網(wǎng)絡(luò)常見的安全問題及其評(píng)估分析

王 棟

[摘要]當(dāng)前網(wǎng)絡(luò)已經(jīng)成為人們生活和工作中必不可少的組成部分,網(wǎng)絡(luò)涉及到國家的政府、軍事、文教等諸多領(lǐng)域,同時(shí)網(wǎng)絡(luò)也帶有多種不安全因素,如信息竊取和計(jì)算機(jī)病毒等各種人為攻擊無時(shí)無刻不在威脅網(wǎng)絡(luò)的健康發(fā)展,文章基于此主要探討了當(dāng)前網(wǎng)絡(luò)常見的安全問題及其評(píng)估。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 安全評(píng)估 計(jì)算機(jī)網(wǎng)絡(luò)

當(dāng)前,有害的信息污染、信息間諜等這些網(wǎng)絡(luò)威脅給國家、社會(huì)和企業(yè)的安全帶來巨大的影響。網(wǎng)絡(luò)安全的目標(biāo)就是保護(hù)網(wǎng)絡(luò)的程序、數(shù)據(jù)或設(shè)備,使其免受非授權(quán)的使用或訪問圈。網(wǎng)絡(luò)安全保護(hù)的內(nèi)容包括保護(hù)信息和資源、保護(hù)用戶、保證數(shù)據(jù)的私有性否。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估問題也越來越受到人們的重視。如何識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn),有效的建立安全措施,增強(qiáng)其運(yùn)行安全性,從而防止災(zāi)難性事件的發(fā)生,同時(shí)合理地利用資源獲取最大的社會(huì)和經(jīng)濟(jì)效益在當(dāng)前顯得尤為重要,本文擬主要分析網(wǎng)絡(luò)常見的安全問題及其風(fēng)險(xiǎn)評(píng)估。

1 網(wǎng)絡(luò)安全的定義及當(dāng)前網(wǎng)絡(luò)安全存在的問題

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,使得計(jì)算機(jī)網(wǎng)絡(luò)在許多領(lǐng)域都得到了廣泛應(yīng)用,但是由于網(wǎng)絡(luò)系統(tǒng)自身存在脆弱性,這不可避免地給系統(tǒng)帶來潛在的安全風(fēng)險(xiǎn),如何減少系統(tǒng)的安全風(fēng)險(xiǎn)將是當(dāng)前研究的一個(gè)重要內(nèi)容。在這里首先介紹網(wǎng)絡(luò)安全的概念。網(wǎng)絡(luò)安全是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、數(shù)據(jù)、程序等不會(huì)因?yàn)闊o意或惡意的原因而遭到破壞、篡改、泄露,防止非授權(quán)的使用或訪問,系統(tǒng)能夠保持服務(wù)的連續(xù)性,以及能夠可靠的運(yùn)行。

對(duì)于國家的一些機(jī)密部門,他們希望能夠過濾一些非法、有害的信息,同時(shí)防止機(jī)密信息外泄,從而盡可能地避免或減少對(duì)社會(huì)和國家的危害。網(wǎng)絡(luò)安全既涉及技術(shù),又涉及管理方面。技術(shù)方面主要針對(duì)外部非法入侵者的攻擊,而管理方面主要針對(duì)內(nèi)部人員的管理,這兩方面相互補(bǔ)充、缺一不可。目前網(wǎng)絡(luò)安全面臨的威脅主要有兩種:一是對(duì)網(wǎng)絡(luò)系統(tǒng)中信息的威脅;二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。歸納起來,影響網(wǎng)絡(luò)安全的威脅主要有以下幾類:

(1)網(wǎng)絡(luò)軟件的脆弱性和后門。各種網(wǎng)絡(luò)軟件在設(shè)計(jì)的時(shí)候就存在缺陷和脆弱性,雖然這些缺陷和脆弱,不會(huì)直接破壞網(wǎng)絡(luò)系統(tǒng),但是它給系統(tǒng)帶來了相當(dāng)大的潛在風(fēng)險(xiǎn)。因?yàn)橐坏┻@些脆弱性和缺陷被非法的攻擊者所利用,其后果將不堪設(shè)想。另外,軟件的后門是軟件設(shè)計(jì)公司的設(shè)計(jì)編程人員為了方便而設(shè)置的,一般外人是不知道的,但是一旦后門被打開,其造成的后果是非常嚴(yán)重的。

(2)人為的無意失誤。例如用戶安全意識(shí)不高,用戶設(shè)置的口令不正確,用戶隨意將自己的帳號(hào)和密碼借給他人,系統(tǒng)安全管理員安全設(shè)置不當(dāng)造成的脆弱性等。

(3)人為的故意攻擊。這種威脅是目前計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大安全威脅,這種攻擊主要可以分為兩大類:一類是主動(dòng)攻擊,它采取各種方式和途徑對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的信息進(jìn)行破壞,主要是破壞信息的完整性、有效性、真實(shí)性。另一類是被動(dòng)攻擊,它是在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下,通過截獲、竊聽、破譯等方式獲取系統(tǒng)中的重要機(jī)密信息。這兩類攻擊都將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成很大的危害,并且使機(jī)密信息泄露。

(4)非授權(quán)訪問。沒有預(yù)先經(jīng)過同意,就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被視為非授權(quán)訪問。如對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用等。主要包括:假冒、身份攻擊、非法用戶迸入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。

2 網(wǎng)絡(luò)安全評(píng)估方法

網(wǎng)絡(luò)安全評(píng)估就是通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全狀況進(jìn)行安全性分析,及時(shí)發(fā)現(xiàn)并指出存在的安全漏洞,以保證系統(tǒng)的安全。網(wǎng)絡(luò)安全評(píng)估在網(wǎng)絡(luò)安全技術(shù)中具有重要的地位,其基本原理是采用多種方法對(duì)網(wǎng)絡(luò)系統(tǒng)可能存在的己知安全漏洞進(jìn)行檢測(cè),找出可能被黑客利用的安全隱患,并根據(jù)檢測(cè)結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全分析報(bào)告與漏洞修補(bǔ)建議,以便及早采取措施,保護(hù)系統(tǒng)信息資源。

一個(gè)評(píng)估方法的好壞將會(huì)直接影響到評(píng)估結(jié)果的準(zhǔn)確性。目前國內(nèi)外的安全評(píng)估方法有很多,這些方法并沒有明顯的優(yōu)劣之分,一個(gè)組織選擇安全評(píng)估方法的關(guān)鍵在于根據(jù)自身的實(shí)際情況和要實(shí)現(xiàn)的安全目標(biāo)來決定。一般來說,安全評(píng)估方法的選擇和組織的規(guī)模、信息系統(tǒng)的復(fù)雜程度、系統(tǒng)要達(dá)到的安全級(jí)別程度緊密相關(guān)。

2.1定性的評(píng)估方法

定性評(píng)估方法是以調(diào)查對(duì)象的深入訪談作備案記錄為基本資料,通過一個(gè)理論推導(dǎo)演繹的分析框架,對(duì)資料進(jìn)行編碼整理,在此基礎(chǔ)上作出調(diào)查結(jié)論。常見的定性評(píng)估方法有因素分析法、邏輯分析法、德菲爾法、歷史比較法等。在進(jìn)行網(wǎng)絡(luò)安全評(píng)估時(shí)也可以采用此方法進(jìn)行定性分析。

2.2定量的評(píng)估方法

定量的評(píng)估方法是指采用數(shù)量指標(biāo)對(duì)網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估。它可以分析安全事件發(fā)生的概率、脆弱性的危害程度所形成得的量化值。定量評(píng)估方法的優(yōu)點(diǎn)是用直觀的數(shù)據(jù)來說明評(píng)估的結(jié)果,看起來一目了然,并且比較客觀,采用定量分析方法能夠使研究結(jié)果更科學(xué)、更嚴(yán)密、更深刻。

2.3綜合的評(píng)估方法

對(duì)一個(gè)復(fù)雜網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估,單純的采用定性的評(píng)估方法或單純的采用定量的評(píng)估方法都不可能全面、準(zhǔn)確的對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估,所以需要將定性和定量兩種評(píng)估方法結(jié)合起來,采用綜合的評(píng)估方法。

在以上三種評(píng)價(jià)方法中,定性的評(píng)估方法全面深刻,定量的評(píng)估方法直觀簡(jiǎn)單,定性和定量相結(jié)合的評(píng)估方法集中了定性和定量評(píng)估方法的優(yōu)點(diǎn),而基于模型的評(píng)估方法雖然能夠?qū)φ麄€(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行有效的安全評(píng)估,但是在該方法中,規(guī)則的提取非常復(fù)雜。

網(wǎng)絡(luò)安全評(píng)估主要關(guān)注的問題是網(wǎng)絡(luò)是否存在以及存在什么樣的漏洞,可能會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生什么樣的威脅以及后果,如何才能解決這個(gè)問題,有沒有相應(yīng)的修補(bǔ)方案及如何修補(bǔ)等。網(wǎng)絡(luò)安全評(píng)估可以分為硬件安全評(píng)估和軟件安全評(píng)估。硬件安全評(píng)估所關(guān)注的是服務(wù)器、路由器、交換機(jī)、調(diào)制解調(diào)器、傳輸介質(zhì)等設(shè)備的安全;軟件安全評(píng)估所關(guān)注的是指運(yùn)行于設(shè)備上的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、開放的服務(wù)以及其他服務(wù)軟件的安全。

3 網(wǎng)絡(luò)脆弱性風(fēng)險(xiǎn)評(píng)估模型

為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全,首先應(yīng)該準(zhǔn)確地知道系統(tǒng)的安全要求,存在的脆弱性與脆弱性可能造成的危害,以及針對(duì)系統(tǒng)存在的脆弱性應(yīng)該采取哪些修補(bǔ)措施。網(wǎng)絡(luò)安全評(píng)估的目的就是為了在網(wǎng)絡(luò)系統(tǒng)遭受攻擊之前對(duì)系統(tǒng)的安全性能進(jìn)行評(píng)估,從而準(zhǔn)確地掌握系統(tǒng)的安全性能,找出網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患,以便采取相應(yīng)的安全防御措施,做到防患于未然。

在網(wǎng)絡(luò)安全評(píng)估的分析中,脆弱性對(duì)網(wǎng)絡(luò)系統(tǒng)的破壞程度是評(píng)估分析的一個(gè)重要指標(biāo),例如對(duì)攻擊死機(jī)型的脆弱性,由于利用此脆弱性可以使服務(wù)器停止服務(wù),甚至造成系統(tǒng)崩潰,對(duì)于攻擊入侵的破壞程度是由中到高,信息泄露型的破壞程度由低到中。脆弱性的風(fēng)險(xiǎn)大小可以由以下幾方面來確定:由于攻擊造成的破壞程度即破壞系數(shù)、脆弱性的傳播程度即傳播系數(shù)、利用該脆弱性進(jìn)行攻擊的容易程度即容易系數(shù)、利用該脆弱性進(jìn)行攻擊被抓獲的風(fēng)險(xiǎn)程度即追查系數(shù)。其中破壞系數(shù)、傳播系數(shù)、容易系數(shù)、追查系數(shù)由數(shù)字0.1到0.9表示,數(shù)字越大表示該脆弱性的風(fēng)險(xiǎn)系數(shù)就越大。下面主要介紹破壞系數(shù)的取值及其意義。

破壞系數(shù)的取值如下:0.1:破壞程度最低,例如說明目標(biāo)系統(tǒng)是否在線。0.2:破壞程度低,例如泄露目標(biāo)系統(tǒng)的一般信息包括是否有防火墻等。0.3:破壞程度偏低,例如目標(biāo)系統(tǒng)一般信息包括操作系統(tǒng)版本等。0.4:破壞程度中下,例如泄露目標(biāo)系統(tǒng)的重要信息包括開放的端口等。0.5:破壞程度中,例如泄漏目標(biāo)系統(tǒng)機(jī)密信息包括用戶名和密碼等。0.6:破壞程度中上,例如進(jìn)入目標(biāo)系統(tǒng),但是破壞力有限。0.7:破壞程度高,例如造成目標(biāo)系統(tǒng)癱瘓。0.8:破壞程度較高,例如造成目標(biāo)系統(tǒng)嚴(yán)重癱瘓。0.9:破壞程度非常高,例如完全控制目標(biāo)系統(tǒng)。

4 總結(jié)與展望

計(jì)算機(jī)網(wǎng)絡(luò)在政治、經(jīng)濟(jì)、軍事、社會(huì)生活等各個(gè)領(lǐng)域發(fā)揮著日益重要的作用,但是由于網(wǎng)絡(luò)具有連接形式多樣性、開放性、互聯(lián)性等特點(diǎn),使針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊事件頻繁發(fā)生,導(dǎo)致網(wǎng)絡(luò)安全成為網(wǎng)絡(luò)建設(shè)中不容忽視的一個(gè)重要方面。安全評(píng)估是信息安全管理體系的基礎(chǔ),是對(duì)現(xiàn)有網(wǎng)絡(luò)的安全性進(jìn)行分析的第一手資料,也是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)最重要的內(nèi)容之一,它為降低網(wǎng)絡(luò)的風(fēng)險(xiǎn),實(shí)施風(fēng)險(xiǎn)管理及風(fēng)險(xiǎn)控制提供了直接的依據(jù)。

目前對(duì)風(fēng)險(xiǎn)評(píng)估工具的分類還沒有一個(gè)統(tǒng)一的理解。一般將風(fēng)險(xiǎn)評(píng)估工具分為三類:預(yù)防、相應(yīng)和檢測(cè)。通常情況下技術(shù)人員會(huì)把漏洞掃描工具稱為風(fēng)險(xiǎn)評(píng)估工具。隨著人們對(duì)信息資產(chǎn)的深入理解,信息資產(chǎn)不只包括存在于計(jì)算機(jī)環(huán)境中的數(shù)據(jù)、文檔,還包括紙質(zhì)載體、人員等,因此,信息安全包括更廣泛的范圍。同時(shí),信息安全管理者發(fā)現(xiàn)解決信息安全的問題在于預(yù)防。本文分析了網(wǎng)絡(luò)安全問題的幾個(gè)方面,并對(duì)于網(wǎng)絡(luò)安全的評(píng)價(jià)給出了一些建議。

參考文獻(xiàn):

[1]劉慶瑜.校園網(wǎng)中的網(wǎng)絡(luò)安全問題淺談[J].寧波大紅鷹職業(yè)技術(shù)學(xué)院學(xué)報(bào). 2006, (1):23-25.[2]曹成,周健,周紅,等.網(wǎng)絡(luò)安全與對(duì)策[J].合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版), 2007, 30(9): 1091-1094.[3]關(guān)玉蓉,周靜.網(wǎng)絡(luò)安全探討[J].華南金融電腦, 2007,(31): 72-73.[4]王廣勝.網(wǎng)絡(luò)安全技術(shù)淺析[J].湖北生態(tài)工程職業(yè)技術(shù)學(xué)院學(xué)報(bào),2007,5(1): 35-37.[5]閆峰.淺談網(wǎng)絡(luò)安全技術(shù)[J].山西經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào),2007, 15(3): 83-85.