网络安全漏洞研究与风险评估(5)
3. 防止内部破坏
有了防火墙可以防止外部的攻击,这还不能完全有效地保障内网的安全,因为很多不安全因素来自内部非授权人员对涉密信息的非法访问和恶意窃取,因此在网络内部,也必须要有强有力的身份鉴别、访问控制、权限管理以及涉密文件的保密存储和传输等措施,才能有效地保障内部涉密信息的安全性。
4. 口令保护
口令攻击是常见的一种网络攻击方式,黑客可以通过破解用户口令入侵用户系统,因此,必须非常注意对口令的保护,特别是密码设置不要被别人猜出,重要的密码最好定期更换等。
5. 数据加密
数据加密就是使用密码,我们可以对一些重要的文件数据等进行加密,设置密钥,也可以在计算机上设置密码来保护信息,以防第三方窃取、伪造或篡改,达到保护原始数据的目的。这虽然不能使它们百分之一百的安全,但也是一种极为有效地保护我们计算机网络安全的防范措施。
图4 信息安全预防措施
4.4云计算机环境下的安全
一般来说,云计算涉及的安全问题主要包括两个方面:一是保证能随时地准确无误地获取信息;二是自己的信息不会被泄露。所以为了让更多的用户享受到云计算服务的优点,消除潜在的安全风险,在选择云计算服务时,要注意两个方面,一是要根据自身的业务需要,将风险可控的业务模型提交到云计算服务商,其他关键业务模型可以选择建立企业私有云模型进行保障;另外就是要和云计算服务商建立规范的条款来规避风险,包括选择较高信誉度的服务商、要求企业和云计算服务商之间的数据传统输道进行加密传输、要求云计算服务商承诺数据存储位置的安全性以及和其他企业数据之间的加密隔离,同时和服务商签订SLA服务质量保证协议,明确服务商要具备数据恢复的能力并定义清楚数据恢复的时间限制等。
总之,网络安全防范是一个动态的概念,不可能做到一劳永逸,重要的是要建立一个网络安全防范体系。网络安全是一个广泛而复杂的课题,各种类型的企业对网络安全有不同的要求,必须进行具体的分析,才能制定出适合企业自身要求的总体网络安全解决方案。
5网络安全与风险评估的关系
网络的安全,在某种程度上总是与处理风险和管理风险相关的。目前的操作系统(例如Windows)和应用系统一般都存在安全漏洞。这些安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度与系统的安全配置及系统的应用方面有很大关系,操作系统如果没有采用相应的安全配置,则会是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,禁止开放一些不常用的端口,关闭一些不常用的服务等,那么入侵者要成功进入内部网将变得困难许多。但是,降低风险、预防损失决不只是配置一系列安全设备那样简单。一个完整的安全体系和安全解决方案是根据网络体系结构和网络安全的具体情况来确定的,安全的提高是以一定的资源和资产为代价的。因此我们不应该毫无根据、毫无止境地提高安全性。而应该正确评估自己的网络安全风险并根据自己的风险大小做出相应的安全解决方案。否则有可能付出了很大的代价而不能收到相应的安全效果。可以说,网络安全是以风险评估为基础的,只有对网络安全解决方案进行充分有效的风险分析和评估,了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,才能将系统的风险降到一个可以接受的程度,没有进行透彻的风险分析和评估而实施的安全策略就好像先建房屋后画图纸一样,会导致资金和人力资源的巨大消耗和浪费。