企業(yè)信息系統(tǒng)安全所面臨威脅及策略分析

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

信息系統(tǒng)安全所面臨威脅

信息系統(tǒng)的安全問(wèn)題已經(jīng)喊了許多年。人們對(duì)這個(gè)問(wèn)題的關(guān)注度究竟如何？又有多少個(gè)單位建立了應(yīng)有的對(duì)策？策略是否合適?

帶著這個(gè)問(wèn)題，我和一些朋友作了交流，也實(shí)地走訪了一些單位。結(jié)論是：時(shí)至今日，仍有不少朋友對(duì)此缺乏了解，不僅沒(méi)有建立安全策略，甚至對(duì)如何研究建立這一策略，也是知之不多。

耐人尋味的“安全課”

9月1日，全國(guó)中小學(xué)生步入校園，開(kāi)始了新學(xué)年的校園生活。新學(xué)年有兩個(gè)新氣象，一是安全課開(kāi)講。開(kāi)學(xué)伊始，億萬(wàn)中小學(xué)師生和家長(zhǎng)一同收看央視播出的《開(kāi)學(xué)第一課》“知識(shí)守護(hù)生命”節(jié)目。節(jié)目通過(guò)孩子們喜聞樂(lè)見(jiàn)的形式，教授學(xué)生如何避險(xiǎn)、自救和救助他人。開(kāi)學(xué)這天，安全教育成為全國(guó)中小學(xué)最為關(guān)注的話題。二是體育課多了。以北京為例，增加體育課程成為首都中小學(xué)新學(xué)年的最大亮點(diǎn)。各區(qū)縣都要求學(xué)校把以往“零散”、“非正規(guī)”的體育活動(dòng)“轉(zhuǎn)正”為正式的體育課，列入課程表中，每天都要上一節(jié)體育課。在重慶等地，中小學(xué)生的體育課的課時(shí)也明顯增加了。

新學(xué)期開(kāi)辦“兩課”意義深遠(yuǎn)。 這次教育不僅是對(duì)學(xué)生，也是對(duì)廣大公眾的一次珍視生命、規(guī)避風(fēng)險(xiǎn)的知識(shí)普及。肆虐的冰雪災(zāi)害，汶川大地震，接踵而至的自然災(zāi)害，給我們帶來(lái)巨大的生命和財(cái)產(chǎn)損失，也提醒我們?cè)缱鳒?zhǔn)備，珍視健康、護(hù)衛(wèi)生命。

現(xiàn)實(shí)社會(huì)存在風(fēng)險(xiǎn)，由信息和信息系統(tǒng)搭建的虛擬社會(huì)同樣存在風(fēng)險(xiǎn)，我們?cè)谝?guī)劃、建設(shè)和應(yīng)用信息系統(tǒng)的時(shí)候，也要具備風(fēng)險(xiǎn)意識(shí)，建立安全策略。還要強(qiáng)化日常的抗風(fēng)險(xiǎn)“鍛煉”，使信息系統(tǒng)的體魄更加健壯，發(fā)揮應(yīng)有的經(jīng)濟(jì)社會(huì)效益。

系統(tǒng)風(fēng)險(xiǎn)如影隨形

今年8月26日，美國(guó)聯(lián)邦航空局向外界透露，該局一個(gè)航班排序中心的電腦系統(tǒng)當(dāng)天下午因故障而癱瘓，導(dǎo)致全國(guó)20多個(gè)機(jī)場(chǎng)出現(xiàn)航班延誤。此前，黑客攻陷美國(guó)國(guó)家安全部門(mén)信息系統(tǒng)，造成損失的報(bào)道屢見(jiàn)報(bào)端。類(lèi)似事件在我國(guó)也有發(fā)生。某銀行的信息終端出現(xiàn)問(wèn)題，客戶(hù)非法提現(xiàn)，最終招致一場(chǎng)轟動(dòng)全國(guó)的訴訟案件。2006年7月26日，我國(guó)某國(guó)際機(jī)場(chǎng)離港系統(tǒng)突然整體癱瘓，無(wú)法給旅客辦理登機(jī)手續(xù)。由此造成數(shù)十架次航班延誤，數(shù)千人滯留機(jī)場(chǎng)。統(tǒng)計(jì)數(shù)據(jù)表明，近年來(lái)，涉及信息系統(tǒng)的違法犯罪活動(dòng)在中國(guó)不斷攀升，黑客的攻擊手法更是花樣翻新。層出不窮的這類(lèi)事件和事故，都在向我們昭示，信息系統(tǒng)風(fēng)險(xiǎn)無(wú)時(shí)無(wú)處不在，加強(qiáng)安全防范，構(gòu)筑安全堤壩已經(jīng)是刻不容緩。

計(jì)算機(jī)信息系統(tǒng)面臨的幾大威脅

計(jì)算機(jī)信息系統(tǒng)由多種設(shè)備、設(shè)施構(gòu)成，因?yàn)榉N種原因，其面臨的威脅是多方面的?？傮w而言，這些威脅可以歸結(jié)為3大類(lèi)，一是對(duì)信息系統(tǒng)設(shè)備的威脅，二是對(duì)業(yè)務(wù)處理過(guò)程的威脅，三是對(duì)數(shù)據(jù)的威脅。因?yàn)樾畔⑾到y(tǒng)與人們的現(xiàn)實(shí)經(jīng)濟(jì)生活關(guān)系日益密切，這些威脅，或早或晚、或大或小，都會(huì)轉(zhuǎn)化為對(duì)人們現(xiàn)實(shí)經(jīng)濟(jì)生活的威脅。

要加強(qiáng)計(jì)算機(jī)信息系統(tǒng)的安全防范，就要研究上述威脅，查擺影響系統(tǒng)安全的因素。這些因素有哪些呢●

一是計(jì)算機(jī)信息系統(tǒng)軟硬件的內(nèi)在缺陷。這些缺陷不僅直接造成系統(tǒng)停擺，還會(huì)為一些人為的惡意攻擊提供機(jī)會(huì)。最典型的例子就是微軟的操作系統(tǒng)。相當(dāng)比例的惡意攻擊就是利用微軟的操作系統(tǒng)缺陷設(shè)計(jì)和展開(kāi)的，一些病毒、木馬也是盯住其破綻興風(fēng)作浪。由此造成的損失實(shí)難估量。應(yīng)用軟件的缺陷也可能造成計(jì)算機(jī)信息系統(tǒng)的故障，降低系統(tǒng)安全性能。

二是惡意攻擊。攻擊的種類(lèi)有多種，有的是對(duì)硬件設(shè)施的干擾或破壞，有的是對(duì)數(shù)據(jù)的攻擊，有的是對(duì)應(yīng)用的攻擊。前者，有可能導(dǎo)致計(jì)算機(jī)信息系統(tǒng)的硬件一過(guò)性或永久性故障或損壞。對(duì)數(shù)據(jù)的攻擊可破壞數(shù)據(jù)的有效性和完整性，也可能導(dǎo)致敏感數(shù)據(jù)的泄漏、濫用。對(duì)應(yīng)用的攻擊會(huì)導(dǎo)致系統(tǒng)運(yùn)行效率的下降，嚴(yán)重者會(huì)會(huì)導(dǎo)致應(yīng)用異常甚至中斷。

三是使用不當(dāng)。如誤操作，關(guān)鍵數(shù)據(jù)采集質(zhì)量存在缺陷，系統(tǒng)管理員安全配置不當(dāng)，用戶(hù)安全意識(shí)不強(qiáng)，用戶(hù)口令選擇不慎甚至多個(gè)角色共用一個(gè)用戶(hù)口令，等等。因?yàn)槭褂貌划?dāng)導(dǎo)致系統(tǒng)安全性能下降甚至系統(tǒng)異常、停車(chē)的事件也有報(bào)道。

四是自然災(zāi)害。對(duì)計(jì)算機(jī)信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅的災(zāi)害主要有雷電、鼠害、火災(zāi)、水災(zāi)、地震等各種自然災(zāi)害。此外，停電、盜竊、違章施工也對(duì)計(jì)算機(jī)信息系統(tǒng)安全構(gòu)成現(xiàn)實(shí)威脅。