在因特網(wǎng)上傳輸放置內(nèi)部的敏感信息,特別是具有極高價值的政治、軍事和商業(yè)信息的單位和企 業(yè),自己必須解決其信息的安全保密問題,這是每個上網(wǎng)的單位和企業(yè)必須清楚的一件大事。上網(wǎng)的用戶必須“各掃門前雪”,自己想法保護自己網(wǎng)絡(luò)和網(wǎng)上信息。下面對網(wǎng)絡(luò)安全與信息保密給一個概要性介紹,內(nèi)容包括網(wǎng)絡(luò)的脆弱性,面臨的主要威脅,網(wǎng)絡(luò)安全、信息保密的基本業(yè)務(wù)和一般安全保密技術(shù)。
網(wǎng)絡(luò)安全的實質(zhì)
網(wǎng)絡(luò)安全的實質(zhì)就是要保障系統(tǒng)中的人、設(shè)備、設(shè)施、軟件、數(shù)據(jù)以及各種供給品等要素避免各種偶然的或人為的破壞或攻擊,使它們發(fā)揮正常,保障系統(tǒng)能安全可靠地工作。因而網(wǎng)絡(luò)安全應(yīng)當(dāng)包含以下內(nèi)容:
1、要弄清網(wǎng)絡(luò)系統(tǒng)受到的威脅及脆弱性,以便人們能注意到網(wǎng)絡(luò)這些弱點和它存在的特殊性問題。
2、要告訴人們怎樣保護網(wǎng)絡(luò)系統(tǒng)的各種資源,避免或減少自然或人為的破壞。
3、要開發(fā)和實施卓有成效的安全策略,盡可能減小網(wǎng)絡(luò)系統(tǒng)所面臨的各種風(fēng)險。
4、要準(zhǔn)備適當(dāng)?shù)膽?yīng)急計劃,使網(wǎng)絡(luò)系統(tǒng)中的設(shè)備、設(shè)施、軟件和數(shù)據(jù)受到破壞和攻擊時,能夠盡快恢復(fù)工作。
5、要制訂完備的安全管理措施,并定期檢查這些安全措施的實施情況和有效性。
信息安全的目的
信息的安全,就是要保障信息的如下四方面的特性:
(1) 數(shù)據(jù)的完整性:它包括數(shù)據(jù)單元完整性和數(shù)據(jù)單位序列完整性。
(2) 數(shù)據(jù)的可用性:就是要保障網(wǎng)絡(luò)中數(shù)據(jù)無論在何時,無論經(jīng)過何種處理,只要需要,信息必須是可用的。
(3) 數(shù)據(jù)的保密性:即網(wǎng)絡(luò)中的數(shù)據(jù)必須按照數(shù)據(jù)的擁有者的要求保證一定的秘密性。具有敏感性的秘密信息,只有得到擁有者的許可,其他人才能夠獲得該信息,網(wǎng)絡(luò)系統(tǒng)必須能夠防止信息的非授權(quán)訪問或泄露。
(4) 合法使用性:即網(wǎng)絡(luò)中合法用戶能夠正常得到服務(wù),正常使自己合法地訪問資源和信息,而不至于因某種原因遭到拒絕或無條件的阻止。
網(wǎng)絡(luò)的脆弱性
互聯(lián)網(wǎng)絡(luò)的脆弱性大致如下:
1、無政府、無組織、無主管,因而互聯(lián)網(wǎng)本身就無安全可言。
2、信息的高度聚集性:當(dāng)信息的分離的小塊出現(xiàn)時,信息的價值往往不大。只有將大量相關(guān)信息聚集在一起時,方可顯示出其重要價值。互聯(lián)網(wǎng)聚集了巨量信息,很容易遭到分析性攻擊。
3、方便的可訪問性:網(wǎng)上的任何用戶很容易通過 Web 瀏覽世界各地的信息,因而比較容易得到一些企業(yè)、單位,以及個人的敏感性信息。受害用戶甚至自己的敏感性信息已被人盜用卻全然不知。
4、通信線路和網(wǎng)絡(luò)本身固有的弱點:線路可能被人搭線竊聽;通過未受保護的線路,可以從外界訪問系統(tǒng)內(nèi)部的數(shù)據(jù)。
5、保守秘密的困難性:互聯(lián)網(wǎng)是個全球網(wǎng),任何人都可以在上面游戲、瀏覽,給敏感信息保密造成了很大困難。
互聯(lián)網(wǎng)本身這許多脆弱性(還有很多,不再一一列舉),給網(wǎng)絡(luò)安全、信息保密構(gòu)成了潛在的危險。
網(wǎng)絡(luò)安全保密的基本業(yè)務(wù)
網(wǎng)絡(luò)安全有如下五種通用的安全業(yè)務(wù),也叫安全服務(wù)。
1、 鑒別認證業(yè)務(wù)
鑒別認證業(yè)務(wù)又叫實體鑒別服務(wù)。認證業(yè)務(wù)提供了關(guān)于某人或某事(稱為實體)的身份保證,即當(dāng)某個實體聲稱具有某個特定的身份時,該業(yè)務(wù)將會證實這一聲稱的正確性。口令就是一種熟知的認證方法。
認證又可分為對等實體鑒別認證和數(shù)據(jù)源點鑒別認證兩種。
對等實體鑒別認證是指對參與某次通信連接或會話遠端一方提交的身份給予鑒別認證。
數(shù)據(jù)源點鑒別認證是指對某個數(shù)據(jù)項的發(fā)送者所提交的身份給予鑒別認證。
鑒別認證是一種最重要的安全業(yè)務(wù)。因為以下的所有安全業(yè)務(wù)幾乎都依賴于它。它是對付假冒攻擊的一種有效方法。
2、訪問控制業(yè)務(wù)
訪問控制業(yè)務(wù)的目標(biāo)是防止對任何資源的非法訪問。所謂非法訪問是指未經(jīng)授權(quán)的使用、泄露、銷毀以及發(fā)布等。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的基礎(chǔ)。
3、保密業(yè)務(wù)
保密業(yè)務(wù)就是保護信息不被泄露或暴露給那些未經(jīng)授權(quán)的實體。保密業(yè)務(wù)主要是針對信息,所以叫信息保密。信息保密在網(wǎng)絡(luò)中又可分為信息存儲保密和信息傳輸保密兩類保密業(yè)務(wù)。
4.?dāng)?shù)據(jù)完整性業(yè)務(wù)
數(shù)據(jù)完整性業(yè)務(wù)前面已經(jīng)給予簡述,該業(yè)務(wù)主要是防止數(shù)據(jù)被非法增刪、修改或替代,從而改變數(shù)據(jù)的價值或存在。
5.禁止否認業(yè)務(wù)
禁止否認業(yè)務(wù)主要用于防否認防抵賴,即防止參與某次通信交換的一方事后又否認曾經(jīng)發(fā)生過本次交換,或修改這次交換的內(nèi)容。
網(wǎng)絡(luò)安全的一般技術(shù)
首先應(yīng)當(dāng)說明的是,企業(yè)和機關(guān)采用內(nèi)聯(lián)網(wǎng)(Intranet)結(jié)構(gòu)本身就很有利于安全。聯(lián)入因特網(wǎng)的Intranet雖然是Internet的一部分、和因特網(wǎng)構(gòu)成一個統(tǒng)一的開放整體,然而Intranet卻是每個企業(yè)、每個機關(guān)、院校可獨立擁有的,可以不對外或有條件對外開放,是一個半封閉或全封閉的、管理集中的可控網(wǎng)絡(luò)。它和因特網(wǎng)不一樣,它可以存放大量敏感的、秘密的、甚至具有極高的軍事、政治、商業(yè)價值的信息。對于內(nèi)聯(lián)網(wǎng)來說,應(yīng)當(dāng)采用如下安全保密技術(shù)。
1.可以在企業(yè)內(nèi)聯(lián)網(wǎng)和因特網(wǎng)之間設(shè)立防火墻,使內(nèi)聯(lián)網(wǎng)和因特網(wǎng)相互隔離。防火墻是一道控制進出企業(yè)內(nèi)聯(lián)網(wǎng)的雙方向通信門檻,它可以阻止因特網(wǎng)中的黑客訪問或攻擊某機構(gòu)的內(nèi)聯(lián)網(wǎng)。
防火墻有包過濾防火墻,應(yīng)用層網(wǎng)關(guān)(代理)防火墻等不同種類。
2.為了防止非法用戶的侵入,可在Intranet內(nèi)部采用識別認證和訪問控制技術(shù)(防火墻就是內(nèi)網(wǎng)和外網(wǎng)之間的訪問控制技術(shù)),內(nèi)網(wǎng)的訪問控制經(jīng)常采用入網(wǎng)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器的安全控制、網(wǎng)絡(luò)檢測和鎖定控制、網(wǎng)絡(luò)端口及節(jié)點的安全控制等技術(shù)。
3.為了防止網(wǎng)絡(luò)中進行數(shù)據(jù)交換時出現(xiàn)否認、抵賴事件,則需采用數(shù)字簽名技術(shù)和公正仲裁機構(gòu)。
4.為了保證系統(tǒng)存儲數(shù)據(jù)不被非法竊取和泄露,可采用存儲加密技術(shù)。
5.為了防止信息在信道上被截獲或泄露,可采用傳輸加密技術(shù)。
6.為了防止敵手在信道對數(shù)據(jù)流量進行分析,可以采取業(yè)務(wù)流量填充技術(shù)。
7.為了便于事故發(fā)生后追查責(zé)任和查找網(wǎng)絡(luò)安全漏洞,還應(yīng)當(dāng)采用嚴(yán)格審計制度和技術(shù)。
此外,為了防止病毒對系統(tǒng)的侵蝕破壞,一方面要嚴(yán)格管理入網(wǎng)軟件,另一方面網(wǎng)上要具有病毒測試和清除的軟件技術(shù)。
新聞熱點
疑難解答
