1. 谈谈你是怎样理解信息对我们学习的帮助
信息安全综论
《现代国际关系》杂志,2005年第4期
[编者按]
全球信息化方兴未艾,我国信息化进程势头良好。信息化发展迅猛的同时,信息安全问题也日益增多。信息网络覆盖面的扩大,信息安全问题所造成的影响和后果也随之增大。信息安全在维护国家安全中地位日益突出,是国家安全的重要组成部分。各国信息化发展阶段与特点不同,面临的信息安全问题也有所不同,分析研究别国信息安全保障的经验与做法,对促进我国信息化健康发展和加强信息安全保障具有有益的借鉴作用。本次对谈就信息安全概念、信息安全在国家安全中的地位、信息安全重大问题和外国及我国信息安全保障问题展开探讨,其中的观点与看法供读者参考。
主持人:俞晓秋,中国现代国际关系研究院安全与战略研究所副所长,研究员
参与者:张 力,安全与战略研究所危机管理研究中心主任,副研究员
唐 岚,安全与战略研究所信息与社会研究室副主任
张晓慧,安全与战略研究所
张 欣,安全与战略研究所
李 艳,安全与战略研究所
一、重要性凸显
俞:各位好!今天我们一起来探讨有关国家信息安全研究中的一些基本问题,譬如为什么要高度重视国家信息安全保障;如何理解信息安全概念及其演变;信息化发达国家是怎样认识和保障其国家信息安全的;当前信息安全最突出的问题以及信息安全领域国际合作的难点主要有哪些;我国应如何加强信息安全保障等等。
张:我先说几句。大家都看到,近年来我国信息化进程不断加快,基础网络与重要信息系统等基础设施基本建成;信息产业成为国民经济第一大支柱产业,对经济增长的贡献率位居其他行业首位;固定与移动通信用户达到5亿多,互联网用户攀升至1亿多;电子商务和电子政务建设正在扎实推进;下一代互联网Ipv6试验网已开通,通讯网、有线电视网和互联网走向“三网融合”乃大势所趋。这些表明,我国信息化进程已从全面推进基础设施建设阶段,开始转向大力加强信息资源开发利用的发展新阶段。一方面信息化发展势头迅猛,另一方面信息安全问题也在逐年增多。
俞:究其根源,可以这样说,没有信息化,就没有信息安全问题,两者相随相伴。另一方面,信息安全的特点、问题和造成的影响也会随着信息化发展的不同阶段而有所不同。总的趋势是:信息化发展进程加快,信息化覆盖面扩大,信息安全问题也就会随之日益增多复杂,其造成的影响和后果也会不断扩大和更加严重。信息化发达国家对此已有深刻的认识和经验教训。因此,在信息化加快发展的进程中,我们应高度重视、深入研究并切实解决国家信息安全面临的一些重大问题,这对于保障我国国民经济与社会信息化健康、稳步发展,促进社会主义政治文明与精神文明建设,逐步实现小康社会发展目标,十分重要。
张欣:与我国信息化发展进程加快相应的是,当今全球信息化进程方兴未艾。1993年9月,美国副总统戈尔正式提出建设“国家信息基础设施”计划(NII)。翌年9月,他又提出将各国NII联结起来、实现全球信息共享的“全球信息基础设施”建设的倡议(GII)。1995年2月,欧盟在布鲁塞尔主持召开主持西方“七国集团信息社会部长级会议”,支持GII倡议,共同讨论“全球信息社会”(GIS)议题,并成立“全球信息基础设施委员会”。1996年5月,又在南非召开了后续会议,即“信息社会与发展大会”部长级会议,不少发展中国家与会。2000年7月,“八国集团”首脑冲绳会议发表《全球信息社会冲绳宪章》,主张促进全球信息通讯技术发展,缩小国家间、地区间信息技术发展差距。2003年12月,在联合国支持下,经过事先在全球举行了3次预备会议和6次区域会议基础上,国际电信联盟在日内瓦主办了全球“信息社会世界峰会”(WSIS)第一阶段会议,就如何推进全球信息化发展及活动规则通过了《原则宣言》和“行动计划”,今年11月还将在突尼斯召开第二阶段会议,审议《原则宣言》和“行动计划”的落实情况。在第一阶段会议通过的文件中,已经明确提出加强信息安全与信息安全文化的重要性。唐:是的。从经历过去10多年全球信息基础设施建设之后,国际社会已将关注的重点开始转向“全球信息社会”建设的原则、标准、规则及治理上来。其中,全球信息化进程中的安全问题倍受重视。如第55届联大第三委员会第81次全体会议以“打击非法滥用信息技术”为题通过了第63号决议,第56届联大第一委员会第68次全体会议上又以“从国际安全角度来看信息与电信领域的发展”为题通过了533号决议,呼吁会员国在多边各级层次上审议信息安全面临的现存威胁与潜在威胁,并采取行动遏制和消除威胁,加强全球信息与电信系统安全,防止为犯罪与恐怖主义目的利用信息资源或技术。2003年12月召开的“信息社会世界峰会”《原则宣言》中也明确提出,加强包括信息安全和网络安全及保护隐私和消费者信任框架,是发展信息社会和增强用户信心的先决条件,要促进、发展和落实一种全球性的网络安全文化。至于信息化发达国家如美国和日本等对其国家信息安全的重视程度,大家都很清楚,这里就不多说了。
张力:信息安全问题发展到今天,已直接涉及和影响到政治、经济、军事、文化等各个方面。由于信息技术发展的不平衡,信息强国与信息弱国之间的“数字鸿沟”正在不断扩大。处于弱势的国家在政治、经济、军事乃至文化等方面都面临着前所未有的冲击、挑战和威胁,信息技术已经成为信息强权在新世纪谋求霸权的利器。信息时代,一国的信息获取能力以及在社会生产生活领域中的“信息制控权”(或者说是“制信息权”),成为这个国家在生存与发展竞争中能否占据主动的关键。信息安全问题也逐渐受到世界许多国家政府和企业等的高度关注。俞:转过来看看我国的情况。近年来,针对我国信息化进程加快、信息化发展进入新阶段,党和政府也开始日益重视信息安全问题。十六届四中全会《决定》报告中明确指出,坚决维护国家安全,确保国家的政治安全、经济安全、文化安全、信息安全和国防安全。在改革开放以来历届党代会的重要文件中,这样的表述乃属首次。我理解,这一表述有两层含义:一个是它第一次把国家安全内容划分为相互并列的“五大安全”,即政治安全、经济安全、文化安全、信息安全和国防安全,“信息安全”是国家安全的重要组成部分。另一个是它从国家发展与安全的战略高度强调认识和重视维护国家信息安全的重要性。可见,党和政府十分重视我国的信息安全问题。
张欣:我认为,从我国信息化发展和全球信息化趋势看,信息安全将成为国家安全的重要“基石”和“命脉”。信息资源是重要的战略资源,信息网络和系统正在成为一切经济与社会活动的“基础平台”、“联系中介”。信息网络技术应用从工商业领域已逐渐扩展到国家政治与社会生活的各个领域,信息网络安全也从技术和产业的问题上升为事关国家政治、经济、社会、科技、文化等各领域安全的重大战略性问题。以信息技术为核心的新军事革命已在改变现代与未来战争的形态,信息网络及信息系统成为一种新攻击武器、作战平台和打击目标,网络空间正在成为攸关国家安全的重要战场。“信息战威慑”成为与“核威慑”、“导弹防御威慑”、“太空战威慑”并列的第四种“战略威慑”。此外,信息流动与传播的高速性、广泛性和人们对它的严重依赖性,以及信息武器攻击手段、目标和过程的多样化、远程化、自动化,使国家安全面临着“瞬间的”现实与潜在威胁。因而,展开对信息安全的广泛深入研究是非常必要的,具有非常重要的现实意义。
二、如何理解信息安全
俞:人们对“信息安全”概念含义的理解,从不同的认识角度和信息化发展的不同阶段出发,是有所不同的,有好多种说法。大家能不能就这个问题谈谈自己的看法。
张力: “信息安全”这一名词,是近20多年来才被人们使用的。有关“信息安全”(Information security)的定义,一直存在争议。这里有一个佐证:2001年11月,第56届联大会议在通过的决议中,呼吁所有会员国就“有关信息安全的各种基本概念的定义”等向秘书长及时通报,其目的就在于要消除概念上的混乱,更好地促进信息安全国际合作。然而时至今日,国际上仍没有一个权威、公认的有关“信息安全”的标准定义,国内也如此。
俞:说到“信息安全”这个词,英文是Information Security 和Cyber Security。这两个英文词有无区别,曾请教过美国战略与国际研究中心的信息安全专家,他们的解释是:前者是一个含义较广的词,它包括网络和知识产权与数据两个内容的安全,后者是用于网络安全的一个更恰当的词,它的含义比较狭窄。在美国,多数人把二者视为是同义词。布什政府公布的《保护网络空间国家安全战略》报告中使用“网络安全”(Cyber security)而没有使用“信息安全”(Information Security)一词,是认为用“网络安全”一词更恰当一些,它也反映了一种认识,即政府的作用在于保护信息网络基础设施,而不是在于人们或企业如何处理他们个人的信息中发挥作用。这一解释对我们理解信息安全概念是有帮助的。翻阅20世纪60、70年代有关美军通信保密与作战的文献,当时使用的就是Information Security这个词,后来随着互联网的普及,Cyber security一词应运而生。美国现已是一个网络化的国家,近年来美国许多的新闻报道、学者文章和研究专着中大多使用了Cyber security一词。中国学者谈论的“信息安全”一词,对应的英文词显然是Information Security。这也体现出中美信息化发展阶段不同,学者对信息安全关注的侧重点也不同。中国还不是一个网络化国家,我们目前更多关注的是信息内容、信息系统运行和数据库的安全。就信息安全概念的含义,大家接着发表看法。
李:我们简单回顾一下,二战前,一般常见的称谓是,通信保密和通信安全。围绕着纳粹德国制造的着名的密码机“Enigma”展开的那场较量令人印象深刻。后来增加了电子安全的含义。50年代,欧美国家将上述两者合称为信号安全。60年代末,美国率先提出了计算机安全。20世纪80年代中期,美国和欧洲先后开始使用信息安全和信息系统安全的概念,主要包括通信安全、计算机安全、发射安全、传输安全、物理安全和相关人员安全等。在世界范围,直到1988年才开始对信息安全问题引起重视,起因是美国康乃尔大学研究生莫里斯利用计算机病毒,使美国国防部等联接互联网的6000台计算机瘫痪数日,这个数字已占当时上网总数的十分之一,造成上亿元损失。接着是1989年,美国和当时的西德联手破获了前苏联收买的西德大学生计算机间谍案。这两件事的出现,才使西方乃至全球开始高度重视信息安全问题。这也证明了一点,就是信息安全的概念是不断演进而来的。从单纯的通信保密、信号安全,到后来的计算机安全,信息安全。一般意义上而言,信息安全主要是指信息从产生、制作、传播、收集、处理直到选取等一系列信息传播与使用过程中信息资源的安全,其中目前对信息安全的最主要的关注点集中在信息传输的安全、信息存储的安全以及对网络传输信息内容安全等三方面。需要进一步深化理解的是,信息安全问题更重要的是要关注信息在使用过程中,由于一系列安全疏漏给小到个人隐私、企业利益,大到社会安定、国家安全等重大问题带来的安全隐患,所以,正是从这个角度说,我们认为信息安全包括两层含义。另外,在对信息安全的理解中,还需要特别指出的一点是,随着信息技术的日新月异,信息安全所涉及的领域与问题或者说重点内容也并不是一成不变的。因此,信息安全本身是一个动态的而非静态的概念。
俞:信息安全概念的含义是一个演进的过程,有关信息安全定义一直存有争议,众说纷纭。除李艳谈到的一种定义外,还有哪些呢?
张力:信息安全的定义多种多样。例如,一种定义认为,信息安全就是计算机安全的延伸。另一种定义是从国家安全角度出发,认为信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害和一个国家的信息技术体系不受外来的威胁与侵害。强调的是社会信息化带来的信息安全问题一方面是指具体的信息技术系统的安全;另一方面则是指某一特定信息体系(如国家的金融信息系统、作战指挥系统等)的安全。还有一种定义是重在强调手段,不仅包括技术手段,还包括管理等方面。如美国国家安全电信和信息系统安全委员会(NSTISSC)定义信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护,是所采取的相关政策、认识、培训和教育以及技术等必要的手段。
唐:第四种说法是将“信息安全”所涉及的内容具体化,认为信息安全是确保储存或传送中的数据,不被他人有意或无意的窃取及破坏。它把信息安全分解为:(1)信息设施及环境安全:包括建筑物与周遭环境的安全,如门禁管制、信息线路管制、消防设备及灾害应变计划、定期维护硬件降故障机率等安全保护措施。(2)数据安全:确保数据不会被非法入侵者读取或破坏,如设定及不定期更新密码、数据备份、档案区分机密等级、制定使用权限、加装加密及解密装置、记录上线使用者的使用情形。(3)程序安全:重视软件开发过程的品质及维护,如确保程序执行无误、使用手册及文件说明、加强程序存取数据的安全管理、定期评估程序执行效能、严格限制非法软件的使用、重要或机密之程序应有特殊得的保护措施。(4)系统安全:维护计算机系统正常运作,如操作人员或使用者的训练、明确划分操作人员的工作职责、各种定期作业之执行与管理、制定系统各种作业程序之操作流程及手册说明。也有观点认为信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。
张欣:第五种定义的着眼点是强调信息安全与计算机安全密不可分。如美国学者就指出,信息安全的历史起源于计算机安全的历史。再如我国1994年颁布的“中华人民共和国计算机信息系统安全保护条例”中指出,计算机信息系统安全保护是指:保障计算机及相关配套设施(含网络)安全,运行环境安全,信息安全,计算机功能正常发挥,以维护计算机信息系统的安全运行。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。这个定义与第一个定义相似,但略有区别。
张力:从以上大家谈到的六种不同定义可以看出,它们各有侧重和特点,也有相互涵盖的内容。另外,在研究信息安全的同时,我们还会遇到了“网络安全”的概念。在20世纪80年代后期,尤其是90年代互联网的发展,网络成了计算机应用的重要形式。网络安全强调在整个网络环境中,尤其在互联网环境中的安全。通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。我们无需去判定上述定义谁是谁非,但值得指出的是,如今国内许多媒体和网民眼中的信息安全实际上多指网络安全,这有点片面。其实,信息安全的概念比网络安全要大得多。仅以内容安全为例,报纸、杂志、广播、电视、教科书等都会涉及到内容安全,这难道不是信息安全的范畴?再回到“什么是安全”这个问题上,国外学者认为,安全是免于危险的一种状态。国内学者进一步将其释为“客观上不存在威胁,主观上不存在恐惧”。那么“客观上存在威胁,主观上存在恐惧”就是信息安全面临的形势。
李:信息安全的概念和内涵是在不断变化、完善、发展的。从起初的军事领域和军队等特定群体迅速地扩展到了信息化时代社会生活的方方面面,涉及到了每一个人。信息安全的目标从最初的作战信息保密发展到了信息在各环节的完整性、可用性、可控性和不可否认性;由最初的“防止泄密”转而发展为防范、监测、管理、评估、控制、攻击等多方面的基础理论和实施技术。目前正在向鉴别、授权、访问控制、抗否认性以及个人隐私、知识产权等的保护等方向不断扩展。信息安全的研究也由原来的密码学扩展到了包含计算机科学、管理信息系统、法学、心理学、社会学等诸多学科领域。
唐:国内有专家对信息安全的发展阶段作了这样的概括:第一个发展阶段是数据安全,这是计算机的基本安全要求,依赖的基本技术是密码;第二个发展阶段是网络安全,这是网络时代最基本安全要求,依赖的基本技术是防护技术;第三个发展阶段是交易安全;这是网络电子交易时代最基本的安全要求。以可信性为主,实施的是自愿型保障策略。美国学者把信息安全通常划分为几个不同的发展阶段:即通信保密、信息安全和信息保障(即Information Assurance)。所谓的信息保障,其内涵是在原来信息安全的基础上,加入了保护、监控、反应、恢复这几个环节。也就是说,除了保护以外,还需要有对攻击进行检测和评估的理论、技术和工具,实施信息系统静态和动态的检测报警,并做出迅速的反应,以减少损失,一旦有损失也可以尽快恢复正常的服务。
三、他山之石
俞:我们知道,像美国等信息化发达国家政府高度重视本国的信息安全,并采取了一系列的保障措施。它们采取了哪些主要的措施,做法上各自有什么样的特点,近来又有什么新的动向,大家可否谈谈?
张力:一个国家抓好信息安全主要是三方面:其一是在信息安全方面采取的战略措施及有关政策、法规;其二是强有力的技术手段及有关技术装备;其三是要有一支人才队伍。前者反映了一个国家在信息安全方面的重视程度、决心和意志;后两者则反映了一个国家在信息安全方面的实力,而保障信息安全的前提和基础则是一国的信息化发展程度。信息安全在不同的时期要有不同的侧重点。从实践来看,各国信息安全重点抓了这几个方面:个人隐私、密码技术、互联网管理、相关执法、网络恐怖和信息战,还有一些其它相关的社会经济问题。而信息安全的保障层面是放在了在家庭与个人、企业、政府各部门、国家乃至全球这五个层面上的,换言之,国家的信息安全战略也应该涵盖这些不同层面。“9.11”之后,反恐成为美国国家安全战略的重心。在这一背景下,美国明确了信息技术领域的三个反恐议题:确保信息和网络安全、满足紧急反应人员对信息技术的需要、信息整合。从此,反恐成为美国当前维护信息安全的重要内容。
唐:美国早在1996年就提出"保护关键基础设施"的重大计划,2000年1月又提出了一项"保护信息国家计划"。美国信息安全战略的重点是保护国家关键信息基础设施的安全,政府在信息安全管理方面的定位主要是两个方面:一是要保护公民在信息网络中的合法权益;二是要为社会发展提供一个健康、有序的信息化网络环境,包括个人隐私、密码政策、执法、网络恐怖、信息战、国际经济等问题。"911"后,美国政府又出台了十大紧急安全举措:1、启动国家信息安全新战略的研制工作;2、大幅度增加对信息安全的投入;3、提高产业界的信息安全的意识和社会责任;4、改善互联网服务状况,加大执法力度;5、加强信息安全各部门间的协调和配合;6、推动信息安全方面的人才培养工作;7、实行信息安全情况通报和社会告警机制;8、提出政府专用网络的建议,引导信息安全产业的发展;9、提出建立信息基础设施模拟中心的设想;10、加强全社会的网络安全宣传,提高全民的信息安全意识。最近,美国政府又公布了国家网络安全计划,美将依靠各公司的志愿行动防御足以造成严重损失的潜在攻击,以确保网络安全。另外,美国和俄罗斯都设有国家信息安全委员会,由总统亲自挂帅。"911"后,美国政府很快就成立了"总统关键基础设施保护办公室",特设"总统网络安全顾问"一职。
张欣:在维护信息安全方面,从战略认识和政策上,美国始终走在各国的前列,现已建立起一个以法律、政策、技术和管理相互配套的网络安全保护体系。从1984年至今,美先后出台了近20部维护关键基础设施保护和信息安全的国家政策、通告、总统行政命令和国家计划及战略,它们均对如何保护关键基础设施和信息系统安全提出了具体的要求。其中有:1995年颁布的第63号总统令(PDD-63)、2000年1月的《信息系统保护国家计划》、2003年2月的《网络空间国家安全战略》等。PDD-63和《信息系统保护国家计划》侧重保护美通讯、能源、交通、电力、供水、银行和金融机构等关键基础设施及政府设施信息网络的安全,而后者更是成为美21世纪信息安全保障的行动指南。《网络空间国家安全战略》则将信息安全看作为一个所有公民都有责任和义务参与的“整体安全”工程,它推动实现国家信息安全的“社会化”,并强调信息安全战略应根据网络威胁新变化随时进行调整。
李:的确,美国的这种忧虑在发达国家中极具代表性。美国是世界上对信息技术运用最充分和广泛的国家,换句话说,美国对信息技术的依赖性更强。特别是在国际政治斗争和经济竞争日趋复杂化、多样化的大背景下,未来网络恐怖主义攻击的可能性大大增加。一旦国家重要基础设施受到攻击,可以导致社会动荡甚至瘫痪。例如2003年,美国东部、英国伦敦、意大利和美国加州等地就先后因基础设施出现故障,导致多起重大的电网大面积瘫痪事故,使公众对这类事故的危害性和基础设施自动化、网络化后所带来的脆弱性和安全风险有了切身的体会。“9·11”以来,非传统威胁日益进入网络世界。这对于信息化程度较高的西方国家来说,防止恐怖分子发动网络攻击将成为重点防范的对象。
唐:自1999年以来,欧盟委员会每年都推出《通过打击全球网上非法及有害信息以推动更安全地使用互联网多国行动计划》,最新一个版本是2003年的《2005—2008年网络安全补充计划》。该计划面向信息网络的所有开发商和使用者,动员全社会“参与抵制非法、有害内容和垃圾邮件的斗争”。2001年还通过了《互联网安全综合计划》,其首要目的是教育民众正确认识互联网的潜在危险性,并计划建立欧洲预警信息系统,把各成员国的计算机突发事件处理小组(CERTS)联合起来,统一行动。俄、日等国也不甘落后。日本在2001年公布“电子日本2002”(e-Japan2002计划)中,将“确保信息安全”作为五大主要方针之一,主张建立“对付网络恐怖数据库”,收集网络恐怖活动信息,着手开发信息安全评估等基础技术。欧、俄、日等其他信息发达国家在参考和借鉴美国的基础上,其做法各有侧重,也取得了较好的效果。总体说来,这些国家的信息安全措施有一些共同之处,值得借鉴。
俞:信息化发达国家维护信息安全的一个通行做法,就是制订和完善相关的法律、法规。美国信息安全法律的细化、专门化在全球独领风骚,迄今为止,它是世界上唯一一个信息安全相关法律最全面、最完善的国家。其法律涉及计算机安全、个人隐私保护、电子签名、反黑客等信息领域的各个方面。另外,美还不断根据形势的发展和变化,先后修改了《伪造访问设备和计算机欺骗滥用法》、《计算机欺诈和滥用法》、《计算机安全法》、《网络安全增强法案》等。如2002年7月,美众院通过修改后的《网络安全增强法案》,将从事黑客攻击或其他网络罪犯的最高处罚从10年徒刑改为终身监禁。又如,为加大政府对信息通讯网络监管力度,2004年3月美联邦调查局与联邦通讯委员会携手修订了《通讯司法协助法》。
张欣:欧盟的法律主要侧重于个人数据保护和打击非法及有害信息。1996年的《电子通讯资料保护指令》、1998年的《数据保护指令》、1999年的《因特网上个人数据保护的一般原则》、《信息公路上个人数据收集处理过程中个人权利保护指南》等,对收集、储存、利用、传播以及对参与各种涉及个人信息的活动做出了明确规定。其中,《数据保护指令》的效力还波及澳大利亚、加拿大及东欧国家,迫使它们修改本国法律以与欧盟保持一致。1999年的《推动更安全地使用互联网多国行动计划》明确界定了非法及有害信息的打击范围。英国《通信管理条例》、《通信数据保护指导原则》、《垃圾邮件法案》,德国《公共场所青少年保护法》和针对网吧管理的《经营法》等均明令禁止在网络上制作和传播的“极端言行,纳粹主义、恐怖主义、种族歧视、儿童色情”等非法及有害信息。
唐:美国信息安全保障机构种类齐全、分工明确。如国土安全部是美信息安全的核心部门,其下属的网络安全局则负责制订和协调全国的信息安全计划,在发生攻击关键基础设施的袭击事件时实施危机管理;司法部专门负责网络欺诈等犯罪的调查;联邦调查局负责对社会互联网进行监控,掌握恐怖分子的动态,同时还以保护美免遭网络袭击和制止高科技犯罪作为其今后工作的十大重点之一;国家安全局则只对联邦政府专用信息网络的安全负责;国会总审计署检查和监督各政府部门的信息安全工作,并对其发表的敏感性报告加以标识,决定能否公开在网络上,等等。
张欣:2003年2月,欧盟成立了“欧洲网络及信息安全局”,汇集了来自各成员国的安全专家,其职责是向欧洲委员会提供信息安全政策建议,推动各成员国的协调与合作,协助欧洲委员会制定、完善和推广信息安全标准及认证体制。欧洲各国也都有在相应的主管部门和专门的管理机构,如英警察部门的“网络警察”小组,德国内政部的“信息和通信技术服务中心”和类似“网上巡警”的调
2. 奥巴马政府是怎么推动网络安全的
当地时间2月9日,美国总统奥巴马向国会提交2017年政府财务预算,其中190亿美元的网络安全预算以及新推出的《网络空间安全国家行动计划》得到了安全行业乃至整个社会的瞩目。
“我确信我们能够释放美国全部的创新潜力,确保我们下一代的繁荣和在线安全。”——奥巴马
由于共和党主权参众两院,实际上奥巴马的预算提议被通过的可能性很小。不过,我们可以借此了解奥巴马政府长期以来对美国网络安全的重要想法和关键部署,以作为参考和借鉴。
美国当前的网络安全威胁状况
从奥巴马就任美国总统伊始,就明确指出网络空间安全是国家面临的最为重要的挑战之一。
犯罪分子、恐怖分子和敌对国家都越来越倾向于利用网络空间,这种实施容易、成本较低的手段来发动攻击。而且随着越来越多的敏感数据存储在网上,安全事件的影响也越来越大。如,身份信息盗窃已经成为全美增长最快的犯罪行为,重大数据泄露事件更是层出不穷。“科技进步带来的利益是否有可以能被随之带来的风险成本所盖过”的声音开始出现。
奥巴马认为这些新威胁的出现是必然的,而且是在政府的掌控之中的。但是需要对数据时代的安全防护作一个大胆的重新评估,并且投以巨大的资金来贯彻实施最佳的安全战略。说白了就是,既然互联时代不可避免,那么就必须加强安全。此次最新推出的《网络空间安全国家行动计划》(CNAP, Cybersecurity National Act Plan)也是围绕着这一主题而展开。
《网络空间安全国家行动计划》的核心要点
CNAP堪称集七年来奥巴马政府网络安全工作的顶尖成果,包括了短期的行动措施和需要实施的长期战略等方面内容,以确保美国联邦政府、私营企业和美国公民个人,能够更好的掌控各自的安全问题。下面是CNAP的四个核心内容:
一是建立“国家网络空间安全强化委员会”。从政府之外引进顶尖的战略、商业和技术专家,在如何保护个人隐私和公共安全的解决方案和最佳实践方面,作出关键性的推荐。
二是彻底改变美国政府管理网络空间安全的工作模式。提议成立一个31亿美元的“信息技术现代化基金”和任用一名“联邦首席信息安全官”,以帮助淘汰、替换所有政府中使用的陈旧IT系统和软硬件设备。
三是赋予美国人民保护个人在线账户安全的权力。包括使用多因子验证和其他身份保护措施等安全工具和手段,以及与谷歌、脸谱、DropBox、微软、Visa、贝宝和Venmo等企业合作,以保护在线账户和金融交易的安全。
四是将超过190亿美元的网络安全投资做为奥巴马政府预算的一部分。该笔预算与去年相比增长了35%,主要用于三个方面:保护美国公民在线身份的安全工具;保护企业的运营和数据,防范黑客攻击;保护联邦政府更好的为公民提供利益和服务。
(编者注:CNAP的详细内容见https://www.whitehouse.gov/the-press-office/2016/02/09/fact-sheet-cybersecurity-national-action-plan)
如何保护美国公民的在线个人信息
美国是一个尤其注重个人隐私的国家,奥巴马政府在此方面实施了大量的安全措施和相关工作。
2014年10月,奥巴马签署了保护消费者金融交易安全的总统行政令,推动企业使用微芯片而不是磁条、PIN码进行更安全的支付,此为奥巴马“采购安全计划”的一部分。奥巴马还呼吁美国大众改变传统的在线登录方式,转而使用多因子认证。
基于这些机制,美国至今为止已经提供了超过250万张高安全级别的芯片支付卡,并将在新的计划中为140万家小型企业提供网络安全培训服务。此外,奥巴马正在着手建立一个“联邦隐私委员会”以确保政府更好的保护在线个人隐私。
如何保护依赖于互联网的系统和设备
这个问题事关国家安全和经济安全,为此奥巴马分别在2013年和2015年签署了保护关键基础设施和信息共享方面的两项总统行政令。
此次发布的CNAP更是强调了几个关键步骤来加强这些系统的抗攻击能力。如,建立国家网络安全防御中心。使公司和各领域的机构能够在一个可控的环境中测试系统的安全性,甚至能提供一个电网的复制品来应对网络攻击。同时,CNAP还确保了美国政府和工业伙伴开发“网络安全保障计划”,以测试和认证物联网系统中的设备是否符合安全标准。
人才方面,CNAP把网络安全预算中的6200万美元用于网络安全人才建设。包括通过提供奖学金的形式建立网络部队的预备力量;开发一套网络安全核心课程,以保证希望进入政府的安全专业毕业生具备相关知识和技能;增加安全学术机构及其人员的数量,增加专业知识。
如何打击网络罪犯和破坏分子
2015年4月,奥巴马签署了一项防止全球范围的网络罪犯破坏美国网络基础设施、劫持网络,盗取美国企业和危害公民个人信息的行政令。
基于该行政令,奥巴马政府将把美国司法部与网络安全相关活动方面的资金提高23%,以改善执法机构识别、打击和逮捕网络罪犯和破坏分子。同时,建立一支6200人的网络部队(Cyber Mission Force),大力支持美国政府在各个领域内的网络行动。该网络部队将于2018年全面投入运转。
奥巴马还强调了网络犯罪的无国界特征,因此必须与美国在全球的盟友和合作伙伴联手打击网络犯罪和恶意活动。在2015年的G20峰会,美国及G20成员国确认了重要的准则,包括国际法之于网络空间的适用性,国家间不能发起窃取知识产权以获得商业利益的网络活动,推动国际合作,防范攻击,以及支持应急响应小组等。奥巴马政府将通过进一步的双边和多边对话及承诺,将这些准则制度化并实施。
通过以上的内容概括可以看出,这是奥巴马政府正在设计和实施的,一张未来几十年美国网络空间安全的蓝图。
3. 欧盟25个成员国成立迷你北约要干什么
“欧盟启动防务联盟!”奥地利12日报道称,欧盟周一批准了25个成员国签署的防务领域“永久结构性合作”。该合作框架下的多个项目明年年初将正式启动。
德国11日称,“永久结构性合作”机制的目标是让欧洲更加独立于北约,其原因是特朗普政府在防务上追求孤立主义,让欧洲不放心。据称,该机制将获得欧洲防务基金的资金支持,以用于采购防务装备和引进技术、支持研究项目。
“迷你北约”,德国11日这样称呼“永久结构性合作”机制,指其还没有成为防务联盟,因为欧盟还没有真正从美国主导的北约中脱离出来。但欧盟已经逐渐把安全政策命运掌握在自己手中。路透社则指出,英国2019年脱欧后,欧盟将失去最强大的军队之一。近期欧洲家门口的危机促成了这种更密切的防务合作。
4. 欧盟峰会三大议题进展不一还存在哪些困难
为期两天的欧盟冬季峰会15日闭幕。会议在“脱欧”谈判和欧洲防务一体化两个问题上取得一定成果,但在欧元区改革问题上未能凝聚足够共识。分析人士认为,无论此次进展如何,欧盟未来在这些问题上均面临困难或不确定性。
开启第二阶段“脱欧”谈判
除英国以外的欧盟27国领导人15日宣布,英国“脱欧”第一阶段谈判已在“分手费”、爱尔兰与英国北爱尔兰地区间的边界、公民权利等核心议题上取得“足够进展”,可以开启第二阶段谈判。这被认为是本次峰会的最大成果。
欧盟委员会本月6日发布深化欧洲经济货币联盟的行动路线图和具体措施,希望通过将金融危机期间建立的主权援助基金“欧洲稳定机制”变为拥有更广泛权力的“欧盟货币基金”来强化单一货币区域,同时向处于经济困难中的成员国提供更多支持。
这一路线图得到马克龙的支持,默克尔也表态积极。但分析人士认为,这一路线图涉及欧盟财政事务,意味着欧盟最大经济体德国要出更多资金。鉴于这一问题在德国的政治敏感性,欧盟委员会的改革方案可能受阻。
此外,德国目前仍然陷在选举后的组阁困境之中,默克尔政府难以出台任何重大决策,这也增加了欧元区改革前景的不确定性。
5. 大数据时代的德国信息化战略
大数据时代的德国信息化战略
德国是世界主要的经济强国之一,也是欧盟国家中重视信息化建设、信息化程度较高的国家之一。为迎接信息社会的新挑战,确保德国在大数据时代居欧洲领先地位,2014年8月20日,德国联邦政府内阁通过了由德国联邦经济和能源部、内政部、交通与数字基础设施建设部联合推出的《2014—2017年数字议程》,提出在变革中推动“网络普及”“网络安全”“数字经济发展”三个重要进程,希望以此打造具有国际竞争力的“数字强国”。无论是之前的信息社会发展战略,还是现在的数字议程,德国始终在互联网基础设施建设、数据安全保护、挖掘数字化价值创造潜力在公共管理和国民经济各领域的运用等方面保持了高度关注,这些措施为德国迈入大数据时代提供了有力支撑。
互联网基础设施建设为大数据发展奠定基础
要推动大数据快速发展,网络基础设施需要达到较高的水平。上世纪末,德国就开始大力进行互联网基础设施的建设,并取得了显着的成效。在1999年德国制定的《21世纪信息社会的创新与工作机遇》行动纲领中,德国提出行动纲领的三个目标,分别是发展传输速度更高的互联网基础设施、实施“全民享有互联网”项目以及帮助平时接触不到网络的弱势群体也能够上网。从这份有着统领性质的行动纲领可以看到,互联网基础设施建设被认为是德国迎接信息社会挑战的首要任务和基础性任务。2009年2月,德国公布了“宽带战略”的主要目标和举措,力图将德国宽带网扩充成高速、富有竞争力的网络。在2010年出台的《德国ict战略:数字德国2015》中,德国提出扩大数字基础设施和网络以满足未来需要的要求。为进一步满足数字化需求、建设必不可少的数字化基础设施,在近期出台的《2014—2017年数字议程》中,德国决定于2018年前在全国普及高速宽带。
在政策的不断强化下,近年来,德国的互联网基础设施一直走在时代的前列。1998年,德国互联网使用者仅为1400万人,只有15%的学校接入互联网;而到2009年,根据德国经济和技术部等机构发布的《数字德国监控报告》,德国家庭互联网接入普及率达到79.1%,家庭计算机普及率为84.1%,大众无线电话普及率为130.9%。截至2012年底,德国在100个城市建设了第四代移动通讯网络(4g),大大提高了居民上网的速度。
以数据开放促进科学决策与社会创新
对政府管理而言,大数据的价值在于提供尽可能多的详尽信息并对信息进行有效分析,促进决策科学化和管理精细化。德国凭借自身较高的信息化水平,通过大型基础数据库和地方数据库的建设,重视在政府管理中运用数据资源服务公众和服务决策。早在2000年,德国就发布了《2005年联邦政府在线计划》,要求联邦政府到2005年将所有可在网上提供的服务在线提供给公众。2003年6月,德国推出了整合电子政务的“德国在线”计划,加强基础数据库和地方数据库建设力度,整合集成大量分散的信息资源,以公众需求为导向,为公众提供更便捷的数据服务。数据库的建设和开放体现了德国一直以来所倡导的“让数据而不是让公民跑路”的导向,切实地为公众提供了便利;数据库的建设和开放也为各地政府的科学决策提供了基础。在数据库的建设中,涉及人口资源、经济社会、地理环境等基础数据库资源的开发建设,主要由联邦和州一级政府负责,州一级的统计局兼具州政府全面信息服务商的角色。例如,德国西部的北莱茵—威斯特法伦州统计局建立了该州的“中央数据库”,专门向州政府提供人口分布、地理数据、矿藏信息等信息服务,并提供相应分析软件。通过应用软件对大量数据的分析,州政府的各部门能获得很多有价值的信息,从而促进决策的科学化。类似的大型数据库的建立,将分散在各个政府部门大量数据整合起来,使德国的政府信息资源得到了很好的利用。
除了强调数据库在政府系统的运用,德国也重视各行各业之间的信息资源共享。例如,2013年1月,为了提高科研与教育中的数字信息支撑能力,德国科学组织联盟启动了第二期数字信息计划,该计划主要包括以专业的信息科学与信息技术方法实现科研数据的收集、存储和开放共享、确保用于科研目的的科研数据不受访问限制、实现数字出版物的永久保存等内容。可以看到,德国对数据资源的运用并不仅仅局限于数据本身的开放和提供,数据更是促进政府更有效运转和社会更多发挥创造能力的强有力的支撑,以数据开放来支持和促进社会创新,能够更好地发挥数据的价值。
“工业4.0”与传统制造业的数字化升级
“工业4.0”概念于2011年首次出现在德国汉诺威工业博览会上,2013年,德国联邦教研部与联邦经济和技术部正式将“工业4.0”战略纳入了《高技术战略2020》。德国认为,工业革命可以分为四个阶段,第三次工业革命引入了电子与信息技术,在此基础上,如果德国可以广泛地将物联网和服务网应用于制造领域,在智能工厂中实现数字和物质两个系统的无缝融合,德国就可以在第四次工业革命的道路上占领先机,巩固德国的竞争地位。德国“工业4.0”战略打出“确保德国制造业的未来”的口号,是德国将信息化的时代特征与工业化历史进程紧密结合的战略。
“工业4.0”的实施重点在于信息互联技术与传统工业制造的结合。通过机械和机械之间的互联和信息流转,未来的生产过程将变得更加快捷。据德国国家科学与工程院估算,“工业4.0”可以使企业的生产效率提高30%。在“工业4.0”战略下,生产企业如果能够增强对大数据的处理能力,整个行业就能更快地迈向数字化与信息化的新阶段。
做数据保护和信息安全的典范
出于严谨的民族特征,德国一方面大力推动信息化建设,另一方面格外重视数据保护和信息安全。通过立法来保障信息安全,是德国的一大特色,德国的数据保护法律比较系统和规范,被誉为“欧洲信息安全的典范”。1997年,德国颁布了全面规范互联网信息传播行为的法律——《信息和通讯服务规范法》。2002年,德国通过《联邦数据保护法》,并于2009年进行修订。《联邦数据保护法》是德国关于数据保护的专门法,其中规定,信息所有人有权获知自己哪些个人信息被记录、被谁获取、用于何种目的,私营组织在记录信息前必须将这一情况告知信息所有人,如果某人因非法或不当获取、处理、使用个人信息而对信息所有人造成伤害,此人应承担责任。《联邦数据保护法》修改生效后,更多德国企业开始对客户信息实施高水平的保护措施,提高了客户信息的保密性和安全性。在《2014至2017年数字议程》中,德国进一步提出最晚将于2015年出台《信息保护基本条例》。除了立法,德国也通过一系列战略方案和具体的行动来加强大数据时代的信息安全。
一系列的信息安全战略提高了德国对大数据的安全运用能力。目前,德国大型企业和政府部门的邮件系统早已运用邮件加密技术;未来,普通电邮用户发送的信息也将逐步使用加密技术传送,并且,这些数据信息都将存储在德国境内的数据中心里。在大数据时代,德国将朝着加密技术本土化的目标进一步加强数字安全建设。
以上是小编为大家分享的关于大数据时代的德国信息化战略的相关内容,更多信息可以关注环球青藤分享更多干货
6. 网络恐怖主义的网络恐怖主义的主要特征
与通常的暗杀、劫持人质和游击战等传统的恐怖手段相比,为什么恐怖分子对利用网络进行攻击这么感兴趣呢?我们认为,网络恐怖主义之所以对恐怖分子具有如此大的魅力,主要是网络恐怖主义具有以下几方面的特点: 重视人才的培养和公民的安全意识教育,发动全社会力量对网络安全进行全民防御。到目前为止,还没有“电子珍珠港”事件能够唤醒公众采取行动保护网络的意识。许多人都没有认识到国家经济和国家安全对计算机和信息系统依赖到何种程度。而保卫网络空间的安全则需要所有人的行动,包括最普通的大众。美国在《确保网络空间安全的国家战略》中就提出完善“网络公民计划”,对儿童进行有关网络道德和正确使用互联网和其他通讯方式的教育;要建立企业和信息技术精英间的合作关系;保证政府雇员具备保护信息系统安全的意识;在上述行动的基础上,把提高安全意识的活动推广到其他私营部门和普通民众。
许多国家也意识到,仅仅依靠政府的力量是不够的,必须建立起一个全方位的防御体系,动员一切可以动员的社会力量。1998年11月,美国能源部、天然气研究所和电力研究所共同主办了能源论坛,邀请了100多家电力、天然气和石油企业和政府代表 参加;2001年1月,包括IBM在内的500多家公司加入了FBI成立的一个被称作“InfraGard”的组织,共同打击日趋嚣张的网络犯罪活动。 建立相应机构,完善网络安全的管理体制。“9.11事件”后,布什政府迅即采取行动,成立了“国土安全办公室”,将打击网络恐怖袭击作为其主要职责之一。并在“国土安全办公室”增设总统网络安全顾问,主管总统“关键基础设施保护委员会”,负责制定、协调全美政府机构网络反恐计划和行动。美国还打算将一些主要的网络安全负责机构并入“国土安全部”,以加强统筹管理。
德、英、日、加等国也相继成立了主管网络安全的政府机构,如英特网安全特别小组、电脑警察、反电脑黑客指挥中心、反网络恐怖特别小组等等,负责评估威胁源和安全程度,提供适当的保护措施,打击和防范网络恐怖袭击。2003年2月,欧洲委员会宣布成立一项联合打击对电力及供水等重要设施进行网络袭击的计划,并成立“欧洲网络及信息安全局”。该机构将雇佣来自15个欧盟成员国的30名专家,在各国保护网络及信息安全措施的基础上提高各成员国和欧盟预防和处理网络及信息安全问题的能力。 推动立法,构筑坚实的安全防护网。从20世纪80年代开始,美国相继推出一系列打击网络犯罪和黑客活动、维护信息安全的各种法律法规,包括计算机安全法、信息自由法等等。2002年7月,美众议院通过“加强计算机安全法案”,规定黑客可被判终生监禁;美国防部也宣布将正式实施一项新禁令,扩大对外国人接触美政府计算机项目的限制,禁止外籍人员接触敏感信息,以确保政府计算机系统安全,防范网络恐怖袭击。
英国在原有的《三R安全规则》基础上,于2000年7月公布了《电子信息法》,授权有关当局对电子邮件及其他信息交流实行截收和解码。2000年底,欧洲委员会起草的《网络犯罪公约》正式出台,包括美国在内的40多个国家都已加入。该公约的目的就是要采取统一的对付计算机犯罪的国际政策,防止针对计算机系统、数据和网络的犯罪活动。2000年1月,日本制定了“反黑客对策行动计划“,要求在年底前制定对付电脑恐怖活动的特别计划,建立和健全处罚黑客行为的法律,加强政府控制危机体制。 加强国际社会的合作,建立国际合作体系来共同对付网络恐怖威胁。一国的网络把自身与世界其他地区联结在一起。各个网络所组成的全球性网络延伸到整个地球,使某个大洲上怀有恶意的人能够从数千里之外攻击网络系统。跨国界网络攻击特别迅速,使追查和发现这种恶毒的行为也变得非常困难。因此,一个国家要想具有确保其至关重要的系统和网络安全的防御保护能力,就需要建立国际合作体系。
2001年5月,法国和日本共同主持了题为“政府机构和私营部门关于网络空间安全与信任对话”的八国集团会议,这是世界上首次以打击网络犯罪为主要议题的国际性会议;2001年10月,西方七国集团财长会议制定《打击资助恐怖主义活动的行动计划》,呼吁加强反恐信息共享、切断恐怖分子的金融网络以及确保金融部门不为恐怖分子所利用;2001年11月,欧洲委员会43个成员以及美国、日本、南非正式签署《打击网络犯罪条约》,这是第一份有关打击网络犯罪的国际公约;此外,美国网络反恐专家正在倡议制订一项国际性的网络武器控制条约。
总之,制止网络恐怖主义需要全球各国政府、企业甚至每个人的合作,从预防入手,在每个环节采取防范措施,这样才能使网络世界安全。魔高一尺,道高一丈,人类与恐怖分子的网际斗争将是一场艰巨的持久战。
7. 简述网络安全策略的概念及制定安全策略的原则
网络的安全策略1.引言
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
2.计算网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:
(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
3.计算机网络的安全策略
3.1 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
3.2 访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。 3.2.1 入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全角式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。
用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
3.2.2 网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
3.2.3 目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。
3.2.4 属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、、执行修改、显示等。
3.2.5 网络服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
3.2.6 网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
3.2.7 网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
3.2.8 防火墙控制
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型;
(1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。
(2)代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server。
(3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。
4.信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形 色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较着名的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。
常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较着名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。
公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。
当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。 密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
5. 网络安全管理策略
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
6. 结束语
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。
8. 网络空间军事化来了,离动武还远吗
美国国防部上周发布新网络战略,有违美国政府此前“网络空间非军事化”的立场,不利于全球网络空间的和平与稳定。
美国国防部上周发布新网络战略,摆出积极防御和主动威慑的姿态,为美军确定网络空间作战的中长期任务。新战略包含一系列在网络空间实施进攻和威慑的新设想和具体措施,从对网络空间未来发展的影响来看,新战略有违美国政府此前网络空间非军事化的立场,不利于全球网络空间和平与稳定。
扩散恐惧,构建国家层级敌人
新战略反复强调美国网络环境蕴含的风险和网络活动面临的威胁,在33页公开战略文件中,风险一词出现了31次,威胁一词则出现46次。报告称这些风险和威胁既源于互联网基本架构防范风险能力的先天不足,也源于觊觎美国利益的敌人对美国网络、系统和数据的恶意入侵和破坏。国防部同时发布的一份网络战略情况说明显示,驱使国防部制定新网络战略的一个重要原因,是美国政府和企业遭受网络攻击的紧迫性和复杂性都在不断增加。
相较于此前将重点放在防范网络技术与极端主义的结合,新战略将主要目标确定为国家层级的对手。在新战略发布会的讲话中,美国国防部长阿什顿·卡特一一点名可能对美国构成网络威胁的国家,中国、俄罗斯、伊朗、朝鲜在列。预设这些国家层级的对手,既是为了显示推出新战略的必要性,也是在公共舆论中扩散对网络攻击威胁的恐惧,进而淡化新战略对社会利益和个人隐私的侵害,更进一步巩固公众对国防部和政府政策的支持。
美国决策者惯有夸大安全威胁的偏好,故这类渲染威胁和预设敌人的做法并不鲜见。而对于网络作战假想敌的选择表明国防部寻求在网络安全问题上与国家战略保持一致,新战略将未来五年国防部网络作战与国际行动能力的重点放在中东、亚太和欧洲,与美国国家安全战略中的地缘政治重心基本一致,这并非巧合,而是美国不断寻找新威胁、塑造新敌人的思维定势和决策逻辑的传统使然。
降低门槛,扩大网络作战领域
最为引人关注的是,新战略大大降低发动网络作战的门槛,作战内容和领域显着扩大,攻击性也更加突出。新战略首次明确美国国家利益受到威胁时可发动网络攻击,其实质是将网络空间视为作战平台,软件工具成为攻击武器。具体而言,两种情况下美军将启动网络攻击,一是外来网络攻击达到可能产生严重后果时,二是运用网络攻击可阻止伤害美国利益的其他威胁时。同时,新战略并未界定严重后果的条件及网络攻击的前提,这就为美军根据需要实施网络攻击开了绿灯。
美国国防部于2011年发布第一份网络空间行动战略,重点是保护军队网络信息系统和国家关键信息基础设施,前参谋长联席会议副主席詹姆斯·卡特赖特曾批评该战略过于防御性。新战略大可令持批评者放心,因为美军将不仅可以在遭受网络攻击时发动反击,还可以预先阻塞对手的网络攻击路径,更可以切断敌人军事活动的网络依赖。更重要的是,新战略预示美国既可运用传统威慑和攻击来应对网络威胁,也可运用网络威慑和攻击来应对传统威胁,这就从军事上消除了网络空间和现实空间的界限。
新战略声称,如果总统或国防部长下令,国防部必须能够提供综合网络能力,支持军事行动和应急计划。当对手基于网络发动对美国的攻击,就要攻击正在进行或正在准备时破坏对手依赖的指挥控制系统及军事网络基础设施。卡特认为新战略向世界清晰地传递了美国进行网络报复的决心,且有实施报复的足够能力,这种威慑对美国的网络安全而言非常有利。而这已经超出主动防御的范畴,显示美国将网络空间的保护、攻击和对抗融为一体的攻势姿态。
全面动员,构建联合作战体系
网络空间是美军继陆地、海洋、天空、太空后的第五作战领域,新战略要求动员各方力量,构建全方位的联合作战体系,包括由国防部主导政府部门间、政企间和国际间的协同行动。新战略的一项任务是至2018年建成一支攻防兼备、形式灵活的网络部队,包括6200名国防部和军事部门的军人、文职人员和合同员工,而此前成立的网络司令部虽然行政上隶属于军方的战略司令部,但其核心成员来自情报系统的国家安全局。新战略提出将由国防部负责网络部队的作战训练和指导,从而将网络情报职能与网络作战职能进行区分,由国防部主导网络作战部队。
新战略称私营部门和研究机构是网络空间的设计者和建造者、网络安全服务的供应者和先进网络能力的研发者,国防部将寻求密切国防部与私营部门和研究机构间技术、人员和信息联系与合作的新机制。此前国家安全局情报监控项目曝光导致美国政府与私营部门间的信任危机,一些互联网公司刻意与政府的情报项目保持距离。网络战略发布会选择硅谷发源地的斯坦福大学,国防部长卡特前往硅谷推演,招募网络技术人才,就传递了新战略必须获得信息技术企业和高科技专家支持的信号。
国际上,新战略则提出加强传统军事盟友和伙伴体系间的网络安全与网络防御合作。除维持“五只眼联盟”之间的情报合作外,近年来美国政府推动北约卓越合作网络防御中心的《塔林守则》成为网络战的国际法规范,在美日安全磋商机制中增加网络安全内容并将网络防御和网络作战协调纳入新修防卫合作指针,美澳、美韩等双边网络安全合作也不断充实。新战略进一部彰显美国以其盟友体系为核心构建全球网络作战体系的意图。
立场倒退,影响网络空间和平
从时序看,国防部推出新网络战略及4月初奥巴马签署对网络攻击者实施经济制裁的总统行政命令,都是2月发布的新国家安全战略的抓落实之举,预计美国还将陆续推出相关政策和立法,目标仍将是试图获得单边的网络安全和维持网络空间的领导地位。国防部毫不讳言新战略的进攻意味,卡特在斯坦福大学说:“对手们应当清楚,我们的威慑偏好和防御姿态不会减少必要的网络选项。”其言下之意是网络攻击将不存在政策障碍,随时可以启动。
新战略在网络空间军事化问题上无疑是重大退步,去年3月,美国前国防部长查克·哈格尔在马里兰州米德堡网络司令部,还明确表态美国不寻求将网络空间军事化,称国防部对在政府网络之外的网络行动保持克制,并敦促其他国家采取同样做法。其继任者卡特没有再次确认军方对网络空间非军事化的态度,而新战略清晰地传递了奥巴马政府网络攻防新思维:网络空间军事化已是国家战略,美国要从能力和机制上进行全方位网络战争的准备。
美国决意放弃网络空间非军事化的立场,势将令国际社会维持网络空间和平稳定的期待受挫,对网络空间的未来发展产生长期和负面影响。然而,网络空间的未来并不会由美国单边主导,新战略也蕴含各种矛盾:网络作战需要得到高科技企业、研究机构、国内公众和国际盟友的支持,但美国长期、大规模和系统性的全球网络监控不仅侵犯了国内公众的隐私,也削弱了美国企业的国际竞争力,还破坏了传统盟友的信任。美国的国际信誉和战略影响力非比往昔,五角大楼谋划制胜网络战争,将会受到越来越多的掣肘。
9. 现阶段安全价值观主要包括哪些
随着网络安全威胁形势的恶化,以及全球范围越来越严苛的网络安全监管环境,相信没有哪家企业敢说 “我们不需要网络安全!”。防范企业安全看起来是一项“技术活”,但安全攻防的本质是“人”的对抗。同缺乏交通安全意识是交通事故频发的重要原因一样,网络安全意识淡薄是网络安全事件频发的关键因素。不在员工安全意识、企业网络安全文化建设方面投入,不为全员赋能优先考虑“安全性”的企业,将无可避免地沦为网络罪犯任意宰割的“羔羊”!
你需要安全意识官吗?
欧洲网络与信息安全局(ENISA)对“网络安全文化“的定义是指人们对网络安全所持有的知识、信念、认知、态度、假设、规范和价值观的总和,以及对待网络安全所展现出的行为方式。讲企业网络安全文化就是要将安全考量作为每一名员工工作、习惯和行为不可或缺的有机组成部分,将网络安全潜移默化地嵌入到日常的一切网络行为中。
国外一些企业已经为 “安全意识”、“安全文化” 相关工作设置了专门岗位,职位名称如: “Cyber\Security Awareness Expert\Advocate\Lead\ProgramManager、Specialist \Consultant”\"SecurityInfluence & Culture Manager"\"SecurityCommunications Manager", 甚至设有 "SecurityAwareness Officer (SAO)" 一职。
听上去高大上,但当安全意识官可不是件轻松的活,很具有挑战性。这个岗位全面负责企业的安全意识与教育计划,通过确保企业内部所有员工、外部相关第三方了解、理解并遵守组织的安全要求,以安全的方式行事,从而降低组织的安全风险。
目前,安全意识官还是一个崭新的职业,也是令人心动的领域,未来仍有待开发探索,但这一角色在企业安全管理中具有战略性意义,他/她对组织的整体安全、风险管理、企业安全文化等方面将带来积极的重大影响。
打造“网络安全第一的”企业文化
“9·11”事件之后,纽约大都会运输署 (MTA) 曾打出了一条标语:“这个城市有1600万双眼睛,我们就指望所有这些眼睛!”,旨在让市民意识到每一个人在城市遭受另一次恐怖袭击时都处于第一线,让每位市民都意识到他们在保护城市和自身安全方面发挥着重要作用。
企业网络安全文化建设可以做同样的事情,需要 “All in”,全员参与,发挥 “人是网络安全的第一道防线”的重要作用!在顶层设计上,将网络安全融入到公司使命与愿景中,将安全基因注入现有企业文化,清楚地表明安全性是不可协商的、不可妥协的。在企业里从上至下每一名员工都应该意识到:“网络安全,我们责无旁贷!我们每一个人将安全融入到实际岗位工作的每一件事情之中,我们的企业就会更安全!”
塑造组织级的网络安全文化,甚至是一个部门的安全文化,都不是件易事。总的来说,人们不喜欢变化,而变革需要时间,需要精心培养和打造,长期持续的投入、创新、改进和优化。
构建网络安全文化需注意三大问题
1.对于企业安全文化而言,最危险的情况莫过于理念与行为的背离。要想要在具体实践中做好“以人为本”的企业网络安全文化建设,各级管理者需要以身作则,推动安全行为由上至下的改变,公开推广安全文化对组织、个人和客户的价值与重要性。
2.需要打破生产力和网络安全之间矛盾的困境。IT安全团队关注的似乎永远是:安全性、安全性、还是安全性!而其它团队在实际工作中往往更关注的是:效率、生产力、便利性! 对IT安全部门有负面看法,认为是一个 “Say No” 的部门,这种矛盾和否定性是建立和维持网络安全文化的主要障碍。
3. 打造企业网络安全文化需要内部各部门的积极配合,需要做大量的内部传播、营销、公共关系工作,这不是仅凭安全部门就可以实现的,创建一支多学科团队涵盖这些关键技能是必须的。
目前阶段,国内企业真正关注网络安全文化建设还不是普遍现象。在强有力的“网络安全文化”影响下建立自觉的、安全的行为习惯,就能成功地从“最薄弱一环”转变为防御网络攻击的“最强大资产”,再结合各种技术手段与风险管理策略,企业才能真正增强网络安全信心,在网络风险防范中取得最大优势!来源互联网安全大会