网络安全的风险分析范文1
职业院校网络迅速发展的同时,层出不穷的网络安全问题影响了校园网的正常运行。为了更好地建设职业院校园网络,本文在APPDRR模型的风险分析指导下,从职业院校网络的特点出发,探讨当前职业院校网络所面临的安全风险。
【关键词】APPDRR 风险分析
1 引言
在国家实施科教兴国战略的背景下,校园网络已经成为职业院校的必备硬件基础,是衡量职业院校教育现代化、信息化的重要标志。目前,大多数有条件的职业院校在校园网硬件工程建设投入巨资。校园网为职业院校的教学、科研、行政办公搭建了一个信息平台,并产生了明显的效果。
2 APPDRR网络安全模型
APPDRR(全网动态安全理论)网络安全模型是一种动态,自适应的现代网络安全模型,[1]即:网络安全= 风险分析+ 制定策略+ 系统防护+ 实时监测+ 实时响应+ 灾难恢复,本文是基于APPDRR模型的风险分析指导下展开的。
风险分析是APPDRR模型的重要组成部分,通过对资产、脆弱性和威胁,综合评估分析网络所面临的风险,对所发现的风险提出相应的处理意见和安全建议,并指导下一步的网络安全建设。
3 职业院校网络风险分析
职业院校网络面临着诸多的问题,首先是规划建设并不是一步到位的,是经过不断升级改造后才形成的规模。安全设备品牌种类不一,在功能和处理能力上存差别,有的职业院校管理的重点侧重于网络边界和主机安全等方面,但是在校园网络的运行过程中,所出现的的威胁,大量集中在应用层攻击、网络资源滥用和基于二层的网络攻击。
本文从链路层、网络层、操作系统、应用层和网络管理等6个方面,对职业院校网络所面临的风险作一个粗略的分析。
3.1 数据链层的安全
数据链层位于物理层和网络层之间,数据链层受到的破坏会直接作用到其他各层。数据链层的安全隐患又容易被忽略,数据链层的安全问题有: MAC 地址泛洪攻击、ARP攻击、存取控制地址欺骗、VLAN 攻击、VTP 攻击和VLAN 跳跃攻击。
3.2 网络层的安全
网络层处于数据链层和传输层之间,是网络体系结构中的第三层,TCP/IP 协议族中最核心的IP协议就在网络层,广泛应用的TCP、UDP、IGMP及ICMP 数据包,都以 IP 数据报文形式传输。网络层封装 IP 数据包,并路由转发,解决机器之间的通信问题。网络层常见安全问题有:明文传输面临的威胁、IP 地址欺骗、源路由欺骗和ICMP 攻击。
3.3 传输层的安全
传输层在 OSI 模型中起着关键作用,负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议:传输控制协议和用户数据报协议。传输层常见安全问题有:TCP"SYN"攻击、Land 攻击、TCP 会话劫持和端口扫描攻击。
3.4 操作系统的安全
目前在职业院校,除了服务器是使用UNIX、Linux外,其它工作站基本是使用微软操作系统,存在以下风险。
(1)安全隐患的产生,主要是操作系统配置不合理,例如:没有管理员口令,用户弱口令,未删除和禁用不必要的帐号,设置完全共享的目录、没有防病毒软件、不合理的访问控制,资源共享的访问权限配置不当等。
(2)操作系统的正常运行需要很多系统服务支撑,这些系统服务向用户和应用程序提供功能接口,有些是操作系统正常运行必需的,有些则是不必要的。不必要的服务不仅会占用系统资源,还会给操作系统带来安全威胁。如果用户不知道自已的操作系统,哪些服务是可以访问网络的,就容易被入侵者利用。
3.5 业务应用的安全
职业院校为了满足科研、教学、办公的需要,校园网搭建了很多网络应用系统,如:信息、教务管理、办公自动化、图书管理等。这些应用系统很重要,但也存在风险如下:
(1)身份认证:操作系统和应用系统为了保证安全,采取了身份认证措施,这些机制各有特点,但是入侵者仍可以利用网络窃听、非法数据库访问、穷举攻击、重放攻击手段获取口令。用户安全意识淡薄,使用系统默认或者弱密码,并且长期不改动,形同虚设。
(2)WEB 服务:WEB 服务是学校用于对外宣传、开展网络远程教学的重要手段,应用极其普遍,使得 Web 服务经常成为非法攻击的首选目标。存在的安全隐患较多,网页代码本身就存在后门和一些缺陷,比如 IIS 漏洞、ASP 的上传漏洞、SQL 注入、缓冲区溢出等。入侵者一旦攻陷WEB 服务器,可以把WEB 服务器作为跳板,通过中间件或数据库连接部件,非法访问学校内部应用系统和数据库,并可利用网页脚本访问本地文件系统和网络系统中其它资源。
(3)数据库:数据库是信息系统的核心,校园网内的业务应用依赖于各种数据库系统,保证数据的安全和完整,正确配置数据库系统显得至关重要。数据库是个复杂的系统。非专业人员是无法正确配置数据库系统的。关系型数据库是可从端口寻址的,通过查询工具就可建立与数据库的连接,例如通过 TCP1521 和 1526端口,就能侵入一个弱防护的数据库;数据库运行过程中,出现的错误信息,可以泄漏数据库结构,分析这些信息就能实施攻击。
(4)网络资源共享:为了工作方便,内部人员经常会使用网络共享,如果没有对资源共享,作必要的访问控制策略,重要的数据信息,就无防护地暴露在网络中。
3.6 网络管理的安全
安全管理对于有一定规模的职业院校网络来说是极其重要的。如果没有相应制度约束,就会带来风险:网络管理人员把校园网络结构、系统的一些重要信息传播给外人,会造成信息泄漏;密码和密钥管理风险,管理员账户及密码被外人窃取;在约束缺失的情况下,利用网络和系统的弱点,实施入侵、修改、删除数据等非法行为;审计不力或无审计,当网络受到攻击或其它威胁时,没有相应的检测、监控、报告与预警机制。事件发生后,不能提供任何记录,无法追踪线索,缺乏对网络的可控和可审查性。
4 结束语
综上, 为了把职业院校网络建成一个全方位、多层次的网络安全防范体系,从根本上解决校园网络内外部对网络安全造成的威胁,首先我们得作风险分析,发现风险,并提出相应的意见和建议,并指导下一步的网络安全建设。
参考文献
[1]彭飞,龙敏.计算机网络安全[M].北京:清华大学出版社,2013.
网络安全的风险分析范文2
关键词:计算机网络管理;安全风险分析;存在问题;防范技术策略
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
计算机互联网的应用早已成为世界发展趋势,计算机互联网技术早已渗透到我们的日常学习、工作、生活当中,尤其是近几年来,人们对于计算机互联网的依赖越来越强。尽管计算机在一定程度上给人们的生活、学习和工作带来了无尽的便利,然而,计算机互联网在安全方面存在着不少的风险,这些给人们的生活学习和工作带来各种各样的问题。因此,加强我国在计算机互联网安全风险的分析与管理在新时代新背景下显得尤为重要。本文主要研究我国计算机互联网安全风险的分析与管理方面存在的问题,针对问题提出相应的解决的策略,为我国在计算机互联网安全风险的分析与管理方面的进一步发展提供借鉴。
1 计算机互联网安全风险分析
1.1 计算机网络系统本身的安全风险。计算机网络系统是个极其复杂的系统,尽管近几年来计算机网络系统相比与以前在系统安全方面取得了重大进步,网络系统安全性大大提高,但是由于其复杂性,网络系统本身的漏洞也是很多。加上网络系统是同其他设备相联系,这些附属设备都会在一定程度上对网络系统的安全性带来隐患。再者,互联网的开放性也为其他危险性因素的增加提供发了便利。因此,计算机网络系统本身的安全风险是影响网络安全的重要原因。
1.2 计算机病毒。计算机病毒指的是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒,它极具有破坏性,复制性和传染性。计算机病毒是影响计算机网络安全的重要原因,伴随着计算机互联网的普及与扩展,计算机病毒也变得多种多样,它的传播方式与途径极其多样,干扰人们网络的正常运用,在一定程度上给人们的生活、学习和工作带来不便。
1.3 黑客攻击。黑客指的是利用系统安全漏洞对网络进行攻击破坏或窃取资料的人,这部分人一般具有较高的计算机水平与能力,属于电脑网络专家。黑客往往通过各种方式对互联网进行入侵与破坏,这些人有的仅仅是为了好玩,有些则是为了窃取他人的电脑资料,甚至对他人隐私带来不好影响。黑客伴随着计算机互联网的发展也逐渐增多,早已成为计算机互联网安全管理的大敌。
1.4 垃圾邮件。一般来讲,凡是未经用户许可(与用户无关)就强行发送到用户的邮箱中的任何电子邮件就称为垃圾邮件。很多垃圾邮件中往往装载着病毒,若是毫无防备心理打开垃圾邮件,电脑病毒则会侵蚀主人电脑网络系统,给主人电脑安全带来风险。因此,在收到垃圾邮件时,我们首先要做的就是杀毒,避免因无知造成电脑系统防中毒,进而导致系统崩溃。
1.5 网络软件漏洞。网络软件是电脑系统的重要组成部分,网络软件往往由网络制作商制作,由于受利益驱动,网络软件制作商往往分部制作逐步完善。计算机网络使用者由于没有及时下载新的网络软件或者没有及时更新,导致网络软件存在漏洞,这就在一定程度上给网络病毒的传播及黑客的入侵提供了便利和途径。因此,及时下载新的网络软件或者及时更新网络软件,都会加强网络系统的安全性。
1.6 网络管理力度不够。尽管计算机网络系统相比与以前在系统安全方面取得了重大进步,网络系统安全性大大提高,但是由于其复杂性,网络系统本身的漏洞也是很多。再加上相关部门和人员对网络管理力度不够,这也在一定程度上对网络系统的安全性带来隐患。网络管理一般采用设置防火墙,但是由于防火墙访问权限过大,一旦被黑客利用,对电脑系统的破坏则会更为严重。
2 计算机互联网安全风险防范技术策略
2.1 设置访问控制。访问控制指的是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。这种方法是保证计算机网络安全极为重要的措施,他能保证计算机不被非法访问和使用,是普及最广的计算机互联网安全风险防范技术。
2.2 运用计算机病毒防范技术。运用计算机病毒防范技术主要指的是安装计算机病毒软件,并且在安装完进算计病毒软件后做到及时更新。同时,计算机网络使用者应该加强网络使用安全常识的学习,对于不确定熟悉的网络资源不轻易下载,下载后做到及时杀毒,确保无毒后再使用。
2.3 运用防火墙技术。防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。安装防火墙后,防火墙会自动对电脑系统及网络进行扫描,防止电脑病毒和黑客对脑系统及网络的进攻与侵蚀。
2.4 安装杀毒软件。网络上免费的杀毒软件很多,在下载杀毒软件时计算机使用者应下载正版软件。正版杀毒软件可以为网络的运行创造良好的环境,而且还会自动对互联网及计算机系统进行查毒和杀毒,保证计算机系统安全健康。同时,做到对杀毒软件的按时升级,提高软件抵御病毒的能力。
2.5 运用信息加密技术,落实网络安全管理。对于极其重要的信息,计算机使用者可以实行加密处理,保证信息不被泄露,加密处理时要做到仔细认真,杜绝密码忘记的现象,给自己的信息运用带来麻烦。另外,做好计算机设备的维护,加强对网络安全管理,极大对网络系统的监管力度,将对网络风险危害降至最低,保证计算机网络的安全运行。
3 总结
随着计算机科技的不断进步与发展,互联网在中国的普及异常迅速,互联网的广泛应用和推广,深刻的改变着我们日常的学习工作与生活,给我们日常的学习工作与生活带来了便利。然而,事物都是双面的,互联网也不例外,互联网也是一把双刃剑,他在给人们的学习工作与生活带来便利的同时也在一定程度上给人们带来损失与不便。尤其是是近几年来,加强我国在计算机互联网安全风险的分析与管理显得格外重要。因此,人们应加强对计算机互联网安全风险进行分析的,找出互联网安全风险的主要问题,针对出现的问题提出相应措施进行有效管理,将互联网对自己的危害降至最低,合理科学运用互联网络,使互联网真正的成为我们的有效工具。
参考文献:
[1]林永菁.针对计算机互联网安全风险与管理问题的分析[J].赤峰学院学报(自然科学版),2009,9.
[2]王凤领.计算机网络安全技术与防范策略探析[J].计算机安全,2010,3.
网络安全的风险分析范文3
[关键词] 协议风险分析 协议风险计算
一、引言
当前计算机网络广泛使用的是TCP/IP协议族,此协议设计的前提是网络是可信的,网络服务添加的前提是网络是可达的。在这种情况下开发出来的网络协议本身就没有考虑其安全性,而且协议也是软件,它也不可避免的会有通常软件所固有的漏洞缺陷。因此协议存在脆弱性是必然的。信息的重要性是众所周知的,而信息的传输是依靠协议来实现的,所以对协议的攻击与防范成为信息战中作战双方关注的重点。协议风险评估也就成为网络信息安全风险评估的关键。
二、协议风险分析
协议的不安全及对协议的不正确处理是目前安全漏洞经常出现的问题,此外,在网络攻击中攻击者往往把攻击的重点放在对网络协议的攻击上,因此,网络风险分析的的主要任务是协议风险的分析。进行协议风险分析时我们首先要理顺协议风险要素之间的关系。
网络安全的任务就是要保障网络的基本功能,实现各种安全需求。网络安全需求主要体现在协议安全需求,协议安全服务对协议提出了安全需求。为满足协议安全需求,就必须对协议的攻击采取有效防范措施。协议脆弱性暴露了协议的风险,协议风险的存在导致了协议的安全需求。对网络协议攻击又引发了协议威胁、增加了协议风险,从而导至了新的安全需求。对协议攻击采取有效防范措施能降低协议风险,满足协议安全需求,实现协议安全服务。任何防范措施都是针对某种或某些风险来操作的,它不可能是全方位的,而且在达到防范目的的同时还会引发新的安全风险。因此风险是绝对的,通常所说的没有风险的安全是相对的,这种相对是指风险被控制在其风险可以被接收的范围之内的情形。在进行协议风险分析后,网络安全中与协议安全相关地各项因素之间的关系如图1。
三、网络协议风险综合计算模型――多种方法加权计算
风险计算的结果将直接影响到风险管理策略的制定。因此,在进行网络协议风险分析后,根据网络协议本身特性及风险评估理论,选取恰当的风险计算方法是非常重要的。本文在风险计算方法的选取时,采用多种风险计算方法加权综合的策略。它是多种风险分析方法的组合,每种方法分别设定权值。权值的确定是根据该方法对评估结果影响的重要程度由专家给出,或通过经验获得。基于上述思想,在对网络协议进行风险评估时根据网络协议的特点我们主要采用技术评估方法来实现。基于网络协议的风险评估示计算如图2。
四、协议风险评估流程
按照风险评估原理和方法,在对风险进行详细分析后,选取适当的方法进行风险计算,最后得出风险评估结果。对协议风险评估可以按照图3所示模型进行。
五、总结
为了规避风险,网络安全管理人员必须制定合适的安全策略,风险评估的目的就是为安全策略的制定提供依据。本文所提出的协议风险评估,为网络管理人员更好地制定安全策略提供了强有力的支持。
参考文献:
[1]Bedford T, Cooke R. Probabilistic Risk Analysis[M]. Cambridge University Press, 2001
[2]Peltier T R. Information Security Risk Analysis[M]. Auerbach Publishtions, 2001
[3]郭仲伟:风险分析与决策[M].机械工业出版社,1992
网络安全的风险分析范文4
【关键词】计算机 网络风险 防范模式 分析
1 引言
在这个信息的年代,信息已成为了一项重要的战略资源,在社会经济发展过程过程中,有着举足轻重的作用。在当前这个计算机信息技术普及的时代,为了降低计算机网络所存风险的影响,计算机网络风险防范模式的建立和分析已成为了当前计算机研究的一个热点话题,如果计算机网络风险的防范工作没有做好,不仅会影响系统正常运行,同时还会间接影响社会公众的利益,甚者还会对国家安全造成影响。
2 计算机网络风险的管理
计算机网络风险的管理主要包括三个步骤,即网络属性特征的分析、风险防范以及风险评估,其中在网络属性特征的分析中又包括了四个阶段,即风险管理的准备、信息系统的调查和分析以及信息安全的分析。在计算机整个网络的风险防范阶段,明确网络属性这一过程为其前提。而在风险评估过程中又包含了风险与风险影响识别与评价、降低风险的相关建议。在风险管理中,风险防范为其第三步骤,其主要包括了三个方面的内容,即优先级排序、评价以及在风险评估阶段中建议的相关安全控制,通过安全控制来降低风险。
3 计算机网络风险模式
3.1 防范体系
该模式包括了风险防范措施与防范策略的选择,以及风险防范的实施,在进行风险防范过程中又包含了以下内容:第一,优先排序风险防范行动;第二,评价建议安全控制的类别与成本收益的分析;第三,风险防范控制措施的选择与责任的分配;第四,安全措施计划的制定;第五,分析残余风险。
3.2 防范措施
计算机网络风险防范为一种系统的方式,在风险管理过程中,管理人员可通过以下措施来实现风险的防范。
第一,风险的假设。在管理过程中,接受潜在风险,同时持续进行IT系统的运行,通过安全控制措施来将风险降到可接受范围内。
第二,风险的规避。经过风险原因或者后果的消除,即在识别出风险的时候,将系统的某项功能放弃或者关闭,以此来规避风险。
第三,风险的限制。利用某项安全控制措施来限制风险,通过这些安全控制系统可把因系统弱点被破坏带来的各种不利影响降到最低或者最小化。
第四,风险计划。通过风险防范计划的制定,有计划且有目的的来进行风险的管理。在该计划中,主要是对安全控制实施优先级排序、维护以及实现等。
第五,风险的转移。基于对系统自身缺陷的了解,采用相关措施来进行损失的补偿,将风险进行转移。
3.3 网络风险的防范――防火墙
当计算机连接至网络后,为了防止其受到非法入侵危害,其中最为有效的一种防护方式就是在其外部网络与局域网间进行防火墙的架设,以此将外部网和局域网分割开来,这样外部网就不可直接进行局域网地址的查找,同时也就不能和局域网之间进行数据的交流,只有经过防火墙过滤以后,局域网中内部的信息才会传递至外部网,且二者间的数据交流只有经过防火墙过滤后才可执行,从而提高内部网络安全性。进行防火墙架设的目的就是为了有效控制网络间访问,避免外部一些非法用户随意获取或者使用内部资源,保护内部网中的设备。所有外部网信息在进入到内部网络前均要事先通过防火墙,由防火墙系统来明确哪些信息可以进行访问,哪些不可进行访问,通过对这些信息的检查,明确只有授权后的数据才可进入到内部网中。
3.4 计算机网络风险防范模式的执行
第一,优先级排序风险行动,并安全控制其评价建议。在风险评估的报告中,基于其所提出的相关风险级别,优先级排序行动。应优先排序被标为非常高或者较高等级的风险项目,并采取相应的纠正行动来确保其利益。在风险的评估过程中,在安全控制评价建议时,应对所采用的这些安全控制措施自身的可行性以及有效性进行分析,选择最为合适且科学的措施来降低风险。
第二,分析成本和效益,并选择相应的安全控制。在这一过程中,进行成本和效益的分析主要是为了给管理层的决策提供相应的依据,从中选择最好且合理的安全控制措施。在选用安全控制时,应结合管理方面、技术方面以及操作方面的相关因素,要确保其所选用的安全控制不仅满足机构的需求,同时还可保证其IT系统的安全。
第三,分配责任和安全措施计划的制定。在完成上述步骤后,选择具备相应技能与专长的控制人员,同时进行责任的分配。接着再进行安全措施计划的制定,在该计划中主要包括以下内容:风险与风险级别、建议的相关安全控制、行动的排序、在安全控制中所需的资源、人员的划分和责任的分配、实施日期与完成日期以及维护要求等。除此之外,还有一个步骤就是残余风险的分析与防范。
4 结束语
综上所述,随着信息技术网络的快速发展,计算机在运行过程中,很容易受到来自各个方面因素的干扰和影响,使得计算机网络存在严重的风险问题。为了防范这些网络风险,文章基于计算机网络风险管理的研究和分析,提出了一种风险防范体系的结构以及模式,通过该风险防范模式的实际应用情况来看,按照该模式来实施风险的防范,可使风险降到可接受范围内,同时所产生的负面影响也较小。但是因在计算机网络风险中,其风险类型自身还存在着不可预见性,在今后计算机网络风险防范模式的建立和分析中,该模式还有待加强和改进。
参考文献
[1]杨涛,李树仁,党德鹏等.计算机网络风险防范模式研究[J].中国人口・资源与环境,2011,21(2):96-99.
[2]莫成达.基于计算机网络风险的防范模式探究[J].企业技术开发(学术版),2011,30(6):39-40.
[3]李钰翠,武建军,刘荣霞等.计算机网络风险防范数据仓库的研究与设计[J].中国人口・资源与环境,2011,21(2):91-95.
网络安全的风险分析范文5
随着世界互联网技术在全球经济、文化等领域的飞速发展,计算机网络技术已经得到了广泛的应用,网络以其实用性、高效性、便捷性深入渗透到各行各业中并逐渐改善行业的产业结构、经营模式、管理方式。近年来,网络信息化已经应用到广播电视台的制作、播出、传播、发射等各个环节,使广播电视台的节目质量、管理效率、影响范围向新的高度迈进。但网络开放性的特点使信息安全面临较多的安全隐患,如何防止因网络信息安全风险导致播出中断、数据泄露、财务损失等严重后果成为了广播电视台面临的新难题。为了提高廣播电视行业对网络信息安全风险的认识,本文构建了广播电视网络信息安全风险指标体系,并运用系统动力学建立风险的因果关系图,分析各个风险之间的相关关系。
袁爱军从企业所面临的网络信息安全问题出发,提出了操作系统安全风险、管理安全风险、应用安全风险及网络结构安全风险四个主要风险,并对风险因素进行全面、系统的分析[1]。李兰瑛等结合某校园网络系统的特点识别相关风险并运用灰色评估法在风险评价方面的优势建立信息系统风险多层灰色评估模型,分析了网络信息系统的风险灰色综合评估过程[2]。袁亮首先详细分析了信息安全的概念和特点,结合企业控制信息安全所面临的问题包括安全问题、管理问题和成本问题提出风险管理对策和建议[3]。吉岚等详细研究了各高校信息安全风险的特点以及高校网络安全技术的应用效果,提出了通过系统的运用网络安全技术保障高校网络信息安全的措施,最后以赤峰学院为例加以验证[4]。
通过对广播电视网络信息安全风险研究成果进行梳理,发现学者们更倾向于对某一个风险阶段或者单一风险因素进行研究,忽略了网络信息安全的系统性以及风险因素的交叉关联性。梳理学者在系统动力学理论、网络信息安全管理的研究成果,结合开化县广播电视台网络信息安全现状归纳出研究较为集中和具有代表性的广播电视网络信息安全风险因素,并发挥了系统动力学在风险演化方面的优势。最终形成集“网络攻击风险”、“技术安全风险”、“管理风险”、“外部环境风险”的“广播电视网络信息安全风险因素系统”,然后建立风险因素系统动力学因果关系图,识别出了风险之间的相关性,为后续广播电视网络信息安全风险的研究奠定了基础。
1开化广播电视台网络信息现状
开化广播电视台目前共有4个自办节目,其中三套电视节目,分别是图文频道、国家公园频道、综合频道,一套广播节目为动听早班车电台。开化广播电视台逐步建立网络化、信息化系统,到目前为止已基本实现全台网络化管理。开化广播电视网络信息系统分为三类,第一类是外网系统,例如以开化新闻网为代表的门户网站;第二类是与广播电视政务及监测监控等相关的专用业务系统,例如广播电视办公网、广播电视发射台信号监听监测网、广播电视监测网等;第三类是制作业务系统,例如广播电视制播网。
2广播电视网络信息安全风险评价指标体系的分析与构建
2.1广播电视网络信息安全风险的识别依据
本文基于国内外学者对网络信息安全风险指标研究的基础上,结合广播电视台网络信息安全现状,筛选出对广播电视网络信息安全影响较大的风险因素,并设置风险产生的后果包括数据损坏、播出中断、敏感数据泄露、财务损失和名誉损失。通过邀请5位专家(开化广播电视台3位,网络风险领域专家2位)对风险因素与产生的后果关联度进行评价,最终筛选出与风险后果高度关联的12个风险因素。
2.2广播电视网络信息安全的特征和风险构建原则
2.2.1广播电视网络信息安全的特征
①完整性。指广播电视网络网络信息在传输、交换、存储和处理过程保持完整的特性,即保持网络信息原样性,网络信息可以正常的生成,保障广播电视节目的播出。
②保密性。指网络信息在没有授权的情况下不泄露给第三方或给其特供可以利用的信息的过程,即完全避免有用信息泄漏给非授权个人或实体,有用的网络信息只能被已授权的个人或实体使用。
③可用性。网络信息的可用性是指网络信息可以被已授权的个人或实体访问和使用,在网络系统正常运营时能够储存可用信息,当网络系统遭受攻击或病毒入侵时能够快速恢复可用信息并再次使用的特征。
④可审查性。指广播电视网络信息交互过程中,可以确认信息参与者的身份,以及参与者所提供的信息的真实同一性,并将信息存储并记录,使信息有相关的记录可以查询。
⑤可控性。网络信息可控性是指在广播电视网络系统中任何信息的生成、传播、输出和具体内容可以在一定范围内被管理控制的特性。
2.2.2广播电视网络信息安全风险指标体系构建原则
广播电视网络信息安全风险指标体系的构建不要遵循。广播电视网络信息安全风险指标的构建基于以下原则:
①科学性原则。风险指标体系的构建要客观真实的反映出广播电视网络信息系统的实际情况,风险指标的选取必须要有正确性、全面性和可靠性,尽量防止人为因素的倾向性,从而建立科学合理的风险指标体系。
②系统性原则。广播电视网络信息安全风险不是每个单一风险的简单叠加,选取风险指标时需考虑风险之间的相互关联性和传递性。风险指标要包含广播电视网络信息安全所涉及的各个方面,不仅要有影响到广播电视播出安全的直接风险因素,还要有从侧面导致播出隐患的间接风险因素。因此,要合理构造广播电视网络信息安全风险指标体系层次结构,层次之间每层上层指标都要有相应的下层指标与其相对应。
②实用性原则。所选风险指标要有可操作性,应与广播电视网络信息安全密切相关,并能够正确反映广播电视台在网络化建设过程中所遇到的问题和不足。
2.3广播电视网络信息安全风险指标体系的构建内容
本文依据广播电视网络信息安全的特点构建风险指标体系,拟将广播电视网络信息安全风险指标体系分为三级指标层。一级指标层为广播电视网络信息安全总体风险组成,二级指标层分别由网络攻击风险、技术安全风险、管理风险、外部环境风险构成,三级指标层由影响各二级指标的风险因素组成,如表2所示。
2.3.1網络风险
主要是由黑客进行网络攻击和网络病毒传播带来的风险,由于广播电视影响范围广、传播速度快的特点容易成为黑客组织攻击的目标,目前黑客不仅仅是个人行为,而是已经形成组织严密的黑色产业。一旦广播电视网络受到黑客攻击或病毒入侵会导致播出中断、网络信息泄露、篡改播出内容等严重后果,甚至会造成不良的社会影响。
2.3.2技术安全风险
开化广播电视台目前计算机所用的操作系统大部分比较落后,没有及时更换最新系统,使系统漏洞增加,加大了网络攻击风险发生的可能性。同时系统的硬件配置仅仅以满足当前需要为主要目标,未考虑与其他系统的兼容性,硬件配置良莠不齐,不能满足网络系统整体的安全防范能力。此外,部分设备存在老化现象,系统内的核心设备、数据存储设备等不能完成备份,可能会导致设备故障从而影响广播电视台节目的安全播出。因此技术安全风险由系统漏洞、硬件配置低和设备故障因素组成。
2.3.3管理风险
管理风险是由人员素质、管理不规范、操作流程不完善和应急预案缺陷带来的风险。目前广播电视台缺乏有效的管理体系和管理部门,不能规范的管理网络系统中各安全控制组件,没有及时更新网络化管理操作流程,人员缺少网络安全意识,安全防护水平较低不能有效的保护网络信息安全,没有建立完善的应急预案,当风险发生时不能快速降低风险损失,这些因素都会加大管理风险发生的概率。
2.3.4外部环境风险
外部环境风险是由自然灾害、人为破坏和系统规模膨胀带来的风险。自然灾害如雷电、供水、火灾、地震等发生后会破坏网络设施从引发风险。人为破坏包括对网络设施的损毁、对网络信息系统的恶意攻击等行为,系统规模膨胀是指随着广播电视网络化进程的发展,网络规模不断扩大,各个系统之间节点互联互通、一旦关键节点出故障会影响到整个网络系统的运行,发生播出故障的几率不断加大。
3基于系统动力学的广播电视网络信息安全风险模型
3.1系统动力学理论
系统动力学是一门分析研究信息反馈系统的学科,也是基于系统论、信息论和控制论来认识系统问题并解决系统问题的综合性学科[5]。系统动力学中,通过因果反馈关系建立各级风险指标之间的关系,识别出可能引发不同风险的相同风险因素以及所造成的风险后果,有利于管理者制定理想的风险管理流程,并直观的了解风险的演化过程和控制情况。并且根据广播电视台网络化的发展情况可以在系统动力学模型中增加新的风险因素,不断优化风险管理模型。
3.2广播电视网络信息安全风险因果反馈图
应用系统动力学软件Vensim建立广播电视网络信息安全风险因果反馈模型,如图1所示。广播电视网络信息安全风险类型主要为网络攻击风险、技术安全风险、管理风险和外部环境风险。通过图1可以直观的发现引发多项风险的因素主要有以下五种:一是人员素质,广播电视台人员素质的提高,不仅有效的提高管理效率,也可以提升人员对于网络信息安全的认识,从而降低管理风险的可能。二是管理不规范,形成系统的管理体系并建立相关网络信息安全部门,统一管理网络软硬件设施和网络信息安全防护可以有效的降低管理风险和技术安全风险。三是网络攻击和网络病毒,提高网络安全防护等级,确实防止网络风险和技术安全风险的发生。第四是自然灾害和人为破坏,提高相应的预防措施可防止因设备故障导致播出中断事故的发生。第五是系统漏洞,完善广播电视台计算机操作系统,对系统不断调整和升级,从而减少网络攻击和网络病毒等网络风险和技术安全风险。
运用系统动力学风险因果反馈图模型,加强对人员素质、管理不规范、网络攻击和网络病毒、自然灾害和人为破坏、系统漏洞这五种主要风险点进行有效控制和防范,就会增强广播电视台对网络风险、技术安全风险、管理风险和外部环境风险的管理控制,从而增强单位防控风险的能力。
4研究结论
本文在研究网络信息安全的概念、理论等的基础上,结合广播电视网络信息安全现状建立了广播电视网络信息安全风险指标体系,总结分析了养老社区项目社会效益评价常用方法,取得如下研究成果:
①在网络信息安全风险研究的基础上筛选出对广播电视网络信息安全影响较大的风险因素,并系统地建立了广播电视网络信息安全风险指标体系,主要由网络风险、管理风险、技术安全风险和外部环境风险以及相应三级风险构成。
②利用系统动力学在风险演化和管理方面的优势,构建广播电视网络信息安全风险因果反馈模型,分析了风险因素之间的相关关系,提出需对人员素质、管理不规范、网络攻击和网络病毒、自然灾害和人为破坏、系统漏洞这五种风险因素重点防控。
③目前用于广播电视网络信息安全风险研究较少,本文只建立了风险指标体系,仍需要对风险演化方面做进一步深入研究。
参考文献:
[1]袁爱军.国内企业网络信息安全风险分析[J].中国石油和化工标准与质量,2011,31(10):279.
[2]李兰瑛,李晓芸.一种基于层次模型的网络信息安全风险灰色评估方法[J].科学技术与工程,2010,10(02):540-545.
[3]袁亮.网络时代下企业信息安全风险和控制[J].中国管理信息化,2015,18(17):72-73.
[4]吉岚,辛欣.高校网络信息安全风险分析及对策探讨——以赤峰学院为例[J].赤峰学院学报(自然科学版),2016,32(20):200-202.
网络安全的风险分析范文6
关键词:金融风险;防范;管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2201-02
随着我国金融业的蓬勃发展,各金融机构不断加大金融电子化建设投入,扩大其网络规模和应用范围。但是,应该看到,金融电子化在给我们提供便利的同时,也带来了新的安全问题,并且,这个问题现在显得越来越紧迫。
1金融网络现状与面临的主要风险
金融活动越来越多地在计算机网络上建立,网上证券交易、资金转账、清算支付、信用卡交易、信用查询、电信银行业务等基于网络的金融产品不断被开发出来,各种不同规模的金融系统也在迅速的发展壮大,金融业务的网络化趋势,已经成为不可避免的发展方向。
在网络为我们提供巨大便利的同时,来自外部与内部的威胁与风险也在不断加大。绝大多数银行、金融机构都会通过各种方式进行互联互通,并与国际互联网直接或间接相连,如何有效防范来自外部的攻击、窃听、木马、病毒的多重入侵是金融网络组建与运行中必须首要考虑的问题。同时,机构内部的员工、终端、服务器、网络设备、软件等的管理也是不可忽视的,由于外部出口是一个点,而内部体系是一个面,所以来自内部的威胁往往要远远大于外部,必须加以足够的重视。
2金融网络的风险评估与防范
最有效的金融网络风险防范措施就是对网络系统进行等级保护,按照重要程度进行级别划分,对不同等级的网络系统通过物理隔离或逻辑隔离划定边界,并针对不同等级的网络系统,特别是核心业务网络定期进行风险评估,系统地分析所面临的威胁及其存在的脆弱性,查找薄弱环节和安全隐患,有针对性的提出防范和化解风险的整改措施,并及时进行整改。
风险评估根据网络系统等级划分后的的重要程度和机构自身的条件选择自评估或聘请第三方专业机构进行。评估过程大致可以分为现场检查、风险分析及策略选择3个步骤进行。
首先,现场检查阶段应明确目前网络资产情况、网络系统的安全需求、当前的安全控制措施情况、业务对网络系统的依赖性,明确网络系统的技术脆弱性,主要包括:设计弱点、实现弱点、配置弱点等等。现场检查切勿走形式,务必提前制定详细的检查方案与实施细则,并严格按照检查计划进行。只有现场检查阶段得到了全面、真实的业务数据,才能为后面的综合分析提供必要的基础支持。
风险分析阶段是整个风险评估的核心部分,需要利用现场检查阶段得到的各类数据,综合分析金融网络系统所存在的各类风险。具体实施则应包括关键资产安全需求(机密性、完整性和可用性)确定、关键资产威胁分析、脆弱性分析、综合风险计算及风险分析总结等几个方面。
安全需求分析包括应选择关键资产、并对关键资产进行安全需求分析与赋值。威胁分析针对环境因素和人为因素分析威胁来源、对威胁进行分类、研究威胁发生的可能性、分析威胁的严重程度。脆弱性分析包括以下几点:网络安全策略及管理规章制度是否健全;安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否合理;网络系统的体系结构、各类安全保障措施的组合是否合理;网络安全域划分、边界防护、内部网络防护、外部设备接入控制、内外网隔离等是否到位;网络设备、安全设备、主机和终端设备的安全性是否可靠,操作系统的安全配置、病毒防护、恶意代码防范等是否有效。此外,还应检查设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理情况;机房安全管控措施、防灾措施、供电和通信系统的保障措施等;关键资产采购时是否进行了安全性测试,对外部服务机构和人员的保密约束情况,在服务提供过程中是否采取了管控措施;应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况等。
综合风险分析主要是综合分析网络与信息系统的整体安全现状,对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性;分析安全事件发生后可能造成的后果和影响;分析网络和信息系统的整体风险状况,最后根据风险的程度逐 条列出风险列表,通常可将风险划分为3个等级,即一般风险、中级风险和高级风险。
策略选择阶段根据前一阶段得到的风险列表,结合安全需求和业务目标,开展相应的整改工作,开发和选择符合成本效益的信息安全保护策略,包括安全管理策略和安全运行策略,并制定合适的风险缓解计划。特别是针对高级风险应立即采取相应措施进行化解,对于短时间内受各种客观条件限制而不能及时处理的高级风险,应制定专项风险防范方案,并提出后期整改计划。
经过较为全面的风险评估与相应的整改,可以极大的降低金融网络安全事件的发生概率。需要注意的是,风险评估保证必须定期组织进行,并将责任落实到人,确保整改到位。
3金融网络的应急体系
做好风险评估与防范,千万不能忽视应急体系的建立与管理,即使金融网络各方面风险已得到控制,仍避免不了各类突发事件的发生,如何在紧急情况下以最快的速度恢复系统运行或使用替代方式继续进行业务处理,是衡量一个网络体系是否健全完善的重要指标。
金融网络比起其他普通网络系统,有着更加重要的地位,一个社区的网络或是一所学校的网络系统出现故障所产生的社会不良影响远不及一家银行资金业务或支付清算系统网络所出现的事故。金融网络的应急处理必须得到高度的重视。
金融网络应急体系建立的首要环节就是要建立一套全方位的应急组织协调机制,应涉及应急处理的各个部门、单位及相关政府职能部门,能在突发事件发生后的第一时间进行组织协调,确定应急方案,调动各方力量,实现应急联动。
其次,金融机构应结合自身的实际情况,制定和不断完善IT层面的应急预案,完善网络、机房环境等应急操作手册,提高金融网络系统应对突发事件的能力,有效、快速、合理地应对突发事件,最大程度地减少金融网络信息安全事件造成损失和影响,保障金融业务的连续运行。
应急预案的有效性取决于预案所涉及的人员对预案的理解。因此必须定期组织要对预案的宣传、培训和实战演练,确保参与应急处理的每个人均能充分理解应急预案的中心思路、应急处理的原则、应急处理的具体执行流程,以便在实际应急处理过程中迅速进入状态,确保应急处理的效果。
实战演练是为检验应急设施的有效性、锻炼应急队伍、改进应急预案等,针对真实运行的系统主动进行的演练,实战演练前应检查预防性措施的就绪情况,以防止可能发生的演练风险。演练必须注重真实性,不能走过场,要模拟出真实事件发生的效果,最好由第三方组织在不通知预案执行者的前提下进行,以达到更真实的现场效果。
4结束语
金融网络必须有足够强的安全防卫措施,否则将会影响到金融业的可持续发展。网络安全保障是一个综合集成的系统,它的规划、管理要求国家有关部门、金融机构及IT技术公司通力合作,进行科学的、强有力的干预、导向和防护。随着金融信息化的迅猛发展,金融网络不再局限于专网,而必须使用如互联网那样的公网。通过风险评估机制来建立完善的安全管理制度和智能、深度的安全防御技术手段,构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系,为金融业务的发展提供一个坚实的信息系统基础保障。
参考文献:
