返回列表 发帖
Yuki 该用户已被删除
楼主 跳转到 » 倒序看帖
打印
tT
Yuki发表于 2003-6-29 11:07 | 只看该作者

网络安全重在管理

网络安全重在管理
一、网络安全现状
  随着计算机网络的普及和发展,我们的生活和工作正越来越依赖于网络。在网络发展的早期,人们更多地强调网络的方便性和可用性,而忽略了网络的安全性。当网络仅仅用来传送一般性信息的时候,当网络的覆盖面积仅仅限于一幢大楼、一个校园的时候,安全问题并没有突出地表现出来。但是,当在网络上运行关键性的银行业务,当企业的主要业务运行在网络上,当政府部门的活动正日益网络化的时候,计算机网络安全就成为一个不容忽视的问题。另外,随着技术的发展,网络克服了地理上的限制,把分布在一个地区、一个国家,甚至全球的分支机构联系起来。它们使用公共的传输信道传递敏感的业务信息,通过一定的方式可以直接或间接地使用某个机构的私有网络。组织和部门的私有网络也因业务需要不可避免地与外部公众网直接或间接地联接起来,以上因素使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化,从而造成网络的可控制性急剧降低,安全性变差。随着组织和部门对网络依赖性的增强,一个相对较小的网络也突出地表现出一定的安全问题,尤其是当组织的私有计算机网络同国际互联网联系起来的时候,组织和部门的网络就要面对来自外部网络的各种各样的安全威胁,即使是网络自身利益没有明确的安全要求,也可能由于被攻击者利用而带来不必要的法律纠纷。网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全要求已经构成了对网络安全的迫切需求。
  但是,上面的现状仅仅是问题的一个方面,当人们把过多的注意力投向黑客攻击和网络病毒所带来的安全问题的时候,却不知道内部是引发安全问题的根源,正所谓“祸起萧墙”。国内外多家安全权威机构统计表明,大约有7到8成的安全事件完全或部分地由内部引发。在一定程度上,外部的安全问题可以通过购置一定的安全产品来解决,但是,解决内部的安全问题重在管理。何况大多数的外部安全问题是由于内部管理不善、配置不当和不必要的信息泄露引起的。因此,建立组织和部门的网络安全体系是解决网络安全的首要任务。
二、网络安全存在的主要问题
  任何一种单一的技术或产品都无法满足网络对安全的要求,因此,综合以上的情况,可以看出只有将技术和管理有机地结合起来,从控制整个网络安全建设、运行和维护的全过程角度入手,才能提高网络的整体安全水平。
  无论是内部安全问题还是外部安全问题,归结起来一般有以下几个方面:
1、网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全措施加以防范,完全处于被动挨打的位置。
2、组织和部门的有关部门人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐患,从而失去了防御攻击的先机。
3、组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击者以可乘之机。
4、组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5、网络安全管理人员和技术人员缺乏必要的专业安全知识,不能安全地配置和管理网络,不能及时发现已经存在的和随时可能出现的安全问题,对土法的安全事件不能作出积极、有序和有效的反应。

三、网络安全管理体系的建立
  网络安全是我们的目标,达到目标的过程是复杂的。这个复杂过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,安全体系结构把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成
1、安全需求分析
  “知己知彼,百战不殆”。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2、安全风险管理
  安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构建安全体系结构提供直接的依据。
3、制定安全策略
  根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4、定期安全审核
  安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,组织和部门的业务和人员也可能不定期地发生变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应的调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5、外部支持
  计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全咨讯,为您的计算机网络安全提供安全预警。
6、计算机网络安全管理
  安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
收藏 分享

返回列表 回复 发帖