摘自《信息网络安全》杂志 2002年第六期

作者：中国南方航空股份公司 肖 康

由于从事网络工作，有机会体验在计算机信息安全中人们的行为和观念存在的诸多 “误区”。对于这些“误区”，如果稍不留神，就容易陷入其中，弄得事与愿违。

信息安全和网络安全的概念混淆

国际互联网的发展，使“信息安全”和“网络安全”两个名词非常流行，以致于到了有人感觉这两个概念是相互等同的地步，也使得一些企业的信息管理者、甚至是最高经营管理者，会错误的认为信息安全工作仅是网络管理部门的职责。这是个非常严重的误区，它会引导信息安全工作走向偏面。

在对象范围方面，“信息安全”涵盖了“网络安全”。广义上来说，信息网络系统包括了“线”和“点”两类实体，也就是通常所说的网络资源和信息资源。可以含蓄地认为“线”代表为网络本身，包括网络线路和网络设备，信息经过“线”（网络）传输；而“点”则指由“线”联接在一起的各类应用设备，包括：服务器、客户机、操作系统和应用软件等，信息在“点”（计算机）中进行存储和处理。网络安全考虑的角度主要是“线”问题，即如何通过合理的网络构架、配置和管理，解决信息在传输过程中的安全问题，提高安全等级，来保障和配合应用服务的整体性安全运作；而信息安全的范畴则不光是指“线”的安全问题，同时也包括 “点”的安全问题。信息安全工作的对象不仅涵盖了网络安全的所有问题，即信息在网络传输中的安全问题，而且还包括计算机本身的固有安全问题，如系统硬件、操作系统、应用软件、操作流程等等。

数据是信息的表现形式。总体上来讲，计算机信息安全工作的目标是保障数据的保密性、完整性、可用性、可控性和不可否认性，也就是说数据不被非授权阅读、盗取、修改、删除、欺骗抵赖和传输干扰。计算机信息安全的具体工作包括策略管理、业务流程管理、运行流程管理、技术产品选择和应用、人员管理、安全法律法规的制定和执行等诸多方面。

正确理解了信息安全和网络安全概念的内涵和区别，各级管理者才能正确理解信息安全工作的内涵，才能避免认识上的偏面性、从容应对信息系统中的安全问题，才能意识到进行全方位的信息安全防范工作的重要性。

当然，在此基础上，你将其称为“信息网络安全”或是“网络信息安全”则均是全然无所谓的了。

重安全产品投资 轻策略和管理

如果认为仅仅有了诸如防火墙、漏洞扫描、入侵检测、数据加密等多种软硬件安全产品，信息安全工作就做到位了，那就是大错特错。安全产品的投资和使用，只是信息安全工作实施中的一部分。在选择需要什么样的安全产品之前，您必须首先为信息系统制定周全的安全策略，并根据安全策略，对安全产品的使用制定具体的管理流程。

信息安全工作重在管理。安全管理工作涉及：安全策略管理、业务流程管理、应用软件开发管理、操作系统管理、网络安全管理、应急备份措施、运行流程管理、场所管理、安全法律法规的执行等等，其中，安全策略管理是首要工作。

安全策略是一套既定的规则，信息安全所有行为必须遵循此套规则。安全策略的制定与企业信息系统的功能和运作、企业的信息管理策略关系密切。企业信息系统可能包含众多的应用子系统，这些子系统在一定时期、一定范围内，在企业的经营生产中占有何种重要程度，安全策略制定者必须首先明白。需要采取何种程度的安全级别、投资的多少、安全措施是否会影响用户对系统的使用方便性、是否能综合和完整地考虑整个信息系统的安全问题、安全策略是否能适应企业信息系统的发展需求、安全策略是否具备多种手段来实现等等问题，是安全策略制定中的一些原则性问题。

也就是说，安全策略的制定，必须遵循如下五个方面的原则：需求、风险和代价之间平衡分析的原则； 综合性、整体性和一致性的原则；易操作性的原则；适应性和灵活性的原则；多重保护的原则。

信息安全策略一旦确定，就必须通过行政手来执行和监督，否则，形同虚设。缺乏正确的安全策略管理、或者没有在正确的安全策略指导下进行的信息安全工作，都必然是随心所意、漫无目的的安全工作，必然会降低投资的效率和对信息系统整体安全性的预期效果。

概括地讲，在计算机信息系统运行过程中，参与的人员种类包括：企业信息规划管理者（规划者）、计算机信息管理者（执行者）和业务使用者（最终用户）。虽然有些企业没有设立信息工作规划部门，但这个角色依然存在，只不过是主要由计算机管理部门承担了。在整个信息系统的安全体系中，这三类人员有不同的职责：企业信息规划者应对安全策略的制定起绝对作用；计算机管理部门负责对安全策略进行执行，即产品化、措施化、流程化；而业务使用者则必须严格按具体的业务流程进行操作。

在企业信息系统安全工作中，虽然说计算机管理部门起到纽带、执行和监督等重要作用，但是，应该说企业信息规划部门和业务使用者的行为，同样会给信息安全带来问题，比如：安全策略不完整、用户帐号和密码的泄漏、高等级用户的功能误用或蓄意违章使用等等。

随着实施现代企业制度改革进程力度的加大，必然要求企业加快信息化建设的步伐，参与企业计算机信息化工作的人数也必然快速增长。制度化地进行信息安全工作、全方位地进行信息安全教育、培养和提高员工企业的忠诚度，是信息安全工作的基础。如果说“信息安全，人人有责”，则一点也不夸张。

重物理关系 轻逻辑关系

如果您所管理的网络系统功能单一、使用范围小，或者说只有十几台电脑，与外部也没有什么联系，那么，您可能只要留意系统的权限划分，用局域网将他们连在一起就可以了，应不会有太多的安全问题。但是，假如您所管理的信息网络系统涉及到成百上千个应用子系统或功能模块、成千上万个业务使用者，既有对内的业务、也有对外（互联网、合作伙伴）的业务，那么，您就要对逻辑关系十分小心了。

简单地讲，物理关系指网络中各数据节点（服务器、客户机）、网络节点（网络设备）、网络线路及其之间连接关系，侧重于有形实体和性能；而逻辑关系则主要指服务器、客户机之间的各种功能模块之间的多种访问关系，以及网络设备之间的功能关系，如IP地址分配、路由协议、访问关系等等，是一种无形的关系，侧重于数据访问方向、访问时间、访问授权和访问容量。

如果参照国际标准化组织ISO提出的开放网络系统七层模型，来理解物理关系和逻辑关系之间的差别，那么，物理关系属于第一、二层次方面的问题，而逻辑关系则属于第三层以上的问题。

正是这种逻辑关系，是我们在安全实施工作中必须首先要理解、分析和确定的。各系统内部、系统之间的逻辑关系一旦确定，制定具体的安全措施也就有了方向，各类设备的物理关系也才能具体确定，比如：需要什么性能档次的设备、网络构架如何、在什么地方需要安装安全控制设备、哪些地方必须加强日志审计、网络布线如何设计等等。

逻辑关系的确定，需要一定的时间，针对性的工作包括对系统需求的了解、对一些产品的功能和性能的测试、对网络结构的综合分析等等。切忌为追求项目的完成时间，盲目将设备连接在一起，这将后患无穷。若逻辑关系没有研究周全，那么，即使您有稳妥的安全策略、高性能的安全产品和周密的运作流程，总归还会为安全工作遗留下死角。

重对外、轻对内

如果想象国际互联网上成千百万的电脑，或者相对企业内部网络、合作伙伴网络具有的非管理性和不确定性的因素，那么您也许会认为将安全工作的重点放在对外网络方面是理所当然的事，但是，实际的情况并非如此。如果您所管理的是一个较为复杂的网络信息系统，而且这些系统与企业的生产经营关系密切，其中涉及了众多的人、使用部门、子模块、子网络等因素，那么，除了要关注外部网络引发的安全问题外，您尤其还要关注来自内部网络上的信息安全问题。

根据FBI在2001年所做的一份统计报告显示，来自企业内部的信息安全威胁事件的比例惊人，高达70%，其中主要的问题有：员工滥用Internet、来自内部的未授权存取资料、专利信息被窃取、内部人员的财务欺骗和资料或网络被破坏等。

系统本身的安全设计缺陷、资料的泄漏或误用、员工的恶意行为等等问题，是引发内部安全问题的主要原因，这需要管理者在信息系统的安全设计、策略制定、运作流程管理和分析、安全监督等方面特别注意。

重视产品功能 轻视人为因素

产品具有可靠、合适的性能，当然是我们所要求的，但是，产品不是摆设。过份强调产品的功能，而不重视产品的功能的发挥，是不可取的。在信息系统安全防范体系中，人的因素非常重要。

一切均因人而发生。产品安装位置不正确、运行配置混乱或不完整、管理人员使用不当，都会使产品性能不能有效发挥，甚至遗留安全漏洞；高级业务用户和一般业务用户的随意或恶意操作，均可能产生安全后果；产品管理者对产品的误操作，对信息安全的可能危害比业务使用者更为严重；对产品功能测试、运行监控、大量的日志分析等工作，需要高素质的员工负责；安全缺陷的假设和验证、安全策略的制定和动态管理，均需要高素质安全管理员的参与。

对产品管理者和业务使用者的素质培养工作是减少人为安全问题的重要手段，这些素质包括技术素质、心理素质和工作素质。素质的培养，除了进行适时的培训外，工作制度的落实、工作环境的调整均是需要注意的问题。
多人负责制、任期有限制和岗位职责制，是信息安全工作中的用人原则。建立和完善用人制度，是信息安全工作的重要组成部分，其中，对工作调动和离职人员系统授权的及时调整尤其要注意，不能轻视。

重产品安装、轻监控和分析

在整个信息安全防范体系中，强调多种手段的综合使用，其中安全监控和审计是重要的一环。对于信息安全的管理，不能只停留在设备的安装工作方面。

正确安装配置产品，只是安全措施实施的第一步。产品的功能和性能使用如何、有无入侵痕迹等问题的核实，需要管理者实时或定期跟踪，这样，管理者才能总体了解信息网络系统当前的安全状况。网络或应用管理平台、设备内置的管理功能是安全监控和分析的有效工具，其中，对日志纪录的跟踪和分析是主要的手段。

信息网络系统中存在着针对多种对象的日志纪录，如：操作系统日志、数据库日志、应用系统日志、路由器日志、交换机日志、防火墙日志、入侵监测服务器日志、代理服务器日志、邮件服务器日志等等，每一对象的日志又有容量大小、类别、详细程度之分。这些日志纪录是您对系统进行监控和分析的好帮手，它们能够显示出系统的详细运行数据，如性能使用参数、出错告警、访问时间、访问方式、访问源及目的地址、故障事件资料、非授权使用记录等等。利用这些资料，我们很容易分析出系统中存在的某些安全问题或趋势，也为安全事件原因调查提供了具体的依据。

每天或每周定期查阅这些日志纪录，确实是繁琐和耗时的工作，但也是信息安全管理工作中必须做的工作。

重局部 轻整体

“木桶原理”能很形象地说明信息安全工作的整体性问题：木桶盛水的有效容量总是以最短的那片木楔为基准计算的；信息安全工作的整体效率，也只能以最薄弱的环节来衡量。

信息安全工作是贯穿于信息系统生命周期的一个系统工程，涉及众多的因素：网络、操作系统、软件开发工程、系统应用范围、数据安全等级、系统逻辑关系和物理关系、产品的功能和使用流程、系统运行管理流程、子系统间的关系、部门间的协作、人员的素质、场所环境的管理、法律法规要求等等。仅重视某一个方面或局部性的信息安全工作问题，都不能认为信息安全工作达到目的。例如，即使您将网络安全工作做得密不透风，操作系统漏洞、软件开发的漏洞也会给入侵者有可乘之机；入侵途径也可能是从未实施安全工作或强度不够的子系统，利用子系统内部之间的逻辑关系，向其他子系统渗透。信息安全工作必须要整体性、全方位地进行，并且是作为系统的一个审核标准，融合到信息系统项目建设中。

重防守 轻进攻

矛和盾永远是一对孪生兄弟，信息安全工作也不能只有防守，也要有进攻。即使布下天罗地网，也要通过分析、测试、评估来验证安全策略、措施的有效性和完整性，以致于在安全后果出现之前，得以有效补救。防守和进攻，是信息安全策略中的孪生兄弟。

对信息系统安全等级的确定、内部逻辑关系的掌握、安全风险点的认知、安全产品和措施的合理使用等等，是信息系统安全分析和评估工作的基础。
道高一尺，魔高一丈。由于信息系统内部众多因素、安全危机种类、攻击者的范围和技术手法都处于不断的变化发展中，所以，信息系统安全工作是一个动态的过程。安全系统是和攻击者进行的一场没有终点的赛跑，信息系统安全工作永远不可能一步到位。防守和进攻交替的过程，是信息安全工作的主旋律。

轻视物理场所的安全问题

对物理场所的安全管理工作的忽视，会给企业信息安全工作产生致命性的打击。

在信息系统网络中，分布着众多、大小不一、功能不同的机房场所，有数据中心、网络中心、备份中心、数据或网络分中心、网络配线间、高保密等级用户区域等等，各中心内部可能又分为不同的功能区域，对于这些机房或区域的非授权接触，使攻击者更轻易进入关键业务系统或网络，容易造成直接的、严重性的安全事故，例如，关断电源或损坏设备、中止系统服务、进入系统管理控制台、制造系统或网络陷阱、利用网络设备物理缺陷控制和渗透网络、保密资料泄露等等。总之，对物理场所的管理失控，容易使其他方面的安全措施失效。

有多种手段和措施用于加强物理场所的安全管理，包括：制订相应的机房出入管理制度，使用门卫、闭路电视系统、门禁系统等等，来监控人员的进出、对出入人员进行登记；实行机房设备登记制度和严格的设备操作规程；按国家标准做好机房、设备和线路的防电磁辐射泄露；对高密级的计算机网络系统与其他网络部分实行物理隔离；做好物理场所的电源、消防、防雷接地等环境保障工作等等。

• 网页关键字
• 博客 职场 金融 投资 股票 ipo 外汇 .pdf 课件 论文 华尔街 ft金融时报 深信服 追赶人生 虚拟主机 .doc 下载 免费 day trading swift trade 美国嘉盛 求职 找工作 心情 理念 评论 原创 bbs google adesnse 搜索引擎优化 流量 信息与计算科学 web2.0 交易 纳斯达克 网络安全 vpn donews 华中科技大学 市场营销 cfa 武汉 wordpress 和讯 广告策划 职业规划 友情链接 投资银行 博弈论 深圳 六西格马 大四 数学系 fbs 中华英才网 勾心斗角 世界经理人 美国股票 毕业设计 gmail 摩根斯坦利 IT 留言本 matlab 网球 同花顺 sas 炒股 数据处理 IT社区 中国概念股 index 诗人