网络安全风险评估方法研究

2020年5月网络安全风险评估方法研究广西南宁530031）（广西壮族自治区信息安全测评中心，李芬兰网络安全风险评估作为保障网络安全的重要【摘要】随着信息技术的发展和网络安全形势的变化，网络安全管理也受到了人们的广泛关注，

然后为网络安全管理提供参考依据，措施，其重要性也越来越突出。通过网络安全风险评估，能够对网络中可能存在的风险因素及时有效地识别，

旨在进一步提高网络系统的安全性。从而保障网络安全。基于此，本文立足于网络安全这一目的，对网络安全风险评估的方法进行具体的分析，

评估方法【关键词】网络安全；网络风险；

【中图分类号】【文献标识码】【文章编号】（2020）TP393.8A1006-422205-0052-02

风险评估最早是对工业领域进行的风险评估袁后来由于网络的不断发展及网络安全的需求袁网络安全风险评估也逐渐发展了起来遥网络安全风险评估具体指的是从安全风险的角度出发袁预计网络中资源缺失尧遭受破坏而产生的损失数量袁以此衡量整个网络系统的安全性遥网络风险安全风险评估涉及的要素比较多袁其中最关键的字眼便野风险冶尧野资产冶和野威胁冶遥野风险冶主要指的是资产损害袁是某一种威胁利用资产的弱点所进行的损害袁进而使得威胁事件发生曰野资产冶主要的是网络中具有价值的信息或资源袁网络安全防护需要对这一类资产进行保护曰野威胁冶指的是利用资产中的漏洞或者弱点进行威胁袁从而对资产造成损害遥

事实上袁在网络安全风险评估中袁其各个要素之间的关系是相互的袁比如安全威胁会增网络安全的风险隐患袁安全措施在制定过程中需要根据安全需求来进行袁以此降低风险的发生袁但是并不能够完全消除风险袁可能还会出现残余风险袁这样资产中新的脆弱性也会随之出现遥风险评估各要素之间的关系图具体可见图1遥

1网络安全风险评估的概述网络技术的不断发展袁给人们的工作和生活带来了较大的便利袁但任何事物都有其两面性袁网络的普及和发展袁也同时带来了许多网络安全问题遥当前网络安全事件屡见不鲜袁这使得人们对于网络安全防护的关注热度逐渐提高遥过去对于网络安全的防护袁对于网络安全问题往往处于被动的状态袁而且所采用的防护措施较为单一袁并不能够有效规避网络安全隐患袁所以为了满足当前网络安全防护的要求袁应当建立起一套主动防御体系遥而网络安全风险评估作为一种主动型的网络安全技术袁其强调了事前控制袁运用相关的评估理论在安全事件发生之前对网络安全现状及环境进行准确的评估袁以此为网络安全技术措施部署创造了有利的条件遥

风险评估袁对网络系统中可能存在的风险进行识别袁以及评估这些潜在风险所带来的危害及影响程度袁然后在此基础上制定可行的网络安全防护措施袁保证网络系统的安全遥可见袁对于网络安全风险控制而言袁网络安全风险评估是重要的环节袁需要充分掌握网络安全风险评估的方法袁充分发挥出网络安全风险评估的作用袁从而提高网络的安全性遥对此袁以下分别对网络安全风险评估常用的几种方法进行分析遥

定性风险评估法主要是针对网络安全的现状进行评估的一种方法袁其主要是某个既定的理论框架中袁评估人员根据自身的知识和经验以及现有的安全措施等进行评估遥由于定性风险评估法是以相对值的形式存在袁对于评估结果并不要求精确的量化值遥这一方法的优点主要表现为操作简单尧易理解尧易实施以及快速找出风险领域并重点防护遥但也有其局限性所在袁主要是评估结果具有一定的主观性袁对于网络运行的实际情况并不能够具体客观地反映出来袁这样便使得操作者难以有效进行风险的跟踪观察管理袁也对评估者有着较高的能力要求遥在应用定性风险评估法时袁比较常用到以下几种评估方法遥

渊1冤专家评估法遥各个方面的专家根据自身的知识经验袁然后结合相关的评价标准袁对网络系统中可能存在的潜在风险进行评估袁并给予相应的风险权重遥风险权重越大袁说明风险程度越大袁之后再根据重叠加算出整体的水平袁与基本标准进行对比分析袁以此进行网络安全风险的评估遥

渊2冤故障树分析法遥这一方法主要是围绕故障结果进行袁依照相应的步骤找出故障发生的原因遥在利用故障树分析法时袁由于树形结构中的各个要素都存在的紧密的联系袁这便使得风险分析的过程也呈现出整体到局部的过程袁通过这一细化过程来找出故障原因袁然后对故障的因果关系进行分析遥换而言之袁应用这一方法进行网络风险评估时袁需要找到网络中存在的风险袁然后通过逻辑推理的方式袁沿着故障发生的路径将风险发生的概率进行计算袁最后就是针对性地制定风险控制方案遥

渊3冤德尔菲法遥该方法的提出主要是为了避免集体讨论过程中存在盲从问题遥在具体的应用过程中袁先是通过匿名的方式来获得专家们的意见袁由于这一过程属于匿名交流袁且专家们之间并不了解袁这样便能够有效利用专家的知识经验袁从而有效保证网络风险评估的客观性遥

不同于定性风险评估法袁定量风险评估法是通过数值作为标准来评估网络安全风险袁对网络安全风险评估进行量化

2.1定性风险评估法

2网络安全风险评估的几种方法分析图1风险评估要素之间的关系

2.2定量风险评估法

目前网络安全防护控制问题备受关注袁而采取网络安全

2020年5月处理袁然后借助计算机对网络中存在的安全风险概论及影响程度进行测算袁而且测算结果是以直观化的数据体现袁因此具有评估结果较客观尧科学及严密的优点遥但不可否认的是袁定量风险评估在当前的网络环境中实现是比较困难的袁主要是因为有时为了实现网络安全风险的量化袁往往会经较为复杂的网络系统进行简单化和系统化处理袁这样不仅难以全面反应网络安全的现状袁而且可能在量化处理之后会存在误解的情况遥在定量风险评估中袁比较典型的几种评估方法为以下几种遥

渊1冤决策树法遥决策树法与故障树分析法类似袁也是通过树形结构进行的推理袁但是不同的是袁决策树法的最终评估结果是通过计算机概率所获得遥在应用这一评估方法时袁先要计算出各个节点的期望收益袁这是决策树法的重要前提条件袁同时要对网络的风险值和可行性进行评估遥决策树法具有清晰和形象的优点袁因此比较便于评估者对网络安全风险评估和分析遥

渊2冤因子分析法遥这一方法主要是将多变量指标进行简化处理袁从中众多指标中做出少量的综合性指标来反映主要的信息袁以此判断简化变量中的复杂关系遥

渊3冤Markow法遥这一分析法是把网络系统中的风险看作是一个变化的过程袁先对风险在不同状态间转换的概率进行计算袁然后再通过转换概率矩来对网络系统的整体风险进行评估遥

综合风险评估法就是将定性风险评估法与定量风险评估法相互结合遥在上述分析中可得知袁定性法和定量法都其各自的优点和缺点袁因此为了能够充分发挥两者的优点袁需要将这两者进行有机结合袁这也就是综合风险评估法遥采用综合风险评估法主要是为了保证评估结果的客观性袁以及能够对网络系统中各类安全隐患进行有效判断袁进行实现网络风险评估的高效性和客观性遥目前综合风险评估法使用过程中主要有两种形式袁一种是基于指标体系的风险评估袁另一种是基于模型的风险评估遥

渊1冤基于指标体系的风险评估遥这一风险评估形式主要是

（上接第51页）

通信设计与应用53

根据指标体系来对网络风险进行评估袁具体而言袁先将网络风险评估进行量化处理袁将影响网络风险安全因素反映出来袁然后结合所反映的因素特性进行划分袁形成若干个组别袁从而形成风险指标体系袁最后根据所建立的指标体系来对网络中的风险进行评估遥

渊2冤基于模型的风险评估遥这一风险评估形式的关键是从网络攻击者的角度进行的考虑袁其根据网络攻击者的意图和目的建立起对应的网络模型袁在这一网络模型中袁能够将攻击者可能攻击的路径进行反映袁然后评估人员根据此来进行网络安全风险的评估遥也这因为如此袁能够充分将网络攻击者如果进行攻击的过程反映出来袁这样便能够从中找出网络系统中存在的漏洞或者脆弱性袁进而构建出有效的分析模型进行风险风格遥但也有其不足的地方袁主要是因为模型构建过程较为复杂袁且难以真正实现量化袁对于网络系统中具体存在的安全问题分析和处理上有较大的困难遥

总而言之袁网络安全风险评估是保障网络系统安全的重要途径袁也是主动进行网络安全防御的重要前提和基础遥在实际的使用过程中袁要针对安全需求选择合适的网络安全风险评估袁准确地掌握网络安全的形势袁并制定有效的安全防护措施袁确保网络系统的安全遥

参考文献

3结语2.3综合风险评估法

[1]查红泽.基于等级保护的信息安全评估算法研究[J].电子科技袁2019袁32渊11冤院78-82.

[2]冯雪峰袁龚军袁吕小毅.模糊神经网络信息安全风险评估方法在信息系统中的应用[J].现代计算机院专业版袁2018渊24冤院50-.

[3]沈利香袁曹国.基于不确定语言变量的网络安全风险评估方法[J].常州工学院学报袁2018袁31渊1冤院36-43.

收稿日期：2020-03-12作者简介：李芬兰渊1988-冤袁女袁壮族袁广西天等人袁工程师袁本科袁主要从事网络安全等级保护测评尧软件测试尧风险评估尧渗透测试工作遥

关键以及客观需求遥上一代通信技术在运行过程中产生了很大的能耗袁而且传输的业务流量相对较低袁存在着严重的资源浪费的现象遥在发展光纤通信技术过程要通过加大对于通信系统的研究袁重点加强对基站尧天线系统尧收发装置等进行优化袁从而降低整个系统的能耗问题遥

另外音视频图像流量将占据光纤通信大部分容量袁尤其是以图像尧音频尧视频等业务为主袁对于传统传输提出了更高的要求袁对于网络带宽和传输技术提出了新的挑战遥为了更好地解决这个问题袁根据业务的实际情况袁可以将内容分发等网络关键技术嵌入到光纤通信技术当中袁同时根据内容不同能够实现自动发配通道袁从而实现不同内容下的不同速率传输袁从而有效降低用户在数据传输过程中延时问题袁提高用户的通信体验遥通过这些关键技术的应用袁可以减少大规模数据增长带来的带宽问题袁同时还能够有效提高网络通信的业务丰富度遥还可以根据不同规模的接入需求来构建不同网络传输节点袁满足不同接入对于不同业务的需求遥同时为了提高光纤通信网络传输的经济性袁还要加强对于先进技术尧先进材料的研究袁提高技术可靠性的同时还要降低关键技术应用的投资袁从而更好地促进电力光纤通信技术的应用袁满足电力行业发展遥

综上所述袁电力光纤通信网络在设计和规划过程中需要考虑到各种因素的影响袁要重点加强网络拓扑架构的设计袁从而更好满足国家对于电力行业网络安全性和可靠性的要求袁更好促进光纤通信网络的发展遥

参考文献

4结语[1]范宏袁高亮袁周利俊袁等.智能电网的电力光纤入户技术及其应用[J].电力自动化设备袁2013渊7冤院41.

[2]曾瑛.电力通信网可靠性分析评估方法研究[J].电力系统通信袁2011渊8冤院74.

[3]沈亮.电力光纤通信网络的规划设计问题探讨[J].电子制作袁2015渊12冤院87.

[4]詹鹰.探究5G移动通信技术下传输未来发展趋势[J].通讯世界袁2018渊10冤院58-59.

[5]富加妮.基于5G移动通信技术下传输的未来发展趋势[J].信息通信袁2018渊7冤院266-267.

收稿日期：2020-04-02作者简介：常希辉渊1982-冤袁男袁汉族袁河北石家庄人袁工程师袁本科袁研究方向为网络安全遥