【原】今天开始聊聊信息安全

  

之前一直在讲密码学，今天我们把层次抬高一点，也开始聊聊信息安全。信息安全即信息本身的安全，而不管是否应用了计算机作为信息处理的手段。信息安全的任务是保护信息财产，以防止偶然的或未授权者对信息的恶意泄露、修改和破坏，从而导致信息的不可靠或无法处理等。在最大限度地利用信息为我们服务的同时而不招致损失或使损失最小。

基于网络的应用系统，如电子商务，电子政务系统，都面临着高风险的内外部环境,如下图。

因此其信息安全建设是一个整体的系统解决方案，它应该包括物理安全，网络安全，应用安全和数据安全这几个方面：

1、物理层安全

很多物理因素，如地震、水灾、火灾、雷击等自然灾害，电源故障，人为操作失误或错误，电磁干扰，线路截获等，都对信息系统的安全构成威胁，保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理层的安全设计应从三个方面考虑：环境安全、设备安全、线路安全。采取的措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密等。另外，根据有关文件规定，凡是计算机同时具有内网和外网的应用需求，必须采取网络安全隔离技术，在计算机终端安装隔离卡，使内网与外网之间从根本上实现物理隔离，防止涉密信息通过外网泄漏。

2、数据链路层安全

主要是利用VLAN技术将内部网络分成若干个安全级别不同的子网，从而实现内部一个网段与另一个网段的隔离。有效防止某一网段的安全问题在整个网络传播。因此，对于一个网络，若某个网段比另一个网段更受信任，或某个网段的敏感度更高，将可信网段与不可信网段划分在不同的VLAN中，即可限制局部网络安全问题对全网造成影响。

3、网络层安全

①防火墙技术：防火墙是实现网络信息安全的最基本设施，采用包过滤或代理技术使数据有选择的通过，有效监控内部网和外部网之间的任何活动，防止恶意或非法访问，保证内部网络的安全。不同应用的网络边界都应安装防火墙，并实施相应的安全策略控制。

 ②入侵检测技术（IDS）：IDS是近年出现的新型网络安全技术，通过从计算机网络系统中若干关键节点收集信息并加以分析，监控网络中是否有违反安全策略的行为或者是否存在入侵行为，它能提供安全审计、监视、攻击识别和反攻击等多项功能，并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等，是安全防御体系的一个重要组成部分。

③数据传输安全技术：为保证数据传输的机密性和完整性，同时对拨号用户的接入采用强制身份认证。

4、应用层安全

根据电子政务专用网络的业务和服务内容，可以采用身份认证技术、防病毒技术以及对各种应用的安全性增强配置服务来保障网络系统在应用层的安全。

①身份认证技术：公共密钥基础设施（简称PKI）是由硬件、软件、各种产品、过程、标准和人构成的一体化的结构，正是由于它的存在，才能在电子事务处理中建立信任和信心。PKI可以做到：确认发送方的身份；保证发送方所发信息的机密性；保证发送方所发信息不被篡改；发送方无法否认已发该信息的事实。

②防病毒技术：病毒是系统最常见、威胁最大的安全隐患，建立一个全方位的病毒防范系统是电子政务安全体系建设的重要任务。

5、系统层安全

系统层安全主要包括两个部分：操作系统安全以及数据库安全。对于关键的服务器和工作站（如数据库服务器、WWW服务器、代理服务器、Email服务器、病毒服务器、主域服务器、备份域控服务器和网管工作站）应该采用服务器版本的操作系统。数据库管理系统应具有如下安全能力：用来决定用户是否有权访问数据库对象；保证只有授权的合法用户才能注册和访问；对不同的用户访问数据库授予不同的权限；监视各用户对数据库施加的动作；能够提供与安全相关事件的审计能力。

信息安全是一个不断建设、不断加固的过程。它是随着应用系统的增多，重要性的增加而不断升级的过程。必须有合理的成本和成本控制。安全保密技术和策略要遵循国家标准，从应用需求和本级财力的实际出发，与时俱进，以安全性得到可靠保证为尺度进行建设。

综上所述, 信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和；信息安全的最终目标是确保信息的机密性、完整性、不可否认性、可用性和可控性。因此信息安全最终必然形成从技术、管理、组织等多方面入手综合解决方案。