什么是信息安全

信息安全是指為數(shù)據(jù)處理系統(tǒng)而采取的技術的和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。這里面既包含了層面的概念，其中計算機硬件可以看作是物理層面，軟件可以看做是運行層面，再就是數(shù)據(jù)層面；又包含了屬性的概念，其中破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是機密性。

網(wǎng)絡信息安全的內(nèi)容

1.硬件安全。即網(wǎng)絡硬件和存儲媒休的安全。要保護這些硬設施不受損害，能夠正常工作。

2.軟件安全。即計算機及其網(wǎng)絡r各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會失效，不被非法復制。

3.運行服務安全。即網(wǎng)絡中的各個信息系統(tǒng)能夠正常運行并能正常地通過網(wǎng)絡交流信息。通過對網(wǎng)絡系統(tǒng)中的各種設備運行狀況的監(jiān)測，發(fā)現(xiàn)不安全因素能及時報警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡系統(tǒng)正常運行。

4.數(shù)據(jù)安全。即網(wǎng)絡中存在及流通數(shù)據(jù)的安全。要保護網(wǎng)絡中的數(shù)據(jù)不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網(wǎng)絡安全最根本的目的。

信息安全風險分析

1.計算機病毒的威脅

隨著Internet技術的發(fā)展、企業(yè)網(wǎng)絡環(huán)境的日趨成熟和企業(yè)網(wǎng)絡應用的增多。病毒感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽，尤其是Internet環(huán)境和企業(yè)網(wǎng)絡環(huán)境為病毒傳播、生存提供了環(huán)境。

2.黑客攻擊

黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。黑客利用計算機系統(tǒng)、網(wǎng)絡協(xié)議及數(shù)據(jù)庫等方面的漏洞和缺陷，采用后門程序、信息炸彈、拒絕服務、網(wǎng)絡監(jiān)聽、密碼破解等手段侵入計算機系統(tǒng)，盜竊系統(tǒng)保密信息，進行信息破壞或占用系統(tǒng)資源。

3.信息傳遞的安全風險

企業(yè)和外部單位， 以及國外有關公司有著廣泛的工作聯(lián)系，許多日常信息、數(shù)據(jù)都需要過互聯(lián)網(wǎng)來傳輸。網(wǎng)絡中傳輸?shù)倪@些信息面臨著各種安全風險，例如：①被非法用戶截取從而泄露企業(yè)機密；②被非法篡改，造成數(shù)據(jù)混亂、信息錯誤從而造成工作失誤；③非法用戶假冒合法身份，發(fā)送虛假信息，給正常的生產(chǎn)經(jīng)營秩序帶來混亂， 造成破壞和損失。因此，信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

4.身份認證和訪問控制存在的問題

企業(yè)中的信息系統(tǒng)一般供特定范圍的用戶使用，信息系統(tǒng)中包含的信息和數(shù)據(jù)也只對一定范圍的用戶開放，沒有得到授權的用戶不能訪問。為此各個信息系統(tǒng)中都設計了用戶管理功能，在系統(tǒng)中建立用戶、設置權限、管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定程度上能夠加強系統(tǒng)的安全性。但在實際應用中仍然存在一些問題。如部分應用系統(tǒng)的用戶權限管理功能過于簡單，不能靈活實現(xiàn)更詳細的權限控制；各應用系統(tǒng)沒有一個統(tǒng)一的用戶管理，使用起來非常不方便，不能確保賬號的有效管理和使用安全。

信息安全的對策

1.安全技術

為了保障信息的機密性、完整性、可用性和可控性，必須采用相關的技術手段。這些技術手段是信息安全體系中直觀的部分，任何一方面薄弱都會產(chǎn)生巨大的危險。因此，應該合理部署、互相聯(lián)動，使其成為一個有機的整體。具體的技術介紹如下：

(1)加解密技術。在傳輸過程或存儲過程中進行信息數(shù)據(jù)的加解密，典型的加密體制可采用對稱加密和非對稱加密。

(2)VPN技術。VPN即虛擬專用網(wǎng)，通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的、安全的連接．是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。通常VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

(3)防火墻技術。防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡與不安全的外部網(wǎng)絡之間設置障礙， 防止外界對內(nèi)部資源的非法訪問，以及內(nèi)部對外部的不安全訪問。

(4)入侵檢測技術。人侵檢測技術IDS是防火墻的合理補充，幫助系統(tǒng)防御網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎結構的完整性。人侵檢測技術從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并進行分析，檢查網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。

(5)安全審計技術。包含日志審計和行為審計。

日志審計協(xié)助管理員在受到攻擊后察看網(wǎng)絡日志，從而評估網(wǎng)絡配置的合理性和安全策略的有效性，追溯、分析安全攻擊軌跡。并能為實時防御提供手段。

通過對員工或用戶的網(wǎng)絡行為審計，可確認行為的規(guī)范性，確保管理的安全。

2.安全管理

只有建立完善的安全管理制度。將信息安全管理自始至終貫徹落實于信息系統(tǒng)管理的方方面面，企業(yè)信息安全才能真正得以實現(xiàn)。具體技術包括以下幾方面：

(1)開展信息安全教育，提高安全意識。員工信息安全意識的高低是一個企業(yè)信息安全體系是否能夠最終成功實施的決定性因素。據(jù)不完全統(tǒng)計，信息安全的威脅除了外部的(占20％)， 主要還是內(nèi)部的(占8O％)。在企業(yè)中，可以采用多種形式對員工開展信息安全教育，例如：① 可以通過培訓、宣傳等形式，采用適當?shù)莫剳痛胧瑥娀夹g人員對信息安全的重視，提升使用人員的安全觀念；②有針對性地開展安全意識宣傳教育，同時對在安全方面存在問題的用戶進行提醒并督促改進，逐漸提高用戶的安全意識。

(2)建立完善的組織管理體系。完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系，即建立由行政領導、IT技術主管、信息安全主管、系統(tǒng)用戶代表和安全顧問等組成的安全決策機構，完成制定并發(fā)布信息安全管理規(guī)范和建立信息安全管理組織等工作，從管理層面和執(zhí)行層面上統(tǒng)一協(xié)調(diào)項目實施進程。克服實施過程中人為因素的干擾，保障信息安全措施的落實以及信息安全體系自身的不斷完善。

(3)及時備份重要數(shù)據(jù)。在實際的運行環(huán)境中，數(shù)據(jù)備份與恢復是十分重要的。即使從預防、防護、加密、檢測等方面加強了安全措施，但也無法保證系統(tǒng)不會出現(xiàn)安全故障，應該對重要數(shù)據(jù)進行備份，以保障數(shù)據(jù)的完整性。企業(yè)最好采用統(tǒng)一的備份系統(tǒng)和備份軟件，將所有需要備份的數(shù)據(jù)按照備份策略進行增量和完全備份。要有專人負責和專人檢查，保障數(shù)據(jù)備份的嚴格進行及可靠、完整性，并定期安排數(shù)據(jù)恢復測試，檢驗其可用性，及時調(diào)整數(shù)據(jù)備份和恢復策略。目前，虛擬存儲技術已日趨成熟，可在異地安裝一套存儲設備進行異地備份，不具備該條件的，則必須保證備份介質(zhì)異地存放，所有的備份介質(zhì)必須有專人保管。

信息安全的方法

從信息安全屬性的角度來看，每個信息安全層面具有相應的處置方法：

1．物理安全：是指對網(wǎng)絡與信息系統(tǒng)的物理裝備的保護，主要的保護方式有干擾處理、電磁屏蔽、數(shù)據(jù)校驗、冗余和系統(tǒng)備份等。

2．運行安全：是指對網(wǎng)絡與信息系統(tǒng)的運行過程和運行狀態(tài)的保護，主要的保護方式有防火墻與物理隔離、風險分析與漏洞掃描、應急響應、病毒防治、訪問控制、安全審計、入侵檢測、源路由過濾、降級使用以及數(shù)據(jù)備份等。

3．數(shù)據(jù)安全：是指對信息在數(shù)據(jù)收集、處理、存儲、檢索、傳輸、交換、顯示和擴散等過程中的保護，使得在數(shù)據(jù)處理層面保障信息依據(jù)授權使用，不被非法冒充、竊取、篡改、抵賴，主要的保護方式有加密、認證、非對稱密鑰、完整性驗證、鑒別、數(shù)字簽名和秘密共享等。

4．內(nèi)容安全：是指對信息在網(wǎng)絡內(nèi)流動中的選擇性阻斷，以保證信息流動的可控能力，主要的處置手段是密文解析或形態(tài)解析、流動信息的裁剪、信息的阻斷、信息的替換、信息的過濾以及系統(tǒng)的控制等。

5．信息對抗：是指在信息的利用過程中，對信息真實性的隱藏與保護，或者攻擊與分析，主要的處置手段是消除重要的局部信息、加大信息獲取能力以及消除信息的不確定性等。

信息安全的基本要求

1.數(shù)據(jù)的保密性

由于系統(tǒng)無法確認是否有未經(jīng)授權的用戶截取網(wǎng)絡上的數(shù)據(jù)．這就需要使用一種手段對數(shù)據(jù)進行保密處理。數(shù)據(jù)加密就是用來實現(xiàn)這一目標的，加密后的數(shù)據(jù)能夠保證在傳輸、使用和轉換過程中不被第三方非法獲取。數(shù)據(jù)經(jīng)過加密變換后，將明文變成密文，只有經(jīng)過授權的合法用戶使用自己的密鑰，通過解密算法才能將密文還原成明文。數(shù)據(jù)保密可以說是許多安全措施的基本保證，它分為網(wǎng)絡傳輸保密和數(shù)據(jù)存儲保密。

2.數(shù)據(jù)的完整性

數(shù)據(jù)的完整性是數(shù)據(jù)未經(jīng)授權不能進行改變的特征，即只有得到允許的人才能修改數(shù)據(jù)，并且能夠判斷出數(shù)據(jù)是否已被修改。存儲器中的數(shù)據(jù)或經(jīng)網(wǎng)絡傳輸后的數(shù)據(jù)，必須與其最后一次修改或傳輸前的內(nèi)容形式一模一樣。其目的就是保證信息系統(tǒng)上的數(shù)據(jù)處于一種完整和未受損的狀態(tài)，使數(shù)據(jù)不會因為存儲和傳輸?shù)倪^程．而被有意或無意的事件所改變、破壞和丟失。系統(tǒng)需要一種方法來確認數(shù)據(jù)在此過程中沒有改變。這種改變可能來源于自然災害、人的有意和無意行為。顯然保證數(shù)據(jù)的完整性僅用一種方法是不夠的，應在應用數(shù)據(jù)加密技術的基礎上，綜合運用故障應急方案和多種預防性技術，諸如歸檔、備份、校驗、崩潰轉儲和故障前兆分析等手段實現(xiàn)這一目標。

3.數(shù)據(jù)的可用性

數(shù)據(jù)的可用性是可被授權實體訪問并按需求使用的特征，即攻擊者不能占用所有的資源而阻礙授權者的工作。如果一個合法用戶需要得到系統(tǒng)或網(wǎng)絡服務時，系統(tǒng)和網(wǎng)絡不能提供正常的服務。這與文件資料被鎖在保險柜里，開關和密碼系統(tǒng)混亂而不能取出一樣。