網絡安全常見風險精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全常見風險主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全常見風險范文

 

隨著社會經濟的不斷發展，網絡時代逐漸進入人們的生活，計算機被運用在了各個領域中，成為促進社會發展的重要媒介。而與此同時，企業信息安全問題也逐漸凸顯出來，嚴重阻礙了企業的可持續發展，因此，在網絡時代背景下研究企業安全風險和控制具有重要意義。

 

1 企業信息安全相關概述

 

1.1 信息安全的含義

 

迄今為止，對信息安全依然沒有一個統一和公認的定義。但是從國內外研究來看，對其主要存在2種說法：一種指的是具體信息安全技術系統的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態的角度上闡述了信息安全的基本層面，但是信息系統和網絡的影響決定了信息安全是一個動態的改變，其主要是防止企業信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。

 

1.2 信息安全在企業中發揮的重要作用

 

企業信息作為企業的寶貴資源，保證企業信息的安全性對企業的生存和發展具有重要作用，主要體現在以下3個方面：一是企業信息安全是保障企業正常運行的基本前提。在網絡時代背景下，企業信息安全的內容更廣泛，再加上現代企業制度的不斷建立和完善，越來越多的企業依靠信息數據庫開展各項工作，例如：對于市場情況的分析、做出重大決策等等。二是保障企業信息安全是提高企業市場競爭力的必備條件。隨著市場經濟的不斷完善，企業面臨的競爭也越來越激烈，在這種形勢下，企業要想獲取市場競爭優勢就需要依靠信息安全來實現。三是企業信息安全作為企業發展戰略中重要的組成部分，而企業實施各項戰略主要是通過自身的經營活動、財務信息等開展的，這些數據也能夠將企業的戰略實施方法以及下一步計劃詳細地反應出來，因此，如果企業的信息安全無法得到保障，那么企業要實施各項戰略難度也很大。

 

2 網絡時代下企業信息安全風險分析

 

2.1 缺乏高度的信息安全風險意識

 

在網絡時代的浪潮下，很多企業都在逐步加強自身信息安全的建設，通過加大資金投入、創新技術等措施來保障自身的信息安全，然而，對信息風險的控制并非僅僅依靠技術就可以實現，更重要的是人們要樹立起信息安全的風險意識。但是從當前來看，還有很大一部分企業的領導者、管理者、員工缺乏對信息安全風險的高度重視，主要表現在：個別人甚至片面地認為信息安全僅僅是網絡部門的責任，跟自身沒有多大關系;二是有個別企業領導者認為對信息安全的宣傳過度夸張，遭受網絡攻擊的概率小，一般不會發生在自己身上;三是個別企業沒有建立信息安全風險管理體系，再加上企業缺乏具體的故障系統，導致企業信息安全遭到風險時，員工往往手足無措，雖說有些企業針對自身的信息安全制定了一系列規章和制度，但是由于缺乏針對性和操作性，導致這些制度無法得到真正落實。

 

2.2 應用系統的安全性不高

 

企業要實現信息化建設的目的，少不了各種應用系統作支撐，但是從實際情況來看，很多企業還存在著應用系統的安全性不高等問題，進而導致企業在數據傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取，實現非法訪問，進而引發企業信息丟失或者泄露等安全風險。另外，很多企業應用系統的安全方模式也較為單一，絕大部分主要是采用“口令”的方式進行認證，無法實現對信息安全全方位的防范。另外，企業設置的密碼過于簡單、操作不規范等等都會增加應用系統安全的風險。

 

2.3 技術設備和設施的作用發揮不足

 

個別企業為了防范信息安全風險，針對一些重要信息設置了安全設備，但是由于操作條件和參數設施不夠合理，無法將這些設備的作用充分發揮出來。還有很多企業沒有通過建立工作日志來對安全設備、設施的運行情況進行監控，進而不能根據企業的經營情況對信息安全進行風險控制，更無法采取有效措施保障企業風險管理。

 

3 網絡時代下控制企業信息安全風險途徑分析

 

3.1 加強信息安全教育，提高信息安全風險意識

 

由于在企業信息安全控制中，提高員工的信息安全意識是保證企業信息安全的決定性因素，因此，企業應該加強對員工的信息安全教育，幫助員工樹立起信息安全風險意識，例如：企業可以利用一些重大節日開展關于信息安全的演講比賽、征文比賽，也可以通過建立適當的激勵制度以及開展培訓活動等途徑來加強員工對信息安全重要性的認識，進而提高自身的信息安全風險防范意識和觀念。

 

3.2 加強信息化建設，設置信息安全管理部門

 

在企業信息化建設中，信息安全作為重要的基礎，企業要強化自身的內部控制，就應該落實信息安全的建設工作。加強信息化建設首先需要企業將信息安全納入安全管理范圍內，進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度，爭取形成信息安全聯動管理機制，確保信息安全管理的有效性;最后，在企業中設置信息安全管理機構，該部分的主要職能為企業信息安全建設、管理以及員工的信息安全教育培訓工作等，從而為企業的信息安全風險控制創建一個良好的內部環境[2]。

 

3.3 運用新技術，加強信息安全風險防范

 

當前控制信息安全風險常見的主要有VPN技術和防火墻技術：(1)VPN技術。VPN主要指的是在公共網絡的虛擬專用網絡中建立一個臨時的安全鏈接，在通常情況下，對VPN內部進行擴展可以實現遠程操作，建立一條分公司、商業合作商和供應商跟公司內部網絡安全聯系，從而確保信息交換的安全性，保證數據傳輸的安全性。(2)防火墻技術。防火墻也被稱為訪問控制系統，主要是通過對網絡做拓撲結構和服務類型上的隔離來保障網絡安全。運用防火墻技術可以保證企業的內部網絡免受外部網絡的侵占，并阻斷非法訪問的外部網絡進入企業內部網絡，保證企業信息和資源的安全。

 

4 結 語

 

總之，網絡時代的產生為企業發展創造了新的模式和發展契機，但與此同時，企業的信息安全也面臨著很大的威脅，在很大程度上制約了企業的可持續發展。要實現對企業信息安全風險的控制，首先應該找準企業信息安全的風險點，然后采取對應措施，如：加強信息安全教育、加強信息化建設、運用新技術等幾個方面來控制信息安全風險。

 

作者：袁亮 來源：中國管理信息化 2015年17期

第2篇：網絡安全常見風險范文

 

1 SAN架構存在的主要安全問題

 

(1)與傳統單臺服務器直接連接自己的專屬存儲設備不同，一個SAN存儲陣列通常供多臺運行著不同操作系統的服務器訪問，這就意味著必須有嚴格的措施來控制數據訪問的范圍，同時影響SAN的安全因素擴大，不可能僅僅依賴于單臺服務器操作系統的安全性。此外，SAN存儲網絡中還包含FC交換機、管理控制設備、備份服務器等許多其他設備，也大大增加了SAN存儲網絡遭到安全威脅的風險和被攻擊的幾率。

 

(2)任何網絡主要的數據安全威脅來自非授權訪問，尤其是管理接口。一旦惡意用戶獲得到與存儲區域網絡(SAN)相連接服務器管理員的權限，入侵者就可以訪問任何一個和SAN連接的系統，從而造成嚴重的數據失竊。

 

(3)一些網絡嗅探工具會攔截SAN中傳輸的數據，如果數據是以明文形式傳輸的，就很容易被黑客解析還原，從而導致敏感信息被竊。

 

(4)存儲設備中以明文存儲的數據，如果存儲介質被竊取，將造成敏感數據失密事件。數據在靜態存儲下的安全問題是至關重要的，應避免數據以明文的形式存儲。

 

(5)由于某種原因，存儲系統遭到破壞時，損毀的部件可能導致整個存儲系統癱瘓，因此必須保證存儲系統擁有足夠的冗余性，以確保數據安全和數據恢復。

 

(6)來自外部的存儲網絡安全威脅有：拒絕服務攻擊、中間人、電子欺騙等。拒絕服務攻擊使資源過載，從而阻止了合法用戶訪問資源;中間人攻擊冒合法交換機地址，一旦數據流向該偽造交換機，傳輸的數據就被竊聽和泄漏;電子欺騙攻擊利用有漏洞的合法程序向存儲網絡發出請求，從而竊取數據。

 

2 SAN存儲安全問題的主要應對技術介紹

 

2.1 SAN分區

 

SAN分區就是通過在SAN交換機上進行ZONE(區域)的劃分，將連接在SAN網絡中的設備，邏輯上劃分為不同的區域。一個分區可以由多個服務器、存儲設備、光纖交換機、HBA卡等組成。只有同一個分區的設備才可以互相通訊，不同分區的設備相互間不能訪問，從而達到SAN中服務器和設備相互隔離的目的。區域的劃分是在光纖交換機上進行的，對服務器或其他存儲設備是完全透明的，在它們上面不需要進行任何的配置。SAN網絡的區域劃分通常有以下幾種方法。

 

2.1.1 端口分區

 

使用光纖交換機物理端口的FC地址來定義分區，也稱為硬分區。在端口分區里，是否可訪問數據取決于節點連接到哪個物理交換端口。使用這種分區安全性比軟分區高，但該方法要求在光纖通道的連接變更時，必須修改分區配置信息。

 

2.1.2 WWN分區

 

WWN分區使用設備的WWN(萬維網名稱，World Wide Name)名稱來定義分區。WWN分區也被稱為軟分區。WWN分區的一個主要優點就是它的靈活性：它允許在SAN中變更連線但并不需要重新配置分區信息。

 

2.1.3 混合分區

 

混合分區結合了WWN分區和端口分區的優點。使用混合分區可以將光纖交換機的一個特定的端口綁定到一個節點的WWN上。

 

2.2 邏輯單元屏蔽(LUN masking)

 

LUN是SAN中磁盤邏輯單元的SCSI標志，在光纖通道領域，LUN是基于系統的WWN實現的。分區一般與LUN掩碼結合，來加強控制服務器對存儲器的訪問。但是，兩者在不同過程層面進行控制：分區工作在光纖通道層，而LUN掩碼工作在陣列層。

 

在SAN存儲網絡中，任何一個服務器和所有存儲系統在物理上是相通的。采用LUN掩碼技術，可限制特定的服務器只能訪問分配給它的特定的邏輯存儲空間(LUN)。如果有多個服務器訪問同一特定設備，可以通過設定特定的LUN組，并允許組內服務器可訪問該特定設備。這樣就可以拒絕其他服務器對該 LUN的訪問，從而起到保護數據安全的目的。

 

2.3 保護存儲管理網絡

 

存儲設備都設有專門的管理端口，可通過串口和以太網口進行管理。管理口通常只有用戶名口令等基本安全校驗，沒有更多的安全防護措施，這使管理口本身容易招收攻擊而成為安全的短板。應該采取措施使管理口不直接與數據網絡進行連接。

 

2.4 數據加密

 

存儲中存放的數據和在連接中流動的數據均會受到數據盜竊的威脅，包括傳輸時篡改數據(破壞數據完整性)、私密信息泄露和存儲介質失竊(損害數據可用性和保密性)。為了阻止這些威脅，需要加密存儲在存儲介質上的數據或加密即將傳送到磁盤上的數據。 常用的數據加密方法有：(1)文件系統加密。(2)采用加密設備加密。通常文件系統加密會略微降低系統性能;采用加密設備，則成本較高。

 

“封裝安全凈載”(ESP)可以對光纖傳輸數據進行加密，以確保安全性。以太網傳輸能通過SSL或者類似的協議來加密。這些加密技術可以使用不同的加密程度使得被竊數據沒有可乘之機。目前，已經有一些廠商提供在SAN中進行加密的方案。由于光纖通道SAN尤其關注高性能，因此加密方案應該盡量不影響SAN的性能，所以多數方案都是基于硬件的加密。

 

2.5 鏡像技術

 

鏡像技術用于存儲設備內部，或者主存儲和備存儲之間，或者主數據中心和備援數據中心之間的數據冗余備份。鏡像是在兩個或多個磁盤或磁盤子系統上產生同一個數據的鏡像視圖的信息存儲過程，一個叫主鏡像系統，另一個叫從鏡像系統。按主從鏡像存儲系統所處的位置可分為本地鏡像和遠程鏡像。遠程鏡像按請求鏡像的主機是否需要遠程鏡像站點的確認信息，有可分為同步遠程鏡像和異步遠程鏡像。

 

同步遠程鏡像是指通過遠程鏡像軟件，將本地數據以完全同步的方式復制到異地，本地的每一個I/O事物均需等待遠程復制的內容完成確認信息，方予以釋放。同步鏡像使遠程拷貝總能與本地機要求復制的內容相匹配。同步鏡像使遠程拷貝總能與本地機要求復制的內容相匹配，但它存在往返傳播造成延時較長的缺點，只限于在相對較近的距離上的應用。

 

異步遠程鏡像保證在更新遠程存儲視圖前完成向本地存儲系統的基本I/O操作，而由本地存儲系統提供給請求鏡像主機的I/O操作完成確認信息。遠程的數據復制是以后臺同步的方式進行的，這使本地系統性能受到的影響很小，傳輸距離長，對網絡帶寬要求小。但是，如果出現傳輸失敗，可能出現數據一致性問題。

 

2.6 快照技術

 

快照技術通過控制軟件對要備份的磁盤子系統的數據快速掃描，建立一個要備份數據的快照邏輯單元號LUN和快照Cache，在快速掃描時，把備份過程中即將要修改的數據塊同時快速拷貝到快照Cache中。快照LUN是一組指針，它指向快照Cache和磁盤子系統中不變的數據塊。在正常業務進行的同時，利用快照LUN實現對原數據的一個完全且快速的備份。

 

2.7 基于磁帶庫的備份系統

 

基于磁帶庫的備份系統可以提供基本自動備份和數據恢復功能，且備份存儲容量達到TB級。在專用備份軟件管理下可進行集中式網絡數據備份，實現連續備份、智能恢復、實時監控統計等功能，為保證數據完整性和安全性提供了保障。

 

3 SAN存儲架構的全方位、多層次安全措施

 

3.1 劃分SAN存儲網絡安全區域

 

通過前述的SAN存儲風險要素分析，可以看出為保護信息資產安全，必須建立一個包含多層次安全措施的SAN安全架構。利用現有安全技術，通常將SAN網絡化分為5個不同功能的區域，然后在各個切入點進行安全建設，分別為：主機連接交換機區域、管理機連接交換機區域、存儲器連接交換機區域、遠程主機區域和交換機連接交換機區域。針對5種功能區通常采用的安全防護手段如圖1所示。

 

3.2 安全區域A(主機連接交換機區域)的安全措施

 

僅允許授權的服務器進行FC訪問，防護措施如下。

 

(1)使用訪問控制列表：使已知的HBA(光纖通道總線適配器)只可以連接到指定交換機的指定端口。

 

(2)使用端口分區和WWN分區等的安全分區方法，進行區域隔離，使只有指定端口之間可以訪問存儲資源。

 

(3)通過采用基于磁帶庫的數據存儲備份系統，實現自動的完全備份、增量備份、快速數據恢復等功能，保證了數據的安全性。

 

3.3 安全區域B(交換機連接交換機區域)

 

重點保護網絡中的數據信息流，防護措施有以下幾種。

 

(1)使用E_Port綁定認證。E端口是專門用于連接交換機和交換機的端口，通過網絡綁定可以防止未經授權的交換機加入網絡中任何已存在的交換機。

 

(2)加密傳輸數據。采用SAN加密交換機實現基于光纖的加密，可在不影響性能的情況下，對傳輸數據進行加密。

 

(3)實施FC交換機端口控制。進行端口綁定可以：限制連接到交換機特定端口的設備數量;只允許相應交換機連接到一個節點進行網絡訪問;可以禁用暫時不用的端口，防止閑置端口被非法使用。

 

3.4 安全區域C(存儲器連接交換機區域)

 

保護SAN上的存儲陣列，措施如下。

 

(1)采用基于WWN的LUN掩碼技術，使不同的主機只能訪問指定的存儲資源。

 

(2)利用SOURCE ID鎖定，實現基于源FCID(光纖通道ID/地址)的屏蔽，使偽裝的HBA WWN無法登入系統。

 

(3)采用SAN存儲設備的鏡像技術和快照技術，提高存儲系統的可靠性。

 

(4)采用文件系統等加密方法對數據進行加密，以實現存儲系統中靜態數據的保密。

 

3.5 安全區域D(管理機連接交換機區域)

 

授權訪問管理網段，措施如下。

 

(1)建立專用的管理網絡。為管理數據流創建一個單獨的私有的管理網絡，將存儲系統相關設備管理功能集中到該存儲管理網絡，從而將管理數據流與生產數據流隔離開。設立專門的存儲管理服務器用于管理存儲系統，限制管理網絡中網絡活動和訪問只發生在一個有限的主機集合，從而防止未授權設備訪問獲取網絡內各存儲設備接口的訪問權。

 

(2)建立基于角色的訪問控制，使指定角色的管理員只能進行指定權限的訪問及管理操作。認證FC交換機的管理員，使用雙因素認證服務器對登錄管理機的人員進行身份認證。

 

3.6 安全區域E(與遠程主機或遠程存儲網絡連接)

 

(1)與遠程主機或存儲網絡連接需要通過第三方網絡或設備，必須對傳輸中的數據進行加密。

 

(2)連接遠程FC網絡的，可采用專門的存儲加密網關，實現統一的加密存儲服務。

 

(3)連接遠程IP網絡的，可采用IP網絡加密方法，通常使用IPSec協議實現傳輸中的數據進行加密。

 

4 結語