网络安全意识问题的分析由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“网络安全意识分析”。
网络安全意识问题的分析
摘要
随着网络技术的快速发展,网络安全问题也变得越来越重要,一些突发的网络信息安全事件给国家和社会造成了巨大的影响。因此,安全始终是政府和企业关注的重要问题之一。提高“人 ”的信息安全意识,加强“人”的信息安全教育,已成为我们开展信息安全工作,构建信息安全保障体系的关键问题。本文从安全意识的角度来讨论内部安全问题,并提出一种应对思路。
引言
计算机网络的应用和开发已成为衡量一个国家政治、经济、军事综合能力水平的重要标志。但是“黑客”对网络的攻击、计算机病毒的入侵、别有用心的人利用计算机网络犯罪等,这些都直接威胁到国家、企业和个人的安全。而对于公安工作而言,安全显得尤为重要。
计算机网络安全实质就是要保障系统中人、硬件(设备、设施等)、软件、数据及各种供给品等要素,避免各种偶然的或人为的破坏与攻击,保障系统及网络正常、安全、可靠地工作。
大量的调查表明,因人为因素或自然灾害所造成的计算机信息系统的损失事件中,至少70%是因为管理措施不得力或管理不善所致,而其中95%是可以通过正确的信息安全配置管理来消除的。从另一方面来说,安全法律法规的贯彻以及安全技术措施的具体实施都离不开强有力的管理。增强管理意识,强化管理措施是做好计算机信息系统安全保护工作不可缺少的保障,而安全管理的关键因素,正是人。
因此,我们在把精力集中在技术和软硬件提高的同时,是否也应该注意一下内部人员的安全意识的培养和提高呢?因为计算机网络安全除了技术范畴外还有另外一个更为重要的,那就是人。人是网络安全各环节的参与者。因为人的主观能动性,任何坚不可摧的安全系统在有了人的参与下,其安全性都将具有不确定性。“人”这个环节在整个安全体系中是非常重要的。有时安全问题不是技术原因——它是人和管理的问题。由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分。
本文就从对安全案例的分析入手,讨论安全意识的重要性,进而提出一种有关审计方面的应对思路来提高“人”的安全意识。
安全案例的分析
案例1,某部门存放重要文档的电脑出了故障,保管文档的人在部门内对电脑进行了修理。一段时间后,该重要文档泄漏了,并被公司到互联网上。经过一番追查,最后发现是修理电脑的人偷偷将文档拷贝了下来。这个案例说明,人员安全意识的缺失是遭到攻击的致命因素。
案例2,2008年春节前后,深圳爆出全市孕妇信息库“泄露门”事件。事发期间,4万条包括孕妇改名、婴儿出生日期、户口流动性质、家庭住址、联系电话以及就诊医院和预产期的孕妇资料被不法分子从医院套取孕妇的个人信息来达到赚钱目的。
通过对以上两个案例进行分析比较可以发现它们在本质上非常相似。首先,它们都是内部工作人员主观意识支配下的破坏行为;其次,两起事件都是拥有较高权限的内部员工滥用职权的结果;第三,两起事件的结果都造成了难以挽回的不良影响。
从这两个安全中,我们不难看出,人的因素在信息安全中是何等重要,而安全意识的提高又是重中之重。
安全意识的重要性
安全对于我们来说不仅是技术难题,它更是社会问题,如果只是认为安全是能够通过技术方法来解决的问题,那么系统就会面临被攻击的危险。在心理学中,人的一切行为都是在心理活动的支配下进行的,而人的心理活动是一个由多种成分组成的复杂的结构体系。其中,“心理需要”处于核心位置之上,它对人的整个心理活动和外在行为的产生和动作起着举足轻重的作用。
这就是说人的行为是由一定的动机支配并推动的,而人的动机来源于物质和精神的需要。对于负责内部网络安全的人员来说,如果认为靠一些管理制度和先进设备和系统就可以维护内部安全,他就不会产生维护网络安全的“心理需要”,也不会产生危机感,更不会在思想上意识到网络安全的重要性,在这种意识下所作出的行为也是不负责任的,长此以往,必将会造成人浮于事的局面。因此,我们只有想办法让工作人员在日常工作中主动的树立牢固的安全意识,才能发挥正确意识的指导作用,才能更有效的保护网络安全。可以这样说,在有技术保障的情况下,企业和机关内部工作人员的安全意识高低就成为网络安全的瓶颈了。
通过审计方法来主动树立安全意识
以往我们主要是通过各种宣传途径,或者定期对工作人员进行安全教育,包括听讲座,观看录像和影片资料,学习信息安全资料等方式,以此提高工作人员的信息安全防护意识。但这种主动填鸭式的灌输和工作人员被动的接受往往效果并不是很好。我们是否可以换种思路,站在攻击者的角度来审视这个信息安全系统,通过模拟攻击来主动发现问题,刺激和强迫工作人员主动提高自身的安全意识。通过主动的安全意识来指导自己的行为,变被动为主动,主动发现问题,主动解决问题,而不是被动地,事后处理问题。所以笔者认为是否可以通过对企业和机关部门内审计方式上的改变,来促进工作人员树立牢固的安全意识,同时提高自身的计算机水平和素质。
本文所讨论的审计并非传统意义上的审计,它是一种站在黑客的角度主动攻
击式的审计,而且进行审计的时间和具体方法可能会进行事先通知,也可能根本就不通知,就好像系统正在遭遇真正的攻击一样,下面就通过分析传统审计方式的缺陷来说明本文提出的主动式审计。
审计的目的审计的目的是为了保证计算机信息系统安全可靠地运行,保证计算机信息系统所处理的信息的完整性、准确性和可靠性,防止有意或无意的错误,乃至防止和发现计算机犯罪案件,除了采用其他安全措施之外,利用对计算机信息系统审计的方法,可以对计算机信息系统的工作过程进行详细的审计和跟踪,同时保存审计记录和审计日志,从中可以发现问题。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问,被授权的访问有可能会被滥用,导致敏感信息的扩散,当无法阻止用户通过其合法身份访问资源时,审计就能发挥作用。审计的意义在于客体对其自身安全的监控,便于查漏补缺,追踪异常事件,从而达到威慑和追踪不法使用者的目的。
审计的内容是多种多样的,不同的目的可以采取不同的审计方法和工具。对两种审计方式的分析
传统的审计
传统的审计是管理人员用来维护个人职能的技术手段。这种技术手段固然可以对合法用户的非法访问起震慑作用,但属于相对被动地审计,并且存在三方面缺陷:第一,它是一种人工分析方法,通过对大量日志记录的人工分析,发现各种不安全因素。这种方法工作量大、效率低,结果严重依赖于分析人员的素质和对不安全因素的识别能力,安全威胁和安全事件可能被淹没在大量的审计日志中而未被发现;第二,它是一种事后分析方法,是基于用户使用计算机信息系统的日志,分析工作是在安全行为发生之后展开的,不能及时发现破坏行为,也不能发现没有记录到日志中的行为;第三,它主要是对某个具体的子系统日志进行分析和发现安全隐患的,一般来说,它不具有将不同子系统的日志进行关联分析和发现潜在安全威胁行为的能力。因此,它具有一定的局限性。
鉴于上述原因,当非法访问已经完成,数据已被破坏或窃取,这种审计只是对事后的原因分析有帮助,并不能主动的进行事前遏制。正所谓“防患于未然”,建立主动防御的意识,而不是被动地消极地去根据被攻击过的结果来调整相应的防范措施,要擅于主动地积极地创造性的发现问题,降低安全隐患。说到底,犯罪是一个“人”的问题。在预防企业内部的犯罪行为时,最重要的问题是使人们在实际工作中感觉生存意义和价值,使他们无心犯罪。而主动式审计即是从这个角度出发的一种审计方式。
主动式审计
主动式审计所包含的两种类型——通知的或预定的审计和无防备的审计。预定的审计会通知内部工作人员,有助于督促他们在一些地方建立与策略一致的措施,否则在那些地方就缺少一致性,造成安全隐患。这种检查可分为三个阶段。第一个阶段是技术层面的,分析系统、网络、数据库和设备中的安全组件,以确保它们满足安全策略的要求。然后,评估用户的实践活动,来确定是否有违背安全性的不正确习惯或行为。最后的阶段是分析审计方法,以确保收集到恰当的信息并达到审计的目的。由于工作人员急于遵守策略,所以这种审计对把机构的安全性提高到一个可接受的水平是有用的。
无防备的审计就是在没有通知审计对象的情况下由专门负责审计的工作人员随机的或定期的对网络和系统进行审计,它对建立持续的安全意识是非常有用的。审计可能在任何时间发生,并且不会发出通知,相关负责安全的工作人员根本不知道什么时候被审计,因此就会相对的在工作的时候提高警惕,注意提高整个系统网络的安全水准,同时迫使内部工作人员在他们的日常事务中深入安全意识,这样就增强了网络系统长期的安全性。
审计报告的重要性
我们进行审计的最终目的就是通过工作人员的一起努力来提高企业和机关内部网络系统的安全性。因此在审计完成后,详细的审计报告是必不可少的。当然,在审计中,如果发现了关键问题,应立即报告以确保组织机构意识到了这一点。此时,在完成了工作中所有的审计后,应准备一份描述测试和审核的详细结果以及需要推荐改进的书面报告,通过报告让相关责任人更系统的了解到自己所在部门存在的安全隐患,并在审计报告的指导下去进行完善。同时对相关责任人的责任追究也应与写明,以便使其有危机感,更加主动的去学习和完善。
由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分。主动更新技术和软硬件是很好的做法,但如果从来没有测试它们,并且从来没有在实践中使用它们,当需要它们时,它们不会非常有用(甚至不能工作)。比如A市某机关单位重要部门花重金引进了一套非常先进的安全系统用以保护其数据库中的机密数据,但在每年一度的安全巡检中,相关安全专家却检测到这套系统的口令竟然还是系统初始安装时的默认口令,而利用这个默认口令可使任何想入侵数据库的人轻而易举的获得超级管理员权限。调查发现在已发生安全事件的原因中,占前两位的分别是“未修补软件安全漏洞”和“登录密码过于简单或未修改”,这也表明了相关人员缺乏相关的安全防范意识和基本的安全防范常识。主动式审计就是提供了一种方法来测试的过程,消除拙劣的过程,改进良好的过程,它提供了一种方法来熟悉已经建立的方法,并且看见它们的工作方式。通过改变审计的不同方面和强度,可以将注意力集中在不同类型的难题和工作人员对它们的反应上。工作人员做得越多,得到的结果就越好,在出现真实的事件时,他们就会越镇定自若。
只有在不断的刺激和激励下,工作人员才能在日常工作中树立安全观念,深入安全意识,以正确的安全意识来指导自己的行为。
结语
绝对的安全是不存在的。真正的安全是靠人员的安全意识决定的。试想有了非常完美的管理措施,却没有合格的人员去执行和贯彻,那这些管理措施也不能被有效实施。普及安全教育,提高安全意识,是改善计算机信息系统安全管理的关键因素。计算机信息系统的安全一直是动态的,因此需要工作人员有意识的主动去维护系统的安全。本文首先从对相对案例的分析入手,然后以心理学的角度对安全意识的重要性进行阐述,然后提出通过主动式审计这种方式,变被动为主动来激励和强迫工作人员在日常工作中深入安全意识,进而在正确意识的指导下作出负责任的行为。
网络安全意识作文......
刀豆文库小编为你整合推荐5篇网络安全意识演讲稿,也许这些就是您需要的文章,但愿刀豆文库能带给您一些学习、工作上的帮助。......
计算机技术与通讯技术的发展,使新型的商务模式电子商务获得空前发展,给人们的生活带来便利的同时也产生一些负面东西,其中一个突出问题就是网络空间的道德失范现象,产生败德行为......
刀豆文库小编为你整合推荐6篇提高网络安全意识演讲稿,也许这些就是您需要的文章,但愿刀豆文库能带给您一些学习、工作上的帮助。......
刀豆文库小编为你整合推荐5篇网络安全意识培训总结,也许这些就是您需要的文章,但愿刀豆文库能带给您一些学习、工作上的帮助。......
