计算机信息安全的风险与对策研究

金路锋 江苏商贸职业学院

随着信息科学技术的迅猛发展，各种应用和信息共享应用越来越广泛。各种信息建设系统已成为国家的基础设施，信息已成为人类社会的重要资源和重要组成部分。然而，信息系统的安全性也日益突出和复杂。因此，需要结合国内外信息安全标准与评价对象的实际情况，建立相应的风险预测系统、防范风险，从而更有效地维护计算机信息系统的安全。

1 计算机安全控制中存在的主要风险

信息安全风险的管理是关于实现和维护信息系统机密性、完整性和可用性的与安全相关的所有方面，理想的安全风险标准应该是一个集成的、一致的、可分析的、切合实际的、成本效益平衡的方法。信息安全风险分类不仅要考虑风险发生的可能性和由此而引起的可能后果，而且要在单一风险基础上，同时考虑各项风险之间的相互关系，对综合安全风险进行分析和评估。

1.1 组织人员风险

由于组织缺乏人员安全管理、明确的职责和意识教育，内部无意或恶意人员的失误或攻击，以及来自外部恶意或好奇人员或组织的攻击，会使组织业务面临大的风险。如果组织在信息安全组织管理方面基础薄弱、职责不清、技术服务能力差等原因，使组织在信息安全管理方面处于失控状态，加大了计算机信息安全的风险。

1.2 系统与机密性风险

信息是组织信息技术系统装载的业务数据，是一种非常重要价值的资产，甚至一些观点认为信息是组织的血液，是“一种在资产负债表之外，经过逐渐积累的，可以被用来提升组织竞争优势的信息”。同实物资产相比，信息非常分散并且易于复制，是组织业务流程的重要输入和输出数据，比如客户资料、产品设计等，如果得不到正确的识别、评估、保存和管理，就面临可能被窃取、损毁、丢失的风险，不但使依赖于这些关键信息的核心业务造成严重损坏，还会对组织的信誉、声望造成巨大损失，甚至会摧毁整个组织。通常所用的计算机操作系统，以及大量应用软件在组织业务交流中的使用，尤其是定制应用产品，来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响，尤其是多个应用系统互联时，影响会涉及整个组织的多个系统。比如有的系统维护困难、结构不完善、缺乏文档、设计漏洞等多种问题，有时会在系统升级和安装补丁时引入较高的风险。

1.3 内容风险

内容攻击是针对攻击目标的信息内容采取的删除、修改、窃取、欺骗、淹没、挖掘等。传统的内容攻击如网络监听、网络报文嗅探等,近年来开始流行一些针对面更广泛的内容攻击,如地址欺骗,它并不更改原有正确对应的内容,而是采取欺骗的方式,通过技术手段诱骗访问请求者得到错误的反馈结果。如恶意流氓软件会窃取用户隐私、收集用户数据、推送非请求性内容等,这会大量耗费用户的系统资源工作时间。通过各种方式收集海量的用户信息碎片,通过数据挖掘技术,从中统计归纳出对攻击者可用的新的情报信息。典型的如搜索引擎、各种网络输入法等隐蔽且难以防范。

2 强化计算机信息安全控制的对策

2.1 完善政府的计算机信息安全风险管理体制

在行政方向，制定全面而综合的管理计划，保护计算机的重要信息和关键基础设施。建立危机管理系统，对关键系统遭到的攻击进行响应。为涉及关键信息系统应急恢复的相关私营部门和其它政府实体提供技术支持；协调政府、洲非政府组织以及公众在保护网络基础设施上的职能和责任，提供有关保护措施和应对措施方面的建议，并为研发活动提供必要的资金支持，以鼓励技术创新，保障安全目标的实现。

立法方向，主要在信息监控、计算机犯罪方面制定了一系列的法律法规。开发、颁布并执行保护信息和信息技术系统的最低强制性管理控制，同时对政府信息安全项目进行监控，要求对机密和非机密系统进行安全评估和风险评估及安全控制， 从立法上规范了政府信息安全管理行为，使政府有关信息安全管理的行政行为有法可依。

2.2 完善组织的计算机信息安全风险管理制度

完善的管理制度是做好一切工作的保障,也是管理工作制度化、规范化的必要前提。各组织应确立信息安全风险首位和风险控制先行的意识，把它作为组织信息安全工作的核心工作。加强对组织员工的法律、道德教育和信息安全制度和操作规程的普及。把信息安全风险管理制度的建设、风险的控制作为衡量组织领导工作业绩的重要考核指标，促进各组织对信息安全风险管理工作的重视和落实。