信息安全管理建設(shè)淺議

摘要：信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受病毒或者惡意的原因而遭到破壞、更改、泄露，保證計(jì)算機(jī)系統(tǒng)的安全，信息網(wǎng)絡(luò)安全服務(wù)不中斷。信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。為保障信息安全，做好防范與防治。

關(guān)鍵詞：信息安全 病毒 計(jì)算機(jī)系統(tǒng)安全 網(wǎng)絡(luò)安全 防范與防治

1 網(wǎng)絡(luò)信息安全的特性

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國(guó)家的政府、軍事、文教等諸多領(lǐng)域，存儲(chǔ)、傳輸和處理的許多信息是政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要的信息。其中有很多是敏感信息，甚至是國(guó)家機(jī)密，所以難免會(huì)吸引來(lái)自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。通常利用計(jì)算機(jī)犯罪很難留下犯罪證據(jù)，這也大大刺激了計(jì)算機(jī)高技術(shù)犯罪案件的發(fā)生。計(jì)算機(jī)犯罪率的迅速增加，使各國(guó)的計(jì)算機(jī)系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴(yán)重的社會(huì)問(wèn)題之一。

網(wǎng)絡(luò)信息安全特征：

保證信息安全，最根本的就是保證信息安全的基本特征發(fā)揮作用。因此，下面先介紹信息安全的五大特征。

1.1 完整性 指信息在傳輸、交換、存儲(chǔ)和處理過(guò)程保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲(chǔ)、傳輸，這是最基本的安全特征。

1.2 保密性 指信息按給定要求不泄漏給非授權(quán)的個(gè)人、實(shí)體或過(guò)程，或提供其利用的特性，即杜絕有用信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，強(qiáng)調(diào)有用信息只被授權(quán)對(duì)象使用的特征。

1.3 可用性 指網(wǎng)絡(luò)信息可被授權(quán)實(shí)體正確訪問(wèn)，并按要求能正常使用或在非正常情況下能恢復(fù)使用的特征，即在系統(tǒng)運(yùn)行時(shí)能正確存取所需信息，當(dāng)系統(tǒng)遭受攻擊或破壞時(shí)，能迅速恢復(fù)并能投入使用。可用性是衡量網(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能。

1.4 不可否認(rèn)性 指通信雙方在信息交互過(guò)程中，確信參與者本身，以及參與者所提供的信息的真實(shí)同一性，即所有參與者都不可能否認(rèn)或抵賴本人的真實(shí)身份，以及提供信息的原樣性和完成的操作與承諾。

1.5 可控性 指對(duì)流通在網(wǎng)絡(luò)系統(tǒng)中的信息傳播及具體內(nèi)容能夠?qū)崿F(xiàn)有效控制的特性，即網(wǎng)絡(luò)系統(tǒng)中的任何信息要在一定傳輸范圍和存放空間內(nèi)可控。除了采用常規(guī)的傳播站點(diǎn)和傳播內(nèi)容監(jiān)控這種形式外，最典型的如密碼的托管政策，當(dāng)加密算法交由第三方管理時(shí)，必須嚴(yán)格按規(guī)定可控執(zhí)行。

2 網(wǎng)絡(luò)信息安全的威脅

信息安全的威脅來(lái)自方方面面，不可一一羅列。但這些威脅根據(jù)其性質(zhì)，基本上可以歸結(jié)為以下幾個(gè)方面：

2.1 信息泄露：保護(hù)的信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。

2.2 破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。

2.3 拒絕服務(wù)：信息使用者對(duì)信息或其他資源的合法訪問(wèn)被無(wú)條件地阻止。

2.4 非法使用(非授權(quán)訪問(wèn))：某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。

2.5 竊聽(tīng)：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對(duì)通信線路中傳輸?shù)男盘?hào)搭線監(jiān)聽(tīng)，或者利用通信設(shè)備在工作過(guò)程中產(chǎn)生的電磁泄露截取有用信息等。

2.6 業(yè)務(wù)流分析：通過(guò)對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽(tīng)，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。

2.7 假冒：通過(guò)欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。我們平常所說(shuō)的黑客大多采用的就是假冒攻擊。

2.8 旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過(guò)各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密，但是卻又暴露出來(lái)的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過(guò)防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。

2.9 授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱(chēng)作“內(nèi)部攻擊”。

2.10 計(jì)算機(jī)病毒：這是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序，行為類(lèi)似病毒，故稱(chēng)作計(jì)算機(jī)病毒。

2.11 信息安全法律法規(guī)不完善：由于當(dāng)前約束操作信息行為的法律法規(guī)還很不完善，存在很多漏洞，很多人打法律的擦邊球，這就給信息竊取、信息破壞者以可趁之機(jī)。

3 網(wǎng)絡(luò)信息安全措施

3.1 保障網(wǎng)絡(luò)信息安全的全面性

信息安全問(wèn)題需要全面考慮，系統(tǒng)安全程度取決于系統(tǒng)最薄弱的環(huán)節(jié)。計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)包括計(jì)算機(jī)的物理組成部分、信息和功能的安全保護(hù)。就其物理組成部分的保護(hù)而言，應(yīng)保障計(jì)算機(jī)及其相關(guān)和配套設(shè)備、設(shè)施的完好，運(yùn)行環(huán)境的安全，從而保障計(jì)算機(jī)信息系統(tǒng)資源不受自然和人為因素造成的事故的危害，為計(jì)算機(jī)信息系統(tǒng)的運(yùn)行和信息處理提供一個(gè)良好的安全環(huán)境;信息安全保護(hù)主要針對(duì)信息的完整性、可用性和保密性，防止非法使用、更改，防止竊取、破壞，防止遺失、損害和泄露;功能安全保護(hù)主要保障計(jì)算機(jī)信息系統(tǒng)的控制能力、恢復(fù)能力，如防止非法存取信息，防止系統(tǒng)故障影響信息處理的正常工作等。

3.2 網(wǎng)絡(luò)信息安全具有過(guò)程性或生命周期性

一個(gè)完整的安全過(guò)程至少應(yīng)包括安全目標(biāo)與原則的確定、風(fēng)險(xiǎn)分析、需求分析、安全策略研究、安全體系結(jié)構(gòu)的研究、安全實(shí)施領(lǐng)域的確定、安全技術(shù)與產(chǎn)品的測(cè)試與選型、安全工程的實(shí)施、安全工程的實(shí)施監(jiān)理、安全工程的測(cè)試與運(yùn)行、安全意識(shí)的教育與技術(shù)培訓(xùn)、安全稽核與檢查、應(yīng)急響應(yīng)等，這一個(gè)過(guò)程是一個(gè)完整的信息安全工程的生命周期，經(jīng)過(guò)安全稽核與檢查后，又形成新一輪的生命周期，是一個(gè)不斷往復(fù)的不斷上升的螺旋式安全模型。信息技術(shù)在發(fā)展，黑客水平也在提高，安全策略、安全體系、安全技術(shù)也必須動(dòng)態(tài)地調(diào)整，在最大程度上使安全系統(tǒng)能夠跟上實(shí)際情況的變化發(fā)揮效用，使整個(gè)安全系統(tǒng)處于不斷更新、不斷完善、不斷進(jìn)步的動(dòng)態(tài)過(guò)程中。

3.3網(wǎng)絡(luò)信息安全具有層次性和相對(duì)性

需要用多層次的安全技術(shù)、方法與手段，分層次地化解安全風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)是在安全性和通信方便性之間建立平衡。要求計(jì)算機(jī)系統(tǒng)越安全，對(duì)通信的限制和使用的難度就越大。而現(xiàn)代信息技術(shù)的發(fā)展有時(shí)通信必不可少，它包括括跨組織、跨地區(qū)的以及全球的通信，這里計(jì)算機(jī)安全的重要性顯然是毫無(wú)疑問(wèn)的。但是計(jì)算機(jī)的安全程度應(yīng)與所涉及的信息的價(jià)值相匹配，應(yīng)當(dāng)有一個(gè)從低、中到高級(jí)的多層次的安全系統(tǒng)，分別對(duì)不同重要性的信息資料給與不同級(jí)別的保護(hù)。安全是相對(duì)的，沒(méi)有絕對(duì)的安全可言。

計(jì)算機(jī)病毒在形式上越來(lái)越難以辨別，造成的危害也日益嚴(yán)重，已就要求網(wǎng)絡(luò)防毒產(chǎn)品在技術(shù)上更先進(jìn)，功能上更全面。安全措施應(yīng)該與保護(hù)的信息與網(wǎng)絡(luò)系統(tǒng)的價(jià)值相稱(chēng)。因此，實(shí)施信息安全工程要充分權(quán)衡風(fēng)險(xiǎn)威脅與防御措施的利弊與得失，在安全級(jí)別與投資代價(jià)之間取得一個(gè)企業(yè)能夠接受的平衡點(diǎn)。這樣實(shí)施的安全才是真正的安全。

參考文獻(xiàn)：

[1]唐禮勇.“網(wǎng)絡(luò)與信息安全”研究生講義 安全程序設(shè)計(jì)1、2.

[2]姚家奕主編.管理信息系統(tǒng)[M].首都經(jīng)濟(jì)貿(mào)易大學(xué)出版社，2003

[3]勞幗齡:網(wǎng)絡(luò)安全與管理[M].北京:高等教育出版社，2003.