網(wǎng)絡(luò)風(fēng)險(xiǎn)分析.doc

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析目前，企業(yè)的日常工作越來越依靠網(wǎng)絡(luò)的支撐。一旦網(wǎng)絡(luò)癱瘓，便會(huì)給企業(yè)造成難以估量的損失。因此，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行，成為國(guó)內(nèi)外企業(yè)的普遍共識(shí)。如何準(zhǔn)確分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提出新酌安全解決方案，主要從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層及管理層等幾個(gè)方面考慮。一、 物理層安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的物理層安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的阻斷，進(jìn)而造成網(wǎng)絡(luò)系統(tǒng)的阻斷，它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，包括以下內(nèi)容：(一)設(shè)備被盜，被毀壞；(二)鏈路老化或被有意或者無意的破壞; (三)因電磁輻射造成信息泄露；(四)地震、火災(zāi)、水災(zāi)等自然災(zāi)害。二、 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析 根據(jù)新的網(wǎng)絡(luò)安全建設(shè)要適應(yīng)未來在高速寬帶IP網(wǎng)上傳輸數(shù)據(jù)、語(yǔ)音、視頻于一體的多媒體綜合業(yè)務(wù)，網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)層中會(huì)存在一定的安全風(fēng)險(xiǎn)，如數(shù)據(jù)傳輸、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)服務(wù)等所引發(fā)的安全風(fēng)險(xiǎn)。（一）數(shù)據(jù)傳輸風(fēng)險(xiǎn)分析數(shù)據(jù)在傳輸過程中，如果不采取保護(hù)措施，就有可能被竊聽、篡改和破壞，如采用搭線竊聽、在交換機(jī)或集線器上連接一個(gè)竊聽設(shè)備等。這樣，保障通過Internet傳遞的數(shù)據(jù)的機(jī)密性、完整性就無從談起。（二）網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析在實(shí)際情況中，如果在網(wǎng)絡(luò)邊界上沒有強(qiáng)有力的控制，則其外部黑客就可以隨意出入企業(yè)總部的網(wǎng)絡(luò)系統(tǒng)，從而獲取各種數(shù)據(jù)和信息，那么，泄露問題就無法避免。（三）網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)分析由于在網(wǎng)絡(luò)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備，這些設(shè)備自身的安全性也是要考慮的問題之一，它直接關(guān)系到各種網(wǎng)絡(luò)應(yīng)用能否正常、高效地運(yùn)轉(zhuǎn)。路由器設(shè)備的路由信息可能泄露，攻擊者可以根據(jù)路由信息把數(shù)據(jù)流向改為別的目標(biāo)主機(jī)，用戶以為發(fā)送正確的數(shù)據(jù)就落到了攻擊者手里；交換機(jī)和路由器設(shè)備如果存在配置不當(dāng)或者配置信息改動(dòng)，也會(huì)引起信息的泄露、網(wǎng)絡(luò)癱瘓等后果。（四）網(wǎng)絡(luò)服務(wù)風(fēng)險(xiǎn)分析 在網(wǎng)絡(luò)系統(tǒng)上，有大量的網(wǎng)絡(luò)服務(wù)存在，如OA服務(wù)、Web服務(wù)、郵件服務(wù)、數(shù)據(jù)庫(kù)服務(wù)等。針對(duì)這些服務(wù)的各種攻擊可能造成的破壞。最常見的就是拒絕服務(wù)攻擊DoS。其通過不停地向這些網(wǎng)絡(luò)設(shè)備及服務(wù)器發(fā)送大量的數(shù)據(jù)包，造成網(wǎng)絡(luò)的癱瘓，嚴(yán)重影響網(wǎng)絡(luò)的運(yùn)行。從某種程度上可以說，DoS攻擊永遠(yuǎn)不會(huì)消失。而且從技術(shù)上來講，其利用的是TCPIP協(xié)議自身的缺陷。DoS技術(shù)嚴(yán)格地說只是一種破壞網(wǎng)絡(luò)服務(wù)的技術(shù)方式，具體的實(shí)現(xiàn)多種多樣，但都有一個(gè)共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)失去及時(shí)接收處理外界請(qǐng)求，或無法及時(shí)回應(yīng)外界請(qǐng)求。三、 系統(tǒng)層安全風(fēng)險(xiǎn)分析系統(tǒng)層的安全風(fēng)險(xiǎn)分析主要針對(duì)局域網(wǎng)內(nèi)使用的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。同時(shí)病毒也是系統(tǒng)安全的主要威脅，現(xiàn)在的病毒，大多利用了操作系統(tǒng)本身的漏洞，并通過網(wǎng)絡(luò)迅速傳播。所有這些都造成了整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的脆弱性。四、 應(yīng)用層安全風(fēng)險(xiǎn)分析 在整個(gè)網(wǎng)絡(luò)系統(tǒng)環(huán)境中存在著大量的應(yīng)用服務(wù)，如Web服務(wù)、郵件服務(wù)、OA服務(wù)、數(shù)據(jù)庫(kù)服務(wù)等。對(duì)于這些服務(wù)，不可避免地存在安全漏洞。這些漏洞可能是服務(wù)系統(tǒng)自身所有的也可以是配置管理不當(dāng)造成的。五、 電子郵件系統(tǒng)風(fēng)險(xiǎn)分析在局域網(wǎng)中，用戶與外界進(jìn)行數(shù)據(jù)交換最常用的方式就是通過電子郵件，同時(shí)，通過電子郵件大規(guī)模傳播，散布病毒及黑客程序也成為可能。用戶進(jìn)行電子郵件發(fā)送和接收時(shí)可能存在被黑客跟蹤或收到一些惡意程序(如特洛伊木馬、蠕蟲等)、病毒程序等，這里的黑客，有可能就是局域網(wǎng)內(nèi)的某個(gè)用戶，有意或出于好奇使用黑客軟件對(duì)郵件用戶進(jìn)行攻擊。由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會(huì)。通過郵件，可以迅速把這些破壞性的程序在局域網(wǎng)系統(tǒng)中傳播，給系統(tǒng)帶來不安全因素。六、 管理層安全風(fēng)險(xiǎn)分析 責(zé)權(quán)不明，管理混亂，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其他一些安全威脅時(shí)(如內(nèi)部人員的違規(guī)操作等)，要進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，能夠提供黑客攻擊行為的追蹤線索及依據(jù)。將管理制度和管理解決方案相結(jié)合，并輔之以相應(yīng)的安全管理工具。我們采取以下幾個(gè)方面解決措施。一是制定合理的安全管理制度和策略，確保不因管理上的漏洞造成網(wǎng)絡(luò)運(yùn)行的安全問題；二是采用專用的網(wǎng)絡(luò)加密機(jī)和主機(jī)數(shù)據(jù)加密設(shè)備，建立安全保密系統(tǒng)，對(duì)數(shù)據(jù)的傳輸、存儲(chǔ)進(jìn)行加解密處理，實(shí)現(xiàn)數(shù)據(jù)傳輸、處理、存儲(chǔ)過程中的機(jī)密性、完整性和可用性；三是采用SYMANTEC企業(yè)級(jí)網(wǎng)絡(luò)版防病毒系統(tǒng),避免整個(gè)網(wǎng)絡(luò)遭到病毒的破壞；四是在辦公區(qū)端口處增加網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，避免辦公區(qū)網(wǎng)絡(luò)中重要網(wǎng)段遭到攻擊和破壞；五是采用主頁(yè)防篡改系統(tǒng)，避免辦公外網(wǎng)中的Web站點(diǎn)被破壞；六是采用全網(wǎng)統(tǒng)一的安全管理平臺(tái)系統(tǒng)，對(duì)網(wǎng)絡(luò)中涉及的各種安全工具和系統(tǒng)進(jìn)行集中統(tǒng)一