網路調查報告 篇一
一、國內網際網路安全現狀
20xx年11月28日下午,CHINAREN的“主頁大巴”遭遇了極為罕見的嚴重硬體故障,導致檔案系統崩潰,導致30萬個人主頁使用者的所有資料丟失;20xx年1月30日1點鐘左右,263網路集團的ISP業務頁面、IDC資料資訊港頁面等幾乎在同一時刻被黑客攻擊,從20xx年網際網路發生的幾起事故來看,網際網路安全受到非常大的挑戰。
網際網路的安全主要分為網路執行安全和資訊保安兩部分。網路執行的安全主要包括以CHINANET、CNUNINET、CHINAGBN、CNCNET等10大計算機資訊系統的執行安全和其它專網的執行安全;資訊保安包括把以ICP為主的網際網路資訊內容,保證接入internet的計算機、伺服器、工作站等用來採集、加工、儲存、傳輸、檢索等處理的人機系統的安全。我國網際網路安全的狀況可以分為幾部分:
(1)資訊和網路的安全防護能力差
隨著1995年以來多個上網工程的全面啟動,我國各級政府、企事業單位、網路公司等陸續設立自己的網站,電子商務也正以前所未有的速度迅速發展,但許多應用系統卻處於不設防狀態,存在著極大的資訊保安風險和隱患。
我國的銀行系統、政府部門、企業等全都處在資訊化和網路化程序中,卻很少有人關注安全問題,沒有采取有效的安全措施保證網路的安全,也降低了安全防護能力。
(2)基礎資訊產業嚴重依靠國外
我國的資訊化建設,基本上是依賴國外技術裝置裝備起來的。在國際財團湧向我國資訊化建設的市場,大舉推銷電子資訊裝置之時,我們卻在相對缺乏知識和經驗的情況下,存在著一些花錢買淘汰技術和不成熟技術的現象,這其中就潛伏著資訊保安隱患的極大危險。
我們的計算機軟體也同樣面臨受人遏制和封鎖的威脅。雖然我國的計算機制造業有很大的進步,但其中許多核心部件都是原始裝置製造商的,我們對其的研發、生產能力很弱,關鍵部位完全處於受制於人的地位。我們的計算機軟體還面臨市場壟斷和價格歧視的威脅。國外廠商幾乎壟斷了我國計算機軟體的基礎和核心市場,特別是作業系統。
(3)資訊保安管理機構權威性不夠
目前,國家經濟資訊保安管理條塊分割、各行其是、相互隔離,極大地妨礙了國家有關法規的貫徹執行,難以防範境外情報機構和“黑客”的攻擊。國家在資訊保安問題上缺一個專門的權威性機構。資訊保安相關的民間管理機構與國家資訊化領導機構之間還沒有充分溝通協調。
另外,計算機犯罪屢有發生,我國從1986年發現第一件銀行計算機犯罪案起,案件呈直線增長趨勢,調查表明每年計算機犯罪發案率遞增30%。
(4)全社會的資訊保安意識淡薄
部分人士認為我國資訊化程度不高,更沒有廣泛聯網,網際網路使用者的數量也不多,資訊保安事件在我國不可能發生,要發生也是多少年以後的事,何必大驚小怪,而在“居危思安”的心態中。
另外,資訊保安領域在研究開發、產業發展、人才培養、隊伍建設等方面和迅速發展的形勢極不適應,只是作為資訊化的研究分支立項,投人很少,和國外差距越來越遠。
以上問題如果不能切實解決,我國的網際網路安全將面臨嚴重威脅,在激烈的資訊爭奪和資訊戰中我國就會處於被動挨打的軟弱地位。因此,充分重視我國的網際網路安全問題已迫在眉睫。
二、網際網路絡安全方面存在的主要問題
我們詳細地來分析目前網際網路安全方面的存在主要問題,安全主要表現為網路執行安全、資訊內容的安全、內容管理安全、伺服器系統安全、網路操作安全等方面。
1、網際網路資訊釋出和管理中存在的問題
在2000年12月28日全國人大通過的《關於維護網際網路安全的決定》中,對於網路安全作出了詳細的規定,而在日常工作中,有些單位和個人並沒有嚴格按照規定來執行,把一些不應該在網上公佈的資訊在網上公佈了,實際工作中缺少詳細的操作規程和管理規章。
2、系統安全
目前絕大部分的網際網路訪問流量都來自網際網路資料中心(Internet data center,簡稱IDC),因此加強資料中心的安全就顯得特別的重要。使用者把伺服器託管給了IDC,資訊保安的重任就落到使用者和服務商雙方的肩頭。那麼,IDC服務商是如何保障客戶的資訊保安的呢?我們採訪了中華通訊公司的有關負責人,他表示,IDC不僅應該為客戶提供高速、穩定的接入服務,更重要的是保障使用者的資料安全,因此需要IDC提高網路的安全性,和客戶一起把好“安全”這道關。
3、網路執行中存在的問題
網際網路使用者存在著多種多樣的安全漏洞,在安裝作業系統和應用軟體及網路的除錯中,如果沒有對相關安全漏洞進行掃描並加以修補,遇到黑客的惡意攻擊將會造成重大的損失。例如7月31日,創聯萬網託管的伺服器受到黑客攻擊,就是因為未能及時修復最新漏洞,給黑客可乘之機,出現幾十臺伺服器不能正常執行,並有部分客戶的資料丟失的重大事故,給客戶造成了重大的'損失。
因此,網際網路使用者應該多采取主動防止出現事故的安全措施,從技術上和管理上加強對網路安全和資訊保安的重視,形成立體防護,由被動修補變成主動的防範,把出現事故的概率降到最低。
4、內部管理
不管是在網際網路上釋出資訊的單位,還是提供網際網路資訊服務的機構,都應該加強企業的內部管理,從資訊的審查、資訊的管理維護、網路的規劃、網路建設及系統的維護都需要加強管理,尤其是對系統管理和維護的人員,提高他們的技術水平和安全意識非常的重要,明確人員的操作規程和責任,避免人為“事故”的發生。
三、增強網際網路安全的主要方法和途徑
1、防火牆技術
使用專線接入的企業中,伺服器放在公司內部,而內部網與外部網之間的屏障——防火牆卻沒有安裝,基本的安全防範措施都沒有,而託管在IDC服務商的伺服器可能也沒有選擇服務商提供的安全增值服務,沒有把資訊保安沒有放到一個重要的位置,特別是企業的內部網與外部網相連情況,應該重點考慮使用防火牆技術,加強網路安全和資訊保安,從而保護內部網避免受非法使用者的侵入。
2、資料加密技術
與防火牆配合使用的安全技術還有資料加密技術來提高資訊系統及資料的安全性和保密性, 防止祕密資料被外部破解所採用的主要技術手段之一。從技術上分別在軟體和硬體兩方面採取措施, 推動著資料加密技術和物理防範技術的不斷髮展。按作用不同, 資料加密技術主要分為資料傳輸、資料儲存、資料完整性的鑑別以及金鑰管理技術等四種。
(1)、資料傳輸加密技術
目的是對傳輸中的資料流加密, 常用的方針有線路加密和端--端加密兩種。前者側重線上路上而不考慮信源與信宿, 是對保密資訊通過各線路採用不同的加密金鑰提供安全保護。後者則指資訊由傳送者端自動加密, 並進入TCP/IP資料包回封, 然後作為不可閱讀和不可識別的資料穿過網際網路, 當這些資訊一旦到達目的地, 被將自動重組、解密, 成為可讀資料。
(2)、資料儲存加密技術
目的是防止在儲存環節上的資料失密, 可分為密文儲存和存取控制兩種。前者一般是通過加密演算法轉換、附加密碼、加密模組等方法實現; 後者則是對使用者資格、格限加以審查和限制, 防止非法使用者存取資料或合法使用者越權存取資料。
(3)、資料完整性鑑別技術
目的是對介入資訊的傳送、存取、處理的人的身份和相關資料內容進行驗證, 達到保密的要求, 一般包括口令、金鑰、身份、資料等項的鑑別, 系統通過對比驗證物件輸入的特徵值是否符合預先設定的引數, 實現對資料的安全保護。
(4)、金鑰管理技術
為了資料使用的方便, 資料加密在許多場合集中表現為金鑰的應用, 因此金鑰往往是保密與竊密的主要物件。金鑰的媒體有: 磁卡、磁帶、磁碟、半導體記憶體等。金鑰的管理技術包括金鑰的產生、分配儲存、更換與銷燬等各環節上的保密措施。
3、加強網際網路安全管理
網路安全和資料保護等防範措施都有一定的限度, 並不是越安全就越可靠。在看一個內部網是否安全時不僅要考察其手段, 而更重要的是對該網路所採取的各種措施, 其中不光是物理防範, 還有人員的素質等其它“軟”因素, 進行綜合評估, 從而得出是否安全的結論。因此,對“網管”人員和其它相關人員的管理非常的重要,而不僅是簡單的硬體和軟體方面的資金投入和安全措施的制定。
四、調查結論
經過對目前國內網際網路狀況的瞭解分析,我們對目前國內網際網路的安全狀況感到非常的不安,從網路的執行安全到資訊保安,都存在著很多的問題和安全隱患。為加強我國在網際網路方面的安全防護能力,可以從以下幾個方面加強我們的工作。
第一,中國要發展自己的資訊產業,實現民族的資訊產品逐步地替代進口,至少是從關鍵的區域性開始替代。諸如作業系統、路由器、晶片等關鍵產品,從時間上、產品分佈上來逐步替代。當然,具有自主智慧財產權的產品競爭力的提高及其替代進口產品,都需要一個過程,是不可能一蹴而就的。
第二,在民族資訊產業尚未成熟到與發達國家相抗衡的程度時,應該從管理的規章制度和網路安全的角度多做一些防範。中國在現有基礎上,積極採取一些措施,包括制定嚴格的規章制度,網路關口的技術保障等,在資訊安全防範與保障方面,爭取發揮更好的作用。
第三,在網路安全事故頻繁發生的同時,網際網路使用者也逐漸意識到網路安全的重要性,加大了在網路安全方面的投入,也加強了在網路安全方面的管理。北京成捷訊集創電子技術有限公司伍遠江先生對眾多使用者瞭解分析認為,按目前國內的安全現狀和網路業務流量,使用者在安全方面的投資佔到總整合專案的10%左右可以建立一個比較穩固的立體安全防護體系,包括防火牆、防病毒、入侵檢測和掃描等一整套安全解決方案),但目前很多的使用者遠沒有達到這樣的投資比例,因此,建議使用者不僅要重視網際網路的安全,更要增加對網路安全方面的投資。
第四,應該加強人員的培訓、管理,提高人員的安全意識,增強網際網路安全的防護能力。把我們國家的網際網路安全提高到更高、更強的層次。
資訊保安檢查發現的主要問題及整改情況 篇二
(一)存在的主要問題
1、資訊保安意識不夠。員工的資訊保安教育還不夠,缺乏維護資訊保安主動性和自覺性。
2、裝置維護、更新還不夠及時。
3、專業技術人員少,資訊系統安全力量有限,資訊系統安全技術水平還有待提高。
4、資訊系統安全工作機制有待進一步完善。
(二)下一步的整改計劃
根據自查過程中發現的不足,同時結合我XXXXX公司實際,將著重一下幾個方面進行整改。
1、要繼續加強對全員的資訊保安教育,提高做好安全工作的主動性和自覺性。
2、要切實增強資訊保安制度的落實工作,不定期的對安全制度執行情況進行檢查,對於導致不良後果的責任人,要嚴肅追進責任,從而提高人員安全防範意識。
3、要加強專業資訊科技人員的培養,進一步提高資訊保安工作技術水平,便於我們進一步加強計算機資訊系統安全防範和保密工作。
4、要加大對線路、系統、網路裝置的維護和保養,同時,針對資訊科技發展迅速的特點,要加大系統裝置更新力度。
5、要創新完善資訊保安工作機制,進一步規範辦公秩序,提高資訊工作安全性。
資訊保安自查工作組織開展情況 篇三
1、成立了資訊保安檢查行動小組。由站長、書記任組長,相關科室(車間)負責人、資訊科技科全體人員為組員負責對全站的重要資訊系統全面排查並填記有關報表、建檔留存。
2、資訊保安檢查小組對照網路與資訊系統的實際情況進行了逐項排查、確認,並對自查結果進行了全面的核對、梳理、分析。整改,提高了對全站網路與資訊保安狀況的掌控。