計算機網絡信息安全威脅與管控措施

王和寧 馬艷娟

【摘要】? ? 計算機網絡共享、開放的特點，促進了信息的傳輸和利用，但網絡在為人們生產、生活提供巨大便利的同時也存在各種安全漏洞，可以說信息安全威脅從網絡誕生起就一直存在，為此必須加強網絡信息安全的管控。本文分析了計算機網絡信息的各種安全威脅，探討了加強網絡信息安全的管控措施。

【關鍵詞】? ? 計算機網絡? ? 信息安全威脅? ? 管控措施

隨著社會經濟的快速發展，計算機網絡獲得高度普及。據中國互聯網絡信息中心（CNNIC）發布的《第46次中國互聯網絡發展狀況統計報告》披露，截至2020年6月，我國網民規模達9.40億，手機網民規模達9.32億，互聯網普及率達67.0%，手機上網比例達99.2%。網絡普及為人們的生產、生活帶來巨大便利，但也使信息安全受到嚴重威脅[1]。這是因為網絡具有共享、開放特點，有利于信息的傳輸和服務，但網絡安全漏洞使信息存在泄露、丟失的風險，由此給個人、企業和社會帶來嚴重損失。網絡安全分為信息安全和管理安全，信息的完整性、可用性、可靠性等代表著信息安全[2]，為了不使信息安全受到威脅，本文對計算機網絡信息安全威脅與管控措施進行了探討。

一、計算機網絡信息安全威脅分析

1.1關于信息安全威脅

信息存在外泄、不受控制、被篡改及非法復制、占用、擴散等現象，使信息擁有者蒙受損失，我們稱之為信息安全威脅，這種威脅主要來自計算機病毒、計算機操作人員安全意識薄弱、計算機核心軟件存在漏洞、計算機互聯網黑客攻擊等方面[3]。根據國家計算機網絡應急技術處理協調中心（CNCERT）發布的《2019年中國互聯網網絡安全報告》披露，DDOS攻擊、APT攻擊、數據安全防護意識薄弱、安全漏洞、計算機及移動互聯網惡意程序、計算機病毒等仍是當前我國計算機網絡信息安全面對的主要威脅。

1.2常見信息安全威脅

計算機網絡信息安全威脅主要有以下幾種：

第一，DDOS攻擊，即分布式拒絕攻擊（Distributed Denial of Service），攻擊者利用DDOS攻擊器控制大量計算機網絡設備，向攻擊目標發送大量數據，使被攻擊目標因資源耗竭而癱瘓。

第二，APT攻擊，即高級持續性攻擊（Advanced Persistent Threat），攻擊者針對特定目標（個人、組織或公司）進行長時間持續（可長至數月之久）的攻擊，以竊取數據和進行間諜活動，常利用投遞誘惑性釣魚郵件實現其攻擊，如含惡意代碼的Office文檔等。

第三，信息安全防護意識薄弱。目前，在我國針對數據庫的密碼暴力破解攻擊平均每天超過百億次，大量信息外泄，導致信息安全面臨嚴重挑戰，其中一個重要原因是信息安全防護意識的薄弱。信息系統的設計、管理和使用人員中普遍存在輕視、被動應付信息安全威脅的局面，往往在發生問題、產生損失后才采取措施。

第四，計算機系統存在漏洞。所謂計算機漏洞是指計算機軟硬件系統中存在某些缺陷，這些缺陷能被攻擊者利用，如用來非授權訪問、控制乃至破壞。計算機漏洞類型很多，圖1為計算機網絡信息安全常見漏洞威脅類型。根據CNCERT發布的《2019年中國互聯網網絡安全報告》披露，2019年一年收錄的軟硬件漏洞數量就達16193個，比2018年增長14%，事件型漏洞、高危零日漏洞數量有較快增長。

第五，計算機及移動互聯網惡意程序，即運行在計算機網絡及移動互聯網上帶有攻擊意圖的程序，攻擊者發布惡意程序的目的是竊取用戶數據、惡意扣費、遠程攻擊、消耗流量、惡意傳播等，進而影響計算機及移動終端設備運行，損害用戶利益，危害互聯網安全。

第六，計算機病毒。所謂計算機病毒其實是由人編寫的一類具有攻擊性和破壞性的計算機程序，例如近年來發展迅速的勒索病毒就是通過計算機漏洞和釣魚軟件等手段攻擊有價值的目標服務器，引爆互聯網地下黑灰產業。

二、計算機網絡信息安全管控措施

2.1構建信息安全管控體系

為應對計算機網絡信息安全威脅，必須加強頂層設計，構建完善的信息安全管控體系。由于網絡信息系統面對的安全威脅是多方面的，構建管控體系應遵循以下原則：第一，補齊短板的木桶原則。木桶裝水的容量是由最短的木板決定的，所以防范信息安全威脅也要著眼于整個計算機網絡信息系統中的“安全最低點”，為此應加強信息系統安全的全面評估和測試，以找出短板。第二，整體均衡原則。信息安全管控體系應當是組織嚴密的網絡，由不同安全技術連接成完整的鏈條，系統受到攻擊后能迅速“愈合”和平衡，這就體現了整體性和均衡性原則。第三，技術與管理相統一原則。解決信息安全威脅問題離不開安全技術的應用，但同時高水平管理也是不可或缺的，沒有健全的管理制度和完善的責任體系，光有技術在面對安全威脅時也會千瘡百孔而不堪一擊，所以信息安全管控體系必定是技術與管理相統一的。第四，標準動態原則。構建信息安全管控體系是一個復雜的系統工程，要遵循現行標準來保持內部各個子系統的一致性。同時網絡信息安全形勢是動態變化的，信息安全管控體系必須適應這種變化，通過不斷調整來適應安全形勢的變化。按照上述原則構建的信息安全管控體系如圖2所示。

2.2 實施合理的信息安全策略

信息安全策略一般由物理安全策略、技術安全策略和管理安全策略組成。

物理安全策略是針對網絡信息設備層面制定的安全策略，通過身份認證、權限設置控制用戶正確使用設備;通過運用先進技術和優化系統平臺保障信息傳輸過程的安全性。

技術安全策略就是采用合理的安全防護技術，制定有效的安全防御體系，保護信息安全，如身份認證、加密處理、入侵監測、病毒掃描、信息備份、日志審計、防火墻技術運用等。圖3是網絡信息安全漏洞的防范策略。

管理安全策略主要加強用戶管理，設置訪問權限及屬性，實施安全操作管理，對用戶訪問、操作進行記錄等。用戶登錄密碼切忌簡單化，如簡單幾位數字較容易破解，應增加密碼長度，混合字母、符號，這樣可增加破解難度，其次用戶登錄密碼應定期更換，以減少密碼大量重復使用帶來的風險。

2.3 加強信息安全風險評估

信息安全風險來自環境、人為、設備等多個方面，威脅和系統脆弱性增加，安全措施減少，系統安全風險就會增加，反之亦然。由于風險是動態變化的，所以風險評估也需要常態化。要準確、合理地評估各種風險，應遵循一定的流程。做好評估前期準備，再分別評估各種風險因素，確定風險之后，要對風險進行評級和制定風險控制措施，其流程[4]如圖4所示。

2.4 提高網絡信息安全意識

除了從技術上和安全策略上防范網絡信息安全威脅以外，還應提高相關人員的信息安全意識，通過規范安全行為來降低安全風險。提高安全意識的措施如下：第一，建立全員培訓機制，所有與信息安全相關的人員都應參加培訓。第二，加強信息安全知識的宣傳，營造濃厚的信息安全氛圍。第三，健全信息安全管理規章制度，明確細則和人員職責。第四，建立信息安全責任體系和考核機制。將信息安全與人員績效考核掛鉤，減少人的不安全因素對信息安全的影響。

三、結語

計算機網絡信息安全威脅主要來自計算機病毒、信息安全防護意識薄弱、計算機系統存在漏洞和黑客攻擊等方面，針對這些威脅應構建完善的信息安全管控體系，實施合理的信息安全策略，加強信息安全風險評估，提高網絡信息安全意識，只有以系統工程理論為指導多管齊下，才能降低網絡信息安全風險，以合理的投入達到較高的安全水平，使人們更安全、有效地利用網絡，維護健康有序的社會環境。

參? 考? 文? 獻

[1]周瑩瑩，楊徳義.計算機網絡信息安全及防護策略探討[J].電腦知識與技術，2019，15（5）：65-66.

[2]王皓.B公司網絡信息系統的安全分析及優化[D].西安：西安電子大學，2019：1，7-11.

[3]陳銳.計算機網絡信息的安全防范策略分析[J].無線互聯科技，2019（21）：15-16.

[4]王剛.SoS體系多維度分析在信息安全風險評估中的應用[J].微型電腦應用，2019，36（9）：56-59.