網(wǎng)絡(luò)安全風(fēng)險評估與控制論文

　　【摘要】針對網(wǎng)絡(luò)安全威脅和攻擊，對網(wǎng)絡(luò)系統(tǒng)和終端的脆弱性的描述方法和檢測方法進(jìn)行了闡述，并對風(fēng)險控制行為綜合評述，指出在當(dāng)今網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)風(fēng)險并不是完全可控的，只能根據(jù)網(wǎng)絡(luò)安全級別降低網(wǎng)絡(luò)風(fēng)險發(fā)生的概率及減小風(fēng)險發(fā)生時帶來的危害。

　　【關(guān)鍵詞】網(wǎng)絡(luò)安全；風(fēng)險評估；脆弱性描述；脆弱性檢測

　　隨著計算機(jī)網(wǎng)絡(luò)的普及以及社會化信息水平提高，計算機(jī)網(wǎng)絡(luò)在各行各業(yè)都發(fā)揮著日益重要的作用。隨之產(chǎn)生的是計算機(jī)網(wǎng)絡(luò)中的各種威脅，由于網(wǎng)絡(luò)中種攻擊軟件的產(chǎn)生，降低了現(xiàn)在攻擊的難度，有些不具備駭客技術(shù)和水平的人也能用攻擊進(jìn)行網(wǎng)絡(luò)破壞。網(wǎng)絡(luò)的開放性注定了網(wǎng)絡(luò)的脆弱性，網(wǎng)絡(luò)安全問題也越來越突出，在當(dāng)今這個對網(wǎng)絡(luò)依賴程度很高的時代，成了一個亟待解決的問題。網(wǎng)絡(luò)風(fēng)險評估是針對網(wǎng)絡(luò)安全的一種主動防御技術(shù)，它不像某些殺毒軟件，只能夠根據(jù)病毒庫里面的病毒特征進(jìn)行防御，風(fēng)險評估能夠防患于未然，在安全事件未發(fā)生或正在發(fā)生的時候評估安全威脅的級別，并根據(jù)結(jié)果采取相應(yīng)措施，從而能及時減小網(wǎng)絡(luò)威脅的危害或蔓延，由此可見，網(wǎng)絡(luò)風(fēng)險評估在網(wǎng)絡(luò)安全中的重要作用。由于網(wǎng)絡(luò)本身就存在著安全問題，其脆弱性和不確定性都存在著一定的安全風(fēng)險，這是網(wǎng)絡(luò)存在安全威脅的最根本原因。而網(wǎng)絡(luò)當(dāng)中的攻擊和病毒往往是利用這些安全因素發(fā)動攻擊，因此在網(wǎng)絡(luò)安全風(fēng)險評估中，網(wǎng)絡(luò)本身的安全問題占重要位置，是網(wǎng)絡(luò)安全風(fēng)險評估的基礎(chǔ)。網(wǎng)絡(luò)本身的安全性問題，往往并不是原始設(shè)計上的錯誤，而是出于網(wǎng)絡(luò)便利性和安全節(jié)點(diǎn)的平衡和折中所做出的決定。任何在目前網(wǎng)絡(luò)安全的基礎(chǔ)上進(jìn)一步的安全措施都是以犧牲網(wǎng)絡(luò)便利性為代價的，最安全的計算機(jī)就是不接入網(wǎng)絡(luò)，這樣就沒有外來的威脅和攻擊。當(dāng)然計算機(jī)或其操作系統(tǒng)也存在一定的脆弱性，在軟件、硬件、或策略上存在安全性問題，使得網(wǎng)絡(luò)威脅有機(jī)會進(jìn)入到網(wǎng)絡(luò)中來，網(wǎng)絡(luò)的脆弱性是網(wǎng)絡(luò)所有硬件、軟件脆弱性的集中體現(xiàn)。

　　1脆弱性的描述方法

　　對網(wǎng)絡(luò)信息系統(tǒng)上脆弱性的描述方法，學(xué)者們進(jìn)行了大量的研究工作，并形成了多種模型。比較典型的模型有攻擊樹模型、特權(quán)圖模型、故障樹模型等！攻擊樹模型是脆弱性描述的一種表述方式。其中樹的葉子表示網(wǎng)絡(luò)中攻擊方法，而每一個節(jié)點(diǎn)表示攻擊者可能要攻擊的對象，根節(jié)點(diǎn)表示最終的攻擊目標(biāo)。這種表示模型最大的特點(diǎn)是，只有每個攻擊對象都實(shí)現(xiàn)，最終的攻擊目標(biāo)才能被攻下，在這種模型下，可以通過計算每個節(jié)點(diǎn)被攻擊的概率得出根節(jié)點(diǎn)被攻擊的概率，從而可對整個網(wǎng)絡(luò)系統(tǒng)進(jìn)行定量分析和定性分析。特權(quán)圖模型是以網(wǎng)絡(luò)的權(quán)限及權(quán)限的變化為出發(fā)點(diǎn)，其每一個節(jié)點(diǎn)表示一定的權(quán)限，在特權(quán)圖中的邊線表示節(jié)點(diǎn)權(quán)限值發(fā)生變化時的脆弱性。其每一條多個節(jié)點(diǎn)的連線表示攻擊者在對網(wǎng)絡(luò)攻擊時各個節(jié)點(diǎn)的權(quán)限發(fā)生變化的過程，也就是一條完整的攻擊路徑。在實(shí)際使用中，往往利用特權(quán)圖進(jìn)行攻擊的量化風(fēng)險評估，由于其用圖形的方式來表示攻擊者的在攻擊過程中各個節(jié)點(diǎn)權(quán)限發(fā)生的變化，更加直觀有效，能夠給在實(shí)際應(yīng)用更受青睞。故障樹模型主要用于描述這些系統(tǒng)內(nèi)部故障和原因之間的對應(yīng)關(guān)系，可以對攻擊者攻擊系統(tǒng)時的具體行為進(jìn)行建模，對入侵的節(jié)點(diǎn)，方式和標(biāo)識進(jìn)行檢測和分析，計算機(jī)系統(tǒng)的故障及脆弱性與網(wǎng)絡(luò)攻擊存在著一定的關(guān)聯(lián)，利用故障樹模型，可以這種關(guān)系進(jìn)行建模。故障樹模型可以很清晰的表達(dá)網(wǎng)絡(luò)系統(tǒng)故障之間的關(guān)系。

　　2網(wǎng)絡(luò)脆弱性的檢測

　　網(wǎng)絡(luò)脆弱性主要有兩部分原因組成，一是網(wǎng)絡(luò)終端的脆弱性，一部分是網(wǎng)絡(luò)系統(tǒng)本身的脆弱性，所以基于網(wǎng)絡(luò)脆弱性的檢測也是分這兩個部分來完成的。基于終端的脆弱性檢測是傳統(tǒng)的檢測方法，就是在終端設(shè)備上安裝相應(yīng)的軟件或代理進(jìn)行檢測，通過軟件檢測此終端設(shè)備上所有文件和進(jìn)程，根據(jù)文件和進(jìn)程運(yùn)行特點(diǎn)及端口等特征，查看是否有不安全的因素，從而可以檢測出在網(wǎng)絡(luò)終端設(shè)備上的脆弱性�；�于終端設(shè)備的檢測方法可以用來檢測網(wǎng)絡(luò)終端的脆弱點(diǎn)，但是其本身有固有的缺點(diǎn)，很難用它來遠(yuǎn)程滲透檢測，每個終端機(jī)上進(jìn)行檢測的時候必須都要安裝相應(yīng)的軟件或代理，給機(jī)器運(yùn)行帶來一定的負(fù)擔(dān)。基于網(wǎng)絡(luò)系統(tǒng)的檢測方法，主要是通過對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行包分析來檢測，有兩種方式可以操作。通過連接在網(wǎng)絡(luò)系統(tǒng)中的終端設(shè)備向網(wǎng)絡(luò)中的節(jié)點(diǎn)發(fā)送指定的數(shù)據(jù)包，根據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)的反應(yīng)來判斷是否具有脆弱性。這種方法的好處就是不必在每個網(wǎng)絡(luò)節(jié)點(diǎn)中安裝多余的軟件，并且可以一次同時檢測網(wǎng)絡(luò)中的多個節(jié)點(diǎn)，效率較高。但是也存在著一定的問題，在網(wǎng)絡(luò)系統(tǒng)中，很多用戶或節(jié)點(diǎn)都采取了一定的安全措施，比如安裝防火墻等，這樣就很有可能將網(wǎng)絡(luò)檢測的數(shù)據(jù)包拒絕，使檢測沒有辦法得到反饋。因此基于網(wǎng)絡(luò)系統(tǒng)安全檢測方法還有另外一種形式，就是在網(wǎng)絡(luò)系統(tǒng)中對各個節(jié)點(diǎn)發(fā)送的數(shù)據(jù)包進(jìn)行抓取并分析，也稱被動檢測。這種檢測方式由于其只需在網(wǎng)絡(luò)上等待節(jié)點(diǎn)發(fā)送數(shù)據(jù)包即可，所以對網(wǎng)絡(luò)系統(tǒng)來說不需要增加其負(fù)載量，每個網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包是其主動發(fā)送的，不存在被網(wǎng)絡(luò)安全系統(tǒng)阻隔等情況的發(fā)生。其缺點(diǎn)是只能在網(wǎng)絡(luò)上靜等，只能檢測在網(wǎng)絡(luò)上傳送數(shù)據(jù)包的節(jié)點(diǎn)，如果節(jié)點(diǎn)不在線或是發(fā)送的數(shù)據(jù)包只能檢測出部分脆弱性，這種方法就只能靜等或是只檢測出部分威脅存在。

　　3結(jié)論

　　網(wǎng)絡(luò)安全控制是指針對網(wǎng)絡(luò)安全風(fēng)險評估得出的結(jié)論，對網(wǎng)絡(luò)或其節(jié)點(diǎn)脆弱性所采取的安全措施，其主要目的就是將網(wǎng)絡(luò)風(fēng)險發(fā)生的概率降低或是將風(fēng)險發(fā)生時帶來的危害減小到最低程度。由于網(wǎng)絡(luò)的發(fā)展速度越來越快，人們利用網(wǎng)絡(luò)的機(jī)率也越來越高，所以在網(wǎng)絡(luò)產(chǎn)生的風(fēng)險種類也逐漸增多，其危害性也越來越難于預(yù)測和控制，網(wǎng)絡(luò)安全控制和防范的難度越來越大。在網(wǎng)絡(luò)安全防范中，管理人員不可能針對網(wǎng)絡(luò)系統(tǒng)中的每一個節(jié)點(diǎn)的脆弱性進(jìn)行安全防控，也不可對針對每一次攻擊都采取合理的防御措施。只能根據(jù)網(wǎng)絡(luò)安全級別，采取相應(yīng)的安全策略，在網(wǎng)絡(luò)系統(tǒng)中，真正能做到完全沒有任何威脅的情況是不可能發(fā)生的。

　　參考文獻(xiàn)

　　[1]王輝,劉淑芬.改進(jìn)的最小攻擊樹攻擊概率生成算法[J].吉林大學(xué)學(xué)報(工學(xué)版),37(5),2007,1142-1147.

　　[2]葉云,徐錫山,賈焰等.基于攻擊圖的網(wǎng)絡(luò)安全概率計算方法[J].計算機(jī)學(xué)報,33(10),2010,1987-1996.

　　[3]國家信息安全漏洞共享平臺.脆弱點(diǎn)數(shù)量統(tǒng)計.http://www.cnvd.org.cn/publish/main/51/,2002-2012.

　　[4]曾鍵,趙輝.一種基于N-Gam的計算機(jī)病毒特征碼自動提取辦法[J].計算機(jī)安全,2013(10):2-5.

【網(wǎng)絡(luò)安全風(fēng)險評估與控制論文】相關(guān)文章：

醫(yī)院投放設(shè)備內(nèi)部控制風(fēng)險評估與應(yīng)對論文05-02

業(yè)務(wù)外包內(nèi)部控制設(shè)計風(fēng)險評估過程論文04-29

網(wǎng)絡(luò)安全風(fēng)險評估關(guān)鍵技術(shù)探討論文05-02

行政樓雷電風(fēng)險評估論文05-02

風(fēng)機(jī)安裝施工風(fēng)險評估論文05-02

關(guān)于淺議風(fēng)險評估的效能的論文05-05

淺談環(huán)境污染的風(fēng)險評估的論文05-05

對外投資管理與風(fēng)險掌控評估論文05-04

公司審計風(fēng)險評估機(jī)制的完善的論文04-29

煤炭企業(yè)財務(wù)風(fēng)險評估及控制論文05-03