前言：中文期刊網精心挑選了安全風險評估范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

安全風險評估范文1

摘要：為了保護計算機系統和網絡，就必須對潛在的安全威脅提高警惕。了解了系統的漏洞和可能存在的威脅就能很成功地對你的計算機系統利網絡進行風險評估,進而采取有效的防護措施,本文分四個方面介紹了進行系統安全評估的基本概念。

關鍵詞：系統安全；風險評估

網絡中基本上存在于兩種威脅：偶然的威脅，主要是由缺少安全防范意識的用戶沒有做預先的考慮和計劃；有意圖的威脅，執行一個有計劃的行動，它的范圍可能是從一些簡單的文件到整個系統的體系改變來進行惡意的破壞。有意圖的威脅可以分為兩類：被動的威脅，比如在網絡中利用sniffer捕獲數據包沒有警告內容或改變目的地址；主動的威脅：主要是包括修改信息或用于正常運轉的數據。

一、攻擊的類型

Spoofing or masquerade attacks：這種攻擊，一臺主機(程序或應用程序)偽裝成另外的主機或網絡上的實體。通過與另一臺主機建立信任的關系來進行欺騙性的攻市，并且任何交易都會導致更進―步的危害。

Replay attacks：是指網絡數據包在傳輸過程中有其自己的包頭或內容，目的是完成欺騙。內容的偽造是為了避免檢查，如checksums等。最終的目的是取得訪問權或突破安全。

拒絕服務攻擊：拒絕服務攻擊是使主機或系統不能正常地運轉因為網絡上的另一個程序或節點正占用著所有的資源（如快速的請求的flood）。

內部攻擊：內部攻擊是非常常見的而且在很多類型攻擊中都會發生。這種方法利用在外部攻擊取得非授權的訪問然后可以在內部進行活動，有時這是非常容易的，因為安全的措施主要是防止外部的攻擊。在應用程序之間竊聽信息以及危及現有的控制機制是常用的兩種技術。

Trapdoor attacks：在這種trapdoor攻擊中，一些命令容易被使用并且激活時，會產生潛在的非授權訪問。比如，盡管登陸賬號有著較好的密碼保護機制，但一些賬號是用來運行診斷，通常具有很高級別的權限，并可能留下易遭入侵的程序漏洞。雖然入侵者不能利用那個賬號來登陸，但能觀察文件：并看到利用SUID轉為root的一些應用程序。執行這些應用程序即可取得較高的權限來進行破壞活動。

特洛伊木馬：特洛伊木馬是trapdoor攻擊的一個變種。它把一些非授權的命令隱藏在一個看似實現普通功能的程序中來產生突破口。在UNIX中，最常見類型的特洛伊木馬類型之一就是root kit，它是代替合法程序的程序，利用email把系統中/etc/shadow文件的內容發送出去，或捕獲登陸的序列并通過email發送出去，完成明文密碼的拷備。Solaris和Linux更傾向于這種木馬的攻擊。

二、Windows NT的安全風險

Windows NT像每個其它重要的操作系統一樣，包含許多默認的設置和選項，允許更復雜的管理。這些系統默認值可以被有經驗的攻擊者用來滲透系統。有些默認值不能改變，但有些可以改變。這些改變可以提供足夠的安全性。

默認目錄―在Windows NT初始化安裝后要考慮很多默認選項的安全性。例如，WindowsNT4．0默認是安裝在系統主分區的\WINNT目錄下。使用不同的目錄對合法用戶不會造成任何影響，但對于那些企圖通過類似WEB服務器這樣的介質遠程訪問文件的攻擊者來說大大地增加了難度。

默認賬號―在前面的課程里我們曾談過對賬號改名。對于administrator，Guest和其它一些系統賬號都應該改名。其它一些賬號，比如IUSER―MACHINENAME是在安裝IIS后產生的，對其也應該改名。

默認共享―WindowsNT出于管理的目的自動地建立了一些共享。包括CS,DS利系統其它一些根卷。ADMIN$是一個指向\SYSTEMROOT\目錄的共享。盡管它們僅僅是針對管理而配置的，但仍形成一個沒必要的風險，成為攻擊者一個常見的日標。你可以通過增加注冊表\HKLM\System\CurrentControlSet\Service\LanManServer\Parameters下一個叫AutoShareServer的鍵值，類型為DWORD并且值為0，來禁止這些管理用的共享。對于-使用Windows NTWorkstation的機器，鍵值名為AutoShareWks。?

三、UNIX的安全風險

為了能夠適當地保護一個UNIX系統，必須留意那些本來就存在的主要應用程序和命令。下面列出了一些常見的UNIX安全風險：rlogin命令、網絡信息系統(NIS)、網絡文件系統(NFS)。

rlogin命令是從Berkeley UNIX的品種中演變出來的，適應網絡供給及分布式系統訪問。rlogin命令可以被設置成不需要輸入密碼。rlogin命令實際上違反了安全的初衷，因此多數系統上根本就不再支持它。其它一些系統，包括LINUX，支持這些命令的較高的修正版本。

在一般的rlogin執行過程中，etc／hosts．equiv文件用來檢查源系統的主機名，如果出現，則進一步的遠程登陸過程繼續。如果未出現，那么第二個文件：(．rhosts)將被用來檢查源主機的主機名。任何一種方法，可能都要呈現給遠程主機要求的登陸名以作為用戶的身份。然而，如果系統主機名沒呈現，或不匹配．rhost文件里的內容，則rlogin程序將自動地要求輸入密碼。rlogin的―1選項是很有用的因為不是在每個系統上都能得到同樣的或唯―的登陸名。

網絡信息系統(NIS)是在本地網絡中創建分布式計算機環境的方法之一。NIS最早由SUN公司發明。它作為一個網絡數據庫存儲著一些重要的配置把網絡中的機器綁定到一個單獨的可用的實體里。NFS是跨網絡的分布式文件系統。通過NFS機制，服務器端可以將自己的一部分文件凋出，讓多個客戶主機透明地使用服務器上的文件和目錄。

安全風險評估范文2

關鍵詞：橋梁工程；安全；風險評估；

中圖分類號：K928.78 文獻標識碼：A 文章編號：

評估內容

靈璧縣2013年危橋改造工程共15座小橋和1座中橋，主要內容包括鉆孔灌注樁施工、承臺施工、墩臺施工、蓋梁施工、支座墊石、梁板預制及安裝、橋面系及附屬工程施工。現以陳埝橋（中橋）為評估對象，其他小橋參照

1、自然條件：地形及氣候特征：靈璧縣位于安徽省東北部，地處東經117゜17′-117゜44′，北緯33゜18′-34゜02′之間境內地勢低平地形緯北高南低呈西北東南傾斜，氣候特征具有明顯的季風性質，

2、地質條件：詳見各橋地質勘探報告。

二、總體風險評估

1、評估內容：橋梁工程施工安全綜合體風險評估主要考慮橋梁建設規模、地質條件、氣候環境條件、地形地貌、橋位特征及施工工藝成熟度等評估指標。

2、評估方法—指標體系法。各指標風險賦值;建設規模=A1，地質條件=A2，氣候環境條件=A3，地形地貌=A4，橋位特征=A5，施工工藝成熟度=A6，總體風險大小R= A1+ A2+ A3+ A4+ A5+ A6.

總體風險分級標準

3、具體評估

（1）建設規模A1：陳埝橋單跨LK=20米，橋長L=80米，對照評估指標屬L< 100米或LK

（2）地質條件A2：根據圖紙地勘報告分析地質條件較好，基本不影響施工安全因素，分值0-1，取A2=1.

（3）氣候環境條件A3，氣候條件一般，可能影響施工安全，但不顯著，分值2-3，取A3=2

（4）地形地貌A4：靈璧縣屬于平原區，地形寬緩較為平坦，分值0-1，取A4=1

（5）橋位特征A5：靈璧縣2013年危橋改造工程均為小橋和中橋，通航等級7級及等外，分值0-1，考慮工程施工和交通相互影響，特別是人員操作不慎，取A5=1

（6）施工工藝成熟度A6，目前橋梁施工工藝已經成熟，分值0-1，但考慮施工企業工程經驗取A6=1

靈璧縣2013 年危橋改造工程（陳埝橋）總體風險評估R=A1+A2+A3+A4+A5+A6=7分，風險等級屬于Ⅱ級，為中度風險橋梁工程。

三、 評估程序

1、風險源辨識：風險源辨識是風險評估的基礎，包括質量收集、施工作業程序分解、安全事故辨識三個步驟。

（1）資料收集應先進行現場踏勘，收集風險評估相關的基本資料，主要包括：類似工程事故資料，本工程相關設計及施工文件，工程區域內水文、地質、氣候等資料，施工圖設計文件、施工組織設計、安全專項施工方案等，工程區域內建筑物資料，上階段風險評估資料，其他相關資料。

（2）施工作業程序分解：

（3）安全事故辨識—建立風險源普查清單

施工作業程序分解后，通過相關人員調查、評估小組討論、專家咨詢等方式，風險評估單元中可能發生的事故，并形成風險源普查清單。

安全事故辨識——建立風險普查清單

2，風險估測

（1）風險估測方法

1）、風險估測是在風險辨識、風險分析的基礎上，運用定性與定量的方法，估計和預測事故發生的可能性和嚴重程度的過程。

2）、一般風險源的風險估測，采用 LEC法，以相對風險等級來確定。

3）、LEC法：L為發生事故的可能性大小；E為人體暴露在這種危險環境中的頻繁程度；C為一旦發生事故會造成的損失后果。

風險分值D=LEC。

(2)風險分析

根據公式D=LEC就可以計算作業的危險程度，并判斷評價危險性的大小。其中的關鍵還是如何確定各個分值，以及對乘積值的分析、評價和利用。

四、風險控制

風險控制總體措施

根據風險評估結果以下風險接受準則

一般風險源控制措施

一般風險源控制措施可根據有關技術標準、安全管理規程來控制

一般風險源對應的觸電、高處墜落、物體打擊、機械傷害、起重傷害、火災等事故風險控制措施可簡明扼要明確安全防護、安全警示、安全教育、現場管理等方面的內容即可

2） 本工程一般風險源主要包括承臺施工、蓋梁施工、支座墊石施工、梁板預制和橋面系施工，具體防控措施：

① 嚴格按高處作業有關規定施工，做好臨邊防護設施的安裝，并張貼警示標牌，高處懸空或臨邊作業人員必須按要求佩戴和正確使用安全帶方可進行作業，高處作業所用材料要堆放平穩，工具應隨手放入工具袋內，上下傳遞物體，禁止拋擲，禁止在未固定的物體上行走或作業，嚴禁酒后高空作業，嚴禁工作期間相互打鬧，施工人員應從規定的通道上下，不得攀爬腳手架或直接從高處下跳，惡劣天氣必須停止施工。

② 設備傳動部位必須安裝防護裝置，定期對設備進行維修保養，嚴禁違章操作，無證人員不得上崗。

③按要求配備漏電保護裝置和接地或接零保護裝置，配備滅火器，電工作業時必須一人操作一人監護，作業人員必須穿絕緣鞋，停電驗電后掛停電檢修標識牌再作業。每天對現場用電設備、設施、線路進行巡視檢查，發現問題及時停電檢修并維護，

3 重大風險源控制措施

本工程重大風險源包括鉆孔灌注樁、墩柱施工，架橋機施工等，其風險防控措施有:

1）制度合理的施工方案和安全技術措施，

2）向全體作業人員進行安全技術交底并形成文件，

3）施工現場必須設防護和安全標志，必要時設專人值守，嚴禁非施工人員入內

4) 下雨、大霧、大雪、大風等惡劣天氣必須停止施工。

安全風險評估范文3

檔案館建筑安全風險評估體系是指從風險管理角度，即風險發生的可能性和后果，運用相關技術和手段，系統地分析檔案館建筑所面臨的風險，評估災難事件一旦發生可能對檔案館造成破壞的范圍、規模、強度等，提出有針對性的防災對策和應對措施，將風險控制在最低程度。自然災害自古以來就威脅著人類的生存和發展，隨著認識的加深及對防災減災課題研究的深入，探討和關注“風險”問題已形成一種明顯趨勢。人們發現，原先側重于災后應對以及災后救助的災害管理機制，缺乏對災害以及災害所帶來的風險進行前瞻性預測，使社會對災害只能進行被動式反應，具有很大盲目性；而帶有前瞻性、宏觀性和多樣性的災害風險管理機制，因為更多考慮災害動態發展過程而不是只注重災害最終結果，所以能更好地對災害的發生及災害造成的破壞進行有效預測和預防，保護人民生命財產安全，保障社會可持續發展。因此，人們的觀念也從“減輕災害”逐漸轉移到“減輕災害風險”，風險評估也就成為采取成功減災政策和措施的必要步驟和基礎環節。

檔案館建筑安全風險評估體系的重要性

1．是檔案安全體系建設的起點和基礎工作大部分檔案館建筑都或多或少存在安全風險，如部分老舊檔案館建筑采用的是磚木、磚石結構等墻體承重體系，抗拉抗剪強度較差，延性差，抗變形能力小，容易造成結構破壞；部分檔案館建筑在雨水、日照、風化等自然因素侵襲下，結構出現老化和損壞情況，抵抗自然災害能力下降；部分新建和已建檔案館建筑因為節約成本或改擴建等方面原因，構造標準在設防烈度以下，安全存在重大隱患；部分檔案館建筑的災害應急系統不足，缺乏對檔案庫房等重要部位的保護機制；部分檔案人員缺乏災害應急知識，災害應急能力不足等。由此可見，檔案館建筑安全應該是檔案安全的基礎。2.是實現檔案館建筑安全持續性和動態性的保證風險評估貫穿檔案館安全體系整個生命周期，從規劃、設計、實施、維護直至廢止，都要保證安全的持續性。同時，由于各階段安全需求不同，使得風險評估結論和對策也有所不同，實現安全的動態性。因此一切安全建設和管理維護工作都必須建立在科學的風險評估基礎之上。3.是正確評估檔案館建筑各種風險的前提通過建立檔案館建筑安全風險評估體系，明確評估標準，規范評估程序，能有效地改變憑主觀印象隨意評估的現象，從而實現對風險進行客觀評估，對風險的影響進行科學預測，動態地反映內控措施與風險隱患的關系，有利于采取最適當的控制措施，使風險降到最低。4.是確保檔案館建筑安全適度保護的需要所有建筑安全風險都是客觀存在的，風險評估根據相應的安全等級、存在的風險做出科學判斷，并采取相應安全保護技術措施，從而既不會出現保障不力，也不會造成過度保護。5.是強調檔案館建筑安全管理與安全技術并重的要求檔案館建筑安全風險評估是安全管理的一種科學方法，只有安全管理與安全技術相結合，才可以建立真正的安全體系。

檔案館建筑安全風險評估體系的技術指標

目前公共建筑的安全防災體系建設已逐漸成為國內建筑發展的新熱點，汶川地震后，國家出臺了新的《建筑抗震設計規范》和《建筑設計防火規范》。目前國內不少地區已開始對不符合新的防災設計標準的檔案館進行風險評估和改造，如天津市檔案館進行的消防系統改造項目、保定市檔案館進行的抗震達標改造工程。2000年國家檔案局與原建設部聯合修改、頒布的強制性標準《（JGJ25—2000）檔案館建筑設計規范》規定：“位于地震基本烈度七度以上（含七度）地區應按基本烈度設防，地震基本烈度六度地區重要城市的檔案館庫區建筑可按七度設防”，同時要求“檔案館建筑設計除應符合本規范外，尚應符合國家現行有關強制性標準的規定。”《（GB50223—2004）建筑工程抗震設防分類標準》規定：“建筑應根據其使用功能的重要性分為甲類、乙類、丙類、丁類四個抗震設防類別……大型博物館，存放國家一級文物的博物館，特級、甲級檔案館，抗震設防類別應劃為乙類。”“特級檔案館為國家級檔案館，甲級檔案館為省、自治區、直轄市檔案館，其使用年限要求在100年以上。”乙類建筑應屬于地震時使用功能不能中斷或需盡快恢復的建筑。《（GB50413——2007）城市抗震防災規劃標準》，把城市抗震防災規劃中的抗震設防標準、城市用地評價與選擇、抗震防災措施應根據城市的防御目標、抗震設防烈度和《（GB5011——22001）建筑抗震設計規范》等國家現行標準確定，列為強制性條文。

檔案館建筑安全風險評估體系的內容

1.自然災害危險性評估

自然災害是指由于自然異常變化造成的人員傷亡、財產損失、社會失穩、資源破壞等現象。它的形成一是要有自然異變作為誘因，二是要有受到損害的人、財產、資源作為承受災害的客體。自然災害的危險性評估包括三個方面的評估內容。致災因子的強度評估。一般根據自然災害的變異程度（如地震震級，表示地震能量的大小）以及對受災對象造成破壞的程度來衡量(如地震烈度，表示用地震造成的破壞和影響的大小)。致災因子發生的頻率評估。一般根據一定時段內自然災害的發生次數來確定。對于具有規律性的致險因素（如臺風等），可以通過檢索相關部門的有關數據獲得其年發生頻率；當一個特定事件的年發生頻率沒有辦法獲取的時候（如地震等），可以根據一個統計時段(如五年、十年)內的災害發生總量，除以統計年數，得出災害發生頻率的年平均值。一般來說，致災因子的強度與其發生頻率是緊密相連的，某種自然災害的強度越大，發生的頻率就越小。致災程度綜合評價。是把致災因子的強度、致災因子發生的頻率及致災環境進行綜合評價，從而得出檔案館建筑所面臨的某種自然災害的危險性程度等級。中國人民大學信息資源管理學院課題組在汶川地震后，提出檔案館災害預防機制，建議繪制一張全國地震帶檔案館建筑防震標準示意圖，標注各地區檔案館建筑防震標準，同時規定強地震區的檔案館，應將特別珍貴的檔案備份或寄存于弱地震區的檔案館。

2.檔案館建筑承災體脆弱性評價

安全風險評估范文4

關鍵詞:網絡安全 風險評估 方法

1網絡安全風險概述

1.1網絡安全風險

網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。

1.2網絡安全的目標

網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。

1.3風險評估指標

在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。

2網絡安全風險評估的方法

如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。

2.1網絡風險分析

作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。

2.2風險評估

在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。

2.3安全風險決策與監測

在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。

3結語

網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。

參考文獻

[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.

[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.

[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.

安全風險評估范文5

【關鍵詞】網絡 安全風險 評估 關鍵技術

結合我國近年來的互聯網應用經驗可知，用戶的互聯網使用過程很容易受到惡意軟件、病毒及黑客的干擾。這種干擾作用可能引發用戶重要數據信息的丟失，為用戶帶來一定的經濟損失。因此，利用綜合評估技術、定性評估技術等開展網絡安全風險評估具有一定的現實意義。

1 常見的網絡攻擊手段

目前較為常見的網絡攻擊手段主要包含以下幾種：

1.1 IP欺騙攻擊手段

這種攻擊手段是指，不法分子利用偽裝網絡主機的方式，將主機的IP地址信息復制并記錄下來，然后為用戶提供虛假的網絡認證，以獲得返回報文，干擾用戶使用計算機網絡。這種攻擊手段的危害性主要體現在：在不法分子獲得返回報文之前，用戶可能無法感知網絡環境存在的危險性。

1.2 口令攻擊手段

口令攻擊手段是指，黑客實現選定攻擊主機目標之后，通過字典開展測試，將攻擊對象的網絡口令破解出來。口令攻擊手段能夠成功應用的原因在于：黑客在利用錯誤口令測試用戶UNIX系統網絡的過程中，該系統網絡不會對向用戶發出提示信息。這種特點為黑客破解網絡口令的過程提供了充裕的時間。當黑客成功破解出網絡口令之后，可以利用Telnet等工具，將用戶主機中處于加密狀態的數據信息破解出來，進而實現自身的盜取或損壞數據信息目的。

1.3 數據劫持攻擊手段

在網絡運行過程中，不法分子會將數據劫持攻擊方式應用在用戶傳輸信息的過程中，獲得用戶密碼信息，進而引發網絡陷入癱瘓故障。與其他攻擊手段相比，數據劫持攻擊手段產生的危害相對較大。當出現這種問題之后，用戶需要花費較長的時間才能恢復到正常的網絡狀態。

2 網絡安全風險評估關鍵技術類型

網絡安全風險評估關鍵技術主要包含以下幾種：

2.1 綜合評估技術

綜合評估技術是指，在對網絡安全風險進行定性評估的同時，結合定量評估的方式提升網絡安全風險評估的準確性。

2.2 定性評估技術

定性評估技術向網絡安全風險評估中滲透的原理為：通過推導演繹理論分析網絡安全狀態，借助德爾菲法判斷網絡中是否存在風險以及風險的類型。這種評估技術是我國當前網絡安全評估中的常用技術之一。

2.3 定量評估技術

這種評估方式的評估作用是通過嫡權系數法產生的。定量評估技術的評估流程較為簡單，但在實際的網絡安全風險評估過程中，某些安全風險無法通過相關方式進行量化處理。

3 網絡安全風險評估關鍵技術的滲透

這里分別從以下幾方面入手，對網絡安全風險評估關鍵技術的滲透進行分析和研究：

3.1 綜合評估技術方面

結合我國目前的網絡使用現狀可知，多種因素都有可能引發網絡出現安全風險。在這種情況下，網絡使用過程中可能同時存在多種不同的風險。為了保證網絡中存在的安全風險能夠被全部識別出來，應該將綜合評估技術應用在網絡安全風險的評估過程中。在眾多綜合評估技術中，層次分析法的應用效果相對較好。評估人員可以將引發風險的因素及功能作為參照依據，將既有網絡風險安全隱患分成不同的層次。當上述工作完成之后，需要在各個層次的網絡安全風險之間建立出一個完善的多層次遞接結構。以該結構為依據，對同一層次中處于相鄰關系的風險因素全部進行排序。根據每個層次風險因素的順序關系，依次計算網絡安全風險的權值。同時，結合預設的網絡安全風險評估目標合成權重參數，進而完成對網絡安全風險評估的正確判斷。

3.2 定性評估技術方面

定性評估技術的具體評估分析流程主要包含以下幾個步驟：

3.2.1 數據查詢步驟

該步驟是通過匿名方式完成的。

3.2.2 數據分析步驟

為了保證網絡安全風險評估結果的準確性，定性評估技術在數據分析環節通過多次征詢操作及反饋操作，分析并驗證網絡安全風險的相關數據。

3.2.3 可疑數據剔除步驟

網絡安全風險具有不可預測性特點。在多種因素的影響下，通過背對背通信方式獲得的網絡安全風險數據中可能存在一些可疑數據。為了避免這類數據對最終的網絡安全風險評估結果產生干擾作用，需要在合理分析網絡安全現狀的情況下，將可疑數據從待分析數據中剔除。

3.2.4 數據處理及取樣步驟

通過背對背通信法獲得的數據數量相對較多，當數據處理工作完成之后，可以通過隨機取樣等方法，從大量網絡安全風險數據中選出一部分數據，供給后續評估分析環節應用。

3.2.5 累計比例計算及風險因素判斷步驟

累計比例是風險因素判斷的重要參考依據。因此，評估人員應該保證所計算累計比例的準確性。

3.2.6 安全系數評估步驟

在這個步驟中，評估人員需要根據前些步驟中的具體情況，將評估對象網絡的安全風險系數確定出來。

與其他評估技術相比，定性評估技術的評估流程較為復雜。但所得評估結果相對較為準確。

3.3 定量評估技術方面

這種評估技術的評估原理為：通過嫡權系數法將評估對象網絡的安全數據參數權重計算出來。這種評估方法的應用優勢在于：能夠度量網絡系統中的不確定因素，將網絡安全風險量化成具體數值的形式，為用戶提供網絡安全狀態的判斷。

4 結論

目前用戶運用互聯網的過程主要受到數據劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言，網絡安全風險的存在為其正常使用帶來了一定的安全隱患。當隱患爆發時，用戶可能會面臨極大的經濟損失。這種現象在企業用戶中有著更為明顯的體現。為了改善這種現象，促進互聯網應用的正常發展，應該將定量評估技術、定性評估技術以及綜合評估技術等，逐漸滲透在網絡安全風險評估工作中。用戶除了需要通過防火墻、病毒r截軟件等工具改善網絡環境之外，還應該加強對網絡安全風險評估的重視。當獲得網絡安全風險評估結束之后，應該需要通過對評估資料的分析，有針對性地優化自身的網絡系統，降低數據丟失或損壞等惡性事件的發生概率。

參考文獻

[1]陳雷.網絡安全態勢評估與預測關鍵技術研究[D].鄭州：信息工程大學，2015.

[2]李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2014（05）：82-84.

[3]覃宗炎.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2014（04）：168-170.

[4]毛捍東.基于邏輯滲透圖模型的網絡安全風險評估方法研究[D].北京：國防科學技術大學，2008.

[5]宣蕾.網絡安全定量風險評估及預測技術研究[D].北京：國防科學技術大學，2007.

安全風險評估范文6

關鍵詞:風險評估;信息安全;評估技術

中圖分類號:TP309文獻標識碼: A 文章編號:1007-9599 (2010) 11-0000-01

Information System Security Risk Assessment Methods StudyChen Liandong1,Lv Chunmei2

(1.Hebei Electric Power Research Institute,Shijiazhuang050000,China;2.North China Electric Power University,Baoding071003,China)

Abstract:The scientific risk assessment is essential to the protection of information systems security,the paper on information security risk management has been introduced,and the variety of risk assessment methods are analyzed and compared.

Keywords:Risk assessment;Information security;Assessment techniques

隨著計算機技術的發展,網絡攻擊、病毒破壞、電腦黑客等信息竊取和破壞事件越來越多,信息安全問題日益突出,因此進行信息系統安全管理具有重要意義。風險評估是信息安全管理的依據,信息系統進行科學的風險分析和評估,發現系統存在問題,對于保護和管理信息系統至關重要。

一、信息安全技術風險管理

信息安全是保護信息系統抵御各種威脅的侵害,確保業務保密性和連續性,使系統遭受風險最小化[1]。信息系統安全包括安全管理技術、風險評估、策略標準以及實施控制等多方面的內容。信息安全管理體系(Information Security Management System,ISMS)是信息系統管理體系的一個部分,包括建立、實施、操作、監測、復查、維護和改進信息安全等一系列的管理活動,涉及策略準則、計劃目標、人員責任、過程和方法等諸多因素[1]。ISO27001是英國標準協會的關于建立和維護信息安全管理體系的標準。ISO27001要求建立ISMS框架過程為:確定管理體系范圍,制定安全策略,明確管理責任,通過風險評估確定信息安全控制目標和控制方式[2]。當信息管理體系建立起來,則可以循環實施、維護和持續改進ISMS,保持體系運作的有效性。

二、風險評估方法概述

風險評估能夠檢測系統面臨的威脅、潛在的安全漏洞和脆弱性,針對性地提出防護和整改措施,保障系統安全。完整的風險評估過程包括:前期調研,了解需求;制定項目計劃,明確范圍,確定各項評估指標體系,成立評估小組;識別并評估信息資產;估算威脅發生的可能性;識別脆弱點及其嚴重成度;進行風險描述,計算風險值,劃分風險等級,得出評估分析報告;制定風險控制方法,進行風險處理。

風險計算描述如下:Risk=R(A,T,V)

其中R是安全評估風險函數,A是資產,T是威脅,V是脆弱性。由此公式可以計算風險值,估計信息系統的安全等級,以及風險對系統的破壞程度或者可能造成的損失程度。下面從不同的角度分析風險評估,得到劃分如下。

(一)基于技術評估和基于整體評估

基于技術評估是指對信息系統現有的技術水平進行評估,包括信息安全人員技術水平、網絡防護技術、信息系統抗攻擊能力等方面進行評估。基于整體評估是從信息系統整體分析,確定信息系統所屬等級,參照等級保護劃分規則,在對系統定級的基礎上進行風險評估。

(二)基于知識分析和基于模型分析

基于知識分析的風險評估方法是依靠評估者經驗進行,采用獲取專家評估經驗,對評估指標因素進行分析,評估信息系統安全。基于模型分析的評估方法采用建模的方法,分析系統內部以及和外部交互時可能產生的危險因素,從而完成資產、威脅和脆弱性的分析。

(三)定性評估、定量評估和綜合評估

定性評估是指對評估對象各個因素進行相應價值的判斷。需要評估者對評估對象進行定性描述,如只關注威脅事件帶來的損失,忽略了威脅發生的概率,因此得出的評估結果主觀性強,具有數量化水平低等特點。定量評估主要分析資產的價值,威脅發生概率和脆弱點存在的可能性,用量化的數據進行表示,但是量化數據具有不精確特點。綜合評估方法采用定量和定性結合的方法,通常是先進行總體性質的確定,然后進行定量分析,在量化基礎上再進行定性分析。

三、典型評估方法比較

下面列出幾種典型風險評估方法,有故障樹分析、事件樹分析等,趨于定性分析,BP神經網絡、風險評審技術方法趨于定量分析,還有一些綜合評估方法,如層次分析法[3]。

(一)故障樹分析:通過對可能造成系統危險的各種初始因素進行分析,畫出故障樹,計算整體風險發生概率。特點是簡明形象,邏輯關系復雜,適用于找出各種實效事件之間的關系。

(二)事件樹分析:是一種邏輯演繹法,它在給定的一個初因事件的前提下分析此事件可能導致的各種事件序列的結果,可用于找出一種實效引起的后果或各種不同的后果,提高業務影響分析的全面性和系統性。

(三)BP神經網絡:是一種按誤差逆向傳播算法訓練的多層前饋網絡,具有自學習能力,能夠實現輸入和輸出之間的復雜非線性關系。缺點是風險因素的權值確定較難,優點是有自學能力,問題抽象化,適用于事故預測和方案擇優。

(四)風險評審技術方法:通過模擬實際系統研制時間、費用及性能分布,針對不同條件對信息系統的風險進行預測,需多次訪問,數據準確性要求高。

(五)層次分析法:是一種多指標綜合評價方法。首先將相互關聯、相互制約的因素按它們之間的隸屬關系排成若干層次,再利用數學方法,對各因素層排序,最后對排序結果進行分析。特點是減少了主觀因素中的影響,需求解判斷矩陣的最大特征根以及對應的特征向量。適用于為決策者提供定量形式的決策依據。

四、結束語

本文介紹了信息系統安全管理,分析風險評估的流程,對風險評估方法整體從不同角度的進行劃分,其中對幾種典型的評估方法進行了比較和分析。風險評估對于信息安全管理具有重要的意義,相信以后還會出現新的,更加科學的風險評估方法。

參考文獻:

[1]宋曉莉,王勁松.信息安全風險評估方法研究[J].網絡安全技術與應用,2006,12:67-68