网络安全现状分析
  网络安全(又称信息安全)的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。从信息的保密性(保证信息不泄漏给未经授权的人),拓展到信息的完整性(防止信息被未经授权的篡改,保证真实的信息从真实的信源无失真的到达真实的信宿)、信息的可用性(保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其它人为因素造成的系统拒绝管理)、信息的不可否认性(保证信息行为人不能否认自己的行为)等。信息安全需要"攻、防、测、控、管、评"等多方面的基础理论和实施技术。
  国际上信息安全研究起步早,力度大,积累多,应用广。80年代,美国国防部基于军事计算机系统的保密需要,在70年代的基础理论研究成果计算机保密模型(Bell &La padula模型)的基础上,制订了"可信计算机系统安全评价准则"(TCSEC),其后又制订了关于网络系统、数据库等方面和系列安全解释,形成了安全信息系统体系结构的最早原则。至今美国已研究出达到 TCSEC要求安全系统(包括安全操作系统、安全数据库、安全网络部件)的产品多达100多种。
  90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的"信息技术安全评价准则"(TISFC),但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了"信息技术安全评价通用准则"(CC for ITSEC)。CC综合了国际上已有的评审准则和技术标准的精华,给出了框架和原则要求。然而,将作为取代TCSEC用于系统安全的评测的国际标准,它仍然缺少综合解决信息的多种安全属性的理论模型依据。同时,他们的高安全级别的产品对我国是封锁禁售的。
  安全协议作为信息安全的重要内容其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展提高阶段。
  由于在广泛应用的国际互联网上,黑客入侵事件不断发生,不良信息大量传播,网络安全监控管理理论和机制的研究受到重视,黑客入侵手段的研究分析,系统脆弱性检测技术,报警技术,信息内容分级标识机制,智能化信息内容分析等研究成果已经成为众多安全工具软件的基础。
  研究中揭示出系统中存在许多设计缺陷,存在情报机构有意埋伏的安全陷阱的可能。例如在CPU芯片中,在发达国家现有技术条件下,可以植入无线发射接收功能,在操作系统、数据库管理系统或应用程序中能够预先安置从事情报收集、受控激发破坏程序。通过这些功能,可以接收特殊病毒;接收来自网络或空间的指令来触发CPU的自杀功能,搜集和发送敏感信息;通过特殊指令在加密操作中将部分明文隐藏在网络协议层中传输等。而且,通过唯一识别CPU个体的序列号,可以主动、准确地识别、跟踪或攻击一个使用该芯片的计算机系统,根据预先设定收集敏感信息或进行定向破坏。
  作为信息安全关键技术的密码学,近年来空前活跃。美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制克服了网络信息系统密钥管理的困难同时解决了数字签名问题,并可用于身份认证,它是当前研究的热点。电子商务的安全性是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等的研究。1 977年美国颁布使用的国家数据加密标准由于密码分析和攻击手段的进步,已不能满足安全需要,美国正在征集作为21世纪的新的数据加密标准。计算机运算速度的不断提高,各种密码算法面临着新的密码体制如量子密码、DNA密码、混沌理论,正处于探索中。
  基于密码理论的综合研究成果和可信计算机系统的研究成果,构建公开密钥基础设施,密钥管理基础设施成为当前的另一个热点。
  我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段,正在进入网络信息安全的研究阶段。安全体系的构建和评估,通过学习、吸收、消化TCSEC的原则进行了安全操作系统、多级安全数据库的研制,但由于系统安全内核受控于人,以及国外产品的不断更新升级,基于具体产品的增强安全功能的成果,难以保证没有漏洞,难以得到推广应用。在学习借鉴国外技术的基础上,国内一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但是,这些产品安全技术的完善性、规范化实用性还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大距离,理论基础和自主的技术手段也需要发展和强化。
  总的来说,我国的网络信息安全研究起步晚,投入少,研究力量分散,与技术先进国家有差距,特别是在系统安全和安全协议方面的工作与国外差距更大,在我国研究和建立创新性安全理论和系列算法,仍是一项艰巨的任务。然而我国的网络信息安全研究毕竟已具备了一定的基础和条件,尤其是在密码学研究方面积累较多,基础较好,只要国家重视,加大投入,恰当组织,可以取得实质性进展。
(发表时间:2001-8-20)