目前,我国信息与网络防御能力脆弱,形势严峻。很多重要的信息系统,基本上处于不设防状态,政府上网,也缺乏绝对的安全保障。一些重要的信息系统,使用从国外引进的安全设备,无法保证其安全利用和有效监管。以下建议有助于提高系统的安全性。
一、信息系统建设
信息安全保障体系存在一个PDR的技术模型,即保护与预防(P:Protection and Prevention)、检测(D:Detection)、响应与恢复(R:Response and Recovery)。PDR模型的实施必须与基础信息技术构成一个整体,安全体系建设的成本必须小于信息安全所可能造成的损失。信息系统建设在安全方面应该是以满足实际应用为目的,并不是技术或设施越先进越好,为此应根据数据资源的重要性采取不同的安全策略。一般,数据资源的敏感程度可分为公开、内部、敏感、秘密等级别,其对安全的强度要求依次递增。
二、口令
利用字典攻击及其相应软件在知道用户名的情况下,70%的口令可以在30分钟内破译;80%的口令可以在2小时内破译;83%的口令可以在48小时内破译。
在口令的使用上存在以下一些误区:
● "姓名+数字"或姓名的缩写作为口令;
● 滥用超级用户口令。除非必要,尽可能使用普通用户的身份进行操作,减少超级用户口令泄密的危险性;
● 习惯使用最常见的单词作为口令;
● 在多个主机或邮件系统中使用同一个口令;
● 贪图方便不愿意每次输入口令,而将其保存在内存中;
● 口令终身制。应该定期更新口令,缩短口令使用的周期,使用尽可能长的口令,增加安全强度;
● 口令错误时,应该限制登录的次数;
实际上计算机技术发展到现在,口令并不是唯一的用户登录手段。电脑指纹识别系统目前在技术上已经成熟,在一些比较重要的系统中配置它作为用户身份认证是一种比较好的选择。大家知道每个人的指纹是不同的且终身不变,以此作为登录依据具有很好的可靠性。此外,在某些特别重要的系统中还可采用诸如视网膜识别等高级技术。
三、加密
实际上,许多情况下靠操作系统、数据库本身的口令、权限进行安全控制是远远不够的,重要的数据应采用加密的形式进行保存和传输。
四、备份
数据备份是防止数据丢失的有效方法,应特别注意对系统数据的备份工作。建立定期、定时的数据备份制度;加强备份权限的管理。
从安全的角度考虑,数据备份也可能成为安全的隐患,因此同时应加强对备份数据的管理,必要时可以用加密形式保存。
五、互联网安全
互联网的发展极大地改变了社会生活的各个方面,也带来了许多安全新问题。关于互联网的安全建议包括:
● 不要让自己的机器始终在互联网上,这会增加安全威胁。虽然,宽带网的接入使网络费用不再是一个问题,但这会增加攻击者的攻击时间;网络地址的固定不变,也使攻击者增加很多成功的机会;
● 不要随意打开来自陌生人的邮件。在确认安全以前不要执行附件中的可执行文件,以免带来木马程序或邮件病毒;
● 必要时,实行网络的物理隔离。在政府机关等敏感单位,可实行内外网的物理隔离。
六、管理
国家863专项计划专家组组长何德全院士指出"当前网络安全防线中最薄弱的环节是人,网络安全最可靠的保证也是人!"。"三分技术,七分管理",根据BISS 98年公布的数据,造成信息安全事故的因素分布如下:57%由于疏忽,24%来自外部恶意的攻击,18%因为电源的故障,17%由于用户的误操作,14%来自病毒……,其中70%的信息安全事故如果事先加强管理都是可以避免的。
人员的素质是提高系统安全性至关重要的因素。全球最著名的黑客是米特尼克,他是第一个被美国联邦调查局通缉的黑客,他在美国参议院作证时说"世界上防范黑客的最好办法不是什么最新的技术,而恰恰是教育员工提高预防黑客的意识。"这佐证了人是信息安全最薄弱的环节的说法。
计算机信息系统的使用单位应当重视安全 ,加强制度建设。根据系统的重要性,在以下几个方面可考虑加强安全建设:
1. 有专门的安全防范组织和安全员。安全组织成员应当由主管领导、公安保卫、信息中心、人事、审计等部门的工作人员组成,必要时可聘请相关部门的专家组成。
2. 建立机房安全管理制度,其要点为:
● 身分验证出入,例如采用指纹自动识别系统等;
● 出入物品检查;
● 加强防火、防盗、防震、设置电子监控等;
● 对于突发事件应急处理的应急制度;
● 登记手续齐全;
● 非批准不得参观中心机房;
3. 建立计算机系统运行管理制度,可考虑:
● 专人负责启动、关闭计算机系统;
● 对系统运行状况进行监视;
● 对系统进行定期维护;
4. 建立各种人员管理制度:
● 操作人员管理制度:主机或终端操作岗位分离;不准在系统运行的机器上做与工作无关的操作;不越权运行程序;不查阅无关参数;操作异常立即报告等。
● 管理人员的管理制度:对工程技术人员、机房门卫等相关工作人员均应进行相应的管理。
● 人员变动安全制度。人员调离时马上收回钥匙、移交工作、更换口令、取消帐号,并向被调离的工作人员申明其保密义务;人员的录用调入必须经人事组织技术部门的考核和接受相应的安全教育和培训;
● 加强人事审查、监督和管理;
5. 必须建立重要的系统软件、应用软件管理制度。如系统软件的更新维护,应用软件的源程序与目标程序分离,系统自身的安全保护措施等;
6. 建立数据管理制度。例如重要数据输入、输出、备份的管理;
7. 建立密码口令管理制度。过滤安全性差的口令;做到口令专管专用,定期更改并在失密后立即报告;
8. 建立网络通信安全管理制度:互联网在方便工作的同时也是安全隐患的来源。 尤其应建立安全的电子邮件收发制度,一方面防止病毒等外来的安全威胁,另一方面防范内部人员通过电子邮件泄密;
9. 病毒防治管理制度。及时检测、清除计算机病毒,并备有检测、清除的记录。
10. 建立详细的工作手册和工作记录制度。
11.定期进行风险分析,制定灾害恢复计划,如关键技术人员的多种联络方法,
备份数据的取得,系统重建的组织。
12.建立安全培训制度,进行计算机安全法律教育、职业道德教育和计算机
安全技术教育。对关键岗位的人员进行定期考核。
13.建立技术合作制度。加强与相关单位的合作,及时获得必要的信息和技
术支持。
七、测试与评估
人们不可能百分之百的听信厂家自己说有哪些安全功能,大多数用户本身又不是安全专家,于是需要一批用户信得过的格守中立的安全专家,对产品的安全功能和性能进行认定。此外,从国外进口的产品,有必要进一步检测是否存在安全"后门"。经过总结提炼,目前已经制定了一些"安全等级",并从安全功能和性能上进行了严格的定义,对应着一系列的可操作的测评认证手段,使信息安全的测评认证正在走向科学和正规的道路。
中国的信息安全测评认证机构始建于1997年,经过两年多的筹建和试运行,1998年10月27日,国家质量技术监督局正式批准成立"中国国家信息安全测评认证中心"。截止2000年12月,该中心共颁发了53个产品认证证书和1个系统认证证书。我国的认证工作刚刚起步,但呈现以下特点:
● 独立的第三方信息安全认证体系基本形成;
● 认证标准逐步与国际接轨;
● 信息安全产品从单一安全机制向多种安全机制、复合型的方向发展。
存在的问题是;
● 认证方式单一,目前以型号为主;
● 测试方法和手段尚不能满足信息安全产业发展和信息安全管理的要求;
八、法律
信息安全需要法律保障和政策支持。由于信息化的迅猛发展,网络空间道德体系和法律建设的相对滞后,目前多数国家在信息安全、计算机犯罪等方面的法律是不健全的,这体现在法律法规本身的数量和适用范围上,也体现在诉讼的程序上。此外执法机构和执法人员也存在严重匮乏,致使在预防、控制、侦破和制裁计算机犯罪,保障信息安全方面困难重重。建立健全信息安全法律体系,是全世界都面临的重要任务。
网络无国界,国际互联网使计算机犯罪分子轻易地就可以实现跨国界的犯罪。传统的法律一般遵循地域管辖的原则:包括领陆、领水、领空以及"拟制领土"(如船舶、飞机、列车和驻外使领馆)。网络的虚拟空间是随技术发展而新出现的管辖空间,它不属于以上任一种空间,有人把它称为"第五空间"。
我国对计算机信息安全的立法工作非常重视,颁布了相关领域的多部法律法规,主要有:
1994年,中国颁布实施第一部计算机安全法规《中华人民共和国计算机系统安全保护条例》;
公安部颁布了《计算机病毒防治管理办法》;
1999年10月,国务院第273号令颁布《商用密码管理条例》;
1999年11月11日,国家质量技术监督局发布了9个最新的国家信息安全标准;
2000年5月颁布GA243-2000《计算机病毒防治产品评级准则》;
经中央军委批准,四总部联合签署《中国人民解放军计算机信息系统保密规定》;
全国人大通过《关于维护互联网安全的决定》;
在新刑法中,对传播、制作计算机病毒等危害计算机信息系统安全的内容;
香港特别行政区《电子交易条例》是新世纪香港通过的第一部法律。规定了电子记录、数码签署、认证机关、公开密码、私人密码等问题;
2000年9月25日《中华人民共和国电信条例》由国务院令291号颁布实施,其中有关条款对网络安全和信息安全作了详细的规定。
严格遵循有关网络安全、信息安全的法律法规,不断健全法律体系,是保障信息安全的战略性举措。
主要参考文献
1、 吴基传《信息技术与信息产业》 新华出版社 2000
2、 曲维枝《信息产业与中国经济结构调整》 中国财政经济出版社 2001
3、 中共上海市委组织部、 中共上海市委党校、上海市信息化办公室 《干部信息化知识续本》文汇出版社 2001
4、 吴基传《领导干部信息网络化知识读本》 人民出版社 2001
5、 刘晓东、陈久庚《信息工作理论与实践》 科学技术文献出版社 1995
6、 张春江、倪健民《国家家信息安全报告》 人民出版社 2001