主要內(nèi)容信息安全概述信息安全威脅信息安全保障措施信息安全網(wǎng)絡(luò)技術(shù)在為人們提供豐富多彩的精神文化生活的同時(shí)，也帶來了一些安全方面的問題。一些不法分子試圖利用各種手段對(duì)他人計(jì)算機(jī)的安全造成威脅。人們都希望自己的網(wǎng)絡(luò)設(shè)備能夠更加可靠地運(yùn)行，不受外來入侵者的干擾和破壞。因此，計(jì)算機(jī)網(wǎng)絡(luò)的安全越來越受到人們的重視。信息安全威脅信息安全面臨的威脅是多方面的，有人為原因，也有非人為原因，其安全威脅主要表現(xiàn)在以下方面。1.網(wǎng)絡(luò)自身特性所帶來的安全威脅由于網(wǎng)絡(luò)的開放性、自由性和互聯(lián)性，使對(duì)信息安全的威脅可能來自物理傳輸線路，也可能來自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊，或利用計(jì)算機(jī)軟件或硬件的漏洞來實(shí)施攻擊。這些攻擊者可能來自本地或本國(guó)，也可能來自全球任何國(guó)家。2.網(wǎng)絡(luò)自身缺陷所帶來的安全威脅（1）網(wǎng)絡(luò)協(xié)議缺陷所帶來的安全威脅目前互聯(lián)網(wǎng)使用最廣泛的是TCP/IP協(xié)議，該協(xié)議在設(shè)計(jì)時(shí)由于考慮不周（也可能當(dāng)時(shí)不存在這方面的安全威脅）或受當(dāng)時(shí)的環(huán)境所限，或多或少存在一些設(shè)計(jì)缺陷。網(wǎng)絡(luò)協(xié)議的缺陷是導(dǎo)致網(wǎng)絡(luò)不安全的主要原因之一。但是安全是相對(duì)的，不是絕對(duì)的，因此沒有絕對(duì)安全可靠的網(wǎng)絡(luò)協(xié)議。信息安全威脅（2）操作系統(tǒng)、服務(wù)軟件和應(yīng)用軟件自身漏洞所帶來的安全威脅Windows、Linux或UNIX操作系統(tǒng)、服務(wù)器端的各種網(wǎng)絡(luò)服務(wù)軟件以及客戶端的應(yīng)用軟件（AdobeReader、FlashPlayer等）都或多或少地存在因設(shè)計(jì)缺陷而產(chǎn)生地安全漏洞（例如普遍存在的緩沖區(qū)溢出漏洞），這也是影響信息安全的主要原因之一。信息安全威脅3.網(wǎng)絡(luò)攻擊與入侵帶來的安全威脅（1）病毒和木馬的攻擊與入侵帶來的安全威脅病毒和木馬是最常見的信息安全威脅。計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，具有傳染性、隱蔽性、潛伏性、破壞性。理論上，木馬也是病毒的一種，它可以通過網(wǎng)絡(luò)，遠(yuǎn)程控制他人的計(jì)算機(jī)，竊取數(shù)據(jù)信息（例如網(wǎng)銀、網(wǎng)游的賬號(hào)和密碼，或其他重要信息資料），給他人帶來嚴(yán)重的威脅。木馬與普通病毒的區(qū)別在于木馬不具備傳染性，隱蔽性和潛伏性更突出。普通病毒主要是破壞數(shù)據(jù)，而木馬則是竊取他人數(shù)據(jù)信息。（2）黑客攻擊與入侵帶來的安全威脅黑客使用專用工具和采取各種入侵手段非法進(jìn)入網(wǎng)絡(luò)、攻擊網(wǎng)絡(luò)，并非法獲取網(wǎng)絡(luò)信息資源。例如，通過網(wǎng)絡(luò)監(jiān)聽獲取他人的賬號(hào)和密碼；非法獲取網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)；通過隱蔽通道進(jìn)行非法活動(dòng)；采用匿名用戶訪問攻擊等等。信息安全威脅4.

網(wǎng)絡(luò)設(shè)施本身和所處的物理運(yùn)行環(huán)境所帶來的安全威脅計(jì)算機(jī)服務(wù)器和網(wǎng)絡(luò)通信設(shè)施（路由器、交換機(jī)等）需要一個(gè)良好的物理運(yùn)行環(huán)境，否則將會(huì)給網(wǎng)絡(luò)帶來物理上的安全威脅。5.網(wǎng)絡(luò)安全管理不到位、安全防護(hù)意識(shí)薄弱和人為操作失誤帶來的安全威脅網(wǎng)絡(luò)安全管理不到位，管理員的安全防范意識(shí)薄弱，系統(tǒng)安全管理和設(shè)置不到位，以及管理員的操作失誤，也會(huì)造成嚴(yán)重的信息安全威脅。信息安全保障措施要保障信息安全，不僅要從技術(shù)角度采取一些安全措施，還要在管理上制定相應(yīng)的安全制度規(guī)范，配合相應(yīng)的法律法規(guī)，整體提高信息系統(tǒng)安全。1.網(wǎng)絡(luò)安全防范技術(shù)1）網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制是保障網(wǎng)絡(luò)資源不被非法入侵和訪問。訪問控制是信息安全中最重要的核心措施之一。（1）使用防火墻技術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問控制，既保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)）的攻擊和非法訪問，還能防止病毒在局域網(wǎng)中傳播。防火墻技術(shù)屬于被動(dòng)安全防護(hù)。（2）使用入侵防御系統(tǒng)，進(jìn)行主動(dòng)安全防護(hù)。入侵防御系統(tǒng)能實(shí)施監(jiān)控、檢測(cè)和分析數(shù)據(jù)流量，并能深度感知和判斷哪些數(shù)據(jù)是惡意的，并將惡意數(shù)據(jù)進(jìn)行丟棄以阻斷攻擊。信息安全保障措施2）網(wǎng)絡(luò)缺陷彌補(bǔ)網(wǎng)絡(luò)自身缺陷主要是靠彌補(bǔ)服務(wù)器和用戶主機(jī)的通信協(xié)議和系統(tǒng)安全。為此，可以從以下幾方面入手。（1）服務(wù)最小化原則，刪除不必要的服務(wù)或應(yīng)用軟件；（2）及時(shí)給系統(tǒng)和應(yīng)用程序打補(bǔ)丁，提高操作系統(tǒng)和應(yīng)用軟件的安全性。（3）用戶權(quán)限最小化原則。對(duì)用戶賬戶要合理設(shè)置和管理，并設(shè)置好用戶的訪問權(quán)限。（4）加強(qiáng)口令管理，杜絕弱口令的存在。信息安全保障措施3）攻擊與入侵防御殺毒軟件是是一種可以對(duì)病毒、木馬等對(duì)計(jì)算機(jī)有危害的程序代碼進(jìn)行清除的程序工具。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描與清除、自動(dòng)升級(jí)病毒庫、主動(dòng)防御等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計(jì)算機(jī)防御系統(tǒng)（包含殺毒軟件、防火墻、特洛伊木馬和其他惡意軟件的查殺程序和入侵預(yù)防系統(tǒng)等）的重要組成部分。4）物理安全防護(hù)物理安全防護(hù)是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件設(shè)備和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊，包括安全地區(qū)的確定、物理安全邊界、物理接口控制、設(shè)備安全、防電磁輻射等。信息安全保障措施2.網(wǎng)絡(luò)安全管理措施除技術(shù)手段外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定相關(guān)配套措施的規(guī)章制度、確定安全管理等級(jí)、明確安全管理范圍、采取系統(tǒng)維護(hù)方法和應(yīng)急措施等，對(duì)網(wǎng)絡(luò)安全、可靠地運(yùn)行，將起到重要地作用。網(wǎng)絡(luò)安全策略是一個(gè)綜合、整體地方案，不能僅僅采用上述孤立地一個(gè)或幾個(gè)安全方法，要從可用性、實(shí)用性、完整性、可靠性和保密性等方面綜合考慮，才能得到有效地安全策略。信息安全保障措施3.網(wǎng)絡(luò)安全道德與法律為了保證信息的安全，除了運(yùn)用技術(shù)和管理手段外，還要用道德手段約束、法律手段限制。通過道德感化、法律制裁，還可以使攻擊者產(chǎn)生畏懼心理，達(dá)到懲一儆百、遏制犯罪的效果。1）信息安全保障的道德約束從道德層面考慮信息安全的保障問題，至少應(yīng)當(dāng)明確：在信息安全問題上，什么人負(fù)有特定的道德責(zé)任和義務(wù)？這些道德責(zé)任和義務(wù)有那些具體的內(nèi)容？對(duì)于信息安全負(fù)有道德責(zé)任和義務(wù)的人員大致可以分為三種類型：信息技術(shù)的使用者、開發(fā)者和信息系統(tǒng)的管理者。為了保障信息安全，這三種類型的人都應(yīng)履行特定的道德義務(wù)，并要為自己的行為承擔(dān)相應(yīng)的道德責(zé)任。根據(jù)其活動(dòng)、行為的不同性質(zhì)及與信息安全的不同關(guān)系，可以為這三種類型的人擬定各自應(yīng)遵循的主要的道德準(zhǔn)則，從而形成三個(gè)不同的道德準(zhǔn)則系列。信息安全保障措施系列1：信息技術(shù)的使用者的道德準(zhǔn)則(1)不應(yīng)非法干擾他人信息系統(tǒng)的正常運(yùn)行；(2)不應(yīng)利用信息技術(shù)竊取錢財(cái)、智力成果和商業(yè)秘密等；(3)不應(yīng)未經(jīng)許可而使用他人的信息資源。系列2：信息技術(shù)的開發(fā)者的道德準(zhǔn)則(1)不應(yīng)將所開發(fā)信息產(chǎn)品的方便性置于安全性之上；(2)不應(yīng)為加速開發(fā)或降低成本而以信息安全為代價(jià)；(3)應(yīng)努力避免所開發(fā)信息產(chǎn)品自身的安全漏洞。系列3：信息系統(tǒng)的管理者的道德準(zhǔn)則(1)應(yīng)確保只向授權(quán)用戶開放信息系統(tǒng)；(2)應(yīng)謹(jǐn)慎、細(xì)致地管理、維護(hù)信息系統(tǒng)；(3)應(yīng)及時(shí)更新信息系統(tǒng)的安全軟件。信息安全保障措施2）信息安全保障的法律法規(guī)從法律層面上看，應(yīng)當(dāng)說，法律以其強(qiáng)制性特點(diǎn)而能夠成為保障信息安全的有力武器。我國(guó)多部法律內(nèi)容都涉及到信息安全相關(guān)內(nèi)容，比如《憲法》、《刑法》、《刑事訴訟法》等等。2017年6月1日開始實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，將網(wǎng)絡(luò)空間主權(quán)、個(gè)人信息保護(hù)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù)、網(wǎng)絡(luò)運(yùn)營(yíng)者的安全義務(wù)、臨時(shí)限網(wǎng)措施、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等寫入法律，以這樣的法律為依據(jù)打擊破壞信息安全的各種違法、犯罪行為，可以明顯減少對(duì)于信息安全的威脅。信息安全保障措施例如在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十二條規(guī)定：網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者，電子信息發(fā)送者，應(yīng)用軟件提供者違反本法規(guī)定，有下列行為之一的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處五萬元以上五十萬元以下罰款；對(duì)直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款：(一)設(shè)置惡意程序的；(二)其產(chǎn)品、服務(wù)具有收集