第一篇:日本网络信息安全架构
日本讨论本国网络安全系统 欲合作清除网络僵尸
作者:知远
2010年08月24日12:14
我来说两句(0)
复制链接
打印
大中小
本文说明日本政府的信息安全政策和机构,并希望引起美国政府对于类似的政策和机构的关注。开始,将讨论日本的网络安全系统。然后在第二部分中,将审视一种特殊的信息安全政策,即密码系统政策,来剖析不同的信息安全政策如何运行。日本实行的密码系统政策广泛地采用经济合作与发展组织(OECD)的“密码政策指导方针”。对这些指导方针进行讨论,重点提出将来密码系统可能出现的值得国际社会注意的问题。第三部分分析反网络僵尸(anti-bot)政策。网络僵尸侵入个人用户的电脑并对其实施遥控,对互联网的影响越来越大。网络僵尸在许多国家都成了实际问题,因此需要进行国际合作。本文最后提议所有有关方面必须确定对通信系统采用适当程度的合法接入。此外,在消除网络僵尸中进行合作为日本和美国引领国际行动提供了一个良好的机会。
1.日本的网络安全系统
在研究了日本和美国的总体网络安全计划之后,我们的结论是在公众了解国家的网络防御,国家安全的政治承诺和政府机构为提升网络安全性的创新方面,美国优于日本。而在保护个人信息,关注信息安全知识和提升安全意识方面,日本又好像强于美国。本文探究日本在这些方面的情况,并与美国的系统加以比较。
A.组织结构
日本的网络安全中心是其国家信息安全中心,它是内阁书记处的一部分。国家信息安全中心的主任是三个助理内阁书记长之一,其职责是负责国家安全和应急响应系统。国家安全包括人身安全和网络安全。有关政策问题由信息安全政策委员会决定,它的主席是内阁秘书长。各个政府机构在信息安全政策委员会的指导下与国家信息安全中心协同,执行有关政策。国家信息安全中心之下的主要政府机构包括内务和通信部,经济贸易和工业部,国家政策局(National Police Agency)和国防部。
国家信息安全中心的突出地位和领导作用表明了其权威程度。国家信息安全中心建立于2000年,那时叫做信息安全举措促进办公室,在2005年机构改革后改为现在的名字。它的地位表明了它的组织作用,但是也意味着在网络安全议程的优先化中缺乏灵活性。网络安全像国家退休金计划和严重地震破坏恢复计划一样,没有被列入头等优先的政治问题。
稳定的组织结构,连续的授权和精干的员工一致努力使得日本的信息安全政策和管理不断进展。国家信息安全中心的“支柱”人员是信息安全顾问。自从2004年4月设立这个职位以来,Suguru Yamaguchi就一直担任这个顾问。他的才干证明了他对于国家信息安全中心的重要性,而此前中心只是集合了一帮官僚,有的还不是网络安全专家。国家信息安全中心在顾问的指导下,承担着以下职责:(1)解释复杂的技术问题,(2)将技术和管理问题转化为政策和指令,(3)协调涉及新网络安全措施的政治辩论。
将日本的组织结构与美国进行比较,能够发现一些指导性的差别。美国典型性的组织模式是动态的,而日本的则比较稳定。这一差别可能反映出两国各自的历史、文化和社会特点。
可以将国家信息安全中心与其美国的类似机构,即国土安全部的国家网络安全处(National Cybersecurity Division),作一比较。国家网络安全处自从2003年建立以来,其行政功能就一直在变化。相比之下,国家信息安全中心则是其任务和规模一直在发展。国家信息安全中心在官僚主义的舞台上更加
活跃,比较有利于这个领域。因此,国家信息安全中心处理可能的摩擦来保证信息技术的方便性,用户的私密性,社团事务的连续性以及犯罪调查和国防的需要。
B.网络安全战略
2009年1月,日本政府批准了从2009年到2011年的第二个国家信息安全战略计划。这个三年计划包括四个主题:中央和地方政府,关键基础设施,商业团体,和个人。
作为国家信息安全战略计划的一部分,日本政府批准了“安全日本2009”。它的212项政策中,四分之一针对改进中央和地方政府。在关于关键基础设施和商业团体的部分,私人企业起行动主体的作用,而政府则提供支持。像美国一样,关键基础设施为许多私人部门所拥有和运营,而且认为这种公私合作关系是非常重要的。内务和通信部以及经济贸易和工业部在全国各地设立了草根信息技术安全“课堂”来影响当地非盈利组织机构的工作。这两个部还开展有效的国家运动来提高安全意识。
相比之下,美国的政策中,许多都集中于加强联邦政府的网络安全上,几乎没有涉及私有部门的工作。对于美国的网络安全政策的全面讨论超出了本文的范围,因此,只举出一个能够表明美国政策平衡的例子。在前总统乔治W.布什领导下实施了“广泛的国家网络安全主动性”(CNCI),它集中于提高联邦政府的网络安全能力,只有少数几项政策是针对非联邦政府网络安全的。然而,与美国政策以提升国家高层的能力为目标不同,日本看来更加注重私人活动和全民活动。之所以有这样的差别,可能的原因是在美国,联邦政府集中于处理联邦的问题,而各州政府和地方政府则更为直接地与国民和社团相联系。相反,日本政府更加倾向于涉及工业和普通民众。
C.报告和监测
作为执行部门的美国国家标准技术研究所是一个独立的专门从事标准的机构。根据“联邦信息安全管理法案”,国家标准技术研究所提供标准,法规和指导方针,而管理和预算办公室负责监测和报告。检察长和政府审计总署独立地执行审计任务。
相比之下,日本把所有这些任务都交给国家信息安全中心。日本国会和行政部门之间的关系可能更具连贯性和有效性的积极作用。但是作者相信,日本政府可以学习美国的职责分离,连续监测和建立一个国家审计机构。
2005年,国家信息安全中心根据国家信息安全战略计划为中央政府计算机系统开发了政府信息安全措施标准,并将这些标准分发给所有的日本国家管理部门。这个安全管理目标和实践的明细表几乎每年都进行修订,现在已经是第五版。
国家信息安全中心将一个样本交给了各个行政部门,并根据此样本进行衡量和报告。样本提出36个问题和1个检查表,检查表的项目分为10小类和4个方面:计划、知识共享、执行、以及评估和改进。样本包括的项目有对信息技术安全管理人员的教育,信息资产表的编制和维护,意外事件处理手册,等。而后,国家信息安全中心将报告的活动评定为一星级,二星级和三星级。相比之下,美国有一个多层分级系统,各政府部门用来自行报告。
国家信息安全中心确定了几个“最佳实践”方面,各个部和局根据国家信息安全中心的样本,一年一度地向日本信息技术战略总部报告他们的最佳实践。这样,通过报告,监测和标准的连续应用,各个政府部门都有了极大改进,提高了日本政府系统的整体安全水平。
D.小结
在设定标准,监测和报告方面,日本和美国的网络安全系统由许多相似性。两国政府的网络安全的基础基本相同,但是有意思的是其系统很不一样。以下为一些特殊见解。
国家信息安全中心一直承担着改进日本政府各部门网络安全措施的任务。但是面临挑战。中心履行制订规则、确定制度、监控和评估的职责。在短短的四年时间里,中心的工作导致了生产率的提高。然而,当政府认为因密码系统和对抗网络僵尸的目的而合法地进入了私人通信之中的话,会对中心进行检查。日本和美国可以互相学习对方的方法和经验。日本颁布了不少政策,采取了不少措施,但缺乏战略眼光。有人会认为,政府颁布了这么多极度严密的政策,要在一定的时间内实施会碰到困难。而另一方面,却有人会说,美国的政策不够准确。美国的网络安全方法是由其战略所操纵的,但是其政策太广泛,难以
实施。因此,日本可以向美国学习战略和想象力,美国则可以向日本学习有效的草根计划,提升网络安全性。
日本也可以学习美国所进行的网络安全调查研究。日本没有为此特殊用途提供资金,而美国政府在使用研究和发展基金来激励创新方面,历来是有效的,而且建立了有效的技术扩展途径。日本政府必须为其国内网络安全业提供更多资金,而且可以研究美国的经验,学习如何运作。
2.密码系统政策
虽然密码系统政策是信息安全中的一个重要部分,但是美国和日本都没有成文的密码系统政策。事实上,甚至连《美国网络空间评论》都没有讨论密码系统政策。
日本的密码系统政策主要基于1997年经济合作与发展组织推荐的“密码系统政策指导方针”中的原则。直到上个世纪90年代,日本才开始讨论密码系统政策。其原因是从1945年到70年代,日本忙于二次大战后的恢复而中止了密码系统的科学研究。互联网的出现激活了电子商务,电子商务又引发了对非法进入互联网的关注。现代密码系统研究开始于日本的“数据加密标准”(DES)和美国的RSA算法,前者是公共密钥密码体制的原则,而后者是公共密钥密码系统的算法。也就是说,密码系统政策的研究是由讨论密钥回收和保存以及经济合作与发展组织的“密码系统政策指导方针”而引发的。
A.密码系统方法(经济合作与发展组织原则1-4)
日本政府网上服务系统所采用的密码算法是2000年到2003年由密码系统研究和评估委员会(CRYPTREC)选定的。密码系统研究和评估委员会也像美国的国家标准技术研究所一样,采用宣布评估标准的公开选择政策,并引入了来自世界各地的48条提议。密码系统研究和评估委员会对这些提议的算法和其它实际的标准进行了评估。结果,在2003年3月完成了“电子政府推荐的密码表”。在年度报告中正式宣布了选择过程,以确保透明性。
因此,美国和日本的密码算法选择过程同样都是透明和公开的。不过也存在显著的不同,美国将选定的密码算法指定为政府标准密码,而日本则没有。美国政府必须使用“联邦信息处理标准”密码,而日本政府只是推荐选用推荐密码表中的密码。方法的不同反映出的事实是美国的国家标准技术研究所是根据“联邦信息安全管理法案”授权选择密码,而根据日本法律,密码系统研究和评估委员会则缺乏这样的权威性,它只是内务和通信部和经济贸易和工业部管理的一个“专门委员会”。
日本和美国都不强求私有部门使用政府评估的密码系统,但在政府内部使用密码系统的处理方面,两国有所不同。美国政府要求所有政府机构都使用“联邦信息处理标准”密码系统,而日本的“电子政府推荐的密码表”只是供各政府机关参考。虽然密码表很受看重,但是政府机构也可以选择其它的密码系统。
日本研究和开发密码技术的途径也与美国不同。在日本,大学和公司参与密码技术的研究和开发。而像国家先进工业科学和技术研究所那样的国家研究机构,虽然密码技术水平很高,却不参与全国的密码技术的研究和开发。“数据加密标准”和公开密钥密码系统的出现,激励日本的大学、电信公司和供应商重启密码技术的研究。因此,可以说,密码技术的研究和开发既不是政治指导的结果,也不是政府促进所致。在美国,考虑到密码技术关系到国家安全,因此联邦政府领导和推进其研究和开发。很难说美国的研究和开发是完全由市场所推动的。混乱信息函数和密钥沉积密码术就是由国家安全局开发的。
说到标准,两国也不相同。美国的国家标准技术研究所创建了联邦标准,而美国又把该标准推荐给了国际机构,如国际标准化组织。在日本,密码技术的国际标准在密码系统研究和评估委员会评估其安全性以后被“电子政府推荐的密码表”所采用。然而,由于密码系统研究和评估委员会与国际标准化机构之间的合作并不密切,因此日本在这方面的效率就不如美国。还有另外一个因素,有许多高等院校和安全机构涉足日本的密码技术,政府只是其中的一员。因此,很难反映整个行业的意愿,也很难确定政府计划。
B.隐私保护,合法进入和责任(经济合作与发展组织原则5-7)
隐私保护和合法进入从来都是紧张的。2003年,日本按照“个人信息保护法案”,颁布了隐私保护法。法案规定的基本原则如下:“考虑到个人信息应该依据尊重个人人格的理念谨慎处理,必须提倡恰当处理个人信息”。
隐私保护法也说明了国家和地方政府、行政部门和商务部门在处理个人信息方面承担的责任和应该采取的措施。该法律的根据主要是经济合作与发展组织关于保护个人隐私和个人资料的跨境流动的指导方针。在合法进入方面,日本在1999年颁布了“关于犯罪调查的线路窃听法案”。这个法律确定了监听电子通信的要求以及意在保护通信秘密的其它规程。可是,犯罪的电子通信和其它目的的电子通信用任何系统方法都难以监控,因此实际情况是难以说明的。
在日本,监听通信以支持司法调查是合法的,而为得到情报的监听则属非法。学术界已经开始有关后者的讨论。然而,日本要采取措施允许为情报目的的监听通信存在困难,因为国民团体和公众都关心出现监视社会。
下面转到影响资料机密性的政策,此中包括密钥保存和回收政策,作者叙说赞成和反对的理由。美国在二十世纪90年代前期热切希望引入密钥保存/密钥回收政策。克林顿政府派遣一个大使级官员到多个国家负责密码事务,要求那些国家调整其与美国的密钥管理政策。日本也有不少关于密钥保存/密钥回收的讨论,这就是几年前日本颁布“关于犯罪调查的线路窃听法案”的背景。日本公司只是采用密钥保存/密钥回收政策作为一种防范密钥丢失问题的对策。
政府和组织机构从一系列选项中进行选择,将作为涉及最低安全等级要求的密钥管理发展为自身的责任。经济合作与发展组织密码政策指导方针的原则7对于确定个人和组织与国家法规和国际协定一致的责任方面提供了可能的解决方案。这可以看成经济合作与发展组织对于美国密钥管理政策的回应。
C.国际密码系统政策(经济合作与发展组织原则8)
国际密码系统政策包括“关于常规武器和军民两用物资和技术出口的Wassenaar协定”中的出口规则。日本和美国都是协定参与国,因此控制密码技术出口的国家规则是一样的,只是有一个例外。美国实施一条名为“再出口控制”的独特规则。这条规则适用于美国物资和采用原属美国的技术或技术数据生产的外国物资。不管出口商是不是美国实体,这条规则都适用。虽然详细讨论这条规则超出了本文的范围,但是应该注意到,现在除了美国以外的许多国家也在进行密码技术的研发,密码技术的适用范围变得更加广泛了。因此,美国重新考虑使密码技术受制于再出口控制的理论根据,该是时候了。
3.对抗网络僵尸的政策
网络僵尸在互联网上引起了越来越多的关注。网络僵尸侵入并遥控个人用户的计算机,使个人计算机实施诸如发送垃圾邮件、技术诱骗、对特定目标的分布式的阻绝服务攻击和从目标处盗取信息之类的举动。拥有遭网络僵尸感染的个人计算机的用户中,多数都是在对于其计算机发生的事情毫不知情的情况下,被迫变成不知情的中间犯罪媒介,不但变成受害者,也变成害人者。遭网络僵尸感染的个人计算机自动连接到僵尸网络中的指挥和控制服务器。在僵尸网络中,叫做“牧羊人”的恶意指挥者遥控着遭感染的个人计算机。估计在日本的所有宽带互联网用户中,有2%到2.5%,也就是400,000台到500,000台个人计算机感染了网络僵尸。而在全世界,据报道有1,200,000台个人计算机感染了网络僵尸。
由于许多网络僵尸程序都在频繁升级,散布的量越来越多,还由于网络僵尸攻击的程序范围有限,并采用隐身技术,因此采用常规方法消除网络僵尸病毒越来越困难。网络僵尸问题引起了极大关注。
A.日本模式还是美国模式?
日本和美国对于网络僵尸的政策很不一样。在面对网络僵尸威胁的情况下,日本政府于2006年在网络净化中心(Cyber Clean Center)的领导下推出了一个计划,其主要目标是:
采用诱饵个人计算机“蜜罐”收集分析物及其组成元素。
鉴别遭僵尸病毒感染的用户计算机。
向遭感染的计算机用户提供消毒工具。
向防病毒供应商提供收集到的僵尸病毒分析物。
至2009年4月底,收集到的分析物数量为13,788,232份。其中,独特分析物数量为886,144份。迄今为止,已向80,647遭感染的计算机用户发送382,968份提防僵尸病毒的电子邮件。网络净化中心计划在日本成功地减少了僵尸病毒感染。防病毒供应商在其商业版软件中发现了在其病毒模式文件中的僵尸病毒分析物。引入这种基于用户的方法在全世界都是最好的做法之一。
美国防范僵尸病毒的保护方法与日本的做法则大不相同,其对抗僵尸病毒的标准措施是揭露牧羊人和阻断指挥与控制服务器通信。据联邦调查局网站说,他们已经于2007成功地揭露了多个牧羊人。2008年9月,一个拥有指挥与控制服务器的名为Atrivo/Intercage的互联网服务提供商,他的网络被其上级互联网服务提供商关闭。其后,僵尸网络就消失了。一个拥有指挥与控制服务器的名为McColo的互联网服务提供商,因为发送垃圾邮件,他的网络也在11月份被阻断了。从那以后,在全世界,包括日本,僵尸病毒和垃圾邮件也就减少了。抓住牧羊人是从根本上消除僵尸病毒威胁的最好手段,同时关闭运行僵尸网络的指挥与控制服务器具有显著的效果。
然而,由于牧羊人并非总是从与指挥与控制服务器相同的国家向遭僵尸病毒感染的个人计算机发送程序,因此要找到他们就更加困难。实际上,McColo的运营就不在美国。另一件令人头痛的事情就是迅速发现僵尸网络。在McColo的案例中,在其关闭后仅仅两周的时间,发现僵尸病毒和垃圾邮件重新出现了,大概是转向了新的指挥与控制服务器。网络僵尸罪犯能够恢复其攻击的原因非常简单,即使在关闭了其指挥与控制服务器后,数以百万计的遭僵尸病毒感染的个人计算机依然存在。
日本的执法报告对僵尸网络牧羊人和罪犯有着明显不同的作用,同时日本关闭指挥与控制服务器的方法会提高网络攻击和支持僵尸网络的成本,威慑罪犯。对此,研究人员的报告中说:我们详细说明“蜜罐”如何布置来改变非法互联网业者的经济动机。在这个意义上,我们与这些研究人员一致。如果僵尸网络的主人没有指望,亦即维持僵尸网络的麻烦超过其所得的话,与僵尸网络相关的犯罪就会急剧减少。
按照我们的观点,日本的方法比较好,能够减少指挥与控制服务器运营者的经济动机。然而,日本的经验告诉我们其方法不一定是最好的。网络净化中心也碰到了障碍,即使网络净化中心通知了正在遭受僵尸病毒感染的用户,也仅有约30%的遭感染的用户从网络净化中心的网站下载了消毒工具。主要因为僵尸病毒没有对遭感染的用户造成直接损害,不足以激励这些用户去下载消毒工具。
日本的信息技术促进局(IPA)进行了一种基础研究来启发用户的科学和社会行为。媒体的作用也相当重要。当电视新闻报道网络净化中心的活动时,大量用户选择网络净化中心的网站,申请僵尸病毒消毒工具。其结果与阻绝服务攻击相当,不过是产生积极意义。
B.放眼未来—一种综合方法
要减少网络僵尸威胁,需要更为有效的方法。特别是各国应该采取综合方法处理网络僵尸问题。综合方法之所以必要,不但是因为每个国家单独行事,效果不佳,而且还因为网络僵尸攻击者倾向于采用隐身技术。
正如网络净化中心的记录所述,现在牧羊人和攻击者所采用的方法是让个人计算机用户按一定顺序从貌似合法的网站下载其恶意程序中有限的部分,而这些网站事先已经被牧羊人或攻击者所打破。这类攻击方法更难侦查。称为“Web 2.0”的促进信息共享的网络技术,例如P2P搜索引擎,也增加了对付网络僵尸的难度。
国际信息安全界应该预作安排,以保护数据中心,即“云计算”,使之免受网络僵尸攻击。不法之徒可能利用公众所能得到的云,即“公众云”作为指挥和控制服务器。研究人员最近警告说,另外的障碍就是分布式的阻绝服务(DDoS)攻击。这类攻击一般采用大的“僵尸网络”,也就是由黑市上以每星期每具僵尸0.03美元的价格租来的僵尸组成的僵尸网络。
除了云计算障碍以外,我们还关心新的网络僵尸攻击技术的进展,这种攻击技术采用云计算的计算资源。此外,僵尸网络牧羊人也可能实施分布式的阻绝服务攻击来清除作为引人注目的目标的云计算系统。云计算的风潮能够给不法之徒以降低成本、创建新攻击方法和轻松找到目标的机会。因此,不法之徒可能以三种不同的方式享用云计算。
从信息安全的观点来看,如果牧羊人采用云计算的话,安全人员可能会在应用电子学方法分析、预测和发现网络僵尸攻击时碰到困难。其原因是信息是在云计算服务器中进行处理和存储的,而用户甚至于云计算提供商都不知道云计算服务器。中国古代《孙子兵法》中有一句格言,是“知己知彼,百战不殆”。可是,我们进入了一个时代,就是我们难以知道敌人的时代。
要建立一种综合的方法,必须协调国际的法律。必须考虑允许窃听通信的法律来确保信息安全。
通信秘密问题在日本根据“通信业务法”进行处理,非常严格。不过,一些专业人士主张秘密原则应该灵活运用。一些研究人员提议重新审查通信秘密保护的范围,并认为原来“日本宪法”中涉及通信秘密的第21条的起草人没有预计到它的解释如此广泛。
在美国和欧洲,信息处理网络的一些结构特点使网络运营者和执法机构在特殊情况下能够截取信息处理网络中的信息。国际信息安全部门为了与网络僵尸斗争,应该促进全世界的通信截取做法实现标准化。可以预计,美国政府会优先考虑政府和包括互联网服务提供商和反病毒提供商在内的私人部门之间进行合作。奥巴马政府的《网络空间政策评论》就提到:总统的网络安全政策官员与有关部门和机构以及私人部门合作,一起审查已有的公开合作关心和信息共享机制,以求认清和建立最为有效的模式。
《评论》没有特别提到对抗网络僵尸的措施。而日本的经验说明,私人公司愿意实施对抗网络僵尸的措施,以此作为共同的社会责任计划的一部份。
《网络空间政策评论》也强调了与国际社会进行有效合作,说:美国需要发展一种战略,来塑造国际环境并将意向相似的国家聚到一起。……此外,不同国家和地区的法律和做法,例如,涉及调查和起诉网络犯罪的法律,涉及数据保存、保护和私密性的法律,以及网络防卫和回应网络攻击的做法,在达到安全,可靠和有恢复活力的数字环境中存在严重的挑战。
现在是全世界进行合作,应对网络僵尸攻击的时候了。虽然网络僵尸攻击已经遍及全球,但是很明显,国际保护和防卫体制依然是分离的,无组织的。2009年7月通过僵尸网络对美国和韩国的分布式的阻绝服务攻击对我们都很有启发。在这次攻击中,全世界的遭僵尸病毒感染的计算机都被用来作为投送点和攻击点。
为了消除网络僵尸的威胁和阻止全球性的分布式的阻绝服务攻击,必须采取广泛的对抗措施,包括拘捕牧羊人(攻击者和指挥和控制服务器出租人),关闭主持僵尸网络的指挥和控制服务器,在世界范围内净化指挥和控制服务器,以平衡合作的方式定期监视病毒以及建立侦查牧羊人的结构体系和能力。实施这些措施的时候,国际社会的合作是必不可少的。
结论
国家的信息安全政策必须在事后措施、违法调查、业务连续性、国家安全和通信保密性之间达成平衡。政策也必须赢得公众的信任,才能行之有效。迄今为止,包括控制中心、国家信息安全中心、密码系统和反网络僵尸政策在内的日本网络安全系统管理良好,相当有效。美国的网络安全系统也是如此,不过其运作方法有时存在明显差异。
然而,全球社会也看到现在的网络威胁,其方法和数量都与过去不同了。采用恶意和秘密技术的网络间谍活动和网络犯罪,潜在的大规模网络破坏和恐怖主义正在兴起。因此,要在各种日新月异的攻击中保护关键的信息基础设施,坚强的政治领导是至关重要的。
面对这些威胁,有关各方,不管是国际的还是国内的,都应该研究适当范围的合法途径和执法。此外,政府也应该建立系统的方法,在其决策过程中与公众协调,以促进公众的理解和信任。
此外,反网络僵尸的协同行动也为日本和美国提供了一个领导国际合作的良好机会。同时也提供了一个绝好的广泛讨论和解决安全问题和私密性问题的案例研究机会。
作者:Yasuhide Yamada,Atsuhiro Yamagishi 和T.Katsumi(日本)
第二篇:网络信息安全
网络信息安全
信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
●包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
●状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Timestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名
(二)网络信忽安全的目标
1.保密性。保密性是指信息不泄露给非授权人、实休和过程,或供其使用的特性。
2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息
4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
5.可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
网络信息安全面临的问题
1.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。2.黑客攻击手段多样
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。
有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。3.计算机病毒
第三篇:网络信息安全自查报告
网络信息系统安全自查报告
我公司对网络信息安全系统工作一直十分重视,成立了专门的领导小组,建立健全了网络安全保密责任制和有关规章制度,由公司办公室统一管理,各科室负责各自的网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我公司网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密和其他重大安全问题。
一、计算机涉密信息管理情况
今年以来,我公司加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取严格措施,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网实现物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照公司计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我公司配备了防病毒软件、硬件防火墙,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防静电、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我公司每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常、并添加了柴油发电机进行补充。系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我公司网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我公司对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在公司开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全及 我公司对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病毒检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全公司人员学习有关网络知识,提高计算机使用水平,确保预防。
八、安全教育
为保证我公司网络安全有效地运行,减少病毒侵入,我公司就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
九、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)由于近几年网络管理人员变换频繁,造成对于线路规划混乱,近期将利用各种措施进行整理归档。
(二)加强设备维护检查和记录,及时发现问题解决问题。
(三)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
(四)检查中发现,我们对于计算机整体网络和机房的防范措施跟很多成熟的管理单位有差距,今后首先加强意识,然后按照规范进行各种管理。
河南省永联民爆器材股份有限公司
二○一三年八月十五日
第四篇:浅谈如何保障网络信息安全
浅谈如何保障网络信息安全
什么是网络安全呢?网络安全的定义为:计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务的安全和人员管理的安全等几个方面。但总的说来,计算机网络的安全性是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。
一、产生网络安全的问题的几个因素
1、信息网络安全技术的发展滞后于信息网络技术
网络技术的发展可以说是日新月异,新技术、新产品层出不穷,但是这些投入对产品本身的安全性来说,进展不大,有的还在延续第一代产品的安全技术,以Cisco的路由器为例,其低端路由产品从Cisco2500系列到7500系列,其密码加密算法基本一致,仅仅是将数据吞吐能力及数据交换速率提高数倍。还有IPS防御系统等,考虑到经济预算、实际要求等并未采用安全性能最好的产品,从而在硬件条件上落后于网络黑客技术的更新。
2、操作系统及IT业务系统本身的安全性,来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件
目前流行的许多操作系统均存在网络安全漏洞,还有许多数据库软件、office办公软件等都存在系统漏洞,这些漏洞都能为黑客侵入系统所用。而来自外部网络的病毒邮件及web恶意插件主要是是伪装官方邮件或者网站,从而达到利用计算机网络作为自己繁殖和传播的载体及工具。企业很多计算机用户并不太懂电脑的安全使用,安全意识缺乏,计算机系统漏洞不及时修复,计算机密码不经常修改且未符合策略要求,下班后未关闭计算机,这都为网络安全留下了隐患。
3、来自内部网用户的安全威胁以及物理环境安全威胁
来自内部用户的安全威胁远大于外部网用户的安全威胁,特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也没有。再强大的入侵防御系统对于自然灾害、人为破坏都是无可奈何的。
4、缺乏有效的手段监视、评估网络系统的安全性
完整准确的安全评估是网络安全防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有系统漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。如今正在进行的系统划级等保工作,就是对单位内使用的应用系统进行评估预测并作出相对应的防御措施。
5、使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且如果系统设置错误,很容易造成损失。
在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给网络攻击带来可乘之机等,都可能使网络安全机制形同虚设。
那么针对以上越来越多的网络漏洞、网络攻击、信息泄密,我们应该如何着手信息安全工作呢?以下将围绕如何保障企业网络安全环境进行研究,主要从硬件安全、人员管理安全、安全防御系统部署等几个方面进行阐述。
二、网络安全的几点做法和管理方法
1、硬件安全
网络安全的防护中,硬件安全是最基础的也是最简单的。定时检查网络安全以防链路的老化,人为破坏,被动物咬断。及时修复网络设备自身故障。常见的硬件安全保障措施主要有使用UPS电源,以确保网络能够以持续的电压运行;防雷、防水、防火、防盗、防电磁干扰及对存储媒体的安全防护。
2、系统安全
网络设备应使用大小写字母和数字以及特殊符号混合的密码,且安装防病毒软件并及时对系统补丁进行更新,对于不必要的服务及权限尽可能的关闭,对于外来的存储介质一定要先进行病毒查杀后再使用,对于已中病毒或者木马的计算机应该迅速切断网络并进行病毒查杀,必要时重新安装操作系统。
3、防御系统及备份恢复系统
防火墙是网络安全领域首要的、基础的设备,它对维护内部网络的安全起着重要的作用。利用防火墙可以有效地划分网络不同安全级别区域间的边界,并在边界上对不同区域间的访问实施访问控制、身份鉴别和审计等安全功能。入侵检测是防火墙的合理补充,能帮助系统对付网络攻击,提高了信息安全基础结构的完整性。入侵检测系统(IPS)是一种主动保护网络资源的网络安全系统,它从计算机网络中的关键点收集信息,并进行分析,查看网络中是否有违反安全策略的行为和受到攻击的迹象。建立网络监控和恢复系统能够在系统受到攻击时具备继续完成既定任务的能力,可及时发现入侵行为并做出快速、准确的响应,预防同类事件的再发生。在灾难发生后,使用完善的备份机制确保内容的可恢复性,将损失降至最低。
4、安全审计与系统运维
安全审计平台及运维系统是弥补防火墙及IPS不能监控网络内容和已经授权的正常内部网络访问行为,对正常网络访问行为导致的信息泄密事件、网络资源滥用行为(即时通讯、论坛、在线视频、P2P下载、网络游戏等)无能为力的补充,它可以实时了解网内各客户机及服务器出现的情况,存在的异常进程及硬件的改变,系统漏洞补丁的修复情况等等,从而达到起到实时提醒,安全使用计算机。
5、人员管理与制度安全
加强计算机人员安全防范意识,提高人员的安全素质以及健全的规章制度和有效、易于操作的网络安全管理平台是做好网络安全工作的重要条件。行业部分员工缺乏互联网安全意识,对不明来源的软件、网页和邮件等缺乏警惕意识,这些都给网络安全带来了危机。人是信息系统的操作者与管理者,而人又极易受到外部环境的影响,可能因为操作失误等原因造成安全威胁。为此,“防外”应先“安内”,即对行业内部涉密人员加强管理。在人员发生工作调动、提升、免职、退休等时,要做好涉密信息及操作权限的交接工作,加强涉密人员的思想教育和安全业务培训。目前,网络技术飞速发展,企业要不断加强对企业网络管理员和系统管理员的培训,引领他们顺应新形势,学习新技术,提高自身技能。
三、结束语
网络安全与网络的发展戚戚相关。网络系统是一个人机系统,安全保护的对象是网络设备,而安全保护的主体则是人,应重视对计算机网络安全硬件产品的保护,也应注重树立人的网络安全意识,才可能防微杜渐,把可能出现的损失降低到最低点。总之,网络安全是一个系统工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,与科学的网络管理结合在一起,才能生成一个高效、通用、安全的网络系统。
第五篇:网络信息安全论文:网络信息安全浅析
网络信息安全论文:
网络信息安全浅析
摘要:在当今社会,信息、物质、能源一起构成三大支柱资源,而其中的信息资源,对人们来说已不再陌生。随着社会的发展,信息越来越显得重要,信息是一种财富,对经济的繁荣、科技的进步,社会的发展都起着非常重要的作用。同样,对信息的保护也是一件很重要的工作。
关键词:信息资源;信息安全
1.网络信息安全概述
信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.1 网络信息安全的内容
1.1.1 硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
1.1.2 软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效。不被非法复制。
1.1.3 运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
1.1.4 数据安全。即网络中存储及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
2.1 网络信息安全的目标
2.1.1 保密性。保密性是指信息不泄露给非授权人,或供其使用的特性。
2.1.2 完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插入、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
2.1.3 可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。
2.1.4 可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
2.1.5 可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
2.我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
2.1 信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站。但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。根据有关报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2.2 我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱。被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
2.3 信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
2.4 在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
由于我国的经济基础薄弱,在信息产业上的投入还是不足,特别是在核心技术及安全产品的开发生产上缺少有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
3.解决措施
针对我国网络信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
3.1 加强全民信息安全教育,提高警惕性。有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
3.2 发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3.3 创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
3.4 高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
3.5 加强国际防范,创造良好的安全外部环境。必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,加强信息网络安全。
4、结束语
随着网络和计算机技术日新月异地飞速发展,新的安全问题不断产生和变化。因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时要加快网络信息安全技术手段的研究和创新,从
而使网络的信息能安全可靠地为广大用户服务。
点击咨询 