信息安全——中小企业值得关注的话题

　　当前危及信息系统安全的事例时有发生，导致人们开始注意保护自己的数据库或网络信息不致因为安全问题而泄密或被人非法侵入或遭受毁灭性攻击。信息安全的问题不仅对于一个企业或集团乃至国家尤为重要，而且对于国民经济和社会发展的稳定关系极大。本文仅就当前有关网络信息安全存在的缺陷或问题提出一些看法。　　

　　据调查，美国每年因为网络安全造成的经济损失超过170亿美元。75％的公司报告财政损失是由于计算机系统的安全问题造成的。超过50％的安全威胁来自内部；只有17％的公司愿意报告黑客入侵，其他的由于担心负面影响而未声张。59％的损失可以定量估算。平均每个组织损失40.2万美元。　　

　　据统计，我国企业因防止泄密多数据而休整信息网络安全漏洞的投入多达7000万元　　

　　来自网络系统的安全威胁有：操作系统的安全性、防火墙的安全性、来自内部网用户的安全威胁、缺乏有效的监督机制和评估网络系统安全性手段、采用的TCP/IP协议族软件缺乏安全性、网络不能对来自电子邮件携带的病毒以及WEB 浏览可能存在的恶意Java/ActiveX控件进行有效控制以及应用服务的安全隐患。　　

　　ISO 将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。动态信息“计算机安全”应在前面定义的基础上再加上“保证系统连续正常运行”。　　

　　计算机安全的内容应包括两个方面：即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。保密性指高级别信息仅在授权情况下流向低级别的客体与主体；完整性指信息不会被非授权修改并且信息保持一致性等；可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。　　

　　一个系统存在的安全问题主要来源于两个方面：或是安全控制机构有故障；或是系统安全定义有缺陷。美国国防部（DOD）于1985年出版了《可信计算机系统的评价准则》使计算机系统的安全性评估有了一个权威性的标准。DOD将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。　　

　　网络系统的安全涉及到平台的各个方面。按照网络OSI 的7层模型，网络安全贯穿于整个7层模型。针对网络系统实际运行的TCP/IP 协议，网络安全贯穿于信息系统的几个层次，主要包括以下几种安全：　　

　　（1）物理层安全：主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）。

　　（2）链路层安全：需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN、加密通讯（远程网）等手段。

　　（3）网络层安全：需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。

　　（4）操作系统安全：保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。

　　（5）应用平台安全：应用平台指建立在网络系统之上的应用软件服务器，如数据库服务器、电子邮件服务器、WEB 服务器等。其安全通常采用多种技术（如SSL等）来增强应用平台的安全系统。

　　（6） 应用系统安全：使用应用平台提供的安全服务来保证基本安全，如通过通讯双方的认证、审计等手段。　　

　　系统安全体系应具备以下功能：建立对特定网段、服务的访问控制体系；检查安全漏洞；建立入侵性攻击监控体系；主动进行加密通讯；建立良好的认证体系；进行良好的备份和恢复机制；进行多层防御，隐藏内部信息并建立安全监控中心等。