军队网络信息安全与防护策略
行业应用
Network & Computer Security
军队网络信息安全与防护策略
解放军电子工程学院 郑 美 朱学永 安占峰
摘 要 随着信息网络技术在部队的应用日益广泛,军队的计算机网络信息安全问题也日趋严重。该文介绍和分析了网络信息安全所面临的威胁和现有的关键技术,进而提出了军队网络中的信息安全策略和信息安全管理制度。关键词 计算机网络 信息安全 关键技术 策略
计算机和网络技术以其惊人的发展速度向社会的各个领域渗透,在我们享受着信息化所带来的高效与便利的同时,也面临着计算机网络所带来的安全问题。新时期的军事对抗已成为以计算机网络为核心的“信息战” ,谁掌握了“制信息权”,谁就拥有了主动权,从而控制了信息战场。因此对于军队,计算机网络信息安全的重要性和必要性更是不言而喻的。目前我军信息安全形势非常严峻,官兵的信息安全意识淡薄,网络安全防护能力较弱,网络泄密和网络被攻击事件屡有发生,因此研究军队计算机网络信息安全具有举足轻重的战略意义。
脆弱性而编制的具有特殊功能的恶意程序。通过向系统中浸入病毒、“蛀虫”、限门 、逻辑炸弹,或通过窃听、冒充等方式来破坏系统正常工作。它具有自我复制、夺取系统控制权、隐蔽性、潜伏性等特点。
(3) 拒绝服务攻击
拒绝服务攻击是一种最悠久也是最常见的攻击形式,它将提供服务的网络的资源耗尽,导致不能提供正常服务,是一种对网络危害巨大的恶意攻击。其实严格来说拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。
(4) 来自内部人员和间谍的威胁
其实,更重要的安全威胁来自网络内部,由于误操作、好奇或者泄愤,内部用户会对军队关键信息的安全和完整性构成威胁,并且这些人员比起其他入侵者更接近军队信息。敌对国家或组织通过间谍,潜入一些我国军队网站盗取重要信息。
(5) 其他安全威胁
自然灾害、物理设备故障及其他意外事故等也会对网络基础设施和数据造成破坏。
(6) 用户安全意识和认知不足
非技术层面的陷阱更具威胁性。对信息安全的认识不足,对安全的理解和关注不足,对安全基础设施的利用和资金投入不足、不及时,都会构成军队网络信息的安全缺陷。
一、网络信息安全面临的威胁
由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性的特征,致使网络易受黑客与恶意软件和其他不轨行为的攻击,诸如数据被人窃取、服务器不能正常提供服务等等!对于军网,很多数据的保密级别是非常高的,如果这些敏感信息被窃取或泄漏,所造成的损失将是不可估量的。总的来说网络信息安全面临着如下几个主要威胁。
(1) 口令入侵
口令入侵是指用一些软件解开已经得到但被人加密的口令文档,是黑客的最老牌的攻击方法,这种攻击方式具体包括三种方法: 1) 暴力破解法。在知道用户的账号后用一些专门的软件强行破解用户口令;2) 伪造的登录界面法。在被攻击主机上显示一个伪造的登录界面,当用户在该界面上键入用户名、密码后,程序将用户输入的信息传送到攻击者主机;3) 通过网络监听来得到用户口令。
(2) 计算机病毒
计算机病毒是由某些人利用计算机软、硬件系统所固有的
二、完善军队网络安全中的几项关键技术
要使我军的信息化、现代化的发展不受影响,就必须去克服众多的计算机网络安全问题,去化解日益严峻的网络安全风
43
计算机安全 2006.8
行业应用
Network & Computer Security
险,而要把风险降到最小,则应着力抓好网络安全防御体系的设计,以下介绍几种网络安全的关键技术。
(1) 防火墙技术
防火墙实际上是一种隔离技术,在两个网络通信时执行一种访问控制手段,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止黑客来访问你的网络,防止他们更改、复制和毁坏你的重要信息。它可以帮助军队系统进行有效的网络安全隔离、限制外网的非法访问,还可以屏蔽内部的不良行为,防止军队敏感信息的外泄。
(2) 入侵检测技术
入侵检测技术是一种用来对非法入侵行为进行检测从而及时采取有效防护措施的网络安全技术,强大的、完整的入侵检测系统可以弥补防火墙相对静态防御的不足,能对付来自内部网络的攻击,能够大大缩短黑客可利用的入侵时间。入侵检测应用了以攻为守的策略,它所提供的数据不仅可发现合法用户滥用特权,还可在一定程度上提供追究入侵者法律责任的有效证据。
(3) 安全扫描技术
通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞。客观评估网络风险等级,网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,以提前主动地控制安全危险,在黑客攻击前进行防范。
(4) 数据加密技术
是为提高信息系统数据的安全性与保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。
(5) 智能卡技术
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由用户赋予它一个口令或密码,该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。
1、物理安全策略
物理安全是保护计算机网络设备、设施以及其他媒体免遭自然灾害以及人为操作失误和各种计算机犯罪行为所导致的破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境。我们知道信息可以通过电磁波的方式被泄漏出去,抑制和防止电磁泄漏是物理安全策略的一个主要问题。我们可以采用电磁屏蔽、隔离、接地、滤波等措施,还可以利用干扰的防护工具,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征,目前这项技术在军网中得到了很好的应用,也取得了较好的效果。
2、访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。访问控制策略主要包括以下四种:
(1)入网访问控制
入网访问控制为军网访问提供了第一层访问控制,是进行军网防护的第一道屏障。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
(2)网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。我们可以根据访问权限将用户分为以下几类: 1)系统管理员,管理网络中的其他用户和权限控制; 2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;3)审计用户。
(3)网络检测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会记录企图尝试进入网络的次数,如果达到设定数值,则此帐户将被自动锁定。
(4)防火墙控制
在防火墙上设定安全过滤规则,DMZ访问规则既可以严格控制外网用户非法访问也能限制内部的不被允许的出网行
三、军队网络信息安全的防护策略
面对网络种种威胁,为最大限度地保护网络中的敏感信息,军队系统应采取有效的安全策略来确保网络系统的安全运行。下面介绍几种网络安全策略以供参考。
计算机安全 2006.8
44
行业应用
Network & Computer Security
为,并只打开必须的服务,防范来自外部的拒绝服务攻击,并可以通过IP地址与MAC地址的绑定防止IP地址欺骗。
负责的原则,各尽其责,不能超越自己的管辖范围。
(3)制订完备的系统维护制度:对系统维护时,应采取数据保护措施,对故障原因、维护内容和维护前后的情况要详细记录。
3、信息加密
对重要敏感信息进行有效加密,防止敌军窃取和破析。信息加密的重要环节是对加密算法的选用。现在许多部队盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理,这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。因此要慎重选择加密算法和加强密钥管理。
3、严格控制信息资源的管理和使用
(1)存放业务数据或程序的磁盘、磁带或光盘,管理必须落实到人,并分类建立相应的登记簿,记录编号、名称、用途、规格、制作日期、有效期、使用者、批准者等。
(2)凡不能正常记录数据的盘带、光盘,须经测试确认后由专人进行销毁,并做好登记工作。
(3)程序和数据必须严格保密,未经上级部门同意,一律不对外提供任何数据和程序。
(4)程序和数据除按规定进行拷贝以外,任何人不得以任何借口和形式进行拷贝。
在信息作战条件下,信息安全是军队战斗力的“利剑”,但是不能确保计算机网络的信息安全,那它就成了“软肋”。我们在技术和管理上采取高效严密的策略的同时,还要大力加强官兵的信息安全意识,培养网络安全专业人员,只有拥有一支训练有素的“网军”,才能保证军队在未来的信息战中占据主动权。
4、隔离被感染的计算机
当出现病毒传播迹象时,应立即隔离被感染的计算机,并进行处理,不应带毒继续工作,防止病毒扩散。否则,一旦有病毒就极易在军网上泛滥,如果是木马程序那将会给军网带来更严重的安全隐患。
5、加强数据备份
对数据库文件和系统文件都要进行多种备份,以便一旦出事,可以迅速恢复。
四、制定严格的信息安全管理制度
1、内部安全管理原则
网络系统的安全管理主要基于三个原则。
(1)多人负责原则:每一项与安全有关的活动都必须有两人或多人在场。
(2)任期有限原则:任何人最好不要长期担任与安全有关的职务,管理人员应该不定期地循环任职。
(3)职责分离原则:负责信息处理工作的人员不要打听、了解或参与职责以外的任何与系统安全有关的事情。
参考文献
[1]黄鑫,沈传宁,吴鲁加. 网络安全技术教程—攻击与防范[M]. 北京: 中国电力出版社.
[2]刘育楠,马军. 局域网安全与代理服务器设置[M]. 北京:清华大学出版社.
[3]李大成,张京,龚茗茗. 计算机信息安全[M]. 北京:人民邮电出版社.
[4]安庆军等.信息战与信息安全策略[M].金城出版社.
2、制订相应的管理制度或采用相应的规范
(1)制订相应的网络中心出入管理制度:对进入网络中心人员要严格执行登记等制度。
(2)制订严格的操作规程:操作规程要根据职责分离和多人
(上接42页)
在危险部位标以危险符号和警告标记。所有对地的电压(交流峰值或直流)大于42.2V的易触及部分,均应加以安全保护。应定期对使用人员进行安全教育及培训。
度,并通过培训和促进措施,保障各项管理制度落到实处。说明管理安全实施的执行标准:如ISO13335和ISO17799等。
然后根据总体评估的结果,写出评估分析报告。如经过对管理制度的评估、物理安全的评估、计算机系统安全评估、网
五、评估结果(总体评估)
通过管理制度的评估、物理安全的评估、计算机系统安全评估、网络与通信安全的评估、日志与统计安全的评估、安全保障措施的评估,为以上各个方面建立安全策略,形成安全制
络与通信安全的评估、日志与统计安全的评估、安全保障措施的评估等六个方面的评估,指出该企业的网络信息系统的安全存在严重漏洞。并针对存在的问题进行详细说明,提出相应的修改意见。
45
计算机安全 2006.8