摘 要:我国信息安全发展的大环境目前已日臻完善,我国信息安全政策法规、标准制定也已经走入规范化进程。笔者通过对目前信息安全体系安全现状进行分析并初探解决对策,希望能对信息安全体系的发展有所作用
关键词:信息安全;计算机;安全
我国信息安全发展的大环境目前已日臻完善,成立了全国信息技术标准化技术委员会、国家计算机病毒应急处理协调中心等机构。另外,我国信息安全政策法规、标准制定也已经走入规范化进程。但信息安全是一个征途而不是一个目的地。新的技术,新的业务需求和新的安全威胁不断地改变环境。
由于计算机和国际互联网的飞速普及,中国目前已经成为炙手可热的黑客攻击目标。全球每天约有200万台PC机处于随时可能被攻击的失控状态,而其中有20%的PC机来自中国。据公安部对全国信息网络安全状况和计算机病毒疫情调查显示,我国信息网络安全事件发生比例为62.7%,计算机病毒感染率为85.5%,多次发生网络安全事件的比例为50%,多次感染病毒的比例为66.8%,可见,我国信息安全体系安全性何等脆弱。笔者通过对目前信息安全体系安全现状进行分析并初探解决对策,希望能对信息安全体系的发展有所作用。
一、信息安全存在的几大安全现状和威胁
第一,前期,微软对中国Winxp、office用户反盗版黑屏事件已炒得沸沸扬扬,但反思后可得知:计算机网络系统使用的软、硬件很大一部分是国外产品,我国电脑制造业对许多硬件核心部件的研发、生产能力很弱,关键部件完全处于受制于人的地位。并且对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。一旦发生重大情况,那些隐藏在电脑芯片和操作软件中的后门就有可能在某种秘密指令下激活,造成国内电脑网络、电信系统瘫痪。
第二,全社会的信息安全意识虽然有所提高,但将其提到实际日程中来的依然很少。国家计算机病毒应急处理协调中心进行的多次安全普查和评估中发现许多公司和企业,甚至敏感单位的计算机网络系统基本处于不设防状态。有的即使其网络系统已由专业的安全服务商为其制定了安全策略,但在一定时间后,由于在网络的使用中发现没有以前的方便,便私自更改安全策略,等一旦遭到攻击已是悔之晚矣。
第三,目前关于网络犯罪的法律还不健全。比如盗窃、删改他人系统信息属于犯罪行为,但仅仅是观看,既不进行破坏,也不谋取私利算不算犯罪?还比如网上有很多BBS,黑客在上边讨论软件漏洞、攻击手段等,这既可以说是技术研究,也可以说是提供攻击工具,这又算不算犯罪呢?国内很多网站在遭到攻击后损失惨重,为保证客户对其的信任,为名誉起见往往并不积极追究黑客的法律责任,这种“姑息养奸”的做法就进一步助长了黑客的嚣张气焰。
第四,信息安全人才培养体系虽已初步形成,但随着信息化进程加快和计算机的广泛应用,电子商务、电子政务和电子金融的发展,对信息安全专门人才的培养提出了更高要求,目前我国信息安全人才培养还远远不能满足需要。
第五,我国信息安全产业水平有待提高。一是安全应用需求不明,产业技术推动性、应用针对性不够,国内安全需求得不到很好满足;二是产品过度集中,低水平重复严重。三是核心技术仍然受到制约,产业化水平较低,产品安全质量令人担忧。
二、解决方案初探:
象火灾防范工作的防消结合一样,合理的信息安全系统需要满足两方面的要求,首先是要把计算机网络安全事件的发生率和损失可能性控制在可以接受的较低范围内,其次是要使信息安全事故可以得到及时处理。
1、信息安全基础设施的必要性
尽管安全产品不是万能的,配置各种安全产品并不能解决安全问题,但计算机网络系统需要一些基础的保护设施。任何安全措施都建立在一定软硬件环境基础下,有很多安全机制是操作系统和网络软件产品本身已经具备的,而也有很多安全功能是需要专门安全产品才能实现的。因此需要根据用户的实际网络环境和应用情况,决定配置那些安全产品。
2、信息安全专业服务的必要性
任何一种安全产品所能提供的服务都是有限的,也是不全面的,要有效发挥操作系统、应用软件和安全产品的安全功能,必须进行全面的检测、合理的配置和适当的优化,才能使整个安全系统良好地运转起来。而实现这些严密的安全措施需要第三方的专业信息安全人员的参与并发挥主要作用。鉴于未来网络威胁的严重性和信息战的可能性,建立主动性的信息安全防御体系已经成为先进国家的研究重点之一,而主动性安全防御体系中最重要的环节是一支专业化的信息安全服务力量。
三、结论:信息安全问题具有动态性,必须统筹兼顾,常抓不懈。
计算机网络系统软硬件和应用情况在不断更新。引入新设备、新软件和新的应用,都会带来新的安全问题。攻击技术每天都在发展,新的攻击机制不断出现,新的攻击机制决定了新病毒和新的黑客攻击手段会对原本已经比较安全的系统造成新的威胁。只有坚持对计算机网络系统进行有计划的,长期进行的评估和审计工作,才能保证最新的技术隐患会被及时识别和解决。如果不结合这些新的技术动态、人员动态和管理动态进行定期的安全性评估,原本搭建好的安全体系将处于不可控的状态。
参考文献:
[1] 徐国芹. 浅议如何建立企业信息安全体系架构[J]. 中国高新技术企业, 2009, (05) .
[2] 陈伟,向丽,刘爽,郭伟,谢明政. 企业信息安全体系架构[J]. 石油地球物理勘探, 2008, (S1) .
[3] 冯剑红,谢汶. 电力信息安全体系结构研究及安全策略[J]. 四川电力技术, 2006, (03) .
[4] 张雅丽. 基于公安网络的信息安全体系结构的设计与研究[J]. 计算机安全, 2009, (09) .