随着個人計算機和互聯網的普及，越來越多的公司依賴于使用互聯網經營其業務，行政機構和政府借助計算機存儲重要的信息和數據，個人利用計算機與各式各樣的終端設備享受互聯網的快捷和便利。但是，大量敏感的信息——大到維系公共安全的重要行政信息和軍事信息，小到個人隐私——不可避免地在互聯網上傳遞和存儲。大量的資金通過網絡進行轉賬，通過網上銀行進行支付。對于懷有惡意的計算機罪犯來說，這些都是他們所垂涎的目标。如果對其沒有适當的保護以滿足其安全性的要求，那麼個人、公司或各種組織将會面臨巨大的經濟風險和信任風險。

從技術角度看，計算機信息安全是一個涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的邊緣性綜合學科。

國際标準化組織（ISO）将“計算機安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和洩露”。此概念偏重于靜态信息保護，因此通常視為“信息保護”的概念範疇。也有人将“計算機安全”定義為：“計算機的硬件、軟件和數據受到保護，不因偶然和惡意的原因而遭到破壞、更改和洩露，系統連續正常運行。”該定義着重于動态信息描述，而且提出了用戶訪問系統時系統的可用性要求，因此通常定義為“信息保障”的概念範疇。

由于網絡技術的發展和進步，當今世界上很少有人使用未接入網絡、不與其他計算機相連接的計算機了。如何對連接在同一網絡中的多台計算機以及它們之間的連接設備進行保護，屬于“網絡安全”的定義範圍。綜合以上幾個定義，可以看出，計算機安全應該至少包括網絡安全、信息保護和信息保障這三個方面的内容。

1.1安全工作的三角形

安全工作的目的就是為了在安全法律、法規、政策的支持與指導下，通過采用合适的安全技術與安全管理措施，維護計算機的信息安全。保障計算機系統及其相關配套的設備、網絡設施安全，保障運行環境的安全，保障信息的安全，保障計算機系統和網絡系統功能的正常發揮，以維護整個信息系統的安全運行。因此，為了更好地界定和分析計算機安全，有如下圖所示的安全模型。在這一安全模型中，所有的安全定義歸類于三個相對獨立但又相互影響的部分。這模式包括以下三個方面：

計算機安全包括哪幾個方面？

1、物理安全（physical cecurity）

物理安全，顧名思義就是保護信息和有價值的資産（例如所使用的高檔服務器或價值不菲的企業專用通信線路），隻有在經過許可的條件下才能被物理訪問。換句話說，安全人員必須保護這些資産不會被移動或竊取。破壞分子常常自稱技術服務人員、記者、客戶、供應商甚至冒充公司員工，這樣他們可以方便地竊取設備、故意損壞或非法複制數據、從文件櫃甚至垃圾桶裡面搜尋重要的文件材料。

他們的動機多種多樣，可能是有意識地竊取商業機密，也有可能是為了發洩對企業或管理人員的不滿而采取的報複性行為，或者純粹因為對金錢的貪婪——一個例子是小偷盜竊了價值1000美元的存儲設備，他們隻是以極低的價格出售該設備，而并沒有意識到這一設備上存儲有價值遠高于1000美元的數據。除此之外，物理安全還需要保護計算機、網絡設備、相關設施以及傳輸介質免遭自然界的不可抗拒力量的破壞，如地震、水災、火災、有害氣體和其它環境事故（如電磁污染等）所産生的破壞。特别是避免由于電磁洩露産生信息洩露，從而幹擾他人或受他人幹擾。

物理安全在這一模型中是相對容易完成的任務。可以通過設置門鎖、安全檢查、門衛等方式控制進入辦公區域或敏感區域的人和物品。利用保險箱或帶鎖文件櫃存儲各類重要文件。員工被告知必須随身攜帶身份證件或門禁身份卡以便通過門禁系統。利用監控攝像和閉路電視系統監事重要場所的出入口。盡管門衛或筆錄電視監視系統通常被人诟病為作用不夠明顯，但是根據心理學理論，它們仍然是震懾破壞分子的一種有力武器。

還有一類物理安全所需要做到的是：恢複受到損失的關鍵信息或關鍵系統，使組織從損失中恢複過來，并能夠以最快的速度開始工作或開展正常的業務。例如，企業的服務器機房發生一次偶然的斷電事故，導緻企業的各項Internet業務無法正常進行，如何能夠在短時間内恢複電力供應以及恢複正常業務，在這段時間内如何保證企業的業務受到最小影響？這一類物理安全的保障牽涉到組織管理中需要預先做好的準備，包括大量的規劃、決策和帶有一定風險的測試。

物理安全是組織能夠較好實現整體安全性的基礎，但是較高的物理安全基礎不能取代運行安全和管理安全。例如，一台昂貴的、具有良好安全性的服務器并不能防止由于組織人員缺少責任心而導緻的盜竊。

2、運行安全（operation security）

運行安全是組織在應對安全威脅的時候所需要完成的任務。這一概念包括了計算機、網絡和通信系統以及運行于其中的管理信息，覆蓋了大量安全領域和技術領域。保障運行安全是一個安全人員所必須面對的首要任務。

運行安全問題主要包括：網絡訪問控制（network access control），身份驗證（authentication），實現安全的網絡拓撲。同時，為保障系統功能的安全實現，提供相應的安全措施，如風險分析、審計跟蹤、備份與恢複、應急流程，來保護信息處理過程中的安全，不同于物理安全将安全目标放在數據和資産上（以維護存儲有數據的服務器或主機為代表），運行安全将目标聚集于網絡和連接，并細化具體的操作機制以保證以上兩者的安全。

保障運行安全與物理安全和管理安全密不可分。運行安全可以補足物理安全的不足引起的缺陷和安全威脅。例如，一台不具有安全密碼控制的主機，可以借助制定并實施密碼輪換計劃以提升其安全性，也可以根據已制定的管理條例向相關機構申請更換或附加安全密碼控制功能。不過，運行安全的保障嚴重依賴于良好的管理安全。如上例中，若已經制定和實施了密碼輪換計劃（30天更新一次密碼，密碼必須是不低于8位的混合大寫字母、小寫字母和數字的字符串），但是相關操作人員未在規定更改期間按照要求進行密碼修改操作，則這種密碼輪換計劃并不能提升安全性。

以下一些名詞涉及運行安全相關的領域：

①網絡訪問控制：保證網絡信息資源不被非授權地使用。訪問控制根據主體和客體之間的訪問授權關系，對訪問過程做出限制。

②身份驗證：保證信息使用者和信息服務者都是真實聲稱者，防止冒充和重演的攻擊。

③風險分析：為了使計算機信息系統能安全地運行，首先了解影響計算機信息系統安全運行的諸多因素和存在的風險，從而進行風險分析，找出克服這些風險的方法。

④審計跟蹤：利用計算機信息系統所提供的的審計跟蹤工具，對計算機信息系統的工作過程進行詳盡的跟蹤記錄，同時保存好審計記錄和審計日志，并從中及時發現和解決問題，保證計算機信息系統安全可靠地運行。這就要求系統管理員要認真負責，切實保存、維護和管理審計日志。

⑤應急措施和備份恢複：兩者應同時考慮。首先要根據所用信息系統的功能特性和災難特點制定包括應急反應、備份操作、恢複措施三個方面内容的應急計劃，一旦發生災害事件，就可按計劃方案最大限度地恢複計算機系統的正常運行。

3、管理安全（management security）

管理和政策為整個組織的安全提供了最高級别的指導、規則和程序實施的安全環境。信息安全方面的專業人士可以向管理層提供有效的政策或相關建議，并需要得到管理層充分的支持。一個得不到管理層支持的安全人員不可能有效地實施任何安全措施。安全政策應應用于整個組織而非組織内某一個或特定的層級。組織管理層應将管理安全定位在組織文化或組織人力資源戰略相同的重要地位。

管理安全是組織安全中最高級也是最重要的一環。現實情況是大多數公司成員能夠說出他們有多少假期或收入情況，但是不能說出哪些公司信息能夠公開，哪些必須保證不被洩露。管理安全需要持續不斷、自上而下地加強，包括所有組織成員的教育和培訓。

以下一些名詞涉及管理安全相關的領域：

①行政政策：行政政策制定組織安全的指導方針和預期效果。對于日常業務，行政政策應明确說明何時進行以及以何種方式進行，還應當确定監管者、執行者以及審查者。行政政策應該是一個框架式的文件，制定者需要在主旨與細節之間取得一個較好的平衡。因為實際執行該政策的人員不可避免地需要對現場環境做出一定的妥協。

②災難恢複計劃：災難恢複計劃（disease recovery plan，DRP）用于在安全事故發生之後，以最快的速度恢複可用性的方案。它基于組織對可能發生的安全事件進行的風險評估。一個良好的DRP應具有良好的完整性，即考慮到所有類型的安全事件發生的可能性以及部署相應的應對措施。DRP的制定過程中，良好的資産評估和有效的測試有助于完善DRP。

③信息政策：信息政策是指組織如何管理信息和保證信息安全的基本政策，包括訪問信息、分級和分類信息、标記和存儲信息、傳輸和銷毀信息的方法。信息政策最顯著的特點就是對組織擁有的信息進行分類和分級。

④安全政策：安全政策定義了如何配置系統和網絡，如何确保計算機機房和數據中心的安全以及如何進行身份鑒别和身份認證。同時還确定如何進行訪問控制、審計、報告和處理網絡連接、加密和反病毒。安全政策還規定密碼選擇、賬戶到期、登錄嘗試失敗處理等相關領域的程序和步驟。

⑤軟件設計要求：軟件設計要求将規定自行開發的軟件系統或外購的軟件系統必須能夠達到的安全指标。軟件設計要求是根據企業的行政、信息、安全政策綜合考慮進行制定的，必須達到以上幾項政策所提出的安全要求。軟件設計要求應該是具體的、可實施的。同時軟件設計要求需要考慮到未來一段時期内網絡環境和系統環境所發生的變化，以便軟件系統得到合理的升級或補充。

⑥使用政策：包括如何使用信息和資源，該政策需要想組織成員或系統使用者解釋使用組織資源的方法和用途。這些政策包括計算機使用的規定、隐私、所有權和不當行為的後果。政策制定者應該闡明他們對用戶的期望。通常最簡單的使用政策描述為“本計算機所有權屬于公司，隻能應用于公司事務”。

⑦用戶管理政策：用戶管理政策描述員工在系統内的權限範圍，同時需要包括員工地位或崗位變化所導緻的系統變動。員工崗位輪替或變換是一種正常的現象，但是在員工轉移到新崗位時，必須重新設定該員工的權限并将其原有權限撤銷。否則可能導緻權限超越或員工獲取不應獲取的信息。用戶管理政策需要與人力資源策略緊密相連，一旦員工人事狀況發生變動，用戶管理政策應及時應對該變動并能夠根據預定方案進行反應。

感謝您的閱讀，加個關注不迷路~

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!