2018网络信息安全协议风险评估研究

8078863

　　[摘 要] 本文依据风险评估的理论与方法对网络协议引发的风险进行了详细的分析，在此基础上提出了多种评估手段相结合的综合风险计算方法。大大提高了风险评估结果的准确性，为网络安全策略的制定提供有力依据。
　　[关键词] 协议风险分析 协议风险计算
　　
　　一、引言
　　当前计算机网络广泛使用的是TCP/IP协议族，此协议设计的前提是网络是可信的，网络服务添加的前提是网络是可达的。在这种情况下开发出来的网络协议本身就没有考虑其安全性，而且协议也是软件，它也不可避免的会有通常软件所固有的漏洞缺陷。因此协议存在脆弱性是必然的。信息的重要性是众所周知的，而信息的传输是依靠协议来实现的，所以对协议的攻击与防范成为信息战中作战双方关注的重点。协议风险评估也就成为网络信息安全风险评估的关键。
　　二、协议风险分析
　　协议的不安全及对协议的不正确处理是目前安全漏洞经常出现的问题，此外，在网络攻击中攻击者往往把攻击的重点放在对网络协议的攻击上，因此，网络风险分析的的主要任务是协议风险的分析。进行协议风险分析时我们首先要理顺协议风险要素之间的关系。
　　网络安全的任务就是要保障网络的基本功能，实现各种安全需求。网络安全需求主要体现在协议安全需求，协议安全服务对协议提出了安全需求。为满足协议安全需求，就必须对协议的攻击采取有效防范措施。协议脆弱性暴露了协议的风险，协议风险的存在导致了协议的安全需求。对网络协议攻击又引发了协议威胁、增加了协议风险，从而导至了新的安全需求。对协议攻击采取有效防范措施能降低协议风险，满足协议安全需求，实现协议安全服务。任何防范措施都是针对某种或某些风险来操作的，它不可能是全方位的，而且在达到防范目的的同时还会引发新的安全风险。因此风险是绝对的，通常所说的没有风险的安全是相对的，这种相对是指风险被控制在其风险可以被接收的范围之内的情形。在进行协议风险分析后，网络安全中与协议安全相关地各项因素之间的关系如图1。