合肥天帷信息安全技術(shù)有限公司 安徽 合肥 230000

引言

近年來,互聯(lián)網(wǎng)發(fā)展迅速,針對政府、金融、教育等多個領(lǐng)域的計算機系統(tǒng)的攻擊不斷增多,帶來的社會危害和不利影響也越來越大。因此,以何種策略鞏固網(wǎng)絡(luò)信息并有效性地對其施行監(jiān)測,且及時、迅捷、有效地測估風險項并為信息“上好鎖”工作等是亟待整治之項,本篇文論亦將以此為切點進行論析。

一、計算機網(wǎng)絡(luò)信息安全風險

(一)計算機網(wǎng)絡(luò)安全

一般而言之于網(wǎng)絡(luò)信息安全的相關(guān)概述,可從計算機網(wǎng)絡(luò)自身所存的安全性能及其對信息的控管安全性能進行綜述。若以國際提供的標準細則來論析“信息自身安全性”概念,國際青睞于判定信息有無具備保密及完整性、且信息可否有價值為人所用;“信息控管的安全性”則指向授訪權(quán)及控制權(quán)、身份的有效鑒別及認證等。值得注意的一面是該“網(wǎng)絡(luò)信息安全”的概念是非固化的,其隨用戶的轉(zhuǎn)變而變化。一般用戶在進行網(wǎng)絡(luò)信息傳輸之時傾向于防護個人及機要文件免遭損失,“防聽防竊防改篡”的三防工作是大眾的關(guān)注層。故而網(wǎng)絡(luò)提供商需要關(guān)注的范圍會更加廣泛和多元,除了最基本的網(wǎng)絡(luò)信息安全外,還要時刻關(guān)注各種不可控的外界因素對網(wǎng)絡(luò)信息安全造成的破壞,諸如網(wǎng)絡(luò)維修、災(zāi)害防御及軍政經(jīng)濟的攻陷等要素。網(wǎng)絡(luò)信息的安全維護需要“技術(shù)性＋控管”的“兩手抓”,唯有二者共同施用,方可構(gòu)筑網(wǎng)絡(luò)信息的安全地基。

(二)計算機網(wǎng)絡(luò)安全風險

近年來,互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展為人們的生活提供了多種物質(zhì)和文化享受,但也產(chǎn)生了許多網(wǎng)絡(luò)安全風險,數(shù)據(jù)的泄露、盜取及黑客、病毒入侵等問題讓人們的隱私保護出現(xiàn)諸多問題,存在諸多隱患。網(wǎng)絡(luò)信息的風險項包括三方內(nèi)容。首先是固有的安全漏洞。沒有任何一個系統(tǒng)可以排除漏洞的存在,緩沖區(qū)溢出、拒絕服務(wù)等系統(tǒng)漏洞會造成系統(tǒng)的不穩(wěn)定、耗盡或是損壞一個或多個系統(tǒng)的資源;其次是合法工具的濫用?，F(xiàn)今各項管理軟件緊隨計算機系統(tǒng)的更進而不斷革新并躍升,其為網(wǎng)民帶來良好體驗度及操作度。但是,升級之后的系統(tǒng)和工具也同樣會成為不法分子增強攻擊性的手段;另外還有不正確的系統(tǒng)維護措施。無效的安全管理也是巨大的安全隱患[1]。

二、網(wǎng)絡(luò)信息安全的風險性估測標準

(一)計算機網(wǎng)絡(luò)信息安全風險評估

顧名思義,測估事物風險性便是將該事物投入特定情境以預(yù)估其蘊含的影響及可能涉及的損失量大小歸納參數(shù),并就預(yù)估參數(shù)打出風險數(shù)值。風險測估的本質(zhì)便是以比較的程序進行事物危險性測估以便于后續(xù)執(zhí)行。將風險測估置于計算機網(wǎng)絡(luò)則使測估的重點集中于“信息系統(tǒng)”及“網(wǎng)絡(luò)系統(tǒng)”的安全度,其含括了測估信息在傳送、存儲等流程中嚴密完整度與周全度的有無。

(二)風險評估標準

網(wǎng)絡(luò)信息的安全測估項含括如下幾類:CC標準、BS7799標準、ISO/IEC21827－2002(SSE－CMM)以及國家信息化標準。CC標準被劃歸于信息技術(shù)的公共考評準則:其列分為模型介紹及安全的保證及功能需求事項等幾部,CC準則綜合了信息體系的周密性、完整度及可利用性等角度,是一項貫穿信息傳導(dǎo)全程的風評測估準則;與此同時,BS7799準則亦為互聯(lián)網(wǎng)安全風險測估的經(jīng)典性細則,《信息安全管理體系規(guī)范》及《信息安全管理實施細則》構(gòu)筑并貫穿BS7799組成項;(又名SSE－CMM)的ISO/IEC21827－2002則為代表信息安全能力等級的范式模型,包含過程改善、能力評估、保證三項基本要素,有助于施工過程安全性的提高;基于信息化準則可將信息體系由用戶自主性、安全項標注、驗證訪問及后臺查審等進行等級性分揀,由此為網(wǎng)絡(luò)信息體系扣上安全之鎖[2]。

三、施行網(wǎng)絡(luò)信息安全風險測估的策略

(一)制定網(wǎng)絡(luò)信息安全管理策略

首先,應(yīng)使網(wǎng)絡(luò)體系結(jié)構(gòu)的定制向有效及合理性進發(fā),可充分施以分段技術(shù)中的“物理＋邏輯”手段使局域網(wǎng)得以有效的安全操控,從而隔絕非法式用戶及防范用戶誤觸敏感型網(wǎng)絡(luò)資源,并使信息的傳送通道愈加順暢無阻;其次,要完善信息加密。用戶可考核個人及網(wǎng)絡(luò)境況并進行網(wǎng)口端點及鏈路的多元化加密途徑選擇,以確保周密性輸傳;另外,要制定網(wǎng)絡(luò)安全管理策略。網(wǎng)絡(luò)實操章程規(guī)范及機房出入登記管核制、網(wǎng)絡(luò)維護章程等典章可在一定程度上為網(wǎng)路安全保駕護航。

(二)有效施用網(wǎng)絡(luò)信息安全風險的測估方法

首先,要掌握定性評估方法。測估人員的工齡及累積經(jīng)驗、自身配備的知識理論等要素影響定性風險測估且使得測估結(jié)果攜有主觀色彩。事故樹型分析、專家評測考核、安全檢查表型等均為定性測估的施用手段,均比對各風險項準則而得,與此同時,對于風險高低境況及其對最終結(jié)果的影響強弱等均可列為風險等級的評定。其次,正確運用定量評估法。定量評估以網(wǎng)絡(luò)體系所存風險項為考核基準,測估結(jié)果較顯客觀化且益于用戶進行細化察看及分析,BP網(wǎng)絡(luò)、層次透析及模糊綜合測評是較為常見的定量測估方式。最后,動態(tài)不定性是網(wǎng)絡(luò)信息體系運行中所存的隱藏特性,“定性＋定量”的混合型可助力用戶精準把控評估體系所藏風險項,量化可以量化的風險要素,定性分析無法量化的風險要素,綜合后形成分析結(jié)果,提高評估結(jié)果的準確性。

四、結(jié)束語

網(wǎng)絡(luò)信息安全涉及到諸多技術(shù)性問題,且與信息管理和使用緊密相關(guān),與法律、經(jīng)濟甚至政治問題也同樣掛鉤,其綜合性較為凸顯,囊概了信息體系自身所存安全遺留的問題,也包括了物理的和邏輯的技術(shù)措施。故此,應(yīng)予以網(wǎng)絡(luò)信息安全風控及時性的測估及防范,其事關(guān)國家及社會安定與否,應(yīng)予以嚴正對待。