風險評估在信息安全中的有效運用及關鍵技術

摘 要信息化時代在加快人們獲取資源速度的同時，也帶來了極大的弊端，由于現今人們對網絡的依賴程度越來越高，使網絡平臺變得越來越復雜，很多企業都將自身的機密保留在網絡中，一旦受到了惡意侵犯，將直接會為企業帶來巨大的損失。因此為了避免該問題的發生，在信息化時代研究出了信息安全風險評估，其在極大程度上降低了網絡遭遇侵襲的幾率。基于此，本文著重從三個方面講述了信息安全中風險評估的應用，隨后對其關鍵技術進行了研究分析，以此來供相關人士交流參考。

【關鍵詞】風險評估 信息安全 關鍵技術 探究應用

信息安全風險評估是基于信息遭到惡意侵襲而研究出來的一種可以對風險發生可能性進行分析的一種評估方法。其最早出現在上世紀中期，由于評估方法多樣且均存在有一定的局限性，因此在使用評估方法進行評估時，就需要結合實際的情況對現有的評估方法進行改進，并對其關鍵技術進行研究，以保證評估方法可以有效發揮自身的作用，降低信息安全的風險。

1 信息安全中風險評估的原則及工具

1.1 保密原則

使用風險評估對信息安全進行評估時，一定要進行嚴格的保密，可以采取提前簽署保密協定的方式或是利用保密監視的手段對評估進行保密。除此之外，還要將該評估直接添加到安全監管體系中，避免又有新的風險出現在評估過程中。

1.2 標準型原則

進行信息安全風險評估時，一定要結合相關的標準進行評估，做到有據可依。此外，在進行風險計算時，可以使用科學合理的數學模型來計算，同時還要確保整個工作均有與標準相符的評價指標，以使本次評估更具有可信度，增強整個評估過程的有效性以及科學性。

1.3 主動型評估工具

對于主動型評估工具，其是通過人工編制而成的，在對信息安全風險進行評估時，采取的是主動評估的方式，直接對計算機的防火墻進行掃描，從而找出系統正常運行過程中程序內部存在的潛在威脅。

1.4 被動型評估工具

被動型評估工具與主動型評估工具在評估時恰好相反，其在對風險評估時，主要是通過守株待兔的方式有效地守住數據的關卡，對所有流入計算機的數據進行檢測，如果捕捉到了較為敏感的數據，直接就會對其分析。此外，該類型的評估工具有著極為明顯的優點，其可以對系統在運行階段的安全情況進行準確的監控。但是如果流入系統的數據存在潛在威脅，該類型的評估工具在評估準確度上便不如主動型評估工具。

1.5 管理型評估工具

該類型的評估工具主要是管理整個評估的過程，其可以有效與前兩種評估工具相結合，同時也可以利用研究分析而成的風險管理模型對整個安全系統進行管理。

2 信息安全風險評估關鍵技術研究

2.1 威脅分析技術

信息安全中無時無刻都存在有潛在的威脅，如果不能及時發現，就會對資產或者組織帶來潛在的損害，其可以通過動機、途徑、主體以及資源等途徑實現，就威脅而言，其主要分為人為因素以及環境因素兩種，就環境因素來講，分為物理因素以及不可抗因素。人為因素分為惡意因素以及非惡意因素。具體的評估步驟如下所示：

2.1.1 識別威脅

研究人員需要根據信息資源的實際情況以及當前環境結合自身的經驗對其可能面對的威脅進行評估，由于潛在的威脅形式多樣，所以需要結合具體的威脅采取針對性的方式識別。

2.1.2 評估威脅

待對威脅識別完成之后，緊接著研究人員就需要對威脅可能發生的幾率進行評估，其需要結合威脅來源以及種類將威脅劃分成不同的級別，然后依照類別的不同對可能性進行定義，即威脅的等級越高，就說明威脅發生的可能性越大。

2.2 資產管理技術

資管管理技術主要應用于對價值較高的信息資源的風險評估，具體的形式包括有硬件、文檔以及部分服務、形象等。在進行信息安全風險評估時，首先要進行的就是資產評估，此外，在評估的過程中還要遵循風險評估的保密原則，具體的評估方法如下：

2.2.1 劃分資產類別

由于資產的來源多樣，包括業務管理系統以及網絡等，因此在評估時不能采用統一評估的方式，應按照其不同的用途以及形態先對其進行劃分。

2.2.2 資產賦值

待對資產類別劃分結束以后，就需要結合不同的資產類別對其進行賦值，總共級別有五級，其在衡量時并不需要結合賬面的價格來衡量，僅需要在考慮到資產的投入成本的基礎上，選取相對價值作為衡量標準。此外，評估人員還需要明確資產評估對網絡信息業務的重要性，同時也要明確影響資產賦值的因素，即包括信譽影響、商業利益、系統破壞以及系統安全等。

2.3 脆弱性識別技術

脆弱性識別主要包括技術層面以及管理方面，其在對不安全數據以及因素進行識別時，可以直接使用漏洞掃描的方式對網絡設備以及主機進行掃描，尤其是對于一些需要保護的資產，在掃描過程中如果發現了潛在的威脅，就要結合其脆弱性的強度以及威脅可能發生的機會展開風險評估。由于掃描軟件是漏洞掃描的必要設備，所以當前市場上也涌入了大批功能強大的掃描軟件，可以用于對大多數系統漏洞的掃描。待掃描結束以后，掃描軟件會自行對掃描到的數據進行研究分析，從而輸出可以反映出系統是否存在風險漏洞的信息。

3 結束語

信息化時代有效地推動了社會的發展，但是由于網絡數據的透明，也帶來了眾多安全風險，尤其是對于一些存儲在計算機內部的機密文件，一旦受到惡意的盜竊或者侵襲，直接就會為一方帶來極大的損失。尤其是在信息資源就是核心競爭力的市場，安全風險評估更是有著不可忽視的作用。但是由于評估方法眾多，因此為了有效降低信息資源被盜取的風險，在對安全管理系統裝備時，還要結合實際的情況對其進行目的性的創新，有效規避新的風險，進而提升網絡信息的安全度。

參考文獻

[1]宋文軍，韓懌冰，尚展壘.大數據時代背景下網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2016（03）：59-60.

[2]鄭成容.信息安全風險評估在構筑信息安全保障體系中的作用與地位[J].信息安全與技術，2015（04）：12-14.

[3]徐慧瓊.有關大數據時代背景下網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2017（07）：72-72.

[4]王榮斌，吳茵，周黎輝.基于云平臺的信息安全保障及安全風險評估方法的研究[J].網絡安全技術與應用，2017（05）：80-81.

作者簡介

王潔民（1999-），男，湖北省荊門市人。大學本科學歷。研究方向為信息安全 。

作者單位

廣東省廣州市中山大學 廣東省廣州市 448000