论文部分内容阅读
摘要:针对近年来频繁发生的网络泄密事件,分析了泄密的主要途径;根据不同的网络泄密方式,提出了对应的防范措施和手段。
关键词:计算机;网络;泄密;防范
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)16-21202-02
Some Thoughts About Network Security and Protection
HU Rui-qing, TIAN Jie-rong
(Naval Flying Academy,Huludao 125001, China)
Abstract: There are many events that the network may blow the gaff and be attacked occured in the recent past,the paper analyse the main way of blowing the gaff,describes the measures and means of protecting network security with different way of blowing the gaff.
Key words: computer; network; blowing the gaff;keeping away
1 引言
随着Internet的迅猛发展,网络将越来越深刻地影响着社会的政治、经济、文化、军事和社会生活的各个方面,在网络技术为我们提供方便的同时,隐蔽战线的斗争也变得更加尖锐复杂,网络窃密已成为了敌对势力获取我军情报的重要来源,严重地威胁着部队的自身安全。越来越多的失泄密事件和不断长鸣的警钟时刻提醒着我们,一定要认清网络泄密的严重性和长期性,严防杜绝网路泄密事件的发生。
2 网络泄密的主要方式
2.1计算机电磁波辐射泄密
一类是传导发射,通过电源线和信号线辐射;另一类是由于设备中的计算机处理机、显示器有较强的电磁辐射。计算机是靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,敌方只要具有相应的接收设备,就可以将电磁波接收,从中窃得秘密信息。对这种电磁波,在有效距离内,可用普通电视机或相同型号的计算机直接接收。接收或解读计算机辐射的电磁波,现在已成为国外情报部门的一项常用窃密技术,并已达到很高水平。
2.2 计算机联网泄密
计算机网络化是计算机发展史上的重要阶段,它使计算机从只能在机房里对不同信息的单项数据的分类、加工和整理,发展成为使信息的收集、加工、贮存、传输融为一体,扩大了计算机的应用范围,使计算机的应用深入到社会各个方面。然而,由于计算机网络结构中的数据是共享的,主机与用户之间、用户与用户之间通过线路联络,网络越大,线路通道分支就越多,输送信息的区域也越广,截取所送信号的条件就越便利,窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取,就可以获得整个网络输送的信息。
2.3 计算机工作人员泄密
2.3.1 保密意识淡薄
有的领导对身边人过分信任,致使当事人借工作之便、乘领导不注意之机造成网络失泄密的;有的单位只考虑到官兵的实际困难,而对可能造成的网络失泄密问题估计不足造成的。比如,军网电话开通地方程控功能,就给网络安全保密埋下了隐患,官兵在利用这些电话通话中就有可能造成失泄密。
2.3.2 无知泄密
如由于不知道计算机的电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施,因而给他人提供窃密的机会。又如由于不知道计算机移动存储器剩磁可以提取还原,将曾经存贮过秘密信息的存储器交流出去,因而造成泄密。
2.3.3 违反规章制度泄密
如将一台发生故障的计算机送修前既不做消磁处理,又不安排专人监修,造成秘密数据被窃。或者由于计算机媒体存贮的内容缺乏直观性,因而思想麻痹,疏于管理,容易造成媒体的丢失。
2.3.4 故意泄密
外国情报机关常常采用金钱收买、色情引诱和策反别国的计算机工作人员。窃取信息系统的秘密。这比利用电子监听、攻击网络等办法有利得多。如程序员被策反,就可以得知计算机系统软件保密措施,获得使用计算机的口令或密钥,从而打入计算机网络,窃取信息系统、数据库内的重要秘密;操作员被收买,就可以把计算机保密系统的文件、资料向外提供。维修人员被威胁,就可利用进入计算机或接近计算机终端的机会,更改程序,安装窃听器等。
3 计算机网络安全防范措施
3.1 防止电磁波辐射泄密
3.1.1 使用低辐射计算机设备
这是防止计算机辐射泄密的根本措施,这些设备在设计和生产时,已对可能产生信息辐射的元器件、集成电路、连接线和CRT等采取了防辐射措施,把设备的信息辐射抑制到最低限度。
3.1.2 屏蔽
根据辐射量的大小和客观环境,对计算机机房或主机内部件加以屏蔽,检测合格后,再开机工作。将计算机和辅助设备用金周屏蔽笼(法拉第笼)封闭起来,并将全局屏蔽笼接地,能有效地防止计算机和辅助设备的电磁波辐射。不具备上述条件的,可将计算机辐射信号的区域控制起来,不许外部人员接近。
3.1.3 干扰
根据电子对抗原理,采用一定的技术措施,利用干扰器产生噪声与计算机设备产生的信息辐射一起向外辐射。对计算机的辐射信号进行干扰,增加接收还原解读的难度,保护计算机辐射的秘密信息。不具备上述条件的,也可将处理重要信息的计算机放在中间,四周置放处理一般信息的计算机。这种方法可降低辐射信息被接收还原的可能性。
3.2 对联网泄密的防范
3.2.1 身份认证技术
身份认证是证实客户的真实身份与其所声称的身份是否相符的过程,是安全系统中的第一道关卡,是最基本的安全服务,其他的服务都要依赖于它,一旦身份认证被系统攻破,系统所有的安全措施将形同虚设。当然,黑客攻击的目标往往就是身份认证系统。身份认证的方式主要有以下几种:一是基于口令的认证方式。这是比较常见的方式,口令一般以加密的形式存在口令文件中。但如果口令文件被窃取,黑客就可以进行离线字典式攻击。二是基于智能卡(IC卡)的认证方式。智能卡是一种双因素的认证方式,具有较强的安全性。三是基于生物特征的认证方式。这是以人体的指纹、虹膜、手形、声纹等唯一、可靠、稳定的生物特征为依据,采用计算机功能和网络技术进行抓图、抽取特征、比较和匹配等过程进行识别,具有较高的有效性、可靠性,比前两种方式可靠的多,但存在的主要的问题就是价格不菲。四是基于网络环境下的一次性口令技术。通常使用的口令的静态的,很容易被网上嗅探劫持,而且容易受到字典攻击,一次性口令是变动的密码,克服了静态口令的不足。
3.2.2 数字签名
数字签名也是利用了密码学的原理,是公开密钥加密技术的一种应用。大多数电子交易采用两个密钥加密:密文和用来解密的密钥一起发送,密钥本身又被加密,需要另一个密钥来解码,这种组合加密称为数字签名。数字签名实际上是一个收发双方进行签名和确认的过程。能提供对信息来源的鉴别、保证信息的完整和不可否认的功能,为解决伪造、抵赖、冒充和篡改等问题提供了方法。
3.2.3 防火墙技术
防火墙是建立于内、外网络边界上的过滤封锁机制,内部网络被认为是安全、可靠的,而外部网络则是不安全和不可信赖的。防火墙通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网的信息,达到保护内部网络安全的目的,主要用于防止黑客利用外网对内网的入侵。基本功能主要有:包过滤功能和代理服务功能。包过滤功能可以拒接未授权的主机发送的TCP/IP包和未授权服务的连接请求,在网络层很容易实现,具有透明性、速度快、易维护的特点。代理服务功能是在内网和Internet网之间设置一个代理服务器,代表内部主机进行高层应用连接,完全中断内部主机与外部主机的网络层连接,因此代理服务器可作为应用网关级防火墙。
3.3 加强管理
3.3.1 加强对机房的管理
建立严格的机房管理制度,禁止无关人员随便进出机房,网络系统的中心控制室更应该有严格的出入制度。同时,机房选址要可靠,重要部门的机房要有必要的保安措施。
3.3.2 加强对工作人员的管理
因为设备由人操纵,制度由人制定并遵守。人员的问题,首先要牢固树立保密观念,使其认识新时期保密问题的重要性、紧迫性,从而增强保守国家秘密的意识。保密教育要经常抓,常抓不懈;要抓好人员的选配和日常的考察,做到不合格的坚决不用,现有工作人员中发现问题要及时处理,坚决调离,以保证队伍的纯洁精干和效能;要搞好智力投资,不断提高使用和管理人员的科学技术水平,使其真正了解所有设备的性能,掌握防止泄密的知识和防范措施;利用和创造机会扩展他们的知识面,增强主动性,减少盲目性,以防因无知而泄密还要建立奖惩制度,定期考核,奖优罚劣,完善激励机制。
3.3.3 法律监督
计算机保密防范必须以法律法规为依据。目前我国已有《保密法》、《计算机信息系统安全保护条例》和《计算机信息网络国际联网管理暂行规定》,按照规定和要求,做好计算机的保密防范工作,不得利用计算机从事危害军队安全、泄露国家秘密的违法犯罪活动。
4 结束语
虽然网络安全防范技术近些年来已经有了快速的发展和质的飞跃,也应该看到每种技术都还存在着一定的不足。即使将几种技术结合使用,缺陷依然存在。想要在黑客猖獗、病毒肆虐的信息高速公路上,保证数据的安全、有效、可用、保密、完整,就只有不断探究、完善、创新网络安全防范技术。
参考文献:
[1] 邱剑. 防火墙技术与网络安全[J]. 仪器仪表用户, 2007,(3): 86-87.
[2] 周海波. 浅析互联网之网络安全[J]. 中国集体经济,2007,(4):183-183.
[3] 朱宇文. 计算机泄密及其信息安全保护浅议[J]. 中国电力教育,2006(5):67-69.
[4] 王军. 网络信息保密问题及对策研究[J]. 信息网络安全, 2007(4):14-16.
[5] 刘昀. 浅谈信息化社会的计算机网络安全[J]. 甘肃农业, 2006(12):186-186.
关键词:计算机;网络;泄密;防范
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)16-21202-02
Some Thoughts About Network Security and Protection
HU Rui-qing, TIAN Jie-rong
(Naval Flying Academy,Huludao 125001, China)
Abstract: There are many events that the network may blow the gaff and be attacked occured in the recent past,the paper analyse the main way of blowing the gaff,describes the measures and means of protecting network security with different way of blowing the gaff.
Key words: computer; network; blowing the gaff;keeping away
1 引言
随着Internet的迅猛发展,网络将越来越深刻地影响着社会的政治、经济、文化、军事和社会生活的各个方面,在网络技术为我们提供方便的同时,隐蔽战线的斗争也变得更加尖锐复杂,网络窃密已成为了敌对势力获取我军情报的重要来源,严重地威胁着部队的自身安全。越来越多的失泄密事件和不断长鸣的警钟时刻提醒着我们,一定要认清网络泄密的严重性和长期性,严防杜绝网路泄密事件的发生。
2 网络泄密的主要方式
2.1计算机电磁波辐射泄密
一类是传导发射,通过电源线和信号线辐射;另一类是由于设备中的计算机处理机、显示器有较强的电磁辐射。计算机是靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,敌方只要具有相应的接收设备,就可以将电磁波接收,从中窃得秘密信息。对这种电磁波,在有效距离内,可用普通电视机或相同型号的计算机直接接收。接收或解读计算机辐射的电磁波,现在已成为国外情报部门的一项常用窃密技术,并已达到很高水平。
2.2 计算机联网泄密
计算机网络化是计算机发展史上的重要阶段,它使计算机从只能在机房里对不同信息的单项数据的分类、加工和整理,发展成为使信息的收集、加工、贮存、传输融为一体,扩大了计算机的应用范围,使计算机的应用深入到社会各个方面。然而,由于计算机网络结构中的数据是共享的,主机与用户之间、用户与用户之间通过线路联络,网络越大,线路通道分支就越多,输送信息的区域也越广,截取所送信号的条件就越便利,窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取,就可以获得整个网络输送的信息。
2.3 计算机工作人员泄密
2.3.1 保密意识淡薄
有的领导对身边人过分信任,致使当事人借工作之便、乘领导不注意之机造成网络失泄密的;有的单位只考虑到官兵的实际困难,而对可能造成的网络失泄密问题估计不足造成的。比如,军网电话开通地方程控功能,就给网络安全保密埋下了隐患,官兵在利用这些电话通话中就有可能造成失泄密。
2.3.2 无知泄密
如由于不知道计算机的电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施,因而给他人提供窃密的机会。又如由于不知道计算机移动存储器剩磁可以提取还原,将曾经存贮过秘密信息的存储器交流出去,因而造成泄密。
2.3.3 违反规章制度泄密
如将一台发生故障的计算机送修前既不做消磁处理,又不安排专人监修,造成秘密数据被窃。或者由于计算机媒体存贮的内容缺乏直观性,因而思想麻痹,疏于管理,容易造成媒体的丢失。
2.3.4 故意泄密
外国情报机关常常采用金钱收买、色情引诱和策反别国的计算机工作人员。窃取信息系统的秘密。这比利用电子监听、攻击网络等办法有利得多。如程序员被策反,就可以得知计算机系统软件保密措施,获得使用计算机的口令或密钥,从而打入计算机网络,窃取信息系统、数据库内的重要秘密;操作员被收买,就可以把计算机保密系统的文件、资料向外提供。维修人员被威胁,就可利用进入计算机或接近计算机终端的机会,更改程序,安装窃听器等。
3 计算机网络安全防范措施
3.1 防止电磁波辐射泄密
3.1.1 使用低辐射计算机设备
这是防止计算机辐射泄密的根本措施,这些设备在设计和生产时,已对可能产生信息辐射的元器件、集成电路、连接线和CRT等采取了防辐射措施,把设备的信息辐射抑制到最低限度。
3.1.2 屏蔽
根据辐射量的大小和客观环境,对计算机机房或主机内部件加以屏蔽,检测合格后,再开机工作。将计算机和辅助设备用金周屏蔽笼(法拉第笼)封闭起来,并将全局屏蔽笼接地,能有效地防止计算机和辅助设备的电磁波辐射。不具备上述条件的,可将计算机辐射信号的区域控制起来,不许外部人员接近。
3.1.3 干扰
根据电子对抗原理,采用一定的技术措施,利用干扰器产生噪声与计算机设备产生的信息辐射一起向外辐射。对计算机的辐射信号进行干扰,增加接收还原解读的难度,保护计算机辐射的秘密信息。不具备上述条件的,也可将处理重要信息的计算机放在中间,四周置放处理一般信息的计算机。这种方法可降低辐射信息被接收还原的可能性。
3.2 对联网泄密的防范
3.2.1 身份认证技术
身份认证是证实客户的真实身份与其所声称的身份是否相符的过程,是安全系统中的第一道关卡,是最基本的安全服务,其他的服务都要依赖于它,一旦身份认证被系统攻破,系统所有的安全措施将形同虚设。当然,黑客攻击的目标往往就是身份认证系统。身份认证的方式主要有以下几种:一是基于口令的认证方式。这是比较常见的方式,口令一般以加密的形式存在口令文件中。但如果口令文件被窃取,黑客就可以进行离线字典式攻击。二是基于智能卡(IC卡)的认证方式。智能卡是一种双因素的认证方式,具有较强的安全性。三是基于生物特征的认证方式。这是以人体的指纹、虹膜、手形、声纹等唯一、可靠、稳定的生物特征为依据,采用计算机功能和网络技术进行抓图、抽取特征、比较和匹配等过程进行识别,具有较高的有效性、可靠性,比前两种方式可靠的多,但存在的主要的问题就是价格不菲。四是基于网络环境下的一次性口令技术。通常使用的口令的静态的,很容易被网上嗅探劫持,而且容易受到字典攻击,一次性口令是变动的密码,克服了静态口令的不足。
3.2.2 数字签名
数字签名也是利用了密码学的原理,是公开密钥加密技术的一种应用。大多数电子交易采用两个密钥加密:密文和用来解密的密钥一起发送,密钥本身又被加密,需要另一个密钥来解码,这种组合加密称为数字签名。数字签名实际上是一个收发双方进行签名和确认的过程。能提供对信息来源的鉴别、保证信息的完整和不可否认的功能,为解决伪造、抵赖、冒充和篡改等问题提供了方法。
3.2.3 防火墙技术
防火墙是建立于内、外网络边界上的过滤封锁机制,内部网络被认为是安全、可靠的,而外部网络则是不安全和不可信赖的。防火墙通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网的信息,达到保护内部网络安全的目的,主要用于防止黑客利用外网对内网的入侵。基本功能主要有:包过滤功能和代理服务功能。包过滤功能可以拒接未授权的主机发送的TCP/IP包和未授权服务的连接请求,在网络层很容易实现,具有透明性、速度快、易维护的特点。代理服务功能是在内网和Internet网之间设置一个代理服务器,代表内部主机进行高层应用连接,完全中断内部主机与外部主机的网络层连接,因此代理服务器可作为应用网关级防火墙。
3.3 加强管理
3.3.1 加强对机房的管理
建立严格的机房管理制度,禁止无关人员随便进出机房,网络系统的中心控制室更应该有严格的出入制度。同时,机房选址要可靠,重要部门的机房要有必要的保安措施。
3.3.2 加强对工作人员的管理
因为设备由人操纵,制度由人制定并遵守。人员的问题,首先要牢固树立保密观念,使其认识新时期保密问题的重要性、紧迫性,从而增强保守国家秘密的意识。保密教育要经常抓,常抓不懈;要抓好人员的选配和日常的考察,做到不合格的坚决不用,现有工作人员中发现问题要及时处理,坚决调离,以保证队伍的纯洁精干和效能;要搞好智力投资,不断提高使用和管理人员的科学技术水平,使其真正了解所有设备的性能,掌握防止泄密的知识和防范措施;利用和创造机会扩展他们的知识面,增强主动性,减少盲目性,以防因无知而泄密还要建立奖惩制度,定期考核,奖优罚劣,完善激励机制。
3.3.3 法律监督
计算机保密防范必须以法律法规为依据。目前我国已有《保密法》、《计算机信息系统安全保护条例》和《计算机信息网络国际联网管理暂行规定》,按照规定和要求,做好计算机的保密防范工作,不得利用计算机从事危害军队安全、泄露国家秘密的违法犯罪活动。
4 结束语
虽然网络安全防范技术近些年来已经有了快速的发展和质的飞跃,也应该看到每种技术都还存在着一定的不足。即使将几种技术结合使用,缺陷依然存在。想要在黑客猖獗、病毒肆虐的信息高速公路上,保证数据的安全、有效、可用、保密、完整,就只有不断探究、完善、创新网络安全防范技术。
参考文献:
[1] 邱剑. 防火墙技术与网络安全[J]. 仪器仪表用户, 2007,(3): 86-87.
[2] 周海波. 浅析互联网之网络安全[J]. 中国集体经济,2007,(4):183-183.
[3] 朱宇文. 计算机泄密及其信息安全保护浅议[J]. 中国电力教育,2006(5):67-69.
[4] 王军. 网络信息保密问题及对策研究[J]. 信息网络安全, 2007(4):14-16.
[5] 刘昀. 浅谈信息化社会的计算机网络安全[J]. 甘肃农业, 2006(12):186-186.