信息安全风险评估方法与应用 扫描版

邓祥麒

[摘 要]本文详细的介绍了计算机网络信息系统风险评估的基本理论、组成要素和风险评估技术的发展趋势，同时结合当前的信息系统使用现状，归纳了风险评估的标准，从定性和定皿两个角度总结了风险评估方法，分析比较了二者的优劣势，以便为改进风险评估打好基础。计算机网络信息系统进行安全风险评估过程中，可以针对计算机网络信息系统的组成部分进行评估，并且这些组成部分之间具有较为密切的关联性，因此风险评估过程中具有很重要的安全性。

[关键词]计算机；网络；信息安全；风险评估

中图分类号：TP393.08 文献标识码：A 文章编号：1009-914X（2017）35-0099-01

1 引言

在计算机网络信息安全风险评估过程中要充分的考虑资产价值、安全事件、安全需求、业务战略和参与风险等各类属性进行。风险评估各个基本要素和她的属性之间的关系可以包括以下内容：相关的风险评估机构制定详细的业务评估发展需求战略，并且对其的资产进行有效的评估；计算机网络信息系统资产使用单位具有相关的价值，机构开展具体的业务对资产具有较高的依赖程度，如果资产拥有非常大的价值，因此这些资产就会面临非常大的风险：在计算机网络信息系统执行过程中，风险主要包括两种，分别是人为的风险或者自然的风险，资产面临的安全事件都具有非常大的威胁，导致计算机网络信息系统资产面临较大的风险：计算机网络遭受到的威胁都需要利用系统本身存在的认为制度漏洞或防御技术漏洞而引发或产生，并且资产具有较高的脆弱性，则导致计算机网络信息系统面临的风险越强；对于计算机网络信息系统来讲，风险是固有存在的，是无法避免的，人们对风险的认知就是安全评估风险的需求；资产的安全需求可以通过采用相关的措施，确保计算机网络信息系统具有较高的安全性，并且能够确保计算机网络资产固有的价值，采用计算机网络风险控制和防御措施，以便避免被计算机网络信息系统识破；计算机网络信息系统实施安全保护措施之后，可以有效的降低资产所遭受到的威胁，降低利用脆弱性产生的安全事件：实施计算机网络安全措施，可以降低资产受到的威胁影响，降低威胁利用脆弱性，产生严重的安全风险事件，从而尽可能的将网络信息系统损伤降低到最少；计算机网络信息存在的风险不可能降低为零，事实上风险也是不可能的降低为零，因此需要采用严格的风险防御措施，确保计算机网络信息系统在识别之后残余的风险，残余风险能够受到严格的安全控制，不会发生任何的危害；残余的风险需要受到密切的监视，以便有效地组织其可能导致产生的新的安全事故。

2 计算机网络安全风险评估发展的趋势分析

随着计算机网络信息系统风险评估的应用和普及，因此可以帮助人们加强认知计算机网络安全风险，同时也可以提出网络安全风险评估发展趋势：计算机网络信息系统安全风险评估需要集成使用多种安全技术计算机网络信息系统实施风险评估过程中，需要集成使用多种技术措施，比如日志审计、入侵检测和漏洞扫描等技术，可以将这些技术集成在一起，提供综合的风险评估和分析工具，可以解决数据获取多样化的内容，以便能够为计算机网络信息系统实施安全管理创造良好的条件。风险评估工具需要开发和设计多种功能，为了能够更好的实现计算机网络信息系统的风险评估，以便能够分析信息系统的安全现状，因此未来发展过程中，风险评估工具需要实现风险趋势分析、状态分析、预见性分析等功能，另外，风险评估工具还需要集成系统防御措施，可以调用防火墙、入侵检测系统和审计系统的工具，确保风险评估工具与风险能够实现联动，以便有效的强化计算机网络信息系统的防御，避免威胁提前发生。风险评估逐渐向智能化方向发展，以便更加强有力的支撑人们决策。

3 风险评估标准与方法探析

3.1 风险评估标准

风险评估需要遵循相关机构制定的标准，以便能够获取更加可信的风险评估结果。风险评估标准还可以为计算机网络信息系统提供有效地、安全地、可靠地的服务，同时可把许多的信息系统使用单位建设成为一个个的安全形象模板，以便能夠提高计算机网络信息系统的安全防御能力，并且随着计算机网络信息系统的拓展和应用，许多的发达国家已经根据自身的具体情况和研究进展，颁布了许多的计算机网络信息系统安全风险评估准则和相关的执行标准。

3.2 风险评估方法

3.2.1 定性分析方法

我国计算机网络信息系统的风险评估刚刚起步，处于初级阶段，因此风险评估方法种类较少，主要分为定性分析方法、定量分析方法和定性定量结合的分析方法。计算机网络信息系统定性风险评估方法是一种常用的安全风险评估方法，定性风险评估需要依赖计算机网络信息系统安全评估人员的风险分析经验，风险评估理论知识和相关的主要直觉等信息，结合风险评估的标准和类似案例等，将计算机网络信息系统的风险评估要素按照高低程度、风险影响大小等情况进行分级，风险评估结果具有很强的个人主观性。目前，定性风险评估具体方法包括多种，通过对系统使用人员进行访谈、调研、小组讨论等，针对相关的调查结果实施安全检查表法、专家评价法、事故树分析法、事件树分析法、潜在问题分析法，每一种方法的具体描述如下所示：安全检查表法：安全检查表可以根据计算机网络信息系统风险评估的规范、标准等制定详细地、明确地检查内容，并且能够邀请经验较为丰富的安全风险评估专家进行评估，制定的检查表逐条进行现场检查和评测，以便能够发现信息系统运行过程中潜在的风险，是一种非常有用且简单的方法，具有很强的可操作性，安全检查表方法己经广泛的应用于信息系统安全生产管理过程中，尤其是是较为评估经验较多的案例，比如专家熟知信息设备、设计集成的内容和过程等。

3.2.2 定量分析方法

定量风险评估分析方法的思路针对构成计算机网络信息系统风险的各个组成要素，根据其对系统带来的风险的大小及影响的范围，赋予具体的数值或者代价，以便能够有效的度量计算机网络信息系统的风险要素，因此可以量化整个风险分析和评估的过程，具有非常重要的作用，能够使人们更加清晰的获取评估结果，常用的风险量化评估方法包括多种，具体包括层次分析方法、模糊综合评判方法、BP神经网络方法、灰色系统预测模型方法，详细描述如下所示。层次分析方法可以根据计算机网络信息系统的风险评估性质和需要达到的总体目标，可以将问题分解为许多不同的组成要素，并且能够按照各种要素进行相互关联，根据相关要素的影响、隶属关系能够将引起风险的原因进行不同层次的分类，组织为一个层次化的分析结构模型，并且能够最终把相关的风险分析问题归结为一个相对优劣次序的排序问题，具有重要的风险评估意义。模糊综合评判法根据模糊数学中的最大隶属度原理和模糊变化原理，可以有效的分析风险评估过程中涉及的各个要素，以便做出准确的综合性评价，能够考虑各个要素的风险影响程度。BP神经网络可以对信息系统运航的风险进行学习，并且将学习结果存储到知识库中，通过训练不断的改进网络结构和优化BP学习参数，使得风险评估更加准确，更好的构建一个完整的风险防御体系。定量分析方法的关键技术是确定威胁事件发生的概率，确定威胁发生后对系统引起的损失。另外，从理论分析上来讲，定量分析可以更加准确的、直观的描述系统的风险级别，获取更好的风险分析结果，对于当前日益复杂的计算机网络信息系统来讲，定量分析更具有客观性，因此逐渐成为风险分析和评估的主流方法。

参考文献

[1] 计算机网络信息安全技术研究[D].杨旭.南京理工大学，2008.endprint