校园网站风险评估综述.docVIP

《信息安全工程》

----校园网站风险评估

课

程

设

计

班级：0430801

学号姓名：孔伟栋

校园网站风险评估综述

对于校园网站而言，解决信息安全的关键就是明白网站面临的风险所在。利用风险评估来识别可能存在的风险和威胁，对暴露出的问题进行有针对性的防护，这样才能保证校园网站稳定高效地为师生服务。

信息风险评估的特点和意义

1.1信息安全风险评估的基本意义

信息系统的安全风险是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。

风险评估的重要意义：

风险评估是分析确定风险的过程

系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。

信息安全风险评估是信息安全建设的起点和基础

安全风险评估是风险评估理论和方法在信息系统中的运用，是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。

信息安全建设都应该是基于信息安全风险评估，只有在正确地、全面地理解风险后，才能在控制风险、减少风险、转移风险之间作出正确的判断，决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。

信息安全风险评估是需求主导和突出重点原则的具体体现

获得最高管理者批准

上述所有内容应得到组织的最高管理者的批准，并对管理层和员工进行传达。

校园网站存在风险的原因

校园网站由于以下自身的特点，导致安全问题比较突出。

(1校园网站有的是隶属于学校的，有的是隶属于某一学院的，有的是属于某一社团组织的，管理情况非常复杂。用作网站服务器的计算机，有的院系是由技术人员负责维护的，有些院系则没有专人维护，服务器系统建设完毕之后无人管理，甚至被攻击者攻破作为攻击的跳板，变成攻击者的温床也无人觉察。

(2大学生通常是最活跃的网络用户，对网络新技术充满好奇，勇于尝试。如果没有意识到后果的严重性，有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术，而他们首先所想到的目标很可能就是校内网站，一方面由于校园网服务器存储大量信息，例如学生档案、成绩、作业、考卷等，这些数据对于学生来说很有诱惑力；一方面学生对校园网站比较熟悉，易于使用社会工程学，有些攻击者甚至就是网站的建设者。

(3校园网与互联网相联。校园网站一般都能被公网用户访问（特殊资源除外），所以校园网站面临着外网攻击和来自内网攻击的双重安全威胁。

校园网站的安全威胁

据统计，网受到的内部攻击比外部攻击多，根据攻击类型，校园网受到的威胁主要有：

(1非授权访问，指对网络设备及信息资源进行非正常使用或越权使用等。

(2冒充合法用户，主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。

(3破坏数据的完整性，指使用非法手段删除、修改、重发某些重要信息，以干扰用户的正常使用。

(4系统漏洞是威胁校园网安全的长期因素。系统漏洞主要是指系统本身存在的、在设计时并没有考虑到的缺陷或弊端。由于系统漏洞存在的长期性，导致针对漏洞的网络安全问题也将是长期的，持久的。

(5应用系统的错误配置是影响网络服务安全的主要因素。应用系统是网络中主要服务提供者，因此其安全问题的产生也将会直接影响网络服务的正常运行。

(6搭建网站所用软件自身存在着漏洞也是主要的安全威胁。在目前的校园网站中的Web服务器无论是IIS，还是Apache，或多或少都存在着安全漏洞，正是因为软件安全漏洞的存在，使得校园网站的安全受到极大的威胁。

(7数据缺乏必要的备份，数据是整个网络的核心，网站里面存储的重要的数据、档案或历史纪录，不论是对学校，还是对个人用户，都是至关重要的，一旦不慎丢失或是被恶意篡改、删除，都会造成严重的损失。如果没有完善的备份机制，有些数据是根本无法重建的。令人担忧的是大多数的校园网站并没有做好数据备份工作。

主要攻击类型：

安全弱点：

主要的漏洞攻击：

1.SQL注入攻击

注入漏洞的产生原因是网站程序在编写时，没有对用户输入数据的合法性进行判断，导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户