信息来源:信息安全专业论坛(
http://bbs.chinacissp.com/index.php)
《网络与信息安全技术》,新疆石油学院网络中心 潘承栾
本文主要都是《网络与信息安全技术》的注释里的一些观点,可能有些乱,但了解了很多知识(特别是关于国家几个信息安全部门的职能),至于这些观点的可信度就不得而知了.
----
网络中加入防火墙、安全检测系统等安全设备,并不能完全解决安全问题。是一种严峻挑战,要培养安全意识。
1、网络可靠性问题,目前已不是主要问题,只要花钱就可做得很可靠。9.11事件并没有影响美国的经济,世贸大厦的数据在外地备份(东部得克萨斯,异地备份,实时备份),如摩根、斯旦尼等金融机构。我国情况,人民银行(北京)数据在无锡备份,上海外汇交易中心在北京有备份中心。清华大学准备在深圳建立备份中心,以上都是实时备份。
2、是个很严重的问题。我国无论是在硬件还是软件均存在严重缺陷,落后。无自己的操作系统,是即无“心”,又无“脑”的国家。有自主知识产权的芯片没有。90年代,海湾战能后,我国领导人高重视芯片的研究和开发,投入大量资金。李鹏总理一期投入100亿在上海成立华宏电子集团公司,引进生产线,为了国家安全,下了大决心,引进后没有管理和技术人员(微电子、半导体专业人才奇缺),只能又跟日本的NEC合作,利润各一半,让日本人拣了一个大便易。现在仅仅是取得了一点成绩。为了举办奥运会,首钢搬走,改做芯片。目前我国集成电路生产主要集中在北京、上海和深圳。目前仅有一些起色,如第二代身体证,其芯片是我国自主的,由清华大学设计,大唐、华大、华宏生产,完全自主设计生产的,实现了国产化,有密码芯片在内,可克服假证满街做的现象。全是国外的产品。
在操作系统方面我国也投入了很大很大,现在是失败的。北京有一个清鸟公司,上市公司,北大的杨富清院士主持的75、85、95攻关项目,叫清鸟操作系统,经过如此长的研究和大量投入,现在仍没有研究出任何操作系统,连一根“鸟”毛也没有。因此这方面差距很大。有公司声称的操作系统,只是在LINUX基础上作了修改。公开源代码的操作系统是不可能安全的。有谁能说清楚我国用的操作系统、数据库有多安全。
如:手机SIM卡中也有操作系统,其没有病毒的传播,因为是安全的操作系统,且芯片是我国自己生产的。
3、损人不利已是黑客的行为表现。
4、损人利已的事,由于INTERNET是一个无政府的网,如何在互联网上建立一个安全信任的体系是一个重大课题,否则无法应用。
----
再深层次的探讨,还有三个层面的问题没有解决:
一、通讯方面问题:大家都有手机,请问江主席、胡主席敢用手机打电话吗?不敢!车臣的一个匪首是个例子。无线通讯系统,GSM、CDMA都是不安全的。
以GSM为例,国际标准中有3个加密算法在内,A3、A8、A5,但美国出口到中国的GSM系统中不含3个加密算法,其密码出口相当于军火出口,要国防部批准。手机通话等于向全世界广播——“全球通”。现在有这样的设备,很小,几百元可以买到,只要输入对方手机号,就可听到所有通话内容。所有的无线通讯都可以监听,不要通过手机做案、行贿授贿。关键是手机中没有安全模块。即使加上了也可以破译。
CDMA称安全保密好,其实使用的技术是60年代的,叫扩频技术,海军、潜艇也使用,原理:把固定的通讯频率扩展到无限大,根据码子进行扩和还原,谁有了码就可以监听,而CDMA的码子在美国卡根公司,并没有出口给中国。GPS全球定位系统用的就是CDMA技术。
卫星通讯也不安全,几个法论功分子就搞定了。我国最需要解决的问题是通讯系统不安全的问题。
二、存储方面问题:优盘、软盘、光盘是不安全的,如何安全存储是一个很大的研究课题。
三、计算机通讯网络的安全问题。
----
了解我国抓信息安全的部门:四家,“公保机盯”,公安部、保密局、机要局、安全部。职能如下:
公安部:主抓计算机犯罪,各省公安厅有计算机安全稽查处。主要职能:执法权,能抓人,各级相应机构健全。计算机出现安全问题,首先要向公安部门报案。我国的计算机条例:《计算机信息网络国际联网安全保护管理办法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国计算机软件保护条例》。希望能组织员工学习。
管理范围:病毒防止,防火墙,入侵检测,及其产品鉴定:公安部上海第三研究所。销售许可证的发放。对于用户,购买计算机网络安全产品必须要有公安部发放的销售许可证。对于销售公司,也必须对产品进行鉴定。
主要职责还是防止计算机犯罪,如:人大会期间,清华北大的爆炸案,在网上被抓获。网络传输的是TCP/IP、IPV4协议,广播式的。公司员工网上任何操作均可获知。马加爵案发后,查上网记录,喜欢去两个地,四川和海南,下令必须抓住,否则厅长就地免职。
保密局:负责保密制度的落实,以前比较好落实,现在变成了电子档案,其安全性很难保证,计算机屏幕上信息,6公理外可监视到,因为电磁辐射。很早前公安部门就有应用,抓看黄色录像。美国怎么做的:打伊拉克先大功率无法干扰,而自己不受干扰,因为其设备是防电磁辐射的,可屏蔽的,叫坦布计算机,从芯片到电路版全防。在美国花多少钱也买不到此类计算机,其控制力度相当于核武器。
又如:香港回归前,中央很多内部消息在香港报纸上都刊出,驻香港新华社与中央的电话、传真等被停在外面的监视车截获。回归后我国特工人员对其进行了屏蔽清理。
解决办法:对整个数据中心进行屏蔽,用9cm钢板;对机柜进行屏蔽。但对移动式很难做到,如战场上,只能在边上放上一个干扰机,但影响到身体,许多是摆设,无法落实。如会议上的手机干扰机。
另一个职责:发放涉密网集成系统的认证资质。
机要局:主抓密码技术,任何国家密码技术等同于军火。由中共中央来管,最高机构是国家密码管理委员会,主任一般是中办主任,现任王刚。条例是《国家商用密码管理条例》,核心是二十字方针:“统一领导,集中管理,定点研制,专控经营,满足使用”。统一领导:归党中央领导;集中管理:归密码管理委员会管理;定点研制:意味着垄断,爆利,密码产品是不会出口的。如:出口坦克,购买飞机,伊拉克战争中美英互打。股票中每股收益最高的是:航天信息(原航天金税),做密码产品——增值锐的计算机开俱。金税工程:税制改革……国库有钱….免SARS、擒流感、免农业税。金关工程….。地税也在搞收款机,使用加密盒子,打印发票,地税管的公司有4000多万。专控经营,满足使用。
安全部:大型的应用系统安全、检测、认证。如手机卡,应用广,以前全用国外,其实国内已有,就是不用,腐败!出事后才改用国内,因而出了规定,必需进行检测、认证、准入,照顾国内厂家。考虑民族利益!。
信息产业部:保障网络通畅,反拉圾。无特殊职能,不汲及网络安全。
美国信息安全管理体制:美国国家安全局——NSA,投资大,一流科学家和技术人员。“没有这么一个局”。
----
1.增强安全意识
2.引进与自力更生并举,安全及密码技术必须自主研制
3.开发自主版权的电子商务系统
4.建立我国独立的安全标准
5.扶植民族产业
6.建立适合电子商务的法律体系
7.培养高水平的信息安全人才
8.高效、可靠、可信的送货体系
3、存在问题是许多应用用不起来,应用好的是工商、税务
7、这一点很难,高水平的奇缺。原因是许多老数学家死了,课没人教了。
----
