序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇信息安全范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關(guān)鍵詞：信息；信息安全； 防范策略

中圖分類號(hào)：G353.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2012) 10-0000-02

21世紀(jì)信息技術(shù)飛速發(fā)展，在社會(huì)發(fā)展中信息越來越重要，國家的政府、軍事、文教等諸多領(lǐng)域都與信息有關(guān)。如果信息的安全時(shí)常受到威脅，則會(huì)影響到國家各部門的日?；顒?dòng)。因此，信息的安全與防范非常重要。本文針對(duì)信息的安全問題進(jìn)行分析，并提出了相應(yīng)出的安全防護(hù)策略。

一、信息安全威脅

信息已經(jīng)成為社會(huì)健康發(fā)展的重要保證，然而很多信息被人為篡改，竊取，泄露。信息載體還要經(jīng)受不可抗拒的自然災(zāi)害的威脅。而人為的威脅是最大的威脅。

隨著0Day 漏洞的增加和第三方軟件漏洞將常被黑客利用，黑客經(jīng)常用第三方軟件的漏洞進(jìn)行攻擊系統(tǒng)。隨著無線技術(shù)的推廣和普及，黑客也針對(duì)無線進(jìn)行攻擊，因此在網(wǎng)絡(luò)上出現(xiàn)很多無線的破解技術(shù)，這樣攻擊者可以輕易地攻擊網(wǎng)絡(luò)，這樣對(duì)用戶的安全帶來很大的威脅。為了欺騙用戶，攻擊者還制造或編寫虛假的網(wǎng)站，即就是釣魚網(wǎng)，攻擊者利用釣魚偽造電子郵件或網(wǎng)站點(diǎn)等對(duì)用戶進(jìn)行“攻擊”，因此用戶的信息由此而被泄漏出去。

計(jì)算機(jī)病毒以破壞程序等為目標(biāo)。病毒主要是對(duì)用戶的文件或相關(guān)程序進(jìn)行破壞，對(duì)系統(tǒng)和用戶資料威脅非常大。很多攻擊者利用網(wǎng)絡(luò)的相關(guān)工具如電子郵件等添加到文件或程序，因此有些用戶打開郵件都會(huì)被感染上病毒，這樣用戶的相關(guān)資料會(huì)受到不同程度的破壞。

除此外攻擊者通過不正當(dāng)入侵手段向合法網(wǎng)站輸入非法的數(shù)據(jù)，數(shù)據(jù)量非常大，從而多出的數(shù)據(jù)會(huì)傳入到其他領(lǐng)域。如果對(duì)程序執(zhí)行不當(dāng)，那么相關(guān)程序和系統(tǒng)的設(shè)置會(huì)受到限制。

二、影響信息安全因素

信息載體與周邊環(huán)境的安全會(huì)影響到信息本身的安全。信息存儲(chǔ)場屏蔽處理不好，磁鼓、磁帶與高輻射設(shè)備等的信號(hào)外泄。信息處理和管理設(shè)置的電源系統(tǒng)不穩(wěn)定，則用于存儲(chǔ)數(shù)據(jù)的設(shè)置會(huì)受到影響，特別是臨時(shí)性的RAM存儲(chǔ)器的數(shù)據(jù)會(huì)丟失，信息本身就無法得到保障。除此外硬件故障，特別是存儲(chǔ)信息的內(nèi)存、硬盤等計(jì)算機(jī)部件的故障出現(xiàn)影響信息存儲(chǔ)和處理。

人的主觀性也是威脅的主要因素，特別是信息系統(tǒng)的操作人員，如果其故意篡改數(shù)據(jù)或沒有按規(guī)定進(jìn)行操作程序，其信息就沒有可靠性。如果系統(tǒng)等出現(xiàn)故障則不能正確保存數(shù)據(jù)，這樣數(shù)據(jù)會(huì)丟失。信息設(shè)計(jì)人員或系統(tǒng)設(shè)計(jì)人員以對(duì)系統(tǒng)設(shè)計(jì)或?qū)?shù)據(jù)設(shè)計(jì)考慮不全面，這樣沒辦法在處理或傳輸中保證數(shù)據(jù)的完整，因此攻擊者就可以利用系統(tǒng)的漏洞進(jìn)行攻擊，摧毀系統(tǒng)的數(shù)據(jù)等。網(wǎng)絡(luò)信息或數(shù)據(jù)傳輸往往受到通訊設(shè)備的影響，通訊設(shè)備的安全設(shè)計(jì)不全也會(huì)造成數(shù)據(jù)的丟失或損壞。同是攻擊者可利用這些不員以假冒、身份攻擊等對(duì)系統(tǒng)進(jìn)行非法操作或操控。

考慮周全只是對(duì)現(xiàn)有的條件，對(duì)將來的考慮往往沒法預(yù)設(shè)，因此新的系統(tǒng)出現(xiàn)，本身就有漏洞。而攻擊者也容易找出漏洞。大部分系統(tǒng)都配備的改進(jìn)系統(tǒng)管理及服務(wù)質(zhì)量的工具軟件被破壞者利用，去收集非法信息及加強(qiáng)攻擊力度。系統(tǒng)維護(hù)不正當(dāng)?shù)牟僮骱凸芾淼谋旧聿蛔阋矔?huì)對(duì)信息或數(shù)據(jù)產(chǎn)生威脅。因此作為管理人員必須對(duì)新系統(tǒng)進(jìn)行分析，特別是對(duì)其漏洞危險(xiǎn)進(jìn)行分析并提出相關(guān)措施。管理人員的設(shè)計(jì)和檢測能力差沒辦法設(shè)計(jì)好的系統(tǒng)，也就沒辦法對(duì)系統(tǒng)中的數(shù)據(jù)進(jìn)行有效的保護(hù)，因?yàn)橄到y(tǒng)不能抵御復(fù)雜的攻擊。建立和實(shí)施嚴(yán)密的安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

三、信息安全防范策略

保證數(shù)據(jù)或信息安全可以使用技術(shù)，僅靠技術(shù)不能完全保證數(shù)據(jù)的安全，同時(shí)還需要嚴(yán)格的管理，制定相關(guān)法律，利用法律進(jìn)行約束，還有對(duì)員工進(jìn)行安全教育。采取恰當(dāng)?shù)姆雷o(hù)措施也能有效保護(hù)信息的安全。

（一）從技術(shù)層面進(jìn)行防護(hù)

1.數(shù)據(jù)加密?？梢杂眉用芗夹g(shù)對(duì)信息進(jìn)行加密以保護(hù)信息，如用MD5等加密技術(shù)，這樣攻擊不能輕易看到數(shù)據(jù)，加密的作用就是讓數(shù)據(jù)隱藏，這樣更好的保護(hù)數(shù)據(jù)。MD5是一種散列函數(shù)，主要是用來保護(hù)信息的完整性。在登錄認(rèn)證中MD5運(yùn)動(dòng)得比較多，用戶在登錄系統(tǒng)或平臺(tái)時(shí)的用戶名和密碼等運(yùn)動(dòng)MD5加密，然后將加密后的結(jié)果存在相應(yīng)的數(shù)據(jù)庫。其原理就是用戶登錄后平臺(tái)或系統(tǒng)會(huì)被MD5加密運(yùn)算。如果運(yùn)算得出的值與數(shù)據(jù)庫存在的值正確則可直接進(jìn)入系統(tǒng)。這樣避免操具有管理權(quán)限的人員知道從而保證信息的安全。為加強(qiáng)數(shù)據(jù)的安全性，可以對(duì)MD5進(jìn)行改進(jìn)，比如可以運(yùn)MD5進(jìn)行兩次加密改進(jìn)了單次加密的不安全性?？傊用芸筛鶕?jù)情況采用對(duì)稱加密和非對(duì)稱加密，更好的保護(hù)數(shù)據(jù)。

2.數(shù)字簽名，數(shù)字簽名主要是用來簽名和驗(yàn)證。其運(yùn)算主要運(yùn)用了HASH函數(shù)從而更好的鑒別解決偽造、抵賴、冒充和篡改等問題。簽名技術(shù)可以有效的防止抵賴，在網(wǎng)絡(luò)中進(jìn)行商務(wù)活動(dòng)，即就是開展電子商務(wù)活動(dòng)等，在活動(dòng)中汲及到的數(shù)據(jù)是非常重要。大部分?jǐn)?shù)據(jù)是商業(yè)機(jī)密，對(duì)買賣雙方來講非常重要。如果數(shù)據(jù)被篡改，對(duì)買賣雙方會(huì)產(chǎn)生巨大的損失。因此采用數(shù)字簽名可有效防止攻擊者的篡改而產(chǎn)生抵賴，同時(shí)也可以保證數(shù)據(jù)的安全和完整。

3.用戶身份認(rèn)證就是對(duì)用戶身份進(jìn)行驗(yàn)證。用戶訪問服務(wù)器時(shí)，必須提供合法的身份證明，這樣服務(wù)器才給與相關(guān)的操作權(quán)限。用戶要存取等操作數(shù)據(jù)必須提供有效的標(biāo)記，以方便服務(wù)器驗(yàn)證?？梢允褂眉用芗夹g(shù)、人體等器官或生理特征進(jìn)行認(rèn)證，大部分可以用數(shù)字簽名技術(shù)進(jìn)行認(rèn)證。雙方互相認(rèn)證，這樣可以保證數(shù)據(jù)的真實(shí)性。

篇(2)

操作系統(tǒng)多樣性讓網(wǎng)絡(luò)犯罪者擁有更多機(jī)會(huì)

2011年將是非主流操作系統(tǒng)、程序與瀏覽器的漏洞遭受更多攻擊的一年，而針對(duì)應(yīng)用程序漏洞的攻擊也將大幅增長。云端計(jì)算和虛擬化雖然能為企業(yè)帶來大量的投資回報(bào)且節(jié)省成本，但也將服務(wù)器置于傳統(tǒng)的安全邊界之外，因此反而讓網(wǎng)絡(luò)犯罪者擁有更大的發(fā)揮空間，同時(shí)也會(huì)加重云端服務(wù)供應(yīng)商的信息安全責(zé)任。

趨勢科技公司預(yù)測2011年將出現(xiàn)更多針對(duì)云端基礎(chǔ)架構(gòu)與虛擬化系統(tǒng)的概念驗(yàn)證攻擊。此外，網(wǎng)絡(luò)犯罪者已發(fā)現(xiàn)終端桌面操作系統(tǒng)的同質(zhì)性已被逐漸打破，因此網(wǎng)絡(luò)犯罪者將轉(zhuǎn)攻擁有大量同質(zhì)性的云端，開始嘗試如何滲透云端。而有些比較版本較早但仍被廣泛使用的操作系統(tǒng)（如：Windows? 2000/Windows? XP SP2）存在諸多無法修補(bǔ)的漏洞。由此，針對(duì)這些漏洞的攻擊仍將持續(xù)增長。

社會(huì)工程學(xué)攻擊仍將肆虐

社會(huì)工程學(xué)仍將持續(xù)在威脅傳播方面扮演重要角色。趨勢科技公司認(rèn)為，傳統(tǒng)網(wǎng)站遭到滲透的情況在2011年將會(huì)減少，取而代之的是，網(wǎng)絡(luò)犯罪者將發(fā)動(dòng)一波又一波的惡意程序攻擊，利用精心設(shè)計(jì)的電子郵件來誘騙使用者點(diǎn)擊惡意鏈接，進(jìn)而導(dǎo)致使用者感染惡意程序下載器。這些惡意程序下載器會(huì)隨機(jī)產(chǎn)生一些二進(jìn)制惡意程序來躲避檢測，如Conficker和ZeuS-LICAT就是利用這種手法。

由于網(wǎng)絡(luò)上已經(jīng)出現(xiàn)一些連菜鳥都會(huì)使用的網(wǎng)絡(luò)犯罪工具，因此中小企業(yè)也開始成為網(wǎng)絡(luò)犯罪者的攻擊目標(biāo)。在2010年，隨著地下犯罪工具使用率暴增，特定類型的企業(yè)組織很容易成為黑客的目標(biāo)，例如：ZeuS在2010年就專門鎖定小型企業(yè)進(jìn)行攻擊。預(yù)計(jì)未來，專門鎖定知名大型企業(yè)與關(guān)鍵基礎(chǔ)設(shè)施的攻擊，在數(shù)量與復(fù)雜度方面都將持續(xù)攀升。此外，2011年也很可能出現(xiàn)更多針對(duì)信息安全廠商品牌的攻擊行為，用以制造用戶的認(rèn)知混淆與不安情緒。 趨勢科技對(duì)2011年以及未來網(wǎng)絡(luò)威脅的預(yù)測：

經(jīng)濟(jì)利益仍是一切攻擊行為的誘因，網(wǎng)絡(luò)犯罪不可能消失；

越來越多的惡意程序會(huì)在攻擊時(shí)盜用或使用合法的數(shù)字簽名以躲避檢測；

隨著全球?qū)W(wǎng)絡(luò)犯罪認(rèn)識(shí)的提升，未來將有更多地下犯罪組織合并或聯(lián)合行動(dòng)；

信息安全廠商將再也無法在終端電腦上存儲(chǔ)威脅或病毒特征碼，因此某些廠商可能將面臨困境。為解決此問題，他們可能會(huì)刪除一些舊的特征碼來尋求解決方案，但這樣反而無法阻止舊的惡意程序發(fā)作；

篇(3)

信息安全自主可控的涵義是:信息安全領(lǐng)域的技術(shù)和產(chǎn)品,能自主的就要盡最大可能實(shí)現(xiàn)自主;不能自主的,必須保證它是可控可知的,即要對(duì)信息安全技術(shù)與產(chǎn)品的風(fēng)險(xiǎn)、隱患、漏洞、潛在問題做到“心中有底、手中有招、控制有道”。 目前,煙草行業(yè)的核心應(yīng)用系統(tǒng)(如“一號(hào)工程”、卷煙營銷、專賣管理、財(cái)務(wù)管理系統(tǒng)、人力資源系統(tǒng)等)的軟、硬件設(shè)備幾乎全套采用了國外主流、成熟的產(chǎn)品技術(shù),從整體上來說,行業(yè)信息化核心應(yīng)用基礎(chǔ)設(shè)施的選型、配置起點(diǎn)較高,但從另一方面講,信息安全系統(tǒng)的可控性、可知性、可預(yù)防性水平較低。不可否認(rèn),國內(nèi)當(dāng)前的采購政策、市場環(huán)境、IT發(fā)展現(xiàn)狀等因素在一定程度上制約了自主知識(shí)產(chǎn)權(quán)的IT產(chǎn)品技術(shù)進(jìn)入高端、核心設(shè)備的市場采購范圍,但這絕不僅僅是一個(gè)技術(shù)問題,還有更深層次的長遠(yuǎn)戰(zhàn)略、規(guī)劃管理問題。

信息安全

自主可控的意義

在煙草行業(yè)大力推行信息安全自主可控,具有以下重要意義:

1. 可避免分發(fā)式安全威脅。

IT產(chǎn)品的整個(gè)生命周期包括研發(fā)、設(shè)計(jì)、制造、銷售、安裝、維護(hù)、升級(jí)等過程,如果有人在其中任何一個(gè)環(huán)節(jié)上植入惡意代碼、開通惡意后門、加入隱蔽指令等,都將給信息系統(tǒng)造成一定安全隱患,即IT產(chǎn)品的分發(fā)式安全威脅。非自主的IT產(chǎn)品存在分發(fā)式安全威脅的概率很大,這類威脅往往不易被用戶發(fā)覺,但卻可能給用戶造成重大的損失、破壞。對(duì)非自主的IT產(chǎn)品增強(qiáng)防范意識(shí)、加強(qiáng)控制管理、制訂風(fēng)險(xiǎn)應(yīng)對(duì)措施,可以大大避免分發(fā)式安全威脅。

2. 可封堵信息安全“漏洞”。

國外的IT廠商通常不會(huì)向中國用戶提供核心技術(shù)和專利,因此國內(nèi)用戶很難對(duì)設(shè)備的整體可信性、可靠性、可控性進(jìn)行全面檢測,分析判斷出設(shè)備中是否存在“后門”、“陷阱”、“漏洞”、“軟件炸彈”、“隱蔽指令”等安全威脅,一旦這些“漏洞”被利用,實(shí)施攻擊、入侵、修改、惡意破壞或者竊取機(jī)密數(shù)據(jù)信息,其后果不堪設(shè)想。據(jù)公安部有關(guān)資料顯示,近年來國內(nèi)大量網(wǎng)絡(luò)泄密案件、竊密案件、信息安全事件均與“漏洞”有關(guān)。實(shí)施信息安全系統(tǒng)自主可控,可以在一定程度上起到堵塞信息安全漏洞,防患于未然的效果。

3. 是行業(yè)信息化發(fā)展的長遠(yuǎn)戰(zhàn)略需要。

煙草行業(yè)核心應(yīng)用信息化硬件設(shè)施投資規(guī)模巨大,處于高位運(yùn)行狀態(tài),很多企業(yè)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)、服務(wù)系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)、安全支撐平臺(tái)基本上被國外產(chǎn)品壟斷,這些非自主IT產(chǎn)品本身封閉性強(qiáng)、操作復(fù)雜、技術(shù)資料短缺,國內(nèi)用戶很難定制二次研發(fā)或者組裝生產(chǎn)。煙草企業(yè)在高端IT產(chǎn)品采購上幾乎沒有可選擇的空間,對(duì)IBM、微軟、戴爾等IT巨頭的依賴程度過大,信息系統(tǒng)運(yùn)行后每年僅硬件維修保養(yǎng)一項(xiàng)就產(chǎn)生高額的附加成本費(fèi)用,這些都不利于煙草信息化的長遠(yuǎn)發(fā)展。信息化的平穩(wěn)健康發(fā)展需要一個(gè)廣闊、開放、成熟、多元化的產(chǎn)品市場空間,在允許的情況下實(shí)施信息安全自主可控可以降低信息系統(tǒng)設(shè)備采購、開發(fā)、運(yùn)維成本,滿足行業(yè)信息化發(fā)展的長遠(yuǎn)戰(zhàn)略需要。

四項(xiàng)措施

實(shí)踐自主可控

“自主可控”從概念上分析,首先是“自主”,而后才能達(dá)到真正“可控”,“自主”是“可控”的必要條件。自主化不能簡單地理解成國產(chǎn)化,目前很多產(chǎn)品的國產(chǎn)化還是停留在對(duì)國外核心技術(shù)進(jìn)行組裝式開發(fā)的基礎(chǔ)上,由于核心技術(shù)并不掌握在自己手中,因此這只能是一種準(zhǔn)自主化或偽自主化,仍然存在一定的不可控因素、安全隱患。要實(shí)現(xiàn)信息安全系統(tǒng)的自主可控,就必須要求信息安全產(chǎn)品真正自主化。從狹義上講,使用國產(chǎn)自主化的軟硬件產(chǎn)品、技術(shù)和服務(wù),是信息安全體系自主可控的基礎(chǔ);從廣義上講,自主可控應(yīng)該涵蓋信息化發(fā)展的全過程,各個(gè)環(huán)節(jié)都實(shí)現(xiàn)自主可控,這樣才能構(gòu)建完整的、自主可控的信息安全體系。具體來說,可以采取以下幾項(xiàng)措施:

1. 加強(qiáng)重視,應(yīng)用系統(tǒng)建設(shè)與信息安全建設(shè)并重。

我們迫切需要緊跟形勢、轉(zhuǎn)變觀念、與時(shí)俱進(jìn),加強(qiáng)對(duì)信息安全的重視支持,應(yīng)用系統(tǒng)建設(shè)與信息安全建設(shè)必須“兩手抓、兩手硬”,在信息化建設(shè)過程中,繼續(xù)堅(jiān)持應(yīng)用系統(tǒng)建設(shè)與信息安全建設(shè)同步規(guī)劃、同步實(shí)施、協(xié)調(diào)發(fā)展、均衡發(fā)展的原則,將信息系統(tǒng)安全體系建設(shè)融入到煙草信息化建設(shè)的全過程之中。

2. 加強(qiáng)政策引導(dǎo),為信息安全設(shè)備的采購提供政策導(dǎo)向、標(biāo)準(zhǔn)體系。

煙草行業(yè)迫切需要在信息安全設(shè)備、產(chǎn)品、服務(wù)的選型上遵循以下原則:

(1)對(duì)于信息安全設(shè)備、產(chǎn)品、技術(shù)、服務(wù)的選型,能自主的應(yīng)該自主,不能自主的必須實(shí)現(xiàn)可知、可控、可檢測;

(2)原則上使用國產(chǎn)設(shè)備,只有在無相應(yīng)國產(chǎn)設(shè)備時(shí)方可使用已通過國家相關(guān)主管部門批準(zhǔn)、指定、測評(píng)、鑒定、認(rèn)證的國外設(shè)備,絕不使用未經(jīng)國家相關(guān)主管部門測評(píng)審核通過的設(shè)備;

(3)煙草企業(yè)必須和非自主的廠商(國產(chǎn)、非國產(chǎn))簽署明確的安全保密責(zé)任書。

3. 加強(qiáng)管理監(jiān)控,有效治理分發(fā)式安全威脅,提高可控性。

以管理舉措為主,配合使用技術(shù)手段加強(qiáng)對(duì)非自主化信息安全產(chǎn)品的監(jiān)控,有效治理、檢測、評(píng)估分發(fā)式安全威脅,提高可控性。檢測、治理分發(fā)式安全威脅的技術(shù)手段主要可分為以下幾類:

(1)對(duì)信息系統(tǒng)使用、運(yùn)維過程中發(fā)現(xiàn)的漏洞要及時(shí)打好補(bǔ)丁,堵塞漏洞;

(2)“最小化配置”,即只啟用必需的進(jìn)程、端口、服務(wù)、應(yīng)用,其余的一律關(guān)閉;

(3)對(duì)信息安全產(chǎn)品定期做深度的安全檢測并作跟蹤記錄,不符合安全標(biāo)準(zhǔn)的產(chǎn)品堅(jiān)決不使用,不能做到可控的產(chǎn)品不部署到核心關(guān)鍵應(yīng)用場合;

(4)對(duì)于已經(jīng)在核心系統(tǒng)中使用的非自主產(chǎn)品,按要求進(jìn)行及時(shí)加固和系統(tǒng)升級(jí),對(duì)系統(tǒng)的運(yùn)行進(jìn)行嚴(yán)密的監(jiān)測,一旦發(fā)現(xiàn)異常行為應(yīng)立即采取對(duì)策處置;

(5)“人本理論”,信息安全產(chǎn)品最終還是要為人所用,因此必須加強(qiáng)各級(jí)使用人員、維護(hù)人員、管理人員的教育培訓(xùn),通過實(shí)施配套嚴(yán)格的管理制度,提高信息安全防范意識(shí),提升專業(yè)操作技能。

4. 加強(qiáng)自主研發(fā),提升信息化自主研發(fā)創(chuàng)新能力。

篇(4)

【關(guān)鍵詞】信息安全；數(shù)據(jù)庫；網(wǎng)絡(luò)應(yīng)用；安全體系

1信息安全現(xiàn)狀

1.1目前醫(yī)院信息安全存在的問題根據(jù)衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知，三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)不得低于國家安全信息保護(hù)等級(jí)三級(jí)。據(jù)此我們對(duì)信息系統(tǒng)的各個(gè)方面進(jìn)行了安全評(píng)估，發(fā)現(xiàn)主要有如下的問題：

（1）物理安全：機(jī)房管理混亂問題；機(jī)房場地效用不明確；機(jī)房人員訪問控制問題；

（2）網(wǎng)絡(luò)設(shè)備安全：訪問控制問題；網(wǎng)絡(luò)設(shè)備安全漏洞；設(shè)備配置安全；

（3）系統(tǒng)安全：補(bǔ)丁問題；運(yùn)行服務(wù)問題；安全策略問題；訪問控制問題；默認(rèn)共享問題；防病毒情況；

（4）數(shù)據(jù)安全：數(shù)據(jù)庫補(bǔ)丁問題；SQL數(shù)據(jù)庫默認(rèn)賬號(hào)問題；SQL數(shù)據(jù)庫弱口令問題；SQL數(shù)據(jù)庫默認(rèn)配置問題；（5）網(wǎng)絡(luò)區(qū)域安全：醫(yī)院內(nèi)網(wǎng)安全措施完善；醫(yī)院內(nèi)網(wǎng)的訪問控制問題；醫(yī)院內(nèi)外網(wǎng)互訪控制問題；

（6）安全管理：沒有建立安全管理組織；沒有制定總體的安全策略；沒有落實(shí)各個(gè)部門信息安全的責(zé)任人；缺少安全管理文檔。

1.2當(dāng)前醫(yī)院信息安全存在的問題，主要表現(xiàn)在如下的幾個(gè)方面

（1）機(jī)房所處環(huán)境不合格，場地效用不明確，人員訪問控制不足，管理混亂。

（2）在辦公外網(wǎng)中，醫(yī)院建立了基本的安全體系，但是還需要進(jìn)一步的完善，例如辦公外網(wǎng)總出口有單點(diǎn)故障的隱患、門戶網(wǎng)站有被撰改的隱患。

（3）在醫(yī)院內(nèi)網(wǎng)中，內(nèi)網(wǎng)與辦公外網(wǎng)之間沒有做訪問控制，存在蠕蟲病毒相互擴(kuò)散的可能。

（4）沒有成立安全應(yīng)急小組，雖然有相應(yīng)的應(yīng)急事件預(yù)案，但缺少安全預(yù)案的應(yīng)急演練；缺少安全事件應(yīng)急處理流程與規(guī)范，也沒有對(duì)安全事件的處理過程做記錄歸檔。

（5）沒有建立數(shù)據(jù)備份與恢復(fù)制度；缺少對(duì)備份的數(shù)據(jù)做恢復(fù)演練，保證備份數(shù)據(jù)的有效性和可用性，在出現(xiàn)數(shù)據(jù)故障的時(shí)候能夠及時(shí)的進(jìn)行恢復(fù)操作。

2醫(yī)院信息安全總體規(guī)劃

2.1設(shè)計(jì)目標(biāo)、依據(jù)及原則

2.1.1設(shè)計(jì)目標(biāo)

信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用，存儲(chǔ)著重要的數(shù)據(jù)資源，是醫(yī)院正常運(yùn)行必不可少的組成部分，所以必須從硬件設(shè)施、軟件系統(tǒng)、安全管理等方面，加強(qiáng)安全保障體系的建設(shè)，為醫(yī)院工作應(yīng)用提供安全可靠的運(yùn)行環(huán)境。

2.1.2設(shè)計(jì)依據(jù)

（1）《信息安全等級(jí)保護(hù)管理辦法》；

（2）《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》；

（3）《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》；

（4）《電子計(jì)算機(jī)場地通用規(guī)范》。

2.1.3設(shè)計(jì)原則

醫(yī)院信息安全系統(tǒng)在整體設(shè)計(jì)過程中應(yīng)遵循如下的原則：分級(jí)保護(hù)原則：以應(yīng)用為主導(dǎo)，科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全保護(hù)的安全等級(jí)，并依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理，保證服務(wù)的有效性和快捷性。最小特權(quán)原則：整個(gè)系統(tǒng)中的任何主體和客體不應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力。標(biāo)準(zhǔn)化與一致性原則：醫(yī)院信息系統(tǒng)是一個(gè)龐大的系統(tǒng)工程，其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)醫(yī)院信息系統(tǒng)安全地互聯(lián)互通、信息共享。多重保護(hù)原則：任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層被攻破時(shí)，其他層仍可保護(hù)系統(tǒng)的安全。易操作性原則：安全措施需要人去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。適應(yīng)性及靈活性原則：安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。

2.2總體信息安全規(guī)劃方案

2.2.1基礎(chǔ)保障體系

建設(shè)信息安全基礎(chǔ)保障體系，是一項(xiàng)復(fù)雜的、綜合的系統(tǒng)工程，是堅(jiān)持積極防御、綜合防范方針的具體體現(xiàn)。目前醫(yī)院基礎(chǔ)保障體系已經(jīng)初具規(guī)模，但是還存在個(gè)別問題，需要進(jìn)一步的完善。

2.2.2監(jiān)控審計(jì)體系

監(jiān)控審計(jì)體系設(shè)計(jì)的實(shí)現(xiàn)，能完成對(duì)醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控。通過此體系監(jiān)控到的數(shù)據(jù)能對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等有較全面的了解。

2.2.3應(yīng)急響應(yīng)體系

應(yīng)急響應(yīng)體系的主要功能是采取足夠的主動(dòng)措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個(gè)系統(tǒng)或整個(gè)網(wǎng)絡(luò)的可用性，完整性、數(shù)據(jù)的保密性。引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決，以避免加重整個(gè)醫(yī)院信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

2.2.4災(zāi)難備份與恢復(fù)體系

為了保證醫(yī)院信息系統(tǒng)的正常運(yùn)行，抵抗包括地震、火災(zāi)、水災(zāi)等自然災(zāi)難，以及戰(zhàn)爭、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障和人為破壞等無法預(yù)料的突發(fā)事件造成的損害，應(yīng)該建立一個(gè)災(zāi)難備份與恢復(fù)體系。在這個(gè)體系里主要包括下面三個(gè)部分：政務(wù)內(nèi)網(wǎng)線路的冗余備份、主機(jī)服務(wù)器的系統(tǒng)備份與恢復(fù)、數(shù)據(jù)庫系統(tǒng)的備份與恢復(fù)。

3結(jié)論

通過對(duì)醫(yī)院的信息安全風(fēng)險(xiǎn)評(píng)估，我們發(fā)現(xiàn)了大量關(guān)于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等方面的漏洞。為了達(dá)到對(duì)安全風(fēng)險(xiǎn)的長期有效的管理，我們進(jìn)行了具有體系性和原則性并能夠符合醫(yī)院實(shí)際需求的規(guī)劃。

參考文獻(xiàn)

[1]王立，史明磊.醫(yī)院信息系統(tǒng)的建設(shè)與維護(hù)[J].醫(yī)學(xué)信息，2007，20（3）.

[2]王洪萍，程濤.醫(yī)院信息系統(tǒng)安全技術(shù)分析[J].醫(yī)院管理雜志，2011，18（11）.

[3]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設(shè)備信息，2004，19（9）.

篇(5)

隨著信息化的高速發(fā)展，為企業(yè)及社會(huì)帶來了顯而易見的效益：提高的工作效率、減少的紙張浪費(fèi)、快捷方便的通訊等等。但信息化也是一柄"雙刃劍"，尤其是在企業(yè)管理、商業(yè)保密等工作中，還存在著令人堪憂的隱患：

一是物理安全風(fēng)險(xiǎn)。物理安全風(fēng)險(xiǎn)包括計(jì)算機(jī)系統(tǒng)的設(shè)備、設(shè)施和信息面臨因自然災(zāi)害、環(huán)境事故（如斷電）、人為物理操作失誤以及不法分子進(jìn)行違法犯罪等風(fēng)險(xiǎn)。

二是數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)包括競爭性業(yè)務(wù)的經(jīng)營和管理數(shù)據(jù)泄漏，數(shù)據(jù)被人為惡意篡改或破壞等。

三是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括病毒造成網(wǎng)絡(luò)癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡(luò)設(shè)備癱瘓、來自互聯(lián)網(wǎng)黑客的入侵威脅等。

二、保證企業(yè)信息安全的基本對(duì)策

2.1正確認(rèn)識(shí)企業(yè)信息安全問題。

企業(yè)的信息安全問題，絕不僅僅是一個(gè)僅靠防火墻、密碼等等技術(shù)就能解決的問題，它還與人們的職業(yè)道德、社會(huì)道德以及企業(yè)管理等問題密切相關(guān)。因此，在維護(hù)企業(yè)信息安全時(shí)，我們必須站在宏觀的角度對(duì)問題進(jìn)行考慮。在過去看來，一個(gè)企業(yè)信息的安全問題，是領(lǐng)導(dǎo)層或者IT單個(gè)部門的事情，但是憑少數(shù)人或部門的工作，對(duì)于保障公司的信息不被泄漏，防護(hù)信息存儲(chǔ)不被破壞、攻擊和偷盜是很難的事。筆者認(rèn)為，意識(shí)指導(dǎo)行動(dòng)，信息安全問題首先要解決的是員工的思想認(rèn)識(shí)問題，只有企業(yè)的每一個(gè)人都認(rèn)識(shí)到信息安全的重要性，才能在工作中自覺地維護(hù)信息安全。因?yàn)樵谌魏我粋€(gè)體系中，人都是最活躍、最具有影響力和決定意義的因素，因此對(duì)于企業(yè)的信息安全問題而言，企業(yè)內(nèi)部員工才是保護(hù)信息安全的最可靠、最有效的重大保障。此外，還可以加強(qiáng)引進(jìn)信息安全技術(shù)人才以及信息安全管理人才，并在日常工作中，加強(qiáng)對(duì)隊(duì)伍專業(yè)知識(shí)以及工作技能的培訓(xùn)，從而為企業(yè)建設(shè)一支強(qiáng)有力的信息安全保衛(wèi)隊(duì)伍。其次信息管理部門要全面作好專業(yè)技術(shù)支持與防范工作，根據(jù)業(yè)務(wù)的需求采取適當(dāng)?shù)谋Ｗo(hù)措施，實(shí)施專業(yè)應(yīng)用系統(tǒng)。例如，保護(hù)企業(yè)信息安全的技術(shù)可以采用主動(dòng)反擊、網(wǎng)絡(luò)入侵陷阱、密碼、取證、防火墻、安全服務(wù)、防病毒、可信服務(wù)、PKI服務(wù)、身份識(shí)別、備份恢復(fù)、網(wǎng)絡(luò)隔離等等保護(hù)產(chǎn)品以及保護(hù)技術(shù)，通過確保信息安全的最大化，來實(shí)現(xiàn)企業(yè)生產(chǎn)經(jīng)營持續(xù)發(fā)展以及經(jīng)濟(jì)效益的最大化。此外，還可以在工作的過程中，進(jìn)一步優(yōu)化企業(yè)信息安全管理，并進(jìn)行管理監(jiān)控以及安全風(fēng)險(xiǎn)評(píng)估，分析入侵防范、服務(wù)器架構(gòu)等等關(guān)鍵問題，以全面性、多角度的掌控，確保企業(yè)信息系統(tǒng)的安全性、穩(wěn)定性，因?yàn)樾畔踩珕栴}不具有靜態(tài)性，信息管理始終處在一個(gè)不停變動(dòng)的動(dòng)態(tài)性過程，因此即使我們不可能確保信息的絕對(duì)安全，也必須做到相對(duì)安全，從而最大限度的降低企業(yè)風(fēng)險(xiǎn)。

2.2建立健全信息安全管理制度。

信息安全不僅是技術(shù)問題，更主要是管理問題。任何技術(shù)措施只能起到增強(qiáng)信息安全防范能力的作用，俗話說“三分技術(shù)，七分管理”，只有良好的管理工作才能使保障技術(shù)措施得到充分發(fā)揮，是能否對(duì)信息網(wǎng)絡(luò)實(shí)施有效信息安全保障的關(guān)鍵?，F(xiàn)在中國石油股份有限公司內(nèi)控體系中涉及信息內(nèi)部控制的《信息系統(tǒng)總體控制辦法》（以下簡稱“GCC”）就很好的涵蓋了信息安全的各個(gè)方面，包括了機(jī)房管理、服務(wù)器管理、網(wǎng)絡(luò)管理和系統(tǒng)管理等。因此在實(shí)際的工作中，我們可以通過“三步驟”來實(shí)現(xiàn)企業(yè)信息的安全管理制度的健全化、完善化。第一，結(jié)合企業(yè)自身的實(shí)際，分析企業(yè)存在的問題以及預(yù)期的目標(biāo)，制定具有科學(xué)性、合理性、實(shí)效性、可行性的信息安全管理制度，使保護(hù)信息安全工作做到有法可依，有章可循。第二，建立信息安全管理機(jī)構(gòu)，明晰信息安全管理負(fù)責(zé)人的職務(wù)和責(zé)任，并建立相應(yīng)的考核機(jī)制和激勵(lì)機(jī)制，以督促、鼓勵(lì)相關(guān)負(fù)責(zé)人的工作，提高信息管理工作質(zhì)量。第三，真正貫徹管理措施，加強(qiáng)制度的執(zhí)行力度，只有這樣，才能從根本上實(shí)現(xiàn)管理工作以及工作目標(biāo)，最終提高企業(yè)的信息安全管理水平。

三、加強(qiáng)企業(yè)信息安全保障的幾點(diǎn)措施

如何有效地解決企業(yè)信息安全的專業(yè)性管理與技術(shù)性防范，筆者認(rèn)為可從以下幾個(gè)方面著手。

3.1實(shí)行嚴(yán)格的網(wǎng)絡(luò)管理。企業(yè)網(wǎng)與互聯(lián)網(wǎng)的物理隔離、防火墻設(shè)置以及端口限制，與互聯(lián)網(wǎng)相比安全性較高，但在日常運(yùn)行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護(hù)、違規(guī)使用網(wǎng)絡(luò)事件等問題，具體而言：一是在IP資源管理方面，采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機(jī)上的端口。這樣，就不會(huì)出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況；二是在網(wǎng)絡(luò)流量監(jiān)測方面，使用網(wǎng)絡(luò)監(jiān)測軟件查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬，防止頻繁進(jìn)行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。三是加強(qiáng)服務(wù)器管理。常見應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為WindowsServer，可利用其自帶的安全管理功能進(jìn)行設(shè)置，包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略以及系統(tǒng)補(bǔ)丁更新等。

3.2加強(qiáng)客戶端監(jiān)管。對(duì)大多數(shù)單位的網(wǎng)管來說，客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個(gè)問題，這里推薦以下方法：

（1）將客戶端都加入到域中，使客戶端強(qiáng)制性納入管理員集中管理的范圍。

（2）只給用戶以普通域用戶的身份登錄到域，這樣就可以限制他們?cè)诒镜赜?jì)算機(jī)上安裝有安全隱患軟件的權(quán)利。

（3）實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。

（4）利用企業(yè)IT部門的工作職能，設(shè)置熱線幫助和技術(shù)支持人員，統(tǒng)一管理局域網(wǎng)內(nèi)各客戶端問題。

3.3堅(jiān)持進(jìn)行數(shù)據(jù)備份。由于應(yīng)用系統(tǒng)的加入，各種數(shù)據(jù)庫日趨增長，如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件情況下不丟失，是當(dāng)前面臨的一個(gè)難題。從成本及易操作性考慮，這里推薦以下兩種數(shù)據(jù)備份方法：一種是用硬盤進(jìn)行數(shù)據(jù)備份；另一種是采用本地磁盤陣列來分別實(shí)現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余。

篇(6)

在16天的雅典奧運(yùn)會(huì)比賽中，記錄顯示有超過500萬起信息技術(shù)安全報(bào)警信息，其中嚴(yán)重警報(bào)425起、危急警報(bào)20起。而在都靈冬奧會(huì)的17天比賽期間，共統(tǒng)計(jì)到52，855，848起安全報(bào)警，嚴(yán)重警報(bào)達(dá)185個(gè)。

與往屆相比，2008年北京奧運(yùn)會(huì)新增了很多需求，比如眾多遠(yuǎn)距離場館的網(wǎng)絡(luò)聯(lián)通、參會(huì)人數(shù)的眾多等等。那么，如何保證比賽網(wǎng)絡(luò)的高可用性和實(shí)時(shí)性？如何保證賽事成績等機(jī)密信息不被篡改？如何保證系統(tǒng)設(shè)備持續(xù)運(yùn)行不宕機(jī)？這一切成了各界人士關(guān)注奧運(yùn)的焦點(diǎn)。為此記者采訪了北京2008奧運(yùn)會(huì)信息安全負(fù)責(zé)人來針對(duì)這些問題做一一解答。

多層保護(hù)齊上陣

從硬件系統(tǒng)的服務(wù)器、工作站等網(wǎng)絡(luò)設(shè)備，到軟件系統(tǒng)如操作系統(tǒng)的版本、補(bǔ)丁、BIOS設(shè)置（軟驅(qū)、光驅(qū)、USB的控制等）、注冊(cè)表設(shè)置，比賽網(wǎng)的所有系統(tǒng)都采用標(biāo)準(zhǔn)定制和統(tǒng)一模式，以此保證更大程度的可控性。除非特殊需要，電腦上的軟驅(qū)、光驅(qū)和USB都是禁用的，數(shù)據(jù)僅通過FTP服務(wù)器在比賽網(wǎng)和管理網(wǎng)間進(jìn)行傳輸。

軟件部分采取的措施起到了加固操作系統(tǒng)的作用，如: 屏蔽普通用戶安裝軟件的權(quán)限; 及時(shí)更新并統(tǒng)一管理全部的補(bǔ)丁; 關(guān)掉不需要的進(jìn)程和全部熱鍵。保障安全的一個(gè)原則就是通過操作系統(tǒng)統(tǒng)一的認(rèn)證平臺(tái)確保提供給用戶組最小的訪問權(quán)限，即僅授予該用戶組在能夠完成工作的前提下最小的權(quán)限。

為了保障比賽網(wǎng)的高可用性，所有的網(wǎng)絡(luò)設(shè)備（包括路由器、交換機(jī)等）、網(wǎng)絡(luò)鏈路（包括電信運(yùn)營商的鏈路設(shè)備），甚至數(shù)據(jù)中心都是雙重備份的。這樣，一旦某個(gè)系統(tǒng)出現(xiàn)故障，就會(huì)馬上轉(zhuǎn)到另一個(gè)系統(tǒng)中運(yùn)行，從而確保全網(wǎng)沒有一個(gè)地方會(huì)造成單點(diǎn)故障而影響整個(gè)網(wǎng)絡(luò)。

隔離網(wǎng)絡(luò)風(fēng)險(xiǎn)小

除了對(duì)系統(tǒng)、硬件、軟件采取措施外，為了保證網(wǎng)絡(luò)高安全性，比賽網(wǎng)絡(luò)采用與互聯(lián)網(wǎng)沒有聯(lián)系的獨(dú)立網(wǎng)絡(luò)以減少來自互聯(lián)網(wǎng)的攻擊。但是由于比賽網(wǎng)與合作伙伴等外界聯(lián)系的需要，系統(tǒng)集成過程中采用專門劃分的雙層認(rèn)證DMZ（非軍事區(qū)）進(jìn)行網(wǎng)絡(luò)邊界管理，對(duì)每個(gè)對(duì)外連接的節(jié)點(diǎn)進(jìn)行嚴(yán)格的流量控制，并且所有對(duì)外鏈接都要經(jīng)過多重隔離。

據(jù)介紹，雙層DMZ中的第一層是在所有管理網(wǎng)、官方網(wǎng)的合作伙伴之間，如負(fù)責(zé)記分系統(tǒng)的OMEGA、負(fù)責(zé)電視廣播的北京奧林匹克廣播公司以及門戶網(wǎng)站搜狐等，第一層DMZ用來隔離較為可信的合作伙伴; 第二層DMZ則用來連接如國外的參賽報(bào)名系統(tǒng)、氣象信息匯報(bào)的氣象臺(tái)等不很可靠的互聯(lián)網(wǎng)連接。數(shù)據(jù)傳輸過程中的數(shù)據(jù)流向也是嚴(yán)格控制的，通常僅允許比賽網(wǎng)數(shù)據(jù)外傳，而從外向內(nèi)的傳輸則幾乎不被允許。

在網(wǎng)絡(luò)系統(tǒng)接入方面也采取了嚴(yán)格的準(zhǔn)入制度。每一個(gè)網(wǎng)絡(luò)端口只允許特定的設(shè)備在通過嚴(yán)格的安全檢測后接入，一旦發(fā)現(xiàn)非法網(wǎng)絡(luò)接入企圖，網(wǎng)絡(luò)監(jiān)控系統(tǒng)便會(huì)立刻通知場館IT管理人員進(jìn)行檢查。

網(wǎng)絡(luò)流量的分段是保障網(wǎng)絡(luò)安全的另一個(gè)重要手段。比賽網(wǎng)中不同的應(yīng)用系統(tǒng)，如IDS、CIS、OVR、GMS等都運(yùn)行于完全相隔的獨(dú)立虛擬網(wǎng)段（VLAN）中，由于跨越VLAN的流量會(huì)受到嚴(yán)格的訪問控制列表（ACL）的限制，任何非正常的跨越VLAN的流量都會(huì)觸動(dòng)安全報(bào)警系統(tǒng)。這就保證了當(dāng)一個(gè)系統(tǒng)受到攻擊時(shí)，其他系統(tǒng)都不會(huì)受到任何影響。

特別的安全等級(jí)制度

源訊及其合作伙伴為奧運(yùn)專門開發(fā)的安全信息管理系統(tǒng)可謂是比賽網(wǎng)安全保障的核心所在，它是比賽網(wǎng)業(yè)務(wù)系統(tǒng)底層服務(wù)形態(tài)的支持系統(tǒng)，管理所有比賽網(wǎng)點(diǎn)發(fā)送的報(bào)警信息，保障奧運(yùn)比賽網(wǎng)的信息安全。

篇(7)

【關(guān)鍵詞】信息安全； 威脅；防御策略；防火墻

1 計(jì)算機(jī)信息網(wǎng)絡(luò)安全概述

所謂計(jì)算機(jī)信息網(wǎng)絡(luò)安全，是指根據(jù)計(jì)算機(jī)通信網(wǎng)絡(luò)特性，通過相應(yīng)的安全技術(shù)和措施，對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護(hù)，防止遭到破壞或竊取，其實(shí)質(zhì)就是要保護(hù)計(jì)算機(jī)通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類型的威脅、干擾和破壞。計(jì)算機(jī)通信網(wǎng)絡(luò)的安全是指揮、控制信息安全的重要保證。

根據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計(jì)，通過分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次，每天捕獲最多的次數(shù)高達(dá)4369次。因此，隨著網(wǎng)絡(luò)一體化和互聯(lián)互通，我們必須加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)安全防范意思，提高防范手段。

2 計(jì)算機(jī)信息安全常見的威脅

以上這些因素都可能是計(jì)算機(jī)信息資源遭到毀滅性的破壞。像一些自然因素我們是不可避免的，也是無法預(yù)測的；但是像一些人為攻擊的、破壞的我們是可以防御的、避免的。因此，我們必須重視各種因素對(duì)計(jì)算機(jī)信息安全的影響，確保計(jì)算機(jī)信息資源萬無一失。

3 計(jì)算機(jī)信息的安全的防御策略

根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和目前一般應(yīng)用情況，我們采取可兩種措施：一是，采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證網(wǎng)絡(luò)系統(tǒng)盡量在最優(yōu)的狀態(tài)下運(yùn)行；二是，采用各種計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：防火墻技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測。

3.1 漏洞掃描技術(shù)

漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得到目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊的安全漏洞掃描，如測試弱口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。

3.2 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障，一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境更安全，信息的安全就得到了保障。使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。

防火墻一般是指用來在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問控制的一個(gè)或一組網(wǎng)絡(luò)設(shè)備。從邏輯上來看，防火墻是分離器、限制器和分析器；從物理上來看，各個(gè)防火墻的物理實(shí)現(xiàn)方式可以多種多樣，但是歸根結(jié)底他們都是一組硬件設(shè)備（路由器、主機(jī)）和軟件的組合體；從本質(zhì)上來看，防火墻是一種保護(hù)裝置，它用來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和合法用戶的聲譽(yù)；從技術(shù)上來看，防火墻是一種訪問控制技術(shù)，它在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)與不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)網(wǎng)絡(luò)信息資源的非法訪問。

3.3 計(jì)算機(jī)網(wǎng)絡(luò)的加密技術(shù)（ipse）

采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?。它可以解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可以解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議，其安全機(jī)制可以對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋安全保護(hù)。IP安全是整個(gè)TCP/IP 安全的基礎(chǔ)，是網(wǎng)絡(luò)安全的核心。ipse 提供的安全功能或服務(wù)主要包括：訪問控制、無連接完整性、數(shù)據(jù)起源認(rèn)證、抗重放攻擊、機(jī)密性、有限的數(shù)據(jù)流機(jī)密性。

3.4 身份認(rèn)證

身份認(rèn)證的作用是阻止非法實(shí)體的不良訪問。有多種方法可以認(rèn)證一個(gè)實(shí)體的合法性，密碼技術(shù)是最常用的，但由于在實(shí)際系統(tǒng)中有許多用戶采用很容易被猜測的單詞或短語作為密碼，使得該方法經(jīng)常失效。其他認(rèn)證方法包括對(duì)人體生理特征的識(shí)別、智能卡等。隨著模式識(shí)別技術(shù)的發(fā)展，身份識(shí)別技術(shù)與數(shù)字簽名等技術(shù)結(jié)合，使得對(duì)于用戶身份的認(rèn)證和識(shí)別更趨完善。

3.5 入侵檢測技術(shù)

入侵檢測技術(shù)是對(duì)入侵行為的檢測，他通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊，外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

3.6 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)（Virtual private Network，VPN） 是一門網(wǎng)絡(luò)技術(shù)，提供一種通過公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式；是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立起一個(gè)臨時(shí)的、安全的連接，是一條穿過不安全的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

下面，我們主要談一下防火墻在網(wǎng)絡(luò)信息安全中的應(yīng)用。

4 防火墻防御策略

4.1 防火墻的基本概念

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制手段，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、復(fù)制和毀壞你的重要信息。

4.2 防火墻的功能

1）過濾掉不安全服務(wù)和非法用戶。

2）控制對(duì)特殊站點(diǎn)的訪問。

3）提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。

4.3 防火墻的優(yōu)點(diǎn)

1）防火墻能強(qiáng)化安全策略

因?yàn)镮nternet上每天都有上百萬人在那里收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的"交通警察"，它執(zhí)行站點(diǎn)的安全策略，僅僅容許"認(rèn)可的"和符合規(guī)則的請(qǐng)求通過。

2）防火墻能有效地記錄Internet上的活動(dòng)

因?yàn)樗羞M(jìn)出信息都必須通過防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。

3）防火墻限制暴露用戶點(diǎn)

防火墻能夠用來隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播。

4）防火墻是一個(gè)安全策略的檢查站

所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。

4.4 防火墻的不足

1）防火墻不能防范不經(jīng)由防火墻的攻擊。例如，如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號(hào)，一些用戶可以形成與Internet的直接的連接，從而繞過防火墻，造成一個(gè)潛在的后門攻擊渠道。

2）防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺(tái)主機(jī)上裝反病毒軟件。

3）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。

4.5 防火墻的類型

根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換―NAT、型和狀態(tài)監(jiān)測型。

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，工作在網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。但包過濾防火墻的缺點(diǎn)有三：一是，非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是，數(shù)據(jù)包的源地址、目的地址以及IP 的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒；三是，無法執(zhí)行某些安全策略。

網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT。 “你不能攻擊你看不見的東西”是網(wǎng)絡(luò)地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。當(dāng)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)時(shí)，NAT將從發(fā)送端的數(shù)據(jù)包中移去專用的IP地址，并用一個(gè)偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當(dāng)一個(gè)數(shù)據(jù)包返回到NAT系統(tǒng)，這一過程將被逆轉(zhuǎn)。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。如果黑客在網(wǎng)上捕獲到這個(gè)數(shù)據(jù)包，他們也不能確定發(fā)送端的真實(shí)IP地址，從而無法攻擊內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)。NAT技術(shù)也存在一些缺點(diǎn)，例如，木馬程序可以通過NAT進(jìn)行外部連接，穿透防火墻。

型防火墻也可以被稱為服務(wù)器，它的安全性要高于包過濾型產(chǎn)品， 它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來看，服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器，服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)， 然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部結(jié)構(gòu)的作用，這種防火墻是網(wǎng)絡(luò)專家公的最安全的防火墻。缺點(diǎn)是速度相對(duì)較慢。

監(jiān)測型防火墻是新一代的產(chǎn)品，這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的，也稱為動(dòng)態(tài)包過濾防火墻?？偟膩碚f，具有：高安全性，高效性，可伸縮性和易擴(kuò)展性。實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢，大多數(shù)服務(wù)器也集成了包過濾技術(shù)，這兩種技術(shù)的混合顯然比單獨(dú)使用具有更大的優(yōu)勢?？偟膩碚f，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價(jià)的，防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬無一失。除了使用了防火墻后技術(shù)，我們還使用了其他技術(shù)來加強(qiáng)安全保護(hù)，數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來重新組織數(shù)據(jù)，使得除了合法受者外，任何其他人想要恢復(fù)原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。對(duì)稱加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密，非對(duì)稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.6 防火墻的配置

1）雙宿堡壘主機(jī)防火墻

一個(gè)雙宿主機(jī)是一種防火墻，擁有兩個(gè)聯(lián)接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口。例如，一個(gè)網(wǎng)絡(luò)接口聯(lián)到外部的不可信任的網(wǎng)絡(luò)上，另一個(gè)網(wǎng)絡(luò)接口聯(lián)接到內(nèi)部的可信任的網(wǎng)絡(luò)上。這種防火墻的最大特點(diǎn)是IP層的通信是被阻止的，兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層服務(wù)來完成。一般情況下，人們采用服務(wù)的方法，因?yàn)檫@種方法為用戶提供了更為方便的訪問手段。

2）屏蔽主機(jī)防火墻

這種防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相聯(lián)接，而不讓它們直接與內(nèi)部主機(jī)相連。為了實(shí)現(xiàn)這個(gè)目的，專門設(shè)置了一個(gè)過濾路由器，通過它，把所有外部到內(nèi)部的聯(lián)接都路由到了堡壘主機(jī)上。下圖顯示了屏蔽主機(jī)防火墻的結(jié)構(gòu)。

3）屏蔽主機(jī)防火墻

在這種體系結(jié)構(gòu)中，堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)，屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng)，它是防火墻的第一道防線。屏蔽路由器需要進(jìn)行適當(dāng)?shù)呐渲?，使所有的外部?lián)接被路由到堡壘主機(jī)上。并不是所有服務(wù)的入站聯(lián)接都會(huì)被路由到堡壘主機(jī)上，屏蔽路由器可以根據(jù)安全策略允許或禁止某種服務(wù)的入站聯(lián)接（外部到內(nèi)部的主動(dòng)聯(lián)接）。

對(duì)于出站聯(lián)接（內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的主動(dòng)聯(lián)接），可以采用不同的策略。對(duì)于一些服務(wù)，如Telnet，可以允許它直接通過屏蔽路由器聯(lián)接到外部網(wǎng)而不通過堡壘主機(jī)；其他服務(wù)，如WWW和SMTP等，必須經(jīng)過堡壘主機(jī)才能聯(lián)接到Internet，并在堡壘主機(jī)上運(yùn)行該服務(wù)的服務(wù)器。怎樣安排這些服務(wù)取決于安全策略。

5 結(jié)束語

隨著信息技術(shù)的發(fā)展，影響通信網(wǎng)絡(luò)安全的各種因素也會(huì)不斷強(qiáng)化，因此計(jì)算機(jī)網(wǎng)絡(luò)的安全問題也越來越受到人們的重視，以上我們簡要的分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患，以及一般采取的幾種安全防范策略，主要討論了防火墻在網(wǎng)絡(luò)信息安全中所起到的作用。總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

【參考文獻(xiàn)】

[1]田園.網(wǎng)絡(luò)安全教程[M].人民郵電出版社，2009.