信息安全议论文精品(七篇)
信息安全议论文篇(1)
关键词:网络信息安全
计算机具有惊人的存贮功能,使它成为信息保管、管理的重要工具。但是存贮在内存贮器的秘密信息可通过电磁辐射或联网交换被泄露或被窃取,而大量使用磁盘、磁带、光盘的外存贮器很容易被非法篡改或复制。由于磁盘经消磁十余次后,仍有办法恢复原来记录的信息,存有秘密信息的磁盘被重新使用时,很可能被非法利用磁盘剩磁提取原记录的信息。计算机出故障时,存有秘密信息的硬盘不经处理或无人监督就带出修理,也能造成泄密。如何在保证网络信息畅通的同时,实现信息的保密,我认为应从以下几个方面做起:
1建立完善的网络保管制度
1.1建立严格的机房管理制度,禁止无关人员随便进出机房,网络系统的中心控制室更应该有严格的出人制度。同时机房选址要可靠,重要部门的机房要有必要的保安措施。
1.2规定分级使用权限。首先,对计算机中心和计算机数据划分密级,采取不同的管理措施,秘密信息不能在公开的计算机中心处理,密级高的数据不能在密级低的机中心处理;其次,根据使用者的不同情况,规定不同使用级别,低级别的机房不能进行高级别的操作;在系统开发中,系统分析员、程序员和操作员应职责分离,使知悉全局的人尽可能少。
1.3加强对媒体的管理。录有秘密文件的媒体,应按照等密级文件进行管理,对其复制、打印、借阅、存放、销毁等均应遵守有关规定。同一片软盘中不要棍录秘密文件和公开文件,如果同时录有不同密级的文件,应按密级最高的管理。还应对操作过程中临时存放过秘密文件的磁盘以及调试运行中打印的废纸作好妥善处理。
2从技术上保证网络档案信息的安全
2.1使用低辐射计算机设备。这是防止计算机辐射泄密的根本措施,这些设备在设计和生产时,已对可能产生信息辐射的元器件、集成电路、连接线和等采取了防辐射措施,把设备的信息辐射抑制到最低限度。
2.2屏蔽。根据辐射量的大小和客观环境,对计算机机房或主机内部件加以屏蔽,检测合格后,再开机上作。将计算机和辅助设备用金周屏蔽笼(法拉第笼)封闭起来,并将全局屏蔽笼接地,能有效地防止计算机和辅助设备的电磁波辐射。不具备上述条件的,可将计算机辐射信号的区域控制起来,不许外部人员接近。
2.3干扰。根据电子对抗原理,采用一定的技术措施,利用干扰器产生噪声与if调:机设备产生的信息辐射一起向外辐射。对计算机的辐射信号进行一于扰,增加接收还原解读的难度,保护计算机辐射的秘密信息。不具备上述条件的,也可将处理重要信息的计算机放在中间,四周置放处理一般信息的计算机。这种方法可降低辐射信息被接收还原的可能性。
2.4对联网泄密的技术防范措施:一是身份鉴别。计算机对用户的识别,主要是核查用户输人的口令,网内合法用户使用资源信息也有使用权限问题,因此,对口令的使用要严格管理。二是监视报警。对网络内合法用户工作情况作详细记录,对非法用户,计算机将其闯人网络的尝试次数、时间。电话号码等记录下来,并发出报警,依此追寻非法用户的下落。三是加密。将信息加密后存贮在计算机里,并注上特殊调用口令。
3加强对工作人员的管理教育
信息安全议论文篇(2)
重要会议于3月18日-24日在北京召开,区委网信办按照市委、区委工作要求,积极做好网上宣传引导、舆论调控管控和网络安全防护工作,营造我区良好网上舆论氛围。
一、突出主题宣传,营造浓厚舆论氛围。
按照市网信办和区委宣传部的安排部署,全区政务微信、微博、网站全面飘红,宣传标语和公益广告广泛传播。各平台积极转载大会程序性报道、评论员文章以及网上展厅、H5页面、十九大主题小游戏等新媒体产品,共发布各类信息260条。
掌上蓟州微信公众平台、蓟州发布政务微博开设砥砺奋进的五年”、“五年发展点滴印记”等专题专栏,广泛宣传全区各行各业各条战线广大干部群众以优异成绩喜迎本次重要会议召开的实际行动,充分展示全区党员干部良好的精神状态和崭新风貌。大会期间,以某某等为主题,准确转载新华社播发的大会程序性报道、有关发言和报道,集中展示全区党员干部群众集中收听收看本次重要会议开幕会的热烈场面,精心设计网页主页,及时做好更新,深入宣传本次重要会议精神,充分反映大会团结、开放、民主的热烈气氛。
强化网上引导,组织各镇乡各单位网评员积极开展跟帖引导,在微博、微信、社区、论坛等环节做好网上解读。本次重要会议期间,完成市委网信办指令4次,对为习近平鼓掌、为习近平点赞、“砥砺奋进的五年”大型成就展网上展厅、手势解锁十九大新知识等链接进行转发,在区内各新媒体平台推送30余次,总浏览量达8000次,跟贴、转发和点赞450篇次。
二、做好网上舆情监看,确保网络空间清朗可控。
3月17 日起,区委网信办进入最高级应急响应,全办每天安排50%力量值班值守,关键岗位24小时在岗,实行网络安全事件和突发舆情零报告制度。
对网络舆情实行24小时监控。每日发布《舆情监测日报》,通报敏感信息5条。发现舆情第一时间通过“值班”微信账号与各涉事单位、镇乡的网信干部取得联系,建议及时处置,密切关注舆情发展。针对突发事件、网络谣言、有害信息,充分利用蓟州官方微信公众号和蓟州政务微博及时进行纠正,回应网民关切,确保网上舆情平稳。
三、强化安全防护,及时修补漏洞。
本次重要会议召开前,区委网信办积极申请由市级安全防护力量对我区六个重点党政机关网站进行远程监控扫描,协助进行防护。联合公安分局针对当前存在的突出问题、薄弱环节、潜在风险,对我区供水、供电、供热等部门的关键信息基础设施进行再检查,落实主体责任,强化网络安全意识。
与此同时,下发《服务保障重要会议网络安全应急协调工作实施方案》,要求全区各有关单位组织好本系统、本行业关键信息基础设施专项检查和风险评估,及时报送责任人和信息表。
下一步工作思路。
1.组织全区网站、微信、微博广泛深入地宣传本次重要会议精神,加强议题设置,积极转发转载解读文章和重要社论。创新宣传方式,通过H5页面、微视频等形式提升宣传影响力和覆盖面。
开设“本次重要会议”等专题专栏,宣传全区各镇乡街、各部门深入学习贯彻本次重要会议精神的经验做法,充分反映干部群众对本次重要会议的热烈反响,掀起学习宣传贯彻本次重要会议精神的热潮。
信息安全议论文篇(3)
以科学发展观为指导,紧紧围绕县委、县政府2014年工作总体思路和我县安全生产有关要求,坚持解放思想、开拓创新,以反映我县安全工作现状、体现安全工作动态、展示安监系统风貌、提升安监形象为主题,以服务、支持、推动安全工作为目标,以强化宣传、完善机制、优化手段为突破口,切实加强对信息工作的组织领导,丰富信息工作内容,创新信息工作方式,推进安全工作科学化、规范化,为推动全县安全工作提供精神动力、思想保证和舆论支持。
二、信息报送
(一)信息内容
一是工作类信息。主要是全县安全工作动态和典型经验,各种工作举措、成绩亮点和经验做法,组织开展的重要会议、重大活动等。
二是建议类信息。包括对全县安全工作的重要建议与意见,县委、县政府重要政策出台后,重要会议、工作部署后系统内干部职工的反映、建议等。
三是调研类信息。包括关于促进安全生产工作的调研报告、理论成果,围绕当前经济、社会发展的热点难点问题或根据指定的专题撰写的分析报告,工作中出现的新情况、新问题及解决对策等。
四是政策法规类信息。主要是国家、省、市安全生产政策和法律、法规等。
五是信息公开。主要是县政府信息公开目录管理系统规定栏目按要求报送的政府公开信息(如发出的一般性工作文件)及“感恩小平,我为小平家乡发展作贡献”专题栏目信息。
(二)报送要求
一是严格信息编写。编写信息要突出真实性。坚持实事求是,防止以偏概全,原则上一事一报,做到不漏报、不迟报、不误报。标题醒目,内容具体并尽量量化,反映的问题要有情况、有分析、有建议。重点突出、角度新颖,表述客观、文字精练。
二是严格报送时间。信息报送要突出时效性。对重大活动、重要会议及突发事件等动态类信息,应在事件发生后当天报送有关情况;一般工作类应在该工作结束后2个工作日内报送;建议类、调研类、政策法规类信息应随时报送。
三、组织领导
成立以局长为组长,副局长为副组长,各股股长为成员的信息工作领导小组,负责指导和推动信息工作的顺利开展。
各股室要明确一位同志抓信息工作,要把信息工作作为一项重要工作摆上议事日程,定期研究信息工作,督促检查落实情况,做好信息编写、审核和报送工作,工作类信息由股长审核后报送,建议类、调研类、政策法规类信息由分管领导审核后报送。
信息安全议论文篇(4)
关键词:密码 信息安全 保密建设 作用探讨
密码是对信息的完整性、机密性以及有用性进行保护的一个基本手段,主要是通过数据加密、消息认证以及数字签名等形式进行的,以防保密通信或者存储的数据发生窃听、伪造、抵赖等危及信息安全的行为发生。
1.现代信息安全工作中密码的种类
传统的信息保护措施几乎已经不能满足需求的不断发展,这也就促进了密码学理论的诞生。现代密码技术是从20世纪70年代中期开始,以数据加密标准DNS[1]以及公钥密码[2]为代表进入到全新阶段的。目前密码的种类有:字符密码、证书密码、硬件密码、随机密码以及一些以生物、化学以及物理等方法所进行的系统认证方式,比如指纹密码、人脸识别、压力认证等[3]。
2.密码在信息安全保密建设中的作用
目前,密码技术是信息安全保密建设中的处于地位,他集数论、代数、概率论、信息论等理论于一身,和计算机网络、通信以及微电子等技术结合发展形成了一门全新的综合性学科,新型密码技术得到了不断的研究和应用。在信息安全保密建设中,密码技术并不单单只能够来为机密性的信息进行加密,还具有身份验证、数字签名以及系统安全等功能,所以说密码技术在信息安全保密建设中有着重要作用,具体表现为:
(1)密码技术在信息安全保密建设中占有不可取代的核心地位。密码在信息安全保障中具有独特的效能,其作用非常重要。早期密码主要是使用于阶级以及集团的内部,以暗号、标志等特定的符号进行使用;现今主要是用在军事以及外交领域的保密通信中。随着计算机的广泛应用,密码技术成为了计算机网络信息体系的重要支撑,其作用无可取代。
(2)密码技术在信息安全建设中肩负神圣使命。其中保护密码安全性的措施有:①传输加密,其中网络攻击对信息流所产生的威胁主要有截取、修改、中断以及假冒四个表现形式,俺么传输加密就是要传输过程中信息进行加密保护,以防泄露信息,另外对传输中的信息进行加密保护之后,及时被攻击者截取了信息,也无法得到信息的内容,而只是一些密文信息。目前在信息传输过程中已经开始使用纯粹的PKI公/私钥对,其中公钥基础结构中的两个密钥在加密文件中的应用也非常的简单,就是先由发送文件的以防利用接收文件方的公约对文件进行加密,然后再发给接收方,在接收方接受到文件之后,利用自己的私钥打开即可。②存储加密,这个应该是我们最长议论的。存储信息利用存储介质可以非常容易的把信息取出或者复制,其存储密码则就是在不同的存储介质上使用密码,对信息实行密码保护,以防信息被恶意读取或拷贝。③访问控制,就是对授权的资源访问进行身份认证,以此来惊醒控制,这是网络安全防范以及保护的重要方法,不但可以对关键资源的访问进行控制,还可以有效的防止非法用户侵入以及合法用户因为不慎操作而对信息安全造成破坏。④安全协议,其中协议是指由两个或者是两个以上的参与者为了能够完成某一项任务所进行每一个步骤,那么安全协议也就是指具有完整性、有效性以及公正性的协议。协议的设计需要进行密码保护,在进行协议交换信息时也要进行密码保护。⑤数字签名,目前数字签名有RSA签名、Hash签名以及DSS签名三种,就是为了确保在进行信息交换的时候双方的身份真实性以及完整性,数字签名必须满足不可否认、不可重用以及不可伪造的原则。⑥安全管理,就是根据安全策略,对安全服务、机制、规则等进行管理,并且要把管理信息分布到各个安全设备中去,以便收集和操作[4]。
(3)密码技术为国家未来的发展产生一定的影响。密码技术在保护信息安全建设中具有支撑作用,不但关系国家的根本利益,还会对国家未来的发展产生一定的影响,目前世界各国都非常重视密码技术的发展。美国曾经为了能够得到信息安全领域中的控制权,从1977年开始就在世界范围内收集高级加密算法AES;欧盟各国曾经投资33亿欧元来建立自己的序列密码、分组密码以及公钥密码等的算法标准。我国也应该加强对密码技术的研究与应用,以此构建出我国的军事信息系统的安全防线,为我国的军事提供一个高质量的信息安全保障系统。
3.结语
为了能够提高信息安全保护系统的安全性,许多先进的密码技术正在逐渐的加大应用,例如目多信道多密码传输技术,就是采用不同的密码然后来通过不同的信道进行传输,并且尽量减少这些信道系统之间的关联性,确保在进行密码验证的时候,在这些信道中密码时效性,从而大大提升了信息系统的安全性。虽然密码技术已经在不断的发展,但是随着网络时代的到来,又给密码技术提供了新的发展机遇,所以一定要用创新性思维对密码技术继续进行研究发展,才能够开辟出一个新的密码学纪元。
参考文献:
[1]National Bureau of Standurds,Date
Encryption Standard[S].FIPS Publicantion,46,1977
[2]DIFFIE W,SHAMTR M E.New directions in cryptography[J],IEEE Trans on Info Th,Nov 1976,22
信息安全议论文篇(5)
会议拟请公安、工业和信息化、国家保密、国家密码管理主管部门、中国科学院、国家网络与信息安全信息通报中心等部门担任指导单位,同时将出版论文集,经专家评选的部分优秀论文,将推荐至国家核心期刊发表。现就会议征文的有关情况通知如下:
一、征文范围
1. 新技术应用环境下信息安全等级保护技术:物联网、云计算、大数据、工控系统、移动接入网、下一代互联网(IPv6)等新技术、环境下的等级保护支撑技术,等级保护技术体系在新环境下的应用方法;
2. 关键基础设施信息安全保护技术:政府部门及金融、交通、电力、能源、通信、制造等重要行业网站、核心业务信息系统等安全威胁、隐患分析及防范措施;
3. 国内外信息安全管理政策与策略:信息安全管理政策和策略研究,信息安全管理体制和机制特点,信息安全管理标准发展对策,网络恐怖的特点、趋势、危害研究;
4. 信息安全预警与突发事件应急处置技术:攻击监测技术,态势感知预警技术,安全监测技术,安全事件响应技术,应急处置技术,灾难备份技术,恢复和跟踪技术,风险评估技术;
5. 信息安全等级保护建设技术:密码技术,可信计算技术,网络实名制等体系模型与构建技术,漏洞检测技术,网络监测与监管技术,网络身份认证技术,网络攻防技术,软件安全技术,信任体系研究;
6. 信息安全等级保护监管技术:用于支撑安全监测的数据采集、挖掘与分析技术,用于支撑安全监管的敏感数据发现与保护技术,安全态势评估技术,安全事件关联分析技术、安全绩效评估技术,电子数据取证和鉴定技术;
7. 信息安全等级保护测评技术:标准符合性检验技术,安全基准验证技术,源代码安全分析技术,逆向工程剖析技术,渗透测试技术,测评工具和测评方法;
8. 信息安全等级保护策略与机制:网络安全综合防控体系建设,重要信息系统的安全威胁与脆弱性分析,纵深防御策略,大数据安全保护策略,信息安全保障工作评价机制、应急响应机制、安全监测预警机制。
二、投稿要求
1. 来稿内容应属于作者的科研成果,数据真实、可靠,未公开发表过,引用他人成果已注明出处,署名无争议,论文摘要及全文不涉及保密内容;
2. 会议只接受以Word排版的电子稿件,稿件一般不超过5000字;
3. 稿件以Email方式发送到征稿邮箱;
4. 凡投稿文章被录用且未作特殊声明者,视为已同意授权出版;
5. 提交截止日期: 2014年5月25日。
三、联系方式
通信地址:北京市海淀区首都体育馆南路1号
邮编:100048
Email:.cn
联系人: 范博、王晨
联系电话:010-68773930,
13717905088,13581879819
信息安全议论文篇(6)
【 关键词 】 互联网;信息安全;账号密码;身份认证
Security Investigation on the Internet Users’ Accounts and Passwords
Xie Jin 1 Liu Fan-bao 2 Xie Tao 2
(1.The First High School of Changsha HunanChangsha 410005;
2. School of Computer Science, National University of Defense Technology HunanChangsha 410073)
【 Abstract 】 Being directed against the basic problem of information security, i.e. the security of the Internet users’ accounts and their corresponding passwords, an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration (create a new account) and sign-in procedures of some dominant inland Internet Email service providers, and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers, similar tests have also been carried out on the three dominant Internet Email service providers, namely Hotmail, Gmail and Yahoo!Mail. Research results show that, China’s current information security can be leveled as very severe, so that some emergent measures must be taken to hold up the network security as soon as possible, and the first and foremost remedy is not to send a user’s username\password over the circuit “in the clear” any more.
【 Keywords 】 internet;information security; account password; identity authentication
1 引言
与历史上改变人类生活方式的重大技术革命一样,网络技术已经成为一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静止通讯到移动通讯、从单计算机应用到多计算机互联、从人-人互联到人-物与物-物互联,网络技术发展到今天,已经无处不在、不可或缺。但由于因特网的基础协议(TCP/IP)未考虑信息安全因素,使得在网络信息技术飞速发展的今天,安全问题也异常突出。网络账号密码泄密、网络阻塞、网站瘫痪、邮件伪造、黑客入侵、网络欺诈、假冒网站等信息安全问题,已经严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全与信任问题。
愈演愈烈的“密码危机”已经演变成为对网络技术的信任危机。近年来,互联网用户信息泄露与入侵事件层出不穷,事件日益严重。例如,索尼上亿用户信息泄露,韩国SK通讯公司七成韩国人资料遭泄露,日本爱普生公司泄露3500万用户信息,美国银行与美国花旗银行信用卡信息遭泄露,华盛顿邮报百万用户信息遭泄露…… 近年来,我国也发生了史上最为严重的用户信息泄露事件。2011年12月,CSDN上600万用户资料被公开,知名团购网站美团网的用户账号密码信息也被宣告泄露,天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄,网上公开暴露的网络账号密码超过1亿个。2013年3月,著名云笔记服务提供商Evernote 5000万用户身份密码遭黑客泄漏。 2014年12月,中国铁路客户服务中心12306用户数据在互联网遭到大量泄漏,包括用户账号、明文密码、身份证以及邮箱等。如何确保互联网上个人、组织、服务和设备之间的虚拟服务具有与现实服务同等的可靠度与诚信度,已成为网络安全行业在信息安全理论、技术、工程与管理上迫在眉睫、义不容辞的责任与使命。
身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制方式对合法注册用户进行授权与管理。用户首先通过注册(账号与密码)成为网络服务器的合法用户,只有通过身份认证的用户才能访问/使用(阅读、修改、下载等)网络服务器相应角色的资源。身份认证与访问控制是网络信息安全的基本技术和基本研究内容。网络信息安全涉及计算机操作系统、互联网络安全协议与密码算法的安全性,其中网络安全协议以密码算法为基础,采用网络协议的形式实现两个以上网络实体之间的远程身份认证、密钥协商以及确保消息的不可抵赖性。安全协议的安全性不仅取决于密码算法自身的安全性,同时也取决于协议形式的安全性。身份认证协议常用攻击方法包括网络监听、重放攻击、中间人攻击、在线攻击、离线攻击等等,一个不安全的身份认证协议可以被黑客利用进行网络攻击。因此,身份认证协议的安全性是确保网络身份认证安全的技术基础。
2 电子邮件系统与商业网站账号安全
我们首先对每个电子邮箱的三种登录方式分别进行了用户账号密码的传输方式测试,包括POP3登录方式、IMAP登录方式以及Web登录方式。然后,对每个电子邮箱注册服务过程中用户注册信息的传输方式进行测试。
2.1 电子邮箱POP3客户端登录安全方式调查
我们在2011年8月的调查结果表明,采用POP3客户端登录方式的所有国内电子邮件服务提供方默认使用明文密码进行用户身份认证,而且其中46%的境内邮件服务提供方(28家中的13家)仅支持明文密码认证。我们在2012年8月的调查结果表明,采用POP3客户端登录方式的所有境内电子邮件服务提供方仍然默认使用明文密码进行用户身份认证,而且其中39%的境内邮件服务提供方(28家中的11家)仅支持明文密码认证。一年期间,中国移动的139mail新增HTTPS支持,Tommail新增Login支持。此点说明,已经有境内电子邮件服务提供方开始认识到用户登录身份认证安全的重要性。调查统计结果如图1(a)所示。
2.2 电子邮箱IMAP客户端登录安全方式调查
我们在2012年8月的调查结果表明,25%的境内邮件服务提供方(28家中的7家)不支持IMAP客户端登录。在支持IMAP客户端登录的境内电子邮件服务提供方中,所有提供方默认使用明文密码进行用户身份认证,其中33%的提供方(21家中的7家)仅支持明文密码认证。调查统计结果如图1(b)所示。
2.3 电子邮箱Web页面注册与登录安全方式调查
我们在2012年8月的调查结果表明,除亿邮(eyou.mail)关闭了注册功能外,所有境内邮件服务提供方在用户注册过程中均将注册信息(包括账号与密码)以明文方式传输至注册服务器。在已调查的28个境内知名邮件服务提供方中有19个(比例为67.9%)为收费邮件服务(每月收取服务费用从五元至上百元不等),有9个(比例为32.1%)提供免费电子邮件服务。调查结果表明,境内邮件服务商信息安全意识不强,对用户私密信息缺乏足够安全保护。令人震惊的是,19家收费电子邮件系统中竟有16家(比例为84.2%)默认使用明文密码进行登录认证,仅有3家提供非明文密码的登录认证方式,而且其中一家仅仅采用极其简单的线性掩码变换方式对登录密码进行保护,另外两家则采用安全的HTTPS方式对登录过程中的密码传输进行加密保护。由此可见,境内电子邮件系统安全性十分脆弱。在9家免费电子邮件系统中,仅有搜狐旗下的4家提供安全的HTTPS对登录过程的密码传输进行加密保护,另外三个使用用户明文密码进行登录认证,剩余两家使用单向挑战响应认证方式对用户账号密码进行有限保护。根据轻量级(非公开密钥密码系统)动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的两家邮件服务商均采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图2所示。
2.4 国外电子邮箱系统安全性调查
作为安全性比较分析,我们对境外三大电子邮箱服务器Hotmail、Gmail和Yahoo!Mail的安全身份认证方式进行了同样的测试工作,结果发现这些邮箱的注册与登录过程全部以安全HTTPS协议方式对用户账号密码信息进行加密传输,基本上没有明文账号密码传输认证方式选项。
境内电子邮件服务提供方仅采用最低安全级别的明文密码传输方式进行身份认证,而境外电子邮件服务方一般提供安全级别很高的口令密码加密传输保护方式。因此,境内电子邮件系统极易受到境内外黑客或者情报部门攻击,并利用用户个人私密信息进行商业牟利或政治与军事渗透活动。重视账号和内容安全的国内电子邮件用户因而转投境外电子邮件提供方。由于我们无法控制国外邮件服务器,而境外情报部门却能轻易控制并利用境内的电子邮箱信息,致使我国在网络信息安全技术领域处于不对称的弱势地位。此外,我国现有网络服务器等网络核心设备一般采用国外主机与操作系统,由网络设备制造方预设的硬件后门和软件后门所导致的安全风险也不容小觑。
2.5 商业网站账号安全性调查
名目繁多的境内互联网商业网站为用户提供购物、旅游、聊天、交友等系列服务,极大便利了广大用户的生活。这些网站数据库中留下了用户的各种私密信息(爱好、消费内容和习惯、交往人群等),如果这些用户信息发生集中泄露事件,用户就毫无隐私可言。2011年12月期间我国系列网站账号数据库集中泄露事件表明,境内商业网站的账号与密码的安全性令人质疑。
2012年8月我们集中调查了30家知名商业网站的账号密码安全性。受调查的商业网站涵盖生活、招聘、交友、团购、购物、旅游和视频等方面,在一定程度上代表了当前服务性商业网站的主流应用。我们主要通过监控用户注册过程和用户登录过程,检查网站是否提供必要的安全技术对用户的账号密码进行保护。其中29家商业网站在用户提交注册信息(包含账号密码)的过程中均未提供任何安全保护,包括知名购物网站淘宝网,用户设定的账号和密码通过明文方式经过不安全的互联网传送至网站服务器。京东商城使用HTTPS对注册和登录过程进行保护。
26家商业网站(比例86.7%)对用户的登录认证过程未提供任何安全保护,仅仅采用明文密码认证方式,包括知名团购网站拉手网和美团网以及三大招聘网站,如图3所示。仅有淘宝和京东商城提供了安全的HTTPS对用户登录认证过程的密码传输进行加密保护,另有三家网站(58同城、开心网和新浪微博)采用单向挑战响应认证方式对用户在登录认证过程中的密码传输进行了有限的保护。根据动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的三家商业网站服务商采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图3所示。2014年8月,我们再一次对此30家知名商业网站的账号密码安全性进行复查,发现58同城网、CSDN论坛网、美团购物网、大公点评网以及去哪儿旅游网等几家商业或社交网站的注册与登录信息传输已经采用HTTPS安全协议进行了加密封装,其它网站仍然没有进行必要的安全升级。
3 调查结论与建议
3.1 调查结论
(1)境内互联网服务提供方用户的身份注册与登录认证过程普遍默认采用静态身份认证方式。虽然认证数据库用户的账号密码存储方式不明,但用户的账号密码却几乎全部采用明文密码传输方式。因此,容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(2)绝大部分境内互联网服务提供方的用户注册信息(账号与密码)传输仅仅提供唯一的明文传输方式,近半数境内互联网服务提供方用户登录身份认证的账号密码传输仅仅提供唯一的明文传输方式。因此,非常容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(3)境外互联网几大专业电子邮箱服务器Hotmail、Gmail和Yahoo!Mail均采用SSL\TLS协议对口令实施加密传输动态认证,防止账号口令密码网络明文传输泄密风险;认证服务器数据库则采用账号口令散列值加密方式,预防数据库内部集中泄密风险。
(4)为了确保网络身份认证数据库安全与认证过程中认证信息传输的安全性,无论是国际互联网还是包括军网在内的各种内部专网,必须采用SSL\TLS协议将网络身份认证过程加密封装,在口令密码散列值加密存储方式下实现非对称密码体制下的动态身份认证。
(5)密码算法、安全协议与网络工程以及操作系统各专业研究领域必须紧密合作,才能保证一项互联网应用工程中的信息安全。我国互联网普遍存在用户账号密码明文传输的不安全静态认证方式,根本原因在于互联网应用工程设计人员网络安全意识不强,对网络安全协议缺少研究,对常规网络攻击方法与行为缺乏了解,对潜在的网络攻击新理论与新技术更缺少关心。
根据轻量级动态身份认证的一致性原理可以推定,采用轻量级动态身份认证方式的认证数据库一般采用用户账号密码的明文存储方式。根据一致性原理同时可以推定,安全的认证数据库一般采用用户账号密码的单向散列值影子文件加密保护,而采用SSL/TLS安全协议将静态认证的明文密码传输转换成重量级动态认证的加密传输方式。这样,网络身份认证才能既可防止认证数据库的内部集中泄密风险,又能防止外部网络监听的重放攻击。
3.2 应急建议
(1)尽快对我国互联网开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(2)尽快对我国各行业内部专用互联网(内部信息专网、政府办公专网、金融专网、邮电专网、铁路专网等等)开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(3)采用SSL\TLS协议对我国互联网用户身份认证过程实现加密封装,确保身份认证过程的动态性。
(4)加强网络信息安全意识,建立互联网攻防新技术专业实验室,为复杂信息化环境下的军事斗争加紧培养既精通密码算法与安全协议的分析方法又通晓操作系统与网络工程技术的复合型高级专门技术人才。
参考文献
[1] 谢涛,陈火旺,康立山. 幻方身份双向认证与密约传输一体化方法.中国知识产权局,发明专利号:331608,2007年6月.
[2] 谢涛. 一种用于身份真伪鉴别的幻方签名方法.中国知识产权局,发明专利号:695757,2010年11月.
[3] Freier A, Karlton P, Kocher P. The Secure Sockets Layer (SSL)Protocol Version 3.0. RFC 6101 (Historic). August 2011. http:///rfc/rfc6101.txt.
[4] Dierks T, Rescorla E. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). August 2008. Updated by RFCs 5746, 5878, 6176, http:///rfc/rfc5246.txt.
[5] Rescorla E. HTTP Over TLS. RFC 2818 (Informational). May 2000. Updated by RFC 5785, http:///rfc/rfc2818.txt.
[6] Fielding R, Gettys J, Mogul J, et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 (Draft Standard). June 1999. Updated by RFCs 2817, 5785, 6266, http:///rfc/rfc2616.txt.
[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 (Proposed Standard). March 2003. Updated by RFCs 4466, 4469, 4551, 5032, 5182, 5738, 6186, http:///rfc/rfc3501.txt.
基金项目:
本文工作得到国家自然科学基金项目NSF.61070228与 NSF.61472476的连续资助以及国防科技大学XXX实验室的大力支持。
作者简介:
谢瑾(1997-),女,湖南长沙人, 湖南省长沙市第一中学信息技术组成员;主要研究方向和关注领域:互联网应用创意、文学创作、数学游戏。
信息安全议论文篇(7)
大家好!为加快县域的质监系统信息化建设,顺应时展,按照市政府办公室近期下发的《关于加快推进县区级公务外网建设的通知》的要求和全市公务外网建设调度会议精神,我县政府办公室积极筹划、认真落实,同时采取了一系列有力措施,加快了硬件建设,健全了管理制度,强化管理服务,实现了公务外网建设的阶段性目标。现就目前我县公务外网建设进展情况汇报如下:
一、强化领导,明确职责,完成了接入公务外网单位统计
为更好地完成市委、市政府下达的《××市电子政务县区级公务外网平台建设实施方案》、《县区级公务外网第一批接入单位》等文件要求和公务外网建设目标任务,切实推进我县公务外网建设工作的进程,县委、县政府高度重视,县政府办公室制定了我县本级横纵向网络的接入单位名单,初步确定了接入单位,并对接入点数和传输信道租金做了预算。并设立了相关小组,具体负责全县的电子政务建设和管理工作。组织机构的建立健全,保证了我县推进电子政务建设的工作需要。
二、加快硬件建设,协议整合并强化了网络建设与管理
为了快速推进我县的信息化建设,我县加大财政投入,不断完善电子政务建设,以确保公务外网建设顺利开展。2010年5月27日至6月5日间,按照《××市电子政务县区级公务外网传输通道及运行服务框架协议》规定的基本原则,我县政府办公室结合自身实际情况拟定了《××县公务外网传输通道及运行服务协议书》,同时还建立健全由主要领导负责的电子政务建设管理制度,制定了对于网站建设的相关协议。协议书中整合了我县政府办公室以前与联通公司签署的三个协议,分别是:《光纤接入、IP地址租用合同》、《××县政府主机托管合同》和《××县人民政府门户网站建设协议》,其中废止了《光纤接入、IP地址租用合同》。由于我县核心机房尚未建设完毕,因此主机托管合同继续生效,待核心机房建设达标,联通公司将所有软硬件交付给我们,并进行安装、调试后,只要双方签订相关补充协议,明确发生的费用等具体事宜后,该合同也将被废止。由于有联通公司负责建设的××县政府门户网站尚未通过验收,并且验收后还需联通公司提供一年的修改和维护服务,因此该协议继续生效,希望各位领导理解并继续支持。只要公务内网线路铺设完成后,待市信息办统一安排后即可开通。
三、细心研究,认真讨论,确定了协议的签署
2010年6日至9日间,我县政府办公室连续召开三次内部小型讨论会,就协议书的具体事项进行商榷,经过逐条审查,仔细推敲,最终敲定了初稿。10日上午9点,在政府一楼会议室,我办会同我县联通公司就协议的具体事项进行了第一轮的磋商,联通公司对核心机房建设地点、县政府至院内北山行政中心单位采用局域网方式接入、运行服务及主机托管合同整合事项提出了异议,经过双方激烈的讨论,未达成一致意见。10月15日上午,应我办邀请,双方进行了第二轮的磋商,双方就上次会议争论问题做了进一步协商,最终协议按照原有方案执行,双方达成了一致意见。目前,协议已完善成熟,随时可签署。
四、接下来的工作打算
