魏正耀 信息化网络化时代与信息系统安全(4)
除了这方面的斗争以外,美国搞意识形态入侵,主要也是通过网络,最近美国把美国之音停掉了,但是加强了网络上的意识形态,大家知道我们新疆的七五事件,也是通过网络来挑拨引起矛盾的,那一段时间,为了安全,我们把互联网都停掉了在新疆地区,意识形态的入侵,现在还利用密码,像翻墙软件,就是法轮功等组织提供的,通过加密方式逃过我们国家计算机和信息安全中心的控制,逃过我们的网关检查,美国投资几千万美元搞电子邮递,也是免费的提供你加密的实施,宣扬他们的东西,逃过我们的网络监测控制,这方面的斗争应该说是很激烈的,总之我们必须本着对党和国家利益高度负责的态度,保障好国家的机密安全。
大家想想,如果我们的金融信息系统、电力信息系统已经被人家控制了,你的国家安全就很危险了。
第三个讲讲信息系统安全存在的主要问题。
随着计算机网络的普及和网络安全需求的与日俱增,密码技术在计算机网络中广泛应用,并成为网络安全的核心技术,常见的信息安全的问题有以下几种,在网络通信时代,网络和密码密不可分,即网密一体,密码系统通常运行在主机和服务器或者路由器上,一旦网络被突破或主机被控制,密件、密码软件和密码很容易被窃取,这是一种威胁。
第二个成熟介质是很危险的东西,将内部的信息网或办公网与因特网进行物理隔离是普遍使用的一种安全防护措施,可以有效减少黑客攻击和病毒侵袭,但物理隔离并不保证平安无事,如果涉密存储介质使用不当,物理隔离的内网主机也会遭受攻击。内网和外网的信息传输的问题,你通过成熟介质就很危险,一定要有专门的过滤设备。
第三,名密报文、用户私钥、保温密钥和数字证书等加脱密信息在计算机上存放或临时调用,如果不进行价码处理,不但主机被控制,它们将面临被窃取、被截获的危机。
第四主机系统被控制,你的应用系统或者操作系统可能被修改,访问列表可能被修改,网络一旦被突破,主机和服务器被控制,后果极其严重,修改被控制到,必然会被破译。
第五、出于对兼容性、通用性和研制成本等因素的考虑,有些密码设备可能会使用公开协议和集成通用软件,这些公开的协议和通用软件往往在设计、实现、方面存在漏洞,从而直接导致密码设备存在安全风险。
第六、密码长期不变,其反复使用,会降低密码强度,往往给攻击者造成极好的条件。
第七个口令制不保险。
第八,任何一种密码设备都一定得适应环境,任何一种密码设备对其使用环境都有一定的需求,随意改变使用环境,可能会产生严重的后果,比如某无线通信密码,每使用一次都要改一次密码,工作密钥长期不变,造成密码被破译,造成重大的泄密事件后果非常严重,使用环境的变化一定要通过密码设计部门的同意。
第四个强化信息系统安全的几点思考。
美军认为信息保障是一种关键的作战能力,为了实现有效的信息保障,美国国防部采取了名为“纵深防御”的信息保障战略。你的信息系统不可靠,就要被人家打败。纵深防御的四个关键是本地计算机环境安全,然后是飞地边界安全,网络及辅助基础设施安全。
第一个是保护系统环境,既保护局域网的客户机、服务器、数据库、应用程序和数据的安全,环境安全应该包含什么内容呢?应该包括计算终端、包括服务器,包括路由器、数据库、软硬件设施,为了计算环境的安全,这个概念我们国内没有,我特别要讲讲,美军设计了TPM平台,2007年美国国防部首席执行官提出了一个要求,国防部新计算机要包括可信平台模块,据IT行业统计,已经出了5000块可信模块,这个可信平台模块是什么概念呢?实际上把计算机技术和通信技术、和密码技术软硬件相融合的一个设施,我国院士已经研发了我国自主知识产权的可信计算平台,具有对病毒和木马的免疫能力,我们应该大力推广使用,计算安全环境,包括计算机和路由器上,都要安这个可信模块,这个推广还有一定的难度,把身份认证和加密技术都用了,从根上解决问题。(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。