淺析網絡空間的安全風險評估

柯 學

（深圳證券通信有限公司，廣東 深圳 518040）

隨著互聯網技術的普及，電腦硬件的成本正在呈指數化的下降。此外，隨著軟件開發技術的不斷成熟，也使軟件使用功能越來越強、越來越全面。當今，以互聯網技術為基礎的社會網絡體系已經逐漸形成。截至到今天，互聯網的技術已經遍布我國經濟的各個方面，許多傳統的線下行業也隨著互聯網技術的帶動，將業務由線下轉移到線上。這種形式在為我們工作提高效率的同時，也會暴露大量的個人隱私，使信息安全受到一定威脅，而這種趨勢在近些年越發嚴重。所以，如何凈化網絡環境，保證各個企業的用戶的信息、財產安全等不受到損失，已經成為了當今互聯網技術中亟待解決的問題[1]。

在網絡安全工程的實際操作中，相關人員應該針對不同的網絡漏洞做出有效的安全操作，甄別出各種網絡信號的威脅程度，并且針對不同情況下暴露出的網絡問題進行安全風險評估，這是提高網絡安全環境的一大重點。本文將據此對網絡安全評估的過程進行全面的概述和分析，闡述提升網絡安全評估的準確性，進而達到網絡安全凈化的目的，實現全網網絡安全提升的目標。

1 信息安全風險評估工作流程

信息安全風險評估的流程主要分為五個階段，它們分別是，對風險評估的前期準備，對資產重要性的識別，對于潛在威脅的認定，對網絡脆弱性的風險識別，以及對網絡風險的細化分析[2]。

（1）風險評估的前期準備。風險評估的前期準備工作的主要目的是認清風險評估的等級，做好前期準備工作，包括制定工作計劃、確定工作目標、認定工作范圍和細化工作方案等。同時根據相關系統的工作組建評估團隊。在準備階段，團隊多次進行討論，與乙方進行協商，了解對方所關注的信息安全重點，強化風險評估的范圍和目標，確保整個風險評估工作有的放矢。而后，要根據乙方工作對象的網絡信息規模、網絡屬性、網絡復雜性來統籌分析，明確人員的具體分工，指派工作人員進行現場調研，了解乙方網絡的具體構建情況和網絡管理制度。根據掌握前期的信息，撰寫安全風險報告，進而為下一步的工作奠定基礎。

（2）進行資產重要性的識別。在做好風險評估的前期準備工作之后，就要進行對被評估方資產重要性的識別工作。這項工作具體來說需要相關工作人員運用多種途徑，來了解評估對象的相關資產信息，為后續的各項風險評估工作提供基礎的理論。同時，要明確工作的方向，識別出工作的主要內容，向被評估方進行資產調查，通過對評估方發放資產調查表來了解被評估方的資產信息，對資產進行重要的論證和標注、分類，防止資產信息遺漏。同時，對每一項資產做仔細的確認和錄入工作。

（3）對于潛在威脅的認定。對于潛在威脅的認定具體表現為對具體威脅的識別。對威脅的確認源自于對手評估方資產所處的環境以及之前資產信息的數據來進行推斷。這種威脅的判別形式一般是通過采集IDS報警信息和侵入系統等問卷的調研方式，結合對公司相關的技術方案人員進行咨詢和研討。通過這種方式，能夠收集到準確的第一手威脅信息。除此之外，要準確的找到問卷調查的對象，在問卷內容要富含所被評估方的各個方面，包括技術人員、領導人員、系統管理人員、安全人員以及其他員工等。同時，在訪談主要要根據不同的訪談對象制定不同的談話內容，以確保訪談的質量。對于潛在威脅判別最為關鍵的一點，在于確認引發威脅的人物或者事物，這里的危險源既可能是偶然情況出現的，也可能是黑客或者其他人惡意攻擊出現的。這包括系統自身的問題，人為的問題以及其它問題等等。對于一項資產來說，他可能會同時面臨著幾個危險點，而同一個危險點也可以對被調研方不同的資產類型產生不利的威脅。在進行識別后，威脅系統還可以自己進行評估，列出具體的威脅清單，對不同系統、不同位置的威脅信息進行有效梳理。

（4）對于網絡脆弱性的識別。對網絡信息安全脆弱性的識別，是整個風險評估體系中最為復雜、最不容易把握的內容，但它也是最為重要的一個環節。這項風險評估的操作對于工作人員的專業水平提出了很高的考驗。網絡信息安全的脆弱性主要表現為：系統對信息管理的脆弱性，和系統技術能力本身的脆弱性。系統對管理方面的脆弱性主要是通過調查者發放相關問卷，組織專家訪談及收集現有管理制度的漏洞來完成。而技術方面的脆弱性檢測，則要通過專業的工具，對系統漏洞的范圍內進行軟件補丁的安裝和升級，并且在升級之后進行識別，確認安全后即完成工作。在實際的操作中，要注意脆弱性識別具有全面性的特點，它主要包括網絡應用管理、物理操作、數學計算等各個方面，如果想更好地分析網絡的脆弱性對整個系統影響度的高低，最好的方法就是對關鍵資產進行技術性的檢測。例如，對關鍵服務的身份識別等操作的方式。在進行識別操作之后，還要對具體資產脆弱性進行系統的分類，按照實際脆弱性的高低程度來具體細分不同等級內容。

（5）對網絡風險的細化分析。按照具體的分類來看，構成網絡風險主要的內容有：資產、網絡威脅和網絡脆弱性。在了解這些網絡風險的實際內容之后，就可以確定具體存在的網絡風險的具體內容。對于風險分析進行動態的排列，一般分為三個步驟，一是要計算風險大小程度；二是對風險形成的原因，和風險的影響，產生具體的調研報告；三是對風險的下一步防控提出合理化可行性建議，根據資產對被檢查方本身重要性來進行列表。同時，還要對各項信息面臨的威脅進行逐一的排列，進行統籌考慮，根據科學的風險計算法則，核對出相應資產的風險數值，形成科學的資產列表。通過采集到的數據，對網絡系統中的風險進行下一步的定量分析。從風險的特征上來說，風險只能被預防，但是卻難以避免。“道高一尺，魔高一丈，”想要完全消除風險幾乎是不可能的，不過可以接受正常類型的風險。隨著網絡安全信息技術的發展，網絡風險也隨之進行了發展。所以我們必需要及時更新技術，調整策略來避免不必要的風險，對于小型或中等類型的風險來說可以接受，但是要盡快想辦法通過技術手段來消滅潛在風險。

2 信息安全風險評估分析采集及分析

（1）信息安全風險評估的概念。所謂信息安全風險評估，就是從管理學的角度，通過科學、規范的方法和手段來系統的分析各個網絡內部環境信息，通過對分析，歸納出信息系統面臨的威脅環境以及存在的漏洞，并對此進行統籌化評估，通過評估使網絡威脅發生的可能性降到最低，進而提出相對有針對性抵御安全威脅的防護手段，防止信息泄露、保證信息安全，降低風險的水平，將風險控制在可接受的范圍，最大程度上的保護網絡正常運行，為虛擬網絡空間的正常運轉提供有力的幫助，并提出科學的依據。網絡安全風險評估工作的推進，有利于提升網絡環境的純凈度、安全性，是確保網絡安全的最重要因素。信息安全評估主要是針對網絡的平臺、網絡系統和網絡信息進行統籌的歸類，并進行研究。從步驟上來說，一般是通過對各類威脅因素進行分析后進行分類識別，并判斷出此目標對網絡的損壞程度，將此種破壞的類型進行歸類，最終得出結果，對結果進行綜合評估，分析各類隱患對網絡安全破壞程度的大小，并據此形成風險評估報告，相關工作人員根據評估的內容，具體作出保護網絡安全的具體措施[3]。

（2）網絡掃描，風險篩查。在對網絡安全風險的管理工作中，第一步就是要對計算機網絡進行整體的掃描，對存在的病毒或安全隱患進行篩查。通過對計算機用戶的內容進行掃描的過程中，如果發現網絡的信息內容發生了變化或者和預期接收信息的內容不同，篩查系統就會將異常數據與正常的網絡數據進行對比，并對異常數據進行全方位的分析，并把分析的結果或其它病毒、流氓軟件等信息及時的列舉出來，并把分析出的結果報送給系統管理員，管理員可以根據系統評估出的結果進行分析并采取相應的應急措施，確保網絡系統安全。網絡掃描除了對異常數據整合和信息接收之外，還能夠對局域網絡的運行參數和網絡異常性、資源分配性等內容進行實時監控，從多個角度檢查網絡中潛在的不安全因素，實現網絡安全工作的第一項重要內容。

（3）高效判斷，定量分析。在進行全盤的網絡掃描工作之后，網絡安全系統還通過定量分析的技術進行信息檢查。這是因為網絡系統的數據大多是以動態化呈現，數據具有多變性和跳躍性，所謂的網絡安全也分為多個角度，此外各種網絡威脅的程度也大小不一。所以通過定量的分析方法，可以針對某一領域的信息統籌分類，通過相應的參數來預估風險的大小，對不同類別的網絡威脅采取不同的手段和方法，這樣對于網絡安全管理員來說，也提供了工作的便利性、系統性，使工作人員更加直觀的獲取網絡安全信息[4]。

（4）資源整合，形成數據庫。在進行全盤的網絡掃描和定量分析等前期的資料整合工作后，就要將收集的信息錄入數據庫，對異常數據進行匯總和歸納，在未來遇到類似系統的威脅時，可以通過網絡安全系統進行自動的識別。此外，通過形成數據庫可以科學的建立計算機網絡的訪問權限和網絡加密，實現對機密數據的保護功能。一般來講，數據庫系統內包含了多維護的自我調控系統，如：故障維修、數據恢復等功能，通過這些功能來不斷的提升網絡數據的安全等級，進而維護網絡安全。

但是在實際操作中，網絡數據庫可能還會出現如下安全問題：一是某些惡意用戶和流氓軟件會利用SQL的漏洞，通過此漏洞進行代碼的惡意輸入，從而實現對用戶信息的竊取；二是安全數據庫的漏洞，還會出現在操作者在使用網絡計算機時，數據的通行證被無意間的泄露，致使信息被黑客或者其他非法作用的人進行竊取。通過對用戶計算機的登錄密碼數據的獲取，直接進入到后臺對計算機的信息進行竊取，造成計算機主人的財產和資料信息的損失。

近些年經過科研人員的不斷探索，安全數據庫已經實現了多次升級，對兩項弊端進行了有效的彌補，第一是對SQL的語言具有更規范性的要求。這種命令式的語言僅能有軟件的開發者擁有。同時，數據庫內容可以不連接外部網絡，以此使數據庫的安全得到更好的保障。此外，針對數據庫通行證的規范性和安全性，提高了登錄的賬號和密碼等級，形成三級密碼或四級密碼，并加入人臉識別，指紋識別等，進一步提升了數據庫的安全[5]。

3 結 語

隨著科技飛速發展的今天，我們的日常生活已經離不開互聯網，網絡安全與社會的發展、人們的正常生活，都息息相關，它不但影響人民的利益，也影響著社會的穩定。本文通過詳細闡述信息安全風險評估的各個工作流程和結合信息安全風險評估的采集，為完善網絡安全信息工作提供相應的參考。