網絡安全的風險分析范文
時間:2023-08-28 17:04:50
導語:如何才能寫好一篇網絡安全的風險分析,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:網絡安全 風險評估 方法
1網絡安全風險概述
1.1網絡安全風險
網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。
1.2網絡安全的目標
網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。
1.3風險評估指標
在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。
2網絡安全風險評估的方法
如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。
2.1網絡風險分析
作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。
2.2風險評估
在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。
2.3安全風險決策與監測
在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。
3結語
網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。
參考文獻
[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.
[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.
[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.
篇2
【 關鍵詞 】 數字化;數字化校園;安全;風險;安全策略
Risk Analysis of the Network Security for the Digital Campus and the Countermeasures
Lei Yan-rui
(Hainan College of Software Technology HainanQionghai 571400)
【 Abstract 】 The continuous advancement in making digital campus has achieved enormously improved management efficiency. But it has also inflicted risks to the security of the campus network because of its open nature. In this paper, we provide several pieces of advice on the security of the campus network.
【 Keywords 】 digitization; digital campus; security; risk; security policy
1 引言
1998年,因美國前副總統戈爾最先提出“數字化地球”的概念而引出“數字化城市”和“數字化校園”的定義。數字化校園是指通過計算機相關技術、網絡通訊的相關技術對學校的教學、管理和生活等都進行全面的數字化信息系統管理,在一定程度上最大限度地存儲、整合、利用和共享這些數據,實現統一的身份認證、數據采集平臺和信息管理平臺,從而簡化傳統的工作流程,最終實現高效率、高競爭力、數字化管理的校園平臺。
近十年來,國內各本科院校對于數字化校園的建設都比較重視,大中專院校也緊隨其后,進行了數字化校園建設的思考和行動。大家建設的目標都以教學、管理、消費和身份認證等服務為一體的新型的工作、學習和生活環境為中心,并且在建設上已經取得了一定的成效。
2 現狀
隨著信息化的進一步發展和學校業務的不斷深化,海南軟件職業技術學院也開始數字化校園建設的步伐。1996年即開始使用食堂一卡通,隨著后來考勤系統、教務系統、財產管理系統的開發使用,使用過程中暴露出的安全隱患問題越來越多,而這些安全問題在數字化校園的建設中值得我們深思。如表1所示。
3 初步解決方案
3.1 自然災害
自然災害是無法避免和預防的,對于天災造成的任何風險我們都不可避免,也就無法通過任何技術降低風險,只能在災難發生后想辦法恢復或者提前備份等。
那么對于自然災害發生之后的安全問題,管理者需提前制定一套完整可行的事件救援、災難恢復計劃及方案,做好計算機系統、網絡、應用軟件及各種資料數據的備份,建立備份數據庫系統。
3.2 軟、硬件環境故障
校園網絡設備的正常工作對網絡安全的影響巨大,如果電力設備、UPS、空調等設備規劃設計出錯、參數設置不當、維護不及時或者維護方法不對等,都可能間接影響校園網絡的信息安全。
對于硬件故障,應確保不超負荷運行、建立完善完備的管理制度并且嚴格執行,保證溫度、濕度、設備的參數設置等處于可監管的狀態,平時需定時審計,以保證制度的執行力度。軟件故障中的設計缺陷,一經發現應立即修正;安裝新軟件時,充分考慮兼容性的要求,提前保護已經存在的被共享使用的DLL文件,防止安裝過程中被其他文件覆蓋;出現非法操作提示或者藍屏等信息時,仔細研究其原因并糾錯;對于系統的資源占用情況,及時監察并進行有效清理。
3.3 學校網站面臨的安全威脅
網站是學校對外信息交流的主要工作平臺,但因其共享性較高,也易成為黑客的攻擊對象。部分學校的官方網站被惡意掛馬時有發生,經調查掛馬率甚至達到3.15%。主要原因是服務程序本身存在漏洞,如Apache 或 IIS 的漏洞;也存在網頁程序編寫不完善導致的安全漏洞,如 SQL 注入、緩沖區溢出等;同時也存在因管理缺失而導致的服務器感染病毒。
對于數字化校園網站安全面對的威脅,除了定期查殺分析原因,且需定期檢查訪問流量,對于流量高峰要得隨時監視處理,還有完善管理制度避免類似問題再次發生,用以保證網站安全。
3.4 應用系統數據信息面臨的威脅
海南軟件職業技術學院的教務、人事、財務、一卡通等應用系統的重要數據是數字化校園信息安全防護的重中之重。這些重要數據一旦被篡改甚至丟失,其后果是不堪設想。目前應用系統數據信息面臨的主要風險有數據庫弱口令及默認用戶名易被破解;DBA 的權限沒有嚴格的限制;有些權限控制功能嵌套在應用程序中,攻擊者很可能利用程序編寫的漏洞將普通用戶的權限轉化為管理員的權限;數據庫管理方式和管理流程編制不得當,造成數據不準和修改錯誤等。
對于這些系統數據面臨的威脅,我們所能處理的就是進行數據訪問控制、提醒用戶進行密碼強口令、權限設置一定要合理合法,并且及時檢查日志,統計因操作不當、密碼輸入錯誤等原因引起的錯誤,對錯誤進行及時統計分析,查清原因,從制度上杜絕此類事件發生。
3.5 校園網內部用戶的安全隱患
校園網內部用戶的安全威脅不容忽視。一方面,校園網終端用戶的木馬、蠕蟲、病毒等是校園網絡安全威脅之一;另一方面,校園網絡出口帶寬受限,有P2P應用占用資源嚴重,可能造成正常工作時段網絡擁堵,影響了教學、科研、管理工作的正常運行。
對于巨大流量問題只能通過辦公時間限制端口等問題進行解決,而網絡擁堵則可通過限制網絡訪問人數等解決,當然這些都應該形成正常的監測程序和制度,不能因工作人員的變換等影響其執行。
4 結束語
總之,校園網絡安全的保障應從小做起,從細節做起,時刻保障校園網絡的正常進行以為教學提供優質服務。
參考文獻
[1] 凌冠華.高校數字化校園的數據建設和安全管理研究[J].價值工程,2010(29):202-203.
[2] 王陽.高校數字化校園信息安全策略探討[J].中國教育信息化.2011(3):29-61.
[3] 皇甫斌.淺談數字化校園的網絡安全建設[J].信息科技,2009(18):96-103.
[4] 張升平. 高校數字化校園體系結構研究及實踐[D]. 長沙:湖南大學,2008.32-38.
[5] 章晟.拒絕服務攻擊和自相似網絡流量研究[D]. 杭州:浙江大學,2010.18-29.
篇3
關鍵詞:網絡安全;風險評估;方法
1網絡安全風險概述
1.1網絡安全風險
網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。
1.2網絡安全的目標
網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。1.3風險評估指標在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。
2網絡安全風險評估的方法
如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。
2.1網絡風險分析
作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。
2.2風險評估
在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。
2.3安全風險決策與監測
在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。
3結語
網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。
參考文獻
[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.
[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.
[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.
[4]劉剛.網絡安全風險評估、控制和預測技術研究[D].南京理工大學,2014.
篇4
關鍵字:風險,風險分析
1.引言
隨著計算機網絡的發展,其開放性,共享性,互連程度擴大,網絡的重要性和對社會的影響也越來越大。而網絡安全問題顯得越來越重要了。網絡有其脆弱性,并會受到一些威脅。而風險分析是建立網絡防護系統,實施風險管理程序所開展的一項基礎性工作。風險管理的目的是為確保通過合理步驟,以防止所有對網絡安全構成威脅的事件發生。網絡的安全威脅與網絡的安全防護措施是交互出現的。不適當的網絡安全防護,不僅可能不能減少網絡的安全風險,浪費大量的資金,而且可能招致更大的安全威脅。因此,周密的網絡安全風險分析,是可靠,有效的安全防護措施制定的必要前提。網絡風險分析應該在網絡系統,應用程序或信息數據庫的設計階段進行,這樣可以從設計開始就明確安全需求,確認潛在的損失。因為在設計階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多。即使認為當前的網絡系統分析建立的十分完善,在建立安全防護時,風險分析還是會發現一些潛在的安全問題。
一般來說,計算機網絡安全問題,計算機系統本身的脆弱性和通信設施脆弱性共同構成了計算機網絡的潛在威脅。一方面,計算機系統硬件和通信設施極易遭受到自然環境因素的影響(如:溫度,濕度,灰塵度和電磁場等的影響)以及自然災害(如:洪水,地震等)和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計算機內的軟件資源和數據信息易受到非法的竊取,復制,篡改和毀壞等攻擊;同時計算機系統的硬件,軟件的自然損耗和自然失效等同樣會影響系統的正常工作,造成計算機網絡系統內信息的損壞,丟失和安全事故。
通過結合對計算機網絡的特點進行分析,綜合起來,從安全威脅的形式劃分得出了主要風險因素。
風險因素主要有:自然因素,物理破壞,系統不可用,備份數據的丟失,信息泄漏等因素
2.古典的風險分析
基本概念:
風險:風險就是一個事件產生我們所不希望的后果的可能性。風險分析要包括發生的可能性和它所產生的后果的大小兩個方面。因此風險可表示為事件發生的概率及其后果的函數:
風險R=ƒ(p,c)
其中p為事件發生的概率,c為事件發生的后果。
風險分析:就是要對風險的辨識,估計和評價做出全面的,綜合的分析,其主要組成為:
1.風險的辨識,也就是那里有風險,后果如何,參數變化?
2.風險評估,也就是概率大小及分布,后果大小?
風險管理:
風險管理是指對風險的不確定性及可能性等因素進行考察、預測、收集、分析的基礎上制定的包括識別風險、衡量風險、積極管理風險、有效處置風險及妥善處理風險等一整套系統而科學的管理方法,旨在使企業避免和減少風險損失,得到長期穩定的發展。
3.網絡安全的風險分析
本文采用的風險分析方法是專家評判的方法。由于網絡的脆弱性以及對網絡的威脅,因此網絡中就存在風險。根據古典的風險分析,則網絡中的風險與風險因素發生的概率和相應的影響有關。而概率可以通過統計的方法來得到,影響可以通過專家的評判方法來得到。因此,風險R=P(概率)*F(影響)
這時,風險分析的過程包括:統計概率,評估影響,然后評估風險。然后根據風險分析的大小來管理風險。
1統計概率
通俗的說,概率是單位時間內事件發生的次數。按每年事件發生的次數來統計概率。
2影響的評估
首先對上述5個因素確定權重W,按照模糊數學的方法將每個因素劃分為五個等級:很低,低,中等,高,很高。并給出每個等級的分數C(1.2,3.6,7),根據各個專家對每個因素的打分計算出每個因素的分數C,再將W與C相乘,累計求和ΣWC,讓F=ΣWC此值即因素的影響的大小。
風險因素權重的確定方法如下:
設影響的n個因素為A1,A2,…,An,參加評判的專家m人。對n個因素,先找出最重要因素和最不重要因素,并按層次分析方法(AHP)中1-9的標度和標準確定兩者的比率。
將5個因素按重要程度從小到大排序,以最不重要因素為基準(賦值為1),將各個因素與其比較。按重要程度進行賦值(按AHP法中的標度和標準)。
將m個專家對n個因素所賦的分為r塊,分別記為A[1],A[2],…,A[r]。其中矩陣A[k]的行表示以Ak為最不重要因素的專家數,記作mk。列表示將因素Ak作為基準,對n個因素A1,A2,…,An所賦的值。具體形式為:
AAA…A…..A
A[k]=(1)
其中
a=1,1<=a<=9,Σm=m(i=1,2,…,m;j=1,2,…,n)
對于分塊矩陣A[k],因各因素賦值均以Ak為基準,從而可對A[k]中各列分別求平均值
a=Σa/mj=1,2,…,n(2)
對所有分塊矩陣作上述處理,可分別得到(A1,A2,…,Ar)。
對于每個分塊矩陣A[k](k=1,2,…,r);因行數不同,其在專家數m中的所占的比重也不同,因而需考慮mk在m中所占的比重,稱mk/m為ajk的權系數。
由以上分析可得因素Aj的綜合賦值。
A=Σa*m/mj=1,2,…,n(3)
由(1)-(3)式即可得m個專家對n因素的綜合賦值。由綜合賦值aj中求出最小值amin和最大值amax,令其所對應的下標分別為m和M,即am=amin,aM=amax。
篇5
關鍵詞:商業銀行 網絡安全 網絡風險
1 城市商業銀行網絡安全建設現狀
銀行的信息與網絡安全建設與銀行的整個電子化、信息化和網絡化密切相關,把金融風險監管現代化和金融電子化、信息化和網絡化風險的監管密切結合起來,是搞好銀行與阿絡安全建設的根本思路。目前城市商業銀行信息化安全的觀念對于網絡與系統的虛擬世界的“行為與內容的監管”和“大范圍的網絡環境的安全問題”,考慮較少。
1.1銀行網絡行為和內容的安全情況
銀行網絡的安全問題實際是銀行風險監管的問題,銀行風險監管既要檢查銀行和客戶人員在現實世界中的人與銀行業務相關的行為結果,又要檢查網絡虛擬世界中用戶、系統和的行為,實際上要對銀行監管實行監管現代化的建設和銀行信息化實行監管。
1.2銀行業務運營信息化安全情況
主要涉及銀行價值管理信息系統、資源管理信息系統、銀行產品服務管理信息系統等。對于這些業務信息系統,由于銀行系統有高度的安全意識銀行系統的安全工作開展的較早,制定了相關的標準和規范,進行了安全規劃與實施等。
1.3銀行網絡系統安全情況
當前銀行網絡系統安全問題重要表現在數據大集中后的安全,其特點是數據服務大集中,前置通信中心強大的和眾多本地與遠端終端的中心體系結構。
應該看到,電子化在給銀行帶來利益的同時,也給銀行帶來了新的安全問題。原因主要有三個:伴隨金融體制改革的深入、對外開放的擴大,金融風險迅速增大;當前計算機應用日益廣泛、日趨網絡化,系統的安全性漏洞也隨之增加;計算機知識日益普及,金融網絡向國際化發展,計算機犯罪技術在不斷提高。
2 銀行網絡安全重點關注的方面
目前銀行用戶關注的信息化安全問題主要是客戶隱私、用戶權益、信息內容安全和客戶可信接入銀行網等問題:
全面整合銀行信息化安全建設,在此基礎上建立銀行信息安全保障、應急和監管系統。
以安全觀點再度審核銀行應用數據大集中的安全建設問題、專網與公網的隔離安全建設、銀行外包服務安全建設、安全檢測、監控、審計、追蹤和定位系統建設、制定安全應急標準與安全應急培訓。
3 安全風險分析
我們可以參考國際標準化組織ISO開放系統互聯(OSI)模型,將整個銀行系統的安全風險統一劃分成五個層次,即物理層安全、網絡層安全、操作系統層安全、應用層安全以及管理層安全。
3.1物理層安全風險分析。物理層安全包括通信線路的安全,物理設備的安全,機房的安全等。
3.2網絡層安全風險分析。網絡層安全包括網絡層身份認證,網絡資源的訪問控制,數據傳輸的保密和完整性,遠程接入的安全,路由系統的安全等。
a數據傳輸風險分析。表現在重要業務數據泄漏、重要數據被破壞等,如果沒有專門的軟件或硬件對數據進行控制,所有的廣域網通信都將不受限制地進行傳輸,因此任何一個對通信進行監測的人都可以對通信數據進行截取
b網絡邊界風險分析。主要表現于銀行業務系統安全和互聯網出口的安全。
c網絡設備的安全風險。由于銀行專用網絡系統中使用大量的網絡設備,如交換機、路由器等,使得這些設備的自身安全性也會直接關系的銀行系統和各種網絡應用的正常運轉。
3.3系統層的安全風險。主要表現在兩方面:一是操作系統本身的安全漏洞和隱患;二是對操作系統的錯誤配置。
3.4應用層安全風險分析。應用層安全是用戶采用的應用軟件和數據庫的安全性,包括數據庫軟件、Web服務、電子郵件系統、域名服務系統、業務應用軟件,以及其他網絡服務系統(如Telnet、FTP等)。
3.5管理層安全風險分析
管理層安全包括安全技術和設備的管理,安全管理制度的制定,部門和人員的組織規劃等。要建立完備的安全網絡最終要靠人來實現,因此管理是整個網絡安全中最為重要的一環。因此我們有必要認真的分析管理所帶來的安全風險,并采取相應的安全措施。
4 安全方案總體設計
4.1網絡安全建設原則
網絡安全建設是一個系統工程,銀行網絡安全體系建設應按照“統一規劃、統籌安排,統一標準、相互配套”的原則進行,采用先進的“平臺化”建設思想,避免重復投入、建設,充分考慮整體和局部的利益,堅持近期目標與遠期目標相結合。
在實際實施中還要按照系列基本原則進行:系統性原則;簡單性原則;實時、連續、安全統一原則;需求、風險、代價平衡原則;實用與先進相互結合的原則;方便與安全相互統一原則;全面防護、突出重點原則;分層、分區原則;整體規劃、分布實施原則;責任明確,分級管理,聯合防護原則。
4.2網絡安全建設目標
我們對于銀行網絡系統安全建設的目標為:采用防護、檢測、反應、恢復四方面行之有效的安全措施,建立一個全方位并易于管理的安全體系,確保銀行網絡系統安全可靠的運行
a系統級安全目標。保證操作系統、數據庫管理系統的安全補丁不斷升級、安全設置正確,防止計算機終端、服務器感染通過軟盤、光盤、網絡、電子郵件及其它網絡途徑傳播的計算機病毒。
b網絡級安全目標。保證內外網之間、內部網不同網絡安全域之間的安全隔離和有效的訪問控制,保證系統業務敏感信息網絡傳輸中的機密性、完整性,保證網絡攻擊和網絡安全漏洞及時發現、告警,網絡安全狀況不斷改善,以及保證銀行網絡系統網絡傳輸系統的高可靠性:主要指線路、設備的備份、冗余等。
c應用級別安全目標。防止本地用戶和遠程用戶的非授權訪問、越權訪問和身份假冒,保證各種服務系統的正常運轉。
d管理級安全目標。對安全軟硬件設備(如防殺病毒軟件、入侵檢測軟件、安全MPN設備、防火墻設備)和安全策略、安全狀況能夠集中統一管理、監控、審計和響應,保證安全責任分解到人、出現問題有跡可尋,加強管理制度和管理體系建設。
4.3整體安全設計概述
整體安全設計要最大限度保障業務系統、辦公系統的安全,做到安全性和方便性的統一。
a數據庫服務器是業務系統中最重要的數據庫部分,它保存了所有業務交易相關的各種帳務數據,因此必須對它們實行有限訪問控制防護——配置雙機熱備防火墻系統。
b由于辦公機器眾多、員工的安全防范意識較差,需要與互聯網接入,又要直接接入OA辦公、決策等系統,因此,辦公機器應受到高度關注。
c由于網絡中設備、主機數量眾多,應此使用日志審計系統收集全網中的安全設備、服務器的日志,進行歸檔、分析,及時發現系統中發生的安全時間,起到事后審計的安全機制。
篇6
1.采用多層防衛手段,將受到侵擾和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失;
4.提供查獲侵入者的手段。
安全需求:
通過對網絡系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即,可用性:授權實體有權訪問數據
機密性:
信息不暴露給未授權實體或進程
完整性:保證數據不被未授權修改
可控性:控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計:是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏險分析網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全,而是整個信息網的安全,需要從物理、網絡、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自于何處。網絡安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網絡的中斷。根據國內網絡系統的網絡結構和應用情況,應當從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。
解決方案:
安全策略:
1.采用漏洞掃描技術,對重要網絡設備進行風險評估,保證信息系統盡量在最優的狀況下運行。
2.采用各種安全技術,構筑防御系統,主要有:
(1)防火墻技術:在網絡的對外接口,采用防火墻技術,在網絡層進行訪問控制。
(2)NAT技術:隱藏內部網絡信息。
(3)VPN:虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。
(4)網絡加密技術(Ipsec):采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。
(5)認證:提供基于身份的認證,并在各種認證機制中可選擇使用。
(6)多層次多級別的企業級的防病毒系統:采用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。
(7)網絡的實時監測:采用入侵檢測系統,對主機和網絡進行監測和預警,進一步提高網絡防御外來攻擊的能力。
3.實時響應與恢復:制定和完善安全管理制度,提高對網絡攻擊等實時響應與恢復能力。
4.建立分層管理和各級安全管理中心。
防御系統:我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術(Ipsec)、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術,構成網絡安全的防御系統。
物理安全:
物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。為保證網絡的正常運行,在物理安全方面應采取如下措施:
1.產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。
2.運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。
3.防電磁輻射方面:所有重要的設備都需安裝防電磁輻射產品,如輻射干擾機。
4.保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。
防火墻技術
防火墻是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網絡和Internet之間地任何活動,保證了內部網絡地安全;在物理實現上,防火墻是位于網絡特殊位置地以組硬件設備――路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統,也可以在一個進行網絡互連地路由器上實現防火墻。入侵檢測入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現:
1.監視、分析用戶及系統活動;
2.系統構造和弱點的審計;
3.識別反映已知進攻的活動模式并向相關人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性;
6.操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
安全服務:
網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。針對以上問題和網管人員的不足,下面介紹一系列比較重要的網絡服務。包括:
1.通信伙伴認證
2.訪問控制
3.數據保密
4.業務流分析保護
篇7
【關鍵詞】電力 信息網絡安全 風險評估
改革開放以來,我國社會經濟得到了長足的發展,人民物質文化生活水平不斷提高,用電量亦直線增漲,電力行業獲得了前所未有的發展機遇。隨著電力行業的不斷發展壯大和信息網絡技術日新月異的發展,電力行業和電力企業也面臨著一系列的挑戰,電力信息網絡風險管理和防御顯得日益重要,信息網絡風險量化評估成為重中之重。由于我國電力信息化技術起步較晚,發展也比較滯后,電力信息網絡風險管理與風險防御是一個新的課題,電力信息網絡風險量化評估在最近幾年才被重視,所以存在不少的問題急待完善。
1 電力信息網絡風險量化評估的必要性
隨著信息技術的不斷發展,電力信息網絡存在的風險越來越大,電力企業不得不提高信息網絡風險防控意識,重視電力信息網絡的風險評估工作。進行電力系統信息網絡風險量化評估意義體現在許多方面,可以提高電力企業管理層和全體員工的信息網絡安全意識,促進電力企業不斷完善電力信息網絡技術的研發與提升,防范廣大電力用戶個人信息泄露,為電力企業今后的良好發展保駕護航。近年來,電力企業迎來了黃金發展時期,電力網絡覆蓋面不斷擴大,電力企業管理理念也不斷提升,電力系統也隨之步入了數字化時代,信息網絡安全防范成為當務之急。目前電力系統信息網絡安全防范一般為安裝防病毒軟件、部署防火墻、進行入侵檢測等基礎性的安全防御,缺乏完整有效的信息安全保障體系。風險量化評估技術能夠準確預測出電力信息網絡可能面臨的各種威脅,及時發現系統安全問題,進行風險分析和評估,盡最大可能地協助防御電力系統安全威脅。
2 電力系統信息網絡安全風險評估中存在的問題
我國電力信息網絡安全風險評估是近幾年才開始的,發展相對滯后,目前針對電力信息網絡安全風險評估的相關研究特別少。2008年電力行業信息標準化技術委員會才討論通過了《電力行業信息化標準體系》,因此電力信息網絡安全風險評估中存在不少的問題和難題有待解決。
2.1 電力信息網絡系統的得雜性
電力行業,電力企業,各電網單位因為工作性質不同,對電力信息網絡安全風險的認識各不相同,加上相關標準體系的不健全,信息識別缺乏參考,電力信息網絡安全風險識別存在較大的困難。此外電力信息網絡安全風險評估對象難以確定,也給評估工作帶來了很大的困難。
2.2 電力信息網絡安全風險量化評估方法缺乏科學性
我國部分電力企業的信息網絡安全風險評估方法比較落后簡單,其主要方式是組織專家、管理人員、用戶代表根據一些相關的信息數據開會研討,再在研討的基礎上進行人為打分,形成書面的文字說明和統計表格來評定電力信息網絡系統可能面臨的各種風險,這種評估方法十分模糊,缺乏科學的分析,給風險防范決策帶來了極大風險,實在不可取。
2.3 傳統的電力信息網絡安全風險評估方法過于主觀
目前用于電力信息網絡安全風險分析計算的傳統方法很多,如層次分析、模糊理論等方法。可是因為電力網絡安全信息的復雜性、不確定性和人為干擾等原因,傳統分析評估方法比較主觀,影響評估結果。在評估的實際工作中存在很多干擾因素,如何排除干擾因素亦是一大難點。電力信息網絡安全風險量化評估要面對海量的信息數據,如何采用科學方法進行數據篩選,簡約數據簡化評估流程是當前的又一重大課題。
3 電力信息網絡所面臨的風險分析
電力信息網絡系統面臨的風險五花八門,影響電力信息網絡系統的因素錯綜復雜,需要根據實際情況建立一個立體的安全防御體系。要搞好電力信息網絡系統安全防護工作首先要分析電力信息網絡系統面臨的風險類別,然后才能各個突破,有效防范。電力信息網絡系統面臨的安全風險主要有兩面大類別:安全技術風險和安全管理風險。
3.1 電力信息網絡安全技術風險
3.1.1 物理性安全風險
是指信息網絡外界環境因素和物理因素,導致設備及線路故障使電力信息網絡處于癱瘓狀態,電力信息系統不能正常動作。如地震海嘯、水患火災,雷劈電擊等自然災害;人為的破壞和人為信息泄露;電磁及靜電干擾等,都能夠使電力信息網絡系統不能正常工作。
3.1.2 網絡安全風險
是指電力信息系統內網與外網之間的防火墻不能有效隔離,網絡安全設置的結構出現問題,關鍵設備處理業務的硬件空間不夠用,通信線纜和信息處理硬件等級太低,電力信息網絡速度跟不上等等。
3.1.3 主機系統本身存在的安全風險
是指系統本身安全防御不夠完善,存在系統漏洞,電力企業內部人員和外部人員都可以利用一定的信息技術盜取用戶所有的權限,竊走或破壞電力信息網絡相關數據。電力信息網絡安全風險有兩種:一是因操作不當,安裝了一些不良插件,使電力信息網絡系統門戶大開,被他人輕而易舉地進行網絡入侵和攻擊;二是因為主機硬件出故障使數據丟失無法恢復,以及數據庫本身存在不可修復的漏洞導致數據的丟失。
3.2 電力信息網絡安全管理中存在的風險
電力信息網絡是一個龐大復雜的網絡,必須要重視安全管理。電力信息網絡安全管理風險來源于電力企業的內部,可見其風險威脅性之大。電力信息網絡安全管理中存在風險的原因主要是企業內部管理混亂,權責劃分不清晰,操作人員業務技能不過關,工作人員責任心缺乏,最主要還是管理層對電力信息網絡安全管理中存在的風險意識薄弱,風險管理不到位所致。
4 電力信息網絡風險評估的量化分析
4.1 電力信息網絡風險評估標準
目前我國一般運用的電力信息網絡風險評估標準是:GB/T 20984-2007《信息安全技術:信息安全風險評估規范》,該標準定義了信息安全風險評估的相關專業術語,規范了信息安全風險評估流程,對信息網絡系統各個使用壽命周期的風險評估實施細節做出了詳細的說明和規定。
4.2 電力信息網絡安全風險計算模型
學界認為電力信息網絡的安全風險與風險事件發生概率與風險事件發生后造成的可能損失存在較高的相關性。所以電力信息系統總體風險值的計算公式如下:
R(x)=f(p,c)
其中 R(x)為系統風險總值,p代表概率,c為風險事件產生的后果。
由此可知,利用科學的計算模式來量化風險事件發生的概率,和風險事件發生后可能產生的后果,即可演算出電力信息網絡安全的風險總值。
4.3 電力信息網絡安全風險量化評估的方法
4.3.1 模糊綜合評判法
模糊綜合評判法采用模糊數學進行電力信息網絡安全風險量化評估的一種方法,利用模糊數學的隸屬度理論,把對風險的定性評估轉化成定量評估,一般運用于復雜龐大的力信息網絡安全防御系統的綜全性評估。利用模糊綜合評判法時,要確定好因數集、評判集、權重系數,解出綜合評估矩陣值。模糊綜合評判法是一種線性分析數學方法,多用于化解風險量化評估中的不確定因素。
4.3.2 層次分析法
電力信息網絡風險量化評估層次分析法起源于美國,是將定性與定量相結合的一種風險量化評估分析方法。層次分析法是把信息網絡風險分成不同的層次等級,從最底層開始進行分析、比較和計算各評估要素所占的權重,層層向上計算求解,直到計算出最終矩陣值,從而判斷出信息網絡風險終值。
4.3.3 變精度粗糙集法
電力信息網絡風險量化評估變精度粗糙集法是一種處理模糊和不精確性問題的數學方法,其核心理念是利用問題的描述集合,用可辨關系與不可辨關系確定該問題的近似域,在數據中尋找出問題的內在規律,從而獲得風險量化評估所需要的相關數據。在實際工作中,電力信息網絡風險量化評估分析會受到諸多因素的影響和干擾,變精度粗糙集法可以把這些干擾因素模糊化,具有強大的定性分析功能。
電力信息網絡風險量化評估是運用數學工具把評估對象進行量化處理的一種過程。在現實工作中,無論采用哪種信息網絡風險評估的量化分析方法,其目的都是為了更好地進行風險防控,為電力企業的發展保駕護航。
5 總結
電力信息網絡安全對保證人民財產安全和電力企業的日常營運都具有非常重要的意義,電力企業領導層必須要加以重視,加大科研投入,定向培養相關的專業人才,強化電力信息網絡安全風險評估工作,為電力企業的良好發展打下堅實的基礎。
參考文獻
[1]龐霞,謝清宇.淺議電力信息安全運行維護與管理[J].科技與企業,2012(07):28.
篇8
【 關鍵詞 】 電力系統;信息安全;負面影響;安全機制;建設
1 引言
信息技術當前在各行各業都發揮著重要作用,尤其是隨著電力系統的逐步市場化,建立龐大的數據調度網和綜合信息網絡服務于電網管理成為了必然要求。雖然信息技術有著多種優勢,但是同時也帶來了安全方面的一系列問題,比如威脅電力生產、傳輸與運營的各個領域,所以加強網絡與信息安全管理,建立完善的安全機制服務于電網運營成為了關鍵。
2 網絡與信息安全影響分析
電力系統因自身的特殊性質在信息技術應用方面十分復雜,所涵蓋的信息源十分龐大,因此無論是操作系統還是應用軟件需求都較高,致使風險漏洞隱患較多。網絡與信息安全對電力系統的最大影響來自于安全方面,安全措施不到位會帶來諸多負面影響,比如病毒的傳播、木馬惡意入侵、網頁破壞和代碼控制隱患等,帶來諸多弊端。
計算機本身防御能力較差,作為通信設備其存在著嚴重潛在惡意入侵可能性,這對于系統安全和信息安全而言都十分不利,尤其是現在系統網絡中存在著大量的保密數據,一旦發生惡意入侵現象,可能會造成信息丟失、盜竊或者破壞等,威脅電網運營管理。
網絡和信息安全的一個典型特征就是來自于網絡病毒的安全威脅,不僅對軟硬件造成破壞,甚至還通過自我復制導致系統崩潰,引發危機連鎖反應。信息網絡的開放性和共享性使得電力系統內各種各樣的信息都可能流入到網絡世界,不少違法分子通過故意編寫惡意程度木馬植入瀏覽器漏洞形成網頁病毒,輕者造成崩潰嚴重者導致格式化,致使信息丟失或者被盜竊。
對于電力部門而言,其辦公所使用的眾多系統和服務器,商業性質較為突出,源代碼不公開意味著自身不能對軟件源代碼進行獨立控制,無形中就給自身的信息安全帶來了眾多隱患。電力系統作為自成一系的系統,一般只有內部員工使用或者訪問,在權限管理不嚴格的情況下有時會因為操作失誤、缺乏保密意識等因素帶來網絡安全威脅,針對內部管理和訪問情況,做好授權等級授予工作,將是保護網絡內部信息安全的硬性舉措。
3 網絡信息安全機制建設探討
對當前電力企業網絡安全建設而言,安全措施不到位,安全機制建設不完善,已經成為了信息安全的最大問題。面對這些安全隱患和問題,通過加強安全機制建設防范信息犯罪,消除安全隱患,全面走上信息化建設的道路,促使電力系統完成轉型是關鍵。
加強對電力系統內部職工的網絡安全信息教育,從客觀上根本深化信息安全意識是電力企業內部建設的首要舉措。促使員工從自身做起,自覺維護企業網絡安全和信息安全,定期舉行學習培訓,加強技術鍛煉學習,提高安全技術水平,可有效為安全機制的完善建設和貫徹實踐提供保障。完善網絡信息安全管理制度建設是促使信息安全到位的有效措施,從制度建設上予以完善,做到權責明晰,對需保密的信息進行登記審批實施地址綁定策略,對信息訪問、應用做出嚴格管理,將會從制度領域為信息安全保駕護航。
對電力系統而言,對自身網絡和信息安全面臨風險做出正確評估確保安全機制完善并落實的必要舉措。面對這么一個技術要求高、內容龐大復雜的系統,以多種手段來消弭脆弱性造成的隱患,是把風險控制在最低限度的必然要求,所以,加強風險分析和評估,分析系統面臨的多種風險,將其降低到可控的程度,是迫切要求和客觀需要。
網絡信息安全的防護技術舉措有多種,但是主要要從防火墻技術、入侵檢測技術、數據庫安全建設三方面入手,建立信息安全中心和技術聯合服務中心,構建多層次的安全防護體系。防火墻技術要以防御為核心構建多技術層次體系,以提高自身的綜合防護能力,在順利為電力系統服務的同時規避來自網絡的各種攻擊。入侵檢測技術的具體工作原理是ITDB(Integrated Testing DataBase,綜合測試數據庫)通過命令的形式通過管理系統實現對可疑行為的隔離,并且對疑似攻擊的行為進行自我判定收集信息以配置相應部件來規避誤操作和攻擊命令對系統所產生的負面影響。TDB在數據庫的防護中發揮著重要作用,它能對有可能造成破壞的可疑命令或惡意行為進行發現并隔離,通過對攻擊行為進行容忍來保障運行的安全。防火墻邏輯位置示意圖見圖1。除此之外,電力企業本身也要積極加強技術升級改造,做好自主研發和技術創新,掌握核心科技,讓系統全方位為自己服務,保證電力系統的信息安全和健康發展。
4 結束語
總之,電力企業想要健康發展,網絡與信息安全的保障必不可少,針對自身存在的安全隱患,做好風險分析和評估,從各個方面入手完善安全機制建設,解決存在的隱患與問題,是為電力企業信息安全保駕護航的關鍵舉措,也是促使其良性發展的關鍵。
參考文獻
[1] 周偉.計算機網絡安全技術的影響因素與防范措施[J].網友世界,2012(1).
[2] 余志榮.淺析電力企業網絡安全[J].福建電腦,2011(7).
[3] 張鵬宇.電力行業網絡安全技術研究[J].信息與電腦(理論版),2011(1).
[4] 閆斌,曲俊華,齊林海.電力企業網絡信息安全系統建設方案的研究[J].現代電力,2003(1).
篇9
(1)安全漏洞攻擊。任何一個計算機系統都不是十全十美的,都存在某些漏洞。這些系統無意中的漏洞缺陷,卻成為黑客攻擊的通道。當運行在客戶機或服務器的系統程序包含著漏洞代碼時,黑客就能利用這些問題來實施攻擊。
(2)拒絕服務攻擊。這是黑客最常用的攻擊方式之一,通常是使服務器出現如下結果:服務器的緩存區存滿而無法收到新的請求或者利用IP欺騙的方式影響服務器與合法用戶的連接。攻擊者通常通過某種方式使目標主機來停止提供服務從而達到攻擊網絡的目的。拒絕服務攻擊中最常見的方式是對網絡的可用帶寬或連通性的攻擊。拒絕服務攻擊對網絡來說一直是一個得不到有效解決的問題,這主要是由網絡協議的本身安全缺陷所造成的,因此拒絕服務也就成了入侵者終極的攻擊手段。
2網絡安全策略與防范措施
(1)攻擊發生之前的防范措施。防火墻技術能夠最大限度識別與阻擋非法的攻擊行為。它通過網絡邊界的一種特殊的訪問控制構件來隔離內網和外網及其它的部分間的信息交流。根據網絡的體系結構,可以分別設置網絡層IP分組過濾的防火墻、傳輸層的鏈路級防火墻及應用層的應用級防火墻。
(2)攻擊過程的防范措施。隨著網絡技術的發展,攻擊者使用的工具和方法也變得更加復雜多樣,所以單純采用防火墻已不能夠滿足用戶的安全需求。因此,網絡防護要向縱深和多樣化的方向發展。這樣,入侵檢測技術得到了應用。
(3)攻擊后的防范措施。當防火墻及入侵檢測技術都記錄到危險的動作及惡意的攻擊行為之后,一旦網絡遭受攻擊以后,計算機可根據其記錄來分析攻擊的方式,從而盡快地彌補系統存在的漏洞,防止相同攻擊的再次發生。
(4)全方位防范措施在物理安全層面可以采取以下的措施:選用質量較好的網絡硬件設備;對關鍵設備及系統,進行系統的備份;加強機房安全防護,防火、防盜,同時加強網絡設備及安全設備的防護。信息安全方面要保證信息的真實性、完整性和機密性。因此,要將計算機中的重要或者隱私的數據加密,在數據的傳輸過程中也要進行加密傳輸。使用鏈路加密、端點加密和節點加密3種加密方式來確保信息傳輸的安全。訪問控制措施是保證資源不被非法的使用與訪問的有效措施。它包括入網的訪問控制、操作權限的控制、目錄安全的控制、屬性安全的控制、網絡服務器安全的控制、網絡的監測、鎖定的控制及防火墻的控制等7個方面的控制內容。因此,它是維護網絡的安全和保護資源的一個重要的手段。
3網絡攻擊的效果評估方法
網絡攻擊效果評估是研究復雜網絡環境中怎樣對信息系統所進行的網絡攻擊效果來定性或者定量評估的結果,從而由此檢驗攻擊有效性與網絡的系統安全性等。進行網絡的攻擊效果評估在信息系統安全評估的過程中有著十分重要的意義。首先,網絡的構建部門通過對網絡進行攻擊模擬及自我評估來檢驗系統安全特性;其次,當對敵方惡意的攻擊進行反擊時,網絡的攻擊效果評估還能夠為網絡的反擊樣式及反擊強度制定合理的應對方案。現有的評估方式可分為安全審計、風險分析、能力成熟模型及安全測評四類。
(1)安全審計。將安全審計做為核心的評估思想是將是否實施最佳實踐和程度進行系統安全性評估。此類模型主要包括:美國的信息系統的審計與控制協會COBIT、德國IT安全基本保護手冊及美國審計總署自動信息系統的安全審計手冊等。此方式主要是針對信息系統的安全措施的落實和安全管理,這是一種靜態的、瞬時測量方法。
(2)風險分析。風險分析模型主要從風險控制的角度來進行安全的評估和分析。一般的方法是通過對要進行保護的IT資源的研究,假設出這些資源可能存在的漏洞和安全威脅,然后對這些漏洞和威脅對資源可能所帶來的后果進行預算,通過數學概率統計對安全性能進行測量,對可能產生的損失大部分進行量化。然后提取出所需來進行風險控制,從而降低風險,把安全風險控制到能夠接受的范圍之內。風險的管理是動態的及反復測量的過程。現有的通用信息安全的標準,例如15013335和15017799等,核心的思想都源于風險安全的理念。
(3)能力成熟度模型。能力成熟度模型主要是由過程(Process)保證其安全。最著名的能力成熟模型是系統工程安全的能力成熟度模型。系統工程安全的能力成熟度模型的基本原理是通過將安全工程的過程管理途徑,把系統的安全工程轉化成為定義好、成熟、可測量的一個過程。該模型把安全能力共劃分成5個等級,從低到高進行排序,低等級的是不成熟、難控制安全能力,中等級的是能管理、可控的安全能力,高等級的則是可量化、可測量的安全能力。能力成熟度模型為動態、螺旋式的上升模型。
(4)安全測評。安全測評主要更多從安全的技術及功能與機制方面來對信息系統安全進行評估。早期安全測評方案有美國國防部的TCSEC,它的優勢是比較適用于計算機安全,尤其是操作系統的安全進行度量,對計算機操作系統的等級的劃分有著相當大的影響力。
4結語
篇10
信息網絡;安全防護;安全策略;安全管理
網絡已經成為了人類所構建的最豐富多彩的虛擬世界,網絡的迅速發展,給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息,共享資源。如今,Internet遍布世界任何一個角落,并且歡迎任何一個人加入其中,相互溝通,相互交流。隨著網絡的延伸,安全問題受到人們越來越多的關注。在網絡日益復雜化,多樣化的今天,如何保護各類網絡和應用的安全,如何保護信息安全,成為了本文探討的重點。
1.風險分析
風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。
網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全,而是整個信息網的安全,需要從物理、網絡、系統、應用和管理方面進行立體的防護。網絡安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網絡的中斷。根據國內網絡系統的網絡結構和應用情況,應當從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。
2.安全技術策略
采用漏洞掃描技術,對重要網絡設備進行風險評估,保證信息系統盡量在最優的狀況下運行。采用各種安全技術,構筑防御系統,主要有---防火墻技術:在網絡的對外接口,采用防火墻技術,在網絡層進行訪問控制。NAT技術:隱藏內部網絡信息。VPN:虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。網絡加密技術(Ipsec):采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。認證:提供基于身份的認證,并在各種認證機制中可選擇使用。多層次多級別的企業級的防病毒系統:采用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。網絡的實時監測:采用入侵檢測系統,對主機和網絡進行監測和預警,進一步提高網絡防御外來攻擊的能力。
實時響應與恢復:制定和完善安全管理制度,提高對網絡攻擊等實時響應與恢復能力。建立分層管理和各級安全管理中心。
3.防御系統
我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術(Ipsec)、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術,構成網絡安全的防御系統。
物理安全。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。為保證網絡的正常運行,在物理安全方面應采取如下措施:產品保障、運行安全、防電磁輻射、保安防護。
防火墻技術。防火墻是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。
VPN技術。VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現,可以保證企業員工安全地訪問公司網絡。
VPN有三種解決方案:如果企業的內部人員移動或有遠程辦公需要,或者商家要提供B2C的安全訪問服務,就可以考慮使用遠程訪問虛擬網(Access VPN)。如果要進行企業內部各分支機構的互連,使用企業內部虛擬網(Intranet VPN)是很好的方式。如果提供B2B之間的安全訪問服務,則可以考慮Extranet VPN。
網絡加密技術。IP層是TCP/IP網絡中最關鍵的一層,IP作為網絡層協議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎,是網絡安全的核心。I主要包括對稱加密技術、非對稱加密/公開密鑰加密、RSA算法、身份認證、密鑰備份和恢復、證書管理與撤消系統,以及多層次多級別的防病毒系統和入侵檢測、虛擬專用網技術虛擬專用網(Virtual Private Network,VPN)。
4.網絡安全服務
網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。針對以上問題和網管人員的不足,下面介紹一系列比較重要的網絡服務。
通信伙伴認證。通信伙伴認證服務的作用是通信伙伴之間相互確庥身份,防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式,一種是檢查一方標識的單方認證,一種是通信雙方相互檢查對方標識的相互認證,通信伙伴認證服務可以通過加密機制,數字簽名機制以及認證機制實現。
訪問控制。訪問控制服務的作用是保證只有被授權的用戶才能訪問網絡和利用資源。訪問控制的基本原理是檢查用戶標識,口令,根據授予的權限限制其對資源的利用范圍和程度。例如是否有權利用主機CPU運行程序,是否有權對數據庫進行查詢和修改等等。訪問控制服務通過訪問控制機制實現。
數據保密。數據保密服務的作用是防止數據被無權者閱讀。數據保密既包括存儲中的數據,也包括傳輸中的數據。保密查以對特定文件,通信鏈路,甚至文件中指定的字段進行。數據保密服務可以通過加密機制和路由控制機制實現。
業務流分析保護。業務流分析保護服務的作用是防止通過分析業務流,來獲取業務量特征,信息長度以及信息源和目的地等信息。
業務流分析保護服務可以通過加密機制,偽裝業務流機制,路由控制機制實現。數據完整性保護。數據完整性保護服務的作用是保護存儲和傳輸中的數據不被刪除,更改,插入和重復,必要時該服務也可以包含一定的恢復功能。
數據完整性保護服務可以通過加密機制,數字簽名機制以及數據完整性機制實現。
簽字。簽字服務通過數字簽名機制及公證機制實現,作用在于避免通信雙方對信息的來源發生爭議。
相關期刊
精品范文
10網絡監督管理辦法