摘要：信息安全是當新研究的熱點，本文分析了信息安全常見的威脅，和解決中出現(xiàn)的問題，并結(jié)合本人實踐，提出了相應的安全防范策略。

關(guān)鍵詞：信息；信息安全； 防范策略

中圖分類號：G353.1 文獻標識碼：A 文章編號：1007-9599 (2012) 10-0000-02

21世紀信息技術(shù)飛速發(fā)展，在社會發(fā)展中信息越來越重要，國家的政府、軍事、文教等諸多領(lǐng)域都與信息有關(guān)。如果信息的安全時常受到威脅，則會影響到國家各部門的日常活動。因此，信息的安全與防范非常重要。本文針對信息的安全問題進行分析，并提出了相應出的安全防護策略。

一、信息安全威脅

信息已經(jīng)成為社會健康發(fā)展的重要保證，然而很多信息被人為篡改，竊取，泄露。信息載體還要經(jīng)受不可抗拒的自然災害的威脅。而人為的威脅是最大的威脅。

隨著0Day 漏洞的增加和第三方軟件漏洞將常被黑客利用，黑客經(jīng)常用第三方軟件的漏洞進行攻擊系統(tǒng)。隨著無線技術(shù)的推廣和普及，黑客也針對無線進行攻擊，因此在網(wǎng)絡上出現(xiàn)很多無線的破解技術(shù)，這樣攻擊者可以輕易地攻擊網(wǎng)絡，這樣對用戶的安全帶來很大的威脅。為了欺騙用戶，攻擊者還制造或編寫虛假的網(wǎng)站，即就是釣魚網(wǎng)，攻擊者利用釣魚偽造電子郵件或網(wǎng)站點等對用戶進行“攻擊”，因此用戶的信息由此而被泄漏出去。

計算機病毒以破壞程序等為目標。病毒主要是對用戶的文件或相關(guān)程序進行破壞，對系統(tǒng)和用戶資料威脅非常大。很多攻擊者利用網(wǎng)絡的相關(guān)工具如電子郵件等添加到文件或程序，因此有些用戶打開郵件都會被感染上病毒，這樣用戶的相關(guān)資料會受到不同程度的破壞。

除此外攻擊者通過不正當入侵手段向合法網(wǎng)站輸入非法的數(shù)據(jù)，數(shù)據(jù)量非常大，從而多出的數(shù)據(jù)會傳入到其他領(lǐng)域。如果對程序執(zhí)行不當，那么相關(guān)程序和系統(tǒng)的設(shè)置會受到限制。

二、影響信息安全因素

信息載體與周邊環(huán)境的安全會影響到信息本身的安全。信息存儲場屏蔽處理不好，磁鼓、磁帶與高輻射設(shè)備等的信號外泄。信息處理和管理設(shè)置的電源系統(tǒng)不穩(wěn)定，則用于存儲數(shù)據(jù)的設(shè)置會受到影響，特別是臨時性的RAM存儲器的數(shù)據(jù)會丟失，信息本身就無法得到保障。除此外硬件故障，特別是存儲信息的內(nèi)存、硬盤等計算機部件的故障出現(xiàn)影響信息存儲和處理。

人的主觀性也是威脅的主要因素，特別是信息系統(tǒng)的操作人員，如果其故意篡改數(shù)據(jù)或沒有按規(guī)定進行操作程序，其信息就沒有可靠性。如果系統(tǒng)等出現(xiàn)故障則不能正確保存數(shù)據(jù)，這樣數(shù)據(jù)會丟失。信息設(shè)計人員或系統(tǒng)設(shè)計人員以對系統(tǒng)設(shè)計或?qū)?shù)據(jù)設(shè)計考慮不全面，這樣沒辦法在處理或傳輸中保證數(shù)據(jù)的完整，因此攻擊者就可以利用系統(tǒng)的漏洞進行攻擊，摧毀系統(tǒng)的數(shù)據(jù)等。網(wǎng)絡信息或數(shù)據(jù)傳輸往往受到通訊設(shè)備的影響，通訊設(shè)備的安全設(shè)計不全也會造成數(shù)據(jù)的丟失或損壞。同是攻擊者可利用這些不員以假冒、身份攻擊等對系統(tǒng)進行非法操作或操控。

考慮周全只是對現(xiàn)有的條件，對將來的考慮往往沒法預設(shè)，因此新的系統(tǒng)出現(xiàn)，本身就有漏洞。而攻擊者也容易找出漏洞。大部分系統(tǒng)都配備的改進系統(tǒng)管理及服務質(zhì)量的工具軟件被破壞者利用，去收集非法信息及加強攻擊力度。系統(tǒng)維護不正當?shù)牟僮骱凸芾淼谋旧聿蛔阋矔π畔⒒驍?shù)據(jù)產(chǎn)生威脅。因此作為管理人員必須對新系統(tǒng)進行分析，特別是對其漏洞危險進行分析并提出相關(guān)措施。管理人員的設(shè)計和檢測能力差沒辦法設(shè)計好的系統(tǒng)，也就沒辦法對系統(tǒng)中的數(shù)據(jù)進行有效的保護，因為系統(tǒng)不能抵御復雜的攻擊。建立和實施嚴密的安全制度與策略是真正實現(xiàn)網(wǎng)絡安全的基礎(chǔ)。

三、信息安全防范策略

保證數(shù)據(jù)或信息安全可以使用技術(shù)，僅靠技術(shù)不能完全保證數(shù)據(jù)的安全，同時還需要嚴格的管理，制定相關(guān)法律，利用法律進行約束，還有對員工進行安全教育。采取恰當?shù)姆雷o措施也能有效保護信息的安全。

（一）從技術(shù)層面進行防護

1.數(shù)據(jù)加密?？梢杂眉用芗夹g(shù)對信息進行加密以保護信息，如用MD5等加密技術(shù)，這樣攻擊不能輕易看到數(shù)據(jù)，加密的作用就是讓數(shù)據(jù)隱藏，這樣更好的保護數(shù)據(jù)。MD5是一種散列函數(shù)，主要是用來保護信息的完整性。在登錄認證中MD5運動得比較多，用戶在登錄系統(tǒng)或平臺時的用戶名和密碼等運動MD5加密，然后將加密后的結(jié)果存在相應的數(shù)據(jù)庫。其原理就是用戶登錄后平臺或系統(tǒng)會被MD5加密運算。如果運算得出的值與數(shù)據(jù)庫存在的值正確則可直接進入系統(tǒng)。這樣避免操具有管理權(quán)限的人員知道從而保證信息的安全。為加強數(shù)據(jù)的安全性，可以對MD5進行改進，比如可以運MD5進行兩次加密改進了單次加密的不安全性?？傊用芸筛鶕?jù)情況采用對稱加密和非對稱加密，更好的保護數(shù)據(jù)。

2.數(shù)字簽名，數(shù)字簽名主要是用來簽名和驗證。其運算主要運用了HASH函數(shù)從而更好的鑒別解決偽造、抵賴、冒充和篡改等問題。簽名技術(shù)可以有效的防止抵賴，在網(wǎng)絡中進行商務活動，即就是開展電子商務活動等，在活動中汲及到的數(shù)據(jù)是非常重要。大部分數(shù)據(jù)是商業(yè)機密，對買賣雙方來講非常重要。如果數(shù)據(jù)被篡改，對買賣雙方會產(chǎn)生巨大的損失。因此采用數(shù)字簽名可有效防止攻擊者的篡改而產(chǎn)生抵賴，同時也可以保證數(shù)據(jù)的安全和完整。

3.用戶身份認證就是對用戶身份進行驗證。用戶訪問服務器時，必須提供合法的身份證明，這樣服務器才給與相關(guān)的操作權(quán)限。用戶要存取等操作數(shù)據(jù)必須提供有效的標記，以方便服務器驗證。可以使用加密技術(shù)、人體等器官或生理特征進行認證，大部分可以用數(shù)字簽名技術(shù)進行認證。雙方互相認證，這樣可以保證數(shù)據(jù)的真實性。

4.要對服務器、目錄等資源進行訪問控制。如果用戶沒有被允許，就不能對合法資源進行訪問和使用。因此訪問控制可以更好的保護資源，避免資源的非法訪問和使用。

5.網(wǎng)絡或系統(tǒng)的操作中是否遵守安全策略，可以使用入侵檢測技術(shù)，該技術(shù)可以檢測系統(tǒng)或數(shù)據(jù)是否出現(xiàn)異常等。在檢測中可以對數(shù)據(jù)或信息進行審計記錄，這樣可以對在系統(tǒng)或相關(guān)環(huán)境中進行數(shù)據(jù)操作等活動進行記錄或分析并及時限制相關(guān)非法活動，這樣保護系統(tǒng)進而保護數(shù)據(jù)。

6.可以使用漏洞掃描對系統(tǒng)或軟件等環(huán)境進行尋找。其就是過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊并進行記錄，發(fā)現(xiàn)漏洞并補救。這樣可以更多的減少攻擊者利用漏洞進行攻擊，有效保護系統(tǒng)安全。

7.信息偽裝是把真實的信息隱藏，以仿制的信息進行傳輸，讓攻擊者很難找到真實信息。

9.利用相關(guān)技術(shù)對數(shù)據(jù)進行備份。數(shù)據(jù)備份好對出現(xiàn)災害等時可以及時恢復數(shù)據(jù)保證工作等的正常進行。國家重要的部門或企業(yè)可以采用遠程備份或多重備份，這樣無論在何種情況下都可以保證正常使用信息。保證信息的安全，備份是非常重要的，因此在平時的操作中，要養(yǎng)成備份數(shù)據(jù)的習慣，可以使用各種先進的技術(shù)進行備份。

（二）從管理制度正進行防范

根據(jù)企業(yè)規(guī)模不同安全策略制定者也不同，小企業(yè)技術(shù)負責人可以擔當信息安全策略的制定者，在大型企業(yè)中基本上是成立安全工作者制定安全策略。在安全策略和管理中企業(yè)高層的參與是非常重要的，這樣更體現(xiàn)企業(yè)重視企業(yè)的信息安全。因此相關(guān)的安全策略才能更好地實施。

信息安全就是要保證數(shù)據(jù)能可讀并保證數(shù)據(jù)本身的實用。首先加強資料收集和調(diào)研階段的工作，這樣才能收集更全的資料，才能制定出與企業(yè)相符的信息安全策略。其次評審好安全策略，要多輪評評審安全策略，這樣才能制定出更加清晰、簡潔，可讀性更好的策略。除此外還要對企業(yè)內(nèi)部信息系統(tǒng)的結(jié)構(gòu)進行分析并制定與企業(yè)信息系統(tǒng)結(jié)構(gòu)一致的安全策略。

加強推廣和培訓。首先要指定好信息安全策略推廣的負責人員。結(jié)合部門實踐確定人員和責任。第二對員工進行安全教育培訓。相關(guān)的培訓資料等可以利用企業(yè)現(xiàn)有的環(huán)境如網(wǎng)絡，辦公系統(tǒng)等共享讓相關(guān)人員進行學習。

加強監(jiān)督，獎懲分明。策略的制定出來，往往不能很好的實施，因此在實施中要制定獎罰，可以在合同中或各項考核中增加安全策略實施的考核等，這樣減少人工不正當操作產(chǎn)生的威脅。

四、總結(jié)

總之信息安全非常重要，是一項復雜的、長期性的系統(tǒng)工程。新的安全威脅不斷出現(xiàn)，中有在了解信息安全內(nèi)容的基礎(chǔ)上，提高安全意識，不斷研究和積極實踐，使用各種安全技術(shù)，并制定相關(guān)的安全策略，同時對員工進行安全教育等來加強防范。不斷提高安全操作能力和設(shè)計能力，可以制定更好的安全系統(tǒng)，有效保護信息。

參考文獻：

[1]胡小軍.淺析信息系統(tǒng)安全[J].網(wǎng)絡安全技術(shù)與應用，2009，1

[2]孫紅.信息安全的現(xiàn)狀及面臨的威脅[J].網(wǎng)絡安全技術(shù)與應用，2009，7

[3]劉穎.信息系統(tǒng)安全工程過程的探討[J].計算機安全，2009，10

[4]朱建忠.信息隱藏技術(shù)研究與應用[J].計算機與網(wǎng)絡，2010，15

[5]段海新，劉彤，譯.BARMAN S.編寫信息安全策略[M].北京:人民大學出版社，2002

[6]常建軒.企業(yè)信息安全策略成功實施的影響因素研究[D].杭州:浙江大學，2007

[作者簡介]

林佳（1981-），男（壯族），廣西南寧市人，南寧市寶海大酒店有限公司，計算機技術(shù)工程碩士，研究方向：數(shù)據(jù)庫、信息安全、電子商務。