Internet信息安全中的人为因素

Author: 李村 Date: 2000年第16期

　　基于Internet的全球网络化将最终实现全球信息化社会，在WTO决定暂时不在Internet上征税后，预计很快其商业交易额将达3000亿美元。但另一方面，各种数据网的安全缺口也正以每年高于50％的速率增长，而至少有90％的CIO（首席信息执行官）对来自网络间的干扰表示担心。因此，对于大多数已建立自已LAN，正在或准备与Internet建立联系的单位来说，必须考虑到信息安全问题。
#1　　一、信息的价值与非法获取
　　信息是有价值的，这一方面表现在它作为有关数据、文件及其他形式被共享，另一方面则表现在拥有信息的一方对它进行保护而不被其他人非法获取，以使其在竞争中处于有利地位。身处网络时代，信息充满了社会的各个角落——从“探路者”传回的被用来绘制火星地形的图片到大家都乐意收到的电子贺卡，而大多数Internet使用者对自身的信息资源及其传送并不加密，并且充分允许外界对其网络访问。当然，如果只想通过网络向以大比分战胜步行者队的公牛队表示祝贺的话，倒也无须紧张；然而，对印度国防部来说，核试验数据被公布在一个名为AntiOnline的网站上则是比新德里近日的酷热更令他们恼火的事情。现在通过Internet非法获取信息的次数和数量与Internet本身一样都在快速增长，网络数据被窃取和破坏造成的直接损失每年至少有几十亿美元。
　　由于非法访问者的技术手段多样而隐蔽，因此这当中只有很小一部分被发现。以美国国防部为例，就有84％的非法访问未被及时发现，仅有3％的“电脑造反者”被抓到线索，其他网络可想而知。所以，无论自认为网络有多可靠，也应时时警惕可能会出现的安全问题。
#1　　二、信息安全的人为因素
　　在所有使用计算机发生的错误当中，绝大多数是由于使用者误操作造成的。把CD－ROM当成咖啡盘而向工程师诉说部件故障的可能是少数，但也许所有的人都经历过欲按OK按钮而错按到CANCEL按钮后的痛苦——如果是普通用户，也许要重写下月的工作计划，但当你不幸正处在Root状态下，整个单位的经营数据可能因此丢失。
　　从网络内部来说，人为因素造成的网络信息安全问题尤其值得重视。这些方面包括：工作失误——如上面的按错按钮；经验问题——不是每个人都能成为系统管理员，因此并不了解贸然运行一个不知作用的程序时会怎么样；体制不健全——当好心把自己的账号告诉朋友时，你却无法了解他会如何使用这一礼物；有意报复——当人事经理通知你的同事被解雇时，只是因为系统管理员没有及时清除账号，他离开后通过Internet从远程登录并破坏能找到的一切文件，等等。
　　人们往往十分注意网络的硬件环境是否可靠、软件是否正常，却忽视了人在保证信息安全中的重要作用。我们不仅仅需要保安人员在大门口检查每个员工的证件，而且还应该注意对他们加强信息安全的指导。这些人可以分成三类：普通用户，系统管理员，信息主管。
　　1.普通用户
　　对于普通用户，要让他们了解使用Internet是为了提高工作效率而不是扩展工作以外的兴趣，因此：
　　①不随便浏览网站、收发电子函件、下载软件或其他打包内容，这些都可能使你的账号失密。
　　②保护好自己的口令——不要将口令告诉任何人，并且定期修改口令。选择口令时应注意：不能选用户标识符；不能用有意义的字符组合，包括名字、纪念日、电话号码及字典中所有的词。
　　③信息处理。任何保存于介质（如纸、磁盘、磁带……）的信息都可能对系统造成威胁，所以，不应对保险柜外文件的处理听之任之，要做安全处理：比如粉碎、重新格式化、消磁等。
　　2.系统管理员
　　系统管理员的任务都是很多的，他们对网络信息安全负有最重要的责任。除了日常的维护、备份工作外，还应该注意：
　　①对外界访问保持高度警惕：你的网络可能不像美国国防安全网络那样热门，但对有好奇心的人来说网络海洋中没有孤岛。
　　②检查安全漏洞——应及时发现并堵住漏洞，不能亡羊补牢。要知道总会有对网络的复杂性和安全性比你理解得更深刻的闯入者；另一方面，增长跟踪闯入者线索的能力也许会改变你们之间的力量对比。
　　③随时进行病毒检查。
　　④建立身份鉴别：不是所有用户都了解每次连通一台计算机意味着什么，建立对别人的访问就是打开了别人对你的访问通道，必须保证来自通道另一端访问者的合法性。
　　3.网络信息主管
　　人们对信息主管的印象是每天不断的电话，但他们心里非常清楚Internet的保密性与电话通信相比并没有本质改变。面对压力他们会怎么做呢？
　　①对每一个在信息岗位的员工都要充分信任，但绝不出现只有靠某一个员工才能完成的工作。
　　②要有一定的时间去了解你的系统管理员，因为他的情绪很可能会影响单位对你的态度。
　　③考虑对信息加密的原则。加密就是对信息进行再编码，解除这一编码才能得到正确信息，这在Internet上进行敏感信息传递时是必需的。但是应选择如何进行加密。
　　加密的原则就是要在信息的有效期内不会被非法者正确获得。假如你想邀请合作伙伴出席星期三的重要会议，那么下个月在公告栏中出现这条消息无关紧要；但如果要你保护的是一年来公司的经营情况，则最好使要破解这一密码需要在超级机上运行十年。事实上只要有足够的时间，世上就没有不能破解的密码，而且被加密的内容越多，被破解的机会就越多，硬件性能的飞速提高也为解密人士节约了时间——这确实是个不好解决的问题。
　　④定期评估所有因素对网络信息构成威胁的大小和可能性，并以此为据提出改进建议——网络设备是不是增多了？通过Internet的业务是不是有大幅度的增长？4个节点的LAN也许只须想想是否上ISDN，但100个节点的LAN就必须建主防火墙。
　　所有的使用者都应当清楚，在Internet上没有什么不可能实现的事情，对于信息安全来说这并不算是好消息。在感受Internet带来的便利和机会时，应该注意一下它给自己电脑中带来的变动是否都是正常的。