計算機信息系統安全的研究現狀與安全保護措施探討

摘 要:隨著信息技術的發展，計算機信息系統在整個社會活動中日益發揮著巨大作用，逐步成為整個國家機構運轉的命脈和社會活動的支柱。計算機信息系統在運行操作、管理控制、經營管理計劃、戰略決策等社會經濟活動各個層面的應用范圍不斷擴大，發揮著越來越大的作用。信息系統中處理和存儲的，既有日常業務處理信息、技術經濟信息，也有涉及企業或政府高層計劃、決策信息，其中相當部分是屬于極為重要并有保密要求的。社會信息化的趨勢，導致了社會的各個方面對信息系統的依賴性越來越強。信息系統的任何破壞或故障，都將對用戶以至整個社會產生巨大的影響，信息系統安全上的脆弱性表現得越來越明顯，信息系統的安全日顯重要。

關鍵詞:信息系統安全 網絡安全

中圖分類號:TN918文獻標識碼:A文章編號:1674-098x(2012)03(a)-0041-01

1 計算機信息系統安全問題的由來和面臨的主要威脅

1.1 計算機信息系統安全問題的由來

計算機信息系統的安全問題是由信息系統受到若干不安全因素的威脅而引起的，是由于信息系統安全的極端重要性和信息系統自身的脆弱性這對矛盾引起的。當早期的信息系統還將計算機作為單一用戶工具時，它的保密與安全性取決于使用者本人，但隨著PC機和大型機系統向客戶/服務器乃至瀏覽器/服務器模式的遷移，計算機網絡的應用日益普遍和深入，其處理的信息上至國家的政治、經濟、軍事、科學、外交，下至一個集團、一個單位的經營、管理策略，乃至家庭、個人的隱私，網絡化的計算機信息系統成為了幾乎無所不包的信息處理與保存的工具。這樣，信息系統的安全便成為一個十分嚴峻的問題。

遺憾的是，作為信息系統載體和工具的計算機及其網絡尚不具備與其自身重要性相稱的安全防護能力。目前的計算機系統，從硬件來說，是一個二進制邏輯裝置，從軟件來說，基本上屬于樹表加工系統，樹表加工技術是當前軟件的主要工具。樹表可以反映縱向的關系和屬性，卻難以控制橫向的侵入，在軟件不斷修改過程中，易于存在隱患和入侵的可能性。另外，計算機信息系統本身缺乏整體的完善的安全檢測手段，存在著局部合理與整體無理的矛盾，再加上信息系統的開放性、信息資源的共享性、硬件和軟件知識的透明性、計算機使用方法的通用性，這使得計算機信息系統在具有多方面強大功能的同時，也具有許多脆弱易攻擊的地方。

1.2 計算機信息系統安全面臨的主要威脅

由于計算機信息有共享性和易于擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用和丟失，甚至被泄露、竊取、篡改、冒充和破壞，又有可能受到計算機病毒的感染，人們對威脅計算機信息系統安全形式的分類也日益復雜和困難。具體來說，信息系統正面臨來自用戶或某些程序的如下威脅。

(1)非授權存取:竊取用戶賬號、操作口令:避開訪問控制機制;身份攻擊;假冒;特洛伊木馬術;越權操作。(2)信息泄漏:計算機信息系統工作時所雜散輻射的電磁波、機械振動、聲音等信號被非法用戶截獲和收集，處理后復原原信息從而達到竊取信息的目的。(3)破壞系統功能，摧毀系統:定時炸彈;邏輯炸彈。(4)計算機病毒:利用網絡傳播病毒，對特定和非特定用戶實施攻擊。(5)干擾系統服務:攻擊服務程序，使系統癱瘓不能正常服務;改變服務程序;使系統服務響應減慢;干擾服務流程，使合法用戶得不到正常服務。

2 我國計算機信息系統安全技術研究現狀

1999年，國家有關部門組織了“國家信息安全課題組”，該課題組經努力完成了《國家信息安全報告》，較詳細地調查和評估我國計算機信息系統、網絡系統及信息采集、加工、傳遞和應用的安全現狀、問題及對策。該報告對強化我國信息安全體系具有重大的戰略意義。

我國于1999年底成立國家信息化工作領導小組，下設計算機網絡與信息安全管理工作辦公室，協調相關部門，大力推進我國的信息系統安全工作，并努力推行保障國家網絡安全空間計劃，實現我國信息系統安全技術與管理的雙發展。

國內著眼于計算機信息系統的安全需求，從系統配置現狀出發，以實際可行的方式建設安全系統，并符合可操作、有效果和能驗證的原則?！翱刹僮鳌币馕吨鼞斒乔袑嵉?、具體的、可行的;“有效果”意味著它應當對系統某種應用、某個環節、某個領域起到安全增強作用，能夠對付某種潛在威脅，在安全問題上的任何虛假會造成嚴重的后果;“能驗證”意味著它應當能夠顯式地證明它所具有的防范能力，正是因為如此才能證明它存在的必要性。這些原則是為了讓安全體系和策略的研究建立在客觀、真實的基礎。一切與安全相關的工作都要冷靜、理性地進行。

3 計算機信息系統安全的保護措施

在計算機安全這個問題上，將是一個長期的、“道高一尺，魔高一丈”的反復斗爭。針對這個問題，在信息技術上處于絕對領先地位的美國早在1980年，便建立了國家計算機安全中心(NCSC)，歸屬國防部領導;1981，美國國防部和國家安全局制定了一套防止信息技術泄漏的措施(TEMPEST工程)，并制定了相應的標準;1983年，制訂了計算機安全協定(CSE);1985年，美國國防部公布了“可信計算機系統安全評價標準(TCSEC)\"(又稱“桔皮書”);到1987-1988年，美國國會授權制定計算機安全的國家標準;進入90年代以來，美國進一步加強了對信息技術的控制，頒發了《聯邦評測標準》草案，用以代替桔皮書，同時還與加拿大、歐洲聯合研制了信息技術安全評測公共標準。針對信息系統可能面對的主要威脅，國際標準化協會在ISO7498-2中定義了基本的安全服務以及實現這些安全服務的相應機制，在這里作一簡單介紹。

3.1 鑒別

這種安全服務包括對等實體鑒別和數據源鑒別。對等實體鑒別由N層提供時，能使(N+1)層實體確信與之打交道的對等實體正是它需要的那個(N+1)層實體，還可確信這個實體此時沒有試圖冒充別的實體或試圖將以前的連接非授權地重演。此服務可以在連接建立或數據傳送的某個階段提供使用，它可以進行單向或雙向對等實體的鑒別，也可同時進行有效期檢驗;數據源鑒別由N層提供時，能使((N+1)層實體確信數據來源于所要求和對等的那個(N+1)層實體。

3.2 數據保密

這種服務對數據提供保護使之不被非授權地泄露。其中又包括連接保密、無連接保密、選擇字段保密和通信信息流保密。

3.3 數據完整性

這種服務能夠抵抗主動威脅，它有下面幾種形式:帶恢復的連接完整性;不帶恢復的連接完整性;選擇字段的連接完整性;無連接完整性;選擇字段無連接完整性。

3.4 抗否性

這種服務有兩種形式，一種是為接收者提供數據源證據，使發送者不能否認發送過這些數據;另一種是為發送者提供接收證據，使接收者不能否認收到這些數據。

在ISO7498-2中還說明了實現這些安全服務的機制，如加密機制、數字簽名機制、訪問控制機制、數據完整性機制等。在一個實際的信息系統中，需將這些基本的安全服務互相組合來滿足特定的安全需要。

4 結語

當今社會信息化程度不斷提高，信息系統的安全與否已成為國家安全的重要因素。建立完善的信息系統安全管理體系已成為重中之重。信息系統既是一個技術系統，又是一個社會系-統，現代信息系統的安全規劃和策略實施是一項復雜的系統工程。研究信息系統安全體系有助于構筑合理的安全信息系統，在我國具有廣闊的發展前景。