計算機網(wǎng)絡信息安全的基本理念及預防措施
內容提要:計算機網(wǎng)絡信息安全要靠技術,更要靠管理�,要把技術和管理相結合,要以人為本�,提高安全意識,才能真正增強網(wǎng)絡信息安全的保障�。
關鍵詞:網(wǎng)絡信息安全 基本理念 保障措施
在過去幾年中,無論是蔓延網(wǎng)絡的“熊貓燒香”病毒�����,還是英國政府遭史上最大資料外泄使2500萬人受到影響的事件�,都說明網(wǎng)絡安全面臨著病毒更毒,黑客更黑的嚴重局面�。諸如從間諜軟件�、網(wǎng)游木馬�����、流氓軟件��、IM通訊病毒��、病毒郵件的肆虐�����,到性質極為嚴重的網(wǎng)絡銀行釣魚和針對性很強的木馬��、蠕蟲病毒的不斷出現(xiàn)���。俗話說:“道高一尺����,魔高一丈”�,網(wǎng)絡系統(tǒng)的安全性問題之所以頭疼,是因為指望通過一勞永逸解決所有安全問題是不可能實現(xiàn)的�����。
一、網(wǎng)絡信息安全的基本理念
網(wǎng)絡安全是指利用網(wǎng)絡管理����、控制或用技術措施保障一個網(wǎng)絡環(huán)境里的信息數(shù)據(jù)的保密性、完整性和可用性���。具體地說���,網(wǎng)絡安全要確保計算機網(wǎng)絡信息系統(tǒng)在存儲�����、處理���、傳輸信息數(shù)據(jù)的保密性�、完整性和可用性��,確保對授權合法用戶的服務和限制非授權用戶的服務�。
網(wǎng)絡安全包括兩方面內容,即網(wǎng)絡的系統(tǒng)安全和網(wǎng)絡的信息安全�����。系統(tǒng)安全包括系統(tǒng)的軟、硬件和固件的安全性�����,包括計算機網(wǎng)絡信息系統(tǒng)的CPU操作系統(tǒng)���、存儲器���、路由器等的安全;而信息安全包括信息數(shù)據(jù)的存儲��、處理��、傳輸?shù)陌踩?��,包括信息的保密性����、完整性和可用性?br />
以下主要對網(wǎng)絡信息安全的基本理念及預防措施做詳細分析研究�。
(一)、網(wǎng)絡信息安全的基本概念
信息安全包括信息數(shù)據(jù)的存儲����、處理��、傳輸?shù)陌踩?����,包括信息的保密性�����、完整性和可用性�。信息保密性目的是為了防止非授權者獲取����、破壞信息系統(tǒng)中的秘密信息����;信息完整性是解決信息的精確、有效�����,防止信息數(shù)據(jù)被篡改和破壞�;信息可用性是保證網(wǎng)絡資源在需要時即可使用�,不因為系統(tǒng)的故障或誤操作而使資源丟失或不能被使用����,還包括具有某些不正常情況下系統(tǒng)的繼續(xù)運行的能力。
(二)�����、網(wǎng)絡信息安全的發(fā)展變化
網(wǎng)絡信息安全是在信息技術的發(fā)展和對抗中不斷發(fā)展和充實的�����。信息安全的發(fā)展大體經(jīng)歷了三個階段���,即通信保密階段�����、計算機系統(tǒng)安全階段以及計算機網(wǎng)絡信息系統(tǒng)的安全階段�。
70年代以前的通信保密階段主要采用密碼技術解決數(shù)據(jù)在電信網(wǎng)上傳輸?shù)谋C苄?���。這一階段主要的安全威脅是外部的竊聽、接收破譯及內部操作員的違規(guī)通信�����。 在70-80年代的計算機系統(tǒng)安全階段,則主要采用密碼技術�、訪問控制技術、身份鑒定技術等安全措施��,保障信息的保密性和完整性���,保障計算機系統(tǒng)為授權用戶所使用�����。這一階段的主要威脅來自外部的非法訪問����,操作員使用脆弱口令等�����。90年代以后�����,隨著計算機網(wǎng)絡尤其是因特網(wǎng)發(fā)展��,構成網(wǎng)絡信息系統(tǒng)的安全保障系統(tǒng)���,不僅需要確保信息系統(tǒng)存儲����、處理��、傳輸信息數(shù)據(jù)的保密性���、完整性和可用性����,還要解決對合法用戶的服務和限制非授權用戶的服務����,解決身份的真實性,解決信息傳輸過程的不可否認性�����。此外��,信息系統(tǒng)還要設置必要的防御攻擊的措施�。這階段的主要威脅是外部的網(wǎng)絡入侵���、病毒破壞、信息對抗以及內部的違規(guī)操作和惡意報復���。
(三)�、計算機網(wǎng)絡信息系統(tǒng)安全威脅的來源
與70年代之前通信保密階段安全威脅的來源����,現(xiàn)在的計算機信息網(wǎng)絡系統(tǒng)安全威脅也主要來自外部因素和內部原因。外部威脅一是無組織的黑客攻擊����,二是有組織的網(wǎng)絡攻擊。前者是個人行為����,后者則發(fā)展為信息戰(zhàn)。兩者都是憑借計算機技術和通信技術侵入到計算機網(wǎng)絡信息系統(tǒng)中�����,但黑客攻擊相對獨立無組織�����,而網(wǎng)絡攻擊是有組織的軍事斗爭手段���,是信息戰(zhàn)的一種形態(tài)��。外部攻擊有兩種目的:一是以刺探�����、破壞信息為目的�,另一是獲取信息內的秘密文件���,進而為篡改文件命令����,即獲取情報為目的�。前著主要表現(xiàn)為各種計算機病毒,后者則是秘密地竊取情報����,和前者相比,更不容易被發(fā)現(xiàn)��,所造成的危害也就更深遠一些。
內部人員的威脅行為分為違規(guī)操作和惡意報復�����。其中違規(guī)操作是造成外部威脅得逞的主要原因���。如內部人員擅自通過實名計算機直接進入因特網(wǎng)�����,造成計算機內存儲的秘密文件被竊�����;又如不經(jīng)病毒過濾擅自從互聯(lián)網(wǎng)上下載多媒體影音數(shù)據(jù)��,造成計算機的感染��。另外��,內部人員的惡意報復在企業(yè)也時有發(fā)生��,如對企業(yè)不滿的計算機工作人員惡意破壞數(shù)據(jù)庫軟件��,造成數(shù)據(jù)丟失和系統(tǒng)故障��;企業(yè)的工業(yè)間諜還通過信息系統(tǒng)獲取工業(yè)秘密�����,造成企業(yè)的重大損失�;銀行內部的計算機員工利用計算機對銀行業(yè)務的識別進行計算機犯罪等��。
二�����、計算機網(wǎng)絡信息系統(tǒng)安全的保障措施
保障計算機網(wǎng)絡信息系統(tǒng)安全網(wǎng)絡安全有兩個支柱���,一個是技術�、一個是管理�����。而我們日常提及網(wǎng)絡安全時����,多是在技術相關的領域,例如IDS入侵檢測技術����、Firewall防火墻技術�����、Anti-Virus防病毒技術��、加密技術����、CA認證技術等等��。但正如“木桶原理”所示��,你的能力是由你最弱的那個環(huán)節(jié)決定的����,我們在保護網(wǎng)絡安全時,也應該從上述二個方面全面考量�,而不能只偏重其中的某一個部分。
(一)�����、計算機網(wǎng)絡信息系統(tǒng)安全技術方面
1�、網(wǎng)絡安全應用結構優(yōu)化
談到網(wǎng)絡安全��,很多人會直接想到反病毒軟件���、防火墻等產品。實際上��,網(wǎng)絡優(yōu)化也是��。以業(yè)務效能和應用連續(xù)性為目標���,整體性的網(wǎng)絡和應用安全與優(yōu)化是IT網(wǎng)絡安全價值提升的重要途徑。網(wǎng)絡優(yōu)化所涉及的技術與架構的更新�����,包括全網(wǎng)流量監(jiān)測�、應用流量管理、安全威脅管理�。 網(wǎng)絡安全應用結構:如今幾乎所有的CIO都把關鍵應用的保障,或者說網(wǎng)絡的可用性列為頭等大事�����。 一般來說����,網(wǎng)絡體系結構包括六個方面:應用性能管理����;安全內容管理�����;安全事件管理����;用戶接入管理;網(wǎng)絡資源管理���;端點安全管理��。
2���、全網(wǎng)流量監(jiān)測。
眾所周知�����,網(wǎng)絡安全問題80%發(fā)生在網(wǎng)絡的內部��。對于較大規(guī)模的網(wǎng)絡而言,網(wǎng)絡內部的不良流量也可能非常嚴重地影響到網(wǎng)絡關鍵應用的運行�����。因此�����,進行全網(wǎng)的流量監(jiān)測是非常重要而且是必要的���。通過全網(wǎng)流量檢測,能夠了解網(wǎng)絡當中的數(shù)據(jù)流狀況�����,包括流量大小����、來源和目的、由何種應用產生�、數(shù)據(jù)量的大小等。
(二)�、計算機網(wǎng)絡信息系統(tǒng)安全管理
隨著信息化建設的展開,網(wǎng)絡安全成為不得不面臨的嚴峻問題�。安全體系的建立其實涉及到了管理和技術兩個層面��,而管理層面的體系建設是首當其沖的�。技術上的建設和加強只是網(wǎng)絡安全的一方面��,而且單純的實現(xiàn)技術不是目的����,技術只是圍繞企業(yè)具體的工作業(yè)務來開展應用。保障業(yè)務流程的網(wǎng)絡安全�����,從而進一步促進IT在企業(yè)應用層面的拓展����,這才我們應用安全技術最根本的目的。因此�����,“抓管理還是上技術”的最終定格為“三分技術����、七分管理”,構建一個健全的網(wǎng)絡安全管理體系是擺在我們面前的重要一環(huán)�����。
“三分技術七分管理”,一直是安全領域的至理名言�����。三分技術�,防治的更多的是已知的各種安全威脅;七分管理,則主要針對人����,無論是通過各種安全制度約束,還是利用各項技術對人進行管理����,目的都是約束“人”的行為���,不給安全威脅可乘之機���。
1、安全意識最重要
面對不斷襲來的安全威脅���,除了購買安全產品以外�����,我們還應該做些什么呢��?這里需要指出:“安全意識最重要�!”。安全設施的建立只是企業(yè)信息安全的第一步����,如何在安全體系中有效徹底的貫徹安全制度,以及不斷深化全員安全意識才是關鍵所在����。光依靠技術不能完全解決安全問題,因為過了一段時間��,一些先進的技術可能就過時了�,應該積極培養(yǎng)計算機網(wǎng)絡信息安全意識。加強安全意識的培訓�����,首先領導�����、決策者認識到網(wǎng)絡信息安全問題,另外也要對廣大的一般操作人員加強培訓�����,統(tǒng)一認識�����。培養(yǎng)員工的安全意識����,養(yǎng)成良好的上網(wǎng)習慣,比如及時打好系統(tǒng)補丁�、使用殺毒軟件進行計算機病毒查殺、不得使用各類移動存儲設備在互聯(lián)網(wǎng)和內網(wǎng)之間傳播不安全程序��、文件等等����;對相關的技術管理人員進行技能培訓����,對于重要數(shù)據(jù)一定要做好數(shù)據(jù)備份,否則會導致災難性的后果。
2�����、網(wǎng)絡行為規(guī)范化管理
網(wǎng)絡行為的根本立足點����,不是對設備的保護,也不是對數(shù)據(jù)的看守�����,而是規(guī)范企業(yè)員工網(wǎng)絡行為��,這已經(jīng)上升到了對人的管理的階段�����。要實現(xiàn)網(wǎng)絡行為規(guī)范化管理���,可考慮使用網(wǎng)絡操作行為管理軟件產品�,通過計算機軟件管理�����,可以對內部“人”的行為進行細致、有效的管理��,為員工劃清安全的道路���,封閉可能帶來安全隱患的渠道��,讓人的行為可控����,從而實現(xiàn)更加安全的目標���。
3����、要在網(wǎng)絡信息安全上投入足夠資金
要確保足夠資金投資于IT系統(tǒng)的安全項目��。例如防病毒軟件����、防火墻服務器、加密軟件�����、入侵檢測系統(tǒng)����、集中安全管理、網(wǎng)絡操作行為管理軟件等產品��。決策者有時會對網(wǎng)絡信息安全工作不夠重視�。實際上,至關重要的計算機設施出現(xiàn)安全問題造成嚴重損害的故障只是個時間問題��。對于網(wǎng)絡安全�,生于憂患,死于安樂的意識并不是傳說中的事情�,
總之,計算機網(wǎng)絡信息安全要靠技術��,更要靠管理�,要把技術和管理相結合,要以人為本��,提高安全意識����,才能真正增強網(wǎng)絡信息安全的保障。
參考文獻:
(1) 周仲義���、《信息化建設》期刊��、2003年10月
