信息安全现状分析及保护策略(三)

　　随着越来越多的公司加人可信计算组织(TCG)，可信计算技术越来越受到重视。最近几年来，可信操作系统已经不仅仅是政府、国防和安全敏感领域的专用产品，在主流操作系统供应商将密码技术和操作系统更加紧密的结合，纷纷向可信操作系统靠拢。近年来，主流操作系统SUN公司的Solaris10以及如微软的WindowsServer2003都采用新的安全机制，提高了操作系统的安全性能。在微软名为“Windowsvista”(最初代号为“longhorn”)的下一代操作系统中将采用基于TCG定义的可信平台计算规范的NGSCB技术，使“WindowsVista"成为可信操作系统。 

　　由于国外安全操作系统都是基于成熟的、占据相当市场分额的操作系统进行的，而我国在安全操作系统领域起步晚，研究水平滞后，原创成果匾乏；我国政府对安全操作系统投入有限并且比较分散，产学研的体系尚未成熟。总起来说，我国在安全操作系统领域与国外相比差距比较大。基于数学的密码技术分为经典密码学技术、对称密码学技术、非对称密码学技术。经典密码技术出现比较早，比较简单而且容易破译。 

　　对称密码体制(SyUneirto Key Crtytograhy)中，加密和解密采用相同的密钥，所以需要通信的双方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去，这样就可以实现数据的机密性和完整性。 

　　对称密码算法的优点是计算开销小，加解密速度快，是目前用于信息加密的主要算法。它的局限性在于它存在着通信的贸易双方之间确保密钥安全交换的问题。此外，在电子商务中，当某一贸易方有几个贸易关系，就需要维护几个专用密钥。它也没法鉴别贸易发起方或贸易最终方，因为贸易的双方的密钥相同。另外，由于对称加密系统仅能用于对数据进行加解密处理，提供数据的机密性，不能用于数字签名。 

　　非对称密码体制(AsymmetricKey Crytography)也叫公钥加密技术(PubicKey Crytography)，该技术就是针对对称密码体制的缺陷被提出来的。在公钥加密系统中，加密和解密是相对独立的，加密和解密会使用两“把”不同的密钥，加密密钥(公开密钥)向公众公开，解密密钥(秘密密钥)只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，故称为公钥密码体制。如果一个人选择并公布了他的公钥，另外任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的，只有私钥的所有者才能利用私钥对密文进行解密。 

　　公钥密码体制的算法中最著名的代表是RSA系统，此外还有背包密码、McEliece密码、Diffe-Hellman、Rabin、椭圆曲线、EIGalnal算法等。公钥密钥的密钥管理比较简单，并且可以方便的实现数字签名和验证。但缺点是算法复杂，运算量大，加密数据的速率较低。因此，常用来对少量关键数据(例如对称加密算法的密钥)进行加密，或者用于数字签名。

　　网络隔离技术从整体上可以分为逻辑隔离和物理隔离两大类。根据公安部制定的《GA370-2001端设备隔离部件安全技术要求》的定义，逻辑隔离的含义是公共网络和专网在物理上是有连线的，通过技术手段保证在逻辑上是隔离的。物理隔离的含义是公共网络和专网在网络物理连线上是完全隔离的，且没有任何公用的存储信息。 

　　网络行为监控是网络安全的重要方面，研究的范围包括网络事件分析、网络流量分析、网络内容分析以及相应的响应策略与响应方式。该领域涉及的主要产品包括:人侵检测系统、网络内容审计、垃圾邮件过滤、计算机取证。 

　　从02世纪0年代到现在，入侵检测技术的发展大致分为五个阶段，第一阶段是基于简单攻击行为模式匹配检测；第二阶段，基于异常模型检测；第三阶段，基于人侵报警的分析检测；第四阶段，基于攻击意图检测；第五阶段，基于安全态势检测。经过多年发展，已经形成了成熟的产品。国产的人侵检测产品与国际先进水平相比在算法先进性和系统性能方面还有明显差距，但是让人欣慰的是已经形成了全系列的产品线，并占有了一定的市场分额。 

　　随着大量高速网络技术在近年里得到广泛应用，人侵检测将向宽带高速实时和大规模分布式两个方向发展，IDS需要进行海量计算，高性能检测算法、新的人侵检测体系、高性能并行计算技术在人侵检测系统的应用，高速模式匹配算法及基于纯硬件的IDS都是目前研究的热点。 

　　此外，嵌入式人侵检测以及多种安全技术的集成(如集成IDS、Scanner、Firewal等功能)的入侵阻断系统(Intrusion Prevention System)成为IDs的发展方向。 

　　容灾与应急响应是一个非常复杂的网络安全技术领域，涉及到众多网络安全关键技术，需要多个技术产品的支持。其主要技术包含以下几个方面:应急响应体系的整体架构；应急响应体系的标准制定；应急响应的工具开发。 

　　总体来看，目前的研究主要集中在部分应急响应工具以及小规模(如LAN)的一些应急响应技术，而像容灾与应急响应整体架构、标准、大规模网络的应用服务、系统集成等关键技术以及系统联动技术，大规模网络的协同预警定位与隔离技术，安全时间综合管理平台等方面的工具和产品的研发还处于刚刚起步阶段。 

　　就容灾技术而言，国外的系统级容灾技术已经比较成熟，并且推出了成熟的产品。国内在系统级容灾产品方面还不成熟，应用级的容灾系统也只处于探索阶段。 

　　未来的应急响应技术及相关产品的发展必须首先解决标准制定和体系结构的设计问题。系统集成等关键技术以及系统联动技术、安全时间综合管理平台等高端产品和技术将是未来市场发展的主要方向。联动和主动防御技术也将是容灾与应急处理的主流思想。

　　身份认证技术作为其他安全机制的基础，因而在信息安全地位非常重要，只有有效的身份认证，才能保证访问控制、安全审计、人侵防范等安全机制的有效实施。通常身份认证技术有以下几类:基于口令的认证技术，给予密钥的认证鉴别技术，基于智能卡1智能密码钥匙(USBKEY)的认证技术，基于生物特征识别的认证技术。 

　　专家预测，身份认证技术的发展将呈现以下态势:首先，生物特征识别技术以其独特的、优越的安全性和便利性必将成为未来身份认证技术的主导技术，特别是与其他认证技术互相融合后，如生物信息技术与数字水印技术相结合，多模态生物特征识别系统的应用都非常引人注目。其次，口令认证系统逐渐向动态口令认证的过渡；此外，作为数字证书载体的智能密码钥匙(USB陇Y)将快速发展并形成统一的标准。

1、我国信息安全的现状