信息安全發(fā)展現(xiàn)狀及防范策略

摘要：近兩年來，一系列網(wǎng)絡(luò)安全相關(guān)事件不斷發(fā)酵，如中央機關(guān)禁用Win8、網(wǎng)絡(luò)安全審查制度將出臺、銀行或棄用IBM服務(wù)器等，網(wǎng)絡(luò)信息安全受關(guān)注程度與日俱增。本文基于網(wǎng)絡(luò)信息安全的基本概念，分析當前信息安全發(fā)展現(xiàn)狀，從信息安全技術(shù)層面提出信息安全問題防范策略，旨在構(gòu)建信息安全防護機制，確保網(wǎng)絡(luò)信息技術(shù)健康有序地發(fā)展。

關(guān)鍵詞：信息安全 ?發(fā)展現(xiàn)狀 ?防范策略

1 信息安全基本概念

按照國外的理論，信息安全是使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少商務(wù)損失，擴大投資和商務(wù)回報，涉及的是機密性、完整性、可用性。而國內(nèi)學術(shù)界則是將信息安全保密內(nèi)容細分為實體安全、運行安全、數(shù)據(jù)安全和管理安全四個方面。總體來講，信息安全就是對信息的機密性、完整性、可用性的保護。

2 信息安全發(fā)展現(xiàn)狀

當前，全球的互聯(lián)網(wǎng)正在掀起新一輪的創(chuàng)新和變革的浪潮，移動互聯(lián)網(wǎng)、智能終端、大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等技術(shù)研發(fā)和產(chǎn)業(yè)化都取得了重大突破。信息產(chǎn)業(yè)垂直整合和跨界融合的趨勢發(fā)展更加明顯，并且正以前所未有的廣度和深度推動了生產(chǎn)方式、發(fā)展模式的深刻變化。

歷經(jīng)20年的發(fā)展，中國網(wǎng)民規(guī)模達到6.32億，中國以令人驚嘆的速度發(fā)展成為互聯(lián)網(wǎng)大國。與此同時，我國也成為了網(wǎng)絡(luò)攻擊的主要受害國之一，多數(shù)核心技術(shù)仍然依賴海外，政府部門、重要行業(yè)的服務(wù)器和存儲設(shè)備、操作系統(tǒng)以及數(shù)據(jù)庫主要是國外的專利，在網(wǎng)絡(luò)信息安全上存在一定安全隱患。國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的報告顯示，針對我國互聯(lián)網(wǎng)站的篡改、后門攻擊事件數(shù)量呈現(xiàn)逐年上升的趨勢，其中政府網(wǎng)站已成為重要的被攻擊目標。大多數(shù)網(wǎng)絡(luò)安全威脅都是由網(wǎng)絡(luò)信息系統(tǒng)，特別是應(yīng)用系統(tǒng)中所存在的安全漏洞誘發(fā)的，網(wǎng)絡(luò)與信息安全的問題復(fù)雜性、危害性進一步顯現(xiàn)，已經(jīng)成為事關(guān)國家的政治安全、經(jīng)濟安全、社會安全、文化安全和國防安全的重大問題，并且已引起了各方的廣泛關(guān)注。

3 信息安全問題防范策略

信息安全技術(shù)是指在信息系統(tǒng)的物理層、運行層，以及對信息自身的保護（數(shù)據(jù)層）及攻擊（內(nèi)容層）的層面上，所反映出的對信息自身與信息系統(tǒng)在可用性、機密性與真實性方面的保護與攻擊的技術(shù)。網(wǎng)絡(luò)信息安全技術(shù)包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、智能卡技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）、操作系統(tǒng)安全內(nèi)核技術(shù)、入侵檢測技術(shù)、安全漏洞掃描技術(shù)、隔離技術(shù)、VPN技術(shù)、PKI/CA技術(shù)。其中，較為常見的是防火墻技術(shù)和安全漏洞掃描技術(shù)。

3.1 防火墻技術(shù) 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。從邏輯層面來分析，防火墻在網(wǎng)絡(luò)系統(tǒng)中所扮演的角色其實是分離器、限制器，同時也是分析器。內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間的活動主要通過防火墻來限制，目的是提高內(nèi)部網(wǎng)絡(luò)的安全系數(shù)。防火墻技術(shù)有分組過濾、應(yīng)用代理和復(fù)合型防火墻之分。

3.1.1 分組過濾。分組過濾（Packet filtering）主要應(yīng)用于網(wǎng)絡(luò)層與傳輸層。在數(shù)據(jù)包通過權(quán)限上，它主要基于分組包頭源地址，目的地址和端口號、協(xié)議類型等標志進行判定。不符合過濾邏輯的數(shù)據(jù)包在數(shù)據(jù)流中丟失，符合過濾邏輯的數(shù)據(jù)包會通過分組過濾轉(zhuǎn)發(fā)至目的地出口端。

分組過濾或包過濾是一種通用且造價低的安全模式。目前市場上大多數(shù)路由器均有分組過濾功能，網(wǎng)絡(luò)服務(wù)模式大眾化，而非針對個別網(wǎng)絡(luò)服務(wù)實行個性化處理方式，但是能夠為企業(yè)信息安全提供有效的保障。

包過濾主要應(yīng)用于網(wǎng)絡(luò)層和傳輸層，無關(guān)應(yīng)用層，因而無需對客戶機及主機上的應(yīng)用程序進行修改。但是包過濾的過濾范圍僅限于網(wǎng)絡(luò)層與傳輸層，無法滿足更高級別的安全防護需求。大多數(shù)過濾器的過濾規(guī)則數(shù)目有限。規(guī)則數(shù)目越多，過濾性能會有所下降。在上下文關(guān)聯(lián)信息缺失的前提下無法對UDP、RPC一類的協(xié)議進行有效過濾。除此之外，常見的過濾器的管理方式及用戶截面較差，且均為設(shè)置審計或預(yù)警機制。因此，需要安全管理員具備較高的職業(yè)素養(yǎng)。應(yīng)該全面理解協(xié)議本身及其在應(yīng)用程序中的作用。因此，防火墻系統(tǒng)一般由過濾器和應(yīng)用網(wǎng)關(guān)共同建構(gòu)。

3.1.2 應(yīng)用代理。應(yīng)用代理即上文提到的應(yīng)用網(wǎng)關(guān)。它具體應(yīng)用于應(yīng)用層。應(yīng)用網(wǎng)關(guān)可以徹底阻隔網(wǎng)絡(luò)通信流，針對應(yīng)用服務(wù)編制相應(yīng)的應(yīng)用程序，以便對應(yīng)用層通信流進行監(jiān)控。現(xiàn)實條件下，一般由專業(yè)工作站來構(gòu)建應(yīng)用網(wǎng)關(guān)。

在內(nèi)網(wǎng)與外部網(wǎng)絡(luò)之間建立應(yīng)用代理型防火墻，可以有效監(jiān)控并隔離應(yīng)用層通信流。OSI模型最高層是該防火墻的應(yīng)用平臺，應(yīng)用系統(tǒng)用作安全決策的全部信息均由它掌管。

3.1.3 復(fù)合型防火墻。復(fù)合型防火墻由包過濾模式與應(yīng)用代理模式共同組成。這類防火墻能夠滿足更高級別的信息安全需求。兩種模式主要通過以下兩種途徑聯(lián)合應(yīng)用。

①屏蔽主機防火墻體系結(jié)構(gòu)：分組過濾路由器或防火墻與互聯(lián)網(wǎng)連接，內(nèi)網(wǎng)裝配一堡壘機，在分組過濾路由器或防火墻上設(shè)置過濾規(guī)則，使堡壘機成為互聯(lián)網(wǎng)上其它節(jié)點所能到達的唯一節(jié)點，可有效避免內(nèi)網(wǎng)受到未經(jīng)授權(quán)的外部用戶的攻擊。

②屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：在一子網(wǎng)內(nèi)配設(shè)堡壘機，形成非軍事化區(qū)，繼而分別在子網(wǎng)兩端布設(shè)兩個分組過濾路由器，使這一子網(wǎng)與互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。

3.2 安全漏洞掃描技術(shù) 漏洞掃描器能夠?qū)h程及本地主機的安全性弱點進行自動檢測。通過使用漏洞掃描器，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的Web服務(wù)器的各種TCP端口的分配、提供的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上的安全漏洞。從而在計算機網(wǎng)絡(luò)系統(tǒng)安全保衛(wèi)戰(zhàn)中做到“有的放矢”，及時修補漏洞，構(gòu)筑堅固的安全長城。

4 未來信息安全技術(shù)發(fā)展四大趨勢

沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。隨著人類步入了網(wǎng)絡(luò)時代，幾乎所有的事物都可以信息化和數(shù)據(jù)化，同時由于信息技術(shù)的高速發(fā)展和網(wǎng)絡(luò)的大范圍普及，如何能在互聯(lián)網(wǎng)普及的時代對信息系統(tǒng)安全和數(shù)據(jù)安全進行更好地管理，一直是業(yè)內(nèi)思考和探討的問題。

4.1 信息安全技術(shù)趨勢 從技術(shù)趨勢上，隨著云計算與虛擬化的普及，更隱私的個人數(shù)據(jù)和商業(yè)機密信息將被儲存至云端，云計算的發(fā)展致使企業(yè)的安全邊界逐漸模糊并最終消失。未來，隨著各種網(wǎng)絡(luò)等新型技術(shù)的大規(guī)模應(yīng)用，將產(chǎn)生海量的、多樣性的大數(shù)據(jù)，安全與隱私問題將是制約大數(shù)據(jù)發(fā)展的關(guān)鍵問題之一。

4.2 構(gòu)建信息安全防控體系 目前，我國基礎(chǔ)的芯片、操作系統(tǒng)、數(shù)據(jù)庫對外依賴度很高，這在短期內(nèi)不會有大的改變;在這種情況下，我們更需要在信息安全管理體系方面做好把關(guān)，在可控可彌補的地方做好安全防范，在此基礎(chǔ)上，國內(nèi)安全廠商應(yīng)主動挖掘問題，發(fā)現(xiàn)問題，解決問題。應(yīng)該抓住XP停止服務(wù)帶來的重要發(fā)展契機，以自主可控的數(shù)據(jù)與系統(tǒng)安全防護舉措，來保障終端的數(shù)據(jù)安全及系統(tǒng)的平穩(wěn)運行。

4.3 加強新技術(shù)、新業(yè)務(wù)網(wǎng)絡(luò)安全管理 未來社會，我國將加強對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)以及下一代互聯(lián)網(wǎng)新技術(shù)、新業(yè)務(wù)網(wǎng)絡(luò)安全的跟蹤研究，加快推進相關(guān)網(wǎng)絡(luò)安全標準研制。涉及提供公共電信和互聯(lián)網(wǎng)服務(wù)的基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)，都將納入工信部網(wǎng)絡(luò)安全防護管理體系進行監(jiān)管。

4.4 強化網(wǎng)絡(luò)安全技術(shù)能力和手段建設(shè) 網(wǎng)絡(luò)安全工作技術(shù)性很強，離不開強有力的技術(shù)和手段支持。在未來兩三年，漏洞依然是互聯(lián)網(wǎng)最主要的威脅，傳統(tǒng)的安全防御思想在今天遇到了挑戰(zhàn)。邊界防御效果大打折扣，需要云+端+邊界立體防御：建立私有云，強化終端和網(wǎng)絡(luò)的安全。在網(wǎng)絡(luò)信息發(fā)展的未來階段，要大力開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警、漏洞挖掘、代碼分析、檢測評估和溯源取證技術(shù)研究，指導(dǎo)督促企業(yè)建立和完善自身網(wǎng)絡(luò)安全分戶技術(shù)手段，健全基于木馬病毒、移動惡意程序等的監(jiān)測、分析與處置手段，積極研究利用云計算、大數(shù)據(jù)等新技術(shù)提高網(wǎng)絡(luò)安全監(jiān)測預(yù)警能力，促進企業(yè)技術(shù)手段與行業(yè)主管部門技術(shù)手段對接，制定接口標準規(guī)范，實現(xiàn)監(jiān)測數(shù)據(jù)共享。

5 結(jié)束語

關(guān)注信息技術(shù)安全對于網(wǎng)絡(luò)信息技術(shù)的未來發(fā)展至關(guān)重要。筆者建議，要建立和落實網(wǎng)絡(luò)與信息安全管理制度，以提升網(wǎng)絡(luò)安全保障能力為主線，以完善網(wǎng)絡(luò)安全保障體系為目標，著力提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)安全防護水平，增強網(wǎng)絡(luò)安全技術(shù)能力，強化網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護，推進安全可控關(guān)鍵軟硬件應(yīng)用，為維護國家安全、促進經(jīng)濟發(fā)展、保護人民群眾利益和建設(shè)網(wǎng)絡(luò)強國發(fā)揮積極作用。

參考文獻：

[1]田松.網(wǎng)絡(luò)信息安全存在的問題及對策研究[D].燕山大學， 2012.

[2]陳晨.信息時代的安全危機[J].中小企業(yè)管理與科技（下旬刊），2011（07）.

[3]劉紹忠.網(wǎng)絡(luò)信息安全隱患與技術(shù)防范淺議[J].中小企業(yè)管理與科技（上旬刊），2011（07）.

[4]劉秀彬.淺談計算機網(wǎng)絡(luò)信息安全管理[J].價值工程，2010（12）.

作者簡介：張振寰（1982-），男，湖北武漢人，講師。