信息系统安全所面临威胁

信息系统的安全问题已经喊了许多年。人们对这个问题的关注度究竟如何？又有多少个单位建立了应有的对策？策略是否合适?

带着这个问题，我和一些朋友作了交流，也实地走访了一些单位。结论是：时至今日，仍有不少朋友对此缺乏了解，不仅没有建立安全策略，甚至对如何研究建立这一策略，也是知之不多。

耐人寻味的“安全课”

9月1日，全国中小学生步入校园，开始了新学年的校园生活。新学年有两个新气象，一是安全课开讲。开学伊始，亿万中小学师生和家长一同收看央视播出的《开学第一课》“知识守护生命”节目。节目通过孩子们喜闻乐见的形式，教授学生如何避险、自救和救助他人。开学这天，安全教育成为全国中小学最为关注的话题。二是体育课多了。以北京为例，增加体育课程成为首都中小学新学年的最大亮点。各区县都要求学校把以往“零散”、“非正规”的体育活动“转正”为正式的体育课，列入课程表中，每天都要上一节体育课。在重庆等地，中小学生的体育课的课时也明显增加了。

新学期开办“两课”意义深远。这次教育不仅是对学生，也是对广大公众的一次珍视生命、规避风险的知识普及。肆虐的冰雪灾害，汶川大地震，接踵而至的自然灾害，给我们带来巨大的生命和财产损失，也提醒我们早作准备，珍视健康、护卫生命。

现实社会存在风险，由信息和信息系统搭建的虚拟社会同样存在风险，我们在规划、建设和应用信息系统的时候，也要具备风险意识，建立安全策略。还要强化日常的抗风险“锻炼”，使信息系统的体魄更加健壮，发挥应有的经济社会效益。

系统风险如影随形

今年8月26日，美国联邦航空局向外界透露，该局一个航班排序中心的电脑系统当天下午因故障而瘫痪，导致全国20多个机场出现航班延误。此前，黑客攻陷美国国家安全部门信息系统，造成损失的报道屡见报端。类似事件在我国也有发生。某银行的信息终端出现问题，客户非法提现，最终招致一场轰动全国的诉讼案件。2006年7月26日，我国某国际机场离港系统突然整体瘫痪，无法给旅客办理登机手续。由此造成数十架次航班延误，数千人滞留机场。统计数据表明，近年来，涉及信息系统的违法犯罪活动在中国不断攀升，黑客的攻击手法更是花样翻新。层出不穷的这类事件和事故，都在向我们昭示，信息系统风险无时无处不在，加强安全防范，构筑安全堤坝已经是刻不容缓。

计算机信息系统面临的几大威胁

计算机信息系统由多种设备、设施构成，因为种种原因，其面临的威胁是多方面的。总体而言，这些威胁可以归结为3大类，一是对信息系统设备的威胁，二是对业务处理过程的威胁，三是对数据的威胁。因为信息系统与人们的现实经济生活关系日益密切，这些威胁，或早或晚、或大或小，都会转化为对人们现实经济生活的威胁。

要加强计算机信息系统的安全防范，就要研究上述威胁，查摆影响系统安全的因素。这些因素有哪些呢●

一是计算机信息系统软硬件的内在缺陷。这些缺陷不仅直接造成系统停摆，还会为一些人为的恶意攻击提供机会。最典型的例子就是微软的操作系统。相当比例的恶意攻击就是利用微软的操作系统缺陷设计和展开的，一些病毒、木马也是盯住其破绽兴风作浪。由此造成的损失实难估量。应用软件的缺陷也可能造成计算机信息系统的故障，降低系统安全性能。

二是恶意攻击。攻击的种类有多种，有的是对硬件设施的干扰或破坏，有的是对数据的攻击，有的是对应用的攻击。前者，有可能导致计算机信息系统的硬件一过性或永久性故障或损坏。对数据的攻击可破坏数据的有效性和完整性，也可能导致敏感数据的泄漏、滥用。对应用的攻击会导致系统运行效率的下降，严重者会会导致应用异常甚至中断。

三是使用不当。如误操作，关键数据采集质量存在缺陷，系统管理员安全配置不当，用户安全意识不强，用户口令选择不慎甚至多个角色共用一个用户口令，等等。因为使用不当导致系统安全性能下降甚至系统异常、停车的事件也有报道。

四是自然灾害。对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、水灾、地震等各种自然灾害。此外，停电、盗窃、违章施工也对计算机信息系统安全构成现实威胁。