人民网>>新安全

谁来看好网络“安全门”?

师庆林
  2006年 第三期 【字号 】【留言】【论坛】【打印】【关闭

  随着互联网的广泛应用,网络安全也越来越成为人们关注的焦点,它轻则干扰人们的日常生活,重则造成巨大的经济损失,甚至威胁到国家的安全,所以网络安全问题已引起许多国家、尤其是发达国家的高度重视。 
  现状不容乐观 
  虽然,我国政府对计算机网络安全问题已逐步提高了重视程度,国人在网络安全意识、安全技术、安全管理等方面也有了大幅度提高。但与世界先进国家相比,我国网络安全现状仍不容乐观,主要有以下几方面: 
  1、信息网络安全防患意识淡薄,防护能力差 
  据调查, 按目前国内的安全现状和网络业务流量, 用户在安全方面的投资占到总集成项目的10%左右就可以建立一个比较稳固的立体安全防护体系,包括防火墙、入侵检测和扫描等一整套安全解决方案, 但目前许多用户远没有达到这样的投资比例。而一般发达国家企业的IT 投资中, 
  网络安全的投资通常会占到总投资的20%~30%左右。 
  我国2003年投资网络化建设上的经费超过一千亿,但投资在网络安全方面的比例还不到1%,而国外这一比例平均不会低于10%,安全级别较高者已超过40%。有资料显示,国内80%以上的网络没有安装防火墙,97%的网站未装相应的网络安全产品,初级水平的黑客十几分钟内就有可能入侵到网内系统。国内一些敏感的网站,如政府、金融、证券等行业也存在着严重的漏洞。国内电子商务网站的网络管理人员至少有90%以上没有受过正规的网络安全培训。 
  2、基础信息产业自主创新能力堪忧 
  我国的信息化建设,大都是依赖国外技术与设备装备起来的。由于缺乏对核心技术的了解,因此在某些领域受制于人。国际财团大量涌向我国信息化建设的市场,推销他们的产品,而我们却缺乏相应的知识和经验,良莠难辨,花钱买淘汰技术和不成熟技术的现象非常普遍,为信息安全潜伏下了隐患。国外厂商几乎垄断了中国计算机软件的基础和核心市场。 
  根据美国的国防政策, 向中国出口的信息安全产品必须是美国能够充分破解的。如:中国从美国进口的信息产品,加密强度是很低的,一般只有40位或者56位。而40位的加密只需几分钟就可破解, 56位的加密用奔腾机花上几小时也可以破译, 并且美国的很多密码厂商都实施了“密钥重获机制”, 即保留了一个进入密码数据的“后门”。另外, 系统提供的远程过程调用服务(RPC) 、NFS 服务、系统安排的无口令入口, 表面是为系统开发人员远程服务提供方便入口, 而实际上是在我们不知不觉中, 通过互联网进行远程遥控的机关。更有甚者,在卫星的遥控下, 存在于一些系统中的“定时炸弹”, 可以使核心芯片在几秒钟内自行烧毁,整个系统陷于瘫痪状态。 
  3、信息安全立法亟待完善 
  当前,我国的网络建设及运行总体上处于一种分散管理的状态。我国经济信息安全管理相互隔离、条块分割、各自为战,由于商业和行政上的原因, 各个ISP在管理上相对封闭。缺乏统一的管理和协调,使得我国网络安全防护水平发展极不平衡,这大大妨碍了国家有关法规的贯彻执行,难以防范黑客和境外情报机构的攻击。 
  在信息安全问题上,我国缺少一个专门的权威性机构。信息安全相关的民间管理机构与国家信息化领导机构之间还没有充分沟通协调。我国对于保护计算机系统和网络安全的法规主要有《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国电信条例》等。我国相关法规的制定难以跟上网络的高速发展,这些法令对当前很多突显出来的计算机信息安全问题并没有详尽的说明和解释。虽然我国在《计算机信息网络国际联网安全保护管理办法》中对利用国际联网危害国家安全、泄露国家秘密,制作、复制、查阅和传播宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等作了明确规定, 然而很多人却依然我行我素、知法犯法,从而极大影响了我国在信息安全领域的法制化建设。我国从 1986年发现第一件银行计算机犯罪案起,案件呈直线增长趋势,调查表明每年计算机犯罪发案率递增30%。 
  提高防范能力,构建网络安全 
  面对越来越严重的网络安全威胁,对全民进行网络安全教育、提高全社会的网络安全知识和技术水平、增强全民的信息网络安全素质,倡导健康的“网络道德”,从而有效地保护我国计算机及其网络的安全。同时,要加强网络立法和执法的力度,发挥政府职能,建立全国范围的网络安全协助机制,这样可以协调全国网络的安全运行,给出在网络建设阶段和网络运行阶段安全级别的定义、安全措施的行为细则、安全程度的考核评定等标准化文本,分析网络中出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内的网络安全事件做出迅速的应急响应,在全国范围内协调网络安全建设。另外,还要大力提高我国自主研发、生产相关的应用系统与网络安全产品的能力,用以代替进口产品。 
  加强技术防范策略,建构合理的网络安全体系,是实现网络安全的基础选择。 
  物理安全策略:保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。首先,环境安全方面,对系统所在环境的安全保护,确保计算机系统有一个良好的温度和湿度,做好相应的防雷保障措施,定期进行检查各种线路是否存在安全隐患。其次,设备安全方面,目前主要防护的措施有两类:一是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,如对设备的金属屏蔽和各种接插件的屏蔽及防护措施,确保网络设备处于良好的电磁兼容工作环境。 
  网络准入控制:访问控制的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。这方面的主要工作包括入网访问控制和网络权限控制。入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。可以采用多种策略来保障入网访问控制,对入网用户进行强制身份认证,做好IP、ARP欺骗防范,防代理,定期强制口令修改等。网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。明确限制用户的使用权限,根据用户不同角色来对其使用网络的功能和权限进行等级划分,保障服务器、网络设备、文件的安全使用。 
  数据加密策略:数据加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。数据加密是最核心的对策,是保障数据安全最基本的技术措施和理论基础。如传输秘密数据时,一定要用密文传送,也就是利用一定的技术手段把秘密数据变为“乱码”传送,数据传输到目的地后现用“原码”还原,这种还原只有指定的用户和网络设备才能解码加密数据。这就可以以较小代价获得较大的安全保护。 
  网络安全产品的使用:网络安全包括防火墙技术、入侵检测技术、漏洞扫描技术、防病毒技术等安全防范技术。 
  防火墙是网络安全的屏障,网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许,并监视网络运行状态。这也是近年来维护网络安全最重要的手段。防火墙系统的安全防御能力很强,能抵抗各种外部网络的进攻和渗透。 
  入侵检测技术是一种主动的安全防护技术,也是网络安全研究的一个热点。它是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软、硬件的组合就是入侵检测系统(Instrusion Detection System,简称IDS)。它通过被认为是网络安全的第二道安全闸门,作为防火墙的合理补充,这也极大提高了信息安全基础结构的完整性。目前入侵检测系统主要分两种:基于网络的入侵检测系统和基于主机的入侵检测系统,相比较而言,前者更具易部署、占用资源少、隐蔽性好、检测速度快等优点。 
  漏洞扫描技术,主要分主机安全扫描技术和网络安全扫描技术两大类。主机安全扫描技术是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应, 从而发现其中的漏洞;网络安全扫描技术主要针对系统中不合适的设置脆弱的口令, 以及针对其它同安全规则抵触的对象进行检查等。 
  通常情况下,我们在购买漏洞扫描产品时,主要依据产品的漏洞数量和升级速度、应用领域、定期的安全检测、产品是否通过国家的各种认证、是否支持分布式扫描等项指标,评估定期的网络安全检测可以帮助人们最大限度地消除安全隐患,尽早发现安全漏洞并及时进行修补。另外,安装新软件、启动新服务后的检查、网络建设和网络改造前后的规划评估和成效检验、网络安全系统建设方案和建设成效评估、网络承担重要任务前的安全性测试、网络安全事故后的分析调查、重大网络安全事件前的准备、扫描产品运行的操作系统平台是否安全以及产品本身的抗攻击性能如何都是用户应该需要考虑的因素。 
  防病毒技术,可以通过各种防卫技术保护网络安全,但在网络环境下,病毒的入侵是不可避免的。因此,防病毒技术就显得尤为重要。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和检测,在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。它包括预防病毒、检测病毒和杀病毒三种技术。 
  虚拟专用网技术(Virtual Private Network 简称VPN):VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一。所谓虚拟专用网(VPN)技术就是公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务、乃至培训、合作等活动。许多企业趋向于利用Internet来代替它们私有数据网络。目前VPN主要采用四项技术来保证安全这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份证技术(Authentication)。 
  安全源于管理,要实现网络安全,重要的是建立健全规章制度并严格实施。这些规章制度包括以下三个方面:一是明确界定安全管理范围和层次,建立完善的网络安全组织体系,明确各级责任;二是建立并严格执行网络操作使用规程,如文档资料管理制度、出入机房管理制度;三是实施和完善网络系统的维护制度和应急措施等,如定期备份。 
  网络安全也是一门高智商的对抗学科,作为矛盾主体的“攻”与“守” 双方,始终处于成功与失败的轮回变化中。在网络安全工程的建设中, 技术是基石, 管理是保障,而法律则是最后防线。“绝对安全的网络系统是不存在的”, 随着计算机技术的不断进步, 突显出来的网络安全隐患会越来越多, 危害也会越来越大, 但这必将提高人们对网络安全的防患意识。人们防患意识的提高也必将带动网络安全相关产业的发展, 从而提升网络安全的可靠性,最终结果是使更多的互联网使用者受益。 
  (作者单位:吉林广播电视大学白城分校) 


    《新安全》 (2006年 第三期)

【18岁成为富翁的秘密一组图】  【让你一夜狂赚的绝世大秘密】 
请注意:
  1. 遵守中华人民共和国有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。
  2. 人民网拥有管理笔名和留言的一切权力。
  3. 您在人民网留言板发表的言论,人民网有权在网站内转载或引用。
  4. 如您对管理有意见请向留言板管理员人民日报网络中心反映。
精彩推荐:
日僧731陈列馆谢罪
日僧731陈列馆谢罪
名贵滋补药品:苁蓉
名贵滋补药品:苁蓉
组图:神奇的\
组图:神奇的"蜂疗"
甘南寄宿学校生活
甘南寄宿学校生活

每日新闻排行榜10条 网友热评排行榜10条
...更多
...更多


专题推荐
陈水扁终止“国统会”运作 制造台海危机
今春仍有大范围散发可能 中国政府积极防控禽流感
新闻检索:







   

镜像:日本  教育网  科技网
E_mail:info@peopledaily.com.cn 新闻线索:rm@peopledaily.com.cn

人民日报社概况 | 关于人民网 | 招聘英才 | 帮助中心 | 广告服务 | 合作加盟 | 网站声明 | 联系我们 | ENGLISH 
京ICP证000006号|
网上传播视听节目许可证(0104065)| 京朝工商广字第0394号
人 民 网 版 权 所 有 ,未 经 书 面 授 权 禁 止 使 用
Copyright © 1997-2005 by www.people.com.cn. all rights reserved