網絡安全風險評估研究

2009-09-29 08:58:18劉謙

新媒體研究 2009年14期

劉　謙

[摘要]網絡安全給個人，企業和政府帶來的損失越老越大。事實證明沒有絕對的網絡安全，但是采用風險評估，預防處理可以有效降低對網絡威脅帶來的損失。首先分析網絡安全和風險評估的含義，以及網絡安全風險評估的對象。最后運用網絡安全評估模型，對風險評估過程進行詳細的分析。

[關鍵詞]網絡安全風險評估風險指數安全漏洞

中圖分類號：TP3 文獻標識碼：A 文章編號：1671－7597（2009）0720065－01

一、網絡安全與風險評估

網絡安全是指計算機網絡系統中的硬件、數據、程序等不會因為無意或惡意的原因而遭到破壞、篡改、泄露，防止非授權的使用或訪問，系統能夠保持服務的連續性，以及能夠可靠的運行。

風險評估是解決網絡安全的首要問題，因為沒有進行透徹的風險分析和評估而實施的安全策略就好像先建房屋后畫圖紙一樣，會導致資金和人力資源的巨大消耗和浪費。可以說網絡安全是以風險評估為基礎的，只有對網絡安全解決方案進行充分有效的風險分析和評估，了解系統目前與未來的風險所在，評估這些風險可能帶來的安全威脅與影響程度，才能將系統的風險降到一個可以接受的程度，這是風險評估所要完成的任務。

二、網絡安全風險評估的對象

風險評估主要從以下四個方面進行：威脅行為、脆弱性、資產、影響。一種影響的因素是前面三者的結果，因此在實際評估中一般從三個方面進行：1．資產評估。這是風險評估過程中的重要因素。資產評估一方面是資產的價值評估，針對有形資產，另一方面是資產的重要性評估，主要是從資產的安全屬性分析資產對整個系統運作的影響。評估中需要篩選出重要資產，即可能會威脅到企業運作，政府運行的資產。2．威脅評估。可以借助DIS取樣、漏洞模擬攻擊、人工評估、策略及文檔分析和安全審計等方式，分清哪些威脅會帶來損失，這樣一方面可以了解組織信息安全的環境，另一方面同時對安全威脅進行半定量賦值，分別表示強度不同的安全威脅。3．脆弱性評估。安全漏洞是信息資產自身的一種缺陷，漏洞評估包括漏洞信息收集，安全事件信息收集，漏洞掃描，漏洞結果評估等。[2]通過對資產所提供的服務進行漏洞、弱口令的掃描得到結果，根據不同服務在資產中的權重，結合該服務的風險級別，得到最后的資產漏洞風險值。

三、網絡安全風險評模型研究

針對某一個組織的網絡安全進行評估，必須遵照一定的流程和方法。本文設立一種模型，將網絡系統掃描的結果當作輸入，網絡風險評估的結果作為輸出，網絡安全評價指標庫為評價參考對象，漏洞信息庫作為掃描結果的參照對象，其結構如圖1所示：

網絡安全綜合評價模型包含：三個基本模塊，網絡漏洞掃描模塊、評價指標權重確定模塊、網絡安全評估結果輸出模塊；四個個知識庫，漏洞信息庫、網絡安全和結構知識庫、評估指標信息庫，評價結果庫；一個中間結果，即漏洞掃描結果；多個后續結果：即根據輸出的安全評估結果形成總體評估，分析報告，以及網絡安全改進措施等。這是一個循環的結束。隨著網絡技術的日新月異，帶給網絡安全的不穩定因素也不斷出現，因此必須通過再次評估，比更新漏洞信息庫，且形成下一個評估循環。

三個基本模塊的內容如下：1．網絡漏洞掃描模塊對網絡系統進行掃描，根據漏洞信息庫和網絡安全和結構知識庫檢查系統存在的漏洞信息，形成掃描結果，為評價指標權重確定模塊中專家確定的賦值提供參考信息。2．評價指標權重確定。威脅網絡安全的因素非常多，因此需要之前確定一個因素影響的大小。可以采用魚刺分析法，形成初始的評價指標，并經過專家論證，形成初始指標網絡安全體系。魚刺分析法見圖2所示：

魚刺圖也稱為樹枝圖或因果分析圖，在分析造成某一結果的原因是非常有用。該圖以如圖2的形式，首先查找結果的主要原因，然后尋找次要原因，以此類推，采取層層深入的方法，查找出所有的原因，使錯綜復雜的原因條理化，清晰化，便于進一步的分析。

網絡安全評估結果輸出模塊，是將評價的最終結果輸出，供相關人員進行分析，并提出解決措施，同時評估結果需要保存到評價結果庫中。

四、結束語

通過網絡安全的威脅因素及其權重，借助模型可以對網絡安全進行評估。沒有絕對安全的信息系統和網絡，只有在對網絡系統面臨的安全風險進行了有效評估的基礎上，才能充分掌握網絡系統安全狀況，及時發現網絡中存在的漏洞和威脅，并有針對性地采取控制措施，提高網絡的安全性。網絡安全評估模型的建立，可以借助魚刺分析法建立威脅因素的權重指標，再運用網絡漏洞掃描，對網絡安全進行評估。

參考文獻：

[1]美國波萊蒙研究所，http：//www.cbismb.com/articlehtml/20100876.

htm.

[2]張維明等，信息安全風險評估方法研究，中國計算機安全學會2004年會論文集，北京：北京科技出版社，2004：119-124.

[3]許永福等，網絡安全綜合評價方法的研究及應用[J]．計算機工程與設計，2006．27（8）：1398-1400.

作者簡介：

劉謙（1975-），男，湖南益陽人，工程師，湖南商務職業技術學院，研究方向：網絡安全、信息安全。