計算機信息安全的風險與對策研究

金路鋒 江蘇商貿職業學院

隨著信息科學技術的迅猛發展，各種應用和信息共享應用越來越廣泛。各種信息建設系統已成為國家的基礎設施，信息已成為人類社會的重要資源和重要組成部分。然而，信息系統的安全性也日益突出和復雜。因此，需要結合國內外信息安全標準與評價對象的實際情況，建立相應的風險預測系統、防范風險，從而更有效地維護計算機信息系統的安全。

1 計算機安全控制中存在的主要風險

信息安全風險的管理是關于實現和維護信息系統機密性、完整性和可用性的與安全相關的所有方面，理想的安全風險標準應該是一個集成的、一致的、可分析的、切合實際的、成本效益平衡的方法。信息安全風險分類不僅要考慮風險發生的可能性和由此而引起的可能后果，而且要在單一風險基礎上，同時考慮各項風險之間的相互關系，對綜合安全風險進行分析和評估。

1.1 組織人員風險

由于組織缺乏人員安全管理、明確的職責和意識教育，內部無意或惡意人員的失誤或攻擊，以及來自外部惡意或好奇人員或組織的攻擊，會使組織業務面臨大的風險。如果組織在信息安全組織管理方面基礎薄弱、職責不清、技術服務能力差等原因，使組織在信息安全管理方面處于失控狀態，加大了計算機信息安全的風險。

1.2 系統與機密性風險

信息是組織信息技術系統裝載的業務數據，是一種非常重要價值的資產，甚至一些觀點認為信息是組織的血液，是“一種在資產負債表之外，經過逐漸積累的，可以被用來提升組織競爭優勢的信息”。同實物資產相比，信息非常分散并且易于復制，是組織業務流程的重要輸入和輸出數據，比如客戶資料、產品設計等，如果得不到正確的識別、評估、保存和管理，就面臨可能被竊取、損毀、丟失的風險，不但使依賴于這些關鍵信息的核心業務造成嚴重損壞，還會對組織的信譽、聲望造成巨大損失，甚至會摧毀整個組織。通常所用的計算機操作系統，以及大量應用軟件在組織業務交流中的使用，尤其是定制應用產品，來自這些系統和應用軟件的問題和缺陷會對一系列系統造成影響，尤其是多個應用系統互聯時，影響會涉及整個組織的多個系統。比如有的系統維護困難、結構不完善、缺乏文檔、設計漏洞等多種問題，有時會在系統升級和安裝補丁時引入較高的風險。

1.3 內容風險

內容攻擊是針對攻擊目標的信息內容采取的刪除、修改、竊取、欺騙、淹沒、挖掘等。傳統的內容攻擊如網絡監聽、網絡報文嗅探等,近年來開始流行一些針對面更廣泛的內容攻擊,如地址欺騙,它并不更改原有正確對應的內容,而是采取欺騙的方式,通過技術手段誘騙訪問請求者得到錯誤的反饋結果。如惡意流氓軟件會竊取用戶隱私、收集用戶數據、推送非請求性內容等,這會大量耗費用戶的系統資源工作時間。通過各種方式收集海量的用戶信息碎片,通過數據挖掘技術,從中統計歸納出對攻擊者可用的新的情報信息。典型的如搜索引擎、各種網絡輸入法等隱蔽且難以防范。

2 強化計算機信息安全控制的對策

2.1 完善政府的計算機信息安全風險管理體制

在行政方向，制定全面而綜合的管理計劃，保護計算機的重要信息和關鍵基礎設施。建立危機管理系統，對關鍵系統遭到的攻擊進行響應。為涉及關鍵信息系統應急恢復的相關私營部門和其它政府實體提供技術支持；協調政府、洲非政府組織以及公眾在保護網絡基礎設施上的職能和責任，提供有關保護措施和應對措施方面的建議，并為研發活動提供必要的資金支持，以鼓勵技術創新，保障安全目標的實現。

立法方向，主要在信息監控、計算機犯罪方面制定了一系列的法律法規。開發、頒布并執行保護信息和信息技術系統的最低強制性管理控制，同時對政府信息安全項目進行監控，要求對機密和非機密系統進行安全評估和風險評估及安全控制， 從立法上規范了政府信息安全管理行為，使政府有關信息安全管理的行政行為有法可依。

2.2 完善組織的計算機信息安全風險管理制度

完善的管理制度是做好一切工作的保障,也是管理工作制度化、規范化的必要前提。各組織應確立信息安全風險首位和風險控制先行的意識，把它作為組織信息安全工作的核心工作。加強對組織員工的法律、道德教育和信息安全制度和操作規程的普及。把信息安全風險管理制度的建設、風險的控制作為衡量組織領導工作業績的重要考核指標，促進各組織對信息安全風險管理工作的重視和落實。