防范水平解决信息网络安全问题需要技术管理、法制、教育并举,而从技术方面解决信息网络安全问题又是最基本的。因为网络犯罪必须依赖于信息处理才能完成,而信息处理必须依靠网络应用技术才能得以实现,技术对策对于防范和打击网络犯罪有着重要意义。
一、我国信息网络安全现状我国的信息网络安全起步较晚,安全防护能力还处于发展的初级阶段。当前,国内许多信息网络应用系统尚处于不设防状态,存在着很大的风险性和危险性。有些重要的网络应用系统使用的安全设备都是从国外直接引进的,难以保证安全利用和有效监控。
国内的网络安全方面的研发力量分散,功能单一,基本处于封堵已发现的安全漏洞。这种状况,使我国信息网络安全面临严峻的挑战。所以就要求政府、互联网自律组织的科技人员共同努力,搞好防范措施。
近些年,计算机病毒在我国传播感染情况严重,特别是“红色代码”二型、“尼姆达”等恶性病毒在我国大面积传播,造成一些政府机构、教育科研单位等行业的网络通讯阻塞,甚至出现服务器瘫痪。同时,黑客的非法入侵也频频发生。这些都严重危害了信息系统安全运行秩序,我们应采取有效的技术措施,如为计算机网络系统架设软、硬件防火墙阻止犯罪分子非法侵入网络系统、对系统采取实时监控技术及时发现并跟踪入侵者等在一定程度上都能起到有效遏制和防范网络犯罪的作用。因此,加强技术上的防范措施和防范意识是确保网络信息安全的技术保障。
二、我国信息网络安全所面临的机遇我国信息网络安全有着难得的发展机遇。各部门提高了对网络安全的重视程度,纷纷制订发展规划。信息网络安全已列入国家重点基础研究发展规划项目并作为国家十五、863计划和国家自然科学基金会支持的重点。相应地,国内一些研究单位和企业已开发出一批满足社会需要的信息网络安全技术和产品,这些都在国家863成果展示会上得到了反映。特别是上海市的信息网络安全S219工程的启动及国家信息安全成果转化产业化基地的筹建,在全国具有示范的作用。所有这些,使我国的信息网络安全发展出现了前所未有的好形势。
三、网络安全概述
(一)网络安全的概念1.中国关于网络安全的法律法规主要有:
(1)1994年《中华人民共和国计算机信息系统安全保护条例》。
(2)1997年《计算机信息网络国际联网安全保护管理办法》(公安部)第6条,规定了五类危害计算机信息网络安全的行为。
(3)1997年《中华人民共和国刑法》第285条、第286条规定了非法侵入计算机信息系统罪与破坏计算机信息系统罪。
2.网络安全的概念网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来讲,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护;从网络运行和管理者角度讲,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击;对安全保密部门来讲,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失;从社会教育和意识形态角度来讲,他们希望网络上那些对社会的稳定和人类的发展造成阻碍的不健康的内容得到控制。
而人们在通常的感觉下,安全就是“避免冒险和危险”。在计算机科学中,安全就是防止,防止未授权的使用者访问信息,防止未授权而试图破坏或更改信息。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全技术即致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其他的安全服务和安全机制策略。
综合而言,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。从其本质上来讲就是网络上的信息安全。
(二)网络安全的特征网络安全应具有以下四个方面的特征:
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性:
可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息,例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性:对信息的传播及内容具有控制能力。
(三)网络安全的内容1.网络的物理安全我们认为网络物理安全是整个网络系统安全的前提。我们通常所说的物理安全的风险主要有:自然灾害(如雷电、地震、火灾等),物理损坏(如硬盘损坏、设备使用寿命到期等),设备故障(如停电、电磁干扰等),意外事故,电磁泄漏,信息泄漏,干扰他人,受他人干扰,乘机而入(如进入安全进程后半途离开),痕迹泄露(如口令密钥等保管不善),操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏等。
2.网络拓扑结构安全网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet的其他的网络,影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和内部其他业务网络进行必要的隔离,避免网络结构信息外泄。同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
3.网络系统安全所谓系统安全通常是指网络操作系统、应用系统的安全。即整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的WindowsNT或者UNIX操作系统以及其他厂商开发的应用系统,其开发厂商必然有其Back-Door,这些“后门”或安全漏洞都存在重大安全隐患。因此,我们可以得出如下结论:没有完全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置,而且必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的,它涉及到信息、数据的安全性。其中信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与账户、上传信息等)的机密性与完整性。
4.网络管理的安全网络空间中安全防范措施和技术在一定程度上对防范外来网络入侵是有效的,但是,面对缺少责任心和防范意识的管理者,它将降低甚至失去力量。一方面计算机网络信息系统的庞大在客观上加大了管理的复杂性与难度,另一方面在长期单调的工作模式下,管理员放松警惕、缺少防范意识是导致犯罪、尤其是内部人员成功作案的主观因素。
所以从这方面来说管理是网络中安全最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险,比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地等,而在管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其他一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理和技术解决方案相结合。
保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设成为防范网络犯罪过程中重要的一环。
(四)关于网络安全方面的案例
1.我国有关的互连网安全问题案例1996年2月,刚开通不久的Chinanet受到某高校的一个研究生的攻击,且攻击得逞。1996年秋,北京某ISP和它的用户发生了一些矛盾,此用户便攻击该ISP的服务器,致使服务中断了数小时,并在清华大学“水木清华”BBS站的“黑客与解密”讨论区张贴有关如何免费通过该ISP进入Internet的文章。1997年4月23日,美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个PPP用户侵入中国互联网络信息中心的服务器,破译该系统的shut-down账户,把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。
2.国际上发生的关于网络安全的案例1994年末,俄罗斯黑客从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转账方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。1996年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计,有53%的企业受到过计算机病毒的侵害,42%的企业的计算机系统在过去的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。
1996年8月17日,美国司法部的网络服务器遭到黑客入侵,并将“美国司法部”的主页改为“美国不公正部”,将司法部部长的照片换成了希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手,此外还留下了很多攻击美国司法政策的文字。1996年9月18日,黑客又光顾美国中央情报局的网络服务器,将其主页由“中央情报局”改为“中央愚蠢局”。
1996年12月29日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都是谎言,迫使美国国防部一度关闭了其他80多个军方网址。
