第一篇:日本網絡信息安全架構
日本討論本國網絡安全系統 欲合作清除網絡僵尸
作者:知遠
2010年08月24日12:14
我來說兩句(0)
復制鏈接
打印
大中小
本文說明日本政府的信息安全政策和機構,并希望引起美國政府對于類似的政策和機構的關注。開始,將討論日本的網絡安全系統。然后在第二部分中,將審視一種特殊的信息安全政策,即密碼系統政策,來剖析不同的信息安全政策如何運行。日本實行的密碼系統政策廣泛地采用經濟合作與發展組織(OECD)的“密碼政策指導方針”。對這些指導方針進行討論,重點提出將來密碼系統可能出現的值得國際社會注意的問題。第三部分分析反網絡僵尸(anti-bot)政策。網絡僵尸侵入個人用戶的電腦并對其實施遙控,對互聯網的影響越來越大。網絡僵尸在許多國家都成了實際問題,因此需要進行國際合作。本文最后提議所有有關方面必須確定對通信系統采用適當程度的合法接入。此外,在消除網絡僵尸中進行合作為日本和美國引領國際行動提供了一個良好的機會。
1.日本的網絡安全系統
在研究了日本和美國的總體網絡安全計劃之后,我們的結論是在公眾了解國家的網絡防御,國家安全的政治承諾和政府機構為提升網絡安全性的創新方面,美國優于日本。而在保護個人信息,關注信息安全知識和提升安全意識方面,日本又好像強于美國。本文探究日本在這些方面的情況,并與美國的系統加以比較。
A.組織結構
日本的網絡安全中心是其國家信息安全中心,它是內閣書記處的一部分。國家信息安全中心的主任是三個助理內閣書記長之一,其職責是負責國家安全和應急響應系統。國家安全包括人身安全和網絡安全。有關政策問題由信息安全政策委員會決定,它的主席是內閣秘書長。各個政府機構在信息安全政策委員會的指導下與國家信息安全中心協同,執行有關政策。國家信息安全中心之下的主要政府機構包括內務和通信部,經濟貿易和工業部,國家政策局(National Police Agency)和國防部。
國家信息安全中心的突出地位和領導作用表明了其權威程度。國家信息安全中心建立于2000年,那時叫做信息安全舉措促進辦公室,在2005年機構改革后改為現在的名字。它的地位表明了它的組織作用,但是也意味著在網絡安全議程的優先化中缺乏靈活性。網絡安全像國家退休金計劃和嚴重地震破壞恢復計劃一樣,沒有被列入頭等優先的政治問題。
穩定的組織結構,連續的授權和精干的員工一致努力使得日本的信息安全政策和管理不斷進展。國家信息安全中心的“支柱”人員是信息安全顧問。自從2004年4月設立這個職位以來,Suguru Yamaguchi就一直擔任這個顧問。他的才干證明了他對于國家信息安全中心的重要性,而此前中心只是集合了一幫官僚,有的還不是網絡安全專家。國家信息安全中心在顧問的指導下,承擔著以下職責:(1)解釋復雜的技術問題,(2)將技術和管理問題轉化為政策和指令,(3)協調涉及新網絡安全措施的政治辯論。
將日本的組織結構與美國進行比較,能夠發現一些指導性的差別。美國典型性的組織模式是動態的,而日本的則比較穩定。這一差別可能反映出兩國各自的歷史、文化和社會特點。
可以將國家信息安全中心與其美國的類似機構,即國土安全部的國家網絡安全處(National Cybersecurity Division),作一比較。國家網絡安全處自從2003年建立以來,其行政功能就一直在變化。相比之下,國家信息安全中心則是其任務和規模一直在發展。國家信息安全中心在官僚主義的舞臺上更加
活躍,比較有利于這個領域。因此,國家信息安全中心處理可能的摩擦來保證信息技術的方便性,用戶的私密性,社團事務的連續性以及犯罪調查和國防的需要。
B.網絡安全戰略
2009年1月,日本政府批準了從2009年到2011年的第二個國家信息安全戰略計劃。這個三年計劃包括四個主題:中央和地方政府,關鍵基礎設施,商業團體,和個人。
作為國家信息安全戰略計劃的一部分,日本政府批準了“安全日本2009”。它的212項政策中,四分之一針對改進中央和地方政府。在關于關鍵基礎設施和商業團體的部分,私人企業起行動主體的作用,而政府則提供支持。像美國一樣,關鍵基礎設施為許多私人部門所擁有和運營,而且認為這種公私合作關系是非常重要的。內務和通信部以及經濟貿易和工業部在全國各地設立了草根信息技術安全“課堂”來影響當地非盈利組織機構的工作。這兩個部還開展有效的國家運動來提高安全意識。
相比之下,美國的政策中,許多都集中于加強聯邦政府的網絡安全上,幾乎沒有涉及私有部門的工作。對于美國的網絡安全政策的全面討論超出了本文的范圍,因此,只舉出一個能夠表明美國政策平衡的例子。在前總統喬治W.布什領導下實施了“廣泛的國家網絡安全主動性”(CNCI),它集中于提高聯邦政府的網絡安全能力,只有少數幾項政策是針對非聯邦政府網絡安全的。然而,與美國政策以提升國家高層的能力為目標不同,日本看來更加注重私人活動和全民活動。之所以有這樣的差別,可能的原因是在美國,聯邦政府集中于處理聯邦的問題,而各州政府和地方政府則更為直接地與國民和社團相聯系。相反,日本政府更加傾向于涉及工業和普通民眾。
C.報告和監測
作為執行部門的美國國家標準技術研究所是一個獨立的專門從事標準的機構。根據“聯邦信息安全管理法案”,國家標準技術研究所提供標準,法規和指導方針,而管理和預算辦公室負責監測和報告。檢察長和政府審計總署獨立地執行審計任務。
相比之下,日本把所有這些任務都交給國家信息安全中心。日本國會和行政部門之間的關系可能更具連貫性和有效性的積極作用。但是作者相信,日本政府可以學習美國的職責分離,連續監測和建立一個國家審計機構。
2005年,國家信息安全中心根據國家信息安全戰略計劃為中央政府計算機系統開發了政府信息安全措施標準,并將這些標準分發給所有的日本國家管理部門。這個安全管理目標和實踐的明細表幾乎每年都進行修訂,現在已經是第五版。
國家信息安全中心將一個樣本交給了各個行政部門,并根據此樣本進行衡量和報告。樣本提出36個問題和1個檢查表,檢查表的項目分為10小類和4個方面:計劃、知識共享、執行、以及評估和改進。樣本包括的項目有對信息技術安全管理人員的教育,信息資產表的編制和維護,意外事件處理手冊,等。而后,國家信息安全中心將報告的活動評定為一星級,二星級和三星級。相比之下,美國有一個多層分級系統,各政府部門用來自行報告。
國家信息安全中心確定了幾個“最佳實踐”方面,各個部和局根據國家信息安全中心的樣本,一年一度地向日本信息技術戰略總部報告他們的最佳實踐。這樣,通過報告,監測和標準的連續應用,各個政府部門都有了極大改進,提高了日本政府系統的整體安全水平。
D.小結
在設定標準,監測和報告方面,日本和美國的網絡安全系統由許多相似性。兩國政府的網絡安全的基礎基本相同,但是有意思的是其系統很不一樣。以下為一些特殊見解。
國家信息安全中心一直承擔著改進日本政府各部門網絡安全措施的任務。但是面臨挑戰。中心履行制訂規則、確定制度、監控和評估的職責。在短短的四年時間里,中心的工作導致了生產率的提高。然而,當政府認為因密碼系統和對抗網絡僵尸的目的而合法地進入了私人通信之中的話,會對中心進行檢查。日本和美國可以互相學習對方的方法和經驗。日本頒布了不少政策,采取了不少措施,但缺乏戰略眼光。有人會認為,政府頒布了這么多極度嚴密的政策,要在一定的時間內實施會碰到困難。而另一方面,卻有人會說,美國的政策不夠準確。美國的網絡安全方法是由其戰略所操縱的,但是其政策太廣泛,難以
實施。因此,日本可以向美國學習戰略和想象力,美國則可以向日本學習有效的草根計劃,提升網絡安全性。
日本也可以學習美國所進行的網絡安全調查研究。日本沒有為此特殊用途提供資金,而美國政府在使用研究和發展基金來激勵創新方面,歷來是有效的,而且建立了有效的技術擴展途徑。日本政府必須為其國內網絡安全業提供更多資金,而且可以研究美國的經驗,學習如何運作。
2.密碼系統政策
雖然密碼系統政策是信息安全中的一個重要部分,但是美國和日本都沒有成文的密碼系統政策。事實上,甚至連《美國網絡空間評論》都沒有討論密碼系統政策。
日本的密碼系統政策主要基于1997年經濟合作與發展組織推薦的“密碼系統政策指導方針”中的原則。直到上個世紀90年代,日本才開始討論密碼系統政策。其原因是從1945年到70年代,日本忙于二次大戰后的恢復而中止了密碼系統的科學研究。互聯網的出現激活了電子商務,電子商務又引發了對非法進入互聯網的關注。現代密碼系統研究開始于日本的“數據加密標準”(DES)和美國的RSA算法,前者是公共密鑰密碼體制的原則,而后者是公共密鑰密碼系統的算法。也就是說,密碼系統政策的研究是由討論密鑰回收和保存以及經濟合作與發展組織的“密碼系統政策指導方針”而引發的。
A.密碼系統方法(經濟合作與發展組織原則1-4)
日本政府網上服務系統所采用的密碼算法是2000年到2003年由密碼系統研究和評估委員會(CRYPTREC)選定的。密碼系統研究和評估委員會也像美國的國家標準技術研究所一樣,采用宣布評估標準的公開選擇政策,并引入了來自世界各地的48條提議。密碼系統研究和評估委員會對這些提議的算法和其它實際的標準進行了評估。結果,在2003年3月完成了“電子政府推薦的密碼表”。在年度報告中正式宣布了選擇過程,以確保透明性。
因此,美國和日本的密碼算法選擇過程同樣都是透明和公開的。不過也存在顯著的不同,美國將選定的密碼算法指定為政府標準密碼,而日本則沒有。美國政府必須使用“聯邦信息處理標準”密碼,而日本政府只是推薦選用推薦密碼表中的密碼。方法的不同反映出的事實是美國的國家標準技術研究所是根據“聯邦信息安全管理法案”授權選擇密碼,而根據日本法律,密碼系統研究和評估委員會則缺乏這樣的權威性,它只是內務和通信部和經濟貿易和工業部管理的一個“專門委員會”。
日本和美國都不強求私有部門使用政府評估的密碼系統,但在政府內部使用密碼系統的處理方面,兩國有所不同。美國政府要求所有政府機構都使用“聯邦信息處理標準”密碼系統,而日本的“電子政府推薦的密碼表”只是供各政府機關參考。雖然密碼表很受看重,但是政府機構也可以選擇其它的密碼系統。
日本研究和開發密碼技術的途徑也與美國不同。在日本,大學和公司參與密碼技術的研究和開發。而像國家先進工業科學和技術研究所那樣的國家研究機構,雖然密碼技術水平很高,卻不參與全國的密碼技術的研究和開發。“數據加密標準”和公開密鑰密碼系統的出現,激勵日本的大學、電信公司和供應商重啟密碼技術的研究。因此,可以說,密碼技術的研究和開發既不是政治指導的結果,也不是政府促進所致。在美國,考慮到密碼技術關系到國家安全,因此聯邦政府領導和推進其研究和開發。很難說美國的研究和開發是完全由市場所推動的。混亂信息函數和密鑰沉積密碼術就是由國家安全局開發的。
說到標準,兩國也不相同。美國的國家標準技術研究所創建了聯邦標準,而美國又把該標準推薦給了國際機構,如國際標準化組織。在日本,密碼技術的國際標準在密碼系統研究和評估委員會評估其安全性以后被“電子政府推薦的密碼表”所采用。然而,由于密碼系統研究和評估委員會與國際標準化機構之間的合作并不密切,因此日本在這方面的效率就不如美國。還有另外一個因素,有許多高等院校和安全機構涉足日本的密碼技術,政府只是其中的一員。因此,很難反映整個行業的意愿,也很難確定政府計劃。
B.隱私保護,合法進入和責任(經濟合作與發展組織原則5-7)
隱私保護和合法進入從來都是緊張的。2003年,日本按照“個人信息保護法案”,頒布了隱私保護法。法案規定的基本原則如下:“考慮到個人信息應該依據尊重個人人格的理念謹慎處理,必須提倡恰當處理個人信息”。
隱私保護法也說明了國家和地方政府、行政部門和商務部門在處理個人信息方面承擔的責任和應該采取的措施。該法律的根據主要是經濟合作與發展組織關于保護個人隱私和個人資料的跨境流動的指導方針。在合法進入方面,日本在1999年頒布了“關于犯罪調查的線路竊聽法案”。這個法律確定了監聽電子通信的要求以及意在保護通信秘密的其它規程。可是,犯罪的電子通信和其它目的的電子通信用任何系統方法都難以監控,因此實際情況是難以說明的。
在日本,監聽通信以支持司法調查是合法的,而為得到情報的監聽則屬非法。學術界已經開始有關后者的討論。然而,日本要采取措施允許為情報目的的監聽通信存在困難,因為國民團體和公眾都關心出現監視社會。
下面轉到影響資料機密性的政策,此中包括密鑰保存和回收政策,作者敘說贊成和反對的理由。美國在二十世紀90年代前期熱切希望引入密鑰保存/密鑰回收政策。克林頓政府派遣一個大使級官員到多個國家負責密碼事務,要求那些國家調整其與美國的密鑰管理政策。日本也有不少關于密鑰保存/密鑰回收的討論,這就是幾年前日本頒布“關于犯罪調查的線路竊聽法案”的背景。日本公司只是采用密鑰保存/密鑰回收政策作為一種防范密鑰丟失問題的對策。
政府和組織機構從一系列選項中進行選擇,將作為涉及最低安全等級要求的密鑰管理發展為自身的責任。經濟合作與發展組織密碼政策指導方針的原則7對于確定個人和組織與國家法規和國際協定一致的責任方面提供了可能的解決方案。這可以看成經濟合作與發展組織對于美國密鑰管理政策的回應。
C.國際密碼系統政策(經濟合作與發展組織原則8)
國際密碼系統政策包括“關于常規武器和軍民兩用物資和技術出口的Wassenaar協定”中的出口規則。日本和美國都是協定參與國,因此控制密碼技術出口的國家規則是一樣的,只是有一個例外。美國實施一條名為“再出口控制”的獨特規則。這條規則適用于美國物資和采用原屬美國的技術或技術數據生產的外國物資。不管出口商是不是美國實體,這條規則都適用。雖然詳細討論這條規則超出了本文的范圍,但是應該注意到,現在除了美國以外的許多國家也在進行密碼技術的研發,密碼技術的適用范圍變得更加廣泛了。因此,美國重新考慮使密碼技術受制于再出口控制的理論根據,該是時候了。
3.對抗網絡僵尸的政策
網絡僵尸在互聯網上引起了越來越多的關注。網絡僵尸侵入并遙控個人用戶的計算機,使個人計算機實施諸如發送垃圾郵件、技術誘騙、對特定目標的分布式的阻絕服務攻擊和從目標處盜取信息之類的舉動。擁有遭網絡僵尸感染的個人計算機的用戶中,多數都是在對于其計算機發生的事情毫不知情的情況下,被迫變成不知情的中間犯罪媒介,不但變成受害者,也變成害人者。遭網絡僵尸感染的個人計算機自動連接到僵尸網絡中的指揮和控制服務器。在僵尸網絡中,叫做“牧羊人”的惡意指揮者遙控著遭感染的個人計算機。估計在日本的所有寬帶互聯網用戶中,有2%到2.5%,也就是400,000臺到500,000臺個人計算機感染了網絡僵尸。而在全世界,據報道有1,200,000臺個人計算機感染了網絡僵尸。
由于許多網絡僵尸程序都在頻繁升級,散布的量越來越多,還由于網絡僵尸攻擊的程序范圍有限,并采用隱身技術,因此采用常規方法消除網絡僵尸病毒越來越困難。網絡僵尸問題引起了極大關注。
A.日本模式還是美國模式?
日本和美國對于網絡僵尸的政策很不一樣。在面對網絡僵尸威脅的情況下,日本政府于2006年在網絡凈化中心(Cyber Clean Center)的領導下推出了一個計劃,其主要目標是:
采用誘餌個人計算機“蜜罐”收集分析物及其組成元素。?
鑒別遭僵尸病毒感染的用戶計算機。?
向遭感染的計算機用戶提供消毒工具。?
向防病毒供應商提供收集到的僵尸病毒分析物。?
至2009年4月底,收集到的分析物數量為13,788,232份。其中,獨特分析物數量為886,144份。迄今為止,已向80,647遭感染的計算機用戶發送382,968份提防僵尸病毒的電子郵件。網絡凈化中心計劃在日本成功地減少了僵尸病毒感染。防病毒供應商在其商業版軟件中發現了在其病毒模式文件中的僵尸病毒分析物。引入這種基于用戶的方法在全世界都是最好的做法之一。
美國防范僵尸病毒的保護方法與日本的做法則大不相同,其對抗僵尸病毒的標準措施是揭露牧羊人和阻斷指揮與控制服務器通信。據聯邦調查局網站說,他們已經于2007成功地揭露了多個牧羊人。2008年9月,一個擁有指揮與控制服務器的名為Atrivo/Intercage的互聯網服務提供商,他的網絡被其上級互聯網服務提供商關閉。其后,僵尸網絡就消失了。一個擁有指揮與控制服務器的名為McColo的互聯網服務提供商,因為發送垃圾郵件,他的網絡也在11月份被阻斷了。從那以后,在全世界,包括日本,僵尸病毒和垃圾郵件也就減少了。抓住牧羊人是從根本上消除僵尸病毒威脅的最好手段,同時關閉運行僵尸網絡的指揮與控制服務器具有顯著的效果。
然而,由于牧羊人并非總是從與指揮與控制服務器相同的國家向遭僵尸病毒感染的個人計算機發送程序,因此要找到他們就更加困難。實際上,McColo的運營就不在美國。另一件令人頭痛的事情就是迅速發現僵尸網絡。在McColo的案例中,在其關閉后僅僅兩周的時間,發現僵尸病毒和垃圾郵件重新出現了,大概是轉向了新的指揮與控制服務器。網絡僵尸罪犯能夠恢復其攻擊的原因非常簡單,即使在關閉了其指揮與控制服務器后,數以百萬計的遭僵尸病毒感染的個人計算機依然存在。
日本的執法報告對僵尸網絡牧羊人和罪犯有著明顯不同的作用,同時日本關閉指揮與控制服務器的方法會提高網絡攻擊和支持僵尸網絡的成本,威懾罪犯。對此,研究人員的報告中說:我們詳細說明“蜜罐”如何布置來改變非法互聯網業者的經濟動機。在這個意義上,我們與這些研究人員一致。如果僵尸網絡的主人沒有指望,亦即維持僵尸網絡的麻煩超過其所得的話,與僵尸網絡相關的犯罪就會急劇減少。
按照我們的觀點,日本的方法比較好,能夠減少指揮與控制服務器運營者的經濟動機。然而,日本的經驗告訴我們其方法不一定是最好的。網絡凈化中心也碰到了障礙,即使網絡凈化中心通知了正在遭受僵尸病毒感染的用戶,也僅有約30%的遭感染的用戶從網絡凈化中心的網站下載了消毒工具。主要因為僵尸病毒沒有對遭感染的用戶造成直接損害,不足以激勵這些用戶去下載消毒工具。
日本的信息技術促進局(IPA)進行了一種基礎研究來啟發用戶的科學和社會行為。媒體的作用也相當重要。當電視新聞報道網絡凈化中心的活動時,大量用戶選擇網絡凈化中心的網站,申請僵尸病毒消毒工具。其結果與阻絕服務攻擊相當,不過是產生積極意義。
B.放眼未來—一種綜合方法
要減少網絡僵尸威脅,需要更為有效的方法。特別是各國應該采取綜合方法處理網絡僵尸問題。綜合方法之所以必要,不但是因為每個國家單獨行事,效果不佳,而且還因為網絡僵尸攻擊者傾向于采用隱身技術。
正如網絡凈化中心的記錄所述,現在牧羊人和攻擊者所采用的方法是讓個人計算機用戶按一定順序從貌似合法的網站下載其惡意程序中有限的部分,而這些網站事先已經被牧羊人或攻擊者所打破。這類攻擊方法更難偵查。稱為“Web 2.0”的促進信息共享的網絡技術,例如P2P搜索引擎,也增加了對付網絡僵尸的難度。
國際信息安全界應該預作安排,以保護數據中心,即“云計算”,使之免受網絡僵尸攻擊。不法之徒可能利用公眾所能得到的云,即“公眾云”作為指揮和控制服務器。研究人員最近警告說,另外的障礙就是分布式的阻絕服務(DDoS)攻擊。這類攻擊一般采用大的“僵尸網絡”,也就是由黑市上以每星期每具僵尸0.03美元的價格租來的僵尸組成的僵尸網絡。
除了云計算障礙以外,我們還關心新的網絡僵尸攻擊技術的進展,這種攻擊技術采用云計算的計算資源。此外,僵尸網絡牧羊人也可能實施分布式的阻絕服務攻擊來清除作為引人注目的目標的云計算系統。云計算的風潮能夠給不法之徒以降低成本、創建新攻擊方法和輕松找到目標的機會。因此,不法之徒可能以三種不同的方式享用云計算。
從信息安全的觀點來看,如果牧羊人采用云計算的話,安全人員可能會在應用電子學方法分析、預測和發現網絡僵尸攻擊時碰到困難。其原因是信息是在云計算服務器中進行處理和存儲的,而用戶甚至于云計算提供商都不知道云計算服務器。中國古代《孫子兵法》中有一句格言,是“知己知彼,百戰不殆”。可是,我們進入了一個時代,就是我們難以知道敵人的時代。
要建立一種綜合的方法,必須協調國際的法律。必須考慮允許竊聽通信的法律來確保信息安全。
通信秘密問題在日本根據“通信業務法”進行處理,非常嚴格。不過,一些專業人士主張秘密原則應該靈活運用。一些研究人員提議重新審查通信秘密保護的范圍,并認為原來“日本憲法”中涉及通信秘密的第21條的起草人沒有預計到它的解釋如此廣泛。
在美國和歐洲,信息處理網絡的一些結構特點使網絡運營者和執法機構在特殊情況下能夠截取信息處理網絡中的信息。國際信息安全部門為了與網絡僵尸斗爭,應該促進全世界的通信截取做法實現標準化。可以預計,美國政府會優先考慮政府和包括互聯網服務提供商和反病毒提供商在內的私人部門之間進行合作。奧巴馬政府的《網絡空間政策評論》就提到:總統的網絡安全政策官員與有關部門和機構以及私人部門合作,一起審查已有的公開合作關心和信息共享機制,以求認清和建立最為有效的模式。
《評論》沒有特別提到對抗網絡僵尸的措施。而日本的經驗說明,私人公司愿意實施對抗網絡僵尸的措施,以此作為共同的社會責任計劃的一部份。
《網絡空間政策評論》也強調了與國際社會進行有效合作,說:美國需要發展一種戰略,來塑造國際環境并將意向相似的國家聚到一起。……此外,不同國家和地區的法律和做法,例如,涉及調查和起訴網絡犯罪的法律,涉及數據保存、保護和私密性的法律,以及網絡防衛和回應網絡攻擊的做法,在達到安全,可靠和有恢復活力的數字環境中存在嚴重的挑戰。
現在是全世界進行合作,應對網絡僵尸攻擊的時候了。雖然網絡僵尸攻擊已經遍及全球,但是很明顯,國際保護和防衛體制依然是分離的,無組織的。2009年7月通過僵尸網絡對美國和韓國的分布式的阻絕服務攻擊對我們都很有啟發。在這次攻擊中,全世界的遭僵尸病毒感染的計算機都被用來作為投送點和攻擊點。
為了消除網絡僵尸的威脅和阻止全球性的分布式的阻絕服務攻擊,必須采取廣泛的對抗措施,包括拘捕牧羊人(攻擊者和指揮和控制服務器出租人),關閉主持僵尸網絡的指揮和控制服務器,在世界范圍內凈化指揮和控制服務器,以平衡合作的方式定期監視病毒以及建立偵查牧羊人的結構體系和能力。實施這些措施的時候,國際社會的合作是必不可少的。
結論
國家的信息安全政策必須在事后措施、違法調查、業務連續性、國家安全和通信保密性之間達成平衡。政策也必須贏得公眾的信任,才能行之有效。迄今為止,包括控制中心、國家信息安全中心、密碼系統和反網絡僵尸政策在內的日本網絡安全系統管理良好,相當有效。美國的網絡安全系統也是如此,不過其運作方法有時存在明顯差異。
然而,全球社會也看到現在的網絡威脅,其方法和數量都與過去不同了。采用惡意和秘密技術的網絡間諜活動和網絡犯罪,潛在的大規模網絡破壞和恐怖主義正在興起。因此,要在各種日新月異的攻擊中保護關鍵的信息基礎設施,堅強的政治領導是至關重要的。
面對這些威脅,有關各方,不管是國際的還是國內的,都應該研究適當范圍的合法途徑和執法。此外,政府也應該建立系統的方法,在其決策過程中與公眾協調,以促進公眾的理解和信任。
此外,反網絡僵尸的協同行動也為日本和美國提供了一個領導國際合作的良好機會。同時也提供了一個絕好的廣泛討論和解決安全問題和私密性問題的案例研究機會。
作者:Yasuhide Yamada,Atsuhiro Yamagishi 和T.Katsumi(日本)
第二篇:網絡信息安全
網絡信息安全
信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護,以實現電子信息的保密性、完整性、可用性和可控性。當今信息時代,計算機網絡已經成為一種不可缺少的信息交換工具。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅,必須考慮信息的安全這個至關重要的問題。
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率。信息安全則主要是指數據安全,包括數據加密、備份、程序等。
1.硬件安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害,能夠正常工作。
2.軟件安全。即計算機及其網絡中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
3.運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測,發現不安全因素能及時報警并采取措施改變不安全狀態,保障網絡系統正常運行。
4.數據安全。即網絡中存儲及流通數據的女全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。
1.防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現,而專用防火墻提供更加可靠的網絡安全控制方法。
防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉發所有的信息,然后再逐項剔除有害的內容,被禁止的內容越多,防火墻的作用就越大。網絡是動態發展的,安全策略的制定不應建立在靜態的基礎之上。在制定防火墻安全規則時,應符合“可適應性的安全管理”模型的原則,即:安全=風險分析+執行策略+系統實施+漏洞監測+實時響應。防火墻技術主要有以下三類:
●包過濾技術(Packct Filtering)。它一般用在網絡層,主要根據防火墻系統所收到的每個數據包的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包中的各種標志位來進行判定,根據系統設定的安全策略來決定是否讓數據包通過,其核心就是安全策略,即過濾算法的設計。
●代理(Proxy)服務技術。它用來提供應用層服務的控制,起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受代理提出的服務請求,拒絕外部網絡其它節點的直接請求。運行代理服務的主機被稱為應用機關。代理服務還可以用于實施較強的數據流監控、過濾、記錄等功能。
●狀態監控(Statc Innspection)技術。它是一種新的防火墻技術。在網絡層完成所有必要的防火墻功能——包過濾與網絡服務代理。目前最有效的實現方法是采用 Check Point)提出的虛擬機方式(Inspect Virtual Machine)。
防火墻技術的優點很多,一是通過過濾不安全的服務,極大地提高網絡安全和減少子網中主機的風險;二是可以提供對系統的訪問控制;三是可以阻擊攻擊者獲取攻擊網絡系統的有用信息;四是防火墻還可以記錄與統計通過它的網絡通信,提供關于網絡使用的統計數據,根據統計數據來判斷可能的攻擊和探測;五是防火墻提供制定與執行網絡安全策略的手段,它可以對企業內部網實現集中的安全管理。
防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經不起人為因素的攻擊。由于防火墻對網絡安全實施單點控制,因此可能受到黑客的攻擊;三是防火墻不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網絡不受病毒的攻擊。
2.加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據,稱為解密。
密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小,加密速度快,弱點是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數學函數——單向陷門函數,即從一個方向求值是容易的,但其逆向計算卻很困難,從而在實際上成為不可能。
除了密鑰加密技術外,還有數據加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密;二是節點加密技術。節點加密是指對存儲在節點內的文件和數據庫信息進行的加密保護。
3.數字簽名技術。數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
在書面文件上簽名是確認文件的一種手段,其作用有兩點,一是因為自己的簽名難以否認,從而確認文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面簽名有相同相通之處,也能確認兩點,一是信息是由簽名者發送的,二是信息自簽發后到收到為止未曾做過任何修改。這樣,數字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發送信息;發出(收到)信件后又加以否認。
廣泛應用的數字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中一個是公開的,另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌里,網上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數字簽名是由美國政府頒布實施的,主要用于跟美國做生意的公司。它只是一個簽名系統,而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數字簽名方法,跟單獨簽名的RSA數字簽名不同,它是將數字簽名和要發送的信息捆在一起,所以更適合電子商務。
4.數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(Digita Timestamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名
(二)網絡信忽安全的目標
1.保密性。保密性是指信息不泄露給非授權人、實休和過程,或供其使用的特性。
2.完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
3.可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息
4.可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
5.可審查性。在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
網絡信息安全面臨的問題
1.網絡協議和軟件的安全缺陷
因特網的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙:大多數因特網上的流量是沒有加密的,電子郵件口令、文件傳輸很容易被監聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題,這很容易被一些對TCP/IP十分了解的人所利用,一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略:許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被內部人員濫用,黑客從一些服務中可以獲得有用的信息,而網絡維護人員卻不知道應該禁止這種服務。配置的復雜性:訪問控制的配置一般十分復雜,所以很容易被錯誤配置,從而給黑客以可乘之機。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現在,銀行之間在專用網上傳輸數據所用的協議都是保密的,這樣就可以有效地防止入侵。當然,人們不能把TCP/IP和其實現代碼保密,這樣不利于TCP/IP網絡的發展。2.黑客攻擊手段多樣
進人2006年以來,網絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法,用形同互聯網黃頁的域名系統服務器來發動攻擊,擾亂在線商務。寬帶網絡條件下,常見的拒絕服務攻擊方式主要有兩種,一是網絡黑客蓄意發動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網絡流量急速提高,導致網絡設備崩潰,或者造成網絡鏈路的不堪負重。
調查資料顯示,2006年初發現企業的系統承受的攻擊規模甚于以往,而且來源不是被綁架的“僵尸”電腦,而是出自于域名系統(DNS)服務器。一旦成為DDOS攻擊的目標,目標系統不論是網頁服務器、域名服務器,還是電子郵件服務器,都會被網絡上四面八方的系統傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統正常的信息處理,借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網絡,把大量的查詢要求傳至開放的DNS服務器,這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的,因此DNS服務器會把回應信息傳到那個網址。
美國司法部的一項調查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權用戶或設備的數據。在傳統的用戶身份認證環境下,外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網絡,即使最嚴密的用戶認證保護系統也很難保護網絡安全。另外,由于企業員工可以通過任何一臺未經確認和處理的設備,以有效合法的個人身份憑證進入網絡,使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘,嚴重威脅網絡系統的安全。
有資料顯示,最近拉美國家的網絡詐騙活動增多,作案手段先進。犯罪活動已經從“現實生活轉入虛擬世界”,網上詐騙活動日益增多。3.計算機病毒
第三篇:網絡信息安全自查報告
網絡信息系統安全自查報告
我公司對網絡信息安全系統工作一直十分重視,成立了專門的領導小組,建立健全了網絡安全保密責任制和有關規章制度,由公司辦公室統一管理,各科室負責各自的網絡信息安全工作。嚴格落實有關網絡信息安全保密方面的各項規定,采取了多種措施防范安全保密有關事件的發生,總體上看,我公司網絡信息安全保密工作做得比較扎實,效果也比較好,近年來未發現失泄密和其他重大安全問題。
一、計算機涉密信息管理情況
今年以來,我公司加強組織領導,強化宣傳教育,落實工作責任,加強日常監督檢查,將涉密計算機管理抓在手上。對于計算機磁介質(軟盤、U盤、移動硬盤等)的管理,采取嚴格措施,形成了良好的安全保密環境。對涉密計算機(含筆記本電腦)實行了與國際互聯網及其他公共信息網實現物理隔離,并按照有關規定落實了保密措施,到目前為止,未發生一起計算機失密、泄密事故;其他非涉密計算機(含筆記本電腦)及網絡使用,也嚴格按照公司計算機保密信息系統管理辦法落實了有關措施,確保了機關信息安全。
二、計算機和網絡安全情況
一是網絡安全方面。我公司配備了防病毒軟件、硬件防火墻,采用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。
二是信息系統安全方面實行領導審查簽字制度。凡上傳網站的信息,須經有關領導審查簽字后方可上傳;二是開展經常性安全檢查,主要對SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統管理權限開放情況、訪問權限開放情況、網頁篡改情況等進行監管,認真做好系統安全日記。
三是日常管理方面切實抓好外網、網站和應用軟件“五層管理”,確保“涉密計算機不上網,上網計算機不涉密”,嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防靜電、防盜和電源連接等;二是網絡安全,包括網絡結構、安全日志管理、密碼管理、IP管理、互聯網行為管理等;三是應用安全,包括網站、郵件系統、資源庫管理、軟件管理等。
三、硬件設備使用合理,軟件設置規范,設備運行狀況良好。
我公司每臺終端機都安裝了防病毒軟件,系統相關設備的應用一直采取規范化管理,硬件設備的使用符合國家相關產品質量安全規定,單位硬件的運行環境符合要求,打印機配件、色帶架等基本使用設備原裝產品;防雷地線正常,對于有問題的防雷插座已進行更換,防雷設備運行基本穩定,沒有出現雷擊事故;UPS運轉正常、并添加了柴油發電機進行補充。系統安全有效,暫未出現任何安全隱患。
四、通訊設備運轉正常
我公司網絡系統的組成結構及其配置合理,并符合有關的安全規定;網絡使用的各種硬件設備、軟件和網絡接口也是通過安全檢驗、鑒定合格后才投入使用的,自安裝以來運轉基本正常。
五、嚴格管理、規范設備維護
我公司對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化信息安全教育、提高員工計算機技能。同時在公司開展網絡安全知識宣傳,使全體人員意識到了,計算機安全保護是“三防一保”工作的有機組成部分。而且在新形勢下,計算機犯罪還將成為安全保衛工作的重要內容。在設備維護方面,專門設置了網絡設備故障登記簿、計算機維護及維修表對于設備故障和維護情況屬實登記,并及時處理。對外來維護人員,要求有相關人員陪同,并對其身份和處理情況進行登記,規范設備的維護和管理。
六、網站安全及 我公司對網站安全方面有相關要求,一是使用專屬權限密碼鎖登陸后臺;二是上傳文件提前進行病毒檢測;三是網站分模塊分權限進行維護,定期進后臺清理垃圾文件;四是網站更新專人負責。
七、安全制度制定落實情況
為確保計算機網絡安全、實行了網絡專管員制度、計算機安全保密制度、網站安全管理制度、網絡信息安全突發事件應急預案等以有效提高管理員的工作效率。同時我公司結合自身情況制定計算機系統安全自查工作制度,做到四個確保:一是系統管理員于每周五定期檢查中心計算機系統,確保無隱患問題;二是制作安全檢查工作記錄,確保工作落實;三是實行領導定期詢問制度,由系統管理員匯報計算機使用情況,確保情況隨時掌握;四是定期組織全公司人員學習有關網絡知識,提高計算機使用水平,確保預防。
八、安全教育
為保證我公司網絡安全有效地運行,減少病毒侵入,我公司就網絡安全及系統安全的有關知識進行了培訓。期間,大家對實際工作中遇到的計算機方面的有關問題進行了詳細的咨詢,并得到了滿意的答復。
九、自查存在的問題及整改意見
我們在管理過程中發現了一些管理方面存在的薄弱環節,今后我們還要在以下幾個方面進行改進。
(一)由于近幾年網絡管理人員變換頻繁,造成對于線路規劃混亂,近期將利用各種措施進行整理歸檔。
(二)加強設備維護檢查和記錄,及時發現問題解決問題。
(三)自查中發現個別人員計算機安全意識不強。在以后的工作中,我們將繼續加強計算機安全意識教育和防范技能訓練,讓員工充分認識到計算機案件的嚴重性。人防與技防結合,確實做好單位的網絡安全工作。
(四)檢查中發現,我們對于計算機整體網絡和機房的防范措施跟很多成熟的管理單位有差距,今后首先加強意識,然后按照規范進行各種管理。
河南省永聯民爆器材股份有限公司
二○一三年八月十五日
第四篇:淺談如何保障網絡信息安全
淺談如何保障網絡信息安全
什么是網絡安全呢?網絡安全的定義為:計算機系統的硬件、軟件、數據受到保護,不因偶然的或惡意的原因而遭到破壞、更改、顯露,系統能連續正常運行。”因此,所謂網絡安全就是指基于網絡的互聯互通和運作而涉及的物理線路和連接的安全,網絡系統的安全,操作系統的安全,應用服務的安全和人員管理的安全等幾個方面。但總的說來,計算機網絡的安全性是由數據的安全性、通信的安全性和管理人員的安全意識三部分組成。
一、產生網絡安全的問題的幾個因素
1、信息網絡安全技術的發展滯后于信息網絡技術
網絡技術的發展可以說是日新月異,新技術、新產品層出不窮,但是這些投入對產品本身的安全性來說,進展不大,有的還在延續第一代產品的安全技術,以Cisco的路由器為例,其低端路由產品從Cisco2500系列到7500系列,其密碼加密算法基本一致,僅僅是將數據吞吐能力及數據交換速率提高數倍。還有IPS防御系統等,考慮到經濟預算、實際要求等并未采用安全性能最好的產品,從而在硬件條件上落后于網絡黑客技術的更新。
2、操作系統及IT業務系統本身的安全性,來自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件
目前流行的許多操作系統均存在網絡安全漏洞,還有許多數據庫軟件、office辦公軟件等都存在系統漏洞,這些漏洞都能為黑客侵入系統所用。而來自外部網絡的病毒郵件及web惡意插件主要是是偽裝官方郵件或者網站,從而達到利用計算機網絡作為自己繁殖和傳播的載體及工具。企業很多計算機用戶并不太懂電腦的安全使用,安全意識缺乏,計算機系統漏洞不及時修復,計算機密碼不經常修改且未符合策略要求,下班后未關閉計算機,這都為網絡安全留下了隱患。
3、來自內部網用戶的安全威脅以及物理環境安全威脅
來自內部用戶的安全威脅遠大于外部網用戶的安全威脅,特別是一些安裝了防火墻的網絡系統,對內部網用戶來說一點作用也沒有。再強大的入侵防御系統對于自然災害、人為破壞都是無可奈何的。
4、缺乏有效的手段監視、評估網絡系統的安全性
完整準確的安全評估是網絡安全防范體系的基礎。它對現有或將要構建的整個網絡的安全防護性能作出科學、準確的分析評估,并保障將要實施的安全策略技術上的可實現性、經濟上的可行性和組織上的可執行性。網絡安全評估分析就是對網絡進行檢查,查找其中是否有系統漏洞,對系統安全狀況進行評估、分析,并對發現的問題提出建議從而提高網絡系統安全性能的過程。如今正在進行的系統劃級等保工作,就是對單位內使用的應用系統進行評估預測并作出相對應的防御措施。
5、使用者缺乏安全意識,許多應用服務系統在訪問控制及安全通信方面考慮較少,并且如果系統設置錯誤,很容易造成損失。
在一個安全設計充分的網絡中,人為因素造成的安全漏洞無疑是整個網絡安全性的最大隱患。網絡管理員或網絡用戶都擁有相應的權限,利用這些權限破壞網絡安全的隱患也是存在的。如操作口令的泄漏,磁盤上的機密文件被人利用,臨時文件未及時刪除而被竊取,內部人員有意無意的泄漏給網絡攻擊帶來可乘之機等,都可能使網絡安全機制形同虛設。
那么針對以上越來越多的網絡漏洞、網絡攻擊、信息泄密,我們應該如何著手信息安全工作呢?以下將圍繞如何保障企業網絡安全環境進行研究,主要從硬件安全、人員管理安全、安全防御系統部署等幾個方面進行闡述。
二、網絡安全的幾點做法和管理方法
1、硬件安全
網絡安全的防護中,硬件安全是最基礎的也是最簡單的。定時檢查網絡安全以防鏈路的老化,人為破壞,被動物咬斷。及時修復網絡設備自身故障。常見的硬件安全保障措施主要有使用UPS電源,以確保網絡能夠以持續的電壓運行;防雷、防水、防火、防盜、防電磁干擾及對存儲媒體的安全防護。
2、系統安全
網絡設備應使用大小寫字母和數字以及特殊符號混合的密碼,且安裝防病毒軟件并及時對系統補丁進行更新,對于不必要的服務及權限盡可能的關閉,對于外來的存儲介質一定要先進行病毒查殺后再使用,對于已中病毒或者木馬的計算機應該迅速切斷網絡并進行病毒查殺,必要時重新安裝操作系統。
3、防御系統及備份恢復系統
防火墻是網絡安全領域首要的、基礎的設備,它對維護內部網絡的安全起著重要的作用。利用防火墻可以有效地劃分網絡不同安全級別區域間的邊界,并在邊界上對不同區域間的訪問實施訪問控制、身份鑒別和審計等安全功能。入侵檢測是防火墻的合理補充,能幫助系統對付網絡攻擊,提高了信息安全基礎結構的完整性。入侵檢測系統(IPS)是一種主動保護網絡資源的網絡安全系統,它從計算機網絡中的關鍵點收集信息,并進行分析,查看網絡中是否有違反安全策略的行為和受到攻擊的跡象。建立網絡監控和恢復系統能夠在系統受到攻擊時具備繼續完成既定任務的能力,可及時發現入侵行為并做出快速、準確的響應,預防同類事件的再發生。在災難發生后,使用完善的備份機制確保內容的可恢復性,將損失降至最低。
4、安全審計與系統運維
安全審計平臺及運維系統是彌補防火墻及IPS不能監控網絡內容和已經授權的正常內部網絡訪問行為,對正常網絡訪問行為導致的信息泄密事件、網絡資源濫用行為(即時通訊、論壇、在線視頻、P2P下載、網絡游戲等)無能為力的補充,它可以實時了解網內各客戶機及服務器出現的情況,存在的異常進程及硬件的改變,系統漏洞補丁的修復情況等等,從而達到起到實時提醒,安全使用計算機。
5、人員管理與制度安全
加強計算機人員安全防范意識,提高人員的安全素質以及健全的規章制度和有效、易于操作的網絡安全管理平臺是做好網絡安全工作的重要條件。行業部分員工缺乏互聯網安全意識,對不明來源的軟件、網頁和郵件等缺乏警惕意識,這些都給網絡安全帶來了危機。人是信息系統的操作者與管理者,而人又極易受到外部環境的影響,可能因為操作失誤等原因造成安全威脅。為此,“防外”應先“安內”,即對行業內部涉密人員加強管理。在人員發生工作調動、提升、免職、退休等時,要做好涉密信息及操作權限的交接工作,加強涉密人員的思想教育和安全業務培訓。目前,網絡技術飛速發展,企業要不斷加強對企業網絡管理員和系統管理員的培訓,引領他們順應新形勢,學習新技術,提高自身技能。
三、結束語
網絡安全與網絡的發展戚戚相關。網絡系統是一個人機系統,安全保護的對象是網絡設備,而安全保護的主體則是人,應重視對計算機網絡安全硬件產品的保護,也應注重樹立人的網絡安全意識,才可能防微杜漸,把可能出現的損失降低到最低點。總之,網絡安全是一個系統工程,不能僅僅依靠防火墻等單個的系統,而需要仔細考慮系統的安全需求,并將各種安全技術結合在一起,與科學的網絡管理結合在一起,才能生成一個高效、通用、安全的網絡系統。
第五篇:網絡信息安全論文:網絡信息安全淺析
網絡信息安全論文:
網絡信息安全淺析
摘要:在當今社會,信息、物質、能源一起構成三大支柱資源,而其中的信息資源,對人們來說已不再陌生。隨著社會的發展,信息越來越顯得重要,信息是一種財富,對經濟的繁榮、科技的進步,社會的發展都起著非常重要的作用。同樣,對信息的保護也是一件很重要的工作。
關鍵詞:信息資源;信息安全
1.網絡信息安全概述
信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護,以實現電子信息的保密性、完整性、可用性和可控性。當今信息時代,計算機網絡已經成為一種不可缺少的信息交換工具。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅,必須考慮信息的安全這個至關重要的問題。
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率。信息安全則主要是指數據安全,包括數據加密、備份、程序等。
1.1 網絡信息安全的內容
1.1.1 硬件安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害,能夠正常工作。
1.1.2 軟件安全。即計算機及其網絡中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效。不被非法復制。
1.1.3 運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測,發現不安全因素能及時報警并采取措施改變不安全狀態,保障網絡系統正常運行。
1.1.4 數據安全。即網絡中存儲及流通數據的安全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。
2.1 網絡信息安全的目標
2.1.1 保密性。保密性是指信息不泄露給非授權人,或供其使用的特性。
2.1.2 完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插入、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
2.1.3 可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息。
2.1.4 可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
2.1.5 可審查性。在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
2.我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
2.1 信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站。但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。根據有關報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2.2 我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱。被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
2.3 信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
2.4 在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
由于我國的經濟基礎薄弱,在信息產業上的投入還是不足,特別是在核心技術及安全產品的開發生產上缺少有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
3.解決措施
針對我國網絡信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
3.1 加強全民信息安全教育,提高警惕性。有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
3.2 發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3.3 創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
3.4 高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
3.5 加強國際防范,創造良好的安全外部環境。必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,加強信息網絡安全。
4、結束語
隨著網絡和計算機技術日新月異地飛速發展,新的安全問題不斷產生和變化。因此網絡信息的安全必須依靠不斷創新的技術進步與應用、自身管理制度的不斷完善和加強、網絡工作人員素質的不斷提高等措施來保障。同時要加快網絡信息安全技術手段的研究和創新,從
而使網絡的信息能安全可靠地為廣大用戶服務。
點擊咨詢 