網絡信息安全評估范例6篇

前言：中文期刊網精心挑選了網絡信息安全評估范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡信息安全評估范文1

[關鍵詞] 協議風險分析 協議風險計算

一、引言

當前計算機網絡廣泛使用的是TCP/IP協議族，此協議設計的前提是網絡是可信的，網絡服務添加的前提是網絡是可達的。在這種情況下開發出來的網絡協議本身就沒有考慮其安全性，而且協議也是軟件，它也不可避免的會有通常軟件所固有的漏洞缺陷。因此協議存在脆弱性是必然的。信息的重要性是眾所周知的，而信息的傳輸是依靠協議來實現的，所以對協議的攻擊與防范成為信息戰中作戰雙方關注的重點。協議風險評估也就成為網絡信息安全風險評估的關鍵。

二、協議風險分析

協議的不安全及對協議的不正確處理是目前安全漏洞經常出現的問題，此外，在網絡攻擊中攻擊者往往把攻擊的重點放在對網絡協議的攻擊上，因此，網絡風險分析的的主要任務是協議風險的分析。進行協議風險分析時我們首先要理順協議風險要素之間的關系。

網絡安全的任務就是要保障網絡的基本功能，實現各種安全需求。網絡安全需求主要體現在協議安全需求，協議安全服務對協議提出了安全需求。為滿足協議安全需求，就必須對協議的攻擊采取有效防范措施。協議脆弱性暴露了協議的風險，協議風險的存在導致了協議的安全需求。對網絡協議攻擊又引發了協議威脅、增加了協議風險，從而導至了新的安全需求。對協議攻擊采取有效防范措施能降低協議風險，滿足協議安全需求，實現協議安全服務。任何防范措施都是針對某種或某些風險來操作的，它不可能是全方位的，而且在達到防范目的的同時還會引發新的安全風險。因此風險是絕對的，通常所說的沒有風險的安全是相對的，這種相對是指風險被控制在其風險可以被接收的范圍之內的情形。在進行協議風險分析后，網絡安全中與協議安全相關地各項因素之間的關系如圖1。

三、網絡協議風險綜合計算模型――多種方法加權計算

風險計算的結果將直接影響到風險管理策略的制定。因此，在進行網絡協議風險分析后，根據網絡協議本身特性及風險評估理論，選取恰當的風險計算方法是非常重要的。本文在風險計算方法的選取時，采用多種風險計算方法加權綜合的策略。它是多種風險分析方法的組合，每種方法分別設定權值。權值的確定是根據該方法對評估結果影響的重要程度由專家給出，或通過經驗獲得?；谏鲜鏊枷耄趯W絡協議進行風險評估時根據網絡協議的特點我們主要采用技術評估方法來實現。基于網絡協議的風險評估示計算如圖2。

四、協議風險評估流程

按照風險評估原理和方法，在對風險進行詳細分析后，選取適當的方法進行風險計算，最后得出風險評估結果。對協議風險評估可以按照圖3所示模型進行。

五、總結

為了規避風險，網絡安全管理人員必須制定合適的安全策略，風險評估的目的就是為安全策略的制定提供依據。本文所提出的協議風險評估，為網絡管理人員更好地制定安全策略提供了強有力的支持。

參考文獻:

[1]Bedford T, Cooke R. Probabilistic Risk Analysis[M]． Cambridge University Press, 2001

[2]Peltier T R. Information Security Risk Analysis[M]． Auerbach Publishtions, 2001

[3]郭仲偉:風險分析與決策[M].機械工業出版社，1992

網絡信息安全評估范文2

關鍵詞：電子商務；信息安全；風險評估；對策

基金項目：鄭州科技學院大學生創新創業訓練計劃項目：電子商務信息安全風險評估關鍵技術及應用（編號：DCY2019007）

1.引言

電子商務是以互聯網為基礎，以商城消費者產品物流為構成要素進行的電子商務活動。當電子商務相關部門或人員在進行項目開發時，擁有一套信息安全風險評估系統可以幫助其采用科學合理的方法對潛在威脅進行分析并保證經濟系統的安全。所以將信息安全技術與現代化新興技術結合，將為我們打造一個更加優質的網絡環境。

2.電子商務系統中存在的信息安全問題及現狀

一般來說，電子商務的信息安全是指在電子商務交易的過程中雙方使用各種技術和法律手段等確保交易不會因為意外，惡意或者披露這些不利要求而受到損害的信息安全。在21世紀初葉，我國金融系統中的計算機犯罪率一直在不斷地增加，我國金融網絡信息安全形勢非常嚴峻，需要加強改善。下面就電子商務網絡中的信息安全問題做一個簡要介紹，主要涉及以下幾個方面：

（1）由于編寫的電子商務系統軟件可以使用不同的形式，因此在實際應用過程中難以避免的會留下安全漏洞。例如，網絡操作系統本身會存在一些安全問題，例如非法訪問I/0，這些不完全的調解和混亂的訪問控制會造成數據庫安全漏洞，而這些漏洞嚴重影響了電子商務系統的信息安全性.特別是在設開始設計之前就沒有考慮TCP/IP通信協議的安全性，這一切都表明當前的電子商務系統網絡軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來也存在風險。在信息的傳遞過程中，需要不斷地對信息源進行加工和重現，截取有用信息，不可避免會出現信息轉化方面的風險。尤其是在當下“社交+商務”的模式下，一條消息可能瞬間在社交網站上轉載數萬次或者更多，一旦在信息轉載中出現誤差，影響非常大，風險應當給予重視。

（2）隨著網絡技術的廣泛應用，計算機病毒帶來的問題越來越廣泛，壓縮文件，電子郵件已經成為計算機病毒傳播的主要途徑，因為這些病毒的種類非常多樣化，破壞性極強，使得計算機病毒的傳播速度大大加快了。近年來，新病毒種類的數量迅速增加，互聯網為這些病毒的傳播提供了良好的媒介。這些病毒可以通過網絡大量傳播任何粗心大意都會造成無法彌補的經濟損失。此外還有信息傳遞過程所帶來的風險。信息是一種重要的資源，良好的流動性能實現信息價值的最大化，但是在信息的傳遞過程中需要經過許多路徑，而在這過程中往往存在一些不安全因素，給信息安全帶來一定的風險。

（3）當前的黑客攻擊，除了計算機病毒的傳播外，黑容的惡意行為也越來越猖狂。特洛伊木馬使黑容可以使用計算機病毒從而變得更加有目的性，使得計算機記錄的登錄信息被特洛伊木馬程序惡意篡改，導致很多重要信息、文件，甚至是金錢被盜。

（4）由人為因素造成的電子商務公司的安全問題，大部分保密工作是通過員工的操作來進行的，這就需要員工具有很好的保密性，責任心和責任感等道德素質。如果員工的責任心不強，態度不正確，就容易被別人利用，讓無關人員隨意進出房間或向他人泄露機密信息，可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業道德，可能會非法超出授權范圍更改或刪除他人的信息，而且還可以利用所學專業知識和工作位置來竊取用戶密碼和標識符，進行非法出售。

3.電子商務信息安全風險評估存在的問題

經過大量的數據收集與分析不難發現對信息安全風險評估是當前科研工作中噬待解決的問題。目前，國內也有一些關于信息安全風險評估的研究和應用，但是這些研究都只是簡單的分析，包括常用的具有風險的風險評估工具。評估矩陣，問卷，風險評估矩陣與問卷方法，專家系統相結合。對于更深層次的探究還需進一步努力。此外，網絡信息安全風險評估方法常用定量因子分析方法，時間序列模型，決策樹方法和回歸模型進行。風險評估方法，定性分析主要包括邏輯分析，Delphi方法，因子分析方法，歷史比較方法等。其中，定量和定性評估方法相結合，是由模糊層次分析法，基于D-S證據理論等的評估方法組成。同時網絡信息安全風險評估還存在一定問題，例如隨著網絡的發展，我國從開始的2G邁向4G現在又率先進入5G時代。其中也出現了各種問題，網民數量的增加需要迫切提高他們對信息安全的警惕意識。

3.1欠缺對電子商務信息安全風險評估的認識

當前，許多相關人員對電子商務信息系統面臨著巨大的挑戰的現狀并未有足夠的意識，缺少信息安全風險評估經驗。因此他們沒有重視信息安全風險評估的重要性，其原因如下。第一，公司或單位的風險評估尚未通過標準檢驗，培訓標準，信息安全風險評估工作的研究尚未得到系統的相關理論，方法和技術工具，這是由于一些信息安全評估工作相關領導層和工作人員對信息評估風險評估的重要性的認識不足，因此自然而然不將此類風險評估工作包括在當前的信息安全系統框架中。第二，盡管有許多部門將信息安全工作置于地位重要，但受到人力、物力，財力等方面的限制，社會制度的制約，政策法規的欠缺使得信息安全系統的信息安全風險評估工作無法得到應有的重視。

3.2缺乏信息安全風險評估方面的專業技術人才

首先，信息安全風險評估的技術內容要求非常高，它要求員工具有很高的技術水平，現在很多公司都將通用信息用作風險評估技術人員。其次，信息安全風險評估是一項集綜合性，專業性于一體的工作，不僅涉及公司的所有業務信息，也涉及人力，物力和財力的方方面面，因此需要各部門之間相互配合，現在大多數公司僅依靠信息部門，獨立的參與信息安全風險評估毫無爭議他們要想完成信息安全風險評估工作是非常艱難的。綜上所述，培養信息安全風險評估專業技術人員是今后信息技術方面發展的方向。

3.3風險評估工具相對缺乏

當前，除專家系統外，其他分析工具相對來說都比較簡易，除此之外還缺乏實用的理論基礎。此外，這種信息風險評估工具在應用中的發展呈現的現狀。表明國內和外部失衡，在中國相對落后?？梢娊鉀Q信息安全問題的關鍵在于有成熟的風險評估工具。

4.防范電子商務信息安全及風險的建議

4.1增強電子商務信息安全和風險評估的意識

大多數信息的傳輸和處理，與人是密不可分的。特別是掌握人員的重要信息和核心業務，人員的個人因素，管理因素和環境存在風險。主要包括人員的技術能力，監控管理，安全性。特別需要做好監督審計公司的工作，確保信息安全風險管理融入實踐，充分發揮內部監督作用，促進社會責任認可和實施信息安全風險管理工作。電子商務公司必須對工人進行必要的信息安全知識教育培訓，了解與之相關的法律法規，做好對客戶關鍵信息的隱秘保護。不隨意查看和泄露客戶購買信息。

企業應該加大力度保障網絡通信操作時信息的機密性和完整性，加強密鑰管理，提高應對網絡攻擊能力，采取措施避免越權或濫用，消除用戶在交易中的風險。在信息安全風險控制中必須由內到外地保護內部系統環境、網絡邊界、骨干網安全。為網絡信息系統建立完善的管理系統，并提供全面的安全保障。運用端到端策略。對于移動電子商務中用戶終端設備種類繁多，安全環境復雜難以控制的問題，必須做好數據傳輸中的重要環節中的身份鑒定。通過人臉識別、指紋識別等技術有效提高用戶訪問身份鑒別能力，極大地提高賬戶的安全性，確保數據傳輸的安全性，確保交易的真實有效。

4.2提供專業的技術培訓，提高專業人員的技能

認真選擇第三方合作伙伴，增強信息管理水平，加強績效監督管理。樹立合理的企業內部組織結構和有效資金保障，培養員工信息安全意識，創造良好信息安全工作氛圍，加強信息安全專業技術人員對信息安全風險評估的意識和能力，通過大量的實驗發現可以通過下列方法培訓相關人員：第一，定期開展信息安全風險評估工作，將公司員工集合共同學習相關資料以提升他們對信息安全的意識彌補存在的缺陷。第二，對信息安全部門的員工進行專門的技術培訓和指導，可通過模擬分析來提升技術；第三，公司應增加對技術資源的投入，聘請經驗豐富的專家學者組成第三方評估機構，引進風險評估設備。以備不時之需；第四，公司應對技術人員進行標準化認證培訓，執行職業資格準入制度，提高技術人員的門檻，納入信息安全風險評估，技術人員的全面質量保證評估。以上這些方法只是單純就培訓方式對于具體的實施以及可能遇到的問題依然需要研究。

4.3提升對信息安全防范技術的研究和應用

為移動數據庫存儲的數據進行加密以防止泄漏，采用不同的加密方法來保護數據安全，進行身份認證，數據恢復，數據加密存儲，物理隔離，防火墻，網絡，網絡設備，網絡入侵檢測，網絡漏洞掃描，網絡設備備份，網絡管理，專線，實現網絡管理等一系列技術手段，從而提高數據庫的安全性。同時提高認識到物理設施的重要性，定期維護物理設施。為了監測信息安全和實施評估系統，我們要保證基本硬件和芯片的獨立在建立獨立于信息安全的評估體系中，國內外統一組織重要的信息安全技術研究，建立創新的電子商務信息安全與評估體系。

網絡信息安全評估范文3

關鍵詞：外匯局；信息安全；數據管理；安全評估

中圖分類號：TP393 文獻識別碼：A 文章編號：1001-828X（2015）024-000-01

隨著外匯管理改革的推進，外匯業務系統已大部分實行了數據大集中的模式，同時，互聯網的發展帶動了外匯管理信息化建設的發展，外匯局與外部門信息的電子交互日益增多。新一屆政府已將信息安全上升到國家層面的戰略高度，因此信息安全是外匯局信息化建設的重要工作。隨著國家外匯管理的逐步放開，外匯局數據信息的安全更加的重要。本文結合近期總局對分局的信息安全檢查，針對省一級外匯局目前信息安全的現狀，提出外匯局系統信息安全管理的工作和建議。

一、健全信息安全管理制度是首要任務

制度的建立是信息安全管理的重要依據，應從人員管理，數據管理，網絡管理、系統授權管理、應急管理等方面給予完善。制度的制定應遵循“誰主管誰負責、誰運行誰負責”的原則，切實做到制度能被有效執行。海南省分局制定了《信息安全管理辦法》等15項制度，明確信息安全工作總體目標。從內容上涵蓋了分局子網站、系統授權等方面。

二、重點轉好網絡和客戶端安全管理

抓好運維安全管理，特別是網絡和客戶端安全管理，提升分局防御信息安全風險的能力。為了做到“一人一IP”原則，對分局的辦公網和業務網客戶端沒進行信息登記管理，且IP地址、MAC地址和工作區的物理端口進行綁定，防止未經授權的計算機接入辦公網或業務網。實施防火墻訪問控制制度，對于需要訪問分局局域網上的服務器的外部網絡，需要申請授權，并且僅允許外部網絡的制定IP可以訪問分局局域網，做到最大限度的禁止不被授權的訪問。通過設置訪問控制策略，海南分局允許所以IP能訪問總局門戶網站，僅有申請授權的訪問才能訪問對應的業務應用。嚴格按照人民銀行科技部門的要求，在每個業務終端上安裝防病毒軟件、非法外聯以及補丁分發的軟件，確保業務終端抵御入侵。

三、定期開展應急演練

應急演練是檢驗處理信息安全重大突發事故的能力，比如海南外匯局模擬影響較大的網絡主干出故障，通過主路由器斷電模擬主路由器故障。對于應急演練，事前應做好應急演練方案，對網絡配置進行備份，及時與通信提供商聯系。應急演練應協調好含業務人員在內的全體相關人員，演練后要進行評估，對存在的不足要及時進行改正。如對數據庫系統開展應急演練，應對被演練的數據庫數據進行全量備份，并應對數據庫系統做好備機準備，若演練失敗，應能及時切換到備機工作，保證了數據信息的安全和業務的實時性。

四、數據信息安全管理

數據信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。近來來，隨著涉外經濟的發展，涉外收支數據快速增長，數據是外匯管理的支撐，按照國際收支申報辦法，申報數據是保密，因此應從人員管理和技術管理上保證數據的安全。外匯局有多個部分均有檢查和核查的職責，因此存在數據采集和使用的需要。從業務系統數據應嚴格按照授權的權限采集，將數據帶到銀行檢查，必須存儲在專用的不連互聯網的電腦上，禁止將數據存儲在互聯網上使用的移動存儲設備上，避免外匯管理數據的丟失。對于有些機密數據可以選擇加密工具進行加密。對于存儲過涉外收支數據的光盤應該用碎光盤機器予以銷毀。

五、強化信息安全教育培訓

信息安全管理以意識為先，因此提高全體人員的信息安全意識是至關重要的?？梢酝ㄟ^舉辦信息安全培訓班，通過在內部網上才一些信息安全案件的信息，提高對信息安全的敏感度。不定期地通過電子郵件向全體人員發送近期信息安全技術等內容，提高對新的問題處置能力。

六、深入開展信息安全檢查工作

開展信息安全檢查是確保信息安全的重要手段，需要建立長效機制，加強日常管理。分局每年應定期或不定期按照總局信息安全檢查規范開展自查，也可以結合分局內控檢查對中心支局、支局開展現場檢查，擴大檢查的廣度和深度，跟蹤存在的問題的整改，排查隱藏的風險。

七、及時開展信息安全評估

除了開展自查和對轄內中心支局和支局開展檢查外，開展信息安全風險評估是信息安全的出發點。信息安全風險評估依據國家信息安全保障要求和有關信息技術標準，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性地抵御威脅的防護對策和整改措施。主要內容含資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議。2007年，外匯局各分局按照總局統一部署進行了評估，存在一些問題。外匯局的信息安全評估可以采用自評估和第三方機構（如中國測評中心）評估結合的方式，選取合適的風險評估工具，建立適合外匯局系統信息安全風險評估的標準，并根據外匯管理改革逐步更新，風險評估應涵蓋網絡管理、系統管理、數據管理以及用戶管理等全方面，不留死角，對評估存在的問題，應由分管局長牽頭各部門進行整改和完善。

總之，信息安全是一個長期重要的工作，是外匯管理工作的重要的組成部分。外匯局分局的信息安全保障工作應在外匯局總局部署下，結合實際開展?？萍既藛T應該加強新技術的學習，不斷更新信息安全管理方法，提高信息安全管理水平，確保外匯管理工作的正常開展。

網絡信息安全評估范文4

關鍵詞:電子政務信息安全

0引言

隨著電子政務不斷推進，社會各階層對電子政務的依賴程度越來越高，信息安全的重要性日益突出，在電子政務的信息安全管理問題中，基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1電子政務信息安全的總體要求

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限，許多用戶也可能有相同的權限集，這些權限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復雜性和存儲空間，從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成，在該模型中：

2.1終端用戶：向驗證服務器發送請求和證書，并與服務器雙向驗證。

2.2驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3應用服務器：與資源數據庫連接，根據驗證通過的用戶請求，對資源數據庫的數據進行處理，并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

3電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、?？乇Ｗo級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

網絡信息安全評估范文5

隨著寬帶網絡和用戶規模的不斷增長，用戶對寬帶接入業務的高可用性要求不斷增強，對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手，結合電信IP城域網，提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。

關鍵字（Keywords）：

安全管理、風險、弱點、評估、城域網、IP、AAA、DNS

1 信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程，通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質，可以看作是動態地對信息安全風險的管理，即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408－1（信息安全風險管理和評估規則），給出了一個非常經典的信息安全風險管理模型，如下圖一所示：

既然信息安全是一個管理過程，則對PDCA模型有適用性，結合信息安全管理相關標準BS7799(ISO17799)，信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監控與評估－維護和改進）的循環過程。

2 建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關標準、結合企業信息系統實際情況，建設適合于自身的ISMS信息安全管理體系，ISMS的構建包含以下主要步驟：

（1） 確定ISMS的范疇和安全邊界

（2） 在范疇內定義信息安全策略、方針和指南

（3） 對范疇內的相關信息和信息系統進行風險評估

a) Planning（規劃）

b) Information Gathering（信息搜集）

c) Risk Analysis（風險分析）

u Assets Identification & valuation(資產鑒別與資產評估)

u Threat Analysis（威脅分析）

u Vulnerability Analysis（弱點分析）

u 資產/威脅/弱點的映射表

u Impact & Likelihood Assessment（影響和可能性評估）

u Risk Result Analysis（風險結果分析）

d) Identifying & Selecting Safeguards（鑒別和選擇防護措施）

e) Monitoring & Implementation（監控和實施）

f) Effect estimation（效果檢查與評估）

（4） 實施和運營初步的ISMS體系

（5） 對ISMS運營的過程和效果進行監控

（6） 在運營中對ISMS進行不斷優化

3 IP寬帶網絡安全風險管理主要實踐步驟

目前，寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高，且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理，以使得能夠動態的了解、管理和控制各種可能存在的安全風險。

由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進行項目實踐：

3.1 項目準備階段。

a) 主要搜集和分析與項目相關的背景信息；

b) 和客戶溝通并明確項目范圍、目標與藍圖；

c) 建議并明確項目成員組成和分工；

d) 對項目約束條件和風險進行聲明；

e) 對客戶領導和項目成員進行意識、知識或工具培訓；

f) 匯報項目進度計劃并獲得客戶領導批準等。

3.2 項目執行階段。

a) 在項目范圍內進行安全域劃分；

b) 分安全域進行資料搜集和訪談，包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等；

c) 在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產表、威脅評估表、風險評估表和風險關系映射表；

d) 對存在的主要風險進行風險等級綜合評價，并按照重要次序，給出相應的防護措施選擇和風險處置建議。

3.3 項目總結階段

a) 項目中產生的策略、指南等文檔進行審核和批準；

b) 對項目資產鑒別報告、風險分析報告進行審核和批準；

c) 對需要進行的相關風險處置建議進行項目安排；

4 IP寬帶網絡安全風險管理實踐要點分析

運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段，需要特別注意以下要點：

4.1 安全目標

充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。

4.2 項目范疇

應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統：如網管系統、AAA平臺、DNS等。

4.3 項目成員

應該得到運營商高層領導的明確支持，項目組長應該具備管理大型安全咨詢項目經驗的人承擔，且項目成員除了包含一些專業安全評估人員之外，還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。

4.4 背景信息搜集：

背景信息搜集之前，應該對信息搜集對象進行分組，即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含：

a) IP寬帶網絡總體架構

b) 城域網結構和配置

c) 接入網結構和配置

d) AAA平臺系統結構和配置

e) DNS系統結構和配置

f) 相關主機和設備的軟硬件信息

g) 相關業務操作規范、流程和接口

h) 相關業務數據的生成、存儲和安全需求信息

i) 已有的安全事故記錄

j) 已有的安全產品和已經部署的安全控制措施

k) 相關機房的物理環境信息

l) 已有的安全管理策略、規定和指南

m) 其它相關

4.5 資產鑒別

資產鑒別應該自頂向下進行鑒別，必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組；然后可以在一級資產組內，按照功能或地域進行劃分二級資產組，如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組；進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別，鑒別其設備類型、地址配置、軟硬件配置等信息。

4.6 威脅分析

威脅分析應該具有針對性，即按照不同的資產組進行針對性威脅分析。如針對IP城域網，其主要風險可能是：蠕蟲、P2P、路由攻擊、路由設備入侵等；而對于DNS或AAA平臺，其主要風險可能包括：主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。

4.7 威脅影響分析

是指對不同威脅其可能造成的危害進行評定，作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見，尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。

4.8 威脅可能性分析

是指某種威脅可能發生的概率，其發生概率評定非常困難，所以一般情況下都應該采用定性的分析方法，制定出一套評價規則，主要由運營商管理人員按照規則進行評價。

網絡信息安全評估范文6

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限，許多用戶也可能有相同的權限集，這些權限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復雜性和存儲空間，從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成，在該模型中：

2.1終端用戶：向驗證服務器發送請求和證書，并與服務器雙向驗證。

2.2驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3應用服務器：與資源數據庫連接，根據驗證通過的用戶請求，對資源數據庫的數據進行處理，并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

轉貼于中國論文下載中心www

3電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、?？乇Ｗo級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

[2]李波杰，張緒國，張世永.一種多層取證的電子商務安全審計系統微型電腦應用.2007年05期.