網(wǎng)絡(luò)安全評(píng)估報(bào)告賞析八篇

發(fā)布時(shí)間：2023-03-06 16:00:02

序言：寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁，我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全評(píng)估報(bào)告樣本，期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)，請(qǐng)盡情閱讀。

第1篇

1.1需求分析

通過德爾菲法、訪談法、SWOT分析等風(fēng)險(xiǎn)管理技術(shù)，向?qū)W院各職能部門和其它渠道收集風(fēng)險(xiǎn)信息，分類總結(jié)，然后列出風(fēng)險(xiǎn)系統(tǒng)開發(fā)的大功能模塊，每個(gè)大功能模塊有哪些小功能模塊；描述實(shí)現(xiàn)具體模塊所涉及到的主要算法、數(shù)據(jù)結(jié)構(gòu)、類的層次結(jié)構(gòu)及調(diào)用關(guān)系，需要說明軟件系統(tǒng)各個(gè)層次中每個(gè)模塊或子程序的設(shè)計(jì)考慮，以便進(jìn)行編碼測試。系統(tǒng)平臺(tái)可以實(shí)現(xiàn)以下功能：自動(dòng)輸出風(fēng)險(xiǎn)評(píng)估報(bào)告和建議報(bào)告，有效監(jiān)控預(yù)防風(fēng)險(xiǎn)；對(duì)風(fēng)險(xiǎn)進(jìn)行定量分析，實(shí)現(xiàn)以圖表直觀形式輸出顯示，并展示相應(yīng)的數(shù)據(jù)指標(biāo)；用戶以個(gè)人賬戶或部門賬戶，登錄到風(fēng)險(xiǎn)評(píng)估輸入列表，選擇相應(yīng)的職能部門、行業(yè)類型、風(fēng)險(xiǎn)級(jí)別指標(biāo)、以問答的形式選擇相應(yīng)的內(nèi)置風(fēng)險(xiǎn)條目，根據(jù)登陸權(quán)限，可自擬增加、刪除風(fēng)險(xiǎn)條目；可實(shí)現(xiàn)日常工作重要環(huán)節(jié)和重點(diǎn)風(fēng)險(xiǎn)過程的時(shí)間提醒功能，通過手機(jī)短信或網(wǎng)頁提示窗提示等手段，提醒重點(diǎn)工作的正常開展，防范工作疏忽引起的風(fēng)險(xiǎn)；風(fēng)險(xiǎn)級(jí)別指標(biāo)制定，可參考相應(yīng)的國家或行業(yè)標(biāo)準(zhǔn)，也可自擬；系統(tǒng)平臺(tái)內(nèi)有評(píng)估標(biāo)準(zhǔn)，根據(jù)評(píng)估標(biāo)準(zhǔn)設(shè)計(jì)評(píng)估模型，利用評(píng)估模型對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行評(píng)估，得出評(píng)估結(jié)果供風(fēng)險(xiǎn)決策者參考；校領(lǐng)導(dǎo)和各職能部門負(fù)責(zé)人可根據(jù)管理權(quán)限查詢相應(yīng)的風(fēng)險(xiǎn)數(shù)據(jù)；B/S架構(gòu)，實(shí)現(xiàn)新聞即時(shí)，可及時(shí)更新各高校風(fēng)險(xiǎn)管理中的經(jīng)驗(yàn)交流文章、理論知識(shí)。

1.2程序編碼實(shí)現(xiàn)

開始具體的編寫程序工作，分別實(shí)現(xiàn)各模塊的功能，從而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的功能、性能、接口、界面等方面的要求；開發(fā)過程中，邊開發(fā)邊測試，系統(tǒng)完工后，通過內(nèi)部外部測試、模塊測試、整體聯(lián)調(diào)等測試方法，驗(yàn)證系統(tǒng)的整體穩(wěn)定性，不斷完善。

1.3具體應(yīng)用

軟件開發(fā)完成，做成相關(guān)的技術(shù)文檔，系統(tǒng)上線；在具體應(yīng)用中發(fā)現(xiàn)問題及時(shí)登記到問題記錄冊(cè)，反饋到開發(fā)人員，為以后的系統(tǒng)平臺(tái)升級(jí)提供依據(jù)。

2平臺(tái)功能模塊

信息安全風(fēng)險(xiǎn)評(píng)估平臺(tái)的開發(fā)環(huán)境為/MSSQL，基于SOA軟件系統(tǒng)架構(gòu)解決學(xué)院各信息系統(tǒng)集成，通過PDCA循環(huán)模型具體實(shí)施。信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)平臺(tái)建設(shè)主要包括評(píng)估公告、用戶管理、指標(biāo)設(shè)置、綜合評(píng)估、綜合查詢、報(bào)表系統(tǒng)，數(shù)據(jù)導(dǎo)出七大模塊。

2.1評(píng)估公告模塊

評(píng)估公告模塊實(shí)現(xiàn)新聞即時(shí)，可及時(shí)更新各高校風(fēng)險(xiǎn)管理中的經(jīng)驗(yàn)交流文章、理論知識(shí)；可實(shí)現(xiàn)日常工作重要環(huán)節(jié)和重點(diǎn)風(fēng)險(xiǎn)過程的時(shí)間提醒功能，提醒重點(diǎn)工作的正常開展，防范工作疏忽引起的信息系統(tǒng)風(fēng)險(xiǎn)。

2.2用戶管理模塊

用戶管理模塊的功能是管理用戶信息，主要包括用戶的用戶名、密碼和權(quán)限，同時(shí)支持顯示所有注冊(cè)用戶信息和刪除用戶功能；模塊可以添加系統(tǒng)管理員、評(píng)估人和評(píng)估單位，評(píng)估人員可以設(shè)置不同的權(quán)限，限制評(píng)估范圍；用戶以個(gè)人賬戶或部門賬戶，登錄到風(fēng)險(xiǎn)評(píng)估輸入列表，選擇相應(yīng)的職能部門、行業(yè)類型、風(fēng)險(xiǎn)級(jí)別指標(biāo)、以問答的形式選擇相應(yīng)的內(nèi)置風(fēng)險(xiǎn)條目；不同的用戶登錄系統(tǒng)顯示的模塊不一樣，根據(jù)登陸權(quán)限，可自擬增加、刪除風(fēng)險(xiǎn)條目。

3.3指標(biāo)設(shè)置模塊

指標(biāo)設(shè)置模塊主要是依據(jù)國家有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)，實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的指標(biāo)體系設(shè)置，劃分兩級(jí)指標(biāo)細(xì)化評(píng)估體系，一級(jí)指標(biāo)劃分為信息資產(chǎn)、威脅性、脆弱性，二級(jí)指標(biāo)從硬件、軟件、風(fēng)險(xiǎn)識(shí)別等細(xì)化指標(biāo)體系；實(shí)現(xiàn)指標(biāo)庫的設(shè)置，可以分配不同的被評(píng)估單位相應(yīng)的評(píng)價(jià)指標(biāo)。

2.4綜合評(píng)估模塊

綜合評(píng)估模塊包括評(píng)估列表、評(píng)估歷史。評(píng)估列表顯示所有被評(píng)估單位，某一單位用戶登錄以后，系統(tǒng)自動(dòng)調(diào)用相應(yīng)的指標(biāo)庫，回答相應(yīng)的信息系統(tǒng)安全問題，系統(tǒng)自動(dòng)給出指標(biāo)分?jǐn)?shù)；評(píng)估歷史是不同的賬戶登錄，顯示的列表不同，管理員能查詢所有的用戶評(píng)估歷史，單位用戶只能查詢本系部的評(píng)估歷史。

2.5綜合查詢模塊

綜合查詢模塊實(shí)現(xiàn)不同單位評(píng)估次數(shù)、評(píng)估成績、各評(píng)估對(duì)象不同時(shí)間段等的評(píng)估查詢。

2.6報(bào)表系統(tǒng)模塊

報(bào)表模塊實(shí)現(xiàn)了不同單位評(píng)估次數(shù)、評(píng)估成績、各評(píng)估對(duì)象的柱狀圖的形式直觀展示。

2.7數(shù)據(jù)導(dǎo)出模塊

數(shù)據(jù)導(dǎo)出模塊實(shí)現(xiàn)了評(píng)估單位當(dāng)前總成績或歷史評(píng)估成績的數(shù)據(jù)導(dǎo)出功能，支持PDF、Word、Excel文檔格式。

3系統(tǒng)評(píng)估操作流程

系統(tǒng)管理員首先在系統(tǒng)后臺(tái)對(duì)不同的用戶設(shè)置相應(yīng)的評(píng)估指標(biāo)庫；用戶通過用戶名和密碼登錄系統(tǒng)后臺(tái)；登錄成功后系統(tǒng)會(huì)自動(dòng)調(diào)用相應(yīng)的評(píng)價(jià)指標(biāo)，用戶回答相應(yīng)的問題；回答結(jié)束后，用戶點(diǎn)擊提交，系統(tǒng)自動(dòng)給出相應(yīng)的評(píng)估分值；用戶打印或存儲(chǔ)評(píng)估數(shù)據(jù)報(bào)告。

4平臺(tái)應(yīng)用效果

4.1為我國高校的信息系統(tǒng)風(fēng)險(xiǎn)預(yù)防和應(yīng)急處理提供建設(shè)性的意見

目前關(guān)于我國高校風(fēng)險(xiǎn)評(píng)估研究的大多停留在某些具體領(lǐng)域，主要是對(duì)宏觀風(fēng)險(xiǎn)管理和財(cái)務(wù)風(fēng)險(xiǎn)狀況進(jìn)行探討，對(duì)信息系統(tǒng)安全的研究較少。信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)平臺(tái)對(duì)高校信息安全風(fēng)險(xiǎn)進(jìn)行定量分析評(píng)估，為我國高校信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了一個(gè)重要平臺(tái)，為高校的信息系統(tǒng)風(fēng)險(xiǎn)預(yù)防和應(yīng)急處理提供一些建設(shè)性的意見。

4.2為高校各級(jí)信息系統(tǒng)管理者提供了處理信息系統(tǒng)

風(fēng)險(xiǎn)的決策依據(jù)系統(tǒng)實(shí)現(xiàn)各級(jí)信息系統(tǒng)管理者可實(shí)時(shí)查詢部門風(fēng)險(xiǎn)評(píng)估，針對(duì)高校日常管理中可能面臨的各類信息系統(tǒng)安全風(fēng)險(xiǎn)、建議應(yīng)對(duì)措施、突發(fā)事件、應(yīng)急預(yù)案、法律法規(guī)等相關(guān)風(fēng)險(xiǎn)管理文檔查詢，為科學(xué)決策提供依據(jù)。

4.3信息系統(tǒng)安全風(fēng)險(xiǎn)處理更迅速

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估平臺(tái)與學(xué)院網(wǎng)絡(luò)安全教育平臺(tái)、運(yùn)維網(wǎng)站數(shù)據(jù)整合，當(dāng)網(wǎng)絡(luò)遭受攻擊、病毒肆虐時(shí)，能第一時(shí)間獲得相關(guān)信息，為快速解決信息系統(tǒng)安全風(fēng)險(xiǎn)創(chuàng)造了條件。

4.4提高了全校師生網(wǎng)絡(luò)安全防范和參與意識(shí)

通過信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估平臺(tái)，全院師生提高了網(wǎng)絡(luò)安全防范和參與意識(shí)，為河南牧業(yè)經(jīng)濟(jì)學(xué)院網(wǎng)絡(luò)信息化建設(shè)出謀劃策，促進(jìn)學(xué)校領(lǐng)導(dǎo)和有關(guān)職能部門制定和完善網(wǎng)絡(luò)有關(guān)管理制度。

4.5規(guī)范了全校師生的上網(wǎng)行為，減少了網(wǎng)絡(luò)攻擊

全校師生通過平臺(tái)了解學(xué)校網(wǎng)絡(luò)管理相關(guān)制度和管理方式，認(rèn)識(shí)到自己的上網(wǎng)行為在學(xué)校監(jiān)督管理中，從而自覺規(guī)范自身的上網(wǎng)行為。平臺(tái)為引導(dǎo)師生正確使用網(wǎng)絡(luò)、規(guī)避風(fēng)險(xiǎn)，保障校園網(wǎng)網(wǎng)絡(luò)良好正常運(yùn)轉(zhuǎn)起到了積極的作用。通過信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的漏洞查找，各系部加強(qiáng)了網(wǎng)絡(luò)安全知識(shí)普及、全員參與、相關(guān)規(guī)章制度的約束，一直困擾我院網(wǎng)管人員的網(wǎng)絡(luò)非法攻擊，特別是破壞后果更難預(yù)測的內(nèi)部網(wǎng)絡(luò)攻擊得到了有效的遏制。

5結(jié)束語

第2篇

ENISA對(duì)2002～2012年期間舉行的85次不同層級(jí)的網(wǎng)絡(luò)演習(xí)進(jìn)行了調(diào)研，既有單個(gè)國家演習(xí)又有多國演習(xí)，既有針對(duì)私營企業(yè)或政府機(jī)構(gòu)的演習(xí)又有二者結(jié)合的演習(xí)。全球共計(jì)84個(gè)國家參加多國網(wǎng)絡(luò)演習(xí)，歐洲共有22個(gè)國家組織過全國性網(wǎng)絡(luò)演習(xí)。

主要結(jié)論

歐洲網(wǎng)絡(luò)與信息安全局認(rèn)為此次調(diào)研評(píng)估較好地總結(jié)了國家及國際網(wǎng)絡(luò)演習(xí)的現(xiàn)狀，主要結(jié)論如下。

（1）網(wǎng)絡(luò)演習(xí)次數(shù)逐年增多。

網(wǎng)絡(luò)演習(xí)日漸普遍，2010年后演習(xí)數(shù)量更是激增，這與政策支持和網(wǎng)絡(luò)攻擊威脅不斷增多不無關(guān)系。很多演習(xí)作為系列演習(xí)的一部分，每年都舉行，這種趨勢在未來數(shù)年仍將繼續(xù)。

（2）網(wǎng)絡(luò)危機(jī)合作不斷發(fā)展。

不僅網(wǎng)絡(luò)演習(xí)日漸普遍，網(wǎng)絡(luò)危機(jī)合作方面的舉措也在不斷發(fā)展。網(wǎng)絡(luò)安全已成為歐洲國家的緊要事務(wù)，受到越來越多的關(guān)注。

（3）多數(shù)歐洲國家參與了國家和多國網(wǎng)絡(luò)演習(xí)。

多數(shù)歐盟和歐洲自由貿(mào)易區(qū)國家既組織過國家演習(xí)又參加過多國網(wǎng)絡(luò)演習(xí)。這說明參與國際演習(xí)對(duì)組織國家層面的網(wǎng)絡(luò)演習(xí)能夠起到補(bǔ)益作用，國際網(wǎng)絡(luò)危機(jī)合作能夠在這些演習(xí)中得到發(fā)展。對(duì)于本身能力有限的國家（例如沒有能力組織國家演習(xí)），參加國際演習(xí)能夠幫助他們達(dá)到歐盟制定的國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。網(wǎng)絡(luò)危機(jī)往往超越國境，這一事實(shí)也為大國幫助網(wǎng)絡(luò)安全應(yīng)急能力較弱的鄰邦提供了動(dòng)力，凸顯了多國聯(lián)合組織跨國網(wǎng)絡(luò)演習(xí)的必要性。ENISA通過組織網(wǎng)絡(luò)演習(xí)研討會(huì)和泛歐洲地區(qū)網(wǎng)絡(luò)演習(xí)的方式支持各國的網(wǎng)絡(luò)演習(xí)活動(dòng)。

（4）政府機(jī)構(gòu)與私營企業(yè)之間的交流合作至關(guān)重要。

鑒于很多私營企業(yè)是重要信息基礎(chǔ)設(shè)施的所有者、管理者和使用者，因此未來的網(wǎng)絡(luò)演習(xí)更需要加強(qiáng)政府機(jī)構(gòu)與私營企業(yè)的合作。

（5）必須更加重視演習(xí)管理工具。

對(duì)演習(xí)管理工具的重要性認(rèn)識(shí)不足是所有網(wǎng)絡(luò)演習(xí)普遍存在的問題。演習(xí)管理工具可以用來協(xié)助進(jìn)行演習(xí)準(zhǔn)備和評(píng)估。

（6）促進(jìn)演習(xí)規(guī)劃、監(jiān)控與評(píng)估方法的使用。

演習(xí)規(guī)劃、監(jiān)控和評(píng)估關(guān)系到演習(xí)是否能夠成功，演習(xí)規(guī)劃包括完善演習(xí)方案、程序，修改演習(xí)策略等，監(jiān)控和評(píng)估能夠進(jìn)一步幫助演習(xí)組織者建立反饋機(jī)制，總結(jié)經(jīng)驗(yàn)教訓(xùn)。本次調(diào)研發(fā)現(xiàn)演習(xí)監(jiān)控、評(píng)估方法的使用有限，在未來演習(xí)中應(yīng)該更多地使用這些方法。

建議

報(bào)告提出了一些能夠提高演習(xí)質(zhì)量、增加演習(xí)數(shù)量的建議，這些建議有助于增強(qiáng)重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施及服務(wù)對(duì)網(wǎng)絡(luò)安全事件的承受能力。

（1）打造更為協(xié)調(diào)的網(wǎng)絡(luò)演習(xí)環(huán)境。

隨著網(wǎng)絡(luò)演習(xí)范圍的不斷擴(kuò)大，網(wǎng)絡(luò)危機(jī)合作的不斷發(fā)展，應(yīng)該努力打造一個(gè)更加協(xié)調(diào)的網(wǎng)絡(luò)演習(xí)環(huán)境，讓全球網(wǎng)絡(luò)演習(xí)領(lǐng)域的利益方能夠充分交流與探討該領(lǐng)域的好做法、挑戰(zhàn)及經(jīng)驗(yàn)教訓(xùn)。如何以取長補(bǔ)短為目的，協(xié)調(diào)網(wǎng)絡(luò)計(jì)劃，實(shí)現(xiàn)同步化是網(wǎng)絡(luò)演習(xí)界面臨的一個(gè)艱巨的挑戰(zhàn)。此外，建議繼續(xù)組織網(wǎng)絡(luò)危機(jī)合作國際會(huì)議，為建立更加協(xié)調(diào)的網(wǎng)絡(luò)演習(xí)群體創(chuàng)造條件。

（2）建立公私合作，加強(qiáng)網(wǎng)絡(luò)演習(xí)經(jīng)驗(yàn)交流。

公共機(jī)構(gòu)與私營企業(yè)之間通過合作共同保護(hù)重要信息基礎(chǔ)設(shè)施非常重要，而組織聯(lián)合演習(xí)和分享好的做法和經(jīng)驗(yàn)則是實(shí)現(xiàn)合作不可或缺的手段。經(jīng)驗(yàn)交流可以通過建立專門的數(shù)據(jù)庫、觀摩演習(xí)、學(xué)習(xí)交流等方式實(shí)現(xiàn)。

（3）繼續(xù)推進(jìn)演習(xí)管理工具的開發(fā)。

在網(wǎng)絡(luò)演習(xí)中，良好的方法和自動(dòng)化的工具能夠有效地提高演習(xí)設(shè)計(jì)、實(shí)施及評(píng)估的效率。包括模擬器和仿真機(jī)在內(nèi)的各種演習(xí)管理工具能夠在提高演習(xí)效率的同時(shí)使演習(xí)質(zhì)量更高，效果更好。報(bào)告呼吁業(yè)界人士支持網(wǎng)絡(luò)演習(xí)管理工具的開發(fā)、應(yīng)用和共享。

（4）力求在部門間、國際和歐洲層級(jí)舉行更復(fù)雜的網(wǎng)絡(luò)演習(xí)。

網(wǎng)絡(luò)事件/危機(jī)大多是跨界的，包括跨國境、跨部門等，這種情況帶來的挑戰(zhàn)就是，如何組織能夠檢驗(yàn)跨界網(wǎng)絡(luò)事件各種復(fù)雜情況的網(wǎng)絡(luò)演習(xí)，特別是在需要同時(shí)檢驗(yàn)不同層級(jí)應(yīng)急響應(yīng)能力的時(shí)候（包括戰(zhàn)役、戰(zhàn)術(shù)和戰(zhàn)略演習(xí)層面）。報(bào)告建議業(yè)界人士與ENISA一起，共同為組織更為復(fù)雜的網(wǎng)絡(luò)演習(xí)而努力。

（5）將網(wǎng)絡(luò)演習(xí)納入網(wǎng)絡(luò)危機(jī)應(yīng)急方案。

各國應(yīng)制定、維護(hù)并及時(shí)更新網(wǎng)絡(luò)危機(jī)應(yīng)急方案和標(biāo)準(zhǔn)合作程序。響應(yīng)結(jié)構(gòu)的持續(xù)完善需要網(wǎng)絡(luò)演習(xí)的支撐。為了更好地備戰(zhàn)網(wǎng)絡(luò)危機(jī)，建議歐盟成員國相關(guān)決策者將網(wǎng)絡(luò)演習(xí)納入網(wǎng)絡(luò)危機(jī)應(yīng)急方案和標(biāo)準(zhǔn)合作程序。ENISA曾過一份《國家網(wǎng)絡(luò)應(yīng)急方案實(shí)踐指南》。

（6）及時(shí)更新網(wǎng)絡(luò)演習(xí)方法。

2009年，ENISA頒布了《國家演習(xí)實(shí)踐指南》，代表著網(wǎng)絡(luò)演習(xí)向著用更正規(guī)的方法進(jìn)行規(guī)劃和實(shí)施邁出了第一步。報(bào)告建議ENISA根據(jù)近幾年歐洲相關(guān)政策的變化、本次調(diào)研的研究成果以及有關(guān)論壇獲得的相關(guān)報(bào)告整合、改進(jìn)上述文件推薦的網(wǎng)絡(luò)演習(xí)方法，利用相關(guān)工具設(shè)計(jì)出正規(guī)的網(wǎng)絡(luò)演習(xí)規(guī)劃及組織辦法。

第3篇

關(guān)鍵詞計(jì)算機(jī)；網(wǎng)絡(luò)風(fēng)險(xiǎn)；防范模式；防范流程

中圖分類號(hào) F062.5 [KG*2]文獻(xiàn)標(biāo)識(shí)碼 A [KG*2]文章編號(hào) 1002-2104(2011)02-0096-04

在信息時(shí)代，信息成為第一戰(zhàn)略資源，更是起著至關(guān)重要的作用。因此，信息資產(chǎn)的安全是關(guān)系到該機(jī)構(gòu)能否完成其使命的大事。資產(chǎn)與風(fēng)險(xiǎn)是天生的一對(duì)矛盾，資產(chǎn)價(jià)值越高，面臨的風(fēng)險(xiǎn)就越大。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性，面臨著新型風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范的目的就是要緩解和平衡這一對(duì)矛盾，將風(fēng)險(xiǎn)防范到可接受的程度，保護(hù)信息及其相關(guān)資產(chǎn)，最終保證機(jī)構(gòu)能夠完成其使命。風(fēng)險(xiǎn)防范做不好，系統(tǒng)中所存在的安全風(fēng)險(xiǎn)不僅僅影響系統(tǒng)的正常運(yùn)行，且可能危害到政府部門自身和社會(huì)公眾，嚴(yán)重時(shí)還將威脅國家的安全。論文提出了在選擇風(fēng)險(xiǎn)防范策略時(shí)如何尋找合適的風(fēng)險(xiǎn)防范實(shí)施點(diǎn)并按照實(shí)施風(fēng)險(xiǎn)防范的具體過程來進(jìn)行新技術(shù)下的風(fēng)險(xiǎn)防范，從而幫助完成有效的風(fēng)險(xiǎn)管理過程，保護(hù)組織以及組織完成其任務(wù)。

1 計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理

計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理包括三個(gè)過程：計(jì)算機(jī)網(wǎng)絡(luò)屬性特征分析、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)防范。計(jì)算機(jī)網(wǎng)絡(luò)屬性特征分析包括風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個(gè)階段。在計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范過程中，計(jì)算機(jī)網(wǎng)絡(luò)屬性的確立過程是一次計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范主循環(huán)的起始，為風(fēng)險(xiǎn)評(píng)估提供輸入。風(fēng)險(xiǎn)評(píng)估過程，包括對(duì)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)影響的識(shí)別和評(píng)價(jià)，以及降低風(fēng)險(xiǎn)措施的建議。風(fēng)險(xiǎn)防范是風(fēng)險(xiǎn)管理的第三個(gè)過程，它包括對(duì)在風(fēng)險(xiǎn)評(píng)估過程中建議的安全控制進(jìn)行優(yōu)先級(jí)排序、評(píng)價(jià)和實(shí)現(xiàn)，這些控制可以用來減輕風(fēng)險(xiǎn)。

2 網(wǎng)絡(luò)風(fēng)險(xiǎn)模式研究

2.1 風(fēng)險(xiǎn)防范體系

計(jì)算機(jī)風(fēng)險(xiǎn)防范模式包括選擇風(fēng)險(xiǎn)防范措施（風(fēng)險(xiǎn)假設(shè)、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)限制、風(fēng)險(xiǎn)計(jì)劃、研究和了解、風(fēng)險(xiǎn)轉(zhuǎn)移）、選擇風(fēng)險(xiǎn)防范策略（包括尋找風(fēng)險(xiǎn)防范實(shí)施點(diǎn)和防范控制類別的選擇）、實(shí)施風(fēng)險(xiǎn)防范3個(gè)過程。在實(shí)施風(fēng)險(xiǎn)防范的過程中包括對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序、評(píng)價(jià)建議的安全控制類別、成本-收益分析、選擇風(fēng)險(xiǎn)防范控制、分配責(zé)任、制定安全措施實(shí)現(xiàn)計(jì)劃、實(shí)現(xiàn)被選擇的安全控制，最后還要進(jìn)行殘余風(fēng)險(xiǎn)分析。

2.2 風(fēng)險(xiǎn)防范措施

風(fēng)險(xiǎn)防范是一種系統(tǒng)方法，高級(jí)管理人員可用它來降低使命風(fēng)險(xiǎn)。風(fēng)險(xiǎn)防范可以通過下列措施實(shí)現(xiàn)：

（1）風(fēng)險(xiǎn)假設(shè)：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行IT系統(tǒng)，或?qū)崿F(xiàn)安全控制以把風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別。

（2）風(fēng)險(xiǎn)規(guī)避：通過消除風(fēng)險(xiǎn)的原因或后果（如當(dāng)識(shí)別出風(fēng)險(xiǎn)時(shí)放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）來規(guī)避風(fēng)險(xiǎn)。

（3）風(fēng)險(xiǎn)限制：通過實(shí)現(xiàn)安全控制來限制風(fēng)險(xiǎn)，這些安全控制可將由于系統(tǒng)弱點(diǎn)被威脅破壞而帶來的不利影響最小化（如使用支持、預(yù)防、檢測類的安全控制）。

（4）風(fēng)險(xiǎn)計(jì)劃：制定一套風(fēng)險(xiǎn)減緩計(jì)劃來管理風(fēng)險(xiǎn)，在該計(jì)劃中對(duì)安全控制進(jìn)行優(yōu)先排序、實(shí)現(xiàn)和維護(hù)。

（5）研究和了解：通過了解系統(tǒng)弱點(diǎn)和缺陷，并研究相應(yīng)的安全控制修正這些弱點(diǎn)，來降低風(fēng)險(xiǎn)損失。

（6）風(fēng)險(xiǎn)轉(zhuǎn)移：通過使用其他措施補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購買保險(xiǎn)。

在選擇風(fēng)險(xiǎn)防范措施中應(yīng)該考慮機(jī)構(gòu)的目標(biāo)和使命。要解決所有風(fēng)險(xiǎn)可能是不實(shí)際的，所以應(yīng)該對(duì)那些可能給使命帶來嚴(yán)重危害影響的威脅/弱點(diǎn)進(jìn)行優(yōu)先排序。同時(shí)，在保護(hù)機(jī)構(gòu)使命及其IT系統(tǒng)時(shí)，由于每一機(jī)構(gòu)有其特定的環(huán)境和目標(biāo)，因此用來減緩風(fēng)險(xiǎn)的措施和實(shí)現(xiàn)安全控制的方法也各不相同。最好的方法是從不同的廠商安全產(chǎn)品中選擇最合適的技術(shù)，再伴以適當(dāng)?shù)娘L(fēng)險(xiǎn)防范措施和非技術(shù)類的管理措施。

2.3 風(fēng)險(xiǎn)防范策略

高級(jí)管理人員和使命所有者在了解了潛在風(fēng)險(xiǎn)和安全控制建議書后，可能會(huì)問：什么時(shí)候、在什么情況下我們?cè)摬扇⌒袆?dòng)？什么時(shí)候該實(shí)現(xiàn)這些安全控制來進(jìn)行風(fēng)險(xiǎn)防范，從而保護(hù)我們的機(jī)構(gòu)？

如圖1所示的風(fēng)險(xiǎn)防范實(shí)施點(diǎn)回答了這個(gè)問題。在圖1中，標(biāo)有“是”的地方是應(yīng)該實(shí)現(xiàn)風(fēng)險(xiǎn)防范的合適點(diǎn)。

總結(jié)風(fēng)險(xiǎn)防范實(shí)踐，以下經(jīng)驗(yàn)可以對(duì)如何采取行動(dòng)來防范由于故意的人為威脅所帶來的風(fēng)險(xiǎn)提供指導(dǎo)：

楊濤等：計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范模式研究中國人口•資源與環(huán)境 2011年第2期(1)當(dāng)存在系統(tǒng)漏洞時(shí)，實(shí)現(xiàn)保證技術(shù)來降低弱點(diǎn)被攻擊的可能性；

(2) 當(dāng)系統(tǒng)漏洞被惡意攻擊時(shí)，運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制將風(fēng)險(xiǎn)最小化或防止這種情形的發(fā)生；

(3) 當(dāng)攻擊者的成本比攻擊得到更多收益時(shí)，運(yùn)用保護(hù)措施，通過提高攻擊者成本來降低攻擊者的攻擊動(dòng)機(jī)（如使用系統(tǒng)控制，限制系統(tǒng)用戶可以訪問或做些什么，這些措施能夠大大降低攻擊所得）；

(4) 當(dāng)損失巨大時(shí)，運(yùn)用設(shè)計(jì)原則、結(jié)構(gòu)化設(shè)計(jì)以及技術(shù)或非技術(shù)類保護(hù)措施來限制攻擊的程度，從而降低可能的損失。

上面所述的風(fēng)險(xiǎn)防范策略中除第三條外，也都可運(yùn)用來防范由于環(huán)境威脅或無意的人員威脅所帶來的風(fēng)險(xiǎn)。

2.4 風(fēng)險(xiǎn)防范模式的實(shí)施

在實(shí)施風(fēng)險(xiǎn)防范措施時(shí)，要遵循以下規(guī)則：找出最大的風(fēng)險(xiǎn)，然后爭取以最小的代價(jià)充分減緩風(fēng)險(xiǎn)，同時(shí)要使對(duì)其他使命能力的影響最小。實(shí)施措施通過以下七個(gè)步驟來完成，見圖2。

2.4.1 對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序

基于在風(fēng)險(xiǎn)評(píng)估報(bào)告中提出的風(fēng)險(xiǎn)級(jí)別，對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序。在分配資源時(shí)，那些標(biāo)有不可接受的高風(fēng)險(xiǎn)等級(jí)（如被定義為非常高或高風(fēng)險(xiǎn)級(jí)別的風(fēng)險(xiǎn)）的風(fēng)險(xiǎn)項(xiàng)目應(yīng)該最優(yōu)先。這些弱點(diǎn)/威脅需要采取立即糾正行動(dòng)以保護(hù)機(jī)構(gòu)的利益和使命。步驟一輸出―從高到低優(yōu)先級(jí)的行動(dòng)。

2.4.2 評(píng)價(jià)建議的安全控制

風(fēng)險(xiǎn)評(píng)估過程中建議的安全措施對(duì)于具體的機(jī)構(gòu)和IT系統(tǒng)可能不是最適合和可行的。在這一步中，要對(duì)建議

圖1 網(wǎng)絡(luò)風(fēng)險(xiǎn)防范實(shí)施點(diǎn)

Fig.1 Network implementation point of risk prevention

圖2 實(shí)施風(fēng)險(xiǎn)防范措施流程及其輸入輸出

Fig.2 Implementation of risk prevention measures and

the input and output processes

的安全控制措施的可行性（如兼容性、用戶接受程度）和有效性（如保護(hù)程度和風(fēng)險(xiǎn)防范級(jí)別）進(jìn)行分析。目的是選擇最適當(dāng)?shù)陌踩刂拼胧┮宰钚』L(fēng)險(xiǎn)。步驟二輸出―可行安全控制清單。

2.4.3 實(shí)施成本-收益分析

為了幫助管理層做出決策并找出性價(jià)比好的安全控制，要實(shí)施成本―收益分析。第三步輸出―成本-收益分析，其中描述了實(shí)現(xiàn)或者不實(shí)現(xiàn)安全控制所帶來的成本和收益。

2.4.4 選擇安全控制

在成本-收益分析的基礎(chǔ)上，管理人員確定性價(jià)比最好的安全控制來降低機(jī)構(gòu)使命的風(fēng)險(xiǎn)。所選擇的安全控制應(yīng)該結(jié)合技術(shù)、操作和管理類的控制元素以確保IT系統(tǒng)和機(jī)構(gòu)適度的安全。步驟四輸出―選擇好的安全控制。

2.4.5 責(zé)任分配

遴選出那些有合適專長和技能來實(shí)現(xiàn)所選安全控制的人員（內(nèi)務(wù)人員或外部簽約人員），并分配以相應(yīng)責(zé)任。步驟五輸出―責(zé)任人清單。

2.4.6 制定一套安全措施實(shí)現(xiàn)計(jì)劃

在這一步，將制定一套安全措施實(shí)現(xiàn)計(jì)劃（或行動(dòng)計(jì)劃）。這套計(jì)劃應(yīng)該至少包括下列信息：

（1）風(fēng)險(xiǎn)（弱點(diǎn)/威脅）和相關(guān)的風(fēng)險(xiǎn)級(jí)別（風(fēng)險(xiǎn)評(píng)估報(bào)告輸出）。

（2）建議的安全控制（風(fēng)險(xiǎn)評(píng)估報(bào)告輸出）。

（3）優(yōu)先排序過的行動(dòng)（標(biāo)有給那些有非常高和高風(fēng)險(xiǎn)級(jí)別的項(xiàng)目分配的優(yōu)先級(jí)）。

（4）被選擇的計(jì)劃好的安全控制（基于可行性、有效性、機(jī)構(gòu)的收益和成本來決定）。

（5）實(shí)現(xiàn)那些被選擇的計(jì)劃好的安全控制所需要的資源。

（6）負(fù)責(zé)小組和人員清單。

（7）開始實(shí)現(xiàn)日期。

（8）實(shí)現(xiàn)完成的預(yù)計(jì)日期。

（9）維護(hù)要求。

2.4.7 實(shí)現(xiàn)被選擇的安全控制

根據(jù)各自的情況，實(shí)現(xiàn)的安全控制可以降低風(fēng)險(xiǎn)級(jí)別但不會(huì)根除風(fēng)險(xiǎn)。步驟七輸出―殘余風(fēng)險(xiǎn)清單。

3 網(wǎng)絡(luò)風(fēng)險(xiǎn)防范案例

以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例，首先要對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)進(jìn)行屬性分析，風(fēng)險(xiǎn)評(píng)估，然后根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告和承受能力來決定風(fēng)險(xiǎn)防范具體措施。

3.1 風(fēng)險(xiǎn)評(píng)估

該計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全級(jí)別要求高，根據(jù)手工和自動(dòng)化網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估，結(jié)果如下所示：

數(shù)據(jù)庫系統(tǒng)安全狀況為中風(fēng)險(xiǎn)等級(jí)。在檢查的33個(gè)項(xiàng)目中，共有9個(gè)項(xiàng)目存在安全漏洞。其中：3 個(gè)項(xiàng)目為高風(fēng)險(xiǎn)等級(jí)，占總檢查項(xiàng)目的 9％；1 個(gè)項(xiàng)目為中風(fēng)險(xiǎn)等級(jí)，占總檢查項(xiàng)目的 3％；5 個(gè)項(xiàng)目為低風(fēng)險(xiǎn)等級(jí)，占總檢查項(xiàng)目的 15％。

3.2 風(fēng)險(xiǎn)防范具體措施

選擇風(fēng)險(xiǎn)防范措施中的研究和了解同時(shí)進(jìn)行風(fēng)險(xiǎn)限制。確定風(fēng)險(xiǎn)防范實(shí)施點(diǎn)，該數(shù)據(jù)庫的設(shè)計(jì)存在漏洞并且該漏洞可能被利用，所以應(yīng)該實(shí)施風(fēng)險(xiǎn)防范。實(shí)施步驟如下：

步驟一：對(duì)以上掃描結(jié)果中的9個(gè)漏洞進(jìn)行優(yōu)先級(jí)排序，確立每個(gè)項(xiàng)目的風(fēng)險(xiǎn)級(jí)別。

步驟二：評(píng)價(jià)建議的安全控制。在該網(wǎng)站主站數(shù)據(jù)庫被建立后針對(duì)評(píng)估報(bào)告中的安全控制建議進(jìn)行分析，得出要采取的防范策略。

步驟三：對(duì)步驟二中得出相應(yīng)的若干種防范策略進(jìn)行成本收益分析，最后得出每種防范策略的成本和收益。

步驟四：選擇安全控制。對(duì)上述掃描的9個(gè)漏洞分別選擇相應(yīng)的防范策略。

步驟五：責(zé)任分配，輸出負(fù)責(zé)人清單。

步驟六：制定完整的漏洞修復(fù)計(jì)劃。

步驟七：實(shí)施選擇好的防范策略，按表1對(duì)這9個(gè)漏洞進(jìn)行一一修復(fù)。

表1 防范措施列表

Tab.1 List of preventive measures

漏洞ID

Vulnerability

ID 漏洞名稱

Vulnerability

Name級(jí)別

level風(fēng)險(xiǎn)防范策略

Risk prevention

strategiesAXTSGL1006Guest用戶檢測高預(yù)防性技術(shù)控制AXTSGL1008登錄模式高預(yù)防性技術(shù)控制AXTSGL3002審計(jì)級(jí)別設(shè)置高監(jiān)測和恢復(fù)技術(shù)控制AXTSGL3011注冊(cè)表存儲(chǔ)過程權(quán)限中支持和預(yù)防性技術(shù)控制AXTSGL2001允許遠(yuǎn)程訪問低預(yù)防性技術(shù)控制AXTSGL2012系統(tǒng)表訪問權(quán)限設(shè)置低預(yù)防性技術(shù)控制AXTSGL3003安全事件審計(jì)低監(jiān)測恢復(fù)技術(shù)控制AXTSGL3004黑盒跟蹤低恢復(fù)管理安全控制AXTSGL3006C2 審計(jì)模式低監(jiān)測和恢復(fù)技術(shù)控制

4 總結(jié)

在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理分析的基礎(chǔ)上，提出了新技術(shù)下的風(fēng)險(xiǎn)防范模式和體系結(jié)構(gòu)，同時(shí)將該防范模式成功應(yīng)用到某市官方網(wǎng)站的主站數(shù)據(jù)庫中。應(yīng)用過程中選擇了恰當(dāng)?shù)姆婪洞胧?，根?jù)新技術(shù)下風(fēng)險(xiǎn)防范實(shí)施點(diǎn)的選擇流程確立了該數(shù)據(jù)庫的防范實(shí)施點(diǎn)并嚴(yán)格按照風(fēng)險(xiǎn)防范實(shí)施步驟進(jìn)行風(fēng)險(xiǎn)防范的執(zhí)行，成功地使風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別，使得對(duì)機(jī)構(gòu)的資源和使命造成的負(fù)面影響最小化。

雖然該防范模式在一定程度上降低了風(fēng)險(xiǎn)的級(jí)別，但是由于風(fēng)險(xiǎn)類型的不可預(yù)見性和防范策略的局限性，該模式未必使機(jī)構(gòu)或系統(tǒng)的風(fēng)險(xiǎn)降到最低，因此風(fēng)險(xiǎn)防范有待于進(jìn)一步改進(jìn)和完善，這將是一個(gè)長期的任務(wù)。

參考文獻(xiàn)（References）

［1］蔡昱，張玉清.風(fēng)險(xiǎn)評(píng)估在電子政務(wù)系統(tǒng)中的應(yīng)用［J］.計(jì)算機(jī)工程與應(yīng)用，2004，(26)：155-159.［Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System［J］. Computer Engineering and Applications: 2004(26):155-159.］

［2］張平，蔣凡.一種改進(jìn)的網(wǎng)絡(luò)安全掃描工具［J］.計(jì)算機(jī)工程，2001.27(9)：107-109,128.［Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering［J］.2001,27(9):107-109,128.］

［3］卿斯?jié)h.網(wǎng)絡(luò)安全檢測的理論和實(shí)踐［J］.計(jì)算機(jī)系統(tǒng)應(yīng)用,2001,(11)：24-28.［Qing Sihan. Network Security Detection Theory and Practice［J］. Computer SystemApplication,2001,(11):24-28.］

［4］戴志峰，何軍.一種基于主機(jī)分布式安全掃描的計(jì)算機(jī)免疫系統(tǒng)模型［J］.計(jì)算機(jī)應(yīng),2001,21(10)：24-26,29.［Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer［J］. Computer Application, 2001,21(10)：24-26,29.］

Research on Risk Precention Model of Computer Network

YANG Tao1 LI Shuren1 DANG Depeng2

( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;

2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)

第4篇

【關(guān)鍵詞】網(wǎng)絡(luò)安全綜合評(píng)價(jià) 方法應(yīng)用

一、常見網(wǎng)絡(luò)安全綜合評(píng)價(jià)方法

1.1層次分析法（AHP）

1）構(gòu)造層次分析結(jié)構(gòu)：一般按目標(biāo)層、準(zhǔn)則層、方案層建立三層次的結(jié)構(gòu)。

2）構(gòu)造判斷矩陣：判斷矩陣的每個(gè)元素是某一層兩個(gè)元素的相對(duì)重要性程度值，一般采用 1-9 及其倒數(shù)的標(biāo)度法。

3）層次單排序及一致性驗(yàn)證：計(jì)算出某層次因素相對(duì)于上一層次某一因素的相對(duì)重要性。這一步驟還需要檢驗(yàn)構(gòu)造的判斷矩陣的合理性，一般采用判斷矩陣最大特征根以外的其余特征根的負(fù)平均值，作為度量判斷矩陣的偏離一致性的指標(biāo)。

4）層次總排序及一致性驗(yàn)證：依次沿層次結(jié)構(gòu)由下而上逐層計(jì)算，即可計(jì)算出結(jié)構(gòu)圖中最底層各因素相對(duì)于總目標(biāo)的相對(duì)重要性的排序值。

5）決策：根據(jù)分析計(jì)算結(jié)果進(jìn)行決策。

在網(wǎng)絡(luò)安全的研究中，一般不直接采用層次分析法去評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的安全性，而是組合其他綜合評(píng)價(jià)法使用，層次分析法一般用來確定指標(biāo)的權(quán)重。

1.2灰色綜合評(píng)價(jià)法

灰色綜合評(píng)價(jià)是指基于灰色系統(tǒng)理論，對(duì)系統(tǒng)或所屬因子，在某一時(shí)段所處的狀態(tài)，做出一種半定性與半定量的評(píng)價(jià)與描述，以便對(duì)系統(tǒng)的綜合效果和整體水平，形成一個(gè)可供比較的概念與類別。

1.3人工神經(jīng)網(wǎng)絡(luò)評(píng)價(jià)法

人工神經(jīng)網(wǎng)絡(luò)（ANN）是由大量與自然神經(jīng)細(xì)胞類似的人工神經(jīng)元互聯(lián)而組成的網(wǎng)絡(luò)，它是在對(duì)人腦組織結(jié)構(gòu)和運(yùn)行機(jī)制的認(rèn)識(shí)理解基礎(chǔ)之上模擬其結(jié)構(gòu)和職能行為的一種工程系統(tǒng)?；谌斯ど窠?jīng)網(wǎng)絡(luò)的多指標(biāo)綜合評(píng)價(jià)方法通過神經(jīng)網(wǎng)絡(luò)的自學(xué)習(xí)、自適應(yīng)能力和強(qiáng)容錯(cuò)性，建立更加接近人類思維模式的定性和定量的綜合評(píng)價(jià)模型。神經(jīng)網(wǎng)絡(luò)綜合評(píng)價(jià)方法具有很強(qiáng)的處理非線性關(guān)系數(shù)據(jù)的能力，其權(quán)值是通過實(shí)例學(xué)習(xí)而得，避免了主觀性和不確定性，因而具有很大的優(yōu)越性。

1.3模糊綜合評(píng)價(jià)法

模糊綜合評(píng)價(jià)是以模糊數(shù)學(xué)為基礎(chǔ)，應(yīng)用模糊關(guān)系合成的原理，將一些邊界不清、不易量化的因素定量化，從多個(gè)因素對(duì)被評(píng)價(jià)事物隸屬等級(jí)狀況進(jìn)行綜合評(píng)價(jià)的一種方法。模糊綜合評(píng)價(jià)方法能有效地解決在網(wǎng)絡(luò)安全評(píng)估中大量的定性指標(biāo)量化的問題，是處理帶有主觀評(píng)價(jià)的安全性評(píng)估最好的方法之一，因此本文采用模糊綜合評(píng)價(jià)方法來建立網(wǎng)絡(luò)安全綜合評(píng)價(jià)模型，該方法將在第五章中詳細(xì)介紹。

二、計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行存在的風(fēng)險(xiǎn)

2.1操作風(fēng)險(xiǎn)

企業(yè)經(jīng)營業(yè)務(wù)在不斷拓展，計(jì)算機(jī)網(wǎng)絡(luò)操作的次數(shù)更加頻繁，這些都需要內(nèi)部職員經(jīng)過相關(guān)的操作完成。由于專業(yè)技能及理論知識(shí)不足，內(nèi)部人員在操作網(wǎng)絡(luò)執(zhí)行命令時(shí)發(fā)生錯(cuò)誤，造成數(shù)據(jù)傳輸失敗或文件丟失，引發(fā)了一系列的操作問題。此外，軟硬件設(shè)備的連接處理，未按照計(jì)算機(jī)聯(lián)網(wǎng)標(biāo)準(zhǔn)的要求操作，也會(huì)帶來許多潛在的操作風(fēng)險(xiǎn)。

2.2數(shù)據(jù)風(fēng)險(xiǎn)

數(shù)據(jù)庫是網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的核心區(qū)域，同時(shí)也是企業(yè)用戶日常操作的主要對(duì)象，其面臨的風(fēng)險(xiǎn)隱患最大。如：數(shù)據(jù)庫訪問風(fēng)險(xiǎn)，打開數(shù)據(jù)庫未經(jīng)過有效身份的驗(yàn)證，權(quán)限設(shè)置不嚴(yán)易造成數(shù)據(jù)信息被竊?。粩?shù)據(jù)庫調(diào)用風(fēng)險(xiǎn)，由于管理工作的疏忽，數(shù)據(jù)庫資源可隨意性調(diào)配利用。數(shù)據(jù)風(fēng)險(xiǎn)對(duì)用戶數(shù)據(jù)調(diào)配是極為不利的，風(fēng)險(xiǎn)發(fā)生造成了較大的經(jīng)濟(jì)損失。

2.3病毒風(fēng)險(xiǎn)

病毒是破壞網(wǎng)絡(luò)安全的常見因素，病毒的傳播性、破壞性、擴(kuò)散性等特點(diǎn)往往會(huì)波及其它計(jì)算機(jī)。計(jì)算機(jī)網(wǎng)絡(luò)被病毒感染，本臺(tái)計(jì)算機(jī)系統(tǒng)遭到破壞，用戶在網(wǎng)絡(luò)上執(zhí)行的有關(guān)操作將無法完成命令。

2.4設(shè)備風(fēng)險(xiǎn)

硬件設(shè)備是計(jì)算機(jī)網(wǎng)絡(luò)的重要組成之一，許多網(wǎng)絡(luò)操作功能均是通過硬件設(shè)備調(diào)控才能實(shí)現(xiàn)。設(shè)備風(fēng)險(xiǎn)的來源是由于計(jì)算機(jī)設(shè)備連接不當(dāng)，模擬調(diào)試階段未對(duì)設(shè)備潛在的問題及時(shí)處理。以主機(jī)連接為例，技術(shù)人員安裝設(shè)備未能對(duì)數(shù)據(jù)接口詳細(xì)檢查，主機(jī)與其它輔助設(shè)備的連接安裝不科學(xué)，用戶操作計(jì)算機(jī)后容易出現(xiàn)數(shù)據(jù)傳輸問題，情況嚴(yán)重時(shí)引發(fā)設(shè)備故障。

三、防范安全風(fēng)險(xiǎn)發(fā)生的有效措施

3.1分段技術(shù)

分段技術(shù)的根本在于從源頭開始對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行控制，當(dāng)前局域網(wǎng)的傳輸方式主要是利用交換機(jī)作為中心、路由器作為邊界，而中心交換機(jī)具備優(yōu)越的訪問控制功能及三層交換功能。這就為分段技術(shù)的運(yùn)用提供了有利的條件，如：通過物理分段、邏輯分段對(duì)局域網(wǎng)進(jìn)行安全控制。

3.2加密技術(shù)

數(shù)據(jù)加密是防范網(wǎng)絡(luò)信息風(fēng)險(xiǎn)最直接最有效的一種方式，如下圖所示。該技術(shù)主要是引導(dǎo)用戶對(duì)傳輸過程中的數(shù)據(jù)設(shè)置有效的密碼。

數(shù)據(jù)加密包括了線路加密、端與端加密等，兩種方式都有著自己的特點(diǎn)。線路加密主要對(duì)保密信息使用相應(yīng)的加密密鑰進(jìn)行安全保護(hù)。

3.3防火墻技術(shù)

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安裝防火墻最大的作用在于能夠避免遭到黑客入侵。防火墻技術(shù)的預(yù)防原理為結(jié)合防火墻的功能對(duì)網(wǎng)絡(luò)通訊實(shí)施相應(yīng)的訪問控制規(guī)定，只能同意用戶允許的人和數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)中，對(duì)于未經(jīng)允許的用戶和數(shù)據(jù)則會(huì)自動(dòng)屏蔽。

3.4抗病毒技術(shù)

網(wǎng)絡(luò)病毒不僅危害大，而且傳播速度極快，能以很短的時(shí)間散布于各個(gè)計(jì)算機(jī)網(wǎng)絡(luò)。增加抗病毒技術(shù)的運(yùn)用能夠?qū)W(wǎng)絡(luò)病毒起到良好的抵制作用。抗病毒技術(shù)主要是通過安裝不同的殺毒軟件實(shí)現(xiàn)，如：卡巴斯基、360等，維護(hù)計(jì)算機(jī)處于正常狀態(tài)。

四、結(jié)束語

考慮到企業(yè)辦公自動(dòng)化模式的普及應(yīng)用，加強(qiáng)網(wǎng)絡(luò)安全管理工作已成為不容忽視的管理內(nèi)容。企業(yè)在制定基于計(jì)算機(jī)運(yùn)營平臺(tái)的過程中，應(yīng)深入分析網(wǎng)絡(luò)潛在的風(fēng)險(xiǎn)隱患，編制科學(xué)的安全綜合評(píng)價(jià)方案，更好地運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)企業(yè)。

參考文獻(xiàn)

第5篇

關(guān)鍵詞：網(wǎng)絡(luò)安全；病毒防范；防火墻

0 引言

如何保證合法網(wǎng)絡(luò)用戶對(duì)資源的合法訪問以及如何防止網(wǎng)絡(luò)黑客的攻擊，已經(jīng)成為網(wǎng)絡(luò)安全的主要內(nèi)容。

1 網(wǎng)絡(luò)安全威脅

1.1 網(wǎng)絡(luò)中物理的安全威脅例如空氣溫度、濕度、塵土等環(huán)境故障、以及設(shè)備故障、電源故障、電磁干擾、線路截獲等。

1.2 網(wǎng)絡(luò)中信息的安全威脅 ①蠕蟲和病毒。計(jì)算機(jī)蠕蟲和病毒是最常見的一類安全威脅。蠕蟲和病毒會(huì)嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性，其傳播速度也更快，甚至能在片刻間使信息處理處于癱瘓狀態(tài)，而要清除被感染計(jì)算機(jī)中的病毒所要耗費(fèi)的時(shí)一間也更長。②黑客攻擊?！昂诳汀币辉~由英語Hacker英譯而來，原意是指專門研究、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛好者?，F(xiàn)如今主要用來描述那些掌握高超的網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人。黑客攻擊主要包括系統(tǒng)入侵、網(wǎng)絡(luò)監(jiān)聽、密文破解和拒絕服務(wù)（DtS）攻擊等。

2 網(wǎng)絡(luò)安全技術(shù)

為了消除上述安全威脅，企業(yè)、部門或個(gè)人需要建立一系列的防御體系。目前主要有以下幾種安全技術(shù)：

2.1 密碼技術(shù) 在信息傳輸過程中，發(fā)送方先用加密密鑰，通過加密設(shè)備或算法，將信息加密后發(fā)送出去，接收方在收到密文后，用解密密鑰將密文解密，恢復(fù)為明文。如果傳輸中有人竊取，也只能得到無法理解的密文，從而對(duì)信息起到保密作用。

2.2 身份認(rèn)證技術(shù) 通過建立身份認(rèn)證系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)用戶的集中統(tǒng)一授權(quán)，防止未經(jīng)授權(quán)的非法用戶使用網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)環(huán)境中，信息傳至接收方后，接收方首先要確認(rèn)信息發(fā)送方的合法身份，然后才能與之建立一條通信鏈路。身份認(rèn)證技術(shù)主要包括數(shù)字簽名、身份驗(yàn)證和數(shù)字證明。

2.3 病毒防范技術(shù) 計(jì)算機(jī)病毒實(shí)際上是一種惡意程序，防病毒技術(shù)就是識(shí)別出這種程序并消除其影響的一種技術(shù)。從防病毒產(chǎn)品對(duì)計(jì)算機(jī)病毒的作用來講，防病毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)、病毒檢測技術(shù)和病毒清除技術(shù)。

①病毒預(yù)防技術(shù)。計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類處理，而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。病毒預(yù)防技術(shù)包括磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)和系統(tǒng)監(jiān)控技術(shù)等。②病毒檢測技術(shù)。它有兩種：一種是根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)；另一種是不針對(duì)具體病毒程序的自身校驗(yàn)技術(shù)，即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果，以后定期或不定期地以保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性己遭到破壞，感染上了病毒，從而檢測到病毒的存在。③病毒清除技術(shù)。計(jì)算機(jī)病毒的清除技術(shù)是計(jì)算機(jī)病毒檢測技術(shù)發(fā)展的必然結(jié)果，是計(jì)算機(jī)病毒傳染程序的一個(gè)逆過程。目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對(duì)其進(jìn)行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動(dòng)的，帶有滯后性。而且由于計(jì)算機(jī)軟件所要求的精確性，殺毒軟件有其局限性，對(duì)有些變種病毒的清除無能為力。

2.4 入侵檢測技術(shù) 入侵檢測技術(shù)是一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，也是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。

①特征檢測的假設(shè)是入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動(dòng)是否符合這些模式。它可以將己有的入侵方法檢查出來，但對(duì)新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。②異常檢測的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?；顒?dòng)的“活動(dòng)簡檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測的難題在于如何建立“活動(dòng)簡檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

2.5 漏洞掃描技術(shù) 漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客所利用的漏洞。漏洞檢測技術(shù)就是通過對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查，查找系統(tǒng)安全漏洞的一種技術(shù)。它能夠預(yù)先評(píng)估和分析系統(tǒng)中存在的各種安全隱患，換言之，漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客所利用的漏洞。隨著黑客人侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷，預(yù)先評(píng)估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的評(píng)估報(bào)告，它指出了哪些攻擊是可能的，因此成為網(wǎng)絡(luò)安全解決方案中的一個(gè)重要組成部分。

漏洞掃描技術(shù)主要分為被動(dòng)式和主動(dòng)式兩種：

第6篇

傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全防范主要都是對(duì)網(wǎng)絡(luò)病毒、系統(tǒng)漏洞、入侵檢測等方面加以設(shè)置，安全措施和相關(guān)配置通常都在網(wǎng)絡(luò)與外部進(jìn)行連接的端口處加以實(shí)施，采取這樣的網(wǎng)絡(luò)安全防范雖然能夠降低外部網(wǎng)絡(luò)帶來的安全威脅，但卻忽視了企業(yè)內(nèi)部網(wǎng)絡(luò)潛在的安全問題。

目前，企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題的嚴(yán)重程度已經(jīng)遠(yuǎn)遠(yuǎn)超過了外部網(wǎng)絡(luò)帶來的安全威脅，企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅成為了企業(yè)信息安全面臨的重大難題。但是，由于企業(yè)管理人員的網(wǎng)絡(luò)安全防范意識(shí)不強(qiáng)，對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題不夠重視，甚至沒有對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)采取任何安全防范措施，因此導(dǎo)致了企業(yè)內(nèi)部網(wǎng)絡(luò)安全事故不斷增加，給企業(yè)帶來了重大經(jīng)濟(jì)損失和社會(huì)負(fù)面影響，怎樣能夠保證企業(yè)內(nèi)部網(wǎng)絡(luò)不受到任何威脅和侵害，已經(jīng)成為了企業(yè)在信息化發(fā)展建設(shè)過程中亟待解決的問題。

2 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，企業(yè)內(nèi)部網(wǎng)絡(luò)是其信息化建設(shè)過程中必不可少的一部分。而且，網(wǎng)絡(luò)應(yīng)用程序的不斷增多也使得企業(yè)網(wǎng)絡(luò)正在面臨著各種各樣的安全威脅。

2.1內(nèi)部網(wǎng)絡(luò)脆弱

企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊通常是利用企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的漏洞實(shí)現(xiàn)的，而且，由于部分網(wǎng)絡(luò)管理人員對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范不夠重視，使得大部分的計(jì)算機(jī)終端都面臨著嚴(yán)重的系統(tǒng)漏洞問題，隨著內(nèi)部網(wǎng)絡(luò)中應(yīng)用程序數(shù)量的日益增加，也給計(jì)算機(jī)終端帶來了更多的系統(tǒng)漏洞問題。

2.2用戶權(quán)限不同

企業(yè)內(nèi)部網(wǎng)絡(luò)的每個(gè)用戶都擁有不同的使用權(quán)限，因此，對(duì)用戶權(quán)限的統(tǒng)一控制和管理非常難以實(shí)現(xiàn)，不同的應(yīng)用程序都會(huì)遭到用戶密碼的破譯和非法越權(quán)操作。部分企業(yè)的信息安全部門對(duì)于內(nèi)部網(wǎng)絡(luò)的服務(wù)器管理不到位，更容易給網(wǎng)絡(luò)黑客留下可乘之機(jī)。

2.3涉密信息分散

由于部分企業(yè)內(nèi)部網(wǎng)絡(luò)的涉密數(shù)據(jù)存儲(chǔ)分布在不同的計(jì)算機(jī)終端中，沒有將這些涉密信息統(tǒng)一存儲(chǔ)到服務(wù)器中，又缺乏嚴(yán)格有效的監(jiān)督控制管理辦法。甚至為了方便日常辦公，對(duì)于涉密數(shù)據(jù)往往不加密就在內(nèi)部網(wǎng)絡(luò)中隨意傳輸，這就給竊取涉密信息的人員制造了大量的攻擊機(jī)會(huì)。

3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案

3.1網(wǎng)絡(luò)安全防范總體設(shè)計(jì)

即使企業(yè)內(nèi)部網(wǎng)絡(luò)綜合使用了入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等防護(hù)手段，也很難保證企業(yè)內(nèi)部網(wǎng)絡(luò)之間數(shù)據(jù)通信的絕對(duì)安全。因此，在本文設(shè)計(jì)的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范方案中，部署了硬件加密機(jī)的應(yīng)用，能夠保證對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)通信進(jìn)行加密處理，從而加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。

3.2網(wǎng)絡(luò)安全體系模型構(gòu)建

企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系屬于水平與垂直分層實(shí)現(xiàn)的，水平層面上包括了安全管理、安全技術(shù)、安全策略和安全產(chǎn)品，它們之間是通過支配和被支配的模式實(shí)現(xiàn)使用的；垂直層面上的安全制度是負(fù)責(zé)對(duì)水平層面上的行為進(jìn)行安全規(guī)范。一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系如果想保持一致性，必須包括用戶授權(quán)管理、用戶身份認(rèn)證、數(shù)據(jù)信息保密和實(shí)時(shí)監(jiān)控審計(jì)這四個(gè)方面。這四個(gè)方面的管理功能是共同作用于同一個(gè)平臺(tái)之上的，從而構(gòu)建成一個(gè)安全可靠、實(shí)時(shí)可控的企業(yè)內(nèi)部網(wǎng)絡(luò)。

1）用戶身份認(rèn)證

用戶身份認(rèn)證是保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的基礎(chǔ)，企業(yè)內(nèi)部網(wǎng)絡(luò)中的用戶身份認(rèn)證包括了服務(wù)器用戶、網(wǎng)絡(luò)設(shè)備用戶、網(wǎng)絡(luò)資源用戶、客戶端用戶等等，而且，由于網(wǎng)絡(luò)客戶端用戶數(shù)量龐大，存在著更多的不安全、不確定性，因此，對(duì)于網(wǎng)絡(luò)客戶端用戶的身份認(rèn)證至關(guān)重要。

2）用戶授權(quán)管理

用戶授權(quán)管理是以用戶身份認(rèn)證作為基礎(chǔ)的，主要是對(duì)用戶使用企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)資源時(shí)進(jìn)行授權(quán)，每個(gè)用戶都對(duì)應(yīng)著不用的權(quán)限，權(quán)限代表著能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)中的某些資源進(jìn)行訪問和使用，包括服務(wù)器數(shù)據(jù)資源的使用權(quán)限、網(wǎng)絡(luò)數(shù)據(jù)資源使用權(quán)限和網(wǎng)絡(luò)存儲(chǔ)設(shè)備資源使用權(quán)限等等。

3）數(shù)據(jù)信息保密

數(shù)據(jù)信息保密作為企業(yè)內(nèi)部網(wǎng)絡(luò)中信息安全的核心部分，需要對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)通信的所有數(shù)據(jù)進(jìn)行安全管理，保證數(shù)據(jù)通信能夠在企業(yè)內(nèi)部網(wǎng)絡(luò)中處于一個(gè)安全環(huán)境下進(jìn)行，從而保證對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)涉密信息和知識(shí)產(chǎn)權(quán)信息的有效保護(hù)。

4）實(shí)時(shí)監(jiān)控審計(jì)

實(shí)時(shí)監(jiān)控審計(jì)作為企業(yè)內(nèi)部網(wǎng)絡(luò)中必不可少的部分，主要實(shí)現(xiàn)的是對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全的實(shí)時(shí)監(jiān)控，定期生成企業(yè)內(nèi)部網(wǎng)絡(luò)安全評(píng)估報(bào)告，一旦企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問題時(shí)，能夠及時(shí)匯總數(shù)據(jù)，為安全事故的分析判斷提供有效依據(jù)。

4結(jié)論

目前，關(guān)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防范問題一直是網(wǎng)絡(luò)信息安全領(lǐng)域研究的熱點(diǎn)問題，越來越多的企業(yè)將辦公系統(tǒng)應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)中，但是由于企業(yè)工作人員的安全防范意識(shí)不強(qiáng)，或者網(wǎng)絡(luò)操作不規(guī)范，都給企業(yè)內(nèi)部網(wǎng)絡(luò)帶來了更多的安全威脅。本文提出的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案，能夠有效解決多種內(nèi)部網(wǎng)絡(luò)的安全問題，具有一定的實(shí)踐應(yīng)用價(jià)值。

參考文獻(xiàn)

第7篇

[關(guān)鍵詞] 水務(wù)；網(wǎng)絡(luò)信息安全；管理

[中圖分類號(hào)] F272.7 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2013）20- 0054- 03

0 引言

隨著上海水務(wù)信息化工作的快速推進(jìn)和不斷深化，電子政務(wù)、數(shù)字水務(wù)、水務(wù)公共信息平臺(tái)、水資源管理系統(tǒng)等信息化成果有力推動(dòng)了水務(wù)的現(xiàn)代化建設(shè)。網(wǎng)絡(luò)平臺(tái)作為信息化建設(shè)和信息化成果應(yīng)用的重要基礎(chǔ)平臺(tái)，支撐起了巨大的IT價(jià)值，是水務(wù)IT價(jià)值實(shí)現(xiàn)的根本和基礎(chǔ)。在互聯(lián)網(wǎng)快速發(fā)展的背景下，網(wǎng)絡(luò)攻擊手段日益增多，信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)也越來越多，如何確保網(wǎng)絡(luò)信息安全已成為水務(wù)信息化進(jìn)程中的一項(xiàng)重要工作。

1 現(xiàn)狀分析

上海水務(wù)網(wǎng)絡(luò)由中國水利信息網(wǎng)接入網(wǎng)、市防汛水務(wù)專網(wǎng)、市政務(wù)外網(wǎng)接入網(wǎng)、辦公局域網(wǎng)、無線專網(wǎng)等網(wǎng)絡(luò)組成，實(shí)現(xiàn)了上連國家防總、水利部、全國流域機(jī)構(gòu)，中連全市各委辦局、下連所有局屬單位以及全市各區(qū)縣防汛指揮部，系統(tǒng)承載了防汛報(bào)訊系統(tǒng)、電子政務(wù)系統(tǒng)、水務(wù)公共信息平臺(tái)、視頻會(huì)議系統(tǒng)、視頻監(jiān)控、水務(wù)熱線、水資源管理系統(tǒng)等重要水務(wù)防汛應(yīng)用。

為確保網(wǎng)絡(luò)運(yùn)行安全和系統(tǒng)應(yīng)用正常，水務(wù)網(wǎng)絡(luò)實(shí)施了一系列的安全防護(hù)措施，主要包括：在網(wǎng)絡(luò)邊界處部署安全訪問控制設(shè)備，如防火墻、上網(wǎng)行為設(shè)備等，建立了安全的通信連接，確保數(shù)據(jù)訪問合法并在有效的安全管理控制之下，同時(shí)作為抵御外部威脅的第一道防線，有效檢測和防御惡意入侵；在網(wǎng)絡(luò)核心部位和重要區(qū)域部署了入侵檢測設(shè)備，分析網(wǎng)絡(luò)傳輸數(shù)據(jù)，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象；開展計(jì)算環(huán)境安全管理，主要內(nèi)容包括操作系統(tǒng)策略管理、統(tǒng)一病毒防護(hù)管理、安全補(bǔ)丁管理等。

2 面臨的安全風(fēng)險(xiǎn)

2.1 信息系統(tǒng)缺乏同步安全建設(shè)

信息化進(jìn)程中，普遍存在重建設(shè)輕管理，重應(yīng)用功能輕安全防護(hù)，導(dǎo)致信息系統(tǒng)在建設(shè)過程中沒有充分考慮信息安全防護(hù)措施和管理要求，通常在安全測評(píng)階段，根據(jù)相應(yīng)的測評(píng)指標(biāo)，臨時(shí)、被動(dòng)地實(shí)施相關(guān)安全防護(hù)措施，雖然滿足了測評(píng)的基本要求，但是安全措施比較零散，缺乏體系和相互關(guān)聯(lián)，甚至實(shí)施的安全措施治標(biāo)不治本，安全隱患重重。

2.2 未充分發(fā)揮安全產(chǎn)品防御作用

當(dāng)前，信息安全已深入到業(yè)務(wù)行為關(guān)聯(lián)和信息內(nèi)容語義范疇。防火墻的訪問控制、入侵檢測的預(yù)警判斷、網(wǎng)閘的數(shù)據(jù)傳輸控制以及安全審計(jì)信息的合規(guī)性判斷均來自應(yīng)用安全策略要求，信息安全產(chǎn)品更多的是面向應(yīng)用層面的信息安全控制。但是由于系統(tǒng)開發(fā)缺乏明確的安全需求，造成了信息安全產(chǎn)品針對(duì)其實(shí)施的安全策略權(quán)限開放過大或無安全策略，安全告警無法有效判斷，使得部分產(chǎn)品形同虛設(shè)，不能充分發(fā)揮其防御作用。

2.3 軟件漏洞

軟件漏洞是信息安全問題的根源之一，易引發(fā)信息竊取、資源被控、系統(tǒng)崩潰等安全事件。軟件漏洞主要涉及操作系統(tǒng)漏洞、數(shù)據(jù)庫系統(tǒng)漏洞、中間件漏洞、應(yīng)用程序漏洞等。操作系統(tǒng)、數(shù)據(jù)庫等廠商會(huì)不定期針對(duì)漏洞相應(yīng)的補(bǔ)丁，但是，由于應(yīng)用系統(tǒng)運(yùn)行對(duì)程序開發(fā)環(huán)境的依賴度較高，補(bǔ)丁升級(jí)存在較大安全風(fēng)險(xiǎn)和不確定性，使得應(yīng)用部門通常不實(shí)施操作系統(tǒng)等相關(guān)補(bǔ)丁升級(jí)工作。此外，應(yīng)用程序本身也普遍缺失安全技術(shù)，存在諸多未知安全漏洞等問題。

2.4 網(wǎng)絡(luò)病毒

計(jì)算機(jī)病毒是數(shù)據(jù)安全的頭號(hào)大敵，根據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心的《2011年全國信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)及移動(dòng)終端病毒疫情調(diào)查分析報(bào)告》，2011年全國計(jì)算機(jī)病毒感染率為48.87%，雖呈下降態(tài)勢，但是病毒帶來的危害越來越大。

2.5 黑客攻擊

國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）的最新數(shù)據(jù)顯示，中國遭受境外網(wǎng)絡(luò)攻擊的情況日趨嚴(yán)重。CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2013年1月1日至2月28日不足60天的時(shí)間里，境外6 747臺(tái)木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了中國境內(nèi)190萬余臺(tái)主機(jī)。在信息系統(tǒng)漏洞頻出的情況下，面向有組織的黑客攻擊行為，現(xiàn)有的技術(shù)防護(hù)和安全管理措施捉襟見肘。

2.6 信息安全意識(shí)薄弱

人是信息安全工作的核心因素，其安全管理水平將直接影響信息安全保障工作。由于缺少宣傳、培訓(xùn)和教育，用戶信息安全意識(shí)較為淡薄。由于安全意識(shí)淡薄和缺乏識(shí)別潛在的安全風(fēng)險(xiǎn)，用戶在實(shí)際工作中容易產(chǎn)生違規(guī)操作，引發(fā)信息安全問題或失泄密事件。

3 采取的管理措施

存在這些安全風(fēng)險(xiǎn)的主要原因?yàn)槿狈π畔踩?guī)劃、缺乏持續(xù)改進(jìn)的安全維護(hù)保障措施以及安全意識(shí)薄弱等，所以做好該部分工作是解決當(dāng)前所面臨安全風(fēng)險(xiǎn)的主要措施。

3.1 信息安全規(guī)劃

信息安全規(guī)劃是一個(gè)涉及技術(shù)、管理、法規(guī)等多方面的綜合工程，是確保物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全的系統(tǒng)性規(guī)劃。信息安全規(guī)劃既依托于信息化規(guī)劃，又是信息化的重要組成部分。在信息安全規(guī)劃的指導(dǎo)下，信息系統(tǒng)安全建設(shè)與管理才能有計(jì)劃、有方向、有目標(biāo)。信息安全規(guī)劃框架如圖1。

3.1.1 以信息化規(guī)劃為指引，以信息化建設(shè)現(xiàn)狀為基礎(chǔ)

信息安全規(guī)劃是以信息化規(guī)劃為指引，以信息化建設(shè)現(xiàn)狀為基礎(chǔ)，系統(tǒng)性的規(guī)劃信息安全架構(gòu)，是信息化發(fā)展中的重要環(huán)節(jié)。信息安全規(guī)劃一方面要對(duì)信息化發(fā)展現(xiàn)狀進(jìn)行深入和全面的調(diào)研，摸清家底、掌握情況，分析當(dāng)前存在的安全問題和信息化發(fā)展所帶來的安全需求，另一方面要緊緊圍繞信息化規(guī)劃，按照信息化發(fā)展戰(zhàn)略和思路，同步考慮信息安全問題。

3.1.2 建立信息安全體系

信息安全規(guī)劃需要圍繞技術(shù)安全、管理安全、組織安全進(jìn)行全面的考慮，建立相應(yīng)的信息安全體系，確定信息安全的任務(wù)、目標(biāo)、戰(zhàn)略以及人員保障。

3.2 日常安全運(yùn)維保障

3.2.1 關(guān)注互聯(lián)網(wǎng)安全動(dòng)態(tài)

互聯(lián)網(wǎng)的快速發(fā)展使得水務(wù)網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)安全密切相關(guān)。因此，關(guān)注互聯(lián)網(wǎng)安全動(dòng)態(tài)，及時(shí)更新或調(diào)整水務(wù)網(wǎng)絡(luò)安全策略和防護(hù)措施，是日常安全管理工作中的一項(xiàng)重要工作。

3.2.2 安全態(tài)勢分析

網(wǎng)絡(luò)信息安全是一個(gè)動(dòng)態(tài)發(fā)展的過程，固化的安全防護(hù)措施無法持續(xù)確保網(wǎng)絡(luò)環(huán)境安全。定期對(duì)網(wǎng)絡(luò)安全環(huán)境進(jìn)行態(tài)勢分析不僅可以掌握當(dāng)前存在的問題，面臨的風(fēng)險(xiǎn)，而且可以及時(shí)總結(jié)原因，制定改進(jìn)策略。安全態(tài)勢分析主要通過對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備及安全管理工具等策略變更信息、日志信息、安全告警信息等，經(jīng)過統(tǒng)計(jì)和關(guān)聯(lián)分析，綜合評(píng)估網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)，并判斷發(fā)展變化趨勢。

3.2.3 信息安全風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是信息安全管理工作的關(guān)鍵環(huán)節(jié)。通過開展風(fēng)險(xiǎn)評(píng)估工作，可以發(fā)現(xiàn)信息安全存在的主要問題和矛盾，找到解決諸多問題的辦法。安全風(fēng)險(xiǎn)評(píng)估的主要步驟和方法：①確定被評(píng)估的關(guān)鍵信息資產(chǎn)；②通過文檔審閱、脆弱性掃描、本地審計(jì)、人員訪談、現(xiàn)場觀測等方式，獲得評(píng)估范圍內(nèi)主機(jī)、網(wǎng)絡(luò)、應(yīng)用等方面與信息安全相關(guān)的技術(shù)與管理信息；③對(duì)所獲得的信息進(jìn)行綜合分析，鑒別被評(píng)估信息資產(chǎn)存在的安全問題與風(fēng)險(xiǎn)；④從系統(tǒng)脆弱性鑒別、漏洞和威脅分析、現(xiàn)有技術(shù)和管理措施、管理制度等方面，根據(jù)不同風(fēng)險(xiǎn)的優(yōu)先級(jí)，分析、確定管理相應(yīng)風(fēng)險(xiǎn)的控制措施；⑤基于以上分析的結(jié)果，形成相應(yīng)的信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。

3.2.4 應(yīng)急響應(yīng)

應(yīng)急響應(yīng)是信息安全防護(hù)的最后一道防線，其主要目的是盡可能地減小和控制信息安全事件的損失，提供有效的響應(yīng)和恢復(fù)。應(yīng)急響應(yīng)包括事先應(yīng)急準(zhǔn)備和事件發(fā)生后的響應(yīng)措施兩部分。事先應(yīng)急準(zhǔn)備主要包括明確組織指揮體系，預(yù)警及預(yù)防機(jī)制，應(yīng)急響應(yīng)流程，應(yīng)急隊(duì)伍、應(yīng)急設(shè)備、技術(shù)資料、經(jīng)費(fèi)等應(yīng)急保障，定期開展應(yīng)急演練等工作。事件發(fā)生后的應(yīng)急措施包括收集系統(tǒng)特征，檢測病毒、后門等惡意代碼，限制或關(guān)閉網(wǎng)絡(luò)服務(wù)，系統(tǒng)恢復(fù)等工作。這兩方面互相補(bǔ)充，事前應(yīng)急準(zhǔn)備為事件發(fā)生后的響應(yīng)提供指導(dǎo)，事后的響應(yīng)處置進(jìn)一步促進(jìn)事前準(zhǔn)備工作的不斷完善。

3.3 教育培訓(xùn)

人是信息安全工作的核心因素，其知識(shí)結(jié)構(gòu)和應(yīng)用水平將直接影響信息安全保障工作。加強(qiáng)相關(guān)信息安全管理人員的專業(yè)培訓(xùn)，以及開展面向網(wǎng)絡(luò)用戶的信息安全宣傳教育、行為引導(dǎo)等，是提升信息安全專業(yè)化管理水平，提高信息安全意識(shí)，有效避免信息安全問題或失泄密事件發(fā)生的重要工作。

4 總結(jié)

隨著信息化進(jìn)程的加快，信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)越來越多，信息安全管理工作要求也逐步提高。持續(xù)分析、總結(jié)網(wǎng)絡(luò)信息安全管理中存在的問題，并采取針對(duì)性的措施不斷加以改進(jìn)，成為保證水務(wù)信息化戰(zhàn)略實(shí)現(xiàn)、不斷提升水務(wù)部門管理能力和服務(wù)水平的重要基礎(chǔ)保障工作。

主要參考文獻(xiàn)

[1]GB/T 22239-2008，信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[2]GB/T 25058-2010，信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S].

第8篇

2012年的報(bào)告主要內(nèi)容包括引言、戰(zhàn)略指導(dǎo)、對(duì)工業(yè)基礎(chǔ)的“逐行業(yè)、逐層級(jí)”（S2T2）評(píng)估、對(duì)工業(yè)部類的評(píng)估、國防并購、維持工業(yè)能力的計(jì)劃與措施等6部分。本文呈現(xiàn)的是該報(bào)告對(duì)美國國防工業(yè)各領(lǐng)域的評(píng)估。負(fù)責(zé)制造和工業(yè)基礎(chǔ)政策的國防部副部長助理主導(dǎo)評(píng)估與分析，對(duì)以下領(lǐng)域開展了工業(yè)基礎(chǔ)檢查。評(píng)估包括該工業(yè)領(lǐng)域的運(yùn)行狀況、支持該領(lǐng)域的財(cái)務(wù)狀況、對(duì)國防工業(yè)基礎(chǔ)很重要的風(fēng)險(xiǎn)領(lǐng)域或關(guān)鍵問題。

飛機(jī)工業(yè)領(lǐng)域

2011財(cái)年，軍用飛機(jī)銷售和利潤率穩(wěn)健增長，產(chǎn)品和服務(wù)銷售較上年增長4.2%，企業(yè)財(cái)務(wù)健康。但由于F-35開發(fā)項(xiàng)目終止，以及未來年度并無新戰(zhàn)斗機(jī)需求，國防部將降低戰(zhàn)術(shù)飛機(jī)研發(fā)預(yù)算；同時(shí)，飛機(jī)工業(yè)勞動(dòng)力老化，年輕工程師對(duì)該領(lǐng)域興趣減小，關(guān)鍵設(shè)計(jì)能力面臨缺乏與不足。而與之相對(duì)應(yīng)的是，對(duì)無人機(jī)的需求在不斷增長，工業(yè)基礎(chǔ)廣闊、健康、并持續(xù)增長。

主要問題有：①大型鑄件和鍛件供應(yīng)商少，需要的準(zhǔn)備期長，對(duì)能源和原材料價(jià)格、需求周期高度敏感；②高精度軸承供應(yīng)商有限，許多平臺(tái)對(duì)單一產(chǎn)品和單一供應(yīng)商依賴度高。

信息技術(shù)、雷達(dá)與電子戰(zhàn)、指揮、控制、通信與計(jì)算機(jī)領(lǐng)域（IT/C4）

信息技術(shù)工業(yè)仍然保持健康，各類可供選擇的供應(yīng)商眾多。由于防務(wù)公司和商業(yè)公司的技術(shù)技能并無實(shí)質(zhì)性差異，國防部對(duì)商業(yè)公司（尤其低層的供應(yīng)商）的依賴逐年增加。建模與仿真是“逐行業(yè)、逐層級(jí)”評(píng)估關(guān)注的焦點(diǎn)，目前該領(lǐng)域運(yùn)行健康，有能力滿足當(dāng)前與未來需求。指揮、控制、通信與計(jì)算機(jī)工業(yè)存在大量具有設(shè)計(jì)與生產(chǎn)資格的供應(yīng)商，有健康的全球商用電子工業(yè)作為支持。

主要問題包括：①雷達(dá)與電子戰(zhàn)工業(yè)整體狀況可維持，但基礎(chǔ)較為薄弱，一些關(guān)鍵技術(shù)難以民用；②C4工業(yè)基礎(chǔ)的全球化和商業(yè)化特性導(dǎo)致供應(yīng)鏈管理和防止假冒偽劣等方面易發(fā)生問題；③國防部通信主要依賴商業(yè)網(wǎng)絡(luò)，國內(nèi)只有一家第一層級(jí)電信設(shè)備供應(yīng)商和少數(shù)第二層級(jí)供應(yīng)商。

服務(wù)保障工業(yè)領(lǐng)域

服務(wù)保障工業(yè)組織簡單，只有主承包商和分包商兩個(gè)層級(jí)，每個(gè)層級(jí)都有相當(dāng)多的勞動(dòng)力群體。主承包商通過一個(gè)或多個(gè)分包商獲得專業(yè)化技能。由于幾乎所有需求都有多樣的、高度競爭的、有經(jīng)驗(yàn)的供應(yīng)源，因此服務(wù)保障工業(yè)保持相對(duì)健康。

主要問題為：復(fù)雜武器系統(tǒng)設(shè)計(jì)人員不足。

網(wǎng)絡(luò)電磁工業(yè)領(lǐng)域

網(wǎng)絡(luò)電磁工業(yè)是信息和通信技術(shù)（ICT）工業(yè)的一部分，但由于其在國家安全中的特殊地位，新版《年度工業(yè)能力評(píng)估報(bào)告》將其從傳統(tǒng)的IT/C4工業(yè)中單列出來。通過評(píng)估發(fā)現(xiàn)，在網(wǎng)絡(luò)電磁領(lǐng)域，美國存在著各種層面的競爭對(duì)手，不過基于ICT工業(yè)的全球性特征，美國商用ICT工業(yè)無需在規(guī)?；蚰晔杖肷蠅旱垢偁帉?duì)手，而是要著眼于保持領(lǐng)先地位。

主要問題包括：①網(wǎng)絡(luò)電磁安全人才相對(duì)不足，對(duì)工業(yè)基礎(chǔ)的支撐不夠堅(jiān)實(shí)；②國防工業(yè)基礎(chǔ)網(wǎng)絡(luò)安全方面，要滿足“國防聯(lián)邦采辦條例”補(bǔ)充規(guī)定（DFARS）的要求，將額外增加工業(yè)基礎(chǔ)投入。

戰(zhàn)車工業(yè)領(lǐng)域

戰(zhàn)車工業(yè)對(duì)美國在伊拉克和阿富汗戰(zhàn)爭中的行動(dòng)提供了有力支撐，具有較好的應(yīng)急能力。2012年新版戰(zhàn)略指南預(yù)計(jì)國防開支減少和軍事力量更趨精簡靈巧，取代了既要保持戰(zhàn)車數(shù)量又要開發(fā)新型陸地戰(zhàn)車的傳統(tǒng)思路。

主要問題有：①隨著陸地戰(zhàn)車采購量下降，僅生產(chǎn)軍用車輛的供應(yīng)商的承受能力要差于生產(chǎn)軍民兩用車輛的供應(yīng)商；②中小供應(yīng)商抵御風(fēng)險(xiǎn)的能力不足，應(yīng)保障其具有專業(yè)人才、技能和設(shè)計(jì)研發(fā)新一代產(chǎn)品的能力。

材料工業(yè)領(lǐng)域

用于制造中間產(chǎn)品和最終產(chǎn)品的原材料及供應(yīng)鏈對(duì)于國家制造基礎(chǔ)、整體經(jīng)濟(jì)和國家安全是不可或缺的。原材料供應(yīng)鏈通常依賴于國際貿(mào)易，國防工業(yè)基礎(chǔ)對(duì)原材料的需求占美國整體需求的比例有限，大部分還是集中在商業(yè)領(lǐng)域。因而，保持國防工業(yè)基礎(chǔ)健康發(fā)展必須有充滿活力的商業(yè)制造基礎(chǔ)。美國國防部采取了一系列措施，評(píng)估原材料供應(yīng)鏈為作戰(zhàn)人員提供可靠和經(jīng)濟(jì)的產(chǎn)品的能力。

主要問題為：國際市場存在出口管制等行為，導(dǎo)致稀土等原材料供應(yīng)受到影響。

彈藥和導(dǎo)彈工業(yè)領(lǐng)域

彈藥和導(dǎo)彈工業(yè)是國防工業(yè)的基礎(chǔ)行業(yè)。該領(lǐng)域存在較為明顯的周期性，在沖突時(shí)產(chǎn)量驟增，在沖突結(jié)束后銳減。這種周期性，要求主承包商對(duì)分承包商具有良好的產(chǎn)量管理能力。

問題主要有：（1）洛?馬公司和雷聲公司占據(jù)85%的市場份額，兩大公司的分承包商之間競爭不足；（2）預(yù)算增加，但是研發(fā)和采辦投入可能下降，從而導(dǎo)致維持設(shè)計(jì)和工程團(tuán)隊(duì)存在困難；（3）主承包商維持關(guān)鍵的分承包商工業(yè)基礎(chǔ)面臨挑戰(zhàn)。

艦船工業(yè)領(lǐng)域

艦船工業(yè)總體保持穩(wěn)定，主要船廠和承包商財(cái)務(wù)狀況良好。艦船工業(yè)部門出現(xiàn)數(shù)起并購重組，如諾?格集團(tuán)分拆艦船業(yè)務(wù)，通用動(dòng)力決定收購康弗蒂姆公司；主減速齒輪、軍用閥門等低層級(jí)行業(yè)也存在并購事件。

主要問題有：①無大型中速柴油機(jī)制造商，只能以許可證的方式生產(chǎn)；②大型鑄件供應(yīng)商短缺；③大型鍛壓（尤其是1.4萬～5萬噸）行業(yè)存在不足，僅有一家超大型鍛壓制造商可制造推進(jìn)軸及核反應(yīng)堆安全殼等關(guān)鍵組件。

航天工業(yè)領(lǐng)域

優(yōu)秀范文