金路鋒 江蘇商貿(mào)職業(yè)學(xué)院

隨著信息科學(xué)技術(shù)的迅猛發(fā)展，各種應(yīng)用和信息共享應(yīng)用越來越廣泛。各種信息建設(shè)系統(tǒng)已成為國家的基礎(chǔ)設(shè)施，信息已成為人類社會的重要資源和重要組成部分。然而，信息系統(tǒng)的安全性也日益突出和復(fù)雜。因此，需要結(jié)合國內(nèi)外信息安全標(biāo)準(zhǔn)與評價對象的實際情況，建立相應(yīng)的風(fēng)險預(yù)測系統(tǒng)、防范風(fēng)險，從而更有效地維護(hù)計算機信息系統(tǒng)的安全。

1 計算機安全控制中存在的主要風(fēng)險

信息安全風(fēng)險的管理是關(guān)于實現(xiàn)和維護(hù)信息系統(tǒng)機密性、完整性和可用性的與安全相關(guān)的所有方面，理想的安全風(fēng)險標(biāo)準(zhǔn)應(yīng)該是一個集成的、一致的、可分析的、切合實際的、成本效益平衡的方法。信息安全風(fēng)險分類不僅要考慮風(fēng)險發(fā)生的可能性和由此而引起的可能后果，而且要在單一風(fēng)險基礎(chǔ)上，同時考慮各項風(fēng)險之間的相互關(guān)系，對綜合安全風(fēng)險進(jìn)行分析和評估。

1.1 組織人員風(fēng)險

由于組織缺乏人員安全管理、明確的職責(zé)和意識教育，內(nèi)部無意或惡意人員的失誤或攻擊，以及來自外部惡意或好奇人員或組織的攻擊，會使組織業(yè)務(wù)面臨大的風(fēng)險。如果組織在信息安全組織管理方面基礎(chǔ)薄弱、職責(zé)不清、技術(shù)服務(wù)能力差等原因，使組織在信息安全管理方面處于失控狀態(tài)，加大了計算機信息安全的風(fēng)險。

1.2 系統(tǒng)與機密性風(fēng)險

信息是組織信息技術(shù)系統(tǒng)裝載的業(yè)務(wù)數(shù)據(jù)，是一種非常重要價值的資產(chǎn)，甚至一些觀點認(rèn)為信息是組織的血液，是“一種在資產(chǎn)負(fù)債表之外，經(jīng)過逐漸積累的，可以被用來提升組織競爭優(yōu)勢的信息”。同實物資產(chǎn)相比，信息非常分散并且易于復(fù)制，是組織業(yè)務(wù)流程的重要輸入和輸出數(shù)據(jù)，比如客戶資料、產(chǎn)品設(shè)計等，如果得不到正確的識別、評估、保存和管理，就面臨可能被竊取、損毀、丟失的風(fēng)險，不但使依賴于這些關(guān)鍵信息的核心業(yè)務(wù)造成嚴(yán)重?fù)p壞，還會對組織的信譽、聲望造成巨大損失，甚至?xí)輾д麄€組織。通常所用的計算機操作系統(tǒng)，以及大量應(yīng)用軟件在組織業(yè)務(wù)交流中的使用，尤其是定制應(yīng)用產(chǎn)品，來自這些系統(tǒng)和應(yīng)用軟件的問題和缺陷會對一系列系統(tǒng)造成影響，尤其是多個應(yīng)用系統(tǒng)互聯(lián)時，影響會涉及整個組織的多個系統(tǒng)。比如有的系統(tǒng)維護(hù)困難、結(jié)構(gòu)不完善、缺乏文檔、設(shè)計漏洞等多種問題，有時會在系統(tǒng)升級和安裝補丁時引入較高的風(fēng)險。

1.3 內(nèi)容風(fēng)險

內(nèi)容攻擊是針對攻擊目標(biāo)的信息內(nèi)容采取的刪除、修改、竊取、欺騙、淹沒、挖掘等。傳統(tǒng)的內(nèi)容攻擊如網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)報文嗅探等,近年來開始流行一些針對面更廣泛的內(nèi)容攻擊,如地址欺騙,它并不更改原有正確對應(yīng)的內(nèi)容,而是采取欺騙的方式,通過技術(shù)手段誘騙訪問請求者得到錯誤的反饋結(jié)果。如惡意流氓軟件會竊取用戶隱私、收集用戶數(shù)據(jù)、推送非請求性內(nèi)容等,這會大量耗費用戶的系統(tǒng)資源工作時間。通過各種方式收集海量的用戶信息碎片,通過數(shù)據(jù)挖掘技術(shù),從中統(tǒng)計歸納出對攻擊者可用的新的情報信息。典型的如搜索引擎、各種網(wǎng)絡(luò)輸入法等隱蔽且難以防范。

2 強化計算機信息安全控制的對策

2.1 完善政府的計算機信息安全風(fēng)險管理體制

在行政方向，制定全面而綜合的管理計劃，保護(hù)計算機的重要信息和關(guān)鍵基礎(chǔ)設(shè)施。建立危機管理系統(tǒng)，對關(guān)鍵系統(tǒng)遭到的攻擊進(jìn)行響應(yīng)。為涉及關(guān)鍵信息系統(tǒng)應(yīng)急恢復(fù)的相關(guān)私營部門和其它政府實體提供技術(shù)支持；協(xié)調(diào)政府、洲非政府組織以及公眾在保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的職能和責(zé)任，提供有關(guān)保護(hù)措施和應(yīng)對措施方面的建議，并為研發(fā)活動提供必要的資金支持，以鼓勵技術(shù)創(chuàng)新，保障安全目標(biāo)的實現(xiàn)。

立法方向，主要在信息監(jiān)控、計算機犯罪方面制定了一系列的法律法規(guī)。開發(fā)、頒布并執(zhí)行保護(hù)信息和信息技術(shù)系統(tǒng)的最低強制性管理控制，同時對政府信息安全項目進(jìn)行監(jiān)控，要求對機密和非機密系統(tǒng)進(jìn)行安全評估和風(fēng)險評估及安全控制， 從立法上規(guī)范了政府信息安全管理行為，使政府有關(guān)信息安全管理的行政行為有法可依。

2.2 完善組織的計算機信息安全風(fēng)險管理制度

完善的管理制度是做好一切工作的保障,也是管理工作制度化、規(guī)范化的必要前提。各組織應(yīng)確立信息安全風(fēng)險首位和風(fēng)險控制先行的意識，把它作為組織信息安全工作的核心工作。加強對組織員工的法律、道德教育和信息安全制度和操作規(guī)程的普及。把信息安全風(fēng)險管理制度的建設(shè)、風(fēng)險的控制作為衡量組織領(lǐng)導(dǎo)工作業(yè)績的重要考核指標(biāo)，促進(jìn)各組織對信息安全風(fēng)險管理工作的重視和落實。