基于網絡信息安全的風險分析

◆季 君 杜 鈞 師 寧

(北京電子科技職業學院 北京 100176)

基于網絡信息安全的風險分析

◆季 君 杜 鈞 師 寧

(北京電子科技職業學院 北京 100176)

針對網絡信息系統的安全需求，本文從技術的脆弱性和管理的脆弱性方面，闡述了物理環境、應用系統的安全問題；技術管理和組織管理安全問題。

信息系統；網絡安全；風險分析

0 前言

隨著全球信息化進程的不斷推進，我國政府及各行各業也在進行大量的信息系統的建設，這些信息系統已經成為國家重要的基礎設施，因此，信息系統安全問題已經被提升到關系國家安全和國家主權的戰略性高度，已引起黨和國家領導以及社會各界的關注。并且，伴隨著政府上網、電子政務、電子軍事等信息化建設和發展，作為現代信息社會重要基礎設施的信息系統，其安全問題必將對我國的政治、軍事、經濟、科技、文化等領域產生至關重要的影響。能否有效的保護信息資源，保護信息化進程健康、有序、可持續發展，直接關乎國家安危，關乎民族興亡，是國家民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩固的經濟安全和軍事安全，沒有完整意義上的國家安全。

信息安全問題源于信息系統的脆弱性，由于系統的脆弱性而引發對信息系統的威脅是客觀存在的。例如，自然的不可抗力使計算機設備遭到破壞、人為的盜取機密信息；內部人員的無意誤操作、外部人員惡意的攻擊；在控制能力之內的預知的威脅、超出控制能力之外潛在危險等種種安全隱患時刻威脅著信息系統本身以及其所有者，導致直接或間接的經濟損失、帶來不同程度的負面影響。從總體上考慮，信息安全主要包括：運行安全（主要是由網絡和計算機構成的平臺）、交易安全（傳輸過程中的數據安全）、內容安全、個人或單位隱私保護。近幾年，人們的生活已經與網絡形成了非常緊密的聯系，安全問題越來越引起政府和企業的關注，各種安全技術和產品也不斷涌現出來，如防火墻、防病毒、IDS等。但值得思考的是，為什么在強大的防御技術的保護下，信息的安全問題反而越來越多，入侵與反入侵技術總是在上演“道高一尺，魔高一丈”的鬧劇。經分析發現，信息系統的安全威脅可歸納為兩方面：技術的脆弱性和管理的脆弱性。

1 技術脆弱性

技術脆弱性：如物理環境、應用系統的安全問題。

參考國際標準化組織ISO開放系統互聯（OSI）模型，將網絡系統劃分成五個層次，主要從物理層，網絡層，系統層，應用層及管理層這五個方面進行考慮。

（1）物理層安全風險

物理層安全風險主要指網絡周邊環境和物理特性引起的網絡設備和線路的阻斷，進而造成網絡系統的阻斷，它是整個網絡系統安全的前提，包括以下內容：設備被盜，被毀壞；鏈路老化或被有意或者無意的破壞；因電磁輻射造成信息泄露；地震、火災、水災等自然災害。

（2）網絡層安全風險

計算機信息系統及網絡建設要適應高速寬帶 IP網上傳輸數據、語音、視頻于一體的多媒體綜合業務，網絡系統的網絡層中會存在一定的安全風險，如數據傳輸、網絡邊界、網絡設備等所引發的安全風險。

（3）數據傳輸風險分析

這里提到的數據傳輸，包括三部分：數據在局域網內之間傳輸、數據在幾個局域網之間傳輸、數據在局域網與互聯網之間傳輸。

無論以上哪種情況，數據在傳輸過程中，如果不采取保護措施，就有可能被竊聽、篡改和破壞。這樣，保障通過 Internet傳遞的數據的機密性，完整性就無從談起。目前的信息安全類產品主要通過對通信雙方的身份認證、傳輸信息的加密以及信息完整性的檢驗，來實現信息從服務器到客戶端的安全的、加密的網絡連接，從而保證傳輸數據的安全性和用戶的合法性。

（4）網絡邊界風險分析

把不同安全級別的網絡相連接，就產生了網絡邊界。在實際情況中，如果在網絡邊界上沒有強有力的控制，則其外部黑客就可以隨意出入企業總部及各個分支機構的網絡系統，內部各種數據和信息就可以隨意流出，那么，泄露問題就無法避免。一般來說網絡邊界上的安全問題主要有下面幾個方面：信息泄密、入侵者攻擊、網絡病毒、木馬入侵。來自網絡外部的安全問題，重點是防護與監控。

（5）計算機設備風險分析 。

（6）系統層安全風險

系統層的安全風險分析主要針對局域網內使用的操作系統、數據庫系統以及相關商用產品的安全漏洞和病毒威脅進行分析。同時病毒也是系統安全的主要威脅，現在的病毒，大多利用了操作系統本身的漏洞，并通過網絡迅速傳播。所有這些都造成了整個網絡系統安全的脆弱性。

在信息系統安全涉及的眾多內容中，操作系統、網絡系統與數據庫管理系統的安全問題是核心，沒有系統的安全就沒有信息的安全。作為系統軟件中最基礎部分的操作系統，其安全問題的解決又是關鍵中之關鍵。若沒有安全操作系統的支持，數據庫就不可能具有存取控制的安全可信性，就不可能有網絡系統的安全性，也不可能有應用軟件信息處理的安全性。因此，安全操作系統是整個信息系統安全的基礎。

（7）應用層安全風險

在整個網絡系統環境中存在著大量的應用服務，如 Web服務、郵件服務、OA服務、數據庫服務等。對于這些服務，不可避免地存在安全漏洞。這些漏洞可能是服務系統自身所有的．也可以是配置管理不當造成的。如何發現終端設備的系統漏洞并自動分發補丁？通過補丁分發系統可以及時從補丁廠商網站獲取最新補丁，經過安全測試后通過管理中心服務器對網絡用戶進行分發、安裝。

（8）管理層安全風險

責權不明，管理混亂，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其他一些安全威脅時 (如內部人員的違規操作等)，要進行實時的檢測、監控、報告與預警。同時，當事故發生后，能夠提供黑客攻擊行為的追蹤線索及破案依據。要將管理制度和管理解決方案相結合，并輔之以相應的安全管理工具。

2 管理脆弱性

管理脆弱性：包括技術管理和組織管理兩個方面。

（1）技術管理

技術管理主要是指各種網絡設備、網絡安全設備的安全策略管理。如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。同時也包括密碼管理，要杜絕默認密碼，出廠密碼，無密碼，不要使用容易猜測的密碼。密碼要及時更新，特別是有人員調離時密碼一定要更新。對于數據管理，數據的備份策略要合理，備份要及時，備份介質保管要安全，要注意備份介質的異地保存。

（2）組織管理

組織管理主要是指對人員的管理。要加強信息人員的安全教育，保持信息人員特別是網絡管理人員和安全管理人員的相對穩定，防止機密泄露，特別是注意人員調離時的機密的泄露。對網絡設備、服務器、存儲設備的操作要履行簽字許可制度和操作監護制度，杜絕誤修改和非法修改事件的發生。

[1]王群．計算機網絡安全技術．清華大學出版社，2008．

[2]姜文紅．網絡安全與管理．清華大學出版社，2007．