网络通信中信息安全风险防范技术的应用

李春光

(甘肃省森林消防总队 甘肃兰州 730070)

信息技术是推动社会发展的重要因素，计算机网络在全球迅速普及，使国家政治经济对网络通信系统的依赖增强。网络通信系统脆弱性对国家关键基础设施构成威胁，信息安全风险对经济国防安全带来威胁。信息系统安全成为国家安全的基础，网络通信信息安全是保护信息资源有序可持续发展的集成化，网络通信信息安全关系到国家安全。网络通信信息安全是困扰网络使用者的难题，网络普及使得网络信息安全成为网络社会关键问题。由于影响网络通信信息安全因素的复杂性，对网络信息安全风险评估防范研究较多，网络信息安全防护原则确立研究是理论与实践问题。分析网络通信中信息安全风险，研究采取有效的信息安全风险防范技术措施对保障网络安全具有重要意义。

一、网络通信信息安全风险防范管理概述

当前，网络通信系统面临严重的信息安全风险，网络通信系统信息安全风险主要来自人类能力局限性导致信息系统存在脆弱性，社会存在各种斗争导致对系统的利用。网络通信系统是复杂的系统，通常由软硬件等组件构成，往往存在大量缺陷漏洞。如网络系统硬件存在设计错误导致缺陷，如操作系统应用由许多代码编写，程序每1000行代码中存在Bug。网络系统软件开发向互联通方向发展，导致安全脆弱性日益严重。

计算机网络技术发展中，各项针对信息系统新技术应用引起新的安全脆弱性。微软公司推出视窗XP操作系统后出现严重缺陷。黑客现象伴随网络系统发展存在。新华社报道中国近60%的单位网络信息系统发生安全事件[1]。网络攻击呈现黑客技术与病毒传播结合趋势。黑客攻击方法发生很大变化，最初采用破解口令，当前利用协议缺陷或应用程序代码发掘应用的安全脆弱性等。攻击方法向智能化发展。攻击涉及技术复杂，黑客罪犯对信息系统攻击准入成本降低，由于某些人员组织共同开发，使得各类技术精湛，源码公开的黑客攻击工具随手可得。如一些专门从事系统脆弱性测试公司多年进行脆弱性检测。

图1 网络通信系统威胁层次结构

网络通信信息安全是人类面临的新问题，针对信息安全问题特点，从技术管理等方面寻求解决措施是应对信息安全风险的主要途径。网络系统复杂性使得信息安全问题解决方案存在不能全面防范，重点防范难以应对突发性信息安全问题。防范不足会造成信息安全失效，有学者提出充分安全概念，保障网络系统信息安全问题要求进行经济技术可行性分析。针对信息安全新特点，国内外学者提出解决信息安全问题的策略。信息化早期人们主要关注防止软硬件损害，电子通信后形成保护信息机密性的通信安全概念；计算机问世后，计算机安全概念占领主导地位[2]。网络技术发展使得通信与计算机安全概念融合，形成网络安全概念。

人们对信息安全的认识反映信息安全范式演进，采用基于风险分析的安全范式，认为信息安全与某种风险关联。基于风险的安全范式导致以风险消除为主的安全思想。网络时代后安全风险不断增加，迫使人们重新考虑安全范式。信息安全内涵发生很大变化，由于人们对信息系统依赖性发生变化，信息安全拓展到追求质量效益。在复杂的网络系统下，难以采取风险消除法实现安全性[3]。应将基于风险的安全理念引入保障网络系统信息安全。风险管理是信息安全的新范式，运用风险管理方法是保障网络通信系统安全的最佳方式。

二、网络通信中信息安全风险管理的发展

现代风险管理理论产生于资本主义国家，因其广泛适用性，应用于各国社会经济发展，国家安全等诸多领域。60年代信息安全领域应用风险管理理论，网络通信信息安全风险管理发展经历60-80年代中期，80年代末至90年代中期，90年代末至今。随着网络日益普及，传统网络安全防护思想技术不能适应新安全需求，必须确立适合新形势的网络信息安全防护原则，采取有效的安全防范技术措施。

信息安全风险管理初期阶段，60年代随着早期计算机网络的发展，安全问题逐渐暴露。美国率先推出关于信息安全风险管理的评测标准。国防部安全局制定计算机系统安全评估系列标准，建立在风险评估理论基础上。指出评估计算机系统安全级依赖于系统存在风险水平，系列标准出台奠定信息安全风险管理理论基础。信息安全风险管理实践成熟阶段，1989年美国率先建立计算机应急组织，国防部制定漏洞分析评估计划。欧洲英法德等国制定共同信息安全评估标准，强调风险评估管理的重要性作用。

风险安全管理理论特点是注重操作系统的安全，通过对安全产品质量保障系统安全。风险安全管理全球化发展阶段，90年代后因特网高速发展，发达国家政治军事等活动对信息基础设施依赖度增强，信息安全问题成为各国面临的共同挑战。1999年ISO发布《信息技术安全评估准则》，推动各国风险管理实践[4]。网络系统风险管理的特点是安全专家对风险管理认识达成共识，风险管理对象明确为信息系统，风险管理成为通用的理论方法。信息安全风险管理经历从单机到网络全面管理等阶段，信息保障概念下，如何将传统风险管理理论应用于信息安全风险管理是尚未解决的问题。

三、网论通信系统信息安全风险管理存在的问题

90年代后，随着经济全球化，我国信息技术产业蓬勃发展，信息安全风险管理重要性日益突显。我国在863计划中首次规划系统安全风险分析研究课题，成立国家信息化办公室领导信息安全风评课题组，一些国家研究机构介绍发达国家信息安全风评管理理论。由于我国网络通信系统信息安全风险管理研究时间较短，国外许多方法不符合我国网络系统安全保障情况。传统信息安全风险管理方法不能满足网络系统安全保障要求，如何采取适合我国网络系统特点的安全风险防范技术措施是亟待解决的问题。

网络通信系统信息安全风险管理是信息安全研究热点，网络系统发展对传统安全风险管理方法提出了挑战[5]。传统信息安全风险管理方法存在一些缺陷，表现为现有信息安全风险管理方法难以实现精细化管理，不能处理与风险密切相关的组织信息，难以形成科学的控制信息系统风险安全决策等。信息安全风险管理建立信息资产风险的关系模型，但不能确定风险发起者对信息资产的威胁，难以对风险形成过程准确解读。现有信息安全风险管理方法对风险损失后果采取定性描述，缺乏对风险意义的直观描述，难以区分不同风险安全措施效果差异；使得不同风险间不能进行数学运算，传统方法不能考虑风险评估者判断模糊性，传统信息安全风险管理难以作为定量风险管理依据。

NRC报告建议关注风险描述，指出风险描述是由决策驱动的活动，现有信息安全风险管理把寻求信息系统安全风险控制在可接收范围，组织将实施安全方案视为投资行为，组织信息系统安全方案是追求优化费效比管理决策。如何建立反映决策者意图的信息安全模型是信息安全风险管理需要研究的问题。针对组织业务运行中的风险进行分析才能保障系统安全。组织业务活动中存在人员与信息系统交互行为，组织网络通信系统信息安全风险与业务运行紧密联系，要准确把握网络通信系统安全风险特征，需要将组织背景纳入研究范围。传统通信网络安全风险管理方法缺乏进行同组织背景关联科学机制。

四、通信网络信息安全风险防范技术措施

21世纪后，信息网络技术不断成熟，新技术发明安全性得不到保障会影响推广应用，应在发展技术同时关注网络安全防范措施。随着改革开放深入，信息网络行业快速发展。互联网用户数量不断增多，社会居民日常生活工作中对计算机信息网络依赖性增强，一些不法分子利用技术窃取网民个人信息，网络攻击暴露网络安全的脆弱性，风险计算机网络安全隐患，研究采取有效的风险防范技术措施具有重要意义[6]。

网络安全是计算机内外网安全，内网指某组织内部局域网。网络安全是软硬件设施及数据安全，网络安全需要保证信息管理系统数据完整性，本地网络资源不能随意被外界读取利用。很多计算机黑客大肆攻击网络系统盗取企业信息，对企业造成巨大的损失，需采取有效的风险防范措施应对。当前通信网络信息安全风险包括计算机病毒，黑客入侵等。计算机病毒伴随计算机发明出现，随着计算机技术的发展，对计算机软硬件破坏性加大。病毒是技术人员将破坏性程序代码植入计算机系统，对计算机系统造成破坏。随着网络技术的发展，计算机病毒在世界感染大量用户，系统瘫痪带来巨大经济损失。

互联网发展的同时，用户隐私防范意识未同步提高，用户注册各种账号时，网站要求填写个人信息，网站后台数据库中不能保存个人信息，很多用户为方便记忆设置简单的密码，加剧了账号密码盗取风险。黑客是具有计算机技术从事违法行为的人员，大多利用系统漏洞登录对方网络服务器进行系统信息查看操作，黑客侵入方式不断增多，如通过局域网端口获得管理员权限等。常见攻击方式是利用木马病毒将程序植入对方计算机。通信网络信息安全防范技术措施包括物理防范，引入人工检测技术，应用网络防火墙等。

通信网络信息安全物理防范措施是硬件设备通过隔离方式实现，将重要内部网络与外部互联网隔离，保障局域网路由器不受外界网络人为干扰，避免黑客侵犯内部系统。防火墙技术应用为保障网络安全措施，利用技术手段对系统信息隔离，有效设置防火墙可以保障信息安全性。某些组织对系统内部安全性要求高，应聘请专业人员对网络进行监管，保证系统网络出现异常时及时跟踪报告。防火墙只能按固有程序进行，人工24小时轮流检测可及时发现攻击行为。要求专业人员定期扫描系统内部漏洞，如漏洞被黑客发现会被利用攻击。系统维护人员要定期进行系统扫描，防止利用漏洞遭到网络攻击。