基于等级保护的网络安全风险评估技术研究

孙海申

【摘  要】互联网信息技术系统是当代社会建设事业推进过程中需要依赖和运用的关键性技术系统之一，择取和运用适当方法做好网络安全风险评估工作，能够使互联网信息技术系统在具体运行的过程中顺利发挥最佳功能。本文将基于等级保护的思想，对网络安全风险评估技术进行简要的阐释分析。

【关键词】等级保护思想;网络安全;风险评估技术;研究分析

引言

当前发展背景之下，应用频率较高且具备充分可靠性的网络安全测评技术方法，涉及等级保护测评技术方法，以及安全风险评估测评技术方法两个类型，其中等级保护测评技术方法在运用过程中能全面准确判断揭示被测评对象所具备的安全符合性，安全风险评估测评技术方法在运用过程中能有效呈现被测评对象在特定时间节点之下所客观存在的安全风险问题类型。尽管基于不同的切入角度针对被测评对象實际所处的安全状态展开了评价分析，但是在具体的技术操作环节实施过程中，等级保护测评技术方法，以及安全风险评估测评技术方法也存在着基于过程层面，以及方法层面的相互贯通关系，客观上支持技术人员针对等级保护测评技术方法，以及安全风险评估测评技术方法进行结合运用。以中国电信集团有限公司北京研究院赵阳领衔的研究团队曾经实施过指向大规模网络动态风险评估技术应用方法的研究分析工作，提出并且倡导推进了运用风险评估工作成果开展安全等级动态调整技术活动的实践思路，该团队所实施的工作，本质上是针对测评工作技术成果的运用，而不是针对测评技术方法的相互结合。

1.网络安全测评技术活动具体开展过程中需要面对的两个难点

（1）等级保护制度是现阶段我国在开展网络安全管理工作过程中需要运用的重要制度，应当找寻和运用适当策略，做好等级保护制度与网络安全风险评估工作之间的相互结合，继而在准确判断被评估对象是否符合相关安全性控制规定前提下，全面判断揭示被评估对象正在面对的安全风险隐患问题。

（2）国家标准文件GB/T20984针对资产要素、威胁要素，以及脆弱性要素所提出的识别范围，以及赋值操作方法，已经无法充分支持和满足网络安全风险评估工作具体开展过程中的基本需求，迫切需要择取和运用适当策略展开改良调整。

2.等级保护的合规性评判分析

所谓等级保护测评技术活动，本质上是针对网络技术系统运行过程中具体确定的安全技术等级实施基于合规性层面的评判干预过程，网络技术系统运行过程中实际具备的安全等级，应当遵照网络技术系统实际具备的业务信息安全等级，以及网络技术系统服务安全等级具体加以确定。网络技术系统的业务信息安全等级，与网络技术系统内部实际承载的信息资产要素，以及具体运作支持的业务项目具备密切相关性，而在资产要素实际具备的保密性状态、完整性状态，以及可用性状态遭受破坏条件下，通常会显著提升网络技术系统具体运行过程中的业务信息安全风险等级;网络技术系统服务安全的意义，在于支持和确保具体的定级对象能够及时且全面地对外提供服务支持，其关键性程度，主要依赖网络技术系统运行过程中的服务覆盖范围，以及各类基本业务活动对网络技术系统的依赖程度。

在现有技术发展背景之下，网络技术系统等级保护测评活动的开展过程涉及如下步骤：

（1）针对网络技术系统所具备的基本情况展开调查，全面分析认识网络技术系统在定级要求方面、资产构成方面、网络拓扑方面、主要业务方面，以及既往安全威胁方面的基本信息。

（2）遵照网络技术系统实际具备的基本状态，具体分析确定测评对象、测评内容，以及测评指标。

（3）遵照具体选择确定的测评对象和测评指标，遵循等级保护指导思想的基本要求，以及测评技术要求等基本指导标准，针对实际选择确定的测评对象，以及测评指标逐项开展现场测评技术干预环节。

（4）遵照实际获取的测评技术结果，针对网络技术系统依次开展单元测评技术环节、整体测评技术环节，以及总体安全状况分析技术环节。在具体推进总体安全状况分析技术环节期间，要在全面充分认识目前已经具备的安全保障技术措施前提下，对具体技术测试环节开展过程中遭遇的安全问题展开风险评估。

3.网络技术系统风险评估实施方法

遵照国家标准文件GB/T20984中阐释的定义和相关信息，所谓网络信息安全风险评估，就是要遵照指向信息安全领域的相关技术和管理标准，针对网络信息技术系统，以及经由网络信息技术系统完成处理环节、传输环节和存储环节的信息要素所具备的保密性状态、完整性状态，以及可用性状态等安全属性状态展开评价揭示;要具体评估分析资产要素所面对的基本威胁和脆弱点，以及在脆弱点被利用条件下引致发生各类安全风险隐患事件的可能性，并且参照结合安全风险隐患事件发生过程中具体涉及的资产要素类型，具体确定安全风险问题发生条件下的严重程度。

在现有技术发展背景之下，网络技术系统风险评估活动的开展过程涉及如下步骤：

（1）准确分析梳理被测评对象所占有和控制的资产要素，及其目前所处的价值水平。

（2）找寻确定资产要素实际具备的基本漏洞和基本弱点。

（3）辨识并且判断被测评对象可能遭遇的安全威胁问题。

（4）遵照理论分析模型具体评判确定被测评对象所存在的安全风险问题。

4.等级保护测评与风险评估的关联性分析

（1）等级保护测评技术活动可以被视作风险评估技术活动开展过程中的前提和基础，借由开展等级保护测评技术活动，有助于明确揭示网络技术系统内部资产要素的重要性，以及脆弱源。

（2）风险评估技术环节中获取结果所具备的准确性和客观性表现状态，与等级保护测评技术活动过程中所选取的资产要素具备密切相关性，实际择取的资产要素覆盖范围越宽广，种类构成越齐全，则实际获取的评估工作结果就越有价值。

（3）在具体组织开展等级保护测评技术活动，以及风险评估技术活动过程中，均可以全面综合选择运用漏洞扫描技术方法、渗透测试技术方法，以及配置核查技术方法等多样化测评技术方法，继而发现和揭示网络技术系统资产在多个不同层面所出现的安全隐患问题与漏洞问题。

（4）在具体组织开展等级保护测评技术活动，以及风险评估技术活动过程中，实际选择的检测技术对象，应当广泛性地覆盖和包含物理技术环境层面、网络层面、服务器设备层面、终端设备层面、应用系统层面、数据信息层面、管理制度层面，以及参与人员层面。

（5）从具体实施的检测技术活动流程角度展开分析，等级保护测评技术活动，以及风险评估技术活动均可以被划分处理成四个阶段：准备技术阶段、方案编制技术阶段、现场实施技术阶段，以及报告编制技术阶段。

5.结束语

综合梳理现有研究成果可以知道，针对网络风险开展的评估技术活动，是网络安全保护与管理工作开展过程中需要涉及的重要步骤之一，在引入等级保护思想背景下开展网络安全风险评估技术活动，能够支持和保障网络技术系统在具体运行过程中维持充分的安全性和稳定性，发挥最优化的技术效能。

参考文献

[1]赵鹏，白国柱.基于生成对抗网络人脸生成技术信息安全风险研究[J].网络安全技术与应用，2020（01）：55-58.

[2]郭江，张志华，付志远，雷亮，李小龙，叶雨龙.水库大坝安全监测监控系统网络安全风险评估及防护技术解决方案[J].水电站机电技术，2019，42（07）：41-43.

[3]何静，杨翼.物联网环境下的乳制品供应链质量安全风险管理研究[J].中国乳品工业，2019，47（02）：43-47.

[4]徐慧琼.有关大数据时代背景下网络安全风险评估关键技术研究[J].网络安全技术与应用，2017（07）：72+89.