Intranet 与网络安全
开发抱着过高的期望,以为开发结果一定应符合自己的想象。
1.3 系统管理上的误区
企业网络效果的发挥离不开系统管理,决不仅仅是安装好企业网络的设备,配置好软件那么简单,同样一个运行良好的企业网离不开人的管理,系统管理在网络建设和维护中是至关重要的,目前在系统管理方面存在的误区主要包括:
1. 认为系统管理只要有计算机人员就可以了,不建立规范、有效的管理制度,没有想到系统管理实际上是企业管理中必不可少的一部分。 2. 认为系统管理就是对计算机、网络设备、系统软件的管理,没考虑到对企业整体信息资源的管理,不注重对数据信息的规范化、标准化管理。
3. 认为系统管理简单,费用不高,投入的财力、人力、物力不足。有许多企业的系统管理员只会“玩”PC而已,网管软件也被当作是可有可无的东西。殊不知,随着网络技术的发展和信息的增多,系统管理工作是相当复杂和繁重的。
4. 认为系统管理工作只是辅助性工作,不能为企业创造直接效益,可以不予重视。结果导致专业计算机人才流失,只好使用非专业人员,使管理效果大打折扣。
5. 认为只有看的见的东西才值钱,因而不愿意在服务上花钱。在系统管理上无法得到专业厂商的支持,导致管理水平业余而落后。
2. Intranet与网络安全技术
2.1 信息安全的重要性和内涵
长期以来, 人们把信息安全理解为对信息的机密性、完整性和可获性的保护, 这固然是对的, 但这个观念是在二十多年前主机时代形成的。当时人们需要保护的是设在专用机房内的主机以及数据的安全性, 因此它是面
6
Intranet 与网络安全
向单机、面向数据的。八十年代进入了微机和局域网时代, 计算机已从专用机房内解放到分散的办公桌面乃至家庭, 由于它的用户/网络结构比较简单、对称,所以既要依靠技术措施保护,还要制定人人必须遵守的规定。因此, 这个时代的信息安全是面向网管、面向规约的。九十年代进入了互联网时代, 每个用户有都可以联接、使用乃至控制散布在世界上各个角落的上网计算机, 因此Internet的信息安全内容更多, 更为强调面向连接、面向用户(“人”)。因为在这个崭新的世界里, 人与计算机的关系发生了质的变化。人、网、环境相结合, 形成了一个复杂的巨系统。通过网上的协同和交流, 人的智能和计算机快速运行的能力汇集并融合起来, 创造了新的社会生产力, 丰富着大量应用(电子商务, 网上购物等等)和满足着人们的各种社会需要(交流、学习、医疗、消费、娱乐、安全感、安全环境等等)。在这个复杂巨系统中, “人”以资源使用者的身份出现, 是系统的主体, 处于主导地位, 而系统的资源(包括硬软件、通讯网、数据、信息内容等)则是客体, 它是为主体即“人”服务的, 与此相适应, 信息安全的主体也是“人”(包括用户、团体、社会和国家), 其目的主要是保证主体对信息资源的控制。可以这样说: 面向数据的安全概念是前述的保密性、完整性和可获性, 而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。这两者结合就是信息安全体系结构中的安全服务功能), 而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心, 安全标准和系统评估是信息安全的基础。
总之从历史的、人网大系统的概念出发, 现代的信息安全涉及到个人权益、企业生存、金融风险防范、社会稳定和国家的安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和。信息安全的完整内涵是和信息安全的方法论相匹配的, 信息安全系统是一个多维、多因素、多层次、多目标的系统。因此, 有必要从方法论的角度去理解现有的信息安全模式。
1. 分析与综合的辩证思维方法: 要在分析过程中从整体上把握好分析
7
Intranet 与网络安全
要素的内部矛盾, 例如:*在威胁分析中的环境灾害与人员失误、无意疏忽与有意破坏、外部人员与内部职员、窃密篡改与拒绝服务、个人行为与有组织的信息战威胁等关系。
在脆弱性分析中的软件、协议缺陷与嵌入后门、网络层、系统层、应用层薄弱环节的关联等。
在攻击分析中的利用技术漏洞与社会工程、行为模式与隐蔽方式等关系。
在综合方法上则应该面向过程, 着眼发展:
风险管理的综合方法: 立足于尽量减少风险, 实行资产评估, 风险估算, 重点选择, 综合平衡, 政策制定, 系统实施, 审计监管等的全过程和全面质量管理。
安全评估的综合方法: 面向设计过程, 强调系统总体评价。在评估标准上掌握好传统与现实、国际通用互认和中国特点的关系。在保护轮廓内掌握好安全功能和保障的关系。
2. 从系统复杂性的观点理解和解决安全问题: 信息安全是过程、政策、标准、管理、指导、监控、法规、培训和工具技术的有机总和。这需要在不同层面上面向目标, 用定性与定量相结合、技术措施与专家经验相结合的综合集成方法加以解决。对信息内容的管理则要从源头、传递、网关、服务网站和用户层面进行综合治理。以创新精神跟上网络和安全技术的新发展我们处在网络调整发展和科技突飞猛进的时代, 信息安全技术是具有对抗性的敏感技术, 面对日益迫切的需要, 唯一的出路就是自主?创新。但是自主创新并不排斥吸取国外的先进技术相反, 只有密切跟踪国际信息安全技术的新进民才能知已
知彼, 为我所用, 在技术创新上以下发展值得注意: 1. 在信息安全系统的构建、模式、评估方面
风险管理技术已由传统的相对固定的模式向灵活的不断反馈、不断演进的弹性模式转化, 强调可测量的方法体系, 形成所谓“有适应能力的风险管理模式”。
十年前, 信息安全系统构建理念是“自上而下”即顶层设计。从
8
Intranet 与网络安全
Internet的历史特点和发展现实出发, 需要先“自下而上”赴, 接着“上下结合”, 然后再在网络的确定范围内从全局上规划, 构成安全体系。系统安全不能作到一劳永逸, 需要动态的构建模型。
在安全功能、服务的配置上, 过去是先从整体定义入手, 但是Internet量个多元化的应用环境, 而且日新月异。因此现实的解决办法是“分而治之”。各种应用, 各个部门, 先在统一的规范下, “从我做起”或者分层分步实施。这在相当一段时间内, 是推动网络发展、激励安全应用的现实途径。
新的安全协议不断出现, 有的已趋于成熟, 例如大家熟知IPv6已被公认安全性较强, 又能比IPv4提供更好的互连互通功能, 很有可能进入主流, 如何使我们的安全产品能同时支持IPv6已提到日程上
人类社会向来是正义与邪恶并存,在科学技术进步的同时人类也面临新的威胁,计算机技术的发展带来的计算机犯罪就是其中典型的例子。下面谈谈实施一个完整的安全体系应该考虑的问题。
2.2 国内的信息系统安全吗?
在国家范围的网络建设方面, 国家电信事业迅速发展, 取得了巨大的成
绩。
但是, 国家通信网络的交换机及其通信设备有相当一部分由于没有经过安全检测, 安全问题没有保证, 这是由于安全检测工作的建设滞后造成的。
交换机的嵌入操作系统的安全性也存在问题。通信业务的计算机系统也多采用开放式的操作系统, 安全级别都很低, 也没有附加安全措施。这些系统不能抵抗黑客的攻击与信息炸弹的攻击。在国家政府部门, 应当说对信息系统的安全性还是重视的, 但苦于没有好的解决问题的方案和安全建设经费不足, 行业系统安全问题还是相当严重的,计算机系统也多采用开放式的操作系统, 安全级别较低。不能抵抗黑客的攻击与信息炸弹的攻击。有些系统网络多路出口, 对信息系统安全没有概念,完全没有安全措施, 更谈不
9
Intranet 与网络安全
上安全管理与安全策略的制定。有的行业的信息系统业务是在没有安全保障的情况下发展的。
在金融领域, 有些系统采用了开放操作系统UNIX。在系统采购时, 有些单位没有采购安全系统或安全系统建设不完善。这些系统安全级别较低, 安全问题是普遍性的。有的商品交易所与证券公司使用的信息系统采用的是微机网络系统, 已经出现内外黑客的攻击, 应当说问题已经相当严重。
在产业发展决策方面, 当然改革开放以来取得巨大成绩, 在行业规划方面一度存在轻系统重应用的发展思路, 对目前出现的信息系统安全问题是有影响的。行业部门应当重视系统软件的建设工作, 因为单靠企业发展系统软件是不可能在较短的时间内取得地位的, 要在系统软件领域占有一席之地应当成为国策, 甚至不亚于芯片建设的重要性。要加强信息系统安全的标准化工作,要启动信息系统安全建设的内需, 要明确信息系统安全建设的要求和规范。应当引起我们注意的是操作系统、网络系统与数据库管理系统的安全问题,是信息系统的核心技术, 没有系统的安全就没有信息的安全。我们应当特别注意, 我国在信息系统安全方面与美国是不平等的。在信息系统安全管理部门信息系统产品的认证和检测工作刚刚开始, 任重而道远
2.3 影响网络信息安全的因素
现今的网络信息安全存在的威胁主要表现在以下几个方面。
1.非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。 2.冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
3.破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
4.干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段。
5.病毒与恶意攻击。指通过网络传播病毒或恶意Java、XActive等。 6.线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。
10