网络安全风险评估研究
2009-09-29刘谦
刘 谦
[摘要]网络安全给个人,企业和政府带来的损失越老越大。事实证明没有绝对的网络安全,但是采用风险评估,预防处理可以有效降低对网络威胁带来的损失。首先分析网络安全和风险评估的含义,以及网络安全风险评估的对象。最后运用网络安全评估模型,对风险评估过程进行详细的分析。
[关键词]网络安全 风险评估 风险指数 安全漏洞
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2009)0720065-01
一、网络安全与风险评估
网络安全是指计算机网络系统中的硬件、数据、程序等不会因为无意或恶意的原因而遭到破坏、篡改、泄露,防止非授权的使用或访问,系统能够保持服务的连续性,以及能够可靠的运行。
风险评估是解决网络安全的首要问题,因为没有进行透彻的风险分析和评估而实施的安全策略就好像先建房屋后画图纸一样,会导致资金和人力资源的巨大消耗和浪费。可以说网络安全是以风险评估为基础的,只有对网络安全解决方案进行充分有效的风险分析和评估,了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,才能将系统的风险降到一个可以接受的程度,这是风险评估所要完成的任务。
二、网络安全风险评估的对象
风险评估主要从以下四个方面进行:威胁行为、脆弱性、资产、影响。一种影响的因素是前面三者的结果,因此在实际评估中一般从三个方面进行:1.资产评估。这是风险评估过程中的重要因素。资产评估一方面是资产的价值评估,针对有形资产,另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对整个系统运作的影响。评估中需要筛选出重要资产,即可能会威胁到企业运作,政府运行的资产。2.威胁评估。可以借助DIS取样、漏洞模拟攻击、人工评估、策略及文档分析和安全审计等方式,分清哪些威胁会带来损失,这样一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。3.脆弱性评估。安全漏洞是信息资产自身的一种缺陷,漏洞评估包括漏洞信息收集,安全事件信息收集,漏洞扫描,漏洞结果评估等。[2]通过对资产所提供的服务进行漏洞、弱口令的扫描得到结果,根据不同服务在资产中的权重,结合该服务的风险级别,得到最后的资产漏洞风险值。
三、网络安全风险评模型研究
针对某一个组织的网络安全进行评估,必须遵照一定的流程和方法。本文设立一种模型,将网络系统扫描的结果当作输入,网络风险评估的结果作为输出,网络安全评价指标库为评价参考对象,漏洞信息库作为扫描结果的参照对象,其结构如图1所示:
网络安全综合评价模型包含:三个基本模块,网络漏洞扫描模块、评价指标权重确定模块、网络安全评估结果输出模块;四个个知识库,漏洞信息库、网络安全和结构知识库、评估指标信息库,评价结果库;一个中间结果,即漏洞扫描结果;多个后续结果:即根据输出的安全评估结果形成总体评估,分析报告,以及网络安全改进措施等。这是一个循环的结束。随着网络技术的日新月异,带给网络安全的不稳定因素也不断出现,因此必须通过再次评估,比更新漏洞信息库,且形成下一个评估循环。
三个基本模块的内容如下:1.网络漏洞扫描模块对网络系统进行扫描,根据漏洞信息库和网络安全和结构知识库检查系统存在的漏洞信息,形成扫描结果,为评价指标权重确定模块中专家确定的赋值提供参考信息。2.评价指标权重确定。威胁网络安全的因素非常多,因此需要之前确定一个因素影响的大小。可以采用鱼刺分析法,形成初始的评价指标,并经过专家论证,形成初始指标网络安全体系。鱼刺分析法见图2所示:
鱼刺图也称为树枝图或因果分析图,在分析造成某一结果的原因是非常有用。该图以如图2的形式,首先查找结果的主要原因,然后寻找次要原因,以此类推,采取层层深入的方法,查找出所有的原因,使错综复杂的原因条理化,清晰化,便于进一步的分析。
网络安全评估结果输出模块,是将评价的最终结果输出,供相关人员进行分析,并提出解决措施,同时评估结果需要保存到评价结果库中。
四、结束语
通过网络安全的威胁因素及其权重,借助模型可以对网络安全进行评估。没有绝对安全的信息系统和网络,只有在对网络系统面临的安全风险进行了有效评估的基础上,才能充分掌握网络系统安全状况,及时发现网络中存在的漏洞和威胁,并有针对性地采取控制措施,提高网络的安全性。网络安全评估模型的建立,可以借助鱼刺分析法建立威胁因素的权重指标,再运用网络漏洞扫描,对网络安全进行评估。
参考文献:
[1]美国波莱蒙研究所,http://www.cbismb.com/articlehtml/20100876.
htm.
[2]张维明等,信息安全风险评估方法研究,中国计算机安全学会2004年会论文集,北京:北京科技出版社,2004:119-124.
[3]许永福等,网络安全综合评价方法的研究及应用[J].计算机工程与设计,2006.27(8):1398-1400.
作者简介:
刘谦(1975-),男,湖南益阳人,工程师,湖南商务职业技术学院,研究方向:网络安全、信息安全。
