计算机网络信息安全风险评估探讨

李莹

摘要：随着计算机网络信息系统的快速发展，其全局性的作用日益突显。但与此同时，国内网络信息安全风险评估体系尚不完善，信息安全风险评估工作仍存在较多制约性因素。因此，计算机网络信息安全风险评估在安全保障工作中具有举足轻重的地位和作用。本文从信息安全风险评估特点出发，在此基础上探讨了当前计算机网络信息安全风险评估采用的方法和主要防护措施，以期为网络信息安全风险评估提供实际应用参考。

关键词：网络；信息安全；风险评估

一、计算机网络信息安全风险评估概述

（一）计算机网络信息安全隐患

当前，网络信息资讯爆炸性的增长为公众信息资源需求提供了可能，同时也为我国传统行业的发展及升级提供了契机。因此，网络信息安全的重要性日益增加。众所周知，网络信息安全问题作为计算机网络发展面临的主要问题，关系到国家安全、经济发展及社会的稳定。虽然计算机网络技术的发展及安全防护措施具备了一定深度，但由于信息开放性特点，在全球化环境下这一特点对信息安全仍存在一定冲击性。与此同时，信息安全风险评估管理工作及人才的匮乏也加剧了这一隐患。

（二）计算机网络信息安全风险评估方法

目前信息安全风险评估方法主要有SP 800-30信息技术系统风险管理指南法、可操作性的关键威胁、资产和脆弱性评价法（OCTAVE）、信息安全评估法（LAM）、层次分析法（AHP）、安全风险分析管理和评估法（COBRA）等。

信息技术系统风险管理指南法风险评估属于定性评估方法，主要包括以下几个步骤：1.确定工作范围；2.识别潜在危险源并列出其可能攻击的系统弱点；3.控制分析；4.总体可能性评级确定被攻击的可能性；5.进行影响分析；6.确定风险等级；7.控制建议，降低网络信息安全系统的风险级别。8.输出风险评估报告。

OCTAVE为非线性、迭代的信息安全风险评估方法。评估时主要考虑资产、威胁、弱点及影响。分为3个阶段进行：1.从组织的角度进行的评估，建立基于资产的威胁配置文件；2.评估计算基础结构，找出对关键资产进行未授权行为的技术弱点；3.找出组织关键资产的风险，并确定要采取的措施，即确定开发安全策略和计划。

信息安全评估法是一种以信息为主资产，最大化利用资源的安全评估方法。分为评估前、评估中及评估后3个阶段进行评估。评估前主要的目标是客户需求，确定范围及风险评估的编写计划；评估中即现场活动，进行评估所需数据的收集与验证；最后是输出评估报告。

AHP法是将多目标决策方法定性、定量相结合，其本质是将评估者的经验判断进行量化，进而提供定量数据，为评估者最后做出的决策提供依据。评估者对网络信息进行元素分层、数据定量、决策规范化处理，这一过程包括3个阶段：1.对网络信息系统进行分解，构建信息系统的结构模型。2.建立经验判断矩阵，通过单层次计算对网络信息进行安全性判断，引入了九分位比例标度，最终确定信息系统中与其相关元素的相对风险权值。3.最后对每一信息层级中的元素进行排序，做出综合评估。

COBRA安全风险分析管理和评估法不仅可用于信息安全风险管理，同时还可对安全风险评估是否符合BS7799标准进行判断。这一方法通常采用调查表格形式，主要评估脆弱性和威胁的相关重要性，并输出改进的建议，最终为信息安全风险划分等级，形成评估报告。具有图表统计功能丰富、生产报告详尽等特别。

（三）计算机网络信息安全风险评估标准

我国网络信息安全常用法规标准有：《信息安全风险评估指南》和《信息安全风险管理指南》。对于计算机信息系统，分为5个保护等级，即用户自主、安全标记、访问验证、系统审计及结构化保护。目前国际上常用的标准主要有两个：CC标准及BS7799标准。CC标准应用广、功能全面，基于全过程进行评估，其属于信息技术安全评估公共标准。BS7799标准为英国标准协会制定，后改名为ISO/IEC17799-2000，是目前较为成熟的信息安全评估标准。分为过程改善、能力评估及保证3项，主要针对信息安全建设过程的评估。

评估指标为：1.被检查单位网络安全系统策略应符合网络总体安全策略要求；2.网络安全系统升级频率应与计算机网络安全防护部门公布的升级频率保持一致；3.网络物理安全应符合国家有关要求；4.网络安全系统正常运行率应达到99%以上，安全防护日志填写无误率应达到99%，主机与网络设备安全漏洞修补率应达到99%以上，主机病毒防护率应达到99%以上；5.网络中非法外联次数、非法信息传播次数、非法攻击发生次数应为0；6.安全事件处理时限内合格率应当达到100%。

二、计算机网络信息安全防护措施

（一）政府相关职能部门应加强网络信息安全防护技术建设

政府相关职能部门应当充分发挥本部门职能的引导作用，高度重视计算机网络信息安全，尽可能的不断完善网络信息安全技术及管理人才引进等领域的法律法规建设，计算机网络信息安全风险评估的重点在于事先预防，而安全防护技术则应成为风险评估的重要组成部分，加强诸如防火墙技术、入侵信息监测技术、公众隐私信息保护技術等，有利于计算机网络信息安全风险评估的后续推进。在我国互联网用户数量不断增加的大环境下，传统的网络信息安全防护措施应进一步加大建设力度，逐步构建及完善信息安全防护体系逐步增强传统信息安全防护措施的建设力度，建立一个经济、高效的信息安全评估体系，提高信息化时代我国的信息安全防护技术，进而降低计算机网络信息安全的风险。

（二）完善计算机网络信息加密技术体系

为更好地保证计算机网络信息安全，信息加密技术在信息安全层面发挥着十分重要的作用，由于网络用户的增加，各个用户之间对信息安全存在不同的需求，且用户自身需求不断丰富。因此，需要对传统的信息加密技术进行改造升级，为更好的预防计算机网络违法犯罪现象，实现计算机网络的安全性能。

三、结语

计算机网络信息安全风险评估越来越受到人们所重视，其作为信息安全预防及保障体系的检验手段，在保证信息安全过程愈发重要。因此，只有通过对信息安全进行的合理评估，有针对性地实施相应的保护措施，才能够保证网络信息的相对安全。

参考文献：

[1]陈建树.计算机网络信息安全风险评估标准与方法研究[J].技术分析，2017

[2]刘梦飞.大数据背景下计算机网络信息安全风险及防护措施[J].现代工业经济和信息化，2017

[3]张伟.计算机网络信息安全风险评估准则及方法研究[D].天津大学，2009