摘要：随着信息技术的发展，网络为用户提供信息的传输、共享、处理等操作带来了许多优质快捷的服务。同时，也对信息传输、处理等过程的安全性带来了更多隐患。网络安全问题已经成为网络信息时代必须重视的问题，信息在网络中的产生、传输、处理等过程都必须采取相应的安全防范措施。信息安全总体划分为物理设备及数据信息安全两方面。数据信息安全则主要涉及到病毒及黑客攻击、人为恶意攻击、信息泄露及非法窃听等方面。为加强数据信息管理，防止数据损坏或丢失，做好数据信息的备份及恢复也是必不可少的重要环节。
    关键字：物理设备安全 ；数据信息安全；备份及恢复
    1前言
    近些年来，随着计算机及网络技术的发展，计算机和计算机网络正在逐步改变着人们的工作方式，越来越多的企业建立了内部网络。随着网络规模的日益扩大及深入应用，企业对网络依赖程度越来越高，网络结构及使用日趋复杂，企业内部网络的安全问题，越来越突出。如何有效地管理网络系统，提高系统的安全性，确保企业内部网络能够可靠、正常、高效地运行，已是企业迫切需要解决的重要难题之一。

    2网络安全的主要威胁及对策
    企业网络所面临的威胁主要可以分为对网络中设备的威胁和对网络中数据的威胁。因此，信息系统的安全性可分为物理安全和信息安全。
    2.1物理安全
    网络中的物理威胁主要包括对硬件设施、网络本身以及其它能够被利用、被盗窃或者可能被破坏的设备的威胁。
物理威胁可以通过建立符合保密标准的机房，按计算机安全场地要求采取防火、防水、防尘、防震等技术措施；采用报警系统、门禁系统、监控系统等监控措施；采取良好的屏蔽及避雷措施，防止雷电和工业射电干扰；采用不间断电源UPS，防止突然断电引起设备损坏或数据丢失；通过电磁泄漏防护措施，配置屏蔽机柜，配置视频干扰器、电源隔离插座，有效抵抗泄漏信息被截获对信息机密性的威胁；按照隔离红黑要求敷设接地良好的屏蔽线路，对传输的信息进行保护，降低因开放线路被窃听对信息机密性、完整性的威胁。
    2.2信息安全
    信息安全主要对信息系统及数据实施安全保护，保证在意外事故及恶意攻击下系统不会遭到破坏，数据信息不会泄露，保证信息的保密性、完整性和可用性。信息安全主要面临病毒及黑客的攻击、人为恶意攻击、非法窃听、信息泄露等威胁。
    2.2.1病毒和黑客程序的破坏
    随着网络的应用，病毒与黑客程序日益泛滥，病毒可以借助文件、网页、移动介质等诸多方式在网络中进行传播和蔓延，它们具有隐蔽性强，传播速度快、破坏力大的特点，企业内部网络一旦受感染，它们就会利用被控制的计算机为平台，破坏数据信息，阻塞整个网络正常信息传输，造成网络性能下降，系统瘫痪，数据丢失或发生泄密事件，给国家和企业造成巨大的损失。因此，如何有效的抵御来自黑客和病毒的威胁，已成为企业及网络管理人员在保障信息系统安全一个十分突出的问题。
    对病毒的防治主要通过安装防病毒软件和防火墙。在主机上安装防病毒软件，对病毒进行定时或实时的病毒扫描及漏洞检测，对文件、邮件、内存、网页进行实时监控，发现异常情况及时处理。防火墙在内部网和外部网间建立起个网关，过滤数据包，控制网络进出的信息流向，提供网络使用状况和流量的审计、通过安装过滤规则严格控制外网用户非法访问，并只打开必须的服务，防范外部来的攻击。同时，利用防火墙控制内网用户访问外网，屏蔽来自网络内部的不良行为，防止涉密信息散播到外部的公共网络上去。
    2.2.2人为的恶意攻击
    人为的恶意攻击是计算机网络所面临的最大威胁，此类攻击又可以分为以下两种:一种是主动攻击，它以各种方式有选择破坏信息的有效性和完整性;另一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。
针对以上威胁，目前主要可采取如下的安全对策:
    ●身份验证
    为了防止各种假冒攻击，在执行真正的数据访问之前，在客户和数据库服务器之间进行双向身份验证，比如用户在登录分布式数据库时，或分布式数据库系统服务器之间进行数据传输时，都需要验证身份。通过采用身份鉴别安全措施，即通过全网范围内的身份鉴别，有效抵抗了人员不可信、身份假冒等对信息机密性、完整性、可用性的威胁。
    ●访问控制
    在通常的数据管理系统中，为了防止越权攻击，任何用户不能直接操作数据系统。用户的数据访问请求先要送到数据访问模块审查，然后系统的访问控制模块代理有访问权限的用户去完成相应的数据操作。用户访问有两种形式：自主访问授权控制和强制访问授权控制。前者由网络管理员设置访问控制表，后者是网络管理员先给用户、数据对象分别授予安全级别，系统根据用户、数据对象之间的安全级别关系限定用户的操作权限。通过采用访问控制，划分安全域以及限制访问手段，区分安全边界，制订访问控制策略，控制信息流向，采对涉密数据按照用户类别、信息类别进行应用层的访问控制可实现数据的细粒度访问控制，以抵御不可信系统、身份假冒等破坏信息系统机密性的威胁。
    2.2.3信息泄露及非法窃听
    内部涉密人员有意或无意泄密信息，内部非授权人员有意无意偷窃机密信息，内部人员破坏网络系统，这些均可对计算机网络造成极大的危害，并导致涉密信息的泄漏。
    针对以上威胁，可以采取以下安全对策：
    ●保密通信
    客户与服务器、服务器与服务器之间身份验证成功后，方可进行数据传输，为了对抗窃听和重发攻击，在通信双方之间建立保密信息通道，对数据进行加密传输。保密通信可以由分布式数据库系统实现，也可以采用底层网络协议提供的安全体制。通过信息加密（IP加密机），能够对涉密数据进行传输加密和存储加密，并且有效控制了信息泄密的可能。
    ●入侵检测    
    入侵检测是防火墙技术的重要补充，在不影响网络性能的情况下能对网络进行检测分析，从而对内部攻击、外部攻击和误操作进行实时识别和响应，可以有效地监视、审计、评估网络系统。
    ●安全审计
    采用安全审计系统，在监控相关服务器的同时，也能够对客户端进行监控。使管理员可以清楚了解过去网络上的通信情况和信息交换状况，也为追查网上违规行为提供了最直接的资料，并能够适应今后应用的扩展，有效地降低了绕过应用程序的安全机制对信息系统机密性的威胁以及管理人员不可靠等对信息系统完整性的威胁。
    ●漏洞扫描
    通过漏洞扫描系统，能够定期评估接入子网安全性，及时发现安全隐患，采取相应的安全措施，实现安全事故的事前预防。
    ●运行安全检查
    通过运行安全检查措施，从制度上保证了网络物理隔离，也有效防止如私接Modem、移动笔记本上网等情况的发生。
    2.3备份和恢复
    上面的防范手段不可能设计得面面俱到，突发性事件的产生、不可抗拒的自然现象或是恶意的外来攻击都会给计算机系统带来不可预知的灾难。因此，必须建立系统的备份与恢复，以便在灾难发生时保障计算机系统正常运行。
    备份工作应严格按照制度进行日常备份。此外，还要认真进行定期检查，确保备份的正确性;将备份磁带保存在异地安全的地方;按照数据增加和更新速度选择恰当的备份数据。系统备份不仅备份系统中的数据，还要备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息。
 当整个系统都失效时，要迅速进行系统的恢复。这在整个备份制度中占有相当重要的地位。灾难恢复措施包括:灾难预防制度、灾难演习制度及灾难恢复。

    3结束语
    保证网络安全和保密涉及的问题是十分复杂的，网络安全不是单一的技术问题，而是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。因此，应尽可能采取多种技术的融合和相关的管理措施，防止网络安全问题的发生。

    参考文献
    [1] 信息安全保密基础教程 
    主编 施峰 胡昌振 国防科技工业保密资格审查认证中心
    [2] 网络信息安全技术 
    主编 聂元铭 丘平 北京科学出版社
    [3] 信息安全与通信保密
    信息安全与通信保密杂志社 2008年2、3期
    [4] 企业网络安全问题的探讨
 

(责任编辑：)