网络信息安全风险分析

摘 要：随着互联网的高速发展，计算机网络结构变得越来越复杂，计算机的工作模式由传统的以单机为主的模式向基于网络的分部模式转化，从而引发的网络入侵风险也大大增加，网络安全已成为一个重大的社会性问题。怎样保证网络安全，怎样维护国家和人民在网络中的安全已经成为一个重要的问题。

关键词：网络信息安全；概念；风险分析

当今网络信息技术飞速发展，人们的日常生活已经离不开网络。网络极大地改变了当今社会、经济、文化的结构，极大改变了人们的思维方式，数字化生存的方式、空间、时间不断开拓。不过随着计算机技术的普及，也有人会利用计算机中存在的漏洞进行网络攻击，盗取用户的个人资料，比如银行账户信息、个人邮件数据等。因此，如何保证网络信息安全已成为一个非常重要的问题。

一、网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统能够连续可靠正常地运行，网络服务不中断。从广义来说，凡是涉及网络上信息的保密性、完整性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

二、信息安全

信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露，防范青少年对不良信息的浏览，防范个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。

三、网络信息安全的风险分析

1.信息资产确定

信息资产大致分为物理资产、知识资产、时间资产和名誉资产

（1）物理资产：是具有物理形态的资产，例如服务器、网络连接设备、工作站等。

（2）知识资产：是可以为任意信息的形式存在。例如一些系统软件、数据库或者组织内部的电子邮件。

（3）名誉资产：是公众对于一个企业的看法与意见，也可以直接影响其业绩。

2.信息安全评估

对资产进行标示后，下一步就是对这些资产面临的威胁进行标示，首先有以下关键词便于理解这些风险。

（1）安全漏洞：是存在于系统之中，可以用于越过系统的安全防护。

（2）安全威胁：是一系列可能被利用的漏洞。

（3）安全风险：当漏洞与安全威胁同时存在时就会存在风险。

3.风险管理

在确定了资产与资产面临的风险之后，应该对这些资产进行风险管理。具体来说，风险管理可以分为4个部分：风险规避、风险最小化、风险承担、风险转移。

（1）风险规避。此方法为最简单的风险管理方法，当资产收益远大于操作该方法所损失的收益时可使用。例如，以各系统可能把员工与外界进行邮件交换视为一个不可接受的安全威胁，因为他们认为这样可能会把系统内的秘密到外部环境中，所以系统就直接禁用邮件服务。

（2）风险最小化：对于系统来说，风险影响最小化是最为常见的风险管理方法，该方法的具体做法是管理员进行一些防御措施来降低资产面临的风险。例如，对于黑客攻击Web服务器的威胁的，管理员可以在黑客与服务器主机之间建立防火墙来降低攻击发生的概率。

（3）风险承担：管理者可能选择承担一些特定的风险，并将其造成的损失当作运营成本，这一方法称为风险承担。这种情况往往出现在危险发生的概率是极其低的（例如交通设备撞上数据中心）或者是不可避免的（例如硬盘工作中的磨损）情况下，当管理员选择了这一风险进行承担时，就会将其视为无风险。

（4）风险转移：作为风险转移，最为常见的例子就是保险，当一个人对自己身体健康状态担忧时，为了对抗生病的风险，可以为自己投入保险，保险公司同意将助其进行治疗，同样的道理可以用在系统维护上面。

在现实世界中，以上4种方法都不是独立使用的，一般来说，企业或者组织都可以对4种方法进行综合使用。

在互联网高速发展的今天，发生在我们身边的许多的信息泄密事件说明当前保密技术发展的不平衡，说明我们对信息安全还不够重视，所以我们必须对网络信息安全这个问题加以重视，要加大国产化安全产品的开发力度，加强培训提高用户的安全防范意识，加大对信息安全产业的投入力度，加快高等信息安全人才培养。

参考文献：

白伟涛.高校信息安全风险评估[J].中国科技信息，2009（19）.

作者简介：李伟欣，男，出生于1992年9月，本科，就读于福建省泉州市泉州师范学院，研究方向：网络技术方向。