一、做好内网安全防护需了解风险评估各要素之间的相互关系
风险评估在内网安全防护中有着重要的作用。要了解信息系统中风险评估各要素之间的关系,首先要了解信息系统中风险评估都有哪些要素。风险评估的要素主要有:资产、资产价值、威胁、脆弱性、风险、残余风险、安全事件、安全需求、安全措施、业务战略等。接下来就给大家谈谈风险评估各要素之间的相互关系。
业务战略依赖于资产去完成,资产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大。风险是由威胁发起的,威胁越大则风险越大,并可能演变成内网安全事件。威胁都要利用脆弱性,脆弱性越大则风险越大。脆弱性使资产暴露,是未被满足的内网安全需求,威胁通过利用脆弱性来危害资产,从而形成风险。
资产的重要性和对风险的意识会导出内网安全需求,内网安全需求要通过内网安全措施来得以满足,且是有成本的;内网安全措施可以抗击威胁,降低风险,减弱安全事件的影响;残余风险,风险不可能也没有必要降为零,在实施了内网安全措施后还会有残留下来的风险。一部分残余风险来自于内网安全措施可能不当或无效,在以后需要继续控制这部分风险;另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的。残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。
风险评估的有助于识别信息系统中存在的风险,为确立信息系统安全等级提供参考;指导信息系统安全管理;为执法部门监督提供参考;信息系统建设完成后,验收时用于参考;为信息系统业务发生变更时提供安全参考。
二、内网安全管理中应用程序可能面临的攻击与对策观察
在企业内网安全管理方面主要对应用程序进行安全防护,一般情况下,应用程序可能遭受的攻击包括:社会工程;利用数据的执行而发动攻击;伪装成授权用户或服务器;非法使用系统应用程序和操作系统软件;数据修改;拒绝服务;设备修改或窃取;流量分析;密码分析;信息重放;分发攻击;合法用户进行不适当的操作。
针对这些风险的对策分为由系统及其支持的服务所提供的对策和与应用程序有特殊关联的对策。系统的每个链路都是一个潜在的脆弱点。一个伪造的链路可以导致拒绝服务或对数据的损坏(如截取或修改)。系统提供的对策的特点就是对数据传送路径上的所有脆弱点进行加固。而应用提供的对策必须由特定的第三方来加固,这个第三方不能被旁路。
系统所提供的对策包括:系统完整性;硬件的物理保护;基本OS安全;备份和恢复过程;反病毒软件;入侵检测软件;防火墙;对介质的物理保护;适当的过程安全。
应用程序提供的对策包括:用户信息从源用户经过服务器到目的用户的保密性;关键资料信息的保密性;发送者和接收者的保密性;保护应用软件在发布时的完整性;信息、关键资料、源和目的信息以及任何其他控制信息的完整性。用户对其他用户和管理者的标识和鉴别,系统对客户与服务器的标识和鉴别;适合于特定应用的访问控制;在适当特殊应用中对用户、管理者、客户和服务器的审计;可能需要防抵赖;密钥和信息的恢复。 绝大多数保密单位内网安全的状况又是如何呢?我们实际接触了很多相关单位,现状是领导对涉密相关的很重视,诸如安全保密产品等都肯投入,只要是保密评审必备的都一一满足,但是内网办公电脑的使用比较乱,比如: 1.无论是公家的还是私家的U盘或移动存储介质可以随意插拔拷贝资料; 2.员工可以随意的通过各种无线设备连接到互联网; 3.办公电脑的光驱、硬盘等设备可以随意拆卸,管理者无从知晓; 4.打印机可以随意连接打印文件,可以私接移动光驱进行数据刻录; 5.随意安装软件、病毒泛滥等; 三、员工上网行为管理方面提供如下功能 1.网络审计:能够对员工电脑进行上网行为审计,比如可以对常用的聊天工具进行聊天内容审计,还可以对浏览网站审计、网络搜索审计、邮件发送审计和上传下载审计,这样就能了解到员工上网行为了; 2.应用程序管控:通过应用程序管控可以对员工在办公过程中使用应用程序行为进行管理,比如通过应用程序使用黑白名单禁止员工使用哪些程序,或金允许员工使用哪些程序,还可以对员工电脑应用企业软件库或禁止员工在电脑下载新软件; 3.网站访问控制:通过网站访问控制可以限制员工随意浏览网页或访问网站的行为,比如在工作模式下可选择禁止访问以下网站或仅允许访问以下网站,这样可有效避免员工在工作时间内随意浏览与工作无关的网页等行为。
|