基于數(shù)字化環(huán)境下的網(wǎng)絡信息安全管理問題研究

趙小鵬

網(wǎng)絡信息安全是一個關系國家安全和主權、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題，其重要性，正隨著全球信息化步伐的加快越來越重要。2015年7月1日，中國網(wǎng)絡安全大會在京召開，“立體化”“大數(shù)據(jù)”和“自主可控”成為本次大會的熱點關鍵詞，“互聯(lián)網(wǎng)+”“移動”“云”和“行業(yè)”等是此次大會的主要議題方向，“信息安全領袖巔峰對話”和“黑客大師講堂”成為大會的關注焦點。7月23日，2015中國網(wǎng)絡安全論壇成功舉辦，論壇以“共建網(wǎng)絡安全為互聯(lián)網(wǎng)+護航”為主題，強化網(wǎng)絡基礎設施安全防護，高度重視數(shù)據(jù)安全和用戶個人信息保護，深入推進網(wǎng)絡安全技術手段創(chuàng)新，積極推動信息共享，共同應對網(wǎng)絡威脅。

計算機犯罪對全球造成了前所未有的新威脅，犯罪學家預言未來信息化社會犯罪的形式將主要是計算機網(wǎng)絡犯罪。我國自 1986年深圳發(fā)生第一起計算機犯罪案件以來，計算機犯罪呈直線上升趨勢，犯罪手段也日趨技術化、多樣化，犯罪領域也不斷擴展，許多傳統(tǒng)犯罪形式在互聯(lián)網(wǎng)上都能找到影子，而且其危害性已遠遠超過傳統(tǒng)犯罪。

計算機犯罪的犯罪主體大多是掌握了計算機和網(wǎng)絡技術的專業(yè)人士，甚至一些原為計算機及網(wǎng)絡技術和信息安全技術專家的職業(yè)人員也鋌而走險，其犯罪所采用的手段則更趨專業(yè)化。他們洞悉網(wǎng)絡的缺陷與漏洞，運用豐富的電腦及網(wǎng)絡技術，借助四通八達的網(wǎng)絡，對網(wǎng)絡及各種電子數(shù)據(jù)、資料等信息發(fā)動進攻，進行破壞。

計算機病毒是一種人為編制的程序，能在計算機系統(tǒng)運行的過程中自身精確地拷貝或有修改地拷貝到其他程序體內，給計算機系統(tǒng)帶來某種故障或使其完全癱瘓，它具有傳染性、隱蔽性、激發(fā)性、復制性、破壞性等特點。隨著互聯(lián)網(wǎng)的發(fā)展，計算機病毒的種類急劇增加，擴散速度大大加快，受感染的范圍也越來越廣。

據(jù)粗略統(tǒng)計，全世界已發(fā)現(xiàn)的計算機病毒的種類有上萬種，并且正以平均每月300-500的速度瘋狂增長。計算機病毒不僅通過軟盤、硬盤傳播，還可經(jīng)電子郵件、下載文件、文件服務器、瀏覽網(wǎng)頁等方式傳播。近年來先后爆發(fā)的CIH病毒、愛蟲病毒、求職信病毒、尼姆達病毒等對網(wǎng)絡造成的危害極大，許多網(wǎng)絡系統(tǒng)遭病毒感染，服務器癱瘓，使網(wǎng)絡信息服務無法開展，甚至于丟失了許多數(shù)據(jù)，造成了極大的損失。

網(wǎng)絡信息安全一般是指網(wǎng)絡信息的機密性、完整性、可用性及真實性。網(wǎng)絡信息的機密性是指網(wǎng)絡信息的內容不會被未授權的第三方所知。

網(wǎng)絡信息的完整性是指信息在存儲或傳輸時不被修改、破壞，不出現(xiàn)信息包的丟失、亂序等，即不被未授權的第三方修改。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。當前，運行于互聯(lián)網(wǎng)上的協(xié)議，能夠確保信息在數(shù)據(jù)包級別的完整性，即做到了傳輸過程中不丟信息包，不重復接收信息包，但卻無法制止未授權第三方對信息內部的修改。

網(wǎng)絡信息的可用性包括對靜態(tài)信息的可得到和可操作性及對動態(tài)信息內容的可見性。網(wǎng)絡信息的真實性是指信息的可信度，主要是指對信息所有者或發(fā)送者的身份的確認。

為了達到網(wǎng)絡信息安全的目的，需要全方位的對網(wǎng)絡信息進行保護，那么一個完善的管理體系是不可缺少的。1989年，由美國國家標準與技術研究院在《Special Publication SP500169》的《信息資源保護執(zhí)行指南》中提出：“信息資源保護項目的成功依賴于所采用的策略，也依賴于管理層對自動系統(tǒng)中信息的保護態(tài)度。作為策略的制定者，應當定好基調，強調信息安全在機構中所產生的重要作用。制定者的主要責任就是為機構制定信息資源安全策略達到下述目標：減少風險，遵從法律和規(guī)則，確保機構運作的連續(xù)性、信息完整性和機密性。”

創(chuàng)建一個安全的網(wǎng)絡環(huán)境，必須設計一個安全計劃，計劃的順利實施需要一個管理模型來執(zhí)行和維護。首先分析現(xiàn)有的安全控制策略和措施，找出其他必要的安全控制，形成一個安全框架，從而建立一個完整的管理模型。安全管理模型目前已經(jīng)有了被認可的國際標準，美國聯(lián)邦代理機構和國際組織都有很好的參考模型。英國標準 7799（BS7799）提供了兩個部分，分別闡述了安全管理實踐的不同領域。NIST安全模型可公開獲得，并且得到了政府和行業(yè)專家的廣泛檢查，一個混合安全管理模型參考了很多相關資料，更好地描述了安全控制，共由三部分組成。

管理控制：覆蓋了由策略計劃者設計并由安全管理者實施的安全過程。內容包括項目管理、系統(tǒng)安全計劃、生命周期維護、風險管理、安全控制檢查和合法性等。

操作控制：處理機構內部操作功能的安全性。包括應急計劃、安全教育、培訓和意識提升、人員安全、物理安全、產品輸入和輸出、硬件和軟件系統(tǒng)維護、數(shù)據(jù)完整性。

技術控制：針對在機構內設計和實施安全的戰(zhàn)術與技術問題。涉及到邏輯訪問控制、識別、認證、授權和義務、審計追蹤、資產分類與控制和密碼編碼學。

首先從業(yè)務需求來分析，詳細了解當前存在的網(wǎng)絡信息安全威脅，以及網(wǎng)絡信息安全的攻擊手段，可以從幾個方面建立一個安全的網(wǎng)絡信息系統(tǒng)。

網(wǎng)絡物理安全方面。要做好物理訪問控制和設施及防火安全，從技術上保障可行的資源保護和網(wǎng)絡訪問安全，從工作環(huán)境以及工作人員、外來人員方面切實做好保密工作，以便從物理上斷絕對網(wǎng)絡安全的威脅。用戶本身方面，要做好自主保護，從機構方面要嚴格的崗位考核管理，對人員的安全意識要經(jīng)常培訓。

做好安全保密協(xié)議的管理，對離崗人員要有嚴格的調離手續(xù)。人員管理方面。對于內部工作人員來講，要從以下幾個方面來管理。操作權限要進行合理劃分、分配，從管理的效率和方便程度上，按級別和重要程度進行管理，保障網(wǎng)絡的暢通和安全。要強化和落實責任制，保證職工在規(guī)定的權限范圍內進行工作，并承擔相應的操作責任。同時要對信息進行監(jiān)控，避免工作人員有意或無意的信息泄漏。對一些災難事件要有相應的拯救措施，避免不適當操作帶來的損失，技術人員要保證可以及時恢復被毀壞數(shù)據(jù)。

在網(wǎng)絡安全中，無論從采用的管理模型，還是技術控制，最重要的還是貫徹始終的安全管理。管理是多方面的，有信息的管理、人員的管理、制度的管理、機構的管理等，它的作用也是關鍵的，是網(wǎng)絡安全防范中的靈魂。

在機構或部門中，各層次人員的責任感，對信息安全的認識、理解和重視程度，都與網(wǎng)絡安全息息相關。所以信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應商、顧客或股東的參與和信息安全的專家建議。在信息系統(tǒng)設計階段就將安全要求和控制一體化考慮進去，則成本會更低、效率會更高。