序言：作為思想的載體和知識(shí)的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇安全信息評(píng)估，期待它們能激發(fā)您的靈感。

篇1

【關(guān)鍵詞】電力企業(yè)；信息安全；風(fēng)險(xiǎn)防御

和諧社會(huì)的發(fā)展是政治、經(jīng)濟(jì)、文化、社會(huì)和生態(tài)多方面合力的結(jié)果，科技的進(jìn)步使得電力企業(yè)意識(shí)到亟需盡快的對(duì)電力系統(tǒng)進(jìn)行革新，從計(jì)劃經(jīng)濟(jì)到市場(chǎng)經(jīng)濟(jì)體制的改革中，電力企業(yè)為了適應(yīng)這樣的變化，加強(qiáng)了對(duì)管理體制的合理改變和生產(chǎn)效率的大步提高，拉開(kāi)了電力系統(tǒng)改革的序幕。安全的信息網(wǎng)絡(luò)系統(tǒng)的構(gòu)建是電力企業(yè)發(fā)展改革過(guò)程中至關(guān)重要的一個(gè)環(huán)節(jié)，有效的將電力企業(yè)的信息安全系統(tǒng)與其管理和考核進(jìn)行有機(jī)結(jié)合，更好的服務(wù)于電力企業(yè)的生產(chǎn)、經(jīng)營(yíng)和管理，電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與防御也就成為了電力企業(yè)在經(jīng)濟(jì)全球化進(jìn)程中亟待重視的問(wèn)題所在。

1 電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

1.1 企業(yè)規(guī)模發(fā)展迅速，信息網(wǎng)絡(luò)安全意識(shí)淡薄

電力資源是我們社會(huì)生活中必不可少的一部分，電力企業(yè)在相對(duì)壟斷的情況下，發(fā)展極其迅速，但在這樣的過(guò)程中，我們可以看到，大多數(shù)電力企業(yè)僅僅對(duì)基礎(chǔ)設(shè)施和簡(jiǎn)單的網(wǎng)絡(luò)構(gòu)建有著重視力度，卻沒(méi)有對(duì)安全信息系統(tǒng)的風(fēng)險(xiǎn)認(rèn)識(shí)足夠，這種情況下必然產(chǎn)生了諸如網(wǎng)絡(luò)安全防御意識(shí)差，對(duì)網(wǎng)絡(luò)信息安全防范的資金投入不足等不良情況的出現(xiàn)。企業(yè)規(guī)模越來(lái)越大，對(duì)企業(yè)安全信息系統(tǒng)的維護(hù)資金投入?yún)s并不高，網(wǎng)絡(luò)安全技術(shù)沒(méi)能及時(shí)加強(qiáng)，電力企業(yè)也就不能很好的抵御網(wǎng)絡(luò)風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)入侵也顯得無(wú)所適從。

1.2 信息化安全資金投入少，管理機(jī)制有待完善

電力企業(yè)對(duì)安全信息網(wǎng)絡(luò)的建設(shè)的重視并不充分，有些電力企業(yè)在管理過(guò)程中對(duì)信息管理部門完全忽視，只是將企業(yè)的網(wǎng)絡(luò)信息安全的管理安排給幾個(gè)技術(shù)員或掛靠到生產(chǎn)技術(shù)部門，電力企業(yè)作為高盈利企業(yè)卻對(duì)信息安全資金投入并不充分，信息化管理制度也很不健全。電力企業(yè)安全信息機(jī)制的構(gòu)建是個(gè)長(zhǎng)期的系統(tǒng)工程，我們必須注意到構(gòu)建專門的信息化部門的重要性，才能在激烈的市場(chǎng)競(jìng)爭(zhēng)中使得電力企業(yè)更好的滿足其發(fā)展體制對(duì)信息化管理的需求。

2 電力企業(yè)安全信息系統(tǒng)的主要問(wèn)題

2.1 信息安全化管理未分區(qū)

國(guó)家電力管理委員會(huì)出臺(tái)的5號(hào)規(guī)定，對(duì)電網(wǎng)企業(yè)、發(fā)電企業(yè)、供電企業(yè)等電力相關(guān)企業(yè)做出了有關(guān)其信息安全網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)構(gòu)建的明確規(guī)定，將這些企業(yè)的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)系統(tǒng)大致分為了管理信息的部分以及生產(chǎn)控制的區(qū)域。信息管理區(qū)域可以依托各個(gè)企業(yè)不同的經(jīng)營(yíng)管理模式對(duì)安全區(qū)進(jìn)行劃分，而生產(chǎn)控制區(qū)域一般來(lái)說(shuō)應(yīng)該由可控制區(qū)和非可控區(qū)兩大部分構(gòu)成。在這樣兩個(gè)大的區(qū)域之間，電力企業(yè)必須在國(guó)家電力監(jiān)測(cè)認(rèn)定部門的監(jiān)督下安裝電力生產(chǎn)專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個(gè)標(biāo)準(zhǔn)對(duì)電力企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理，就經(jīng)常會(huì)出現(xiàn)企業(yè)管理信息大區(qū)部分網(wǎng)絡(luò)直接可以對(duì)生產(chǎn)控制區(qū)域的數(shù)據(jù)進(jìn)行訪問(wèn)，出現(xiàn)網(wǎng)絡(luò)安全事件，影響電力企業(yè)的安全生產(chǎn)和發(fā)展。

2.2 網(wǎng)絡(luò)端口接點(diǎn)存在風(fēng)險(xiǎn)

互聯(lián)網(wǎng)技術(shù)的革新的步伐越來(lái)越快，企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)卻并不牢靠，在部分環(huán)節(jié)仍然十分脆弱，在電力企業(yè)的信息安全網(wǎng)絡(luò)建設(shè)中， Web程序漏洞、系統(tǒng)漏洞不斷出現(xiàn)，對(duì)病毒的侵入無(wú)力抵抗，為黑客、病毒制造者提供了入侵的機(jī)會(huì)，這些信息安全威脅的發(fā)生可能會(huì)引起電力企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的癱瘓和網(wǎng)絡(luò)故障，為企業(yè)造成了這些安全威脅使得企業(yè)利益造成了巨大的損失。在最近的一項(xiàng)調(diào)查數(shù)據(jù)中顯示，電力企業(yè)中遭受到的網(wǎng)絡(luò)安全信息系統(tǒng)威脅中約有70%是由于網(wǎng)絡(luò)系統(tǒng)內(nèi)部的危險(xiǎn)侵襲。這種危害的可能發(fā)現(xiàn)于諸多方面：對(duì)于敏感數(shù)據(jù)的濫用，對(duì)于內(nèi)部員工的信息監(jiān)管不力使得信息泄露都提升了企業(yè)的運(yùn)行風(fēng)險(xiǎn)。

2.3 互聯(lián)網(wǎng)病毒的侵害

從口語(yǔ)傳播時(shí)代到印刷傳播時(shí)代，直至現(xiàn)在的網(wǎng)絡(luò)傳播時(shí)代，互聯(lián)網(wǎng)的高速發(fā)展使得網(wǎng)絡(luò)病毒也迅速得以傳播和擴(kuò)散。諸多的電力企業(yè)網(wǎng)絡(luò)內(nèi)外相連，覆蓋范圍相當(dāng)廣泛，網(wǎng)絡(luò)病毒經(jīng)?？梢杂袡C(jī)可乘，牽一發(fā)而動(dòng)全身，從一臺(tái)電腦的病毒侵害到整個(gè)電力網(wǎng)絡(luò)系統(tǒng)，造成網(wǎng)絡(luò)通信的阻塞，使得整個(gè)系統(tǒng)中的文件和關(guān)鍵數(shù)據(jù)得不到完整的保存，造成不可預(yù)計(jì)的后果。

2.4 信息安全人員防范意識(shí)較低

電力企業(yè)信息防范人員對(duì)信息安全應(yīng)用系統(tǒng)的管理是保障信息網(wǎng)絡(luò)安全系統(tǒng)的重要一部分。數(shù)據(jù)庫(kù)操作系統(tǒng)的規(guī)劃和防范都離不開(kāi)信息安全人員的有力防范，但在如今的電力企業(yè)信息安全系統(tǒng)的管理過(guò)程中，相關(guān)人員防范意識(shí)低下的情況屢屢發(fā)生，由此引發(fā)的網(wǎng)絡(luò)安全漏洞泄露了電力企業(yè)機(jī)密信息，造成了很大的安全隱患，使企業(yè)遭受安全沖擊。用戶的網(wǎng)絡(luò)安全防范意識(shí)低下是現(xiàn)如今網(wǎng)絡(luò)安全的通病，大多數(shù)的用戶都認(rèn)為網(wǎng)絡(luò)自身有著一定的自我安全防范意識(shí)，對(duì)電腦提示的病毒預(yù)警視而不見(jiàn)，電力企業(yè)中也沒(méi)有很好的避免這一點(diǎn)，部分工作人員重技術(shù)輕管理，網(wǎng)絡(luò)安全信息管理機(jī)制的不完善，也給企業(yè)的網(wǎng)絡(luò)帶來(lái)了十分大的管理風(fēng)險(xiǎn)，這就迫切的要求應(yīng)該對(duì)網(wǎng)絡(luò)的安全機(jī)制進(jìn)行完善，也應(yīng)該主動(dòng)自高工作人員自身的安全防范意識(shí)。

3 電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)防御

3.1 防火墻技術(shù)的運(yùn)用

防火墻技術(shù)是現(xiàn)今社會(huì)經(jīng)常用于互聯(lián)網(wǎng)風(fēng)險(xiǎn)防御的重要手段之一，多用于將可信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間相隔開(kāi)來(lái)。電力企業(yè)的生產(chǎn)經(jīng)營(yíng)和管理的過(guò)程中的運(yùn)行調(diào)度中都應(yīng)該加強(qiáng)在安全檢查中對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的關(guān)注，限制對(duì)含帶危險(xiǎn)信息的領(lǐng)域的訪問(wèn)。電力企業(yè)在生產(chǎn)經(jīng)營(yíng)、分散控制和運(yùn)行調(diào)度的過(guò)程中對(duì)防火墻技術(shù)的運(yùn)用有效的將信息的采集、整合和應(yīng)用都限制在可掌控的范圍內(nèi)，在不同的權(quán)限內(nèi)最大限度的合理的運(yùn)用著相關(guān)資源。

3.2 網(wǎng)絡(luò)病毒侵襲的防護(hù)

電力企業(yè)關(guān)系著國(guó)家重要電力資源的開(kāi)發(fā)和應(yīng)用，為了保護(hù)電力資源的安全，必須要從內(nèi)到外的構(gòu)建起全方位的網(wǎng)絡(luò)病毒防侵害系統(tǒng)，更好的對(duì)來(lái)自于各個(gè)方面的病毒信息進(jìn)行防護(hù)。只有提高了企業(yè)的整體安全性，在互聯(lián)網(wǎng)和周邊的局域網(wǎng)內(nèi)都安裝好防病毒侵襲的安全網(wǎng)關(guān)和內(nèi)置的病毒防護(hù)軟件，才能使得電力企業(yè)免受網(wǎng)絡(luò)病毒的侵襲，各個(gè)方面的數(shù)據(jù)得以安全與穩(wěn)定的保存。

在電力企業(yè)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)中，對(duì)接入點(diǎn)客戶的安全策略檢測(cè)和身份認(rèn)證都是必不可少的，若不能通過(guò)檢測(cè)的用戶應(yīng)該被嚴(yán)令禁止在網(wǎng)絡(luò)之外進(jìn)行隔離。無(wú)論是無(wú)線用戶還是有限用戶，都將面對(duì)互聯(lián)網(wǎng)訪問(wèn)客戶端從驗(yàn)證、授權(quán)到阻止未授權(quán)的計(jì)算機(jī)網(wǎng)絡(luò)資源的過(guò)程，只有在一系列的檢測(cè)中得到審核通過(guò)才可以拿到進(jìn)入內(nèi)部網(wǎng)絡(luò)的通行證，網(wǎng)絡(luò)病毒越來(lái)越厲害，愈發(fā)侵入性越強(qiáng)，對(duì)此，電力企業(yè)對(duì)客戶端主機(jī)應(yīng)該進(jìn)行更加嚴(yán)密的考察，不間斷的對(duì)病毒特征信息庫(kù)進(jìn)行更新，維護(hù)好網(wǎng)絡(luò)的完整和安全性。

3.3 虛擬網(wǎng)的數(shù)據(jù)備份技術(shù)

互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)置，加之很好的利用交換機(jī)、路由器等功能設(shè)置，可以使網(wǎng)絡(luò)管理員將任何一個(gè)相關(guān)局域網(wǎng)內(nèi)的一些網(wǎng)段結(jié)合起來(lái)，組成一個(gè)局域網(wǎng)。在這個(gè)局域網(wǎng)里的信息傳遞速度更加迅速，傳播速度的加快使得網(wǎng)絡(luò)信息安全生產(chǎn)過(guò)程中的管理效率得到提高，使得電力企業(yè)的數(shù)據(jù)被竊聽(tīng)的可能性不斷的降低。與此同時(shí)，現(xiàn)在電力企業(yè)在大多數(shù)情況下都會(huì)對(duì)重要的資料進(jìn)行數(shù)據(jù)庫(kù)的備份工作，這樣構(gòu)建起對(duì)電力企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)急預(yù)案，可以在出現(xiàn)網(wǎng)絡(luò)侵襲時(shí)及時(shí)的對(duì)關(guān)鍵業(yè)務(wù)和應(yīng)用程序進(jìn)行保護(hù)，確保核心數(shù)據(jù)系統(tǒng)在出現(xiàn)損害時(shí)，企業(yè)核心安全得到保護(hù)。

3.4 終端設(shè)備的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

可采用基于網(wǎng)關(guān)認(rèn)證的硬件控制技術(shù)，實(shí)現(xiàn)對(duì)通過(guò)無(wú)線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)、wifi網(wǎng)絡(luò)等方式連接的設(shè)備進(jìn)行接入控制。同時(shí)，采用“報(bào)備重定向+注冊(cè)重定向”的雙重認(rèn)證保護(hù)技術(shù)，對(duì)非法接入的終端設(shè)備進(jìn)行強(qiáng)制重定向安全檢查。對(duì)不符合安全等級(jí)要求的終端設(shè)備，可根據(jù)系統(tǒng)策略限制用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問(wèn)限制在隔離區(qū)。

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)應(yīng)以細(xì)致、準(zhǔn)確、迅速為原則，對(duì)網(wǎng)絡(luò)資源訪問(wèn)進(jìn)行控制，尤其是一些核心的網(wǎng)絡(luò)應(yīng)用，包括C/S、B/S以及服務(wù)器應(yīng)用；以精益化的客戶端聯(lián)動(dòng)管理為核心，基于多種授權(quán)方式，包括單用戶授權(quán)、用戶組授權(quán)、白名單授權(quán)等方式，實(shí)現(xiàn)對(duì)未受控客戶端實(shí)施不同用戶級(jí)別的可靠便捷的接入控制。

4 結(jié)論

電力企業(yè)的安全信息系統(tǒng)是電力企業(yè)信息化管理的重要內(nèi)容之一，有效的對(duì)電力企業(yè)安全信息系統(tǒng)將要面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估并且提出切實(shí)可行的防御措施，是保障電力企業(yè)現(xiàn)代化管理的有力手段。隨著近些年來(lái)互聯(lián)網(wǎng)技術(shù)的增強(qiáng)，電力企業(yè)的安全系統(tǒng)構(gòu)建也愈發(fā)的完善，為電力企業(yè)的良性循環(huán)運(yùn)行提供了必要的技術(shù)支持和保障，因此，我們應(yīng)該重視對(duì)互聯(lián)網(wǎng)信息的保護(hù)，防御病毒的侵害，為為電力企業(yè)的安全信息系統(tǒng)的正常運(yùn)行營(yíng)造起安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]陳偉.電力系統(tǒng)網(wǎng)絡(luò)安全體系研究[J].電力系統(tǒng)通信，2008（01）.

[2]牟奕欣.關(guān)于電力系統(tǒng)的網(wǎng)絡(luò)安全的探討[J].中國(guó)經(jīng)貿(mào)，2010（14）.

篇2

【關(guān)鍵詞】信息安全；評(píng)估；標(biāo)準(zhǔn)；對(duì)策

保證信息安全不發(fā)生外泄現(xiàn)象，是至關(guān)重要的。可是，現(xiàn)在我國(guó)信息安全保障和其它先進(jìn)國(guó)家相比，仍難望其項(xiàng)背，還有不少問(wèn)題迫切需要我們著手解決：

中國(guó)保證信息安全工作經(jīng)歷了三個(gè)時(shí)期。第一時(shí)期是不用聯(lián)網(wǎng)，只作用于單一電腦的查殺和防控病毒軟件；第二個(gè)時(shí)期是獨(dú)立的防止病毒產(chǎn)品向?yàn)楸ＷC信息安全采用的成套裝備過(guò)渡時(shí)期；第三個(gè)時(shí)期是建設(shè)保證信息安全的系統(tǒng)時(shí)期。

1 需要解決與注意的問(wèn)題

信息安全保障的內(nèi)容和深度不斷得到擴(kuò)展和加深，但依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒(méi)有從系統(tǒng)工程的角度來(lái)考慮和對(duì)待信息安全保障問(wèn)題；信息安全保障問(wèn)題的解決既不能只依靠純粹的技術(shù)，也不能靠簡(jiǎn)單的安全產(chǎn)品的堆砌，它要依賴于復(fù)雜的系統(tǒng)工程、信息安全工程（system security engineering）；信息安全就是人們把利用工程的理論、定義、辦法和技術(shù)進(jìn)行信息安全的開(kāi)發(fā)實(shí)施與維護(hù)的經(jīng)過(guò)，是把通過(guò)歲月檢驗(yàn)證明沒(méi)有錯(cuò)誤的工程實(shí)施步驟管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過(guò)程；由于國(guó)家8個(gè)重點(diǎn)信息系統(tǒng)和3個(gè)重點(diǎn)基礎(chǔ)網(wǎng)絡(luò)本身均為復(fù)雜的大型信息系統(tǒng)，因此必須采用系統(tǒng)化方法對(duì)其信息安全保障的效果和長(zhǎng)效性進(jìn)行評(píng)估。

2 安全檢測(cè)標(biāo)準(zhǔn)

2.1 CC 標(biāo)準(zhǔn)

1993年6月，美國(guó)、加拿大及歐洲四國(guó)協(xié)商共同起草了《信息技術(shù)安全評(píng)估公共標(biāo)準(zhǔn)CCITSE（commoncriteria of information technical securityevaluation）》，簡(jiǎn)稱 CC，它是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果。CC標(biāo)準(zhǔn)，一方面可以支持產(chǎn)品（最終已在系統(tǒng)中安裝的產(chǎn)品）中安全特征的技術(shù)性要求評(píng)估，另一方面描述了用戶對(duì)安全性的技術(shù)需求。然而，CC 沒(méi)有包括對(duì)物理安全、行政管理措施、密碼機(jī)制等方面的評(píng)估，且未能體現(xiàn)動(dòng)態(tài)的安全要求。因此，CC標(biāo)準(zhǔn)主要還是一套技術(shù)性標(biāo)準(zhǔn)。

2.2 BS 7799標(biāo)準(zhǔn)

BS 7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定的信息安全管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，包括：BS 7799-1∶1999《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則；BS7799-2∶2002 以 BS 7799-1∶1999為指南，詳細(xì)說(shuō)明按照 PDCA 模型，建立、實(shí)施及文件化信息安全管理體系（ISMS）的要求。

2.3 SSE-CMM 標(biāo)準(zhǔn)

SSE-CMM（System Security EngineeringCapability Maturity Model）模型是 CMM 在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局（NSA）領(lǐng)導(dǎo)開(kāi)發(fā)的，它專門用于系統(tǒng)安全工程的能力成熟度模型。

3 網(wǎng)絡(luò)安全框架考察的項(xiàng)目

對(duì)網(wǎng)絡(luò)安全進(jìn)行考察的項(xiàng)目包括：限制訪問(wèn)以及網(wǎng)絡(luò)審核記錄：對(duì)網(wǎng)絡(luò)涉及的區(qū)域進(jìn)行有效訪問(wèn)控制；對(duì)網(wǎng)絡(luò)實(shí)施入侵檢測(cè)和漏洞評(píng)估；進(jìn)行網(wǎng)絡(luò)日志審計(jì)并統(tǒng)一日志時(shí)間基準(zhǔn)線；網(wǎng)絡(luò)框架：設(shè)計(jì)適宜的拓?fù)浣Y(jié)構(gòu)；合乎系統(tǒng)需求的區(qū)域分界；對(duì)無(wú)線網(wǎng)接入方式進(jìn)行選擇方式；對(duì)周邊網(wǎng)絡(luò)接入進(jìn)行安全控制和冗余設(shè)計(jì)；對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和管理；對(duì)網(wǎng)絡(luò)設(shè)備和鏈路進(jìn)行冗余設(shè)計(jì)；網(wǎng)絡(luò)安全管理：采用安全的網(wǎng)絡(luò)管理協(xié)議；建立網(wǎng)絡(luò)安全事件響應(yīng)體系；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全管理。網(wǎng)絡(luò)設(shè)備是否進(jìn)行了安全配置，并且驗(yàn)證設(shè)備沒(méi)有已知的漏洞等。對(duì)網(wǎng)絡(luò)設(shè)置密碼：在網(wǎng)絡(luò)運(yùn)輸過(guò)程中可以根據(jù)其特點(diǎn)對(duì)數(shù)字設(shè)置密碼；在認(rèn)證設(shè)備時(shí)對(duì)比較敏感的信息進(jìn)行加密。

4 安全信息檢測(cè)辦法

4.1 調(diào)整材料和訪問(wèn)

調(diào)整材料和訪問(wèn)是對(duì)安全信息檢測(cè)的手段。評(píng)估人員首先通過(guò)對(duì)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D、安全運(yùn)作記錄、相關(guān)的管理制度、規(guī)范、技術(shù)文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全脆弱性。并找準(zhǔn)信息資產(chǎn)體現(xiàn)為一個(gè)業(yè)務(wù)流時(shí)所流經(jīng)的網(wǎng)絡(luò)節(jié)點(diǎn)，查看關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的設(shè)備安全策略是否得當(dāng)，利用技術(shù)手段驗(yàn)證安全策略是否有效。評(píng)估專家經(jīng)驗(yàn)在安全顧問(wèn)咨詢服務(wù)中處于不可替代的關(guān)鍵地位。通過(guò)對(duì)客戶訪談、技術(shù)資料進(jìn)行分析，分析設(shè)備的安全性能，而且注意把自己的實(shí)際體會(huì)納入網(wǎng)絡(luò)安全的檢測(cè)中。

4.2 工具發(fā)現(xiàn)

工具發(fā)現(xiàn)是利用掃描器掃描設(shè)備上的缺陷，發(fā)現(xiàn)危險(xiǎn)的地方和錯(cuò)誤的配置。利用檢測(cè)掃描數(shù)據(jù)庫(kù)、應(yīng)用程序和主機(jī)，利用已有的安全漏洞知識(shí)庫(kù)，模擬黑客的攻擊方法，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各主機(jī)設(shè)備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識(shí)庫(kù)的網(wǎng)絡(luò)安全掃描工具對(duì)信息資產(chǎn)進(jìn)行基于網(wǎng)絡(luò)層面安全掃描，其特點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，并且評(píng)估環(huán)境與被評(píng)估對(duì)象在線運(yùn)行的環(huán)境完全一致，從而把主機(jī)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備中存在的不利于安全的因素恰切地展現(xiàn)出來(lái)。

4.3 滲透評(píng)估

滲透評(píng)估是為了讓使用的人員能夠知道網(wǎng)絡(luò)當(dāng)前存在的危險(xiǎn)以及會(huì)產(chǎn)生的后果，從而進(jìn)行預(yù)防。滲透評(píng)估的關(guān)鍵是經(jīng)過(guò)辨別業(yè)務(wù)產(chǎn)業(yè)，搭配一定手段進(jìn)行探測(cè)，判斷可能存在的攻擊路徑，并且利用技術(shù)手段技術(shù)實(shí)現(xiàn)。由于滲透測(cè)試偏重于黑盒測(cè)試，因此可能對(duì)被測(cè)試目標(biāo)造成不可預(yù)知的風(fēng)險(xiǎn)；此外對(duì)于性能比較敏感的測(cè)試目標(biāo)，如一些實(shí)時(shí)性要求比較高的系統(tǒng)，由于滲透測(cè)試的某些手段可能引起網(wǎng)絡(luò)流量的增加，因此可能會(huì)引起被測(cè)試目標(biāo)的服務(wù)質(zhì)量降低。由于中國(guó)電信運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)范龐大，因此在滲透測(cè)試的難度也較大。因此，滲透層次上既包括了網(wǎng)絡(luò)層的滲透測(cè)試，也包括了系統(tǒng)層的滲透測(cè)試及應(yīng)用層的滲透測(cè)試。合法滲透測(cè)試的一般流程為兩大步驟，即預(yù)攻擊探測(cè)階段、驗(yàn)證攻擊階段、滲透實(shí)施階段。不涉及安裝后門、遠(yuǎn)程控制等活動(dòng)。

我國(guó)信息安全要想得到保證，需要有一定的信息安全監(jiān)測(cè)辦法。依靠信息安全監(jiān)測(cè)辦法對(duì)中國(guó)業(yè)務(wù)系統(tǒng)和信息系統(tǒng)整體分析和多方面衡量，將對(duì)中國(guó)信息安全結(jié)論的量化提供強(qiáng)有力的幫助，給我國(guó)所做出的重要決策實(shí)行保密，對(duì)中國(guó)籌劃安全信息建設(shè)以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術(shù)，都至關(guān)重要。因而，制定我國(guó)信息安全檢測(cè)辦法，是一項(xiàng)不容忽視的重要工作。

【參考文獻(xiàn)】

[1]曹一家，姚歡，黃小慶，等.基于D-S證據(jù)理論的變電站通信系統(tǒng)信息安全評(píng)估[J].電力自動(dòng)化設(shè)備，2011，31（6）：1-5.

[2]焦波，李輝，黃東，等.基于變權(quán)證據(jù)合成的信息安全評(píng)估[J].計(jì)算機(jī)工程，2012，38（21）：126-128，132.

[3]張海霞，連一峰.基于測(cè)試床模擬的通用安全評(píng)估框架[J].信息網(wǎng)絡(luò)安全，2013，（z1）：13-16.

篇3

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；脆弱性；威脅

1. 引言

隨著信息技術(shù)的飛速發(fā)展，關(guān)系國(guó)計(jì)民生的關(guān)鍵信息資源的規(guī)模越來(lái)越大，信息系統(tǒng)的復(fù)雜程度越來(lái)越高，保障信息資源、信息系統(tǒng)的安全是國(guó)民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要。信息安全的目標(biāo)主要體現(xiàn)在機(jī)密性、完整性、可用性等方面。風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn)，它的重要意義在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案的制定，以成本一效益平衡的原則，通過(guò)評(píng)估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性，并結(jié)合資產(chǎn)的重要程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以防范和化解風(fēng)險(xiǎn)，或者將殘余風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。

2．網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析

“網(wǎng)絡(luò)信息的安全”從狹義的字面上來(lái)講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲(chǔ)、傳輸?shù)仁褂眠^(guò)程的安全。

網(wǎng)絡(luò)信息安全具有如下6個(gè)特征：（1）　保密性。即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。（2）完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。（3）可用性。即能保證合法的用戶正常訪問(wèn)相關(guān)的信息。（4）可控性。即信息的內(nèi)容及傳播過(guò)程能夠被有效地合法控制。（5）可審查性。即信息的使用過(guò)程都有相關(guān)的記錄可供事后查詢核對(duì)。網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問(wèn)題的復(fù)雜性。

而通過(guò)有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析，就能夠?yàn)榇藦?fù)雜問(wèn)題的解決找到一個(gè)考慮問(wèn)題的立足點(diǎn)，能夠?qū)?fù)雜的問(wèn)題量化，同時(shí)，也為能通過(guò)其他方法如人工智能網(wǎng)絡(luò)方法解決問(wèn)題提供依據(jù)和基礎(chǔ)。

網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類：（1）自然界因素，如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等；（2）社會(huì)因素，主要是人類社會(huì)的各種活動(dòng)，如暴力、戰(zhàn)爭(zhēng)、盜竊等；（3）網(wǎng)絡(luò)硬件的因素，如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；（4）軟件的因素，包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫(kù)配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；（5）人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來(lái)的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等；（6）其他因素，包括政府職能部門的監(jiān)管因素、有關(guān)部門對(duì)相關(guān)法律法規(guī)立法因素、教育部門對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門對(duì)相關(guān)安全內(nèi)容的宣傳因素等。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響。

3．安全風(fēng)險(xiǎn)評(píng)估方法

3.1　定制個(gè)性化的評(píng)估方法

雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程，但在實(shí)踐過(guò)程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力，進(jìn)行“基因”重組，定制個(gè)性化的評(píng)估方法，使得評(píng)估服務(wù)具有可裁剪性和靈活性。評(píng)估種類一般有整體評(píng)估、IT安全評(píng)估、滲透測(cè)試、邊界評(píng)估、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、脆弱性掃描、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等。

3.2　安全整體框架的設(shè)計(jì)

風(fēng)險(xiǎn)評(píng)估的目的，不僅在于明確風(fēng)險(xiǎn)，更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評(píng)估直接輸出，用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期　1～2　年內(nèi)框架，這樣才能做到有律可依。

3.3　多用戶決策評(píng)估

不同層面的用戶能看到不同的問(wèn)題，要全面了解風(fēng)險(xiǎn)，必須進(jìn)行多用戶溝通評(píng)估。將評(píng)估過(guò)程作為多用戶“決策”過(guò)程，對(duì)于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動(dòng)，具有極大的意義。事實(shí)證明，多用戶參與的效果非常明顯。多用戶“決策”評(píng)估，也需要一個(gè)具體的流程和方法。

3.4　敏感性分析

由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)，使得風(fēng)險(xiǎn)越來(lái)越隱蔽。要提高評(píng)估效果，必須進(jìn)行深入關(guān)聯(lián)分析，比如對(duì)一個(gè)老漏洞，不是簡(jiǎn)單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病“根”，開(kāi)出有效的“處方”。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫(kù)支撐，同時(shí)要求評(píng)估者具有敏銳的分析能力。

3.5　集中化決策管理

安全風(fēng)險(xiǎn)評(píng)估需要具有多種知識(shí)和能力的人參與，對(duì)這些能力和知識(shí)的管理，有助于提高評(píng)估的效果。集中化決策管理，是評(píng)估項(xiàng)目成功的保障條件之一，它不僅是項(xiàng)目管理問(wèn)題，而且是知識(shí)、能力等“基因”的組合運(yùn)用。必須選用具有特殊技能的人，去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺(tái)審計(jì)和滲透性測(cè)試，由不具備攻防經(jīng)驗(yàn)和知識(shí)的人執(zhí)行，就達(dá)不到任何效果。

3.6　評(píng)估結(jié)果管理

安全風(fēng)險(xiǎn)評(píng)估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng)，但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評(píng)估管理系統(tǒng)，使用它來(lái)指導(dǎo)評(píng)估過(guò)程，管理評(píng)估結(jié)果，以便在管理層面提高評(píng)估效果。

4．風(fēng)險(xiǎn)評(píng)估的過(guò)程

4.1　前期準(zhǔn)備階段

主要任務(wù)是明確評(píng)估目標(biāo)，確定評(píng)估所涉及的業(yè)務(wù)范圍，簽署相關(guān)合同及協(xié)議，接收被評(píng)估對(duì)象已存在的相關(guān)資料。展開(kāi)對(duì)被評(píng)估對(duì)象的調(diào)查研究工作。

4.2　中期現(xiàn)場(chǎng)階段

編寫測(cè)評(píng)方案，準(zhǔn)備現(xiàn)場(chǎng)測(cè)試表、管理問(wèn)卷，展開(kāi)現(xiàn)場(chǎng)階段的測(cè)試和調(diào)查研究階段。

4.3　后期評(píng)估階段

撰寫系統(tǒng)測(cè)試報(bào)告。進(jìn)行補(bǔ)充調(diào)查研究，評(píng)估組依據(jù)系統(tǒng)測(cè)試報(bào)告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告。

5．風(fēng)險(xiǎn)評(píng)估的錯(cuò)誤理解

（1）　不能把最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告認(rèn)為是結(jié)果唯一。

（2）不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)所有的安全問(wèn)題。

（3）　不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以一勞永逸的解決安全問(wèn)題。

（4）不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是漏洞掃描。

（5）不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是　IT部門的工作，與其它部門無(wú)關(guān)。

（6）　不能認(rèn)為風(fēng)險(xiǎn)評(píng)估是對(duì)所有信息資產(chǎn)都進(jìn)行評(píng)估。

6．結(jié)語(yǔ)

總之，風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。通過(guò)風(fēng)險(xiǎn)評(píng)估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案是信息系統(tǒng)安全工程的重要組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求，但是，信息安全評(píng)估工作的實(shí)施也存在一定的難題，涉及信息安全評(píng)估的行業(yè)或系統(tǒng)各不相同，并不是所有的評(píng)估方法都適用于任何一個(gè)行業(yè)，要選擇合適的評(píng)估方法，或開(kāi)發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評(píng)估方法，是當(dāng)前很現(xiàn)實(shí)的問(wèn)題，也會(huì)成為下一步研究的重點(diǎn)。

參考文獻(xiàn)：

[1] 剛 , 吳昌倫. 信息安全風(fēng)險(xiǎn)評(píng)估的策劃[J]. 信息技術(shù)與標(biāo)準(zhǔn)化 , 2004,(09)

[2] 賈穎禾. 信息安全風(fēng)險(xiǎn)評(píng)估[J]. 中國(guó)計(jì)算機(jī)用戶 , 2004,(24)

[3] 楊潔. 層次化的企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)分析方法研究[J]. 軟件導(dǎo)刊 , 2007,(03)

[4] 楊晨. 建立健全信息安全風(fēng)險(xiǎn)評(píng)估工作機(jī)制勢(shì)在必行——信息安全專家趙戰(zhàn)生訪談[J]. 當(dāng)代通信 , 2004,(22)

篇4

10月8日，美國(guó)眾議院情報(bào)委員會(huì)報(bào)告稱，總部設(shè)在中國(guó)深圳的華為和中興通訊，有可能對(duì)美國(guó)國(guó)家安全構(gòu)成威脅，并建議美國(guó)禁止兩家公司在美展開(kāi)業(yè)務(wù)。此后1個(gè)多月時(shí)間里，相關(guān)各方展開(kāi)激烈的論辯沖撞，至今尚未有最終結(jié)論。

隨著此事的進(jìn)一步發(fā)酵，一場(chǎng)關(guān)于中國(guó)信息安全的反思也悄然漸起。通過(guò)美國(guó)立法、政府部門與企業(yè)在此事中的種種作為，行業(yè)人士認(rèn)為，中國(guó)信息安全亦處于威脅中，且需要從制度、監(jiān)管等各個(gè)環(huán)節(jié)進(jìn)行調(diào)整。

美國(guó)之鑒

“華為中興在美國(guó)受到調(diào)查的事件教育了我們，要重新調(diào)查技術(shù)標(biāo)準(zhǔn)、法律法規(guī)，以及監(jiān)管機(jī)構(gòu)和電信運(yùn)營(yíng)商在網(wǎng)絡(luò)信息安全中的角色和作用，建立起安全的防護(hù)墻?！?1月14日，電信專家陳金橋向《財(cái)經(jīng)國(guó)家周刊》記者表示。

在這一事件爆發(fā)后，多個(gè)領(lǐng)域的專家，一直對(duì)于中美兩國(guó)公司在對(duì)方市場(chǎng)受到的不對(duì)等待遇表示不滿。外界普遍認(rèn)為，此次調(diào)查的主要推動(dòng)力并不是美國(guó)政府，而更多是在大選年背景下，思科等公司與一些政客假國(guó)家信息安全之名，蓄謀打擊競(jìng)爭(zhēng)對(duì)手的手段。

但不論如何，在此過(guò)程中，美國(guó)從調(diào)查、立法到政府介入的各個(gè)環(huán)節(jié)，都已經(jīng)形成一個(gè)通暢的體系，這值得中國(guó)借鑒。

“比如，美國(guó)對(duì)中興與華為的調(diào)查，并不是政府進(jìn)行的，而是眾議院下屬的情報(bào)委員會(huì)?！币晃簧疃葏⑴c此次事件的設(shè)備廠商人士說(shuō)，“這份報(bào)告本身沒(méi)有任何的法律約束力，但如果報(bào)告通過(guò)議會(huì)，則可能迅速演變?yōu)榱⒎?，從而形成一個(gè)堅(jiān)固壁壘?！?/p>

與之對(duì)應(yīng)的是，中國(guó)對(duì)外資廠商的信息安全監(jiān)管卻并未在立法層面建立類似的機(jī)制。這就導(dǎo)致在面臨信息安全威脅或國(guó)際摩擦?xí)r，政府干預(yù)會(huì)破壞規(guī)則或被人指責(zé)，不干預(yù)則無(wú)法形成有效的防范或?qū)梗瑥亩萑雰呻y的困局。

就此，多位接受采訪的專家建議，中國(guó)應(yīng)考慮效法美國(guó)，在人大下設(shè)常態(tài)化的外國(guó)投資審查委員會(huì)，并對(duì)相關(guān)企業(yè)進(jìn)行審查監(jiān)督。

與此同時(shí)，基礎(chǔ)網(wǎng)絡(luò)建設(shè)層面相關(guān)法規(guī)的缺失，也導(dǎo)致中國(guó)網(wǎng)絡(luò)安全無(wú)法得到充分保障。雖然早在2003年，中國(guó)就出臺(tái)第一部信息安全綱領(lǐng)性文件《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)文），但直到現(xiàn)在，信息安全依然缺少一個(gè)完整保障信息安全的法律體系。

《財(cái)經(jīng)國(guó)家周刊》從工信部獲悉，工信部信息安全協(xié)調(diào)司經(jīng)過(guò)2011年的專項(xiàng)調(diào)研，已于2012年上半年曾形成相關(guān)報(bào)告。報(bào)告表示，僅在涉及個(gè)人信息保護(hù)方面，相關(guān)法規(guī)條文就已經(jīng)眾多，其中涉及個(gè)人信息保護(hù)的法律有將近40部、最高人民法院出臺(tái)10條個(gè)人信息保護(hù)相關(guān)的司法解釋、國(guó)務(wù)院的有關(guān)個(gè)人信息保護(hù)的法規(guī)約有30部、而各大部委頒布的相關(guān)部門條例、管理辦法、規(guī)定，更是多達(dá)近200部，這還不包括各省級(jí)以下政府頒布的區(qū)域性政策和規(guī)定。

然而，這些文件大多是針對(duì)具體問(wèn)題，在總體上，個(gè)人信息保護(hù)領(lǐng)域的法律法規(guī)，卻仍然不成體系，對(duì)基礎(chǔ)網(wǎng)絡(luò)建設(shè)信息安全領(lǐng)域保護(hù)，更是缺少明確的、體系化的法律文本。

《財(cái)經(jīng)國(guó)家周刊》從工業(yè)和信息化部（下稱“工信部”）相關(guān)部門獲得的資料表明，工信部2011年已經(jīng)啟動(dòng)信息保護(hù)立法調(diào)研和研究工作，并約談了包括百度、騰訊等諸多互聯(lián)網(wǎng)公司。

監(jiān)管調(diào)整

降了立法層面之外，專家也建議，中國(guó)應(yīng)建立更加立體化的國(guó)家網(wǎng)絡(luò)信息安全評(píng)估保障機(jī)制。

一位資深行業(yè)人士說(shuō)，中國(guó)一直沒(méi)有真正著手信息安全體系，更多是由于歷史原因。

“就最基礎(chǔ)的通信設(shè)備和網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，中國(guó)最早是沒(méi)有自己的工業(yè)基礎(chǔ)的，在上個(gè)世紀(jì)90年代以前，基本上都是依賴進(jìn)口，而且在早期我們還處于大發(fā)展階段，每年都需要興建大量的網(wǎng)絡(luò)，在那個(gè)階段，對(duì)系統(tǒng)設(shè)備的要求基本上只有最低的要求：能用就行。”該人士說(shuō)，雖然當(dāng)年的信產(chǎn)部及后來(lái)的工信部，都設(shè)立了入網(wǎng)檢測(cè)機(jī)構(gòu)與檢測(cè)程序，但這一程序也更多是對(duì)于設(shè)備可用性的檢測(cè)，對(duì)信息安全的評(píng)估并沒(méi)有提到最為重要的等級(jí)。

但隨著時(shí)代變化，當(dāng)各國(guó)的信息通信流量爆漲，并全面滲透進(jìn)入政府、軍事、商業(yè)、工業(yè)與公眾服務(wù)的各個(gè)環(huán)節(jié)之后，信息安全的作用變得日益重要。

“信息安全關(guān)系到國(guó)家的政治安全、經(jīng)濟(jì)安全、文化安全、國(guó)防安全和社會(huì)穩(wěn)定，尤其網(wǎng)絡(luò)信息安全已經(jīng)成為事關(guān)國(guó)家安全的第一安全，信息技術(shù)產(chǎn)業(yè)的發(fā)展也就直接關(guān)系對(duì)國(guó)家安全的基本保障能力?！惫ば挪寇浖c集成電路促進(jìn)中心主任邱善勤說(shuō)，當(dāng)前，世界各國(guó)都將信息技術(shù)和信息安全的自主可控能力與維護(hù)國(guó)家安全的能力緊密聯(lián)系在一起，控制與反控制的斗爭(zhēng)甚至已經(jīng)對(duì)國(guó)與國(guó)之間的外交、經(jīng)貿(mào)等關(guān)系產(chǎn)生了重要影響。

與此同時(shí)，信息安全事故的破壞性越來(lái)越大，信息安全問(wèn)題也越來(lái)越成為焦點(diǎn)。近兩年來(lái)，微軟、亞馬遜、谷歌等企業(yè)紛紛發(fā)生重大信息安全事故，“震網(wǎng)”病毒更給伊朗造成巨大損失。信息安全事故頻發(fā)，也引起了各國(guó)政府的高度重視。比如在美國(guó)，奧巴馬將網(wǎng)絡(luò)安全問(wèn)題視為最嚴(yán)重的國(guó)家經(jīng)濟(jì)和國(guó)家安全挑戰(zhàn)之一，提出將數(shù)字基礎(chǔ)設(shè)施視為國(guó)家戰(zhàn)略資產(chǎn)予以保護(hù)，并組建了網(wǎng)絡(luò)戰(zhàn)司令部。日本則通過(guò)了《保護(hù)國(guó)民信息安全戰(zhàn)略》，重點(diǎn)加強(qiáng)鐵路、金融系統(tǒng)重要信息基礎(chǔ)設(shè)施的安全防范。

“這也是為什么利益相關(guān)方以信息安全為借口指控中興華為時(shí)，美國(guó)各方立刻高度緊張的原因?！鼻拔奶峒百Y深行業(yè)人士說(shuō)。

問(wèn)題在于，由于過(guò)去在開(kāi)放環(huán)境下的高速發(fā)展，中國(guó)過(guò)去是既沒(méi)有行業(yè)標(biāo)準(zhǔn)，也沒(méi)有法律要求，沒(méi)有合格的檢測(cè)機(jī)構(gòu)，對(duì)于信息安全成體系的評(píng)估監(jiān)管，尤其在設(shè)備領(lǐng)域，幾乎是一個(gè)空白。該人士說(shuō)，在此過(guò)程中，過(guò)去政府對(duì)行業(yè)基本沒(méi)有做強(qiáng)制性的規(guī)范，也缺乏強(qiáng)制手段和檢測(cè)手段，而是把權(quán)放給了基礎(chǔ)運(yùn)營(yíng)商，但在商業(yè)環(huán)境下，運(yùn)營(yíng)商所進(jìn)行的檢測(cè)乃至防范往往會(huì)不自覺(jué)地放松要求。

“所以，中國(guó)現(xiàn)在除了繼續(xù)開(kāi)放市場(chǎng)，積極與海外廠商合作外，也要注意保護(hù)與捍衛(wèi)自己的核心利益與國(guó)家安全，重新改變政府與企業(yè)過(guò)去在對(duì)信息安全體系中的定位和分工?！标惤饦蛘J(rèn)為。

據(jù)《財(cái)經(jīng)國(guó)家周刊》了解，中國(guó)從決策層到各個(gè)部委，在此之前就已開(kāi)始意識(shí)到相關(guān)的風(fēng)險(xiǎn)，并開(kāi)始考慮如何要進(jìn)一步強(qiáng)化信息安全領(lǐng)域的管理，包括來(lái)自物理網(wǎng)絡(luò)層面的國(guó)家安全和來(lái)自互聯(lián)網(wǎng)傳輸過(guò)程中的個(gè)人信息安全。

威脅仍在

《財(cái)經(jīng)國(guó)家周刊》獲得的一份資料表明，以思科、微軟等為主的美國(guó)IT公司，仍然占據(jù)著中國(guó)基礎(chǔ)網(wǎng)絡(luò)核心。

目前，中國(guó)市場(chǎng)仍是思科全球范圍內(nèi)唯一沒(méi)有占據(jù)壟斷地位的區(qū)域市場(chǎng)，但這一市場(chǎng)主要份額，仍被思科和H3C兩個(gè)美國(guó)公司占據(jù)。2011年，H3C銷售收入14.6億美元，而思科在華收入略低于H3C，約占思科全球收入3%。但有報(bào)道稱，思科中國(guó)業(yè)務(wù)的利潤(rùn)高達(dá)思科整體利潤(rùn)的30%。

《財(cái)經(jīng)國(guó)家周刊》獲得的文件表明，思科網(wǎng)絡(luò)設(shè)備廣泛應(yīng)用于中國(guó)信息網(wǎng)絡(luò)關(guān)鍵領(lǐng)域，包括運(yùn)營(yíng)商骨干網(wǎng)絡(luò)、醫(yī)療網(wǎng)絡(luò)、航空和交通網(wǎng)絡(luò)，乃至金融網(wǎng)絡(luò)、政府網(wǎng)絡(luò)，甚至于軍隊(duì)網(wǎng)絡(luò)。

“值得警惕的是，包括思科、微軟等在內(nèi)的大多數(shù)美國(guó)公司，在中國(guó)占據(jù)了龐大的市場(chǎng)份額和商業(yè)機(jī)會(huì)的同時(shí)，一直沒(méi)有向中國(guó)政府開(kāi)放相關(guān)源代碼，而這些美國(guó)公司在中國(guó)信息網(wǎng)絡(luò)的關(guān)鍵領(lǐng)域，同樣長(zhǎng)期占有較大份額?！敝袊?guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)理事、邁普通信CEO肖志輝對(duì)《財(cái)經(jīng)國(guó)家周刊》表示，“中國(guó)政府應(yīng)當(dāng)為自身安全考慮，未來(lái)應(yīng)對(duì)包括思科、微軟在內(nèi)的美國(guó)公司予以相應(yīng)審查，以防范關(guān)鍵信息被竊取的事件繼續(xù)發(fā)生?！?/p>

與此同時(shí)，正在興起的云計(jì)算業(yè)務(wù)中也存在類似風(fēng)險(xiǎn)。一位行業(yè)人士說(shuō)，中小企業(yè)如果沒(méi)有主機(jī)系統(tǒng)，只有一個(gè)服務(wù)的平臺(tái)，大量的經(jīng)濟(jì)信息與商業(yè)秘密就會(huì)成半狀態(tài)呈現(xiàn)在云服務(wù)器上。為此，歐盟此前就有要求，在12到18個(gè)月之內(nèi)，所有入云中小企業(yè)的信息都必須全部刪除，而且不允許跨境傳播。但外國(guó)的技術(shù)商向中國(guó)客戶提供這一服務(wù)時(shí)，卻一直在掩蓋這一事實(shí)。

篇5

一、如何看待安全預(yù)算

安全預(yù)算是各類企事業(yè)單位為保護(hù)信息資產(chǎn)，保證自身可持續(xù)發(fā)展而投入的資金，是一種預(yù)防行為。安全預(yù)算多少合適，是不是投入得太多了？雖然安全問(wèn)題越來(lái)越受到重視，但是網(wǎng)絡(luò)安全事件仍然是呈現(xiàn)遞增趨勢(shì)。從安全預(yù)算角度分析原因：一是預(yù)算不足；二是預(yù)算不到位。

在國(guó)外，安全投入占企業(yè)基礎(chǔ)建設(shè)投入的5%～20%，這人比例在中國(guó)的企事業(yè)中卻很少超過(guò)2%。從風(fēng)險(xiǎn)的角度看，就是要平衡成本與風(fēng)險(xiǎn)之間的關(guān)系，用一百萬(wàn)美金保護(hù)三十萬(wàn)的資產(chǎn)，顯然是不可接受的，但是如果資產(chǎn)的價(jià)值超過(guò)了一千萬(wàn)美金，產(chǎn)生的效益就顯而易見(jiàn)，目前用一個(gè)量化的方法來(lái)計(jì)算信息化建設(shè)對(duì)于戰(zhàn)略發(fā)展的貢獻(xiàn)確實(shí)比較難。一年下來(lái)，并沒(méi)有發(fā)生重大的信息安全事件，年初的安全預(yù)算可能就會(huì)被質(zhì)疑投入太多了；如果發(fā)生了不可接受的安全事件，那就成了預(yù)算部門的責(zé)任。安全預(yù)算到底夠不夠？我們可以通過(guò)宏觀的情況來(lái)分析一下風(fēng)險(xiǎn)與成本的關(guān)系，每年全球因安全問(wèn)題導(dǎo)致的網(wǎng)絡(luò)損失已經(jīng)可以用萬(wàn)億美元的數(shù)量級(jí)來(lái)計(jì)算，我國(guó)也有數(shù)百億美元的經(jīng)濟(jì)損失，然而安全方面的投入?yún)s不超過(guò)幾十億美元。由此可以看出，我國(guó)整體信息化建設(shè)，安全預(yù)算不足。

一個(gè)單位在安全方面投入了很多，但是仍然發(fā)生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論，很好的解釋了這種現(xiàn)象。如很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素，缺乏系統(tǒng)的、科學(xué)的管理體系支持，都是導(dǎo)致這種結(jié)果產(chǎn)生的原因。

二、 科學(xué)制定安全預(yù)算

信息安全的預(yù)算如何制定？其實(shí)要解決的就是預(yù)算多少和怎么用的問(wèn)題。說(shuō)安全預(yù)算難做，一是因?yàn)樾畔踩婕暗胶芏喾矫娴膯?wèn)題，例如：人員安全、物力安全、訪問(wèn)控制、符合法律法規(guī)等等。二是很難依據(jù)某種科學(xué)的量化的輸入得出具體的預(yù)算費(fèi)用。安全預(yù)算是否合理，應(yīng)該關(guān)注以下幾個(gè)方面：（1）是否“平衡”了成本與風(fēng)險(xiǎn)的關(guān)系；（2）是否真正用于降低或者消除信息安全風(fēng)險(xiǎn)，而不是引入了新的不可接受風(fēng)險(xiǎn)；（3）被關(guān)注的風(fēng)險(xiǎn)是否具有較高的優(yōu)先等級(jí)。

信息安全風(fēng)險(xiǎn)評(píng)估恰恰解決了以上問(wèn)題，通過(guò)制定科學(xué)的風(fēng)險(xiǎn)評(píng)估方法、程序，對(duì)那些起到關(guān)鍵作用的信息和信息資產(chǎn)進(jìn)行評(píng)估，得出面臨的風(fēng)險(xiǎn)，然后針對(duì)不同風(fēng)險(xiǎn)制定相應(yīng)的處理計(jì)劃，提出所需要的資源，從而利用風(fēng)險(xiǎn)評(píng)估輔助安全預(yù)算的制定。

三、 風(fēng)險(xiǎn)評(píng)估過(guò)程

目前國(guó)際和國(guó)內(nèi)都有一些比較成熟的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)及指南，通常包括下述幾個(gè)過(guò)程：（1） 確定評(píng)估的范圍、目的、評(píng)估組、評(píng)估方法等；（2）識(shí)別評(píng)估范圍內(nèi)的信息資產(chǎn)；（3）識(shí)別對(duì)于這些資產(chǎn)的威脅；（4）識(shí)別可能利用這些威脅的薄弱點(diǎn)；（5）識(shí)別信息資產(chǎn)的損失給單位帶來(lái)的影響；（6）識(shí)別威脅時(shí)間發(fā)生的可能性；（7）根據(jù)“影響”及“可能性”計(jì)算風(fēng)險(xiǎn)；（8）確定風(fēng)險(xiǎn)等級(jí)及可接受風(fēng)險(xiǎn)的等級(jí)。