国内外计算机信息安全评析

前言：想要写出一篇引人入胜的文章？我们特意为您整理了国内外计算机信息安全评析范文，希望能给你带来灵感和参考，敬请阅读。

一、信息安全管理问题的研究

安全管理在整个系统和信息安全工作中占有非常重要的地位，目的是保证系统用户和信息资源不被非法使用，同时保证信息管理系统本身不出现未经授权的访问。据分析,在整个系统安全工作中，管理(包括管理和法律法规方面)所占比重高达70%,而技术(包括技术和实体)占30%。信息安全管理相对于信息安全技术来说是“软”技术。分析近几年情况，信息安全管理有以下几个方面内容：

1.制订信息安全发展战略和计划

制订发展战略和计划是发达国家一贯的做法。美、俄、日、英、法等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统和网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会议拟定了信息安全指导方针。2000年9月12日，俄罗斯批准了《国家信息安全构想》，明确了确保信息安全应采取的措施。英国和法国也正在制订各自的信息安全发展战略。我国还没有制订国家级的信息安全发展战略，但在“十五”规划中已有提及，国内学者也提出了类似建议。另外，在我国2001年度《高技术研究发展计划》中提出了信息安全的科研攻关课题“，863”计划信息安全技术发展战略研究专家组制订了《信息安全技术应急计划》。

2.加强信息安全立法，实现统一和规范管理

以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制定网络信息安全规则的先锋是各大门户网站，美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。2000年1月，美国联邦政府了《保障信息系统国家计划》。2000年10月1日，美国的《电子签名法案》正式生效。2000年10月5日美国参议院通过了《互联网网络完备性及关键设备保护法案》。自1999年至今，美国国会已通过涉及计算机、互联网和信息安全问题的法律文件379个，还设立了总统关键基础设施保护委员会，负责安全工作的全国总协调。日本邮政省于2000年6月8日公布了旨在对付黑客的《信息网络安全可靠性基准》的补充修改方案,提出制订了风险管理的“信息安全准则”的指导原则。2000年9月,俄罗斯实施了关于网络信息安全的法律。法国也成立了协调的信息安全机构，由决策层、操作层、技术层及工业层组成。1994年2月，国务院颁布了我国第一部有关计算机信息系统方面的法律法规，即《中华人民共和国计算机信息系统安全保护条例》。1996年国务院颁布《中华人民共和国计算机信息网络国际联网管理暂行规定》。全国人大常委会对计算机犯罪也高度重视，1997年《刑法》修改，增加了惩治计算机犯罪的法律条款(共3条5款)，使得打击计算机犯罪有法可依。

3.积极制订信息安全国际和国家标准

在信息安全的标准制订方面，英国最有成就。英国标准协会(BSI)于1999年2月提出了BS7799《信息安全管理体系标准》(CodeofPracticeforInformationSecurity)，并于1999年5月进行了修订。1999版包括两部分：《信息安全管理体系实施细则》和《信息安全管理体系规范》。BS7799是目前国际上最知名的安全规范。2000年12月国际标准化组织将BS7799的第一部分正式转化成国际标准ISO17799，目前已开始转化其第二部分。ISO17799《信息安全管理体系》是现在国际上通行的信息安全管理体系，它强调管理体系的有效性、经济性、全面性、普遍性和开放性，目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照，是建立和实施信息安全管理体系(ISMS)保障组织、政府机构信息安全的重要手段。ISO17799包含了国际上先进的信息安全方针，从安全方针的拟定、安全责任的归属、风险的评估到确定与强化安全参数及存取控制，甚至包含防毒策略，提供了127种安全控制指南供用户选择和使用。1999年7月西方多个国家共同提出的《信息技术安全评价通用准则》(CCforITSEC)被国际标准化组织认可，确立为国际标准ISO/IEC15408。在我国，1999年9月13日国家质量技术监督局正式公布了《计算机信息系统安全保护等级划分准则》(GB17859~1999)，并于2001年元旦正式实施,这是我国第一部关于计算机信息系统安全等级划分的标准。GB17859把计算机信息系统的安全保护能力划分为5个等级，即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这5个级别的安全强度自低到高排列，且高一级包括低一级的安全能力。

二、信息安全技术的研究

与信息安全管理相比，信息安全技术是“硬”技术。由于信息网络的多样性和互联性，单一的信息安全技术往往不能解决问题，必须综合运用多种信息安全技术，实现信息安全。经过国内外学者的大量研究，信息安全技术在不断的发展和完善，主要有操作系统安全、防火墙、安全认证、防病毒、入侵检测、加密等等。

1.防火墙技术

“防火墙”是近年来发展起来的一种网络安全技术，由软件和硬件设备组合而是成，其特征是通过在网络边界上建立网络通信监控来隔离内部和外部网络，限制来自外部未经授权的访问及管理内部用户对外部网络的访问权限。防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段，它保护的对象是网络中有明确闭合边界的一个网块，可有效地防范来自被保护网块外部的威胁。防火墙种类主要有病毒防火墙、包过滤防火墙、应用网关防火墙、服务器防火墙等。作为一种有效的防止外部入侵、保证网络安全的技术手段，防火墙技术在各种专用局域网中得到大量应用。

2.防病毒技术

防病毒技术包括预防病毒、检测病毒和消除病毒三种技术。（1）预防病毒技术。它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。（2）检测病毒技术。通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。（3）消除病毒技术。通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。

3.加密技术

数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。信息加密过程是由形形色色的加密算法来具体实施的，它以很小的代价提供很牢靠的安全保护。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中，收信方和发信方使用相同的密钥。比较著名的常规密码算法有美国的DES（数据加密标准）及其各种变形。常规密码的优点是有很强的保密强度，且能经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。

4.入侵检测技术

常规的安全体系如防火墙系统、密码技术、数字签名和认证中心技术等手段可以保护核心秘密并抵御外来非法攻击。但随着黑客对操作系统和安全体系的了解，可能绕过安全体系进入系统。因此，对系统脆弱性评估及入侵检测技术便应运而生。它通过监控系统的使用情况，检测内部用户越权使用及外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，入侵检测采用以攻为守的策略，所提供的数据不仅有可能用来发现合法用户滥用特权，还能在一定程度上提供追究入侵者法律责任的有效证据。

5.虚拟专用网(VPN)技术

虚拟专用网(VPN)也是一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，其各地的分支机构就可以互相之间安全传递信息。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后网络发展的趋势。虚拟专用网技术主要有PPTP(PointtoPointTunnelingProtocol)协议，L2TP(Layer2TunnelingProtocol)协议和IPSec(IPSe-curity)协议，并可以分为访问型VPN、内联网VPN和外联网VPN3种类型。

6.信息伪装技术

信息伪装技术是正在兴起的一种新的信息安全技术。它将机密资料隐藏于一般的非机密文件中进行传播，易逃过拦截者的破译，目前的信息伪装技术和方法主要有电子水印技术、纹理影射方法和几何不变方法。数字化隐写技术主要包括数学水印和信息伪装。数字化隐写目前的主要研究方向为密钥隐写和视觉密码技术。

三、总结

通过有关信息系统安全的发展现状可以看到，在管理方面，西方发达国家更加重视从整体和战略高度来规划国家的信息安全，相关的标准和法律也陆续出台。伴随信息安全技术的不断发展，为信息系统的安全提供了更有力的保障。与国外相比，我国的信息安全技术虽然有巨大进步，但仍相对落后。本世纪初，我国已把信息系统的安全问题列入重要的议事日程，并将2000年定为信息系统安全年，相信我国的信息系统安全技术和管理制度的完善程度在短期内一定会有质的飞跃，最终建设一个安全的信息安全空间，以推动信息化进程的顺利发展。