計算機網(wǎng)絡(luò)信息安全威脅與管控措施

王和寧 馬艷娟

【摘要】? ? 計算機網(wǎng)絡(luò)共享、開放的特點，促進了信息的傳輸和利用，但網(wǎng)絡(luò)在為人們生產(chǎn)、生活提供巨大便利的同時也存在各種安全漏洞，可以說信息安全威脅從網(wǎng)絡(luò)誕生起就一直存在，為此必須加強網(wǎng)絡(luò)信息安全的管控。本文分析了計算機網(wǎng)絡(luò)信息的各種安全威脅，探討了加強網(wǎng)絡(luò)信息安全的管控措施。

【關(guān)鍵詞】? ? 計算機網(wǎng)絡(luò)? ? 信息安全威脅? ? 管控措施

隨著社會經(jīng)濟的快速發(fā)展，計算機網(wǎng)絡(luò)獲得高度普及。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的《第46次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》披露，截至2020年6月，我國網(wǎng)民規(guī)模達9.40億，手機網(wǎng)民規(guī)模達9.32億，互聯(lián)網(wǎng)普及率達67.0%，手機上網(wǎng)比例達99.2%。網(wǎng)絡(luò)普及為人們的生產(chǎn)、生活帶來巨大便利，但也使信息安全受到嚴重威脅[1]。這是因為網(wǎng)絡(luò)具有共享、開放特點，有利于信息的傳輸和服務(wù)，但網(wǎng)絡(luò)安全漏洞使信息存在泄露、丟失的風(fēng)險，由此給個人、企業(yè)和社會帶來嚴重損失。網(wǎng)絡(luò)安全分為信息安全和管理安全，信息的完整性、可用性、可靠性等代表著信息安全[2]，為了不使信息安全受到威脅，本文對計算機網(wǎng)絡(luò)信息安全威脅與管控措施進行了探討。

一、計算機網(wǎng)絡(luò)信息安全威脅分析

1.1關(guān)于信息安全威脅

信息存在外泄、不受控制、被篡改及非法復(fù)制、占用、擴散等現(xiàn)象，使信息擁有者蒙受損失，我們稱之為信息安全威脅，這種威脅主要來自計算機病毒、計算機操作人員安全意識薄弱、計算機核心軟件存在漏洞、計算機互聯(lián)網(wǎng)黑客攻擊等方面[3]。根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）發(fā)布的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》披露，DDOS攻擊、APT攻擊、數(shù)據(jù)安全防護意識薄弱、安全漏洞、計算機及移動互聯(lián)網(wǎng)惡意程序、計算機病毒等仍是當(dāng)前我國計算機網(wǎng)絡(luò)信息安全面對的主要威脅。

1.2常見信息安全威脅

計算機網(wǎng)絡(luò)信息安全威脅主要有以下幾種：

第一，DDOS攻擊，即分布式拒絕攻擊（Distributed Denial of Service），攻擊者利用DDOS攻擊器控制大量計算機網(wǎng)絡(luò)設(shè)備，向攻擊目標發(fā)送大量數(shù)據(jù)，使被攻擊目標因資源耗竭而癱瘓。

第二，APT攻擊，即高級持續(xù)性攻擊（Advanced Persistent Threat），攻擊者針對特定目標（個人、組織或公司）進行長時間持續(xù)（可長至數(shù)月之久）的攻擊，以竊取數(shù)據(jù)和進行間諜活動，常利用投遞誘惑性釣魚郵件實現(xiàn)其攻擊，如含惡意代碼的Office文檔等。

第三，信息安全防護意識薄弱。目前，在我國針對數(shù)據(jù)庫的密碼暴力破解攻擊平均每天超過百億次，大量信息外泄，導(dǎo)致信息安全面臨嚴重挑戰(zhàn)，其中一個重要原因是信息安全防護意識的薄弱。信息系統(tǒng)的設(shè)計、管理和使用人員中普遍存在輕視、被動應(yīng)付信息安全威脅的局面，往往在發(fā)生問題、產(chǎn)生損失后才采取措施。

第四，計算機系統(tǒng)存在漏洞。所謂計算機漏洞是指計算機軟硬件系統(tǒng)中存在某些缺陷，這些缺陷能被攻擊者利用，如用來非授權(quán)訪問、控制乃至破壞。計算機漏洞類型很多，圖1為計算機網(wǎng)絡(luò)信息安全常見漏洞威脅類型。根據(jù)CNCERT發(fā)布的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》披露，2019年一年收錄的軟硬件漏洞數(shù)量就達16193個，比2018年增長14%，事件型漏洞、高危零日漏洞數(shù)量有較快增長。

第五，計算機及移動互聯(lián)網(wǎng)惡意程序，即運行在計算機網(wǎng)絡(luò)及移動互聯(lián)網(wǎng)上帶有攻擊意圖的程序，攻擊者發(fā)布惡意程序的目的是竊取用戶數(shù)據(jù)、惡意扣費、遠程攻擊、消耗流量、惡意傳播等，進而影響計算機及移動終端設(shè)備運行，損害用戶利益，危害互聯(lián)網(wǎng)安全。

第六，計算機病毒。所謂計算機病毒其實是由人編寫的一類具有攻擊性和破壞性的計算機程序，例如近年來發(fā)展迅速的勒索病毒就是通過計算機漏洞和釣魚軟件等手段攻擊有價值的目標服務(wù)器，引爆互聯(lián)網(wǎng)地下黑灰產(chǎn)業(yè)。

二、計算機網(wǎng)絡(luò)信息安全管控措施

2.1構(gòu)建信息安全管控體系

為應(yīng)對計算機網(wǎng)絡(luò)信息安全威脅，必須加強頂層設(shè)計，構(gòu)建完善的信息安全管控體系。由于網(wǎng)絡(luò)信息系統(tǒng)面對的安全威脅是多方面的，構(gòu)建管控體系應(yīng)遵循以下原則：第一，補齊短板的木桶原則。木桶裝水的容量是由最短的木板決定的，所以防范信息安全威脅也要著眼于整個計算機網(wǎng)絡(luò)信息系統(tǒng)中的“安全最低點”，為此應(yīng)加強信息系統(tǒng)安全的全面評估和測試，以找出短板。第二，整體均衡原則。信息安全管控體系應(yīng)當(dāng)是組織嚴密的網(wǎng)絡(luò)，由不同安全技術(shù)連接成完整的鏈條，系統(tǒng)受到攻擊后能迅速“愈合”和平衡，這就體現(xiàn)了整體性和均衡性原則。第三，技術(shù)與管理相統(tǒng)一原則。解決信息安全威脅問題離不開安全技術(shù)的應(yīng)用，但同時高水平管理也是不可或缺的，沒有健全的管理制度和完善的責(zé)任體系，光有技術(shù)在面對安全威脅時也會千瘡百孔而不堪一擊，所以信息安全管控體系必定是技術(shù)與管理相統(tǒng)一的。第四，標準動態(tài)原則。構(gòu)建信息安全管控體系是一個復(fù)雜的系統(tǒng)工程，要遵循現(xiàn)行標準來保持內(nèi)部各個子系統(tǒng)的一致性。同時網(wǎng)絡(luò)信息安全形勢是動態(tài)變化的，信息安全管控體系必須適應(yīng)這種變化，通過不斷調(diào)整來適應(yīng)安全形勢的變化。按照上述原則構(gòu)建的信息安全管控體系如圖2所示。

2.2 實施合理的信息安全策略

信息安全策略一般由物理安全策略、技術(shù)安全策略和管理安全策略組成。

物理安全策略是針對網(wǎng)絡(luò)信息設(shè)備層面制定的安全策略，通過身份認證、權(quán)限設(shè)置控制用戶正確使用設(shè)備;通過運用先進技術(shù)和優(yōu)化系統(tǒng)平臺保障信息傳輸過程的安全性。

技術(shù)安全策略就是采用合理的安全防護技術(shù)，制定有效的安全防御體系，保護信息安全，如身份認證、加密處理、入侵監(jiān)測、病毒掃描、信息備份、日志審計、防火墻技術(shù)運用等。圖3是網(wǎng)絡(luò)信息安全漏洞的防范策略。

管理安全策略主要加強用戶管理，設(shè)置訪問權(quán)限及屬性，實施安全操作管理，對用戶訪問、操作進行記錄等。用戶登錄密碼切忌簡單化，如簡單幾位數(shù)字較容易破解，應(yīng)增加密碼長度，混合字母、符號，這樣可增加破解難度，其次用戶登錄密碼應(yīng)定期更換，以減少密碼大量重復(fù)使用帶來的風(fēng)險。

2.3 加強信息安全風(fēng)險評估

信息安全風(fēng)險來自環(huán)境、人為、設(shè)備等多個方面，威脅和系統(tǒng)脆弱性增加，安全措施減少，系統(tǒng)安全風(fēng)險就會增加，反之亦然。由于風(fēng)險是動態(tài)變化的，所以風(fēng)險評估也需要常態(tài)化。要準確、合理地評估各種風(fēng)險，應(yīng)遵循一定的流程。做好評估前期準備，再分別評估各種風(fēng)險因素，確定風(fēng)險之后，要對風(fēng)險進行評級和制定風(fēng)險控制措施，其流程[4]如圖4所示。

2.4 提高網(wǎng)絡(luò)信息安全意識

除了從技術(shù)上和安全策略上防范網(wǎng)絡(luò)信息安全威脅以外，還應(yīng)提高相關(guān)人員的信息安全意識，通過規(guī)范安全行為來降低安全風(fēng)險。提高安全意識的措施如下：第一，建立全員培訓(xùn)機制，所有與信息安全相關(guān)的人員都應(yīng)參加培訓(xùn)。第二，加強信息安全知識的宣傳，營造濃厚的信息安全氛圍。第三，健全信息安全管理規(guī)章制度，明確細則和人員職責(zé)。第四，建立信息安全責(zé)任體系和考核機制。將信息安全與人員績效考核掛鉤，減少人的不安全因素對信息安全的影響。

三、結(jié)語

計算機網(wǎng)絡(luò)信息安全威脅主要來自計算機病毒、信息安全防護意識薄弱、計算機系統(tǒng)存在漏洞和黑客攻擊等方面，針對這些威脅應(yīng)構(gòu)建完善的信息安全管控體系，實施合理的信息安全策略，加強信息安全風(fēng)險評估，提高網(wǎng)絡(luò)信息安全意識，只有以系統(tǒng)工程理論為指導(dǎo)多管齊下，才能降低網(wǎng)絡(luò)信息安全風(fēng)險，以合理的投入達到較高的安全水平，使人們更安全、有效地利用網(wǎng)絡(luò)，維護健康有序的社會環(huán)境。

參? 考? 文? 獻

[1]周瑩瑩，楊徳義.計算機網(wǎng)絡(luò)信息安全及防護策略探討[J].電腦知識與技術(shù)，2019，15（5）：65-66.

[2]王皓.B公司網(wǎng)絡(luò)信息系統(tǒng)的安全分析及優(yōu)化[D].西安：西安電子大學(xué)，2019：1，7-11.

[3]陳銳.計算機網(wǎng)絡(luò)信息的安全防范策略分析[J].無線互聯(lián)科技，2019（21）：15-16.

[4]王剛.SoS體系多維度分析在信息安全風(fēng)險評估中的應(yīng)用[J].微型電腦應(yīng)用，2019，36（9）：56-59.