主要特性有哪些
保密性
信息不泄露給非授權(quán)用戶���、實(shí)體或過程,或供其利用的特性���。
完整性
數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性��。即信息在存儲或傳輸過程中保持不被修改��、不被破壞和丟失的特性。
可用性
可被授權(quán)實(shí)體訪問并按需求使用的特性���。即當(dāng)需要時(shí)能否存取所需的信息���。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)��、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊;
可控性
對信息的傳播及內(nèi)容具有控制能力。
可審查性
出現(xiàn)安全問題時(shí)提供依據(jù)與手段
從網(wǎng)絡(luò)運(yùn)行和管理者角度說�����,希望對本地網(wǎng)絡(luò)信息的訪問���、讀寫等操作受到保護(hù)和控制��,避免出現(xiàn)“陷門”、病毒����、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅�,制止和防御網(wǎng)絡(luò)黑客的攻擊。對安全保密部門來說����,他們希望對非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵�����,避免機(jī)要信息泄露�,避免對社會產(chǎn)生危害�,對國家造成巨大損失�����。
(1)網(wǎng)絡(luò)拓?fù)洳缓侠韼淼陌踩[患
企業(yè)網(wǎng)絡(luò)中��,應(yīng)當(dāng)做到內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的安全隔離���,體現(xiàn)在企業(yè)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)上就是統(tǒng)一采用服務(wù)器經(jīng)過路由器和防火墻上網(wǎng),原則上不允許企業(yè)內(nèi)部用戶從自己的電腦上通過撥號上網(wǎng)�����。因?yàn)檫@種直接撥號上網(wǎng)在無形之中就給整個(gè)企業(yè)網(wǎng)絡(luò)開了一個(gè)后門�����。要想連接外部網(wǎng)絡(luò)必須通過企業(yè)防火墻的過濾與監(jiān)控��。如果條件許可���,可以采用盡可能安全的網(wǎng)絡(luò)體系結(jié)構(gòu)��,甚至劃分DMZ非軍事區(qū),在非軍事區(qū)的兩端分別過濾指定的數(shù)據(jù)包����。
(2)OSI/RM參考模型中各層通信的安全隱患。
OSI/RM參考模型的每層都可能成為攻擊的目標(biāo)����,因?yàn)樵诿繉又羞\(yùn)行的服務(wù)和協(xié)議都可能存一些安全漏洞。我們必須?����?肯鄳?yīng)的技術(shù)�����、產(chǎn)品和方案來加以彌補(bǔ)��。具體OSI/RM參考模型中主要安全隱患分析參見本章前面的1.2節(jié)����,具體的防護(hù)措施將在本書后面各章介紹�����。
影響網(wǎng)絡(luò)安全的主要因素
1. 漏洞
漏洞是造成安全問題的重要隱患��,絕大多數(shù)非法入侵�����、木馬����、病毒都是通過漏洞來突破網(wǎng)絡(luò)安全防線的。因此,防堵漏洞是提高系統(tǒng)及網(wǎng)絡(luò)安全的關(guān)鍵之一�����。
當(dāng)前的漏洞問題主要包括兩個(gè)方面:一是軟件系統(tǒng)的漏洞�����,如操作系統(tǒng)漏洞��、IE 漏洞�����、Office 漏洞等����,以及一些應(yīng)用軟件、數(shù)據(jù)庫系統(tǒng)(如SQL Server)漏洞;二是硬件方面的漏洞��,如防火墻�����、路由器等網(wǎng)絡(luò)產(chǎn)品的漏洞���。
2. 黑客的非法闖入
在日常故障統(tǒng)計(jì)中�����,工作人員使用不當(dāng)而造成的問題占絕大多數(shù)��,例如�,有的工作人員在多臺機(jī)器上使用U 盤����、移動硬盤拷貝文件時(shí)�,不注意殺毒;有的工作人員在計(jì)算機(jī)上隨意安裝軟件;還有人安全意識不強(qiáng),用戶口令選擇不慎����,將自己的賬號隨意轉(zhuǎn)借他人����,甚至與別人共享賬號,這些也會給網(wǎng)絡(luò)安全帶來威脅��。
完善計(jì)算機(jī)網(wǎng)絡(luò)安全問題的措施和方法
針對目前世界計(jì)算機(jī)系統(tǒng)的現(xiàn)實(shí)狀況��,完善計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患是亟待解決的重要問題�。
規(guī)范計(jì)算機(jī)信息制度
①核查身份:對所有進(jìn)行計(jì)算機(jī)信息傳輸?shù)膫€(gè)體進(jìn)行身份真實(shí)性核查,也就是我們常說的“網(wǎng)絡(luò)實(shí)名制”�����。
②保障信息的秘密機(jī)制:對公民個(gè)人的身份信息���,個(gè)人隱私等機(jī)密資料進(jìn)行加密,確保不會外泄���。
③系統(tǒng)使用的規(guī)范化管理:規(guī)范電腦信息處理和使用的方法���,把錯(cuò)誤操作和違規(guī)使用率降到最低,從而降低漏洞產(chǎn)生的機(jī)率�。
④確保服務(wù)的有效機(jī)制:保證電腦使用者對個(gè)人信息的使用���,嚴(yán)禁隨意禁止和拒絕合法用戶的正常操作。
⑤計(jì)算機(jī)網(wǎng)絡(luò)信息的完整性:保證數(shù)據(jù)的一致性����,防止非授權(quán)用戶或?qū)嶓w對數(shù)據(jù)進(jìn)行任何破壞���。
⑥可以審查信息的安全:要能夠?qū)崿F(xiàn)對出現(xiàn)問題的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段�。
一方面,企業(yè)應(yīng)該確保SSDP的安全使用��。SSDP使用應(yīng)該限于特定網(wǎng)絡(luò)以及速率限制��,以最大限度地減少在攻擊中可產(chǎn)生的流量��。企業(yè)可能還需要掃描其網(wǎng)絡(luò)(類似于Shadowserver Project掃描互聯(lián)網(wǎng))以尋找不安全配置的設(shè)備��,如果發(fā)現(xiàn)這種設(shè)備���,SSDP應(yīng)該要被禁用或者限制在受批準(zhǔn)的網(wǎng)絡(luò)。該設(shè)備可能還需要操作系統(tǒng)或軟件更新來修復(fù)任何SSDP漏洞����。
在另一方面����,企業(yè)還必須知道如何抵御基本的DDoS攻擊�����,企業(yè)需要在開發(fā)過程中或者生產(chǎn)環(huán)境中做好DDoS抵御計(jì)劃�����。
然而���,抵御網(wǎng)絡(luò)相關(guān)的DDoS攻擊還需要額外的步驟����。首先,強(qiáng)大的互聯(lián)網(wǎng)外圍保護(hù)必須只允許受批準(zhǔn)的入站網(wǎng)絡(luò)連接��。如果網(wǎng)絡(luò)設(shè)備不能直接通過互聯(lián)網(wǎng)來連接��,那么����,攻擊者更難以讓它們參與DDoS攻擊�����。如果網(wǎng)絡(luò)設(shè)備需要通過互聯(lián)網(wǎng)來直接訪問��,它應(yīng)該分隔在其自己的網(wǎng)絡(luò)��,并有網(wǎng)絡(luò)訪問限制����。這個(gè)網(wǎng)絡(luò)分段應(yīng)該受到監(jiān)控以發(fā)現(xiàn)潛在的惡意流量�����,當(dāng)出現(xiàn)問題時(shí)�����,應(yīng)立即采取行動�����。
就政府層面來說�,解決網(wǎng)絡(luò)安全問題應(yīng)當(dāng)盡快采納以下幾點(diǎn)建議:
a)在國家層面上盡快提出一個(gè)具有戰(zhàn)略眼光的“國家網(wǎng)絡(luò)安全計(jì)劃”。充分研究和分析國家在信息領(lǐng)域的利益和所面臨的內(nèi)外部威脅,結(jié)合我國國情制定的計(jì)劃能全面加強(qiáng)和指導(dǎo)國家政治�����、軍事、經(jīng)濟(jì)��、文化以及社會生活各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全防范體系�,并投入足夠的資金加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護(hù)。
b)建立有效的國家信息安全管理體系�。改變原來職能不匹配����、重疊、交叉和相互沖突等不合理狀況�����,提高政府的管理職能和效率�。
c)加快出臺相關(guān)法律法規(guī)。改變目前一些相關(guān)法律法規(guī)太籠統(tǒng)����、缺乏操作性的現(xiàn)狀,對各種信息主體的權(quán)利���、義務(wù)和法律責(zé)任����,做出明晰的法律界定���。
d)在信息技術(shù)尤其是信息安全關(guān)鍵產(chǎn)品的研發(fā)方面��,提供全局性的具有超前意識的發(fā)展目標(biāo)和相關(guān)產(chǎn)業(yè)政策�,保障信息技術(shù)產(chǎn)業(yè)和信息安全產(chǎn)品市場有序發(fā)展���。
