999精品在线视频,手机成人午夜在线视频,久久不卡国产精品无码,中日无码在线观看,成人av手机在线观看,日韩精品亚洲一区中文字幕,亚洲av无码人妻,四虎国产在线观看 ?

新技術(shù)下的信息安全風(fēng)險防御模式的研究

2013-12-29 00:00:00曲偉霞崔松濤
科技資訊 2013年4期

摘 要:信息安全網(wǎng)絡(luò)風(fēng)險管理是為確保通過一系列的安全策略、安全流程、安全步驟,防止所有對網(wǎng)絡(luò)信息安全構(gòu)成威脅的事件發(fā)生、以及降低安全事件對信息資產(chǎn)的影響。信息安全網(wǎng)絡(luò)風(fēng)險防御模式包括風(fēng)險防御整體策略、風(fēng)險防御措施和如何實施風(fēng)險防御應(yīng)對計劃、風(fēng)險實時監(jiān)控與預(yù)警及網(wǎng)絡(luò)風(fēng)險防御策略等。

關(guān)鍵詞:信息安全 網(wǎng)絡(luò)風(fēng)險 防御模式

中圖分類號:TP309 文獻標識碼:A 文章編號:1672-3791(2013)02(a)-0033-01

作為企業(yè)的第一戰(zhàn)略資源,信息有著舉足輕重的作用。如果企業(yè)想要順利完成其工作,就要保證信息資源的安全。與資產(chǎn)天生相對的矛盾產(chǎn)物的另一個就是風(fēng)險,風(fēng)險隨著資產(chǎn)的價值正比例變化。而與傳統(tǒng)資產(chǎn)不同的信息資源,也面臨著新的不可知的風(fēng)險。為了緩和平衡這一對新矛盾出現(xiàn)了信息安全網(wǎng)絡(luò)風(fēng)險防御,它大大降低了風(fēng)險,使信息以及相關(guān)資源能夠在可接受的風(fēng)險范圍內(nèi)得到安全保證。若風(fēng)險防御不到位,所存在的安全風(fēng)險不僅僅影響系統(tǒng)的正常運行,而且可能危害到企業(yè)的安全。因此,在選擇風(fēng)險防御策略時,要選擇能夠在風(fēng)險防御具體實施過程下,找到合適的風(fēng)險防御實施點來實施的新技術(shù)的風(fēng)險防御,這樣可以幫助風(fēng)險管理過程有效完成,保護企業(yè)完成任務(wù)。

1 信息安全網(wǎng)絡(luò)風(fēng)險管理包括:信息安全網(wǎng)絡(luò)需求分析、風(fēng)險評估和風(fēng)險防御

信息安全網(wǎng)絡(luò)需求分析包括遠程接入域、企業(yè)互聯(lián)域、服務(wù)域、內(nèi)網(wǎng)支撐域。不同的區(qū)域有不同的安全需求,在遠程接入域主要考慮信息安全3A的安全需求;在互聯(lián)域重要考慮BLP、biba模型的分析、建立、部署;在服務(wù)域重點考慮信息安全的CIA安全需求;在內(nèi)網(wǎng)支撐域重點考慮人的安全、流程的安全、物理安全等安全需求。在信息安全網(wǎng)絡(luò)風(fēng)險防御過程中,信息安全的需求的確立過程是一次信息安全網(wǎng)絡(luò)風(fēng)險防御主循環(huán)的起始,為風(fēng)險評估提供輸入。

風(fēng)險評估,就是風(fēng)險和風(fēng)險影響的識別和評估,還有建議如何降低風(fēng)險。風(fēng)險管理過程的第三步才是風(fēng)險防御,風(fēng)險評估時,關(guān)于對安全控制實施優(yōu)先級的排序、評價、實現(xiàn)的建議,都屬于風(fēng)險防御,這些控制將會降低風(fēng)險。

2 新技術(shù)下的網(wǎng)絡(luò)風(fēng)險模式研究

2.1 風(fēng)險防御模式

包括選擇風(fēng)險防御措施、選擇風(fēng)險防御策略、實施風(fēng)險防御三個過程。實施風(fēng)險防御的過程包括對過程進行優(yōu)先級排序、評價建議的安全控制類別、選擇風(fēng)險防御控制、分配責(zé)任、制定安全措施實現(xiàn)計劃、實現(xiàn)被選擇的安全控制,最后還要進行殘余風(fēng)險分析。

2.2 風(fēng)險防御措施

(1)風(fēng)險規(guī)避:通過消除風(fēng)險的原因或后果(如當(dāng)識別出風(fēng)險時放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng))來規(guī)避風(fēng)險。(2)風(fēng)險降低:通過實現(xiàn)安全控制來限制風(fēng)險,這些安全控制可將由于系統(tǒng)弱點被威脅破壞而帶來的不利影響最小化(如使用支持、預(yù)防、檢測類的安全控制)。(3)風(fēng)險計劃:制定一套風(fēng)險減緩計劃來管理風(fēng)險,在該計劃中對安全控制進行優(yōu)先排序、實現(xiàn)和維護。(4)風(fēng)險轉(zhuǎn)移:通過使用其他措施補償損失,從而轉(zhuǎn)移風(fēng)險,如購買保險。

企業(yè)的目標和使命是企業(yè)選擇風(fēng)險防御措施的首要考慮因素。想要解決所有風(fēng)險是不可能的,因此可以將嚴重危害影響目標的各種威脅或者弱點進行排序。選擇不同廠商的安全產(chǎn)品中最合適的技術(shù),再配合有效地風(fēng)險防御措施和非技術(shù)類的管理措施是最好的方法。

2.3 風(fēng)險防御策略

通過對實踐經(jīng)驗的總結(jié),對由于故意的人為威脅所帶來的風(fēng)險做出防御,采取行動來提供指導(dǎo),從而保護我們的企業(yè)信息安全。

(1)當(dāng)存在系統(tǒng)漏洞時,實現(xiàn)保證技術(shù)來降低弱點被攻擊的可能性。(2)當(dāng)系統(tǒng)漏洞被惡意攻擊時,運用層次化保護、結(jié)構(gòu)化設(shè)計以及管理控制將風(fēng)險最小化或防止這種情形的發(fā)生。(3)當(dāng)攻擊者的成本比攻擊得到更多收益時,運用保護措施,通過提高攻擊者成本來降低攻擊者的攻擊動機(如使用系統(tǒng)控制,限制系統(tǒng)用戶可以訪問或做些什么,這些措施能夠大大降低攻擊所得)。(4)當(dāng)損失巨大時,運用設(shè)計原則、結(jié)構(gòu)化設(shè)計以及技術(shù)或非技術(shù)類保護措施來限制攻擊的程度,從而降低可能的損失。

2.4 風(fēng)險防御模式的實施

在實施風(fēng)險防御措施時,要遵循以下規(guī)則:找出最大的風(fēng)險,將其風(fēng)險減緩到最小風(fēng)險,同時要使對其他目標的影響減到最小化。下面是以某企業(yè)信息網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例在新技術(shù)下的信息安全風(fēng)險防御模式的研究過程。

2.4.1 風(fēng)險評估

對信息網(wǎng)絡(luò)進行屬性分析,風(fēng)險評估后,得到如下結(jié)果:數(shù)據(jù)庫系統(tǒng)安全狀況為中風(fēng)險等級。在檢查的30個項目中,共有8個項目存在安全漏洞。其中:3個項目為高風(fēng)險、1個項目為中風(fēng)險、4個項目為低風(fēng)險等級。

2.4.2 風(fēng)險防御具體措施

根據(jù)風(fēng)險評估報告和承受能力來決定風(fēng)險防御具體措施。確定風(fēng)險防御實施點,該網(wǎng)站的設(shè)計存在漏洞并且該漏洞可能被利用。實施步驟如以下幾點。

(1)確立風(fēng)險級別,對評估結(jié)果中的8個項目漏洞進行優(yōu)先級排序。

(2)評價建議的安全控制。在該網(wǎng)站主站數(shù)據(jù)庫被建立后,針對評估報告中的安全控制建議進行分析,得出要采取的防御策略。

(3)對相應(yīng)的若干種防御策略進行成本收益分析,得出每種防御策略的成本和收益。

(4)選擇安全控制。對漏洞分別選擇相應(yīng)的防御策略。

(5)責(zé)任分配,輸出負責(zé)人清單。

(6)制定完整的漏洞修復(fù)計劃。

(7)實施選擇好的防御策略,對SQL注入漏洞、XSS跨站腳本漏洞、頁面存在源代碼泄露、網(wǎng)站頁面權(quán)限漏洞(w—寫權(quán)限)、網(wǎng)站存在ddos攻擊這幾個漏洞進行一一修復(fù)。

3 結(jié)語

風(fēng)險管理過程持續(xù)改進。通過對信息安全的風(fēng)險的計劃、識別、定量分析、應(yīng)對角度進行全方面的安全風(fēng)險評估;在風(fēng)險評估過程中,注重安全需求分析,通過滲透測試、文檔評審、漏洞掃描等手工和自動化過程充分識別風(fēng)險;通過蒙特卡羅、決策樹模型準確定義風(fēng)險,使風(fēng)險評估盡可能的準確;在專家評審會議上,通過頭腦風(fēng)暴、DELPHI等評審方法,針對不同的優(yōu)先級別的風(fēng)險采用不同的應(yīng)對措施,并本著PDR模型的方式在企業(yè)內(nèi)部建立縱身的安全風(fēng)險控制系統(tǒng),為企業(yè)保駕護航。

參考文獻

[1]孫強,陳偉.信息安全管理:全球最佳實踐與實施指南[M].北京:清華大學(xué)出版社,2007.

[2]卿斯?jié)h.網(wǎng)絡(luò)安全檢測的理論和實踐[J].計算機系統(tǒng)應(yīng)用,2001.

[3]王英梅,王勝開,陳國順,等.信息安全風(fēng)險評估[M].電子工業(yè)出版社,2007,6.

主站蜘蛛池模板: 国产高清在线精品一区二区三区| 无码中字出轨中文人妻中文中| 国产精品视频免费网站| 日韩一区二区三免费高清| 国产欧美日本在线观看| 国产亚洲精品在天天在线麻豆 | 毛片一区二区在线看| 久久这里只有精品免费| 日韩av在线直播| 日本在线欧美在线| 国产小视频在线高清播放| 免费99精品国产自在现线| 动漫精品中文字幕无码| 国产午夜小视频| 91偷拍一区| 成人在线观看一区| 亚洲精品在线影院| 亚洲精品久综合蜜| 亚洲侵犯无码网址在线观看| 日韩一级毛一欧美一国产| 91免费片| 国产成人成人一区二区| 怡春院欧美一区二区三区免费| 国产chinese男男gay视频网| 亚洲成人一区在线| 国产乱人激情H在线观看| 久久亚洲日本不卡一区二区| 亚洲精品片911| 国产乱人伦AV在线A| 国产精品刺激对白在线| 欧美人与牲动交a欧美精品 | 伊人久久婷婷| 性视频久久| 亚洲无码日韩一区| 国产精品毛片一区视频播| 国产喷水视频| 国产办公室秘书无码精品| 影音先锋亚洲无码| 国产一区二区精品高清在线观看| 国产精品久久自在自线观看| 亚洲一区二区精品无码久久久| 2019年国产精品自拍不卡| 日韩高清一区 | 精品国产91爱| 日韩欧美中文| a级免费视频| 香蕉eeww99国产精选播放| 国产高颜值露脸在线观看| 亚洲中文精品久久久久久不卡| 国产成人高清精品免费软件 | 免费在线色| 91娇喘视频| 日韩无码白| 亚洲a级在线观看| 欧美成人综合在线| 国产精品对白刺激| 欧美精品一二三区| 国产精品精品视频| 99精品免费欧美成人小视频 | 亚洲视频四区| 九色视频最新网址| 亚洲午夜福利精品无码不卡 | 伊人成人在线视频| 97在线碰| 激情综合激情| 黄色网址免费在线| 一级毛片免费的| 欧美性天天| 97在线免费视频| 精品91在线| 欧美日在线观看| 欧美日韩另类国产| 无码福利日韩神码福利片| 蜜芽一区二区国产精品| 爱做久久久久久| 最新加勒比隔壁人妻| 天堂成人av| 欧美激情二区三区| 综合亚洲色图| 日韩AV无码一区| 国产自产视频一区二区三区| 国产在线精品99一区不卡|