来源:远方网络 | 2005-4-12 12:16:50 | (有5379人读过)
随着互联网在中国的快速发展,中国六大经营性互联网和四大非经营性互联网都先后建成并投入使用,据CNNIC统计,到2001年6月30日止,中国互联网上网用户数达到2650万左右,上网计算机约1002万台。目前互联网用户中有ISDN(2B+D)用户93.8万、专线上网用户48.8万。目前中国拥有如此庞大的互联网用户和基础网络,把一个十分严峻的问题摆在了国人的面前,即互联网的安全问题。赛迪顾问长期对互联网进行跟踪研究,在目前不断发生互联网安全事故的时候,对互联网的安全状况进行了一系列的研究与分析,希望引起用户和厂商对网络安全的重视。
一、国内互联网安全现状
2000年11月28日下午,CHINAREN的"主页大巴"遭遇了极为罕见的严重硬件故障,导致文件系统崩溃,导致30万个人主页用户的所有资料丢失;2001年1月30日1点钟左右,263网络集团的ISP业务页面、IDC资料信息港页面等几乎在同一时刻被黑客攻击,从2001年互联网发生的几起事故来看,互联网安全受到非常大的挑战。
互联网的安全主要分为网络运行安全和信息安全两部分。网络运行的安全主要包括以CHINANET、CNUNINET、CHINAGBN、CNCNET等10大计算机信息系统的运行安全和其它专网的运行安全;信息安全包括把以ICP为主的互联网信息内容,保证接入internet的计算机、服务器、工作站等用来采集、加工、存储、传输、检索等处理的人机系统的安全。我国互联网安全的状况可以分为几部分:
(1)信息和网络的安全防护能力差
随着1995年以来多个上网工程的全面启动,我国各级政府、企事业单位、网络公司等陆续设立自己的网站,电子商务也正以前所未有的速度迅速发展,但许多应用系统却处于不设防状态,存在着极大的信息安全风险和隐患。
我国的银行系统、政府部门、企业等全都处在信息化和网络化进程中,却很少有人关注安全问题,没有采取有效的安全措施保证网络的安全,也降低了安全防护能力。
(2)基础信息产业严重依靠国外
我国的信息化建设,基本上是依赖国外技术设备装备起来的。在国际财团涌向我国信息化建设的市场,大举推销电子信息设备之时,我们却在相对缺乏知识和经验的情况下,存在着一些花钱买淘汰技术和不成熟技术的现象,这其中就潜伏着信息安全隐患的极大危险。
我们的计算机软件也同样面临受人遏制和封锁的威胁。虽然我国的计算机制造业有很大的进步,但其中许多核心部件都是原始设备制造商的,我们对其的研发、生产能力很弱,关键部位完全处于受制于人的地位。我们的计算机软件还面临市场垄断和价格歧视的威胁。国外厂商几乎垄断了我国计算机软件的基础和核心市场,特别是操作系统。
(3)信息安全管理机构权威性不够
目前,国家经济信息安全管理条块分割、各行其是、相互隔离,极大地妨碍了国家有关法规的贯彻执行,难以防范境外情报机构和“黑客”的攻击。国家在信息安全问题上缺一个专门的权威性机构。信息安全相关的民间管理机构与国家信息化领导机构之间还没有充分沟通协调。
另外,计算机犯罪屡有发生,我国从1986年发现第一件银行计算机犯罪案起,案件呈直线增长趋势,调查表明每年计算机犯罪发案率递增30%。
(4)全社会的信息安全意识淡薄
部分人士认为我国信息化程度不高,更没有广泛联网,互联网用户的数量也不多,信息安全事件在我国不可能发生,要发生也是多少年以后的事,何必大惊小怪,而在“居危思安”的心态中。
另外,信息安全领域在研究开发、产业发展、人才培养、队伍建设等方面和迅速发展的形势极不适应,只是作为信息化的研究分支立项,投人很少,和国外差距越来越远。
以上问题如果不能切实解决,我国的互联网安全将面临严重威胁,在激烈的信息争夺和信息战中我国就会处于被动挨打的软弱地位。因此,充分重视我国的互联网安全问题已迫在眉睫。
二、互联网络安全方面存在的主要问题
我们详细地来分析目前互联网安全方面的存在主要问题,安全主要表现为网络运行安全、信息内容的安全、内容管理安全、服务器系统安全、网络操作安全等方面。
1、互联网信息发布和管理中存在的问题
在2000年12月28日全国人大通过的《关于维护互联网安全的决定》中,对于网络安全作出了详细的规定,而在日常工作中,有些单位和个人并没有严格按照规定来执行,把一些不应该在网上公布的信息在网上公布了,实际工作中缺少详细的操作规程和管理规章。
2、系统安全
目前绝大部分的互联网访问流量都来自互联网数据中心(Internet data center,简称IDC),因此加强数据中心的安全就显得特别的重要。用户把服务器托管给了IDC,信息安全的重任就落到用户和服务商双方的肩头。那么,IDC服务商是如何保障客户的信息安全的呢?我们采访了中华通信公司的有关负责人,他表示,IDC不仅应该为客户提供高速、稳定的接入服务,更重要的是保障用户的数据安全,因此需要IDC提高网络的安全性,和客户一起把好“安全”这道关。
3、网络运行中存在的问题
互联网用户存在着多种多样的安全漏洞,在安装操作系统和应用软件及网络的调试中,如果没有对相关安全漏洞进行扫描并加以修补,遇到黑客的恶意攻击将会造成重大的损失。例如7月31日,创联万网托管的服务器受到黑客攻击,就是因为未能及时修复最新漏洞,给黑客可乘之机,出现几十台服务器不能正常运行,并有部分客户的资料丢失的重大事故,给客户造成了重大的损失。
因此,互联网用户应该多采取主动防止出现事故的安全措施,从技术上和管理上加强对网络安全和信息安全的重视,形成立体防护,由被动修补变成主动的防范,把出现事故的概率降到最低。
4、内部管理
不管是在互联网上发布信息的单位,还是提供互联网信息服务的机构,都应该加强企业的内部管理,从信息的审查、信息的管理维护、网络的规划、网络建设及系统的维护都需要加强管理,尤其是对系统管理和维护的人员,提高他们的技术水平和安全意识非常的重要,明确人员的操作规程和责任,避免人为“事故”的发生。
三、增强互联网安全的主要方法和途径
1、防火墙技术
使用专线接入的企业中,服务器放在公司内部,而内部网与外部网之间的屏障——防火墙却没有安装,基本的安全防范措施都没有,而托管在IDC服务商的服务器可能也没有选择服务商提供的安全增值服务,没有把信息安全没有放到一个重要的位置,特别是企业的内部网与外部网相连情况,应该重点考虑使用防火墙技术,加强网络安全和信息安全,从而保护内部网避免受非法用户的侵入。
2、数据加密技术
与防火墙配合使用的安全技术还有数据加密技术来提高信息系统及资料的安全性和保密性, 防止秘密资料被外部破解所采用的主要技术手段之一。从技术上分别在软件和硬件两方面采取措施, 推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术等四种。
(1)、数据传输加密技术
目的是对传输中的数据流加密, 常用的方针有线路加密和端--端加密两种。前者侧重在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密, 并进入TCP/IP数据包回封, 然后作为不可阅读和不可识别的数据穿过互联网, 当这些信息一旦到达目的地, 被将自动重组、解密, 成为可读数据。
(2)、数据存储加密技术
目的是防止在存储环节上的数据失密, 可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现; 后者则是对用户资格、格限加以审查和限制, 防止非法用户存取数据或合法用户越权存取数据。
(3)、数据完整性鉴别技术
目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证, 达到保密的要求, 一般包括口令、密钥、身份、数据等项的鉴别, 系统通过对比验证对象输入的特征值是否符合预先设定的参数, 实现对数据的安全保护。
(4)、密钥管理技术
为了数据使用的方便, 数据加密在许多场合集中表现为密钥的应用, 因此密钥往往是保密与窃密的主要对象。密钥的媒体有: 磁卡、磁带、磁盘、半导体内存等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
3、加强互联网安全管理
网络安全和数据保护等防范措施都有一定的限度, 并不是越安全就越可靠。在看一个内部网是否安全时不仅要考察其手段, 而更重要的是对该网络所采取的各种措施, 其中不光是物理防范, 还有人员的素质等其它“软”因素, 进行综合评估, 从而得出是否安全的结论。因此,对“网管”人员和其它相关人员的管理非常的重要,而不仅是简单的硬件和软件方面的资金投入和安全措施的制定。
四、调研结论
经过对目前国内互联网状况的了解分析,我们对目前国内互联网的安全状况感到非常的不安,从网络的运行安全到信息安全,都存在着很多的问题和安全隐患。为加强我国在互联网方面的安全防护能力,可以从以下几个方面加强我们的工作。
第一,中国要发展自己的信息产业,实现民族的信息产品逐步地替代进口,至少是从关键的局部开始替代。诸如操作系统、路由器、芯片等关键产品,从时间上、产品分布上来逐步替代。当然,具有自主知识产权的产品竞争力的提高及其替代进口产品,都需要一个过程,是不可能一蹴而就的。
第二,在民族信息产业尚未成熟到与发达国家相抗衡的程度时,应该从管理的规章制度和网络安全的角度多做一些防范。中国在现有基础上,积极采取一些措施,包括制定严格的规章制度,网络关口的技术保障等,在信息安全防范与保障方面,争取发挥更好的作用。
第三,在网络安全事故频繁发生的同时,互联网用户也逐渐意识到网络安全的重要性,加大了在网络安全方面的投入,也加强了在网络安全方面的管理。北京成捷讯集创电子技术有限公司伍远江先生对众多用户了解分析认为,按目前国内的安全现状和网络业务流量,用户在安全方面的投资占到总集成项目的10%左右可以建立一个比较稳固的立体安全防护体系,包括防火墙、防病毒、入侵检测和扫描等一整套安全解决方案),但目前很多的用户远没有达到这样的投资比例,因此,建议用户不仅要重视互联网的安全,更要增加对网络安全方面的投资。
第四,应该加强人员的培训、管理,提高人员的安全意识,增强互联网安全的防护能力。把我们国家的互联网安全提高到更高、更强的层次。
|