(这条文章已经被阅读了 22 次) 时间:2001-05-25 07:48:00 来源:静仁 (静仁) 原创-IT
美国间谍飞机在2001年4月飞临中国领空边缘时撞出三件令世界震惊的事来:其一是撞毁了中国战斗机,飞行员王伟牺牲,从此引发中美两国政治危机;其二是美国黑客因其飞机和人员暂时滞留中国而对中国的互联网站进行攻击,由此导致中国黑客爱国热情豪起,进行大规模的反击,搅动了世界互联网;其三是一向神秘的美国间谍飞机任务显露:间谍飞机可以收到任何国家领导人的谈话,相信这一点使众多国家领导人面容失色。三件事凸显一个共同的问题:信息安全。
信息安全自古就有,间谍事件从未间断。信息安全与否是每个国家,每个企业,甚至一个人都非常关心的问题。没有一劳永逸的信息安全保护措施,但积极的防护却可以有效地保证信息的安全。保护信息安全必须满足两个条件:一个是安全意识,另一个是技术水平,二者缺一不可,但在技术水平一定的情况下是否具有高度的安全意识至关重要。
安全意识的强弱首先取决于环境因素。战争年代人们的安全意识相对强,和平年代人们的安全意识相对弱一些。其次取决于教育因素。警钟常鸣,可以有效地防止人为地失密;马放南山,刀枪入库的麻痹大意必然招致灾祸。最后取决于对失密的教训的汲取。如果说第一个因素是客观的因素,第二个因素是滞后性因素的话,那么,教育因素就是一种积极的预防性因素。在当前和平环境、信息失密更为隐蔽、互联网发展加大失密可能性的情况下,强化人们的信息安全意识,已经成为一个非常重要的问题。
当前在信息安全意识上存在着三个极其有害的观念。
第一,无密可保。长期的和平淡化了人们对于信息安全意识的防范,头脑中缺乏防患于未然的观念,保密意识不强,保密观念淡薄,把很重要的信息看作是一般信息,没有加以更高一级别的保护,没有制定有效的管理措施和实行有效的管理,没有采取及时的备份和应急措施,各种各样的有意无意泄密事件时有发生,造成不应有的严重后果。
——据一些资料介绍,国内90%以上的网站把主要精力放在网站的结构和内容建设上,忽略了网站安全防护措施,因而存在严重的安全问题。据报道,国内的门户网站、电子商务网站90%存在安全问题,其中,有40%问题严重,有些网站在还未作好安全保护的时候,就草率开通。
——据统计,我国网站用于信息安全方面的投资一般不足企业信息系统建设总成本的2%,而国外企业用于安全系统的投资占整个网站建设投资的15%-20%。
——有些单位或企业将自己的属于机密类的资料放置到与网络相联的终端上,甚至没有采取先进的防火墙技术;有的个人将单位的机密资料随意地拷贝到自己的上网的机器上,在家里办公,等等。
第二,有密难保。间谍的高智商、高创造性、间谍技术的高科技化,以及各种媒体对间谍能力的过分夸大,使得人们觉得有密难保。如果说传统的保密已属不易的话,互联网上的保密相对就更困难一些。互联网最大的优点是将成千上万的终端设备联结起来,而这些成千上万的终端设备分别属于社会的不同部门和不同职业的个人,这就意味着,如果间谍在过去窃取信息是点对点的或单线联系的活,那么今天因为互联网的作用,就使得间谍通过网络实现点对面点对体的窃取信息;如果说过去通过一定的行政管制或组织使泄密的范围相对小的话,那么,今天因为网络管理的难度使失密的范围就大得多。
对此常常有两种错误的应对策略:一种是“鸵鸟策略”,根本不考虑技术上的安全处理,一古脑地将传统的资料搬上网,心中存在着:“我又没有得罪人,谁黑我干什么?”或“天下好人多”的侥幸心态,就算服务器被黑了也不吭声,自己不想危险,似乎就没有危险了;另一种”草木皆兵”,一昧地强调所谓”安全”,把服务器做成几乎是封闭式,安全倒是保证了,可也就没有了服务。
第三,与己无关。信息不安全的一个渠道是个体在观念上认为保密是保卫部门或保密人员的、技术人员的事,与己无关,其实,失密往往就是在与己无关中发生的。有一个过去常喊的口号:“万众一心,众志成城”,还一个大家熟悉的原理叫做“木桶原理”,二者从本质上说明的一个共同的道理:大家的事要大家办,出事往往出在“最短的那一块木板”处。
另外,接触网络的人有很多存在着信息安全方面的糊涂认识。
例如:安全就是防病毒。因为他们原来因不愿意购买杀毒软件不注意及时升级而吃过信息被破坏的亏,至少媒体上的宣传使他们认识到了这个问题,但却没有认识到失密比被病毒破坏更严重。
又如,只要将机子和资料加上密码就行了。如果不上网,它可以相对具有防范作用的话,那么上了网以后这种防范就失去了意义。因为黑客都是技术高手,这些加密对于他们不算什么障碍,何况很多机器本来就没有采取任何有效措施?当你上网浏览的时候,在你下载软件、资料的时候,或者在你使用ICQ、OICQ与人联络的时候,你的上网账号也许已经被窃取,银行账号被盗用,密码被修改,硬盘里的私人资料和数据被窃取,隐私被曝光,甚至整个系统全线崩溃……根据一份国际统计资料显示,平均有大约30%的个人电脑遭受过恶意攻击。一位作者对失密过程时这样描述道:“许多人陶醉在精彩的网上之旅时,是否意识到有人在不知道的暗处在监视你的动作,你的文件成为他的囊中之物。更可怕的是网友在OICQ上一边和你亲密地聊天,一边在偷看你电脑硬盘里的资料,他看你的硬盘就像看自己的硬盘一样,你为了应聘所打印的个人简历和扫描下来的身份证、照片都被对方一览无余,就在你为了隐藏自己的身份与对方周旋的时候,网友已经在窃笑了。想远程看到你硬盘里的内容并不需要多么高超的技术,只要会使用一些黑客软件就够了。”
要做好信息安全工作,就要解决好如下三个问题:
第一,信息安全意识要加强。发挥媒体的力量,深入、及时报道信息不安全造成的危害,使信息安全教育像防火教育一样常抓不懈;发挥组织的力量,进行经常性思想教育,使信息安全观念扎根人们的头脑,克服无密可保、有密难保和与已无关的思想。
第二,信息安全措施要得力。制定科学有效的安全保密措施,责任落实到人到事,作好监督检查,可以有效地防止信息失密。现在出现问题的地方往往是制度制定不完备,更主要是制度不落实造成的。
第三,信息保密技术要升级。没有一劳永逸的保密技术,黑客技术、间谍技术层出不穷,日新月异,要保证信息的安全,就必须不断地进行技术升级。这方面目前存在明显两大问题:一个是不少企业和单位舍不得在这方面花钱,希望买一次就管很久,安全技术得不到及时升级,安全就无法得到保障。另一个国家目前还没有一套成体系的防护体系,这比西方国家要落后。2001年5月13日,在北京召开的“二00一年数字化中国论坛”上,中国工程院院士、国家高技术计划信息安全技术发展战略研究专家组组长何德全表示,第十个五年计划期间,中国将建立积极防御的信息安全保障体系。这将使现在的企业各自为政、单位相互级别不一的安全措施的采取上将逐步走向标准相对统一的,安全保护成体系的轨道上来。
email:[email protected]