网络安全意识问题的分析

网络安全意识问题的分析

摘要

随着网络技术的快速发展，网络安全问题也变得越来越重要，一些突发的网络信息安全事件给国家和社会造成了巨大的影响。因此，安全始终是政府和企业关注的重要问题之一。提高“人”的信息安全意识，加强“人”的信息安全教育，已成为我们开展信息安全工作，构建信息安全保障体系的关键问题。本文从安全意识的角度来讨论内部安全问题，并提出一种应对思路。

引言

计算机网络的应用和开发已成为衡量一个国家政治、经济、军事综合能力水平的重要标志。但是“黑客”对网络的攻击、计算机病毒的入侵、别有用心的人利用计算机网络犯罪等，这些都直接威胁到国家、企业和个人的安全。而对于公安工作而言，安全显得尤为重要。

计算机网络安全实质就是要保障系统中人、硬件（设备、设施等）、软件、数据及各种供给品等要素，避免各种偶然的或人为的破坏与攻击，保障系统及网络正常、安全、可靠地工作。

大量的调查表明，因人为因素或自然灾害所造成的计算机信息系统的损失事件中，至少70%是因为管理措施不得力或管理不善所致，而其中95%是可以通过正确的信息安全配置管理来消除的。从另一方面来说，安全法律法规的贯彻以及安全技术措施的具体实施都离不开强有力的管理。增强管理意识，强化管理措施是做好计算机信息系统安全保护工作不可缺少的保障，而安全管理的关键因素，正是人。

因此，我们在把精力集中在技术和软硬件提高的同时，是否也应该注意一下内部人员的安全意识的培养和提高呢？因为计算机网络安全除了技术范畴外还有另外一个更为重要的，那就是人。人是网络安全各环节的参与者。因为人的主观能动性，任何坚不可摧的安全系统在有了人的参与下，其安全性都将具有不确定性。“人”这个环节在整个安全体系中是非常重要的。有时安全问题不是技术原因——它是人和管理的问题。由于安全产品的技术越来越完善，使用这些技术的人，就成为整个环节上最为脆弱的部分。

本文就从对安全案例的分析入手，讨论安全意识的重要性，进而提出一种有关审计方面的应对思路来提高“人”的安全意识。

安全案例的分析

案例1，某部门存放重要文档的电脑出了故障，保管文档的人在部门内对电脑进行了修理。一段时间后，该重要文档泄漏了，并被公司到互联网上。经过一番追查，最后发现是修理电脑的人偷偷将文档拷贝了下来。这个案例说明，人员安全意识的缺失是遭到攻击的致命因素。

案例2，2008年春节前后，深圳爆出全市孕妇信息库“泄露门”事件。事发期间，4万条包括孕妇改名、婴儿出生日期、户口流动性质、家庭住址、联系电话以及就诊医院和预产期的孕妇资料被不法分子从医院套取孕妇的个人信息来达到赚钱目的。

通过对以上两个案例进行分析比较可以发现它们在本质上非常相似。首先，它们都是内部工作人员主观意识支配下的破坏行为；其次，两起事件都是拥有较高权限的内部员工滥用职权的结果；第三，两起事件的结果都造成了难以挽回的不良影响。

从这两个安全中，我们不难看出，人的因素在信息安全中是何等重要，而安全意识的提高又是重中之重。

安全意识的重要性

安全对于我们来说不仅是技术难题，它更是社会问题，如果只是认为安全是能够通过技术方法来解决的问题，那么系统就会面临被攻击的危险。在心理学中，人的一切行为都是在心理活动的支配下进行的，而人的心理活动是一个由多种成分组成的复杂的结构体系。其中，“心理需要”处于核心位置之上，它对人的整个心理活动和外在行为的产生和动作起着举足轻重的作用。

这就是说人的行为是由一定的动机支配并推动的，而人的动机来源于物质和精神的需要。对于负责内部网络安全的人员来说，如果认为靠一些管理制度和先进设备和系统就可以维护内部安全，他就不会产生维护网络安全的“心理需要”，也不会产生危机感，更不会在思想上意识到网络安全的重要性，在这种意识下所作出的行为也是不负责任的，长此以往，必将会造成人浮于事的局面。因此，我们只有想办法让工作人员在日常工作中主动的树立牢固的安全意识，才能发挥正确意识的指导作用，才能更有效的保护网络安全。可以这样说，在有技术保障的情况下，企业和机关内部工作人员的安全意识高低就成为网络安全的瓶颈了。

通过审计方法来主动树立安全意识

以往我们主要是通过各种宣传途径，或者定期对工作人员进行安全教育，包括听讲座，观看录像和影片资料，学习信息安全资料等方式，以此提高工作人员的信息安全防护意识。但这种主动填鸭式的灌输和工作人员被动的接受往往效果并不是很好。我们是否可以换种思路，站在攻击者的角度来审视这个信息安全系统，通过模拟攻击来主动发现问题，刺激和强迫工作人员主动提高自身的安全意识。通过主动的安全意识来指导自己的行为，变被动为主动，主动发现问题，主动解决问题，而不是被动地，事后处理问题。所以笔者认为是否可以通过对企业和机关部门内审计方式上的改变，来促进工作人员树立牢固的安全意识，同时提高自身的计算机水平和素质。

本文所讨论的审计并非传统意义上的审计，它是一种站在黑客的角度主动攻

击式的审计，而且进行审计的时间和具体方法可能会进行事先通知，也可能根本就不通知，就好像系统正在遭遇真正的攻击一样，下面就通过分析传统审计方式的缺陷来说明本文提出的主动式审计。

审计的目的

审计的目的是为了保证计算机信息系统安全可靠地运行，保证计算机信息系统所处理的信息的完整性、准确性和可靠性，防止有意或无意的错误，乃至防止和发现计算机犯罪案件，除了采用其他安全措施之外，利用对计算机信息系统审计的方法，可以对计算机信息系统的工作过程进行详细的审计和跟踪，同时保存审计记录和审计日志，从中可以发现问题。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问，被授权的访问有可能会被滥用，导致敏感信息的扩散，当无法阻止用户通过其合法身份访问资源时，审计就能发挥作用。审计的意义在于客体对其自身安全的监控，便于查漏补缺，追踪异常事件，从而达到威慑和追踪不法使用者的目的。

审计的内容是多种多样的，不同的目的可以采取不同的审计方法和工具。

对两种审计方式的分析

传统的审计

传统的审计是管理人员用来维护个人职能的技术手段。这种技术手段固然可以对合法用户的非法访问起震慑作用，但属于相对被动地审计，并且存在三方面缺陷：第一，它是一种人工分析方法，通过对大量日志记录的人工分析，发现各种不安全因素。这种方法工作量大、效率低，结果严重依赖于分析人员的素质和对不安全因素的识别能力，安全威胁和安全事件可能被淹没在大量的审计日志中而未被发现；第二，它是一种事后分析方法，是基于用户使用计算机信息系统的日志，分析工作是在安全行为发生之后展开的，不能及时发现破坏行为，也不能发现没有记录到日志中的行为；第三，它主要是对某个具体的子系统日志进行分析和发现安全隐患的，一般来说，它不具有将不同子系统的日志进行关联分析和发现潜在安全威胁行为的能力。因此，它具有一定的局限性。

鉴于上述原因，当非法访问已经完成，数据已被破坏或窃取，这种审计只是对事后的原因分析有帮助，并不能主动的进行事前遏制。正所谓“防患于未然”，建立主动防御的意识，而不是被动地消极地去根据被攻击过的结果来调整相应的防范措施，要擅于主动地积极地创造性的发现问题，降低安全隐患。说到底，犯罪是一个“人”的问题。在预防企业内部的犯罪行为时，最重要的问题是使人们在实际工作中感觉生存意义和价值，使他们无心犯罪。而主动式审计即是从这个角度出发的一种审计方式。

主动式审计