計(jì)算機(jī)網(wǎng)絡(luò)安全及防范論文

　　計(jì)算機(jī)網(wǎng)絡(luò)安全及防范論文【1】

　　摘要：本文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全及防范進(jìn)行了簡要論述。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全 防范

　　1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

　　1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義 國際標(biāo)準(zhǔn)化委員會(huì)的定義是：“為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)的和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露�！泵绹鴩�防部國家計(jì)算機(jī)安全中心的定義是：“要討論計(jì)算機(jī)安全首先必須討論對(duì)安全需求的陳述�！庇纱搜苌�出計(jì)算機(jī)網(wǎng)絡(luò)安全的含義，即：計(jì)算機(jī)網(wǎng)絡(luò)的硬件、軟件、數(shù)據(jù)的保密性、完整性、可用性得到保護(hù)，使之不受到偶然或惡意的破壞。

　　其具體含義也會(huì)隨著使用者所站的角度不同而不同。

　　從普通用戶立場來說，他們所認(rèn)為的計(jì)算機(jī)網(wǎng)絡(luò)安全就是保護(hù)個(gè)人隱私或機(jī)密信息，以免受到他人的竊取或篡改;就網(wǎng)絡(luò)提供商而言，他們不僅要保證用戶信息的安全，還要考慮自然環(huán)境例如火、電、水、雷擊、地震等自然災(zāi)害，戰(zhàn)爭等突發(fā)事件給網(wǎng)絡(luò)運(yùn)行帶來的破壞。

　　1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀 據(jù)了解，近年來，互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展，信息技術(shù)在給人們帶來各種便利的同時(shí)，也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊取、黑客的侵襲、病毒發(fā)布，甚至系統(tǒng)內(nèi)部的泄密。

　　很多人對(duì)網(wǎng)絡(luò)安全的意識(shí)僅停留在如何防范病毒階段，對(duì)網(wǎng)絡(luò)安全缺乏整體防范意識(shí)，正因?yàn)槿绱�，我國許多企事業(yè)單位的計(jì)算機(jī)網(wǎng)絡(luò)均遭受過不同程度的攻擊，公安部門受理各類網(wǎng)絡(luò)違法犯罪案件也在逐年增加。

　　盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻技術(shù)、入侵檢測(cè)技術(shù)、代理服務(wù)器技術(shù)、信息加密技術(shù)、防病毒技術(shù)等，但是無論在發(fā)達(dá)國家還是在發(fā)展中國家，網(wǎng)絡(luò)安全都對(duì)社會(huì)造成了嚴(yán)重的危害。

　　如何消除安全隱患，確保網(wǎng)絡(luò)信息的安全，已成為一個(gè)重要問題。

　　2 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范策略

　　2.1 防火墻技術(shù) 防火墻技術(shù)，最初是針對(duì)Internet網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。

　　顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。

　　它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使內(nèi)部網(wǎng)和外部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

　　防火墻的主要任務(wù)就是依據(jù)相應(yīng)的安全策略針對(duì)網(wǎng)絡(luò)之間進(jìn)行傳輸?shù)臄?shù)據(jù)包例行檢查，只有在數(shù)據(jù)包通過安全檢查的情況下才允許使用網(wǎng)絡(luò)進(jìn)行通信，也就是說在防火墻的運(yùn)行之下網(wǎng)絡(luò)的運(yùn)行處于被監(jiān)視狀態(tài)。

　　按照防火墻使用的相應(yīng)技術(shù)類型，我們能夠把它分為:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型這幾種基本類型。

　　2.1.1 包過濾型 包過濾型產(chǎn)品所使用的技術(shù)就是網(wǎng)絡(luò)中的分包傳輸技術(shù)，它是屬于防火墻的初級(jí)產(chǎn)品。

　　兩個(gè)或多個(gè)的網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞通常是以“包”為單位進(jìn)行的，在這個(gè)過程之中數(shù)據(jù)被分為各種各樣大小的數(shù)據(jù)包，各個(gè)數(shù)據(jù)包都會(huì)傳輸一部分像數(shù)據(jù)的源地址、目標(biāo)地址、傳輸控制協(xié)議源端口和目標(biāo)端口等這樣的具體的信息。

　　每個(gè)數(shù)據(jù)包里的地址信息都攜帶者這個(gè)“包”所在的站點(diǎn)，防火墻只需要讀取這個(gè)站點(diǎn)的信息就能判斷數(shù)據(jù)包的安全性，對(duì)系統(tǒng)可能造成危害的數(shù)據(jù)包將會(huì)被阻止。

　　2.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換，顧名思義就是將自己本身的IP地址轉(zhuǎn)換成不常用的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。

　　它允許擁有私有IP地址的內(nèi)部網(wǎng)絡(luò)在因特網(wǎng)上使用。

　　這樣的網(wǎng)絡(luò)地址轉(zhuǎn)化表明用戶可以使用自己注冊(cè)的好的IP地址在其他的網(wǎng)絡(luò)中的機(jī)器上使用。

　　在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。

　　系統(tǒng)之所以能夠?qū)ν獠康木W(wǎng)絡(luò)隱藏住自己的真實(shí)的內(nèi)部網(wǎng)絡(luò)地址，主要是在于系統(tǒng)能夠把外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，將源地址和源端口隱藏起來而是將該偽裝的地址和端口通過非安全網(wǎng)卡訪問外部網(wǎng)絡(luò)。

　　這樣一來，內(nèi)部的網(wǎng)絡(luò)使用非安全網(wǎng)卡連接外部網(wǎng)絡(luò)的時(shí)候，內(nèi)部網(wǎng)絡(luò)的連接情況就會(huì)被隱藏起來，僅僅使用一個(gè)開放的IP地址和端口來訪問外部網(wǎng)絡(luò)。

　　OLM防火墻通常都是按照之前定義好的映射規(guī)則來檢測(cè)這個(gè)訪問的安全性。

　　防火墻檢測(cè)其和規(guī)則相吻合的時(shí)候，覺得這樣的訪問具備了安全性，就會(huì)允許訪問，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中;在不滿足規(guī)則的情況下，防火墻就覺得這樣的訪問將會(huì)威脅到系統(tǒng)而拒絕訪問請(qǐng)求。

　　網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是公開的，用戶不必進(jìn)行設(shè)置，只需要按照常規(guī)進(jìn)行操作就可以了。

　　2.1.3 代理型 代理型防火墻也能夠被叫做代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并且它早就開始向應(yīng)用層領(lǐng)域發(fā)展。

　　代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，徹底的切斷了二者間的數(shù)據(jù)傳輸。

　　從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。

　　由于外部系統(tǒng)與內(nèi)部服務(wù)器之間只有間接的數(shù)據(jù)傳輸通道，所以說外部的不懷好意的侵入將會(huì)被拒絕在外，從而維護(hù)了企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

　　代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效，其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，在很大程度上增加了系統(tǒng)管理的復(fù)雜性。

　　2.1.4 監(jiān)測(cè)型 監(jiān)測(cè)型防火墻是隨著信息技術(shù)的發(fā)展而順應(yīng)而生的產(chǎn)品，該技術(shù)在現(xiàn)在的使用上來講，早就超出了防火墻以前的定義范圍。

　　監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，有效地判斷出各層中的非法侵入。

　　同時(shí)，這種監(jiān)測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用防火墻和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中。

　　2.2 入侵檢測(cè)技術(shù) 利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　但是，僅僅使用防火墻，網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠，主要原因如下：①入侵者可尋找防火墻背后可能敞開的后門。

　�、谌肭终呖赡芫驮诜阑饓�內(nèi)。

　�、塾捎谛阅艿南拗疲�防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。

　　入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。

　　實(shí)時(shí)入侵檢測(cè)能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短黑客入侵的時(shí)間。

　　入侵檢測(cè)系統(tǒng)可分為兩類：①基于主機(jī)。

　　基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對(duì)典型應(yīng)用的監(jiān)視如Web 服務(wù)器應(yīng)用。

　�、诨�于網(wǎng)絡(luò)。

　　基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。

　　2.3 信息加密技術(shù) 對(duì)數(shù)據(jù)進(jìn)行加密，通常是利用密碼技術(shù)實(shí)現(xiàn)的。

　　信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。

　　在信息傳送特別是遠(yuǎn)距離傳送這個(gè)環(huán)節(jié)，密碼技術(shù)是可以采取的唯一切實(shí)可行的安全技術(shù)，能有效地保護(hù)信息傳輸?shù)陌踩��?/p>

　　網(wǎng)絡(luò)加密常用的方法由鏈路加密，端點(diǎn)加密和節(jié)點(diǎn)加密三種。

　　鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全，端點(diǎn)加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)，節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。

　　與防火墻技術(shù)相比，數(shù)據(jù)加密技術(shù)更靈活，更適用于開放的網(wǎng)絡(luò)環(huán)境。

　　2.4 防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒變得越來越復(fù)雜和高級(jí)，對(duì)計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大地威脅。

　　在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。

　　單機(jī)防病毒軟件一般安裝在單臺(tái)PC上，即對(duì)本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測(cè)，清除病毒。

　　網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其他資源傳染，網(wǎng)絡(luò)防病毒軟件就會(huì)立刻檢測(cè)到并加以刪除。

　　3 結(jié)束語

　　計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視。

　　網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。

　　我們必須綜合考慮安全因素，制定合理的目標(biāo)，技術(shù)方案和相關(guān)的配套法規(guī)等，世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

　　參考文獻(xiàn)：

　　[1]陳斌.計(jì)算機(jī)網(wǎng)絡(luò)安全與防御[J].信息技術(shù)與網(wǎng)絡(luò)服務(wù)(學(xué)術(shù)研究).2006.

　　[2]高永安.計(jì)算機(jī)網(wǎng)絡(luò)安全的防范策略[J].科技信息.2006.

　　[3]王宏偉.網(wǎng)絡(luò)安全威脅與對(duì)策[M].人民郵電出版社.2006.

　　計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范模式【2】

　　摘要：網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的目的是為確保通過合理步驟，以防止所有對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。

　　計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范模式包括風(fēng)險(xiǎn)防范策略、風(fēng)險(xiǎn)防范措施和實(shí)施風(fēng)險(xiǎn)防范。

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)防范策略主要有：①當(dāng)存在系統(tǒng)漏洞時(shí)，實(shí)現(xiàn)保證技術(shù)來降低弱點(diǎn)被攻擊的可能性;②當(dāng)系統(tǒng)漏洞被惡意攻擊時(shí)，運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制將風(fēng)險(xiǎn)最小化或防止這種情形的發(fā)生;③當(dāng)攻擊者的成本比攻擊得到更多收益時(shí)，運(yùn)用保護(hù)措施，通過提高攻擊者成本來降低攻擊者的攻擊動(dòng)機(jī);④當(dāng)損失巨大時(shí)，運(yùn)用設(shè)計(jì)原則、結(jié)構(gòu)化設(shè)計(jì)以及技術(shù)或非技術(shù)類保護(hù)措施來限制攻擊的程度，從而降低可能的損失。

　　風(fēng)險(xiǎn)防范措施包括風(fēng)險(xiǎn)假設(shè)、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)限制、風(fēng)險(xiǎn)計(jì)劃、研究和了解、風(fēng)險(xiǎn)轉(zhuǎn)移。

　　在實(shí)施風(fēng)險(xiǎn)防范的過程中包括對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序、評(píng)價(jià)建議的安全控制類別、成本-收益分析、選擇風(fēng)險(xiǎn)防范控制、分配責(zé)任、制定安全措施實(shí)現(xiàn)計(jì)劃、實(shí)現(xiàn)被選擇的安全控制及殘余風(fēng)險(xiǎn)分析。

　　最后以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例進(jìn)行了實(shí)證。

　　關(guān)鍵詞 計(jì)算機(jī);網(wǎng)絡(luò)風(fēng)險(xiǎn);防范模式;防范流程

　　在信息時(shí)代，信息成為第一戰(zhàn)略資源，更是起著至關(guān)重要的作用。

　　因此，信息資產(chǎn)的安全是關(guān)系到該機(jī)構(gòu)能否完成其使命的大事。

　　資產(chǎn)與風(fēng)險(xiǎn)是天生的一對(duì)矛盾，資產(chǎn)價(jià)值越高，面臨的風(fēng)險(xiǎn)就越大。

　　信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性，面臨著新型風(fēng)險(xiǎn)。

　　計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范的目的就是要緩解和平衡這一對(duì)矛盾，將風(fēng)險(xiǎn)防范到可接受的程度，保護(hù)信息及其相關(guān)資產(chǎn)，最終保證機(jī)構(gòu)能夠完成其使命。

　　風(fēng)險(xiǎn)防范做不好，系統(tǒng)中所存在的安全風(fēng)險(xiǎn)不僅僅影響系統(tǒng)的正常運(yùn)行，且可能危害到政府部門自身和社會(huì)公眾，嚴(yán)重時(shí)還將威脅國家的安全。

　　論文提出了在選擇風(fēng)險(xiǎn)防范策略時(shí)如何尋找合適的風(fēng)險(xiǎn)防范實(shí)施點(diǎn)并按照實(shí)施風(fēng)險(xiǎn)防范的具體過程來進(jìn)行新技術(shù)下的風(fēng)險(xiǎn)防范，從而幫助完成有效的風(fēng)險(xiǎn)管理過程，保護(hù)組織以及組織完成其任務(wù)。

　　1 計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理

　　計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理包括三個(gè)過程：計(jì)算機(jī)網(wǎng)絡(luò)屬性特征分析、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)防范。

　　計(jì)算機(jī)網(wǎng)絡(luò)屬性特征分析包括風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個(gè)階段。

　　在計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范過程中，計(jì)算機(jī)網(wǎng)絡(luò)屬性的確立過程是一次計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范主循環(huán)的起始，為風(fēng)險(xiǎn)評(píng)估提供輸入。

　　風(fēng)險(xiǎn)評(píng)估過程，包括對(duì)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)影響的識(shí)別和評(píng)價(jià)，以及降低風(fēng)險(xiǎn)措施的建議。

　　風(fēng)險(xiǎn)防范是風(fēng)險(xiǎn)管理的第三個(gè)過程，它包括對(duì)在風(fēng)險(xiǎn)評(píng)估過程中建議的安全控制進(jìn)行優(yōu)先級(jí)排序、評(píng)價(jià)和實(shí)現(xiàn)，這些控制可以用來減輕風(fēng)險(xiǎn)。

　　2 網(wǎng)絡(luò)風(fēng)險(xiǎn)模式研究

　　2.1 風(fēng)險(xiǎn)防范體系

　　計(jì)算機(jī)風(fēng)險(xiǎn)防范模式包括選擇風(fēng)險(xiǎn)防范措施(風(fēng)險(xiǎn)假設(shè)、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)限制、風(fēng)險(xiǎn)計(jì)劃、研究和了解、風(fēng)險(xiǎn)轉(zhuǎn)移)、選擇風(fēng)險(xiǎn)防范策略(包括尋找風(fēng)險(xiǎn)防范實(shí)施點(diǎn)和防范控制類別的選擇)、實(shí)施風(fēng)險(xiǎn)防范3個(gè)過程。

　　在實(shí)施風(fēng)險(xiǎn)防范的過程中包括對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序、評(píng)價(jià)建議的安全控制類別、成本-收益分析、選擇風(fēng)險(xiǎn)防范控制、分配責(zé)任、制定安全措施實(shí)現(xiàn)計(jì)劃、實(shí)現(xiàn)被選擇的安全控制，最后還要進(jìn)行殘余風(fēng)險(xiǎn)分析。

　　2.2 風(fēng)險(xiǎn)防范措施

　　風(fēng)險(xiǎn)防范是一種系統(tǒng)方法，高級(jí)管理人員可用它來降低使命風(fēng)險(xiǎn)。

　　風(fēng)險(xiǎn)防范可以通過下列措施實(shí)現(xiàn)：

　　(1)風(fēng)險(xiǎn)假設(shè)：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行IT系統(tǒng)，或?qū)崿F(xiàn)安全控制以把風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別。

　　(2)風(fēng)險(xiǎn)規(guī)避：通過消除風(fēng)險(xiǎn)的原因或后果(如當(dāng)識(shí)別出風(fēng)險(xiǎn)時(shí)放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng))來規(guī)避風(fēng)險(xiǎn)。

　　(3)風(fēng)險(xiǎn)限制：通過實(shí)現(xiàn)安全控制來限制風(fēng)險(xiǎn)，這些安全控制可將由于系統(tǒng)弱點(diǎn)被威脅破壞而帶來的不利影響最小化(如使用支持、預(yù)防、檢測(cè)類的安全控制)。

　　(4)風(fēng)險(xiǎn)計(jì)劃：制定一套風(fēng)險(xiǎn)減緩計(jì)劃來管理風(fēng)險(xiǎn)，在該計(jì)劃中對(duì)安全控制進(jìn)行優(yōu)先排序、實(shí)現(xiàn)和維護(hù)。

　　(5)研究和了解：通過了解系統(tǒng)弱點(diǎn)和缺陷，并研究相應(yīng)的安全控制修正這些弱點(diǎn)，來降低風(fēng)險(xiǎn)損失。

　　(6)風(fēng)險(xiǎn)轉(zhuǎn)移：通過使用其他措施補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購買保險(xiǎn)。

　　在選擇風(fēng)險(xiǎn)防范措施中應(yīng)該考慮機(jī)構(gòu)的目標(biāo)和使命。

　　要解決所有風(fēng)險(xiǎn)可能是不實(shí)際的，所以應(yīng)該對(duì)那些可能給使命帶來嚴(yán)重危害影響的威脅/弱點(diǎn)進(jìn)行優(yōu)先排序。

　　同時(shí)，在保護(hù)機(jī)構(gòu)使命及其IT系統(tǒng)時(shí)，由于每一機(jī)構(gòu)有其特定的環(huán)境和目標(biāo)，因此用來減緩風(fēng)險(xiǎn)的措施和實(shí)現(xiàn)安全控制的方法也各不相同。

　　最好的方法是從不同的廠商安全產(chǎn)品中選擇最合適的技術(shù)，再伴以適當(dāng)?shù)娘L(fēng)險(xiǎn)防范措施和非技術(shù)類的管理措施。

　　2.3 風(fēng)險(xiǎn)防范策略

　　高級(jí)管理人員和使命所有者在了解了潛在風(fēng)險(xiǎn)和安全控制建議書后，可能會(huì)問：什么時(shí)候、在什么情況下我們?cè)摬扇⌒袆?dòng)?什么時(shí)候該實(shí)現(xiàn)這些安全控制來進(jìn)行風(fēng)險(xiǎn)防范，從而保護(hù)我們的機(jī)構(gòu)?

　　如圖1所示的風(fēng)險(xiǎn)防范實(shí)施點(diǎn)回答了這個(gè)問題。

　　在圖1中，標(biāo)有“是”的地方是應(yīng)該實(shí)現(xiàn)風(fēng)險(xiǎn)防范的合適點(diǎn)。

　　總結(jié)風(fēng)險(xiǎn)防范實(shí)踐，以下經(jīng)驗(yàn)可以對(duì)如何采取行動(dòng)來防范由于故意的人為威脅所帶來的風(fēng)險(xiǎn)提供指導(dǎo)：

　　楊濤等：計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范模式研究中國人口資源與環(huán)境 2011年 第2期(1)當(dāng)存在系統(tǒng)漏洞時(shí)，實(shí)現(xiàn)保證技術(shù)來降低弱點(diǎn)被攻擊的可能性;

　　(2) 當(dāng)系統(tǒng)漏洞被惡意攻擊時(shí)，運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制將風(fēng)險(xiǎn)最小化或防止這種情形的發(fā)生;

　　(3) 當(dāng)攻擊者的成本比攻擊得到更多收益時(shí)，運(yùn)用保護(hù)措施，通過提高攻擊者成本來降低攻擊者的攻擊動(dòng)機(jī)(如使用系統(tǒng)控制，限制系統(tǒng)用戶可以訪問或做些什么，這些措施能夠大大降低攻擊所得);

　　(4) 當(dāng)損失巨大時(shí)，運(yùn)用設(shè)計(jì)原則、結(jié)構(gòu)化設(shè)計(jì)以及技術(shù)或非技術(shù)類保護(hù)措施來限制攻擊的程度，從而降低可能的損失。

　　上面所述的風(fēng)險(xiǎn)防范策略中除第三條外，也都可運(yùn)用來防范由于環(huán)境威脅或無意的人員威脅所帶來的風(fēng)險(xiǎn)。

　　2.4 風(fēng)險(xiǎn)防范模式的實(shí)施

　　在實(shí)施風(fēng)險(xiǎn)防范措施時(shí)，要遵循以下規(guī)則：找出最大的風(fēng)險(xiǎn)，然后爭取以最小的代價(jià)充分減緩風(fēng)險(xiǎn)，同時(shí)要使對(duì)其他使命能力的影響最小。

　　實(shí)施措施通過以下七個(gè)步驟來完成，見圖2。

　　2.4.1 對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序

　　基于在風(fēng)險(xiǎn)評(píng)估報(bào)告中提出的風(fēng)險(xiǎn)級(jí)別，對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序。

　　在分配資源時(shí)，那些標(biāo)有不可接受的高風(fēng)險(xiǎn)等級(jí)(如被定義為非常高或高風(fēng)險(xiǎn)級(jí)別的風(fēng)險(xiǎn))的風(fēng)險(xiǎn)項(xiàng)目應(yīng)該最優(yōu)先。

　　這些弱點(diǎn)/威脅需要采取立即糾正行動(dòng)以保護(hù)機(jī)構(gòu)的利益和使命。

　　步驟一輸出―從高到低優(yōu)先級(jí)的行動(dòng)。

　　2.4.2 評(píng)價(jià)建議的安全控制

　　風(fēng)險(xiǎn)評(píng)估過程中建議的安全措施對(duì)于具體的機(jī)構(gòu)和IT系統(tǒng)可能不是最適合和可行的。

　　在這一步中，要對(duì)建議

　　圖1 網(wǎng)絡(luò)風(fēng)險(xiǎn)防范實(shí)施點(diǎn)

　　Fig.1 Network implementation point of risk prevention

　　圖2 實(shí)施風(fēng)險(xiǎn)防范措施流程及其輸入輸出

　　Fig.2 Implementation of risk prevention measures and

　　the input and output processes

　　的安全控制措施的可行性(如兼容性、用戶接受程度)和有效性(如保護(hù)程度和風(fēng)險(xiǎn)防范級(jí)別)進(jìn)行分析。

　　目的是選擇最適當(dāng)?shù)陌踩�控制措施以最小化風(fēng)險(xiǎn)。

　　步驟二輸出―可行安全控制清單。

　　2.4.3 實(shí)施成本-收益分析

　　為了幫助管理層做出決策并找出性價(jià)比好的安全控制，要實(shí)施成本―收益分析。

　　第三步輸出―成本-收益分析，其中描述了實(shí)現(xiàn)或者不實(shí)現(xiàn)安全控制所帶來的成本和收益 。

　　2.4.4 選擇安全控制

　　在成本-收益分析的基礎(chǔ)上，管理人員確定性價(jià)比最好的安全控制來降低機(jī)構(gòu)使命的風(fēng)險(xiǎn)。

　　所選擇的安全控制應(yīng)該結(jié)合技術(shù)、操作和管理類的控制元素以確保IT系統(tǒng)和機(jī)構(gòu)適度的安全。

　　步驟四輸出―選擇好的安全控制。

　　2.4.5 責(zé)任分配

　　遴選出那些有合適專長和技能來實(shí)現(xiàn)所選安全控制的人員(內(nèi)務(wù)人員或外部簽約人員)，并分配以相應(yīng)責(zé)任。

　　步驟五輸出―責(zé)任人清單。

　　2.4.6 制定一套安全措施實(shí)現(xiàn)計(jì)劃

　　在這一步，將制定一套安全措施實(shí)現(xiàn)計(jì)劃(或行動(dòng)計(jì)劃)。

　　這套計(jì)劃應(yīng)該至少包括下列信息：

　　(1)風(fēng)險(xiǎn)(弱點(diǎn)/威脅)和相關(guān)的風(fēng)險(xiǎn)級(jí)別(風(fēng)險(xiǎn)評(píng)估報(bào)告輸出)。

　　(2)建議的安全控制(風(fēng)險(xiǎn)評(píng)估報(bào)告輸出)。

　　(3)優(yōu)先排序過的行動(dòng)(標(biāo)有給那些有非常高和高風(fēng)險(xiǎn)級(jí)別的項(xiàng)目分配的優(yōu)先級(jí))。

　　(4)被選擇的計(jì)劃好的安全控制(基于可行性、有效性、機(jī)構(gòu)的收益和成本來決定)。

　　(5)實(shí)現(xiàn)那些被選擇的計(jì)劃好的安全控制所需要的資源。

　　(6)負(fù)責(zé)小組和人員清單。

　　(7)開始實(shí)現(xiàn)日期。

　　(8)實(shí)現(xiàn)完成的預(yù)計(jì)日期。

　　(9)維護(hù)要求。

　　2.4.7 實(shí)現(xiàn)被選擇的安全控制

　　根據(jù)各自的情況，實(shí)現(xiàn)的安全控制可以降低風(fēng)險(xiǎn)級(jí)別但不會(huì)根除風(fēng)險(xiǎn)。

　　步驟七輸出―殘余風(fēng)險(xiǎn)清單。

　　3 網(wǎng)絡(luò)風(fēng)險(xiǎn)防范案例

　　以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例，首先要對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)進(jìn)行屬性分析，風(fēng)險(xiǎn)評(píng)估，然后根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告和承受能力來決定風(fēng)險(xiǎn)防范具體措施。

　　3.1 風(fēng)險(xiǎn)評(píng)估

　　該計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全級(jí)別要求高，根據(jù)手工和自動(dòng)化網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估，結(jié)果如下所示：

　　數(shù)據(jù)庫系統(tǒng)安全狀況為中風(fēng)險(xiǎn)等級(jí)。

　　在檢查的33個(gè)項(xiàng)目中，共有9個(gè)項(xiàng)目存在安全漏洞。

　　其中：3 個(gè)項(xiàng)目為高風(fēng)險(xiǎn)等級(jí)，占總檢查項(xiàng)目的 9%;1 個(gè)項(xiàng)目為中風(fēng)險(xiǎn)等級(jí)，占總檢查項(xiàng)目的 3%;5 個(gè)項(xiàng)目為低風(fēng)險(xiǎn)等級(jí)，占總檢查項(xiàng)目的 15%。

　　3.2 風(fēng)險(xiǎn)防范具體措施

　　選擇風(fēng)險(xiǎn)防范措施中的研究和了解同時(shí)進(jìn)行風(fēng)險(xiǎn)限制。

　　確定風(fēng)險(xiǎn)防范實(shí)施點(diǎn)，該數(shù)據(jù)庫的設(shè)計(jì)存在漏洞并且該漏洞可能被利用，所以應(yīng)該實(shí)施風(fēng)險(xiǎn)防范。

　　實(shí)施步驟如下：

　　步驟一：對(duì)以上掃描結(jié)果中的9個(gè)漏洞進(jìn)行優(yōu)先級(jí)排序，確立每個(gè)項(xiàng)目的風(fēng)險(xiǎn)級(jí)別。

　　步驟二：評(píng)價(jià)建議的安全控制。

　　在該網(wǎng)站主站數(shù)據(jù)庫被建立后針對(duì)評(píng)估報(bào)告中的安全控制建議進(jìn)行分析，得出要采取的防范策略。

　　步驟三：對(duì)步驟二中得出相應(yīng)的若干種防范策略進(jìn)行成本收益分析，最后得出每種防范策略的成本和收益。

　　步驟四：選擇安全控制。

　　對(duì)上述掃描的9個(gè)漏洞分別選擇相應(yīng)的防范策略。

　　步驟五：責(zé)任分配，輸出負(fù)責(zé)人清單。

　　步驟六：制定完整的漏洞修復(fù)計(jì)劃。

　　步驟七：實(shí)施選擇好的防范策略，按表1對(duì)這9個(gè)漏洞進(jìn)行一一修復(fù)。

　　表1 防范措施列表

　　Tab.1 List of preventive measures

　　漏洞ID

　　Vulnerability

　　ID 漏洞名稱

　　Vulnerability

　　Name級(jí)別

　　level風(fēng)險(xiǎn)防范策略

　　Risk prevention

　　strategiesAXTSGL1006Guest用戶檢測(cè)高預(yù)防性技術(shù)控制AXTSGL1008登錄模式高預(yù)防性技術(shù)控制AXTSGL3002審計(jì)級(jí)別設(shè)置高監(jiān)測(cè)和恢復(fù)技術(shù)控制AXTSGL3011注冊(cè)表存儲(chǔ)過程權(quán)限中支持和預(yù)防性技術(shù)控制AXTSGL2001允許遠(yuǎn)程訪問低預(yù)防性技術(shù)控制AXTSGL2012系統(tǒng)表訪問權(quán)限設(shè)置低預(yù)防性技術(shù)控制AXTSGL3003安全事件審計(jì)低監(jiān)測(cè)恢復(fù)技術(shù)控制AXTSGL3004黑盒跟蹤低恢復(fù)管理安全控制AXTSGL3006C2 審計(jì)模式低監(jiān)測(cè)和恢復(fù)技術(shù)控制

　　4 總 結(jié)

　　在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理分析的基礎(chǔ)上，提出了新技術(shù)下的風(fēng)險(xiǎn)防范模式和體系結(jié)構(gòu)，同時(shí)將該防范模式成功應(yīng)用到某網(wǎng)站的主站數(shù)據(jù)庫中。

　　應(yīng)用過程中選擇了恰當(dāng)?shù)姆婪洞胧�，根�?jù)新技術(shù)下風(fēng)險(xiǎn)防范實(shí)施點(diǎn)的選擇流程確立了該數(shù)據(jù)庫的防范實(shí)施點(diǎn)并嚴(yán)格按照風(fēng)險(xiǎn)防范實(shí)施步驟進(jìn)行風(fēng)險(xiǎn)防范的執(zhí)行，成功地使風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別，使得對(duì)機(jī)構(gòu)的資源和使命造成的負(fù)面影響最小化。

　　雖然該防范模式在一定程度上降低了風(fēng)險(xiǎn)的級(jí)別，但是由于風(fēng)險(xiǎn)類型的不可預(yù)見性和防范策略的局限性，該模式未必使機(jī)構(gòu)或系統(tǒng)的風(fēng)險(xiǎn)降到最低，因此風(fēng)險(xiǎn)防范有待于進(jìn)一步改進(jìn)和完善，這將是一個(gè)長期的任務(wù)。

　　參考文獻(xiàn)(References)

　　[1]蔡昱，張玉清.風(fēng)險(xiǎn)評(píng)估在電子政務(wù)系統(tǒng)中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用，2004，(26)：155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]

　　[2]張平，蔣凡.一種改進(jìn)的網(wǎng)絡(luò)安全掃描工具[J].計(jì)算機(jī)工程，2001.27(9)：107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]

　　[3]卿斯?jié)h.網(wǎng)絡(luò)安全檢測(cè)的理論和實(shí)踐[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2001,(11)：24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]

　　[4]戴志峰，何軍.一種基于主機(jī)分布式安全掃描的計(jì)算機(jī)免疫系統(tǒng)模型[J].計(jì)算機(jī)應(yīng),2001,21(10)：24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10)：24-26,29.]

【計(jì)算機(jī)網(wǎng)絡(luò)安全及防范論文】相關(guān)文章：

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范論文10-09

計(jì)算機(jī)應(yīng)用中網(wǎng)絡(luò)安全防范論文10-08

計(jì)算機(jī)網(wǎng)絡(luò)安全防范論文09-30

計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及防范的論文10-11

計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及防范論文10-08

關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全與防范研究論文10-09

計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)論文10-09

計(jì)算機(jī)網(wǎng)絡(luò)安全及防范研討論文10-10

計(jì)算機(jī)網(wǎng)絡(luò)安全及防范策略論文10-09