摘要:随着经济社会的不断发展,计算机网络的使用也越来越普及,给我们的日常工作与生活提供了极大的便利,但是网络的普及也就给了网民的个人信息暴露在外,信息的泄露与潜在的威胁也就可能发生,为了尽可能避免这些风险的出现,并且保证每个网民的信息安全与整体网络环境的长治久安,我们就需要对网络风险及时开展评估工作,本文立足于计算机网络的风险评估流程与方法,并加以分析,为实际操作过程提供可行的理论参考。
关键词:计算机网络;公民信息安全;理论方法;综合评估
一、计算机网络的评估标准
1、CC标准
由美国、加拿大以及欧洲的四个国家起草的CC标准是计算机的信息技术的安全程度评估标准,立足于现有的多种风险评估标准,由国际组织进行修订的具有标准化操作流程的风险评估标准,由于它汲取了各个风险标准的长处,其合理性也是完全可以保证的。又由于它实现了对各个不同标准的覆盖,其全面性也是具有充分的保证的。在此标准之下的一切网络,它的主要框架与各个具体的功能,都是以ITSEC的标准作为主要的来源的。CC标准有三个具体的部分,它们分别是一般模型、安全功能需求、安全保证需求,无论是哪一个模块,其重要性都是不可忽视的。如果把CC标准与以往的计算机安全标准相比,还是具有很大的可操作性的,例如,在实际应用的过程中,CC标准与PDR标准是相似的,对于整个信息系统的保障较为完整,实用性更高,保密性也得到了充分的保证,同时在做评估的过程中更注重全部过程,考虑较为完善。
2、BS7799标准
BS7799标准是当下国际范围广泛应用的最具有独特代表性的执行标准,这种计算机网络安全信息风险管理体系由英国的标准协会制定,主要有两大部分组成。这个标准在进入新世纪以来被国际标准化组织认定为通用标准的前一项及其重要的内容,并予以重新命名,新名字为ISO/IEC21827-2000。组成这一标准的两个部分分别为《信息安全管理体系规范》和《信息安全管理实施细则》。
3、ISO/IEC21827-2002(SSE-CMM)
这一执行标准是衡量电子计算机网络信息安全的保障能力的成熟度的一个重要准绳,它对信息安全工程的构建过程做出了详实且严格的规定,进行构建信息安全工程的过程中,这包括实施和使用这一工程的整个过程。这一基础协议可以保证计算机网络的整体安全与稳定,在此安全协议之上的网络架构具有极强的安全性,也能够根据网络工程的实际需要进行设计过程的总体优化,从而实现施工过程的安全性拔高一个量级。
4、国家信息化标准
我国在上个世纪末制定了中国的信息化标准,用以适应我国的国情,这一准则,又称《计算机信息系统安全保护等级划分准则》,在对计算机的整体信息系统进行保护时把等级详细地划分为了五大等级,也就是用户自主、安全标记、访问验证、系统审核、结构化保护五大具体等级,从而保护使用者计算机安全不受侵犯,这一标准已经在实际过程中展开实施,实际实施过程中也是相对上令人满意的。
二、评估计算机网络安全潜在风险的方法
1、定性分析
当下一个极为常用的一個分析计算机网络安全系数的方法就是定性分析法。在这种定性分析过程中,一般是立足于分析检测人员的知识储备和以往的检测知识,通过与现有的检测标准进行对比,再参考以往的分析案例,再按照风险的高低与大小不同来对不同的对象划分相应的风险等级。由于这一分析方法包含太多的工作人员主观的判断,所以其中包含了许多的研究人员的个人主观意见,定性分析的不断深入,其中也就有了更多的不同的新方法,例如事故树分析法、安全检查表法、专家评价法等等。
2、定量分析
在这一种方法的利用过程中,我们应该将目光集中在计算机网络系统中综合存在的潜在风险,并将这些风险的潜在因素进行分析筛选,并对这些风险可能产生的后果的大小和方式进行分析,从而对这些风险进行提前的预测与衡量,将整个的风险评估过程用数据进行信息化与数量化,使得每一个检测人员能够更加精准的确认风险的分析结果。在当下的主要风险分析过程也有不同的方法,既可以立足于风险评估的性质来进行结构的重新建构,从而使得风险要素之间形成相互联系;也可以采用综合数据的模糊分析方法,通过建立一个近似的数学模型,利用最大隶属度的原理和一定的模糊变化的原理,以及其他模糊变化的相应原理,对风险的可能发生的程度进行预先分析,由于采用了数学的方法,这种方式往往比较准确,此外,也可以利用BP神经网,对系统中的可能风险进行记忆与分析,从而更加准确的进行风险分析与预测,在分析的过程中对BP网络进行不断地深入优化,提升问题的检查效率;此外还可以利用灰色系统进行综合预测,以相应的边际值为一定的基础,对所有的潜在变量进行实体化,最终对实体化后的变量进行深层次评估。
3、定性分析与定量分析相结合的方法
计算机内部的运行十分复杂,那么其发生的可能风险也总是不尽相同的,是一个不稳定的动态过程,所以仅仅使用一种简单的方法是不能够完全杜绝所有的可能风险,那么就有可能有风险漏网,此时如果同时使用定性分析与定量分析,就可以尽可能的避免可能存在的风险,对两种方法的处理结果进行总结分析,尽可能的避免可能的风险,提高最终评估结果的准确性。
四、结束语
风险评估是计算机网络在运行过程中的网民个人信息安全的保护伞,能够有相应的客观评估标准是能够合理开展评估工作的重要方式,科学地选用评估方式,提升自身评估的准确性,为公民的信息安全保驾护航。
参考文献:
[1]陈燕.计算机网络信息安全风险评估标准与方法研究[D].中国海洋大学,2015.
[2]陈建树,王振宇,缪丹.计算机网络信息安全风险评估标准与方法研究[J].数字通信世界,2017 (8).
[3]祁倩民,卢世财,汪斌川.对计算机网络信息安全风险评估标准与方法的探讨[J].电脑迷,2017 (21).
[4]徐天锐,宋传斌.计算机网络信息安全风险评估标准创新进展[J].科研,2017 (3):00203-00203.