网络安全现实状况和问题
现在有很多企业提供多种多样网络安全处理方案,包含加密、身份认证、防病毒、防黑客等各个方面,每种处理方案全部强调所叙述方面面临威胁严重性,自己在此方面卓越性,但对于用户来说这些方面是否真正是自己微弱之处,会造成多大损失,怎样评定,投入多大能够满足要求,对应这些问题应该采取什麽方法,这些用户真正关心问题却极少有些人提及。
网络在面对现在越来越复杂非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷安全问题,疲于奔命,再加上多种多样安全产品和安全服务,使用户摸不着头脑,没有清楚思绪,其原因是因为没有一套完整安全体系,不能从整体上有所把握。
在现在网络业务系统向交易手段模块化、经纪业务平台化和总部集中监控趋势下,安全计划显然未跟上网络管理方法发展趋势。
网络动态安全防范体系
用户现在接收安全策略提议普遍存在着“以偏盖全”现象,它们过分强调了某个方面关键性,而忽略了安全构件(产品)之间关系。所以在用户化、可操作安全策略基础上,需要构建一个含有全局观、多层次、组件化安全防御体系。它应包含网络边界、网络基础、关键业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。
静态安全产品不可能处理动态安全问题,应该使之用户化、可定义、可管理。不管静态或动态(可管理)安全产品,简单叠加并不是有效防御方法,应该要求安全产品构件之间能够相互联动,方便实现安全资源集中管理、统一审计、信息共享。
现在黑客攻击方法含有高技巧性、分散性、随机性和局部连续性特点,所以即使是多层面安全防御体系,假如是静态,也无法抵御来自外部和内部攻击,只有将众多攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统和之相匹配、相耦合,以自动适应攻击改变,从而形成动态安全防御体系。
网络安全是一个动态概念。网络动态安全模型能够提供给用户更完整、更合理安全机制,全网动态安全体系可由下面公式概括:
网络安全 = 风险分析 + 制订策略 + 防御系统+ 安全管理+ 安全服务
动态安全模型,图所表示。
网络安全策略
安
全
标
准
范
体
系
安
全
管
理
保
障
体
系
安
全
技
术
防
御
体
系
安全服务支持体系
动态安全体系
动态风险分析
从安全体系可实施、动态性角度,动态安全体系设计充足考虑到风险评定、安全策略制订、防御系统、安全管理、安全服务支持体系等各个方面,而且考虑到各个部分之间动态关系和依靠性。
进行风险评定和提出安全需求是制订网络安全策略依据。风险分析(又称风险评定、风险管理),是指确定网络资产安全威胁和脆弱性、并估量可能由此造成损失或影响过程。风险分析有两种基础方法:定性分析和定量分析。在制订网络安全策略时候,要从全局进行考虑,基于风险分析结果进行决议,提议企业到底是加大投入,采取更强有力保护方法,还是容忍部分小损失而不采取方法。所以,采取科学风险分析方法对企业网络进行风险分析是很关键。
一旦确定相关安全要求,下一步应是制订及实施安全策略,来确保把风险控制在可接收范围之内。安全策略制订,能够依据相关中国外标准或行业标准,也能够自己设计。有很多方法能够用于制订安全策略,不过,并不是每一组安全策略全部适适用于每个信息系统或环境,或是全部类型企业。安全策略制订,要针对不一样网络应用、不一样安全环境、不一样安全目标而量身定制,各企业应该根据自己要求,选择适宜安全体系计划网络安全。制订自己安全策略应考虑以下三点内容:(1)评定风险。(2)企业和合作伙伴、供给商及服务提供者共同遵遵法律、法令、规例及合约条文。(3)企业为网络安全运作所签订标准、目标及信息处理要求。
安全管理贯穿在安全各个层次实施。实践一再告诉大家仅有安全技术防范,而无严格安全管理体系相配套,是难以保障网络系统安全。必需制订一系列安全管理制度,对安全技术和安全设施进行管理。从全局管理角度来看,要制订全局安全管理策略;从技术管理角度来看,要实现安全配置和管理;从人员管理角度来看,要实现统一用户角色划分策略,制订一系列管理规范。实现安全管理应遵照以下多个标准:可操作性标准;全局性标准;动态性标准;管理和技术有机结合;责权分明标准;分权制约标准;安全管理制度化。
第三章 动态风险分析
依据木桶原理,木桶所能容纳水多少是由木桶壁中最短那块木头决定,一样,一个网络系统中最关键威胁是由最微弱安全漏洞决定,往往处理最关键安全问题能够使系统安全性有很大提升。
动态
2021年信息安全风险评估方案 来自淘豆网m.daumloan.com转载请标明出处.
