信息安全研究热点综述

信息安全研究热点综述

　　论文撰写是毕业生们毕业所必不可缺的一个环节，那么，毕业论文怎么写才能顺利通过答辩呢?下面是小编给大家推荐的信息安全毕业论文范文，欢迎阅读!

　　摘要：本文详细介绍了信息安全的应用背景，说明了信息安全的至关重要性，并分析了信息安全需求，针对需求结合当前现实对信息安全研究热点进行综述，并查阅相关资料得到了最新的信息安全发展的预测内容。

　　论文关键词：信息安全,需求,研究热点

　　1 信息安全的发展不能离开网络的快速成长，其实信息安全的含义就包含网络安全和信息安全。

　　随着全球信息化水平的不断提高，信息安全的重要性日趋增强。当前信息安全产业已成为对各国的国家安全、政治稳定、经济发展、社会生活、健康文化等方方面面的关键产业。信息安全可能会影响个人的工作、生活，甚至会影响国家经济发展、社会稳定、国防安全。因此，信息安全产业在整个产业布局乃至国家战略格局中具有举足轻重的地位和作用。尽管如此，当前信息安全的现状却不容乐观。我国新华社曾报道，中国近60%的单位曾发生过信息安全事件，其中包括国防部等政府部门。中国公安部进行的一项调查显示，在被调查的7072家单位中，有58%曾在2004年遭到过攻击。这些单位包括金融机构和国防、商贸、能源和电信等政府部门。归结到个人信息即使一张小小的手机卡，如果丢失同样可能会带来不可挽回的损失。2008年曾经在高校流行的信息诈骗，就是有人窃取高校数据库信息，造成学生信息外流而导致的短信诈骗、电话诈骗和邮件诈骗事件。

　　只有努力才会不断成功，《2008年第四季度反垃圾邮件状况调查》结果，自2008年第二季度以来，中国网民平均每周收到垃圾邮件的数量，保持着下降趋势。从 18.35封下降到第三季度的17.86封，再从17.86封减少到第四季度的17.55封，这是一年中连续两次减少，垃圾邮件治理工作成效显著。

　　2008年美国东海岸连锁超市(East Coast)的母公司Hannaford Bros.称，该超市的用户数据库系统遭到黑客入侵，造成400多万个银行卡帐户信息泄露，因此导致了1800起与银行卡有关的欺诈事件。在持卡人认证过程中，有420万个单个的信用卡和借记卡信息泄露，成为迄今为止涉及用户规模最大的数据入侵事件之一。此次信息泄露事件波及美国东部地区的全部165个连锁店，佛罗里达州的106个连锁店，另外还有部分出售Hannaford产品的其它独立超市连锁店。

　　互联网安全联盟HostExploit曝光了目前最大的垃圾邮件组织团伙一—McColo，并且随后由互联网服务提供商对其进行了关闭处理。此举使得全球互联网上的广告兜售邮件锐减50%，使得垃圾邮件减少了75%。

　　因此，信息安全的研究是当前信息行业的研究重点。在国际上信息安全研究已成体系，20世纪70年代就已经开始标准化。当前有多个国际组织致力于网络与信息安全方面的研究。随着信息社会对网络依赖性的不断增加以及911等突发事件的出现，以美国为首的各个国家在网络与信息安全方面都在加速研究。中国也在近几年取得了不少成绩。

　　2 信息安全需求

　　按照国家、用户、运营商以及其他实体描述信息安全需求。

　　(1)国家对网络与信息安全的需求

　　国家对网络与信息安全有网络与应用系统可靠性和生存性的需求、网络传播信息可控性要求以及对网络传送的信息可知性要求。

　　网络与应用系统可靠性和生存性要求：国家要求网络与应用系统具有必要的可靠性，防范可能的入侵和攻击并具有必要的信息对抗能力，在攻击和灾难中具有应急通信能力，保障人民群众通信自由的需求以及重要信息系统持续可靠。

　　(2)用户(企业用户，个人用户)对网络与信息安全需求

　　用户包括企业用户和个人用户对网络与信息安全有通信内容机密性要求，用户信息隐私性要求，为了与应用系统可信任要求以及网络与信息系统可用性要求。通信内容机密性要求：用户希望通信的内容应当通过加密或者隔离等手段，除国家授权机关以外只有通信对端能够获取并使用。用户信息隐私性要求：用户希望用户留在网络上的个人信息、网络行为以及行为习惯等内容不能被非授权第三方获取。网络与应用系统可信任要求：用户希望网络能确认通信对端是希望与之通信的对端，应用系统应当有能力并有义务承担相应的责任。网络与应用系统可用性要求：用户希望网络与应用系统达到所承诺的可用性，网络/应用系统不应具有传播病毒、发送垃圾信息和传播其他有害信息等行为。

　　(3)运营商(ISP、ICP等)对网络与信息安全需求

　　运营商对未来与信息安全的要求包括满足国家安全需求、用户安全需求以及自身对网络与应用系统的可管理可运营需求。

　　满足国家安全需求：运营商满足国家安全需求包括应当提供合法监听点、对内容作溯源、控制特定信息的传送传播，提供必要的可用性等。

　　满足用户安全需求：运营商满足用户安全需求包括必要的认证和加密，有效的业务架构和商务模式保证双方有能力并有义务承担相应的责任效的业务架构和商务模式保证双方有能力并有义务承担相应的责任，提供必要的可用性等。

　　网络和应用系统可管理可运营要求：运营商要求物力与系统资源只能由授权用户使用;资源由授权管理者调度;安全程度可评估可预警;风险可控;有效的商务模式保证用户和其他合作方实现承诺。

　　3 信息安全研究热点

　　为满足上述信息安全需求，部分热点技术应用和研究现状如下所述。

　　(1)基础类

　　机密性、完整性、不可否认性算法：算法研究是基础研究，基本属于数学范畴，近年来没有革命性的新算法广泛应用。随着计算能力的不断增强，机密性、完整性不可否认性算法等方面研究需要进一步加强。

　　特征识别模式匹配：为有效避免垃圾信息、病毒以及其他有害信息通过网络扩展，必须进一步研究特征识别以及模式匹配等技术。当前对网址、关键字过滤有一定进展，在图片、影片、声音等方面有待进一步研究和应用。

　　安全芯片、操作系统、设备：安全相关的芯片、器件、软件、操作系统、专用设备等都是网络与信息安全的基础。当前上述内容在国际上相对成熟，除非有重大突破，当前重点在于综合应用。

　　安全体系理论研究：安全体系结构理论主要研究如何利用形式化的数学描述和分析方法建立信息系统的安全体系结构模型。当前国际上进展较快，已成体系。

　　(2)应用类

　　认证鉴权技术及实施：通过一定的协议流程和算法验证持有特定密钥的用户是否是所声称的特定用户，拥有什么样的权限。近年来，鉴别密钥有所发展，当前ITU等组织正在研究生物特征鉴别。

　　海量信息处理：当前网络随着通信需求的增加以及光通信等技术的飞速发展，在合法监听、内容检测、防范入侵和攻击中，需要实时或者短时间内处理大量信息。因此海量信息处理，包括深度协议感知、线速过滤、模式匹配、海量存储等技术都在研究中，并且是近期内的重要研究方向。

　　数字水印等其他安全相关技术：随需求的不断出现，新的安全技术将被研究和应用。

　　(3)综合类

　　可靠性技术：可靠性技术主要通过器件、设备、协议以及网络组织使网络/应用系统能够持续不间断提供服务。

　　当前传统电信网相关的可靠性普遍认可，可靠性研究比较成熟;基于IP网络的可靠性还有待提高，因此研究还在继续，同时新的研究成果还正在应用到IP网络特别是NGN承载网。

　　溯源技术：溯源是指通过技术手段，将内容、网络行为以及应用行为等追溯到该行为发起者。随当前传统电信网业务单纯，溯源技术成熟，IP网络以及应用服务溯源技术正在进展中。随着各国对网络基础设施依赖性的增加，溯源技术将和认证鉴权技术、安全通信架构等结合在一起保障安全。

　　信息对抗：随着社会对网络基础设施依赖程度的增加，信息对抗成为国与国对抗的重要内容。当前信息对抗已有单方面少量实施，还没有到正式大规模对抗阶段。因此还是研究重要方向。

　　应急通信：应急通信主要是在灾年以及战争等通信设施瘫痪的情况下如何保证必要通信能力持续提供的行为。传统电信网应急通信研究比较成熟，互联网/IP网以及基于IP网新业务和网络的应急通信还在研究中。

　　风险评估：风险评估包括技术和方法。信息系统安全风险评估在ISO等组织研究相对成熟，对网络系统的评估方面还有待进一步研究和应用。

　　反垃圾信息：反垃圾信息实际上并不是一种具体的技术，而是模式识别、管理、架构方面的综合应用。之所以将反垃圾信息单独提出来是因为当前国际国内都非常重视所以专门提出，当前正在热点研究中。

　　体系架构：合理有效的架构能够综合各种技术，在网络与信息系统中提供合法监听点、传输传播控制点、为通信双方信任体系，用户隐私保护等。架构、框架等综合应用是当前以及未来网络与信息安全研究的重点。

　　当前的网络系统是一个复杂巨系统。这个复杂巨系统包括各个环节，包括用户的接入、识别、信息的传递、发布等等，在这个系统上出现的安全问题多种多样，有技术的，有管理的，通常不是一个理论或算法的简单应用就能解决的。通常需要将管理和技术结合起来，综合应用多种技术才能一定程度保障安全。

　　技术综合应用研究热点举例如下。

　　垃圾信息防范：垃圾信息已经是当前网络世界的一个顽疾。垃圾邮件的影响如此之大，以至于很多国家都为此立法。此外还有垃圾短信、骚扰电话等都属于同类问题。垃圾信息的防范与处理不是简单的一个法律规定，或者收费规定或者协议变化就能够解决的，牵涉到法律、技术、管理等方方面面。垃圾信息的防范与治理是当前网络与信息安全研究的热点与重点之一，ITU为此专门在第17研究组成立专门的Question研究。

　　信息溯源：由于包括网络钓鱼、传播非法信息在内的网络越来越多，需要通过网络溯源来找到犯罪分子。因此溯源通常是指通过技术手段，通过信息内容、网络行为以及应用行为追查到行为发起人。当前传统电信业务相对单纯，溯源技术成熟;互联网以及基于IP技术的网络溯源相对较弱。溯源不是简单地使用一种协议或者算法就能实现，需要将认证技术、信任体系、日志、安全网络架构等多种技术结合在一起才能完成。

　　网络信息对抗：随着国家经济、政治、国防、文化等对网络依赖性的增强，在网络世界的信息对抗以及成为国与国对抗的重要内容。信息对抗的攻防能力也成为国防力量之一，对网络的攻击与核打击一样也是一种威慑力量。网络信息对抗涉及较广，包括海量计算能力、海量存储能力、芯片制造能力、密码学研究、软件水平、设备制造业、病毒研究、入侵检测、脆弱性扫描、黑客入侵等全方位的对抗。

　　除上述热点以外，还有应急通信、网络可靠性研究、网络与信息安全风险评估等其他技术综合应用研究。

　　4 2009年信息安全八大预测

　　恶意软件即服务

　　2008年刚被赛门铁克收购的MessageLabs，近日做出了关于恶意软件发展趋势的预测，MessageLabs认为，“2009年恶意软件将作为一项服务出现。”回顾2008，恶意软件及其大量变种一直在与各种反恶意软件解决方案进行殊死较量。我们注意到一些黑客组织在2009年中将把病毒木马等恶意软件的制作商业化，通过让需求者定购个性化的恶意软件并自动发送，来保证恶意软件数量和变种的要求，实现MAAS(malware as a service，恶意软件即服务)。　说起来有些滑稽，SAAS(软件即服务)的理念已经被恶意软件传播者如此快速的借用。但要想实现恶意软件的商业化运作也并非易事，毕竟传播恶意软件是不被法律所容许的。

　　UTM大势所趋

　　作为一家率先实现万兆UTM的厂商Fortinet预测，“由于受金融海啸的影响，企业IT预算紧缩将给各种威胁攻以可趁之机，从而不可避免地提升市场对UTM(Unified Threat Management，统一威胁管理)设备的需求。”UTM作为企业解决一体化边界安全防护、降低运维成本的希望，一直由于其性能瓶颈饱受争议。2008年随着多核技术的成熟，UTM有望真正实现统一安全管理。IT专家网认为受到金融危机的影响，在今后一两年中，节省开支将成为公司选购产品或者开发产品的前提，因此2009年UTM将受到越来越多的企业用户关注。当然，国外的UTM是否是最省钱的解决方案，笔者并不好直接回答，可以肯定的是2009年国内信息安全市场将会更多的看到天融信、启明星辰、联想网御等国产品牌的身影。

　　信誉危机

　　另外，不断增长的“信誉危机”，不得不让企业在2009年绷紧神经，特别是当DNS的漏洞攻击问题迅猛增加的今天。2008年，DNS漏洞已经引起业内的广泛关注这，一些恶意软件(如DNS Changer等)能够将恶意DNS服务器替代为合法的DNS服务器向用户提供服务，当用户输入合法网址时就会被链接到恶意网站。IT专家网不得不警告您，2009年很可能成为DNS漏洞满天飞的一年。

　　漏洞带来的定向攻击将会增加

　　ScanSafe预测，有针对性的专业攻击将会增加，这个预测也是很有意义的。2008年中出现了大量的安全漏洞，笔者曾经在08年安全市场回顾中提到过，随着漏洞挖掘技术及漏洞提交机制的完善，将会有更多的安全漏洞将会公布于众。更为严重的是，网络攻击技术的门槛不断降低，这种针对特殊漏洞的攻击行为几乎每时每刻都会发生，再加上经济利益的影响，所以针对漏洞的攻击防不胜防。

　　CAPTCHA带来的邮件隐患

　　2008年2月，黑客首次成功破解了邮件验证码系统CAPTCHA，一眼之间基于Web证明的垃圾邮件威胁剧增。事实证明CAPTCHA还不足以保护帐户申请过程，虽然CAPTCHA攻击所波及面积还不是很大大，但2009年必将越演越烈，攻击者的速度总是快于防御系统。不过，对于大家对于这个预测却持不同意见，有人预测改进后的CAPTCHA将让攻击者无计可施。CAPTCHA最总将何去何从，我们将拭目以待。

　　针对基础设施的攻击行为将增加

　　Secure Computing最新的调查显示，能源等行业关键基础设施易受网络攻击。专家指出，除了金融服务业外，大多数行业对于网络攻击几乎毫无准备，包括：水利、电力、石油天然气行业、电信、运输、服务业、化工和物流业。基础设施的网络安全防护将成为2009年，行业用户关注的焦点。

　　网络战争将越演越烈

　　这听起来仿佛和企业安全关系甚微，然而网络战争的目的即是破坏或干扰敌对国家网络通信、截取关键信息、扰乱对方网络正常秩序，其危害是巨大的，对于企业而言也是毁灭性的。2008年，我们已经看到到俄罗斯对爱沙尼亚和格鲁吉亚发动网络战争而造成的影响。所谓“防人之心不可无”，对于政府以及敏感行业而言，加强网络防护能力是十分必要的。

　　SQL注入、XSS攻击仍将威胁Web安全

　　对于web安全，IT专家网认为将会2009Web安全仍将是最为严重的威胁之一。究其原因，首先SQL注入攻击使得攻击者可以在网站上注入各种恶意内容，而针对SQL注入的防御却相对较难;其次跨站脚本攻击(XSS)对Web安全的威胁将会继续加大。2009年跨站脚本攻击和SQL注入攻击将会变得更加普遍，并且很难从网站代码中消除。

　　5 小结

　　综上所述，当前虽然网络与信息安全现状不容乐观，但是已经引起了足够的重视。尤其在中国国力的日渐强盛，奥运的顺利召开，可以看到中国已经准备好了迎接方方面面的挑战。中国证监会发出《关于加强对投资者网上交易安全保护的通知》,要求各证券、基金、期货公司充分保障客户网上交易的安全。《通知》要求各机构网上交易除采用输入账户名、密码、验证码的身份认证方式之外,还应向客户提供一种以上强度更高的身份认证方式供客户选择采用,如客户端电脑或手机特征码绑定、软硬件证书、动态口令等身份认证方式,防止非法访问。安信证券已经研发出保障客户交易安全的最新网上交易通道产品,即安芯·超级安全网上交易通道。迄今为止,安信证券为证券业内首家推出保障客户交易的安全性能产品的公司。

　　由上可知，因此尽管有这么多困难摆在前面，但是我们有理由相信2009年信息安全行业将迈进一大步，至少安全产业已经开始稳步发展。与此同时，我们希望看到政府与相关机构能够规范制度、加大监管力度，真正从源头上消除威胁。当然我们更期待未来的某个时候我们不再需要安全产品，用户们能够在安全稳定的环境畅游。

　　参考文献

　　【1】 技术指导网络与信息安全研究热点浅析.电子商务网站.

　　【2】 中国计算机安全网站(infosec.org.cn)数据若干.

【信息安全研究热点综述】相关文章：

综述网络信息安全技术10-01

经济哲学研究综述10-01

个人研究过程综述10-07

银发产业发展研究综述10-08

我国儿科医学研究热点10-08

语篇结构标注研究的综述10-08

中古医书文献及研究概况综述10-08

研究网络信息安全与防范10-08

研究信息安全管理测评10-01