这里所说的信息安全,是指在计算机网络环境下的数据及其系统的安全问题。随着网络技术的飞速发展,网上的资源共享得到进一步加强,但是,随之而来的信息安全问题也变得日益突出。据美国联邦调查局(FBI)统计,美国每年因信息安全问题造成的损失高达75亿美元。对信息系统构成的威胁表现为两个方面:一是对信息本身,即对数据的窃取、伪造和破坏;二是对信息的载体即计算机网络系统的破坏。由于计算机系统本身就存在着种种安全问题,联网后的计算机系统的安全问题就更为复杂。信息安全性主要包括:网络服务的可用性(Availability)、网络信息的保密性(Confidentiality)和网络信息的完整性(Integrity)。归纳起来,当前对信息系统造成的破坏有:非法访问破坏,即“黑客”攻击;计算机病毒;不良信息的侵入;电子邮件炸弹;机密信息的泄露;破坏信息系统和网络资源;造成信息系统和网络瘫痪等。“魔高一尺,道高一丈”。针对信息系统遭受的攻击,必须进行反攻击。国际有关组织(标准化组织等)和我国安全部门很重视信息安全的保护工作,制定了一系列保障信息安全的条例、法规和标准。我们应该遵照执行。同时,作为信息系统的建设与运行单位还要注意采取具体的技术措施来保障信息安全。
目前比较成熟的信息安全技术有:
(1)身份验证:主要包括验证依据、验证系统和安全要求,是互联网上安全的第一道屏障。
(2)存取控制:主要包括人员限制、数据标识、权限控制、类型控制和风险分析,可实现不同授权级别的信息分级管理。
(3)数据完整性:用于数据传输过程中,验证收到的数据和原数据保持一致的证明手段。
(4)数据机密性:机密性由加密算法保证。
(5)防火墙技术:在内部网与外部网之间实施安全防范的系统。
(6)建立安全协议:至少要实现加密机制、验证机制和保护机制。