网络安全与信息保密

在因特网上传输放置内部的敏感信息，特别是具有极高价值的政治、军事和商业信息的单位和企 业，自己必须解决其信息的安全保密问题，这是每个上网的单位和企业必须清楚的一件大事。上网的用户必须“各扫门前雪”，自己想法保护自己网络和网上信息。下面对网络安全与信息保密给一个概要性介绍，内容包括网络的脆弱性，面临的主要威胁，网络安全、信息保密的基本业务和一般安全保密技术。 　　网络安全的实质 　　网络安全的实质就是要保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击，使它们发挥正常，保障系统能安全可靠地工作。因而网络安全应当包含以下内容： 　　1、要弄清网络系统受到的威胁及脆弱性，以便人们能注意到网络这些弱点和它存在的特殊性问题。 　　2、要告诉人们怎样保护网络系统的各种资源，避免或减少自然或人为的破坏。 　　3、要开发和实施卓有成效的安全策略，尽可能减小网络系统所面临的各种风险。 　　4、要准备适当的应急计划，使网络系统中的设备、设施、软件和数据受到破坏和攻击时，能够尽快恢复工作。 　　5、要制订完备的安全管理措施，并定期检查这些安全措施的实施情况和有效性。 　　信息安全的目的 　　信息的安全，就是要保障信息的如下四方面的特性： 　　（1） 数据的完整性：它包括数据单元完整性和数据单位序列完整性。 　　（2） 数据的可用性：就是要保障网络中数据无论在何时，无论经过何种处理，只要需要，信息必须是可用的。 　　（3） 数据的保密性：即网络中的数据必须按照数据的拥有者的要求保证一定的秘密性。具有敏感性的秘密信息，只有得到拥有者的许可，其他人才能够获得该信息，网络系统必须能够防止信息的非授权访问或泄露。 　　（4） 合法使用性：即网络中合法用户能够正常得到服务，正常使自己合法地访问资源和信息，而不至于因某种原因遭到拒绝或无条件的阻止。 　　网络的脆弱性 　　互联网络的脆弱性大致如下： 　　1、无政府、无组织、无主管，因而互联网本身就无安全可言。 　　2、信息的高度聚集性：当信息的分离的小块出现时，信息的价值往往不大。只有将大量相关信息聚集在一起时，方可显示出其重要价值。互联网聚集了巨量信息，很容易遭到分析性攻击。 　　3、方便的可访问性：网上的任何用户很容易通过 Web 浏览世界各地的信息，因而比较容易得到一些企业、单位，以及个人的敏感性信息。受害用户甚至自己的敏感性信息已被人盗用却全然不知。 　　4、通信线路和网络本身固有的弱点：线路可能被人搭线窃听；通过未受保护的线路，可以从外界访问系统内部的数据。 　　5、保守秘密的困难性：互联网是个全球网，任何人都可以在上面游戏、浏览，给敏感信息保密造成了很大困难。 　　互联网本身这许多脆弱性（还有很多，不再一一列举），给网络安全、信息保密构成了潜在的危险。 　　网络安全保密的基本业务 　　网络安全有如下五种通用的安全业务，也叫安全服务。 　　1、 鉴别认证业务 　　鉴别认证业务又叫实体鉴别服务。认证业务提供了关于某人或某事（称为实体）的身份保证，即当某个实体声称具有某个特定的身份时，该业务将会证实这一声称的正确性。口令就是一种熟知的认证方法。 　　认证又可分为对等实体鉴别认证和数据源点鉴别认证两种。 　　对等实体鉴别认证是指对参与某次通信连接或会话远端一方提交的身份给予鉴别认证。 　　数据源点鉴别认证是指对某个数据项的发送者所提交的身份给予鉴别认证。 　　鉴别认证是一种最重要的安全业务。因为以下的所有安全业务几乎都依赖于它。它是对付假冒攻击的一种有效方法。 　　2、访问控制业务 　　访问控制业务的目标是防止对任何资源的非法访问。所谓非法访问是指未经授权的使用、泄露、销毁以及发布等。访问控制是系统保密性、完整性、可用性和合法使用性的基础。 　　3、保密业务 　　保密业务就是保护信息不被泄露或暴露给那些未经授权的实体。保密业务主要是针对信息，所以叫信息保密。信息保密在网络中又可分为信息存储保密和信息传输保密两类保密业务。 　　4．数据完整性业务 　　数据完整性业务前面已经给予简述，该业务主要是防止数据被非法增删、修改或替代，从而改变数据的价值或存在。 　　5．禁止否认业务 　　禁止否认业务主要用于防否认防抵赖，即防止参与某次通信交换的一方事后又否认曾经发生过本次交换，或修改这次交换的内容。 　　网络安全的一般技术 　　首先应当说明的是，企业和机关采用内联网（Intranet）结构本身就很有利于安全。联入因特网的Intranet虽然是Internet的一部分、和因特网构成一个统一的开放整体，然而Intranet却是每个企业、每个机关、院校可独立拥有的，可以不对外或有条件对外开放，是一个半封闭或全封闭的、管理集中的可控网络。它和因特网不一样，它可以存放大量敏感的、秘密的、甚至具有极高的军事、政治、商业价值的信息。对于内联网来说，应当采用如下安全保密技术。 　　1．可以在企业内联网和因特网之间设立防火墙，使内联网和因特网相互隔离。防火墙是一道控制进出企业内联网的双方向通信门槛，它可以阻止因特网中的黑客访问或攻击某机构的内联网。 　　防火墙有包过滤防火墙，应用层网关（代理）防火墙等不同种类。 　　2．为了防止非法用户的侵入，可在Intranet内部采用识别认证和访问控制技术（防火墙就是内网和外网之间的访问控制技术），内网的访问控制经常采用入网控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器的安全控制、网络检测和锁定控制、网络端口及节点的安全控制等技术。 　　3．为了防止网络中进行数据交换时出现否认、抵赖事件，则需采用数字签名技术和公正仲裁机构。 　　4．为了保证系统存储数据不被非法窃取和泄露，可采用存储加密技术。 　　5．为了防止信息在信道上被截获或泄露，可采用传输加密技术。 　　6．为了防止敌手在信道对数据流量进行分析，可以采取业务流量填充技术。 　　7．为了便于事故发生后追查责任和查找网络安全漏洞，还应当采用严格审计制度和技术。 　　此外，为了防止病毒对系统的侵蚀破坏，一方面要严格管理入网软件，另一方面网上要具有病毒测试和清除的软件技术。 　　摘自《赛迪网》　潘正运、荆涛/文