公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析

第1篇:網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

資產(chǎn)是在組織中有一定價(jià)值且需要保護(hù)的東西。它可以是有形的也可以是無(wú)形的,可以以硬件、軟件、代碼、服務(wù)等形式存在。通常認(rèn)為,信息資產(chǎn)的完整性、可用性、機(jī)密性是構(gòu)成資產(chǎn)安全特性的三個(gè)因素。不同的資產(chǎn)安全特性決定了信息價(jià)值的不同,因此存在的威脅、本身的弱點(diǎn)以及安全控制也就各不相同。為此,需要對(duì)組織中的信息資產(chǎn)進(jìn)行識(shí)別,以便制定風(fēng)險(xiǎn)評(píng)估策略。

1.1資產(chǎn)分類(lèi)

資產(chǎn)識(shí)別是一個(gè)復(fù)雜的過(guò)程,需要對(duì)資產(chǎn)進(jìn)行適當(dāng)?shù)姆诸?lèi),這樣才能更有效地開(kāi)展下一步工作。分類(lèi)方法應(yīng)依據(jù)具體環(huán)境由評(píng)估主體靈活把握。資產(chǎn)的種類(lèi)可分為數(shù)據(jù)、硬件、軟件、服務(wù)、文檔、設(shè)備、人員等。

1.2資產(chǎn)賦值

對(duì)資產(chǎn)的安全價(jià)值進(jìn)行評(píng)估首先要對(duì)資產(chǎn)進(jìn)行賦值,賦值并不是以賬面價(jià)值去衡量資產(chǎn)價(jià)值。在資產(chǎn)賦值估價(jià)時(shí),不僅應(yīng)考慮資產(chǎn)本身的應(yīng)有價(jià)值,還應(yīng)該綜合考慮資產(chǎn)組織業(yè)務(wù)的重要性程度。為保證資產(chǎn)評(píng)估的準(zhǔn)確性和一致性,評(píng)估機(jī)構(gòu)應(yīng)依據(jù)一定的原則,建立規(guī)范的評(píng)估標(biāo)準(zhǔn),以準(zhǔn)確地對(duì)資產(chǎn)進(jìn)行賦值評(píng)估。資產(chǎn)賦值的最終確定是根據(jù)資產(chǎn)的可用性、完整性以及機(jī)密性三個(gè)方面綜合評(píng)定,且一般采用由高到低定性相對(duì)等級(jí)方式,整個(gè)等級(jí)分為5等,從5到1,由高到低,分別代表五個(gè)級(jí)別的資產(chǎn)各自相對(duì)應(yīng)價(jià)值,等級(jí)越高資產(chǎn)的重要性程度也就越高,等級(jí)越低,資產(chǎn)也就相對(duì)不重要。

2威脅識(shí)別

威脅是指可能對(duì)整個(gè)系統(tǒng)結(jié)構(gòu)的安全性構(gòu)成潛在危險(xiǎn)的破壞性因素。從理論上來(lái)講,無(wú)論機(jī)構(gòu)的信息系統(tǒng)如何安全,威脅都是客觀存在的,是進(jìn)行風(fēng)險(xiǎn)評(píng)估不得不考慮的因素之一。

2.1威脅分類(lèi)

威脅的產(chǎn)生因素可以分為環(huán)境因素和人為因素兩種。環(huán)境因素又分為不可抗因素和其他物理性因素。威脅的作用形式不一,可以是對(duì)信息系統(tǒng)的直接攻擊,也可以是間接攻擊。如對(duì)非授權(quán)信息的破壞、泄露、篡改、刪除等,或者破壞信息的嚴(yán)密性、可塑性以及完整性等。一般而言,威脅總是需要借助一定的平臺(tái),如網(wǎng)絡(luò)、系統(tǒng)亦或是應(yīng)用數(shù)據(jù)的弱點(diǎn),才會(huì)對(duì)系統(tǒng)造成損害。針對(duì)威脅的產(chǎn)生因素,可以對(duì)威脅進(jìn)行分類(lèi),如:軟件障礙、硬件故障、物理環(huán)境威脅、操作失誤、惡意病毒、黑客攻擊、泄密、管理不善等。

2.2威脅賦值

在評(píng)估的過(guò)程中,同樣還需要對(duì)引發(fā)威脅的可能性賦值。如同資產(chǎn)賦值一般,威脅賦值也是采用定性的相對(duì)等級(jí)的方式。威脅的等級(jí)同樣分為五級(jí),從5到1分別代表由高到低,五個(gè)級(jí)別引發(fā)威脅的可能性。等級(jí)數(shù)值越高,則表明引發(fā)威脅的可能性越大,反之,則越小。

3脆弱性識(shí)別

脆弱性評(píng)估(又稱弱點(diǎn)評(píng)估),是風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)中很重要的內(nèi)容。任何資產(chǎn)本身都不可避免的存有弱點(diǎn),這些微小的弱點(diǎn)卻很容易被威脅利用,進(jìn)而對(duì)資產(chǎn)和商業(yè)目標(biāo)造成損害。資產(chǎn)的弱點(diǎn)不僅包括人員構(gòu)成、組織機(jī)構(gòu)、組織過(guò)程、管理技術(shù)等,還包括組織軟件、硬件、信息以及物理環(huán)境資產(chǎn)的脆弱性。資產(chǎn)脆弱性評(píng)估工作主要是從管理和技術(shù)兩個(gè)方面進(jìn)行的,是涉及到整個(gè)管理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。技術(shù)脆弱性主要包括系統(tǒng)性安全、網(wǎng)絡(luò)化完全、物理性安全、應(yīng)用性安全等層面。而管理脆弱性主要是指進(jìn)行安全管理。在很大程度上,資產(chǎn)脆弱性與機(jī)構(gòu)所采取的安全控制措施有關(guān),因此,在判定威脅發(fā)生的可能性時(shí)應(yīng)該特別注意已有安全控制會(huì)對(duì)脆弱性產(chǎn)生的影響。

4總結(jié)

第2篇:網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

【 關(guān)鍵詞 】 網(wǎng)絡(luò);安全;風(fēng)險(xiǎn);評(píng)估

1 前言

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估就是對(duì)網(wǎng)絡(luò)自身存在的脆弱性狀況、外界環(huán)境可能導(dǎo)致網(wǎng)絡(luò)安全事件發(fā)生的可能性以及可能造成的影響進(jìn)行評(píng)價(jià)。網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估涉及諸多方面,為及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案,運(yùn)用有效地網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法可以作為保障信息安全的基本前提。網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估主要用于識(shí)別網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn),對(duì)計(jì)算機(jī)的正常運(yùn)行具有重要的作用。如何進(jìn)行網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估是當(dāng)前網(wǎng)絡(luò)安全運(yùn)行關(guān)注的焦點(diǎn)。因此,研究網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估方法具有十分重要的現(xiàn)實(shí)意義。鑒于此,本文對(duì)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估方法進(jìn)行了初步探討。

2 概述網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估

2.1 網(wǎng)絡(luò)安全的目標(biāo)要求

網(wǎng)絡(luò)安全的核心原則應(yīng)該是以安全目標(biāo)為基礎(chǔ)。在網(wǎng)絡(luò)安全威脅日益增加的今天,要求在網(wǎng)絡(luò)安全框架模型的不同層面、不同側(cè)面的各個(gè)安全緯度,有其相應(yīng)的安全目標(biāo)要求,而這些安全目標(biāo)要求可以通過(guò)一個(gè)或多個(gè)指標(biāo)來(lái)評(píng)估,以減少信息丟失和網(wǎng)絡(luò)安全事故的發(fā)生,進(jìn)而提高工作效率,降低風(fēng)險(xiǎn)。具體說(shuō)來(lái),網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估指標(biāo),如圖1所示。

2.2 風(fēng)險(xiǎn)評(píng)估指標(biāo)的確定

風(fēng)險(xiǎn)評(píng)估是識(shí)別和分析相關(guān)風(fēng)險(xiǎn)并確定應(yīng)對(duì)策略的過(guò)程。從風(fēng)險(xiǎn)評(píng)估的指標(biāo)上來(lái)看,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)指標(biāo)體系由三大部分組成,分別是網(wǎng)絡(luò)層指標(biāo)體系、傳輸網(wǎng)風(fēng)險(xiǎn)指標(biāo)體系和物理安全風(fēng)險(xiǎn)指標(biāo),為內(nèi)部控制措施實(shí)施指明了方向。同時(shí),每種指標(biāo)體系中還包含資產(chǎn)、威脅和脆弱性三要素。

3 網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估方法

網(wǎng)絡(luò)安全問(wèn)題具有很強(qiáng)的動(dòng)態(tài)特征,在了解網(wǎng)絡(luò)安全的目標(biāo)要求和風(fēng)險(xiǎn)評(píng)估指標(biāo)的基礎(chǔ)上,為了更合理地評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn), 使信息網(wǎng)絡(luò)安全體系具有反饋控制和快速反應(yīng)能力,可以從幾個(gè)方面入手。

3.1 網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵。在網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估中,安全風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評(píng)估的第一個(gè)環(huán)節(jié),是全面掌握安全風(fēng)險(xiǎn)狀況的基礎(chǔ)。一般來(lái)說(shuō),風(fēng)險(xiǎn)就是指丟失所需要保護(hù)資產(chǎn)的可能性。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析就是估計(jì)網(wǎng)絡(luò)威脅發(fā)生的可能性,以及因系統(tǒng)的脆弱性而引起的潛在損失。大多數(shù)風(fēng)險(xiǎn)分析在最初要對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行確認(rèn)和評(píng)估;此后再用不同的方法進(jìn)行損失計(jì)算。

3.2 風(fēng)險(xiǎn)評(píng)估工作

風(fēng)險(xiǎn)評(píng)估工作在網(wǎng)絡(luò)安全中具有重要的作用。由于誘發(fā)網(wǎng)絡(luò)安全事故的因素很多,在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估時(shí),開(kāi)展安全風(fēng)險(xiǎn)評(píng)估工作,對(duì)防范安全風(fēng)險(xiǎn)有舉足輕重的作用。總的來(lái)說(shuō),風(fēng)險(xiǎn)評(píng)估的方法有定量的風(fēng)險(xiǎn)評(píng)估方法和定性的風(fēng)險(xiǎn)評(píng)估方法兩種。從網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估方法上看,不同的評(píng)估方法對(duì)安全風(fēng)險(xiǎn)的評(píng)估也不盡相同。在進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí),應(yīng)結(jié)合網(wǎng)絡(luò)安全的實(shí)際情況,選擇安全風(fēng)險(xiǎn)評(píng)估方法。

3.3 安全風(fēng)險(xiǎn)決策

信息安全風(fēng)險(xiǎn)評(píng)估是對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)管理的最根本依據(jù),就網(wǎng)絡(luò)安全而言,安全風(fēng)險(xiǎn)決策是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的重要組成部分。安全決策就是根據(jù)評(píng)估結(jié)論決定網(wǎng)絡(luò)系統(tǒng)所需要采取的安全措施。風(fēng)險(xiǎn)分析與評(píng)估的目的是為了向網(wǎng)絡(luò)管理者提供決策支持信息,進(jìn)而形成合理的、有針對(duì)性地安全策略,保障信息系統(tǒng)安全。由上可知,安全風(fēng)險(xiǎn)決策在一定程度上可以使網(wǎng)絡(luò)威脅得到有效控制。

3.4 安全風(fēng)險(xiǎn)監(jiān)測(cè)

為加強(qiáng)網(wǎng)絡(luò)安全管理,在網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估過(guò)程中,安全風(fēng)險(xiǎn)監(jiān)測(cè)也至關(guān)重要。就目前而言,在網(wǎng)絡(luò)運(yùn)行期間,系統(tǒng)隨時(shí)都有可能產(chǎn)生新的變化,例如增添新的網(wǎng)絡(luò)軟硬件、軟件升級(jí)、設(shè)備更新等都將導(dǎo)致資產(chǎn)發(fā)生變化。這時(shí)先前的風(fēng)險(xiǎn)評(píng)估結(jié)論就失去了意義,需要重新進(jìn)行風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和安全決策,以適應(yīng)網(wǎng)絡(luò)系統(tǒng)的新變化。安全監(jiān)測(cè)過(guò)程能夠?qū)崟r(shí)監(jiān)視和判斷網(wǎng)絡(luò)系統(tǒng)中的各種資產(chǎn)在運(yùn)行期間的狀態(tài),并及時(shí)記錄和發(fā)現(xiàn)新的變換情況。因此,建立安全風(fēng)險(xiǎn)監(jiān)測(cè)項(xiàng)目數(shù)據(jù)庫(kù),進(jìn)行動(dòng)態(tài)分析勢(shì)在必行。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估是一項(xiàng)綜合的系統(tǒng)工程,具有長(zhǎng)期性和復(fù)雜性。網(wǎng)絡(luò)安全評(píng)估系統(tǒng)能夠發(fā)現(xiàn)網(wǎng)絡(luò)存在的系統(tǒng)脆弱性,在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中,應(yīng)把握好網(wǎng)絡(luò)風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估工作、安全風(fēng)險(xiǎn)決策和安全風(fēng)險(xiǎn)監(jiān)測(cè)這幾個(gè)環(huán)節(jié),發(fā)現(xiàn)和堵塞系統(tǒng)的潛在漏洞,不斷探索網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估方法,只有這樣,才能最大限度的降低網(wǎng)絡(luò)安全威脅,確保網(wǎng)絡(luò)的安全運(yùn)行。

參考文獻(xiàn)

[1] 覃德澤,蒙軍全.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法分析與比較[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2011(04).

[2] 劉楓.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估研究與實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2009(11).

[3] 黨德鵬,孟真.基于支持向量機(jī)的信息安全風(fēng)險(xiǎn)評(píng)估[J].華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2010(03).

[4] 黃水清,張佳鑫,閆雪.一種內(nèi)部網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估模型及技術(shù)實(shí)現(xiàn)[J].情報(bào)理論與實(shí)踐,2010(02).

[5] 趙冬梅,劉金星,馬建峰.基于改進(jìn)小波神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)科學(xué),2010(02).

[6] 黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全,2012,(07):3-5.

第3篇:網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

科學(xué)技術(shù)在不斷的發(fā)展,網(wǎng)絡(luò)技術(shù)也是如此。目前,計(jì)算機(jī)技術(shù)已經(jīng)獲得了廣泛的應(yīng)用,其發(fā)展的速度也很快,可以說(shuō)我們的生活已經(jīng)離不開(kāi)計(jì)算機(jī)。但與此同時(shí)也產(chǎn)生了一系列的問(wèn)題,比如:網(wǎng)絡(luò)安全問(wèn)題,我們的網(wǎng)絡(luò)時(shí)不時(shí)會(huì)遇到病毒以及不法黑客的襲擊和侵害,給用戶帶來(lái)巨大的損失。因此,筆者對(duì)計(jì)算機(jī)風(fēng)險(xiǎn)分析系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)進(jìn)行探討。

【關(guān)鍵詞】計(jì)算機(jī) 分析系統(tǒng) 設(shè)計(jì) 開(kāi)發(fā)

目前,各行各業(yè)的發(fā)展都離不開(kāi)計(jì)算機(jī),可以說(shuō)我國(guó)已經(jīng)進(jìn)入了信息化時(shí)代。計(jì)算機(jī)技術(shù)對(duì)人類(lèi)的發(fā)展產(chǎn)生了深遠(yuǎn)的影響,其在給人類(lèi)帶來(lái)方便和快捷的同時(shí)也產(chǎn)生了一些弊端和問(wèn)題,比如:網(wǎng)絡(luò)安全。針對(duì)計(jì)算機(jī)安全問(wèn)題我們一定要積極主動(dòng)采取措施,這樣才會(huì)消除隱患,創(chuàng)作安全的網(wǎng)絡(luò)環(huán)境。需要指出的是,計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境發(fā)生問(wèn)題主要和協(xié)議的內(nèi)在特點(diǎn)以及通訊設(shè)施有著直接的關(guān)系,而最根本的原因是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在管理方面出現(xiàn)了問(wèn)題。但是,目前要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的管理具有一定的難度,這和其復(fù)雜的系統(tǒng)結(jié)構(gòu)有著直接的關(guān)系,此外計(jì)算機(jī)系統(tǒng)處于動(dòng)態(tài)變化之中。因此,計(jì)算機(jī)網(wǎng)路技術(shù)日益發(fā)達(dá),其安全問(wèn)題也要引起我們足夠的重視。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

網(wǎng)絡(luò)安全指的是無(wú)論是系統(tǒng)軟件,還是硬件中存在的數(shù)據(jù)沒(méi)有受到侵襲,得到保護(hù)。此外,也不會(huì)因?yàn)樽陨硪约叭藶樵蛟獾礁?、泄露,?jì)算機(jī)系統(tǒng)可以安全、穩(wěn)定的運(yùn)行。計(jì)算機(jī)網(wǎng)絡(luò)安全具有重大的意義,其不僅可以對(duì)私人的信息進(jìn)行保護(hù),防止隱私被窺探,還可以對(duì)社會(huì)道德以及國(guó)家的法律、法規(guī)進(jìn)行維護(hù)??梢哉f(shuō),網(wǎng)絡(luò)安全包括以下幾個(gè)內(nèi)容:可控性、網(wǎng)絡(luò)信息的完整性、真實(shí)性以及保密性等。

2 計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)的原因分析

2.1 TCP/IP的協(xié)議存在安全漏洞

對(duì)于每一層數(shù)據(jù),無(wú)論是要遵循的規(guī)則還是存在形式都會(huì)有差異。因此,通訊路徑的可靠性一定要考慮到,尤其是在制定協(xié)議時(shí)。否則,安全漏洞就會(huì)產(chǎn)生。目前的網(wǎng)絡(luò)技術(shù)在以下3個(gè)方面存在漏洞:通訊協(xié)議、安全防護(hù)設(shè)備以及管理系統(tǒng)。此外,服務(wù)程序也不夠完善,以上這些因素都會(huì)導(dǎo)致網(wǎng)絡(luò)安全漏洞。舉個(gè)例子,IIS服務(wù)系一般會(huì)遇到不法分子的襲擊,這些不法分子一般會(huì)對(duì)不同種類(lèi)的信息進(jìn)行整理和收集。之后,會(huì)使用專(zhuān)業(yè)的掃面工具來(lái)對(duì)系統(tǒng)存在的安全漏洞進(jìn)行查找和攻擊。

2.2 安全評(píng)價(jià)準(zhǔn)則以及工具的缺失

目前,我國(guó)的計(jì)算機(jī)技術(shù)雖然發(fā)展的比較快,但是依然處于上升期,因此在有的方面并不是很完善。另外,網(wǎng)路系統(tǒng)管理人員的專(zhuān)業(yè)素質(zhì)以及職業(yè)態(tài)度等都需要提高。這樣,當(dāng)外界狀況對(duì)系統(tǒng)進(jìn)行攻擊和威脅時(shí),往往難以應(yīng)對(duì)。因此,需要對(duì)網(wǎng)絡(luò)安全管理人員進(jìn)行專(zhuān)門(mén)的培訓(xùn),提高其綜合素質(zhì),增強(qiáng)其安全防范意識(shí)。構(gòu)建應(yīng)急和補(bǔ)救措施,這樣就能對(duì)缺陷以及損失進(jìn)行改正以及準(zhǔn)確的評(píng)估。

2.3 網(wǎng)絡(luò)結(jié)構(gòu)的不安全

因特網(wǎng)屬于網(wǎng)間網(wǎng)技術(shù),可以說(shuō)這個(gè)龐大的網(wǎng)絡(luò)是由大量的局域網(wǎng)組成的。我們上網(wǎng)使用的是主機(jī),而這些主機(jī)會(huì)與局域網(wǎng)的主機(jī)進(jìn)行連接,因此中間會(huì)經(jīng)過(guò)很多過(guò)程以及數(shù)據(jù)流的傳輸。在此情況下,有的不法分子會(huì)對(duì)經(jīng)過(guò)數(shù)據(jù)流傳輸路徑的主機(jī)進(jìn)行使用,因此上網(wǎng)用戶的全部信息其都可以獲取到。

2.4 竊聽(tīng)的概率比較高

由于因特網(wǎng)上面的數(shù)據(jù)一般沒(méi)有加密的措施,因此竊聽(tīng)的情況比較多,比如:傳輸文件以及郵件的被竊聽(tīng)。

3 計(jì)算機(jī)風(fēng)險(xiǎn)分析系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)

3.1 基于代數(shù)重寫(xiě)規(guī)則的風(fēng)險(xiǎn)分析系統(tǒng)

3.2 選擇決策算法分析

之前的決策算法選擇系統(tǒng)來(lái)對(duì)風(fēng)險(xiǎn)分析系統(tǒng)進(jìn)行優(yōu)化時(shí),運(yùn)用的方法是:依照決策出現(xiàn)的前后順序。在此基礎(chǔ)上,系統(tǒng)的效益就會(huì)最大化,也可以把效益的決策和風(fēng)險(xiǎn)分析系統(tǒng)有機(jī)的集合到一塊。但是,該方法也存在一定的弊端,比如:如果發(fā)生決策焦急的狀況,那么系統(tǒng)的判斷能力就會(huì)缺失,因此對(duì)其中的差別就無(wú)法判別的辨識(shí)。這樣,對(duì)于最優(yōu)決策最終發(fā)生的狀況是很不利的。此時(shí),我們可以使用決策優(yōu)化的重寫(xiě)作用來(lái)解決這個(gè)問(wèn)題。

針對(duì)同一個(gè)攻擊,如果兩個(gè)決策能夠?qū)ζ溥M(jìn)行解決,其中一個(gè)被決策集選中,那么之間攻擊帶來(lái)的收益就會(huì)被另外一個(gè)決策產(chǎn)生的收益解決。這樣,決策同時(shí)的選擇問(wèn)題就會(huì)被解決,對(duì)應(yīng)的增益也就會(huì)降低。

4 結(jié)束語(yǔ)

針對(duì)計(jì)算機(jī)網(wǎng)路安全問(wèn)題,筆者引進(jìn)了圖重寫(xiě)系統(tǒng)。該系統(tǒng)可以描述供給步驟和決策之間的關(guān)系,因此還可以對(duì)危險(xiǎn)傳播進(jìn)行有效的阻擋。此外,圖重寫(xiě)系統(tǒng)非常利于管理,不僅簡(jiǎn)單,而且高效。在其的輔助下,系統(tǒng)可以提供統(tǒng)一的試圖,大幅度的提高風(fēng)險(xiǎn)分析系統(tǒng)的整體性。簡(jiǎn)而言之,圖重寫(xiě)系統(tǒng)是一種非常優(yōu)良的計(jì)算機(jī)風(fēng)險(xiǎn)分析系統(tǒng)開(kāi)發(fā)方法,值得大力推廣和運(yùn)用。

參考文獻(xiàn)

[1]王清政.淺析計(jì)算機(jī)網(wǎng)絡(luò)管理中的安全風(fēng)險(xiǎn)分析與防范技術(shù)策略[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2013(23).

第4篇:網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

網(wǎng)絡(luò)安全技術(shù)概述

常永亮

(飛行試驗(yàn)研究院測(cè)試所陜西西安710089)

【摘要】Internet是一種開(kāi)放和標(biāo)準(zhǔn)的面向所有用戶的技術(shù),其資源通過(guò)網(wǎng)絡(luò)共享,因此,資源共享和信息安全就成了一對(duì)矛盾。

【關(guān)鍵詞】網(wǎng)絡(luò)攻擊、安全預(yù)防、風(fēng)險(xiǎn)分析、網(wǎng)絡(luò)安全

1.引言

隨著網(wǎng)絡(luò)的迅速發(fā)展,網(wǎng)絡(luò)的安全性顯得非常重要,這是因?yàn)閼延袗阂獾墓粽吒`取、修改網(wǎng)絡(luò)上傳輸?shù)男畔?,通過(guò)網(wǎng)絡(luò)非法進(jìn)入遠(yuǎn)程主機(jī),獲取儲(chǔ)存在主機(jī)上的機(jī)密信息,或占用網(wǎng)絡(luò)資源,阻止其他用戶使用等。然而,網(wǎng)絡(luò)作為開(kāi)放的信息系統(tǒng)必然存在眾多潛在的安全隱患,因此,網(wǎng)絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。

一般來(lái)說(shuō),計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡(luò)的潛在威脅。隨著無(wú)線互聯(lián)網(wǎng)越來(lái)越普及的應(yīng)用,互聯(lián)網(wǎng)的安全性又很難在無(wú)線網(wǎng)上實(shí)施,因此,特別在構(gòu)建內(nèi)部網(wǎng)時(shí),若忽略了無(wú)線設(shè)備的安全性則是一種重大失誤。

2.網(wǎng)絡(luò)攻擊及其防護(hù)技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然或惡意的原因遭到破壞、泄露,能確保網(wǎng)絡(luò)連續(xù)可靠的運(yùn)行。網(wǎng)絡(luò)安全其實(shí)就是網(wǎng)絡(luò)上的信息存儲(chǔ)和傳輸安全。

網(wǎng)絡(luò)的安全主要來(lái)自黑客和病毒攻擊,各類(lèi)攻擊給網(wǎng)絡(luò)造成的損失已越來(lái)越大了,有的損失對(duì)一些企業(yè)已是致命的,僥幸心里已經(jīng)被提高防御取代,下面就攻擊和防御作簡(jiǎn)要介紹。

2.1常見(jiàn)的攻擊有以下幾類(lèi):

2.1.1入侵系統(tǒng)攻擊

此類(lèi)攻擊如果成功,將使你的系統(tǒng)上的資源被對(duì)方一覽無(wú)遺,對(duì)方可以直接控制你的機(jī)器。

2.1.2緩沖區(qū)溢出攻擊

程序員在編程時(shí)會(huì)用到一些不進(jìn)行有效位檢查的函數(shù),可能導(dǎo)致黑客利用自編寫(xiě)程序來(lái)進(jìn)一步打開(kāi)安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾,這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí),從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它的指令,如果這些指令是放在有root權(quán)限的內(nèi)存中,那么一旦這些指令得到了運(yùn)行,黑客就以root權(quán)限控制了系統(tǒng),這樣系統(tǒng)的控制權(quán)就會(huì)被奪取,此類(lèi)攻擊在LINUX系統(tǒng)常發(fā)生。在Windows系統(tǒng)下用戶權(quán)限本身設(shè)定不嚴(yán)謹(jǐn),因此應(yīng)比在LINUX系統(tǒng)下更易實(shí)現(xiàn)。

2.1.3欺騙類(lèi)攻擊

網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用,使黑客可以對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。

2.1.4拒絕服務(wù)攻擊

通過(guò)網(wǎng)絡(luò),也可使正在使用的計(jì)算機(jī)出現(xiàn)無(wú)響應(yīng)、死機(jī)的現(xiàn)象,這就是拒絕服務(wù)攻擊,簡(jiǎn)稱DoS(DenialofService)。

分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu),從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo),從而導(dǎo)致目標(biāo)癱瘓,簡(jiǎn)稱DDoS(DistributedDenialofService)。

2.1.5對(duì)防火墻的攻擊

防火墻也是由軟件和硬件組成的,在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷,對(duì)防火墻的攻擊方法也是多種多樣的,如探測(cè)攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等。

2.1.6利用病毒攻擊

病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對(duì)性、衍生性、不可預(yù)見(jiàn)性和破壞性等特性,而且在網(wǎng)絡(luò)中其危害更加可怕,目前可通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬(wàn)種,可通過(guò)注入技術(shù)進(jìn)行破壞和攻擊。

2.1.7木馬程序攻擊

特洛伊木馬是一種直接由一個(gè)黑客,或是通過(guò)一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限,安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。

2.1.8網(wǎng)絡(luò)偵聽(tīng)

網(wǎng)絡(luò)偵聽(tīng)為主機(jī)工作模式,主機(jī)能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅰV灰褂镁W(wǎng)絡(luò)監(jiān)聽(tīng)工具,就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號(hào)等有用的信息資料。

等等?,F(xiàn)在的網(wǎng)絡(luò)攻擊手段可以說(shuō)日新月異,隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,其開(kāi)放性、共享性、互連程度擴(kuò)大,網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)正變得越來(lái)越先進(jìn),操作系統(tǒng)對(duì)本身漏洞的更新補(bǔ)救越來(lái)越及時(shí)。現(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全,個(gè)人越來(lái)越注意自己計(jì)算機(jī)的安全??梢哉f(shuō):只要有計(jì)算機(jī)和網(wǎng)絡(luò)的地方肯定是把網(wǎng)絡(luò)安全放到第一位。

網(wǎng)絡(luò)有其脆弱性,并會(huì)受到一些威脅。因而建立一個(gè)系統(tǒng)時(shí)進(jìn)行風(fēng)險(xiǎn)分析就顯得尤為重要了。風(fēng)險(xiǎn)分析的目的是通過(guò)合理的步驟,以防止所有對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。因此,嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析是可靠和有效的安全防護(hù)措施制定的必要前提。網(wǎng)絡(luò)風(fēng)險(xiǎn)分析在系統(tǒng)可行性分析階段就應(yīng)進(jìn)行了。因?yàn)樵谶@階段實(shí)現(xiàn)安全控制要遠(yuǎn)比在網(wǎng)絡(luò)系統(tǒng)運(yùn)行后采取同樣的控制要節(jié)約的多。即使認(rèn)為當(dāng)前的網(wǎng)絡(luò)系統(tǒng)分析建立的十分完善,在建立安全防護(hù)時(shí),風(fēng)險(xiǎn)分析還是會(huì)發(fā)現(xiàn)一些潛在的安全問(wèn)題,從整體性、協(xié)同性方面構(gòu)建一個(gè)信息安全的網(wǎng)絡(luò)環(huán)境。可以說(shuō)網(wǎng)絡(luò)的安全問(wèn)題是組織管理和決策。

2.2防御措施主要有以下幾種

2.2.1防火墻

防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障,用于保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)進(jìn)行控制和審計(jì)。

2.2.2虛擬專(zhuān)用網(wǎng)

虛擬專(zhuān)用網(wǎng)(VPN)的實(shí)現(xiàn)技術(shù)和方式有很多,但是所有的VPN產(chǎn)品都應(yīng)該保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專(zhuān)用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)隧道,利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)的私有性和安全性。此外,還需要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。

2.2.3虛擬局域網(wǎng)

選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實(shí)施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng),即一個(gè)邏輯廣播域,它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴,還可利用MAC層的數(shù)據(jù)包過(guò)濾技術(shù),對(duì)安全性要求高的VLAN端口實(shí)施MAC幀過(guò)濾。而且,即使黑客攻破某一虛擬子網(wǎng),也無(wú)法得到整個(gè)網(wǎng)絡(luò)的信息,但VLAN技術(shù)的局限在新的VLAN機(jī)制較好的解決了,這一新的VLAN就是專(zhuān)用虛擬局域網(wǎng)(PVLAN)技術(shù)。

2.2.4漏洞檢測(cè)

漏洞檢測(cè)就是對(duì)重要計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查,發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略,即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略基于主機(jī)檢測(cè),對(duì)系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對(duì)象進(jìn)行檢查;主動(dòng)式策略基于網(wǎng)絡(luò)檢測(cè),通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性的一個(gè)評(píng)估,它指出了哪些攻擊是可能的,因此成為安全方案的一個(gè)重要組成部分。漏洞檢測(cè)系統(tǒng)是防火墻的延伸,并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能,保證計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

2.2.5入侵檢測(cè)

入侵檢測(cè)系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來(lái),檢查是否有黑客入侵或可疑活動(dòng)的發(fā)生,一旦發(fā)現(xiàn)有黑客入侵或可疑活動(dòng)的發(fā)生,系統(tǒng)將做出實(shí)時(shí)報(bào)警響應(yīng)。

2.2.6密碼保護(hù)

加密措施是保護(hù)信息的最后防線,被公認(rèn)為是保護(hù)信息傳輸唯一實(shí)用的方法。無(wú)論是對(duì)等還是不對(duì)等加密都是為了確保信息的真實(shí)和不被盜取應(yīng)用,但隨著計(jì)算機(jī)性能的飛速發(fā)展,破解部分公開(kāi)算法的加密方法已變得越來(lái)越可能。因此,現(xiàn)在對(duì)加密算法的保密越來(lái)越重要,幾個(gè)加密方法的協(xié)同應(yīng)用會(huì)使信息保密性大大加強(qiáng)。

2.2.7安全策略

安全策略可以認(rèn)為是一系列政策的集合,用來(lái)規(guī)范對(duì)組織資源的管理、保護(hù)以及分配,已達(dá)到最終安全的目的。安全策略的制定需要基于一些安全模型。

2.2.8網(wǎng)絡(luò)管理員

網(wǎng)絡(luò)管理員在防御網(wǎng)絡(luò)攻擊方面也是非常重要的,雖然在構(gòu)建系統(tǒng)時(shí)一些防御措施已經(jīng)通過(guò)各種測(cè)試,但上面無(wú)論哪一條防御措施都有其局限性,只有高素質(zhì)的網(wǎng)絡(luò)管理員和整個(gè)網(wǎng)絡(luò)安全系統(tǒng)協(xié)同防御,才能起到最好的效果。

以上大概講了幾個(gè)網(wǎng)絡(luò)安全的策略,網(wǎng)絡(luò)安全基本要素是保密性、完整性和可用,但網(wǎng)絡(luò)的安全威脅與網(wǎng)絡(luò)的安全防護(hù)措施是交互出現(xiàn)的。不適當(dāng)?shù)木W(wǎng)絡(luò)安全防護(hù),不僅可能不能減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),浪費(fèi)大量的資金,而且可能招致更大的安全威脅。一個(gè)好的安全網(wǎng)絡(luò)應(yīng)該是由主機(jī)系統(tǒng)、應(yīng)用和服務(wù)、路由、網(wǎng)絡(luò)、網(wǎng)絡(luò)管理及管理制度等諸多因數(shù)決定的,但所有的防御措施對(duì)信息安全管理者提出了挑戰(zhàn),他們必須分析采用哪種產(chǎn)品能夠適應(yīng)長(zhǎng)期的網(wǎng)絡(luò)安全策略的要求,而且必須清楚何種策略能夠保證網(wǎng)絡(luò)具有足夠的健壯性、互操作性并且能夠容易地對(duì)其升級(jí)。

隨著信息系統(tǒng)工程開(kāi)發(fā)量越來(lái)越大,致使系統(tǒng)漏洞也成正比的增加,受到攻擊的次數(shù)也在增多。相對(duì)滯后的補(bǔ)救次數(shù)和成本也在增加,黑客與反黑客的斗爭(zhēng)已經(jīng)成為一場(chǎng)沒(méi)有結(jié)果的斗爭(zhēng)。

3.結(jié)論

網(wǎng)絡(luò)安全的管理與分析現(xiàn)已被提到前所未有的高度,現(xiàn)在IPv6已開(kāi)始應(yīng)用,它設(shè)計(jì)的時(shí)候充分研究了以前IPv4的各種問(wèn)題,在安全性上得到了大大的提高,但并不是不存在安全問(wèn)題了。在WindowsVista的開(kāi)發(fā)過(guò)程中,安全被提到了一個(gè)前所未有的重視高度,但微軟相關(guān)負(fù)責(zé)人還是表示,"即使再安全的操作系統(tǒng),安全問(wèn)題也會(huì)一直存在"。

總之,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問(wèn)題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問(wèn)題,而不是萬(wàn)能的。因此只有完備的系統(tǒng)開(kāi)發(fā)過(guò)程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測(cè)試、綜合的防御技術(shù)實(shí)施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用才能完好、實(shí)時(shí)地保證信息的完整性和正確性,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

參考文獻(xiàn)

[1]《網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)》黎連業(yè)著

第5篇:網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;主要問(wèn)題;原因分析;措施;意義

中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007—9599 (2012) 14—0000—02

一、企業(yè)網(wǎng)絡(luò)安全存在的主要問(wèn)題

(一)內(nèi)部網(wǎng)絡(luò)存在的主要問(wèn)題

企業(yè)內(nèi)部人員對(duì)信息網(wǎng)絡(luò)形成的威脅,肆意破壞信息系統(tǒng),有意或者無(wú)意泄密,非授權(quán)人員有意竊取機(jī)密信息,病毒的破壞作用,而其也是不容忽視的,它會(huì)影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行,是影響企業(yè)內(nèi)部網(wǎng)絡(luò)安全的最主要的因素;另一方面因?yàn)槠髽I(yè)內(nèi)部網(wǎng)絡(luò)是一個(gè)極其特殊的網(wǎng)絡(luò)環(huán)境,隨著企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)模的不斷擴(kuò)大與發(fā)展,很多企業(yè)基本上實(shí)現(xiàn)了科室辦公上網(wǎng),這同時(shí)也伴隨著一定的問(wèn)題,內(nèi)部網(wǎng)絡(luò)的監(jiān)管與控制更加困難;除此之外,企業(yè)的內(nèi)部規(guī)章制度還不夠完善,不能夠有效的約束和規(guī)范領(lǐng)導(dǎo)和員工上網(wǎng)的行為,從而存在一定的安全隱患。

(二)與外部互聯(lián)網(wǎng)的連接存在的安全隱患

與外部互聯(lián)網(wǎng)聯(lián)接時(shí)會(huì)遭到外部網(wǎng)絡(luò)的攻擊,來(lái)自外部互聯(lián)網(wǎng)絡(luò)的安全威脅主要是在進(jìn)行某些業(yè)務(wù)時(shí),要與外部互聯(lián)網(wǎng)絡(luò)進(jìn)行某些連接,連接集中在存有安全威脅的外部互聯(lián)網(wǎng)絡(luò)的數(shù)據(jù)上,因?yàn)闆](méi)有一定的防護(hù)設(shè)施,內(nèi)部的網(wǎng)絡(luò)會(huì)很容易被訪問(wèn),內(nèi)部的整個(gè)網(wǎng)絡(luò)系統(tǒng)就會(huì)被攻擊,另一方面,企業(yè)工作人員經(jīng)常需要出差,在出差在外時(shí)與企業(yè)的連接,這種連接就使得企業(yè)的內(nèi)部網(wǎng)絡(luò)非常容易受到來(lái)自因特網(wǎng)的攻擊。

(三)因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密

黑客肆意妄為,破壞的手段也越來(lái)越多樣化。企業(yè)的內(nèi)部資料對(duì)于整個(gè)企業(yè)經(jīng)營(yíng)來(lái)說(shuō)相當(dāng)重要,因?yàn)樗P(guān)系到整個(gè)企業(yè)的生死存完,一旦泄露定會(huì)給企業(yè)造成一定甚至是巨大的損失,在不同的環(huán)境中使用加密技術(shù)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的保護(hù),存在一定的局限性,雖然訪問(wèn)控制技術(shù)在某種程度上能夠控制其傳播的范圍和信息的使用,然而當(dāng)業(yè)務(wù)的效率和控制發(fā)生沖突時(shí),企業(yè)存放的信息的安全隱患定會(huì)迅速暴露,就會(huì)因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密。

(四)網(wǎng)絡(luò)癱瘓

一般情況就是網(wǎng)絡(luò)崩潰了,導(dǎo)致整體無(wú)法訪問(wèn),例如廣播風(fēng)暴,網(wǎng)絡(luò)環(huán)路,除此之外就是因?yàn)樵O(shè)備出的問(wèn)題,例如某臺(tái)電腦的交換壞了,也會(huì)影響到整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng),還有ARP病毒攻擊造成網(wǎng)絡(luò)的癱瘓,黑客會(huì)針對(duì)弊端攻擊操作系統(tǒng),讓計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)尤其是服務(wù)器的系統(tǒng)立即癱瘓;也會(huì)通過(guò)控制企業(yè)網(wǎng)絡(luò)系統(tǒng),內(nèi)部網(wǎng)絡(luò)系統(tǒng)就會(huì)被攻擊,讓電腦的主機(jī)沒(méi)有辦法進(jìn)行相關(guān)工作,系統(tǒng)和整個(gè)網(wǎng)絡(luò)就有癱瘓的可能。

二、存在問(wèn)題的原因分析

企業(yè)的網(wǎng)絡(luò)要能夠正常的進(jìn)行,就必須保證企業(yè)的網(wǎng)絡(luò)是安全的,企業(yè)網(wǎng)絡(luò)安全不僅要求其單點(diǎn)是安全的,其整個(gè)信息網(wǎng)絡(luò)也必須是安全的,這就要從各個(gè)方面對(duì)網(wǎng)絡(luò)加強(qiáng)防護(hù)措施,確保其能正常運(yùn)行,才能達(dá)到維護(hù)企業(yè)網(wǎng)絡(luò)安全的效果。為了確保整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全,最重要的是要明白那些安全隱患是如何產(chǎn)生的,從哪里來(lái)。網(wǎng)絡(luò)安全涉及到管理方面和技術(shù)方面,包括其網(wǎng)絡(luò)層,管理層,系統(tǒng)層上等各種風(fēng)險(xiǎn),只要任何一個(gè)方面出現(xiàn)問(wèn)題,安全隱患問(wèn)題就會(huì)很快暴露出來(lái),而這些安全隱患問(wèn)題都會(huì)造成企業(yè)的整個(gè)網(wǎng)絡(luò)無(wú)法正常工作,下面我根據(jù)企業(yè)網(wǎng)絡(luò)的基本情況,從網(wǎng)絡(luò)系統(tǒng)的各方面進(jìn)行系統(tǒng)地分析。

(一)操作系統(tǒng)存在的相關(guān)安全風(fēng)險(xiǎn)分析

電腦的系統(tǒng)安全的含義是指電腦的整個(gè)操作系統(tǒng)是安全的。操作系統(tǒng)是以能使電腦正常工作為出發(fā)點(diǎn),很少考慮到了安全性的問(wèn)題。因此在安裝操作系統(tǒng)的時(shí)候存在很多缺省的選項(xiàng),這必然會(huì)存在一定的風(fēng)險(xiǎn)。而又安裝了一些沒(méi)有什么作用的模塊,這樣不該開(kāi)放的端口也會(huì)處于開(kāi)放的狀態(tài),安全問(wèn)題自然就會(huì)馬上暴露出來(lái),然而目前電腦的整個(gè)操作系統(tǒng)現(xiàn)在并不完善,現(xiàn)有的操作系統(tǒng)不管是UNIX還是Windows的操作系統(tǒng)或是其他的一些應(yīng)用系統(tǒng),一定會(huì)將后門(mén)運(yùn)用到系統(tǒng)上。任何事物都不會(huì)是完美的,操作系統(tǒng)也一樣,它也存在一定的安全隱患,運(yùn)用后門(mén)就會(huì)存在很大的風(fēng)險(xiǎn)問(wèn)題。而操作系統(tǒng)的安全度和相關(guān)的配置及系統(tǒng)的相關(guān)應(yīng)用都有著密切的聯(lián)系,一旦缺少了好的適合操作系統(tǒng)的安全設(shè)備,就會(huì)導(dǎo)致一系列的安全問(wèn)題,就很容易被不法分子攻擊。

(二)網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析

1.企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅

根據(jù)有關(guān)的調(diào)查顯示,網(wǎng)絡(luò)中存在安全隱患主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)遭到攻擊目,而會(huì)讓企業(yè)內(nèi)部網(wǎng)絡(luò)有安全隱患,主要是因?yàn)槠髽I(yè)員工的泄密,故意亂用企業(yè)的重要信息資料,通過(guò)各種途徑將企業(yè)信息傳播給他人。

2.外部互聯(lián)網(wǎng)的威脅

企業(yè)的網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有互連。由于企業(yè)的整個(gè)網(wǎng)絡(luò)覆蓋的面積很廣,范圍也大,其內(nèi)部網(wǎng)絡(luò)就會(huì)面臨著更大更多的風(fēng)險(xiǎn),一些不法分子會(huì)想方設(shè)法進(jìn)到企業(yè)網(wǎng)絡(luò)的相關(guān)節(jié)點(diǎn)。員工主機(jī)上及網(wǎng)絡(luò)系統(tǒng)中的辦公系統(tǒng)都會(huì)有一些被泄漏的信息資料。無(wú)論企業(yè)內(nèi)部網(wǎng)絡(luò)哪個(gè)電腦受到了損害,存在安全問(wèn)題,企業(yè)的其他的很多系統(tǒng)就會(huì)受到一定程度的影響,經(jīng)過(guò)不斷的傳播,連接到本網(wǎng)絡(luò)的任何其他單位的整個(gè)網(wǎng)絡(luò)系統(tǒng)也都會(huì)被影響,如果外部連接和內(nèi)部的連接之間沒(méi)有實(shí)行一些安全保護(hù)措施,內(nèi)部網(wǎng)絡(luò)就會(huì)很容易受到來(lái)自外網(wǎng)某些居心叵測(cè)的入侵者攻擊。

3.企業(yè)網(wǎng)絡(luò)的設(shè)備存在的安全隱患

企業(yè)網(wǎng)絡(luò)的所有設(shè)備由防火墻,路由器和交換機(jī)等組成,這些設(shè)備很重要,因?yàn)槠涠加兄鴱?fù)雜的設(shè)置程序,即使在被誤解和忽略的情況下也能使用,但卻沒(méi)有安全保障,它的安全性很低。

第6篇:網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

關(guān)鍵詞:SAWP2DR2C網(wǎng)絡(luò)安全防御模型;設(shè)計(jì);研究

1 靜態(tài)網(wǎng)絡(luò)安全模型的分析

傳統(tǒng)網(wǎng)絡(luò)安全模型又叫做靜態(tài)安全模型。美國(guó)可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)(TCSEC)是傳統(tǒng)安全模型中最典型最成功的模型,它代表著計(jì)算機(jī)安全模型從靜態(tài)安全模型過(guò)渡到動(dòng)態(tài)安全模型??墒?,該模型主要為單機(jī)系統(tǒng)設(shè)計(jì),沒(méi)有評(píng)估網(wǎng)絡(luò)系統(tǒng)的脆弱性,而動(dòng)態(tài)網(wǎng)絡(luò)安全模型更多考慮的是來(lái)自網(wǎng)絡(luò)的威脅與攻擊。

傳統(tǒng)的網(wǎng)絡(luò)安全模型應(yīng)對(duì)不了動(dòng)態(tài)的網(wǎng)絡(luò)威脅。雖然靜態(tài)安全模型推動(dòng)了數(shù)據(jù)庫(kù)、操作系統(tǒng)等方面的安全發(fā)展,但是隨著越來(lái)越多的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)自身的深入發(fā)展,靜態(tài)安全模型已經(jīng)無(wú)法適應(yīng)目前的技術(shù)需要了。

2 P2DR網(wǎng)絡(luò)安全模型的分析

P2DR網(wǎng)絡(luò)安全模型是一種以PDR模型為核心的動(dòng)態(tài)自適應(yīng)網(wǎng)絡(luò)安全模型。自從ISS公司在20世紀(jì)90年代提出后,各行業(yè)不斷改進(jìn)的網(wǎng)絡(luò)安全模型和采用的相應(yīng)解決方案一般都是在此模型的基礎(chǔ)上提出的,它是國(guó)內(nèi)外在信息系統(tǒng)中應(yīng)用最廣泛的安全模型。該模型基于閉環(huán)控制理論,以安全策略為中心,引入了時(shí)間的概念,在傳統(tǒng)安全模型基礎(chǔ)上做了重大的改進(jìn)。

P2DR模型由安全策略(Policy)、(防護(hù)Protection)、檢測(cè)(Detection)和響應(yīng)(Response)四個(gè)部分組成。它的原理是:在安全策略的控制和指導(dǎo)下,運(yùn)用如防火墻、數(shù)字簽名、身份認(rèn)證等各種防護(hù)手段,實(shí)時(shí)對(duì)系統(tǒng)進(jìn)行安全檢測(cè),并通過(guò)各種響應(yīng)機(jī)制保護(hù)系統(tǒng),降低網(wǎng)絡(luò)風(fēng)險(xiǎn)性,從而提高網(wǎng)絡(luò)性能。

P2DR模型也存在一定的弱點(diǎn),它忽略了系統(tǒng)內(nèi)在的變化因素和人為因素。除了防護(hù)、檢測(cè)和響應(yīng)三個(gè)環(huán)節(jié)外,優(yōu)化網(wǎng)絡(luò)系統(tǒng)、提升網(wǎng)絡(luò)管理人員的素質(zhì),都是該模型沒(méi)有涉及到的。

3 SAWP2DR2C網(wǎng)絡(luò)安全防御模型的結(jié)構(gòu)

為了更有效地解決各種新型的網(wǎng)絡(luò)安全威脅,在P2DR網(wǎng)絡(luò)安全模型基礎(chǔ)上,我們提出了更具動(dòng)態(tài)特征的主動(dòng)式動(dòng)態(tài)網(wǎng)絡(luò)安全模型-SAWP2DR2C模型。

如圖1所示,該模型分成八個(gè)部分:安全策略(P)、服務(wù)需求/風(fēng)險(xiǎn)評(píng)估(S/A)、預(yù)警系統(tǒng)(W)、安全防護(hù)(P)、安全檢測(cè)(D)、響應(yīng)(R)、恢復(fù)(R)和反擊(C),各部分之間相互依賴,形成一個(gè)閉合的循環(huán)的系統(tǒng)。

圖1 SAWP2DR2C模型示意圖

(1)安全策略(Policy)整個(gè)模型的核心就是安全策略。模型中的每個(gè)環(huán)節(jié)都在安全策略的控制與指導(dǎo)下進(jìn)行。網(wǎng)絡(luò)安全策略的制定,要綜合考慮網(wǎng)絡(luò)預(yù)警情況、通信情況,要進(jìn)行風(fēng)險(xiǎn)分析;當(dāng)實(shí)施安全方案時(shí),還需根據(jù)安全策略進(jìn)行系統(tǒng)防護(hù)、檢測(cè)、響應(yīng)恢復(fù)和主動(dòng)反擊。

(2)服務(wù)需求/風(fēng)險(xiǎn)分析(Service/Analysis)服務(wù)需求是個(gè)動(dòng)態(tài)變化的過(guò)程,也是整個(gè)網(wǎng)絡(luò)安全的前提條件。要想提高系統(tǒng)防御功能,提高速度,就一定要針對(duì)特定的服務(wù)進(jìn)行風(fēng)險(xiǎn)分析,制定與之對(duì)應(yīng)的安全策略。

(3)預(yù)警(Warning)依據(jù)已有的網(wǎng)絡(luò)攻擊手段和攻擊方法,結(jié)合當(dāng)前網(wǎng)絡(luò)系統(tǒng)的具體情況,對(duì)系統(tǒng)未來(lái)可能受到的攻擊及危害進(jìn)行預(yù)測(cè)。這個(gè)環(huán)節(jié)中可以讓多個(gè)計(jì)算機(jī)系統(tǒng)協(xié)同工作,將單機(jī)防御機(jī)制變?yōu)槁?lián)合協(xié)作機(jī)制。

(4)防護(hù)(Protection)通過(guò)加密、防火墻技術(shù)、認(rèn)證、數(shù)字簽名等技術(shù),防御來(lái)自外界的網(wǎng)絡(luò)攻擊,同時(shí)切斷內(nèi)部的非法訪問(wèn)在一定程度上提高安全性能阻斷黑客攻擊。

(5)監(jiān)控(Detection)實(shí)時(shí)監(jiān)測(cè)可以通過(guò)動(dòng)態(tài)的性能監(jiān)測(cè)、蜜罐誘騙、入侵檢測(cè)和漏洞掃描等方法及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的薄弱環(huán)節(jié),它是整個(gè)模型動(dòng)態(tài)性的體現(xiàn),是主動(dòng)對(duì)抗網(wǎng)絡(luò)攻擊的有力依據(jù)。如果監(jiān)控到網(wǎng)絡(luò)受到攻擊或是掃描到網(wǎng)絡(luò)存在漏洞,立即做出修補(bǔ)并將反饋結(jié)果傳遞到下一模塊中。

(6)響應(yīng)(Response)當(dāng)網(wǎng)絡(luò)遭到入侵并在一定程度上遭到了損害后,由響應(yīng)模塊進(jìn)行緊急處理,響應(yīng)是解決安全潛在性問(wèn)題的最有效的方法。

(7)恢復(fù)(Recovery)恢復(fù)是指綜合運(yùn)用系統(tǒng)升級(jí)、打補(bǔ)丁等方式將遭受破壞的網(wǎng)絡(luò)系統(tǒng)復(fù)原到未遭受破壞之前的狀態(tài),在恢復(fù)模塊中,可以將發(fā)生安全事故時(shí)丟失的信息找回,或是利用軟件升級(jí)和打補(bǔ)丁等手段修復(fù)網(wǎng)絡(luò)?;謴?fù)是實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)絡(luò)安全的保證,是系統(tǒng)生存能力的重要體現(xiàn)。

(8)反擊(Counterattack)當(dāng)網(wǎng)絡(luò)遭到攻擊時(shí),網(wǎng)絡(luò)安全系統(tǒng)追蹤黑客的攻擊信息,記錄網(wǎng)絡(luò)攻擊者采用的攻擊手段和手段,以此作為追究責(zé)任的依據(jù)。采用欺騙類(lèi)、阻塞類(lèi)、控制類(lèi)、探測(cè)類(lèi)和追蹤定位等技術(shù)方法進(jìn)行有力的反擊,使攻擊失敗,提高網(wǎng)絡(luò)的安全性能。

該網(wǎng)絡(luò)安全模型各部分間相互獨(dú)立又相互依賴,彼此協(xié)調(diào)工作,形成一個(gè)閉合的循環(huán)的圓環(huán)。通過(guò)各個(gè)模塊的協(xié)調(diào)工作,網(wǎng)絡(luò)的整體安全性得到提升。

4 SAWP2DR2C網(wǎng)絡(luò)安全模型的五級(jí)網(wǎng)絡(luò)安全因素

SAWP2DR2C網(wǎng)絡(luò)安全模型包含五級(jí)網(wǎng)絡(luò)安全因素。

(1)物理層安全。包括通信線路、物理設(shè)備和環(huán)境的安全等。在物理層上主要通過(guò)制定物理層面的管理規(guī)范和措施來(lái)提供安全解決方案。

(2)系統(tǒng)層安全。該層的安全問(wèn)題來(lái)自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)。安全性問(wèn)題表現(xiàn)為操作系統(tǒng)本身的不安全因素。

(3)網(wǎng)絡(luò)層安全。網(wǎng)絡(luò)層的安全防護(hù)是面向IP包的。該層的安全問(wèn)題主要指網(wǎng)絡(luò)信息的安全性。

(4)應(yīng)用層安全。該層的安全考慮網(wǎng)絡(luò)對(duì)用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性。

(5)管理層安全。包括安全技術(shù)和設(shè)備的管理、安全管理制度等。管理的制度化程度極大地影響著整個(gè)網(wǎng)絡(luò)的安全。嚴(yán)格安全管理制度、明確部門(mén)安全職責(zé)劃分及合理定義人員角色都可以在很大程度上減少安全漏洞。

5 結(jié)束語(yǔ)

SAWP2DR2C網(wǎng)絡(luò)安全防御模型在P2DR網(wǎng)絡(luò)安全模型基礎(chǔ)上進(jìn)行了優(yōu)化和改進(jìn),使之更具有主動(dòng)性,大大提高了網(wǎng)絡(luò)的安全性,結(jié)合各種防御技術(shù),可以綜合應(yīng)用在校園、企業(yè)等社會(huì)各界上,形成安全性更高的防御體系。

參考文獻(xiàn)

[1]雷明.校園網(wǎng)環(huán)境的網(wǎng)絡(luò)安全防御研究與實(shí)踐[D].電子科技大學(xué),2009.

[2]肖薇薇.企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全體系的設(shè)計(jì)與實(shí)現(xiàn)[D].大連海事大學(xué),2011.

第7篇:網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

關(guān)鍵詞 電子商務(wù)安全,風(fēng)險(xiǎn)管理,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)控制

1 引言

隨著開(kāi)放的互聯(lián)網(wǎng)絡(luò)系統(tǒng)Internet的飛速發(fā)展,電子商務(wù)的應(yīng)用和推廣極大了改變了人們工作和生活方式,帶來(lái)了無(wú)限的商機(jī)。然而,電子商務(wù)發(fā)展所依托的平臺(tái)—互聯(lián)網(wǎng)絡(luò)卻充滿了巨大、復(fù)雜的安全風(fēng)險(xiǎn)。黑客的攻擊、病毒的肆虐等等都使得電子商務(wù)業(yè)務(wù)很難安全順利地開(kāi)展;此外,電子商務(wù)的發(fā)展還面臨著嚴(yán)峻的內(nèi)部風(fēng)險(xiǎn),電子商務(wù)企業(yè)內(nèi)部對(duì)安全問(wèn)題的盲目和安全意識(shí)的淡薄,高層領(lǐng)導(dǎo)對(duì)電子商務(wù)的運(yùn)作和安全管理重視程度不足,使得企業(yè)實(shí)施電子商務(wù)不可避免地會(huì)遇到這樣或那樣的風(fēng)險(xiǎn)。因此,在考察電子商務(wù)運(yùn)行環(huán)境、提供電子商務(wù)安全解決方案的同時(shí),有必要重點(diǎn)評(píng)估電子商務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)問(wèn)題以及對(duì)風(fēng)險(xiǎn)有效管理和控制方法。

電子商務(wù)安全的風(fēng)險(xiǎn)管理是對(duì)電子商務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、衡量、分析,并在這基礎(chǔ)上盡可能地以最低的成本和代價(jià)實(shí)現(xiàn)盡可能大的安全保障的科學(xué)管理方法。

2 電子商務(wù)面臨的安全風(fēng)險(xiǎn)

由于網(wǎng)絡(luò)的復(fù)雜性和脆弱性,以因特網(wǎng)為主要平臺(tái)的電子商務(wù)的發(fā)展面臨著嚴(yán)峻的安全問(wèn)題。一般來(lái)說(shuō),電子商務(wù)普遍存在著以下幾個(gè)安全風(fēng)險(xiǎn):

1)信息的截獲和竊取

這是指電子商務(wù)相關(guān)用戶或外來(lái)者未經(jīng)授權(quán)通過(guò)各種技術(shù)手段截獲和竊取他人的文電內(nèi)容以獲取商業(yè)機(jī)密。

2)信息的篡改

網(wǎng)絡(luò)攻擊者依靠各種技術(shù)方法和手段對(duì)傳輸?shù)男畔⑦M(jìn)行中途的篡改、刪除或插入,并發(fā)往目的地,從而達(dá)到破壞信息完整性的目的。

3)拒絕服務(wù)

拒絕服務(wù)是指在一定時(shí)間內(nèi),網(wǎng)絡(luò)系統(tǒng)或服務(wù)器服務(wù)系統(tǒng)的作用完全失效。其主要原因來(lái)自黑客和病毒的攻擊以及計(jì)算機(jī)硬件的認(rèn)為破壞。

4)系統(tǒng)資源失竊問(wèn)題

在網(wǎng)絡(luò)系統(tǒng)環(huán)境中,系統(tǒng)資源失竊是常見(jiàn)的安全威脅。

5)信息的假冒

信息的假冒是指當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息后,可以假冒合法用戶或假冒信息來(lái)欺騙其它用戶。主要表現(xiàn)形式有假冒客戶進(jìn)行非法交易,偽造電子郵件等。

6)交易的抵賴

交易抵賴包括發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息;買(mǎi)家做了定單后不承認(rèn);賣(mài)家賣(mài)出的商品因價(jià)格差而不承認(rèn)原先的交易等。

3 風(fēng)險(xiǎn)管理規(guī)則

針對(duì)電子商務(wù)面臨的各種安全風(fēng)險(xiǎn),電子商務(wù)企業(yè)不能被動(dòng)、消極地應(yīng)付,而應(yīng)該主動(dòng)采取措施維護(hù)電子商務(wù)系統(tǒng)的安全,并監(jiān)視新的威脅和漏洞。因此,這就需要制定完整高效的電子商務(wù)安全風(fēng)險(xiǎn)管理規(guī)則。

一般來(lái)說(shuō),風(fēng)險(xiǎn)管理規(guī)則的制定過(guò)程有評(píng)估、開(kāi)發(fā)和實(shí)施以及運(yùn)行三個(gè)階段。

(1)評(píng)估階段

該階段的主要任務(wù)是對(duì)電子商務(wù)的安全現(xiàn)狀、要保護(hù)的信息、各種資產(chǎn)等進(jìn)行充分的評(píng)估以及一些基本的安全風(fēng)險(xiǎn)識(shí)別和分析。

對(duì)電子商務(wù)安全現(xiàn)狀的評(píng)估是制定風(fēng)險(xiǎn)管理規(guī)則的基礎(chǔ)。

對(duì)信息和資產(chǎn)的評(píng)估是指對(duì)可能遭受損失的相關(guān)信息和資產(chǎn)進(jìn)行價(jià)值的評(píng)估,以便確定相適應(yīng)的風(fēng)險(xiǎn)管理規(guī)則,從而避免投入成本和要保護(hù)的信息和資產(chǎn)的嚴(yán)重不匹配。

安全風(fēng)險(xiǎn)識(shí)別要求盡可能地發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn),應(yīng)收集有關(guān)各種威脅、漏洞、開(kāi)發(fā)和對(duì)策的信息。

安全風(fēng)險(xiǎn)分析是確定風(fēng)險(xiǎn),收集信息,對(duì)可能造成的損失進(jìn)行評(píng)價(jià)以估計(jì)風(fēng)險(xiǎn)的級(jí)別,以便做出明智的決策,從而采取措施來(lái)規(guī)避安全風(fēng)險(xiǎn)。

(2)開(kāi)發(fā)和實(shí)施階段

該階段的任務(wù)包括風(fēng)險(xiǎn)補(bǔ)救措施開(kāi)發(fā)、風(fēng)險(xiǎn)補(bǔ)救措施測(cè)試和風(fēng)險(xiǎn)知識(shí)學(xué)習(xí)。

風(fēng)險(xiǎn)補(bǔ)救措施開(kāi)發(fā)利用評(píng)估階段的成果來(lái)建立一個(gè)新的安全管理策略,其中涉及配置管

理、修補(bǔ)程序管理、系統(tǒng)監(jiān)視與審核等等。

在完成對(duì)風(fēng)險(xiǎn)補(bǔ)救措施的開(kāi)發(fā)后,即進(jìn)行安全風(fēng)險(xiǎn)補(bǔ)救措施的測(cè)試,在測(cè)試過(guò)程中,將按照安全風(fēng)險(xiǎn)的控制效果來(lái)評(píng)估對(duì)策的有效性。

(3)運(yùn)行階段

運(yùn)行階段的主要任務(wù)包括在新的安全風(fēng)險(xiǎn)管理規(guī)則下評(píng)估新的安全風(fēng)險(xiǎn)。這個(gè)過(guò)程實(shí)際上是變更管理的過(guò)程,也是執(zhí)行安全配置管理的過(guò)程。

運(yùn)行階段的第二個(gè)任務(wù)是對(duì)新的或已更改的對(duì)策進(jìn)行穩(wěn)定性測(cè)試和部署。這個(gè)過(guò)程由系統(tǒng)管理、安全管理和網(wǎng)絡(luò)管理小組來(lái)共同實(shí)施。

以上風(fēng)險(xiǎn)管理規(guī)則的三個(gè)階段可以用下圖來(lái)表示:

4 風(fēng)險(xiǎn)管理步驟

風(fēng)險(xiǎn)管理是識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)并制定風(fēng)險(xiǎn)管理計(jì)劃的過(guò)程。電子商務(wù)安全風(fēng)險(xiǎn)的管理和控制方法,它包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)控制以及風(fēng)險(xiǎn)監(jiān)控等四個(gè)方面。

(1)風(fēng)險(xiǎn)識(shí)別

電子商務(wù)系統(tǒng)的安全要求是通過(guò)對(duì)風(fēng)險(xiǎn)的系統(tǒng)評(píng)估而確認(rèn)的。為了有效管理電子商務(wù)安全風(fēng)險(xiǎn),識(shí)別安全風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理的第一步。

風(fēng)險(xiǎn)識(shí)別是在收集有關(guān)各種威脅、漏洞和相關(guān)對(duì)策等信息的基礎(chǔ)上,識(shí)別各種可能對(duì)電子商務(wù)系統(tǒng)造成潛在威脅的安全風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)識(shí)別的手段五花八門(mén),對(duì)于電子商務(wù)系統(tǒng)的安全來(lái)說(shuō),風(fēng)險(xiǎn)識(shí)別的目標(biāo)是主要是對(duì)電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)、數(shù)據(jù)存在風(fēng)險(xiǎn)和網(wǎng)上支付風(fēng)險(xiǎn)進(jìn)行識(shí)別。

需要注意的是,并非所有的電子商務(wù)安全風(fēng)險(xiǎn)都可以通過(guò)風(fēng)險(xiǎn)識(shí)別來(lái)進(jìn)行管理,風(fēng)險(xiǎn)識(shí)別只能發(fā)現(xiàn)已知的風(fēng)險(xiǎn)或根據(jù)已知風(fēng)險(xiǎn)較容易獲知的潛在風(fēng)險(xiǎn)。而對(duì)于大部分的未知風(fēng)險(xiǎn),則依賴于風(fēng)險(xiǎn)分析和控制來(lái)加以解決或降低。

(2)風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析是運(yùn)用分析、比較、評(píng)估等各種定性、定量的方法,確定電子商務(wù)安全各風(fēng)險(xiǎn)要素的重要性,對(duì)風(fēng)險(xiǎn)排序并評(píng)估其對(duì)電子商務(wù)系統(tǒng)各方面的可能后果,從而使電子商務(wù)系統(tǒng)項(xiàng)目實(shí)施人員可以將主要精力放在對(duì)付為數(shù)不多的重要安全風(fēng)險(xiǎn)上,使電子商務(wù)系統(tǒng)的整體風(fēng)險(xiǎn)得到有效的控制。風(fēng)險(xiǎn)分析是一種確定風(fēng)險(xiǎn)以及對(duì)可能造成的損失進(jìn)行評(píng)估的方法,它是制定安全措施的依據(jù)。

風(fēng)險(xiǎn)分析的目標(biāo)是:確定風(fēng)險(xiǎn),對(duì)可能造成損壞的潛在風(fēng)險(xiǎn)進(jìn)行定性化和定量化,以及最后在經(jīng)濟(jì)上尋求風(fēng)險(xiǎn)損失和對(duì)風(fēng)險(xiǎn)投入成本的平衡。

目前,風(fēng)險(xiǎn)分析主要采用的方法有:風(fēng)險(xiǎn)概率/影響評(píng)估矩陣,敏感性分析,模擬等。在進(jìn)行電子商務(wù)安全風(fēng)險(xiǎn)分析時(shí),由于各影響因素量化在現(xiàn)實(shí)上的困難,可根據(jù)實(shí)際需要,主要采用定性方法為主輔以少量定量方法相結(jié)合來(lái)進(jìn)行風(fēng)險(xiǎn)分析,為制定風(fēng)險(xiǎn)管理制度和風(fēng)險(xiǎn)的控制提供理論上的依據(jù)。

(3)風(fēng)險(xiǎn)控制

風(fēng)險(xiǎn)控制就是選擇和運(yùn)用一定的風(fēng)險(xiǎn)控制手段,以保障風(fēng)險(xiǎn)降到一個(gè)可以接受的水平。風(fēng)險(xiǎn)控制是風(fēng)險(xiǎn)管理中最重要的一個(gè)環(huán)節(jié),是決定風(fēng)險(xiǎn)管理成敗的關(guān)鍵因素。電子商務(wù)安全風(fēng)險(xiǎn)控制的目標(biāo)在于改變企業(yè)電子商務(wù)項(xiàng)目所承受的風(fēng)險(xiǎn)程度。

一般來(lái)說(shuō),風(fēng)險(xiǎn)控制方法有兩類(lèi):

第一類(lèi)是風(fēng)險(xiǎn)控制措施,比如降低、避免、轉(zhuǎn)移風(fēng)險(xiǎn)和損失管理等。在電子商務(wù)安全風(fēng)險(xiǎn)管理中,比較常用的是轉(zhuǎn)移風(fēng)險(xiǎn)和損失管理。

第二類(lèi)為風(fēng)險(xiǎn)補(bǔ)償?shù)幕I資措施,包括保險(xiǎn)與自擔(dān)風(fēng)險(xiǎn)。在電子商務(wù)安全風(fēng)險(xiǎn)

管理中,管理人員需要對(duì)風(fēng)險(xiǎn)補(bǔ)償?shù)幕I資措施進(jìn)行決策,即選擇保險(xiǎn)還是自擔(dān)風(fēng)險(xiǎn)。

此外,風(fēng)險(xiǎn)控制方法的選擇應(yīng)當(dāng)充分考慮相對(duì)風(fēng)險(xiǎn)造成損失的成本,當(dāng)然其它方面的影響也是不容忽視的,如企業(yè)商譽(yù)等。

對(duì)電子商務(wù)安全來(lái)說(shuō),其有效可行的風(fēng)險(xiǎn)控制方法是:建立完整高效的降低風(fēng)險(xiǎn)的安全性解決方案,掌握保障安全性所需的一些基礎(chǔ)技術(shù),并規(guī)劃好發(fā)生特定安全事故時(shí)企業(yè)應(yīng)該采取的解決方案。

5 風(fēng)險(xiǎn)管理對(duì)策

由于電子商務(wù)安全的重要性,所以部署一個(gè)完整有效的電子商務(wù)安全風(fēng)險(xiǎn)管理對(duì)策顯得十分迫切。制定電子商務(wù)安全風(fēng)險(xiǎn)管理對(duì)策目的在于消除潛在的威脅和安全漏洞,從而降低電子商務(wù)系統(tǒng)環(huán)境所面臨的風(fēng)險(xiǎn)。

目前的電子商務(wù)安全風(fēng)險(xiǎn)管理對(duì)策中,較為常用的是縱深防御戰(zhàn)略,所謂縱深防御戰(zhàn)略,就是深層安全和多層安全。通過(guò)部署多層安全保護(hù),可以確保當(dāng)其中一層遭到破壞時(shí),其它層仍能提供保護(hù)電子商務(wù)系統(tǒng)資源所需的安全。比如,一個(gè)單位外部的防火墻遭到破壞,由于內(nèi)部防火墻的作用,入侵者也無(wú)法獲取單位的敏感數(shù)據(jù)或進(jìn)行破壞。在較為理想的情況下,每一層均提供不同的對(duì)策以免在不同的層中使用相同的攻擊方法。

下圖為一個(gè)有效的縱深防御策略:

圖2 有效的縱深防御策略

下面就各層的主要防御內(nèi)容從外層到里層進(jìn)行簡(jiǎn)要的說(shuō)明:

1)物理安全

物理安全是整個(gè)電子商務(wù)系統(tǒng)安全的前提。制定電子商務(wù)物理安全策略的目的在于保護(hù)計(jì)算機(jī)系統(tǒng)、電子商務(wù)服務(wù)器等各電子商務(wù)系統(tǒng)硬件實(shí)體和通信鏈路免受自然災(zāi)害和人為破壞造成的安全風(fēng)險(xiǎn)。

2)周邊防御

對(duì)網(wǎng)絡(luò)周邊的保護(hù)能夠起到抵御外界攻擊的作用。電子商務(wù)系統(tǒng)應(yīng)盡可能安裝某種類(lèi)型的安全設(shè)備來(lái)保護(hù)網(wǎng)絡(luò)的每個(gè)訪問(wèn)節(jié)點(diǎn)。在技術(shù)上來(lái)說(shuō),防火墻是網(wǎng)絡(luò)周邊防御的最主要的手段,電子商務(wù)系統(tǒng)應(yīng)當(dāng)安裝一道或多道防火墻,以確保最大限度地降低外界攻擊的風(fēng)險(xiǎn),并利用入侵檢測(cè)功能來(lái)及時(shí)發(fā)現(xiàn)外界的非法訪問(wèn)和攻擊。

3)網(wǎng)絡(luò)防御

網(wǎng)絡(luò)防御是對(duì)網(wǎng)絡(luò)系統(tǒng)環(huán)境進(jìn)行評(píng)估,采取一定措施來(lái)抵御黑客的攻擊,以確保它們得到適當(dāng)?shù)谋Wo(hù)。就目前來(lái)說(shuō),網(wǎng)絡(luò)安全防御行為是一種被動(dòng)式的反應(yīng)行為,而且,防御技術(shù)的發(fā)展速度也沒(méi)有攻擊技術(shù)發(fā)展得那么快。為了提高網(wǎng)絡(luò)安全防御能力,使網(wǎng)絡(luò)安全防護(hù)系統(tǒng)在攻擊與防護(hù)的對(duì)抗中占據(jù)主動(dòng)地位,在網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中,除了使用被動(dòng)型安全工具(防火墻、漏洞掃描等)外,也需要采用主動(dòng)型安全防護(hù)措施(如:網(wǎng)絡(luò)陷阱、入侵取證、入侵檢測(cè)、自動(dòng)恢復(fù)等)。

4)主機(jī)防御

主機(jī)防御是對(duì)系統(tǒng)中的每一臺(tái)主機(jī)進(jìn)行安全評(píng)估,然后根據(jù)評(píng)估結(jié)果制定相應(yīng)的對(duì)策以限制服務(wù)器執(zhí)行的任務(wù)。在主機(jī)及其環(huán)境中,安全保護(hù)對(duì)象包括用戶應(yīng)用環(huán)境中的服務(wù)器、客戶機(jī)以及其上安裝的操作系統(tǒng)和應(yīng)用系統(tǒng)。這些應(yīng)用能夠提供包括信息訪問(wèn)、存儲(chǔ)、傳輸、錄入等在內(nèi)的服務(wù)。根據(jù)信息保障技術(shù)框架,對(duì)主機(jī)及其環(huán)境的安全保護(hù)首先是為了建立防止有惡意的內(nèi)部人員攻擊的首道防線,其次是為了防止外部人員穿越系統(tǒng)保護(hù)邊界并進(jìn)行攻擊的最后防線。

5)應(yīng)用程序防御

作為一個(gè)防御層,應(yīng)用程序的加固是任何一種安全模型中都不可缺少的一部分。加強(qiáng)保護(hù)操作系統(tǒng)安全只能提供一定程度的保護(hù)。因此,電子商務(wù)系統(tǒng)的開(kāi)發(fā)人員有責(zé)任將安全保護(hù)融入到應(yīng)用程序中,以便對(duì)體系結(jié)構(gòu)中應(yīng)用程序可訪問(wèn)到的區(qū)域提供專(zhuān)門(mén)的保護(hù)。應(yīng)用程序存在于系統(tǒng)的環(huán)境中。

6)數(shù)據(jù)防御

對(duì)許多電子商務(wù)企業(yè)來(lái)說(shuō),數(shù)據(jù)就是企業(yè)的資產(chǎn),一旦落入競(jìng)爭(zhēng)者手中或損壞將造成不可挽回的損失。因此,加強(qiáng)對(duì)電子商務(wù)交易及相關(guān)數(shù)據(jù)的防護(hù),對(duì)電子商務(wù)系統(tǒng)的安全和電子商務(wù)項(xiàng)目的正常運(yùn)行具有重要的現(xiàn)實(shí)意義

6 結(jié)論

一般來(lái)說(shuō),風(fēng)險(xiǎn)管理有基本的三個(gè)對(duì)策,包括管理者采取適當(dāng)措施來(lái)降低風(fēng)險(xiǎn)事故發(fā)生的概率;管理者準(zhǔn)備并實(shí)施一個(gè)意外事故應(yīng)急計(jì)劃以備不測(cè);還有就是管理者什么都不做。對(duì)已選定的對(duì)策,應(yīng)對(duì)其潛在的風(fēng)險(xiǎn)有充分的估計(jì),并制定相應(yīng)的應(yīng)變計(jì)劃,以使可能的風(fēng)險(xiǎn)損失降到最低。

風(fēng)險(xiǎn)管理沒(méi)有鐵定的規(guī)則,對(duì)于電子商務(wù)安全風(fēng)險(xiǎn)管理來(lái)說(shuō),首先是掃描和檢測(cè)電子商務(wù)系統(tǒng)的內(nèi)外部環(huán)境,檢查系統(tǒng)的脆弱性和薄弱環(huán)節(jié),及時(shí)打上補(bǔ)丁和追加設(shè)備,以便當(dāng)風(fēng)險(xiǎn)產(chǎn)生時(shí)盡可能地減少損失;其次是對(duì)電子商務(wù)安全風(fēng)險(xiǎn)進(jìn)行充分地分析,然后制定相應(yīng)的規(guī)劃和措施,并在其實(shí)施的每個(gè)階段進(jìn)行監(jiān)控和跟蹤;最后是根據(jù)環(huán)境的變化隨時(shí)調(diào)險(xiǎn)管理措施,制定完備的災(zāi)難恢復(fù)計(jì)劃。

參考文獻(xiàn)

[1]甘早斌.電子商務(wù)概論(第二版).華中科技大學(xué)出版社.2003.9

[2]鐘誠(chéng).電子商務(wù)安全.重慶大學(xué)出版社.2004.6

[3]才書(shū)訓(xùn).電子商務(wù)安全風(fēng)險(xiǎn)管理與控制.東北大學(xué)出版社.2004.6

[4]易珊,張學(xué)哲.電子商務(wù)安全策略分析.科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì).2004.5

[5]高新亞,鄒靜.電子商務(wù)安全的風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理.武漢理工大學(xué)學(xué)報(bào).信息與管理工程版.2005.8

[6]郭學(xué)勤,陳怡.電子商務(wù)安全對(duì)策.計(jì)算機(jī)與數(shù)字工程.2001.7

[7]李晶.電子商務(wù)安全防范措施.安徽科技.2003.4

第8篇:網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

1.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全

2.用戶參與對(duì)信息安全管理有效性的影響——多重中介方法

3.基于信息安全風(fēng)險(xiǎn)評(píng)估的檔案信息安全保障體系構(gòu)架與構(gòu)建流程

4.論電子檔案開(kāi)放利用中信息安全保障存在的問(wèn)題與對(duì)策

5.美國(guó)網(wǎng)絡(luò)信息安全治理機(jī)制及其對(duì)我國(guó)之啟示

6.制度壓力、信息安全合法化與組織績(jī)效——基于中國(guó)企業(yè)的實(shí)證研究

7.“棱鏡”折射下的網(wǎng)絡(luò)信息安全挑戰(zhàn)及其戰(zhàn)略思考

8.再論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全

9.“云計(jì)算”時(shí)代的法律意義及網(wǎng)絡(luò)信息安全法律對(duì)策研究

10.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)對(duì)策

11.網(wǎng)絡(luò)信息安全防范與Web數(shù)據(jù)挖掘技術(shù)的整合研究

12.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問(wèn)題及其對(duì)策

13.處罰對(duì)信息安全策略遵守的影響研究——威懾理論與理性選擇理論的整合視角

14.論國(guó)民信息安全素養(yǎng)的培養(yǎng)

15.國(guó)民信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系構(gòu)建研究

16.高校信息安全風(fēng)險(xiǎn)分析與保障策略研究

17.大數(shù)據(jù)信息安全風(fēng)險(xiǎn)框架及應(yīng)對(duì)策略研究

18.信息安全學(xué)科體系結(jié)構(gòu)研究

19.檔案信息安全保障體系框架研究

20.美國(guó)關(guān)鍵基礎(chǔ)設(shè)施信息安全監(jiān)測(cè)預(yù)警機(jī)制演進(jìn)與啟示

21.美國(guó)政府采購(gòu)信息安全法律制度及其借鑒

22.“5432戰(zhàn)略”:國(guó)家信息安全保障體系框架研究

23.智慧城市建設(shè)對(duì)城市信息安全的強(qiáng)化與沖擊分析

24.信息安全技術(shù)體系研究

25.電力系統(tǒng)信息安全研究綜述

26.美國(guó)電力行業(yè)信息安全工作現(xiàn)狀與特點(diǎn)分析

27.國(guó)家信息安全協(xié)同治理:美國(guó)的經(jīng)驗(yàn)與啟示

28.論大數(shù)據(jù)時(shí)代信息安全的新特點(diǎn)與新要求

29.構(gòu)建基于信息安全風(fēng)險(xiǎn)評(píng)估的檔案信息安全保障體系必要性研究

30.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展

31.電子文件信息安全管理評(píng)估體系研究

32.社交網(wǎng)絡(luò)中用戶個(gè)人信息安全保護(hù)研究

33.信息安全與網(wǎng)絡(luò)社會(huì)法律治理:空間、戰(zhàn)略、權(quán)利、能力——第五屆中國(guó)信息安全法律大會(huì)會(huì)議綜述

34.三網(wǎng)融合下的信息安全問(wèn)題

35.云計(jì)算環(huán)境下信息安全分析

36.信息安全風(fēng)險(xiǎn)評(píng)估研究綜述

37.淺談網(wǎng)絡(luò)信息安全技術(shù)

38.云計(jì)算時(shí)代的數(shù)字圖書(shū)館信息安全思考

39.“互聯(lián)網(wǎng)+金融”模式下的信息安全風(fēng)險(xiǎn)防范研究

40.故障樹(shù)分析法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用

41.信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析方法淺談

42.計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)

43.用戶信息安全行為研究述評(píng)

44.數(shù)字化校園信息安全立體防御體系的探索與實(shí)踐

45.大數(shù)據(jù)時(shí)代面臨的信息安全機(jī)遇和挑戰(zhàn)

46.企業(yè)信息化建設(shè)中的信息安全問(wèn)題

47.基于管理因素的企業(yè)信息安全事故分析

48.借鑒國(guó)際經(jīng)驗(yàn) 完善我國(guó)電子政務(wù)信息安全立法

49.美國(guó)信息安全法律體系考察及其對(duì)我國(guó)的啟示

50.論網(wǎng)絡(luò)信息安全合作的國(guó)際規(guī)則制定  

51.國(guó)外依法保障網(wǎng)絡(luò)信息安全措施比較與啟示

52.云計(jì)算下的信息安全問(wèn)題研究

53.云計(jì)算信息安全分析與實(shí)踐

54.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考

55.歐盟信息安全法律框架之解讀

56.組織信息安全文化的角色與建構(gòu)研究

57.國(guó)家治理體系現(xiàn)代化視域下地理信息安全組織管理體制的重構(gòu)

58.信息安全本科專(zhuān)業(yè)的人才培養(yǎng)與課程體系

59.美國(guó)電力行業(yè)信息安全運(yùn)作機(jī)制和策略分析

60.信息安全人因風(fēng)險(xiǎn)研究進(jìn)展綜述

61.信息安全:意義、挑戰(zhàn)與策略

62.工業(yè)控制系統(tǒng)信息安全新趨勢(shì)

63.基于MOOC理念的網(wǎng)絡(luò)信息安全系列課程教學(xué)改革

64.信息安全風(fēng)險(xiǎn)綜合評(píng)價(jià)指標(biāo)體系構(gòu)建和評(píng)價(jià)方法

65.企業(yè)群體間信息安全知識(shí)共享的演化博弈分析

66.智能電網(wǎng)信息安全及其對(duì)電力系統(tǒng)生存性的影響

67.中文版信息安全自我效能量表的修訂與校驗(yàn)

68.智慧城市環(huán)境下個(gè)人信息安全保護(hù)問(wèn)題分析及立法建議

69.基于決策樹(shù)的智能信息安全風(fēng)險(xiǎn)評(píng)估方法

70.互動(dòng)用電方式下的信息安全風(fēng)險(xiǎn)與安全需求分析

71.高校信息化建設(shè)進(jìn)程中信息安全問(wèn)題成因及對(duì)策探析

72.高校圖書(shū)館網(wǎng)絡(luò)信息安全問(wèn)題及解決方案

73.國(guó)內(nèi)信息安全研究發(fā)展脈絡(luò)初探——基于1980-2010年CNKI核心期刊的文獻(xiàn)計(jì)量與內(nèi)容分析

74.云會(huì)計(jì)下會(huì)計(jì)信息安全問(wèn)題探析

75.智慧城市信息安全風(fēng)險(xiǎn)評(píng)估模型構(gòu)建與實(shí)證研究

76.試論信息安全與信息時(shí)代的國(guó)家安全觀

77.IEC 62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)綜述

78.美國(guó)信息安全法律體系綜述及其對(duì)我國(guó)信息安全立法的借鑒意義

79.淺談網(wǎng)絡(luò)信息安全現(xiàn)狀

80.大學(xué)生信息安全素養(yǎng)分析與形成

81.車(chē)聯(lián)網(wǎng)環(huán)境下車(chē)載電控系統(tǒng)信息安全綜述

82.組織控制與信息安全制度遵守:面子傾向的調(diào)節(jié)效應(yīng)

83.信息安全管理領(lǐng)域研究現(xiàn)狀的統(tǒng)計(jì)分析與評(píng)價(jià)

84.網(wǎng)絡(luò)信息安全及網(wǎng)絡(luò)立法探討

85.神經(jīng)網(wǎng)絡(luò)在信息安全風(fēng)險(xiǎn)評(píng)估中應(yīng)用研究

86.信息安全風(fēng)險(xiǎn)評(píng)估模型的定性與定量對(duì)比研究

87.美國(guó)信息安全戰(zhàn)略綜述

88.信息安全風(fēng)險(xiǎn)評(píng)估的綜合評(píng)估方法綜述

89.信息安全產(chǎn)業(yè)與信息安全經(jīng)濟(jì)分析

90.信息安全政策體系構(gòu)建研究

91.智能電網(wǎng)物聯(lián)網(wǎng)技術(shù)架構(gòu)及信息安全防護(hù)體系研究

92.我國(guó)網(wǎng)絡(luò)信息安全立法研究

93.電力信息安全的監(jiān)控與分析

94.從復(fù)雜網(wǎng)絡(luò)視角評(píng)述智能電網(wǎng)信息安全研究現(xiàn)狀及若干展望

95.情報(bào)素養(yǎng):信息安全理論的核心要素

96.信息安全的發(fā)展綜述研究

97.俄羅斯聯(lián)邦信息安全立法體系及對(duì)我國(guó)的啟示

98.國(guó)家信息安全戰(zhàn)略的思考

第9篇:網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析范文

網(wǎng)絡(luò)系統(tǒng)隨著科技的進(jìn)步與時(shí)俱進(jìn),在不斷地發(fā)展下網(wǎng)絡(luò)技術(shù)的復(fù)雜性越來(lái)越高,而與之相對(duì)應(yīng)的攻擊技術(shù)也越來(lái)越發(fā)達(dá)。及時(shí)的做好網(wǎng)絡(luò)安全評(píng)估,研究評(píng)估方法具有重要的意義,可以有效地提高網(wǎng)絡(luò)安全系數(shù),防止網(wǎng)絡(luò)攻擊帶來(lái)的損失,也可以在相應(yīng)的條件下應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊,提升網(wǎng)絡(luò)系統(tǒng)的應(yīng)對(duì)復(fù)雜的環(huán)境下的能力,做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估十分重要。

1什么是網(wǎng)絡(luò)攻擊

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,信息資源共享已經(jīng)成為了時(shí)下流行的一種模式,人們開(kāi)始依賴于電腦,電腦給人們的生活、工作、生活帶來(lái)了便利。計(jì)算機(jī)的運(yùn)用越來(lái)越普遍,而如果在網(wǎng)絡(luò)中存在網(wǎng)絡(luò)漏洞就會(huì)成為一大重要的弊端。網(wǎng)絡(luò)作為新時(shí)代新型的信息系統(tǒng),為人類(lèi)帶來(lái)方便便捷的同時(shí)也面臨著巨大的威脅,為了進(jìn)行網(wǎng)絡(luò)安全的問(wèn)題,進(jìn)行安全的網(wǎng)絡(luò)管理,網(wǎng)絡(luò)攻擊便是其中威脅之一,應(yīng)該從根本上預(yù)防網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊指的是攻擊者利用網(wǎng)絡(luò)系統(tǒng)存在的漏洞對(duì)網(wǎng)絡(luò)進(jìn)行的硬件、軟件的攻擊,從而獲取其中的數(shù)據(jù)。網(wǎng)絡(luò)攻擊主要分為主動(dòng)攻擊和被動(dòng)攻擊兩種。1.1主動(dòng)攻擊主動(dòng)攻擊指的是在網(wǎng)絡(luò)攻擊時(shí)通過(guò)一些技術(shù)手段來(lái)篡改一些數(shù)據(jù),從而造成了虛假數(shù)據(jù)的產(chǎn)生,通過(guò)主動(dòng)攻擊可以使網(wǎng)絡(luò)產(chǎn)生一個(gè)未授權(quán)的效果,修改其中的重要數(shù)據(jù),偽造被攻擊用戶信息,偽裝、騙取其他用戶的信息,或是對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊破壞,達(dá)到了降低網(wǎng)絡(luò)性能,終止服務(wù)的目標(biāo),通過(guò)攻擊包圍目標(biāo)組織數(shù)據(jù),從而達(dá)到攻擊目的。1.2被動(dòng)攻擊被動(dòng)攻擊與主動(dòng)攻擊完全不同,被動(dòng)攻擊是通過(guò)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)不做任何修改,單一的竊取他人信息,如:地理位置、通信次數(shù)等私密信息,常利用竊聽(tīng)的手段來(lái)獲取信息。利用一臺(tái)機(jī)器攻擊范圍內(nèi)所有的信息,在網(wǎng)絡(luò)上進(jìn)行信息分析。對(duì)原有的信號(hào)進(jìn)行輻射。由于被動(dòng)攻擊的行為比較隱蔽,不會(huì)留下任何的痕跡,所以很難被檢測(cè),只能預(yù)防被動(dòng)攻擊,對(duì)重要信息進(jìn)行高度加密。被動(dòng)攻擊是主動(dòng)攻擊的預(yù)兆,一旦網(wǎng)絡(luò)被被動(dòng)攻擊后,主動(dòng)攻擊就會(huì)隨之而來(lái)。所以,進(jìn)行網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估尤為重要。2014年的著名黑客事件“伊朗黑客瞄準(zhǔn)航空系統(tǒng)”,該事件通過(guò)Cylance公布的長(zhǎng)達(dá)86頁(yè)的報(bào)告顯示,過(guò)去的兩年里伊朗黑客已經(jīng)直接攻擊、滲透了多個(gè)國(guó)家的政府機(jī)關(guān)、企業(yè)和重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò),受害國(guó)家包括美國(guó)、中國(guó)、英國(guó)、德國(guó)、加拿大以及土耳其等一十六個(gè)國(guó)家。泄露了大量旅客護(hù)照信息和機(jī)場(chǎng)員工信息以及機(jī)場(chǎng)機(jī)密。這些信息的泄露有助于不法分子通過(guò)安檢。類(lèi)似此類(lèi)事件的網(wǎng)絡(luò)攻擊事件還很多“美國(guó)醫(yī)療系統(tǒng)被黑”,“大型零售商家被黑”,“索尼影業(yè)被黑事件”等,這類(lèi)事件都給不同國(guó)家不同的企業(yè)帶來(lái)了巨大的損失。所以,重視網(wǎng)絡(luò)安全至關(guān)重要。

2網(wǎng)絡(luò)安全評(píng)估模型

為了增加網(wǎng)絡(luò)的安全性,構(gòu)建網(wǎng)絡(luò)安全評(píng)估模型,提出了一種綜合性的網(wǎng)絡(luò)安全評(píng)估方案,用來(lái)負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的安全工作,對(duì)安全工作進(jìn)行相對(duì)應(yīng)的協(xié)調(diào)和安排,將安全評(píng)估模型分布在各個(gè)網(wǎng)絡(luò),各個(gè)系統(tǒng)中,主要對(duì)主機(jī)上所有的組建進(jìn)行一個(gè)全面系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估。在安全評(píng)估模型中主要分為消息模塊相互協(xié)同,通信技術(shù)相互構(gòu)建,系統(tǒng)分析之前遇到的網(wǎng)絡(luò)攻擊類(lèi)型,對(duì)系統(tǒng)中隱藏的關(guān)聯(lián)、漏洞進(jìn)行查看。詳盡的掃描整個(gè)系統(tǒng)的問(wèn)題。進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估時(shí),會(huì)對(duì)網(wǎng)絡(luò)變化結(jié)果發(fā)生相對(duì)應(yīng)的反應(yīng),包括一種相對(duì)應(yīng)的模式,是對(duì)數(shù)據(jù)請(qǐng)求的一種變化結(jié)果,也是對(duì)數(shù)據(jù)請(qǐng)求所產(chǎn)生的反應(yīng)。通過(guò)這種變化模式,進(jìn)行構(gòu)建網(wǎng)絡(luò)安全評(píng)估模型。

3攻擊圖的生成

生成一個(gè)網(wǎng)絡(luò)攻擊圖,主要包括了構(gòu)建攻擊圖,在構(gòu)建攻擊圖的基礎(chǔ)上與所有的子進(jìn)行協(xié)調(diào)工作,對(duì)于隱藏在網(wǎng)絡(luò)中的攻擊,進(jìn)行尋找路徑。同時(shí)仔細(xì)計(jì)算本次攻擊的成功率,為預(yù)防網(wǎng)絡(luò)攻擊打下良好的基礎(chǔ),形成一個(gè)數(shù)據(jù)庫(kù),在整個(gè)構(gòu)建模型上負(fù)責(zé)提供和儲(chǔ)存數(shù)據(jù),再進(jìn)行分析。而主體的網(wǎng)絡(luò)負(fù)責(zé)建立攻擊規(guī)則庫(kù)和攻擊漏洞庫(kù),從而達(dá)到預(yù)防效果,進(jìn)而完善攻擊圖。攻擊圖大致上可以分為兩種:狀態(tài)攻擊圖和屬性攻擊圖。基于模型的網(wǎng)絡(luò)脆弱性分析技術(shù),利用攻擊圖自動(dòng)分析潛在的危險(xiǎn)。

3.1狀態(tài)攻擊圖

所謂狀態(tài)攻擊圖指的是,在攻擊圖中節(jié)點(diǎn)描述目標(biāo)網(wǎng)絡(luò)與攻擊者的狀態(tài),該方法的弊端是會(huì)出現(xiàn)狀態(tài)爆炸等問(wèn)題。并不適用于大規(guī)模網(wǎng)絡(luò),因?yàn)榇嬖趩?wèn)題相對(duì)復(fù)雜,近年來(lái)我們都更推行屬性攻擊圖。

3.2屬性攻擊圖

屬性攻擊圖指的是利用一個(gè)有向圖,向研究者展示了攻擊者利用網(wǎng)絡(luò)脆弱點(diǎn)的狀態(tài),而且在脆弱點(diǎn)間的聯(lián)系實(shí)施一個(gè)組合攻擊的完整過(guò)程。全過(guò)程包含兩個(gè)節(jié)點(diǎn):屬性節(jié)點(diǎn)和原子攻擊節(jié)點(diǎn)。傳統(tǒng)的脆弱掃描主要講求規(guī)則性,可以自主獨(dú)立的分析網(wǎng)絡(luò)中存在的脆弱性,不能進(jìn)行綜合性的評(píng)估。屬性攻擊圖可以在攻擊者的角度出發(fā)利用多種網(wǎng)絡(luò)配置信息,例舉出所有有可能會(huì)發(fā)生的攻擊途徑。幫助防御者更深刻直觀的了解網(wǎng)絡(luò)中每一個(gè)脆弱性的聯(lián)系。

險(xiǎn)評(píng)估計(jì)算

而在風(fēng)險(xiǎn)評(píng)估的計(jì)算中,很多安全風(fēng)險(xiǎn)的參數(shù)都可以進(jìn)行利用。有關(guān)于漏洞、網(wǎng)絡(luò)、主機(jī)安全、攻擊路徑等信息的提供評(píng)估中,這些子機(jī)的系統(tǒng)所產(chǎn)生的計(jì)算結(jié)構(gòu)在主機(jī)中進(jìn)行反饋組合。而子機(jī)的相關(guān)安全風(fēng)險(xiǎn)指數(shù)就在主機(jī)中匯合分析,對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理。重點(diǎn)評(píng)估風(fēng)險(xiǎn)邊界,信息資產(chǎn)調(diào)查和分析,根據(jù)信息的完整性,對(duì)信息的機(jī)密性完整性進(jìn)行深入的調(diào)查分析。利用先進(jìn)的技術(shù)和管理脆弱性評(píng)估,威脅和風(fēng)險(xiǎn)分析,識(shí)別信息資產(chǎn)可能會(huì)面臨的危險(xiǎn)。以及面臨危險(xiǎn)后的影響和可能性,對(duì)綜合計(jì)算信息資產(chǎn)的風(fēng)險(xiǎn)。并依據(jù)等級(jí)保護(hù)指南要求實(shí)施相應(yīng)的風(fēng)險(xiǎn)評(píng)估及定級(jí)。

5原型系統(tǒng)的檢驗(yàn)

在網(wǎng)絡(luò)的實(shí)際應(yīng)用中,計(jì)算機(jī)所面臨的網(wǎng)絡(luò)環(huán)境相對(duì)來(lái)說(shuō)比較復(fù)雜。應(yīng)用的操作系統(tǒng)也分為很多種,例如:Windows、Linus、Unis等不同的計(jì)算機(jī)系統(tǒng)。因此在進(jìn)行網(wǎng)絡(luò)安全評(píng)估的時(shí)候應(yīng)該盡量采取綜合時(shí)的評(píng)估方案,避免了系統(tǒng)不同造成的評(píng)估漏洞,以及在遇到攻擊時(shí)不能及時(shí)處理,無(wú)法發(fā)揮在系統(tǒng)安全網(wǎng)絡(luò)風(fēng)險(xiǎn)出現(xiàn)時(shí)的防范功能。目前來(lái)說(shuō)基于對(duì)網(wǎng)絡(luò)全方位的風(fēng)險(xiǎn)評(píng)估圖技術(shù),具有良好的跨平臺(tái)性,能夠?qū)λ邢到y(tǒng)進(jìn)行準(zhǔn)確、科學(xué)、全面的對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,在這樣優(yōu)質(zhì)的前提下,盡可能的保證了計(jì)算機(jī)網(wǎng)絡(luò)的安全。而Java系統(tǒng)的框架是完全以Java語(yǔ)言為基礎(chǔ)的系統(tǒng)開(kāi)發(fā)框架,具有跨平臺(tái)的特點(diǎn),能對(duì)系統(tǒng)是否安全進(jìn)行科學(xué)、準(zhǔn)確的評(píng)估。面對(duì)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估,我們應(yīng)仔細(xì)的做研究,并以此為基礎(chǔ),運(yùn)用了攻擊圖的相對(duì)應(yīng)理論,將先進(jìn)的技術(shù)引入評(píng)估系統(tǒng),將風(fēng)險(xiǎn)評(píng)估模型的擴(kuò)張能力得到最大的發(fā)揮。還能對(duì)相互之間相聯(lián)系的概念進(jìn)行完善、拓展,與路徑分析合二為一,并對(duì)系統(tǒng)中潛在的漏洞進(jìn)行預(yù)防,對(duì)攻擊者的攻擊規(guī)則進(jìn)行分析、掌握、預(yù)測(cè)。使攻擊路徑分析更加明確,防患更加嚴(yán)謹(jǐn)。

6結(jié)束語(yǔ)

在當(dāng)前社會(huì)中,隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,我們已經(jīng)成為了一個(gè)信息國(guó)家,計(jì)算機(jī)在人們的生活中有著不可替代的作用。保證計(jì)算機(jī)安全,在計(jì)算機(jī)安全方面做好完善的防護(hù)工作,著重的掌握技術(shù),預(yù)防攻擊,保證信息資料的安全,無(wú)論是個(gè)人還是國(guó)家,信息的安全都尤為重要。利用好科學(xué)技術(shù)做出攻擊圖,能更好的做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)作用的發(fā)揮。

作者:任美玉 單位:臨沂市蘭山區(qū)職業(yè)中等專(zhuān)業(yè)學(xué)校

引用:

[1]張健,王晉東,張恒巍.基于節(jié)點(diǎn)博弈漏洞攻擊圖的網(wǎng)絡(luò)風(fēng)險(xiǎn)分析方法[J].計(jì)算機(jī)科學(xué),2014.

[2]李慶朋,王布宏,王曉東,張春明.基于最優(yōu)攻擊路徑的網(wǎng)絡(luò)安全增強(qiáng)策略研究[J].計(jì)算機(jī)科學(xué),2013.

[3]陳靖,王冬海,彭武.基于動(dòng)態(tài)攻擊圖的網(wǎng)絡(luò)安全實(shí)時(shí)評(píng)估[J].計(jì)算機(jī)科學(xué),2013.

[4]王永杰,劉進(jìn),陳志杰,鮮明,王國(guó)玉.一種計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)工程,2006.