浅谈网络安全的风险评估方法

信息安全与技术·2013年6月１前言

网络风险评估就是对网络自身存在的脆弱性状况、外界环境可能导致网络安全事件发生的可能性以及可能造成的影响进行评价。网络风险评估涉及诸多方面，为及早发现安全隐患并采取相应的加固方案，运用有效地网络安全风险评估方法可以作为保障信息安全的基本前提。网络安全的风险评估主要用于识别网络系统的安全风险，对计算机的正常运行具有重要的作用。如何进行网络安全的风险评估是当前网络安全运行关注的焦点。因此，研究网络安全的风险评估方法具有十分重要的现实意义。鉴于此，本文对网络安全的风险评估方法进行了初步探讨。

２概述网络安全的风险评估

２．１网络安全的目标要求

网络安全的核心原则应该是以安全目标为基础。在网络安全威胁日益增加的今天，要求在网络安全框架模型的不同层面、不同侧面的各个安全纬度，有其相应的安全目标要求，而这些安全目标要求可以通过一个或多个指标来评估，以减少信息丢失和网络安全事故的发生，进而提高工作效率，降低风险。具体说来，网络安全风险评估指标，如图１所示。

２．２风险评估指标的确定

风险评估是识别和分析相关风险并确定应对策略的过程。从风险评估的指标上来看，网络安全风险指标

毕

妍

（中国人民武装警察部队学院消防工程系信息工程教研室

河北廊坊06500）

【摘

要】随着网络技术的日新月异，网络安全越来越成为人们关注的热点问题。网络安全的风险评估，在网络安全

技术中具有重要的地位，有利于及时了解网络系统的安全状况。在计算机网络的运行过程中，对网络系统的总体安全性能进行评估，可以为安全体系的构建提供依据，有效地进行网络安全风险管理。本文以网络安全为切入点，在概述网络安全风险评估的基础上，重点探讨了网络安全的风险评估方法，旨在说明网络安全风险评估的重要性，以期为网络安全的风险评估提供参考。【关键词】网络；

安全；风险；评估ＩｎｔｒｏｄｕｃｔｉｏｎｔｏＮｅｔｗｏｒｋＳｅｃｕｒｉｔｙＲｉｓｋＡｓｓｅｓｓｍｅｎｔＭｅｔｈｏｄ

Bi Yan

(Chinese People's Armed Police Force Academy Fire Engineering Department of Information Engineering Teaching and

Research Section Hebei Langfang 06500)

【Ａｂｓｔｒａｃｔ】Ｗｉｔｈａｄｖａｎｃｅｓｉｎｎｅｔｗｏｒｋｔｅｃｈｎｏｌｏｇｙ，ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｈａｓｉｎｃｒｅａｓｉｎｇｌｙｂｅｃｏｍｅｔｈｅｈｏｔｔｏｐｉｃｉｎｐｅｏｐｌｅ．Ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔ，ａｎｉｍｐｏｒｔａｎｔｒｏｌｅｉｎｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｔｅｃｈｎｏｌｏｇｙ，ｔｉｍｅｌｙｕｎｄｅｒｓｔａｎｄｉｎｇｏｆｔｈｅｎｅｔｗｏｒｋｓｙｓｔｅｍｓｅｃｕｒｉｔｙｓｉｔｕａｔｉｏｎ．Ｄｕｒｉｎｇｔｈｅｏｐｅｒａｔｉｏｎｏｆｔｈｅｃｏｍｐｕｔｅｒｎｅｔｗｏｒｋ，ｔｈｅｎｅｔｗｏｒｋｓｙｓｔｅｍｔｏｅｖａｌｕａｔｅｔｈｅｏｖｅｒａｌｌｓａｆｅｔｙｐｅｒｆｏｒｍａｎｃｅ，ｃａｎｐｒｏｖｉｄｅｔｈｅｂａｓｉｓｆｏｒｔｈｅｃｏｎｓｔｒｕｃｔｉｏｎｏｆｓｅｃｕｒｉｔｙｓｙｓｔｅｍ，ｆｏｒｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｒｉｓｋｍａｎａｇｅｍｅｎｔｅｆｆｅｃｔｉｖｅｌｙ．Ｂａｓｅｄｏｎｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙａｓｔｈｅｂｒｅａｋｔｈｒｏｕｇｈｐｏｉｎｔ，ｏｎｔｈｅｂａｓｉｓｏｆｔｈｅｏｖｅｒｖｉｅｗｏｆｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔ，ａｎｄｐｒｏｂｅｓｉｎｔｏｔｈｅｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔｍｅｔｈｏｄ，ａｉｍｅｄｔｏｉｌｌｕｓｔｒａｔｅｔｈｅｉｍｐｏｒｔａｎｃｅｏｆｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔ，ｓｏａｓｔｏｐｒｏｖｉｄｅｒｅｆｅｒｅｎｃｅｆｏｒｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔ．

【Ｋｅｙｗｏｒｄｓ】ｎｅｔ

ｗｏｒｋ；ｓｅｃｕｒｉｔｙ；ｒｉｓｋ；ａｓｓｅｓｓｍｅｎｔ浅谈网络安全的风险评估方法

网络控制·信息安全·ＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ

37··

2013年6月·信息安全与技术

体系由三大部分组成，分别是网络层指标体系、传输网风险指标体系和物理安全风险指标，为内部控制措施实施指明了方向。同时，每种指标体系中还包含资产、威胁和脆弱性三要素。

３网络安全的风险评估方法

网络安全问题具有很强的动态特征，在了解网络安全的目标要求和风险评估指标的基础上，为了更合理地评估网络安全风险，使信息网络安全体系具有反馈控制和快速反应能力，可以从几个方面入手。

３．１网络风险分析

网络风险分析是网络安全风险评估的关键。在网络安全的风险评估中，安全风险分析是风险评估的第一个环节，是全面掌握安全风险状况的基础。一般来说，风险就是指丢失所需要保护资产的可能性。网络安全风险分析就是估计网络威胁发生的可能性，以及因系统的脆弱性而引起的潜在损失。大多数风险分析在最初要对网络资产进行确认和评估；此后再用不同的方法进行损失计算。

３．２风险评估工作

风险评估工作在网络安全中具有重要的作用。由于诱发网络安全事故的因素很多，在进行网络安全风险评估时，开展安全风险评估工作，对防范安全风险有举足轻重的作用。总的来说，风险评估的方法有定量的风险评估方法和定性的风险评估方法两种。从网络安全风险的评估方法上看，不同的评估方法对安全风险的评估也不尽相同。在进行安全风险评估时，应结合网络安全的实际情况，选择安全风险评估方法。

３．３安全风险决策

信息安全风险评估是对信息安全进行风险管理的最根本依据，就网络安全而言，安全风险决策是网络安全风险评估的重要组成部分。安全决策就是根据评估结

论决定网络系统所需要采取的安全措施。风险分析与评

估的目的是为了向网络管理者提供决策支持信息，进而形成合理的、有针对性地安全策略，保障信息系统安全。由上可知，安全风险决策在一定程度上可以使网络威胁得到有效控制。

３．４安全风险监测

为加强网络安全管理，在网络安全的风险评估过程中，安全风险监测也至关重要。就目前而言，在网络运行期间，系统随时都有可能产生新的变化，例如增添新的网络软硬件、软件升级、设备更新等都将导致资产发生变化。这时先前的风险评估结论就失去了意义，需要重新进行风险分析、风险评估和安全决策，以适应网络系统的新变化。安全监测过程能够实时监视和判断网络系统中的各种资产在运行期间的状态，并及时记录和发现新的变换情况。因此，建立安全风险监测项目数据库，进行动态分析势在必行。

４结束语

网络安全的风险评估是一项综合的系统工程，具有长期性和复杂性。网络安全评估系统能够发现网络存在的系统脆弱性，在进行网络安全风险评估的过程中，应把握好网络风险分析、风险评估工作、安全风险决策和安全风险监测这几个环节，发现和堵塞系统的潜在漏洞，不断探索网络安全的风险评估方法，只有这样，才能最大限度的降低网络安全威胁，确保网络的安全运行。

参考文献

[1]覃德泽,蒙军全.网络安全风险评估方法分析与比较[J].网络安

全技术与应用,2011(04).

[2]刘枫.网络安全风险评估研究与实践[J].网络安全技术与应用,2009(11).

[3]党德鹏,孟真.基于支持向量机的信息安全风险评估[J].华中科

技大学学报(自然科学版),2010(03).

[4]黄水清,张佳鑫,闫雪.一种内部网络信息安全风险评估模型及

技术实现[J].情报理论与实践,2010(02).

[5]赵冬梅,刘金星,马建峰.基于改进小波神经网络的信息安全风

险评估[J].计算机科学,2010(02).

[6]黎水林.基于安全域的政务外网安全防护体系研究[J].信息网

络安全，2012，（07）：3-5.

[7]孙强.基于定量安全风险评估模型的网络安全管理平台[J].微

电子学与计算机,2010(05).

[8]刘雪飞，王雪飞，王申强.网络线路数据流量监视的实现[J].信

息网络安全，2012，（11）：60-62.

ＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ·信息安全·网络控制

图1网络安全风险评估指标

能力的安全性

关系的安全性

数据的安全性

物理安全保障

控制的数据保密性保障

控制的数据完整性保障控制的数据私密性保障控制的数据可用性保障

访问的管理与控制控制的抗抵赖保障控制的传送安全性保障

网络传输带宽的安全保障网络层

传输层

物理层

网络安全目标

评价指标1评价指标2评价指标3...

评价指标n

38··