信息安全的風(fēng)險(xiǎn)與防衛(wèi)對策研究

劉金濤

【摘要】隨著經(jīng)濟(jì)的全球化和信息技術(shù)的迅猛發(fā)展，信息系統(tǒng)在各個(gè)領(lǐng)域應(yīng)用的日益廣泛，整個(gè)社會(huì)對與信息系統(tǒng)的依賴性也與日劇增，對于信息系統(tǒng)的安全問題的研究具有十分重要的意義。

【關(guān)鍵詞】信息安全;風(fēng)險(xiǎn);防衛(wèi)對策

引言

目前，隨著經(jīng)濟(jì)的不斷發(fā)展和科技的不斷進(jìn)步，人類生活在一個(gè)嶄新的全球化信息時(shí)代，信息技術(shù)已經(jīng)在各個(gè)領(lǐng)取得到了十分廣泛的應(yīng)用。然而，人們在享受信息帶來的巨大便利的同時(shí)，也承受著信息影響和控制。信息的支撐社會(huì)經(jīng)濟(jì)生活的重要戰(zhàn)略資源之一，是一個(gè)國家各領(lǐng)域活動(dòng)開展的前提條件。隨著社會(huì)發(fā)展人們對信息和信息系統(tǒng)的依賴程度越來越高，電力、電信、交通等和國計(jì)民生具有密切關(guān)系的主要信息系統(tǒng)在受到傳統(tǒng)的物理性破壞的同時(shí)又面臨新興的虛擬化的攻擊，信息系統(tǒng)的安全正面臨著巨大的威脅。信息系統(tǒng)隨時(shí)面臨遭受到有意或者無意的破壞，對人們的財(cái)產(chǎn)安全和生命安全造成了巨大的威脅，甚至?xí)φ麄€(gè)國家的安全造成危害。信息系統(tǒng)的安全問題已經(jīng)成為關(guān)系國家安全的戰(zhàn)略性問題，受到世界范圍內(nèi)的高度重視。

如今，我國信息安全正面臨著十分嚴(yán)峻的考驗(yàn)，加強(qiáng)維護(hù)國家信息安全具有十分重要的意義。國外敵對勢力對我國重要信息系統(tǒng)的滲透和顛覆活動(dòng)從未停止并且日趨嚴(yán)重;國內(nèi)外反動(dòng)勢力在國外敵對勢力的支持下，對重要信息系統(tǒng)不斷的進(jìn)行攻擊和破壞;我國的網(wǎng)絡(luò)違法犯罪率迅速升高，網(wǎng)絡(luò)竊密現(xiàn)象較為普遍，計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵的情況十分嚴(yán)重，犯罪分子利用信息系統(tǒng)的安全漏洞進(jìn)行違法犯罪活動(dòng)，給用戶的財(cái)產(chǎn)和安全造成嚴(yán)重的，由此引發(fā)了一系列的社會(huì)問題;對于信息系統(tǒng)安全管理不合理，安全措施不完善，經(jīng)常會(huì)發(fā)生信息系統(tǒng)運(yùn)行事故，信息系統(tǒng)風(fēng)險(xiǎn)已經(jīng)成為一個(gè)亟待解決的問題。

1相關(guān)理論基礎(chǔ)

1.1信息安全的含義和目標(biāo)

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)由于偶然的或者惡意的原因而遭到破壞、更改或者泄露，可以保證系統(tǒng)連續(xù)、可靠、正常的運(yùn)行，并且信息服務(wù)不中斷。信息安全要實(shí)現(xiàn)的目標(biāo)主要有以下七個(gè)方面：（1）保密性;（2）完整性;（3）可用性;（4）真實(shí)性;（5）不可抵賴性;（6）可審查性;（7）可控制性。

1.2風(fēng)險(xiǎn)和信息風(fēng)險(xiǎn)的含義

通常情況下，風(fēng)險(xiǎn)的是指損失的不確定性。這種不確定性的范圍包括風(fēng)險(xiǎn)是否發(fā)生、發(fā)生時(shí)間、發(fā)生過程、發(fā)生結(jié)果等的不確定。因?yàn)椴煌膶W(xué)者對與風(fēng)險(xiǎn)的理解和認(rèn)識(shí)程度存在較大的差別，對風(fēng)險(xiǎn)的研究的角度也不盡相同，他們對風(fēng)險(xiǎn)概念有著不同的解釋，因此，從理論角度對風(fēng)險(xiǎn)下一個(gè)科學(xué)的定義具有較大的難度，但可以歸納為以下三種代表性觀點(diǎn) （l）風(fēng)險(xiǎn)是指損失發(fā)生的不確定性;（2）風(fēng)險(xiǎn)是指損失的大小和產(chǎn)生風(fēng)險(xiǎn)的可能性;（3）風(fēng)險(xiǎn)是在風(fēng)險(xiǎn)構(gòu)成要素相互作用下形成的。

在信息安全中的風(fēng)險(xiǎn)是指安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)是指由于人或者自然的威脅利用信息系統(tǒng)及其管理體系中存在的薄弱點(diǎn)，導(dǎo)致信息安全事件發(fā)生的可能性及其對組織活動(dòng)和所屬資產(chǎn)造成影響的結(jié)合。概括起來說，信息安全風(fēng)險(xiǎn)是指信息系統(tǒng)安全事件發(fā)生的可能性及其發(fā)生后所帶來的影響，事件發(fā)生的可能性越大，信息風(fēng)險(xiǎn)就越高;財(cái)產(chǎn)受到的影響與損失越大，風(fēng)險(xiǎn)也就越高。

2信息安全風(fēng)險(xiǎn)的防衛(wèi)對策

2.1信息系統(tǒng)動(dòng)態(tài)風(fēng)險(xiǎn)管理模型與對策

（1）基于態(tài)勢評估的風(fēng)險(xiǎn)防衛(wèi)對策

對于安全態(tài)勢值的計(jì)算是實(shí)時(shí)的，也能起到實(shí)時(shí)監(jiān)控的作用。通過評估己經(jīng)可以得到過去和當(dāng)前的信息系統(tǒng)安全狀況，可以給信息系統(tǒng)管理者預(yù)警。通過建立基于灰色理論的風(fēng)險(xiǎn)態(tài)勢評估模型，并且借以對系統(tǒng)的未來行為進(jìn)行預(yù)測與評估。這些使得信息系統(tǒng)管理員可以明確獲知信息系統(tǒng)攻擊的威脅程度，對信息系統(tǒng)安全狀態(tài)有一個(gè)清晰的把握，從而對信息系統(tǒng)現(xiàn)實(shí)的情況進(jìn)行相應(yīng)的防為和控制。

（2）基于ART-BP神經(jīng)網(wǎng)絡(luò)的模糊專家系統(tǒng)風(fēng)險(xiǎn)防衛(wèi)對策

為適應(yīng)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)復(fù)雜性的不斷增加，需要引入專家系統(tǒng)與神經(jīng)網(wǎng)絡(luò)等有效手段，來提高動(dòng)態(tài)風(fēng)險(xiǎn)管理的智能化水平，增強(qiáng)管理自動(dòng)化程度。因?yàn)槟：壿嬇c神經(jīng)網(wǎng)絡(luò)相結(jié)合的方法具有明顯的優(yōu)點(diǎn)，考慮到專家系統(tǒng)進(jìn)一步發(fā)展的需要和網(wǎng)絡(luò)管理專家系統(tǒng)的具體特點(diǎn)，本文提出了一種提高動(dòng)態(tài)風(fēng)險(xiǎn)管理水平的方案，采用自適應(yīng)諧振理論ART與BP神經(jīng)網(wǎng)絡(luò)相結(jié)合的ART-BP混合神經(jīng)網(wǎng)絡(luò)，建立起基于ART-BP神經(jīng)網(wǎng)絡(luò)的動(dòng)態(tài)風(fēng)險(xiǎn)管理模型。充分利用其在處理不確定性知識(shí)和模糊神經(jīng)網(wǎng)絡(luò)在模糊推理、自動(dòng)學(xué)習(xí)和并行處理等方面的優(yōu)點(diǎn)，進(jìn)而克服傳統(tǒng)專家系統(tǒng)的缺點(diǎn)。

2.2信息系統(tǒng)人因失誤風(fēng)險(xiǎn)防衛(wèi)對策

（1）建立完善的管理制度

完善的管理制度是做好一切工作的前提條件，也是實(shí)現(xiàn)管理工作制度化、規(guī)范化的基礎(chǔ)。完善的管理制度要具有很強(qiáng)的可操作性，可以最大限度地調(diào)動(dòng)人的積極性，引導(dǎo)人自覺的遵守相關(guān)的制度。

（2）加強(qiáng)組織文化的建設(shè)

組織文化是指組織經(jīng)過長時(shí)間的管理和運(yùn)作對員工的精神層面產(chǎn)生影響并通過員工的個(gè)人行為所表現(xiàn)出來的文化現(xiàn)象，組織文化是組織活動(dòng)創(chuàng)造的生產(chǎn)及勞動(dòng)保護(hù)的觀念、行為、意識(shí)、環(huán)境、物態(tài)條件的總和。組織文化主要包括安全文化、個(gè)人對安全的意識(shí)和態(tài)度和領(lǐng)導(dǎo)層對安全的態(tài)度等三個(gè)方面。

（3）加強(qiáng)安全教育與培訓(xùn)

我們應(yīng)該通過安全教育和培訓(xùn)使人員自覺遵守安全法規(guī)，提高安全意識(shí)，養(yǎng)成嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)，提高對于危險(xiǎn)事故的判斷和處理能力，進(jìn)而有效減少由于人為原因所產(chǎn)生的失誤。要加強(qiáng)對于信息安全知識(shí)的宣傳，進(jìn)而營造出一個(gè)良好的信息安全管理環(huán)境。安全教育主要包括以下四個(gè)方面：（1）加強(qiáng)安全意識(shí)的教育;（2）加強(qiáng)安全培訓(xùn);（3）培養(yǎng)人員的安全習(xí)慣;（4）自主安全管理。

2.3信息系統(tǒng)安全管理體系的建設(shè)的對策

從目前信息系統(tǒng)的安全實(shí)踐的角度來看，在信息系統(tǒng)方面存在很多潛在的風(fēng)險(xiǎn)。這些潛在的風(fēng)險(xiǎn)屬于信息安全管理的問題。進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評估能夠有效識(shí)別需要保護(hù)的對象，明確了保護(hù)對象，就會(huì)保護(hù)對象的特點(diǎn)和屬性等內(nèi)容進(jìn)行分析，分析保護(hù)對象在管理和技術(shù)等方面存在的不足，在此基礎(chǔ)之上有針對性地選擇控制措施來防衛(wèi)具體的風(fēng)險(xiǎn)，特別是對于管理方面的不足，可以通過制定相應(yīng)的策略和程序來進(jìn)行防范和控制，這解決信息系統(tǒng)中存在的信息安全問題具有十分重大的意義。

3結(jié)束語

本文對信息安全和信息風(fēng)險(xiǎn)的含義進(jìn)行了分析，在此基礎(chǔ)上針對信息安全風(fēng)險(xiǎn)的防衛(wèi)問題提出了幾點(diǎn)行之有效的對策，對信息安全風(fēng)險(xiǎn)的保障具有一定的指導(dǎo)意義。

參考文獻(xiàn)

[1] 曹陽.基于三視圖框架的分布式信息系統(tǒng)體系結(jié)構(gòu)研究.國防科技大學(xué)學(xué)位論文.2002.10.

[2] 蔡衛(wèi).信息系統(tǒng)安全管理中魚待解決的若干問題.信息安全與通信保密.2002NQ7：19-21.

[3] AndersonRJ.信息安全工程.蔣佳北京：機(jī)械工業(yè)出版社.2003：2-8.

[4] 沈昌祥.信息安全工程導(dǎo)論.北京：電子工業(yè)出版社.2003：1-53.

[5] 中國信息安全產(chǎn)品測評認(rèn)證中心.信息安全工程與管理.北京：人民郵電出版社，2003：l，3451-69.