2020 年 4 月 27 日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共 12 个部门联合发布《网络安全审查办法》,将于今年 6 月 1 日起实施。
网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来,在通信软件的支持下,实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的,利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径,因此,计算机网络是安全的,相应的计算机通信网络也必须是安全的,应该能为网络用户实现信息交换与资源共享。下文中,网络安全既指计算机网络安全,又指计算机通信网络安全。
安全的基本含义:客观上不存在威胁,主观上不存在恐惧。即客体不担心其正常状态受到影响。可以把网络安全定义为:一个网络系统不受任何威胁与侵害,能正常地实现资源共享功能。要使网络能正常地实现资源共享功能,首先要保证网络的硬件、软件能正常运行,然后要保证数据信息交换的安全。从前面两节可以看到,由于资源共享的滥用,导致了网络的安全问题。因此网络安全的技术途径就是要实行有限制的共享。
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
国外
2012 年 2 月 04 日,黑客集团 Anonymous 公布了一份来自 1 月 17 日美国 FBI 和英国伦敦警察厅的工作通话录音,时长 17 分钟,主要内容是双方讨论如何寻找证据和逮捕 Anonymous, LulzSec, Antisec, CSL Security 等黑帽子黑客的方式,而其中涉及未成年黑客得敏感内容被遮盖。
FBI 已经确认了该通话录音得真实性,安全研究人员已经开始着手解决电话会议系统得漏洞问题。
2012 年 02 月 13 日,据称一系列政府网站均遭到了 Anonymous 组织的攻击,而其中 CIA 官网周五被黑长达 9 小时。这一组织之前曾拦截了伦敦警察与 FBI 之间的一次机密电话会谈,并随后上传于网络。
国内
2010 年,Google 发布公告称将考虑退出中国市场,而公告中称:造成此决定的重要原因是因为 Google 被黑客攻击。
2011 年 12 月 21 日,国内知名程序员网站 CSDN 遭到黑客攻击,大量用户数据库被公布在互联网上,600 多万个明文的注册邮箱被迫裸奔。
2011 年 12 月 29 日下午消息,继 CSDN、天涯社区用户数据泄露后,互联网行业一片人心惶惶,而在用户数据最为重要的电商领域,也不断传出存在漏洞、用户泄露的消息,漏洞报告平台乌云昨日发布漏洞报告称,支付宝用户大量泄露,被用于网络营销,泄露总量达 1500 万~2500 万之多,泄露时间不明,里面只有支付用户的账号,没有密码。已经被卷入的企业有京东商城、支付宝和当当网,其中京东及 支付宝否认信息泄露,而当当则表示已经向当地公安报案。
未来二三十年,信息战在军事决策与行动方面的作用将显著增强。在诸多决定性因素中包括以下几点:互联网、无线宽带及射频识别等新技术的广泛应用;实际战争代价高昂且不得人心,以及这样一种可能性,即许多信息技术可秘密使用,使黑客高手能够反复打进对手的计算机网络。
据网易、中搜等媒体报道,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
技术支配力量加重
在所有的领域,新的技术不断超越先前的最新技术。便携式电脑和有上网功能的手机使用户一周 7 天、一天 24 小时都可收发邮件,浏览网页。
对信息战与运作的影响:技术支配力量不断加强是网络战的根本基础。复杂且常是精微的技术增加了全世界的财富,提高了全球的效率。然而,它同时也使世界变得相对脆弱,因为,在意外情况使计算机的控制与监视陷于混乱时,维持行业和支持系统的运转就非常困难,而发生这种混乱的可能性在迅速增加。根据未来派学者约瑟夫·科茨的观点,“一个常被忽视的情况是犯罪组织对信息技术的使用。”时在 2015 年,黑手党通过电子手段消除了得克萨斯州或内布拉斯加州一家中型银行的所有记录,然后悄悄访问了几家大型金融服务机构的网站,并发布一条简单的信息:“那是我们干的——你可能是下一个目标。我们的愿望是保护你们。”
未来派学者斯蒂芬·斯蒂尔指出:“网络系统……不单纯是信息,而是网络文化。多层次协调一致的网络袭击将能够同时进行大(国家安全系统)、中(当地电网)、小(汽车发动)规模的破坏。”
通信技术生活方式
电信正在迅速发展,这主要是得益于电子邮件和其他形式的高技术通信。然而,“千禧世代”(1980 年—2000 年出生的一代——译注)在大部分情况下已不再使用电子邮件,而喜欢采用即时信息和社交网站与同伴联系。这些技术及其他新技术正在建立起几乎与现实世界中完全一样的复杂而广泛的社会。
对信息战和运作的影响:这是使信息战和运作具有其重要性的关键的两三个趋势之一。
破坏或许并不明目张胆,或者易于发现。由于生产系统对客户的直接输入日益开放,这就有可能修改电脑控制的机床的程序,以生产略微不合规格的产品——甚至自行修改规格,这样,产品的差异就永远不会受到注意。如果作这类篡改时有足够的想像力,并且谨慎地选准目标,则可以想象这些产品会顺利通过检查,但肯定通不过战场检验,从而带来不可设想的军事后果。
信息技术与商业管理顾问劳伦斯·沃格尔提醒注意云计算(第三方数据寄存和面向服务的计算)以及 Web2.0 的使用(社交网及交互性)。他说:“与云计算相关的网络安全影响值得注意,无论是公共的还是私人的云计算。随着更多的公司和政府采用云计算,它们也就更容易受到破坏和网络袭击。这可能导致服务及快速的重要软件应用能力受到破坏。另外,由于 Facebook、博客和其他社交网在我们个人生活中广泛使用,政府组织也在寻求与其相关方联络及互动的类似能力。一旦政府允许在其网络上进行交互的和双向的联络,网络袭击的风险将随之大增。”
全球经济日益融合
这方面的关键因素包括跨国公司的兴起、民族特性的弱化(比如在欧盟范围之内)、互联网的发展,以及对低工资国家的网上工作外包。
对信息战及运作的影响:互联网、私人网络、虚拟私人网络以及多种其他技术,正在将地球联成一个复杂的“信息空间”。这些近乎无限的联系一旦中断,必然会对公司甚至对国家经济造成严重破坏。
研究与发展
(R&D)促进全球经济增长的作用日益增强,美国研发费用总和 30 年来稳步上升。中国、日本、欧盟和俄罗斯也呈类似趋势。对信息战及运作的影响:这一趋势促进了近数十年技术进步的速度。这是信息战发展的又一关键因素。R&D 的主要产品不是商品或技术,而是信息。即便是研究成果中最机密的部分一般也是存储在计算机里,通过企业的内联网传输,而且一般是在互联网上传送。这种可获取性为间谍提供了极好的目标——无论是工业间谍,还是军事间谍。技术变化随着新一代的发明与应用而加速。
在发展极快的设计学科,大学生一年级时所学的最新知识到毕业时大多已经过时。设计与销售周期——构想、发明、创新、模仿——在不断缩短。在 20 世纪 40 年代,产品周期可持续三四十年。今天,持续三四十周已属罕见。
原因很简单:大约 80%过往的科学家、工程师、技师和医生今天仍然活着——在互联网上实时交流意见。
机器智能的发展也将对网络安全产生复杂影响。据知识理论家、未来学派学者布鲁斯·拉杜克说:“知识创造是一个可由人重复的过程,也是完全可由机器或在人机互动系统中重复的过程。”人工知识创造将迎来“奇点”,而非人工智能,或人工基本智能(或者技术进步本身)。人工智能已经可由任何电脑实现,因为情报的定义是储存起来并可重新获取(通过人或计算机)的知识。(人工知识创造)技术最新达到者将推动整个范式转变。
1.Internet 是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2.Internet 的数据传输是基于 TCP/IP 通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。
3.Internet 上的通信业务多数使用 Unix 操作系统来支持,Unix 操作系统中明显存在的安全脆弱性问题会直接影响安全服务。
4.在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。
5.电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。
6.计算机病毒通过 Internet 的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名 FTP 文件传送、也可以通过邮件和邮件的附加文件传播。
网络通信具有全程全网联合作业的特点。就通信而言,它由五大部分组成:传输和交换、网络标准、协议和编码、通信终端、通信信源、人员。这五大部分都会遭到严重的威胁和攻击,都会成为对网络和信息的攻击点。而在网络中,保障信息安全是网络安全的核心。网络中的信息可以分成用户信息和网络信息两大类。
在网络中,用户信息主要指面向用户的话音、数据、图像、文字和各类媒体库的信息,它大致有以下几种:
一般性的公开信息:如正常的大众传媒信息、公开性的宣传信息、大众娱乐信息、广告性信息和其他可以公开的信息。
个人隐私信息:如纯属个人隐私的民用信息,应保障用户的合法权益。
知识产权保护的信息:如按国际上签订的《建立世界知识产权组织公约》第二条规定的保护范围,应受到相关法律保护。
商业信息:包括电子商务、电子金融、证券和税务等信息。这种信息包含大量的财和物,是犯罪分子攻击的重要目标,应采取必要措施进行安全防范。
不良信息:主要包括涉及政治、文化和伦理道德领域的不良信息,还包括称为“信息垃圾”的无聊或无用信息,应采取一定措施过滤或清除这种信息,并依法打击犯罪分子和犯罪集团。
攻击性信息:它涉及各种人为的恶意攻击信息,如国内外的“黑客”攻击、内部和外部人员的攻击、计算机犯罪和计算机病毒信息。这种针对性的攻击信息危害很大,应当重点进行安全防范。
保密信息:按照国家有关规定,确定信息的不同密级,如秘密级、机密级和绝密级。这种信息涉及政治,经济、军事,文化、外交等各方面的秘密信息,是信息安全的重点,必须采取有效措施给予特殊的保护。
在网络中,网络信息与用户信息不同,它是面向网络运行的信息。网络信息是网络内部的专用信息。它仅向通信维护和管理人员提供有限的维护、控制、检测和操作层面的信息资料,其核心部分仍不允许随意访问。特别应当指出,当前对网络的威胁和攻击不仅是为了获取重要的用户机密信息,得到最大的利益,还把攻击的矛头直接指向网络本身。除对网络硬件攻击外,还会对网络信息进行攻击,严重时能使网络陷于瘫痪,甚至危及国家安全。网络信息主要包括以下几种:
通信程序信息:由于程序的复杂性和编程的多样性,而且常以人们不易读懂的形式存在,所以在通信程序中很容易预留下隐藏的缺陷、病毒,隐蔽通道和植入各种攻击信息。
操作系统信息:在复杂的大型通信设备中,常采用专门的操作系统作为其硬件和软件应用程序之间的接口程序模块。它是通信系统的核心控制软件。由于某些操作系统的安全性不完备,会招致潜在的入侵,如非法访问、访问控制的混乱、不完全的中介和操作系统缺陷等。
数据库信息:在数据库中,既有敏感数据又有非敏感数据,既要考虑安全性又要兼顾开放性和资源共享。所以,数据库的安全性,不仅要保护数据的机密性,重要的是必须确保数据的完整性和可用性,即保护数据在物理上、逻辑上的完整性和元素的完整性,并在任何情况下,包括灾害性事故后,都能提供有效的访问。
通信协议信息:协议是两个或多个通信参与者(包括人、进程或实体)为完成某种功能而采取的一系列有序步骤,使得通信参与者协调一致地完成通信联系,实现互连的共同约定。通信协议具有预先设计、相互约定、无歧义和完备的特点。在各类网络中已经制定了许多相关的协议。如在保密通信中,仅仅进行加密并不能保证信息的机密性,只有正确地进行加密,同时保证协议的安全才能实现信息的保密。然而,协议的不够完备,会给攻击者以可乘之机,造成严重的恶果。
电信网的信令信息:在网络中,信令信息的破坏可导致网络的大面积瘫痪。为信令网的可靠性和可用性,全网应采取必要的冗余措施,以及有效的调度、管理和再组织措施,以保证信令信息的完整性,防止人为或非人为的篡改和破坏,防止对信令信息的主动攻击和病毒攻击。
数字同步网的定时信息:我国的数字同步网采用分布式多地区基准钟(LPR)控制的全同步网。LPR 系统由铷钟加装两部全球定位系统(GPS)组成,或由综合定时供给系统 BITS 加上 GPS 组成。在北京、武汉、兰州三地设立全国的一级标准时钟(PRC),采用铯钟组定时作为备用基准,GPS 作为主用基准。为防止 GPS 在非常时期失效或基准精度下降,应加强集中检测、监控、维护和管理,确保数字同步网的安全运行。
网络管理信息:网络管理系统是涉及网络维护、运营和管理信息的综合管理系统。它集高度自动化的信息收集、传输、处理和存储于一体,集性能管理、故障管理、配置管理。计费管理和安全管理于一身,对于最大限度地利用网络资源.确保网络的安全具有重要意义。安全管理主要包括系统安全管理、安全服务管理、安全机制管理、安全事件处理管理、安全审计管理和安全恢复管理等内容。
在美国国家信息基础设施(NII)的文献中,明确给出安全的五个属性:保密性、完整性、可用性、可控性和不可抵赖性。这五个属性适用于国家信息基础设施的教育、娱乐、医疗、运输、国家安全、电力供给及通信等广泛领域。
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
保密性是指网络中的信息不被非授权实体(包括用户和进程等)获取与使用。这些信息不仅包括国家机密,也包括企业和社会团体的商业机密和工作机密,还包括个人信息。人们在应用网络时很自然地要求网络能提供保密性服务,而被保密的信息既包括在网络中传输的信息,也包括存储在计算机系统中的信息。就像电话可以被窃听一样,网络传输信息也可以被窃听,解决的办法就是对传输信息进行加密处理。存储信息的机密性主要通过访问控制来实现,不同用户对不同数据拥有不同的权限。
据国际网络安全研究报告显示,2014 年全球网络安全市场规模有望达到 956 亿美元(约合人民币 5951.3 亿元),并且在未来 5 年,年复合增长率达到 10.3%,到 2019 年,这一数据有望触及 1557.4 亿美元(约合人民币 9695.1 亿元)。其中,到 2019 年,全球无线网络安全市场规模将达到 155.5 亿美元(约合人民币 969.3 亿元),年复合增长率约 12.94%。
从行业来看,航空航天、国防等领域仍将是网络安全市场的主要推动力量。从地区收益来看,北美地区将是最大的市场。同时,亚太地区、中东和非洲地区有望在一定的时机呈现更大的增长速度。
报告中指出,云服务的快速普及、无线通讯、公共事业行业的网络犯罪增加以及严格的政府监管措施出台都是这一市场发展的主要因素。因此,今后批准的网络安全解决方案将不断增加以防范和打击专业对手创造的先进和复杂的威胁。
此外,由于网络犯罪逐渐增长导致金融资产的损失,并可能损害国家的基础设施和经济,因此云服务提供商和垂直行业,如能源,石油和天然气等都将加大网络安全解决方案的投入。
网络分析系统是一个让网络管理者,能够在各种网络安全问题中,对症下药的网络管理方案,它对网络中所有传输的数据进行检测、分析、诊断,帮助用户排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。
网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要注意这些安全隐患,同时还要尽量避免网络的物理安全风险。
网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上 Internet/Intranet 的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL 等)和外网及内部其他业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。恐怕没有绝对安全的操作系统可以选择,无论是 Microsoft 的 Windows NT 或者其他任何商用 UNIX 操作系统,其开发厂商必然有其 Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
——应用系统的安全是动态的、不断变化的。
应用的安全涉及方面很多,以 Internet 上应用最为广泛的 E-mail 系统来说,其解决方案有 sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS 等不下二十多种。其安全手段涉及 LDAP、DES、RSA 等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
——应用的安全性涉及到信息、数据的安全性。
信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与账户、上传信息等)的机密性与完整性。
网络安全由于不同的环境和应用而产生了不同的类型。主要有以下几种:
(1)系统安全
运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻,产生信息泄露,干扰他人或受他人干扰。
(2)网络信息安全
网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩。计算机病毒防治,数据加密等。
(3)信息传播安全
网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上大云自由传翰的信息失控。
(4)信息内容安全
网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。
自然灾害、意外事故;计算机犯罪;人为行为,比如使用不当,安全意识差等;“黑客”行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;网络协议中的缺陷,例如 TCP/IP 协议的安全问题等等。
网络安全威胁主要包括两类:渗入威胁和植入威胁。
渗入威胁主要有:假冒、旁路控制、授权侵犯;
植入威胁主要有:特洛伊木马、陷门。
目前我国网络安全存在几大隐患,影响网络安全性的因素主要有以下几个方面。
(1)网络结构因素
网络基本拓扑结构有 3 种:星型、总线型和环型。一个单位在建立自己的内部网之前,各部门可能已建造了自己的局域网,所采用的拓扑结构也可能完全不同。在建造内部网时,为了实现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。
(2)网络协议因素
在建造内部网时,用户为了节省开支,必然会保护原有的网络基础设施。另外,网络公司为生存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时,也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。
地域因素由于内部网 Intranet 既可以是 LAN 也可能是 WAN(内部网指的是它不是一个公用网络,而是一个专用网络),网络往往跨越城际,甚至国际。地理位置复杂,通信线路质量难以保证,这会造成信息在传输过程中的损坏和丢失,也给一些“黑客”造成可乘之机。
(3)用户因素
企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客。”
(4)主机因素
建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、服务器,甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户),就可能造成整个网络的大隐患。
(5)单位安全政策
实践证明,80%的安全问题是由网络内部引起的,因此,单位对自己内部网的安全性要有高度的重视,必须制订出一套安全管理的规章制度。
(6)人员因素
人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高安全意识。
(7)其他
其他因素如自然灾害等,也是影响网络安全的因素。
网络安全性问题关系到未来网络应用的深入发展,它涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技术。
“防火墙”是一种形象的说法,其实它是一种计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。
能够完成“防火墙”工作的可以是简单的隐蔽路由器,这种“防火墙”如果是一台普通的路由器则仅能起到一种隔离作用。隐蔽路由器也可以在互联网协议端口级上阻止网间或主机间通信,起到一定的过滤作用。由于隐蔽路由器仅仅是对路由器的参数做些修改,因而也有人不把它归入“防火墙”一级的措施。
真正意义的“防火墙”有两类,一类被称为标准“防火墙”;一类叫双家网关。标准“防火墙”系统包括一个 Unix 工作站,该工作站的两端各有一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;而另一个则联接内部网。标准“防火墙”使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。而双家网关则是对标准“防火墙”的扩充。双家网关又称堡垒主机或应用层网关,它是一个单个的系统,但却能同时完成标准“防火墙”的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的连接,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。
随着“防火墙”技术的进步,在双家网关的基础上又演化出两种“防火墙”配置,一种是隐蔽主机网关,另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一种常见的“防火墙”配置。顾名思义,这种配置一方面将路由器进行隐藏,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的“防火墙”当属隐蔽智能网关。所谓隐蔽智能网关是将网关隐藏在公共系统之后,它是互联网用户唯一能见到的系统。所有互联网功能则是经过这个隐藏在公共系统之后的保护软件来进行的。一般来说,这种“防火墙”是最不容易被破坏的。
与“防火墙”配合使用的安全技术还有数据加密技术。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术 4 种。
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋予它一个口令或密码字。该密码字与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。
这些网络安全和数据保护的防范措施都有一定的限度,并不是越安全就越可靠。因而,看一个内部网是否安全时不仅要考虑其手段,而更重要的是对该网络所采取的各种措施,其中不仅是物理防范,而且还有人员素质等其他“软”因素,进行综合评估,从而得出是否安全的结论。
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web 安全、媒体安全等等。
(一)保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:
(1)全面规划网络平台的安全策略。
(2)制定网络安全的管理措施。
(3)使用防火墙。
(4)尽可能记录网络上的一切活动。
(5)注意对网络设备的物理保护。
(6)检验网络平台系统的脆弱性。
(7)建立可靠的识别和鉴别机制。
(二)保护应用安全。
保护应用安全,主要是针对特定应用(如 Web 服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如 Web 浏览器和 Web 服务器在应用层上对网络支付结算信息包的加密,都通过 IP 层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web 安全性、EDI 和网络支付等应用的安全性。
(三)保护系统安全。
保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:
(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。
(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。
(3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
在网络设备和网络应用市场蓬勃发展的带动下,网络安全市场迎来了高速发展期,一方面随着网络的延伸,网络规模迅速扩大,安全问题变得日益复杂,建设可管、可控、可信的网络也是进一步推进网络应用发展的前提;另一方面随着网络所承载的业务日益复杂,保证应用层安全是网络安全发展的新的方向。
随着网络技术的快速发展,原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系,为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念。在此理念下,网络安全产品将发生了一系列的变革。
结合实际应用需求,在新的网络安全理念的指引下,网络安全解决方案正向着以下几个方向来发展:
1.主动防御走向市场
主动防御的理念已经发展了一些年,但是从理论走向应用一直存在着多种阻碍。主动防御主要是通过分析并扫描指定程序或线程的行为,根据预先设定的规则,判定是否属于危险程序或病毒,从而进行防御或者清除操作。不过,从主动防御理念向产品发展的最重要因素就是智能化问题。由于计算机是在一系列的规则下产生的,如何发现、判断、检测威胁并主动防御,成为主动防御理念走向市场的最大阻碍。
由于主动防御可以提升安全策略的执行效率,对企业推进网络安全建设起到了积极作用,所以尽管其产品还不完善,但是随着未来几年技术的进步,以程序自动监控、程序自动分析、程序自动诊断为主要功能的主动防御型产品将与传统网络安全设备相结合。尤其是随着技术的发展,高效准确地对病毒、蠕虫、木马等恶意攻击行为的主动防御产品将逐步发展成熟并推向市场,主动防御技术走向市场将成为一种必然的趋势。
2.安全技术融合备受重视
随着网络技术的日新月异,网络普及率的快速提高,网络所面临的潜在威胁也越来越大,单一的防护产品早已不能满足市场的需要。发展网络安全整体解决方案已经成为必然趋势,用户对务实有效的安全整体解决方案需求愈加迫切。安全整体解决方案需要产品更加集成化、智能化、便于集中管理。未来几年开发网络安全整体解决方案将成为主要厂商差异化竞争的重要手段。软硬结合,管理策略走入安全整体解决方案。
面对规模越来越庞大和复杂的网络,仅依靠传统的网络安全设备来保证网络层的安全和畅通已经不能满足网络的可管、可控要求,因此以终端准入解决方案为代表的网络管理软件开始融合进整体的安全解决方案。终端准入解决方案通过控制用户终端安全接入网络入手,对接入用户终端强制实施用户安全策略,严格控制终端网络使用行为,为网络安全提供了有效保障,帮助用户实现更加主动的安全防护,实现高效、便捷地网络管理目标,全面推动网络整体安全体系建设的进程。
3、数据安全保护系统
数据安全保护系统是广东南方信息安全产业基地公司,依据国家重要信息系统安全等级保护标准和法规,以及企业数字知识产权保护需求,自主研发的产品。它以全面数据文件安全策略、加解密技术与强制访问控制有机结合为设计思想,对信息媒介上的各种数据资产,实施不同安全等级的控制,有效杜绝机密信息泄漏和窃取事件。
为促进和规范信息化建设的管理,保护信息化建设健康有序发展,我国政府结合信息化建设的实际情况,制定了一系列法律和法规。
1997 年 3 月,中华人民共和国第八届全国人民代表大会第五次会议对《中华人民共和国刑法》进行了修订。明确规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪的具体体现。
1994 年 2 月,国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,主要内容包括计算机信息系统的概念、安全保护的内容、信息系统安全主管部门及安全保护制度等。
1996 年 2 月,国务院颁布《中华人民共和国计算机信息网络管理暂行规定》,体现了国家对国际联网实行统筹规划、统一标准、分级管理、促进发展的原则。
1997 年 12 月,国务院颁布《中华人民共和国计算机信息网络国际联网安全保护管理办法》,加强了国际联网的安全保护。
1991 年 6 月,国务院颁布《中华人民共和国计算机软件保护条例》,加强了软件著作权的保护。
2017 年 6 月,国务院颁布《中华人民共和国网络安全法》,它是我国第一部全面规范网络空间安全管理方面问题的基础性法律。
2019 年 11 月 20 日,国家互联网信息办公室就《网络安全威胁信息发布管理办法(征求意见稿)》公开征求社会意见,对发布网络安全威胁信息的行为作出规范。