构建网络信息安全防护体系的思路及方法浅谈网络信息安全的重要发展方向.doc

构建网络信息安全防护体系的思路及方法——浅谈网络信息安全的重要发展方向 SYSSECURITY系统安全 构建网络信息安全防护体系的思路及方法 浅谈网络信息安全的重要发展方向 马贵峰 (1冲国人民解放军石家庄机械化步兵学院石家庄 网络安全不单是单点的安全,而是整个信息网的安全. 信息化是当今时代最明显的特点,随着互联网的飞速发展,数 据的安全性遭受着来自于网络安全的威胁.网络安全逐渐成为 一 个潜在的巨大问题,它是网络正常运行的前提.信息安全体 系相当于整个信息系统的免疫系统,免疫系统不健全,信息系 统不仅是低效的,甚至是危险的,因而切实做好网络的安全工 作,在信息化建设快速发展的今天变的非常重要,网络安全体 系的构建和网络安全机制的引入为我们提出了有效解决网络安 全威胁的新课题. 1当前信息安全系统的局限性 1.1计算机操作系统安全性分析 国家计算机信息系统安全保护条例要求,信息安全等级要 实现五个安全层面《即物理层,网络层,系统层,应用层和管理 层)的整体防护.其中系统层面所要求的安全操作系统是全部安 全策略中的重要一环,也是国内外安全专家提倡的建立可信计算 机环境的核心.操作系统的安全是网络系统信息安全的基础.所 有的信息化应用和安全措施都依赖操作系统提供底层支持.操作 系统的漏洞或配置不当有可能导致整个安全系统的崩溃.各种操 作系统之上的应用要想获得运行的高可靠性和信息的完整性,机 密性,可用性和可控性,必须依赖于操作系统提供的系统软件基 础,任何脱离操作系统的应用软件的安全性都是不可能的. 目前,我国计算机信息系统中的主流操作系统基本采用国 际主流C级操作系统,即商用操作系统,其安全性远远不够,访 问控制粒度粗,超级用户的存在以及不断被发现的安全漏洞, 是操作系统存在的几个致命性问题.一般来讲,包括病毒在内 的各种网络安全问题的根源和症结,主要是由于商用操作系统 的脆弱性.当今的信息系统产生安全问题的基本原因是操作系 统的结构和机制不安全.这样就导致:资源配置可以被篡改, 恶意程序被植入执行,利用缓冲区(栈)溢出攻击非法接管系 统管理员权限等安全事故.病毒在世界范围内传播泛滥,黑客 利用各种漏洞攻击入侵,非授权者任意窃取信息资源,使得安 全防护形成了防火墙,防病毒,入侵检测和漏洞检测这老几样 防不胜防的被动局面. 1.2当前信息安全系统的局限性 1_2.1重网络安全轻信息安全 当前信息安全系统的基础防护建设大量采用防火墙,IDS 等安全设备,主要的防御体系都是构建在OSI模型的网络层(IP 层),优点是与应用和用户终端无关,但在信息源头,主机及 相关数据上大多都未采用以密码技术为核心的网络与信息信任 安全支撑体系的安全措施. 1.2.2重外网安全轻内网安全 在当前电子政务,电子商务安全系统建设中,当用户网络 存在与外部网络的接口时,大量的安全投资都放在了外网的封 堵上,防火墙,IDS,线路加密机的使用,在内网与外部网络间 构建了强大的屏障,而信息安全事件的大多数为内部攻击或内 外勾结,目前安全系统构建的单边重视形式造成了安全系统构 建的严重不对等和安全防御效果的不佳. 1.2.3重被动防御轻主动防御 现有的防御体系,由于采用安全产品的设计出发点,更多 是考虑当攻击来临时如何应对,如何做事后的审计,响应,效 果是防御的手段越来越复杂,防御系统满足实时性的难度越来 55 马巨革2 0500002.山西省国土资源厅太原030024) 越大,整个防御系统的设计没有更多考虑攻击发起点的安全, 没有从攻击的源头和信息共享源进行有效设计,结果是防御的 效果并未随防御系统的越来越庞大而显着增强,其关键在于没 有采用有主动,可控的密码技术.实践证明,密码技术不是万 能的,但离开密码技术是万万不能的. 1.2.4安全与应用结合薄弱 安全系统的构建,最终目的是要保障关键应用的安全,由 于应用安全系统的构建需要与应用系统结合,各种应用系统的 不同,客观上造成应用安全系统构建较为复杂,现有安全系统 大多采用与应用无关的网络安全系统,而在应用安全上考虑较 少,近年来应用安全支撑平台(CA)的建设非常热门,但CA建 成后的PKI应用却不太成功,事实上仍然处于安全与应用较为脱 节的阶段. 1.2.5安全产品种类少,难于满足发展需求 安全系统的构建离不开成熟安全产品的采用,现有安全产 品提供厂家不少,但产品种类较为单一,防火墙,IDS等传统安 全产品的提供商较多,而满足内网安全的真正信息安全产品非 常少,客观上也影响了用户安全系统构建的侧重,难以真正解 决各种复杂的安全需求. 2构建网络信息安全防护体系的主要安全目标 2.1网络信息安全技术的目标 由于互联网的开放性,连通性和自由性,用户在享受各类 共有信息资源的同时,也存在着自己的秘密信息可能被侵犯