網(wǎng)絡(luò)安全長期發(fā)展規(guī)劃初探

1、信息平安及其關(guān)鍵技術(shù)討論方濱興，二OO五年九月二十二日.從作用點角度看信息平安層次國標(biāo)定義：“計算機信息人機系統(tǒng)平安的目的是著力于實體平安、運轉(zhuǎn)平安、信息平安和人員平安維護(hù)。平安維護(hù)的直接對象是計算機信息系統(tǒng)，實現(xiàn)平安維護(hù)的關(guān)鍵要素是人?！安繕?biāo)定義是：“本規(guī)范適用于維護(hù)計算機信息系統(tǒng)平安公用產(chǎn)品，涉及實體平安、運轉(zhuǎn)平安和信息平安三個方面。.從目的維護(hù)角度看信息平安屬性ISO17799定義：“信息平安是使信息防止一系列要挾，保證商務(wù)的延續(xù)性，最大限制地減少商務(wù)的損失，最大限制地獲取投資和商務(wù)的報答，涉及的是性、完好性、可用性。國際規(guī)范化委員會定義：“為數(shù)據(jù)

2、處置系統(tǒng)而采取的技術(shù)的和管理的平安維護(hù)，維護(hù)計算機硬件、軟件、數(shù)據(jù)不因偶爾的或惡意的緣由而遭到破壞可用性、更改完好性、顯露性 .關(guān)于信息平安的兩個主要視點管理/人員平安數(shù)據(jù)/信息平安運轉(zhuǎn)平安實體/物理平安信息平安分層構(gòu)造面向運用的信息平安框架信息平安金三角CIA面向?qū)傩缘男畔⑵桨部蚣苄?Confidentiality)完好性 可用性Integrity (Availability).兩個被忽略的問題之一：內(nèi)容平安誰在關(guān)懷文化平安？內(nèi)容平安的本質(zhì)是什么？文化平安不是技術(shù)問題，是哲學(xué)問題。內(nèi)容平安著眼點是根據(jù)內(nèi)容來對平安問題進(jìn)展判別，但需求經(jīng)過技術(shù)方式來處理。內(nèi)容平安技術(shù)的本質(zhì)是對數(shù)據(jù)的攻擊技術(shù)國際

3、社會經(jīng)常將反網(wǎng)絡(luò)病毒Anti Vandalism、反渣滓郵件問題列入內(nèi)容平安的范疇.兩個被忽略的問題之二：信息內(nèi)容對抗一支從事信息平安的隊伍研討的是信息對抗的問題，所引發(fā)的問題是：信息對抗與信息平安的關(guān)系是什么？信息對抗本身也存在體系問題，包括不同層次的對抗問題，我們僅選擇信息內(nèi)容對抗來討論信息隱藏是典型的信息內(nèi)容對抗的研討內(nèi)容站在信息平安的角度思索這個問題，給出的命題是：一個客觀存在的信息，如何發(fā)現(xiàn)？數(shù)據(jù)發(fā)掘、情報分析、信息獲取假設(shè)我們不能掩蓋一個信息，那就淹沒這個信息圍繞信息利用的對抗行為(所謂虛真假實真真假假).信息平安的技術(shù)層次視點 層次構(gòu)造 層面模型系統(tǒng)平安物理平安系統(tǒng)平安信息系統(tǒng)

4、方面的平安 環(huán)境平安 設(shè)備平安 動力平安 容災(zāi) .指對網(wǎng)絡(luò)與信息系統(tǒng)物理配備的維護(hù)。主要涉及網(wǎng)絡(luò)與信息系統(tǒng)的性、可用性、完好性等屬性。所涉及的主要技術(shù)：加擾處置、電磁屏蔽：防備電磁泄露容錯、容災(zāi)、冗余備份、生存性技術(shù)：防備隨機性缺點信息驗證：防備信號插入關(guān)于物理平安 863方案關(guān)注的重要技術(shù)災(zāi)難恢復(fù)與缺點容錯技術(shù)網(wǎng)絡(luò)可生存性技術(shù)空間信息系統(tǒng)平安技術(shù) 242方案關(guān)注的重要技術(shù)系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)和效力的可生存性技術(shù)系統(tǒng)容災(zāi)技術(shù).信息平安的技術(shù)層次視點系統(tǒng)平安 層次構(gòu)造 層面模型系統(tǒng)平安物理平安系統(tǒng)平安運轉(zhuǎn)平安 信息系統(tǒng) 方面的平安 系統(tǒng)評價-測試評價才干 平安戰(zhàn)略-信息對抗才干 訪問控制-平安防護(hù)才干

5、 入侵檢測-平安預(yù)警才干 應(yīng)急呼應(yīng)-應(yīng)急呼應(yīng)才干.關(guān)于運轉(zhuǎn)平安指對網(wǎng)絡(luò)與信息系統(tǒng)的運轉(zhuǎn)過程和運轉(zhuǎn)形狀的維護(hù)。主要涉及網(wǎng)絡(luò)與信息系統(tǒng)的真實性、可控性、可用性等主要涉及的技術(shù)風(fēng)險評價體系、平安測評體系：支持系統(tǒng)評價破綻掃描、平安協(xié)議：支持對平安戰(zhàn)略的評價與保證防火墻、物理隔離系統(tǒng)、訪問控制技術(shù)、防惡意代碼技術(shù)：支持訪問控制入侵檢測及預(yù)警系統(tǒng)、平安審計技術(shù)：支持入侵檢測反制系統(tǒng)、容侵技術(shù)、審計與追蹤技術(shù)、取證技術(shù)、動態(tài)隔離技術(shù)：支持應(yīng)急呼應(yīng)網(wǎng)絡(luò)攻擊技術(shù)，Phishing、Botnet、DDoS、木馬等技術(shù) 863方案關(guān)注的重要技術(shù)可信平安計算、網(wǎng)絡(luò)環(huán)境技術(shù)生物識別技術(shù)病毒與渣滓郵件防備技術(shù)測試評價技

6、術(shù)高性能平安芯片技術(shù) 242方案關(guān)注的重要技術(shù)大流量網(wǎng)絡(luò)數(shù)據(jù)獲取與實時處置技術(shù)公用采集及負(fù)載分流技術(shù)宏觀網(wǎng)絡(luò)平安監(jiān)測技術(shù)異常行為的發(fā)現(xiàn)、網(wǎng)絡(luò)態(tài)勢發(fā)掘與綜合分析技術(shù)大規(guī)模網(wǎng)絡(luò)建模、丈量與模擬技術(shù)宏觀網(wǎng)絡(luò)應(yīng)急呼應(yīng)技術(shù)大規(guī)模網(wǎng)絡(luò)平安事件預(yù)警與聯(lián)動呼應(yīng)技術(shù)異常行為的重定向、隔離等控管技術(shù)網(wǎng)絡(luò)平安要挾及應(yīng)對技術(shù)僵尸網(wǎng)絡(luò)等網(wǎng)絡(luò)攻擊的發(fā)現(xiàn)與反制技術(shù)破綻發(fā)掘技術(shù).信息平安的技術(shù)層次視點系統(tǒng)平安 層次構(gòu)造 層面模型系統(tǒng)平安物理平安 系統(tǒng)平安運轉(zhuǎn)平安 信息平安數(shù)據(jù)平安信息系統(tǒng) 方面的平安信息平安信息本身 方面的平安信任保證才干 防泄露 仿冒充 防篡改 防抵賴.關(guān)于數(shù)據(jù)平安指對信息在數(shù)據(jù)搜集、處置、存儲、檢索、傳輸

7、、交換、顯示、分散等過程中的維護(hù)，使得在數(shù)據(jù)處置層面保證信息根據(jù)授權(quán)運用，不被非法冒充、竊取、篡改、抵賴。主要涉及信息的性、真實性、完好性、不可否認(rèn)性等主要涉及的技術(shù)對稱與非對稱密碼技術(shù)及其硬化技術(shù)、VPN等技術(shù)：防備信息泄密認(rèn)證、鑒別、PKI等技術(shù)：防備信息偽造完好性驗證技術(shù)：防備信息篡改數(shù)字簽名技術(shù)：防備信息抵賴共享技術(shù)：防備信息破壞863方案關(guān)注的重要技術(shù)密碼技術(shù)運用密碼技術(shù)網(wǎng)絡(luò)信任體系技術(shù).信息平安的技術(shù)層次視點系統(tǒng)平安信息平安層次構(gòu)造 層面模型系統(tǒng)平安物理平安 系統(tǒng)平安運轉(zhuǎn)平安 信息平安數(shù)據(jù)平安信息平安內(nèi)容平安 信息本身 方面的平安有害信息的過濾.關(guān)于內(nèi)容平安指對信息在網(wǎng)絡(luò)內(nèi)流動中的

8、選擇性阻斷，以保證信息流動的可控才干。主要涉及信息的性、真實性、可控性、可用性等主要涉及的技術(shù)：文本識別、圖像識別、流媒體識別、群發(fā)郵件識別等：用于對信息的了解與分析；面向內(nèi)容的過濾技術(shù)CVP、面向URL的過濾技術(shù)UFP、面向DNS的過濾技術(shù)等：用于對信息的過濾。 863方案關(guān)注的重要技術(shù)網(wǎng)絡(luò)監(jiān)控技術(shù)面向互聯(lián)網(wǎng)面向廣播電視面向VoIP面向短信息 242方案關(guān)注的重要技術(shù)基于互聯(lián)網(wǎng)的監(jiān)控技術(shù)P2P網(wǎng)絡(luò)行為的發(fā)現(xiàn)與監(jiān)控技術(shù)大規(guī)模特征串匹配算法與數(shù)據(jù)流查詢技術(shù)渣滓信息檢測與過濾技術(shù)渣滓信息自動識別技術(shù)渣滓信息綜合告發(fā)、分類與處置技術(shù)反色情綠色上網(wǎng)軟件技術(shù)網(wǎng)站效力性質(zhì)識別與色情網(wǎng)站自動發(fā)現(xiàn)技術(shù)圖像與網(wǎng)

9、絡(luò)流媒體識別技術(shù).信息平安的技術(shù)層次視點系統(tǒng)平安信息平安 層次構(gòu)造層面模型系統(tǒng)平安物理平安 系統(tǒng)平安運轉(zhuǎn)平安信息平安數(shù)據(jù)平安 信息平安內(nèi)容平安 信息對抗信息內(nèi)容對抗信息本身 方面的平安信息對抗信息利用 方面的平安 信息的隱藏與發(fā)現(xiàn) 信息的干繞與提取.指對信息有效內(nèi)容真實性的隱藏、維護(hù)與分析。主要涉及信息有效內(nèi)容的性、完好性等所涉及的主要技術(shù)：數(shù)據(jù)發(fā)掘技術(shù)：發(fā)現(xiàn)信息隱寫技術(shù)、水印技術(shù)：維護(hù)信息即時通、MSN等協(xié)議的分析技術(shù)：對特定協(xié)議的了解，VoIP識別技術(shù)：對數(shù)字化語音信息的了解音頻識別與按內(nèi)容匹配：鎖定音頻目的進(jìn)展關(guān)于信息利用的平安 863方案關(guān)注的重要技術(shù)災(zāi)難恢復(fù)與缺點容錯技術(shù)網(wǎng)絡(luò)可生存性

10、技術(shù)空間信息系統(tǒng)平安技術(shù) 242方案關(guān)注的重要技術(shù)輿情發(fā)掘與預(yù)警技術(shù)特定主題信息的識別、特征發(fā)現(xiàn)技術(shù)敏感/熱點事件發(fā)現(xiàn)及趨勢預(yù)測技術(shù)信息隱藏技術(shù)基于圖像或音頻的隱寫、檢測及復(fù)原工具庫非拼裝隱藏信息的快速檢測.信息平安的技術(shù)層次視點System security物理平安 System security運轉(zhuǎn)平安Information security數(shù)據(jù)平安 Information security內(nèi)容平安 系統(tǒng)本身的平安“系統(tǒng)平安Information Security信息利用的平安“信息對抗信息本身的平安“信息平安層次構(gòu)造構(gòu)造層次三級信息平安框架信息內(nèi)容對抗.ITU-X.800給出的相關(guān)屬性的

11、定義:性Confidentiality： Prevent unauthorised disclosure of information完好性Integrity： assurance that data received are exactly as sent by an authorized sender可用性Availability：services should be accessible when needed and without delay真實性Authentication：assurance that the communicating entity is the one it

12、claims to be peer entity authentication Data-origin authentication 不可抵賴性Non-Repudiation：protection against denial by one of the parties in a communicationOrigin non-repudiation：proof that the message was sent by the specified partyDestination non-repudiation：proof that the message was received by the specified party.關(guān)于信息平安的根本屬性性Confidentiality ：反映了信息與信息系統(tǒng)的不可被非授權(quán)者所利用 真實性Authentication ：反映了信息與信息系統(tǒng)的行為不被偽造、篡改、冒充可控性controllability ：反映了信息的流動與信息系統(tǒng)可被控制者所監(jiān)控 可用性Availability ：反映了信息與信息系統(tǒng)可被授權(quán)者所正常運用 .信息平安的根本屬性視點性Cf真實性Au可控性Ct可用性Av信息平安四要素：CACA.機密性真實性可控性可用