网络安全的风险分析

网络安全的风险分析王桂娟张汉君中南大学铁道校区原长沙铁道学院科研所,湖南，长沙，410075摘要随着计算机网络的发展，网络安全问题日益突出，对网络安全进行风险分析就变得日益重要。本文从计算机网络的特点出发，提出了网络安全风险分析的一种定量分析方法，并应用该方法，对某个公司局域网进行了风险分析。关键字风险，风险分析,,-, ,,410075,,；；1．引言随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。网络有其脆弱性，并会受到一些威胁。而风险分析是建立网络防护系统，实施风险管理程序所开展的一项基础性工作。风险管理的目的是为确保通过合理步骤，以防止所有对网络安全构成威胁的事件发生。网络的安全威胁与网络的安全防护措施是交互出现的。不适当的网络安全防护，不仅可能不能减少网络的安全风险，浪费大量的资金，而且可能招致更大的安全威胁。因此，周密的网络安全风险分析，是可靠，有效的安全防护措施制定的必要前提。网络风险分析应该在网络系统，应用程序或信息数据库的设计阶段进行，这样可以从设计开始就明确安全需求，确认潜在的损失。因为在设计阶段实现安全控制要远比在网络系统运行后采取同样的控制要节约的多。即使认为当前的网络系统分析建立的十分完善，在建立安全防护时，风险分析还是会发现一些潜在的安全问题。一般来说，计算机网络安全问题，计算机系统本身的脆弱性和通信设施脆弱性共同构成了计算机网络的潜在威胁。

一方面，计算机系统硬件和通信设施极易遭受到自然环境因素的影响如温度，湿度，灰尘度和电磁场等的影响以及自然灾害如洪水，地震等和人为包括故意破坏和非故意破坏的物理破坏；另一方面计算机内的软件资源和数据信息易受到非法的窃取，复制，篡改和毁坏等攻击；同时计算机系统的硬件，软件的自然损耗和自然失效等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏，丢失和安全事故。通过结合对计算机网络的特点进行分析，综合起来，从安全威胁的形式划分得出了主要风险因素。风险因素主要有自然因素，物理破坏，系统不可用，备份数据的丢失，信息泄漏等因素 2 ．古典的风险分析基本概念风险风险就是一个事件产生我们所不希望的后果的可能性。风险分析要包括发生的可能性和它所产生的后果的大小两个方面。因此风险可表示为事件发生的概率及其后果的函数风险=ƒ,其中­为事件发生的概率，为事件发生的后果。风险分析就是要对风险的辨识，估计和评价做出全面的，综合的分析，其主要组成为1& ;风险的辨识，也就是那里有风险，后果如何，参数变化？2风险评估，也就是概率大小及分布，后果大小？风险管理风险管理是指对风险的不确定性及可能性等因素进行考察、预测、收集、分析的基础上制定的包括识别风险、衡量风险、积极管理风险、有效处置风险及妥善处理风险等一整套系统而科学的管理方法，旨在使企业避免和减少风险损失，得到长期稳定的发展。3．网络安全的风险分析本文采用的风险分析方法是专家评判的方法。由于网络的脆弱性以及对网络的威胁，因此网络中就存在风险。根

据古典的风险分析，则网络中的风险与风险因素发生的概率和相应的影响有关。而概率可以通过统计的方法来得到，影响可以通过专家的评判方法来得到。因此,风险=概率*影响这时，风险分析的过程包括统计概率，评估影响，然后评估风险。然后根据风险分析的大小来管理风险。1统计概率通俗的说，概率是单位时间内事件发生的次数。按每年事件发生的次数来统计概率。2影响的评估首先对上述5个因素确定权重，按照模糊数学的方法将每个因素划分为五个等级很低，低，中等，高，很高。并给出每个等级的分数1．2，3．6，7，根据各个专家对每个因素的打分计算出每个因素的分数，再将与相乘，累计求和Σ,让=Σ此值即因素的影响的大小。风险因素权重的确定方法如下设影响的个因素为1，2，…，，参加评判的专家人。对个因素，先找出最重要因素和最不重要因素，并按层次分析方法中1－9的标度和标准确定两者的比率。将5个因素按重要程度从小到大排序，以最不重要因素为基准赋值为1，将各个因素与其比较。按重要程度进行赋值按法中的标度和标准。将个专家对个因素所赋的分为块，分别记为［1］，［2］，…，［］。其中矩阵［］的行表示以为最不重要因素的专家数，记作。列表示将因素作为基准，对个因素1，2，…，所赋的值。具体形式为