淺談模糊判斷在網(wǎng)絡(luò)安全風險評估中的應(yīng)用研究論文

　　引言

　　模糊判斷綜合評價方法在網(wǎng)絡(luò)安全風險評估中是針對多種影響因素進行安全評價的一種方法，其運用模糊數(shù)學(xué)原理對具有一定模糊性的事物進行系統(tǒng)的分析評價，是在模糊推理基礎(chǔ)上進行的定量定性判斷，也是精確判斷與非精確判斷方法的統(tǒng)一體，極大程度上解決了評估指標單一或者評估過程不甚合理等網(wǎng)絡(luò)安全風險評估問題。

　　一、問題的提出

　　眾所周知，網(wǎng)絡(luò)信息系統(tǒng)是非常復(fù)雜的，可能會受到各方面條件的限制，某個運作階段環(huán)境、科學(xué)技術(shù)條件、網(wǎng)絡(luò)系統(tǒng)本身問題等因素的不足都會造成網(wǎng)絡(luò)系統(tǒng)安全漏洞的存在，為不法分子提供進行網(wǎng)絡(luò)系統(tǒng)侵害的漏洞，對網(wǎng)絡(luò)安全造成威脅。此外，網(wǎng)絡(luò)本身的開放性和系統(tǒng)的脆弱性也會帶來一定的信息風險。所以，要想全面地解決網(wǎng)絡(luò)信息安全問題，及時地解決網(wǎng)絡(luò)系統(tǒng)可能存在的各種未知或已知風險，需要對網(wǎng)絡(luò)系統(tǒng)有一個全面的掌握與了解，對系統(tǒng)進行有效地安全風險評估分析，降低網(wǎng)絡(luò)風險對系統(tǒng)安全的影響; 并且盡可能地預(yù)測將來一段時間內(nèi)，網(wǎng)絡(luò)系統(tǒng)可能會形成的漏洞或遭受的攻擊，并以此為依據(jù)，建立安全完善的網(wǎng)絡(luò)信息安全防護系統(tǒng)及安全隱患解決措施體系。

　　二、評估信息的原則與方法

　　網(wǎng)絡(luò)安全風險評估過程紛繁復(fù)雜，系統(tǒng)運行的主機、環(huán)境、管理等的安全防護及必要的網(wǎng)絡(luò)安全、危險應(yīng)急體系都具有非常大的影響，在如此廣泛的網(wǎng)絡(luò)安全影響范圍內(nèi)，要想保證整個網(wǎng)絡(luò)系統(tǒng)的安全運行，必須詳細地了解網(wǎng)絡(luò)系統(tǒng)的方方面面的問題，對系統(tǒng)形成一個全面的網(wǎng)絡(luò)信息風險評估。并且，要想完美得做到網(wǎng)絡(luò)安全防護，還需要對網(wǎng)絡(luò)系統(tǒng)的整體構(gòu)架和運行方式認識清楚，并進行全面的網(wǎng)絡(luò)系統(tǒng)實踐調(diào)研，通過各種高科技綜合技術(shù)手段獲得更多更完善的安全風險信息。

　　( 一) 評估信息獲取原則

　　網(wǎng)絡(luò)安全風險評估信息獲取不同于在信息傳輸過程中的信息獲取，主要是針對的網(wǎng)絡(luò)系統(tǒng)風險評估分析過程中的各種信息進行篩選，進而及時準確地獲得這些信息，同時這也是保證網(wǎng)絡(luò)風險信息評估的基本正確性與高度精確性的前提。在準確地獲取信息傳輸過程中所需信息，直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)安全風險評估及信息管理工作的高質(zhì)量進行，所以，我們在進行網(wǎng)絡(luò)的安全評估信息獲取時，必須堅持全面、準確、時效的基本原則，以能夠系統(tǒng)完善及時地獲取相關(guān)的準確信息，防止網(wǎng)絡(luò)安全隱患的發(fā)生。

　　( 二) 評估方法

　　對于網(wǎng)絡(luò)安全評估，其評估方法使決定風險評估效率的重要因素之一，直接貫穿于整個網(wǎng)絡(luò)風險評估的各個環(huán)節(jié)，甚至?xí)�嚴重影響到風險評估的最終結(jié)果。所以，我們在獲取網(wǎng)絡(luò)信息安全風險評估信息時，必須依照網(wǎng)絡(luò)系統(tǒng)的運行具體情況，科學(xué)合理地選擇相應(yīng)的評估方法。一般來說，常見的評估方法可以基本分為三類，即定量分析方法、定性分析方法和定量、定性兩種角度相結(jié)合的風險分析方法。通過對風險信息的多角度、全方位評估，對于數(shù)量方法在網(wǎng)絡(luò)信息科學(xué)及目前社會科學(xué)中的應(yīng)用，我們需要重新進行思考與定位，以在網(wǎng)絡(luò)安全風險評估應(yīng)用的決策問題上，將精確的數(shù)學(xué)分析與基本的人類思維決策規(guī)律有效地結(jié)合運用，并在此基礎(chǔ)上，發(fā)展出了更為準確、全面的層次分析方法。

　　三、網(wǎng)絡(luò)安全風險評估模型

　　( 一) 網(wǎng)絡(luò)安全風險評估要素

　　對網(wǎng)絡(luò)安全進行風險評估，主要要從資產(chǎn)評估、威脅評估及脆弱性評估三方面進行綜合的識別評價，以建立完備的網(wǎng)絡(luò)風險等級、評估方法原則以及科學(xué)安全防患措施體系，及時準確的確定網(wǎng)絡(luò)風險的存在于等級大小。所以，我們在進行網(wǎng)絡(luò)安全風險評估時，要從安全風險的角度對網(wǎng)絡(luò)信息系統(tǒng)資產(chǎn)、威脅與脆弱性三個至關(guān)重要的元素進行衡量，以保障網(wǎng)絡(luò)系統(tǒng)的整體安全性運行。其中，需要我們對其明確地了解與注意的是風險、資產(chǎn)、威脅、脆弱點等幾個重點概念: 風險即某些網(wǎng)絡(luò)系統(tǒng)特定威脅有可能發(fā)生的概率，并且會產(chǎn)生相應(yīng)的綜合結(jié)果，具有潛在威脅性; 資產(chǎn)是網(wǎng)絡(luò)系統(tǒng)中具有一定價值的軟件、硬件、信息等資源; 威脅是有可能對資產(chǎn)造成一定損害的可能發(fā)生的意外事件; 脆弱點是網(wǎng)絡(luò)系統(tǒng)資產(chǎn)中可能會被威脅利用的脆弱部分。

　　( 二) 資產(chǎn)評估

　　資產(chǎn)評估主要是以企業(yè)的整體運作有相關(guān)性的安全資產(chǎn)進行的風險評估過程，通過對資產(chǎn)安全性的評估以及網(wǎng)絡(luò)系統(tǒng)的安全需求，及時篩選出對企業(yè)直觀重要的資產(chǎn)項目，避免這些可能會威脅到企業(yè)的資產(chǎn)出現(xiàn)安全性問題。對于資產(chǎn)評估，需要從資產(chǎn)的價值與重要性兩方面進行評估，價值評估是評估有形的資產(chǎn)的整體或部分價值，重要性則值得是資產(chǎn)及其安全屬性對企業(yè)的影響作用，通過資產(chǎn)評估可以了解企業(yè)中重要資產(chǎn)的有效價值和重要性，并對企業(yè)內(nèi)部的資產(chǎn)進行合理有效的管理，以準確地確定相應(yīng)的漏洞掃描設(shè)備的安裝位置。

　　( 三) 威脅評估

　　網(wǎng)絡(luò)系統(tǒng)的安全威脅對整個網(wǎng)絡(luò)運作體系都是十分關(guān)鍵的，極有可能造成企業(yè)的信息資產(chǎn)的重大損失，造成一些不可挽回的資產(chǎn)安全事故。我們在獲取網(wǎng)絡(luò)安全因子過程中，經(jīng)常綜合使用顧問訪談、IDS 取樣、人工評估以及模擬入侵測試等手段，依據(jù)具體情況采取合適的威脅評估手段，進行策略分析與安全審計，在了解相關(guān)的網(wǎng)絡(luò)安全組織信息環(huán)境的同時，針對安全威脅使用不同的半定量賦值標識安全威脅的不同強度。對網(wǎng)絡(luò)安全威脅的評估主要可以從重要財產(chǎn)與其價值的安全要求確定、資產(chǎn)薄弱環(huán)節(jié)的明確、威脅損壞能力的分析、受到威脅攻擊的代價分析、解決威脅措施費用要求等方面實施。

　　( 四) 脆弱性評估

　　網(wǎng)絡(luò)安全系統(tǒng)的脆弱性表現(xiàn)在其自身缺陷形成的安全漏洞上，包括網(wǎng)絡(luò)漏洞的信息掃描、收集、安全事件的相關(guān)信息收集以及網(wǎng)絡(luò)系統(tǒng)漏洞的風險結(jié)果評估等，通過對企業(yè)網(wǎng)絡(luò)脆弱性掃描結(jié)果，可分析出企業(yè)的相關(guān)設(shè)備及其服務(wù)系統(tǒng)存在的安全風險，得出不同的網(wǎng)絡(luò)服務(wù)設(shè)備風險值，并結(jié)合相應(yīng)的資產(chǎn)占據(jù)總資產(chǎn)價值權(quán)重以及服務(wù)系統(tǒng)的風險等級，以得到最終的網(wǎng)絡(luò)信息資產(chǎn)服務(wù)的漏洞風險值。

　　四、評估方法

　　( 一) 傳統(tǒng)評估方法

　　我們通常使用的傳統(tǒng)的網(wǎng)絡(luò)安全風險評估方法是以簡單的數(shù)學(xué)模型為基礎(chǔ)的，并依此來計算網(wǎng)絡(luò)安全的風險值，可根據(jù)“風險= 威脅值+ 脆弱值+ 資產(chǎn)值; 風險= 威脅值·脆弱值·資產(chǎn)值”進行邏輯計算，進而評估網(wǎng)絡(luò)安全風險值。

　　( 二) 模糊判斷的評估方法

　　為了計算出準確的風險值，需要針對各個風險組成要素進行單獨計量，現(xiàn)有的網(wǎng)絡(luò)風險評估方法是使用數(shù)字指標作為簡單的分界線，分成兩個不同的級別，但各風險要素的風險賦值是非連續(xù)性的'，相對比較離散，所以具有非常大的風險主觀性，同時會造成更多的不精確性。通過模糊判斷的評估方法對網(wǎng)絡(luò)安全風險進行分析研究，可以較大程度地解決安全評估的模糊性問題，也在一定程度上緩解了定性定量難題。模糊判斷模型通過借鑒模糊數(shù)學(xué)的相關(guān)方法，得到的結(jié)果直觀簡單，而且對影響因素及影響精度考慮全面，最大限度上消除了評估的主觀性帶來的普遍誤差，將復(fù)雜的評估工作變得更為方便、容易。這種評估方法在實際運用過程中，首先要確定隸屬函數(shù)以刻畫模糊界限及風險等級; 其次要建立出關(guān)系模糊矩陣，對安全風險的各單項評估指標進行分別評價; 接下來建立權(quán)重模糊矩陣; 最后，通過模糊綜合的評價算法進行風險值計算評估。

　　五、模糊判斷在網(wǎng)絡(luò)安全風險評估中的應(yīng)用

　　模糊判斷評價方法適合于在不確定因素較多的網(wǎng)絡(luò)系統(tǒng)安全評估工作中應(yīng)用，其中校園網(wǎng)路便是十分常見的適用實例。在校園網(wǎng)絡(luò)系統(tǒng)應(yīng)用中，首先要綜合考慮對校園網(wǎng)絡(luò)安全具有影響的各種因素，建立完善的網(wǎng)絡(luò)安全評價體系; 然后通過對每個指標的風險評價指標確定相應(yīng)的隸屬函數(shù)，確定模糊運算的模糊界限，同時根據(jù)其離散型特點進行資產(chǎn)等級劃分。因此，在這一基礎(chǔ)上，對資產(chǎn)的隸屬函數(shù)進行定義，可根據(jù)資產(chǎn)等級進行劃分，也可根據(jù)評估對象及其具體的威脅值與脆弱性進行定義，同時建立相應(yīng)的關(guān)系模糊矩陣和權(quán)重模糊矩陣，并依據(jù)矩陣結(jié)果進行計算分析，進而可知校園網(wǎng)絡(luò)安全系統(tǒng)中具有的危險系數(shù)等級，

　　結(jié)語

　　綜上所述，模糊判斷方法在網(wǎng)絡(luò)安全評價體系中具有較大的實用價值，適用于復(fù)雜的多指標影響、大系統(tǒng)的網(wǎng)絡(luò)中，具有直觀、簡單的優(yōu)勢。但在實際應(yīng)用中，我們?nèi)孕枰�綜合考慮風險評估的實際情況及各項影響指標風險值，并結(jié)合傳統(tǒng)的風險評估方法，在層次分析法的基礎(chǔ)上，實現(xiàn)最高效的模糊判斷網(wǎng)絡(luò)安全評估模型，并科學(xué)合理地應(yīng)用于企業(yè)的網(wǎng)絡(luò)安全服務(wù)系統(tǒng)，以取得符合企業(yè)發(fā)展意愿的良好結(jié)果。

【淺談模糊判斷在網(wǎng)絡(luò)安全風險評估中的應(yīng)用研究論文】相關(guān)文章：

審計風險評估論文03-07

施工風險評估的論文05-12

網(wǎng)絡(luò)安全風險的評估及其關(guān)鍵技術(shù)決議論文08-03

關(guān)于建筑雷擊風險評估論文06-01

教學(xué)中的應(yīng)用研究教學(xué)中的應(yīng)用研究論文06-25

基坑工程施工的風險評估研究論文11-05

市級雷電災(zāi)害風險評估探討論文04-26

關(guān)于協(xié)同效應(yīng)價值判斷評估論文04-27

淺談企業(yè)風險管理論文04-01