生活中的信息安全
生活中的信息安全
信息在生活中无时不在,无处不有。通常以文字、图像、图形、语言、声音等形式呈现。如:看电视、听广播、去招聘会找工作都可获得相关的信息。什么是信息?控制论的创始人维纳这样描述信息:“信息就是信息,不是物质,也不是能量”。信息和物质、能量一起构成人类社会赖以生存和发展的基础。它具有可以传递、可以共享、可以处理之特点。
1 为什么需要信息安全?
如果某天你突然发现电脑里的数据被删得支离破碎,打开手机信号却总是无法接通,ATM机上显示你银联卡中的存款已被一扫而空„„你会怎么想?你知道这意味着什么吗?这便是专家们所说的“信息疆域”遭侵犯的表现。一些企图证明自己技术卓越的黑客,受信任的计算机系统内部人员,在网络上实施犯罪的犯罪性组织和敌对势力,已经成为我国“信息疆域”安全的现实和潜在的威胁源。
信息的安全主要涉及信息传输的安全、存储的安全及对信息内容的审计三方面。特别要提到的是,虽然我们现在处于和平年代,但是国家仍然面临着来自敌对国家、恐怖分子、内部人员、经济竞争者、黑客等各方面的威胁,信息安全已上升为一个事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。
2 人们普遍关心的几个信息安全方面的问题
网络所具有的开放性使任何人可以在网络上随心所欲地发表作品,发泄牢骚,暴露隐私。隐蔽性使得任何人都可以采用匿名的方式在网络上参与讨论,发表言论,攻击他人等等,而且社会难以进行有效的监督。有调查表明,对信息的安全人们普遍关心的问题有7 个,被称为7P问题。分别是:Privacy(隐私)、Piracy(盗版)、Pricing (定价)、Pornography(色情)、Policing (政策制定)、Psychological (心理学)、Protection of the Network (网络保护)。
2.1 隐私
现在很多人使用QQ、MSN等聊天工具作为日常工作、生活的沟通工具。你想过吗?其中的密码、个人资料和聊天记录是否安全呢?在马路上接受市场调查,在商店或者在网上填写表格时,请千万留个心眼,别随随便便地让自己的资料被人利用。否则,你的手机可能会经常接到广告(号码被泄露)或骚扰短信。
2.2 定价
很多人认为电信收电话座机费、手机双向收费不合理。对电视机、药品等的成本信息不了解,是否有暴利不清楚„因此,现在提出政务公开,关系到广大人民切身利益的事情须调价时,要开听证会。
2.3 盗版
生活中书籍、软件、影碟的盗版已十分严重,而网上的数字产品对知识产权的保护带来的冲击更大。
2.4 色情
“网络是把双刃剑,一方面它弘扬正气,促使人们加强道德上的自律,但又因为它的匿名性,使得构建网络健康任重道远!” 北京大学社会学系的夏学銮教授的评价,道出了网络的特质。网络中的色情因素很多,曾发生多起因色情引发的暴力事件。如:一名19岁的大学生因深陷色情网站不能自拔,在与网恋女友见过几次面后将其强奸,在其女友要与其断绝恋爱关系时,又残忍地将其杀害,最后自己付出了生命的代价。
对色情的传播,无论是在西方还是在东方都是受到限制的。如西方对电影进行分级管理。
我国家对要求网吧安装内容过滤软件,限制未成年人上网等。
2.5 政策制定
不同国家的风俗习惯、道德观念有所不同,在因特网上的信息管理更需世界各国共同协作,共同管理。需用法律、法规约束犯罪活动。如何有效地管理网络中的信息资源也是各国政府很关注的问题。
2.6 心理学
在网上聊天认识了陌生人,因关系没处理好又缺乏与其他人的交流及帮助,就把杀人了,这种带血的教训实在应引以为戒。如:某青年在网吧上网聊天时结识了一名女网友,并在网上见过几次面。当该男子提出要与其成为男女朋友时,她称自己已有朋友,并带自己的男朋友与其一起聊天。可该网友仍不肯放弃,越陷越深。最后将该女孩的男友杀害。
2.7网络保护
如何加强对网络的保护是近年来人们越来越关注的一个问题。需法律、技术及管理等多方面共同配合。
案例1 Internet上个人信息被收集的途径及其影响
主要有三种:
1)通过用户的IP地址收集
用户上Internet时会被分配一个唯一的IP地。一些黑客利用自己高超的技术从网上获取用户的IP地址入侵到用户的计算机中,恣意盗取其信息。
2) 通过Cookies获得
Cookies是一种由站点直接发送到用户计算机上的小文件。这些文件会将用户所有的上网信息记录下来,包括访问过的页面和输入的帐号、密码等信息,供网络服务商分析利用。它通常只能由用户上网的站点阅读,但有些站点的服务商却借此买卖上网用户的信息。
3) 通过因特网服务商收集和利用
某些网站以有奖调查为名或在提供某种服务前,要求用户按照自己的要求填写详细的个人资料(如:姓名、年龄、身份证号码等)进行欺骗性收集,或在用户毫不知情的情况下搜集和利用用户上网时在无意间泄露出来的个人隐私材料。而对于他们认为不适于网上传阅的一些内容,又会将其任意删除,造成断章取义的现象。
由此可见,对用户而言,其所有的网上行为都可置于服务商直接的监管和控制之下。数据一旦被输入到网上就可能成为所有用户的共享资源。这既为大家使用这些信息带来了便利,也为那些别有用心之人将这些数据用来谋求商业上的利益,甚至用来作出有害于当事人的事情提供了便利条件。
3、影响信息安全的主要因素
3.1 数据的完整性
指信息及其处理方法是否准确和完整没被破坏,可以安全的让接受方获得全部数据。如骇客可能看不懂信息但可以删除一部分信息,这样合法的接受方就无法得到正确的信息。 影响因素有:人员、自然灾难、硬软件问题、网络故障等。
1)人员因素 人为的无意识失误、人为的恶意攻击及管理不善等。
一提到网络安全,给人的印象首先就是防火墙,杀毒软件。但这些安全完全建立在基于“内部人员的行为是可信赖的”这一假设上,而现实并非如此。FBI和CSI在2002年对484家公司进行的网络安全专项调查表明:超过85%的安全威胁来自公司内部、有16%来自内部未授权的存取,有14%来自专利信息被窃取,有12%来自内部人员的财务欺骗,只有5%是来自黑客的攻击;在损失金额上,由于内部人员泄密导致了60,565,000美元
的损失,是黑客所造成损失的16倍,病毒所造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害,同时也提醒国内组织应加强网络内部安全建设。
哪些途径可能导致内部人员泄密呢?
内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走
内部人员通过互联网将资料通过电子邮件发送到自己的邮箱
将文件打印后带出
将办公用便携式电脑直接带回家中
电脑易手后,硬盘上的资料没有处理,导致泄密
随意将文件设成共享,导致非相关人员获取资料
移动存储设备共用,导致非相关人员获取资料
将自己的笔记本带到公司,连上局域网,窃取资料
乘同事不在,开启同事电脑,浏览,复制同事电脑里的资料。
此外,还有很多其他途径可以被别有用心的内部人员利用以窃取资料。
单
步
与
员
业
案例2 内部人员泄密案 2004年5月,某大型企业研发中心发现某国外竞争对手领先一步完成了该企业重大研 发项目A产品的设计开发工作,但该企业在项目立项及开发过程中,还从未听说有哪家位也在进行A产品的开发,为什么竞争对手开发速度如此之快?经过检查,公安部门初判定为内部人员泄密。可要查出谁将资料泄密,难度太大。原因是该公司设计人员电脑普通工作人员电脑连在同一个局域网内,所有电脑都可以上互联网。计算机端口允许人将资料随意拷出,设计人员将某些机密文件设成共享,打印资料能随意带出。最终该企付出的1000余万元研发费用,众多研发人员的辛勤劳动全部付诸东流。
有些什么好的办法来防止内部人员泄密呢?一方面要配置必要的技术装备,另一方面也要加强管理,做好内部人员的保密教育,法制教育。“技术与管理”并重,才能从根本上杜绝内部人员泄密。
2)自然灾难 水灾、火灾、雷电、地震、风暴、工业事故
3) 硬软件问题
目前我国银行、证券等国民经济的要害部门和政府各部门计算机网络的主机很多是进口的。由于国外尤其是美国的高新技术是限制出口的,因此出口到我国的机器安全等级一般在C级以下,这意味着我国所有的计算机网络比起美国的网络在安全性上要相差好几个级别。
软件方面薄弱点更多。一个最突出的例子就是,中国几乎所有的计算机都安装有美国的
软件,相当多的人在使用着WINDOWS,而微软只要在编写WINDOWS时留下 一个超级特权用户账号,就能以合法用户的身份畅通无阻地进入个人的操作系统。甚至在以防火墙为代表的网络安全信息体系上,也因为主要依赖进口存在类似的问题。
4)网络故障 网络堵塞、网络掉线、服务器宕机等
3.2 数据的保密性
即保证信息仅为那些被授权使用的人获取。信息的保密性因信息被允许访问(Access)对象多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息一般为敏感信息或秘密。国家秘密可分为秘密、机密和绝密三个等级。信息的保密性有时效性,如秘密到期解密等。
影响因素有:直接威胁、线缆连接、身份鉴别、编程、系统漏洞
1) 直接威胁:
窃取、偷看、口令攻击等。如可通过以下途径非法获取用户的口令
通过网络窃听 安放嗅探器
通过用户主机窃听 安放木马程序
通过简单猜测 字典法、穷举法
通过系统漏洞 漏洞入侵
用户自己泄漏 告诉他人或存放易被发现的地方
利用社会工程学 使用心理学手段骗取信息
2)线缆连接:
电磁辐射 网线、无线电波等
网络监听 嗅探器、木马等
搭线攻击 电话线等
3)身份鉴别
网络欺诈、假冒身份等。如电子商务欺诈的主要种类有4种:信用卡欺诈、IP欺骗、心理欺骗、投资欺诈等。
4)编程
编写恶意程序破坏数据、程序设计不当留下隐患、通过编程留下后门。如:编写病毒 程序盗取网游帐号、利用U盘或移动硬盘带毒进行传播。
5)系统漏洞
微软的空连接 IPC$入侵
系统配置不当
芯片漏洞 英特尔迅驰(Centrino)无线驱动器存在的漏洞,使系统变得易受攻击,恶意用户可以获得进入电脑的权限。
3.3 相关的法律问题
主要涉及刑法、民法。目前针对网络犯罪制定的法律法规较少,我国已开始关注这一问题,同时网络秩序的建立需依靠各国协同解决。
法律就像高悬在那些以身试法者头上的达摩克利斯之剑,对他们起着威慑作用。2002年我国先后出台7部与网络安全管理有关的法规。最高人民法院明确规定:通过互联网将国家秘密或者情报非法发送给境外的机构、组织、个人的,或者将国家秘密通过互联网予以发布,情节严重的,都将依照刑法的有关规定定罪处罚。
案例3 手机中信息的安全
随着手机功能的不断增多,手机与日常生活的关系更加紧密,使得手机信息安全问题成为人们关注的焦点。手机信息安全一般来说包括三个方面。
一是手机在正常使用情况下的隐私保护
很多人习惯性的把一些重要的个人信息,比如重要日程提醒、私人照片、电话密码等保
留在手机的里。如果没有隐私保护功能,则很容易被其他人无意看到或者有意窃取。前两年著名电影《手机》里的故事就是这种状况的极端体现。
二是手机丢失以后信息的安全
有人因为手机丢失后遗失了全部通信录里的联系方式而无法通知亲友,给了不法之徒可趁之机。如通知其家人他遭遇车祸,需住院治疗,要其家人将钱打到指定的帐号上。 三是通过手机上网引发的信息安全问题
如信号被跟踪、截获、监听等。破坏手机正常运转的手机病毒通过手机短信、手机下载等方式传播让人恐慌。
4 如何保障信息安全?
俗话说得好:“魔高一尺、道高一丈”,绝对的网络安全是很难做到的。单独依靠技术手段来实现安全十分有限,应由适当的管理和程序来支持。而且信息安全管理需要组织中所有的员工参与以及组织以外的相关人员的配合,同时需听取专业人士的建议。总之,只有合理地协调法律、技术和管理三方面的因素,才能借助信息安全技术实现信息系统的安全性。 普通用户可实施的主要措施有:
培养良好的信息安全意识
正确设置口令
对重要信息安全存储、加密
做好系统平台的安全防护
安装杀毒软件、防火墙等
5 信息资源网络化带来的影响与挑战
电子化、网络化的普及使信息安全更加重要。
5.1 对经济发展的影响
网络化造就了一体化世界,跨国公司对世界经济的垄断越来越明显。如时代华纳与美国在线的联合、联想与IBM的结盟等,这对合作双方是互利互惠的,可对一些中、小企业就可能产生不利影响。现在全球大公司的兼并潮风起云涌,对世界经济的影响可能要到若干年后才会体现出来。而电子商务、金融业务全天侯、跨时空的服务模式也将对传统经济产生长远的影响。
5.2 对文化的影响
“孙志刚”事件改变了中国的法律,“易中天”、“于丹”被称为学术超男、超女。
5.3 对社会稳定产生的影响
在网络上散布一些虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个谣言造成的危害大的多。如非典期间,一个盐能治非典的短信,造成广东地区的群众抢购盐,引发社会恐慌。
5.4 对国家主权的挑战
美国前总统克林顿说过“今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家”。
某些国家借助其在信息技术领域中的优势,对其它国家实施信息技术控制、信息资 源渗透及信息产品倾销
例如某大国一些大型电脑公司近年向国外推出的某些型号芯片及某些操作系统,都暗中
留有“后门”,芯片上秘密设置了用以识别用户身份的序列码,每台电脑只有一个序列码,且无法改变。其操作系统软件则会根据用户的电脑硬件配置情况生成一连串与用户姓名、地址相关的代码,通过注册程序在用户毫无察觉的情况下传送到国外的网站。一旦使用这些设备进入互联网,一举一动就会受到该大国情报机关的监视。因此我国强调一定要研制龙芯片,在关键部位要有自主产权的产品。
信息战、网络间谍、黑客部队
间谍是一个古老的行当,最早的间谍是13世纪为教会收集情报的人。为了收集情报,他们要漂洋过海,并饱受车马劳顿之苦。如今的间谍只要座在电脑旁,动动手指头就可获取大量有价值的情报。
如:1999年1月份左右,美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织以及世界上的黑客组织,有组织地对我们国家的政府网站进行了攻击。99年7月份,当台湾李登辉提出了两国论的时候,我们国家的政府网站两次受到了攻击。当然我国的红客也进行了有力的反击,使红客名声大震。
6 结束语
信息在生活中无处不在,无处不有,因此,对信息的安全保护需要人人参与。加强信息安全教育,提高全民的信息安全意识,尤其是一些重要部门的管理者的信息安全意识是十分必要的。