基于网络信息安全的风险分析

◆季 君 杜 钧 师 宁

(北京电子科技职业学院 北京 100176)

基于网络信息安全的风险分析

◆季 君 杜 钧 师 宁

(北京电子科技职业学院 北京 100176)

针对网络信息系统的安全需求，本文从技术的脆弱性和管理的脆弱性方面，阐述了物理环境、应用系统的安全问题；技术管理和组织管理安全问题。

信息系统；网络安全；风险分析

0 前言

随着全球信息化进程的不断推进，我国政府及各行各业也在进行大量的信息系统的建设，这些信息系统已经成为国家重要的基础设施，因此，信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度，已引起党和国家领导以及社会各界的关注。并且，伴随着政府上网、电子政务、电子军事等信息化建设和发展，作为现代信息社会重要基础设施的信息系统，其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。能否有效的保护信息资源，保护信息化进程健康、有序、可持续发展，直接关乎国家安危，关乎民族兴亡，是国家民族的头等大事。没有信息安全，就没有真正意义上的政治安全，就没有稳固的经济安全和军事安全，没有完整意义上的国家安全。

信息安全问题源于信息系统的脆弱性，由于系统的脆弱性而引发对信息系统的威胁是客观存在的。例如，自然的不可抗力使计算机设备遭到破坏、人为的盗取机密信息；内部人员的无意误操作、外部人员恶意的攻击；在控制能力之内的预知的威胁、超出控制能力之外潜在危险等种种安全隐患时刻威胁着信息系统本身以及其所有者，导致直接或间接的经济损失、带来不同程度的负面影响。从总体上考虑，信息安全主要包括：运行安全（主要是由网络和计算机构成的平台）、交易安全（传输过程中的数据安全）、内容安全、个人或单位隐私保护。近几年，人们的生活已经与网络形成了非常紧密的联系，安全问题越来越引起政府和企业的关注，各种安全技术和产品也不断涌现出来，如防火墙、防病毒、IDS等。但值得思考的是，为什么在强大的防御技术的保护下，信息的安全问题反而越来越多，入侵与反入侵技术总是在上演“道高一尺，魔高一丈”的闹剧。经分析发现，信息系统的安全威胁可归纳为两方面：技术的脆弱性和管理的脆弱性。

1 技术脆弱性

技术脆弱性：如物理环境、应用系统的安全问题。

参考国际标准化组织ISO开放系统互联（OSI）模型，将网络系统划分成五个层次，主要从物理层，网络层，系统层，应用层及管理层这五个方面进行考虑。

（1）物理层安全风险

物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断，进而造成网络系统的阻断，它是整个网络系统安全的前提，包括以下内容：设备被盗，被毁坏；链路老化或被有意或者无意的破坏；因电磁辐射造成信息泄露；地震、火灾、水灾等自然灾害。

（2）网络层安全风险

计算机信息系统及网络建设要适应高速宽带 IP网上传输数据、语音、视频于一体的多媒体综合业务，网络系统的网络层中会存在一定的安全风险，如数据传输、网络边界、网络设备等所引发的安全风险。

（3）数据传输风险分析

这里提到的数据传输，包括三部分：数据在局域网内之间传输、数据在几个局域网之间传输、数据在局域网与互联网之间传输。

无论以上哪种情况，数据在传输过程中，如果不采取保护措施，就有可能被窃听、篡改和破坏。这样，保障通过 Internet传递的数据的机密性，完整性就无从谈起。目前的信息安全类产品主要通过对通信双方的身份认证、传输信息的加密以及信息完整性的检验，来实现信息从服务器到客户端的安全的、加密的网络连接，从而保证传输数据的安全性和用户的合法性。

（4）网络边界风险分析

把不同安全级别的网络相连接，就产生了网络边界。在实际情况中，如果在网络边界上没有强有力的控制，则其外部黑客就可以随意出入企业总部及各个分支机构的网络系统，内部各种数据和信息就可以随意流出，那么，泄露问题就无法避免。一般来说网络边界上的安全问题主要有下面几个方面：信息泄密、入侵者攻击、网络病毒、木马入侵。来自网络外部的安全问题，重点是防护与监控。

（5）计算机设备风险分析 。

（6）系统层安全风险

系统层的安全风险分析主要针对局域网内使用的操作系统、数据库系统以及相关商用产品的安全漏洞和病毒威胁进行分析。同时病毒也是系统安全的主要威胁，现在的病毒，大多利用了操作系统本身的漏洞，并通过网络迅速传播。所有这些都造成了整个网络系统安全的脆弱性。

在信息系统安全涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心，没有系统的安全就没有信息的安全。作为系统软件中最基础部分的操作系统，其安全问题的解决又是关键中之关键。若没有安全操作系统的支持，数据库就不可能具有存取控制的安全可信性，就不可能有网络系统的安全性，也不可能有应用软件信息处理的安全性。因此，安全操作系统是整个信息系统安全的基础。

（7）应用层安全风险

在整个网络系统环境中存在着大量的应用服务，如 Web服务、邮件服务、OA服务、数据库服务等。对于这些服务，不可避免地存在安全漏洞。这些漏洞可能是服务系统自身所有的．也可以是配置管理不当造成的。如何发现终端设备的系统漏洞并自动分发补丁？通过补丁分发系统可以及时从补丁厂商网站获取最新补丁，经过安全测试后通过管理中心服务器对网络用户进行分发、安装。

（8）管理层安全风险

责权不明，管理混乱，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其他一些安全威胁时 (如内部人员的违规操作等)，要进行实时的检测、监控、报告与预警。同时，当事故发生后，能够提供黑客攻击行为的追踪线索及破案依据。要将管理制度和管理解决方案相结合，并辅之以相应的安全管理工具。

2 管理脆弱性

管理脆弱性：包括技术管理和组织管理两个方面。

（1）技术管理

技术管理主要是指各种网络设备、网络安全设备的安全策略管理。如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。同时也包括密码管理，要杜绝默认密码，出厂密码，无密码，不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。对于数据管理，数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

（2）组织管理

组织管理主要是指对人员的管理。要加强信息人员的安全教育，保持信息人员特别是网络管理人员和安全管理人员的相对稳定，防止机密泄露，特别是注意人员调离时的机密的泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度，杜绝误修改和非法修改事件的发生。

[1]王群．计算机网络安全技术．清华大学出版社，2008．

[2]姜文红．网络安全与管理．清华大学出版社，2007．