信息安全发展简介由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“信息安全发展”。
现代信息安全技术发展历程简介
030095** ***
摘要:
随着信息化建设步伐的加快,人们对信息安全的关注越来越高。信息安全技术的内涵也越来越广,从主机的安全技术发展到网络体系结构的安全,从单一层次的安全发展到多层次的立体安全。信息安全不仅关系到个人,企事业单位,还关系到国家安全。回顾信息安全技术的发展历史,必将给予我们启示和思考。关键字:
信息安全技术应用发展历史安全危机中国
引言:
在研学讲座中,宋宇波教授以形象生动的语言向我们讲述了“什么是信息安全”、“信息安全都包括那些内容”,并就一些“数字签名”“身份认证”、“主动攻击、被动攻击”等专业术语进行了解释。同时,自开学以来,自己也在备考计算机网络技术的等级考试,在备考当中也了解一些关于网络安全的知识,并阅读了一些关于网络安全发展的书籍,对信息安全技术的应用有了初步了解。
一、信息安全危机的出现
信息安全的概念的出现远远早于计算机的诞生,但计算机的出现,尤其是网络出现以后,信息安全变得更加复杂,更加“隐形”了。现代信息安全区别于传统意义上的信息介质安全,一般指电子信息的安全。
从1936年英国数学家A.M.Turing发明图灵机,到1942年 世界上第一台电子计算机ABC研制成功,再到1945年现代计算机之父,冯·诺依曼第一次提出存储程序计算机的概念,以及后来的第一条跨越大西洋的电话电缆敷设完成。这些都为网络技术的发展奠定了基础。
20世纪80年代开始,互联网技术飞速发展,然而互联网 威胁也随之而来。世界上公认的第一个在个人电脑上广泛流行的病毒于1986年初诞生,被命名为大脑(C-Brain)。编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,同时也为了追踪到底有多少人在非法使用他们的软件,在1986年年初,他们编写了“大脑(Brain)”病毒,该病毒运行在DOS操作系统下,通过软盘传播。世界上首个计算机病毒就这样产生。
随后,1988年11月3日被成为“黑色星期四”的一天,一个美国年轻人Robert Morris 把一个“蠕虫”病毒程序放到了Internet上,导致了上千台网上计算机瘫痪。这个称为“Morris 蠕虫”程序的出现改变了许多人对Internet安全性的看法,引起了人们对计算机网络安全的重视。信息安全革命也随之爆发。
二、信息安全技术的形成(1)面向信息的安全保障
计算机网络刚刚兴起时,各种信息陆续电子化,各个业务系统相对比较独立,需要交换信息时往往是通过构造特定格式的数据交换区或文件形式来实现,这个阶段从计算机诞生一直延续到互联网兴起的九十年代末期。
面对信息的安全保障,体现在对信息的产生、传输、存储、使用过程中的保障,主要的技术是信息加密,保障信息不外露在“光天化日”之下。因此,信息安全保障设计的理念是以风险分析为前提,如ISO13335风险分析模型,找到系统中的“漏洞”,分析漏洞能带来的威胁,评估堵上漏洞的成本,再“合理”地堵上“致命”漏洞,威胁也就消失了。
然而风险的大小,漏洞的危害程度是随着攻击技术的进步而变化的,在大刀长矛的冷兵器时代,敌人在几十米外你就是安全的,到了大炮、机枪的火器年代,几白米、几十公里都可能成为攻击的对象,而到了激光、导弹的现代,即使你在地球的另一端,也可能随时成为被攻击的对象。所以面向信息的安全,分析的漏洞往往是随着攻击技术发展、入侵技术进步而变化的,也就是被动地跟着攻击者的步调,建立自己的防御体系,是被动的防护。更为严酷的是:随着攻击技术的发展,与敌人的“安全距离”越来越大。
在信息安全的阶段,安全技术一般采用防护技术,加上人员的安全管理,出现的最多的是防火墙、加密机等,但大多边界上的防护技术都属于识别攻击特征的“后升级”防护方式,也就是说,在攻击者来之前升级自己了,就可能防止他的入侵,若没有来得急升级,或者没有可升级的“补丁”,系统就危险了。面对加密技术的暴力破解也随着计算机的速度发展,让加密系统的密钥长度越来越长。面向信息的安全保障也逐渐发展和完善。
(1)面向业务的安全保障
面对业务的安全,是从信息化的角度考虑信息的安全。到了04、05年,互联网已经深入到社会的各个角落,网络成了人们工作与生活的“信息神经”,人们发现各种工作已经脱离传统的管理模式,进入到世纪初还是梦想的“无纸化”办公时代,此时计算机的故障、网络的中断已经不再是IT管理部门的小事件,往往是整个企业的大故障,有些金融、物流、交通等企业,网络的故障完全可以导致企业业务的中断,企业的停业。
此时,需要保护的信息不再只是某些文件,或者某些特殊权限目录的管理,而是用户的访问控制、系统服务的提供方式,此时要保障的不再只是信息,而是整个业务系统,以及业务的IT支撑环境,业务本身的安全需求,超过了信息的安全需求,安全保障自然也就从业务流程的控制角度考虑了,这个阶段被称为面向业务的安全保障。
从美国的SOX法案要求对系统信息的审计,到日益完善的各种行业信息系统保障技术要求,都不再是针对某些安全新技术,而是面对整个信息系统的保障要求。在国内比较突出的就是公安部发布的非涉密信息系统的等级保护,国家保密局发布的涉密信息系统的分级保护,相继颁布了技术与管理标准,并建立完善的测试、评估标准,并对一些涉及国家经济基础性产业的基础信息系统,如交通、金融等,要求强制性保护。
系统性的安全保障理念,不仅是关注系统的漏洞,而且从业务的生命周期入手,对业务流程进行分析,找出流程中的关键控制点,从安全事件出现的前、中、后三个阶段进行安全保障。具体的保障设计,“花瓶模型”给了我们一个清晰的设计框架,把安全保障分为防护技术、监控手段、审计威慑三个部分,其中防护技术沿用信息安全的防护理念,同时针对“防护总落后于攻击”的现状,全面实施系统监控,对系统内各个角落的情况动态收集并掌握,任何的风吹草动都及时察觉,即使有危害也减少到最小程度,攻击没有了“战果”,也就达到了防护的目的;另外,针对网络事件的起因多数是内部人员,采用审计技术可以取证追究,是震慑不法小人的恶意滋生的“武器”。面向业务的安全保障也逐步发展和完善。
三、中国的信息安全技术的发展
我国信息产业经历了二十多年的发展历程,从曾经的全球过期信息产品的“抛售地”,到今天全球规模第二的信息产业大国,信息产业已经成为国民经济的基础性、支柱性、先导性和战略性产业。作为信息产业的一个重要组成部分,信息安全经过二十年的媒体灌输和真实的攻击案例,已将人们的信息安全意识提到一个前所未有的高度。回顾二十年的网络信息安全技术发展历程,信息安全技术的发展给我们带来众多启示,信息安全技术也已经渗入到生活的各个方面。
信息安全业在中国信息化建设的进程中可算是一个新兴产业,大体上,产业的发展轨迹分为了三个阶段。2005年之前的萌芽阶段,这个阶段的特点是,国内各行业、各部门开始萌生信息安全的意识——从最初的“重视信息化建设”却“轻视安全体系的构建”,发展至“意识到安全的重要性”并且“希望在企业内部实现安全”,但又认为信息安全很神秘,不知从何入手。在此阶段,各行业的客户都在有意识地学习和积淀信息安全知识,与这一领域的权威企业广泛交流,了解其技术、理念、产品、服务。与此同时,一些企业、部门也出现了一些规模较小的、零星的信息安全建设,但并未实现规模化和系统化;而且这个时期政府对于信息安全在宏观政策上的体现是呼吁较多,而具体的推进事务则比较少,虽然显得很热闹,但实际信息安全建设很少。
2005年到2009年的爆发阶段,这个阶段的特点是,国内各行业、部门对于信息安全建设的需求由“自发”走向“自觉”。企业客户已基本了解了信息安全的建设内容与重要意义——很多行业部门开始对内部信息安全建设展开规划与部署,企业领导高度重视,投资力度不断加大。由此,信息安全成为了这一阶段企业IT建设的重中之重。某种意义上,信息安全市场的需求爆发可说是多年来企业在安全方面的“欠债”所造成的。
2010年之后的普惠阶段,当信息安全建设与企业整体信息化建设融而为一,信息安全作为一个话题可能会丧失其“热点效应”,但作为企业IT建设的关键
环节之一,它是普惠的——就像空气一样无比重要、无所不在,却又不易为人察觉。
随着计算机及计算机网络的飞速发展,信息安全问题日益突出。目前,已经有了大量的安全技术和安全产品来保证计算机及其网络的安全,然而技术只是保护信息安全的一方面,而制定适当完备的网络安全策略是实现网络安全的有力措施。同时相信随着人类信息安全技术的发展,各种安全威胁也必将一一解除。参考文献:
中国科学院研究生院信息安全实验室信息保障技术框架
金澈明、孙霓刚华东理工大学出版社网络与信息安全技术
2009
信息安全 (本科、学制:四年)一、培养目标信息安全专业培养适应社会主义现代化建设需要,德、智、体、美全面发展,拥有良好社会道德修养和科学文化素质,具有扎实的数理、外语、计算......
信息安全技术的现状和发展随着信息技术的发展和信息化建设的高速推进,为信息安全产业的发展带来了前所未有的机遇。根据IDC 2003年数据分析显示,目前安全市场的增长远远高于整......
032网络信息安全研究所山东大学网络信息安全研究所是国内最早从事网络安全研究及技术开发的科研与推广单位之一,80年代末,在潘承洞院士的支持下,山东大学网络信息安全研究所成......
2014年全球信息安全发展走向近年来,我国国民经济呈现持续稳定健康发展的良好态势,政府部门、金融、能源等国家机关和重点行业为提高管理水平、服务能力,纷纷凭借雄厚的资金实......
信息时代要做信息人IT行业是一个永远年轻的行业,信息则是这个行业的重要元素。IT业复苏回暖,人才需求势头难挡,对于计算机项目经理、程序开发人员、系统设计师、系统测试员等人......
