用户的安全意识与网络安全.doc

用户的安全意识与网络安全一、网络安全的重要性。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。具体而言，网络安全要：保护个人隐私；控制对网络资源的访问；保证商业秘密在网络上传输的保密性，完整性，真实性及不可抵赖；控制不健康的内容或危害社会稳定的言论；避免国家机密泄漏等。在信息时代, 信息安全问题越来越重要。而作为庞大的信息共享系统的互联网, 其安全要求主要有两个: 完整性和可用性。可用性要求用户一旦需要, 就能得到相应的服务, 因为互联网是开放网, 没有机密性要求。当然, 有的信息是付费以后能调用的, 这种系统具有鉴别要求。互联网作为开放网, 不提供保密服务, 这一点使互联网具有许多新特点： (1)互联网是无中心网, 再生能力很强。 一个局部的破坏, 不影响整个系统的运行。因此, 互联网特别能适应战争环境。这也许是美国军方重新重视互联网的原因之一。 (2)互联网可实现移动通信、多媒体通信等多种服务。 互联网提供电子邮件(E-mail)、文件传输(FTP)、全球浏览(WWW),以及多媒体、移动通信等服务, 正在实现一次通信(信息)革命, 在社会生活中起着非常重要的作用。尽管国际互联网存在一些问题, 但仍受到各国政府的高度重视, 发展异常迅猛。 (3)互联网一般分为外部网和内部网。 从安全保密的角度来看, 互联网的安全主要指内部网(Intranet)的安全, 因此其安全保密系统要靠内部网的安全保密技术来实现, 并在内部网与外部网的联接处用防火墙(firewall)技术隔离, 以确保内部网的安全. (4)互联网的用户主体是个人。个人化通信是通信技术发展的方向, 推动着信息高速公路的发展。但从我国目前的情况看, 在今后相当长的时间里, 计算机网和互联网会并存发展,二、破坏网络安全的因素。破坏网络安全的因素有多种多样：1。物理上的。从物理上讲，网络安全是脆弱的。就如通信领域所面临的问题一样，网络涉及的设备分布极为广泛，任何个人或组织都不可能时刻对这些设备进行全面的监控。任何安置在不能上锁的地方的设施,包括有线通讯线,电话线,局域网,远程网等都有可能遭到破坏，从而引起业务的中断，如果是包含数据的软盘，光碟，主机等被盗，更会引起数据的丢失和泄漏。物理上的安全涉及警卫系统和社会治安等方面，本文不作深入的分析。2。技术上的。封闭的系统不在本文讨论范围内。本文涉及的系统都是要和外系统进行交互的，即外系统可以读写系统内的资源，或者进行远程控制。当然，这一切都要求是在系统允许的范围内。如何进行控制？一方面，系统必须提供一定的途径以许可外系统的访问；另一方面，系统必须有足够的能力对这些访问进行控制。如果控制技术本身有缺陷，就有可能被攻击者利用。著名的Nescape，MicrosoftNT，Java等各种在网络上广泛应用的技术都存在自身的缺陷。另一方面，即使控制技术本身并无缺陷，在选用控制系统时还有一个平衡的问题：控制太严，合法用户的正常使用将受到影响；控制太松，就会有漏洞。要做到恰到好处的控制并不是一件容易的事。3。管理上的。(该领域不熟悉，此处略去，请参阅其他资料:)4。用户意识。这是本文的重点。大多数系统是以用户为中心的。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配，限定用户的某些行为，以避免故意的或非故意的某些破坏。然而，更多的安全措施必须由用户自己来完成，比如：1）密码控制。一个合理的要求是，由用户来管理自己的登录密码。系统管理员可以更改用户的密码，但不能读取用户的密码。用户必须对自己密码的安全性，保密性负责。一个不好的（或称为不安全的）密码事实上不能起到密码的作用。在下面的分析中，将进行具体的分析。同样，如果不能保证密码的保密性，自然密码也是虚设。2）文件管理。用户对自己的文件必须负责。对于一般的系统和应用，文件的创建者拥有对文件的全部权限，包括将权限分配给他人的权限。如果缺省设置是文件创建后，仅有文件创建者拥有对文件的权限，其他人必须显式得到权限分配，问题会小些。然而，多数系统（比如Microsoft Windows）对文件权限的设置是：只要没有显式的限制，都是可以访问的。这样，对文件访问的安全问题实际上是交给了用户自己管理。3）运行安全的程序。目前在系统一级上，尚无对病毒的有效控制。什么程序是安全的，什么程序是可能包含病毒的，只能由用户自己判断。一个用户只要有写文件，运行文件的权利，就有可能无意中给系统装上木马程序。4）保持警惕。这两年，电子邮件病毒日益猖獗。同前一个问题一样，电子邮件的安全也只能由用户自己控制。在浏览网页时，也可能遇上陷阱，这些都要求用户保持警惕。三、木桶效应在继续讨论之前，先介绍一个概念：木桶效应。早些时候，以及现在的一些农村，还在使用一种用木头做得桶。桶的底部是一个圆片，四周是一些长木片围在圆片周围，用铁丝或藤条固定。如果长木片的长度是不同的，木桶的装水量是多少？是由最长的，还是最短的那片木片决定的？物理上，技术上，管理上的安全措施都是非常重要，必不可少的，不过，用户的安全意识是木桶中最短的那片木片。以下的分析或许可以帮助理解这个结论。四、实际情况。1）密码。在UNIX系统中，用户的密码有最短长度限制，从系统的角度作了部分安全工作。不过，如果用户坚持短密码，多次输入后，系统让步了！这且不论。UNIX系统中，可作为密码字符的共有95个，7位密码的总量是95*95*95*95*95*95*95=69，833，729，609，375（69万亿）。而多数用户在选择密码时，喜欢选择常用的单词，以及在此基础上进行些简单的变换。若常用的单词有10000个，逆序，附加一两个数字等变换方法假定有1000种，那么总共的密码量是10000*1000=10，000，000（1000万）。仅有全部密码总量的不足十万分之一。用每秒可试10000次的机器进行穷举，前者要用221年，后者只要17分钟。2）文件。随便找台机子试试，只要你能进去，里面的文件一般都没有什么保护，即没有访问的权限设置，也没有加密。备份的情况要好一些。3）运行程序。就现在的国情来说，除了一些主要的软件外，机器上一般还充斥着各种各样非正规渠道的程序，包括D版盘上的，也有从网上Down的。注意一点的，还经常用查毒软件查查，不过能保证在运行每个程序之前都查一遍的绝对是少数。那些不太注意的，就是兼容并包了。4）警惕性。至于电子邮件，觉得可疑就删掉吗？别开玩笑了，怎么能不看看内容呢？安全系统总是在最薄弱的环节遭到攻击，即便有很好的安全管理软件，有强度很高的加密算法，用户不使用，不设密码，还不是白搭。有相当一部分攻击就是从用户入手的。先破解一个用户的账号，在通过这个账号破解系统管理员的，或者直接进行破坏，如果该用户权限较高的话。五、结论 网络安全和数据保护达些防范措施都有一定的限度, 并不是越安全就越可靠。因而, 在看一个内部网是否安全时不仅要考察其手段, 而更重要的是对该网络所采取的各种措施, 其中不光是物理防范, 还有人员的素质等其他“软”因素, 进行综合评估, 从而得出是否安全的结论。信息安全是一个综合性课题, 涉及立法、技术、管理、使用等许多方面, 包括信息系统本身的安全问题, 以及信息、数据的安全问题。信息安全也有物更的和逻辑的技术措施, 一种技术只能解决一