計算機(jī)信息系統(tǒng)應(yīng)用的安全策略探討

苗欣欣

摘 要：信息系統(tǒng)的安全性日益重要，通過信息系統(tǒng)的安全因素、安全隱患、安全機(jī)制得出構(gòu)筑信息系統(tǒng)安全性需要解決的問題，并對信息系統(tǒng)中應(yīng)用的計算機(jī)信息安全的相關(guān)技術(shù)及策略進(jìn)行探討。

關(guān)鍵詞：計算機(jī) 信息系統(tǒng) 安全防火墻

計算機(jī)科學(xué)與技術(shù)的不斷發(fā)展和計算機(jī)的廣泛運(yùn)用，促進(jìn)了社會的進(jìn)步和繁榮，給人類創(chuàng)造了巨大的財富。尤其是計算機(jī)網(wǎng)絡(luò)的發(fā)展，使信息共享廣泛用于金融、貿(mào)易、商業(yè)、企業(yè)、教育等各個領(lǐng)域。由于信息在網(wǎng)絡(luò)上存儲、共享和傳輸會被非法竊聽、截取、篡改或破壞而導(dǎo)致不可估量的損失，相應(yīng)的不可避免帶來了系統(tǒng)的脆弱性，使其面臨嚴(yán)重的安全問題。

一、計算機(jī)信息系統(tǒng)安全的重要性

計算機(jī)信息系統(tǒng)安全是指組成計算機(jī)信息系統(tǒng)的硬件、軟件及數(shù)據(jù)能受到保護(hù)，不會因偶然或惡意的原因遭到破壞、更改或泄露，能保證系統(tǒng)安全、連續(xù)、正常運(yùn)行。。計算機(jī)信息系統(tǒng)在運(yùn)行操作、管理控制、經(jīng)營管理計劃、戰(zhàn)略決策等社會經(jīng)濟(jì)活動各個層面的應(yīng)用范圍不斷擴(kuò)大，發(fā)揮著越來越大的作用。信息系統(tǒng)中處理和存儲的，既有日常業(yè)務(wù)處理信息、技術(shù)經(jīng)濟(jì)信息，也有涉及企業(yè)或政府高層計劃、決策信息，其中相當(dāng)部分是屬于極為重要并有保密要求的。信息系統(tǒng)的任何破壞或故障，都將對用戶以至整個社會產(chǎn)生巨大的影響。信息系統(tǒng)安全上的脆弱性表現(xiàn)得越來越明顯，信息系統(tǒng)的安全日顯重要。

二、計算機(jī)信息系統(tǒng)面臨的威脅

由于計算機(jī)信息有共享性和易于擴(kuò)散等特性，它在處理、存儲、傳輸和使用上有著嚴(yán)重的脆弱性，很容易被干擾、濫用和丟失，甚至被泄露、竊取、篡改、冒充和破壞，又有可能受到計算機(jī)病毒的感染，人們對威脅計算機(jī)信息系統(tǒng)安全形式的分類也日益復(fù)雜和困難。具體來說，信息系統(tǒng)正面臨來自用戶或某些程序的如下威脅：

1）非授權(quán)存?。焊`取用戶賬號、操作指令；避開訪問控制機(jī)制；身份攻擊；假冒：特洛伊木馬術(shù)，越權(quán)操作。

2）信息泄漏：計算機(jī)信息系統(tǒng)工作時所雜散輻射的電磁波、機(jī)械振動、聲音等信號被非法用戶截獲和收集，處理后復(fù)原原信息從而達(dá)到竊取信息的目的。

3）破壞系統(tǒng)功能，摧毀系統(tǒng)：定時炸彈；邏輯炸彈。

4）計算機(jī)病毒：利用網(wǎng)絡(luò)傳播病毒，對特定和非特定用戶實(shí)施攻擊。

5）干擾系統(tǒng)服務(wù)：攻擊服務(wù)程序，使系統(tǒng)癱瘓不能正常服務(wù)，改變服務(wù)程序；使系統(tǒng)服務(wù)響應(yīng)減慢：干擾服務(wù)流程，使合法用戶得不到正常服務(wù)。

三、信息系統(tǒng)安全性采取的措施

1、物理安全策略

物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊：驗(yàn)證用戶的身份和使用權(quán)限、防止用戶的越權(quán)操作。為保障整個系統(tǒng)功能的安全實(shí)現(xiàn)，需要一套行之有效的安全措施，來保護(hù)信息處理過程的安全，其中包括：風(fēng)險分析、審計跟蹤，備份恢復(fù)、應(yīng)急等，制定必要的、具有良好可操作性的規(guī)章制度，去進(jìn)行制約，是非常必要和重要的，而且是非常緊迫的。

2、信息安全措施

數(shù)據(jù)是信息的基礎(chǔ)，是企業(yè)的寶貴財富。信息管理的任務(wù)和目的是通過對數(shù)據(jù)采集、錄入、存儲、加工，傳遞等數(shù)據(jù)流動的各個環(huán)節(jié)進(jìn)行精心組織和嚴(yán)格控制，確保數(shù)據(jù)的準(zhǔn)確性、完整性、及時性，安全性，適用性和共享性。

1）內(nèi)部網(wǎng)絡(luò)安全：由于局域網(wǎng)采用以交換機(jī)為中心，路由器為邊界的網(wǎng)絡(luò)格局，又基于中心交換機(jī)的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來實(shí)現(xiàn)對局域網(wǎng)的安全控制，其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，這是一重要的措施。在集中式網(wǎng)絡(luò)環(huán)境下，可以將中心的所有主機(jī)系統(tǒng)集中到一個VLAN里，在這個VLAN里不允許任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。

2）廣義網(wǎng)絡(luò)的安全：由于廣域網(wǎng)采用公網(wǎng)來進(jìn)行數(shù)據(jù)傳輸，信息在廣域網(wǎng)上傳輸時被截取和利用就比局域網(wǎng)要大得多。因此，必須采取必要的手段，使得在廣域網(wǎng)上的信息傳輸是安全的。首先是運(yùn)用加密技術(shù)，不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)的數(shù)據(jù)加密來保障網(wǎng)絡(luò)的安全可靠性。其次是VPN（虛擬專網(wǎng)）技術(shù)的運(yùn)用。VPN技術(shù)的核心是采用隧道技術(shù)，將企業(yè)專用網(wǎng)的數(shù)據(jù)加密封裝后，透過虛擬的公網(wǎng)隧道進(jìn)行傳輸，從而防止敏感數(shù)據(jù)的被竊取。企業(yè)通過公網(wǎng)建立VPN，就如同通過自己的專用網(wǎng)建立內(nèi)部網(wǎng)一樣，享有較高的安全性、優(yōu)先性、可靠性和可管理性，而其建立周期、投入資金和維護(hù)費(fèi)用卻大大降低。

3）外網(wǎng)的安全

外網(wǎng)安全的威脅主要表現(xiàn)在：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等。針對外網(wǎng)的安全，主要有以下兩種措施：

a、防火墻技術(shù)。防火墻是一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機(jī)構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入。同時防火墻還可以限定內(nèi)外網(wǎng)通信主體和通信協(xié)議。目前防火墻有以下幾種：包過濾防火墻；雙宿主主機(jī)防火墻；屏蔽主機(jī)網(wǎng)關(guān)防火墻；屏蔽子網(wǎng)防火墻。

b、入侵檢測技術(shù)。入侵檢測是一種主動安全的保護(hù)技術(shù)，作為防火墻之后的第2道安全閘門，實(shí)時監(jiān)視網(wǎng)絡(luò)活動，并對數(shù)據(jù)進(jìn)行分析，以檢測發(fā)生和可能發(fā)生的攻擊，并對網(wǎng)絡(luò)行為進(jìn)行審計。從而擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

當(dāng)今社會信息化程度不斷提高，信息系統(tǒng)的安全與否已成為國家安全的重要因素。建立完善的信息系統(tǒng)安全管理體系已成為重中之重。信息系統(tǒng)既是一個技術(shù)系統(tǒng)，又是一個社會系統(tǒng)，現(xiàn)代信息系統(tǒng)的安全規(guī)劃和策略實(shí)施是一項(xiàng)復(fù)雜的系統(tǒng)工程。研究信息系統(tǒng)安全體系有助于構(gòu)筑合理的安全信息系統(tǒng)，在我國具有廣闊的發(fā)展前景。