孫海申

【摘? 要】互聯(lián)網信息技術系統(tǒng)是當代社會建設事業(yè)推進過程中需要依賴和運用的關鍵性技術系統(tǒng)之一，擇取和運用適當方法做好網絡安全風險評估工作，能夠使互聯(lián)網信息技術系統(tǒng)在具體運行的過程中順利發(fā)揮最佳功能。本文將基于等級保護的思想，對網絡安全風險評估技術進行簡要的闡釋分析。

【關鍵詞】等級保護思想;網絡安全;風險評估技術;研究分析

引言

當前發(fā)展背景之下，應用頻率較高且具備充分可靠性的網絡安全測評技術方法，涉及等級保護測評技術方法，以及安全風險評估測評技術方法兩個類型，其中等級保護測評技術方法在運用過程中能全面準確判斷揭示被測評對象所具備的安全符合性，安全風險評估測評技術方法在運用過程中能有效呈現(xiàn)被測評對象在特定時間節(jié)點之下所客觀存在的安全風險問題類型。盡管基于不同的切入角度針對被測評對象實際所處的安全狀態(tài)展開了評價分析，但是在具體的技術操作環(huán)節(jié)實施過程中，等級保護測評技術方法，以及安全風險評估測評技術方法也存在著基于過程層面，以及方法層面的相互貫通關系，客觀上支持技術人員針對等級保護測評技術方法，以及安全風險評估測評技術方法進行結合運用。以中國電信集團有限公司北京研究院趙陽領銜的研究團隊曾經實施過指向大規(guī)模網絡動態(tài)風險評估技術應用方法的研究分析工作，提出并且倡導推進了運用風險評估工作成果開展安全等級動態(tài)調整技術活動的實踐思路，該團隊所實施的工作，本質上是針對測評工作技術成果的運用，而不是針對測評技術方法的相互結合。

1.網絡安全測評技術活動具體開展過程中需要面對的兩個難點

（1）等級保護制度是現(xiàn)階段我國在開展網絡安全管理工作過程中需要運用的重要制度，應當找尋和運用適當策略，做好等級保護制度與網絡安全風險評估工作之間的相互結合，繼而在準確判斷被評估對象是否符合相關安全性控制規(guī)定前提下，全面判斷揭示被評估對象正在面對的安全風險隱患問題。

（2）國家標準文件GB/T20984針對資產要素、威脅要素，以及脆弱性要素所提出的識別范圍，以及賦值操作方法，已經無法充分支持和滿足網絡安全風險評估工作具體開展過程中的基本需求，迫切需要擇取和運用適當策略展開改良調整。

2.等級保護的合規(guī)性評判分析

所謂等級保護測評技術活動，本質上是針對網絡技術系統(tǒng)運行過程中具體確定的安全技術等級實施基于合規(guī)性層面的評判干預過程，網絡技術系統(tǒng)運行過程中實際具備的安全等級，應當遵照網絡技術系統(tǒng)實際具備的業(yè)務信息安全等級，以及網絡技術系統(tǒng)服務安全等級具體加以確定。網絡技術系統(tǒng)的業(yè)務信息安全等級，與網絡技術系統(tǒng)內部實際承載的信息資產要素，以及具體運作支持的業(yè)務項目具備密切相關性，而在資產要素實際具備的保密性狀態(tài)、完整性狀態(tài)，以及可用性狀態(tài)遭受破壞條件下，通常會顯著提升網絡技術系統(tǒng)具體運行過程中的業(yè)務信息安全風險等級;網絡技術系統(tǒng)服務安全的意義，在于支持和確保具體的定級對象能夠及時且全面地對外提供服務支持，其關鍵性程度，主要依賴網絡技術系統(tǒng)運行過程中的服務覆蓋范圍，以及各類基本業(yè)務活動對網絡技術系統(tǒng)的依賴程度。

在現(xiàn)有技術發(fā)展背景之下，網絡技術系統(tǒng)等級保護測評活動的開展過程涉及如下步驟：

（1）針對網絡技術系統(tǒng)所具備的基本情況展開調查，全面分析認識網絡技術系統(tǒng)在定級要求方面、資產構成方面、網絡拓撲方面、主要業(yè)務方面，以及既往安全威脅方面的基本信息。

（2）遵照網絡技術系統(tǒng)實際具備的基本狀態(tài)，具體分析確定測評對象、測評內容，以及測評指標。

（3）遵照具體選擇確定的測評對象和測評指標，遵循等級保護指導思想的基本要求，以及測評技術要求等基本指導標準，針對實際選擇確定的測評對象，以及測評指標逐項開展現(xiàn)場測評技術干預環(huán)節(jié)。

（4）遵照實際獲取的測評技術結果，針對網絡技術系統(tǒng)依次開展單元測評技術環(huán)節(jié)、整體測評技術環(huán)節(jié)，以及總體安全狀況分析技術環(huán)節(jié)。在具體推進總體安全狀況分析技術環(huán)節(jié)期間，要在全面充分認識目前已經具備的安全保障技術措施前提下，對具體技術測試環(huán)節(jié)開展過程中遭遇的安全問題展開風險評估。

3.網絡技術系統(tǒng)風險評估實施方法

遵照國家標準文件GB/T20984中闡釋的定義和相關信息，所謂網絡信息安全風險評估，就是要遵照指向信息安全領域的相關技術和管理標準，針對網絡信息技術系統(tǒng)，以及經由網絡信息技術系統(tǒng)完成處理環(huán)節(jié)、傳輸環(huán)節(jié)和存儲環(huán)節(jié)的信息要素所具備的保密性狀態(tài)、完整性狀態(tài)，以及可用性狀態(tài)等安全屬性狀態(tài)展開評價揭示;要具體評估分析資產要素所面對的基本威脅和脆弱點，以及在脆弱點被利用條件下引致發(fā)生各類安全風險隱患事件的可能性，并且參照結合安全風險隱患事件發(fā)生過程中具體涉及的資產要素類型，具體確定安全風險問題發(fā)生條件下的嚴重程度。

在現(xiàn)有技術發(fā)展背景之下，網絡技術系統(tǒng)風險評估活動的開展過程涉及如下步驟：

（1）準確分析梳理被測評對象所占有和控制的資產要素，及其目前所處的價值水平。

（2）找尋確定資產要素實際具備的基本漏洞和基本弱點。

（3）辨識并且判斷被測評對象可能遭遇的安全威脅問題。

（4）遵照理論分析模型具體評判確定被測評對象所存在的安全風險問題。

4.等級保護測評與風險評估的關聯(lián)性分析

（1）等級保護測評技術活動可以被視作風險評估技術活動開展過程中的前提和基礎，借由開展等級保護測評技術活動，有助于明確揭示網絡技術系統(tǒng)內部資產要素的重要性，以及脆弱源。

（2）風險評估技術環(huán)節(jié)中獲取結果所具備的準確性和客觀性表現(xiàn)狀態(tài)，與等級保護測評技術活動過程中所選取的資產要素具備密切相關性，實際擇取的資產要素覆蓋范圍越寬廣，種類構成越齊全，則實際獲取的評估工作結果就越有價值。

（3）在具體組織開展等級保護測評技術活動，以及風險評估技術活動過程中，均可以全面綜合選擇運用漏洞掃描技術方法、滲透測試技術方法，以及配置核查技術方法等多樣化測評技術方法，繼而發(fā)現(xiàn)和揭示網絡技術系統(tǒng)資產在多個不同層面所出現(xiàn)的安全隱患問題與漏洞問題。

（4）在具體組織開展等級保護測評技術活動，以及風險評估技術活動過程中，實際選擇的檢測技術對象，應當廣泛性地覆蓋和包含物理技術環(huán)境層面、網絡層面、服務器設備層面、終端設備層面、應用系統(tǒng)層面、數(shù)據(jù)信息層面、管理制度層面，以及參與人員層面。

（5）從具體實施的檢測技術活動流程角度展開分析，等級保護測評技術活動，以及風險評估技術活動均可以被劃分處理成四個階段：準備技術階段、方案編制技術階段、現(xiàn)場實施技術階段，以及報告編制技術階段。

5.結束語

綜合梳理現(xiàn)有研究成果可以知道，針對網絡風險開展的評估技術活動，是網絡安全保護與管理工作開展過程中需要涉及的重要步驟之一，在引入等級保護思想背景下開展網絡安全風險評估技術活動，能夠支持和保障網絡技術系統(tǒng)在具體運行過程中維持充分的安全性和穩(wěn)定性，發(fā)揮最優(yōu)化的技術效能。

參考文獻

[1]趙鵬，白國柱.基于生成對抗網絡人臉生成技術信息安全風險研究[J].網絡安全技術與應用，2020（01）：55-58.

[2]郭江，張志華，付志遠，雷亮，李小龍，葉雨龍.水庫大壩安全監(jiān)測監(jiān)控系統(tǒng)網絡安全風險評估及防護技術解決方案[J].水電站機電技術，2019，42（07）：41-43.

[3]何靜，楊翼.物聯(lián)網環(huán)境下的乳制品供應鏈質量安全風險管理研究[J].中國乳品工業(yè)，2019，47（02）：43-47.

[4]徐慧瓊.有關大數(shù)據(jù)時代背景下網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2017（07）：72+89.