計(jì)算機(jī)信息安全的風(fēng)險(xiǎn)與對(duì)策研究

金路鋒 江蘇商貿(mào)職業(yè)學(xué)院

隨著信息科學(xué)技術(shù)的迅猛發(fā)展，各種應(yīng)用和信息共享應(yīng)用越來(lái)越廣泛。各種信息建設(shè)系統(tǒng)已成為國(guó)家的基礎(chǔ)設(shè)施，信息已成為人類(lèi)社會(huì)的重要資源和重要組成部分。然而，信息系統(tǒng)的安全性也日益突出和復(fù)雜。因此，需要結(jié)合國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)與評(píng)價(jià)對(duì)象的實(shí)際情況，建立相應(yīng)的風(fēng)險(xiǎn)預(yù)測(cè)系統(tǒng)、防范風(fēng)險(xiǎn)，從而更有效地維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全。

1 計(jì)算機(jī)安全控制中存在的主要風(fēng)險(xiǎn)

信息安全風(fēng)險(xiǎn)的管理是關(guān)于實(shí)現(xiàn)和維護(hù)信息系統(tǒng)機(jī)密性、完整性和可用性的與安全相關(guān)的所有方面，理想的安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)應(yīng)該是一個(gè)集成的、一致的、可分析的、切合實(shí)際的、成本效益平衡的方法。信息安全風(fēng)險(xiǎn)分類(lèi)不僅要考慮風(fēng)險(xiǎn)發(fā)生的可能性和由此而引起的可能后果，而且要在單一風(fēng)險(xiǎn)基礎(chǔ)上，同時(shí)考慮各項(xiàng)風(fēng)險(xiǎn)之間的相互關(guān)系，對(duì)綜合安全風(fēng)險(xiǎn)進(jìn)行分析和評(píng)估。

1.1 組織人員風(fēng)險(xiǎn)

由于組織缺乏人員安全管理、明確的職責(zé)和意識(shí)教育，內(nèi)部無(wú)意或惡意人員的失誤或攻擊，以及來(lái)自外部惡意或好奇人員或組織的攻擊，會(huì)使組織業(yè)務(wù)面臨大的風(fēng)險(xiǎn)。如果組織在信息安全組織管理方面基礎(chǔ)薄弱、職責(zé)不清、技術(shù)服務(wù)能力差等原因，使組織在信息安全管理方面處于失控狀態(tài)，加大了計(jì)算機(jī)信息安全的風(fēng)險(xiǎn)。

1.2 系統(tǒng)與機(jī)密性風(fēng)險(xiǎn)

信息是組織信息技術(shù)系統(tǒng)裝載的業(yè)務(wù)數(shù)據(jù)，是一種非常重要價(jià)值的資產(chǎn)，甚至一些觀點(diǎn)認(rèn)為信息是組織的血液，是“一種在資產(chǎn)負(fù)債表之外，經(jīng)過(guò)逐漸積累的，可以被用來(lái)提升組織競(jìng)爭(zhēng)優(yōu)勢(shì)的信息”。同實(shí)物資產(chǎn)相比，信息非常分散并且易于復(fù)制，是組織業(yè)務(wù)流程的重要輸入和輸出數(shù)據(jù)，比如客戶資料、產(chǎn)品設(shè)計(jì)等，如果得不到正確的識(shí)別、評(píng)估、保存和管理，就面臨可能被竊取、損毀、丟失的風(fēng)險(xiǎn)，不但使依賴于這些關(guān)鍵信息的核心業(yè)務(wù)造成嚴(yán)重?fù)p壞，還會(huì)對(duì)組織的信譽(yù)、聲望造成巨大損失，甚至?xí)輾д麄€(gè)組織。通常所用的計(jì)算機(jī)操作系統(tǒng)，以及大量應(yīng)用軟件在組織業(yè)務(wù)交流中的使用，尤其是定制應(yīng)用產(chǎn)品，來(lái)自這些系統(tǒng)和應(yīng)用軟件的問(wèn)題和缺陷會(huì)對(duì)一系列系統(tǒng)造成影響，尤其是多個(gè)應(yīng)用系統(tǒng)互聯(lián)時(shí)，影響會(huì)涉及整個(gè)組織的多個(gè)系統(tǒng)。比如有的系統(tǒng)維護(hù)困難、結(jié)構(gòu)不完善、缺乏文檔、設(shè)計(jì)漏洞等多種問(wèn)題，有時(shí)會(huì)在系統(tǒng)升級(jí)和安裝補(bǔ)丁時(shí)引入較高的風(fēng)險(xiǎn)。

1.3 內(nèi)容風(fēng)險(xiǎn)

內(nèi)容攻擊是針對(duì)攻擊目標(biāo)的信息內(nèi)容采取的刪除、修改、竊取、欺騙、淹沒(méi)、挖掘等。傳統(tǒng)的內(nèi)容攻擊如網(wǎng)絡(luò)監(jiān)聽(tīng)、網(wǎng)絡(luò)報(bào)文嗅探等,近年來(lái)開(kāi)始流行一些針對(duì)面更廣泛的內(nèi)容攻擊,如地址欺騙,它并不更改原有正確對(duì)應(yīng)的內(nèi)容,而是采取欺騙的方式,通過(guò)技術(shù)手段誘騙訪問(wèn)請(qǐng)求者得到錯(cuò)誤的反饋結(jié)果。如惡意流氓軟件會(huì)竊取用戶隱私、收集用戶數(shù)據(jù)、推送非請(qǐng)求性內(nèi)容等,這會(huì)大量耗費(fèi)用戶的系統(tǒng)資源工作時(shí)間。通過(guò)各種方式收集海量的用戶信息碎片,通過(guò)數(shù)據(jù)挖掘技術(shù),從中統(tǒng)計(jì)歸納出對(duì)攻擊者可用的新的情報(bào)信息。典型的如搜索引擎、各種網(wǎng)絡(luò)輸入法等隱蔽且難以防范。

2 強(qiáng)化計(jì)算機(jī)信息安全控制的對(duì)策

2.1 完善政府的計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理體制

在行政方向，制定全面而綜合的管理計(jì)劃，保護(hù)計(jì)算機(jī)的重要信息和關(guān)鍵基礎(chǔ)設(shè)施。建立危機(jī)管理系統(tǒng)，對(duì)關(guān)鍵系統(tǒng)遭到的攻擊進(jìn)行響應(yīng)。為涉及關(guān)鍵信息系統(tǒng)應(yīng)急恢復(fù)的相關(guān)私營(yíng)部門(mén)和其它政府實(shí)體提供技術(shù)支持；協(xié)調(diào)政府、洲非政府組織以及公眾在保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的職能和責(zé)任，提供有關(guān)保護(hù)措施和應(yīng)對(duì)措施方面的建議，并為研發(fā)活動(dòng)提供必要的資金支持，以鼓勵(lì)技術(shù)創(chuàng)新，保障安全目標(biāo)的實(shí)現(xiàn)。

立法方向，主要在信息監(jiān)控、計(jì)算機(jī)犯罪方面制定了一系列的法律法規(guī)。開(kāi)發(fā)、頒布并執(zhí)行保護(hù)信息和信息技術(shù)系統(tǒng)的最低強(qiáng)制性管理控制，同時(shí)對(duì)政府信息安全項(xiàng)目進(jìn)行監(jiān)控，要求對(duì)機(jī)密和非機(jī)密系統(tǒng)進(jìn)行安全評(píng)估和風(fēng)險(xiǎn)評(píng)估及安全控制， 從立法上規(guī)范了政府信息安全管理行為，使政府有關(guān)信息安全管理的行政行為有法可依。

2.2 完善組織的計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理制度

完善的管理制度是做好一切工作的保障,也是管理工作制度化、規(guī)范化的必要前提。各組織應(yīng)確立信息安全風(fēng)險(xiǎn)首位和風(fēng)險(xiǎn)控制先行的意識(shí)，把它作為組織信息安全工作的核心工作。加強(qiáng)對(duì)組織員工的法律、道德教育和信息安全制度和操作規(guī)程的普及。把信息安全風(fēng)險(xiǎn)管理制度的建設(shè)、風(fēng)險(xiǎn)的控制作為衡量組織領(lǐng)導(dǎo)工作業(yè)績(jī)的重要考核指標(biāo)，促進(jìn)各組織對(duì)信息安全風(fēng)險(xiǎn)管理工作的重視和落實(shí)。