網(wǎng)絡(luò)安全意識問題的分析

網(wǎng)絡(luò)安全意識問題的分析

摘要隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題也變得越來越重要，一些突發(fā)的網(wǎng)絡(luò)信息安全事件給國家和社會造成了巨大的影響。因此，安全始終是政府和企業(yè)關(guān)注的重要問題之一。提高“人”的信息安全意識，加強“人”的信息安全教育，已成為我們開展信息安全工作，構(gòu)建信息安全保障體系的關(guān)鍵問題。本文從安全意識的角度來討論內(nèi)部安全問題，并提出一種應(yīng)對思路。引言計算機網(wǎng)絡(luò)的應(yīng)用和開發(fā)已成為衡量一個國家政治、經(jīng)濟、軍事綜合能力水平的重要標(biāo)志。但是“黑客”對網(wǎng)絡(luò)的攻擊、計算機病毒的入侵、別有用心的人利用計算機網(wǎng)絡(luò)犯罪等，這些都直接威脅到國家、企業(yè)和個人的安全。而對于公安工作而言，安全顯得尤為重要。計算機網(wǎng)絡(luò)安全實質(zhì)就是要保障系統(tǒng)中人、硬件（設(shè)備、設(shè)施等）、軟件、數(shù)據(jù)及各種供給品等要素，避免各種偶然的或人為的破壞與攻擊，保障系統(tǒng)及網(wǎng)絡(luò)正常、安全、可靠地工作。大量的調(diào)查表明，因人為因素或自然災(zāi)害所造成的計算機信息系統(tǒng)的損失事件中，至少70%是因為管理措施不得力或管理不善所致，而其中95%是可以通過正確的信息安全配置管理來消除的。從另一方面來說，安全法律法規(guī)的貫徹以及安全技術(shù)措施的具體實施都離不開強有力的管理。增強管理意識，強化管理措施是做好計算機信息系統(tǒng)安全保護(hù)工作不可缺少的保障，而安全管理的關(guān)鍵因素，正是人。因此，我們在把精力集中在技術(shù)和軟硬件提高的同時，是否也應(yīng)該注意一下內(nèi)部人員的安全意識的培養(yǎng)和提高呢？因為計算機網(wǎng)絡(luò)安全除了技術(shù)范疇外還有另外一個更為重要的，那就是人。人是網(wǎng)絡(luò)安全各環(huán)節(jié)的參與者。因為人的主觀能動性，任何堅不可摧的安全系統(tǒng)在有了人的參與下，其安全性都將具有不確定性。“人”這個環(huán)節(jié)在整個安全體系中是非常重要的。有時安全問題不是技術(shù)原因一一它是人和管理的問題。由于安全產(chǎn)品的技術(shù)越來越完善，使用這些技術(shù)的人，就成為整個環(huán)節(jié)上最為脆弱的部分。本文就從對安全案例的分析入手，討論安全意識的重要性，進(jìn)而提出一種有關(guān)審計方面的應(yīng)對思路來提高“人”的安全意識。安全案例的分析案例1，某部門存放重要文檔的電腦出了故障，保管文檔的人在部門內(nèi)對電腦進(jìn)行了修理。一段時間后，該重要文檔泄漏了，并被公司到互聯(lián)網(wǎng)上。經(jīng)過一番追查，最后發(fā)現(xiàn)是修理電腦的人偷偷將文檔拷貝了下來。這個案例說明，人員安全意識的缺失是遭到攻擊的致命因素。案例2,2008年春節(jié)前后，深圳爆出全市孕婦信息庫“泄露門”事件。事發(fā)期間，4萬條包括孕婦改名、嬰兒出生日期、戶口流動性質(zhì)、家庭住址、聯(lián)系電話以及就診醫(yī)院和預(yù)產(chǎn)期的孕婦資料被不法分子從醫(yī)院套取孕婦的個人信息來達(dá)到賺錢目的。通過對以上兩個案例進(jìn)行分析比較可以發(fā)現(xiàn)它們在本質(zhì)上非常相似。首先，它們都是內(nèi)部工作人員主觀意識支配下的破壞行為；其次，兩起事件都是擁有較高權(quán)限的內(nèi)部員工濫用職權(quán)的結(jié)果；第三，兩起事件的結(jié)果都造成了難以挽回的不良影響。從這兩個安全中，我們不難看出，人的因素在信息安全中是何等重要，而安全意識的提高又是重中之重。安全意識的重要性安全對于我們來說不僅是技術(shù)難題，它更是社會問題，如果只是認(rèn)為安全是能夠通過技術(shù)方法來解決的問題，那么系統(tǒng)就會面臨被攻擊的危險。在心理學(xué)中，人的一切行為都是在心理活動的支配下進(jìn)行的，而人的心理活動是一個由多種成分組成的復(fù)雜的結(jié)構(gòu)體系。其中，“心理需要”處于核心位置之上，它對人的整個心理活動和外在行為的產(chǎn)生和動作起著舉足輕重的作用。這就是說人的行為是由一定的動機支配并推動的，而人的動機來源于物質(zhì)和精神的需要。對于負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)安全的人員來說，如果認(rèn)為靠一些管理制度和先進(jìn)設(shè)備和系統(tǒng)就可以維護(hù)內(nèi)部安全，他就不會產(chǎn)生維護(hù)網(wǎng)絡(luò)安全的“心理需要”，也不會產(chǎn)生危機感，更不會在思想上意識到網(wǎng)絡(luò)安全的重要性，在這種意識下所作出的行為也是不負(fù)責(zé)任的，長此以往，必將會造成人浮于事的局面。因此，我們只有想辦法讓工作人員在日常工作中主動的樹立牢固的安全意識，才能發(fā)揮正確意識的指導(dǎo)作用，才能更有效的保護(hù)網(wǎng)絡(luò)安全?？梢赃@樣說，在有技術(shù)保障的情況下，企業(yè)和機關(guān)內(nèi)部工作人員的安全意識高低就成為網(wǎng)絡(luò)安全的瓶頸了。通過審計方法來主動樹立安全意識以往我們主要是通過各種宣傳途徑，或者定期對工作人員進(jìn)行安全教育，包括聽講座，觀看錄像和影片資料，學(xué)習(xí)信息安全資料等方式，以此提高工作人員的信息安全防護(hù)意識。但這種主動填鴨式的灌輸和工作人員被動的接受往往效果并不是很好。我們是否可以換種思路，站在攻擊者的角度來審視這個信息安全系統(tǒng)，通過模擬攻擊來主動發(fā)現(xiàn)問題，刺激和強迫工作人員主動提高自身的安全意識。通過主動的安全意識來指導(dǎo)自己的行為，變被動為主動，主動發(fā)現(xiàn)問題，主動解決問題，而不是被動地，事后處理問題。所以筆者認(rèn)為是否可以通過對企業(yè)和機關(guān)部門內(nèi)審計方式上的改變，來促進(jìn)工作人員樹立牢固的安全意識，同時提高自身的計算機水平和素質(zhì)。本文所討論的審計并非傳統(tǒng)意義上的審計，它是一種站在黑客的角度主動攻擊式的審計，而且進(jìn)行審計的時間和具體方法可能會進(jìn)行事先通知，也可能根本就不通知，就好像系統(tǒng)正在遭遇真正的攻擊一樣，下面就通過分析傳統(tǒng)審計方式的缺陷來說明本文提出的主動式審計。審計的目的審計的目的是為了保證計算機信息系統(tǒng)安全可靠地運行，保證計算機信息系統(tǒng)所處理的信息的完整性、準(zhǔn)確性和可靠性，防止有意或無意的錯誤，乃至防止和發(fā)現(xiàn)計算機犯罪案件，除了采用其他安全措施之外，利用對計算機信息系統(tǒng)審計的方法，可以對計算機信息系統(tǒng)的工作過程進(jìn)行詳細(xì)的審計和跟蹤，同時保存審計記錄和審計日志，從中可以發(fā)現(xiàn)問題。允許用戶訪問特定資源意味著用戶要通過訪問控制和授權(quán)實現(xiàn)他們的訪問，被授權(quán)的訪問有可能會被濫用，導(dǎo)致敏感信息的擴散，當(dāng)無法阻止用戶通過其合法身份訪問資源時，審計就能發(fā)揮作用。審計的意義在于客體對其自身安全的監(jiān)控，便于查漏補缺，追蹤異常事件，從而達(dá)到威懾和追蹤不法使用者的目的。審計的內(nèi)容是多種多樣的，不同的目的可以采取不同的審計方法和工具。對兩種審計方式的分析傳統(tǒng)的審計傳統(tǒng)的審計是管理人員用來維護(hù)個人職能的技術(shù)手段。這種技術(shù)手段固然可以對合法用戶的非法訪問起震懾作用，但屬于相對被動地審計，并且存在三方面缺陷：第一，它是一種人工分析方法，通過對大量日志記錄的人工分析，發(fā)現(xiàn)各種不安全因素。這種方法工作量大、效率低，結(jié)果嚴(yán)重依賴于分析人員的素質(zhì)和對不安全因素的識別能力，安全威脅和安全事件可能被淹沒在大量的審計日志中而未被發(fā)現(xiàn)；第二，它是一種事后分析方法，是基于用戶使用計算機信息系統(tǒng)的日志，分析工作是在安全行為發(fā)生之后展開的，不能及時發(fā)現(xiàn)破壞行為，也不能發(fā)現(xiàn)沒有記錄到日志中的行為；第三，它主要是對某個具體的子系統(tǒng)日志進(jìn)行分析和發(fā)現(xiàn)安全隱患的，一般來說，它不具有將不同子系統(tǒng)的日志進(jìn)行關(guān)聯(lián)分析和發(fā)現(xiàn)潛在安全威脅行為的能力。因此，它具有一定的局限性。鑒于上述原因，當(dāng)非法訪問已經(jīng)完成，數(shù)據(jù)已被破壞或竊取，這種審計只是對事后的原因分析有幫助，并不能主動的進(jìn)行事前遏制。正所謂“防患于未然”，建立主動防御的意識，而不是被動地消極地去根據(jù)被攻擊過的結(jié)果來調(diào)整相應(yīng)的防范措施，要擅于主動地積極地創(chuàng)造性的發(fā)現(xiàn)問題，降低安全隱患。說到底，犯罪是一個“人”的問題。在預(yù)防企業(yè)內(nèi)部的犯罪行為時，最重要的問題是使人們在實際工作中感覺生存意義和價值，使他們無心犯罪。而主動式審計即是從這個角度出發(fā)的一種審計方式。主動式審計主動式審計所包含的兩種類型一一通知的或預(yù)定的審計和無防備的審計。預(yù)定的審計會通知內(nèi)部工作人員，有助于督促他們在一些地方建立與策略一致的措施，否則在那些地方就缺少一致性，造成安全隱患。這種檢查可分為三個階段。第一個階段是技術(shù)層面的，分析系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫和設(shè)備中的安全組件，以確保它們滿足安全策略的要求。然后，評估用戶的實踐活動，來確定是否有違背安全性的不正確習(xí)慣或行為。最后的階段是分析審計方法，以確保收集到恰當(dāng)?shù)男畔⒉⑦_(dá)到審計的目的。由于工作人員急于遵守策略，所以這種審計對把機構(gòu)的安全性提高到一個可接受的水平是有用的。無防備的審計就是在沒有通知審計對象的情況下由專門負(fù)責(zé)審計的工作人員隨機的或定期的對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行審計，它對建立持續(xù)的安全意識是非常有用的。審計可能在任何時間發(fā)生，并且不會發(fā)出通知，相關(guān)負(fù)責(zé)安全的工作人員根本不知道什么時候被審計，因此就會相對的在工作的時候提高警惕，注意提高整個系統(tǒng)網(wǎng)絡(luò)的安全水準(zhǔn)，同時迫使內(nèi)部工作人員在他們的日常事務(wù)中深入安全意識，這樣就增強了網(wǎng)絡(luò)系統(tǒng)長期的安全性。審計報告的重要性我們進(jìn)行審計的最終目的就是通過工作人員的一起努力來提高企業(yè)和機關(guān)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性。因此在審計完成后，詳細(xì)的審計報告是必不可少的。當(dāng)然，在審計中，如果發(fā)現(xiàn)了關(guān)鍵問題，應(yīng)立即報告以確保組織機構(gòu)意識到了這一點。此時，在完成了工作中所有的審計后，應(yīng)準(zhǔn)備一份描述測試和審核的詳細(xì)結(jié)果以及需要推薦改進(jìn)的書面報告，通過報告讓相關(guān)責(zé)任人更系統(tǒng)的了解到自己所在部門存在的安全隱患，并在審計報告的指導(dǎo)下去進(jìn)行完善。同時對相關(guān)責(zé)任人的責(zé)任追究也應(yīng)與寫明，以便使其有危機感，更加主動的去學(xué)習(xí)和完善。由于安全產(chǎn)品的技術(shù)越來越完善，使用這些技術(shù)的人，就成為整個環(huán)節(jié)上最為脆弱的部分。主動更新技術(shù)和軟硬件是很好的做法，但如果從來沒有測試它們，并且從來沒有在實踐中使用它們，當(dāng)需要它們時，它們不會非常有用（甚至不能工作）。比如A市某機關(guān)單位重要部門花重金引進(jìn)了一套非常先進(jìn)的安全系統(tǒng)用以保護(hù)其數(shù)據(jù)庫中的機密數(shù)據(jù)，但在每年一度的安全巡檢中，相關(guān)安全專家卻檢測到這套系統(tǒng)的口令竟然還是系統(tǒng)初始安裝時的默認(rèn)口令，而利用這個默認(rèn)口令可使任何想入侵?jǐn)?shù)據(jù)庫的人輕而易舉的獲得超級管理員權(quán)限。調(diào)查發(fā)現(xiàn)在已發(fā)生安全事件的原因中，占前兩位的分別是“未修補軟件安全漏洞”和“登錄密碼過于簡單或未修改”，這也表明了相關(guān)人員缺乏相關(guān)的安全防范意識和基本的安全防范常識。主動式審計就是提供了一種方法來測試的過程，消除拙劣的過程，改進(jìn)良好的過程，它提供了一種方法來熟悉已經(jīng)建立的方法，并且看見它們的工作方式。通過改變審計的不同方面和強度，可以將注意力集中在不同類型的難題和工作人員對它們的反應(yīng)上。工作人員做得越多，得到的結(jié)果就越好，在出現(xiàn)真實的事件時，他們就會越鎮(zhèn)定自若。只有在不斷的刺激和激勵下，工作人員才能在日常工作中樹立安全觀念，深入安全意識，以正確的安全意識來指導(dǎo)自己的行為。結(jié)語絕對的安全是不存在的。真正的安全是靠人員的安全意識決定的