信息安全发展简介

现代信息安全技术发展历程简介

030095** ***

摘要：

随着信息化建设步伐的加快，人们对信息安全的关注越来越高。信息安全技术的内涵也越来越广，从主机的安全技术发展到网络体系结构的安全，从单一层次的安全发展到多层次的立体安全。信息安全不仅关系到个人，企事业单位，还关系到国家安全。回顾信息安全技术的发展历史，必将给予我们启示和思考。关键字：

信息安全技术应用发展历史安全危机中国

引言：

在研学讲座中，宋宇波教授以形象生动的语言向我们讲述了“什么是信息安全”、“信息安全都包括那些内容”，并就一些“数字签名”“身份认证”、“主动攻击、被动攻击”等专业术语进行了解释。同时，自开学以来，自己也在备考计算机网络技术的等级考试，在备考当中也了解一些关于网络安全的知识，并阅读了一些关于网络安全发展的书籍，对信息安全技术的应用有了初步了解。

一、信息安全危机的出现

信息安全的概念的出现远远早于计算机的诞生，但计算机的出现，尤其是网络出现以后，信息安全变得更加复杂，更加“隐形”了。现代信息安全区别于传统意义上的信息介质安全，一般指电子信息的安全。

从1936年英国数学家A . M .Turing发明图灵机，到1942年世界上第一台电子计算机ABC研制成功，再到1945年现代计算机之父，冯·诺依曼第一次提出存储程序计算机的概念，以及后来的第一条跨越大西洋的电话电缆敷设完成。这些都为网络技术的发展奠定了基础。

20世纪80年代开始，互联网技术飞速发展，然而互联网威胁也随之而来。世界上公认的第一个在个人电脑上广泛流行的病毒于1986年初诞生，被命名为大脑(C-Brain)。编写该病毒的是一对巴基斯坦兄弟，两兄弟经营着一家电脑公司，

以出售自己编制的电脑软件为生。由于当地盗版软件猖獗，为了防止软件被任意非法拷贝，同时也为了追踪到底有多少人在非法使用他们的软件，在1986年年初，他们编写了“大脑（Brain）”病毒，该病毒运行在DOS操作系统下，通过软盘传播。世界上首个计算机病毒就这样产生。

随后，1988年11月3日被成为“黑色星期四”的一天，一个美国年轻人Robert Morris 把一个“蠕虫”病毒程序放到了Internet上，导致了上千台网上计算机瘫痪。这个称为“Morris 蠕虫”程序的出现改变了许多人对Internet安全性的看法，引起了人们对计算机网络安全的重视。信息安全革命也随之爆发。

二、信息安全技术的形成

（1）面向信息的安全保障

计算机网络刚刚兴起时，各种信息陆续电子化，各个业务系统相对比较独立，需要交换信息时往往是通过构造特定格式的数据交换区或文件形式来实现，这个阶段从计算机诞生一直延续到互联网兴起的九十年代末期。

面对信息的安全保障，体现在对信息的产生、传输、存储、使用过程中的保障，主要的技术是信息加密，保障信息不外露在“光天化日”之下。因此，信息安全保障设计的理念是以风险分析为前提，如ISO13335风险分析模型，找到系统中的“漏洞”，分析漏洞能带来的威胁，评估堵上漏洞的成本，再“合理”地堵上“致命”漏洞，威胁也就消失了。

然而风险的大小，漏洞的危害程度是随着攻击技术的进步而变化的，在大刀长矛的冷兵器时代，敌人在几十米外你就是安全的，到了大炮、机枪的火器年代，几白米、几十公里都可能成为攻击的对象，而到了激光、导弹的现代，即使你在地球的另一端，也可能随时成为被攻击的对象。所以面向信息的安全，分析的漏洞往往是随着攻击技术发展、入侵技术进步而变化的，也就是被动地跟着攻击者的步调，建立自己的防御体系，是被动的防护。更为严酷的是：随着攻击技术的发展，与敌人的“安全距离”越来越大。

在信息安全的阶段，安全技术一般采用防护技术，加上人员的安全管理，出现的最多的是防火墙、加密机等，但大多边界上的防护技术都属于识别攻击特征的“后升级”防护方式，也就是说，在攻击者来之前升级自己了，就可能防止他

的入侵，若没有来得急升级，或者没有可升级的“补丁”，系统就危险了。面对加密技术的暴力破解也随着计算机的速度发展，让加密系统的密钥长度越来越长。

面向信息的安全保障也逐渐发展和完善。

（1）面向业务的安全保障

面对业务的安全，是从信息化的角度考虑信息的安全。到了04、05年，互联网已经深入到社会的各个角落，网络成了人们工作与生活的“信息神经”，人们发现各种工作已经脱离传统的管理模式，进入到世纪初还是梦想的“无纸化”

办公时代，此时计算机的故障、网络的中断已经不再是IT管理部门的小事件，往往是整个企业的大故障，有些金融、物流、交通等企业，网络的故障完全可以导致企业业务的中断，企业的停业。

此时，需要保护的信息不再只是某些文件，或者某些特殊权限目录的管理，而是用户的访问控制、系统服务的提供方式，此时要保障的不再只是信息，而是整个业务系统，以及业务的IT支撑环境，业务本身的安全需求，超过了信息的安全需求，安全保障自然也就从业务流程的控制角度考虑了，这个阶段被称为面向业务的安全保障。

从美国的SOX法案要求对系统信息的审计，到日益完善的各种行业信息系统保障技术要求，都不再是针对某些安全新技术，而是面对整个信息系统的保障要求。在国内比较突出的就是公安部发布的非涉密信息系统的等级保护，国家保密局发布的涉密信息系统的分级保护，相继颁布了技术与管理标准，并建立完善的测试、评估标准，并对一些涉及国家经济基础性产业的基础信息系统，如交通、金融等，要求强制性保护。

系统性的安全保障理念，不仅是关注系统的漏洞，而且从业务的生命周期入手，对业务流程进行分析，找出流程中的关键控制点，从安全事件出现的前、中、后三个阶段进行安全保障。具体的保障设计，“花瓶模型”给了我们一个清晰的设计框架，把安全保障分为防护技术、监控手段、审计威慑三个部分，其中防护技术沿用信息安全的防护理念，同时针对“防护总落后于攻击”的现状，全面实施系统监控，对系统内各个角落的情况动态收集并掌握，任何的风吹草动都及时察觉，即使有危害也减少到最小程度，攻击没有了“战果”，也就达到了防护的