四大趋势驱动信息网络安全技术的发展和未来

2018-06-27 10:02洪桂香
信息化建设 2018年5期
关键词:密码信息安全网络安全

● 洪桂香 /文

信息安全技术的发展主要呈现出可信化、网络化、标准化和集成化四大趋势,是未来信息安全技术发展的重要方向。

从人类信息交流和通信的演化进程可以清楚地体会信息技术的不断发展性,现代信息技术具有强大的社会功能,已经成为21世纪推动社会生产力发展和经济增长的重要因素。信息安全技术的发展主要呈现出可信化、网络化、标准化和集成化四大趋势,是未来信息安全技术发展的重要方向,受到了社会的广泛关注。

信息安全可信化

信息安全可信化趋势是指从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。网络信息内容审计技术针对网络流量中不良信息传播的问题,综合运用网络数据包获取、信息处理、不良流量阻断等技术实现对网络信息内容传播的有效监管。近年来计算机安全问题愈演愈烈,传统安全理念很难有所突破,人们试图利用可信计算的理念来解决计算机安全问题,其主要思想是在硬件平台上引入安全芯片,从而将一点(不多的意思)或几个计算平台变为可信的计算平台。

计算机信息网络安全从不同的角度看有着不同的含义。从网络供应商角度看,计算机网络安全是指维护网络稳定的硬件设施基本安全,对突发的自然灾害或在网络异常时如何快速恢复,如何维持其安全等。虽然计算机网络中已经有了多重安全设置,可是由于使用者对安全使用知识的匮乏,使这类保障形同虚设。网络中存在多种多样的病毒,许多不法分子利用欺骗等多种手段,使缺乏安全保护意识的使用者上当受骗。从用户角度讲,网络安全保证个人信息或私密信息受到保护,确保传递信息的安全。

对于我国而言,网络安全的发展趋势将是逐步具备自主研制网络设备的能力,自发研制关键芯片,采用自己的操作系统和数据库,以及使用国产的网管软件。中国计算机安全的关键是要有自主的知识产权和关键技术,从根本上摆脱对外国技术的依赖。另外,在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。目前的计算机网络因为种种原因,存在大量安全隐患,下一代互联网将在建设之初就充分考虑安全问题,互联网更安全,可以有效控制、解决网络安全问题。

网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。

信息安全网络化

信息安全网络化是由网络应用、普及引发的技术与应用模式的变革,正在进一步推动信息安全关键技术的创新开展,并诱发新技术与应用模式的产生。就如安全中间件、安全管理与安全监控都是网络化开展带来的必然开展方向。网络病毒与垃圾信息防范都是网络化带来的一些安全性问题,因此网络可生存性,网络信任都是要继续研究的领域。

在传统的专线转网通信时代,通信两端是通信机和保密机,通信方式相对封闭,第三方无法接入。随着专线专网通信发展到信息系统网络化通信,对信息安全构成了严重的威胁,这个特点带来了密码学,密码是秘密通信的工具,有什么样的通信模式就有什么样的密码。这个时代的密码是保障信息安全的核心技术,以往的传统密码主要是对信息进行加密,保证信息的传输安全,现在不仅具有传统的信息加密等功能,还有身份鉴别、数字签名等功能,实现信息传输、处理、存储过程的保密性、真实性、完整性和不可否认性,例如身份认证类密码,就是实现对身份真实性的认证,防止第三方以假冒身份或隐藏身份进入信息网络系统,获取情报和密码资料,信息完整性和不可否认性的认证可以防止第三方实施信息欺骗、病毒植入等攻击。

整个密码系统的安全取决于系统中最薄弱的环节,只要一个环节出现问题,整个密码就不安全了。随着密码应用范围的不断扩大,每个人都将涉及到密码问题,比如美军使用的CAC身份认证卡,一旦丢失将危及整体安全。我们要加强密码系统的防护,就不能有一个薄弱环节,这个要求就比较高。因为下一代互联网将比现在的网络传输速度更快,可提高1000~10000倍。不仅如此,未来的网络发展是要将分布在地球各个角落的宽带多媒体业务无缝地连接起来,用户可以在任何一个地方用任何一种接入方式,访问全球任何一个数据库和网络。

信息安全标准化

信息安全标准化是确保有关信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准化是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段。信息安全保障体系的建设、应用,是一个极其庞大的复杂系统,没有配套的安全标准,就不能构造出一个可用的信息安全保障体系,没有自主开发的安全标准,就不能构造出一个自主可控的信息安全保障体系。

发达国家地区高度重视信息安全标准化的趋势,现在逐步渗透到发展中国家。安全技术要走向国际,也要走向应用。我国政府、产业界、学术界等必将更加高度重视信息安全标准的研究与制定工作的进一步深化与细化,就像密码算法类标准(加密算法、签名算法、密码算法接口)、安全认证与授权类标准(PKI、PMI、生物认证)、安全评估类标准(安全评估准则、方法、规范)、系统与网络类安全标准(安全体系结构、安全操作系统、安全数据库、安全路由器、可信计算平台)、安全管理类标准(防信息泄漏、质量保证、机房设计)等。

信息安全是买不到的,即插即用并具有足够安全水平的防护产品是不存在的,实现信息安全必须有技术层面和管理层面的良好配合。其中,技术层面通过建立安全的主机系统和网络系统,并配备适当的安全产品来实现;管理层面则通过构建安全管理体系来实现。

信息安全标准化工作是一项艰巨、长期的基础性工作。要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的具有中国特色的信息安全标准体系。重视标准的贯彻实施,充分发挥其基础性、规范性作用,这对我国信息安全标准化工作提出了很高的要求。信息安全标准体系是信息安全保障体系十分重要的技术体系,其主要作用突出地体现在两个方面,一是确保有关产品、设施的技术先进性、可靠性和一致性,确保信息化安全技术工程的整体合理、可用、互联互通互操作;二是按国际规则实行IT产品市场准入时为相关产品的安全性合格评定提供依据,以强化和保证我国信息化的安全产品、工程、服务的技术自主可控。

信息安全集成化

网络信息具有数量庞大、质量参差不齐、媒体与格式多样、容易传播与共享等特点,这就要求我们必须遵守统一的信息揭示规则,以促进网络信息资源的充分利用和用户信息需求的满足。网络信息集成化主要方法中的文件、搜索引擎、编目、学科信息门户均涉及标准化问题。标准的制订与推行是解决这些问题的唯一出路,也是网络资源共享的必要前提。

集成平台是信息集成的有力工具,这是面向对象的开放式集成技术,只要把每个应用软件分别接到集成平台,就可在一组集成服务器的支持下,实现应用软件的集成,因而集成的复杂性由多个降到一个。标准化是信息集成的基础,主要包含通信协议标准化(如MAP/TOP,制造自动化协议/技术办公室协议等),产品数据标准话(如STEP,产品模型数据交换标准等),以及调节网络标准化,电子文档标准化,交互图形标准化等。集成平台技术正在逐步完善之中。信息集成是一种使相关的多元信息有机融合并优化使用的理念。信息集成不是信息的堆积或信息载体的物理堆积。针对某一特定领域某一特定用户的需求,以信息为对象,信息资源为本体,服务为动力,网络技术为手段,协同作业为方法,把信息资源诸要素有机融合并使之优化的动态过程,是一个优化要素、体系重构的过程。

信息安全集成化即从单一功能信息安全技术与产品向多种功能融于某一个产品,或者是几个功能相结合的集成化产品,不再以单一的形式发现,否则产品太多了,也不利于产品的推广跟应用。安全产品呈硬件化/芯片化发展趋势,这将带来更高安全度与更高运算速率,也需要开展更灵活的安全芯片实现技术,特别是密码芯片的物理防护机制。

信息安全是买不到的,即插即用并具有足够安全水平的防护产品是不存在的,实现信息安全必须有技术层面和管理层面的良好配合。

终端安全及专业化

伴随着信息网络终端的多元化发展,终端具备的业务支持能力不仅要求多,而且要求在支持单项业务时能够有着上乘的表现。相应地,专业化是信息网络终端的又一发展方向。

任何一种业务的发展都将取决于市场需求,信息网络业务的发展也不例外。市场需求决定业务,业务决定技术,这一相互关系顺序往往导致业务标准的发展滞后于市场需求,这就造成业务应用先于标准形成,最终导致由于缺乏统一的业务标准,造成不同品牌终端在业务互通中存在诸多问题,从而影响了业务质量。这些在用户看来是终端的问题,其实背后反映了业务标准化的问题,当然也包括终端应用平台的统一问题。推进业务的标准化,实现开放的终端业务应用平台,是信息网络终端的发展趋势之一。随着信息网络技术在全球的普及和应用,移动电子商务将会逐渐兴起,因此为移动终端添加识别、安全功能将是必然趋势。

目前,国内累计发现的移动互联网恶意程序呈加速增长趋势。恶意应用不仅窃听用户电话、窃取用户信息、擅自使用付费业务,消耗用户流量,甚至已经危害到互联网的网络安全。事实上,受恶意应用困扰的不仅仅是用户,电信运营企业也受到波及。由于检测手段的缺乏,部分恶意应用通过不同渠道混入预售手机、营业厅的安装推广平台中,借助电信运营企业流入市场,造成企业投诉增多,影响企业品牌形象,甚至影响到相关业务的正常开展。为了更好地遏制恶意应用蔓延势头,为用户提供更安全、更放心的手机以及应用推广业务,运营商家针对移动应用安全防护,推出全新解决方案。该方案遵循工信部应用安全检测相关标准,依托先进的全方位、立体式应用安全检测技术,帮助电信企业建立移动互联应用安全管理、测试手段,审核业务涉及应用安全性问题,杜绝恶意应用流入市场,全面提升企业品牌形象。

观察全球各大移动通信运营商,他们都在不遗余力地推广个性化无线数据业务的同时,也在促使移动终端的定制化战略成为发展的必然方向。运营商进行手机定制是协调整个产业链有序合理发展的手段。

总之,随着现代网络技术的复杂化,网络安全成为了信息网络时代发展的关键,基于此通过对现阶段网络技术安全中存在的问题进行分析找到网络技术的未来发展途径是现代社会发展的必要选择,也是必经之路。

猜你喜欢
密码信息安全网络安全
密码里的爱
密码抗倭立奇功
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
保护信息安全要滴水不漏
高校信息安全防护
保护个人信息安全刻不容缓
夺命密码
信息安全