网络信息安全的风险与防范
2013-08-15刘甜甜
常 波 刘甜甜
(1.新疆维吾尔自治区公路监控信息中心,新疆 乌鲁木齐 830000;2.新疆农业银行分行营业部营业室,新疆 乌鲁木齐 830000)
1 网络信息安全含义及现状
1.1 网络信息安全的含义
网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因遭到破坏、更改、泄露,数据能够连续、可靠、正常地运行,网络服务不中断。
1.2 网络信息安全的现状
据统计,截至2012年6月底,我国网民数量已达到5.38亿,互联网普及率已经达到39.9%,其中手机网民规模达到3.88亿人,超过电脑上网用户的3.86亿人,CN域名注册量达到398万个,四项指标继续稳居世界排名第一,显示出中国互联网的规模价值正在日益放大。如此高的网民数量增长势必带来更加迅猛的互联网安全问题,根据金山网络发布的《2011-2012中国互联网安全研究报告》公布了2011年度影响最大的十大病毒,如qq群蠕虫病毒、输入法盗号木马、淘宝客劫持木马等。据统计显示,金山毒霸累计捕获新增病毒1230万个,每天保护用户免于病毒攻击的次数约为500万次,每天有4%-8%的电脑上会发现病毒。
2 网络信息安全面临的主要风险
2.1 黑客的恶意攻击
“黑客”(Hack)利用自己的技术专长专门攻击网站和计算机[1],就目前网络技术的发展趋势来看,攻击的方式主要采用病毒进行破坏,对没有防火墙的网站和系统进行攻击和破坏,这给网络的安全防护带来了严峻的挑战。
2.2 网络自身和管理存在欠缺
因特网赖以生存的TCP/IP协议缺乏相应的安全机制,在安全防范、服务质量、带宽和方便性等方面存在滞后和不适应性[2]。
2.3 软件设计的漏洞或“后门”而产生的问题
我们常用的无论是Windows还是UNIX几乎都存在或多或少的安全漏洞[2]。如大名鼎鼎的“熊猫烧香”病毒,就是黑客针对微软Windows操作系统安全漏洞设计的病毒,它对社会造成的各种损失更是难以估计。
2.4 恶意网站设置的陷阱
网站恶意编制一些盗取他人信息的软件,如现在非常流行的“木马”病毒。
2.5 用户网络内部工作人员的不良行为引起的安全问题
网络内部用户的误操作,资源滥用也有可能对网络的安全造成巨大的威胁。各单位管理制度不严都容易引起一系列安全问题。
3 保证网络信息应采取的主要安全防范
3.1 采取技术防护手段
(1)信息加密技术
网络信息发展的关键问题安全性,必须建立一套有效的信息加密技术、安全认证技术等内容的安全机制作为保证,来实现电子信息数据的机密性、完整性,防止信息被不良用心的人窃取,甚至出现虚假信息[3]。
(2)安装防病毒软件和防火墙
在主机上安装防病毒软件,能对病毒进行定时或实时的病毒扫描及漏洞检测,变被动清毒为主动截杀,发现异常情况及时处理。
(3)使用路由器和虚拟专用网技术
路由器采用了密码算法和解密专用芯片,通过在主板上增加加密模件来实现路由信息和IP包的加密、数据完整性验证等功能[4]。
3.2 构建信息安全保密体系
(1)信息安全保密的体系框架
以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密的能力[5]。
(2)信息安全保密的服务支持体系
主要由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成。
(3)信息安全保密的标准规范体系
主要由国家和军队相关安全技术标准构成。
(4)信息安全保密的技术防范体系
主要由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成。目的是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性等性能,进而保障信息及系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性[6]。
(5)信息安全保密的管理保障体系
主要从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。
(6)信息安全保密的工作能力体系
主要将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,合力形成信息安全保密工作的能力体系。既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位[7]。
4 结语
当前网络信息安全技术发展迅速,但没有任一种解决方案可以防御所有危及网络信息安全的攻击,这是“矛”与“盾”的问题,需要不断跟踪新技术,对所采用的网络信息安全防范技术进行升级完善,以确保相关利益不受侵犯。
[1]StuartMcClure等.黑客大曝光——网络安全机密与解决方案[M].北京:清华大学出版社,2006:140.
[2]魏仕民等.信息安全概论[M].北京:高等教育出版社,2005:40-41
[3]吴汉平.信息战与信息安全[M].北京:电子工业出版社,2003:120.
[4]戴红等.算机网络安全[M].北京:电子工业出版社,2004:158-159.
[5]孙锐等.信息安全原理及应用[M].北京:清华大学出版社,2003:45-46.
[6]秦立军.信息安全保密列谈[M].北京:金城出版社,2002:125.
[7]丛友贵.信息安全保密概论[M].北京:金城出版社,2001:199-200.
