網絡信息安全風險分析

摘 要：隨著互聯網的高速發展，計算機網絡結構變得越來越復雜，計算機的工作模式由傳統的以單機為主的模式向基于網絡的分部模式轉化，從而引發的網絡入侵風險也大大增加，網絡安全已成為一個重大的社會性問題。怎樣保證網絡安全，怎樣維護國家和人民在網絡中的安全已經成為一個重要的問題。

關鍵詞：網絡信息安全；概念；風險分析

當今網絡信息技術飛速發展，人們的日常生活已經離不開網絡。網絡極大地改變了當今社會、經濟、文化的結構，極大改變了人們的思維方式，數字化生存的方式、空間、時間不斷開拓。不過隨著計算機技術的普及，也有人會利用計算機中存在的漏洞進行網絡攻擊，盜取用戶的個人資料，比如銀行賬戶信息、個人郵件數據等。因此，如何保證網絡信息安全已成為一個非常重要的問題。

一、網絡安全

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統能夠連續可靠正常地運行，網絡服務不中斷。從廣義來說，凡是涉及網絡上信息的保密性、完整性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。

二、信息安全

信息安全本身包括的范圍很大，其中包括如何防范商業企業機密泄露，防范青少年對不良信息的瀏覽，防范個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統、各種安全協議、安全機制（數字簽名、消息認證、數據加密等），直至安全系統，其中任何一個安全漏洞便可以威脅全局安全。

三、網絡信息安全的風險分析

1.信息資產確定

信息資產大致分為物理資產、知識資產、時間資產和名譽資產

（1）物理資產：是具有物理形態的資產，例如服務器、網絡連接設備、工作站等。

（2）知識資產：是可以為任意信息的形式存在。例如一些系統軟件、數據庫或者組織內部的電子郵件。

（3）名譽資產：是公眾對于一個企業的看法與意見，也可以直接影響其業績。

2.信息安全評估

對資產進行標示后，下一步就是對這些資產面臨的威脅進行標示，首先有以下關鍵詞便于理解這些風險。

（1）安全漏洞：是存在于系統之中，可以用于越過系統的安全防護。

（2）安全威脅：是一系列可能被利用的漏洞。

（3）安全風險：當漏洞與安全威脅同時存在時就會存在風險。

3.風險管理

在確定了資產與資產面臨的風險之后，應該對這些資產進行風險管理。具體來說，風險管理可以分為4個部分：風險規避、風險最小化、風險承擔、風險轉移。

（1）風險規避。此方法為最簡單的風險管理方法，當資產收益遠大于操作該方法所損失的收益時可使用。例如，以各系統可能把員工與外界進行郵件交換視為一個不可接受的安全威脅，因為他們認為這樣可能會把系統內的秘密發布到外部環境中，所以系統就直接禁用郵件服務。

（2）風險最小化：對于系統來說，風險影響最小化是最為常見的風險管理方法，該方法的具體做法是管理員進行一些防御措施來降低資產面臨的風險。例如，對于黑客攻擊Web服務器的威脅的，管理員可以在黑客與服務器主機之間建立防火墻來降低攻擊發生的概率。

（3）風險承擔：管理者可能選擇承擔一些特定的風險，并將其造成的損失當作運營成本，這一方法稱為風險承擔。這種情況往往出現在危險發生的概率是極其低的（例如交通設備撞上數據中心）或者是不可避免的（例如硬盤工作中的磨損）情況下，當管理員選擇了這一風險進行承擔時，就會將其視為無風險。

（4）風險轉移：作為風險轉移，最為常見的例子就是保險，當一個人對自己身體健康狀態擔憂時，為了對抗生病的風險，可以為自己投入保險，保險公司同意將助其進行治療，同樣的道理可以用在系統維護上面。

在現實世界中，以上4種方法都不是獨立使用的，一般來說，企業或者組織都可以對4種方法進行綜合使用。

在互聯網高速發展的今天，發生在我們身邊的許多的信息泄密事件說明當前保密技術發展的不平衡，說明我們對信息安全還不夠重視，所以我們必須對網絡信息安全這個問題加以重視，要加大國產化安全產品的開發力度，加強培訓提高用戶的安全防范意識，加大對信息安全產業的投入力度，加快高等信息安全人才培養。

參考文獻：

白偉濤.高校信息安全風險評估[J].中國科技信息，2009（19）.

作者簡介：李偉欣，男，出生于1992年9月，本科，就讀于福建省泉州市泉州師范學院，研究方向：網絡技術方向。