網絡通信中信息安全風險防范技術的應用

李春光

(甘肅省森林消防總隊 甘肅蘭州 730070)

信息技術是推動社會發展的重要因素，計算機網絡在全球迅速普及，使國家政治經濟對網絡通信系統的依賴增強。網絡通信系統脆弱性對國家關鍵基礎設施構成威脅，信息安全風險對經濟國防安全帶來威脅。信息系統安全成為國家安全的基礎，網絡通信信息安全是保護信息資源有序可持續發展的集成化，網絡通信信息安全關系到國家安全。網絡通信信息安全是困擾網絡使用者的難題，網絡普及使得網絡信息安全成為網絡社會關鍵問題。由于影響網絡通信信息安全因素的復雜性，對網絡信息安全風險評估防范研究較多，網絡信息安全防護原則確立研究是理論與實踐問題。分析網絡通信中信息安全風險，研究采取有效的信息安全風險防范技術措施對保障網絡安全具有重要意義。

一、網絡通信信息安全風險防范管理概述

當前，網絡通信系統面臨嚴重的信息安全風險，網絡通信系統信息安全風險主要來自人類能力局限性導致信息系統存在脆弱性，社會存在各種斗爭導致對系統的利用。網絡通信系統是復雜的系統，通常由軟硬件等組件構成，往往存在大量缺陷漏洞。如網絡系統硬件存在設計錯誤導致缺陷，如操作系統應用由許多代碼編寫，程序每1000行代碼中存在Bug。網絡系統軟件開發向互聯通方向發展，導致安全脆弱性日益嚴重。

計算機網絡技術發展中，各項針對信息系統新技術應用引起新的安全脆弱性。微軟公司推出視窗XP操作系統后出現嚴重缺陷。黑客現象伴隨網絡系統發展存在。新華社報道中國近60%的單位網絡信息系統發生安全事件[1]。網絡攻擊呈現黑客技術與病毒傳播結合趨勢。黑客攻擊方法發生很大變化，最初采用破解口令，當前利用協議缺陷或應用程序代碼發掘應用的安全脆弱性等。攻擊方法向智能化發展。攻擊涉及技術復雜，黑客罪犯對信息系統攻擊準入成本降低，由于某些人員組織共同開發，使得各類技術精湛，源碼公開的黑客攻擊工具隨手可得。如一些專門從事系統脆弱性測試公司多年進行脆弱性檢測。

圖1 網絡通信系統威脅層次結構

網絡通信信息安全是人類面臨的新問題，針對信息安全問題特點，從技術管理等方面尋求解決措施是應對信息安全風險的主要途徑。網絡系統復雜性使得信息安全問題解決方案存在不能全面防范，重點防范難以應對突發性信息安全問題。防范不足會造成信息安全失效，有學者提出充分安全概念，保障網絡系統信息安全問題要求進行經濟技術可行性分析。針對信息安全新特點，國內外學者提出解決信息安全問題的策略。信息化早期人們主要關注防止軟硬件損害，電子通信后形成保護信息機密性的通信安全概念；計算機問世后，計算機安全概念占領主導地位[2]。網絡技術發展使得通信與計算機安全概念融合，形成網絡安全概念。

人們對信息安全的認識反映信息安全范式演進，采用基于風險分析的安全范式，認為信息安全與某種風險關聯?；陲L險的安全范式導致以風險消除為主的安全思想。網絡時代后安全風險不斷增加，迫使人們重新考慮安全范式。信息安全內涵發生很大變化，由于人們對信息系統依賴性發生變化，信息安全拓展到追求質量效益。在復雜的網絡系統下，難以采取風險消除法實現安全性[3]。應將基于風險的安全理念引入保障網絡系統信息安全。風險管理是信息安全的新范式，運用風險管理方法是保障網絡通信系統安全的最佳方式。

二、網絡通信中信息安全風險管理的發展

現代風險管理理論產生于資本主義國家，因其廣泛適用性，應用于各國社會經濟發展，國家安全等諸多領域。60年代信息安全領域應用風險管理理論，網絡通信信息安全風險管理發展經歷60-80年代中期，80年代末至90年代中期，90年代末至今。隨著網絡日益普及，傳統網絡安全防護思想技術不能適應新安全需求，必須確立適合新形勢的網絡信息安全防護原則，采取有效的安全防范技術措施。

信息安全風險管理初期階段，60年代隨著早期計算機網絡的發展，安全問題逐漸暴露。美國率先推出關于信息安全風險管理的評測標準。國防部安全局制定計算機系統安全評估系列標準，建立在風險評估理論基礎上。指出評估計算機系統安全級依賴于系統存在風險水平，系列標準出臺奠定信息安全風險管理理論基礎。信息安全風險管理實踐成熟階段，1989年美國率先建立計算機應急組織，國防部制定漏洞分析評估計劃。歐洲英法德等國制定共同信息安全評估標準，強調風險評估管理的重要性作用。

風險安全管理理論特點是注重操作系統的安全，通過對安全產品質量保障系統安全。風險安全管理全球化發展階段，90年代后因特網高速發展，發達國家政治軍事等活動對信息基礎設施依賴度增強，信息安全問題成為各國面臨的共同挑戰。1999年ISO發布《信息技術安全評估準則》，推動各國風險管理實踐[4]。網絡系統風險管理的特點是安全專家對風險管理認識達成共識，風險管理對象明確為信息系統，風險管理成為通用的理論方法。信息安全風險管理經歷從單機到網絡全面管理等階段，信息保障概念下，如何將傳統風險管理理論應用于信息安全風險管理是尚未解決的問題。

三、網論通信系統信息安全風險管理存在的問題

90年代后，隨著經濟全球化，我國信息技術產業蓬勃發展，信息安全風險管理重要性日益突顯。我國在863計劃中首次規劃系統安全風險分析研究課題，成立國家信息化辦公室領導信息安全風評課題組，一些國家研究機構介紹發達國家信息安全風評管理理論。由于我國網絡通信系統信息安全風險管理研究時間較短，國外許多方法不符合我國網絡系統安全保障情況。傳統信息安全風險管理方法不能滿足網絡系統安全保障要求，如何采取適合我國網絡系統特點的安全風險防范技術措施是亟待解決的問題。

網絡通信系統信息安全風險管理是信息安全研究熱點，網絡系統發展對傳統安全風險管理方法提出了挑戰[5]。傳統信息安全風險管理方法存在一些缺陷，表現為現有信息安全風險管理方法難以實現精細化管理，不能處理與風險密切相關的組織信息，難以形成科學的控制信息系統風險安全決策等。信息安全風險管理建立信息資產風險的關系模型，但不能確定風險發起者對信息資產的威脅，難以對風險形成過程準確解讀?，F有信息安全風險管理方法對風險損失后果采取定性描述，缺乏對風險意義的直觀描述，難以區分不同風險安全措施效果差異；使得不同風險間不能進行數學運算，傳統方法不能考慮風險評估者判斷模糊性，傳統信息安全風險管理難以作為定量風險管理依據。

NRC報告建議關注風險描述，指出風險描述是由決策驅動的活動，現有信息安全風險管理把尋求信息系統安全風險控制在可接收范圍，組織將實施安全方案視為投資行為，組織信息系統安全方案是追求優化費效比管理決策。如何建立反映決策者意圖的信息安全模型是信息安全風險管理需要研究的問題。針對組織業務運行中的風險進行分析才能保障系統安全。組織業務活動中存在人員與信息系統交互行為，組織網絡通信系統信息安全風險與業務運行緊密聯系，要準確把握網絡通信系統安全風險特征，需要將組織背景納入研究范圍。傳統通信網絡安全風險管理方法缺乏進行同組織背景關聯科學機制。

四、通信網絡信息安全風險防范技術措施

21世紀后，信息網絡技術不斷成熟，新技術發明安全性得不到保障會影響推廣應用，應在發展技術同時關注網絡安全防范措施。隨著改革開放深入，信息網絡行業快速發展。互聯網用戶數量不斷增多，社會居民日常生活工作中對計算機信息網絡依賴性增強，一些不法分子利用技術竊取網民個人信息，網絡攻擊暴露網絡安全的脆弱性，風險計算機網絡安全隱患，研究采取有效的風險防范技術措施具有重要意義[6]。

網絡安全是計算機內外網安全，內網指某組織內部局域網。網絡安全是軟硬件設施及數據安全，網絡安全需要保證信息管理系統數據完整性，本地網絡資源不能隨意被外界讀取利用。很多計算機黑客大肆攻擊網絡系統盜取企業信息，對企業造成巨大的損失，需采取有效的風險防范措施應對。當前通信網絡信息安全風險包括計算機病毒，黑客入侵等。計算機病毒伴隨計算機發明出現，隨著計算機技術的發展，對計算機軟硬件破壞性加大。病毒是技術人員將破壞性程序代碼植入計算機系統，對計算機系統造成破壞。隨著網絡技術的發展，計算機病毒在世界感染大量用戶，系統癱瘓帶來巨大經濟損失。

互聯網發展的同時，用戶隱私防范意識未同步提高，用戶注冊各種賬號時，網站要求填寫個人信息，網站后臺數據庫中不能保存個人信息，很多用戶為方便記憶設置簡單的密碼，加劇了賬號密碼盜取風險。黑客是具有計算機技術從事違法行為的人員，大多利用系統漏洞登錄對方網絡服務器進行系統信息查看操作，黑客侵入方式不斷增多，如通過局域網端口獲得管理員權限等。常見攻擊方式是利用木馬病毒將程序植入對方計算機。通信網絡信息安全防范技術措施包括物理防范，引入人工檢測技術，應用網絡防火墻等。

通信網絡信息安全物理防范措施是硬件設備通過隔離方式實現，將重要內部網絡與外部互聯網隔離，保障局域網路由器不受外界網絡人為干擾，避免黑客侵犯內部系統。防火墻技術應用為保障網絡安全措施，利用技術手段對系統信息隔離，有效設置防火墻可以保障信息安全性。某些組織對系統內部安全性要求高，應聘請專業人員對網絡進行監管，保證系統網絡出現異常時及時跟蹤報告。防火墻只能按固有程序進行，人工24小時輪流檢測可及時發現攻擊行為。要求專業人員定期掃描系統內部漏洞，如漏洞被黑客發現會被利用攻擊。系統維護人員要定期進行系統掃描，防止利用漏洞遭到網絡攻擊。