网络信息安全

网络信息安全北京启明星辰信息技术有限公司前言电子政务是一国的各级政府机关或有关机构借助电子信息技术而进行的政务活动，其实质是通过应用信息技术转变政府传统的集中管理、分层结构运行模式，以适应数字化社会的需要。随着2002年我国电子政务建设的框架和范畴基本确定之后，2003年电子政务相关政策相继出台，电子政务进入规模化建设、实质性推进阶段。当前的电子政务应用，正从内部办公网与公众信息网彼此分离、功能单一向“综合政务网”转变，它的职能大大丰富。电子政务主要由政府部门内部的数字化办公、政府部门之间通过计算机网络而进行的信息共享和实时通信、政府部门通过网络与公众进行的双向信息交流三部分组成。由于电子政务是依赖于计算机和网络技术而存在的，并通过存在着重大安全隐患的因特网为企业和个人用户提供优质高效的服务，这就意味着电子政务系统不可避免面临着安全问题。去年上半年电子政务网络安全方面暴露问题比较突出的有五个方面：计算机病毒泛滥；木马程序带来安全保密方面的隐患；黑客攻击特别是洪流攻击；垃圾邮件阻塞网络；网络安全的威胁开始蔓延到应用的环节，其中windows70%，unix30%。电子政务本身的特点（开放性、虚拟性、网络化）决定了电子政务系统行使政府职能的同时，必然会存在着来自外部或内部的各种攻击,而同时电子政务的这些特点又对电子政务系统的安全性提出了严格的要求。如果敌意国家有计划地对我国政务信息系统进行监听和破坏，如果涉密信息被窃取或篡改，那么后果将会不堪设想。网络安全作为确保电子政务有效实施的重要一环，显得日益重要。以电子政务的网络安全建设为例，2002年在全国电子政务建设投资中，网络安全占到了20％以上，由于安全建设的特殊性，该比例现在稳中有升。可见网络安全是电子政务安全建设的重要组成部分，对推动电子政务的发展具有重要意义。第一章计算机网络安全基础一、安全的定义安全的定义是：远离危险的状态或特性，为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。在涉及到“安全”词汇时，通常会与网络、计算机、信息和数据相联系，而且具有不同的侧重和含义。二、计算机网络安全国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重取的措施。于静态信息保护。也有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于动态意义描述。从静态的观点看，计算机安全主要是解决特定计算机设备的安全问题。如果今天输入到计算机中的数据，任何一段时间之后仍保留在那里，完好如初并没有被非法读取，那么一般地称这台计算机具有一定的安全性。如果存放的程序软件运行的效果和用户所期望的一样，我们就可以判定这台计算机是可信任的，或者说它是安全的。安全问题是一个动态的过程，不能用僵硬和静止的观点去看待，不仅仅是计算机硬件存在形式的安全`，还在于计算机软件特殊形式的安全特性。因为自然灾难和有运行故障的软件同非法存取数据一样对计算机的安全性构成威胁。人为的有意或无意的操作、某种计算机病毒的发作、不可预知的系统故障和运行错误，都可能造成计算机中数据的丢失。因此，计算机安全的内容应包括两方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性：完整性指信息不会被非授权修改及信息保持一致性等；保密性是指在授权情况下高级别信息可以流向低级别的客体与主体；可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。网络安全的根本目的就是防止通过计算机网络传输的信息被非法使用。如果国家信息网络上的数据遭到窃取、更改或破坏，那么它必将关系到国家的主权和声誉、社会的繁荣和稳定、民族文化的继承和发扬等一系列重要问题。为避免机要信息的泄露对社会产生的危害和对国家造成的极大损失，任何网络中国家机密信息的过滤、防堵与保护将是网络运行管理中极其重要的内容。有时网络信息安全的不利影响甚至超过信息共享所带来的巨大效益。从企业和个人的用户角度来看，涉及个人隐私或商业利益的信息在网络上传输时，其保密性、完整性和真实性也应受到应有的关注，避免其他人或商业对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私，造成用户资料的非授权访问和破坏。网络安全的具体含义涉及到社会生活的方方面面，从使用防火墙、防病毒、信息加密、身份确认与授权等技术，到企业的规章制度、网络安全教育和国家的法律政策，直至采用必要的实时监控手段、应用检查安全漏洞的仿真系统和制定灵活有效的安全策略应变措施，加强网络安全的审计与管理。网络安全较全面地对计算机和计算机之间相连接的传输线路这个全过程进行管理，特别是对网络的组成方式、拓扑结构和网络应用的重点研究。它包括了各种类型的局域网、通信与计算机相结合的广域网，以及更为广泛的计算机互联网络。因此保护网络系统中的硬件、软件及其数据不受偶然或者恶意原因而遭到破坏、更改、泄露，系统连续可靠地正常运行，网络服务不中断，成为网络安全的主要内容。例如，电子邮件系统不能因为安全原因使用户的数据丢失，等等。三、信息安全信息和数据安全的范围要比网络安全和计算机安全更为广泛。它包括了信息系统中从信息的产生直至信息的应用这一全部过程。我们日常生活中接触的数据比比皆是，考试的分数、银行的存款、人员的年龄、商品的库存量等等，按照某种需要或一定的规则进行收集，经过不同的分类、运算和加工整理，形成对管理决策有指导价值和倾向性说明的信息。随着信息化社会的不断发展，信息的商品属性也慢慢显露出来，信息商品的存储和传输的安全也日益受到广泛的关注。如果非法用户获取系统的访问控制权，从存储介质或设备上得到机密数据或专利软件，或根据某种目的修改了原始数据，那么网络信息的保密性、完整性、可用性、真实性和可控性将遭到破坏。如果信息在通信传输过程中，受到不同程度的非法窃取，或被虚假的信息和计算机病毒以冒充等手段充斥最终的信息系统，使得系统无法正常运行，造成真正信息的丢失和泄露，会给使用者带来经济或者政治上的巨大损失。信息安全研究所涉及的领域相当广泛。从信息的层次来看，包括信息的来源、去向，内容的真实无误及保证信息的完整性，信息不会被非法泄露扩散保证信息的保密性。信息的发送和接收者无法否认自己所做过的操作行为而保证信息的不可否认性。从网络层次来看，网络和信息系统随时可用，运行过程中不出现故障，若遇意外打击能够尽量减少损失并尽早恢复，正常保证信息的可靠性。系统的管理者对网络和信息系统有足够的控制和管理能力保证信息的可控性。网络协议、操作系统和应用系统能够互相连接，协调运行，保证信息的互操作性。准确跟踪实体运行达到审计和识别的目的，保证信息可计算性。从设备层次来看，包括质量保证、设备备份、物理安全等。从经营管理层次来看，包括人员可靠性、规章制度完整性等。由此可见，信息安全实际上是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。三、网络信息安全的基本要求计算机系统要防止资源和数据被独占，防止数据和程序被非法修改、删除及泄露，在一定程度上，封闭性有利于保证信息的安全性。如何在保持网络开放灵活性的同时保证安全性。成为研究的热点。目前使用TCP/IP技术构成的网络上的安全措施及其相应的网络安全产品主要有两大类：开放型（如数据加密）及被动防卫型（如防火墙）。他们主要是根据以下四个方面的安全需求而设计和应用的：（一）数据的保密性数据的保密性是数据不泄露给非授权用户、实体或过程，或供其利用的特性。由于系统无法确认是否有未经授权的用户截取网络上的数据，这就需要使用一种手段对数据进行保密处理。数据加密就是用来实现这一目标的，使得加密后的数据能够保证在传输、使用和转换过程中不被第三方非法获取。网络和系统管理员根据不同的应用需求和等级职责，把数据进行分类，配置不同的访问模式，控制数据的非法流向。（二）数据的完整性数据的完整性是数据未经授权不能进行改变的特性，即只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。存储器中或是经过网络传输后的数据，必须和它被输人时或最后一次被修改，或者传输前的内容与形式一模一样。其目的就是保证信息系统上的数据处于一种完整和未受损的状态，数据不会因为存储和传输的过程，而被有意或无意的事件所改变、破坏和丢失。在应用数据加密技术的基础上，综合运用故障应急方案和多种预防性技术，诸如归档、备份、校验。崩溃转储和故障前兆分析等手段实现这一目标。（三）数据的可用性数据的可用性是指可被授权实体访问并按需求使用的特性，即攻击者不能占用所有的资源而阻碍授权者的工作。由于互联网络是开放的网络，需要时就可以得到所需要的数据是网络设计和发展的基本目标，因此数据的可用性要求系统当用户需要时能够存取所需要的数据，或是说应用系统提供的服务，能够免于遭受恶劣影响，甚至被完全破坏而不可使用的情形。（四）数据的可控性数据的可控性是指可以控制授权范围内的信息的流向及行为方式，如对数据的访问。传播及内容具有控制能力。首先，系统需要能够控制谁能够访问系统或网络上的数据，以及如何访问，即是否可以修改数据还是只能读取数据。这首先要通过采用访问控制表等授权方法得以实现；其次，即使拥有合法的授权，系统仍需要对网络上的用户进行验证，以确保他确实是他所声称的那个人，通过握手协议和数据加密进行身份验证；最后，系统还要将用户的所有网络活动记录在案，包括网络中机器的使用时间、敏感操作和违纪操作等，为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。四、网络信息安全的现状我国的Internet网（国际互联网）从科技网、教育网起步，现已发展到商业网、政务网，这标志着我国已跨入Internet网的新时代。我国的信息安全保密技术，在20多年中经历了两次大的变革（70年代完成了手工到电子的变革，80年代完成了电子到计算机作业的变革），目前正酝酿着第三次变革，迎接着互联网时代的到来。互联网也是计算机网，从这个意义上讲，它具有与计算机网相同的特点。但互联网是开放网，不提供保密服务，这一点使互联网具有与计算机网不同的新特点。（一）互联网是无中心网，再生能力很强。一个局部的破坏，不影响整个系统的运行。因此，互联网特别能适应战争环境。这也许是美国军方重新重视互联网的原因之一。（二）互联网可实现移动通信、多媒体通信等多种服务。互联网提供电子邮件（E-mail）、文件传输（FTP）、全球浏览（），以及多媒体、移动通信等服务，正在实现一次通信（信息）革命，在社会生活中起着非常重要的作用。尽管国际互联网存在一些问题，但仍受到各国政府的高度重视，发展异常迅猛。（三）互联网一般分为外部网和内部网。从安全保密的角度来看，互联网的安全主要指内部网（Intranet）的安全，因此其安全保密系统要靠内部网的安全保密技术来实现，并在内部网与外部网的联接处用防火墙（firewall）技术隔离，以确保内部网的安全。（四）互联网的用户主体是个人。个人化通信是通信技术发展的方向，推动着信息高速公路的发展。但从我国目前的情况看，在今后相当长的时间里，计算机局域网和互联网会并存发展，在保留大量端间（terminalorwork-station）通信的计算机网的特点的同时，会不断加大个人化personalorindividual通信的互联网的特点。（五）互联网将成为信息战的战略目标。互联网作为开放的信息系统，越来越成为各国信息战的战略目标。窃密和反窃密、破坏和反破坏的斗争将是全方位的，不只是个人、集团的行为，而且是国家级的行为。在这样的斗争中，要立于不败之地、掌握主动权，就必须对作为信息系统最核心的芯片和操作系统有足够的了解，构造出自己的安全内核。五、网络安全的意识与教育随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络已涉及到国家的政府