一 : 刘易斯:网络安全是全球性的问题
“毫无疑问,网络安全已经成为新的战场,那些虚弱的网络的必然会伤害到国家的创新”。9月23日,国际资深网络安全专家詹姆斯•刘易斯表示在“中国互联网安全大会”上表示,“网络时代没有人是绝对安全的,就好像斯诺登告诉的一样,但我们可以创造一个更安全的网络空间”。
詹姆斯•刘易斯是中美网络安全“二轨对话”的主持人,奥巴马政府的“网络安全智囊”。作为国际公认的资深网络安全专家,他认为互联网已成为全球经济中最重要的基础设施,但是当前的互联网设计并不安全,由此给国家和社会带来诸多安全威胁。
一项统计数据显示,全球95%的网络已经被渗透,很多网络无需后门程序就能够完成攻击。例如,90%的成功攻击仅需要基本的技能,85%的攻击5个月后才能被发现,75%的攻击利用已知公开漏洞,而这些漏洞本可以通过定期修复来避免,95%的网络攻击通过简单的修补能够完成预防。
詹姆斯•刘易斯认为,网络安全是一个全球性问题,各国在网络空间是一个你中有我、我中有你的“命运共同体”。尤其随着网络空间的无限延伸,原有的安全孤岛将不复存在,脆弱的技术、网络匿名等容易被一些国家、地区和个人为所欲为的利用。因此,要保证用户不遭受网络威胁、建设安全的网络,需要国际、国家和企业共同努力。
针对一触即发的网络战争和日益增长的网络威胁,詹姆斯•刘易斯却也表示出了谨慎的乐观态度,他说“网络空间和互联网并不难管制”,国际社会正在定义在网络空间中负责任的行为,目标是让网络空间正规化。
今年6月份,联合国信息安全问题政府专家组达成的报告,确立了和平利用网络空间的总体目标及网络空间主权原则。并且,联合国拟发布针对网络空间的行为和准则管理规定,保障网络安全必须尊重人的基本权利,要求各个国家必须行使网络安全国际义务,利用网络空间合作打击犯罪或恐怖分子等。“虽然没有人是安全的,但我们可以创造一个更安全的网络空间”。
“2013年中国互联网安全大会”由中国互联网协会和国家互联网应急中心指导、360公司主办,作为国内规模最大的一次网络安全盛会,吸引了詹姆斯•刘易斯、安德烈亚斯•马克思等国内外的顶尖网络安全专家和专业观众1万多人。
二 : 别不承认:网络很安全,出了问题全怪自己
下一次如果你的公司成为安全漏洞攻击的受害者,很自然你会生气,会把责任推到你能想起的任何类型的黑客身上。(www.61k.com)
非营利性IT专业人士行业组织CompTIA最近对安全趋势进行的一项调查显示,责任更有可能在你自己身上。
这项对美国400名科技专业人士和高级管理人员进行的调查发现,人为错误是导致超过一半——至少占52%——网络安全事件的主要原因,技术问题是剩下不到一半(40%)网络安全事件的主导因素。
最常见的人为错误是“没能遵循政策和程序”和“粗心大意”,42%的被调查的公司表示有过此类错误。
这些公司对人为错误的担忧越来越强烈,超过三分之一(39%的)公司称在过去的两年里人为错误已经成为造成安全事件的一个更普遍的问题,在大公司中这个比例还会更高。
解决这个问题显而易见的方法是培训员工做好工作,努力减少给黑客造成机会的愚蠢错误。但让人感到不可思议的是,只有54%的被调查公司要求员工接受安全培训。当剩下的46%的公司被问到为何不提供培训时,有三分之一说不出具体原因。
三 : Unix网络的两个安全问题
关机用户的安全问题。
近年来,许多文章相继介绍了一种所谓最安全的Unix的关机用户。其主要思想是直接在/etc/passwd文件或/etc/shadow文件中的关机用户一行的末尾加入/etc/shutdown命令或加入/etc/haltsys命令以代替/bin/sh命令。这样即使有人知道了关机用户的密码(或没有设置关机用户的密码),也不能通过关机用户进入Unix系统,关机用户被严格界定为有且仅有关机功能的超级用户。这一关机用户已被公认为“最安全的关机用户”。
该用户和其他的关机方法相比安全性有所提高,特别是在单机状态下,其安全性值得信赖。但令人遗憾的是,该关机用户在Unix网络中也存在着一定的安全隐患。这主要是由关机用户本身的用途所造成的,首先由于网络中的用户几乎都需要关机用户,所以关机用户往往不设密码或由多人同时掌握密码;另一方面要关闭Unix系统就必须使关机用户具有超级用户的权限。这样,虽然不能用DEL键中断或su命令等手段非法侵入Unix系统, 但利用一些网络远程命令却有可能通过关机用户侵入Unix系统,甚至进入超级用户root的sh状态。
1.提出问题
假设计算机A中有一个关机用户名为shutdown,其设置和权限控制按“最安全的关机用户”的方法设定,因为系统管理员、软件管理员、一般操作员都要使用该用户, 故而未对其设置密码。设计算机A的IP地址为129.15.21.77。
此时如果想从另一台计算机(假设为计算机B)中向计算机A发起攻击,则利用Unix系统网络远程命令, 通过计算机A的“最安全的关机用户”:shutdown即可达到目的。首先在计算机B中的/etc/hosts文件中加入如下代码:
129.15.21.77 hostshut
然后在计算机B中进入任何一个普通用户,键入以下命令:
rcmd hostshut -l shutdown vi /etc/passwd
或 rcmd hostshut -l shutdown vi /etc/shadow
这样,该普通计算机用户已在计算机B中用vi命令打开了计算机A中包括root超级用户在内的所有用户的密码文本。接下来只要改动或删除这些密码,就可以轻松地用telnet、rlogin等远程命令登录到计算机A的任何一个用户中。如果此时闯入的是一个恶意用户, 对计算机A来说其后果将不堪设想。
本文来自: 站长网(www.admin5.com) 详细出处参考:
四 : 网络信息安全问题日益突出
作为20世纪最伟大的科学技术创造之一,互联网已经成为世界各国人民沟通的重要工具。进入21世纪,以互联网为代表的信息化浪潮席卷世界每个角落,渗透到经济、政治、文化和国防等各个领域,对人们的生产、工作、学习、生活等产生了全面而深刻的影响,也使世界经济和人类文明跨入了新的历史阶段。然而,伴随着互联网的飞速发展,网络信息安全问题日益突出,越来越受到社会各界的高度关注。如何在推动社会信息化进程中加强网络与信息安全管理,维护互联网各方的根本利益和社会和谐稳定,促进经济社会的持续健康发展,成为我们在信息化时代必须认真解决的一个重大问题。
迅猛发展互联网世界面临新机遇
经过10多年的迅猛发展之后,我国互联网面临新的发展机遇。
一是党和国家推进信息化的决心和鲜明政策为我国互联网的发展指明了方向。“十一五”规划全面贯彻党的十六大精神,强调要“坚持以信息化带动工业化,以工业化促进信息化,提高经济社会信息化水平。”在推动信息技术发展和应用、加快社会信息化的过程中,作为信息技术传送和应用的重要载体,互联网必将迎来一个生机勃勃的春天。
二是上网人数迅速增长,为互联网发展提供巨大的市场基础。据相关统计,截至2005年底,我国互联网上网用户总人数已经达到1.11亿,上网计算机总数达到4950万台。广东是电信大省,互联网业务发展一直走在全国前列。到2005年底,网站开办者住所在广东且已在信息产业部备案管理系统上注册报备的网站达到11.5万家,占全国备案网站总数的16.6%,全省上网用户1486万,占全国的13.4%,占全省总人口的17.9%。预计“十一五”期间网民数量还会在现有基础上翻一番。用户上网的手段日益丰富,除了传统的互联网拨号、专线及宽带接入方式外,采用GPRS、EDGE、CDMA1X等接入互联网的用户的规模也在迅速增长。移动互联网业务的蓬勃发展体现了时刻在线、人们的生活更多地与互联网捆绑在一起的趋势。
三是互联网对我国的政治、经济、生活等各方面产生着深刻而重大的影响。互联网正在成为政府了解民意、宣传政策以及政务公开的重要渠道,例如近年来在备受关注的“两会”期间,人民群众通过信息网络给政府工作提出的大量意见和建议越来越受到重视。互联网应用已深入到社会各行各业,网络提供的服务更加丰富多彩。电子商务、电子政务、电子娱乐、远程医疗和教育、网络即时通信、网络报纸、网络电视以及对传统电话业务具有颠覆性影响的IP电话等新技术、新业务的发展和应用使互联网世界精彩纷呈。
四是新的发展模式为互联网产业注入新的活力。新浪、网易、腾讯等大型互联网企业普遍进入盈利期,并成功上市,进一步增强了从业者的信心,从而吸引更多资金投入到互联网产业,使整个产业发展呈现出一派喜人景象。
良莠不齐加强管理是当务之急
飞速发展的互联网业在给社会和公众创造效益、带来方便的同时,其系统的漏洞和网络的开放性也给国家的经济建设和人们的社会生活带来了负面影响,病毒侵袭、网络欺诈、信息污染、黑客攻击等问题更是给用户了带来困扰和危害。
一是网络与信息安全问题日益严重。网络诈骗、黑客攻击及攻击我国政府和政治制度、损害党和国家荣誉与利益、危及国家安全与社会稳定的违法犯罪活动越来越猖獗。据统计,2002年~2005年,我国有关部门接到的网络安全事件报告从1761件猛增到123473件,日均超过338件。更为严重的是,传统的病毒、垃圾邮件还在出没,危害更大的间谍软件、“网络钓鱼”等又不断出现,网络信息安全形势愈加严峻。
二是有关互联网管理的法律体系尚未健全。多年来,我国一直在为改善网络信息安全管理水平、提高网络信息安全防御能力进行不懈努力,在法律规范和行政管理等方面出台了一系列法律、法规和规章,但相对于互联网产业的突飞猛进,法律法规建设仍然滞后。即便是现有的一些法律法规也因宣传不足,不能很好地贯彻实施。适应网络技术发展和管理工作的实际需要,加快建立健全相关法律法规体系,为做好网络信息安全工作提供良好的法律环境,仍然任重而道远。
三是互联网基础管理工作薄弱。我国互联网的发展与世界各国一样,由于早期网络规模和用户数量不大,对互联网的技术演变估计不足,缺乏前瞻性,导致网络信息安全建设资金投入力度不够,各项基础性管理工作相对较弱。网络信息安全是信息社会健康发展的基本前提,没有网络与信息的安全运行,就没有互联网产业的持续健康发展和社会信息化水平的提高。我们必须进一步提高认识,以科学发展观为指导,认真处理好安全与发展的关,始终把网络与信息安全放在至关重要的位置,坚持积极防御、综合防范的方针,加大管理投入,以强化行政监管和建设技术支撑平台为切入点,建立一个技术先进、管理高效、安全可靠的网络信息安全管理体系,努力做到未雨绸缪、防患于未0然,以管理保安全,以安全促发展。
他山之石国外经验值得借鉴
在全球信息化大趋势下,各国政府一方面确立总体规划,促进互联网发展,另一方面对网络与信息安全问题日益关注,争相抢占网络信息安全战略制高点。美国率先提出网络信息安全关系国家战略安全,把网络信息安全放在优先发展的位置;俄罗斯把信息安全作为重建大国地位的关键;西欧各国和日本、韩国、印度、新加坡等也都从国家发展战略、安全战略和军事战略的高度奋起直追,加强了安全战略的制定,并围绕创建网络安全、打击网络犯罪、保护数据和资源等课题展开探索。虽然这些国家国情不同,在互联网管理的指导思想上也有所不同,但是它们的经验值得我们借鉴。
一是建立健全法律法规,加强政府管理协调。互联网是一种重要资源,在任何国家,政府都是互联网管理的主导者,应该通过加强法律制度建设来规范和引导行业发展。美国是互联网最发达的国家,该国通过《通信庄严法》、《儿童网上保护法》等相关法律,禁止任何人在公共网络上传播黄色或带猥亵内容的信息,“9.11”事件后,又颁布《爱国法》和《国土安全法》,对网络信息实行严密监控。而在英国、法国、德国、日本、韩国、新加坡等国家,涉及互联网管理的法律法规也十分健全,这些法律制度对监控的对象、监控的内容和监控的方式、方法等都作出了明确的规定,为这些国家高水平信息社会的健康发展奠定了坚实基础。
二是成立专门机构,防范和打击互联网犯罪。许多国家在明确电信管理部门作为互联网行业主管机构的基础上,开始建立国家级计算机应急响应组织(CERT),及时处理各类网络安全事件。新加坡政府最近成立了“国家网络威胁监控中心”,以保护其电子网络免受黑客和恐怖分子的威胁。同时,一些国家以立法形式授权警察和安全部门监控各种网站和电子邮件,对危害社会稳定和国家安全、煽动和诱导犯罪、损毁他人名誉、欺诈侵权、黑客攻击、传播色情信息等违法行为加以严惩。比如,德国内政部就抽调专业人员和技术力量成立“信息和通信技术服务中心”,印度警方也调集精英组建网络警察局,系统地跟踪、分析互联网上的可疑情况,严厉打击网络犯罪活动。
三是研发应用新技术,为网络信息安全保驾护航。互联网是技术高度发展的产物,维护网络信息安全,也同样需要强大的技术能力作保障。为此,在网络管理上,许多国家尤其是西方国家十分重视新技术的研发和应用。随着数据处理能力的提高,美国已开发出一种名为“食肉猛兽”(Carnivore)的系统,根据需要阅读网上发送的邮件;荷兰以法律的形式要求所有电信公司必须安装“网络警察”监控设备,以便对实施犯罪的互联网用户进行有效追踪;日本通产省则与NEC公司共同开发过滤系统,防堵犯罪、色情与暴力网站。其他不少国家也竞相研发新技术,以遏制不良信息传播,增强网络系统的抗毁能力和灾难恢复能力。
四是重视和支持行业自律,促进各项业务规范落实。在政府的支持和影响下,英国互联网行业成立了行业自律组织互联网监看基金会(IWF),主要任务是培养网络用户对网络的信任度,协助互联网内容提供商控制色情等违法内容,协助执法机构打击网络违法犯罪行为;美国也充分发挥电脑伦理协会、互联网保健基金会等行业组织的作用,制定各式各样的行业准则,规范各种网上行为;日本在总务省的推动下,相继成立了电信服务业提供商协会、网站所有者协会等信息行业协会,促进互联网企业自我约束,在很大程度上弥补了政府管理的缺失。
基础管理监管部门责无旁贷
促进发展是当前互联网领域最重要、最核心的任务。因此,电信监管部门作为互联网行业主管部门,必须按照“积极发展,加强管理,趋利避害,为我所用”的要求,结合电信业向综合信息服务业转型的新形势,创新管理体制、机制与方法,进一步加强行业基础性管理,营造良好的产业环境,促进互联网产业健康有序发展,努力为构建和谐社会提供安全的网络服务。
一要加强市场环境管理,促进互联网产业规范、和谐发展。首先是维护公平竞争,保障网间互联互通。有效的互联互通是产业发展的基本保证。在市场经济环境下,互联网已日趋商业化,但在市场化还没有充分形成的现阶段,政府应该努力探索和建立科学的互联网网间管理模式,加强互联互通监管,促使小网与大网之间保持畅通。其次是制定科学、合理的网间资费结算规则。以科学的理论为支撑,结合互联网商业模式,兼顾互联双方利益与需求,进一步完善互联网网间结算体系,以此推动建立合理有效的合作竞争模式,促进整个行业的繁荣和整体实力的增强。第三是进一步完善市场准入机制。根据不同的业务特性和区域特点,设置合理的准入条件,让更多有实力的企业参与经营,促使互联网产业不断发展壮大。
二要加强网络资源管理,促进互联网产业持续、协调发展。网络资源是互联网产业持续、协调发展的基础,而网络资源管理则是互联网管理的重要内容。互联网域名和IP地址都是互联网的基本要素和重要资源。过去,由于缺乏对互联网资源的有效管理,未能掌握互联网最基本的要素信息,使国家对互联网的发展和网络信息安全管理等方面的工作处于被动状态。2004年以来,信息产业部进一步制定了相关管理规章,采取了必要的技术管理手段,加强了对互联网基本要素的技术管理措施,初步建立了全国域名信息数据库、IP地址使用信息数据库和ICP信息数据库。我们应该充分利用这些成果,进一步健全和优化互联网资源申请和分配机制,有效地提高互联网资源的利用率。同时,也应充分发挥这些技术手段优势,进一步提高网络信息安全管理工作的效率。
三要加强网络信息管理,促进互联网产业文明、健康发展。加强网络信息管理的目的是要、保障互联网不受威胁、不出事故,确保信息服务和应用合法、安全。为此,电信监管部门应当根据互联网的技术特性,针对入网产品的安全标准、网络运行的安全规范和信息传输的安全管理规则,建立有效的管理制度。在网络管理方面,要积极规划并监督协调网络运营单位合理布局,优化和完善网络结构,加大网络安全建设投入,保障网络安全可靠地运行。在信息安全管理方面,要加强与其他有关部门配合协作,形成有效的应急反应工作机制和完善的安全保障体系,充分发挥基础性作用,并通过资源配置、许可规定、备案年审等多种手段加大管理力度,切实提高互联网企业经营者的安全意识,认真做好网上信息安全防范。
多方努力营造和谐健康发展环境
加强互联网管理、保障网络信息安全是一项涉及面很广的系统工程,需要各方面的共同努力。我们必须从维护改革发展、稳定大局的政治高度,认真树立和落实社会主义荣辱观,坚持站高一步、多方合作、齐抓共管、分工负责的原则,充分发挥各方面的优势,形成工作合力。通过经济、法律、技术、行政等多种手段,进一步健全管理体制,努力营造一个和谐健康的网络发展环境。
一是行业主管部门要切实履行职责,全面提高监管能力。要站在全社会的角度,进一步解放思想、转变观念,牢固树立“监管为民”的思想,坚持以社会利益最大化的原则处理各类矛盾和问题,找准职责定位,积极引导基础运营企业、信息服务和网络接入等增值服务企业全面落实网络信息安全管理责任。把握“三网”相互渗透、相互融合的趋势和特点,加强网络信息安全管理的战略性、前瞻性和跟踪式研究,不断提高驾驭新情况、解决新问题的能力,在促进互联网产业发展、净化网络信息环境中发挥更大的作用。
二是相关部门要充分发挥职能,密切合作。当前,有关管理部门的职责分工已基本明确,要达到有效监管的目的,就应根据各自职责分工,各司其职,各负其责,加大科学管理和技术创新力度,加强政府部门、运营企业、重要系统用户和应急组织之间的协作配合,逐步建立主动、开放、有效的网络信息安全保障机制。
三是互联网业务经营者要加强自律,文明办网。要强化社会责任意识,严格遵守有关法律法规和规章制度,依法经营,努力营造一个健康和谐、诚实守信、安全可靠、群众满意的网络环境,使其成为人们工作、生活、学习、娱乐的文明场所。
四是社会舆论要积极引导,加强监督。通过宣传教育,使广大网民知荣辱、明善恶,不断提高抵制各种不健康、不文明内容和行为的能力,形成遵纪守法、文明上网的良好风气。
本文标题:
网络安全问题-刘易斯:网络安全是全球性的问题 本文地址:
http://www.61k.com/1056719.html