论文部分内容阅读
【摘要】 计算机网络共享、开放的特点,促进了信息的传输和利用,但网络在为人们生产、生活提供巨大便利的同时也存在各种安全漏洞,可以说信息安全威胁从网络诞生起就一直存在,为此必须加强网络信息安全的管控。本文分析了计算机网络信息的各种安全威胁,探讨了加强网络信息安全的管控措施。
【关键词】 计算机网络 信息安全威胁 管控措施
随着社会经济的快速发展,计算机网络获得高度普及。据中国互联网络信息中心(CNNIC)发布的《第46次中国互联网络发展状况统计报告》披露,截至2020年6月,我国网民规模达9.40亿,手机网民规模达9.32亿,互联网普及率达67.0%,手机上网比例达99.2%。网络普及为人们的生产、生活带来巨大便利,但也使信息安全受到严重威胁[1]。这是因为网络具有共享、开放特点,有利于信息的传输和服务,但网络安全漏洞使信息存在泄露、丢失的风险,由此给个人、企业和社会带来严重损失。网络安全分为信息安全和管理安全,信息的完整性、可用性、可靠性等代表着信息安全[2],为了不使信息安全受到威胁,本文对计算机网络信息安全威胁与管控措施进行了探讨。
一、计算机网络信息安全威胁分析
1.1关于信息安全威胁
信息存在外泄、不受控制、被篡改及非法复制、占用、扩散等现象,使信息拥有者蒙受损失,我们称之为信息安全威胁,这种威胁主要来自计算机病毒、计算机操作人员安全意识薄弱、计算机核心软件存在漏洞、计算机互联网黑客攻击等方面[3]。根据国家计算机网络应急技术处理协调中心(CNCERT)发布的《2019年中国互联网网络安全报告》披露,DDOS攻击、APT攻击、数据安全防护意识薄弱、安全漏洞、计算机及移动互联网恶意程序、计算机病毒等仍是当前我国计算机网络信息安全面对的主要威胁。
1.2常见信息安全威胁
计算机网络信息安全威胁主要有以下几种:
第一,DDOS攻击,即分布式拒绝攻击(Distributed Denial of Service),攻击者利用DDOS攻击器控制大量计算机网络设备,向攻击目标发送大量数据,使被攻击目标因资源耗竭而瘫痪。
第二,APT攻击,即高级持续性攻击(Advanced Persistent Threat),攻击者针对特定目标(个人、组织或公司)进行长时间持续(可长至数月之久)的攻击,以窃取数据和进行间谍活动,常利用投递诱惑性钓鱼邮件实现其攻击,如含恶意代码的Office文档等。
第三,信息安全防护意识薄弱。目前,在我国针对数据库的密码暴力破解攻击平均每天超过百亿次,大量信息外泄,导致信息安全面临严重挑战,其中一个重要原因是信息安全防护意识的薄弱。信息系统的设计、管理和使用人员中普遍存在轻视、被动应付信息安全威胁的局面,往往在发生问题、产生损失后才采取措施。
第四,计算机系统存在漏洞。所谓计算机漏洞是指计算机软硬件系统中存在某些缺陷,这些缺陷能被攻击者利用,如用来非授权访问、控制乃至破坏。计算机漏洞类型很多,图1为计算机网络信息安全常见漏洞威胁类型。根据CNCERT发布的《2019年中国互联网网络安全报告》披露,2019年一年收录的软硬件漏洞数量就达16193个,比2018年增长14%,事件型漏洞、高危零日漏洞数量有较快增长。
第五,计算机及移动互联网恶意程序,即运行在计算机网络及移动互联网上带有攻击意图的程序,攻击者发布恶意程序的目的是窃取用户数据、恶意扣费、远程攻击、消耗流量、恶意传播等,进而影响计算机及移动终端设备运行,损害用户利益,危害互联网安全。
第六,计算机病毒。所谓计算机病毒其实是由人编写的一类具有攻击性和破坏性的计算机程序,例如近年来发展迅速的勒索病毒就是通过计算机漏洞和钓鱼软件等手段攻击有价值的目标服务器,引爆互联网地下黑灰产业。
二、计算机网络信息安全管控措施
2.1构建信息安全管控体系
为应对计算机网络信息安全威胁,必须加强顶层设计,构建完善的信息安全管控体系。由于网络信息系统面对的安全威胁是多方面的,构建管控体系应遵循以下原则:第一,补齐短板的木桶原则。木桶装水的容量是由最短的木板决定的,所以防范信息安全威胁也要着眼于整个计算机网络信息系统中的“安全最低点”,为此应加强信息系统安全的全面评估和测试,以找出短板。第二,整体均衡原则。信息安全管控体系应当是组织严密的网络,由不同安全技术连接成完整的链条,系统受到攻击后能迅速“愈合”和平衡,这就体现了整体性和均衡性原则。第三,技术与管理相统一原则。解决信息安全威胁问题离不开安全技术的应用,但同时高水平管理也是不可或缺的,没有健全的管理制度和完善的责任体系,光有技术在面对安全威胁时也会千疮百孔而不堪一击,所以信息安全管控体系必定是技术与管理相统一的。第四,标准动态原则。构建信息安全管控体系是一个复杂的系统工程,要遵循现行标准来保持内部各个子系统的一致性。同时网络信息安全形勢是动态变化的,信息安全管控体系必须适应这种变化,通过不断调整来适应安全形势的变化。按照上述原则构建的信息安全管控体系如图2所示。
2.2 实施合理的信息安全策略
信息安全策略一般由物理安全策略、技术安全策略和管理安全策略组成。
物理安全策略是针对网络信息设备层面制定的安全策略,通过身份认证、权限设置控制用户正确使用设备;通过运用先进技术和优化系统平台保障信息传输过程的安全性。
技术安全策略就是采用合理的安全防护技术,制定有效的安全防御体系,保护信息安全,如身份认证、加密处理、入侵监测、病毒扫描、信息备份、日志审计、防火墙技术运用等。图3是网络信息安全漏洞的防范策略。 管理安全策略主要加强用户管理,设置访问权限及属性,实施安全操作管理,对用户访问、操作进行记录等。用户登录密码切忌简单化,如简单几位数字较容易破解,应增加密码长度,混合字母、符号,这样可增加破解难度,其次用户登录密码应定期更换,以减少密码大量重复使用带来的风险。
2.3 加强信息安全风险评估
信息安全风险来自环境、人为、设备等多个方面,威胁和系统脆弱性增加,安全措施减少,系统安全风险就会增加,反之亦然。由于风险是动态变化的,所以风险评估也需要常态化。要准确、合理地评估各种风险,应遵循一定的流程。做好评估前期准备,再分别评估各种风险因素,确定风险之后,要对风险进行评级和制定风险控制措施,其流程[4]如图4所示。
2.4 提高网络信息安全意识
除了从技术上和安全策略上防范网络信息安全威胁以外,还应提高相关人员的信息安全意识,通过规范安全行为来降低安全风险。提高安全意识的措施如下:第一,建立全员培训机制,所有与信息安全相关的人员都应参加培训。第二,加强信息安全知识的宣传,营造浓厚的信息安全氛围。第三,健全信息安全管理规章制度,明确细则和人员职责。第四,建立信息安全责任体系和考核机制。将信息安全与人员绩效考核挂钩,减少人的不安全因素对信息安全的影响。
三、结语
计算机网络信息安全威胁主要来自计算机病毒、信息安全防护意识薄弱、计算机系统存在漏洞和黑客攻击等方面,针对这些威胁应构建完善的信息安全管控体系,实施合理的信息安全策略,加强信息安全风险评估,提高网络信息安全意识,只有以系统工程理论为指导多管齐下,才能降低网络信息安全风险,以合理的投入达到较高的安全水平,使人们更安全、有效地利用网络,维护健康有序的社会环境。
参 考 文 献
[1]周莹莹,杨徳义.计算机网络信息安全及防护策略探讨[J].电脑知识与技术,2019,15(5):65-66.
[2]王皓.B公司网络信息系统的安全分析及优化[D].西安:西安电子大学,2019:1,7-11.
[3]陳锐.计算机网络信息的安全防范策略分析[J].无线互联科技,2019(21):15-16.
[4]王刚.SoS体系多维度分析在信息安全风险评估中的应用[J].微型电脑应用,2019,36(9):56-59.
【关键词】 计算机网络 信息安全威胁 管控措施
随着社会经济的快速发展,计算机网络获得高度普及。据中国互联网络信息中心(CNNIC)发布的《第46次中国互联网络发展状况统计报告》披露,截至2020年6月,我国网民规模达9.40亿,手机网民规模达9.32亿,互联网普及率达67.0%,手机上网比例达99.2%。网络普及为人们的生产、生活带来巨大便利,但也使信息安全受到严重威胁[1]。这是因为网络具有共享、开放特点,有利于信息的传输和服务,但网络安全漏洞使信息存在泄露、丢失的风险,由此给个人、企业和社会带来严重损失。网络安全分为信息安全和管理安全,信息的完整性、可用性、可靠性等代表着信息安全[2],为了不使信息安全受到威胁,本文对计算机网络信息安全威胁与管控措施进行了探讨。
一、计算机网络信息安全威胁分析
1.1关于信息安全威胁
信息存在外泄、不受控制、被篡改及非法复制、占用、扩散等现象,使信息拥有者蒙受损失,我们称之为信息安全威胁,这种威胁主要来自计算机病毒、计算机操作人员安全意识薄弱、计算机核心软件存在漏洞、计算机互联网黑客攻击等方面[3]。根据国家计算机网络应急技术处理协调中心(CNCERT)发布的《2019年中国互联网网络安全报告》披露,DDOS攻击、APT攻击、数据安全防护意识薄弱、安全漏洞、计算机及移动互联网恶意程序、计算机病毒等仍是当前我国计算机网络信息安全面对的主要威胁。
1.2常见信息安全威胁
计算机网络信息安全威胁主要有以下几种:
第一,DDOS攻击,即分布式拒绝攻击(Distributed Denial of Service),攻击者利用DDOS攻击器控制大量计算机网络设备,向攻击目标发送大量数据,使被攻击目标因资源耗竭而瘫痪。
第二,APT攻击,即高级持续性攻击(Advanced Persistent Threat),攻击者针对特定目标(个人、组织或公司)进行长时间持续(可长至数月之久)的攻击,以窃取数据和进行间谍活动,常利用投递诱惑性钓鱼邮件实现其攻击,如含恶意代码的Office文档等。
第三,信息安全防护意识薄弱。目前,在我国针对数据库的密码暴力破解攻击平均每天超过百亿次,大量信息外泄,导致信息安全面临严重挑战,其中一个重要原因是信息安全防护意识的薄弱。信息系统的设计、管理和使用人员中普遍存在轻视、被动应付信息安全威胁的局面,往往在发生问题、产生损失后才采取措施。
第四,计算机系统存在漏洞。所谓计算机漏洞是指计算机软硬件系统中存在某些缺陷,这些缺陷能被攻击者利用,如用来非授权访问、控制乃至破坏。计算机漏洞类型很多,图1为计算机网络信息安全常见漏洞威胁类型。根据CNCERT发布的《2019年中国互联网网络安全报告》披露,2019年一年收录的软硬件漏洞数量就达16193个,比2018年增长14%,事件型漏洞、高危零日漏洞数量有较快增长。
第五,计算机及移动互联网恶意程序,即运行在计算机网络及移动互联网上带有攻击意图的程序,攻击者发布恶意程序的目的是窃取用户数据、恶意扣费、远程攻击、消耗流量、恶意传播等,进而影响计算机及移动终端设备运行,损害用户利益,危害互联网安全。
第六,计算机病毒。所谓计算机病毒其实是由人编写的一类具有攻击性和破坏性的计算机程序,例如近年来发展迅速的勒索病毒就是通过计算机漏洞和钓鱼软件等手段攻击有价值的目标服务器,引爆互联网地下黑灰产业。
二、计算机网络信息安全管控措施
2.1构建信息安全管控体系
为应对计算机网络信息安全威胁,必须加强顶层设计,构建完善的信息安全管控体系。由于网络信息系统面对的安全威胁是多方面的,构建管控体系应遵循以下原则:第一,补齐短板的木桶原则。木桶装水的容量是由最短的木板决定的,所以防范信息安全威胁也要着眼于整个计算机网络信息系统中的“安全最低点”,为此应加强信息系统安全的全面评估和测试,以找出短板。第二,整体均衡原则。信息安全管控体系应当是组织严密的网络,由不同安全技术连接成完整的链条,系统受到攻击后能迅速“愈合”和平衡,这就体现了整体性和均衡性原则。第三,技术与管理相统一原则。解决信息安全威胁问题离不开安全技术的应用,但同时高水平管理也是不可或缺的,没有健全的管理制度和完善的责任体系,光有技术在面对安全威胁时也会千疮百孔而不堪一击,所以信息安全管控体系必定是技术与管理相统一的。第四,标准动态原则。构建信息安全管控体系是一个复杂的系统工程,要遵循现行标准来保持内部各个子系统的一致性。同时网络信息安全形勢是动态变化的,信息安全管控体系必须适应这种变化,通过不断调整来适应安全形势的变化。按照上述原则构建的信息安全管控体系如图2所示。
2.2 实施合理的信息安全策略
信息安全策略一般由物理安全策略、技术安全策略和管理安全策略组成。
物理安全策略是针对网络信息设备层面制定的安全策略,通过身份认证、权限设置控制用户正确使用设备;通过运用先进技术和优化系统平台保障信息传输过程的安全性。
技术安全策略就是采用合理的安全防护技术,制定有效的安全防御体系,保护信息安全,如身份认证、加密处理、入侵监测、病毒扫描、信息备份、日志审计、防火墙技术运用等。图3是网络信息安全漏洞的防范策略。 管理安全策略主要加强用户管理,设置访问权限及属性,实施安全操作管理,对用户访问、操作进行记录等。用户登录密码切忌简单化,如简单几位数字较容易破解,应增加密码长度,混合字母、符号,这样可增加破解难度,其次用户登录密码应定期更换,以减少密码大量重复使用带来的风险。
2.3 加强信息安全风险评估
信息安全风险来自环境、人为、设备等多个方面,威胁和系统脆弱性增加,安全措施减少,系统安全风险就会增加,反之亦然。由于风险是动态变化的,所以风险评估也需要常态化。要准确、合理地评估各种风险,应遵循一定的流程。做好评估前期准备,再分别评估各种风险因素,确定风险之后,要对风险进行评级和制定风险控制措施,其流程[4]如图4所示。
2.4 提高网络信息安全意识
除了从技术上和安全策略上防范网络信息安全威胁以外,还应提高相关人员的信息安全意识,通过规范安全行为来降低安全风险。提高安全意识的措施如下:第一,建立全员培训机制,所有与信息安全相关的人员都应参加培训。第二,加强信息安全知识的宣传,营造浓厚的信息安全氛围。第三,健全信息安全管理规章制度,明确细则和人员职责。第四,建立信息安全责任体系和考核机制。将信息安全与人员绩效考核挂钩,减少人的不安全因素对信息安全的影响。
三、结语
计算机网络信息安全威胁主要来自计算机病毒、信息安全防护意识薄弱、计算机系统存在漏洞和黑客攻击等方面,针对这些威胁应构建完善的信息安全管控体系,实施合理的信息安全策略,加强信息安全风险评估,提高网络信息安全意识,只有以系统工程理论为指导多管齐下,才能降低网络信息安全风险,以合理的投入达到较高的安全水平,使人们更安全、有效地利用网络,维护健康有序的社会环境。
参 考 文 献
[1]周莹莹,杨徳义.计算机网络信息安全及防护策略探讨[J].电脑知识与技术,2019,15(5):65-66.
[2]王皓.B公司网络信息系统的安全分析及优化[D].西安:西安电子大学,2019:1,7-11.
[3]陳锐.计算机网络信息的安全防范策略分析[J].无线互联科技,2019(21):15-16.
[4]王刚.SoS体系多维度分析在信息安全风险评估中的应用[J].微型电脑应用,2019,36(9):56-59.