摘 要:伴随着信息时代的到来,网络信息安全保密问题日益突出,并已引起全球的普遍关注。我国虽处于网络发展的初级阶段,但近年来,企业各部门都建立了计算机网络。由于工作性质,其中许多网络都涉及国家秘密信息,而我国计算机网络保密技术研究和技术防范手段相对滞后,信息化与保护国家秘密的矛盾十分突出,技术安全保密方面的压力越来越大。近年来发生的泄密事件中,有近三分之二的案件与网络有关,其特点是发生快,扩散面广。所以,抓好信息网络的保密工作刻不容缓。我们必须不失时机地研究对策,顶住发达国家信息优势的压力,在信息化进程中趋利避害,从一开始就做好信息安全保密工作,确保国家秘密的安全。
关键词:计算机网络;信息安全;网络安全;保密;涉密计算机信息系统
引言
进入九十年代以来,国际互联网(INTERNET)的飞速扩展以及局域网(LAN)的广泛应用,大大加速了全球网络化进程,推动了全球信息经济的发展。计算机及网络的发展与应用对提高我国的综合国力、发展生产力、提高市场经济的竞争力,将越来越发挥着极其重要的作用。但与此同时,网络的开放结构也带来了信息安全问题。“黑客”现象以及其它网络犯罪的猖獗使人们逐渐认识到网络的脆弱性。在我国,互联网和局域网同样在迅速发展,而计算机安全事故、安全事件和违法犯罪案件呈逐年上升趋势,安全保密问题不容忽视。本文旨在试图探讨提出计算机网络信息安全保密存在的问题以及应当采取的防治措施。
一、计算机网络信息安全保密的初步认识
1. 计算机网络
计算机网络是指通过某种通信线路将地理位置上分散的多台联系在一起,从而实现计算机资源和信息共享。如甲地用户通过网络利用乙地计算机进行编程、文字编辑和信息处理等工作。也就是说,我们可以利用某台联网计算机来浏览或处理不同地点的网上计算机中的信息。
2. 信息安全
信息安全是指对信息系统的硬件、软件以及数据信息实施安全防护,保证在意外事故或恶意攻击情况下系统不会遭到破坏、敏感数据信息不会被篡改和泄漏,保证系统及其信息的保密性(保证信息不泄露给未经授权的人)、信息的完整性(防止信息被篡改、保证真实的信息从真实的信源无失真地到达真实的信宿)、信息的可用性(保证信息及信息系统确实为授权者使用,防止由于计算机病毒或其他人为因素造成的系统拒绝服务,或为敌手所用)、信息的可控性(对信息及信息系统实施安全监控管理)、信息的不可否认性(保证信息行为人不能否认自己的行为)等基本属性没有遭到破坏,系统运行正常,信息服务功能不中断。一般认为,信息安全的基本要旨应当是向合法的服务对象提供准确、及时、可靠的信息服务;而对其他任何不合法的内部或外部的组织和人员,都要保持最大限度的信息不透明性、不可获取性、不可接触性、不可干扰性和不可破坏性。
3. 网络安全
网络安全是对网络信息安全的简称,包括了网络硬件设施及环境安全、网络内系统的安全,网络内电子信息、数据资源的安全等概念,是一个广泛意义上的计算机网络安全概念。
4. 保密
保密在本文中主要是指涉及国家秘密的信息系统的保密。《中华人民共和国保守国家秘密法》对我国的国家秘密作了明确的定义:国家秘密是关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。我国信息安全保密的总政策是:①统一领导,严格管理;②定点研制,专控经营;③满足使用,确保安全;④自主开发,突出特色;⑤大力发展,形成产业。
5. 涉密计算机信息系统
对国家秘密信息进行采集、加工、存储、传输、检索等处理的计算机信息系统称为“涉密计算机信息系统”,简称“涉密系统”。为了防止泄密、窃密和破坏,涉密系统的安全保密要求做到对计算机信息系统及其所存储的信息、相关的环境和安全保密产品进行安全保护,确保以电磁信号为主要形式的信息在产生、存储、传递和处理等过程中的保密性、完整性、可用性和抗抵赖性。
二、分析计算机网络系统的安全威胁
计算机网络的信息安全有两个基本的要素,就是保密性和完整性。既能方便地让合法用户使用信息、分享资源,而又不泄露给非授权的个人或实体,这是计算机网络的信息安全最重要的要求。信息的完整性则要求信息在存储或传输过程中,保持不被修改、不被破坏和不被丢失。计算机网络信息安全保密,就是要防止信息被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,确保信息的安全。当前,对计算机网络系统安全的攻击形式主要有以下几种:
1. 利用系统缺陷或“后门”进行攻击。由于受众多客观因素的影响,任何网络软件都不可避免地会有一些系统缺陷,每当新的漏洞被发现,它们都可能会被公布在因特网不同的邮件列表上,这些漏洞从发布到传播常常只需几分钟,攻击者可以共用其资源对网络进行攻击。据有关专家称,美国生产的所有操作系统,不论是软件的还是硬件的,都设有“后门”,这已是公开的秘密。而我国的软件、硬件、网络甚至加密系统大量使用进口产品,其潜在隐患可想而知。一个大学做了一个实验,用人工的方法在UNIX多用户系统中,找到了50多条隐蔽信道,盗取了管理人员的口令,进入了系统,看到了秘密文件。
2. 截取信息。截取信息是指外部人员使用高技术、高性能的电磁辐射接收等工具,获取信息。近几年来,许多国家的科技人员在TEMPEST系统(防计算机信息泄漏监测)方面进行了大量的研究工作,推出了一代又一代的接收还原设备。实验证明,在一定距离上使用监测设备可以接收到任意一台未采取安全保护措施的计算机屏幕信息。
3. 使用网络窥探器。网络窥探器既可以是软件,也可以是硬件。网络窥探器本来是网络管理员用来解决某些数据传输问题时使用的一种工具,可是却被那些熟练的网络攻击者用来截取网上传输的数据。
4. 计算机病毒攻击。对计算机病毒的危害,大家都有一定认识。随着计算机技术的发展,计算机病毒的数量和种类也在高速增长,病毒机理和变种不断演变,给病毒检测和消除病毒带来了更大的难度,计算机病毒逐渐成为计算机与网络发展的一大公害。
5. 口令攻击和拒绝服务。破解加密口令和监测通信过程中的口令数据包是最常用的两种口令攻击方法。如果用户口令字符或字母数量不多,强度不够,那么攻击者就很容易获得正确的口令,进入计算机系统或网络,破坏用户的合法权益。拒绝服务攻击则是一种破坏性极强的攻击,破坏者通过使用“电子邮件炸弹”等方法,使一个用户在很短的时间内收到大量的邮件,占用大量的系统资源,造成系统不能提供正常的服务,正常业务不能开展,严重时会使系统关机,网络瘫痪。
6. 内部窃密、泄密和破坏不容忽视。内部窃密和泄密,既内部授权人员有意、无意泄密或故意破坏网络信息。计算机和网络的发展使得内部人员窃密、泄密十分容易,渠道隐蔽且很难防范。
7.网络黑客入侵。因特网的灵魂是“开放与共享”,“开放与共享”在给人们带来便利的同时,也向黑客敞开了大门。例如,只要目标系统在网络上对外提供服务,遭受攻击就在所难免,甚至防不胜防。黑客可以假冒其他用户身份“非授权访问”,也可以发送大量的垃圾信息影响你的正常工作。有一句话说得非常好:“在网上没有人知道你是一条狗”,同样,在网上也没有人知道你是一个黑客。所以在网上发动攻击具有天然的隐蔽性,加上目前网络跟踪技术还很滞后,一旦发生攻击事件之后,跟踪、追查“凶手”的难度很大。在网上发起攻击范围广、难度低、智能化高。网络攻击不受时间、地域的限制,并且一般都是由程序实现的,所以黑客很容易发动高智能的自动化攻击。
三、计算机网络信息安全保密当前存在的主要问题
1.网络保密的法规相对滞后。由于从上到下缺乏一个完整系统和科学严谨的网络系统建设标准、技术规范和规章制度,因此,目前网络建设 ,特别是网络防护设施的建设还处在一种各自为政、各行其事的无序状态,很不利于网络信息的安全保密。
2.由于网络建设、网络运行和安全保密工作按照传统的分工分属不同的部门管理,各部门均处于探索、总结、提高阶段,没有现成的行之有效的规章制度来协调与约束相互之间的关系,从而给保密部门实施有效的指导、监督和检查带来较大困难。
3.由于有些单位存在着重网络建设、轻安全保密的倾向,致使部分网络在建成之后因缺乏保密措施而不能正常运行。部分单位在没有任何保密措施的情况下,处理和传递较高密级的信息,对涉密信息安全造成了极大威胁。
4.虽然有的网络系统加装了安全防护设备,但由于缺乏统一规划和归口管理,造成了目前网络系统保密防护设备种类上过多过滥,质量上良莠不齐,给网络安全保密和系统的使用管理带来隐患。
5.部分机关工作人员,包括有的领导干部和网络管理人员缺乏网络安全保密意识和基本常识,对网络泄密方式及其造成的严重危害认识不足。
四、精心构筑计算机网络信息安全保密的堤坝
(一).提高认识,克服麻痹思想
有很多单位和个人简单地认为,只要舍得花钱购买防火墙、安全服务安全服务路由器、加密设备、身份验证系统和保密网关等信息安全保密网络,就可以高枕无忧万事大吉了,这是大错特错的。原因之一是保密与窃密斗争始终呈现出“道高一尺,魔高一丈”的态势。迄今为止,所有经过高技术专家研究出来的对抗电脑入侵的技术,都无一例外地遭到了黑客的成功反击。事实证明,万无一失的安全系统是根本不存在的。因为当今的电脑黑客不仅拥有很高的学历,而且大都是数学、密码、计算机等信息技术领域的“佼佼”者。其二是前面谈过的应用系统都设有后门,先进的、进口的并不等于是安全的,我们必须有自己的拳头产品。因此,要尽快制定包括网络规划、建设、使用管理和维修等在内的安全保密法规,使网络安全保密工作走上依法治理的轨道。而且要将计算机网络安全保密防护产品纳入统一规划管理,保密部门要严格产品质量认证,确保网络保密高效运行。
(二).更新观念,实现指导思想转变
1.由原来以防文电丢失和口头泄密为主转变为防电磁声光传输、辐射等泄密为主。同文件的丢失和口头泄密相比,电磁辐射泄密往往危害更大,速度更快,且不易察觉。
2.由防内部泄密为主转变为内外联合防范。高技术条件下既要重视内部防范,更要重视防敌侦察、破坏和情报活动。必须做到技术、管理并重,内部、外部并举,实行综合治理。
(三).发展计算机信息安全保密技术
为加强计算机信息系统安全保密,我国的计算机信息安全保密技术也在不断的发展。目前,计算机信息安全保密技术主要分为防范技术和检测技术两大类。防范技术主要是通过建立严格的认证和访问控制机制来阻止发生计算机犯罪的发生;检测技术主要是通过建立入侵检测机制实时或事后识别已发生的计算机犯罪行为。其基本技术有:防电磁泄漏技术、密码技术、防火墙技术、身份识别技术、访问控制技术、数字签名技术、入侵检测技术、风险分析技术、审计跟踪技术等安全技术。
(四).健全法规制度,严格行政管理
从技术角度讲,一个绝对安全的系统是不存在的。因此系统的安全除依靠技术的发展和进步外,严格科学的管理仍然是十分必要的。保密工作是综合管理行为,在众多因素中任何一个环节上出现问题都有可能造成泄密,只有健全法规制度并且严格执行,保密工作才能做到有章可循、有法可依、执法必严,对泄密的责任者起到威慑作用。
(五).目前防范黑客入侵的办法
1.加强网络信息流的管控。一般来说对于涉密深的网络中关键性的服务器,首先应在服务器之前使用能控制对网络进行访问的防火墙,任何对关键服务器的访问都必须通过代理服务器,这是目前对黑客防范较严、安全性较强的一种方式。但防火墙仍不是绝对安全,它不能防止受病毒感染的软件或文件的传输,也不能防止数据驱动式的攻击,当表面看似无害的数据被发送到内部网的主机上并被执行时,就可能受到攻击。因此在安装防火墙的同时,还必须配合使用其他防范手段。
2. 科学设置口令。黑客入侵目标通常都是从破译用户口令开始,科学地设置口令,增加黑客破译口令难度。延缓破译时间,也是保障系统安全的常用手段。在UNIX操作系统中,据资料统计,可作为口令的字符共95个,如果口令取五个字符再加一位数字或符号。虽有163亿种排列,但如果口令全是字符,或者是常用词加数字,或者字母都是小写或大写,只要使用普通型的电脑很快就可用穷尽法找出口令。用专用的高速机,,那么即使穷尽6位长度的全部排列,费时也不会太长。科学的口令应该是:含大小字母及数字,最好还有控制符;口令不能太常见且长度至少应有8位;口令应定期更改且加密存放;应把系统中所有的缺省口令都去掉。
3.其他加密措施。除以上办法外,还必须严格规定何种主体对何种客观具有何种操作权限;对存放的重要数据应通过加密算法进行加密,而且采用的加密算法必须经过严格论证。同时做好完整的系统数据备份,已被一旦遭入侵数据被破坏后能迅速恢复系统。对本机的共享资源,亦应严格控制尽量关闭,至少应为硬盘设置一个密码,保护共享资源。经常进行动态站点监控,及时发现系统是否遭到入侵并加以防范,不断地完善服务器系统,这些也是提高系统安全性能的重要手段。
4.加强网络保密管理,使保密工作贯穿于网络建设和使用的全过程。做到在网络规划和制定方案时要有保密部门的参与,在网络建设过程中要有保密部门的指导,在网络建设成后要经过保密部门的验收,在网络运行中要接受保密部门的检查和监督。
5.加强网络的使用管理,维护网络系统的安全运行。一个在硬件设施上设计完善,技术安全措施完备的网络系统,如果管理松散,制度不落实,将使整个系统的安全性大打折扣。如果某些用户不严格按规定设置口令,为了方便好记,因此所设的口令过于简单,甚至直接将口令不加密存入硬盘,这就会给黑客可乘之机,因为他们并不需要全部用户口令,有几个用户口令就能获取系统的控制权。有些用户使用未经检查的光盘,导致黑客软件混入系统。还有些用户在内部网站上私接MODEM上互联网,收发电子邮件,下载功能不明的程序,这等于为黑客开了一扇方便之门。因此,严格落实管理措施是确保网络安全稳定运行的有效手段。要挑选思想素质好,、责任心强、熟悉网络业务的人员担任网络管理员,适时对网络安全和制度落实情况进行检查,使各项规章制度落到实处。
五、将信息安全进行到底
目前,网络安全保密问题已经引起国内外社会各界的广泛关注。计算机网络的安全保密问题涉及方方面面,我们要做好计算机信息系统的保密管理工作,要依靠各级政府主管部门的重视与关心,依靠广大计算机网络系统的建设和使用单位,以及各方面的专家、科研院所和广大工程技术人员的辛勤努力,依靠公安、安全、机要、信息产业等相关部门的支持和协同配合,各个方面形成合力,共同为我国信息安全保密事业的发展做贡献。
参考文献:
1.赵战生.信息安全保密教程.合肥:中国科学技术大学出版社,2006.4
2.蒋平.《计算机安全保密普及知识读本》:金城出版社,2001年
3.王俊明.《保密工作》:金城出版社, 2000年
4.施峰.《信息安全保密基础教程》:国防科技工业保密资格审查认证中心,2007年
(责任编辑:)
