5.管理的安全分析

　　管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。

　　同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

　　建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。

　　因此，网络的安全建设是网络安全建设过程中重要的一环。 管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。

　　实际安全风险分析

　　现今的网络安全存在的威胁主要表现在以下几个方面。

　　1.非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。

　　2.冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。

　　3.破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。

　　4.干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段。

　　5.病毒与恶意攻击。指通过网络传播病毒或恶意Java、XActive等。

　　6.线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。

　　安全风险之安全缺口

　　安全策略经常会与用户方便性相矛盾,从而产生相反的压力,使安全措施与安全策略相脱节。这种情况称为安全缺口。为什么会存在安全缺口呢?有下面四个因素:

　　1、网络设备种类繁多——当前使用的有各种各样的网络设备,从Windows NT和UNIX 服务器到防火墙、路由器和Web服务器,每种设备均有其独特的安全状况和保密功能;

　　2、访问方式的多样化——一般来说,您的网络环境存在多种进出方式,许多过程拔号登录点以及新的Internet访问方式可能会使安全策略的设立复杂化;

　　网络的不断变化——网络不是静态的,一直都处于发展变化中。启用新的硬件设备和操作系统,实施新的应用程序和Web服务器时,安全配置也有不尽相同;

　　用户保安专业知识的缺乏——许多组织所拥有的对网络进行有效保护的保安专业知识十分有限,这实际上是造成安全缺口最为主要的一点。

　　网络安全评估

　　为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估:

　　1、 从企业外部进行评估:考察企业计算机基础设施中的防火墙;

　　2、从企业内部进行评估:考察内部网络系统中的计算机;

　　3、从应用系统进行评估:考察每台硬件设备上运行的操作系统。

　　安全风险对于一个企业来说是必须分析的环节，它为企业的网络安全提供了理论信息。