网络信息资源管理安全问题新探讨,本文主要内容关键词为:信息资源论文,安全问题论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号 G203文献标识码 A文章编号 1007-7634(2003)09-0942-05
1 网络信息资源的特点和分类
网络信息资源是指一切投入到互联网络的电子化信息资源的统称,它具有与传统的信息资源不同的鲜明特点:①数量庞大、增长迅速;②内容丰富、覆盖面广;③传输速度快;④共享程度高;⑤使用成本低;⑥变化频繁、难测;⑦质量良莠不齐等等。正是这些特点使得网络信息资源在信息时代中占有很重要的地位,我们可以说无所不在的网络信息资源的充分利用进一步的促进了信息时代的发展,但是它在带给人们充分的信息价值的同时也产生了一系列的问题,比如虚假信息的发布导致的网络信息资源的失真性、黑客的攻击导致的一些机密信息的泄漏等等,因此如何更好的解决网络信息资源使用的安全问题显得日益重要。
网络信息资源的分类很多,从对网络信息资源的可使用程度以及网络信息资源的安全级别划分可以将它分为三类:①完全公开的信息资源:这一类信息资源每个用户均可使用,例如各类网站发布的新闻和可以通过免费注册而获得的信息等等;②半公开的信息资源:这一类信息资源可以有条件的获得,比如通过注册以后通过缴纳一定的费用才可以获得的较有价值的符合你自己需要的信息资源等等;③不对外公开的信息资源(机密信息资源):这一类信息资源只提供给有限的具有一定使用权限的高级用户使用,例如各军事机构和跨国公司等等内部的通过网络交流的机密情报和信息等等。对于以上三类网络信息资源均面临着不同的安全问题,都需要通过一定的措施来保证信息的准确性、完整性和实时性。
2 网络信息资源所面临的安全问题
由于通过网络所获信息资源时是在一个协同计算环境(由相应联网的、用户透明的计算机组成的一种计算环境)中进行的,也就是在一个开放的网络环境下进行的。该环境中可以容纳不同厂家生产的不同类型的计算机,同时可容纳不同的操作系统和数据库等,而在这种环境中用户可以方便的存取网络上任何地方的信息,充分利用系统资源获得最大的网络信息,但是由此也产生了一系列的更为复杂安全威胁。
2.1 安全因素
网络信息资源管理所面临的安全问题主要由保密性、数据完整性、可靠性、即需性等几个安全因素所引起。其中保密性是指防止未授权的数据暴露并确保数据源的可靠性;数据完整性是指防止未经授权的数据修改,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃听者肯定能阅读此信息;即需性是防止延迟或拒绝服务,从而使所要获得的某些信息能够即时获得,防止因为时间的延迟而导致的信息实效。
2.2 安全威胁
从获取网络信息资源的整个环节来看,面临的安全问题包括客户机、在通信信道上传输的消息、WWW和网络服务器(包括服务器端所有的硬件)三个环节上产生的各个安全威胁,不管怎么说由于不同的安全因素可能导致不同的安全威胁。例如对保密性的安全威胁是指某人看到了他不应该看到的信息;而对完整性的安全威胁是指某人改动了关键的数据。总的说来,各种因素所导致的安全威胁主要有以下几种。
(1)基本的威胁。
比如信息泄漏,即信息被泄漏或透露给某个非法授权的人或实体;完整性破坏,即数据的一致性通过非授权的增删、修改或破坏而受到损坏;业务拒绝,即攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的负荷,从而导致系统的资源在合法用户看来是不可使用的,简单的讲就是对信息或其他资源的合法访问被无条件阻止;非法使用,即某一资源被某个非授权的人或以某一给授权的方式使用以及计算机病毒等等。
(2)主要的可实现的威胁。
比如假冒,即某个个体假装成另外一个不同的实体,从而截取了此合法用户的权利和特权;旁路控制,即为了获得非授权的权利或特权,某个攻击者会发掘系统的缺陷或安全性上的脆弱之处;还有就是特洛伊木马和陷阱门等威胁。
(3)潜在的威胁。
除了以上一些威胁以外,还有一些潜在的威胁,而任意一种潜在的威胁都可能导致一些更基本的威胁的发生。例如窃听、操作人员的不慎重所导致的信息泄漏、媒体废弃物所导致的信息泄漏等等。
3 安全问题解决策略
网络信息资源管理中所面临的安全威胁是比较多的,由此而产生的安全问题也较多,幸运的是人们已经越来越注意对安全问题的防范和解决。在以前,解决的方法主要集中在技术方面,如今已经在加强技术的同时,越来越注意政策法规对网络信息资源管理的安全问题重要性,而随着社会的发展,在以后,通过结合人文社会的角度来加强对安全问题的解决也将受到很大的重视。
3.1 技术角度
在防范和解决安全问题时,人们大多从技术角度来加以考虑,而实际上也很有效果。经过多年的发展,解决网络安全问题的技术也越来越先进。其核心安全技术主要有密码技术、数字签证、电子邮件安全协议、Internet安全协议、安全电子交易(Security Electronic Transaction,SET)、防火墙等。在利用技术来解决安全问题时,总的一个原则就是要攻击者或破坏者通过攻击或破坏网络信息资源所获得的信息价值要远远低于它所花费的代价。
(1)密码技术。
该技术是保护信息安全的主要手段之一,它是结合数学、计算机科学、电子与通信等诸多科学于一身的交叉学科,它不仅具有保证信息机密性的信息加密功能,而且具有数字签字、身份验证、秘密分存、系统安全等功能。因此该技术不仅可以保证信息的机密性,而且可以保证信息的完整性和确证性,防止信息被篡改、伪造和假冒。从密码体制方面而言,有对称密钥密码技术和非对称密钥密码技术。还有一种就是由W.Diffie和M.Hellman在1976年提出的公钥体制。
①对称密钥密码技术。
对称密钥密码技术要求加密双方拥有相同的密钥。该技术从加密模式上可以分为密码流(序列密码)和分组密码(块密码)。前者的主要原理是通过有限状态随机产生性能优良的伪随机序列,使用该序列加密的信息流得到密文序列,因此该技术的安全强度完全决定于它所产生的伪随机序列的好坏;后者的工作方式是将明文分成固定长度的组,用同一密钥和算法对每一块加密,输出也是固定长度的密文。该技术所采用的主要算法是DES(Data Encrypption Standard)。
②非对称密钥密码技术。
非对称密钥密码技术是加密解密双方拥有不同的密钥,它的最大特点是采用两个密钥将加密和解密能力公开:一个公开作为加密密钥;一个为用户专用,作为解密密钥,通信双方无需实现交换密钥就可以进行保密通讯。它的优点就在于,也许你并不认识某一实体,但只要你的服务器认为该实体的CA是可靠的,就可以进行安全通讯。目前比较著名的非对称加密算法有:RSA(Receive、Shamir、Adelman)、DSA美国数字签字算法、Diffle Hellman密钥交换协议、Rabin算法、SCHNORR算法、ELGamal算法等等。由于这些算法的存在,使得从公开的公钥或密文分析出明文或密钥,在计算上是不可行的。
(2)数字签名。
数字签名是公开密钥加密技术的另一类应用。他在包括身份认证、数据完整性、不可否认性等方面有重要应用,特别是在大型网络安全通信中的密钥分配、认证以及电子商务中具有重要的作用,它是实现认证的重要工具。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要),发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密,如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。
(3)电子邮件安全协议。
电子邮件是Internet上主要的信息传输手段,但它并不具备很强的安全防范措施,为加强电子邮件的安全性能Internet工程任务组(IEFT)已经起草了相关的规范,如PEN、S/MIME(安全的多功能Internet电子邮件扩充)等。其中PEN是增强电子邮件隐秘性的标准草案,它在Internet电子邮件格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和私有密钥的加密方式,并能支持多种加密工具。S/MIME是在RFC1521所描述的多功能Internet电子邮件扩充报文的基础上添加数字签名和加密技术的一种协议。MIME是正式的Internet电子邮件扩充标准格式,但它未提供任何安全服务功能。S/MIME的目的是在MIME上定义了安全服务措施的实施方式。
(4)SSL协议和SET协议。
这两个协议主要应用于电子支付过程中。SSL协议(Security Socket Layer)即安全套接层协议可以提高应用程序之间数据传输的安全性,因此它主要提供对用户和服务器的认证,通过对传输的数据进行加密隐藏来确保数据在传输中不被改变。它主要由SSL记录协议和SSL握手协议组成。所有的SSL通信包括握手消息、安全空白记录和应用数据都使用SSL纪录层;而SSL握手协议包括两个阶段:第一个阶段用于建立私密性通信信道,第二个阶段用于客户认证。
SET协议(Security Electronic Trading)即安全电子交易协议是基于信息流的协议,用来保证公共网络上银行卡支付交易的安全性。它详细而准确地反映了卡交易各方的各种关系,是一个基于可信的第三方认证中心(CA认证中心)的方案。
(5)防火墙(Firewall)技术。
防火墙(Firewall)是在Intranet和Internet之间构筑的一道屏障,它有两个基本准则:第一个就是一切未被允许的就是禁止的;第二个就是一切未被禁止的就是允许的。通过它可以控制Intranet和Internet之间的所有数据流量,控制和防止Intranet中的有价值的数据流入Internet,也控制和防止来自Internet的无用的垃圾数据流入Intranet,是保护个人电脑、专用网或Intranet中信息系统安全保密的重要技术。
3.2 政策法规角度
信息政策是指据以调控信息生产、交流和利用的措施、规范和准则的集合,它涉及信息产品的生产、分配、交换和消费等各个环节。信息法律是指对信息活动中的重要问题进行调控的法律措施,这些措施涉及信息系统、处理活动的组织和对信息负有责任个人等。该处所说的政策法规主要是指与技术无直接关系的应用于网络信息资源管理的法律规则,比如《电子商务法(示范法)》、《中国公用计算机互联网国际联网管理办法》等。它主要包括信息资源管理法律制度、信息自由与计算机安全法律制度、知识产权保护法律制度、信息市场与信息服务法律制度、信息技术与信息产业法律制度、信息传输与数据交换法律制度、国际信息合作与交流法律制度等。
随着因特网在人们生活中的深入和发展,可以预见,在未来的日子中,网络将成为人们获取信息的不可或缺的场所,因此制定规范的网络信息政策和信息法律来规范人们的网络行为是十分必要的,这样可以确保人们在获取各种各样的网络信息资源的时候能够最大限度的减少安全威胁以及很好的解决产生的安全问题。例如制定相应的网络知识产权法规以解决日益严重的网络知识产权问题;制定电子商务法来规范和完善电子商务的进行。如今,世界各国越来越深刻地认识到,包括商法、安全和认证、隐私权、知识产权保护、关税和税收、电子付款办法、互联网内容管理、管辖权、争端解决机制以及赔偿责任和消费者保护等法律问题已经成为网络信息交流尤其是电子商务发展的关键。而所有的这些法律政策都应当有以下的一些特点:面向全球、强调创造良好的法制环境、重视统一商务法规、强调知识产权保护、关注保护个人隐私、重视信息网络安全、强化信息内容管制和注重标准等等。由于网络信息交流已经是“没有”国界的,因此这些法律政策应当是面向全球的。良好的法制环境是指,在进行网络活动时应当提供透明及和谐的法制环境,以使活动得以顺利进行。各国强调统一商务法规主要是针对电子商务而言,实际上,联合国国际贸易法委员会已经完成了一部示范法,支持在电子商务中的国际合同,确定了确证和认可通过电子手段形成的合同规则和范式,规定了约束电子合同履行的标准,定义了构成有效电子书写文件和原始文件的条件,提出了为法律和商业目的而作出的电子签名的可接受程度,同时支持在法庭上和仲裁过程中可使用计算机证据。强调知识产权保护在网络信息资源管理和利用中具有重要的作用,虽然技术保护措施(如加密)有助于打击仿冒行为,但是还必须要有适当而有效的法律框架,以便侦查监测仿冒和欺诈行为,并在犯罪行为发生时提供有效的法律援助。个人隐私问题也属于网络信息安全问题的一个环节,个人隐私原则分为两个方面,一是告知,二是许可。收集信息者应当通知消费者他们在收集什么信息,以及他们打算如何使用这些信息;信息收集者应当向消费者提供限制使用和再利用个人信息的有效手段。只有当个人隐私权和信息自由流动带来的利益取得平衡时,网络上的商务活动才可能兴旺起来。强化信息内容管制是针对一些共同的Internet公众政策问题(如广告、仇恨性言论、欺诈、暴力和煽动性言论等)加强管理并寻找切实可行的解决方案。
依照以上的特点和其他一些准则,各国已经制定了相应的法律政策,例如联合国国际贸易委员会于1996年通过了一个法律示范文本《电子商务示范法》。1998年5月,世贸组织在一次部长级会议上通过了《关于全球电子商务宣言》等。而在我国,在1994年制定了《中华人民共和国计算机信息系统安全保护体条例》、1997年制定了《中国公众多媒体通信管理办法》等,尤其是在近几年加强了这一方面的工作,例如在2001年1月13—14日,中国《电子商务法(示范法)》高级研讨会举行,2002年上半年制定出了我国的第一部《电子商务法》。所有这些都反映了各国政府对法律政策在网络信息交流活动中的作用的重视,同时也说明了信息法律政策对网络行为的约束性在解决网络信息资源管理中是十分重要也是必需的。
3.3 人文社会角度
信息政策和信息法规严格说来是属于信息资源管理的人文范畴,将它区别开来是因为这里的人文社会角度是指一种潜移默化的信息文化和“网络道德”。在充分利用网络信息资源的时候,有效的解决面临的各种各样的安全问题,基本上在各种法律政策的指引下利用技术来防范和处理是可以解决所发生的问题的,但是我们应该看到,仅仅这样做是不够的。在现实社会中,我们制定各种法律政策来维护社会秩序,同时我们更加注意到社会公德对社会秩序的重要性。同样,随着网络的大发展,在网络社会中维持秩序的时候,每个网民的“网络道德”也是十分重要的,它可以促进人们的网络安全意识(包括自觉地遵守网络安全法规、自主的防范网络安全威胁等等)的加强。可以说它和我们所制定的一系列网络法律政策是相辅相成的。
互联网是在最近十几年当中才获得飞速的发展的,“网络社会”在时间上来讲毕竟还是一个新生事物,而道德的形成是要有很深厚的文化底子的,虽然原有的道德规范大多还是适应于网络社会的,但是由于网络的一些有别于现有现实社会的特殊性,因此它的具体的内容还是有待于网络信息文化的自我发展。信息文化和传统的文化形式是有区别的:①它是一种全球化的文化;②信息社会的生产工具是计算机和互联网;③在信息社会中,时间和空间的交流障碍减弱了,甚至消失了,所有被数字化了的信息,均可进行实时、无限量的交互;④数字化。正是这些差别的存在,要求我们在培育良好的网络秩序和逐步形成网络道德从而进一步促进网络秩序的时候,加强信息文化的培养和教育是十分重要的。计算机语言是网络中的语言,是信息文化的一个重要部分,1981年在瑞士洛桑召开的第三次世界计算机教育大会上,前苏联学者伊尔肖夫首次提出:“计算机程序设计语言是第二文化”;美国著名的“2061计划”(Project 2061)是美国在1985年启动的一项旨在提高全体美国人民科学文化素质的宏伟计划,它则在更高层次上提出了信息技术应与各学科相整合的思想;1998年7月日本教育课程审议会发表的“关于改善教育课程基准的基本方向”的咨询报告中,就提出了两方面的要求:首先是在小学、初中、高中各个阶段的各人学科中都要积极利用计算机等信息设备进行教学(即将计算机为核心的信息技术与各学科的课程整合);与此同时,要求在小学阶段的“综合学习”课上要适当运用计算机等信息手段,在初中阶段则要把现行的“信息基础”选修课改为必修课,在高中阶段则开设必修的“信息”课(主要内容讲授如何运用计算机去获取、分析、利用信息的有关知识与技能),通过所有这些来加强全民的信息化能力。所有这些都说明了世界各国在逐步意识到加强信息文化的教育对未来社会的重要性,也就是良好的信息文化的形成对于网络社会的发展是十分重要的,其中当然也包括信息文化对于网络社会中的一个最为重要的问题及安全问题的重要性。
总之,在互联网飞速发展的今天,要很好的解决所面临的制约网络社会的发展的最大瓶颈——网络信息资源管理的安全问题,在大力发展网络安全技术的同时还应当不断完善一系列的网络安全法律政策并且不断加强人们的网络安全意识和网络道德。技术手段是解决这个问题的实用的措施,为了防止不必要的网络安全威胁尤其是在解决一旦发生的网络安全问题的时候,技术手段是必需的;但是在整体上来防范和解决网络安全问题所带来的影响和后果,完善的网络法律政策和深厚的信息文化、网络道德所产生的作用会更大。我们可以说技术手段是解决单个的具体的网络安全问题所采用的有效手段,是“微观”的手段;而网络法律政策和深厚的信息文化、网络道德则是“宏观”的手段,是从整体上来约束网络行为、解决网络安全问题带来的后果和使人自觉地维护和遵守网络秩序的方法,而网络法律政策和深厚的信息文化、网络道德的关系就像“法治”与“德治”。要完全解决网络信息资源管理中所面临的网络安全问题是不可能的,但是只要我们把以上三者结合起来,最大限度的降低网络信息资源管理中的安全问题所带来的负面影响是一定可以办到的,也是十分必需的。
标签:信息资源管理论文; 网络安全论文; 计算机安全论文; 密钥管理论文; 对称密钥论文; 报文交换论文; 高级加密标准论文; 信息安全论文; 信息发展论文; 社会网络论文;