王登科

牡丹江大學(xué)，黑龍江 牡丹江 157011

校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

王登科

牡丹江大學(xué)，黑龍江 牡丹江 157011

隨著校園數(shù)字化建設(shè)的大力開(kāi)展，校園網(wǎng)在學(xué)校的日常工作管理起到了至關(guān)重要的作用。同時(shí)，隨著網(wǎng)絡(luò)帶寬的擴(kuò)充、IT應(yīng)用的豐盛化、互聯(lián)網(wǎng)用戶的膨脹式發(fā)展，使得網(wǎng)絡(luò)和信息平臺(tái)早已成為攻擊愛(ài)好者和安全防護(hù)者最激烈斗爭(zhēng)的舞臺(tái)，校園網(wǎng)就是其中攻擊者最愿意展現(xiàn)成果的最大舞臺(tái)。因此建立一個(gè)可行的校園網(wǎng)絡(luò)安全評(píng)估方案，對(duì)于提高校園網(wǎng)安全，具有重要意義。

1 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全就是在分布式網(wǎng)絡(luò)環(huán)境中，對(duì)信息載體（處理載體、存儲(chǔ)載體、傳輸載體）和信息的處理、傳輸、存儲(chǔ)、訪問(wèn)提供安全保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容遭到破壞、更改、泄露，或網(wǎng)絡(luò)服務(wù)中斷或拒絕服務(wù)或被非授權(quán)使用和篡改。

2 校園網(wǎng)絡(luò)面臨的安全威脅風(fēng)險(xiǎn)

校園網(wǎng)絡(luò)面臨的安全威脅形式各種各樣，主要可以歸納為以下幾種情況：

1)獲取對(duì)網(wǎng)絡(luò)信息的非授權(quán)訪問(wèn)，即侵犯信息的機(jī)密性或隱秘性。

2)冒充別的用戶或盜用他人的合法權(quán)限，以達(dá)到制造欺詐信息、篡改合法信息、使用欺詐性的身份獲取非授權(quán)訪問(wèn)或進(jìn)行欺詐性的認(rèn)證等。

3)抵賴欺詐引起的責(zé)任；否認(rèn)接收到了信息或接收信息的時(shí)間；或否認(rèn)已經(jīng)給某人發(fā)送了某種信息等。

4)偽造其他用戶信息，騙取信任，擴(kuò)大合法訪問(wèn)權(quán)限，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息，包括內(nèi)部、外部泄密等。

5)隱藏某些惡意信息其他通信之中，或?qū)⒆陨碜鳛橹欣^插入到其他用戶的通信鏈路中。

6)通過(guò)網(wǎng)絡(luò)系統(tǒng)的漏洞、后門(mén)及隱蔽通道入侵他人系統(tǒng)，竊取機(jī)密數(shù)據(jù)或?qū)嵤┢茐幕顒?dòng)。

7)通過(guò)加入一個(gè)秘密函數(shù)，使軟件功能異常改變，破壞網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

8)破壞網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施，使網(wǎng)絡(luò)用戶無(wú)法進(jìn)行通信；或阻止其他用戶之間的通信；特別是通過(guò)秘密介入，使合法通信被拒絕。

上述安全威脅風(fēng)險(xiǎn)，可以大體分為兩種，一種是對(duì)校園網(wǎng)絡(luò)中信息的威脅；另一種是對(duì)網(wǎng)絡(luò)設(shè)備的威脅。而保護(hù)校園網(wǎng)絡(luò)安全的關(guān)鍵和終極目標(biāo)是保護(hù)校園網(wǎng)絡(luò)的信息安全。

3 基于專家評(píng)分法的校園網(wǎng)絡(luò)安全評(píng)估

3.1 專家評(píng)分法

專家評(píng)分法也是一種定性描述定量化方法，它首先根據(jù)評(píng)價(jià)對(duì)象的具體要求選定若干個(gè)評(píng)價(jià)項(xiàng)目，再根據(jù)評(píng)價(jià)項(xiàng)目制定出評(píng)價(jià)標(biāo)準(zhǔn)，聘請(qǐng)若干個(gè)代表性專家憑借自己的經(jīng)驗(yàn)按此評(píng)價(jià)標(biāo)準(zhǔn)給出各項(xiàng)目的評(píng)價(jià)分值，然后對(duì)其進(jìn)行綜合。

其特點(diǎn)：(1)簡(jiǎn)便。根據(jù)具體評(píng)價(jià)對(duì)象，確定恰當(dāng)?shù)脑u(píng)價(jià)項(xiàng)目，并制定評(píng)價(jià)等級(jí)和標(biāo)準(zhǔn)。(2)直觀性強(qiáng)。每個(gè)等級(jí)標(biāo)準(zhǔn)用打分的形式體現(xiàn)。(3)計(jì)算方法簡(jiǎn)單，且選擇余地比較大。(4)將能夠進(jìn)行定量計(jì)算的評(píng)價(jià)項(xiàng)目和無(wú)法進(jìn)行計(jì)算的評(píng)價(jià)項(xiàng)目都加以考慮。

3.2 使用專家評(píng)分法，對(duì)該校園網(wǎng)絡(luò)安全進(jìn)行評(píng)價(jià)

作為全方位的網(wǎng)絡(luò)安全防護(hù)體系是有層次的，不同層次反映了不同的安全需求。根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和拓?fù)浣Y(jié)構(gòu)，可以將安全防護(hù)體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全。即將校園網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)分為物理層風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)、系統(tǒng)層安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)和應(yīng)用層安全風(fēng)險(xiǎn)。

專家評(píng)分法是一種最常用、最簡(jiǎn)單的定性分析方法。使用過(guò)程中對(duì)于風(fēng)險(xiǎn)事件的概率和風(fēng)險(xiǎn)影響值，需要邀請(qǐng)一定數(shù)量的專家進(jìn)行主觀打分，并根據(jù)不同專家的資歷和經(jīng)驗(yàn)賦予不同的權(quán)重。因?yàn)橹饔^打分法受人為因素影響很大，因此在專家的選擇上要十分慎重。在打分時(shí)根據(jù)各種風(fēng)險(xiǎn)的內(nèi)容及專家對(duì)此風(fēng)險(xiǎn)的掌握程度設(shè)定了專家權(quán)重，而且在對(duì)部分項(xiàng)目風(fēng)險(xiǎn)評(píng)估時(shí)，為了體現(xiàn)專家的特殊性，在打分的專家中選出2位對(duì)相應(yīng)風(fēng)險(xiǎn)掌握程度較高的專家，設(shè)定了高于其余專家的權(quán)重。

第一步：確定風(fēng)險(xiǎn)因素對(duì)校園網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)影響等級(jí)；分為“可忽略、微小、一般、嚴(yán)重、關(guān)鍵”五種等級(jí)，并賦予一定的數(shù)值，即風(fēng)險(xiǎn)影響值，便于進(jìn)行計(jì)算，見(jiàn)表1風(fēng)險(xiǎn)影響等級(jí)說(shuō)明。

第二步，確定風(fēng)險(xiǎn)發(fā)生的可能性大小即概率等級(jí)，分為“很大、較大、中等、較小、很小”五個(gè)等級(jí)，并賦予一定范圍的分值，即風(fēng)險(xiǎn)概率，便于進(jìn)行計(jì)算，見(jiàn)表2風(fēng)險(xiǎn)發(fā)生概率等級(jí)說(shuō)明。

第三步：根據(jù)風(fēng)險(xiǎn)影響等級(jí)和發(fā)生概率等級(jí)，確定風(fēng)險(xiǎn)等級(jí)，分為“高、中、低”三個(gè)級(jí)別，見(jiàn)表3風(fēng)險(xiǎn)等級(jí)對(duì)照表。

表2 風(fēng)險(xiǎn)發(fā)生概率等級(jí)說(shuō)明

第四步，確定每個(gè)風(fēng)險(xiǎn)的風(fēng)險(xiǎn)值的計(jì)算方法，目的是能夠根據(jù)風(fēng)險(xiǎn)值的大小對(duì)各個(gè)風(fēng)險(xiǎn)進(jìn)行排序，風(fēng)險(xiǎn)值越高，表示風(fēng)險(xiǎn)越高。計(jì)算公式如下：

風(fēng)險(xiǎn)值=風(fēng)險(xiǎn)影響值×風(fēng)險(xiǎn)概率（公式1）

第五步，對(duì)各類風(fēng)險(xiǎn)的風(fēng)險(xiǎn)影響值及風(fēng)險(xiǎn)發(fā)生概率進(jìn)行打分，并與風(fēng)險(xiǎn)等級(jí)對(duì)照表對(duì)照出相應(yīng)的風(fēng)險(xiǎn)等級(jí)，及利用公式1計(jì)算出相應(yīng)的風(fēng)險(xiǎn)值。

1）、物理層安全評(píng)估：

2）、系統(tǒng)層安全風(fēng)險(xiǎn)評(píng)估：

3）、網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)評(píng)估：

4）、應(yīng)用層安全風(fēng)險(xiǎn)評(píng)估：

5）、綜合評(píng)估

4 總體風(fēng)險(xiǎn)較高該結(jié)果表明，該校園網(wǎng)絡(luò)安全總體風(fēng)險(xiǎn)水平較高，校園網(wǎng)絡(luò)安全水平較低。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行準(zhǔn)確、定量的評(píng)估較為困難，本文采用專家評(píng)價(jià)法，結(jié)合實(shí)際給出了評(píng)價(jià)步驟和模型，進(jìn)行了定性評(píng)估，從實(shí)踐角度，風(fēng)險(xiǎn)影響值和風(fēng)險(xiǎn)概率的準(zhǔn)確計(jì)量是需要解決的問(wèn)題。

[1] 劉光富,陳曉莉.基于德?tīng)柗品ㄅc層次分析法的項(xiàng)目風(fēng)險(xiǎn)評(píng)估[J].項(xiàng)目管理技術(shù),2008(1).

[2] 王登科.校園網(wǎng)的安全性設(shè)計(jì)與實(shí)現(xiàn)[J].牡丹江師范學(xué)院學(xué)報(bào):自然科學(xué)版,2008(1).

[3] 戚安邦等.項(xiàng)目管理概論[M].北京:電子工業(yè)出版社,2009.

10.3969/j.issn.1001-8972.2012.10.064