淺談模糊判斷在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估中的應(yīng)用研究論文

　　引言

　　模糊判斷綜合評價(jià)方法在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估中是針對多種影響因素進(jìn)行安全評價(jià)的一種方法，其運(yùn)用模糊數(shù)學(xué)原理對具有一定模糊性的事物進(jìn)行系統(tǒng)的分析評價(jià)，是在模糊推理基礎(chǔ)上進(jìn)行的定量定性判斷，也是精確判斷與非精確判斷方法的統(tǒng)一體，極大程度上解決了評估指標(biāo)單一或者評估過程不甚合理等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估問題。

　　一、問題的提出

　　眾所周知，網(wǎng)絡(luò)信息系統(tǒng)是非常復(fù)雜的，可能會(huì)受到各方面條件的限制，某個(gè)運(yùn)作階段環(huán)境、科學(xué)技術(shù)條件、網(wǎng)絡(luò)系統(tǒng)本身問題等因素的不足都會(huì)造成網(wǎng)絡(luò)系統(tǒng)安全漏洞的存在，為不法分子提供進(jìn)行網(wǎng)絡(luò)系統(tǒng)侵害的漏洞，對網(wǎng)絡(luò)安全造成威脅。此外，網(wǎng)絡(luò)本身的開放性和系統(tǒng)的脆弱性也會(huì)帶來一定的信息風(fēng)險(xiǎn)。所以，要想全面地解決網(wǎng)絡(luò)信息安全問題，及時(shí)地解決網(wǎng)絡(luò)系統(tǒng)可能存在的各種未知或已知風(fēng)險(xiǎn)，需要對網(wǎng)絡(luò)系統(tǒng)有一個(gè)全面的掌握與了解，對系統(tǒng)進(jìn)行有效地安全風(fēng)險(xiǎn)評估分析，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)對系統(tǒng)安全的影響; 并且盡可能地預(yù)測將來一段時(shí)間內(nèi)，網(wǎng)絡(luò)系統(tǒng)可能會(huì)形成的漏洞或遭受的攻擊，并以此為依據(jù)，建立安全完善的網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)及安全隱患解決措施體系。

　　二、評估信息的原則與方法

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估過程紛繁復(fù)雜，系統(tǒng)運(yùn)行的主機(jī)、環(huán)境、管理等的安全防護(hù)及必要的網(wǎng)絡(luò)安全、危險(xiǎn)應(yīng)急體系都具有非常大的影響，在如此廣泛的網(wǎng)絡(luò)安全影響范圍內(nèi)，要想保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，必須詳細(xì)地了解網(wǎng)絡(luò)系統(tǒng)的方方面面的問題，對系統(tǒng)形成一個(gè)全面的網(wǎng)絡(luò)信息風(fēng)險(xiǎn)評估。并且，要想完美得做到網(wǎng)絡(luò)安全防護(hù)，還需要對網(wǎng)絡(luò)系統(tǒng)的整體構(gòu)架和運(yùn)行方式認(rèn)識清楚，并進(jìn)行全面的網(wǎng)絡(luò)系統(tǒng)實(shí)踐調(diào)研，通過各種高科技綜合技術(shù)手段獲得更多更完善的安全風(fēng)險(xiǎn)信息。

　　( 一) 評估信息獲取原則

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估信息獲取不同于在信息傳輸過程中的信息獲取，主要是針對的網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)評估分析過程中的各種信息進(jìn)行篩選，進(jìn)而及時(shí)準(zhǔn)確地獲得這些信息，同時(shí)這也是保證網(wǎng)絡(luò)風(fēng)險(xiǎn)信息評估的基本正確性與高度精確性的前提。在準(zhǔn)確地獲取信息傳輸過程中所需信息，直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)評估及信息管理工作的高質(zhì)量進(jìn)行，所以，我們在進(jìn)行網(wǎng)絡(luò)的安全評估信息獲取時(shí)，必須堅(jiān)持全面、準(zhǔn)確、時(shí)效的基本原則，以能夠系統(tǒng)完善及時(shí)地獲取相關(guān)的準(zhǔn)確信息，防止網(wǎng)絡(luò)安全隱患的發(fā)生。

　　( 二) 評估方法

　　對于網(wǎng)絡(luò)安全評估，其評估方法使決定風(fēng)險(xiǎn)評估效率的重要因素之一，直接貫穿于整個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)評估的各個(gè)環(huán)節(jié)，甚至?xí)��?yán)重影響到風(fēng)險(xiǎn)評估的最終結(jié)果。所以，我們在獲取網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估信息時(shí)，必須依照網(wǎng)絡(luò)系統(tǒng)的運(yùn)行具體情況，科學(xué)合理地選擇相應(yīng)的評估方法。一般來說，常見的評估方法可以基本分為三類，即定量分析方法、定性分析方法和定量、定性兩種角度相結(jié)合的風(fēng)險(xiǎn)分析方法。通過對風(fēng)險(xiǎn)信息的多角度、全方位評估，對于數(shù)量方法在網(wǎng)絡(luò)信息科學(xué)及目前社會(huì)科學(xué)中的應(yīng)用，我們需要重新進(jìn)行思考與定位，以在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估應(yīng)用的決策問題上，將精確的數(shù)學(xué)分析與基本的人類思維決策規(guī)律有效地結(jié)合運(yùn)用，并在此基礎(chǔ)上，發(fā)展出了更為準(zhǔn)確、全面的層次分析方法。

　　三、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估模型

　　( 一) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估要素

　　對網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評估，主要要從資產(chǎn)評估、威脅評估及脆弱性評估三方面進(jìn)行綜合的識別評價(jià)，以建立完備的網(wǎng)絡(luò)風(fēng)險(xiǎn)等級、評估方法原則以及科學(xué)安全防患措施體系，及時(shí)準(zhǔn)確的確定網(wǎng)絡(luò)風(fēng)險(xiǎn)的存在于等級大小。所以，我們在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估時(shí)，要從安全風(fēng)險(xiǎn)的角度對網(wǎng)絡(luò)信息系統(tǒng)資產(chǎn)、威脅與脆弱性三個(gè)至關(guān)重要的元素進(jìn)行衡量，以保障網(wǎng)絡(luò)系統(tǒng)的整體安全性運(yùn)行。其中，需要我們對其明確地了解與注意的是風(fēng)險(xiǎn)、資產(chǎn)、威脅、脆弱點(diǎn)等幾個(gè)重點(diǎn)概念: 風(fēng)險(xiǎn)即某些網(wǎng)絡(luò)系統(tǒng)特定威脅有可能發(fā)生的概率，并且會(huì)產(chǎn)生相應(yīng)的綜合結(jié)果，具有潛在威脅性; 資產(chǎn)是網(wǎng)絡(luò)系統(tǒng)中具有一定價(jià)值的軟件、硬件、信息等資源; 威脅是有可能對資產(chǎn)造成一定損害的可能發(fā)生的意外事件; 脆弱點(diǎn)是網(wǎng)絡(luò)系統(tǒng)資產(chǎn)中可能會(huì)被威脅利用的脆弱部分。

　　( 二) 資產(chǎn)評估

　　資產(chǎn)評估主要是以企業(yè)的整體運(yùn)作有相關(guān)性的安全資產(chǎn)進(jìn)行的風(fēng)險(xiǎn)評估過程，通過對資產(chǎn)安全性的評估以及網(wǎng)絡(luò)系統(tǒng)的安全需求，及時(shí)篩選出對企業(yè)直觀重要的資產(chǎn)項(xiàng)目，避免這些可能會(huì)威脅到企業(yè)的資產(chǎn)出現(xiàn)安全性問題。對于資產(chǎn)評估，需要從資產(chǎn)的價(jià)值與重要性兩方面進(jìn)行評估，價(jià)值評估是評估有形的資產(chǎn)的整體或部分價(jià)值，重要性則值得是資產(chǎn)及其安全屬性對企業(yè)的影響作用，通過資產(chǎn)評估可以了解企業(yè)中重要資產(chǎn)的有效價(jià)值和重要性，并對企業(yè)內(nèi)部的資產(chǎn)進(jìn)行合理有效的管理，以準(zhǔn)確地確定相應(yīng)的漏洞掃描設(shè)備的安裝位置。

　　( 三) 威脅評估

　　網(wǎng)絡(luò)系統(tǒng)的安全威脅對整個(gè)網(wǎng)絡(luò)運(yùn)作體系都是十分關(guān)鍵的，極有可能造成企業(yè)的信息資產(chǎn)的重大損失，造成一些不可挽回的資產(chǎn)安全事故。我們在獲取網(wǎng)絡(luò)安全因子過程中，經(jīng)常綜合使用顧問訪談、IDS 取樣、人工評估以及模擬入侵測試等手段，依據(jù)具體情況采取合適的威脅評估手段，進(jìn)行策略分析與安全審計(jì)，在了解相關(guān)的網(wǎng)絡(luò)安全組織信息環(huán)境的同時(shí)，針對安全威脅使用不同的半定量賦值標(biāo)識安全威脅的不同強(qiáng)度。對網(wǎng)絡(luò)安全威脅的評估主要可以從重要財(cái)產(chǎn)與其價(jià)值的安全要求確定、資產(chǎn)薄弱環(huán)節(jié)的明確、威脅損壞能力的分析、受到威脅攻擊的代價(jià)分析、解決威脅措施費(fèi)用要求等方面實(shí)施。

　　( 四) 脆弱性評估

　　網(wǎng)絡(luò)安全系統(tǒng)的脆弱性表現(xiàn)在其自身缺陷形成的安全漏洞上，包括網(wǎng)絡(luò)漏洞的信息掃描、收集、安全事件的相關(guān)信息收集以及網(wǎng)絡(luò)系統(tǒng)漏洞的風(fēng)險(xiǎn)結(jié)果評估等，通過對企業(yè)網(wǎng)絡(luò)脆弱性掃描結(jié)果，可分析出企業(yè)的相關(guān)設(shè)備及其服務(wù)系統(tǒng)存在的安全風(fēng)險(xiǎn)，得出不同的網(wǎng)絡(luò)服務(wù)設(shè)備風(fēng)險(xiǎn)值，并結(jié)合相應(yīng)的資產(chǎn)占據(jù)總資產(chǎn)價(jià)值權(quán)重以及服務(wù)系統(tǒng)的風(fēng)險(xiǎn)等級，以得到最終的網(wǎng)絡(luò)信息資產(chǎn)服務(wù)的漏洞風(fēng)險(xiǎn)值。

　　四、評估方法

　　( 一) 傳統(tǒng)評估方法

　　我們通常使用的傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方法是以簡單的數(shù)學(xué)模型為基礎(chǔ)的，并依此來計(jì)算網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)值，可根據(jù)“風(fēng)險(xiǎn)= 威脅值+ 脆弱值+ 資產(chǎn)值; 風(fēng)險(xiǎn)= 威脅值·脆弱值·資產(chǎn)值”進(jìn)行邏輯計(jì)算，進(jìn)而評估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值。

　　( 二) 模糊判斷的評估方法

　　為了計(jì)算出準(zhǔn)確的風(fēng)險(xiǎn)值，需要針對各個(gè)風(fēng)險(xiǎn)組成要素進(jìn)行單獨(dú)計(jì)量，現(xiàn)有的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法是使用數(shù)字指標(biāo)作為簡單的分界線，分成兩個(gè)不同的級別，但各風(fēng)險(xiǎn)要素的風(fēng)險(xiǎn)賦值是非連續(xù)性的'，相對比較離散，所以具有非常大的風(fēng)險(xiǎn)主觀性，同時(shí)會(huì)造成更多的不精確性。通過模糊判斷的評估方法對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行分析研究，可以較大程度地解決安全評估的模糊性問題，也在一定程度上緩解了定性定量難題。模糊判斷模型通過借鑒模糊數(shù)學(xué)的相關(guān)方法，得到的結(jié)果直觀簡單，而且對影響因素及影響精度考慮全面，最大限度上消除了評估的主觀性帶來的普遍誤差，將復(fù)雜的評估工作變得更為方便、容易。這種評估方法在實(shí)際運(yùn)用過程中，首先要確定隸屬函數(shù)以刻畫模糊界限及風(fēng)險(xiǎn)等級; 其次要建立出關(guān)系模糊矩陣，對安全風(fēng)險(xiǎn)的各單項(xiàng)評估指標(biāo)進(jìn)行分別評價(jià); 接下來建立權(quán)重模糊矩陣; 最后，通過模糊綜合的評價(jià)算法進(jìn)行風(fēng)險(xiǎn)值計(jì)算評估。

　　五、模糊判斷在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估中的應(yīng)用

　　模糊判斷評價(jià)方法適合于在不確定因素較多的網(wǎng)絡(luò)系統(tǒng)安全評估工作中應(yīng)用，其中校園網(wǎng)路便是十分常見的適用實(shí)例。在校園網(wǎng)絡(luò)系統(tǒng)應(yīng)用中，首先要綜合考慮對校園網(wǎng)絡(luò)安全具有影響的各種因素，建立完善的網(wǎng)絡(luò)安全評價(jià)體系; 然后通過對每個(gè)指標(biāo)的風(fēng)險(xiǎn)評價(jià)指標(biāo)確定相應(yīng)的隸屬函數(shù)，確定模糊運(yùn)算的模糊界限，同時(shí)根據(jù)其離散型特點(diǎn)進(jìn)行資產(chǎn)等級劃分。因此，在這一基礎(chǔ)上，對資產(chǎn)的隸屬函數(shù)進(jìn)行定義，可根據(jù)資產(chǎn)等級進(jìn)行劃分，也可根據(jù)評估對象及其具體的威脅值與脆弱性進(jìn)行定義，同時(shí)建立相應(yīng)的關(guān)系模糊矩陣和權(quán)重模糊矩陣，并依據(jù)矩陣結(jié)果進(jìn)行計(jì)算分析，進(jìn)而可知校園網(wǎng)絡(luò)安全系統(tǒng)中具有的危險(xiǎn)系數(shù)等級，

　　結(jié)語

　　綜上所述，模糊判斷方法在網(wǎng)絡(luò)安全評價(jià)體系中具有較大的實(shí)用價(jià)值，適用于復(fù)雜的多指標(biāo)影響、大系統(tǒng)的網(wǎng)絡(luò)中，具有直觀、簡單的優(yōu)勢。但在實(shí)際應(yīng)用中，我們?nèi)孕枰�綜合考慮風(fēng)險(xiǎn)評估的實(shí)際情況及各項(xiàng)影響指標(biāo)風(fēng)險(xiǎn)值，并結(jié)合傳統(tǒng)的風(fēng)險(xiǎn)評估方法，在層次分析法的基礎(chǔ)上，實(shí)現(xiàn)最高效的模糊判斷網(wǎng)絡(luò)安全評估模型，并科學(xué)合理地應(yīng)用于企業(yè)的網(wǎng)絡(luò)安全服務(wù)系統(tǒng)，以取得符合企業(yè)發(fā)展意愿的良好結(jié)果。

【淺談模糊判斷在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估中的應(yīng)用研究論文】相關(guān)文章：

審計(jì)風(fēng)險(xiǎn)評估論文03-07

施工風(fēng)險(xiǎn)評估的論文05-12

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評估及其關(guān)鍵技術(shù)決議論文08-03

關(guān)于建筑雷擊風(fēng)險(xiǎn)評估論文06-01

教學(xué)中的應(yīng)用研究教學(xué)中的應(yīng)用研究論文06-25

基坑工程施工的風(fēng)險(xiǎn)評估研究論文11-05

市級雷電災(zāi)害風(fēng)險(xiǎn)評估探討論文04-26

關(guān)于協(xié)同效應(yīng)價(jià)值判斷評估論文04-27

淺談企業(yè)風(fēng)險(xiǎn)管理論文04-01