網(wǎng)絡(luò)信息安全評(píng)估精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)信息安全評(píng)估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)信息安全評(píng)估范文

1、網(wǎng)絡(luò)安全評(píng)估現(xiàn)狀

1. 1 傳統(tǒng)的評(píng)估方法

傳統(tǒng)網(wǎng)絡(luò)安全檢查和評(píng)估方法主要以人工的方式進(jìn)行,評(píng)估的方法有下列幾種:

(1) 通過(guò)查看網(wǎng)管信息,了解網(wǎng)絡(luò)的連通性,獲取網(wǎng)絡(luò)流量、負(fù)荷等信息;(2) 通過(guò)登入網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)配置和動(dòng)態(tài)性能參數(shù)進(jìn)行查看,并人工確認(rèn)信息的正確性;(3) 查看網(wǎng)絡(luò)日志發(fā)現(xiàn)網(wǎng)絡(luò)存在的隱患.

1. 2 存在的主要問(wèn)題

傳統(tǒng)的網(wǎng)絡(luò)安全檢查和評(píng)估方法存在以下不足:(1) 檢查過(guò)程比較繁瑣,加大了工作人員的工作量,容易產(chǎn)生漏查、錯(cuò)查等情況,達(dá)不到全面檢查的效果;(2) 對(duì)檢查人員技能要求較高,檢查人員需要具有較強(qiáng)的專業(yè)知識(shí),熟悉設(shè)備的操作方法;(3) 需要反復(fù)輸入命令,造成時(shí)間的浪費(fèi),工作效率低下;(4) 無(wú)法對(duì)所檢查的信息進(jìn)行整理和保存,不利于障礙的排除和后期的查看.

2、解決方案

本項(xiàng)目以網(wǎng)絡(luò)管理的實(shí)際工作為出發(fā)點(diǎn),緊跟現(xiàn)代信息技術(shù)的步伐,利用 Java 技術(shù),建立客戶端/服務(wù)器(C/S) 的界面,根據(jù)日常維護(hù)的具體要求,實(shí)現(xiàn)靜態(tài)數(shù)據(jù)分析、動(dòng)態(tài)性能參數(shù)檢查等功能,并且針對(duì)不同網(wǎng)絡(luò)設(shè)備可以按要求自主設(shè)置檢查模板,同時(shí)具備導(dǎo)出相應(yīng)分析報(bào)告的功能.

2. 1 設(shè)計(jì)思路

采用 Java + Swing 技術(shù),開(kāi)發(fā)客戶端操作界面,具備靜態(tài)數(shù)據(jù)分析和動(dòng)態(tài)數(shù)據(jù)分析等功能的操作界面; 在總結(jié)、歸納大量的配置檢查規(guī)則的基礎(chǔ)上,設(shè)計(jì)多個(gè)規(guī)則模版,確保檢查的正確性.

2. 2 技術(shù)架構(gòu)和原理分析

采用 Java 語(yǔ)言來(lái)開(kāi)發(fā)系統(tǒng)軟件,使用 C /S 架構(gòu)來(lái)搭建系統(tǒng)程序,可以方便操作人員使用.[7](1) 硬件結(jié)構(gòu) 包括交換機(jī)、局域網(wǎng)內(nèi)的 PC機(jī)客戶端. PC 機(jī)建議配置: CPU 為 P4 2. 6 GHz 及以上,內(nèi)存為 512 M 及以上.(2) 應(yīng)用軟件 Minitool; 編程語(yǔ)言為 Java和 xml.(3) 開(kāi)發(fā)工具 myeclipse6. 5; 操作系統(tǒng)為Window s 2003.具體技術(shù)架構(gòu)如圖 1 所示.

(1) 靜態(tài)分析 利用 I/O 工作流對(duì)已經(jīng)生成的信息文件進(jìn)行讀取,并利用已設(shè)定的分析規(guī)則對(duì)文件進(jìn)行檢查,在程序中顯示檢查的具體內(nèi)容和正確性,根據(jù)需要手動(dòng)導(dǎo)出結(jié)果報(bào)告. 靜態(tài)分析流程如圖 2 所示.

(2) 動(dòng)態(tài)分析 采用多線程連接終端設(shè)備,在程序中顯示設(shè)備的連接狀況和運(yùn)行狀況,可以手動(dòng)停止程序的運(yùn)行,其中包括連接測(cè)試和分析兩個(gè)主要功能. 連接測(cè)試是指對(duì)每個(gè)設(shè)備進(jìn)行連接,測(cè)試結(jié)束后制定目錄自動(dòng)生成測(cè)試結(jié)果; 分析是指在測(cè)試完成后對(duì)每個(gè)設(shè)備的制定規(guī)則進(jìn)行分析,并在結(jié)束后導(dǎo)出分析結(jié)果. 動(dòng)態(tài)分析流程如圖3 所示.

(3) 制定規(guī)則 操作員可以在該功能中指定檢查項(xiàng)目名稱和檢查要求,并對(duì)每個(gè)檢查要求的具體操作規(guī)則進(jìn)行添加,將其保存在已經(jīng)創(chuàng)建好的 xml 文件中,也可指定 xml 文件對(duì)其內(nèi)容進(jìn)行增、刪、改、查;(4) 模板管理 利用可視化界面對(duì)保存在特定文件夾下面的配置文件進(jìn)行創(chuàng)建和刪除的操作.3、 程序功能及界面簡(jiǎn)介。

靜態(tài)分析是對(duì)已經(jīng)導(dǎo)出為 txt 文件格式的設(shè)備信息進(jìn)行分析,通過(guò)導(dǎo)入設(shè)備信息文件選擇相應(yīng)的檢查模板,點(diǎn)擊開(kāi)始按鈕即可自動(dòng)檢測(cè)信息文件的安全程度,并動(dòng)態(tài)地顯示在輸出框內(nèi),如圖 4 所示. 其右上角用儀表盤(pán)形象化地顯示了評(píng)估分?jǐn)?shù),目的是檢查現(xiàn)有設(shè)備的信息安全程度.通過(guò)圖 4 的導(dǎo)出按鈕可以將分析完成的結(jié)果導(dǎo)入 Excel 文件中,可方便查看打印或者保存,如圖 5 所示.動(dòng)態(tài)分析是利用遠(yuǎn)程登入方式(ssh 或者telnet) 對(duì)設(shè)備進(jìn)行實(shí)時(shí)的連接和分析,輸入文件可以選擇事先預(yù)設(shè)好的遠(yuǎn)程設(shè)備、用戶名密碼等信息的文件,輸出路徑可以選擇分析結(jié)果數(shù)據(jù)保存的位置,然后選擇連接模式和分析模板對(duì)設(shè)備進(jìn)行動(dòng)態(tài)分析,其目的是可以實(shí)時(shí)地連接遠(yuǎn)程設(shè)備,并通過(guò)預(yù)設(shè)的條件對(duì)其進(jìn)行安全評(píng)估.

針對(duì)某一個(gè)具體模板中各種檢查項(xiàng)的操作,則可以選中檢查項(xiàng),按刪除檢查項(xiàng)按鈕進(jìn)行刪除,也可以對(duì)具體檢查項(xiàng)內(nèi)容進(jìn)行設(shè)置,如設(shè)置項(xiàng)目名稱、要求等,并且可以選擇添加至某個(gè)模板. 對(duì)具體檢查項(xiàng)可以進(jìn)行添加、重置、撤銷和更新操作: 添加是向檢查項(xiàng)中加入一則新的規(guī)則; 重置是對(duì)當(dāng)前檢查項(xiàng)進(jìn)行清除; 撤銷是消除最后添加的規(guī)則; 而更新是對(duì)修改完的檢查項(xiàng)進(jìn)行更新,其目的是為了增、刪、改具體的檢查條目,并添加至相應(yīng)的檢查模板.4、 系統(tǒng)比較。

傳統(tǒng)的安全評(píng)估方法: 大都是人工對(duì)設(shè)備進(jìn)行信息安全評(píng)估; 檢查模板較少,只能進(jìn)行少部分的信息檢查; 檢測(cè)內(nèi)容不夠靈活,導(dǎo)致錯(cuò)誤評(píng)估的出現(xiàn).本系統(tǒng)在總結(jié)傳統(tǒng)的安全評(píng)估方法不足基礎(chǔ)上,進(jìn)行完善和創(chuàng)新. 本系統(tǒng)主要對(duì)模板的設(shè)計(jì)和制定進(jìn)行了多方面創(chuàng)新. 首先,可以對(duì)某一類的檢查進(jìn)行歸納,例如設(shè)備 CPU 的運(yùn)行狀況、溫度的高低等,都可以歸在同一類模板中,系統(tǒng)對(duì)創(chuàng)建的模板進(jìn)行保存,便于下次直接調(diào)用. 其次,在傳統(tǒng)的軟件中,有些自動(dòng)檢查內(nèi)容不夠靈活,碰到特殊的情況,會(huì)檢測(cè)不到所需要的信息,甚至?xí)e(cuò)誤地反饋信息. 例如要檢測(cè)端口信息,只要檢測(cè)其中打開(kāi)的端口,而對(duì)于關(guān)閉的端口就不必檢測(cè),這在一般的評(píng)估軟件中很難判斷哪些端口是關(guān)閉的. 本系統(tǒng)針對(duì)這些情況,對(duì)檢查的內(nèi)容進(jìn)行分步操作,利用 Java 字符串可拼接的特點(diǎn)對(duì)每條檢查內(nèi)容進(jìn)行分割,提取其中的關(guān)鍵字符串,并對(duì)其前后進(jìn)行限制,使其成為一個(gè)基本的、唯一的關(guān)鍵字符串. 這些由多個(gè)關(guān)鍵字步驟組成的完整的檢查項(xiàng)目可以大大地提高準(zhǔn)確率,而且添加關(guān)鍵字組成的檢查條目可以靈活地確定所要檢查的內(nèi)容,去除不必要的選項(xiàng). 最后,本系統(tǒng)通過(guò) C /S 界面的方式可以形象化地對(duì)各個(gè)模板及其檢查項(xiàng)目進(jìn)行添加、刪除、修改等操作,并為每個(gè)檢查條目設(shè)定分值,以便在導(dǎo)出報(bào)告和靜態(tài)分析中更好地確定評(píng)估結(jié)果.本系統(tǒng)的特點(diǎn)如下:(1) 圖形化操作,方便簡(jiǎn)單;(2) 采用多線程技術(shù),可以同時(shí)交替進(jìn)行多個(gè)流程,提高了流暢性;(3) 運(yùn)用 xml 技術(shù),對(duì)程序配置進(jìn)行了保存,使操作更加簡(jiǎn)便;(4) 使用 ssh 和 telnet 技術(shù),實(shí)現(xiàn)了遠(yuǎn)程登入;(5) 生成日志文件,方便系統(tǒng)異常查看;(6) 數(shù)據(jù)自動(dòng)分析,減少了工作量,提高了維護(hù)的準(zhǔn)確性和安全性.

第2篇：網(wǎng)絡(luò)信息安全評(píng)估范文

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；脆弱性；威脅

一、前言

隨著信息技術(shù)的飛速發(fā)展，信息系統(tǒng)依賴程度日益增強(qiáng)，采用風(fēng)險(xiǎn)管理的理念去識(shí)別安全風(fēng)險(xiǎn)，解決信息安全問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用。信息系統(tǒng)主要分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以防范和化解風(fēng)險(xiǎn)。

二、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析

“網(wǎng)絡(luò)信息的安全”從狹義的字面上來(lái)講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲(chǔ)、傳輸?shù)仁褂眠^(guò)程的安全。網(wǎng)絡(luò)信息安全具有如下5個(gè)特征：

1、保密性：即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。

2、完整性：即信息未經(jīng)授權(quán)不能被修改、破壞。

3、可用性：即能保證合法的用戶正常訪問(wèn)相關(guān)的信息。

4、可控性：即信息的內(nèi)容及傳播過(guò)程能夠被有效地合法控制。

5、可審查性：即信息的使用過(guò)程都有相關(guān)的記錄可供事后查詢核對(duì)。

網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問(wèn)題的復(fù)雜性。而通過(guò)有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析，就能夠?yàn)榇藦?fù)雜問(wèn)題的解決找到一個(gè)考慮問(wèn)題的立足點(diǎn)，能夠?qū)?fù)雜的問(wèn)題量化，同時(shí)，也為能通過(guò)其他方法如人工智能網(wǎng)絡(luò)方法解決問(wèn)題提供依據(jù)和基礎(chǔ)，網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類：

1、自然界因素，如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等；

2、社會(huì)因素，主要是人類社會(huì)的各種活動(dòng)，如暴力、戰(zhàn)爭(zhēng)、盜竊等；

3、網(wǎng)絡(luò)硬件的因素，如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；

4、軟件的因素，包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫(kù)配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；

5、人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來(lái)的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等；

6、其他因素，包括政府職能部門(mén)的監(jiān)管因素、有關(guān)部門(mén)對(duì)相關(guān)法律法規(guī)立法因素、教育部門(mén)對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門(mén)對(duì)相關(guān)安全內(nèi)容的宣傳因素等。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響。

三、目前網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估工作中急需解決的問(wèn)題

信息系統(tǒng)涉及社會(huì)經(jīng)濟(jì)方方面面，在政務(wù)和商務(wù)領(lǐng)域發(fā)揮了重要作用，信息安全問(wèn)題不單是一個(gè)局部性和技術(shù)性問(wèn)題，而是一個(gè)跨領(lǐng)域、跨行業(yè)、跨部門(mén)的綜合性安全問(wèn)題。據(jù)統(tǒng)計(jì)，某省會(huì)城市各大機(jī)關(guān)、企事業(yè)單位中，有10%的單位出現(xiàn)過(guò)信息系統(tǒng)不穩(wěn)定運(yùn)行情況；有30%的單位出現(xiàn)過(guò)來(lái)自網(wǎng)絡(luò)、非法入侵等方面的攻擊；出現(xiàn)過(guò)信息安全問(wèn)題的單位比例高達(dá)86%！缺少信息安全建設(shè)專項(xiàng)資金，信息安全專業(yè)人才缺乏，應(yīng)急響應(yīng)體系和信息安全測(cè)評(píng)機(jī)構(gòu)尚未組建，存在著“重建設(shè)、輕管理，重應(yīng)用、輕安全”的現(xiàn)象，已成為亟待解決的問(wèn)題。

各部門(mén)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的重視程度與其信息化水平呈現(xiàn)正比，即信息化水平越高，對(duì)風(fēng)險(xiǎn)評(píng)估越重視。然而，由于地區(qū)差異和行業(yè)發(fā)展不平衡，各部門(mén)重視風(fēng)險(xiǎn)評(píng)估的一個(gè)重要原因是“安全事件驅(qū)動(dòng)”，即“不出事不重視”，真正做到“未雨綢繆”的少之又少。目前我國(guó)信息安全體系還未健全和完善，真正意義上的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估尚待成熟。有的部門(mén)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估還停留在傳達(dá)一下文件、出具一個(gè)報(bào)告、安排一場(chǎng)測(cè)試，由于評(píng)估單位在評(píng)估資質(zhì)、評(píng)估標(biāo)準(zhǔn)、評(píng)估方法等方面還不夠規(guī)范和統(tǒng)一，甚至出現(xiàn)對(duì)同一個(gè)信息系統(tǒng)，不同評(píng)估單位得出不同評(píng)估結(jié)論的案例。

四、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估解決措施

1、確診風(fēng)險(xiǎn)，對(duì)癥下藥

信息系統(tǒng)風(fēng)險(xiǎn)是客觀存在的，也是可以被感知和認(rèn)識(shí)從而進(jìn)行科學(xué)管理的。信息系統(tǒng)面臨的風(fēng)險(xiǎn)是什么、有多大，應(yīng)該采取什么樣的措施去減少、化解和規(guī)避風(fēng)險(xiǎn)？就像人的軀體有健康和疾病，設(shè)備狀況有正常和故障，糧食質(zhì)量有營(yíng)養(yǎng)和變質(zhì)，如何確認(rèn)信息系統(tǒng)的狀態(tài)和發(fā)現(xiàn)信息系統(tǒng)存在的風(fēng)險(xiǎn)和面臨的威脅，就需要進(jìn)行風(fēng)險(xiǎn)評(píng)估。

2、夯實(shí)安全根基，鞏固信息大廈

信息系統(tǒng)建設(shè)之初就存在安全問(wèn)題，好比高樓大廈建在流沙之上，地基不固，樓建的越高倒塌的風(fēng)險(xiǎn)就越大。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)這座高樓大廈的安全根基，它可以幫助信息系統(tǒng)管理者了解潛在威脅，合理利用現(xiàn)有資源開(kāi)展規(guī)劃建設(shè)，讓信息系統(tǒng)安全“贏在起跑線上”。風(fēng)險(xiǎn)評(píng)估還可以為信息系統(tǒng)建設(shè)者節(jié)省信息系統(tǒng)建設(shè)總體投資，達(dá)到“以最小成本獲得最大安全保障”的效果。

3、尋求適度安全和建設(shè)成本的最佳平衡點(diǎn)

安全是相對(duì)的，成本是有限的。在市場(chǎng)經(jīng)濟(jì)高度發(fā)達(dá)的今天，信息系統(tǒng)建設(shè)要達(dá)到預(yù)期經(jīng)濟(jì)效益和社會(huì)效益，就不能脫離實(shí)際地追求“零風(fēng)險(xiǎn)”和絕對(duì)安全。風(fēng)險(xiǎn)評(píng)估為管理者算了一筆經(jīng)濟(jì)賬，讓我們認(rèn)清信息系統(tǒng)面臨的威脅和風(fēng)險(xiǎn)，在此基礎(chǔ)上決定哪些風(fēng)險(xiǎn)必須規(guī)避，哪些風(fēng)險(xiǎn)可以容忍，以便在潛在風(fēng)險(xiǎn)損失與建設(shè)管理成本之間尋求一個(gè)最佳平衡點(diǎn)，力求達(dá)到預(yù)期效益的最大化。

4、既要借鑒先進(jìn)經(jīng)驗(yàn)，又要重視預(yù)警防范

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化。建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)，要有自己的技術(shù)，有過(guò)硬的技術(shù)。風(fēng)險(xiǎn)評(píng)估是信息化發(fā)達(dá)國(guó)家的重要經(jīng)驗(yàn)。目前我們的信息化在某些關(guān)鍵技術(shù)、關(guān)鍵設(shè)備上還受制于人?！八街笨蔀槲宜?，亦須知其鋒芒與瑕疵，加強(qiáng)預(yù)警防范與借鑒先進(jìn)技術(shù)同樣重要。

五、結(jié)束語(yǔ)

綜上所述，本文主要對(duì)信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了分析和探究，在今天高速的信息化環(huán)境中，信息的安全性越發(fā)顯示出其重要性，風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)基礎(chǔ)，通過(guò)風(fēng)險(xiǎn)評(píng)估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案。所以要加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。

參考文獻(xiàn)：

[1]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，信息安全技術(shù)一信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，2007年

第3篇：網(wǎng)絡(luò)信息安全評(píng)估范文

關(guān)鍵詞：信息安全管理；風(fēng)險(xiǎn)評(píng)估；監(jiān)控

中圖分類號(hào)：TP393.08

信息是現(xiàn)代社會(huì)中不可缺少的一項(xiàng)重要元素，尤其是在商業(yè)活動(dòng)中，信息已經(jīng)成為市場(chǎng)競(jìng)爭(zhēng)的重要手段，因此對(duì)信息安全的管理在商業(yè)活動(dòng)中顯得尤為重要。信息安全管理體系（Information Security Management System，簡(jiǎn)稱為ISMS），是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。

1 信息安全的風(fēng)險(xiǎn)評(píng)估與策略

1.1 信息安全的風(fēng)險(xiǎn)評(píng)估

信息安全管理屬于風(fēng)險(xiǎn)管理，即如何在一個(gè)確定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過(guò)程。因此，管理的核心要素就是對(duì)風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確識(shí)別和有效的評(píng)估，通過(guò)對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估可以獲得安全管理的需求，幫助組織制定出最佳的信息安全管理策略，并且將風(fēng)險(xiǎn)控制在可承受的范圍之內(nèi)。一個(gè)科學(xué)、合理的信息安全風(fēng)險(xiǎn)評(píng)估策略應(yīng)該具有形影的標(biāo)準(zhǔn)體系、技術(shù)措施、組織框架以及法律法規(guī)。

1.2 信息安全策略

信息安全策略（Information Security Policy）是一個(gè)組織機(jī)構(gòu)中解決信息安全問(wèn)題的重要組成部分。在一個(gè)組織內(nèi)部，通常是由技術(shù)管理者指定信息安全策略，如果是一個(gè)較為龐大的組織，制定信息安全策略的則可能是一個(gè)技術(shù)團(tuán)隊(duì)。信息安全策略是基于風(fēng)險(xiǎn)評(píng)估結(jié)果以保護(hù)組織的信息資產(chǎn)。信息安全策略對(duì)訪問(wèn)組織的不同資產(chǎn)進(jìn)行權(quán)限設(shè)定，它是組織管理人員在建立、使用和審計(jì)信息系統(tǒng)時(shí)的信息來(lái)源。

信息安全策略具有非常廣泛的應(yīng)用范圍，在其基礎(chǔ)上做出的安全決定需要提供一個(gè)較高層次的原則性觀點(diǎn)。一個(gè)組織的信息安全策略能夠反映出一個(gè)組織對(duì)現(xiàn)實(shí)和未來(lái)安全風(fēng)險(xiǎn)的認(rèn)識(shí)水平，對(duì)于組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險(xiǎn)的處理。信息俺去那策略的制定同時(shí)還需要參考相關(guān)標(biāo)準(zhǔn)文本和安全管理的經(jīng)驗(yàn)。

1.3 信息安全管理措施

信息加密技術(shù)是網(wǎng)絡(luò)安全管理的核心問(wèn)題，通過(guò)對(duì)網(wǎng)絡(luò)傳輸?shù)男畔①Y源進(jìn)行加密，以確保傳遞過(guò)程中的安全性和可靠性。用戶通過(guò)互聯(lián)網(wǎng)進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)，應(yīng)該能夠控制訪問(wèn)屬于自己的數(shù)據(jù)的訪問(wèn)者身份，并且可以對(duì)訪問(wèn)者的訪問(wèn)情況進(jìn)行審核。這種訪問(wèn)權(quán)限的控制，需要開(kāi)發(fā)相應(yīng)的權(quán)限控制程度，以作為安全防范措施使用。

用戶在對(duì)云計(jì)算網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行存儲(chǔ)時(shí)，其他用戶及云服務(wù)提供商在未被所有者允許的情況下不得對(duì)數(shù)據(jù)進(jìn)行查看及更改。這需要將數(shù)據(jù)在網(wǎng)絡(luò)存儲(chǔ)時(shí)，對(duì)其他用戶實(shí)行存儲(chǔ)隔離措施，同時(shí)對(duì)服務(wù)提供商實(shí)行存儲(chǔ)加密和文件系統(tǒng)的加密措施。鑒于云平臺(tái)的搭建多數(shù)基于商業(yè)方面，因此用戶的數(shù)據(jù)在基于云計(jì)算的網(wǎng)絡(luò)上進(jìn)行傳輸時(shí)要具有極高的保密性，包括在計(jì)算中心的內(nèi)部網(wǎng)絡(luò)和開(kāi)放互聯(lián)網(wǎng)絡(luò)上。所以，應(yīng)該對(duì)所傳輸?shù)臄?shù)據(jù)信息在傳輸層進(jìn)行加密（HTTPS、VPN和SSL等），對(duì)服務(wù)提供商進(jìn)行網(wǎng)絡(luò)加密。由于基于云計(jì)算的網(wǎng)絡(luò)的數(shù)據(jù)重要性，為了防止各種數(shù)據(jù)毀滅性災(zāi)難和突發(fā)性事件，進(jìn)行按期定時(shí)的數(shù)據(jù)備份，使用數(shù)據(jù)庫(kù)鏡像策略和分布式存儲(chǔ)策略等，是確保網(wǎng)絡(luò)信息安全的一系列防范措施。

病毒對(duì)互聯(lián)網(wǎng)的安全威脅最為嚴(yán)重，主要可以通過(guò)病毒防御技術(shù)提升信息管理安全性。病毒是利用計(jì)算機(jī)軟硬件系統(tǒng)的缺陷，在原本正常運(yùn)行的程序中插入的一段能夠破壞計(jì)算機(jī)或數(shù)據(jù)的指令或代碼段，從而在執(zhí)行時(shí)影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)作而不易被人察覺(jué)，對(duì)計(jì)算機(jī)及信息安全的威脅最大。針對(duì)日益猖獗的計(jì)算機(jī)病毒，選擇一款適合系統(tǒng)使用環(huán)境的反病毒軟件顯得尤為重要，發(fā)現(xiàn)病毒侵入應(yīng)該及時(shí)查殺，同時(shí)要注意按時(shí)地更新病毒庫(kù)，并升級(jí)反病毒軟件版本。在殺毒的同時(shí)做好預(yù)防工作是最為行之有效的措施。防火墻是設(shè)置在不同類型網(wǎng)絡(luò)間的一系列硬件和軟件的集合，旨在控制不同網(wǎng)絡(luò)間的訪問(wèn)、拒絕外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)資源的非法訪問(wèn)，保證通過(guò)防火墻的數(shù)據(jù)包符合預(yù)設(shè)的安全策略，從而確保了網(wǎng)絡(luò)信息的服務(wù)安全。

入侵檢測(cè)作為防火墻技術(shù)的補(bǔ)充手段，是對(duì)成功繞過(guò)防火墻限制而入侵內(nèi)部網(wǎng)絡(luò)系統(tǒng)的行為進(jìn)行技術(shù)攻防的策略。其實(shí)質(zhì)是在不損耗網(wǎng)絡(luò)性能的前提下進(jìn)行監(jiān)聽(tīng)分析用戶系統(tǒng)活動(dòng)和違反安全策略的行為，對(duì)已威脅網(wǎng)絡(luò)安全的入侵行為識(shí)別并發(fā)出警報(bào)，同時(shí)生成異常行為分析，評(píng)估入侵行為帶來(lái)的損害程度。

目前，利用防火墻和入侵檢測(cè)相結(jié)合的方式，是防護(hù)網(wǎng)絡(luò)、拒絕外部網(wǎng)絡(luò)攻擊的最有效手段之一。任何一個(gè)系統(tǒng)都會(huì)存在安全漏洞，這包含已知的和未知的在應(yīng)用軟件和操作系統(tǒng)兩方面上的安全漏洞。在進(jìn)行漏洞掃描時(shí)，可以及時(shí)系統(tǒng)和網(wǎng)絡(luò)存在的安全漏洞，并打上漏洞補(bǔ)丁，進(jìn)行主動(dòng)防御。在使用時(shí)可以將漏洞掃描與防火墻技術(shù)、入侵檢測(cè)技術(shù)三者相結(jié)合，形成網(wǎng)絡(luò)安全防范和防御的“黃金三角”。數(shù)據(jù)加密分為對(duì)稱性和非對(duì)稱性加密兩種，是在發(fā)送端以某種算法將數(shù)據(jù)明文轉(zhuǎn)換成密文，在接收端以密鑰進(jìn)行解密，從而保證信息在網(wǎng)絡(luò)存儲(chǔ)和傳輸?shù)倪^(guò)程中都是保密的，并且對(duì)網(wǎng)絡(luò)環(huán)境沒(méi)有任何特別的要求和限制。數(shù)據(jù)加密技術(shù)與防火墻技術(shù)相比較，對(duì)于信息安全的防護(hù)作用是全局性的，也是最后一道防線。

系統(tǒng)備份和數(shù)據(jù)恢復(fù)，是指對(duì)系統(tǒng)的重要核心數(shù)據(jù)和資料進(jìn)行備份，當(dāng)切防范和防御技術(shù)都失效并且計(jì)算機(jī)網(wǎng)絡(luò)遭到黑客攻擊時(shí)，能夠?qū)ο到y(tǒng)實(shí)施立即恢復(fù)的手段，這也是保證信息安全的挽救措施。除了以上所提及的技術(shù)性手段之外，大力開(kāi)展信息安全教育和完善相關(guān)法律法規(guī)作為人為防范措施也不容被忽視。近年來(lái)，信息安全威脅之一的網(wǎng)絡(luò)欺騙就是因?yàn)楫?dāng)事人的信息安全意識(shí)淡薄和相關(guān)的調(diào)查取證困難造成的。因此，有必要做出改善措施，與技術(shù)手段相結(jié)合對(duì)信息安全發(fā)揮行之有效的影響。

2 結(jié)束語(yǔ)

綜上所述，隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和高密度存儲(chǔ)技術(shù)的發(fā)展，電子信息化進(jìn)程在各個(gè)領(lǐng)域中得到了廣泛推廣和不斷深入研究。結(jié)合當(dāng)今社會(huì)的信息量爆炸式的增長(zhǎng)情況，以及現(xiàn)階段的研究成果得出結(jié)論，當(dāng)今電子信息工程的安全問(wèn)題和信息的有效利用問(wèn)題仍將為研究的重點(diǎn)。本文重點(diǎn)研究了信息安全管理體系，根據(jù)信息安全管理的標(biāo)準(zhǔn)以及信息安全風(fēng)險(xiǎn)的特征，提出了一些具有針對(duì)性的信息安全管理措施，以實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的有效評(píng)估和準(zhǔn)確預(yù)測(cè)，危險(xiǎn)性安全管理體系的實(shí)施提供重要保證。

參考文獻(xiàn)：

[1]張健.電子文件信息安全管理評(píng)估體系研究[J].檔案學(xué)通訊，2011，4.

[2]馬曉珺，趙哲.電子商務(wù)信息安全管理體系研究[J].安陽(yáng)市師范學(xué)院學(xué)報(bào)，2008，2.

[3]劉曉紅.信息安全管理體系認(rèn)證及認(rèn)可[J].認(rèn)證技術(shù)，2011，5.

[4]喬甜.基于全員參與的信息安全管理體系研究[J].科技致富向?qū)В?013，6.

[5]王新輝，張建，李偉濤.基于生命周期分析信息安全管理體系[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，3.

第4篇：網(wǎng)絡(luò)信息安全評(píng)估范文

網(wǎng)絡(luò)的出現(xiàn)使人類的生活方式發(fā)生了巨大的變化，使人類的生活更為便捷，更為舒適。另外互聯(lián)網(wǎng)的出現(xiàn)還提高了信息傳輸速度，擴(kuò)大了信息傳輸范圍，但我們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的信息傳遞的便利的同時(shí)，必須注意網(wǎng)絡(luò)信息安全，防范網(wǎng)絡(luò)詐騙，增強(qiáng)網(wǎng)絡(luò)信息安全意識(shí)，做好網(wǎng)絡(luò)信息保密工作，避免發(fā)生信息泄露事件?；诖?，本文主要從內(nèi)網(wǎng)和外網(wǎng)兩個(gè)方面對(duì)網(wǎng)絡(luò)信息保密技術(shù)進(jìn)行研究。

關(guān)鍵詞：

信息安全；互聯(lián)網(wǎng)；保密技術(shù)

0引言

在當(dāng)前信息社會(huì)中，如何確保信息傳輸?shù)陌踩呀?jīng)成為人們關(guān)注的焦點(diǎn)。為了避免信息非法竊取事件的發(fā)生，人們必須要具有強(qiáng)烈的信息安全意識(shí)，掌握基本的網(wǎng)絡(luò)信息保密技術(shù)，做好信息傳輸?shù)谋Ｃ芄ぷ鳎瑥亩_保信息傳輸安全。當(dāng)前比較常見(jiàn)的兩種網(wǎng)絡(luò)信息保密技術(shù)為：（1）內(nèi)網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)；（2）外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)，本論文將從這兩個(gè)方面展開(kāi)深入的研究。

1內(nèi)網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)

內(nèi)網(wǎng)指的是單位、機(jī)構(gòu)或者組織的局域網(wǎng)，內(nèi)網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)主要依靠于內(nèi)網(wǎng)信息管理終端來(lái)實(shí)現(xiàn)對(duì)各種內(nèi)網(wǎng)信息傳遞的管理，避免出現(xiàn)信息非法竊取的情況。內(nèi)網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)主要用于軍工單位信息保密工作中。

1.1內(nèi)網(wǎng)信息泄露的原因

造成內(nèi)網(wǎng)信息泄露的原因主要有：一是單位內(nèi)部人員將單位局域網(wǎng)連接密碼泄露給非法分子，為非法分子進(jìn)入內(nèi)網(wǎng)提供了極為便利的條件；二是單位內(nèi)部人員盜取單位內(nèi)保密信息，并通過(guò)郵件或者U盤(pán)向外界傳遞；三是非法分子非法侵入到單位局域網(wǎng)中，獲取局域網(wǎng)服務(wù)器中的保密信息；四是非法分子通過(guò)散布網(wǎng)絡(luò)病毒或者網(wǎng)絡(luò)木馬造成單位局域網(wǎng)癱瘓，非法竊取局域網(wǎng)中的信息。

1.2安全管理技術(shù)

安全管理技術(shù)是一種比較常見(jiàn)的內(nèi)網(wǎng)信息保密技術(shù)，其出現(xiàn)的背景為：網(wǎng)絡(luò)應(yīng)用的范圍不斷擴(kuò)大，網(wǎng)絡(luò)信息管理設(shè)備的不斷復(fù)雜，網(wǎng)絡(luò)信息管理任務(wù)的增加，網(wǎng)絡(luò)故障發(fā)生率的驟然升高，單位內(nèi)網(wǎng)出現(xiàn)運(yùn)行瓶頸，無(wú)法及時(shí)發(fā)現(xiàn)運(yùn)行問(wèn)題以及運(yùn)行故障。安全管理技術(shù)實(shí)施目的就是提高單位內(nèi)網(wǎng)的運(yùn)行性能，提高單位內(nèi)網(wǎng)管理水平，確保單位內(nèi)網(wǎng)信息傳遞的安全。安全管理技術(shù)所包含的內(nèi)容包括：一是信息復(fù)制、打印、傳遞的管理，避免打印泄密、郵遞泄密以及拷貝泄密情況的出現(xiàn)；二是內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)的保密，為不同級(jí)別的管理員設(shè)置不同通信密碼，做好內(nèi)網(wǎng)服務(wù)器的隔離；三是內(nèi)網(wǎng)使用的管理，對(duì)內(nèi)網(wǎng)用戶身份進(jìn)行登記和審查，對(duì)內(nèi)網(wǎng)接入站點(diǎn)進(jìn)行登記和審查等。

1.3安全評(píng)估技術(shù)

和安全管理技術(shù)相同，安全評(píng)估技術(shù)也屬于一種內(nèi)網(wǎng)信息保密技術(shù)?，F(xiàn)在網(wǎng)絡(luò)環(huán)境越來(lái)越復(fù)雜，一種安全保護(hù)產(chǎn)品是無(wú)法完成整個(gè)內(nèi)網(wǎng)信息傳遞保密的，需要結(jié)合多種信息安全保密產(chǎn)品，在整個(gè)內(nèi)網(wǎng)運(yùn)行過(guò)程中，進(jìn)行動(dòng)態(tài)的信息保護(hù)。確保內(nèi)網(wǎng)信息傳遞安全的一種有效方法就是信息安全評(píng)估，其主要功能就是客觀、科學(xué)、有效的對(duì)內(nèi)網(wǎng)信息傳遞過(guò)程進(jìn)行評(píng)估，發(fā)現(xiàn)內(nèi)網(wǎng)信息傳遞過(guò)程中存在的安全隱患，及時(shí)消滅這些隱患。內(nèi)網(wǎng)信息安全評(píng)估主要包括以下幾個(gè)方面：一是信息安全風(fēng)險(xiǎn)評(píng)估，其主要工作就是找出內(nèi)網(wǎng)信息傳遞安全問(wèn)題產(chǎn)生的根源，從而提出能夠從根本上解決內(nèi)網(wǎng)信息傳遞風(fēng)險(xiǎn)的方法，是安全評(píng)估技術(shù)的核心，是一種優(yōu)化內(nèi)網(wǎng)運(yùn)行的方法；二是信息對(duì)抗可能性評(píng)估；三是非法攻擊可能性評(píng)估；四是信息安全等級(jí)劃定；五是信息安全隱患評(píng)估；六是信息安全脆弱性評(píng)估。

1.4安全審計(jì)技術(shù)

除了上述兩種內(nèi)網(wǎng)信息保密技術(shù)外，在當(dāng)前內(nèi)網(wǎng)信息保密工作中，安全審計(jì)技術(shù)也具有較為廣泛的應(yīng)用，其主要對(duì)內(nèi)網(wǎng)服務(wù)器的安全性能進(jìn)行評(píng)估。記錄內(nèi)網(wǎng)發(fā)生的安全事件，同時(shí)對(duì)其進(jìn)行處理或者是再現(xiàn)事件發(fā)生的過(guò)程，這些工作的完成需要安全審計(jì)系統(tǒng)的幫助，安全審計(jì)系統(tǒng)還能定位內(nèi)網(wǎng)受到攻擊的具置或者是內(nèi)網(wǎng)運(yùn)行錯(cuò)誤產(chǎn)生的具體地點(diǎn)，發(fā)現(xiàn)破壞內(nèi)網(wǎng)信息安全的根本原因。除了上述幾種功能外，安全審計(jì)系統(tǒng)還具有如下作用：一是能夠提供可供安全員分析的內(nèi)網(wǎng)管理數(shù)據(jù)，幫助安全員尋找信息安全事件發(fā)生的根源，同時(shí)協(xié)助安全員制定信息保密策略；二是能夠提供可供安全員進(jìn)行故障分析的內(nèi)網(wǎng)運(yùn)行日志，協(xié)助安全員發(fā)現(xiàn)內(nèi)網(wǎng)運(yùn)行漏洞以及非法入侵人員；三是根據(jù)安全員的指示記錄各種安全事件。

2外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)

外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)主要為了防范外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)的攻擊，外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)設(shè)計(jì)的前提假設(shè)為內(nèi)網(wǎng)安全，所有的網(wǎng)絡(luò)入侵和攻擊都來(lái)自于外網(wǎng)，當(dāng)前，使用較多的幾種外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)包括：

2.1安全掃描技術(shù)

利用遠(yuǎn)程網(wǎng)絡(luò)檢測(cè)技術(shù)來(lái)對(duì)TCP/IP文件傳輸協(xié)議中不同服務(wù)器端口進(jìn)行檢測(cè)的技術(shù)就是安全掃描技術(shù)，通過(guò)安全掃描技術(shù)可以獲得各種服務(wù)器運(yùn)行信息，例如服務(wù)器是否具有FIP目錄等，匿名登錄是否有效等。

2.2匿名通信技術(shù)

將網(wǎng)絡(luò)通信中實(shí)體之間的聯(lián)系以及實(shí)體地址進(jìn)行隱藏，使非法入侵者無(wú)法獲得實(shí)體物理地址以及詳細(xì)的信息傳遞內(nèi)容的一種網(wǎng)絡(luò)安全技術(shù)就是匿名通信技術(shù)。這種技術(shù)開(kāi)發(fā)的前提假設(shè)為網(wǎng)絡(luò)外人員是無(wú)法獲得網(wǎng)絡(luò)實(shí)體之間通信信息，無(wú)法發(fā)現(xiàn)網(wǎng)絡(luò)實(shí)體的通信過(guò)程以及網(wǎng)絡(luò)實(shí)體的具置。實(shí)體之間通信的安全都由鏈路級(jí)保證，也就是說(shuō)實(shí)體之間發(fā)生的通信行為都是真實(shí)的，傳遞的信息都是可靠的。

2.3網(wǎng)絡(luò)隔離技術(shù)

隨著網(wǎng)絡(luò)入侵手段的多樣性，科學(xué)家對(duì)傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)進(jìn)行了改造，結(jié)合了多種網(wǎng)絡(luò)信息保障技術(shù)，重新設(shè)計(jì)了一種網(wǎng)絡(luò)信息安全保障技術(shù)——信息隔離技術(shù)，其能夠從多個(gè)方面確保網(wǎng)絡(luò)信息傳遞的安全。

2.4入侵檢測(cè)技術(shù)

和其他網(wǎng)絡(luò)信息安全技術(shù)相比，這種技術(shù)涉及范圍更廣，網(wǎng)絡(luò)信息傳遞過(guò)程的多個(gè)方面都有所涉及，技術(shù)開(kāi)發(fā)人員除了要掌握基本的網(wǎng)絡(luò)信息安全保障技術(shù)外，還要了解網(wǎng)絡(luò)信息通信過(guò)程，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)設(shè)計(jì)方法以及服務(wù)器的基本結(jié)構(gòu)。入侵檢測(cè)技術(shù)除了能夠?qū)Ω鞣N入侵行為進(jìn)行分辨，還能夠根據(jù)當(dāng)前網(wǎng)絡(luò)發(fā)展背景進(jìn)行技術(shù)的更新，異常行為檢測(cè)以及系統(tǒng)誤用檢測(cè)是兩種基本的入侵檢測(cè)方法，其處理的主要是各種復(fù)雜的入侵行為、入侵?jǐn)?shù)據(jù)。

2.5虛擬專網(wǎng)技術(shù)

正如其名稱所示，虛擬專網(wǎng)技術(shù)具有專用網(wǎng)絡(luò)的作用，但從本質(zhì)上將，其并不是一種專用網(wǎng)絡(luò)，只是一種為了確保保密信息通信安全設(shè)置的虛擬網(wǎng)絡(luò)。在公共通信網(wǎng)絡(luò)中連接保密信息傳輸?shù)妮斎攵撕洼敵龆?，保密信息通過(guò)虛擬專網(wǎng)中的虛擬通道進(jìn)行傳遞，傳輸?shù)臄?shù)據(jù)都需要進(jìn)行加密處理，實(shí)現(xiàn)信息傳遞的雙重保護(hù)。利用虛擬專網(wǎng)可以實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)庫(kù)使用的授權(quán)，授權(quán)者可以獲取授權(quán)范圍內(nèi)的內(nèi)網(wǎng)數(shù)據(jù)。虛擬專網(wǎng)技術(shù)實(shí)現(xiàn)的關(guān)鍵就是虛擬通道的建立，而這主要依靠隧道技術(shù)，利用基本的網(wǎng)絡(luò)信息傳遞設(shè)備在某種信息傳遞協(xié)議的基礎(chǔ)上實(shí)現(xiàn)另一種通信協(xié)議數(shù)據(jù)傳遞的技術(shù)就是隧道技術(shù)，隧道技術(shù)可以實(shí)現(xiàn)不同傳輸協(xié)議數(shù)據(jù)包或者數(shù)據(jù)幀等形式的信息的傳遞。

2.6防火墻技術(shù)

在當(dāng)前網(wǎng)絡(luò)信息傳遞過(guò)程中，使用最廣泛的一種通信協(xié)議就是TCP/IP協(xié)議，這種協(xié)議設(shè)計(jì)的前提條件為信息傳遞環(huán)境可信，不存在網(wǎng)絡(luò)入侵，沒(méi)有考慮信息傳遞的安全性。為了彌補(bǔ)該協(xié)議的不足，計(jì)算機(jī)工程技術(shù)人員開(kāi)發(fā)了防火墻技術(shù)，阻止網(wǎng)絡(luò)入侵者對(duì)內(nèi)網(wǎng)的侵犯，避免發(fā)生用戶計(jì)算機(jī)或者是網(wǎng)絡(luò)服務(wù)器感染木馬或者病毒等現(xiàn)象。防火墻實(shí)現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)的隔離，對(duì)不同網(wǎng)絡(luò)之間通問(wèn)進(jìn)行管理，避免非法入侵現(xiàn)象的發(fā)生。防火墻技術(shù)的關(guān)鍵是就是設(shè)計(jì)一套安全有效的內(nèi)網(wǎng)訪問(wèn)規(guī)則，既要滿足用戶信息共享的需求，又要對(duì)非法入侵進(jìn)行檢測(cè)和隔離，同時(shí)對(duì)內(nèi)網(wǎng)運(yùn)行環(huán)境進(jìn)行實(shí)時(shí)監(jiān)測(cè)。防火墻的作用主要包括以下幾個(gè)方面：一是檢測(cè)網(wǎng)絡(luò)攻擊行為；二是對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行警告；三是記錄各種非法入侵活動(dòng)；四是管理網(wǎng)絡(luò)訪問(wèn)和信息傳遞行為；五是對(duì)接受信息的安全性進(jìn)行檢查。

3結(jié)語(yǔ)

和傳統(tǒng)信息保密工作有所不同，在網(wǎng)絡(luò)時(shí)代，信息保密工作主要指的是網(wǎng)絡(luò)信息保密工作，工作內(nèi)容更為多樣化，工作科技含量更高，所面臨的工作對(duì)象更為復(fù)雜，內(nèi)網(wǎng)信息保密技術(shù)和外網(wǎng)信息保密技術(shù)是當(dāng)前最為常用的兩種信息保密技術(shù)，其中包含了多方面的內(nèi)容，例如網(wǎng)絡(luò)信息安全評(píng)估技術(shù)、網(wǎng)絡(luò)安全信息審計(jì)技術(shù)、防火墻技術(shù)、虛擬內(nèi)網(wǎng)技術(shù)等，這是網(wǎng)絡(luò)信息安全的保障。

作者：王芳 單位：武警總部通信總站

參考文獻(xiàn)：

[1]張慶凱.計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問(wèn)題及對(duì)策[J].電子技術(shù)與軟件工程，2016.

第5篇：網(wǎng)絡(luò)信息安全評(píng)估范文

1998年4月出版的SP800-16第一版首次提出IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型，并設(shè)計(jì)基于角度和表現(xiàn)的培訓(xùn)模型。該模型按政府工作人員的職能將受訓(xùn)人員分為6種角色，即管理人員、采購(gòu)人員、設(shè)計(jì)與開(kāi)發(fā)人員、操作人員、檢查測(cè)評(píng)人員以及普通使用人員。模型針對(duì)這6種角色設(shè)計(jì)了3個(gè)基本的培訓(xùn)領(lǐng)域（法律和法規(guī)、安全項(xiàng)目管理以及信息系統(tǒng)安全），并為此設(shè)計(jì)了安全培訓(xùn)課程框架，提出了培訓(xùn)有效性的評(píng)估方案。2009年3月NIST了SP800-16的第一次修訂草案。一是明確信息安全培訓(xùn)職責(zé)，即對(duì)涉及信息安全培訓(xùn)的機(jī)構(gòu)領(lǐng)導(dǎo)、首席信息技術(shù)執(zhí)行官、高級(jí)機(jī)構(gòu)信息安全官、管理人員、培訓(xùn)設(shè)計(jì)專家、對(duì)信息安全負(fù)有重要責(zé)任的人員以及用戶等7類人員的職責(zé)劃分。二是在信息安全培訓(xùn)課程的學(xué)習(xí)層次上強(qiáng)調(diào)知識(shí)水平的連貫性。三是對(duì)第一版的基于角色的培訓(xùn)提出了一個(gè)教學(xué)設(shè)計(jì)模型，即針對(duì)政府人員的信息安全需求，依次進(jìn)行需求分析、課程設(shè)計(jì)、課程開(kāi)發(fā)、培訓(xùn)實(shí)踐和教學(xué)評(píng)估等五大環(huán)節(jié)，這使得信息安全的培訓(xùn)可以迭代改進(jìn)。2013年10月NIST了對(duì)SP800-16的第二次修訂版本草案，這次修訂中首次提出了網(wǎng)絡(luò)空間安全培訓(xùn)，因?yàn)槊绹?guó)2010年4月啟動(dòng)了《國(guó)家網(wǎng)絡(luò)空間安全教育計(jì)劃》（NationalInitiativeofCyberSecurityEducation，NICE），該計(jì)劃旨在通過(guò)促進(jìn)教育和培訓(xùn)來(lái)改善人的網(wǎng)絡(luò)行為、技能和知識(shí)，從而增強(qiáng)美國(guó)整體的網(wǎng)絡(luò)空間安全。這意味著美國(guó)政府已著手于將網(wǎng)絡(luò)空間安全上升到國(guó)家安全的戰(zhàn)略層面上來(lái)。2013年版的改動(dòng)有以下幾個(gè)方面：一是強(qiáng)調(diào)信息安全意識(shí)的培訓(xùn)應(yīng)當(dāng)在網(wǎng)絡(luò)空間的背景下進(jìn)行設(shè)計(jì)；二是在信息安全培訓(xùn)的目標(biāo)對(duì)象中加入了對(duì)重要信息技術(shù)和網(wǎng)絡(luò)空間安全負(fù)有責(zé)任的政府工作人員；三是對(duì)信息安全培訓(xùn)的評(píng)估體系進(jìn)行了細(xì)化，即明確提出了評(píng)估培訓(xùn)的4個(gè)目的。不到半年時(shí)間，NIST再次了SP800-16的第三次修訂草案，這個(gè)版本改動(dòng)較小，主要是在信息安全培訓(xùn)的組織責(zé)任中加入了網(wǎng)絡(luò)空間培訓(xùn)管理員/首席學(xué)習(xí)執(zhí)行官。其職責(zé)包括：一是確保培訓(xùn)教材針對(duì)具體人員進(jìn)行設(shè)計(jì)；二是確保培訓(xùn)教材對(duì)目標(biāo)人員的有效性；三是為信息安全培訓(xùn)提供有效的反饋信息；四是對(duì)信息安全培訓(xùn)教材進(jìn)行及時(shí)更新；五是重視培訓(xùn)效果的跟蹤和匯報(bào)。

2NIST特別出版物版本演變帶來(lái)的啟示

縱覽美國(guó)歷時(shí)17年對(duì)信息技術(shù)安全培訓(xùn)指南的修訂過(guò)程，其發(fā)展特點(diǎn)如下：首先，該指南進(jìn)行了頂層設(shè)計(jì)，即提出IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型，設(shè)計(jì)基于角度和表現(xiàn)的培訓(xùn)模型，對(duì)需要接受信息安全培訓(xùn)的目標(biāo)對(duì)象進(jìn)行角色劃分，按照角色需求從法律法規(guī)、安全項(xiàng)目管理以及信息系統(tǒng)安全3個(gè)領(lǐng)域進(jìn)行課程設(shè)計(jì)，初步提出了課程的評(píng)估框架。此后的3個(gè)版本都是在該體系結(jié)構(gòu)下，從角色劃分、培訓(xùn)領(lǐng)域和課程評(píng)估方法等3個(gè)方面進(jìn)行充實(shí)、完善。其次，該指南具有可擴(kuò)展性，即該指南的最初版本就設(shè)計(jì)了連續(xù)學(xué)習(xí)統(tǒng)一體，為培訓(xùn)對(duì)象的知識(shí)結(jié)構(gòu)發(fā)生變化后，如何滿足其信息安全的知識(shí)結(jié)構(gòu)留下了足夠的學(xué)習(xí)空間。第三，該指南的實(shí)時(shí)更新性，即結(jié)合信息安全領(lǐng)域的新技術(shù)，對(duì)培訓(xùn)目標(biāo)對(duì)象和培訓(xùn)課程進(jìn)行實(shí)時(shí)更新。如在美國(guó)NICE計(jì)劃頒發(fā)之后，指南很快在培訓(xùn)環(huán)節(jié)增加了對(duì)國(guó)家網(wǎng)絡(luò)空間安全的培訓(xùn)內(nèi)容。目前，我國(guó)的信息安全教育工作主要側(cè)重于專業(yè)技術(shù)人才的培養(yǎng)，對(duì)涉及使用信息系統(tǒng)的廣大普通用戶的相關(guān)信息安全常識(shí)的教育重視不夠，更確切地說(shuō)，對(duì)公眾的信息安全常識(shí)教育的計(jì)劃和實(shí)施體系尚未建立。我國(guó)有關(guān)部門(mén)應(yīng)該參照NISTSP800-16和SP800-50出臺(tái)適合我國(guó)國(guó)情的有關(guān)信息安全常識(shí)和培訓(xùn)綱要的規(guī)范指南，以便完善我國(guó)的信息安全教育的完整體系，推進(jìn)提高全民信息安全意識(shí)和技能的工作，為構(gòu)建我國(guó)信息安全保障體系提供人員安全素質(zhì)方面的基礎(chǔ)保證。

3結(jié)語(yǔ)

第6篇：網(wǎng)絡(luò)信息安全評(píng)估范文

關(guān)鍵詞：網(wǎng)絡(luò)； 信息安全； 組織因素； 系統(tǒng)

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：16727800（2011）012014102

作者簡(jiǎn)介：黃勇（1971-），男，湖南長(zhǎng)沙人，廣州涉外經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院信息學(xué)院講師、網(wǎng)絡(luò)工程師，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)。1網(wǎng)絡(luò)信息安全的組織因素分析

1.1組織目標(biāo)

組織目標(biāo)是組織期望達(dá)到的一種狀態(tài)，它是組織所有成員的行動(dòng)指南，是組織進(jìn)行決策、協(xié)調(diào)、考核、效率評(píng)價(jià)的主要依據(jù)，同時(shí)它對(duì)組織中的成員具有激勵(lì)作用。影響組織目標(biāo)的主要因素有:（1）網(wǎng)絡(luò)信息安全目標(biāo)。組織中的信息安全目標(biāo)是組織追求和實(shí)現(xiàn)高績(jī)效目標(biāo)的子目標(biāo)之一，組織只有達(dá)到了信息安全目標(biāo)，才能真正確保實(shí)現(xiàn)組織的高績(jī)效目標(biāo)；（2）信息安全目標(biāo)的優(yōu)先次序。組織目標(biāo)的優(yōu)先次序是指當(dāng)組織存在諸多目標(biāo)時(shí)，首先需要確定優(yōu)勢(shì)目標(biāo)，有了優(yōu)勢(shì)目標(biāo)才能形成優(yōu)勢(shì)動(dòng)機(jī)。如果不能形成優(yōu)勢(shì)目標(biāo)，則會(huì)分散組織的注意力，影響組織目標(biāo)的實(shí)現(xiàn)，甚至使組織產(chǎn)生安全隱患。

1.2組織結(jié)構(gòu)

組織結(jié)構(gòu)組織內(nèi)部協(xié)調(diào)和分工的基本形式，是組織正式確定的使工作分解、組合和協(xié)調(diào)的基本框架體系。組織結(jié)構(gòu)主要由組織內(nèi)部的各個(gè)要素組成，如組織人員、職位、責(zé)任、協(xié)同、關(guān)系、信息和目的等等。組織結(jié)構(gòu)能否有效運(yùn)行就取決于組織內(nèi)部各個(gè)要素之間能否合理配置、充分協(xié)調(diào)、以及組織與所處的環(huán)境的適應(yīng)程度。組織結(jié)構(gòu)對(duì)于維持組織安全、可靠、有效的行動(dòng)和控制整個(gè)組織的運(yùn)作有著非常重要的影響，直接影響了組織目標(biāo)能否順利實(shí)現(xiàn)。網(wǎng)絡(luò)信息系統(tǒng)中的安全問(wèn)題與組織結(jié)構(gòu)存在密切聯(lián)系，合理的信息安全組織結(jié)構(gòu)是確保組織網(wǎng)絡(luò)信息安全管理的前提。

網(wǎng)絡(luò)信息系統(tǒng)組織結(jié)構(gòu)：①信息安全工作組織：主要負(fù)責(zé)信息安全工作，設(shè)置組織的信息安全管理部門(mén)和網(wǎng)絡(luò)管理部門(mén)；②職責(zé)與權(quán)力：為了增強(qiáng)組織網(wǎng)絡(luò)信息系統(tǒng)的安全性，組織就要嚴(yán)格劃分和明確規(guī)定員工的職責(zé)并授予權(quán)限；③交流：通過(guò)交流可以把組織中的員工聯(lián)系起來(lái)，調(diào)動(dòng)員工的積極性和協(xié)調(diào)能力，更有利于組織目標(biāo)的實(shí)現(xiàn)；④資源：網(wǎng)絡(luò)信息安全離不開(kāi)設(shè)備和技術(shù)，提高網(wǎng)絡(luò)信息的安全性需要不斷的開(kāi)發(fā)新技術(shù)和更新或升級(jí)通信設(shè)備，這些都需要組織提供充足的人力資源、財(cái)力資源、物資資源和時(shí)間資源的支持。

1.3組織管理

組織管理是組織為實(shí)現(xiàn)組織目標(biāo)而實(shí)施的控制、計(jì)劃、指揮、協(xié)調(diào)、監(jiān)督等系列過(guò)活動(dòng)。網(wǎng)絡(luò)信息安全工作中的組織管理包括: 建立安全制度、制訂安全策略、規(guī)范安全行為、監(jiān)督管理的執(zhí)行等方面。

(1)建立安全制度。組織制定網(wǎng)絡(luò)建設(shè)方案、信息安全保密規(guī)定、機(jī)房管理制度、口令管理制度、用戶上網(wǎng)使用手冊(cè)、網(wǎng)絡(luò)安全指南、系統(tǒng)操作規(guī)程、安全防護(hù)記錄、應(yīng)急響應(yīng)方案等一系列的信息安全制度，主要為保證網(wǎng)絡(luò)信息系統(tǒng)安全、可靠地運(yùn)作。

(2)制訂安全策略。安全策略是企業(yè)整體的安全思想和觀念的宏觀反映，安全策略對(duì)于組織的網(wǎng)絡(luò)信息安全有重要作用，在它的指導(dǎo)下，組織開(kāi)展信息安全建設(shè)和后續(xù)工作。隨著網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷發(fā)展，安全策略的制訂和實(shí)施已經(jīng)成為一個(gè)動(dòng)態(tài)的延續(xù)過(guò)程。

(3)規(guī)范安全行為。組織往往通過(guò)網(wǎng)絡(luò)通信安全規(guī)程來(lái)規(guī)范員工行為，規(guī)程主要基于具體的任務(wù)和功能的分析，通過(guò)識(shí)別、開(kāi)發(fā)、審核、執(zhí)行、驗(yàn)證等循環(huán)往復(fù)過(guò)程建立起來(lái)，它規(guī)范了組織員工開(kāi)展某一項(xiàng)活動(dòng)或工作的行為。

(4)監(jiān)督管理。主要針對(duì)組織信息安全相關(guān)的工作環(huán)節(jié)和重要步驟增強(qiáng)監(jiān)管力度，對(duì)操作中可能出現(xiàn)的偏差和疏忽實(shí)施合理監(jiān)督，確保正確的操作，以降低信息安全隱患。

1.4安全文化

組織文化是組織成員共奉的價(jià)值觀、態(tài)度以及內(nèi)隱的行為規(guī)范。安全文化是組織文化的有機(jī)組成部分，它通常被定義為安全價(jià)值觀與安全行為的總和。良好安全文化能有效的降低組織的事故發(fā)生率，因此，形成了良好的安全文化氛圍會(huì)將直接影響著網(wǎng)絡(luò)信息的安全。具體相關(guān)因素包括：

(1)網(wǎng)絡(luò)安全文化。組織員工的安全意識(shí)與組織的網(wǎng)絡(luò)安全文化有著必然聯(lián)系，組織員工只有形成“安全第一”的安全意識(shí)，對(duì)于謹(jǐn)防工作中安全隱患，就會(huì)自愿的為了組織共同的安全目標(biāo)而交流溝通，會(huì)主動(dòng)加強(qiáng)工作中的監(jiān)督檢查，謹(jǐn)防將組織的重要信息泄露給競(jìng)爭(zhēng)對(duì)手。

(2)領(lǐng)導(dǎo)層對(duì)信息安全的意識(shí)和態(tài)度。如果組織領(lǐng)導(dǎo)對(duì)信息安全的重要性認(rèn)識(shí)越深刻，那么組織中的信息安全在組織工作中的地位就會(huì)越高，信息安全就會(huì)引起組織中更多成員的關(guān)注和重視。領(lǐng)導(dǎo)層對(duì)信息安全的意識(shí)和態(tài)度對(duì)組織網(wǎng)絡(luò)安全文化的形成有著重要的作用。

(3)員工間的和諧度。團(tuán)隊(duì)的和諧是保證安全的重要基礎(chǔ)，如果組織成員對(duì)安全存在共識(shí)，持一致態(tài)度，則全體員工在安全目標(biāo)、行為準(zhǔn)則方面保持一致，從而保障信息的安全，進(jìn)而實(shí)現(xiàn)系統(tǒng)和組織上的安全。

(4)組織成員對(duì)信息安全的意識(shí)和態(tài)度。

1.5培訓(xùn)

對(duì)培訓(xùn)的效果造成直接影響的主要包括：①培訓(xùn)的內(nèi)容：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，信息安全教育培訓(xùn)的內(nèi)容也應(yīng)該隨著技術(shù)、環(huán)境的變化而更新，要使員工不斷增長(zhǎng)對(duì)新環(huán)境的適應(yīng)能力，對(duì)新問(wèn)題的辨別能力和解決問(wèn)題的能力，才能確保信息的安全；②培訓(xùn)的師資：參與信息安全培訓(xùn)的師資隊(duì)伍的素質(zhì)，直接影響著教育與培訓(xùn)的效果。培訓(xùn)老師的目標(biāo)性、方向性，在保證培訓(xùn)系統(tǒng)的高效運(yùn)轉(zhuǎn)中起著重要作用。

2網(wǎng)絡(luò)信息安全管理的組織對(duì)策

2.1建立并完善信息安全風(fēng)險(xiǎn)制度

信息安全制度著重體現(xiàn)：①風(fēng)險(xiǎn)管理的責(zé)任機(jī)制。將風(fēng)險(xiǎn)管理與組織成員的責(zé)任聯(lián)系起來(lái)，在信息安全風(fēng)險(xiǎn)管理工作中，切實(shí)執(zhí)行責(zé)任制，不斷增強(qiáng)組織上至各級(jí)領(lǐng)導(dǎo)，下至普通員工的風(fēng)險(xiǎn)責(zé)任意識(shí)，將信息安全風(fēng)險(xiǎn)管理合理分工，執(zhí)行信息安全風(fēng)險(xiǎn)管理措施，保證信息安全風(fēng)險(xiǎn)管理工作有序開(kāi)展；②風(fēng)險(xiǎn)管理的預(yù)防機(jī)制。預(yù)防機(jī)制是風(fēng)險(xiǎn)管理的核心內(nèi)容，風(fēng)險(xiǎn)管理要重視事前管理，事前對(duì)信息系統(tǒng)涉及的關(guān)鍵環(huán)節(jié)和重要部門(mén)進(jìn)行嚴(yán)格的風(fēng)險(xiǎn)評(píng)估、檢查工作，得出準(zhǔn)確的風(fēng)險(xiǎn)報(bào)告；③風(fēng)險(xiǎn)管理的應(yīng)急機(jī)制。有效的應(yīng)急機(jī)制是降低和化解此類風(fēng)險(xiǎn)的必備手段，針對(duì)關(guān)鍵的應(yīng)用系統(tǒng)群組，乃至針對(duì)整個(gè)數(shù)據(jù)中心的突發(fā)事件必須具有可操作性很強(qiáng)的應(yīng)急方案，并且還要有成熟的應(yīng)急反應(yīng)體系 能在事件發(fā)生之時(shí)，合理決策、落實(shí)執(zhí)行應(yīng)急方案；④風(fēng)險(xiǎn)管理的通報(bào)機(jī)制。實(shí)施信息安全的風(fēng)險(xiǎn)管理通報(bào)機(jī)制，對(duì)于尚未出現(xiàn)的問(wèn)題有一個(gè)警示作用，它能對(duì)行業(yè)的經(jīng)驗(yàn)教訓(xùn)及時(shí)總結(jié)，讓組織認(rèn)識(shí)風(fēng)險(xiǎn)隱患，盡早發(fā)現(xiàn)類似風(fēng)險(xiǎn)，快速采取有針對(duì)性的事前防范措施。

2.2制定信息安全的管理策略

（1）風(fēng)險(xiǎn)評(píng)估和預(yù)警策略。采用科學(xué)的分析方法，對(duì)系統(tǒng)存在的不同頻度的風(fēng)險(xiǎn)定期作系統(tǒng)評(píng)估工作，以定量與定性的評(píng)估方法，探測(cè)風(fēng)險(xiǎn)的來(lái)源以及風(fēng)險(xiǎn)的大小。

（2）風(fēng)險(xiǎn)規(guī)避策略。通過(guò)降低風(fēng)險(xiǎn)發(fā)生的可能性和降低風(fēng)險(xiǎn)發(fā)生后的影響等手段，努力在風(fēng)險(xiǎn)發(fā)生前規(guī)避風(fēng)險(xiǎn)或降低風(fēng)險(xiǎn)大小，并對(duì)整改成果進(jìn)行再評(píng)估。

（3）應(yīng)急管理策略。經(jīng)過(guò)系統(tǒng)風(fēng)險(xiǎn)評(píng)估，針對(duì)評(píng)估結(jié)果存在的安全隱患，制定應(yīng)急預(yù)案，通過(guò)有效的應(yīng)急處置，爭(zhēng)取在風(fēng)險(xiǎn)事件發(fā)生后快速地恢復(fù)生產(chǎn)運(yùn)行，控制風(fēng)險(xiǎn)的影響范圍和影響程度。

（4）風(fēng)險(xiǎn)管理策略。對(duì)于涉及信息安全風(fēng)險(xiǎn)管理的組織內(nèi)部架構(gòu)和對(duì)外客戶端可能存在的風(fēng)險(xiǎn)，制定一系列的規(guī)章和規(guī)范，防范內(nèi)部風(fēng)險(xiǎn)。

2.3強(qiáng)化信息安全的監(jiān)督管理

信息安全的監(jiān)督對(duì)杜絕違規(guī)、違章操作、發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)隱患、及時(shí)整改、督促組織建立健全各項(xiàng)安全規(guī)章制度，落實(shí)各項(xiàng)信息安全防范措施具有重大作用。具體包括：①信息系統(tǒng)投產(chǎn)上線管理操作規(guī)范；②信息系統(tǒng)管理維護(hù)操作規(guī)范；③信息系統(tǒng)變更管理操作規(guī)范；④信息系統(tǒng)訪問(wèn)控制管理操作規(guī)范；⑤信息系統(tǒng)運(yùn)營(yíng)環(huán)境管理操作規(guī)范；⑥信息系統(tǒng)業(yè)務(wù)連續(xù)性管理操作規(guī)范；⑦信息系統(tǒng)運(yùn)營(yíng)服務(wù)外包管理操作規(guī)范。參考文獻(xiàn)：

[1]楊旭.計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)研究[D].南京:南京理工大學(xué),2008.

[2]王以群,程,張力.網(wǎng)絡(luò)信息安全中的人因失誤分析[J].情報(bào)學(xué),2007(11).

[3]楊月江,劉士杰,耿子林.網(wǎng)絡(luò)安全管理的分析與研究[J].商場(chǎng)現(xiàn)代化，2008(1).

[4]張力,王以群,鄧志良.復(fù)雜人-機(jī)系統(tǒng)中的人因失誤[J].安全科學(xué)學(xué)報(bào),1996(6).

[5]姜婷婷.淺談我國(guó)網(wǎng)絡(luò)信息安全保險(xiǎn)的開(kāi)發(fā)[J].情報(bào)理論與實(shí)踐,2003(4).

[6]劉繪珍.影響復(fù)雜人機(jī)系統(tǒng)安全的組織因素分析[D].衡陽(yáng):南華大學(xué),2007.

[7]劉繪珍,張力,張玉玲,等.影響系統(tǒng)安全的組織因素分類分析[J].核動(dòng)力工程,2009(4).

[8]胡泉軍.信息安全管理中的組織管理失誤[D].衡陽(yáng):南華大學(xué),2009.

第7篇：網(wǎng)絡(luò)信息安全評(píng)估范文

經(jīng)過(guò)二年多的努力,我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估指南》已完成標(biāo)準(zhǔn)文稿編制工作，并由國(guó)務(wù)院信息辦組織, 2005年在北京、上海、黑龍江、云南、人民銀行、國(guó)家稅務(wù)總局、國(guó)家信息中心與國(guó)家電力總公司開(kāi)展了驗(yàn)證《信息安全風(fēng)險(xiǎn)評(píng)估指南》的可行性與可用性的試點(diǎn)工作，如今，《指南》正上報(bào)國(guó)家標(biāo)準(zhǔn)管理部門(mén)批準(zhǔn)。

《指南》規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則，適用于信息系統(tǒng)的使用單位進(jìn)行自我風(fēng)險(xiǎn)評(píng)估，以及風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的風(fēng)險(xiǎn)評(píng)估。《信息安全風(fēng)險(xiǎn)評(píng)估指南》分為兩個(gè)部分：第一部分：主體部分。主要介紹風(fēng)險(xiǎn)評(píng)估的定義、風(fēng)險(xiǎn)評(píng)估的模型以及風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程。第二部分：附錄部分。包括信息安全風(fēng)險(xiǎn)評(píng)估的方法、工具介紹和實(shí)施案例。目的是使用戶了解到風(fēng)險(xiǎn)評(píng)估方法的多樣性和靈活性。

2005年12月16日，國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過(guò)了《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的若干意見(jiàn)》，標(biāo)志著我國(guó)將開(kāi)始在全國(guó)范圍內(nèi)推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估工作。今年3月，國(guó)家計(jì)劃在重要基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開(kāi)始推行信息安全風(fēng)險(xiǎn)評(píng)估工作。

《指南》實(shí)施后，開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估有了依據(jù)。另外，可隨時(shí)掌握系統(tǒng)的安全狀態(tài)，為及時(shí)采取有針對(duì)性的應(yīng)對(duì)措施提供依據(jù)?！吨改稀穼?duì)被評(píng)估系統(tǒng)的資產(chǎn)、威脅和脆弱性給出了具體的定級(jí)依據(jù),。

最后，可提高信息安全管理工作水平。幫助系統(tǒng)管理者認(rèn)清信息安全環(huán)境、信息安全狀況，有助于達(dá)成共識(shí)，明確責(zé)任，采取或完善安全保障措施，使其更加經(jīng)濟(jì)有效，并使信息安全策略保持一致性和持續(xù)性。

當(dāng)前，國(guó)家關(guān)鍵基礎(chǔ)設(shè)施對(duì)信息系統(tǒng)的依賴性，以及信息系統(tǒng)間的互依賴性越來(lái)越強(qiáng)，信息資源越來(lái)越復(fù)雜，因此，許多重要信息網(wǎng)絡(luò)和重要信息系統(tǒng)單位對(duì)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的需求越來(lái)越迫切,一些大的應(yīng)用行業(yè)在考慮信息系統(tǒng)建設(shè)的布局時(shí)，已經(jīng)在信息安全評(píng)估、咨詢和規(guī)劃方面投入了實(shí)質(zhì)性的資金支持。全國(guó)范圍內(nèi)的大規(guī)模推廣將使市場(chǎng)需求大幅提升。

在信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中，要評(píng)估的部門(mén)會(huì)委托一些具有一定資質(zhì)的信息安全風(fēng)險(xiǎn)評(píng)估公司來(lái)做除最核心部分以外的信息安全風(fēng)險(xiǎn)評(píng)估工作。在這方面專業(yè)的信息安全公司都會(huì)擔(dān)當(dāng)信息安全風(fēng)險(xiǎn)評(píng)估的重要角色。

中國(guó)軟件市場(chǎng)走向和諧

賽迪顧問(wèn)統(tǒng)計(jì)結(jié)果顯示，2005年，中國(guó)軟件市場(chǎng)呈現(xiàn)理性發(fā)展態(tài)勢(shì)，全年銷售額564.65億元，同比增長(zhǎng)17.9%。

2005年的中國(guó)軟件市場(chǎng)呈現(xiàn)的主要特征有:本地Linux廠商加快整合以應(yīng)對(duì)國(guó)際廠商競(jìng)爭(zhēng)；存儲(chǔ)管理需求成為系統(tǒng)管理領(lǐng)域的亮點(diǎn)；中間件平臺(tái)之爭(zhēng)漸入佳境等。

第8篇：網(wǎng)絡(luò)信息安全評(píng)估范文

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò) ；信息安全性； 提高 ；方案探析

      在經(jīng)濟(jì)不斷發(fā)展的今天，科技也在不斷的進(jìn)步。計(jì)算機(jī)的出現(xiàn)為人類開(kāi)辟了一個(gè)全新的時(shí)代，它不僅推動(dòng)了歷史車(chē)輪朝著更好的方向發(fā)展，也使得社會(huì)文明取得了長(zhǎng)遠(yuǎn)的進(jìn)步。如今的社會(huì)已經(jīng)踏入了信息化的時(shí)代，掌握了信息就相當(dāng)于掌握了經(jīng)濟(jì)大權(quán)。對(duì)于企業(yè)而言，客戶信息是它們獲利的源泉；對(duì)于國(guó)家而言，重要信息關(guān)乎著整個(gè)國(guó)家的安全。因此，加強(qiáng)現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)是勢(shì)在必行的，提高其安全性也是刻不容緩的。

     1.計(jì)算機(jī)信息安全存在的威脅分析

     在今天，計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)用范圍越來(lái)越廣、運(yùn)用方式越來(lái)越復(fù)雜。同時(shí)，也有許多的不法分子為了謀取暴利，利用網(wǎng)絡(luò)空洞破壞網(wǎng)絡(luò)運(yùn)行安全，給許多企業(yè)和政府部門(mén)帶來(lái)了許多的危害。例如，2007年肆掠網(wǎng)絡(luò)的“熊貓燒香”病毒就給當(dāng)時(shí)政府部門(mén)以及一些重要的金融、稅務(wù)、能源等行業(yè)帶來(lái)了極大的損失。

     如今，計(jì)算機(jī)信息安全存在著十分大的隱患。其中，由于計(jì)算機(jī)程序本身的漏洞，所以在運(yùn)行時(shí)會(huì)對(duì)計(jì)算機(jī)信息安全帶來(lái)威脅。還有，由于外界環(huán)境的介入使得計(jì)算機(jī)信息丟失、失竊、篡改，這些外界環(huán)境包括計(jì)算機(jī)病毒、黑客入侵、特洛伊木馬等。除此之外，在計(jì)算機(jī)信息管理的過(guò)程中，也存在著內(nèi)部、外部泄密的因素而致使計(jì)算機(jī)信息安全得到破壞。

     2.提高計(jì)算機(jī)信息安全性的方案分析

     針對(duì)以上存在的威脅，不難發(fā)現(xiàn)這些威脅主要來(lái)自于計(jì)算機(jī)信息安全防護(hù)問(wèn)題、計(jì)算機(jī)信息安全監(jiān)控問(wèn)題以及計(jì)算機(jī)信息管理問(wèn)題。所以，在探析提高計(jì)算機(jī)信息安全性的方案時(shí)應(yīng)該從以上三個(gè)方面著手。

     第一， 提高計(jì)算機(jī)信息安全的防護(hù)體系

     傳統(tǒng)的防護(hù)措施主要是依靠防火墻、假設(shè)密碼以及身份認(rèn)證，但是隨著病毒、黑客入等入侵手段的不斷提升，以往的防護(hù)體系不能與之抗衡。所以，建立更為完善的計(jì)算機(jī)信息安全防護(hù)體系是提高計(jì)算機(jī)信息安全性的第一步，也是關(guān)鍵的一步。

     傳統(tǒng)的防護(hù)體系只是對(duì)于外界侵犯起著被動(dòng)的防護(hù)作用，沒(méi)有在根源上進(jìn)行保護(hù)。在建立新型防護(hù)體系時(shí)應(yīng)該從三個(gè)方面進(jìn)行思考：其一，進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)信息安全評(píng)估；其二，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全防護(hù)；其三，建立計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)技術(shù)服務(wù)體系。

     網(wǎng)絡(luò)信息安全評(píng)估主要是從系統(tǒng)漏洞掃描以及網(wǎng)絡(luò)管理評(píng)估兩個(gè)方面著手。通過(guò)安全評(píng)估以后，對(duì)計(jì)算機(jī)運(yùn)行的程序軟件有個(gè)基本的了解，并針對(duì)系統(tǒng)存在的漏洞進(jìn)行補(bǔ)救，從而降低信息丟失的可能性。

     安全防護(hù)就是從技術(shù)上對(duì)網(wǎng)絡(luò)信息安全進(jìn)行保護(hù)，在原有的保護(hù)途徑上增添了病毒防護(hù)體系、網(wǎng)絡(luò)訪問(wèn)控制、數(shù)據(jù)保密等有效手段。病毒防護(hù)體系是從整體上對(duì)計(jì)算機(jī)信息進(jìn)行保護(hù)，在數(shù)據(jù)保密的程序基礎(chǔ)上增加了計(jì)算機(jī)軟件運(yùn)行的安全性。而控制訪問(wèn)量則是防范于未然，減少有害信息的侵蝕，降低了風(fēng)險(xiǎn)。

     網(wǎng)絡(luò)信息安全防護(hù)技術(shù)服務(wù)體系主要是針對(duì)突發(fā)狀況而設(shè)置的，其中主要包括應(yīng)急服務(wù)體系、數(shù)據(jù)恢復(fù)技術(shù)、安全技術(shù)管理。如果核心服務(wù)器處于崩潰狀況，那么必將導(dǎo)致整個(gè)網(wǎng)絡(luò)運(yùn)用的癱瘓，也使得整個(gè)數(shù)據(jù)庫(kù)信息存于最危險(xiǎn)的狀態(tài)。此時(shí)可以根據(jù)網(wǎng)絡(luò)備份，運(yùn)用網(wǎng)絡(luò)信息安全防護(hù)技術(shù)及時(shí)恢復(fù)系統(tǒng)以及數(shù)據(jù)。

     第二， 增強(qiáng)計(jì)算機(jī)信息安全監(jiān)控

     防護(hù)體系作為防止外界病毒等侵?jǐn)_的第一道防線，而對(duì)計(jì)算機(jī)信息安全的監(jiān)控則是第二道防線，主要是針對(duì)已經(jīng)侵入到計(jì)算機(jī)運(yùn)行程序中的有害成分而言。在這種情況下，計(jì)算機(jī)信息隨時(shí)有可能被侵蝕，同時(shí)計(jì)算機(jī)的運(yùn)行也存在著危險(xiǎn)。簡(jiǎn)單的殺毒軟件并不能見(jiàn)效，應(yīng)該從計(jì)算機(jī)系統(tǒng)上著手。

     其中，關(guān)鍵就是應(yīng)該在計(jì)算機(jī)監(jiān)控系統(tǒng)中安裝入侵檢測(cè)系統(tǒng)。這個(gè)系統(tǒng)的安裝是為了提醒工作人員，有外界異物已經(jīng)非法入侵到計(jì)算機(jī)系統(tǒng)中。而這個(gè)外界異物對(duì)計(jì)算機(jī)是否有害還需進(jìn)一步確定，但是這也應(yīng)該引起監(jiān)控人員的關(guān)注。入侵檢測(cè)系統(tǒng)主要是通過(guò)對(duì)網(wǎng)絡(luò)上各個(gè)關(guān)鍵信息采集點(diǎn)進(jìn)行監(jiān)控，勘察所取得的信息是否屬于計(jì)算機(jī)內(nèi)部信息并以此做出判斷。

     第三， 加強(qiáng)計(jì)算機(jī)信息管理

     其實(shí)，計(jì)算機(jī)的管理離不開(kāi)人的作用。因此，對(duì)計(jì)算機(jī)信息安全的管理其實(shí)也就是對(duì)人的管理。計(jì)算機(jī)信息安全不僅與計(jì)算機(jī)內(nèi)部系統(tǒng)的技術(shù)有關(guān)，也與計(jì)算機(jī)外部人員的信息管理有關(guān)。在許多計(jì)算機(jī)信息外漏的案例中不難發(fā)現(xiàn)人為的因素。因而，加強(qiáng)工作人員的管理是從另一個(gè)途徑上提高了計(jì)算機(jī)信息的安全性。

     首先應(yīng)該加強(qiáng)核心機(jī)房人員的管理，對(duì)于進(jìn)出核心機(jī)房的工作人員應(yīng)該進(jìn)行登記與認(rèn)證。同時(shí)，對(duì)核心機(jī)房中設(shè)備的更新情況也應(yīng)該詳細(xì)記載。除此之外，要加強(qiáng)工作人員的技術(shù)水平，防止由于人工操作失誤而造成系統(tǒng)破壞?？梢栽谄髽I(yè)和部門(mén)內(nèi)進(jìn)行員工專業(yè)技能的培訓(xùn)工作，加強(qiáng)員工的安全技術(shù)能力。

     3.小結(jié)

     其實(shí)，計(jì)算機(jī)信息安全性的提高任重而道遠(yuǎn)。新問(wèn)題每時(shí)每刻都會(huì)出現(xiàn)，新難題每時(shí)每刻都困擾著廣大的工作人員。對(duì)于社會(huì)的各行各業(yè)而言，計(jì)算機(jī)信息安全性就是懸在他們頭上的一把劍，隨時(shí)都有可能導(dǎo)致整個(gè)企業(yè)、整個(gè)部門(mén)的癱瘓雨崩潰。所以，提高計(jì)算機(jī)信息安全性是十分有必要的。這應(yīng)該引起各個(gè)行業(yè)人員的重視，同時(shí)也應(yīng)該引起社會(huì)的重視。在加強(qiáng)企業(yè)、部門(mén)自身建設(shè)的同時(shí)，還希望社會(huì)司法部門(mén)加強(qiáng)這方面的法律力度，大力打擊不法分子破壞網(wǎng)絡(luò)安全的行為，為營(yíng)造公平公正、和諧有好的互聯(lián)網(wǎng)環(huán)境做一份貢獻(xiàn)。本文主要是從計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與管理的角度出發(fā)，探析了計(jì)算機(jī)信息安全性的提高方案，還望更多的學(xué)者在這個(gè)方面繼續(xù)努力，在今后能探索出更好的方案。

     參考文獻(xiàn)：

[1] 曲成義、楊仲華：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和當(dāng)前的挑戰(zhàn)——計(jì)算機(jī)網(wǎng)絡(luò)赴美考察評(píng)述 [J]．系統(tǒng)工程與電子技術(shù)，1987（4）．

     [2] 楊淑欣：計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的探討 [A]．創(chuàng)新·融合·發(fā)展——?jiǎng)?chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇文集[C]，2010．

第9篇：網(wǎng)絡(luò)信息安全評(píng)估范文

【 關(guān)鍵詞 】 煙草；工業(yè)控制系統(tǒng)；信息安全；風(fēng)險(xiǎn)評(píng)估；脆弱性測(cè)試

1 引言

隨著工業(yè)化和信息化進(jìn)程的加快，越來(lái)越多的計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)通信技術(shù)應(yīng)用到煙草自動(dòng)化生產(chǎn)過(guò)程中。在這些技術(shù)提高了企業(yè)管理水平和生產(chǎn)效率的同時(shí)，也帶來(lái)了病毒和惡意代碼、信息泄露和篡改等網(wǎng)絡(luò)信息安全問(wèn)題。當(dāng)前，煙草企業(yè)所建成的綜合自動(dòng)化系統(tǒng)基本可以分為三層結(jié)構(gòu)：上層為企業(yè)資源計(jì)劃（ERP）系統(tǒng)；中間層為制造執(zhí)行系統(tǒng)（MES）；底層為工業(yè)控制系統(tǒng)。對(duì)于以ERP為核心的企業(yè)管理系統(tǒng)，信息安全防護(hù)相對(duì)已經(jīng)成熟，煙草企業(yè)普遍采用了防火墻、網(wǎng)閘、防病毒、防入侵等防護(hù)措施。而隨著MES技術(shù)在煙草企業(yè)的廣泛實(shí)施，越來(lái)越多企業(yè)開(kāi)始考慮在底層的工業(yè)控制系統(tǒng)進(jìn)行信息安全防護(hù)工作。近年來(lái)，全球工業(yè)控制系統(tǒng)經(jīng)歷了“震網(wǎng)”、“Duqu”、“火焰”等病毒的攻擊，這些安全事件表明，一直以來(lái)被認(rèn)為相對(duì)封閉、專業(yè)和安全的工業(yè)控制系統(tǒng)已經(jīng)成為了黑客或不法組織的攻擊目標(biāo)。對(duì)于煙草企業(yè)的工業(yè)控制系統(tǒng)，同樣也面臨著信息安全問(wèn)題。

與傳統(tǒng)IT系統(tǒng)一樣，在工業(yè)控制系統(tǒng)的信息安全問(wèn)題研究中，風(fēng)險(xiǎn)評(píng)估是其重要基礎(chǔ)。在工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方面，國(guó)外起步較早，已經(jīng)建立了ISA/IEC 62443、NIST800-82等一系列國(guó)際標(biāo)準(zhǔn)和指南；而國(guó)內(nèi)也相繼了推薦性標(biāo)準(zhǔn)GB/T 26333-2010：工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范和GB/T30976.1～.2-2014：工業(yè)控制系統(tǒng)信息安全（2個(gè)部分）等。當(dāng)前，相關(guān)學(xué)者也在這方面進(jìn)行了一系列研究，但國(guó)內(nèi)外還沒(méi)有一套公認(rèn)的針對(duì)工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方法，而且在煙草行業(yè)的應(yīng)用實(shí)例也很少。

本文基于相關(guān)標(biāo)準(zhǔn)，以制絲線控制系統(tǒng)為對(duì)象進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估方法研究，并實(shí)際應(yīng)用在某卷煙廠制絲集控系統(tǒng)中，為后續(xù)的安全防護(hù)工作打下了基礎(chǔ)，也為煙草工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作提供了借鑒。

2 煙草工業(yè)控制系統(tǒng)

煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)中的工控系統(tǒng)大致分成四種類型：制絲集控、卷包數(shù)采、高架物流、動(dòng)力能源，這四個(gè)流程，雖工藝不同，相對(duì)獨(dú)立，但它們的基本原理大體一致，采用的工具和方法大致相同。制絲集控系統(tǒng)在行業(yè)內(nèi)是一種典型的工業(yè)控制系統(tǒng)，它的信息安全情況在一定程度上體現(xiàn)了行業(yè)內(nèi)工業(yè)控制系統(tǒng)的信息安全狀態(tài)。

制絲集控系統(tǒng)主要分為三層：設(shè)備控制層、集中監(jiān)控層和生產(chǎn)管理層。設(shè)備控制層有工業(yè)以太網(wǎng)連接控制主站以及現(xiàn)場(chǎng)I/O站。集中監(jiān)控層網(wǎng)絡(luò)采用光纖環(huán)形拓?fù)浣Y(jié)構(gòu)，將工藝控制段的可編程控制器（PLC）以及其他相關(guān)設(shè)備控制段的PLC接入主干網(wǎng)絡(luò)中，其中工藝控制段包括葉片處理段、葉絲處理段、梗處理段、摻配加香段等，然后與監(jiān)控計(jì)算器、I/O服務(wù)器、工程師站和實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器等共同組成了集中監(jiān)控層。生產(chǎn)管理層網(wǎng)絡(luò)連接了生產(chǎn)現(xiàn)場(chǎng)的交換機(jī)，與管理計(jì)算機(jī)、管理服務(wù)器等共同組成了生產(chǎn)管理層。

制絲車(chē)間的生產(chǎn)采用兩班倒的方式運(yùn)行，對(duì)生產(chǎn)運(yùn)行的實(shí)時(shí)性、穩(wěn)定性要求非常嚴(yán)格；如直接針對(duì)實(shí)際系統(tǒng)進(jìn)行在線的掃描等風(fēng)險(xiǎn)評(píng)估工作，會(huì)對(duì)制絲生產(chǎn)造成一定的影響，存在影響生產(chǎn)的風(fēng)險(xiǎn)。而以模擬仿真平臺(tái)為基礎(chǔ)的系統(tǒng)脆弱性驗(yàn)證和自主可控的測(cè)評(píng)是當(dāng)前制絲線控制系統(tǒng)信息安全評(píng)估的一種必然趨勢(shì)。

3 工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法

在風(fēng)險(xiǎn)評(píng)估方法中，主要包括了資產(chǎn)識(shí)別、威脅評(píng)估、脆弱性評(píng)估、綜合評(píng)估四個(gè)部分，其中脆弱性測(cè)試主要以模擬仿真平臺(tái)為基礎(chǔ)進(jìn)行自主可控的測(cè)評(píng)。

風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險(xiǎn)評(píng)估模型主要包含信息資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值，脆弱性的屬性是脆弱性被威脅利用后對(duì)資產(chǎn)帶來(lái)的影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性，風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)發(fā)生的后果。

3.1 資產(chǎn)識(shí)別

首先進(jìn)行的是對(duì)實(shí)際生產(chǎn)環(huán)境中的信息資產(chǎn)進(jìn)行識(shí)別，主要包括服務(wù)器、工作站、下位機(jī)、工業(yè)交換設(shè)備、工控系統(tǒng)軟件和工業(yè)協(xié)議的基本信息。其中，對(duì)于服務(wù)器和工作站，詳細(xì)調(diào)查其操作系統(tǒng)以及所運(yùn)行的工控軟件；對(duì)于下位機(jī)，查明PLC主站和從站的詳細(xì)型號(hào)；對(duì)于交換設(shè)備，仔細(xì)查看其配置以及連接情況；對(duì)于工控系統(tǒng)軟件，詳細(xì)調(diào)查其品牌以及實(shí)際安裝位置；對(duì)于工業(yè)協(xié)議，則詳細(xì)列舉其通信兩端的對(duì)象。

3.2 威脅評(píng)估

威脅評(píng)估的第一步是進(jìn)行威脅識(shí)別，主要的任務(wù)是是識(shí)別可能的威脅主體（威脅源）、威脅途徑和威脅方式。

威脅主體：分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然災(zāi)害和設(shè)施故障。

威脅途徑：分為間接接觸和直接接觸，間接接觸主要有網(wǎng)絡(luò)訪問(wèn)、指令下置等形式；直接接觸指威脅主體可以直接物理接觸到信息資產(chǎn)。

威脅方式：主要有傳播計(jì)算機(jī)病毒、異常數(shù)據(jù)、掃描監(jiān)聽(tīng)、網(wǎng)絡(luò)攻擊（后門(mén)、漏洞、口令、拒絕服務(wù)等）、越權(quán)或?yàn)E用、行為抵賴、濫用網(wǎng)絡(luò)資源、人為災(zāi)害（水、火等）、人為基礎(chǔ)設(shè)施故障（電力、網(wǎng)絡(luò)等）、竊取、破壞硬件、軟件和數(shù)據(jù)等。

威脅識(shí)別工作完成之后，對(duì)資產(chǎn)所對(duì)應(yīng)的威脅進(jìn)行評(píng)估，將威脅的權(quán)值分為1-5 五個(gè)級(jí)別，等級(jí)越高威脅發(fā)生的可能性越大。威脅的權(quán)值主要是根據(jù)多年的經(jīng)驗(yàn)積累或類似行業(yè)客戶的歷史數(shù)據(jù)來(lái)確定。等級(jí)5標(biāo)識(shí)為很高，表示該威脅出現(xiàn)的頻率很高（或≥1 次/周），或在大多數(shù)情況下幾乎不可避免，或可以證實(shí)經(jīng)常發(fā)生過(guò)。等級(jí)1標(biāo)識(shí)為很低，表示該威脅幾乎不可能發(fā)生，僅可能在非常罕見(jiàn)和例外的情況下發(fā)生。

3.3 脆弱性測(cè)試

脆弱性評(píng)估需從管理和技術(shù)兩方面脆弱性來(lái)進(jìn)行。管理脆弱性評(píng)估方面主要是按照等級(jí)保護(hù)的安全管理要求對(duì)現(xiàn)有的安全管理制度的制定和執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)了其中的管理漏洞和不足。技術(shù)方面包括物理環(huán)境、網(wǎng)絡(luò)環(huán)境、主機(jī)系統(tǒng)、中間件系統(tǒng)和應(yīng)用系統(tǒng)五個(gè)層次，主要是通過(guò)遠(yuǎn)程和本地兩種方式進(jìn)行手工檢查、工具掃描等方式進(jìn)行評(píng)估，以保證脆弱性評(píng)估的全面性和有效性。

傳統(tǒng)IT 系統(tǒng)的技術(shù)脆弱性評(píng)測(cè)可以直接并入到生產(chǎn)系統(tǒng)中進(jìn)行掃描檢測(cè)，同時(shí)通過(guò)交換機(jī)的監(jiān)聽(tīng)口采集數(shù)據(jù)，進(jìn)行分析。而對(duì)工控系統(tǒng)的脆弱性驗(yàn)證和測(cè)評(píng)服務(wù)，則以實(shí)際車(chē)間工控系統(tǒng)為藍(lán)本，搭建一套模擬工控系統(tǒng)，模擬系統(tǒng)采用與真實(shí)系統(tǒng)相同或者相近的配置，最大程序反映實(shí)際工控系統(tǒng)的真實(shí)情況。評(píng)估出的模擬系統(tǒng)工控系統(tǒng)安全情況，經(jīng)過(guò)分析與演算，可以得出真實(shí)工控系統(tǒng)安全現(xiàn)狀。

對(duì)于工控系統(tǒng)主要采用的技術(shù)性測(cè)試方法。

（1）模擬和數(shù)字控制邏輯測(cè)試方法。該方法針對(duì)模擬系統(tǒng)中的控制器系統(tǒng)進(jìn)行測(cè)試。采用如圖1的拓?fù)湫问剑ㄟ^(guò)組態(tài)配置PLC輸出方波數(shù)字信號(hào)和階梯模擬信號(hào)，通過(guò)監(jiān)測(cè)控制信號(hào)的邏輯以判別控制系統(tǒng)的工作狀態(tài)。

（2）抓包測(cè)試方法。該方法可以對(duì)模擬系統(tǒng)中的各種設(shè)備進(jìn)行測(cè)試。采用圖2的拓?fù)湫问?，通過(guò)抓包方式，獲取車(chē)間現(xiàn)場(chǎng)運(yùn)行的正常網(wǎng)絡(luò)數(shù)據(jù)包；將該數(shù)據(jù)進(jìn)行模糊算法變異，產(chǎn)生新的測(cè)試用例，將新數(shù)據(jù)發(fā)送到測(cè)試設(shè)備上進(jìn)行漏洞挖掘。該測(cè)試方法既不影響工作現(xiàn)場(chǎng)，又使得模擬系統(tǒng)的測(cè)試數(shù)據(jù)流與工作現(xiàn)場(chǎng)相同。

（3）橋接測(cè)試方法。該方法針對(duì)模擬系統(tǒng)中的工業(yè)通信協(xié)議進(jìn)行測(cè)試。測(cè)試平臺(tái)接收到正常的數(shù)據(jù)包后，對(duì)該數(shù)據(jù)包進(jìn)行模糊算法變異，按照特定的協(xié)議格式，由測(cè)試平臺(tái)向被測(cè)設(shè)備發(fā)送修改后的數(shù)據(jù)，進(jìn)行漏洞挖掘測(cè)試。采用的拓?fù)湫问骄褪菆D2中去除了虛線框中的內(nèi)容后的形式。

（4）點(diǎn)對(duì)點(diǎn)測(cè)試方法。該方法針對(duì)通信協(xié)議進(jìn)行測(cè)試。采用與圖1相同拓?fù)湫问剑凑账鎸?duì)的協(xié)議的格式，由測(cè)試平臺(tái)向被測(cè)設(shè)備發(fā)送測(cè)試用例，進(jìn)行健壯性的測(cè)試。

（5）系統(tǒng)測(cè)試方法。該方法對(duì)裝有工控軟件的被測(cè)設(shè)備進(jìn)行測(cè)試。該方法采用如圖3的拓?fù)湫问?，綜合了前幾種方式，在系統(tǒng)的多個(gè)控制點(diǎn)同時(shí)進(jìn)行，模糊測(cè)試數(shù)據(jù)在不同控制點(diǎn)之間同時(shí)傳輸，對(duì)整個(gè)工業(yè)控制環(huán)境進(jìn)行系統(tǒng)級(jí)的漏洞挖掘。

3.4 綜合分析

在完成資產(chǎn)、威脅和脆弱性的評(píng)估后，進(jìn)入安全風(fēng)險(xiǎn)的評(píng)估階段。在這個(gè)過(guò)程中，得到綜合風(fēng)險(xiǎn)評(píng)估分析結(jié)果和建議。根據(jù)已得到的資產(chǎn)、威脅和脆弱性分析結(jié)果，可以得到風(fēng)險(xiǎn)以及相應(yīng)的等級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。

4 應(yīng)用實(shí)例

本文以某卷煙廠制絲車(chē)間的制絲集控系統(tǒng)為例進(jìn)行風(fēng)險(xiǎn)評(píng)估研究。

4.1 資產(chǎn)識(shí)別

首先對(duì)該制絲集控系統(tǒng)進(jìn)行了資產(chǎn)的識(shí)別，得到的各類資產(chǎn)的基本信息。資產(chǎn)的簡(jiǎn)單概述：服務(wù)器包括GR 服務(wù)器、監(jiān)控實(shí)時(shí)服務(wù)器、AOS 服務(wù)器、文件服務(wù)器、管理應(yīng)用服務(wù)器、管理數(shù)據(jù)庫(kù)服務(wù)器和管理實(shí)時(shí)服務(wù)器等；工作站包括工程師站、監(jiān)控計(jì)算機(jī)和管理計(jì)算機(jī)；下位機(jī)包括西門(mén)子PLC S7-300、PLC S7-400 和ET200S；網(wǎng)絡(luò)交換設(shè)備主要以西門(mén)子交換機(jī)和思科交換機(jī)為主；工控系統(tǒng)軟件主要有Wonderware 系列軟件、西門(mén)子STEP7、KEPServerEnterprise等。

4.2 威脅評(píng)估

依據(jù)威脅主體、威脅途徑和威脅方式對(duì)制絲集控系統(tǒng)進(jìn)行了威脅的識(shí)別，隨后對(duì)卷煙廠制絲集控系統(tǒng)的威脅分析表示，面臨的威脅來(lái)自于人員威脅和環(huán)境威脅，威脅方式主要有計(jì)算機(jī)病毒、入侵等。其中等級(jí)較高的威脅（等級(jí)≥3）其主體主要是互聯(lián)網(wǎng)/辦公網(wǎng)以及內(nèi)部辦公人員威脅。

4.3 脆弱性評(píng)估

搭建的模擬系統(tǒng)與真實(shí)網(wǎng)絡(luò)層次結(jié)構(gòu)相同，拓?fù)鋱D如圖4所示。

基于工控模擬環(huán)境，對(duì)設(shè)備控制層、工控協(xié)議、工控軟件、集中監(jiān)控設(shè)備進(jìn)行評(píng)估。

對(duì)設(shè)備控制層的控制設(shè)備通訊流程分為五條路徑進(jìn)行歸類分析，即圖4中的路徑1到5，通信協(xié)議均為西門(mén)子S7協(xié)議。一方面采用模擬和數(shù)字控制邏輯測(cè)試方法以及抓包測(cè)試方法對(duì)控制器進(jìn)行測(cè)試，另一方面采用橋接測(cè)試方法對(duì)S7協(xié)議進(jìn)行漏洞挖掘，結(jié)果表明結(jié)果未發(fā)現(xiàn)重大設(shè)備硬

件漏洞。

除了S7 協(xié)議外，圖4中所標(biāo)的剩余通信路徑中，路徑6為OPC協(xié)議，路徑7為ProfiNet協(xié)議，路徑8為ProfiBus協(xié)議，路徑9為Modbus TCP協(xié)議。對(duì)于這些工控協(xié)議，采用點(diǎn)對(duì)點(diǎn)測(cè)試方法進(jìn)行健壯性測(cè)試，結(jié)果發(fā)現(xiàn)了協(xié)議采用明文傳輸、未對(duì)OPC端口進(jìn)行安全防范等問(wèn)題。

采用系統(tǒng)測(cè)試方法，對(duì)裝有工控軟件的以及集中設(shè)備進(jìn)行測(cè)試，發(fā)現(xiàn)了工控軟件未對(duì)MAC 地址加固，無(wú)法防止中間人攻擊，賬號(hào)密碼不更新，未進(jìn)行認(rèn)證等數(shù)據(jù)校驗(yàn)諸多問(wèn)題。

然后對(duì)制絲集控系統(tǒng)進(jìn)行的脆弱性分析發(fā)現(xiàn)了兩個(gè)方面的問(wèn)題非常值得重視。一是工控層工作站可通過(guò)服務(wù)器連通Internet，未進(jìn)行任何隔離防范，有可能帶來(lái)入侵或病毒威脅；攻擊者可直接通過(guò)工作站攻擊內(nèi)網(wǎng)的所有服務(wù)器，這帶來(lái)的風(fēng)險(xiǎn)極大。二是工控協(xié)議存在一定威脅，后期需要采取防護(hù)措施。

4.4 綜合評(píng)估

此次對(duì)制絲集控系統(tǒng)的分析中，發(fā)現(xiàn)了一個(gè)高等級(jí)的風(fēng)險(xiǎn)：網(wǎng)絡(luò)中存在可以連接Internet的服務(wù)器，未對(duì)該服務(wù)器做安全防護(hù)。還有多個(gè)中等級(jí)的風(fēng)險(xiǎn)，包括網(wǎng)絡(luò)分域分區(qū)的策略未細(xì)化、關(guān)鍵網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)服務(wù)器安全配置不足、設(shè)備存在緊急風(fēng)險(xiǎn)漏洞、工控協(xié)議存在安全隱患、PLC 應(yīng)用固件缺乏較完善的認(rèn)證校驗(yàn)機(jī)制等。

4.5 防護(hù)建議

根據(jù)制絲集控系統(tǒng)所發(fā)現(xiàn)的風(fēng)險(xiǎn)和不足，可以采取幾項(xiàng)防護(hù)措施：對(duì)于可連到Internet的服務(wù)器，采用如堡壘機(jī)模式等安全防護(hù)措施，加強(qiáng)分區(qū)分域管理；對(duì)主機(jī)設(shè)備和網(wǎng)絡(luò)交換機(jī)加強(qiáng)安全策略，提高安全等級(jí)；對(duì)存在緊急風(fēng)險(xiǎn)漏洞的設(shè)備，及時(shí)打補(bǔ)??；對(duì)于工控協(xié)議存在的安全隱患，控制器缺乏驗(yàn)證校驗(yàn)機(jī)制等風(fēng)險(xiǎn)，采用工業(yè)安全防護(hù)設(shè)備對(duì)其檢測(cè)審計(jì)與防護(hù)阻斷。

5 結(jié)束語(yǔ)

隨著信息化的不斷加強(qiáng)，煙草企業(yè)對(duì)于工業(yè)控制系統(tǒng)信息安全越來(lái)越重視，而風(fēng)險(xiǎn)評(píng)估可以說(shuō)是信息安全工作的重要基礎(chǔ)。本文提出基于模擬系統(tǒng)和脆弱性測(cè)試的風(fēng)險(xiǎn)評(píng)估方法，采用資產(chǎn)識(shí)別、威脅評(píng)估、以模擬系統(tǒng)評(píng)測(cè)為主的脆弱性評(píng)估、綜合評(píng)估等步驟，對(duì)煙草制絲線控制系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。而在脆弱性測(cè)試中采用了模擬和數(shù)字控制邏輯測(cè)試、抓包測(cè)試、系統(tǒng)測(cè)試等多種方法，對(duì)工業(yè)控制系統(tǒng)技術(shù)上的脆弱性進(jìn)行測(cè)試。這些步驟和方法在某卷煙廠的制絲集控系統(tǒng)應(yīng)用中取得了良好的成果：發(fā)現(xiàn)了工控系統(tǒng)中存在的一些信息安全問(wèn)題及隱患，并以此設(shè)計(jì)了工業(yè)安全防護(hù)方案，將工控網(wǎng)絡(luò)風(fēng)險(xiǎn)控制到可接受范圍內(nèi)。

本次所做的煙草工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估工作，可以為同類的煙草企業(yè)工控信息安全防護(hù)建設(shè)提供一定的借鑒。但同時(shí)，也要看到，本次的風(fēng)險(xiǎn)評(píng)估工作中對(duì)于風(fēng)險(xiǎn)等內(nèi)容的定級(jí)對(duì)于經(jīng)驗(yàn)的依賴程度較高，不易判斷，這也是以后研究的方向之一。

參考文獻(xiàn)

[1] 李燕翔，胡明淮.煙草制造企業(yè)工業(yè)控制網(wǎng)絡(luò)安全淺析[J].中國(guó)科技博覽，2011，（34）： 531-2.

[2] 李鴻培， 忽朝儉，王曉鵬. 2014工業(yè)控制系統(tǒng)的安全研究與實(shí)踐[J]. 計(jì)算機(jī)安全，2014，（05）： 36-59，62.

[3] IEC 62443―2011， Industrial control network &system security standardization[S].

[4] SP 800-82―2008， Guide to industrial control systems（ICS） security[S].

[5] GB/T 26333―2011， 工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].

[6] GB/T 30976.1―2011， 工業(yè)控制系統(tǒng)信息安全 第1部分：評(píng)估規(guī)范[S].

[7] GB/T 30976.2―2011， 工業(yè)控制系統(tǒng)信息安全 第2部分：驗(yàn)收規(guī)范[S].

[8] 盧慧康， 陳冬青， 彭勇，王華忠.工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估量化研究[J].自動(dòng)化儀表， 2014 （10）： 21-5.

[9] 彭杰，劉力.工業(yè)控制系統(tǒng)信息安全性分析[J].自動(dòng)化儀表， 2012， 33（12）： 36-9.

作者簡(jiǎn)介：

李威（1984-），男，河南焦作人，西安交通大學(xué)，碩士，浙江中煙工業(yè)有限責(zé)任公司，工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全與網(wǎng)絡(luò)管理。

湯堯平（1974-），男，浙江諸暨人，浙江中煙工業(yè)有限責(zé)任公司，工程師；主要研究方向和關(guān)注領(lǐng)域：煙草生產(chǎn)工業(yè)控制。