網(wǎng)絡(luò)信息安全評估范文

時(shí)間:2023-10-09 17:30:41

導(dǎo)語:如何才能寫好一篇網(wǎng)絡(luò)信息安全評估,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)信息安全評估

篇1

資產(chǎn)是在組織中有一定價(jià)值且需要保護(hù)的東西。它可以是有形的也可以是無形的,可以以硬件、軟件、代碼、服務(wù)等形式存在。通常認(rèn)為,信息資產(chǎn)的完整性、可用性、機(jī)密性是構(gòu)成資產(chǎn)安全特性的三個(gè)因素。不同的資產(chǎn)安全特性決定了信息價(jià)值的不同,因此存在的威脅、本身的弱點(diǎn)以及安全控制也就各不相同。為此,需要對組織中的信息資產(chǎn)進(jìn)行識別,以便制定風(fēng)險(xiǎn)評估策略。

1.1資產(chǎn)分類

資產(chǎn)識別是一個(gè)復(fù)雜的過程,需要對資產(chǎn)進(jìn)行適當(dāng)?shù)姆诸?,這樣才能更有效地開展下一步工作。分類方法應(yīng)依據(jù)具體環(huán)境由評估主體靈活把握。資產(chǎn)的種類可分為數(shù)據(jù)、硬件、軟件、服務(wù)、文檔、設(shè)備、人員等。

1.2資產(chǎn)賦值

對資產(chǎn)的安全價(jià)值進(jìn)行評估首先要對資產(chǎn)進(jìn)行賦值,賦值并不是以賬面價(jià)值去衡量資產(chǎn)價(jià)值。在資產(chǎn)賦值估價(jià)時(shí),不僅應(yīng)考慮資產(chǎn)本身的應(yīng)有價(jià)值,還應(yīng)該綜合考慮資產(chǎn)組織業(yè)務(wù)的重要性程度。為保證資產(chǎn)評估的準(zhǔn)確性和一致性,評估機(jī)構(gòu)應(yīng)依據(jù)一定的原則,建立規(guī)范的評估標(biāo)準(zhǔn),以準(zhǔn)確地對資產(chǎn)進(jìn)行賦值評估。資產(chǎn)賦值的最終確定是根據(jù)資產(chǎn)的可用性、完整性以及機(jī)密性三個(gè)方面綜合評定,且一般采用由高到低定性相對等級方式,整個(gè)等級分為5等,從5到1,由高到低,分別代表五個(gè)級別的資產(chǎn)各自相對應(yīng)價(jià)值,等級越高資產(chǎn)的重要性程度也就越高,等級越低,資產(chǎn)也就相對不重要。

2威脅識別

威脅是指可能對整個(gè)系統(tǒng)結(jié)構(gòu)的安全性構(gòu)成潛在危險(xiǎn)的破壞性因素。從理論上來講,無論機(jī)構(gòu)的信息系統(tǒng)如何安全,威脅都是客觀存在的,是進(jìn)行風(fēng)險(xiǎn)評估不得不考慮的因素之一。

2.1威脅分類

威脅的產(chǎn)生因素可以分為環(huán)境因素和人為因素兩種。環(huán)境因素又分為不可抗因素和其他物理性因素。威脅的作用形式不一,可以是對信息系統(tǒng)的直接攻擊,也可以是間接攻擊。如對非授權(quán)信息的破壞、泄露、篡改、刪除等,或者破壞信息的嚴(yán)密性、可塑性以及完整性等。一般而言,威脅總是需要借助一定的平臺,如網(wǎng)絡(luò)、系統(tǒng)亦或是應(yīng)用數(shù)據(jù)的弱點(diǎn),才會對系統(tǒng)造成損害。針對威脅的產(chǎn)生因素,可以對威脅進(jìn)行分類,如:軟件障礙、硬件故障、物理環(huán)境威脅、操作失誤、惡意病毒、黑客攻擊、泄密、管理不善等。

2.2威脅賦值

在評估的過程中,同樣還需要對引發(fā)威脅的可能性賦值。如同資產(chǎn)賦值一般,威脅賦值也是采用定性的相對等級的方式。威脅的等級同樣分為五級,從5到1分別代表由高到低,五個(gè)級別引發(fā)威脅的可能性。等級數(shù)值越高,則表明引發(fā)威脅的可能性越大,反之,則越小。

3脆弱性識別

脆弱性評估(又稱弱點(diǎn)評估),是風(fēng)險(xiǎn)評估環(huán)節(jié)中很重要的內(nèi)容。任何資產(chǎn)本身都不可避免的存有弱點(diǎn),這些微小的弱點(diǎn)卻很容易被威脅利用,進(jìn)而對資產(chǎn)和商業(yè)目標(biāo)造成損害。資產(chǎn)的弱點(diǎn)不僅包括人員構(gòu)成、組織機(jī)構(gòu)、組織過程、管理技術(shù)等,還包括組織軟件、硬件、信息以及物理環(huán)境資產(chǎn)的脆弱性。資產(chǎn)脆弱性評估工作主要是從管理和技術(shù)兩個(gè)方面進(jìn)行的,是涉及到整個(gè)管理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層等各個(gè)層面的安全問題。技術(shù)脆弱性主要包括系統(tǒng)性安全、網(wǎng)絡(luò)化完全、物理性安全、應(yīng)用性安全等層面。而管理脆弱性主要是指進(jìn)行安全管理。在很大程度上,資產(chǎn)脆弱性與機(jī)構(gòu)所采取的安全控制措施有關(guān),因此,在判定威脅發(fā)生的可能性時(shí)應(yīng)該特別注意已有安全控制會對脆弱性產(chǎn)生的影響。

4總結(jié)

篇2

隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)的應(yīng)用已經(jīng)進(jìn)入各個(gè)領(lǐng)域。近年來國內(nèi)外網(wǎng)絡(luò)安全領(lǐng)域?qū)W(wǎng)絡(luò)的安全態(tài)勢評估十分關(guān)注,針對目前網(wǎng)絡(luò)安全中數(shù)據(jù)源數(shù)量較多的特點(diǎn),本文通過評價(jià)現(xiàn)有的安全態(tài)勢并結(jié)合基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型,繪制安全態(tài)勢圖,以時(shí)間序列分析態(tài)勢計(jì)算結(jié)果,進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)安全趨勢的預(yù)測,并結(jié)合網(wǎng)絡(luò)數(shù)據(jù)對該模型和算法進(jìn)行檢驗(yàn),證明該模型的準(zhǔn)確性和有效性。

【關(guān)鍵詞】安全態(tài)勢評估 信息融合 時(shí)間序列 網(wǎng)絡(luò)安全 預(yù)測

隨著計(jì)算機(jī)通信技術(shù)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)得到廣泛的應(yīng)用。同時(shí)隨著使用者的增多,網(wǎng)絡(luò)規(guī)模愈加龐大,計(jì)算機(jī)網(wǎng)絡(luò)安全問題也日益嚴(yán)重,傳統(tǒng)的網(wǎng)絡(luò)防御設(shè)施已經(jīng)無法保全用戶的網(wǎng)絡(luò)安全,故需要對網(wǎng)絡(luò)的安全態(tài)勢進(jìn)行評估。通過網(wǎng)絡(luò)安全態(tài)勢評估能夠有效評價(jià)網(wǎng)絡(luò)的安全狀況,并對其發(fā)展趨勢進(jìn)行預(yù)警。

1 網(wǎng)絡(luò)安全態(tài)勢評估模型

計(jì)算機(jī)網(wǎng)絡(luò)是由網(wǎng)絡(luò)組件、計(jì)算機(jī)節(jié)點(diǎn)以及各種檢測設(shè)備組成,這些設(shè)備承擔(dān)著網(wǎng)絡(luò)主機(jī)的監(jiān)控任務(wù),由其生成的網(wǎng)絡(luò)日志與網(wǎng)絡(luò)警報(bào)有著巨大的關(guān)聯(lián)性。傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢評估方法一般通過單一網(wǎng)絡(luò)檢測設(shè)備提供的日志信息進(jìn)行分析,其結(jié)果往往由于數(shù)據(jù)來源的全面性不足而出現(xiàn)較大的失真。故本文提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型和算法,通過結(jié)合全部相關(guān)網(wǎng)絡(luò)檢測設(shè)備的日志,并融合其數(shù)據(jù)信息,另選取主機(jī)的漏洞信息和其提供的服務(wù)信息,關(guān)聯(lián)外部攻擊對網(wǎng)絡(luò)安全的影響,采用時(shí)間序列分析,對未來的安全趨勢進(jìn)行預(yù)測,以彌補(bǔ)傳統(tǒng)安全評估的不足之處。

本文中網(wǎng)絡(luò)安全態(tài)勢評估的步驟以四步完成:(1)分析全部相關(guān)檢測設(shè)備的日志文件,融合數(shù)據(jù)源進(jìn)行計(jì)算,以確定攻擊發(fā)生率。(2)分析攻擊漏洞信息和網(wǎng)絡(luò)主機(jī)漏洞信息計(jì)算攻擊成功概率,通過已知的攻擊信息計(jì)算攻擊的威脅值,融合推斷主機(jī)的安全態(tài)勢。(3)分析服務(wù)信息確定各主機(jī)權(quán)重,融合節(jié)點(diǎn)態(tài)勢以確定網(wǎng)絡(luò)安全。(4)根據(jù)安全態(tài)勢的評估數(shù)據(jù),加入時(shí)間序列分析,從而預(yù)測網(wǎng)絡(luò)安全趨勢。

2 基于信息融合的算法評估

基于信息融合的算法包括三個(gè)部分,節(jié)點(diǎn)態(tài)勢融合、態(tài)勢要素融合和數(shù)據(jù)源融合。節(jié)點(diǎn)態(tài)勢融合采用主機(jī)是融合節(jié)點(diǎn)的安全和權(quán)重,從而確定網(wǎng)絡(luò)安全;態(tài)勢要素的融合則通過監(jiān)測設(shè)備的結(jié)果顯示外部攻擊的概率,經(jīng)過融合后計(jì)算節(jié)點(diǎn)的安全。基于信息融合的算法如下:

BEGlN

IatProbebiIity=0;

for aech assantieI vuInarebiIityavuI0,avuI1,,,avuInof etteck

IatRasuIt=chack_assantieI_vuI(avuIi,VI);

wharaVIis tha vuInarebiIity informetion of host

if (RasuItis TRUa)

continua;

aIsa

raturn 0;

if (thara is no othar vuInarebiIity etteck naads)

raturn 1;

if (RasuItis TRUE)

ProbebiIity+=wj;

wharawjis tha waight ofovuIj

aIsa

continua;

raturnProbebiIity.

END

3 基于時(shí)間序列分析的算法

時(shí)間序列算法是根據(jù)系統(tǒng)檢測到的時(shí)間序列信息,采用參數(shù)建立數(shù)學(xué)模型,時(shí)間序列分析普遍用于氣象預(yù)報(bào)等方面,其算法涵蓋平穩(wěn)性檢驗(yàn)、自身系數(shù)檢驗(yàn)和參數(shù)估計(jì)等,具體算法如下:

BEGlN

gat tha veIuas of tima sarias:x0,x1,,,xn;

IatRasuIt=chack_stetionery (x0,x1,,,xn);

whiIa(RasuItis FeISa)

Iat(y0,y1,,,yn-1)=diffarancing(x0,x1,,,xn);

IatRasuIt=chack_stetionery(y0,y1,,,yn-1);

continua;

IatQk=eutocorraIetion_coafficiant(x0,x1,,,xn);

Iat

IatModaI=gat_modaI(pk,

IatPerematars=gat_perematars(ModaI,x0,x1,,,xn);

IatRasuIt=chack_whita_noisa(C0,C1,,,Cn);

if(RasuItis TRUE)

raturn(ModaI, Perematars);

aIsa

raturn 0.

END

通過時(shí)間序列分析算法能夠繪制出安全態(tài)勢圖譜,網(wǎng)絡(luò)管理員則可通過圖譜掌握網(wǎng)絡(luò)安全的發(fā)展趨勢,進(jìn)而采取可靠的防護(hù)措施。

4 結(jié)語

本文通過分析已有的安全態(tài)勢評估模型,結(jié)合網(wǎng)絡(luò)中數(shù)據(jù)源相對較多的特點(diǎn),提出基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型,分析多數(shù)據(jù)源下的漏洞信息與服務(wù)信息的關(guān)系,融合態(tài)勢要素和節(jié)點(diǎn)態(tài)勢分析網(wǎng)絡(luò)安全態(tài)勢,最后通過時(shí)間序列分析算法實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的預(yù)測。網(wǎng)絡(luò)安全態(tài)勢評估的方法層出不窮,通過優(yōu)化現(xiàn)有模型并結(jié)合新技術(shù)能夠創(chuàng)造出更多的網(wǎng)絡(luò)安全態(tài)勢評估模型,進(jìn)而更加準(zhǔn)確的預(yù)測網(wǎng)絡(luò)安全的威脅來源以及網(wǎng)絡(luò)安全態(tài)勢的發(fā)展趨勢。

參考文獻(xiàn)

[1]王選宏,肖云.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢感知模型[J].科學(xué)技術(shù)與工程,2010,28(02):6899-6902.

[2]張新剛,王保平,程新黨.基于信息融合的層次化網(wǎng)絡(luò)安全態(tài)勢評估模型[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2012,09(04):1072-1074.

篇3

最近幾年,水利部門根據(jù)水利工作的實(shí)際狀況,在對治水經(jīng)驗(yàn)和實(shí)際操作進(jìn)行總結(jié)的過程中,提出要轉(zhuǎn)變過去的水利發(fā)展道路,堅(jiān)持走可持續(xù)發(fā)展水利道路,建立水利現(xiàn)代化的發(fā)展道路。隨著水利事業(yè)的不斷發(fā)展和變革,水利信息化構(gòu)建也取得了一定的成績,逐漸轉(zhuǎn)變成為水利現(xiàn)代化的主要力量。根據(jù)國家防汛抗旱指揮系統(tǒng)中的一期工程城市水資源的監(jiān)控管理,水利電子政務(wù)的相關(guān)項(xiàng)目和大型灌區(qū)信息化試點(diǎn)等重要工程的順利完成,水利信息化基礎(chǔ)設(shè)備也在不斷的健全,對業(yè)務(wù)的使用能力也在逐漸加強(qiáng)。防汛抗旱,城市水資源的監(jiān)控管理,水利電子政務(wù)和全國水土保持監(jiān)管信息體系等業(yè)務(wù)也開始應(yīng)用到實(shí)際生活中。在水利信息化基礎(chǔ)構(gòu)建和業(yè)務(wù)不斷拓展的過程中,相關(guān)的保證水利信息化安全的體系也逐漸形成。

2強(qiáng)化水利網(wǎng)絡(luò)信息安全的解決措施

網(wǎng)絡(luò)和信息的安全隱患問題,使得水利信息化的發(fā)展受到阻礙,所以要及時(shí)的進(jìn)行預(yù)防,綜合治理和科學(xué)管理,逐漸增加信息的安全性,加強(qiáng)其中的保護(hù)能力,保證水利信息化的持續(xù)運(yùn)行。

2.1加強(qiáng)信息安全管理

信息安全規(guī)劃包含了技術(shù)、管理和相關(guān)法律等多個(gè)層面的問題,是穩(wěn)定網(wǎng)絡(luò)安全、物理安全、資料安全和使用安全的關(guān)鍵因素。信息安全規(guī)劃不但依賴于信息化的管理,還是信息化形成的重要力量。在信息安全管理的過程中,信息系統(tǒng)安全構(gòu)建和管理要更加具有系統(tǒng)性、整體性和目標(biāo)性。

2.1.1以信息化規(guī)劃為基礎(chǔ),構(gòu)建信息化建設(shè)

信息安全是在信息化規(guī)劃的基礎(chǔ)上,對信息安全進(jìn)行系統(tǒng)的整理,是信息化發(fā)展的主要力量。信息安全規(guī)劃不但要對信息化發(fā)展的實(shí)際情況進(jìn)行深入的分析和研究,更好的發(fā)現(xiàn)信息化中存在的安全隱患,還要根據(jù)信息化規(guī)劃以及信息化發(fā)展的主要戰(zhàn)略和思路,有效的處理信息安全的問題。

2.1.2構(gòu)建信息安全系統(tǒng)

信息安全規(guī)劃需要從技術(shù)安全、組織安全、戰(zhàn)略安全等方面入手,構(gòu)建相關(guān)的信息安全系統(tǒng),從而更好的保證信息化的安全。

2.2日常的運(yùn)維管理

2.2.1注重網(wǎng)絡(luò)的安全監(jiān)控

網(wǎng)絡(luò)的飛速發(fā)展使得水利網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)安全關(guān)系更加緊密。所以,注重互聯(lián)網(wǎng)安全監(jiān)控,從而及時(shí)的采取相關(guān)的安全防護(hù)措施,是現(xiàn)在日常安全管理工作中的主要內(nèi)容。

2.2.2安全狀態(tài)研究

網(wǎng)絡(luò)信息安全是處于不斷變化的過程中,需要定時(shí)對網(wǎng)絡(luò)安全環(huán)境進(jìn)行整體的分析,這樣不但可以發(fā)現(xiàn)其中的問題,還可以及時(shí)的采取相關(guān)的措施進(jìn)行改正。安全態(tài)勢主要是利用網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備和安全管理工具等策略來進(jìn)行信息的處理,通過統(tǒng)計(jì)和分析,綜合評價(jià)網(wǎng)絡(luò)系統(tǒng)的安全性,并且對發(fā)展的狀態(tài)進(jìn)行判斷。

2.2.3信息安全風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估是信息安全管理工作中的重要部分。通過進(jìn)行風(fēng)險(xiǎn)評估,可以及時(shí)的發(fā)現(xiàn)信息安全中的問題,并且找到積極有效的解決措施。安全風(fēng)險(xiǎn)評估的主要方法是:(1)對被評估的主要信息進(jìn)行確定;(2)通過本地審計(jì)、人員走訪、現(xiàn)場觀看、文檔審閱、脆弱性掃描等方法,對評估范圍中的網(wǎng)絡(luò)、使用和主機(jī)等方面的安全技術(shù)和信息進(jìn)行管理;(3)對取得的信息資料進(jìn)行綜合的分析,判別被評估信息資產(chǎn)中存在的主要問題和風(fēng)險(xiǎn);(4)從管理體制、管理措施、系統(tǒng)脆弱性判別、威脅研究、漏洞和現(xiàn)有技術(shù)等方面,根據(jù)風(fēng)險(xiǎn)程度的不同,分析和管理相關(guān)的安全問題;(5)根據(jù)上面的分析結(jié)果,建立相關(guān)的信息安全風(fēng)險(xiǎn)評估報(bào)告。

2.2.4應(yīng)急響應(yīng)

所謂的應(yīng)急響應(yīng)就是信息安全保護(hù)的最后一道屏障,主要是為了盡量的減少和控制信息安全所造成的嚴(yán)重影響,進(jìn)行及時(shí)的響應(yīng)和修復(fù)。應(yīng)急響應(yīng)包含了前期應(yīng)急準(zhǔn)備和后期應(yīng)急響應(yīng)兩個(gè)部分。前期應(yīng)急準(zhǔn)備主要有預(yù)警預(yù)防制度、組織指導(dǎo)系統(tǒng)、應(yīng)急響應(yīng)過程、應(yīng)急團(tuán)隊(duì)、應(yīng)急器械、技術(shù)支持、費(fèi)用支持等應(yīng)急措施,并且定時(shí)進(jìn)行應(yīng)急演練等。后期應(yīng)急措施主要有檢查病毒、系統(tǒng)防護(hù)、阻斷后門等問題,對網(wǎng)絡(luò)服務(wù)進(jìn)行限制或關(guān)閉以及事后的恢復(fù)系統(tǒng)等工作。通過兩個(gè)部分的不斷配合,才能更好的發(fā)揮應(yīng)急響應(yīng)的重要作用。

2.3教育培養(yǎng)

人是信息安全的主要力量,其中的知識構(gòu)造和使用能力對信息安全工作有著重要的影響。強(qiáng)化信息安全管理人員的專業(yè)素養(yǎng),及時(shí)的進(jìn)行信息安全教育,提升人們的信息安全意識,從而有效的減少信息安全問題的出現(xiàn)。

3總結(jié)

篇4

關(guān)鍵詞:信息安全、風(fēng)險(xiǎn)評估、重要問題

中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9599 (2012) 17-0000-02

在現(xiàn)階段,由于快速發(fā)展的信息技術(shù),致使那些極大影響著國計(jì)民生的關(guān)鍵信息資源,從其規(guī)模來看,具有越來越大的變化趨勢,至于其信息系統(tǒng)的結(jié)構(gòu),具有越來越高的復(fù)雜程度;在當(dāng)前要促使我國國民經(jīng)濟(jì)的持續(xù)發(fā)展以及能夠順利進(jìn)行信息化建設(shè),其中的一個(gè)關(guān)鍵因素就是要讓這些信息資源以及信息系統(tǒng)的安全性得到有力保障。而有關(guān)可用性、機(jī)密性以及完整性等等內(nèi)容正是信息安全目標(biāo)的具體表現(xiàn)。在當(dāng)前進(jìn)行安全建設(shè)一個(gè)出發(fā)點(diǎn)就是要進(jìn)行信息安全風(fēng)險(xiǎn)評估,進(jìn)行風(fēng)險(xiǎn)評估具有很多重要意義,其中把傳統(tǒng)的以技術(shù)驅(qū)動為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)進(jìn)行有力改變,這是它的一個(gè)重要意義;有關(guān),信息安全風(fēng)險(xiǎn)評估,其對信息系統(tǒng)安全風(fēng)險(xiǎn)的識別,主要是結(jié)合資產(chǎn)的重要程度來進(jìn)行,在遵循成本—效益這一原則的基礎(chǔ)上,當(dāng)信息系統(tǒng)面臨著以下這兩種情況時(shí),對它進(jìn)行全面評估:第一種情況,當(dāng)信息系統(tǒng)面臨著威脅;第二種情況,當(dāng)信息系統(tǒng)因本身脆弱性而被威脅源所利用、導(dǎo)致本身可能出現(xiàn)安全問題、由此可見,所謂信息安全風(fēng)險(xiǎn)評估,就是基于安全管理這個(gè)角度考慮,采用合理的手段和分析方法,對有關(guān)信息系統(tǒng)以及信息化業(yè)務(wù),當(dāng)其面臨來自自然或者人為威脅時(shí)所產(chǎn)生的脆弱性進(jìn)行比較系統(tǒng)地分析,并對可能造成安全事件的危害程度進(jìn)行相應(yīng)的評估,在此基礎(chǔ)上,并能夠把那些具有防御效果的對策以及整改措施有針對性地提出來,以讓網(wǎng)絡(luò)和信息安全能夠得到最大的保障。

1 有關(guān)信息安全風(fēng)險(xiǎn)評估中的幾個(gè)重要問題的認(rèn)識

1.1 對有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容以及主要因素這個(gè)重要問題的認(rèn)識

(1)有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容。所謂網(wǎng)絡(luò)信息安全,顧名思義就是指當(dāng)前網(wǎng)絡(luò)中各種各樣網(wǎng)絡(luò)信息的安全,這是從狹義這個(gè)層面來考慮的;如果從廣義這個(gè)層面來看,除了前面所提到的各種信息安全外,還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全,諸如各種軟硬件、存儲以及傳輸、數(shù)據(jù)以及數(shù)據(jù)處理等等使用過程。總的看來,網(wǎng)絡(luò)信息安全具有以下五大方面上的典型特征,如下表所示:

五大典型特征 具體含義

①具有保密性特征 也就是不準(zhǔn)把有關(guān)網(wǎng)絡(luò)信息泄漏給非授權(quán)的實(shí)體或者個(gè)人

②具有完整性特征 也就是對于未經(jīng)授權(quán)的信息,一律不準(zhǔn)對其進(jìn)行修改或者加以破壞

③具有可用性特征 對于那些合法的用戶,能夠正常訪問相關(guān)的信息

④具有可控性特征 能夠有效并且合法控制相關(guān)的信息內(nèi)容及其傳播過程

⑤具有可審查性特征 為使能事后查詢核對,在信息使用過程中要而且必須有進(jìn)行相關(guān)的記錄

表一:網(wǎng)絡(luò)信息安全的典型特征

(2)有關(guān)網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素。為了能夠?qū)@個(gè)網(wǎng)絡(luò)信息安全問題所具有的復(fù)雜性進(jìn)行有效解決并且能夠順利地找到一個(gè)解決或者考慮這類問題的出發(fā)點(diǎn),就必須從研究有關(guān)網(wǎng)絡(luò)信息安全的那些風(fēng)險(xiǎn)因素入手,為了更好地認(rèn)識和研究有關(guān)這些網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素,在現(xiàn)階段,可以把它們分為幾大類型,如下表所示:

主要類型 具體內(nèi)容

①來自自然方面的因素 例如火災(zāi)、水災(zāi)、地震、雷電、臺風(fēng)、寒潮、海嘯等等

②來自網(wǎng)絡(luò)硬件方面的因素 例如機(jī)房的(路由器、交換機(jī)以及服務(wù)器)等,因受外界因素(溫度、濕度、灰塵、電磁干擾)等所產(chǎn)生的影響

③來自軟件方面的因素 主要包括①機(jī)房設(shè)備(機(jī)房服務(wù)器和管理軟件等),②用戶計(jì)算機(jī)操作系統(tǒng),③各種服務(wù)器數(shù)據(jù)庫配置的合理性與否,④殺毒軟件、防火墻等等其他應(yīng)用軟件

④來自人為方面的因素 具體包括那些對網(wǎng)絡(luò)信息進(jìn)行使用和管理的種種行為所帶來的種種影響,諸如惡意代碼、木馬攻擊、操作失誤、數(shù)據(jù)泄露、騙取口令、拒絕服務(wù)等等

表二:網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素的主要類型

1.2 對有關(guān)安全風(fēng)險(xiǎn)評估方法這個(gè)重要問題的認(rèn)識

(1)有關(guān)定制個(gè)性化這種評估方法。在當(dāng)前有關(guān)比較標(biāo)準(zhǔn)的評估方法極其流程雖然已經(jīng)有了很多種,但是在具體的實(shí)際應(yīng)用當(dāng)中,單純的套用或者拷貝這些方法是不可取的,比較正確的做法應(yīng)該是把它們作為一個(gè)參考,結(jié)合企業(yè)的具體情況以及企業(yè)相關(guān)安全風(fēng)險(xiǎn)評估方面的能力,對這些標(biāo)準(zhǔn)的評估方法進(jìn)行重新組合,以產(chǎn)生出具有個(gè)性化特點(diǎn)的評估方法,從而促使相關(guān)進(jìn)行的評估服務(wù)能夠具有靈活性以及可裁剪性的特點(diǎn)。具體的評估種類比較多,諸如網(wǎng)絡(luò)結(jié)構(gòu)評估、IT安全評估、滲透測試以及整體評估等等。

(2)有關(guān)安全整體框架的設(shè)計(jì)。進(jìn)行風(fēng)險(xiǎn)評估,其目的不僅僅要懂得風(fēng)險(xiǎn),更為重要的是要進(jìn)行風(fēng)險(xiǎn)管理并為之提供所需要的依據(jù)。管理風(fēng)險(xiǎn),其安全整體框架在于評估的直接輸出;但是對于具體的企業(yè)來說,由于它們所處的環(huán)境不一樣,各自的需求也都不相同,此外,從他們工作層面這個(gè)角度考慮,其可供參考的模版都不是很多,這就到來了不是很多的整體框架應(yīng)用。但是,把最近一、兩年內(nèi)的框架完成好,這是企業(yè)至少也要做到的,這樣才有可能做到有據(jù)可依。

(3)有關(guān)多用戶決策的評估。由于不同的問題可以被不同層面的用戶所看到,因而要對風(fēng)險(xiǎn)進(jìn)行全面了解,有關(guān)多用戶溝通評估這項(xiàng)工作就要經(jīng)常進(jìn)行。把多用戶的相關(guān)決策過程取自于其評估過程,將大大有利對風(fēng)險(xiǎn)進(jìn)行全面的了解和深入的理解,并且能夠把對風(fēng)險(xiǎn)的管理真正落實(shí)到行動上。很多實(shí)踐表明,讓多用戶共同參與,具有非常顯著的效果。因此,進(jìn)行多用戶相關(guān)的決策評估,具有一個(gè)具體的方法以及流程也顯得極其重要。

1.3 對有關(guān)風(fēng)險(xiǎn)評估過程這個(gè)重要問題的認(rèn)識

(1)準(zhǔn)備階段—前期。在這一階段,主要的工作有,首先要明確所評估的目標(biāo);其次是對于所涉及的評估范圍要進(jìn)行確定,并且要把相關(guān)的協(xié)議以及合同簽署好;最后要把已經(jīng)存在的那些被評估對象的相關(guān)材料進(jìn)行接收,并就此對評估對象展開其研究調(diào)查工作。

(2)現(xiàn)場階段—中期。在這一階段,相關(guān)測評方案要進(jìn)行編寫,并且要把相應(yīng)的管理問卷以及現(xiàn)場測試表準(zhǔn)備好,在這個(gè)基礎(chǔ)上,再把調(diào)查研究階段以及現(xiàn)場階段的測試有條不紊地進(jìn)行開展。

(3)評估階段—后期。在最后這一階段,要把測試報(bào)告進(jìn)行系統(tǒng)編寫,相關(guān)調(diào)查研究要進(jìn)行相應(yīng)的補(bǔ)充和完善,在把這兩項(xiàng)重要工作完成后,評估者要據(jù)此得出最終的風(fēng)險(xiǎn)評估報(bào)告。

2 結(jié)束語

總而言之,建設(shè)信息系統(tǒng)管理體系和安全體系的基礎(chǔ)就是信息安全風(fēng)險(xiǎn)評估;進(jìn)行風(fēng)險(xiǎn)評估,不僅可以讓信息系統(tǒng)的安全狀況得到進(jìn)一步的明確,也可以讓信息系統(tǒng)的主要安全風(fēng)險(xiǎn)得到進(jìn)一步的明確;因此,在當(dāng)前進(jìn)行信息安全風(fēng)險(xiǎn)評估,對于及早發(fā)現(xiàn)信息系統(tǒng)的安全隱患并且采取相應(yīng)的防御方案以保證信息系統(tǒng)安全具有極其重要的意義。

參考文獻(xiàn):

[1]剛.信息安全風(fēng)險(xiǎn)評估的策劃[J].信息技術(shù)與標(biāo)準(zhǔn)化,2008,9.

篇5

近年來,國信辦組織了幾項(xiàng)信息安全試點(diǎn),遍及全國的近三十余家試點(diǎn)單位成為安全探索先行者。當(dāng)通過一年多的努力,為中國信息安全前行之路成功點(diǎn)燃一簇簇“星火”的時(shí)候,

他們坦然面對記者說出了這背后的故事。

國稅總局在風(fēng)險(xiǎn)評估實(shí)踐中總結(jié)出的差距分析法

有句話是這么說的:道路是什么,道路是人在沒有路的地方用腳踩出來的。

人生的道路是這樣,信息安全之路也是這樣。當(dāng)安全威脅成為信息化進(jìn)程最大阻礙的時(shí)候,如何踩出一條網(wǎng)絡(luò)信息安全之路,就成為政府主管部門思考的問題。

2006年,為貫徹落實(shí)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號文件),形成與國際標(biāo)準(zhǔn)相銜接的中國特色的信息安全標(biāo)準(zhǔn)體系,以更好應(yīng)對未來日益嚴(yán)峻的信息安全威脅,國務(wù)院信息化工作辦公室會同相關(guān)部門,組織了三項(xiàng)信息安全試點(diǎn),包括:電子政務(wù)信息安全試點(diǎn)、信息安全風(fēng)險(xiǎn)評估試點(diǎn)、信息安全管理標(biāo)準(zhǔn)應(yīng)用試點(diǎn)??偣灿腥嗉以圏c(diǎn)單位參加了相關(guān)試點(diǎn)工作。

因?yàn)樯婕皣倚畔踩磥順?biāo)準(zhǔn)和技術(shù)道路的探索,所有的試點(diǎn)單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作?它們的先行又為我國信息安全事業(yè)踏出什么樣的實(shí)踐之路?近日,在國信辦召開的全國地方信息安全處長會議間歇,記者走近本次試點(diǎn)工作六個(gè)優(yōu)秀試點(diǎn)單位代表,揭開了一直罩在這些試點(diǎn)單位頭上那層神秘的面紗,看到了他們的努力和汗水,以及試點(diǎn)工作探*索出來的寶貴經(jīng)驗(yàn)。政務(wù)馳入安全互聯(lián)網(wǎng)模式

試點(diǎn)方向:電子政務(wù)信息安全

訪談人物:河南省濟(jì)源市信息辦副主任焦依平

電子政務(wù)是國家信息化的重中之重,而信息安全又是電子政務(wù)順利完成的重中之重。

為貫徹落實(shí)中辦發(fā)27號文件精神,研究解決電子政務(wù)信息安全建設(shè)和管理中的一些共性問題,探索電子政務(wù)信息安全保障方法,國信辦會同國家保密局、國家密碼管理局、公安部十一局,從2005年10月開始,在廣東、河南、天津、重慶4個(gè)省市開展了電子政務(wù)信息安全試點(diǎn)。

這4個(gè)試點(diǎn)具體方向各有不同,其中河南濟(jì)源市探索的方向是如何基于互聯(lián)網(wǎng)開展電子政務(wù)建設(shè)、保障信息安全問題?!拔覀儼凑铡0踩?,促應(yīng)用’的思路,構(gòu)建了基于互聯(lián)網(wǎng)的電子政務(wù)信息安全保障體系,探索出了一條低成本建設(shè)電子政務(wù)的新路子?!苯挂榔浆F(xiàn)在談起試點(diǎn),依然抑制不住激動的心情。

焦依平介紹說,濟(jì)源市通信光纖現(xiàn)已覆蓋到村,政務(wù)部門全部接入了互聯(lián)網(wǎng),但是統(tǒng)計(jì)下來,濟(jì)源市政務(wù)信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網(wǎng),顯然投入和效益不能平衡,這也與電子政務(wù)建設(shè)的初衷相違背。為此,濟(jì)源市按照國信辦和河南省信息辦的要求,不拉專線,完全基于互聯(lián)網(wǎng),開展電子政務(wù)建設(shè)。

濟(jì)源市試點(diǎn)系統(tǒng)建設(shè)內(nèi)容包括以下幾項(xiàng):一是基于互聯(lián)網(wǎng)建設(shè)連接全市所有黨政部門和鄉(xiāng)鎮(zhèn)的電子政務(wù)網(wǎng)絡(luò);二是在互聯(lián)網(wǎng)上建設(shè)政務(wù)辦公、項(xiàng)目審批管理、12345便民熱線、新農(nóng)村信息服務(wù)等4個(gè)應(yīng)用系統(tǒng);三是在進(jìn)行網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)的同時(shí)開展信息安全試點(diǎn),建設(shè)基于互聯(lián)網(wǎng)電子政務(wù)信息安全支撐平臺。

那么,如何真正用技術(shù)實(shí)現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)網(wǎng)辦公的安全需求呢?焦依平介紹說,試點(diǎn)工程遵循信息安全系統(tǒng)工程思想,按照“適度安全,促進(jìn)應(yīng)用,綜合防范”的原則和等級保護(hù)的要求,采用集成創(chuàng)新的技術(shù)路線,綜合運(yùn)用以密碼為核心的信息安全技術(shù),合理配置信息安全保密設(shè)備和安全策略,建設(shè)一個(gè)技術(shù)先進(jìn)、安全可靠的基于互聯(lián)網(wǎng)的電子政務(wù)信息安全支撐平臺,形成一體化的分級防護(hù)安全保障體系,為電子政務(wù)提供可靠、有效的安全保障。

從安全技術(shù)實(shí)現(xiàn)上,據(jù)焦依平介紹,濟(jì)源市試點(diǎn)工程的安全支撐平臺涉及網(wǎng)絡(luò)安全和應(yīng)用安全兩部分,本次試點(diǎn)網(wǎng)絡(luò)安全系統(tǒng)共建設(shè)7個(gè)安全子系統(tǒng):一是VPN系統(tǒng),由VPN密碼機(jī)、VPN客戶端和VPN管理系統(tǒng)組成,共同完成域間安全互聯(lián)、移動安全接入、用戶接入控制與網(wǎng)絡(luò)邊界安全等功能,其中中心機(jī)房的VPN密碼機(jī)帶有防火墻功能;二是統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng),完成用戶統(tǒng)一身份認(rèn)證、授權(quán)管理等功能;三是網(wǎng)絡(luò)防病毒系統(tǒng),部署于安全服務(wù)區(qū),完成網(wǎng)絡(luò)防病毒功能;四是網(wǎng)頁防篡改系統(tǒng),部署于政府網(wǎng)站,提供網(wǎng)站立即恢復(fù)的手段和功能;五是入侵檢測系統(tǒng),部署于中心交換機(jī),對網(wǎng)絡(luò)入侵事件進(jìn)行主動防御;六是網(wǎng)絡(luò)審計(jì)系統(tǒng)部署于中心交換機(jī),對網(wǎng)絡(luò)事件進(jìn)行記錄,方便事后追蹤;七是桌面安全防護(hù)系統(tǒng),部署在用戶終端,提供網(wǎng)絡(luò)防護(hù)、病毒防護(hù)、存儲安全、郵件安全等一體化的終端安全保護(hù)。

對于目前試點(diǎn)效果,焦依平認(rèn)為,從實(shí)際效果來說,一是低成本建設(shè)了安全的政務(wù)網(wǎng)絡(luò),實(shí)際投入620萬元,比原計(jì)劃專網(wǎng)方式預(yù)算總投資節(jié)約48.3%;二是實(shí)現(xiàn)了安全政務(wù)辦公和可信政務(wù)服務(wù),全市各部門已100%實(shí)現(xiàn)了安全互聯(lián),網(wǎng)絡(luò)可達(dá)鄉(xiāng)鎮(zhèn),試點(diǎn)村;三是實(shí)現(xiàn)了安全的移動辦公,打破了電子政務(wù)應(yīng)用只能在本地訪問的局限。而從長遠(yuǎn)來講,濟(jì)源市已經(jīng)初步建成安全、開放、實(shí)用的全面基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)。

電子政務(wù)內(nèi)外互通

試點(diǎn)方向:電子政務(wù)信息安全

訪談人物:廣東省信息中心副主任曾強(qiáng)

目前,妨礙電子政務(wù)系統(tǒng)互聯(lián)互通的主要原因就是由此帶來的信息安全問題。跟濟(jì)源市試點(diǎn)方向不同,廣東省的試點(diǎn)方向主要是通過等級保護(hù),探索解決省、市、縣(區(qū))電子政務(wù)系統(tǒng)的信息共享與互聯(lián)互通問題。曾強(qiáng)介紹說,面對國信辦試點(diǎn)布置的這個(gè)大命題,廣東省將試點(diǎn)命題細(xì)化成以下幾個(gè)方面:由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個(gè)業(yè)務(wù)系統(tǒng)縱向互聯(lián)互通試點(diǎn);由省政府辦公廳完成視頻會議系統(tǒng)省府門戶網(wǎng)站試點(diǎn);由佛山市政府完成財(cái)稅庫銀互聯(lián)互通系統(tǒng)試點(diǎn);由江門市政府完成開放互聯(lián)環(huán)境下的信息安全解決方案試點(diǎn);由佛山市南海區(qū)政府完成大社保6個(gè)分系統(tǒng)橫向互聯(lián)互通試點(diǎn)。

關(guān)于如何解決在不同的電子政務(wù)系統(tǒng)之間,安全實(shí)現(xiàn)互聯(lián)互通以及資源共享問題,曾強(qiáng)介紹說,試點(diǎn)工作中,廣東省綜合運(yùn)用等級保護(hù)和風(fēng)險(xiǎn)評估相結(jié)合的方法,確定了解決互聯(lián)互通問題的基本思路:一是明確系統(tǒng)的重要程度,確定系統(tǒng)安全等級,采取與系統(tǒng)安全等級相適應(yīng)的安全保護(hù)措施;二是按照有條件互聯(lián)、共享可控制的原則,確定需要共享的系統(tǒng)和應(yīng)用以及需要共享的數(shù)據(jù),保證只共享那些確實(shí)需要共享的數(shù)據(jù),以保護(hù)系統(tǒng)中原有信息的安全;三是在進(jìn)行系統(tǒng)互聯(lián)的部門之間建立共同的安全管理機(jī)制,明確系統(tǒng)互聯(lián)后的安全管理責(zé)任、管理邊界、安全事件協(xié)同處理等機(jī)制;四是對系統(tǒng)互聯(lián)的安全風(fēng)險(xiǎn)進(jìn)行評估,全面分析低安全等級的系統(tǒng)給高安全等級的系統(tǒng)帶來的安全風(fēng)險(xiǎn);五是針對系統(tǒng)互聯(lián)的安全風(fēng)險(xiǎn),確定關(guān)鍵的安全控制要素,如互聯(lián)邊界的訪問控制、系統(tǒng)互聯(lián)的安全傳輸?shù)?,并落?shí)具體的安全措施,保障系統(tǒng)互聯(lián)、數(shù)據(jù)共享的安全。

在以上措施的執(zhí)行下,廣東省取得了初步成功,形成了《廣東省電子政務(wù)系統(tǒng)定級規(guī)范》、《廣東省電子政務(wù)系統(tǒng)互聯(lián)互通安全規(guī)范》等地方指導(dǎo)性文件。

風(fēng)險(xiǎn)規(guī)避預(yù)先保障

試點(diǎn)方向:信息安全風(fēng)險(xiǎn)評估

訪談人物:國家稅務(wù)總局處長李建彬

上海市信息化委員會信息安全測評中心

總工程師應(yīng)力

信息網(wǎng)絡(luò),風(fēng)險(xiǎn)無處不在,防患于未然是上上之策。這也是風(fēng)險(xiǎn)評估安全保障的內(nèi)涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務(wù)總局、國家電網(wǎng)公司、國家信息中心等地方和部門開展信息安全風(fēng)險(xiǎn)評估試點(diǎn)工作。

國家稅務(wù)總局在廣東地稅南海數(shù)據(jù)中心所進(jìn)行的風(fēng)險(xiǎn)評估試點(diǎn),最大的亮點(diǎn)就是具有創(chuàng)新精神的“差距分析法”。

李建彬在介紹廣東南海試點(diǎn)經(jīng)驗(yàn)時(shí),將差距分析法用一句話概括,就是“通過找出安全目標(biāo)與現(xiàn)實(shí)系統(tǒng)差距,從而得出風(fēng)險(xiǎn)分析報(bào)告”。在試點(diǎn)工作中,李建彬感觸最深的就是,要對系統(tǒng)生命周期的整個(gè)過程都持續(xù)不斷地引入風(fēng)險(xiǎn)評估,盡量避免“先運(yùn)行,后評估”的亡羊補(bǔ)牢式工作流程,以降低信息系統(tǒng)整體的信息安全風(fēng)險(xiǎn)等級。此外,李建彬還提出在風(fēng)險(xiǎn)評估工作具體實(shí)施過程中必須重點(diǎn)考慮以下幾點(diǎn):

首先是風(fēng)險(xiǎn)評估與等級保護(hù)有密切的關(guān)系。類別和級別都是信息系統(tǒng)的固有屬性,通過風(fēng)險(xiǎn)評估可以識別系統(tǒng)的類別和安全級別,從而落實(shí)“等級保護(hù)”這一國家政策。但是系統(tǒng)的安全級別不應(yīng)該一刀切,可考慮將系統(tǒng)最高安全級別部分的安全等級作為系統(tǒng)的安全等級。其次是系統(tǒng)分析是系統(tǒng)安全評估的基礎(chǔ)工作。再次是行業(yè)性系統(tǒng)安全要求在風(fēng)險(xiǎn)評估中起決定作用,不同行業(yè)的系統(tǒng)有著不同的安全要求,必須為不同行業(yè)、不同類型的系統(tǒng)制定適應(yīng)其特點(diǎn)的系統(tǒng)安全要求。最后,通過安全風(fēng)險(xiǎn)評估工作進(jìn)一步完善系統(tǒng)安全總體設(shè)計(jì)。

上海市在很早的時(shí)候就開始對風(fēng)險(xiǎn)評估進(jìn)行探索。2002年上海市就確立180家重點(diǎn)信息安全責(zé)任單位(2004年調(diào)整為163家),涉及重要政府部門、公共事業(yè)單位、基礎(chǔ)網(wǎng)絡(luò)和涉及國計(jì)民生的重要信息系統(tǒng)。2006年,上海市了《上海市公共信息系統(tǒng)安全測評管理辦法》,又于2007年1月出臺了《上海市市級機(jī)關(guān)信息系統(tǒng)建設(shè)與管理指南》。之后,上海市信息委又出臺了關(guān)于風(fēng)險(xiǎn)評估工作的實(shí)施意見,明確建立自評估與檢查評估制度的原則、工作安排。

上海市信息安全測評中心總工程師應(yīng)力博士在介紹上海市的風(fēng)險(xiǎn)評估實(shí)踐經(jīng)驗(yàn)時(shí),多次強(qiáng)調(diào)要引導(dǎo)各單位進(jìn)行自評估建設(shè),讓信息安全風(fēng)險(xiǎn)評估成為政府及企事業(yè)信息安全建設(shè)的常態(tài),在系統(tǒng)的設(shè)計(jì)階段、驗(yàn)收階段、運(yùn)行階段,都需要進(jìn)行風(fēng)險(xiǎn)評估工作,形成“預(yù)防為主,持續(xù)改進(jìn)”的風(fēng)險(xiǎn)評估機(jī)制。應(yīng)力認(rèn)為,對信息安全主管機(jī)關(guān)來說,風(fēng)險(xiǎn)評估是一種管理措施,通過風(fēng)險(xiǎn)評估,領(lǐng)導(dǎo)者可以了解信息系統(tǒng)的安全現(xiàn)狀,從而為管理決策提供依據(jù)。

信息安全重在管理

試點(diǎn)方向:信息安全管理標(biāo)準(zhǔn)應(yīng)用

訪談人物:北京市海淀區(qū)信息辦主任張澤根

深交所ISMS項(xiàng)目組張興東

有專家提出:“信息安全系統(tǒng)是三分技術(shù),七分管理?!笨梢娦畔踩芾碓谡麄€(gè)信息安全保障體系中的重要性。

國信辦網(wǎng)絡(luò)與信息安全組與全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會共同于2006年3月開始,在北京市、上海市、國家稅務(wù)總局、中國證監(jiān)會和武漢鋼鐵(集團(tuán))公司選取了相關(guān)單位,對國際上通用的,也是已經(jīng)列入國家標(biāo)準(zhǔn)制、修訂計(jì)劃的兩個(gè)信息安全管理標(biāo)準(zhǔn),即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規(guī)則》,組織了應(yīng)用試點(diǎn)。

北京市海淀區(qū)信息辦張澤根主任在具體介紹北京市海淀區(qū)信息安全管理體系實(shí)踐經(jīng)驗(yàn)時(shí),感觸最深的就是在參考國際標(biāo)準(zhǔn)ISO/IEC27001和ISO/IEC17799的基礎(chǔ)上,結(jié)合海淀區(qū)原有ISO9001管理體系,取得了事半功倍的實(shí)際效果。通過ISMS的運(yùn)行實(shí)踐,海淀區(qū)信息辦建立了信息安全管理體系,為進(jìn)一步通過ISO/IEC27001認(rèn)證做了很好的準(zhǔn)備,同時(shí)還對ISMS與風(fēng)險(xiǎn)評估和等級保護(hù)的關(guān)系進(jìn)行了有益的探索。ISMS為解決海淀區(qū)信息安全問題,提供了良好的方法和管理機(jī)制,并且為政府的信息化建設(shè)通過避免安全事故和合理分配經(jīng)費(fèi)兩種方式很好地節(jié)約了建設(shè)經(jīng)費(fèi)。

在ISMS項(xiàng)目試點(diǎn)實(shí)施前,深交所ISMS項(xiàng)目組就確定了項(xiàng)目實(shí)施不能流于形式的總體工作思路。深交所ISMS項(xiàng)目組張興東介紹經(jīng)驗(yàn)時(shí),認(rèn)為除了利用技術(shù)調(diào)查手段之外,還需要深入各個(gè)層面調(diào)研,充分了解深交所的信息安全現(xiàn)狀,利用多種方法相互補(bǔ)充、相互印證,以提高調(diào)查質(zhì)量,為項(xiàng)目后期的實(shí)施打下良好的基礎(chǔ)。

篇6

1計(jì)算機(jī)網(wǎng)絡(luò)的概述計(jì)

算機(jī)網(wǎng)絡(luò),是指將地理位置不同的具有獨(dú)立功能的多臺計(jì)算機(jī)及其外部設(shè)備,通過通信線路連接起來,在網(wǎng)絡(luò)操作系統(tǒng),網(wǎng)絡(luò)管理軟件及網(wǎng)絡(luò)通信協(xié)議的管理和協(xié)調(diào)下,實(shí)現(xiàn)資源共享和信息傳遞的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。最龐大的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)就是因特網(wǎng),它由非常多的計(jì)算機(jī)網(wǎng)絡(luò)通過許多路由器互聯(lián)而成,因此因特網(wǎng)也稱為“國際互聯(lián)網(wǎng)”。計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)用非常廣泛,運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)可以實(shí)現(xiàn)資源信息的共享,如利用計(jì)算機(jī)網(wǎng)絡(luò)可以使不擁有大型計(jì)算機(jī)的用戶通過網(wǎng)絡(luò)使用大型機(jī)的打印機(jī)、掃描儀、繪圖儀等資源;通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)可將分散在各地的計(jì)算機(jī)中的數(shù)據(jù)信息收集起來,進(jìn)行綜合分析處理,并把分析結(jié)果反饋給相關(guān)的各個(gè)計(jì)算機(jī)中,使數(shù)據(jù)信息得到充分共享。利用計(jì)算機(jī)網(wǎng)絡(luò)還可以實(shí)現(xiàn)數(shù)據(jù)通信。通過網(wǎng)絡(luò)上的文件服務(wù)器交換信息和報(bào)文、收發(fā)電子郵件、相互協(xié)同工作等。

2計(jì)算機(jī)網(wǎng)絡(luò)信息安全的概述

計(jì)算機(jī)網(wǎng)絡(luò)信息安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)信息的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)信息安全包括兩個(gè)方面,即物理層安全和邏輯層安全。物理層安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù),免于破壞、丟失等。邏輯層的安全包括信息的完整性、保密性和可用性。計(jì)算機(jī)網(wǎng)絡(luò)信息安全就是網(wǎng)絡(luò)上的信息數(shù)據(jù)安全。從廣義上說,凡是涉及到網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。一般認(rèn)為,網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不被中斷。從安全屬性來看,網(wǎng)絡(luò)安全包括5個(gè)基本要素:a.保密性。指信息不泄露給非授權(quán)的用戶、實(shí)體或過程,或供其利用的特性。b.完整性。指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性,即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。c.可用性。是指可被授權(quán)實(shí)體訪問,并按需求使用的特性,即當(dāng)需要時(shí)應(yīng)能存取所需的信息。d.可控性。指對信息的傳播及內(nèi)容具有控制能力,保障系統(tǒng)依據(jù)授權(quán)提供服務(wù),使系統(tǒng)任何時(shí)候不被非授權(quán)人使用,對黑客入侵、口令攻擊、用戶權(quán)限非法提升、資源非法使用等采取防范措施。

3影響計(jì)算機(jī)網(wǎng)絡(luò)信息安全的主要因素

3.1缺乏自主的計(jì)算機(jī)網(wǎng)絡(luò)和軟件核心技術(shù)。我國信息化建設(shè)過程中缺乏自主技術(shù)支撐。計(jì)算機(jī)安全存在三大黑洞:CPU芯片、操作系統(tǒng)和數(shù)據(jù)庫、網(wǎng)關(guān)軟件大多依賴進(jìn)口。我國計(jì)算機(jī)網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上是舶來品,這些因素使我國計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性能大大降低,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國的網(wǎng)絡(luò)信息處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)信息安全處于極脆弱的狀態(tài)。

3.2缺乏完整的安全評估系統(tǒng)。完整準(zhǔn)確的安全評估是黑客入侵防范體系的基礎(chǔ)。它對現(xiàn)有或?qū)⒁獦?gòu)建的整個(gè)網(wǎng)絡(luò)信息的安全防范能做出科學(xué)、準(zhǔn)確的分析評估,并保障將要實(shí)施的安全策略技術(shù)上的可實(shí)現(xiàn)性、經(jīng)濟(jì)上的可行性和組織上的可執(zhí)行性。網(wǎng)絡(luò)信息安全評估分析就是對網(wǎng)絡(luò)進(jìn)行檢查,查找其中是否有可被黑客利用的漏洞,對系統(tǒng)安全狀況進(jìn)行評估、分析,并對發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡(luò)信息系統(tǒng)安全性能的過程。

3.3缺乏制度化的防范機(jī)制。不少企事業(yè)單位沒有從管理制度上建立相應(yīng)的安全防范機(jī)制,在整個(gè)運(yùn)行過程中,缺乏行之有效的安全檢查和應(yīng)對保護(hù)制度。不完善的制度滋長了網(wǎng)絡(luò)管理者和內(nèi)部人士自身的違法行為。許多網(wǎng)絡(luò)犯罪行為(尤其是非法操作)都是因?yàn)閮?nèi)部聯(lián)網(wǎng)電腦和系統(tǒng)管理制度疏于管理而得逞的。同時(shí),政策法規(guī)難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要,信息立法還存在相當(dāng)多的空白。個(gè)人隱私保護(hù)法、數(shù)據(jù)庫保護(hù)法、數(shù)字媒體法、數(shù)字簽名認(rèn)證法、計(jì)算機(jī)犯罪法以及計(jì)算機(jī)安全監(jiān)管法等信息空間正常運(yùn)作所需的配套法規(guī)尚不健全。由于網(wǎng)絡(luò)作案手段新、時(shí)間短、不留痕跡等特點(diǎn),給偵破和審理網(wǎng)上犯罪案件帶來極大困難。

3.4缺乏安全意識。日常人們利用網(wǎng)絡(luò)主要用于學(xué)習(xí)、工作和娛樂,對網(wǎng)絡(luò)信息的安全的認(rèn)識不夠。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障,但是這些保護(hù)措施在很大程度上形同虛設(shè)。與此同時(shí),網(wǎng)絡(luò)經(jīng)營者和機(jī)構(gòu)用戶注重的是網(wǎng)絡(luò)效應(yīng),對安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求。

4計(jì)算機(jī)網(wǎng)絡(luò)信息安全的防范對策

4.1加強(qiáng)對計(jì)算機(jī)網(wǎng)絡(luò)信息安全的管理。計(jì)算機(jī)安全管理包括對計(jì)算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計(jì)算機(jī)的管理功能、加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強(qiáng)計(jì)算機(jī)安全管理、加強(qiáng)用戶的法律、法規(guī)和道德觀念,提高計(jì)算機(jī)用戶的安全意識,對防止計(jì)算機(jī)犯罪、抵制黑客攻擊和防止計(jì)算機(jī)病毒干擾,是十分重要的措施。

4.2安裝和配置防火墻。安裝和配置防火墻是當(dāng)前一種有效地保護(hù)計(jì)算機(jī)或網(wǎng)絡(luò)的好辦法。利用防火墻,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。

4.3經(jīng)常更新軟件。為了保護(hù)計(jì)算機(jī)免受來自Internet的侵襲。對計(jì)算機(jī)中的殺毒軟件要經(jīng)常進(jìn)行更新。另外,更新Windows操作系統(tǒng)本身也是很有必要,讓計(jì)算機(jī)軟件處于最新版本對于計(jì)算機(jī)安全大有裨益。

4.4增強(qiáng)網(wǎng)絡(luò)信息安全意識。要增強(qiáng)網(wǎng)絡(luò)信息安全意識,培養(yǎng)良好的使用習(xí)慣,不要輕易下載、使用不了解和存在安全隱患的軟件;或?yàn)g覽一些缺乏可信度的網(wǎng)站(網(wǎng)頁),以免個(gè)人計(jì)算機(jī)受到木馬病毒的侵入而帶來安全隱患。

篇7

 

1 前言

 

隨著信息化發(fā)展速度不斷加快,信息系統(tǒng)用戶規(guī)模不斷擴(kuò)大、需求不斷更新、自動化程度不斷提高,信息系統(tǒng)安全狀況與企業(yè)經(jīng)濟(jì)效益越來越密切,直接影響到企業(yè)的經(jīng)營和形象問題。目前,防火墻、IDS、IPS等安全設(shè)備已經(jīng)得到普遍使用,但是同時(shí)這些設(shè)備產(chǎn)生了海量安全數(shù)據(jù),采用人工分析的方法已經(jīng)無法實(shí)現(xiàn)安全威脅的及時(shí)預(yù)警與處置。另一方面,現(xiàn)有安全設(shè)備之間相對孤立,數(shù)據(jù)沒有得到關(guān)聯(lián)分析和綜合考慮,很難面對當(dāng)今各種利用先進(jìn)手段、高度隱蔽的網(wǎng)絡(luò)攻擊形式。因此,在現(xiàn)有安全手段的基礎(chǔ)上,獲取和分析海量攻擊行為數(shù)據(jù),結(jié)合態(tài)勢感知技術(shù)實(shí)現(xiàn)信息安全行為的準(zhǔn)確定位和智能預(yù)警,在信息安全防護(hù)工作中是非常必要的。

 

2 平臺構(gòu)成

 

信息安全態(tài)勢智能預(yù)警分析平臺由系統(tǒng)數(shù)據(jù)接口、數(shù)據(jù)挖掘與融合技術(shù)、態(tài)勢分析與風(fēng)險(xiǎn)預(yù)警、可視化展示與系統(tǒng)管理六大部分。其中,系統(tǒng)數(shù)據(jù)接口用于查看目前監(jiān)控的設(shè)備及應(yīng)用系統(tǒng);數(shù)據(jù)挖掘與融合提供有效的數(shù)據(jù)分析處理模型和數(shù)據(jù)分析方法;態(tài)勢分析和風(fēng)險(xiǎn)預(yù)警提供當(dāng)前網(wǎng)絡(luò)安全態(tài)勢評估、未來網(wǎng)絡(luò)安全態(tài)勢預(yù)測及響應(yīng)告警功能;可視化展示定義生成各類表單、圖表、報(bào)告、報(bào)表等用戶界面。

 

3 關(guān)鍵技術(shù)

 

3.1 數(shù)據(jù)采集

 

3.1.1 設(shè)備實(shí)時(shí)監(jiān)測數(shù)據(jù)

 

信息安全態(tài)勢智能預(yù)警分析平臺監(jiān)測重要網(wǎng)絡(luò)設(shè)備及服務(wù)器的運(yùn)行狀態(tài),主要對網(wǎng)絡(luò)邊界設(shè)備、核心交換設(shè)備、重要服務(wù)器等進(jìn)行監(jiān)視,獲取CPU、內(nèi)存、網(wǎng)絡(luò)流量等性能或安全參數(shù)信息。通過該系統(tǒng)數(shù)據(jù)接口,可按照單個(gè)設(shè)備、某類設(shè)備、整個(gè)網(wǎng)絡(luò)設(shè)備來獲取相關(guān)設(shè)備數(shù)據(jù)。

 

3.1.2 掃描數(shù)據(jù)

 

采集日常運(yùn)維中掃描數(shù)據(jù),主要包括利用漏洞掃描工具發(fā)現(xiàn)的漏洞、弱口令等安全隱患信息。

 

3.1.3 日志文件數(shù)據(jù)

 

采集重要設(shè)備的日志文件數(shù)據(jù),主要包括網(wǎng)絡(luò)邊界設(shè)備、核心交換設(shè)備、重要服務(wù)器的系統(tǒng)日志、安全日志、應(yīng)用日志及告警日志等。

 

3.1.4 策略配置數(shù)據(jù)

 

采集重要設(shè)備的策略配置數(shù)據(jù),主要包括主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的安全策略配置信息以及策略變更信息等。

 

3.2 數(shù)據(jù)挖掘

 

數(shù)據(jù)挖掘的方法有很多種,其中關(guān)聯(lián)規(guī)則挖掘方法能夠從大量數(shù)據(jù)中挖掘出有價(jià)值描述數(shù)據(jù)項(xiàng)之間相互聯(lián)系的有關(guān)知識,挖掘用戶操作行為之間的關(guān)聯(lián)規(guī)則,反映用戶的操作傾向。

 

現(xiàn)實(shí)中網(wǎng)絡(luò)環(huán)境復(fù)雜,網(wǎng)絡(luò)設(shè)備種類多,影響因素之間相互關(guān)聯(lián)。選取的算法要能有效的對多源異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析并具有自學(xué)習(xí)性,能夠解決決策層的不確定性,不能僅憑專家經(jīng)驗(yàn)確定各指標(biāo)對網(wǎng)絡(luò)安全狀態(tài)的影響程度。在底層使用關(guān)聯(lián)規(guī)則挖掘算法對異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析,使用云模型對異構(gòu)數(shù)據(jù)進(jìn)行融合處理,在決策層使用貝葉斯決策方法進(jìn)行態(tài)勢預(yù)測,較好的解決了態(tài)勢評估的不確定性。

 

3.3 態(tài)勢感知與風(fēng)險(xiǎn)預(yù)警

 

網(wǎng)絡(luò)安全態(tài)勢感知主要對網(wǎng)絡(luò)中部署的各類設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)測,對動態(tài)監(jiān)測數(shù)據(jù)、設(shè)備運(yùn)行日志、脆弱性、策略配置數(shù)據(jù)等進(jìn)行融合分析,對目前網(wǎng)絡(luò)安全狀況進(jìn)行風(fēng)險(xiǎn)評估,同時(shí)也對未來幾天網(wǎng)絡(luò)安全狀況進(jìn)行預(yù)測。

 

安全風(fēng)險(xiǎn)預(yù)警實(shí)現(xiàn)各類安全隱患的報(bào)警功能。借助安全態(tài)勢感知功能對各類數(shù)據(jù)綜合分析,提出信息安全風(fēng)險(xiǎn)的來源分布以及風(fēng)險(xiǎn)可能帶來的危害,及時(shí)的對信息安全隱患或風(fēng)險(xiǎn)進(jìn)行報(bào)警。

 

3.3.1 網(wǎng)絡(luò)實(shí)時(shí)狀況警報(bào)

 

實(shí)現(xiàn)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件等的實(shí)時(shí)運(yùn)行狀態(tài)進(jìn)行監(jiān)控,并依據(jù)的上下限值提供報(bào)警功能。將告警指標(biāo)和風(fēng)險(xiǎn)處理方法進(jìn)行結(jié)合,實(shí)現(xiàn)在動態(tài)地圖上顯示出來并提供報(bào)警,能夠快速的定位出現(xiàn)問題的設(shè)備。實(shí)現(xiàn)網(wǎng)絡(luò)中關(guān)鍵的硬件設(shè)備配置的監(jiān)控,實(shí)現(xiàn)對硬件的更換、策略的變更的報(bào)警功能。

 

3.3.2 態(tài)勢要素提取

 

態(tài)勢要素提取是態(tài)勢評估與預(yù)測的基礎(chǔ)。讀取核心交換機(jī)、重要業(yè)務(wù)服務(wù)器及信息系統(tǒng)、門戶網(wǎng)站、路由器、IPS、IDS等關(guān)鍵核心接入設(shè)備的配置信息、服務(wù)的狀態(tài)、操作日志、關(guān)鍵性能參數(shù)等。

 

3.3.3 態(tài)勢評估與分析

 

研究信息安全風(fēng)險(xiǎn)評估和分析方法,制定風(fēng)險(xiǎn)評估指標(biāo)體系和評估模型,開展基于多協(xié)議和應(yīng)用的關(guān)聯(lián)分析,識別程序或用戶的惡意行為,追蹤并提供威脅分析。

 

態(tài)勢感知的核心是態(tài)勢評估,是對當(dāng)前安全態(tài)勢的一個(gè)動態(tài)理解過程。識別態(tài)勢信息中的安全事件并確定它們之間的關(guān)聯(lián)關(guān)系,根據(jù)所受到的威脅程度生成相應(yīng)的安全態(tài)勢圖,反映出整個(gè)網(wǎng)絡(luò)的安全態(tài)勢狀況。

 

研究分層次的安全評估模型,以攻擊報(bào)警、掃描結(jié)果和網(wǎng)絡(luò)流量等信息為原始數(shù)據(jù),發(fā)現(xiàn)各關(guān)鍵設(shè)備影響因素的脆弱性或威脅情況,在此基礎(chǔ)上,綜合評估網(wǎng)絡(luò)系統(tǒng)中各關(guān)鍵設(shè)備的安全狀況,再根據(jù)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu),評估多個(gè)局部范圍網(wǎng)絡(luò)的安全態(tài)勢,然后再綜合分析和統(tǒng)計(jì)整個(gè)宏觀網(wǎng)絡(luò)的安全態(tài)勢。

 

3.3.4 態(tài)勢預(yù)測

 

態(tài)勢預(yù)測主要基于各類網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端設(shè)備以及安全設(shè)備的記錄,進(jìn)行關(guān)聯(lián)性分析,給出總體信息安全趨勢。態(tài)勢預(yù)測數(shù)據(jù)的來源包括用戶數(shù)據(jù)的輸入和監(jiān)測到歷史數(shù)據(jù)和實(shí)時(shí)數(shù)據(jù)。

 

3.3.5 響應(yīng)與報(bào)警

 

針對存在的威脅事件、預(yù)知的安全風(fēng)險(xiǎn)以及信息系統(tǒng)故障等進(jìn)行報(bào)警,并提供解決的建議。利用數(shù)據(jù)挖掘與融合技術(shù)處理歷史數(shù)據(jù)和監(jiān)測數(shù)據(jù),經(jīng)過網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測分析,對潛在安全風(fēng)險(xiǎn)進(jìn)行分析預(yù)測,輸出預(yù)警信息。

 

3.4 可視化展示

 

根據(jù)用戶的不同需求,定義不同的功能視圖,實(shí)現(xiàn)多樣化、多元化的展示方式,包括漏洞、弱口令、病毒感染、違規(guī)外聯(lián)、威脅報(bào)警等信息。

 

4 結(jié)語

 

通過信息安全態(tài)勢感知與智能預(yù)警平臺,利用大數(shù)據(jù)技術(shù)將現(xiàn)有各類監(jiān)測數(shù)據(jù)、日志數(shù)據(jù)、掃描數(shù)據(jù)等進(jìn)行有效整合,能自動識別未知的新型攻擊、縮短事件響應(yīng)時(shí)間并提高提高人員工作效率,為實(shí)時(shí)掌握網(wǎng)絡(luò)整體安全狀態(tài)和變化趨勢提供了基礎(chǔ),從而提升企業(yè)信息安全主動防御能力。

篇8

【關(guān)鍵詞】信息系統(tǒng) 安全風(fēng)險(xiǎn)評估 定性 定量

隨著社會經(jīng)濟(jì)快速發(fā)展,信息傳遞無論是速度還是容量均不斷創(chuàng)造新的高度。信息傳遞方式與人們的生活、工作、學(xué)習(xí)息息相關(guān)。信息產(chǎn)業(yè)發(fā)展蒸蒸日上,建立在信息技術(shù)基礎(chǔ)上的信息系統(tǒng)存在一定風(fēng)險(xiǎn),易受到黑客攻擊,且信息系統(tǒng)充斥各種病毒,系統(tǒng)運(yùn)行過程存在一定風(fēng)險(xiǎn)?;诖吮仨氉龊眯畔⑾到y(tǒng)安全建設(shè),進(jìn)行安全風(fēng)險(xiǎn)評估,奠定安全基礎(chǔ)。

1 風(fēng)險(xiǎn)評估概述

互聯(lián)網(wǎng)快速發(fā)展極大提高人們的生活、工作、學(xué)習(xí)效率,與此同時(shí)發(fā)來一系列安全隱患。人們通過互聯(lián)網(wǎng)可實(shí)現(xiàn)信息有效獲取,信息傳遞過程中仍舊可能出現(xiàn)信息被第三方截取情況,信息保密性、完整性、可靠性等均收到影響。網(wǎng)絡(luò)環(huán)境雖然方便信息處理方式,但也帶來一系列安全隱患。

從信息安全角度而言,風(fēng)險(xiǎn)評估就是對信息系統(tǒng)自身存在的的種種弱點(diǎn)進(jìn)行分析,判斷可能存在的威脅、可能造成的影響等。綜合風(fēng)險(xiǎn)可能性,便于更好展開風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)評估是研究信息安全的重要途徑之一,屬于組織信息安全管理體系策劃過程。

風(fēng)險(xiǎn)評估主要內(nèi)容包括:識別信息系統(tǒng)可能面對的各種風(fēng)險(xiǎn)、風(fēng)險(xiǎn)出現(xiàn)的概率、風(fēng)險(xiǎn)可能導(dǎo)致的后果、風(fēng)險(xiǎn)消除策略、風(fēng)險(xiǎn)控制策略等。信息系統(tǒng)構(gòu)成極為復(fù)雜,因此信息系統(tǒng)安全風(fēng)險(xiǎn)評估是一項(xiàng)綜合性工作,其組織架構(gòu)較為繁雜,主要包括技術(shù)體系、組織結(jié)構(gòu)、法律體系、標(biāo)準(zhǔn)體系、業(yè)務(wù)體系等。

20世紀(jì)八十年代,以美國、加拿大為代表的發(fā)達(dá)國家已建立起風(fēng)險(xiǎn)評估體系。我國風(fēng)險(xiǎn)評估體系建立較晚,至今只有十幾年時(shí)間。目前我國安全風(fēng)險(xiǎn)評估已得到相關(guān)部門高度重視,為其快速發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。

網(wǎng)絡(luò)環(huán)境雖然帶來無窮便利,卻也帶來各種安全隱患?;ヂ?lián)網(wǎng)環(huán)境下信息系統(tǒng)易被黑客攻擊。一切社會因素均與信息系統(tǒng)聯(lián)系在一起,人們生活在同一信息系統(tǒng)下總是希望自身隱私得到保護(hù),因此在建設(shè)信息系統(tǒng)是必須做好信息安全風(fēng)險(xiǎn)評估,規(guī)避信息系統(tǒng)存在的各種風(fēng)險(xiǎn),提高信息系統(tǒng)安全性,讓人們生活在安全信息環(huán)境中。

2 信息安全風(fēng)險(xiǎn)評估方法

網(wǎng)絡(luò)的出現(xiàn)對人們的生活和思維方式帶來極大變革,信息交流更加方便,資源共享程度無限擴(kuò)大,但是網(wǎng)絡(luò)是一個(gè)較為開放的系統(tǒng),對進(jìn)入網(wǎng)絡(luò)系統(tǒng)的人并未有一定約束,因此必然導(dǎo)致安全隱患的出現(xiàn)。隨著信息系統(tǒng)建設(shè)不斷深入,信息系統(tǒng)必將對社會經(jīng)濟(jì)、政治、文化、教育等造成巨大影響?;诖诵枰嵘畔⑾到y(tǒng)安全風(fēng)險(xiǎn)評估合理性,降低安全隱患,讓人們在安全的信息環(huán)境下生活和工作。

2.1 定性評估方法

定性評估是信息安全風(fēng)險(xiǎn)評估使用最頻繁的方法,此法基于評估者通過特有評估方法,總結(jié)經(jīng)驗(yàn)、歷史等無法量化 因素對系統(tǒng)風(fēng)險(xiǎn)進(jìn)行綜合評估,從而得出評估結(jié)果。該中方法更注重安全風(fēng)險(xiǎn)可能導(dǎo)致的后果,忽略安全時(shí)間可能發(fā)生的概率。定性評估中有很多因素?zé)o法量化處理,因此其評估結(jié)果本身就存在一定不確定性,此種評估方法適用于各項(xiàng)數(shù)據(jù)收集不充分情況。

定性評估雖然在概率上無法保障,但可挖掘出一些較為深刻的思想,其結(jié)論主觀性較強(qiáng),可預(yù)判斷一些主觀性結(jié)論。基于此需要評估人員具較高職業(yè)素養(yǎng),不受限與數(shù)據(jù)及經(jīng)驗(yàn)的束縛。典型定性評估方法有邏輯評估法、歷史比較法、德爾菲法。

德爾菲法是定性評估中較為常見評估方法之一,經(jīng)過多輪征詢,將專家的意見進(jìn)行歸結(jié),總結(jié)專家預(yù)測趨勢,從而做出評估,預(yù)測未來市場發(fā)展趨勢,得出預(yù)測結(jié)論。從本質(zhì)上來說,德爾菲法是一種匿名預(yù)測函詢法,其流程為:征求專家匿名意見――對該項(xiàng)數(shù)據(jù)進(jìn)行歸納整理――反饋意見給專家――收集專家意見――…――得出一致意見。德爾菲法是一種循環(huán)往復(fù)的預(yù)測方法可逐漸消除不確定因素,促進(jìn)預(yù)測符合實(shí)際。

2.2 定量評估方法

定量評估與定性評估是相互對立的,此種方法需要建立在一切因素均標(biāo)準(zhǔn)化基礎(chǔ)上。定量評估首先需要收集相關(guān)數(shù)據(jù),且需保證數(shù)據(jù)準(zhǔn)確性,之后利用數(shù)學(xué)方法建立模型,驗(yàn)證各種過程從而得出結(jié)論。定量評估需要準(zhǔn)備充足資料,是一種利用公式進(jìn)行結(jié)果推到的方法。從本質(zhì)上來說定量評估客服定性評估存在的不足,更具備客觀性。定量評估可將復(fù)雜評估過程量化,但該種方法需要建立在準(zhǔn)確數(shù)據(jù)基礎(chǔ)上。定量評估方法主觀性不足,其結(jié)論不夠深刻具體。定量評估方法中具有代表性的方法為故障樹評估法。

故障樹評估法采用邏輯思維進(jìn)行風(fēng)險(xiǎn)評估,其特點(diǎn)是直觀明了,思路清晰。是一種演繹邏輯推理方法,其推理過程由果及因,即在推理中由結(jié)果推到原因,主要運(yùn)用于風(fēng)險(xiǎn)預(yù)測階段,得出風(fēng)險(xiǎn)發(fā)生具體概率,并以此為基礎(chǔ)得出風(fēng)險(xiǎn)控制方法。

2.3 定性評估與定量評結(jié)合綜合評價(jià)方法

由前文可知定性評估和定量評估各自存在優(yōu)缺點(diǎn)。定性評估主觀性較強(qiáng),客觀性不足。定量評估主觀性不足,客觀性較強(qiáng)。因此將二者結(jié)合起來便可起到互補(bǔ)不足的效果。定性評估需要耗費(fèi)少量人力、物力、財(cái)力成本,建立在評估者資質(zhì)基礎(chǔ)上。定量評估運(yùn)用數(shù)學(xué)方法展開工作,預(yù)測結(jié)果較為準(zhǔn)確,邏輯性較強(qiáng),但成本較高。從本質(zhì)上來看,定性為定量的依據(jù),定量是對定性的具體化,因此只有將二者結(jié)合起來才能實(shí)現(xiàn)最佳評估效果。

3 信息安全風(fēng)險(xiǎn)評估過程

信息安全風(fēng)險(xiǎn)評估建立在一定評估標(biāo)準(zhǔn)基礎(chǔ)上,評估標(biāo)準(zhǔn)是評估活動開展的基礎(chǔ)和前提。信息安全風(fēng)險(xiǎn)評估過程需要評估技術(shù)、工具、方法等全面支持,在此基礎(chǔ)上展開全面風(fēng)險(xiǎn)評估,結(jié)合實(shí)際情況選擇合適評估方法。正確的評估方法可提高信息安全風(fēng)險(xiǎn)評估結(jié)果準(zhǔn)確性,這就要求評估過程中需建立正確評估方法,克服評估過程存在的不足,從而取得最佳結(jié)果。

4 結(jié)束語

當(dāng)今信息系統(tǒng)不斷發(fā)展完善,為保證信息系統(tǒng)運(yùn)行環(huán)境的安全性必須對信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估。信息安全風(fēng)險(xiǎn)評估具有多種方法,實(shí)際評估中應(yīng)該結(jié)合實(shí)際情況選擇合適方法,提高信息安全風(fēng)險(xiǎn)評估結(jié)果準(zhǔn)確性,為建立安全信息環(huán)境奠定堅(jiān)實(shí)基礎(chǔ)。

參考文獻(xiàn)

[1]應(yīng)力.信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)與方法綜述[J].上海標(biāo)準(zhǔn)化,2014(05):34-39.

[2]張玉清.信息安全風(fēng)險(xiǎn)評估綜述[J].通信學(xué)報(bào),2015(02):45-53.

[3]溫大順.信息安全風(fēng)險(xiǎn)評估綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013(01):16-25.

篇9

關(guān)鍵詞:網(wǎng)絡(luò)環(huán)境;會計(jì)信息安全;技術(shù)控制

中圖分類號:F232文獻(xiàn)標(biāo)識碼:A文章編號:1009-2374(2009)10-0101-02

在現(xiàn)代科技高速發(fā)展,信息技術(shù)廣泛應(yīng)用的今天,會計(jì)信息處理適時(shí)化、便捷化和無紙化,大大加快了會計(jì)信息流通的效率。但在網(wǎng)絡(luò)環(huán)境下會計(jì)信息存在安全問題, 而僅憑安裝殺毒軟件是不可能完全解決的,因此,要對會計(jì)信息進(jìn)行深入研究,采取有效的技術(shù)控制措施,以確保會計(jì)信息的安全。

一、會計(jì)信息安全

ISO17799從不同的角度給出信息安全的定義。從功能的角度:信息安全就是保護(hù)信息免受各種威脅的損害,以確保業(yè)務(wù)連續(xù)性,使業(yè)務(wù)風(fēng)險(xiǎn)最小化,并使投資回報(bào)和商業(yè)機(jī)遇最大化。從實(shí)現(xiàn)方式的角度:信息安全通過實(shí)施一組適當(dāng)?shù)目刂拼胧┒_(dá)到,包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。在必要的位置,需要建立、實(shí)施、監(jiān)視、審核和改進(jìn)這些控制措施,以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo),這些工作應(yīng)與其他業(yè)務(wù)管理過程結(jié)合起來進(jìn)行。

然而目前,我國對會計(jì)信息安全還沒有統(tǒng)一的定義。一般來說,會計(jì)信息安全是指會計(jì)信息具有可靠性、穩(wěn)定性、保密性、完整性和準(zhǔn)確性的狀態(tài),它來自于會計(jì)數(shù)據(jù)的完整和會計(jì)數(shù)據(jù)的安全,為會計(jì)信息的提供者以及投資者、債權(quán)人提供良好的信息傳遞渠道。

二、網(wǎng)絡(luò)環(huán)境下會計(jì)信息的威脅

網(wǎng)絡(luò)是把雙刃劍,它既為信息使用者傳遞信息提供便利條件,又給攻擊者(如:敵對國家、黑客、、有組織犯罪、商業(yè)競爭對手、心懷不滿的員工等)提供盜取、篡改、損壞機(jī)密會計(jì)信息的途徑。有時(shí)粗心或缺乏訓(xùn)練的員工也給會計(jì)信息造成威脅。網(wǎng)絡(luò)環(huán)境下會計(jì)信息的威脅歸納為如下:

(一)攻擊者的動機(jī)

攻擊者的動機(jī)分為惡意動機(jī)和非惡意動機(jī)。

惡意的動機(jī):為獲取商業(yè)、軍事或個(gè)人情報(bào),跟蹤或監(jiān)視目標(biāo)系統(tǒng)的運(yùn)行,擾亂目標(biāo)的運(yùn)行,竊取錢財(cái)或服務(wù),免費(fèi)使用資源,打敗安全機(jī)制的技術(shù)挑戰(zhàn)。

非惡意的動機(jī):意外損壞網(wǎng)絡(luò)。

(二)會計(jì)信息受到攻擊的方式以及造成的后果

1.惡意代碼。(1)人為發(fā)起的越權(quán)和入侵類。許多系統(tǒng)都有這樣那樣的安全漏洞,攻擊者沒被授權(quán)利用系統(tǒng)的漏洞闖入會計(jì)信息系統(tǒng)對會計(jì)信息進(jìn)行修改、刪除等操作使得會計(jì)信息真實(shí)性和完整性受到威脅;(2)計(jì)算機(jī)病毒傳播類。計(jì)算機(jī)病毒是可存儲、可直接或間接執(zhí)行、可隱藏在可執(zhí)行程序和數(shù)據(jù)文件中而不被人發(fā)現(xiàn),觸發(fā)后可獲取系統(tǒng)控制的一段可執(zhí)行程序。病毒可以使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失,具體的有蠕蟲、特洛伊木馬、發(fā)起的拒絕服務(wù)攻擊等。

2.違規(guī)操作。由于會計(jì)人員誤操作或操作人員的概念模糊,將有價(jià)值的會計(jì)信息會被更改、丟失甚至銷毀。

3.物理問題。(1)設(shè)備故障:計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路出現(xiàn)故障導(dǎo)致會計(jì)信息出錯(cuò),甚至丟失;(2)自然災(zāi)害、環(huán)境事故:據(jù)有關(guān)方面調(diào)查,我國不少計(jì)算機(jī)機(jī)房沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施,接地系統(tǒng)疏于周到考慮,抵御自然災(zāi)害和意外事故的能力較差,因斷電而造成設(shè)備損壞、會計(jì)數(shù)據(jù)丟失的現(xiàn)象屢見不鮮。

為解決會計(jì)信息面臨的攻擊和威脅,全面安全地解決會計(jì)信息安全問題是非常重要的。因此,需要制定有關(guān)技術(shù)性安全措施,包括構(gòu)建適應(yīng)網(wǎng)絡(luò)發(fā)展的會計(jì)信息安全體系,對會計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的評估,制定事件應(yīng)急處理體系等。

三、技術(shù)控制措施

(一)常規(guī)的會計(jì)信息安全控制技術(shù)

1.針對惡意代碼的技術(shù)防范。會計(jì)信息加密的目的是保護(hù)系統(tǒng)內(nèi)的會計(jì)數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。通過加密,不但可以防止非授權(quán)用戶的搭線竊聽和進(jìn)入,而且也是對付假冒、篡改和惡意攻擊行為的有效方法。

防火墻是保護(hù)企業(yè)網(wǎng)絡(luò)會計(jì)信息安全的主要機(jī)制。它能對流經(jīng)的網(wǎng)絡(luò)通信進(jìn)行掃描,過濾掉一些攻擊。防火墻是架構(gòu)在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的通信控制設(shè)施, 對雙向的訪問數(shù)據(jù)流實(shí)施逐一檢查,允許符合企業(yè)安全政策的訪問,攔截可能危害企業(yè)網(wǎng)絡(luò)安全的訪問,從而對企業(yè)內(nèi)部網(wǎng)上敏感數(shù)據(jù)資源或服務(wù)加以保護(hù)。

防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅,但對網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力,這時(shí)企業(yè)要依靠入侵檢測系統(tǒng)(如IDS),動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時(shí)的響應(yīng)。攻擊者在入侵時(shí)常常會掃描你的計(jì)算機(jī)端口,如果安裝了端口監(jiān)視程序(如Netwatch),該監(jiān)視程序則會有警告提示。修補(bǔ)系統(tǒng)漏洞對會計(jì)信息系統(tǒng)的安全同樣起著重要作用,操作系統(tǒng)本身存在的漏洞極容易引起黑客的攻擊,從而導(dǎo)致系統(tǒng)的崩潰和數(shù)據(jù)的丟失,因此要及時(shí)修補(bǔ)系統(tǒng)漏洞。

2.針對違規(guī)操作的安全措施。企業(yè)應(yīng)定期進(jìn)行安全審計(jì),其目的是發(fā)現(xiàn)系統(tǒng)或用戶行為中的入侵或異常行為,系統(tǒng)可以創(chuàng)建用戶在系統(tǒng)中活動的事件記錄,通過這些記錄檢查不平?;蚩梢傻男袨?。計(jì)算機(jī)審計(jì)要求內(nèi)部審計(jì)人員和注冊會計(jì)師審計(jì)人員不僅了解會計(jì)信息舞弊原理還要懂得企業(yè)信息系統(tǒng)的運(yùn)行機(jī)制,慎用共享軟件。

3.針對物理問題的安全措施。由于計(jì)算機(jī)物理問題導(dǎo)致會計(jì)信息存在安全隱患不容忽視,為確保會計(jì)信息安全,筆者提出以下建議:(1)確保物理網(wǎng)絡(luò)安全,做好數(shù)據(jù)的備份工作防止信息丟失造成的損失。企業(yè)應(yīng)當(dāng)建立數(shù)據(jù)信息定期備份制度和數(shù)據(jù)批處理或?qū)崟r(shí)處理的處理前自動備份制度。并在備份完畢后,將備份介質(zhì)異地保存;(2)為防范因?yàn)槲锢斫橘|(zhì)、信號輻射等造成的安全風(fēng)險(xiǎn),采用防火墻、IDS等設(shè)備對網(wǎng)絡(luò)安全進(jìn)行防護(hù);(3)企業(yè)應(yīng)當(dāng)將計(jì)算機(jī)硬件設(shè)備放置在合適的物理環(huán)境中,由專人負(fù)責(zé)管理和檢查,其他任何人未經(jīng)授權(quán)不得接觸計(jì)算機(jī)信息系統(tǒng)硬件設(shè)備。對于主要系統(tǒng)服務(wù)器應(yīng)當(dāng)配備不中斷電源供給設(shè)備。另外,企業(yè)應(yīng)編制完整、具體的災(zāi)難恢復(fù)計(jì)劃。同時(shí)應(yīng)當(dāng)定期檢測、及時(shí)修正該計(jì)劃;(4)企業(yè)應(yīng)當(dāng)指定專人負(fù)責(zé)信息化會計(jì)檔案的管理,做好防消磁、防火、防潮和防塵等工作。對于存儲介質(zhì)保存的會計(jì)檔案,應(yīng)當(dāng)定期檢查,防止由于介質(zhì)損壞而使會計(jì)檔案丟失。

(二)構(gòu)建基于網(wǎng)絡(luò)環(huán)境下的會計(jì)信息安全體系

網(wǎng)絡(luò)環(huán)境下的會計(jì)信息系統(tǒng),是在互聯(lián)網(wǎng)環(huán)境下對各種交易中的會計(jì)事項(xiàng)進(jìn)行確認(rèn)、計(jì)量和披露的會計(jì)活動,能夠?qū)崿F(xiàn)企業(yè)財(cái)務(wù)與業(yè)務(wù)的協(xié)同、遠(yuǎn)程報(bào)賬、查賬、報(bào)送報(bào)表、審計(jì)、網(wǎng)上交易等遠(yuǎn)程處理,支持電子單據(jù)與電子貨幣,實(shí)現(xiàn)動態(tài)會計(jì)核算。

1.基于網(wǎng)絡(luò)環(huán)境下的會計(jì)信息系統(tǒng)安全體系的框架。通常情況下的會計(jì)信息系統(tǒng)結(jié)構(gòu)如下圖所示:

構(gòu)建基于網(wǎng)絡(luò)環(huán)境下的會計(jì)信息系統(tǒng),需要在會計(jì)信息源、內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)傳輸之間、會計(jì)信息輸出等環(huán)節(jié)確保安全。有如下幾種具體實(shí)施方案:(1)在會計(jì)信息輸入環(huán)節(jié),由于要將紙質(zhì)憑證進(jìn)行電子化處理,需要根據(jù)企業(yè)的實(shí)際情況制定一套規(guī)范準(zhǔn)則對紙質(zhì)憑證電子化處理,同時(shí)還要在進(jìn)入輸入節(jié)點(diǎn)前加上識別的功能,保證輸入源的會計(jì)信息準(zhǔn)確無誤;(2)通過外網(wǎng)將會計(jì)信息傳遞到內(nèi)網(wǎng)環(huán)節(jié),需要在保證正確的同時(shí)防止信息的披露,還需要對會計(jì)信息輸入人員進(jìn)行培訓(xùn)與監(jiān)督,以防人為故意破壞或輸入虛假錯(cuò)誤的會計(jì)信息,因此有必要制定一個(gè)嚴(yán)格完善的會計(jì)信息安全管理制度;(3)企業(yè)內(nèi)部會計(jì)信息系統(tǒng)的安全處理。由于其承載的大量企業(yè)內(nèi)部重要數(shù)據(jù),需要對日常業(yè)務(wù)信息進(jìn)行全稱追蹤,對涉及金額大的業(yè)務(wù)單獨(dú)處理,建立嚴(yán)格的復(fù)核制度,保證數(shù)據(jù)安全處理并對其過程及結(jié)果進(jìn)行安全備份;(4)會計(jì)信息的輸出。網(wǎng)絡(luò)環(huán)境下的會計(jì)信息輸出形式有了更多的選擇。一方面可以采用傳統(tǒng)的紙質(zhì)文件形式進(jìn)行輸出,另一方面通過網(wǎng)絡(luò)進(jìn)行。但都需要對其安全性進(jìn)行審查,以防涉及企業(yè)機(jī)密信息通過網(wǎng)絡(luò)泄露。

2.會計(jì)信息系統(tǒng)安全體系的風(fēng)險(xiǎn)評估。會計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的評估概括起來說共有三種評估方法:定量的風(fēng)險(xiǎn)評估方法、定性的風(fēng)險(xiǎn)評估方法、定性與定量相結(jié)合的風(fēng)險(xiǎn)評估方法。

定量風(fēng)險(xiǎn)評估方法運(yùn)用數(shù)量指標(biāo)來對風(fēng)險(xiǎn)進(jìn)行評估。用因子分析法、聚類分析法、時(shí)序模型、回歸模型、等風(fēng)險(xiǎn)圖法、決策樹法等。

定性風(fēng)險(xiǎn)評估方法依據(jù)研究者的知識、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過程。主要以與調(diào)查對象的深入訪談做出個(gè)案記錄為基本資料,通過一個(gè)理論推導(dǎo)演繹的分析框架,對資料進(jìn)行編碼整理,在此基礎(chǔ)上做出調(diào)查結(jié)論。典型的分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。

定性與定量相結(jié)合的風(fēng)險(xiǎn)評估方法是一個(gè)復(fù)雜的過程,考慮的因素較多,定性分析是定量分析的基礎(chǔ)和前提,定量分析應(yīng)建立在定性分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律。

通過技術(shù)手段(如漏洞掃描、入侵檢測)來維護(hù)會計(jì)信息系統(tǒng)的安全常見的風(fēng)險(xiǎn)評估工具有:(1)SAFESuite套件,它由Internet掃描器、系統(tǒng)掃描器、數(shù)據(jù)庫掃描器、實(shí)時(shí)監(jiān)控和SAFESuite套件決策軟件構(gòu)成,是一個(gè)完整的信息系統(tǒng)評估系統(tǒng);(2)WebTrends Security Analyzer套件主要針對Web站點(diǎn)安全的檢測和分析軟件;(3)Cobra是進(jìn)行風(fēng)險(xiǎn)分析的工具軟件,其中也包括促進(jìn)安全策略執(zhí)行、外部安全標(biāo)準(zhǔn)評定的功能模塊。

3.會計(jì)事件管理體系、應(yīng)急處理體系。會計(jì)事件管理體系、應(yīng)急處理體系是對評估結(jié)果后對系統(tǒng)的改進(jìn),對會計(jì)信息安全遭到破壞后的及時(shí)應(yīng)對方案等。

目前常用的事件管理體系、應(yīng)急體系有:可信認(rèn)證方法、口令字認(rèn)證協(xié)議、基于動態(tài)一次性口令協(xié)議、基于預(yù)共享秘密的挑戰(zhàn)應(yīng)答協(xié)議、基于公鑰體制的認(rèn)證協(xié)議、基于地址的認(rèn)證機(jī)制、基于個(gè)人特征的認(rèn)證機(jī)制、互認(rèn)證協(xié)議和維持認(rèn)證等。

總之,網(wǎng)絡(luò)環(huán)境下會計(jì)信息的安全問題日益受到人們的關(guān)注,本文僅粗略地發(fā)表階段性見解,會計(jì)信息安全的技術(shù)控制措施還需要更加深入的研究。

參考文獻(xiàn)

[1]祁玉峽.網(wǎng)絡(luò)環(huán)境下會計(jì)信息系統(tǒng)的安全問題及管理措施[J].科學(xué)理財(cái),2007,(2).

[2]程楠.網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全問題與對策[J].科技資訊,2006,(2).

[3]潘婧.網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)及防范措施[J].財(cái)會研究,2008,(2).

[4]陳克非,黃征.信息安全技術(shù)導(dǎo)論[M].電子工業(yè)出版社,2007.

[5]遼寧省財(cái)政廳.關(guān)于征求《企業(yè)內(nèi)部控制評價(jià)指引》等配套文件意見的通知.遼財(cái)會函[2008]293號.

篇10

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進(jìn),我校信息化建設(shè)初具規(guī)模,軟硬件設(shè)備配備完成,運(yùn)行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚,承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達(dá)20余人;針對重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段,保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運(yùn)行,具備了基本的安全防護(hù)能力|6];日常運(yùn)行管理規(guī)范,按照信息基礎(chǔ)設(shè)施運(yùn)行操作流程和管理對象的不同,確定了網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障管理的角色和崗位,初步建立了問題處理的應(yīng)急響應(yīng)機(jī)制。由網(wǎng)絡(luò)中心進(jìn)行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng),即網(wǎng)絡(luò)通信平臺、認(rèn)證計(jì)費(fèi)系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺是大學(xué)各大業(yè)務(wù)平臺的基礎(chǔ)核心,是整個(gè)校園網(wǎng)的基礎(chǔ),其他應(yīng)用系統(tǒng)都運(yùn)行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計(jì)費(fèi)系統(tǒng)是針對用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計(jì)費(fèi)的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上,主要實(shí)現(xiàn)學(xué)生校園卡消費(fèi)管理,校園卡與大學(xué)網(wǎng)絡(luò)有3個(gè)物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng),系統(tǒng)中存儲著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù),目前郵件系統(tǒng)注冊用1.2面臨的主要問題

 

通過等級保護(hù)差距分析和風(fēng)險(xiǎn)評估,目前大學(xué)所面臨的信息安全風(fēng)險(xiǎn)和主要問題如下:

 

(1)高校領(lǐng)域沒有總體安全標(biāo)準(zhǔn)指引,方向不明確,缺少主線。

 

(2)對國際國內(nèi)信息安全法律法規(guī)缺乏深刻意識和認(rèn)識。

 

(3)信息安全機(jī)構(gòu)不完善,缺乏總體安全方針與策略,職責(zé)不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大,管理復(fù)雜,人員安全意識相對薄弱,日常安全問題多。

 

()建設(shè)投資和投入有限,運(yùn)維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對松散,缺乏安全監(jiān)管及檢查機(jī)制,無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃,難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運(yùn)行管理手段,無法提高安全運(yùn)維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護(hù),分級分域、強(qiáng)化控制,保障核心、提升管理,支撐應(yīng)用、規(guī)范運(yùn)維。

 

依據(jù)這一總體原則,我們的信息安全體系建設(shè)工作以風(fēng)險(xiǎn)評估為起點(diǎn),以安全體系為核心,通過對安全工作生命周期的理解從風(fēng)險(xiǎn)評估、安全體系規(guī)劃著手,并以解決方案和策略設(shè)計(jì)落實(shí)安全體系的各個(gè)環(huán)節(jié),在建設(shè)過程中逐步完善安全體系,以安全體系運(yùn)行維護(hù)和管理的過程等全面滿足安全工作各個(gè)層面的安全需求,最終達(dá)到全面、持續(xù)、突出重點(diǎn)的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(征求意見稿),并吸納了IATF模型[7]中“深度防護(hù)戰(zhàn)略,,理論,強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4個(gè)核心原則,重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個(gè)層次的安全防護(hù),構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系,并通過安全運(yùn)維服務(wù)和itsm[8]集中運(yùn)維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐),形成了集風(fēng)險(xiǎn)評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)(見圖2),從而實(shí)現(xiàn)并覆蓋了等級保護(hù)基本要求中對網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求,以滿足信息系統(tǒng)全方位的安全保護(hù)需求。

 

(1)安全策略:明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等,是信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織:是信息安全體系框架中最重要的

 

各級組織間的工作職責(zé),覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理3個(gè)部分。

 

(3)安全運(yùn)行:是信息安全體系框架中最重要的安全管理策略之一,是維持信息系統(tǒng)持續(xù)運(yùn)行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過程和人員的操作執(zhí)行,該部分以國家等級保護(hù)制度為依據(jù),覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理2個(gè)部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā),落實(shí)學(xué)校組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施的實(shí)現(xiàn),是對各個(gè)防護(hù)對象進(jìn)行有效地技術(shù)措施保護(hù)。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制,針對未授權(quán)的訪問或誤用提供自動保護(hù),發(fā)現(xiàn)違背安全策略的行為,并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護(hù)制度為依據(jù),覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層5個(gè)部分。

 

()安全運(yùn)維:安全運(yùn)維服務(wù)體系架構(gòu)共分兩層,實(shí)現(xiàn)人員、技術(shù)、流程三者的完美整合,通過基于ITIL[9]的運(yùn)維管理方法,保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運(yùn)轉(zhuǎn),提升業(yè)務(wù)的可持續(xù)性,從而也體現(xiàn)了安全運(yùn)3重點(diǎn)建設(shè)工作

 

3.1安全滲透測試

 

2009年4月,學(xué)校對38個(gè)網(wǎng)站、2個(gè)關(guān)鍵系統(tǒng)和6臺主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程滲透測評。通過測評,全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況,發(fā)現(xiàn)了20個(gè)高危漏洞,并針對高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險(xiǎn),根據(jù)測評結(jié)果發(fā)現(xiàn)被測系統(tǒng)存在的安全隱患。滲透測試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測評、提升權(quán)限測評、獲取代碼、滲透測評報(bào)告。

 

3.2風(fēng)險(xiǎn)評估和安全加固

 

2009年5月,依據(jù)安全滲透測試結(jié)果,對大學(xué)的六大信息系統(tǒng)進(jìn)行了安全測評。根據(jù)評估結(jié)果得出系統(tǒng)存在的安全問題,并對嚴(yán)重的問題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場檢測、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險(xiǎn)分析。通過風(fēng)險(xiǎn)評估最終得出了威脅的數(shù)量和等級,表1、表2為威脅的數(shù)量和等級統(tǒng)計(jì)。2009年6月和9月,基于風(fēng)險(xiǎn)評估結(jié)果,對涉及到的網(wǎng)絡(luò)設(shè)備(4臺)和主機(jī)設(shè)備(14臺)進(jìn)行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評估和了解整理出符合大學(xué)實(shí)際的安全需求,并結(jié)合實(shí)際業(yè)務(wù)要求,對學(xué)校整體信息系統(tǒng)的安全工作進(jìn)行規(guī)劃和設(shè)計(jì),并通過未來3年的逐步安全建設(shè),滿足學(xué)校的信息安全目標(biāo)及國家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國際國內(nèi)規(guī)范及標(biāo)準(zhǔn),參考業(yè)界的最佳實(shí)踐ISMS[10](信息安全管理體系),結(jié)合我校目前的實(shí)際情況,制定了一套完整、科學(xué)、實(shí)際的信息安全管理體系,制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立,使學(xué)校的組織結(jié)構(gòu)布局更加合理,人員安全意識也明顯提高,從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運(yùn)行,提高了IT服務(wù)質(zhì)量。通過制度、流程、標(biāo)準(zhǔn)及規(guī)范,加強(qiáng)了日常安全工作執(zhí)行能力,提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護(hù)體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級的需求,可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個(gè)層次的安全域:第一層次安全域包括整個(gè)學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括:CA安全區(qū):主要承載CAServer、主從LDAP、數(shù)據(jù)庫、加密機(jī)、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機(jī)等;RA注冊區(qū):主要承載各院所的RA注冊服務(wù)器,為各院所的師生管理提供數(shù)字證書注冊服務(wù)。

 

應(yīng)用安全支撐平臺為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略,使得信息系統(tǒng)建立在一個(gè)穩(wěn)定和高效的應(yīng)用框架上,封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù),并平滑支持業(yè)務(wù)系統(tǒng)的擴(kuò)展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問授權(quán)、統(tǒng)一審計(jì)管理、數(shù)據(jù)安全引擎、單點(diǎn)登錄等功能。

 

4.2安全運(yùn)維體系

 

ITSM集中運(yùn)維管理解決方案面對學(xué)校日益復(fù)雜的IT環(huán)境,整合以往對各類設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理,實(shí)現(xiàn)了對IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運(yùn)維管理理念,達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合,實(shí)現(xiàn)了IT服務(wù)支持過程的標(biāo)準(zhǔn)化、流程化、規(guī)范化,極大地提高了故障應(yīng)急處理能力,提升了信息部門的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求,系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺,以實(shí)現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略,對網(wǎng)內(nèi)所有終端計(jì)算機(jī)上的軟硬件資源、以及計(jì)算機(jī)上的操作行為進(jìn)行有效管理。實(shí)現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強(qiáng)制實(shí)施、終端用戶安全狀態(tài)的集中審計(jì);對用戶事前身份和安全級別的認(rèn)證、事中安全狀態(tài)定期安全檢測,內(nèi)容包括定期的安全風(fēng)險(xiǎn)評估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

4.3安全審計(jì)體系