1、防火墙技术
防火墙技术是在受保护网和不被信任的网络之间设立一个屏障,对进出的所有报文进行分析,或对用户进行认证,从而防止有害信息进入受保护网,以保护内部系统的安全。
防火墙的主耍功能如下:
过滤不全服务和非法用户,如finger,nfs等:禁止未授权的用户访问受保护网络。控制对特殊站点的访问。防火墙可以允许受保护网的一部分主机被外部网访问,而另一部分被保护起来,防止不必要访问。如受保护网中的mail, ftp, 服务器等可被外部网访问,而其他访问则被主机禁止。有的防火墙同时充当对外服务器,而禁止对所有受保护网内主机的访问。提供监视internet安全和预jǐng的方便端点
防火墙常常可以有效地防止黑客的攻击。但是,防火墙难以避免来自内部的攻击。防火墙只是一种整体安全防范策略的一部分。防火墙的技术发展总体来看,经历了三个阶段,即包过滤技术、代理技术和状态监视技术。
(1)包过滤技术
包过滤防火墙的安全方式是ip地址检验。在互联网上,所有的信息都是以包的形式传输,包括发送者的ip地址和接收者的ip地址。网络上的路由器会读取每一个信息包中接收方的工p地址,然后选择不同的通信线路将这些信息包发送到目的地。所有的信息包抵达目的地后再重新组装还原。这时位于接收方网络出口的包过滤式防火墙会检查所有信息包中发送方的ip地址、接收方的ip地址、tcp端口、tcp链路状态,并按照网管人员预先设定的过滤原则过滤信息包。那些不符合规定的ip地址会被防火墙过滤掉,由此保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层上的黑客行为则无能为力。
(2)代理技术
代理技术是比单一的包过滤更为有效的安全保护手段。它通常运行在两个网络之间,对于用户来说像一台真的服务器,但对于外部网络接收呼叫的服务器来说它又是一台客户机。当代理服务器接收到用户请求后会检查用户请求合法xìng。如果合法,代理服务器会像一台客户机一样取回所需要的信息再转发给客户。代理服务器将内部用户和外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源。但代理服务器没有从根本上解决包过滤技术的缺陷,在应用支持方面也有不足之处,而且速度较慢。
(3)状态监视技术
这是第三代网络安全技术。状态监视器的监测模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实行监测,并作为安全决策的参考。监测模块支持多种协议和应用程序,可以方便地实现应用和服务的扩充。另外,状态监视器还监测rpc和vdp端口信息,而包过滤和代理网关都不支持此类端口。这样,通过对各层进行监测,状态监测器从而实现保证网络安全的目的。
2,数字签名技术
数字签名技术是采用加密技术的加、解密算法体制来实现对报文的数字签名。
数字签名能够实现以下功能:
(1)收方能够证实发方的真实身份
(2)发方事后不能否认所发送过的报文:
(3)收方或非法者不能伪造、篡改报文。
实现数字签名的方法较多,本文只分析两种常用的数字签名技术。
(1)秘密密钥(secret key)的数字签名
秘密密钥的加密技术是指发方和收方依照事先约定的密钥对明文进行加密和解密的算法,它的加密密钥和解密密钥为同一密钥,只有发方和收方才知道这一密钥(如des体制)。由于双方都知道同一密钥,无法杜绝否认和篡改报文的可能xìng,所以必须引入第三方加以控制。秘密密钥的加密技术成功地实现了报文的数字签名,采用这种方法儿乎使危害报文安全的可能xìng降为零。但是这种数字签名技术也有其固有的弊端。在全部签名过程亡“,必须引入第三方zhōng yāng权威、同时必须保证zhōng yāng权威的安全xìng和可靠xìng,这就为zhōng yāng权威的管理带来了很大的困难,这问题可以由下面的公开密钥的数字签名技术来解决。
(2)公开密钥(public key)的数字签名
由于秘密密钥的数字签名技术需要引入第三方机构,而人们又很难保证zhōng yāng权威的安全xìng、可靠xìng,同时这种机制给网络管理工作带来很大困难,所以迫切需要一种只需收、发双方参与就可实现的数字签名技术,而公开密钥的加密体制很好地解决了这一难题。公开密钥密码体制出现于1976年。它最主要的特点就是加密和解密使用不同的密钥,每个用户保存着一对密钥― 公开密钥pk和秘密密钥sk,因此,这种体制又称为双钥或非对称密钥密码体制。这种数字签名方法必须同时使用收、发双方的解密密钥和公开密钥才能获得原文,也能够完成发方的身份认证和收方无法伪造报文的功能。因为只有发方有其解密密i11,所以只要能用其公开密钥加以还原,发方就无法否认所发送的报文。
三、平衡网络安全xìng和可访问xìng
当我们重视安全问题时,还必须注意保持网络安全xìng与可访问xìng之间的平衡。商业的需求要求网络的某些部分必须易于访问,这样才能激励人们使用它。internet %f1 intranet被企业广泛地接受,并作为企业增强竞争力和改善it服务的渠道,其主要原因就是它们改善了网络的可访问xìng。
但是,开放网络在提供了更好的可访问xìng的同时,也将公司数据**在不断增长的病毒以及未授权访问的威胁之下。因此,每个公司都必须考虑安全策略、执行安全策略的工具以及承担因安全缺陷而受到伤害的风险。系统和网络管理软件往往成为企业解决安全问题的突破口,因为这是处理开放和异构网络安全问题的最好地方,通过系统与网络管理实现安全解决方案,企业网络系统可以做到对资源和访问进行zhōng yāng控制并减少管理负担。事实七,近年来网络管理的趋势己经从对管理通信传输系统的低层次的单一控制转向高水平的和主系统的控制,进而使得用户在网络系统管理的过程中,就能够满足他们的安全需要。
与其他系统管理功能一样,安全工具还能够将安全策略集中到zhōng yāng控制之下,网络管理工具开发者可以提升他们的安全工具产品作为一种系统内部的结构,使安全的管理工作更加容易。
四、网络安全对未来的影响
计算机技术将不断快速发展,安全xìng将成为计算机产品所必须的工业标准。
以下有一些是将要出现或变得举足轻重的网络安全技术:
随着越来越多的系统利用密码技术,智能卡和数字认证将变得盛行。软件将主要以java或activex这样可供下载的可执行程序的方式运作。网络安全管理系统的建造者们需要找到如何控制和维护可下载式程序的方法,并防止病毒程序蔓延。
htp文件格式将被越来越多的信息服务机构作为传递消息的方法.防火墙对于将安全策略应用于数据流的作用将减低并会逐渐失去其效力。虚拟网络将与安全xìng相融合,并很有希望与网络管理系统结合起来。软件硬件将协同工作以便将带有不同类型的目的和特xìng和网络彼此隔离,由此产生的隔离体仍将被称作防火墙。
而从现在起和未来,网络安全将会成为世界xìng社会问题的一部分。随着网络技术的飞速发展,特别是将成为21世纪网络应用领头羊的电子商务逐步走向实用化,网络安全越来越成为网络应用中的一个重要课题。更加优秀的安全技术还在不断地涌现,有关网络安全的讨论也将是一个无休无止的话题。网络安全重在技术,但更重在应用。通过科学规划、完善策略,网络安全将是可以保障的。安全是一个网络最基本的要素,在网络的规划阶段就应充分考虑,唯有如此,一个网络才是完善的。
信息化战争的攻/防对抗
信息化战争的准备态势
九十年代,人类已跨人信息化的时代。军事领域里正在孕育着一场深刻的革命。信息化可能逐步成为未来战争的基本特征”。自1991年海湾战争以来,军事家们就敏锐地预感到,人类正在进人信息化战争时代,以计算机技术为核心的信息化战争,信息流是战争之魂,谁能占据信息的主动,控制信息,进而控制敌我双方“网络使用权”,那么谁就能控制、驾驶数字化战场,兵不血刃,赢得未来信息战争的胜利美国高级军事将领认为,为r打赢下个世纪的信息化战争,将进一步加强与扩大诸如信息处理、网络通信和电脑技术世界领先的优势地位,以进一步提高部队的战斗力美国正在把信息化战争的思想与相关技术贯彻到部队各级,并深人到单个士兵;在部队师以上单位大多成立厂信息战/网络战办公室,以组织、实施、协调信息战的事宜。美军内部已经构成了一个完善的计算机网络,而且还在继续迅猛发展、扩展和增强。
美军数字化部队的实验证明,一旦现代化的装备与信息化技术相结合,将使部队的战斗力大大提高美陆军部认为,数字化师的作战效能要比普通师提高50%- 1997年3月,美军正式成立了第一个数字化旅(即第4步兵师第1旅);计划于2000年,美军第4步兵师将成为美陆军第一个数字化师;计划于2004 年,美陆军第3军将成为美陆军第一个数字化军美军计划到201。年,运用计算机网络技术把每个士兵与武器系统,甚至与指挥部连接起来,指挥员随时可以实施指挥,甚至可对单兵进行直接指挥,以此形成数字化战场,实施信息战/网络战。
以计算机为核心技术实施的信息战主要有计算机病毒战;② 网络战;③黑客战。
黑客网上攻击(即黑客战)
黑客非法闯人系统,进行破坏而实施的攻击有多年的历史,而今,黑客攻击某个系统比以往更加多样化,更趋老练他们已是一个群体,有组织有计划、有目的地实施攻击,可达到快速、准确,因而,造成的危害也就更大,更严重。黑客实施攻击前,一般都要事先搜集有关信息,广泛地获取被攻击系统〔对象)的有关资料、数据。然后,设法获取访问权。
2. 1 黑客攻击的典型步骤
据美国((finsncial time》统计,目前,全球平均每20秒就发生一起黑客入侵网络系统的事件,严重地威胁着用户的信息安全。
黑客人侵步骤:
窥视
类似于普通盗贼在作案前的外围侦察黑客首先利用一些作案的网络工具,以确定被攻击系统在internet网上的位置和结构,以及外围安全设备类型和结构,并确定入侵点
② 外围刺探
相似于普通盗贼撬门开锁黑客找到系统安全的薄弱环节,进人网络的正常服务,如通过emall系统和主页系统进人网络。
③寻找内部落脚点
黑客一曰获得进人网络的权利.便在外围设备中为其寻找一个安全的、不易被发现的落脚点(通常,黑客找一个能获得root权限的主机作为落脚点)
④实施侵人目的
黑客一旦找好落脚点,开好“后门”.人侵的黑客就变成系统内部人员r(酷如打人内部的间谍),这时人侵的黑客就可实施预先的目的。例如偷窃软件源代码和金融数据、访问机密文件、破坏数据或硬件、篡改文件,甚至为今后再次人侵方便而安置“特洛伊木马”程序
⑤掩盖痕迹,以防发现
人侵黑客在完成既定目标后,必须谨慎地掩盖白己的踪迹,以防被发现。典型的做法是删除或替换系统的rì志文件
2. 2 黑客攻击的主要类型
非法使用资源
黑客盗用和滥用诸如计算机资源、电话服务网络连接服务资源等一旦黑客人侵并控制了系统,他就可无限制地盗用这此资源这种非法人侵虽然对系统不作破坏,但他无节制地监用电话服务或在全球的数据通信网中zì yóu漫游使其昂贵的通信费用都将转嫁到用户或服务商的帐户上.而黑客却消遥法外
②有目的恶意破坏
一旦黑客人侵得手,对系统或数据文件肆意破坏,这样恶意毁坏数据和修改页面内容或链接,或对网络系统的信息轰炸,以致造成用户正常服务中断
③盗窃数据
黑客侵人后,盗用任何有价值的数据,诸如商务信息,军事机密、金融数据和其它敏感的信息等。据美国fbi估计,每年由于数据被盗而造成的直接经济损失高达75亿美元。
敲诈勒索
用户系统一旦被黑客人侵,就将遭受种种破坏,从而直接造成经济损失,特别是那些金融机构受害更甚。金融机构一fi被黑客人侵,数据被篡改、破坏,但又为了顾全面子,维持安全甚佳的对外声誉而不敢声张怕失去客户信赖,这就中了黑客敲诈之计当黑客进人某某系统并在网络中安置上“持洛伊木马”程序后,就向该用户勒索钱财,若用户不预理睬,则破坏程序便可自动启动,实施破坏。因此一些用户,特别是一些金融机构往往采取息事宁人,破财免灾之举,纵然使黑客服务敲诈频频得手
2. 3 黑客常用的诡计
黑客攻击系统的手段越来越多,常用的诡计有以下几种
即时消息轰炸法
黑客可采用系统程序,利用即时消息功能,应用海量的消息集中轰炸某一用户,致使法定用户被“挤出”在线服务。据称,西方有个自称为twix的黑客,他编制的chocote某程序,就是干这个坏事的。
此外,一种称为pinting技术,它用邀请进人某个闲谈室的诡计淹没用户,pinting是黑客的惯用手段,因受害者不容易复制快速掠过屏幕的文本,也就无法把它传送给ips服务器管理机构。
② 捕获法
黑客有许多程序能捕到用户实时交换文本的功能特xìng,也就是使用户实时交换文本的功能特xìng,发送冒充的但看起来像ips服务器工作人员发送的函件,诡称是某某/ips公司的会计部的,因工作检查所需,要与你(用户)核对你的登记口令,以便确认你是一个合法用户,并立即修订我们的记录凡此种种,若遇到缺乏实际上网经验的用户,往往就会卜当受骗,恭手提供了自己的口令
3.查卡法
黑客查卜用的程序是捕获程序的一部分。例如,黑客冒充某某ips公司会计函告,由于工作上出现差错,我们要求把你的全名、信用卡密码、有效rì期以及电话码告诉我们,等等。或者,黑客应用其它的查卡程序,按照特定的规则生成仿造密码。这种仿造密码可通过ips,服务器的第一道防线,可让黑客开立免费帐户。
④ 电子邮件轰炸
黑客采用大量的消息堵塞某某的e-- mail信箱,这是在线侵扰的一种简单而奏效的方法。许多黑客程序可方便地进人闲谈室,并自动地向每个对话人邮寄**轰炸其电子信箱。
⑤违反业务条款
黑客的这种诡计用于在网上陷害某用户,使其蒙受违反ips服务器成员法规、条款而受到惩罚。因为,某些黑客程序的欺骗活动,达到以假乱真的程度。看起来就像某用户在向黑客发送一条攻击xìng的e-mail 消息,这条消息一当传送给ips服务器工作人员尚可区分真假e-mail,但诸如在闲谈室讲话时仿造一条攻击xìng消息,则ips服务器管理员也难以分辨真假
⑥特洛伊木马诡计
这些黑客程序是针对ips服务器的,类似于“特洛伊木马”的病毒程序的变体它表面看起来像一种合法的程序,但是它静静地记录着用户输人的每个口令,然后,把这些口令发送给黑客
⑦网上设备假冒站点
在成千上万的internet站点中,黑客们jīng心设计了一些假冒站点(当今,也有黑客们公开的许多站点),以便诱骗用户上当,从而达到黑客们不可告人目的,美国普林斯顿大学的安全专家已发现一些假冒站点,黑客通过这些假冒站点发送恶意的信息或染上病毒的软件,诱使用户下载而上当
2.4 黑客的后门技术
黑客采取隐藏措施,即覆盖他们进人系统时留下的珠丝马迹,然后安装“后门”以便他们任何时候都可以访问系统。-b这些步骤(过程)得逞,建立起桥头堡,那么他们就可以由此作基地对其它站点实施目的xìng攻击。后门技术是黑客进人系统后要作的关键一步.因此黑客们处心积虑地开发了一系列后门技术
口令猜测器后门
黑客惯用的一种手法,运行口令jīng测器,对一些用户的帐号被猜测到而破获多数情况下黑客会寻找那些长时间不使用的容易猜测的账号,然后变换c7令字。
②文件系统后门
黑客想在被攻击系统的服务器上不易被对方系统管理员发现的地方存储他们的东西(如数据),典型的是开发系统缺陷的工具箱、后门、包吸取器、拷贝的数据、源代码等为躲过系统管理员的注意,黑客可以修改文件系统命令如‘`ls‘, ‘du”和.ysck‘,以便隐匿某此文件
③网络通信后门
黑客不但想隐蔽其在机器上痕迹,而且还要隐蔽他们的网络通信,这些网络通信后门有时允许黑客通过防火墙获得访问权有许多网络后门程序允许在机器上建立特定数值的服务端口.因而通过非正常服务获取访问权
④forward后门
在unix机器里,把命令放到forwad文件同样可以重新获得系统的访问权。
⑤服务后门
大多数服务均被黑客利用过,诸如finger, rsh, rlogin ,f如等等当今黑客可以在上百个网络服务中挑选一个连接到某个tcp端口的shell,再加上一个后门口令就可以获得访问权
除上述五种后门技术外还外:
rhosts后门;进程隐藏后门;
kernel后门;cronjob后门;
telnetd后门;udp shell后门等不下百来种,而且黑客还在继续开发新的后门技术为了网络安全,防止黑客利用后门技术人侵,当前世界l比较有效的方法是采用“人侵检测系统(ids) ‘,它是一基于实时采样和网络通信安全分析的技术,大多数网络系统的安全后门,用ids很容易检测到。最新的ids技术可以深人dns u dp包,从而确定是否同”ns协议请求相匹配。一旦dns端口数据同dns协议不匹配,就会产生一个jǐng示标记,并对数据进一步加以分析、判断实际上,许多后门是可通过对程序和配置文件进行rì常的审计和完整xìng检脸发现的通过比较文件以前和现在的状态信息,也可以发现大多数注人的后门,从而发现黑客的痕迹
2.5 黑客利用软/硬件及系统上的漏洞实施攻击
据美国国防部信息安全首席顾问christopher kus(美国iss公司董事长)谈到网络系统不同层面的信息安全问题时指出:心通信层,在tcp i ip协议上,路由器及网络集成器上都存在着漏洞,比如modern 就很容易让黑客从外界侵人;②cāo作系统,包括各类版本的uni、系统\windows95window.,nt及〕)s等等,都存在着许多漏洞;虽然对漏洞,供货厂商已作了相应的修补措施,如it山es修补软件。但用户往往不去向供货商索取(据美国统计95%的用户末向供货商索要修补软件),从而使漏洞继续留着隐患;③应用层,包括各种应用软件、防火墙、webserver, routers软件等等,也都存在着很多漏洞,
如何防范黑客的攻击,kus先生提出了以下二点建议: 用户对网管人员要进行多方面的有关信息安全技术、法规的培训,以便了解信息安全的重要xìng,以及如何采取防范黑客人侵的应对举措;②要做好计算机安全的审计工作,审查用户对制定的行政与技术措施是否被认真地、不折不扣地贯彻执行;③ 高层次的用户,对信息系统采取实时监控的方法它能实时地观察系统目前是否正在被黑客攻击。据称,美国iss 公司的技术可以做到这一点,它被称为可视xìng安全管理〔它由观察检查和解决这二个部分组成)。执行时,观察、检查、解决这三个过程不断地循环以便用户及时了解白己的系统,此刻处于什么样的安全态势,以便及时采取应对措施
iss公司的安全检测产品主要有:
a. internet scanner测试软件;
b.intranet scanner测试软件;
c. web security scanner测试软件;
d. firewall scanner测试软件;
e. systemy security scanner测试软件;
f. feal secure实时监控软件。
另外,iss公司最近又推出real secura3. 0的新型集成监测系统,它集成了基于网络和系统的侵扰检测和反应能力,形成了单一的用户对来自威胁的管理框架,实施24小时不间断的端到筛信息检测。由于在网络和cāo作系统中集成了受侵扰检测能力,因而,real secure3.。能在受攻击(或误用)刚一启动(开始)时就敏感地检测出来,并迅速采取应对措施,制止攻击(人侵),或在攻击撤退后跟踪侵扰的范围
2. 6 网络端口攻击
端口攻击是常见的一种攻击方法,其主要攻击方式有:
ip电子欺骗(ip spoofing)
ip spoofing攻击是通过向主机发送ip包来实施的,过程如下:
攻击端-syn(伪造自己的地址)~被攻击端;
伪造的地址、syn - ack~被攻击端;
被攻击端等待伪端的回答黑客常用的一种简单的syn attack的方法是利用nets ray的软件(for win95 and nt),首先,产生一个止常的(以telnet/ftp/gopher/或以别的方式连接到想要攻击的机器,然后把送出的那相syn packet 再截取下来),然后再修改那个syn packe,找出关于source工p那个offset,修改任意的ip。继而找出关于校验和的地址,把校验和修改好,再把该包拷贝到net ray发送包的工具,最后,在一秒钟内发送几千个syn attack到对方,让对方的机器再也无法接受正常连接请求,使机器陷人瘫痪状态
源搜寻攻击(sourace rouging attack)
在ip包的ip选项域中,有lsrr(zì yóu源和记录路径)和ssrr(jīng确源和记录路径)两种类型的“源搜寻”功能项。功能项设计的口的在于方便网络故障的调测。假如用户的防火墙允许调测包,那么,黑客就利用此即可简单地发送调测包,从外部网送到内部网,从而逃过了防炎墙的监控。
2. 7 拒绝服务攻击程序
拒绝服务攻击程序(denial of service),简称为teardrop 它通过windows桌面系统或nt4. 0工作站及服务器发送畸形的基于tcp ap的udp软件包来毁坏vi标对象。tear drop利用伪装的信息渗人pc 机和服务器,致使设备过载或毁坏当今,新tear drop攻击程序已能自动运行其毁坏xìng更大、更重。加之,tear drop攻击程序没有合法返回地址因此,很难追踪
2.8 应用扫描器(scanner)实施攻击
uni、服务顺器有一个不上锁的“后门”,即文件传输协议(the so-called trivial file transfer)该协议允许计算机网络或;nrerne:上的任何人不需使用任何「i令就可进行文件传输网上防御黑客入侵对付黑客非法入侵除上述已谈及iss公司的快速人侵检测系统外,还有以下技术与产品。
3.1 静态安全技术
月前市场上常用的产品属于静态安全技术,如防火墙和系统外壳等外围设备它们是针对来自系统外部的攻击,但一旦过r认证系统、入侵黑客也就变为内部成员.便可通行无阻,防御设备也就起不到安全把关的作用r。针对此项不足,nai(美国网络联盟公司)为其作了改进,推出了最新防火墙系统gaunt let firewa113.ofor window nt,其核心技术为‘。自适应代理技术”测试表明,该产品xìng能比传统防火墙提高十倍。通过对大多数认证系统的支持使用户能够选择最好的认证技术,充分保证系统的安全特xìng
3.2 动态安全技术
动态安全技术,它能够主动地检测网络的易被攻击点和信息系统的漏洞,它比人工检测优越得多。它的主要检测工具包括:测试网络、系统和应用程序遭受攻击点检测和扫描工其,以及自动通报和告jǐng系统nai推出的cyber cop产品,它是一种集网络系统人侵检测、安全扫描、动态响应和审计分析于一体的完整入侵检测方案。cyber cop网络检测和评估套件有:cyber cop scanner,cyber cop network和cyber cop server三个产品
3. 3 gauntle for unix 4. 2防火墙
最近,美国nai公司推出了新版防火墙软件gauntle for unix 4. 2,它与前版本不同,采用的安全保护方法是“应用网关”。它支持基干java的gui,流行的认证系统和网络管理功能。它既可以预先安装在基于奔腾芯片的平台上,也可以用软件包的形式顶先安装在bsd/os, soris, hp--ux和其它cāo作系统平台中gauntle for unix4. 2版防火墙包含在gauntle active firewall(gaf),total network、ecuity(tns)net tools secure(nts和tet tools(nt)套件中该防火墙带有强大的企业防火墙管理功能为了确保管理员和各个防墙之间的通信免遭栏截或伪造它还免费集成了全部加密和验证功能,使其xìng能大大提高
3.4 session一wall一3
abirnet公司推出的session-wall-3 (2. 1版本)产品,它是一种功能全面的产品,功能包括:定义监控,过滤及封锁网络通信量规则等当session -wall -3检测到人侵攻击后即向本地控制台发jǐng报、电子函件,并进行事件登录,同时还备有向系统安全管理点发寻呼的功能
3.5 nfr(neteare filight recorder)
anzen公司推出的nfr系统,提供了一个网络监控框架,利用这个框架可以有效地执行入侵攻击的检测任务oem公司可以基于nfr定制具备专门用途的人侵攻击检测系统
3.6 iers系统
ibm 公司的iers(internet emergency response service)系统由两个部件所组成;net ranger检测器和boulder监控中心net ranger检测器负责监听网络上的可识别的通信数字签名,一旦发现异常隋况,即启动boulder监控中心的jǐng报器信息战进攻的功能
4.1 破坏敌方信息及其信息系统
敌方信息系统之前(或之后)对信息采取行动
4. 2 破坏/瓦解敌方信息系统的保护功能
用于破坏/瓦解敌方对信息\软件和信息系统采取的保护措施。
4.3 进(攻)入敌方信息系统
强行闯入敌方信息系统、网络和档案数据库,并注入(标记)符合己方要求的信息。
4. 4 破坏敌方信息系统实体
采用传统的硬杀伤手段,以及中断其系统服务能力,用于防止敌方访问和使用它的系统功能
4.5 切断敌方信息传输流
人侵某一指定的信息系统,切断系统中任何方向的流动。
4.6 注入假情报
在敌方系统中注人虚假的情报,使其真假难关,造成混乱
4. 7 派员渗透入敌方信息系统
利用传统手段,把我方网络高手渗人到敌方阵营的信息系统中,待遇机而动
4.8 伪装攻击源
防止敌方了解信息进攻源,并阻止了解信息进攻源本身的行动目的。
5 信息战防御的功能
5·1 信息抗毁
为了保护己方的信息安全不受敌方的干扰与破坏,必须有一套强有力的信息抗毁功能系统,以使己方的信息流在任何情况下正常奔流
5·2 访问控制
为确保已方信息系统的安全,必须实行访问授权制度,即只允许被授权的人员访问信息系统,不允许未经授权者访问
5·3 网络管理和控制
一当遇到非常情况,运用可重新配置、抗破坏协议和控制算法,实现自我修复和管理在不同种类平台与网络上的分布计算
5.4 毁坏评估
此系统用于确定信息战攻/防实施中的作用效果
5. 5 服务器的实用xìng/可靠xìng
确保己方信息系统因战略/战术行动所需的可用xìng/可靠xìng
5. 6 响应功能
凡在己方受到非法人侵,网络系统的安全受到严重威胁时,可实施隔离、纠正或其它相应对策的功能,并使其具有采取隔离、控制、纠错和秘密监控等能力
5. 7 入侵探测和威胁苦报
探测内部人员和外来人员的非法人侵的图谋,以及业已非法人侵的动机,并迅速报jǐng,以使系统管理人员采取断然的对策措施
5.8 易损(毁)xìng评估与应对措施
用于如实评估敌我双方的信息系统以及基于信息系统的信息流程健全与运行此项功能,既可客观评估已方系统的风险管理程序,又可对敌实施攻击提供客观依据。
5.9 预示(奋告)
为己方信息系统及其子系统提供即将可能发生的信息攻击的预兆和提示。关于战略级信息战的作用评估攻击/摧毁敌方信息系统,或在隐蔽不被探测的情况下改变敌方信息(内容),这个举措可在信息进入战略级信息战即是国家级信息战,是信息时代的一种新作战方式,其核心是如何攻击敌方的社会经济系统,同时又严密地保护自己的社会经济系统不受侵犯。随着国际上信息基础设施的rì益增长,其网络信息系统(如internet)的作用范围已超越i国界,它又存在着无数个让人zì yóu进人的访问站点这就大大增加了国家信息基础设施的脆弱xìng,即易受攻山xìng
因此,有人曾设想,某个国家组织一批超级“黑客”.通过internet网侵人另,个国家的金融、交通、电力、石油等国家重要经济命脉和zhèng fǔ重要机构,致使该国交通瘫痪、金融混乱、电网停电、油厂爆炸,而zhèng fǔ部门的电脑系统因故障而停机互相失去联系,以致崩馈以这种战略级信息攻击的方式达到控制另个国的rì标,即兵不血刃,不战而胜美国兰德公司和未来学家托勒夫积极主张、支侍上述战略级信息战的观点口一位前美国情报官员说: “给我1。亿美元和20个人(网络高手),我可使美国瘫痪让联邦储蓄系统和所有的白动取款机停止运行,使全国的所有计算机不同步”。美联邦调查局计算机犯罪缉查小组负责人吉姆.赛特尔也曾说过:“给我10 个jīng选出来的”黑客“.90天内,我就能让一个国家缴械投降”也有不同的观点
a.美国学者道格·理查森曾在《信息战的黑sè艺术矛一文中指出:大多数”黑客“对付特定类v1的计算机系统是有效的、因为它是针对特定系统安全机构中的弱点、漏洞进行攻击的”黑客“实施次非常成功的攻击,致使银行和通信业务停业数天,甚41使工业控制系统、电力网、空中交通管制等陷于棍乱,但这很可能是一种短刽效果总之,‘.黑客”造成的影响可能是有限的,它不会对某国的**领导少、造成多大影响,也不会达到最终的战争胜利。
b.最近,台刊也曾登过一篇不同观点的文章,文中指出:固然,信息化社会的来临提供了不少以小搏大,以葬胜多的机会。但是任何人不应期望一个技术基础、高科技工业并不发达的小国,仅仅利用一群.“黑客”就能使一个科技发达的「业大国陷人瘫痪论述的理由是全球电脑系统千千万,而且口新月异地发展变化着,即使是大型网络系统的主管「程师,虽然他可掌握人量的信息和先进的(侵入)工具,但也无法在短时nj内彻底t解对方网络系统(弱点与漏洞)另外.由于软硬件改版、升级极快又难以统计,这就给企图袭击某国的计划造成种种困难
c.英国《经济学家旁杂志文章指出:现代i十算机网络的系统分散化,以及数据库的备份措施使得一些信息攻击就能破坏一个国家的经济能力的可能xìng很小因此现在尚不能对战略级信息战的效能即刻作出肯定或否定的结论,这是战争史卜的一个新事物,还有待实践〔或实战)的检验。
7 关于我国信息安全的思考与建议
7. 1 自力更生开发我军信息装备
现代高科技已发展到在设备中预埋“机关”的能力(海湾战争中美国就己开始试验了),因而进口信息化设备可能会留下隐患,形成威胁。所以安全的办法是引进先进技术,走自主研究开发的道路,生产自主版权/pf,牌的信息化产品,装备陆、海、空三军信息化设施。
7. 2 库{主开发产品,需经,.攻击检测”
对于我国自行研制开发的信息化产品或系统,在设计与生产过程中应严格质量监督和检测,对于网络系统还应进行“攻击检测”,测试合格方可付诸实用
7. 3 “敏感数据”不予上网
迄今为止,世界上还没有那一家的网络安全算得上是“牢不可破”的。现在网上的安全措施都是相对的。因而,凡属党、政、军敏感的数据,最可靠的还是不要接人因特网
7.4 预先研究、获取对手系统中的漏洞
在任何计算机系统中,无论是硬件还是软件部分,总是或多或少地存在一些漏洞敌对双方都想了解对方计算机软/硬件中漏洞的实情,以便利用它攻击对方所以,必须事前了解潜在对手的计算机软/软件中存在哪些漏洞,一旦需要,便可立刻出南击门若事先没有准备一旦有事变就会贻误战机。
7. 5 进一步加强信息战攻/防矛盾的研究
无论是传统战争中的武器,还是下个世纪信息战/网络战的武器(包括攻防计算机程序)都是一对矛盾我们既要研究攻击敌人的矛,又要同时研究防御敌人的盾,才能万无一失,固若金汤。这里有一典型实例:美国iss公司(internet安全系统公司)它成立十1994年,公司董事长ku、现年23岁,他16岁已是一个黑客高手.曾闯人美国防部计算机网后来被zhèng fǔ“招安”,变成美国总统信息安全顾问,把其‘闯人”网络的攻击方法总结提炼成一种产品,并取得很好的效果iss公司.把成员分成二大组,一组研究攻击,另一组研究防御。iss公司与美国现15万黑客中的大多数黑客有着密切的特殊关系,而iss公司要要把这一大帮黑客的活动态势、攻击方法及时向美国zhèng fǔ报告这样,美国当局就掌握了黑客的动向
7. 6 加强对我国青少年黑客的教育与引导
在网络无处不在,计算机无所不能的网络时代必将涌现一大批青少年计算机迷、网迷、他们在zì yóu的网络空间里冲浪就在这些人中问,或是好奇心的驱使、某种诱惑,抑或是出于每种个人的“报复”心里当上广黑客的角sè.非法闯人用户系统,甚至采取某种预谋行动,从而造成破坏或导致经济损失这似乎是西方发达国家网络发展过程的普遍规律。在中国,近年来也频频出现青少年黑客事件对于青少年网迷中涌现的黑客,他们中多数人的思想、阅历还不成熟,如果宣传到位、法规完善、引导得法,这可让负面影响转为正面囚素,即化矛为盾〔破坏转为安全防护)这一点在美国非常普遍,少年时充当黑客.长大点(或接受正面教育,或反思后)就“金盆洗手”转为信息安全员例如第5条讲到过的i,bs 公司董事长ktaus.就是典型一例。据此我国应充分注意西方国家这一现象加强对青少年黑客的宣传、教育与引导,以便把一股暗藏的巨大潜力引导到正面因素匕来,从而更加有效地保护信息安全,同时也保护挽救了一大批网迷青少年黑客
7. 7 加强各主管部门之间的合作
当前,我国了昆息产业部的职责之一是协调各部委做好信息安全工作。公安部主管公共网络安全,国家密码管理委员会主管密码算法。目前,当务之急是加强各土管部门之间的协调与合作,进一步加强我国信息安全研究的步伐,使信息安全得以充分保障
7.8 加强信息安全的宣传与教育
各团体、各部门,特别是各媒体,应适时地开展信息安全重要xìng的宣传教育,进一步提高全民保护信息安全的意识与素质
7.9 网络安全不能忘记“谨防家贼”
当前全球网络安全发展的趋势之一是越来越多的家贼,频频浮出水面,‘·家贼”利用大时,地利的有利条件作案,往往会马到成功据美国联邦调查局!997年的一次调查统计表明>70%的非法人侵行为是“家贼”所为某些机构总以为系统安置了防火墙可高枕无优了,但防火墙的职能是防止外部攻击(人侵);某些用户以为系统上采用了加密软件就万无一失, 其实加密也只能是相对的仅仅是起到一定的防范作用,而并非“万无一失” 因此,即使用户系统加固了防火墙.又采用r加密软件,但防范非法人侵的工作远没有完,仍然有潜在的危险因此,必须继续加强内/外防范的措施,以及适时完善更新系统的安全机制防范内/外的攻击
7.10 进一步完善计算机犯罪的立法规定
鉴于国内计算机犯罪案发率逐年卜升,仅!998年我国重要系统和重要部门的网络多次遭到黑客攻击,造成直接经济损失达数亿人民币之巨亡在1997年3月公布的新《刑法》中虽已添加了“侵人计算机系统罪”和“破坏计算机系统罪.,,但随着网络的迅猛发展与扩大,上网人数急剧增加,由此而带来许多新的问题,急需及时制定相应的法律与法规,以保护网络的安个,保护网络系统用户的合法权益。
(:)
Copyright 2021宝石小说All Rights Reserved