|
||||
|
||||||||
计算机信息系统安全与密码工作 北京电子技术研究所 夏华夏华 |
|
一、密码工作依赖于计算机系统的安全 随着计算机与通信技术的发展,计算机信息系统如雨后春笋发展迅猛,密码工作部门 大量使用计算机及计算机网络,并由点对点的保密通信发展到计算机网络保密通信。可以 说当今的密码研究、密码分析、密码通信等赖以生存和发展的基础是计算机系统的安全。 计算机系统在安全方面存在着严重的脆弱性,虽说也有用户口令控制、数据库授权控制等 安全措施,但这些措施对专业攻击者是防范不住的。现在世界流行的上百种计算机病毒充 分说明了这个道理。 密码工作部门要求处理、传输、存取的信息绝对安全,而这些信息的安全保密取决于 通信安全保密和计算机安全保密。所以密码工作部门十分关心、重视和支持计算机系统安 全工作的开展,也十分希望得到这些部门的大力支持和帮助。 二、计算机信息系统的安全需要采取综合治理的原则 主要是立法、行政和技术措施三者结合。作为一个国家,首先应“立法”。1988 年9月5日国家保密法公布,今年2月《计算机信息系统安全保护条例》的公布,199 0年4月中办、国办联合下发的密码工作条例等,这些都是意义深远的法规性建设,从而 使安全、保密工作有章可循、有法可依,今天人们也才有可能在这些法规性文件的规范下 ,讨论研究实施计算机信息系统的安全问题。 其次要用行政手段,要设专门机构来执法。为了国家的利益,对不同计算机信息系统 应该有明确的安全要求和可行的安全措施。实行安全等级保护,落实安全等级划分标准和 安全等级保护的具体办法,是非常必要的。对直接操作,使用、开发计算机信息系统的人 要有一套行之有效的管理办法等等,这些行政命令,都是强制执行的。触犯行政法规,必 须绳之以法。 三、要有可靠的技术措施 一类措施是物理防范,例如对计算机的传导和辐射造成的信息泄漏,可用信号及电源 滤波器、电磁屏蔽室、干扰器、低辐射产品等办法来解决。因此防电磁辐射和抗电磁干扰 即电磁兼容的研究,也是当今计算机信息系统安全研究的主攻方向之一。另一类是计算机 病毒的防范,目前,防病毒卡已推出不少种,取得了较好的实用效果。要进一步研究病毒 的机理和特征、病毒标本的采集、预防与免疫、感染与交叉感染,以及对病毒技术的保密 问题,这些问题的深入研究,是当前计算机信息系统安全研究中迫在眉睫的任务之一。 在技术措施中,加密保护是保证计算机信息系统安全的最重要、最有效的措施。 机密性、完整性和可用性是信息安全不可分割的三个方面。机密性主要是防止非法用 户闯入系统、修改和窃取信息。用密码技术来进行合法身份认证,在通信中加密保护,是 目前国内外行之有效的方法。对存储的信息即数据库的访问,操作系统的安全等技术,国 内外正加紧研制,并取得了可喜的进展。完整性主要是防止信息被篡改及过后抵赖,因此 必须用认证码算法和密钥,通常采用分组密码DES作信息完整性的验证,通信中常用数 字签名(电子签名)来代替书面签名,这种用密码技术加密确认电子文件的数字签名,目 的是证明发方的真实性和被传输信息的完整性。对信息可用性的威胁包括销毁、损坏、破 坏信息及拒绝,拖延、耽误使用或存取信息,用密码技术可保证只有授权者方可使用信息 。 密码的研究、生产、使用和管理,任何一个国家都是高度集中统一的。我国密码工作 条例中也做了明确的规定。总的原则是统一管理、定点研制和生产,即实行许可证制度, 算法审批、使用备案。最近《人民日报》、《参考消息》上都登载了RSA129密码被 破译的消息,这个号称要若干年才能破译的密码,今年五大洲的600多人用1600台 计算机攻关8个月就破译了。这对密保密提出了挑战。 综上所述,计算机信息系统的安全是个极为复杂的问题,不充分认识这一点,在解决 信息安全问题就可能误入岐途。同时也说明密码技术的发展和总体保密水平的提高,又推 动了计算机信息系统安全技术的发展和提高。两者相辅相成。总之,计算机信息系统安全 需要采取综合措施,需要各有关部门密切协作、相互支持,更需要国家有一个权威机构出 面协调各方,形成强有力而分工明确的统管局面,使计算机信息系统的安全真正落到实处 ,真正维护好国家的利益。 (计算机世界报 1994年 第22期) |
周报全文频道联系方式:010-68130909 |
||||||
| 【关于我们】 【广告服务】 【周报发行】 【投稿指南】 【投稿声明】 【联系方式】 【法律声明】 【媒体手册】 【编读往来】 |
||||||
| Copyright© ccw.com.cn,All rights reserved | ||||||
| 中国计算机世界出版服务公司版权所有 | ||||||