-
網絡安全
(國家安全包括的一項基本內容)
鎖定
網絡安全概念
網絡安全,通常指計算機網絡的安全,實際上也可以指計算機通信網絡的安全。計算機通信網絡是將若干台具有獨立功能的計算機通過通信設備及傳輸媒體互連起來,在通信軟件的支持下,實現計算機間的信息傳輸與交換的系統。而計算機網絡是指以共享資源為目的,利用通信手段把地域上相對分散的若干獨立的計算機系統、終端設備和數據設備連接起來,並在協議的控制下進行數據交換的系統。計算機網絡的根本目的在於資源共享,通信網絡是實現網絡資源共享的途徑,因此,計算機網絡是安全的,相應的計算機通信網絡也必須是安全的,應該能為網絡用户實現信息交換與資源共享。下文中,網絡安全既指計算機網絡安全,又指計算機通信網絡安全。
[3]
安全的基本含義:客觀上不存在威脅,主觀上不存在恐懼。即客體不擔心其正常狀態受到影響。可以把網絡安全定義為:一個網絡系統不受任何威脅與侵害,能正常地實現資源共享功能。要使網絡能正常地實現資源共享功能,首先要保證網絡的硬件、軟件能正常運行,然後要保證數據信息交換的安全。從前面兩節可以看到,由於資源共享的濫用,導致了網絡的安全問題。因此網絡安全的技術途徑就是要實行有限制的共享。
[3]
網絡安全相對概念
從網絡運行和管理者的角度來講,其希望本地信息網正常運行,正常提供服務,不受網外攻擊,未出現計算機病毒、非法存取、拒絕服務、網絡資源非法佔用和非法控制等威脅。從安全保密部門的角度來講,其希望對非法的、有害的、涉及國家安全或商業機密的信息進行過濾和防堵,避免通過網絡泄露關於國家安全或商業機密的信息,避免對社會造成危害,對企業造成經濟損失。從社會教育和意識形態的角度來講,應避免不健康內容的傳播,正確引導積極向上的網絡文化。
[3]
網絡安全狹義解釋
網絡安全在不同的應用環境下有不同的解釋。針對網絡中的一個運行系統而言,網絡安全就是指信息處理和傳輸的安全。它包括硬件系統的安全、可靠運行,操作系統和應用軟件的安全,數據庫系統的安全,電磁信息泄露的防護等。狹義的網絡安全,側重於網絡傳輸的安全。
[3]
網絡安全廣義解釋
其中的信息安全需求,是指通信網絡給人們提供信息查詢、網絡服務時,保證服務對象的信息不受監聽、竊取和篡改等威脅,以滿足人們最基本的安全需要(如隱秘性、可用性等)的特性。網絡安全側重於網絡傳輸的安全,信息安全側重於信息自身的安全,可見,這與其所保護的對象有關。
[3]
由於網絡是信息傳遞的載體,因此信息安全與網絡安全具有內在的聯繫,凡是網上的信息必然與網絡安全息息相關。信息安全的含義不僅包括網上信息的安全,而且包括網下信息的安全。現在談論的網絡安全,主要是是指面向網絡的信息安全,或者是網上信息的安全。
[3]
網絡安全發展現狀
隨着計算機技術的飛速發展,信息網絡已經成為社會發展的重要保證。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網絡實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
[4]
- 國外
2012年2月4日,黑客集團Anonymous公佈了一份來自1月17日美國FBI和英國倫敦警察廳的工作通話錄音,時長17分鐘,主要內容是雙方討論如何尋找證據和逮捕Anonymous, LulzSec, Antisec, CSL Security等黑帽子黑客的方式,而其中涉及未成年黑客的敏感內容被遮蓋。
[4]
2012年2月13日,據稱一系列政府網站均遭到了Anonymous組織的攻擊,而其中CIA官網週五被黑長達9小時。這一組織之前曾攔截了倫敦警察與FBI之間的一次機密電話會談,並隨後上傳於網絡。
[4]
- 國內
2011年12月29日下午消息,繼CSDN、天涯社區用户數據泄露後,互聯網行業一片人心惶惶,而在用户數據最為重要的電商領域,也不斷傳出存在漏洞、用户泄露的消息,漏洞報告平台烏雲昨日發佈漏洞報告稱,支付寶用户大量泄露,被用於網絡營銷,泄露總量達1500萬~2500萬之多,泄露時間不明,裏面只有支付用户的賬號,沒有密碼。已經被捲入的企業有京東商城、支付寶和噹噹網,其中京東及 支付寶否認信息泄露,而噹噹則表示已經向當地公安報案。
[4]
未來二三十年,信息戰在軍事決策與行動方面的作用將顯著增強。在諸多決定性因素中包括以下幾點:互聯網、無線寬帶及射頻識別等新技術的廣泛應用;實際戰爭代價高昂且不得人心,以及這樣一種可能性,即許多信息技術可秘密使用,使黑客高手能夠反覆打進對手的計算機網絡。
[4]
據網易、中搜等媒體報道,為維護國家網絡安全、保障中國用户合法利益,我國即將推出網絡安全審查制度。該項制度規定,關係國家安全和公共安全利益的系統使用的重要信息技術產品和服務,應通過網絡安全審查。審查的重點在於該產品的安全性和可控性,旨在防止產品提供者利用提供產品的方便,非法控制、干擾、中斷用户系統,非法收集、存儲、處理和利用用户有關信息。對不符合安全要求的產品和服務,將不得在中國境內使用。
[4]
- 技術支配力量加重
對信息戰與運作的影響:技術支配力量不斷加強是網絡戰的根本基礎。複雜且常是精微的技術增加了全世界的財富,提高了全球的效率。然而,它同時也使世界變得相對脆弱,因為,在意外情況使計算機的控制與監視陷於混亂時,維持行業和支持系統的運轉就非常困難,而發生這種混亂的可能性在迅速增加。根據未來派學者約瑟夫·科茨的觀點,“一個常被忽視的情況是犯罪組織對信息技術的使用。”時在2015年,黑手黨通過電子手段消除了得克薩斯州或內布拉斯加州一家中型銀行的所有記錄,然後悄悄訪問了幾家大型金融服務機構的網站,併發布一條簡單的信息:“那是我們乾的——你可能是下一個目標。我們的願望是保護你們。”
[4]
- 通信技術生活方式
電信正在迅速發展,這主要是得益於電子郵件和其他形式的高技術通信。然而,“千禧世代”(1980年—2000年出生的一代——譯註)在大部分情況下已不再使用電子郵件,而喜歡採用即時信息和社交網站與同伴聯繫。這些技術及其他新技術正在建立起幾乎與現實世界中完全一樣的複雜而廣泛的社會。
[4]
破壞或許並不明目張膽,或者易於發現。由於生產系統對客户的直接輸入日益開放,這就有可能修改電腦控制的機牀的程序,以生產略微不合規格的產品——甚至自行修改規格,這樣,產品的差異就永遠不會受到注意。如果作這類篡改時有足夠的想像力,並且謹慎地選準目標,則可以想象這些產品會順利通過檢查,但肯定通不過戰場檢驗,從而帶來不可設想的軍事後果。
[4]
信息技術與商業管理顧問勞倫斯·沃格爾提醒注意雲計算(第三方數據寄存和麪向服務的計算)以及Web2.0的使用(社交網及交互性)。他説:“與雲計算相關的網絡安全影響值得注意,無論是公共的還是私人的雲計算。隨着更多的公司和政府採用雲計算,它們也就更容易受到破壞和網絡襲擊。這可能導致服務及快速的重要軟件應用能力受到破壞。另外,由於Facebook、博客和其他社交網在我們個人生活中廣泛使用,政府組織也在尋求與其相關方聯絡及互動的類似能力。一旦政府允許在其網絡上進行交互的和雙向的聯絡,網絡襲擊的風險將隨之大增。”
[4]
- 全球經濟日益融合
- 研究與發展
(R&D)促進全球經濟增長的作用日益增強,美國研發費用總和30年來穩步上升。中國、日本、歐盟和俄羅斯也呈類似趨勢。對信息戰及運作的影響:這一趨勢促進了近數十年技術進步的速度。這是信息戰發展的又一關鍵因素。R&D的主要產品不是商品或技術,而是信息。即便是研究成果中最機密的部分一般也是存儲在計算機裏,通過企業的內聯網傳輸,而且一般是在互聯網上傳送。這種可獲取性為間諜提供了極好的目標——無論是工業間諜,還是軍事間諜。技術變化隨着新一代的發明與應用而加速。
[4]
在發展極快的設計學科,大學生一年級時所學的最新知識到畢業時大多已經過時。設計與銷售週期——構想、發明、創新、模仿——在不斷縮短。在20世紀40年代,產品週期可持續三四十年。今天,持續三四十週已屬罕見。
[4]
機器智能的發展也將對網絡安全產生複雜影響。據知識理論家、未來學派學者布魯斯·拉杜克説:“知識創造是一個可由人重複的過程,也是完全可由機器或在人機互動系統中重複的過程。”人工知識創造將迎來“奇點”,而非人工智能,或人工基本智能(或者技術進步本身)。人工智能已經可由任何電腦實現,因為情報的定義是儲存起來並可重新獲取(通過人或計算機)的知識。(人工知識創造)技術最新達到者將推動整個範式轉變。
[4]
網絡安全主要問題
網絡安全安全隱患
4.在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄露等,在應用層支持的服務協議中是憑着君子協定來維繫的。
[4]
6.計算機病毒通過Internet的傳播給上網用户帶來極大的危害,病毒可以使計算機和計算機網絡系統癱瘓、數據和文件丟失。在網絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。
[4]
網絡安全攻擊形式
網絡安全解決方案
1.入侵檢測系統部署
入侵檢測能力是衡量一個防禦體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火牆相對靜態防禦的不足。對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,並採取相應的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能於一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特徵庫,使用模式匹配和智能分析的方法,檢測網絡上發生的入侵行為和異常現象,並在數據庫中記錄有關事件,作為網絡管理員事後分析的依據;如果情況嚴重,系統可以發出實時報警,使得學校管理員能夠及時採取應對措施。
[4]
2.漏洞掃描系統
3.網絡版殺毒產品部署
在該網絡防病毒方案中,我們最終要達到一個目的就是:要在整個局域網內杜絕病毒的感染、傳播和發作,為了實現這一點,我們應該在整個網絡內可能感染和傳播病毒的地方採取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分佈查殺等多種功能。
[4]
網絡安全網絡信息分類
網絡通信具有全程全網聯合作業的特點。就通信而言,它由五大部分組成:傳輸和交換、網絡標準、協議和編碼、通信終端、通信信源、人員。這五大部分都會遭到嚴重的威脅和攻擊,都會成為對網絡和信息的攻擊點。而在網絡中,保障信息安全是網絡安全的核心。網絡中的信息可以分成用户信息和網絡信息兩大類。
[3]
網絡安全用户信息
網絡安全網絡信息
在網絡中,網絡信息與用户信息不同,它是面向網絡運行的信息。網絡信息是網絡內部的專用信息。它僅向通信維護和管理人員提供有限的維護、控制、檢測和操作層面的信息資料,其核心部分仍不允許隨意訪問。特別應當指出,當前對網絡的威脅和攻擊不僅是為了獲取重要的用户機密信息,得到最大的利益,還把攻擊的矛頭直接指向網絡本身。除對網絡硬件攻擊外,還會對網絡信息進行攻擊,嚴重時能使網絡陷於癱瘓,甚至危及國家安全。網絡信息主要包括以下幾種:
[3]
- 電信網的信令信息:在網絡中,信令信息的破壞可導致網絡的大面積癱瘓。為信令網的可靠性和可用性,全網應採取必要的冗餘措施,以及有效的調度、管理和再組織措施,以保證信令信息的完整性,防止人為或非人為的篡改和破壞,防止對信令信息的主動攻擊和病毒攻擊。 [3]
網絡安全主要特性
在美國國家信息基礎設施(NII)的文獻中,明確給出安全的五個屬性:保密性、完整性、可用性、可控性和不可抵賴性。這五個屬性適用於國家信息基礎設施的教育、娛樂、醫療、運輸、國家安全、電力供給及通信等廣泛領域。
[3]
網絡安全保密性
保密性是指網絡中的信息不被非授權實體(包括用户和進程等)獲取與使用。這些信息不僅包括國家機密,也包括企業和社會團體的商業機密和工作機密,還包括個人信息。人們在應用網絡時很自然地要求網絡能提供保密性服務,而被保密的信息既包括在網絡中傳輸的信息,也包括存儲在計算機系統中的信息。就像電話可以被竊聽一樣,網絡傳輸信息也可以被竊聽,解決的辦法就是對傳輸信息進行加密處理。存儲信息的機密性主要通過訪問控制來實現,不同用户對不同數據擁有不同的權限。
[3]
網絡安全完整性
數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。數據的完整性是指保證計算機系統上的數據和信息處於一種完整和未受損害的狀態,這就是説數據不會因為有意或無意的事件而被改變或丟失。除了數據本身不能被破壞外,數據的完整性還要求數據的來源具有正確性和可信性,也就是説需要首先驗證數據是真實可信的,然後再驗證數據是否被破壞。影響數據完整性的主要因素是人為的蓄意破壞,也包括設備的故障和自然災害等因素對數據造成的破壞。
[3]
網絡安全可用性
可用性是指對信息或資源的期望使用能力,即可授權實體或用户訪問並按要求使用信息的特性。簡單地説,就是保證信息在需要時能為授權者所用,防止由於主客觀因素造成的系統拒絕服務。例如,網絡環境下的拒絕服務、破壞網絡和有關係統的正常運行等都屬於對可用性的攻擊。Internet蠕蟲就是依靠在網絡上大量複製並且傳播,佔用大量CPU處理時間,導致系統越來越慢,直到網絡發生崩潰,用户的正常數據請求不能得到處理,這就是一個典型的“拒絕服務”攻擊。當然,數據不可用也可能是由軟件缺陷造成的,如微軟的Windows總是有缺陷被發現。
[3]
網絡安全可控性
網絡安全不可抵賴性
不可抵賴性也稱不可否認性。在信息交換過程中,確信參與方的真實同一性,即所有參與者都不能否認和抵賴曾經完成的操作和承諾。簡單地説,就是發送信息方不能否認發送過信息,信息的接收方不能否認接收過信息。利用信息源證據可以防止發信方否認已發送過信息,利用接收證據可以防止接收方事後否認已經接收到信息。數據簽名技術是解決不可否認性的重要手段之一。
[3]
網絡安全市場規模
據國際網絡安全研究報告顯示,2014年全球網絡安全市場規模有望達到956億美元(約合人民幣5951.3億元),並且在未來5年,年複合增長率達到10.3%,到2019年,這一數據有望觸及1557.4億美元(約合人民幣9695.1億元)。其中,到2019年,全球無線網絡安全市場規模將達到155.5億美元(約合人民幣969.3億元),年複合增長率約12.94%。
[5]
從行業來看,航空航天、國防等領域仍將是網絡安全市場的主要推動力量。從地區收益來看,北美地區將是最大的市場。同時,亞太地區、中東和非洲地區有望在一定的時機呈現更大的增長速度。
[5]
報告中指出,雲服務的快速普及、無線通訊、公共事業行業的網絡犯罪增加以及嚴格的政府監管措施出台都是這一市場發展的主要因素。因此,今後批准的網絡安全解決方案將不斷增加以防範和打擊專業對手創造的先進和複雜的威脅。
[5]
此外,由於網絡犯罪逐漸增長導致金融資產的損失,並可能損害國家的基礎設施和經濟,因此雲服務提供商和垂直行業,如能源,石油和天然氣等都將加大網絡安全解決方案的投入。
[5]
網絡安全安全分析
網絡分析系統是一個讓網絡管理者,能夠在各種網絡安全問題中,對症下藥的網絡管理方案,它對網絡中所有傳輸的數據進行檢測、分析、診斷,幫助用户排除網絡事故,規避安全風險,提高網絡性能,增大網絡可用性價值。
[6]
網絡安全物理安全
網絡的物理安全是整個網絡系統安全的前提。在校園網工程建設中,由於網絡系統屬於弱電工程,耐壓值很低。因此,在網絡工程的設計和施工中,必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害;考慮佈線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離;考慮佈線系統和絕緣線、裸體線以及接地與焊接的安全;必須建設防雷系統,防雷系統不僅考慮建築物防雷,還必須考慮計算機及其他弱電耐壓設備的防雷。總體來説物理安全的風險主要有,地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲;高可用性的硬件;雙機多冗餘的設計;機房環境及報警系統、安全意識等,因此要注意這些安全隱患,同時還要儘量避免網絡的物理安全風險。
[6]
網絡安全網絡結構
網絡拓撲結構設計也直接影響到網絡系統的安全性。假如在外部和內部網絡進行通信時,內部網絡的機器安全就會受到威脅,同時也影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到連上Internet/Intranet的其他的網絡;影響所及,還可能涉及法律、金融等安全敏感領域。因此,我們在設計時有必要將公開服務器(WEB、DNS、EMAIL等)和外網及內部其他業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其他的請求服務在到達主機之前就應該遭到拒絕。
[6]
網絡安全系統安全
所謂系統的安全是指整個網絡操作系統和網絡硬件平台是否可靠且值得信任。恐怕沒有絕對安全的操作系統可以選擇,無論是Microsoft 的Windows NT或者其他任何商用UNIX操作系統,其開發廠商必然有其Back-Door。因此,我們可以得出如下結論:沒有完全安全的操作系統。不同的用户應從不同的方面對其網絡作詳盡的分析,選擇安全性儘可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬件平台,並對操作系統進行安全配置。而且,必須加強登錄過程的認證(特別是在到達服務器主機之前的認證),確保用户的合法性;其次應該嚴格限制登錄者的操作權限,將其完成的操作限制在最小的範圍內。
[6]
網絡安全應用系統安全
應用的安全涉及方面很多,以Internet上應用最為廣泛的E-mail系統來説,其解決方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷髮展且應用類型是不斷增加的。在應用系統的安全性上,主要考慮儘可能建立安全的系統平台,而且通過專業的安全工具不斷髮現漏洞,修補漏洞,提高系統的安全性。
[6]
信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。在某些網絡系統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響將是很嚴重的。因此,對用户使用計算機必須進行身份認證,對於重要信息的通訊必須授權,傳輸必須加密。採用多層次的訪問控制與權限控制手段,實現對數據的安全保護;採用加密技術,保證網上傳輸的信息(包括管理員口令與賬户、上傳信息等)的機密性與完整性。
[6]
網絡安全管理風險
管理是網絡中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其他一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
[6]
建立全新網絡安全機制,必須深刻理解網絡並能提供直接的解決方案,因此,最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隱患成為事實,所造成的對整個網絡的損失都是難以估計的。
[6]
網絡安全主要類型
(1)系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
[6]
(2)網絡信息安全
(3)信息傳播安全
(4)信息內容安全
網絡安全影響因素
自然災害、意外事故;計算機犯罪;人為行為,比如使用不當,安全意識差等;“黑客”行為:由於黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連接等;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;網絡協議中的缺陷,例如TCP/IP協議的安全問題等等。
[7]
- 滲入威脅主要有:假冒、旁路控制、授權侵犯;
(1)網絡結構因素
網絡基本拓撲結構有3種:星型、總線型和環型。一個單位在建立自己的內部網之前,各部門可能已建造了自己的局域網,所採用的拓撲結構也可能完全不同。在建造內部網時,為了實現異構網絡間信息的通信,往往要犧牲一些安全機制的設置和實現,從而提出更高的網絡開放性要求。
[7]
(2)網絡協議因素
在建造內部網時,用户為了節省開支,必然會保護原有的網絡基礎設施。另外,網絡公司為生存的需要,對網絡協議的兼容性要求越來越高,使眾多廠商的協議能互聯、兼容和相互通信。這在給用户和廠商帶來利益的同時,也帶來了安全隱患。如在一種協議下傳送的有害程序能很快傳遍整個網絡。
[7]
(3)地域因素
由於內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網絡,而是一個專用網絡),網絡往往跨越城際,甚至國際。地理位置複雜,通信線路質量難以保證,這會造成信息在傳輸過程中的損壞和丟失,也給一些“黑客”造成可乘之機。
[7]
(4)用户因素
企業建造自己的內部網是為了加快信息交流,更好地適應市場需求。建立之後,用户的範圍必將從企業員工擴大到客户和想了解企業情況的人。用户的增加,也給網絡的安全性帶來了威脅,因為這裏可能就有商業間諜或“黑客”。
[7]
(5)主機因素
建立內部網時,使原來的各局域網、單機互聯,增加了主機的種類,如工作站、服務器,甚至小型機、大中型機。由於它們所使用的操作系統和網絡操作系統不盡相同,某個操作系統出現漏洞(如某些系統有一個或幾個沒有口令的賬户),就可能造成整個網絡的大隱患。
[7]
(6)單位安全政策
(7)人員因素
(8)其他
網絡安全技術原理
能夠完成“防火牆”工作的可以是簡單的隱蔽路由器,這種“防火牆”如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議端口級上阻止網間或主機間通信,起到一定的過濾作用。由於隱蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入“防火牆”一級的措施。
[7]
真正意義的“防火牆”有兩類,一類被稱為標準“防火牆”;一類叫雙家網關。標準“防火牆”系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩衝。其中一個路由器的接口是外部世界,即公用網;而另一個則聯接內部網。標準“防火牆”使用專門的軟件,並要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙家網關則是對標準“防火牆”的擴充。雙家網關又稱堡壘主機或應用層網關,它是一個單個的系統,但卻能同時完成標準“防火牆”的所有功能。其優點是能運行更復雜的應用,同時防止在互聯網和內部系統之間建立的任何直接的連接,可以確保數據包不能直接從外部網絡到達內部網絡,反之亦然。
[7]
隨着“防火牆”技術的進步,在雙家網關的基礎上又演化出兩種“防火牆”配置,一種是隱蔽主機網關,另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的“防火牆”配置。顧名思義,這種配置一方面將路由器進行隱藏,另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為複雜而且安全級別最高的“防火牆”當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共系統之後,它是互聯網用户唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之後的保護軟件來進行的。一般來説,這種“防火牆”是最不容易被破壞的。
[7]
與“防火牆”配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破壞所採用的主要技術手段之一。隨着信息技術的發展,網絡安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟件和硬件兩方面採取措施,推動着數據加密技術和物理防範技術的不斷髮展。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑑別以及密鑰管理技術4種。
[7]
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權用户所持有並由該用户賦予它一個口令或密碼字。該密碼字與內部網絡服務器上註冊的密碼一致。當口令與身份特徵共同使用時,智能卡的保密性能還是相當有效的。
[7]
這些網絡安全和數據保護的防範措施都有一定的限度,並不是越安全就越可靠。因而,看一個內部網是否安全時不僅要考慮其手段,而更重要的是對該網絡所採取的各種措施,其中不僅是物理防範,而且還有人員素質等其他“軟”因素,進行綜合評估,從而得出是否安全的結論。
[7]
網絡安全預防措施
網絡安全網安措施
(一)保護網絡安全。
(1)全面規劃網絡平台的安全策略。
(2)制定網絡安全的管理措施。
(3)使用防火牆。
(4)儘可能記錄網絡上的一切活動。
(5)注意對網絡設備的物理保護。
(6)檢驗網絡平台系統的脆弱性。
(7)建立可靠的識別和鑑別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web服務器、網絡支付專用軟件系統)所建立的安全防護措施,它獨立於網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
[7]
雖然網絡層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。
[7]
(三)保護系統安全。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用户進行嚴格安全管理。
網絡安全商交措施
(一)加密技術。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
[7]
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用户自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
[7]
(二)認證技術。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接着再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑑別方法,以解決偽造、抵賴、冒充、篡改等問題。
[7]
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用户公鑰,加上密鑰所有者的用户身份標識符,以及被信任的第三方簽名第三方一般是用户信任的證書權威機構(CA),如政府部門和金融機構。用户以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後用户就可以公開這個證書。任何需要用户公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標誌交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用户可以用它來識別對方的身份。
[7]
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客户與服務器真正傳輸應用層數據之前建立安全機制。當客户與服務器第一次通信時,雙方通過握手協議在版本號、密鑰交換算法、數據加密算法和Hash算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換算法產生一個只有雙方知道的秘密信息,客户和服務器各自根據此秘密信息產生數據加密算法和Hash算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑑別碼MAC,然後經網絡傳輸層發送給對方。SSL警報協議用來在客户和服務器之間傳遞SSL出錯信息。
[7]
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關係,給定交易信息傳送流程標準。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
[7]
SET協議是專為電子商務系統設計的。它位於應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者賬户信息對商家來説是保密的。但是SET協議十分複雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有髮卡行、收單行、認證中心、支付網關等其他參與者。
[7]
網絡安全安全技術
網絡安全防範意識
擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發生都和缺乏安全防範意識有關。
1.主機安全檢查
要保證網絡安全,進行網絡安全建設,第一步首先要全面瞭解系統,評估系統安全性,認識到自己的風險所在,從而迅速、準確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。
[7]
2.主機物理安全
服務器運行的物理安全環境是很重要的,很多人忽略了這點。物理環境主要是指服務器託管機房的設施狀況,包括通風系統、電源系統、防雷防火系統以及機房的温度、濕度條件等。這些因素會影響到服務器的壽命和所有數據的安全。我不想在這裏討論這些因素,因為在選擇IDC時自己會作出決策。
[7]
在這裏着重強調的是,有些機房提供專門的機櫃存放服務器,而有些機房只提供機架。所謂機櫃,就是類似於家裏的櫥櫃那樣的鐵櫃子,前後有門,裏面有放服務器的拖架和電源、風扇等,服務器放進去後即把門鎖上,只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子,開放式的,服務器上架時只要把它插到拖架裏去即可。這兩種環境對服務器的物理安全來説有着很大差別,顯而易見,放在機櫃裏的服務器要安全得多。
[7]
如果你的服務器只能放在開放式機架的機房,那麼你可以這樣做:
(1)將電源用膠帶綁定在插槽上,這樣避免別人無意中碰動你的電源。
(2)安裝完系統後,重啓服務器,在重啓的過程中把鍵盤和鼠標拔掉,這樣在系統啓動後,普通的鍵盤和鼠標接上去以後不會起作用(USB鼠標鍵盤除外)。
(3)跟機房值班人員搞好關係,不要得罪機房裏其他公司的維護人員。這樣做後,你的服務器至少會安全一些。
網絡安全主要產品
在網絡設備和網絡應用市場蓬勃發展的帶動下,網絡安全市場迎來了高速發展期,一方面隨着網絡的延伸,網絡規模迅速擴大,安全問題變得日益複雜,建設可管、可控、可信的網絡也是進一步推進網絡應用發展的前提;另一方面隨着網絡所承載的業務日益複雜,保證應用層安全是網絡安全發展的新的方向。
[4]
隨着網絡技術的快速發展,原來網絡威脅單點疊加式的防護手段已經難以有效抵禦日趨嚴重的混合型安全威脅。構建一個局部安全、全局安全、智能安全的整體安全體系,為用户提供多層次、全方位的立體防護體系成為信息安全建設的新理念。在此理念下,網絡安全產品將發生了一系列的變革。
[4]
1.主動防禦走向市場
主動防禦的理念已經發展了一些年,但是從理論走向應用一直存在着多種阻礙。主動防禦主要是通過分析並掃描指定程序或線程的行為,根據預先設定的規則,判定是否屬於危險程序或病毒,從而進行防禦或者清除操作。不過,從主動防禦理念向產品發展的最重要因素就是智能化問題。由於計算機是在一系列的規則下產生的,如何發現、判斷、檢測威脅並主動防禦,成為主動防禦理念走向市場的最大阻礙。
[4]
由於主動防禦可以提升安全策略的執行效率,對企業推進網絡安全建設起到了積極作用,所以儘管其產品還不完善,但是隨着未來幾年技術的進步,以程序自動監控、程序自動分析、程序自動診斷為主要功能的主動防禦型產品將與傳統網絡安全設備相結合。尤其是隨着技術的發展,高效準確地對病毒、蠕蟲、木馬等惡意攻擊行為的主動防禦產品將逐步發展成熟並推向市場,主動防禦技術走向市場將成為一種必然的趨勢。
[4]
2.安全技術融合備受重視
隨着網絡技術的日新月異,網絡普及率的快速提高,網絡所面臨的潛在威脅也越來越大,單一的防護產品早已不能滿足市場的需要。發展網絡安全整體解決方案已經成為必然趨勢,用户對務實有效的安全整體解決方案需求愈加迫切。安全整體解決方案需要產品更加集成化、智能化、便於集中管理。未來幾年開發網絡安全整體解決方案將成為主要廠商差異化競爭的重要手段。軟硬結合,管理策略走入安全整體解決方案。
[4]
面對規模越來越龐大和複雜的網絡,僅依靠傳統的網絡安全設備來保證網絡層的安全和暢通已經不能滿足網絡的可管、可控要求,因此以終端准入解決方案為代表的網絡管理軟件開始融合進整體的安全解決方案。終端准入解決方案通過控制用户終端安全接入網絡入手,對接入用户終端強制實施用户安全策略,嚴格控制終端網絡使用行為,為網絡安全提供了有效保障,幫助用户實現更加主動的安全防護,實現高效、便捷地網絡管理目標,全面推動網絡整體安全體系建設的進程。
[4]
3、數據安全保護系統
數據安全保護系統是廣東南方信息安全產業基地公司,依據國家重要信息系統安全等級保護標準和法規,以及企業數字知識產權保護需求,自主研發的產品。它以全面數據文件安全策略、加解密技術與強制訪問控制有機結合為設計思想,對信息媒介上的各種數據資產,實施不同安全等級的控制,有效杜絕機密信息泄漏和竊取事件。
[4]
網絡安全相關法規和道德規範
網絡安全信息安全法律法規
2020年6月1日,由國家互聯網信息辦公室、國家發展改革委員會、工業和信息化部、公安部等12個部門聯合發佈的《網絡安全審查辦法》,從6月1日起實施
[10]
。
2022年1月,國家互聯網信息辦公室等十三部門修訂發佈《網絡安全審查辦法》(下稱《辦法》),將網絡平台運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查,並明確掌握超過100萬用户個人信息的網絡平台運營者赴國外上市必須向網絡安全審查辦公室申報網絡安全審查。
[11]
網絡安全網絡道德規範
計算機網絡是一把“雙刃劍”,它給我們工作、學習和生活帶來了極大便利,人們可以從中得到很多的知識和財富。但如果不正確使用,也會對青少年帶來危害,主要體現在網絡謠言、網絡詐騙、網絡犯罪等。那麼,上網時到底什麼該做?什麼不該做呢?請看以下事例:
[8]
案例2:武漢李某編寫“熊貓燒香”病毒並在網上傳播,獲取鉅額資金。李某犯“破壞計算機信息系統罪”,判處有期徒刑4年。根據《全國青少年網絡文明公約》《網絡安全法》,明確規定了具體上網行為和網絡道德規範。
[8]
(1)這些能做
(2)這些不能做
①不得危害網絡安全,不得利用網絡從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。
[8]
④不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用於從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
[8]
⑤發送的電子信息、提供的應用軟件,不得設置惡意程序,不得含有法律、行政法規禁止發佈或者傳輸的信息。
- 參考資料
-
- 1. 萬雅靜主編. 計算機文化基礎 Windows 7+Office 2010[M]. 北京:機械工業出版社, 2016.02.第234頁
- 2. 2020年中國網絡安全大事評選揭曉 .新華[引用日期2021-02-25]
- 3. 王國才,施榮華.計算機通信網絡安全:中國鐵道出版社,2016.09:第6頁
- 4. 甘利傑;孔令信;馬亞軍.大學計算機基礎教程:重慶大學出版社,2017.08:第152頁
- 5. 網絡安全的市場規模 .中國政府採購網[引用日期2019-10-16]
- 6. 張萬民,王振友主編;李永光,李磊,金髮起,陳振軍,孫俊國,王志岐,劉建華,崔守良副主編.計算機導論:北京理工大學出版社,2016.08:第77頁
- 7. 丁春燕.網絡社會法律規制論:中國政法大學出版社,2016.09:第30頁
- 8. 甘利傑;孔令信;馬亞軍.大學計算機基礎教程:重慶大學出版社,2017.08:第155頁
- 9. 網絡安全威脅信息發佈擬規定不得含有惡意程序的源代碼和製作方法 .新華網[引用日期2019-11-21]
- 10. 多部門聯合發佈《網絡安全審查辦法》正式實施 .央視網.2020-06-01[引用日期2020-06-01]
- 11. 人民網評:進一步保障網絡安全和數據安全--觀點--人民網 .人民網[引用日期2022-03-18]
- 12. 盤點互聯網2023關鍵詞,"網絡闢謠"名列其中 .在這裏,讀懂鹽都[引用日期2023-12-30]
- 13. AI詐騙,圍獵普通人|315特稿 .澎湃新聞.2024-03-15[引用日期2024-03-16]
- 14. 5項網絡安全國家標準獲批發布 .網信河北.2024-03-23[引用日期2024-03-23]
- 收起