王 棟

[摘要]當(dāng)前網(wǎng)絡(luò)已經(jīng)成為人們生活和工作中必不可少的組成部分,網(wǎng)絡(luò)涉及到國家的政府、軍事、文教等諸多領(lǐng)域,同時網(wǎng)絡(luò)也帶有多種不安全因素,如信息竊取和計算機病毒等各種人為攻擊無時無刻不在威脅網(wǎng)絡(luò)的健康發(fā)展,文章基于此主要探討了當(dāng)前網(wǎng)絡(luò)常見的安全問題及其評估。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 安全評估 計算機網(wǎng)絡(luò)

當(dāng)前,有害的信息污染、信息間諜等這些網(wǎng)絡(luò)威脅給國家、社會和企業(yè)的安全帶來巨大的影響。網(wǎng)絡(luò)安全的目標(biāo)就是保護網(wǎng)絡(luò)的程序、數(shù)據(jù)或設(shè)備,使其免受非授權(quán)的使用或訪問圈。網(wǎng)絡(luò)安全保護的內(nèi)容包括保護信息和資源、保護用戶、保證數(shù)據(jù)的私有性否。網(wǎng)絡(luò)安全風(fēng)險評估問題也越來越受到人們的重視。如何識別網(wǎng)絡(luò)風(fēng)險,有效的建立安全措施,增強其運行安全性,從而防止災(zāi)難性事件的發(fā)生,同時合理地利用資源獲取最大的社會和經(jīng)濟效益在當(dāng)前顯得尤為重要,本文擬主要分析網(wǎng)絡(luò)常見的安全問題及其風(fēng)險評估。

1 網(wǎng)絡(luò)安全的定義及當(dāng)前網(wǎng)絡(luò)安全存在的問題

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,使得計算機網(wǎng)絡(luò)在許多領(lǐng)域都得到了廣泛應(yīng)用,但是由于網(wǎng)絡(luò)系統(tǒng)自身存在脆弱性,這不可避免地給系統(tǒng)帶來潛在的安全風(fēng)險,如何減少系統(tǒng)的安全風(fēng)險將是當(dāng)前研究的一個重要內(nèi)容。在這里首先介紹網(wǎng)絡(luò)安全的概念。網(wǎng)絡(luò)安全是指計算機網(wǎng)絡(luò)系統(tǒng)中的硬件、數(shù)據(jù)、程序等不會因為無意或惡意的原因而遭到破壞、篡改、泄露,防止非授權(quán)的使用或訪問,系統(tǒng)能夠保持服務(wù)的連續(xù)性,以及能夠可靠的運行。

對于國家的一些機密部門,他們希望能夠過濾一些非法、有害的信息,同時防止機密信息外泄,從而盡可能地避免或減少對社會和國家的危害。網(wǎng)絡(luò)安全既涉及技術(shù),又涉及管理方面。技術(shù)方面主要針對外部非法入侵者的攻擊,而管理方面主要針對內(nèi)部人員的管理,這兩方面相互補充、缺一不可。目前網(wǎng)絡(luò)安全面臨的威脅主要有兩種:一是對網(wǎng)絡(luò)系統(tǒng)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。歸納起來,影響網(wǎng)絡(luò)安全的威脅主要有以下幾類:

(1)網(wǎng)絡(luò)軟件的脆弱性和后門。各種網(wǎng)絡(luò)軟件在設(shè)計的時候就存在缺陷和脆弱性,雖然這些缺陷和脆弱,不會直接破壞網(wǎng)絡(luò)系統(tǒng),但是它給系統(tǒng)帶來了相當(dāng)大的潛在風(fēng)險。因為一旦這些脆弱性和缺陷被非法的攻擊者所利用,其后果將不堪設(shè)想。另外,軟件的后門是軟件設(shè)計公司的設(shè)計編程人員為了方便而設(shè)置的,一般外人是不知道的,但是一旦后門被打開,其造成的后果是非常嚴重的。

(2)人為的無意失誤。例如用戶安全意識不高,用戶設(shè)置的口令不正確,用戶隨意將自己的帳號和密碼借給他人,系統(tǒng)安全管理員安全設(shè)置不當(dāng)造成的脆弱性等。

(3)人為的故意攻擊。這種威脅是目前計算機網(wǎng)絡(luò)所面臨的最大安全威脅,這種攻擊主要可以分為兩大類:一類是主動攻擊,它采取各種方式和途徑對計算機網(wǎng)絡(luò)系統(tǒng)中的信息進行破壞,主要是破壞信息的完整性、有效性、真實性。另一類是被動攻擊,它是在不影響網(wǎng)絡(luò)正常運行的情況下,通過截獲、竊聽、破譯等方式獲取系統(tǒng)中的重要機密信息。這兩類攻擊都將對計算機網(wǎng)絡(luò)造成很大的危害,并且使機密信息泄露。

(4)非授權(quán)訪問。沒有預(yù)先經(jīng)過同意,就使用網(wǎng)絡(luò)或計算機資源被視為非授權(quán)訪問。如對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用等。主要包括:假冒、身份攻擊、非法用戶迸入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。

2 網(wǎng)絡(luò)安全評估方法

網(wǎng)絡(luò)安全評估就是通過對計算機網(wǎng)絡(luò)系統(tǒng)的安全狀況進行安全性分析,及時發(fā)現(xiàn)并指出存在的安全漏洞,以保證系統(tǒng)的安全。網(wǎng)絡(luò)安全評估在網(wǎng)絡(luò)安全技術(shù)中具有重要的地位,其基本原理是采用多種方法對網(wǎng)絡(luò)系統(tǒng)可能存在的己知安全漏洞進行檢測,找出可能被黑客利用的安全隱患,并根據(jù)檢測結(jié)果向系統(tǒng)管理員提供詳細可靠的安全分析報告與漏洞修補建議,以便及早采取措施,保護系統(tǒng)信息資源。

一個評估方法的好壞將會直接影響到評估結(jié)果的準(zhǔn)確性。目前國內(nèi)外的安全評估方法有很多,這些方法并沒有明顯的優(yōu)劣之分,一個組織選擇安全評估方法的關(guān)鍵在于根據(jù)自身的實際情況和要實現(xiàn)的安全目標(biāo)來決定。一般來說,安全評估方法的選擇和組織的規(guī)模、信息系統(tǒng)的復(fù)雜程度、系統(tǒng)要達到的安全級別程度緊密相關(guān)。

2.1定性的評估方法

定性評估方法是以調(diào)查對象的深入訪談作備案記錄為基本資料,通過一個理論推導(dǎo)演繹的分析框架,對資料進行編碼整理,在此基礎(chǔ)上作出調(diào)查結(jié)論。常見的定性評估方法有因素分析法、邏輯分析法、德菲爾法、歷史比較法等。在進行網(wǎng)絡(luò)安全評估時也可以采用此方法進行定性分析。

2.2定量的評估方法

定量的評估方法是指采用數(shù)量指標(biāo)對網(wǎng)絡(luò)的安全狀況進行評估。它可以分析安全事件發(fā)生的概率、脆弱性的危害程度所形成得的量化值。定量評估方法的優(yōu)點是用直觀的數(shù)據(jù)來說明評估的結(jié)果,看起來一目了然,并且比較客觀,采用定量分析方法能夠使研究結(jié)果更科學(xué)、更嚴密、更深刻。

2.3綜合的評估方法

對一個復(fù)雜網(wǎng)絡(luò)系統(tǒng)進行安全評估,單純的采用定性的評估方法或單純的采用定量的評估方法都不可能全面、準(zhǔn)確的對網(wǎng)絡(luò)系統(tǒng)進行安全評估,所以需要將定性和定量兩種評估方法結(jié)合起來,采用綜合的評估方法。

在以上三種評價方法中,定性的評估方法全面深刻,定量的評估方法直觀簡單,定性和定量相結(jié)合的評估方法集中了定性和定量評估方法的優(yōu)點,而基于模型的評估方法雖然能夠?qū)φ麄€計算機網(wǎng)絡(luò)系統(tǒng)進行有效的安全評估,但是在該方法中,規(guī)則的提取非常復(fù)雜。

網(wǎng)絡(luò)安全評估主要關(guān)注的問題是網(wǎng)絡(luò)是否存在以及存在什么樣的漏洞,可能會對網(wǎng)絡(luò)產(chǎn)生什么樣的威脅以及后果,如何才能解決這個問題,有沒有相應(yīng)的修補方案及如何修補等。網(wǎng)絡(luò)安全評估可以分為硬件安全評估和軟件安全評估。硬件安全評估所關(guān)注的是服務(wù)器、路由器、交換機、調(diào)制解調(diào)器、傳輸介質(zhì)等設(shè)備的安全;軟件安全評估所關(guān)注的是指運行于設(shè)備上的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、開放的服務(wù)以及其他服務(wù)軟件的安全。

3 網(wǎng)絡(luò)脆弱性風(fēng)險評估模型

為了保證整個網(wǎng)絡(luò)系統(tǒng)的安全,首先應(yīng)該準(zhǔn)確地知道系統(tǒng)的安全要求,存在的脆弱性與脆弱性可能造成的危害,以及針對系統(tǒng)存在的脆弱性應(yīng)該采取哪些修補措施。網(wǎng)絡(luò)安全評估的目的就是為了在網(wǎng)絡(luò)系統(tǒng)遭受攻擊之前對系統(tǒng)的安全性能進行評估,從而準(zhǔn)確地掌握系統(tǒng)的安全性能,找出網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患,以便采取相應(yīng)的安全防御措施,做到防患于未然。

在網(wǎng)絡(luò)安全評估的分析中,脆弱性對網(wǎng)絡(luò)系統(tǒng)的破壞程度是評估分析的一個重要指標(biāo),例如對攻擊死機型的脆弱性,由于利用此脆弱性可以使服務(wù)器停止服務(wù),甚至造成系統(tǒng)崩潰,對于攻擊入侵的破壞程度是由中到高,信息泄露型的破壞程度由低到中。脆弱性的風(fēng)險大小可以由以下幾方面來確定:由于攻擊造成的破壞程度即破壞系數(shù)、脆弱性的傳播程度即傳播系數(shù)、利用該脆弱性進行攻擊的容易程度即容易系數(shù)、利用該脆弱性進行攻擊被抓獲的風(fēng)險程度即追查系數(shù)。其中破壞系數(shù)、傳播系數(shù)、容易系數(shù)、追查系數(shù)由數(shù)字0.1到0.9表示,數(shù)字越大表示該脆弱性的風(fēng)險系數(shù)就越大。下面主要介紹破壞系數(shù)的取值及其意義。

破壞系數(shù)的取值如下:0.1:破壞程度最低,例如說明目標(biāo)系統(tǒng)是否在線。0.2:破壞程度低,例如泄露目標(biāo)系統(tǒng)的一般信息包括是否有防火墻等。0.3:破壞程度偏低,例如目標(biāo)系統(tǒng)一般信息包括操作系統(tǒng)版本等。0.4:破壞程度中下,例如泄露目標(biāo)系統(tǒng)的重要信息包括開放的端口等。0.5:破壞程度中,例如泄漏目標(biāo)系統(tǒng)機密信息包括用戶名和密碼等。0.6:破壞程度中上,例如進入目標(biāo)系統(tǒng),但是破壞力有限。0.7:破壞程度高,例如造成目標(biāo)系統(tǒng)癱瘓。0.8:破壞程度較高,例如造成目標(biāo)系統(tǒng)嚴重癱瘓。0.9:破壞程度非常高,例如完全控制目標(biāo)系統(tǒng)。

4 總結(jié)與展望

計算機網(wǎng)絡(luò)在政治、經(jīng)濟、軍事、社會生活等各個領(lǐng)域發(fā)揮著日益重要的作用,但是由于網(wǎng)絡(luò)具有連接形式多樣性、開放性、互聯(lián)性等特點,使針對網(wǎng)絡(luò)系統(tǒng)的攻擊事件頻繁發(fā)生,導(dǎo)致網(wǎng)絡(luò)安全成為網(wǎng)絡(luò)建設(shè)中不容忽視的一個重要方面。安全評估是信息安全管理體系的基礎(chǔ),是對現(xiàn)有網(wǎng)絡(luò)的安全性進行分析的第一手資料,也是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)最重要的內(nèi)容之一,它為降低網(wǎng)絡(luò)的風(fēng)險,實施風(fēng)險管理及風(fēng)險控制提供了直接的依據(jù)。

目前對風(fēng)險評估工具的分類還沒有一個統(tǒng)一的理解。一般將風(fēng)險評估工具分為三類:預(yù)防、相應(yīng)和檢測。通常情況下技術(shù)人員會把漏洞掃描工具稱為風(fēng)險評估工具。隨著人們對信息資產(chǎn)的深入理解,信息資產(chǎn)不只包括存在于計算機環(huán)境中的數(shù)據(jù)、文檔,還包括紙質(zhì)載體、人員等,因此,信息安全包括更廣泛的范圍。同時,信息安全管理者發(fā)現(xiàn)解決信息安全的問題在于預(yù)防。本文分析了網(wǎng)絡(luò)安全問題的幾個方面,并對于網(wǎng)絡(luò)安全的評價給出了一些建議。

參考文獻:

[1]劉慶瑜.校園網(wǎng)中的網(wǎng)絡(luò)安全問題淺談[J].寧波大紅鷹職業(yè)技術(shù)學(xué)院學(xué)報. 2006, (1):23-25.[2]曹成,周健,周紅,等.網(wǎng)絡(luò)安全與對策[J].合肥工業(yè)大學(xué)學(xué)報(自然科學(xué)版), 2007, 30(9): 1091-1094.[3]關(guān)玉蓉,周靜.網(wǎng)絡(luò)安全探討[J].華南金融電腦, 2007,(31): 72-73.[4]王廣勝.網(wǎng)絡(luò)安全技術(shù)淺析[J].湖北生態(tài)工程職業(yè)技術(shù)學(xué)院學(xué)報,2007,5(1): 35-37.[5]閆峰.淺談網(wǎng)絡(luò)安全技術(shù)[J].山西經(jīng)濟管理干部學(xué)院學(xué)報,2007, 15(3): 83-85.