[安全隐患分析.docVIP

安全隐患分析 网络安全方案的设计要考虑到用户的实际情况以及网络的分布、功能、性能等方面的要求。必须从安全体系入手，采取切实有效的安全策略，部署安全功能，从而防止外部网络对内部网络的安全威胁和控制内部网络用户使用网络资源等多方面加强安全保护。 经过对可能会发生的安全风险进行的详尽分析，下面对分析的结果进行汇总，明确的安全需求风险分类 风险描述 解决程度 物理安全风险 环境安全风险 必须解决（　）可以解决（?）不必解决（　） 设备安全风险 必须解决（　）可以解决（?）不必解决（　） 媒体安全风险 必须解决（　）可以解决（?）不必解决（　） 链路安全风险 链路加密、防侦听、抗干扰等 必须解决（　）可以解决（?）不必解决（　） 网络系统安全风险 协议的风险 必须解决（　）可以解决（?）不必解决（　） 网络设备的安全风险 必须解决（　）可以解决（?）不必解决（　） 广域网访问控制的风险 必须解决（?）可以解决（　）不必解决（　） 广域网信息传输的风险 必须解决（?）可以解决（　）不必解决（　） 广域网远程访问安全风险 必须解决（?）可以解决（　）不必解决（　） 广域网路由协议的风险 必须解决（　）可以解决（?）不必解决（　） 局域网的风险分析 必须解决（　）可以解决（?）不必解决（　） 网络安全扫描工具 必须解决（　）可以解决（?）不必解决（　） 网络攻击风险分析 必须解决（　）可以解决（?）不必解决（　） 操作系统风险 服务器操作系统的风险 必须解决（?）可以解决（　）不必解决（　） 网络设备操作系统的风险 必须解决（　）可以解决（?）不必解决（　） 客户机操作系统的风险 必须解决（　）可以解决（?）不必解决（　） 应用系统风险 中间件系统的风险 必须解决（　）可以解决（?）不必解决（　） 数据库的安全风险 必须解决（?）可以解决（　）不必解决（　） 安全认证风险 必须解决（?）可以解决（　）不必解决（　） 病毒的安全风险 必须解决（?）可以解决（　）不必解决（　） 信息安全风险 信息传输安全 必须解决（?）可以解决（　）不必解决（　） 信息存储安全 必须解决（ ）可以解决（?）不必解决（　） 信息审计 必须解决（　）可以解决（?）不必解决（　） 安全管理风险 安全管理规章制度 必须解决（　）可以解决（?）不必解决（　） 管理过程 必须解决（　）可以解决（?）不必解决（　） 其他 必须解决（　）可以解决（　）不必解决（　） 人性化行为的风险 内部威胁 必须解决（?）可以解决（　）不必解决（　） 外部威胁 必须解决（?）可以解决（　）不必解决（　） 从安全风险分析结果来看，网络安全问题的主要原因是： 技术弱点：每一种网络和计算机技术都有其固有的安全问题； 配置弱点：即使是最安全的技术也可能会被错误的配置或者是使用不当，暴露出安全问题； 策略弱点：定义的不好的或实施和管理不当的安全策略可能会导致最好的安全和网络技术漏洞百出。 .1.1技术弱点 计算机和网络技术一般都会有内在的安全弱点和脆弱性。这里所考虑的弱点包括TCP/IP、操作系统和网络设备的弱点，如图所示： 图1：网络和计算机设备含有技术弱点示意图 .1.2配置上的弱点 配置上的弱点与技术弱点密切相关。配置上的弱点是指那些欣慰没有设置或配置联网设备去防止一致或潜在安全问题而引起的问题。配置弱点的补救成本很低，一旦发现后可以很容易改正。 下面是一些配置弱点的例子 产品的配置不安全； 网络设备配置不当：网络设备本身配置不能引起严重的安全问题。例如，错误配置的访问列表、路由协议，或SNMP团体字符串能造成非常大的安全漏洞 用户帐号不安全：用户帐号信息在网络上的传输可能会不安全，又可能会将用户名和口令暴露给网络上的窃听者； 系统帐号口令易被猜出：选择的不好的和易被猜出的口令会给攻击者以可乘之机。 Internet服务配置不当：一个常见的问题就是在Web浏览器中打开了Java和Javascript，这容易导致通过恶意的Java Appletes进行攻击。 网络设备和计算机操作系统可能会起用了不安全的TCP/IP服务，这些服务可以允许远程访问。 .1.3网络安全策略上的弱点 一个书面的、完善的、容易实施的安全策略可以为网络系统筑起安全屏障，但安全策略中的弱点也会引起一些安全问题，下面是一些安全策略弱点的例子： 缺少书面的安全策略：非书面的安全策略无法被一致应用或执行； 内部政治：扯皮和内部冲突将阻碍一致的安全策略的制定和执行； 缺乏延续性：人员的频繁更换导致不稳定的安全途径 没有对网络设备施加逻辑访问控制：执行和管理不佳的用户口令流程有可能导致对网络的非授权访问 安全管理（包括监控和审