徐学斌

【摘要】 网络的出现给人们生活、工作带来了巨大影响。二十一世纪人类社会已全面进入网络时代。通过互联网人们可以实现零距离，不受时间、空间限制的数据传输与信息共享，网络已成为现代人获取信息、传播与共享信息的重要工具，几乎被应用到了所有领域，大到科学研究、天文、国防、医疗，小到家庭娱乐、生产办公、网页阅览都要应用网络。但网络安全问题却一直制约着网络应用，网络具有开放性、复杂性、特殊性特点，一些不法分子会通过网络攻击手段，盗取他人信息、财务，网络安全问题不容忽视。做好网络安全风险评估至关重要。本文将针对网络安全风险评估的关键技术展开研究和分析。

【关键词】 安全风险 网络安全 风险评估 关键技术

引言：现如今人类已对网络产生依赖性，相关统计数据显示我国网民高达七亿人。人们通过网络进行在线商务洽谈、交易支付、资源共享。自网络诞生以来，安全问题就备受社会各界关注。网络应用中稍有不慎就有可能遭到攻击或入侵，一些黑客利用木马或后门软件，便可盗取他们账户、密码、网银信息，使网络用户遭受经济损失。个人信息丢失相对来说影响比较小，但如果是国家信息或者企业信息被窃取，将影响到社会和谐稳定。企业信息多为商业机密，一旦泄露极有可能会影响正常运营，给企业带来负面影响，甚至诱使企业倒闭。为了保障网络安全，提高网络安全性，做好网络安全风险评估具有重要意义。

一、网络安全风险研究现状及评估意义

计算机网络指的是将不同地理位置的独立功能的多台计算机及其外部设备，通过通信线路连接起来，在操作系统及网络软件与硬件在网络通信协议的管理及协调下，实现的信息资源共享和传递的计算机系统。网络建设目的是计算机之间互联、信息共享、资源整合[1]。

计算机网络发展至今已历经四个阶段分为是：远程终端连接阶段、计算机网络阶段、网络互联阶段、国际互联网与信息高速公路阶段。计算机网络具有开放性特点，用户群体庞大，任何人都可以成为网络用户。进入二十一世纪后，网络几乎实现了世界范围的推广和应用，全球网络用户不计其数。但正是因为网络的开放性特点，也为一些不法之徒提供了便利，网络攻击不仅给社会造成了不良影响，更给某些企业带来了经济损失。

近些年，网络安全问题已成为社会各界广泛关注的焦点，有许多学者曾针对网络安全风险问题展开研究。林文教授曾经在论文《层次化网络安全风险量化评估研究》中提出，网络安全是是网络应用的前提条件，若无法保证网络的安全，致使用户私人信息泄露，用户便会逐渐远离网络，这无疑会制约网络发展[2]。现如今网络行业已成为经济支柱产业，若网络产业发生倒退，必然给经济发展造成不利影响，网络安全风险问题不能小视。近些年，网络攻击事件笔笔皆是，网络风险随之增加，对网络安全风险进行评估，科学规避网络风险势在必行。

二、威胁网络安全的常见网络攻击手段

网络上存在大量不确定和不安全因素，自网络诞生以来就存在非法入侵、数据盗取破坏等行为。这个世界上没有百分之百安全的网络，网络发展和应用中信息盗取、黑客入侵、病毒攻击频频发生[3]。

二零一五年，携程网络就曾遭受网络攻击，造成网站无法访问，用户信息大量丢失，APP完全陷入瘫痪。此次攻击，使携程遭受直接经济损失超过五百万美元，股票下跌百分之十一点二。网络攻击手段多种多样，五花八门，但大多都是通过软件漏洞、物理漏洞、数据漏洞進行攻击，威胁网络安全，来实现截获、窃取、破解用户信息、破坏用户系统目的。想要进行有效的网络安全风险评估，必须要了解网络攻击手段。常见网络攻击手段有：IP欺骗攻击、口令攻击、数据劫持攻击、网络窃听攻击等等。

其中口令攻击最为常见是黑客常用的网络攻击手段之一，黑客确定攻击目标后，利用穷举法，通过“字典”便可进行口令测试，破解网络口令。口令攻击在UNIX系统网络攻击中，由于UNIX系统并不会对错误口令尝试进行提示或封锁用户系统，可无限尝试错误口令，所以UNIX系统容易遭受口令攻击。口令测试成功网络遭到入侵时系统不会向管理员发送报告，黑客通过FTP或Telnet就可以进行系统数据加密文件破解[4]。

网络攻击中数据劫持攻击和网络窃听攻击危害巨大，将直接造成用户密码信息的泄漏，导致网络陷入瘫痪，这种攻击通常发生在网络文件传输过程中。IP欺骗攻击是目前较为流行的攻击手段，通过伪装网络主机，复制主机TCP/IP地址，提供虚假网络认证来骗取返回报文，导致主机无法连接网络，造成计算机网络无法使用，这种攻击主要发生在IP协议传送报文时。

通过分析不难看出网络攻击的危害性和严重性，网络攻击无处不在，网络应用中必须针对网络攻击特点和特征，做好安全风险评估，提高网络安全性，降低网络风险。

三、网络安全风险评估的关键技术

网络安全风险威胁着网络用户系统安全、信息安全、网络安全，对网络安全风险进行评估，构建网络风险评估框架，是做好网络安全防护的前提条件，对提高网络安全性有着重要意义。下面通过几点来分析网络安全风险评估关键技术：

3.1定性评估技术

定性评估技术是较为常用的网络安全风险评估技术，采用德尔菲法，利用推倒演绎理论来实现对网络安全进行分析，判断网络安全状态。定性评估技术在具体评估过程中要先采用背对背通信方式获取安全影响因素，利用匿名数据筛选的方式，对数据进行处理结果分析，通过多次反馈与征询判断网络安全风险因素和网络安全系数，进行安全风险评估。

3.2定量评估技术

定量评估技术与其他评估技术相比，评估结果更加直观，评估有效性更好，但评估复杂性和难度较大，应用中存在一定局限性。这种评估技术主要利用嫡权系数法，通过数据指标量化方式进行网络安全风险评估。定量评估技术的原理是，利用嫡权系数法计算参数权重，度量系统不确定因素，把安全风险进行量化，根据极值特征评估网络安全风险。评估中若熵值越大，网络安全风险越大，安全风险影响因素越多。若熵值ei最大值是1，风险因素对系统安全影响越小，说明网络安全性较高。

3.3综合评估技术

网络安全风险影响因素较多，具有多变性和复杂性，一些时候若无法通过定性评估技术或定量评估技术取得良好评估效果，便可应用综合评估技术。综合评估技术是通过将各种评估技术有机结合方式，来提高评估有效性和准确性，判断网络安全系数，达到网络安全风险评估目的。

综合评估方法主要包括：威胁树法、障碍树法、层次分析法等。综合评估技术大多以定量评估为基础，以定性评估为核心，继承了这两种评估技术优点，进一步提高了评估准确性。

四、结束语

安全是网络应用的基础和前提条件，保障网络安全至关重要。网络安全风险威胁着网络社会和谐建设、网络信息数据安全，加强对网络安全风险评估技术的应用和推广具有重要意义。

参 考 文 献

[1]马进.加载隐私保护的网络安全综合管理关键技术研究[D].上海交通大学，2012，13（11）：119-124.

[2]孟锦.网络安全态势评估与预测关键技术研究[D].南京理工大学，2012，11（14）：132-136.

[3]闫峰.基于攻击图的网络安全风险评估技术研究[D].吉林大学，2014，12（04）：119-124.

[4]孙鹏鹏.信息安全风险评估系统的研究与开发[D].北京交通大学， 2012，11（07）：129-132.