網絡信息系統網絡安全的威脅與防范措施

陳紅科

(寧夏工商職業技術學院，寧夏 銀川 750021)

0 引言

現今，在日常工作與生活中，網絡信息系統已經融入方方面面，不僅在各行各業得到了有效融合與應用，而且深刻影響了人們的生活。隨著近些年來網絡信息系統發展速度的不斷提高，社會公眾的信息化需求更加多元化，與此同時，對網絡安全也提出了更高的要求。網絡信息系統必須及時有效地進行軟件及防控系統的更新換代，以此對信息系統進行改進與優化，保障數據信息的安全性。如今，人們可以獲得信息的途徑相對較多，與此同時，信息系統的網絡安全技術更新換代速度也有所提升，如果信息系統安裝的防護墻或者殺毒軟件能力水平較低，則有可能出現病毒入侵或者其他不良的違法攻擊，不利于用戶信息安全的保護。由此可知，網絡信息系統的網絡安全問題已成為信息化時代的重點研究方向，參與應用信息系統的用戶必須著重強調網絡信息系統的安全問題，通過樹立正確的安全觀念，有效結合網絡信息安全知識，采取對應的管理舉措，以此保證在應用網絡信息系統的過程中個人信息不被泄露。具體而言，網絡信息系統的網絡安全問題可分為物理安全與邏輯安全兩個方面，又可根據應用系統的不同，分為網絡系統安全與計算機系統安全兩大組成部分。本文探討分析了現階段網絡信息系統的網絡安全威脅與對應的防范措施，希望通過明確現階段面臨的風險問題，提出并應用有效舉措，為用戶群體提供安全保障。

1 網絡信息系統存在的安全威脅

1.1 數據操作方面

部分網絡信息系統用戶在使用計算機時存在不當的數據操作習慣，部分用戶在發現計算機受到病毒感染后沒有及時進行殺毒，而是放任病毒發展，使得病毒程序進一步獲取網絡信息系統內的數據庫信息，對信息內部進行破壞，使原有的安全防范等級降低。此外，部分用戶對數據庫中的信息沒有進行分類管理，導致大量信息混雜存儲，使得不安全數據信息始終保留，干擾原有的安全內容，出現信息泄露的安全問題。

1.2 數據庫方面

信息科技的迅速發展，有利于人們生活便利性的提高，網絡信息系統相關技術也可提升人們的生活質量。但是在數據庫系統應用過程中，需要特殊的安全管理方法，現有數據庫安全管理技術并不完善，存在一定的應用問題，使得網絡信息系統安全受到威脅[1-3]。

1.3 網絡信息系統管理方面

如果網絡信息系統沒有進行有效管理,可能會導致應用程序數據受到病毒感染或出現垃圾數據,信息系統的安全將受到影響,一些違法分子將利用這些漏洞破壞用戶安全保護系統和數據庫信息。此外，用戶在數據庫應用過程中，沒有及時修復安全漏洞或進行相關處理，將導致網絡信息系統管理漏洞的危害進一步擴大。

2 信息系統安全風險評估模型構建

隨著我國信息技術的快速發展，一系列新興信息技術改變了人們的工作方式，也使人們的生活方式發生了巨大變化。然而，信息網絡技術在給人們提供便利的同時，也帶來了一定的安全風險。例如，信息系統可能受到惡意程序或網絡攻擊，導致個人信息或數據泄露[4-5]。因此，面對網絡信息系統網絡安全的潛在威脅，如何正確有效地規避安全風險，保證數據信息和個人信息的有效保密性，是當前技術人員的研究方向。

本文以此為基礎，提出了構建一種新型信息系統安全風險評估模型，對用戶在應用過程中的網絡安全性能進行多維度與多層次的深入分析，通過各評估指標明確網絡信息系統存在潛在安全風險的可能性，達到保護用戶信息與數據的目的。

2.1 信息系統主體構成要素分析

根據調查顯示，信息系統的主體可以分為系統管理員和用戶兩部分，兩者間有著密切的關聯，一個用于用戶信息系統的主要功能，一個用于安全運行信息系統操作,，兩者是信息系統安全管理主體的核心。

系統管理員是系統功能的運維者，具有保護網絡信息系統安全的主要職責，可以根據相關管理權限進行分級。例如，一個海拔系統主管作為信息系統的總經理或中層管理者，應發揮部門主要負責人或子信息系統負責人的職能；如果是基礎維護人員，應有效履行網絡信息系統的網絡管理員或數據管理員的基本職責。

網絡信息系統的用戶，事業單位或個人用戶，無論是在網絡信息知識水平、系統運行水平、安全意識等方面個體差異很大。因此，信息系統主體的組成具有一定的復雜性，在分析信息系統面臨的安全風險時，信息系統的主體不應是單一性分析，而應作為一個整體來評價信息系統主體。

2.2 風險評估模型構建

2.2.1 信息系統安全特性

如今，互聯網技術不斷影響人們的生活與工作，信息化與自動化的發展已成為世界發展潮流，網絡開放互聯已經成為歷史的必然，這要求信息網絡系統必須形成并應用較為完善的安全保護模式，但網絡信息系統在網絡安全方面仍然有一定的安全風險。信息系統安全風險可包括客觀因素與主觀因素，客觀因素主要為網絡信息系統自身具備的風險特征，例如脆弱性與設計缺陷等；主觀因素主要是指網絡信息系統在應用過程中，由于主體或管理制度等方面造成的風險，例如內部管理制度不足、信息系統應用人員操作不當等[6]。

在推進網絡信息系統網絡安全的過程中，必須正確認識網絡信息系統的安全本質，確保信息在傳輸過程中的保密性、可用性和完整性。保密性主要是指在信息系統登錄時需要對訪問權限的主體進行篩選，只有符合相關訪問權限才能查詢內部信息數據，這可以有效保護信息的安全，使信息被攔截時，沒有訪問權限的無法了解信息的實際內容，避免信息泄露帶來的安全風險；可用性是指用戶的訪問和授權權限，在訪問信息系統的過程中可以通過系統正常運行和訪問內部信息數據；完整性是指用戶在沒有修改或刪除權限的情況下，不能對信息系統中的信息進行刪除或修改，可以有效避免信息在傳輸過程中被篡改或刪除，保證信息傳輸的完整性[7]。此外，由于網絡信息系統在應用過程中面臨的網絡安全風險具有不確定性，可以對安全風險的高、低表征進行分析和澄清，準確評估安全風險的不確定性。綜上所述，有效地推進網絡信息系統安全風險的降低，必須以不確定性這一特征為切入點，有效地提高系統的保密性、可用性、完整性，做到有效地規避安全風險事件，使信息系統在應用過程中能夠有效地保護用戶的個人信息和數據。

2.2.2 評估指標選取標準

在構建完善網絡信息系統風險評估模型時，必須選取并完善對應的評估標準，確保最終的風險評估模型可以給予較為可靠的評估結果，因此，構建評估指標時制定合理的選取標準十分重要，需具有以下特性。

第一，科學性。主要是指本研究中所提出的網絡信息系統風險評估模型，須以對應的科學理論研究為基礎，所選取的評估指標必須具有較為明確的科學含義，不能概念模糊不清或模棱兩可。在循序評估指標時，須有效結合定性分析與定量計算，評估指標應體現出系統整體的性能情況及系統運行的綜合情況，應反映出風險評估的狀態。

第二，層次性。主要是指在評估指標選取過程中，必須選取層次不一的指標，部分指標應具有一定的復雜性，具有難度較高的分析要求與計算要求，從而使得評估指標的屬性可根據實際情況進行分解分析。

第三，獨立性。主要是指風險評估模型的各項評估指標存在相互獨立性，并不存在密切的相關關系，或者明顯的交叉關系、較為隱性的相關關系等。通過有效規避評估指標間的聯系，確保指標的選取與應用可有效反映安全風險的實際情況，以免指標之間的相互影響，對最終的評估結果造成影響而降低評估結果的準確性。

2.2.3 評估指標體系層次結構模型

風險評估主要包括兩個階段：風險識別和風險分析。風險識別階段，主要對資產價值、威脅和脆弱性等風險評估要素進行識別和關聯。風險分析階段，基本策略是計算系統的風險值根據系統中的資產重要性、安全戰略的完整性檢測資產，分析威脅的頻率和可能的損失造成漏洞的威脅。

對于所構建的評價系統層次模型，因子層可能無法具體表示系統所面臨的安全風險，可進一步向下分解指標。以主機安全為例，根據國家信息系統安全等級保護安全控制項目的相關標準和要求，包括身份認證、訪問策略、安全審計、入侵防御、資源和信息控制。

(1)識別。

為了防止身份合法性的識別受到未經授權的干預，其從屬指標的構建和檢測都是基于身份識別的安全檢測核心。為此，將身份認證的安全風險因素分解為用戶身份識別與認證、身份認證技術、密碼策略和賬戶鎖定策略。

(2)訪問控制。

根據用戶的身份及其所屬的組，限制用戶對某些信息項的訪問或某些控制功能的使用。通過訪問控制策略，防止用戶隨意添加、刪除、搜索和修改信息系統。因此，訪問控制的安全風險因素分解為用戶權限分配和策略、用戶角色分配、敏感標記和操作。

(3)安全審核。

識別、記錄、存儲和分析系統中與安全相關活動的信息。當安全事件發生時，可以根據安全審計的相關記錄，獲取有關安全事件發生的信息。因此，安全審計的安全風險因素分解為日志審計策略、事件審計策略、審計信息和記錄。

(4)入侵防御。

識別潛在威脅并迅速采取對策。通過入侵防御措施，對入侵事件進行實時主動監控和預警。因此，入侵防御的安全風險因素分解為完整性檢測、入侵檢測軟件、入侵記錄與報警、系統更新和防火墻。

(5)資源和信息控制。

對象整體資源信息的訪問控制管理。通過資源控制，用戶對系統資源、用戶信息和系統重要信息的訪問受到相應的限制和監控。因此，將資源控制安全風險因素分解為用戶資源使用限制、終端用戶登錄限制、超時鎖定、屏保、操作系統監控、用戶認證信息和重要數據。

2.3 評估數據預處理與定性指標量化處理方法

2.3.1 評估數據預處理

(1)標度量化法。

利用標度量化法可根據針對性的問題將定性指標進行等級分類，可用較為常見的5級打分法進行分析，將分級指標制定為不合格、合格、一般、良好和優秀。由此，可將定性指標根據打分標準區分為正向指標與逆向指標，在評價過程中，正向指標的性能越好，則其表現出屬性值越大，逆向指標則與之相反，當屬性值相對較小時，則表現出較為優越的性能。由此可知，應用有度量化法，可對定向指標數據進行量化分析與處理。

(2)特征向量量化法。

特征向量量化方式只當指標數據存在多個時，指標數據的權重值無法準確得知且無法直接排序時，可以利用特征向量量化法對兩個指標數據的權重值大小進行比較。

2.3.2 定量指標標準化處理方法

(1)極差變換法。

極差變化法與標度量化法具有一定的相似性，在應用過程中極差變化法可對定性量表進行處理與分析，將指標具體分為正向指標、逆向指標兩大方面，當正向指標的屬性值較高時，體現出風險評估模型具有較好的性能。

(2)固定指標標準化法。

應用固定指標標準化法時，需對現有的指標數據進行深入分析，當指標數據的值與固定屬性較為接近時，則表現出較好的性能，因此可通過固定指標數據進行標準化，從而對數據進行處理分析。

3 結語

綜上所述，網絡信息系統在面對網絡信息安全威脅時，必須進行深入探討，從而有效避免因系統脆弱性及其他因素所帶來的安全風險。本文在深入分析網絡信息系統所面臨的安全風險情況下，提出了構建基于新型技術的系統安全風險評估模型，應用該模型可以對網絡信息系統運行過程中對網絡安全情況進行監測與反饋，希望以此可有效降低網絡信息系統的不良網絡安全事件發生率，有效規避安全風險。