公務(wù)員期刊網(wǎng) 論文中心 正文

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與控制

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與控制范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與控制

【摘要】針對(duì)網(wǎng)絡(luò)安全威脅和攻擊,對(duì)網(wǎng)絡(luò)系統(tǒng)和終端的脆弱性的描述方法和檢測(cè)方法進(jìn)行了闡述,并對(duì)風(fēng)險(xiǎn)控制行為綜合評(píng)述,指出在當(dāng)今網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)風(fēng)險(xiǎn)并不是完全可控的,只能根據(jù)網(wǎng)絡(luò)安全級(jí)別降低網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)生的概率及減小風(fēng)險(xiǎn)發(fā)生時(shí)帶來的危害。

【關(guān)鍵詞】網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評(píng)估;脆弱性描述;脆弱性檢測(cè)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及以及社會(huì)化信息水平提高,計(jì)算機(jī)網(wǎng)絡(luò)在各行各業(yè)都發(fā)揮著日益重要的作用。隨之產(chǎn)生的是計(jì)算機(jī)網(wǎng)絡(luò)中的各種威脅,由于網(wǎng)絡(luò)中種攻擊軟件的產(chǎn)生,降低了現(xiàn)在攻擊的難度,有些不具備黑客技術(shù)和水平的人也能用攻擊進(jìn)行網(wǎng)絡(luò)破壞。網(wǎng)絡(luò)的開放性注定了網(wǎng)絡(luò)的脆弱性,網(wǎng)絡(luò)安全問題也越來越突出,在當(dāng)今這個(gè)對(duì)網(wǎng)絡(luò)依賴程度很高的時(shí)代,成了一個(gè)亟待解決的問題。網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估是針對(duì)網(wǎng)絡(luò)安全的一種主動(dòng)防御技術(shù),它不像某些殺毒軟件,只能夠根據(jù)病毒庫(kù)里面的病毒特征進(jìn)行防御,風(fēng)險(xiǎn)評(píng)估能夠防患于未然,在安全事件未發(fā)生或正在發(fā)生的時(shí)候評(píng)估安全威脅的級(jí)別,并根據(jù)結(jié)果采取相應(yīng)措施,從而能及時(shí)減小網(wǎng)絡(luò)威脅的危害或蔓延,由此可見,網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)安全中的重要作用。由于網(wǎng)絡(luò)本身就存在著安全問題,其脆弱性和不確定性都存在著一定的安全風(fēng)險(xiǎn),這是網(wǎng)絡(luò)存在安全威脅的最根本原因。而網(wǎng)絡(luò)當(dāng)中的攻擊和病毒往往是利用這些安全因素發(fā)動(dòng)攻擊,因此在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中,網(wǎng)絡(luò)本身的安全問題占重要位置,是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)。網(wǎng)絡(luò)本身的安全性問題,往往并不是原始設(shè)計(jì)上的錯(cuò)誤,而是出于網(wǎng)絡(luò)便利性和安全節(jié)點(diǎn)的平衡和折中所做出的決定。任何在目前網(wǎng)絡(luò)安全的基礎(chǔ)上進(jìn)一步的安全措施都是以犧牲網(wǎng)絡(luò)便利性為代價(jià)的,最安全的計(jì)算機(jī)就是不接入網(wǎng)絡(luò),這樣就沒有外來的威脅和攻擊。當(dāng)然計(jì)算機(jī)或其操作系統(tǒng)也存在一定的脆弱性,在軟件、硬件、或策略上存在安全性問題,使得網(wǎng)絡(luò)威脅有機(jī)會(huì)進(jìn)入到網(wǎng)絡(luò)中來,網(wǎng)絡(luò)的脆弱性是網(wǎng)絡(luò)所有硬件、軟件脆弱性的集中體現(xiàn)。

1脆弱性的描述方法

對(duì)網(wǎng)絡(luò)信息系統(tǒng)上脆弱性的描述方法,學(xué)者們進(jìn)行了大量的研究工作,并形成了多種模型。比較典型的模型有攻擊樹模型、特權(quán)圖模型、故障樹模型等!攻擊樹模型是脆弱性描述的一種表述方式。其中樹的葉子表示網(wǎng)絡(luò)中攻擊方法,而每一個(gè)節(jié)點(diǎn)表示攻擊者可能要攻擊的對(duì)象,根節(jié)點(diǎn)表示最終的攻擊目標(biāo)。這種表示模型最大的特點(diǎn)是,只有每個(gè)攻擊對(duì)象都實(shí)現(xiàn),最終的攻擊目標(biāo)才能被攻下,在這種模型下,可以通過計(jì)算每個(gè)節(jié)點(diǎn)被攻擊的概率得出根節(jié)點(diǎn)被攻擊的概率,從而可對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定量分析和定性分析。特權(quán)圖模型是以網(wǎng)絡(luò)的權(quán)限及權(quán)限的變化為出發(fā)點(diǎn),其每一個(gè)節(jié)點(diǎn)表示一定的權(quán)限,在特權(quán)圖中的邊線表示節(jié)點(diǎn)權(quán)限值發(fā)生變化時(shí)的脆弱性。其每一條多個(gè)節(jié)點(diǎn)的連線表示攻擊者在對(duì)網(wǎng)絡(luò)攻擊時(shí)各個(gè)節(jié)點(diǎn)的權(quán)限發(fā)生變化的過程,也就是一條完整的攻擊路徑。在實(shí)際使用中,往往利用特權(quán)圖進(jìn)行攻擊的量化風(fēng)險(xiǎn)評(píng)估,由于其用圖形的方式來表示攻擊者的在攻擊過程中各個(gè)節(jié)點(diǎn)權(quán)限發(fā)生的變化,更加直觀有效,能夠給在實(shí)際應(yīng)用更受青睞。故障樹模型主要用于描述這些系統(tǒng)內(nèi)部故障和原因之間的對(duì)應(yīng)關(guān)系,可以對(duì)攻擊者攻擊系統(tǒng)時(shí)的具體行為進(jìn)行建模,對(duì)入侵的節(jié)點(diǎn),方式和標(biāo)識(shí)進(jìn)行檢測(cè)和分析,計(jì)算機(jī)系統(tǒng)的故障及脆弱性與網(wǎng)絡(luò)攻擊存在著一定的關(guān)聯(lián),利用故障樹模型,可以這種關(guān)系進(jìn)行建模。故障樹模型可以很清晰的表達(dá)網(wǎng)絡(luò)系統(tǒng)故障之間的關(guān)系。

2網(wǎng)絡(luò)脆弱性的檢測(cè)

網(wǎng)絡(luò)脆弱性主要有兩部分原因組成,一是網(wǎng)絡(luò)終端的脆弱性,一部分是網(wǎng)絡(luò)系統(tǒng)本身的脆弱性,所以基于網(wǎng)絡(luò)脆弱性的檢測(cè)也是分這兩個(gè)部分來完成的?;诮K端的脆弱性檢測(cè)是傳統(tǒng)的檢測(cè)方法,就是在終端設(shè)備上安裝相應(yīng)的軟件或進(jìn)行檢測(cè),通過軟件檢測(cè)此終端設(shè)備上所有文件和進(jìn)程,根據(jù)文件和進(jìn)程運(yùn)行特點(diǎn)及端口等特征,查看是否有不安全的因素,從而可以檢測(cè)出在網(wǎng)絡(luò)終端設(shè)備上的脆弱性?;诮K端設(shè)備的檢測(cè)方法可以用來檢測(cè)網(wǎng)絡(luò)終端的脆弱點(diǎn),但是其本身有固有的缺點(diǎn),很難用它來遠(yuǎn)程滲透檢測(cè),每個(gè)終端機(jī)上進(jìn)行檢測(cè)的時(shí)候必須都要安裝相應(yīng)的軟件或,給機(jī)器運(yùn)行帶來一定的負(fù)擔(dān)?;诰W(wǎng)絡(luò)系統(tǒng)的檢測(cè)方法,主要是通過對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行包分析來檢測(cè),有兩種方式可以操作。通過連接在網(wǎng)絡(luò)系統(tǒng)中的終端設(shè)備向網(wǎng)絡(luò)中的節(jié)點(diǎn)發(fā)送指定的數(shù)據(jù)包,根據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)的反應(yīng)來判斷是否具有脆弱性。這種方法的好處就是不必在每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)中安裝多余的軟件,并且可以一次同時(shí)檢測(cè)網(wǎng)絡(luò)中的多個(gè)節(jié)點(diǎn),效率較高。但是也存在著一定的問題,在網(wǎng)絡(luò)系統(tǒng)中,很多用戶或節(jié)點(diǎn)都采取了一定的安全措施,比如安裝防火墻等,這樣就很有可能將網(wǎng)絡(luò)檢測(cè)的數(shù)據(jù)包拒絕,使檢測(cè)沒有辦法得到反饋。因此基于網(wǎng)絡(luò)系統(tǒng)安全檢測(cè)方法還有另外一種形式,就是在網(wǎng)絡(luò)系統(tǒng)中對(duì)各個(gè)節(jié)點(diǎn)發(fā)送的數(shù)據(jù)包進(jìn)行抓取并分析,也稱被動(dòng)檢測(cè)。這種檢測(cè)方式由于其只需在網(wǎng)絡(luò)上等待節(jié)點(diǎn)發(fā)送數(shù)據(jù)包即可,所以對(duì)網(wǎng)絡(luò)系統(tǒng)來說不需要增加其負(fù)載量,每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包是其主動(dòng)發(fā)送的,不存在被網(wǎng)絡(luò)安全系統(tǒng)阻隔等情況的發(fā)生。其缺點(diǎn)是只能在網(wǎng)絡(luò)上靜等,只能檢測(cè)在網(wǎng)絡(luò)上傳送數(shù)據(jù)包的節(jié)點(diǎn),如果節(jié)點(diǎn)不在線或是發(fā)送的數(shù)據(jù)包只能檢測(cè)出部分脆弱性,這種方法就只能靜等或是只檢測(cè)出部分威脅存在。

3結(jié)論

網(wǎng)絡(luò)安全控制是指針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估得出的結(jié)論,對(duì)網(wǎng)絡(luò)或其節(jié)點(diǎn)脆弱性所采取的安全措施,其主要目的就是將網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)生的概率降低或是將風(fēng)險(xiǎn)發(fā)生時(shí)帶來的危害減小到最低程度。由于網(wǎng)絡(luò)的發(fā)展速度越來越快,人們利用網(wǎng)絡(luò)的機(jī)率也越來越高,所以在網(wǎng)絡(luò)產(chǎn)生的風(fēng)險(xiǎn)種類也逐漸增多,其危害性也越來越難于預(yù)測(cè)和控制,網(wǎng)絡(luò)安全控制和防范的難度越來越大。在網(wǎng)絡(luò)安全防范中,管理人員不可能針對(duì)網(wǎng)絡(luò)系統(tǒng)中的每一個(gè)節(jié)點(diǎn)的脆弱性進(jìn)行安全防控,也不可對(duì)針對(duì)每一次攻擊都采取合理的防御措施。只能根據(jù)網(wǎng)絡(luò)安全級(jí)別,采取相應(yīng)的安全策略,在網(wǎng)絡(luò)系統(tǒng)中,真正能做到完全沒有任何威脅的情況是不可能發(fā)生的。

參考文獻(xiàn)

[1]王輝,劉淑芬.改進(jìn)的最小攻擊樹攻擊概率生成算法[J].吉林大學(xué)學(xué)報(bào)(工學(xué)版),37(5),2007,1142-1147.

[2]葉云,徐錫山,賈焰等.基于攻擊圖的網(wǎng)絡(luò)安全概率計(jì)算方法[J].計(jì)算機(jī)學(xué)報(bào),33(10),2010,1987-1996.

[3]國(guó)家信息安全漏洞共享平臺(tái).脆弱點(diǎn)數(shù)量統(tǒng)計(jì).www.cnvd.org.cn/publish/main/51/index.html,2002-2012.

[4]曾鍵,趙輝.一種基于N-Gam的計(jì)算機(jī)病毒特征碼自動(dòng)提取辦法[J].計(jì)算機(jī)安全,2013(10):2-5.

作者:肖利強(qiáng) 單位:河南科技大學(xué)