網(wǎng)絡(luò)通信中信息安全風(fēng)險(xiǎn)防范技術(shù)的應(yīng)用

李春光

(甘肅省森林消防總隊(duì) 甘肅蘭州 730070)

信息技術(shù)是推動(dòng)社會(huì)發(fā)展的重要因素，計(jì)算機(jī)網(wǎng)絡(luò)在全球迅速普及，使國(guó)家政治經(jīng)濟(jì)對(duì)網(wǎng)絡(luò)通信系統(tǒng)的依賴(lài)增強(qiáng)。網(wǎng)絡(luò)通信系統(tǒng)脆弱性對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成威脅，信息安全風(fēng)險(xiǎn)對(duì)經(jīng)濟(jì)國(guó)防安全帶來(lái)威脅。信息系統(tǒng)安全成為國(guó)家安全的基礎(chǔ)，網(wǎng)絡(luò)通信信息安全是保護(hù)信息資源有序可持續(xù)發(fā)展的集成化，網(wǎng)絡(luò)通信信息安全關(guān)系到國(guó)家安全。網(wǎng)絡(luò)通信信息安全是困擾網(wǎng)絡(luò)使用者的難題，網(wǎng)絡(luò)普及使得網(wǎng)絡(luò)信息安全成為網(wǎng)絡(luò)社會(huì)關(guān)鍵問(wèn)題。由于影響網(wǎng)絡(luò)通信信息安全因素的復(fù)雜性，對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估防范研究較多，網(wǎng)絡(luò)信息安全防護(hù)原則確立研究是理論與實(shí)踐問(wèn)題。分析網(wǎng)絡(luò)通信中信息安全風(fēng)險(xiǎn)，研究采取有效的信息安全風(fēng)險(xiǎn)防范技術(shù)措施對(duì)保障網(wǎng)絡(luò)安全具有重要意義。

一、網(wǎng)絡(luò)通信信息安全風(fēng)險(xiǎn)防范管理概述

當(dāng)前，網(wǎng)絡(luò)通信系統(tǒng)面臨嚴(yán)重的信息安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)通信系統(tǒng)信息安全風(fēng)險(xiǎn)主要來(lái)自人類(lèi)能力局限性導(dǎo)致信息系統(tǒng)存在脆弱性，社會(huì)存在各種斗爭(zhēng)導(dǎo)致對(duì)系統(tǒng)的利用。網(wǎng)絡(luò)通信系統(tǒng)是復(fù)雜的系統(tǒng)，通常由軟硬件等組件構(gòu)成，往往存在大量缺陷漏洞。如網(wǎng)絡(luò)系統(tǒng)硬件存在設(shè)計(jì)錯(cuò)誤導(dǎo)致缺陷，如操作系統(tǒng)應(yīng)用由許多代碼編寫(xiě)，程序每1000行代碼中存在Bug。網(wǎng)絡(luò)系統(tǒng)軟件開(kāi)發(fā)向互聯(lián)通方向發(fā)展，導(dǎo)致安全脆弱性日益嚴(yán)重。

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展中，各項(xiàng)針對(duì)信息系統(tǒng)新技術(shù)應(yīng)用引起新的安全脆弱性。微軟公司推出視窗XP操作系統(tǒng)后出現(xiàn)嚴(yán)重缺陷。黑客現(xiàn)象伴隨網(wǎng)絡(luò)系統(tǒng)發(fā)展存在。新華社報(bào)道中國(guó)近60%的單位網(wǎng)絡(luò)信息系統(tǒng)發(fā)生安全事件[1]。網(wǎng)絡(luò)攻擊呈現(xiàn)黑客技術(shù)與病毒傳播結(jié)合趨勢(shì)。黑客攻擊方法發(fā)生很大變化，最初采用破解口令，當(dāng)前利用協(xié)議缺陷或應(yīng)用程序代碼發(fā)掘應(yīng)用的安全脆弱性等。攻擊方法向智能化發(fā)展。攻擊涉及技術(shù)復(fù)雜，黑客罪犯對(duì)信息系統(tǒng)攻擊準(zhǔn)入成本降低，由于某些人員組織共同開(kāi)發(fā)，使得各類(lèi)技術(shù)精湛，源碼公開(kāi)的黑客攻擊工具隨手可得。如一些專(zhuān)門(mén)從事系統(tǒng)脆弱性測(cè)試公司多年進(jìn)行脆弱性檢測(cè)。

圖1 網(wǎng)絡(luò)通信系統(tǒng)威脅層次結(jié)構(gòu)

網(wǎng)絡(luò)通信信息安全是人類(lèi)面臨的新問(wèn)題，針對(duì)信息安全問(wèn)題特點(diǎn)，從技術(shù)管理等方面尋求解決措施是應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的主要途徑。網(wǎng)絡(luò)系統(tǒng)復(fù)雜性使得信息安全問(wèn)題解決方案存在不能全面防范，重點(diǎn)防范難以應(yīng)對(duì)突發(fā)性信息安全問(wèn)題。防范不足會(huì)造成信息安全失效，有學(xué)者提出充分安全概念，保障網(wǎng)絡(luò)系統(tǒng)信息安全問(wèn)題要求進(jìn)行經(jīng)濟(jì)技術(shù)可行性分析。針對(duì)信息安全新特點(diǎn)，國(guó)內(nèi)外學(xué)者提出解決信息安全問(wèn)題的策略。信息化早期人們主要關(guān)注防止軟硬件損害，電子通信后形成保護(hù)信息機(jī)密性的通信安全概念；計(jì)算機(jī)問(wèn)世后，計(jì)算機(jī)安全概念占領(lǐng)主導(dǎo)地位[2]。網(wǎng)絡(luò)技術(shù)發(fā)展使得通信與計(jì)算機(jī)安全概念融合，形成網(wǎng)絡(luò)安全概念。

人們對(duì)信息安全的認(rèn)識(shí)反映信息安全范式演進(jìn)，采用基于風(fēng)險(xiǎn)分析的安全范式，認(rèn)為信息安全與某種風(fēng)險(xiǎn)關(guān)聯(lián)。基于風(fēng)險(xiǎn)的安全范式導(dǎo)致以風(fēng)險(xiǎn)消除為主的安全思想。網(wǎng)絡(luò)時(shí)代后安全風(fēng)險(xiǎn)不斷增加，迫使人們重新考慮安全范式。信息安全內(nèi)涵發(fā)生很大變化，由于人們對(duì)信息系統(tǒng)依賴(lài)性發(fā)生變化，信息安全拓展到追求質(zhì)量效益。在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)下，難以采取風(fēng)險(xiǎn)消除法實(shí)現(xiàn)安全性[3]。應(yīng)將基于風(fēng)險(xiǎn)的安全理念引入保障網(wǎng)絡(luò)系統(tǒng)信息安全。風(fēng)險(xiǎn)管理是信息安全的新范式，運(yùn)用風(fēng)險(xiǎn)管理方法是保障網(wǎng)絡(luò)通信系統(tǒng)安全的最佳方式。

二、網(wǎng)絡(luò)通信中信息安全風(fēng)險(xiǎn)管理的發(fā)展

現(xiàn)代風(fēng)險(xiǎn)管理理論產(chǎn)生于資本主義國(guó)家，因其廣泛適用性，應(yīng)用于各國(guó)社會(huì)經(jīng)濟(jì)發(fā)展，國(guó)家安全等諸多領(lǐng)域。60年代信息安全領(lǐng)域應(yīng)用風(fēng)險(xiǎn)管理理論，網(wǎng)絡(luò)通信信息安全風(fēng)險(xiǎn)管理發(fā)展經(jīng)歷60-80年代中期，80年代末至90年代中期，90年代末至今。隨著網(wǎng)絡(luò)日益普及，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)思想技術(shù)不能適應(yīng)新安全需求，必須確立適合新形勢(shì)的網(wǎng)絡(luò)信息安全防護(hù)原則，采取有效的安全防范技術(shù)措施。

信息安全風(fēng)險(xiǎn)管理初期階段，60年代隨著早期計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，安全問(wèn)題逐漸暴露。美國(guó)率先推出關(guān)于信息安全風(fēng)險(xiǎn)管理的評(píng)測(cè)標(biāo)準(zhǔn)。國(guó)防部安全局制定計(jì)算機(jī)系統(tǒng)安全評(píng)估系列標(biāo)準(zhǔn)，建立在風(fēng)險(xiǎn)評(píng)估理論基礎(chǔ)上。指出評(píng)估計(jì)算機(jī)系統(tǒng)安全級(jí)依賴(lài)于系統(tǒng)存在風(fēng)險(xiǎn)水平，系列標(biāo)準(zhǔn)出臺(tái)奠定信息安全風(fēng)險(xiǎn)管理理論基礎(chǔ)。信息安全風(fēng)險(xiǎn)管理實(shí)踐成熟階段，1989年美國(guó)率先建立計(jì)算機(jī)應(yīng)急組織，國(guó)防部制定漏洞分析評(píng)估計(jì)劃。歐洲英法德等國(guó)制定共同信息安全評(píng)估標(biāo)準(zhǔn)，強(qiáng)調(diào)風(fēng)險(xiǎn)評(píng)估管理的重要性作用。

風(fēng)險(xiǎn)安全管理理論特點(diǎn)是注重操作系統(tǒng)的安全，通過(guò)對(duì)安全產(chǎn)品質(zhì)量保障系統(tǒng)安全。風(fēng)險(xiǎn)安全管理全球化發(fā)展階段，90年代后因特網(wǎng)高速發(fā)展，發(fā)達(dá)國(guó)家政治軍事等活動(dòng)對(duì)信息基礎(chǔ)設(shè)施依賴(lài)度增強(qiáng)，信息安全問(wèn)題成為各國(guó)面臨的共同挑戰(zhàn)。1999年ISO發(fā)布《信息技術(shù)安全評(píng)估準(zhǔn)則》，推動(dòng)各國(guó)風(fēng)險(xiǎn)管理實(shí)踐[4]。網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)管理的特點(diǎn)是安全專(zhuān)家對(duì)風(fēng)險(xiǎn)管理認(rèn)識(shí)達(dá)成共識(shí)，風(fēng)險(xiǎn)管理對(duì)象明確為信息系統(tǒng)，風(fēng)險(xiǎn)管理成為通用的理論方法。信息安全風(fēng)險(xiǎn)管理經(jīng)歷從單機(jī)到網(wǎng)絡(luò)全面管理等階段，信息保障概念下，如何將傳統(tǒng)風(fēng)險(xiǎn)管理理論應(yīng)用于信息安全風(fēng)險(xiǎn)管理是尚未解決的問(wèn)題。

三、網(wǎng)論通信系統(tǒng)信息安全風(fēng)險(xiǎn)管理存在的問(wèn)題

90年代后，隨著經(jīng)濟(jì)全球化，我國(guó)信息技術(shù)產(chǎn)業(yè)蓬勃發(fā)展，信息安全風(fēng)險(xiǎn)管理重要性日益突顯。我國(guó)在863計(jì)劃中首次規(guī)劃系統(tǒng)安全風(fēng)險(xiǎn)分析研究課題，成立國(guó)家信息化辦公室領(lǐng)導(dǎo)信息安全風(fēng)評(píng)課題組，一些國(guó)家研究機(jī)構(gòu)介紹發(fā)達(dá)國(guó)家信息安全風(fēng)評(píng)管理理論。由于我國(guó)網(wǎng)絡(luò)通信系統(tǒng)信息安全風(fēng)險(xiǎn)管理研究時(shí)間較短，國(guó)外許多方法不符合我國(guó)網(wǎng)絡(luò)系統(tǒng)安全保障情況。傳統(tǒng)信息安全風(fēng)險(xiǎn)管理方法不能滿足網(wǎng)絡(luò)系統(tǒng)安全保障要求，如何采取適合我國(guó)網(wǎng)絡(luò)系統(tǒng)特點(diǎn)的安全風(fēng)險(xiǎn)防范技術(shù)措施是亟待解決的問(wèn)題。

網(wǎng)絡(luò)通信系統(tǒng)信息安全風(fēng)險(xiǎn)管理是信息安全研究熱點(diǎn)，網(wǎng)絡(luò)系統(tǒng)發(fā)展對(duì)傳統(tǒng)安全風(fēng)險(xiǎn)管理方法提出了挑戰(zhàn)[5]。傳統(tǒng)信息安全風(fēng)險(xiǎn)管理方法存在一些缺陷，表現(xiàn)為現(xiàn)有信息安全風(fēng)險(xiǎn)管理方法難以實(shí)現(xiàn)精細(xì)化管理，不能處理與風(fēng)險(xiǎn)密切相關(guān)的組織信息，難以形成科學(xué)的控制信息系統(tǒng)風(fēng)險(xiǎn)安全決策等。信息安全風(fēng)險(xiǎn)管理建立信息資產(chǎn)風(fēng)險(xiǎn)的關(guān)系模型，但不能確定風(fēng)險(xiǎn)發(fā)起者對(duì)信息資產(chǎn)的威脅，難以對(duì)風(fēng)險(xiǎn)形成過(guò)程準(zhǔn)確解讀?，F(xiàn)有信息安全風(fēng)險(xiǎn)管理方法對(duì)風(fēng)險(xiǎn)損失后果采取定性描述，缺乏對(duì)風(fēng)險(xiǎn)意義的直觀描述，難以區(qū)分不同風(fēng)險(xiǎn)安全措施效果差異；使得不同風(fēng)險(xiǎn)間不能進(jìn)行數(shù)學(xué)運(yùn)算，傳統(tǒng)方法不能考慮風(fēng)險(xiǎn)評(píng)估者判斷模糊性，傳統(tǒng)信息安全風(fēng)險(xiǎn)管理難以作為定量風(fēng)險(xiǎn)管理依據(jù)。

NRC報(bào)告建議關(guān)注風(fēng)險(xiǎn)描述，指出風(fēng)險(xiǎn)描述是由決策驅(qū)動(dòng)的活動(dòng)，現(xiàn)有信息安全風(fēng)險(xiǎn)管理把尋求信息系統(tǒng)安全風(fēng)險(xiǎn)控制在可接收范圍，組織將實(shí)施安全方案視為投資行為，組織信息系統(tǒng)安全方案是追求優(yōu)化費(fèi)效比管理決策。如何建立反映決策者意圖的信息安全模型是信息安全風(fēng)險(xiǎn)管理需要研究的問(wèn)題。針對(duì)組織業(yè)務(wù)運(yùn)行中的風(fēng)險(xiǎn)進(jìn)行分析才能保障系統(tǒng)安全。組織業(yè)務(wù)活動(dòng)中存在人員與信息系統(tǒng)交互行為，組織網(wǎng)絡(luò)通信系統(tǒng)信息安全風(fēng)險(xiǎn)與業(yè)務(wù)運(yùn)行緊密聯(lián)系，要準(zhǔn)確把握網(wǎng)絡(luò)通信系統(tǒng)安全風(fēng)險(xiǎn)特征，需要將組織背景納入研究范圍。傳統(tǒng)通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法缺乏進(jìn)行同組織背景關(guān)聯(lián)科學(xué)機(jī)制。

四、通信網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)防范技術(shù)措施

21世紀(jì)后，信息網(wǎng)絡(luò)技術(shù)不斷成熟，新技術(shù)發(fā)明安全性得不到保障會(huì)影響推廣應(yīng)用，應(yīng)在發(fā)展技術(shù)同時(shí)關(guān)注網(wǎng)絡(luò)安全防范措施。隨著改革開(kāi)放深入，信息網(wǎng)絡(luò)行業(yè)快速發(fā)展?；ヂ?lián)網(wǎng)用戶數(shù)量不斷增多，社會(huì)居民日常生活工作中對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)依賴(lài)性增強(qiáng)，一些不法分子利用技術(shù)竊取網(wǎng)民個(gè)人信息，網(wǎng)絡(luò)攻擊暴露網(wǎng)絡(luò)安全的脆弱性，風(fēng)險(xiǎn)計(jì)算機(jī)網(wǎng)絡(luò)安全隱患，研究采取有效的風(fēng)險(xiǎn)防范技術(shù)措施具有重要意義[6]。

網(wǎng)絡(luò)安全是計(jì)算機(jī)內(nèi)外網(wǎng)安全，內(nèi)網(wǎng)指某組織內(nèi)部局域網(wǎng)。網(wǎng)絡(luò)安全是軟硬件設(shè)施及數(shù)據(jù)安全，網(wǎng)絡(luò)安全需要保證信息管理系統(tǒng)數(shù)據(jù)完整性，本地網(wǎng)絡(luò)資源不能隨意被外界讀取利用。很多計(jì)算機(jī)黑客大肆攻擊網(wǎng)絡(luò)系統(tǒng)盜取企業(yè)信息，對(duì)企業(yè)造成巨大的損失，需采取有效的風(fēng)險(xiǎn)防范措施應(yīng)對(duì)。當(dāng)前通信網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)包括計(jì)算機(jī)病毒，黑客入侵等。計(jì)算機(jī)病毒伴隨計(jì)算機(jī)發(fā)明出現(xiàn)，隨著計(jì)算機(jī)技術(shù)的發(fā)展，對(duì)計(jì)算機(jī)軟硬件破壞性加大。病毒是技術(shù)人員將破壞性程序代碼植入計(jì)算機(jī)系統(tǒng)，對(duì)計(jì)算機(jī)系統(tǒng)造成破壞。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)病毒在世界感染大量用戶，系統(tǒng)癱瘓帶來(lái)巨大經(jīng)濟(jì)損失。

互聯(lián)網(wǎng)發(fā)展的同時(shí)，用戶隱私防范意識(shí)未同步提高，用戶注冊(cè)各種賬號(hào)時(shí)，網(wǎng)站要求填寫(xiě)個(gè)人信息，網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)中不能保存?zhèn)€人信息，很多用戶為方便記憶設(shè)置簡(jiǎn)單的密碼，加劇了賬號(hào)密碼盜取風(fēng)險(xiǎn)。黑客是具有計(jì)算機(jī)技術(shù)從事違法行為的人員，大多利用系統(tǒng)漏洞登錄對(duì)方網(wǎng)絡(luò)服務(wù)器進(jìn)行系統(tǒng)信息查看操作，黑客侵入方式不斷增多，如通過(guò)局域網(wǎng)端口獲得管理員權(quán)限等。常見(jiàn)攻擊方式是利用木馬病毒將程序植入對(duì)方計(jì)算機(jī)。通信網(wǎng)絡(luò)信息安全防范技術(shù)措施包括物理防范，引入人工檢測(cè)技術(shù)，應(yīng)用網(wǎng)絡(luò)防火墻等。

通信網(wǎng)絡(luò)信息安全物理防范措施是硬件設(shè)備通過(guò)隔離方式實(shí)現(xiàn)，將重要內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)隔離，保障局域網(wǎng)路由器不受外界網(wǎng)絡(luò)人為干擾，避免黑客侵犯內(nèi)部系統(tǒng)。防火墻技術(shù)應(yīng)用為保障網(wǎng)絡(luò)安全措施，利用技術(shù)手段對(duì)系統(tǒng)信息隔離，有效設(shè)置防火墻可以保障信息安全性。某些組織對(duì)系統(tǒng)內(nèi)部安全性要求高，應(yīng)聘請(qǐng)專(zhuān)業(yè)人員對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)管，保證系統(tǒng)網(wǎng)絡(luò)出現(xiàn)異常時(shí)及時(shí)跟蹤報(bào)告。防火墻只能按固有程序進(jìn)行，人工24小時(shí)輪流檢測(cè)可及時(shí)發(fā)現(xiàn)攻擊行為。要求專(zhuān)業(yè)人員定期掃描系統(tǒng)內(nèi)部漏洞，如漏洞被黑客發(fā)現(xiàn)會(huì)被利用攻擊。系統(tǒng)維護(hù)人員要定期進(jìn)行系統(tǒng)掃描，防止利用漏洞遭到網(wǎng)絡(luò)攻擊。