陳 竹

（中國移動通信集團重慶有限公司，重慶 401147）

信息時代的到來，人們的生產(chǎn)生活跟計算機網(wǎng)絡技術的關系越來越緊密，盡管網(wǎng)絡技術給人們的生產(chǎn)生活帶來了非常大的方便，然而網(wǎng)絡安全問題始終給人們帶來威脅，所以我們只有加深討論網(wǎng)絡安全風險評估的方法，網(wǎng)絡安全的風險評估關鍵用于識別網(wǎng)絡體系的安全風險，對計算機的正常運行具備關鍵的作用。怎樣實施網(wǎng)絡安全的風險評估是現(xiàn)階段網(wǎng)絡安全運行重視的焦點。所以，研究網(wǎng)絡安全的風險評估方法具備特別關鍵的實際意義。

1 網(wǎng)絡安全和風險評估

網(wǎng)絡安全是一個相對普遍的定義，對于不一樣的網(wǎng)絡用戶而言代表著不一樣的含義，比如對于一般的個人網(wǎng)絡用戶而言，網(wǎng)絡安全說明不泄露個人隱私、網(wǎng)絡賬號與個人財產(chǎn)安全等；對于企業(yè)而言，網(wǎng)絡安全則和企業(yè)財產(chǎn)、人事與商業(yè)信息記錄和商業(yè)機密相關。

為了確保網(wǎng)絡用戶的信息安全，防止由于網(wǎng)絡非法攻擊而導致泄露信息與財產(chǎn)損失，有關的管理部門結合網(wǎng)絡技術與工作經(jīng)驗，實施加密保護網(wǎng)絡上的部分關鍵信息，使網(wǎng)絡安全等級提高，對網(wǎng)絡流程漏洞進行修復，確保網(wǎng)絡安全。

解決網(wǎng)絡安全的首要問題是風險評估，由于沒有實施透徹的風險分析與評估而進行的安全策略就比如先建房屋后畫圖紙相同，會造成資金與人力資源的極大消耗與浪費。能夠說網(wǎng)絡安全是以風險評估為基礎的，唯有對網(wǎng)絡安全解決方案實施充分有效的風險分析與評估，認識體系現(xiàn)階段和將來的風險所在，評估這些風險也許會帶來的安全威脅和影響程度，才可以把體系的風險降到一個能夠接受的程度，這是風險評估所要完成的任務。

在網(wǎng)絡運行的時候，除了要實施評估網(wǎng)絡自身流程漏洞所導致的安全問題，還要實施安全評估網(wǎng)絡設備、人為原因。對于網(wǎng)絡設備而言，首先對個體網(wǎng)絡設備的資產(chǎn)價值要合理的評估，依據(jù)這一價值，評估其也許會存在的安全問題，并經(jīng)過網(wǎng)絡體系中的漏洞實施風險評估，然后使網(wǎng)絡系統(tǒng)的安全性提高。

2 網(wǎng)絡安全的風險評估方法

2.1 定量分析

簡單而言，定量分析就是從分析對象結果中實施評估信息安全風險的一種方法。定量分析方法轉變?yōu)橘Y產(chǎn)價值和風險為財務價值實施風險分析評估計算。信息安全分析和評估運用定量分析方法，可以供應更加直觀的數(shù)字化量化結論，直接把信息風險也許會導致的風險損失轉化為財物價值，更加直觀的結果，方便決策層理解和接受，然而信息風險的財產(chǎn)關系到程度依賴主觀判斷，計算階段相對繁雜，也沒有產(chǎn)生統(tǒng)一的規(guī)范和數(shù)據(jù)庫系統(tǒng)。

2.2 定性評估技術

定性評估技術關鍵是實施評估網(wǎng)絡的安全風險狀態(tài)，基于推導演繹理論分析體系的數(shù)據(jù)，并結合德爾菲法實施判斷數(shù)據(jù)安全性。在運用定性評估方法的階段中，需要基于背對背通信形式得到對體系安全導致影響的各類原因，并經(jīng)過匿名的形式實施篩選這些數(shù)據(jù)。經(jīng)過充復征詢與反饋分析數(shù)據(jù)處理結果，并依據(jù)分析結果實施判斷體系網(wǎng)絡安全性，對網(wǎng)絡安全風險原因進行評估。定性評估的詳細程序為：查詢數(shù)據(jù)→分析數(shù)據(jù)→篩選數(shù)據(jù)→處理數(shù)據(jù)→計算比例→判斷風險原因→評估安全系數(shù)。

2.3 風險評估

在中國當前網(wǎng)絡技術發(fā)展的時候，網(wǎng)絡安全風險的評估關鍵包含技術與管理2個方面的內容。在迅速發(fā)展科學技術的背景下，實施有效的網(wǎng)絡安全風險評估也是一項技術含量高的活動。從技術與管理這2個方面實施評估分析雙向綜合性，對體系中形成的很多信息實施有效地篩選，然后實施分析計算機網(wǎng)絡中的風險動向，最后使用不一樣的評估方法實施安全性總結。另外，技術與管理2個方法在應用的時候使用的是不一樣的途徑，管理方面關鍵實施有關社會問卷調查，技術方面一般都是實施安全風險的全面分析定義。當前社會上使用非常多的NAMP、ISS都是以這方法來實施網(wǎng)絡安全風險評估的。就現(xiàn)階段國際網(wǎng)絡安全還沒有產(chǎn)生一個統(tǒng)一完整的評估方法，然而依據(jù)不一樣的狀況與發(fā)展需要，能在網(wǎng)絡評估的時候使用定向與定量的分析方法，或是2種方法在特定的狀況下實施交互應用。

2.4 安全風險決策

對信息安全實施風險管理的最基本根據(jù)是信息安全風險評估，就網(wǎng)絡安全來說，網(wǎng)絡安全風險評估的關鍵組成部分是安全風險決策。安全決策就是依據(jù)評估結論決定網(wǎng)絡體系所需要使用的安全方法。風險分析和評估的目的是為了向網(wǎng)絡管理者供應決策支持信息，然后產(chǎn)生科學的、有針對性地安全策略，確保信息體系安全。由上可知，安全風險決策在必然程度上能夠讓網(wǎng)絡威脅獲得有效控制。

2.5 安全風險監(jiān)測

為增強網(wǎng)絡安全管理，在網(wǎng)絡安全的風險評估的時候，安全風險監(jiān)測也非常重要。就現(xiàn)階段來說，在網(wǎng)絡運行期間，體系隨時都有可能出現(xiàn)新的變化，比如增添新的網(wǎng)絡軟硬件、軟件升級、設備更新等都將造成資產(chǎn)出現(xiàn)變化。這時之前的風險評估結論就失去了意義，需要重新實施風險分析、風險評估與安全決策，以適應網(wǎng)絡體系的新變化。安全監(jiān)測過程可以實時監(jiān)視與判斷網(wǎng)絡體系中的各類資產(chǎn)在運行期間的狀態(tài)，并及時記錄與發(fā)現(xiàn)新的變換狀況。所以，建設安全風險監(jiān)測項目數(shù)據(jù)庫，實施動態(tài)分析勢在必行。

3 結束語

網(wǎng)絡安全的風險評估是一項綜合的系統(tǒng)工程，具有長期性與繁雜性。在對網(wǎng)絡安全風險實施評估的時候，要有層次的選取合理的評估方法實施評估，風險分析與評估工作保證有序的實施，同時又要確保安全決策與安全檢驗的完整運行，經(jīng)過對網(wǎng)絡安全風險進行評估，風險原因等級能詳細的確定，然后擬定更加合理、科學的防護方法，進一步確保網(wǎng)絡安全，促進網(wǎng)絡的進一步發(fā)展。