信息安全现状及发展趋势

【摘   要】21世纪是信息时代，信息的传递在社会生活中的地位越来越重要，相应信息的安全问题也变得十分突出。文章主要就作为信息安全技术核心的密码学的概念、分类、起源、发展及目前研究成果和发展趋势进行了阐述。
　　【关键词】密码学；信息安全；发展趋势
  
    一、引言

　　信息安全技术是一门综合学科，它涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。21世纪是信息时代，信息的传递在人们日常生活中变得非常重要。如：电子商务，电子邮件，电子政务，银行证券等，无时无刻不在影响着人们的生活。这样信息安全问题也就成了最重要的问题之一。其中，信息安全的核心是密码技术。

　　二、密码学的起源及发展

　　密码学(Cryptology)一词源自希腊语“krypto's”及“logos”两词，意思为“隐藏”及“消息”。它是研究信息系统安全保密的科学。其目的为两人在不安全的信道上进行通信而不被破译者理解他们通信的内容。

　　密码学根据其研究的范围可分为密码编码学和密码分析学。密码编码学研究密码体制的设计，对信息进行编码实现隐蔽信息的一门学问，密码分析学是研究如何破译被加密信息或信息伪造的学问。它们是相互对立、相互依存、相互促进并发展的。密码学的发展大致可以分为3个阶段：

　　第一阶段是从几千年前到1949年。这一时期密码学还没有成为一门真正的科学，而是一门艺术。密码学专家常常是凭自己的直觉和信念来进行密码设计，而对密码的分析也多基于密码分析者（即破译者）的直觉和经验来进行的。

　　第二阶段是从1949年到1975年。1949年，美国数学家、信息论的创始人 Shannon, Claude Elwood 发表了《保密系统的信息理论》一文，它标志着密码学阶段的开始。同时以这篇文章为标志的信息论为对称密钥密码系统建立了理论基础，从此密码学成为一门科学。由于保密的需要，这时人们基本上看不到关于密码学的文献和资料，平常人们是接触不到密码的。1967年Kahn出版了一本叫做《破译者》的小说，使人们知道了密码学。20 世纪70年代初期，IBM发表了有关密码学的几篇技术报告，从而使更多的人了解了密码学的存在。但科学理论的产生并没有使密码学失去艺术的一面，如今，密码学仍是一门具有艺术性的科学。

　　第三阶段为1976年至今。1976年，Diffie和 Hellman 发表了《密码学的新方向》一文，他们首次证明了在发送端和接收端不需要传输密钥的保密通信的可能性，从而开创了公钥密码学的新纪元。该文章也成了区分古典密码和现代密码的标志。1977年，美国的数据加密标准（DES）公布。这两件事情导致了对密码学的空前研究。从这时候起，开始对密码在民用方面进行研究，密码才开始充分发挥它的商用价值和社会价值，人们才开始能够接触到密码学。这种转变也促使了密码学的空前发展。密码学发展至今，已有两大类密码系统：第一类为对称密钥(Symmetric Key)密码系统，第二类为非对称密钥(Public Key)密码系统。

　　在2004年信息安全国际会议上，曹珍富教授做了“密码理论中的若干问题”的主题报告，其中介绍了密码学的最新进展，如：在线/离线密码学，圆锥曲线密码学，代理密码学，密钥托管问题，基于身份的密码学，多方密钥协商问题，可证安全性密码学等。

　　三、信息安全技术的应用现状

　　目前，信息安全问题面临着前所未有的挑战，常见的安全威胁有：第一，信息泄露。信息被泄露或透露给某个非授权的实体。第二，破坏信息的完整性。数据被非授权地进行增删、修改或破坏而受到损失。第三，拒绝服务。对信息或其他资源的合法访问无条件地阻止。第四，非法使用（非授权访问）。某一资源被某个非授权的人，或以非授权的方式使用。第五，窃听。用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。第六，业务流分析。通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。第七，假冒。通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。第八，旁路控制。攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。第九，授权侵犯。被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。第十，特洛伊木马。软件中含有一个察觉不出的或者无害的程序段，当它被执行时，会破坏用户的安全。第十一，陷阱门。在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略。第十二，否认。这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。第十三，重放。出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送。第十四，计算机病毒。计算机病毒的潜在破坏力极大，正在成为信息战中的一种新式进攻武器。第十五，人员不慎。一个授权的人为了钱或某种利益，或由于粗心，将信息泄露给一个非授权的人。第十六，媒体废弃。信息被从废弃的存储介质或打印过物件中被泄露。第十七，物理侵入。侵入者绕过物理控制而获得对系统的访问。第十八，窃取。重要的安全物品，如身份卡或令牌被盗。第十九，业务欺骗。某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。

　　针对以上的问题，保证信息安全采取的技术措施主要有以下几个方面。

　　（一）信息加密技术

　　是指利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，使有用的信息变为看上去似为无用的乱码，使攻击者无法读懂信息的内容，从而保护信息而达到防止信息泄露的技术。信息加密是保障信息安全的最基本、最核心的技术措施和理论基础，它也是现代密码学的主要组成部分。

　　（二）数字签名技术

　　数字签名是在数据单元上附加数据，或对数据单元进行密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，解决否认、伪造、篡改及冒充等问题从而达到对数据进行保护。同时，数字签名可以为仲裁者提供发信者对消息签名的证据。

 （三）数据完整性技术

　　数据完整性保护用于防止非法篡改，利用密码理论的完整性保护能够很好地对付非法篡改。完整性的另一用途是提供不可否认服务。

　　（四）身份鉴别技术

　　鉴别是信息安全的基本机制，通信的双方之间应互相认证对方的身份，以保证赋予正确的操作权力和数据的存取控制。网络也必须认证用户的身份，以保证合法的用户进行正确的操作并进行正确的审计。

　　（五）访问控制技术

　　访问控制机制可以限制对关键资源的访问，防止非法用户进入系统及合法用户对系统资源的非法使用。其目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行一定权限的访问，限制他随意删除、修改或拷贝信息文件。

　　（六）安全数据库

　　保证数据库的安全主要在数据库管理系统上下功夫，其安全措施在很多方面多类似于安全操作系统中所采取的措施。

　　（七）网络控制技术

　　如防火墙技术、入侵检测技术、安全协议等。

　　（八）安全审计技术

　　通过对一些重要事件的记录，从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。安全审计跟踪对潜在的安全攻击源的攻击起到威慑作用。

　　（九）业务填充技术

　　该机制可用于应对各种等级的保护，用来防止对业务进行分析，同时也增加了密码通信的破译难度。

　　（十）路由控制机制

　　可使信息发送者选择特殊的路由，以保证连接、传输的安全。

　　（十一）公证机制

　　是对在两个或多个实体间进行通信的数据的性能，由公证机构加以保证，这种保证由第三方公证者提供。公证机制主要支持抗否认服务。

　　（十二）反病毒技术

　　要保证信息的安全必须花大力气认真解决好计算机病毒对数据的破坏。

　　（十三）加强管理

　　要注意对废弃信息存储介质进行安全的销毁处理。

　　四、信息安全技术发展趋势

　　在信息交换中，“安全”是相对的，而“不安全”是绝对的，随着社会的发展和技术的进步，信息安全标准不断提升，因此信息安全问题永远是一个全新的问题。“发展”和“变化”是信息安全的最主要特征，只有紧紧抓住这个特征才能正确地处理和对待信息安全问题，以新的防御技术来阻止新的攻击方法。信息安全技术的发展呈现如下趋势：

　　（一）信息安全越来越重要

　　信息安全系统的保障能力是 21 世纪综合国力、经济竞争实力和民族生存能力的重要组成部分。因此，必须努力构建一个建立在自主研究开发基础之上的技术先进、管理高效、安全可靠的国家信息安全体系，以有效地保障国家的安全、社会的稳定和经济的发展。信息安全是一个综合的系统工程，需要诸如密码学、传输协议、集成芯片技术、安全监控管理及检测攻击与评估等一切相关科技的最新成果的支持。

　　（二）信息安全标准在不断变化

　　应根据技术的发展和实际社会发展的需要不断更新信息安全标准，科学合理的安全标准是保障信息安全的第一步，需要无限追求如何在设计制作信息系统时就具备保护信息安全的体系结构，这是人们长期追求的目标。

　　（三）信息安全概念在不断扩展

　　安全手段需随时更新人类对信息安全的追求过程，是一个漫长的深化过程。信息安全的含义包括了信息的保密性，信息的完整性，信息的可用性，信息的可控性，信息行为的不可否认性。随着社会信息化步伐的加快，信息安全至少需要在“攻、防、测、控、管、评”等多方面的基础理论和实施技术的研究。

　　（四）信息安全是一个复杂的巨大系统

　　其中，信息安全技术是最具活力的一个方面。信息安全是现代信息系统发展应用带来的新问题，它的解决也需要现代高新技术的支撑，传统意义的方法是不能解决问题的，所以信息安全新技术总是在不断地涌现。信息安全领域将进一步发展密码技术、防火墙技术、虚拟专用网络技术、病毒与反病毒技术、数据库安全技术、操作系统安全技术、物理安全与保密技术，研究发展以信息伪装、数字水印、电子现金、入侵检测、安全智能卡、PKI、网络安全协议等为代表的信息安全最新技术。

【参考文献】
　　[1]曹珍富，薛庆水.密码学的发展方向与最新进展[J]，计算机教育，2005，（1）.
　　[2]阙喜戎，孙锐，龚向阳，等.信息安全原理及应用[M].北京：清华大学出版社，2003.
　　[3]刘宏月，等.访问控制技术研究进展[J].小型微型计算机系统，2004，25（1）.

    周   霞  （华东交通大学，江西  南昌  330013）