网络安全风险评估关键技术研究.docxVIP

?

?

网络安全风险评估关键技术研究

?

?

徐亮彧

摘??要：随着近年来我国“互联网+战略”的实施，网络信息技术的发展日新月异，其与我国经济的融合也日益深入和广泛，而计算机网络作为网络信息技术及各项系统应用正常运行的基础，已经融入人们正常生活、工作、学习研究的方方面面，因而其安全风险问题便成了人们关注的焦点。提升网络安全风险评估关键技术的研究水平，对于确保网络的安全性和稳定性都起到了十分重要的作用，特别是在国防、金融等特殊领域，对网络安全风险评估有着更高的要求。基于此，文章主要就网络安全风险评估关键技术研究这一论题进行阐述和分析，希望能起到抛砖引玉之效。

关键词：网络;安全;风险;评估;关键;技术

1??网络安全风险评估关键技术相关概述

计算机网络安全是一个较为抽象的概念，具体包含了网络物理层面和软件逻辑层面的安全性。前者主要指对各种网络硬件进行物理保护，以防止其被损坏;后者主要包含了网络环境的安全、完整和必威体育官网网址性等[1]。

计算机网络主要由人来控制，因此人员因素是造成其安全风险的最主要来源之一，主要表现在以下方面：

（1）无意性威胁，主要指管理员操作失误或安全口令设置不合理、保管不当等因素间接影响了网络系统的安全，包括雷电、地震等特殊自然因素对网络安全所造成的威胁。

（2）间接攻击，主要是指攻击者采用暴力破译、网络监听等方式进行数据分析攻击，造成了网络数据信息的泄露，从而引发安全事故。

（3）主动攻击，主要是指网络黑客采用各种技术手段攻击网络安全漏洞，造成数据的篡改、删除，大数据流量冲击服务器等破坏性行为，对于网络安全的影响更大、更深。

网络安全风险评估的标准必须遵循全面性、必威体育官网网址性、真实性和可靠性，必须高效、完整地呈现出网络系统中的各类安全隐患，从而尽可能地采取各种措施减少或避免网络安全漏洞的发生[2]。

2??网络安全风险评估关键技术研究的主要内容和意义

2019年5月13日，我国网络安全等级保护制度2.0标准的正式发布，其中网络安全风险评估主要包含以下内容：

（1）网络安全风险评估，主要包括资产、威胁、脆弱性和风险4个方面。首先，对资产及其脆弱性进行识别，并对其重要性和脆弱性验证程度进行赋值评估。其次，对威胁进行有效识别，描述其属性，对其出现的频率赋值，然后根据威胁的识别结果判断安全风险发生的概率。再次，根据脆弱性的严重程度及其安全事件所涉及资产的重要性，计算安全事件可能的损失程度以及该事件对组织的影响，即风险值大小的评估。最后，通过上述评估，得出安全风险现状分析评估报告，然后通过物理环境评估、软件系统评估、硬件网络系统评估和数据安全备份恢复评估等内容进行关联分析[3]。

（2）网络安全风险评估技术，是一种主动防御技术，关键在于安全事件未发生时其能主动分析和评估自身所存在的潜在安全隐患和风险，并且能未雨绸缪，根据评估结果而采取恰当的风险控制措施，其通过预测事件发生的概率、影响范围和危害程度，能有效提升预防保护的准确性，从而能有效地阻止网络安全威胁的进一步蔓延和全面、有效地推动网络安全管理工作的落实。同时，其可以帮助网管及时了解各种潜在的风险，从而合理利用现有资源进行有效预防，进而达到以最小成本获得最大安全保障的效果。网络信息安全事关个人隐私、企事业单位商业秘密、国防和国家政策、经济发展的安全性，对我国健康可持续发展起到了举足轻重的作用[4]。

3??网络安全风险评估关键技术研究

进一步提升网络安全风险评估关键技术的研究水平和质量，对于保障网络信息化系统的稳定和安全起到了至关重要的作用，而对其安全防范措施的应用也得到相应的发展和完善。笔者根据多年的相关理论研究和实践经验总结了网络安全风险评估方法及关键技术，主要有以下方面。

3.1?定量的网络安全风险评估

（1）定量的网络安全风险评估，主要是依据明确的数量指标参数进行网络安全评估，其中嫡权系数法是主流的定量分析法。其通过计算而得出参数的权重，从而完成系统的不确定度量，量化出系统的风险值。同时，该技术方法利用参数以及信心对各参数的权重进行计算，从而定量地判断出风险因素值[5]。

（2）为了更真实、清晰地呈现出网络运行环境中的各种因素对于所有发生可能性所产生的影响，选择广义贝叶斯攻击图模型，通过引入威胁状态变量和攻击收益，能更好地容纳被评估网络信息系统的业务应用场景以及安全威胁信息对于攻击可能性的影响。

（3）以广义贝叶斯攻击图为基础，共包含3个层次的攻击概率计算方法，分别是网络攻击概率、节点攻击概率和主机攻击概率，从而出现相应的网络风险值、节点风险值和主机风险值的计算方法。大量实践证明，此方法能较准确和真实地反映出网络信息系统遭受攻击的状况，其具有十分广泛的应用价值。

3.2?定性的网络安全风险评估

（1）定性的网络安全风险评估，主要是依据演绎理论分