【正文】 等安全機(jī)制加以解決，其中安全技術(shù)和管理是信息安全的核心，而安全標(biāo)準(zhǔn)和系統(tǒng)評(píng)估則是信息安全的基礎(chǔ)。信息安全是一個(gè)動(dòng)態(tài)的復(fù)雜過(guò)程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個(gè)生命周期。必須按照風(fēng)險(xiǎn)管理的思想，對(duì)可能的威脅、脆弱性和需要保護(hù)的信息資源進(jìn)行分析，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧咨茟?yīng)對(duì)可能發(fā)生的風(fēng)險(xiǎn)。 信息安全的基本屬性信息安全的基本屬性有：信息的完整性、可用性、機(jī)密性、可控性、可靠性和不可否認(rèn)性[3]。一般通過(guò)訪問(wèn)控制阻止篡改行為，通過(guò)信息摘要算法來(lái)檢驗(yàn)信息是否被篡改。目前要保證系統(tǒng)和網(wǎng)絡(luò)能提供正常的服務(wù)，除了備份和冗余配置之外，沒有特別有效的方法。信息機(jī)密性針對(duì)信息被允許訪問(wèn)對(duì)象的多少而不同。（4）可控性：信息可控性是指可以控制授權(quán)范圍內(nèi)的信息流向以及行為方式，對(duì)信息的傳播及內(nèi)容具有控制能力。（5）可靠性：可靠性是指信息以用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特性（包括信息的迅速、準(zhǔn)確和連續(xù)的轉(zhuǎn)移等），但也有人認(rèn)為可靠性就是人們對(duì)信息系統(tǒng)而不是對(duì)信息本身的要求。2 網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全分析計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性共同構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅。 物理安全網(wǎng)絡(luò)物理安全是企業(yè)整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)安全的前提。很多企業(yè)容易忽視這些問(wèn)題，雖然這些問(wèn)題不會(huì)時(shí)常發(fā)生，但一旦發(fā)生了，對(duì)企業(yè)的打擊是致命的。多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的網(wǎng)絡(luò)環(huán)境，復(fù)雜性高，存在難以避免的安全漏洞。大多數(shù)因特網(wǎng)上的流量是沒有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持，這予黑客以可趁之機(jī)。比如有些企業(yè)用了加密技術(shù)，防止了信息的泄露，但卻沒有使用認(rèn)證技術(shù)，導(dǎo)致信息的不完整性的出現(xiàn)，從而違背信息安全的不可否認(rèn)性，給企業(yè)造成損失。其中，有來(lái)自競(jìng)爭(zhēng)公司的幕后黑手，或者來(lái)自對(duì)本企業(yè)有怨恨情緒的員工，以及對(duì)該企業(yè)持不滿態(tài)度的顧客等，出于不同目的或報(bào)復(fù)情緒都可能對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞與盜竊。許多不法分子利用木馬、病毒、間諜軟件，或者dos攻擊等非法方式對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞或盜用企業(yè)數(shù)據(jù)，并以此作為向企業(yè)敲詐勒索的交換條件，由于大部分企業(yè)普遍存在著信息安全環(huán)等薄弱問(wèn)題，因此很多企業(yè)都成為這種違法行為最大的受害者。Internet帶來(lái)了兩種不同的安全威脅。這些被瀏覽的或是通過(guò)FTP下載的文檔中可能存在病毒。并且，Internet上還出現(xiàn)了Java和Active X形式的惡意小程式。大多數(shù)的Internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能。因此，受病毒感染的文檔或文檔就可能通過(guò)網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)，從而給企業(yè)造成巨大的損失。這個(gè)木馬黑客工具大致于2001年出現(xiàn)在互聯(lián)網(wǎng)，當(dāng)時(shí)被判定為高危木馬，經(jīng)過(guò)作者的不懈努力，該病毒從2004年起連續(xù)三年榮登國(guó)內(nèi)10大病毒排行榜，至今已經(jīng)衍生出超過(guò)6萬(wàn)個(gè)變種。病毒還可以記錄每一個(gè)點(diǎn)擊鍵盤的操作，這些操作信息可以被遠(yuǎn)程攻擊者輕松獲得。 應(yīng)用管理安全管理安全是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來(lái)自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。如內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。3 網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全對(duì)策對(duì)于上述存在的信息安全問(wèn)題，可以從以下幾個(gè)方面進(jìn)行解決。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備，設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。 機(jī)房環(huán)境安全防雷措施：對(duì)機(jī)房?jī)?nèi)所有計(jì)算機(jī)和各種地線系統(tǒng)采用統(tǒng)一的防雷處理，即建筑物內(nèi)共地系統(tǒng)，保證設(shè)備安全，并能防止電磁信息泄漏。機(jī)房?jī)?nèi)部采取屏蔽、合理布線、過(guò)電壓保護(hù)等技術(shù)措施，以此達(dá)到防雷的目的。 通信線路安全主要是對(duì)電源線和信號(hào)線采取加裝性能良好的濾波器功能，減小阻抗和導(dǎo)線間的交叉耦合，阻止傳導(dǎo)發(fā)射。對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理，以防止磁鼓，磁帶與高輻射設(shè)備等的信號(hào)外泄。 電源等設(shè)備安全主要是加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)硬件設(shè)備的使用管理，強(qiáng)調(diào)堅(jiān)持做好硬件設(shè)備（如交換機(jī)、路由器、主機(jī)、顯示器等）的日常維護(hù)和保養(yǎng)工作，定期檢查供電系統(tǒng)的各種保護(hù)裝置及地線是否正常。 系統(tǒng)安全對(duì)策系統(tǒng)網(wǎng)絡(luò)安全是整個(gè)安全解決方案的關(guān)鍵。其次為了保護(hù)通信數(shù)據(jù)的機(jī)密性與完整性，數(shù)據(jù)需經(jīng)過(guò)配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文。 VLAN（虛擬局域網(wǎng)）技術(shù)虛擬局域網(wǎng)技術(shù)，是指網(wǎng)絡(luò)中的站點(diǎn)不拘泥于所處的物理位置，而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。 認(rèn)證技術(shù)認(rèn)證是防止主動(dòng)攻擊的重要技術(shù)，它對(duì)開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用，認(rèn)證的主要目的有兩個(gè)：①驗(yàn)證信息的發(fā)送者是真正的：②驗(yàn)證信息的完整性，保證信息在傳送過(guò)程中未被竄改、重放或延遲等。而數(shù)字簽名是目前應(yīng)用最廣泛的一種認(rèn)證技術(shù)。其具體認(rèn)證過(guò)程如圖31所示[6]：圖31 數(shù)字簽名（1）發(fā)送方首先用公開的單向函數(shù)對(duì)報(bào)文進(jìn)行一次變換，得到數(shù)字簽名（摘要），然后利用私有密鑰對(duì)數(shù)字簽名進(jìn)行加密后附在報(bào)文之后一同發(fā)出。發(fā)送方的公鑰是由一個(gè)可信賴的技術(shù)管理機(jī)構(gòu)即驗(yàn)證機(jī)構(gòu)（CA: Certification Authority）發(fā)布的。這種方法使任何擁有發(fā)送方公開密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性。這就解決了銀行通過(guò)網(wǎng)絡(luò)傳送一張支票，而接收方可能對(duì)支票數(shù)額進(jìn)行改動(dòng)的問(wèn)題，也避免了發(fā)送方逃避責(zé)任的可能性。信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密，兩種方法各有所長(zhǎng)，可以結(jié)合使用，互補(bǔ)長(zhǎng)短。非對(duì)稱密鑰加密，容易實(shí)現(xiàn)密鑰管理，便于數(shù)字簽名，缺點(diǎn)是算法較復(fù)雜，加密解密花費(fèi)時(shí)間長(zhǎng)。 黑客攻擊對(duì)策應(yīng)對(duì)黑客的攻擊，采用的技術(shù)主要有防火墻技術(shù)和入侵檢測(cè)技術(shù)。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。常見的防火墻體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)[8]。在這種方式的防火墻中，堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)堡壘主機(jī)成為外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這保證了內(nèi)部網(wǎng)絡(luò)不被未經(jīng)授權(quán)的外部用戶的攻擊圖33 屏蔽主機(jī)體系結(jié)構(gòu)（3） 屏蔽子網(wǎng)體系結(jié)構(gòu)：屏蔽子網(wǎng)防火墻的配置如圖34所示，采用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)外網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)，定義為“非軍事區(qū)”網(wǎng)絡(luò)，有時(shí)也稱作周邊網(wǎng)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽子網(wǎng)通信。安裝防火墻的基本原則是：只要有惡意侵入的可能，無(wú)論內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。首先，入侵者可以找到防火墻的漏洞，繞過(guò)防火墻進(jìn)行攻擊。它所提供的服務(wù)方式是要么都拒絕，要么都通過(guò)，不能檢查出經(jīng)過(guò)他的合法流量中是否包含著惡意的入侵代碼。入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動(dòng)的響應(yīng)。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。在企業(yè)網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù)，最好采用混合入侵檢測(cè)，即在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。首先應(yīng)該考慮在何處安裝病毒防治軟件。為保護(hù)這些數(shù)據(jù)，網(wǎng)絡(luò)管理員必須在網(wǎng)絡(luò)的多個(gè)層次上配置全面保護(hù)措。（2）單點(diǎn)管理：作為一個(gè)集成的解決方案，最基本的一條是必須有一個(gè)安全管理的聚焦點(diǎn)。 病毒防治軟件安裝（1）工作站：工作站是病毒進(jìn)入網(wǎng)絡(luò)的主要途徑，所以應(yīng)該在工作站上安裝防病毒軟件。他能夠使病毒感染的機(jī)會(huì)降至最少。（2）郵件服務(wù)器：郵件服務(wù)器是防病毒軟件的第二個(gè)著眼點(diǎn)。郵件在發(fā)往其目的地前，首先進(jìn)入郵件服務(wù)器并被存放在郵箱內(nèi)，所以在這里安裝防病毒軟件是十分有效的。備份服務(wù)器是保護(hù)數(shù)據(jù)的最后據(jù)點(diǎn)，是恢復(fù)其他服務(wù)器數(shù)據(jù)的基本依據(jù)。文檔服務(wù)器中存放企業(yè)重要的數(shù)據(jù)。 病毒防護(hù)體系的自動(dòng)控制一個(gè)企業(yè)范圍的防病毒系統(tǒng)必須統(tǒng)一管理整個(gè)域中成百上千個(gè)結(jié)點(diǎn)(服務(wù)器和工作站)才能真正發(fā)揮作用，這就需要在一臺(tái)或幾臺(tái)電腦上安裝的防病毒系統(tǒng)控制程序，能夠?qū)φ麄€(gè)網(wǎng)絡(luò)或其中任何一個(gè)節(jié)點(diǎn)的變化作出反應(yīng)和控制，能夠獲取病毒信息，進(jìn)行配置和操作。當(dāng)任何受感染的電腦都被隔離后，防病毒管理系統(tǒng)通知系統(tǒng)管理員，以便采取緊急措施。 應(yīng)用管理安全對(duì)策信息安全無(wú)外乎是技術(shù)和管理的結(jié)合體，在技術(shù)上做到了萬(wàn)無(wú)一失，并不表示企業(yè)的信息就安全了，我們還要從管理上著手，打造安全管理體系。如圖35所示：安全管理體系人事管理場(chǎng)地設(shè)施管理設(shè)備管理網(wǎng)絡(luò)管理安全審計(jì)管理軟件管理口令管理應(yīng)急管理圖35 安全管理體系 人事管理人事管理就是對(duì)安全人員的管理。（1）人事管理原則：一般情況下，每項(xiàng)與安全有關(guān)的活動(dòng)不允許一人單獨(dú)完成，并且所有安全功能的實(shí)施不集中于一人；應(yīng)用程序開發(fā)人員與操作人員分離，開發(fā)人員不參與日常操作，操作人員不參與開發(fā)。（2）崗位人選：信息系統(tǒng)的關(guān)鍵崗位人選：安全負(fù)責(zé)人、安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、系統(tǒng)分析員等必須經(jīng)過(guò)嚴(yán)格的政審并要考核其業(yè)務(wù)能力。（3）簽訂保密合同：關(guān)鍵崗位人員