发信人: haome()
整理人: tango_gg(2001-04-03 17:35:45), 站内信件
|
随着知识经济时代的到来和信息技术的飞速发展,以及全球经济一体化的加剧,
信息传输的途径已经越来越依赖于电信网络方式,尤其是计算机互联网络。根据
中国互联网信息中心发布的第五次《中国互联网络发展状况统计报告》,截至19
99年12月31日,我国上网计算机台数为350万台、上网用户人数为890万,cn下注
册的域名数为48659个,WWW站点数约为15153个。而截至1999年6月30日,根据中
国互联网信息中心发布的第四次《中国互联网络发展状况统计报告》,我国上网
计算机数为146万台,上网用户人数为400万,cn下注册的域名数为29045个,WWW
站点数约为9906个。由这两组数据,我们即不难看出,互联网正以超"摩尔定理"
的速度发展。
1999年,是我国的政府上网年。到2000年底,我国政府要有80%在网上建立自己的
主页。所谓政府上网,也就是政府职能上网,在网上建立一个虚拟的政府,在In
ternet上实现政府的部分职能性工作。凡是在网下可以实现的政府职能工作,多
数在网上基本可以实现(一些特殊情况除外)。
面对我国互联网的高速发展和政府上网工程的日益深入,网络环境下的的信息安
全问题已经浮出水面。如果忽视了这一问题,在信息系统网络化、国际化、公众
化的今天,必然会带来一系列的问题,甚至会危及到网络环境下我国的经济安全
。
很多人一提到网络传输的信息安全,总是会立即联想到加密、防黑客、反病毒等
专业技术问题。实际上,网络环境下的信息安全不仅涉及到技术问题,而且涉及
了法律政策问题和管理问题,技术问题虽然是最直接的保证信息安全的手段,但
离开了法律政策和管理的基础,纵有最先进的技术,信息安全也得不到保障。
1.法律政策问题
要使网络安全运行,信息安全传递,需要靠必要的法律建设,以法制来强化网络
安全。这主要涉及网络规划与建设的法律,网络管理与经营的法律,网络安全的
法律,用户(自然人或法人)数据的法律保护,电子资金划转的法律认证,计算机
犯罪与刑事立法,计算机证据的法律效力等法律问题。同时,还要有法必依,有
法必行。
法律是网络安全的第一道防线。不难设想,若无这些法律的建设和法律的实施,
网络将不成其为网络,网络的规划与建设必然是混乱的,网络将没有规范的协调
的运营管理,数据将得不到有效的保护,电子资金的划转将产生法律上的纠纷,
网络将受到黑客的攻击而黑客受不到惩罚。仅仅这些问题的发生,即将使网络无
法安全地传递信息,无法起到信息传递通道的作用。
有了相关法律的保障,没有相应的政策,也无法使保障信息安全具有可操作性。
如美国联邦政府1996年发布了A-130通告,在附录"联邦政府自动化信息资源安全
"政策大纲中,具体阐述了计算机系统的安全对策,可操作性很强。
2.管理问题
管理问题包括三个层次的内容:组织建设、制度建设和人员意识。组织建设问题
是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、
应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容,因此只
靠一个机构是没法解决这些问题的。在各信息安全管理机构之间,要有明确的分
工,以避免"政出多门"和"政策撞车"现象的发生。
明确了各机构的职责之后,还需要建立切实可行的规章制度,以保证信息安全。
如对人的管理,需要解决多人负责、责任到人的问题,任期有限的问题,职责隔
离的问题,最小权限的问题。
有了组织机构和相应的制度,还需要领导的高度重视和群防群治。这需要信息安
全意识的教育和培训,以及对信息安全问题的高度重视。
3.技术问题
影响计算机网络环境下信息安全的技术问题包括通信安全技术和计算机安全技术
两个方面,二者共同维护着信息安全。
保证通信安全所涉及的技术有:①信息加密技术。信息加密技术是保障信息安全
的最基本、最核心的技术措施和理论基础。信息加密过程由形形色色的加密算法
来具体实施,它以较小的代价获得较大的安全保护。②信息确认技术。信息确认
技术通过严格限定信息的共享范围来达到防止信息被非法伪造、篡改和假冒。一
个安全的信息确认方案应该能使:a.合法的接收者能够验证他收到的消息是否真
实;b.发信者无法抵赖自己发出的消息;c.除合法发信者外,别人无法伪造消息
;d.发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确
认、身份确认和数字签名。③网络控制技术。包括:a.防火墙技术。它是一种允
许接入外部网络,但同时又能够识别和抵抗非授权访问的网络安全技术。b.审计
技术。它使信息系统自动记录下网络中机器的使用时间、敏感操作和违纪操作等
。c.访问控制技术。它允许用户对其常用的信息库进行适当权利的访问,限制他
随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在
网络中的活动,及时发现并拒绝"黑客"的入侵。d.安全协议。整个网络系统的安
全强度实际上取决于所使用的安全协议的安全性。
计算机安全涉及计算机硬件、软件和数据的安全。所涉及的技术问题主要有:①
容错计算机技术。容错计算机具有的基本特点是:稳定可靠的电源、预知故障、
保证数据的完整性和数据恢复等。当任何一个可操作的子系统遭到破坏后,容错
计算机能够继续正常运行。②安全操作系统。操作系统是计算机工作的平台,一
般的操作系统都在一定程度上具有访问控制、安全内核和系统设计等安全功能。
但相反的例证是微软视窗系统的"NSA密钥"则在很大程度上危害着用户的信息安全
。所谓NSA密钥,是指1998年有人发现视窗系统中存在用途等详情不清的第二把密
钥。1999年8月,加拿大Cryotonym公司首席科学家AndrewFernandes宣布,他发现
这第二把密钥叫做NSAKey,而NSA就是美国国家安全局的简称,也就是说,微软在
每一份视窗系统中都安装了一个"后门",专供NSA在需要时侵入全世界用户的电脑
。③计算机反病毒技术。计算机病毒其实是一种在计算机系统运行过程中能够实
现传染和侵害的功能程序,是影响计算机安全不容忽视的重要因素。
4.其它因素
影响网络环境下的信息安全还有一个很重要的因素,即信息安全产业的发展问题
。我们知道,保证网络环境下的信息安全,涉及很多信息安全产品和服务,如防
火墙、安全操作系统、相应的信息安全软件等。如果一国的信息安全产品都是依
靠国外进口,那么就很难保证该国一些涉及国家经济安全的信息的安全应用。如
果出口国完全掌握着信息安全产品的核心技术,就很容易侵入进口国的网络系统
,得到进口国的机密信息。例如,我国现在还没有自己的CPU和操作系统,目前大
面积使用国外的CPU和操作系统,类似Intel芯片奔腾III的序列号问题、微软公司
视窗系统的"NSA密钥"就可能负面影响我国的信息安全。
另一个问题是信息安全产品和技术的标准和标准化。制订行业标准是保证行业发
展的重要基础,在信息安全产品和技术方面,如果没有统一的标准,那么将无从
度量和测评各种信息安全产品和技术。
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 61.158.51.109]
|
|