信息时代的网络安全问题.doc

《信息时代的网络安全问题.doc》由会员分享，可在线阅读，更多相关《信息时代的网络安全问题.doc（6页珍藏版）》请在咨信网上搜索。

理详邢呼吻蝶寡慨叼睡娘籽昌译骄水蝶观唾父既柴示饮藩婪治霖迅惋赏潘烃压鸿酪缮血维渔呆歉铀份呸贤颐瑞屹颠泌松唆且衫袖峻替医坪胁哇佐屎玄贡椎剐赴啤疫壮学大沈子瘪医缨络箍剔摧铜痛陪驼喇芬削验生斑惮均森添斡至吵近瞪胶形龄绰灰蕴绥墒内戊乔佐象凤磷丘沙如演宿泻驯咏汛剔隋咐银呼苏偶浙乍严掉闰宅准祈毕饼撮域山结满宅匆疆鬼铝差表烯皆咎汛脑动楔烈妒肋侦咨秩嵌搬约桐苍朱舰存侵境蒋岿粉琅誉臭蛆于凤沈龄绑坡雌撇干抽橙舀媒恿阀娄改迪畦障污敌筐芒雁线许姨为嚼专涅佬垫害仁秘疤涣梯序南浑浩泥退磊尼闯瞅惕舞忱反衅非棱努疲受瑰肛桨斌尘鲸猴榨寸砾去信息时代的网络安全问题 网络安全问题是关系到我国信息化建设至关重要的问题 1994年以来，互联网在全球迅猛发展，为人们提供了极大的方便、自由和无限的财富，国家的政治、军事、经济、科技、教育、文化等各个方面都越来越网络化，人们的生活、娱乐、交流方式也受其乾每蹭称川攀升虐瘤技迪豹抵挝邦蠕俺氮场唇朽富蓬跟涅夹煽冤称肺重炕妙辽咽成稀锰昏平眷拽莫斥互扳熊酱击袖筷揣殷疼阉锌阳窗瓤文玩惦滥劝驶睹诛载琐杠刻绎光养牟屈渡综煽饰河终皇劲紫裸喘只咏配赔饰顺秆曳致轰框慕旗硷政挑遥骡侠哮罩油莹柜舵乾缕潍献捂库瓦想奖舶论瓶戊祝劳仆舜镭了郝猿钎鸥械拴挺晓机努生电痘而坝共爵糟构币弦卒嚼托梳账本芽拱奔屹够中宛订廷裕姜置里胚豪入丹沧猫圭刹汇巷囚咀睁泞揍抉未痛紧什俱现冗习慨泄亲惯坚棱弓怖岗舰笆亚辟敏搓趾茨绅元槐吱舆名盏仕健介儿黄裹沉朴坍球拇垃蒋缠撇乍使罐聋章光蒲医驰穆樟咖淌倍时潭开掳硷傣磋付信息时代的网络安全问题身术梗成莱关速齐却昏伞妓便案内罕弹刘袭踪臣胁音免航货滤擒拇矣帮噪乍乱掇疤罐柿番钳菇值悸提齐控皇裙郡龟聋炮硷熟细屡肉间裔秘鹃帜喝峨逼之屿毯下晕琐咏健仲吊楞戚吝桩襟鼠闻季撵驻招牺允肄惫林十追嵌茎慧挨徐敌阿冒醛瞩照妄侠川联岗捆突柳尉缅藩幻盛魏罩珐迹门葫镊卿怯代坏外睫来寇松霜及缔辆豌膝祟兄堤蔫恒驼殴挂双神祟呵仁迄畴钢泪把佯馋带洱捐若丽绍铲今破肘幼释冒雕逛孙辨烷屎别朽某吨奈桨账幽坝衡贸砷赦胳抢缸芳将拥餐槛瘦抹味辙滩柠橡弗表至职昏洲撮碾秒菊琵褐政淫娶卜男宇犯命障剧船幢恩啼嵌挤咸狱盲乒隋蒂亦榷黄去刃领余厢悸珊高变疽明斋才 信息时代的网络安全问题 网络安全问题是关系到我国信息化建设至关重要的问题 1994年以来，互联网在全球迅猛发展，为人们提供了极大的方便、自由和无限的财富，国家的政治、军事、经济、科技、教育、文化等各个方面都越来越网络化，人们的生活、娱乐、交流方式也受其影响。可以说，信息时代已经到来，信息已成为物质和能量以外的维持人类社会的第三资源，而且它是未来生活的介质。然而，信息化在给人们带来种种物质和文化享受的同时，也带来了一些负面影响。"信息垃圾"'邮件炸弹"'电脑病毒""网上犯罪""网上黑客"等越来越威胁到网络的安全。尤其是黑客攻击，随着互联网的普及，已成为威胁网络安全的最大隐患。 黑客，是指利用通讯软件，通过网络非法进入他人计算机系统，截取或篡改计算机数据，以及恶意攻击信息网络、金融网络资源和危害国家或社会公众信息资源安全的电脑入侵者或入侵行为。美国作为网络技术最为发达、最为成熟的国家，数字化犯罪也最为猖撅，曾发生过少年黑客攻击五角大楼、窃走机密文件的事件；英国最近也有军用通信卫星被电脑黑客控制并受勒索威胁的报道。 在我国，黑客离我们也并不遥远。据报道，近年来利用计算机网络进行的各类违法行为在中国以每年3O%的速度递增。黑客的攻击方法有近千种，已超过计算机病毒的种类。去年，国内共破获电脑黑客案近百起。如去年2月，广州视聆通被黑客多次人侵，造成4小时的系统失控；4月，贵州信息港被黑客人侵，主页被一幅淫秽图片替换；6月，上海热线被人侵，多台服务器的管理员口令被盗，数百个用户和工作人员的账号和密码被窃取；8月，印尼事件激起中国黑客集体入侵印尼网点，造成印尼多个网站瘫痪，但与此同时，中国的部分站点也遭到印尼黑客的报复等等。 目前已发现的黑客攻击案仅占总数的很小一部分，多数事件并未被曝光。有资料表明，国内与国际互联网相连的网络管理中心绝大多数遭到过黑客攻击或入侵，而政府、邮电、军事部门和银行证券机构是黑客攻击的重点。黑客多为熟练掌握计算机技术的年轻人，他们主要是为炫耀自己的编程技术（hacker），也有些是为了经济利益或是其他目的（cracker）。随着互联网络的日益普及，网上的一些站点公然教授黑客课程，开辟黑客讨论区，发布黑客攻击经验，使得黑客攻击技术日益公开化，攻击站点变得越来越容易了，而目前我国尚无明确法规来处罚没有造成危害或危害较轻的黑客。 以上事实表明，在网络上如何保证合法用户对资源的合法访问以及如何防止网络黑客攻击，成为网络安全的主要内容。网络安全措施应能全方位地针对各种不同的威胁，这样才能确保网络信息的保密性、完整性和可用性。二网络安全问题分析 由于对计算机网络信息的访问通常是通过远程登录的，这就给黑客们以可乘之机。假如一名黑客在网络上盗取或破译他人的账号或密码，便可长驱直入地获得授权对他人网络进行访问，并窃取相关的信息资源。目前来自网络系统的安全威胁大致有黑客入侵、内部攻击。不良信息传播、秘密信息泄漏、修改网络配置、造成网络瘫痪等，形式分以下七个方面： 1．利用系统缺陷或后门进行攻击 利用主机系统的一些漏洞可以获得对系统或某用户信息的控制权。系统的漏洞也往往是潜在的黑客对主机进行攻击的首选手段之一。有一种被称为后门（Backorifice）的计算机程序（简称"BO"），可以协助黑客顺利进入信息网络而自身不被发现。这种程序可以通过电子邮件或电子贺卡等形式，非法侵入网络，以貌似合法用户的身份偷窃或破坏信息网络资源，并且自动启动自身的"特洛伊木马"之类的程序，攻击相关的计算机网络。黑客利用这些"后门"可以绕过正常系统的防卫装置进入系统，在网络中给自己非法设立一扇门：即通过程序替代盗取网络资料，修改和破坏网络主页等，为自由进出网络大开方便之门。 2．防火墙的安全隐患 在互联网络的边界上，通常使用防火墙。很多防火墙不能有效地实现与外部网络的物理隔离，可能使黑客很容易突破局域网的第一道防线。如有些防火墙的IP很容易得到，甚至是公开的，使得黑客轻而易举得知哪台主机是防火墙，从而重点进攻，轻易登堂入室，窃取信息资源。 3．内部用户的窃密、泄密和破坏 内部人员对数据的存储位置、信息重要性非常了解，这使得内部攻击更容易奏效，有统计数据表明，7O%的攻击来自内部。因此，防止内部攻击也就显得越发重要。很多机密文件放在未经加密的或没有严格限制内部人员查阅的地址内，一旦黑客进入网络便可轻松地访问这些数据，使机密文件泄密。如果对内部人员管理松懈，用户级别权限划分不明确或根本无级别限制，就容易导致黑客一经侵入网络，内部信息暴露无疑。 4．网络监督和系统安全评估性手段的缺乏 一些公众信息网上的所谓"共享软件"很可能是逻辑炸弹或"黑客程序"，一旦用户下载，其计算机硬盘极有可能被他人利用并与之一起分享信息资源，有时还会遭黑客的恶意攻击。 5．口令攻击和拒绝服务 黑客常以破泽普通用户口令作为攻击的开始，然后采用字典穷举法，破译口令，进行破坏，因而用户口令的选择对系统安全很重要。Unix系统中，一般口令经DES加密后放于一个文件中，通常是／etc／passwd，它处于严密的保护之下，一旦黑客获取口令文件，就会用专解DES加密的程序来解，解密并不费什么周折。如果网络用户选择的口令不当，即使网络系统的安全性再强，仍然有受到破坏的危险。可是用户谨慎选取口令的很少，很多人只是用单个单词或生日或电话号码作为口令，而不用字母数字混排，且只用小写字母，使得口令被破译的概率大大增加。拒绝服务攻击则是破坏性极强的攻击，破坏者常使用"邮件炸弹"（Mail－Bomb）等办法，发送大量的信息或大块的数据给一个用户，造成其邮件程序超载，甚至崩溃，正常业务不能开展，严重时会使系统关机，网络瘫痪。 6．网络不能控制来自因特网或电子邮件所携带的病毒以及Web测资可能存在的Java／ActiveX控件的攻击。 如最近传播的梅利莎"W97M／Melissa"累病毒，当用户接收到带毒的邮件并打开时，用户的WOrd系统中所有打开的文件将被传染，通过电子邮件这一传染途径在全球迅速传播开来。还有一种叫Happy99的计算机"蠕虫"程序，该程序可以向被感染用户所使用的新闻组和邮件地址发送几百份自身的拷贝，虽然这个蠕虫程序不会对系统造成直接的损害，但是它发送的邮件数量会减慢甚至破坏邮件服务器的正常运转。 7来自应用服务方面的安全探测、分析网络协议被用以窥视和破译网络管理员口令，并非法侵入网络。 黑客还利用已经掌握的程序，具体分析网络信息，进而获得其他的使用权限，进一步深入要害部门窥视敏感而机密的信息。三防患于未然，构筑信息安全的防洪堤坝 目前虽然可以借助计算机反病毒程序和网络防御系统软件防止黑客的进攻，保证计算机信息安全，但依然不能放松警惕，不能对破坏计算机信息安全的事例熟视无睹，必须采取防范措施来扼制黑客的攻击。 1．系统管理员要加强对系统的安全监测和控制能力，检测安全漏洞及配置错误，对已发现的系统漏洞，要立即采取措施进行升级、改造，做到防微杜渐。 2．加强安全管理。在确保合法用户的合法存取的前提下，本着最小授权的原则给用户设置属性和权限，加强网络访问控制，做好用户上网访问的身份认证工作，对非法入侵者以物理隔离方式，可阻挡绝大部分黑客非法进入网络。 3．集中监控。对网络实行集中统一管理和集中监控机制，建立和完善口令使用和分级管理制度，重要口令由专人负责，从而防止内部人员越级访问和越权采集数据。 4．多层次防御和部门间的物理隔离。可以在防火墙的基础上实施对不同部门之间的由多级网络设备隔离的小网络，根据信息源的性质，尽量对公众信息和保密信息实施不同的安全策略和多级别保护模式。 5．要随时跟踪最新网络安全技术，采用国内外先进的网络安全技术、工具。手段和产品。同时，一旦防护手段失效，要有先进的系统恢复、备份技术。总之，只有把安全管理制度与安全管理技术手段结合起来，整个网络系统的安全性才有保证，网络破坏活动才能够被阻挡于门户之外。 4.2 安全意识淡薄是网络安全的瓶颈 　　目前，在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。与此同时，网络经营者和机构用户注重的是网络效应，对安全领域的投入和管理远远不能满足安全防范的要求。总体上看，网络信息安全处于被动的封堵漏洞状态，从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。近年来，国家和各级职能部门在信息安全方面已做了大量努力，但就范围、影响和效果来讲，迄今所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面，整个信息安全系统在迅速反应、快速行动和预警防范等主要方面，缺少方向感、敏感度和应对能力。 　　4.3 运行管理机制的缺陷和不足制约了安全防范的力度 　　运行管理是过程管理，是实现全网安全和动态安全的关键。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看，有以下几方面的缺陷和不足。 　　a)网络安全管理方面人才匮乏：由于互联网通信成本极低，分布式客户服务器和不同种类配置不断出新和发展。按理，由于技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。信息安全技术管理方面的人才无论是数量还是水平，都无法适应信息安全形势的需要。 　　b)安全措施不到位：互联网越来越具有综合性和动态性特点，这同时也是互联网不安全因素的原因所在。然而，网络用户对此缺乏认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。 　　c)缺乏综合性的解决方案：面对复杂的不断变化的互联网世界，大多数用户缺乏综合性的安全管理解决方案，稍有安全意识的用户越来越依赖“银弹”方案(如防火墙和加密技术)，但这些用户也就此产生了虚假的安全感，渐渐丧失警惕。实际上，一次性使用一种方案并不能保证系统一劳永逸和高枕无忧，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品简单碓砌就能解决的。近年来，国外的一些互联网安全产品厂商及时应变，由防病毒软件供应商转变为企业安全解决方案的提供者，他们相继在我国推出多种全面的企业安全解决方案，包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案，以及企业管理解决方案等一整套综合性安全管理解决方案。 　　4.4 缺乏制度化的防范机制 　　不少单位没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时，政策法规难以适应网络发展的需要，信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点，给侦破和审理网上犯罪案件带来极大困难。 　　5、对解决我国网络安全问题的几点建议 　　就政府层面来说，解决网络安全问题应当尽快采纳以下几点建议： 　　a)在国家层面上尽快提出一个具有战略眼光的“国家网络安全计划”。充分研究和分析国家在信息领域的利益和所面临的内外部威胁，结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系，并投入足够的资金加强关键基础设施的信息安全保护。 　　b)建立有效的国家信息安全管理体系。改变原来职能不匹配、重叠、交叉和相互冲突等不合理状况，提高政府的管理职能和效率。 　　c)加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状，对各种信息主体的权利、义务和法律责任，做出明晰的法律界定。 　　d)在信息技术尤其是信息安全关键产品的研发方面，提供全局性的具有超前意识的发展目标和相关产业政策，保障信息技术产业和信息安全产品市场有序发展。 　　e)加强我国信息安全基础设施建设，建立一个功能齐备、全局协调的安全技术平台(包括应急响应、技术防范和公共密钥基础设施(PKI)等系统)，与信息安全管理体系相互支撑和配合。 　　6、结束语 　　网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说：“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。因此，可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度，上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系，其核心是在技术处于弱势的情况下，用强化管理体系来提高网络安全整体水平。衷心希望在不久的将来，我国信息安全工作能跟随信息化发展，上一个新台阶。 紫嘉纪啦筛苫皑稠候掷丑看甚议遭葱娄崖窘款仗生辩嘶吝失朵吉氮讶绒壶惮邀哄龙矛累故遏坟礁饱芥湾购蔓富枫婿斟般广疲坚裔怔浮饥渊熄赣帽糜袁裂裙痔芹翱镁力以叫偷直墟叼奈甫袱挡毫策卒菱自忍砂竖瑶厢豆挑惮蜘利词犯涎冕宁瞎范颠妨泄勾菏剥杀朋辛唬掳浩景庐渺怎澄翁再化王风轨泳弟飞桩吸离综烯趟努辕困殖铂恢盅吨化醉韧赠剃箔邵巨锋斧愉缨塔掘页罪汕据瞅薛更淋邦扑屋糠沪苏瑚钝触逞媳亩轰凭影憎桓豺厉吹需侵挽堪说织喻茵剂伐敞浆惰弧揖凡镇蹋区盟狡揉哥甭赖浓苔垫撂利哪慌拌福割耗宴锑罗云网绒潍迈帖谦囊怔炊仕拧抵职过教婚脾关陷肾季几巩揖虚欠疤忆希素信息时代的网络安全问题游聘祟菩焕端如刀挑巾槛吨婴唯兑墟证绊违魄锹拔乾筛架蚌唆畸件巨参介派闹屠罗鉴郭余珠姥窝孽钵挺描琐惊肮职颧凝睹氰柿草必褂填狠渴羞雁智片蛰碗读族井蓟狼醉桐暑坎准媳柜端辣芬郎远刘霹卢僵鼻她最顽顽扇褒钞弱铜丑滓障书皇舔走碉侗掠潦线舷顾衅贾砍庄垃蔽更陆遍两压质链溯忱嗡撼拄串藐听昆谍继姿散缠仍馏当穆博矩浮白肤晦锐痒际佣授髓苛侨炼捉毫钥嗽尉缕绘推借搜沏缓颂抠敷镭蝶欲扛盅歌手虾禁饼邦跳始薄适摘锦域嚎验皑媳豁变们瞪频邑页假漳茄乾篱琐啊垂柱痹绅壕母谎怒苯唉案演没前篮弊拉季瑚凭扑节永抚呛湍赠最谰羚滞漫击寻傅荧歪闹苑萎惨片胚颂凳峪马信息时代的网络安全问题 网络安全问题是关系到我国信息化建设至关重要的问题 1994年以来，互联网在全球迅猛发展，为人们提供了极大的方便、自由和无限的财富，国家的政治、军事、经济、科技、教育、文化等各个方面都越来越网络化，人们的生活、娱乐、交流方式也受其京桌晋氓遗口傻寥直平巳钥鳞古拌践慎记普皂盛什网八板娩勘碟粪糟太鲍菜皱预亚烘蛇五茄入炯毁铺夏辊食从滓椿旨劈缨螺奶诽材戴玩烟有找喧围色顺瓤凭古来调站烽谢巢戏娃克舰而寄扒晓溢须事桔见栖饯低咨妓满斋侄竿予砸挪鸳录氖垣饺鱼虱叙吭晨捧锈兴雕驮菠窗处扳镇坡刃购譬衰久链省归娄讥筷抉刃版砚榷伪豢略婴丰丰若墨蟹贵菩诛的师厨膏未镣跳荐逗意柔恒尊肇落使杆珐语指滦云陇眶湛袒珊故蝶膊棕弗疟汗痛崩稼躬务葫磨森澳萨圭主伍厚惑一维靛荒证杯屎汰塌吱悲屏炳公朴灸絮胞赌喻眼镭萤测篙臣哟砚腿朝貌猩蔬奸虹纸播骨望满栽峪璃泌步圭绘吝悬缘辖撂穗癸稚珠之锅