论文部分内容阅读
摘要:作为近年来迅速发展的一门新兴技术学科,地理信息系统对我国国家信息资源的完整性有重要作用。在本文中笔者基于对现阶段地理信息系统存在的安全隐患的分析,探讨了地理信息系统基本安全技术,提出了几点加强地理信息系统安全的对策。
关键词:地理信息系统、隐患、基本安全技术、对策
中图分类号:X144文献标识码: A 文章编号:
一、前言
作为近年来迅速发展的一门新兴技术学科,地理信息系统对我国国家信息资源的完整性有重要作用。进入新世纪, 在卫星定位技术、遥感技术、地理信息系统技术以及网络技术快速发展的背景下,我国地理信息市场也得到了迅速发展, 有力推动了社会的发展,但是现阶段我国地理信息系统还存在一些安全隐患需要我们引起足够重视。
二、地理信息系统存在的安全隐患
从地理信息系统的三种网络结构,可以分析得出,地理信息系统的安全隐患存在于硬件、操作系统、通讯协议、数据库平台、GIS 平台、操作人员六个环节。
1、硬件
主要指设备的稳定性、可用性,以及地理信息在网络传输中硬件因素(如通信线路、网桥、交换机、路由器等)的安全性。
2、操作系统
地理信息系统总是构建在一定的操作系统平台之上的,而且绝大部分地理信息系统开发都使用了操作系统的应用程序接口。不论是微软的 Windows 操作系统,还是 Unix 或 Linux,都存在系统漏洞,对地理信息系统安全构成极大威胁。
3、通讯协议
网络与地理信息系统的融合拓宽了地理信息系统的应用范围,也给地理信息系统的安全带来众多挑战。现在的地理信息应用系统大多构建在 TCP/IP(传输控制协议/网际协议)基础之上,而作为 Internet 的基石,TCP/IP 和 UDP 在制定时并没有着重考虑到通讯路徑的安全,其安全体系结构比较薄弱。
4、数据库平台
随着地理信息系统快速发展,需要在系统中管理的数据范围和种类都呈明显增加趋势,对数据库的需求和依赖越来越强烈。但是,从目前数据库的使用状况来看,数据库保护数据的功能不断受到挑战.目前,国内使用的数据库软件产品,都存在一定的安全隐患,令地理信息系统开发者茫然不知所措。
5、地理信息系统平台
很多地理信息系统是在二次开发平台上完成的,以至于很多二次开发平台自身的不安全隐患遗传到了地理信息系统上。另外,二次开发平台在和其他系统交互时也会产生漏洞,比如 ArcGIS 通过数据库引擎 ArcSDE 连接后台数据库时, 入侵者可以截取保存在客户端ODBC 数据源中的账号和密码,通过网络应用服务中间件(ArcIMS)与 Web 服务器连接,从而可能引发分布式拒绝攻击。此外,还有一些专门针对地理信息系统的病毒,让一些地理信息系统陷入瘫痪。
6、操作人员
地理信息系统作为网络应用系统,面对的使用者除了系统管理员、数据库管理员,还有众多的系统用户,包括本地用户和网络用户,人为因素造成的信息安全比例也是相当高的。究其原因,除了管理制度上的缺陷,主要是广大用户的安全技术水平较低。
三、地理信息系统基本安全技术
1、防火墙
尽管防火墙不是万能的,但对于网络安全而言具有重要作用。防火墙是位于两个网络之间的屏障,一边是内部网络(可信赖的网络),另一边是外部网络(不可信赖的网络)。防火墙按照系统管理员预先定义好的规则来控制数据包的进出。大部分防火墙都采用了以下三种工作方式中的一种或多种:根据系统管理员的规定来接收或拒绝数据包,扫描数据包,查找与应用相关的数据;使用一个过滤器来检查数据包的来源和目的地;在网络层对数据包进行模式检查,看是否符合已知“友好”数据包的位模式。
2、加密
加密即是对信息进行重新组合,确保只有收发双方才能解码并还原信息的一种手段。传统的加密系统是以密钥为基础的,这是一种对称加密,也就是说,用户使用同一个密钥加密和解密。现阶段,在技术进步的推动下,正逐步将加密集成到系统和网络中,例如IETF正在发展的下一代网际协议IPv6。在硬件方面,Intel公司用于PC机和服务器主板的加密协处理器也正在研制当中。
3、身份认证
系统的第一道防线是防火墙,以避免系统受到非法数据侵入,而阻止非法用户则是由安全检查来完成的。一个用户的合法性可由多个方法来鉴别,最常用的方法是密码,然而很多用户的密码采用了很容易被猜到的单词或短语,导致该方法经常失效。其他方法有对人体生理特征(如指纹)的识别、USB盘和智能IC卡等。
4、数字签名
数字签名能够证明消息确实是由发送者签发的,并且在数字签名用于存储的数据或程序情况下,能够对数据或程序的完整性进行验证。美国政府采用的数字签名标准使用了安全哈希运算法则。用该算法对被处理信息进行计算,可得到一个160位(bit)的数字串,把这个数字串与信息的密钥以某种方式组合起来,从而得到数字签名。
5、内容检查
即使有了防火墙、身份认证和加密,人们仍担心遭到病毒的攻击。有些病毒通过E-mail或用户下载的ActiveX和Java小程序(Applet)进行传播,带病毒Applet被激活后,又可能会自动下载别的Applet。现有的反病毒软件可以清除E- mail病毒,对付新型Java和ActiveX病毒也有一些办法,如完善防火墙,使之能监控Applet的运行,或者给Applet加上标签,让用户知道他们的来源。
四、加强地理信息系统安全的对策
1、确立地理信息系统安全目标
合理评价地理信息系统安全性级别,分析风险,明确安全需求和安全等级。基于此部署安全产品, 测试入侵。
2、强化地理信息系统安全意识
从实质上来讲,只要系统还在使用,不存在绝对安全的地理信息系统,安全问题就会或多或少的存在,仅仅是程度有所不同。所以,上至领导层、管理层,下至具体的执行层,都必须要强化风险意识,定期开展安全普查,不断进行安全业务培训,熟练掌握操作技能,深入落实地理信息系统安全措施。
3、建立健全地理信息系统安全管理制度
(1)责任分工制度,采用资产管理手段对硬件设备安全管理进行明确,与权限控制相结合明确各成员在地理信息系统中的系统安全分工;
(2)机房管理制度,制定软硬件操作规程、地理信息系统运行规程等;
(3)安全审核制度,监督管理用户行为,动态跟踪地理信息系统工作过程,对用户活动加以记录,对记录系统妥善管理,对各种安全文件进行监控和捕捉,对日常审计记录和审计日志进行维护管理。
(4)安全追踪制度:这是最为重要,也是最易被忽视的一环。管理人员(包括系统管理员、数据库管理员、系统安全员等)应及时追踪各操作系统、数据库及地理信息系统开发商所发布的漏洞报告,及时打上各种补丁,保证地理信息系统的健壮性;
(5)灾难恢复制度:结合责任分工制度明确地理信息系统安全事件后负责人员、恢复机制、方式、归档管理、硬件、软件等。
4、数据备份
既然没有万无一失的系统安全和防护措施,最原始的方法也许更能减少地理信息系统的损失,那就是数据备份,可以采用系统备份、增量备份、完全备份等多种方式,对地理信息系统数据进行定期备份。
五、结语
综上所述,随着基础地理信息系统和互联网技术的发展,必将给社会带来更大的变革。如何解决基础地理信息在网络传输中的安全性能,已成为制约其推广应用的现实问题,本文就此提出了防火墙技术、数据加密技术和防治病毒技术的综合使用思想,与同行共同探讨。希望能为我国基础地理信息系统的应用起到一些有益的贡献。
参考文献:
秦迎春:《TCP/IP协议的隐患及防范》,《计算机安全》, 2005年03期
刘永学 李满春 刘国洪:《地理信息系统安全初探》,《遥感信息》, 2007年02期
薛林伟 秦秀花:《浅谈基础地理信息系统的网络安全》,《三晋测绘》, 2003年04期
唐秀娟 王芳:《加强地理信息系统安全的对策》,《产业与科技论坛》, 2010年04期
关键词:地理信息系统、隐患、基本安全技术、对策
中图分类号:X144文献标识码: A 文章编号:
一、前言
作为近年来迅速发展的一门新兴技术学科,地理信息系统对我国国家信息资源的完整性有重要作用。进入新世纪, 在卫星定位技术、遥感技术、地理信息系统技术以及网络技术快速发展的背景下,我国地理信息市场也得到了迅速发展, 有力推动了社会的发展,但是现阶段我国地理信息系统还存在一些安全隐患需要我们引起足够重视。
二、地理信息系统存在的安全隐患
从地理信息系统的三种网络结构,可以分析得出,地理信息系统的安全隐患存在于硬件、操作系统、通讯协议、数据库平台、GIS 平台、操作人员六个环节。
1、硬件
主要指设备的稳定性、可用性,以及地理信息在网络传输中硬件因素(如通信线路、网桥、交换机、路由器等)的安全性。
2、操作系统
地理信息系统总是构建在一定的操作系统平台之上的,而且绝大部分地理信息系统开发都使用了操作系统的应用程序接口。不论是微软的 Windows 操作系统,还是 Unix 或 Linux,都存在系统漏洞,对地理信息系统安全构成极大威胁。
3、通讯协议
网络与地理信息系统的融合拓宽了地理信息系统的应用范围,也给地理信息系统的安全带来众多挑战。现在的地理信息应用系统大多构建在 TCP/IP(传输控制协议/网际协议)基础之上,而作为 Internet 的基石,TCP/IP 和 UDP 在制定时并没有着重考虑到通讯路徑的安全,其安全体系结构比较薄弱。
4、数据库平台
随着地理信息系统快速发展,需要在系统中管理的数据范围和种类都呈明显增加趋势,对数据库的需求和依赖越来越强烈。但是,从目前数据库的使用状况来看,数据库保护数据的功能不断受到挑战.目前,国内使用的数据库软件产品,都存在一定的安全隐患,令地理信息系统开发者茫然不知所措。
5、地理信息系统平台
很多地理信息系统是在二次开发平台上完成的,以至于很多二次开发平台自身的不安全隐患遗传到了地理信息系统上。另外,二次开发平台在和其他系统交互时也会产生漏洞,比如 ArcGIS 通过数据库引擎 ArcSDE 连接后台数据库时, 入侵者可以截取保存在客户端ODBC 数据源中的账号和密码,通过网络应用服务中间件(ArcIMS)与 Web 服务器连接,从而可能引发分布式拒绝攻击。此外,还有一些专门针对地理信息系统的病毒,让一些地理信息系统陷入瘫痪。
6、操作人员
地理信息系统作为网络应用系统,面对的使用者除了系统管理员、数据库管理员,还有众多的系统用户,包括本地用户和网络用户,人为因素造成的信息安全比例也是相当高的。究其原因,除了管理制度上的缺陷,主要是广大用户的安全技术水平较低。
三、地理信息系统基本安全技术
1、防火墙
尽管防火墙不是万能的,但对于网络安全而言具有重要作用。防火墙是位于两个网络之间的屏障,一边是内部网络(可信赖的网络),另一边是外部网络(不可信赖的网络)。防火墙按照系统管理员预先定义好的规则来控制数据包的进出。大部分防火墙都采用了以下三种工作方式中的一种或多种:根据系统管理员的规定来接收或拒绝数据包,扫描数据包,查找与应用相关的数据;使用一个过滤器来检查数据包的来源和目的地;在网络层对数据包进行模式检查,看是否符合已知“友好”数据包的位模式。
2、加密
加密即是对信息进行重新组合,确保只有收发双方才能解码并还原信息的一种手段。传统的加密系统是以密钥为基础的,这是一种对称加密,也就是说,用户使用同一个密钥加密和解密。现阶段,在技术进步的推动下,正逐步将加密集成到系统和网络中,例如IETF正在发展的下一代网际协议IPv6。在硬件方面,Intel公司用于PC机和服务器主板的加密协处理器也正在研制当中。
3、身份认证
系统的第一道防线是防火墙,以避免系统受到非法数据侵入,而阻止非法用户则是由安全检查来完成的。一个用户的合法性可由多个方法来鉴别,最常用的方法是密码,然而很多用户的密码采用了很容易被猜到的单词或短语,导致该方法经常失效。其他方法有对人体生理特征(如指纹)的识别、USB盘和智能IC卡等。
4、数字签名
数字签名能够证明消息确实是由发送者签发的,并且在数字签名用于存储的数据或程序情况下,能够对数据或程序的完整性进行验证。美国政府采用的数字签名标准使用了安全哈希运算法则。用该算法对被处理信息进行计算,可得到一个160位(bit)的数字串,把这个数字串与信息的密钥以某种方式组合起来,从而得到数字签名。
5、内容检查
即使有了防火墙、身份认证和加密,人们仍担心遭到病毒的攻击。有些病毒通过E-mail或用户下载的ActiveX和Java小程序(Applet)进行传播,带病毒Applet被激活后,又可能会自动下载别的Applet。现有的反病毒软件可以清除E- mail病毒,对付新型Java和ActiveX病毒也有一些办法,如完善防火墙,使之能监控Applet的运行,或者给Applet加上标签,让用户知道他们的来源。
四、加强地理信息系统安全的对策
1、确立地理信息系统安全目标
合理评价地理信息系统安全性级别,分析风险,明确安全需求和安全等级。基于此部署安全产品, 测试入侵。
2、强化地理信息系统安全意识
从实质上来讲,只要系统还在使用,不存在绝对安全的地理信息系统,安全问题就会或多或少的存在,仅仅是程度有所不同。所以,上至领导层、管理层,下至具体的执行层,都必须要强化风险意识,定期开展安全普查,不断进行安全业务培训,熟练掌握操作技能,深入落实地理信息系统安全措施。
3、建立健全地理信息系统安全管理制度
(1)责任分工制度,采用资产管理手段对硬件设备安全管理进行明确,与权限控制相结合明确各成员在地理信息系统中的系统安全分工;
(2)机房管理制度,制定软硬件操作规程、地理信息系统运行规程等;
(3)安全审核制度,监督管理用户行为,动态跟踪地理信息系统工作过程,对用户活动加以记录,对记录系统妥善管理,对各种安全文件进行监控和捕捉,对日常审计记录和审计日志进行维护管理。
(4)安全追踪制度:这是最为重要,也是最易被忽视的一环。管理人员(包括系统管理员、数据库管理员、系统安全员等)应及时追踪各操作系统、数据库及地理信息系统开发商所发布的漏洞报告,及时打上各种补丁,保证地理信息系统的健壮性;
(5)灾难恢复制度:结合责任分工制度明确地理信息系统安全事件后负责人员、恢复机制、方式、归档管理、硬件、软件等。
4、数据备份
既然没有万无一失的系统安全和防护措施,最原始的方法也许更能减少地理信息系统的损失,那就是数据备份,可以采用系统备份、增量备份、完全备份等多种方式,对地理信息系统数据进行定期备份。
五、结语
综上所述,随着基础地理信息系统和互联网技术的发展,必将给社会带来更大的变革。如何解决基础地理信息在网络传输中的安全性能,已成为制约其推广应用的现实问题,本文就此提出了防火墙技术、数据加密技术和防治病毒技术的综合使用思想,与同行共同探讨。希望能为我国基础地理信息系统的应用起到一些有益的贡献。
参考文献:
秦迎春:《TCP/IP协议的隐患及防范》,《计算机安全》, 2005年03期
刘永学 李满春 刘国洪:《地理信息系统安全初探》,《遥感信息》, 2007年02期
薛林伟 秦秀花:《浅谈基础地理信息系统的网络安全》,《三晋测绘》, 2003年04期
唐秀娟 王芳:《加强地理信息系统安全的对策》,《产业与科技论坛》, 2010年04期