在互聯網條件下的計算機信息安全與對策研究

黃丁順

黃丁順/浙江藝術職業學院講師,碩士（浙江杭州310053）。

一段時間來不斷有媒體爆料，美國情報機構利用電信電話、互聯網中央服務器監視監聽各國政要，利用頂級互聯網公司的音頻、視頻、照片、電子郵件、文件和連接日志，追蹤個人用戶的動向和聯系人。這一事件經互聯網及各大媒體的傳播一時世人嘩然，吸引了全世界人的目光，人們開始思考自己賴以生存的這個網絡世界，滿足自己各種需求的同時還有多少個人的隱私不會被第三只眼睛所窺視，信息安全問題再次成為民眾熱議的一個重要話題。

一、信息安全問題

實際上信息安全從來都不是一個小問題，大到國家政治、經濟、國防、科技和文化層面、企業商業機密，小到防范不良信息、個人信息、金融資產不受侵害等等。早期的信息安全是以密碼論為基礎的輔以計算機技術、通信網絡技術與編碼程序來實現的計算機安全領域，計算機信息安全發展到現在已經從傳統意義上的計算機安全延伸到整個計算機網絡系統的安全，從單純的技術問題上升到技術、管理和法律相融合的綜合性安全體系。

然而，從20世紀90年代開始，隨著計算機技術的革命、互聯網技術的發展、計算機的不斷普及，信息的易傳播、易拷貝、易擴散性和信息賴以生存的計算機網絡系統的脆弱性所帶來的危害也愈加突出。如何保證信息和信息系統的安全也就成了必須要解決的問題。

二、信息安全的現狀

根據美國FBI最新發布的安全調查報告顯示，信息安全排在前三位的依次是病毒、間諜活動、筆記本和移動設備被盜，超過20%的組織說他們的端口被監聽、網絡或者數據被破壞。中國IDC2006的調查報告也表明，在IT安全領域最具威脅的都是和“安全內容管理”直接相關的安全問題。其中以“病毒、木馬及惡意代碼”最為嚴重，其次為垃圾郵件和對內部數據惡意篡改和盜用。歸納起來主要存在以下三方面問題。

1．核心技術對外依存度較高帶來的致命安全隱患。這是全球絕大多數國家面臨的一個非常突出的問題，根據美國前防務承包商雇員愛德華·斯諾登泄密的文件顯示，美國國家安全局能利用超級計算機、技術標準、法庭命令和幕后勸說等多種途徑，秘密攻破或繞開現有互聯網加密技術，獲取私密信息他們與國內外的科技公司合作，在公司的產品中植入“后門”，讓這些產品可利用，利用作為世界上經驗最豐富的密碼設計者的影響力，秘密地在世界各地軟硬件開發商所遵循的加密標準上設置薄弱環節，在國際標準中設置漏洞等等，致使全球網絡通信在美情報機構面前無秘密可言，引起全球恐慌。

縱觀全球網絡設備，CPU、OS、路由器、技術標準、數據庫以及根服務器等核心技術基本出自美國。前一陣子媒體曝光美國頂級互聯網公司協助美國政府監控民眾的消息后，相關企業和高管很快發表聲明加以否認，表示并沒有允許政府機構“直接訪問”自己的服務器。但事實是美國在立法監聽互聯網方面，在情報搜集和監聽等間諜活動方面，都有著完備的法律、技術體系。從1934年美國的聯邦通信法案開始，歷經八十年的鍛造，已經從體制上保證了其情報搜集的合法性、高效性、全面性，甚至于美國情報法案尤其是CALEA規定電信運營商必須提供監聽服務。美國境內的通信設備生產商、通信服務提供商，均具備從事網絡監聽和間諜活動的義務和動機。這給國家的政治、軍事、經濟、文化和社會生活的信息安全帶來前所未有的挑戰。世界上許多國家不得不用“墻”將自己圍起來，搞自己的局域網、國域網，大力發展自主創新技術來應對對外設備依存度帶來的極大危害。

2．信息安全法律法規還不夠完善。一些發達國家已經制定或正在著力制定自己的國家信息安全發展戰略和發展計劃，確保信息安全沿著正確的方向發展。1995年英國率先推出BS7799信息安全管理標準，2000年被國際標準化組織認可為國際標準ISO／IEC17799。在2000年10月美參議院通過一項《互聯網網絡完備性及關鍵設備保護法案》。2000年9月，俄羅斯實施了關于網絡信息安全的法律等。隨著20世紀80年代IS09000質量管理標準的出現及隨后在全世界的推廣應用，信息安全管理也隨之步入了標準化與系統化管理的軌道。

健全的信息安全法律法規體系是確保國家信息安全的基石，是信息安全的第一道防線。我國亦已建立了一批涉及網絡、信息系統、信息內容、安全產品、金融等特定領域的信息安全法律、行政法規與部門規章等三個層面的一些規范性文件，對組織和個人的信息行為提出了安全要求。但是從整體看我國的法律法規體系還存在諸多不完善的現象，有的出現內容交叉重復，甚至規章與行政法規相互抵觸；法律法規建設跟不上信息技術發展的需要，信息安全標準體系還處在發展和建立階段。安全規劃、風險管理、教育培訓、系統評估、安全認證、檢查問責等有關安全信息管理方面還存在諸多問題。特別是國家信息基礎設施建設方面，盡管也出臺了《電信業務經營許可證管理辦法》等一些法律文件，但在構成我國信息基礎設施的網絡、硬件、軟件等產品的引進和開發上還存在重大安全隱患。

3．信息安全管理意識還比較淡薄。以計算機、現代通信和網絡技術為核心的計算機信息系統，在給企業提高工作效能，提升核心競爭力的同時也給企業帶來了前所未有的安全隱患。大多數企、事業單位還缺乏信息安全方面的意識，個人用戶安全意識仍然淡薄。對信息資產面臨威脅的嚴重性認識不足，沒有形成一個合理的信息安全方針來指導企業、單位和部門的信息安全管理工作，缺乏行之有效的信息安全保障措施，現有的安全規章制度也不能很好地貫徹和實施。重視安全技術、輕視安全管理的現象還普遍存在，大多數企、事業單位和部門仍停留在傳統的管理模式，一些高性能的安全技術設施成了聾子的耳朵，缺乏系統管理的思想。

三、信息安全問題的對策及解決途徑

信息安全說到底是要使信息、信息系統得到妥善的保護，使系統硬件、軟件、數據、物理環境及其基礎設施等不受侵犯，不會因偶然或者惡意的原因而遭到破壞、更改和泄漏。保證信息及其系統能夠安全、連續、可靠、正常地運行，應該從以下幾個方面著手。

1．著力打造網絡信息系統基礎安全。網絡信息系統安全的一個重要來源是系統實體和信息資源本身不受威脅。這就要求要搞好信息系統的基礎設施建設，做好環境維護、防火防盜、防靜電雷擊、電磁泄漏等等。要盡量避開強電磁場，遠離噪聲源、振動源，保持系統電源穩定可靠運行。要保證設備具有良好的接地系統，經常檢查重要部門的各種電器的安全，做好相應的防火措施。要防止重點單位和部門的電磁信號泄漏，采取有效措施，做好保密工作，避免電磁信號被高靈敏度的接收設備所截獲和還原。對于一些特別重要的計算機系統及外部設備，要根據安全等級做好防盜報警設施，防止計算機或移動設備失竊、更改造成計算機重要數據丟失現象的發生。

2．采取技術措施做好計算機系統信息的自身安全。拋開網絡和系統環境等因素的影響，具體考慮系統信息本身的安全時，要采取信息加密技術，通過信息鑒別認證、信息訪問控制等技術手段，提高信息自身的安全級別。

信息加密技術是解決網絡信息安全問題的核心技術，通過對傳輸數據加密，存儲數據加密可在很大程度上提高數據在傳輸過程中的安全，保證傳輸數據的完整性不受侵犯。進行數據加密的算法很多，如今普遍使用的加密算法，在很大程度上能夠保證敏感信息的機密性和完整性不被破壞。

進行網絡信息認證是解決信息在交互過程中參與各方身份和資信認定的技術措施，使交互各方的身份真實性得到保證。采用公開密鑰加密技術基礎上的數字簽名技術，通過規范化的程序和科學化的手段鑒定簽名人身份及其對電子數據內容的認可程度，驗證文件在傳輸過程中的變化，保證傳輸電子文件的真實性、完整性不受侵犯，從而達到信息傳遞的安全、可靠、完整和不可抵賴性的實現。

3.做好病毒預防措施，確保系統安全運行。計算機病毒是一種非常小的會不斷自我復制、隱藏和感染其他文件或程序的代碼。在系統執行過程中，會對計算機及其信息系統造成破壞。計算機病毒的最大特點就是具有非授權的執行性、隱蔽性、傳染性、潛伏性、可觸發性和具有破壞性，要做好計算機病毒的預防，對計算機及其文件進行定期殺毒和實時掃描。因此在計算機的日常運行中，一定要注意做好以下幾個方面：一是要尊重知識產權，使用合法原版的軟件；二是要提高安全意識，及時將重要資料進行備份；三是不要隨意使用來路不明的文件或磁盤，養成對使用的文件和磁盤先行殺毒的習慣；四是要準備好一些防毒、掃毒和殺毒的軟件，定期使用。只有養成良好的網絡應用習慣，做到預防為主，才能防患于未然，確保計算機的系統安全。

4．提高信息安全意識，防止信息隨意泄漏。在網絡應用過程中，要培養良好的網絡應用習慣、專機專用，不隨意在不了解的網站上填寫用戶信息；不隨意在公用計算機上輸入用戶資料；不隨意打開來路不明的郵件(尤其是附件)和陌生人通過QQ等即時通信工具發送的文件和鏈接；給計算機設置足夠安全的字母和數字混合密碼，確保單位和個人信息不被泄露。要防止計算機及其網絡設備在保修、報廢過程中的信息泄漏現象，保修報廢的計算機及其網絡設備可能還存在著大量的數據信息、過程文件等，可以通過一定技術手段加以還原。要制定和規范計算機及其網絡設備的保修、報廢工作流程，嚴格執行有關涉密設備的處理規定，防止涉密信息隨設備流失的現象發生。

5．加強安全立法，為網絡信息安全保駕護航。加強國家的信息安全立法工作，為網絡信息安全提供法律保護。進一步完善信息安全法律法規體系，加強信息安全執法力度，嚴厲打擊網絡違法犯罪活動，保護企業和個人的合法權益不受侵害。大力推進信息安全等級制度，根據信息所處的社會地位和經濟價值，采取科學、合理的分級保護措施。對于涉及國計民生的國家關鍵信息基礎設施加以重點保護，運用最新的科技手段和安全法律體系在網絡信息領域中建立起系統的、完整的、有機銜接的預防、控制、偵查、懲處網絡信息違法犯罪的執法體系，加強對網絡信息違法犯罪的防范、控制和打擊能力，保證網絡信息高效、安全、正常的運行。

計算機、現代通信和網絡技術已成為我們生活的一個重要部分，只有通過技術的、管理的、行政的手段，提高每一個社會參與人的信息安全知識，扎實做好信息源、信號、信息等每一個環節的安全防范工作，才能最大程度的保證在現代環境下的計算機網絡信息不受侵犯。

[1]王大慶．探討計算機網絡安全［A］．天津市電視技術研究會2011年年會論文集 [C].2011年.

[2]王建波.計算機網絡安全性的風險與防御措施[J].信息與電腦（理論版）2011（5）.

[3]王子源.計算機的安全問題及應對策略[J].才智.2010（19）.

[4]張千里，陳光英.網絡平安新技術[M].北京摘要：人民郵電出版社，2003.