苗欣欣

摘 要：信息系统的安全性日益重要，通过信息系统的安全因素、安全隐患、安全机制得出构筑信息系统安全性需要解决的问题，并对信息系统中应用的计算机信息安全的相关技术及策略进行探讨。

关键词：计算机 信息系统 安全防火墙

计算机科学与技术的不断发展和计算机的广泛运用，促进了社会的进步和繁荣，给人类创造了巨大的财富。尤其是计算机网络的发展，使信息共享广泛用于金融、贸易、商业、企业、教育等各个领域。由于信息在网络上存储、共享和传输会被非法窃听、截取、篡改或破坏而导致不可估量的损失，相应的不可避免带来了系统的脆弱性，使其面临严重的安全问题。

一、计算机信息系统安全的重要性

计算机信息系统安全是指组成计算机信息系统的硬件、软件及数据能受到保护，不会因偶然或恶意的原因遭到破坏、更改或泄露，能保证系统安全、连续、正常运行。。计算机信息系统在运行操作、管理控制、经营管理计划、战略决策等社会经济活动各个层面的应用范围不断扩大，发挥着越来越大的作用。信息系统中处理和存储的，既有日常业务处理信息、技术经济信息，也有涉及企业或政府高层计划、决策信息，其中相当部分是属于极为重要并有保密要求的。信息系统的任何破坏或故障，都将对用户以至整个社会产生巨大的影响。信息系统安全上的脆弱性表现得越来越明显，信息系统的安全日显重要。

二、计算机信息系统面临的威胁

由于计算机信息有共享性和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用和丢失，甚至被泄露、窃取、篡改、冒充和破坏，又有可能受到计算机病毒的感染，人们对威胁计算机信息系统安全形式的分类也日益复杂和困难。具体来说，信息系统正面临来自用户或某些程序的如下威胁：

1）非授权存取：窃取用户账号、操作指令；避开访问控制机制；身份攻击；假冒：特洛伊木马术，越权操作。

2）信息泄漏：计算机信息系统工作时所杂散辐射的电磁波、机械振动、声音等信号被非法用户截获和收集，处理后复原原信息从而达到窃取信息的目的。

3）破坏系统功能，摧毁系统：定时炸弹；逻辑炸弹。

4）计算机病毒：利用网络传播病毒，对特定和非特定用户实施攻击。

5）干扰系统服务：攻击服务程序，使系统瘫痪不能正常服务，改变服务程序；使系统服务响应减慢：干扰服务流程，使合法用户得不到正常服務。

三、信息系统安全性采取的措施

1、物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件和通信链路免受自然灾害、人为破坏和搭线攻击：验证用户的身份和使用权限、防止用户的越权操作。为保障整个系统功能的安全实现，需要一套行之有效的安全措施，来保护信息处理过程的安全，其中包括：风险分析、审计跟踪，备份恢复、应急等，制定必要的、具有良好可操作性的规章制度，去进行制约，是非常必要和重要的，而且是非常紧迫的。

2、信息安全措施

数据是信息的基础，是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工，传递等数据流动的各个环节进行精心组织和严格控制，确保数据的准确性、完整性、及时性，安全性，适用性和共享性。

1）内部网络安全：由于局域网采用以交换机为中心，路由器为边界的网络格局，又基于中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制，其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，这是一重要的措施。在集中式网络环境下，可以将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。

2）广义网络的安全：由于广域网采用公网来进行数据传输，信息在广域网上传输时被截取和利用就比局域网要大得多。因此，必须采取必要的手段，使得在广域网上的信息传输是安全的。首先是运用加密技术，不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络的数据加密来保障网络的安全可靠性。其次是VPN（虚拟专网）技术的运用。VPN技术的核心是采用隧道技术，将企业专用网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃取。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低。

3）外网的安全

外网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。针对外网的安全，主要有以下两种措施：

a、防火墙技术。防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。同时防火墙还可以限定内外网通信主体和通信协议。目前防火墙有以下几种：包过滤防火墙；双宿主主机防火墙；屏蔽主机网关防火墙；屏蔽子网防火墙。

b、入侵检测技术。入侵检测是一种主动安全的保护技术，作为防火墙之后的第2道安全闸门，实时监视网络活动，并对数据进行分析，以检测发生和可能发生的攻击，并对网络行为进行审计。从而扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。

当今社会信息化程度不断提高，信息系统的安全与否已成为国家安全的重要因素。建立完善的信息系统安全管理体系已成为重中之重。信息系统既是一个技术系统，又是一个社会系统，现代信息系统的安全规划和策略实施是一项复杂的系统工程。研究信息系统安全体系有助于构筑合理的安全信息系统，在我国具有广阔的发展前景。