网络信息安全是一门交叉学科,除了涉及数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学,是一个多领域的复杂系统。通常把网络信息安全涉及的内容分为物理安全、网络安全、系统安全、应用安全、管理安全等五个方面。物理安全,也称实体安全,是指保护计算机设备、设施(网络及通信线路)免遭地震、水灾、火灾等自然灾害和环境事故(如电磁污染等),以及人为操作失误及计算机犯罪行为导致的破坏。保证计算机信息系统各种设备的物理安全,是整个计算机信息系统安全的前提。物理安全主要包括以下3个方面。(1)环境安全:对系统所有环境的安全保护,如区域保护(电子监控)和灾难保护(灾难的预警、应急处理、恢复等)。(2)设备安全:主要包括设备的防盗、防毁(接地保护)、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。(3)媒体安全:包括媒体数据的安全及媒体本身的安全。物理安全是非常容易被忽略的,尤其是一些小的单位和家庭中。一旦被黑客入侵,短短几分钟就会受到安全的威胁。。网络安全,在内部网与外部网之间,可以设置防火墙来实现内外网的隔离和访问控制,是保护内部网安全的最主要的措施,同时也是最有效、最经济的措施之一。网络安全检测工具通常是一个网络安全性的评估分析软件或者硬件,用此类工具可以检测出系统的漏洞或潜在的威胁,以达到增强网络安全性的目的。备份是为了尽可能快地全面恢复运行计算机系统所需要的数据和系统信息。备份不仅在网络系统硬件出现故障或人为操作失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时也是系统灾难恢复的前提之一。系统安全,一般人们对网络和操作系统的安全很重视,而对数据库的安全不够重视,其实数据库系统也是一种很重要的系统软件,与其他软件一样需要保护。应用安全建立在系统平台之上,人们普遍会重视系统安全,而忽视应用安全。主要原因有:①对应用安全缺乏认识;②应用系统过于灵活,需要掌握较高的相关安全技术。网络安全、系统安全和数据安全的技术实现有很多固定的规则,应用安全则不同,客户的应用往往各不相同,必须投入相对更多的人力物力,而且没有现成的工具,只能根据经验来手动完成。管理安全,安全是一个整体,完整的安全解决方案不仅包括物理安全、网络安全、系统安全和应用安全等技术手段,还需要以人为核心的策略和管理支持。网络信息安全至关重要的往往不是技术手段,而是对人的管理。无论采用了多么先进的技术设备,只要安全管理上有漏洞,那么这个系统的安全就没有保障。在网络管理安全中,专家们一致认为是“30%的技术,70%的管理”。同时,网络信息安全不是一个目标,而是一个过程,而且是一个动态的过程。这是因为制约安全的因素都是动态变化的,必须通过一个动态的过程来保证安全。例如,Windows操作系统经常发布安全漏洞,在没有发现系统漏洞之前,大家可能认为自己的系统是安全的,实际上系统已经处于威胁之中了,所以要及时地更新补丁。安全是相对的,没有绝对的安全,需要根据客户的实际情况,在实用和安全之间找一个平衡点。从总体上来看,网络信息安全涉及网络系统的多个层次和多个方面,同时,也是一个动态变化的过程。网络信息安全实际上是一个系统工程,既涉及对外部攻击的有效防范,又包括制定完善的内部安全保障制度;既涉及防病毒攻击,又涵盖实时检测、防黑客攻击等内容。因此,网络信息安全解决方案不应仅仅提供对于某种安全隐患的防范能力,还应涵盖对于各种可能造成网络信息安全问题隐患的整体防范能力;同时,还应该是一种动态的解决方案,能够随着网络信息安全需求的增加而不断改进和完善。
