網(wǎng)絡(luò)信息安全技術(shù)論文

　　網(wǎng)絡(luò)信息安全技術(shù)論文【1】

　　摘要：隨著我國(guó)社會(huì)的發(fā)展及人民生活水平的提高，計(jì)算機(jī)網(wǎng)絡(luò)信息的應(yīng)用，不僅推動(dòng)了社會(huì)的進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的日趨成熟使得各種網(wǎng)絡(luò)連接更加容易，人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)便利的同時(shí)，網(wǎng)絡(luò)的信息安全也日益受到威脅。

　　計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題也隨之日益突出，安全現(xiàn)狀應(yīng)當(dāng)引起人們的關(guān)注。

　　關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境 信息安全 信息安全技術(shù)

　　網(wǎng)絡(luò)已經(jīng)成為我們生活中密不可分的一部分，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，其開(kāi)放的程度越來(lái)越大，對(duì)于社會(huì)的影響力也與日俱增，但是病毒、網(wǎng)絡(luò)黑客和遠(yuǎn)程監(jiān)聽(tīng)等網(wǎng)絡(luò)安全威脅也成為了一個(gè)日趨嚴(yán)重的社會(huì)問(wèn)題。

　　本文就網(wǎng)絡(luò)環(huán)境中的信息安全技術(shù)的相關(guān)問(wèn)題做簡(jiǎn)要分析。

　　一、計(jì)算機(jī)網(wǎng)絡(luò)信息安全的現(xiàn)狀

　　當(dāng)前，我國(guó)的網(wǎng)絡(luò)安全面臨嚴(yán)峻形勢(shì)。

　　互聯(lián)網(wǎng)和網(wǎng)絡(luò)應(yīng)用以飛快的速度不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用日益普及并更加復(fù)雜，特網(wǎng)上頻繁發(fā)生的大規(guī)模黑客入侵與計(jì)算機(jī)病毒泛濫事件是互聯(lián)網(wǎng)和網(wǎng)絡(luò)應(yīng)用發(fā)展中面臨的重要問(wèn)題。

　　因互聯(lián)網(wǎng)本身沒(méi)有時(shí)空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在很短時(shí)間內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。

　　蠕蟲(chóng)、后門(mén)、DOS和Sniffer等是大家熟悉的幾種黑客攻擊手段。

　　這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時(shí)至今日，有愈演愈烈之勢(shì)。

　　這幾類(lèi)攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。

　　從Web程序的控制程序到內(nèi)核級(jí)Rootlets。

　　安全問(wèn)題已經(jīng)擺在了非常重要的位置上，網(wǎng)絡(luò)安全如果不加以防范，會(huì)嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用。

　　二、影響計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的因素

　　1.病毒入侵。

　　計(jì)算機(jī)病毒因?yàn)槠潆[蔽性、潛伏性、傳染性和破壞性的特點(diǎn)， 對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全造成巨大的破壞。

　　未來(lái)計(jì)算機(jī)病毒的摧毀力度將越來(lái)越強(qiáng)，隱蔽性和抗壓性也日益增強(qiáng)，這些病毒的存在對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全而言無(wú)疑是定時(shí)炸彈。

　　2.惡意攻擊。

　　這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類(lèi)。

　　此類(lèi)攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性;另一類(lèi)是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息

　　3.軟件漏洞

　　任何的系統(tǒng)軟件和應(yīng)用軟件都不能百分之百的無(wú)缺陷和無(wú)漏洞的，而這些缺陷和漏洞恰事前非法用戶、黑客進(jìn)行竊取機(jī)密信息和破壞信息的首選途徑。

　　4.操作員不當(dāng)操作

　　安全設(shè)置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。

　　對(duì)于系統(tǒng)漏洞的不及時(shí)修補(bǔ)以及不及時(shí)防病毒都可能會(huì)給網(wǎng)絡(luò)安全帶來(lái)破壞。

　　5.有缺乏效評(píng)估和監(jiān)控手段。

　　全面準(zhǔn)確的安全評(píng)估是防范黑客入侵體系的基礎(chǔ)，它可以對(duì)將要構(gòu)建的整個(gè)網(wǎng)絡(luò)的安全防護(hù)性做出科學(xué)、準(zhǔn)確的分析評(píng)估， 并保障將要實(shí)施的安全策略在經(jīng)濟(jì)上、技術(shù)上的可行性。

　　但在現(xiàn)實(shí)中，計(jì)算機(jī)網(wǎng)絡(luò)安全的維護(hù)更多注重的是事前預(yù)防與事后彌補(bǔ)，在事中評(píng)估和監(jiān)控方面有所欠缺，這直接造成網(wǎng)絡(luò)安全的不穩(wěn)定。

　　三、網(wǎng)絡(luò)環(huán)境中的信息安全技術(shù)

　　1.防火墻技術(shù)

　　防火墻技術(shù)是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)的總稱。

　　在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。

　　防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，僅讓安全、核準(zhǔn)的信息進(jìn)入。

　　通常保障網(wǎng)絡(luò)信息安全的方法有兩大類(lèi)：以“防火墻”技術(shù)為代表的被動(dòng)防衛(wèi)型和建立在數(shù)據(jù)加密、用戶授權(quán)確認(rèn)機(jī)制上的開(kāi)放型網(wǎng)絡(luò)安全保障技術(shù)。

　　“防火墻”(Firewall)安全保障技術(shù)主要是為了保護(hù)與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨(dú)節(jié)點(diǎn)。

　　它具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。

　　防火墻一方面通過(guò)檢查、分析、過(guò)濾從內(nèi)部網(wǎng)流出的IP包，盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽被保護(hù)網(wǎng)絡(luò)或節(jié)點(diǎn)的信息、結(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部某些危險(xiǎn)地址，實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)。

　　實(shí)現(xiàn)防火墻的技術(shù)包括四大類(lèi)：網(wǎng)絡(luò)級(jí)防火墻(也叫包過(guò)濾型防火墻)、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。

　　2.安全加密技術(shù)

　　加密技術(shù)是為通信信息流或數(shù)據(jù)提供機(jī)密性的保護(hù)。

　　還為實(shí)現(xiàn)安全機(jī)制起主導(dǎo)或輔助的作用。

　　加密的算法則是一種對(duì)于信息的編碼規(guī)則，它也是編碼與譯碼依賴于密鑰的參數(shù)。

　　用戶使用該規(guī)則就可以在密鑰的控制下將明文的消息改為密文，使用譯碼規(guī)則就可以將密文還原為明文。

　　沒(méi)有正確的密鑰則無(wú)法實(shí)現(xiàn)加密或者解密的操作，非授權(quán)用戶則無(wú)法還原加密的信息。

　　密鑰是有其特殊性的，目前主要有兩種類(lèi)型，即對(duì)稱密碼體制和非對(duì)稱密碼體制。

　　對(duì)稱密碼算法為des和各種變形、idea以及aes、rc5算法等。

　　非對(duì)稱密碼的算法較為著名的有rsa、圓曲線算法和背包密碼等。

　　3.入侵檢測(cè)技術(shù)

　　隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高，作為對(duì)防火墻及其有益的補(bǔ)充，IDS(入侵檢測(cè)系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，它擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

　　入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的專(zhuān)用系統(tǒng)，該系統(tǒng)處于防火墻之后，可以和防火墻及路由器配合工作，用來(lái)檢查一個(gè)LAN網(wǎng)段上的所有通信，記錄和禁止網(wǎng)絡(luò)活動(dòng)，可以通過(guò)重新配置來(lái)禁止從防火墻外部進(jìn)入的惡意流量。

　　入侵檢測(cè)系統(tǒng)能夠?qū)�網(wǎng)絡(luò)上的信息進(jìn)行快速分析或在主機(jī)上對(duì)用戶進(jìn)行審計(jì)分析，通過(guò)集中控制臺(tái)來(lái)管理和檢測(cè)。

　　4.備份系統(tǒng)

　　備份系統(tǒng)可以全盤(pán)恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。

　　對(duì)系統(tǒng)設(shè)備的備份。

　　備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，也在入侵者非授權(quán)訪問(wèn)或?qū)�網(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用。

　　5.數(shù)字簽名

　　數(shù)字簽名又名電子簽名，包括在身份認(rèn)證、數(shù)據(jù)的完整性以及不可否認(rèn)性和匿名性等方面的應(yīng)用。

　　主要有兩個(gè)過(guò)程，即簽名者用給定的數(shù)據(jù)單元來(lái)簽名，接收者驗(yàn)證此簽名。

　　這種技術(shù)的應(yīng)用也是十分廣泛的，在電子印章和商務(wù)合同中經(jīng)常采用，還有電子郵件安全協(xié)議族和安全電子支付協(xié)議等密鑰分發(fā)都是采用的數(shù)字簽名技術(shù)。

　　6.身份認(rèn)證

　　身份認(rèn)證技術(shù)又被稱為鑒別或者確認(rèn)，是通過(guò)驗(yàn)證被認(rèn)證的對(duì)象是一個(gè)或者多個(gè)參數(shù)的真實(shí)性和有效性來(lái)證實(shí)該對(duì)象是否符合或有效的過(guò)程，用以保護(hù)數(shù)據(jù)的準(zhǔn)確性和真實(shí)性。

　　身份認(rèn)證在金融、保險(xiǎn)、電信和醫(yī)療、公安等領(lǐng)域都起著重要的作用，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，電子銀行和電子商務(wù)等特別注重網(wǎng)絡(luò)安全的領(lǐng)域都亟需該技術(shù)的支持。

　　目前的身份認(rèn)證技術(shù)主要有兩類(lèi)：傳統(tǒng)身份認(rèn)證技術(shù)和雙因素身份認(rèn)證技術(shù)。

　　7.防病毒技術(shù)

　　隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，對(duì)計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。

　　在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類(lèi)。

　　單機(jī)防病毒軟件一般安裝在單臺(tái)PC上，即對(duì)本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測(cè)、清除病毒。

　　網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除。

　　8.安全管理隊(duì)伍的建設(shè)

　　在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)的安全是不存在的，制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證，只有通過(guò)網(wǎng)絡(luò)管理人員與使用人員的共同努力，運(yùn)用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。

　　同時(shí)，要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)。

　　信息產(chǎn)業(yè)發(fā)展到今天，網(wǎng)絡(luò)信息的安全對(duì)我們社會(huì)生活甚而國(guó)家安全的重要性是不言而喻的，隨著計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)軟硬件和應(yīng)用情況在不斷更新。

　　引入新設(shè)備、新軟件和新的應(yīng)用，都會(huì)帶來(lái)新的安全問(wèn)題。

　　攻擊技術(shù)每天都在發(fā)展，新的攻擊機(jī)制不斷出現(xiàn)，新的攻擊機(jī)制決定了新病毒和新的黑客攻擊手段會(huì)對(duì)原本已經(jīng)比較安全的系統(tǒng)造成新的威脅。

　　因此，采取強(qiáng)有力的技術(shù)措施來(lái)保障我們的網(wǎng)絡(luò)安全是我們亟需解決的問(wèn)題。

　　當(dāng)然，我們也必須意識(shí)到，入侵者的技術(shù)也在不斷提高，對(duì)于安全威脅的防范不可能一勞永逸，只有不斷結(jié)合這些新的技術(shù)動(dòng)態(tài)、人員動(dòng)態(tài)和管理動(dòng)態(tài)進(jìn)行定期的安全性改進(jìn)和完善，才能保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。

　　信息安全風(fēng)險(xiǎn)評(píng)估【2】

　　【摘 要】本文介紹了信息安全風(fēng)險(xiǎn)評(píng)估的基本概述，信息安全風(fēng)險(xiǎn)評(píng)估基本要素及通用的信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程。

　　提出在實(shí)際工作中結(jié)合實(shí)際情況進(jìn)行剪裁，完成自己的風(fēng)險(xiǎn)評(píng)估實(shí)踐。

　　【關(guān)鍵詞】信息安全;風(fēng)險(xiǎn)評(píng)估

　　1 企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估概述

　　信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估是指確定在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失或遭到破壞對(duì)整個(gè)系統(tǒng)造成的預(yù)計(jì)損失數(shù)量。

　　是針對(duì)威脅、脆弱點(diǎn)以及它可能導(dǎo)致的風(fēng)險(xiǎn)大小而評(píng)估的。

　　對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估的目的就是：企業(yè)能知道信息系統(tǒng)中是否有安全隱患的存在，并估測(cè)這些風(fēng)險(xiǎn)將會(huì)造成的安全威脅與可能造成的損失，經(jīng)過(guò)這些判斷來(lái)決定修復(fù)或者對(duì)于安全信息系統(tǒng)的建立。

　　信息系統(tǒng)風(fēng)險(xiǎn)分析和評(píng)估能夠有效的保護(hù)企業(yè)信息，但同時(shí)它也是一個(gè)較為復(fù)雜的過(guò)程，建立一個(gè)完善的信息安全風(fēng)險(xiǎn)評(píng)估需要具備相應(yīng)的標(biāo)準(zhǔn)體系、技術(shù)體系、組織架構(gòu)、業(yè)務(wù)體系同時(shí)也要遵循相關(guān)的法律法規(guī)。

　　2 企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的作用

　　信息安全風(fēng)險(xiǎn)評(píng)估是信息安全工作的基本保障措施之一。

　　風(fēng)險(xiǎn)評(píng)估工作是預(yù)防為主方針的充分體現(xiàn)，它能夠把信息化工作的安全控制關(guān)口前移，超前防范。

　　針對(duì)信息系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、使用、維護(hù)等不同階段實(shí)行不同的信息安全風(fēng)險(xiǎn)評(píng)估，這樣能夠在第一時(shí)間發(fā)現(xiàn)各種所存在的安全隱患，然后再運(yùn)用科學(xué)的方法對(duì)風(fēng)險(xiǎn)進(jìn)行分析，從而解決信息化過(guò)程中不同層次和階段的安全問(wèn)題。

　　在信息系統(tǒng)的規(guī)劃設(shè)計(jì)階段，信息安全風(fēng)險(xiǎn)評(píng)估工作的實(shí)行，可以使企業(yè)在充分考慮經(jīng)營(yíng)管理目標(biāo)的條件下，對(duì)信息系統(tǒng)的各個(gè)結(jié)構(gòu)進(jìn)行完善從而滿足企業(yè)業(yè)務(wù)發(fā)展和系統(tǒng)發(fā)展的安全需求，有效的避免事后的安全事故。

　　這種信息安全風(fēng)險(xiǎn)評(píng)估是必不可少的，它很好地體現(xiàn)了“預(yù)防為主”方針的具體體現(xiàn)，可以有效降低整個(gè)信息系統(tǒng)的總體擁有成本。

　　信息安全風(fēng)險(xiǎn)評(píng)估作為整個(gè)信息安全保障體系建設(shè)的基礎(chǔ)、它確保了信息系統(tǒng)安全、業(yè)務(wù)安全、數(shù)據(jù)安全的基礎(chǔ)性、預(yù)防性工作。

　　因此企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作需要落到實(shí)處，從而促進(jìn)其進(jìn)一步又好又快發(fā)展。

　　3 信息安全風(fēng)險(xiǎn)評(píng)估的基本要素

　　使命：一個(gè)組織機(jī)構(gòu)通過(guò)信息化形成的能力要來(lái)進(jìn)行的工作任務(wù)。

　　使命是信息化的目的，一個(gè)信息系統(tǒng)如果不能實(shí)現(xiàn)具體的工作任務(wù)是沒(méi)有意義的。

　　對(duì)企業(yè)來(lái)說(shuō)，信息系統(tǒng)的使命是業(yè)務(wù)戰(zhàn)略。

　　依賴度：一個(gè)組織機(jī)構(gòu)的使命對(duì)信息系統(tǒng)和信息的依靠程度。

　　依賴度越高，風(fēng)險(xiǎn)評(píng)估的任務(wù)就越重要

　　資產(chǎn)：對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象

　　資產(chǎn)價(jià)值：體現(xiàn)了資產(chǎn)在重要程度或敏感程度上的表現(xiàn)特征。

　　作為資產(chǎn)的屬性，資產(chǎn)價(jià)值同時(shí)也是對(duì)資產(chǎn)進(jìn)行識(shí)別的重要內(nèi)容。

　　威脅：一般指會(huì)對(duì)系統(tǒng)或組織造成不良后果的不希望事故潛在起因。

　　脆弱性：可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的脆弱環(huán)節(jié)。

　　通常脆弱性也被稱作是弱點(diǎn)或漏洞。

　　威脅是外因，脆弱性是內(nèi)因，威脅只有通過(guò)利用脆弱性才能造成安全事件。

　　風(fēng)險(xiǎn)：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。

　　衡量風(fēng)險(xiǎn)的指標(biāo)有兩種，分別是由意外事件發(fā)生的概率或者是發(fā)生后可能造成的影響。

　　殘余風(fēng)險(xiǎn)：就是指在安全保障手段之后，防護(hù)能力有了提升，但是危險(xiǎn)并沒(méi)有完全消失。

　　安全需求：為了保證組織機(jī)構(gòu)能夠正常的工作，因此在信息安全保障措施方面提出的要求。

　　安全保障措施：為了降低脆弱性，應(yīng)對(duì)威脅，保護(hù)資產(chǎn)而進(jìn)行的預(yù)防和控制意外事件的后果，檢測(cè)、響應(yīng)意外事件，使得災(zāi)難恢復(fù)迅速，同時(shí)打擊信息違法行為而采取的各種實(shí)踐、規(guī)程和機(jī)制的總稱。

　　4 信息安全風(fēng)險(xiǎn)評(píng)估的基本過(guò)程

　　目前信息安全風(fēng)險(xiǎn)評(píng)估有大量成熟的過(guò)程指南和最佳實(shí)踐，但風(fēng)險(xiǎn)評(píng)估過(guò)程的本質(zhì)是搜集資產(chǎn)、威脅、漏洞、影響等資料和數(shù)據(jù)，其過(guò)程和流程有一定的通用性。

　　4.1 識(shí)別和特征化系統(tǒng)

　　信息安全風(fēng)險(xiǎn)評(píng)估的第一步就是確定評(píng)估的工作范圍，界定風(fēng)險(xiǎn)評(píng)估工作的邊界，并識(shí)別和特征化工作范圍內(nèi)信息系統(tǒng)的各種資產(chǎn)、支持的業(yè)務(wù)流程及相應(yīng)的管理信息等。

　　下圖是一個(gè)信息系統(tǒng)描述規(guī)范：

　　4.2 識(shí)別和特征化漏洞

　　漏洞是在信息系統(tǒng)、系統(tǒng)安全程序、管理控制、物理設(shè)計(jì)、內(nèi)部控制等可能被攻擊者利用來(lái)獲得未授權(quán)的信息或破壞關(guān)鍵處理的弱點(diǎn)。

　　識(shí)別和特征化漏洞工作的目的是開(kāi)發(fā)一個(gè)信息系統(tǒng)漏洞列表。

　　一般常用的識(shí)別系統(tǒng)漏洞的方法包括：

　　(1)使用以前的風(fēng)險(xiǎn)評(píng)估報(bào)告、系統(tǒng)異常報(bào)告、權(quán)威機(jī)構(gòu)發(fā)布的漏洞列表等;

　　(2)使用漏洞掃描工具、滲透性測(cè)試等主動(dòng)的、系統(tǒng)化的測(cè)試方法;

　　(3)開(kāi)發(fā)和使用安全檢查列表，對(duì)實(shí)際系統(tǒng)進(jìn)行配置核查。

　　4.3 識(shí)別和特征化威脅

　　威脅是能夠通過(guò)未授權(quán)訪問(wèn)、毀壞、揭露、數(shù)據(jù)修改或拒絕服務(wù)對(duì)系統(tǒng)造成潛在危害的任何環(huán)境或事件，具體而言，威脅是一個(gè)特定威脅源成功利用一個(gè)特定漏洞的潛在可能。

　　威脅的具體描述沒(méi)有嚴(yán)格規(guī)范，在信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中，應(yīng)根據(jù)組織機(jī)構(gòu)及其運(yùn)行環(huán)境的實(shí)際來(lái)識(shí)別威脅。

　　4.4 識(shí)別和特征化安全控制措施

　　在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，除了分析漏洞和威脅，同時(shí)也要全面分析當(dāng)前所采取的各種安全控制措施。

　　控制措施可以分為技術(shù)控制措施、管理控制措施和物理控制措施。

　　技術(shù)控制措施是綜合計(jì)算機(jī)硬件、軟件和固件中的保護(hù)措施。

　　如訪問(wèn)控制機(jī)制、身份識(shí)別機(jī)制、加密機(jī)制、入侵檢測(cè)軟件等。

　　管理控制措施指的是管理運(yùn)行和控制的保護(hù)措施。

　　如安全策略、操作維護(hù)標(biāo)準(zhǔn)等。

　　物理安全措施是指保護(hù)物理和環(huán)境安全。

　　如重要資料柜加鎖等。

　　4.5 確定可能性

　　完成系統(tǒng)信息、漏洞、威脅和現(xiàn)有安全控制措施的搜集和分析后，下一步需要評(píng)估安全事件一旦發(fā)生可能造成的危害程序。

　　風(fēng)險(xiǎn)就是后果和可能性的產(chǎn)物。

　　通用公式為：風(fēng)險(xiǎn)=負(fù)面事件發(fā)生的可能性(概率)×此負(fù)面事件的影響(后果)

　　給定威脅源執(zhí)行潛在漏洞的可能性可以用高、中、低進(jìn)行描述。

　　可能性級(jí)別 可能性定義

　　高 威脅源有強(qiáng)烈的動(dòng)機(jī)和足夠的能力，并且已有的控制措施對(duì)其無(wú)效

　　中 威脅源有動(dòng)機(jī)和能力，但已有的控制可能可以遲緩漏洞的成功實(shí)施

　　低 威脅源缺少動(dòng)機(jī)或能力，或已有控制可以防止或極大地遲緩漏洞的實(shí)施

　　4.6 分析影響

　　從風(fēng)險(xiǎn)的最基本原理公式可以看到，要得出風(fēng)險(xiǎn)，需要計(jì)算威脅的影響。

　　信息安全的主要目的是確保保密性、完整性和可用性，安全事件的影響是通過(guò)危害保密性、完整性和可用性來(lái)體現(xiàn)的。

　　因此，信息安全事件的影響量級(jí)(高、中、低)可以通過(guò)分析這三個(gè)安全目標(biāo)的受損程度來(lái)確定。

　　失去完整性：由于有意或無(wú)意的行為對(duì)數(shù)據(jù)或信息系統(tǒng)的非授權(quán)修改。

　　失去可用性：信息系統(tǒng)功能和操作對(duì)其終端用戶不可用。

　　失去保密性：受保護(hù)的數(shù)據(jù)和系統(tǒng)信息非授權(quán)訪問(wèn)、暴露。

　　4.7 確定風(fēng)險(xiǎn)

　　通過(guò)分析和確定了安全事件影響和可能性后，可以使用風(fēng)險(xiǎn)基本原理公式進(jìn)行風(fēng)險(xiǎn)結(jié)果計(jì)算。

　　在定性風(fēng)險(xiǎn)評(píng)估中，對(duì)風(fēng)險(xiǎn)級(jí)別的確定可能會(huì)相對(duì)主觀。

　　其基本方法是為每種威脅可能性級(jí)別指定概率，為每種影響級(jí)別指定數(shù)值，最后確定風(fēng)險(xiǎn)區(qū)間等級(jí)。

　　如高威脅可能性的概率是1.0，低影響級(jí)別為10，則風(fēng)險(xiǎn)為1.0×10=10

　　風(fēng)險(xiǎn)等級(jí)：高(>50～100)，中(>10～50)，低(1～10)

　　4.8 編制風(fēng)險(xiǎn)評(píng)估報(bào)告和推薦安全控制措施

　　通過(guò)風(fēng)險(xiǎn)評(píng)估，得出風(fēng)險(xiǎn)的高中低等級(jí)，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，將風(fēng)險(xiǎn)控制在可接受的水平。

　　從而為保障網(wǎng)絡(luò)與信息安全提供依據(jù)。

　　5 結(jié)束語(yǔ)

　　信息安全風(fēng)險(xiǎn)評(píng)估工作是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)，在實(shí)際的信息安全風(fēng)險(xiǎn)評(píng)估工作中，應(yīng)根據(jù)系統(tǒng)的實(shí)際運(yùn)行環(huán)境和企業(yè)管理要求對(duì)評(píng)估過(guò)程進(jìn)行剪裁，結(jié)合國(guó)內(nèi)外標(biāo)準(zhǔn)規(guī)范，完成自己的風(fēng)險(xiǎn)評(píng)估實(shí)踐。

　　參考文獻(xiàn)：

　　[1]吳世忠，江常青，彭勇.信息安全保障基礎(chǔ).航空工業(yè)出版社，2009.7.

【網(wǎng)絡(luò)信息安全技術(shù)論文】相關(guān)文章：

網(wǎng)絡(luò)信息安全控制技術(shù)及應(yīng)用論文10-09

網(wǎng)絡(luò)信息安全技術(shù)發(fā)展研究論文10-08

網(wǎng)絡(luò)信息安全控制技術(shù)探討論文10-11

網(wǎng)絡(luò)信息安全論文10-09

網(wǎng)絡(luò)與信息安全論文10-09

淺析網(wǎng)絡(luò)信息安全的論文10-08

網(wǎng)絡(luò)信息安全現(xiàn)狀論文10-09

網(wǎng)絡(luò)信息安全與防范論文10-09

網(wǎng)絡(luò)安全技術(shù)論文09-30