網絡安全評測范例

摘要：隨著互聯網技術的快速發展和普及，如今互聯網技術的運用領域范圍也越加廣泛，并逐步改變人們的日常生活內容及習慣。在此情況下，國家為能夠有效確保網絡信息安全，已經將網絡信息安全的相關內容納入到國家安全之中，并將其視作為國家安全的重要組成部分?；诖耍疚膶⑻岢鲆环N網絡安全評測信息系統的總體設計架構，并以某中小企業為例，實現對網絡安全評測信息系統的具體運用測試，進一步確定網絡安全評測信息系統的實際運用成效。

關鍵詞：網絡安全；系統開發；系統運用

近些年來，隨著互聯網技術的快速發展，我國在網絡信息安全保障領域方面也得到了快速發展。但結合當今實際情況來看，我國網絡信息安全保障領域中還存在著網絡信息安全滯后于信息發展等問題，這些問題的存在將會嚴重影響到我國的網絡信息安全。為能夠進一步提高網絡信息安全保障能力，維護國家信息安全和公民信息安全，需要在網絡安全測評領域，采用先進技術手段和科學有效的方法，構建相應的網絡安全測評信息系統，及時預防和抵御網絡信息安全問題，將網絡信息安全風險控制在可接受水平范圍。

1網絡安全評測信息系統設計與實現

1.1安全漏洞掃描器類型。安全漏洞掃描器作為網絡安全評測信息系統重要組成部分，其在市面上常用的類型主要分為基于主機的安全漏洞掃描器、基于網絡的安全漏洞掃描器、基于目標的安全漏洞掃描器以及基于應用的安全漏洞掃描器四種。（1）基于主機的安全漏洞掃描器主要是通過被動式、非破壞性的方法對網絡信息系統進行全面檢測，檢測過程中會對系統配置文件的完整性、正確性、重要文件和程序的實際權限以及主機內部安全狀態等內容進行檢測分析，分析文件、程序、主機中是否存在風險漏洞問題[1]；（2）基于網絡的安全漏洞掃描器則會采用主動性、破壞性的方式來檢測系統是否能夠抵御外部攻擊，即通過一些腳本、病毒來模擬系統在被攻擊時的安全性能，進而測定系統的安全水平；（3）基于目標的安全漏洞掃描器在運行過程中會對系統屬性和文件屬性進行全面檢測，并在檢測過程中采用消息加密算法和HASH函數來感知系統加密消息的真偽變化情況；（4）基于應用的安全漏洞掃描器是一種被動式、非破壞性的安全檢測方式，在實際運行過程中會通過對應用軟件設置情況的檢測來判斷系統示范存在安全漏洞問題。

1.2網絡安全評測信息系統主要架構。結合當今實際情況來看，常見的網絡安全評測信息系統主要采用B-S、C-S等架構，本文在實際設計過程中，將會采用C-S架構。在網絡安全評測信息系統中主要分為客戶端和服務器兩部分，其中客戶端主要由安全評估模塊、掃描配置模塊以及結果報表整理模塊三部分組成；服務器主要是由掃描引擎、漏洞庫以及插件庫三部分組成[2]。在該些模塊的支持下，客戶端可以實現配置模塊的全面掃描，并實時將掃描請求發送到服務器端。服務器端在接收到掃描請求后，會調用掃描引擎會基于目標配置文件對目標的網絡進行全面掃描，然后將掃描結果與服務器漏洞庫中的預設信息進行匹配對比，確定目標網絡是否存在漏洞問題，再將判斷后獲取到的匹配結果返回給客戶端，客戶端會對返回的匹配結果進行分析，然后對分析結果及相關內容進行報表整理，完成整個網絡安全評測信息系統工作流程。

1.3客戶端架構設計。網絡安全評測信息系統的客戶端主要有掃描配置模塊、評估模塊、預警模塊、掃描結果數據庫以及主機基本情況數據庫五部分組成，具體內容如下：（1）掃描配置模塊：掃描配置模塊的主要作用是對客戶端的掃描任務進行合理配置，具體配置內容包括掃描目標、用戶名、用戶密碼、加密方式、輸出格式、掃描范圍、服務器地址、服務器端口、使用插件等。（2）評估模塊：評估模塊的主要作用是結合目標的實際情況選用適當的算法對目標掃描結果進行分析，然后對目標安全新情況進行一個較為全面、公正的評估判斷。（3）預警模塊：預警模塊的主要作用是在發現目標存在安全風險后，通過Email或者其他通信方式，及時告知目標存在的安全風險問題的實際情況，具體告知內容包括目標已發現的安全漏洞，漏洞相應的補救措施等[3]。（4）主機基本情況數據庫：通常來說，某一系統內部的所包含的主機數量在一定時間范圍內都是一定的，所以在實際網絡安全評測過程中，可以將這些主機相關的基本信息存入到主機基本情況數據庫中，以方便后續網絡安全評測信息系統檢測中使用，進而有效提高評測速度的同時，增強主機的管理效果。當然，在主機情況發生變動后，網絡管理人員需要結合主機變動情況及時對主機基本情況數據庫中的信息進行更新處理，確保數據的精準性和有效性。（5）掃描結果數據庫：每當完成一次網絡安全掃描后，掃描所獲取到的結果便會存儲到掃描結果數據庫中，以供后續掃描結果評估的匹配參考。

摘要:針對本地信息安全人才培養的需求，嘗試構建基于云計算的信息安全實訓平臺。利用虛擬化技術和云計算的優勢，彌補了傳統實訓環節的薄弱，設計了數據安全實訓、密碼學安全實訓、逆向工程實訓、安全運維與評估及信息安全綜合實訓五大實訓環節，更好地滿足新疆職業院校信息安全人才培養的需求。

關鍵詞:信息安全;實訓平臺;云計算

近年來，信息安全成為國家關注的重要領域，各高校正在積極開設信息安全類課程和專業，然而信息安全相關實驗內容極不完善，實驗環境和實驗器材都較為匱乏，開發一種具備實用性、開放性、靈活性的信息安全實驗平臺成為開展相關課程教學的基礎條件之一［1］。

1新疆高職院校信息安全專業實訓建設意義

“一帶一路”經過五年的建設發展，取得了舉世矚目的成績，烏魯木齊作為絲綢之路經濟帶的橋頭堡，其經濟發展和信息化建設將起著決定性作用。在信息化建設過程中，信息安全成為維護國家安全和社會穩定的一個焦點［2］。新疆高職院校主要是培養適應本地發展的高素質技能型人才，其特點是強調應用型。本文以烏魯木齊職業大學(以下簡稱“烏職大”)的信息安全云實訓平臺構建為例，緊緊抓住“實用”和“應用”兩個關鍵點，圍繞信息安全云實訓的內容及對應的職業技能和崗位應用進行探索。目的是加強網絡發展變革下的信息安全防范工作，順應“一帶一路”的發展信息網絡安全新思路，抵御恐怖主義、極端主義的信息及網絡襲擊，加強新疆信息安全高素質應用型人才的培養，努力構建社會穩定的安全格局。

2實訓平臺建設目標

信息安全云實驗平臺對信息安全人才培養至關重要。綜合信息安全領域的數據安全、密碼學安全、逆向工程、安全運維與評估等方面，構建一個基于云計算環境的虛擬化信息安全綜合實訓平臺具有迫切性和實用性。如何構建一個集成網絡工程、計算機科學與技術、信息安全、網絡安全、信息對抗、信息管理、電子商務等安全相關專業或相關方向迫切需要開設更多更全的信息安全類課程，如“信息安全概論”、“網絡安全”、“現代密碼學”、“PKI原理與技術”、“操作系統安全”、“數據安全技術”、“防火墻”、“入侵檢測”、“計算機病毒分析與防治”、“網絡攻擊與防護”、“信息隱藏”、“無線局域網安全分析與防護”、“信息安全綜合實訓”等，這些課程的教學都離不開好的實驗實訓平臺。

［摘要］隨著網絡信息安全重要性愈發凸顯，高校信息系統安全等級保護工作的實施勢在必行。定級作為等級保護工作的第一步，其科學性、合理性、可行性直接關系著后續環節的有序進行。文章通過分析定級工作流程和核心要素，結合教育行業特殊性，就高校信息系統定級工作進行分析和歸納。

［關鍵詞］安全等級保護；信息系統；定級

0引言

在教育部提出《教育信息化2．0行動計劃》后，建設“數字化”“智慧化”校園成為實現教育現代化的重要舉措。然而，由于有些高校信息系統在建設之初未將等級保護作為政策性要求加以考慮，其保護現狀能否滿足安全基本要求成為管理者們擔憂的問題。據統計，由于安全觀念薄弱，黑客對高校攻擊的成功率很高［1］，因此高校實施信息系統安全等級保護勢在必行。但由于思想認識不到位、資金投入不足、管理機構和制度不健全等因素［2］，部分高校遲遲未實施等級保護工作。而現有的等級保護研究成果多從信息系統等級評測技術角度及整體實施步驟進行，對于等級保護中定級工作缺乏具體的實踐指導意義。定級作為等級保護工作的第一步，其能否科學、合理關系到后續環節的順利展開。本文針對高校典型信息系統的定級流程、核心要素進行分析，結合山西某高校網站群信息平臺定級實例，希望對高校新建或改建信息系統等級保護評測提供借鑒。

1定級依據

信息系統安全等級評測制度對涉及國家安全，社會安全、公共利益，公民、法人和其他組織的專有和公開信息以及對這些信息存儲、傳輸、處理的信息系統分等級進行安全保護［3］。截至2018年底，國家公開的信息安全技術、網絡安全等級標準共14條。高校信息系統定級主要依據《信息系統安全保護等級定級指南（GB／T22240－2008）》以及教育部下發的《教育行業信息系統安全等級保護定級工作指南（試行）》。根據業務信息和信息系統在國家安全、社會秩序和公共利益、公民及相關組織合法權益中的重要程度以及在遭到破壞后對國家、社會、公民合法權益的危害程度，將業務信息和信息系統的安全保護等級分為五級［4］，安全級別由高到低分別為?？乇Ｗo級、強制保護級、監督保護級、指導保護級、自主保護級。同時依據安全等級保護管理辦法，信息安全等級保護評測的主要環節分為定級、備案、建設整改、等級評測和監督檢查五個環節。

2定級流程

[摘要]本文探討電子政務信息系統質量監督的主要內容及其面臨的網絡安全風險，重點討論電子政務信息系統網絡安全檢測的內容，以及網絡安全檢測在電子政務信息系統質量監督中的重要性及意義。

[關鍵詞]電子政務；質量監督；網絡安全檢測

電子政務是指政府相關部門利用信息技術、網絡技術等現代技術手段重新梳理、優化組織架構和辦公流程，利用電子化方式替代傳統的人工服務，為社會提供更高效、簡便、透明、廉潔的公共服務的一種全新的運作模式。其網絡安全能否得到有效保障，直接影響到政務信息資產的安全。

一、電子政務信息系統質量監督的主要內容

依照《中華人民共和國政府采購法》第四十一條：“大型或復雜的政府采購項目，應當邀請國家認可的質量檢測機構參加驗收工作。”圍繞采購方需求，制定出科學完善的測評方案，通過性能測試、漏洞掃描、云計算服務安全評估等專業檢測方法，為采購方采購的業務系統、軟件應用、云計算平臺等開展安全檢測。相關評測標準主要有：《GB/T25000.51-2016系統與軟件工程系統與軟件質量要求和評價(SQuaRE)第51部分:就緒可用軟件產品(RUSP)的質量要求和測試細則》《GB50462-2015數據中心基礎設施施工及驗收規范》。

二、網絡安全檢測在質量監督中的重要性

電子政務信息系統存儲著大量涉及國計民生的有效信息，若遭到不法分子竊取，將對個人、社會甚至國家安全造成嚴重威脅?；诖?，對電子政務信息系統進行網絡安全檢測，保障其安全穩定地運行，是非常必要且需高度重視的。政務信息網絡安全檢測主要是針對系統可能存在的安全漏洞進行識別、分析，采取措施應對發現的安全問題，以保障電子政務信息系統安全穩定運行。

[摘要]本文探討電子政務信息系統質量監督的主要內容及其面臨的網絡安全風險，重點討論電子政務信息系統網絡安全檢測的內容，以及網絡安全檢測在電子政務信息系統質量監督中的重要性及意義。

[關鍵詞]電子政務;質量監督;網絡安全檢測

電子政務是指政府相關部門利用信息技術、網絡技術等現代技術手段重新梳理、優化組織架構和辦公流程，利用電子化方式替代傳統的人工服務，為社會提供更高效、簡便、透明、廉潔的公共服務的一種全新的運作模式。其網絡安全能否得到有效保障，直接影響到政務信息資產的安全。

一、電子政務信息系統質量監督的主要內容

依照《中華人民共和國政府采購法》第四十一條：“大型或復雜的政府采購項目，應當邀請國家認可的質量檢測機構參加驗收工作。”圍繞采購方需求，制定出科學完善的測評方案，通過性能測試、漏洞掃描、云計算服務安全評估等專業檢測方法，為采購方采購的業務系統、軟件應用、云計算平臺等開展安全檢測。相關評測標準主要有：《GB/T25000.51-2016系統與軟件工程系統與軟件質量要求和評價(SQuaRE)第51部分:就緒可用軟件產品(RUSP)的質量要求和測試細則》《GB50462-2015數據中心基礎設施施工及驗收規范》。

二、網絡安全檢測在質量監督中的重要性

電子政務信息系統存儲著大量涉及國計民生的有效信息，若遭到不法分子竊取，將對個人、社會甚至國家安全造成嚴重威脅?；诖耍瑢﹄娮诱招畔⑾到y進行網絡安全檢測，保障其安全穩定地運行，是非常必要且需高度重視的。政務信息網絡安全檢測主要是針對系統可能存在的安全漏洞進行識別、分析，采取措施應對發現的安全問題，以保障電子政務信息系統安全穩定運行。

1定級的標準及其依據

根據《基本要求》的規定，二級要求的系統防護能力為：信息系統具有抵御一般攻擊的能力，能防范常見計算機病毒和惡意代碼危害的能力，系統遭受破壞后，具有恢復系統主要功能的能力。數據恢復的能力要求為：系統具有一定的數據備份功能和設備冗余，在遭受破壞后能夠在有限的時間內恢復部分功能。按照二級的要求，一般情況下分為技術層面和管理層面的兩個層面對信息系統安全進行全面衡量，技術層面主要針對機房的物理條件、安全審計、入侵防范、邊界、主機安全審計、主機資源控制、應用資源控制、應用安全審計、通信完整性和數據保密性等多個控制點進行測評，而管理層面主要針對管理制度評審修訂、安全管理機構的審核和檢查、人員安全管理、系統運維管理、應急預案等方面進行綜合評測。其中技術類安全要求按照其保護的側重點不同分為業務信息安全類（S類）、系統服務安全類（A類）、通用安全防護類（G類）三類。水利信息系統通常以S和G類防護為主，既關注保護業務信息的安全性，又關注保護系統的連續可用性。

2水利科研院所信息安全現狀分析

水利科研院所信息系統結構相對簡單，在管理制度上基本建立了機房管控制度、人員安全管理制度等，技術上也都基本達到了一級防護的要求。下面以某水利科研單位為例分析。某水利科研單位主機房選址為大樓低層(3層以下)，且不臨街。機房大門為門禁電磁防盜門，機房內安裝多部監控探頭。機房內部劃分為多個獨立功能區，每個功能區均安裝門禁隔離。機房鋪設防靜電地板，且已與大樓防雷接地連接。機房內按照面積匹配自動氣體消防，能夠對火災發生進行自動報警，人工干預滅火。機房內已安裝溫度濕度監控探頭，對機房內溫濕度自動監控并具有報警功能，機房配備較大功率UPS電源，能夠保障關鍵業務系統在斷電后2小時正常工作。機房采用通信線路上走線，動力電路下走線方式。以上物理條件均滿足二級要求。網絡拓撲結構分為外聯區、對外服務區、業務處理區和接入區4大板塊，對外服務區部署有VPN網關，外部人員可通過VPN網關進入加密SSL通道訪問業務處理區，接入區用戶通過認證網關訪問互聯網。整個網絡系統未部署入侵檢測（IDS）系統、非法外聯檢測系統、網絡安全審計系統以及流量控制系統。由上述拓撲結構可以看出，現有的安全防護手段可基本保障信息網絡系統的安全，但按照二級要求，系統內缺少IDS系統、網絡安全審計系統和非法外聯檢測系統，且沒有獨立的數據備份區域，給整個信息網安全帶來一定的隱患。新的網絡系統在外聯區邊界防火墻下接入了入侵檢測系統（IDS），新規劃了獨立的數據備份區域，在核心交換機上部署了網絡審計系統，并在接入區安裝了非法外聯檢測系統。形成了較為完整的信息網絡安全防護體系。

3信息系統安全等級測評的內容

3.1信息系統等級保護的總體規劃

信息系統從規劃到建立是一個復雜漫長的過程，需要做好規劃。一般情況下,信息系統的安全規劃分為計算機系統、邊界區域、通信系統的安全設計。相應的技術測評工作也主要圍繞這3個模塊展開。

摘要:文章分析了新形勢下網絡攻擊的模式和手段，列舉了支付行業所面臨的威脅和挑戰，剖析了加強支付行業信息系統安全建設的緊迫性和必要性，提出縱深安全防御體系建設的目標和路線圖，從而為企業的網絡安全建設提供思路和方向。

關鍵詞:第三方支付；網絡安全；關鍵信息基礎設施

2018年4月全國網絡安全和信息化工作會議上，再次強調“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行”。明確提出鑄牢安全屏障，就要“加強網絡安全信息統籌機制、手段、平臺建設，做到關口前移，防患于未然”。“關口前移”實際上就是要知道風險到底在哪里，才能有的放矢。攻防雙方的輸贏取決于信息是否對稱，技術是否對等，投入產出是否合理。要以技術對技術，以技術管技術，做到魔高一尺、道高一丈。

1新形勢下網絡安全所面臨的挑戰

近年來，國內外病毒事件和信息泄露事件層出不窮，“勒索病毒”“某酒店上億條客戶信息泄露”“某快遞公司數千萬條客戶信息泄露”等事件的余溫尚未退去，這給我們網絡安全的建設敲響了警鐘?；仡櫧陙斫洑v的網絡安全和信息泄露事件，威脅手段已由原來的腳本攻擊、掃描注入攻擊演變成勒索病毒攻擊、僵尸網絡攻擊，攻擊目標也由針對普通用戶攻擊轉向針對關鍵信息基礎設施的攻擊。隨著互聯網技術和通信技術的發展，支付行業的信息化程度越來越高，由于支付場景的極大豐富，給人們生活帶了各種便利，繳納話費、水電煤費用等均可在網上完成。但是隨著支付場景的多元化，個人信息和其他支付類敏感數據在互聯網上傳輸越來越頻繁，意外泄露和被非法竊取的可能性增加，因此保障信息的安全性至關重要。由于互聯網的開放性和共享特征及信息系統自身安全漏洞和某些應用框架的先天缺陷，使得敏感信息被非法獲取成為可能，因此構建合適的網絡安全體系來保障信息的保密性、完整性和可用性變得尤為重要[1]。

2加強網絡安全建設的必要性

支付系統是國家金融體系的重要組成部分，與公共交通、水電煤行業一樣屬于關鍵信息基礎設施，支付系統的安全穩定運行是社會穩定的重要基礎。對于支付行業而言，攻擊者目的是要獲取系統內部敏感數據，導致敏感數據泄露和企業聲譽受損。隨著外部攻擊形式越來越隱蔽、攻擊層次越來越高級、攻擊維度越來越多樣化，企業需要依賴健全的安全架構體系才能識別各種類型的攻擊來源、辨識不同的攻擊手段和方式，勾畫出全面的風險威脅視圖，進而制定多層“水閘式”縱深安全防御措施。在DT時代，數據是各種信息的載體，支付行業的數據尤為敏感，除了職能部門數據外，更多的敏感數據為商戶和持卡人信息。任何數據泄漏都將導致客戶或商戶利益受損，支付企業自身名譽遭受重創?！毒W絡安全法》等相關法律法規的出臺，對數據安全保護提出了更高的要求[3]。數據是核心的信息資產，企業必須做好動靜態數據的安全防護，落實各項法規和監管政策的要求，只有嚴格按照各項安全標準和監管要求，在不斷加強安全防護的同時，做到最小化的信息收集、傳輸和存儲，才是防止動態和靜態數據外泄的行之有效的辦法?，F在的網絡安全概念區別于以前的信息安全的概念，不僅僅只涵蓋信息系統層面，也涉及到業務系統的安全。將安全管控觸角延伸到業務流程之中，對業務操作過程實時監控，依托安全大數據態勢感知，做到防患于未然。

摘要：隨著科學技術的不斷發展，社會經濟與網絡的關系越來越密切，但是網絡安全的形勢也是愈加嚴峻，網絡安全問題不斷地出現在大眾的視野，國家安全機關、相關的監督部門也針對這一系列問題制定了一些新的方案。在這種情況下，基礎電信運營企業就需要將網絡安全防護工作作為相關工作的重點，加大投入的力度，全方位地確保通信行業網絡安全防護工作的正確、嚴謹、規范。

關鍵詞：基礎電信；網絡問題；保護

0前言

當今社會，網絡安全顯然已經是一個每天都能聽到的話題，無論是國家安全，亦或是各個行業、企業，還是個人的學習、家庭，和網絡都是離不開的。所以通信網絡的這種特性保證了通信的網絡安全工作處在最根本的地位上，而且通信網絡安全不單單只是通信行業自己的發展，還會干涉到其他行業的發展，通信網絡承載著各種行業的發展和安全。從基礎電信運營企業來看，網絡安全工作的核心就是做好網絡安全防護。

1網絡安全問題刻不容緩

國際網絡安全問題不斷出現在大眾視野，也給國家給個人造成了不可彌補的損失。最讓民眾感到恐慌的就是2013年3月20日韓國的大范圍網絡癱瘓事件，該次網絡安全問題導致了韓國的一些節目播放和金融行業產生一系列的問題。不只是在韓國，其他的國家和地區也是如此，此類的網絡安全事件也是經常發生，但此類問題如果在特殊的地區和時間下發生區，難免會造成民眾恐慌等負面的影響。通過對這些已經發生的案例分析來看，我們可以感覺到網絡正在逐漸演變成當今社會國家與國之間的競爭主戰場。從上次的韓國網絡癱瘓事件我們不難得到這樣的結論，網絡戰爭和傳統戰爭最大的不同點就是空間距離在這一戰略上已經完全消失，替代的是網絡安全防護組成的新的框架結構。就目前來說，網絡安全防護工作者身上背負著巨大的責任和使命。由于國內互聯網網絡安全形式越來越不如人意，后期的工作任務變得更加困難。根據CNCERT前一段時間發表的《2012年我國互聯網網絡安全態勢綜述》數據顯示，包括信息系統或設備的bug、網站植入后門、網絡釣魚、移動互聯網惡意程序方面。這些問題從某種程度是在說明國內互聯網安全問題已經到刻不容緩的地步。在信息系統或設備的漏洞方面，2012年基礎電信運營企業總共接到CNVD的漏洞風險報告多達339個，包括系統網站、應用、業務系統等各種應用。就目前出現的問題從數量上來看，明年肯定還會有進一步增加的新問題在等著我們。通過2008年到現在通信行業實施了不少的網絡安全防護措施，比如《通信網絡安全防護管理辦法》頒布以來，基礎電信運營企業的網絡安全防護工作有了較大程度的提升，但是想要快速達到西方發達國家的水平還需要一段時間，我們需要改進的地方涉及體系完善、規章制度、人員素質、方式手段和技術及管理等方面，這就要求我們去保持學習，不斷保持進步。

2監管要求不斷深化