网络安全评估系统的研究综述

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络安全评估系统的研究综述

作者:指导老师:

摘要:随着计算机网络技术的迅速发展,在共享网络信息的同时,不可避免存在着安全风险,网络安全问题己成为当前网络技术研究的重点。网络安全风险评估技术能够检测网络系统潜在的安全漏洞和脆弱性,评估网络系统的安全状况,是实现网络安全的重要技术之一。

本文研究了系统安全漏洞,讨论了网络安全风险评估方法,采用自下而上、先局部后整体的层次化评估方法来分析评估网络系统的安全态势。

关键词:网络安全;风险评估;安全漏洞;威胁评估;脆弱性

1引言

当今社会信息化的步伐越来越快Internet得到迅速发展与此时我们面临的网络安全问题也日益严重。随着经济活动的融入,原本不平静的internet变得更加危险,各种病毒、木马、入侵等安全事件层出不穷。再加上现有数量巨大的黑客工具可以随意下载,这使得普通人也可能成为黑客,internet充满了陷阱和危险。不管是网络系统安全漏洞还是网络安全事件都在呈爆发式增长态势。面对如此严重危害计算机网络的各种威胁,必须采取有效措施来保证计算机网络的安全。但是现有的计算机网络在建立之初大都忽视了安全问题,即使有考虑,也仅把安全机制建立在物理安全机制上。随着网络互联程度的不断扩大,这种安全机制对于网络环境来说形同虚设。更令人遗憾的是目前大多数网络所采用的协议:TCP/IP协议存在先天的设计缺陷,对于在上面传输的信息毫无安全性可言,根本不能满足网络安全要求。

仅凭技术是不能从根本上解决安全问题的,更应该从系统工程的角度来看待网络安全问题,风险评估在这项工程中占有非常重要的地位[1]。

2 网络安全与风险评估概述

2.1网络安全概念

网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的因素而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断[2]。从广义来说,凡是涉及到网络上信息的XX性、完整性、可用性、真实性、不可抵赖性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防X外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。

2.2网络面临的威胁及对策

网络安全所面临的威胁大体可分为两种:一是对网络XX息的威胁;二是对网络中设备的威胁。影响计算机网络安全的因素很多,归结起来,针对网络安全的威胁主要有以下三种[3]:

(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等情况,都会对网络安全构成威胁。

(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌人的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要XX信息。这两种攻击均可对计算机网络造成极大的危害,并导致XX数据的泄漏。

(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,导致黑客频频攻入网络内部的主要原因就是相应系统和应用软件本身的脆弱性和安全措施不完善。另外,软件的“后门”都是软件公司的设计编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门”洞开,其造成的后果将不堪设想。

网络提供了方便、高效的信息传输与服务功能,但网络安全的脆弱性与复杂性,又对网络传输的信息构成了新的威胁。目前,我国信息安全防护与保障能力还处于发展阶段,众多信息化领域,实际上是未设防状态,存在着很多技术上或是人为的事故隐患。因此,推进网络信息安全防护、构筑“网络信息安全长城”已是刻不容缓的任务。那么,填补网络软、硬件自身的“漏洞”,避免网络“黑客”的肆意攻击,这就要求网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,解决网络安全的主要技术包括:数据加密技术、访问控制技术、防火墙技术、网络安全扫描技术、网络入侵检测技术、黑客诱骗技术、网络安全风险评估技术。其中网络安全风险评估技术将是本论文要研究的内容。

2.3风险评估定义

安全风险评估的主要内容是对资产识别、估价,脆弱性识别和评价,威胁识别和评价,安全措施确认,建立风险测量的方法及风险等级评价原则,确定风险大小与等级。风险评估是解决信息安全的首要问题,没有进行透彻的风险分析和评估而实施的安全策略就好像先建房屋后画图纸一样,会导致资金和人力资源的巨大消耗和浪费。

2.4风险评估中的脆弱性研究

系统安全漏洞,也叫系统脆弱性[4](Vulnerbaliity),是计算机系统在硬件、

软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足;非法用户可利用系统安全漏洞获得计算机系统的额外权限,在未经授权的情况下访问或提高其访问权,破坏系统,危害计算机系统安全。

系统安全漏洞是针对计算机安全而言的,广义的系统安全漏洞是指一切导致威胁、损坏计算机系统安全(可靠性、可用性、XX性、完整性、可控性、不可抵赖性)的因素。

系统脆弱性可以造成多方面的危害。近年来许多突发的、大规模的网络安全事件多数都是由于系统脆弱性而导致的。从计算机安全衍生出来的计算机信息战更关系到一个国家的安全,脆弱性造成的危害是极大的。脆弱性对系统造成的危害,在于它可能会被攻击者利用,继而破坏系统的安全特性,而它本身不会直接对系统造成危害。

脆弱性产生有多种原因,其主要原因是由于程序员操作不正确和不安全编程引起的。大多数程序员在编程初期就没有考虑到安全问题。在后期,由于用户不正确的使用以及不恰当的配置都可导致漏洞的出现。而一般来说漏洞的威胁类型基本上决定了它的严重性,系统安全漏洞根据其对系统造成的潜在威胁破坏性、危害性、严重性以及被利用的可能性对各种系统安全漏洞进行分级,可以分为高、中、低3个等级[5]。大部分远程和本地管理员权限漏洞属于“高”级别;大部分普通用户权限,权限提升,读取受限文件,远程和本地拒绝服务漏洞属于“中”级别;大部分远程非授权文件存取,口令恢复,欺骗,服务器信息泄露漏洞属于“低”级别。

2.5网络安全风险评估现状

网络安全风险评估是保证网络安全的基础和前提[6]。网络安全风险评估对于网络安全具有重要的研究意义。但是,在计算机和网络安全领域,关于网络系统的安全风险评估研究和成果却与其重要性难以对称。处于安全和经济方面的考虑,国外的研究小组和专家学者的研究成果并不公开,国内相关的研究成果也较少。我国网络系统风险评估的研究是近几年才起步的,目前主要工作集中于组织架构和业务体系的建立,相应的标准体系和技术体系还处于研究阶段,但随着电子政务、电子商务的蓬勃发展,网络系统风险评估领域和以该领域为基础和前提的网络系统安全工程在我国已经得到政府、军队、企业、科研机构的高度重视,具有广阔的研究和发展空间。

3.风险评估方法研究

评估方法在网络系统风险评估过程中的作用不可忽视。一个评估方法的优劣甚至可以直接影响到评估结果的有效性。国内外现有的风险评估方法很多,这些方法并没有孰优孰劣之分,组织或企业选择风险评估方法的关键是要根据自己的实际

相关文档
最新文档