一、前言

提到网络安全，一般人们将它看作是信息安全的一个分支，信息安全是更加广义的一个概念:防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施.

说白了，信息安全就是保护敏感重要的信息不被非法访问获取，以及用来进—步做非法的事情。网络安全具体表现在多台计算机实现自主互联的环境下的信息安全问题，主要表现为:自主计算机安全、互联的安全(实现互联的设备、通信链路、网络软件、网络协议)以及各种网络应用和服务的安全。

这里提到了一些典型的网络安全问题，可以来梳理一下:

1.IP安全:主要的攻击方式有被动攻击的网络窃听，主动攻击的IP欺骗(报文伪造、篡改)和路由攻击(中间人攻击);

2.DNS安全:这个大家应该比较熟悉，修改 DNS的映射表，误导用户的访问流量;

3.DoS攻击:单一攻击源发起的拒绝服务攻击，主要是占用网络资源，强迫目标崩溃，现在更为流行的其实是 DDoS，多个攻击源发起的分布式拒绝攻击;

网络安全的三个基本属性:机密性、完整性 、可用性、可审性。

网络安全的措施一般按照网络的TCP/IP或者OSI的模型归类到各个层次上进行，例如数据链路层负责建立点到点通信，网络层负责路由寻径，传输层负责建立端到端的通信信道。

最早的安全问题发生在计算机平台，后来逐渐进入网络层次，计算机安全中主要由主体控制客体的访问权限，网络中则包含更加复杂的安全问题。现在网络应用发展如火如荼，电子政务、电子商务、电子理财迅速发展，这些都为应对安全威胁提出了挑战。

密码学在网络安全领域中的应用主要是机密性和身份认证，对称密码体制如DES，非对称密码体制如RSA，一般的做法是RSA保护DES密钥，DES负责信息的实际传输，原因在于DES实现快捷，RSA 相比占用更多的计算资源。

二、风险分析

风险分析主要任务是对需要保护的资产及其受到的潜在威胁进行鉴别。首要的一步是对资产进行确定，包括物理资源(工作站、服务器及各种设备等)、知识资源(数据库、财务信息等)以及时间和信誉资源。第二步需要分析潜在的攻击源，如内部的员工，外部的敌对者等;第三步要针对以上分析指定折中的安全策略，因为安全措施与系统性能往往成反比。风险被定义为漏洞威胁，漏洞指攻击者能够实现攻击的途径。威胁则指实现攻击的具体行为，对于风险来说，二者缺—不可。

安全策略可以分为许多类型，比如:

信息策略:如识别敏感信息、信息分类、敏感信息标记/存储/传输/销毁; 

系统和网络安全策略:用户身份识别与身份鉴别、访问控制、审计、网络连接、加密等; 

计算机用户策略:计算机所有权、信息所有权、计算机许可使用权等; 

Internet使用策略:邮件策略(内部邮件与外部邮件的区分及过滤); 用户管理程序:新员工程序、工作调动的员工程序、离职员工程序; 

系统管理程序:软件更新、漏洞扫描、策略检查、登录检查、常规监控等;