導(dǎo)語(yǔ)：如何才能寫好一篇信息安全服務(wù)評(píng)估報(bào)告，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

安全評(píng)估管理規(guī)定

第一條為規(guī)范開展互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評(píng)估工作，維護(hù)國(guó)家安全和公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》，制定本規(guī)定。

第二條國(guó)家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評(píng)估，適用本規(guī)定。

本規(guī)定所稱互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用(以下簡(jiǎn)稱“新技術(shù)新應(yīng)用”)，是指用于提供互聯(lián)網(wǎng)新聞信息服務(wù)的創(chuàng)新性應(yīng)用(包括功能及應(yīng)用形式)及相關(guān)支撐技術(shù)。

本規(guī)定所稱互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評(píng)估(以下簡(jiǎn)稱“新技術(shù)新應(yīng)用安全評(píng)估”)，是指根據(jù)新技術(shù)新應(yīng)用的新聞?shì)浾搶傩?、社?huì)動(dòng)員能力及由此產(chǎn)生的信息內(nèi)容安全風(fēng)險(xiǎn)確定評(píng)估等級(jí)，審查評(píng)價(jià)其信息安全管理制度和技術(shù)保障措施的活動(dòng)。

第三條互聯(lián)網(wǎng)新聞信息服務(wù)提供者調(diào)整增設(shè)新技術(shù)新應(yīng)用，應(yīng)當(dāng)建立健全信息安全管理制度和安全可控的技術(shù)保障措施，不得、傳播法律法規(guī)禁止的信息內(nèi)容。

第四條國(guó)家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)全國(guó)新技術(shù)新應(yīng)用安全評(píng)估工作。省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室依據(jù)職責(zé)負(fù)責(zé)本行政區(qū)域內(nèi)新技術(shù)新應(yīng)用安全評(píng)估工作。

國(guó)家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室可以委托第三方機(jī)構(gòu)承擔(dān)新技術(shù)新應(yīng)用安全評(píng)估的具體實(shí)施工作。

第五條鼓勵(lì)支持新技術(shù)新應(yīng)用安全評(píng)估相關(guān)行業(yè)組織和專業(yè)機(jī)構(gòu)加強(qiáng)自律，建立健全安全評(píng)估服務(wù)質(zhì)量評(píng)議和信用、能力公示制度，促進(jìn)行業(yè)規(guī)范發(fā)展。

第六條互聯(lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)當(dāng)建立健全新技術(shù)新應(yīng)用安全評(píng)估管理制度和保障制度，按照本規(guī)定要求自行組織開展安全評(píng)估，為國(guó)家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評(píng)估提供必要的配合，并及時(shí)完成整改。

第七條有下列情形之一的，互聯(lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)當(dāng)自行組織開展新技術(shù)新應(yīng)用安全評(píng)估，編制書面安全評(píng)估報(bào)告，并對(duì)評(píng)估結(jié)果負(fù)責(zé)：

(一)應(yīng)用新技術(shù)、調(diào)整增設(shè)具有新聞?shì)浾搶傩曰蛏鐣?huì)動(dòng)員能力的應(yīng)用功能的；

(二)新技術(shù)、新應(yīng)用功能在用戶規(guī)模、功能屬性、技術(shù)實(shí)現(xiàn)方式、基礎(chǔ)資源配置等方面的改變導(dǎo)致新聞?shì)浾搶傩曰蛏鐣?huì)動(dòng)員能力發(fā)生重大變化的。

國(guó)家互聯(lián)網(wǎng)信息辦公室適時(shí)新技術(shù)新應(yīng)用安全評(píng)估目錄，供互聯(lián)網(wǎng)新聞信息服務(wù)提供者自行組織開展安全評(píng)估參考。

第八條互聯(lián)網(wǎng)新聞信息服務(wù)提供者按照本規(guī)定第七條自行組織開展新技術(shù)新應(yīng)用安全評(píng)估，發(fā)現(xiàn)存在安全風(fēng)險(xiǎn)的，應(yīng)當(dāng)及時(shí)整改，直至消除相關(guān)安全風(fēng)險(xiǎn)。

按照本規(guī)定第七條規(guī)定自行組織開展安全評(píng)估的，應(yīng)當(dāng)在應(yīng)用新技術(shù)、調(diào)整增設(shè)應(yīng)用功能前完成評(píng)估。

第九條互聯(lián)網(wǎng)新聞信息服務(wù)提供者按照本規(guī)定第八條自行組織開展新技術(shù)新應(yīng)用安全評(píng)估后，應(yīng)當(dāng)自安全評(píng)估完成之日起10個(gè)工作日內(nèi)報(bào)請(qǐng)國(guó)家或者省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評(píng)估。

第十條報(bào)請(qǐng)國(guó)家或者省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展新技術(shù)新應(yīng)用安全評(píng)估，報(bào)請(qǐng)主體為中央新聞單位或者中央新聞宣傳部門主管的單位的，由國(guó)家互聯(lián)網(wǎng)信息辦公室組織開展安全評(píng)估；報(bào)請(qǐng)主體為地方新聞單位或者地方新聞宣傳部門主管的單位的，由省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評(píng)估；報(bào)請(qǐng)主體為其他單位的，經(jīng)所在地省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評(píng)估后，將評(píng)估材料及意見報(bào)國(guó)家互聯(lián)網(wǎng)信息辦公室審核后形成安全評(píng)估報(bào)告。

第十一條互聯(lián)網(wǎng)新聞信息服務(wù)提供者報(bào)請(qǐng)國(guó)家或者省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展新技術(shù)新應(yīng)用安全評(píng)估，應(yīng)當(dāng)提供下列材料，并對(duì)提供材料的真實(shí)性負(fù)責(zé)：

(一)服務(wù)方案(包括服務(wù)項(xiàng)目、服務(wù)方式、業(yè)務(wù)形式、服務(wù)范圍等)；

(二)產(chǎn)品(服務(wù))的主要功能和主要業(yè)務(wù)流程，系統(tǒng)組成(主要軟硬件系統(tǒng)的種類、品牌、版本、部署位置等概要介紹)；

(三)產(chǎn)品(服務(wù))配套的信息安全管理制度和技術(shù)保障措施；

(四)自行組織開展并完成的安全評(píng)估報(bào)告；

(五)其他開展安全評(píng)估所需的必要材料。

第十二條國(guó)家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室應(yīng)當(dāng)自材料齊備之日起45個(gè)工作日內(nèi)組織完成新技術(shù)新應(yīng)用安全評(píng)估。

國(guó)家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室可以采取書面確認(rèn)、實(shí)地核查、網(wǎng)絡(luò)監(jiān)測(cè)等方式對(duì)報(bào)請(qǐng)材料進(jìn)行進(jìn)一步核實(shí)，服務(wù)提供者應(yīng)予配合。

國(guó)家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織完成安全評(píng)估后，應(yīng)自行或委托第三方機(jī)構(gòu)編制形成安全評(píng)估報(bào)告。

第十三條新技術(shù)新應(yīng)用安全評(píng)估報(bào)告載明的意見認(rèn)為新技術(shù)新應(yīng)用存在信息安全風(fēng)險(xiǎn)隱患，未能配套必要的安全保障措施手段的，互聯(lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)當(dāng)及時(shí)進(jìn)行整改，直至符合法律法規(guī)規(guī)章等相關(guān)規(guī)定和國(guó)家強(qiáng)制性標(biāo)準(zhǔn)相關(guān)要求。在整改完成前，擬調(diào)整增設(shè)的新技術(shù)新應(yīng)用不得用于提供互聯(lián)網(wǎng)新聞信息服務(wù)。

服務(wù)提供者拒絕整改，或整改后未達(dá)法律法規(guī)規(guī)章等相關(guān)規(guī)定和國(guó)家強(qiáng)制性標(biāo)準(zhǔn)相關(guān)要求，而導(dǎo)致不再符合許可條件的，由國(guó)家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室依據(jù)《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》第二十三條的規(guī)定，責(zé)令服務(wù)提供者限期改正；逾期仍不符合許可條件的，暫停新聞信息更新；《互聯(lián)網(wǎng)新聞信息服務(wù)許可證》有效期屆滿仍不符合許可條件的，不予換發(fā)許可證。

第十四條組織開展新技術(shù)新應(yīng)用安全評(píng)估的相關(guān)單位和人員應(yīng)當(dāng)對(duì)在履行職責(zé)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人信息嚴(yán)格保密，不得泄露、出售或者非法向他人提供。

第十五條國(guó)家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室應(yīng)當(dāng)建立主動(dòng)監(jiān)測(cè)管理制度，對(duì)新技術(shù)新應(yīng)用加強(qiáng)監(jiān)測(cè)巡查，強(qiáng)化信息安全風(fēng)險(xiǎn)管理，督導(dǎo)企業(yè)主體責(zé)任落實(shí)。

第十六條互聯(lián)網(wǎng)新聞信息服務(wù)提供者未按照本規(guī)定進(jìn)行安全評(píng)估，違反《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》的，由國(guó)家和地方互聯(lián)網(wǎng)信息辦公室依法予以處罰。

篇2

 

隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，信息化逐漸滲透到社會(huì)各個(gè)領(lǐng)域，國(guó)家的經(jīng)營(yíng)活動(dòng)也完全處于信息化環(huán)境之下。然而信息化的普及也使得人們?cè)絹?lái)越依賴信息系統(tǒng)，意味著其面對(duì)安全威脅時(shí)更加脆弱。本文通過介紹信息安全管理軟件，主要闡述了其在企業(yè)信息管理中的作用和地位，例舉了信息安全管理軟件在黑莓手機(jī)和交通管理中的實(shí)際應(yīng)用，分析了其未來(lái)的發(fā)展趨勢(shì)。

 

1信息安全管理軟件在實(shí)際生活中的應(yīng)用

 

1.1信息安全管理軟件在企業(yè)管理中的應(yīng)用

 

國(guó)外常見應(yīng)用于企業(yè)的信息安全管理軟件有ASSET、COBRA、Callio Secum 17799等。ASSET主要通過用戶手動(dòng)操作對(duì)信息系統(tǒng)安全性進(jìn)行自我評(píng)估，生成安全性自我評(píng)估報(bào)告，從而達(dá)到保障信息系統(tǒng)安全性的目的;COBRA通過問卷的方式采集和分析資料，并對(duì)組織的風(fēng)險(xiǎn)進(jìn)行定性分析，最終生成包含已識(shí)別風(fēng)險(xiǎn)和推薦措施的評(píng)估報(bào)告;Callio Sect～是一款幫助企業(yè)實(shí)施定性的風(fēng)險(xiǎn)評(píng)估和認(rèn)證信息安全管理體系的基于Web的工具。它們有各自的優(yōu)缺點(diǎn)，其中COBRA和CallioSecum的技術(shù)相對(duì)成熟，安全性更高，使用范圍也更廣。

 

國(guó)內(nèi)開發(fā)的企業(yè)信息安全管理軟件比較少，如今應(yīng)用得比較廣泛的是由廈門天銳科技有限公司自主研發(fā)的綠盾加密軟件，是一套整合了文件自動(dòng)加密、網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、網(wǎng)絡(luò)行為管理及內(nèi)網(wǎng)的軟件系統(tǒng)，為企業(yè)信息一體化的安全管理提供解決方案，從源頭保障了數(shù)據(jù)存儲(chǔ)和使用安全。

 

信息安全管理軟件在企業(yè)中主要起到了保護(hù)企業(yè)信息資源財(cái)產(chǎn)安全、防止企業(yè)信息泄露、規(guī)范企業(yè)員工行為準(zhǔn)則、保障企業(yè)信息系統(tǒng)得以順暢運(yùn)行等重要作用，保證企業(yè)的價(jià)值最大化。

 

1.2黑莓手機(jī)中信息安全管理軟件的設(shè)計(jì)和實(shí)現(xiàn)

 

在信息化逐漸普及的今天，智能手機(jī)也隨之迅猛發(fā)展起來(lái)，但是人們?cè)谙硎芩鼛?lái)的生活樂趣和生活便利的同時(shí)，也隨時(shí)面臨著個(gè)人信息泄露、重要數(shù)據(jù)丟失、通信不安全等威脅。因此，如何利用信息安全管理軟件避免信息泄露是相關(guān)技術(shù)人員應(yīng)該致力研究的方向。

 

在黑莓手機(jī)的安全管理軟件設(shè)計(jì)中，技術(shù)人員采用了很多模塊功能來(lái)控制信息的泄露、轉(zhuǎn)移、傳送等過程，保證了這些過程實(shí)施的安全性。例如：當(dāng)操作模塊受到客戶端發(fā)送的銷毀敏感數(shù)據(jù)的命令時(shí)，先在敏感信息模塊對(duì)數(shù)據(jù)進(jìn)行刪除，再調(diào)用通信模塊將執(zhí)行結(jié)果提交到服務(wù)器;在加解密模塊，使用RC4算法對(duì)所有交互數(shù)據(jù)進(jìn)行加密，通過讀取程序預(yù)設(shè)的通信解密密匙進(jìn)行解密;短信收發(fā)模塊通過調(diào)用加解密模塊對(duì)短信內(nèi)容進(jìn)行加解密，防止短信等信息被不法分子竊聽破解。

 

合理利用相關(guān)信息安全技術(shù)手段提高手機(jī)通信中的安全管理，能保護(hù)公民個(gè)人隱私、企業(yè)財(cái)產(chǎn)安全，但是現(xiàn)在信息安全管理技術(shù)發(fā)展的并不成熟，相關(guān)管理軟件也存在一些漏洞，需要在未來(lái)不斷地進(jìn)步并修復(fù)這些可能存在的技術(shù)本身的風(fēng)險(xiǎn)和威脅。

 

1.3信息安全管理軟件在交通管理中的應(yīng)用實(shí)現(xiàn)

 

在國(guó)家公安機(jī)關(guān)進(jìn)行交通管理信息化的進(jìn)程中，有些非法分子使用安全攻擊技術(shù)和手段對(duì)交通管理信息系統(tǒng)進(jìn)行攻擊，企圖竊取相關(guān)業(yè)務(wù)軟件，篡改程序代碼謀取利益。這些行為使得交通管理信息安全系統(tǒng)承受著日益沉重的壓力，嚴(yán)重危害了交通管理業(yè)務(wù)的辦理和安全。

 

公安機(jī)關(guān)通過安裝點(diǎn)標(biāo)識(shí)、安裝密鑰管理、正式密鑰管理和設(shè)置通信機(jī)制等技術(shù)手段來(lái)實(shí)現(xiàn)交通管理信息系統(tǒng)的安全管理。安裝點(diǎn)標(biāo)識(shí)通過采集足夠多的信息以對(duì)服務(wù)器進(jìn)行認(rèn)證識(shí)別;密鑰管理中，系統(tǒng)通過安裝密鑰、注冊(cè)采集標(biāo)識(shí)信息、驗(yàn)證注冊(cè)信息生成正式的密鑰，保證信息的安全性;在系統(tǒng)信息交互過程中使用雙重對(duì)稱加密法保證通信的保密性和完整性。通過使用這些信息安全技術(shù)和安裝信息安全管理軟件，加強(qiáng)了交通管理業(yè)務(wù)軟件的安全性，保障了相關(guān)業(yè)務(wù)的順利進(jìn)行。

 

2信息安全管理軟件的現(xiàn)狀及發(fā)展趨勢(shì)

 

2.1國(guó)內(nèi)信息安全管理軟件的發(fā)展現(xiàn)狀

 

我國(guó)近幾年來(lái)雖然大力引入信息化，注重信息化管理，但是由于自身信息化技術(shù)不完備、觀念不清、試驗(yàn)尚不成熟等原因，加上信息化隨之引起的信息安全問題，國(guó)內(nèi)信息化產(chǎn)業(yè)發(fā)展得并不順暢。很多企業(yè)在面臨信息安全風(fēng)險(xiǎn)時(shí)，更傾向于使用國(guó)外的信息安全管理軟件，因?yàn)樗鼈兊墓δ芨鼜?qiáng)大、界面更友好、技術(shù)更成熟。這就導(dǎo)致了國(guó)內(nèi)信息安全管理軟件并沒有得到一個(gè)很好的環(huán)境來(lái)開發(fā)或者發(fā)展，這是現(xiàn)階段我們應(yīng)該認(rèn)識(shí)到并值得注意的問題。

 

2.2國(guó)內(nèi)信息安全管理軟件的發(fā)展趨勢(shì)

 

IT新技術(shù)的高速發(fā)展和攻擊手段的不斷變化，使得信息安全軟件快速崛起。傳統(tǒng)的信息安全軟件偏重于靜態(tài)的封閉的自我保護(hù)，隨著攻擊者手段的不斷變化和信息安全事故的損失之慘痛，未來(lái)的信息安全軟件將朝著動(dòng)態(tài)變化主動(dòng)出擊發(fā)展。預(yù)測(cè)未來(lái)應(yīng)急相應(yīng)技術(shù)、攻擊取證、攻擊陷阱、入侵容忍和自動(dòng)恢復(fù)將成為信息安全發(fā)展的熱門。信息安全軟件也將避開基于特征的防御難題，轉(zhuǎn)向基于行為的防護(hù)。另外，信息安全軟件的保護(hù)環(huán)境也將覆蓋到內(nèi)網(wǎng)。人們往往認(rèn)為黑客的攻擊來(lái)源于外網(wǎng)用戶，而忽略了內(nèi)網(wǎng)用戶對(duì)內(nèi)網(wǎng)結(jié)構(gòu)、防范部署了解更深，因此，內(nèi)網(wǎng)用戶的攻擊和誤操作也會(huì)給整個(gè)網(wǎng)絡(luò)帶來(lái)巨大的傷害，因此未來(lái)的信息安全軟件將逐步消除這一安全盲區(qū)。

 

未來(lái)的信息安全軟件可能仍然會(huì)側(cè)重于基礎(chǔ)軟件的完善，如通信協(xié)議軟件、操作系統(tǒng)、數(shù)據(jù)庫(kù)、通用辦公軟件和中間件?；A(chǔ)軟件一旦存在安全漏洞，將會(huì)造成毀滅性的傷害。因此軟件安全工程、軟件功能可信性驗(yàn)證、軟件漏洞自動(dòng)分析工具、軟件完整性保護(hù)方法，都是未來(lái)軟件的發(fā)展新動(dòng)力。安全軟件的應(yīng)用重點(diǎn)領(lǐng)域也將仍然是：政府、軍隊(duì)、能源、銀行、電信。其中證券、交通、教育、制造對(duì)于等新興企業(yè)需求日趨強(qiáng)勁。信用卡的信息安全問題日趨嚴(yán)重，我國(guó)銀行信用卡發(fā)行超過4億張，但據(jù)調(diào)查，銀行客戶信用卡泄露情況非常嚴(yán)重，甚至在網(wǎng)絡(luò)上形成公開販賣之勢(shì)。信用卡領(lǐng)域信息安全也會(huì)成為信息安全市場(chǎng)的新興產(chǎn)業(yè)。

 

未來(lái)中國(guó)信息安全市場(chǎng)整體仍然保持20%的年平均增長(zhǎng)率，網(wǎng)絡(luò)信息安全行業(yè)的市場(chǎng)規(guī)模，有望達(dá)到300億元。

 

3結(jié)論

 

目前信息安全管理軟件發(fā)展還不是很完備，信息安全這條路還需要進(jìn)行不斷探索發(fā)展。國(guó)家需要信息技術(shù)和科學(xué)管理方面的人才，為指導(dǎo)和指揮我國(guó)信息安全產(chǎn)業(yè)發(fā)展提供堅(jiān)實(shí)有力的基礎(chǔ)。信息安全管理軟件也勢(shì)必會(huì)經(jīng)歷一系列的改革淘汰，最終形成成熟的技術(shù)體系。

篇3

【 關(guān)鍵詞 】 物聯(lián)網(wǎng)；信息安全；檢測(cè)體系

1 引言

隨著國(guó)家信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本完成，信息化應(yīng)用全面展開，物聯(lián)網(wǎng)廣泛應(yīng)用于公共事業(yè)/服務(wù)、交通運(yùn)輸、個(gè)人用戶、批發(fā)零售、工業(yè)、制造業(yè)、商業(yè)、服務(wù)業(yè)、農(nóng)業(yè)、建筑業(yè)、金融業(yè)等。目前來(lái)看，物聯(lián)網(wǎng)雖然給人們帶來(lái)便利，但物聯(lián)網(wǎng)在信息安全方面還存在一定的局限性。一是存在信號(hào)受到干擾的可能。如果安置在物品上的傳感設(shè)備信號(hào)受到惡意干擾，很容易造成重要物品損失以及重要信息被篡改、丟失的隱患。二是惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過了相關(guān)安全技術(shù)的防范，對(duì)物聯(lián)網(wǎng)的授權(quán)管理進(jìn)行惡意操作，掌控他人的物品，就會(huì)造成對(duì)用戶隱私權(quán)的侵犯。如果爆炸物、槍支等危險(xiǎn)物品被其它人掌控，后果會(huì)十分嚴(yán)重。因此，物聯(lián)網(wǎng)安全問題如果得不到有效解決，將嚴(yán)重阻礙物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。由于物聯(lián)網(wǎng)感知節(jié)點(diǎn)和傳輸設(shè)備具有能量低、計(jì)算能力差、運(yùn)行環(huán)境惡劣、通信協(xié)議龐雜等特點(diǎn)，使得傳統(tǒng)安全技術(shù)無(wú)法直接應(yīng)用于物聯(lián)網(wǎng)，由此引發(fā)物聯(lián)網(wǎng)特有的安全問題，而物聯(lián)網(wǎng)安全技術(shù)和安全狀況缺乏有效的檢測(cè)和評(píng)價(jià)手段。

我國(guó)政策環(huán)境較好，物聯(lián)網(wǎng)已成為國(guó)家發(fā)展戰(zhàn)略，初步明確了未來(lái)發(fā)展方向和重點(diǎn)領(lǐng)域。國(guó)家高度重視物聯(lián)網(wǎng)安全建設(shè)。2013年初，國(guó)務(wù)院了《關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》（國(guó)發(fā)[2013]7號(hào)）中明確提出以工業(yè)和信息化部、發(fā)展改革委、公安部牽頭承擔(dān)物聯(lián)網(wǎng)安全保障專項(xiàng)行動(dòng)計(jì)劃：提高物聯(lián)網(wǎng)信息安全管理與數(shù)據(jù)保護(hù)水平，建立健全監(jiān)督、檢查和安全評(píng)估機(jī)制。加強(qiáng)物聯(lián)網(wǎng)重要應(yīng)用和系統(tǒng)的安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和安全防護(hù)工作。加快物聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)、檢測(cè)、認(rèn)證等公共服務(wù)建設(shè)，完善支撐服務(wù)體系，有效保障物聯(lián)網(wǎng)信息采集、傳輸、處理、應(yīng)用等各環(huán)節(jié)的安全可控。

2 物聯(lián)網(wǎng)一體化安全檢測(cè)體系

各類物聯(lián)網(wǎng)示范工程進(jìn)行大規(guī)模應(yīng)用之前，應(yīng)充分考慮和評(píng)測(cè)其安全性，從源頭保證物聯(lián)網(wǎng)安全措施有效性、功能符合性、安全管理的全面性以及給出安全防護(hù)評(píng)估。在建設(shè)實(shí)施階段，將所有的安全功能模塊（產(chǎn)品）集成為一個(gè)完整的系統(tǒng)后，需要檢查集成出的系統(tǒng)是否符合要求，測(cè)試并評(píng)估安全措施在整個(gè)系統(tǒng)中實(shí)施的有效性，跟蹤安全保障機(jī)制并發(fā)現(xiàn)漏洞，完成系統(tǒng)的運(yùn)行程序和全生命期安的安全風(fēng)險(xiǎn)評(píng)估報(bào)告。在運(yùn)行維護(hù)階段，要定期進(jìn)行安全性檢測(cè)和風(fēng)險(xiǎn)評(píng)估以保證系統(tǒng)的安全水平在運(yùn)行期間不會(huì)下降，包括檢查產(chǎn)品的升級(jí)和系統(tǒng)打補(bǔ)丁情況，檢測(cè)系統(tǒng)的安全性能，檢測(cè)新安全攻擊、新威脅以及其它與安全風(fēng)險(xiǎn)有關(guān)的因素，評(píng)估系統(tǒng)改動(dòng)對(duì)安全系統(tǒng)造成的影響。

物聯(lián)網(wǎng)關(guān)鍵安全問題：一是感知設(shè)備安全；二是物聯(lián)網(wǎng)系統(tǒng)安全和風(fēng)險(xiǎn)評(píng)估，重點(diǎn)是接入問題；三是業(yè)務(wù)應(yīng)用安全。目前，各行業(yè)均提出了相應(yīng)的安全防護(hù)體系，如智能電網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。本文依據(jù)相關(guān)的安全防護(hù)體系提出物聯(lián)網(wǎng)一體化安全檢測(cè)體系，即“一中心、兩庫(kù)、五平臺(tái)”，如圖1所示。即開放式場(chǎng)景檢測(cè)支撐平臺(tái)、感知設(shè)備安全檢測(cè)服務(wù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)服務(wù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)平臺(tái)、物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺(tái)、物聯(lián)網(wǎng)安全檢測(cè)標(biāo)準(zhǔn)及指標(biāo)庫(kù)、物聯(lián)網(wǎng)信息安全漏洞與補(bǔ)丁庫(kù)以及一體化安全檢測(cè)管理中心。在此基礎(chǔ)上，結(jié)合物聯(lián)網(wǎng)具體業(yè)務(wù)需求，進(jìn)行物聯(lián)網(wǎng)安全檢測(cè)方法、規(guī)范、指標(biāo)體系、專業(yè)化檢測(cè)技術(shù)研究與積累。同時(shí)，形成一支服務(wù)于物聯(lián)網(wǎng)安全檢測(cè)的多層次、復(fù)合型、專業(yè)化人才隊(duì)伍，全面保障物聯(lián)網(wǎng)系統(tǒng)安全穩(wěn)定運(yùn)行。

3 “五平臺(tái)”

“五平臺(tái)”提供檢測(cè)、檢查和評(píng)估三類專業(yè)化服務(wù)，其中物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺(tái)可作為獨(dú)立平臺(tái)對(duì)外提供檢查服務(wù)；開放式場(chǎng)景檢測(cè)支撐平臺(tái)為感知設(shè)備安全檢測(cè)服務(wù)平臺(tái)與物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)服務(wù)平臺(tái)提供安全符合性檢測(cè)環(huán)境，此三個(gè)平臺(tái)提供技術(shù)檢測(cè)服務(wù)；物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)平臺(tái)在前述四個(gè)平臺(tái)基礎(chǔ)上，關(guān)聯(lián)外在威脅，分析自身脆弱性，提供風(fēng)險(xiǎn)評(píng)估服務(wù)?！拔迤脚_(tái)”結(jié)構(gòu)關(guān)系如圖2所示，“五平臺(tái)”既可獨(dú)立提供檢測(cè)服務(wù)，也可互為補(bǔ)充，為用戶提供定制化的檢測(cè)服務(wù)，形成開放式檢測(cè)服務(wù)體系架構(gòu)。

3.1 開放式場(chǎng)景檢測(cè)支撐平臺(tái)

開放式場(chǎng)景檢測(cè)支撐平臺(tái)實(shí)現(xiàn)物聯(lián)網(wǎng)感知設(shè)備、接入系統(tǒng)、業(yè)務(wù)應(yīng)用三層檢測(cè)環(huán)境，如圖3所示。通過多部件的靈活組建，實(shí)現(xiàn)其感、傳、知、用的安全功能檢測(cè)，靈活支持用戶個(gè)性化的檢測(cè)需求。

3.2 感知設(shè)備安全檢測(cè)服務(wù)平臺(tái)

感知設(shè)備安全檢測(cè)服務(wù)平臺(tái)實(shí)現(xiàn)一個(gè)通用的感知設(shè)備安全檢測(cè)系統(tǒng)，由開放式場(chǎng)景檢測(cè)支撐平臺(tái)為被測(cè)設(shè)備提供運(yùn)行檢測(cè)環(huán)境，其從感知操作安全、感知數(shù)據(jù)處理安全、感知數(shù)據(jù)存儲(chǔ)安全和感知節(jié)點(diǎn)設(shè)備安全、感知節(jié)點(diǎn)通信安全等五方面檢測(cè)安全功能和性能，其檢測(cè)框架如圖4所示。

3.3 物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)服務(wù)平臺(tái)

物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)服務(wù)平臺(tái)以系統(tǒng)、整體的視角對(duì)智能感知層訪問控制、身份認(rèn)證等策略配置進(jìn)行符合性測(cè)試；對(duì)接入傳輸層的AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證等進(jìn)行檢測(cè)；對(duì)業(yè)務(wù)應(yīng)用層數(shù)據(jù)庫(kù)安全、應(yīng)用系統(tǒng)和網(wǎng)站安全、應(yīng)用系統(tǒng)穩(wěn)定性、業(yè)務(wù)連續(xù)性等進(jìn)行符合性和有效性檢測(cè)。檢測(cè)框架如圖5所示。

3.4 物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)平臺(tái)

物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)平臺(tái)對(duì)可能遭受到的威脅和自身脆弱性進(jìn)行安全分析，然后根據(jù)安全事件的可能性以及安全事件造成的損失計(jì)算出風(fēng)險(xiǎn)值、對(duì)安全事件進(jìn)行風(fēng)險(xiǎn)等級(jí)定級(jí)，最后結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)物聯(lián)網(wǎng)系統(tǒng)造成的影響。風(fēng)險(xiǎn)評(píng)估框架如圖6所示。

3.5 集成化安全管理檢查服務(wù)平臺(tái)

集成化安全管理檢查服務(wù)基于物聯(lián)網(wǎng)多類型終端、多網(wǎng)融合、海量數(shù)據(jù)處理和全面感知等特點(diǎn)。從防范阻止、檢測(cè)發(fā)現(xiàn)、應(yīng)急處置、審計(jì)追查和集中管控五個(gè)方面，對(duì)物聯(lián)網(wǎng)系統(tǒng)智能感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層的安全管理情況進(jìn)行檢查，其安全管理檢查框架如圖7所示。

4 “兩庫(kù)”

4.1 標(biāo)準(zhǔn)及指標(biāo)庫(kù)

基礎(chǔ)庫(kù)“標(biāo)準(zhǔn)及指標(biāo)庫(kù)”通過構(gòu)建物聯(lián)網(wǎng)安全檢測(cè)標(biāo)準(zhǔn)子庫(kù)與指標(biāo)子庫(kù)為“五平臺(tái)”提供支撐。標(biāo)準(zhǔn)子庫(kù)建設(shè)來(lái)源：一是從物聯(lián)網(wǎng)國(guó)際標(biāo)準(zhǔn)組織IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解國(guó)際最新標(biāo)準(zhǔn)，研究制訂適合國(guó)情的物聯(lián)網(wǎng)標(biāo)準(zhǔn)；二是從國(guó)內(nèi)標(biāo)準(zhǔn)組織：WGSN、CCSA和RFID標(biāo)準(zhǔn)工作組獲取最新標(biāo)準(zhǔn)；三是隨著業(yè)務(wù)開展，編制了物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)一體化安全檢測(cè)標(biāo)準(zhǔn)體系框架，按照標(biāo)準(zhǔn)服務(wù)性質(zhì)的區(qū)分，分為物聯(lián)網(wǎng)產(chǎn)品安全檢測(cè)標(biāo)準(zhǔn)、物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)標(biāo)準(zhǔn)、物聯(lián)網(wǎng)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)以及集成化安全管理檢查標(biāo)準(zhǔn)。其框架如圖8所示。

指標(biāo)庫(kù)為各種類型的被測(cè)設(shè)備和系統(tǒng)提供相應(yīng)的檢測(cè)指標(biāo)項(xiàng)目，同時(shí)支持用戶自定義新的檢測(cè)指標(biāo)。指標(biāo)庫(kù)依據(jù)各服務(wù)平臺(tái)檢測(cè)內(nèi)容劃分四類，即物聯(lián)網(wǎng)產(chǎn)品檢測(cè)指標(biāo)、物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)指標(biāo)、物聯(lián)網(wǎng)風(fēng)險(xiǎn)評(píng)估指標(biāo)以及集成化管理檢查指標(biāo)。其涵蓋功能檢測(cè)、性能檢測(cè)、抗毀性檢測(cè)、符合性檢測(cè)、有效性檢測(cè)和可用性檢測(cè)等指標(biāo)。

4.2 漏洞與補(bǔ)丁庫(kù)

漏洞與補(bǔ)丁庫(kù)采用云存儲(chǔ)方式，包括海量數(shù)據(jù)融合漏洞，TinyOS操作系統(tǒng)漏洞，異構(gòu)網(wǎng)絡(luò)認(rèn)證協(xié)議漏洞，感知信息傳輸協(xié)議漏洞等。 漏洞與補(bǔ)丁庫(kù)一方面為產(chǎn)品、系統(tǒng)檢測(cè)，風(fēng)險(xiǎn)評(píng)估、安全檢查提供支撐服務(wù)，另一方面對(duì)外提供咨詢服務(wù)，網(wǎng)上漏洞信息，定制客戶漏洞處理方案，提供漏洞補(bǔ)丁和專用殺毒工具下載等。

5 “一中心”

一體化安全檢測(cè)管理中心完成上述“二庫(kù)、五平臺(tái)”的互聯(lián)互通和信息共享，實(shí)現(xiàn)檢測(cè)項(xiàng)目統(tǒng)一管理，檢測(cè)數(shù)據(jù)統(tǒng)一匯總，檢測(cè)結(jié)果統(tǒng)一判定，形成感知設(shè)備檢測(cè)報(bào)告、物聯(lián)網(wǎng)系統(tǒng)檢測(cè)報(bào)告、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告以及集成化安全管理檢查報(bào)告等。

一體化安全檢測(cè)管理中心由項(xiàng)目管理、場(chǎng)景管理、感知設(shè)備檢測(cè)、系統(tǒng)檢測(cè)、風(fēng)險(xiǎn)評(píng)估、集成化安全管理檢查、工具集、基礎(chǔ)庫(kù)管理八個(gè)核心模塊組成，整個(gè)平臺(tái)由項(xiàng)目庫(kù)、標(biāo)準(zhǔn)及指標(biāo)庫(kù)、方法庫(kù)、漏洞與補(bǔ)丁庫(kù)四個(gè)數(shù)據(jù)庫(kù)支撐，管理中心框架設(shè)計(jì)如圖9所示。

6 技術(shù)特點(diǎn)

（1）提供開放式檢測(cè)環(huán)境

物聯(lián)網(wǎng)應(yīng)用的廣泛性和復(fù)雜性，僅依賴單一場(chǎng)景無(wú)法滿足客戶的多層次需求，通過開放式檢測(cè)環(huán)境，可實(shí)現(xiàn)感知設(shè)備、接入方式、業(yè)務(wù)應(yīng)用的檢測(cè)環(huán)境，使得檢測(cè)手段更豐富、更精準(zhǔn)。

（2）提供多類型、多元化的檢測(cè)

一體化安全檢測(cè)體系通過感知設(shè)備檢測(cè)、系統(tǒng)檢測(cè)、風(fēng)險(xiǎn)評(píng)估、管理檢查的一體化檢測(cè)服務(wù)，提品檢測(cè)和系統(tǒng)檢測(cè)、實(shí)驗(yàn)室檢測(cè)和現(xiàn)場(chǎng)檢測(cè)服務(wù)，滿足物聯(lián)網(wǎng)復(fù)雜多變的檢測(cè)需求，使得安全檢測(cè)更全面性，幫助客戶準(zhǔn)確評(píng)估物聯(lián)網(wǎng)安全性。

（3）提供技術(shù)與管理全方位檢測(cè)

物聯(lián)網(wǎng)安全包含技術(shù)與管理兩方面，技術(shù)與管理并重，本體系通過“五平臺(tái)”實(shí)現(xiàn)產(chǎn)品、系統(tǒng)技術(shù)類檢測(cè)/風(fēng)險(xiǎn)評(píng)估與安全管理檢查，全方位、整體評(píng)估物聯(lián)網(wǎng)安全性。

（4）提供技術(shù)符合性和關(guān)聯(lián)外在風(fēng)險(xiǎn)評(píng)估相支撐的檢測(cè)

物聯(lián)網(wǎng)安全問題是動(dòng)態(tài)發(fā)展的，在安全技術(shù)符合性檢測(cè)的基礎(chǔ)上，提供適用于動(dòng)態(tài)評(píng)估物聯(lián)網(wǎng)工程的風(fēng)險(xiǎn)評(píng)估服務(wù)。風(fēng)險(xiǎn)評(píng)估旨在通過關(guān)聯(lián)外在風(fēng)險(xiǎn)，結(jié)合自身脆弱性評(píng)估系統(tǒng)和工程的安全性，與技術(shù)符合性檢測(cè)相支撐。

（5）提供一體化服務(wù)模式

提供一個(gè)靈活、規(guī)范的信息組織管理平臺(tái)和全網(wǎng)范圍的網(wǎng)絡(luò)協(xié)作環(huán)境，實(shí)現(xiàn)集成的信息采集、內(nèi)容管理、信息搜索，能夠直接組織各類共享信息和內(nèi)部業(yè)務(wù)基礎(chǔ)信息，實(shí)現(xiàn)信息整合應(yīng)用，同時(shí)也提供管理中心支撐下的統(tǒng)一項(xiàng)目管理、統(tǒng)一數(shù)據(jù)匯總、統(tǒng)一結(jié)果判定的一體化服務(wù)系統(tǒng)。

7 結(jié)束語(yǔ)

目前，我國(guó)政策環(huán)境好，物聯(lián)網(wǎng)已成為國(guó)家發(fā)展戰(zhàn)略，初步明確了未來(lái)發(fā)展方向和重點(diǎn)領(lǐng)域，但產(chǎn)業(yè)和行業(yè)標(biāo)準(zhǔn)正在建立，是機(jī)遇也是挑戰(zhàn)。經(jīng)濟(jì)環(huán)境上，中國(guó)企業(yè)正在隨著國(guó)家的快速發(fā)展，持續(xù)提升競(jìng)爭(zhēng)力和國(guó)際影響力，對(duì)物聯(lián)網(wǎng)安全性的需求逐步增強(qiáng)，企業(yè)對(duì)物聯(lián)網(wǎng)安全問題的認(rèn)知提高，經(jīng)濟(jì)支付能力也在增強(qiáng)。通過對(duì)各行業(yè)物聯(lián)網(wǎng)建設(shè)方面的調(diào)查發(fā)現(xiàn)，當(dāng)前已有的物聯(lián)網(wǎng)應(yīng)用對(duì)其安全性的檢測(cè)和技術(shù)支持需求十分迫切，物聯(lián)網(wǎng)安全檢測(cè)產(chǎn)業(yè)市場(chǎng)前景樂觀。

上述“一中心、二庫(kù)、五平臺(tái)”形成專業(yè)的平臺(tái)，加上精專的人才、全面的服務(wù)內(nèi)容和敏捷的反應(yīng)，構(gòu)建物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)體系架構(gòu)。從而提升價(jià)值、方便客戶、節(jié)約成本、提高效率，滿足物聯(lián)網(wǎng)安全檢測(cè)集成化、規(guī)?；男枨蟆?/p>

參考文獻(xiàn)

[1] T Grobler， Prof B Louwrens. New Information Security Architecture[J]. 2005， University of Johannesburg.

[2] 范紅， 邵華等. 物聯(lián)網(wǎng)安全技術(shù)體系研究[J].第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)，2011（09），5-8.

[3] 譚建平， 柔衛(wèi)國(guó)等. 基于物聯(lián)網(wǎng)的一體化安全防范技術(shù)體系研究[J].湖南理工學(xué)院學(xué)報(bào)， 2011，第24卷 第4期 46-51.

[4] Jackie Rees， Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM， Volume 46 Issue7， 2003， P101-106.

[5] 郎為民，楊德鵬，李虎生.智能電網(wǎng)WCSN安全體系架構(gòu)研究[J].信息網(wǎng)絡(luò)安全，2012，（04）：19-22.

[6] 余勇，林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2012，（05）：74-77.

基金項(xiàng)目：

國(guó)家863高技術(shù)研究發(fā)展計(jì)劃資助項(xiàng)目（2009AA01Z437）和國(guó)家863高技術(shù)研究發(fā)展計(jì)劃資助項(xiàng)目（2009AA01Z439）。

篇4

根據(jù)國(guó)內(nèi)一些網(wǎng)絡(luò)安全研究機(jī)構(gòu)的資料，國(guó)內(nèi)大部分的ISP、ICP、IT 公司、政府、教育和科研機(jī)構(gòu)等都沒有精力對(duì)網(wǎng)絡(luò)安全進(jìn)行必要的人力和物力投入；很多重要站點(diǎn)的管理員都是Internet 的新手，一些操作系統(tǒng)如UNIX，在那些有經(jīng)驗(yàn)的系統(tǒng)管理員的配置下尚且有缺陷，在這些新手的操作中更是漏洞百出。很多服務(wù)器至少有三種以上的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán)。

為了使廣大用戶對(duì)自己的網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀有一個(gè)清醒的認(rèn)識(shí)，同時(shí)提高對(duì)信息安全概念的了解和認(rèn)識(shí)，強(qiáng)化網(wǎng)絡(luò)系統(tǒng)安全性能，首創(chuàng)網(wǎng)絡(luò)近日向用戶推出免費(fèi)安全掃描服務(wù)活動(dòng)。

評(píng)估主機(jī)范圍

Capitalnet技術(shù)支持中心在開展此次活動(dòng)之前得到了客戶的書面授權(quán)。活動(dòng)中，根據(jù)客戶提供的IP地址，并按照客戶指定的時(shí)間，對(duì)包括網(wǎng)絡(luò)設(shè)備和應(yīng)用服務(wù)器等在內(nèi)的主機(jī)系統(tǒng)進(jìn)行安全評(píng)估。

評(píng)估時(shí)間和方式

此次活動(dòng)持續(xù)兩個(gè)月時(shí)間，由7月1日開始，到8月31日結(jié)束。在活動(dòng)期間，首創(chuàng)網(wǎng)絡(luò)技術(shù)支持中心安全產(chǎn)品組的專家們?cè)谂c用戶達(dá)成共識(shí)的前提下，利用專業(yè)的安全評(píng)估工具，對(duì)客戶網(wǎng)絡(luò)信息系統(tǒng)中的重點(diǎn)環(huán)節(jié)進(jìn)行了全方位的安全掃描，并根據(jù)掃描結(jié)果產(chǎn)生了安全評(píng)估報(bào)告，提交給客戶。客戶可以根據(jù)這一安全評(píng)估報(bào)告充分了解自己信息系統(tǒng)的安全情況，進(jìn)而采取相應(yīng)的安全應(yīng)對(duì)措施，從而提高網(wǎng)絡(luò)系統(tǒng)安全性。

評(píng)估單位分布

此次評(píng)估活動(dòng)共收到IP地址93個(gè)，分別來(lái)自不同行業(yè)的34家單位。這些單位分別屬于多種行業(yè)部門。

評(píng)估主機(jī)分類

93個(gè)IP地址基本代表93臺(tái)主機(jī)，分別為各個(gè)單位提供不同的信息化應(yīng)用。如：WEB、Datebase、Mail等常見應(yīng)用和防火墻等特殊應(yīng)用。

評(píng)估漏洞分布

在93臺(tái)主機(jī)提供的各種信息應(yīng)用中，都存在這樣或那樣的漏洞，此次評(píng)估都漏洞的風(fēng)險(xiǎn)分為三種：高風(fēng)險(xiǎn)漏洞、中風(fēng)險(xiǎn)漏洞、低風(fēng)險(xiǎn)漏洞。

參照標(biāo)準(zhǔn)為：

  高風(fēng)險(xiǎn)漏洞代表該漏洞可以使攻擊者可以得到該主機(jī)的最高權(quán)限或中斷網(wǎng)絡(luò)服務(wù)；

  中風(fēng)險(xiǎn)漏洞代表該漏洞可以獲取主機(jī)信息，有助于攻擊者進(jìn)一步攻擊，或存在潛在致命漏洞；

  低風(fēng)險(xiǎn)漏洞代表該漏洞會(huì)間接影響系統(tǒng)服務(wù)的正常運(yùn)行。

評(píng)估漏洞類型

本次掃描活動(dòng)主要采用了三星信息安全公司的安全評(píng)估工具SecuiScan，但為了真實(shí)反映客戶的漏洞存在情況，也結(jié)合了其它著名的安全評(píng)估工具，為俄羅斯著名安全評(píng)估軟件Shadow Security Scanner和著名的自由軟件Nessus。在工具評(píng)估后，根據(jù)提供的分析報(bào)告來(lái)人工檢查證實(shí)漏洞的真實(shí)性，并在不破壞客戶主機(jī)正常運(yùn)行的情況下得出令客戶信服的評(píng)估結(jié)果。

評(píng)估發(fā)現(xiàn)，很多存在漏洞的主機(jī)都是一些常見的配置錯(cuò)誤和已經(jīng)公布的漏洞，而且針對(duì)這些漏洞的攻擊工具很容易被惡意的攻擊者獲取。這些漏洞分布如下圖：

評(píng)估漏洞說明

1.   弱口令攻擊：不少網(wǎng)站的管理員賬號(hào)密碼、ftp 賬號(hào)密碼、Sql 賬號(hào)密碼等都使用很簡(jiǎn)單的或是很容易猜測(cè)到的字母或數(shù)字，利用現(xiàn)有的家用PIII 機(jī)器配合編寫恰當(dāng)?shù)钠平廛浖阋栽诙虝r(shí)間內(nèi)輕松破解，一旦口令被破解，網(wǎng)站就意味著被攻破。

2.    Unicode 編碼漏洞攻擊：對(duì)于Windows NT4.0 和Windows 2000 來(lái)說都存在有該漏洞，利用該漏洞遠(yuǎn)程用戶可以在服務(wù)器上以匿名賬號(hào)來(lái)執(zhí)行程序或命令，從而輕易就可達(dá)到遍歷硬盤、刪除文件、更換主頁(yè)和提升權(quán)限等目的，實(shí)施方法簡(jiǎn)單，僅僅擁有一個(gè)瀏覽器就可實(shí)施。

3.    ASP 源碼泄漏和MS SQL Server 攻擊：通過向web 服務(wù)器請(qǐng)求精心構(gòu)造的特殊的url 就可以看到不應(yīng)該看到的asp 程序的全部或部分源代碼，進(jìn)而取得諸如MS SQL Server 的管理員sa 的密碼，再利用存儲(chǔ)過程xp_cmdshell 就可遠(yuǎn)程以SYSTEM 賬號(hào)在服務(wù)器上任意執(zhí)行程序或命令，事實(shí)上，MS SQL Server 默認(rèn)安裝的管理員sa 的密碼為空，并且大多數(shù)系統(tǒng)管理員的確沒有重新設(shè)定為新的復(fù)雜密碼，這直接就留下了嚴(yán)重的安全隱患。

4.    IIS 緩沖溢出攻擊：對(duì)于IIS4.0 和IIS5.0 來(lái)說都存在有嚴(yán)重的緩沖溢出漏洞，利用該漏洞遠(yuǎn)程用戶可以以具有管理員權(quán)限的SYSTEM 賬號(hào)在服務(wù)器上任意執(zhí)行程序或命令，極具危險(xiǎn)性。實(shí)施較為復(fù)雜，但是可以獲得這種攻擊的傻瓜攻擊軟件。這種攻擊主要存在于Windows NT 和2000 系統(tǒng)中。

5.    BIND 緩沖溢出攻擊：在最新版本的Bind 以前的版本中都存在有嚴(yán)重的緩沖溢出漏洞，可以導(dǎo)致遠(yuǎn)程用戶直接以root 權(quán)限在服務(wù)器上執(zhí)行程序或命令，極具危險(xiǎn)性。但由于操作和實(shí)施較為復(fù)雜，一般也為黑客高手所用。這種攻擊主要存在于Linux、BSDI 和Solaris 等系統(tǒng)中。

6.    其他攻擊手法：還有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻擊的手段，但在這次評(píng)估活動(dòng)中表現(xiàn)的不是非常明顯。

整體安全評(píng)估報(bào)告

主機(jī)系統(tǒng)的安全評(píng)估主要在于分析主機(jī)系統(tǒng)存在的安全弱點(diǎn)和確定可能存在的威脅和風(fēng)險(xiǎn)，并且針對(duì)這些弱點(diǎn)、威脅和風(fēng)險(xiǎn)提出解決方案。

主機(jī)存在安全弱點(diǎn)

安全弱點(diǎn)和信息資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)損失或傷害。但是，安全弱點(diǎn)本身不會(huì)造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。安全弱點(diǎn)的出現(xiàn)有各種原因，例如可能是軟件開發(fā)過程中的質(zhì)量問題，也可能是系統(tǒng)管理員配置方面的，也可能是管理方面的。但是，它們的共同特性就是給攻擊者提供了對(duì)主機(jī)系統(tǒng)或者其他信息系統(tǒng)進(jìn)行攻擊的機(jī)會(huì)。

經(jīng)過對(duì)這些主機(jī)系統(tǒng)和防火墻的掃描記錄分析，我們發(fā)現(xiàn)目前該網(wǎng)絡(luò)中的主機(jī)系統(tǒng)主要弱點(diǎn)集中在以下幾個(gè)方面：

1 ．系統(tǒng)自身存在的弱點(diǎn)

對(duì)于商業(yè)UNIX 系統(tǒng)的補(bǔ)丁更新不及時(shí)，沒有安全配置過，系統(tǒng)還是運(yùn)行在默認(rèn)的安裝狀態(tài)非常危險(xiǎn)。對(duì)NT/2000 的服務(wù)器系統(tǒng)，雖然補(bǔ)丁更新的比及時(shí)，但是配置上存在很大安全隱患，用戶的密碼口令的強(qiáng)度非常低很多還在使用默認(rèn)的弱口令，網(wǎng)絡(luò)攻擊者可以非常輕易的接管整個(gè)服務(wù)器。另外存在IPC＄這樣的匿名共享會(huì)泄露很多服務(wù)器的敏感信息。

2 ．系統(tǒng)管理存在的弱點(diǎn)

在系統(tǒng)管理上缺乏統(tǒng)一的管理策略，比如缺乏對(duì)用戶輪廓文件（Profile ）的支持。在系統(tǒng)中存在空口令的Guest 組的用戶，這些用戶有的是系統(tǒng)默認(rèn)的Guest用戶，有的是IIS 和SQL 服務(wù)器的默認(rèn)安裝用戶。這些用戶有些是被系統(tǒng)禁用的，如Guest ，有些則沒有，沒有被禁用的這些賬號(hào)可能被利用進(jìn)入系統(tǒng)。

3 ．?dāng)?shù)據(jù)庫(kù)系統(tǒng)的弱點(diǎn)

數(shù)據(jù)庫(kù)系統(tǒng)的用戶權(quán)限和執(zhí)行外部系統(tǒng)指令是該系統(tǒng)最大的安全弱點(diǎn)，由于未對(duì)數(shù)據(jù)庫(kù)做明顯的安全措施，望進(jìn)一步對(duì)數(shù)據(jù)庫(kù)做最新的升級(jí)補(bǔ)丁。

4 ．來(lái)自周邊機(jī)器的威脅

手工測(cè)試發(fā)現(xiàn)部分周邊機(jī)器明顯存在嚴(yán)重安全漏洞，來(lái)自周邊機(jī)器的安全弱點(diǎn)（比如可能使用同樣的密碼等等）可能是影響網(wǎng)絡(luò)的最大威脅。

主機(jī)存在的威脅和風(fēng)險(xiǎn)

安全威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無(wú)意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對(duì)企業(yè)信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來(lái)說，威脅總是要利用企業(yè)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成傷害。因此威脅分析是圍繞信息系統(tǒng)的可用性、保密性、完整性、可控性、可審查性、抗抵賴性進(jìn)行的。

安全風(fēng)險(xiǎn)則是一種可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)信息資產(chǎn)或一組信息資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害的可能性。

在這次評(píng)估中，主機(jī)系統(tǒng)存在的威脅和及其產(chǎn)生的安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面：

1.  針對(duì)主機(jī)的攻擊威脅

包括針對(duì)Windows NT 系統(tǒng)及其開放的系統(tǒng)服務(wù)的安全弱點(diǎn)攻擊威脅，攻擊者可能由此獲取系統(tǒng)的信息資源或者對(duì)系統(tǒng)信息進(jìn)行破壞。

2.  針對(duì)數(shù)據(jù)庫(kù)的攻擊威脅

包括在對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的攻擊行為，包括非法獲取、篡改、刪除數(shù)據(jù)庫(kù)信息資源和進(jìn)行其他形式的服務(wù)攻擊。

3.   管理不當(dāng)所引起的安全威脅

包括由于用戶管理策略不當(dāng)使得攻擊者可能獲取某一級(jí)別的用戶的訪問權(quán)限，并由此提升用戶權(quán)限，造成用戶權(quán)限的濫用和信息資源的泄漏、損毀等；由于采用遠(yuǎn)程管理而引發(fā)的威脅；缺乏足夠的安全審計(jì)致使對(duì)安全事件不敏感，無(wú)法發(fā)現(xiàn)攻擊行為等。

4.  配置不當(dāng)所引起的安全威脅

包括在主機(jī)系統(tǒng)上開放了未做安全防范的服務(wù)如IPC＄共享所造成的安全威脅等。

網(wǎng)絡(luò)安全建議

建議把提供網(wǎng)絡(luò)服務(wù)的程序升級(jí)到最新版本，關(guān)注網(wǎng)絡(luò)安全通告，或由首創(chuàng)為客戶提供全面、周到、專業(yè)的網(wǎng)絡(luò)安全服務(wù)。

總  結(jié)

此次活動(dòng)歷時(shí)兩個(gè)月時(shí)間，為34家客戶的93臺(tái)主機(jī)提供了全面的安全掃描服務(wù)，并將最終的掃描結(jié)果提供給了客戶。

通過此次活動(dòng)，我們發(fā)現(xiàn)所有的客戶主機(jī)都或多或少存在著各種風(fēng)險(xiǎn)度的安全漏洞，安全現(xiàn)狀不容樂觀。其實(shí)在這些客戶所暴露出來(lái)的漏洞中，絕大多數(shù)都是已經(jīng)有了解決辦法的，只要做一些簡(jiǎn)單的升級(jí)或安裝補(bǔ)丁就可以解決。另外，我們還發(fā)現(xiàn)，有的客戶使用了一些安全產(chǎn)品，但卻由于使用不當(dāng)，反而引入了更多的安全漏洞。另外，客戶的信息系統(tǒng)普遍也缺乏良好合理的安全規(guī)劃和管理，從而使得其自身的系統(tǒng)對(duì)外呈現(xiàn)了很多本不應(yīng)該出現(xiàn)的漏洞，給外界入侵提供了便利的條件。

我們認(rèn)為出現(xiàn)這樣的問題主要有這樣一些原因：

客戶普遍還缺乏安全意識(shí)，不知道自己其實(shí)面臨很大的危險(xiǎn)；專業(yè)知識(shí)不夠，不知如何解決安全問題；對(duì)安全產(chǎn)品的選擇、使用和設(shè)置不當(dāng)；沒有合理的安全管理策略和機(jī)制。

針對(duì)這樣一些原因，有些相對(duì)容易解決，有些則要困難一些。在首創(chuàng)網(wǎng)絡(luò)通過自身的努力，在信息安全領(lǐng)域里不斷追求更高的技術(shù)水準(zhǔn)和服務(wù)水準(zhǔn)，力爭(zhēng)在競(jìng)爭(zhēng)日益激烈的今天，面對(duì)不斷復(fù)雜的信息安全形勢(shì)，從容面對(duì)，為客戶提供更加完美的產(chǎn)品和服務(wù)。

（本報(bào)告由首創(chuàng)網(wǎng)絡(luò)提供，內(nèi)容有刪節(jié)）

“首創(chuàng)網(wǎng)絡(luò)安全調(diào)查”帶來(lái)的啟示

本刊記者   曹  玫

近日，首創(chuàng)網(wǎng)絡(luò)針對(duì)我國(guó)企

業(yè)網(wǎng)絡(luò)安全現(xiàn)狀，對(duì)來(lái)自

34個(gè)不同行業(yè)用戶的93臺(tái)主機(jī)的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行了抽樣調(diào)查，結(jié)果是100%的用戶的主機(jī)都存在不同程度的安全問題。這個(gè)數(shù)字不能不讓我們吃驚，網(wǎng)絡(luò)現(xiàn)狀讓人擔(dān)擾。

隨著企業(yè)信息化、電子政務(wù)的進(jìn)一步推進(jìn)，對(duì)網(wǎng)絡(luò)安全的要求與過去已不可同日而語(yǔ)。但信息化在我國(guó)剛剛起步，企業(yè)對(duì)網(wǎng)絡(luò)安全的意識(shí)和認(rèn)知尚待培育。

本刊記者就首創(chuàng)的網(wǎng)絡(luò)安全評(píng)估活動(dòng)采訪了中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心計(jì)算機(jī)測(cè)評(píng)中心常務(wù)副主任翁正軍女士，她認(rèn)為：“首創(chuàng)這次的評(píng)估活動(dòng)值得肯定。這類的網(wǎng)絡(luò)安全評(píng)估如果經(jīng)常性的進(jìn)行，對(duì)用戶了解自身的安全風(fēng)險(xiǎn)非常有益”

另外，翁女士還提醒道：“針對(duì)網(wǎng)絡(luò)和系統(tǒng)的脆弱性評(píng)估，有可能對(duì)被測(cè)系統(tǒng)造成損害。當(dāng)然，不一定是測(cè)試本身的問題，而是被測(cè)系統(tǒng)太脆弱。但是不管怎么樣，都要讓用戶事先知道風(fēng)險(xiǎn)的存在，并且通過恰當(dāng)?shù)陌才疟M力回避這些風(fēng)險(xiǎn)”。

安全意識(shí)   攜手培育

網(wǎng)絡(luò)安全是“三分技術(shù)，七分管理”，從首創(chuàng)的報(bào)告中可以看出，造成網(wǎng)絡(luò)漏洞的原因基本上是管理的忽視和疏漏。

已認(rèn)識(shí)到IT系統(tǒng)重要性的大型企業(yè)和跨國(guó)企業(yè)，雖有一些機(jī)房和系統(tǒng)的不很細(xì)化的管理制度，但大部分也只限于書面文字的約束而已，沒有強(qiáng)有力的監(jiān)督實(shí)施手段和相應(yīng)的管理人員；大部分的中小企業(yè)甚至沒有把網(wǎng)絡(luò)安全提升到管理的層面，還只是停留在購(gòu)買一些低端的安全設(shè)備上，當(dāng)然對(duì)于國(guó)內(nèi)的中小企業(yè)采取何種安全模式仍是專家和安全服務(wù)提供商們爭(zhēng)論的熱點(diǎn)問題。

管理問題追溯其根源，還是企業(yè)的意識(shí)問題，安全意識(shí)的加強(qiáng)和培育是需要政府或行業(yè)主管單位、安全廠商和用戶自身共同努力來(lái)實(shí)現(xiàn)的。

如政府和行業(yè)主管要加大政策和法令的宣傳力度，改變政策和相關(guān)標(biāo)準(zhǔn)滯后的現(xiàn)狀，一方面，用戶有相關(guān)的政策和標(biāo)準(zhǔn)來(lái)衡量網(wǎng)絡(luò)安全廠商提供給他們的產(chǎn)品和服務(wù)是否符合國(guó)家標(biāo)準(zhǔn)，做到有據(jù)可依。另一方面，安全廠商有了相關(guān)條例和行業(yè)標(biāo)準(zhǔn)，在為用戶構(gòu)建網(wǎng)絡(luò)平臺(tái)和生產(chǎn)安全產(chǎn)品時(shí)，把各種安全隱患降減到最小程度，做到了有法必依。

安全廠商在培育用戶的安全意識(shí)方面，毫無(wú)疑問，充當(dāng)著主力軍的角色，目前，我國(guó)的網(wǎng)絡(luò)安全意識(shí)尚處于萌芽階段，因此對(duì)用戶意識(shí)的培育應(yīng)屬于安全廠商市場(chǎng)戰(zhàn)略和規(guī)劃的一部分，只有大家共同把這塊蛋糕做大，網(wǎng)絡(luò)安全廣闊的市場(chǎng)才會(huì)在短時(shí)間內(nèi)形成規(guī)模。 

從用戶自身的角度來(lái)講，“船到江心才補(bǔ)漏”是需要付出不可估量的代價(jià)的，網(wǎng)絡(luò)數(shù)據(jù)的迅速增長(zhǎng)，單靠一些低端的安全設(shè)備已遠(yuǎn)遠(yuǎn)難以維護(hù)系統(tǒng)和網(wǎng)絡(luò)安全?？偟膩?lái)說，要改善和加強(qiáng)管理力度,必須提高企業(yè)的安全意識(shí).

網(wǎng)絡(luò)測(cè)試   謹(jǐn)慎評(píng)估 

做安全測(cè)試，一定要做非常細(xì)化的風(fēng)險(xiǎn)評(píng)估策略，首先要確定企業(yè)哪些資源需要保護(hù)，并根據(jù)保護(hù)成本與如果事件發(fā)生前不采取行動(dòng)需付出的代價(jià)之間的平衡制定評(píng)估方案，檢測(cè)后要確定企業(yè)具體環(huán)境下到底存在哪些安全漏洞和安全隱患，一旦這些漏洞被黑客利用會(huì)造成哪些風(fēng)險(xiǎn)和破壞。

最后綜合對(duì)各種風(fēng)險(xiǎn)因素的評(píng)價(jià)，明確網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀，確定網(wǎng)絡(luò)系統(tǒng)中安全的最薄弱環(huán)節(jié)，從而改進(jìn)網(wǎng)絡(luò)的安全性能。所以檢測(cè)之前與之后的評(píng)估是非常重要的。全面的網(wǎng)絡(luò)系統(tǒng)的漏洞評(píng)估應(yīng)該包括對(duì)網(wǎng)絡(luò)的漏洞評(píng)估、對(duì)系統(tǒng)主機(jī)的漏洞評(píng)估以及對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的漏洞評(píng)估三個(gè)方面。首創(chuàng)的安全評(píng)估屬于對(duì)系統(tǒng)主機(jī)的漏洞的評(píng)估，測(cè)試的安全風(fēng)險(xiǎn)相對(duì)要小一些。

測(cè)試不是目的，制定相應(yīng)的安全策略并徹底解決用戶存在的安全問題，才是我們的愿望。

首創(chuàng)的安全測(cè)試為我們敲醒了警鐘，加強(qiáng)安全意識(shí)已成為企業(yè)高層迫切需要正確對(duì)待的問題。

企業(yè)信息安全意識(shí)有待覺醒

本刊記者   陳  慧

為了解客戶的安全現(xiàn)狀，并

提高客戶的安全意識(shí)，首

創(chuàng)網(wǎng)絡(luò)在7月1日到8月31日為期兩個(gè)月的時(shí)間內(nèi)為34家客戶的93臺(tái)主機(jī)提供了免費(fèi)遠(yuǎn)程安全掃描服務(wù)。提交的報(bào)告結(jié)果表明，這些客戶所有的業(yè)務(wù)部門都或多或少存在著安全漏洞，其中高風(fēng)險(xiǎn)漏洞占42%，中風(fēng)險(xiǎn)漏洞占28%，低風(fēng)險(xiǎn)漏洞達(dá)30%?？梢娺@些客戶的信息安全現(xiàn)狀令人堪憂。

面對(duì)安全漏洞，

視而不見還是立即行動(dòng)

“此次掃描主要是針對(duì)黑客的攻擊行為，”首創(chuàng)網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理鐘博向記者介紹說，“我們選擇這種遠(yuǎn)程的網(wǎng)絡(luò)掃描的服務(wù)活動(dòng)比較容易開展，類似于黑客攻擊的第一個(gè)階段，還未涉及到內(nèi)部攻擊?！痹诎l(fā)現(xiàn)客戶漏洞之后，首創(chuàng)還可以針對(duì)客戶的要求為其提供相應(yīng)的修補(bǔ)、加固和優(yōu)化服務(wù)、專門的培訓(xùn)和分析，以及遠(yuǎn)程管理和緊急響應(yīng)等多種全方位的安全服務(wù)。

在首創(chuàng)網(wǎng)絡(luò)掃描過程中發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞主要涉及到底層的操作系統(tǒng)平臺(tái)和應(yīng)用系統(tǒng)兩個(gè)方面。漏洞可能是操作系統(tǒng)帶來(lái)的，比如采用Windows操作系統(tǒng)平臺(tái)的企業(yè)漏洞特別多；也有可能是應(yīng)用系統(tǒng)本身的問題，比如數(shù)據(jù)庫(kù)、Web系統(tǒng)和ERP應(yīng)用軟件等等。在應(yīng)用系統(tǒng)方面，數(shù)據(jù)庫(kù)的漏洞比較多，其中又以SQL Server數(shù)據(jù)庫(kù)的漏洞為甚。對(duì)于操作系統(tǒng)的漏洞，大多可通過從網(wǎng)上下載補(bǔ)丁程序的方法加以解決，有些客戶沒有下載補(bǔ)丁程序，因而容易被攻擊。也有客戶把用戶訪問口令設(shè)成了空的，也容易被攻擊。這些漏洞本都很容易避免，之所以出現(xiàn)，主要因?yàn)閼?yīng)用和管理人員本身安全意識(shí)淡薄所導(dǎo)致。

被掃描的首創(chuàng)網(wǎng)絡(luò)的IDC和專線客戶，都是經(jīng)常使用IT設(shè)備和網(wǎng)絡(luò)應(yīng)用的，其中，本身業(yè)務(wù)系統(tǒng)與安全結(jié)合不是很緊密的客戶比較容易產(chǎn)生安全漏洞，比如媒體的網(wǎng)站、制造業(yè)企業(yè)的網(wǎng)站等。在首創(chuàng)網(wǎng)絡(luò)的整個(gè)掃描服務(wù)期間中就出現(xiàn)過這樣的情況。一家傳媒機(jī)構(gòu)的網(wǎng)站被黑客攻擊，其主頁(yè)被篡改了。客戶要求首創(chuàng)對(duì)其遭到攻擊的主機(jī)進(jìn)行掃描，了解其被攻擊的原因。通過掃描，發(fā)現(xiàn)主要原因在于這個(gè)傳媒機(jī)構(gòu)把操作系統(tǒng)裝好之后，采取了默認(rèn)配置，并沒有做安全性增強(qiáng)方面的考慮和設(shè)置，其主機(jī)上的漏洞都是一些很常見也很容易彌補(bǔ)的。此外，制造業(yè)企業(yè)涉及到CRM和ERP這樣的系統(tǒng)?？偛颗c分支機(jī)構(gòu)之間經(jīng)常有大量機(jī)密的數(shù)據(jù)需要交互，對(duì)于這樣的企業(yè)，如果不做好全面的安全規(guī)劃并采取相應(yīng)的安全手段，也容易對(duì)外暴露很多安全漏洞。

面對(duì)送過來(lái)的掃描結(jié)果和漏洞分析，客戶的反應(yīng)五花八門：有的客戶一接到掃描的結(jié)果，發(fā)現(xiàn)自己的網(wǎng)絡(luò)安全存在這么多的問題，非常著急，立刻要求首創(chuàng)為其提供相應(yīng)的解決方案；有的客戶要求首創(chuàng)幫助把漏洞堵上；也有客戶說，賣我們一個(gè)防火墻吧；還有客戶沒有反應(yīng)，好像在忙著理順自己的網(wǎng)絡(luò)，無(wú)暇顧及安全問題。

安全防范，投入多少并采取哪些手段

有兩個(gè)問題需要企業(yè)考慮清楚，一是企業(yè)要保護(hù)的信息到底值得投入多少；二是采取什么手段。網(wǎng)絡(luò)時(shí)代，企業(yè)要連接到互聯(lián)網(wǎng)上與外部溝通。任何企業(yè)無(wú)論大小，總是有些信息是不希望被外界知道的，每一個(gè)企業(yè)都有必要采取一定的手段保護(hù)自己的信息，防止被別人竊取、篡改或者破壞。那么企業(yè)值得投入多少人力、物力和財(cái)力保護(hù)信息安全？

篇5

關(guān)鍵詞 企業(yè)網(wǎng) 信息系統(tǒng) 風(fēng)險(xiǎn)評(píng)估

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

一、引言

信息技術(shù)在商業(yè)上的廣泛應(yīng)用，使得企業(yè)對(duì)信息系統(tǒng)的依賴性增大。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是辨別各種系統(tǒng)的脆弱性及其對(duì)系統(tǒng)構(gòu)成威脅，識(shí)別系統(tǒng)中存在的風(fēng)險(xiǎn)，并將這些風(fēng)險(xiǎn)進(jìn)行定性，定量的分析，最后制定控制和變更措施的過程 。通過安全評(píng)估能夠明確企業(yè)信息系統(tǒng)的安全威脅，了解企業(yè)信息系統(tǒng)的脆弱性，并分析可能由此造成的損失或影響，為滿足企業(yè)信息安全需求和降低風(fēng)險(xiǎn)提供必要的依據(jù)。

二、安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的三個(gè)關(guān)鍵要素是信息資產(chǎn)、威脅、弱點(diǎn)（即脆弱性）。每個(gè)要素都有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值。威脅的屬性是威脅發(fā)生的可能性，弱點(diǎn)的屬性是弱點(diǎn)被威脅利用后對(duì)資產(chǎn)帶來(lái)的影響的嚴(yán)重程度。

對(duì)企業(yè)信息系統(tǒng)的本身?xiàng)l件和歷史數(shù)據(jù)進(jìn)行整理分析，得到威脅，脆弱點(diǎn)分析如下：

實(shí)物資產(chǎn)的脆弱性：對(duì)電腦等辦公物品的保護(hù)措施不力，辦公場(chǎng)所防范災(zāi)害措施不力，電纜松動(dòng)，通訊線路保護(hù)缺失。

信息資產(chǎn)的脆弱性：相關(guān)技術(shù)文檔不全，信息傳輸保護(hù)缺失，撥號(hào)線路網(wǎng)絡(luò)訪問受限，單點(diǎn)故障，網(wǎng)絡(luò)管理不力，不受控制的拷貝。

軟件資產(chǎn)的脆弱性：未使用正版穩(wěn)定軟件。

人員的脆弱性：對(duì)外來(lái)人員監(jiān)管不力，安全技術(shù)培訓(xùn)不力，授權(quán)使用控制不力，內(nèi)部員工的道德培訓(xùn)不力。

三、風(fēng)險(xiǎn)評(píng)估過程

風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保障的核心和關(guān)鍵。風(fēng)險(xiǎn)評(píng)估過程分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理。

風(fēng)險(xiǎn)識(shí)別是分析系統(tǒng)，找出系統(tǒng)的薄弱點(diǎn)和在運(yùn)行過程中可能存在的風(fēng)險(xiǎn)。為了保證風(fēng)險(xiǎn)分析的的及時(shí)性和有效性，管理層面應(yīng)該有具備豐富風(fēng)險(xiǎn)知識(shí)的部門經(jīng)理、IT人員、關(guān)鍵用戶、審計(jì)人員和專家顧問，他們能夠幫助快速地指出關(guān)鍵風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)分析是對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行分析，確定各個(gè)風(fēng)險(xiǎn)可能造成的影響和損失，并按照其造成的影響和損失大小進(jìn)行排序，得到風(fēng)險(xiǎn)的級(jí)別。風(fēng)險(xiǎn)分析有助于企業(yè)就安全項(xiàng)目和構(gòu)成該項(xiàng)目的安全組成部分編制正確的預(yù)算，有助于將安全項(xiàng)目的目標(biāo)與企業(yè)的業(yè)務(wù)目標(biāo)和要求結(jié)合起來(lái)。

風(fēng)險(xiǎn)管理是由以上步驟得到的結(jié)果，制定相應(yīng)的保護(hù)措施。通過實(shí)施在評(píng)估階段創(chuàng)建的各種計(jì)劃，并用這些計(jì)劃來(lái)創(chuàng)建新的安全策略，在完成補(bǔ)救措施策略的開發(fā)和相關(guān)系統(tǒng)管理的更改，并且確定其有效性的策略和過程已經(jīng)寫好之后，即進(jìn)行安全風(fēng)險(xiǎn)補(bǔ)救措施測(cè)試。在測(cè)試過程中，將按照安全風(fēng)險(xiǎn)的控制效果來(lái)評(píng)估對(duì)策的有效性。

四、評(píng)估系統(tǒng)的設(shè)計(jì)

（一）評(píng)估系統(tǒng)的體系結(jié)構(gòu)和運(yùn)行環(huán)境。

該評(píng)估系統(tǒng)主要采用B/S/S三層體系結(jié)構(gòu)，即包括客戶端、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器三部分。其結(jié)構(gòu)示意圖如圖1所示：其中，客戶端通過Web瀏覽器訪問應(yīng)用服務(wù)器，在Web頁(yè)面的引導(dǎo)下指導(dǎo)用戶與評(píng)估人員進(jìn)行風(fēng)險(xiǎn)識(shí)別、數(shù)據(jù)收集，并顯示最后的評(píng)估結(jié)果。同時(shí)豐富的在線幫助信息又為用戶及評(píng)估人員參與風(fēng)險(xiǎn)評(píng)估以及管理員進(jìn)行系統(tǒng)維護(hù)提供了很好的在線支持，系統(tǒng)管理員也可以利用任意一臺(tái)客戶端登錄管理帳號(hào)對(duì)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限范圍內(nèi)的維護(hù)。管理者需了解部門、員工及資產(chǎn)總體情況，明確風(fēng)險(xiǎn)種類及大小，并以知識(shí)庫(kù)的形式，為如何處置風(fēng)險(xiǎn)提供了一些解決方案。面向評(píng)估人員的功能模塊，展示了本部門目前面臨的威脅和薄弱點(diǎn)情況，幫助評(píng)估人員明確風(fēng)險(xiǎn)。相比而言，該模塊更主要的功能，是協(xié)助上報(bào)本部門的人員及資產(chǎn)信息，以滿足評(píng)估需要。

圖1 評(píng)估系統(tǒng)體系結(jié)構(gòu)

應(yīng)用服務(wù)器處理收集到的風(fēng)險(xiǎn)信息，并采取多種手段，利用綜合評(píng)估算法 ，完成信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，并實(shí)時(shí)將執(zhí)行結(jié)果返回給客戶端Web瀏覽器。應(yīng)用服務(wù)器配置了系統(tǒng)運(yùn)行所需要的Web服務(wù)器程序以及Web站點(diǎn)頁(yè)面文件，我們選擇動(dòng)態(tài)網(wǎng)頁(yè)編程技術(shù)對(duì)系統(tǒng)的Web站點(diǎn)頁(yè)面文件進(jìn)行編碼和開發(fā)。數(shù)據(jù)庫(kù)服務(wù)器上配置了系統(tǒng)運(yùn)行所需要的SQL Server數(shù)據(jù)庫(kù)管理程序以及系統(tǒng)數(shù)據(jù)庫(kù)資源，通過Web服務(wù)器與客戶端實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)交互。

（二）工作流程設(shè)計(jì)

首先，對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)數(shù)據(jù)采集，用戶填寫由評(píng)估單位制定的評(píng)估申請(qǐng)，將信息系統(tǒng)按具體情況進(jìn)行分類，同時(shí)利用漏洞掃描器、正反向工具從技術(shù)角度了解系統(tǒng)的安全配置和運(yùn)行的應(yīng)用服務(wù)，使得評(píng)估人員從整體上了解該信息系統(tǒng)及其評(píng)估重點(diǎn)，并針對(duì)系統(tǒng)業(yè)務(wù)特點(diǎn)進(jìn)行裁剪；接下來(lái)，在前面所做的工作的基礎(chǔ)上，圍繞著系統(tǒng)所承載的業(yè)務(wù)對(duì)數(shù)據(jù)進(jìn)行資產(chǎn)、威脅、脆弱性分析；最后，依據(jù)發(fā)生的可能性及對(duì)系統(tǒng)業(yè)務(wù)造成的影響對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行分類，利用定性和定量的評(píng)估算法以及消除主觀性的各種算法，對(duì)風(fēng)險(xiǎn)識(shí)別中獲得的風(fēng)險(xiǎn)信息進(jìn)行風(fēng)險(xiǎn)綜合評(píng)估，并在整體和局部、管理和技術(shù)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，生成評(píng)估報(bào)告。

（三）數(shù)據(jù)庫(kù)設(shè)計(jì)

該系統(tǒng)的數(shù)據(jù)庫(kù)由企業(yè)信息庫(kù)、知識(shí)庫(kù)、評(píng)估標(biāo)準(zhǔn)庫(kù)和評(píng)估方法庫(kù)組成，采用SQL Server數(shù)據(jù)庫(kù)管理系統(tǒng)作為該數(shù)據(jù)庫(kù)的開發(fā)和運(yùn)行平臺(tái)，其中：企業(yè)信息庫(kù)存儲(chǔ)的是有關(guān)企業(yè)信息系統(tǒng)的基本信息；評(píng)估方法庫(kù)存儲(chǔ)了針對(duì)所設(shè)計(jì)的評(píng)估結(jié)構(gòu)所采用的評(píng)估方法集合；知識(shí)庫(kù)存儲(chǔ)的是以往已評(píng)估系統(tǒng)的完整評(píng)估資料，可以為當(dāng)前的風(fēng)險(xiǎn)評(píng)估提供可借鑒的經(jīng)驗(yàn)；在數(shù)據(jù)庫(kù)設(shè)計(jì)中評(píng)估標(biāo)準(zhǔn)庫(kù)是幾個(gè)庫(kù)中最重要也是工作量最大的部分，該庫(kù)涵蓋了各評(píng)估標(biāo)準(zhǔn)的評(píng)估要素，即遵從標(biāo)準(zhǔn)，又針對(duì)各行業(yè)的業(yè)務(wù)特點(diǎn)，提供了靈活的數(shù)據(jù)結(jié)構(gòu)。

（四）網(wǎng)站內(nèi)容風(fēng)險(xiǎn)算法。

對(duì)風(fēng)險(xiǎn)進(jìn)行計(jì)算，需要確定影響的風(fēng)險(xiǎn)要素、要素之間的組合方式、以及具體的計(jì)算方法。將風(fēng)險(xiǎn)要素按照組合方式使用具體的計(jì)算方法進(jìn)行計(jì)算，得到風(fēng)險(xiǎn)值。目前通用的風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素一般為資產(chǎn)、威脅、和脆弱性。由威脅和脆弱性確定安全事件發(fā)生的可能性，由資產(chǎn)和脆弱性確定安全事件的損失；由安全事件發(fā)生的可能性和安全事件的損失確定風(fēng)險(xiǎn)值。目前，常用的計(jì)算方法是矩陣法和相乘法。

五、總結(jié)

網(wǎng)絡(luò)技術(shù)的發(fā)展在加速信息交流與共享的同時(shí)，也加大了網(wǎng)絡(luò)信息安全事故發(fā)生的可能性。對(duì)企業(yè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，可以了解其安全風(fēng)險(xiǎn)，評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的安全威脅與影響程度，為安全策略的確定、信息系統(tǒng)的建立及安全運(yùn)行提供依據(jù)，給用戶提供信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心，增強(qiáng)產(chǎn)品、企業(yè)的競(jìng)爭(zhēng)力。

（作者：武漢職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系教師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用、信息安全）

注釋：

篇6

2013年國(guó)家信息安全專項(xiàng)有關(guān)事項(xiàng)的通知

發(fā)改辦高技[2013]1965號(hào)

工業(yè)和信息化部、公安部、安全部、質(zhì)檢總局、中科院、國(guó)家保密局、國(guó)家密碼局辦公廳(室)，各省、自治區(qū)、直轄市及計(jì)劃單列市、新疆生產(chǎn)建設(shè)兵團(tuán)發(fā)展改革委，相關(guān)中央直屬企業(yè)：

為了貫徹落實(shí)《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國(guó)發(fā)[2012]23號(hào))的工作部署，針對(duì)金融、云計(jì)算與大數(shù)據(jù)、信息系統(tǒng)保密管理、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要，國(guó)家發(fā)展改革委決定繼續(xù)組織國(guó)家信息安全專項(xiàng)?，F(xiàn)將有關(guān)事項(xiàng)通知如下：

一、專項(xiàng)重點(diǎn)支持領(lǐng)域

(一)信息安全產(chǎn)品產(chǎn)業(yè)化

產(chǎn)品自身應(yīng)具有較高的安全性，不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等國(guó)家標(biāo)準(zhǔn)中3級(jí)的相關(guān)要求。

1、金融信息安全領(lǐng)域

(1)金融領(lǐng)域智能入侵檢測(cè)產(chǎn)品。

適用于金融機(jī)構(gòu)電子銀行等應(yīng)用業(yè)務(wù)系統(tǒng)，支持IPv4/IPv6環(huán)境，具有雙向數(shù)據(jù)檢測(cè)、歷史數(shù)據(jù)關(guān)聯(lián)分析、網(wǎng)絡(luò)報(bào)警數(shù)據(jù)篩選過濾、反饋測(cè)試、自學(xué)習(xí)和自定義檢測(cè)規(guī)則、多維度展現(xiàn)，以及攻擊影響分級(jí)等功能，吞吐量不低于20Gbps，基于國(guó)內(nèi)外主流特征庫(kù)檢測(cè)的漏報(bào)率低于10%、誤報(bào)率低于5%。

(2)高級(jí)可持續(xù)威脅(APT)安全監(jiān)測(cè)產(chǎn)品。

適用于金融機(jī)構(gòu)的業(yè)務(wù)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，支持IPv4/IPv6環(huán)境，具有規(guī)?；摂M機(jī)或沙箱執(zhí)行等動(dòng)態(tài)檢測(cè)技術(shù)的威脅感知功能，具備對(duì)各類設(shè)備網(wǎng)絡(luò)文件傳輸異常行為、漏洞利用行為、未知木馬、隱蔽信道傳輸?shù)榷鄻有?、組合性和持續(xù)性攻擊的檢測(cè)能力，支持1000個(gè)以上的并發(fā)檢測(cè)能力，基于國(guó)內(nèi)外主流特征庫(kù)檢測(cè)的漏報(bào)率低于5%、誤報(bào)率低于10%。

(3)面向電子銀行的Web漏洞掃描產(chǎn)品。

適用于金融機(jī)構(gòu)電子銀行業(yè)務(wù)系統(tǒng)，具備開放式Web應(yīng)用程序安全項(xiàng)目(OWASP)通用漏洞的高啟發(fā)、高強(qiáng)度、交互式檢測(cè)能力，具有漏洞驗(yàn)證、基于電子銀行系統(tǒng)業(yè)務(wù)流程的流量錄制重放式的邏輯漏洞分析等功能，基于國(guó)內(nèi)外主流漏洞特征庫(kù)掃描的漏報(bào)率低于5%、誤報(bào)率低于10%。

(4)金融領(lǐng)域應(yīng)用軟件源代碼安全檢查產(chǎn)品。

適用于金融機(jī)構(gòu)各類業(yè)務(wù)應(yīng)用系統(tǒng)，具備適用于金融領(lǐng)域特點(diǎn)、可更新和自定義的安全掃描規(guī)則庫(kù)，可定制掃描策略，在Linux、Aix、Windows、Android、iOS等環(huán)境下，具有對(duì)Java、C/C++、C#、JSP、COBOL、VB、Ruby等主流編程語(yǔ)言和.NET、Eclipse、Matlab等集成軟件工具開發(fā)的應(yīng)用系統(tǒng)進(jìn)行源代碼掃描的功能，對(duì)源代碼潛在問題分析給出分級(jí)別建議，每小時(shí)掃描百萬(wàn)行以上代碼，基于國(guó)內(nèi)外主流軟件源代碼漏洞特征庫(kù)檢測(cè)的誤報(bào)率低于30%、漏報(bào)率低于35%。

2、云計(jì)算與大數(shù)據(jù)信息安全領(lǐng)域

(1)高性能異常流量檢測(cè)和清洗產(chǎn)品。

支持IPv4/IPv6環(huán)境，適用于云計(jì)算和大數(shù)據(jù)的應(yīng)用，具備流量牽引和回注、網(wǎng)絡(luò)層和應(yīng)用層攻擊檢測(cè)與清洗等功能，支持地址區(qū)間的IP保護(hù)，可實(shí)現(xiàn)對(duì)100萬(wàn)個(gè)以上IP地址的異常攻擊流量清洗，啟用全部檢測(cè)和清洗功能后，設(shè)備整體吞吐量達(dá)到100Gbps以上。

(2)云操作系統(tǒng)安全加固和虛擬機(jī)安全管理產(chǎn)品。

支持IPv4/IPv6環(huán)境，支持虛擬化認(rèn)證授權(quán)、訪問控制和安全審計(jì)，具備虛擬機(jī)逃逸監(jiān)控、實(shí)時(shí)操作監(jiān)測(cè)與控制、防惡意軟件加載和安全隔離等功能，具備1萬(wàn)臺(tái)以上安全可控輕量級(jí)虛擬機(jī)的安全管理能力。

(3)高速固態(tài)盤陣安全存儲(chǔ)產(chǎn)品。

支持IPv4/IPv6環(huán)境，具備雙控及冗余保護(hù)機(jī)制，具有緩存鏡像、掉電保護(hù)、采用國(guó)家密碼局規(guī)定算法的數(shù)據(jù)加密等功能，支持原生命令隊(duì)列(NCQ)技術(shù)及多種主流接口協(xié)議，單盤持續(xù)讀寫性能不低于200MB/s，容量大于512GB，每秒輸入輸出次數(shù)(IOPS)大于12，000，單陣列支持500塊以上單盤擴(kuò)展，響應(yīng)時(shí)間小于800s，非加密通道IOPS大于220，000，加密吞吐量大于1Gb/s。

(4)大數(shù)據(jù)平臺(tái)安全管理產(chǎn)品。

支持IPv4/IPv6環(huán)境，具有對(duì)不少于3種大數(shù)據(jù)應(yīng)用平臺(tái)進(jìn)行漏洞掃描、配置基線檢查、弱口令檢測(cè)、版本檢測(cè)和補(bǔ)丁管理等功能，可實(shí)現(xiàn)大數(shù)據(jù)去隱私化處理和策略化數(shù)據(jù)抽取與集成、統(tǒng)一的策略管理、統(tǒng)一事件分析、全文檢索及多維度大數(shù)據(jù)審計(jì)，能夠?qū)τ脩粼L問敏感信息行為進(jìn)行報(bào)警、阻斷、跟蹤和追溯，關(guān)鍵安全策略同時(shí)支持結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)的管理，支持1000萬(wàn)以上并發(fā)業(yè)務(wù)訪問。

3、信息安全分級(jí)保護(hù)領(lǐng)域

(1)網(wǎng)絡(luò)保密檢查和失泄密核查取證產(chǎn)品。

適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò)，支持各類主流操作系統(tǒng)，具備對(duì)各種網(wǎng)絡(luò)失密泄密事件證據(jù)保全、提取和分析的功能，支持只讀方式、多種硬盤接口、DD或AFF等多種鏡像格式，支持已刪除文件、注冊(cè)表、分區(qū)的恢復(fù)，具有自定義策略取證、關(guān)鍵詞搜索、2000萬(wàn)個(gè)以上文件并行搜索、加密文件快速檢測(cè)的能力，對(duì)帶有密級(jí)標(biāo)志的圖形、版式等類型文件識(shí)別率大于95%。

(2)特殊木馬檢查產(chǎn)品。

適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò)，支持各類主流操作系統(tǒng)，具有已知木馬和未知特殊木馬檢測(cè)的能力，具備木馬樣本及其配置信息的提取、特征歸類檢測(cè)等功能，能夠定期進(jìn)行升級(jí)，已知木馬檢測(cè)準(zhǔn)確率為100%，未知特殊木馬檢測(cè)準(zhǔn)確率大于70%。

(3)涉密信息系統(tǒng)安全保密風(fēng)險(xiǎn)評(píng)估軟件產(chǎn)品。

符合涉密信息系統(tǒng)分級(jí)保護(hù)相關(guān)國(guó)家保密標(biāo)準(zhǔn)，具備合規(guī)性檢測(cè)、漏洞掃描等功能，以自動(dòng)檢測(cè)為主、人工判定為輔，評(píng)估內(nèi)容覆蓋涉密信息系統(tǒng)安全保密風(fēng)險(xiǎn)評(píng)估全部項(xiàng)目，評(píng)估結(jié)論準(zhǔn)確可靠，能夠自動(dòng)生成評(píng)估報(bào)告。

4、工業(yè)控制信息安全領(lǐng)域

(1)面向現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)產(chǎn)品。

支持IPv4/IPv6及工業(yè)以太網(wǎng)，適用于集散控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、現(xiàn)場(chǎng)總線等現(xiàn)場(chǎng)環(huán)境，具備5種以上工業(yè)控制專有協(xié)議以及多種狀態(tài)或指令主流格式數(shù)據(jù)的檢查、過濾、交換、阻斷等功能，數(shù)據(jù)傳輸可靠性達(dá)到100%，可保護(hù)節(jié)點(diǎn)數(shù)不少于500點(diǎn)，設(shè)備吞吐量達(dá)到線速運(yùn)行水平，延時(shí)小于100ms。

(2)面向集散控制系統(tǒng)(DCS)的異常監(jiān)測(cè)產(chǎn)品。

適用于電廠、石油、化工、供熱、供水等工藝流程，具有對(duì)工業(yè)控制系統(tǒng)的DCS工程師站組態(tài)變更、DCS操作站數(shù)據(jù)與操控指令變更，以及各種主流現(xiàn)場(chǎng)總線訪問、負(fù)載變更、通信行為、異常流量等安全監(jiān)測(cè)能力，具備過程狀態(tài)參數(shù)、控制信號(hào)的閾值檢查與報(bào)警功能。

(3)安全采集遠(yuǎn)程終端單元(RTU)產(chǎn)品。

支持工業(yè)以太網(wǎng)協(xié)議，適用于-40℃～＋70℃溫度環(huán)境，電磁兼容性(EMC)不低于4級(jí)，具有內(nèi)置安全模塊，實(shí)現(xiàn)數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)軟件端到端的信源加密，具備基于數(shù)字證書的安全認(rèn)證功能，支持基于國(guó)家密碼局規(guī)定算法的數(shù)據(jù)加密，加密速率不小于20Mb/s。

(4)工業(yè)應(yīng)用軟件漏洞掃描產(chǎn)品。

適用于石油化工、先進(jìn)制造領(lǐng)域，具有對(duì)符合IEC61131-3標(biāo)準(zhǔn)的控制系統(tǒng)上位機(jī)(SCADA/HMI)軟件、DCS控制器嵌入式軟件以及各種主流現(xiàn)場(chǎng)總線離線漏洞掃描能力，具有對(duì)數(shù)字化設(shè)計(jì)制造軟件平臺(tái)(如產(chǎn)品數(shù)據(jù)管理PDM、專用數(shù)控機(jī)床通信軟件eXtremeDNC、高級(jí)設(shè)計(jì)系統(tǒng)ADS等)漏洞掃描能力，具備檢測(cè)與發(fā)現(xiàn)軟件安全漏洞、評(píng)估漏洞安全風(fēng)險(xiǎn)、可視化展示、漏洞修復(fù)建議等功能，漏洞檢測(cè)率達(dá)到90%以上。

(二)重要信息系統(tǒng)安全可控試點(diǎn)示范

1、金融信息安全試點(diǎn)示范

支持商業(yè)銀行開展一體化信息安全風(fēng)險(xiǎn)感知體系試點(diǎn)示范，按照信息安全等級(jí)保護(hù)相關(guān)要求，建立銀行系統(tǒng)整體信息安全風(fēng)險(xiǎn)感知預(yù)警、網(wǎng)點(diǎn)集中管控的防護(hù)體系，完善災(zāi)備能力檢測(cè)、第三方安全服務(wù)質(zhì)量評(píng)價(jià)等管理規(guī)范。

支持商業(yè)銀行開展電子銀行和移動(dòng)支付業(yè)務(wù)系統(tǒng)安全態(tài)勢(shì)監(jiān)控試點(diǎn)示范，按照信息安全等級(jí)保護(hù)相關(guān)要求，構(gòu)建銀行新型增值業(yè)務(wù)應(yīng)用的安全管理機(jī)制，并形成相應(yīng)標(biāo)準(zhǔn)規(guī)范體系。

支持商業(yè)銀行、信息安全專業(yè)機(jī)構(gòu)、行業(yè)主管部門對(duì)電子銀行系統(tǒng)聯(lián)合開展金融領(lǐng)域釣魚網(wǎng)站和金融詐騙事件安全應(yīng)急保障試點(diǎn)示范，探索銀行、機(jī)構(gòu)和政府部門合作的新模式，建立聯(lián)合處置、及時(shí)有效的應(yīng)急保障機(jī)制。

2、云計(jì)算與大數(shù)據(jù)安全應(yīng)用試點(diǎn)示范

按照信息安全等級(jí)保護(hù)的相關(guān)要求，在金融、能源、交通、電子政務(wù)、電子商務(wù)和互聯(lián)網(wǎng)服務(wù)領(lǐng)域，支持重點(diǎn)骨干企業(yè)，圍繞主要業(yè)務(wù)應(yīng)用，采用安全可控的技術(shù)和產(chǎn)品，開展云計(jì)算和大數(shù)據(jù)安全應(yīng)用試點(diǎn)示范，研究制定云計(jì)算和大數(shù)據(jù)應(yīng)用的安全管理機(jī)制、責(zé)任認(rèn)定機(jī)制、數(shù)據(jù)保護(hù)和使用安全機(jī)制與規(guī)范。

3、信息系統(tǒng)保密管理試點(diǎn)示范

在國(guó)家重點(diǎn)黨政機(jī)構(gòu)和涉密單位，按照信息安全等級(jí)保護(hù)相關(guān)要求，開展基于密級(jí)標(biāo)識(shí)的涉密信息及載體管控試點(diǎn)示范，部署電子文件密級(jí)標(biāo)識(shí)管理、涉密計(jì)算機(jī)和涉密移動(dòng)存儲(chǔ)介質(zhì)識(shí)別管理等系統(tǒng)，探索重要信息系統(tǒng)保密管理新方式。

支持商業(yè)機(jī)構(gòu)、專業(yè)機(jī)構(gòu)開展電子郵箱安全保密試點(diǎn)示范，采用國(guó)家密碼局規(guī)定算法，以及相關(guān)信息安全防護(hù)技術(shù)，建設(shè)安全郵箱服務(wù)平臺(tái)，形成電子郵箱防泄密、反竊密綜合保障能力，探索安全加密郵件與智能終端電子郵件消息加密推送等新服務(wù)模式。

4、工業(yè)控制信息安全領(lǐng)域示范

在電力電網(wǎng)、石油石化、先進(jìn)制造、軌道交通領(lǐng)域，支持大型重點(diǎn)骨干企業(yè)，按照信息安全等級(jí)保護(hù)相關(guān)要求，建設(shè)完善安全可控的工業(yè)控制系統(tǒng)。建立以杜絕重大災(zāi)難性事件為底線的工業(yè)控制系統(tǒng)綜合安全防護(hù)體系，建立完善工業(yè)控制信息安全技術(shù)與管理的機(jī)制和規(guī)范。

二、申報(bào)要求

(一)請(qǐng)項(xiàng)目主管部門根據(jù)投資體制改革精神和《國(guó)家高技術(shù)產(chǎn)業(yè)發(fā)展項(xiàng)目管理暫行辦法》的有關(guān)規(guī)定，結(jié)合本單位、本地區(qū)實(shí)際情況，認(rèn)真做好項(xiàng)目組織和備案工作，組織編寫項(xiàng)目資金申請(qǐng)報(bào)告并協(xié)調(diào)落實(shí)項(xiàng)目建設(shè)資金、環(huán)境影響評(píng)價(jià)、節(jié)能評(píng)估等相關(guān)建設(shè)條件，同時(shí)匯總相關(guān)申請(qǐng)材料并報(bào)我委。

(二)通過國(guó)務(wù)院有關(guān)部門及中央直屬企業(yè)申報(bào)的項(xiàng)目，項(xiàng)目單位應(yīng)與有關(guān)部門和中央直屬企業(yè)有財(cái)務(wù)隸屬關(guān)系。其他項(xiàng)目應(yīng)按照屬地管理原則，通過項(xiàng)目單位所在地的省級(jí)發(fā)展和改革委員會(huì)申報(bào)。

(三)項(xiàng)目主管部門應(yīng)對(duì)報(bào)送的材料，如資金申請(qǐng)報(bào)告、銀行貸款承諾、自有資金證明、各類許可資質(zhì)等，進(jìn)行認(rèn)真核實(shí)，并負(fù)責(zé)對(duì)其真實(shí)性予以確認(rèn)。

(四)項(xiàng)目紙質(zhì)申報(bào)材料包括：項(xiàng)目資金申請(qǐng)報(bào)告(達(dá)到可行性研究報(bào)告深度)、項(xiàng)目簡(jiǎn)表和項(xiàng)目匯總表，上述材料一式兩份。項(xiàng)目簡(jiǎn)表、項(xiàng)目匯總表、項(xiàng)目備案文件、自有資金證明、投資及信貸承諾等所有附件要與項(xiàng)目資金申請(qǐng)報(bào)告一并裝訂(項(xiàng)目簡(jiǎn)表和匯總表應(yīng)訂裝在報(bào)告正文前)。各項(xiàng)目材料一經(jīng)提供不予退還，請(qǐng)做好備份。資金申請(qǐng)報(bào)告的具體編制要求詳見附件1、2。

(五)項(xiàng)目材料的具體報(bào)送時(shí)間、地點(diǎn)和相關(guān)要求將在今年9月下旬在國(guó)家發(fā)展改革委高技術(shù)司網(wǎng)站(網(wǎng)址gjss.ndrc.gov.cn)信息化欄目下另行通知。

(六)信息安全產(chǎn)品產(chǎn)業(yè)化項(xiàng)目的承擔(dān)單位原則上應(yīng)為企業(yè)法人。申報(bào)項(xiàng)目應(yīng)具備以下條件：(1)按規(guī)定在當(dāng)?shù)卣畟浒福?2)已落實(shí)項(xiàng)目建設(shè)資金；(3)采用的科技成果應(yīng)具有自主知識(shí)產(chǎn)權(quán)；(4)項(xiàng)目申報(bào)單位必須具有較強(qiáng)的技術(shù)開發(fā)和項(xiàng)目實(shí)施能力，具備較好的資信等級(jí)，資產(chǎn)負(fù)債率在合理范圍內(nèi)；(5)項(xiàng)目答辯時(shí)各單位應(yīng)已有相關(guān)產(chǎn)品。

(七)重要信息系統(tǒng)安全可控試點(diǎn)示范項(xiàng)目的承擔(dān)單位應(yīng)為企業(yè)法人或事業(yè)法人(不包含高校和科研機(jī)構(gòu))，項(xiàng)目的具體要求及項(xiàng)目資金申請(qǐng)報(bào)告的編制要點(diǎn)詳見附件2。

(八)本次信息安全專項(xiàng)分兩階段開展。第一階段受理金融信息安全、云計(jì)算與大數(shù)據(jù)安全、信息系統(tǒng)保密管理項(xiàng)目的申報(bào)，截止時(shí)間為2013年10月15日。第二階段受理工業(yè)控制信息安全項(xiàng)目申報(bào)，截止時(shí)間為2014年7月15日。我委對(duì)項(xiàng)目進(jìn)行初步評(píng)審后，將組織現(xiàn)場(chǎng)答辯。其中，專項(xiàng)擬支持的產(chǎn)品將全部委托第三方檢測(cè)機(jī)構(gòu)進(jìn)行公開測(cè)試，有關(guān)具體項(xiàng)目答辯和測(cè)試名單、時(shí)間和地點(diǎn)，以及公開測(cè)試的時(shí)間將另行通知。

附件：1、信息安全產(chǎn)品產(chǎn)業(yè)化項(xiàng)目資金申請(qǐng)報(bào)告編制要點(diǎn)

2、重要信息系統(tǒng)安全可控試點(diǎn)示范具體要求及項(xiàng)目資金申請(qǐng)報(bào)告編制要點(diǎn)

3、信息安全項(xiàng)目及承擔(dān)單位基本情況簡(jiǎn)表

4、信息安全項(xiàng)目匯總表

國(guó)家發(fā)展改革委辦公廳

2013年8月12日

篇7

安全威脅變局

2007年，垃圾郵件、電腦病毒等傳統(tǒng)的安全問題依然是CIO需要防范的重點(diǎn)。不久前，Gartner了年度安全軟件市場(chǎng)增長(zhǎng)評(píng)估報(bào)告，預(yù)測(cè)2007年的銷售額將在2006年全年82億美元的基礎(chǔ)上增長(zhǎng)10.7%，其中將有53.8%，約為49億美元的銷售額來(lái)自反病毒市場(chǎng)。

與此同時(shí)，安全威脅的性質(zhì)正在發(fā)生實(shí)質(zhì)性的轉(zhuǎn)變。現(xiàn)在的黑客和病毒編寫者已經(jīng)不再傾向于使網(wǎng)絡(luò)癱瘓，他們更關(guān)注的是如何通過網(wǎng)絡(luò)獲取經(jīng)濟(jì)利益。不同來(lái)源的行業(yè)報(bào)告均顯示，通過木馬程序等方式竊取商業(yè)和個(gè)人機(jī)密信息的行為，以及被遠(yuǎn)程黑客控制的計(jì)算機(jī)數(shù)量均呈上升勢(shì)頭。隨著信息的海量增長(zhǎng)，包括各種數(shù)據(jù)和應(yīng)用的信息資產(chǎn)對(duì)于企業(yè)運(yùn)營(yíng)正發(fā)揮日益重要的作用，對(duì)企業(yè)應(yīng)用和數(shù)據(jù)的進(jìn)攻正在取代對(duì)企業(yè)網(wǎng)絡(luò)環(huán)境的進(jìn)攻成為主要的威脅。

一份IBM專門針對(duì)中國(guó)企業(yè)安全性的調(diào)查顯示，有38%的中國(guó)企業(yè)已經(jīng)意識(shí)到，信息安全比實(shí)際犯罪對(duì)他們的業(yè)務(wù)更具威脅，企業(yè)的品牌和聲譽(yù)很容易因此造成嚴(yán)重的損失。面臨變化了的安全環(huán)境和不斷加劇的威脅，企業(yè)需要加強(qiáng)信息安全意識(shí)，從信息資產(chǎn)管理的宏觀角度建立安全防御體系。

樹立風(fēng)險(xiǎn)導(dǎo)向意識(shí)

目前中國(guó)的安全市場(chǎng)仍然以安全產(chǎn)品的銷售為主。廠家和用戶從購(gòu)置產(chǎn)品的角度看待威脅，在應(yīng)對(duì)病毒破壞、黑客攻擊等問題時(shí)，基本停留在“兵來(lái)將擋”的階段。總體而言，企業(yè)在安全項(xiàng)目方面的回報(bào)并不很好，花了很多錢卻沒有用在企業(yè)需要用的地方。其中一個(gè)原因是企業(yè)難以認(rèn)識(shí)到自己的風(fēng)險(xiǎn)所在，也就難以從投資回報(bào)的角度衡量安全投資。同時(shí)，安全又是一個(gè)涵蓋很廣的領(lǐng)域，不同的廠家、集成商和用戶對(duì)安全的理解各有千秋，但有限范圍內(nèi)最好的選擇未必在全局上發(fā)揮最好的效果。

內(nèi)部的安全漏洞和來(lái)自外部的威脅在數(shù)量和范圍上都呈現(xiàn)愈演愈烈之勢(shì)，也給企業(yè)用戶提出了嚴(yán)重的挑戰(zhàn)。針對(duì)企業(yè)在信息安全領(lǐng)域的管理、項(xiàng)目規(guī)劃及信息技術(shù)的投資比例，筆者認(rèn)為企業(yè)在信息安全管理方面可劃分為四種模型，分別為事件導(dǎo)向、工具導(dǎo)向、流程導(dǎo)向和風(fēng)險(xiǎn)導(dǎo)向。

事件導(dǎo)向型企業(yè)或者對(duì)信息安全的認(rèn)識(shí)較為薄弱，或者缺乏足夠的技能和資源來(lái)應(yīng)對(duì)安全問題，對(duì)安全攻擊基本處于遇到問題再解決的被動(dòng)響應(yīng)狀態(tài)。面對(duì)每年數(shù)量呈直線上升的各類病毒在網(wǎng)絡(luò)上流行并不斷生成新的變種，購(gòu)置一些基本的防毒設(shè)備不可能做到萬(wàn)事大吉。同時(shí)，攻擊者正在不斷改進(jìn)攻擊方法和逃避檢測(cè)，并更快地利用已知漏洞發(fā)起“零日攻擊”。這都對(duì)事件導(dǎo)向型企業(yè)的信息安全管理提出挑戰(zhàn)，由于缺乏業(yè)務(wù)連續(xù)性規(guī)劃，一旦遭受攻擊就會(huì)導(dǎo)致業(yè)務(wù)中斷，給這類企業(yè)帶來(lái)?yè)p失。

工具導(dǎo)向型企業(yè)擁有較多的安全預(yù)算，能夠主動(dòng)意識(shí)到安全問題，遇到問題習(xí)慣于通過安全技術(shù)或工具來(lái)解決，安全管理呈分布式。這類企業(yè)通常都在業(yè)務(wù)運(yùn)營(yíng)中大量應(yīng)用IT技術(shù)，對(duì)于業(yè)務(wù)連續(xù)性、時(shí)效性具有很高的要求，不能承受業(yè)務(wù)中斷帶來(lái)的損失。由于業(yè)務(wù)擴(kuò)展和防范未知風(fēng)險(xiǎn)的需要，他們不可能等待一個(gè)安全問題暴露出來(lái)才去應(yīng)對(duì)，因此有較完善的安全規(guī)劃，并主動(dòng)投資、積極部署最新的安全技術(shù)。電信、金融等行業(yè)是這一類別的典型。他們需要關(guān)注的是需要加強(qiáng)安全管理方面的工作，以配合相關(guān)安全技術(shù)與工具真正發(fā)揮作用。

流程導(dǎo)向型企業(yè)受預(yù)算等限制，在安全方面的投入不會(huì)很多，而側(cè)重于從管理的角度減少安全威脅，加強(qiáng)對(duì)人員和流程的控制力度。通常企業(yè)會(huì)建立較為完善的安全制度和組織。這類企業(yè)包括在中國(guó)市場(chǎng)的一些外資企業(yè)和信息安全觀念較強(qiáng)的民營(yíng)企業(yè)。需要關(guān)注的是如何將安全的管理制度落地。

以上三種類型的企業(yè)在信息安全上都存在不足，沒有從企業(yè)風(fēng)險(xiǎn)控制的全局出發(fā)來(lái)看待安全威脅。IBM提倡風(fēng)險(xiǎn)導(dǎo)向型的信息安全管理，這是一種采用工具與流程相結(jié)合的方式，也是最為成熟的風(fēng)險(xiǎn)管理模式。風(fēng)險(xiǎn)導(dǎo)向型的企業(yè)能夠識(shí)別風(fēng)險(xiǎn)和確定風(fēng)險(xiǎn)的優(yōu)先級(jí)，根據(jù)識(shí)別出來(lái)的不同類別的風(fēng)險(xiǎn)，決定是加強(qiáng)管理、改善流程，還是進(jìn)行技術(shù)投資，從而做到有的放矢，集中有限的資源應(yīng)對(duì)企業(yè)面臨的主要威脅。

如何掌控風(fēng)險(xiǎn)

安全項(xiàng)目最大的回報(bào)在于降低風(fēng)險(xiǎn)對(duì)企業(yè)運(yùn)營(yíng)帶來(lái)的損失，但如何才能真正從風(fēng)險(xiǎn)管理的角度進(jìn)行信息安全建設(shè)呢？筆者建議，企業(yè)首先需要了解有哪些風(fēng)險(xiǎn)存在，預(yù)測(cè)、評(píng)估其發(fā)生的可能性以及對(duì)企業(yè)的影響程度，盡可能量化風(fēng)險(xiǎn)，然后根據(jù)優(yōu)先順序，采取適當(dāng)?shù)念A(yù)防措施。

僅僅通過預(yù)防只能在一定程度上降低風(fēng)險(xiǎn)，而無(wú)法解決所有的問題，這時(shí)還需要通過制定周密的安全策略以保護(hù)企業(yè)的關(guān)鍵信息。在防范信息安全風(fēng)險(xiǎn)的同時(shí)，用戶也應(yīng)該認(rèn)識(shí)到，任何企業(yè)都不會(huì)有足夠多的人力、物力和財(cái)力完全消除風(fēng)險(xiǎn)，要達(dá)到100%的信息安全其實(shí)是一種不符合客觀實(shí)際的期望。筆者認(rèn)為信息安全管理的目標(biāo)是通過控制方法，把信息風(fēng)險(xiǎn)降到最低，使成本支出達(dá)到一個(gè)非常合理的狀態(tài)。總有一些風(fēng)險(xiǎn)是不能避免的，把這些風(fēng)險(xiǎn)分類記錄下來(lái)，并最終接受它，才是一個(gè)理智的風(fēng)險(xiǎn)管理者應(yīng)有的態(tài)度。

信息安全的基本原則要求我們了解風(fēng)險(xiǎn)，并在了解情況的前提下進(jìn)行決策，以根據(jù)消除風(fēng)險(xiǎn)所需要的成本，決定對(duì)風(fēng)險(xiǎn)做出反應(yīng)或者接受。樹立風(fēng)險(xiǎn)導(dǎo)向的信息安全管理意識(shí)，最終目的在于提高信息安全項(xiàng)目的投資回報(bào)，將IT風(fēng)險(xiǎn)作為企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)中的一部分加以管理。

建立完整安全架構(gòu)

當(dāng)前信息安全的發(fā)展趨勢(shì)已經(jīng)不僅僅是升級(jí)傳統(tǒng)的安全產(chǎn)品，而是從業(yè)務(wù)策略和整體系統(tǒng)上來(lái)考慮安全問題，幫助企業(yè)建立安全、完善的IT環(huán)境，以應(yīng)對(duì)來(lái)自內(nèi)外部的攻擊，降低風(fēng)險(xiǎn)和損失。因此，全方位的安全策略及解決方案對(duì)保護(hù)企業(yè)信息系統(tǒng)的安全不可或缺。

對(duì)于多數(shù)企業(yè)而言，目前都已制定了相關(guān)的制度和流程，但還沒有企業(yè)級(jí)整體的信息安全規(guī)劃和建設(shè)，信息安全還沒有或很少?gòu)恼w上進(jìn)行考慮。IBM企業(yè)IT安全服務(wù)是一套針對(duì)企業(yè)信息安全管理的完善解決方案，能夠協(xié)助企業(yè)更加全面地認(rèn)識(shí)信息技術(shù)、評(píng)估企業(yè)的信息安全隱患及薄弱環(huán)節(jié)，進(jìn)一步完善企業(yè)安全架構(gòu)，為企業(yè)的應(yīng)用構(gòu)建高度信息安全的運(yùn)行環(huán)境，共同規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)作，從而保護(hù)企業(yè)信息系統(tǒng)的安全。

隨著中國(guó)信息化進(jìn)程的發(fā)展，信息資產(chǎn)在企業(yè)中的重要性不斷提升。企業(yè)管理者不應(yīng)該再將信息安全看作一個(gè)孤立的或是純技術(shù)的問題，而要從企業(yè)運(yùn)營(yíng)的全局角度整體看待，制定與企業(yè)特點(diǎn)和成長(zhǎng)潛力相適應(yīng)的安全管理架構(gòu)。

關(guān)注市場(chǎng)變化

完善的安全架構(gòu)必須能夠因應(yīng)市場(chǎng)的變化進(jìn)行調(diào)整，IT部門的決策者必須密切關(guān)注市場(chǎng)的變化。2007年安全用戶在三類需求上將有突出的增長(zhǎng)。CIO需要更好地應(yīng)對(duì)日益增長(zhǎng)的法規(guī)遵從性要求，更多地關(guān)注應(yīng)用層面，與此同時(shí)，積極利用外包的機(jī)遇實(shí)現(xiàn)更好的投資回報(bào)。

在中國(guó)，隨著信息安全和上市公司相關(guān)立法的完善，法規(guī)遵從性和相關(guān)審計(jì)在行業(yè)中的要求也正在不斷普及，越來(lái)越多的公司和行業(yè)正努力去滿足法律所規(guī)定的安全要求。企業(yè)在信息管理方面需要做到三點(diǎn):信息的完整性、信息的保密性和要求信息能夠在適當(dāng)?shù)臅r(shí)間以適當(dāng)?shù)母袷奖辉L問，這都與信息安全密不可分。保護(hù)企業(yè)數(shù)據(jù)安全，達(dá)到法規(guī)遵從性的要求將是CIO們2007年的一大職責(zé)。

篇8

在訪問和保存信息方面，企業(yè)網(wǎng)絡(luò)管理人員需要有分層的安全策略，使得不同的被管理端點(diǎn)以及其使用者有著不同的權(quán)限和許可。例如，在賓館的商務(wù)中心使用電子郵件的銷售人員，通過SSL VPN訪問知識(shí)產(chǎn)權(quán)的合同工，通過企業(yè)有線或無(wú)線局域網(wǎng)訪問公司數(shù)據(jù)的訪客。但是，僅僅是間接訪問就足以讓企業(yè)敏感信息暴露在安全威脅之中。因?yàn)橐坏┪幢还芾淼亩它c(diǎn)被惡意軟件所利用，安全威脅軟件就可以利用端點(diǎn)訪問網(wǎng)絡(luò)的機(jī)會(huì)而秘密地植入企業(yè)網(wǎng)絡(luò)之中，或者直接盜取企業(yè)敏感信息。

一個(gè)全面的端點(diǎn)安全解決方案可為管理和未管理的主機(jī)提供防護(hù)，而使用持久穩(wěn)固的機(jī)制以及綜合防護(hù)功能則不再適用，因此對(duì)未管理端點(diǎn)所采用的防護(hù)策略必須是臨時(shí)的，被稱為“按需（On Demand）”防護(hù)。

這種按需保護(hù)適用的范圍包括企業(yè)現(xiàn)場(chǎng)來(lái)訪者訪問、用戶訪問電子商務(wù)應(yīng)用、合作伙伴額外訪問、員工從公共場(chǎng)所或家庭電腦訪問等。需要指出的是，這不僅保護(hù)企業(yè)的利益，還應(yīng)當(dāng)確保企業(yè)能夠?yàn)橛脩魯U(kuò)展增值服務(wù)。例如，憑借這種按需保護(hù)功能，金融機(jī)構(gòu)或評(píng)估報(bào)告能夠確定用戶從其網(wǎng)站下載的數(shù)據(jù)的安全性且不會(huì)受到任何干擾。

篇9

>> 水肥資源利用現(xiàn)狀及在東北進(jìn)行研究的必要性分析 基于Windows Server 2003的安全評(píng)估系統(tǒng)研究 房屋安全性鑒定的必要性研究 原州區(qū)農(nóng)田水利現(xiàn)狀及加快建設(shè)的必要性論證 農(nóng)田水利現(xiàn)狀及加快農(nóng)田水利事業(yè)發(fā)展的必要性 礦山安全管理的必要性和措施研究 加快電網(wǎng)建設(shè)新技術(shù)推廣應(yīng)用的必要性分析的研究與建議 廣西高職輔導(dǎo)員職業(yè)倦怠研究的必要性及現(xiàn)狀探討 置業(yè)顧問培訓(xùn)的必要性及方案研究 機(jī)床綠色制造的必要性及發(fā)展研究 加快滄州現(xiàn)代服務(wù)業(yè)發(fā)展的必要性研究 關(guān)于加快完善國(guó)際外層空間法的必要性研究 中國(guó)后轉(zhuǎn)型研究必要性的分析 建筑節(jié)能的必要性及節(jié)能設(shè)計(jì)的研究分析 大學(xué)生心理檔案管理現(xiàn)狀調(diào)查及檔案系統(tǒng)建立的必要性分析 建筑工程成本分析與控制的必要性及要點(diǎn)研究 對(duì)新農(nóng)村社區(qū)建設(shè)的必要性分析及研究 發(fā)行科技創(chuàng)業(yè)彩票的必要性分析及可行方案研究 新疆和田地毯特點(diǎn)分析及圖像矢量化的必要性研究 關(guān)于出租車管制的必要性分析及對(duì)策研究 常見問題解答 當(dāng)前所在位置：L。其他設(shè)置功能可以幫助處理一些掃描過程種的問題，包括跳過沒有響應(yīng)主機(jī)，無(wú)條件掃描等等。插件設(shè)置項(xiàng)目包括了端口相關(guān)設(shè)置，SNMP相關(guān)設(shè)置，NETBIOS相關(guān)設(shè)置，漏洞檢測(cè)腳本設(shè)置，CGI相關(guān)設(shè)置，字典文件設(shè)置這6項(xiàng)設(shè)置。X-Scan掃描方式有兩種，一種是利用TCP檢測(cè)，一種是利用SYN檢測(cè)。

功能特點(diǎn)：X-SCAN采用多線程方式對(duì)指定IP地址段（或單機(jī)）進(jìn)行安全漏洞檢測(cè)，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠(yuǎn)程操作系統(tǒng)類型及版本，標(biāo)準(zhǔn)端口狀態(tài)及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用戶，NT服務(wù)器NETBIOS信息等。X-SCAN提供了簡(jiǎn)單的插件開發(fā)包，便于有編程基礎(chǔ)的朋友自己編寫或?qū)⑵渌{(diào)試通過的代碼修改為X-Scan插件。這十分值得我們借鑒。但其中的漏洞資料和整體功能都存在不足，各項(xiàng)功能的測(cè)試受時(shí)間及環(huán)境所限也不夠全面。

（三）SATAN軟件

安全管理員分析工具SATAN是一個(gè)端口掃描程序，1995年4月推出，運(yùn)行在Unix環(huán)境下，掃描的目標(biāo)是Unix系統(tǒng)，它對(duì)大多數(shù)己知的漏洞進(jìn)行掃描，發(fā)現(xiàn)漏洞便提交報(bào)告給用戶，說明如何利用該漏洞以及如何對(duì)該漏洞進(jìn)行修補(bǔ)。SATAN采用了HTML技術(shù)，是第一個(gè)把掃描結(jié)果以用戶友好的格式來(lái)顯示的掃描工具。SATAN的推出引起了很大的轟動(dòng)，與其他掃描工具相比，SATAN是受到公眾關(guān)注最多的。

功能特點(diǎn)：SATAN軟件可以讓用戶對(duì)子網(wǎng)瀏覽進(jìn)行了解。當(dāng)用戶讓SATAN對(duì)子網(wǎng)中的所有主機(jī)進(jìn)行瀏覽時(shí)，SATAN利用Unix的fping工具來(lái)決定究竟哪些主機(jī)它可以瀏覽，SATAN中安裝的fping工具是標(biāo)準(zhǔn)Unix中的fping的變體，它能有效地順序?yàn)g覽大量主機(jī)。SATAN利用fping節(jié)省了與并不存在和正退出的主機(jī)的信息交流的時(shí)間。同時(shí)，fping能發(fā)現(xiàn)未經(jīng)管理員同意而附屬于本網(wǎng)絡(luò)的其他系統(tǒng)。

（四）NMAP軟件

NMAP是當(dāng)前較受歡迎的掃描工具，其特點(diǎn)是提供了比較全面的掃描方法及利用指紋技術(shù)的遠(yuǎn)程操作系統(tǒng)識(shí)別功能，NMAP掃描速度很快。它提供的掃描方法包括：Vanilla TCP Connect（）掃描、TCP SYN掃描、TCP FIN掃描、TCP FTP Proxy掃描、利用IP Fragments的SYN/FIN掃描、TCP ACK和Window掃描、工CMP掃描、TCP Ping掃描。為提高掃描速度提供了并行掃描的功能，NMAP用C語(yǔ)言編碼。

功能特點(diǎn)和使用方法：nmap運(yùn)行通常會(huì)得到被掃描主機(jī)端口的列表。nmap總會(huì)給出well known端口的服務(wù)名（如果可能）、端口號(hào)、狀態(tài)和協(xié)議等信息。每個(gè)端口的狀態(tài)有：open、filtered、unfiltered。open狀態(tài)意味著目標(biāo)主機(jī)能夠在這個(gè)端口使用accept（）系統(tǒng)調(diào)用接受連接。filtered狀態(tài)表示：防火墻、包過濾和其它的網(wǎng)絡(luò)安全軟件掩蓋了這個(gè)端口，禁止nmap探測(cè)其是否打開。unfiltered表示：這個(gè)端口關(guān)閉，并且沒有防火墻/包過濾軟件來(lái)隔離nmap的探測(cè)企圖。通常情況下，端口的狀態(tài)基本都是unfiltered狀態(tài)，只有在大多數(shù)被掃描的端口處于filtered狀態(tài)下，才會(huì)顯示處于unfiltered狀態(tài)的端口。這十分值得我們借鑒。但其中的漏洞資料和整體功能都存在不足，各項(xiàng)功能的測(cè)試受時(shí)間及環(huán)境所限也不夠全面。

（五）ISS軟件

ISS的Internet Scanner（互聯(lián)網(wǎng)掃描器）是一個(gè)用于分析網(wǎng)絡(luò)上設(shè)備安全性的弱點(diǎn)評(píng)估產(chǎn)品。它檢測(cè)路由器、Web服務(wù)器、Unix服務(wù)器、Windows NT服務(wù)器、桌面系統(tǒng)和防火墻的弱點(diǎn)，從而識(shí)別能被入侵者用來(lái)非法進(jìn)入網(wǎng)絡(luò)的漏洞。Internet Scanner以入侵者的行為方式通過檢查網(wǎng)絡(luò)設(shè)備、服務(wù)以及相互關(guān)系去發(fā)現(xiàn)漏洞。Internet Scanner的掃描策略是模擬黑客技術(shù)探測(cè)網(wǎng)絡(luò)環(huán)境中的安全脆弱點(diǎn)，它向目標(biāo)網(wǎng)絡(luò)和設(shè)備發(fā)送各種探測(cè)數(shù)據(jù)包（如ICMP，TCP，UCP數(shù)據(jù)包等），偵聽目標(biāo)響應(yīng)的情況，搜集信息，判斷是否存在安全性弱點(diǎn)。Internet Scanner可以在同一時(shí)間執(zhí)行多個(gè)掃描線程，即并行掃描，它也可以設(shè)置多個(gè)用于TCP服務(wù)掃描的專門線程，即實(shí)現(xiàn)了并行TCP服務(wù)掃描。ISS的系統(tǒng)掃描器System Scanner是一個(gè)基于主機(jī)的安全評(píng)估系統(tǒng)，它在系統(tǒng)層上通過依附于主機(jī)上的掃描器偵測(cè)主機(jī)內(nèi)部的漏洞。System Scanner能夠識(shí)別并報(bào)告系統(tǒng)中所存在的安全漏洞、弱點(diǎn)以及使用不當(dāng)?shù)牟呗?，從而提供基于主機(jī)的安全評(píng)估。System Scanner由控制臺(tái)（Console）和掃描（Agent）兩部分組成，采用C/S（客戶機(jī)/服務(wù)器）結(jié)構(gòu)，通過在每個(gè)被管理系統(tǒng)上所安裝的模塊來(lái)檢測(cè)安全漏洞、誤配置以及使用不當(dāng)?shù)牟呗浴?/p>

功能特點(diǎn)：ISS Internet Scanner通過對(duì)網(wǎng)絡(luò)安全弱點(diǎn)全面和自主地檢測(cè)與分析并檢查它們的弱點(diǎn)，將風(fēng)險(xiǎn)分為高中低三個(gè)等級(jí)，并且可以生成大范圍的有意義的報(bào)表。這些評(píng)估功能我們軟件評(píng)估系統(tǒng)可以借鑒。

四、安全專家評(píng)估應(yīng)用情況

（一）安全專家系統(tǒng)

安全專家是集眾多信息安全專家多年的信息安全經(jīng)驗(yàn)，為客戶計(jì)算機(jī)提供多種安全防護(hù)手段（防火墻、防病毒、安全評(píng)估、安全修復(fù)等等）。它能象一位安全專家一樣，為客戶計(jì)算機(jī)存在的安全威脅，進(jìn)行“主動(dòng)檢測(cè)”、“綜合治療”，并能做到事前“自動(dòng)免疫”通過在級(jí)升級(jí)功能長(zhǎng)期保證客戶計(jì)算機(jī)處在高等級(jí)的安全狀態(tài)。安全評(píng)估專家的功能：

1.自檢：安全評(píng)估功能

對(duì)用戶主機(jī)自動(dòng)進(jìn)行全面的安全檢測(cè)，發(fā)現(xiàn)系統(tǒng)存在的所有已知安全漏洞、病毒及木馬后門程序，并向用戶提交安全評(píng)估報(bào)告，告知主機(jī)安全等級(jí)。

2.自醫(yī)：安全修復(fù)功能

針對(duì)檢測(cè)中發(fā)現(xiàn)的安全隱患，對(duì)終端主機(jī)進(jìn)行全面的修復(fù)。清除主機(jī)上存在的各種安全漏洞、病毒、蠕蟲和惡意代碼。

3.自疫：預(yù)先免疫功能

安全專家針對(duì)不同用戶的安全需求提供了多種安全防護(hù)策略，通過安全策略可以實(shí)現(xiàn)端口的防護(hù)、系統(tǒng)安全漏洞及時(shí)修復(fù)，安全配置的完全優(yōu)化，從而全面提高計(jì)算機(jī)的整體安全性，并能對(duì)未來(lái)的安全威脅起到很好的安全免疫，確保用戶的計(jì)算機(jī)不被新的蠕蟲病毒和黑客攻擊程序的破壞。

4.自保：在線升級(jí)功能

安全專家產(chǎn)品實(shí)現(xiàn)了自動(dòng)在線實(shí)時(shí)更新的功能，用戶可以手動(dòng)或設(shè)置時(shí)間定期升級(jí)安全專家程序，確保對(duì)新的出現(xiàn)病毒及黑客攻擊技術(shù)的防范，實(shí)現(xiàn)長(zhǎng)治久安的目的。

（二）主機(jī)安全評(píng)估套件（HRA）

黑龍江哈爾濱商務(wù)之窗在2007-08-12日寫出了《國(guó)內(nèi)首款計(jì)算機(jī)主機(jī)安全評(píng)估套件在哈問世，其技術(shù)國(guó)際領(lǐng)先》報(bào)道：作為國(guó)內(nèi)知名的網(wǎng)絡(luò)安全產(chǎn)品和解決方案供應(yīng)商，哈爾濱安天公司近日研發(fā)出一款名為“安天主機(jī)安全評(píng)估套件”的高科技產(chǎn)品。這是國(guó)內(nèi)主機(jī)安全評(píng)估方面唯一實(shí)現(xiàn)了自動(dòng)化、定性、定量評(píng)估的相關(guān)系統(tǒng)，其產(chǎn)品全部核心技術(shù)均由安天公司自行開發(fā)，系統(tǒng)核心的AVL SDK反病毒引擎還曾因技術(shù)國(guó)際領(lǐng)先獲得了國(guó)家科技部創(chuàng)新基金。該套件根據(jù)上百個(gè)自動(dòng)化提取的關(guān)聯(lián)因素對(duì)主機(jī)節(jié)點(diǎn)的風(fēng)險(xiǎn)等級(jí)進(jìn)行準(zhǔn)確評(píng)分、以及通過主機(jī)節(jié)點(diǎn)數(shù)據(jù)生成網(wǎng)絡(luò)整體安全等級(jí)定量評(píng)定等產(chǎn)品創(chuàng)意，均為國(guó)內(nèi)首創(chuàng)。它有本地評(píng)估和網(wǎng)絡(luò)評(píng)估兩種方式。只要將套件中的U盤或光盤插入主機(jī)，即可自動(dòng)檢測(cè)惡意代碼、查找安全漏洞、做出安全分析，生成相關(guān)報(bào)告。不但能夠高效準(zhǔn)確地判定終端系統(tǒng)受惡意代碼感染的情況，還能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)，特別是內(nèi)網(wǎng)、系統(tǒng)中由于違規(guī)安裝軟件、私自撥號(hào)上網(wǎng)、私自插入移動(dòng)存儲(chǔ)設(shè)備等帶來(lái)的重大安全隱患。此外，該套件還能發(fā)現(xiàn)系統(tǒng)遭受入侵攻擊的各種痕跡，對(duì)目前機(jī)器上存在的安全漏洞、面臨的安全隱患和已經(jīng)發(fā)生的安全問題做出系統(tǒng)化的評(píng)價(jià)，直觀地呈現(xiàn)出來(lái)，并可根據(jù)評(píng)估結(jié)果自動(dòng)對(duì)每個(gè)問題的解決方案提供相應(yīng)的建議。

典型的應(yīng)用方案如1-1圖所示：

圖1-1 主機(jī)安全評(píng)估套件的典型的應(yīng)用方案

（三）瑞星2008安檢

瑞星殺毒軟件2008版，是基于新一代虛擬機(jī)脫殼引擎、采用三層主動(dòng)防御策略開發(fā)的新一代信息安全產(chǎn)品。瑞星08獨(dú)創(chuàng)的“賬號(hào)保險(xiǎn)柜”基于“主動(dòng)防御”構(gòu)架開發(fā)，可保護(hù)上百種流行軟件的賬號(hào)，包括70多款熱門網(wǎng)游，30多種股票、網(wǎng)上銀行類軟件，QQ、MSN等常用聊天工具及下載軟件等。同時(shí)，瑞星08采用“木馬強(qiáng)殺”、“病毒DNA識(shí)別”、“主動(dòng)防御”、“惡意行為檢測(cè)”等大量核心技術(shù)，可有效查殺目前各種加殼、混合型及家族式木馬病毒共約70萬(wàn)種。電腦安檢也是瑞星2008版新增加的功能之一，非常方便用戶使用。通過安檢能夠檢查用戶是否及時(shí)升級(jí)殺毒軟件、是否進(jìn)行過全盤殺毒、是否安裝了所有的補(bǔ)丁程序、實(shí)時(shí)監(jiān)控和主動(dòng)防御是否都打開了等等。幫助用戶更好地了解電腦的安全狀況，提升電腦安全防護(hù)級(jí)別。

五、結(jié)語(yǔ)

篇10

關(guān)鍵詞 互聯(lián)網(wǎng)金融 P2P 大數(shù)據(jù)征信 信審

互聯(lián)網(wǎng)金融自2007年出現(xiàn)直至2015年發(fā)展態(tài)勢(shì)愈演愈烈，作為一種新興的金融服務(wù)方式，P2P行業(yè)憑借其“短，平，快”的特點(diǎn)和優(yōu)勢(shì)獲得了迅猛的發(fā)展。另一方面，P2P問題平臺(tái)跑路、倒閉、兌付危機(jī)等負(fù)面新聞?lì)l出，整個(gè)行業(yè)都受到了牽連，行業(yè)發(fā)展的迅猛態(tài)勢(shì)倒逼監(jiān)管加快步伐。其中，作為P2P行業(yè)工作的關(guān)鍵環(huán)節(jié)，信審工作存在的問題及其優(yōu)化受到了越來(lái)越多的關(guān)注。本文以“大數(shù)據(jù)”為研究背景，對(duì)P2P企業(yè)信審環(huán)節(jié)中的主要問題展開研究。

一、信審環(huán)節(jié)主要存在的問題

（一）資料收集階段――渠道較少，范圍較小

目前我國(guó)眾多P2P企業(yè)在收集資料階段存在信息渠道窄、信息覆蓋面不全等主要問題。首先，大多P2P企業(yè)獲得信息渠道相對(duì)單一，以P2P企業(yè)與借款融資企業(yè)之間的雙向往來(lái)為主。其次，P2P企業(yè)信審大多參考銀行傳統(tǒng)征信函蓋的資料內(nèi)容與范圍，信息的覆蓋范圍較窄，使風(fēng)險(xiǎn)評(píng)估階段由于數(shù)據(jù)信息的局限性導(dǎo)致評(píng)估結(jié)果有一定的偏差性。

（二）風(fēng)險(xiǎn)評(píng)估階段――建模初期，經(jīng)驗(yàn)主義

風(fēng)險(xiǎn)評(píng)估方面的問題是制約P2P企業(yè)發(fā)展的重要因素。目前較多P2P企業(yè)在審核企業(yè)信用時(shí)采用以往或行業(yè)經(jīng)驗(yàn)來(lái)定性評(píng)估受審企業(yè)的信用等級(jí)。由于不同企業(yè)在信用審核中存在行業(yè)差異性，沒有統(tǒng)一的衡量標(biāo)準(zhǔn)，P2P企業(yè)為了了解待審企業(yè)的運(yùn)營(yíng)狀況，先實(shí)地盡調(diào)，再根據(jù)受審企業(yè)具體問題具體分析。這就導(dǎo)致審核時(shí)間長(zhǎng)、耗費(fèi)的成本及人力資源較多且評(píng)估結(jié)果缺少科學(xué)性依據(jù)。

（三）數(shù)據(jù)存儲(chǔ)階段――疏于管理，安全性低

P2P企業(yè)都會(huì)對(duì)借款方企業(yè)的前期資料以及后期評(píng)估的信用情況進(jìn)行建檔存檔。目前，大多P2P企業(yè)的數(shù)據(jù)存儲(chǔ)沒有專門的數(shù)據(jù)庫(kù)系統(tǒng)，也沒有設(shè)立服務(wù)器或交予第三方云服務(wù)平臺(tái)托管的意識(shí)。

二、歐美的征信經(jīng)驗(yàn)及我國(guó)的改變

說到信用審核的問題，必然要談到近兩年頻繁出現(xiàn)的“大數(shù)據(jù)征信”了。一些歐美國(guó)家在在此方面的應(yīng)用都是先于我國(guó)的。以利用“大數(shù)據(jù)”進(jìn)行風(fēng)險(xiǎn)管理的ZestFiance為例，它整合分散數(shù)據(jù)，借助數(shù)據(jù)挖掘與自我開發(fā)的預(yù)測(cè)模型（包括防欺詐模型、還款能力模型等十個(gè)模型），再將預(yù)測(cè)模型的結(jié)果進(jìn)行集成處理，挖掘更多傳統(tǒng)征信覆蓋不到或潛在的信用信息，并借助信用評(píng)估模型獲得完整的信用評(píng)估報(bào)告。

而近些年國(guó)內(nèi)有關(guān)征信方面也有了不少改變。央行將征信系統(tǒng)向個(gè)人及金融機(jī)構(gòu)開放，個(gè)人每年可免費(fèi)查詢一次自己的征信報(bào)告，而金融機(jī)構(gòu)只要符合相關(guān)申請(qǐng)條件經(jīng)授權(quán)批準(zhǔn)即可接入征信系統(tǒng)的接口。此外，央行在2015年1月印發(fā)的《關(guān)于做好個(gè)人征信業(yè)務(wù)準(zhǔn)備工作的通知》中，包括芝麻信用、騰訊征信等八家企業(yè)被授權(quán)掛牌作為民營(yíng)征信企業(yè)。通過對(duì)數(shù)據(jù)的挖掘和分析，各企業(yè)從不同維度綜合評(píng)估，為用戶建立個(gè)人的信用評(píng)分，向個(gè)人及機(jī)構(gòu)提供征信服務(wù)，豐富了征信內(nèi)容。這對(duì)沖破傳統(tǒng)意義上的征信使征信多元化、數(shù)據(jù)化有著重大意義。

三、對(duì)P2P企業(yè)信審工作的建議

（一）資料收集階段――多元化數(shù)據(jù)搜集

在收集借款方企業(yè)的審核資料過程中，可以從兩方面做出多元化改善：

1.獲取信息渠道多元化。這里的信息渠道是指獲得借款方需審核資料的方式。在行業(yè)未來(lái)發(fā)展中，擴(kuò)展信息收集渠道將成為一種趨勢(shì)。如獲取借款融資企業(yè)資料可通過以下幾種方式：第一，申請(qǐng)央行征信系統(tǒng)的接口，獲取企業(yè)法人、融資負(fù)責(zé)人、企業(yè)核心決策層等相關(guān)人員的個(gè)人征信報(bào)告；第二，向目前已開放的八家征信企業(yè)選擇一家或幾家支付一定服務(wù)費(fèi)用，接入數(shù)據(jù)接口，獲取借款融資方相關(guān)人員的信用記錄及評(píng)分；第三，通過全國(guó)企業(yè)信用信息公示系統(tǒng)、中國(guó)裁判文書網(wǎng)、各地法院官網(wǎng)等官方網(wǎng)站，獲取企業(yè)基本信息及企業(yè)的不誠(chéng)信經(jīng)營(yíng)導(dǎo)致被事件等信息。

2.信息領(lǐng)域多元化。信息領(lǐng)域，也稱信息覆蓋面。正確地拓寬數(shù)據(jù)搜集的覆蓋面可以為信用審核提供更多維度的信息，使最終的信用評(píng)估綜合性及參考價(jià)值更高。除了傳統(tǒng)信審所涵蓋的身份信息、信貸信息、金融負(fù)債信息及公共信息外，可參考拓寬的領(lǐng)域有：第一，民營(yíng)征信企業(yè)提供的信息。不同征信企業(yè)有不同的側(cè)重領(lǐng)域，如：中誠(chéng)信征信、前海征信、鵬元征信側(cè)重金融領(lǐng)域；中智誠(chéng)征信和北京華道征信側(cè)重反欺詐領(lǐng)域；騰訊征信、芝麻信用、拉卡拉信用側(cè)重生活場(chǎng)景領(lǐng)域，包括社交、消費(fèi)等方面。第二，大數(shù)據(jù)征信視角可探知的信息。這點(diǎn)與上條所說民營(yíng)征信企業(yè)提供的信息有交疊部分。信用信息與信貸記錄具有強(qiáng)相關(guān)性，同時(shí)，它與通過數(shù)據(jù)挖掘方法獲取的一些行為信息也有一定的聯(lián)系。例如利用數(shù)據(jù)挖掘獲得的搬家次數(shù)、網(wǎng)絡(luò)點(diǎn)擊等信息。當(dāng)然，需在合法合規(guī)的前提下獲取此類信息。第三，非金融日常信息。如：水電氣繳納情況、有線電視、移動(dòng)電話等信息。

（二）風(fēng)險(xiǎn)評(píng)估階段――多層次多維度綜合評(píng)估

多層次的綜合評(píng)估是指在建立模型的過程中，由基礎(chǔ)模型――評(píng)估模型――信審模型 構(gòu)成垂直方向上層級(jí)遞進(jìn)的評(píng)估模型。首先將收集的數(shù)據(jù)信息劃分為多個(gè)維度，劃分也可分為兩種方法：一是按照信息來(lái)源分類，如：央行的征信報(bào)告、企業(yè)公共信息、民營(yíng)征信機(jī)構(gòu)信息等；二是按照信息的領(lǐng)域分類，如：驗(yàn)證類基礎(chǔ)信息、金融類信息、非金融類信息。不同類別的數(shù)據(jù)與信審的相關(guān)性不同，即每一類信其次針對(duì)不同評(píng)估方面，以兩類或以上的基礎(chǔ)模型評(píng)估結(jié)果為參考，運(yùn)用相應(yīng)的算法建立適用的評(píng)估模型，如還款能力評(píng)估模型、還款意愿評(píng)估模型、身份驗(yàn)證評(píng)估模型、企業(yè)運(yùn)營(yíng)評(píng)估模型等。最后根據(jù)不同類型的企業(yè)及其不同的側(cè)重點(diǎn)，在評(píng)估模型的基礎(chǔ)上加上不同的權(quán)重，使用相應(yīng)的規(guī)則，將評(píng)估模型整合為最終的信審模型，獲得最終的信用評(píng)估報(bào)告。

（三）數(shù)據(jù)存儲(chǔ)階段――完善服務(wù)器

上文中提到多數(shù)P2P企業(yè)將信息安全保障集中放在網(wǎng)絡(luò)平臺(tái)的運(yùn)營(yíng)上，而忽視了對(duì)借款方企業(yè)信息存儲(chǔ)的安全保障。

在長(zhǎng)期發(fā)展中建議P2P企業(yè)在信息存儲(chǔ)方面建立完備的數(shù)據(jù)庫(kù)服務(wù)器對(duì)數(shù)據(jù)統(tǒng)一管理，或?qū)⑵渫泄苤恋谌皆品?wù)平臺(tái)；對(duì)于信息中的敏感數(shù)據(jù)采用一定的加密技術(shù)以確保信息存儲(chǔ)的安全性。

四、結(jié)語(yǔ)

互聯(lián)網(wǎng)金融P2P行業(yè)在我國(guó)仍處于初步發(fā)展階段，其發(fā)展有無(wú)限的可能，也將會(huì)朝著網(wǎng)貸行業(yè)產(chǎn)業(yè)鏈的趨勢(shì)發(fā)展，形成數(shù)據(jù)服務(wù)企業(yè)――征信（信審）服務(wù)企業(yè)――P2P平臺(tái)服務(wù)企業(yè)交叉網(wǎng)狀結(jié)構(gòu)，將每一環(huán)節(jié)的業(yè)務(wù)細(xì)化到每一類企業(yè)。對(duì)中國(guó)征信將來(lái)的發(fā)展也抱有積極的觀望態(tài)度。

（作者單位為西南交通大學(xué)經(jīng)濟(jì)管理學(xué)院信息管理與信息系統(tǒng)）

參考文獻(xiàn)

[1] 陳初.對(duì)中國(guó)“P2P”網(wǎng)絡(luò)融資的思考[J].人民論壇，2010（26）.

[2] 王亮平. P2P網(wǎng)絡(luò)借貸環(huán)境下我國(guó)小微企業(yè)融資需求分析[J].商場(chǎng)現(xiàn)代化，2015（Z1）.