鄭智民 ，林碧蘭

（1.中國移動福建公司 福 州分公司， 福建 福 州 3 50000;2.廈門大學 水 聲通信與海洋信息技術(shù)教育部重點實驗室，福建 廈 門 3 61005）

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護、不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。

互聯(lián)網(wǎng)具有的開放性、交互性和分散性特征滿足了人類所憧憬的信息共享、開放、靈活和快速等需求。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，也正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生許多安全問題[1]。如何有效地保護信息數(shù)據(jù)的安全，已經(jīng)成為一個企業(yè)的關(guān)鍵問題。

1 信息安全面臨的威脅

1.1 網(wǎng)絡(luò)病毒

計算機病毒是人為的特制程序，具有自我復制能力、很強的感染性、一定的潛伏性、特定的觸發(fā)性和很大的破壞性。在計算機網(wǎng)絡(luò)中，一旦病毒爆發(fā)，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)堵塞，破壞服務器信息，甚至造成網(wǎng)絡(luò)癱瘓，造成不可估量的損失。

1.2 黑客入侵

黑客就像一個計算機數(shù)據(jù)信息的竊賊，只要獲得了一臺網(wǎng)絡(luò)主機的超級用戶權(quán)限后，他們就有可能在該主機上修改資源配置、安置“特洛伊”程序、隱藏行蹤、執(zhí)行任意進程等[2]。從國內(nèi)情況來看，目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機構(gòu)是黑客攻擊的重點。那么，黑客是如何進行入侵的呢？首先，他們先隱藏自己的位置，尋找目標主機并分析目標主機獲取賬號和密碼后，登錄主機并獲得控制權(quán)。攻擊者找到攻擊目標后，會繼續(xù)下一步的攻擊，如：下載敏感信息，竊取秘密；實施竊取賬號密碼、信用卡號等經(jīng)濟偷竊；破壞系統(tǒng)穩(wěn)定性等。

1.3 網(wǎng)絡(luò)監(jiān)聽

在網(wǎng)絡(luò)中，當信息進行傳播時，利用工具將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可截獲或捕獲到網(wǎng)絡(luò)中正在傳播的信息，從而進行攻擊[3]。因此，一些企業(yè)在與第三方網(wǎng)絡(luò)進行傳輸時，需要采取有效措施來防止重要數(shù)據(jù)被中途截獲，如用戶信用卡號碼等。

2 網(wǎng)絡(luò)信息安全保護措施

現(xiàn)階段，為了保證信息數(shù)據(jù)的安全，可采用以下幾種方法。

2.1 防火墻技術(shù)

防火墻已成為各企業(yè)網(wǎng)絡(luò)中實施安全保護的核心，其主要實現(xiàn)選擇性地拒絕進出網(wǎng)絡(luò)的數(shù)據(jù)流量。目前，防火墻主要采用包過濾、應用網(wǎng)關(guān)、子網(wǎng)屏蔽等技術(shù)。防火墻能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務，以及哪些外部服務可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且其本身也必須能夠免于滲透。

2.2 防范網(wǎng)絡(luò)病毒

對付網(wǎng)絡(luò)病毒最好的方法莫過于防范[4]，主要的方法有：1）絕不打開來歷不明的郵件的附件或并未預期接收到的附件；2）插入軟盤、光盤或其他可插拔介質(zhì)，一定對其進行病毒掃描；3）不使用非正版軟件，裝入正版防毒軟件（一定要安裝可以升級的殺毒軟件），并啟動其監(jiān)控功能；4）重要文件和數(shù)據(jù)要定期備份；5）使用基于客戶端的防火墻或過濾措施；6）將Internet Explorer 4.x或以上版本的安全級別設(shè)定成“高級”，終止ActiveX和Active Scripting。

2.3 VPN技術(shù)

VPN（Virtual Private Network）即虛擬專用網(wǎng)絡(luò)[5]，它是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。一條VPN鏈路是一條采用加密隧道構(gòu)成的遠程安全鏈路，它可以幫助異地用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商與內(nèi)部網(wǎng)建立可信的安全連接．并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VPN技術(shù)采用鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復制。VPN技術(shù)可以在不同的傳輸協(xié)議層實現(xiàn)。

2.4 入侵檢測技術(shù)（IDS）

入侵檢測系統(tǒng)[6]（Intrusion-detection System，IDS）是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于：IDS是一種積極主動的安全防護技術(shù)，它是按用戶指定的規(guī)則運行的，在功能方面，與防火墻有很大區(qū)別，它是對端口進行檢測、掃描等。入侵檢測技術(shù)在立體安全防御體系中日益被普遍采用，它能識別防火墻通常無法識別的攻擊（如來自企業(yè)內(nèi)部的攻擊），在發(fā)現(xiàn)入侵企圖后提供必要的信息，幫助系統(tǒng)移植。

3 企業(yè)信息安全管理

有效的技術(shù)手段只是網(wǎng)絡(luò)安全的基礎(chǔ)，僅靠網(wǎng)絡(luò)安全技術(shù)是絕對無法確保信息安全的。嚴格的計算機安全管理才能充分發(fā)揮網(wǎng)絡(luò)信息安全技術(shù)的效能，使網(wǎng)絡(luò)信息更加安全可靠。企業(yè)計算機管理員應做到如下幾點：

1）系統(tǒng)管理員的口令應嚴格管理，不被泄漏，不定期地予以更換，保護網(wǎng)絡(luò)系統(tǒng)不被非法存取，不被感染上計算機病毒或遭受破壞。

2）在安裝應用程序軟件時，應由系統(tǒng)管理員進行，或由系統(tǒng)管理員臨時授權(quán)進行。以保護網(wǎng)絡(luò)用戶使用共享資源時總是安全無毒的。

3）系統(tǒng)管理員對網(wǎng)絡(luò)內(nèi)的共享電子函件系統(tǒng)、共享存儲區(qū)域和用戶卷應定期進行計算機病毒掃描，發(fā)現(xiàn)異常情況及時處理。如果可能，在應用程序卷中安裝最新版本的防殺計算機病毒軟件供用戶使用。

4）企業(yè)系統(tǒng)管理員在做好日常管理事務的同時，還應準備應急措施，及時發(fā)現(xiàn)計算機病毒感染跡象。當出現(xiàn)計算機病毒傳播跡象時，應立即隔離被感染的計算機系統(tǒng)和網(wǎng)絡(luò)，并進行處理，不應使其帶毒繼續(xù)工作，要按照特別情況清查整個網(wǎng)絡(luò)，切斷計算機病毒傳播的途徑，保障正常工作的進行。必要時應立即得到專家的幫助。

4 結(jié)束語

為了保證信息數(shù)據(jù)的安全，本文提出了幾種信息安全保護措施，如防火墻技術(shù)、病毒防范、VPN技術(shù)、IDS技術(shù)等，并分析了企業(yè)信息的幾種計算機安全管理策略，強調(diào)只有通過嚴格的計算機安全管理，才能使網(wǎng)絡(luò)信息更加安全可靠。但由于技術(shù)上的計算機病毒防治方法尚無法達到完美的境地，難免會有新的計算機病毒突破防護系統(tǒng)的保護，傳染到計算機系統(tǒng)中。因此對可能由計算機病毒引起的現(xiàn)象應予以注意并加以防范，使計算機病毒傳播不影響到整個企業(yè)系統(tǒng)。

[1]鐘誠，趙躍華.信息安全概論[M].武漢：武漢理工大學出版社，2003.

[2]崔煒.網(wǎng)絡(luò)安全技術(shù)分析與探討[J].科技信息，2009（24）：I0219-I0219，I0222.

[3]劉倩波.計算機網(wǎng)絡(luò)安全維護技術(shù)的若干思考[J].黑龍江科技信息，2009（27）：93－93.

[4]劉云峰.中小型企業(yè)網(wǎng)絡(luò)及信息安全綜合解決方案研究[J].山西科技，2009（5）：73-74.

[5]趙立志，林偉.淺析網(wǎng)絡(luò)安全技術(shù)[J].民營科技，2008（3）：193－193.

[6]周國民.入侵檢測系統(tǒng)評價與技術(shù)發(fā)展研究[J].現(xiàn)代電子技術(shù)，2004（12）：86-88.