校園網絡安全風險評估

2012-11-14 04:32:04王登科

中國科技信息 2012年10期

關鍵詞：網絡安全校園評價

王登科

牡丹江大學，黑龍江牡丹江 157011

校園網絡安全風險評估

王登科

牡丹江大學，黑龍江牡丹江 157011

隨著校園數字化建設的大力開展，校園網在學校的日常工作管理起到了至關重要的作用。同時，隨著網絡帶寬的擴充、IT應用的豐盛化、互聯網用戶的膨脹式發展，使得網絡和信息平臺早已成為攻擊愛好者和安全防護者最激烈斗爭的舞臺，校園網就是其中攻擊者最愿意展現成果的最大舞臺。因此建立一個可行的校園網絡安全評估方案，對于提高校園網安全，具有重要意義。

1 網絡安全

網絡安全就是在分布式網絡環境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數據、信息內容遭到破壞、更改、泄露，或網絡服務中斷或拒絕服務或被非授權使用和篡改。

2 校園網絡面臨的安全威脅風險

校園網絡面臨的安全威脅形式各種各樣，主要可以歸納為以下幾種情況：

1)獲取對網絡信息的非授權訪問，即侵犯信息的機密性或隱秘性。

2)冒充別的用戶或盜用他人的合法權限，以達到制造欺詐信息、篡改合法信息、使用欺詐性的身份獲取非授權訪問或進行欺詐性的認證等。

3)抵賴欺詐引起的責任；否認接收到了信息或接收信息的時間；或否認已經給某人發送了某種信息等。

4)偽造其他用戶信息，騙取信任，擴大合法訪問權限，進行截獲、竊取、破譯以獲得重要機密信息，包括內部、外部泄密等。

5)隱藏某些惡意信息其他通信之中，或將自身作為中繼插入到其他用戶的通信鏈路中。

6)通過網絡系統的漏洞、后門及隱蔽通道入侵他人系統，竊取機密數據或實施破壞活動。

7)通過加入一個秘密函數，使軟件功能異常改變，破壞網絡系統的正常運行。

8)破壞網絡通信基礎設施，使網絡用戶無法進行通信；或阻止其他用戶之間的通信；特別是通過秘密介入，使合法通信被拒絕。

上述安全威脅風險，可以大體分為兩種，一種是對校園網絡中信息的威脅；另一種是對網絡設備的威脅。而保護校園網絡安全的關鍵和終極目標是保護校園網絡的信息安全。

3 基于專家評分法的校園網絡安全評估

3.1 專家評分法

專家評分法也是一種定性描述定量化方法，它首先根據評價對象的具體要求選定若干個評價項目，再根據評價項目制定出評價標準，聘請若干個代表性專家憑借自己的經驗按此評價標準給出各項目的評價分值，然后對其進行綜合。

其特點：(1)簡便。根據具體評價對象，確定恰當的評價項目，并制定評價等級和標準。(2)直觀性強。每個等級標準用打分的形式體現。(3)計算方法簡單，且選擇余地比較大。(4)將能夠進行定量計算的評價項目和無法進行計算的評價項目都加以考慮。

3.2 使用專家評分法，對該校園網絡安全進行評價

作為全方位的網絡安全防護體系是有層次的，不同層次反映了不同的安全需求。根據網絡的應用現狀和拓撲結構，可以將安全防護體系的層次劃分為物理層安全、系統層安全、網絡層安全、應用層安全。即將校園網絡面臨的安全風險分為物理層風險安全風險、系統層安全風險、網絡層安全風險和應用層安全風險。

專家評分法是一種最常用、最簡單的定性分析方法。使用過程中對于風險事件的概率和風險影響值，需要邀請一定數量的專家進行主觀打分，并根據不同專家的資歷和經驗賦予不同的權重。因為主觀打分法受人為因素影響很大，因此在專家的選擇上要十分慎重。在打分時根據各種風險的內容及專家對此風險的掌握程度設定了專家權重，而且在對部分項目風險評估時，為了體現專家的特殊性，在打分的專家中選出2位對相應風險掌握程度較高的專家，設定了高于其余專家的權重。

第一步：確定風險因素對校園網絡安全的風險影響等級；分為“可忽略、微小、一般、嚴重、關鍵”五種等級，并賦予一定的數值，即風險影響值，便于進行計算，見表1風險影響等級說明。