計算機網(wǎng)絡(luò)信息安全風(fēng)險評估探討

李瑩

摘要：隨著計算機網(wǎng)絡(luò)信息系統(tǒng)的快速發(fā)展，其全局性的作用日益突顯。但與此同時，國內(nèi)網(wǎng)絡(luò)信息安全風(fēng)險評估體系尚不完善，信息安全風(fēng)險評估工作仍存在較多制約性因素。因此，計算機網(wǎng)絡(luò)信息安全風(fēng)險評估在安全保障工作中具有舉足輕重的地位和作用。本文從信息安全風(fēng)險評估特點出發(fā)，在此基礎(chǔ)上探討了當(dāng)前計算機網(wǎng)絡(luò)信息安全風(fēng)險評估采用的方法和主要防護措施，以期為網(wǎng)絡(luò)信息安全風(fēng)險評估提供實際應(yīng)用參考。

關(guān)鍵詞：網(wǎng)絡(luò)；信息安全；風(fēng)險評估

一、計算機網(wǎng)絡(luò)信息安全風(fēng)險評估概述

（一）計算機網(wǎng)絡(luò)信息安全隱患

當(dāng)前，網(wǎng)絡(luò)信息資訊爆炸性的增長為公眾信息資源需求提供了可能，同時也為我國傳統(tǒng)行業(yè)的發(fā)展及升級提供了契機。因此，網(wǎng)絡(luò)信息安全的重要性日益增加。眾所周知，網(wǎng)絡(luò)信息安全問題作為計算機網(wǎng)絡(luò)發(fā)展面臨的主要問題，關(guān)系到國家安全、經(jīng)濟發(fā)展及社會的穩(wěn)定。雖然計算機網(wǎng)絡(luò)技術(shù)的發(fā)展及安全防護措施具備了一定深度，但由于信息開放性特點，在全球化環(huán)境下這一特點對信息安全仍存在一定沖擊性。與此同時，信息安全風(fēng)險評估管理工作及人才的匱乏也加劇了這一隱患。

（二）計算機網(wǎng)絡(luò)信息安全風(fēng)險評估方法

目前信息安全風(fēng)險評估方法主要有SP 800-30信息技術(shù)系統(tǒng)風(fēng)險管理指南法、可操作性的關(guān)鍵威脅、資產(chǎn)和脆弱性評價法（OCTAVE）、信息安全評估法（LAM）、層次分析法（AHP）、安全風(fēng)險分析管理和評估法（COBRA）等。

信息技術(shù)系統(tǒng)風(fēng)險管理指南法風(fēng)險評估屬于定性評估方法，主要包括以下幾個步驟：1.確定工作范圍；2.識別潛在危險源并列出其可能攻擊的系統(tǒng)弱點；3.控制分析；4.總體可能性評級確定被攻擊的可能性；5.進行影響分析；6.確定風(fēng)險等級；7.控制建議，降低網(wǎng)絡(luò)信息安全系統(tǒng)的風(fēng)險級別。8.輸出風(fēng)險評估報告。

OCTAVE為非線性、迭代的信息安全風(fēng)險評估方法。評估時主要考慮資產(chǎn)、威脅、弱點及影響。分為3個階段進行：1.從組織的角度進行的評估，建立基于資產(chǎn)的威脅配置文件；2.評估計算基礎(chǔ)結(jié)構(gòu)，找出對關(guān)鍵資產(chǎn)進行未授權(quán)行為的技術(shù)弱點；3.找出組織關(guān)鍵資產(chǎn)的風(fēng)險，并確定要采取的措施，即確定開發(fā)安全策略和計劃。

信息安全評估法是一種以信息為主資產(chǎn)，最大化利用資源的安全評估方法。分為評估前、評估中及評估后3個階段進行評估。評估前主要的目標(biāo)是客戶需求，確定范圍及風(fēng)險評估的編寫計劃；評估中即現(xiàn)場活動，進行評估所需數(shù)據(jù)的收集與驗證；最后是輸出評估報告。

AHP法是將多目標(biāo)決策方法定性、定量相結(jié)合，其本質(zhì)是將評估者的經(jīng)驗判斷進行量化，進而提供定量數(shù)據(jù)，為評估者最后做出的決策提供依據(jù)。評估者對網(wǎng)絡(luò)信息進行元素分層、數(shù)據(jù)定量、決策規(guī)范化處理，這一過程包括3個階段：1.對網(wǎng)絡(luò)信息系統(tǒng)進行分解，構(gòu)建信息系統(tǒng)的結(jié)構(gòu)模型。2.建立經(jīng)驗判斷矩陣，通過單層次計算對網(wǎng)絡(luò)信息進行安全性判斷，引入了九分位比例標(biāo)度，最終確定信息系統(tǒng)中與其相關(guān)元素的相對風(fēng)險權(quán)值。3.最后對每一信息層級中的元素進行排序，做出綜合評估。

COBRA安全風(fēng)險分析管理和評估法不僅可用于信息安全風(fēng)險管理，同時還可對安全風(fēng)險評估是否符合BS7799標(biāo)準(zhǔn)進行判斷。這一方法通常采用調(diào)查表格形式，主要評估脆弱性和威脅的相關(guān)重要性，并輸出改進的建議，最終為信息安全風(fēng)險劃分等級，形成評估報告。具有圖表統(tǒng)計功能豐富、生產(chǎn)報告詳盡等特別。

（三）計算機網(wǎng)絡(luò)信息安全風(fēng)險評估標(biāo)準(zhǔn)

我國網(wǎng)絡(luò)信息安全常用法規(guī)標(biāo)準(zhǔn)有：《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》。對于計算機信息系統(tǒng)，分為5個保護等級，即用戶自主、安全標(biāo)記、訪問驗證、系統(tǒng)審計及結(jié)構(gòu)化保護。目前國際上常用的標(biāo)準(zhǔn)主要有兩個：CC標(biāo)準(zhǔn)及BS7799標(biāo)準(zhǔn)。CC標(biāo)準(zhǔn)應(yīng)用廣、功能全面，基于全過程進行評估，其屬于信息技術(shù)安全評估公共標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)為英國標(biāo)準(zhǔn)協(xié)會制定，后改名為ISO/IEC17799-2000，是目前較為成熟的信息安全評估標(biāo)準(zhǔn)。分為過程改善、能力評估及保證3項，主要針對信息安全建設(shè)過程的評估。

評估指標(biāo)為：1.被檢查單位網(wǎng)絡(luò)安全系統(tǒng)策略應(yīng)符合網(wǎng)絡(luò)總體安全策略要求；2.網(wǎng)絡(luò)安全系統(tǒng)升級頻率應(yīng)與計算機網(wǎng)絡(luò)安全防護部門公布的升級頻率保持一致；3.網(wǎng)絡(luò)物理安全應(yīng)符合國家有關(guān)要求；4.網(wǎng)絡(luò)安全系統(tǒng)正常運行率應(yīng)達到99%以上，安全防護日志填寫無誤率應(yīng)達到99%，主機與網(wǎng)絡(luò)設(shè)備安全漏洞修補率應(yīng)達到99%以上，主機病毒防護率應(yīng)達到99%以上；5.網(wǎng)絡(luò)中非法外聯(lián)次數(shù)、非法信息傳播次數(shù)、非法攻擊發(fā)生次數(shù)應(yīng)為0；6.安全事件處理時限內(nèi)合格率應(yīng)當(dāng)達到100%。

二、計算機網(wǎng)絡(luò)信息安全防護措施

（一）政府相關(guān)職能部門應(yīng)加強網(wǎng)絡(luò)信息安全防護技術(shù)建設(shè)

政府相關(guān)職能部門應(yīng)當(dāng)充分發(fā)揮本部門職能的引導(dǎo)作用，高度重視計算機網(wǎng)絡(luò)信息安全，盡可能的不斷完善網(wǎng)絡(luò)信息安全技術(shù)及管理人才引進等領(lǐng)域的法律法規(guī)建設(shè)，計算機網(wǎng)絡(luò)信息安全風(fēng)險評估的重點在于事先預(yù)防，而安全防護技術(shù)則應(yīng)成為風(fēng)險評估的重要組成部分，加強諸如防火墻技術(shù)、入侵信息監(jiān)測技術(shù)、公眾隱私信息保護技術(shù)等，有利于計算機網(wǎng)絡(luò)信息安全風(fēng)險評估的后續(xù)推進。在我國互聯(lián)網(wǎng)用戶數(shù)量不斷增加的大環(huán)境下，傳統(tǒng)的網(wǎng)絡(luò)信息安全防護措施應(yīng)進一步加大建設(shè)力度，逐步構(gòu)建及完善信息安全防護體系逐步增強傳統(tǒng)信息安全防護措施的建設(shè)力度，建立一個經(jīng)濟、高效的信息安全評估體系，提高信息化時代我國的信息安全防護技術(shù)，進而降低計算機網(wǎng)絡(luò)信息安全的風(fēng)險。

（二）完善計算機網(wǎng)絡(luò)信息加密技術(shù)體系

為更好地保證計算機網(wǎng)絡(luò)信息安全，信息加密技術(shù)在信息安全層面發(fā)揮著十分重要的作用，由于網(wǎng)絡(luò)用戶的增加，各個用戶之間對信息安全存在不同的需求，且用戶自身需求不斷豐富。因此，需要對傳統(tǒng)的信息加密技術(shù)進行改造升級，為更好的預(yù)防計算機網(wǎng)絡(luò)違法犯罪現(xiàn)象，實現(xiàn)計算機網(wǎng)絡(luò)的安全性能。

三、結(jié)語

計算機網(wǎng)絡(luò)信息安全風(fēng)險評估越來越受到人們所重視，其作為信息安全預(yù)防及保障體系的檢驗手段，在保證信息安全過程愈發(fā)重要。因此，只有通過對信息安全進行的合理評估，有針對性地實施相應(yīng)的保護措施，才能夠保證網(wǎng)絡(luò)信息的相對安全。

參考文獻：

[1]陳建樹.計算機網(wǎng)絡(luò)信息安全風(fēng)險評估標(biāo)準(zhǔn)與方法研究[J].技術(shù)分析，2017

[2]劉夢飛.大數(shù)據(jù)背景下計算機網(wǎng)絡(luò)信息安全風(fēng)險及防護措施[J].現(xiàn)代工業(yè)經(jīng)濟和信息化，2017

[3]張偉.計算機網(wǎng)絡(luò)信息安全風(fēng)險評估準(zhǔn)則及方法研究[D].天津大學(xué)，2009