直面信息技术发展对信息安全保密教学的挑战

刘 芳 蔡志平 肖 侬 郑倩冰 姜新文

摘要 :信息安全保密素养是大学生必须具备的职业素养。本文分析了微电子技术、光电技术、声电技术、网络通讯技术等信息技术给安全保密工作带来的挑战,提出要有针对性地调整和发展信息安全保密教学的内容。在普及高科技知识和防窃密知识的同时,也引导学生消除对高科技窃密的“恐惧症”。

关键词:信息安全保密;信息技术;保密技能;保密意识

中图分类号:G642 文献标识码:B

1适应信息技术发展,加强信息安全保密教育

信息安全保密技能和素养是大学生必须具备的基本职业素养。学生通过“信息安全保密”课程的学习,可以增强信息安全保密意识,提高信息安全保密素养和技能。在“信息安全保密”课程教学中,除了信息安全保密的政策、法律法规、标准和规范的内容外,各项窃密技术及其防范手段是课程学习的重点。

随着微电子技术、光电技术、声电技术、网络通讯技术等信息技术的高速发展,各种窃密技术的发展也很快。在介绍最新的窃密技术时,我们综合讲授各种防范手段,总结和分析各种窃密和保密技术的发展趋势,同时鼓励和引导学生结合各自专业分析和跟踪最新的窃密和保密技术。

很多学生在了解最新的窃密技术后,感叹窃密技术“神乎其神”,同时也产生了一种“高科技恐惧症”,觉得高科技“防不胜防”,对保密工作失去信心。为了消除这种心理,我们鼓励学生树立正确的思想观念,提高保密意识和技能,引导他们自我思考,从技术和制度两方面开展保密工作,防范“高科技窃密”问题。

2信息技术发展对信息安全保密的挑战

微电子技术、光电技术、声电技术、网络通讯技术等信息技术的高速发展,对信息安全保密工作提出了很大挑战。一方面,信息技术的发展使涉密信息存储、分布和扩散得更广,使信息安全保密的内涵和外延更加宽广;另一方面,最尖端的高新技术被应用到窃听、窃照、密码破译和黑客入侵等诸多领域,造成了巨大的安全隐患,信息安全保密工作也越发艰巨。

2.1窃听技术

传统的专线窃听器需要入室安装,容易暴露,利用无线电波和微波进行窃听,能克服专线窃听的弱点。例如,国外曾有一种伪装卡片架的窃听器,把微型麦克风窃听发射机、遥控接收机和电池等装在不到1厘米厚的木板底座里,上面的金属框架就是发射天线和接收天线。有的微波窃听器可以制得很小,隐藏在提包、首饰、钢笔、眼镜、鲜花、领带、钮扣,甚至餐厅服务员临时送上的调料架、烟灰缸之中。此外,还可将拾音器、信号放大电子线路、电池、天线等装在特制的炮弹中,在作战之前伴随火力侦察,发射到敌方的哨所、驻地、指挥部附近或交通要道等处,起到侦察兵起不到的作用。

随着科学技术新成就的不断出现,窃听技术越来越升级,方法和手段越来越多,如激光窃听、辐射窃听等新的窃听技术相继问世。据悉,有的国家窃听机构的工作人员达数万人,陆地、海洋到空中都有其窃听哨。在1990年的海湾危机中,美国的“大耳神”卫星秘密窃听系统又大显身手,配合“卫星眼”对伊拉克战场进行持续监视,甚至连伊拉克坦克车指挥员间的无线电通话也被窃听到。

2.2窃照技术

从科索沃战争、阿富汗战争和伊拉克战争来看,以美国为首的西方国家使用了大量远程精确打击导弹。这种武器对高精度的地理空间信息数据,即“是什么”、“在哪里”的要求尤其高,有些导弹之所以能够识别目标,就是依靠计算机自动识别系统事先存入的目标图像等信息。

事实上,各国无不将关键设施的坐标、地形、地貌、地质、海洋等地理空间信息的精确数据视为国家机密并严加保护。2005年10月,谷歌(Google)网站公布了一些遥感测绘卫星拍摄的印度军事基地照片,印度国防部为此大为恼火,原因就是这些照片能够为潜在对手提供地理参照信息,有助于提高导弹的命中精度。

现代科学技术特别是数码照相技术、摄像技术的发展,使照相机、摄像机已能够适应各种恶劣的物理环境,清晰度也得到极大的提高。手机、便携式计算机等极易携带的个人数字产品结合了数字照相、摄像的功能,性能也远远超出了早期的专用设备,给军事设施防窃照带来了更大的挑战。

2008年8月,地眼(GeoEye)公司宣布,已经和Google签约,将把即将发射的新卫星获得的高清照片提供给Google地球。地眼的新卫星将是全世界最清楚的商业地球拍照卫星,黑白分辨率高达41厘米,彩色分辨率高达1.65米。根据目前美国政府的规定,公司只能向公众提供半米精度的地面照片。

2.3网络安全

随着网络规模的日益扩大,网络的开放性导致网络安全问题日益严重。突出的问题包括:僵尸网络快速增加、DDoS转向应用层的拒绝服务、针对Web网站的入侵急剧增加、钓鱼等网络欺诈增长迅速、系统漏洞的曝光和利用速度加快。

因为DDoS攻击是最有效、最经济的攻击方式,因此依然是黑客攻击的首选工具之一。DDoS攻击目前已从简单的堵塞用户网络变成了针对应用系统的拒绝服务,例如利用大量僵尸网络发起的针对Web应用的Http洪水攻击,通过短时间内大量的Http请求导致Web服务器的拒绝服务,这种新的DDoS攻击在2008年的增长速度是最快的,而IDC用户、电子商务平台成为其主要攻击目标。

2.4密码技术

随着计算能力的快速发展,密码体制日益受到挑战,而量子密码学的出现使得问题更加严重。以公钥密码体制RSA为例,如果人们能够实现“大数因子化”的量子算法,RSA保密体制完成的任何加密就会被解密。因此,量子计算会对由传统密码体系保护的信息安全构成致命的打击,对现有保密通讯提出了严峻挑战。要解决量子计算对传统密码体系的威胁,则必须采取量子的方式加密。

量子密码体系采用量子态作为信息载体,经由量子通道,在合法的用户之间传送密钥。量子密码的安全性由量子力学原理所保证,量子力学的基本原理使得对量子通讯的窃听必然会留下具有明显量子测量特征的痕迹,并且因为任何物理上允许的量子复制装置都不可能克隆出与输入态完全一样的量子态来,从而确保了窃听者不会完整地复制出传送信息的量子态。量子密码术原则上提供了不可破译、不可窃听和大容量的保密通讯体系。

2.5无线破密技术

无线网络可能受到的攻击分为两类,一类是对网络访问控制、数据机密性保护和数据完整性保护进行的攻击,这类攻击在有线环境下也会发生;另一类则是由无线介质本身的特性决定的,是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。

主要的安全威胁包括:(1)扫瞄所有开放型无线存取点;(2)伪装成AP;(3)破坏身份认证,欺骗认证获偷窃无线网网卡;(4)破解安全协议的密钥,截获信息。

NetStumbler 是第一个被广泛用来发现无线网络的软件。据统计,有超过50%的无线网络是不使用加密功能的。通常即使加密功能处于活动状态,AP(wireless Access Point,无线基站)广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息,如网络名称、SSID(Secure Set Identife——安全集标识符)等。

即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具,如Ethereal和TCPDump来监听和分析通信量,从而识别出可以破坏的信息。使用虚拟专用网、SSL和SSH有助于防止无线拦截。

除此之外,欺骗和非授权访问、网络接管与篡改、拒绝服务攻击、恶意软件、偷窃用户设备等都是最新的无线网络安全隐患。

3消除“高科技恐惧症”

通过介绍最新的高科技知识,学生了解了最新的窃密手段,对尖端的窃密技术有了直观认识,可以在存在或者可能存在失、窃密隐患的情况下采取对应的策略。

但是部分学生了解最新的窃密技术后,反而产生了“高科技恐惧症”:觉得高科技发展太新太快,安全保密始终处于一种被动挨打的位置,“防不胜防”,对安全保密工作失去了信心。

针对这种情况,我们有针对性地采取了如下措施,取得了很好的教学效果。

3.1破除“高科技”迷信

信息技术发展很快,但是“高科技”并不可怕。高新技术的基础是基本的科学原理,科技再如何发展也不能违背基本的原理和科学规律。针对高新技术的各个环节,采取有针对性的措施,能有效保证信息存储和传输的安全。例如,针对无线窃听手段,向学生们讲授清楚无线通信的基本原理,就可以使他们了解失、窃密的过程,从而有的放矢地采取防范措施。

3.2增强学生学习“高科技”的信心

信息安全事关国家利益,信息安全正是敌我双方的争夺要点。针对高新技术给信息安全保密带来的挑战,鼓励和引导学生学习和钻研“高科技”,调动他们学习和研制“高科技”保密技术的积极性,树立他们用“高科技”做好信息安全保密工作的信心。

3.3结合专业,发挥所长

学生来自各个专业,包括光电、通信、计算机、网络等。各专业学生有各自的专业基础,也有各自的专业特点。因此我们鼓励学生结合自己的专业知识展开广泛讨论,鼓励学生把所学专业知识应用于安全保密工作中,发挥各自所长。

3.4提高安全保密意识和素质

通过学习信息安全保密课程,学生在了解高科技窃密和保密技术的同时,更重要的是提高安全保密的意识和素质。无论高科技如何发展,立足于提高安全保密的意识和素质,能很好地应对和处理工作和生活中的安全保密问题。

3.5严格遵守保密制度

高科技虽然在不断发展,但是保密规定和制度是指导我们开展安全保密工作的根本。学生们毕业后将要从事各项具体业务工作,只有认真学习业务工作的保密规定,把保密纳入各项业务工作中,熟悉相关工作程序,严格遵守保密制度,才能避免泄密事件的发生。

参考文献:

[1] 彭国军,黎晓方,张焕国,等. 信息安全意识培养应纳入大学生素质教育培养体系[J]. 计算机教育,2008(22):44-45.

[2] 马春光,张国印,武朋. 在计算机科学与技术专业教学中引入信息安全学科内容的探讨[J]. 计算机教育,2007(19):30-33.

[3] 黄林国,周苏. 信息安全技术的教学改革与实验创新[J]. 计算机教育,2008(16):26-27.