网络环境下的信息安全,本文主要内容关键词为:信息安全论文,环境论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着知识经济时代的到来和信息技术的飞速发展,以及全球经济一体化的加剧,信息传输的途径已经越来越依赖于电信网络方式,尤其是计算机互联网络。根据中国互联网信息中心发布的第五次《中国互联网络发展状况统计报告》,截至1999年12月31日,我国上网计算机台数为350万台、上网用户人数为890万,cn下注册的域名数为48659个,WWW站点数约为15153个。而截至1999年6月30日,根据中国互联网信息中心发布的第四次《中国互联网络发展状况统计报告》,我国上网计算机数为146万台,上网用户人数为400万,cn下注册的域名数为29045个,WWW站点数约为9906个。由这两组数据,我们即不难看出,互联网正以超“摩尔定理”的速度发展。
1999年,是我国的政府上网年。到2000年底,我国政府要有80%在网上建立自己的主页。所谓政府上网,也就是政府职能上网,在网上建立一个虚拟的政府,在Internet上实现政府的部分职能性工作。凡是在网下可以实现的政府职能工作,多数在网上基本可以实现(一些特殊情况除外)。
面对我国互联网的高速发展和政府上网工程的日益深入,网络环境下的的信息安全问题已经浮出水面。如果忽视了这一问题,在信息系统网络化、国际化、公众化的今天,必然会带来一系列的问题,甚至会危及到网络环境下我国的经济安全。
很多人一提到网络传输的信息安全,总是会立即联想到加密、防黑客、反病毒等专业技术问题。实际上,网络环境下的信息安全不仅涉及到技术问题,而且涉及了法律政策问题和管理问题,技术问题虽然是最直接的保证信息安全的手段,但离开了法律政策和管理的基础,纵有最先进的技术,信息安全也得不到保障。
1.法律政策问题
要使网络安全运行,信息安全传递,需要靠必要的法律建设,以法制来强化网络安全。这主要涉及网络规划与建设的法律,网络管理与经营的法律,网络安全的法律,用户(自然人或法人)数据的法律保护,电子资金划转的法律认证,计算机犯罪与刑事立法,计算机证据的法律效力等法律问题。同时,还要有法必依,有法必行。
法律是网络安全的第一道防线。不难设想,若无这些法律的建设和法律的实施,网络将不成其为网络,网络的规划与建设必然是混乱的,网络将没有规范的协调的运营管理,数据将得不到有效的保护,电子资金的划转将产生法律上的纠纷,网络将受到黑客的攻击而黑客受不到惩罚。仅仅这些问题的发生,即将使网络无法安全地传递信息,无法起到信息传递通道的作用。
有了相关法律的保障,没有相应的政策,也无法使保障信息安全具有可操作性。如美国联邦政府1996年发布了A-130通告,在附录“联邦政府自动化信息资源安全”政策大纲中,具体阐述了计算机系统的安全对策,可操作性很强。
2.管理问题
管理问题包括三个层次的内容:组织建设、制度建设和人员意识。组织建设问题是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容,因此只靠一个机构是没法解决这些问题的。在各信息安全管理机构之间,要有明确的分工,以避免“政出多门”和“政策撞车”现象的发生。
明确了各机构的职责之后,还需要建立切实可行的规章制度,以保证信息安全。如对人的管理,需要解决多人负责、责任到人的问题,任期有限的问题,职责隔离的问题,最小权限的问题。
有了组织机构和相应的制度,还需要领导的高度重视和群防群治。这需要信息安全意识的教育和培训,以及对信息安全问题的高度重视。
3.技术问题
影响计算机网络环境下信息安全的技术问题包括通信安全技术和计算机安全技术两个方面,二者共同维护着信息安全。
保证通信安全所涉及的技术有:①信息加密技术。信息加密技术是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密过程由形形色色的加密算法来具体实施,它以较小的代价获得较大的安全保护。②信息确认技术。信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使:a.合法的接收者能够验证他收到的消息是否真实;b.发信者无法抵赖自己发出的消息;c.除合法发信者外,别人无法伪造消息;d.发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。③网络控制技术。包括:a.防火墙技术。它是一种允许接入外部网络,但同时又能够识别和抵抗非授权访问的网络安全技术。b.审计技术。它使信息系统自动记录下网络中机器的使用时间、敏感操作和违纪操作等。c.访问控制技术。它允许用户对其常用的信息库进行适当权利的访问,限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。d.安全协议。整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。
计算机安全涉及计算机硬件、软件和数据的安全。所涉及的技术问题主要有:①容错计算机技术。容错计算机具有的基本特点是:稳定可靠的电源、预知故障、保证数据的完整性和数据恢复等。当任何一个可操作的子系统遭到破坏后,容错计算机能够继续正常运行。②安全操作系统。操作系统是计算机工作的平台,一般的操作系统都在一定程度上具有访问控制、安全内核和系统设计等安全功能。但相反的例证是微软视窗系统的“NSA密钥”则在很大程度上危害着用户的信息安全。 所谓NSA密钥,是指1998 年有人发现视窗系统中存在用途等详情不清的第二把密钥。1999年8 月, 加拿大 Cryotonym 公司首席科学家 AndrewFernandes宣布,他发现这第二把密钥叫做NSAKey,而NSA就是美国国家安全局的简称,也就是说,微软在每一份视窗系统中都安装了一个“后门”,专供NSA在需要时侵入全世界用户的电脑。③ 计算机反病毒技术。计算机病毒其实是一种在计算机系统运行过程中能够实现传染和侵害的功能程序,是影响计算机安全不容忽视的重要因素。
4.其它因素
影响网络环境下的信息安全还有一个很重要的因素,即信息安全产业的发展问题。我们知道,保证网络环境下的信息安全,涉及很多信息安全产品和服务,如防火墙、安全操作系统、相应的信息安全软件等。如果一国的信息安全产品都是依靠国外进口,那么就很难保证该国一些涉及国家经济安全的信息的安全应用。如果出口国完全掌握着信息安全产品的核心技术,就很容易侵入进口国的网络系统,得到进口国的机密信息。例如,我国现在还没有自己的CPU和操作系统, 目前大面积使用国外的CPU和操作系统,类似Intel芯片奔腾Ⅲ的序列号问题、微软公司视窗系统的“NSA密钥”就可能负面影响我国的信息安全。
另一个问题是信息安全产品和技术的标准和标准化。制订行业标准是保证行业发展的重要基础,在信息安全产品和技术方面,如果没有统一的标准,那么将无从度量和测评各种信息安全产品和技术。