- 計算機應(yīng)用中網(wǎng)絡(luò)安全防范論文 推薦度:
- 相關(guān)推薦
計算機網(wǎng)絡(luò)安全及防范論文
計算機網(wǎng)絡(luò)安全及防范論文【1】
摘要:本文對計算機網(wǎng)絡(luò)的安全及防范進行了簡要論述。
關(guān)鍵詞:網(wǎng)絡(luò)安全 防范
1 計算機網(wǎng)絡(luò)安全概述
1.1 計算機網(wǎng)絡(luò)安全的含義 國際標準化委員會的定義是:“為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)的和管理的安全保護,保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。”美國國防部國家計算機安全中心的定義是:“要討論計算機安全首先必須討論對安全需求的陳述。”由此衍生出計算機網(wǎng)絡(luò)安全的含義,即:計算機網(wǎng)絡(luò)的硬件、軟件、數(shù)據(jù)的保密性、完整性、可用性得到保護,使之不受到偶然或惡意的破壞。
其具體含義也會隨著使用者所站的角度不同而不同。
從普通用戶立場來說,他們所認為的計算機網(wǎng)絡(luò)安全就是保護個人隱私或機密信息,以免受到他人的竊取或篡改;就網(wǎng)絡(luò)提供商而言,他們不僅要保證用戶信息的安全,還要考慮自然環(huán)境例如火、電、水、雷擊、地震等自然災(zāi)害,戰(zhàn)爭等突發(fā)事件給網(wǎng)絡(luò)運行帶來的破壞。
1.2 計算機網(wǎng)絡(luò)安全的現(xiàn)狀 據(jù)了解,近年來,互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展,信息技術(shù)在給人們帶來各種便利的同時,也正受到日益嚴重的來自網(wǎng)絡(luò)的安全威脅,諸如網(wǎng)絡(luò)的數(shù)據(jù)竊取、黑客的侵襲、病毒發(fā)布,甚至系統(tǒng)內(nèi)部的泄密。
很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段,對網(wǎng)絡(luò)安全缺乏整體防范意識,正因為如此,我國許多企事業(yè)單位的計算機網(wǎng)絡(luò)均遭受過不同程度的攻擊,公安部門受理各類網(wǎng)絡(luò)違法犯罪案件也在逐年增加。
盡管我們正在廣泛地使用各種復雜的軟件技術(shù),如防火墻技術(shù)、入侵檢測技術(shù)、代理服務(wù)器技術(shù)、信息加密技術(shù)、防病毒技術(shù)等,但是無論在發(fā)達國家還是在發(fā)展中國家,網(wǎng)絡(luò)安全都對社會造成了嚴重的危害。
如何消除安全隱患,確保網(wǎng)絡(luò)信息的安全,已成為一個重要問題。
2 計算機網(wǎng)絡(luò)安全的防范策略
2.1 防火墻技術(shù) 防火墻技術(shù),最初是針對Internet網(wǎng)絡(luò)不安全因素所采取的一種保護措施。
顧名思義,防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障,其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。
它是一種計算機硬件和軟件的結(jié)合,使內(nèi)部網(wǎng)和外部網(wǎng)之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。
防火墻的主要任務(wù)就是依據(jù)相應(yīng)的安全策略針對網(wǎng)絡(luò)之間進行傳輸?shù)臄?shù)據(jù)包例行檢查,只有在數(shù)據(jù)包通過安全檢查的情況下才允許使用網(wǎng)絡(luò)進行通信,也就是說在防火墻的運行之下網(wǎng)絡(luò)的運行處于被監(jiān)視狀態(tài)。
按照防火墻使用的相應(yīng)技術(shù)類型,我們能夠把它分為:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型這幾種基本類型。
2.1.1 包過濾型 包過濾型產(chǎn)品所使用的技術(shù)就是網(wǎng)絡(luò)中的分包傳輸技術(shù),它是屬于防火墻的初級產(chǎn)品。
兩個或多個的網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞通常是以“包”為單位進行的,在這個過程之中數(shù)據(jù)被分為各種各樣大小的數(shù)據(jù)包,各個數(shù)據(jù)包都會傳輸一部分像數(shù)據(jù)的源地址、目標地址、傳輸控制協(xié)議源端口和目標端口等這樣的具體的信息。
每個數(shù)據(jù)包里的地址信息都攜帶者這個“包”所在的站點,防火墻只需要讀取這個站點的信息就能判斷數(shù)據(jù)包的安全性,對系統(tǒng)可能造成危害的數(shù)據(jù)包將會被阻止。
2.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換,顧名思義就是將自己本身的IP地址轉(zhuǎn)換成不常用的、外部的、注冊的IP地址標準。
它允許擁有私有IP地址的內(nèi)部網(wǎng)絡(luò)在因特網(wǎng)上使用。
這樣的網(wǎng)絡(luò)地址轉(zhuǎn)化表明用戶可以使用自己注冊的好的IP地址在其他的網(wǎng)絡(luò)中的機器上使用。
在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄。
系統(tǒng)之所以能夠?qū)ν獠康木W(wǎng)絡(luò)隱藏住自己的真實的內(nèi)部網(wǎng)絡(luò)地址,主要是在于系統(tǒng)能夠把外出的源地址和源端口映射為一個偽裝的地址和端口,將源地址和源端口隱藏起來而是將該偽裝的地址和端口通過非安全網(wǎng)卡訪問外部網(wǎng)絡(luò)。
這樣一來,內(nèi)部的網(wǎng)絡(luò)使用非安全網(wǎng)卡連接外部網(wǎng)絡(luò)的時候,內(nèi)部網(wǎng)絡(luò)的連接情況就會被隱藏起來,僅僅使用一個開放的IP地址和端口來訪問外部網(wǎng)絡(luò)。
OLM防火墻通常都是按照之前定義好的映射規(guī)則來檢測這個訪問的安全性。
防火墻檢測其和規(guī)則相吻合的時候,覺得這樣的訪問具備了安全性,就會允許訪問,也可以將連接請求映射到不同的內(nèi)部計算機中;在不滿足規(guī)則的情況下,防火墻就覺得這樣的訪問將會威脅到系統(tǒng)而拒絕訪問請求。
網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是公開的,用戶不必進行設(shè)置,只需要按照常規(guī)進行操作就可以了。
2.1.3 代理型 代理型防火墻也能夠被叫做代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并且它早就開始向應(yīng)用層領(lǐng)域發(fā)展。
代理服務(wù)器位于客戶機與服務(wù)器之間,徹底的切斷了二者間的數(shù)據(jù)傳輸。
從客戶機來看,代理服務(wù)器相當于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機。
由于外部系統(tǒng)與內(nèi)部服務(wù)器之間只有間接的數(shù)據(jù)傳輸通道,所以說外部的不懷好意的侵入將會被拒絕在外,從而維護了企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。
代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效,其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,在很大程度上增加了系統(tǒng)管理的復雜性。
2.1.4 監(jiān)測型 監(jiān)測型防火墻是隨著信息技術(shù)的發(fā)展而順應(yīng)而生的產(chǎn)品,該技術(shù)在現(xiàn)在的使用上來講,早就超出了防火墻以前的定義范圍。
監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,有效地判斷出各層中的非法侵入。
同時,這種監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用防火墻和其他網(wǎng)絡(luò)的節(jié)點之中。
2.2 入侵檢測技術(shù) 利用防火墻技術(shù),經(jīng)過仔細的配置,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護,降低了網(wǎng)絡(luò)安全風險。
但是,僅僅使用防火墻,網(wǎng)絡(luò)安全還遠遠不夠,主要原因如下:①入侵者可尋找防火墻背后可能敞開的后門。
②入侵者可能就在防火墻內(nèi)。
③由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。
入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù),目的是提供實時的入侵檢測及采取相應(yīng)的防護手段,如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡(luò)連接等。
實時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊,其次它能夠縮短黑客入侵的時間。
入侵檢測系統(tǒng)可分為兩類:①基于主機。
基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應(yīng)用的服務(wù)器,實時監(jiān)視可疑的連接、系統(tǒng)日志檢查,非法訪問的闖入等,并且提供對典型應(yīng)用的監(jiān)視如Web 服務(wù)器應(yīng)用。
②基于網(wǎng)絡(luò)。
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。
2.3 信息加密技術(shù) 對數(shù)據(jù)進行加密,通常是利用密碼技術(shù)實現(xiàn)的。
信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。
在信息傳送特別是遠距離傳送這個環(huán)節(jié),密碼技術(shù)是可以采取的唯一切實可行的安全技術(shù),能有效地保護信息傳輸?shù)陌踩?/p>
網(wǎng)絡(luò)加密常用的方法由鏈路加密,端點加密和節(jié)點加密三種。
鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全,端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護,節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。
與防火墻技術(shù)相比,數(shù)據(jù)加密技術(shù)更靈活,更適用于開放的網(wǎng)絡(luò)環(huán)境。
2.4 防病毒技術(shù) 隨著計算機技術(shù)的不斷發(fā)展,計算機病毒變得越來越復雜和高級,對計算機信息系統(tǒng)構(gòu)成極大地威脅。
在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機防病毒軟件兩大類。
單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測,清除病毒。
網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒,一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其他資源傳染,網(wǎng)絡(luò)防病毒軟件就會立刻檢測到并加以刪除。
3 結(jié)束語
計算機網(wǎng)絡(luò)的安全問題越來越受到人們的重視。
網(wǎng)絡(luò)安全不僅僅是技術(shù)問題,同時也是一個安全管理問題。
我們必須綜合考慮安全因素,制定合理的目標,技術(shù)方案和相關(guān)的配套法規(guī)等,世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng),隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展,網(wǎng)絡(luò)安全防護技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。
參考文獻:
[1]陳斌.計算機網(wǎng)絡(luò)安全與防御[J].信息技術(shù)與網(wǎng)絡(luò)服務(wù)(學術(shù)研究).2006.
[2]高永安.計算機網(wǎng)絡(luò)安全的防范策略[J].科技信息.2006.
[3]王宏偉.網(wǎng)絡(luò)安全威脅與對策[M].人民郵電出版社.2006.
計算機網(wǎng)絡(luò)風險防范模式【2】
摘要:網(wǎng)絡(luò)風險管理的目的是為確保通過合理步驟,以防止所有對網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。
計算機網(wǎng)絡(luò)風險防范模式包括風險防范策略、風險防范措施和實施風險防范。
網(wǎng)絡(luò)風險防范策略主要有:①當存在系統(tǒng)漏洞時,實現(xiàn)保證技術(shù)來降低弱點被攻擊的可能性;②當系統(tǒng)漏洞被惡意攻擊時,運用層次化保護、結(jié)構(gòu)化設(shè)計以及管理控制將風險最小化或防止這種情形的發(fā)生;③當攻擊者的成本比攻擊得到更多收益時,運用保護措施,通過提高攻擊者成本來降低攻擊者的攻擊動機;④當損失巨大時,運用設(shè)計原則、結(jié)構(gòu)化設(shè)計以及技術(shù)或非技術(shù)類保護措施來限制攻擊的程度,從而降低可能的損失。
風險防范措施包括風險假設(shè)、風險規(guī)避、風險限制、風險計劃、研究和了解、風險轉(zhuǎn)移。
在實施風險防范的過程中包括對行動進行優(yōu)先級排序、評價建議的安全控制類別、成本-收益分析、選擇風險防范控制、分配責任、制定安全措施實現(xiàn)計劃、實現(xiàn)被選擇的安全控制及殘余風險分析。
最后以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例進行了實證。
關(guān)鍵詞 計算機;網(wǎng)絡(luò)風險;防范模式;防范流程
在信息時代,信息成為第一戰(zhàn)略資源,更是起著至關(guān)重要的作用。
因此,信息資產(chǎn)的安全是關(guān)系到該機構(gòu)能否完成其使命的大事。
資產(chǎn)與風險是天生的一對矛盾,資產(chǎn)價值越高,面臨的風險就越大。
信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性,面臨著新型風險。
計算機網(wǎng)絡(luò)風險防范的目的就是要緩解和平衡這一對矛盾,將風險防范到可接受的程度,保護信息及其相關(guān)資產(chǎn),最終保證機構(gòu)能夠完成其使命。
風險防范做不好,系統(tǒng)中所存在的安全風險不僅僅影響系統(tǒng)的正常運行,且可能危害到政府部門自身和社會公眾,嚴重時還將威脅國家的安全。
論文提出了在選擇風險防范策略時如何尋找合適的風險防范實施點并按照實施風險防范的具體過程來進行新技術(shù)下的風險防范,從而幫助完成有效的風險管理過程,保護組織以及組織完成其任務(wù)。
1 計算機網(wǎng)絡(luò)風險管理
計算機網(wǎng)絡(luò)風險管理包括三個過程:計算機網(wǎng)絡(luò)屬性特征分析、風險評估和風險防范。
計算機網(wǎng)絡(luò)屬性特征分析包括風險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個階段。
在計算機網(wǎng)絡(luò)風險防范過程中,計算機網(wǎng)絡(luò)屬性的確立過程是一次計算機網(wǎng)絡(luò)風險防范主循環(huán)的起始,為風險評估提供輸入。
風險評估過程,包括對風險和風險影響的識別和評價,以及降低風險措施的建議。
風險防范是風險管理的第三個過程,它包括對在風險評估過程中建議的安全控制進行優(yōu)先級排序、評價和實現(xiàn),這些控制可以用來減輕風險。
2 網(wǎng)絡(luò)風險模式研究
2.1 風險防范體系
計算機風險防范模式包括選擇風險防范措施(風險假設(shè)、風險規(guī)避、風險限制、風險計劃、研究和了解、風險轉(zhuǎn)移)、選擇風險防范策略(包括尋找風險防范實施點和防范控制類別的選擇)、實施風險防范3個過程。
在實施風險防范的過程中包括對行動進行優(yōu)先級排序、評價建議的安全控制類別、成本-收益分析、選擇風險防范控制、分配責任、制定安全措施實現(xiàn)計劃、實現(xiàn)被選擇的安全控制,最后還要進行殘余風險分析。
2.2 風險防范措施
風險防范是一種系統(tǒng)方法,高級管理人員可用它來降低使命風險。
風險防范可以通過下列措施實現(xiàn):
(1)風險假設(shè):接受潛在的風險并繼續(xù)運行IT系統(tǒng),或?qū)崿F(xiàn)安全控制以把風險降低到一個可接受的級別。
(2)風險規(guī)避:通過消除風險的原因或后果(如當識別出風險時放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng))來規(guī)避風險。
(3)風險限制:通過實現(xiàn)安全控制來限制風險,這些安全控制可將由于系統(tǒng)弱點被威脅破壞而帶來的不利影響最小化(如使用支持、預防、檢測類的安全控制)。
(4)風險計劃:制定一套風險減緩計劃來管理風險,在該計劃中對安全控制進行優(yōu)先排序、實現(xiàn)和維護。
(5)研究和了解:通過了解系統(tǒng)弱點和缺陷,并研究相應(yīng)的安全控制修正這些弱點,來降低風險損失。
(6)風險轉(zhuǎn)移:通過使用其他措施補償損失,從而轉(zhuǎn)移風險,如購買保險。
在選擇風險防范措施中應(yīng)該考慮機構(gòu)的目標和使命。
要解決所有風險可能是不實際的,所以應(yīng)該對那些可能給使命帶來嚴重危害影響的威脅/弱點進行優(yōu)先排序。
同時,在保護機構(gòu)使命及其IT系統(tǒng)時,由于每一機構(gòu)有其特定的環(huán)境和目標,因此用來減緩風險的措施和實現(xiàn)安全控制的方法也各不相同。
最好的方法是從不同的廠商安全產(chǎn)品中選擇最合適的技術(shù),再伴以適當?shù)娘L險防范措施和非技術(shù)類的管理措施。
2.3 風險防范策略
高級管理人員和使命所有者在了解了潛在風險和安全控制建議書后,可能會問:什么時候、在什么情況下我們該采取行動?什么時候該實現(xiàn)這些安全控制來進行風險防范,從而保護我們的機構(gòu)?
如圖1所示的風險防范實施點回答了這個問題。
在圖1中,標有“是”的地方是應(yīng)該實現(xiàn)風險防范的合適點。
總結(jié)風險防范實踐,以下經(jīng)驗可以對如何采取行動來防范由于故意的人為威脅所帶來的風險提供指導:
楊濤等:計算機網(wǎng)絡(luò)風險防范模式研究中國人口資源與環(huán)境 2011年 第2期(1)當存在系統(tǒng)漏洞時,實現(xiàn)保證技術(shù)來降低弱點被攻擊的可能性;
(2) 當系統(tǒng)漏洞被惡意攻擊時,運用層次化保護、結(jié)構(gòu)化設(shè)計以及管理控制將風險最小化或防止這種情形的發(fā)生;
(3) 當攻擊者的成本比攻擊得到更多收益時,運用保護措施,通過提高攻擊者成本來降低攻擊者的攻擊動機(如使用系統(tǒng)控制,限制系統(tǒng)用戶可以訪問或做些什么,這些措施能夠大大降低攻擊所得);
(4) 當損失巨大時,運用設(shè)計原則、結(jié)構(gòu)化設(shè)計以及技術(shù)或非技術(shù)類保護措施來限制攻擊的程度,從而降低可能的損失。
上面所述的風險防范策略中除第三條外,也都可運用來防范由于環(huán)境威脅或無意的人員威脅所帶來的風險。
2.4 風險防范模式的實施
在實施風險防范措施時,要遵循以下規(guī)則:找出最大的風險,然后爭取以最小的代價充分減緩風險,同時要使對其他使命能力的影響最小。
實施措施通過以下七個步驟來完成,見圖2。
2.4.1 對行動進行優(yōu)先級排序
基于在風險評估報告中提出的風險級別,對行動進行優(yōu)先級排序。
在分配資源時,那些標有不可接受的高風險等級(如被定義為非常高或高風險級別的風險)的風險項目應(yīng)該最優(yōu)先。
這些弱點/威脅需要采取立即糾正行動以保護機構(gòu)的利益和使命。
步驟一輸出―從高到低優(yōu)先級的行動。
2.4.2 評價建議的安全控制
風險評估過程中建議的安全措施對于具體的機構(gòu)和IT系統(tǒng)可能不是最適合和可行的。
在這一步中,要對建議
圖1 網(wǎng)絡(luò)風險防范實施點
Fig.1 Network implementation point of risk prevention
圖2 實施風險防范措施流程及其輸入輸出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性、用戶接受程度)和有效性(如保護程度和風險防范級別)進行分析。
目的是選擇最適當?shù)陌踩刂拼胧┮宰钚』L險。
步驟二輸出―可行安全控制清單。
2.4.3 實施成本-收益分析
為了幫助管理層做出決策并找出性價比好的安全控制,要實施成本―收益分析。
第三步輸出―成本-收益分析,其中描述了實現(xiàn)或者不實現(xiàn)安全控制所帶來的成本和收益 。
2.4.4 選擇安全控制
在成本-收益分析的基礎(chǔ)上,管理人員確定性價比最好的安全控制來降低機構(gòu)使命的風險。
所選擇的安全控制應(yīng)該結(jié)合技術(shù)、操作和管理類的控制元素以確保IT系統(tǒng)和機構(gòu)適度的安全。
步驟四輸出―選擇好的安全控制。
2.4.5 責任分配
遴選出那些有合適專長和技能來實現(xiàn)所選安全控制的人員(內(nèi)務(wù)人員或外部簽約人員),并分配以相應(yīng)責任。
步驟五輸出―責任人清單。
2.4.6 制定一套安全措施實現(xiàn)計劃
在這一步,將制定一套安全措施實現(xiàn)計劃(或行動計劃)。
這套計劃應(yīng)該至少包括下列信息:
(1)風險(弱點/威脅)和相關(guān)的風險級別(風險評估報告輸出)。
(2)建議的安全控制(風險評估報告輸出)。
(3)優(yōu)先排序過的行動(標有給那些有非常高和高風險級別的項目分配的優(yōu)先級)。
(4)被選擇的計劃好的安全控制(基于可行性、有效性、機構(gòu)的收益和成本來決定)。
(5)實現(xiàn)那些被選擇的計劃好的安全控制所需要的資源。
(6)負責小組和人員清單。
(7)開始實現(xiàn)日期。
(8)實現(xiàn)完成的預計日期。
(9)維護要求。
2.4.7 實現(xiàn)被選擇的安全控制
根據(jù)各自的情況,實現(xiàn)的安全控制可以降低風險級別但不會根除風險。
步驟七輸出―殘余風險清單。
3 網(wǎng)絡(luò)風險防范案例
以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例,首先要對網(wǎng)絡(luò)應(yīng)用系統(tǒng)進行屬性分析,風險評估,然后根據(jù)風險評估報告和承受能力來決定風險防范具體措施。
3.1 風險評估
該計算機網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全級別要求高,根據(jù)手工和自動化網(wǎng)絡(luò)風險評估,結(jié)果如下所示:
數(shù)據(jù)庫系統(tǒng)安全狀況為中風險等級。
在檢查的33個項目中,共有9個項目存在安全漏洞。
其中:3 個項目為高風險等級,占總檢查項目的 9%;1 個項目為中風險等級,占總檢查項目的 3%;5 個項目為低風險等級,占總檢查項目的 15%。
3.2 風險防范具體措施
選擇風險防范措施中的研究和了解同時進行風險限制。
確定風險防范實施點,該數(shù)據(jù)庫的設(shè)計存在漏洞并且該漏洞可能被利用,所以應(yīng)該實施風險防范。
實施步驟如下:
步驟一:對以上掃描結(jié)果中的9個漏洞進行優(yōu)先級排序,確立每個項目的風險級別。
步驟二:評價建議的安全控制。
在該網(wǎng)站主站數(shù)據(jù)庫被建立后針對評估報告中的安全控制建議進行分析,得出要采取的防范策略。
步驟三:對步驟二中得出相應(yīng)的若干種防范策略進行成本收益分析,最后得出每種防范策略的成本和收益。
步驟四:選擇安全控制。
對上述掃描的9個漏洞分別選擇相應(yīng)的防范策略。
步驟五:責任分配,輸出負責人清單。
步驟六:制定完整的漏洞修復計劃。
步驟七:實施選擇好的防范策略,按表1對這9個漏洞進行一一修復。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名稱
Vulnerability
Name級別
level風險防范策略
Risk prevention
strategiesAXTSGL1006Guest用戶檢測高預防性技術(shù)控制AXTSGL1008登錄模式高預防性技術(shù)控制AXTSGL3002審計級別設(shè)置高監(jiān)測和恢復技術(shù)控制AXTSGL3011注冊表存儲過程權(quán)限中支持和預防性技術(shù)控制AXTSGL2001允許遠程訪問低預防性技術(shù)控制AXTSGL2012系統(tǒng)表訪問權(quán)限設(shè)置低預防性技術(shù)控制AXTSGL3003安全事件審計低監(jiān)測恢復技術(shù)控制AXTSGL3004黑盒跟蹤低恢復管理安全控制AXTSGL3006C2 審計模式低監(jiān)測和恢復技術(shù)控制
4 總 結(jié)
在進行計算機網(wǎng)絡(luò)風險管理分析的基礎(chǔ)上,提出了新技術(shù)下的風險防范模式和體系結(jié)構(gòu),同時將該防范模式成功應(yīng)用到某網(wǎng)站的主站數(shù)據(jù)庫中。
應(yīng)用過程中選擇了恰當?shù)姆婪洞胧鶕?jù)新技術(shù)下風險防范實施點的選擇流程確立了該數(shù)據(jù)庫的防范實施點并嚴格按照風險防范實施步驟進行風險防范的執(zhí)行,成功地使風險降低到一個可接受的級別,使得對機構(gòu)的資源和使命造成的負面影響最小化。
雖然該防范模式在一定程度上降低了風險的級別,但是由于風險類型的不可預見性和防范策略的局限性,該模式未必使機構(gòu)或系統(tǒng)的風險降到最低,因此風險防范有待于進一步改進和完善,這將是一個長期的任務(wù)。
參考文獻(References)
[1]蔡昱,張玉清.風險評估在電子政務(wù)系統(tǒng)中的應(yīng)用[J].計算機工程與應(yīng)用,2004,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]張平,蔣凡.一種改進的網(wǎng)絡(luò)安全掃描工具[J].計算機工程,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯?jié)h.網(wǎng)絡(luò)安全檢測的理論和實踐[J].計算機系統(tǒng)應(yīng)用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何軍.一種基于主機分布式安全掃描的計算機免疫系統(tǒng)模型[J].計算機應(yīng),2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
【計算機網(wǎng)絡(luò)安全及防范論文】相關(guān)文章:
計算機應(yīng)用中網(wǎng)絡(luò)安全防范論文10-08
計算機網(wǎng)絡(luò)安全漏洞及防范的論文10-11
計算機網(wǎng)絡(luò)安全漏洞及防范論文10-08
關(guān)于計算機網(wǎng)絡(luò)安全與防范研究論文10-09
計算機網(wǎng)絡(luò)安全防范技術(shù)論文10-09