浅析网络空间的安全风险评估

柯 学

（深圳证券通信有限公司，广东 深圳 518040）

随着互联网技术的普及，电脑硬件的成本正在呈指数化的下降。此外，随着软件开发技术的不断成熟，也使软件使用功能越来越强、越来越全面。当今，以互联网技术为基础的社会网络体系已经逐渐形成。截至到今天，互联网的技术已经遍布我国经济的各个方面，许多传统的线下行业也随着互联网技术的带动，将业务由线下转移到线上。这种形式在为我们工作提高效率的同时，也会暴露大量的个人隐私，使信息安全受到一定威胁，而这种趋势在近些年越发严重。所以，如何净化网络环境，保证各个企业的用户的信息、财产安全等不受到损失，已经成为了当今互联网技术中亟待解决的问题[1]。

在网络安全工程的实际操作中，相关人员应该针对不同的网络漏洞做出有效的安全操作，甄别出各种网络信号的威胁程度，并且针对不同情况下暴露出的网络问题进行安全风险评估，这是提高网络安全环境的一大重点。本文将据此对网络安全评估的过程进行全面的概述和分析，阐述提升网络安全评估的准确性，进而达到网络安全净化的目的，实现全网网络安全提升的目标。

1 信息安全风险评估工作流程

信息安全风险评估的流程主要分为五个阶段，它们分别是，对风险评估的前期准备，对资产重要性的识别，对于潜在威胁的认定，对网络脆弱性的风险识别，以及对网络风险的细化分析[2]。

（1）风险评估的前期准备。风险评估的前期准备工作的主要目的是认清风险评估的等级，做好前期准备工作，包括制定工作计划、确定工作目标、认定工作范围和细化工作方案等。同时根据相关系统的工作组建评估团队。在准备阶段，团队多次进行讨论，与乙方进行协商，了解对方所关注的信息安全重点，强化风险评估的范围和目标，确保整个风险评估工作有的放矢。而后，要根据乙方工作对象的网络信息规模、网络属性、网络复杂性来统筹分析，明确人员的具体分工，指派工作人员进行现场调研，了解乙方网络的具体构建情况和网络管理制度。根据掌握前期的信息，撰写安全风险报告，进而为下一步的工作奠定基础。

（2）进行资产重要性的识别。在做好风险评估的前期准备工作之后，就要进行对被评估方资产重要性的识别工作。这项工作具体来说需要相关工作人员运用多种途径，来了解评估对象的相关资产信息，为后续的各项风险评估工作提供基础的理论。同时，要明确工作的方向，识别出工作的主要内容，向被评估方进行资产调查，通过对评估方发放资产调查表来了解被评估方的资产信息，对资产进行重要的论证和标注、分类，防止资产信息遗漏。同时，对每一项资产做仔细的确认和录入工作。

（3）对于潜在威胁的认定。对于潜在威胁的认定具体表现为对具体威胁的识别。对威胁的确认源自于对手评估方资产所处的环境以及之前资产信息的数据来进行推断。这种威胁的判别形式一般是通过采集IDS报警信息和侵入系统等问卷的调研方式，结合对公司相关的技术方案人员进行咨询和研讨。通过这种方式，能够收集到准确的第一手威胁信息。除此之外，要准确的找到问卷调查的对象，在问卷内容要富含所被评估方的各个方面，包括技术人员、领导人员、系统管理人员、安全人员以及其他员工等。同时，在访谈主要要根据不同的访谈对象制定不同的谈话内容，以确保访谈的质量。对于潜在威胁判别最为关键的一点，在于确认引发威胁的人物或者事物，这里的危险源既可能是偶然情况出现的，也可能是黑客或者其他人恶意攻击出现的。这包括系统自身的问题，人为的问题以及其它问题等等。对于一项资产来说，他可能会同时面临着几个危险点，而同一个危险点也可以对被调研方不同的资产类型产生不利的威胁。在进行识别后，威胁系统还可以自己进行评估，列出具体的威胁清单，对不同系统、不同位置的威胁信息进行有效梳理。

（4）对于网络脆弱性的识别。对网络信息安全脆弱性的识别，是整个风险评估体系中最为复杂、最不容易把握的内容，但它也是最为重要的一个环节。这项风险评估的操作对于工作人员的专业水平提出了很高的考验。网络信息安全的脆弱性主要表现为：系统对信息管理的脆弱性，和系统技术能力本身的脆弱性。系统对管理方面的脆弱性主要是通过调查者发放相关问卷，组织专家访谈及收集现有管理制度的漏洞来完成。而技术方面的脆弱性检测，则要通过专业的工具，对系统漏洞的范围内进行软件补丁的安装和升级，并且在升级之后进行识别，确认安全后即完成工作。在实际的操作中，要注意脆弱性识别具有全面性的特点，它主要包括网络应用管理、物理操作、数学计算等各个方面，如果想更好地分析网络的脆弱性对整个系统影响度的高低，最好的方法就是对关键资产进行技术性的检测。例如，对关键服务的身份识别等操作的方式。在进行识别操作之后，还要对具体资产脆弱性进行系统的分类，按照实际脆弱性的高低程度来具体细分不同等级内容。

（5）对网络风险的细化分析。按照具体的分类来看，构成网络风险主要的内容有：资产、网络威胁和网络脆弱性。在了解这些网络风险的实际内容之后，就可以确定具体存在的网络风险的具体内容。对于风险分析进行动态的排列，一般分为三个步骤，一是要计算风险大小程度；二是对风险形成的原因，和风险的影响，产生具体的调研报告；三是对风险的下一步防控提出合理化可行性建议，根据资产对被检查方本身重要性来进行列表。同时，还要对各项信息面临的威胁进行逐一的排列，进行统筹考虑，根据科学的风险计算法则，核对出相应资产的风险数值，形成科学的资产列表。通过采集到的数据，对网络系统中的风险进行下一步的定量分析。从风险的特征上来说，风险只能被预防，但是却难以避免。“道高一尺，魔高一丈，”想要完全消除风险几乎是不可能的，不过可以接受正常类型的风险。随着网络安全信息技术的发展，网络风险也随之进行了发展。所以我们必需要及时更新技术，调整策略来避免不必要的风险，对于小型或中等类型的风险来说可以接受，但是要尽快想办法通过技术手段来消灭潜在风险。

2 信息安全风险评估分析采集及分析

（1）信息安全风险评估的概念。所谓信息安全风险评估，就是从管理学的角度，通过科学、规范的方法和手段来系统的分析各个网络内部环境信息，通过对分析，归纳出信息系统面临的威胁环境以及存在的漏洞，并对此进行统筹化评估，通过评估使网络威胁发生的可能性降到最低，进而提出相对有针对性抵御安全威胁的防护手段，防止信息泄露、保证信息安全，降低风险的水平，将风险控制在可接受的范围，最大程度上的保护网络正常运行，为虚拟网络空间的正常运转提供有力的帮助，并提出科学的依据。网络安全风险评估工作的推进，有利于提升网络环境的纯净度、安全性，是确保网络安全的最重要因素。信息安全评估主要是针对网络的平台、网络系统和网络信息进行统筹的归类，并进行研究。从步骤上来说，一般是通过对各类威胁因素进行分析后进行分类识别，并判断出此目标对网络的损坏程度，将此种破坏的类型进行归类，最终得出结果，对结果进行综合评估，分析各类隐患对网络安全破坏程度的大小，并据此形成风险评估报告，相关工作人员根据评估的内容，具体作出保护网络安全的具体措施[3]。

（2）网络扫描，风险筛查。在对网络安全风险的管理工作中，第一步就是要对计算机网络进行整体的扫描，对存在的病毒或安全隐患进行筛查。通过对计算机用户的内容进行扫描的过程中，如果发现网络的信息内容发生了变化或者和预期接收信息的内容不同，筛查系统就会将异常数据与正常的网络数据进行对比，并对异常数据进行全方位的分析，并把分析的结果或其它病毒、流氓软件等信息及时的列举出来，并把分析出的结果报送给系统管理员，管理员可以根据系统评估出的结果进行分析并采取相应的应急措施，确保网络系统安全。网络扫描除了对异常数据整合和信息接收之外，还能够对局域网络的运行参数和网络异常性、资源分配性等内容进行实时监控，从多个角度检查网络中潜在的不安全因素，实现网络安全工作的第一项重要内容。

（3）高效判断，定量分析。在进行全盘的网络扫描工作之后，网络安全系统还通过定量分析的技术进行信息检查。这是因为网络系统的数据大多是以动态化呈现，数据具有多变性和跳跃性，所谓的网络安全也分为多个角度，此外各种网络威胁的程度也大小不一。所以通过定量的分析方法，可以针对某一领域的信息统筹分类，通过相应的参数来预估风险的大小，对不同类别的网络威胁采取不同的手段和方法，这样对于网络安全管理员来说，也提供了工作的便利性、系统性，使工作人员更加直观的获取网络安全信息[4]。

（4）资源整合，形成数据库。在进行全盘的网络扫描和定量分析等前期的资料整合工作后，就要将收集的信息录入数据库，对异常数据进行汇总和归纳，在未来遇到类似系统的威胁时，可以通过网络安全系统进行自动的识别。此外，通过形成数据库可以科学的建立计算机网络的访问权限和网络加密，实现对机密数据的保护功能。一般来讲，数据库系统内包含了多维护的自我调控系统，如：故障维修、数据恢复等功能，通过这些功能来不断的提升网络数据的安全等级，进而维护网络安全。

但是在实际操作中，网络数据库可能还会出现如下安全问题：一是某些恶意用户和流氓软件会利用SQL的漏洞，通过此漏洞进行代码的恶意输入，从而实现对用户信息的窃取；二是安全数据库的漏洞，还会出现在操作者在使用网络计算机时，数据的通行证被无意间的泄露，致使信息被黑客或者其他非法作用的人进行窃取。通过对用户计算机的登录密码数据的获取，直接进入到后台对计算机的信息进行窃取，造成计算机主人的财产和资料信息的损失。

近些年经过科研人员的不断探索，安全数据库已经实现了多次升级，对两项弊端进行了有效的弥补，第一是对SQL的语言具有更规范性的要求。这种命令式的语言仅能有软件的开发者拥有。同时，数据库内容可以不连接外部网络，以此使数据库的安全得到更好的保障。此外，针对数据库通行证的规范性和安全性，提高了登录的账号和密码等级，形成三级密码或四级密码，并加入人脸识别，指纹识别等，进一步提升了数据库的安全[5]。

3 结 语

随着科技飞速发展的今天，我们的日常生活已经离不开互联网，网络安全与社会的发展、人们的正常生活，都息息相关，它不但影响人民的利益，也影响着社会的稳定。本文通过详细阐述信息安全风险评估的各个工作流程和结合信息安全风险评估的采集，为完善网络安全信息工作提供相应的参考。