信息安全和计算机网络安全的安全需求主要包括完整性、保密性、一致性、真实性和不可否认性。在电子商务实际应用中主要包括如何防范商业企业机密泄露及个人信息的泄露等问题。电子商务系统必须基于信息安全基础上并达到电子商务安全的要求的网络商务系统。必须有计算机网络安全,才能保证电子商务最低层的信息服务,计算机网络层是用户将信息传输到上层的基础及用户与计算机网络接入的基本交互式服务手段。网络服务层必须有相关安全机制,如:入侵检测、安全扫描、防火墙等来保证计算机网络的安全。另外,为了在应用层电子商务系统使用安全,必须利用网络加密技术和数字认证技术和电子商务安全协议,即构建安全的电子交易数据体系结构。其中,电子商务安全协议是加密技术和安全认证的综合运用和完善。电子商务应用系统应具有较高的安全性能指标,用户对所信赖的电子商务安全肯定具有很高的可靠性和可用性。在人才培养是就需考虑建立一个完善的基于信息安全核心能力提升的人才培养模式,形成一个电子商务安全知识体系,在考虑如何达到课程目标的同时也要考虑如何满足电子商务应用人才的实际需求。在信息安全基础上电子商务的安全内容主要包括计算机网络服务层、技术加密层、身份认证技术层、电子商务安全层、安全应用层。其中,上层主要以下层为基础的服务,同时下层为上层提供技术支持,整个内容之间相互关联的整体,并且在不同的信息安全技术控制下实现电子商务的安全模式。
2电子商务安全教学方法改革
目前电子商务安全课程在教学过程中,学生对教材的知识缺乏主动理解和接受,学习的兴趣和主动性不高。因此要对现有以教学大纲为主要目标的方法进行改革,能让学生融会贯通理论知识,主动思考问题,具有理解分析解决实际问题能力。本文提出电子商务安全课程在课堂讲授的进行:教师准备阶段,学生准备阶段,小组讨论阶段、集中讨论阶段和总结阶段。主要目的是使老师和学生在课堂上有较大的自我发挥空间。在教学法的五个阶段中,教师准备阶段和学生预备阶段是教学法中最为关键的环节。教师准备阶段:教师准备是教学的第一环节,也是为明确教学目而准备,是有序进行教学组织与设计的基础。明确教学目标后,就应选择合适教学背景,教学背景应且具有高启发性素材,并且满足教学目标切合实际的教学案例。对选择的教学案例或素材还需要对及进行典型化处理,最后准备在课堂上提出让学生思考的问题,引导介绍学生学习相关资料。学生预备阶段:课前让学生阅读典型化处理相关学习资料,老师指导学生查阅相关学习资料,让学生课前主动准备课堂讲授知识的信息,对老师提出的思考问题要求学生独立思考并形成初步的解决方法。小组讨论阶段:首先根据学生人数将学生分为3到5人小组,然后在小组范围内自行组织讨论,再确定小组成员的任务分工,最后形成小组在课堂上展示方案。课堂展示阶段:在时间控制在半个课时以内前提条件下各小组派代表对问题解决方案进行展示,其他小组对解决方法进行互动式提问和回答,这个过程需要教师加以正确引导。老师总结阶段:老师总结出意见比较集中的问题,针对重点问题组织大家集中讨论,并提出引导性建议扩展深化学生对有疑虑问题的理解。
3电子商务安全课程实践
传统的电子商务安全课程教学是以理论知识为中心的教育体系,对实践操作课程和技能的要求不高,很可能会导致学生在毕业后难以适应工作的要求,在现行教育模式中,用人单位也很难选择到合格的专业技术人才。为此,本课题对信息安全专业开设的电子商务安全课程特点及开发合适的教学模式,尤其是如何建立创新性实践教学体系进行了研究,以教学目标为指导、以社会需求为导向,开发以学生就业为宗旨的高技能型人才培养模式,根据电子商务安全课程特点,将信息安全未来发展的创新技术运用到电子商务安全教学方法中,建立较为全面的以人才培养目标为基础的创新环境和教学模式。另外,本课程实践教学内容的要求是让学生对电子商务安全和信息安全的理论和实践联系建立一个全面的知识结构。通过实践环节设置,让学生了解电子商务安全加密技术及使用技能;了解电子商务邮件和数字签名的联系及作用;熟练掌握电子商务安全协议的设置;掌握PKI的应用及数字证书的申请、安装和使用流程;熟悉基本的电子支付工具的使用。本课程的为实现实践培养目标对实验教学进行合理的安排。
4结论
国家安全是国家调控机制中一个重要因素,具有举足轻重的地位和作用。“国家安全”也是一个历史的和发展的概念,其内涵依据一个国家所处时代的不同而发展演变。时至今日,“国家安全”早已由狭义上的强调国家不受外敌入侵的军事安全扩展为一个广义的内容丰富的大体系。其内涵是一个由关系到国家与社会稳定和发展的各种国内外因素共同构成的动态系统。国家安全政策的主要内容,是尽可能对不利于国家稳定和发展的各种国内外因素进行调控,实现国家的安定和预定的国家目标。代表国家的政治实体(政权和政治制度)为了在不断变化的环境中生存和发展,必须在满足现代国家特定的内外需求的同时,符合一定的国际行为规范。对外政策是政治实体试图适应或控制外部环境对内部影响的一系列行动方针或原则,对外政策能否奏效,取决于不同国家在国内治理和对外关系方面发挥效用的能力。从调控和治理之角度来说,国家对外政策是从属于国家安全战略的。在美国实现现代化及走向强国和超级强国的发展过程中,一个显著的特点是在国家安全的名义下,大力发展高科技,而且首先用于军事。军事科技又带动了高科技,进而带动了整个经济的发展。科学技术的不断创新是美国军事力量和经济实力迅速发展的重要因素,对保障其经济繁荣和国家安全发挥了至关重要的作用。美国战后不断提高科研经费在财政预算中的比例,持续把庞大的人力、物力和财力用于发展军事工业。从战后到20世纪70年代末,科研投入的比例一直雄居世界第一。70年代后继续大幅度增加。国防在美国的研发费用中占很大比重。战后美国几项关键性发明,如电子计算机、卫星通信、微电子处理器等,均直接产自于军事研究。即使是在冷战时期,“遏制战略”之父乔治•凯南也认为冷战竞争主要是在各自内部,即“看谁在解决自己的特殊问题时干得最成功”,而不是靠军事手段。美国经济学家约翰•加尔布雷斯则更加明确地指出,西方国家的命运“完全取决于其发展自己生产力的能力”。美国政府推动信息技术的发展,制定国家信息安全战略,并在不同阶段根据内外情况变化进行调整,很大程度亦是因循了上述系统治国理念。20世纪50年代后期至70年代,美国政府为了在冷战中占据主动,围绕“国家安全”进行国内外战略设计与调控,大力支持发展信息技术,资助并主导了互联网的诞生与发展。1957年苏联世界上第一颗人造卫星上天后,艾森豪威尔总统先后签署了两个公共法案,美国国防部高级研究计划署(DARPA)和美国国家航空航天局(NASA)得以创建。这些部门的建立和相关科研预算经费的投入,有力地推动了军事安全信息技术的创新发展。1962年,美国国防部设想建立一种能够保证美国国内外防卫力量在遭到苏联第一次核打击后仍具有生存和反击能力的指挥系统。随之,计算机专家提出了计算机“网络”的概念。1971年,高级研究计划署资助了一个项目———高级研究计划局网络,把接受其补助金的大学的电脑在全国联网,实现了计算机“网络”这一设想。为了对该网络雏形进行统一技术管理,美国国防部于1974年主导建立了TCP(传输控制协议)和IP(因特网协议)(后合称为TCP/IP协议)。同年,美国国防部将TCP/IP协议公开,向全世界无条件地免费提供解决电脑网络之间通信的核心技术。五角大楼如此慷慨地向全球提供互联网技术和相关管理协议,其背后自有其深远的、颇具战略意义的谋虑。在当时的历史背景下,该互联网络是一套有明确假想敌的军事指挥系统,其指挥乃至控制功能需要与内外部环境进行信息交换方能体现(亦即“知己知彼”)。另外,其他国家一旦应用此套技术并采纳其管理规范,就会在虚拟空间产生对“美国制造”网络的需求和依赖,这反过来又推动美国政府进一步放开互联网技术,从军用推广至民用,促进经济利益不断扩大。从历史根源的角度来看,自电子计算机互联技术诞生之日起,其应用和推广过程中存在的信息安全问题就相伴而生。但美国国家信息安全作为一种系统思想和战略,是从20世纪90年代初逐渐形成和发展起来的。它在政策实践上以国内为重点,国内、国外并举,围绕内部稳定和发展与维系全球事务主导地位之战略目标,在国内安全得到保障的基础上,根据不同时期的内外环境特点,制定和适时调整对外政策。
二、网络时代美国信息安全战略之发展
信息安全在美国的国家安全和对外政策中开始上升到战略的高度是在克林顿执政时期。克林顿政府以综合发展和综合治理相结合的理念为基础,将政治、军事、经济、文化、社会等领域有机融合起来,对产业结构进行调整,一方面大力推进信息技术在相关领域的研发;另一方面一步步构建信息安全领域的国家战略。20世纪90年代初,苏联解体、冷战结束后,美国在国外失去了最大的政治军事战略竞争对手,国内则面临经济增长乏力等问题,同时还要应付来自于欧洲和日本日趋激烈的经济竞争。此时上台的克林顿政府为应对这些新的挑战,提出国家安全战略三要点:以军事能力维护美国安全;重振美国经济;在国外推行“民主”。其中,“经济安全”是核心。克林顿政府根据国际局势的变化对军事力量进行了结构性调整,继续加大研发以信息技术为支撑的尖端武器的力度,提高军事人员的素质。与此同时,开始着手信息安全领域的相关部署。1993年,美国政府提出兴建“国家信息基础设施”,即“信息高速公路构想”,对产业结构进行了调整,大力发展信息产业,同时加快用高新技术对传统制造业进行改造。产业结构的变化和信息产业的飞速发展带动了金融和股票市场的繁荣,使美国经济出现了有史以来不间断增长时间最长的时期。到了90年代后期,构建网络空间安全即为保护国家信息安全的战略思想被正式采纳,成为美国政府政策,信息安全的概念随之产生,然后纳入美国国家安全战略体系。由此,网络时代美国国家安全战略框架下的信息安全政策就产生了。1998年5月,克林顿颁布第63号总统令———《克林顿政府对关键基础设施保护的政策》,首次提出了“信息安全”的概念和意义。该文件开宗明义“:美国拥有世界上最强大的军事力量和经济力量,这两种力量相互促进相互依赖,但是也越来越依赖某些关键设施和以网络为基础的信息系统。”在2000年12月克林顿签署的《全球化时代的国家安全战略》文件中,“信息安全”被囊括了进来。这标志着新的历史背景下,信息安全正式成为了美国国家安全战略框架的重要组成部分。在对外关系上,克林顿政府坚持一切以实现国家安全战略要点为根本的政策。而在利用信息技术优势实现经济安全战略目标方面,克林顿对外政策的第一大特点,是把计算机网络作为对外贸易政策的一个重要组成部分。美国在因特网上的商业活动占得先机。1997年,通过因特网上进行的76亿美元商品交易中,美国就占了9/10;美国企业占了全世界网址的70%,占网上总收入的93%。正是基于对全球互联网贸易巨大潜力的认识,1997年7月,克林顿政府公布了网络贸易战略报告《全球网络贸易框架》,强烈要求宣布互联网络为全球自由贸易区,发展技术并制订行为准则。美国政府的目标是尽可能充分地利用自身优势,把它研制的互联网技术标准和制定的内部行为准则推广到全世界,把美国的标准作为全球的标准固定下来,从而在全球虚拟空间贸易竞争中占据主导地位。由此可见,在对外关系方面,发展全球网络贸易并主导国际规则的制定,已成为美国政府维护国家经济安全的一项重要内容。在外交事务方面,克林顿政府的政策之显著特点是推行新霸权主义,大打“人权牌”,以图将美国的人权观和价值观推向全世界,这是克林顿政府安全战略对外部分的核心之一。其中,通过利用网络信息技术进行美国精英治理价值观推广是非常重要的。为了在世界上推行美国的国际规则,克林顿很注意使用“软”的一手。他上台伊始即把在国外推动民主和人权作为其外交政策的第三支柱。他提出的冷战后美国对外关系新战略的内容之一便是“帮助”社会主义国家“扩大民主和市场经济”,极力通过外交手段继续在国际社会中推广美国的价值观。克林顿政府为美国留下的最大一笔外交“遗产”,当属以“新干涉主义”“克林顿主义”等著名的一套“软”“硬”并重的“理论”。克林顿抛出的这套“人权高于”的“理论”,便是美国选择的修改现行国际规则的突破口。而全球推广互联网技术,能相对低成本、高效率地帮助美国政府突破他国境外信息准入屏障,将自己的观念即时传播至当地民众,对舆论造成影响。小布什2001年上台后不久就爆发了“9•11”恐怖袭击。在反恐战争的背景下,为保障美国国家信息安全,防止出现极端事件,美国政府进一步提高了对信息安全的重视程度,战略思想从防御为主转为攻防结合。2003年2月,美国公布了《国家网络安全战略》报告,提出建立美国国家网络空间安全响应系统,正如有学者指出的,此系统可谓是一个国家—民间,公共—私人合作机制。奥巴马2009年上台后,从军事安全角度,进一步强调网络空间战略的进攻能力和威慑性。同时,奥巴马政府将互联网信息安全作为美国外交政策突破国家的便捷途径,对外推进国家利益以及推广自身认可的价值观。同年5月,奥巴马总统批准公布了国家网络安全评估报告:《网络空间政策评估———保障可信和强健的信息和通信基础设施》,指出“美国的经济和安全利益都是以信息系统为基础,……,政府需要综合考虑各方竞争的利益,制定出一个全面设想和计划,以解决美国面临的网络安全问题”;6月,美国创建了世界上第一个网络战司令部。2010年,白宫发表了《2010国家安全战略》,保证将信息安全作为国家安全工作的重点。与克林顿时期相比,奥巴马时期网络安全战略的特点是,网络外溢效应凸显,虚拟空间的传播突破了传统的国界线,同时也影响到了作为最初主导构建网络内外空间的美国政府所要处理的内外问题。
三、信息安全在美国国家安全和对外政策中的作用日益重要
美国“国家安全”的核心目标是主动避免自身关键利益受到伤害,在内外环境中,争取最大程度的主导权。作为国家安全总体战略的一个部分,美国的国家信息安全战略也即为此目标服务。在当代,信息技术与国家安全的关系越来越密切。信息安全上升到国家安全战略的高度后,在美国的对外政策中起了越来越重要的作用。主要体现在以下几个方面。信息安全在美国的世界秩序构建中具有十分重要的地位。乔治•里卡斯对美国的世界秩序作了贴切的描述:“首先是尽可能扩大和巩固生存空间,建立并巩固一种更为广泛的秩序,这种秩序在美国力量强大时是它自我表演的舞台;在遇到失败或力量相对衰落时是支持和复兴的力量;即使美国最终衰败时,也会“成为被人们铭记和仿效的楷模”。在网络时代,美国政治精英们相信“信息就是权力”。美国政府推行的信息安全战略是为美国国家安全战略服务的有力工具。美国对外安全战略总的要求是,防止敌对和不友好势力对美国利益的损害,美国的中心目标是建立一个以它为主导的世界秩序,信息安全无疑成为成本低、效果显,影响既广泛又深远的政策手段。第二次世界大战后,美国的国内外政策相互影响,两者之间的关系越来越密切。究其原因,主要是政府和国会动辄以“国家安全”对美国的内外政策加以诠释。“世界秩序”则日益成为美国“国家安全”掩盖下“霸权有理”的代名词,它涵盖了美国由企图主宰世界到试图主导世界的策略上的转变过程。而信息安全则成为美国国家安全中日益重要的内容。 国际规则是规制世界秩序的大法。美国对其信息主导地位的维护对全球信息安全规则产生了重大影响。为了使其易于接受,美国对其信息安全战略(政策)重新进行了诠释,突出并强调该战略中的“国际性”,极力诠释其战略目标及实现手段和规则制定之“道德性”,意图在于通过“道德性”来掩盖美国争取国际网络空间规则制定主导权以及相关利益的真实目的,通过“国际性”来印证其“道德性”。美国在实现手段和规则方面精心设计,力图使其显得在最大程度上符合全球化和人类安全问题的时代潮流。2011年美国政府出台的第一份《网络空间国际战略》,首次明确将互联网自由纳入维护网络安全政策体系之内,“将此项努力与二战后建立经济和军事安全的全球框架相提并论”。从这份《网络空间国际战略》文件可以看出,信息技术在21世纪快速发展与全球普及,已经对国际秩序造成了深远影响,美国作为国际社会霸主,意识到自己必须通过强调自身国家安全战略的“国际性”与“道德性”来重新构建其世界影响力的合法性与合理性。网络技术和信息安全对于提高美国的综合国力起了巨大的推动作用。实力是一国制定外交政策的基本参考标准,信息技术的发展对美国综合国力的进一步提高产生了深刻影响。美国从20世纪80年代末开始越来越重视“软”力量的作用。其外交政策的一个显著特点就是综合使用或交替使用政治、经济和文化意识形态手段。约瑟夫•奈认为,冷战结束后,意识形态的冲突将让位于更危险的各种文明之间的冲突,属于不同文化范围的各个民族的文明之间的冲突正是为了扩大自己的支配权;他还认为,在当今时代“,硬实力和软实力同样重要,但是在信息时代,软实力正变得比以往更为突出”。基欧汉和奈在论述信息与权力的关系时指出:“信息和美国大众文化的传播增进了美国观念和价值观在全球的认知和开放”;“在21世纪,广义的信息能力可能会成为最关键的权力资源”,“信息革命的最终影响是,改变政治进程,在软、硬权力的关系中,软权力比过去更为重要。”网络外交的出现,使软实力的重要性进一步提升。布什政府时期,美国的对外政策开始向利用综合力量进行调控。克林顿上台后更加重视“软”力量,把美国式的民主和西方资本主义经济作为普遍原理在全世界推广。他在20世纪末向国会提交的《新世纪国家安全战略》强调,美国必须致力于外交“,为防止冲突、促进民主、开放市场”等方面花的每一美元都肯定会在安全上得到回报。奥巴马总统则更加主动地出击,把《网络空间国际战略》称为“美国第一次针对网络空间制定全盘计划”。不难看出,美国政府是要将信息技术优势充分为己所用,营造有利于自身稳定与发展的外部环境,通过危机管理、推广民主和市场开放来塑造信息化时代的全球价值观,增强自身国际影响力,进而巩固和提高国家实力。信息技术的发展对外交决策的影响越来越大。自上世纪末,美国产业结构就已经发生了重大变化,长期以来在产业结构中居于主导地位的钢铁、石油、化工等产业的地位逐渐下降,以半导体、微电子、计算机、软件业为代表的信息技术产业迅速崛起。早在20世纪90年代,微软、英特尔公司就已取代了美国三大汽车公司当年的地位,成为美国经济保持持续增长的主要推动力。至今,信息产业已成为美国最大的产业,伴随着这种变化,一批新的权势人物也涌现出来,对美国的对外政策产生了重大影响。这批新的权势人物拥有强大的经济实力做后盾,将逐渐在美国的政治权力架构中扮演举足轻重的角色。他们有能力通过参与或资助竞选、游说国会、制造和影响舆论等方式影响美国内政外交的酝酿和制定。鉴于信息技术产业如今在美国经济发展中所占据的重要地位,美国政府制定对外政策(尤其是经贸政策和知识产权问题)时势必要考虑这一产业集团代表的利益与要求。
四、信息安全:美国国家安全和对外政策的“双刃剑”
互联网的发展促进了人类的生产力的提高,在政治、经济、军事等方面的积极作用毋庸置疑,但其“双刃剑”的角色也不可否认。对于美国这样的超级大国,现代网络信息技术对其国家安全和外交活动的影响更是双重的。主要体现在以下几个方面。网络安全遇到的威胁日益严重。计算机病毒利用现代计算机网络技术进行传播,对网络信息系统进行攻击和破坏,对外交信息安全造成了严重威胁。黑客攻击是另一种破坏程序,可给外交人员及国家带来严重影响,甚至威胁国家和地区的安全。近些年来,不单是美国,世界其他主要国家也将信息安全列为国家安全的重要威胁。如,俄罗斯在2000年9月把国家信息化建设作为其外交的一个重要组成部分。英国政府2010年10月公布的《国家安全战略》将网络战列为英国今后面临的“最严重威胁”之一。随着全球化的发展,网络已经直接影响到世界各国的政治、经济和社会运转,控制着世界信息流动和国际经济命脉如何切实维护网络安全,各国尚无万全之策,美国也不例外。对西方价值观,特别是人权观的影响愈发明显。批判理论家罗伯特•考克斯指出,社会结构是主体间互动的结果,是社会建构而成的。人类安全和人权问题越来越受重视。按照西方资本主义的意识形态和美国自己的文化价值观去“规范”全世界,是美国国家安全战略的一项重要内容,且占有越来越突出的位置。冷战结束后,美国等西方国家把“捍卫西方价值观”推到外交和国家安全的前台。20世纪90年代以来成为西方一个重要政治理论“第三条道路”宣称的对外政策的两大实质,一是向全世界推广西方的自由、民主、人权、法治等价值观,二是推行“人权高于”“人权无国界”“有限”“过时论”等观念。美国在“互联网打上了美国价值观的烙印”。但美国自身也是精英治理与个人自由之间矛盾着的混合体,一边是现实,一边是信仰及理想。“美国价值观”在对外政策(人权问题、个人自由、道德观)方面定调太高,看上去很美,但真正落实起来,困难很多。如屡屡发生的美国利用网络信息技术对国内,特别是对别国机构和重要人物的窃听丑闻,最有名的是斯诺登揭秘案例,就大大削弱了美国的“道德”影响力。正在逐渐削弱美国等西方国家的霸权地位。1999年,约瑟夫•奈在《信息革命与国际安全》一书中,把信息技术革命视为21世纪美国在国际事务中保持主导地位、发挥更大作用的一种重要“软力量”。美国凭借其在信息技术和互联网方面的优势谋求全球信息化主导权,以获取“信息霸权”来进一步巩固和扩大其21世纪全球唯一超级大国的影响力,强化其“全球霸权”地位。迄今为止,以美国为首的少数西方发达国家在信息领域仍占有很大优势,确立并保持着“信息霸权”。他们深信自身的政治主张和价值观念具有优越性和普世价值,同时对政治体制和价值观不同的国家心存偏见,在不完全了解这些国家(特别是广大发展中国家)具体历史和现实国情的情况下,干涉别国内政,制造民族间、国家间和不同宗教间的矛盾,招致了越来越多的不满、嫉恨,为自己催生、培育了越来越多的对立面。一些宗教团体、政治党派、极端组织等也通过各种信息传输手段传播不利于、甚至反对美国等西方国家的各种主张。从国家层面来看,全球网络信息空间主要的行为体仍是各个国家,在国际体系信息安全规范仍然缺位的情况下,各国均设法扩大本国网络空间安全边界来保障国家安全,由此产生的结果是合作与博弈并存。美国对此情况显然已经有了一定程度的认识,但仍无法摆脱过于以自我为中心的价值判断,白宫在2011年5的《网络空间国际战略:构建一个繁荣、安全和开放的网络世界》,被解读为既是“合作的邀请”又是“对抗的宣言”。长期以来美国等西方发达国家主导着互联网治理的话语权,从标榜互联网“开放、共享、无国界”到借“网络自由”等抨击其他国家的网络安全治理。这些不可避免地引起了其他国家或机构层级的抵制乃至对立。总的来看,美国在信息领域正经历从“霸权”到“王权”的转变过程。对国际关系概念和公共外交带来挑战。伴随着网络信息技术的飞速发展和空间技术的应用,传统的“国家“”领空”和“领土”等概念受到了一定程度的影响。利用高科技手段制造和传播旨在削弱、颠覆他国政权的信息、刺探情报或进行洗钱等活动,给国家安全增添了新的防范问题。1965年“公共外交”概念被首次提出并得到运用,该外交策略试图通过现代信息通讯等手段影响其他国家的公众,以帮助外交政策的形成与推行。美国是“公共外交”的有力践行者,白宫大力开展思想文化传播,实施外交战略,在网络信息空间构建“公共外交”的实践场域。但通过互联网频频披露的美国政府之种种劣行,无疑也会损害美国的形象,侵蚀美国透过外交展现的“软”实力和“巧”力量。此外,信息安全“双刃剑”还体现在这些方面:(1)随着网络信息技术的深入发展,美国的国家安全正遭受着越来越大的非传统威胁,对传统国家政治治理模式造成了挑战。(2)政府权威受到进一步挑战,个人、企业、非政府组织、、社会运动等都成为影响国际政治的重要变量,削弱了美国及许多国家政府对本国事务的控制能力;国家外交政策的合法性在网络上受到更多质疑的同时,政府对网络舆情的管理更加困难,对外交议程的控制力也会相应减少,如美国国防部因无法合理解释关塔那摩监狱的虐囚事件而在网上广受诟病。(3)面临更多的国内外问题。美国虽在建立其国际安全体系方面“成就”显著,但用于“国家安全”上的开支增加迅猛,这固然刺激和带动了经济的发展,但同时也背负着过多的支出;它既可提高国家的安全系数,同时也增加了易受攻击的“软肋”。
五、结语
1.1设计目标网络安全检测系统需要对网络中的用户计算机和网络访问行为进行审计,检测系统具有自动响应、自动分析功能。自动相应是指当系统发现有用户非法访问网络资源,系统将自动阻止,向管理员发出警示信息,并记录非法访问来源;自动分析是根据用户网络应用时应用的软件或者网址进行分析,通过建立黑名单功能将疑似威胁的程序或者方式过滤掉。此外,系统还具有审计数据自动生成、查询和系统维护功能等。
1.2网络安全检测系统架构网络安全检测系统架构采用分级式设计,架构图如。分级设计网络安全检测系统具有降低单点失效的风险,同时还可以降低服务器负荷,在系统的扩容性、容错性和处理速度上都具有更大的能力。
2系统功能设计
网络安全检测系统功能模块化设计将系统划分为用户身份管理功能模块、实时监控功能模块、软件管理模块、硬件管理模块、网络管理和文件管理。用户身份管理功能模块是实现对网络用户的身份识别和管理,根据用户等级控制使用权限;实时监控模块对在线主机进行管理,采用UDP方式在网络主机上的检测程序发送监控指令,检测程序对本地进行列表进行读取,实时向服务器反馈信息;软件管理模块是将已知有威胁的软件名称、参数等纳入管理数据库,当用户试图应用此软件时,检测系统会发出警告或者是拒绝应用;硬件管理模块对网络中的应用硬件进行登记,当硬件非法变更,系统将发出警告;网络管理模块将已知有威胁网络IP地址纳入管理数据库,当此IP访问网络系统时,检测系统会屏蔽此IP并发出警告;文件管理模块,对被控计算机上运行的文件进行实时审计,当用户应用的文件与系统数据库中非法文件记录匹配,则对该文件进行自动删除,或者提示用户文件存在风险。
3数据库设计
本文所设计的网络安全检测系统采用SQLServer作为数据库,数据库中建立主体表,其描述网络中被控主机的各项参数,譬如编号、名称、IP等;建立用户表,用户表中记录用户编号、用户名称、用户等级等;建立网络运行状态表,其保存网络运行状态结果、运行状态实际内容等,建立软件、硬件、信息表,表中包含软件的名称、版本信息、容量大小和硬件的配置信息等;建立软件、网址黑名单,对现已发现的对网络及主机具有威胁性的非法程序和IP地址进行记录。
4系统实现
4.1用户管理功能实现用户管理功能是提供网络中的用户注册、修改和删除,当用户登录时输出错误信息,则提示无此用户信息。当创建用户时,系统自动检测注册用户是否出现同名,如出现同名则提示更改,新用户加入网络应用后,网络安全检测系统会对该用户进行系统审核,并将其纳入监管对象。系统对网络中的用户进行监控,主要是对用户的硬件资源、软件资源、网络资源等进行管控,有效保护注册用户的网络应用安全。
4.2实时监控功能实现系统实时监控功能需要能够实时获取主机软硬件信息,对网络中用户的软件应用、网站访问、文件操作进行检测,并与数据库中的危险数据记录进行匹配,如发现危险则提出警告,或者直接屏蔽危险。
4.3网络主机及硬件信息监控功能实现网络主机及硬件信息监控是对网络中的被控计算机系统信息、硬件信息进行登记记录,当硬件设备发生变更或者网络主机系统发生变化,则安全检测系统会启动,告知网络管理人员,同时系统会对网络主机及硬件变更的安全性进行判定,如发现非法接入则进行警告并阻止连接网络。
5结束语
论文摘要:信息安全问题持续受到高度重视,网络经济则不断受到再创新低的打击,信息安全市场硝烟四起,信息安全行业的市场、竞争与合作等关键问题,成为业界、投资者共同关心的话题,本文就此谈一点个人看法。
市场——“热中看冷”“冷中看热”
今年国内的信息安全市场形势,大致可用两句话来概括,那就是:“热中看冷”、“冷中看热”。热中看冷,是针对信息安全问题持续高温而言的,信息安全炙手可热,主要表现在四个方面,首先是各级政府的高度重视,近年来从国家领导到各部委、部门,尤其是执法部门和应用部门对信息安全问题均表现出极大的关注,不仅有大量具体、明确的指示,而且开始有相应的措施来推动;其次是全社会对信息安全的接受程度有较大提高,不象以前空谈信息安全,而是在经历了Y2K、病毒、黑客等安全事件后都有了切身的体会;第三是信息安全事件的频繁发生,尤其是最近的中美黑客大战,更使信息安全成为非常现实的问题。在一个多月的时间里,美国黑客黑了我们一千多个网站,5.1期间中国黑客也黑了美方一千多个网站。这一事件,给政府的网络管理、信息安全行业发展以及信息技术的使用都提出了很多现实的问题,虽然黑一个网站,把页面修改一下,没有多大的实际经济影响,但如拒绝服务等攻击所带来的后续损失可能就相当大,而且一些组织还有可能利用这个机会从事其它活动。所以中美政府都很关注这一事情,从另一个角度看这一事件对信息安全产业而言也是一个推动;第四方面是资本的投人。现在信息安全行业成为资本市场的新宠,强力介入信息安全行业的资本,主要有两类:一是工T界以外的公司,即上市公司想做信息安全行业;二是原IT行业的大公司介人到信息安全行业。据目前掌握的情况,截止今年底,直接介人到信息安全行业的资金预计可达20个亿。其中有一半来自国外,今年秋天将会有较大的信息安全公司在香港创业板挂牌上市,另一半来自国内,原国内上市公司也会采用收购、参股、并购等方式介人该行业。以上四个方面是信息安全“热”的一面。所谓热中看冷。就是指在这么热的形式下,黑客攻击这么多,信息安全企业却不好出来表态,是有其难言之隐。信息安全的防线构成是多方面的,与技术与管理与使用都可能有关,而黑客的攻击是破坏性的,我们不可能为了应付所有攻击而做一个天衣无缝的完善系统。信息安全不能高估也不能低估,这是一个需要强调的观点,尤其是对于业界,近几年,关于信息安全的舆论炒作和市场炒作都比较多,然而回过头来看,真正的安全需求解决了多少?许多时候大家关注的是商业式的安全需求,关注的是美国版的安全需求,而我们国家的政府信息化、金融电子化、企业信息化真正面临的安全需求并没有得到很好解决。所以我们要冷静地看,要解决很多现实的问题。这既是市场上一个良好的商机,也是行业界一个严峻的任务。要有效保证政府、金融、网络文化等方面信息系统的安全,我们现有的产品还远远不够。我们对多个政府网络的测试结果表明,大量现实的安全需求并没有被满足。这说明,我们的信息安全产业不能离开我国的实际去研究单纯的技术和产品,而应使技术和应用结合起来。国外产品所以在我国占有如此大的市场,其中一个重要的因素,就是它和应用结合得非常紧,大量的应用都是国外开发的。而我们的信息化应用如政务系统、商务系统,还找不到一个完整的很好和应用结合起来的解决方案。热中看冷就是要冷静地看待这些问题。否则,在时兴市场炒作的年代,刚刚兴起的信息安全产业就会有“虚热”之虞。
冷中看热,是针对当前网络经济的不景气而言的,当COM公司不再景气,特别是纳斯达克一落千丈时,如何看待信息安全产业?它是否也会一路下跌?我的回答基本上是否定的,因为发展和安全是一对矛盾,信息安全比信息化要略为滞后一些。.COM公司发展很快即信息化进程很快的时候,人们构建了大量的网络,同时也产生了很多的问题。现在网络界反思的时候就是信息安全界该做贡献的时候。网络界的反思不仅是投人的问题,关键是带动了很多新的应用,这些应用暴露出很多问题。客观上需要解决,基于此,信息安全产业不会下跌,反而会因此上涨。据调研,今年信息安全市场形势和去年相比又有很大的不同,最大的特点是国家的各个部门,都做了信息安全的经费计划,今年的财政预算里包含了信息安全设备的采购费用,这是信息安全市场的真正启动。这与过去该行业那种“有行无市”、“行大市小”的形势有很大的区别。去年大家还在说服、在宣传、在做市场,今年市场的购买力加大了,可以做销售了。从目前趋势看,今年的信息安全行业市场保守估计也在50亿左右。信息化尤其是电子商务的启动对信息安全的需求还会更大。在这之中,密码产品、防火墙产品、人侵检测、漏洞扫描、电子商务产品、防病毒产品和安全服务将占据主要地位。去年国外产品占领了我国市场三分之二的份额,今年我们可以高兴的看到国内产品将与国外产品平分秋色,这就是冷风中的热潮。没有这股热潮,瞰瞰待哺的信息安全行业就可能在网络经济的秋风落叶中“感冒”。竞争——“异中求同”“同中存异”
我国的信息安全行业是近10年突然发展起来的,速度之快,令人咋舌,10年前,我国的信息安全企业只有五家,主要为政府和军队服务。五年前包括商密企业也不超过10家,而到去年,信息安全公司就达350多家,到今年夏天,据工商部门统计全国登记注册的公司中与信息安全有哭的已超过1300家。这么多的企业一举进军信息安全这个新兴的行业,犹若千军万马过独木桥。竞争之激烈,前景之悲壮,不难预料。
从去年下半年开始,混乱的竞争局面已现端倪:从产品上看,仅防火墙产品一项,厂家数十,商家过百,仔细分析一下这些产品,一半以上是低水平重复,产品质量不是后来居上,而是每况愈下。政府的有限投人又不可能完全按照市场经济的规律去支持强者,相反国家投人的文化底蕴往往又特别倾情于那些市场上的小子、晚辈,结果市场博杀,最有力的筹码就只剩下了价格一种,而这种武器往往又是后来跟进者和质量难保者的最爱。到今年夏天,防火墙市场、扫描器市场等领域的价格战已近肉博,长此下去,不出半年,至少有三分之一的企业会壮烈牺牲。怎样竞争?已经是事关我国信息安全产业发展的重大问题,对此,我们的看法是:“异中求同、同中求异”。
所谓“异中求同”:是指大家共同营造信息安全产业。各企业经营的是不同的产品。但满足的一定是我们国家共同的需求。从商业上讲,任何企业都需要谋求它的利益。但如何谋利却大有文章可做。国外许多大公司的经验和做法很值得借鉴,这些不同的企业在市场利益上总是团结得很紧,形成市场上的一个联盟、一个团队。各公司尽管产品不一样,但在市场利益上却是一致的。他们不仅推销彼此的产品,而且要分享对方产品的增值。这都是值得国内企业学习的。现在需要不要盲目跟风,一窝蜂上一种产品,做重复劳动。而是整个行业界要向产业分工尤其是水平分工发展,各具特色,优势互补,共同将信息安全市场做大做好。
“同中求异”:指面向快速发展的国家信息化需求开发出不同的产品。我国的信息安全应该是一道长城,然而目前的现状却是一路纵队。政府各部门是这样,行业各厂商更是如此大家追逐同一种工作或产品,其他工作或产品却无人问津。对攻击者而言,就意味着其它方面毫无防卫,是很好的攻击机会。所以,我们产业能否成长得好,关键要看能否形成一道防线。即使我们在某一方面有一两支强军也不行,长城不是有两个碉堡就够了,它必须是一道完整的防线。其中有分工有协作,八仙过海,各显神通,应是我们市场竞争的理想境界。
合作——“以大带小”“以小集大”
1.1卫生行业信息化建设的方向性为进一步加快我国卫生信息化整体的建设步伐,推进信息技术在全国医疗卫生领域的广泛应用,改善我国卫生防疫、公众医疗、基层卫生等状况,提高公共卫生健康水平,国家鼓励地方政府建设全国联网五级数字卫生信息平台。即:建设覆盖全国“省—市—县(市、区)—乡—村”五级数字卫生体系,并通过租用营运商提供的网络,实现对全国卫生信息以及公众健康信息的收集、处理、查询、传输和共享,完成面向公众基于个人健康档案服务和远程医疗会诊。
1.2加强卫生信息收集整理的重要性加强卫生信息的收集整理是改善和提高卫生系统质量的前提条件。尽管及时可靠的卫生信息是改善公共卫生状况的基础,但是,由于各级卫生行政管理机关在数据采集、分析、和使用方面的投入不足等原因,常常无法实现及时的跟踪以达到完全链接和反映现实医疗卫生状况,导致决策者无法正确发现问题、了解现实需求、跟踪最新进展、评估所采取措施产生的影响,干扰了行政管理部门在卫生政策制定、项目设计以及资源分配等方面做出正确决策。所以,加强卫生信息收集整理对改善和提高卫生系统的服务质量就显得尤为重要。
1.3加强信息安全保障和管理的必要性安全管理是一个可持续的安全防护过程。信息安全建设是我国卫生行业信息化建设不可缺少的重要组成部分。医疗卫生信息系统承载着大量事关国家政治安全、经济安全和社会稳定的信息数据,网络与信息安全不仅关系到卫生信息化的健康发展,而且已经成为国家安全保障体系的重要组成部分。因此,开展卫生行业信息化必须重视建立健全信息安全保障和管理体系建设。一是强化安全保密意识,高度重视信息安全,是确保卫生行业信息系统安全运行的前提条件;二是加强法制建设,建立完善规范的制度,是做好卫生行业信息安全保障工作的重要基础;三是建立信息安全组织体系,落实安全管理责任制,是做好卫生行业信息安全保障工作的关键;四是结合实际注重实效,正确处理“五级数字卫生体系”安全,是确保信息安全投资效益的最佳选择。
2卫生信息安全的风险与需求分析
随着网络社会发展程度的不断提高,网络与信息安全事件是信息化发展进程中不可避免的副产品。当今社会已进入互联网时代,信息传播的方式、广度、速度都是过去任何一个时代无法比拟的。随着网络应用的日益普及,黑客攻击成指数级增长,利用互联网传播有害信息的手段层出不穷。网络在给人们带来便利的同时,也带来不可忽视的安全风险。所以,可靠的卫生信息就需要一个安全的数据运行环境,只有这样,才能实现向卫生行政管理部门或社会提供有效的、高质量的、安全的数据保障。
2.1安全风险分析目前卫生系统所面临的风险主要包括应用系统风险和网络风险。应用系统风险主要体现在身份认证、数据的机密性、完整性、授权管理控制等,此类风险可以通过应用系统的改造提升得到控制。网络风险主要体现在网络结构不够清晰、区域划分不合理、区域边界防护措施缺失、接入网络缺少相应的防护措施、安全管理不到位等,容易造成可用带宽损耗、网络整体布局被获得、网络设备路由错误、网络设备配置错误、网络设备被非授权访问、网络管理通信受到干扰、网络管理通信被中断、传输中的网络管理信息被修改和替换、网络管理中心受到攻击、外部单位接入风险、本地用户接入威胁、恶意代码传播和破坏风险、安全操作风险、安全管理风险等等。系统和网络出现问题,将会造成网络信息丢失和网络瘫痪,无法实现网络功能和满足服务对象的需求。
2.2网络安全需求分析保证网络相关设备安全、稳定、可靠地为业务活动提供优质服务的前提是网络要安全、设备运行要正常。为此,必须要保证网络体系结构安全,采用各种安全措施有效防止卫生网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等事故发生;采用灵活的网络拓扑和冗余与备份,保证网络结构不因单点故障造成网络业务活动的中断;采用可信的网络管理手段,保证结构的完整性。网络系统遭到有意攻击、设备故障、网络管理出现漏洞等是网络安全防范的重点。
2.3边界安全需求分析清晰、规范地界定、标识网络边界,是网络边界设备和安全网关实施防护的有效措施。采用具有多层访问控制功能的防火墙对接入实施控制;使用基于网络的IDS有效侦测来自内部、外部对网络边界的攻击,严格记录网络安全事件,配备网络边界设备脆弱性评估工具,有效监控网络边界设备的配置、运行状态和负载;配置网络穿透性测试工具,定期或不定期对网络边界安全有效性进行检查。边界安全是网络安全的门户,提升网络边界安全设备管理服务功能,是保证安全策略设计、配置、部署等管理工作的有效途径。
2.4网络管理安全需求分析对于卫生网络系统而言,网络与信息的安全时常受到威胁,最常见的就是拒绝服务攻击、网页篡改、恶意程序等。为保证网络与信息的安全,需要构造科学、有效的网络安全管理平台。以业务为中心,面向卫生系统,将不同的网络进行整合,基于应用环境来管理网络及其设备的正常运行。当网络异常时,基于事先制订的策略(主要是应急方案)和网络管理系统,实现主动采取行动(如:终止、切断相关连接;停止部分非关键业务等),达到主动保证卫生系统网络安全和正常运行的目的。
3卫生信息安全的防御体系与网络的维护
3.1卫生信息安全的防御体系卫生信息安全防御体系是一个动态的过程,攻防双方都是与时俱进的。防护的目的在于阻止入侵或者延迟入侵所需要的时间,以便为检测和响应争取主动。一旦防护失效,通过检测和响应,可以及时修复漏洞,杜绝威胁,防止损失扩大,确保业务运行的持续性。从技术发展的角度来考虑,攻击和防御构成了一种动态平衡的体系。一段时间内,安全防御发挥着有效的作用,此时的安全体系就具有一定的平衡性,但这种平衡是相对稳定的,一旦攻击技术有所突破,防御也需要随之更新,安全防御体系就是在这种由此及彼的相互牵制中动态发展的。
3.2网络的维护随着信息系统在卫生行业的应用,网络安全问题日渐凸显。一旦网络出现故障,小到造成单机信息丢失、被窃取、操作系统瘫痪;大到全网网络服务中断,业务被迫停滞,甚至是重要数据丢失等一系列严重后果。在新医改大背景下,对医疗服务质量的要求越来越高,如何构建坚固的网络环境,是每一个医疗单位的责任,同时也是挑战。在网络正常运行的情况下,对网络基础设施的维护主要包括:确保网络传输的正常;掌握卫生系统主干设备的配置及配置参数变更情况,备份各个设备的配置文件。这里的设备主要是指交换机和路由器、服务器等。主要任务是:负责网络布线配线架的管理,确保配线的合理有序;掌握内部网络连接情况,以便发现问题迅速定位;掌握与外部网络的连接配置,监督网络通信情况,发现问题后与有关机构及时联系;实时监控整个卫生行业内部网络的运转和通信流量情况。
3.3信息安全风险控制策略面对复杂的大规模网络环境,无论采取多么完美的安全保护措施,信息系统的安全风险都在所难免。因此,在对信息系统进行安全风险评估的基础上,有针对性的提出其安全风险控制策略,利用相关技术及管理措施降低或化解风险,如物理安全策略、软件安全策略、管理安全策略、数据安全策略等,可以将系统安全风险控制在一个可控的范围之内。
关键词计算机网络信息安全黑客网络入侵
1引言
近年来,伴随着互联网技术在全球迅猛发展,人们在提供了极大的方便,然而,信息化在给人们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒者,甚至系统内部的泄密者。尽管我们正在广泛地使用各种复杂的软件技术,如防火墙、服务器、侵袭探测器、通道控制机制,但是,无论在发达国家,还是在发展中国家(包括我国),黑客活动越来越猖狂,他们无孔不入,对社会造成了严重的危害。与此同时,更让人不安的是,互联网上黑客网站还在不断增加,学习黑客技术、获得黑客攻击工具变得轻而易举。这样,使原本就十分脆弱的互联网越发显得不安全。针对各种来自网上的安全威胁,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。本文通过对几起典型的网络安全事件的分析,以及对威胁网络安全的几种典型方法研究的结果,提出实现防护网络安全的具体策略。
2计算机网络信息安全面临的威胁
近年来,威胁网络安全的事件不断发生,特别是计算机和网络技术发展迅速的国家和部门发生的网络安全事件越来越频繁和严重。一些国家和部门不断遭到入侵攻击,本文列举以下事例以供分析和研究之用。
2.1事件一:
2005年7月14日国际报道英国一名可能被引渡到美国的黑客McKinnon表示,安全性差是他能够入侵美国国防部网站的主要原因。他面临“与计算机有关的欺诈”的指控,控方称,他的活动涉及了美国陆军、海军、空军以及美国航空航天局。
可以看出,一方面尽管这位黑客的主动入侵没有恶意,但是事实上对美国国防部的网络信息在安全方面造成威胁,假如这位黑客出于某种目的,那么后果将无法估量;另一方面网络技术很高的国家和部门也会被黑客成功入侵。
2.2事件二:
2005年6月17日报道万事达信用卡公司称,大约4000万名信用卡用户的账户被一名黑客利用电脑病毒侵入,遭到入侵的数据包括信用卡用户的姓名、银行和账号,这都能够被用来盗用资金。如果该黑客真的用这些信息来盗用资金的话,不但将给这些信用卡用户带来巨大的经济损失,而且侵犯了这些信用卡用户的个人隐私。
2.3事件三:
日本3家银行eBank、网络银行和瑞穗银行近日声称,有客户在不知情的情况下,存款被转账、盗领,在向银行查询后,才知道是遭黑客入侵。瑞穗银行已发生两件类似案件,遭到500万日元的损失。日本警视厅高科技犯罪对策中心接到报案后已展开调查,并从被害人的计算机中查到间谍软件,这种软件可自动记录输入计算机的资料,并透过网络传送给第三者。
入侵的黑客通常扮演以下脚色:
(1)充当政治工具。非法入侵到国防、政府等一些机密信息系统,盗取国家的军事和政治情报,危害国家安全。
(2)用于战争。通过网络,利用黑客手段侵入敌方信息系统,获取军事信息、假信息、病毒,扰乱对方系统等等。
(3)非法入侵金融、商业系统,盗取商业信息;在电子商务、金融证券系统中进行诈骗、盗窃等违法犯罪活动;破坏正常的经济秩序。我国证券系统接二连三发生的盗用他人密码进行诈骗的案件,已经引起了网民的不安。
(4)非法侵入他人的系统,获取个人隐私,以便利用其进行敲诈、勒索或损害他人的名誉,炸毁电子邮箱,使系统瘫痪等。
基于以上事件的分析,一方面可以看到网络安全不仅影响到一个国家的政治、军事、经济及文化的发展,而且会影响到国际局势的变化和发展;另一方面网络自身存在安全隐患才会影响到网络的安全。目前,威胁网络安全的技术主要有病毒、入侵和攻击;而对网络信息失窃造成威胁的主要是黑客的入侵,只有入侵到主机内部才有可能窃取到有价值的信息。
3计算机网络存在的安全问题
导致计算机网络信息安全受到威胁的根本原因在于网络存在安全问题,归纳为以下几点:
3.1固有的安全漏洞
现在,新的操作系统或应用软件刚一上市,漏洞就已被找出。没有任何一个系统可以排除漏洞的存在,想要修补所有的漏洞简直比登天还难。从CERT(CarnegieMellon大学计算机紧急事件响应队)那里,可以找到相当全面的程序错误列表。另一个消息的来源就是诸如BugNet或NTBugtraq一类的新闻组。
(1)缓冲区溢出。这是攻击中最容易被利用的系统漏洞。很多系统在不检查程序与缓冲区间的变化的情况下,就接收任何长度的数据输入,把溢出部分放在堆栈内,系统还照常执行命令。这样破坏者便有机可乘。他只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。假如破坏者特别配置一串他准备用作攻击的字符,他甚至可以访问系统根目录。
(2)拒绝服务。拒绝服务(DenialofService,DoS)攻击的原理是搅乱TCP/IP连接的次序。典型的DoS攻击会耗尽或是损坏一个或多个系统的资源(CPU周期、内存和磁盘空间),直至系统无法处理合法的程序。这类攻击的例子是Synflood攻击。发动Synflood攻击的破坏者发送大量的不合法请求要求连接,目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求,直至等待回答的请求超时。
3.2合法工具的滥用
大部分系统都配备了用以改进系统管理及服务质量的工具软件,但遗憾的是,这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度:
例如:NBTSTAT命令是用来给系统管理员提供远程节点的信息的。但是破坏者也用这一命令收集对系统有威胁性的信息,例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。
另一个最常被利用的工具是网包嗅探器(PacketSniffer)。系统管理员用此工具来监控及分发网包,以便找出网络的潜在问题。黑客如要攻击网络,则先把网卡变成功能混杂的设备,截取经过网络的包(包括所有未加密的口令和其他敏感信息),然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。
3.3不正确的系统维护措施
系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击,但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时,管理人员应仔细分析危险程度,并马上采取补救措施。
有时候,虽然我们已经对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙的过滤规则过于复杂,系统又可能会出现新的漏洞。所以,及时、有效地改变管理可以大大降低系统所承受的风险。
3.4低效的系统设计和检测能力
在不重视信息保护的情况下设计出来的安全系统会非常"不安全",而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务,并且需要妥善的管理。
服务器的代码设计及执行也要进行有效管理。最近,有很多公开的漏洞报告指出:在输入检查不完全时,cgibin是非常脆弱的。黑客可以利用这一漏洞发动拒绝服务攻击,非法访问敏感信息或是篡改Web服务器的内容。低效的设计最后会产生漏洞百出的入侵检测系统。这样的系统非常危险,它不能提供足够的信息,就连已提供的信息都可能是不真实、不准确的。4计算机网络信息安全的防护策略
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全:
4.1隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用服务器。使用服务器后,其它用户只能探测到服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
4.2关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“NortonInternetSecurity”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
4.3更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
4.4杜绝Guest帐户的入侵
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。
4.5封死黑客的"后门"
俗话说“无风不起浪”,既然黑客能进入,那我们的系统一定存在为他们打开的"后门",我们只要将此堵死,让黑客无处下手,岂不美哉!
(1)删掉不必要的协议
对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,可以将绑定在TCP/IP协议的NetBIOS给关闭,避免针对NetBIOS的攻击。
(2)关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能,但在我们不需要它的时候,它也是引发黑客入侵的安全漏洞。所以在没有必要"文件和打印共享"的情况下,我们可以将其关闭。即便确实需要共享,也应该为共享资源设置访问密码。
(3)禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。因此我们必须禁止建立空连接。
(4)关闭不必要的服务
服务开得多可以给管理带来方便,但也会给黑客留下可乘之机,因此对于一些确实用不到的服务,最好关掉。比如在不需要远程管理计算机时,我都会将有关远程网络登录的服务关掉。去掉不必要的服务停止之后,不仅能保证系统的安全,同时还可以提高系统运行速度。
4.6做好IE的安全设置
ActiveX控件和JavaApplets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”“Internet选项”“安全”“自定义级别”。另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。
4.7安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即使有黑客进攻我们的安全也是有保证的。
4.8防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
(1)在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
(2)在“开始”“程序”“启动”或“开始”“程序”“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
(3)将注册表里KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。
4.9不要回陌生人的邮件
有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。
4.10防范间谍软件
如果想彻底把Spyware拒之门外,请按照这几个步骤来做:
(1)断开网络连接并备份注册表和重要用户数据。
(2)下载反间谍工具。
(3)扫描并清除。
(4)安装防火墙。
(5)安装反病毒软件。
4.11及时给系统打补丁
最后,建议大家到微软的站点下载自己的操作系统对应的补丁程序,微软不断推出的补丁尽管让人厌烦,但却是我们网络安全的基础。
5结束语
尽管现在用于网络安全的产品有很多,比如有防火墙、杀毒软件、入侵检测系统,但是仍然有很多黑客的非法入侵。根本原因是网络自身的安全隐患无法根除,这就使得黑客进行入侵有机可乘。虽然如此,安全防护仍然必须是慎之又慎,尽最大可能降低黑客入侵的可能,从而保护我们的网络信息安全。
参考文献
1.(译)吴世忠,马芳.网络信息安全的真相.机械工业出版社,2001-9-1。
2.(美)KevinMandia,ChrisProsise,IncidentResponse:InvestigatingComputerCrime.Mcgraw-HillPress,2002-10-1
信息安全:矛与盾的博弈
据报道,2006年12月初,我国互联网上大规模爆发了“熊猫烧香”病毒及其变种,这一病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。短短两个月内,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏。随着网络应用的普及,网络客户急剧膨胀,针对互联网内容的攻击也在持续不断地发展,且手段多样,网络信息安全越来越重要,已经引起社会各界的高度关注。从早期的计算机病毒,到今天的垃圾邮件,间谍软件等恶意软件,钓鱼网站,攻击的矛越来越多样化,锋利化。
而对应的盾,在与矛的斗争中,也随之品种繁多,功能日益强大,成熟。信息安全的工具从单机版的反病毒程序,发展到今天的防火墙、统一威胁管理(UTM)、内容安全、身份认证等技术和产品。网络信息安全领域主要是:防火墙、反病毒和入侵检测产品。随着攻击技术的不断发展,单一功能的安全防护越来越力不从心了。2004年9月,IDC首度提出了“统一威胁管理”的概念,将防病毒、入侵检测和防火墙等安全设备划归为统一威胁管理( Unified Threat Management, 简称UTM)这一新类别。该概念一经提出便引起了业界的广泛关注。UTM采用的技术,实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。然而国内早期的UTM产品并没有发生技术上实质性的飞跃,在一个目前还在追求不断提升硬件技术或提高硬件平台处理能力的时代,要做一个“集大成”的UTM还需时日。这也就出现了两种发展UTM的策略:以防火墙为核心基础,发展UTM,这是目前UTM厂商或防火墙厂商的大多数做法。再一个就是以I PS为核心发展UTM产品,这是TippingPoint的做法。
它在IPS而不是传统的防火墙基础上,发展未来的一体化安全设备。换句话说,安全虚拟专用网络(IPSec VPN)、带宽管理、网页内容过滤等安全模块,甚至包括防火墙本身,都会被安放到IPS的平台之上。很多早期的UTM产品更像是防火墙或IDS/IPS产品的改进版。UTM设备往往是大量安全功能简单堆砌而成的产物,并没有在底层做好集成优化设计工作。随着UTM技术的不断发展与成熟,大多数的UTM产品具备了网络防火墙、网关防病毒,网络入侵检测/防御等功能。同时,很多UTM产品还集成了常用的反垃圾邮件、Web内容过滤等模块。可是,目前的UTM产品还存在着一些缺点,如UTM作为网关型设备,数据处理能力还不够高,对网络带宽要求高的用户,目前的UTM并不太适合。而且UTM产品还不具备功能单一的专业安全产品所能达到的安全级别,所以也不适合那些对安全防护极其敏感的用户。作为UTM产品,它既要实现常规的网络层安全(例如防火墙功能),又要求高速地处理应用层安全防御,在技术上比一般的单项产品要求要高。UTM产品面临着在提升硬件速度的同时,还面临着系统优化方面的问题信息安全管理主要包括三个部分:对风险进行有效管理、对设备进行有效管理和对身份进行有效管理。理念的变化将带来安全防护方式的巨大变化。随着互联网的大量普及,网络和信息系统不可避免地要对外开放,要开放给客户,要越来越多地共享应用系统和数据库给合作伙伴,在这种情况下,保护数据本身比建一堵围墙重要得多也有效得多。通过防火墙/VPN、网关安全技术,这些网络访问控制技术来实现对内部网络的保护,同时对用户的限制也大大加深了。传统的安全防护越来越显示了它的弊端。身份管理将成为安全技术的主流。身份认证管理所解决的问题决不仅仅限于“哪个用户具有哪些数据的访问权限”,而是充分考虑到在当今数字时代中实现数据使用、共享和访问的所有方式,并且为整个数据生命周期提供访问控制的蓝图。随着数据量的快速增长、为了有效地保护数据资源、简化数据资源管理,身份认证管理越发的重要了。比尔·盖茨与微软首席研究与策略官CraigMundie最近提出了一种新的计划,确保安全的数据访问在IPv6网络中采用联合身份认证方式、采用数据权限管理保护文件和数据、在线身份确认采用智能卡的方式而不是口令的方式。Mundie认为, 基于IPv6的IPsec技术是一项未来非常具有前景的技术,采用IPsec技术,在连接的两端可以实现重要的身份认证,不管网络边界或者网络拓扑是怎样的,你都能定义策略,从逻辑上控制访问而不是从物理上控制访问。EMC公司正在研究基于密码技术的身份管理技术,未来将与存储、无线通信等技术更加紧密结合,保证数据无论是在存储中还是在流通中都是安全可信的。
微软今年推出了两个新产品:身份管理生命周期管理软件ILM(InformationLifetime Management,信息生命周期管理)2007和智能应用网关2007。ILM2007提供了一个集成的和复杂的软件系统,通过将Windows系统和其他系统中的身份识别同步化、认证管理、口令管理集成在一起,管理用户身份识别的整个生命周期。在信息时代,整个社会的所有活动无一不是以数据为基础,数据应该根据其在生命周期中所处的阶段来采用不同的手段进行管理。ILM需要考虑数据在业务中的流动,它必须是一个既包含业务、又包含数据流的整体观念。微软智能应用网关2007将SSL VPN产品与微软的互联网安全与加速服务器(ISA)整合在一起,为网络边界提供防御、远程访问、端点安全和应用级别的保护。据报告,2006年,全球网络安全专用设备和软件销售收入比2005年增长15%,达45亿美元,据预测2007年这个市场将首次突破50亿美元大关。随着全球信息化产业的发展,不仅安全技术会有很大的发展,而且作为一个产业,信息安全产业可以预见会在未来不断的壮大与成熟。总之,随着安全威胁的日益加剧以及伴随着商业利益的黑客行为的日益猖獗,攻击与防护这一对矛与盾仍将长期斗争,演绎
