合肥天帷信息安全技術(shù)有限公司 安徽 合肥 230000

引言

近年來(lái),互聯(lián)網(wǎng)發(fā)展迅速,針對(duì)政府、金融、教育等多個(gè)領(lǐng)域的計(jì)算機(jī)系統(tǒng)的攻擊不斷增多,帶來(lái)的社會(huì)危害和不利影響也越來(lái)越大。因此,以何種策略鞏固網(wǎng)絡(luò)信息并有效性地對(duì)其施行監(jiān)測(cè),且及時(shí)、迅捷、有效地測(cè)估風(fēng)險(xiǎn)項(xiàng)并為信息“上好鎖”工作等是亟待整治之項(xiàng),本篇文論亦將以此為切點(diǎn)進(jìn)行論析。

一、計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)

(一)計(jì)算機(jī)網(wǎng)絡(luò)安全

一般而言之于網(wǎng)絡(luò)信息安全的相關(guān)概述,可從計(jì)算機(jī)網(wǎng)絡(luò)自身所存的安全性能及其對(duì)信息的控管安全性能進(jìn)行綜述。若以國(guó)際提供的標(biāo)準(zhǔn)細(xì)則來(lái)論析“信息自身安全性”概念,國(guó)際青睞于判定信息有無(wú)具備保密及完整性、且信息可否有價(jià)值為人所用;“信息控管的安全性”則指向授訪權(quán)及控制權(quán)、身份的有效鑒別及認(rèn)證等。值得注意的一面是該“網(wǎng)絡(luò)信息安全”的概念是非固化的,其隨用戶的轉(zhuǎn)變而變化。一般用戶在進(jìn)行網(wǎng)絡(luò)信息傳輸之時(shí)傾向于防護(hù)個(gè)人及機(jī)要文件免遭損失,“防聽(tīng)防竊防改篡”的三防工作是大眾的關(guān)注層。故而網(wǎng)絡(luò)提供商需要關(guān)注的范圍會(huì)更加廣泛和多元,除了最基本的網(wǎng)絡(luò)信息安全外,還要時(shí)刻關(guān)注各種不可控的外界因素對(duì)網(wǎng)絡(luò)信息安全造成的破壞,諸如網(wǎng)絡(luò)維修、災(zāi)害防御及軍政經(jīng)濟(jì)的攻陷等要素。網(wǎng)絡(luò)信息的安全維護(hù)需要“技術(shù)性＋控管”的“兩手抓”,唯有二者共同施用,方可構(gòu)筑網(wǎng)絡(luò)信息的安全地基。

(二)計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

近年來(lái),互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展為人們的生活提供了多種物質(zhì)和文化享受,但也產(chǎn)生了許多網(wǎng)絡(luò)安全風(fēng)險(xiǎn),數(shù)據(jù)的泄露、盜取及黑客、病毒入侵等問(wèn)題讓人們的隱私保護(hù)出現(xiàn)諸多問(wèn)題,存在諸多隱患。網(wǎng)絡(luò)信息的風(fēng)險(xiǎn)項(xiàng)包括三方內(nèi)容。首先是固有的安全漏洞。沒(méi)有任何一個(gè)系統(tǒng)可以排除漏洞的存在,緩沖區(qū)溢出、拒絕服務(wù)等系統(tǒng)漏洞會(huì)造成系統(tǒng)的不穩(wěn)定、耗盡或是損壞一個(gè)或多個(gè)系統(tǒng)的資源;其次是合法工具的濫用?，F(xiàn)今各項(xiàng)管理軟件緊隨計(jì)算機(jī)系統(tǒng)的更進(jìn)而不斷革新并躍升,其為網(wǎng)民帶來(lái)良好體驗(yàn)度及操作度。但是,升級(jí)之后的系統(tǒng)和工具也同樣會(huì)成為不法分子增強(qiáng)攻擊性的手段;另外還有不正確的系統(tǒng)維護(hù)措施。無(wú)效的安全管理也是巨大的安全隱患[1]。

二、網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)性估測(cè)標(biāo)準(zhǔn)

(一)計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估

顧名思義,測(cè)估事物風(fēng)險(xiǎn)性便是將該事物投入特定情境以預(yù)估其蘊(yùn)含的影響及可能涉及的損失量大小歸納參數(shù),并就預(yù)估參數(shù)打出風(fēng)險(xiǎn)數(shù)值。風(fēng)險(xiǎn)測(cè)估的本質(zhì)便是以比較的程序進(jìn)行事物危險(xiǎn)性測(cè)估以便于后續(xù)執(zhí)行。將風(fēng)險(xiǎn)測(cè)估置于計(jì)算機(jī)網(wǎng)絡(luò)則使測(cè)估的重點(diǎn)集中于“信息系統(tǒng)”及“網(wǎng)絡(luò)系統(tǒng)”的安全度,其含括了測(cè)估信息在傳送、存儲(chǔ)等流程中嚴(yán)密完整度與周全度的有無(wú)。

(二)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)

網(wǎng)絡(luò)信息的安全測(cè)估項(xiàng)含括如下幾類:CC標(biāo)準(zhǔn)、BS7799標(biāo)準(zhǔn)、ISO/IEC21827－2002(SSE－CMM)以及國(guó)家信息化標(biāo)準(zhǔn)。CC標(biāo)準(zhǔn)被劃歸于信息技術(shù)的公共考評(píng)準(zhǔn)則:其列分為模型介紹及安全的保證及功能需求事項(xiàng)等幾部,CC準(zhǔn)則綜合了信息體系的周密性、完整度及可利用性等角度,是一項(xiàng)貫穿信息傳導(dǎo)全程的風(fēng)評(píng)測(cè)估準(zhǔn)則;與此同時(shí),BS7799準(zhǔn)則亦為互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)測(cè)估的經(jīng)典性細(xì)則,《信息安全管理體系規(guī)范》及《信息安全管理實(shí)施細(xì)則》構(gòu)筑并貫穿BS7799組成項(xiàng);(又名SSE－CMM)的ISO/IEC21827－2002則為代表信息安全能力等級(jí)的范式模型,包含過(guò)程改善、能力評(píng)估、保證三項(xiàng)基本要素,有助于施工過(guò)程安全性的提高;基于信息化準(zhǔn)則可將信息體系由用戶自主性、安全項(xiàng)標(biāo)注、驗(yàn)證訪問(wèn)及后臺(tái)查審等進(jìn)行等級(jí)性分揀,由此為網(wǎng)絡(luò)信息體系扣上安全之鎖[2]。

三、施行網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)測(cè)估的策略

(一)制定網(wǎng)絡(luò)信息安全管理策略

首先,應(yīng)使網(wǎng)絡(luò)體系結(jié)構(gòu)的定制向有效及合理性進(jìn)發(fā),可充分施以分段技術(shù)中的“物理＋邏輯”手段使局域網(wǎng)得以有效的安全操控,從而隔絕非法式用戶及防范用戶誤觸敏感型網(wǎng)絡(luò)資源,并使信息的傳送通道愈加順暢無(wú)阻;其次,要完善信息加密。用戶可考核個(gè)人及網(wǎng)絡(luò)境況并進(jìn)行網(wǎng)口端點(diǎn)及鏈路的多元化加密途徑選擇,以確保周密性輸傳;另外,要制定網(wǎng)絡(luò)安全管理策略。網(wǎng)絡(luò)實(shí)操章程規(guī)范及機(jī)房出入登記管核制、網(wǎng)絡(luò)維護(hù)章程等典章可在一定程度上為網(wǎng)路安全保駕護(hù)航。

(二)有效施用網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的測(cè)估方法

首先,要掌握定性評(píng)估方法。測(cè)估人員的工齡及累積經(jīng)驗(yàn)、自身配備的知識(shí)理論等要素影響定性風(fēng)險(xiǎn)測(cè)估且使得測(cè)估結(jié)果攜有主觀色彩。事故樹(shù)型分析、專家評(píng)測(cè)考核、安全檢查表型等均為定性測(cè)估的施用手段,均比對(duì)各風(fēng)險(xiǎn)項(xiàng)準(zhǔn)則而得,與此同時(shí),對(duì)于風(fēng)險(xiǎn)高低境況及其對(duì)最終結(jié)果的影響強(qiáng)弱等均可列為風(fēng)險(xiǎn)等級(jí)的評(píng)定。其次,正確運(yùn)用定量評(píng)估法。定量評(píng)估以網(wǎng)絡(luò)體系所存風(fēng)險(xiǎn)項(xiàng)為考核基準(zhǔn),測(cè)估結(jié)果較顯客觀化且益于用戶進(jìn)行細(xì)化察看及分析,BP網(wǎng)絡(luò)、層次透析及模糊綜合測(cè)評(píng)是較為常見(jiàn)的定量測(cè)估方式。最后,動(dòng)態(tài)不定性是網(wǎng)絡(luò)信息體系運(yùn)行中所存的隱藏特性,“定性＋定量”的混合型可助力用戶精準(zhǔn)把控評(píng)估體系所藏風(fēng)險(xiǎn)項(xiàng),量化可以量化的風(fēng)險(xiǎn)要素,定性分析無(wú)法量化的風(fēng)險(xiǎn)要素,綜合后形成分析結(jié)果,提高評(píng)估結(jié)果的準(zhǔn)確性。

四、結(jié)束語(yǔ)

網(wǎng)絡(luò)信息安全涉及到諸多技術(shù)性問(wèn)題,且與信息管理和使用緊密相關(guān),與法律、經(jīng)濟(jì)甚至政治問(wèn)題也同樣掛鉤,其綜合性較為凸顯,囊概了信息體系自身所存安全遺留的問(wèn)題,也包括了物理的和邏輯的技術(shù)措施。故此,應(yīng)予以網(wǎng)絡(luò)信息安全風(fēng)控及時(shí)性的測(cè)估及防范,其事關(guān)國(guó)家及社會(huì)安定與否,應(yīng)予以嚴(yán)正對(duì)待。