計算機網絡信息安全風險評估標準與方法研究

韓強

摘要：隨著經濟社會的不斷發展，計算機網絡的使用也越來越普及，給我們的日常工作與生活提供了極大的便利，但是網絡的普及也就給了網民的個人信息暴露在外，信息的泄露與潛在的威脅也就可能發生，為了盡可能避免這些風險的出現，并且保證每個網民的信息安全與整體網絡環境的長治久安，我們就需要對網絡風險及時開展評估工作，本文立足于計算機網絡的風險評估流程與方法，并加以分析，為實際操作過程提供可行的理論參考。

關鍵詞：計算機網絡；公民信息安全；理論方法；綜合評估

一、計算機網絡的評估標準

1、CC標準

由美國、加拿大以及歐洲的四個國家起草的CC標準是計算機的信息技術的安全程度評估標準，立足于現有的多種風險評估標準，由國際組織進行修訂的具有標準化操作流程的風險評估標準，由于它汲取了各個風險標準的長處，其合理性也是完全可以保證的。又由于它實現了對各個不同標準的覆蓋，其全面性也是具有充分的保證的。在此標準之下的一切網絡，它的主要框架與各個具體的功能，都是以ITSEC的標準作為主要的來源的。CC標準有三個具體的部分，它們分別是一般模型、安全功能需求、安全保證需求，無論是哪一個模塊，其重要性都是不可忽視的。如果把CC標準與以往的計算機安全標準相比，還是具有很大的可操作性的，例如，在實際應用的過程中，CC標準與PDR標準是相似的，對于整個信息系統的保障較為完整，實用性更高，保密性也得到了充分的保證，同時在做評估的過程中更注重全部過程，考慮較為完善。

2、BS7799標準

BS7799標準是當下國際范圍廣泛應用的最具有獨特代表性的執行標準，這種計算機網絡安全信息風險管理體系由英國的標準協會制定，主要有兩大部分組成。這個標準在進入新世紀以來被國際標準化組織認定為通用標準的前一項及其重要的內容，并予以重新命名，新名字為ISO/IEC21827-2000。組成這一標準的兩個部分分別為《信息安全管理體系規范》和《信息安全管理實施細則》。

3、ISO/IEC21827-2002（SSE-CMM）

這一執行標準是衡量電子計算機網絡信息安全的保障能力的成熟度的一個重要準繩，它對信息安全工程的構建過程做出了詳實且嚴格的規定，進行構建信息安全工程的過程中，這包括實施和使用這一工程的整個過程。這一基礎協議可以保證計算機網絡的整體安全與穩定，在此安全協議之上的網絡架構具有極強的安全性，也能夠根據網絡工程的實際需要進行設計過程的總體優化，從而實現施工過程的安全性拔高一個量級。

4、國家信息化標準

我國在上個世紀末制定了中國的信息化標準，用以適應我國的國情，這一準則，又稱《計算機信息系統安全保護等級劃分準則》，在對計算機的整體信息系統進行保護時把等級詳細地劃分為了五大等級，也就是用戶自主、安全標記、訪問驗證、系統審核、結構化保護五大具體等級，從而保護使用者計算機安全不受侵犯，這一標準已經在實際過程中展開實施，實際實施過程中也是相對上令人滿意的。

二、評估計算機網絡安全潛在風險的方法

1、定性分析

當下一個極為常用的一個分析計算機網絡安全系數的方法就是定性分析法。在這種定性分析過程中，一般是立足于分析檢測人員的知識儲備和以往的檢測知識，通過與現有的檢測標準進行對比，再參考以往的分析案例，再按照風險的高低與大小不同來對不同的對象劃分相應的風險等級。由于這一分析方法包含太多的工作人員主觀的判斷，所以其中包含了許多的研究人員的個人主觀意見，定性分析的不斷深入，其中也就有了更多的不同的新方法，例如事故樹分析法、安全檢查表法、專家評價法等等。

2、定量分析

在這一種方法的利用過程中，我們應該將目光集中在計算機網絡系統中綜合存在的潛在風險，并將這些風險的潛在因素進行分析篩選，并對這些風險可能產生的后果的大小和方式進行分析，從而對這些風險進行提前的預測與衡量，將整個的風險評估過程用數據進行信息化與數量化，使得每一個檢測人員能夠更加精準的確認風險的分析結果。在當下的主要風險分析過程也有不同的方法，既可以立足于風險評估的性質來進行結構的重新建構，從而使得風險要素之間形成相互聯系；也可以采用綜合數據的模糊分析方法，通過建立一個近似的數學模型，利用最大隸屬度的原理和一定的模糊變化的原理，以及其他模糊變化的相應原理，對風險的可能發生的程度進行預先分析，由于采用了數學的方法，這種方式往往比較準確，此外，也可以利用BP神經網，對系統中的可能風險進行記憶與分析，從而更加準確的進行風險分析與預測，在分析的過程中對BP網絡進行不斷地深入優化，提升問題的檢查效率；此外還可以利用灰色系統進行綜合預測，以相應的邊際值為一定的基礎，對所有的潛在變量進行實體化，最終對實體化后的變量進行深層次評估。

3、定性分析與定量分析相結合的方法

計算機內部的運行十分復雜，那么其發生的可能風險也總是不盡相同的，是一個不穩定的動態過程，所以僅僅使用一種簡單的方法是不能夠完全杜絕所有的可能風險，那么就有可能有風險漏網，此時如果同時使用定性分析與定量分析，就可以盡可能的避免可能存在的風險，對兩種方法的處理結果進行總結分析，盡可能的避免可能的風險，提高最終評估結果的準確性。

四、結束語

風險評估是計算機網絡在運行過程中的網民個人信息安全的保護傘，能夠有相應的客觀評估標準是能夠合理開展評估工作的重要方式，科學地選用評估方式，提升自身評估的準確性，為公民的信息安全保駕護航。

參考文獻：

[1]陳燕.計算機網絡信息安全風險評估標準與方法研究[D].中國海洋大學，2015.

[2]陳建樹，王振宇，繆丹.計算機網絡信息安全風險評估標準與方法研究[J].數字通信世界，2017 （8）.

[3]祁倩民，盧世財，汪斌川.對計算機網絡信息安全風險評估標準與方法的探討[J].電腦迷，2017 （21）.

[4]徐天銳，宋傳斌.計算機網絡信息安全風險評估標準創新進展[J].科研，2017 （3）：00203-00203.