云計算安全評估辦法范例6篇

前言：中文期刊網精心挑選了云計算安全評估辦法范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

云計算安全評估辦法范文1

關鍵詞：云計算；云安全

1 引言

云計算雖然是一種新的互聯網技術，但只不過是數據結構和計算方式的改變，由云服務提供商的數據中心負責存儲過去一直保存在最終用戶個人電腦或企業自己數據中心的信息，用戶通過互聯網遠程訪問這些應用程序和數據。其實質上只是一種服務方式的改變。

盡管云計算已逐漸融入我們的生活，但云計算的發展仍然存在各種問題，尤其是數據隱私問題、安全問題等更為突出。事實上，數據保護、終端防護、虛擬環境中的風險管理等信息安全將面臨更加嚴峻的挑戰。

2 云計算面臨的安全威脅

開放的互聯網環境已經使得安全問題更加復雜多變，多形態安全威脅將是主流趨勢，用戶需要防范的不僅僅是病毒，數據中心也面臨著無窮的隱患，各種隱患及難題極大地加大了數據中心的運維難度及成本。因此，無論從終端維護還是從數據中心等安全考慮，都無疑是一種全新的威脅和挑戰。

3 云計算安全防范策略

云計算改變了服務方式，但其安全模式并沒有實質性的改變，只不過是將原來的安全責任主體（用戶）轉移到了現在的云服務提供商，由云服務提供商負責安全保障。因此，云計算服務提供商應積極改善其安全策略，以應對各種新的安全挑戰。在此過程中，政府相關部門也要及時推出相應的規章制度予以規范，強制要求云計算服務提供商采用必要的服務措施，保證服務的安全性，同時，用戶也要從自身的角度做好安全防護工作。下面，針對用戶最為關注的云計算安全問題及應對策略歸納如下：

(1)數據泄露或丟失

事實上，數據泄露或丟失是目前云計算用戶最為擔憂的安全問題。用戶數據在云計算環境中進行傳輸和存儲時，用戶本身對于自身數據在云中的安全風險并沒有實際的控制能力，數據安全完全依賴于服務商，如果服務商本身對于數據安全的控制存在疏漏，則很可能導致數據泄露或丟失。

從這個角度看，云計算服務商在向用戶推薦云計算服務時，需要和企業用戶簽署服務質量保證協議，并從技術和管理兩個方面向用戶進行安全保證，以減輕用戶對于數據安全的擔憂。

如何保證存放在云服務提供商的數據不被泄露，不被非法利用，不僅需要技術改進，也需要相應法律進一步完善。

(2)內部人員的惡意操作行為

在云計算環境下，不同用戶的訪問權限控制也是很關鍵的問題。用戶權限即合法用戶可以進行的具體操作，但不是每個用戶都可以進行所有的操作，不同的用戶將具有不同的權限，訪問控制的目的是保證各用戶信息資源不被非法訪問和使用。

無論是在企業內部還是云計算服務提供商內部，人員的惡意操作都是非常危險的，同樣后果也非常嚴重。有些數據是企業的商業機密，數據的安全性關系到企業的生存發展，如果內部監控不嚴，也就意味著只要有了一定級別的授權，將可能導致內部人員私自獲得用戶機密數據，從而對用戶的利益造成嚴重損害。

抵御這一數據丟失的最好辦法是從管理、合同、技術等幾個角度同時入手。管理上加強安全意識教育，各個業務流程上落實相關的安全控制，明確雇員的法律責任，在違反安全規定造成安全事故時有權送交司法機關；在供應商的管理環節上必須對網絡安全有專門的條款和核查措施，對供應商出現安全濫用和違犯合同，甚至犯罪的情況制定明確的懲罰措施；在技術上廣泛采取加密、認證、訪問控制、入侵檢測、審計等安全措施。

(3)賬號和服務劫持

很多數據、應用程序和資源都集中在云計算中，而云計算的身份驗證機制，如果很薄弱的話，入侵者就可以輕松獲得用戶賬號，并登錄客戶的虛擬機，可進行瀏覽、檢索、下載、創建、更新（修改或刪除）等操作，這將對用戶數據及隱私的安全性構成極大的威脅。另外，在云環境中，如果攻擊者獲得了你的賬號信息，就可以竊聽你的活動和交易，返回假冒的信息，將你的客戶導向假冒的站點，并且被“劫持”的服務和賬號可能被用來發起新的攻擊，你的網絡“信譽”或信用會被降低或失掉。

在這種情況下，必需采取有效的訪問控制策略予以防范，云服務提供商必須要引入嚴格的身份認證機制，不同類別的賬號要區分管理。

提示：我們不能否認云計算給我們帶來的便利，但我們更要學會如何降低風險，要引入第三方來評估云服務提供商，并仔細評估其云服務合同，這樣可最大限度防范安全風險。

4 結束語

云計算發展迅猛，涉及各行各業，安全問題是云計算發展過程中不可回避和逾越的問題，要勇于面對。業內人士指出，如想真正解決云計算的安全性問題，僅靠一兩個廠商的力量是不夠的，需要業界聯合起來組成一個完整的生態系統，共同保護云計算的安全。相信隨著政策法規的不斷完善、廠商技術的不斷創新、用戶安全意識的不斷提高，云計算安全會得到更好的保障。

參考文獻

[1]孫松兒.云計算環境下安全風險分析.H3C.

[2]趙糧.云計算面臨的七大安全威脅.中國教育網.

[3]實施云計算必須明確的四大威脅.

云計算安全評估辦法范文2

關鍵詞：動漫；云渲染

中圖分類號：TP391文獻標識碼：A文章編號：1007-9599 (2012) 01-0000-02

Cartoon Cloud Rendering Solutions

Zhou Chunyan

(Changzhou Textile Garment Institute Creativity College,Changzhou213164,China)

Abstract:This paper from the university research combine to start experiment in animation professional training construction at the same time,improve social service capacity.The concept of cloud computing,cloud rendering approach proposed rendering cloud level architecture,hardware logic topology,cloud management logic architecture,a good solution to the animation cloud rendering of the formation.

Keywords:Animation;Cloud rendering

在國內動漫產業規模不斷壯大的過程中，動漫制作水平的低下已經成為制約產業做強的一大瓶頸。以往在高端的3D制作和渲染應用上，原來常常采用專業渲染集群，但就現在看來其應用瓶頸還是比較明顯的，主要是運營模式單一，資源利用率不均勻，管理使用復雜度高等問題都為運營商和用戶都帶來了不同程度的困擾。尤其是作為動漫制作的核心環節―動漫渲染，還存在著資源分布不均、難以整合、渲染操作較為原始等亟待解決的應用難題。

為此，我認為高校在校企合作的大背景下，在調查社會渲染客戶應用需求了解他們對自主使用計算存儲等資源的需求基礎上，結合學校自身的專業發展要求提出云渲染的建設，是符合技術發展和社會需求的明智之舉。當然，云渲染也是動漫渲染計算平臺的主要發展趨勢。

“渲染云”是為了解決動漫渲染行業的問題而應運而生的。一直以來，國內的渲染平臺普遍以“一套系統運行多個應用”和“一個平臺多用戶共享”的公用渲染制作平臺為主，平臺軟、硬件乃至插件沖突頻發，異構現象極為嚴重，而渲染平臺管理和運營也始終停留在以人工為主的原始操作時代，除了渲染可以自動化以外，其余全部依托于人力。

如上圖所示的渲染云解決方案成功解決了動漫渲染行業的這些問題，它針對用戶提供基于Web化的全程服務，實現不同渲染集群、甚至跨Internet不同數據中心之間的渲染任務的均衡分配和管理，提高渲染資源利用效率及投資回報率；終端客戶只需要通過Web就可以享受到任務提交、任務進度查看和收費情況等全程服務，使繁瑣的動漫渲染演變成為純基于web的透明的傻瓜化的操作，也讓客戶能夠將精力解放出來，專注于自身制作業務，促進了渲染行業的發展。

渲染云解決方案通過采用主流或高端計算機設備，甚至集群的分布式計算平臺，有效縮短建模制作、渲染和后期處理的計算時間；而且很多時候，圖形圖像處理也需要GPU加速計算或可視化來增進制作與效果的交互性；同時需要高速的網絡帶寬為后期系統輕松實現。因此，渲染云需要為用戶提供了高性能的計算資源和設備。

渲染云以渲染集群和集中存儲等設備為基礎網絡環境，外延到完全自主的制作和提交渲染任務，云平臺自動處理任務錯誤，實時基于策略備份數據內容，同時支持自助按需購買支付云資源。對運營商提供靈活多樣的資源分配策略，很好的組織和管理用戶群和用戶權限；對用戶則提供按需服務，按使用情況來支付的整體功能。用戶可以通過手機、筆記本、PC、工作站等各種終端設備直接向渲染云計算平臺提出請求，即可得到響應和相應的資源分配；云計算平臺提供了高效的計算能力，最大限度地發揮了所有平臺的資源利用率和計算能力。

渲染云針對動漫渲染應用特點，符合當下技術發展趨勢，將成為當下主流動漫渲染服務平臺模型之一，其解決方案的層次結構，主要按照提交端和云計算進行分類，它的層次結構內容如下圖所示。

渲染云為3D渲染提供了一個超級計算服務平臺模型，使用者可利用所有能連接到云計算平臺的日常硬件提交環境，輕松高效的支付后，利用渲染云模擬出渲染效果等結果，并在本地高速得到反饋。由于將建模制作后的3D渲染任務從本機搬到了互聯網絡上，把繁重的計算任務放在超級計算機集群上進行可視化處理，所以原來需要大量時間計算和大量硬件資源占用的現象都不會再困擾用戶。通過利用渲染云平臺，運營商和最終用戶都無需再擔憂曾經需要被維護的渲染農場。主要功能實現如下：

用戶管理：渲染云提供多用戶權限和功能管理，對運營商提供全局管理界面和功能，對不同用戶提供區別費率分項計費管理；管理員權限用戶擁有資源分配權限，計算用戶無縫使用計算資源。

便捷操作：渲染云通過專業網絡在線渲染計算，支持主流動漫制作和網絡渲染功能。利用云計算平臺超級計算能力，高速網絡帶寬和富客戶端為用戶實現桌面軟件級的用戶體驗，輕松制作、提交和監控管理計算任務及過程，高效查看制作和渲染計算結果。作為國產廠商關切本土用戶需求，提供全中文界面支持。

彈性擴展：渲染云不僅為平臺運營商提供超級計算能力，隨著技術的發展和更新，硬件平臺可彈性平滑擴展，不影響用戶體驗。

安全保障：渲染云采用自主知識產權龍芯硬件防火墻，保障云計算平臺的安全性。同時渲染云作業提交僅依賴瀏覽器支持，無需開啟桌面系統級別的共享訪問實現，更提高了整個平臺安全性。基于策略的硬件備份容災系統，通過本地數據備份和異地容災的充分保障了數據安全性。

按需計費：運營商可通過渲染云全面為不同用戶提供即“插”即用渲染等服務，按需計費，合理分發資源，并通過支付平臺便捷支付。

綠色計算：渲染云充分為運營商考慮到是運營成本和環保，閑時策略關閉部分或全部計算服務，收到任務后自動喚醒計算服務。

渲染云的邏輯拓撲結構

上圖所示為該系統的邏輯拓撲圖，用戶將制作好的三維場景文件上傳到用戶自己的工程目錄下，通過Muster Explorer GUI將任務提交給分發節點(dispatcher server)服務器，由dispatcher server節點服務器將任務分發給系統中指派的計算節點，渲染完成后每個節點再將結果返回dispatcher server節點服務器，最后把渲染的最終結果保存到用戶自己的工程目錄下，用戶可以通過FTP下載。所有的數據均可通過存儲設備定期備份，以防數據丟失。

渲染云的管理軟件邏輯圖

從邏輯上，渲染云解決方案可以分為三個層次，即硬件資源層、應用管理層和資源調度層，前兩層分別從硬件和軟件定義了云計算資源，而資源調度層則充當了整個方案的核心。其拓撲圖如下所示：

其中，應用管理層分布于渲染云資源之上，主要部署了“任務管理、軟件整合和資源統計”三個子模塊。資源調度層是整個渲染云解決方案的核心，部署于渲染云管理平臺之上，也包括“需求評估、資源管理、資源調度”三個子模塊，而每個子模塊又各自有三個組成部分?？梢姡摲桨缚梢詫崿F異構硬件資源管理、渲染任務管理、軟件和插件管理、客戶需求分析與資源調度、計費管理等諸多功能。渲染云方案組成如下表所示：

硬件資源層 主要由渲染云資源的硬件組成，渲染云資源有其特有的渲染服務器、網絡設備和存儲設備。它們可以是異構的，只要能夠提供較為均衡的資源配置即可，即計算能力、網絡能力和存儲能力等方面不存在明顯的瓶頸。

應用管理層 任務管理模塊 負責對管理中心和遠程客戶提交過來的渲染任務進行管理，包括選擇相應的渲染引擎、渲染插件、調度策略、資源選擇、資源控制、客戶數據的上傳和下載等。該模塊為該層的主要組成部分。

軟件整合模塊 為渲染行業各種應用軟件和插件提供名稱和版本的管理。渲染云解決方案面對的是多種多樣的動漫用戶，他們使用不同的軟件，甚至同一軟件的不同版本。該模塊就是對這些軟件進行集成、維護、升級、增加、淘汰等管理操作。

資源統計模塊 主要任務是對渲染云資源的各類硬件資源進行實時統計，向渲染云管理平臺實時提供資源使用狀況的信息，包括有多少空閑資源，非空閑資源預估多長時間能完成工作，以及增加及淘汰硬件設備的信息。

資源調度層 需求評估模塊(對客戶提交的任務進行需求評估) 1)需求測試部分：為客戶提供初步測試，得出客戶提交的測試算例單位計算能力渲染時間以及單位計算能力所需要的網絡和存儲資源。

2)資源需求評估部分：根據需求測試結果，評估出客戶整個任務中單位計算能力（1萬億次/s）渲染所需要的總時間。在客戶選擇所需要的計算能力后（比如需要10萬億次），評估該計算規模所需要的網絡和存儲性能情況。

3)計費管理部分：根據計算能力、網絡性能、存儲性能，按照一定的商務規則，評估出客戶大致的花費；并且在整個渲染過程結束后，計算確切的花費情況。

資源管理模塊(對渲染云資源池進行管理) 1)資源統計部分：匯總渲染云資源渲染應用層的資源統計模塊的信息，對整個渲染云資源池的資源情況進行統計和管理。

2)資源歸檔部分：由于渲染云資源采用的處理器平臺不同，同樣的平臺又分為多個系列及多種主頻。該部分統計相同型號的處理器并進行歸檔，避免同一任務在不同的處理器平臺上渲染可能帶來的色差問題。

3)資源評估部分：對歸檔的各種資源進行評估，按照多種規則對渲染節點進行估值，以便于進行統計分析，為渲染云資源所有方進行更新或淘汰設備的參考。比如，計算能力較弱，能耗較高的節點估值就較低。

資源調度模塊(根據客戶需求對渲染任務進行合理的調度) 1)調度策略管理部分：提供多種資源調度策略的管理，利用資源管理的分析數據，針對不同的軟件和任務，對調度策略進行優化。

2)閑置資源分析部分：對目前整個渲染云資源池中的閑置資源，包括渲染節點、網絡性能和存儲性能進行分析，結合資源管理子模塊的數據和需求分析子模塊的資源需求，列出目前所有的可選資源或者在一定時間內可以空閑出來的可選資源。

3)調度策略選擇部分：結合調度策略管理部分和閑置資源分析部分所得出來的結果，為任務選擇最為合理的調度策略以及渲染資源。

在這種新的模式下，整個渲染業務流程將簡化成三個步驟：

第一步：提交任務?？蛻糁恍枰谶h程訪問管理平臺，進行任務的提交。渲染云管理平臺在得到客戶的渲染需求之后，會采用統一的標準對該任務進行測試分析：采用單位計算能力對任務一定比例的渲染量進行測試，從而評估出整個任務對計算資源的需求，比如1萬億次/s的計算能力需要進行150個小時的渲染工作；測試分析同時還評估出渲染任務在單位計算能力所需要的網絡及存儲帶寬。根據資源需求的評估將會換算為費用的評估，如果客戶認可，則達成初步的渲染委托協議，而客戶如果對時限有要求，則費用也會有一定比例的調整。比如，一個任務1萬億次的計算能力需要渲染150個小時，如果客戶要求在1天之內拿到成品，則可以采用10萬億次計算能力渲染15個小時的方案。

第二步：資源匹配。任務提交后，渲染云管理平臺會在渲染云資源池中選擇合適的資源。由于每個渲染資源都會有一個模塊，實時統計該資源空閑的計算能力、網絡帶寬、存儲帶寬等信息。渲染云管理平臺會根據這些信息，為客戶初步選擇合適的渲染資源。考慮到客戶對渲染結果的滿意程度具有一定的主觀性，所以選定測試資源后，首選遠程提交一個測試幀，由被選中的渲染資源進行渲染測試，將樣片發給客戶進行樣片確認，客戶如果對結果不滿意，可以選擇其他合適的資源，直至客戶滿意為止。客戶如對結果滿意，即可通過FTP遠程直接向渲染資源提交渲染的原始數據及渲染參數等信息。然后，選出客戶需要的計算能力參與渲染，在評估的時間內完成成片供客戶進行下載。

第三步：業務結算。任務達成后，根據協議進行業務結算。

由此可見：云渲染可以根據不同的云渲染要求提供專業的渲染云服務，能夠讓用戶擺脫對于地域和設備的依賴，使眾多的設計師在同一個平臺中進行設計，彼此直接交流看法并作出結論，修改后的設計共同驗證，這相當于通過技術的手段把產學研有機地緊密聯結在一起，達到了產學研的和諧統一。

參考文獻：

[1]MichaelMiller.云計算[M].姜進磊.機械工業出版社,2009,4

[2]王鵬.走近云計算[M].人民郵電出版社,2009,6

[3]George Reese.云計算應用架構[M].電子工業出版社,2010,7

[4]吳朱華.云計算核心技術剖析[M].人民郵電出版社,2011,5

云計算安全評估辦法范文3

關鍵詞：高校財務 信息化 風險識別及應對

隨著信息化時代的到來，計算機信息技術迅速發展，會計信息化建設受到各界人士的普遍關注。2014年1月6日，財政部的《企業會計信息化工作規范》正式施行。這是繼20年前的《會計電算化管理辦法》等相關規定之后，財政部首次以“會計信息化”的概念來規范企業的相關財務工作。企業會計信息化建設已取得顯著成果，借鑒企業信息化建設的經驗，研究高校財務信息化建設，可以提高高校財務工作的效率，也有助于高校的快速發展。財務信息化建設是一把“雙刃劍”，在發展過程中也面臨諸多風險，如何做好信息時代背景下財務信息化風險識別及防范，成為高校財務人員需要面臨的重要問題。

一、高校財務信息化風險概述

所謂高校財務信息化，是指采用現代信息技術對高校財務工作模式進行重整，將計算機、互聯網和通信等信息技術與高校日常財務活動有效整合，創建財務信息系統，從而能夠為高校的財務工作和決策活動提供全面、準確、充分、及時的財務信息資源，進一步增強高校資金使用的效益與效果。信息化的高速發展促進了高校財務信息化的進程，提高了財務人員的工作效率，減輕了財務人員的負擔，但是在發展過程中，風險問題也日益突出。

（一）財務舞弊。財務舞弊是指行為人為獲得不當利益，違反國家法律、法規的有關規定，憑借財務欺詐等方式，導致他人遭受損失的行為。當前，高校財務信息系統還不能做到完全意義上的信息化，如經費的預算編制、應收應付款的管理、工資的編制發放、銀行對賬單的定期核對、固定資產入庫的核對等方面，均需要人為的干預和決策，一旦內部控制不完善，就容易存在財務舞弊。

（二）稻萸勻　V敢圓徽當的手段取得各項財務數據以達到自己的目的。財務信息化要依托于網絡，而網絡開放的信息資源、眾多的用戶等特點，使得財務數據在網絡環境下總是存在著很多的安全威脅。社會中某些行為人出于各種目的，利用黑客技術登陸財務服務器，竊取各類財務信息，侵害了財務數據的機密性，嚴重擾亂了高校財務工作秩序。

（三）系統故障。系統故障是指由于某種原因造成系統非正常停止運行，比如設備故障、硬件損壞、軟件的安全漏洞等，故障所造成的系統運行中斷、數據丟失等后果，往往產生難以彌補的損失?，F實中，高校財務經常面臨信息化資金缺乏、投入不高的現狀，財務信息系統設備老舊，服務器配置低、故障頻繁等現象時有發生，嚴重影響高校財務工作的有效運行。

（四）病毒攻擊。隨著互聯網的廣泛應用，網絡安全最大的威脅因素是計算機病毒，計算機病毒表現出隱蔽性高、破壞力強、周期短、速度快、清除難度大、難以防范等特點。高校財務局域網與互聯網連接，使計算機系統感染病毒的幾率和防范病毒的難度加大。外部一些有不良動機的不法分子會利用瀏覽網頁、下載文件、收發郵件等手段，使財務系統感染病毒，嚴重威脅整個財務計算機網絡系統和數據安全。

（五）惡意破壞。惡意破壞是指一些人出于不良動機，故意毀壞財務設備或網絡，給高校財務帶來嚴重的不良后果。惡意破壞對于任何信息化程度較高的單位破壞性都是致命的，無論對軟件還是硬件的破壞都足以導致該單位陷入混亂的局面。在某些特殊情況下，財務舞弊人員會通過惡意破壞引起單位混亂，從而來掩蓋其不法行為。

（六）自然災害。自然災害是指由于火、水、雷電、地震等不可抗力造成的財務信息化的外部風險。雖然發生的概率很小，但是一旦發生，造成的損失往往是毀滅性的，所以也應引起足夠重視，提前做好防范措施。

上述影響高校財務信息化的風險因素，每一種風險發生的概率和產生的成本是不同的，根據成本效益的原則，對以上風險因素進行風險評估，確定合適的應對方法策略。

二、高校財務信息化風險評估

信息化風險是指可能存在影響信息化目標實現的各種不確定性因素，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。風險評估的方法有定量分析法和定性分析法。

（一）定量分析方法。定量分析法是對社會現象的數量特征、數量關系與數量變化進行分析的方法。高校財務信息化風險評估是從數字上對風險進行分析評估，定量分析法思想明確、清晰，對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額，當度量風險的所有要素都被賦值，風險評估的整個過程和結果也就都可以被量化了。本文對某高校財務信息化的風險進行了評估，其分析過程如下：首先，評估每一風險事項發生的可能性，根據事件發生的可能性推出高校財務信息化的風險系數（見表1）；其次，根據表1的風險系數表估測每一個影響高校財務信息化風險事項發生的可能性，然后用評估的某高校財務信息化潛在損失乘以表1中的風險系數表，計算出每種事項的風險損失成本（見表2）。

從表1和表2中可以發現財務舞弊是財務損失最大的風險，其次是惡意破壞和系統故障。從內外部角度來看，內部因素比外部因素更具有破壞力。從表2中我們還可以看出發生風險最大的并不一定是損失最大的，例如發生損失最大的是財務舞弊，損失風險68.4萬元，有57%的幾率會發生；風險最大的是系統故障，損失風險17.28萬元，有96%的幾率會發生。通過定性分析方法我們很直觀地看到影響高校財務信息化的風險因素發生概率以及發生損失的大小，從而根據成本效益原則制定適宜的應對措施。

（二）定性分析方法。在實際操作中，定量方法用于評估損失風險有一些困難，因為確定單位損失的相關成本及其發生的可能性有一定的隨機性。所以我們實踐中采用定量分析和定性分析相結合的方法。定性分析法亦稱“非數量分析法”，主要依靠預測人員的豐富實踐經驗以及主觀的判斷和分析能力，推斷出事物的性質和發展趨勢的分析方法。借鑒企業風險評估的方法，我們采用定性分析矩陣來評估影響高校財務信息化的風險因素（見表3），由表3進一步分析演化成綜合定性分析表（見表4）。

以上我們分析的影響高校財務信息化的因素，根據影響程度和可能性，可以把風險因素依據預測人員的主觀判斷能力分別進行分析。例如財務舞弊屬于很可能且帶來的損失結果較大的一種風險，對應表3中的高風險區域，應該需要立即采取行動；對應表4中的，可能性很可能，結果較大的S嚴重風險，需要引起高校高層管理者密切注意和重視。自然災害于發生的概率幾乎不可能，但是一旦發生帶來的損失較大，對應表3中的中風險區域，需要管理層密切監督；對應表4中的可能性幾乎不可能，結果較大的M中度風險，管理者應該采取措施進行預防管理，做好日常的防范監督。

結合定量和定性分析方法，本文分析了影響高校財務信息化的風險因素，分析了各個風險的發生概率以及發生損失的大小，根據成本效益的原則，同時結合目前我國高校財務信息化的實際現狀，比如財務管理系統比較落后，財務信息化程度較低，財務信息傳遞速度緩慢等，制定高效可行的應對措施。

三、高校財務信息化風險的應對措施

風險評估之后，高校管理者應當根據經濟效益最大化的原t來確定采取風險應對措施。針對發生損失概率大，損失成本高的因素，采取積極主動應對措施，同時做好預防工作。針對發生損失概率較小，損失成本較高的因素，應引起高度重視。對于發生概率較大，損失成本較低的因素，應當妥善做好日常財務信息安全工作，從而避免不必要的損失。針對發生損失概率小，風險低的因素，應時常提醒財務人員有可能會面臨的風險及如何應對。本文從影響高校財務信息化風險因素的角度，制定具體應對措施。

（一）崗位分工，實行職責分離。采取不同崗位管理人員職責分離來應對財務舞弊行為，從而降低財務風險。崗位設置可分為系統管理、監控、操作等。系統管理崗位主要負責日常管理、維護、用戶授權、數據備份等，監控崗位可以通過信息網絡平臺對系統管理崗位和操作崗位的工作流程和結果進行識別、記錄，防止利用網絡進行欺詐舞弊等行為；操作崗位具體負責信息的采錄與研判分析，細分為錄入、核審、檔案管理等崗位；現實中，系統管理、監控和操作崗位應由專人負責且應分工明確、互不干涉。例如接觸實物資產和經常接觸會計記錄數據文檔的崗位人員必須實現職責分離，否則這兩種接觸的特權放在一起容易產生舞弊和欺詐。

（二）創新體制，完善內部控制。加強內控制度建設，應對財務舞弊、數據竊取、行為人的惡意破壞等違法行為。首先，高校內控制度建設需要進一步完善管理制度，例如網絡維護與管理制度、數據安全與維護制度、機房管理制度、計算機軟件操作及維護制度、操作權限控制，計算機軟硬件使用與維護制度，業務處理流程、設備管理制度等，從源頭上對高校財務工作人員進行行為約束。其次，進一步提高對數據訪問和運用的核審機制。對高校財務信息系統的各類重要數據參數及敏感資料進行實時監控，根據不同人員設置類別不同的使用權限，未經有效授權嚴禁拷錄、使用系統資源，避免數據竊取、程序和系統破壞現象的出現，切實提高財務信息風險管控水平。最后，要建立高校財務信息化系統的安保體系，確保網絡和信息暢通，防止人為破壞。

（三）減少威脅，誠信與法律結合。實踐中，對財務信息管理系統惡意破壞且造成嚴重后果者，高?？梢圆捎梅墒侄尉S護自身合法利益，我國《刑法》《民法》《中華人民共和國計算機信息系統安全保護條例》等多部法律明確規定，任何組織或個人，不得利用計算機信息系統從事危害國家利益、公共利益和公民個人合法利益的活動，不得危害計算機信息系統的安全。任何組織或者個人違反本條例的規定，給國家、集體或者他人合法財產造成損失的，應當依法承擔相應法律責任。《計算機信息網絡國際聯網管理暫行規定》規定用戶不得擅自進入未經許可的計算機系統，篡改他人信息；不得制造、傳播計算機病毒及從事其他侵犯網絡和他人合法權益的活動。《公安部計算機信息網絡國際互聯網安全保護管理辦法》規定任何單位和個人未經允許不得對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加；不得故意制作、傳播計算機病毒等破壞性程序。同時，對一些主觀惡性較小，處于違法行為預備階段或尚未造成危害后果的行為人可以對其加強宣傳教育，依靠誠信原則及道德力量來約束、規范行為人。

（四）數據備份，確保數據安全。數據備份在工作實踐中具有十分重要的現實意義，系統故障、人為破壞或意外事故等風險因素均會對數據的保存和延續造成影響，因此應定期做好備份，可采用云備份或軟、硬盤等多種存儲介質同時備份，并可配備專門的服務器，從而保證財務數據萬無一失。對于重要的財務檔案或臺賬應指定專人負責，對于備份的電子數據及紙質臺賬要嚴格按照國家規定的管理辦法進行歸檔和保存，妥善做好各種防護措施，確保財務數據的完整和安全。

（五）防范病毒，保證系統安全。針對病毒攻擊我們應建立完善的防病毒體系。計算機病毒傳播范圍廣、時間短、危害大，對財務信息系統的正常運行及數據的安全造成嚴重威脅，因此高校財務系統管理者必須建立完善的防病毒防護體系，將殺毒軟件及網絡防火墻在有關網絡和計算機上實現全方位覆蓋，并啟動實時監控系統，定期升級病毒庫，嚴格執行防病毒措施，且應當制定嚴格的計算機管理制度，禁止在工作機上安裝無關軟件和危險插件，財務專用機由專人負責，慎用U 盤等移動存儲介質。

（六）強化培訓，提高人員素質。高校財務人員應當進一步提高自己預防風險和管控風險的能力。當前，財務信息化已成為高校財務管理發展的必然趨勢，信息化的發展對工作人員的能力提出了更高的要求，在新形勢下，要想勝任財務工作崗位，必須在掌握財務專業基礎上精通計算機操作等相關技能，因此，高校管理者必須進一步加強復合型人才的培養，一方面要進行宣傳教育，提升工作人員的思想認識，使財務人員明確新知識、新技能在現實工作中的重要意義；另一方面要定期開展業務培訓，結合財務信息化系統的使用提升財務人員計算機操作技能，增強其風險防范意識和管控水平，從而進一步推動高效財務信息化進程邁出堅實的步伐。

參考文獻：

[1]高娟.高校風險管理研究綜述[J].財會通訊，2015，（16）：43-47

[2]牛麗云.信息化環境下高校會計信息化人才培養的探討[J].商業會計，2014，（21）：122-123.

[3]魏春波.高校財務信息化風險管理探析[J].沈陽建筑大學學報（社會科學版），2007，（4）：427-437.

云計算安全評估辦法范文4

2013年國家信息安全專項有關事項的通知

發改辦高技[2013]1965號

工業和信息化部、公安部、安全部、質檢總局、中科院、國家保密局、國家密碼局辦公廳(室)，各省、自治區、直轄市及計劃單列市、新疆生產建設兵團發展改革委，相關中央直屬企業：

為了貫徹落實《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》(國發[2012]23號)的工作部署，針對金融、云計算與大數據、信息系統保密管理、工業控制等領域面臨的信息安全實際需要，國家發展改革委決定繼續組織國家信息安全專項?，F將有關事項通知如下：

一、專項重點支持領域

(一)信息安全產品產業化

產品自身應具有較高的安全性，不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等國家標準中3級的相關要求。

1、金融信息安全領域

(1)金融領域智能入侵檢測產品。

適用于金融機構電子銀行等應用業務系統，支持IPv4/IPv6環境，具有雙向數據檢測、歷史數據關聯分析、網絡報警數據篩選過濾、反饋測試、自學習和自定義檢測規則、多維度展現，以及攻擊影響分級等功能，吞吐量不低于20Gbps，基于國內外主流特征庫檢測的漏報率低于10%、誤報率低于5%。

(2)高級可持續威脅(APT)安全監測產品。

適用于金融機構的業務網絡和應用系統，支持IPv4/IPv6環境，具有規?；摂M機或沙箱執行等動態檢測技術的威脅感知功能，具備對各類設備網絡文件傳輸異常行為、漏洞利用行為、未知木馬、隱蔽信道傳輸等多樣性、組合性和持續性攻擊的檢測能力，支持1000個以上的并發檢測能力，基于國內外主流特征庫檢測的漏報率低于5%、誤報率低于10%。

(3)面向電子銀行的Web漏洞掃描產品。

適用于金融機構電子銀行業務系統，具備開放式Web應用程序安全項目(OWASP)通用漏洞的高啟發、高強度、交互式檢測能力，具有漏洞驗證、基于電子銀行系統業務流程的流量錄制重放式的邏輯漏洞分析等功能，基于國內外主流漏洞特征庫掃描的漏報率低于5%、誤報率低于10%。

(4)金融領域應用軟件源代碼安全檢查產品。

適用于金融機構各類業務應用系統，具備適用于金融領域特點、可更新和自定義的安全掃描規則庫，可定制掃描策略，在Linux、Aix、Windows、Android、iOS等環境下，具有對Java、C/C++、C#、JSP、COBOL、VB、Ruby等主流編程語言和.NET、Eclipse、Matlab等集成軟件工具開發的應用系統進行源代碼掃描的功能，對源代碼潛在問題分析給出分級別建議，每小時掃描百萬行以上代碼，基于國內外主流軟件源代碼漏洞特征庫檢測的誤報率低于30%、漏報率低于35%。

2、云計算與大數據信息安全領域

(1)高性能異常流量檢測和清洗產品。

支持IPv4/IPv6環境，適用于云計算和大數據的應用，具備流量牽引和回注、網絡層和應用層攻擊檢測與清洗等功能，支持地址區間的IP保護，可實現對100萬個以上IP地址的異常攻擊流量清洗，啟用全部檢測和清洗功能后，設備整體吞吐量達到100Gbps以上。

(2)云操作系統安全加固和虛擬機安全管理產品。

支持IPv4/IPv6環境，支持虛擬化認證授權、訪問控制和安全審計，具備虛擬機逃逸監控、實時操作監測與控制、防惡意軟件加載和安全隔離等功能，具備1萬臺以上安全可控輕量級虛擬機的安全管理能力。

(3)高速固態盤陣安全存儲產品。

支持IPv4/IPv6環境，具備雙控及冗余保護機制，具有緩存鏡像、掉電保護、采用國家密碼局規定算法的數據加密等功能，支持原生命令隊列(NCQ)技術及多種主流接口協議，單盤持續讀寫性能不低于200MB/s，容量大于512GB，每秒輸入輸出次數(IOPS)大于12，000，單陣列支持500塊以上單盤擴展，響應時間小于800s，非加密通道IOPS大于220，000，加密吞吐量大于1Gb/s。

(4)大數據平臺安全管理產品。

支持IPv4/IPv6環境，具有對不少于3種大數據應用平臺進行漏洞掃描、配置基線檢查、弱口令檢測、版本檢測和補丁管理等功能，可實現大數據去隱私化處理和策略化數據抽取與集成、統一的策略管理、統一事件分析、全文檢索及多維度大數據審計，能夠對用戶訪問敏感信息行為進行報警、阻斷、跟蹤和追溯，關鍵安全策略同時支持結構化與非結構化數據的管理，支持1000萬以上并發業務訪問。

3、信息安全分級保護領域

(1)網絡保密檢查和失泄密核查取證產品。

適用于涉密網和普通業務網絡，支持各類主流操作系統，具備對各種網絡失密泄密事件證據保全、提取和分析的功能，支持只讀方式、多種硬盤接口、DD或AFF等多種鏡像格式，支持已刪除文件、注冊表、分區的恢復，具有自定義策略取證、關鍵詞搜索、2000萬個以上文件并行搜索、加密文件快速檢測的能力，對帶有密級標志的圖形、版式等類型文件識別率大于95%。

(2)特殊木馬檢查產品。

適用于涉密網和普通業務網絡，支持各類主流操作系統，具有已知木馬和未知特殊木馬檢測的能力，具備木馬樣本及其配置信息的提取、特征歸類檢測等功能，能夠定期進行升級，已知木馬檢測準確率為100%，未知特殊木馬檢測準確率大于70%。

(3)涉密信息系統安全保密風險評估軟件產品。

符合涉密信息系統分級保護相關國家保密標準，具備合規性檢測、漏洞掃描等功能，以自動檢測為主、人工判定為輔，評估內容覆蓋涉密信息系統安全保密風險評估全部項目，評估結論準確可靠，能夠自動生成評估報告。

4、工業控制信息安全領域

(1)面向現場設備環境的邊界安全專用網關產品。

支持IPv4/IPv6及工業以太網，適用于集散控制系統(DCS)、數據采集與監視控制系統(SCADA)、現場總線等現場環境，具備5種以上工業控制專有協議以及多種狀態或指令主流格式數據的檢查、過濾、交換、阻斷等功能，數據傳輸可靠性達到100%，可保護節點數不少于500點，設備吞吐量達到線速運行水平，延時小于100ms。

(2)面向集散控制系統(DCS)的異常監測產品。

適用于電廠、石油、化工、供熱、供水等工藝流程，具有對工業控制系統的DCS工程師站組態變更、DCS操作站數據與操控指令變更，以及各種主流現場總線訪問、負載變更、通信行為、異常流量等安全監測能力，具備過程狀態參數、控制信號的閾值檢查與報警功能。

(3)安全采集遠程終端單元(RTU)產品。

支持工業以太網協議，適用于-40℃～＋70℃溫度環境，電磁兼容性(EMC)不低于4級，具有內置安全模塊，實現數據采集與監視控制系統(SCADA)軟件端到端的信源加密，具備基于數字證書的安全認證功能，支持基于國家密碼局規定算法的數據加密，加密速率不小于20Mb/s。

(4)工業應用軟件漏洞掃描產品。

適用于石油化工、先進制造領域，具有對符合IEC61131-3標準的控制系統上位機(SCADA/HMI)軟件、DCS控制器嵌入式軟件以及各種主流現場總線離線漏洞掃描能力，具有對數字化設計制造軟件平臺(如產品數據管理PDM、專用數控機床通信軟件eXtremeDNC、高級設計系統ADS等)漏洞掃描能力，具備檢測與發現軟件安全漏洞、評估漏洞安全風險、可視化展示、漏洞修復建議等功能，漏洞檢測率達到90%以上。

(二)重要信息系統安全可控試點示范

1、金融信息安全試點示范

支持商業銀行開展一體化信息安全風險感知體系試點示范，按照信息安全等級保護相關要求，建立銀行系統整體信息安全風險感知預警、網點集中管控的防護體系，完善災備能力檢測、第三方安全服務質量評價等管理規范。

支持商業銀行開展電子銀行和移動支付業務系統安全態勢監控試點示范，按照信息安全等級保護相關要求，構建銀行新型增值業務應用的安全管理機制，并形成相應標準規范體系。

支持商業銀行、信息安全專業機構、行業主管部門對電子銀行系統聯合開展金融領域釣魚網站和金融詐騙事件安全應急保障試點示范，探索銀行、機構和政府部門合作的新模式，建立聯合處置、及時有效的應急保障機制。

2、云計算與大數據安全應用試點示范

按照信息安全等級保護的相關要求，在金融、能源、交通、電子政務、電子商務和互聯網服務領域，支持重點骨干企業，圍繞主要業務應用，采用安全可控的技術和產品，開展云計算和大數據安全應用試點示范，研究制定云計算和大數據應用的安全管理機制、責任認定機制、數據保護和使用安全機制與規范。

3、信息系統保密管理試點示范

在國家重點黨政機構和涉密單位，按照信息安全等級保護相關要求，開展基于密級標識的涉密信息及載體管控試點示范，部署電子文件密級標識管理、涉密計算機和涉密移動存儲介質識別管理等系統，探索重要信息系統保密管理新方式。

支持商業機構、專業機構開展電子郵箱安全保密試點示范，采用國家密碼局規定算法，以及相關信息安全防護技術，建設安全郵箱服務平臺，形成電子郵箱防泄密、反竊密綜合保障能力，探索安全加密郵件與智能終端電子郵件消息加密推送等新服務模式。

4、工業控制信息安全領域示范

在電力電網、石油石化、先進制造、軌道交通領域，支持大型重點骨干企業，按照信息安全等級保護相關要求，建設完善安全可控的工業控制系統。建立以杜絕重大災難性事件為底線的工業控制系統綜合安全防護體系，建立完善工業控制信息安全技術與管理的機制和規范。

二、申報要求

(一)請項目主管部門根據投資體制改革精神和《國家高技術產業發展項目管理暫行辦法》的有關規定，結合本單位、本地區實際情況，認真做好項目組織和備案工作，組織編寫項目資金申請報告并協調落實項目建設資金、環境影響評價、節能評估等相關建設條件，同時匯總相關申請材料并報我委。

(二)通過國務院有關部門及中央直屬企業申報的項目，項目單位應與有關部門和中央直屬企業有財務隸屬關系。其他項目應按照屬地管理原則，通過項目單位所在地的省級發展和改革委員會申報。

(三)項目主管部門應對報送的材料，如資金申請報告、銀行貸款承諾、自有資金證明、各類許可資質等，進行認真核實，并負責對其真實性予以確認。

(四)項目紙質申報材料包括：項目資金申請報告(達到可行性研究報告深度)、項目簡表和項目匯總表，上述材料一式兩份。項目簡表、項目匯總表、項目備案文件、自有資金證明、投資及信貸承諾等所有附件要與項目資金申請報告一并裝訂(項目簡表和匯總表應訂裝在報告正文前)。各項目材料一經提供不予退還，請做好備份。資金申請報告的具體編制要求詳見附件1、2。

(五)項目材料的具體報送時間、地點和相關要求將在今年9月下旬在國家發展改革委高技術司網站(網址gjss.ndrc.gov.cn)信息化欄目下另行通知。

(六)信息安全產品產業化項目的承擔單位原則上應為企業法人。申報項目應具備以下條件：(1)按規定在當地政府備案；(2)已落實項目建設資金；(3)采用的科技成果應具有自主知識產權；(4)項目申報單位必須具有較強的技術開發和項目實施能力，具備較好的資信等級，資產負債率在合理范圍內；(5)項目答辯時各單位應已有相關產品。

(七)重要信息系統安全可控試點示范項目的承擔單位應為企業法人或事業法人(不包含高校和科研機構)，項目的具體要求及項目資金申請報告的編制要點詳見附件2。

(八)本次信息安全專項分兩階段開展。第一階段受理金融信息安全、云計算與大數據安全、信息系統保密管理項目的申報，截止時間為2013年10月15日。第二階段受理工業控制信息安全項目申報，截止時間為2014年7月15日。我委對項目進行初步評審后，將組織現場答辯。其中，專項擬支持的產品將全部委托第三方檢測機構進行公開測試，有關具體項目答辯和測試名單、時間和地點，以及公開測試的時間將另行通知。

附件：1、信息安全產品產業化項目資金申請報告編制要點

2、重要信息系統安全可控試點示范具體要求及項目資金申請報告編制要點

3、信息安全項目及承擔單位基本情況簡表

4、信息安全項目匯總表

國家發展改革委辦公廳

2013年8月12日

云計算安全評估辦法范文5

2014年9月2日，職業病危害防治評估工作總結會在北京召開。會議聽取了職業病危害防治評估工作有關情況的匯報，審議通過了《2013年度職業病危害防治評估報告》，并對下一步工作提出了要求。國家安全監管總局副局長楊元元出席會議并講話。

評估指標與方法

此次評估是對職業病危害防治情況首次開展的評價工作，政策性強、工作量大、技術要求高，沒有經驗可循。在這樣的情況下，國家安全監管總局統計司與中國安科院加強調查研究與科研攻關，歷時2年，經多次征求意見和反復研究論證，制定了評估指標、評估方法。

評估共設7項指標，包括用人單位負責人職業衛生培訓率、用人單位勞動者上崗前職業衛生培訓率、從事接觸職業病危害作業勞動者職業健康檢查率、工作場所職業病危害因素檢測率、工作場所職業病危害告知率、工作場所職業病危害警示標識設置率，以及職業病防治監督覆蓋率。

評估采取抽樣調查的方法。對每一省級統計單位，按照統計學分層抽樣原則，選取2個地市，在“作業場所職業病危害申報與備案管理系統”內按行業、規模比例隨機抽取60家用人單位進行資料審查、10家用人單位進行現場抽查。

評估設計滿分100分，按照資料審查、現場抽查的分值分別占70%和30%，計算各省級統計單位的評估得分。得分結果分優秀、良好、合格和不合格4個等級。

評估結果分析

此次評估工作，掌握了職業病危害防治現狀，明確了差距，發現了問題，為今后職業病危害防治工作提供了基礎數據，為有的放矢開展工作提供了依據。

職業病危害防治現狀

近年來各級安全監管部門認真貫徹落實《職業病防治法》和《規劃》，取得了一定成效。但當前職業病危害防治形勢依然不容樂觀，職業病危害防治工作基礎薄弱，發展不平衡的情況較為突出。從被評估省級統計單位的總體情況看，建材、金屬制品、輕工等行業的用人單位及小微型用人單位，迫切需要提升職業病危害防治工作水平。

從被評估省級統計單位的總體情況看，各項指標的實施情況距離《規劃》目標有不同程度的差距，特別是用人單位負責人職業衛生培訓率和工作場所職業病危害告知率與《規劃》目標水平差距較大。

職業病危害防治存在的主要問題

根據評估結果，評估組分析了當前職業病危害防治工作存在的主要問題。一是基層職業衛生監管效果有待提高，特別是對小、微型用人單位的監督和指導需要進一步深化和提高。二是用人單位負責人職業衛生培訓工作有待加強。三是職業衛生技術服務機構的建設還不能滿足工作需要，集中表現在管理體制存在問題，數量不足、分布不均等。

繼續深入推進

云計算安全評估辦法范文6

關鍵詞：棱鏡門 去IOE 國產化替代 云安全

一、IT架構國產化成趨勢

（一）信息安全市場規模加速發展，市場發展空間較大

據統計，2014年全球信息安全市場規?？偣策_到670多億美元，全球的年復合增長率是8.7%，預計2016年，市場總規模將達到960億美元。

我國的信息安全建設起步較晚，意識形態在逐步提升，從行業分析的數據來看，國內信息安全市場規模的平均增幅達到17%，遠遠超過國外的增速。我們認為國內信息安全市場規模的增長速度還會提升，預期會達到20%左右。主要原因有以下兩點：一是中國的人口和企業基數多，信息化程度提升后帶來的邊際效應特別快，特別是移動互聯網的到來，中國的移動用戶終端數量達到5.5億，基礎的安全建設將隨之有較大比例的提升；二是目前互聯網建設過程中信息安全投資的比例低，據公開信息，2010年我國信息安全產業與軟件和信息服務業相比不足1.5%，遠低于國外的安全投入比例。

（二）棱鏡門是信息安全可控的助推器

從國家層面來看，十八屆三中全會公報指出將設立國家安全委員會，完善國家安全體制和國家安全戰略，確保國家安全。2014年2月27日，中央網絡安全和信息化領導小組召開第一次會議。指出，網絡安全和信息化對一個國家很多領域都是非常重要，要認清面臨的形勢和任務，充分認識做好工作的緊迫性和重要性，因勢而謀，順勢而為。網絡安全和信息化是一體兩翼、雙輪驅動，必須統一部署、統一謀劃、統一推進、統一實施。做好網絡信息化安全工作，要處理好安全和發展的關系，做到協調一致、齊頭并進，以安全保發展、以發展促安全，努力建久安之勢、成長治之業。

棱鏡門事件的爆發，使人們發現美國國家安全局可以接觸到大量個人聊天日志、存儲的數據、語音通信、文件傳輸、個人社交網絡數據。最重要的是通過對本國公司的合作，達到監控他國政府的目的，另外這個名為“棱鏡”的項目還可以使情報人員通過“后門”進入9家主要科技公司的服務器，包括微軟、雅虎、谷歌、Facebook、PalTalk、美國在線、Skype、YouTube、蘋果。

當代社會已經進入數字社會，互聯網開始連接一切，構成互聯網時代的基礎則是各種通信設備和系統應用軟件，信息安全是國家安全的重中之重，保障互聯網安全，保障IT信息產業安全將是重頭戲。在互聯網的時代，IT產業國產化的進程不可逆轉。

（三）國家意志下，IT架構國產化的必然性

雖然要求“去IOE”的呼聲在國內喊了很久，此前實際上并沒有實質進展。但2014年9月銀監會的39號文，讓“去IOE”真正落實成“白紙黑字”的文件。

根據39號文件要求，從2015年起，各銀行業金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加，直至2019年達到不低于75%的總體占比。2015年起，銀行業金融機構應安排不低于5%的年度信息化預算，專門用于支持本機構圍繞安全可控信息系統開展前瞻性、創新性和規劃性研究，支持本機構掌握信息化核心知識和技能。同時，銀監會還要求，2015年銀行業至少完成一個信息系統的遷移，至少實現一個數據級災備系統主要部件采用國產設備或軟件，并明確表示不建議再采購大型機設備。

在2015年的銀行采購中，某行已經要求采購國產IT產品，最新采購的服務器主要來自聯想集團、浪潮信息等國內知名IT企業。

二、云安全成為新的熱點

（一）云計算的發展推動行業新一輪成長

據Gartner公司統計，2014年全球云計算市場總規模已達1500億美金，而整個全球IT投入是3.6億美金，云計算占其中不足4%的份額。據Gartner公司日前的調查結果顯示，2013年全球公共云市場規模將從2012年的1110億美元增至1310億美元，私有云服務及混合云服務發展勢頭也十分迅猛。工信部云計算研究中心主任楊東日日前也透露，包括中國電信、中國聯通、中國移動在內蒙古的云計算投入將達到200億元。微軟亞太研發集團主席張亞勤曾預測，云計算未來幾年在全球范圍可創造1300萬份工作機會，未來五年年化符合增速將達到30%。

隨著越來越多的企業部署SaaS和BYOD，Gartner預計企業云安全服務的接受度和依賴性將逐漸增加，而未來幾年云安全市場將進入高速發展期。近日，Gartner報告“2014年全球云安全服務市場趨勢”預測：隨著越來越多的企業，尤其是中小企業采用云安全服務，云安全服務市場，包括安全郵件/web網關、身份和訪問管理IAM、遠程漏洞評估、安全信息和事件管理將迎來高速發展時期，2017年該市場規模將高達41.3億美元。

（二）國外云安全趨勢的最新動態

2014年8月，IBM收購了云安全服務提供商Lighthouse Security Group，是繼7月下旬收購意大利云安全廠商CrossIdeas后，再次進行的另一安全業務并購。該收購顯示IBM在身份和訪問管理安全服務領域將持續發力。

（三）國內企業逐漸布局云安全

啟明星辰緊跟云計算、虛擬化和SDN技術發展，結合公司在信息安全領域深厚的技術、產品、經驗積累，推出了“啟明星辰智慧流安全平臺”，深入詮釋和實踐了公司SDS（Software Defined Security，軟件定義安全）的理念，實現了安全按需使用、安全個性化編排、安全資源高彈性、切實抵御未知威脅等功能，助力SDN網絡及云數據中心安全。目前，“啟明星辰智慧流安全平臺”已經成功完成了與華為SDN網絡的聯合對接測試，并于“2015華為網絡大會”上。

三、信息安全行業發展的海外映射

（一）國外信息安全行業發展歷程

近年來，全球網絡威脅持續增長，各類網絡攻擊和網絡犯罪現象日益突出，并呈現出：攻擊工具專業化、目的趨于商業化、行為趨于組織化、手段趨于多樣化等特點。許多漏洞和攻擊工具被網絡犯罪組織商品化，使網絡威脅的范圍加速擴散。隨著網絡犯罪背后的黑色產業鏈獲利能力的大幅提高，互聯網的無國界性使得網絡威脅對全球各國用戶造成的損失隨著范圍的擴散而迅速增長。

國外信息安全領域龍頭企業逐漸從內生性成長向外延并購擴張。

（二）美國信息安全龍頭的成長之路

賽門鐵克營業收入從1989年上市的7400萬美元增長到2010年的61.9億美元，凈利潤從800萬美元增長到6億美元，是全球收入規模最大的信息安全產商。

賽門鐵克向全球的企業及服務供應商提供包括：入侵檢測、互聯網內容及電子郵件過濾、病毒防護、防火墻、VPN、風險管理、遠程管理技術及安全服務等。公司旗下的諾頓品牌是個人安全產品全球零售市場的領導者。

安全需求從單一產品逐漸轉向信息安全整體解決方案及服務；信息安全發展迅速，新需求層出不窮；通過收購來擴充自己的產品線和贏得客戶。從2000年2月到2006年2月，其收購了不下25家公司。而其也在收購之路上屢試不爽，成功率頗高。

（三）信息安全國產化替代百億空間

由于信息安全在互聯網時代的重要性，我國政府采購信息安全產品有著很高的要求，都要求采購“自主可控的國產安全產品”，具有完全自主創新特點的安全產品成為我國國家戰略部門采購時的首選產品，在政策上也受到政府的大力鼓勵。我國國家保密局、公安部、國務院信息化工作辦公室聯合制定《信息安全等級保護管理辦法》指出，我國第三級以上信息系統選擇使用的安全產品，其產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格。同時要求，產品的核心技術、關鍵部件具有我國自主知識產權。

截至2014年底，國內信息安全市場規模110億，信息安全占IT支出比例為1%，而歐美是8%-12%；政府、軍隊將被劃入第三級以上的信息安全等級保護，如果未來信息安全支出可以達到企業級IT支出比例的2%-3%，則每年將會有80-120億的市場。

四、信息安全產業的發展趨勢展望

隨著信息技術的快速發展和廣泛應用，基礎信息網絡和重要信息系統安全、信息資源安全以及個人信息安全等問題與日俱增，應用安全日益受到關注，主動防御技術成為信息安全技術發展的重點，信息安全產品與服務演化為多技術、多產品、多功能的融合。作為信息安全領域的領軍品牌，清華同方電腦總工程師劉峰認為目前信息安全產業呈現兩大新趨勢，將引領信息安全產業的發展。