在互联网条件下的计算机信息安全与对策研究

黄丁顺

黄丁顺/浙江艺术职业学院讲师,硕士（浙江杭州310053）。

一段时间来不断有媒体爆料，美国情报机构利用电信电话、互联网中央服务器监视监听各国政要，利用顶级互联网公司的音频、视频、照片、电子邮件、文件和连接日志，追踪个人用户的动向和联系人。这一事件经互联网及各大媒体的传播一时世人哗然，吸引了全世界人的目光，人们开始思考自己赖以生存的这个网络世界，满足自己各种需求的同时还有多少个人的隐私不会被第三只眼睛所窥视，信息安全问题再次成为民众热议的一个重要话题。

一、信息安全问题

实际上信息安全从来都不是一个小问题，大到国家政治、经济、国防、科技和文化层面、企业商业机密，小到防范不良信息、个人信息、金融资产不受侵害等等。早期的信息安全是以密码论为基础的辅以计算机技术、通信网络技术与编码程序来实现的计算机安全领域，计算机信息安全发展到现在已经从传统意义上的计算机安全延伸到整个计算机网络系统的安全，从单纯的技术问题上升到技术、管理和法律相融合的综合性安全体系。

然而，从20世纪90年代开始，随着计算机技术的革命、互联网技术的发展、计算机的不断普及，信息的易传播、易拷贝、易扩散性和信息赖以生存的计算机网络系统的脆弱性所带来的危害也愈加突出。如何保证信息和信息系统的安全也就成了必须要解决的问题。

二、信息安全的现状

根据美国FBI最新发布的安全调查报告显示，信息安全排在前三位的依次是病毒、间谍活动、笔记本和移动设备被盗，超过20%的组织说他们的端口被监听、网络或者数据被破坏。中国IDC2006的调查报告也表明，在IT安全领域最具威胁的都是和“安全内容管理”直接相关的安全问题。其中以“病毒、木马及恶意代码”最为严重，其次为垃圾邮件和对内部数据恶意篡改和盗用。归纳起来主要存在以下三方面问题。

1．核心技术对外依存度较高带来的致命安全隐患。这是全球绝大多数国家面临的一个非常突出的问题，根据美国前防务承包商雇员爱德华·斯诺登泄密的文件显示，美国国家安全局能利用超级计算机、技术标准、法庭命令和幕后劝说等多种途径，秘密攻破或绕开现有互联网加密技术，获取私密信息他们与国内外的科技公司合作，在公司的产品中植入“后门”，让这些产品可利用，利用作为世界上经验最丰富的密码设计者的影响力，秘密地在世界各地软硬件开发商所遵循的加密标准上设置薄弱环节，在国际标准中设置漏洞等等，致使全球网络通信在美情报机构面前无秘密可言，引起全球恐慌。

纵观全球网络设备，CPU、OS、路由器、技术标准、数据库以及根服务器等核心技术基本出自美国。前一阵子媒体曝光美国顶级互联网公司协助美国政府监控民众的消息后，相关企业和高管很快发表声明加以否认，表示并没有允许政府机构“直接访问”自己的服务器。但事实是美国在立法监听互联网方面，在情报搜集和监听等间谍活动方面，都有着完备的法律、技术体系。从1934年美国的联邦通信法案开始，历经八十年的锻造，已经从体制上保证了其情报搜集的合法性、高效性、全面性，甚至于美国情报法案尤其是CALEA规定电信运营商必须提供监听服务。美国境内的通信设备生产商、通信服务提供商，均具备从事网络监听和间谍活动的义务和动机。这给国家的政治、军事、经济、文化和社会生活的信息安全带来前所未有的挑战。世界上许多国家不得不用“墙”将自己围起来，搞自己的局域网、国域网，大力发展自主创新技术来应对对外设备依存度带来的极大危害。

2．信息安全法律法规还不够完善。一些发达国家已经制定或正在着力制定自己的国家信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。1995年英国率先推出BS7799信息安全管理标准，2000年被国际标准化组织认可为国际标准ISO／IEC17799。在2000年10月美参议院通过一项《互联网网络完备性及关键设备保护法案》。2000年9月，俄罗斯实施了关于网络信息安全的法律等。随着20世纪80年代IS09000质量管理标准的出现及随后在全世界的推广应用，信息安全管理也随之步入了标准化与系统化管理的轨道。

健全的信息安全法律法规体系是确保国家信息安全的基石，是信息安全的第一道防线。我国亦已建立了一批涉及网络、信息系统、信息内容、安全产品、金融等特定领域的信息安全法律、行政法规与部门规章等三个层面的一些规范性文件，对组织和个人的信息行为提出了安全要求。但是从整体看我国的法律法规体系还存在诸多不完善的现象，有的出现内容交叉重复，甚至规章与行政法规相互抵触；法律法规建设跟不上信息技术发展的需要，信息安全标准体系还处在发展和建立阶段。安全规划、风险管理、教育培训、系统评估、安全认证、检查问责等有关安全信息管理方面还存在诸多问题。特别是国家信息基础设施建设方面，尽管也出台了《电信业务经营许可证管理办法》等一些法律文件，但在构成我国信息基础设施的网络、硬件、软件等产品的引进和开发上还存在重大安全隐患。

3．信息安全管理意识还比较淡薄。以计算机、现代通信和网络技术为核心的计算机信息系统，在给企业提高工作效能，提升核心竞争力的同时也给企业带来了前所未有的安全隐患。大多数企、事业单位还缺乏信息安全方面的意识，个人用户安全意识仍然淡薄。对信息资产面临威胁的严重性认识不足，没有形成一个合理的信息安全方针来指导企业、单位和部门的信息安全管理工作，缺乏行之有效的信息安全保障措施，现有的安全规章制度也不能很好地贯彻和实施。重视安全技术、轻视安全管理的现象还普遍存在，大多数企、事业单位和部门仍停留在传统的管理模式，一些高性能的安全技术设施成了聋子的耳朵，缺乏系统管理的思想。

三、信息安全问题的对策及解决途径

信息安全说到底是要使信息、信息系统得到妥善的保护，使系统硬件、软件、数据、物理环境及其基础设施等不受侵犯，不会因偶然或者恶意的原因而遭到破坏、更改和泄漏。保证信息及其系统能够安全、连续、可靠、正常地运行，应该从以下几个方面着手。

1．着力打造网络信息系统基础安全。网络信息系统安全的一个重要来源是系统实体和信息资源本身不受威胁。这就要求要搞好信息系统的基础设施建设，做好环境维护、防火防盗、防静电雷击、电磁泄漏等等。要尽量避开强电磁场，远离噪声源、振动源，保持系统电源稳定可靠运行。要保证设备具有良好的接地系统，经常检查重要部门的各种电器的安全，做好相应的防火措施。要防止重点单位和部门的电磁信号泄漏，采取有效措施，做好保密工作，避免电磁信号被高灵敏度的接收设备所截获和还原。对于一些特别重要的计算机系统及外部设备，要根据安全等级做好防盗报警设施，防止计算机或移动设备失窃、更改造成计算机重要数据丢失现象的发生。

2．采取技术措施做好计算机系统信息的自身安全。抛开网络和系统环境等因素的影响，具体考虑系统信息本身的安全时，要采取信息加密技术，通过信息鉴别认证、信息访问控制等技术手段，提高信息自身的安全级别。

信息加密技术是解决网络信息安全问题的核心技术，通过对传输数据加密，存储数据加密可在很大程度上提高数据在传输过程中的安全，保证传输数据的完整性不受侵犯。进行数据加密的算法很多，如今普遍使用的加密算法，在很大程度上能够保证敏感信息的机密性和完整性不被破坏。

进行网络信息认证是解决信息在交互过程中参与各方身份和资信认定的技术措施，使交互各方的身份真实性得到保证。采用公开密钥加密技术基础上的数字签名技术，通过规范化的程序和科学化的手段鉴定签名人身份及其对电子数据内容的认可程度，验证文件在传输过程中的变化，保证传输电子文件的真实性、完整性不受侵犯，从而达到信息传递的安全、可靠、完整和不可抵赖性的实现。

3.做好病毒预防措施，确保系统安全运行。计算机病毒是一种非常小的会不断自我复制、隐藏和感染其他文件或程序的代码。在系统执行过程中，会对计算机及其信息系统造成破坏。计算机病毒的最大特点就是具有非授权的执行性、隐蔽性、传染性、潜伏性、可触发性和具有破坏性，要做好计算机病毒的预防，对计算机及其文件进行定期杀毒和实时扫描。因此在计算机的日常运行中，一定要注意做好以下几个方面：一是要尊重知识产权，使用合法原版的软件；二是要提高安全意识，及时将重要资料进行备份；三是不要随意使用来路不明的文件或磁盘，养成对使用的文件和磁盘先行杀毒的习惯；四是要准备好一些防毒、扫毒和杀毒的软件，定期使用。只有养成良好的网络应用习惯，做到预防为主，才能防患于未然，确保计算机的系统安全。

4．提高信息安全意识，防止信息随意泄漏。在网络应用过程中，要培养良好的网络应用习惯、专机专用，不随意在不了解的网站上填写用户信息；不随意在公用计算机上输入用户资料；不随意打开来路不明的邮件(尤其是附件)和陌生人通过QQ等即时通信工具发送的文件和链接；给计算机设置足够安全的字母和数字混合密码，确保单位和个人信息不被泄露。要防止计算机及其网络设备在保修、报废过程中的信息泄漏现象，保修报废的计算机及其网络设备可能还存在着大量的数据信息、过程文件等，可以通过一定技术手段加以还原。要制定和规范计算机及其网络设备的保修、报废工作流程，严格执行有关涉密设备的处理规定，防止涉密信息随设备流失的现象发生。

5．加强安全立法，为网络信息安全保驾护航。加强国家的信息安全立法工作，为网络信息安全提供法律保护。进一步完善信息安全法律法规体系，加强信息安全执法力度，严厉打击网络违法犯罪活动，保护企业和个人的合法权益不受侵害。大力推进信息安全等级制度，根据信息所处的社会地位和经济价值，采取科学、合理的分级保护措施。对于涉及国计民生的国家关键信息基础设施加以重点保护，运用最新的科技手段和安全法律体系在网络信息领域中建立起系统的、完整的、有机衔接的预防、控制、侦查、惩处网络信息违法犯罪的执法体系，加强对网络信息违法犯罪的防范、控制和打击能力，保证网络信息高效、安全、正常的运行。

计算机、现代通信和网络技术已成为我们生活的一个重要部分，只有通过技术的、管理的、行政的手段，提高每一个社会参与人的信息安全知识，扎实做好信息源、信号、信息等每一个环节的安全防范工作，才能最大程度的保证在现代环境下的计算机网络信息不受侵犯。

[1]王大庆．探讨计算机网络安全［A］．天津市电视技术研究会2011年年会论文集 [C].2011年.

[2]王建波.计算机网络安全性的风险与防御措施[J].信息与电脑（理论版）2011（5）.

[3]王子源.计算机的安全问题及应对策略[J].才智.2010（19）.

[4]张千里，陈光英.网络平安新技术[M].北京摘要：人民邮电出版社，2003.