劉　謙

[摘要]網(wǎng)絡(luò)安全給個人，企業(yè)和政府帶來的損失越老越大。事實證明沒有絕對的網(wǎng)絡(luò)安全，但是采用風(fēng)險評估，預(yù)防處理可以有效降低對網(wǎng)絡(luò)威脅帶來的損失。首先分析網(wǎng)絡(luò)安全和風(fēng)險評估的含義，以及網(wǎng)絡(luò)安全風(fēng)險評估的對象。最后運用網(wǎng)絡(luò)安全評估模型，對風(fēng)險評估過程進行詳細的分析。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 風(fēng)險評估 風(fēng)險指數(shù) 安全漏洞

中圖分類號：TP3 文獻標(biāo)識碼：A 文章編號：1671－7597（2009）0720065－01

一、網(wǎng)絡(luò)安全與風(fēng)險評估

網(wǎng)絡(luò)安全是指計算機網(wǎng)絡(luò)系統(tǒng)中的硬件、數(shù)據(jù)、程序等不會因為無意或惡意的原因而遭到破壞、篡改、泄露，防止非授權(quán)的使用或訪問，系統(tǒng)能夠保持服務(wù)的連續(xù)性，以及能夠可靠的運行。

風(fēng)險評估是解決網(wǎng)絡(luò)安全的首要問題，因為沒有進行透徹的風(fēng)險分析和評估而實施的安全策略就好像先建房屋后畫圖紙一樣，會導(dǎo)致資金和人力資源的巨大消耗和浪費。可以說網(wǎng)絡(luò)安全是以風(fēng)險評估為基礎(chǔ)的，只有對網(wǎng)絡(luò)安全解決方案進行充分有效的風(fēng)險分析和評估，了解系統(tǒng)目前與未來的風(fēng)險所在，評估這些風(fēng)險可能帶來的安全威脅與影響程度，才能將系統(tǒng)的風(fēng)險降到一個可以接受的程度，這是風(fēng)險評估所要完成的任務(wù)。

二、網(wǎng)絡(luò)安全風(fēng)險評估的對象

風(fēng)險評估主要從以下四個方面進行：威脅行為、脆弱性、資產(chǎn)、影響。一種影響的因素是前面三者的結(jié)果，因此在實際評估中一般從三個方面進行：1．資產(chǎn)評估。這是風(fēng)險評估過程中的重要因素。資產(chǎn)評估一方面是資產(chǎn)的價值評估，針對有形資產(chǎn)，另一方面是資產(chǎn)的重要性評估，主要是從資產(chǎn)的安全屬性分析資產(chǎn)對整個系統(tǒng)運作的影響。評估中需要篩選出重要資產(chǎn)，即可能會威脅到企業(yè)運作，政府運行的資產(chǎn)。2．威脅評估?？梢越柚鶧IS取樣、漏洞模擬攻擊、人工評估、策略及文檔分析和安全審計等方式，分清哪些威脅會帶來損失，這樣一方面可以了解組織信息安全的環(huán)境，另一方面同時對安全威脅進行半定量賦值，分別表示強度不同的安全威脅。3．脆弱性評估。安全漏洞是信息資產(chǎn)自身的一種缺陷，漏洞評估包括漏洞信息收集，安全事件信息收集，漏洞掃描，漏洞結(jié)果評估等。[2]通過對資產(chǎn)所提供的服務(wù)進行漏洞、弱口令的掃描得到結(jié)果，根據(jù)不同服務(wù)在資產(chǎn)中的權(quán)重，結(jié)合該服務(wù)的風(fēng)險級別，得到最后的資產(chǎn)漏洞風(fēng)險值。

三、網(wǎng)絡(luò)安全風(fēng)險評模型研究

針對某一個組織的網(wǎng)絡(luò)安全進行評估，必須遵照一定的流程和方法。本文設(shè)立一種模型，將網(wǎng)絡(luò)系統(tǒng)掃描的結(jié)果當(dāng)作輸入，網(wǎng)絡(luò)風(fēng)險評估的結(jié)果作為輸出，網(wǎng)絡(luò)安全評價指標(biāo)庫為評價參考對象，漏洞信息庫作為掃描結(jié)果的參照對象，其結(jié)構(gòu)如圖1所示：

網(wǎng)絡(luò)安全綜合評價模型包含：三個基本模塊，網(wǎng)絡(luò)漏洞掃描模塊、評價指標(biāo)權(quán)重確定模塊、網(wǎng)絡(luò)安全評估結(jié)果輸出模塊；四個個知識庫，漏洞信息庫、網(wǎng)絡(luò)安全和結(jié)構(gòu)知識庫、評估指標(biāo)信息庫，評價結(jié)果庫；一個中間結(jié)果，即漏洞掃描結(jié)果；多個后續(xù)結(jié)果：即根據(jù)輸出的安全評估結(jié)果形成總體評估，分析報告，以及網(wǎng)絡(luò)安全改進措施等。這是一個循環(huán)的結(jié)束。隨著網(wǎng)絡(luò)技術(shù)的日新月異，帶給網(wǎng)絡(luò)安全的不穩(wěn)定因素也不斷出現(xiàn)，因此必須通過再次評估，比更新漏洞信息庫，且形成下一個評估循環(huán)。

三個基本模塊的內(nèi)容如下：1．網(wǎng)絡(luò)漏洞掃描模塊對網(wǎng)絡(luò)系統(tǒng)進行掃描，根據(jù)漏洞信息庫和網(wǎng)絡(luò)安全和結(jié)構(gòu)知識庫檢查系統(tǒng)存在的漏洞信息，形成掃描結(jié)果，為評價指標(biāo)權(quán)重確定模塊中專家確定的賦值提供參考信息。2．評價指標(biāo)權(quán)重確定。威脅網(wǎng)絡(luò)安全的因素非常多，因此需要之前確定一個因素影響的大小?？梢圆捎敏~刺分析法，形成初始的評價指標(biāo)，并經(jīng)過專家論證，形成初始指標(biāo)網(wǎng)絡(luò)安全體系。魚刺分析法見圖2所示：

魚刺圖也稱為樹枝圖或因果分析圖，在分析造成某一結(jié)果的原因是非常有用。該圖以如圖2的形式，首先查找結(jié)果的主要原因，然后尋找次要原因，以此類推，采取層層深入的方法，查找出所有的原因，使錯綜復(fù)雜的原因條理化，清晰化，便于進一步的分析。

網(wǎng)絡(luò)安全評估結(jié)果輸出模塊，是將評價的最終結(jié)果輸出，供相關(guān)人員進行分析，并提出解決措施，同時評估結(jié)果需要保存到評價結(jié)果庫中。

四、結(jié)束語

通過網(wǎng)絡(luò)安全的威脅因素及其權(quán)重，借助模型可以對網(wǎng)絡(luò)安全進行評估。沒有絕對安全的信息系統(tǒng)和網(wǎng)絡(luò)，只有在對網(wǎng)絡(luò)系統(tǒng)面臨的安全風(fēng)險進行了有效評估的基礎(chǔ)上，才能充分掌握網(wǎng)絡(luò)系統(tǒng)安全狀況，及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞和威脅，并有針對性地采取控制措施，提高網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)安全評估模型的建立，可以借助魚刺分析法建立威脅因素的權(quán)重指標(biāo)，再運用網(wǎng)絡(luò)漏洞掃描，對網(wǎng)絡(luò)安全進行評估。

參考文獻：

[1]美國波萊蒙研究所，http：//www.cbismb.com/articlehtml/20100876.

htm.

[2]張維明等，信息安全風(fēng)險評估方法研究，中國計算機安全學(xué)會2004年會論文集，北京：北京科技出版社，2004：119-124.

[3]許永福等，網(wǎng)絡(luò)安全綜合評價方法的研究及應(yīng)用[J]．計算機工程與設(shè)計，2006．27（8）：1398-1400.

作者簡介：

劉謙（1975-），男，湖南益陽人，工程師，湖南商務(wù)職業(yè)技術(shù)學(xué)院，研究方向：網(wǎng)絡(luò)安全、信息安全。