lSSN 1 009—3044 E—mail:info@cccc.net.en Compu ̄r Knowledge and Technology电脑知识与技术 http://www.dnzs.net.ca Vo1.6,No.1,JanuaD"2010,PP.67-69 Tel:+86—55 1—5690963 5690964 当前信息安全发展态势 陈虹 (四JII师范大学计 算机科学学院,四川成都610101) 摘要:二十一世纪是信息时代,信息的传递在社会生活中的地位越来越重要,相应信息的安全问题也变得十分突出。当前,信.g-安全 在新的信息安全观,信息安全威胁的多元性,中国面临的信息安全的风险因素,近年来信息安全建设工作的开展情况方面的成果以 及信息安全的未来等方面有了新的发展态势,通过这些发展态势的分析,人们对信息安全的现状及发展有更进一步的了解和认识。 关键词:信息安全;发展态势 中图分类号:TP393 文献标识码:A 文章编号:1009—3044(2010)01—67—03 The Trend of Current Information Safety's Development CHEN Hong (CoHege of Computer Science,Sichuan Normal UniversiW,Chengdu 610101,China) Abstract:The twenty—first centerT is the times ofinformation,it is important to send information in the social life.Correspondingly,the prob— lem ofinfonnation safety also becomes very outstanding.At present,It has newⅡ。end ofinformation safety include the new viewpoint to infor- mation safety,the aspects ofinfomaation safety is threatened,the factors ofrisk that China face to information safety,the achievement ofinformation safety in recent years and the prospects ofinformation safety.People will know more about the information safeW after read the essay. Key words:information safety;trend of development 随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的、军事、文化等诸多领域,存 储、传输和处理的许多信息是宏观决策、商业经济信息、银行资金转账、股票证券、科研数据等重要的信息。其中有很多是 敏感信息,甚至是,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机 病毒等)。如何使信息能安全传输而不被攻击?这是各国信息安全面临的严重的社会问题之一。 当前,信息安全发展态势有新的局面。出现了新的信息安全观,信息安全受到了一定的威胁,中国面临新的信息安全的风险因 素,信息安全建没工作开展得如火如荼。下面作详细介绍和分析。 1新的信息安全观 应该怎样看待信息安全?新的信息安全观是什么?首先,信息安全是的重要部分,是一个关系和主权、社会稳 定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。其次,信息安全是公民个益和公民 权益的体现,比如现在涉及的版权问题、个人隐私,很多都和信息安全密切相关。再次,信息安全观还体现在新的信息疆域与国家信 息主权逐渐形成,互联网给国家主权观念注入了新内容,与传统的国家主权观念不同的是,“信息疆域”不是以地缘、领土、领海、领 空甚至领天来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个 国家在信息时代的兴衰存亡。2009年l0月14日,瑞士的网络出现了问题,那一天瑞士的网络和世界各国的都不能相互通信,造成 了瑞士的政治、经济、文化等方面的损失.这体现了一个国家的信息疆域和主权问题。 2信息安全威胁的多元性 信息安全威胁的范围很广,政治、经济、文化、国防等方面的安全受到信息安全的影响。随着信息的爆发和科学技术的飞速发 展,特别是信息网络技术在社会经济生活各个领域的广泛应用,人们对于的认识得到了进一步的深化和扩展。信息安全成为 中最突出、最核心的问题,直接影响国家政治稳定、社会安定、经济有序发展的全局性战略地位。当前,在信息化建设中,国家 以推进电子政务建设为我国信息化工作的重点。先行,这一举措将带动和促进国家基础设施建设、电子商务等领域的信息化发展, 由此必将带动国家经济的迅速发展。因此,保证国家信息化进程的安全将直接影响国家经济的正常发展;信息安全威胁着文化安全,比 如社区的安全问题,现在很多犯罪分子利用网络在有些社区进行破坏、偷盗等犯罪行为,例如利用先进技术解开每个单元楼的电子锁 等;国防安全更是与信息安全密不可分,一旦信息安全威胁到国防,有可能导致国家的国防大堤的崩溃和国家的混乱。 3中国面临的信息安全风险因素 3.1中国面临的信息安全风险因素——安全事故 基础信息网络和重要信息系统的安全防护能力不强,信息安全事故频繁发生,以下列举一些近年来发生的信息安全事故。比如 2002年深圳证券交易所出现“休克事件”,深圳证券通信公司所租用的卫星转发器受到不明信号干扰,导致通信系统无法正常工 作,致使917家证券营业部通信中断:2002年北京首都国际机场离港系统出现技术故障,被迫停机1个多小时,无法为旅客办理登 机手续,逾100个航班被依次后推,另有多个航班取消;2005年北京铁路局5.1售票系统出现故障,致使旅客无法买到火车票,火车 不能按时出发;根据2006年统计,被木马控制的计算机达到了约4.5万台,我国地区6600多个IP地址的主机被植入木 收稿日期:2009—11—10 作者简介:陈虹(1978-),女,四川雅安人,助理讲师,硕士,研究方向为图像杖理与模式识别。 本栏目责任编辑;马蕾 网络麓讯硬安全 67 ComputerKnowledgeand Technology电脑知识与技术 第6卷第1期(2010年1月) 马,北京(44%)和辽宁(14%)成为我国地区木马活动最多的地区,地区以外4200多个主机地址和这些木马进行通信;2006 年北京银联系统中断6小时.银联通信网络和主机出现故障,造成银行卡跨行交易不能正常进行,此次故障原因是由于银联新近准 备上线的某外围设备的隐性缺陷诱发了跨行交易系统主机的缺陷,使主机发生故障。以上资料显示信息安全事故威胁着我国各行 各业的正常运行.值得重视和解决。 3.2中国面临的信息安全风险因素——安全现状 在信息安全方面为什么会出现频繁的事故?信息安全呈现什么样的现状?究其原因,主要体现在以下方面。第一,重视程度不 够,投人不足。国外的信息化和信息安全重视程度远比国内的高。2009年3月2目,IT Policy CompJlance Group发布了题为《加强管 理信息安全与审计可改善业绩》的最新基准研究报告。该报告在对全球2600多家企业进行调查后得出结论,由于当前全球经济危 机所带来的负面影响.68%的企业在信息安全方面投入明显不足。该报告同时指出,对大多数公司来说,若在信息安全与审计管理最 佳实践方面持续增加投入可使其获得超过200%的经济回报。第二,安全体系不够完善。2009年8月11 Et,成都双流国际机场 110KV民航变电站10KV分段930开关着火,10KV1、2段母线负荷失去,造成民航变电站10KV侧失电;双流机场被迫关闭,所有进 出港的飞机暂停。第三,国家的信息安全意识不强。长期的和平淡化了人们对于信息安全意识的防范,头脑中缺乏防患于未然的观 念,保密意识不强.保密观念淡薄。第四,软硬件在信息安全方面不够先进,致使信息安全T作难以顺利开展。 3.3中国面临的信息安全风险因素——泄密隐患严重 很多情报机构网上窃密活动猖獗,当前网络间谍在我国进行的窃密活动日益猖獗,从上个世纪末开始。境内外敌对势力、敌对 分子把我国视为其“和平演变”的最大障碍,大肆进行渗透破坏。他们有目的有重点地对某些地区的军事驻地、机场、舟桥等地 方进行窃密,给隐蔽斗争工作带来很多不利因素;信息时代泄密途径增多,原来有软盘、优盘、网络,现在出现了更先进的泄密途径, 比如电磁波辐射泄密.计算机设备工作时辐射出的电磁波,可以借助仪器设备在一定范围内收到,尤其是利用高灵敏度的装置可以 清晰地看到计算机正在处理的信息;新兴技术的发展,导致保密工作形势严峻,随着我国社会主义市场经济的发展和信息化建设的 推进.保密管理的对象、领域、环境和手段发生了深刻变化,保密观念、保密技术、保密制度与新形势不相适应的问题更加突出,保密 工作面临前所未有的挑战。 3.4中国面临的信息安全风险因素——信息技术自主可控能力不高 国内信息技术的自主可控能力不强,核心器件和核心软件大量依赖国外,操作系统和数据库90%是外国产品。大规模集成技术 和集成电路要依靠国外。通信技术电子视听核心技术不够完善。这些都是中国面临的信息安全在技术方面不够强大的表现。 3.5中国面临的信息安全风险因素——风险意识欠缺 国家对信息安全的风险意识欠缺,防范措施不够强。具体体现在以下几方面:缺少对采集国外信息技术产品和服务的;尚 未建立外商投资安全审查机制:互联网基础设施对国外依赖,中国电信/网通的DNS劫持技术已经被国外的黑客看中,他们正在建 立大量流氓DNS服务器以引导用户更容易地进入恶意网站以收集流量,DNS是互联网的基础设施,流氓DNS不总是返回不正确的 结果,用户不会知道自己的互联网工作不正常。安全专家认为这种新型的攻击方法一直没有被关注,很多人并没有意识到它的严重 性;国内.CN域名注册量少,比较多的是.COM的定级域名。 4中国近年来信息安全工作回顾 中国近年来开展了很多信息安全的工作,具体回顾如下: 第一.首先组织开展了大量互联网整治工作。对单位中有新闻网站、商业网站、搜索引擎网站、社区论坛、视频网站、游戏网站、 动漫网站、手机WAP网站等影响较大的网站或图片、相册、健康、两性、女性、娱乐、性知识和博客、播客、贴吧等重点栏目、频道,集 中清理整治网上低俗信息内容,收到了很好的效果。 第二,对基础信息网络与重要信息安全进行检查。对每个单位,包括局、学校、公司等的安全制度落实情况、安全防范措施落实 情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况进行了检查。加强了单位对信息网络和信息安 全的重视和建设 第三,开展信息安全法和大量标准化建设工作。定期组织单位成员、学校师生等认真学习《计算机信息系统安全保护条例》、《计 算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》及各种网络安全管理制度。使广大群众加强了信息 安全防范意识。 第四,开展信息化密码保障和网络信任体系的建设。围绕信息化战略的实施,加强网络信任体系的建设,切实做好信息安全保 障工作,使国家信息化建设事业健康有序发展。 第五,开展信息安全应急协调和处置工作。很多省份制定了信息安全事件应急预案,研究制订网络与信息安全事件应急工作规 划、计划和,协调推进网络与信息安全事件应急工作机制和体系建设,组织开展应急处置工作。 第六,组织国家信息安全信息的通报工作。这样有利于信息安全工作的继续和改进。 第七,开展信息安全风险评估。2006年3月16日,信息化工作办公室在昆明召开了《关于开展信息安全风险评估工作的 意见》宣贯会。明确了国家对风险评估工作的目标与要求以及今后企业如何为用户提供风险评估服务的一些标准。比如东软表示在 信息安全领域已经有十年的经验积累,在信息安全服务和评估工作方面拥有大量成功案例和技术积累,东软愿意积极参与到国家 对风险评估的工作和制定标准中,努力帮助用户提升科学管理的水平和网络与信息系统安全保障的能力,为保障和促进我国信息 化发展服务。 5近年来信息安全标准化建设工作的开展情况 这些年来,我国的信息安全标准化建设工作开展得如火如荼。以下列举了一些卓有成效的工作: 第一、2002年在北京成立了“全国信息安全标准化技术委员会”(简称“信息安全标委会”)。信息安全标准是我国信息安全保障体 系的重要组成部分,是进行宏观管理的重要依据。从国家意义上来说,信息安全标准关系到国家的安全及经济利益,标准往往 成为保护国家利益、促进产业发展的一种重要手段。我国从20世纪80年代开始,在全国信息技术标准化技术委员会信息安全分技 68 两络蠢讯曩安垒 ; *; 本栏目责任编辑:冯蕾 第6卷第1期(2010年1月) Compu ̄rKnowledge andTechnology电脑知识与技术 术委员会和各部门各界的努力下,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,为我国信息安全技术的 发展作出了一定贡献。 第二、建成了网站WI ̄VW.tc260.org.cn。有了这个网站,就可随时浏览我们国家有关信息安全标准的情况,其中包括有关标准化技 术的动态新闻、一些国家信息安全的标准和标准草案公开征求专区。让人们能充分发挥自己的意见。 第j、2006年以来制定了大量的信息安全标准。比如:GB/T 20273—2006信息安全技术数据库管理系统安全技术要求.GB/T 20275—2006信息安全技术入侵检测系统技术要求和测试评价方法,GB#F 20281—2006信息安全技术防火墙技术要求和测试评价 方法。 第四、制定了《信息安全技术信息风险评估规范》。本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方 法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。 第五、基于《信息安全技术信息风险评估规范》这个标准进行了“北京奥运会通信保障与服务誓师大会”,奥运会的网络与信息 安全问题Et益引起各界人士的关注。如何采取措施保证奥运会期间各类信息系统稳定有效地运行,防范黑客攻击、病毒入侵等网络 安全事件的发生,都是奥运安全保障中不容忽视的环节。因此制定了奥运会的网络与信息安全问题的一系列工作。确保了第29届 国际奥林匹克运动会在我国成功、的召开。 6结束语 在网络信息技术高速发展的今天,信息安全已变得至关重要。计算机系统的安全一旦遭到破坏,不仅会带来巨大经济损失,也 会导致社会的混乱。因此,确保计算机系统的安全已成为世人关注的社会问题。纵观2009年的发展趋势,2010年网络信息安全工 作即将进入一个快速建设、深入发展的新阶段。随着广泛深入渗透到人们生活和社会生产各个领域,信息安全问题日益突出,已成 为世界各国普遍关注的问题。近年来,在加强信息安全管理方面做了大量的工作,取得了积极的成效,但是任务依然艰巨繁重, 今后要继续坚持积极发展、加强管理、趋利避害、为我所用的原则,坚持发展与管理并重,继续加强信息安全管理,使信息安全有一 个美好的未来。 参考文献: …王凤英,程震.网络与信息安全【M1.北京:中国铁道出版社,2006. f2】王育民,刘建伟.通信网的安全——理论与技术 】.西安:西安电子科技大学出版社,2000. 【3】罗春.当前信息安全技术发展态势[R].成都:首届中国西部网络信息技术及应用研讨会,2009. [4】CNET科技资讯网.信息安全和审计管理成本控制存在巨大潜力【EB/O L1.[2009—12—10].http://www.cnetnews.corn.cn/2009/0303/ 1352536.shtm1. 【5】庄凌艳.计算机安全与保密浅谈[EB/OE1.[2009一t2—10].http://www.hzrf.gov.crd0103/3754.htm. (上接第55页) 1)S .为正评:V。以0j的概率接收ST 这样,对于信誉高的节点来说,信誉度增加较快;而对于信誉低的节点来说,信誉度增加 较慢。所以恶意节点很难通过捏造事实来相互夸大同谋节点。 2)S 为负评:V 以(1—0。)的概率接收S,I1-l。这样,对于信誉高的节点来说,信誉度降低较慢;而对于信誉低的节点来说,信誉度降 低较快。所以恶意节点很难诋毁信誉度高的节点。 5结束语 根据人类社会对于信任的评估方法,该文提出了一种基于P2P的利用对内容的上下文进行信任度的评估方法。信息的信任度由内 容信任度和节点之间的节点信任度两方面计算得到。并构建了存放历史信任度的矩阵,进而提出了资源节点及用户节点双向筛选策 略.本机制在P2P网络环境,能很好的解决冒名及作弊等恶意行为,使主体与客体问的信息交互在信任度的控制下能有效进行。 参考文献: [1】陈菲菲,桂小林.基于机器学习的动态信信誉评估模型研究[J】.计算机研究与发展,2007,44(2):223—229. [2】GRUBER T R.A translation approach to portable ontology specification[J].Kno ̄ledge Acquisition,1993,5 ̄):199—220. [3】CARROLL J J,BIZER C,HAYES P,et a1.Named graphs,prove--nance and trusl[C].//Proceedings of the 14th lntemational Conference oil WorId Wide Web.New York:ACM Press.2005:613—622. [41张波,向阳.语义网中基于本体的语义信任计算研究[J】.计算机应用,2008,28(2):267—271-. 【51 Gummadi A,Yoon J P.Modeling Group Trust For Peer—to—Peer Access Control[C]./Pr/oc of the 15th Int'l Workshop on Databaseand Ex— pert Syst ̄Applications,2004:97 1—978. [6】Beth T,Borcherding M,Klein B.Valuation of tustr in open network【C1./Pr/oceedings of the Third European Symposium on Research in Security(ES0RICS).Springer2Vedag,Brighton,1994:3218. [7】Sergio M,hector G M Limited reputation sharing in P2P systems【C】./Pr/oceedings of the 5th ACM Conference on Elec2t ronic Com・ merce.Ne York,N Y,USA,2004:912101. [8】Blaze M,Feigenbaum J,Lacy J.Decentralized tustr management【C】.In:Proc of the 17th Syrup on Security and Privacy.Los Alamitos.CA: IEEE Computer Society Press,1996:164—173. 【91袁禄来,曾国荪,姜黎立,等.网格环境下基于信任模型的动态级调度[J].计算机学报,2006,29(7):1217~1224. 本栏目责任编辑冯蕾 ; ; 网络通讯及安全 69
