李瑩

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的快速發(fā)展，其全局性的作用日益突顯。但與此同時(shí)，國(guó)內(nèi)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估體系尚不完善，信息安全風(fēng)險(xiǎn)評(píng)估工作仍存在較多制約性因素。因此，計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估在安全保障工作中具有舉足輕重的地位和作用。本文從信息安全風(fēng)險(xiǎn)評(píng)估特點(diǎn)出發(fā)，在此基礎(chǔ)上探討了當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估采用的方法和主要防護(hù)措施，以期為網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估提供實(shí)際應(yīng)用參考。

關(guān)鍵詞：網(wǎng)絡(luò)；信息安全；風(fēng)險(xiǎn)評(píng)估

一、計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估概述

（一）計(jì)算機(jī)網(wǎng)絡(luò)信息安全隱患

當(dāng)前，網(wǎng)絡(luò)信息資訊爆炸性的增長(zhǎng)為公眾信息資源需求提供了可能，同時(shí)也為我國(guó)傳統(tǒng)行業(yè)的發(fā)展及升級(jí)提供了契機(jī)。因此，網(wǎng)絡(luò)信息安全的重要性日益增加。眾所周知，網(wǎng)絡(luò)信息安全問題作為計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展面臨的主要問題，關(guān)系到國(guó)家安全、經(jīng)濟(jì)發(fā)展及社會(huì)的穩(wěn)定。雖然計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展及安全防護(hù)措施具備了一定深度，但由于信息開放性特點(diǎn)，在全球化環(huán)境下這一特點(diǎn)對(duì)信息安全仍存在一定沖擊性。與此同時(shí)，信息安全風(fēng)險(xiǎn)評(píng)估管理工作及人才的匱乏也加劇了這一隱患。

（二）計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法

目前信息安全風(fēng)險(xiǎn)評(píng)估方法主要有SP 800-30信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南法、可操作性的關(guān)鍵威脅、資產(chǎn)和脆弱性評(píng)價(jià)法（OCTAVE）、信息安全評(píng)估法（LAM）、層次分析法（AHP）、安全風(fēng)險(xiǎn)分析管理和評(píng)估法（COBRA）等。

信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南法風(fēng)險(xiǎn)評(píng)估屬于定性評(píng)估方法，主要包括以下幾個(gè)步驟：1.確定工作范圍；2.識(shí)別潛在危險(xiǎn)源并列出其可能攻擊的系統(tǒng)弱點(diǎn)；3.控制分析；4.總體可能性評(píng)級(jí)確定被攻擊的可能性；5.進(jìn)行影響分析；6.確定風(fēng)險(xiǎn)等級(jí)；7.控制建議，降低網(wǎng)絡(luò)信息安全系統(tǒng)的風(fēng)險(xiǎn)級(jí)別。8.輸出風(fēng)險(xiǎn)評(píng)估報(bào)告。

OCTAVE為非線性、迭代的信息安全風(fēng)險(xiǎn)評(píng)估方法。評(píng)估時(shí)主要考慮資產(chǎn)、威脅、弱點(diǎn)及影響。分為3個(gè)階段進(jìn)行：1.從組織的角度進(jìn)行的評(píng)估，建立基于資產(chǎn)的威脅配置文件；2.評(píng)估計(jì)算基礎(chǔ)結(jié)構(gòu)，找出對(duì)關(guān)鍵資產(chǎn)進(jìn)行未授權(quán)行為的技術(shù)弱點(diǎn)；3.找出組織關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)，并確定要采取的措施，即確定開發(fā)安全策略和計(jì)劃。

信息安全評(píng)估法是一種以信息為主資產(chǎn)，最大化利用資源的安全評(píng)估方法。分為評(píng)估前、評(píng)估中及評(píng)估后3個(gè)階段進(jìn)行評(píng)估。評(píng)估前主要的目標(biāo)是客戶需求，確定范圍及風(fēng)險(xiǎn)評(píng)估的編寫計(jì)劃；評(píng)估中即現(xiàn)場(chǎng)活動(dòng)，進(jìn)行評(píng)估所需數(shù)據(jù)的收集與驗(yàn)證；最后是輸出評(píng)估報(bào)告。

AHP法是將多目標(biāo)決策方法定性、定量相結(jié)合，其本質(zhì)是將評(píng)估者的經(jīng)驗(yàn)判斷進(jìn)行量化，進(jìn)而提供定量數(shù)據(jù)，為評(píng)估者最后做出的決策提供依據(jù)。評(píng)估者對(duì)網(wǎng)絡(luò)信息進(jìn)行元素分層、數(shù)據(jù)定量、決策規(guī)范化處理，這一過程包括3個(gè)階段：1.對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行分解，構(gòu)建信息系統(tǒng)的結(jié)構(gòu)模型。2.建立經(jīng)驗(yàn)判斷矩陣，通過單層次計(jì)算對(duì)網(wǎng)絡(luò)信息進(jìn)行安全性判斷，引入了九分位比例標(biāo)度，最終確定信息系統(tǒng)中與其相關(guān)元素的相對(duì)風(fēng)險(xiǎn)權(quán)值。3.最后對(duì)每一信息層級(jí)中的元素進(jìn)行排序，做出綜合評(píng)估。

COBRA安全風(fēng)險(xiǎn)分析管理和評(píng)估法不僅可用于信息安全風(fēng)險(xiǎn)管理，同時(shí)還可對(duì)安全風(fēng)險(xiǎn)評(píng)估是否符合BS7799標(biāo)準(zhǔn)進(jìn)行判斷。這一方法通常采用調(diào)查表格形式，主要評(píng)估脆弱性和威脅的相關(guān)重要性，并輸出改進(jìn)的建議，最終為信息安全風(fēng)險(xiǎn)劃分等級(jí)，形成評(píng)估報(bào)告。具有圖表統(tǒng)計(jì)功能豐富、生產(chǎn)報(bào)告詳盡等特別。

（三）計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)

我國(guó)網(wǎng)絡(luò)信息安全常用法規(guī)標(biāo)準(zhǔn)有：《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》。對(duì)于計(jì)算機(jī)信息系統(tǒng)，分為5個(gè)保護(hù)等級(jí)，即用戶自主、安全標(biāo)記、訪問驗(yàn)證、系統(tǒng)審計(jì)及結(jié)構(gòu)化保護(hù)。目前國(guó)際上常用的標(biāo)準(zhǔn)主要有兩個(gè)：CC標(biāo)準(zhǔn)及BS7799標(biāo)準(zhǔn)。CC標(biāo)準(zhǔn)應(yīng)用廣、功能全面，基于全過程進(jìn)行評(píng)估，其屬于信息技術(shù)安全評(píng)估公共標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)為英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制定，后改名為ISO/IEC17799-2000，是目前較為成熟的信息安全評(píng)估標(biāo)準(zhǔn)。分為過程改善、能力評(píng)估及保證3項(xiàng)，主要針對(duì)信息安全建設(shè)過程的評(píng)估。

評(píng)估指標(biāo)為：1.被檢查單位網(wǎng)絡(luò)安全系統(tǒng)策略應(yīng)符合網(wǎng)絡(luò)總體安全策略要求；2.網(wǎng)絡(luò)安全系統(tǒng)升級(jí)頻率應(yīng)與計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)部門公布的升級(jí)頻率保持一致；3.網(wǎng)絡(luò)物理安全應(yīng)符合國(guó)家有關(guān)要求；4.網(wǎng)絡(luò)安全系統(tǒng)正常運(yùn)行率應(yīng)達(dá)到99%以上，安全防護(hù)日志填寫無誤率應(yīng)達(dá)到99%，主機(jī)與網(wǎng)絡(luò)設(shè)備安全漏洞修補(bǔ)率應(yīng)達(dá)到99%以上，主機(jī)病毒防護(hù)率應(yīng)達(dá)到99%以上；5.網(wǎng)絡(luò)中非法外聯(lián)次數(shù)、非法信息傳播次數(shù)、非法攻擊發(fā)生次數(shù)應(yīng)為0；6.安全事件處理時(shí)限內(nèi)合格率應(yīng)當(dāng)達(dá)到100%。

二、計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)措施

（一）政府相關(guān)職能部門應(yīng)加強(qiáng)網(wǎng)絡(luò)信息安全防護(hù)技術(shù)建設(shè)

政府相關(guān)職能部門應(yīng)當(dāng)充分發(fā)揮本部門職能的引導(dǎo)作用，高度重視計(jì)算機(jī)網(wǎng)絡(luò)信息安全，盡可能的不斷完善網(wǎng)絡(luò)信息安全技術(shù)及管理人才引進(jìn)等領(lǐng)域的法律法規(guī)建設(shè)，計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估的重點(diǎn)在于事先預(yù)防，而安全防護(hù)技術(shù)則應(yīng)成為風(fēng)險(xiǎn)評(píng)估的重要組成部分，加強(qiáng)諸如防火墻技術(shù)、入侵信息監(jiān)測(cè)技術(shù)、公眾隱私信息保護(hù)技術(shù)等，有利于計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估的后續(xù)推進(jìn)。在我國(guó)互聯(lián)網(wǎng)用戶數(shù)量不斷增加的大環(huán)境下，傳統(tǒng)的網(wǎng)絡(luò)信息安全防護(hù)措施應(yīng)進(jìn)一步加大建設(shè)力度，逐步構(gòu)建及完善信息安全防護(hù)體系逐步增強(qiáng)傳統(tǒng)信息安全防護(hù)措施的建設(shè)力度，建立一個(gè)經(jīng)濟(jì)、高效的信息安全評(píng)估體系，提高信息化時(shí)代我國(guó)的信息安全防護(hù)技術(shù)，進(jìn)而降低計(jì)算機(jī)網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)。

（二）完善計(jì)算機(jī)網(wǎng)絡(luò)信息加密技術(shù)體系

為更好地保證計(jì)算機(jī)網(wǎng)絡(luò)信息安全，信息加密技術(shù)在信息安全層面發(fā)揮著十分重要的作用，由于網(wǎng)絡(luò)用戶的增加，各個(gè)用戶之間對(duì)信息安全存在不同的需求，且用戶自身需求不斷豐富。因此，需要對(duì)傳統(tǒng)的信息加密技術(shù)進(jìn)行改造升級(jí)，為更好的預(yù)防計(jì)算機(jī)網(wǎng)絡(luò)違法犯罪現(xiàn)象，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的安全性能。

三、結(jié)語

計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估越來越受到人們所重視，其作為信息安全預(yù)防及保障體系的檢驗(yàn)手段，在保證信息安全過程愈發(fā)重要。因此，只有通過對(duì)信息安全進(jìn)行的合理評(píng)估，有針對(duì)性地實(shí)施相應(yīng)的保護(hù)措施，才能夠保證網(wǎng)絡(luò)信息的相對(duì)安全。

參考文獻(xiàn)：

[1]陳建樹.計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與方法研究[J].技術(shù)分析，2017

[2]劉夢(mèng)飛.大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)及防護(hù)措施[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2017

[3]張偉.計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)則及方法研究[D].天津大學(xué)，2009