淺析計算機網絡信息安全的風險評估標準與方法探究

合肥天帷信息安全技術有限公司 安徽 合肥 230000

引言

近年來,互聯網發展迅速,針對政府、金融、教育等多個領域的計算機系統的攻擊不斷增多,帶來的社會危害和不利影響也越來越大。因此,以何種策略鞏固網絡信息并有效性地對其施行監測,且及時、迅捷、有效地測估風險項并為信息“上好鎖”工作等是亟待整治之項,本篇文論亦將以此為切點進行論析。

一、計算機網絡信息安全風險

(一)計算機網絡安全

一般而言之于網絡信息安全的相關概述,可從計算機網絡自身所存的安全性能及其對信息的控管安全性能進行綜述。若以國際提供的標準細則來論析“信息自身安全性”概念,國際青睞于判定信息有無具備保密及完整性、且信息可否有價值為人所用;“信息控管的安全性”則指向授訪權及控制權、身份的有效鑒別及認證等。值得注意的一面是該“網絡信息安全”的概念是非固化的,其隨用戶的轉變而變化。一般用戶在進行網絡信息傳輸之時傾向于防護個人及機要文件免遭損失,“防聽防竊防改篡”的三防工作是大眾的關注層。故而網絡提供商需要關注的范圍會更加廣泛和多元,除了最基本的網絡信息安全外,還要時刻關注各種不可控的外界因素對網絡信息安全造成的破壞,諸如網絡維修、災害防御及軍政經濟的攻陷等要素。網絡信息的安全維護需要“技術性＋控管”的“兩手抓”,唯有二者共同施用,方可構筑網絡信息的安全地基。

(二)計算機網絡安全風險

近年來,互聯網技術的迅猛發展為人們的生活提供了多種物質和文化享受,但也產生了許多網絡安全風險,數據的泄露、盜取及黑客、病毒入侵等問題讓人們的隱私保護出現諸多問題,存在諸多隱患。網絡信息的風險項包括三方內容。首先是固有的安全漏洞。沒有任何一個系統可以排除漏洞的存在,緩沖區溢出、拒絕服務等系統漏洞會造成系統的不穩定、耗盡或是損壞一個或多個系統的資源;其次是合法工具的濫用。現今各項管理軟件緊隨計算機系統的更進而不斷革新并躍升,其為網民帶來良好體驗度及操作度。但是,升級之后的系統和工具也同樣會成為不法分子增強攻擊性的手段;另外還有不正確的系統維護措施。無效的安全管理也是巨大的安全隱患[1]。

二、網絡信息安全的風險性估測標準

(一)計算機網絡信息安全風險評估

顧名思義,測估事物風險性便是將該事物投入特定情境以預估其蘊含的影響及可能涉及的損失量大小歸納參數,并就預估參數打出風險數值。風險測估的本質便是以比較的程序進行事物危險性測估以便于后續執行。將風險測估置于計算機網絡則使測估的重點集中于“信息系統”及“網絡系統”的安全度,其含括了測估信息在傳送、存儲等流程中嚴密完整度與周全度的有無。

(二)風險評估標準

網絡信息的安全測估項含括如下幾類:CC標準、BS7799標準、ISO/IEC21827－2002(SSE－CMM)以及國家信息化標準。CC標準被劃歸于信息技術的公共考評準則:其列分為模型介紹及安全的保證及功能需求事項等幾部,CC準則綜合了信息體系的周密性、完整度及可利用性等角度,是一項貫穿信息傳導全程的風評測估準則;與此同時,BS7799準則亦為互聯網安全風險測估的經典性細則,《信息安全管理體系規范》及《信息安全管理實施細則》構筑并貫穿BS7799組成項;(又名SSE－CMM)的ISO/IEC21827－2002則為代表信息安全能力等級的范式模型,包含過程改善、能力評估、保證三項基本要素,有助于施工過程安全性的提高;基于信息化準則可將信息體系由用戶自主性、安全項標注、驗證訪問及后臺查審等進行等級性分揀,由此為網絡信息體系扣上安全之鎖[2]。

三、施行網絡信息安全風險測估的策略

(一)制定網絡信息安全管理策略

首先,應使網絡體系結構的定制向有效及合理性進發,可充分施以分段技術中的“物理＋邏輯”手段使局域網得以有效的安全操控,從而隔絕非法式用戶及防范用戶誤觸敏感型網絡資源,并使信息的傳送通道愈加順暢無阻;其次,要完善信息加密。用戶可考核個人及網絡境況并進行網口端點及鏈路的多元化加密途徑選擇,以確保周密性輸傳;另外,要制定網絡安全管理策略。網絡實操章程規范及機房出入登記管核制、網絡維護章程等典章可在一定程度上為網路安全保駕護航。

(二)有效施用網絡信息安全風險的測估方法

首先,要掌握定性評估方法。測估人員的工齡及累積經驗、自身配備的知識理論等要素影響定性風險測估且使得測估結果攜有主觀色彩。事故樹型分析、專家評測考核、安全檢查表型等均為定性測估的施用手段,均比對各風險項準則而得,與此同時,對于風險高低境況及其對最終結果的影響強弱等均可列為風險等級的評定。其次,正確運用定量評估法。定量評估以網絡體系所存風險項為考核基準,測估結果較顯客觀化且益于用戶進行細化察看及分析,BP網絡、層次透析及模糊綜合測評是較為常見的定量測估方式。最后,動態不定性是網絡信息體系運行中所存的隱藏特性,“定性＋定量”的混合型可助力用戶精準把控評估體系所藏風險項,量化可以量化的風險要素,定性分析無法量化的風險要素,綜合后形成分析結果,提高評估結果的準確性。

四、結束語

網絡信息安全涉及到諸多技術性問題,且與信息管理和使用緊密相關,與法律、經濟甚至政治問題也同樣掛鉤,其綜合性較為凸顯,囊概了信息體系自身所存安全遺留的問題,也包括了物理的和邏輯的技術措施。故此,應予以網絡信息安全風控及時性的測估及防范,其事關國家及社會安定與否,應予以嚴正對待。