魏正耀 信息化网络化时代与信息系统安全
信息系统安全拓展到计算机网络安全,随着安全信息化、网络化的发展,世界各国的政府、外交、经贸、科技等部门,已逐步从传统的专网专线通信保密体制转向以信息基础设施为依托的计算机网络通信保密体制,密码的应用环境已经发生了根本性的变化,我国也不例外。信息化网络化条件下,密码或密码系统一般都嵌套在信息系统网络之中,其安全性不仅依赖于密码算法的强度,还依赖于信息基础设施的安全性,包括计算机操作系统、计算机应用系统、网络关键设备的安全性等。
信息系统网络具有以下四个特征和矛盾,网络的开放性与安全性,我讲的开放性,主要的是指通信两端是可以互操作和互控制的、远程操作的平台,有可能你的主机被别人控制,这种可能完全存在。
信息的共享性与可靠性也存在矛盾,计算机信息系统,为了达到在一定范围内的信息共享,共享和可控性又是矛盾的,是一定范围内的共享,这里我还是讲一点例子,大家对这个问题的严重性就清楚了,加深一点大家的了解。
大家知道危机泄密事件,这个事件怎么会形成的呢?据我了解的情况,是一个伊拉克战争的士官有反战情绪,这个士官有访问秘密机构的权利,具有反战情绪的美军士兵,就把大量的信息从网上弄下来,到危机网发布,一度引起我们也很紧张,这个地方提出来一个问题,危机泄密事件之后就变化了,把外交网分离出去了,这是采取的一个措施,第二个访问控制加强了,不光有CAC卡访问,还设置了一个第二章CAC卡,还采取了一个措施,就是设置了一个FTP,就是文件下载要通过一个专门的服务器控制,这说明了信息的共享性和可控性矛盾,不光有外面的因素,不光要防外面的因素,还要防内部的因素,权限控制是很重要的,这是一个复杂的矛盾。
还有系统的复杂性与脆弱性,还有应用的广泛性与管理能力的局限性,每个计算机平台都可以经过通信,只要有一个人的安全意识不强,就有可能造成泄密事件,造成漏洞,所以,到了这个时代,计算机信息系统有这4方面的矛盾,并且是难以克服和解决的矛盾,是网络攻防的依据,不但主机被控制,大量的机密被窃取,而且密码系统的安全也会受到严重的威胁。
一是基于开放式网络被突破,主机被控制造成的威胁,TCP/IP是国际上公认的异构网络互联协议,称之为开放式网络结构,世界主要国家的网络大都采取TCP/IP协议进行网络互联。
我要说一个例子,我们跟国家奖励办有联系,它让我们看看它的网络系统的安全,我们看了,它一台计算机既上互联网,也上内网,这一点肯定是不安全的,可以通过互联网,直接通过你的主机进入到内网,这个肯定是不安全的。还有就是什么介质的问题,如果既上互联网,也上内网,我可以通过办法控制你的内网主机。别看内网和外网隔绝了,不是这么简单的问题。
第二个基于系统复杂性脆弱性的网络被突破、主机被控制造成的威胁,计算机操作系统和计算机网络的互联是极其复杂的,据统计,微软操作系统有5000万条指令,平均每2000条指令就会产生一个漏洞,如果不进行防护和监测,不安装操作系统和应用系统最新安全补丁,这样的网络和主机是很容易被突破控制的,此外,系统内很可能存在一些未公开的安全漏洞和后门,利用这些漏洞和后门,攻击者可以对系统进行溢出攻击或者非授权操作,突破网络和控制主机。
网络结构的复杂性,也是进行网络突破和控制的突破口,以为在内网很安全,但是你跟外网有联系,复杂性的系统一定带有脆弱性。
第三个是基于密码破译的网络被突破、主机被控制造成的威胁,以合法的网络权限获得名密口令。
四是机遇信息欺骗的网络被突破,主机被控制造成的威胁、通过搜集利用网络信息,以假冒身份实施部件欺骗和网页欺骗,以及IP地址欺骗是当前主要的网络欺骗方式。
五是基于安全意识薄弱的网络被突破,主机被控制造成的威胁,密码使用和管理人员安全意识的薄弱和违反安全管理规定会给第三方带来可乘之机。
综上所述,在信息化网络化条件下,信息系统的安全已经拓展到整个计算机网络的安全问题。
第四个,目前计算机网络处于防范难攻击易的阶段,这决定了第三方可以合法或非法的方式远程接入和访问计算机网络,成为世界各国窃取机密的重要手段,也是网络作战的具体体现。美国把信息作战分为三个部分,网络战、电子对抗、心理战,网络战又分为CNA、CND和CNE。
除了这方面的斗争以外,美国搞意识形态入侵,主要也是通过网络,最近美国把美国之音停掉了,但是加强了网络上的意识形态,大家知道我们新疆的七五事件,也是通过网络来挑拨引起矛盾的,那一段时间,为了安全,我们把互联网都停掉了在新疆地区,意识形态的入侵,现在还利用密码,像翻墙软件,就是法轮功等组织提供的,通过加密方式逃过我们国家计算机和信息安全中心的控制,逃过我们的网关检查,美国投资几千万美元搞电子邮递,也是免费的提供你加密的实施,宣扬他们的东西,逃过我们的网络监测控制,这方面的斗争应该说是很激烈的,总之我们必须本着对党和国家利益高度负责的态度,保障好国家的机密安全。
大家想想,如果我们的金融信息系统、电力信息系统已经被人家控制了,你的国家安全就很危险了。
第三个讲讲信息系统安全存在的主要问题。
随着计算机网络的普及和网络安全需求的与日俱增,密码技术在计算机网络中广泛应用,并成为网络安全的核心技术,常见的信息安全的问题有以下几种,在网络通信时代,网络和密码密不可分,即网密一体,密码系统通常运行在主机和服务器或者路由器上,一旦网络被突破或主机被控制,密件、密码软件和密码很容易被窃取,这是一种威胁。
第二个成熟介质是很危险的东西,将内部的信息网或办公网与因特网进行物理隔离是普遍使用的一种安全防护措施,可以有效减少黑客攻击和病毒侵袭,但物理隔离并不保证平安无事,如果涉密存储介质使用不当,物理隔离的内网主机也会遭受攻击。内网和外网的信息传输的问题,你通过成熟介质就很危险,一定要有专门的过滤设备。
第三,名密报文、用户私钥、保温密钥和数字证书等加脱密信息在计算机上存放或临时调用,如果不进行价码处理,不但主机被控制,它们将面临被窃取、被截获的危机。
第四主机系统被控制,你的应用系统或者操作系统可能被修改,访问列表可能被修改,网络一旦被突破,主机和服务器被控制,后果极其严重,修改被控制到,必然会被破译。
第五、出于对兼容性、通用性和研制成本等因素的考虑,有些密码设备可能会使用公开协议和集成通用软件,这些公开的协议和通用软件往往在设计、实现、方面存在漏洞,从而直接导致密码设备存在安全风险。
第六、密码长期不变,其反复使用,会降低密码强度,往往给攻击者造成极好的条件。
第七个口令制不保险。
第八,任何一种密码设备都一定得适应环境,任何一种密码设备对其使用环境都有一定的需求,随意改变使用环境,可能会产生严重的后果,比如某无线通信密码,每使用一次都要改一次密码,工作密钥长期不变,造成密码被破译,造成重大的泄密事件后果非常严重,使用环境的变化一定要通过密码设计部门的同意。
第四个强化信息系统安全的几点思考。
美军认为信息保障是一种关键的作战能力,为了实现有效的信息保障,美国国防部采取了名为“纵深防御”的信息保障战略。你的信息系统不可靠,就要被人家打败。纵深防御的四个关键是本地计算机环境安全,然后是飞地边界安全,网络及辅助基础设施安全。
责任编辑:黎阳锦
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络