信息安全与技术
·2013年6月
1前言
网络风险评估就是对网络自身存在的脆弱性状况、
外界环境可能导致网络安全事件发生的可能性以及可
能造成的影响进行评价。网络风险评估涉及诸多方面,
为及早发现安全隐患并采取相应的加固方案,运用有效
地网络安全风险评估方法可以作为保障信息安全的基
本前提。网络安全的风险评估主要用于识别网络系统的
安全风险,对计算机的正常运行具有重要的作用。如何
进行网络安全的风险评估是当前网络安全运行关注的
焦点。因此,研究网络安全的风险评估方法具有十分重
要的现实意义。鉴于此,本文对网络安全的风险评估方
法进行了初步探讨。
2概述网络安全的风险评估
2.1网络安全的目标要求
网络安全的核心原则应该是以安全目标为基础。在
网络安全威胁日益增加的今天,要求在网络安全框架模
型的不同层面、不同侧面的各个安全纬度,有其相应的
安全目标要求,而这些安全目标要求可以通过一个或多
个指标来评估,以减少信息丢失和网络安全事故的发
生,进而提高工作效率,降低风险。具体说来,网络安全
风险评估指标,如图1所示。
2.2风险评估指标的确定
风险评估是识别和分析相关风险并确定应对策略
的过程。从风险评估的指标上来看,网络安全风险指标
毕妍
(中国人民武装警察部队学院消防工程系信息工程教研室河北廊坊06500)
【摘要】
随着网络技术的日新月异,网络安全越来越成为人们关注的热点问题。网络安全的风险评估,在网络安全
技术中具有重要的地位,有利于及时了解网络系统的安全状况。在计算机网络的运行过程中,对网络系统的总体安
全性能进行评估,可以为安全体系的构建提供依据,有效地进行网络安全风险管理。本文以网络安全为切入点,在概
述网络安全风险评估的基础上,重点探讨了网络安全的风险评估方法,旨在说明网络安全风险评估的重要性,以期
为网络安全的风险评估提供参考。
【关键词】
网络;安全;风险;评估
IntroductiontoNetworkSecurityRiskAssessmentMethod
BiYan
(ChinesePeople'sArmedPoliceForceAcademyFireEngineeringDepartmentofInformationEngineeringTeachingand
ResearchSectionHebeiLangfang06500)
【Abstract】Withadvancesinnetworktechnology,networksecurityhasincreasinglybecomethehottopicinpeople.Networksecurityriskassessment,an
importantroleinnetworksecuritytechnology,timelyunderstandingofthenetworksystemsecuritysituation.Duringtheoperationofthecomputernetwork,
thenetworksystemtoevaluatetheoverallsafetyperformance,canprovidethebasisfortheconstructionofsecuritysystem,fornetworksecurityrisk
managementeffectively.Basedonnetworksecurityasthebreakthroughpoint,onthebasisoftheoverviewofnetworksecurityriskassessment,andprobes
intothenetworksecurityriskassessmentmethod,aimedtoillustratetheimportanceofnetworksecurityriskassessment,soastoprovidereferencefor
networksecurityriskassessment.
【Keywords】network;security;risk;assessment
浅谈网络安全的风险评估方法
网络控制
·信息安全·
InformationSecurity
37
··
2013年6
月·
信息安全与技术
体系由三大部分组成,分别是网络层指标体系、传输网
风险指标体系和物理安全风险指标,为内部控制措施实
施指明了方向。同时,每种指标体系中还包含资产、威胁
和脆弱性三要素。
3网络安全的风险评估方法
网络安全问题具有很强的动态特征,在了解网络安
全的目标要求和风险评估指标的基础上,为了更合理地
评估网络安全风险,使信息网络安全体系具有反馈控制
和快速反应能力,可以从几个方面入手。
3.1网络风险分析
网络风险分析是网络安全风险评估的关键。在网络安
全的风险评估中,安全风险分析是风险评估的第一个环
节,是全面掌握安全风险状况的基础。一般来说,风险就是
指丢失所需要保护资产的可能性。网络安全风险分析就是
估计网络威胁发生的可能性,以及因系统的脆弱性而引起
的潜在损失。大多数风险分析在最初要对网络资产进行确
认和评估;此后再用不同的方法进行损失计算。
3.2风险评估工作
风险评估工作在网络安全中具有重要的作用。由于
诱发网络安全事故的因素很多,在进行网络安全风险评
估时,开展安全风险评估工作,对防范安全风险有举足
轻重的作用。总的来说,风险评估的方法有定量的风险
评估方法和定性的风险评估方法两种。从网络安全风险
的评估方法上看,不同的评估方法对安全风险的评估也
不尽相同。在进行安全风险评估时,应结合网络安全的
实际情况,选择安全风险评估方法。
3.3安全风险决策
信息安全风险评估是对信息安全进行风险管理的
最根本依据,就网络安全而言,安全风险决策是网络安
全风险评估的重要组成部分。安全决策就是根据评估结
论决定网络系统所需要采取的安全措施。风险分析与评
估的目的是为了向网络管理者提供决策支持信息,进而
形成合理的、有针对性地安全策略,保障信息系统安全。
由上可知,安全风险决策在一定程度上可以使网络威胁
得到有效控制。
3.4安全风险监测
为加强网络安全管理,在网络安全的风险评估过程
中,安全风险监测也至关重要。就目前而言,在网络运行
期间,系统随时都有可能产生新的变化,例如增添新的
网络软硬件、软件升级、设备更新等都将导致资产发生
变化。这时先前的风险评估结论就失去了意义,需要重
新进行风险分析、风险评估和安全决策,以适应网络系
统的新变化。安全监测过程能够实时监视和判断网络系
统中的各种资产在运行期间的状态,并及时记录和发现
新的变换情况。因此,建立安全风险监测项目数据库,进
行动态分析势在必行。
4结束语
网络安全的风险评估是一项综合的系统工程,具有
长期性和复杂性。网络安全评估系统能够发现网络存在
的系统脆弱性,在进行网络安全风险评估的过程中,应
把握好网络风险分析、风险评估工作、安全风险决策和
安全风险监测这几个环节,发现和堵塞系统的潜在漏
洞,不断探索网络安全的风险评估方法,只有这样,才能
最大限度的降低网络安全威胁,确保网络的安全运行。
参考文献
[1]覃德泽,蒙军全.网络安全风险评估方法分析与比较[J].
网络安
全技术与应用
,2011(04).
[2]刘枫.网络安全风险评估研究与实践[J].网络安全技术与应用,
2009(11).
[3]党德鹏,孟真.基于支持向量机的信息安全风险评估[J].
华中科
技大学学报(自然科学版
),2010(03).
[4]黄水清,张佳鑫,闫雪.
一种内部网络信息安全风险评估模型及
技术实现[J].情报理论与实践
,2010(02).
[5]赵冬梅,刘金星,马建峰.
基于改进小波神经网络的信息安全风
险评估[J].计算机科学
,2010(02).
[6]黎水林.基于安全域的政务外网安全防护体系研究[J].
信息网
络安全,2012,(07):
3-5.
[7]孙强.基于定量安全风险评估模型的网络安全管理平台[J].
微
电子学与计算机
,2010(05).
[8]刘雪飞,王雪飞,王申强.网络线路数据流量监视的实现[J].
信
息网络安全,2012,(11):
60-62.
InformationSecurity
·信息安全·
网络控制
图1网络安全风险评估指标
能力的安全性
关系的安全性
数据的安全性
物理安全保障
控制的数据保密性保障
控制的数据完整性保障
控制的数据私密性保障
控制的数据可用性保障
访问的管理与控制
控制的抗抵赖保障
控制的传送安全性保障
网络传输带宽的安全保障
网络层
传输层
物理层
网络安全目标
评价指标
1
评价指标
2
评价指标
3
...
评价指标
n
38
··