李春光

(甘肅省森林消防總隊 甘肅蘭州 730070)

信息技術(shù)是推動社會發(fā)展的重要因素，計算機網(wǎng)絡(luò)在全球迅速普及，使國家政治經(jīng)濟對網(wǎng)絡(luò)通信系統(tǒng)的依賴增強。網(wǎng)絡(luò)通信系統(tǒng)脆弱性對國家關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成威脅，信息安全風(fēng)險對經(jīng)濟國防安全帶來威脅。信息系統(tǒng)安全成為國家安全的基礎(chǔ)，網(wǎng)絡(luò)通信信息安全是保護信息資源有序可持續(xù)發(fā)展的集成化，網(wǎng)絡(luò)通信信息安全關(guān)系到國家安全。網(wǎng)絡(luò)通信信息安全是困擾網(wǎng)絡(luò)使用者的難題，網(wǎng)絡(luò)普及使得網(wǎng)絡(luò)信息安全成為網(wǎng)絡(luò)社會關(guān)鍵問題。由于影響網(wǎng)絡(luò)通信信息安全因素的復(fù)雜性，對網(wǎng)絡(luò)信息安全風(fēng)險評估防范研究較多，網(wǎng)絡(luò)信息安全防護原則確立研究是理論與實踐問題。分析網(wǎng)絡(luò)通信中信息安全風(fēng)險，研究采取有效的信息安全風(fēng)險防范技術(shù)措施對保障網(wǎng)絡(luò)安全具有重要意義。

一、網(wǎng)絡(luò)通信信息安全風(fēng)險防范管理概述

當(dāng)前，網(wǎng)絡(luò)通信系統(tǒng)面臨嚴重的信息安全風(fēng)險，網(wǎng)絡(luò)通信系統(tǒng)信息安全風(fēng)險主要來自人類能力局限性導(dǎo)致信息系統(tǒng)存在脆弱性，社會存在各種斗爭導(dǎo)致對系統(tǒng)的利用。網(wǎng)絡(luò)通信系統(tǒng)是復(fù)雜的系統(tǒng)，通常由軟硬件等組件構(gòu)成，往往存在大量缺陷漏洞。如網(wǎng)絡(luò)系統(tǒng)硬件存在設(shè)計錯誤導(dǎo)致缺陷，如操作系統(tǒng)應(yīng)用由許多代碼編寫，程序每1000行代碼中存在Bug。網(wǎng)絡(luò)系統(tǒng)軟件開發(fā)向互聯(lián)通方向發(fā)展，導(dǎo)致安全脆弱性日益嚴重。

計算機網(wǎng)絡(luò)技術(shù)發(fā)展中，各項針對信息系統(tǒng)新技術(shù)應(yīng)用引起新的安全脆弱性。微軟公司推出視窗XP操作系統(tǒng)后出現(xiàn)嚴重缺陷。黑客現(xiàn)象伴隨網(wǎng)絡(luò)系統(tǒng)發(fā)展存在。新華社報道中國近60%的單位網(wǎng)絡(luò)信息系統(tǒng)發(fā)生安全事件[1]。網(wǎng)絡(luò)攻擊呈現(xiàn)黑客技術(shù)與病毒傳播結(jié)合趨勢。黑客攻擊方法發(fā)生很大變化，最初采用破解口令，當(dāng)前利用協(xié)議缺陷或應(yīng)用程序代碼發(fā)掘應(yīng)用的安全脆弱性等。攻擊方法向智能化發(fā)展。攻擊涉及技術(shù)復(fù)雜，黑客罪犯對信息系統(tǒng)攻擊準入成本降低，由于某些人員組織共同開發(fā)，使得各類技術(shù)精湛，源碼公開的黑客攻擊工具隨手可得。如一些專門從事系統(tǒng)脆弱性測試公司多年進行脆弱性檢測。

圖1 網(wǎng)絡(luò)通信系統(tǒng)威脅層次結(jié)構(gòu)

網(wǎng)絡(luò)通信信息安全是人類面臨的新問題，針對信息安全問題特點，從技術(shù)管理等方面尋求解決措施是應(yīng)對信息安全風(fēng)險的主要途徑。網(wǎng)絡(luò)系統(tǒng)復(fù)雜性使得信息安全問題解決方案存在不能全面防范，重點防范難以應(yīng)對突發(fā)性信息安全問題。防范不足會造成信息安全失效，有學(xué)者提出充分安全概念，保障網(wǎng)絡(luò)系統(tǒng)信息安全問題要求進行經(jīng)濟技術(shù)可行性分析。針對信息安全新特點，國內(nèi)外學(xué)者提出解決信息安全問題的策略。信息化早期人們主要關(guān)注防止軟硬件損害，電子通信后形成保護信息機密性的通信安全概念；計算機問世后，計算機安全概念占領(lǐng)主導(dǎo)地位[2]。網(wǎng)絡(luò)技術(shù)發(fā)展使得通信與計算機安全概念融合，形成網(wǎng)絡(luò)安全概念。

人們對信息安全的認識反映信息安全范式演進，采用基于風(fēng)險分析的安全范式，認為信息安全與某種風(fēng)險關(guān)聯(lián)?；陲L(fēng)險的安全范式導(dǎo)致以風(fēng)險消除為主的安全思想。網(wǎng)絡(luò)時代后安全風(fēng)險不斷增加，迫使人們重新考慮安全范式。信息安全內(nèi)涵發(fā)生很大變化，由于人們對信息系統(tǒng)依賴性發(fā)生變化，信息安全拓展到追求質(zhì)量效益。在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)下，難以采取風(fēng)險消除法實現(xiàn)安全性[3]。應(yīng)將基于風(fēng)險的安全理念引入保障網(wǎng)絡(luò)系統(tǒng)信息安全。風(fēng)險管理是信息安全的新范式，運用風(fēng)險管理方法是保障網(wǎng)絡(luò)通信系統(tǒng)安全的最佳方式。

二、網(wǎng)絡(luò)通信中信息安全風(fēng)險管理的發(fā)展

現(xiàn)代風(fēng)險管理理論產(chǎn)生于資本主義國家，因其廣泛適用性，應(yīng)用于各國社會經(jīng)濟發(fā)展，國家安全等諸多領(lǐng)域。60年代信息安全領(lǐng)域應(yīng)用風(fēng)險管理理論，網(wǎng)絡(luò)通信信息安全風(fēng)險管理發(fā)展經(jīng)歷60-80年代中期，80年代末至90年代中期，90年代末至今。隨著網(wǎng)絡(luò)日益普及，傳統(tǒng)網(wǎng)絡(luò)安全防護思想技術(shù)不能適應(yīng)新安全需求，必須確立適合新形勢的網(wǎng)絡(luò)信息安全防護原則，采取有效的安全防范技術(shù)措施。

信息安全風(fēng)險管理初期階段，60年代隨著早期計算機網(wǎng)絡(luò)的發(fā)展，安全問題逐漸暴露。美國率先推出關(guān)于信息安全風(fēng)險管理的評測標準。國防部安全局制定計算機系統(tǒng)安全評估系列標準，建立在風(fēng)險評估理論基礎(chǔ)上。指出評估計算機系統(tǒng)安全級依賴于系統(tǒng)存在風(fēng)險水平，系列標準出臺奠定信息安全風(fēng)險管理理論基礎(chǔ)。信息安全風(fēng)險管理實踐成熟階段，1989年美國率先建立計算機應(yīng)急組織，國防部制定漏洞分析評估計劃。歐洲英法德等國制定共同信息安全評估標準，強調(diào)風(fēng)險評估管理的重要性作用。

風(fēng)險安全管理理論特點是注重操作系統(tǒng)的安全，通過對安全產(chǎn)品質(zhì)量保障系統(tǒng)安全。風(fēng)險安全管理全球化發(fā)展階段，90年代后因特網(wǎng)高速發(fā)展，發(fā)達國家政治軍事等活動對信息基礎(chǔ)設(shè)施依賴度增強，信息安全問題成為各國面臨的共同挑戰(zhàn)。1999年ISO發(fā)布《信息技術(shù)安全評估準則》，推動各國風(fēng)險管理實踐[4]。網(wǎng)絡(luò)系統(tǒng)風(fēng)險管理的特點是安全專家對風(fēng)險管理認識達成共識，風(fēng)險管理對象明確為信息系統(tǒng)，風(fēng)險管理成為通用的理論方法。信息安全風(fēng)險管理經(jīng)歷從單機到網(wǎng)絡(luò)全面管理等階段，信息保障概念下，如何將傳統(tǒng)風(fēng)險管理理論應(yīng)用于信息安全風(fēng)險管理是尚未解決的問題。

三、網(wǎng)論通信系統(tǒng)信息安全風(fēng)險管理存在的問題

90年代后，隨著經(jīng)濟全球化，我國信息技術(shù)產(chǎn)業(yè)蓬勃發(fā)展，信息安全風(fēng)險管理重要性日益突顯。我國在863計劃中首次規(guī)劃系統(tǒng)安全風(fēng)險分析研究課題，成立國家信息化辦公室領(lǐng)導(dǎo)信息安全風(fēng)評課題組，一些國家研究機構(gòu)介紹發(fā)達國家信息安全風(fēng)評管理理論。由于我國網(wǎng)絡(luò)通信系統(tǒng)信息安全風(fēng)險管理研究時間較短，國外許多方法不符合我國網(wǎng)絡(luò)系統(tǒng)安全保障情況。傳統(tǒng)信息安全風(fēng)險管理方法不能滿足網(wǎng)絡(luò)系統(tǒng)安全保障要求，如何采取適合我國網(wǎng)絡(luò)系統(tǒng)特點的安全風(fēng)險防范技術(shù)措施是亟待解決的問題。

網(wǎng)絡(luò)通信系統(tǒng)信息安全風(fēng)險管理是信息安全研究熱點，網(wǎng)絡(luò)系統(tǒng)發(fā)展對傳統(tǒng)安全風(fēng)險管理方法提出了挑戰(zhàn)[5]。傳統(tǒng)信息安全風(fēng)險管理方法存在一些缺陷，表現(xiàn)為現(xiàn)有信息安全風(fēng)險管理方法難以實現(xiàn)精細化管理，不能處理與風(fēng)險密切相關(guān)的組織信息，難以形成科學(xué)的控制信息系統(tǒng)風(fēng)險安全決策等。信息安全風(fēng)險管理建立信息資產(chǎn)風(fēng)險的關(guān)系模型，但不能確定風(fēng)險發(fā)起者對信息資產(chǎn)的威脅，難以對風(fēng)險形成過程準確解讀。現(xiàn)有信息安全風(fēng)險管理方法對風(fēng)險損失后果采取定性描述，缺乏對風(fēng)險意義的直觀描述，難以區(qū)分不同風(fēng)險安全措施效果差異；使得不同風(fēng)險間不能進行數(shù)學(xué)運算，傳統(tǒng)方法不能考慮風(fēng)險評估者判斷模糊性，傳統(tǒng)信息安全風(fēng)險管理難以作為定量風(fēng)險管理依據(jù)。

NRC報告建議關(guān)注風(fēng)險描述，指出風(fēng)險描述是由決策驅(qū)動的活動，現(xiàn)有信息安全風(fēng)險管理把尋求信息系統(tǒng)安全風(fēng)險控制在可接收范圍，組織將實施安全方案視為投資行為，組織信息系統(tǒng)安全方案是追求優(yōu)化費效比管理決策。如何建立反映決策者意圖的信息安全模型是信息安全風(fēng)險管理需要研究的問題。針對組織業(yè)務(wù)運行中的風(fēng)險進行分析才能保障系統(tǒng)安全。組織業(yè)務(wù)活動中存在人員與信息系統(tǒng)交互行為，組織網(wǎng)絡(luò)通信系統(tǒng)信息安全風(fēng)險與業(yè)務(wù)運行緊密聯(lián)系，要準確把握網(wǎng)絡(luò)通信系統(tǒng)安全風(fēng)險特征，需要將組織背景納入研究范圍。傳統(tǒng)通信網(wǎng)絡(luò)安全風(fēng)險管理方法缺乏進行同組織背景關(guān)聯(lián)科學(xué)機制。

四、通信網(wǎng)絡(luò)信息安全風(fēng)險防范技術(shù)措施

21世紀后，信息網(wǎng)絡(luò)技術(shù)不斷成熟，新技術(shù)發(fā)明安全性得不到保障會影響推廣應(yīng)用，應(yīng)在發(fā)展技術(shù)同時關(guān)注網(wǎng)絡(luò)安全防范措施。隨著改革開放深入，信息網(wǎng)絡(luò)行業(yè)快速發(fā)展?；ヂ?lián)網(wǎng)用戶數(shù)量不斷增多，社會居民日常生活工作中對計算機信息網(wǎng)絡(luò)依賴性增強，一些不法分子利用技術(shù)竊取網(wǎng)民個人信息，網(wǎng)絡(luò)攻擊暴露網(wǎng)絡(luò)安全的脆弱性，風(fēng)險計算機網(wǎng)絡(luò)安全隱患，研究采取有效的風(fēng)險防范技術(shù)措施具有重要意義[6]。

網(wǎng)絡(luò)安全是計算機內(nèi)外網(wǎng)安全，內(nèi)網(wǎng)指某組織內(nèi)部局域網(wǎng)。網(wǎng)絡(luò)安全是軟硬件設(shè)施及數(shù)據(jù)安全，網(wǎng)絡(luò)安全需要保證信息管理系統(tǒng)數(shù)據(jù)完整性，本地網(wǎng)絡(luò)資源不能隨意被外界讀取利用。很多計算機黑客大肆攻擊網(wǎng)絡(luò)系統(tǒng)盜取企業(yè)信息，對企業(yè)造成巨大的損失，需采取有效的風(fēng)險防范措施應(yīng)對。當(dāng)前通信網(wǎng)絡(luò)信息安全風(fēng)險包括計算機病毒，黑客入侵等。計算機病毒伴隨計算機發(fā)明出現(xiàn)，隨著計算機技術(shù)的發(fā)展，對計算機軟硬件破壞性加大。病毒是技術(shù)人員將破壞性程序代碼植入計算機系統(tǒng)，對計算機系統(tǒng)造成破壞。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機病毒在世界感染大量用戶，系統(tǒng)癱瘓帶來巨大經(jīng)濟損失。

互聯(lián)網(wǎng)發(fā)展的同時，用戶隱私防范意識未同步提高，用戶注冊各種賬號時，網(wǎng)站要求填寫個人信息，網(wǎng)站后臺數(shù)據(jù)庫中不能保存?zhèn)€人信息，很多用戶為方便記憶設(shè)置簡單的密碼，加劇了賬號密碼盜取風(fēng)險。黑客是具有計算機技術(shù)從事違法行為的人員，大多利用系統(tǒng)漏洞登錄對方網(wǎng)絡(luò)服務(wù)器進行系統(tǒng)信息查看操作，黑客侵入方式不斷增多，如通過局域網(wǎng)端口獲得管理員權(quán)限等。常見攻擊方式是利用木馬病毒將程序植入對方計算機。通信網(wǎng)絡(luò)信息安全防范技術(shù)措施包括物理防范，引入人工檢測技術(shù)，應(yīng)用網(wǎng)絡(luò)防火墻等。

通信網(wǎng)絡(luò)信息安全物理防范措施是硬件設(shè)備通過隔離方式實現(xiàn)，將重要內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)隔離，保障局域網(wǎng)路由器不受外界網(wǎng)絡(luò)人為干擾，避免黑客侵犯內(nèi)部系統(tǒng)。防火墻技術(shù)應(yīng)用為保障網(wǎng)絡(luò)安全措施，利用技術(shù)手段對系統(tǒng)信息隔離，有效設(shè)置防火墻可以保障信息安全性。某些組織對系統(tǒng)內(nèi)部安全性要求高，應(yīng)聘請專業(yè)人員對網(wǎng)絡(luò)進行監(jiān)管，保證系統(tǒng)網(wǎng)絡(luò)出現(xiàn)異常時及時跟蹤報告。防火墻只能按固有程序進行，人工24小時輪流檢測可及時發(fā)現(xiàn)攻擊行為。要求專業(yè)人員定期掃描系統(tǒng)內(nèi)部漏洞，如漏洞被黑客發(fā)現(xiàn)會被利用攻擊。系統(tǒng)維護人員要定期進行系統(tǒng)掃描，防止利用漏洞遭到網(wǎng)絡(luò)攻擊。