韓強(qiáng)

摘要：隨著經(jīng)濟(jì)社會(huì)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的使用也越來(lái)越普及，給我們的日常工作與生活提供了極大的便利，但是網(wǎng)絡(luò)的普及也就給了網(wǎng)民的個(gè)人信息暴露在外，信息的泄露與潛在的威脅也就可能發(fā)生，為了盡可能避免這些風(fēng)險(xiǎn)的出現(xiàn)，并且保證每個(gè)網(wǎng)民的信息安全與整體網(wǎng)絡(luò)環(huán)境的長(zhǎng)治久安，我們就需要對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)及時(shí)開(kāi)展評(píng)估工作，本文立足于計(jì)算機(jī)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估流程與方法，并加以分析，為實(shí)際操作過(guò)程提供可行的理論參考。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；公民信息安全；理論方法；綜合評(píng)估

一、計(jì)算機(jī)網(wǎng)絡(luò)的評(píng)估標(biāo)準(zhǔn)

1、CC標(biāo)準(zhǔn)

由美國(guó)、加拿大以及歐洲的四個(gè)國(guó)家起草的CC標(biāo)準(zhǔn)是計(jì)算機(jī)的信息技術(shù)的安全程度評(píng)估標(biāo)準(zhǔn)，立足于現(xiàn)有的多種風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，由國(guó)際組織進(jìn)行修訂的具有標(biāo)準(zhǔn)化操作流程的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，由于它汲取了各個(gè)風(fēng)險(xiǎn)標(biāo)準(zhǔn)的長(zhǎng)處，其合理性也是完全可以保證的。又由于它實(shí)現(xiàn)了對(duì)各個(gè)不同標(biāo)準(zhǔn)的覆蓋，其全面性也是具有充分的保證的。在此標(biāo)準(zhǔn)之下的一切網(wǎng)絡(luò)，它的主要框架與各個(gè)具體的功能，都是以ITSEC的標(biāo)準(zhǔn)作為主要的來(lái)源的。CC標(biāo)準(zhǔn)有三個(gè)具體的部分，它們分別是一般模型、安全功能需求、安全保證需求，無(wú)論是哪一個(gè)模塊，其重要性都是不可忽視的。如果把CC標(biāo)準(zhǔn)與以往的計(jì)算機(jī)安全標(biāo)準(zhǔn)相比，還是具有很大的可操作性的，例如，在實(shí)際應(yīng)用的過(guò)程中，CC標(biāo)準(zhǔn)與PDR標(biāo)準(zhǔn)是相似的，對(duì)于整個(gè)信息系統(tǒng)的保障較為完整，實(shí)用性更高，保密性也得到了充分的保證，同時(shí)在做評(píng)估的過(guò)程中更注重全部過(guò)程，考慮較為完善。

2、BS7799標(biāo)準(zhǔn)

BS7799標(biāo)準(zhǔn)是當(dāng)下國(guó)際范圍廣泛應(yīng)用的最具有獨(dú)特代表性的執(zhí)行標(biāo)準(zhǔn)，這種計(jì)算機(jī)網(wǎng)絡(luò)安全信息風(fēng)險(xiǎn)管理體系由英國(guó)的標(biāo)準(zhǔn)協(xié)會(huì)制定，主要有兩大部分組成。這個(gè)標(biāo)準(zhǔn)在進(jìn)入新世紀(jì)以來(lái)被國(guó)際標(biāo)準(zhǔn)化組織認(rèn)定為通用標(biāo)準(zhǔn)的前一項(xiàng)及其重要的內(nèi)容，并予以重新命名，新名字為ISO/IEC21827-2000。組成這一標(biāo)準(zhǔn)的兩個(gè)部分分別為《信息安全管理體系規(guī)范》和《信息安全管理實(shí)施細(xì)則》。

3、ISO/IEC21827-2002（SSE-CMM）

這一執(zhí)行標(biāo)準(zhǔn)是衡量電子計(jì)算機(jī)網(wǎng)絡(luò)信息安全的保障能力的成熟度的一個(gè)重要準(zhǔn)繩，它對(duì)信息安全工程的構(gòu)建過(guò)程做出了詳實(shí)且嚴(yán)格的規(guī)定，進(jìn)行構(gòu)建信息安全工程的過(guò)程中，這包括實(shí)施和使用這一工程的整個(gè)過(guò)程。這一基礎(chǔ)協(xié)議可以保證計(jì)算機(jī)網(wǎng)絡(luò)的整體安全與穩(wěn)定，在此安全協(xié)議之上的網(wǎng)絡(luò)架構(gòu)具有極強(qiáng)的安全性，也能夠根據(jù)網(wǎng)絡(luò)工程的實(shí)際需要進(jìn)行設(shè)計(jì)過(guò)程的總體優(yōu)化，從而實(shí)現(xiàn)施工過(guò)程的安全性拔高一個(gè)量級(jí)。

4、國(guó)家信息化標(biāo)準(zhǔn)

我國(guó)在上個(gè)世紀(jì)末制定了中國(guó)的信息化標(biāo)準(zhǔn)，用以適應(yīng)我國(guó)的國(guó)情，這一準(zhǔn)則，又稱(chēng)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，在對(duì)計(jì)算機(jī)的整體信息系統(tǒng)進(jìn)行保護(hù)時(shí)把等級(jí)詳細(xì)地劃分為了五大等級(jí)，也就是用戶(hù)自主、安全標(biāo)記、訪問(wèn)驗(yàn)證、系統(tǒng)審核、結(jié)構(gòu)化保護(hù)五大具體等級(jí)，從而保護(hù)使用者計(jì)算機(jī)安全不受侵犯，這一標(biāo)準(zhǔn)已經(jīng)在實(shí)際過(guò)程中展開(kāi)實(shí)施，實(shí)際實(shí)施過(guò)程中也是相對(duì)上令人滿(mǎn)意的。

二、評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)安全潛在風(fēng)險(xiǎn)的方法

1、定性分析

當(dāng)下一個(gè)極為常用的一個(gè)分析計(jì)算機(jī)網(wǎng)絡(luò)安全系數(shù)的方法就是定性分析法。在這種定性分析過(guò)程中，一般是立足于分析檢測(cè)人員的知識(shí)儲(chǔ)備和以往的檢測(cè)知識(shí)，通過(guò)與現(xiàn)有的檢測(cè)標(biāo)準(zhǔn)進(jìn)行對(duì)比，再參考以往的分析案例，再按照風(fēng)險(xiǎn)的高低與大小不同來(lái)對(duì)不同的對(duì)象劃分相應(yīng)的風(fēng)險(xiǎn)等級(jí)。由于這一分析方法包含太多的工作人員主觀的判斷，所以其中包含了許多的研究人員的個(gè)人主觀意見(jiàn)，定性分析的不斷深入，其中也就有了更多的不同的新方法，例如事故樹(shù)分析法、安全檢查表法、專(zhuān)家評(píng)價(jià)法等等。

2、定量分析

在這一種方法的利用過(guò)程中，我們應(yīng)該將目光集中在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中綜合存在的潛在風(fēng)險(xiǎn)，并將這些風(fēng)險(xiǎn)的潛在因素進(jìn)行分析篩選，并對(duì)這些風(fēng)險(xiǎn)可能產(chǎn)生的后果的大小和方式進(jìn)行分析，從而對(duì)這些風(fēng)險(xiǎn)進(jìn)行提前的預(yù)測(cè)與衡量，將整個(gè)的風(fēng)險(xiǎn)評(píng)估過(guò)程用數(shù)據(jù)進(jìn)行信息化與數(shù)量化，使得每一個(gè)檢測(cè)人員能夠更加精準(zhǔn)的確認(rèn)風(fēng)險(xiǎn)的分析結(jié)果。在當(dāng)下的主要風(fēng)險(xiǎn)分析過(guò)程也有不同的方法，既可以立足于風(fēng)險(xiǎn)評(píng)估的性質(zhì)來(lái)進(jìn)行結(jié)構(gòu)的重新建構(gòu)，從而使得風(fēng)險(xiǎn)要素之間形成相互聯(lián)系；也可以采用綜合數(shù)據(jù)的模糊分析方法，通過(guò)建立一個(gè)近似的數(shù)學(xué)模型，利用最大隸屬度的原理和一定的模糊變化的原理，以及其他模糊變化的相應(yīng)原理，對(duì)風(fēng)險(xiǎn)的可能發(fā)生的程度進(jìn)行預(yù)先分析，由于采用了數(shù)學(xué)的方法，這種方式往往比較準(zhǔn)確，此外，也可以利用BP神經(jīng)網(wǎng)，對(duì)系統(tǒng)中的可能風(fēng)險(xiǎn)進(jìn)行記憶與分析，從而更加準(zhǔn)確的進(jìn)行風(fēng)險(xiǎn)分析與預(yù)測(cè)，在分析的過(guò)程中對(duì)BP網(wǎng)絡(luò)進(jìn)行不斷地深入優(yōu)化，提升問(wèn)題的檢查效率；此外還可以利用灰色系統(tǒng)進(jìn)行綜合預(yù)測(cè)，以相應(yīng)的邊際值為一定的基礎(chǔ)，對(duì)所有的潛在變量進(jìn)行實(shí)體化，最終對(duì)實(shí)體化后的變量進(jìn)行深層次評(píng)估。

3、定性分析與定量分析相結(jié)合的方法

計(jì)算機(jī)內(nèi)部的運(yùn)行十分復(fù)雜，那么其發(fā)生的可能風(fēng)險(xiǎn)也總是不盡相同的，是一個(gè)不穩(wěn)定的動(dòng)態(tài)過(guò)程，所以?xún)H僅使用一種簡(jiǎn)單的方法是不能夠完全杜絕所有的可能風(fēng)險(xiǎn)，那么就有可能有風(fēng)險(xiǎn)漏網(wǎng)，此時(shí)如果同時(shí)使用定性分析與定量分析，就可以盡可能的避免可能存在的風(fēng)險(xiǎn)，對(duì)兩種方法的處理結(jié)果進(jìn)行總結(jié)分析，盡可能的避免可能的風(fēng)險(xiǎn)，提高最終評(píng)估結(jié)果的準(zhǔn)確性。

四、結(jié)束語(yǔ)

風(fēng)險(xiǎn)評(píng)估是計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行過(guò)程中的網(wǎng)民個(gè)人信息安全的保護(hù)傘，能夠有相應(yīng)的客觀評(píng)估標(biāo)準(zhǔn)是能夠合理開(kāi)展評(píng)估工作的重要方式，科學(xué)地選用評(píng)估方式，提升自身評(píng)估的準(zhǔn)確性，為公民的信息安全保駕護(hù)航。

參考文獻(xiàn)：

[1]陳燕.計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與方法研究[D].中國(guó)海洋大學(xué)，2015.

[2]陳建樹(shù)，王振宇，繆丹.計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與方法研究[J].數(shù)字通信世界，2017 （8）.

[3]祁倩民，盧世財(cái)，汪斌川.對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與方法的探討[J].電腦迷，2017 （21）.

[4]徐天銳，宋傳斌.計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)創(chuàng)新進(jìn)展[J].科研，2017 （3）：00203-00203.