互联网风险评估关键技术研究

◆林乐洲刘彩芹

（1. 371082197706186312 山东 264300;2. 371082197705106325 山东 264300）

互联网风险评估关键技术研究

◆林乐洲1刘彩芹2

（1. 371082197706186312 山东 264300;2. 371082197705106325 山东 264300）

网络安全是网民使用网络进行办公、娱乐时十分关注的问题，是维持人们正常生活和工作的关键。随着网络技术的普及，网络威胁时有发生，因此，网络安全的风险评估工作成了保证网络安全的重要内容，结果表明，网络安全由六要素组成，是黑客等攻击的关键，网络安全风险评估技术涉及资产、威胁、风险、脆弱性评估，并进行风险分析和计算，给出风险决策和建议。这是一项复杂且长期的工作，但只有坚持这样，才能最大程度保证网络安全，降低网络隐患。

网络安全；风险评估；现状；建立

1 网络安全与网络安全风险评估技术

1.1 网络安全

网络安全的实质就是信息安全，其概念可以从用户（个人、企业等）、网络运营和管理者、国家保密部门、社会教育和意识形态等几方面来解释。首先，是指用户所传输的信息等不受其他人侵犯，也可指网络管理者对网络信息的访问等受到保护，避免病毒等对网络资源的攻击，亦可指国家保密部门对国家机密等信息的保护，同时也可以认为是社会层面上对不良信息的过滤。由此看来，网络安全是十分重要的课题。网络安全问题既体现在技术层面，又体现在管理层面，因此既要注意防止外来的非法攻击，又要注意管理人员职业素质的教育和培养。网络安全有六大要素，分别是可靠性、可用性、保密性、完整性、不可抵赖性及可控性。首先，可靠性是网络安全的基本要求之一，也是网络的目标。网络的信息必须能够不被人为破坏，即使破坏后依然可以提供一定服务，且能够满足一定业务要求。第二，可用性是指允许授权的用户随机的多方面的使用。第三，保密性，是指未经授权的用户不能获得其信息，这是保障信息安全的重要手段。第四，完整性，是指网络信息不被恶意篡改，保持其原样。第五，不可抵赖性，即不可否认性，这是保证信息发布者的真实性。最后，可控性是指对于传播的信息能够进行控制，这一行能能够保证对网络信息的有效监控。以上六个性能是体现网络安全的基本要素，缺一不可，任何一项都可能是网络安全的短板。

1.2 网络安全隐患及对策

当前我国网络面临的隐患众多，但归纳看来主要有两种。一种是对网络信息的威胁，另外一种是对网络设备的威胁。而造成网络威胁的因素也有很多，可能是人为因素，也可能是设备因素；可能是有意因素，也可能是无意引起；又或者是黑客攻击引起。总的来说，其因素可分为下边三个方面。

首先，人为恶意因素。人为恶意攻击是网络安全面临的最大隐患，这一威胁将构成犯罪的事实。人为攻击分为主动选择破坏和被动偷偷窃取两种，这两种均会导致信息的泄露。

其次，人为偶然因素。这是由操作人员和用户由于安装、使用的不当而引起的。

最后，软件漏洞因素。没有完全没有漏洞的软件，系统和软件必然存在安全性不足之处。然而，黑客恰恰利用这一漏洞进行网络攻击，这一后果是十分严重的。

网络方面了人们的生活和工作，但网络安全威胁引起的后果确是十分严重的，因此，针对以上威胁，加强教育工作，提高网民网络素质十分重要，同时填补网络漏洞防止黑客“有机可乘”也是刻不容缓的。因此，网络评估技术显得尤为重要。

1.3 风险评估技术

安全风险评估是保障网络安全运行的重要保障。具体而言，是对网络信息的识别、对脆弱点和威胁点的识别，并进行系统评价确定风险级别的一项工作。风险涉及资产、威胁、风险、脆弱性等几个概念。安全风险评估流程简单而言就是首先进行资产评估，确定资产受破坏的程度；再进行威胁评估和脆弱性评估，采用技术手段和数据分析确定威胁过程，寻找系统的缺陷和短板，完成以上评估后，对评估结果进行风险分析和计算，得出风险值，根据分析和结算结果给出风险决策和建议。整个过程涉及的方面十分广泛，因此是一个繁琐而又精密的过程。在进行安全评估的过程中，必须要遵循以下几个原则，依次是标准性原则、整体性原则、可控性原则、最小影响性原则和保密性原则，这些原则是保证评估正常进行的基础，缺一不可，需谨慎对待。

2 网络安全风险评估相关技术

2.1 网络安全防护体系

随着科学技术的发展以及人们对网络认识的提高，网络安全防护体系已逐步被人们认可。如今很多企业开始实施网络安全防护，传统的安全防护系统是采用防火墙+入侵检测+防病毒+访问控制列表体系进行防护，其中，防火墙是位于最外层的保护层，用于过滤内网和外网的信息，防止非法信息的由外部进入，但无法防御内部威胁以及内部被感染文件的外出；检测系统具有检测和分析的功能，防病毒系统用于监控内部病毒情况，保护硬件和软件设施，最后访问控制列表体系用于衡量网络的安全性和便捷性。传统的安全防护系统的保护仍然存在一定漏洞，这一被动的保护模式难以有效解决网络安全问题，近来将安全风险评估加入体系中，用以评估整个防护过程，保证防护体系更好地工作。

2.2 网络扫描

网络扫描是以动态收集信息的方法进行风险评估的新兴技术，它与防火墙、入侵检测系统等配合工作，在管理员的操作下主动发现漏洞，合理评估，防患于未然。

网络扫描技术包含主机扫描、端口扫描和漏洞扫描三种形式。首先，主机扫描是以保护主机为目的，是扫描的初级阶段，常用的扫描手段有ICMP Echo扫描、ICMP Sweep扫描、异常的IP包头以及在IP头中设置无效的字段值四种。其次，端口扫描技术，是在通信通道处进行的扫描，分为全连接扫描、半连接扫描、FIN扫描以及第三方扫描。最后，是漏洞扫描技术。该扫描技术从端口处检测或模拟黑客攻击手法进行自测，从而保护并提高主机系统。

3 网络安全风险评估的建立

网络安全具有动态性的特点，因此要首先进行全面风险分析，合理进行风险评估，及时准确做出安全风险决策，并且要实时监测。如此才能最大限度降低风险，保护网络的安全运行。

4 结论

网络安全不仅是涉及广大网民的问题，更是有关于国家正常运行甚至国家安全的大问题，在网络广泛应用的大时代显得尤为重要。网络安全的风险评估工作是保证网络安全的重要内容，网络安全由六要素组成，是黑客等攻击的关键，网络安全风险评估技术涉及资产、威胁、风险、脆弱性评估，并进行风险分析和计算，给出风险决策和建议。这是一项复杂且长期的工作，但只有坚持这样，才能最大程度保证网络安全，降低网络隐患。

[1]Shawn.黑客现状[EB／OL]. http://blog.csdn.net/ Raiden56/archive/2004/08/25/83949.aspx, 2004.

[2]杨继华.信息安全风险评估模型及方法研究[D].硕士学位论文.西安电子科技大学，2007.

[3]余勇，林为民.电力系统的信息安全评估框架[J].计算机安全，2004.