計算機信息系統應用的安全策略探討

苗欣欣

摘 要：信息系統的安全性日益重要，通過信息系統的安全因素、安全隱患、安全機制得出構筑信息系統安全性需要解決的問題，并對信息系統中應用的計算機信息安全的相關技術及策略進行探討。

關鍵詞：計算機 信息系統 安全防火墻

計算機科學與技術的不斷發展和計算機的廣泛運用，促進了社會的進步和繁榮，給人類創造了巨大的財富。尤其是計算機網絡的發展，使信息共享廣泛用于金融、貿易、商業、企業、教育等各個領域。由于信息在網絡上存儲、共享和傳輸會被非法竊聽、截取、篡改或破壞而導致不可估量的損失，相應的不可避免帶來了系統的脆弱性，使其面臨嚴重的安全問題。

一、計算機信息系統安全的重要性

計算機信息系統安全是指組成計算機信息系統的硬件、軟件及數據能受到保護，不會因偶然或惡意的原因遭到破壞、更改或泄露，能保證系統安全、連續、正常運行。。計算機信息系統在運行操作、管理控制、經營管理計劃、戰略決策等社會經濟活動各個層面的應用范圍不斷擴大，發揮著越來越大的作用。信息系統中處理和存儲的，既有日常業務處理信息、技術經濟信息，也有涉及企業或政府高層計劃、決策信息，其中相當部分是屬于極為重要并有保密要求的。信息系統的任何破壞或故障，都將對用戶以至整個社會產生巨大的影響。信息系統安全上的脆弱性表現得越來越明顯，信息系統的安全日顯重要。

二、計算機信息系統面臨的威脅

由于計算機信息有共享性和易于擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用和丟失，甚至被泄露、竊取、篡改、冒充和破壞，又有可能受到計算機病毒的感染，人們對威脅計算機信息系統安全形式的分類也日益復雜和困難。具體來說，信息系統正面臨來自用戶或某些程序的如下威脅：

1）非授權存取：竊取用戶賬號、操作指令；避開訪問控制機制；身份攻擊；假冒：特洛伊木馬術，越權操作。

2）信息泄漏：計算機信息系統工作時所雜散輻射的電磁波、機械振動、聲音等信號被非法用戶截獲和收集，處理后復原原信息從而達到竊取信息的目的。

3）破壞系統功能，摧毀系統：定時炸彈；邏輯炸彈。

4）計算機病毒：利用網絡傳播病毒，對特定和非特定用戶實施攻擊。

5）干擾系統服務：攻擊服務程序，使系統癱瘓不能正常服務，改變服務程序；使系統服務響應減慢：干擾服務流程，使合法用戶得不到正常服務。

三、信息系統安全性采取的措施

1、物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件和通信鏈路免受自然災害、人為破壞和搭線攻擊：驗證用戶的身份和使用權限、防止用戶的越權操作。為保障整個系統功能的安全實現，需要一套行之有效的安全措施，來保護信息處理過程的安全，其中包括：風險分析、審計跟蹤，備份恢復、應急等，制定必要的、具有良好可操作性的規章制度，去進行制約，是非常必要和重要的，而且是非常緊迫的。

2、信息安全措施

數據是信息的基礎，是企業的寶貴財富。信息管理的任務和目的是通過對數據采集、錄入、存儲、加工，傳遞等數據流動的各個環節進行精心組織和嚴格控制，確保數據的準確性、完整性、及時性，安全性，適用性和共享性。

1）內部網絡安全：由于局域網采用以交換機為中心，路由器為邊界的網絡格局，又基于中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對局域網的安全控制，其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，這是一重要的措施。在集中式網絡環境下，可以將中心的所有主機系統集中到一個VLAN里，在這個VLAN里不允許任何用戶節點，從而較好地保護敏感的主機資源。在分布式網絡環境下，按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內，互不侵擾。VLAN內部的連接采用交換實現，而VLAN與VLAN之間的連接則采用路由實現。

2）廣義網絡的安全：由于廣域網采用公網來進行數據傳輸，信息在廣域網上傳輸時被截取和利用就比局域網要大得多。因此，必須采取必要的手段，使得在廣域網上的信息傳輸是安全的。首先是運用加密技術，不依賴于網絡中數據通道的安全性來實現網絡系統的安全，而是通過對網絡的數據加密來保障網絡的安全可靠性。其次是VPN（虛擬專網）技術的運用。VPN技術的核心是采用隧道技術，將企業專用網的數據加密封裝后，透過虛擬的公網隧道進行傳輸，從而防止敏感數據的被竊取。企業通過公網建立VPN，就如同通過自己的專用網建立內部網一樣，享有較高的安全性、優先性、可靠性和可管理性，而其建立周期、投入資金和維護費用卻大大降低。

3）外網的安全

外網安全的威脅主要表現在：非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒、線路竊聽等。針對外網的安全，主要有以下兩種措施：

a、防火墻技術。防火墻是一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻擋外部網絡的侵入。同時防火墻還可以限定內外網通信主體和通信協議。目前防火墻有以下幾種：包過濾防火墻；雙宿主主機防火墻；屏蔽主機網關防火墻；屏蔽子網防火墻。

b、入侵檢測技術。入侵檢測是一種主動安全的保護技術，作為防火墻之后的第2道安全閘門，實時監視網絡活動，并對數據進行分析，以檢測發生和可能發生的攻擊，并對網絡行為進行審計。從而擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。

當今社會信息化程度不斷提高，信息系統的安全與否已成為國家安全的重要因素。建立完善的信息系統安全管理體系已成為重中之重。信息系統既是一個技術系統，又是一個社會系統，現代信息系統的安全規劃和策略實施是一項復雜的系統工程。研究信息系統安全體系有助于構筑合理的安全信息系統，在我國具有廣闊的發展前景。