构筑信息与网络安全防线刻不容缓,本文主要内容关键词为:刻不容缓论文,网络安全论文,防线论文,信息论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、信息与网络安全的重要性及严峻性
信息是社会发展的重要战略资源。信息技术和信息产业正在改变传统的生产、经营和生活方式,成为新的经济增长点,信息使知识经济初见端倪。信息网络国际化、社会化、开放化、个人化的特点使国家的“信息边疆”不断延伸,甚至到了每一个上网者个人。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注与投入。
随着全球信息化的飞速发展,我国大量建设和各种信息化系统已经成为国家关键基础设施,其中许多业务要与国际接轨,诸如电信、电子商务、金融网络等。网络信息安全已成为急待解决,影响国家大局和长远利益的重大关键问题。它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是对抗霸权主义、抵御信息侵略的重要屏障。信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国在奋力攀登的制高点。网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活和各个方面,使国家处于信息战和高度经济金融风险的威胁之中。
鉴于我国信息技术和信息产业发展与技术先进国家存在较大的差距,我国信息化建设需要的大量基础设备依靠国外引进,这种状况在今后相当长的时期内不能彻底改变。引进设备中的核心芯片和系统内核逻辑编程都掌握在他人之手,无法保证我们的安全利用和有效监控。当前复杂多变的国际形势,进一步暴露了霸权主义亡我之心不死。他们除了利用传统的军事经济优势达到他们的目的外,正在利用他们拥有的信息技术的优势实施信息霸权,遏制我们的发展,剥夺我们的资财,摧残我们的文化,打击我们的政治、军事和经济。因此,解决我国的信息安全问题不能依靠外国,只能走独立自主的发展道路。
目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。要用我国自己的安全设备加强信息与网络的安全性,需要大力发展基于自主技术的信息安全产业,而自主技术的发展又必须从信息与网络安全的基础研究着手,全面提高创新能力。
当前我国的信息与网络安全研究处于忙于封堵现有信息系统的安全漏洞,以致宏观安全体系研究上投入严重不足,这样做是不能从根本上解决问题的,急需从安全体系整体的高度开展强力度的研究工作,从而能够为解决我国的信息与网络安全提供一个整体的理论指导和基础构件的支撑,并为信息与网络安全的工程奠定坚实的基础,推动我国信息安全产业的发展。
二、国内外研究现状和发展趋势
信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。从信息的保密性(保证信息不泄漏给未经授权的人),拓展到信息的完整性(防止信息被未经授权的篡改,保证真实的信息从真实的信源无失真的到达真实的信宿)、信息的可用性(保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其它人为因素造成的系统拒绝管理),信息的不可否认性(保证信息行为人不能否认自己的行为)等。信息安全需要“攻、防、测、控、管、评”等多方面的基础理论和实施技术。
国际上信息安全研究起步早,力度大,积累多,应用广。80年代,美国国防部基于军事计算机系统的保密需要,在70年代的基础理论研究成果计算机保密模型(Bell & La padula模型)的基础上,制订了“可信计算机系统安全评价准则”(TCSEC), 其后又制订了关于网络系统、数据库等方面和系列安全解释,形成了安全信息系统体系结构的最早原则。至今美国已研究出达到TCSEC 要求安全系统(包括安全操作系统、安全数据库、安全网络部件)的产品多达100多种。
90年代初,英、法、德、荷四国针对TCSEC 准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(TISFC), 但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CC for ITSEC)。CC综合了国际上已有的评审准则和技术标准的精华,给出了框架和原则要求。然而,将作为取代TCSEC 用于系统安全的评测的国际标准,它仍然缺少综合解决信息的多种安全属性的理论模型依据。同时,他们的高安全级别的产品对我国是封锁禁售的。
安全协议作为信息安全的重要内容其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展提高阶段。
由于在广泛应用的国际互联网上,黑客入侵事件不断发生,不良信息大量传播,网络安全监控管理理论和机制的研究受到重视,黑客入侵手段的研究分析,系统脆弱性检测技术,报警技术,信息内容分级标识机制,智能化信息内容分析等研究成果已经成为众多安全工具软件的基础。
研究中揭示出系统中存在许多设计缺陷,存在情报机构有意埋伏的安全陷阱的可能。例如在CPU芯片中,在发达国家现有技术条件下, 可以植入无线发射接收功能,在操作系统、数据库管理系统或应用程序中能够预先安置从事情报收集、受控激发破坏程序。通过这些功能,可以接收特殊病毒;接收来自网络或空间的指令来触发CPU的自杀功能, 搜集和发送敏感信息;通过特殊指令在加密操作中将部分明文隐藏在网络协议层中传输等。而且,通过唯一识别CPU个体的序列号,可以主动、 准确地识别、跟踪或攻击一个使用该芯片的计算机系统,根据预先设定收集敏感信息或进行定向破坏。
作为信息安全关键技术的密码学,近年来空前活跃。美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制克服了网络信息系统密钥管理的困难同时解决了数字签名问题,并可用于身份认证,它是当前研究的热点。电子商务的安全性是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等的研究。1977年美国颁布使用的国家数据加密标准由于密码分析和攻击手段的进步,已不能满足安全需要,美国正在征集作为21世纪的新的数据加密标准。计算机运算速度的不断提高,各种密码算法面临着新的密码体制如量子密码、DNA密码、混沌理论, 正处于探索中。
基于密码理论的综合研究成果和可信计算机系统的研究成果,构建公开密钥基础设施,密钥管理基础设施成为当前的另一个热点。
我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段,正在进入网络信息安全的研究阶段。安全体系的构建和评估,通过学习、吸收、消化TCSEC的原则进行了安全操作系统、 多级安全数据库的研制,但由于系统安全内核受控于人,以及国外产品的不断更新升级,基于具体产品的增强安全功能的成果,难以保证没有漏洞,难以得到推广应用。在学习借鉴国外技术的基础上,国内一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但是,这些产品安全技术的完善性、规范化实用性还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大距离,理论基础和自主的技术手段也需要发展和强化。
总的来说,我国的网络信息安全研究起步晚,投入少,研究力量分散,与技术先进国家有差距,特别是在系统安全和安全协议方面的工作与国外差距更大,在我国研究和建立创新性安全理论和系列算法,仍是一项艰巨的任务。然而我国的网络信息安全研究毕竟已具备了一定的基础和条件,尤其是在密码学研究方面积累较多,基础较好,只要国家重视,加大投入,恰当组织,可以取得实质性进展,不仅能构筑我国信息与网络安全防线,而且在国际上也能占领一席之地。
三、当前我们迫切需要解决的关键学科问题
信息安全领域是一个综合、交叉的学科领域,它要综合利用数学、物理、生化信息技术和计算机技术的诸多学科的长期知识积累和最新发展成果,提出系统的(而不是个别的)、完整的(而不是零碎的)、协同的(而不是孤立的)解决信息安全的方案。同时,它的研究和发展又将刺激、推动和促进相关学科的研究和发展。
目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分都提供应用的功能,相互间协同工作形成有机整体。
在安全体系结构研究方面,要创建科学的综合满足需要的安全模型。
四、从国家和民族利益出发,集中优势兵力攻关
当前国际形势复杂多变,敌对势力亡我之心不死,他们正在利用信息技术优势和经济军事优势来达到这一目的。从国家和民族利益出发,信息与网络安全不研究不行,仅仅满足于分散的、以封堵已发现的安全漏洞为目的的研究也不行,必须从事关国家安危的战略高度出发,在国家主管部门组织下,凝聚国内相关学科的优势单位和优秀人才,从基础研究着手,以“两弹一星”的攻坚精神,在信息与网络安全体系上开展强力度的研究,为我国的信息与网络安全构筑自主的、创新的、整体的理论指导和基础构件的支撑,并为信息与网络安全的工程奠定坚实的基础,使我国的信息和网络安全在复杂的国际斗争中立于不败之地。