浅析计算机网络信息安全的风险评估标准与方法探究

合肥天帷信息安全技术有限公司 安徽 合肥 230000

引言

近年来,互联网发展迅速,针对政府、金融、教育等多个领域的计算机系统的攻击不断增多,带来的社会危害和不利影响也越来越大。因此,以何种策略巩固网络信息并有效性地对其施行监测,且及时、迅捷、有效地测估风险项并为信息“上好锁”工作等是亟待整治之项,本篇文论亦将以此为切点进行论析。

一、计算机网络信息安全风险

(一)计算机网络安全

一般而言之于网络信息安全的相关概述,可从计算机网络自身所存的安全性能及其对信息的控管安全性能进行综述。若以国际提供的标准细则来论析“信息自身安全性”概念,国际青睐于判定信息有无具备保密及完整性、且信息可否有价值为人所用;“信息控管的安全性”则指向授访权及控制权、身份的有效鉴别及认证等。值得注意的一面是该“网络信息安全”的概念是非固化的,其随用户的转变而变化。一般用户在进行网络信息传输之时倾向于防护个人及机要文件免遭损失,“防听防窃防改篡”的三防工作是大众的关注层。故而网络提供商需要关注的范围会更加广泛和多元,除了最基本的网络信息安全外,还要时刻关注各种不可控的外界因素对网络信息安全造成的破坏,诸如网络维修、灾害防御及军政经济的攻陷等要素。网络信息的安全维护需要“技术性＋控管”的“两手抓”,唯有二者共同施用,方可构筑网络信息的安全地基。

(二)计算机网络安全风险

近年来,互联网技术的迅猛发展为人们的生活提供了多种物质和文化享受,但也产生了许多网络安全风险,数据的泄露、盗取及黑客、病毒入侵等问题让人们的隐私保护出现诸多问题,存在诸多隐患。网络信息的风险项包括三方内容。首先是固有的安全漏洞。没有任何一个系统可以排除漏洞的存在,缓冲区溢出、拒绝服务等系统漏洞会造成系统的不稳定、耗尽或是损坏一个或多个系统的资源;其次是合法工具的滥用。现今各项管理软件紧随计算机系统的更进而不断革新并跃升,其为网民带来良好体验度及操作度。但是,升级之后的系统和工具也同样会成为不法分子增强攻击性的手段;另外还有不正确的系统维护措施。无效的安全管理也是巨大的安全隐患[1]。

二、网络信息安全的风险性估测标准

(一)计算机网络信息安全风险评估

顾名思义,测估事物风险性便是将该事物投入特定情境以预估其蕴含的影响及可能涉及的损失量大小归纳参数,并就预估参数打出风险数值。风险测估的本质便是以比较的程序进行事物危险性测估以便于后续执行。将风险测估置于计算机网络则使测估的重点集中于“信息系统”及“网络系统”的安全度,其含括了测估信息在传送、存储等流程中严密完整度与周全度的有无。

(二)风险评估标准

网络信息的安全测估项含括如下几类:CC标准、BS7799标准、ISO/IEC21827－2002(SSE－CMM)以及国家信息化标准。CC标准被划归于信息技术的公共考评准则:其列分为模型介绍及安全的保证及功能需求事项等几部,CC准则综合了信息体系的周密性、完整度及可利用性等角度,是一项贯穿信息传导全程的风评测估准则;与此同时,BS7799准则亦为互联网安全风险测估的经典性细则,《信息安全管理体系规范》及《信息安全管理实施细则》构筑并贯穿BS7799组成项;(又名SSE－CMM)的ISO/IEC21827－2002则为代表信息安全能力等级的范式模型,包含过程改善、能力评估、保证三项基本要素,有助于施工过程安全性的提高;基于信息化准则可将信息体系由用户自主性、安全项标注、验证访问及后台查审等进行等级性分拣,由此为网络信息体系扣上安全之锁[2]。

三、施行网络信息安全风险测估的策略

(一)制定网络信息安全管理策略

首先,应使网络体系结构的定制向有效及合理性进发,可充分施以分段技术中的“物理＋逻辑”手段使局域网得以有效的安全操控,从而隔绝非法式用户及防范用户误触敏感型网络资源,并使信息的传送通道愈加顺畅无阻;其次,要完善信息加密。用户可考核个人及网络境况并进行网口端点及链路的多元化加密途径选择,以确保周密性输传;另外,要制定网络安全管理策略。网络实操章程规范及机房出入登记管核制、网络维护章程等典章可在一定程度上为网路安全保驾护航。

(二)有效施用网络信息安全风险的测估方法

首先,要掌握定性评估方法。测估人员的工龄及累积经验、自身配备的知识理论等要素影响定性风险测估且使得测估结果携有主观色彩。事故树型分析、专家评测考核、安全检查表型等均为定性测估的施用手段,均比对各风险项准则而得,与此同时,对于风险高低境况及其对最终结果的影响强弱等均可列为风险等级的评定。其次,正确运用定量评估法。定量评估以网络体系所存风险项为考核基准,测估结果较显客观化且益于用户进行细化察看及分析,BP网络、层次透析及模糊综合测评是较为常见的定量测估方式。最后,动态不定性是网络信息体系运行中所存的隐藏特性,“定性＋定量”的混合型可助力用户精准把控评估体系所藏风险项,量化可以量化的风险要素,定性分析无法量化的风险要素,综合后形成分析结果,提高评估结果的准确性。

四、结束语

网络信息安全涉及到诸多技术性问题,且与信息管理和使用紧密相关,与法律、经济甚至政治问题也同样挂钩,其综合性较为凸显,囊概了信息体系自身所存安全遗留的问题,也包括了物理的和逻辑的技术措施。故此,应予以网络信息安全风控及时性的测估及防范,其事关国家及社会安定与否,应予以严正对待。