基于數字化環境下的網絡信息安全管理問題研究

趙小鵬

網絡信息安全是一個關系國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題，其重要性，正隨著全球信息化步伐的加快越來越重要。2015年7月1日，中國網絡安全大會在京召開，“立體化”“大數據”和“自主可控”成為本次大會的熱點關鍵詞，“互聯網+”“移動”“云”和“行業”等是此次大會的主要議題方向，“信息安全領袖巔峰對話”和“黑客大師講堂”成為大會的關注焦點。7月23日，2015中國網絡安全論壇成功舉辦，論壇以“共建網絡安全為互聯網+護航”為主題，強化網絡基礎設施安全防護，高度重視數據安全和用戶個人信息保護，深入推進網絡安全技術手段創新，積極推動信息共享，共同應對網絡威脅。

計算機犯罪對全球造成了前所未有的新威脅，犯罪學家預言未來信息化社會犯罪的形式將主要是計算機網絡犯罪。我國自 1986年深圳發生第一起計算機犯罪案件以來，計算機犯罪呈直線上升趨勢，犯罪手段也日趨技術化、多樣化，犯罪領域也不斷擴展，許多傳統犯罪形式在互聯網上都能找到影子，而且其危害性已遠遠超過傳統犯罪。

計算機犯罪的犯罪主體大多是掌握了計算機和網絡技術的專業人士，甚至一些原為計算機及網絡技術和信息安全技術專家的職業人員也鋌而走險，其犯罪所采用的手段則更趨專業化。他們洞悉網絡的缺陷與漏洞，運用豐富的電腦及網絡技術，借助四通八達的網絡，對網絡及各種電子數據、資料等信息發動進攻，進行破壞。

計算機病毒是一種人為編制的程序，能在計算機系統運行的過程中自身精確地拷貝或有修改地拷貝到其他程序體內，給計算機系統帶來某種故障或使其完全癱瘓，它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。隨著互聯網的發展，計算機病毒的種類急劇增加，擴散速度大大加快，受感染的范圍也越來越廣。

據粗略統計，全世界已發現的計算機病毒的種類有上萬種，并且正以平均每月300-500的速度瘋狂增長。計算機病毒不僅通過軟盤、硬盤傳播，還可經電子郵件、下載文件、文件服務器、瀏覽網頁等方式傳播。近年來先后爆發的CIH病毒、愛蟲病毒、求職信病毒、尼姆達病毒等對網絡造成的危害極大，許多網絡系統遭病毒感染，服務器癱瘓，使網絡信息服務無法開展，甚至于丟失了許多數據，造成了極大的損失。

網絡信息安全一般是指網絡信息的機密性、完整性、可用性及真實性。網絡信息的機密性是指網絡信息的內容不會被未授權的第三方所知。

網絡信息的完整性是指信息在存儲或傳輸時不被修改、破壞，不出現信息包的丟失、亂序等，即不被未授權的第三方修改。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。當前，運行于互聯網上的協議，能夠確保信息在數據包級別的完整性，即做到了傳輸過程中不丟信息包，不重復接收信息包，但卻無法制止未授權第三方對信息內部的修改。

網絡信息的可用性包括對靜態信息的可得到和可操作性及對動態信息內容的可見性。網絡信息的真實性是指信息的可信度，主要是指對信息所有者或發送者的身份的確認。

為了達到網絡信息安全的目的，需要全方位的對網絡信息進行保護，那么一個完善的管理體系是不可缺少的。1989年，由美國國家標準與技術研究院在《Special Publication SP500169》的《信息資源保護執行指南》中提出：“信息資源保護項目的成功依賴于所采用的策略，也依賴于管理層對自動系統中信息的保護態度。作為策略的制定者，應當定好基調，強調信息安全在機構中所產生的重要作用。制定者的主要責任就是為機構制定信息資源安全策略達到下述目標：減少風險，遵從法律和規則，確保機構運作的連續性、信息完整性和機密性。”

創建一個安全的網絡環境，必須設計一個安全計劃，計劃的順利實施需要一個管理模型來執行和維護。首先分析現有的安全控制策略和措施，找出其他必要的安全控制，形成一個安全框架，從而建立一個完整的管理模型。安全管理模型目前已經有了被認可的國際標準，美國聯邦代理機構和國際組織都有很好的參考模型。英國標準 7799（BS7799）提供了兩個部分，分別闡述了安全管理實踐的不同領域。NIST安全模型可公開獲得，并且得到了政府和行業專家的廣泛檢查，一個混合安全管理模型參考了很多相關資料，更好地描述了安全控制，共由三部分組成。

管理控制：覆蓋了由策略計劃者設計并由安全管理者實施的安全過程。內容包括項目管理、系統安全計劃、生命周期維護、風險管理、安全控制檢查和合法性等。

操作控制：處理機構內部操作功能的安全性。包括應急計劃、安全教育、培訓和意識提升、人員安全、物理安全、產品輸入和輸出、硬件和軟件系統維護、數據完整性。

技術控制：針對在機構內設計和實施安全的戰術與技術問題。涉及到邏輯訪問控制、識別、認證、授權和義務、審計追蹤、資產分類與控制和密碼編碼學。

首先從業務需求來分析，詳細了解當前存在的網絡信息安全威脅，以及網絡信息安全的攻擊手段，可以從幾個方面建立一個安全的網絡信息系統。

網絡物理安全方面。要做好物理訪問控制和設施及防火安全，從技術上保障可行的資源保護和網絡訪問安全，從工作環境以及工作人員、外來人員方面切實做好保密工作，以便從物理上斷絕對網絡安全的威脅。用戶本身方面，要做好自主保護，從機構方面要嚴格的崗位考核管理，對人員的安全意識要經常培訓。

做好安全保密協議的管理，對離崗人員要有嚴格的調離手續。人員管理方面。對于內部工作人員來講，要從以下幾個方面來管理。操作權限要進行合理劃分、分配，從管理的效率和方便程度上，按級別和重要程度進行管理，保障網絡的暢通和安全。要強化和落實責任制，保證職工在規定的權限范圍內進行工作，并承擔相應的操作責任。同時要對信息進行監控，避免工作人員有意或無意的信息泄漏。對一些災難事件要有相應的拯救措施，避免不適當操作帶來的損失，技術人員要保證可以及時恢復被毀壞數據。

在網絡安全中，無論從采用的管理模型，還是技術控制，最重要的還是貫徹始終的安全管理。管理是多方面的，有信息的管理、人員的管理、制度的管理、機構的管理等，它的作用也是關鍵的，是網絡安全防范中的靈魂。

在機構或部門中，各層次人員的責任感，對信息安全的認識、理解和重視程度，都與網絡安全息息相關。所以信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應商、顧客或股東的參與和信息安全的專家建議。在信息系統設計階段就將安全要求和控制一體化考慮進去，則成本會更低、效率會更高。