一、若干安全问题回顾
1999年7月,江西省公众多媒体通信网遭到一名"黑客"恶意攻击,中断网络运行达30小时,网上浏览、查询、电子邮件、文件传输等网络服务全部中断,大量系统软件被破坏,部分用户数据被损毁。上海公安部门1999年曾破获我国首例侵入证券公司电脑的"黑客"案,证券公司营业部员工赵某利用电脑系统漏洞,发送虚假交易指令,致使"兴业房产"等股票瞬间飚升到涨停板,以获取非法利润。1999年,"美丽莎"病毒在世界范围内爆发,它能够毁坏硬盘上的几乎所有文件。这些人为破坏在进行信息化建设的过程中不可轻视,其动机有的出于报复心理,有的是为了获取有用的商业信息,有的甚至仅仅是为了证明自己的能力。
现代武器库中,电子装备一直是发展的重点。计算机及其相关技术的发展使一种全新概念的战争----"信息战"出现在世人面前。美国**克林顿声称:"今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家。"美国前陆军参谋长沙利文上将称:"信息时代的出现将从根本上改变战争进行的方式"。海湾战争期间,美国将带有AF/91病毒的微机芯片装入伊拉克从法国购买的用于防空系统的打印机中,进而使伊拉克的军事指挥系统中心主计算机失灵。更有人概括的指出,第一次世界大战是化学家的战争,作战的主要手段是炸药;第二次世界大战是物理学家的战争,其标志是核武器的出现;而海湾战争是数学家的战争,计算机上的信息(比特流)在战争中起重要的作用。以后的战争很大程度上将会以"信息战"的形式出现。信息战的实质是,运用精确制导武器、干扰器、计算机病毒等各种进攻性信息手段,攻击敌方的信息和信息系统,使其指挥与控制体系瘫痪,达到不战而胜的目的;运用己方的信息和信息系统,使部队全面了解战场情况,对敌实施有效打击,夺取战争的胜利。信息战核心是获取"信息控制权"。 1995年10月,美国已经组建了世界上第一支信息战分队。
由此可见,信息安全在社会生活的各个方面已受到更为广泛的关注,其重要性也日益明显。信息领域的严峻斗争使我们认识到,只讲信息应用是不行的,必须同时考虑信息安全问题。在现代条件下,网络信息安全是整个国家安全的重要组成部分,建立安全的"信息边疆"已成为影响国家全局和长远利益的重大关键问题。
二、信息安全的完整含义
信息安全的概念随相关技术的进步和应用的深化,经历了一个发展完善的过程。最初信息安全的概念更多的是局限于信息的保密性,即保证信息不泄露给未经授权的用户。随着网络应用的普及,显然仅有这样的安全是不够的。目前,比较一致的看法是信息安全是一个多层次的概念,一般包括下面几个含义:
● 保密性 保证网上数据和存储器中数据不以非正当方式被泄露;
● 完整性 确保数据不受未经授权的改动,即信息从发出的信源无失真地完整地到达接收的信宿;
● 可获性 又叫可用性,保证信息和信息系统确实为合法用户所用,防止由于计算机病毒或其它人为因素造成系统的拒绝服务,或者为非法者所用;
● 认证性 消息及其来源的真实性可以认证;
● 可控性 对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统;
中国工程院的何德全院士认为,应该全面地把握信息安全的内涵。当今已经进入互联网时代,更加强调面向连接、面向用户。"人"在系统中以资源使用者的身份出现,处于主导地位,因此,信息安全也应该以人为主体,即保证主体对信息资源(客体)的控制。这样,信息安全分为面向数据的客体的安全,包括数据的保密性、完整性、和可获性;面向使用者的主体的安全,包括鉴别、授权、认证、仲裁等。信息安全是一个综合的概念,是物理安全、网络安全、数据安全等等的总和,是一个系统的概念。信息安全符合"木桶理论",也就是说必须考虑系统整体的安全性,因为入侵者可以从最不安全的地方入手,一个系统或环节的不安全隐患可能影响整个系统的安全。解决信息安全的基本策略是综合治理,信息安全不是单靠某一项措施或技术所能奏效的。
信息安全还是一个动态的、相对的概念。安全无止境!并不存在一劳永逸的信息安全解决方案,这是因为"信息安全"与"安全威胁"是"矛"与"盾"的关系,它们随技术的进步在不断发展。也正是出于这样的原因,美国对其商用数据加密标准DES算法进行定期的安全评估,以分析技术进步对安全带来的负面影响,并最终决定以新的算法Rijndael取代DES成为新的数据加密标准。
信息安全还有鲜明的自主性。主权独立国家,尤其是大国应该把握信息安全的主动权,这是国家安全的有机组成部分。掌握先进技术的国家一方面对信息技术或产品出口设置种种障碍,如美国就限制密钥长度为40位以上的密码产品出口;另一方面一个国家进口的技术或产品可能存在安全隐患,例如存在安全"后门"或陷阱。因此,独立自主地进行信息安全相关技术和课题的研究,掌握核心技术具有重要战略意义。
总之,信息安全是信息化的基础工作,直接影响国民经济的健康发展。中科院沈昌祥院士将网络信息安全建设比作"人的免疫系统",没有信息安全作保障,信息化这个美丽的大厦随时可能倒塌。
当然,我们应该用辨证的观点来看待信息安全问题。不能因为可能的安全问题而畏惧甚至抵制信息化,又要在信息化进程中重视安全问题,信息安全是可以通过技术和管理等手段来提高和保证的。
三、安全威胁
威胁信息安全的因素来自多个方面,有不可抗的自然因素,有人为的偶然因素,更有经济或其他利益驱动的必然因素。我们根据威胁的来源和威胁的强度,把信息安全分为三个层次:
1. 自然威胁
自然威胁有地震、火灾、电磁干扰;各种故障,如硬件设备故障或缺陷、软件故障或缺陷、操作人员的误操作;元器件受使用寿命限制而自然产生的功能丧失等。对这类威胁的防治主要是根据威胁的来源,增加系统的可靠性,进行数据备份等。
2. 人为破坏
其特点是人为的故意破坏,当造成的后果构成违犯法律时,又叫计算机犯罪。这里又可以分为两类,一类是单纯的恶作剧或好奇,如某些病毒的扩散,某些"善意"的黑客入侵等,还有一种是在经济利益的驱动下,少数犯罪分子采取各种手段进行有意的破坏,如非法窃听、恐怖分子破坏、对消息进行非法删除、嵌入、修改和重放等。这类威胁的特点是:
● 作案时间短;
● 地域跨度大;
● 表现形式多样;
● 涉案人员掌握较高的编程和网络应用技巧;
● 危害更大;
这要求我们在进行信息系统建设时要注意系统的安全性,防止各种可能的威胁,包括对内部人员的防范,对于敏感数据或单位尤其如此。此外,要应完善相关法律法规,使信息化建设有章可循,对可能的破坏的处置也有法可依!
3. 敌对的威胁
这是强度最大的一种信息安全威胁,即国家间的电子信息对抗或者说"信息战"。 当国家间的利益冲突不可调和的时候就会发生战争,作为高技术代表的信息技术必然在战场上出现。海湾战争中美国对伊拉克计算机网络的攻击已经让人们初步领略了电子信息战争的真面目,这是没有硝烟和炮火的战争,其发生更突然更难抵御,危害和破坏性也更大。进行电子信息战必须具备强大的技术和资金,取得信息战优势的一方将在整个战争态势中占据有利地位。为此,许多国家在进行相关课题或战略的研究。据美国《空军时报》2000年3月披露,美国国防部已从重点研究网络安全防御转向了加强信息战的进攻能力,由航天司令部牵头组织全军信息战攻防技术研究,发展网络攻击武器。美国国内已经出现了"信息保护伞取代核保护伞"的提法。今年1月,以色列以"服务器之战,心灵之战"为题召开了电子战争研讨会。
基于以上现实,我国确定了全局性的信息安全战略。要独立自主地研究信息安全核心技术;全面研究、掌握、赶超在微电子、计算机、网络、通信等信息领域的关键技术;对关系国家安全的特别重要的信息系统应建立安全防范监控体系;培养信息安全专门人才以应对可能的巨大挑战。
四、我国信息安全的现状和面临的问题
我国信息化工作已经取得重要的进展,但安全研究方面起步晚,投入少,研究力量分散,总体水平与发达国家存在较大差距。特别是,安全体系结构和安全协议的研究,是我们的薄弱环节。
1. 发展中的信息安全产业
近年来,我国的信息产业飞速发展。到2000年,微机产量、软件产值、网络规模、互联网用户都已经有相当的规模,各种信息系统的建设日益提到关键地位。与此同时,信息安全产业也蓬勃发展。2000年,我国信息安全产品的销售额大辐增长,达到50亿人民币。这一方面说明信息安全正得到越来越多的重视,另一方面也说明信息安全方面潜力很大,还有很多工作要做。
2. 主观上对信息安全重视不够,信息安全观念有待加强。
我国民众存在一种重视硬件忽视软件、 重视软件开发忽视安全建设的倾向,导致在信息安全领域存在以下不足:
● 安全意识淡薄,管理措施不到位;
● 缺乏权威领导机构;
● 缺乏统一的、全局的安全规划;
● 缺乏有效的监管措施和手段;
● 缺乏专业的信息安全人才和专业队伍;
● 缺乏权威的安全评估机构和安全标准;
● 缺乏安全方面的立法,尚未把信息安全提高到法律的高度;
对信息安全这一涉及国家安全的战略性问题,不能"临渴掘井",必须"未雨绸缪",否则将可能给国家造成灾难性后果。
3. 客观上受制于技术水平
我国电子信息领域基础技术薄弱,制约了与信息安全相关的产业的发展。我国尚没有充分掌握信息安全的核心技术,安全产品大多依赖进口。
4. 受政治等因素的影响,尤其应重视安全问题
美国是当今世界唯一的超级大国,在经济、技术、军事各方面具有压倒性优势。如果根据信息技术和信息经济的强弱对世界上的国家分类,那美国也是唯一的信息超级大国。美国为达到称霸世界目的,凭借信息技术优势,通过出口信息安全产品来达到控制、获取别国信息的目的。它起初限制40位密钥长度以上的密码产品出口,后又同意具有密钥托管或密钥恢复功能的强密码产品出口,这些都是美国政府可以控制和解读的。此外,在密码芯片和操作系统中可能隐藏着尚未为人们发现的、危险性更大的"后门"和"特洛伊木马"。一旦发生重大国际冲突,那些隐藏的"特洛伊木马"可能在某些秘密指令下激活起来,破坏、篡改或窃取信息系统中的重要信息。由于历史和意识形态方面的原因,我国和美国在许多方面存在很大的分歧,两国关系经常会出现不稳定的情况,美国对中国技术出口的限制尤其严厉。小布什政府上台后更是有把中国看成是战略对手的趋向。美国民间对中国存在偏见的也大有人在。比如微软公司的Windows操作系统在并不富裕的中国的售价是富裕的发达国家售价的一倍多,这是信息领域明目张胆的掠夺。在这样的国际背景下,我国信息安全的外部环境并不好,因此更应注重信息安全建设,以免在关键时刻受制于人!
5. 我国安全技术研究现状
我国国内信息安全研究力量分散,投入不足,现有研究仅能满足封堵已发现的安全漏洞,无法从根本上解决国家信息安全问题,更不要说形成反击能力。为此,应跟踪研究国际最新技术动态,努力吸取国外信息安全的先进技术和经验,不断创新,独立自主地发展我国的信息安全技术;加强对信息安全的支持力度,凝聚国内信息安全方面优秀人才,建设信息安全专业队伍;加强对信息安全体系、信息安全发展战略、安全核心技术、密码理论和应用技术、信息安全检测和监控技术、以及病毒防治等的研究,为我国的信息安全构筑起可靠屏障。
令人欣慰的是我国信息安全工作已经引起有关部门的高度重视,技术、人才、组织等正在迅速发展。例如,成立了全国商用密码管理办公室,负责对全国商用密码的研究使用,并进行统一的授权管理和规范;通过了多部与信息安全有关的法律、法规等。