新时期信息安全技术研究.docVIP

新时期信息安全技术研究 　　摘要：信息系统的快速推广和普及，有效提高了人们工作、生活和学习的便利性、快捷性，但同时也带来了很大的安全隐患，面临着黑客攻击、木马病毒侵袭等风险。信息安全风险评估可以及时地分析系统中的数据流，发现潜在的安全隐患，及时采用杀毒软件、防火墙等安全软件进行防御，提高信息系统的安全性能。本文详细地分析了信息安全风险评估意义，探讨了信息安全风险评估技术，提高信息安全风险评估准确性和有效性。 　　关键词：信息安全 风险评估 计算机 信息系统 　　中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2015）03-0179-01 　　1 引言 　　随着21世纪的到来，信息时代大幅度迈进。计算机技术、网络技术和数据库技术的快速发展和进步，其已经在电子政务、电子商务、通信运营、金融证券等行业信息化中得到了广泛的发展和进步，取得了显著的成效[1]。信息系统的广泛应用，有力地促进了行业信息化水平，同时也带来了极大的风险，比如黑客攻击、木马病毒感染都将会影响信息系统的安全，导致数据泄露，造成不可挽回的损失[2]。因此，为了能够确保信息系统的安全，信息系统设计、实现与运行管理过程中，需要采取信息安全风险评估技术，以便能够更好地发现信息系统中存在的安全隐患，及时采取防御措施，阻止安全事故发生。 　　2 信息安全风险评估意义 　　信息系统是一种有形或无形的资产，在使用过程中，其面临的安全威胁可以对资产的使用造成严重的损害，比如一些潜在的攻击行为和非法事件可以利用资产存在的漏洞、安全防御较为薄弱的环节进行攻击[3]。信息安全风险评估是指采用定性、定量的分析方法和措施，比如神经网络技术、层次分析方法、模糊矩阵方法等，评估对信息和信息处理流程的威胁、攻击和危害，评估这些情况发生的概率，可以及时地确定信息系统中是否潜在的威胁和攻击事件，以便能够及时地采取防御和响应措施，比如采用入侵检测、防火墙、杀毒软件等措施，保护资产的安全性，同时能够打击犯罪，具有重要的意义[4]。 　　3 信息安全风险评估技术 　　随着网络安全技术的快速发展和进步，信息安全风险评估技术也得到了广泛应用和普及，提高了信息系统安全风险评估能力，有效阻挡攻击行为，防止系统安全事故发生。目前，常用的信息安全风险评估技术包括层次分析法、BP神经网络、灰色系统预测模型、安全检查表法、专家评价方法、事件树分析方法等，详细描述如下。 　　3.1 层次分析方法 　　层次分析方法根据计算机网络信息系统的风险评估性质和需要达到的总体目标，可以将问题分解为许多不同的组成要素，根据相关要素的影响、隶属关系能够将引起风险的原因进行不同层次的分类，组织为一个层次化的分析结构模型，最终把相关的风险分析问题归结为一个相对优劣次序的排序问题，具有重要的风险评估意义。 　　3.2 BP神经网络 　　BP神经网络可以对信息系统运行过程中的风险进行学习和预测，并且将学习结果存储到知识库中，通过训练不断的改进网络结构和优化BP学习参数，使得风险评估更加准确，更好的构建一个完整的风险防御体系。 　　3.3 灰色系统预测模型 　　灰色系统可以将一切的变量在一定阈值空间上进行实例化，将其看做是灰色变量。解决灰色系统分析、建模、预测和控制的基本理论，其将传统控制论的观点应用到了解决复杂问题的大型系统中，并且将运筹学、自动控制等理论进行结合，使得客观世界具有灰色特性的问题可以进行实体化、模型化和量化，已经成为解决政治、经济和管理等复杂系统事务的有力的方法。 　　3.4 安全检查表法 　　安全检查表可以根据计算机网络信息系统风险评估的规范、标准等准则，制定详细地、明确地安全事件检查内容，并且能够邀请经验较为丰富的安全风险评估专家进行评估，根据制定的检查表逐条进行现场检查和评测，以便能够发现信息系统运行过程中潜在的风险，是一种非常有用且简单的方法，具有很强的可操作性，安全检查表方法已经广泛的应用于信息系统安全生产管理过程中，尤其是是较为评估经验较多的案例，比如专家熟知信息设备、设计集成的内容和过程等。 　　3.5 专家评价方法 　　专家评价方法是一种非常常用的、有效的风险评估方法，由信息系统安全风险评估经验比较丰富的评估专家制定并且参与整个风险评估过程，根据信息系统过去发生的安全事件进行归纳和分析，根据评估风险的标准和准则，积极的进行探索和分析，确保整个信息系统运行的状态和未来可能发生的相关安全事件，预测信息系统将来发展趋势。专家评价方法包括两种具体的执行方式，分别是专家审议法和专家质疑法，都可以有效的进行风险分析和评估。 　　3.6 事件树分析方法 　　事件树分析方法能够自上而下的分析安全事件发生的概率，是计算机网络信息系统安全风险评估的一种常用方法，可