趙小鵬

網(wǎng)絡(luò)信息安全是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問(wèn)題，其重要性，正隨著全球信息化步伐的加快越來(lái)越重要。2015年7月1日，中國(guó)網(wǎng)絡(luò)安全大會(huì)在京召開(kāi)，“立體化”“大數(shù)據(jù)”和“自主可控”成為本次大會(huì)的熱點(diǎn)關(guān)鍵詞，“互聯(lián)網(wǎng)+”“移動(dòng)”“云”和“行業(yè)”等是此次大會(huì)的主要議題方向，“信息安全領(lǐng)袖巔峰對(duì)話”和“黑客大師講堂”成為大會(huì)的關(guān)注焦點(diǎn)。7月23日，2015中國(guó)網(wǎng)絡(luò)安全論壇成功舉辦，論壇以“共建網(wǎng)絡(luò)安全為互聯(lián)網(wǎng)+護(hù)航”為主題，強(qiáng)化網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全防護(hù)，高度重視數(shù)據(jù)安全和用戶個(gè)人信息保護(hù)，深入推進(jìn)網(wǎng)絡(luò)安全技術(shù)手段創(chuàng)新，積極推動(dòng)信息共享，共同應(yīng)對(duì)網(wǎng)絡(luò)威脅。

計(jì)算機(jī)犯罪對(duì)全球造成了前所未有的新威脅，犯罪學(xué)家預(yù)言未來(lái)信息化社會(huì)犯罪的形式將主要是計(jì)算機(jī)網(wǎng)絡(luò)犯罪。我國(guó)自 1986年深圳發(fā)生第一起計(jì)算機(jī)犯罪案件以來(lái)，計(jì)算機(jī)犯罪呈直線上升趨勢(shì)，犯罪手段也日趨技術(shù)化、多樣化，犯罪領(lǐng)域也不斷擴(kuò)展，許多傳統(tǒng)犯罪形式在互聯(lián)網(wǎng)上都能找到影子，而且其危害性已遠(yuǎn)遠(yuǎn)超過(guò)傳統(tǒng)犯罪。

計(jì)算機(jī)犯罪的犯罪主體大多是掌握了計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的專業(yè)人士，甚至一些原為計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)專家的職業(yè)人員也鋌而走險(xiǎn)，其犯罪所采用的手段則更趨專業(yè)化。他們洞悉網(wǎng)絡(luò)的缺陷與漏洞，運(yùn)用豐富的電腦及網(wǎng)絡(luò)技術(shù)，借助四通八達(dá)的網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)及各種電子數(shù)據(jù)、資料等信息發(fā)動(dòng)進(jìn)攻，進(jìn)行破壞。

計(jì)算機(jī)病毒是一種人為編制的程序，能在計(jì)算機(jī)系統(tǒng)運(yùn)行的過(guò)程中自身精確地拷貝或有修改地拷貝到其他程序體內(nèi)，給計(jì)算機(jī)系統(tǒng)帶來(lái)某種故障或使其完全癱瘓，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點(diǎn)。隨著互聯(lián)網(wǎng)的發(fā)展，計(jì)算機(jī)病毒的種類(lèi)急劇增加，擴(kuò)散速度大大加快，受感染的范圍也越來(lái)越廣。

據(jù)粗略統(tǒng)計(jì)，全世界已發(fā)現(xiàn)的計(jì)算機(jī)病毒的種類(lèi)有上萬(wàn)種，并且正以平均每月300-500的速度瘋狂增長(zhǎng)。計(jì)算機(jī)病毒不僅通過(guò)軟盤(pán)、硬盤(pán)傳播，還可經(jīng)電子郵件、下載文件、文件服務(wù)器、瀏覽網(wǎng)頁(yè)等方式傳播。近年來(lái)先后爆發(fā)的CIH病毒、愛(ài)蟲(chóng)病毒、求職信病毒、尼姆達(dá)病毒等對(duì)網(wǎng)絡(luò)造成的危害極大，許多網(wǎng)絡(luò)系統(tǒng)遭病毒感染，服務(wù)器癱瘓，使網(wǎng)絡(luò)信息服務(wù)無(wú)法開(kāi)展，甚至于丟失了許多數(shù)據(jù)，造成了極大的損失。

網(wǎng)絡(luò)信息安全一般是指網(wǎng)絡(luò)信息的機(jī)密性、完整性、可用性及真實(shí)性。網(wǎng)絡(luò)信息的機(jī)密性是指網(wǎng)絡(luò)信息的內(nèi)容不會(huì)被未授權(quán)的第三方所知。

網(wǎng)絡(luò)信息的完整性是指信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞，不出現(xiàn)信息包的丟失、亂序等，即不被未授權(quán)的第三方修改。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。當(dāng)前，運(yùn)行于互聯(lián)網(wǎng)上的協(xié)議，能夠確保信息在數(shù)據(jù)包級(jí)別的完整性，即做到了傳輸過(guò)程中不丟信息包，不重復(fù)接收信息包，但卻無(wú)法制止未授權(quán)第三方對(duì)信息內(nèi)部的修改。

網(wǎng)絡(luò)信息的可用性包括對(duì)靜態(tài)信息的可得到和可操作性及對(duì)動(dòng)態(tài)信息內(nèi)容的可見(jiàn)性。網(wǎng)絡(luò)信息的真實(shí)性是指信息的可信度，主要是指對(duì)信息所有者或發(fā)送者的身份的確認(rèn)。

為了達(dá)到網(wǎng)絡(luò)信息安全的目的，需要全方位的對(duì)網(wǎng)絡(luò)信息進(jìn)行保護(hù)，那么一個(gè)完善的管理體系是不可缺少的。1989年，由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院在《Special Publication SP500169》的《信息資源保護(hù)執(zhí)行指南》中提出：“信息資源保護(hù)項(xiàng)目的成功依賴于所采用的策略，也依賴于管理層對(duì)自動(dòng)系統(tǒng)中信息的保護(hù)態(tài)度。作為策略的制定者，應(yīng)當(dāng)定好基調(diào)，強(qiáng)調(diào)信息安全在機(jī)構(gòu)中所產(chǎn)生的重要作用。制定者的主要責(zé)任就是為機(jī)構(gòu)制定信息資源安全策略達(dá)到下述目標(biāo)：減少風(fēng)險(xiǎn)，遵從法律和規(guī)則，確保機(jī)構(gòu)運(yùn)作的連續(xù)性、信息完整性和機(jī)密性?！?/p>

創(chuàng)建一個(gè)安全的網(wǎng)絡(luò)環(huán)境，必須設(shè)計(jì)一個(gè)安全計(jì)劃，計(jì)劃的順利實(shí)施需要一個(gè)管理模型來(lái)執(zhí)行和維護(hù)。首先分析現(xiàn)有的安全控制策略和措施，找出其他必要的安全控制，形成一個(gè)安全框架，從而建立一個(gè)完整的管理模型。安全管理模型目前已經(jīng)有了被認(rèn)可的國(guó)際標(biāo)準(zhǔn)，美國(guó)聯(lián)邦代理機(jī)構(gòu)和國(guó)際組織都有很好的參考模型。英國(guó)標(biāo)準(zhǔn) 7799（BS7799）提供了兩個(gè)部分，分別闡述了安全管理實(shí)踐的不同領(lǐng)域。NIST安全模型可公開(kāi)獲得，并且得到了政府和行業(yè)專家的廣泛檢查，一個(gè)混合安全管理模型參考了很多相關(guān)資料，更好地描述了安全控制，共由三部分組成。

管理控制：覆蓋了由策略計(jì)劃者設(shè)計(jì)并由安全管理者實(shí)施的安全過(guò)程。內(nèi)容包括項(xiàng)目管理、系統(tǒng)安全計(jì)劃、生命周期維護(hù)、風(fēng)險(xiǎn)管理、安全控制檢查和合法性等。

操作控制：處理機(jī)構(gòu)內(nèi)部操作功能的安全性。包括應(yīng)急計(jì)劃、安全教育、培訓(xùn)和意識(shí)提升、人員安全、物理安全、產(chǎn)品輸入和輸出、硬件和軟件系統(tǒng)維護(hù)、數(shù)據(jù)完整性。

技術(shù)控制：針對(duì)在機(jī)構(gòu)內(nèi)設(shè)計(jì)和實(shí)施安全的戰(zhàn)術(shù)與技術(shù)問(wèn)題。涉及到邏輯訪問(wèn)控制、識(shí)別、認(rèn)證、授權(quán)和義務(wù)、審計(jì)追蹤、資產(chǎn)分類(lèi)與控制和密碼編碼學(xué)。

首先從業(yè)務(wù)需求來(lái)分析，詳細(xì)了解當(dāng)前存在的網(wǎng)絡(luò)信息安全威脅，以及網(wǎng)絡(luò)信息安全的攻擊手段，可以從幾個(gè)方面建立一個(gè)安全的網(wǎng)絡(luò)信息系統(tǒng)。

網(wǎng)絡(luò)物理安全方面。要做好物理訪問(wèn)控制和設(shè)施及防火安全，從技術(shù)上保障可行的資源保護(hù)和網(wǎng)絡(luò)訪問(wèn)安全，從工作環(huán)境以及工作人員、外來(lái)人員方面切實(shí)做好保密工作，以便從物理上斷絕對(duì)網(wǎng)絡(luò)安全的威脅。用戶本身方面，要做好自主保護(hù)，從機(jī)構(gòu)方面要嚴(yán)格的崗位考核管理，對(duì)人員的安全意識(shí)要經(jīng)常培訓(xùn)。

做好安全保密協(xié)議的管理，對(duì)離崗人員要有嚴(yán)格的調(diào)離手續(xù)。人員管理方面。對(duì)于內(nèi)部工作人員來(lái)講，要從以下幾個(gè)方面來(lái)管理。操作權(quán)限要進(jìn)行合理劃分、分配，從管理的效率和方便程度上，按級(jí)別和重要程度進(jìn)行管理，保障網(wǎng)絡(luò)的暢通和安全。要強(qiáng)化和落實(shí)責(zé)任制，保證職工在規(guī)定的權(quán)限范圍內(nèi)進(jìn)行工作，并承擔(dān)相應(yīng)的操作責(zé)任。同時(shí)要對(duì)信息進(jìn)行監(jiān)控，避免工作人員有意或無(wú)意的信息泄漏。對(duì)一些災(zāi)難事件要有相應(yīng)的拯救措施，避免不適當(dāng)操作帶來(lái)的損失，技術(shù)人員要保證可以及時(shí)恢復(fù)被毀壞數(shù)據(jù)。

在網(wǎng)絡(luò)安全中，無(wú)論從采用的管理模型，還是技術(shù)控制，最重要的還是貫徹始終的安全管理。管理是多方面的，有信息的管理、人員的管理、制度的管理、機(jī)構(gòu)的管理等，它的作用也是關(guān)鍵的，是網(wǎng)絡(luò)安全防范中的靈魂。

在機(jī)構(gòu)或部門(mén)中，各層次人員的責(zé)任感，對(duì)信息安全的認(rèn)識(shí)、理解和重視程度，都與網(wǎng)絡(luò)安全息息相關(guān)。所以信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議。在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮進(jìn)去，則成本會(huì)更低、效率會(huì)更高。