信息安全风险评估方案.pdf

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第一章 网络安全现状与问题 1.1 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、 防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性, 自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处, 会造成多大的损失,如何评估, 投入多大可以满足要求, 对应这些问题应该采取 什麽措施,这些用户真正关心的问题却很少有人提及。 1.2 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、 内部犯罪、恶意代码、病毒威胁等 行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再 加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路, 其 原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、 经纪业务平台化与总部集中监控的 趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章 网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着 “以偏盖全” 的现象, 它们过分强调了某个方 面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略 基础上, 需要构建一个具有 全局观的、 多层次的、 组件化的 安全防御体系。 它应涉及 网络边 界、网络基础、核心业务和桌面 等多个层面,涵盖路由器、交换机、防火墙、接入服务器、 数据库、操作系统、 DNS、WWW、MAIL 及其它应用系统。 静态的安全产品不可能解决动态的安全问题, 应该使之 客户化、可定义、可管理 。无论 静态或动态 (可管理)安全产品, 简单的叠加并不是有效的防御措施 ,应该要求安全产品构 件之间能够相互联动,以便实现安全资源的 集中管理、统一审计、信息共享 。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点, 因此即使是多层面的安全防御体系, 如果是静态的, 也无法抵御来自外部和内部 的攻击, 只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系 化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而 - 1 - 形成动态的安全防御体系。 网络的安全是一个动态的概念。 网络的动态安全模型能够提供给用户更完整、 更合理的 安全机制,全网动态安全体系可由下面的公式概括: 网络安全 = 风险分析 + 制定策略 + 防御系统 + 安全管理 + 安全服务 动态安全模型,如图所示。 动态风险分析 网络安全策略 安 防 安 保 安 范 全 御 全 障 全 体 标 体 技 体 管 系 准 系 术 系 理 安全服务支持体系 动态安全体系 从安全体系的可实施、 动态性角度, 动态安全体系的设计充分考虑到风险评估、 安全策 略的制定、防御系统、安全管理、安全服务支持体系等各个方面,并且考虑到各个部分之间 的动态关系与依赖性。 进行风险评估和提出安全需求是制定网络安全策略的依据。风险分析(又称风险评估、

文档评论(0)

tianya189 + 关注
官方认证
内容提供者

该用户很懒,什么也没介绍

认证主体阳新县融易互联网技术工作室
IP属地湖北
统一社会信用代码/组织机构代码
92420222MA4ELHM75D

1亿VIP精品文档

相关文档