摘 要信息化时代在加快人们获取资源速度的同时,也带来了极大的弊端,由于现今人们对网络的依赖程度越来越高,使网络平台变得越来越复杂,很多企业都将自身的机密保留在网络中,一旦受到了恶意侵犯,将直接会为企业带来巨大的损失。因此为了避免该问题的发生,在信息化时代研究出了信息安全风险评估,其在极大程度上降低了网络遭遇侵袭的几率。基于此,本文着重从三个方面讲述了信息安全中风险评估的应用,随后对其关键技术进行了研究分析,以此来供相关人士交流参考。
【关键词】风险评估 信息安全 关键技术 探究应用
信息安全风险评估是基于信息遭到恶意侵袭而研究出来的一种可以对风险发生可能性进行分析的一种评估方法。其最早出现在上世纪中期,由于评估方法多样且均存在有一定的局限性,因此在使用评估方法进行评估时,就需要结合实际的情况对现有的评估方法进行改进,并对其关键技术进行研究,以保证评估方法可以有效发挥自身的作用,降低信息安全的风险。
1 信息安全中风险评估的原则及工具
1.1 保密原则
使用风险评估对信息安全进行评估时,一定要进行严格的保密,可以采取提前签署保密协定的方式或是利用保密监视的手段对评估进行保密。除此之外,还要将该评估直接添加到安全监管体系中,避免又有新的风险出现在评估过程中。
1.2 标准型原則
进行信息安全风险评估时,一定要结合相关的标准进行评估,做到有据可依。此外,在进行风险计算时,可以使用科学合理的数学模型来计算,同时还要确保整个工作均有与标准相符的评价指标,以使本次评估更具有可信度,增强整个评估过程的有效性以及科学性。
1.3 主动型评估工具
对于主动型评估工具,其是通过人工编制而成的,在对信息安全风险进行评估时,采取的是主动评估的方式,直接对计算机的防火墙进行扫描,从而找出系统正常运行过程中程序内部存在的潜在威胁。
1.4 被动型评估工具
被动型评估工具与主动型评估工具在评估时恰好相反,其在对风险评估时,主要是通过守株待兔的方式有效地守住数据的关卡,对所有流入计算机的数据进行检测,如果捕捉到了较为敏感的数据,直接就会对其分析。此外,该类型的评估工具有着极为明显的优点,其可以对系统在运行阶段的安全情况进行准确的监控。但是如果流入系统的数据存在潜在威胁,该类型的评估工具在评估准确度上便不如主动型评估工具。
1.5 管理型评估工具
该类型的评估工具主要是管理整个评估的过程,其可以有效与前两种评估工具相结合,同时也可以利用研究分析而成的风险管理模型对整个安全系统进行管理。
2 信息安全风险评估关键技术研究
2.1 威胁分析技术
信息安全中无时无刻都存在有潜在的威胁,如果不能及时发现,就会对资产或者组织带来潜在的损害,其可以通过动机、途径、主体以及资源等途径实现,就威胁而言,其主要分为人为因素以及环境因素两种,就环境因素来讲,分为物理因素以及不可抗因素。人为因素分为恶意因素以及非恶意因素。具体的评估步骤如下所示:
2.1.1 识别威胁
研究人员需要根据信息资源的实际情况以及当前环境结合自身的经验对其可能面对的威胁进行评估,由于潜在的威胁形式多样,所以需要结合具体的威胁采取针对性的方式识别。
2.1.2 评估威胁
待对威胁识别完成之后,紧接着研究人员就需要对威胁可能发生的几率进行评估,其需要结合威胁来源以及种类将威胁划分成不同的级别,然后依照类别的不同对可能性进行定义,即威胁的等级越高,就说明威胁发生的可能性越大。
2.2 资产管理技术
资管管理技术主要应用于对价值较高的信息资源的风险评估,具体的形式包括有硬件、文档以及部分服务、形象等。在进行信息安全风险评估时,首先要进行的就是资产评估,此外,在评估的过程中还要遵循风险评估的保密原则,具体的评估方法如下:
2.2.1 划分资产类别
由于资产的来源多样,包括业务管理系统以及网络等,因此在评估时不能采用统一评估的方式,应按照其不同的用途以及形态先对其进行划分。
2.2.2 资产赋值
待对资产类别划分结束以后,就需要结合不同的资产类别对其进行赋值,总共级别有五级,其在衡量时并不需要结合账面的价格来衡量,仅需要在考虑到资产的投入成本的基础上,选取相对价值作为衡量标准。此外,评估人员还需要明确资产评估对网络信息业务的重要性,同时也要明确影响资产赋值的因素,即包括信誉影响、商业利益、系统破坏以及系统安全等。
2.3 脆弱性识别技术
脆弱性识别主要包括技术层面以及管理方面,其在对不安全数据以及因素进行识别时,可以直接使用漏洞扫描的方式对网络设备以及主机进行扫描,尤其是对于一些需要保护的资产,在扫描过程中如果发现了潜在的威胁,就要结合其脆弱性的强度以及威胁可能发生的机会展开风险评估。由于扫描软件是漏洞扫描的必要设备,所以当前市场上也涌入了大批功能强大的扫描软件,可以用于对大多数系统漏洞的扫描。待扫描结束以后,扫描软件会自行对扫描到的数据进行研究分析,从而输出可以反映出系统是否存在风险漏洞的信息。
3 结束语
信息化时代有效地推动了社会的发展,但是由于网络数据的透明,也带来了众多安全风险,尤其是对于一些存储在计算机内部的机密文件,一旦受到恶意的盗窃或者侵袭,直接就会为一方带来极大的损失。尤其是在信息资源就是核心竞争力的市场,安全风险评估更是有着不可忽视的作用。但是由于评估方法众多,因此为了有效降低信息资源被盗取的风险,在对安全管理系统装备时,还要结合实际的情况对其进行目的性的创新,有效规避新的风险,进而提升网络信息的安全度。
参考文献
[1]宋文军,韩怿冰,尚展垒.大数据时代背景下网络安全风险评估关键技术研究[J].网络安全技术与应用,2016(03):59-60.
[2]郑成容.信息安全风险评估在构筑信息安全保障体系中的作用与地位[J].信息安全与技术,2015(04):12-14.
[3]徐慧琼.有关大数据时代背景下网络安全风险评估关键技术研究[J].网络安全技术与应用,2017(07):72-72.
[4]王荣斌,吴茵,周黎辉.基于云平台的信息安全保障及安全风险评估方法的研究[J].网络安全技术与应用,2017(05):80-81.
作者简介
王洁民(1999-),男,湖北省荆门市人。大学本科学历。研究方向为信息安全 。
作者单位
广东省广州市中山大学 广东省广州市 448000