24周年

财税实务 高薪就业 学历教育
APP下载
APP下载新用户扫码下载
立享专属优惠

安卓版本:8.7.50 苹果版本:8.7.50

开发者:北京正保会计科技有限公司

应用涉及权限:查看权限>

APP隐私政策:查看政策>

HD版本上线:点击下载>

试论网上信息的安全性问题

来源: 山东工程学院·刘文云 李爱勤 赵立芳 编辑: 2002/01/25 00:00:00  字体:

  随着信息化进程的深入和互联网的迅速发展,信息安全显得日益重要。国家对此十分重视,1997年国务院信息办立项筹建中国互联网络安全产品测评认证中心;1998年10月成立中国国家信息安全测评认证中心;1999年2月该中心及其安全测评实验室分别通过中国产品质量认证机构国家认可委员会和中国实验室国家认可委员会的认可,正式对外开展信息安全测评认证工作。

  一、网上信息安全的法律保护

  随着互联网技术的发展,大量的信息在互联网上进行传播,不可避免地会侵犯他人的合法权益,而且这种侵犯将因为互联网比其他媒体更有广泛的影响而加重侵权的严重程度。从这个意义上来说,一个人可以不上网,但是他的合法权益被他人通过互联网侵犯却是有可能的,因此,加强与互联网相关的立法建设,对于全体国民都是非常重要的。

  此外,要加强信息系统安全研究、建设的统一管理,使之纳入有序化、规范化、法制化的轨道上。当前我国的信息与网络安全研究处在忙于封堵现有实际信息系统安全漏洞的阶段。要想从根本上解决问题,应该在国家有关主管部门组织下,从基础研究入手,为我国信息与网络安全构筑自主、创新、完整的理论体系和基础构件的支撑,推动我国信息安全产业的发展。

  互联网世界是人类现实世界的延伸,是对现实社会的虚拟,因此,现实社会中大多数的法律条款还是适用于互联网的。互联网是信息传播的一种工具,从这个意义上讲,互联网只不过是一种新兴的媒体,各种法律在互联网上同样适用,有关互联网的运行规则应和其他媒体一样都必须遵守国家法律的规定,任何违法行为都要受到法制的制裁。随着互联网技术的发展,为了规范与互联网相关的行为,有关部门已经制定了一些法律法规,互联网世界已经有了初步的“游戏规则”。

  互联网一贯以信息自由著称,据此有人认为实施有关互联网的立法会限制网络的发展,这种观点是错误的。在互联网这个虚拟的世界里,如同现实世界一样,没有绝对自由,如果网络失去规则,那么自由也就无从说起,这一点已经被无数的事实所证明。最近,针对网上日益猖撅的不法行为,许多国家都已经着手加强网上立法和打击不法行为的力度,中国也应该加强这方面的工作,只有这样,才能够给广大网民提供一个更加自由的空间。 二、网上信息安全的技术保护

  在今天的信息时代,确保防止信息的泄漏,并保证其整体完整性和真实性是人们所迫切需要的,除了制订相应的法律来保护外,还应采用技术手段加以控制。

  随着各种管理工具功能的丰富和性能的增强,在网络高手眼里,网络几乎是一个透明的世界。如微软的SMS等已经能够提供非常强的技术实现手段,能对网上用户的各种使用情况进行详细的监测和控制,从而使网络管理员拥有至高无上的权利。再如,一些网络设备提供的系统管理功能可以方便地观察远程用户系统配置和运行的情况,在网络世界里,只要向所需要监测的用户下载一个代理(Agent)程序,该用户所有的信息几乎可以天一漏网的被获取。这也就不可避免地带来了信息易于泄漏的严重问题。

  随着互联网的普及,人们对网络的安全问题越来越重视。1999年,不少新病毒直接利用网络作为自己的传播途径,例如 Happy.梅丽莎、探索者蠕虫、BuhbleBoy、MiniZip等等。还有众多病毒借助于网络传播得更快,例如让人谈毒色变的恶性病毒CIH、C盘杀手等等。

  信息泄漏是另一个重要的安全问题, 1999年初 PentiumIII处理器的序列号和微软产品中的GUID标识因为可能导致使用者的个人信息泄露,曾引起了一场不小的风波,另外,互联网存在着不少木马程序,如果不慎使用,就等于给自己的机器开了一个后门,个人信息和重要数据可能在不知不觉中就被黑客盗走。这些都说明了互联网并非是一块充满阳光的和谐乐土。

  另外,黑客入侵网站在1999年被报道的频率相当高。黑客频频得手的事件说明了互联网在安全方面存在着相当多的弱点和漏洞,国内站点和个人用户应对此有充分认识,避免出现不必要的损失。

  三、网上信息安全的管理

  长期以来,信息安全问题一直没有引起国人足够的重视,安全意识差是一种普遍的现象。而今天,当人们开始意识到信息安全的重要性时,却又对系统的安全问题产生一种本能的恐惧。

  我们对信息安全问题有个基本的观点,不能因为信息技术存在信息安全问题,就不去发展信息技术。对于国家来说,信息化是必然的。从经济角度来看。信息化为我们提供了良好的发展机遇。

  信息安全问题说到底,首先是一个管理问题。特别是在我国信息安全产业刚刚起步的今天,信息安全的管理便显得尤为重要了。

  1人员安全与日常操作管理

  常言道“三分技术,七分管理”。安全方案的实现。离不开管理,人员是管理的核心。人员管理除了技术层次的要求(比如:学历、个人技能。工作经验等),还应有安全性要 求,保证从事网络信息工作的人员都应有良好的品质和可靠的工作动机,不能有任何犯罪记录和不良嗜好。对工作人员要有一套完整的管理措施,它包括人员筛选录用政策、上网和离职控制、安全教育、安全检查等一系列制度。安全教育和培训的目的,在于使所有工作人员信息安全地位和作用及个人在其中的安全责任,熟悉工作环境的操作过程,使其有能力来正确地执行安全的策略,减少人为的因素或操作不当而给系统带来不必要的损失或风险。

  2系统连续性管理

  系统备份、恢复策略的存在,是为了满足系统业务连续不间断的要求,避免由于自然灾难、事故、设备的损坏和恶意的破坏行为带来系统不停顿服务功能的丧失。

  3.按程序操作

  内部网络的不安全主要体现在对网络的违规使用,如越权使用某些业务,查看、修改机密文件或数据库等,同时也包括一些对计算机系统或网络的恶意攻击。

  四、网上信息安全的保护措施

  为了保证计算机系统、网络系统和信息的安全,近年来针对不同的问题研发了许多技术和产品,解决了安全需求的特定方面的问题。主要包括

  1防火墙产品:防火墙产品主要提供被保护网络与外部网络之间的进出控制。它是被保护网络与外部网络之间的一道屏障,根据各种过滤原则来判断网络数据是否能够通过防火墙。

  2 VPN设备:VPN设备实现了利用公共网络建立自己的虚拟专网。VPN设备负责给发送到对方的数据包进行加密并重新打包,当到达对方VPN设备的时候再拆包、脱密,而在公共网络上看到的只是两个PVN设备。

  3系统日志审计工具:许多系统都提供了系统日志,其中包含了有关系统安全方面的有价值的信息。在系统投入使用的时候,网管员对系统日志进行配置,使其尽可能多地保留一些有用的信息。

  4信息网关:信息网关为计算机内的电子文件引入了密级、电子印章和网关证的概念。信息网关负责检查出入网络的文件是否具有网关证,是否按照所具有的密级进行了加密。在检查合格后才能传出网络。

  5.授权和身份认证系统:授权和身份认证系统加强7原有的基于账户和口令的控制,提供了授权、访问控制、用户身份识别、对等实体鉴别、抗抵赖等功能。信息加密是信息安全应用中最早开展有效手段之一。信息加密的目的是保护网上传输的数据。

  6安全路由器:安全路由器提供了某些基于地址或服务的过滤机制,可以在一定程度上限制网络访问。

  7.安全性分析工具:安全性分析工具用于自动发现网络上的安全漏洞,给出安全性分析报告。

  8安全检测预警系统:安全检测预警系统用于实时监视网络上的数据流,寻找具有网络攻击特征和违反网络安全策略的数据流。当它发现可疑数据流时按照系统安全策略规定的响应策略进行响应,包括实时报警、记录有关信息、实时阻断非法的网络连接、对事件涉及的主机实施进一步的跟踪等。

  网上信息安全的攻击与反攻击比较集中地体现在互联网上。由于互联网自身是一个开放系统,它不为任何服务提供安全保障。因此,任何单位的内部网络与互联网相连时,在检查合格后才能传出网络。同时,信息安全意识与信息保护措施常抓不懈,培养网络人员良好的工作素质。

实务学习指南

回到顶部
折叠
网站地图

Copyright © 2000 - www.chinaacc.com All Rights Reserved. 北京正保会计科技有限公司 版权所有

京B2-20200959 京ICP备20012371号-7 出版物经营许可证 京公网安备 11010802044457号