网络信息安全综述李晴川（重庆邮电大学通信学院，学号：S100103006）摘要 21世纪是信息的时代。

信息成为一种重要的战略资源,信息的获取、处理和安全保障能力成为一个国家综合国力的重要组成部分。

信息安全事关国家安全、事关社会稳定。

因此, 必须采取措施确保我国的信息安全。

近年来,信息安全领域的发展十分迅速,取得了许多新的重要成果。

本文主要综述了网络信息安全技术、发展、挑战、对策。

关键词 网络信息安全 安全机制 技术发展 挑战 对策一 引言进入21世纪以来,网络用户呈几何级数增长,人们对网络信息的需求和依赖日益增强，很多企业正是看到其中巨大的商机纷纷开展网上业务。

无论在计算机上存储、处理、应用，还是在通信网络上传输，信息都可能被非授权访问而导致泄密，被篡改破坏而导致不完整，被冒充替换而导致否认，也可能被阻塞拦截而导致无法存取。

这些破坏可能是有意的，如黑客攻击、病毒感染；也可能是无意的，如误操作、程序错误等。

因此，网络信息安全事关国家安全和社会稳定, 因此, 必须采取措施确保我国的信息安全。

二、网络信息安全的内容网络信息安全分为网络安全和信息安全两个层面。

网络安全包括系统安全，即硬件平台、操作系统、应用软件运行服务安全，即保证服务的连续性、高效率。

信息安全则主要足指数据安全，包括数据加密、备份、程序等。

（1）硬件安全。

即网络硬件和存储媒休的安全。

要保护这些硬设施不受损害，能够正常工作。

（2）软件安全。

即计算机及其网络各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效，不被非法复制。

（3）运行服务安全。

即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。

通过对网络系统中的各种设备运行状况的监测，发现不安全因素能及时报警并采取措施改变不安全态，保障网络系统正常运行。

（4）数据安全。

即网络中存能及流通数据的女全。

要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。

三、网络信息安全的目标信息安全目标是保护信息资源价值不受侵犯，保证信息资产的拥有者面临最小的风险和获取最大的利益，使信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有机密性、完整性、不可抵赖性、可用性、可控性和可审查性。

（1）机密性机密性是指保证信息不被非授权访问，即非授权用户得到信息也无法了解其内容，因而不能使用。

通常采用访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户了解信息内容。

（2）完整性完整性是指信息的一致性，即信息在产生、传输、使用过程中的一致性。

一般采用访问控制阻止对信息的篡改，并通过数字摘要来检测是否被篡改。

（3）不可抵赖性不可抵赖性是指保障用户无法在事后否认曾经对信息进行的生成、接收、使用等行为。

一般通过数字签名技术提供不可抵赖性。

（4）可用性是指保障信息资源随时可提供服务的特性，即法用户对信息和资源的使用不会被不正当地拒绝。

（5）可控性：对信息的传播及内容具有控制能力。

（6）可审查性：对出现的网络安全问题提供调查的依据和手段。

四 网络信息安全的机制1、加密机制。

加密是确保数据保密性。

2、数字签名机制。

数字签名用来确保数据真实性和进行身份验证。

3、访问控制机制。

访问控制按照事先确定的规则决定主体对客体的访问是否合法。

4、数据完整性机制。

数据完整性是保证数据不被修改。

5、认证机制。

计算机网络中认证主要有站点认证，报文认证，用户和进程的认证。

6、信息流填充机制。

信息流填充使攻击者不知道哪些是有用信息，哪些是无用信息，从而挫败信息流分析攻击。

7、路由控制机制。

路由控制机制可根据信息发送者的申请选择安全路径，以确保数据安全。

8、公正机制。

主要是在发生纠纷时进行公正仲裁用。

五 网络信息安全的基本技术和最新技术1、密码技术密码技术是信息安全的核心和关键，包括密码编码(密码算法设计)、密码分析(密码破译)、认证鉴别、数字签名、密钥管理、密钥托管等技术。

现在通用的做法是用高强度密码算法对信息进行加密。

（1）典型对称密码技术：DES、AES、（2）典型对称密码技术：RSA、ECC。

（3）公开密钥基础设施PKI指利用公钥理论和技术建立的提供信息安全服务的基础设施，它主要由认证中心(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等部分组成。

（4）盲签名自从出现对电子现金技术的研究以来, 盲签名已成为其最重要的实现工具之一。

一个盲签名体制是一个协议，包括两个实体，消息发送者和签名者。

它允许发送者让签名者对给定的消息签名，并且没有泄露关于消息和消息签名的任何信息。

盲数字签名的基本原理是两个可换的加密算法的应用， 第一个加密算法是为了隐蔽信息，可称为盲变换，第二个加密算法才是真正的签名算法。

（5）量子密码量子密码是以海森堡测不准理论为物理基础，用量子光学的方法利用公开信道(通信光纤)异地产生物理噪声。

它可以真正地实现一次一密密码，构成理论上不可破译的密码体制。

光子不能被克隆的性质使量子密码编码操作过程不能被完全窃听。

一旦存在窃听，也可察觉，并可设法消除。

（6）DNA 密码等近十年来，DNA技术发展异常迅速，不但影响到生命、医学等领域，对信息科学也产生了重大影响。

它用DNA分子链取代硅片存储和处理信息将有很大的优越性：计算速度快 存储量大、体积小。

（7）混沌加密技术混沌由于具有宽谱、非周期性特陛和对微小初值变化的敏感性，可利用时空混沌增强保密性，抗破译和抗干扰(鲁棒性)能力。

迄今已经提出了三大保密技术：混沌遮掩、混沌调制和混沌开关技术。

（8）神经网络密码技术神经网络思想用于密码学源于Franceseo E Lauria，神经网络的非线、联想记忆、大规横并行分布和强容错性等特点，适合于通信通信，而且拥有VLSI 实现和光学实现的应用前景。

而利用离Hopfield神经网络组成非线性序列密码尚属初步研究阶段。

（9）人体特征密码技术在使用计算机时将你本人的声音、脸孔、手指纹、眼睛扫描系统、脸部确认系统等生物特征作为鉴别的密码，这些人体特征就是所谓的“生物统计特征”，其与众不同的特点是上述生物特征永远不会丢失、遗忘或由一人传递到另一人，也很难被伪造。

2、信息隐藏技术2.1、隐写术把秘密信息嵌入或隐藏在其他不受怀疑的数据中。

隐藏的方法通常假设第三方不知道隐蔽通信的存在，而且主要用于互相信任的双方的点到点秘密通信。

因此，隐藏术一般无鲁棒性。

例如，在数据改动后隐藏的信息不能被恢复。

2.2数字水印数字水印是信息隐藏技术的—个重要发展研究方向。

它足通过一定的算法将一些标志性信息直接嵌到多媒体内容中但不影响原内容的价值和使用。

并且不能被人的感觉系统觉察注意到。

同隐写术相反，水印中的隐藏信息具有能抵抗攻击的鲁棒性。

即使知道隐藏信息的存在，对攻击者而言要毁掉嵌入的水印仍很困难，即使水印算法的原理公开。

2.3、数据隐藏和数据嵌入它是介于隐藏术和水印之间的应用。

在这些应用中嵌入数据的存在是公开的，但无必要保护它们。

2.4、指纹和标签是水印的特定用途。

有关数字产品的创作者和购买者的信息作为水印而嵌入，每个水印都是一系列编码中的惟一的一个编码，即水印中的信息可以惟一地确定每一个数字产品的拷贝，因此称它们为指纹或者标签。

2.5、矢量数据信息隐藏技术矢量数据的数据结构、存储形式、数据特征等与一般的多媒体数据有很大的差异， 因此，通用的信息隐藏技术还难以直接应用到矢量数据(特别是矢量地图数据)上来，这也将是信息隐藏技术的一个重要的应用领域。

2.6、公钥信息隐藏技术对于用户众多的网络应用来说，公钥密码体制是理想的选择，即使用一个专有的密钥来叠加水印，任何人均可通过一个公开的密钥来检测出水印。

目前这方面的研究还未取得突破性的进展，有待进一步努力。

3、防火墙技术防火墙(Firewall)是Internet上广泛应用的一种安全措施，它是设置在不同网络或网络安全域之问的一系列部件的组合，它能通过监测、限制、更改跨越防火墙的数据流，尽可能地检测网络内外信息、结构和运行状况，以此来实现网络的安全保护。

防火墙技术通过配置全套的安全解决方案能有效地实现网络访问的安全控制，防止内部网络重要信息泄露，隔离过滤Internet上的不健康、不安全站点，阻止信息资源的非法访问和外部不可预料的潜在破坏。

4、防御技术4.1、监控技术监控技术即监督控制技术，主要对目标主机或网络进行实时监控。

监控以监控网络状态为主，通过数据包的收发，防止信息探测，也可对主机内进程监控，查看主机异常进程。

监控技术主要针对人侵技术中的信息搜集技术，防止黑客对网络的信息搜集，也可阻止恶意代码对网络的攻击。

4.1.1软监控，指通过软件来实现对目标网络实现监控的目的。

4.1.2、硬监控，指通过硬件的方式来实现对目标网络实现监控的目的。

物理隔离技术和人侵防护设备是硬监控技术的体现。

4.2、入侵检测技术人侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息，再通过信息分析人侵特征的网络安全系统。

IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐人侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被人侵攻击后，收集人侵攻击的相关信息。

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。

是一种用于检测计算机网络中违反安全策略行为的技术。

4.3、蜜罐技术蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。

这个定义表明蜜罐并无其他实际作用，因此所有流人、流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。

而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

4.3.1、产品型蜜罐产品型蜜罐的目的是为网络提供安全保护，帮助管理员对攻击做出及时正确的响应等功能。

产品型蜜罐一般容易部署，且不需要投人大量的工作。

4.3.2、研究型蜜罐研究型蜜罐则是用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行反向追踪和分析，能够捕获黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。

5、认证和识别技术5.1、认证是防止主动攻击的重要技术。

认证的证书只是在该证书指定的时间段内有效。

每个证书包含有时问的开始和结束的日期，这两个日期设置了有效期，已过期证书的主题必须请求新的证书。

6、网络隔离技术主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。

由于其原理主要是采用了不同的协议，所以通常也叫协议隔离。

隔离技术采用安全通道隔离。

此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换。