基层单位网络安全问题的思考
摘要:计算机网络信息的安全和保密是一个至关重要的问题。故此,网络的安全措施应是全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
关键词:网络安全问题思考
一、计算机网络面临的威胁
1、人为的无意失误如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
2、人为的恶意攻击这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、盗取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密的泄露。
3、网络软件的漏洞和“后门”网络软件不可能是百分百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客攻击的首选目标,曾经出现过的黑客攻入网络内部事件,这些事件的大部分就是因为安全措施不完善所招至的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
二、计算机网络的安全策略
1、物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击:验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
抑制和防止电磁泄露(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为采用各种电磁屏蔽和干扰的防护措施。
2、访问控制策略
(1)入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登陆到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
(2)网络的权限控制网络的权限的控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予了一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。
(3)目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。
(4)属性安全控制当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络沙锅内的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,可以表明用户对网络资源的访问能力。
(5)网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据:可以设定服务器登陆时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制网络管理员应对实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等方式报警,以引起网络管理员的注意。如果非法访问的次数达到设定的数值,那么该帐户将被自动锁定。
(7)网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
(8)防火墙控制防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。目前的防火墙主要有以下三种类型,即:包过滤防火墙;代理防火墙;双穴主机防火墙。
3、信息加密策略
(1)常规密码,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。其优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
(2)公钥密码收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。其优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。
当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,以确保信息安全。
4、网络安全管理策略
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
综上,随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性变得十分重要。
基层单位网络安全问题的思考
摘要:随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。但必须看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化发展的进程。
关键词:网络;安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9599(2011)17-0000-01
NetworkSecurityIssuesThoughts
FuXiaoyan1,2
(1.OceanUniversityofChinaSchoolofInformationScienceandEngineering,Qingdao266110,China;2.People’sRepublicofChinaShandongMaritimeSafetyAdministration,Qingdao266002,China)
Abstract:Withtheprocessofin-depthinformationandtherapiddevelopmentofInternet,peoplework,studyandlifestyleisundergoingtremendouschange,efficiencygains,thegreatestdegreeofinformationresourcessharing.Butitmustbenoted,followedbyinformationdevelopedfromthegrowingbulgeofnetworksecurityissues,ifnotagoodsolutiontothisproblem,theinformationwillhinderthedevelopmentprocess.
Keywords:Network;Security
一、网络安全(networksecurity)的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的领域。
二、网络安全问题的产生
可以从不同角度对网络安全做出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:
(一)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。
(二)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。
(三)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。
(四)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。
三、对解决我国网络安全问题的几点建议
(一)就政府层面来说,解决网络安全问题应当尽快采纳以下几点建议:在国家层面上尽快提出一个具有战略眼光的“国家网络安全计划”。充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。
(二)建立有效的国家信息安全管理体系。改变原来职能不匹配、重叠和相互冲突等不合理状况,提高政府的管理职能和效率。
(三)加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状,对各种信息主体的权利、义务和法律责任,做出明晰的法律界定。
(四)在信息技术尤其是信息安全关键产品的研发方面,提供全局性的具有超前意识的发展目标和相关产业政策,保障信息技术产业和信息安全产品市场有序发展。
(五)加强我国信息安全基础设施建设,建立一个功能齐备、全局协调的安全技术平台(包括应急响应、技术防范和公共密钥基础设施(PKI)等系统),与信息安全管理体系相互支撑和配合。
四、结束语
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并融入世界,但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说:“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来,随着国际政治形势的发展,以及经济全球化过程的加快,人们越来越清楚,信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全,同时也涉及国家的国防安全、政治安全和文化安全。因此,可以说,在信息化社会里,没有信息安全的保障,国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度,xxx负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系,其核心是在技术处于弱势的情况下,用强化管理体系来提高网络安全整体水平。衷心希望在不久的将来,我国信息安全工作能跟随信息化发展,上一个新台阶。
参考文献:
[1]胡铮等.网络与信息安全[M].清华大学出版社,2006,5
[2]胡道元,闵京华.网络安全[J].科技信息,2005,10
[3]王群.计算机网络安全技术[M].清华大学出版社,2008,7
基层单位网络安全问题的思考
“大量的网络安全检查伴随着问题的发现,问题发现了就要分析原因。所有的网络安全问题,最后都归到人的问题上,就事论事都只能起到短期的改进作用,长期的改进都需要加强网络安全队伍建设,加强管理层的网络安全意识,才有可能提高单位整体网络安全管理能力。”
本期牛人访谈安全牛有幸邀请到军工保密资格认证中心研究员黄次辉,站在单位的视角而不是国家的视角、行业的视角或者网络的视角,为我们谈谈单位网络安全管理能力、管理层网络安全意识和网络安全队伍建设这三点的思考与分析。
一、网络安全管理能力
一个单位的网络安全管理能力体现在以下几个方面:
01结合业务分析网络安全风险的能力
每个单位的业务模式决定了其对信息化环境的依赖程度,业务的信息化流程决定了其网络安全的风险点。梳理业务流程,深入分析网络安全风险点,确定在多大程度上接受网络安全风险,通过传统的手段控制经营风险,在多大程度上通过加强网络安全管理来控制网络安全风险。这是一个明确网络安全管理目标的过程。网络安全没有百分之百,没有万无一失,同时,网络安全的成本相当可观,应该有所取舍,有一个可以努力的目标,有突破网络安全风险底线的应对措施。
这个过程可以参考国家等级保护管理的方法,按系统重要程度投入相关资源。首先要划分保护对象重要性级别,可以按网络区域和应用系统来划分保护单元,然后从保护单元受到破坏时受损害的业务及其受损害的程度两个角度考虑每个保护单元的重要性级别。第二,每个保护单元从规划阶段就要考虑其重要程度和具体的安全需求,有针对性地部署安全措施,并且要随着业务和信息化的发展对每个保护单元的安全级别和安全需求做必要的调整。第三,单位根据信息系统重要性级别确保网络安全的投入,特别是人力资源的投入,确保网络安全需要的人力和财力资源。
对于难以避免的网络安全风险,必须考虑网络安全防护措施之外的经营管理风险控制措施。比如依赖互联网上电子商务平台开展业务的公司,要考虑数据备份等可实施的安全措施,也要考虑到公司对电子商务平台的安全风险没有控制能力,不仅要用合同约束平台供应商提供稳定可靠的服务,还要考虑电子商务平台出现影响业务的网络安全事件时的业务风险控制措施。
02合理规划信息化基础设施的能力
信息系统的结构清晰、层次分明、接口简洁、功能定位明确,信息化规划过程中充分考虑网络安全需求,是做好网络安全管理的良好基础。
比如,涉密信息系统、非涉密信息系统、互联网全风险有很大区别,国家对这三种网络的监管政策不一样,单位必须明确这三网的功能定位,涉密的应用毫无疑问放在涉密网络,非涉密的应用放在涉密网、非涉密或互联网都可以,应该考虑非涉密应用的用户范围、工作流程、所存储处理信息的来源和用途、和其他应用系统的关系等因素,合理部署该应用,才能使涉密信息系统、非涉密信息系统、互联网之间的边界清晰,信息交换接口少而且好用可控,既便利信息资源合理利用,又便于网络安全管理。
再比如,大部分的网络安全控制目标既可以通过网络层实现,也可以通过应用层实现,网络基础设施建设的时候就要考虑网络层和应用层的安全分工,考虑后续应用系统对安全的需求。
03以网络安全法规为抓手开展网络安全管理的能力
网络安全管理的一大难点是网络安全投入的绩效评价困难,而绩效评价难的原因是建立网络安全管理的指标体系非常困难,合规性给单位提供了一套可操作的绩效评价指标,以网络安全法规标准政策为抓手,开展单位网络安全管理,是一种很好的工作方法。我说的是以此为抓手来推动单位的网络安全管理,而不是机械地对标。不同的信息化对象适用不同的法规标准政策,搞清楚每个信息化对象需要遵循的要求,这些要求中有的是刚性的,必须严格执行,但大部分要求在落地时有很多可以选择的解决方案,有的标准是一个可选择的安全措施全集,落地时需要结合实际做裁剪,这个过程中的沟通体现管理水平和专业能力。
如标准在单位落地时可以有不适用项,不需要实现,只需要做不适用原因的分析。
如等级保护和分级保护标准都对应用系统的安全审计有要求,单位可以结合业务流程确定具体审计哪些行为,记录哪些日志,这对业务流程起到很好的监管作用。
二、管理层网络安全意识
意识来源于知识。管理层的网络安全知识匮乏是普遍现象。后果是对网络安全管理口头上重视,行动上忽视,投入上无视。
网络安全的投入是实打实的真金白银,但回报是隐性的,不存在利润指标,无法用利润高低来衡量工作效益,使管理人员难以就各种目标的相对重要性达成共识,造成网络安全在需要投入时争取不到应有的资源。
由于这样的特性,网络安全工作一般依靠三种力量相结合来推动。第一种力量来源于领导。网络安全是一把手工程,一把手重视了,从上到下各级管理层就重视了,这要依赖于单位领导强烈的网络安全意识。第二种力量来源于制度。网络安全成为硬性要求,融入操作规程,成为考核各级管理层和员工的指标。第三种力量来源于全体人员的安全意识。将网络安全要求内化于心,外化于行。其中,制度的力量取决于第一和第三种力量的大小。如果安全意识不足,制度很容易沦落为形式,雷声大雨点小,高投入低效能。
员工的网络安全意识教育相对比较好做,现在的网络安全意识教育基本上都是针对员工的,不是针对管理层的。管理层的安全意识难抓,但管理层的意识比员工的意识更重要。管理层并不热衷于学习网络安全知识,领导认为网络安全是个专业的事,自已不用学,另一个原因,当前的网络安全意识教育未列入管理层学习培训的视野中,培训机构及人事部门没有充分培育领导干部网络安全意识培训的市场。管理层的网络安全意识和员工应该有不同的视角,这一块的培训应该怎么做,是一个值得深入挖掘的问题。培训者需要结合企业经营管理来分析网络安全的问题,这样的课程才对高级管理人员有吸引力,有价值。
20xx年习近平总书记在国家安全工作座谈会上指出,要筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施防护,加大核心技术研发力度和市场化引导,加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护。国家在对机关和事业单位的审计工作中,已经将网络安全工作的开展情况列入审计内容,国家机关和事业单位领导的网络安全意识培训将越来越受到重视。
将网络安全意识教育融入到管理层的学习培训将是一个发展趋势。
三、网络安全队伍建设
当我们讲网络安全队伍建设的时候,我们先得说说网络安全队伍的结构。
一个单位可以投入到网络安全的力量大致有以下几类,其中前两类肯定是单位内部人员,第3类可能是内部人员,也可能是委托的外部团队,第4、5两类是外部力量,通过合约关系来为单位提供服务:
1.网络安全管理。规划管理单位网络安全,将网络安全与单位经营管理活动相结合。
2.信息化管理。规划管理单位信息化工作,将信息化与单位经营管理活动相结合。
3.信息系统运行维护。运行维护信息系统,重点在信息系统投入使用后的管理。
4.信息系统集成商或网络安全厂家的技术支持。单位在系统集成或购买产品后,可以获得后续服务,也可以长期购买,一般会局限在与所购买产品相关的服务领域。
5.网络安全咨询服务与技术服务。根据单位需要购买网络安全专业服务。
以上的五类人员,2、3、4类人员是当前网络安全依赖的主要力量,但他们的工作重点和关注焦点是信息化,网络安全不是他们关注的焦点问题。1和5类人员才是单位网络安全的专业力量,但当前这两支队伍都比较弱。
先说网络安全管理队伍。两种薄弱表现,一种是岗位设得太低,与职责不匹配,这是普遍现象。这里的队伍建设,首先指的是岗位设置、岗位职责和权限的分配。业务对信息化依赖程度高的单位需要一个高级岗位,规划管理和监督单位网络安全,将网络安全与单位经营管理活动相结合,不仅需要有专业背景和管理能力,也需要相应的权限和沟通渠道,才能做好工作。但好多这样的单位只设了一个低级的网络安全管理岗位,很难履行相应职责,有的甚至没有设专岗。这方面普遍不足,也意味着网络安全管理人员没有向上发展的通道,这是整个社会网络安全管理人员队伍储备严重不足原因之一。第二种薄弱的表现,是网络安全管理人员的素质与职责不配匹。这是一个综合素质和专业素质要求很高的岗位,当前市场人才非常缺,学习成长的周期也长。
我们经常看到的情况,信息化是单位二级部门的一项职责,有两个人负责信息化管理,其中一人兼管网络安全,信息系统运维委托外部机构。信息化或网络安全的规划也由运维机构提供支持。二级部门负责人及上一级部门负责人都没有网络安全专业基础。这样的网络安全管理队伍,很难应对信息化高度发展情况下的网络安全管理需求。
网络安全管理人员队伍薄弱,直接导致单位网络安全需求不明确,网络安全目标感缺失。而这一问题,又使网络安全咨询服务与技术服务的市场不能获得良好的培育。
查看全文