阜新-杂谈-文学时评-文娱 -体育 -视点-房产-财经-商业 -生活 -时尚 -教育 -旅游 -企业 -百态

当前位置:首页 >> 体育 >> 正文

印度军方与计算机专家对话密谈网络安全

2019/5/15 17:28:49  来源:中国新闻网 

在昌迪-曼迪尔(Chandi-Mandir)的印度陆军西部司令部里进行了一次秘密活动。一位计算机安全专家应邀与高级军官,主要是将军,对话。专家提出了一个问题:“一旦你们的计算机系统遭到病毒或者窃取程序 的攻击,你们如何应对,你们进行过这样的应变演习吗?”听众惊讶不已,正如希腊人所说的,垂下了胡子,扬起了眉毛。他们还被告知,据称第一个叫做“海脑” (Sea Brain)的病毒起源于巴基斯坦。
信息技术和远程通信技术在若干年前就融合在 一起了。独立的计算机已经成了历史,该进博物馆了。网络使信息技术这一工具的优点放大了多次。从局域网到互联网是一个巨大的飞跃,没有几年就实现了这种飞 跃。一个网络不可避免地会处在不同的环境之中,网络管理者比以往任何时候都更加担心信息安全了。传统的C3I现在已经成了包括指挥、控制、通信、计算机和 情报的C4I了。
电子安全性
电子安全性(e Security)一词在全世界都倍受争议,印度只是最近才意识到这个灰色区域。一次国家的电子安全性研讨会把印度军队的一些高级军官吸引过来,尽管 227名参会者中只有十几个人出席。其中,一位来自海军的军官预计会负责海军总部的信息技术体系,一位来自通信处,二位来自空军总部,另有几位来自印度空军的班加罗尔软件开发研究所。
奇怪的是,印度陆军的出席人数不成比例,只 有为数不多的几人出席。印度陆军正在改进其陆军无线电工程网络(AREN)和陆军固定通信网络(ASCON)。语音系统,电报系统,链路和媒体都考虑到 了,但是计算机给出的信号就是不稳定。指挥信息决策支持系统(CIDSS)进行了一些工作,一个由一位三星上将和一位安全专家领导的秘密代表团于1986年至1987年派往国外,该代表团又于1994年至1995年再度出国。
来自政府情报机构的并不引人注目的小组也自始至终参加了这次研讨会。几天以后,中央调查局就宣布成立网络犯罪调查小组和网络犯罪研发小组。不清楚在这个国家的情报部门计算机化和网络化的情况如何,也不清楚他们的网络中信息安全水平如何。
电子商务必然发生
来自商界,股票交易所和银行的许多人自然会首先关注他们的数据和业务交易安全,其目的是在万一存在信息泄露的情况下,保护他们的利益和减少损失。现在,一些供应商在高调推销他们的电子安全软件包,不过这类商品只是业务启动器,而不是真正的保护装置。
国防研究和发展组织密码系统
大约十年前,国防研究和发展组织成立了一个 科学分析组。科学分析组由一位精通密码技术的科学家领导,设计了一个集成数据密码系统。在1992至1994年间,成功地开发了一种三级“密钥管理系 统”,其具有信息密钥、系统密钥和网络密钥,并拥有独特的本土算法。这种系统在许多机构组织中得以使用。虽然系统的原始算法与操作系统无关,但是仍有必要 将系统作进一步开发,使其适用于视窗环境。
系统的技术得到了验证,并转让给了印度电子有限公司(Bharat Electronics Limited)。在其开发过程中,技术开发阶段软件集团评审委员会的计算机主任提供了帮助。可是,在今天的变化迅速的环境中,该系统可能需要再行审视。
所谓绝对安全是一种错误的说法。就像计算机病毒虽然不能被阻止,被根除,但是至少可以被控制一样,基于计算机的信息安全也是如此。很奇怪,在信息行业中,同一个术语黑客,既指引入病毒者,也指盗取信息的窥探者。
对于较长时期来说,无论多少防火墙、加密算 法和编解码都不可能是安全的——而“较长”一词断然也是相对的。计算机中的像存储器和集成电路那样的位存储器件都可以打开分析以确定其0和1的排列,这就 能使其中的信息得以了解。当一台计算机连接到信息高速公路并连接到许多国家的服务器的时候,接口元件容易受到黑客的攻击,黑客可以“挤出”位信息。“缓冲 器溢出”是一个软件技术术语,也同样表明攻击系统安全的途径——这在四十年前就属于计算机专家的知识范围,可至今仍被黑客用来盗取信息。
在防务部门的安全环境中,利益、损失和成本 都不是评判的标准——至少在印度是如此。一位退休的少将和一位现役空军准将认为,部队交换的信息中,70%至80%没有必要挂上过高的保密性标签。将军相 信在任何安全环境中,最弱的环节是“人”。回想起来,一个只有几行的简短的军事法庭审判报告竟然保密等级是绝密。
印度空军的困惑
有趣的是,印度空军体系内的既得利益者似乎 惧怕如果将信息安全看作首要问题的话,管理机构会越来越离不开通信处。而在相对较小的体系中,则鼓励熟悉软件的军官开发电子安全系统。缺乏集中控制的话, 这不但达不到预期目的,反而导致不良竞争,容易受到利用。看起来需要国防部进行干预。
塔塔信息技术有限公司和印度海军正 在大规模地通过光缆将一些机构联网,信息安全和机密性必不可少。印度空军的采用甚小孔径终端(VSAT)的后勤网络正在缓慢地建立,不过这个高技术的系统 由非技术官员来管理实在不可思议。遗憾的是,除了要考虑价值以外,要更多地考虑压力和需要。由于各种各样的原因,采购渠道吸引到了海外。事实上,印度军队 的电子安全性依赖于外国的硬件。
未曾学习美国
在美国,国家安全局集中了美国用于计算机的所有“万能钥匙”, 计算机安全研究所和先进密码标准部门坚持不懈地消除计算机网络中安全弱点。而在印度,则没有类似的组织机构。最近美国又增加了信息系统审计员的资格审查。 美国国防高级研究计划局据说是互联网概念的发明者,正在不断评估计算机病毒和安全弱点,不断更新升级。在印度,国家软件服务公司协会(NASSCOM)、 信息技术制造商协会(MAIT)和印度计算机协会(CSI)都是作为独立的团体运转,时不时地彼此竞争。
新闻界是敌人
印度政府的信息技术部应该是进行信息安全工作的关键机构,却令人意外地将“新闻界(媒体)”与黑客等一起列为安全环境的“敌人”。一位可能是来自安全小组的科学家官员在其“电子革命时代的安全现实”中作了这样的论述。
他以为新闻界意图窥视政府文件,还说计算机窥视便是这样的新角色,不必等待接受从政府漏出来的信息。糟糕的是,对媒体的警觉和注意总是被忽视。
有理由相信,印度政府中的其他人也感到迷惑 不解。国家信息中心(NIC)应该将需要保证安全的地方分为链路对链路,节点对节点,和终端对终端,可是却采用了一种他们称为公路模式的模式,看来很不恰 当。这种模式包括汽车的安全性,由司机开动着的汽车的安全性,汽车正在行驶的道路的安全性,当然还有两个节点,即起点和终点,的安全性。令人感到欣慰的 是,没有选择牛车和泥泞的乡村道路作为模拟物。
因为计算机硬件、操作系统和某些应用程序都 是专有的,所以国外每个人都会注意互操作性问题。所有权已经给公共领域让路。电话是一个公共领域,军队出于需要和方便必须使用电话。无线通信在部队里是一 个有效的公共领域。相比之下,计算机开始是一种私人工具,但是很快就成了廉价的公共设施,而且这个变化过程比上面所述的两种公共设施快得多。相比于使用者 和掌控计算机这种工具的人,其窥视者总是比较聪明,灵巧。国家信息中心说:“印度希望避开所有权问题,跳跃前进。”
但是,有一点还只是开始。计算机安全中的一个基本概念是,一个用户或者一个查询者不能否认其行为。在电子安全中,不可抵赖就是一个方面。
计算机侦破
司法科学涉及把犯罪与使用过的武器和使用者联系起来的侦破方法。计算机侦破是一个刚刚出现的话题。一位专家感到,无论采用何种数字加密方法和加密算法,集成芯片和处理器的最后元件都是一个“模拟门”,它非常脆弱,易受窥视者的攻击。
出自英特尔公司的奔腾III处理器无处不 在,可以记录引起事件的机器。一台得到许可的机器是不难定位的。一个程序可以加到一台计算机里而不为用户所知——只要某台具有特定微处理器的特定计算机一 启动,就会自动地用信号通知远处的服务器。启动的操作中的实际内容还是另外一个研究领域。片上自编程微控制器(SPOM)对于缺乏学识的用户可能是不安全 的,危险的 ——而计算机使用方面的学识是模糊的,从来都不是完全的。
计算机中的信息恢复
如果将使用了许多次的芯片,集成电路,微处 理器或者控制器剥离,使之回复到裸片状态的话,则其几千字节的只读存储器可以通过显微镜观察和反向工程过程进行重构。在相邻的微小传感器线路之间,可以钻 出微孔,再填以金属,并放置微小十字形零件——现在就可以进行刺探接入了。例如,可以将某个带有防御秘密的嵌入式程序植入计算机中的只读存储器。
计算机硬盘将信息以位丛的形式存储在多个文件之中。当在工作中修改文件时,就通过重写删除和增添数据。当文件被删除时,只要硬盘上的位丛没有重写,文件就可以重建至少8次。
换句话说,删除了的文件是可以恢复的。其必然的结果是,密码也可以重构。经费不多的组织机构就喜欢进行这样的操作。
据说,智能卡加入了新的电子安全措施。像智 能卡持有者的指纹之类的生物统计学信息可以加到卡上。持卡人可以访问绝密区,而且每次访问和访问时间都记录下来。一旦卡被盗,卡里的处理器可以发出信息。 现在的智能卡是磁性的,易于损坏。新近开发的激光卡则通过了美国陆军的17项严格试验。
印度技术学院的一位教授兼系主任领导了一项为期4年的智能卡计划,有16人参加。他说:“凡不能打开密码的人都不得进入技术大师(M Tech)计划。”他的意思是研究生必须提高其知识水平,同时也意味着任何密码都不是安全的。
信息技术法案和网络法
“信息技术法案1999”是印度的第一部网络法,没有强调智能卡技术。对数字签名安全概念进行了不恰当的解释。按照今天的理解,电子安全的作用包括两个层面,即公共密钥和私人密钥。一位外国的专家说过,采用私人密钥的方式不止一种。密钥长度的选取涉及复杂性——越长安全性越高。现在的技术提供的密钥长度可以达到2,096位。初始测试是一种鉴别“质数”的方法,而质数是产生密钥所必须的。
公共密钥和私人密
相关阅读:
加拿大移民 http://www.worldhr.net/h-col-103.html