第4章 信息安全

信息是继物质和能量之后的第三大资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于我们具有重大意义。信息安全是通信技术发展到一定阶段的产物。在信息时代的今天，信息安全显得尤为重要。那么什么是信息安全呢？

1.信息安全的概念

所谓“信息安全”，其实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全的含义主要是指信息的完整性、可用性、保密性和可靠性。

从信息安全的外延来看，它包括的范围很大。大到国家军事政治等机密安全，小到防范商业企业机密泄露，防范青少年对不良信息的浏览，还有个人信息的泄露等都在信息安全范围内。

在网络深入我们生活工作方方面面的今天，网络信息安全成为信息安全的重点。计算机网络发展到今天，网络信息涉及到国家的政府、军事、文教等诸多领域。在网络中传输的信息有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的出于某种目的人为攻击。如信息窃取或泄漏、数据的删添或篡改、计算机病毒等。在信息时代的今天，网络信息安全已经成为一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。它的重要性也会随着全球信息化步伐的加快而更加重要。

网络环境下的信息安全体系是保证信息安全的关键。这个安全体系包括计算机安全操作系统、各种安全协议、安全机制（数字签名，信息认证，数据加密等），直至安全系统。这个安全系统是一个整体，牵一发而动全身，任何一个安全漏洞都可以威胁整体安全。

2.脆弱的神经——网络安全

目前，因特网已遍布世界各个国家，正在为亿万网民提供日渐多样化的网络与信息服务。在信息化社会中，网络信息系统已经在政治、军事、金融、商业、交通、电信、文教等各个领域发挥着越来越大的作用。同时，社会对网络信息系统的依赖也日益增强。一方面，人们制造出各种各样完备的网络信息系统，使信息与财富高度集中于计算机中。另一方面，这些网络信息系统也都依赖计算机网络来接收和处理这些信息。现代信息社会的一个重要特征就是以网络方式获得信息和交流信息。

有喜也有忧，伴随着信息产业发展而来的就是互联网和网络信息的安全问题。目前，这一问题已经成为各国政府有关部门、各大行业、企事业领导人和社会关注的热点问题。随着每年由于信息安全没有保障而导致的经济损失逐年上升，安全问题日益得到人们的重视。

为什么信息安全到了互联网时代尤其严重呢？这些安全问题又是怎么产生的呢？业内人士将原因归纳为以下几个方面：互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。

首先，互联网是一个开放的网络，在网络中TCP/IP协议都是通用的。也就是说各种硬件和软件平台的计算机系统可以通过各种媒体接入进来，如果没有加以限制，世界各地的计算机都可以访问。于是，计算机网络给我们的使用带来方便的同时，也给各种安全威胁可乘之机。

互联网自身的脆弱性主要体现在设计、实现、维护的各个环节上。在设计之初，互联网面向的用户只是少数可信的用户群体。所以，当时并没有考虑到安全威胁问题。因而互联网和所连接的计算机系统在实现阶段就存在着大量的安全漏洞。一般来说，软件的规模越大错误越多。而随着网络和相关软件越来越复杂，其中所包含的安全漏洞也自然的越来越多。这些安全漏洞也正是维护阶段被攻击的重要目标。受管理员或者用户的技术水平、维护管理工作量大等因素影响，虽然系统也提供了某些安全机制，但是，这些安全机制并没有发挥有效作用。

随着互联网的发展，攻击互联网的手段也越来越简单。而随着网民的日渐增多、目前攻击工具的功能越来越强，攻击也就越来越普遍。

由于互联网本身的特点，安全管理显得相当困难。以一个企业内部的安全管理为例，由于受人员流动频繁、业务发展迅速、技术更新快等因素的影响，操作起来非常复杂。再扩大到不同国家之间，则更为困难复杂。因为安全事件通常是不分国界的，而安全管理却受国家、法律、政治、文化、地理等多种因素的限制。因此，跨国界的安全事件的追踪就会显得非常困难。

3.行家出招——网络安全手段

（1）防火墙

“防火墙”是一种形象的说法。顾名思义，防火墙是一种隔离屏障。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，形成一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙的功能主要是对流经它的网络通信进行扫描，起一个过滤的作用。通过这层过滤可以滤掉一些攻击，以防止其在目标计算机上被执行。此外，防火墙还可以关闭不使用的端口。它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，进而阻止来自不明入侵者的所有通信。

（2）数据加密

所谓数据加密技术就是使用数字方法来重新组织数据，使得除了合法受者外，任何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的数据流加密，常用的方式有线路加密和端对端加密两种。线路加密侧重在线路上，对保密信息通过各线路采用不同的加密密钥提供安全保护。端对端加密则是指信息由发送者端通过专用的加密软件，对所发送文件采用某种加密技术进行加密，把明文加密成密文（这些文件经加密变成别人看不懂的代码），然后进入TCP/IP数据包封装穿过互联网发往目的的。当这些信息一旦到达目的地，再由收件人用相应的密匙进行解密，把密文又还原成明文。

（3）访问控制

访问控制是指按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问，或者限制用户对某些控制功能的使用。通常，访问控制表现为系统管理员控制用户对服务器、文件、目录等网络资源的使用。常见的访问控制包括身份验证和存取控制两种。身份验证是一致性验证的一种。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中应用最早，也是应用最广泛的安全技术。它是互联网信息安全的首道屏障。想一想，我们上网的时候都什么时候用到身份验证呢？存取控制即规定什么样的主体对什么样的客体拥有什么样的操作权限。存取控制是网络安全理论的一个重要方面，它包括人员限制、权限控制、数据标识、类型控制和风险分析。存取控制一般与身份验证技术一起使用，它也是使用最早的安全技术之一。它的职能在于通过赋予不同身份的用户访问控制的功能有：一是可以阻止非法的主体进入受保护的网络资源。二是允许合法用户享用受保护的网络资源。三是可以阻止合法的用户对受保护的网络资源进行非授权的访问。

4.防患于未然——逐步消除网络安全隐患

面对网络安全威胁，我们重要的是如何防患于未然，努力消除这种安全隐患。

首先，消除网络安全隐患就要建立网络安全长效机制。如何建立网络安全机制呢？这就需要我们建立规范的网络秩序。一是要不断完善法制，探索网络空间所体现的需求和原则，为规范网络空间秩序确定法律框架。二是在道德和文化层面确定每个使用网络者的义务，每个人必须对其网络行为承担法律和道德责任，是规范网络秩序的一个重要准则；三是要在法制基础上建立打击各类网络犯罪的有效机制和手段。

其次，要消除网络安全隐患就要找出引发网络安全事件的原因。据相关人士调查，“利用未打补丁或未受保护的软件漏洞”引发的安全事件占50.3%；因对员工安全操作和流程的培训及教育的不充分而存在的安全隐患占36.3%；缺乏全面的网络安全意识教育引发的安全事件占28.7%。根据以上数据，我们可以采取相应的措施。避免可以消除的隐患。最直接有效的措施就是，加强网络安全教育。要用直观、易懂、演示性的方式来加强员工的网络安全意识水平。

再次，保障信息安全是一项长期而艰巨的任务。有专家指出，我国目前网络安全的推进重点，已开始由网络技术层面的防毒转向思想、文化、精神层面的防毒。我国已经开始了倡导网络文明和净化网络环境内容的工作。

最后，保障信息安全也需要每一个国家，每一个企业单位，乃至每一个用户的共同努力。

与此同时，国内各大网站也开始提倡文明办网。只有各方尽责，构筑一个长效机制，全球网络安全才有可能得到根本的改善。

再次，选择获取信息的方法。如，是进行社会调查，还是上网，还是看电视或者听广播。

最后，保存信息。这个过程也就是把收集来的信息源信息变成我们能够利用的信息的过程。它包括信息信息数字化，信息的评价和简单的管理。收集来的信息我们要通过扫描仪、照相机、摄像机、录音设备、计算机等工具，把收集来的转化成方便我们使用的信息。然后对有用的信息进行分类保存。

（2）信息收集的原则

为了保证收集来的信息的质量，也是为了信息收集的效率，我们在信息收集过程中必须遵守一定的规则。

①准确性原则

准确性是要求所收集到的信息要真实，可靠。这是对信息收集工作的最基本的要求。当然，受各种因素的限制，我们收集到信息可能会存在一些误差。这就要求信息收集者在信息收集过程中对信息要反复核实，不断检验，力求把误差降到最低。

②全面性原则

全面性要求所搜集到的信息要广泛、全面、完整。广泛、全面是完整的前提。只有广泛、全面地搜集信息，才能完整地反映管理活动和决策对象发展的全貌，也才能为科学的决策提供有力的保障。当然，这里所说的全面完整也是相对的，而不是绝对的。事实上，我们所收集到的信息也不可能做到绝对的全面完整。

③时效性原则

信息只有及时、迅速地提供给它的使用者才能有效地发挥作用。这也就是指的信息的时效性。张三计划今天与好友到郊外野营，他从报纸上看到天晴无云。于是，他们兴匆匆地出发了。不料，中午时分忽然狂风暴雨大作，淋了一场之雨后，几个人扫兴而归。张三回家再拿出报纸核实，原来那是几天前的报纸。也许你看了这个故事感觉好笑，但它确实反应消息时效性的重要。

④相关性原则

现实中，我们收集信息都是有目的，所以相关性也是比较容易理解的。收集信息时我们都是围绕一个问题，而收集到的所有信息材料都要与此问题相关。这就是我们说的信息收集的相关性。

（3）信息收集的渠道

①社会调查

也许你经常填写社会调查的单子。什么是社会调查呢？社会调查是指运用观察、询问等方法直接从社会中了解情况，收集资料和数据的活动。

在信息收集中，社会调查是获得真实可靠信息的重要手段之一。我们利用社会调查收集到的信息是第一手资料。所以，相比较而言，这些信息更接近社会，接近生活，也更真实、可靠。

②建立情报网

在管理活动中，我们要求信息必须准确，全面，及时。而要达到这样的要求仅仅靠一种渠道收集信息可谓是杯水车薪。特别是行政管理和政府决策中更是如此。那么，我们该怎么办呢？最好的方法是依靠多种途径，所谓的多管齐下，建立信息收集的一个情报网。严格说来，情报网不仅仅指收集本身，而是指负责信息收集、筛选、加工、传递和反馈的整个体系。

③网上搜索

互联网发展到今天，网络已经成为我们日常获取信息的主要手段之一。它省时省力、迅速便捷。缺点就是网上获取的信息大多数不是很准确可靠。所以从网上获取的信息一定要看来源，经过核实之后才能使用，否则，只能作为参考。

④查阅文献

文献是用文字、图形、符号、声频、视频等技术手段记录人类知识的一种载体，或理解为固化在一定物质载体上的知识。现在通常理解为图书、报纸、期刊、专利文献、学位论文、公文等各种信息来源的总和。

文献可谓前人留下的宝贵财富，是知识的集合体。要但从数量庞大、高度分散的文献中找到所需要的有价值的信息操作起来比较费时费力。但这一途径的优点就是，找到的信息比较真实可靠。

2.人工处理——信息的加工

信息加工是指对信息的接受、编码、存储、处理和传送。我们这里所说的信息加工是对收集来的信息进行去伪存真、去粗取精、由表及里、由此及彼的一个加工过程。这个过程也可以理解为是信息增值的过程。即通过信息加工，我们在原始信息的基础上，生产出价值含量高、方便用户利用的二次信息。在加工过程中，对信息进行适当处理，产生新的、用以指导决策的有效信息或知识，是我们信息加工的目的所在。

（1）信息加工的内容

①筛选和判别：在获取的大量原始信息中，不可避免地存在一些假信息和伪信息。对于同一事物，可能就存在多种不同数据。所以只有通过认真地筛选和判别，才能去伪存真，留下我们需要的真实可靠的信息。

②分类和排序：收集而来的大量信息一开始是零乱的和孤立的，所以就需要我们把把这些信息进行分类和排序，才能方便以后的存储、检索、传递和使用。

③分析和研究：对信息进行分类排序后，我们要对其进行分析比较、研究计算，使信息更具有使用价值或者形成新的信息。

（2）信息加工的方式

根据不同的标准，信息加工方式也有不同的分类。按处理功能的深浅分：①预处理加工，即对信息简单整理，加工出的是预信息。②业务处理加工。即对信息进行分析，综合出辅助决策的信息。③决策处理加工，即对信息进行统计推断，可以产生决策信息。

按按处理的响应时间又可分为实时处理型和批处理型。此外，还可以按系统与用户之间的距离分为远程处理方式和局域处理方式。