| 网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。网络安全管理实际上就是风险控制,其基本过程是通过对网络管理对象的威胁和脆弱性进行分析,确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象的脆弱程度,从而确定网络管理对象的风险等级,然后据此选取合适的安全保护措施,降低网络管理对象的风险。网络安全管理主要要素之间的相互关系如下图所示。
|
|
|
|
|
|
|
|
|
| 网络信息安全管理对象是企业、机构直接赋予了价值而需要保护的资产。它的存在形式包括有形的和无形的,如网络设备硬件、软件文档是有形的,而服务质量、网络带宽则是无形的。下表是常见网络信息安全管理对象分类。
|
|
|
|
|
|
|
|
|
| 网络系统包含各类不同资产,由于其所具有的价值,将会受到不同类型的威胁。下表列举了网络系统受到的非自然的威胁主体类型。
|
|
|
|
|
|
|
| 根据威胁主体的自然属性,可分为自然威胁和人为威胁。自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。从威胁对象来分类,可分为物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁。
|
|
|
|
|
| 脆弱性指计算系统中与安全策略相冲突的状态或错误,它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。CC标准指出,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性,如拒绝服务攻击主要是利用资源有限性的特点,攻击进程长期占用资源不释放,造成其他用户得不到应得的服务,使该服务瘫痪。
|
|
|
|
|
| 网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性,导致网络管理对象的价值受到损害或丢失的可能性。简单地说,网络风险就是网络威胁发生的概率和所造成影响的乘积。网络安全管理实际上是对网络系统中网管对象的风险进行控制,其方法如下:
|
|
|
| . 避免风险。例如,通过物理隔离设备将内部网和外部网分开,避免受到外部网的攻击。
|
|
|
|
|
| . 减少威胁。例如,安装防病毒软件包,防止病毒攻击。
|
|
|
| . 消除脆弱点。例如,给操作系统打补丁或强化工作人员的安全意识。
|
|
|
| . 减少威胁的影响。例如,采取多条通信线路进行备份或制定应急预案。
|
|
|
| . 风险监测。例如,定期对网络系统中的安全状况进行风险分析,监测潜在的威胁行为。
|
|
|
|
|
| 保护措施是指为对付网络安全威胁,减少脆弱性,限制意外事件的影响,检测意外事件并促进灾难恢复而实施的各种实践、规程和机制的总称。其目的是对网络管理对象进行风险控制。保护措施可由多个安全机制组成,如访问控制机制、抗病毒软件、加密机制、安全审计机制、应急响应机制(如备用电源以及系统热备份)等。在网络系统中,保护措施一般实现一种或多种安全功能,包括预防、延缓、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。例如,安装网络入侵检测系统设备可以发现入侵行为。
|
|
|
