牛少彰

    20世纪90年代产生的网络安全问题可看作运行安全层面。运行安全关心的是信息系统自身的安全，是计算机信息系统和网络安全两个层面。在20世纪末、21世纪初，提出了应用安全，也就是内容安全，强调对信息内容的控制能力。
    内容安全是指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。在此，被阻断的对象可以是通过内容可以判断出来的可对系统造成威胁的脚本病毒；因无限制扩散而导致消耗用户资源的垃圾类邮件；导致社会不稳定的有害信息，等等。主要涉及信息的机密性、真实性、可控性、可用性、完整性、可靠性等；所面对的难题包括信息不可识别（因加密）、信息不可更改、信息不可阻断、信息不可替换、信息不可选择、系统不可控等；主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤、系统的控制等。
当前，由于数字内容安全涉及面宽、容量大，信息内容安全的问题已经深刻地展现在现实社会的面前，主要表现在有害信息利用互联网所提供的自由流动的环境肆意扩散，信息内容安全的形势不容乐观。信息安全是信息时代国家安全的重要领域，整个国家不但需要安全的信息传递的基础设施，还需要对于在此之上传递的内容进行安全监控。保障信息内容安全是信息安全的新课题。
1. 信息内容安全面临的威胁
    随着计算机网络的快速发展以及超大流量的现实向现有的信息内容安全技术提出了更大的挑战，信息内容安全面临着比过去更多的威胁，主要有：信息破坏、信息传输威胁、信息内容的泄露、系统安全威胁和信息干扰等。
(1) 信息破坏
    当系统遭受病毒感染时，往往会导致信息破坏和信息处理所依赖系统的异常。信息破坏的结果导致信息不可用、不能恢复或者因被篡改而被误用。
导致信息内容遭到破坏的因素有很多，病毒破坏、蠕虫攻击、木马控制、信息非法扩散、垃圾邮件侵害以及其它具有黑客性质的入侵行为，都可能造成信息内容的破坏。信息内容面对的威胁往往不是单纯的或孤立的事件，而经常表现为多种形式的混合型威胁。这些威胁主要通过网络途径进行入侵，造成数据破坏、系统异常、网络瘫痪。
(2) 信息传输威胁
    网络为信息传输提供了一个平台，网络的通畅是保证信息正常传输的基础。大量耗费网络带宽的恶意数据充斥网络空间，如病毒、网络蠕虫、DDOS攻击、垃圾邮件等，往往会造成网络堵塞。 网络建设的目的是为了实现数据传输和信息共享，但也正因为如此，网络成为了入侵攻击的主要途径和目标。入侵攻击事件可能从网络边界进入，然后通过网络进行扩散传播。因此，应该从网络边界和网络传输的不同层面分别进行控制。
(3) 系统安全威胁
    操作系统、系统软件的安全是信息内容安全的基础。不幸的是，现在所使用的系统存在许多漏洞。蠕虫的入侵和扩散主要是利用系统漏洞实现的，只要系统存在漏洞（例如RPC缓冲区溢出漏洞），就有可能被蠕虫通过网络攻击。蠕虫的攻击过程可以描述为：扫描网络、发现漏洞、发起攻击、复制代码、通过被感染系统继续传播。这样形成拒绝服务攻击（DDoS），造成网络混乱。弥补系统漏洞最常用的方法就是及时打“补丁”。
(4) 信息内容的泄密
    信息内容的泄密将带来严重的后果，因此，对信息资产的安全等级评定、标记、监控技术提出了更高的要求。对大容量信息的实时监控、治理等都是必须解决的问题。信息泄露有多种途径，木马活动和邮件传播都可能导致信息泄露。木马程序可以获取被侵占系统的信息（例如用户密码），通过网络扩散；黑客可以通过木马程序登录到被感染电脑上，并拥有管理员的控制权限，从而达到控制被入侵计算机的目的，在这种情况下，信息泄露在所难免。此外，政府部门或企业往往有自己的涉密信息，内部工作人员可以通过发送电子邮件的方式将敏感信息扩散出去。
(5) 信息干扰
    在当前的信息化社会中，每天会面对大量的信息。无用信息对人们的工作和生活都会造成很大干扰。垃圾邮件的泛滥极大地降低了信噪比，不但干扰人们的正常工作，还消耗网络和系统资源。此外，许多垃圾邮件还携带病毒，如果不加注意，很可能因此感染病毒。垃圾邮件成为了社会公害，用户不但要花费许多精力来识别和处理垃圾邮件，而且还可能在思想上遭受蒙骗和侵蚀。
2. 信息内容安全领域的主要技术
    当安全威胁打通了内容“经脉”，网络面临的不仅是病毒散播、恶意攻击等安全问题，而是网络内部重要信息的泄密与丢失。内容安全管理技术能够监控和管理人们对互联网资源的访问以及相互之间的电子邮件通信，涉及范围广泛。与信息内容安全相关的网络技术主要有：
(1) 信息内容的获取技术
    研究如何在大规模网络环境中快速获取各种协议的信息内容。主要分为主动获取技术和被动获取技术。主动获取通过向网络注入数据包后的反馈来获取信息，特点是接入方式简单，能够获取更广泛的信息内容，但会对网络造成额外负荷。例如，基于移动爬虫的Web信息获取技术，已广泛地被网络搜索工具所采用。其中的关键问题是如何在较短时间内以较少的网络负荷获取更多的信息内容，如何选取测量点以及多个测量点之间如何合作等。目前Google对全球范围内网页检索的更新周期已达到28天。被动获取则在网络出入口上通过镜像或旁路侦听方式获取网络信息，特点是接入需要网络管理者的协作，获取的内容仅限于进出本地网络的数据流，但不会对网络造成额外流量。例如，目前大多数入侵检测系统、网关型安全产品都采用被动方式获取网络信息。其中的关键问题是信息捕获的实时性问题，在多大的网络流量及流量构成下丢包率是多少，能够实现对哪些协议的内容还原，协议还原的实时性如何。目前，美国网络联盟公司的McAfee WebShield e1000的捕获能力已达到HTTP通讯每秒2MB；在技术层面，已能实现对GB量级的数据流的实时捕获。McAfee WebShield设备可以对SMTP、HTTP、FTP和POP3通讯进行扫描。
(2) 信息内容识别技术
　　信息内容识别是指对获取的网络信息内容进行识别、判断、分类，确定其是否为所需要的目标内容，识别的准确度和速度是其中的重要指标。主要分为文字、声音、图像、图形识别。文字识别包括关键字/特征词/属性词识别，语法/语义/语用识别，主题/立场/属性识别，涉及规则匹配、串匹配、自然语言理解、分类算法、聚类算法等。目前的入侵检测产品、防病毒产品、反垃圾邮件产品、员工上网过滤产品等基本上都采用基于文字的识别方法。音频内容识别分析技术的研究属于音频信息检索领域的范畴。有关音频信息检索的研究工作是从20世纪90年代中后期开始的。目前，相关的语音识别技术已部分进入实用阶段，主要用于影视盗版监查、广告监播等。图像识别技术目前尚在实验室研究阶段，英国Forsyth 研究小组设计了一种针对人体的过滤算法，识别率为57%。
(3) 控制/阻断技术
    对于识别出的非法信息内容，阻止或中断用户对其访问，成功率和实时性是两个重要指标。从阻断依据上分为基于IP地址阻断、基于内容的阻断；从实现方式上分为软件阻断和硬件阻断；从阻断方法上分为数据包重定向和数据包丢弃。保证只有正确的信息内容才能通过，有害数据应阻挡，有效的控制措施是信息内容过滤。电子邮件过滤系统作为一项满足管理需求的重要手段，已成为网络监控、管理的必选项。电子邮件过滤能够降低网络、邮件服务器和存储环境被垃圾、恶意邮件充斥的可能性，防止以财务获取为目的病毒攻击。网页过滤从发展初期的单纯以预防员工访问与工作无关的网页地址而发展成为了能够满足全球商业网络的复杂安全需求的综合过滤解决方案。当前的网页过滤解决方案能够提供更成熟的架构和更细化的分类，且过滤的选项也不是简单的“同意”或“拒绝”。间谍软件已成为影响企业运营安全的巨大隐患。表面上看，间谍软件也许只表现为自动弹出广告框，但实际上它能够跟踪用户在线行为，监视用户一切点击、按键行为，通过电子邮件内容盗取、硬盘文档扫描及改变系统和登记注册设置等行为使得用户身份被破解、数据遭损坏、甚至企业机密交易信息丢失，祸害企业整个网络。控制/阻断技术在垃圾邮件剔除、涉密内容过滤、著作权盗用的取证、有害及*****内容的阻断和警告等方面已经投入使用，并有成熟产品出现，如McAfee WebShield 设备。
(4) 信息内容审计技术
    信息内容审计的目标就是真实全面地将发生在网络上的所有事件记录下来，为事后的追查提供完整准确的资料。通过对网络信息进行审计，政府部门可以实时监控本区域内Internet的使用情况，为信息安全的执法提供依据。虽然审计措施相对网上的攻击和窃密行为是有些被动，它对追查网上发生的犯罪行为起到十分重要的作用，也对内部人员犯罪起到了威慑作用。当前80%以上的专业信息内容审计系统提供商都采用IDS引擎作为审计系统，其主要技术路线是采取以零拷贝技术、多模式匹配算法等来提高性能，某些产品虽然可支持多端口、多网段监听，但是其单位探测器的网络流量处理性能一般在100Mbps以下，实用性存在局限性。由于信息的完整性是审计系统的最重要的指标之一，因此目前的网络内容审计产品的发展滞后于网络流量迅速增长的现状。信息内容审计采用的主要技术是以旁路方式捕获受控网段内的数据流，通过协议分析、模式匹配等技术手段对网络数据流进行审计，并对非法流量进行监控和取证。一般均采用多级分布式体系结构，并提供数据检索功能和智能化统计分析能力，对部分非法网络行为（如Web页面浏览、QQ聊天行为、BBS发言等）可进行重放演示。
(5) 反病毒技术
    由于计算机机病毒具有传染的泛滥性、病毒侵害的主动性、病毒程序外形检测的难以确定性和病毒行为判定的难以确定性、非法性与隐蔽性、衍生性、衍生体的不等性和可激发性等特性，所以必须花大力气认真加以对付。实际上计算机病毒研究已经成为信息内容安全的一个重要方面。近几年传输媒质的改变和因特网的大面积普及，导致计算机病毒感染的对象开始由工作站（终端）向网络部件（代理、防护和服务器设置等）转变，病毒类型也由文件型向网络蠕虫型改变。目前在防范病毒方面，分布式网络蠕虫报警防范体系、良性蠕虫对抗技术、网关型病毒检测与遏制技术、移动终端的病毒防护技术等引起了广泛重视。针对网络蠕虫的防范应进行大规模多级分布式部署、集中管理全局预警。
    信息内容安全技术的发展趋势正在从单一的从对文本信息内容识别向多媒体信息内容识别发展，从百兆流量检测向千兆流量检测发展，从统计分析向智能分析发展，从单一功能产品向层级式的整体解决方案发展。潜在的技术发展趋势包括IP骨干网安全、内容分级技术、多媒体信息识别技术、IPv6网络的内容安全、移动终端的信息内容防护等。