信息安全的风险主要有以下几个方面:
1.物理因素
计算机自身与外部设备甚至网络与通信线路存在各方面的风险,如各种自然灾害、人为破坏、失误、设备故障、电磁干扰、被盗等。
2.系统因素
1)硬件组件
信息系统硬件组件的安全问题很多都是来自于设计。此问题是固有的,除在管理上强化弥补手段外,用软件方法效果不大。因此,在自制或选购硬件时应该尽最大能力回避或消除此类安全隐患。
2)软件组件
软件的“后门”是程序设计人员为方便在开发时预先设置的,它一方面方便了软件调试在此基础上开发或远程维护,但另一方面也为非法入侵提供了通道。这些“后门”往往不被外人知道,但一旦打开,后果无法想象。
此外,软件组件的安全隐患来自于设计与软件工程中的问题。软件设计中的疏漏可能留下安全漏洞;软件设计中的没有必要的功能及软件过长、过大,无法避免地会有安全脆弱性;软件设计不根据信息系统安全等级要求实施模块化设计,会造成软件的安全等级无法达到声称的安全级别;软件工程实现中引起的系统内部逻辑杂乱,会造成垃圾软件的产生,此种软件从安全角度是肯定不可用的。
3.网络因素
在当今的网络通信协议中,安全问题最多的是基于TCP/IP协议族的互联网及其通信协议。TCP/IP协议族原来只考虑互通互联与资源共享的问题,并没有考虑也不能兼容处理来自网络中与网际间的许多安全问题,TCP/IP最开始设计的应用环境是互相信任的,在其推广到全社会后,安全问题便发生了。
4.应用因素
主要是指使用者的习惯及方法不对。据统计,10种最危险的网络行为为:看不明来源的邮件附件;安装没有授权的应用;关了或者不用安全工具;看不明网页或文本;看赌博、色情或某些非法站点;公开自己的密码、令牌或智能卡信息;重要的文档未加密;任意访问不清楚、不可信的站点;填Web脚本、表格或注册网页较任性;多次访问聊天室或社交站点。
5.管理因素
单纯靠安全设备是不能满足要求的,它是汇集了硬、软件、网络、人及他们相互关系与接口的系统。
人是网络与信息系统的操作主体,安全设备与策略最终要靠人才可应用、贯彻。许多单位有安全设备设置不合适、使用管理不当、无专属的信息安全人员、系统密码管理乱等情况,这时,防火墙、人侵检测、VPN等设备就无法发挥应有的作用。因此,有人把信息安全策略叫做“七分管理、三分技术”。