計算機網絡信息安全風險評估探討

李瑩

摘要：隨著計算機網絡信息系統的快速發展，其全局性的作用日益突顯。但與此同時，國內網絡信息安全風險評估體系尚不完善，信息安全風險評估工作仍存在較多制約性因素。因此，計算機網絡信息安全風險評估在安全保障工作中具有舉足輕重的地位和作用。本文從信息安全風險評估特點出發，在此基礎上探討了當前計算機網絡信息安全風險評估采用的方法和主要防護措施，以期為網絡信息安全風險評估提供實際應用參考。

關鍵詞：網絡；信息安全；風險評估

一、計算機網絡信息安全風險評估概述

（一）計算機網絡信息安全隱患

當前，網絡信息資訊爆炸性的增長為公眾信息資源需求提供了可能，同時也為我國傳統行業的發展及升級提供了契機。因此，網絡信息安全的重要性日益增加。眾所周知，網絡信息安全問題作為計算機網絡發展面臨的主要問題，關系到國家安全、經濟發展及社會的穩定。雖然計算機網絡技術的發展及安全防護措施具備了一定深度，但由于信息開放性特點，在全球化環境下這一特點對信息安全仍存在一定沖擊性。與此同時，信息安全風險評估管理工作及人才的匱乏也加劇了這一隱患。

（二）計算機網絡信息安全風險評估方法

目前信息安全風險評估方法主要有SP 800-30信息技術系統風險管理指南法、可操作性的關鍵威脅、資產和脆弱性評價法（OCTAVE）、信息安全評估法（LAM）、層次分析法（AHP）、安全風險分析管理和評估法（COBRA）等。

信息技術系統風險管理指南法風險評估屬于定性評估方法，主要包括以下幾個步驟：1.確定工作范圍；2.識別潛在危險源并列出其可能攻擊的系統弱點；3.控制分析；4.總體可能性評級確定被攻擊的可能性；5.進行影響分析；6.確定風險等級；7.控制建議，降低網絡信息安全系統的風險級別。8.輸出風險評估報告。

OCTAVE為非線性、迭代的信息安全風險評估方法。評估時主要考慮資產、威脅、弱點及影響。分為3個階段進行：1.從組織的角度進行的評估，建立基于資產的威脅配置文件；2.評估計算基礎結構，找出對關鍵資產進行未授權行為的技術弱點；3.找出組織關鍵資產的風險，并確定要采取的措施，即確定開發安全策略和計劃。

信息安全評估法是一種以信息為主資產，最大化利用資源的安全評估方法。分為評估前、評估中及評估后3個階段進行評估。評估前主要的目標是客戶需求，確定范圍及風險評估的編寫計劃；評估中即現場活動，進行評估所需數據的收集與驗證；最后是輸出評估報告。

AHP法是將多目標決策方法定性、定量相結合，其本質是將評估者的經驗判斷進行量化，進而提供定量數據，為評估者最后做出的決策提供依據。評估者對網絡信息進行元素分層、數據定量、決策規范化處理，這一過程包括3個階段：1.對網絡信息系統進行分解，構建信息系統的結構模型。2.建立經驗判斷矩陣，通過單層次計算對網絡信息進行安全性判斷，引入了九分位比例標度，最終確定信息系統中與其相關元素的相對風險權值。3.最后對每一信息層級中的元素進行排序，做出綜合評估。

COBRA安全風險分析管理和評估法不僅可用于信息安全風險管理，同時還可對安全風險評估是否符合BS7799標準進行判斷。這一方法通常采用調查表格形式，主要評估脆弱性和威脅的相關重要性，并輸出改進的建議，最終為信息安全風險劃分等級，形成評估報告。具有圖表統計功能豐富、生產報告詳盡等特別。

（三）計算機網絡信息安全風險評估標準

我國網絡信息安全常用法規標準有：《信息安全風險評估指南》和《信息安全風險管理指南》。對于計算機信息系統，分為5個保護等級，即用戶自主、安全標記、訪問驗證、系統審計及結構化保護。目前國際上常用的標準主要有兩個：CC標準及BS7799標準。CC標準應用廣、功能全面，基于全過程進行評估，其屬于信息技術安全評估公共標準。BS7799標準為英國標準協會制定，后改名為ISO/IEC17799-2000，是目前較為成熟的信息安全評估標準。分為過程改善、能力評估及保證3項，主要針對信息安全建設過程的評估。

評估指標為：1.被檢查單位網絡安全系統策略應符合網絡總體安全策略要求；2.網絡安全系統升級頻率應與計算機網絡安全防護部門公布的升級頻率保持一致；3.網絡物理安全應符合國家有關要求；4.網絡安全系統正常運行率應達到99%以上，安全防護日志填寫無誤率應達到99%，主機與網絡設備安全漏洞修補率應達到99%以上，主機病毒防護率應達到99%以上；5.網絡中非法外聯次數、非法信息傳播次數、非法攻擊發生次數應為0；6.安全事件處理時限內合格率應當達到100%。

二、計算機網絡信息安全防護措施

（一）政府相關職能部門應加強網絡信息安全防護技術建設

政府相關職能部門應當充分發揮本部門職能的引導作用，高度重視計算機網絡信息安全，盡可能的不斷完善網絡信息安全技術及管理人才引進等領域的法律法規建設，計算機網絡信息安全風險評估的重點在于事先預防，而安全防護技術則應成為風險評估的重要組成部分，加強諸如防火墻技術、入侵信息監測技術、公眾隱私信息保護技術等，有利于計算機網絡信息安全風險評估的后續推進。在我國互聯網用戶數量不斷增加的大環境下，傳統的網絡信息安全防護措施應進一步加大建設力度，逐步構建及完善信息安全防護體系逐步增強傳統信息安全防護措施的建設力度，建立一個經濟、高效的信息安全評估體系，提高信息化時代我國的信息安全防護技術，進而降低計算機網絡信息安全的風險。

（二）完善計算機網絡信息加密技術體系

為更好地保證計算機網絡信息安全，信息加密技術在信息安全層面發揮著十分重要的作用，由于網絡用戶的增加，各個用戶之間對信息安全存在不同的需求，且用戶自身需求不斷豐富。因此，需要對傳統的信息加密技術進行改造升級，為更好的預防計算機網絡違法犯罪現象，實現計算機網絡的安全性能。

三、結語

計算機網絡信息安全風險評估越來越受到人們所重視，其作為信息安全預防及保障體系的檢驗手段，在保證信息安全過程愈發重要。因此，只有通過對信息安全進行的合理評估，有針對性地實施相應的保護措施，才能夠保證網絡信息的相對安全。

參考文獻：

[1]陳建樹.計算機網絡信息安全風險評估標準與方法研究[J].技術分析，2017

[2]劉夢飛.大數據背景下計算機網絡信息安全風險及防護措施[J].現代工業經濟和信息化，2017

[3]張偉.計算機網絡信息安全風險評估準則及方法研究[D].天津大學，2009