導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

一、研究現(xiàn)狀

目前關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策的研究比較多，主要集中在網(wǎng)絡(luò)安全威脅的類(lèi)型和網(wǎng)絡(luò)安全的防范措施兩個(gè)方面。第一，在網(wǎng)絡(luò)安全威脅的類(lèi)型方面，廖博藝介紹了網(wǎng)絡(luò)安全威脅的相關(guān)情況，他認(rèn)為計(jì)算機(jī)病毒是首要威脅，系統(tǒng)漏洞和惡意攻擊是重要威脅。袁劍鋒分析了網(wǎng)絡(luò)安全中存在的問(wèn)題，主要是自然威脅、身份鑒別威脅等。第二，在網(wǎng)絡(luò)安全的防范措施方面，仝世君從用戶(hù)、系統(tǒng)開(kāi)發(fā)者、黑客這三個(gè)主體的角度分析了網(wǎng)絡(luò)安全面臨的問(wèn)題，并提出了多種應(yīng)對(duì)措施。羅濤提出網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)是人的漏洞，因此要加強(qiáng)網(wǎng)絡(luò)安全教育。

總體上，已有研究多關(guān)注網(wǎng)絡(luò)安全建設(shè)，但大多是定性介紹，泛泛而談，沒(méi)有形成系統(tǒng)的分析框架。因此本文通過(guò)建立風(fēng)險(xiǎn)分析框架，基于流程來(lái)分析計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行過(guò)程中存在的風(fēng)險(xiǎn)與問(wèn)題，并提出針對(duì)性的對(duì)策建議。

二、計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的風(fēng)險(xiǎn)分析

計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行過(guò)程中會(huì)面臨諸多方面的問(wèn)題。為了更加全面地分析計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行過(guò)程中的風(fēng)險(xiǎn)與問(wèn)題，本文以風(fēng)險(xiǎn)管理流程的三個(gè)層面為框架，結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)的風(fēng)險(xiǎn)來(lái)源和風(fēng)險(xiǎn)處理要素，構(gòu)建了計(jì)算機(jī)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析框架，并按照該框架提出對(duì)策意見(jiàn)。具體包括：風(fēng)險(xiǎn)來(lái)源分析，即從計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的三個(gè)核心要素分析，包括操作系統(tǒng)、軟件應(yīng)用、數(shù)據(jù)信息；風(fēng)險(xiǎn)評(píng)估分析，即從資產(chǎn)損失、威脅行為兩個(gè)方面分析可能的風(fēng)險(xiǎn)影響；風(fēng)險(xiǎn)處理分析，包括風(fēng)險(xiǎn)預(yù)防和風(fēng)險(xiǎn)應(yīng)對(duì)兩個(gè)層面提出應(yīng)對(duì)策略。

（1）風(fēng)險(xiǎn)來(lái)源分析。計(jì)算機(jī)網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)來(lái)源包括三個(gè)方面。第一，在操作系統(tǒng)方面存在的風(fēng)險(xiǎn)。目前計(jì)算機(jī)的操作系統(tǒng)主要是Windows、Linux等。由于操作系統(tǒng)的集中性，導(dǎo)致操作系統(tǒng)的安全性存在很大的問(wèn)題。這些操作系統(tǒng)的源代碼是公開(kāi)的，一些程序員可以在這方面做文章，如制作病毒攻擊。這是所有計(jì)算機(jī)都可能面臨的風(fēng)險(xiǎn)。第二，在軟件應(yīng)用方面存在的風(fēng)險(xiǎn)。某些黑客設(shè)計(jì)出一些帶有病毒的軟件來(lái)竊取用戶(hù)的信息，如照片、通信信息等。第三，數(shù)據(jù)信息丟失的風(fēng)險(xiǎn)。例如應(yīng)用軟件不小心被卸載了，會(huì)直接導(dǎo)致用戶(hù)數(shù)據(jù)的丟失。

（2）風(fēng)險(xiǎn)評(píng)估分析。風(fēng)險(xiǎn)評(píng)估是正確認(rèn)識(shí)風(fēng)險(xiǎn)的重要一環(huán)。一般來(lái)說(shuō)，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)的評(píng)估要素包括兩個(gè)部分，即資產(chǎn)損失、威脅行為。首先，資產(chǎn)方面的評(píng)估不僅包括財(cái)產(chǎn)或貨幣資產(chǎn)，也包括無(wú)形的資產(chǎn)，比如當(dāng)某個(gè)用戶(hù)的信息被泄露了，可能造成該用戶(hù)在名譽(yù)上的損失。其次，在威脅行為上的評(píng)估。計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行是流程性的、多方面的，在每個(gè)環(huán)節(jié)都有可能受到影響，用戶(hù)層面的受影響的范圍還較小，但若是平臺(tái)后臺(tái)或者數(shù)據(jù)庫(kù)被影響了，則波及面更廣、破壞性更大。

三、計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策分析

（1）風(fēng)險(xiǎn)預(yù)防層面。用戶(hù)、計(jì)算機(jī)系統(tǒng)設(shè)計(jì)者要結(jié)合風(fēng)險(xiǎn)隱患可能存在的三個(gè)方面進(jìn)行預(yù)防。首先，在操作系統(tǒng)方面，操作系統(tǒng)設(shè)計(jì)公司和設(shè)計(jì)者們要不斷更新完善。其次，在軟件應(yīng)用方面，用戶(hù)要學(xué)會(huì)使用計(jì)算機(jī)內(nèi)部的安全設(shè)置功能。例如用戶(hù)可以在計(jì)算機(jī)內(nèi)部存儲(chǔ)運(yùn)行設(shè)置方面進(jìn)行操作，做一些安全隱私性的設(shè)置。再次，在數(shù)據(jù)信息方面，用戶(hù)要及時(shí)保存原始數(shù)據(jù)，如上傳云盤(pán)，避免電腦崩潰、軟件運(yùn)行錯(cuò)誤等帶來(lái)的不必要的損失。

（2）風(fēng)險(xiǎn)應(yīng)對(duì)層面。上述風(fēng)險(xiǎn)預(yù)防的措施主要是針對(duì)用戶(hù)的，因?yàn)檫@些用戶(hù)是使用計(jì)算機(jī)的主要對(duì)象，他們把預(yù)防工作做好了，會(huì)極大地減輕自身的風(fēng)險(xiǎn)損失。在風(fēng)險(xiǎn)應(yīng)對(duì)方面，用戶(hù)面臨風(fēng)險(xiǎn)威脅時(shí)，比如支付信息被盜竊、個(gè)人隱私泄露等，用戶(hù)首先要與應(yīng)用軟件的工作人員溝通，共同尋找降低損失的方案，其次要及時(shí)停止使用該軟件，以免造成二次損失。在必要時(shí)候可以向有關(guān)部門(mén)反映情況。對(duì)于平臺(tái)而言，當(dāng)平臺(tái)被惡性攻擊，如平臺(tái)數(shù)據(jù)庫(kù)被破壞時(shí)，相關(guān)管理部門(mén)要啟動(dòng)緊急預(yù)案，查明原因，追究破壞者的責(zé)任，降低平臺(tái)的損失，創(chuàng)造一個(gè)公正、透明、有序的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

1.廖博藝.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（06）.

2.袁劍鋒.計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其防范措施.中國(guó)科技信息，2006（15）.

3.仝世君.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策.中國(guó)科技信息，2006（10）.

4.羅濤.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策.中小企業(yè)管理與科技（下旬刊），2010（04）.（責(zé)任編輯：蘭卡）

篇2

制定網(wǎng)絡(luò)安全基線

網(wǎng)絡(luò)安全基線是阻止未經(jīng)授權(quán)信息泄露、丟失或損害的第一級(jí)安全標(biāo)準(zhǔn)。確保與產(chǎn)品相關(guān)的人員、程序和技術(shù)都符合基線，將有效提高政府的網(wǎng)絡(luò)安全等級(jí)。網(wǎng)絡(luò)安全基線應(yīng)體現(xiàn)在采辦程序的技術(shù)需求以及性能標(biāo)準(zhǔn)中，以明確在整個(gè)采辦生命周期內(nèi)產(chǎn)品或服務(wù)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。由于資源有限以及采辦中風(fēng)險(xiǎn)的多樣性，政府應(yīng)采取漸進(jìn)和基于風(fēng)險(xiǎn)的方法，逐步增加超越基線的網(wǎng)絡(luò)安全需求。這種需求應(yīng)在合同內(nèi)清晰且專(zhuān)門(mén)列出。

開(kāi)展網(wǎng)絡(luò)安全培訓(xùn)

政府應(yīng)對(duì)工業(yè)合作伙伴開(kāi)展采辦網(wǎng)絡(luò)安全培訓(xùn)。通過(guò)這種培訓(xùn)向工業(yè)合作伙伴明確展示，政府正通過(guò)基于風(fēng)險(xiǎn)的方法調(diào)整與網(wǎng)絡(luò)安全相關(guān)的采購(gòu)活動(dòng)，且將在特定采辦活動(dòng)中提出更多網(wǎng)絡(luò)安全方面的要求。

明確通用關(guān)鍵網(wǎng)絡(luò)安全事項(xiàng)定義

明確聯(lián)邦采辦過(guò)程中關(guān)鍵網(wǎng)絡(luò)安全事項(xiàng)的定義將提高政府和私營(yíng)部門(mén)的效率和效益。需求的有效開(kāi)發(fā)和完善很大程度上依賴(lài)于對(duì)關(guān)鍵網(wǎng)絡(luò)安全事項(xiàng)的共同認(rèn)識(shí)。在采辦過(guò)程中，不清晰、不一致的關(guān)鍵網(wǎng)絡(luò)安全事項(xiàng)定義將導(dǎo)致網(wǎng)絡(luò)安全不能達(dá)到最優(yōu)效果。定義的清晰界定應(yīng)建立在公認(rèn)或國(guó)際通用的標(biāo)準(zhǔn)上。

建立采辦網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略

政府需要一個(gè)部門(mén)內(nèi)普遍適用的采辦網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略。該戰(zhàn)略將成為政府企業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略的一部分，并要求政府部門(mén)確保其行為符合采辦網(wǎng)絡(luò)風(fēng)險(xiǎn)目標(biāo)。該戰(zhàn)略應(yīng)建立在政府通用的采辦愿景基礎(chǔ)上，并與美國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院制定的“網(wǎng)絡(luò)安全框架”相匹配。戰(zhàn)略應(yīng)為采辦建立網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)，并包含基于風(fēng)險(xiǎn)的采辦優(yōu)先次序。戰(zhàn)略還應(yīng)包含完整的安全需求。制定戰(zhàn)略時(shí)，政府應(yīng)將網(wǎng)絡(luò)風(fēng)險(xiǎn)列入企業(yè)風(fēng)險(xiǎn)管理，并積極與工業(yè)界、民間和政府機(jī)構(gòu)以及情報(bào)機(jī)構(gòu)合作，共享已驗(yàn)證的、基于結(jié)果的風(fēng)險(xiǎn)管理程序和最佳經(jīng)驗(yàn)。

加強(qiáng)采購(gòu)來(lái)源的網(wǎng)絡(luò)風(fēng)險(xiǎn)管控

確保提供給政府的產(chǎn)品真實(shí)、未被篡改和替代是降低網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要環(huán)節(jié)。偽冒產(chǎn)品往往不能進(jìn)行安全更新，或達(dá)不到原始設(shè)備制造商產(chǎn)品的安全標(biāo)準(zhǔn)。政府需要從原始設(shè)備制造商、授權(quán)商獲取產(chǎn)品，或者從合格供應(yīng)商表中確定可信采購(gòu)來(lái)源。政府通過(guò)一系列基于采辦類(lèi)型的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，評(píng)估供應(yīng)商的可信情況，建立合格供應(yīng)商表。即便來(lái)自可信采購(gòu)來(lái)源的產(chǎn)品也可能存在網(wǎng)絡(luò)安全缺陷。對(duì)此，政府應(yīng)限制原始設(shè)備制造商、授權(quán)商以及可信供應(yīng)商的來(lái)源，并將資格要求貫徹到全采辦生命周期。政府從供應(yīng)商獲取產(chǎn)品或服務(wù)時(shí)，若供應(yīng)商未與原始設(shè)備制造商建立信任關(guān)系，政府應(yīng)要求其就產(chǎn)品的安全和完整性提供擔(dān)保。

篇3

 

1美國(guó)電力行業(yè)信息安全的戰(zhàn)略框架

 

為響應(yīng)奧巴馬政府關(guān)于加強(qiáng)丨Kj家能源坫礎(chǔ)設(shè)施安全(13636行政令，即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求，美國(guó)能源部出資，能源行業(yè)控制系統(tǒng)工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護(hù)能源行業(yè)控制系統(tǒng)路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎(chǔ)上，于2011年了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線閣》。2011路線圖為電力行業(yè)未來(lái)丨0年的信息安全制定了戰(zhàn)略框架和行動(dòng)計(jì)劃，體現(xiàn)了美國(guó)加強(qiáng)國(guó)家電網(wǎng)持續(xù)安全和可靠性的承諾和努力路線圖基于風(fēng)險(xiǎn)管理原則，明確了至2020年美國(guó)能源傳輸系統(tǒng)網(wǎng)絡(luò)安全目標(biāo)、實(shí)施策略及里程碑計(jì)劃，指導(dǎo)行業(yè)、政府、學(xué)術(shù)界為共丨司愿景投入并協(xié)同合作。2011路線圖指出：至2020年，要設(shè)計(jì)、安裝、運(yùn)行、維護(hù)堅(jiān)韌的能源傳輸系統(tǒng)(resilientenergydeliverysystems)。美國(guó)能源彳了業(yè)的網(wǎng)絡(luò)安全目標(biāo)已從安全防護(hù)轉(zhuǎn)向系統(tǒng)堅(jiān)韌。路線圖提出了實(shí)現(xiàn)目標(biāo)的5個(gè)策略，為行業(yè)、政府、學(xué)術(shù)界指明了發(fā)展方向和工作思路。(1)建立安全文化。定期回顧和完善風(fēng)險(xiǎn)管理實(shí)踐，確保建立的安全控制有效。網(wǎng)絡(luò)安全實(shí)踐成為能源行業(yè)所有相關(guān)者的習(xí)慣,，(2)評(píng)估和監(jiān)測(cè)風(fēng)險(xiǎn)。實(shí)現(xiàn)對(duì)能源輸送系統(tǒng)的所有架構(gòu)層次、信息物理融合領(lǐng)域的連續(xù)安全狀態(tài)監(jiān)測(cè)，持續(xù)評(píng)估新的網(wǎng)絡(luò)威脅、漏洞、風(fēng)險(xiǎn)及其應(yīng)對(duì)措施。(3)制定和實(shí)施新的保施。新一代能源傳輸系統(tǒng)結(jié)構(gòu)實(shí)現(xiàn)“深度防御”，在網(wǎng)絡(luò)安全事件中能連續(xù)運(yùn)行。(4)開(kāi)展事件管理。開(kāi)展網(wǎng)絡(luò)事件的監(jiān)測(cè)、補(bǔ)救、恢復(fù)，減少對(duì)能源傳輸系統(tǒng)的影響。開(kāi)展事件后續(xù)的分析、取證以及總結(jié)，促進(jìn)能源輸送系統(tǒng)環(huán)境的改進(jìn)。(5)持續(xù)安全改進(jìn)。保持強(qiáng)大的資源保障、明確的激勵(lì)機(jī)制及利益相關(guān)者密切合作，確保持續(xù)積極主動(dòng)的能源傳輸系統(tǒng)安全提升。為及時(shí)跟蹤2011路線圖實(shí)施情況，能源行業(yè)控制系統(tǒng)工作組(ESCSWG)提供了ieRoadmap交互式平臺(tái)。通過(guò)該平臺(tái)共享各方的努力成果，掌握里程碑進(jìn)展情況，使能源利益相關(guān)者為路線圖的實(shí)現(xiàn)作一致努力。

 

2美國(guó)電力行業(yè)信息安全的管理結(jié)構(gòu)

 

承擔(dān)美國(guó)電力行業(yè)信息安全相關(guān)職責(zé)的主要政府機(jī)構(gòu)和組織包括：國(guó)土安全部(DHS)、能源部(1)0￡)、聯(lián)邦能源管理委員會(huì)(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業(yè)委員會(huì)(PUC)。2.1國(guó)土安全部美國(guó)國(guó)土安全部是美國(guó)聯(lián)邦政府指定的基礎(chǔ)設(shè)施信息安全領(lǐng)導(dǎo)部I'j'負(fù)責(zé)監(jiān)督保護(hù)政府網(wǎng)絡(luò)安全，為私營(yíng)企業(yè)提供專(zhuān)業(yè)援助。2009年DHS建立了國(guó)家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負(fù)責(zé)與聯(lián)邦相關(guān)部門(mén)、各州、各行業(yè)以及國(guó)際社會(huì)共享網(wǎng)絡(luò)威脅發(fā)展趨勢(shì)，組織協(xié)調(diào)事件響應(yīng)w。

 

2.2能源部

 

美國(guó)能源部不直接承擔(dān)電網(wǎng)信息安全的管理職責(zé)，而是通過(guò)指導(dǎo)技術(shù)研發(fā)和協(xié)助項(xiàng)目開(kāi)發(fā)促進(jìn)私營(yíng)企業(yè)發(fā)展和技術(shù)進(jìn)步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔(dān)加強(qiáng)國(guó)家能源基礎(chǔ)設(shè)施的可靠性和堅(jiān)韌性的職責(zé)，提供技術(shù)研究和發(fā)展的資金，推進(jìn)風(fēng)險(xiǎn)管理策略和信息安全標(biāo)準(zhǔn)研發(fā)，促進(jìn)威脅信息的及時(shí)共享，為電網(wǎng)信息安全戰(zhàn)略性綜合方案提供支撐。

 

能源部2012年與美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院、北美電力可靠性公司合作編制了《電力安全風(fēng)險(xiǎn)管理過(guò)程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國(guó)土安全部等共同協(xié)作編制完成了《電力行業(yè)信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨，以支撐電力行業(yè)的信息安全能力評(píng)估和提升;2014年資助能源行業(yè)控制系統(tǒng)工作組(ESCSWG)形成了《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全采購(gòu)用語(yǔ)指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強(qiáng)供應(yīng)鏈的信息安全風(fēng)險(xiǎn)管理。

 

在201丨路線圖的指導(dǎo)下，能源部啟動(dòng)了能源傳輸系統(tǒng)的信息安全項(xiàng)目，資助愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室建立SCADA安全測(cè)試平臺(tái)，發(fā)現(xiàn)并解決行業(yè)面臨的關(guān)鍵安全漏洞和威脅;資助伊利諾伊大學(xué)等開(kāi)展值得信賴(lài)的電網(wǎng)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)研究。

 

2.3聯(lián)邦能源管理委員會(huì)

 

聯(lián)邦能源管理委員會(huì)負(fù)責(zé)依法制定聯(lián)邦政府職責(zé)范圍內(nèi)的能源監(jiān)管政策并實(shí)施監(jiān)管，是獨(dú)立監(jiān)管機(jī)構(gòu)。2005年能源政策法案(EnergyPolicyActof2005)授權(quán)FERC監(jiān)督包括信息安全標(biāo)準(zhǔn)在內(nèi)的主干電網(wǎng)強(qiáng)制可靠性標(biāo)準(zhǔn)的實(shí)施。2007年能源獨(dú)立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(National丨nstituteofStandardsan<丨Technology，NIST)相關(guān)責(zé)任以協(xié)調(diào)智能電網(wǎng)指導(dǎo)方針和標(biāo)準(zhǔn)的編制和落實(shí)。2011年的電網(wǎng)網(wǎng)絡(luò)安全法案(GridCyberSecurityAct)要求FKRC建立關(guān)鍵電力基礎(chǔ)設(shè)施的信息安全標(biāo)準(zhǔn)。

 

2007年FERC批準(zhǔn)由北美電力可靠性公司制定的《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》(criticalinfrastructureprotection，CIPW標(biāo)準(zhǔn)為北美電力可靠性標(biāo)準(zhǔn)之中的強(qiáng)制標(biāo)準(zhǔn)，要求各相關(guān)企業(yè)執(zhí)行，旨在保護(hù)電網(wǎng)，預(yù)防信息系統(tǒng)攻擊事件的發(fā)生。

 

2.4北美電力可靠性公司

 

北美電力可靠性公司是非盈利的國(guó)際電力可靠性組織。NERC在FERC的監(jiān)管下，制定并強(qiáng)制執(zhí)行包括信息安全標(biāo)準(zhǔn)在內(nèi)的大電力系統(tǒng)可靠性標(biāo)準(zhǔn)，開(kāi)展可靠性監(jiān)測(cè)、分析、評(píng)估、信息共享，確保大電力系統(tǒng)的可靠性。

 

NERC了一系列的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)標(biāo)準(zhǔn)181作為北美電力系統(tǒng)的強(qiáng)制性標(biāo)準(zhǔn);與美國(guó)能源部和NIST編制了《電力行業(yè)信息安全風(fēng)險(xiǎn)管理過(guò)程指南》，提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的指導(dǎo)方針。

 

歸屬NERC的電力行業(yè)協(xié)凋委員會(huì)(ESCC)是聯(lián)邦政府與電力行業(yè)的主要聯(lián)絡(luò)者，其主要使命是促進(jìn)和支持行業(yè)政策和戰(zhàn)略的協(xié)調(diào)，以提高電力行業(yè)的可靠性和堅(jiān)韌性'NERC通過(guò)其電力行業(yè)信息共享和分析中心(ES-ISAC)的態(tài)勢(shì)感知、事件管理以及協(xié)調(diào)和溝通的能力，與電力企業(yè)進(jìn)行及時(shí)、可靠和安全的信息共享和溝通。通過(guò)電網(wǎng)安全年會(huì)(GridSecCon)、簡(jiǎn)報(bào)，提供威脅應(yīng)對(duì)策略、最佳實(shí)踐的討論共享和培訓(xùn)機(jī)會(huì);組織電網(wǎng)安全演練(GridEx)檢查整個(gè)行業(yè)應(yīng)對(duì)物理和網(wǎng)絡(luò)事件的響應(yīng)能力，促2.5州公共事業(yè)委員會(huì)美國(guó)聯(lián)邦政府對(duì)地方電力公司供電系統(tǒng)的可靠性沒(méi)有直接的監(jiān)管職責(zé)。各州公共事業(yè)委員會(huì)負(fù)責(zé)監(jiān)管地方電力公司的信息安全，大多數(shù)州的PUC沒(méi)有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定職責(zé)。PUC通過(guò)監(jiān)管權(quán)力，成為地方電力系統(tǒng)和配電系統(tǒng)網(wǎng)絡(luò)安全措施的重要決策者。全國(guó)公用事業(yè)監(jiān)管委員協(xié)會(huì)(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個(gè)聯(lián)盟協(xié)會(huì)，也采取措施促進(jìn)PUC的電力網(wǎng)絡(luò)安全工作，呼吁PUC密切監(jiān)控網(wǎng)絡(luò)安全威脅，定期審查各自的政策和程序，以確保與適用標(biāo)準(zhǔn)、最佳實(shí)踐的一致性%

 

3美國(guó)電力行業(yè)信息安全的硏究資源

 

參與美國(guó)電力行業(yè)信息安全研究的機(jī)構(gòu)和組織主要有商務(wù)部所屬的國(guó)家標(biāo)準(zhǔn)技術(shù)研究院及其領(lǐng)導(dǎo)下的智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)、國(guó)土安全部所屬的能源行業(yè)控制系統(tǒng)工作組，重點(diǎn)幵展電力行業(yè)信息安全發(fā)展路線圖、框架以及標(biāo)準(zhǔn)、指南的研究。同時(shí)，能源部所屬的多個(gè)國(guó)家實(shí)驗(yàn)室提供網(wǎng)絡(luò)安全測(cè)試、網(wǎng)絡(luò)威脅分析、具體防御措施指導(dǎo)以及新技術(shù)研究等。

 

3.1國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)

 

根據(jù)2007能源獨(dú)立與安全法令，美_國(guó)家標(biāo)準(zhǔn)技術(shù)研究院負(fù)責(zé)包括信息安全協(xié)議在內(nèi)的智能電網(wǎng)協(xié)議和標(biāo)準(zhǔn)的自愿框架的研發(fā)。NISTf20102014發(fā)#了《?能電網(wǎng)互操作標(biāo)準(zhǔn)的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本，明確了智能電網(wǎng)的網(wǎng)絡(luò)安全原則以及標(biāo)準(zhǔn)等。2011年3月，NIST了信息安全標(biāo)準(zhǔn)和指導(dǎo)方針系列中的旗艦文檔《NISTSP800-39，信息安全風(fēng)險(xiǎn)管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)，提供了一系列有意義的信息安全改進(jìn)建議。2014年2月，根據(jù)13636行政令，了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》第一版，以幫助組織識(shí)別、評(píng)估和管理關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn)。

 

NIST正在開(kāi)發(fā)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)用于檢測(cè)符合網(wǎng)絡(luò)安全保護(hù)指導(dǎo)方針和標(biāo)準(zhǔn)的_「.業(yè)控制系統(tǒng)的性能，以指導(dǎo)工業(yè)控制系統(tǒng)安全策略最佳實(shí)踐的實(shí)施。

 

3.2智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)

 

智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)其前身是智能電網(wǎng)互操作組網(wǎng)絡(luò)安全工作組(SGIP-CSWG)ra。SGCC一直專(zhuān)注于智能電網(wǎng)安全架構(gòu)、風(fēng)險(xiǎn)管理流程、安全測(cè)試和認(rèn)證等研究，致力于推進(jìn)智能電網(wǎng)網(wǎng)絡(luò)安全的發(fā)展和標(biāo)準(zhǔn)化。在NIST的領(lǐng)導(dǎo)下，SGCC編制并進(jìn)一步修訂了《智能電網(wǎng)信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網(wǎng)信息安全分析框架，為組織級(jí)研究、設(shè)計(jì)、研發(fā)和實(shí)施智能電網(wǎng)技術(shù)提供了指導(dǎo)性T.具。

 

3.3國(guó)家電力行業(yè)信息安全組織(NESC0)

 

能源部組建的國(guó)家電力行業(yè)信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)，集結(jié)了美國(guó)國(guó)內(nèi)外致力于電力行業(yè)網(wǎng)絡(luò)安全的專(zhuān)家、開(kāi)發(fā)商以及用戶(hù)，致力于網(wǎng)絡(luò)威脅的數(shù)據(jù)分析和取證工作⑴。美國(guó)電力科學(xué)研究院(EPRI)作為NESC0成員之一提供研究和分析資源，開(kāi)展信息安全要求、標(biāo)準(zhǔn)和結(jié)果的評(píng)估和分析。NESCO與能源部、聯(lián)邦政府其他機(jī)構(gòu)等共同合作補(bǔ)充和完善了2011路線圖的關(guān)鍵里程碑和目標(biāo)。

 

3.4能源行業(yè)控制系統(tǒng)工作組(ESCSWG)

 

隸屬?lài)?guó)土安全部的能源行業(yè)控制系統(tǒng)工作組由能源領(lǐng)域安全專(zhuān)家組成，在關(guān)鍵基礎(chǔ)設(shè)施合作咨詢(xún)委員會(huì)框架下運(yùn)作。在能源部的資助下，ESCSWG編制了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線圖》、《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全釆購(gòu)用語(yǔ)指南》。3.5能源部所屬的國(guó)家實(shí)驗(yàn)室

 

3.5.1愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室(INL)

 

愛(ài)達(dá)荷W家實(shí)驗(yàn)室成立于1949年，是為美國(guó)能源部在能源研究、國(guó)家防御等方面提供支撐的應(yīng)用工程實(shí)驗(yàn)室。近十年來(lái)，INL與電力行業(yè)合作，加強(qiáng)了電網(wǎng)可靠性、控制系統(tǒng)安全研究。

 

在美國(guó)能源部的資助下，INL建立了包含美國(guó)國(guó)內(nèi)和國(guó)際上多種控制系統(tǒng)的SCADA安全測(cè)試平臺(tái)以及無(wú)線測(cè)試平臺(tái)等資源，目的對(duì)SCADA進(jìn)行全面、徹底的評(píng)估，識(shí)別控制系統(tǒng)脆弱點(diǎn)，并提供脆弱點(diǎn)的消減方法113】。通過(guò)能源部的能源傳輸系統(tǒng)信息安全項(xiàng)目，INL提出了采用數(shù)據(jù)壓縮技術(shù)檢測(cè)惡意流量對(duì)SCADA實(shí)時(shí)網(wǎng)絡(luò)保護(hù)的方法hi。為支持美國(guó)國(guó)土安全部控制系統(tǒng)安全項(xiàng)目，INL開(kāi)發(fā)并實(shí)施了培訓(xùn)課程以增強(qiáng)控制系統(tǒng)專(zhuān)家的安全意識(shí)和防御能力。1NL的相關(guān)研究報(bào)告有《SCADA網(wǎng)絡(luò)安全評(píng)估方法》、《控制系統(tǒng)十大漏洞及其補(bǔ)救措施》、《控制系統(tǒng)網(wǎng)絡(luò)安全：深度防御戰(zhàn)略》、《控制系統(tǒng)評(píng)估中常見(jiàn)網(wǎng)絡(luò)安全漏洞》%、《能源傳輸控制系統(tǒng)漏洞分析>嚴(yán)|等。

 

3.5.2太平洋西北國(guó)家實(shí)驗(yàn)室(PNNL)

 

太平洋西北國(guó)家實(shí)驗(yàn)室是美國(guó)能源部所屬的闊家綜合性實(shí)驗(yàn)室，研究解決美國(guó)在能源、環(huán)境和國(guó)家安全等方面最緊迫的問(wèn)題。

 

PNNL提出的安全SCADA通信協(xié)議(secureserialcommunicationsprotocol,SSCP)的概念，有助于實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)設(shè)備與控制中心之間的安全通信。的相關(guān)研究報(bào)告有《工業(yè)控制和SCADA的安全數(shù)據(jù)傳輸指南》等。PNNL目前正在開(kāi)展仿生技術(shù)提高能源領(lǐng)域網(wǎng)絡(luò)安全的研究項(xiàng)。

 

3.5.3桑迪亞國(guó)家實(shí)驗(yàn)室(SNL)

 

桑迪亞國(guó)家實(shí)驗(yàn)室是能源部所屬的多學(xué)科國(guó)家實(shí)驗(yàn)室，也是聯(lián)邦政府資助的研究和發(fā)展中心。SNL的研究報(bào)告有《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)網(wǎng)絡(luò)漏洞評(píng)估指南》、《控制系統(tǒng)數(shù)據(jù)分析和保護(hù)安全框架》、《過(guò)程控制系統(tǒng)的安全指標(biāo)》I1'《高級(jí)計(jì)量基礎(chǔ)設(shè)施安全考慮》、《微電網(wǎng)網(wǎng)絡(luò)安全參考結(jié)構(gòu)》等。在能源部的資助下，SNL開(kāi)展了關(guān)于供應(yīng)鏈威脅的研究項(xiàng)目，形成的威脅模型有助于指導(dǎo)安全解決方案的選擇以及新投資的決策h(yuǎn)i。

 

4美國(guó)電力行業(yè)信息安全的運(yùn)作策略

 

4.1標(biāo)準(zhǔn)只作為網(wǎng)絡(luò)安全的基線

 

NERC的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)(CIP)作為強(qiáng)制性標(biāo)準(zhǔn)，是電力行業(yè)整體網(wǎng)絡(luò)安全策略的重要內(nèi)容。CIP標(biāo)準(zhǔn)與電網(wǎng)規(guī)劃準(zhǔn)則、系統(tǒng)有功平衡與調(diào)頻、無(wú)功平衡與調(diào)壓、安全穩(wěn)定運(yùn)行等系列標(biāo)準(zhǔn)相并列，成為北美大電網(wǎng)可靠性標(biāo)準(zhǔn)的重要組成部分。目前強(qiáng)制執(zhí)行的是CIP-002至C⑴-009共8個(gè)標(biāo)準(zhǔn)的第3版。文獻(xiàn)1丨6]提供了CIP-002至CIP-009主要內(nèi)容的描述列表。C〖P第5版近期已通過(guò)FERC批準(zhǔn)即將于2016年實(shí)施。第5版新增了CIP-010配置變更管理和漏洞評(píng)估、C1P-011信息保護(hù)2個(gè)強(qiáng)制標(biāo)準(zhǔn)。

 

目前配電系統(tǒng)沒(méi)有強(qiáng)制標(biāo)準(zhǔn)，但NIST將C1P標(biāo)準(zhǔn)融入了智能電網(wǎng)互操作框架中。智能電網(wǎng)互操作框架雖然是自愿標(biāo)準(zhǔn)，但為配電系統(tǒng)提供了信息安全措施指導(dǎo)為系統(tǒng)性的指導(dǎo)智能電網(wǎng)信息安全工作，NIST組織編制了《美國(guó)智能電網(wǎng)信息安全指南》，提出了一個(gè)普適性的智能電網(wǎng)信息安全分析框架，為智能電網(wǎng)的各相關(guān)方提供了風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)識(shí)別以及安全要求的實(shí)施方法。DOE編制的《電力行業(yè)信息安全風(fēng)險(xiǎn)管理過(guò)程指南》提供了電力行業(yè)信息安全風(fēng)險(xiǎn)管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i，通過(guò)行業(yè)實(shí)踐幫助組織評(píng)估、優(yōu)化和改善網(wǎng)絡(luò)安全功能，促進(jìn)網(wǎng)絡(luò)安全行動(dòng)和投資的有序開(kāi)展以及信息安全能力的持續(xù)提升。2014年NIST了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》也作為電力行業(yè)網(wǎng)絡(luò)安全自愿標(biāo)準(zhǔn)。文獻(xiàn)f17]提到只有21%的公用事業(yè)采取了NERC推薦的預(yù)防震網(wǎng)措施，可見(jiàn)自愿標(biāo)準(zhǔn)的執(zhí)行率偏低強(qiáng)制執(zhí)行的CIP標(biāo)準(zhǔn)在大電力系統(tǒng)網(wǎng)絡(luò)安全方面確實(shí)發(fā)揮了基礎(chǔ)作用，然而網(wǎng)絡(luò)威脅的快速變化以及每個(gè)組織面對(duì)的風(fēng)險(xiǎn)的獨(dú)特性，強(qiáng)制性標(biāo)準(zhǔn)在某種程度上影響企業(yè)采取超過(guò)但不同于最低標(biāo)準(zhǔn)的合適的防護(hù)措施。文獻(xiàn)丨3]提出目前將強(qiáng)制性的解決方案擴(kuò)展到配電網(wǎng)不是有效的方法，聯(lián)邦政府也在考慮縮小強(qiáng)制性范圍。持續(xù)提升網(wǎng)絡(luò)安全水平不能僅僅依賴(lài)于標(biāo)準(zhǔn)的符合度，監(jiān)督管理不能保證安全。電力行業(yè)的網(wǎng)絡(luò)安全需要整體的網(wǎng)絡(luò)安全戰(zhàn)略，包括安全文化建設(shè)、共享與協(xié)作、風(fēng)險(xiǎn)管理等。無(wú)論是強(qiáng)制性的標(biāo)準(zhǔn)還是非強(qiáng)制性的標(biāo)準(zhǔn)都只是信息安全的最低要求'4.2安全文化建設(shè)成為信息安全路線圖首要策略

 

對(duì)能源傳輸系統(tǒng)安全風(fēng)險(xiǎn)的認(rèn)知缺失或識(shí)別能力的不足，缺少有效的安全策略和技術(shù)環(huán)境訓(xùn)練的人員，將阻礙能源行業(yè)的持續(xù)安全。安全文化建設(shè)已成為201丨路線圖的首要策略，以提升電力行業(yè)網(wǎng)絡(luò)安全運(yùn)作的主動(dòng)性。2011路線圖提出重點(diǎn)從最佳實(shí)踐、教育、認(rèn)證等方面加強(qiáng)信息安全文化建設(shè)，以實(shí)現(xiàn)能源傳輸系統(tǒng)的最佳實(shí)踐被廣泛使用、具備能源傳輸和網(wǎng)絡(luò)安全技能的行業(yè)人員明顯增長(zhǎng)等中長(zhǎng)期目標(biāo)'最佳實(shí)踐傳遞的目標(biāo)效果是網(wǎng)絡(luò)安全實(shí)踐成為能源行業(yè)所有相關(guān)者的習(xí)慣。相關(guān)國(guó)家實(shí)驗(yàn)室圍繞各自研究方向總結(jié)了評(píng)估方法、漏洞補(bǔ)救措施、操作指南等一系列最佳實(shí)踐。如INL根據(jù)其多年SCADA漏洞評(píng)估經(jīng)驗(yàn)，編制了《能源傳輸系統(tǒng)漏洞分析》、《SCADA網(wǎng)絡(luò)安全評(píng)估方法》等。PNNL編制的《丁業(yè)控制和SCADA系統(tǒng)的安全數(shù)據(jù)傳輸指南》，為工業(yè)控制系統(tǒng)提供了能及時(shí)發(fā)現(xiàn)并阻止人侵的數(shù)據(jù)傳輸結(jié)構(gòu)。NIST將最佳實(shí)踐融入了安全框架、指南和導(dǎo)則中，如《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全指南》等。NESCO、NERC等通過(guò)電網(wǎng)安全年會(huì)等多種方式提供了最佳實(shí)踐的交流機(jī)會(huì)。

篇4

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò) 風(fēng)險(xiǎn) 控制策略

計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為各個(gè)行業(yè)發(fā)展歷程中不可或缺的組成部分，為了確保政府單位、企業(yè)等資源的安全、合理利用，就需要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行全面的研究和分析，發(fā)現(xiàn)哪些環(huán)節(jié)容易受到惡意軟件、黑客和病毒的攻擊，并制定有效的預(yù)防措施，這樣不僅可以確保各個(gè)環(huán)節(jié)工作的順利進(jìn)行，而且還能避免秘密的泄漏，所以加強(qiáng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理至關(guān)重要。

一、計(jì)算機(jī)網(wǎng)絡(luò)安全的定義

計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括硬件安全、管理控制網(wǎng)絡(luò)軟件安全、快捷網(wǎng)絡(luò)服務(wù)安全以及共享資源的安全等，所以計(jì)算機(jī)網(wǎng)絡(luò)安全幾乎涵蓋了所有與計(jì)算機(jī)有關(guān)的內(nèi)容。由ISO的定義可知計(jì)算機(jī)網(wǎng)絡(luò)安全主要是借助一些技能、管理和手段，來(lái)對(duì)計(jì)算機(jī)的硬件、軟件以及數(shù)據(jù)資源進(jìn)行安全管理，使其不會(huì)遭受惡意或偶然的更改、破壞、泄漏，從而確保計(jì)算機(jī)網(wǎng)絡(luò)安全、可靠的運(yùn)行。

二、計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析與管理

通常情況下，計(jì)算機(jī)網(wǎng)絡(luò)安全的問(wèn)題主要來(lái)自于計(jì)算機(jī)本身和通信設(shè)施自身的脆弱性，這些缺陷都可能導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行存在威脅。同時(shí)計(jì)算機(jī)系統(tǒng)軟件、硬件和通信設(shè)備也極易受到濕度、溫度、電磁場(chǎng)、灰塵度等外界因素的影響。除此之外，故意與非故意的人為破壞也會(huì)在一定程度上導(dǎo)致計(jì)算機(jī)安全受到威脅。另一方面，計(jì)算機(jī)內(nèi)部的數(shù)據(jù)和軟件資源極易受到非法復(fù)制、竊取、毀壞和篡改，而且計(jì)算機(jī)軟件和硬件系統(tǒng)自身的損耗也會(huì)導(dǎo)致系統(tǒng)不能正常運(yùn)行，從而造成計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的丟失和信息的損壞。通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的特點(diǎn)分析得知，影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素包括系統(tǒng)因素、信息泄漏、數(shù)據(jù)因素、物理破壞因素、自然因素等。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全分析的時(shí)候要同時(shí)包括隱患事件發(fā)生的可能性和影響范圍大小兩個(gè)方面，要對(duì)風(fēng)險(xiǎn)的估計(jì)、辨識(shí)和評(píng)價(jià)作出全面的分析，主要含有風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)辨識(shí)兩個(gè)方面。相關(guān)人員在對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行分析時(shí)，可以根據(jù)風(fēng)險(xiǎn)因素出現(xiàn)的概率和影響范圍大小進(jìn)行評(píng)估，然后根據(jù)相關(guān)標(biāo)準(zhǔn)將計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的過(guò)程劃分為評(píng)估影響、統(tǒng)計(jì)概率、評(píng)估風(fēng)險(xiǎn)三個(gè)步驟，并根據(jù)風(fēng)險(xiǎn)分析的大小來(lái)采取措施對(duì)其進(jìn)行管理。

風(fēng)險(xiǎn)管理的過(guò)程就是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)因素進(jìn)行收集、分析、預(yù)測(cè)，并根據(jù)其風(fēng)險(xiǎn)發(fā)生的概率制定系統(tǒng)性的科學(xué)管理方法，該過(guò)程中一般包括風(fēng)險(xiǎn)的識(shí)別、風(fēng)險(xiǎn)的衡量、風(fēng)險(xiǎn)的有效處置、風(fēng)險(xiǎn)的積極管理以及風(fēng)險(xiǎn)妥善處理等內(nèi)容。風(fēng)險(xiǎn)管理的主要目的就是減少和避免網(wǎng)絡(luò)風(fēng)險(xiǎn)給企業(yè)造成的巨大損失，從而促進(jìn)企業(yè)的安全、可靠發(fā)展。

三、計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)的常見(jiàn)類(lèi)型

計(jì)算機(jī)網(wǎng)絡(luò)本身具有一定的特殊性，所以將會(huì)面臨諸多因素的干擾，相應(yīng)的風(fēng)險(xiǎn)就應(yīng)運(yùn)而生，對(duì)各類(lèi)風(fēng)險(xiǎn)的分類(lèi)總結(jié)如下：

（一）黑客的威脅和攻擊

黑客是計(jì)算機(jī)網(wǎng)絡(luò)中的最大威脅，現(xiàn)實(shí)生活中黑客攻擊的方式主要有破壞性攻擊和非破壞性攻擊兩種。破壞性攻擊會(huì)對(duì)電腦系統(tǒng)造成嚴(yán)重的破壞，主要目的是竊取計(jì)算機(jī)網(wǎng)絡(luò)中的保密數(shù)據(jù)，其一般是通過(guò)獲取電子郵件、口令、特洛伊木馬以及系統(tǒng)漏洞等來(lái)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊和損害。非破壞性攻擊一般是以阻礙計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行為目的，其一般不會(huì)導(dǎo)致系統(tǒng)資料的外泄，通常是通過(guò)信息炸彈和拒絕服務(wù)來(lái)對(duì)系統(tǒng)進(jìn)行攻擊。

（二）IP地址被盜用

區(qū)域網(wǎng)絡(luò)使用過(guò)程中經(jīng)常會(huì)出現(xiàn)IP地址被盜用的情況，所以經(jīng)常會(huì)告知用戶(hù)IP地址已被占用，導(dǎo)致用戶(hù)無(wú)法進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)連接。IP地址的權(quán)限一般比較高，IP地址竊取人員通常會(huì)以不知名的身份來(lái)阻止用戶(hù)對(duì)網(wǎng)絡(luò)的正常使用，從而對(duì)用戶(hù)造成較大的影響，使用戶(hù)的合法權(quán)益受到侵犯，嚴(yán)重威脅了計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

（三）計(jì)算機(jī)病毒

我國(guó)的相關(guān)規(guī)范和標(biāo)準(zhǔn)中明文規(guī)定了計(jì)算機(jī)病毒的定義是編制者將程序代碼、指令植入到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之中，而且這些程序代碼和指令具有自我復(fù)制的功能，而且對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)和相關(guān)功能進(jìn)行破壞，從而影響了計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。大量的實(shí)踐結(jié)果表明，計(jì)算機(jī)病毒具有破壞力強(qiáng)而不易發(fā)現(xiàn)的特點(diǎn)。如今，計(jì)算機(jī)病毒已經(jīng)成為威脅網(wǎng)絡(luò)安全的罪魁禍?zhǔn)?，其各?lèi)病毒在網(wǎng)上的傳播速度比較快，而且對(duì)計(jì)算機(jī)網(wǎng)絡(luò)所造成的危害也是巨大的，常見(jiàn)的計(jì)算機(jī)病毒有震網(wǎng)、木馬、火焰等。

（四）缺乏系統(tǒng)性的計(jì)算機(jī)網(wǎng)絡(luò)安全管理

如今，我國(guó)大部分計(jì)算機(jī)網(wǎng)絡(luò)安全缺乏系統(tǒng)性的管理，而且相關(guān)管理體制不夠健全，對(duì)權(quán)限和密碼的管理不到位，崗位分工不明確、用戶(hù)安全防衛(wèi)意識(shí)薄弱等都有可能加重計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)的發(fā)生，同時(shí)導(dǎo)致計(jì)算機(jī)黑客、病毒更容易對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行破壞，從而威脅到了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。

（五）垃圾郵件的泛濫

垃圾郵件屬于用戶(hù)不愿意結(jié)束但是又無(wú)法拒絕的郵件，這些郵件不僅增加了郵箱的內(nèi)存，而且還增加了網(wǎng)絡(luò)的負(fù)擔(dān)，嚴(yán)重影響了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行速度，同時(shí)也侵犯了用戶(hù)的隱私。

四、計(jì)算機(jī)網(wǎng)絡(luò)安全的控制對(duì)策

導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)風(fēng)險(xiǎn)的因素比較多，只有對(duì)其進(jìn)行全面的分析，掌握風(fēng)險(xiǎn)的類(lèi)型才能做到對(duì)癥下藥；只有采取有效的策略，才能盡最大可能避免風(fēng)險(xiǎn)的發(fā)生，保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。具體的風(fēng)險(xiǎn)防范策略如表1所示。

表1計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范策略

（一）防黑客技術(shù)

如今，黑客已經(jīng)導(dǎo)致越來(lái)越多的企業(yè)遭受損害，所以加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的身份認(rèn)證已經(jīng)成為未來(lái)發(fā)展的必然趨勢(shì)，同時(shí)要求用戶(hù)定期對(duì)自己的賬戶(hù)和密碼進(jìn)行修改，并結(jié)合其它預(yù)防技術(shù)，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)黑客的阻止?，F(xiàn)實(shí)生活中最為有效的黑客防治措施就是防火墻技術(shù)，防火墻可以有效的避免外來(lái)用戶(hù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的非法入侵，其一般是在外部網(wǎng)絡(luò)和局域網(wǎng)之間設(shè)置防火墻，其不僅能夠阻止外來(lái)用戶(hù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的非法入侵，而且還能保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。防火墻的使用可以保證外部網(wǎng)與局域網(wǎng)地址的分割，這樣一來(lái)外部網(wǎng)絡(luò)也不能任意查找局域網(wǎng)的IP地址，同時(shí)也不能和局域網(wǎng)之間發(fā)生數(shù)據(jù)交流，因?yàn)橥獠烤W(wǎng)絡(luò)和局域網(wǎng)之間的交流必須通過(guò)防火墻的過(guò)濾才能實(shí)現(xiàn)，從而提高了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性。防火墻技術(shù)運(yùn)用的主要目的就是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)之間的訪問(wèn)進(jìn)行控制，避免外部非法用戶(hù)對(duì)網(wǎng)絡(luò)資源的竊取和利用，從而實(shí)現(xiàn)了對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)。防火墻技術(shù)不僅可以決定對(duì)外部信息的訪問(wèn)，而且還能決定外部哪些信息可以進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之中，而且只要是外部信息想要進(jìn)入內(nèi)部網(wǎng)絡(luò)就需要經(jīng)過(guò)防火墻，防火墻將會(huì)對(duì)這些信息進(jìn)行檢查，獲取授權(quán)之后才能順利通過(guò)防火墻。

（二）計(jì)算機(jī)病毒的防范措施

計(jì)算機(jī)病毒的入侵難以察覺(jué)，而且侵入計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的方式比較多，所以要對(duì)病毒的預(yù)防給予高度的重視，同時(shí)還要為計(jì)算機(jī)網(wǎng)絡(luò)配備專(zhuān)業(yè)的防毒軟件，并定期進(jìn)行升級(jí)，以便能夠更好的解決計(jì)算機(jī)病毒，防止其對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的破壞。對(duì)于計(jì)算機(jī)病毒的預(yù)防不僅要從計(jì)算機(jī)管理人員的日常維護(hù)著手，而且還要從根本上重視計(jì)算機(jī)管理的基本內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的所有工作人員都要熟悉和掌握殺毒軟件，從而有效的預(yù)防病毒的入侵，而且還要定期對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行檢查，對(duì)于潛在的威脅要及時(shí)采取措施給予解決。要想最大限度的降低病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的破損，最好對(duì)重要信息和數(shù)據(jù)進(jìn)行備份，避免病毒入侵后，一些重要信息無(wú)法及時(shí)恢復(fù)。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中最為常用的殺毒軟件為：360安全衛(wèi)士、瑞星殺毒、卡巴斯基、金山毒霸、KV3000、NOD32等。

（三）入侵檢測(cè)

隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，傳統(tǒng)的檢測(cè)技術(shù)已經(jīng)不能很好的適應(yīng)時(shí)展，此時(shí)就需要不斷對(duì)其進(jìn)行創(chuàng)新，而入侵檢測(cè)技術(shù)就屬于新一代的安全保護(hù)技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)技術(shù)更多的傾向于防火墻技術(shù)和數(shù)據(jù)加密，而入侵檢測(cè)技術(shù)則是在上述兩種技術(shù)的基礎(chǔ)上進(jìn)一步研發(fā)得到的。入侵檢測(cè)技術(shù)主要包括數(shù)據(jù)收集技術(shù)、響應(yīng)技術(shù)和攻擊檢測(cè)技術(shù)三個(gè)方面。入侵檢測(cè)技術(shù)可以及時(shí)、有效的檢測(cè)出計(jì)算機(jī)網(wǎng)絡(luò)信息和資源中隱含的惡意攻擊行為，其不僅能夠?qū)?nèi)部用戶(hù)的非法操作進(jìn)行檢測(cè)，而且還能對(duì)外部網(wǎng)絡(luò)環(huán)境進(jìn)行有效檢測(cè)。該技術(shù)可以在不同網(wǎng)絡(luò)資源或計(jì)算機(jī)系統(tǒng)中獲取需要的信息，其主要包括系統(tǒng)運(yùn)行狀態(tài)信息和網(wǎng)絡(luò)路由信息，在對(duì)這些信息進(jìn)行判斷和分析的過(guò)程中，入侵檢測(cè)技術(shù)可以對(duì)異常行為和信號(hào)進(jìn)行檢測(cè)，從而降低網(wǎng)絡(luò)的威脅。

（四）計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理

如今，所有的計(jì)算機(jī)網(wǎng)絡(luò)都將面對(duì)各式各樣的風(fēng)險(xiǎn)，所以加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理就顯得尤為重要。計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理主要過(guò)程就是對(duì)各類(lèi)風(fēng)險(xiǎn)進(jìn)行分析和評(píng)價(jià)，并針對(duì)具體風(fēng)險(xiǎn)制定有效的處理措施。計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理主要是對(duì)網(wǎng)絡(luò)的基本屬性特征進(jìn)行分析，其特征主要包括了信息安全和信息系統(tǒng)的調(diào)查。計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范最初開(kāi)始于對(duì)網(wǎng)絡(luò)屬性的分析，其是后續(xù)風(fēng)險(xiǎn)評(píng)估的關(guān)鍵，從風(fēng)險(xiǎn)評(píng)估中找出降低計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)的主要措施。風(fēng)險(xiǎn)防范的過(guò)程中就是對(duì)各項(xiàng)風(fēng)險(xiǎn)預(yù)防措施的重新排列組合，盡最大努力降低風(fēng)險(xiǎn)發(fā)生的概率。實(shí)際上，計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理是網(wǎng)絡(luò)正常運(yùn)行中最為重要的一步，同時(shí)也是最后一步。

五、結(jié)束語(yǔ)

綜上所述，隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)犯罪的數(shù)量呈現(xiàn)逐年增加的趨勢(shì)，而且對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊方法逐漸多元化，如電子信息截獲、模仿、更改以及網(wǎng)站經(jīng)濟(jì)欺詐等。究其主要原因還是由于計(jì)算機(jī)網(wǎng)絡(luò)管理方面存在漏洞，導(dǎo)致一些病毒、黑客等對(duì)網(wǎng)絡(luò)進(jìn)行入侵，致使計(jì)算機(jī)網(wǎng)絡(luò)存在較大的安全隱患。所以，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)預(yù)防措施的制定，可以有效降低各類(lèi)網(wǎng)絡(luò)風(fēng)險(xiǎn)的發(fā)生。

參考文獻(xiàn)：

[1]莫新菊.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012，7（18）：98-99.

篇5

關(guān)鍵詞：網(wǎng)上銀行 發(fā)展現(xiàn)狀 風(fēng)險(xiǎn)管理 措施分析

一、網(wǎng)上銀行

網(wǎng)上銀行（E-Bank）是銀行等金融機(jī)構(gòu)使用計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)開(kāi)設(shè)的銀行，通過(guò)Internet向客戶(hù)提供開(kāi)戶(hù)、銷(xiāo)戶(hù)、查詢(xún)、對(duì)賬、行內(nèi)轉(zhuǎn)賬、跨行轉(zhuǎn)賬、信貸、網(wǎng)上證劵、投資理財(cái)?shù)葌鹘y(tǒng)服務(wù)項(xiàng)目，使客戶(hù)可以足不出戶(hù)就方便地管理活期和定期存款、支票、信用卡及進(jìn)行個(gè)人投資的虛擬銀行柜臺(tái)。

二、網(wǎng)上銀行的風(fēng)險(xiǎn)

為保證銀行內(nèi)部整個(gè)金融網(wǎng)的安全，我們需要保證網(wǎng)上銀行交易系統(tǒng)的安全，最大限度避免交易風(fēng)險(xiǎn)，這是網(wǎng)上銀行建設(shè)中最至關(guān)重要的問(wèn)題，也是銀行保證顧客資金安全的最根本的考慮。

1.來(lái)自網(wǎng)上銀行物理結(jié)構(gòu)的風(fēng)險(xiǎn)

網(wǎng)絡(luò)是虛擬的，但又是物理存在的，數(shù)據(jù)通過(guò)物理介質(zhì)進(jìn)行運(yùn)輸和儲(chǔ)存，進(jìn)行儲(chǔ)存的介質(zhì)有硬盤(pán)、軟盤(pán)和磁帶等，若遭受物理?yè)p失，損失的不僅僅是這些設(shè)施，更嚴(yán)重的是存儲(chǔ)于這些設(shè)施中的數(shù)據(jù)，所以注重網(wǎng)上銀行的物理安全問(wèn)題是網(wǎng)上銀行發(fā)展的前提。

它主要包括兩個(gè)方面，第一是環(huán)境安全，及對(duì)系統(tǒng)所在環(huán)境的安全進(jìn)行保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)等。第二是設(shè)備安全，主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄露、防止線路截獲、抗電磁干擾及電源保護(hù)等。

2.來(lái)自網(wǎng)上銀行技術(shù)結(jié)構(gòu)的風(fēng)險(xiǎn)

網(wǎng)上銀行的技術(shù)風(fēng)險(xiǎn)主要包括網(wǎng)絡(luò)風(fēng)險(xiǎn)和交易風(fēng)險(xiǎn)兩個(gè)方面，網(wǎng)絡(luò)安全能夠確保網(wǎng)上銀行網(wǎng)站的安全性，交易安全能夠確?？蛻?hù)通過(guò)網(wǎng)上銀行進(jìn)行交易的資金安全。

在網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題中，最重要的是內(nèi)部網(wǎng)與外部網(wǎng)之間的訪問(wèn)控制問(wèn)題，在這個(gè)環(huán)節(jié)上時(shí)常發(fā)生問(wèn)題，這也是黑客經(jīng)常攻擊的地方；另外一個(gè)問(wèn)題是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的訪問(wèn)控制問(wèn)題，不同內(nèi)部網(wǎng)具有重要性不同的信息資料，因而，內(nèi)部犯罪人員往往利用內(nèi)部網(wǎng)管理上的漏洞，尋找盜竊或破壞漏洞。

計(jì)算機(jī)技術(shù)不斷更新發(fā)展的同時(shí)，防病毒技術(shù)、防火墻技術(shù)的更新發(fā)展存在一定的滯后性。計(jì)算機(jī)病毒、黑客、木馬等技術(shù)有威脅網(wǎng)上銀行安全的可能。

三、網(wǎng)上銀行風(fēng)險(xiǎn)對(duì)策設(shè)計(jì)

1.重視物理環(huán)境安全設(shè)計(jì)

首先，制度的安全需要提高安全防范意識(shí)，參照國(guó)家標(biāo)準(zhǔn)制定相關(guān)的規(guī)章制度，加強(qiáng)安全管理，提高員工整體素質(zhì)，建立健全安全防范制度。其次，建筑的安全，機(jī)房建筑和結(jié)構(gòu)從安全的角度出發(fā)，應(yīng)該考慮多個(gè)方面，例如，計(jì)算機(jī)周?chē)鷳?yīng)有足夠亮度的照明設(shè)施和防止非法進(jìn)入的設(shè)施，計(jì)算機(jī)中心周?chē)?00米內(nèi)不能有危險(xiǎn)建筑物等。最后是計(jì)算機(jī)設(shè)備的防火、防盜、防雷、防靜電，計(jì)算機(jī)在擺放時(shí)，可以根據(jù)消防火級(jí)別來(lái)確定機(jī)房的設(shè)計(jì)方案。

2.確保硬件安全

硬件安全主要是物理安全和設(shè)備安全。為確保物理安全，要防止意外的發(fā)生，和人員的故意破壞；確保設(shè)備安全就要求管理人員保護(hù)設(shè)備的鑰匙、口令、密碼等，防止人為或網(wǎng)絡(luò)病毒、近遠(yuǎn)程對(duì)于安全的攻擊。

3.控制訪問(wèn)權(quán)限

控制訪問(wèn)權(quán)限，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。

4.保護(hù)主機(jī)自身安全

利用系列網(wǎng)絡(luò)隔離的手段對(duì)計(jì)算機(jī)中心的硬件系統(tǒng)進(jìn)行隔離。要著重考察主機(jī)及系統(tǒng)的安全、穩(wěn)定、持續(xù)性，防止黑客、木馬等入侵的渠道。

5.確保內(nèi)部網(wǎng)絡(luò)安全性

使用加密、簽名認(rèn)證等技術(shù)避免數(shù)據(jù)篡改；局域網(wǎng)技術(shù)利用vlan技術(shù)進(jìn)行物理隔離不同的位置、不同的業(yè)務(wù)網(wǎng)。

6.防火墻隔離安全

防火墻的硬件基礎(chǔ)應(yīng)選擇性能優(yōu)良的物理平臺(tái)，設(shè)置防火墻時(shí)要截止所有從135到142的TCP和UDP連接，改變默認(rèn)配置端口，拒絕Ping信息包，通過(guò)設(shè)置過(guò)濾規(guī)則來(lái)實(shí)現(xiàn)包過(guò)濾功能。實(shí)際運(yùn)行操作中可采取防火墻雙機(jī)備份，選擇兩臺(tái)同樣的設(shè)備安裝防火墻（一臺(tái)作為備份）。

7.數(shù)據(jù)備份與隔離保護(hù)

鑒于數(shù)據(jù)庫(kù)的重要性，應(yīng)對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理并提供可靠的故障恢復(fù)機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)、存取、加密控制，具體實(shí)現(xiàn)方案有安全數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)庫(kù)保密系統(tǒng)、數(shù)據(jù)庫(kù)掃描系統(tǒng)等。

8.保障通信與信息安全

篇6

關(guān)鍵詞 信息安全風(fēng)險(xiǎn)；控制；策略

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）12-0144-02

信息化時(shí)代，計(jì)算機(jī)應(yīng)用范圍日益廣泛，社會(huì)發(fā)展和人們生活已經(jīng)離不開(kāi)信息網(wǎng)絡(luò)。信息成為企業(yè)中重要的資源之一，很多企業(yè)都大量引入了信息化辦公手段，運(yùn)行于系統(tǒng)、網(wǎng)絡(luò)和電腦的數(shù)據(jù)安全成為了企業(yè)信息安全面臨的重要問(wèn)題。盡管很多企業(yè)都認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)管理的重要性，也紛紛從人員配置、資金投入、技術(shù)更新等多方面加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)的管理，但是企業(yè)信息安全風(fēng)險(xiǎn)并沒(méi)有隨之消失，相反卻在不斷地增長(zhǎng)?，F(xiàn)在，公司在越來(lái)越多的威脅面前顯得更為脆弱。網(wǎng)絡(luò)攻擊日益頻繁、攻擊手段日益多樣化，從病毒到垃圾郵件，這些方式都被用來(lái)竊取公司信息。，如不提前防范，一旦被襲，網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息傳輸中斷、數(shù)據(jù)丟失等等，無(wú)疑將給企業(yè)業(yè)務(wù)帶來(lái)巨大的經(jīng)濟(jì)損失。

中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心抽樣監(jiān)測(cè)顯示，2011年，網(wǎng)絡(luò)安全威脅呈蔓延之勢(shì)，有近5萬(wàn)個(gè)境外IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器，參與控制了我國(guó)境內(nèi)近890萬(wàn)臺(tái)主機(jī)，網(wǎng)上資產(chǎn)損失就高達(dá)十多億。仿冒我國(guó)境內(nèi)銀行網(wǎng)站站點(diǎn)的IP，也有將近3/4來(lái)自美國(guó)。可見(jiàn)企業(yè)信息安全風(fēng)險(xiǎn)控制勢(shì)在必行，不僅僅是企業(yè)需要關(guān)注的問(wèn)題，也是涉及到國(guó)家安全的重要課題。

1 企業(yè)信息安全風(fēng)險(xiǎn)分析

1.1 黑客的入侵和攻擊

企業(yè)面臨著一系列的信息安全威脅，其中最普遍的一種信息安全威脅就是病毒入侵。一些教授黑客技術(shù)的網(wǎng)絡(luò)資源隨處可見(jiàn)，很多年輕人處于好奇或者出于牟利目的，從網(wǎng)上購(gòu)得黑客技術(shù)，對(duì)企業(yè)網(wǎng)站進(jìn)行攻擊。2011年4月26日，索尼在“游戲站”博客通告，稱(chēng)黑客侵入旗下“游戲站”和云音樂(lè)服務(wù)Qriocity網(wǎng)絡(luò)，竊取大量用戶(hù)個(gè)人信息，包括姓名、地址、電子郵箱、出生日期、登錄名、登錄密碼、登錄記錄、密碼安全問(wèn)題等，受影響用戶(hù)大約7800萬(wàn)。黑客入侵方式中危害最嚴(yán)重的當(dāng)屬SQL注入。SQL注入的實(shí)際意義是利用某些數(shù)據(jù)庫(kù)的外部接口把用戶(hù)數(shù)據(jù)插入到實(shí)際的數(shù)據(jù)操作語(yǔ)言當(dāng)中，從而達(dá)到入侵?jǐn)?shù)據(jù)庫(kù)乃至操作系統(tǒng)的目的，很多黑客通過(guò)SQL注入交互和命令，利用數(shù)據(jù)庫(kù)實(shí)現(xiàn)木馬植入到網(wǎng)站中。SQL注入和緩沖區(qū)溢出漏洞相比，可以繞過(guò)防火墻直接訪問(wèn)數(shù)據(jù)庫(kù)，進(jìn)一步獲得數(shù)據(jù)庫(kù)所在的服務(wù)器權(quán)限，給企業(yè)造成的損失十分慘重，更使廣大互聯(lián)網(wǎng)用戶(hù)深受其害。

1.2 企業(yè)信息安全防范意識(shí)薄弱

目前，很多企業(yè)都加強(qiáng)了信息化建設(shè)，通過(guò)資金投入、技術(shù)改造等多方面加強(qiáng)企業(yè)信息安全。但是信息風(fēng)險(xiǎn)不僅僅是技術(shù)層面的東西，更重要是人的意識(shí)層面對(duì)安全風(fēng)險(xiǎn)的認(rèn)識(shí)。在企業(yè)中，很多部門(mén)和個(gè)人依然對(duì)信息安全風(fēng)險(xiǎn)問(wèn)題不重視，有的認(rèn)為信息風(fēng)險(xiǎn)安全是網(wǎng)絡(luò)部門(mén)的事情，與其他部門(mén)或者員工沒(méi)有關(guān)系，而且也幫不上忙；有的人認(rèn)為對(duì)信息安全的宣傳有夸張的嫌疑，真正遭受過(guò)網(wǎng)絡(luò)攻擊的企業(yè)屈指可數(shù)，肯定不會(huì)發(fā)生在自己身上；有的企業(yè) 缺乏信息安全風(fēng)險(xiǎn)管理的制度建設(shè)，沒(méi)有出臺(tái)具體的故障制度，造成很多情況下，員工無(wú)章可循，不知道怎么應(yīng)對(duì)網(wǎng)絡(luò)信息風(fēng)險(xiǎn)，出現(xiàn)問(wèn)題也不知道如何化解和處理。有的企業(yè)盡管已經(jīng)制定了規(guī)章制度，但很多都是流于形式，沒(méi)有針對(duì)性，也沒(méi)有操作性，長(zhǎng)年累月不進(jìn)行更新和修改，滯后于信息化時(shí)展的要求。

1.3 技術(shù)裝備和設(shè)施的作用發(fā)揮不充分

很多企業(yè)為了加強(qiáng)信息安全風(fēng)險(xiǎn)管理，都有針對(duì)性的部署了一些信息安全設(shè)備，然后這些從安裝上就很少有人問(wèn)津，設(shè)備的運(yùn)行狀況和參數(shù)設(shè)置都不合理，都是根據(jù)系統(tǒng)提示采用默認(rèn)設(shè)置，由于企業(yè)與企業(yè)之間有很大的不同，企業(yè)之間的信息安全風(fēng)險(xiǎn)也相差迥異，采用默認(rèn)狀態(tài)無(wú)法照顧企業(yè)的真實(shí)情況，不能從源頭上有針對(duì)性的加強(qiáng)信息安全風(fēng)險(xiǎn)管理。很多企業(yè)缺乏對(duì)安全設(shè)備以及運(yùn)行日志的監(jiān)控，不能有效的根據(jù)設(shè)備運(yùn)行狀況進(jìn)行細(xì)致分析，從而采取適當(dāng)措施加強(qiáng)信息風(fēng)險(xiǎn)管理?？傊?，在企業(yè)信息安全風(fēng)險(xiǎn)管理中被動(dòng)保護(hù)的情況比較普遍，缺乏主動(dòng)防御的意識(shí)，而且對(duì)于大多數(shù)中小企業(yè)而言，企業(yè)資金和規(guī)模都比較小，面臨激烈的市場(chǎng)競(jìng)爭(zhēng)，企業(yè)將主要精力用于市場(chǎng)開(kāi)拓和產(chǎn)品的影響，以期在短時(shí)間內(nèi)獲得可觀的利潤(rùn)，企業(yè)在信息安全風(fēng)險(xiǎn)上的投入比較少，很多設(shè)備都老化了，線路都磨損嚴(yán)重，卻沒(méi)有得到及時(shí)更新和維護(hù)，為企業(yè)安全風(fēng)險(xiǎn)管理埋下了隱患。

1.4 企業(yè)信息安全規(guī)定不嚴(yán)謹(jǐn)

很多企業(yè)在實(shí)際工作制定了大量的安全管理規(guī)定，但是在實(shí)際操作中，對(duì)企業(yè)員工以及信息服務(wù)人員的口令卡、數(shù)據(jù)加密等要求很難得到落實(shí)。部分員工長(zhǎng)期使用初始口令、加密強(qiáng)度較弱的口令，有的員工登陸系統(tǒng)時(shí)使用別人的賬號(hào)，使用完畢后也沒(méi)有及時(shí)關(guān)閉賬號(hào)，也不關(guān)電腦，外來(lái)人員很容易登陸電腦竊取企業(yè)機(jī)密文件，公司內(nèi)部也缺乏信息安全風(fēng)險(xiǎn)管理的意識(shí)，員工可以任意下載企業(yè)資料，可以隨意將企業(yè)資料設(shè)置成共享狀態(tài)，在拷貝企業(yè)文件或者數(shù)據(jù)時(shí)，也沒(méi)有經(jīng)過(guò)殺毒過(guò)程，直接下載或者用郵件發(fā)送。甚至很多企業(yè)員工在上班時(shí)間看電影、玩游戲、下載文件比較普遍，員工隨意打開(kāi)一些不安全的網(wǎng)站，隨意接受一些來(lái)源可疑的郵件，成病毒傳播、木馬下載、賬號(hào)及密碼被盜，自己還渾然不知。這些不良行為都嚴(yán)重威脅企業(yè)的信息安全，加上現(xiàn)代企業(yè)人員流動(dòng)比較頻繁，員工跳槽很普遍，很多員工離職后也沒(méi)有上交公司賬號(hào)和口令卡，依然可以登錄原公司系統(tǒng)，給企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)帶來(lái)隱患。企業(yè)廢棄不用的一些安全設(shè)備也沒(méi)有及時(shí)進(jìn)行加密和保護(hù)處理，里面的數(shù)據(jù)沒(méi)有及時(shí)進(jìn)行刪除，安全設(shè)備隨意放置，外人很容易從這些設(shè)備中還原和復(fù)制原有的信息資源。

2 企業(yè)信息安全風(fēng)險(xiǎn)的控制

2.1 加強(qiáng)基礎(chǔ)設(shè)施建設(shè)資金投入

企業(yè)要加強(qiáng)信息安全風(fēng)險(xiǎn)防范的資金投入，資金投入主要用于企業(yè)日常安全信息管理、技術(shù)人員的培訓(xùn)以及安全設(shè)備的購(gòu)置等等，每年企業(yè)從企業(yè)利潤(rùn)中拿出一定比例的資金來(lái)加強(qiáng)信息安全的投入，投入的資金與企業(yè)規(guī)模、企業(yè)對(duì)信息安全的要求息息相關(guān)。針對(duì)很多公司信息化設(shè)備老化，線路損耗嚴(yán)重的現(xiàn)實(shí)情況，企業(yè)要加強(qiáng)線路的維護(hù)和改造，購(gòu)買(mǎi)新的防火墻和殺毒軟件等等，在采購(gòu)和使用信息安全產(chǎn)品時(shí)，企業(yè)一定要重視產(chǎn)品的管理功能是否強(qiáng)大、解決方案是否全面，以及企業(yè)安全管理人員的技術(shù)水平。例如企業(yè)可以購(gòu)入U(xiǎn)PS電源，突然停電時(shí)可以利用該電源用來(lái)應(yīng)急，以保證公司信息化建設(shè)中系統(tǒng)的正常運(yùn)行和設(shè)備技術(shù)的及時(shí)更新。

2.2 提高個(gè)人信息安全意識(shí)

維護(hù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全是企業(yè)每一位員工都應(yīng)該關(guān)注的課題，企業(yè)要加強(qiáng)信息安全風(fēng)險(xiǎn)防范的宣傳，讓每一位員工都對(duì)基本得到網(wǎng)絡(luò)安全信息技術(shù)有所了解，對(duì)計(jì)算機(jī)風(fēng)險(xiǎn)的重要性有清楚的認(rèn)識(shí)，每位員工尤其是網(wǎng)絡(luò)技術(shù)服務(wù)人員要把口令卡和賬號(hào)管理好，不能泄露或者遺失，使用者的網(wǎng)絡(luò)操作行為和權(quán)限都要進(jìn)行一定的控制，防止企業(yè)員工越權(quán)瀏覽公司信息，對(duì)于一些涉及企業(yè)機(jī)密的文件要及時(shí)進(jìn)行加密，對(duì)文件是否可以公開(kāi)訪問(wèn)進(jìn)行限制，減少不合法的訪問(wèn)。還要及時(shí)清理文件，一些廢棄的或者沒(méi)有價(jià)值的文件要及時(shí)進(jìn)行刪除，要徹底刪除不能僅僅放到回收站，保證其他人無(wú)法通過(guò)復(fù)制或者還原電腦設(shè)備中的信息。對(duì)于企業(yè)電腦設(shè)備要注意防磁、防雷擊等保護(hù)措施，企業(yè)職工要對(duì)電腦設(shè)備的基本保養(yǎng)和維護(hù)措施有了解，不要在過(guò)于潮濕、氣溫過(guò)高的地方使用電腦，要懂得如何對(duì)電腦系統(tǒng)繼續(xù)軟件更新和漏洞的修補(bǔ)，從而保證計(jì)算機(jī)處在最優(yōu)的防護(hù)狀態(tài)，減少病毒入侵。

2.3 加強(qiáng)防火墻設(shè)計(jì)

由員工網(wǎng)絡(luò)操作不當(dāng)造成的黑客入侵、商業(yè)機(jī)密泄露也威脅著企業(yè)的生存和發(fā)展。一直以來(lái)，企業(yè)信息安全解決方案都需要來(lái)自多個(gè)制造商的不同產(chǎn)品，需要多個(gè)工具和基礎(chǔ)結(jié)構(gòu)來(lái)進(jìn)行管理、報(bào)告和分析。不同品牌、不同功能的信息安全設(shè)備被雜亂無(wú)章地堆疊在企業(yè)網(wǎng)絡(luò)中，不但兼容性差，還容易造成企業(yè)網(wǎng)絡(luò)擁堵。正確地部署和配置這些復(fù)雜的解決方案十分困難，而且需要大量時(shí)間。另外，大量安全產(chǎn)品互操作性不足，無(wú)法與已有的安全和 IT 基礎(chǔ)結(jié)構(gòu)很好的集成。這樣組成的解決方案難以管理，增加了擁有者總成本，并可能在網(wǎng)絡(luò)上留下安全漏洞。企業(yè)可以引入終端安全管理系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)的防范，例如瑞星企業(yè)終端安全管理系統(tǒng)采用了統(tǒng)一系統(tǒng)平臺(tái)+獨(dú)立功能模塊的設(shè)計(jì)理念，集病毒查殺雙引擎、專(zhuān)業(yè)防火墻和信息安全審計(jì)等于一身，具有網(wǎng)絡(luò)安全管理、客戶(hù)端行為審計(jì)、即時(shí)通訊管理和審計(jì)、客戶(hù)端漏洞掃描和補(bǔ)丁管理等功能；企業(yè)信息安全新品還采用了模塊化的新形式，企業(yè)可以根據(jù)自己的需求定制相應(yīng)的功能組合；通過(guò)瑞星在線商店，企業(yè)也可以隨著信息安全需求的變化添加所需模塊，減輕首次購(gòu)買(mǎi)的支付成本及后續(xù)的升級(jí)成本。

總之，隨著網(wǎng)絡(luò)應(yīng)用的日益普及，企業(yè)信息安全風(fēng)險(xiǎn)問(wèn)題日益復(fù)雜。要切實(shí)加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)，從規(guī)章制度、技術(shù)手段以及宣傳教育等多方面加強(qiáng)企業(yè)信息安全風(fēng)險(xiǎn)防范，確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

參考文獻(xiàn)

[1]夏青.淺述網(wǎng)絡(luò)技術(shù)與信息安全[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2003（11）.

[2]馬俊，王鐵存.網(wǎng)絡(luò)數(shù)據(jù)傳輸安全對(duì)策[J].航空計(jì)算技術(shù)，2006，25（4）.

[3]李象江.網(wǎng)絡(luò)安全技術(shù)與管理[J].現(xiàn)代圖書(shū)情報(bào)，2006（2）.

[4]陳月波.網(wǎng)絡(luò)信息安全第1版[M].武漢：武漢工業(yè)大學(xué)出版社，2008.

[5]劉正紅.XML加密技術(shù)的研究與實(shí)現(xiàn)[J].長(zhǎng)春大學(xué)學(xué)報(bào)，2007，17（6）.

[6]劉寶旭.網(wǎng)絡(luò)信息系統(tǒng)安全與管理[J].中國(guó)信息導(dǎo)報(bào)，2000（11）.

篇7

隨著寬帶網(wǎng)絡(luò)和用戶(hù)規(guī)模的不斷增長(zhǎng)，用戶(hù)對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程，通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴(lài)性”、“可追溯性”和“真實(shí)性”等。

信息安全管理的本質(zhì)，可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則），給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型，如下圖一所示：

圖一信息安全風(fēng)險(xiǎn)管理模型

既然信息安全是一個(gè)管理過(guò)程，則對(duì)PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過(guò)程就是PLAN-DO-CHECK-ACT（計(jì)劃－實(shí)施與部署－監(jiān)控與評(píng)估－維護(hù)和改進(jìn)）的循環(huán)過(guò)程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對(duì)范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險(xiǎn)分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評(píng)估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點(diǎn)分析）

u資產(chǎn)/威脅/弱點(diǎn)的映射表

uImpact&LikelihoodAssessment（影響和可能性評(píng)估）

uRiskResultAnalysis（風(fēng)險(xiǎn)結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護(hù)措施）

e)Monitoring&Implementation（監(jiān)控和實(shí)施）

f)Effectestimation（效果檢查與評(píng)估）

（4）實(shí)施和運(yùn)營(yíng)初步的ISMS體系

（5）對(duì)ISMS運(yùn)營(yíng)的過(guò)程和效果進(jìn)行監(jiān)控

（6）在運(yùn)營(yíng)中對(duì)ISMS進(jìn)行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶(hù)對(duì)網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來(lái)越高，且IP寬帶網(wǎng)絡(luò)及客戶(hù)所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營(yíng)者意識(shí)到有必要對(duì)IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理，以使得能夠動(dòng)態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。

由于網(wǎng)絡(luò)運(yùn)營(yíng)者目前對(duì)于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍，所以一般采用信息安全咨詢(xún)外包的方式來(lái)建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類(lèi)咨詢(xún)項(xiàng)目一般按照以下幾個(gè)階段，進(jìn)行項(xiàng)目實(shí)踐：

3.1項(xiàng)目準(zhǔn)備階段。

a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息；

b)和客戶(hù)溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖；

c)建議并明確項(xiàng)目成員組成和分工；

d)對(duì)項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明；

e)對(duì)客戶(hù)領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識(shí)、知識(shí)或工具培訓(xùn)；

f)匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶(hù)領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項(xiàng)目執(zhí)行階段。

a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分；

b)分安全域進(jìn)行資料搜集和訪談，包括用戶(hù)規(guī)模、用戶(hù)分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫(kù)配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過(guò)的安全事件信息等；

c)在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表；

d)對(duì)存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)綜合評(píng)價(jià)，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。

3.3項(xiàng)目總結(jié)階段

a)項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn)；

b)對(duì)項(xiàng)目資產(chǎn)鑒別報(bào)告、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn)；

c)對(duì)需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析

運(yùn)營(yíng)商IP寬帶網(wǎng)絡(luò)和常見(jiàn)的針對(duì)以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段，需要特別注意以下要點(diǎn)：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶(hù)的業(yè)務(wù)可用性和質(zhì)量。

4.2項(xiàng)目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺(tái)、DNS等。

4.3項(xiàng)目成員

應(yīng)該得到運(yùn)營(yíng)商高層領(lǐng)導(dǎo)的明確支持，項(xiàng)目組長(zhǎng)應(yīng)該具備管理大型安全咨詢(xún)項(xiàng)目經(jīng)驗(yàn)的人承擔(dān)，且項(xiàng)目成員除了包含一些專(zhuān)業(yè)安全評(píng)估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開(kāi)發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對(duì)信息搜集對(duì)象進(jìn)行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺(tái)系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機(jī)和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲(chǔ)和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機(jī)房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺(tái)、DNS平臺(tái)、網(wǎng)管系統(tǒng)等一級(jí)資產(chǎn)組；然后可以在一級(jí)資產(chǎn)組內(nèi)，按照功能或地域進(jìn)行劃分二級(jí)資產(chǎn)組，如AAA平臺(tái)一級(jí)資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級(jí)資產(chǎn)組；進(jìn)一步可以針對(duì)各個(gè)二級(jí)資產(chǎn)組的每個(gè)設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類(lèi)型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對(duì)性，即按照不同的資產(chǎn)組進(jìn)行針對(duì)性威脅分析。如針對(duì)IP城域網(wǎng)，其主要風(fēng)險(xiǎn)可能是：蠕蟲(chóng)、P2P、路由攻擊、路由設(shè)備入侵等；而對(duì)于DNS或AAA平臺(tái)，其主要風(fēng)險(xiǎn)可能包括：主機(jī)病毒、后門(mén)程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫(kù)攻擊、DNS釣魚(yú)等。

4.7威脅影響分析

是指對(duì)不同威脅其可能造成的危害進(jìn)行評(píng)定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營(yíng)商意見(jiàn)，尤其要充分考慮威脅發(fā)生后可能造成的社會(huì)影響和信譽(yù)影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評(píng)定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評(píng)價(jià)規(guī)則，主要由運(yùn)營(yíng)商管理人員按照規(guī)則進(jìn)行評(píng)價(jià)。

篇8

關(guān)鍵詞：商業(yè)銀行；信息系統(tǒng)風(fēng)險(xiǎn)；控制

為了有效防范銀行信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)管，銀監(jiān)會(huì)正式頒布了《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》，以促進(jìn)我國(guó)銀行業(yè)信息系統(tǒng)安全、持續(xù)、穩(wěn)健運(yùn)行。作為基層銀行，就要認(rèn)真學(xué)習(xí)商業(yè)銀行信息系統(tǒng)的特點(diǎn)，建立適合商業(yè)銀行風(fēng)險(xiǎn)特征的評(píng)估模型，運(yùn)用先進(jìn)的風(fēng)險(xiǎn)評(píng)估方法，逐步完善信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的流程，并通過(guò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的手段，保障企業(yè)信息資產(chǎn)的安全，確保系統(tǒng)數(shù)據(jù)的完整，使商業(yè)銀行適應(yīng)復(fù)雜的運(yùn)行環(huán)境，滿足日益強(qiáng)化的風(fēng)險(xiǎn)管理需要。

一、商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)模型

商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型基本上可以劃分為基于業(yè)務(wù)風(fēng)險(xiǎn)控制的風(fēng)險(xiǎn)評(píng)估模型和基于信息技術(shù)控制的風(fēng)險(xiǎn)評(píng)估模型。商業(yè)銀行信息系統(tǒng)按業(yè)務(wù)劃分，主要業(yè)務(wù)模塊包括柜面業(yè)務(wù)系統(tǒng)， ATM、POS、網(wǎng)上銀行、電子商務(wù)支付和客服中心等，其中柜面業(yè)務(wù)子系統(tǒng)包括：存取款、貸款、信用卡、中間業(yè)務(wù)、國(guó)際業(yè)務(wù)、結(jié)算、代收代付等。其商業(yè)銀行的業(yè)務(wù)功能結(jié)構(gòu)如圖1。

以上可以看出，基于業(yè)務(wù)風(fēng)險(xiǎn)控制的風(fēng)險(xiǎn)評(píng)估模型是針對(duì)業(yè)務(wù)流程的控制和業(yè)務(wù)的風(fēng)險(xiǎn)管理，是信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過(guò)程中由于管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)[1]。

另一類(lèi)是關(guān)于技術(shù)控制的風(fēng)險(xiǎn)評(píng)估模型。這類(lèi)模型建立在相關(guān)的信息安全標(biāo)準(zhǔn)之上，主要考慮的是安全技術(shù)的實(shí)現(xiàn)架構(gòu)和實(shí)現(xiàn)方式，并以此來(lái)評(píng)估系統(tǒng)的技術(shù)風(fēng)險(xiǎn)。銀行的安全架構(gòu)是由物理設(shè)備安全、網(wǎng)絡(luò)安全、交易安全和數(shù)據(jù)完整性安全等，其中交易安全包括：密碼技術(shù)、身份認(rèn)證和安全交易技術(shù)。其層次結(jié)構(gòu)如圖2。

隨著信息技術(shù)應(yīng)用的普及，網(wǎng)上銀行、手機(jī)銀行飛速發(fā)展，隨著銀行業(yè)務(wù)的拓展，各種中間業(yè)務(wù)等銀行新型業(yè)務(wù)和金融產(chǎn)品的出現(xiàn)，銀行信息系統(tǒng)開(kāi)始不同程度向外界開(kāi)放，對(duì)銀行開(kāi)放信息系統(tǒng)的依賴(lài)越來(lái)越強(qiáng)。加上各商業(yè)銀行實(shí)行數(shù)據(jù)大集中，將過(guò)去保存在基層的存貸款等業(yè)務(wù)數(shù)據(jù)集中到高層數(shù)據(jù)庫(kù)存放，導(dǎo)致單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來(lái)越多，銀行信息系統(tǒng)對(duì)通信網(wǎng)絡(luò)依賴(lài)程度越來(lái)越高。

電子金融服務(wù)的發(fā)展，使商業(yè)銀行信息系統(tǒng)開(kāi)放運(yùn)行，與公共網(wǎng)絡(luò)連接，暴露在公共網(wǎng)絡(luò)具有各種威脅底下，網(wǎng)上銀行、手機(jī)銀行、電子商務(wù)支付等銀行新業(yè)務(wù)，在成為商業(yè)銀行利潤(rùn)增長(zhǎng)點(diǎn)的同時(shí)，導(dǎo)致銀行信息系統(tǒng)的風(fēng)險(xiǎn)劇增。商業(yè)銀行對(duì)信息系統(tǒng)的安全性要求進(jìn)一步提高。

二、商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法

商業(yè)銀行在面對(duì)實(shí)際的信息風(fēng)險(xiǎn)時(shí)，需要建立定位于信息全面管理的風(fēng)險(xiǎn)評(píng)估模型。信息系統(tǒng)風(fēng)險(xiǎn)管理的目標(biāo)是通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)價(jià)、預(yù)警和控制，推動(dòng)銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力[1]。因此，必須兼顧業(yè)務(wù)風(fēng)險(xiǎn)模型和技術(shù)風(fēng)險(xiǎn)模型的相關(guān)方法，建立一種銀行信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別模式，用于發(fā)現(xiàn)系統(tǒng)自身內(nèi)部控制機(jī)制中存在的薄弱環(huán)節(jié)和危險(xiǎn)因素，發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中不正常和有害的行為，找出系統(tǒng)的弱點(diǎn)和安全威脅的定性分析；必須建立一種銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)模型，用于在銀行信息系統(tǒng)風(fēng)險(xiǎn)各要素之間建立風(fēng)險(xiǎn)評(píng)估，計(jì)量風(fēng)險(xiǎn)的定量評(píng)價(jià)方法。

轉(zhuǎn)貼于 　根據(jù)商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)模型，其中基于業(yè)務(wù)風(fēng)險(xiǎn)控制的風(fēng)險(xiǎn)評(píng)估模型主要針對(duì)銀行業(yè)務(wù)具體處理，其風(fēng)險(xiǎn)識(shí)別是觀察每一筆具體的業(yè)務(wù)數(shù)據(jù)，也可以轉(zhuǎn)化為銀行資產(chǎn)的差錯(cuò)；其中基于信息技術(shù)控制的風(fēng)險(xiǎn)評(píng)估模型主要針對(duì)安全保障技術(shù)，其風(fēng)險(xiǎn)識(shí)別是找出系統(tǒng)可能存在的不安全因素。據(jù)此，可以推理出系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型為：

商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型由四個(gè)模塊組成：業(yè)務(wù)差錯(cuò)識(shí)別模塊負(fù)責(zé)找出每一筆已經(jīng)發(fā)生的差錯(cuò)業(yè)務(wù)，其方法是通過(guò)業(yè)務(wù)差錯(cuò)發(fā)現(xiàn)和資產(chǎn)調(diào)查尋找每一筆差錯(cuò)業(yè)務(wù)，修正商業(yè)銀行信息系統(tǒng)運(yùn)行錯(cuò)誤；威脅分析模塊負(fù)責(zé)尋找技術(shù)安全威脅，用安全掃描來(lái)找出安全漏洞，用入侵檢測(cè)來(lái)發(fā)現(xiàn)受到的侵犯；安全分析模塊負(fù)責(zé)對(duì)系統(tǒng)設(shè)置的安全策略進(jìn)行分析，對(duì)系統(tǒng)內(nèi)部運(yùn)行的軟件進(jìn)行分析；系統(tǒng)安全評(píng)價(jià)模塊在前面三個(gè)模塊分析結(jié)論的基礎(chǔ)上由銀行風(fēng)險(xiǎn)因素診斷指標(biāo)體系[2]得出系統(tǒng)安全評(píng)價(jià)量化指標(biāo)。

該商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型的特點(diǎn)主要是：1.業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估和技術(shù)風(fēng)險(xiǎn)評(píng)估同一量化構(gòu)成信息系統(tǒng)的風(fēng)險(xiǎn)，便于系統(tǒng)的橫向比較；2.采用自動(dòng)化的檢測(cè)評(píng)價(jià)為主的方法，對(duì)于硬件的風(fēng)險(xiǎn)和人為的風(fēng)險(xiǎn)，可以加入人工評(píng)價(jià)修正，有利于實(shí)時(shí)監(jiān)控；3.系統(tǒng)簡(jiǎn)潔，事前預(yù)防和事后發(fā)現(xiàn)相結(jié)合，可行適用。

三、商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)控制措施

通過(guò)風(fēng)險(xiǎn)評(píng)估，可以進(jìn)行風(fēng)險(xiǎn)計(jì)算，計(jì)算出大致成本，控制防范風(fēng)險(xiǎn)就是要采取行動(dòng)，并得到資金的支持。銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風(fēng)險(xiǎn)管理策略，按照信息系統(tǒng)的敏感程度對(duì)各個(gè)集成要素進(jìn)行分析和評(píng)估，并實(shí)施有效控制[1]。

在硬件方面控制風(fēng)險(xiǎn)，首先要選擇合適的供應(yīng)商，選擇滿足安全要求的解決方案。在網(wǎng)絡(luò)安全方面，要將銀行內(nèi)部網(wǎng)絡(luò)與銀行外部網(wǎng)絡(luò)隔離，通過(guò)防火墻或者服務(wù)器連接。通過(guò)隔離連接容易實(shí)現(xiàn)數(shù)據(jù)檢查，減少系統(tǒng)暴露面，發(fā)現(xiàn)問(wèn)題系統(tǒng)及時(shí)報(bào)告及時(shí)處理。在銀行信息系統(tǒng)建設(shè)上，可以借鑒成熟的運(yùn)行系統(tǒng)，采用成熟的信息技術(shù)，銀行業(yè)金融機(jī)構(gòu)應(yīng)重視知識(shí)產(chǎn)權(quán)保護(hù)，使用正版軟件，加強(qiáng)軟件版本管理，優(yōu)先使用具有中國(guó)自主知識(shí)產(chǎn)權(quán)的軟、硬件產(chǎn)品；積極研發(fā)具有自主知識(shí)產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護(hù)本機(jī)構(gòu)信息化成果。[1]

在銀行信息系統(tǒng)運(yùn)行方面，銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機(jī)制，實(shí)行最小授權(quán)。[1]

銀行信息系統(tǒng)風(fēng)險(xiǎn)管理要堅(jiān)持持續(xù)管理風(fēng)險(xiǎn)的理念，銀行信息系統(tǒng)風(fēng)險(xiǎn)的存在是會(huì)隨著時(shí)間和環(huán)境的變化而不斷變化，持續(xù)管理就是要跟隨環(huán)境的變化。建立持續(xù)管理策略，就是在銀行信息系統(tǒng)中，不斷地進(jìn)行評(píng)估。不斷地實(shí)施PDCA循環(huán)，即計(jì)劃（Plan）、實(shí)施（Do）、檢測(cè)（Check）、改進(jìn)（Action）四個(gè)進(jìn)程。安全控制的境界不能放在不斷糾正錯(cuò)誤上，應(yīng)該放在預(yù)防上，就是要不斷檢測(cè)，不斷發(fā)現(xiàn)不安全因素，不斷地改進(jìn)，使系統(tǒng)符合變化環(huán)境下安全需求。

參考文獻(xiàn)

[1] 中國(guó)銀行業(yè)監(jiān)督管理委員會(huì).銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引.銀監(jiān)會(huì)313號(hào)文件，2006.11.1

篇9

而在目前的全球化競(jìng)爭(zhēng)環(huán)境下，災(zāi)難影響、病毒侵襲、網(wǎng)絡(luò)安全等都能導(dǎo)致企業(yè)IT系統(tǒng)中斷。因此，包括惠普在內(nèi)的很多領(lǐng)先的IT廠商，都從上述這幾個(gè)方面出發(fā)，提供包括業(yè)務(wù)連續(xù)性規(guī)劃、容災(zāi)備份、信息和網(wǎng)絡(luò)安全等一系列全面的業(yè)務(wù)連續(xù)性與高可用性解決方案，幫助企業(yè)合理規(guī)避風(fēng)險(xiǎn)，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的連續(xù)運(yùn)營(yíng)。

業(yè)務(wù)連續(xù)規(guī)劃：描繪業(yè)務(wù)持續(xù)運(yùn)營(yíng)的總體藍(lán)圖

為保證企業(yè)從災(zāi)難中生存并迅速恢復(fù)正常，惠普提供了業(yè)務(wù)連續(xù)規(guī)劃解決方案，這是一種以IT為主的運(yùn)作計(jì)劃，包含一系列針對(duì)業(yè)務(wù)持續(xù)運(yùn)行和災(zāi)難恢復(fù)的策略、手段、條件設(shè)定以及人力資源安排，其目的是為了使企業(yè)面對(duì)意外的災(zāi)難時(shí)可以從容面對(duì)，將損失降低到最小限度?；萜諛I(yè)務(wù)連續(xù)規(guī)劃詳細(xì)說(shuō)明了企業(yè)發(fā)生人為破壞或自然災(zāi)害時(shí)對(duì)各種潛在危害企業(yè)的事件所采取的策略和過(guò)程，幫助企業(yè)遠(yuǎn)離災(zāi)難，保障企業(yè)業(yè)務(wù)的連續(xù)性運(yùn)行。(見(jiàn)圖1)

惠普的資深咨詢(xún)顧問(wèn)將與企業(yè)一起首先明確業(yè)務(wù)連續(xù)計(jì)劃的范圍與目標(biāo)，以確定計(jì)劃將保護(hù)的范圍、恢復(fù)的要求與恢復(fù)的目標(biāo)。其次，通過(guò)風(fēng)險(xiǎn)的評(píng)估分析合理定義風(fēng)險(xiǎn)，從而達(dá)到降低與管理風(fēng)險(xiǎn)的目的。然后進(jìn)入業(yè)務(wù)影響分析階段，這主要是對(duì)企業(yè)業(yè)務(wù)系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化定義。確定了風(fēng)險(xiǎn)和影響之后，惠普就會(huì)制定合理的策略來(lái)滿足企業(yè)的成本效益和恢復(fù)時(shí)間目標(biāo)。當(dāng)所有業(yè)務(wù)連續(xù)架構(gòu)構(gòu)建完成后，惠普還將對(duì)業(yè)務(wù)連續(xù)計(jì)劃進(jìn)行預(yù)演，以確定其是否滿足業(yè)務(wù)需要和達(dá)到設(shè)定的恢復(fù)目標(biāo)。

容災(zāi)備份：防患于未然的有力保證

為了防患于未然，以備份的數(shù)據(jù)幫助企業(yè)實(shí)現(xiàn)災(zāi)難時(shí)的連續(xù)運(yùn)營(yíng)，惠普向客戶(hù)提供全方位的容災(zāi)備份解決方案。惠普將充分考慮到企業(yè)IT環(huán)境現(xiàn)狀、企業(yè)發(fā)展、組織結(jié)構(gòu)、分支機(jī)構(gòu)、地域、鏈路等諸多因素，對(duì)企業(yè)的業(yè)務(wù)應(yīng)用、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)復(fù)制、災(zāi)難恢復(fù)以及性能等諸多方面，進(jìn)行滿足容災(zāi)備份要求的統(tǒng)一設(shè)計(jì)與規(guī)劃?；萜湛梢愿鶕?jù)客戶(hù)環(huán)境和需求的不同，設(shè)計(jì)多層次多級(jí)別的容災(zāi)模式，形成靈活多樣的容災(zāi)拓?fù)浣Y(jié)構(gòu)。通過(guò)洲際群集系統(tǒng)，實(shí)現(xiàn)跨地區(qū)、跨城市、跨洲際的自動(dòng)切換，實(shí)現(xiàn)企業(yè)發(fā)生災(zāi)難時(shí)業(yè)務(wù)的連續(xù)性運(yùn)行。

惠普提供的容災(zāi)備份解決方案，不是簡(jiǎn)單的硬件產(chǎn)品的結(jié)構(gòu)的建立，更重要的是對(duì)企業(yè)容災(zāi)系統(tǒng)進(jìn)行統(tǒng)一的規(guī)劃、咨詢(xún)和合理的設(shè)計(jì)，并會(huì)為客戶(hù)提供一整套方法論，通過(guò)風(fēng)險(xiǎn)管理與業(yè)務(wù)影響分析、流程開(kāi)發(fā)、業(yè)務(wù)連續(xù)計(jì)劃、實(shí)現(xiàn)、預(yù)演、交接驗(yàn)收等六個(gè)階段，提供全面的業(yè)務(wù)連續(xù)與容災(zāi)備份的咨詢(xún)與集成服務(wù)。

信息與網(wǎng)絡(luò)安全：全方位服務(wù)的放心工程

病毒侵襲、黑客攻擊等網(wǎng)絡(luò)和信息安全問(wèn)題，已經(jīng)是當(dāng)今任何企業(yè)不能回避的問(wèn)題。目前業(yè)內(nèi)對(duì)此已達(dá)成共識(shí)：安全是一個(gè)動(dòng)態(tài)的、整體的、持續(xù)性的問(wèn)題。對(duì)此，惠普出于從最大程度上提高信息系統(tǒng)整體安全的水平和預(yù)防安全事件發(fā)生的角度來(lái)考慮，幫助企業(yè)建立的信息安全系統(tǒng)不僅僅局限于若干安全產(chǎn)品的簡(jiǎn)單意義上的集成，而是從技術(shù)、人員和管理流程三個(gè)方面構(gòu)建完善的安全體系，提供一種全方位的安全服務(wù)，提高企業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)的可用性和可靠性。

惠普不僅遵循和參照最新的、最權(quán)威的、最具有代表性的國(guó)家和國(guó)際信息安全標(biāo)準(zhǔn)，進(jìn)行企業(yè)安全方案設(shè)計(jì)和實(shí)施。而且，惠普同時(shí)提供風(fēng)險(xiǎn)管理服務(wù)、安全戰(zhàn)略服務(wù)、安全基礎(chǔ)架構(gòu)服務(wù)、安全技術(shù)實(shí)施服務(wù)，以及入侵檢測(cè)、安全掃描、病毒防范、訪問(wèn)控制、身份認(rèn)證、單一用戶(hù)登錄、防火墻、公共密鑰基礎(chǔ)設(shè)施(PKI)等相關(guān)技術(shù)。(見(jiàn)圖2)

篇10

關(guān)鍵詞：企業(yè)IT；安全；防護(hù)

1、IT系統(tǒng)信息安全定義與存在的意義

如今全球經(jīng)濟(jì)一體化的企業(yè)環(huán)境中，IT系統(tǒng)信息安全的重要性被廣泛關(guān)注，在企業(yè)和政府組織中信息系統(tǒng)得到了真正廣泛的應(yīng)用。更有許多組織對(duì)其IT信息系統(tǒng)的依賴(lài)性不斷增長(zhǎng)，另外出于對(duì)在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)的考量，使得IT系統(tǒng)信息安全成為企業(yè)管理越來(lái)越關(guān)鍵的一部分。

2、企業(yè)的IT系統(tǒng)信息安全現(xiàn)狀問(wèn)題

2.1企業(yè)對(duì)信息安全表現(xiàn)不積極：根據(jù)調(diào)查顯示，我國(guó)在網(wǎng)絡(luò)安全建設(shè)投入的資金還不到網(wǎng)絡(luò)建設(shè)資金總額的1%，大幅低于歐美和日韓等國(guó)。我國(guó)目前以中小型企業(yè)占多數(shù)，而中小型企業(yè)由于資金預(yù)算有限，基本上只注重有直接利益回報(bào)的投資項(xiàng)目，對(duì)于網(wǎng)絡(luò)安全這種看不到實(shí)在回饋的資金投入方式普遍表現(xiàn)出不積極態(tài)度。

2.2一味的追求新技術(shù)，不切合企業(yè)實(shí)際狀：首先，信息安全技術(shù)和信息安全產(chǎn)品的蓬勃發(fā)展只有近20年的時(shí)間，整個(gè)信息安全體系、技術(shù)都在不斷變化和創(chuàng)新的過(guò)程中。其次，供應(yīng)商針對(duì)制造企業(yè)特點(diǎn)的解決方案偏少，解決思路不夠系統(tǒng)。正是這些不確定因素導(dǎo)致了信息管理與信息安全新技術(shù)的風(fēng)險(xiǎn)性，而且并不是每種新技術(shù)都具有通用性。

2.3需求寬泛、缺乏針對(duì)性：因?yàn)橹圃炱髽I(yè)信息化管理水平參差不齊，從而導(dǎo)致企業(yè)信息管理與信息安全需求不清晰，系統(tǒng)建設(shè)缺乏步驟，缺乏對(duì)企業(yè)信息安全的系統(tǒng)分析。

2.4各個(gè)系統(tǒng)自成體系，沒(méi)有形成合力：我國(guó)企業(yè)重視IT系統(tǒng)硬件架設(shè)，輕視平臺(tái)建設(shè)，各種信息管理與信息安全系統(tǒng)獨(dú)立運(yùn)行，策略不統(tǒng)一、聯(lián)動(dòng)不及時(shí)導(dǎo)致功能冗余、阻塞網(wǎng)絡(luò)、策略邏輯漏洞等問(wèn)題。各個(gè)系統(tǒng)自成體系，沒(méi)有形成合力。我國(guó)制造企業(yè)重視硬件產(chǎn)品，輕視平臺(tái)建設(shè)，各種信息管理與信息安全系統(tǒng)獨(dú)立運(yùn)行，策略不統(tǒng)一、聯(lián)動(dòng)不及時(shí)導(dǎo)致功能冗余、阻塞網(wǎng)絡(luò)、策略邏輯漏洞等問(wèn)題。

3、IT系統(tǒng)信息安全的解決方法

3.1硬件設(shè)備及網(wǎng)絡(luò)架構(gòu)的合理部署：

（1）硬件系統(tǒng)安全和軟件系統(tǒng)運(yùn)行安全；

（2）網(wǎng)絡(luò)安全技術(shù)和規(guī)劃：網(wǎng)絡(luò)安全的基本技術(shù)網(wǎng)絡(luò)加密、網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)等；

3.2建設(shè)企業(yè)信息安全管理團(tuán)隊(duì)：

實(shí)例：在某中型制造企業(yè)，對(duì)信息管理與信息安全不重視且沒(méi)有專(zhuān)門(mén)的IT信息安全管理團(tuán)隊(duì)。該企業(yè)財(cái)務(wù)電腦可以任意的接入互聯(lián)網(wǎng)中，在一次下載的過(guò)程中，該財(cái)務(wù)電腦中了木馬程序。黑客通過(guò)木馬程序竊取了該財(cái)務(wù)電腦中多個(gè)網(wǎng)銀帳戶(hù)和密碼，然而黑客并沒(méi)有按常規(guī)模式取走這些網(wǎng)銀帳戶(hù)中所有的錢(qián)，而是采取了一種小額取款的方式——每個(gè)月從每個(gè)賬戶(hù)中取走一元錢(qián)。該案件發(fā)生后半年時(shí)間內(nèi)財(cái)務(wù)人員都沒(méi)有發(fā)現(xiàn)網(wǎng)銀帳戶(hù)已經(jīng)被盜取。

信息安全 “三分技術(shù)、七分管理”。 在復(fù)雜的企業(yè)網(wǎng)絡(luò)中，任何一個(gè)員工的疏漏、漏洞管理疏漏，都會(huì)給企業(yè)安全帶來(lái)威脅。在這種情況下，企業(yè)信息安全的集中管理是根本，并需要依靠全新的技術(shù)手段來(lái)實(shí)現(xiàn)。一般而言，企業(yè)建立集中管理的原則包括：基于風(fēng)險(xiǎn)管理，投入有的放矢；注重體系化采用系統(tǒng)方法，確保萬(wàn)無(wú)一失；注重策略和管理，建立文件管理體系等。

3.3企業(yè)身份ID驗(yàn)證系統(tǒng)：

實(shí)例：在A大型制造企業(yè)，擁有37套信息系統(tǒng)，其中常用信息系統(tǒng)17套。企業(yè)的管理層由于每天事務(wù)繁忙，經(jīng)常忘記自己的帳戶(hù)名/密碼，信息系統(tǒng)管理者每天做的最多的工作是不斷的修改帳戶(hù)名/密碼。再加上企業(yè)的IT管理人員不足，致使信息系統(tǒng)管理人員將所有系統(tǒng)的企業(yè)管理層帳戶(hù)名/密碼均設(shè)為相同的來(lái)降低工作量。這使得黑客有了可趁之機(jī)，使得企業(yè)信息大量泄漏。

所有的企業(yè)資源的員工和職員必須配給唯一的身份ID，這樣即可以保證其他入侵的破壞，也可以根據(jù)事故的情況便于審計(jì)。單一的身份認(rèn)證往往會(huì)有身份識(shí)破或者丟失的弊端產(chǎn)生。因此雙因素及多因素的身份認(rèn)證的需求產(chǎn)生。RSA雙因素身份認(rèn)證體系可以完善的表現(xiàn)出此方面的有點(diǎn)，它即可以讓使用者有唯一的使用權(quán)限，也可以防止因丟失，窺竊密碼和冒充身份而造成失誤，也會(huì)給審計(jì)帶來(lái)可靠的取證。

3.4企業(yè)數(shù)據(jù)的備份：企業(yè)的數(shù)據(jù)是在不斷的產(chǎn)生及增長(zhǎng)的。這些數(shù)據(jù)對(duì)企業(yè)的發(fā)展將有著舉足輕重的作用，因此數(shù)據(jù)的備份及存儲(chǔ)是企業(yè)成長(zhǎng)中不可缺少的部分。良好的備份存儲(chǔ)方案會(huì)給企業(yè)在發(fā)展中帶來(lái)更多的效益。

3.5管理層面的制度約束：制度和約束一直以來(lái)是企業(yè)管理的一個(gè)重要組成部分。IT系統(tǒng)的信息安全管理也是一樣，企業(yè)需要通過(guò)相關(guān)制度的制定來(lái)約束人員和作業(yè)流程來(lái)達(dá)到規(guī)范化信息系統(tǒng)、保障信息系統(tǒng)安全的作用。

4、云計(jì)算與IT系統(tǒng)發(fā)展方向

講到IT系統(tǒng)的發(fā)展這里不能不特別說(shuō)明一下云計(jì)算。云計(jì)算并不是一個(gè)新概念，而云的定義也絕不僅僅是針對(duì)于計(jì)算，云計(jì)算的出現(xiàn)是IT系統(tǒng)建設(shè)和發(fā)展過(guò)程中必然出現(xiàn)的一個(gè)過(guò)程和階段。我國(guó)已經(jīng)有了眾多企業(yè)實(shí)現(xiàn)了云化，也就是資源化和信息化。云平臺(tái)的搭建離不開(kāi)IT系統(tǒng)信息安全，源自云計(jì)算的工作機(jī)制問(wèn)題包括資源的整合、信息的托、服務(wù)的出租以及大量軟件和IT基礎(chǔ)設(shè)施當(dāng)成一種資源向外提供服務(wù)，這些必要因素使得在云計(jì)算的搭建必須要完善數(shù)據(jù)完整性和安全性等方面的問(wèn)題。

從企業(yè)角度看，云計(jì)算解決了IT資源的動(dòng)態(tài)需求和最終成本問(wèn)題，使得IT部門(mén)可以專(zhuān)注于服務(wù)的提供和業(yè)務(wù)運(yùn)營(yíng)。云計(jì)算剝離了IT系統(tǒng)中與企業(yè)核心業(yè)務(wù)無(wú)關(guān)的因素(如IT基礎(chǔ)設(shè)施)，將IT與核心業(yè)務(wù)完全融合，使企業(yè)IT服務(wù)能力與自身業(yè)務(wù)的變化相適應(yīng)。所以我們大膽預(yù)言IT系統(tǒng)的發(fā)展方向是云計(jì)算的普及和安全云計(jì)算技術(shù)的成熟。

5、結(jié)束語(yǔ)

IT系統(tǒng)的信息安全逐漸被企業(yè)所重視進(jìn)而眾多的安全對(duì)策和管理方案投入使用，盡管如此IT系統(tǒng)的安全工作還是需要加大技術(shù)和人才的投入。引用IBM大中華區(qū)全球洗洗科技服務(wù)部總經(jīng)理徐穎的話說(shuō)“信息安全管理過(guò)程也就是風(fēng)險(xiǎn)管理的過(guò)程，企業(yè)應(yīng)該將信息安全風(fēng)險(xiǎn)納入企業(yè)整體的風(fēng)險(xiǎn)管理戰(zhàn)略中，并提高全體員工的認(rèn)知。進(jìn)而有效進(jìn)行風(fēng)險(xiǎn)管理的關(guān)鍵，是風(fēng)險(xiǎn)、成本和可用性三者間的平衡。”總之IT系統(tǒng)信息安全保障必須要引起企業(yè)的重視，應(yīng)該對(duì)當(dāng)前IT信息系統(tǒng)的安全現(xiàn)狀反思并且重視信息系統(tǒng)的安全性，不應(yīng)該局限于現(xiàn)有的信息系統(tǒng)安全，更需要分析未來(lái)信息系統(tǒng)的發(fā)展方向，并且將安全防護(hù)方案與未來(lái)發(fā)展方向保持一致。

參考文獻(xiàn)：

[1]梁永生 電子商務(wù)安全技術(shù) 2008；

[2]張亞勤 “云計(jì)算”三部曲 之二：與“云”共舞----再談云計(jì)算 2009；