企业网络安全整体解决方案的研究与应用
企业网络安全整体解决方案的研究与应用
由此判断矩阵即可求出各个因素的权重。
7)风险管理
安全风险管理的内容包括识别,选择和采用正确的安全和意外事件对抗措施,使风险降低到可以接受的等级。
对抗措施可以有不同的表示方式,例如:
降低攻击或意外事件发生的可能性;
减少系统的脆弱性;
减少要发生的威胁或意外事件所造成的影响;
●检测攻击或偶然事件的发生;
便于对攻击或事件造成的破坏进行恢复。
某局域网的风险分析
根据上述方法,对某局域网的上述5个因素进行了风险分析。如表卜1所示。
表卜1风险分析
Tablel一1riskanalysiS
专家自然因素物理破坏系统不
可用备份数据的丢失
0.7信息泄漏W1=O.3
W2=O。15
W3=O.2
W4=O.2
W5=O.15
F=∑WCO.O.O.O.O.O.1110.1O.30.7O.20.O.0.3O.7O.6O.6O.7O.7210.0.O.26730.611O.70.7O.0.
811351O.O.l49l0.4765P=发生的次数
(平均每年)
风险大小214O.21.0800.420.4912.38
给各个风险大小排序:信息泄漏(2.38),物理破坏(1.08),备份数据的丢失和破坏(0.491),系统的不可用(0.42),自然因素(0.2)。
由此可看出:该局域网中信息泄漏的风险最大,应采取的措施为:
采用用户的识别和认证机制,密码应足够长,并且要经常变换,密码应妥善的保存在机密的地方,同时加强人员的安全意识,控制机密信息的传播范围,对在网络中传输的信息进行加密等。
第二大风险是物理破坏,应加强物理环境的保护,对设备的使用加强控制。另外,备份数据的丢失和破坏也应注意。总之,对于风险的大小应采取相应的措施来减小风险,保证系统的可靠运行。