陈红科

(宁夏工商职业技术学院，宁夏 银川 750021)

0 引言

现今，在日常工作与生活中，网络信息系统已经融入方方面面，不仅在各行各业得到了有效融合与应用，而且深刻影响了人们的生活。随着近些年来网络信息系统发展速度的不断提高，社会公众的信息化需求更加多元化，与此同时，对网络安全也提出了更高的要求。网络信息系统必须及时有效地进行软件及防控系统的更新换代，以此对信息系统进行改进与优化，保障数据信息的安全性。如今，人们可以获得信息的途径相对较多，与此同时，信息系统的网络安全技术更新换代速度也有所提升，如果信息系统安装的防护墙或者杀毒软件能力水平较低，则有可能出现病毒入侵或者其他不良的违法攻击，不利于用户信息安全的保护。由此可知，网络信息系统的网络安全问题已成为信息化时代的重点研究方向，参与应用信息系统的用户必须着重强调网络信息系统的安全问题，通过树立正确的安全观念，有效结合网络信息安全知识，采取对应的管理举措，以此保证在应用网络信息系统的过程中个人信息不被泄露。具体而言，网络信息系统的网络安全问题可分为物理安全与逻辑安全两个方面，又可根据应用系统的不同，分为网络系统安全与计算机系统安全两大组成部分。本文探讨分析了现阶段网络信息系统的网络安全威胁与对应的防范措施，希望通过明确现阶段面临的风险问题，提出并应用有效举措，为用户群体提供安全保障。

1 网络信息系统存在的安全威胁

1.1 数据操作方面

部分网络信息系统用户在使用计算机时存在不当的数据操作习惯，部分用户在发现计算机受到病毒感染后没有及时进行杀毒，而是放任病毒发展，使得病毒程序进一步获取网络信息系统内的数据库信息，对信息内部进行破坏，使原有的安全防范等级降低。此外，部分用户对数据库中的信息没有进行分类管理，导致大量信息混杂存储，使得不安全数据信息始终保留，干扰原有的安全内容，出现信息泄露的安全问题。

1.2 数据库方面

信息科技的迅速发展，有利于人们生活便利性的提高，网络信息系统相关技术也可提升人们的生活质量。但是在数据库系统应用过程中，需要特殊的安全管理方法，现有数据库安全管理技术并不完善，存在一定的应用问题，使得网络信息系统安全受到威胁[1-3]。

1.3 网络信息系统管理方面

如果网络信息系统没有进行有效管理,可能会导致应用程序数据受到病毒感染或出现垃圾数据,信息系统的安全将受到影响,一些违法分子将利用这些漏洞破坏用户安全保护系统和数据库信息。此外，用户在数据库应用过程中，没有及时修复安全漏洞或进行相关处理，将导致网络信息系统管理漏洞的危害进一步扩大。

2 信息系统安全风险评估模型构建

随着我国信息技术的快速发展，一系列新兴信息技术改变了人们的工作方式，也使人们的生活方式发生了巨大变化。然而，信息网络技术在给人们提供便利的同时，也带来了一定的安全风险。例如，信息系统可能受到恶意程序或网络攻击，导致个人信息或数据泄露[4-5]。因此，面对网络信息系统网络安全的潜在威胁，如何正确有效地规避安全风险，保证数据信息和个人信息的有效保密性，是当前技术人员的研究方向。

本文以此为基础，提出了构建一种新型信息系统安全风险评估模型，对用户在应用过程中的网络安全性能进行多维度与多层次的深入分析，通过各评估指标明确网络信息系统存在潜在安全风险的可能性，达到保护用户信息与数据的目的。

2.1 信息系统主体构成要素分析

根据调查显示，信息系统的主体可以分为系统管理员和用户两部分，两者间有着密切的关联，一个用于用户信息系统的主要功能，一个用于安全运行信息系统操作,，两者是信息系统安全管理主体的核心。

系统管理员是系统功能的运维者，具有保护网络信息系统安全的主要职责，可以根据相关管理权限进行分级。例如，一个海拔系统主管作为信息系统的总经理或中层管理者，应发挥部门主要负责人或子信息系统负责人的职能；如果是基础维护人员，应有效履行网络信息系统的网络管理员或数据管理员的基本职责。

网络信息系统的用户，事业单位或个人用户，无论是在网络信息知识水平、系统运行水平、安全意识等方面个体差异很大。因此，信息系统主体的组成具有一定的复杂性，在分析信息系统面临的安全风险时，信息系统的主体不应是单一性分析，而应作为一个整体来评价信息系统主体。

2.2 风险评估模型构建

2.2.1 信息系统安全特性

如今，互联网技术不断影响人们的生活与工作，信息化与自动化的发展已成为世界发展潮流，网络开放互联已经成为历史的必然，这要求信息网络系统必须形成并应用较为完善的安全保护模式，但网络信息系统在网络安全方面仍然有一定的安全风险。信息系统安全风险可包括客观因素与主观因素，客观因素主要为网络信息系统自身具备的风险特征，例如脆弱性与设计缺陷等；主观因素主要是指网络信息系统在应用过程中，由于主体或管理制度等方面造成的风险，例如内部管理制度不足、信息系统应用人员操作不当等[6]。

在推进网络信息系统网络安全的过程中，必须正确认识网络信息系统的安全本质，确保信息在传输过程中的保密性、可用性和完整性。保密性主要是指在信息系统登录时需要对访问权限的主体进行筛选，只有符合相关访问权限才能查询内部信息数据，这可以有效保护信息的安全，使信息被拦截时，没有访问权限的无法了解信息的实际内容，避免信息泄露带来的安全风险；可用性是指用户的访问和授权权限，在访问信息系统的过程中可以通过系统正常运行和访问内部信息数据；完整性是指用户在没有修改或删除权限的情况下，不能对信息系统中的信息进行删除或修改，可以有效避免信息在传输过程中被篡改或删除，保证信息传输的完整性[7]。此外，由于网络信息系统在应用过程中面临的网络安全风险具有不确定性，可以对安全风险的高、低表征进行分析和澄清，准确评估安全风险的不确定性。综上所述，有效地推进网络信息系统安全风险的降低，必须以不确定性这一特征为切入点，有效地提高系统的保密性、可用性、完整性，做到有效地规避安全风险事件，使信息系统在应用过程中能够有效地保护用户的个人信息和数据。

2.2.2 评估指标选取标准

在构建完善网络信息系统风险评估模型时，必须选取并完善对应的评估标准，确保最终的风险评估模型可以给予较为可靠的评估结果，因此，构建评估指标时制定合理的选取标准十分重要，需具有以下特性。

第一，科学性。主要是指本研究中所提出的网络信息系统风险评估模型，须以对应的科学理论研究为基础，所选取的评估指标必须具有较为明确的科学含义，不能概念模糊不清或模棱两可。在循序评估指标时，须有效结合定性分析与定量计算，评估指标应体现出系统整体的性能情况及系统运行的综合情况，应反映出风险评估的状态。

第二，层次性。主要是指在评估指标选取过程中，必须选取层次不一的指标，部分指标应具有一定的复杂性，具有难度较高的分析要求与计算要求，从而使得评估指标的属性可根据实际情况进行分解分析。

第三，独立性。主要是指风险评估模型的各项评估指标存在相互独立性，并不存在密切的相关关系，或者明显的交叉关系、较为隐性的相关关系等。通过有效规避评估指标间的联系，确保指标的选取与应用可有效反映安全风险的实际情况，以免指标之间的相互影响，对最终的评估结果造成影响而降低评估结果的准确性。

2.2.3 评估指标体系层次结构模型

风险评估主要包括两个阶段：风险识别和风险分析。风险识别阶段，主要对资产价值、威胁和脆弱性等风险评估要素进行识别和关联。风险分析阶段，基本策略是计算系统的风险值根据系统中的资产重要性、安全战略的完整性检测资产，分析威胁的频率和可能的损失造成漏洞的威胁。

对于所构建的评价系统层次模型，因子层可能无法具体表示系统所面临的安全风险，可进一步向下分解指标。以主机安全为例，根据国家信息系统安全等级保护安全控制项目的相关标准和要求，包括身份认证、访问策略、安全审计、入侵防御、资源和信息控制。

(1)识别。

为了防止身份合法性的识别受到未经授权的干预，其从属指标的构建和检测都是基于身份识别的安全检测核心。为此，将身份认证的安全风险因素分解为用户身份识别与认证、身份认证技术、密码策略和账户锁定策略。

(2)访问控制。

根据用户的身份及其所属的组，限制用户对某些信息项的访问或某些控制功能的使用。通过访问控制策略，防止用户随意添加、删除、搜索和修改信息系统。因此，访问控制的安全风险因素分解为用户权限分配和策略、用户角色分配、敏感标记和操作。

(3)安全审核。

识别、记录、存储和分析系统中与安全相关活动的信息。当安全事件发生时，可以根据安全审计的相关记录，获取有关安全事件发生的信息。因此，安全审计的安全风险因素分解为日志审计策略、事件审计策略、审计信息和记录。

(4)入侵防御。

识别潜在威胁并迅速采取对策。通过入侵防御措施，对入侵事件进行实时主动监控和预警。因此，入侵防御的安全风险因素分解为完整性检测、入侵检测软件、入侵记录与报警、系统更新和防火墙。

(5)资源和信息控制。

对象整体资源信息的访问控制管理。通过资源控制，用户对系统资源、用户信息和系统重要信息的访问受到相应的限制和监控。因此，将资源控制安全风险因素分解为用户资源使用限制、终端用户登录限制、超时锁定、屏保、操作系统监控、用户认证信息和重要数据。

2.3 评估数据预处理与定性指标量化处理方法

2.3.1 评估数据预处理

(1)标度量化法。

利用标度量化法可根据针对性的问题将定性指标进行等级分类，可用较为常见的5级打分法进行分析，将分级指标制定为不合格、合格、一般、良好和优秀。由此，可将定性指标根据打分标准区分为正向指标与逆向指标，在评价过程中，正向指标的性能越好，则其表现出属性值越大，逆向指标则与之相反，当属性值相对较小时，则表现出较为优越的性能。由此可知，应用有度量化法，可对定向指标数据进行量化分析与处理。

(2)特征向量量化法。

特征向量量化方式只当指标数据存在多个时，指标数据的权重值无法准确得知且无法直接排序时，可以利用特征向量量化法对两个指标数据的权重值大小进行比较。

2.3.2 定量指标标准化处理方法

(1)极差变换法。

极差变化法与标度量化法具有一定的相似性，在应用过程中极差变化法可对定性量表进行处理与分析，将指标具体分为正向指标、逆向指标两大方面，当正向指标的属性值较高时，体现出风险评估模型具有较好的性能。

(2)固定指标标准化法。

应用固定指标标准化法时，需对现有的指标数据进行深入分析，当指标数据的值与固定属性较为接近时，则表现出较好的性能，因此可通过固定指标数据进行标准化，从而对数据进行处理分析。

3 结语

综上所述，网络信息系统在面对网络信息安全威胁时，必须进行深入探讨，从而有效避免因系统脆弱性及其他因素所带来的安全风险。本文在深入分析网络信息系统所面临的安全风险情况下，提出了构建基于新型技术的系统安全风险评估模型，应用该模型可以对网络信息系统运行过程中对网络安全情况进行监测与反馈，希望以此可有效降低网络信息系统的不良网络安全事件发生率，有效规避安全风险。