柯 學(xué)

（深圳證券通信有限公司，廣東 深圳 518040）

隨著互聯(lián)網(wǎng)技術(shù)的普及，電腦硬件的成本正在呈指數(shù)化的下降。此外，隨著軟件開發(fā)技術(shù)的不斷成熟，也使軟件使用功能越來越強、越來越全面。當(dāng)今，以互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)的社會網(wǎng)絡(luò)體系已經(jīng)逐漸形成。截至到今天，互聯(lián)網(wǎng)的技術(shù)已經(jīng)遍布我國經(jīng)濟的各個方面，許多傳統(tǒng)的線下行業(yè)也隨著互聯(lián)網(wǎng)技術(shù)的帶動，將業(yè)務(wù)由線下轉(zhuǎn)移到線上。這種形式在為我們工作提高效率的同時，也會暴露大量的個人隱私，使信息安全受到一定威脅，而這種趨勢在近些年越發(fā)嚴(yán)重。所以，如何凈化網(wǎng)絡(luò)環(huán)境，保證各個企業(yè)的用戶的信息、財產(chǎn)安全等不受到損失，已經(jīng)成為了當(dāng)今互聯(lián)網(wǎng)技術(shù)中亟待解決的問題[1]。

在網(wǎng)絡(luò)安全工程的實際操作中，相關(guān)人員應(yīng)該針對不同的網(wǎng)絡(luò)漏洞做出有效的安全操作，甄別出各種網(wǎng)絡(luò)信號的威脅程度，并且針對不同情況下暴露出的網(wǎng)絡(luò)問題進行安全風(fēng)險評估，這是提高網(wǎng)絡(luò)安全環(huán)境的一大重點。本文將據(jù)此對網(wǎng)絡(luò)安全評估的過程進行全面的概述和分析，闡述提升網(wǎng)絡(luò)安全評估的準(zhǔn)確性，進而達到網(wǎng)絡(luò)安全凈化的目的，實現(xiàn)全網(wǎng)網(wǎng)絡(luò)安全提升的目標(biāo)。

1 信息安全風(fēng)險評估工作流程

信息安全風(fēng)險評估的流程主要分為五個階段，它們分別是，對風(fēng)險評估的前期準(zhǔn)備，對資產(chǎn)重要性的識別，對于潛在威脅的認(rèn)定，對網(wǎng)絡(luò)脆弱性的風(fēng)險識別，以及對網(wǎng)絡(luò)風(fēng)險的細(xì)化分析[2]。

（1）風(fēng)險評估的前期準(zhǔn)備。風(fēng)險評估的前期準(zhǔn)備工作的主要目的是認(rèn)清風(fēng)險評估的等級，做好前期準(zhǔn)備工作，包括制定工作計劃、確定工作目標(biāo)、認(rèn)定工作范圍和細(xì)化工作方案等。同時根據(jù)相關(guān)系統(tǒng)的工作組建評估團隊。在準(zhǔn)備階段，團隊多次進行討論，與乙方進行協(xié)商，了解對方所關(guān)注的信息安全重點，強化風(fēng)險評估的范圍和目標(biāo)，確保整個風(fēng)險評估工作有的放矢。而后，要根據(jù)乙方工作對象的網(wǎng)絡(luò)信息規(guī)模、網(wǎng)絡(luò)屬性、網(wǎng)絡(luò)復(fù)雜性來統(tǒng)籌分析，明確人員的具體分工，指派工作人員進行現(xiàn)場調(diào)研，了解乙方網(wǎng)絡(luò)的具體構(gòu)建情況和網(wǎng)絡(luò)管理制度。根據(jù)掌握前期的信息，撰寫安全風(fēng)險報告，進而為下一步的工作奠定基礎(chǔ)。

（2）進行資產(chǎn)重要性的識別。在做好風(fēng)險評估的前期準(zhǔn)備工作之后，就要進行對被評估方資產(chǎn)重要性的識別工作。這項工作具體來說需要相關(guān)工作人員運用多種途徑，來了解評估對象的相關(guān)資產(chǎn)信息，為后續(xù)的各項風(fēng)險評估工作提供基礎(chǔ)的理論。同時，要明確工作的方向，識別出工作的主要內(nèi)容，向被評估方進行資產(chǎn)調(diào)查，通過對評估方發(fā)放資產(chǎn)調(diào)查表來了解被評估方的資產(chǎn)信息，對資產(chǎn)進行重要的論證和標(biāo)注、分類，防止資產(chǎn)信息遺漏。同時，對每一項資產(chǎn)做仔細(xì)的確認(rèn)和錄入工作。

（3）對于潛在威脅的認(rèn)定。對于潛在威脅的認(rèn)定具體表現(xiàn)為對具體威脅的識別。對威脅的確認(rèn)源自于對手評估方資產(chǎn)所處的環(huán)境以及之前資產(chǎn)信息的數(shù)據(jù)來進行推斷。這種威脅的判別形式一般是通過采集IDS報警信息和侵入系統(tǒng)等問卷的調(diào)研方式，結(jié)合對公司相關(guān)的技術(shù)方案人員進行咨詢和研討。通過這種方式，能夠收集到準(zhǔn)確的第一手威脅信息。除此之外，要準(zhǔn)確的找到問卷調(diào)查的對象，在問卷內(nèi)容要富含所被評估方的各個方面，包括技術(shù)人員、領(lǐng)導(dǎo)人員、系統(tǒng)管理人員、安全人員以及其他員工等。同時，在訪談主要要根據(jù)不同的訪談對象制定不同的談話內(nèi)容，以確保訪談的質(zhì)量。對于潛在威脅判別最為關(guān)鍵的一點，在于確認(rèn)引發(fā)威脅的人物或者事物，這里的危險源既可能是偶然情況出現(xiàn)的，也可能是黑客或者其他人惡意攻擊出現(xiàn)的。這包括系統(tǒng)自身的問題，人為的問題以及其它問題等等。對于一項資產(chǎn)來說，他可能會同時面臨著幾個危險點，而同一個危險點也可以對被調(diào)研方不同的資產(chǎn)類型產(chǎn)生不利的威脅。在進行識別后，威脅系統(tǒng)還可以自己進行評估，列出具體的威脅清單，對不同系統(tǒng)、不同位置的威脅信息進行有效梳理。

（4）對于網(wǎng)絡(luò)脆弱性的識別。對網(wǎng)絡(luò)信息安全脆弱性的識別，是整個風(fēng)險評估體系中最為復(fù)雜、最不容易把握的內(nèi)容，但它也是最為重要的一個環(huán)節(jié)。這項風(fēng)險評估的操作對于工作人員的專業(yè)水平提出了很高的考驗。網(wǎng)絡(luò)信息安全的脆弱性主要表現(xiàn)為：系統(tǒng)對信息管理的脆弱性，和系統(tǒng)技術(shù)能力本身的脆弱性。系統(tǒng)對管理方面的脆弱性主要是通過調(diào)查者發(fā)放相關(guān)問卷，組織專家訪談及收集現(xiàn)有管理制度的漏洞來完成。而技術(shù)方面的脆弱性檢測，則要通過專業(yè)的工具，對系統(tǒng)漏洞的范圍內(nèi)進行軟件補丁的安裝和升級，并且在升級之后進行識別，確認(rèn)安全后即完成工作。在實際的操作中，要注意脆弱性識別具有全面性的特點，它主要包括網(wǎng)絡(luò)應(yīng)用管理、物理操作、數(shù)學(xué)計算等各個方面，如果想更好地分析網(wǎng)絡(luò)的脆弱性對整個系統(tǒng)影響度的高低，最好的方法就是對關(guān)鍵資產(chǎn)進行技術(shù)性的檢測。例如，對關(guān)鍵服務(wù)的身份識別等操作的方式。在進行識別操作之后，還要對具體資產(chǎn)脆弱性進行系統(tǒng)的分類，按照實際脆弱性的高低程度來具體細(xì)分不同等級內(nèi)容。

（5）對網(wǎng)絡(luò)風(fēng)險的細(xì)化分析。按照具體的分類來看，構(gòu)成網(wǎng)絡(luò)風(fēng)險主要的內(nèi)容有：資產(chǎn)、網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)脆弱性。在了解這些網(wǎng)絡(luò)風(fēng)險的實際內(nèi)容之后，就可以確定具體存在的網(wǎng)絡(luò)風(fēng)險的具體內(nèi)容。對于風(fēng)險分析進行動態(tài)的排列，一般分為三個步驟，一是要計算風(fēng)險大小程度；二是對風(fēng)險形成的原因，和風(fēng)險的影響，產(chǎn)生具體的調(diào)研報告；三是對風(fēng)險的下一步防控提出合理化可行性建議，根據(jù)資產(chǎn)對被檢查方本身重要性來進行列表。同時，還要對各項信息面臨的威脅進行逐一的排列，進行統(tǒng)籌考慮，根據(jù)科學(xué)的風(fēng)險計算法則，核對出相應(yīng)資產(chǎn)的風(fēng)險數(shù)值，形成科學(xué)的資產(chǎn)列表。通過采集到的數(shù)據(jù)，對網(wǎng)絡(luò)系統(tǒng)中的風(fēng)險進行下一步的定量分析。從風(fēng)險的特征上來說，風(fēng)險只能被預(yù)防，但是卻難以避免?！暗栏咭怀?，魔高一丈，”想要完全消除風(fēng)險幾乎是不可能的，不過可以接受正常類型的風(fēng)險。隨著網(wǎng)絡(luò)安全信息技術(shù)的發(fā)展，網(wǎng)絡(luò)風(fēng)險也隨之進行了發(fā)展。所以我們必需要及時更新技術(shù)，調(diào)整策略來避免不必要的風(fēng)險，對于小型或中等類型的風(fēng)險來說可以接受，但是要盡快想辦法通過技術(shù)手段來消滅潛在風(fēng)險。

2 信息安全風(fēng)險評估分析采集及分析

（1）信息安全風(fēng)險評估的概念。所謂信息安全風(fēng)險評估，就是從管理學(xué)的角度，通過科學(xué)、規(guī)范的方法和手段來系統(tǒng)的分析各個網(wǎng)絡(luò)內(nèi)部環(huán)境信息，通過對分析，歸納出信息系統(tǒng)面臨的威脅環(huán)境以及存在的漏洞，并對此進行統(tǒng)籌化評估，通過評估使網(wǎng)絡(luò)威脅發(fā)生的可能性降到最低，進而提出相對有針對性抵御安全威脅的防護手段，防止信息泄露、保證信息安全，降低風(fēng)險的水平，將風(fēng)險控制在可接受的范圍，最大程度上的保護網(wǎng)絡(luò)正常運行，為虛擬網(wǎng)絡(luò)空間的正常運轉(zhuǎn)提供有力的幫助，并提出科學(xué)的依據(jù)。網(wǎng)絡(luò)安全風(fēng)險評估工作的推進，有利于提升網(wǎng)絡(luò)環(huán)境的純凈度、安全性，是確保網(wǎng)絡(luò)安全的最重要因素。信息安全評估主要是針對網(wǎng)絡(luò)的平臺、網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)信息進行統(tǒng)籌的歸類，并進行研究。從步驟上來說，一般是通過對各類威脅因素進行分析后進行分類識別，并判斷出此目標(biāo)對網(wǎng)絡(luò)的損壞程度，將此種破壞的類型進行歸類，最終得出結(jié)果，對結(jié)果進行綜合評估，分析各類隱患對網(wǎng)絡(luò)安全破壞程度的大小，并據(jù)此形成風(fēng)險評估報告，相關(guān)工作人員根據(jù)評估的內(nèi)容，具體作出保護網(wǎng)絡(luò)安全的具體措施[3]。

（2）網(wǎng)絡(luò)掃描，風(fēng)險篩查。在對網(wǎng)絡(luò)安全風(fēng)險的管理工作中，第一步就是要對計算機網(wǎng)絡(luò)進行整體的掃描，對存在的病毒或安全隱患進行篩查。通過對計算機用戶的內(nèi)容進行掃描的過程中，如果發(fā)現(xiàn)網(wǎng)絡(luò)的信息內(nèi)容發(fā)生了變化或者和預(yù)期接收信息的內(nèi)容不同，篩查系統(tǒng)就會將異常數(shù)據(jù)與正常的網(wǎng)絡(luò)數(shù)據(jù)進行對比，并對異常數(shù)據(jù)進行全方位的分析，并把分析的結(jié)果或其它病毒、流氓軟件等信息及時的列舉出來，并把分析出的結(jié)果報送給系統(tǒng)管理員，管理員可以根據(jù)系統(tǒng)評估出的結(jié)果進行分析并采取相應(yīng)的應(yīng)急措施，確保網(wǎng)絡(luò)系統(tǒng)安全。網(wǎng)絡(luò)掃描除了對異常數(shù)據(jù)整合和信息接收之外，還能夠?qū)钟蚓W(wǎng)絡(luò)的運行參數(shù)和網(wǎng)絡(luò)異常性、資源分配性等內(nèi)容進行實時監(jiān)控，從多個角度檢查網(wǎng)絡(luò)中潛在的不安全因素，實現(xiàn)網(wǎng)絡(luò)安全工作的第一項重要內(nèi)容。

（3）高效判斷，定量分析。在進行全盤的網(wǎng)絡(luò)掃描工作之后，網(wǎng)絡(luò)安全系統(tǒng)還通過定量分析的技術(shù)進行信息檢查。這是因為網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)大多是以動態(tài)化呈現(xiàn)，數(shù)據(jù)具有多變性和跳躍性，所謂的網(wǎng)絡(luò)安全也分為多個角度，此外各種網(wǎng)絡(luò)威脅的程度也大小不一。所以通過定量的分析方法，可以針對某一領(lǐng)域的信息統(tǒng)籌分類，通過相應(yīng)的參數(shù)來預(yù)估風(fēng)險的大小，對不同類別的網(wǎng)絡(luò)威脅采取不同的手段和方法，這樣對于網(wǎng)絡(luò)安全管理員來說，也提供了工作的便利性、系統(tǒng)性，使工作人員更加直觀的獲取網(wǎng)絡(luò)安全信息[4]。

（4）資源整合，形成數(shù)據(jù)庫。在進行全盤的網(wǎng)絡(luò)掃描和定量分析等前期的資料整合工作后，就要將收集的信息錄入數(shù)據(jù)庫，對異常數(shù)據(jù)進行匯總和歸納，在未來遇到類似系統(tǒng)的威脅時，可以通過網(wǎng)絡(luò)安全系統(tǒng)進行自動的識別。此外，通過形成數(shù)據(jù)庫可以科學(xué)的建立計算機網(wǎng)絡(luò)的訪問權(quán)限和網(wǎng)絡(luò)加密，實現(xiàn)對機密數(shù)據(jù)的保護功能。一般來講，數(shù)據(jù)庫系統(tǒng)內(nèi)包含了多維護的自我調(diào)控系統(tǒng)，如：故障維修、數(shù)據(jù)恢復(fù)等功能，通過這些功能來不斷的提升網(wǎng)絡(luò)數(shù)據(jù)的安全等級，進而維護網(wǎng)絡(luò)安全。

但是在實際操作中，網(wǎng)絡(luò)數(shù)據(jù)庫可能還會出現(xiàn)如下安全問題：一是某些惡意用戶和流氓軟件會利用SQL的漏洞，通過此漏洞進行代碼的惡意輸入，從而實現(xiàn)對用戶信息的竊?。欢前踩珨?shù)據(jù)庫的漏洞，還會出現(xiàn)在操作者在使用網(wǎng)絡(luò)計算機時，數(shù)據(jù)的通行證被無意間的泄露，致使信息被黑客或者其他非法作用的人進行竊取。通過對用戶計算機的登錄密碼數(shù)據(jù)的獲取，直接進入到后臺對計算機的信息進行竊取，造成計算機主人的財產(chǎn)和資料信息的損失。

近些年經(jīng)過科研人員的不斷探索，安全數(shù)據(jù)庫已經(jīng)實現(xiàn)了多次升級，對兩項弊端進行了有效的彌補，第一是對SQL的語言具有更規(guī)范性的要求。這種命令式的語言僅能有軟件的開發(fā)者擁有。同時，數(shù)據(jù)庫內(nèi)容可以不連接外部網(wǎng)絡(luò)，以此使數(shù)據(jù)庫的安全得到更好的保障。此外，針對數(shù)據(jù)庫通行證的規(guī)范性和安全性，提高了登錄的賬號和密碼等級，形成三級密碼或四級密碼，并加入人臉識別，指紋識別等，進一步提升了數(shù)據(jù)庫的安全[5]。

3 結(jié) 語

隨著科技飛速發(fā)展的今天，我們的日常生活已經(jīng)離不開互聯(lián)網(wǎng)，網(wǎng)絡(luò)安全與社會的發(fā)展、人們的正常生活，都息息相關(guān)，它不但影響人民的利益，也影響著社會的穩(wěn)定。本文通過詳細(xì)闡述信息安全風(fēng)險評估的各個工作流程和結(jié)合信息安全風(fēng)險評估的采集，為完善網(wǎng)絡(luò)安全信息工作提供相應(yīng)的參考。