网络与信息安全的风险评估及管理探讨

网络与信息安全的风险评估及管理探讨

作者：田春平

来源：《信息技术时代·下旬刊》2018年第02期

摘要：随着我国互联网信息技术的不断发展，越来越多的行业领域开始运用网络信息技术，随着使用量的不断增加，信息安全也成为了一项十分重要的话题，本文将深入分析网络信息安全风险产生的原因，并针对信息安全的风险评估进行简要介绍。通过提出现阶段较为使用的风险评估工具和方法，来对我国网络信息安全管理提出相应的意见和措施，从而保证信息安全。

关键词：网络信息安全；风险评估；管理模式

一、引言

随着科学技术的不断提高，信息化技术逐渐深入应用到了各个行业领域当中，也深入到了人们的日常生活之中。网络信息的安全性与稳定性，成为现阶段人们十分关注的重要话题。网络信息系统的安全性在一定程度上决定了系统运行程度，系统运行的稳定性在很大程度上影响着系统运行的效率。随着网络信息技术的不断发展，越来越多的信息化设备开始依赖先进的风险评估机制，国内外许多国家也开始重视建立完善的网络信息风险评估体系。以美国为首的西方发达国家，已经建立起了较为全面的风险评估机制，并提出了相关的法律法规，而我国在此方面的起步较晚，仍然处于探索阶段，因此还存在着许多不足。

二、产生安全风险的因素

一般来说，对网络信息安全产生威胁的因素包含人为因素和非人为因素：

（一）自然灾害

由于网络信息一般储存在本地的数据库当中，这些机械设备对于外部环境有着较高的要求，一旦遇到地震，洪灾，暴雨暴雪天气的影响，或是高温低温等极端环境，就很容易造成存储数据的设备损坏，从而造成网络信息数据的破坏，产生极高的安全风险。

（二）人工操作失误

在对机械设备进行日常维护和操作过程中，很容易由于操作人员自身的工作失误或技术不熟练，从而导致系统运行发生故障，很有可能会因此导致网络信息数据的丢失与损坏。

（三）木马程序或网络病毒攻击

利用木马程序和病毒进行网络数据的攻击与破坏，是现阶段教育常见的网络信息安全风险。黑客和不法分子通过木马程序的植入，病毒侵入等方式，进入到网络信息系统的内部进行数据的窃取或破坏，针对这一安全隐患，相关部门应该建立后更加先进完善的防火墙措施，确保在系统进行内外部信息交流传输过程中，能够对未知来源的程序和信息进行鉴别，从而保证信息系统的安全。

三、网络信息安全风险评估方法

（一）定性分析方法

在现阶段的网络信息安全评估过程中，一般采用的方法分为两种：分别是定性分析与定量分析。定性分析主要是指根据信息储存系统日常运作状况，相关的专业技术人员就可以凭借自身的经验进行结果评估，根据系统目前所表现出来的各项数据和参数，从而对不同模块的安全程度和风险系数进行判断与评估，并根据判断结果进行等级的划分设定。定性分析常用在一些无法进行具体量化的指标当中，所以带有较强的主观成分，容易受到个人判断的影响。

（二）定量分析方法

除了定性分析之外，还可以采用量化指标的方法，对系统运行过程中所表现出的状况以及运行参数进行计算总结，从而将系统运行中容易出现的风险进行评估和分析，得出相对应的结论。在最终结果和等级划分的设置上，大多数都采用具体的数据，在一定程度上避免了人为观测的主观影响，具有客观性和公正性。与此同时，经过数据化处理之后的结果能夠帮助技术人员更加直观的对结果进行分析评估，并用于实际工作的指导上。

目前较为常用的定量分析有以下三种方法：第一，层次分析法。该方法主要是通过对评估对象的安全风险系数进行简要划分，依照不同的系统进行不同指标的设定，并根据检测出的结果进行等级的划分。这种层级分明的风险评估方法能够建立起更加完整的立体模型，方便人们的日后分析与工作。第二，BP神经网络分析方法。该方法是一项学习性较强的自主评估模型，可以根据日常运行过程中产生的数据进行不断的学习与优化，从而伴随着系统的更新而不断提升风险评估水平。第三种方法是综合评估模型，主要是通过利用模糊变化原理，从而对系统运行过程中存在的相关风险进行综合性评估，这种评估方法更加全面，能够提供全方位的相关信息。

（三）定性与定量分析结合方法

由于现阶段网络信息系统运行越来越复杂，系统程序的设定以及相关硬件设备更新换代的速度较快，具有较高的动态性。针对此情况，在风险评估过程中不能够局限于一种单一的评估方法，还应该有机的结合定性分析与定量分析，一方面借助更加直观的可视化数据作为评估的参考依据，另一方面还应该结合定性分析方法，着重针对不可量化的条件和风险要素进行深入分析。在最后，可以通过结合二者分析的结果，来提高评估效果和水平。

结语

网络系统的信息安全风险评估是十分重要的，不仅是针对系统本身的安全而言，更重要的是风险评估能够为相关的工作人员带来更加直观的数据观测，从而保证在日常工作过程中能够极大提升系统的安全与稳定性。由于我国在这方面的研究起步较晚，还没有形成足够完善的整套体系，在风险评估机制的规范化，系统化方面仍然需要加以改进。到目前为止，国家已经出台了许多相关的风险评估标准作为指导意见，下一步，各行各领域应该根据国家下达的评估标准进行深入的探究与分析，积极借鉴国外先进技术和经验，不断提高风险评估的水平和准确性，从而保证系统的正常稳定运行。

参考文献

[1]陈星宇，陈焕燮，汪灿，等.基于BP神经网络的信息安全风险评估研究[J].信息通信，2018（4）：165-166.

[2]姜静逸，钟鸣，何国生，等.航行情报动态信息处理系统的网络信息安全改进方法研究[J].中国民航飞行学院学报， 2018（4）.

[3]郑红磊，郑重.一种互联网办公资源安全风险在线评估方法设计（英文）[J].机床与液压，2018， v.46；No.462（12）：106-110.

[4]王志勇.基于风险评估的企业内网漏洞管理技术研究[J].网络安全技术与应用，2018，No.210（6）：75-77