前言：中文期刊網(wǎng)精心挑選了信息安全服務(wù)評(píng)估報(bào)告范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

信息安全服務(wù)評(píng)估報(bào)告范文1

關(guān)鍵詞：網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)評(píng)估；安全措施

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2008)06-11012-01

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract：To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注，列舉的近年來的網(wǎng)絡(luò)突發(fā)事件，不難發(fā)現(xiàn)，強(qiáng)化提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估意識(shí)、強(qiáng)化信息安全保障為當(dāng)務(wù)之急。所謂風(fēng)險(xiǎn)評(píng)估，是指網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，它的原理是，根據(jù)已知的安全漏洞知識(shí)庫(kù)，對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。完成一個(gè)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)施并不足以代表該信息安全事務(wù)的完結(jié)。隨著新技術(shù)、新應(yīng)用的不斷出現(xiàn)，以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變，信息安全工作人員要不斷地評(píng)估當(dāng)前的安全威脅，并不斷對(duì)當(dāng)前系統(tǒng)中的安全性產(chǎn)生認(rèn)知。

2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀

2.1 風(fēng)險(xiǎn)評(píng)估的必要性

有人說安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ)，但有了安全產(chǎn)品，不等于用戶可以高枕無憂地應(yīng)用網(wǎng)絡(luò)。產(chǎn)品是沒有生命的，需要人來管理與維護(hù)，這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入，時(shí)時(shí)伺機(jī)進(jìn)攻。這就更要求對(duì)安全產(chǎn)品及時(shí)升級(jí)，不斷完善，實(shí)時(shí)檢測(cè)，不斷補(bǔ)漏。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的，它需要合適的安全體系和合理的安全產(chǎn)品組合，需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶的情況和需求規(guī)劃、設(shè)計(jì)和實(shí)施一定的安全策略。通常，在一個(gè)企業(yè)中，對(duì)安全技術(shù)了如指掌的人員不多，大多技術(shù)人員停留在對(duì)安全產(chǎn)品的一般使用上，如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓，他們將束手無策。這時(shí)他們需要的是安全服務(wù)。而安全評(píng)估，便是安全服務(wù)的重要前期工作。網(wǎng)絡(luò)信息安全，需要不斷評(píng)估方可安全威脅。

2.2 安全評(píng)估的目標(biāo)、原則及內(nèi)容

安全評(píng)估的目標(biāo)通常包括：確定可能對(duì)資產(chǎn)造成危害的威脅；通過對(duì)歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性；對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定哪些資產(chǎn)是最重要的；準(zhǔn)確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；明晰企業(yè)網(wǎng)的安全需求；制定網(wǎng)絡(luò)和系統(tǒng)的安全策略；制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案；指導(dǎo)企業(yè)網(wǎng)未來的建設(shè)和投入；通過項(xiàng)目實(shí)施和培訓(xùn)，培養(yǎng)用戶自己的安全隊(duì)伍。而在安全評(píng)估中必須遵循以下原則：標(biāo)準(zhǔn)性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評(píng)估的內(nèi)容包括專業(yè)安全評(píng)估服務(wù)和主機(jī)系統(tǒng)加固服務(wù)。專業(yè)安全評(píng)估服務(wù)對(duì)目標(biāo)系統(tǒng)通過工具掃描和人工檢查，進(jìn)行專業(yè)安全的技術(shù)評(píng)定，并根據(jù)評(píng)估結(jié)果提供評(píng)估報(bào)告。

目標(biāo)系統(tǒng)主要是主流UNIX及NT系統(tǒng)，主流數(shù)據(jù)庫(kù)系統(tǒng)，以及主流的網(wǎng)絡(luò)設(shè)備。使用掃描工具對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描，提供原始評(píng)估報(bào)告或由專業(yè)安全工程師提供人工分析報(bào)告。或是人工檢查安全配置檢查、安全機(jī)制檢查、入侵追查及事后取證等內(nèi)容。而主機(jī)系統(tǒng)加固服務(wù)是根據(jù)專業(yè)安全評(píng)估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，針對(duì)不同目標(biāo)系統(tǒng)，通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，合理進(jìn)行安全性加強(qiáng)。

系統(tǒng)加固報(bào)告服務(wù)選擇使用該服務(wù)包，必須以選擇ISMR/SSMR/HME服務(wù)包為前提，針對(duì)評(píng)估分析報(bào)告，提出加固報(bào)告。系統(tǒng)加固報(bào)告增強(qiáng)服務(wù)選擇使用該服務(wù)包，必須以選擇ISMR/SSMR/HME服務(wù)包為前提，針對(duì)評(píng)估分析報(bào)告，提出系統(tǒng)加固報(bào)告，并將系統(tǒng)加固報(bào)告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶。系統(tǒng)加固實(shí)施服務(wù)選擇使用該服務(wù)包，必須以選擇 ISMR/SSMR/HME服務(wù)包為前提，針對(duì)評(píng)估分析報(bào)告，提出系統(tǒng)加固報(bào)告，并將系統(tǒng)加固報(bào)告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶，并由專業(yè)安全工程師實(shí)施加固工作。

3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)

討論安全評(píng)定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略，這項(xiàng)工作主要檢測(cè)當(dāng)前的安全策略是否被良好的執(zhí)行，從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當(dāng)前計(jì)算機(jī)世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP，而該協(xié)議族并沒有內(nèi)置任何安全機(jī)制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護(hù)，網(wǎng)絡(luò)安全評(píng)定的主要目標(biāo)就是為修補(bǔ)全部的安全問題提供指導(dǎo)。

評(píng)定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，拓?fù)涿枋鑫臋n并不總能反映最新的網(wǎng)絡(luò)狀態(tài)，進(jìn)行一些實(shí)際的檢測(cè)是非常必要的。最簡(jiǎn)單的，可以通過Trackroute工具進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)，但是一些網(wǎng)絡(luò)節(jié)點(diǎn)可能會(huì)禁止Trackroute流量的通過。在了解了網(wǎng)絡(luò)拓?fù)渲螅瑧?yīng)該獲知所有計(jì)算機(jī)的網(wǎng)絡(luò)地址和機(jī)器名。對(duì)于可以訪問的計(jì)算機(jī)，還應(yīng)該了解其正在運(yùn)行的端口，這可以通過很多流行的端口發(fā)現(xiàn)工具實(shí)現(xiàn)。當(dāng)對(duì)整個(gè)網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認(rèn)知以后，就可以針對(duì)所運(yùn)行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點(diǎn)了。通常使用的方法是對(duì)協(xié)議和端口所存在的安全漏洞逐項(xiàng)進(jìn)行測(cè)試。

安全領(lǐng)域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求，為了提高安全防御的質(zhì)量，除了在網(wǎng)絡(luò)邊界防范外部攻擊之外，還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對(duì)各種訪問進(jìn)行監(jiān)控和管理。企業(yè)組織每天都會(huì)從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù)，包括系統(tǒng)日志、防火墻日志、入侵檢測(cè)報(bào)警等。是否能夠從這些信息中有效的識(shí)別出安全風(fēng)險(xiǎn)，是風(fēng)險(xiǎn)管理中重要一環(huán)。目前的技術(shù)手段主要被應(yīng)用于信息的收集、識(shí)別和分析，也有很多廠商開發(fā)出了整合式的安全信息管理平臺(tái)，可以實(shí)現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動(dòng)。

數(shù)據(jù)作為信息系統(tǒng)的核心價(jià)值，被直接攻擊和盜取數(shù)據(jù)將對(duì)用戶產(chǎn)生極大的危害。正因?yàn)槿绱耍瑪?shù)據(jù)系統(tǒng)極易受到攻擊。對(duì)數(shù)據(jù)庫(kù)平臺(tái)來說，應(yīng)該驗(yàn)證是否能夠從遠(yuǎn)程進(jìn)行訪問，是否存在默認(rèn)用戶名密碼，密碼的強(qiáng)度是否達(dá)到策略要求等。而除了數(shù)據(jù)庫(kù)平臺(tái)之外，數(shù)據(jù)管理機(jī)制也應(yīng)該被仔細(xì)評(píng)估。不同級(jí)別的備份措施乃至完整的災(zāi)難備份機(jī)制都應(yīng)該進(jìn)行有效的驗(yàn)證，不但要檢驗(yàn)其是否存在安全問題，還要確認(rèn)其有效性。大部分?jǐn)?shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進(jìn)行安全設(shè)定和數(shù)據(jù)驗(yàn)證，利用這些功能可以很好的完成安全評(píng)定工作并有效的與安全策略管理相集成。攻擊者的一個(gè)非常重要目的在于無需授權(quán)訪問某些應(yīng)用，而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板。事實(shí)上大部分的安全漏洞都來自于應(yīng)用層面，這使得應(yīng)用程序的安全評(píng)定成為整個(gè)工作體系中相當(dāng)重要的一個(gè)部分。與更加規(guī)程化的面向體系底層的安全評(píng)定相比，應(yīng)用安全評(píng)定需要工作人員具有豐富的安全知識(shí)和堅(jiān)實(shí)的技術(shù)技能。

4 結(jié)束語(yǔ)

目前我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作，在測(cè)試數(shù)據(jù)采集和處理方面缺乏實(shí)用的技術(shù)和工具的支持，已經(jīng)成為制約我國(guó)風(fēng)險(xiǎn)評(píng)估水平的重要因素。需要研究用于評(píng)價(jià)信息安全評(píng)估效用的理論和方法，總結(jié)出一套適用于我國(guó)國(guó)情的信息安全效用評(píng)價(jià)體系，以保證信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果準(zhǔn)確可靠，可以為風(fēng)險(xiǎn)管理活動(dòng)提供有價(jià)值的參考；加強(qiáng)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍建設(shè)，促使我國(guó)信息安全評(píng)估水平得到持續(xù)改進(jìn)。

參考文獻(xiàn)：

[1] 陳曉蘇，朱國(guó)勝，肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學(xué)學(xué)報(bào),2001，32-34.

[2] 賈穎禾.國(guó)務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險(xiǎn)評(píng)估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004(7)，21-24.

[3] 劉恒,信息安全風(fēng)險(xiǎn)評(píng)估挑戰(zhàn)[R],信息安全風(fēng)險(xiǎn)評(píng)估與信息安全保障體系建設(shè)研討會(huì),2004.10.12.

[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實(shí)施方法.瀟湘工作室譯.北京:人民郵電出版社，2000.

[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報(bào)雜志,2006(1)，40-45

[6] 趙戰(zhàn)生,信息安全風(fēng)險(xiǎn)評(píng)估[R],第全國(guó)計(jì)算機(jī)學(xué)術(shù)交流會(huì),2004.7.3.

信息安全服務(wù)評(píng)估報(bào)告范文2

【關(guān)鍵詞】信息安全管理 保險(xiǎn)公司

一、保險(xiǎn)公司信息安全管理的意義

科學(xué)的進(jìn)步，信息技術(shù)的發(fā)展使當(dāng)今的社會(huì)步入了互聯(lián)網(wǎng)和大數(shù)據(jù)的時(shí)代。這一時(shí)代的變革給社會(huì)經(jīng)濟(jì)帶來了深刻的影響，產(chǎn)生了許多顛覆性的創(chuàng)新，改變了人們傳統(tǒng)的行為習(xí)慣、企業(yè)的商業(yè)模式和市場(chǎng)的競(jìng)爭(zhēng)格局。

整個(gè)社會(huì)正在發(fā)生革命性的變化，世界在邁向信息化的過程中，也給保險(xiǎn)行業(yè)的發(fā)展帶來了更廣闊的天空。信息技術(shù)在未來的保險(xiǎn)領(lǐng)域中承載著越來越重要的作用，然而，新技術(shù)的應(yīng)用和推廣中，風(fēng)險(xiǎn)與機(jī)遇是并存的。技術(shù)上的缺陷，安全管理上的漏洞，都將使得信息和信息系統(tǒng)的安全產(chǎn)生嚴(yán)重的問題，甚至于危害人們生命與財(cái)產(chǎn)的安全。因此，研究和制定保險(xiǎn)公司的信息安全戰(zhàn)略，提升保險(xiǎn)公司安全保障能力，架構(gòu)保險(xiǎn)信息安全體系是我們面臨的重大課題。本文的研究目的就是對(duì)保險(xiǎn)公司的信息安全管理體系解決方案進(jìn)行探索，為保險(xiǎn)公司的大力發(fā)展提供有力的安全保障和基礎(chǔ)。

二、保險(xiǎn)公司信息安全管理中普通存在的問題

盡管在日常生活中，人們對(duì)越來越多暴露出的信息安全問題愈發(fā)的敏感和關(guān)注，但是普遍來說，整個(gè)保險(xiǎn)行業(yè)對(duì)信息安全問題的整體認(rèn)識(shí)不足，缺乏必要和實(shí)質(zhì)的行動(dòng)，主要存在的問題有以下幾個(gè)方面：

（一）管理層對(duì)信息安全的意義認(rèn)識(shí)不足

管理層對(duì)信息安全的認(rèn)識(shí)還沒有達(dá)到戰(zhàn)略性的高度，沒有意識(shí)到信息安全問題將滲透到企業(yè)的方方面面，沒有意識(shí)到信息安全管理能力將成為企業(yè)未來的核心能力。由于管理層重視程度不高，導(dǎo)致了對(duì)信息安全管理上人力和物力的投入不足，許多企業(yè)的信息安全管理水平不理想。

（二）信息安全管理上缺乏全局思維

保險(xiǎn)公司的安全管理目前仍然缺乏一整套完善的規(guī)范約束，重視其中的技術(shù)問題，輕視了管理問題；重視客觀性問題，輕視人為主觀性因素；重視對(duì)外部環(huán)境的安全，輕視內(nèi)在存在的隱患；以靜態(tài)的觀念思考問題，缺乏前瞻性思維。

（三）信息安全治理的成熟度較低

信息安全治理要包括風(fēng)險(xiǎn)管理，組織流程，策略執(zhí)行，責(zé)任到崗等一整套治理體系，目前許多保險(xiǎn)企業(yè)的信息安全管理的成熟度仍然處于初級(jí)階段，表現(xiàn)為有局限性的安全保障行為，距離成熟的治理結(jié)構(gòu)，即全面動(dòng)態(tài)優(yōu)化的階段，還有比較長(zhǎng)的距離。

（四）安全管理基礎(chǔ)薄弱，對(duì)安全保障有行為沒有體系

信息安全問題不僅是技術(shù)上問題，，更要面臨管理的問題。需要利用技術(shù)手段去支持管理手段，利用管理手段提升技術(shù)手段應(yīng)有作用的有效發(fā)揮。許多企業(yè)對(duì)安全的決策沒有整合到整個(gè)管理體系流程中，對(duì)風(fēng)險(xiǎn)的防范是片段的、分散的、局部的，也缺乏專業(yè)的安全治理部門和責(zé)任人對(duì)安全問題進(jìn)行評(píng)估、監(jiān)督和優(yōu)化。

鑒于以上存在的問題和現(xiàn)狀，保險(xiǎn)企業(yè)需要深刻的理解信息安全問題的重要性，建立和健全一整套的信息安全管理體系保證安全戰(zhàn)略的規(guī)劃和部署，在信息技術(shù)的支持下，促進(jìn)行業(yè)和企業(yè)的高速發(fā)展。

三、建設(shè)和實(shí)施信息安全體系的步驟

《保險(xiǎn)公司信息系統(tǒng)安全管理指引（試行）》中指出：信息系統(tǒng)安全工作應(yīng)按照“積極防御、綜合防范”的原則，與自身業(yè)務(wù)及信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，構(gòu)建完備的信息系統(tǒng)安全保障體系。信息安全不是對(duì)單一的信息產(chǎn)品進(jìn)行防護(hù)，而是構(gòu)筑綜合防御體系。一個(gè)典型的綜合防御體系的構(gòu)筑過程包括如下步驟：首先，明確信息安全的目標(biāo)，并建立和完善企業(yè)安全治理結(jié)構(gòu)，進(jìn)而識(shí)別和評(píng)估企業(yè)中存在的安全風(fēng)險(xiǎn)，涉及的相關(guān)主體和面臨的各項(xiàng)約束，形成安全評(píng)估報(bào)告，并制定相關(guān)的安全控制規(guī)劃，建立分層次的安全管理體系，最后，對(duì)安全管理活動(dòng)進(jìn)行持續(xù)性的評(píng)估、監(jiān)督、控制和改進(jìn)。這個(gè)過程是個(gè)PDCA的過程，安全體系會(huì)隨著外部環(huán)境的變化、業(yè)務(wù)情況的變化和信息技術(shù)的改進(jìn)而產(chǎn)生新的需求，新的方法，因此它需要不斷更新改進(jìn)，是一個(gè)動(dòng)態(tài)發(fā)展的過程。

（一）安全目標(biāo)的確立

信息安全有三個(gè)層次的內(nèi)涵：

第一層次：信息安全，指的是保護(hù)信息這種資產(chǎn)自身的安全，避免發(fā)生偶發(fā)的或有意的泄露、修改、破壞或喪失處理能力。包括三重含義：信息的機(jī)密性、信息的真實(shí)性和信息的完整性。

第二層次：信息系統(tǒng)的安全，信息系統(tǒng)是信息處理中包含硬件、軟件和網(wǎng)絡(luò)等支撐體系的集合，信息安全與信息系統(tǒng)安全相互附生，信息系統(tǒng)問題將直接引發(fā)信息安全問題。

第三層次：由信息安全和信息系統(tǒng)安全帶來的的傳統(tǒng)安全問題，如機(jī)密信息泄露導(dǎo)致的生命財(cái)產(chǎn)的損失。

以這三個(gè)層次為出發(fā)點(diǎn)，幫助我們分析信息安全中的主體、要素、相關(guān)關(guān)系，并結(jié)合公司的戰(zhàn)略規(guī)劃，確定信息安全的根本目標(biāo)是制定和實(shí)施安全管理解決方案的首要任務(wù)。

（二）治理結(jié)構(gòu)的設(shè)置

由于信息安全管理需要跨部門、跨業(yè)務(wù)整合資源，因此需要建立強(qiáng)有力的領(lǐng)導(dǎo)層和組織架構(gòu)，進(jìn)行頂層設(shè)計(jì)。在此基礎(chǔ)上，實(shí)施多資源系統(tǒng)控制政策，整合不同業(yè)務(wù)、不同渠道、不同條線、不同分支機(jī)構(gòu)的要求，形成安全管理體系，開展具體工作，強(qiáng)化多項(xiàng)目綜合管理，既有牽頭部門，又要協(xié)同作戰(zhàn)，既有重點(diǎn)主次，又要全面推進(jìn)。在高層組織機(jī)構(gòu)的領(lǐng)導(dǎo)下，建立順暢的安全管理工作協(xié)作機(jī)制，破除部門壁壘，增進(jìn)部門協(xié)作，推進(jìn)工作的高效開展。

（三）安全風(fēng)險(xiǎn)的識(shí)別和評(píng)估

評(píng)估信息安全時(shí)需要對(duì)信息安全、技術(shù)安全及其涉及的治理機(jī)制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容進(jìn)行分析，通過評(píng)估工具、人工分析、文檔清理、問卷調(diào)研等方式對(duì)公司現(xiàn)狀進(jìn)行調(diào)研，了解物理安全（物理設(shè)備的訪問控制、電力供應(yīng)等）、網(wǎng)絡(luò)安全（基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)傳輸加密、訪問控制、網(wǎng)絡(luò)設(shè)備安全漏洞、設(shè)備配置安全）、系統(tǒng)安全（系統(tǒng)軟件安全漏洞、系統(tǒng)軟件配置安全等）、應(yīng)用安全（應(yīng)用軟件安全漏洞、軟件安全功能、數(shù)據(jù)防護(hù)等）的情況和控制措施。通過基線風(fēng)險(xiǎn)評(píng)估制定信息安全底線，對(duì)信息資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險(xiǎn)分析，了解與信息安全標(biāo)準(zhǔn)之間存在的差距，得到初步的安全評(píng)估；通過信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估和流程風(fēng)險(xiǎn)評(píng)估進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估，對(duì)重要的信息資產(chǎn)和IT流程中存在的安全威脅、漏洞及其可能性分析，選擇合適的方法進(jìn)行管理，得到最終的風(fēng)險(xiǎn)評(píng)估報(bào)告。

（四）整體安全控制規(guī)劃的制定

為了保障安全管理工作有序、科學(xué)和順利的開展，必須要制定安全控制規(guī)劃。安全規(guī)劃在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)安全管理框架和技術(shù)框架進(jìn)行詳細(xì)的規(guī)劃，作為指導(dǎo)企業(yè)安全建設(shè)的指南，應(yīng)該結(jié)合過去與未來的網(wǎng)絡(luò)架構(gòu)、威脅防護(hù)、安全策略、組織、運(yùn)行等各項(xiàng)工作的任務(wù)、內(nèi)容、建設(shè)重點(diǎn)，制定實(shí)施的優(yōu)先級(jí)、具體步驟和具體措施。

（五）安全控制體系的建立

安全控制體系架構(gòu)的建立是整項(xiàng)工作的關(guān)鍵環(huán)節(jié)之一，我們將安全控制體系分成五個(gè)層次：安全內(nèi)核層、安全服務(wù)標(biāo)準(zhǔn)接口層，通用安全接口層、安全組件服務(wù)層、安全系統(tǒng)應(yīng)用層。架構(gòu)安全控制體系時(shí)，滿足如下的原則：分層的體系結(jié)構(gòu)要為不同層級(jí)的安全服務(wù)提供保障；層級(jí)功能有相對(duì)獨(dú)立性；應(yīng)用服務(wù)具有通用性，提供統(tǒng)一的訪問接口，服務(wù)之間也可相互協(xié)調(diào)；具有很強(qiáng)的擴(kuò)展能力，很好的兼容新的安全機(jī)制和模塊。

（六）有效性評(píng)估、監(jiān)管、考核和審計(jì)

保險(xiǎn)企業(yè)應(yīng)該不斷地對(duì)信息安全控制體系的實(shí)施情況進(jìn)行審查、監(jiān)督，采取糾正性措施、預(yù)防性措施，并保持安全管理體系的有效運(yùn)作。對(duì)信息安全策略、安全的目標(biāo)達(dá)成情況、編制的文件、安全事件進(jìn)行分析，采取積極措施，消除已發(fā)生的或未來可能發(fā)生的與實(shí)施和運(yùn)作標(biāo)準(zhǔn)有差距的不合格狀況，防止不利事件的發(fā)生。

四、結(jié)束語(yǔ)

每一個(gè)保險(xiǎn)企業(yè)具備的個(gè)性問題各不相同，在實(shí)施信息系統(tǒng)安全管理解決方案時(shí)會(huì)面臨不同條件和約束。同時(shí)，即便在共性問題上，也會(huì)隨著時(shí)間的進(jìn)展，而產(chǎn)生新的問題。現(xiàn)代社會(huì)中，如何保障信息安全是一個(gè)不斷增長(zhǎng)的社會(huì)需求。安全只是相對(duì)的，而不是絕對(duì)的，是動(dòng)態(tài)的，不是靜止的，這也意味著對(duì)信息安全的管理將是一個(gè)持續(xù)發(fā)展、不斷完善的過程。

參考文獻(xiàn)：

信息安全服務(wù)評(píng)估報(bào)告范文3

最近幾年，水利部門根據(jù)水利工作的實(shí)際狀況，在對(duì)治水經(jīng)驗(yàn)和實(shí)際操作進(jìn)行總結(jié)的過程中，提出要轉(zhuǎn)變過去的水利發(fā)展道路，堅(jiān)持走可持續(xù)發(fā)展水利道路，建立水利現(xiàn)代化的發(fā)展道路。隨著水利事業(yè)的不斷發(fā)展和變革，水利信息化構(gòu)建也取得了一定的成績(jī)，逐漸轉(zhuǎn)變成為水利現(xiàn)代化的主要力量。根據(jù)國(guó)家防汛抗旱指揮系統(tǒng)中的一期工程城市水資源的監(jiān)控管理，水利電子政務(wù)的相關(guān)項(xiàng)目和大型灌區(qū)信息化試點(diǎn)等重要工程的順利完成，水利信息化基礎(chǔ)設(shè)備也在不斷的健全，對(duì)業(yè)務(wù)的使用能力也在逐漸加強(qiáng)。防汛抗旱，城市水資源的監(jiān)控管理，水利電子政務(wù)和全國(guó)水土保持監(jiān)管信息體系等業(yè)務(wù)也開始應(yīng)用到實(shí)際生活中。在水利信息化基礎(chǔ)構(gòu)建和業(yè)務(wù)不斷拓展的過程中，相關(guān)的保證水利信息化安全的體系也逐漸形成。

2強(qiáng)化水利網(wǎng)絡(luò)信息安全的解決措施

網(wǎng)絡(luò)和信息的安全隱患問題，使得水利信息化的發(fā)展受到阻礙，所以要及時(shí)的進(jìn)行預(yù)防，綜合治理和科學(xué)管理，逐漸增加信息的安全性，加強(qiáng)其中的保護(hù)能力，保證水利信息化的持續(xù)運(yùn)行。

2.1加強(qiáng)信息安全管理

信息安全規(guī)劃包含了技術(shù)、管理和相關(guān)法律等多個(gè)層面的問題，是穩(wěn)定網(wǎng)絡(luò)安全、物理安全、資料安全和使用安全的關(guān)鍵因素。信息安全規(guī)劃不但依賴于信息化的管理，還是信息化形成的重要力量。在信息安全管理的過程中，信息系統(tǒng)安全構(gòu)建和管理要更加具有系統(tǒng)性、整體性和目標(biāo)性。

2.1.1以信息化規(guī)劃為基礎(chǔ)，構(gòu)建信息化建設(shè)

信息安全是在信息化規(guī)劃的基礎(chǔ)上，對(duì)信息安全進(jìn)行系統(tǒng)的整理，是信息化發(fā)展的主要力量。信息安全規(guī)劃不但要對(duì)信息化發(fā)展的實(shí)際情況進(jìn)行深入的分析和研究，更好的發(fā)現(xiàn)信息化中存在的安全隱患，還要根據(jù)信息化規(guī)劃以及信息化發(fā)展的主要戰(zhàn)略和思路，有效的處理信息安全的問題。

2.1.2構(gòu)建信息安全系統(tǒng)

信息安全規(guī)劃需要從技術(shù)安全、組織安全、戰(zhàn)略安全等方面入手，構(gòu)建相關(guān)的信息安全系統(tǒng)，從而更好的保證信息化的安全。

2.2日常的運(yùn)維管理

2.2.1注重網(wǎng)絡(luò)的安全監(jiān)控

網(wǎng)絡(luò)的飛速發(fā)展使得水利網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)安全關(guān)系更加緊密。所以，注重互聯(lián)網(wǎng)安全監(jiān)控，從而及時(shí)的采取相關(guān)的安全防護(hù)措施，是現(xiàn)在日常安全管理工作中的主要內(nèi)容。

2.2.2安全狀態(tài)研究

網(wǎng)絡(luò)信息安全是處于不斷變化的過程中，需要定時(shí)對(duì)網(wǎng)絡(luò)安全環(huán)境進(jìn)行整體的分析，這樣不但可以發(fā)現(xiàn)其中的問題，還可以及時(shí)的采取相關(guān)的措施進(jìn)行改正。安全態(tài)勢(shì)主要是利用網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備和安全管理工具等策略來進(jìn)行信息的處理，通過統(tǒng)計(jì)和分析，綜合評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的安全性，并且對(duì)發(fā)展的狀態(tài)進(jìn)行判斷。

2.2.3信息安全風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是信息安全管理工作中的重要部分。通過進(jìn)行風(fēng)險(xiǎn)評(píng)估，可以及時(shí)的發(fā)現(xiàn)信息安全中的問題，并且找到積極有效的解決措施。安全風(fēng)險(xiǎn)評(píng)估的主要方法是：（1）對(duì)被評(píng)估的主要信息進(jìn)行確定；（2）通過本地審計(jì)、人員走訪、現(xiàn)場(chǎng)觀看、文檔審閱、脆弱性掃描等方法，對(duì)評(píng)估范圍中的網(wǎng)絡(luò)、使用和主機(jī)等方面的安全技術(shù)和信息進(jìn)行管理；（3）對(duì)取得的信息資料進(jìn)行綜合的分析，判別被評(píng)估信息資產(chǎn)中存在的主要問題和風(fēng)險(xiǎn)；（4）從管理體制、管理措施、系統(tǒng)脆弱性判別、威脅研究、漏洞和現(xiàn)有技術(shù)等方面，根據(jù)風(fēng)險(xiǎn)程度的不同，分析和管理相關(guān)的安全問題；（5）根據(jù)上面的分析結(jié)果，建立相關(guān)的信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。

2.2.4應(yīng)急響應(yīng)

所謂的應(yīng)急響應(yīng)就是信息安全保護(hù)的最后一道屏障，主要是為了盡量的減少和控制信息安全所造成的嚴(yán)重影響，進(jìn)行及時(shí)的響應(yīng)和修復(fù)。應(yīng)急響應(yīng)包含了前期應(yīng)急準(zhǔn)備和后期應(yīng)急響應(yīng)兩個(gè)部分。前期應(yīng)急準(zhǔn)備主要有預(yù)警預(yù)防制度、組織指導(dǎo)系統(tǒng)、應(yīng)急響應(yīng)過程、應(yīng)急團(tuán)隊(duì)、應(yīng)急器械、技術(shù)支持、費(fèi)用支持等應(yīng)急措施，并且定時(shí)進(jìn)行應(yīng)急演練等。后期應(yīng)急措施主要有檢查病毒、系統(tǒng)防護(hù)、阻斷后門等問題，對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行限制或關(guān)閉以及事后的恢復(fù)系統(tǒng)等工作。通過兩個(gè)部分的不斷配合，才能更好的發(fā)揮應(yīng)急響應(yīng)的重要作用。

2.3教育培養(yǎng)

人是信息安全的主要力量，其中的知識(shí)構(gòu)造和使用能力對(duì)信息安全工作有著重要的影響。強(qiáng)化信息安全管理人員的專業(yè)素養(yǎng)，及時(shí)的進(jìn)行信息安全教育，提升人們的信息安全意識(shí)，從而有效的減少信息安全問題的出現(xiàn)。

3總結(jié)

信息安全服務(wù)評(píng)估報(bào)告范文4

關(guān)鍵詞：信息；安全

信息是客觀世界中物質(zhì)和能量存在和變動(dòng)的有序形式，和組織系統(tǒng)對(duì)這個(gè)形式的能動(dòng)的反映及改組。其中前一個(gè)表語(yǔ)表述了信息概念的廣義內(nèi)涵，后一個(gè)表語(yǔ)表述了信息概念的狹義內(nèi)涵。

一、信息的概述

信息是物質(zhì)的普遍性，是物質(zhì)運(yùn)動(dòng)的狀態(tài)與方式。信息的一般屬性主要包括普遍性、客觀性、無限性、動(dòng)態(tài)性、異步性、共享性 、可傳遞性等。信息的功能是信息屬性的體現(xiàn) ，主要可以分為兩個(gè)層次：基本功能和社會(huì)功能。信息的功能主要體現(xiàn)在以下幾個(gè)方面：信息是一切生物進(jìn)化的導(dǎo)向資源，是知識(shí)的來源，是決策的依據(jù)，是控制的靈魂，是思維的材料。

二、信息安全的重要性

在當(dāng)今的信息時(shí)代，必須保護(hù)對(duì)其發(fā)展壯大至關(guān)重要的信息資產(chǎn)，因此，保護(hù)信息的私密性、完整性、真實(shí)性和可靠性的需求已經(jīng)成為企業(yè)和消費(fèi)者的最優(yōu)先的需求之一。安全漏洞會(huì)大大降低公司的市場(chǎng)價(jià)值，甚至威脅企業(yè)的生存。當(dāng)今世界已進(jìn)入信息社會(huì)，隨著計(jì)算機(jī)、通信技術(shù)的迅猛發(fā)展，計(jì)算機(jī)信息系統(tǒng)的廣泛應(yīng)用，促使它滲透到社會(huì)各個(gè)行業(yè)和部門，人們對(duì)它的依賴性越來越大。在軍事、經(jīng)濟(jì)、科學(xué)技術(shù)、文化教育商業(yè)等行業(yè)中，重要的信息資源是通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行輸入、處理、存儲(chǔ)、傳遞、輸出， 給人們提供迅速、高效的各種信息服務(wù)，因此如果不重視計(jì)算機(jī)信息系統(tǒng)的保護(hù)，國(guó)家的機(jī)要信息資源如不加保護(hù)，勢(shì)必容易被非法竊取、更改、毀壞，將會(huì)造成國(guó)民經(jīng)濟(jì)的巨大損失，國(guó)家安全的嚴(yán)重危害。

三、信息安全體系結(jié)構(gòu)

（1）息安全的保護(hù)機(jī)制

信息安全保護(hù)存在的主要問題與政策： 正確的信息安全政策和策略是搞好國(guó)家信息安全保護(hù)工作的關(guān)鍵， 引發(fā)信息安全問題的因素有有外部因素和內(nèi)部?jī)煞矫妫饕囊蛩卦谟趦?nèi)部如信息安全政策不確定；信息安全保護(hù)工作組織管理制度不健全，安全責(zé)任制不落實(shí)，導(dǎo)致管理混亂、安全管理與技術(shù)規(guī)范不統(tǒng)一；信息安全市場(chǎng)和服務(wù)混亂、不規(guī)范；國(guó)家監(jiān)管機(jī)制不健全，監(jiān)管手段缺乏等。

信息安全等級(jí)保護(hù)要貫徹國(guó)家保護(hù)重點(diǎn)和基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)內(nèi)分區(qū)重點(diǎn)兼顧一般的原則。

（2）信息安全體系框架

依據(jù)信息安全的多重保護(hù)機(jī)制，信息安全系統(tǒng)的總要求是物理安全、網(wǎng)絡(luò)安全、信息內(nèi)容安全、應(yīng)用系統(tǒng)安全的總和，安全的最終目標(biāo)是確保信息的機(jī)密性、完整性、可用性、可空性和抗抵賴性，以及信息系統(tǒng)主體對(duì)信息資源的控制。完整的信息系統(tǒng)安全體系框架由技術(shù)體系、組織機(jī)構(gòu)體系和管理體系共同構(gòu)建。

為了適應(yīng)信息技術(shù)的迅速發(fā)展以及信息安全的突出需求，國(guó)際上許多標(biāo)準(zhǔn)化組織和機(jī)構(gòu)很早就開始了信息安全標(biāo)準(zhǔn)的研究和制定工作，如美國(guó)的國(guó)防部DOD（Department Of Defense），國(guó)際標(biāo)準(zhǔn)化組織ISO，英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)BSI（British Standards Institute）等。

四、漏洞掃描技術(shù)與信息安全管理

（1）漏洞掃描技術(shù)

一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。

隨著Internet的不斷發(fā)展，信息技術(shù)已經(jīng)對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)進(jìn)步產(chǎn)生了巨大的推動(dòng)力。不管是存儲(chǔ)在工作站、服務(wù)器中還是流通于Internet上的信息，都已轉(zhuǎn)變成為一個(gè)關(guān)系事業(yè)成敗的策略點(diǎn)，因此，保證信息資源的安全就顯得格外重要。目前，國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)品主要是以硬件為主，防火墻、入侵檢測(cè)系統(tǒng)、VPN應(yīng)用較為廣泛。漏洞掃描系統(tǒng)也是網(wǎng)絡(luò)安全產(chǎn)品中不可缺少的一部分，有效的安全掃描是增強(qiáng)計(jì)算機(jī)系統(tǒng)安全性的重要措施之一，它能夠預(yù)先評(píng)估和分析系統(tǒng)中存在的各種安全隱患。換言之，漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客所利用的漏洞。隨著黑客入侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷，預(yù)先評(píng)估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估報(bào)告，因此成為網(wǎng)絡(luò)安全解決方案中的一個(gè)重要組成部分。

（2）信息安全管理

隨著社會(huì)信息化的深入和競(jìng)爭(zhēng)的日益激烈，信息安全問題備受關(guān)注。制定信息安全管理策略及制度才能有效的保證信息的安全性。

制定信息安全管理策略及制度

目前關(guān)于信息安全的理論研究，一個(gè)是信息安全問題不僅僅是保密問題，信息安全是指信息的保密性、完整性和可用性的保持，其最終目標(biāo)是降低組織的業(yè)務(wù)風(fēng)險(xiǎn)，保持可持續(xù)發(fā)展；另一個(gè)觀點(diǎn)是，信息安全問題不單純是技術(shù)問題，它是涉及很多方面如歷史，文化，道德，法律，管理，技術(shù)等方面的綜合性問題，單純從技術(shù)角度考慮是不可能得到很好解決的。

這里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質(zhì)不足以直接改變所在國(guó)家或地區(qū)的信息安全法律法規(guī)。作為這樣一個(gè)組織實(shí)體應(yīng)該有一個(gè)完整的信息安全策略。

信息安全策略也叫信息安全方針，是組織對(duì)信息和信息處理設(shè)施進(jìn)行管理，保護(hù)和分配的原則，以及使信息系統(tǒng)免遭入侵和破壞而必須采取的措施，它告訴組織成員在日常的工作中哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全的行為規(guī)范。

制定信息安全管理制度應(yīng)遵循如下統(tǒng)一的安全管理原則：

（1）規(guī)范化原則。各階段都應(yīng)遵循安全規(guī)范要求，根據(jù)組織安全信息需求，制定安全策略。

（2）系統(tǒng)化原則。根據(jù)安全工程的要求，對(duì)系統(tǒng)個(gè)階段，包括以后的升級(jí)、換代和功能擴(kuò)展進(jìn)行全面統(tǒng)一地考慮。

（3）綜合保障原則。人員、資金、技術(shù)等多方面 綜合保障。

（4）以人為本原則。技術(shù)是關(guān)鍵，管理是核心，要不斷提高管理人員的技術(shù)素養(yǎng)和道德水平。

（5）首長(zhǎng)負(fù)責(zé)原則。

（6）預(yù)防原則。安全管理以預(yù)防為主，并要有一定的超前意識(shí)。

（7）風(fēng)險(xiǎn)評(píng)估原則。根據(jù)實(shí)踐對(duì)系統(tǒng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估以改進(jìn)系統(tǒng)的安全狀況。

（8）動(dòng)態(tài)原則。根據(jù)環(huán)境的改變和技術(shù)的進(jìn)步，提高系統(tǒng)的保護(hù)能力。

（9）成本效益原則。根據(jù)資源價(jià)值和風(fēng)險(xiǎn)評(píng)估結(jié)果，采用適度的保護(hù)措施。

（10）均衡防護(hù)原則。

信息安全系統(tǒng)工程

信息安全服務(wù)評(píng)估報(bào)告范文5

【關(guān)鍵詞】網(wǎng)絡(luò)終端 數(shù)據(jù) 系統(tǒng)功能模塊 量化模型

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及和信息化的推進(jìn)，網(wǎng)絡(luò)與信息安全問題也日益突出，我國(guó)對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴性日益加深。國(guó)外在研究網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方面已有數(shù)十年的經(jīng)驗(yàn)，IT發(fā)達(dá)國(guó)家在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)、技術(shù)、架構(gòu)、組織等方面都已非常成熟。而國(guó)內(nèi)，更重視網(wǎng)絡(luò)系統(tǒng)內(nèi)部數(shù)據(jù)的安全保護(hù)，網(wǎng)絡(luò)終端是重要文件和重要數(shù)據(jù)的存放源頭，許多安全事件往往發(fā)源于網(wǎng)絡(luò)終端，來自終端的泄密事件、安全威脅也頻頻顯現(xiàn)，網(wǎng)絡(luò)終端安全管理已成為信息安全管理體系的薄弱環(huán)節(jié)。

對(duì)網(wǎng)絡(luò)終端安全性進(jìn)行客觀、系統(tǒng)地評(píng)估是保障信息安全的基礎(chǔ)。通過對(duì)安全隱患及未來風(fēng)險(xiǎn)的分析，并評(píng)估這些風(fēng)險(xiǎn)可能帶來的安全威脅及影響程度，將有助于安全人員針對(duì)性地抵御威脅、全面提高網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)能力，最大程度地保護(hù)信息資產(chǎn)。

目前，國(guó)內(nèi)關(guān)于評(píng)估網(wǎng)絡(luò)終端安全狀況還沒有統(tǒng)一的標(biāo)準(zhǔn)，網(wǎng)絡(luò)終端安全的關(guān)鍵點(diǎn)尚不明晰。本文將對(duì)網(wǎng)絡(luò)終端安全狀況評(píng)估指標(biāo)體系作出有益探討，嘗試量化網(wǎng)絡(luò)終端評(píng)估系統(tǒng)指標(biāo)，將網(wǎng)絡(luò)終端安全風(fēng)險(xiǎn)控制在可靠水平，從而最大程度提高終端安全水平。

2 網(wǎng)絡(luò)終端安全評(píng)估方法

選擇何種安全評(píng)估方法將直接影響到評(píng)估過程的各個(gè)環(huán)節(jié)，可能左右最終評(píng)估結(jié)果。現(xiàn)有的風(fēng)險(xiǎn)評(píng)估方法大致可分為定量風(fēng)險(xiǎn)評(píng)估、定性風(fēng)險(xiǎn)評(píng)估及綜合風(fēng)險(xiǎn)評(píng)估三大類。

2.1 定量風(fēng)險(xiǎn)評(píng)估

定量評(píng)估對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在的損失水平賦以數(shù)值，當(dāng)量度風(fēng)險(xiǎn)的所有要素都被賦值后，建立起綜合評(píng)價(jià)的數(shù)學(xué)模型，從而完成風(fēng)險(xiǎn)的量化計(jì)算。定量評(píng)估數(shù)據(jù)較為直觀，分析方法相對(duì)客觀，但部分風(fēng)險(xiǎn)被量化后存在被曲解的可能性。常用的定量評(píng)估方法包括模糊綜合評(píng)判法、BP神經(jīng)網(wǎng)絡(luò)、灰色系統(tǒng)等。

2.2 定性風(fēng)險(xiǎn)評(píng)估

定性評(píng)估主要依據(jù)研究人員的知識(shí)和經(jīng)驗(yàn)，或業(yè)界標(biāo)準(zhǔn)、歷史教訓(xùn)、政策走向等非量化

資料對(duì)系統(tǒng)風(fēng)險(xiǎn)作出評(píng)估，是一種模糊分析方法。定性分析操作相對(duì)簡(jiǎn)單，結(jié)論較為全面，但主觀性強(qiáng)，易受到評(píng)估人員直覺、經(jīng)驗(yàn)的影響。常用的定性評(píng)估方法包括專家評(píng)價(jià)法、歷史比較法、事故樹分析法、因果分析法、邏輯分析法等。

2.3 綜合風(fēng)險(xiǎn)評(píng)估

綜合風(fēng)險(xiǎn)分析是將定性與定量評(píng)估相結(jié)合的一種分析方法，在不容易獲得準(zhǔn)確數(shù)據(jù)的情況下使用定性分析，在定性分析的基礎(chǔ)上采取定量方法以減少主觀性。最常用的綜合風(fēng)險(xiǎn)分析評(píng)估法即層次分析法（簡(jiǎn)稱AHP），它是一種綜合了定性與定量分析、是人腦決策思維模型化的決策方法。

3 網(wǎng)絡(luò)終端安全評(píng)估指標(biāo)體系研究

3.1 建立評(píng)估體系的原則

我國(guó)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》將風(fēng)險(xiǎn)評(píng)估的基本要素定義為：資產(chǎn)、威脅、脆弱性、風(fēng)險(xiǎn)、安全措施。網(wǎng)絡(luò)終端安全狀況評(píng)估中主要牽涉資產(chǎn)、威脅、脆弱性三個(gè)要素。建立網(wǎng)絡(luò)終端安全評(píng)估指標(biāo)體系時(shí)，需要考慮以下4大原則：（1）必須遵循國(guó)際、國(guó)內(nèi)信息安全評(píng)估規(guī)范，評(píng)估指標(biāo)體系還應(yīng)符合業(yè)務(wù)要求及應(yīng)用特點(diǎn)，盡量滿足用戶及應(yīng)用環(huán)境對(duì)網(wǎng)絡(luò)終端安全性的要求。（2）設(shè)定的指標(biāo)應(yīng)涵蓋終端安全所有風(fēng)險(xiǎn)要素，覆蓋技術(shù)、管理各個(gè)層面，也囊括主觀、客觀各種因素。（3）指標(biāo)的含義、目標(biāo)應(yīng)當(dāng)明確，指標(biāo)體系整體條理清晰，數(shù)據(jù)收集渠道應(yīng)具現(xiàn)實(shí)操作性，保障定量分析的可行性。（4）評(píng)估指標(biāo)要獨(dú)立于網(wǎng)絡(luò)終端安全的具體內(nèi)容，不與其他指標(biāo)內(nèi)涵發(fā)生重疊。

3.2 網(wǎng)絡(luò)終端安全評(píng)估框架設(shè)計(jì)

本文遵循評(píng)估體系建立原則，對(duì)網(wǎng)絡(luò)終端安全狀況建立起層次評(píng)估指標(biāo)體系，擬將指標(biāo)體系分為四層，詳見表1。

實(shí)現(xiàn)網(wǎng)絡(luò)終端安全狀況評(píng)估指標(biāo)體系，分為三步：一是建立層次評(píng)估指標(biāo)體系；二是確定評(píng)估指標(biāo)；三是對(duì)各個(gè)評(píng)估指標(biāo)賦予權(quán)值。指標(biāo)數(shù)據(jù)有多種來源，包括問卷調(diào)查、人員訪談、實(shí)地調(diào)查、輔助工具和文檔審查等。之后，參照終端安全評(píng)估指標(biāo)體系，采用文檔審查、調(diào)查表等方式獲得安全狀況數(shù)據(jù)，再利用漏洞掃描工具、入侵檢測(cè)工具等技術(shù)對(duì)資產(chǎn)、威脅、脆弱性進(jìn)行識(shí)別和分析。

3.3 網(wǎng)絡(luò)終端安全量化評(píng)估模型建立

本文采用多級(jí)模糊綜合評(píng)價(jià)方法建立評(píng)估模型。模糊綜合評(píng)價(jià)方法先通過構(gòu)造等級(jí)模糊子集，對(duì)被評(píng)估事物的模糊指標(biāo)進(jìn)行量化，再利用模糊變換原理對(duì)各指標(biāo)進(jìn)行綜合評(píng)價(jià)。

3.3.1 建立評(píng)價(jià)對(duì)象因素集

設(shè)層次型評(píng)估指標(biāo)體系為U，把因素集U分為n組，記做U={U1，U2，…，Un}，其中Ui∩Uj≠Φ，i≠j（i，j=1，2，…，n）。設(shè)第i個(gè)子集為Ui={Ui1，Ui2，…，Uin}，其中i表示第i組的單因素個(gè)數(shù)。

3.3.2 設(shè)置評(píng)判集和分配權(quán)重系數(shù)

設(shè)V={V1，V2，…，Vn}為評(píng)判集，由不同等級(jí)的描述組成的集合。m一般取奇數(shù)，評(píng)判集適用于任一層次和任一因素的評(píng)判。

3.3.3 單級(jí)模糊綜合評(píng)價(jià)

成立一個(gè)評(píng)估專家小組，由專家對(duì)每個(gè)評(píng)估指標(biāo)評(píng)判，并確定評(píng)估指標(biāo)屬于等級(jí)評(píng)判集中哪個(gè)級(jí)別，統(tǒng)計(jì)評(píng)估指標(biāo)被評(píng)判為相應(yīng)等級(jí)的專家數(shù)，相應(yīng)等級(jí)專家數(shù)占專家總?cè)藬?shù)的百分比，即得到評(píng)估指標(biāo)在此等級(jí)的隸屬度，進(jìn)而得到模糊關(guān)系矩陣Rj。根據(jù)單因素模糊關(guān)系矩陣Rj，利用復(fù)合運(yùn)算求出子因素Ui的綜合評(píng)判結(jié)果：Bi=AiΟRi=（bi1 bi2 … bim），i=1，2，…，n。

3.3.4 計(jì)算最終綜合評(píng)價(jià)結(jié)果

對(duì)單因素評(píng)價(jià)結(jié)果Bi再進(jìn)行高層次的模糊綜合評(píng)判，由較低層次的綜合評(píng)判結(jié)果Bi構(gòu)成高一層的單因素模糊關(guān)系矩陣R。之后，對(duì)多級(jí)因素集進(jìn)行綜合評(píng)價(jià)，得出評(píng)判因素U的最后評(píng)價(jià)結(jié)果為：B=AΟR=（b1 b2 … bm）。可根據(jù)評(píng)估指標(biāo)的層次情況循環(huán)本輪計(jì)算，直至得到最滿意的綜合評(píng)價(jià)結(jié)果。

3.3.5 綜合評(píng)價(jià)結(jié)果分析

模糊綜合評(píng)價(jià)的最終結(jié)果不是一個(gè)單值，而是一個(gè)模糊子集，這樣，能比較準(zhǔn)確地體現(xiàn)對(duì)象本身的模糊狀況。由多級(jí)模糊綜合評(píng)價(jià)法量化評(píng)價(jià)的具體過程可以看出，最底層指標(biāo)需要人為做隸屬度判斷，所有上層指標(biāo)的隸屬度均根據(jù)下層計(jì)算得到。網(wǎng)絡(luò)終端安全評(píng)估主要是識(shí)別和分析資產(chǎn)價(jià)值、威脅及脆弱性。根據(jù)資產(chǎn)（A）在保密性、完整性、可用性要求的不同程度，將三個(gè)屬性劃分為五個(gè)等級(jí)，對(duì)不同等級(jí)賦予不同數(shù)值；根據(jù)威脅（T）出現(xiàn)的頻率對(duì)威脅進(jìn)行賦值并劃分五個(gè)等級(jí)；脆弱性（V）識(shí)別針對(duì)每一項(xiàng)資產(chǎn)，同樣將其劃分為五個(gè)等級(jí)。對(duì)網(wǎng)絡(luò)終端安全評(píng)估值進(jìn)行五等級(jí)劃分，分別是好、良、中、差、極差，等級(jí)越高對(duì)終端及網(wǎng)絡(luò)造成的影響越大。表2是等級(jí)劃分表及相應(yīng)的安全狀況。

根據(jù)三個(gè)基本要素的最終賦值，并結(jié)合網(wǎng)絡(luò)終端安全評(píng)估模型（圖1），分析計(jì)算出網(wǎng)絡(luò)終端安全評(píng)估值，計(jì)算過程分四步：（1）由A、T、V及風(fēng)險(xiǎn)發(fā)生概率決定網(wǎng)絡(luò)終端安全評(píng)估值。（2）計(jì)算威脅利用脆弱性導(dǎo)致終端安全事件發(fā)生的可能性P，記為P=F1（T，V），P=T+V。（3）對(duì)資產(chǎn)造成的損失程度和威脅值、脆弱性、資產(chǎn)價(jià)值有關(guān)，記為L(zhǎng)=F2（P，A），L=PXA。（4）考慮威脅發(fā)生并對(duì)資產(chǎn)造成的損失與風(fēng)險(xiǎn)發(fā)生的概率R，得出終端安全評(píng)估值S，S= F（L，R） ，S=LXR。

3.4 網(wǎng)絡(luò)終端安全評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

3.4.1 系統(tǒng)需求分析

安全性評(píng)估分析，重點(diǎn)評(píng)估風(fēng)險(xiǎn)可能造成的威脅及影響，向系統(tǒng)管理員提交細(xì)致可靠的分析報(bào)告，讓管理員掌握策略漏洞和安全狀況，并提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策。網(wǎng)絡(luò)終端安全評(píng)估系統(tǒng)需要滿足7點(diǎn)需求：（1）識(shí)別網(wǎng)絡(luò)終端資產(chǎn)。（2）對(duì)網(wǎng)絡(luò)終端進(jìn)行漏洞掃描，提供準(zhǔn)確、客觀的定量評(píng)估數(shù)據(jù)。（3）動(dòng)態(tài)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行的終端資源，分析可能面臨的威脅及發(fā)生的可能性。（4）進(jìn)行終端安全評(píng)估，得到綜合量化評(píng)估結(jié)論。（5）將數(shù)據(jù)、量化評(píng)估結(jié)果以報(bào)告形式輸出。（6）給出安全解決方案或加固建議等，提高網(wǎng)絡(luò)終端安全性。（7）管理使用評(píng)估系統(tǒng)的用戶，分配不同權(quán)限。

3.4.2 網(wǎng)絡(luò)終端安全評(píng)估系統(tǒng)設(shè)計(jì)

為減少系統(tǒng)資源占用，本文將評(píng)估系統(tǒng)設(shè)計(jì)在內(nèi)網(wǎng)一臺(tái)服務(wù)器上，設(shè)軟件運(yùn)行環(huán)境為Windows 2002/2003 Server，服務(wù)器被要求接入核心交換機(jī)。系統(tǒng)架構(gòu)如圖2所示。

3.4.3 系統(tǒng)功能模塊實(shí)現(xiàn)

網(wǎng)絡(luò)終端安全評(píng)估系統(tǒng)主要分為五大模塊：資產(chǎn)識(shí)別、脆弱性管理、威脅管理、終端安全評(píng)估、評(píng)估響應(yīng)。

（1）資產(chǎn)識(shí)別模塊。資產(chǎn)識(shí)別模塊主要包括資產(chǎn)信息管理子模塊和資產(chǎn)識(shí)別及賦值子模塊。前者主要管理本地終端和遠(yuǎn)程終端的基本信息，后者從資產(chǎn)數(shù)據(jù)庫(kù)里讀取終端IP地址、用戶名、密碼等信息，建立主機(jī)對(duì)象，將主機(jī)對(duì)象傳給回調(diào)函數(shù)。

（2）脆弱性管理模塊。該模塊包含漏洞掃描和脆弱性賦值兩個(gè)子模塊。掃描被評(píng)估的本地終端和遠(yuǎn)程終端，并確定應(yīng)用程序和操作系統(tǒng)所存在的漏洞以及對(duì)終端資產(chǎn)的脆弱性權(quán)重進(jìn)行賦值。

（3）威脅管理模塊。該模塊包括資源監(jiān)測(cè)和威脅賦值兩個(gè)子模塊。其中，資源監(jiān)測(cè)模塊動(dòng)態(tài)監(jiān)測(cè)本地、遠(yuǎn)程終端資源，獲取資源狀態(tài)信息。

（4）終端安全評(píng)估模塊。分為快速、完全評(píng)估兩大子模塊。快速評(píng)估根據(jù)量化評(píng)估模型對(duì)終端安全進(jìn)行評(píng)估；完全評(píng)估則根據(jù)建立的安全評(píng)估指標(biāo)體系里的指標(biāo)因素集，利用多級(jí)模糊綜合評(píng)判方法進(jìn)行評(píng)估。

（5）響應(yīng)模塊。根據(jù)評(píng)估結(jié)果，匹配響應(yīng)庫(kù)里定義的規(guī)則，給出解決方案或加固建議。

系統(tǒng)接口設(shè)計(jì)方面，將系統(tǒng)分為三層：用戶接口層、邏輯處理層和數(shù)據(jù)中間層。接口層用于接受用戶輸入及顯示評(píng)估報(bào)告；邏輯處理層實(shí)現(xiàn)上述五大模塊的各項(xiàng)功能；數(shù)據(jù)中間層則屏蔽數(shù)據(jù)庫(kù)細(xì)節(jié)，連接系統(tǒng)和多個(gè)數(shù)據(jù)庫(kù)。系統(tǒng)接口設(shè)計(jì)如圖3所示。

4 結(jié)束語(yǔ)

本文提出一套網(wǎng)絡(luò)終端安全評(píng)估指標(biāo)體系，建立起網(wǎng)絡(luò)終端量化評(píng)估模型，將評(píng)估項(xiàng)目盡可能具體量化，以減少人為主觀影響。下一步可考慮根據(jù)安全評(píng)估系統(tǒng)，對(duì)終端安全量化評(píng)估模型做進(jìn)一步探索和改進(jìn)，完善系統(tǒng)設(shè)計(jì)并擴(kuò)充評(píng)估功能。

參考文獻(xiàn)

[1]國(guó)家質(zhì)量技術(shù)監(jiān)督局.GB17859-1999，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[S].1999.

[2]國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局.GB/Z 24367-2009，信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南[S].2009.

[3]吳亞飛，李新友，祿凱.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京：清華大學(xué)出版社，2007（04）.

[4]郭寧.信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系研究[J].信息安全標(biāo)準(zhǔn)與技術(shù)追蹤，2006，5：17-19.

[5]Xiaoping Wu，Yu Fu，Jiasheng Wang.Information systems security risk assessment on improved fuzzy AHP[C].Compution，Communication，Control，and Management.International Colloquium，2009，4：365-369.

[6]GB/T 20984-2007，信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].2007.

作者單位

信息安全服務(wù)評(píng)估報(bào)告范文6

關(guān)鍵詞：大數(shù)據(jù)；計(jì)算機(jī)軟件技術(shù)；應(yīng)用

一、大數(shù)據(jù)下的計(jì)算機(jī)軟件技術(shù)

（一）云儲(chǔ)存服務(wù)

在大數(shù)據(jù)時(shí)代的背景下，云儲(chǔ)存服務(wù)是當(dāng)今社會(huì)有效儲(chǔ)存海量數(shù)據(jù)信息、進(jìn)行數(shù)據(jù)信息價(jià)值分析與利用的技術(shù)。與傳統(tǒng)的數(shù)據(jù)儲(chǔ)存技術(shù)相比，云儲(chǔ)存服務(wù)在大大提升自身儲(chǔ)存容量，并且能夠分類儲(chǔ)存不同領(lǐng)域數(shù)據(jù)的同時(shí)，還可以拋棄固定化的儲(chǔ)存設(shè)備，通過快捷、方便的儲(chǔ)存來發(fā)揮出該技術(shù)協(xié)同性、綜合性的功能。云儲(chǔ)存技術(shù)幫助系統(tǒng)利用對(duì)數(shù)據(jù)資源的有效整合來實(shí)現(xiàn)提升信息存儲(chǔ)效率的目的，同時(shí)數(shù)據(jù)儲(chǔ)存較高的安全性也能夠?yàn)槿藗內(nèi)粘５墓ぷ鳌⑸钐峁┝己玫谋Ｕ稀?/p>

（二）信息安全技術(shù)

由于互聯(lián)網(wǎng)是大數(shù)據(jù)處理的基礎(chǔ)，其中互聯(lián)網(wǎng)平臺(tái)開放度比較高、不同領(lǐng)域數(shù)據(jù)信息聯(lián)系緊密，一旦外來病毒、木馬攻擊互聯(lián)網(wǎng)平臺(tái)，部分?jǐn)?shù)據(jù)就會(huì)受到病毒的感染，并且對(duì)其他存在一定關(guān)聯(lián)的數(shù)據(jù)信息造成不利的連帶影響。因此，在大數(shù)據(jù)時(shí)代中需要有互聯(lián)網(wǎng)信息安全技術(shù)來發(fā)揮出防護(hù)病毒、木馬的作用。并且我國(guó)還要積極學(xué)習(xí)發(fā)達(dá)國(guó)家的信息安全技術(shù)，通過不斷的研究與經(jīng)驗(yàn)積累來彌補(bǔ)差距，從而也為大數(shù)據(jù)背景下海量數(shù)據(jù)信息準(zhǔn)確性、安全性的提升作出貢獻(xiàn)。

（三）虛擬化技術(shù)

虛擬化技術(shù)作為資源管理技術(shù)的一個(gè)分類，能夠?qū)Ω黝悢?shù)據(jù)資源進(jìn)行優(yōu)化配置，不僅可以為各類不同的場(chǎng)景提供需求，降低了生產(chǎn)管理、資源管理的生產(chǎn)成本，還有效提升了數(shù)據(jù)資源的利用率。擴(kuò)展性、可行性、綜合性較高的虛擬化技術(shù)成為了許多企業(yè)與研究機(jī)構(gòu)重點(diǎn)關(guān)注的對(duì)象，使其在大大降低人力、財(cái)力、物力的同時(shí)，有利于社會(huì)經(jīng)濟(jì)效益的可持續(xù)發(fā)展。因此，在大數(shù)據(jù)時(shí)代背景下，企業(yè)要分析自身的發(fā)展情況與發(fā)展需求，從而順應(yīng)時(shí)代潮流，做好對(duì)虛擬化技術(shù)的創(chuàng)新研究，通過較高的科技水平來發(fā)揮出虛擬化技術(shù)的特點(diǎn)。

二、大數(shù)據(jù)下計(jì)算機(jī)軟件技術(shù)的具體應(yīng)用

（一）商業(yè)通信領(lǐng)域的應(yīng)用

由目前情況可知，計(jì)算機(jī)軟件技術(shù)在商業(yè)通信行業(yè)的快速發(fā)展中起著十分重要的作用，許多通信工作人員能夠通過各類計(jì)算機(jī)軟件技術(shù)，來有效分析與記憶所有消費(fèi)者的不同消費(fèi)習(xí)慣與需求，從而實(shí)現(xiàn)用戶滿意度的提升以及通信企業(yè)的良好發(fā)展發(fā)展。例如，IBMSPSS作為一款測(cè)預(yù)分析軟件，它能夠?qū)崟r(shí)掌握用戶的信息，通過精準(zhǔn)的分析來對(duì)用戶提供個(gè)性化的需求；而功能更加豐富的XO分析軟件以通信用戶的消費(fèi)行為基礎(chǔ)進(jìn)行合理的評(píng)估報(bào)告，不斷發(fā)掘用戶潛在的消費(fèi)心理，同時(shí)它還可以借助網(wǎng)絡(luò)分析加速器，來檢測(cè)自身系統(tǒng)存在的問題，并且快速、開心的制定出解決方案。

（二）商業(yè)領(lǐng)域的應(yīng)用

計(jì)算機(jī)軟件技術(shù)在商業(yè)領(lǐng)域的應(yīng)用，不僅可以幫助工作人員優(yōu)化工作結(jié)構(gòu)，做好企業(yè)各部門作職責(zé)的分配，同時(shí)電子商務(wù)企業(yè)能夠借助計(jì)算機(jī)軟件技術(shù)來實(shí)現(xiàn)數(shù)據(jù)信息的匯總、處理，從而通過線上或者是線下多種方式促進(jìn)消費(fèi)者的消費(fèi)行為，有利于企業(yè)核心競(jìng)爭(zhēng)力的提高。而在用戶信息的管理方面，工作人員可以通過Gognos技術(shù)在設(shè)備上建立起即時(shí)功能平臺(tái)，用于用戶信息的查詢。例如，景區(qū)里的管理人員能夠利用電腦、手機(jī)等實(shí)時(shí)共享設(shè)備實(shí)現(xiàn)對(duì)進(jìn)出游客的實(shí)時(shí)控制。

（三）企業(yè)信息解決方案方面的應(yīng)用

在大數(shù)據(jù)背景下，計(jì)算機(jī)軟件技術(shù)還可以用于解決企業(yè)在發(fā)展過程中容易出現(xiàn)的信息安全問題，管理人員能夠通過對(duì)數(shù)據(jù)資料的深入挖掘來掌握準(zhǔn)確、有效的市場(chǎng)信息以及風(fēng)險(xiǎn)評(píng)估。首先是數(shù)據(jù)取樣環(huán)節(jié)，企業(yè)人員需要在所銷售的產(chǎn)品之中隨機(jī)抽取代表性強(qiáng)的產(chǎn)品，其次是信息收集整合環(huán)節(jié)，借助計(jì)算機(jī)軟件技術(shù)的計(jì)算分析來提高結(jié)果的可靠性，從而實(shí)現(xiàn)幫助企業(yè)有效在行業(yè)競(jìng)爭(zhēng)的過程中規(guī)避市場(chǎng)風(fēng)險(xiǎn)的目的。