目前國(guó)際網(wǎng)絡(luò)信息安全的研究進(jìn)展

張秀梅

摘要隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)將日益成為重要信息交換手段,滲透到社會(huì)生活的各個(gè)領(lǐng)域。因此,認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅以及現(xiàn)實(shí)客觀存在的各種安全問(wèn)題,采取強(qiáng)有力的安全策略,保障網(wǎng)絡(luò)信息的安全,是每一個(gè)國(guó)家和社會(huì)以及每一個(gè)團(tuán)體和個(gè)人必須正視的事情。本文對(duì)國(guó)際網(wǎng)絡(luò)信息安全的研究進(jìn)行了探討。

關(guān)鍵詞計(jì)算機(jī)網(wǎng)絡(luò)安全研究

中圖分類(lèi)號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A

1 前言

隨著現(xiàn)代信息技術(shù)的發(fā)展和網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用,信息服務(wù)行業(yè)在服務(wù)內(nèi)容、服務(wù)方式與服務(wù)對(duì)象等方面發(fā)生了革命性變化,運(yùn)作效率也有了顯著提升。在網(wǎng)絡(luò)環(huán)境下,信息服務(wù)行業(yè)在國(guó)家經(jīng)濟(jì)生活中的地位日益重要。但是,網(wǎng)絡(luò)同時(shí)也是攻擊事件和病毒蠕蟲(chóng)等滋生之地。信息安全事件已經(jīng)不單單是影響個(gè)別民眾、企業(yè)的小事,而是影響到國(guó)家的安全。

隨著信息安全事件發(fā)生的日益頻繁,發(fā)達(dá)國(guó)家和地區(qū)對(duì)信息安全問(wèn)題都予以了高度重視。我國(guó)長(zhǎng)期以來(lái)信息安全意識(shí)不強(qiáng),即使是重視,也僅限于政治和軍事領(lǐng)域。近幾年來(lái),面對(duì)國(guó)際信息環(huán)境的變化與挑戰(zhàn),我國(guó)也采取了一系列對(duì)策。在法律法規(guī)建設(shè)方面,《計(jì)算機(jī)軟件保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)病毒防治管理辦法》等相繼出臺(tái)。

2 信息安全基本概念

國(guó)內(nèi)外對(duì)“信息安全”沒(méi)有統(tǒng)一的定義?！吨腥A人民共和過(guò)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的定義:“保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全,運(yùn)行環(huán)境的安全,保障信息安全,保障計(jì)算機(jī)功能的正常發(fā)揮,以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全”。國(guó)家信息安全重點(diǎn)實(shí)驗(yàn)室的定義:“信息安全涉及到信息的機(jī)密性、完整性、可用性、可控性。綜合起來(lái)說(shuō),就是要保障電子信息的有效性。國(guó)際標(biāo)準(zhǔn)化委員會(huì)的定義:“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露”。英國(guó)信息安全管理標(biāo)準(zhǔn)的定義:“信息安全是使信息避免一系列威脅,保障商務(wù)的連續(xù)性,最大限度地減少商務(wù)損失,最大限度地獲取投資和商務(wù)的回報(bào),涉及信息的機(jī)密性、完整性、可用性”。美國(guó)人則認(rèn)為:“信息安全包括信息的機(jī)密性、完整性、可用性、真實(shí)性和不可抵賴性”。其實(shí),當(dāng)前信息安全的概念正在與時(shí)俱進(jìn),它從早期的通信保密發(fā)展到關(guān)注信息的保密、完整、可用、可控和不可否認(rèn)的信息安全,并進(jìn)一步發(fā)展到如今的信息保障和信息保障體系。信息保障依賴于人、操作和技術(shù)實(shí)現(xiàn)組織的任務(wù)運(yùn)作,針對(duì)技術(shù)信息基礎(chǔ)設(shè)施的管理活動(dòng)同樣依賴于這三個(gè)因素,穩(wěn)健的信息保障狀態(tài)意味著信息保障和政策、步驟、技術(shù)和機(jī)制在整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面上均能得到實(shí)施,即面向數(shù)據(jù)安全概念是信息保密性、完整性和可用性;面向使用者的安全概念則是鑒別、授權(quán)、訪問(wèn)、控制、抗否認(rèn)性和可服務(wù)性以及基于內(nèi)容的個(gè)人隱私、知識(shí)產(chǎn)權(quán)等的保護(hù),這兩者的結(jié)合就是信息安全保障體現(xiàn)的安全服務(wù),而這些安全問(wèn)題又要依賴于密碼、數(shù)字簽名、身份驗(yàn)證技術(shù)、防火墻、災(zāi)難恢復(fù)、防毒墻和防黑客入侵等安全機(jī)制加以解決,其中密碼技術(shù)和管理是信息安全的核心,而安全標(biāo)準(zhǔn)和系統(tǒng)評(píng)估則是信息安全的基礎(chǔ)。因此,信息安全就是指一個(gè)國(guó)家的社會(huì)信息化的狀態(tài)不受外來(lái)威脅與侵害,一個(gè)國(guó)家的信息技術(shù)體系不受到外來(lái)的威脅與侵害。

3 信息安全的基本屬性

信息安全有以下幾點(diǎn)基本屬性:

3.1 完整性

信息存儲(chǔ)和傳輸?shù)倪^(guò)程保持被修改不被破壞的,不被插入,不延遲,不亂序和不丟失的數(shù)據(jù)特征。對(duì)于軍用信息來(lái)說(shuō)完整性遭破壞導(dǎo)致延誤戰(zhàn)機(jī),自相殘殺或閑置戰(zhàn)斗力,破壞信息完整性是對(duì)信息安全發(fā)動(dòng)攻擊的最終目的。

3.2 可用性

信息可被合法用戶訪問(wèn)并能按照要求順序使用的特征,既在需要時(shí)就可以去用所需信息。可用性攻擊就是阻斷信息的可用性。例如破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行就屬于這種類(lèi)型攻擊。

3.3 保密性

信息給非授權(quán)個(gè)人/實(shí)體或供其使用的特征。軍用信息安全尤為注重信息保密性。

3.4 可控性

授權(quán)機(jī)構(gòu)可以隨時(shí)控制信息的機(jī)密性。美國(guó)的政府提倡“密鑰托管、“密鑰恢復(fù)”等措施就是實(shí)現(xiàn)信息安全可控性的例子。

3.5 可靠性

信息用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特征,但也有人認(rèn)為可靠性是人們對(duì)信息系統(tǒng)而不是信息本身的要求。總體來(lái)看,信息安全就是要保證信息的基本屬性不被破壞,信息按照發(fā)送方的意愿成功被接收方接收。

4 網(wǎng)絡(luò)安全的威脅

4.1 人為的無(wú)意失誤

如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng),用戶口令選擇不慎,用戶將自己的賬號(hào)隨意轉(zhuǎn)借他

人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。

4.2 人為的惡意攻擊

此類(lèi)攻擊又可以分為以下兩種:一種是主動(dòng)攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類(lèi)是被動(dòng)攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。

4.3 網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”

網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的,然而,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。另外,軟件的“后門(mén)”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的,一般不為外人所知,但一旦“后門(mén)”洞開(kāi),其造成的后果將不堪設(shè)想。計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)信息安全實(shí)際上是密不可分的,兩者相輔相成,缺一不可。計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題,實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案,以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全。網(wǎng)絡(luò)信息安全則緊緊圍繞信息在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題,在計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全的基礎(chǔ)上,如何保障信息應(yīng)用過(guò)程的順利進(jìn)行。沒(méi)有計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全作為基礎(chǔ),網(wǎng)絡(luò)信息安全就猶如空中樓閣,無(wú)從談起。沒(méi)有信息安全保障,即使計(jì)算機(jī)網(wǎng)絡(luò)本身再安全,仍然無(wú)法達(dá)到計(jì)算機(jī)網(wǎng)絡(luò)信息應(yīng)用的最終目的。

5 信息安全策略

信息安全策略是指為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。實(shí)現(xiàn)信息安全,不但靠先進(jìn)的技術(shù),而且也得靠嚴(yán)格的安全管理,法律約束和安全教育。

5.1 先進(jìn)的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證

用戶對(duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估,決定其所需要的安全服務(wù)種類(lèi),選擇相應(yīng)的安全機(jī)制,然后集成先進(jìn)的安全技術(shù),形成一個(gè)全方位的安全系統(tǒng);

5.2 嚴(yán)格的安全管理

各計(jì)算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu),企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法,加強(qiáng)內(nèi)部管理,建立合適的網(wǎng)絡(luò)安全管理系統(tǒng),加強(qiáng)用戶管理和授權(quán)管理,建立安全審計(jì)和跟蹤體系,提高整體網(wǎng)絡(luò)安全意識(shí);

5.3 制訂嚴(yán)格的法律、法規(guī)

計(jì)算機(jī)網(wǎng)絡(luò)是一種新生事物。它的許多行為無(wú)法可依,無(wú)章可循,導(dǎo)致網(wǎng)絡(luò)上計(jì)算機(jī)犯罪處于無(wú)序狀態(tài)。面對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)犯罪,必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī),使非法分子懾于法律,不敢輕舉妄動(dòng)。