計算機網絡信息系統安全評價方法探微

廖桂梅

（廣東互維科技有限公司 廣東廣州 510663）

計算機網絡信息系統安全評價方法探微

廖桂梅

（廣東互維科技有限公司 廣東廣州 510663）

計算機網絡信息系統安全評價可為構建可靠、安全的系統提供支持，要做好安全評價方法的選擇與應用，以提升風險評估效益。本文分析了計算機網絡信息系統安全評價作用與指標體系，探究了評價準則與方法，希望能為信息系統安全評價提供參考。

網絡信息系統；安全評價；風險評估；方法

計算機網絡信息系統作為近年來廣泛應用于多個領域的重要技術，在協助生產、解決問題、方便生活等諸多方面有出色表現，但是由于計算機技術及網絡信息系統的特殊性，其運行與應用過程中承擔著巨大的網絡風險，做好系統安全維護與評價有助于降低運行風險，改善應用現狀。計算機網絡信息系統安全評價要立足于安全風險評估，結合系統具體運行需求選擇針對性評價方法以作改善。

1 計算機網絡信息系統安全評價作用與指標體系

1.1 安全評價作用

計算機網絡信息系統的安全保障主要由安全管理、安全技術、安全組織三大體系構成，保障信息安全的核心是風險評估，風險評估集中體現在計算機網絡信息系統多個環節。

計算機網絡信息系統的運行與應用離不開完善且準確的風險評估，以風險評估為基礎，可對系統運行時所面臨的外部威脅、內部隱患等做出全面評價，有助于制定相應的解決對策，改善運行環境、降低運行風險，達到預防、控制安全風險的目的。信息安全風險管理作為風險評估的重要環節，從信息系統建立、運行、實施、維護等多個環節都離不開其作用，風險評估可發揮自身強大核查作用對各類安全標準等進行驗證、驗收，提供具體的風險參數以供分析與參考，在維護過程中對安全技術、安全管理作用進行核查及評價，以判斷系統對環境變化的適應能力，在發現問題或出現技術故障時，及時采取針對性處理舉措予以解決。

1.2 安全評價指標體系

系統安全評價作為現代計算機體系運行的重要內容，可評價系統運行風險與危險性，通過細致、全面的分析對系統情況做綜合評價，以及時、準確的了解系統中薄弱部分與危險環節，為安全管理提供重要依據。計算機網絡信息系統的安全評價指標體系主要包括五大部分內容，分別是實體與環境安全、組織管理與安全制度、安全技術措施、網絡與通信安全、軟件與信息安全，以這五部分內容為基礎構建完整且可靠的風險評估體系。

實體與環境安全主要以周圍環境、外部安全舉措（如有無防火、防水、防靜電、防雷、防盜措施等）評估為主；組織管理與安全制度主要以有無專門的安全信息管理規章制度、是否配備專門信息管理人員、有無事故處理預案、信息設備及數據管理制度是否完善等；安全技術操作包括有無數據備份恢復技術對策、防黑客入侵防病毒木馬措施、有無系統操作日志及系統安全審計功能等；網絡與通信安全包括是否有并采取加密舉措、系統運行有無安全審計跟蹤、通信設備有無專門醒目標志、通信線路及控制裝置有無備份等；軟件及信息安全包括有無用戶識別舉措、應用軟件有無防破壞舉措、數據庫及系統運行狀態有無監控跟蹤等。以這些內容為基礎，共同構成了計算機網絡信息系統安全評價體系。

2 計算機網絡信息系統安全評價準則與方法

2.1 評價準則

網絡信息系統安全評價主要遵循充分性、適應性、系統性、針對性、合理性五大原則。

充分性原則意味著選擇安全評價方法時要充分考慮系統特點、評價目標與目的、評價方法優缺點，以實現評價效益最大化；適應性原則意味著安全評價方法的選擇與運作必須基于系統特性與特點，符合評價方法的適用范圍；系統性原則而意味著評價方法的運作必須能與被評價的系統形成和諧整體，具有較高的信度與準確性；針對性原則意味著評價方法的選擇必須以評價目的與目標為關鍵核心，所得的結果完全符合要求；合理性意味著評價方法的選擇除了要考慮評價結果之外，還要綜合考慮經濟性、安全性等指標，減少不必要的浪費與損失。

2.2 安全評價方法

目前有關計算機系統安全評價的方法尚缺乏一套完整且通用的方法，根據系統特點、評價目標、系統規模及復雜程度、工藝類型、危險性、危害性等不同，評價方法各自不一，在適用范圍、評價原理與目標、技術條件、優缺點方面有所差異。

比如定性與定量為主的評估方法，作為目前應用較廣的評估方式，定性評價主要針對系統威脅事件發生的概率及帶來的損失為基礎做出評估，通過期望值判斷作為風險評估依據，但是對風險大小及嚴重程度缺乏正確判斷；定量評價是對特定資產價值作為分析，結合客觀數據、威脅頻率進行計算，結合威脅事件發生可能性與損失這三類結果進行綜合判斷，以最終確定風險等級與危害。動態評估與分析的評價方法是將計算機系統信息管理視為安全管理過程的具體化運作，將風險評估控制、安全方針制定及控制方式選擇等內容包含在內做全程風險的動態評估，是一種風險的動態評估運作方法。以知識與模型為基礎的安全風險評估帶有典型的穩定性，知識評價結合以往安全評估經驗對現行運作風險與問題進行評價，結合以往評價模型、知識框架、保護措施等對現行體系進行優化，是一種安全風險較低、重復利用率高的評價方法；以模型為基礎是將信息系統運行過程中的風險與外部環境交互過程中的不利因素做綜合分析，以特定評價模型進行運作以實現對風險的定性評估。

目前計算機信息系統安全評價中應用具體方法較多，比如安全檢查表將諸多項目內容進行分析以確定系統運行狀態，及時發現不安全風險因素并進行整改，是一種適用于各個階段的風險定性辨識方法，在辨識容易引發事故、傷害、損失及環境危害的裝置條件、操作規程方面有一定優勢；事件樹分析可準確辨識初始事件成為事故的可能過程與危害，在預測不安全因素、事故、評判事故后果及尋求預防手段方面有一定優勢；風險矩陣分析主要是選擇關鍵裝置或風險區域做安全設計、緊急預案評價，可確定風險屬性、規模出列相關矩陣表，為后續風險管控提供依據。

3 結束語

綜上所述，計算機網絡信息系統安全評價可為解決系統運行風險提供可靠依據，有助于提升系統運行可靠性與安全性，實現風險評估最優化，為信息系統的高效開發、應用提供有力支持。

[1]張育軍.試論計算機網絡信息系統安全評價方法[J].電子技術與軟件工程，2015（10）：208.

TP393.0

A

1004-7344（2016）03-0248-01

2016-1-11