信息产业的迅猛发展,已经使信息技术逐渐成为主导国民经济和社会发展的重要因素。当今世界各国都在积极应对信息化的挑战和机遇。信息化、网络化、数字化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化,就必须高度重视信息安全问题,它绝不仅仅是IT行业问题,更多的是一个社会问题以及包括多学科系统安全工程的问题,它直接关系到国家安全。因此,有人呼吁我国要像重视两弹一星那样去重视信息安全问题。
Internet的高速发展推动了整个社会进入信息时代的进程,掀起了一场网络热潮,人们的生活方式也因此而改变。但是,作为第一代互联网,Internet在设计之初没能充分考虑信息安全问题,从而导致现在全世界不得不成天忙于“打补丁”来应对与日俱增的安全问题。
肆虐网络的病毒、无孔不入的间谍软件、居心叵测的木马、以及嚣张猖獗的黑客攻击,已经成为困扰第一代互联网用户的严重问题。由于安全问题给用户带来的不可靠感,基于第一代互联网的电子商务的发展也受到了阻碍。
如今,由于IP地址资源的紧张和信息安全问题等,人们终于下决心开始研制并推广下一代网络(NGN),并以NGN作为未来信息传递的主要载体。从信息安全角度看,NGN既是机会又是挑战,我们绝不能再犯忽视安全问题的错误了,必须将信息安全作为NGN的一个有机整体,而不是一个附属品来对待。信息安全必须作为NGN研究中最重要的课题之一。
下一代网络是什么?
下一代网络(Next Generation Network,简称NGN),是在当今电信网络基础上演变、融合而来的。理想中的NGN可以实现各种网络的互通,用户可以在任何时间、任何地点、以多种方式,享受网络提供的各种服务。NGN是一个集数据、语音、视频等各种多媒体功能于一体的网络。试想一下,在不久的将来,用户可以在电话机上和朋友“面对面”地视频聊天;可以在手机上与远方的好友分享好听的音乐;可以和异国他乡的亲友尽情交谈,却只需不多的话费。这无疑是令人憧憬的生活方式。但事务总是具有两面性,NGN为我们带来便利的同时,也带来了更加严峻的安全隐患。
NGN的安全隐患在哪里?
网络是一个复杂的系统,无论是网络硬件开发、协议设计、还是网络应用软件开发,都是复杂的工程。这就不可避免地会有设计不完善的地方,人们无法在设计阶段就考虑到所有情况,打造一个十全十美的网络。隐患是必然存在的,NGN也不会例外,它的主要安全隐患表现在以下几个方面。
1、 物理设备的隐患
■设备故障
网络上的设备一般都是常年不间断地运行,难免会出现硬件故障,这些故障可以造成数据的丢失,通信的中断,从而对用户服务造成损害。如果是某些核心的设备出现故障,则有可能导致整个网络的瘫痪。
■电磁辐射
电子设备都具有电磁辐射,一方面电磁的泄露让窃听者在一定距离内使用先进的接收设备,可以盗取到正在传送的信息和数据,从而严重威胁用户的隐私;另一方面电磁辐射可以破坏另外一些设备中的通信数据。
■线路窃听
在无线通讯中,信号是在空中传播,无法采用物理的方式保护,这就使得有些攻击者可以使用一些设备对通讯数据进行窃听,甚至更改。在有线通讯中,攻击者甚至可以通过物理直接搭线的方式窃听相关信息。
■火灾、水灾与盗窃
这些问题是由于人为的不注意或者其他原因造成的,一旦发生,一般都是毁灭性的。
2、软件系统的隐患
如果说物理设备是网络的“躯体”的话,那么软件系统就是网络的“灵魂”。但是软件系统不可避免地会有许多设计缺陷,而这些缺陷在设计阶段是难以发现的。一旦攻击者掌握了这些缺陷,就可以利用它们进行非法的攻击行为。
■操作系统的隐患
操作系统是网络应用的软件基础,它是网络设备的“神经中枢”,负责掌控硬件的运行与应用软件的调度,其重要程度不言而喻。目前网络上应用比较普遍的有linux、Unix、Windows、以及嵌入式Vxworks等。没有任何一种操作系统敢宣称自己是完全安全的,正如Windows操作系统大量安全漏洞的存在造成了目前互联网严峻的安全形式,操作系统的隐患也将使得网络系统本身存在很大的安全隐患。
操作系统隐患的产生大致有三个原因,具体如下所述:
编程人员的人为因素,在程序编写过程,为实现不可告人的目的,在程序代码的隐蔽处保留后门。
受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
由于硬件原因,使编程人员无法弥补硬件的缺陷,从而使硬件的问题通过软件表现。
许多攻击就是利用操作系统存在的漏洞。现在受攻击最多的是Windows操作系统,因为它是现在个人用得最多的一种操作系统。其次是Linux, Solaris, OS/2等操作系统。黑客的攻击手法主要是使用一些现有的黑客工具或自己编制一些程序进行攻击,比如:
口令攻击
主要由于用户设置密码过于简单或者容易破解。如FTP服务器密码、数据库管理密码、系统超级用户密码等。利用一些智能软件可以通过简单的猜测就能破解这些口令,从而使用户失去安全保障。