal算法等。公钥密钥的密钥管理比较简单，并且可以方便的实现数字签名和验证。但缺点是算法复杂，运算量大，加密数据的速率较低。因此，常用来对少量关键数据(例如对称加密算法的密钥)进行加密，或者用于数字签名。

　　网络隔离技术从整体上可以分为逻辑隔离和物理隔离两大类。根据公安部制定的《GA370-2001端设备隔离部件安全技术要求》的定义，逻辑隔离的含义是公共网络和专网在物理上是有连线的，通过技术手段保证在逻辑上是隔离的。物理隔离的含义是公共网络和专网在网络物理连线上是完全隔离的，且没有任何公用的存储信息。 

　　网络行为监控是网络安全的重要方面，研究的范围包括网络事件分析、网络流量分析、网络内容分析以及相应的响应策略与响应方式。该领域涉及的主要产品包括:人侵检测系统、网络内容审计、垃圾邮件过滤、计算机取证。 

　　从02世纪0年代到现在，入侵检测技术的发展大致分为五个阶段，第一阶段是基于简单攻击行为模式匹配检测；第二阶段，基于异常模型检测；第三阶段，基于人侵报警的分析检测；第四阶段，基于攻击意图检测；第五阶段，基于安全态势检测。经过多年发展，已经形成了成熟的产品。国产的人侵检测产品与国际先进水平相比在算法先进性和系统性能方面还有明显差距，但是让人欣慰的是已经形成了全系列的产品线，并占有了一定的市场分额。 

　　随着大量高速网络技术在近年里得到广泛应用，人侵检测将向宽带高速实时和大规模分布式两个方向发展，IDS需要进行海量计算，高性能检测算法、新的人侵检测体系、高性能并行计算技术在人侵检测系统的应用，高速模式匹配算法及基于纯硬件的IDS都是目前研究的热点。 

　　此外，嵌入式人侵检测以及多种安全技术的集成(如集成IDS、Scanner、Firewal等功能)的入侵阻断系统(Intrusion Prevention System)成为IDs的发展方向。 

　　容灾与应急响应是一个非常复杂的网络安全技术领域，涉及到众多网络安全关键技术，需要多个技术产品的支持。其主要技术包含以下几个方面:应急响应体系的整体架构；应急响应体系的标准制定；应急响应的工具开发。 

　　总体来看，目前的研究主要集中在部分应急响应工具以及小规模(如LAN)的一些应急响应技术，而像容灾与应急响应整体架构、标准、大规模网络的应用服务、系统集成等关键技术以及系统联动技术，大规模网络的协同预警定位与隔离技术，安全时间综合管理平台等方面的工具和产品的研发还处于刚刚起步阶段。 

　　就容灾技术而言，国外的系统级容灾技术已经比较成熟，并且推出了成熟的产品。国内在系统级容灾产品方面还不成熟，应用级的容灾系统也只处于探索阶段。 

　　未来的应急响应技术及相关产品的发展必须首先解决标准制定和体系结构的设计问题。系统集成等关键技术以及系统联动技术、安全时间综合管理平台等高端产品和技术将是未来市场发展的主要方向。联动和主动防御技术也将是容灾与应急处理的主流思想。

　　身份认证技术作为其他安全机制的基础，因而在信息安全地位非常重要，只有有效的身份认证，才能保证访问控制、安全审计、人侵防范等安全机制的有效实施。通常身份认证技术有以下几类:基于口令的认证技术，给予密钥的认证鉴别技术，基于智能卡1智能密码钥匙(USBKEY)的认证技术，基于生物特征识别的认证技术。 

　　专家预测，身份认证技术的发展将呈现以下态势:首先，生物特征识别技术以其独特的、优越的安全性和便利性必将成为未来身份认证技术的主导技术，特别是与其他认证技术互相融合后，如生物信息技术与数字水印技术相结合，多模态生物特征识别系统的应用都非常引人注目。其次，口令认证系统逐渐向动态口令认证的过渡；此外，作为数字证书载体的智能密码钥匙(USB陇Y)将快速发展并形成统一的标准。

信息安全是一个综合、交叉学科领域，它要综合利用数学、物理、生物、通信和计算机诸多学科的长期知识积累和最新发展成果，进行自主创新研究，研制相关的应用产品，加强顶层设计，提出系统的、完整的、协同的解决方案。具体来说，包括的主要技术有:密码技术、高可信计算机技术、网络隔离技术、身份认证技术、网络监管技术、容灾与应急处理等技术。 

　　目前，最为人们所关注的实用密码技术是公钥基础设施(PKI)技术。国外的PKI应用已经开始，如Baltimo比，Entluat等推出了可以应用的PKI产品，有些公司如verisign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。 

　　我国在密码技术领域具有长期的积累，在认证码、椭圆曲线密码系统、序列密码的设计与生成以及分析方面都处于世界前列。但是在实际应用方面与国外差距较大，首要的问题是缺乏自己的标准和规范。由于我国采取专用算法的做法，针对每个或每一类安全产品需要开发所用的算法，算法和源代码都不允许公开。受限制密码算法不可育目进行质量控制或标准化。其次是密码实现技术方面比较落后，密码芯片处理速度与国外差距非常明显。 

　　安全操作系统技术主要包括可信技术、虚拟操作系统环境、网络安全技术、公用数据安全架构、加密文件系统、程序分析技术等。安全操作系统产品主要包括安全操作系统(为SMP、刀片服务器和巨型计算机等高端计算机配备的安全操作系统)和桌面安全操作系统(在现有桌面操作系统上进行安全增强，使其具备部分安全特征)。