王和寧 馬艷娟

【摘要】? ? 計(jì)算機(jī)網(wǎng)絡(luò)共享、開放的特點(diǎn)，促進(jìn)了信息的傳輸和利用，但網(wǎng)絡(luò)在為人們生產(chǎn)、生活提供巨大便利的同時(shí)也存在各種安全漏洞，可以說信息安全威脅從網(wǎng)絡(luò)誕生起就一直存在，為此必須加強(qiáng)網(wǎng)絡(luò)信息安全的管控。本文分析了計(jì)算機(jī)網(wǎng)絡(luò)信息的各種安全威脅，探討了加強(qiáng)網(wǎng)絡(luò)信息安全的管控措施。

【關(guān)鍵詞】? ? 計(jì)算機(jī)網(wǎng)絡(luò)? ? 信息安全威脅? ? 管控措施

隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)獲得高度普及。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的《第46次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》披露，截至2020年6月，我國網(wǎng)民規(guī)模達(dá)9.40億，手機(jī)網(wǎng)民規(guī)模達(dá)9.32億，互聯(lián)網(wǎng)普及率達(dá)67.0%，手機(jī)上網(wǎng)比例達(dá)99.2%。網(wǎng)絡(luò)普及為人們的生產(chǎn)、生活帶來巨大便利，但也使信息安全受到嚴(yán)重威脅[1]。這是因?yàn)榫W(wǎng)絡(luò)具有共享、開放特點(diǎn)，有利于信息的傳輸和服務(wù)，但網(wǎng)絡(luò)安全漏洞使信息存在泄露、丟失的風(fēng)險(xiǎn)，由此給個(gè)人、企業(yè)和社會(huì)帶來嚴(yán)重?fù)p失。網(wǎng)絡(luò)安全分為信息安全和管理安全，信息的完整性、可用性、可靠性等代表著信息安全[2]，為了不使信息安全受到威脅，本文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅與管控措施進(jìn)行了探討。

一、計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅分析

1.1關(guān)于信息安全威脅

信息存在外泄、不受控制、被篡改及非法復(fù)制、占用、擴(kuò)散等現(xiàn)象，使信息擁有者蒙受損失，我們稱之為信息安全威脅，這種威脅主要來自計(jì)算機(jī)病毒、計(jì)算機(jī)操作人員安全意識(shí)薄弱、計(jì)算機(jī)核心軟件存在漏洞、計(jì)算機(jī)互聯(lián)網(wǎng)黑客攻擊等方面[3]。根據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）發(fā)布的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》披露，DDOS攻擊、APT攻擊、數(shù)據(jù)安全防護(hù)意識(shí)薄弱、安全漏洞、計(jì)算機(jī)及移動(dòng)互聯(lián)網(wǎng)惡意程序、計(jì)算機(jī)病毒等仍是當(dāng)前我國計(jì)算機(jī)網(wǎng)絡(luò)信息安全面對(duì)的主要威脅。

1.2常見信息安全威脅

計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅主要有以下幾種：

第一，DDOS攻擊，即分布式拒絕攻擊（Distributed Denial of Service），攻擊者利用DDOS攻擊器控制大量計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備，向攻擊目標(biāo)發(fā)送大量數(shù)據(jù)，使被攻擊目標(biāo)因資源耗竭而癱瘓。

第二，APT攻擊，即高級(jí)持續(xù)性攻擊（Advanced Persistent Threat），攻擊者針對(duì)特定目標(biāo)（個(gè)人、組織或公司）進(jìn)行長時(shí)間持續(xù)（可長至數(shù)月之久）的攻擊，以竊取數(shù)據(jù)和進(jìn)行間諜活動(dòng)，常利用投遞誘惑性釣魚郵件實(shí)現(xiàn)其攻擊，如含惡意代碼的Office文檔等。

第三，信息安全防護(hù)意識(shí)薄弱。目前，在我國針對(duì)數(shù)據(jù)庫的密碼暴力破解攻擊平均每天超過百億次，大量信息外泄，導(dǎo)致信息安全面臨嚴(yán)重挑戰(zhàn)，其中一個(gè)重要原因是信息安全防護(hù)意識(shí)的薄弱。信息系統(tǒng)的設(shè)計(jì)、管理和使用人員中普遍存在輕視、被動(dòng)應(yīng)付信息安全威脅的局面，往往在發(fā)生問題、產(chǎn)生損失后才采取措施。

第四，計(jì)算機(jī)系統(tǒng)存在漏洞。所謂計(jì)算機(jī)漏洞是指計(jì)算機(jī)軟硬件系統(tǒng)中存在某些缺陷，這些缺陷能被攻擊者利用，如用來非授權(quán)訪問、控制乃至破壞。計(jì)算機(jī)漏洞類型很多，圖1為計(jì)算機(jī)網(wǎng)絡(luò)信息安全常見漏洞威脅類型。根據(jù)CNCERT發(fā)布的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》披露，2019年一年收錄的軟硬件漏洞數(shù)量就達(dá)16193個(gè)，比2018年增長14%，事件型漏洞、高危零日漏洞數(shù)量有較快增長。

第五，計(jì)算機(jī)及移動(dòng)互聯(lián)網(wǎng)惡意程序，即運(yùn)行在計(jì)算機(jī)網(wǎng)絡(luò)及移動(dòng)互聯(lián)網(wǎng)上帶有攻擊意圖的程序，攻擊者發(fā)布惡意程序的目的是竊取用戶數(shù)據(jù)、惡意扣費(fèi)、遠(yuǎn)程攻擊、消耗流量、惡意傳播等，進(jìn)而影響計(jì)算機(jī)及移動(dòng)終端設(shè)備運(yùn)行，損害用戶利益，危害互聯(lián)網(wǎng)安全。

第六，計(jì)算機(jī)病毒。所謂計(jì)算機(jī)病毒其實(shí)是由人編寫的一類具有攻擊性和破壞性的計(jì)算機(jī)程序，例如近年來發(fā)展迅速的勒索病毒就是通過計(jì)算機(jī)漏洞和釣魚軟件等手段攻擊有價(jià)值的目標(biāo)服務(wù)器，引爆互聯(lián)網(wǎng)地下黑灰產(chǎn)業(yè)。

二、計(jì)算機(jī)網(wǎng)絡(luò)信息安全管控措施

2.1構(gòu)建信息安全管控體系

為應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅，必須加強(qiáng)頂層設(shè)計(jì)，構(gòu)建完善的信息安全管控體系。由于網(wǎng)絡(luò)信息系統(tǒng)面對(duì)的安全威脅是多方面的，構(gòu)建管控體系應(yīng)遵循以下原則：第一，補(bǔ)齊短板的木桶原則。木桶裝水的容量是由最短的木板決定的，所以防范信息安全威脅也要著眼于整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中的“安全最低點(diǎn)”，為此應(yīng)加強(qiáng)信息系統(tǒng)安全的全面評(píng)估和測試，以找出短板。第二，整體均衡原則。信息安全管控體系應(yīng)當(dāng)是組織嚴(yán)密的網(wǎng)絡(luò)，由不同安全技術(shù)連接成完整的鏈條，系統(tǒng)受到攻擊后能迅速“愈合”和平衡，這就體現(xiàn)了整體性和均衡性原則。第三，技術(shù)與管理相統(tǒng)一原則。解決信息安全威脅問題離不開安全技術(shù)的應(yīng)用，但同時(shí)高水平管理也是不可或缺的，沒有健全的管理制度和完善的責(zé)任體系，光有技術(shù)在面對(duì)安全威脅時(shí)也會(huì)千瘡百孔而不堪一擊，所以信息安全管控體系必定是技術(shù)與管理相統(tǒng)一的。第四，標(biāo)準(zhǔn)動(dòng)態(tài)原則。構(gòu)建信息安全管控體系是一個(gè)復(fù)雜的系統(tǒng)工程，要遵循現(xiàn)行標(biāo)準(zhǔn)來保持內(nèi)部各個(gè)子系統(tǒng)的一致性。同時(shí)網(wǎng)絡(luò)信息安全形勢是動(dòng)態(tài)變化的，信息安全管控體系必須適應(yīng)這種變化，通過不斷調(diào)整來適應(yīng)安全形勢的變化。按照上述原則構(gòu)建的信息安全管控體系如圖2所示。

2.2 實(shí)施合理的信息安全策略

信息安全策略一般由物理安全策略、技術(shù)安全策略和管理安全策略組成。

物理安全策略是針對(duì)網(wǎng)絡(luò)信息設(shè)備層面制定的安全策略，通過身份認(rèn)證、權(quán)限設(shè)置控制用戶正確使用設(shè)備;通過運(yùn)用先進(jìn)技術(shù)和優(yōu)化系統(tǒng)平臺(tái)保障信息傳輸過程的安全性。

技術(shù)安全策略就是采用合理的安全防護(hù)技術(shù)，制定有效的安全防御體系，保護(hù)信息安全，如身份認(rèn)證、加密處理、入侵監(jiān)測、病毒掃描、信息備份、日志審計(jì)、防火墻技術(shù)運(yùn)用等。圖3是網(wǎng)絡(luò)信息安全漏洞的防范策略。

管理安全策略主要加強(qiáng)用戶管理，設(shè)置訪問權(quán)限及屬性，實(shí)施安全操作管理，對(duì)用戶訪問、操作進(jìn)行記錄等。用戶登錄密碼切忌簡單化，如簡單幾位數(shù)字較容易破解，應(yīng)增加密碼長度，混合字母、符號(hào)，這樣可增加破解難度，其次用戶登錄密碼應(yīng)定期更換，以減少密碼大量重復(fù)使用帶來的風(fēng)險(xiǎn)。

2.3 加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)來自環(huán)境、人為、設(shè)備等多個(gè)方面，威脅和系統(tǒng)脆弱性增加，安全措施減少，系統(tǒng)安全風(fēng)險(xiǎn)就會(huì)增加，反之亦然。由于風(fēng)險(xiǎn)是動(dòng)態(tài)變化的，所以風(fēng)險(xiǎn)評(píng)估也需要常態(tài)化。要準(zhǔn)確、合理地評(píng)估各種風(fēng)險(xiǎn)，應(yīng)遵循一定的流程。做好評(píng)估前期準(zhǔn)備，再分別評(píng)估各種風(fēng)險(xiǎn)因素，確定風(fēng)險(xiǎn)之后，要對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)和制定風(fēng)險(xiǎn)控制措施，其流程[4]如圖4所示。

2.4 提高網(wǎng)絡(luò)信息安全意識(shí)

除了從技術(shù)上和安全策略上防范網(wǎng)絡(luò)信息安全威脅以外，還應(yīng)提高相關(guān)人員的信息安全意識(shí)，通過規(guī)范安全行為來降低安全風(fēng)險(xiǎn)。提高安全意識(shí)的措施如下：第一，建立全員培訓(xùn)機(jī)制，所有與信息安全相關(guān)的人員都應(yīng)參加培訓(xùn)。第二，加強(qiáng)信息安全知識(shí)的宣傳，營造濃厚的信息安全氛圍。第三，健全信息安全管理規(guī)章制度，明確細(xì)則和人員職責(zé)。第四，建立信息安全責(zé)任體系和考核機(jī)制。將信息安全與人員績效考核掛鉤，減少人的不安全因素對(duì)信息安全的影響。

三、結(jié)語

計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅主要來自計(jì)算機(jī)病毒、信息安全防護(hù)意識(shí)薄弱、計(jì)算機(jī)系統(tǒng)存在漏洞和黑客攻擊等方面，針對(duì)這些威脅應(yīng)構(gòu)建完善的信息安全管控體系，實(shí)施合理的信息安全策略，加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估，提高網(wǎng)絡(luò)信息安全意識(shí)，只有以系統(tǒng)工程理論為指導(dǎo)多管齊下，才能降低網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，以合理的投入達(dá)到較高的安全水平，使人們更安全、有效地利用網(wǎng)絡(luò)，維護(hù)健康有序的社會(huì)環(huán)境。

參? 考? 文? 獻(xiàn)

[1]周瑩瑩，楊徳義.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略探討[J].電腦知識(shí)與技術(shù)，2019，15（5）：65-66.

[2]王皓.B公司網(wǎng)絡(luò)信息系統(tǒng)的安全分析及優(yōu)化[D].西安：西安電子大學(xué)，2019：1，7-11.

[3]陳銳.計(jì)算機(jī)網(wǎng)絡(luò)信息的安全防范策略分析[J].無線互聯(lián)科技，2019（21）：15-16.

[4]王剛.SoS體系多維度分析在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[J].微型電腦應(yīng)用，2019，36（9）：56-59.