⑴ 信息安全隱患有哪些
從大的方面講,信息安全主要包括:運行安全(主要是由網路和計算機構成的平台)、交易安全(傳輸過程中的數據安全)、內容安全、個人或單位隱私保護。幾年前,談論信息安全還僅限於政府部門內部,而且所涉及的也大多是內容安全、防止泄密等。但近幾年,在新經濟的環境下,所有人的生活已與網路形成了非常緊密的聯系,隨著安全問題越來越引起政府和企業的關注,各種安全技術和產品也不斷涌現出來。但值得思考的是,為什麼在強大的防禦技術的保護下,信息的安全問題反而越來越多,入侵與反入侵技術總是在上演「道高一尺,魔高一丈」的活劇?在中國,信息安全應用的最大隱患到底在哪裡?其症結究竟是什麼?
管理:信息安全應用的最大漏洞
據統計,在美國被中國黑客攻擊的網站中,政府網站佔3%,而在中國遭到美國黑客攻擊的網站中,政府網站竟佔37%還多。這個數字充分說明,中國的政府網站應該進行的管理沒有到位。其實,美國人所採用的攻擊手段並不高明,其中許多技術漏洞都是被中國人最早發現並公布的,但正是由於在管理上沒有得到足夠的重視,才讓別人利用簡單的技術鑽了空子。
提高安全管理意識已刻不容緩。中國國家計算機網路與信息安全實驗室主任白碩先生在接受記者采訪時說:「目前,中國的信息安全在技術上的最大隱患是,操作系統、微電子晶元、路由器等核心技術都掌握在別人手裡,這是一個極為嚴重的問題。像中國這樣一個大國,沒有自己的核心技術,就好像所有的信息系統都建築在沙灘上一樣,稍有風吹草動,我們就會失去平衡。盡管不久前中國國防科技大學推出了自主研製的核心路由器,中科院軟體所也有了相應的安全操作系統軟體推出,但這些剛剛起步的技術離可用還有一段距離,況且面對著如此具大的應用市場,這一點突破仍然是杯水車薪。」
那麼,如何解決當前的問題?在只能採用國外產品的情況下如何保證信息的安全?怎樣在現有條件下,對一些疑點進行修補呢?白碩先生認為,一個最直接、最有效的方法就是拉緊管理這根線,用嚴密的制度彌補技術上的不足。近幾年,我國的政府機構為了加強對信息安全的保障,實行了內網與外網分離的策略,但這種隔離從嚴格意義上講只能防外而不能防內。事實上,不管多麼先進的安全技術,都抵擋不住從內部攻破,先進技術解決不了人的問題,「家賊難防」是盡人皆懂的道理。北京郵電大學信息安全中心楊義先生曾說過,信息安全在管理方面還存在幾個問題:一是CA(數字證書認證中心)的建設,目前全國共建立了不下20個CA認證機構,其實有一個就足夠了;二是目前的安全問題,包括病毒、網路安全、加密等,也分屬很多部門管理,各有各的標准。建議設立一個統一的部門,把認證及所有安全問題統一管起來,以保證擁有一個標準的控制手段。
投資失衡:信息安全應用的隱患之一
信息安全在技術與管理上的比重失調還明顯地體現在投入上。目前在中國,大多數企、事業單位在建立信息系統時,安全建設方面的投入均不足整個系統的5%,而國外在這方面的投入一般都在10%~15%。如果對這5%的投入進行具體分析,其中用於購買硬體設備的投資已基本接近發達國家的水平,而購買服務和管理的投資幾乎為零,因而從信息系統建設一開始就已經給安全帶來了極大的隱患。
那麼,企、事業單位在IT投資時,安全管理方面的資金應該投到哪些方面呢?在一個信息化系統中,屬於管理的問題有很多,在某些情況下,與信息化配套的管理機制不可能自發地產生,這時安全管理就必須進行購買,也就是花錢買管理。企業或事業單位應該與一些專業從事安全管理的公司進行合作,共同建立起一套管理體系,包括質量管理體系、文檔管理體系、組織體系、監督檢查機制等,要根據各單位具體的安全需求配置安全級別。單位中需要管理的事務很多,如果管理機製得不到很好的慣徹,安全是無從談起的。
另一個資金投向應該是安全服務。信息技術在不斷地發展,安全問題也將隨著網路應用的不斷深化而變化出更多的新內容,安全漏洞防不勝防。然而,目前對於中國的許多企、事業單位來說,最為困難的還是缺少能夠全面承擔起各種安全系統管理重任的人才,在這種情況下,唯一的變通方法就是花錢買服務。但是,目前在中國,各單位在安全服務方面的投入也基本為零。
技術分布失衡:信息安全應用的隱患之二
白碩先生認為,目前在國內市場上,保障網路安全的產品不是太少,而是太多了。但從分布上看,少數類型的產品又過於集中。例如防火牆,現在許多廠商都在做防火牆,已經造成一種水平不高的重復,從宏觀上看這並不是一種理想的技術格局。網路安全保障具有非常多的環節,包括預防(漏洞掃描、風險評估等)、實時檢測、審計、記錄取證、災難恢復以及對於攻擊的響應手段等,但目前這些安全環節在產品開發上並沒有得到合理的分布,如安全中的必要環節審計、取證、備份和災難恢復等產品數量偏少,而且沒有過硬的技術。
作為政府的信息安全管理部門,信息產業部計算機網路與信息安全中心目前非常關注安全產品和服務的標准及立法等問題(即對於安全產品及服務的合格認證)。不久他們將召開一次關於網路安全服務試點選擇的會議,並將出台一系列具有長遠規劃的安全法規和政策,力圖讓人們看到國家信息安全發展的脈絡。而對於標准,他們希望改變現有的工作模式。過去的方法是,由國家下達一個標准化研究任務,一些專門從事標准研究的機構就開始制定工作,現在看來這種方式已經不適應時代的發展,因為專職研究機構距離研製安全產品的第一線還有相當大的距離,因此對於一些策略的理解還存在很大差距。信息產業部希望,將這種研究方式轉化成以企業為主的標准研究方式,把一些真正有實力的大型企業聯合起來,共同承擔標準的制定工作。
追求安全不應該制約發展
安全問題是現代經濟發展的最大障礙,但是不是因為安全問題得不到很好的解決,國家和企業就必須放慢發展的步伐呢?在討論安全與發展的關系之前,我們需要搞清楚的是,什麼樣的系統是安全的系統。一個商業系統,永遠也做不到政府和軍方那樣的安全程度。招商銀行總行電腦部周天虹說:「在商業系統內部,安全是一個相對的概念,因為我們無法追求絕對安全。什麼叫相對安全?首先,安全問題所帶來的損失是商業企業能夠承受的。例如信用卡業務,它的風險很大,但是銀行仍然在大規模地開展這項業務,這是由於信用卡風險大同時利潤也很大,招商銀行大約30%的利潤都來自信用卡;第二,一定要確保不給客戶造成損失,這是在任何銀行系統中都必須遵循的一個硬指標。一旦出現問題,只要有證據顯示責任不在客戶,銀行必須承擔損失。有了這兩條原則,銀行就可以求發展。」
信息安全是一個綜合性的問題,從政府部門的角度看,安全與發展也是一個辯證的關系。政府機構對於安全的需求也是分等級、分層次的,只要不突破安全底線,還是要邊發展邊完善。目前保障安全的技術已經很多了,其中用戶的身份識別就是一個極為重要的方面,此外還有伺服器端的管理,如安裝監測軟體、防火牆等等。但最關鍵的一點還是如何使用這些技術,使系統既安全又好用。總的來說,一個系統是不是安全,絕不是單純的技術問題,對於業務的管理已影響到了信息安全應用的方方面面,如事後監督、實時監控等。如果從管理和技術兩方面都能夠做到萬無一失,我們就可以得到一個相對安全的環境。
⑵ 信息安全面臨哪三大風險
信息安全面臨的威脅主要來自以下三個方面:
一、技術安全風險因素
1)基礎信息網絡和重要信息系統安全防護能力不強。
國家重要的信息系統和信息基礎網路是我們信息安全防護的重點,是社會發展的基礎。我國的基礎網路主要包括互聯網、電信網、廣播電視網,重要的信息系統包括鐵路、政府、銀行、證券、電力、民航、石油等關系國計民生的國正頃家關鍵基礎設施所依賴的信息系統。雖然我們在這些領域的信息安全防護工作取得了一定的成績,但是安全防護能力仍然不強。主要表現在:
① 重視不夠,投入不足。對信息安全基礎設施投入不夠,信息安全基礎設施缺乏有效的維護和保養制度,設計與建設不同步。
② 安全體系不完善,整體安全還十分脆弱。
③ 關鍵領域缺乏自主產品,高端產品嚴重依賴國外,無形埋下了安全隱患。 我國計算機產品大都是國外的品牌,技術上受物清裂制於人,如果被人預先植入後門,很難發現,屆時造成的損失將無法估量。
2)失泄密隱患嚴重。
隨著企業及個人數據累計量的增加,數據丟失所造成的損失已經無法計量,機密性、完整性和可用性均可能隨意受到威脅。在當今全球一體化的大背景下,竊密與反竊密的斗爭愈演愈烈,特別在信息安全領域,保密工作面臨新的問題越來越多,越來越復雜。信息時代泄密途徑日益增多,比如互聯網泄密、手機泄密、電磁波泄密、移動存儲介質泄密等新的技術發展也給信息安全帶來新的挑戰。
二、人為惡意攻擊
相對物理實體和硬體系統及自然災害而言,精心設計的人為攻擊威脅最大。人的因素最為復雜,思想最為活躍,不能用靜止的方法和法律、法規加以防護,這是信息安全所面臨的最大威脅。人為惡意攻擊可以分為主動攻擊和被動攻擊。主動攻擊的目的在於篡改系統中信息的內容,以各種方式破壞信息的有效性和完整性。被動攻擊的目的是在不影響網路正常使用的情況下,進行信息的截獲和竊取。總之不管是主動攻擊還是被動攻擊,都給信息安全帶來巨大損失。攻擊者常用的攻擊手段有木馬、黑客後門、網頁腳本、垃圾郵件等。
三、信息安全管理薄弱
面對復雜、嚴峻的信息安全管理形勢,根據信息安全風險的來源和層次,有針對性地採取技術、管理和法律等措施,謀求構建立體的、全面的信息安全管理體系,已逐漸成為共識。與反恐、環保、糧食安全等安全問題一樣,信息安全也呈現出全球性、突發性、擴散性等特點。信息及網路技術的全球性、互聯性、信息資源和數據共享性等,又使其本身極易受到攻擊,攻擊的不可預測性、危害的連鎖擴散性大大增強了信息安全問題造成的危害。信息安全管理已經被越來越多的國家所重視。與發達國家相比,我國的信息安全管理研罩閉究起步比較晚,基礎性研究較為薄弱。研究的核心僅僅停留在信息安全法規的出台,信息安全風險評估標準的制定及一些信息安全管理的實施細則,應用性研究、前沿性研究不強。這些研究沒有從根本上改變我們管理底子薄,漏洞多的現狀。
但這些威脅根據其性質,基本上可以歸結為以下幾個方面:
(1) 信息泄露:保護的信息被泄露或透露給某個非授權的實體。
(2) 破壞信息的完整性:數據被非授權地進行增刪、修改或破壞而受到損失。
(3) 拒絕服務:信息使用者對信息或其他資源的合法訪問被無條件地阻止。
(4) 非法使用(非授權訪問):某一資源被某個非授權的人,或以非授權的方式使用。
(5) 竊聽:用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。例如對通信線路中傳輸的信號搭線監聽,或者利用通信設備在工作過程中產生的電磁泄露截取有用信息等。
(6) 業務流分析:通過對系統進行長期監聽,利用統計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數進行研究,從中發現有價值的信息和規律。
(7) 假冒:通過欺騙通信系統或用戶,達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。我們平常所說的黑客大多採用的就是假冒攻擊。授權的權利或特權。例如:攻擊者通過各種攻擊手段發現原本應保密,但是卻又暴露出來的一些系統「特性」,利用這些「特性」,攻擊者可以繞過防線守衛者侵入系統的內部。
(9) 授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此許可權用於其他非授權的目的,也稱作「內部攻擊」。
(10)抵賴:這是一種來自用戶的攻擊,涵蓋范圍比較廣泛,比如,否認自己曾經發布過的某條消息、偽造一份對方來信等。
(11)計算機病毒:這是一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序,行為類似病毒,故稱作計算機病毒。
(12)信息安全法律法規不完善,由於當前約束操作信息行為的法律法規還很不完善,存在很多漏洞,很多人打法律的擦邊球,這就給信息竊取、信息破壞者以可趁之機。