校园网络安全风险评估

2012-11-14王登科

中国科技信息 2012年10期

关键词：概率网络安全专家

王登科

牡丹江大学，黑龙江牡丹江 157011

校园网络安全风险评估

王登科

牡丹江大学，黑龙江牡丹江 157011

随着校园数字化建设的大力开展，校园网在学校的日常工作管理起到了至关重要的作用。同时，随着网络带宽的扩充、IT应用的丰盛化、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台，校园网就是其中攻击者最愿意展现成果的最大舞台。因此建立一个可行的校园网络安全评估方案，对于提高校园网安全，具有重要意义。

1 网络安全

网络安全就是在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容遭到破坏、更改、泄露，或网络服务中断或拒绝服务或被非授权使用和篡改。

2 校园网络面临的安全威胁风险

校园网络面临的安全威胁形式各种各样，主要可以归纳为以下几种情况：

1)获取对网络信息的非授权访问，即侵犯信息的机密性或隐秘性。

2)冒充别的用户或盗用他人的合法权限，以达到制造欺诈信息、篡改合法信息、使用欺诈性的身份获取非授权访问或进行欺诈性的认证等。

3)抵赖欺诈引起的责任；否认接收到了信息或接收信息的时间；或否认已经给某人发送了某种信息等。

4)伪造其他用户信息，骗取信任，扩大合法访问权限，进行截获、窃取、破译以获得重要机密信息，包括内部、外部泄密等。

5)隐藏某些恶意信息其他通信之中，或将自身作为中继插入到其他用户的通信链路中。

6)通过网络系统的漏洞、后门及隐蔽通道入侵他人系统，窃取机密数据或实施破坏活动。

7)通过加入一个秘密函数，使软件功能异常改变，破坏网络系统的正常运行。

8)破坏网络通信基础设施，使网络用户无法进行通信；或阻止其他用户之间的通信；特别是通过秘密介入，使合法通信被拒绝。

上述安全威胁风险，可以大体分为两种，一种是对校园网络中信息的威胁；另一种是对网络设备的威胁。而保护校园网络安全的关键和终极目标是保护校园网络的信息安全。

3 基于专家评分法的校园网络安全评估

3.1 专家评分法

专家评分法也是一种定性描述定量化方法，它首先根据评价对象的具体要求选定若干个评价项目，再根据评价项目制定出评价标准，聘请若干个代表性专家凭借自己的经验按此评价标准给出各项目的评价分值，然后对其进行综合。

其特点：(1)简便。根据具体评价对象，确定恰当的评价项目，并制定评价等级和标准。(2)直观性强。每个等级标准用打分的形式体现。(3)计算方法简单，且选择余地比较大。(4)将能够进行定量计算的评价项目和无法进行计算的评价项目都加以考虑。

3.2 使用专家评分法，对该校园网络安全进行评价

作为全方位的网络安全防护体系是有层次的，不同层次反映了不同的安全需求。根据网络的应用现状和拓扑结构，可以将安全防护体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全。即将校园网络面临的安全风险分为物理层风险安全风险、系统层安全风险、网络层安全风险和应用层安全风险。

专家评分法是一种最常用、最简单的定性分析方法。使用过程中对于风险事件的概率和风险影响值，需要邀请一定数量的专家进行主观打分，并根据不同专家的资历和经验赋予不同的权重。因为主观打分法受人为因素影响很大，因此在专家的选择上要十分慎重。在打分时根据各种风险的内容及专家对此风险的掌握程度设定了专家权重，而且在对部分项目风险评估时，为了体现专家的特殊性，在打分的专家中选出2位对相应风险掌握程度较高的专家，设定了高于其余专家的权重。

第一步：确定风险因素对校园网络安全的风险影响等级；分为“可忽略、微小、一般、严重、关键”五种等级，并赋予一定的数值，即风险影响值，便于进行计算，见表1风险影响等级说明。