淺談模糊判斷在網(wǎng)絡(luò )安全風(fēng)險評估中的應用研究論文

　　引言

　　模糊判斷綜合評價(jià)方法在網(wǎng)絡(luò )安全風(fēng)險評估中是針對多種影響因素進(jìn)行安全評價(jià)的一種方法，其運用模糊數學(xué)原理對具有一定模糊性的事物進(jìn)行系統的分析評價(jià)，是在模糊推理基礎上進(jìn)行的定量定性判斷，也是精確判斷與非精確判斷方法的統一體，極大程度上解決了評估指標單一或者評估過(guò)程不甚合理等網(wǎng)絡(luò )安全風(fēng)險評估問(wèn)題。

　　一、問(wèn)題的提出

　　眾所周知，網(wǎng)絡(luò )信息系統是非常復雜的，可能會(huì )受到各方面條件的限制，某個(gè)運作階段環(huán)境、科學(xué)技術(shù)條件、網(wǎng)絡(luò )系統本身問(wèn)題等因素的不足都會(huì )造成網(wǎng)絡(luò )系統安全漏洞的存在，為不法分子提供進(jìn)行網(wǎng)絡(luò )系統侵害的漏洞，對網(wǎng)絡(luò )安全造成威脅。此外，網(wǎng)絡(luò )本身的開(kāi)放性和系統的脆弱性也會(huì )帶來(lái)一定的信息風(fēng)險。所以，要想全面地解決網(wǎng)絡(luò )信息安全問(wèn)題，及時(shí)地解決網(wǎng)絡(luò )系統可能存在的各種未知或已知風(fēng)險，需要對網(wǎng)絡(luò )系統有一個(gè)全面的掌握與了解，對系統進(jìn)行有效地安全風(fēng)險評估分析，降低網(wǎng)絡(luò )風(fēng)險對系統安全的影響; 并且盡可能地預測將來(lái)一段時(shí)間內，網(wǎng)絡(luò )系統可能會(huì )形成的漏洞或遭受的攻擊，并以此為依據，建立安全完善的網(wǎng)絡(luò )信息安全防護系統及安全隱患解決措施體系。

　　二、評估信息的原則與方法

　　網(wǎng)絡(luò )安全風(fēng)險評估過(guò)程紛繁復雜，系統運行的主機、環(huán)境、管理等的安全防護及必要的網(wǎng)絡(luò )安全、危險應急體系都具有非常大的影響，在如此廣泛的網(wǎng)絡(luò )安全影響范圍內，要想保證整個(gè)網(wǎng)絡(luò )系統的安全運行，必須詳細地了解網(wǎng)絡(luò )系統的方方面面的問(wèn)題，對系統形成一個(gè)全面的網(wǎng)絡(luò )信息風(fēng)險評估。并且，要想完美得做到網(wǎng)絡(luò )安全防護，還需要對網(wǎng)絡(luò )系統的整體構架和運行方式認識清楚，并進(jìn)行全面的網(wǎng)絡(luò )系統實(shí)踐調研，通過(guò)各種高科技綜合技術(shù)手段獲得更多更完善的安全風(fēng)險信息。

　　( 一) 評估信息獲取原則

　　網(wǎng)絡(luò )安全風(fēng)險評估信息獲取不同于在信息傳輸過(guò)程中的信息獲取，主要是針對的網(wǎng)絡(luò )系統風(fēng)險評估分析過(guò)程中的各種信息進(jìn)行篩選，進(jìn)而及時(shí)準確地獲得這些信息，同時(shí)這也是保證網(wǎng)絡(luò )風(fēng)險信息評估的基本正確性與高度精確性的前提。在準確地獲取信息傳輸過(guò)程中所需信息，直接關(guān)系到網(wǎng)絡(luò )系統安全風(fēng)險評估及信息管理工作的高質(zhì)量進(jìn)行，所以，我們在進(jìn)行網(wǎng)絡(luò )的安全評估信息獲取時(shí)，必須堅持全面、準確、時(shí)效的基本原則，以能夠系統完善及時(shí)地獲取相關(guān)的準確信息，防止網(wǎng)絡(luò )安全隱患的發(fā)生。

　　( 二) 評估方法

　　對于網(wǎng)絡(luò )安全評估，其評估方法使決定風(fēng)險評估效率的重要因素之一，直接貫穿于整個(gè)網(wǎng)絡(luò )風(fēng)險評估的各個(gè)環(huán)節，甚至會(huì )嚴重影響到風(fēng)險評估的最終結果。所以，我們在獲取網(wǎng)絡(luò )信息安全風(fēng)險評估信息時(shí)，必須依照網(wǎng)絡(luò )系統的運行具體情況，科學(xué)合理地選擇相應的評估方法。一般來(lái)說(shuō)，常見(jiàn)的評估方法可以基本分為三類(lèi)，即定量分析方法、定性分析方法和定量、定性?xún)煞N角度相結合的風(fēng)險分析方法。通過(guò)對風(fēng)險信息的多角度、全方位評估，對于數量方法在網(wǎng)絡(luò )信息科學(xué)及目前社會(huì )科學(xué)中的應用，我們需要重新進(jìn)行思考與定位，以在網(wǎng)絡(luò )安全風(fēng)險評估應用的決策問(wèn)題上，將精確的數學(xué)分析與基本的人類(lèi)思維決策規律有效地結合運用，并在此基礎上，發(fā)展出了更為準確、全面的層次分析方法。

　　三、網(wǎng)絡(luò )安全風(fēng)險評估模型

　　( 一) 網(wǎng)絡(luò )安全風(fēng)險評估要素

　　對網(wǎng)絡(luò )安全進(jìn)行風(fēng)險評估，主要要從資產(chǎn)評估、威脅評估及脆弱性評估三方面進(jìn)行綜合的識別評價(jià)，以建立完備的網(wǎng)絡(luò )風(fēng)險等級、評估方法原則以及科學(xué)安全防患措施體系，及時(shí)準確的確定網(wǎng)絡(luò )風(fēng)險的存在于等級大小。所以，我們在進(jìn)行網(wǎng)絡(luò )安全風(fēng)險評估時(shí)，要從安全風(fēng)險的角度對網(wǎng)絡(luò )信息系統資產(chǎn)、威脅與脆弱性三個(gè)至關(guān)重要的元素進(jìn)行衡量，以保障網(wǎng)絡(luò )系統的整體安全性運行。其中，需要我們對其明確地了解與注意的是風(fēng)險、資產(chǎn)、威脅、脆弱點(diǎn)等幾個(gè)重點(diǎn)概念: 風(fēng)險即某些網(wǎng)絡(luò )系統特定威脅有可能發(fā)生的概率，并且會(huì )產(chǎn)生相應的綜合結果，具有潛在威脅性; 資產(chǎn)是網(wǎng)絡(luò )系統中具有一定價(jià)值的軟件、硬件、信息等資源; 威脅是有可能對資產(chǎn)造成一定損害的可能發(fā)生的意外事件; 脆弱點(diǎn)是網(wǎng)絡(luò )系統資產(chǎn)中可能會(huì )被威脅利用的脆弱部分。

　　( 二) 資產(chǎn)評估

　　資產(chǎn)評估主要是以企業(yè)的整體運作有相關(guān)性的安全資產(chǎn)進(jìn)行的風(fēng)險評估過(guò)程，通過(guò)對資產(chǎn)安全性的評估以及網(wǎng)絡(luò )系統的安全需求，及時(shí)篩選出對企業(yè)直觀(guān)重要的資產(chǎn)項目，避免這些可能會(huì )威脅到企業(yè)的資產(chǎn)出現安全性問(wèn)題。對于資產(chǎn)評估，需要從資產(chǎn)的價(jià)值與重要性?xún)煞矫孢M(jìn)行評估，價(jià)值評估是評估有形的資產(chǎn)的整體或部分價(jià)值，重要性則值得是資產(chǎn)及其安全屬性對企業(yè)的影響作用，通過(guò)資產(chǎn)評估可以了解企業(yè)中重要資產(chǎn)的有效價(jià)值和重要性，并對企業(yè)內部的資產(chǎn)進(jìn)行合理有效的管理，以準確地確定相應的漏洞掃描設備的安裝位置。

　　( 三) 威脅評估

　　網(wǎng)絡(luò )系統的安全威脅對整個(gè)網(wǎng)絡(luò )運作體系都是十分關(guān)鍵的，極有可能造成企業(yè)的信息資產(chǎn)的重大損失，造成一些不可挽回的資產(chǎn)安全事故。我們在獲取網(wǎng)絡(luò )安全因子過(guò)程中，經(jīng)常綜合使用顧問(wèn)訪(fǎng)談、IDS 取樣、人工評估以及模擬入侵測試等手段，依據具體情況采取合適的威脅評估手段，進(jìn)行策略分析與安全審計，在了解相關(guān)的網(wǎng)絡(luò )安全組織信息環(huán)境的同時(shí)，針對安全威脅使用不同的半定量賦值標識安全威脅的不同強度。對網(wǎng)絡(luò )安全威脅的評估主要可以從重要財產(chǎn)與其價(jià)值的安全要求確定、資產(chǎn)薄弱環(huán)節的明確、威脅損壞能力的分析、受到威脅攻擊的代價(jià)分析、解決威脅措施費用要求等方面實(shí)施。

　　( 四) 脆弱性評估

　　網(wǎng)絡(luò )安全系統的脆弱性表現在其自身缺陷形成的安全漏洞上，包括網(wǎng)絡(luò )漏洞的信息掃描、收集、安全事件的相關(guān)信息收集以及網(wǎng)絡(luò )系統漏洞的風(fēng)險結果評估等，通過(guò)對企業(yè)網(wǎng)絡(luò )脆弱性?huà)呙杞Y果，可分析出企業(yè)的相關(guān)設備及其服務(wù)系統存在的安全風(fēng)險，得出不同的網(wǎng)絡(luò )服務(wù)設備風(fēng)險值，并結合相應的資產(chǎn)占據總資產(chǎn)價(jià)值權重以及服務(wù)系統的風(fēng)險等級，以得到最終的網(wǎng)絡(luò )信息資產(chǎn)服務(wù)的漏洞風(fēng)險值。

　　四、評估方法

　　( 一) 傳統評估方法

　　我們通常使用的傳統的網(wǎng)絡(luò )安全風(fēng)險評估方法是以簡(jiǎn)單的數學(xué)模型為基礎的，并依此來(lái)計算網(wǎng)絡(luò )安全的風(fēng)險值，可根據“風(fēng)險= 威脅值+ 脆弱值+ 資產(chǎn)值; 風(fēng)險= 威脅值·脆弱值·資產(chǎn)值”進(jìn)行邏輯計算，進(jìn)而評估網(wǎng)絡(luò )安全風(fēng)險值。

　　( 二) 模糊判斷的評估方法

　　為了計算出準確的風(fēng)險值，需要針對各個(gè)風(fēng)險組成要素進(jìn)行單獨計量，現有的網(wǎng)絡(luò )風(fēng)險評估方法是使用數字指標作為簡(jiǎn)單的分界線(xiàn)，分成兩個(gè)不同的級別，但各風(fēng)險要素的風(fēng)險賦值是非連續性的'，相對比較離散，所以具有非常大的風(fēng)險主觀(guān)性，同時(shí)會(huì )造成更多的不精確性。通過(guò)模糊判斷的評估方法對網(wǎng)絡(luò )安全風(fēng)險進(jìn)行分析研究，可以較大程度地解決安全評估的模糊性問(wèn)題，也在一定程度上緩解了定性定量難題。模糊判斷模型通過(guò)借鑒模糊數學(xué)的相關(guān)方法，得到的結果直觀(guān)簡(jiǎn)單，而且對影響因素及影響精度考慮全面，最大限度上消除了評估的主觀(guān)性帶來(lái)的普遍誤差，將復雜的評估工作變得更為方便、容易。這種評估方法在實(shí)際運用過(guò)程中，首先要確定隸屬函數以刻畫(huà)模糊界限及風(fēng)險等級; 其次要建立出關(guān)系模糊矩陣，對安全風(fēng)險的各單項評估指標進(jìn)行分別評價(jià); 接下來(lái)建立權重模糊矩陣; 最后，通過(guò)模糊綜合的評價(jià)算法進(jìn)行風(fēng)險值計算評估。

　　五、模糊判斷在網(wǎng)絡(luò )安全風(fēng)險評估中的應用

　　模糊判斷評價(jià)方法適合于在不確定因素較多的網(wǎng)絡(luò )系統安全評估工作中應用，其中校園網(wǎng)路便是十分常見(jiàn)的適用實(shí)例。在校園網(wǎng)絡(luò )系統應用中，首先要綜合考慮對校園網(wǎng)絡(luò )安全具有影響的各種因素，建立完善的網(wǎng)絡(luò )安全評價(jià)體系; 然后通過(guò)對每個(gè)指標的風(fēng)險評價(jià)指標確定相應的隸屬函數，確定模糊運算的模糊界限，同時(shí)根據其離散型特點(diǎn)進(jìn)行資產(chǎn)等級劃分。因此，在這一基礎上，對資產(chǎn)的隸屬函數進(jìn)行定義，可根據資產(chǎn)等級進(jìn)行劃分，也可根據評估對象及其具體的威脅值與脆弱性進(jìn)行定義，同時(shí)建立相應的關(guān)系模糊矩陣和權重模糊矩陣，并依據矩陣結果進(jìn)行計算分析，進(jìn)而可知校園網(wǎng)絡(luò )安全系統中具有的危險系數等級，

　　結語(yǔ)

　　綜上所述，模糊判斷方法在網(wǎng)絡(luò )安全評價(jià)體系中具有較大的實(shí)用價(jià)值，適用于復雜的多指標影響、大系統的網(wǎng)絡(luò )中，具有直觀(guān)、簡(jiǎn)單的優(yōu)勢。但在實(shí)際應用中，我們仍需要綜合考慮風(fēng)險評估的實(shí)際情況及各項影響指標風(fēng)險值，并結合傳統的風(fēng)險評估方法，在層次分析法的基礎上，實(shí)現最高效的模糊判斷網(wǎng)絡(luò )安全評估模型，并科學(xué)合理地應用于企業(yè)的網(wǎng)絡(luò )安全服務(wù)系統，以取得符合企業(yè)發(fā)展意愿的良好結果。

【淺談模糊判斷在網(wǎng)絡(luò )安全風(fēng)險評估中的應用研究論文】相關(guān)文章：

審計風(fēng)險評估論文03-07

施工風(fēng)險評估的論文05-12

網(wǎng)絡(luò )安全風(fēng)險的評估及其關(guān)鍵技術(shù)決議論文08-03

關(guān)于建筑雷擊風(fēng)險評估論文06-01

教學(xué)中的應用研究教學(xué)中的應用研究論文06-25

基坑工程施工的風(fēng)險評估研究論文11-05

市級雷電災害風(fēng)險評估探討論文04-26

關(guān)于協(xié)同效應價(jià)值判斷評估論文04-27

淺談企業(yè)風(fēng)險管理論文04-01