浅谈网络安全风险评估的方法
2018-03-21陈竹
陈 竹
(中国移动通信集团重庆有限公司,重庆 401147)
信息时代的到来,人们的生产生活跟计算机网络技术的关系越来越紧密,尽管网络技术给人们的生产生活带来了非常大的方便,然而网络安全问题始终给人们带来威胁,所以我们只有加深讨论网络安全风险评估的方法,网络安全的风险评估关键用于识别网络体系的安全风险,对计算机的正常运行具备关键的作用。怎样实施网络安全的风险评估是现阶段网络安全运行重视的焦点。所以,研究网络安全的风险评估方法具备特别关键的实际意义。
1 网络安全和风险评估
网络安全是一个相对普遍的定义,对于不一样的网络用户而言代表着不一样的含义,比如对于一般的个人网络用户而言,网络安全说明不泄露个人隐私、网络账号与个人财产安全等;对于企业而言,网络安全则和企业财产、人事与商业信息记录和商业机密相关。
为了确保网络用户的信息安全,防止由于网络非法攻击而导致泄露信息与财产损失,有关的管理部门结合网络技术与工作经验,实施加密保护网络上的部分关键信息,使网络安全等级提高,对网络流程漏洞进行修复,确保网络安全。
解决网络安全的首要问题是风险评估,由于没有实施透彻的风险分析与评估而进行的安全策略就比如先建房屋后画图纸相同,会造成资金与人力资源的极大消耗与浪费。能够说网络安全是以风险评估为基础的,唯有对网络安全解决方案实施充分有效的风险分析与评估,认识体系现阶段和将来的风险所在,评估这些风险也许会带来的安全威胁和影响程度,才可以把体系的风险降到一个能够接受的程度,这是风险评估所要完成的任务。
在网络运行的时候,除了要实施评估网络自身流程漏洞所导致的安全问题,还要实施安全评估网络设备、人为原因。对于网络设备而言,首先对个体网络设备的资产价值要合理的评估,依据这一价值,评估其也许会存在的安全问题,并经过网络体系中的漏洞实施风险评估,然后使网络系统的安全性提高。
2 网络安全的风险评估方法
2.1 定量分析
简单而言,定量分析就是从分析对象结果中实施评估信息安全风险的一种方法。定量分析方法转变为资产价值和风险为财务价值实施风险分析评估计算。信息安全分析和评估运用定量分析方法,可以供应更加直观的数字化量化结论,直接把信息风险也许会导致的风险损失转化为财物价值,更加直观的结果,方便决策层理解和接受,然而信息风险的财产关系到程度依赖主观判断,计算阶段相对繁杂,也没有产生统一的规范和数据库系统。
2.2 定性评估技术
定性评估技术关键是实施评估网络的安全风险状态,基于推导演绎理论分析体系的数据,并结合德尔菲法实施判断数据安全性。在运用定性评估方法的阶段中,需要基于背对背通信形式得到对体系安全导致影响的各类原因,并经过匿名的形式实施筛选这些数据。经过充复征询与反馈分析数据处理结果,并依据分析结果实施判断体系网络安全性,对网络安全风险原因进行评估。定性评估的详细程序为:查询数据→分析数据→筛选数据→处理数据→计算比例→判断风险原因→评估安全系数。
2.3 风险评估
在中国当前网络技术发展的时候,网络安全风险的评估关键包含技术与管理2个方面的内容。在迅速发展科学技术的背景下,实施有效的网络安全风险评估也是一项技术含量高的活动。从技术与管理这2个方面实施评估分析双向综合性,对体系中形成的很多信息实施有效地筛选,然后实施分析计算机网络中的风险动向,最后使用不一样的评估方法实施安全性总结。另外,技术与管理2个方法在应用的时候使用的是不一样的途径,管理方面关键实施有关社会问卷调查,技术方面一般都是实施安全风险的全面分析定义。当前社会上使用非常多的NAMP、ISS都是以这方法来实施网络安全风险评估的。就现阶段国际网络安全还没有产生一个统一完整的评估方法,然而依据不一样的状况与发展需要,能在网络评估的时候使用定向与定量的分析方法,或是2种方法在特定的状况下实施交互应用。
2.4 安全风险决策
对信息安全实施风险管理的最基本根据是信息安全风险评估,就网络安全来说,网络安全风险评估的关键组成部分是安全风险决策。安全决策就是依据评估结论决定网络体系所需要使用的安全方法。风险分析和评估的目的是为了向网络管理者供应决策支持信息,然后产生科学的、有针对性地安全策略,确保信息体系安全。由上可知,安全风险决策在必然程度上能够让网络威胁获得有效控制。
2.5 安全风险监测
为增强网络安全管理,在网络安全的风险评估的时候,安全风险监测也非常重要。就现阶段来说,在网络运行期间,体系随时都有可能出现新的变化,比如增添新的网络软硬件、软件升级、设备更新等都将造成资产出现变化。这时之前的风险评估结论就失去了意义,需要重新实施风险分析、风险评估与安全决策,以适应网络体系的新变化。安全监测过程可以实时监视与判断网络体系中的各类资产在运行期间的状态,并及时记录与发现新的变换状况。所以,建设安全风险监测项目数据库,实施动态分析势在必行。
3 结束语
网络安全的风险评估是一项综合的系统工程,具有长期性与繁杂性。在对网络安全风险实施评估的时候,要有层次的选取合理的评估方法实施评估,风险分析与评估工作保证有序的实施,同时又要确保安全决策与安全检验的完整运行,经过对网络安全风险进行评估,风险原因等级能详细的确定,然后拟定更加合理、科学的防护方法,进一步确保网络安全,促进网络的进一步发展。
