1.我國信息系統(tǒng)安全現(xiàn)狀分析
1.1 我國信息通信安全現(xiàn)狀分析
我國信息安全建設(shè)的政策環(huán)境�����、法律法規(guī)�����、標準體系、交流與合作等方面穩(wěn)步推進��,知識產(chǎn)權(quán)保護日益受到各方的關(guān)注����,初步建成了國家信息安全組織保障體系,并且信息安全管理的法律法規(guī)體系進一步健全���、制定和引進了一批重要的信息安全管理標準�。但當(dāng)前全球信息安全形勢逼人��,最主要的威脅來源于技術(shù)系統(tǒng)本身���,如計算機技術(shù)缺陷����、計算機病毒���、黑客���、犯罪、信息垃圾和信息污染,尤其是黑客攻擊手段更專業(yè)化�,破壞力更強,電腦病毒傳播速度快��,殺傷力強���,網(wǎng)絡(luò)犯罪和恐怖活動日益泛濫�。而中國目前信息通信安全同樣面臨這些全球共性的問題���。
- 基礎(chǔ)信息技術(shù)嚴重依賴國外�,并引發(fā)系列危機�。中國信息安全的根本問題或最大隱患就在于缺乏大量的核心技術(shù)�。
- 信息安全意識淡薄,信息安全的防護能力較弱����。由于信息化水平的差異和宣傳力度的不夠,有不少人隊我國信息安全認識模糊�����,處于居危思安的狀態(tài)�;一部分人則認為現(xiàn)在互聯(lián)網(wǎng)有許多加密軟件可下載,且使用密碼中又存在誤區(qū),缺乏密鑰管理意識�;還有一部人對國外公司的宣傳盲目信任,卻不知外國政府對我國出口信息安全技術(shù)設(shè)備和密碼算法的強度有嚴格的限制�,我們只能得到別人可以監(jiān)控的功能弱化的產(chǎn)品。
- 網(wǎng)絡(luò)安全形勢日益嚴峻���。
- 信息產(chǎn)業(yè)化和規(guī)模水平�、技術(shù)含量有待進一步提高
- 信息安全管理機制不夠健全��,配套法律法規(guī)和政策制度不完善�����。
1.2 我國網(wǎng)絡(luò)安全現(xiàn)狀分析
- 電腦黑客活動已成重要威脅�。許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài),存在相當(dāng)大的信息安全風(fēng)險和隱患�����。這種幾乎不設(shè)防的現(xiàn)象���,在金融等領(lǐng)域中表現(xiàn)的尤為突出����。國防科技大學(xué)的一項研究表明,目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入��,其中銀行����、金融和證券機構(gòu)是黑客攻擊的重點。
- 計算機系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴重��。從國家計算及病毒應(yīng)急處理中心日常監(jiān)測結(jié)果看來��,計算機病毒呈現(xiàn)出異?���;钴S的姿態(tài)。
- 信息基礎(chǔ)設(shè)施面臨安全的挑戰(zhàn)���。我國的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測��、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)���。
- 網(wǎng)絡(luò)政治顛覆活動頻繁���。近年來�����,國內(nèi)外反動勢力利用互聯(lián)網(wǎng)結(jié)黨結(jié)社����,進行針對我國黨和政府的非法組織活動����,猖獗頻繁,屢禁不止����。
1.3 我國信息系統(tǒng)安全法律、法規(guī)現(xiàn)狀分析
自我國1986年發(fā)現(xiàn)首例計算機信息犯罪以來����,20世紀90年代中后期呈直線上升趨勢。網(wǎng)絡(luò)信息安全立法漸成體系�,除了應(yīng)用網(wǎng)絡(luò)技術(shù)手段加以防范外,我國對網(wǎng)絡(luò)信息安全立法工作一直十分重視�,制定了一批相關(guān)法律、法規(guī)����、規(guī)章等規(guī)范性文件���,涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全�、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理����、計算機病毒與危害性程序防治等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個領(lǐng)域��。
此外�,國家“十一五”規(guī)劃明確指出:“加強寬帶通信網(wǎng)、數(shù)字電視網(wǎng)和下一代互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施建設(shè)����,推進‘三網(wǎng)融合’,健全信息安全保障體系��?��!蔽覈嘘P(guān)網(wǎng)絡(luò)信息安全的法律法規(guī)主要有:《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》�、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》���、《計算機軟件保護條例》����、《中華人民共和國計算機信息系統(tǒng)安全保護條例》����、《中華人民共和國刑法》、《電信條例》等外����,無論是國家信息安全政策制度、計算機和網(wǎng)絡(luò)安全法律法規(guī)���,還是信息安全行業(yè)標準法律法規(guī)�����,都存在空子和漏洞����,亟待健全�����。
?
2.信息系統(tǒng)安全對策研究
?2.1 信息系統(tǒng)安全管理對策
- 信息安全風(fēng)險評估���。是信息安全管理最核心的方法����,在事件發(fā)生前,通過有效的手段對組織面臨的信息安全風(fēng)險進行識別����、分析,并在此基礎(chǔ)上序曲相應(yīng)的安全措施�。
- 信息安全事件管理。它在明確組織面臨的各類信息安全風(fēng)險的基礎(chǔ)上����,對可能發(fā)生的信息安全事件,制定結(jié)構(gòu)化�、嚴禁的事件管理機制,將影響和災(zāi)難控制在一定范圍��。
- 信息安全測評認證�。它是信息安全技術(shù)的發(fā)展、應(yīng)用和推廣過程的規(guī)范�����,間接實現(xiàn)了對信息系統(tǒng)的安全管理,確保各環(huán)節(jié)的有效性和權(quán)威性�����。
- 信息安全工程管理�。一是對運行系統(tǒng)實施安全保護�;二是信息安全建設(shè)環(huán)節(jié)就加入信息安全防范的考慮,以達到更高效率和低成本�����。
2.2 信息系統(tǒng)安全法律��、法規(guī)
作為我國第一個關(guān)于信息系統(tǒng)安全方面的法規(guī)��,《中國人民共和國計算機信息系統(tǒng)安全保護條例》是國務(wù)院于1994年2月18日發(fā)布的�,分五章共三十一條,目的是保護信息系統(tǒng)安全��,促進計算機的應(yīng)用和發(fā)展����。
我國信息網(wǎng)絡(luò)安全法律體系規(guī)范和懲罰網(wǎng)絡(luò)犯罪的法律,這類法律包括《中華人民共和國刑法》第285條�����、第286條、第287條都是對計算機信息系統(tǒng)犯罪�、利用計算機進行金融犯罪等而做出的刑罰。
直接針對計算機信息網(wǎng)絡(luò)安全的特別規(guī)定:這類法律法規(guī)主要有《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》《電子簽名法》《電子認證服務(wù)管理辦法》等��。
?
3.信息安全技術(shù)的應(yīng)用
3.1 防火墻技術(shù)應(yīng)用
防火墻的基本功能是對網(wǎng)絡(luò)通信進行篩選屏蔽���,以防未經(jīng)授權(quán)的訪問進出計算機網(wǎng)絡(luò)�����。防火墻指的是位于可信網(wǎng)絡(luò)(如內(nèi)部網(wǎng))和不可信網(wǎng)絡(luò)(如Internet)之間并對經(jīng)過期間的網(wǎng)絡(luò)流量進行檢查的一臺或多臺計算機����。也就是說����,防火墻是可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的一個緩沖。目的是保護網(wǎng)絡(luò)不被他人侵擾�����。
3.1.1防火墻的作用
- 可以作為網(wǎng)絡(luò)安全的屏障
- 可以強化網(wǎng)絡(luò)安全策略
- 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計
- 防止內(nèi)部信息的外泄
3.1.2防火墻的主要技術(shù)
- 數(shù)據(jù)包過濾技術(shù)
- 代理服務(wù)技術(shù)
- 狀態(tài)包檢查技術(shù)
- 其他技術(shù):身份驗證與授權(quán)�、地址翻譯技術(shù)、虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)、內(nèi)容檢查技術(shù)
3.1.3防火墻技術(shù)的應(yīng)用
- 屏蔽路由器
- 雙穴主機網(wǎng)關(guān)�����,又稱橋頭堡主機��。因其所需的硬件設(shè)備較少���,容易驗證其正確性,是一種使用較多的防火墻�����。但致命弱點在這種結(jié)構(gòu)沒有增加網(wǎng)絡(luò)安全的自我防衛(wèi)�����,而它是受“黑客”攻擊的首選目標����。
- 屏蔽主機網(wǎng)關(guān)。這是一種很靈活的防火墻�,為保護橋頭堡主機的安全建立一道屏障?����?梢杂羞x擇的允許值得信任的應(yīng)用程序通過路由器,但它不像雙穴網(wǎng)關(guān)那樣只需注意橋頭堡主機的安全性即可�,它必須考慮兩方面的安全性,即橋頭堡主機和路由器��。
- 屏蔽子網(wǎng)網(wǎng)關(guān)�。這包含兩個屏蔽組和兩個橋頭堡主機。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一個隔離網(wǎng)���,稱之為“?;饏^(qū)”����,橋頭堡主機放置在“停火區(qū)”內(nèi)�。因此,屏蔽子網(wǎng)中的主機是唯一一個受保護網(wǎng)和Internet能訪問到的系統(tǒng)��。
3.2 網(wǎng)絡(luò)安全的應(yīng)用
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件���、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護��,不因偶然或者惡意的行為而遭到破壞���、更改���、泄露,系統(tǒng)持續(xù)可靠正常地運行���,網(wǎng)絡(luò)服務(wù)不中斷���。一個現(xiàn)代網(wǎng)絡(luò)系統(tǒng)若不含有網(wǎng)絡(luò)安全措施,就不能認為是完整的���。從本質(zhì)上說,網(wǎng)絡(luò)安全是網(wǎng)絡(luò)上的信息安全�����。網(wǎng)絡(luò)安全的實質(zhì)是安全立法�����、安全管理和安全技術(shù)的綜合實施����,這3個層次體現(xiàn)了安全策略的限制�����、監(jiān)視和保障職能��。
- 安全控制 主要是在信息處理層次上對信息進行初步的安全保護���,分為操作系統(tǒng)的安全控制盒網(wǎng)絡(luò)互連設(shè)備的安全控制。
- 安全服務(wù) 主要包括安全機制��、安全連接�����、安全協(xié)議和安全策略等內(nèi)容
- 安全機制是利用密鑰算法對重要而敏感的信息進行處理��,包括:加密����、解密;數(shù)字簽名�����、簽名驗證���;信息驗證����。安全機制是安全服務(wù)乃至整個安全系統(tǒng)的核心關(guān)鍵,現(xiàn)代密碼學(xué)理論和技術(shù)對安全機制的設(shè)計具有重要作用
- 安全連接為安全處理進行必要的準備工作��。主要包括:會話密鑰的分配和生成�、身份驗證。
?
4.信息系統(tǒng)安全的策略研究
4.1 管理策略
為保證網(wǎng)絡(luò)安全�����、可靠地運行��,必須有網(wǎng)絡(luò)管理���。管理策略的主要任務(wù)是對網(wǎng)絡(luò)資源、網(wǎng)絡(luò)性能和密鑰進行管理����,對訪問進行控制,對網(wǎng)絡(luò)進行監(jiān)視���。
- 人員管理����。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全性應(yīng)增加技術(shù)因素,減少人為因素�����。但人為因素不可能完全消除����,因此對人員的管理是一個非常重要的環(huán)節(jié)。對工作人員進行安全教育��,提高工作人員的保密觀念�;加強業(yè)務(wù)、技術(shù)的培訓(xùn)�����,提高操作技能���;教育工作人員應(yīng)遵守職業(yè)道德��。
- 密鑰管理�。密鑰管理是網(wǎng)絡(luò)安全的關(guān)鍵��。目前公認有效的方法死通過密鑰分配中心KDC來管理和分配密鑰。所有用戶的公開密鑰都由KDC來進行管理分配保存��。
- 審計日志��。產(chǎn)生的審計日志主要由管理人員進行檢查����,從而及時掌握網(wǎng)絡(luò)性能及網(wǎng)絡(luò)資源的運行情況,及時發(fā)現(xiàn)和糾正錯誤����,對網(wǎng)絡(luò)進行進一步完善。
- 數(shù)據(jù)備份�。要求管理人員定期對信息進行備份,當(dāng)系統(tǒng)癱瘓事���,將損失降低到最?�。划?dāng)系統(tǒng)恢復(fù)����,及時恢復(fù)數(shù)據(jù)。
- 防病毒�。加強防病毒觀念���,提高每一位管理人員的防病毒意識,減少病毒侵入的機會�����;同時利用殺毒軟件及時消滅病毒�����,防止病毒入侵和系統(tǒng)崩潰�����。
4.2 法律策略
- 及時更新信息立法觀念����,加快信息化立法步伐
- 加強信息立法的理論研究,促進信息化立法工作
- 借鑒發(fā)達國家信息立法成果�,結(jié)合國情積極移植國外信息法規(guī)
- 建立健全信息法制建設(shè)的反饋機制,保證國家信息法規(guī)的動態(tài)平衡
- 盡快制定中國信息化基本法��,逐步構(gòu)建完善的信息化法律體系
- 確立我國信息化法規(guī)建設(shè)的重點
?
總結(jié)
隨著全球信息化的飛速發(fā)展����,我國大力建設(shè)信息化系統(tǒng)����,初步建成了國家信息安全組織保障體系�����,但網(wǎng)絡(luò)安全現(xiàn)狀令人堪憂�。雖然我國已經(jīng)建立了一些信息法,但是由于我國現(xiàn)在的信息法建立較少����,還未形成一個完整的信息法體系。加上我國很多現(xiàn)象又制約著我國信息立法的步伐���,因而我國的信息法仍然比較落后���,無法滿足日益深化的信息化建設(shè)。綜上所述��,我國需要加強信息立法的相關(guān)研究��,推動我國的信息法制建設(shè)�����,從而促進我國信息和網(wǎng)絡(luò)安全建設(shè)���;應(yīng)加快信息安全應(yīng)用技術(shù)發(fā)展的步伐���,提高人們的防范意識,增加此方面的知識����,提高技術(shù)含量。
?
參考文獻
[1] 徐國愛����,彭俊好,張淼. 信息安全管理[M].北京郵電大學(xué)出版社�����,2008
[2] 陳建偉�����,張輝. 計算機網(wǎng)絡(luò)與信息安全[M].北京林業(yè)出版社����,2006
[3] 吳煜煌�,汪軍����,闞君滿等. 網(wǎng)絡(luò)與信息安全教程[M].中國水利水電出版社,2006
[4] 潘小剛�,周亞明,肖琳子. 中國信息安全報告[M].紅旗出版社�,2009
[5] 羅森林. 信息系統(tǒng)安全與對抗技術(shù)[M].北京理工大學(xué)出版社,2005
?
?
