信息安全管理與對策

鄭智民 ，林碧蘭

（1.中國移動福建公司 福 州分公司， 福建 福 州 3 50000;2.廈門大學 水 聲通信與海洋信息技術教育部重點實驗室，福建 廈 門 3 61005）

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護、不受偶然或惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。

互聯網具有的開放性、交互性和分散性特征滿足了人類所憧憬的信息共享、開放、靈活和快速等需求。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，也正是由于互聯網的上述特性，產生許多安全問題[1]。如何有效地保護信息數據的安全，已經成為一個企業的關鍵問題。

1 信息安全面臨的威脅

1.1 網絡病毒

計算機病毒是人為的特制程序，具有自我復制能力、很強的感染性、一定的潛伏性、特定的觸發性和很大的破壞性。在計算機網絡中，一旦病毒爆發，輕則降低速度，影響工作效率，重則使網絡堵塞，破壞服務器信息，甚至造成網絡癱瘓，造成不可估量的損失。

1.2 黑客入侵

黑客就像一個計算機數據信息的竊賊，只要獲得了一臺網絡主機的超級用戶權限后，他們就有可能在該主機上修改資源配置、安置“特洛伊”程序、隱藏行蹤、執行任意進程等[2]。從國內情況來看，目前我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。那么，黑客是如何進行入侵的呢？首先，他們先隱藏自己的位置，尋找目標主機并分析目標主機獲取賬號和密碼后，登錄主機并獲得控制權。攻擊者找到攻擊目標后，會繼續下一步的攻擊，如：下載敏感信息，竊取秘密；實施竊取賬號密碼、信用卡號等經濟偷竊；破壞系統穩定性等。

1.3 網絡監聽

在網絡中，當信息進行傳播時，利用工具將網絡接口設置在監聽模式，便可截獲或捕獲到網絡中正在傳播的信息，從而進行攻擊[3]。因此，一些企業在與第三方網絡進行傳輸時，需要采取有效措施來防止重要數據被中途截獲，如用戶信用卡號碼等。

2 網絡信息安全保護措施

現階段，為了保證信息數據的安全，可采用以下幾種方法。

2.1 防火墻技術

防火墻已成為各企業網絡中實施安全保護的核心，其主要實現選擇性地拒絕進出網絡的數據流量。目前，防火墻主要采用包過濾、應用網關、子網屏蔽等技術。防火墻能增強機構內部網絡的安全性。防火墻系統決定了哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的服務，以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過，而且其本身也必須能夠免于滲透。

2.2 防范網絡病毒

對付網絡病毒最好的方法莫過于防范[4]，主要的方法有：1）絕不打開來歷不明的郵件的附件或并未預期接收到的附件；2）插入軟盤、光盤或其他可插拔介質，一定對其進行病毒掃描；3）不使用非正版軟件，裝入正版防毒軟件（一定要安裝可以升級的殺毒軟件），并啟動其監控功能；4）重要文件和數據要定期備份；5）使用基于客戶端的防火墻或過濾措施；6）將Internet Explorer 4.x或以上版本的安全級別設定成“高級”，終止ActiveX和Active Scripting。

2.3 VPN技術

VPN（Virtual Private Network）即虛擬專用網絡[5]，它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。一條VPN鏈路是一條采用加密隧道構成的遠程安全鏈路，它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接．并保證數據的安全傳輸。為了保障信息的安全，VPN技術采用鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復制。VPN技術可以在不同的傳輸協議層實現。

2.4 入侵檢測技術（IDS）

入侵檢測系統[6]（Intrusion-detection System，IDS）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在于：IDS是一種積極主動的安全防護技術，它是按用戶指定的規則運行的，在功能方面，與防火墻有很大區別，它是對端口進行檢測、掃描等。入侵檢測技術在立體安全防御體系中日益被普遍采用，它能識別防火墻通常無法識別的攻擊（如來自企業內部的攻擊），在發現入侵企圖后提供必要的信息，幫助系統移植。

3 企業信息安全管理

有效的技術手段只是網絡安全的基礎，僅靠網絡安全技術是絕對無法確保信息安全的。嚴格的計算機安全管理才能充分發揮網絡信息安全技術的效能，使網絡信息更加安全可靠。企業計算機管理員應做到如下幾點：

1）系統管理員的口令應嚴格管理，不被泄漏，不定期地予以更換，保護網絡系統不被非法存取，不被感染上計算機病毒或遭受破壞。

2）在安裝應用程序軟件時，應由系統管理員進行，或由系統管理員臨時授權進行。以保護網絡用戶使用共享資源時總是安全無毒的。

3）系統管理員對網絡內的共享電子函件系統、共享存儲區域和用戶卷應定期進行計算機病毒掃描，發現異常情況及時處理。如果可能，在應用程序卷中安裝最新版本的防殺計算機病毒軟件供用戶使用。

4）企業系統管理員在做好日常管理事務的同時，還應準備應急措施，及時發現計算機病毒感染跡象。當出現計算機病毒傳播跡象時，應立即隔離被感染的計算機系統和網絡，并進行處理，不應使其帶毒繼續工作，要按照特別情況清查整個網絡，切斷計算機病毒傳播的途徑，保障正常工作的進行。必要時應立即得到專家的幫助。

4 結束語

為了保證信息數據的安全，本文提出了幾種信息安全保護措施，如防火墻技術、病毒防范、VPN技術、IDS技術等，并分析了企業信息的幾種計算機安全管理策略，強調只有通過嚴格的計算機安全管理，才能使網絡信息更加安全可靠。但由于技術上的計算機病毒防治方法尚無法達到完美的境地，難免會有新的計算機病毒突破防護系統的保護，傳染到計算機系統中。因此對可能由計算機病毒引起的現象應予以注意并加以防范，使計算機病毒傳播不影響到整個企業系統。

[1]鐘誠，趙躍華.信息安全概論[M].武漢：武漢理工大學出版社，2003.

[2]崔煒.網絡安全技術分析與探討[J].科技信息，2009（24）：I0219-I0219，I0222.

[3]劉倩波.計算機網絡安全維護技術的若干思考[J].黑龍江科技信息，2009（27）：93－93.

[4]劉云峰.中小型企業網絡及信息安全綜合解決方案研究[J].山西科技，2009（5）：73-74.

[5]趙立志，林偉.淺析網絡安全技術[J].民營科技，2008（3）：193－193.

[6]周國民.入侵檢測系統評價與技術發展研究[J].現代電子技術，2004（12）：86-88.