淺談計算機信息系統的安全防護

摘要：進入80年代后，計算機的性能得到了成百上千倍的提高，應用的范圍也在不斷擴大，計算機已遍及世界各個角落。人們利用通信網絡把孤立的單機系統連接起來，相互通信和共享資源。但是，隨之而來并日益嚴峻的問題是計算機信息的安全問題。本文從分析信息安全的重要性入手，從多方面介紹了計算機信息安全防御策略，全文具有十分現實的可操作意義。

關鍵詞：信息安全；計算機信息；安全防護

中圖分類號：TP311文獻標識碼：A 文章編號：1009-3044(2008)36-2599-02

On the Computer Information System Security

LIU Jian-hua

(Suqian City of Jiangsu Province Personnel Test Center， Suqian 223800， China)

Abstract: Into the 80s， computer performance has been raising hundreds of times， the scope of application has been expanded across the computer every corner of the globe. People use of the communications network to an isolated stand-alone systems to link up， communicate with each other and share resources. However， subsequent and increasingly serious problem is that the computer information security. This paper analyzes the importance of information security to start， introduced a multi-computer information security and defense strategy， with the full text of the very real operational significance.

Key words: information security; computer information; security

1 引言

由于計算機信息有共享和易于擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計算機病毒的感染。國際標準化組織(ISO)將“信息系統安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄露。”此概念偏重于靜態信息保護。也有人將“信息系統安全”定義為：“計算機的硬件、軟件和數據受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統連續正常運行。”該定義著重于動態意義描述。信息系統安全的內容應包括兩方面：即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性。

在當今的信息社會中，信息系統的安全對于整個社會都具有極其重要的意義，大到國家，小到個人，以及公司，企業，其信息系統的安全性都需要得到充分的保護。

國家與個人：

在國家和國防都依靠重信息體系的當代，必須保證信息安全。信息安全事關政權的鞏固、國防的強大，直接關系到國家安全。國家國防信息的命根就在于安全。信息的保密與安全，與各國的國防建設和國計民生息息相關，它嚴重影響著國家的安危、戰爭的勝負、外交斗爭的成敗、經濟競爭的輸贏。人們希望，大至國家決策和軍事行動，小到家庭狀況(如存款數目)和個人隱私(如健康水平)等機密或敏感信息都能得到充分的合法保護。

公司與企業：

在當今的電子信息時代，大多數公司和企業的日常商業行為都建立在電子數據的基礎之上。電子數據廣泛的存在于產品信息，商業合同，金融交易，統計數據等等之中，假如一旦這些電子數據泄露到競爭者手中，或者出現錯誤，毀壞，虛假甚至消失，那將會是怎樣一種情況，后果又將會如何呢?

顧客或者財務信息的泄露將會影響信譽；

商業信息的泄露將會給競爭者們可乘之機，使之能夠制定更有針對性的市場戰略；

競爭者可以發動一場不可見卻又很有效的信息攻擊，影響你的顧客或財務信息，影響你的市場信譽，從而擴大自己的市場份額。

而在當今的網絡時代里，網絡安全已經成為信息系統安全中一個重要的組成部分，在很多時候，網絡安全已經成為信息系統安全的代名詞。

信息系統處于攻擊之下已經幾十年了，但安全問題在過去并沒有被大多數人所重視，而在今天卻受到越來越多的人的關注，這其中甚至包括對計算機一無所知的普通大眾，原因究竟何在呢?

1) 從來沒有象現在這樣有如此多的電腦通過網絡相連，網絡的巨大范圍使得安全管理員很難，甚至不可能覺察到攻擊行為，以及判斷其來源。

2) 大量的廉價卻很好用的攻擊工具充斥于網絡中，自動化攻擊工具大量泛濫，幾年前僅僅適用于高智能范圍的工具已經能夠從商業途徑購買并使用。而使用這些工具并不需要很高的技術水平，這使得一個普通的攻擊者也可以對系統造成巨大的危害。

3) 攻擊技術的普及使得高水平的攻擊者越來越多，反而言之，安全管理員面臨著巨大的挑戰，我們的系統面臨的安全威脅也越來越大。

4) 病毒在最近的一兩年以驚人的速度發展，一個新病毒在一夜之間就可以通過網絡傳到整個信息世界，很少有公司或企業沒有受到病毒的感染和影響。

以下將從組成個完整網絡系統的各個方面分別論述其應該采取的安全策略，這些方面如下所述：

2 整體安全策略

任何的網絡系統都應該建立自己的一套安全策略，這套策略的目標在于保護重要數據的目的，并根據你的資產的重要程度以及面臨的安全威脅提出相應的應對措施。

3 信息安全策略

信息安全牽涉到三個方面的內容，包括信息存儲，信息傳輸，信息銷毀。我們應該在這三個方面采取不同的安全策略。

對于公開或未分類信息，我們無須采用任何的信息存儲策略，信息傳輸策略，以及信息銷毀策略。對于內部、私有、秘密信息，可以采取

3.1 信息存儲策略

存儲這些信息最好以加密方式或可移動介質方式存儲，而這些介質必須受到物理防護。

3.2 信息傳輸策略

當這些信息在安全區以外的網絡中傳輸時，必須加密，且加密強度應該足夠強。

3.3 信息銷毀策略

當不需要這些信息時，應該采用安全的銷毀方式(例如采用碎紙機銷毀文件，舊光盤等)。

4 個人安全策略

4.1 個人安全原則

不要向朋友，親戚泄露賬號，口令；不要對系統口令文件運行口令猜測程序；不要濫用系統資源，不要濫用電子郵件；不要下載或拷貝未經授權的軟件。

4.2口令策略

采用一個好的口令策略是防制未授權訪問的一個最重要的屏障，好的口令應滿足如下的條件：

口令應該混合數字，大寫字母，以及小寫字母，以及標點；不要用你的愛人，父母，同事，朋友，寵物，城市的名字；不要用電話號碼，或你的汽車，摩托車的車牌；不要用字典中的普通單詞；不要用明顯的鍵盤字符序列等。

5 網絡安全策略

5.1 拔入／拔出訪問策略

所有進入內部網絡的撥號連接(通過PSTN或LSDN)都應該經過嚴格的認證機制的審核：包括一次性的口令，及雙向認證機制等。

撥入訪問公司內部網絡應該只允許在特定的地方。并且應滿足以下條件：

數據交換策略：使用加密的口令通訊(例如加密的telnet，或SSH)，尤其對于遠程管理員訪問。

服務的可靠性策略：撥號服務器應該停止所有不必要的服務。

撥號服務器應該采用一個優秀的多任務操作系統(例如UNIX)。

撥號服務器一般應該提供以下的可用性指標：7*24小時可用，最大當機時間4小時，出現當機事件的最大頻率為每個月兩次。

更新管理：所有的軟件和配置的更新應該記錄在日志中，并根據質量管理策略實施。

5.2 互聯網防火墻管理策略

互聯網是一個共享資源搜索信息的重要工具，尤其對于研究部門，互聯網的重要性更加突出，但所有通過公司內部網進行的網絡訪問都應該經過防火墻，放火墻應該有專業的網絡管理配置。

5.3 與其他網絡的接口策略

與其他網絡間的接口位置也需要清楚的策略。

應該為所有的接口部分定義一個策略文檔，定義在接口位置允許通過何種方式傳輸何種信息，以及與公司整體安全策略間的關系。

這些接口位置應該設置防火墻保護，并定期的檢查和審計。

應該對該接口處提供的服務進行詳細的協商，并確保其與整個網絡策略的一致性。

接口兩端的用戶應該達成一個不公開的協議，確保該接口的配置細節，以及通過該接口的數據訪問對第三方的不可見性。

6 結束語

隨著互聯網的飛速發展，信息安全逐漸成為一個潛在的巨大問題。攻擊和防御永遠是一對不可調和的矛盾，本文只是對防御方面做了粗淺論述。

參考文獻：

[1] [美]Gert De Laet，Gert Schauwers著.張耀疆，李磊譯.網絡安全基礎[M].北京:人民郵電出版社，2006.

[2] [美]弗萊格著.信息安全原理與應用（第四版）[M].北京:電子工業出版社.2007.

[3] 張蒲生.網絡安全應用技術[M].北京:電子工業出版社.2008.

[5] 王紹斌等.信息系統攻擊與防御[M].北京:電子工業出版社.2007.