序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇信息安全范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關鍵詞：信息；信息安全； 防范策略

中圖分類號：G353.1 文獻標識碼：A 文章編號：1007-9599 (2012) 10-0000-02

21世紀信息技術(shù)飛速發(fā)展，在社會發(fā)展中信息越來越重要，國家的政府、軍事、文教等諸多領域都與信息有關。如果信息的安全時常受到威脅，則會影響到國家各部門的日常活動。因此，信息的安全與防范非常重要。本文針對信息的安全問題進行分析，并提出了相應出的安全防護策略。

一、信息安全威脅

信息已經(jīng)成為社會健康發(fā)展的重要保證，然而很多信息被人為篡改，竊取，泄露。信息載體還要經(jīng)受不可抗拒的自然災害的威脅。而人為的威脅是最大的威脅。

隨著0Day 漏洞的增加和第三方軟件漏洞將常被黑客利用，黑客經(jīng)常用第三方軟件的漏洞進行攻擊系統(tǒng)。隨著無線技術(shù)的推廣和普及，黑客也針對無線進行攻擊，因此在網(wǎng)絡上出現(xiàn)很多無線的破解技術(shù)，這樣攻擊者可以輕易地攻擊網(wǎng)絡，這樣對用戶的安全帶來很大的威脅。為了欺騙用戶，攻擊者還制造或編寫虛假的網(wǎng)站，即就是釣魚網(wǎng)，攻擊者利用釣魚偽造電子郵件或網(wǎng)站點等對用戶進行“攻擊”，因此用戶的信息由此而被泄漏出去。

計算機病毒以破壞程序等為目標。病毒主要是對用戶的文件或相關程序進行破壞，對系統(tǒng)和用戶資料威脅非常大。很多攻擊者利用網(wǎng)絡的相關工具如電子郵件等添加到文件或程序，因此有些用戶打開郵件都會被感染上病毒，這樣用戶的相關資料會受到不同程度的破壞。

除此外攻擊者通過不正當入侵手段向合法網(wǎng)站輸入非法的數(shù)據(jù)，數(shù)據(jù)量非常大，從而多出的數(shù)據(jù)會傳入到其他領域。如果對程序執(zhí)行不當，那么相關程序和系統(tǒng)的設置會受到限制。

二、影響信息安全因素

信息載體與周邊環(huán)境的安全會影響到信息本身的安全。信息存儲場屏蔽處理不好，磁鼓、磁帶與高輻射設備等的信號外泄。信息處理和管理設置的電源系統(tǒng)不穩(wěn)定，則用于存儲數(shù)據(jù)的設置會受到影響，特別是臨時性的RAM存儲器的數(shù)據(jù)會丟失，信息本身就無法得到保障。除此外硬件故障，特別是存儲信息的內(nèi)存、硬盤等計算機部件的故障出現(xiàn)影響信息存儲和處理。

人的主觀性也是威脅的主要因素，特別是信息系統(tǒng)的操作人員，如果其故意篡改數(shù)據(jù)或沒有按規(guī)定進行操作程序，其信息就沒有可靠性。如果系統(tǒng)等出現(xiàn)故障則不能正確保存數(shù)據(jù)，這樣數(shù)據(jù)會丟失。信息設計人員或系統(tǒng)設計人員以對系統(tǒng)設計或?qū)?shù)據(jù)設計考慮不全面，這樣沒辦法在處理或傳輸中保證數(shù)據(jù)的完整，因此攻擊者就可以利用系統(tǒng)的漏洞進行攻擊，摧毀系統(tǒng)的數(shù)據(jù)等。網(wǎng)絡信息或數(shù)據(jù)傳輸往往受到通訊設備的影響，通訊設備的安全設計不全也會造成數(shù)據(jù)的丟失或損壞。同是攻擊者可利用這些不員以假冒、身份攻擊等對系統(tǒng)進行非法操作或操控。

考慮周全只是對現(xiàn)有的條件，對將來的考慮往往沒法預設，因此新的系統(tǒng)出現(xiàn)，本身就有漏洞。而攻擊者也容易找出漏洞。大部分系統(tǒng)都配備的改進系統(tǒng)管理及服務質(zhì)量的工具軟件被破壞者利用，去收集非法信息及加強攻擊力度。系統(tǒng)維護不正當?shù)牟僮骱凸芾淼谋旧聿蛔阋矔π畔⒒驍?shù)據(jù)產(chǎn)生威脅。因此作為管理人員必須對新系統(tǒng)進行分析，特別是對其漏洞危險進行分析并提出相關措施。管理人員的設計和檢測能力差沒辦法設計好的系統(tǒng)，也就沒辦法對系統(tǒng)中的數(shù)據(jù)進行有效的保護，因為系統(tǒng)不能抵御復雜的攻擊。建立和實施嚴密的安全制度與策略是真正實現(xiàn)網(wǎng)絡安全的基礎。

三、信息安全防范策略

保證數(shù)據(jù)或信息安全可以使用技術(shù)，僅靠技術(shù)不能完全保證數(shù)據(jù)的安全，同時還需要嚴格的管理，制定相關法律，利用法律進行約束，還有對員工進行安全教育。采取恰當?shù)姆雷o措施也能有效保護信息的安全。

（一）從技術(shù)層面進行防護

1.數(shù)據(jù)加密。可以用加密技術(shù)對信息進行加密以保護信息，如用MD5等加密技術(shù)，這樣攻擊不能輕易看到數(shù)據(jù)，加密的作用就是讓數(shù)據(jù)隱藏，這樣更好的保護數(shù)據(jù)。MD5是一種散列函數(shù)，主要是用來保護信息的完整性。在登錄認證中MD5運動得比較多，用戶在登錄系統(tǒng)或平臺時的用戶名和密碼等運動MD5加密，然后將加密后的結(jié)果存在相應的數(shù)據(jù)庫。其原理就是用戶登錄后平臺或系統(tǒng)會被MD5加密運算。如果運算得出的值與數(shù)據(jù)庫存在的值正確則可直接進入系統(tǒng)。這樣避免操具有管理權(quán)限的人員知道從而保證信息的安全。為加強數(shù)據(jù)的安全性，可以對MD5進行改進，比如可以運MD5進行兩次加密改進了單次加密的不安全性。總之加密可根據(jù)情況采用對稱加密和非對稱加密，更好的保護數(shù)據(jù)。

2.數(shù)字簽名，數(shù)字簽名主要是用來簽名和驗證。其運算主要運用了HASH函數(shù)從而更好的鑒別解決偽造、抵賴、冒充和篡改等問題。簽名技術(shù)可以有效的防止抵賴，在網(wǎng)絡中進行商務活動，即就是開展電子商務活動等，在活動中汲及到的數(shù)據(jù)是非常重要。大部分數(shù)據(jù)是商業(yè)機密，對買賣雙方來講非常重要。如果數(shù)據(jù)被篡改，對買賣雙方會產(chǎn)生巨大的損失。因此采用數(shù)字簽名可有效防止攻擊者的篡改而產(chǎn)生抵賴，同時也可以保證數(shù)據(jù)的安全和完整。

3.用戶身份認證就是對用戶身份進行驗證。用戶訪問服務器時，必須提供合法的身份證明，這樣服務器才給與相關的操作權(quán)限。用戶要存取等操作數(shù)據(jù)必須提供有效的標記，以方便服務器驗證。可以使用加密技術(shù)、人體等器官或生理特征進行認證，大部分可以用數(shù)字簽名技術(shù)進行認證。雙方互相認證，這樣可以保證數(shù)據(jù)的真實性。

篇(2)

操作系統(tǒng)多樣性讓網(wǎng)絡犯罪者擁有更多機會

2011年將是非主流操作系統(tǒng)、程序與瀏覽器的漏洞遭受更多攻擊的一年，而針對應用程序漏洞的攻擊也將大幅增長。云端計算和虛擬化雖然能為企業(yè)帶來大量的投資回報且節(jié)省成本，但也將服務器置于傳統(tǒng)的安全邊界之外，因此反而讓網(wǎng)絡犯罪者擁有更大的發(fā)揮空間，同時也會加重云端服務供應商的信息安全責任。

趨勢科技公司預測2011年將出現(xiàn)更多針對云端基礎架構(gòu)與虛擬化系統(tǒng)的概念驗證攻擊。此外，網(wǎng)絡犯罪者已發(fā)現(xiàn)終端桌面操作系統(tǒng)的同質(zhì)性已被逐漸打破，因此網(wǎng)絡犯罪者將轉(zhuǎn)攻擁有大量同質(zhì)性的云端，開始嘗試如何滲透云端。而有些比較版本較早但仍被廣泛使用的操作系統(tǒng)（如：Windows? 2000/Windows? XP SP2）存在諸多無法修補的漏洞。由此，針對這些漏洞的攻擊仍將持續(xù)增長。

社會工程學攻擊仍將肆虐

社會工程學仍將持續(xù)在威脅傳播方面扮演重要角色。趨勢科技公司認為，傳統(tǒng)網(wǎng)站遭到滲透的情況在2011年將會減少，取而代之的是，網(wǎng)絡犯罪者將發(fā)動一波又一波的惡意程序攻擊，利用精心設計的電子郵件來誘騙使用者點擊惡意鏈接，進而導致使用者感染惡意程序下載器。這些惡意程序下載器會隨機產(chǎn)生一些二進制惡意程序來躲避檢測，如Conficker和ZeuS-LICAT就是利用這種手法。

由于網(wǎng)絡上已經(jīng)出現(xiàn)一些連菜鳥都會使用的網(wǎng)絡犯罪工具，因此中小企業(yè)也開始成為網(wǎng)絡犯罪者的攻擊目標。在2010年，隨著地下犯罪工具使用率暴增，特定類型的企業(yè)組織很容易成為黑客的目標，例如：ZeuS在2010年就專門鎖定小型企業(yè)進行攻擊。預計未來，專門鎖定知名大型企業(yè)與關鍵基礎設施的攻擊，在數(shù)量與復雜度方面都將持續(xù)攀升。此外，2011年也很可能出現(xiàn)更多針對信息安全廠商品牌的攻擊行為，用以制造用戶的認知混淆與不安情緒。 趨勢科技對2011年以及未來網(wǎng)絡威脅的預測：

經(jīng)濟利益仍是一切攻擊行為的誘因，網(wǎng)絡犯罪不可能消失；

越來越多的惡意程序會在攻擊時盜用或使用合法的數(shù)字簽名以躲避檢測；

隨著全球?qū)W(wǎng)絡犯罪認識的提升，未來將有更多地下犯罪組織合并或聯(lián)合行動；

信息安全廠商將再也無法在終端電腦上存儲威脅或病毒特征碼，因此某些廠商可能將面臨困境。為解決此問題，他們可能會刪除一些舊的特征碼來尋求解決方案，但這樣反而無法阻止舊的惡意程序發(fā)作；

篇(3)

信息安全自主可控的涵義是:信息安全領域的技術(shù)和產(chǎn)品,能自主的就要盡最大可能實現(xiàn)自主;不能自主的,必須保證它是可控可知的,即要對信息安全技術(shù)與產(chǎn)品的風險、隱患、漏洞、潛在問題做到“心中有底、手中有招、控制有道”。 目前,煙草行業(yè)的核心應用系統(tǒng)(如“一號工程”、卷煙營銷、專賣管理、財務管理系統(tǒng)、人力資源系統(tǒng)等)的軟、硬件設備幾乎全套采用了國外主流、成熟的產(chǎn)品技術(shù),從整體上來說,行業(yè)信息化核心應用基礎設施的選型、配置起點較高,但從另一方面講,信息安全系統(tǒng)的可控性、可知性、可預防性水平較低。不可否認,國內(nèi)當前的采購政策、市場環(huán)境、IT發(fā)展現(xiàn)狀等因素在一定程度上制約了自主知識產(chǎn)權(quán)的IT產(chǎn)品技術(shù)進入高端、核心設備的市場采購范圍,但這絕不僅僅是一個技術(shù)問題,還有更深層次的長遠戰(zhàn)略、規(guī)劃管理問題。

信息安全

自主可控的意義

在煙草行業(yè)大力推行信息安全自主可控,具有以下重要意義:

1. 可避免分發(fā)式安全威脅。

IT產(chǎn)品的整個生命周期包括研發(fā)、設計、制造、銷售、安裝、維護、升級等過程,如果有人在其中任何一個環(huán)節(jié)上植入惡意代碼、開通惡意后門、加入隱蔽指令等,都將給信息系統(tǒng)造成一定安全隱患,即IT產(chǎn)品的分發(fā)式安全威脅。非自主的IT產(chǎn)品存在分發(fā)式安全威脅的概率很大,這類威脅往往不易被用戶發(fā)覺,但卻可能給用戶造成重大的損失、破壞。對非自主的IT產(chǎn)品增強防范意識、加強控制管理、制訂風險應對措施,可以大大避免分發(fā)式安全威脅。

2. 可封堵信息安全“漏洞”。

國外的IT廠商通常不會向中國用戶提供核心技術(shù)和專利,因此國內(nèi)用戶很難對設備的整體可信性、可靠性、可控性進行全面檢測,分析判斷出設備中是否存在“后門”、“陷阱”、“漏洞”、“軟件炸彈”、“隱蔽指令”等安全威脅,一旦這些“漏洞”被利用,實施攻擊、入侵、修改、惡意破壞或者竊取機密數(shù)據(jù)信息,其后果不堪設想。據(jù)公安部有關資料顯示,近年來國內(nèi)大量網(wǎng)絡泄密案件、竊密案件、信息安全事件均與“漏洞”有關。實施信息安全系統(tǒng)自主可控,可以在一定程度上起到堵塞信息安全漏洞,防患于未然的效果。

3. 是行業(yè)信息化發(fā)展的長遠戰(zhàn)略需要。

煙草行業(yè)核心應用信息化硬件設施投資規(guī)模巨大,處于高位運行狀態(tài),很多企業(yè)基礎網(wǎng)絡平臺、服務系統(tǒng)平臺、應用平臺、安全支撐平臺基本上被國外產(chǎn)品壟斷,這些非自主IT產(chǎn)品本身封閉性強、操作復雜、技術(shù)資料短缺,國內(nèi)用戶很難定制二次研發(fā)或者組裝生產(chǎn)。煙草企業(yè)在高端IT產(chǎn)品采購上幾乎沒有可選擇的空間,對IBM、微軟、戴爾等IT巨頭的依賴程度過大,信息系統(tǒng)運行后每年僅硬件維修保養(yǎng)一項就產(chǎn)生高額的附加成本費用,這些都不利于煙草信息化的長遠發(fā)展。信息化的平穩(wěn)健康發(fā)展需要一個廣闊、開放、成熟、多元化的產(chǎn)品市場空間,在允許的情況下實施信息安全自主可控可以降低信息系統(tǒng)設備采購、開發(fā)、運維成本,滿足行業(yè)信息化發(fā)展的長遠戰(zhàn)略需要。

四項措施

實踐自主可控

“自主可控”從概念上分析,首先是“自主”,而后才能達到真正“可控”,“自主”是“可控”的必要條件。自主化不能簡單地理解成國產(chǎn)化,目前很多產(chǎn)品的國產(chǎn)化還是停留在對國外核心技術(shù)進行組裝式開發(fā)的基礎上,由于核心技術(shù)并不掌握在自己手中,因此這只能是一種準自主化或偽自主化,仍然存在一定的不可控因素、安全隱患。要實現(xiàn)信息安全系統(tǒng)的自主可控,就必須要求信息安全產(chǎn)品真正自主化。從狹義上講,使用國產(chǎn)自主化的軟硬件產(chǎn)品、技術(shù)和服務,是信息安全體系自主可控的基礎;從廣義上講,自主可控應該涵蓋信息化發(fā)展的全過程,各個環(huán)節(jié)都實現(xiàn)自主可控,這樣才能構(gòu)建完整的、自主可控的信息安全體系。具體來說,可以采取以下幾項措施:

1. 加強重視,應用系統(tǒng)建設與信息安全建設并重。

我們迫切需要緊跟形勢、轉(zhuǎn)變觀念、與時俱進,加強對信息安全的重視支持,應用系統(tǒng)建設與信息安全建設必須“兩手抓、兩手硬”,在信息化建設過程中,繼續(xù)堅持應用系統(tǒng)建設與信息安全建設同步規(guī)劃、同步實施、協(xié)調(diào)發(fā)展、均衡發(fā)展的原則,將信息系統(tǒng)安全體系建設融入到煙草信息化建設的全過程之中。

2. 加強政策引導,為信息安全設備的采購提供政策導向、標準體系。

煙草行業(yè)迫切需要在信息安全設備、產(chǎn)品、服務的選型上遵循以下原則:

(1)對于信息安全設備、產(chǎn)品、技術(shù)、服務的選型,能自主的應該自主,不能自主的必須實現(xiàn)可知、可控、可檢測;

(2)原則上使用國產(chǎn)設備,只有在無相應國產(chǎn)設備時方可使用已通過國家相關主管部門批準、指定、測評、鑒定、認證的國外設備,絕不使用未經(jīng)國家相關主管部門測評審核通過的設備;

(3)煙草企業(yè)必須和非自主的廠商(國產(chǎn)、非國產(chǎn))簽署明確的安全保密責任書。

3. 加強管理監(jiān)控,有效治理分發(fā)式安全威脅,提高可控性。

以管理舉措為主,配合使用技術(shù)手段加強對非自主化信息安全產(chǎn)品的監(jiān)控,有效治理、檢測、評估分發(fā)式安全威脅,提高可控性。檢測、治理分發(fā)式安全威脅的技術(shù)手段主要可分為以下幾類:

(1)對信息系統(tǒng)使用、運維過程中發(fā)現(xiàn)的漏洞要及時打好補丁,堵塞漏洞;

(2)“最小化配置”,即只啟用必需的進程、端口、服務、應用,其余的一律關閉;

(3)對信息安全產(chǎn)品定期做深度的安全檢測并作跟蹤記錄,不符合安全標準的產(chǎn)品堅決不使用,不能做到可控的產(chǎn)品不部署到核心關鍵應用場合;

(4)對于已經(jīng)在核心系統(tǒng)中使用的非自主產(chǎn)品,按要求進行及時加固和系統(tǒng)升級,對系統(tǒng)的運行進行嚴密的監(jiān)測,一旦發(fā)現(xiàn)異常行為應立即采取對策處置;

(5)“人本理論”,信息安全產(chǎn)品最終還是要為人所用,因此必須加強各級使用人員、維護人員、管理人員的教育培訓,通過實施配套嚴格的管理制度,提高信息安全防范意識,提升專業(yè)操作技能。

4. 加強自主研發(fā),提升信息化自主研發(fā)創(chuàng)新能力。

篇(4)

【關鍵詞】信息安全；數(shù)據(jù)庫；網(wǎng)絡應用；安全體系

1信息安全現(xiàn)狀

1.1目前醫(yī)院信息安全存在的問題根據(jù)衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知，三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)不得低于國家安全信息保護等級三級。據(jù)此我們對信息系統(tǒng)的各個方面進行了安全評估，發(fā)現(xiàn)主要有如下的問題：

（1）物理安全：機房管理混亂問題；機房場地效用不明確；機房人員訪問控制問題；

（2）網(wǎng)絡設備安全：訪問控制問題；網(wǎng)絡設備安全漏洞；設備配置安全；

（3）系統(tǒng)安全：補丁問題；運行服務問題；安全策略問題；訪問控制問題；默認共享問題；防病毒情況；

（4）數(shù)據(jù)安全：數(shù)據(jù)庫補丁問題；SQL數(shù)據(jù)庫默認賬號問題；SQL數(shù)據(jù)庫弱口令問題；SQL數(shù)據(jù)庫默認配置問題；（5）網(wǎng)絡區(qū)域安全：醫(yī)院內(nèi)網(wǎng)安全措施完善；醫(yī)院內(nèi)網(wǎng)的訪問控制問題；醫(yī)院內(nèi)外網(wǎng)互訪控制問題；

（6）安全管理：沒有建立安全管理組織；沒有制定總體的安全策略；沒有落實各個部門信息安全的責任人；缺少安全管理文檔。

1.2當前醫(yī)院信息安全存在的問題，主要表現(xiàn)在如下的幾個方面

（1）機房所處環(huán)境不合格，場地效用不明確，人員訪問控制不足，管理混亂。

（2）在辦公外網(wǎng)中，醫(yī)院建立了基本的安全體系，但是還需要進一步的完善，例如辦公外網(wǎng)總出口有單點故障的隱患、門戶網(wǎng)站有被撰改的隱患。

（3）在醫(yī)院內(nèi)網(wǎng)中，內(nèi)網(wǎng)與辦公外網(wǎng)之間沒有做訪問控制，存在蠕蟲病毒相互擴散的可能。

（4）沒有成立安全應急小組，雖然有相應的應急事件預案，但缺少安全預案的應急演練；缺少安全事件應急處理流程與規(guī)范，也沒有對安全事件的處理過程做記錄歸檔。

（5）沒有建立數(shù)據(jù)備份與恢復制度；缺少對備份的數(shù)據(jù)做恢復演練，保證備份數(shù)據(jù)的有效性和可用性，在出現(xiàn)數(shù)據(jù)故障的時候能夠及時的進行恢復操作。

2醫(yī)院信息安全總體規(guī)劃

2.1設計目標、依據(jù)及原則

2.1.1設計目標

信息系統(tǒng)是醫(yī)院日常工作的重要應用，存儲著重要的數(shù)據(jù)資源，是醫(yī)院正常運行必不可少的組成部分，所以必須從硬件設施、軟件系統(tǒng)、安全管理等方面，加強安全保障體系的建設，為醫(yī)院工作應用提供安全可靠的運行環(huán)境。

2.1.2設計依據(jù)

（1）《信息安全等級保護管理辦法》；

（2）《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則》；

（3）《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》；

（4）《電子計算機場地通用規(guī)范》。

2.1.3設計原則

醫(yī)院信息安全系統(tǒng)在整體設計過程中應遵循如下的原則：分級保護原則：以應用為主導，科學劃分網(wǎng)絡安全防護與業(yè)務安全保護的安全等級，并依據(jù)安全等級進行安全建設和管理，保證服務的有效性和快捷性。最小特權(quán)原則：整個系統(tǒng)中的任何主體和客體不應具有超出執(zhí)行任務所需權(quán)力以外的權(quán)力。標準化與一致性原則：醫(yī)院信息系統(tǒng)是一個龐大的系統(tǒng)工程，其安全保障體系的設計必須遵循一系列的標準，這樣才能確保各個分系統(tǒng)的一致性，使整個醫(yī)院信息系統(tǒng)安全地互聯(lián)互通、信息共享。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層被攻破時，其他層仍可保護系統(tǒng)的安全。易操作性原則：安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行。適應性及靈活性原則：安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化，要容易適應、容易修改和升級。

2.2總體信息安全規(guī)劃方案

2.2.1基礎保障體系

建設信息安全基礎保障體系，是一項復雜的、綜合的系統(tǒng)工程，是堅持積極防御、綜合防范方針的具體體現(xiàn)。目前醫(yī)院基礎保障體系已經(jīng)初具規(guī)模，但是還存在個別問題，需要進一步的完善。

2.2.2監(jiān)控審計體系

監(jiān)控審計體系設計的實現(xiàn)，能完成對醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控。通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內(nèi)部網(wǎng)絡的使用率、數(shù)據(jù)流量、應用提供比例、安全事件記錄、網(wǎng)絡設備的動作情況、網(wǎng)絡內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡整體風險情況等有較全面的了解。

2.2.3應急響應體系

應急響應體系的主要功能是采取足夠的主動措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個系統(tǒng)或整個網(wǎng)絡的可用性，完整性、數(shù)據(jù)的保密性。引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應該就地解決，以避免加重整個醫(yī)院信息網(wǎng)絡的安全風險。

2.2.4災難備份與恢復體系

為了保證醫(yī)院信息系統(tǒng)的正常運行，抵抗包括地震、火災、水災等自然災難，以及戰(zhàn)爭、網(wǎng)絡攻擊、設備系統(tǒng)故障和人為破壞等無法預料的突發(fā)事件造成的損害，應該建立一個災難備份與恢復體系。在這個體系里主要包括下面三個部分：政務內(nèi)網(wǎng)線路的冗余備份、主機服務器的系統(tǒng)備份與恢復、數(shù)據(jù)庫系統(tǒng)的備份與恢復。

3結(jié)論

通過對醫(yī)院的信息安全風險評估，我們發(fā)現(xiàn)了大量關于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)等等方面的漏洞。為了達到對安全風險的長期有效的管理，我們進行了具有體系性和原則性并能夠符合醫(yī)院實際需求的規(guī)劃。

參考文獻

[1]王立，史明磊.醫(yī)院信息系統(tǒng)的建設與維護[J].醫(yī)學信息，2007，20（3）.

[2]王洪萍，程濤.醫(yī)院信息系統(tǒng)安全技術(shù)分析[J].醫(yī)院管理雜志，2011，18（11）.

[3]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設備信息，2004，19（9）.

篇(5)

隨著信息化的高速發(fā)展，為企業(yè)及社會帶來了顯而易見的效益：提高的工作效率、減少的紙張浪費、快捷方便的通訊等等。但信息化也是一柄"雙刃劍"，尤其是在企業(yè)管理、商業(yè)保密等工作中，還存在著令人堪憂的隱患：

一是物理安全風險。物理安全風險包括計算機系統(tǒng)的設備、設施和信息面臨因自然災害、環(huán)境事故（如斷電）、人為物理操作失誤以及不法分子進行違法犯罪等風險。

二是數(shù)據(jù)安全風險。數(shù)據(jù)安全風險包括競爭性業(yè)務的經(jīng)營和管理數(shù)據(jù)泄漏，數(shù)據(jù)被人為惡意篡改或破壞等。

三是網(wǎng)絡安全風險。網(wǎng)絡安全風險包括病毒造成網(wǎng)絡癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡設備癱瘓、來自互聯(lián)網(wǎng)黑客的入侵威脅等。

二、保證企業(yè)信息安全的基本對策

2.1正確認識企業(yè)信息安全問題。

企業(yè)的信息安全問題，絕不僅僅是一個僅靠防火墻、密碼等等技術(shù)就能解決的問題，它還與人們的職業(yè)道德、社會道德以及企業(yè)管理等問題密切相關。因此，在維護企業(yè)信息安全時，我們必須站在宏觀的角度對問題進行考慮。在過去看來，一個企業(yè)信息的安全問題，是領導層或者IT單個部門的事情，但是憑少數(shù)人或部門的工作，對于保障公司的信息不被泄漏，防護信息存儲不被破壞、攻擊和偷盜是很難的事。筆者認為，意識指導行動，信息安全問題首先要解決的是員工的思想認識問題，只有企業(yè)的每一個人都認識到信息安全的重要性，才能在工作中自覺地維護信息安全。因為在任何一個體系中，人都是最活躍、最具有影響力和決定意義的因素，因此對于企業(yè)的信息安全問題而言，企業(yè)內(nèi)部員工才是保護信息安全的最可靠、最有效的重大保障。此外，還可以加強引進信息安全技術(shù)人才以及信息安全管理人才，并在日常工作中，加強對隊伍專業(yè)知識以及工作技能的培訓，從而為企業(yè)建設一支強有力的信息安全保衛(wèi)隊伍。其次信息管理部門要全面作好專業(yè)技術(shù)支持與防范工作，根據(jù)業(yè)務的需求采取適當?shù)谋Ｗo措施，實施專業(yè)應用系統(tǒng)。例如，保護企業(yè)信息安全的技術(shù)可以采用主動反擊、網(wǎng)絡入侵陷阱、密碼、取證、防火墻、安全服務、防病毒、可信服務、PKI服務、身份識別、備份恢復、網(wǎng)絡隔離等等保護產(chǎn)品以及保護技術(shù)，通過確保信息安全的最大化，來實現(xiàn)企業(yè)生產(chǎn)經(jīng)營持續(xù)發(fā)展以及經(jīng)濟效益的最大化。此外，還可以在工作的過程中，進一步優(yōu)化企業(yè)信息安全管理，并進行管理監(jiān)控以及安全風險評估，分析入侵防范、服務器架構(gòu)等等關鍵問題，以全面性、多角度的掌控，確保企業(yè)信息系統(tǒng)的安全性、穩(wěn)定性，因為信息安全問題不具有靜態(tài)性，信息管理始終處在一個不停變動的動態(tài)性過程，因此即使我們不可能確保信息的絕對安全，也必須做到相對安全，從而最大限度的降低企業(yè)風險。

2.2建立健全信息安全管理制度。

信息安全不僅是技術(shù)問題，更主要是管理問題。任何技術(shù)措施只能起到增強信息安全防范能力的作用，俗話說“三分技術(shù)，七分管理”，只有良好的管理工作才能使保障技術(shù)措施得到充分發(fā)揮，是能否對信息網(wǎng)絡實施有效信息安全保障的關鍵。現(xiàn)在中國石油股份有限公司內(nèi)控體系中涉及信息內(nèi)部控制的《信息系統(tǒng)總體控制辦法》（以下簡稱“GCC”）就很好的涵蓋了信息安全的各個方面，包括了機房管理、服務器管理、網(wǎng)絡管理和系統(tǒng)管理等。因此在實際的工作中，我們可以通過“三步驟”來實現(xiàn)企業(yè)信息的安全管理制度的健全化、完善化。第一，結(jié)合企業(yè)自身的實際，分析企業(yè)存在的問題以及預期的目標，制定具有科學性、合理性、實效性、可行性的信息安全管理制度，使保護信息安全工作做到有法可依，有章可循。第二，建立信息安全管理機構(gòu)，明晰信息安全管理負責人的職務和責任，并建立相應的考核機制和激勵機制，以督促、鼓勵相關負責人的工作，提高信息管理工作質(zhì)量。第三，真正貫徹管理措施，加強制度的執(zhí)行力度，只有這樣，才能從根本上實現(xiàn)管理工作以及工作目標，最終提高企業(yè)的信息安全管理水平。

三、加強企業(yè)信息安全保障的幾點措施

如何有效地解決企業(yè)信息安全的專業(yè)性管理與技術(shù)性防范，筆者認為可從以下幾個方面著手。

3.1實行嚴格的網(wǎng)絡管理。企業(yè)網(wǎng)與互聯(lián)網(wǎng)的物理隔離、防火墻設置以及端口限制，與互聯(lián)網(wǎng)相比安全性較高，但在日常運行管理中我們?nèi)匀幻媾R網(wǎng)絡鏈路維護、違規(guī)使用網(wǎng)絡事件等問題，具體而言：一是在IP資源管理方面，采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這樣，就不會出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡的情況；二是在網(wǎng)絡流量監(jiān)測方面，使用網(wǎng)絡監(jiān)測軟件查看數(shù)據(jù)、視頻、語音等各種應用的利用帶寬，防止頻繁進行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。三是加強服務器管理。常見應用服務器安裝的操作系統(tǒng)多為WindowsServer，可利用其自帶的安全管理功能進行設置，包括服務器安全審核、組策略實施、服務器的備份策略以及系統(tǒng)補丁更新等。

3.2加強客戶端監(jiān)管。對大多數(shù)單位的網(wǎng)管來說，客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個問題，這里推薦以下方法：

（1）將客戶端都加入到域中，使客戶端強制性納入管理員集中管理的范圍。

（2）只給用戶以普通域用戶的身份登錄到域，這樣就可以限制他們在本地計算機上安裝有安全隱患軟件的權(quán)利。

（3）實現(xiàn)客戶端操作系統(tǒng)補丁程序的自動安裝。

（4）利用企業(yè)IT部門的工作職能，設置熱線幫助和技術(shù)支持人員，統(tǒng)一管理局域網(wǎng)內(nèi)各客戶端問題。

3.3堅持進行數(shù)據(jù)備份。由于應用系統(tǒng)的加入，各種數(shù)據(jù)庫日趨增長，如何確保數(shù)據(jù)在發(fā)生故障或災難性事件情況下不丟失，是當前面臨的一個難題。從成本及易操作性考慮，這里推薦以下兩種數(shù)據(jù)備份方法：一種是用硬盤進行數(shù)據(jù)備份；另一種是采用本地磁盤陣列來分別實現(xiàn)各服務器的本地硬盤數(shù)據(jù)冗余。

篇(6)

在16天的雅典奧運會比賽中，記錄顯示有超過500萬起信息技術(shù)安全報警信息，其中嚴重警報425起、危急警報20起。而在都靈冬奧會的17天比賽期間，共統(tǒng)計到52，855，848起安全報警，嚴重警報達185個。

與往屆相比，2008年北京奧運會新增了很多需求，比如眾多遠距離場館的網(wǎng)絡聯(lián)通、參會人數(shù)的眾多等等。那么，如何保證比賽網(wǎng)絡的高可用性和實時性？如何保證賽事成績等機密信息不被篡改？如何保證系統(tǒng)設備持續(xù)運行不宕機？這一切成了各界人士關注奧運的焦點。為此記者采訪了北京2008奧運會信息安全負責人來針對這些問題做一一解答。

多層保護齊上陣

從硬件系統(tǒng)的服務器、工作站等網(wǎng)絡設備，到軟件系統(tǒng)如操作系統(tǒng)的版本、補丁、BIOS設置（軟驅(qū)、光驅(qū)、USB的控制等）、注冊表設置，比賽網(wǎng)的所有系統(tǒng)都采用標準定制和統(tǒng)一模式，以此保證更大程度的可控性。除非特殊需要，電腦上的軟驅(qū)、光驅(qū)和USB都是禁用的，數(shù)據(jù)僅通過FTP服務器在比賽網(wǎng)和管理網(wǎng)間進行傳輸。

軟件部分采取的措施起到了加固操作系統(tǒng)的作用，如: 屏蔽普通用戶安裝軟件的權(quán)限; 及時更新并統(tǒng)一管理全部的補丁; 關掉不需要的進程和全部熱鍵。保障安全的一個原則就是通過操作系統(tǒng)統(tǒng)一的認證平臺確保提供給用戶組最小的訪問權(quán)限，即僅授予該用戶組在能夠完成工作的前提下最小的權(quán)限。

為了保障比賽網(wǎng)的高可用性，所有的網(wǎng)絡設備（包括路由器、交換機等）、網(wǎng)絡鏈路（包括電信運營商的鏈路設備），甚至數(shù)據(jù)中心都是雙重備份的。這樣，一旦某個系統(tǒng)出現(xiàn)故障，就會馬上轉(zhuǎn)到另一個系統(tǒng)中運行，從而確保全網(wǎng)沒有一個地方會造成單點故障而影響整個網(wǎng)絡。

隔離網(wǎng)絡風險小

除了對系統(tǒng)、硬件、軟件采取措施外，為了保證網(wǎng)絡高安全性，比賽網(wǎng)絡采用與互聯(lián)網(wǎng)沒有聯(lián)系的獨立網(wǎng)絡以減少來自互聯(lián)網(wǎng)的攻擊。但是由于比賽網(wǎng)與合作伙伴等外界聯(lián)系的需要，系統(tǒng)集成過程中采用專門劃分的雙層認證DMZ（非軍事區(qū)）進行網(wǎng)絡邊界管理，對每個對外連接的節(jié)點進行嚴格的流量控制，并且所有對外鏈接都要經(jīng)過多重隔離。

據(jù)介紹，雙層DMZ中的第一層是在所有管理網(wǎng)、官方網(wǎng)的合作伙伴之間，如負責記分系統(tǒng)的OMEGA、負責電視廣播的北京奧林匹克廣播公司以及門戶網(wǎng)站搜狐等，第一層DMZ用來隔離較為可信的合作伙伴; 第二層DMZ則用來連接如國外的參賽報名系統(tǒng)、氣象信息匯報的氣象臺等不很可靠的互聯(lián)網(wǎng)連接。數(shù)據(jù)傳輸過程中的數(shù)據(jù)流向也是嚴格控制的，通常僅允許比賽網(wǎng)數(shù)據(jù)外傳，而從外向內(nèi)的傳輸則幾乎不被允許。

在網(wǎng)絡系統(tǒng)接入方面也采取了嚴格的準入制度。每一個網(wǎng)絡端口只允許特定的設備在通過嚴格的安全檢測后接入，一旦發(fā)現(xiàn)非法網(wǎng)絡接入企圖，網(wǎng)絡監(jiān)控系統(tǒng)便會立刻通知場館IT管理人員進行檢查。

網(wǎng)絡流量的分段是保障網(wǎng)絡安全的另一個重要手段。比賽網(wǎng)中不同的應用系統(tǒng)，如IDS、CIS、OVR、GMS等都運行于完全相隔的獨立虛擬網(wǎng)段（VLAN）中，由于跨越VLAN的流量會受到嚴格的訪問控制列表（ACL）的限制，任何非正常的跨越VLAN的流量都會觸動安全報警系統(tǒng)。這就保證了當一個系統(tǒng)受到攻擊時，其他系統(tǒng)都不會受到任何影響。

特別的安全等級制度

源訊及其合作伙伴為奧運專門開發(fā)的安全信息管理系統(tǒng)可謂是比賽網(wǎng)安全保障的核心所在，它是比賽網(wǎng)業(yè)務系統(tǒng)底層服務形態(tài)的支持系統(tǒng)，管理所有比賽網(wǎng)點發(fā)送的報警信息，保障奧運比賽網(wǎng)的信息安全。

篇(7)

【關鍵詞】信息安全； 威脅；防御策略；防火墻

1 計算機信息網(wǎng)絡安全概述

所謂計算機信息網(wǎng)絡安全，是指根據(jù)計算機通信網(wǎng)絡特性，通過相應的安全技術(shù)和措施，對計算機通信網(wǎng)絡的硬件、操作系統(tǒng)、應用軟件和數(shù)據(jù)等加以保護，防止遭到破壞或竊取，其實質(zhì)就是要保護計算機通訊系統(tǒng)和通信網(wǎng)絡中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機通信網(wǎng)絡的安全是指揮、控制信息安全的重要保證。

根據(jù)國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計，通過分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次，每天捕獲最多的次數(shù)高達4369次。因此，隨著網(wǎng)絡一體化和互聯(lián)互通，我們必須加強計算機通信網(wǎng)絡安全防范意思，提高防范手段。

2 計算機信息安全常見的威脅

以上這些因素都可能是計算機信息資源遭到毀滅性的破壞。像一些自然因素我們是不可避免的，也是無法預測的；但是像一些人為攻擊的、破壞的我們是可以防御的、避免的。因此，我們必須重視各種因素對計算機信息安全的影響，確保計算機信息資源萬無一失。

3 計算機信息的安全的防御策略

根據(jù)計算機網(wǎng)絡系統(tǒng)的網(wǎng)絡結(jié)構(gòu)和目前一般應用情況，我們采取可兩種措施：一是，采用漏洞掃描技術(shù)，對重要網(wǎng)絡設備進行風險評估，保證網(wǎng)絡系統(tǒng)盡量在最優(yōu)的狀態(tài)下運行；二是，采用各種計算機網(wǎng)絡安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：防火墻技術(shù)、VPN技術(shù)、網(wǎng)絡加密技術(shù)、身份認證技術(shù)、網(wǎng)絡的實時監(jiān)測。

3.1 漏洞掃描技術(shù)

漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得到目標主機開啟的端口以及端口上的網(wǎng)絡服務，將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊的安全漏洞掃描，如測試弱口令等，若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。

3.2 防火墻技術(shù)

防火墻是網(wǎng)絡安全的屏障，一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境更安全，信息的安全就得到了保障。使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。

防火墻一般是指用來在兩個或多個網(wǎng)絡間加強訪問控制的一個或一組網(wǎng)絡設備。從邏輯上來看，防火墻是分離器、限制器和分析器；從物理上來看，各個防火墻的物理實現(xiàn)方式可以多種多樣，但是歸根結(jié)底他們都是一組硬件設備（路由器、主機）和軟件的組合體；從本質(zhì)上來看，防火墻是一種保護裝置，它用來保護網(wǎng)絡數(shù)據(jù)、資源和合法用戶的聲譽；從技術(shù)上來看，防火墻是一種訪問控制技術(shù)，它在某個機構(gòu)的網(wǎng)絡與不安全的網(wǎng)絡之間設置障礙，阻止對網(wǎng)絡信息資源的非法訪問。

3.3 計算機網(wǎng)絡的加密技術(shù)（ipse）

采用網(wǎng)絡加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾浴Ｋ梢越鉀Q網(wǎng)絡在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可以解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。IP層是TCP/IP網(wǎng)絡中最關鍵的一層，IP作為網(wǎng)絡層協(xié)議，其安全機制可以對其上層的各種應用服務提供透明的覆蓋安全保護。IP安全是整個TCP/IP 安全的基礎，是網(wǎng)絡安全的核心。ipse 提供的安全功能或服務主要包括：訪問控制、無連接完整性、數(shù)據(jù)起源認證、抗重放攻擊、機密性、有限的數(shù)據(jù)流機密性。

3.4 身份認證

身份認證的作用是阻止非法實體的不良訪問。有多種方法可以認證一個實體的合法性，密碼技術(shù)是最常用的，但由于在實際系統(tǒng)中有許多用戶采用很容易被猜測的單詞或短語作為密碼，使得該方法經(jīng)常失效。其他認證方法包括對人體生理特征的識別、智能卡等。隨著模式識別技術(shù)的發(fā)展，身份識別技術(shù)與數(shù)字簽名等技術(shù)結(jié)合，使得對于用戶身份的認證和識別更趨完善。

3.5 入侵檢測技術(shù)

入侵檢測技術(shù)是對入侵行為的檢測，他通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其他網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊，外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。

3.6 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)（Virtual private Network，VPN） 是一門網(wǎng)絡技術(shù)，提供一種通過公用網(wǎng)絡安全地對企業(yè)內(nèi)部專用網(wǎng)絡進行遠程訪問的連接方式；是通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立起一個臨時的、安全的連接，是一條穿過不安全的公用網(wǎng)絡的安全、穩(wěn)定的隧道。

下面，我們主要談一下防火墻在網(wǎng)絡信息安全中的應用。

4 防火墻防御策略

4.1 防火墻的基本概念

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡（如Internet）分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡通信時執(zhí)行的一種訪問控制手段，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡，防止他們更改、復制和毀壞你的重要信息。

4.2 防火墻的功能

1）過濾掉不安全服務和非法用戶。

2）控制對特殊站點的訪問。

3）提供監(jiān)視Internet安全和預警的方便端點。

4.3 防火墻的優(yōu)點

1）防火墻能強化安全策略

因為Internet上每天都有上百萬人在那里收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的"交通警察"，它執(zhí)行站點的安全策略，僅僅容許"認可的"和符合規(guī)則的請求通過。

2）防火墻能有效地記錄Internet上的活動

因為所有進出信息都必須通過防火墻，所以防火墻非常適用收集關于系統(tǒng)和網(wǎng)絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡和外部網(wǎng)絡之間進行記錄。

3）防火墻限制暴露用戶點

防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播。

4）防火墻是一個安全策略的檢查站

所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

4.4 防火墻的不足

1）防火墻不能防范不經(jīng)由防火墻的攻擊。例如，如果允許從受保護網(wǎng)內(nèi)部不受限制的向外撥號，一些用戶可以形成與Internet的直接的連接，從而繞過防火墻，造成一個潛在的后門攻擊渠道。

2）防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。

3）防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。當有些表面看來無害的數(shù)據(jù)被郵寄或復制到Internet主機上并被執(zhí)行而發(fā)起攻擊時，就會發(fā)生數(shù)據(jù)驅(qū)動攻擊。

4.5 防火墻的類型

根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡地址轉(zhuǎn)換―NAT、型和狀態(tài)監(jiān)測型。

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡中的分包傳輸技術(shù)，工作在網(wǎng)絡層。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標地址、源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。但包過濾防火墻的缺點有三：一是，非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是，數(shù)據(jù)包的源地址、目的地址以及IP 的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒；三是，無法執(zhí)行某些安全策略。

網(wǎng)絡地址轉(zhuǎn)化―NAT。 “你不能攻擊你看不見的東西”是網(wǎng)絡地址轉(zhuǎn)換的理論基礎。網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。當數(shù)據(jù)包流經(jīng)網(wǎng)絡時，NAT將從發(fā)送端的數(shù)據(jù)包中移去專用的IP地址，并用一個偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當一個數(shù)據(jù)包返回到NAT系統(tǒng)，這一過程將被逆轉(zhuǎn)。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。如果黑客在網(wǎng)上捕獲到這個數(shù)據(jù)包，他們也不能確定發(fā)送端的真實IP地址，從而無法攻擊內(nèi)部網(wǎng)絡中的計算機。NAT技術(shù)也存在一些缺點，例如，木馬程序可以通過NAT進行外部連接，穿透防火墻。

型防火墻也可以被稱為服務器，它的安全性要高于包過濾型產(chǎn)品， 它分為應用層網(wǎng)關和電路層網(wǎng)關。服務器位于客戶機與服務器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，服務器相當于一臺真正的服務器；而從服務器來看，服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給服務器，服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)， 然后再由服務器將數(shù)據(jù)傳輸給客戶機。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部結(jié)構(gòu)的作用，這種防火墻是網(wǎng)絡專家公的最安全的防火墻。缺點是速度相對較慢。

監(jiān)測型防火墻是新一代的產(chǎn)品，這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的，也稱為動態(tài)包過濾防火墻。總的來說，具有：高安全性，高效性，可伸縮性和易擴展性。實際上，作為當前防火墻產(chǎn)品的主流趨勢，大多數(shù)服務器也集成了包過濾技術(shù)，這兩種技術(shù)的混合顯然比單獨使用具有更大的優(yōu)勢。總的來說，網(wǎng)絡的安全性通常是以網(wǎng)絡服務的開放性和靈活性為代價的，防火墻只是整個網(wǎng)絡安全防護體系的一部分，而且防火墻并非萬無一失。除了使用了防火墻后技術(shù)，我們還使用了其他技術(shù)來加強安全保護，數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來重新組織數(shù)據(jù)，使得除了合法受者外，任何其他人想要恢復原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)是指同時運用一個密鑰進行加密和解密，非對稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.6 防火墻的配置

1）雙宿堡壘主機防火墻

一個雙宿主機是一種防火墻，擁有兩個聯(lián)接到不同網(wǎng)絡上的網(wǎng)絡接口。例如，一個網(wǎng)絡接口聯(lián)到外部的不可信任的網(wǎng)絡上，另一個網(wǎng)絡接口聯(lián)接到內(nèi)部的可信任的網(wǎng)絡上。這種防火墻的最大特點是IP層的通信是被阻止的，兩個網(wǎng)絡之間的通信可通過應用層數(shù)據(jù)共享或應用層服務來完成。一般情況下，人們采用服務的方法，因為這種方法為用戶提供了更為方便的訪問手段。

2）屏蔽主機防火墻

這種防火墻強迫所有的外部主機與一個堡壘主機相聯(lián)接，而不讓它們直接與內(nèi)部主機相連。為了實現(xiàn)這個目的，專門設置了一個過濾路由器，通過它，把所有外部到內(nèi)部的聯(lián)接都路由到了堡壘主機上。下圖顯示了屏蔽主機防火墻的結(jié)構(gòu)。

3）屏蔽主機防火墻

在這種體系結(jié)構(gòu)中，堡壘主機位于內(nèi)部網(wǎng)絡，屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng)，它是防火墻的第一道防線。屏蔽路由器需要進行適當?shù)呐渲茫顾械耐獠柯?lián)接被路由到堡壘主機上。并不是所有服務的入站聯(lián)接都會被路由到堡壘主機上，屏蔽路由器可以根據(jù)安全策略允許或禁止某種服務的入站聯(lián)接（外部到內(nèi)部的主動聯(lián)接）。

對于出站聯(lián)接（內(nèi)部網(wǎng)絡到外部不可信網(wǎng)絡的主動聯(lián)接），可以采用不同的策略。對于一些服務，如Telnet，可以允許它直接通過屏蔽路由器聯(lián)接到外部網(wǎng)而不通過堡壘主機；其他服務，如WWW和SMTP等，必須經(jīng)過堡壘主機才能聯(lián)接到Internet，并在堡壘主機上運行該服務的服務器。怎樣安排這些服務取決于安全策略。

5 結(jié)束語

隨著信息技術(shù)的發(fā)展，影響通信網(wǎng)絡安全的各種因素也會不斷強化，因此計算機網(wǎng)絡的安全問題也越來越受到人們的重視，以上我們簡要的分析了計算機網(wǎng)絡存在的幾種安全隱患，以及一般采取的幾種安全防范策略，主要討論了防火墻在網(wǎng)絡信息安全中所起到的作用。總的來說，網(wǎng)絡安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術(shù)方案和相關的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡系統(tǒng)，隨著計算機網(wǎng)絡技術(shù)的進一步發(fā)展，網(wǎng)絡安全防護技術(shù)也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。

【參考文獻】

[1]田園.網(wǎng)絡安全教程[M].人民郵電出版社，2009.