導(dǎo)語：如何才能寫好一篇信息網(wǎng)絡(luò)安全評(píng)估方法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】電力 信息網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)評(píng)估

改革開放以來，我國社會(huì)經(jīng)濟(jì)得到了長足的發(fā)展，人民物質(zhì)文化生活水平不斷提高，用電量亦直線增漲，電力行業(yè)獲得了前所未有的發(fā)展機(jī)遇。隨著電力行業(yè)的不斷發(fā)展壯大和信息網(wǎng)絡(luò)技術(shù)日新月異的發(fā)展，電力行業(yè)和電力企業(yè)也面臨著一系列的挑戰(zhàn)，電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和防御顯得日益重要，信息網(wǎng)絡(luò)風(fēng)險(xiǎn)量化評(píng)估成為重中之重。由于我國電力信息化技術(shù)起步較晚，發(fā)展也比較滯后，電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與風(fēng)險(xiǎn)防御是一個(gè)新的課題，電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)量化評(píng)估在最近幾年才被重視，所以存在不少的問題急待完善。

1 電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)量化評(píng)估的必要性

隨著信息技術(shù)的不斷發(fā)展，電力信息網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)越來越大，電力企業(yè)不得不提高信息網(wǎng)絡(luò)風(fēng)險(xiǎn)防控意識(shí)，重視電力信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估工作。進(jìn)行電力系統(tǒng)信息網(wǎng)絡(luò)風(fēng)險(xiǎn)量化評(píng)估意義體現(xiàn)在許多方面，可以提高電力企業(yè)管理層和全體員工的信息網(wǎng)絡(luò)安全意識(shí)，促進(jìn)電力企業(yè)不斷完善電力信息網(wǎng)絡(luò)技術(shù)的研發(fā)與提升，防范廣大電力用戶個(gè)人信息泄露，為電力企業(yè)今后的良好發(fā)展保駕護(hù)航。近年來，電力企業(yè)迎來了黃金發(fā)展時(shí)期，電力網(wǎng)絡(luò)覆蓋面不斷擴(kuò)大，電力企業(yè)管理理念也不斷提升，電力系統(tǒng)也隨之步入了數(shù)字化時(shí)代，信息網(wǎng)絡(luò)安全防范成為當(dāng)務(wù)之急。目前電力系統(tǒng)信息網(wǎng)絡(luò)安全防范一般為安裝防病毒軟件、部署防火墻、進(jìn)行入侵檢測(cè)等基礎(chǔ)性的安全防御，缺乏完整有效的信息安全保障體系。風(fēng)險(xiǎn)量化評(píng)估技術(shù)能夠準(zhǔn)確預(yù)測(cè)出電力信息網(wǎng)絡(luò)可能面臨的各種威脅，及時(shí)發(fā)現(xiàn)系統(tǒng)安全問題，進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估，盡最大可能地協(xié)助防御電力系統(tǒng)安全威脅。

2 電力系統(tǒng)信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中存在的問題

我國電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是近幾年才開始的，發(fā)展相對(duì)滯后，目前針對(duì)電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的相關(guān)研究特別少。2008年電力行業(yè)信息標(biāo)準(zhǔn)化技術(shù)委員會(huì)才討論通過了《電力行業(yè)信息化標(biāo)準(zhǔn)體系》，因此電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中存在不少的問題和難題有待解決。

2.1 電力信息網(wǎng)絡(luò)系統(tǒng)的得雜性

電力行業(yè)，電力企業(yè)，各電網(wǎng)單位因?yàn)楣ぷ餍再|(zhì)不同，對(duì)電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的認(rèn)識(shí)各不相同，加上相關(guān)標(biāo)準(zhǔn)體系的不健全，信息識(shí)別缺乏參考，電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別存在較大的困難。此外電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估對(duì)象難以確定，也給評(píng)估工作帶來了很大的困難。

2.2 電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化評(píng)估方法缺乏科學(xué)性

我國部分電力企業(yè)的信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法比較落后簡單，其主要方式是組織專家、管理人員、用戶代表根據(jù)一些相關(guān)的信息數(shù)據(jù)開會(huì)研討，再在研討的基礎(chǔ)上進(jìn)行人為打分，形成書面的文字說明和統(tǒng)計(jì)表格來評(píng)定電力信息網(wǎng)絡(luò)系統(tǒng)可能面臨的各種風(fēng)險(xiǎn)，這種評(píng)估方法十分模糊，缺乏科學(xué)的分析，給風(fēng)險(xiǎn)防范決策帶來了極大風(fēng)險(xiǎn)，實(shí)在不可取。

2.3 傳統(tǒng)的電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法過于主觀

目前用于電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析計(jì)算的傳統(tǒng)方法很多，如層次分析、模糊理論等方法?？墒且?yàn)殡娏W(wǎng)絡(luò)安全信息的復(fù)雜性、不確定性和人為干擾等原因，傳統(tǒng)分析評(píng)估方法比較主觀，影響評(píng)估結(jié)果。在評(píng)估的實(shí)際工作中存在很多干擾因素，如何排除干擾因素亦是一大難點(diǎn)。電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化評(píng)估要面對(duì)海量的信息數(shù)據(jù)，如何采用科學(xué)方法進(jìn)行數(shù)據(jù)篩選，簡約數(shù)據(jù)簡化評(píng)估流程是當(dāng)前的又一重大課題。

3 電力信息網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)分析

電力信息網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)五花八門，影響電力信息網(wǎng)絡(luò)系統(tǒng)的因素錯(cuò)綜復(fù)雜，需要根據(jù)實(shí)際情況建立一個(gè)立體的安全防御體系。要搞好電力信息網(wǎng)絡(luò)系統(tǒng)安全防護(hù)工作首先要分析電力信息網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)類別，然后才能各個(gè)突破，有效防范。電力信息網(wǎng)絡(luò)系統(tǒng)面臨的安全風(fēng)險(xiǎn)主要有兩面大類別：安全技術(shù)風(fēng)險(xiǎn)和安全管理風(fēng)險(xiǎn)。

3.1 電力信息網(wǎng)絡(luò)安全技術(shù)風(fēng)險(xiǎn)

3.1.1 物理性安全風(fēng)險(xiǎn)

是指信息網(wǎng)絡(luò)外界環(huán)境因素和物理因素，導(dǎo)致設(shè)備及線路故障使電力信息網(wǎng)絡(luò)處于癱瘓狀態(tài)，電力信息系統(tǒng)不能正常動(dòng)作。如地震海嘯、水患火災(zāi)，雷劈電擊等自然災(zāi)害；人為的破壞和人為信息泄露；電磁及靜電干擾等，都能夠使電力信息網(wǎng)絡(luò)系統(tǒng)不能正常工作。

3.1.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

是指電力信息系統(tǒng)內(nèi)網(wǎng)與外網(wǎng)之間的防火墻不能有效隔離，網(wǎng)絡(luò)安全設(shè)置的結(jié)構(gòu)出現(xiàn)問題，關(guān)鍵設(shè)備處理業(yè)務(wù)的硬件空間不夠用，通信線纜和信息處理硬件等級(jí)太低，電力信息網(wǎng)絡(luò)速度跟不上等等。

3.1.3 主機(jī)系統(tǒng)本身存在的安全風(fēng)險(xiǎn)

是指系統(tǒng)本身安全防御不夠完善，存在系統(tǒng)漏洞，電力企業(yè)內(nèi)部人員和外部人員都可以利用一定的信息技術(shù)盜取用戶所有的權(quán)限，竊走或破壞電力信息網(wǎng)絡(luò)相關(guān)數(shù)據(jù)。電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有兩種：一是因操作不當(dāng)，安裝了一些不良插件，使電力信息網(wǎng)絡(luò)系統(tǒng)門戶大開，被他人輕而易舉地進(jìn)行網(wǎng)絡(luò)入侵和攻擊；二是因?yàn)橹鳈C(jī)硬件出故障使數(shù)據(jù)丟失無法恢復(fù)，以及數(shù)據(jù)庫本身存在不可修復(fù)的漏洞導(dǎo)致數(shù)據(jù)的丟失。

3.2 電力信息網(wǎng)絡(luò)安全管理中存在的風(fēng)險(xiǎn)

電力信息網(wǎng)絡(luò)是一個(gè)龐大復(fù)雜的網(wǎng)絡(luò)，必須要重視安全管理。電力信息網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)來源于電力企業(yè)的內(nèi)部，可見其風(fēng)險(xiǎn)威脅性之大。電力信息網(wǎng)絡(luò)安全管理中存在風(fēng)險(xiǎn)的原因主要是企業(yè)內(nèi)部管理混亂，權(quán)責(zé)劃分不清晰，操作人員業(yè)務(wù)技能不過關(guān)，工作人員責(zé)任心缺乏，最主要還是管理層對(duì)電力信息網(wǎng)絡(luò)安全管理中存在的風(fēng)險(xiǎn)意識(shí)薄弱，風(fēng)險(xiǎn)管理不到位所致。

4 電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的量化分析

4.1 電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)

目前我國一般運(yùn)用的電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)是：GB/T 20984-2007《信息安全技術(shù)：信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，該標(biāo)準(zhǔn)定義了信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)專業(yè)術(shù)語，規(guī)范了信息安全風(fēng)險(xiǎn)評(píng)估流程，對(duì)信息網(wǎng)絡(luò)系統(tǒng)各個(gè)使用壽命周期的風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)節(jié)做出了詳細(xì)的說明和規(guī)定。

4.2 電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)計(jì)算模型

學(xué)界認(rèn)為電力信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)與風(fēng)險(xiǎn)事件發(fā)生概率與風(fēng)險(xiǎn)事件發(fā)生后造成的可能損失存在較高的相關(guān)性。所以電力信息系統(tǒng)總體風(fēng)險(xiǎn)值的計(jì)算公式如下：

R（x）=f（p，c）

其中 R（x）為系統(tǒng)風(fēng)險(xiǎn)總值，p代表概率，c為風(fēng)險(xiǎn)事件產(chǎn)生的后果。

由此可知，利用科學(xué)的計(jì)算模式來量化風(fēng)險(xiǎn)事件發(fā)生的概率，和風(fēng)險(xiǎn)事件發(fā)生后可能產(chǎn)生的后果，即可演算出電力信息網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)總值。

4.3 電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化評(píng)估的方法

4.3.1 模糊綜合評(píng)判法

模糊綜合評(píng)判法采用模糊數(shù)學(xué)進(jìn)行電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化評(píng)估的一種方法，利用模糊數(shù)學(xué)的隸屬度理論，把對(duì)風(fēng)險(xiǎn)的定性評(píng)估轉(zhuǎn)化成定量評(píng)估，一般運(yùn)用于復(fù)雜龐大的力信息網(wǎng)絡(luò)安全防御系統(tǒng)的綜全性評(píng)估。利用模糊綜合評(píng)判法時(shí)，要確定好因數(shù)集、評(píng)判集、權(quán)重系數(shù)，解出綜合評(píng)估矩陣值。模糊綜合評(píng)判法是一種線性分析數(shù)學(xué)方法，多用于化解風(fēng)險(xiǎn)量化評(píng)估中的不確定因素。

4.3.2 層次分析法

電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)量化評(píng)估層次分析法起源于美國，是將定性與定量相結(jié)合的一種風(fēng)險(xiǎn)量化評(píng)估分析方法。層次分析法是把信息網(wǎng)絡(luò)風(fēng)險(xiǎn)分成不同的層次等級(jí)，從最底層開始進(jìn)行分析、比較和計(jì)算各評(píng)估要素所占的權(quán)重，層層向上計(jì)算求解，直到計(jì)算出最終矩陣值，從而判斷出信息網(wǎng)絡(luò)風(fēng)險(xiǎn)終值。

4.3.3 變精度粗糙集法

電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)量化評(píng)估變精度粗糙集法是一種處理模糊和不精確性問題的數(shù)學(xué)方法，其核心理念是利用問題的描述集合，用可辨關(guān)系與不可辨關(guān)系確定該問題的近似域，在數(shù)據(jù)中尋找出問題的內(nèi)在規(guī)律，從而獲得風(fēng)險(xiǎn)量化評(píng)估所需要的相關(guān)數(shù)據(jù)。在實(shí)際工作中，電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)量化評(píng)估分析會(huì)受到諸多因素的影響和干擾，變精度粗糙集法可以把這些干擾因素模糊化，具有強(qiáng)大的定性分析功能。

電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)量化評(píng)估是運(yùn)用數(shù)學(xué)工具把評(píng)估對(duì)象進(jìn)行量化處理的一種過程。在現(xiàn)實(shí)工作中，無論采用哪種信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的量化分析方法，其目的都是為了更好地進(jìn)行風(fēng)險(xiǎn)防控，為電力企業(yè)的發(fā)展保駕護(hù)航。

5 總結(jié)

電力信息網(wǎng)絡(luò)安全對(duì)保證人民財(cái)產(chǎn)安全和電力企業(yè)的日常營運(yùn)都具有非常重要的意義，電力企業(yè)領(lǐng)導(dǎo)層必須要加以重視，加大科研投入，定向培養(yǎng)相關(guān)的專業(yè)人才，強(qiáng)化電力信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作，為電力企業(yè)的良好發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)

[1]龐霞，謝清宇.淺議電力信息安全運(yùn)行維護(hù)與管理[J].科技與企業(yè)，2012（07）：28.

篇2

【 關(guān)鍵詞 】 物聯(lián)網(wǎng)系統(tǒng)；安全檢測(cè)；風(fēng)險(xiǎn)評(píng)估；安全檢查

【 中圖分類號(hào) 】 TN918

Research on Security Test and Check Method of IoT System

Li Hai-tao Li Cheng-yuan Fan Hong

（The First Research Institute of the Ministry of Public Security Beijing 100048）

【 Abstract 】 With the wide application on the internet of things （IoTs） technology， the IoT systems are confronted with various security threats. There are eager demands on Security test and check of IoT System. In this paper， we have researched on Security test and check method of IoT System from system security test， risk assessment and integration security management.

【 Keywords 】 internet of things system； security test； risk assessment； security check

1 引言

目前在全球市場(chǎng)的數(shù)據(jù)統(tǒng)計(jì)分析上看，物聯(lián)網(wǎng)成為未來10年發(fā)展迅猛的行業(yè)。據(jù)美國市場(chǎng)研究公司Forester預(yù)測(cè)，到2020年，世界上“物物互連”的應(yīng)用業(yè)務(wù)，跟人與人之間通信的業(yè)務(wù)相比，前者是后者的30倍，僅在智能電網(wǎng)和機(jī)場(chǎng)入侵檢測(cè)系統(tǒng)方面的市場(chǎng)就有上千億美元。因此“物聯(lián)網(wǎng)”必將成為下一個(gè)萬億美元級(jí)的信息技術(shù)產(chǎn)業(yè)。

從經(jīng)濟(jì)發(fā)展角度看，各國齊頭并進(jìn)，相繼推出物聯(lián)網(wǎng)區(qū)域戰(zhàn)略規(guī)劃。當(dāng)前，世界各國的物聯(lián)網(wǎng)基本都處于技術(shù)研究與試驗(yàn)階段，美、日、韓、歐盟等都正投入巨資深入研究探索物聯(lián)網(wǎng)關(guān)鍵技術(shù)。

物聯(lián)網(wǎng)是互聯(lián)網(wǎng)在現(xiàn)實(shí)世界的延伸。隨著應(yīng)用的不斷擴(kuò)展，物聯(lián)網(wǎng)一旦發(fā)生安全問題，極有可能在現(xiàn)實(shí)世界造成電力中斷、金融癱瘓、社會(huì)混亂等嚴(yán)重危害公共安全的事件，甚至將危及國家安全。由于物聯(lián)網(wǎng)感知節(jié)點(diǎn)和傳輸設(shè)備具有能量低、計(jì)算能力差、運(yùn)行環(huán)境惡劣、通信協(xié)議龐雜等特點(diǎn)，使得傳統(tǒng)安全技術(shù)無法直接應(yīng)用于物聯(lián)網(wǎng)，由此引發(fā)眾物聯(lián)網(wǎng)特有的安全問題。

物聯(lián)網(wǎng)安全問題如果得不到有效解決，將嚴(yán)重阻礙物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。目前物聯(lián)網(wǎng)安全技術(shù)和安全狀況缺乏有效的檢測(cè)和評(píng)價(jià)手段，已有的物聯(lián)網(wǎng)應(yīng)用急需對(duì)其安全性能的檢測(cè)和技術(shù)支持。所以，對(duì)物聯(lián)網(wǎng)安全檢測(cè)與檢查方法的研究是解決物聯(lián)網(wǎng)安全問題必不可少的關(guān)鍵工作。

2 物聯(lián)網(wǎng)系統(tǒng)面臨的安全威脅

從安全測(cè)評(píng)的角度來看，物聯(lián)網(wǎng)系統(tǒng)的結(jié)構(gòu)可以分為三層，即智能感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層。物聯(lián)網(wǎng)面臨的安全威脅也來自這三個(gè)層次。

由于網(wǎng)絡(luò)環(huán)境的不確定性，感知節(jié)點(diǎn)面臨著多方面的威脅，感知節(jié)點(diǎn)本身就是用于監(jiān)測(cè)和控制各種感知設(shè)備。節(jié)點(diǎn)對(duì)各種檢測(cè)對(duì)象進(jìn)行監(jiān)測(cè)，從而提供感知設(shè)備傳輸?shù)臄?shù)據(jù)信息來監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況。這些智能傳感器節(jié)點(diǎn)是暴露在攻擊者面前的，最容易被攻擊。因此，與傳統(tǒng)的IP網(wǎng)絡(luò)比較，所有的監(jiān)控措施、安全防范策略不僅面臨著更復(fù)雜的網(wǎng)絡(luò)環(huán)境，而且還有更高的實(shí)時(shí)性要求。物聯(lián)網(wǎng)系統(tǒng)面臨的主要威脅有幾個(gè)方面。

（1）安全隱私 射頻識(shí)別技術(shù)被廣泛用于物聯(lián)網(wǎng)系統(tǒng)中，RFID標(biāo)簽可能被嵌入到任何物體中，例如人們的生活和生產(chǎn)用品。但是這些物品的擁有者不一定能夠了解相關(guān)情況，會(huì)導(dǎo)致該對(duì)象的擁有者被隨意地掃描、定位和追蹤。

（2）偽造攻擊 與傳統(tǒng)IP網(wǎng)絡(luò)相比，傳感設(shè)備和電子標(biāo)簽都是在攻擊者面前的。與此同時(shí)，接入傳輸網(wǎng)絡(luò)中有一部分是無線網(wǎng)絡(luò)，竄擾問題在傳感網(wǎng)絡(luò)和無線網(wǎng)絡(luò)中是普遍存在的，而無線安全研究方面也顯得非常棘手。因此，在網(wǎng)絡(luò)中這些方面面臨的偽造節(jié)點(diǎn)攻擊很大程度上威脅著傳感器節(jié)點(diǎn)的安全，從而影響整個(gè)物聯(lián)網(wǎng)安全。

（3）惡意代碼攻擊 惡意代碼在接入傳輸層和傳感層中都可以找到很多可以攻擊的突破口。對(duì)攻擊者而言只要進(jìn)入到網(wǎng)絡(luò)，通過傳輸網(wǎng)絡(luò)進(jìn)行病毒傳播就變得輕車熟路，而且具有較強(qiáng)的隱蔽性，這一點(diǎn)與有線網(wǎng)絡(luò)相比就更加難以防御。例如類似蠕蟲這樣的惡意代碼，本身又不需要寄生文件，在這種環(huán)境中檢測(cè)發(fā)現(xiàn)和清除惡意代碼的難度是非常大的。

（4）拒絕服務(wù)攻擊 這種被熟悉的攻擊方式，一般發(fā)生在感知層與接入傳輸層銜接位置的概率是非常大的。由于物聯(lián)網(wǎng)中感知節(jié)點(diǎn)數(shù)量龐大，而且多數(shù)是以集群的方式存在，因此信息在網(wǎng)絡(luò)中傳輸時(shí)，海量的感知節(jié)點(diǎn)信息傳遞轉(zhuǎn)發(fā)請(qǐng)求會(huì)導(dǎo)致網(wǎng)絡(luò)擁塞，產(chǎn)生拒絕服務(wù)攻擊的效果。

（5）信息安全 感知節(jié)點(diǎn)一般都具有功能單一、信息處理能力低的特點(diǎn)。因此，感知節(jié)點(diǎn)不可能具有高強(qiáng)度的安全防范措施。同時(shí)因?yàn)楦兄獙庸?jié)點(diǎn)的多樣化，采集的數(shù)據(jù)、傳輸?shù)男畔⒁簿筒粫?huì)有統(tǒng)一的格式，所以提供統(tǒng)一的安全防范策略和安全體系架構(gòu)是很難做到的。

（6）接入傳輸層和業(yè)務(wù)應(yīng)用層的安全隱患 在物聯(lián)網(wǎng)系統(tǒng)的接入傳輸層和業(yè)務(wù)應(yīng)用層除了面臨傳統(tǒng)有線網(wǎng)絡(luò)的所有安全威脅的同時(shí)，還因?yàn)槲锫?lián)網(wǎng)在感知層所采集數(shù)據(jù)格式的不統(tǒng)一，來自不同類型感知節(jié)點(diǎn)的數(shù)據(jù)信息是無法想象的、并且是多源異構(gòu)數(shù)據(jù)，所以接入層和業(yè)務(wù)應(yīng)用層的安全問題也就更加繁雜。

通過對(duì)各行業(yè)物聯(lián)網(wǎng)建設(shè)方面的調(diào)查發(fā)現(xiàn)，當(dāng)前已有的物聯(lián)網(wǎng)應(yīng)用對(duì)其安全性能的檢測(cè)和技術(shù)支持需求十分迫切，例如移動(dòng)系統(tǒng)與行業(yè)網(wǎng)的接入安全性評(píng)估和檢測(cè)、社會(huì)公共安全的視頻采集系統(tǒng)的接入安全檢測(cè)、基于RFID和車牌識(shí)別的智能車輛管控系統(tǒng)安全性評(píng)估等檢測(cè)業(yè)務(wù)都是亟待解決的問題。由此看出，物聯(lián)網(wǎng)安全檢測(cè)和檢查方法研究需求迫切。

為了把物聯(lián)網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)降到最低，應(yīng)該做到系統(tǒng)建設(shè)與檢測(cè)檢查同步進(jìn)行，且檢測(cè)檢查過程中要技術(shù)與管理并重。本文將從物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估和物聯(lián)網(wǎng)集成化安全管理三個(gè)方面進(jìn)行檢測(cè)、檢查的方法研究。

3 物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)

安全檢測(cè)是以系統(tǒng)檢測(cè)方式對(duì)物聯(lián)網(wǎng)系統(tǒng)三層架構(gòu)的各個(gè)層面進(jìn)行安全符合性和有效性檢測(cè)。

（1）智能感知層應(yīng)該對(duì)訪問控制策略配置、身份認(rèn)證策略配置、數(shù)據(jù)完整性保護(hù)策略配置、數(shù)據(jù)保密性保護(hù)策略配置、感知節(jié)點(diǎn)抗攻擊性、安全審計(jì)策略配置和物理安全進(jìn)行符合性測(cè)試。

（2）接入傳輸層檢測(cè)應(yīng)該對(duì)AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證、視頻傳輸協(xié)議轉(zhuǎn)換前后的安全性；傳統(tǒng)認(rèn)證和數(shù)據(jù)交換安全、無線認(rèn)證網(wǎng)關(guān)安全、無線傳輸協(xié)議、身份認(rèn)證安全等進(jìn)行符合性和有效性檢測(cè)。

（3）業(yè)務(wù)應(yīng)用層應(yīng)該對(duì)數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)和網(wǎng)站安全、應(yīng)用系統(tǒng)穩(wěn)定性、業(yè)務(wù)連續(xù)性以及應(yīng)用模擬等進(jìn)行符合性和有效性檢測(cè)。

下面從物聯(lián)網(wǎng)系統(tǒng)檢測(cè)規(guī)則和檢測(cè)工具兩個(gè)方面研究物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)方法。

物聯(lián)網(wǎng)系統(tǒng)檢測(cè)規(guī)則由三個(gè)部分組成分別是智能感知層規(guī)則、接入傳輸層規(guī)則和業(yè)務(wù)應(yīng)用層規(guī)則。

（1）智能感知層規(guī)則主要包括訪問控制、身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)保密性保護(hù)、抗攻擊、安全審計(jì)以及物理安全等安全規(guī)則。

（2）接入傳輸層規(guī)則包括數(shù)字接入系統(tǒng)中接入業(yè)務(wù)可管理性、可控性、信息保密性、完整性和可用性的規(guī)則要求，視頻接入系統(tǒng)實(shí)現(xiàn)外部視頻資源單向傳輸至內(nèi)網(wǎng)，視頻控制信令和數(shù)據(jù)的會(huì)話終止于應(yīng)用服務(wù)區(qū)，包含對(duì)視頻信令格式進(jìn)行檢查及內(nèi)容過濾、合法的協(xié)議和數(shù)據(jù)通過、視頻數(shù)據(jù)和視頻控制信令安全傳輸?shù)确矫娴囊?guī)則，無線接入系統(tǒng)接入內(nèi)網(wǎng)，需要與內(nèi)網(wǎng)的各種信息系統(tǒng)交互信息，包含敏感信息、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)保密性保護(hù)、抗攻擊、安全審計(jì)以及物理安全等方面的規(guī)則。

（3）業(yè)務(wù)應(yīng)用層規(guī)則一般包括訪問控制、用戶身份鑒別、資源控制、安全漏洞、安全審計(jì)以及數(shù)據(jù)備份等安全規(guī)則。

檢測(cè)工具是包含物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)中所有測(cè)試工具、測(cè)試樣本數(shù)據(jù)的集合。檢測(cè)工具根據(jù)其應(yīng)用范圍可以劃分為三類。

（1）智能感知層檢測(cè)工具：主要包括對(duì)感知操作安全項(xiàng)目進(jìn)行檢測(cè)所用到的軟硬件工具和測(cè)試樣本數(shù)據(jù)；感知數(shù)據(jù)處理安全檢測(cè)工具包括對(duì)感知數(shù)據(jù)處理安全項(xiàng)目進(jìn)行檢測(cè)所用到的工具；感知數(shù)據(jù)存儲(chǔ)安全檢測(cè)工具主要包括感知數(shù)據(jù)存儲(chǔ)安全項(xiàng)目進(jìn)行檢測(cè)所用到的工具和測(cè)試樣本數(shù)據(jù)；感知節(jié)點(diǎn)設(shè)備安全檢測(cè)工具主要包括漏洞掃描工具、自動(dòng)化攻擊工具以及自身所建立的漏洞補(bǔ)丁知識(shí)庫，根據(jù)被測(cè)設(shè)備的操作系統(tǒng)、功能組件，查詢漏洞補(bǔ)丁知識(shí)庫，可以發(fā)現(xiàn)漏洞掃描類工具無法直接探測(cè)的隱藏漏洞。

（2）接入傳輸層檢測(cè)工具：主要包括脆弱性掃描與管理工具、網(wǎng)絡(luò)協(xié)議分析工具、主機(jī)配置檢測(cè)工具、網(wǎng)絡(luò)邊界檢測(cè)工具等。

（3）業(yè)務(wù)應(yīng)用層檢測(cè)工具：主要包括Web應(yīng)用系統(tǒng)及網(wǎng)站安全檢測(cè)工具、數(shù)據(jù)庫脆弱性檢測(cè)工具和網(wǎng)絡(luò)終端安全檢測(cè)工具等。

4 物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估

物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估主要針對(duì)物聯(lián)網(wǎng)智能感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層中所包含的各個(gè)組成部分。開展物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作，需要構(gòu)建物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估平臺(tái)，對(duì)物聯(lián)網(wǎng)可能遭受到的威脅和脆弱性進(jìn)行安全分析，然后根據(jù)安全事件的可能性以及安全事件造成的損失計(jì)算出風(fēng)險(xiǎn)值、對(duì)安全事件進(jìn)行風(fēng)險(xiǎn)等級(jí)定級(jí)，最后結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)物聯(lián)網(wǎng)系統(tǒng)造成的影響。

下面從物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估知識(shí)庫和風(fēng)險(xiǎn)評(píng)估工具兩方面來研究物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法。

風(fēng)險(xiǎn)評(píng)估知識(shí)庫應(yīng)該包含威脅庫、脆弱性庫、風(fēng)險(xiǎn)分析方法和評(píng)估案例等。物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)威脅庫包括智能感知層威脅庫、接入傳輸層威脅庫和業(yè)務(wù)應(yīng)用層威脅庫：智能感知層威脅有RFID安全隱私、RFID標(biāo)簽復(fù)制、傳感網(wǎng)安全路由、感知節(jié)點(diǎn)逐跳加密安全等；接入傳輸層威脅有海量數(shù)據(jù)融合信息竊取、海量數(shù)據(jù)傳輸安全、三網(wǎng)融合面臨的新威脅等；業(yè)務(wù)應(yīng)用層威脅有位置信息泄露、數(shù)據(jù)融合后機(jī)密信息泄露、應(yīng)用系統(tǒng)漏洞等。脆弱性庫，脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。風(fēng)險(xiǎn)分析方法主要包括系統(tǒng)層次分析方法、基于概率論和數(shù)理統(tǒng)計(jì)的方法、模糊數(shù)學(xué)方法，這些方法或是在識(shí)別風(fēng)險(xiǎn)的基礎(chǔ)上，進(jìn)一步分析已識(shí)別風(fēng)險(xiǎn)，提高風(fēng)險(xiǎn)結(jié)果可信度，或是融入風(fēng)險(xiǎn)評(píng)估過程中，使評(píng)估過程更科學(xué)、更合理。

如果物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估案例庫建立實(shí)際風(fēng)險(xiǎn)評(píng)估案例，能夠給出風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)分析過程。系統(tǒng)整體風(fēng)險(xiǎn)評(píng)估結(jié)果就能一目了然，也為物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作提供參考案例。

根據(jù)在風(fēng)險(xiǎn)評(píng)估過程中的主要任務(wù)和作用原理的不同，風(fēng)險(xiǎn)評(píng)估工具可以分成風(fēng)險(xiǎn)評(píng)估與管理工具、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具和風(fēng)險(xiǎn)評(píng)估輔助工具三類。

（1）風(fēng)險(xiǎn)評(píng)估與管理工具應(yīng)該是一套集成風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判定依據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過程和操作方法，或者用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家總結(jié)的經(jīng)驗(yàn)，對(duì)輸人輸出進(jìn)行自動(dòng)化的模型分析。

（2）系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具主要用于對(duì)信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓簟?/p>

（3）風(fēng)險(xiǎn)評(píng)估輔助工具則實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)。

5 物聯(lián)網(wǎng)集成化安全管理檢查

目前監(jiān)管體系對(duì)不同的物聯(lián)網(wǎng)系統(tǒng)的防護(hù)管理要求存在沒有差異和缺乏針對(duì)性等問題。因此，物聯(lián)網(wǎng)集成化安全管理勢(shì)在必行。根據(jù)物聯(lián)網(wǎng)的技術(shù)特點(diǎn)，針對(duì)物聯(lián)網(wǎng)面臨的安全威脅，應(yīng)該構(gòu)建和完善物聯(lián)網(wǎng)的監(jiān)管體系，從防范阻止、檢測(cè)發(fā)現(xiàn)、應(yīng)急處置、審計(jì)追查和集中管控五個(gè)方面，對(duì)物聯(lián)網(wǎng)系統(tǒng)感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層進(jìn)行安全防護(hù)管理。

（1）防范阻止主要指物聯(lián)網(wǎng)系統(tǒng)應(yīng)該具有安全防護(hù)和阻止信息安全威脅影響的措施，從而有效防范本文中提到的安全威脅。從物聯(lián)網(wǎng)的體系結(jié)構(gòu)而言，物聯(lián)網(wǎng)除了面對(duì)TCP/IP網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和移動(dòng)通信網(wǎng)絡(luò)等傳統(tǒng)網(wǎng)絡(luò)安全問題之外，還存在著大量自身的特殊安全問題。因此數(shù)據(jù)完整性和保密性保護(hù)、身份認(rèn)證、訪問控制、安全審計(jì)等方面的安全措施必不可少。

（2）檢測(cè)發(fā)現(xiàn)主要是指物聯(lián)網(wǎng)系統(tǒng)應(yīng)該能夠檢測(cè)發(fā)現(xiàn)物聯(lián)網(wǎng)系統(tǒng)存在安全隱患，其中包括感知層檢測(cè)、接入傳輸層檢測(cè)和業(yè)務(wù)應(yīng)用層檢測(cè)，在感知層應(yīng)能檢測(cè)發(fā)現(xiàn)感知設(shè)備偽造攻擊。由于感知設(shè)備是“”在攻擊者面前的，那么攻擊者就可以輕易地接觸到這些設(shè)備，從而對(duì)它們?cè)斐善茐模踔镣ㄟ^本地操作更換機(jī)器的軟硬件。接入傳輸層應(yīng)包括邊界接入系統(tǒng)、視頻接入系統(tǒng)和無線接入系統(tǒng)三類接入傳輸系統(tǒng)的安全管理要求。業(yè)務(wù)應(yīng)用層應(yīng)能檢測(cè)發(fā)現(xiàn)業(yè)務(wù)應(yīng)用中的安全隱患，因?yàn)門CP/IP網(wǎng)絡(luò)的所有安全隱患都同樣適用于物聯(lián)網(wǎng)。同時(shí)應(yīng)能針對(duì)物聯(lián)網(wǎng)感知層、接入傳輸層、業(yè)務(wù)應(yīng)用層三個(gè)層次進(jìn)行風(fēng)險(xiǎn)威脅分析，形成反映物聯(lián)網(wǎng)系統(tǒng)安全態(tài)勢(shì)的總體視圖。因?yàn)榘踩到y(tǒng)從隱患到影響是一個(gè)態(tài)勢(shì)變化的過程，因此對(duì)物聯(lián)網(wǎng)系統(tǒng)態(tài)勢(shì)的分析與威脅防范同樣重要。

（3）應(yīng)急處置主要是指應(yīng)該能夠具有高效指導(dǎo)系統(tǒng)維護(hù)人員開展應(yīng)急處置工作的措施，應(yīng)制定物聯(lián)網(wǎng)信息安全應(yīng)急預(yù)案，并結(jié)合實(shí)際工作情況，對(duì)物聯(lián)網(wǎng)信息安全應(yīng)急預(yù)案做出相應(yīng)修訂。應(yīng)明確現(xiàn)場(chǎng)總指揮、副總指揮、應(yīng)急指揮中心以及各應(yīng)急行動(dòng)小組在應(yīng)急救援整個(gè)過程中所擔(dān)負(fù)的職責(zé)。應(yīng)明確完成應(yīng)急救援任務(wù)應(yīng)該包含的所有應(yīng)急程序，以及對(duì)各應(yīng)急程序能否安全可靠地完成對(duì)應(yīng)的某項(xiàng)應(yīng)急救援任務(wù)進(jìn)行確認(rèn)。應(yīng)急預(yù)案應(yīng)具備實(shí)用性、可操作性、完整性和可讀性的特點(diǎn)。

（4）審計(jì)追查主要是指應(yīng)該能夠?yàn)榘踩芾砣藛T提供物聯(lián)網(wǎng)系統(tǒng)安全事件倒查的措施，包括日志采集、查詢、分析和追查。其中采集應(yīng)能對(duì)分布在感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層各個(gè)部分的用戶和管理員操作日志進(jìn)行采集。查詢應(yīng)能對(duì)物聯(lián)網(wǎng)信息系統(tǒng)日志進(jìn)行查詢，包括常規(guī)查詢、條件查詢和權(quán)限控制查詢。分析應(yīng)能根據(jù)統(tǒng)計(jì)需求，對(duì)物聯(lián)網(wǎng)信息系統(tǒng)日志進(jìn)行統(tǒng)計(jì)分析。追查應(yīng)能根據(jù)追查安全事件需求，為安全管理人員提供安全事（案）件的倒查手段。

（5）集中管控主要是指應(yīng)該能夠?yàn)槲锫?lián)網(wǎng)系統(tǒng)自身安全管理和控制提供技術(shù)手段。它們包括集中監(jiān)控、策略管理、運(yùn)行監(jiān)控、異常和用戶監(jiān)控，其中集中監(jiān)控應(yīng)能通過監(jiān)控中心對(duì)物聯(lián)網(wǎng)系統(tǒng)進(jìn)行集中管控，包括系統(tǒng)安全管理和監(jiān)控。策略管理應(yīng)能對(duì)感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層的安全策略進(jìn)行集中管理，支持管理感知節(jié)點(diǎn)的備份與恢復(fù)。運(yùn)行管控應(yīng)能對(duì)感知層終端運(yùn)行情況進(jìn)行監(jiān)控，對(duì)物聯(lián)網(wǎng)系統(tǒng)運(yùn)行情況進(jìn)行監(jiān)控。異常和用戶監(jiān)控應(yīng)能對(duì)業(yè)務(wù)應(yīng)用層異常進(jìn)行監(jiān)控，能對(duì)系統(tǒng)用戶的操作進(jìn)行監(jiān)控。

6 結(jié)束語

隨著物聯(lián)網(wǎng)產(chǎn)業(yè)的迅猛發(fā)展，信息安全問題也面臨著新的挑戰(zhàn)，所以安全作為物聯(lián)網(wǎng)領(lǐng)域的核心問題，沒有完善的安全保護(hù)和測(cè)評(píng)措施，物聯(lián)網(wǎng)就無法被廣泛地應(yīng)用，這就會(huì)對(duì)物聯(lián)網(wǎng)優(yōu)勢(shì)的發(fā)揮產(chǎn)生嚴(yán)重的影響。

本文在分析了物聯(lián)網(wǎng)系統(tǒng)面臨安全威脅的基礎(chǔ)上。根據(jù)物聯(lián)網(wǎng)技術(shù)特點(diǎn)，針對(duì)面臨的安全威脅，從物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估和物聯(lián)網(wǎng)集成化安全管理三個(gè)方面進(jìn)行檢測(cè)和檢查的研究。從而進(jìn)一步明確在物聯(lián)網(wǎng)的建設(shè)中，物聯(lián)網(wǎng)應(yīng)用不僅要投入巨資深入研究系統(tǒng)構(gòu)建技術(shù)，還需要做到安全保障與物聯(lián)網(wǎng)建設(shè)齊頭并進(jìn)，避免先應(yīng)用后安全的被動(dòng)局面，增強(qiáng)物聯(lián)網(wǎng)主動(dòng)保障能力，提高物聯(lián)網(wǎng)安全檢測(cè)能力，擴(kuò)大安全檢測(cè)和檢查應(yīng)用范圍，為推進(jìn)我國物聯(lián)網(wǎng)安全檢測(cè)標(biāo)準(zhǔn)化進(jìn)程提供保障，使得物聯(lián)網(wǎng)安全檢測(cè)工作更加專業(yè)化、規(guī)范化和常態(tài)化。

參考文獻(xiàn)

[1] 丁超， 楊立君， 吳蒙. IoT/CPS的安全體系結(jié)構(gòu)及關(guān)鍵技術(shù).中興通訊技術(shù)，2011，01（17）.

[2] 李向軍.物聯(lián)網(wǎng)安全及解決措施.農(nóng)業(yè)網(wǎng)絡(luò)信息，2010，12.

[3] 戴鐵君.物聯(lián)網(wǎng)安全問題與其解決措施.科技風(fēng)， 2011，02.

[4] 汪金鵬，胡國華.物聯(lián)網(wǎng)安全性能分析與應(yīng)用.科技信息， 2010，33.

[5] 姚遠(yuǎn).基于中間件的物聯(lián)網(wǎng)安全模型.電腦知識(shí)與技術(shù)， 2011，01（07）.

[6] 肖毅.物聯(lián)網(wǎng)安全管理技術(shù)研究.通信技術(shù). 2011， 01（44）.

[7] 蒲石，陳周國祝世雄.震網(wǎng)病毒分析與防范[J].信息網(wǎng)絡(luò)安全，2012，（02）：40-43.

[8] 武鴻浩.CUDA并行計(jì)算技術(shù)在情報(bào)信息研判中的應(yīng)用[J].信息網(wǎng)絡(luò)安全，2012，（02）：58-59.

[9] 王勇.隨機(jī)函數(shù)及其在密碼學(xué)中的應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2012，（03）：17-18.

[10] 丁麗萍.Android 操作系統(tǒng)的安全性分析[J].信息網(wǎng)絡(luò)安全，2012，（03）：23-26.

篇3

【關(guān)鍵詞】信息系統(tǒng) 網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)管理

信息時(shí)代的到來帶給我們無限的商機(jī)與財(cái)富、快捷與便利，但是依舊逃脫不了事物的兩面性，信息系統(tǒng)的也存在著安全隱患與危險(xiǎn)。越來越多的病毒，網(wǎng)絡(luò)黑客在的盯著互聯(lián)網(wǎng)這塊肥肉，通過網(wǎng)絡(luò)渠道肆意的入侵企業(yè)或個(gè)人的計(jì)算機(jī)，盜取重要信息資料，或者破壞信息系統(tǒng)令其崩潰、癱瘓，對(duì)企業(yè)和個(gè)人造成重大損失的同時(shí)，不法分子也可能會(huì)利用信息系統(tǒng)中的資料來進(jìn)行謀利或做出有害于社會(huì)的事情。因此，在社會(huì)主義高度發(fā)展的今天，信息系統(tǒng)網(wǎng)絡(luò)安全非常重要，能夠預(yù)測(cè)其存在的風(fēng)險(xiǎn)并及時(shí)找出管理的方法顯得刻不容緩。

1 信息系統(tǒng)網(wǎng)絡(luò)安全問題現(xiàn)狀分析

根據(jù)目前的情形，信息系統(tǒng)網(wǎng)絡(luò)安全問題面臨著很嚴(yán)重的挑戰(zhàn)，其安全問題方面不容樂觀。美國計(jì)算機(jī)小組的統(tǒng)計(jì)資料顯示，從2005年后全球發(fā)生重大信息系統(tǒng)網(wǎng)絡(luò)安全問題逐年翻倍增長，面臨著很嚴(yán)峻的形式。信息系統(tǒng)是一個(gè)龐大復(fù)雜的大系統(tǒng)，一般由多種軟件、接口、硬盤等等組件構(gòu)成，由于技術(shù)和設(shè)計(jì)上存在不完善性，大量的漏洞和缺陷隨之而來，這些弱點(diǎn)構(gòu)成了信息系統(tǒng)的脆弱性。信息系統(tǒng)網(wǎng)絡(luò)安全問題主要來自兩大方面：首先是人們技術(shù)能力和創(chuàng)造能力的局限性，使得信息系統(tǒng)在網(wǎng)絡(luò)上存在本身的弱點(diǎn)；其次是社會(huì)現(xiàn)實(shí)引起的爭斗，商業(yè)競爭、個(gè)人報(bào)復(fù)等等犯罪行為從信息系統(tǒng)的弱點(diǎn)進(jìn)行入手，來對(duì)信息系統(tǒng)網(wǎng)絡(luò)進(jìn)行攻擊。

信息系統(tǒng)在不斷的更新和完善，這是一個(gè)無止境的過程，縱觀計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，每一項(xiàng)新技術(shù)的推出，都會(huì)有隨之而來的被“破解”，它的脆弱性會(huì)很快被顯現(xiàn)出來，然后就是不斷的進(jìn)行完善。同樣，信息系統(tǒng)也如此，設(shè)計(jì)者在設(shè)計(jì)和工程上存在錯(cuò)誤或失誤導(dǎo)致信息系統(tǒng)存在一定的缺陷，根據(jù)IBM研究人員的統(tǒng)計(jì)結(jié)果顯示：計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫都是由幾萬行、幾十萬行程序代碼所編寫而成，平均一千行代碼中就可能存在一個(gè)錯(cuò)誤，那么，信息系統(tǒng)在互聯(lián)網(wǎng)上的應(yīng)用朝著互聯(lián)互通的一體化方向發(fā)展，技術(shù)要求越高，其復(fù)雜性就越來越大，同時(shí)，導(dǎo)致其網(wǎng)絡(luò)安全的脆弱性因素就越來越多。

美國微軟公司推出的號(hào)稱是迄今為止“視窗XP”系統(tǒng)不久，就被發(fā)現(xiàn)其系統(tǒng)中存在嚴(yán)重缺陷，微軟公司也承認(rèn)了此項(xiàng)事實(shí)，調(diào)差顯示：黑客可以通過網(wǎng)絡(luò)來控制并操控整個(gè)操作系統(tǒng)，進(jìn)而竊取資料，銷毀用戶資料等等，計(jì)算機(jī)系統(tǒng)的脆弱性暴露無遺。那么，可想而知信息系統(tǒng)也岌岌可危，現(xiàn)在的信息系統(tǒng)網(wǎng)絡(luò)安全問題無處不在，可能當(dāng)你的計(jì)算機(jī)聯(lián)網(wǎng)時(shí)，病毒就隨之而來，且并不會(huì)被發(fā)現(xiàn)。病毒是互聯(lián)網(wǎng)中普遍的存在，還有一種特殊的存在--黑客，黑客作為擁有主觀能動(dòng)性的存在，是信息空間中一種特殊文化現(xiàn)象的產(chǎn)生，他伴隨著信息系統(tǒng)的發(fā)展而存在，并也隨著信息系統(tǒng)的技術(shù)提高而提高，黑客扮演著陰暗面的角色，對(duì)全球信息系統(tǒng)的惡意攻擊呈現(xiàn)著愈演愈烈的趨勢(shì)?，F(xiàn)在的信息系統(tǒng)網(wǎng)絡(luò)能夠檢測(cè)出是否有黑客試圖攻擊，能夠做到及時(shí)的發(fā)現(xiàn)和回?fù)?，但是，俗話說“道高一尺，魔高一丈”根據(jù)我國新華社的報(bào)道，中國近60%的單位信息系統(tǒng)網(wǎng)絡(luò)受到國黑客攻擊，甚至于政府部門的重要職能部門都被攻擊過。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，病毒和黑客的攻擊也在不斷的發(fā)展進(jìn)步，黑客的攻擊方法也在發(fā)生變化，不僅是黑客本身利用IP地址來欺騙，利用程序代碼、分析源代碼或者發(fā)掘應(yīng)用程序的缺陷來攻擊，而且還有黑客技術(shù)和病毒傳播相結(jié)合的方式。

如上所述，信心系統(tǒng)網(wǎng)絡(luò)安全的問題的現(xiàn)狀一直都存在，技術(shù)人員在不斷的創(chuàng)新，同時(shí)也在不斷的與網(wǎng)絡(luò)上的安全問題、陰暗面在做斗爭，修補(bǔ)脆弱的一面，致力于提高信息系統(tǒng)網(wǎng)絡(luò)安全。

2 信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

據(jù)木桶原理來看，信息系統(tǒng)網(wǎng)絡(luò)的安全性取決于它本身最薄弱的環(huán)節(jié)，信息系統(tǒng)網(wǎng)絡(luò)安全是保證其系統(tǒng)安全正常運(yùn)行的基本保障，但是信息系統(tǒng)是龐大而復(fù)雜的，這就決定了保護(hù)信息系統(tǒng)的安全維護(hù)不是一蹴而就的事情。分析信息系統(tǒng)網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)，便于盡快找到相應(yīng)的解決措施。

（1）盜取和截獲信息系統(tǒng)網(wǎng)絡(luò)中的信息。如果信息系統(tǒng)本身的防火墻和安全措施、加密措施的強(qiáng)度不夠，攻擊者會(huì)通過互聯(lián)網(wǎng)、電話線、電磁波輻射范圍內(nèi)所安裝的裝置、路由器上等可以利用的裝置來截獲傳輸中的數(shù)據(jù)信息；更有甚者通過對(duì)信息流量數(shù)據(jù)、通信次數(shù)的分析，來套取信息系統(tǒng)中的信息。因此，應(yīng)運(yùn)用加密技術(shù)對(duì)信息系統(tǒng)網(wǎng)絡(luò)來進(jìn)行加密處理以保證其機(jī)密性。

（2）篡改和假冒信息系統(tǒng)網(wǎng)絡(luò)中的信息。

當(dāng)攻擊者破解了信息系統(tǒng)的程序，熟悉了信息系統(tǒng)的網(wǎng)絡(luò)信息內(nèi)容格式后，很有可能會(huì)利用技術(shù)和手段在信息系統(tǒng)傳輸信息的過程中，入侵其中并篡改信息內(nèi)容，從而破壞信息的真實(shí)性和完整性。所以，要預(yù)防信息系統(tǒng)網(wǎng)絡(luò)中的隨意修改、生成、刪除情況。

信息系統(tǒng)網(wǎng)絡(luò)中還會(huì)出現(xiàn)假冒的信息，攻擊者摸索到信息系統(tǒng)網(wǎng)絡(luò)中數(shù)據(jù)規(guī)律或解密了機(jī)密信息后，可以假冒合法用戶去發(fā)送假冒信息去欺騙用戶，在公司中也可假冒領(lǐng)導(dǎo)發(fā)號(hào)施令，調(diào)閱機(jī)密文件等等。

（3）信息有效性得不到保障?；ヂ?lián)網(wǎng)應(yīng)用的發(fā)展，信息化社會(huì)隨之到來，電子設(shè)備的信息傳遞，其有效性是值得關(guān)注的問題。由電子商務(wù)作為領(lǐng)軍，以電子化形式取代了紙張形式的信息傳遞方式，其信息的有效性是開展業(yè)務(wù)的前提。信息系統(tǒng)中信息的有效性關(guān)系到企業(yè)、個(gè)人甚至國家，因此，對(duì)網(wǎng)絡(luò)故障、應(yīng)用程序代碼、系統(tǒng)硬件、軟件、病毒等潛在威脅加以預(yù)防和控制，以保證信息系統(tǒng)網(wǎng)絡(luò)傳遞的信息是有效的，正確的。

以上三點(diǎn)是信息系統(tǒng)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)的存在不是一步就可以解決的問題，分析出了哪些方面存在風(fēng)險(xiǎn)，才可以更好的預(yù)防和控制。

3 信息系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的目的

信息系統(tǒng)網(wǎng)絡(luò)的安全是人類面臨的新問題，它普遍的存在人們的日常生活中，信息系統(tǒng)的復(fù)雜性和安全問題的突發(fā)性、不確定性使得安全問題的解決面臨困難，沒有完善的全面防范，防范的重點(diǎn)難以確定，具有高突發(fā)性的信息安全問題。積極尋求解決方法和手段是進(jìn)行治理信息系統(tǒng)網(wǎng)絡(luò)安全的務(wù)實(shí)選擇。 在尋求解決方法、有效對(duì)策時(shí)，防范不足信息安全會(huì)失效；全面防范會(huì)造成財(cái)力、人力、物力的浪費(fèi)，或是信息系統(tǒng)網(wǎng)絡(luò)的可用性下降。因此，信息系統(tǒng)風(fēng)險(xiǎn)管理是要盡可能的安全卻又不能太過于安全的，要從經(jīng)濟(jì)、技術(shù)的可行性上來有效的進(jìn)行管理。

進(jìn)入互聯(lián)網(wǎng)時(shí)代以后，信息網(wǎng)絡(luò)安全威脅不斷增加，也在不斷的迫使人們重新考慮合適的安全模式，信息系統(tǒng)網(wǎng)絡(luò)安全觀念是人們探索的新產(chǎn)物。信息安全問題也從過去單純的應(yīng)對(duì)威脅拓展到既要應(yīng)對(duì)威脅，又要面對(duì)挑戰(zhàn)。在當(dāng)今復(fù)雜的信息系統(tǒng)環(huán)境下，風(fēng)險(xiǎn)總是存在的，無論你采取多么完美的信息系統(tǒng)安全手段，都難以徹底消除安全問題的威脅。

對(duì)信息系統(tǒng)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)管理，可以將攻擊和破壞產(chǎn)生后果的程度限制在可承受范圍內(nèi)，風(fēng)險(xiǎn)管理是對(duì)信息系統(tǒng)的一個(gè)動(dòng)態(tài)管理，是一個(gè)連續(xù)的過程，即在特定的安全方案下將風(fēng)險(xiǎn)降到最低以致于可以接受的過程，并非完全的消滅風(fēng)險(xiǎn)。風(fēng)險(xiǎn)可以不被一舉消除，但是必須要控制在可接受范圍內(nèi)，有了對(duì)風(fēng)險(xiǎn)的管理，人們就不在被動(dòng)的受威脅，完全可以在主動(dòng)、防患于未然的常態(tài)下出擊，從而使信息系統(tǒng)網(wǎng)絡(luò)得到安全的保障。

信息系統(tǒng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理信息安全的新模式，如果運(yùn)用好風(fēng)險(xiǎn)管理的手段，將會(huì)對(duì)信息系統(tǒng)起到很好的保障的作用。

4 信息系統(tǒng)網(wǎng)絡(luò)安全管理方法

（1）增強(qiáng)安全防護(hù)體系。每一項(xiàng)信息系統(tǒng)都會(huì)有相應(yīng)的安全防護(hù)體系，但是安全防護(hù)體系的脆弱性是網(wǎng)絡(luò)攻擊者的目標(biāo)，現(xiàn)在的網(wǎng)絡(luò)安全已不再是一個(gè)簡單的概念，它與國家、企業(yè)、個(gè)人之間緊密相關(guān)， 例如對(duì)于企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全而言，安全問題涉及到多層數(shù)據(jù)信息，幾乎覆蓋了企業(yè)信息的通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)、應(yīng)用平臺(tái)等系統(tǒng)單元，是企業(yè)網(wǎng)絡(luò)至關(guān)重要的核心部分。

增強(qiáng)安全防護(hù)體系不僅僅是常人眼中的防火墻，還需要更全面的防護(hù)體系，來提供安全的服務(wù)。

（2）樹立信息安全管理意識(shí)?，F(xiàn)今信息系統(tǒng)的網(wǎng)絡(luò)安全的使用者還是以電子商務(wù)的銀行、證券、電信等為主，中小企業(yè)也隨之使用，對(duì)網(wǎng)絡(luò)安全的問題也日益重視。信息系統(tǒng)網(wǎng)絡(luò)根據(jù)互聯(lián)網(wǎng)的特點(diǎn)，是信息在人與人之間的支配，在造成信息破壞的因素中，認(rèn)為失誤的破壞率遠(yuǎn)遠(yuǎn)大于技術(shù)失誤，所以要提高信息安全的管理意識(shí)，三分靠技術(shù)，七分靠管理，安全方面的技術(shù)和產(chǎn)品僅是為信息系統(tǒng)網(wǎng)絡(luò)提供技術(shù)層次的手段，然而，能否利用好這些技術(shù)更大程度上取決人們對(duì)這些技術(shù)的應(yīng)用。

因此，在信息系統(tǒng)網(wǎng)絡(luò)安全中，必須加強(qiáng)用戶的安全教育和安全意識(shí)的培養(yǎng)。

5 結(jié)語

計(jì)算機(jī)、互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，加快了信息化社會(huì)的腳步，隨著信息系統(tǒng)與國家、企業(yè)、個(gè)人關(guān)系日趨密切，也帶來了信息安全的問題。信息系統(tǒng)網(wǎng)絡(luò)安全是產(chǎn)業(yè)運(yùn)營的基礎(chǔ)，是實(shí)現(xiàn)信息資源保值升值的重要途徑。針對(duì)信息系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)與管理提出了相應(yīng)的建議，以保障信息資源產(chǎn)業(yè)的安全運(yùn)營和健康發(fā)展。

參考文獻(xiàn)

[1]王璐.信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究與實(shí)現(xiàn)[D].2008.

[2]常顥.具有可實(shí)施性的信息安全風(fēng)險(xiǎn)管理體系[J].科技信息,2009(24)

[3]崇小蕾.信息安全風(fēng)險(xiǎn)自評(píng)估方法的研究及其輔助工具的設(shè)計(jì)與實(shí)現(xiàn)[D].2006.

[4]孫鵬鵬.信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究與開發(fā)[D].2006.

篇4

關(guān)鍵詞：會(huì)計(jì)信息系統(tǒng)；安全風(fēng)險(xiǎn)；層次分析法

一、引言

近年來，網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用使得企業(yè)在全球范圍內(nèi)實(shí)現(xiàn)信息的交流和共享成為可能。相應(yīng)的，企業(yè)的會(huì)計(jì)環(huán)境也發(fā)生了變化，由原來封閉的局域網(wǎng)會(huì)計(jì)信息系統(tǒng)進(jìn)入到了互聯(lián)網(wǎng)世界。這種變化給企業(yè)帶來了前所未有的優(yōu)越性的同時(shí)，也使得企業(yè)會(huì)計(jì)信息系統(tǒng)面臨更多樣化的風(fēng)險(xiǎn)與問題。據(jù)調(diào)查顯示，美國每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過 170 億美元，75%的公司報(bào)告財(cái)務(wù)損失是由于會(huì)計(jì)信息系統(tǒng)的安全問題造成的。在我國，企業(yè)為防止泄密而修補(bǔ)信息網(wǎng)絡(luò)安全漏洞的投入每年達(dá) 700 萬元。因此，會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析與評(píng)估越來越受到人們的重視（谷增軍，2009）。 運(yùn)用科學(xué)的方法對(duì)會(huì)計(jì)信息系統(tǒng)進(jìn)行全面、系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，識(shí)別網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的主要不安全因素，了解企業(yè)的安全技術(shù)與管理現(xiàn)狀，并采取及時(shí)的風(fēng)險(xiǎn)應(yīng)對(duì)措施、制定安全策略，確保會(huì)計(jì)信息系統(tǒng)的安全，對(duì)于保證企業(yè)平穩(wěn)健康的運(yùn)行，保障各方的利益具有重要意義。

針對(duì)上述問題，本文首先分析了網(wǎng)絡(luò)環(huán)境下企業(yè)會(huì)計(jì)信息系統(tǒng)存在的主要不安全因素，并應(yīng)用層次分析法評(píng)估主要不安全因素的相對(duì)重要程度，據(jù)此提出安全風(fēng)險(xiǎn)的防范措施，對(duì)于企業(yè)加強(qiáng)會(huì)計(jì)信息系統(tǒng)安全管理具有一定的指導(dǎo)作用。

二、網(wǎng)絡(luò)環(huán)境下企業(yè)會(huì)計(jì)信息系統(tǒng)主要不安全因素分析

網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)是指建立在網(wǎng)絡(luò)環(huán)境基礎(chǔ)上的會(huì)計(jì)信息系統(tǒng)，即在互聯(lián)網(wǎng)境下對(duì)各種交易中的會(huì)計(jì)事項(xiàng)進(jìn)行確認(rèn)、計(jì)量和披露的會(huì)計(jì)活動(dòng)。其為企業(yè)與客戶、供應(yīng)商之間，等部門之間建立開放、實(shí)時(shí)的雙向信息交流環(huán)境創(chuàng)造了條件，也使企業(yè)會(huì)計(jì)業(yè)務(wù)一體化處理成為現(xiàn)實(shí)。但由于互聯(lián)網(wǎng)系統(tǒng)的分布式、開放性等特點(diǎn)，與原有集中封閉的會(huì)計(jì)信息系統(tǒng)比較，系統(tǒng)在安全上的問題也更加突出，因此網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的安全性問題越來越受到人們的重視，同時(shí)和其密切相關(guān)的安全因素也成為學(xué)者們研究的重點(diǎn)（宋彪、常劍鋒，2010）。宋彪、常劍鋒等人在2010年通過對(duì)100名會(huì)計(jì)從業(yè)人員進(jìn)行問卷調(diào)查，得到影響會(huì)計(jì)信息系統(tǒng)安全的主要因素，按照重要程度分別為會(huì)計(jì)軟件的缺陷，企業(yè)內(nèi)部控制方面的失效，操作人員的有意破壞，人為舞弊，計(jì)算機(jī)病毒，網(wǎng)絡(luò)黑客的入侵，不可預(yù)測(cè)的災(zāi)害。這些要素之間存在包含關(guān)系，如操作人員的有意破壞、人為舞弊都屬于企業(yè)內(nèi)部控制方面的問題。倪江陵（2008）在其碩士論文中提到網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的不安全性因素有硬件系統(tǒng)的不安全因素（硬盤、存儲(chǔ)器、線路故障等）、軟件系統(tǒng)的不安全因素（會(huì)計(jì)軟件、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)中心、會(huì)計(jì)檔案）、網(wǎng)絡(luò)系統(tǒng)的不安全性（黑客攻擊、病毒、電磁波輻射）。谷增軍（2010）比較全面的描述了影響會(huì)計(jì)信息系統(tǒng)安全的因素：自身的脆弱性（系統(tǒng)硬件選配安裝不當(dāng)，操作系統(tǒng)問題、傳輸、存儲(chǔ)介質(zhì)不安全、數(shù)據(jù)庫安全問題，軟件開發(fā)設(shè)計(jì)缺陷）、內(nèi)控的風(fēng)險(xiǎn)（會(huì)計(jì)軟件功能的濫用，授權(quán)控制下降，操作人員舞弊，系統(tǒng)管理員失職），自然界的威脅（颶風(fēng)，地震、火災(zāi)）和外部環(huán)境（間諜、病毒、黑客）的威脅。

由于不安全因素錯(cuò)綜復(fù)雜，學(xué)者們?cè)谠u(píng)估會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)時(shí)，所關(guān)注的重點(diǎn)也有所不同。不過，通過對(duì)文獻(xiàn)的梳理發(fā)現(xiàn)，學(xué)者們對(duì)于以下安全風(fēng)險(xiǎn)因素達(dá)成共識(shí)：1、技術(shù)方面，包括硬件安裝不當(dāng)、軟件開發(fā)設(shè)計(jì)或選配不當(dāng)、傳輸、存儲(chǔ)介質(zhì)不安全（潘婧，2008；羅紅，2011；王恒輝，2010等）。2、內(nèi)部控制風(fēng)險(xiǎn)，包括操作人員舞弊、系統(tǒng)操作不規(guī)范、數(shù)據(jù)交易不安全、身份認(rèn)證安全隱患、授權(quán)控制下降（谷增軍，2010；宋彪、常劍鋒，2010；倪江陵，2008等）3、意外因素帶來的風(fēng)險(xiǎn)，如自然災(zāi)害，如地震、臺(tái)風(fēng)、病毒、黑客入侵（谷增軍，2010；宋彪、常劍鋒，2010；朱海英，2010；程琳，2006等）

三、基于層次分析法的安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系

層次分析法（Analytic Hierarchy Process）簡稱AHP方法，是20世紀(jì)70年代由美國運(yùn)籌學(xué)家T. L. Satty提出的。層次分析法作為一種定性分析與定量分析相結(jié)合的評(píng)估分析方法，適用于有多種屬性、多個(gè)目標(biāo)或多重準(zhǔn)則系統(tǒng)的問題（羅鑫，2010）。鑒于網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)分析問題指標(biāo)具有層次性、定性與定量指標(biāo)并存、并且指標(biāo)數(shù)據(jù)不易獲得的特點(diǎn)，本文采用層次分析法評(píng)估主要不安全因素的相對(duì)重要程度，找到主要文獻(xiàn)因素和次要風(fēng)險(xiǎn)因素，為企業(yè)有針對(duì)性的采取規(guī)避措施提供科學(xué)的依據(jù)。

在第二部分我們分析了會(huì)計(jì)信息系統(tǒng)主要的不安全因素，根據(jù)層次分析法的要求，建立安全風(fēng)險(xiǎn)評(píng)估的三層結(jié)構(gòu)：目標(biāo)層（A層）、一級(jí)指標(biāo)（B層）、二級(jí)指標(biāo)（C層），如表1所示。

四、指標(biāo)體系權(quán)重分析、檢驗(yàn)及排序

1、構(gòu)造判斷矩陣

本研究邀請(qǐng)了從業(yè)經(jīng)驗(yàn)5年以上的會(huì)計(jì)工作者6名，吉林大學(xué)管理學(xué)院會(huì)計(jì)系副教授職稱以上教師4名，企業(yè)管理中層領(lǐng)導(dǎo)干部2名對(duì)各層次的評(píng)價(jià)指標(biāo)按照其發(fā)生的可能性、發(fā)生后后果的嚴(yán)重性等對(duì)其重要性予以比較。在綜合了12名專家的意見后，獲得了各指標(biāo)在本層的比較得分。本研究采用Satty的1-9標(biāo)度方法構(gòu)建兩兩比較矩陣。表2展示的是準(zhǔn)則層（B層）對(duì)于目標(biāo)層（A層）的判斷矩陣及相對(duì)權(quán)重。

2、一致性檢驗(yàn)

一般當(dāng)CR

同樣的，表2至表5分別列出了技術(shù)風(fēng)險(xiǎn)、內(nèi)部控制風(fēng)險(xiǎn)和意外因素風(fēng)險(xiǎn)的判斷矩陣和相對(duì)權(quán)重。

除意外因素風(fēng)險(xiǎn)下只有兩個(gè)因素不需要一致性檢驗(yàn)外，其他判斷矩陣均通過一致性檢驗(yàn)。

3、指標(biāo)合成權(quán)重的計(jì)算及排序

合成權(quán)重Wk可以由二級(jí)指標(biāo)各權(quán)重及其對(duì)應(yīng)的一級(jí)指標(biāo)相乘獲得。見表6。

五、風(fēng)險(xiǎn)防范策略

由層次分析法得出的各指標(biāo)的權(quán)重實(shí)際上表示指標(biāo)相對(duì)于目標(biāo)層的重要程度。從表6中可以看出，造成會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的主要因素有：軟件開發(fā)設(shè)計(jì)或選配不當(dāng)、系統(tǒng)硬件安裝不當(dāng)、數(shù)據(jù)交易不安全、病毒、黑客入侵和操作人員舞弊。這五個(gè)因素占據(jù)不安全因素累積權(quán)重的80%以上，為主要因素，必須予以重視。針對(duì)上述因素，本文提出以下幾點(diǎn)防范措施，幫助企業(yè)最大限度的減少會(huì)計(jì)信息系統(tǒng)的安全性風(fēng)險(xiǎn)。

1、軟件開發(fā)設(shè)計(jì)或選配不當(dāng)

通過運(yùn)用層次分析法對(duì)會(huì)計(jì)信息系統(tǒng)的不安全因素按照其重要程度進(jìn)行排序，軟件開發(fā)設(shè)計(jì)或選配不當(dāng)成為影響會(huì)計(jì)信息系統(tǒng)安全性的最主要問題。一般來講，企業(yè)應(yīng)用的會(huì)計(jì)信息系統(tǒng)主要是通過外包或者是直接從軟件公司購買兩種方式獲得的。如果是通過外包的形式開發(fā)，企業(yè)應(yīng)積極安排會(huì)計(jì)人員與委托開發(fā)公司進(jìn)行充分的溝通，使需求分析的結(jié)果盡可能的反應(yīng)真實(shí)的要求。另外，委托公司的所使用的開發(fā)工具要與企業(yè)實(shí)際狀況匹配，以數(shù)據(jù)庫為例，SQL server、Oracle、Sybase等主要適用于大型系統(tǒng)；Acess、FoxPro等則主要適用于小型系統(tǒng)。如果企業(yè)從軟件公司直接購買已完成開發(fā)的軟件，由于現(xiàn)成的系統(tǒng)不可能完全支持企業(yè)的現(xiàn)有業(yè)務(wù)，因此在選擇軟件時(shí)，應(yīng)充分了解企業(yè)的財(cái)務(wù)經(jīng)營流程，全面掌握備選軟件的操作流程，在充分比較后謹(jǐn)慎選擇。

2、硬件方面

計(jì)算機(jī)硬件包括硬盤、磁盤、存儲(chǔ)器等，是會(huì)計(jì)信息系統(tǒng)的物質(zhì)基礎(chǔ)。如果硬件方面出現(xiàn)故障，會(huì)影響整個(gè)運(yùn)營的效率，甚至導(dǎo)致巨大的災(zāi)難。為了保證會(huì)計(jì)信息系統(tǒng)硬件的安全性，企業(yè)在采購硬件時(shí)應(yīng)全面掌握相關(guān)信息，了解品牌、產(chǎn)品型號(hào)及供應(yīng)商的信譽(yù)等，硬件采購后要進(jìn)行試運(yùn)行，在確保其安全性后再投入到企業(yè)的實(shí)際應(yīng)用中。同時(shí)，要排除由于安裝不當(dāng)而導(dǎo)致的安全隱患。

3、數(shù)據(jù)交易不安全

網(wǎng)絡(luò)環(huán)境下，交易數(shù)據(jù)的處理都依托于網(wǎng)絡(luò)，計(jì)算速度加快，信息資源的共享性和財(cái)務(wù)復(fù)雜程度的增加，許多會(huì)計(jì)業(yè)務(wù)交叉進(jìn)行，如果系統(tǒng)中權(quán)限劃分不明確、內(nèi)部控制不嚴(yán)密，就非常容易造成信息的泄露，數(shù)據(jù)交易的不安全性增加。企業(yè)要要保證數(shù)據(jù)的安全，一方面需要借助法律、政策及相關(guān)規(guī)章制度的約束，另一方面又必須依賴企業(yè)管理人員制定有效的管理制度，同時(shí)還必須有嚴(yán)格的監(jiān)督與管理手段。會(huì)計(jì)數(shù)據(jù)的安全控制一般分為以下幾個(gè)方面：1.依據(jù)相關(guān)的法律規(guī)章制度建立嚴(yán)格的內(nèi)部管理制度。2.利用數(shù)字簽名技術(shù)進(jìn)行數(shù)據(jù)確認(rèn)。3. 加強(qiáng)監(jiān)控與審計(jì)

4、病毒、黑客入侵

網(wǎng)絡(luò)傳輸中由于黑客， 病毒， 木馬入侵， 造成非法訪問、信息泄露、非法拷貝、盜竊以及非法監(jiān)視、監(jiān)聽等風(fēng)險(xiǎn)（潘婧，2008）。應(yīng)對(duì)病毒、黑客入侵會(huì)計(jì)信息系統(tǒng)的主要措施有：（1）定期殺毒。盡管目前卻沒有一款殺毒軟件能夠應(yīng)對(duì)一切病毒，但是定期進(jìn)行殺毒是防治病毒入侵最直接有效的辦法。對(duì)于企業(yè)網(wǎng)等比較復(fù)雜的網(wǎng)絡(luò)環(huán)境，建議采用網(wǎng)絡(luò)殺毒軟件進(jìn)行殺毒。網(wǎng)絡(luò)病毒防治系統(tǒng)可以通過對(duì)局域網(wǎng)進(jìn)行遠(yuǎn)程集中安全管理、通過賬號(hào)和口令設(shè)置來達(dá)到一定的網(wǎng)絡(luò)病毒防治效果。（2）定期備份財(cái)務(wù)數(shù)據(jù)。財(cái)務(wù)數(shù)據(jù)作為企業(yè)經(jīng)營狀況的直接指標(biāo)，是企業(yè)制定經(jīng)營決策的主要依據(jù)。備份財(cái)務(wù)數(shù)據(jù)的意義在于通過將財(cái)務(wù)數(shù)據(jù)復(fù)制到不同的介質(zhì)中保存來防止財(cái)務(wù)數(shù)據(jù)的丟失。一旦會(huì)計(jì)信息系統(tǒng)遭到病毒或者黑客的入侵，數(shù)據(jù)備份可以及時(shí)的恢復(fù)丟失數(shù)據(jù)，支持會(huì)計(jì)信息系統(tǒng)的正常運(yùn)行。（3）制度保障。企業(yè)應(yīng)出臺(tái)相應(yīng)制度，限制運(yùn)行會(huì)計(jì)信息系統(tǒng)的計(jì)算機(jī)的其他上網(wǎng)行為；謹(jǐn)慎使用U盤和移動(dòng)硬盤；設(shè)置 Office 軟件的宏安全級(jí)別等。

5、操作人員舞弊

個(gè)別操作人員由于專業(yè)素養(yǎng)不夠，對(duì)會(huì)計(jì)信息系統(tǒng)的操作不夠規(guī)范，對(duì)整個(gè)系統(tǒng)的安全造成了很大的威脅。究其原因，隨著企業(yè)的擴(kuò)大和發(fā)展，利益相關(guān)者的范圍也在逐漸擴(kuò)大，經(jīng)營活動(dòng)也更加廣泛，網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)相關(guān)人員面對(duì)了更多的誘惑和威脅，這可能會(huì)動(dòng)搖相關(guān)人員遵守職業(yè)道德的決心，從而引發(fā)道德風(fēng)險(xiǎn)。安然、世界通訊等重大的舞弊案件的發(fā)生迫使企業(yè)重視人員舞弊的不安全因素。企業(yè)應(yīng)關(guān)注會(huì)計(jì)信息系統(tǒng)建設(shè)中的人員因素，加強(qiáng)人員的培訓(xùn)， 通過會(huì)計(jì)培訓(xùn)使財(cái)會(huì)人員不斷汲取新知識(shí)， 不僅掌握現(xiàn)代網(wǎng)絡(luò)技術(shù)， 而且充分認(rèn)識(shí)到會(huì)計(jì)人員的職業(yè)道德的重要性， 自覺抵制各種誘惑， 切實(shí)遵守各項(xiàng)規(guī)章制度。與此同時(shí)，要對(duì)財(cái)務(wù)人員的崗位職責(zé)進(jìn)行定期的審計(jì)。近年來，國家也相應(yīng)的出臺(tái)了一系列的法律法規(guī)和職業(yè)道德規(guī)范來規(guī)范會(huì)計(jì)人員的職業(yè)道德素質(zhì)，要求會(huì)計(jì)人員誠信、保密、獨(dú)立等（王恒輝，2010）。（作者單位：大連隆銘會(huì)計(jì)師事務(wù)所有限公司）

參考文獻(xiàn)

[1]潘婧.網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)及防范措施[J].財(cái)會(huì)研究，2008，（2）：48-52.

[2]羅紅.網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問題研究[J].財(cái)會(huì)通訊，2011，（7）：33-35.

[3]宋彪，常劍峰.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全性研究[C].上海： 第九屆全國會(huì)計(jì)信息化年會(huì)，2010.174-180.

[4]胡玉可.淺析網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全控制的實(shí)現(xiàn)[J].會(huì)計(jì)之友，2009，（11）：44-45.

[5]韓娜.企業(yè)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法研究[D].2006.

[6]張繼德，劉盼盼. 會(huì)計(jì)信息系統(tǒng)安全性現(xiàn)狀及應(yīng)對(duì)策略探討[J].中國管理信息化，2010，13（6）：3-5.

[7]王恒輝.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全性探析[D].2010.

[8]倪江陵. 網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全問題防范對(duì)策研究[D].2008.