魏正耀 信息化網(wǎng)絡(luò)化時代與信息系統(tǒng)安全
信息系統(tǒng)安全拓展到計算機網(wǎng)絡(luò)安全,隨著安全信息化、網(wǎng)絡(luò)化的發(fā)展,世界各國的政府、外交、經(jīng)貿(mào)、科技等部門,已逐步從傳統(tǒng)的專網(wǎng)專線通信保密體制轉(zhuǎn)向以信息基礎(chǔ)設(shè)施為依托的計算機網(wǎng)絡(luò)通信保密體制,密碼的應(yīng)用環(huán)境已經(jīng)發(fā)生了根本性的變化,我國也不例外。信息化網(wǎng)絡(luò)化條件下,密碼或密碼系統(tǒng)一般都嵌套在信息系統(tǒng)網(wǎng)絡(luò)之中,其安全性不僅依賴于密碼算法的強度,還依賴于信息基礎(chǔ)設(shè)施的安全性,包括計算機操作系統(tǒng)、計算機應(yīng)用系統(tǒng)、網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全性等。
信息系統(tǒng)網(wǎng)絡(luò)具有以下四個特征和矛盾,網(wǎng)絡(luò)的開放性與安全性,我講的開放性,主要的是指通信兩端是可以互操作和互控制的、遠程操作的平臺,有可能你的主機被別人控制,這種可能完全存在。
信息的共享性與可靠性也存在矛盾,計算機信息系統(tǒng),為了達到在一定范圍內(nèi)的信息共享,共享和可控性又是矛盾的,是一定范圍內(nèi)的共享,這里我還是講一點例子,大家對這個問題的嚴重性就清楚了,加深一點大家的了解。
大家知道危機泄密事件,這個事件怎么會形成的呢?據(jù)我了解的情況,是一個伊拉克戰(zhàn)爭的士官有反戰(zhàn)情緒,這個士官有訪問秘密機構(gòu)的權(quán)利,具有反戰(zhàn)情緒的美軍士兵,就把大量的信息從網(wǎng)上弄下來,到危機網(wǎng)發(fā)布,一度引起我們也很緊張,這個地方提出來一個問題,危機泄密事件之后就變化了,把外交網(wǎng)分離出去了,這是采取的一個措施,第二個訪問控制加強了,不光有CAC卡訪問,還設(shè)置了一個第二章CAC卡,還采取了一個措施,就是設(shè)置了一個FTP,就是文件下載要通過一個專門的服務(wù)器控制,這說明了信息的共享性和可控性矛盾,不光有外面的因素,不光要防外面的因素,還要防內(nèi)部的因素,權(quán)限控制是很重要的,這是一個復(fù)雜的矛盾。
還有系統(tǒng)的復(fù)雜性與脆弱性,還有應(yīng)用的廣泛性與管理能力的局限性,每個計算機平臺都可以經(jīng)過通信,只要有一個人的安全意識不強,就有可能造成泄密事件,造成漏洞,所以,到了這個時代,計算機信息系統(tǒng)有這4方面的矛盾,并且是難以克服和解決的矛盾,是網(wǎng)絡(luò)攻防的依據(jù),不但主機被控制,大量的機密被竊取,而且密碼系統(tǒng)的安全也會受到嚴重的威脅。
一是基于開放式網(wǎng)絡(luò)被突破,主機被控制造成的威脅,TCP/IP是國際上公認的異構(gòu)網(wǎng)絡(luò)互聯(lián)協(xié)議,稱之為開放式網(wǎng)絡(luò)結(jié)構(gòu),世界主要國家的網(wǎng)絡(luò)大都采取TCP/IP協(xié)議進行網(wǎng)絡(luò)互聯(lián)。
我要說一個例子,我們跟國家獎勵辦有聯(lián)系,它讓我們看看它的網(wǎng)絡(luò)系統(tǒng)的安全,我們看了,它一臺計算機既上互聯(lián)網(wǎng),也上內(nèi)網(wǎng),這一點肯定是不安全的,可以通過互聯(lián)網(wǎng),直接通過你的主機進入到內(nèi)網(wǎng),這個肯定是不安全的。還有就是什么介質(zhì)的問題,如果既上互聯(lián)網(wǎng),也上內(nèi)網(wǎng),我可以通過辦法控制你的內(nèi)網(wǎng)主機。別看內(nèi)網(wǎng)和外網(wǎng)隔絕了,不是這么簡單的問題。
第二個基于系統(tǒng)復(fù)雜性脆弱性的網(wǎng)絡(luò)被突破、主機被控制造成的威脅,計算機操作系統(tǒng)和計算機網(wǎng)絡(luò)的互聯(lián)是極其復(fù)雜的,據(jù)統(tǒng)計,微軟操作系統(tǒng)有5000萬條指令,平均每2000條指令就會產(chǎn)生一個漏洞,如果不進行防護和監(jiān)測,不安裝操作系統(tǒng)和應(yīng)用系統(tǒng)最新安全補丁,這樣的網(wǎng)絡(luò)和主機是很容易被突破控制的,此外,系統(tǒng)內(nèi)很可能存在一些未公開的安全漏洞和后門,利用這些漏洞和后門,攻擊者可以對系統(tǒng)進行溢出攻擊或者非授權(quán)操作,突破網(wǎng)絡(luò)和控制主機。
網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性,也是進行網(wǎng)絡(luò)突破和控制的突破口,以為在內(nèi)網(wǎng)很安全,但是你跟外網(wǎng)有聯(lián)系,復(fù)雜性的系統(tǒng)一定帶有脆弱性。
第三個是基于密碼破譯的網(wǎng)絡(luò)被突破、主機被控制造成的威脅,以合法的網(wǎng)絡(luò)權(quán)限獲得名密口令。
四是機遇信息欺騙的網(wǎng)絡(luò)被突破,主機被控制造成的威脅、通過搜集利用網(wǎng)絡(luò)信息,以假冒身份實施部件欺騙和網(wǎng)頁欺騙,以及IP地址欺騙是當(dāng)前主要的網(wǎng)絡(luò)欺騙方式。
五是基于安全意識薄弱的網(wǎng)絡(luò)被突破,主機被控制造成的威脅,密碼使用和管理人員安全意識的薄弱和違反安全管理規(guī)定會給第三方帶來可乘之機。
綜上所述,在信息化網(wǎng)絡(luò)化條件下,信息系統(tǒng)的安全已經(jīng)拓展到整個計算機網(wǎng)絡(luò)的安全問題。
第四個,目前計算機網(wǎng)絡(luò)處于防范難攻擊易的階段,這決定了第三方可以合法或非法的方式遠程接入和訪問計算機網(wǎng)絡(luò),成為世界各國竊取機密的重要手段,也是網(wǎng)絡(luò)作戰(zhàn)的具體體現(xiàn)。美國把信息作戰(zhàn)分為三個部分,網(wǎng)絡(luò)戰(zhàn)、電子對抗、心理戰(zhàn),網(wǎng)絡(luò)戰(zhàn)又分為CNA、CND和CNE。
除了這方面的斗爭以外,美國搞意識形態(tài)入侵,主要也是通過網(wǎng)絡(luò),最近美國把美國之音停掉了,但是加強了網(wǎng)絡(luò)上的意識形態(tài),大家知道我們新疆的七五事件,也是通過網(wǎng)絡(luò)來挑撥引起矛盾的,那一段時間,為了安全,我們把互聯(lián)網(wǎng)都停掉了在新疆地區(qū),意識形態(tài)的入侵,現(xiàn)在還利用密碼,像翻墻軟件,就是法輪功等組織提供的,通過加密方式逃過我們國家計算機和信息安全中心的控制,逃過我們的網(wǎng)關(guān)檢查,美國投資幾千萬美元搞電子郵遞,也是免費的提供你加密的實施,宣揚他們的東西,逃過我們的網(wǎng)絡(luò)監(jiān)測控制,這方面的斗爭應(yīng)該說是很激烈的,總之我們必須本著對黨和國家利益高度負責(zé)的態(tài)度,保障好國家的機密安全。
大家想想,如果我們的金融信息系統(tǒng)、電力信息系統(tǒng)已經(jīng)被人家控制了,你的國家安全就很危險了。
第三個講講信息系統(tǒng)安全存在的主要問題。
隨著計算機網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)安全需求的與日俱增,密碼技術(shù)在計算機網(wǎng)絡(luò)中廣泛應(yīng)用,并成為網(wǎng)絡(luò)安全的核心技術(shù),常見的信息安全的問題有以下幾種,在網(wǎng)絡(luò)通信時代,網(wǎng)絡(luò)和密碼密不可分,即網(wǎng)密一體,密碼系統(tǒng)通常運行在主機和服務(wù)器或者路由器上,一旦網(wǎng)絡(luò)被突破或主機被控制,密件、密碼軟件和密碼很容易被竊取,這是一種威脅。
第二個成熟介質(zhì)是很危險的東西,將內(nèi)部的信息網(wǎng)或辦公網(wǎng)與因特網(wǎng)進行物理隔離是普遍使用的一種安全防護措施,可以有效減少黑客攻擊和病毒侵襲,但物理隔離并不保證平安無事,如果涉密存儲介質(zhì)使用不當(dāng),物理隔離的內(nèi)網(wǎng)主機也會遭受攻擊。內(nèi)網(wǎng)和外網(wǎng)的信息傳輸?shù)膯栴},你通過成熟介質(zhì)就很危險,一定要有專門的過濾設(shè)備。
第三,名密報文、用戶私鑰、保溫密鑰和數(shù)字證書等加脫密信息在計算機上存放或臨時調(diào)用,如果不進行價碼處理,不但主機被控制,它們將面臨被竊取、被截獲的危機。
第四主機系統(tǒng)被控制,你的應(yīng)用系統(tǒng)或者操作系統(tǒng)可能被修改,訪問列表可能被修改,網(wǎng)絡(luò)一旦被突破,主機和服務(wù)器被控制,后果極其嚴重,修改被控制到,必然會被破譯。
第五、出于對兼容性、通用性和研制成本等因素的考慮,有些密碼設(shè)備可能會使用公開協(xié)議和集成通用軟件,這些公開的協(xié)議和通用軟件往往在設(shè)計、實現(xiàn)、方面存在漏洞,從而直接導(dǎo)致密碼設(shè)備存在安全風(fēng)險。
第六、密碼長期不變,其反復(fù)使用,會降低密碼強度,往往給攻擊者造成極好的條件。
第七個口令制不保險。
第八,任何一種密碼設(shè)備都一定得適應(yīng)環(huán)境,任何一種密碼設(shè)備對其使用環(huán)境都有一定的需求,隨意改變使用環(huán)境,可能會產(chǎn)生嚴重的后果,比如某無線通信密碼,每使用一次都要改一次密碼,工作密鑰長期不變,造成密碼被破譯,造成重大的泄密事件后果非常嚴重,使用環(huán)境的變化一定要通過密碼設(shè)計部門的同意。
第四個強化信息系統(tǒng)安全的幾點思考。
美軍認為信息保障是一種關(guān)鍵的作戰(zhàn)能力,為了實現(xiàn)有效的信息保障,美國國防部采取了名為“縱深防御”的信息保障戰(zhàn)略。你的信息系統(tǒng)不可靠,就要被人家打敗??v深防御的四個關(guān)鍵是本地計算機環(huán)境安全,然后是飛地邊界安全,網(wǎng)絡(luò)及輔助基礎(chǔ)設(shè)施安全。

責(zé)任編輯:黎陽錦
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)