1. 网络安全与保密的概述
1.1网络安全与保密的概念
网络安全从其本质上来讲就是网络上的信息安全。从广义来说,只要是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。网络安全与信息保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。
网络安全的特征,网络安全应具有以下四个方面的特征:
(1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
(2)完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
(3)可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
(4)可控性:对信息的传播及内容具有控制能力。
1.2:网络安全与保密的实现
网络信息安全与保密是一个涉及面很广的问题。要实现网络信息安全与保密必须做到:重视安全检测与评估, 建立完善安全体系结构, 制订严格的安全管理措施, 强化安全标准。首先要重视安全检测和评估,入网前的检测和评估是保障网络信息安全与保密的重要措施, 它能够把不符合要求的设备或系统拒之门外。但是, 更为重要的是实际网络运行中的检测与评估。其次要建立完善的安全体系,为了适应网络技术的发展, 国际标准化组织( OSI) 的计算机专门委员会根据开放系统互连参考模型( OSI) 制订了一个网络安全体系结构, 包括安全服务和安全机制。主要包括以下安全服务:
1) 对等实体鉴别服务。这种服务是在两个开放系统同等层中的实体建立连接和数据传送期间, 为提供连接实体身份的鉴别而规定的一种服务。
2) 访问控制服务。这种服务可以防止未经授权的用户非法使用系统资源。
3) 数据保密服务。这种服务的目的是保护网络中各系统之间交换的数据, 防止因数据被截获而造成泄密。
4) 数据整体性服务。这种服务用来防止非法实体( 用户) 的主动攻击, 以保证数据接收方收到的信息与发送方发送的信息完全一致。
5) 数据源鉴别服务。这是某一层向上一层提供的服务, 它用来确保数据是由合法实体发出的, 为上一层提供对数据源的对等实体进行鉴别, 以防假冒。
6) 禁止否认服务。这种服务用来防止发送数据方发送数据后否认自己发送过数据, 或接收方接收数据后否认自己收到过数据。
1.3:网络信息安全的原则
虽然任何人都不可能设计出绝对安全和保密网络信息系统, 但是, 如果在设计之初就遵从一些合理的原则, 那么相应网络信息系统的安全与保密就更加有保障。从工程技术角度出发, 在设计网络信息系统时, 至少应该遵守以下设计原则:
1) 网络信息系统安全与保密的 木桶原则:对信息均衡、全面地进行安全保护。
2) 网络信息安全系统的 整体性原则: 安全保护, 监测应急恢复。
3) 信息安全系统的 有效性与实用性原则:不能影响系统的正常运行和合法用户的操作活动。
4) 信息安全系统的安全性评价原则: 实用安全性与用户应用环境紧密相关。
5) 信息安全系统的等级性原则:安全层次和安全级别控制。
6) 信息安全系统的动态化原则:整个系统内仅可能引入更多的可变因素, 并具有良好的扩展性。
2. 层出不穷的网络威胁
2.1:恶意攻击
人为的恶意攻击是有目的的破坏。恶意攻击可以分为主动攻击和被动攻击。主动攻击是指以各种方式有选择地破坏信息(如修改、删除、伪造、添加、重放、乱序、冒充、病毒等)。被动攻击是指在不干扰网络信息系统正常工作的情况下,进行窃取、截获、破译和业务流量分析及电磁泄露等。由于人为恶意攻击有明显企图,其危害性相当大,给国家和企业安全、知识产权和个人信息带来巨大威胁。
2.2:安全缺陷
网络信息系统是计算机技术和通信技术的结合。计算机系统的安全缺陷和通信链路的安全缺陷,构成了网络信息系统的潜在安全缺陷。计算机硬件资源易受自然灾害和人为破坏;软件资源和数据信息易受计算机病毒的侵扰,非授权用户的复制、篡改和毁坏。计算机硬件工作时的电磁辐射以及软硬件的自然失效、外界电磁干扰等均会影响计算机的正常工作。采用主动攻击和被动攻击可以窃听通信链路的信息,并非法进入计算机网络获取有关敏感性重要信息。
2.3:软件漏洞
网络信息系统由硬件和软件组成。由于软件程序的复杂性和编程的多样性,在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞,软件漏洞显然会影响网络信息的安全与保密。下面介绍一些有代表性的软件安全漏洞。操作系统的安全漏洞:操作系统是硬件和软件应用程序之间接口的程序模块,它是整个网络信息系统的核心控制软件,系统的安全体现在整个操作系统之中。操作系统的安全是深层次的安全,主要的安全功能包括:存储器保护(限定存储区和地址重定位,保护存储的信息)、文件保护(保护用户和系统文件,防止非授权用户访问)、访问控制、用户认证(识别请求访问的用户权限和身份)。
数据库的安全漏洞:数据库是从操作系统的文件系统基础上派生出来的用于大量数据的管理系统。数据库的全部数据都记录在存储媒体上,并由数据库管理系统(DBMS)统一管理。DBMS为用户及应用程序提供一种访问数据的方法,对数据库进行组织和管理,并对数据库进行维护和恢复。DBMS是在操作系统的基础之上运行的应用程序,是为多个用户共享的应用软件。有些数据库将原始数据以明文形式存储于数据库中,对存储数据没有进行加密保护。入侵者采用某种方式打入系统,从系统的后备存储器上窃取数据或篡改数据。
TCP/IP协议的安全漏洞:TCP/IP协议是上世纪90年代以来发展最为迅速的网络协议。目前,TCP/IP协议在英特网上一统天下。正是由于它的广泛使用性,使得TCP/IP的任何安全漏洞都会产生巨大影响。TCP/IP通信协议在设计初期并没有考虑到安全性问题,而且用户和网络管理员没有足够的精力专注于网络安全控制,加上操作系统和应用程序越来越复杂,开发人员不可能测试出所有的安全漏洞,连接到网络上的计算机系统就可能受到外界的恶意攻击和窃取。网络软件与网络服务的漏洞:比较常见的网络软件与网络服务的漏洞有以下几种。匿名FTP。匿名FTP是英特网服务商的一项重要服务,它允许任何网络用户通过FTP访问系统上的软件,而不正确的配置将严重威胁系统的安全。
远程登录。在大型网络环境下,远程登录可以给用户带来很大方便,但在方便的背后却潜藏着一个很大的安全危机。网络黑客只要在所攻击的目标主机的IP包所经过的一条路由上运行"嗅探器"的程序,就可以截取目标口令。所以,远程登录将给网络黑客提供便利的入侵机会,给网络安全和信息保密带来很大威胁。
电子邮件。电子邮件是当今网络上使用最多的一项服务,因此,通过电子邮件来攻击一个系统是网络黑客们的拿手好戏。在计算机网络中最容易被窃的就是电子邮件的信息。电子邮件的发送要经过许多中转主机节点。在每个节点邮件将被临时存贮,直到线路畅通,才会沿最佳路径向下一个主机节点传送。电子邮件这种犹如明信片慢件一样一件件的接力传递方式,每经过一个节点就多了一次被黑客截取信息的机会。电子邮件给网络带来的另一个安全问题是E-mail计算机病毒,比如莫里斯"蠕虫"病毒,正是利用E-mail来进行广泛传播的。口令设置的漏洞:口令是网络信息系统中最常用的安全与保密措施之一。如果用户采用了适当的口令,那么他的信息系统安全性将得到大力加强。然而实际上,谨慎设置口令的网络用户很少,这对计算机内信息的安全保护带来了很大的隐患。网络信息系统的设计安全性再强,如果用户选择的口令不当,仍然存在被破坏的危险。
3. 企业中网络信息与保密方面的措施
随着信息和网络技术的发展,网络已经存在于人们生活的每个角落,并且给人们带来了很大的便利。由于网络是一个开放式的系统,对网络的安全和信息的保密的措施还不完善,存在着安全隐患,网络安全形式日趋严峻。目前,所有的企业的资料都是通过网络来存储信息的,并且大部分的工作也离不开网络,网络安全一旦有问题,那么信息保密必然存在问题,这样将会给企业带来无法弥补的损失。
3.1:信息安全保密的重要性
对现代企业来说核心技术信息的安全与保密工作因其关系到企业的核心竞争力及利益而显得尤为重要。由于计算机在信息的存储安全方面有着比其他媒体更可靠等特点,现代企业一般都会将核心技术信息存放于较为安全可靠的计算机里,并设置重重保护,但即使如此,技术信息泄密事情也屡见不鲜。重要的客户资料及商业信息由于客户资料及商业信息会经常使用并更新,所以与外界的接触也最多,这也导致其安全大为下降,而一旦被竞争对手所掌握,则可能导致本企业的利益则流失,最终使企业利益受损。
3.2:企业中传统的网络安全与保密的措施
3.2.1:身份认证
身份认证是通信双方在实质性数据传输之前进行审查和证实对方身份的操作。身份认证可以在用户登录时进行,也可以贯穿于数据传输的过程中。在允许用户进入计算机网络系统之前,必须进行严格的身份认证。身份认证可以采用普通口令系统、一次性口令或生理特征等认证措施。
3.2.2访问控制
访问控制是指对合法用户进行文件和数据操作权限的限制。这种权限主要包括对信息资源的读、写、执行等。在内部网与外部网之间,应该设置保密网关或者火墙。实现内外网的隔离与访问控制是保证内部网信息保密的最主要,同时也是最有效、最经济的措施之一。在内部网中,对涉密程度不高的系统,可以按用户类别进行访问控制,对涉密程度高的系统,访问必须控制到单个用户。
3.2.3涉密信息的加密
加密是提高计算机网络中信息的保密性、完整性,防止信息被外部破析所采用的主要技术手段,也是最可靠、最直接的方案。加密算法主要有两种:私钥(对称密钥)加密法和公钥(非对称密钥)加密法。在涉密计算机网络的出入口处设置用于检查信息加密情况的保密网关,对内部网内出网的电子文件,规定必须加保密印章标识,并对其进行检查和处理:无密级的文件,允许出关。由国家保密局立项研制的内部网保密网关已经投入了使用,它能够为保证计算机网络的信息保密起到重要的防范作用。
3.2.4数据完整性验证技术
数据完整性验证是指在数据处理过程中,验证接收方接收到的数据就是发送方发送的数据,没有被篡改。
3.2.5防通信业务流分析技术
通过填充冗余业务流的方法可以防止攻击者进行通信业务流分析。
3.2.6网上信息内容的保密检查技术
为了了解网络用户执行保密法规制度的情况,及时发现泄密问题,必须加强对网上信息内容的保密检查。
3.2.7审计跟踪
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全保密性的重要工具。 计算机网络系统应有详细的系统日志,记录每个用户的每次活动(访问时间和访问的数据、程序、设备等),以及系统出错信息和配置修改信息。
3.2.8防电磁泄漏发射
目前,为防止网络信息设备电磁泄漏发射造成泄密,所采取的安全措施主要有:用屏蔽室把网络信息设备与周围隔离,防止电磁波向屏蔽室外泄漏。屏蔽室适用于同网络中心机房及设备集中使用、处理高密级信息的系统。采用低辐射网络信息设备将电磁辐射减小到规定的强度,使窃收信息成为不可能。这种方法适用于设备分散使用、处理高密级信息的系统。以电磁波的形式对网络信息设备电磁泄漏发射进行干扰,使窃收方不能提取信息。这种方法经济、方便,适用于处理较低密级信息的系统。对传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,应该尽可能采用光缆传输的方式。
3.3对传统防护措施的补充
尽管传统的安全保密策略能够满足一般的企业日常应用需要,但一些小问题还是经常出现,稍不注意就可能导致出大问题,比如对秘密文件的复制、打印、借阅、存放、销毁以及计算机的维修、更新换代等等问题,所以本文认为还应从以下几方面进一步加强信息的安全与保密工作:
3.3.1 建立完善的网络保管制度
建立严格的机房管理制度,禁止无关人员随便进出机房,网络系统的中心控制室更应该有严格的出人制度。同时机房选址要可靠,重要部门的机房要有必要的保安措施。规定分级使用权限。首先,对计算机中心和计算机数据划分密级,采取不同的管理措施,秘密信息不能在公开的计算机中心处理,密级高的数据不能在密级低的机中心处理;其次,根据使用者的不同情况,规定不同使用级别,低级别的机房不能进行高级别的操作;在系统开发中,系统分析员、程序员和操作员应职责分离,使知悉全局的人尽可能少。加强对媒体的管理。录有秘密文件的媒体,应按照等密级文件进行管理,对其复制、打印、借阅、存放、销毁等均应遵守有关规定。同一片软盘中不要棍录秘密文件和公开文件,如果同时录有不同密级的文件,应按密级最高的管理。还应对操作过程中临时存放过秘密文件的磁盘以及调试运行中打印的废纸作好妥善处理。
3.3.2从技术上保证计算机信息的安全
使用低辐射计算机设备。这是防止计算机辐射泄密的根本措施,这些设备在设计和生产时,已对可能产生信息辐射的元器件、集成电路、连接线和等采取了防辐射措施,把设备的信息辐射抑制到最低限度。屏蔽。根据辐射量的大小和客观环境,对计算机机房或主机内部件加以屏蔽,检测合格后,再开机上作。将计算机和辅助设备用信息屏蔽笼封闭起来,并将全局屏蔽笼接地,能有效地防止计算机和辅助设备的电磁波辐射。不具备上述条件的,可将计算机辐射信号的区域控制起来,不许外部人员接近。干扰。根据电子对抗原理,采用一定的技术措施,利用干扰器产生噪声与计算机设备产生的信息辐射一起向外辐射。对计算机的辐射信号进行于扰,增加接收还原解读的难度,保护计算机辐射的秘密信息。不具备上述条件的,也可将处理重要信息的计算机放在中间,四周置放处理一般信息的计算机。这种方法可降低辐射信息被接收还原的可能性。对联网泄密的技术防范措施:一是身份鉴别。计算机对用户的识别,主要是核查用户输人的口令,网内合法用户使用资源信息也有使用权限问题,因此,对口令的使用要严格管理。二是监视报警。对网络内合法用户工作情况作详细记录,对非法用户,计算机将其闯人网络的尝试次数、时间。电话号码等记录下来,并发出报警,依此追寻非法用户的下落。三是加密,将信息加密后存贮在计算机里,并注上特殊调用口令。
3.3.3加强对相关工作人员的管理教育
要牢固树立网络信息工作人员保密观念。网络信息工作人员要不断加强自身学习,了解新形势,适应新变化。充分认识到新时期保密问题的重要性、紧迫性,不断增强保守企业秘密的意识。加强对网络信息工作人员的业务培训。网络信息工作人员要不断提高计算机网络安全保密知识水平,真正了解所有设备的性能,掌握防止泄密的知识和防范措施,管理部门要利用和创造机会扩展他们的知识面,增强主动性,减少盲目性,以防因无知而泄密。努力构建以计算机基础知识为根基,保密专业知识为主干,相关知识为补充的知识结构,使网络信息管理工作人员向复合型人才转化。
4结束语
在社会不断进步,技术不断革新的现代社会。通信技术和网络的不断强大使得我们对于网络安全与保密有了更高的关注。而这个观念在企业中尤为重要,在一些敏感的部分和掌握重要资料的部门都应该强化这一思想。虽然当前的一些相关技术能保证企业运行中资料的安全,但是潜在的威胁还是不容忽视,应定期进行系统的检查,排除可能的漏洞。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
