21世纪被称为网络世纪,计算机网络空间被誉为继陆、海、空之后的“第四领土”。计算机网络信息安全,是指确保计算机网络中信息的保密性、真实性、完整性、可用性和占有性。加强计算机网络信息安全,可采取以下措施:
一、采用安全评估标准与安全测试
当前已有一些为人们所熟悉的关于计算机网络信息安全的评估标准和指南。这些标准包括:可信计算机系统评价指南、ISO9000标准系列、信息安全管理准则和自评估等。可信计算机系统评价指南,主要有三个评估准则:一是可信任的安全评估准则。由美国国防部于1985年提出,至今仍作为发展安全产品的一种标准。二是由欧共体于1990年颁布的信息技术安全性评估准则。三是由加拿大在1993年提出的可信任计算机新产品评估准则。在所有的评估准则中,都涉及了三个方面:功能性(系统安全特征),有效性(确保所用机制合乎安全需要)和确认(进行彻底的评估)。目前,各团体正在协调这些标准,提出共同准则以供评述。
二、健全计算机网络的安全机制
计算机网络的安全是相对的,没有绝对安全的网络实体,但一个安全系统应具备以下功能:
1、身份识别。是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,最简单的方法是输入用户码和口令,而系统具有查验用户身份证明的能力。
2、存取权限控制。防止非法用户进入系统及防止合法用户对系统资源的非法使用是存取控制的基本任务。在开放系统中,网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源-二是定义可以访问的用户各自具备的权限,这是存取控制的主要任务。
3、数字签名。如用RSA等公开密钥算法,生成一对公钥和私钥。信息发送者需要私人密钥加密信息,即签名,信息的接收者利用信息发送者的公钥对签名信息解密,以验证发送者身份。
4、保护数据完整性。因特网通信协议在数据传输过程中,通常使用数据排序、控制包、检验码等差错控制机制,防止传输过程中的突发错误,但对网上黑客的主动攻击(如对信息的恶意增删、修改)则显得无能为力。通过加入一些验证码等冗余信息,用验证函数进行处理,以发现信息是否被非法修改,避免用户或主机被伪信息欺骗。
三、采用综合的计算机网络安全技术
通常保障网络安全的方法有两大类:以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。
1、“防火墙”技术。是指假设被保护网络具有明确定义的边界和服务而采取的一种安全保障技术,它通过监测、限制和更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“人放火”;另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中的统一互联网络系统。
2、数据加密技术。以数据加密和用户确认为基础的开放型安全保障技术使用比较普遍,且对网络服务影响较小,可望成为网络安全问题的最终一体化解决途径。这一类技术的特征是利用现代数据加密技术来保护网络系统中包括用户数据在内的所有数据流。只有指定的用户或网络设备才能够破译加密数据。从而在不对网络环境作特殊要求的前提下,根本上解决了网络安全的两大难题(网络服务的可用性和信息的完整性)。
3、安全通信协议。为了使网络中的安全通信协议标准化,便于不同系统和不同网络之间的互通和互操作,已经制定了安全通信协议的工业标准,如安全套接层协议SSL安全电子交易协议SET以及安全电子邮件协议S/MIME。这些工业标准的安全通信协议都是基于前述的密码技术,能提供广泛的安全服务,如信息加密、信息完整性、数字签名、相互身份认证等。
四、加强计算机本身的安全防护
计算机是信息系统的核心,实现了计算机安全,在一定程度上也就实现了信息安全。而计算机安全不仅是一个技术问题,它还应当在技术、管理、法律三方面综合治理。具体应注意以下几方面:
(一)计算机实体安全
所谓计算机实体安全,就是为了保证计算机系统安全可靠运行,保护计算机硬件和附属设备及记录信息载体不受人为或自然因素等的危害。这里重点讨论计算机设备电磁辐泄露防治问题。
采用以下方法可以对计算机电磁辐射泄漏加以保护:一是利用设备的电磁波辐射会随距离的增加而衰弱的特性,进行距离防护;二是利用噪声干扰防护。三是对计算机设备进行屏蔽;四是计算机设备良好接地;五是使用低辐射计算机设备,这是防治计算机信息发射泄漏技术的综合体现。
(二)计算机软件和数据安全
计算机软件安全首先是要设计可信的软件,它包括设计和使用安全的操作系统,开发安全的应用程序,建立安全的数据库管理系统,尽量使用现有安全可靠的软件,其次是加强软件的安全管理,它包括进行软件功能测试、软件维护、正确运行软件和管理好软件
计算机数据安全,涉及到计算机硬件、软件、环境的安全,以及计算机犯罪和计算机管理等一系列问题。因此,应从多方面做好工作:一是加强存取控制,防止非法访问。二是进行数据加密;三是数据库安全,主要是防止非法访问,防止非法修改和破坏,保证数据完整性,保证合法用户的存取等;四是数字签名,五是数据安全管理,主要包括防止信息泄露、计算机病毒、冗余备份和数据介质的安全管理等。
(三)计算机安全行政管理
计算机安全行政管理是以规章制度为手段,以人为主要管理对象的有关计算机安全活动。行政安全管理一般分两个层次:一是领导层次。领导重视了,安全组织机构和人员才能够得到落实;其次是管理层。管工作作有以下几个方面:一是制定安全目标,二是制定安全管理制度;三是制定应急计划,四是安全规划和协调;五是制定安全保护策略,六是风险和威胁分析;七是日常业务。
计算机网络信息安全领域的斗争,是“矛”与“盾”的较量。随着网络化的普及,毫无疑问,军用计算机网络系统将成为高技术局部战争中对方攻击的主要目标。这就要求我们在和平时期不仅要加强对运用高技术武器通过“软”、“硬”手段破坏敌计算机网络的研究,更要重视研究提高我方计算机网络信息安全各种措施。只有这样,才可能降低风险,提高我方的作战效能,才可能实现“打得赢”这一战略目标。
