国内外计算机信息系统安全的研究综述

摘 要：信息安全是当前信息社会非常重要的问题。本文从信息安全及其相关的概念入手，介绍了信息系统的安全管理及安全技术的研究现状，以供在建立满足当前和未来信息安全要求的体系时借鉴。

关键词：计算机信息安全 安全管理 安全技术

计算机科学与技术的不断发展和计算机的广泛运用，促进了社会的发展和繁荣，给人类创造了巨大的财富。尤其是计算机网络的发展，使信息共享广泛用于金融、贸易、商业、企业、教育等各个领域。计算机网络具备分布广域性、体系结构开放性、资源共享性和信道共用性等特点，因此增加了网络的实用性，同时由于信息在网络上存储、共享和传输会被非法窃听、截取、篡改或破坏而导致不可估量的损失，带来了系统的脆弱性，使其面临严重的安全问题。因此，探索研究计算机信息系统的安全问题有着重大的现实意义。

下面从信息安全管理和安全技术两方面来谈国内外计算机信息系统安全的研究现状。

一、 信息安全管理问题的研究

安全管理在整个系统和信息安全工作中占有非常重要的地位，目的是保证系统用户和信息资源不被非法使用，同时保证信息管理系统本身不出现未经授权的访问。据分析,在整个系统安全工作中，管理(包括管理和法律法规方面)所占比重高达70%,而技术(包括技术和实体)占30%。信息安全管理相对于信息安全技术来说是“软”技术。分析近几年情况，信息安全管理有以下几个方面内容：

1.制订信息安全发展战略和计划

制订发展战略和计划是发达国家一贯的做法。美、俄、日、英、法等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统和网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会议拟定了信息安全指导方针。2000年9月12日信息系统安全，俄罗斯批准了《国家信息安全构想》，明确了确保信息安全应采取的措施。英国和法国也正在制订各自的信息安全发展战略。

我国还没有制订国家级的信息安全发展战略，但在“十五”规划中已有提及，国内学者也提出了类似建议。另外，在我国2001年度《高技术研究发展计划》中提出了信息安全的科研攻关课题，“863”计划信息安全技术发展战略研究专家组制订了《信息安全技术应急计划》。

2.加强信息安全立法，实现统一和规范管理

以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制定网络信息安全规则的先锋是各大门户网站，美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。2000年1月，美国联邦政府发布了《保障信息系统国家计划》。2000年10月1日，美国的《电子签名法案》正式生效。2000年10月5日美国参议院通过了《互联网网络完备性及关键设备保护法案》。自1999年至今，美国国会已通过涉及计算机、互联网和信息安全问题的法律文件379个，还设立了总统关键基础设施保护委员会，负责安全工作的全国总协调。日本邮政省于2000年6月8日公布了旨在对付黑客的《信息网络安全可靠性基准》的补充修改方案,提出制订了风险管理的“信息安全准则”的指导原则。2000年9月,俄罗斯实施了关于网络信息安全的法律。法国也成立了协调的信息安全机构，由决策层、操作层、技术层及工业层组成。

1994年2月，国务院颁布了我国第一部有关计算机信息系统方面的法律法规，即《中华人民共和国计算机信息系统安全保护条例》。1996年国务院颁布《中华人民共和国计算机信息网络国际联网管理暂行规定》。全国人大常委会对计算机犯罪也高度重视，1997年《刑法》修改，增加了惩治计算机犯罪的法律条款(共3条5款)，使得打击计算机犯罪有法可依。

3.积极制订信息安全国际和国家标准

在信息安全的标准制订方面，英国最有成就。英国标准协会(BSI)于1999年2月提出了BS 7799《信息安全管理体系标准》(Code of Practice for Information Security)，并于1999年5月进行了修订。1999版包括两部分：《信息安全管理体系实施细则》和《信息安全管理体系规范》。BS 7799是目前国际上最知名的安全规范。2000年12月国际标准化组织将BS 7799的第一部分正式转化成国际标准ISO17799，目前已开始转化其第二部分。

ISO17799《信息安全管理体系》是现在国际上通行的信息安全管理体系，它强调管理体系的有效性、经济性、全面性、普遍性和开放性，目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照，是建立和实施信息安全管理体系(ISMS)保障组织、政府机构信息安全的重要手段。ISO17799包含了国际上先进的信息安全方针，从安全方针的拟定、安全责任的归属、风险的评估到确定与强化安全参数及存取控制，甚至包含防毒策略，提供了127种安全控制指南供用户选择和使用。1999年7月西方多个国家共同提出的《信息技术安全评价通用准则》(CC for ITSEC)被国际标准化组织认可，确立为国际标准ISO/IEC 15408。

在我国，1999年9月13日国家质量技术监督局正式公布了《计算机信息系统安全保护等级划分准则》(GB 17859～1999)，并于2001年元旦正式实施,这是我国第一部关于计算机信息系统安全等级划分的标准。GB 17859把计算机信息系统的安全保护能力划分为5个等级，即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这5个级别的安全强度自低到高排列，且高一级包括低一级的安全能力。

二、 信息安全技术的研究

与信息安全管理相比，信息安全技术是“硬”技术。由于信息网络的多样性和互联性，单一的信息安全技术往往不能解决问题，必须综合运用多种信息安全技术，实现信息安全。经过国内外学者的大量研究，信息安全技术在不断的发展和完善，主要有操作系统安全、防火墙、安全认证、防病毒、入侵检测、加密等等。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!