我国互联网安全状况分析
随着互联网在中国的快速发展,中国六大经营性互联网和四大非经营性互联网都先后建成并投入使用。据cnnic统计,到2001年6月30日止,中国互联网上网用户数达到了2650万左右,上网计算机约1002万台。目前,互联网用户中有isdn(2b+d)用户93.8万、专线上网用户48.8万。中国拥有如此庞大的互联网用户和基础网络,这就把一个十分严峻的问题摆在了国人面前,即互联网的安全问题。在目前不断发生互联网安全事故的时候,赛迪顾问对互联网的安全状况进行了研究与分析,希望能够引起用户和厂商对网络安全的重视。
国内互联网安全现状
互联网的安全主要分为网络运行安全和信息安全两部分。网络运行的安全主要包括以chinanet、chinagbn、cncnet等10大计算机信息系统的运行安全和其它专网的运行安全;信息安全包括接入internet的计算机、服务器、工作站等用来进行采集、加工、存储、传输、检索处理的人机系统的安全。
当前,我国互联网安全的现堪忧,主要现在:
1.信息和网络的安全防护能力差
随着1995年以来多个上网工程的全面启动,我国各级政府、企事业单位、网络公司等陆续设立了自己的网站,电子商务也正以前所未有的速度迅速发展,但许多应用系统却处于不设防状态,存在着极大的信息安全风险和隐患。
我国的银行系统、政府部门、企业等全都处在信息化和网络化进程中,但它们对安全问题的关注程度还不够,没有采取有效的安全措施保证网络的安全。
2.基础信息产业严重依靠国外
我国的信息化建设,基本上是依赖国外技术设备装备起来的。在国际财团涌向我国信息化建设市场,大举推销电子信息设备之时,我们却在相对缺乏知识和经验的情况下,存在着一些花钱买淘汰技术和不成熟技术的现象,这其中就潜伏着极大的信息安全隐患。
我们的计算机软件也同样面临受人遏制和封锁的威胁。虽然我国的计算机制造业有很大的进步,但其中许多核心部件都是买的oem产品,我们对这些产品的研发、生产能力很弱,关键部位处于受制于人的地位。另外,我们的计算机软件还面临着市场垄断和价格歧视的威胁。国外厂商几乎垄断了我国计算机软件的基础和核心市场,特别是系统软件。
3.信息安全管理机构权威性不够
目前,国家经济信息安全管理条块分割、各行其是、相互隔离,这极大地妨碍了国家有关法规的贯彻执行,这样就难以防范境外情报机构和“黑客”的攻击。信息安全相关的民间管理机构与国家信息化领导机构之间还没有充分沟通协调。
4.用户的信息安全意识淡薄
业内人士认为,我国信息化程度不高,更没有广泛联网,互联网用户的数量也不多,信息安全事件在我国不可能发生,要发生也是多少年以后的事,何必大惊小怪。
另外,信息安全领域在研究开发、产业发展、人才培养、队伍建设等方面和现如今迅速发展的形势极不适应,它只是作为信息化的研究分支立项,投入很少,和国外差距较远。
网络安全存在的主要问题
1.互联网信息发布和管理中存在的问题
在2000年12月28日全国人大通过的《关于维护互联网安全的决定》中,对于网络安全作出了详细的规定,而在日常工作中,有些单位和个人并没有严格按照规定来执行,把一些不应该在网上公布的信息在网上公布了,且在实际工作中缺少详细的操作规程和管理规章。
2.系统安全
目前绝大部分的互联网访问流量,都来自互联网数据中心(internet data center,简称idc),因此加强数据中心的安全就显得特别的重要。用户把服务器托管给了idc,信息安全的重任就落到了用户和服务商双方的肩头上。那么,idc服务商是如何保障客户的信息安全的呢?我们采访了中华通信公司的有关负责人。他们表示,idc不仅应该为客户提供高速、稳定的接入服务,更重要的是它应保障用户的数据安全,因此这就需要idc提高网络的安全性,和客户一起把好“安全”这道关。
3.网络运行中存在的问题
互联网用户存在着多种多样的安全漏洞,在安装操作系统和应用软件及网络的调试中,如果没有对相关安全漏洞进行扫描并加以修补,则遇到黑客的恶意攻击时,将会造成重大的损失。例如7月底,国内某知名虚拟主机服务商托管的服务器受到黑客攻击,就是因为未能及时修复最新漏洞,而给了黑客一个可乘之机,出现了几十台服务器不能正常运行的情况。
因此,互联网用户应该多采取主动防止出现事故的安全措施,从技术上和管理上加强对网络安全和信息安全的重视,从而形成立体防护,由被动修补变成主动的防范,最终把出现事故的概率降到最低。
4.内部管理
不管是在互联网上发布信息的单位,还是提供互联网信息服务的机构,都应该加强企业的内部管理,从信息的审查、信息的管理维护、网络的规划、网络建设及系统的维护上加强管理,尤其是对系统和维护人员的管理,提高他们的技术水平和安全意识非常重要,应明确人员的操作规程和责任,避免人为事故的发生。
增强网络安全的方法和途径
1.防火墙技术
在使用专线接入的企业中,有些企业的服务器放在公司内部,其内部网与外部网之间的屏障——防火墙没有安装,基本的安全防范措施没有。而另外一些企业托管在idc服务商的服务器,可能也没有选择服务商提供的安全增值服务,没有把信息安全放到一个重要的位置上,特别是企业的内部网与外部网相连情况,应该重点考虑使用防火墙技术。
2.数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,它可以提高信息系统及资料的安全性和保密性, 防止秘密资料被外部破解。按作用的不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术等四种。
3.加强安全管理
网络安全和数据保护等防范措施都有一定的限度, 并不是越安全就越可靠。在看一个内部网是否安全时不仅要考察其手段, 而更重要的是对该网络所采取的各种措施, 其中不光是物理防范,还有人员的素质等其它“软”因素, 应对它们进行综合评估, 从而得出是否安全的结论。因此,对“网管”人员和其它相关人员的管理也非常重要,而不仅是简单的硬件和软件方面的资金投入和安全措施的制定。
几点建议
经过对目前国内互联网状况的了解分析,我们对目前国内互联网的安全状况感到非常的不安,从网络的运行安全到信息安全,都存在着很多的问题和安全隐患。为加强我国在互联网方面的安全防护能力,可以从以下几个方面加强我们的工作。
第一,中国一定要实现民族的信息产品逐步地替代进口,至少是从关键的局部开始替代。诸如操作系统、路由器、芯片等关键产品,从时间上、产品分布上来逐步替代。当然,具有自主知识产权的产品竞争力的提高及其替代进口产品,都需要一个过程,是不可能一蹴而就的。
第二,在民族信息产业尚未成熟到与发达国家相抗衡的程度时,应该从管理的规章制度和网络安全的角度多做一些防范。中国在现有基础上应积极采取一些措施,包括制定严格的规章制度,网络关口的技术保障等,在信息安全防范与保障方面,争取发挥更好的作用。
第三,在网络安全事故频繁发生的同时,互联网用户也逐渐意识到网络安全的重要性,加大了在网络安全方面的投入,也加强了在网络安全方面的管理。北京成捷讯集创电子技术有限公司伍远江先生在对众多用户了解分析后认为,按目前国内的安全现状和网络业务流量来看,用户在安全方面的投资占到总集成项目的10%左右时,就可以建立一个比较稳固的立体安全防护体系,包括防火墙、防病毒、入侵检测和扫描等一整套安全解决方案。但目前很多的用户远没有达到这样的投资比例,因此,建议用户不仅要重视互联网的安全,更要增加对网络安全方面的投资。
第四,应该加强人员的培训、管理,提高人员的安全意识,增强互联网安全的防护能力。把我国的互联网安全提高到更高、更强的层次。
国内互联网安全现状
互联网的安全主要分为网络运行安全和信息安全两部分。网络运行的安全主要包括以chinanet、chinagbn、cncnet等10大计算机信息系统的运行安全和其它专网的运行安全;信息安全包括接入internet的计算机、服务器、工作站等用来进行采集、加工、存储、传输、检索处理的人机系统的安全。
当前,我国互联网安全的现堪忧,主要现在:
1.信息和网络的安全防护能力差
随着1995年以来多个上网工程的全面启动,我国各级政府、企事业单位、网络公司等陆续设立了自己的网站,电子商务也正以前所未有的速度迅速发展,但许多应用系统却处于不设防状态,存在着极大的信息安全风险和隐患。
我国的银行系统、政府部门、企业等全都处在信息化和网络化进程中,但它们对安全问题的关注程度还不够,没有采取有效的安全措施保证网络的安全。
2.基础信息产业严重依靠国外
我国的信息化建设,基本上是依赖国外技术设备装备起来的。在国际财团涌向我国信息化建设市场,大举推销电子信息设备之时,我们却在相对缺乏知识和经验的情况下,存在着一些花钱买淘汰技术和不成熟技术的现象,这其中就潜伏着极大的信息安全隐患。
我们的计算机软件也同样面临受人遏制和封锁的威胁。虽然我国的计算机制造业有很大的进步,但其中许多核心部件都是买的oem产品,我们对这些产品的研发、生产能力很弱,关键部位处于受制于人的地位。另外,我们的计算机软件还面临着市场垄断和价格歧视的威胁。国外厂商几乎垄断了我国计算机软件的基础和核心市场,特别是系统软件。
3.信息安全管理机构权威性不够
目前,国家经济信息安全管理条块分割、各行其是、相互隔离,这极大地妨碍了国家有关法规的贯彻执行,这样就难以防范境外情报机构和“黑客”的攻击。信息安全相关的民间管理机构与国家信息化领导机构之间还没有充分沟通协调。
4.用户的信息安全意识淡薄
业内人士认为,我国信息化程度不高,更没有广泛联网,互联网用户的数量也不多,信息安全事件在我国不可能发生,要发生也是多少年以后的事,何必大惊小怪。
另外,信息安全领域在研究开发、产业发展、人才培养、队伍建设等方面和现如今迅速发展的形势极不适应,它只是作为信息化的研究分支立项,投入很少,和国外差距较远。
网络安全存在的主要问题
1.互联网信息发布和管理中存在的问题
在2000年12月28日全国人大通过的《关于维护互联网安全的决定》中,对于网络安全作出了详细的规定,而在日常工作中,有些单位和个人并没有严格按照规定来执行,把一些不应该在网上公布的信息在网上公布了,且在实际工作中缺少详细的操作规程和管理规章。
2.系统安全
目前绝大部分的互联网访问流量,都来自互联网数据中心(internet data center,简称idc),因此加强数据中心的安全就显得特别的重要。用户把服务器托管给了idc,信息安全的重任就落到了用户和服务商双方的肩头上。那么,idc服务商是如何保障客户的信息安全的呢?我们采访了中华通信公司的有关负责人。他们表示,idc不仅应该为客户提供高速、稳定的接入服务,更重要的是它应保障用户的数据安全,因此这就需要idc提高网络的安全性,和客户一起把好“安全”这道关。
3.网络运行中存在的问题
互联网用户存在着多种多样的安全漏洞,在安装操作系统和应用软件及网络的调试中,如果没有对相关安全漏洞进行扫描并加以修补,则遇到黑客的恶意攻击时,将会造成重大的损失。例如7月底,国内某知名虚拟主机服务商托管的服务器受到黑客攻击,就是因为未能及时修复最新漏洞,而给了黑客一个可乘之机,出现了几十台服务器不能正常运行的情况。
因此,互联网用户应该多采取主动防止出现事故的安全措施,从技术上和管理上加强对网络安全和信息安全的重视,从而形成立体防护,由被动修补变成主动的防范,最终把出现事故的概率降到最低。
4.内部管理
不管是在互联网上发布信息的单位,还是提供互联网信息服务的机构,都应该加强企业的内部管理,从信息的审查、信息的管理维护、网络的规划、网络建设及系统的维护上加强管理,尤其是对系统和维护人员的管理,提高他们的技术水平和安全意识非常重要,应明确人员的操作规程和责任,避免人为事故的发生。
增强网络安全的方法和途径
1.防火墙技术
在使用专线接入的企业中,有些企业的服务器放在公司内部,其内部网与外部网之间的屏障——防火墙没有安装,基本的安全防范措施没有。而另外一些企业托管在idc服务商的服务器,可能也没有选择服务商提供的安全增值服务,没有把信息安全放到一个重要的位置上,特别是企业的内部网与外部网相连情况,应该重点考虑使用防火墙技术。
2.数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,它可以提高信息系统及资料的安全性和保密性, 防止秘密资料被外部破解。按作用的不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术等四种。
3.加强安全管理
网络安全和数据保护等防范措施都有一定的限度, 并不是越安全就越可靠。在看一个内部网是否安全时不仅要考察其手段, 而更重要的是对该网络所采取的各种措施, 其中不光是物理防范,还有人员的素质等其它“软”因素, 应对它们进行综合评估, 从而得出是否安全的结论。因此,对“网管”人员和其它相关人员的管理也非常重要,而不仅是简单的硬件和软件方面的资金投入和安全措施的制定。
几点建议
经过对目前国内互联网状况的了解分析,我们对目前国内互联网的安全状况感到非常的不安,从网络的运行安全到信息安全,都存在着很多的问题和安全隐患。为加强我国在互联网方面的安全防护能力,可以从以下几个方面加强我们的工作。
第一,中国一定要实现民族的信息产品逐步地替代进口,至少是从关键的局部开始替代。诸如操作系统、路由器、芯片等关键产品,从时间上、产品分布上来逐步替代。当然,具有自主知识产权的产品竞争力的提高及其替代进口产品,都需要一个过程,是不可能一蹴而就的。
第二,在民族信息产业尚未成熟到与发达国家相抗衡的程度时,应该从管理的规章制度和网络安全的角度多做一些防范。中国在现有基础上应积极采取一些措施,包括制定严格的规章制度,网络关口的技术保障等,在信息安全防范与保障方面,争取发挥更好的作用。
第三,在网络安全事故频繁发生的同时,互联网用户也逐渐意识到网络安全的重要性,加大了在网络安全方面的投入,也加强了在网络安全方面的管理。北京成捷讯集创电子技术有限公司伍远江先生在对众多用户了解分析后认为,按目前国内的安全现状和网络业务流量来看,用户在安全方面的投资占到总集成项目的10%左右时,就可以建立一个比较稳固的立体安全防护体系,包括防火墙、防病毒、入侵检测和扫描等一整套安全解决方案。但目前很多的用户远没有达到这样的投资比例,因此,建议用户不仅要重视互联网的安全,更要增加对网络安全方面的投资。
第四,应该加强人员的培训、管理,提高人员的安全意识,增强互联网安全的防护能力。把我国的互联网安全提高到更高、更强的层次。
责任编辑:eworks
- 上一篇文章:针对端对端网络的恶意攻击
- 下一篇文章:集线器的几种选择
近期热点
相关文章
相关博客
相关书籍