韓強

摘要：隨著經(jīng)濟社會的不斷發(fā)展，計算機網(wǎng)絡(luò)的使用也越來越普及，給我們的日常工作與生活提供了極大的便利，但是網(wǎng)絡(luò)的普及也就給了網(wǎng)民的個人信息暴露在外，信息的泄露與潛在的威脅也就可能發(fā)生，為了盡可能避免這些風(fēng)險的出現(xiàn)，并且保證每個網(wǎng)民的信息安全與整體網(wǎng)絡(luò)環(huán)境的長治久安，我們就需要對網(wǎng)絡(luò)風(fēng)險及時開展評估工作，本文立足于計算機網(wǎng)絡(luò)的風(fēng)險評估流程與方法，并加以分析，為實際操作過程提供可行的理論參考。

關(guān)鍵詞：計算機網(wǎng)絡(luò)；公民信息安全；理論方法；綜合評估

一、計算機網(wǎng)絡(luò)的評估標(biāo)準(zhǔn)

1、CC標(biāo)準(zhǔn)

由美國、加拿大以及歐洲的四個國家起草的CC標(biāo)準(zhǔn)是計算機的信息技術(shù)的安全程度評估標(biāo)準(zhǔn)，立足于現(xiàn)有的多種風(fēng)險評估標(biāo)準(zhǔn)，由國際組織進行修訂的具有標(biāo)準(zhǔn)化操作流程的風(fēng)險評估標(biāo)準(zhǔn)，由于它汲取了各個風(fēng)險標(biāo)準(zhǔn)的長處，其合理性也是完全可以保證的。又由于它實現(xiàn)了對各個不同標(biāo)準(zhǔn)的覆蓋，其全面性也是具有充分的保證的。在此標(biāo)準(zhǔn)之下的一切網(wǎng)絡(luò)，它的主要框架與各個具體的功能，都是以ITSEC的標(biāo)準(zhǔn)作為主要的來源的。CC標(biāo)準(zhǔn)有三個具體的部分，它們分別是一般模型、安全功能需求、安全保證需求，無論是哪一個模塊，其重要性都是不可忽視的。如果把CC標(biāo)準(zhǔn)與以往的計算機安全標(biāo)準(zhǔn)相比，還是具有很大的可操作性的，例如，在實際應(yīng)用的過程中，CC標(biāo)準(zhǔn)與PDR標(biāo)準(zhǔn)是相似的，對于整個信息系統(tǒng)的保障較為完整，實用性更高，保密性也得到了充分的保證，同時在做評估的過程中更注重全部過程，考慮較為完善。

2、BS7799標(biāo)準(zhǔn)

BS7799標(biāo)準(zhǔn)是當(dāng)下國際范圍廣泛應(yīng)用的最具有獨特代表性的執(zhí)行標(biāo)準(zhǔn)，這種計算機網(wǎng)絡(luò)安全信息風(fēng)險管理體系由英國的標(biāo)準(zhǔn)協(xié)會制定，主要有兩大部分組成。這個標(biāo)準(zhǔn)在進入新世紀(jì)以來被國際標(biāo)準(zhǔn)化組織認(rèn)定為通用標(biāo)準(zhǔn)的前一項及其重要的內(nèi)容，并予以重新命名，新名字為ISO/IEC21827-2000。組成這一標(biāo)準(zhǔn)的兩個部分分別為《信息安全管理體系規(guī)范》和《信息安全管理實施細(xì)則》。

3、ISO/IEC21827-2002（SSE-CMM）

這一執(zhí)行標(biāo)準(zhǔn)是衡量電子計算機網(wǎng)絡(luò)信息安全的保障能力的成熟度的一個重要準(zhǔn)繩，它對信息安全工程的構(gòu)建過程做出了詳實且嚴(yán)格的規(guī)定，進行構(gòu)建信息安全工程的過程中，這包括實施和使用這一工程的整個過程。這一基礎(chǔ)協(xié)議可以保證計算機網(wǎng)絡(luò)的整體安全與穩(wěn)定，在此安全協(xié)議之上的網(wǎng)絡(luò)架構(gòu)具有極強的安全性，也能夠根據(jù)網(wǎng)絡(luò)工程的實際需要進行設(shè)計過程的總體優(yōu)化，從而實現(xiàn)施工過程的安全性拔高一個量級。

4、國家信息化標(biāo)準(zhǔn)

我國在上個世紀(jì)末制定了中國的信息化標(biāo)準(zhǔn)，用以適應(yīng)我國的國情，這一準(zhǔn)則，又稱《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》，在對計算機的整體信息系統(tǒng)進行保護時把等級詳細(xì)地劃分為了五大等級，也就是用戶自主、安全標(biāo)記、訪問驗證、系統(tǒng)審核、結(jié)構(gòu)化保護五大具體等級，從而保護使用者計算機安全不受侵犯，這一標(biāo)準(zhǔn)已經(jīng)在實際過程中展開實施，實際實施過程中也是相對上令人滿意的。

二、評估計算機網(wǎng)絡(luò)安全潛在風(fēng)險的方法

1、定性分析

當(dāng)下一個極為常用的一個分析計算機網(wǎng)絡(luò)安全系數(shù)的方法就是定性分析法。在這種定性分析過程中，一般是立足于分析檢測人員的知識儲備和以往的檢測知識，通過與現(xiàn)有的檢測標(biāo)準(zhǔn)進行對比，再參考以往的分析案例，再按照風(fēng)險的高低與大小不同來對不同的對象劃分相應(yīng)的風(fēng)險等級。由于這一分析方法包含太多的工作人員主觀的判斷，所以其中包含了許多的研究人員的個人主觀意見，定性分析的不斷深入，其中也就有了更多的不同的新方法，例如事故樹分析法、安全檢查表法、專家評價法等等。

2、定量分析

在這一種方法的利用過程中，我們應(yīng)該將目光集中在計算機網(wǎng)絡(luò)系統(tǒng)中綜合存在的潛在風(fēng)險，并將這些風(fēng)險的潛在因素進行分析篩選，并對這些風(fēng)險可能產(chǎn)生的后果的大小和方式進行分析，從而對這些風(fēng)險進行提前的預(yù)測與衡量，將整個的風(fēng)險評估過程用數(shù)據(jù)進行信息化與數(shù)量化，使得每一個檢測人員能夠更加精準(zhǔn)的確認(rèn)風(fēng)險的分析結(jié)果。在當(dāng)下的主要風(fēng)險分析過程也有不同的方法，既可以立足于風(fēng)險評估的性質(zhì)來進行結(jié)構(gòu)的重新建構(gòu)，從而使得風(fēng)險要素之間形成相互聯(lián)系；也可以采用綜合數(shù)據(jù)的模糊分析方法，通過建立一個近似的數(shù)學(xué)模型，利用最大隸屬度的原理和一定的模糊變化的原理，以及其他模糊變化的相應(yīng)原理，對風(fēng)險的可能發(fā)生的程度進行預(yù)先分析，由于采用了數(shù)學(xué)的方法，這種方式往往比較準(zhǔn)確，此外，也可以利用BP神經(jīng)網(wǎng)，對系統(tǒng)中的可能風(fēng)險進行記憶與分析，從而更加準(zhǔn)確的進行風(fēng)險分析與預(yù)測，在分析的過程中對BP網(wǎng)絡(luò)進行不斷地深入優(yōu)化，提升問題的檢查效率；此外還可以利用灰色系統(tǒng)進行綜合預(yù)測，以相應(yīng)的邊際值為一定的基礎(chǔ)，對所有的潛在變量進行實體化，最終對實體化后的變量進行深層次評估。

3、定性分析與定量分析相結(jié)合的方法

計算機內(nèi)部的運行十分復(fù)雜，那么其發(fā)生的可能風(fēng)險也總是不盡相同的，是一個不穩(wěn)定的動態(tài)過程，所以僅僅使用一種簡單的方法是不能夠完全杜絕所有的可能風(fēng)險，那么就有可能有風(fēng)險漏網(wǎng)，此時如果同時使用定性分析與定量分析，就可以盡可能的避免可能存在的風(fēng)險，對兩種方法的處理結(jié)果進行總結(jié)分析，盡可能的避免可能的風(fēng)險，提高最終評估結(jié)果的準(zhǔn)確性。

四、結(jié)束語

風(fēng)險評估是計算機網(wǎng)絡(luò)在運行過程中的網(wǎng)民個人信息安全的保護傘，能夠有相應(yīng)的客觀評估標(biāo)準(zhǔn)是能夠合理開展評估工作的重要方式，科學(xué)地選用評估方式，提升自身評估的準(zhǔn)確性，為公民的信息安全保駕護航。

參考文獻：

[1]陳燕.計算機網(wǎng)絡(luò)信息安全風(fēng)險評估標(biāo)準(zhǔn)與方法研究[D].中國海洋大學(xué)，2015.

[2]陳建樹，王振宇，繆丹.計算機網(wǎng)絡(luò)信息安全風(fēng)險評估標(biāo)準(zhǔn)與方法研究[J].數(shù)字通信世界，2017 （8）.

[3]祁倩民，盧世財，汪斌川.對計算機網(wǎng)絡(luò)信息安全風(fēng)險評估標(biāo)準(zhǔn)與方法的探討[J].電腦迷，2017 （21）.

[4]徐天銳，宋傳斌.計算機網(wǎng)絡(luò)信息安全風(fēng)險評估標(biāo)準(zhǔn)創(chuàng)新進展[J].科研，2017 （3）：00203-00203.