信息安全探讨

摘要：信息安全是当新研究的热点，本文分析了信息安全常见的威胁，和解决中出现的问题，并结合本人实践，提出了相应的安全防范策略。

关键词：信息；信息安全； 防范策略

中图分类号：G353.1 文献标识码：A 文章编号：1007-9599 (2012) 10-0000-02

21世纪信息技术飞速发展，在社会发展中信息越来越重要，国家的政府、军事、文教等诸多领域都与信息有关。如果信息的安全时常受到威胁，则会影响到国家各部门的日常活动。因此，信息的安全与防范非常重要。本文针对信息的安全问题进行分析，并提出了相应出的安全防护策略。

一、信息安全威胁

信息已经成为社会健康发展的重要保证，然而很多信息被人为篡改，窃取，泄露。信息载体还要经受不可抗拒的自然灾害的威胁。而人为的威胁是最大的威胁。

随着0Day 漏洞的增加和第三方软件漏洞将常被黑客利用，黑客经常用第三方软件的漏洞进行攻击系统。随着无线技术的推广和普及，黑客也针对无线进行攻击，因此在网络上出现很多无线的破解技术，这样攻击者可以轻易地攻击网络，这样对用户的安全带来很大的威胁。为了欺骗用户，攻击者还制造或编写虚假的网站，即就是钓鱼网，攻击者利用钓鱼伪造电子邮件或网站点等对用户进行“攻击”，因此用户的信息由此而被泄漏出去。

计算机病毒以破坏程序等为目标。病毒主要是对用户的文件或相关程序进行破坏，对系统和用户资料威胁非常大。很多攻击者利用网络的相关工具如电子邮件等添加到文件或程序，因此有些用户打开邮件都会被感染上病毒，这样用户的相关资料会受到不同程度的破坏。

除此外攻击者通过不正当入侵手段向合法网站输入非法的数据，数据量非常大，从而多出的数据会传入到其他领域。如果对程序执行不当，那么相关程序和系统的设置会受到限制。

二、影响信息安全因素

信息载体与周边环境的安全会影响到信息本身的安全。信息存储场屏蔽处理不好，磁鼓、磁带与高辐射设备等的信号外泄。信息处理和管理设置的电源系统不稳定，则用于存储数据的设置会受到影响，特别是临时性的RAM存储器的数据会丢失，信息本身就无法得到保障。除此外硬件故障，特别是存储信息的内存、硬盘等计算机部件的故障出现影响信息存储和处理。

人的主观性也是威胁的主要因素，特别是信息系统的操作人员，如果其故意篡改数据或没有按规定进行操作程序，其信息就没有可靠性。如果系统等出现故障则不能正确保存数据，这样数据会丢失。信息设计人员或系统设计人员以对系统设计或对数据设计考虑不全面，这样没办法在处理或传输中保证数据的完整，因此攻击者就可以利用系统的漏洞进行攻击，摧毁系统的数据等。网络信息或数据传输往往受到通讯设备的影响，通讯设备的安全设计不全也会造成数据的丢失或损坏。同是攻击者可利用这些不员以假冒、身份攻击等对系统进行非法操作或操控。

考虑周全只是对现有的条件，对将来的考虑往往没法预设，因此新的系统出现，本身就有漏洞。而攻击者也容易找出漏洞。大部分系统都配备的改进系统管理及服务质量的工具软件被破坏者利用，去收集非法信息及加强攻击力度。系统维护不正当的操作和管理的本身不足也会对信息或数据产生威胁。因此作为管理人员必须对新系统进行分析，特别是对其漏洞危险进行分析并提出相关措施。管理人员的设计和检测能力差没办法设计好的系统，也就没办法对系统中的数据进行有效的保护，因为系统不能抵御复杂的攻击。建立和实施严密的安全制度与策略是真正实现网络安全的基础。

三、信息安全防范策略

保证数据或信息安全可以使用技术，仅靠技术不能完全保证数据的安全，同时还需要严格的管理，制定相关法律，利用法律进行约束，还有对员工进行安全教育。采取恰当的防护措施也能有效保护信息的安全。

（一）从技术层面进行防护

1.数据加密。可以用加密技术对信息进行加密以保护信息，如用MD5等加密技术，这样攻击不能轻易看到数据，加密的作用就是让数据隐藏，这样更好的保护数据。MD5是一种散列函数，主要是用来保护信息的完整性。在登录认证中MD5运动得比较多，用户在登录系统或平台时的用户名和密码等运动MD5加密，然后将加密后的结果存在相应的数据库。其原理就是用户登录后平台或系统会被MD5加密运算。如果运算得出的值与数据库存在的值正确则可直接进入系统。这样避免操具有管理权限的人员知道从而保证信息的安全。为加强数据的安全性，可以对MD5进行改进，比如可以运MD5进行两次加密改进了单次加密的不安全性。总之加密可根据情况采用对称加密和非对称加密，更好的保护数据。

2.数字签名，数字签名主要是用来签名和验证。其运算主要运用了HASH函数从而更好的鉴别解决伪造、抵赖、冒充和篡改等问题。签名技术可以有效的防止抵赖，在网络中进行商务活动，即就是开展电子商务活动等，在活动中汲及到的数据是非常重要。大部分数据是商业机密，对买卖双方来讲非常重要。如果数据被篡改，对买卖双方会产生巨大的损失。因此采用数字签名可有效防止攻击者的篡改而产生抵赖，同时也可以保证数据的安全和完整。

3.用户身份认证就是对用户身份进行验证。用户访问服务器时，必须提供合法的身份证明，这样服务器才给与相关的操作权限。用户要存取等操作数据必须提供有效的标记，以方便服务器验证。可以使用加密技术、人体等器官或生理特征进行认证，大部分可以用数字签名技术进行认证。双方互相认证，这样可以保证数据的真实性。

4.要对服务器、目录等资源进行访问控制。如果用户没有被允许，就不能对合法资源进行访问和使用。因此访问控制可以更好的保护资源，避免资源的非法访问和使用。

5.网络或系统的操作中是否遵守安全策略，可以使用入侵检测技术，该技术可以检测系统或数据是否出现异常等。在检测中可以对数据或信息进行审计记录，这样可以对在系统或相关环境中进行数据操作等活动进行记录或分析并及时限制相关非法活动，这样保护系统进而保护数据。