網(wǎng)絡(luò)安全成熟度評(píng)估8篇

時(shí)間：2023-12-10 16:44:26

緒論：在尋找寫作靈感嗎？愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全成熟度評(píng)估，愿這些內(nèi)容能夠啟迪您的思維，激發(fā)您的創(chuàng)作熱情，歡迎您的閱讀與分享！

網(wǎng)絡(luò)安全成熟度評(píng)估

篇1

通過下一代防火墻、態(tài)勢(shì)感知檢測(cè)響應(yīng)、安全云端、安全運(yùn)營(yíng)平臺(tái)，初步構(gòu)建“網(wǎng)-端-云-平臺(tái)”一體化框架進(jìn)行風(fēng)險(xiǎn)控制閉環(huán)?？蚣苤?，下一代防火墻、態(tài)勢(shì)感知檢測(cè)響應(yīng)等網(wǎng)絡(luò)和端點(diǎn)安全設(shè)備持續(xù)采集網(wǎng)絡(luò)和端點(diǎn)側(cè)流量日志，安全云端和本地安全運(yùn)營(yíng)平臺(tái)通過發(fā)現(xiàn)和關(guān)聯(lián)流量日志中各類攻擊威脅失陷標(biāo)志，找出入侵攻擊鏈，進(jìn)一步在網(wǎng)絡(luò)和端點(diǎn)側(cè)進(jìn)行控制處置，切斷攻擊鏈。

3.2建立初步的信任評(píng)估和控制機(jī)制

以上網(wǎng)行為管理和SSLVPN設(shè)備組件為基礎(chǔ)，對(duì)接各類型終端，入網(wǎng)前基于設(shè)備狀態(tài)和身份信息進(jìn)行信任等級(jí)判定。并建立內(nèi)部應(yīng)用訪問身份認(rèn)證機(jī)制。下一階段工作通過零信任技術(shù)建立更全面的訪問前信息采集和持續(xù)評(píng)估能力，進(jìn)一步打通網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)訪問的身份和信任判決及控制。

3.3建立本地化安全運(yùn)營(yíng)能力

基于安全運(yùn)營(yíng)平臺(tái)，將全網(wǎng)終端威脅、網(wǎng)絡(luò)攻擊及業(yè)務(wù)系統(tǒng)安全通過大屏可視化的方式呈現(xiàn)，結(jié)合外部安全服務(wù)專家專屬服務(wù)化的方式，實(shí)現(xiàn)了網(wǎng)絡(luò)安全的閉環(huán)響應(yīng)與處置，同時(shí)為內(nèi)部人員提供信息安全知識(shí)與技能，沉淀本地知識(shí)經(jīng)驗(yàn)庫(kù)；基于安全運(yùn)營(yíng)平臺(tái)分析結(jié)果進(jìn)行決策，指導(dǎo)各部門開展網(wǎng)絡(luò)安全工作；通過網(wǎng)絡(luò)安全運(yùn)營(yíng)平臺(tái)指導(dǎo)安全建設(shè)，提供安全策略優(yōu)化指導(dǎo)，全面提升系統(tǒng)安全運(yùn)營(yíng)能力。

3.4構(gòu)建針對(duì)未知威脅防控的人機(jī)共智能力

基于本地安全運(yùn)營(yíng)平臺(tái)、下一代防火墻、態(tài)勢(shì)感知檢測(cè)響應(yīng)等設(shè)備組件中人工智能算法，借助安全云端的全球威脅情報(bào)和安全大數(shù)據(jù)分析輔助，初步構(gòu)建針對(duì)已知和未知Web攻擊、僵尸網(wǎng)絡(luò)、各類型病毒、漏洞利用、部分APT攻擊和異常業(yè)務(wù)行為的檢測(cè)識(shí)別能力。通過演練成果應(yīng)用，實(shí)現(xiàn)了滿足等級(jí)保護(hù)2.0合規(guī)要求，具備在實(shí)戰(zhàn)化攻防對(duì)抗中抵御攻擊、快速恢復(fù)能力，同時(shí)日常服務(wù)運(yùn)維過程中對(duì)各類型業(yè)務(wù)和數(shù)據(jù)提供常態(tài)化安全防護(hù)。

4創(chuàng)新性與價(jià)值

信息系統(tǒng)安全建設(shè)基于自身信息化業(yè)務(wù)需求和網(wǎng)絡(luò)安全監(jiān)管法規(guī)要求，以“體系合規(guī)，面向?qū)崙?zhàn)，常態(tài)保護(hù)”為目標(biāo)，“統(tǒng)籌風(fēng)險(xiǎn)，精益安全，持續(xù)推進(jìn)，人機(jī)共智”為安全能力構(gòu)建方向，逐步推進(jìn)建設(shè)落地。規(guī)劃建設(shè)過程，體現(xiàn)了以下幾方面特色和優(yōu)勢(shì)：（1）體系化統(tǒng)籌，從高層要求、監(jiān)管法規(guī)等業(yè)務(wù)和內(nèi)外部需求出發(fā)，從風(fēng)險(xiǎn)、安全、推進(jìn)、智能四方面，體系化地規(guī)劃安全能力和落地過程[5]。（2）全面保障，整個(gè)建設(shè)理念和框架覆蓋的保護(hù)對(duì)象從物理環(huán)境，到網(wǎng)絡(luò)、主機(jī)、邊界等各層面，并對(duì)各類型業(yè)務(wù)和場(chǎng)景具有普適性。（3）面向未來，利用人機(jī)共智的三位一體能力，以及階段性演進(jìn)的成熟度坐標(biāo)，規(guī)劃面向未來的能力演進(jìn)體系。（4）有效落地，創(chuàng)新網(wǎng)絡(luò)安全微服務(wù)架構(gòu)，提升自動(dòng)化管理效率，利用專家服務(wù)和輔助決策降低人員門檻，進(jìn)一步通過可視化指標(biāo)體系呈現(xiàn)安全建設(shè)績(jī)效。

篇2

【關(guān)鍵詞】信息安全；評(píng)估；標(biāo)準(zhǔn)；對(duì)策

保證信息安全不發(fā)生外泄現(xiàn)象，是至關(guān)重要的。可是，現(xiàn)在我國(guó)信息安全保障和其它先進(jìn)國(guó)家相比，仍難望其項(xiàng)背，還有不少問題迫切需要我們著手解決：

中國(guó)保證信息安全工作經(jīng)歷了三個(gè)時(shí)期。第一時(shí)期是不用聯(lián)網(wǎng)，只作用于單一電腦的查殺和防控病毒軟件；第二個(gè)時(shí)期是獨(dú)立的防止病毒產(chǎn)品向?yàn)楸ＷC信息安全采用的成套裝備過渡時(shí)期；第三個(gè)時(shí)期是建設(shè)保證信息安全的系統(tǒng)時(shí)期。

1 需要解決與注意的問題

信息安全保障的內(nèi)容和深度不斷得到擴(kuò)展和加深，但依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒有從系統(tǒng)工程的角度來考慮和對(duì)待信息安全保障問題；信息安全保障問題的解決既不能只依靠純粹的技術(shù)，也不能靠簡(jiǎn)單的安全產(chǎn)品的堆砌，它要依賴于復(fù)雜的系統(tǒng)工程、信息安全工程（system security engineering）；信息安全就是人們把利用工程的理論、定義、辦法和技術(shù)進(jìn)行信息安全的開發(fā)實(shí)施與維護(hù)的經(jīng)過，是把通過歲月檢驗(yàn)證明沒有錯(cuò)誤的工程實(shí)施步驟管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程；由于國(guó)家8個(gè)重點(diǎn)信息系統(tǒng)和3個(gè)重點(diǎn)基礎(chǔ)網(wǎng)絡(luò)本身均為復(fù)雜的大型信息系統(tǒng)，因此必須采用系統(tǒng)化方法對(duì)其信息安全保障的效果和長(zhǎng)效性進(jìn)行評(píng)估。

2 安全檢測(cè)標(biāo)準(zhǔn)

2.1 CC 標(biāo)準(zhǔn)

1993年6月，美國(guó)、加拿大及歐洲四國(guó)協(xié)商共同起草了《信息技術(shù)安全評(píng)估公共標(biāo)準(zhǔn)CCITSE（commoncriteria of information technical securityevaluation）》，簡(jiǎn)稱 CC，它是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果。CC標(biāo)準(zhǔn)，一方面可以支持產(chǎn)品（最終已在系統(tǒng)中安裝的產(chǎn)品）中安全特征的技術(shù)性要求評(píng)估，另一方面描述了用戶對(duì)安全性的技術(shù)需求。然而，CC 沒有包括對(duì)物理安全、行政管理措施、密碼機(jī)制等方面的評(píng)估，且未能體現(xiàn)動(dòng)態(tài)的安全要求。因此，CC標(biāo)準(zhǔn)主要還是一套技術(shù)性標(biāo)準(zhǔn)。

2.2 BS 7799標(biāo)準(zhǔn)

BS 7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定的信息安全管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，包括：BS 7799-1∶1999《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則；BS7799-2∶2002 以 BS 7799-1∶1999為指南，詳細(xì)說明按照 PDCA 模型，建立、實(shí)施及文件化信息安全管理體系（ISMS）的要求。

2.3 SSE-CMM 標(biāo)準(zhǔn)

SSE-CMM（System Security EngineeringCapability Maturity Model）模型是 CMM 在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局（NSA）領(lǐng)導(dǎo)開發(fā)的，它專門用于系統(tǒng)安全工程的能力成熟度模型。

3 網(wǎng)絡(luò)安全框架考察的項(xiàng)目

對(duì)網(wǎng)絡(luò)安全進(jìn)行考察的項(xiàng)目包括：限制訪問以及網(wǎng)絡(luò)審核記錄：對(duì)網(wǎng)絡(luò)涉及的區(qū)域進(jìn)行有效訪問控制；對(duì)網(wǎng)絡(luò)實(shí)施入侵檢測(cè)和漏洞評(píng)估；進(jìn)行網(wǎng)絡(luò)日志審計(jì)并統(tǒng)一日志時(shí)間基準(zhǔn)線；網(wǎng)絡(luò)框架：設(shè)計(jì)適宜的拓?fù)浣Y(jié)構(gòu)；合乎系統(tǒng)需求的區(qū)域分界；對(duì)無線網(wǎng)接入方式進(jìn)行選擇方式；對(duì)周邊網(wǎng)絡(luò)接入進(jìn)行安全控制和冗余設(shè)計(jì)；對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和管理；對(duì)網(wǎng)絡(luò)設(shè)備和鏈路進(jìn)行冗余設(shè)計(jì)；網(wǎng)絡(luò)安全管理：采用安全的網(wǎng)絡(luò)管理協(xié)議；建立網(wǎng)絡(luò)安全事件響應(yīng)體系；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全管理。網(wǎng)絡(luò)設(shè)備是否進(jìn)行了安全配置，并且驗(yàn)證設(shè)備沒有已知的漏洞等。對(duì)網(wǎng)絡(luò)設(shè)置密碼：在網(wǎng)絡(luò)運(yùn)輸過程中可以根據(jù)其特點(diǎn)對(duì)數(shù)字設(shè)置密碼；在認(rèn)證設(shè)備時(shí)對(duì)比較敏感的信息進(jìn)行加密。

4 安全信息檢測(cè)辦法

4.1 調(diào)整材料和訪問

調(diào)整材料和訪問是對(duì)安全信息檢測(cè)的手段。評(píng)估人員首先通過對(duì)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D、安全運(yùn)作記錄、相關(guān)的管理制度、規(guī)范、技術(shù)文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全脆弱性。并找準(zhǔn)信息資產(chǎn)體現(xiàn)為一個(gè)業(yè)務(wù)流時(shí)所流經(jīng)的網(wǎng)絡(luò)節(jié)點(diǎn)，查看關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的設(shè)備安全策略是否得當(dāng)，利用技術(shù)手段驗(yàn)證安全策略是否有效。評(píng)估專家經(jīng)驗(yàn)在安全顧問咨詢服務(wù)中處于不可替代的關(guān)鍵地位。通過對(duì)客戶訪談、技術(shù)資料進(jìn)行分析，分析設(shè)備的安全性能，而且注意把自己的實(shí)際體會(huì)納入網(wǎng)絡(luò)安全的檢測(cè)中。

4.2 工具發(fā)現(xiàn)

工具發(fā)現(xiàn)是利用掃描器掃描設(shè)備上的缺陷，發(fā)現(xiàn)危險(xiǎn)的地方和錯(cuò)誤的配置。利用檢測(cè)掃描數(shù)據(jù)庫(kù)、應(yīng)用程序和主機(jī)，利用已有的安全漏洞知識(shí)庫(kù)，模擬黑客的攻擊方法，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各主機(jī)設(shè)備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識(shí)庫(kù)的網(wǎng)絡(luò)安全掃描工具對(duì)信息資產(chǎn)進(jìn)行基于網(wǎng)絡(luò)層面安全掃描，其特點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，并且評(píng)估環(huán)境與被評(píng)估對(duì)象在線運(yùn)行的環(huán)境完全一致，從而把主機(jī)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備中存在的不利于安全的因素恰切地展現(xiàn)出來。

4.3 滲透評(píng)估

滲透評(píng)估是為了讓使用的人員能夠知道網(wǎng)絡(luò)當(dāng)前存在的危險(xiǎn)以及會(huì)產(chǎn)生的后果，從而進(jìn)行預(yù)防。滲透評(píng)估的關(guān)鍵是經(jīng)過辨別業(yè)務(wù)產(chǎn)業(yè)，搭配一定手段進(jìn)行探測(cè)，判斷可能存在的攻擊路徑，并且利用技術(shù)手段技術(shù)實(shí)現(xiàn)。由于滲透測(cè)試偏重于黑盒測(cè)試，因此可能對(duì)被測(cè)試目標(biāo)造成不可預(yù)知的風(fēng)險(xiǎn)；此外對(duì)于性能比較敏感的測(cè)試目標(biāo)，如一些實(shí)時(shí)性要求比較高的系統(tǒng)，由于滲透測(cè)試的某些手段可能引起網(wǎng)絡(luò)流量的增加，因此可能會(huì)引起被測(cè)試目標(biāo)的服務(wù)質(zhì)量降低。由于中國(guó)電信運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)范龐大，因此在滲透測(cè)試的難度也較大。因此，滲透層次上既包括了網(wǎng)絡(luò)層的滲透測(cè)試，也包括了系統(tǒng)層的滲透測(cè)試及應(yīng)用層的滲透測(cè)試。合法滲透測(cè)試的一般流程為兩大步驟，即預(yù)攻擊探測(cè)階段、驗(yàn)證攻擊階段、滲透實(shí)施階段。不涉及安裝后門、遠(yuǎn)程控制等活動(dòng)。

我國(guó)信息安全要想得到保證，需要有一定的信息安全監(jiān)測(cè)辦法。依靠信息安全監(jiān)測(cè)辦法對(duì)中國(guó)業(yè)務(wù)系統(tǒng)和信息系統(tǒng)整體分析和多方面衡量，將對(duì)中國(guó)信息安全結(jié)論的量化提供強(qiáng)有力的幫助，給我國(guó)所做出的重要決策實(shí)行保密，對(duì)中國(guó)籌劃安全信息建設(shè)以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術(shù)，都至關(guān)重要。因而，制定我國(guó)信息安全檢測(cè)辦法，是一項(xiàng)不容忽視的重要工作。

【參考文獻(xiàn)】

[1]曹一家，姚歡，黃小慶，等.基于D-S證據(jù)理論的變電站通信系統(tǒng)信息安全評(píng)估[J].電力自動(dòng)化設(shè)備，2011，31（6）：1-5.

[2]焦波，李輝，黃東，等.基于變權(quán)證據(jù)合成的信息安全評(píng)估[J].計(jì)算機(jī)工程，2012，38（21）：126-128，132.

[3]張海霞，連一峰.基于測(cè)試床模擬的通用安全評(píng)估框架[J].信息網(wǎng)絡(luò)安全，2013，（z1）：13-16.

篇3

【關(guān)鍵詞】網(wǎng)絡(luò)會(huì)計(jì)；風(fēng)險(xiǎn)分析；會(huì)計(jì)內(nèi)控指標(biāo)體系；模糊評(píng)價(jià)法；績(jī)效評(píng)價(jià)

中圖分類號(hào)：F232；F272.35文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1004-5937（2014）16-0083-05目前，中國(guó)很多企業(yè)實(shí)施了網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)，但對(duì)網(wǎng)絡(luò)環(huán)境下產(chǎn)生的安全威脅不夠重視，未及時(shí)完善自身的內(nèi)控體系，增加了內(nèi)部控制的不安全性，從而影響到會(huì)計(jì)信息的安全。因此，研究網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)下內(nèi)部控制的安全問題，幫助企業(yè)建立一個(gè)新的、更有效的內(nèi)部控制指標(biāo)體系很有意義。

文章基于傳統(tǒng)內(nèi)部控制評(píng)價(jià)體系網(wǎng)絡(luò)化下賦予的新含義，重新構(gòu)建了網(wǎng)絡(luò)會(huì)計(jì)內(nèi)部控制的安全評(píng)價(jià)體系，以實(shí)現(xiàn)對(duì)會(huì)計(jì)內(nèi)控目標(biāo)、會(huì)計(jì)內(nèi)控環(huán)境、財(cái)務(wù)風(fēng)險(xiǎn)監(jiān)控與管理控制、信息技術(shù)控制、財(cái)務(wù)監(jiān)督問責(zé)、信息溝通等安全控制方面的評(píng)價(jià)。

一、網(wǎng)絡(luò)會(huì)計(jì)內(nèi)部控制體系的理論基礎(chǔ)

（一）傳統(tǒng)內(nèi)部控制體系

2008年6月28日，財(cái)政部會(huì)同證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)制定并印發(fā)《企業(yè)內(nèi)部控制基本規(guī)范》，要求企業(yè)建立實(shí)施的內(nèi)部控制包括下列五個(gè)要素：內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通以及內(nèi)部監(jiān)督。這五個(gè)部分也可作為評(píng)價(jià)內(nèi)部控制系統(tǒng)有效性的標(biāo)準(zhǔn)。

（二）網(wǎng)絡(luò)會(huì)計(jì)內(nèi)部控制風(fēng)險(xiǎn)分析

內(nèi)部控制主要是控制好風(fēng)險(xiǎn)，因此，筆者首先對(duì)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)進(jìn)行安全分析，然后運(yùn)用各種方法和工具找出各個(gè)流程的潛在風(fēng)險(xiǎn)，最終建立起風(fēng)險(xiǎn)的詳細(xì)清單，如表1所示。

二、構(gòu)建網(wǎng)絡(luò)會(huì)計(jì)內(nèi)部控制安全評(píng)價(jià)體系

處于經(jīng)濟(jì)轉(zhuǎn)型期的我國(guó)企業(yè)面臨經(jīng)營(yíng)風(fēng)險(xiǎn)及外部環(huán)境的變化，內(nèi)控體系應(yīng)及時(shí)作出相應(yīng)的調(diào)整，構(gòu)建適應(yīng)信息化環(huán)境的內(nèi)部控制框架。其中控制網(wǎng)絡(luò)會(huì)計(jì)帶來的新變化是重點(diǎn)，所有內(nèi)控要素都要從信息化會(huì)計(jì)系統(tǒng)的特征出發(fā)加以通盤考慮。內(nèi)部安全控制框架如圖1所示。

在網(wǎng)絡(luò)會(huì)計(jì)內(nèi)部控制體系之下，根據(jù)每一類控制因素的活動(dòng)域，首先將其分解為關(guān)鍵過程域，然后將該過程域細(xì)化到具體的關(guān)鍵控制點(diǎn)。本文將對(duì)體系中六個(gè)控制因素的活動(dòng)域，按照關(guān)鍵過程域到關(guān)鍵控制點(diǎn)的步驟來分別描述。

（一）會(huì)計(jì)內(nèi)控目標(biāo)

1.建立符合國(guó)內(nèi)外法律、法規(guī)，面向會(huì)計(jì)部門并結(jié)合部門內(nèi)部網(wǎng)絡(luò)會(huì)計(jì)實(shí)際情況的內(nèi)部控制體系。

2.梳理網(wǎng)絡(luò)會(huì)計(jì)下的內(nèi)部管理流程。

3.不斷完善內(nèi)部控制體系，與企業(yè)戰(zhàn)略目標(biāo)相融合，向全面風(fēng)險(xiǎn)管理體系過渡，建立風(fēng)險(xiǎn)管理和內(nèi)部控制長(zhǎng)效管理機(jī)制。

（二）會(huì)計(jì)內(nèi)控環(huán)境

1.更新信息化觀念

為了適應(yīng)網(wǎng)絡(luò)發(fā)展的新形勢(shì)，企業(yè)領(lǐng)導(dǎo)要樹立市場(chǎng)觀念、競(jìng)爭(zhēng)觀念，重視會(huì)計(jì)信息化，同時(shí)企業(yè)要結(jié)合先進(jìn)的管理理念和現(xiàn)代化方法，更新現(xiàn)有會(huì)計(jì)信息系統(tǒng)。

2.明確會(huì)計(jì)部門分工

財(cái)務(wù)部下應(yīng)設(shè)置信息部門和業(yè)務(wù)部門。信息部門提供信息技術(shù)服務(wù)和系統(tǒng)運(yùn)行監(jiān)督；業(yè)務(wù)部門負(fù)責(zé)批準(zhǔn)、執(zhí)行業(yè)務(wù)和資產(chǎn)保管等。

3.提高財(cái)務(wù)人員安全意識(shí)

（1）將會(huì)計(jì)信息安全方針與安全考察方針形成書面文件；（2）與重要的會(huì)計(jì)人員簽署保密協(xié)議；（3）對(duì)會(huì)計(jì)人員進(jìn)行信息安全教育與培訓(xùn)。

（三）財(cái)務(wù)風(fēng)險(xiǎn)監(jiān)控與管理

1.財(cái)務(wù)風(fēng)險(xiǎn)監(jiān)控

（1）識(shí)別關(guān)鍵控制點(diǎn)；（2）更新預(yù)警模型。實(shí)時(shí)監(jiān)控潛在的風(fēng)險(xiǎn)，將全方位的信息轉(zhuǎn)換成財(cái)務(wù)指標(biāo)，加入到預(yù)警模型中，實(shí)現(xiàn)資源共享和功能集成。

2.財(cái)務(wù)風(fēng)險(xiǎn)管理

（1）適當(dāng)利用自動(dòng)化控制來代替手工控制；（2）可在系統(tǒng)外部執(zhí)行部分關(guān)鍵的手工操作。

（四）信息技術(shù)控制

1.系統(tǒng)構(gòu)建控制

（1）制定信息系統(tǒng)開發(fā)戰(zhàn)略；（2）選擇合適的系統(tǒng)開發(fā)方式。

2.嚴(yán)密的授權(quán)審批制度

（1）操作權(quán)限與崗位責(zé)任制；（2）重點(diǎn)業(yè)務(wù)環(huán)節(jié)實(shí)行“雙口令”。

3.系統(tǒng)操作控制

（1）數(shù)據(jù)輸入控制；（2）數(shù)據(jù)處理控制；（3）數(shù)據(jù)輸出控制。

4.會(huì)計(jì)數(shù)據(jù)安全管理

（1）會(huì)計(jì)數(shù)據(jù)備份加密；（2）會(huì)計(jì)數(shù)據(jù)傳輸加密；（3）用戶訪問控制；（4）服務(wù)器加密。

（五）財(cái)務(wù)監(jiān)督與問責(zé)

主要是內(nèi)部審計(jì)管理：

（1）定期審計(jì)會(huì)計(jì)資料，檢查會(huì)計(jì)信息系統(tǒng)賬務(wù)處理的正確性；（2）審查機(jī)內(nèi)數(shù)據(jù)與書面資料的一致性；（3）監(jiān)督數(shù)據(jù)保存方式的安全性和合法性，防止非法修改歷史數(shù)據(jù)；（4）審查系統(tǒng)運(yùn)行各環(huán)節(jié)，發(fā)現(xiàn)并及時(shí)堵塞漏洞等。

（六）信息溝通

會(huì)計(jì)信息的溝通與交流應(yīng)貫穿整個(gè)內(nèi)控體系中。

1.管理層重視

管理層應(yīng)高度重視及支持信息系統(tǒng)的開發(fā)工作，確保各職能部門信息系統(tǒng)在信息交流上高度耦合。

2.嚴(yán)密的組織保障

各部門通過控制系統(tǒng)識(shí)別使用者需要的信息；收集、加工和處理信息，并及時(shí)、準(zhǔn)確和經(jīng)濟(jì)地傳遞給相關(guān)人員。

3.體系化的制度保障

建立健全會(huì)計(jì)及相關(guān)信息的報(bào)告負(fù)責(zé)制度，使會(huì)計(jì)人員能清楚地知道其所承擔(dān)的責(zé)任，并及時(shí)取得和交換他們?cè)趫?zhí)行、管理和控制經(jīng)營(yíng)過程中所需的信息。

三、基于模糊評(píng)價(jià)法的內(nèi)控評(píng)價(jià)體系應(yīng)用研究

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)內(nèi)控體系績(jī)效評(píng)價(jià)的應(yīng)用研究主要利用成熟度模型來劃分內(nèi)部會(huì)計(jì)控制因素的等級(jí)，基于模糊評(píng)價(jià)法來進(jìn)行安全績(jī)效評(píng)價(jià)，最后得出相應(yīng)的結(jié)論。

（一）模糊綜合評(píng)價(jià)法的應(yīng)用

模糊綜合評(píng)價(jià)法是以模糊數(shù)學(xué)為基礎(chǔ)，將一些不易定量的因素定量化，從多個(gè)因素對(duì)被評(píng)價(jià)事物隸屬等級(jí)狀況進(jìn)行綜合性評(píng)價(jià)。

一是對(duì)網(wǎng)絡(luò)會(huì)計(jì)內(nèi)控體系進(jìn)行成熟度劃分。

二是依據(jù)成熟度模型來確定評(píng)價(jià)因素和評(píng)價(jià)等級(jí)。設(shè)：U=｛?滋1，?滋2，?滋3，…，?滋m｝為被評(píng)價(jià)對(duì)象的m個(gè)評(píng)價(jià)指標(biāo)V=｛v1，v2，v3，…，vn｝；為每一個(gè)因素所處的狀態(tài)的n種等級(jí)。

三是確定權(quán)重分配。

四是進(jìn)行全面的調(diào)查訪問，并建立評(píng)價(jià)表。

五是建立模糊評(píng)價(jià)矩陣，得出多級(jí)模糊的綜合等級(jí)。

六是得出關(guān)鍵控制點(diǎn)的評(píng)級(jí)表。

七是得出評(píng)價(jià)結(jié)果。

（二）模糊綜合評(píng)價(jià)法的應(yīng)用

本節(jié)針對(duì)上述內(nèi)控體系中的信息技術(shù)控制因素，對(duì)其應(yīng)用模糊評(píng)價(jià)法來進(jìn)行分析，其他控制因素的評(píng)價(jià)方法與此例相同。

1.成熟度評(píng)價(jià)標(biāo)準(zhǔn)

借鑒能力成熟度模型（CMM），同時(shí)考慮網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的特點(diǎn)，將內(nèi)控流程評(píng)價(jià)標(biāo)準(zhǔn)劃分為六級(jí)：不存在級(jí)、初始級(jí)、已認(rèn)識(shí)級(jí)、已定義級(jí)、已管理級(jí)、優(yōu)化級(jí)。完善后的內(nèi)部會(huì)計(jì)控制成熟度評(píng)價(jià)標(biāo)準(zhǔn)如表2所示。

表2中等級(jí)的劃分是針對(duì)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制體系總體情況而言。具體到網(wǎng)絡(luò)會(huì)計(jì)內(nèi)部控制的每一級(jí)指標(biāo)建立成熟度模型時(shí)，各個(gè)流程也分為以上六個(gè)等級(jí)。

2.成熟度模型

建立了成熟度評(píng)價(jià)標(biāo)準(zhǔn)之后，便可根據(jù)網(wǎng)絡(luò)會(huì)計(jì)內(nèi)部控制體系列出控制內(nèi)容、關(guān)鍵過程域及關(guān)鍵控制點(diǎn)。本文以信息技術(shù)控制為例建立具體模型，該控制因素的成熟度模型如表3所示。

3.權(quán)重分配

我國(guó)學(xué)者辛金國(guó)、范煒采用德爾菲法，通過問卷調(diào)查的方式得到傳統(tǒng)內(nèi)部控制五要素中控制環(huán)境權(quán)重為30%、風(fēng)險(xiǎn)評(píng)估為12.9%、控制活動(dòng)為25.2%、信息與溝通為28%、監(jiān)督為3.9%。

本文賦權(quán)采用德爾菲法，并結(jié)合網(wǎng)絡(luò)會(huì)計(jì)的特點(diǎn)，控制內(nèi)容的權(quán)重分配如表4、表5所示。

4.評(píng)價(jià)表

建立起三級(jí)的指標(biāo)體系結(jié)構(gòu)之后，分別對(duì)審計(jì)機(jī)構(gòu)、信息安全機(jī)構(gòu)、公司管理層及普通員工四個(gè)方面進(jìn)行調(diào)查。每一類對(duì)象都挑選10人（總共40人）進(jìn)行調(diào)查訪問，每位專家、管理者及員工分別運(yùn)用實(shí)地觀察法、流程圖法、專業(yè)判斷法或工作經(jīng)驗(yàn)法，按照指標(biāo)執(zhí)行情況，對(duì)每一項(xiàng)關(guān)鍵控制點(diǎn)依照成熟度模型賦予安全等級(jí)分值，表格的內(nèi)容代表選擇該等級(jí)的人數(shù)，整理后得出評(píng)價(jià)表，如表6所示。

5.模糊評(píng)價(jià)矩陣

首先，用表6中每個(gè)級(jí)別的分值除以總?cè)藬?shù)40，得出的評(píng)價(jià)結(jié)果構(gòu)成關(guān)鍵過程域的模糊評(píng)價(jià)矩陣R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，進(jìn)行關(guān)鍵控制域模糊矩陣運(yùn)算，B4j=A4j?R4j

B41=［0.5 0.5］?R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，計(jì)算控制內(nèi)容的模糊矩陣運(yùn)算，Vi=Ai?Bi

V4=［0.2 0.3 0.25 0.25］?B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，計(jì)算信息技術(shù)控制的綜合得分G4=V4? ［0 1 2 3 4 5］T=2.78875。

6.評(píng)級(jí)表

對(duì)各關(guān)鍵控制點(diǎn)的分值進(jìn)行加權(quán)平均計(jì)算，根據(jù)得出的數(shù)所靠近的級(jí)別，從而判斷其成熟度級(jí)別，公式是：

單項(xiàng)關(guān)鍵控制點(diǎn)評(píng)價(jià)得分=Σ（該關(guān)鍵控制點(diǎn)的分值×對(duì)應(yīng)的等級(jí)數(shù)）÷40

每一項(xiàng)關(guān)鍵控制點(diǎn)通過上述公式計(jì)算得出的評(píng)級(jí)表如表7所示。

依據(jù)內(nèi)控流程的成熟度，對(duì)照單項(xiàng)關(guān)鍵控制點(diǎn)的評(píng)級(jí)，賦予其合適的等級(jí)區(qū)間。

7.評(píng)價(jià)結(jié)果

根據(jù)模糊矩陣法運(yùn)算出的信息技術(shù)控制的綜合評(píng)分為2.78875，在2―已認(rèn)識(shí)級(jí)與3―已定義級(jí)之間，接近3―已定義級(jí)。

根據(jù)表7，可以針對(duì)公司的信息技術(shù)控制關(guān)鍵控制點(diǎn)的績(jī)效作出如下評(píng)價(jià)：

公司在適當(dāng)?shù)男畔⑾到y(tǒng)開發(fā)方式、操作權(quán)限與崗位責(zé)任制、操作控制以及會(huì)計(jì)數(shù)據(jù)存儲(chǔ)加密中做得較好，評(píng)級(jí)基本在3―已定義級(jí)以上。

公司在內(nèi)部會(huì)計(jì)控制中的信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃、重點(diǎn)業(yè)務(wù)環(huán)節(jié)的安全控制、會(huì)計(jì)數(shù)據(jù)安全管理、對(duì)外來人員的訪問控制、對(duì)內(nèi)部服務(wù)器的安全管理均需要進(jìn)一步加強(qiáng)。

四、結(jié)語

網(wǎng)絡(luò)會(huì)計(jì)具有開放性、及時(shí)性、分散性與共享性的特點(diǎn)，根據(jù)其特點(diǎn)，本文建立了信息化內(nèi)部會(huì)計(jì)控制體系，主要包含會(huì)計(jì)內(nèi)控目標(biāo)、會(huì)計(jì)內(nèi)控環(huán)境、財(cái)務(wù)風(fēng)險(xiǎn)監(jiān)控與管理、信息技術(shù)控制、財(cái)務(wù)監(jiān)督問責(zé)、信息溝通六個(gè)方面。在安全分析過程中，列出了風(fēng)險(xiǎn)清單，讓財(cái)務(wù)部門負(fù)責(zé)人更全面地了解到面臨的各級(jí)風(fēng)險(xiǎn)。發(fā)現(xiàn)風(fēng)險(xiǎn)是第一步，第二步便是管理風(fēng)險(xiǎn)，公司應(yīng)分別從內(nèi)部會(huì)計(jì)控制的六個(gè)方面進(jìn)行體系化的控制，其中最重要的便是利用信息技術(shù)控制來保障網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的內(nèi)部安全和計(jì)算機(jī)網(wǎng)絡(luò)安全。最后，本文運(yùn)用模糊評(píng)價(jià)法，對(duì)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制評(píng)價(jià)體系進(jìn)行應(yīng)用研究，以信息技術(shù)控制為例，對(duì)其安全內(nèi)控體系進(jìn)行了評(píng)價(jià)及實(shí)證分析。

【參考文獻(xiàn)】

［1］王曉玲.基于風(fēng)險(xiǎn)管理的內(nèi)部控制建設(shè)［M］.北京：電子工業(yè)出版社，2010：100-102.

［2］陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究［J］.會(huì)計(jì)研究，2007（1）：30-37.

［3］杜洪濤.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)電算化信息系統(tǒng)安全探討［J］.計(jì)算機(jī)光盤軟件與應(yīng)用，2010（9）：37-38.

［4］宮雪冰.基于內(nèi)部控制的網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問題的控制［J］.中國(guó)管理信息化，2010，13（15）：2-3.

［5］李河君.會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)控制體系研究［D］.首都經(jīng)濟(jì)貿(mào)易大學(xué)碩士學(xué)位論文，2010.

［6］財(cái)政部會(huì)計(jì)司.《企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)―信息系統(tǒng)》解讀［J］.財(cái)務(wù)與會(huì)計(jì)，2011（6）：57-62.

［7］艾文國(guó)，王亞鳴.企業(yè)會(huì)計(jì)信息化內(nèi)部控制問題研究［J］.中國(guó)管理信息化，2008，11（15）：14-16.

［8］張繼德,劉盼盼. 會(huì)計(jì)信息系統(tǒng)安全性現(xiàn)狀及應(yīng)對(duì)策略探討［J］. 中國(guó)管理信息化，2010，13（6）：3-5.

［9］陳秀偉.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制探析［J］.中國(guó)管理信息化，2011，14（5）：7-8.

篇4

【關(guān)鍵詞】信息安全架構(gòu)；企業(yè)戰(zhàn)略；信息安全服務(wù)；信息安全價(jià)值；一致性；可追溯性

【文獻(xiàn)標(biāo)識(shí)碼】 A 【中圖分類號(hào) 】 TP393.08

1 引言

信息安全技術(shù)和管理經(jīng)過不斷的發(fā)展和改善，已經(jīng)能夠比較有效地解決一些傳統(tǒng)信息安全問題，如信息安全風(fēng)險(xiǎn)管理、訪問控制，脆弱性管理、加密解密和災(zāi)難恢復(fù)等。隨著信息越來越成為組織的核心資產(chǎn)，保護(hù)信息的安全已不再只是局限于技術(shù)和日常管理層面的討論，信息的安全越來越關(guān)系到組織自身發(fā)展的安全。一次重大的信息泄露事故就能使企業(yè)的市值一落千丈。同時(shí)，一套合理的訪問控制解決方案能夠幫助企業(yè)快速推出核心產(chǎn)品（尤其是電子商務(wù)）和兼并其他企業(yè)。當(dāng)前信息安全發(fā)展呈現(xiàn)出新的趨勢(shì)和要求：（1）信息安全部門逐漸從成本中心轉(zhuǎn)向價(jià)值中心，信息安全的各項(xiàng)活動(dòng)越來越和企業(yè)戰(zhàn)略緊密相連；（2）企業(yè)內(nèi)部其他部門越來越多的要求信息安全部門提供清晰、可測(cè)量的服務(wù)來支持業(yè)務(wù)的運(yùn)行。

企業(yè)的信息安全部門在不斷增強(qiáng)其核心影響力的同時(shí)，也承擔(dān)著隨之而來的更多責(zé)任和挑戰(zhàn)。其一是如何將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃，將信息安全融入到組織的業(yè)務(wù)流程中，并且保持信息安全控制措施與企業(yè)戰(zhàn)略的一致性和可追溯性；其二是如何使信息安全的價(jià)值得到認(rèn)可并在組織內(nèi)部最大化；其三是如何滿足企業(yè)內(nèi)部各部門有計(jì)劃或無計(jì)劃的信息安全服務(wù)需求；其四是如何確保以一種系統(tǒng)主動(dòng)和集中統(tǒng)一的方式來管理業(yè)務(wù)和遵從性需求，并實(shí)現(xiàn)清晰的測(cè)量和不斷的改進(jìn)。

當(dāng)前各企業(yè)廣泛采用的標(biāo)準(zhǔn)或最佳實(shí)踐有幾種：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。這些標(biāo)準(zhǔn)各有優(yōu)點(diǎn)，但也有明顯的缺憾，如表1所示（缺憾部分用X表示）。

設(shè)計(jì)本信息安全架構(gòu)旨在解決上述問題并建立一種高效機(jī)制達(dá)到如下目標(biāo)。

* 將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃，確保信息安全的可追溯性、持續(xù)一致性和簡(jiǎn)潔性，以降低成本、減少重復(fù)和提高效率。將信息安全融入到組織的業(yè)務(wù)流程中，建立一致性和可追溯性；建立清晰的信息安全架構(gòu)和愿景，以減少重復(fù)和指導(dǎo)信息安全投入和解決方案的實(shí)施。

* 基于客戶服務(wù)理念，信息安全服務(wù)價(jià)值得到認(rèn)可，信息安全靠攏業(yè)務(wù)部門，為信息安全管理和業(yè)務(wù)管理建立共同語言。

* 全面管理信息安全，滿足目前絕大多數(shù)法律法規(guī)、標(biāo)準(zhǔn)的最佳實(shí)際的要求，并具有靈活的可擴(kuò)展性，當(dāng)新需求出現(xiàn)后能夠?qū)⑵淦交娜谌氲浆F(xiàn)有架構(gòu)中。

* 系統(tǒng)和集中統(tǒng)一的方式，使信息安全管理可預(yù)測(cè)和可測(cè)量，并不斷的改進(jìn)。

2 信息安全架構(gòu)設(shè)計(jì)

2.1 信息安全架構(gòu)設(shè)計(jì)所基于的原則

本信息安全架構(gòu)的設(shè)計(jì)遵循四大原則。

1）業(yè)務(wù)驅(qū)動(dòng)：所有的信息安全目標(biāo)應(yīng)該從業(yè)務(wù)需求中來，從而保證信息安全管理總是做“正確的事”。

2）整合、統(tǒng)一的架構(gòu)：現(xiàn)在有數(shù)以十計(jì)的信息安全相關(guān)的法律法規(guī)，標(biāo)準(zhǔn)和最佳實(shí)踐需要去符合或參考，且其各有不同的要求側(cè)重點(diǎn)和優(yōu)缺點(diǎn)。因此很有必要將所有相關(guān)的信息安全關(guān)注點(diǎn)整合到一個(gè)統(tǒng)一的架構(gòu)中，以保證所有要求都被滿足，同時(shí)避免不要的重復(fù)。例如，ISO27001關(guān)注全面安全控制和風(fēng)險(xiǎn)管理，PCIDSS側(cè)重支付卡環(huán)境中技術(shù)控制和策略管理等。

3）系統(tǒng)化思維：運(yùn)用系統(tǒng)化思維可以幫助組織解決復(fù)雜且動(dòng)態(tài)的問題，適應(yīng)運(yùn)營(yíng)中的各種變化，減輕戰(zhàn)略上的不確定性和外部因素的影響。例如，需要整合機(jī)構(gòu)、人員、技術(shù)和流程；需要考慮安全、成本和易用性的權(quán)衡；需要靠持續(xù)改進(jìn)（Plan-Do-Check-Act）；需要考慮全面防護(hù)和縱深防護(hù)。

4）易用性：信息安全架構(gòu)的最大價(jià)值在于被理解和廣泛應(yīng)用于組織的實(shí)踐當(dāng)中。因此，信息安全架構(gòu)必須易于理解并且實(shí)際可操作性要強(qiáng)，應(yīng)避免太過復(fù)雜和晦澀。

2.2 信息安全架構(gòu)實(shí)現(xiàn)

2.2.1 信息安全架構(gòu)-域試圖

基于上面的基本原則，本信息安全架構(gòu)由三個(gè)域組成（如圖1所示）：治理（Governance）、保障（Assurance）和服務(wù)（Services）。

治理（Governance）：信息安全治理域強(qiáng)調(diào)戰(zhàn)略一致性，風(fēng)險(xiǎn)管理，資源管理和有效性測(cè)量。治理域又包括三個(gè)子域：愿景與戰(zhàn)略、風(fēng)險(xiǎn)與遵從性管理和測(cè)量。各子域主要功能如下所述。

* 愿景與戰(zhàn)略：將遵從性要求，信息安全的發(fā)展趨勢(shì)，行業(yè)發(fā)展趨勢(shì)和業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為信息安全愿景、戰(zhàn)略和路線圖。

* 風(fēng)險(xiǎn)與遵從性管理：管理信息安全風(fēng)險(xiǎn)使信息安全風(fēng)險(xiǎn)控制在組織可接受的范圍內(nèi)。

* 測(cè)量：監(jiān)控和測(cè)量整體信息安全的有效性并持續(xù)提升信息安全對(duì)組織的價(jià)值。

保障：保障域側(cè)重于信息安全的全面與縱深防護(hù)措施。保障域包含預(yù)防、監(jiān)測(cè)、響應(yīng)和恢復(fù)四個(gè)部分。各部分主要功能如下所述。同時(shí)保護(hù)的對(duì)象為不同層面的信息資產(chǎn)：數(shù)據(jù)層、應(yīng)用層、IT基礎(chǔ)設(shè)施層和物理層。

* 預(yù)防：實(shí)施信息安全控制措施包括管理措施和技術(shù)措施，防止信息安全威脅損害組織的信息安全控態(tài)。

* 監(jiān)測(cè)：部署信息安全監(jiān)測(cè)能力監(jiān)控正在發(fā)生或已經(jīng)發(fā)生的信息安全事態(tài)。

* 響應(yīng)：部署信息安全響應(yīng)體系迅速、高效的抑制信息安全事件。

* 恢復(fù)：建立組織的可持續(xù)性能力，但重要信息系統(tǒng)不可用時(shí)，可以在計(jì)劃的時(shí)間內(nèi)恢復(fù)。

服務(wù)：服務(wù)域顯示了面向客戶（內(nèi)部和外部），協(xié)作與知識(shí)更新對(duì)信息安全實(shí)踐非常重要。服務(wù)域包含三個(gè)部分：信息安全服務(wù)、知識(shí)管理、意識(shí)與文化。各部分主要功能如下所述。

* 信息安全服務(wù)：信息安全團(tuán)隊(duì)?wèi)?yīng)對(duì)待組織內(nèi)部其他部門和對(duì)外部客戶一樣，基于服務(wù)基本協(xié)議，提供高質(zhì)量的信息安全服務(wù)。

* 知識(shí)管理：知識(shí)是信息安全實(shí)踐和服務(wù)的基石。信息安全知識(shí)管理包括獲取、維護(hù)和利用知識(shí)去獲取最大的信息安全專業(yè)價(jià)值。信息安全知識(shí)應(yīng)不僅在信息安全團(tuán)隊(duì)內(nèi)部而且在整個(gè)組織被共享。

* 意識(shí)與文化：信息安全意識(shí)與文化在組織內(nèi)部建立一個(gè)整體的信息安全氛圍。一個(gè)好的信息安全意識(shí)與文化意味著每個(gè)人都每個(gè)人都了解信息安全，關(guān)心信息安全、在日常工作中關(guān)注信息安全。信息安全意識(shí)與文化對(duì)提升組織整體信息安全成熟度和降低信息安全風(fēng)險(xiǎn)至關(guān)重要。

2.2.2 信息安全架構(gòu)-組件試圖

為支撐信息安全架構(gòu)的三個(gè)域，本信息安全架構(gòu)組件融合了不同標(biāo)準(zhǔn)和最佳實(shí)踐的精華部分，并自成一體，如圖2所示。本架構(gòu)參考的標(biāo)準(zhǔn)主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架構(gòu)在企業(yè)內(nèi)實(shí)際應(yīng)用效果分析

本信息安全架構(gòu)已被推廣和應(yīng)用到各個(gè)行業(yè)中，如保險(xiǎn)業(yè)、銀行業(yè)、教育和非盈利性機(jī)構(gòu)等。本文選取一個(gè)保險(xiǎn)企業(yè)的案例來說明本信息安全架構(gòu)給企業(yè)帶來的積極變化。

背景：此保險(xiǎn)公司有3000名員工，計(jì)劃在加拿大多倫多（Toronto）上市，因此需要符合加拿大和行業(yè)的一些法律法規(guī)的要求，如Bill198、PIPEDA、PCIDSS等。同時(shí)公司高層決定借鑒信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構(gòu)的特點(diǎn)就是融合各法規(guī)、標(biāo)準(zhǔn)和最佳實(shí)踐的要求，因此不需要做任何大的改動(dòng)的情況下（降低成本）就能應(yīng)用到此保險(xiǎn)公司中。

經(jīng)過9個(gè)月的實(shí)際運(yùn)行，公司進(jìn)行了各項(xiàng)測(cè)量指標(biāo)重新評(píng)估并與實(shí)施本信息安全架構(gòu)前的指標(biāo)進(jìn)行了對(duì)比分析。

3.1 平衡計(jì)分卡（Balanced Scorecard）[10]測(cè)評(píng)分析

平衡計(jì)分卡是衡量信息安全對(duì)企業(yè)貢獻(xiàn)價(jià)值的一種分析工具。平衡計(jì)分卡包括四個(gè)測(cè)量項(xiàng)目：對(duì)企業(yè)的貢獻(xiàn)，對(duì)愿景的規(guī)劃，內(nèi)部流程的成熟度和面向客戶。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別進(jìn)行了兩次測(cè)評(píng)。測(cè)評(píng)方法是由公司高級(jí)管理人員和各部門經(jīng)理對(duì)信息安全部門進(jìn)行評(píng)估，0級(jí)表示無成績(jī)，5級(jí)表示完美，然后取平均值。2011年7月評(píng)估結(jié)果顯示“企業(yè)貢獻(xiàn)”為2.2，“愿景規(guī)劃”為2.5，“內(nèi)部流程”為2.8，“面向客戶”為2.1；2012年7月評(píng)估結(jié)果顯示“企業(yè)貢獻(xiàn)”為4.1，“愿景規(guī)劃”為3.9，“內(nèi)部流程”為3.8，“面向客戶”為4.1。如圖3所示。測(cè)評(píng)結(jié)果表明實(shí)施本信息安全架構(gòu)后企業(yè)高層及各部門對(duì)信息安全給企業(yè)帶來的價(jià)值的認(rèn)可度有較為明顯提升。

3.2 總體信息安全成熟度級(jí)別分析

本文采取的信息安全總體成熟度的評(píng)價(jià)是基于ISO27002的控制域和CMMI[11]的評(píng)估級(jí)別。0級(jí)是最低級(jí)，5級(jí)是最高級(jí)。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別進(jìn)行了兩次自評(píng)估。2011年10月實(shí)施本信息安全架構(gòu)前成熟度水平是介于2.0-3.0之間， 2012年10月實(shí)施本信息安全架構(gòu)后成熟度水平是介于3.0-4.5之間，如圖4所示。成熟度級(jí)別分析結(jié)果表明實(shí)施本信息安全架構(gòu)后整體成熟度有較為明顯提升。

3.3 獨(dú)立審核發(fā)現(xiàn)點(diǎn)數(shù)量分析

第三方機(jī)構(gòu)獨(dú)立審核是從專業(yè)、客觀的角度來衡量整體信息安全控制措施，包括管理、技術(shù)和流程。審核發(fā)現(xiàn)點(diǎn)的數(shù)量越多，表明脆弱點(diǎn)越多，存在的風(fēng)險(xiǎn)越大。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別邀請(qǐng)用一個(gè)第三方審核機(jī)構(gòu)對(duì)其進(jìn)行了全面審核與評(píng)估（依據(jù)上市公司的管控要求）。2011年9月審核結(jié)果顯示有4個(gè)高風(fēng)險(xiǎn)項(xiàng)，8個(gè)中風(fēng)險(xiǎn)項(xiàng)和13個(gè)第風(fēng)險(xiǎn)項(xiàng)；2012年9月審核結(jié)果顯示無高風(fēng)險(xiǎn)項(xiàng)，且只有2個(gè)中風(fēng)險(xiǎn)項(xiàng)和4個(gè)第風(fēng)險(xiǎn)項(xiàng)。如圖5所示。審核結(jié)果表明實(shí)施本信息安全架構(gòu)后整體風(fēng)險(xiǎn)水平有較為明顯降低。

3.4 信息安全事件發(fā)生數(shù)量分析

信息安全事件（特別是1級(jí)與2級(jí)事件）發(fā)生的數(shù)量標(biāo)志著信息安全控制措施的全面性和有效性。信息安全事件數(shù)量越少，表明整體控制措施越有效。該保險(xiǎn)公司統(tǒng)計(jì)了實(shí)施本信息安全架構(gòu)前后發(fā)生的信息安全事件數(shù)量。2011年1月-10月期間有4個(gè)一級(jí)安全事件（重大），12個(gè)二級(jí)安全事件（嚴(yán)重），25個(gè)三級(jí)安全事件和40個(gè)四級(jí)安全事件；2012年1月-10月期間有1個(gè)一級(jí)安全事件（重大），2個(gè)二級(jí)安全事件（嚴(yán)重），10個(gè)三級(jí)安全事件和16個(gè)四級(jí)安全事件。如圖6所示。信息安全事件數(shù)量分析結(jié)果表明實(shí)施本信息安全架構(gòu)后安全控制措施的全面性和有效性有較為明顯增強(qiáng)。

3.5 魚叉式網(wǎng)絡(luò)釣魚模擬攻擊測(cè)試結(jié)果分析

模擬釣魚攻擊測(cè)試是對(duì)企業(yè)員工整體信息安全意識(shí)水平一種比較客觀的考核方式。收到攻擊（點(diǎn)擊鏈接）的人數(shù)越少，表明整體信息安全水平越高。該保險(xiǎn)公司采用ThreatSim的模擬攻擊測(cè)試平臺(tái)，在實(shí)施本信息安全架構(gòu)前后分別選取了5個(gè)分支機(jī)構(gòu)（共200人）進(jìn)行了模擬攻擊測(cè)試。測(cè)試的主要方法是注冊(cè)一個(gè)與該保險(xiǎn)公司類似的網(wǎng)絡(luò)域名，然后偽造一份看似從信息安全管理員發(fā)出的E-mail，此E-mail的大致內(nèi)容是說該保險(xiǎn)公司于近期對(duì)相關(guān)系統(tǒng)進(jìn)行了升級(jí)，將會(huì)影響到原有的帳戶和密碼，要求終端用戶盡快修改密碼。此E-mail包含一個(gè)鏈接到修改密碼的偽網(wǎng)頁。

2011年5月測(cè)試結(jié)果顯示有47%的員工點(diǎn)擊了有害鏈接，點(diǎn)擊有害鏈接的員工中有18%的人輸入了密碼，點(diǎn)擊有害鏈接的員工中有68%的人完成了在線培訓(xùn)內(nèi)容；2012年5月測(cè)試結(jié)果顯示有14%的員工點(diǎn)擊了有害鏈接，點(diǎn)擊有害鏈接的員工中有3%的人輸入了密碼，點(diǎn)擊有害鏈接的員工中有98%的人完成了在線培訓(xùn)內(nèi)容。如圖7所示。模擬攻擊測(cè)試分析結(jié)果表明實(shí)施本信息安全架構(gòu)后該保險(xiǎn)公司員工整體信息安全意識(shí)水平有較為明顯進(jìn)步。

3.6 信息安全服務(wù)客戶滿意度調(diào)查結(jié)果分析

客戶滿意度調(diào)查是從被服務(wù)客戶的角度來衡量信息安全團(tuán)隊(duì)的服務(wù)能力，以及給公司帶來的實(shí)際價(jià)值。滿意度百分比值越高，表明信息安全團(tuán)隊(duì)的能力和服務(wù)價(jià)值越被認(rèn)可。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別對(duì)精算部、個(gè)人保險(xiǎn)部、商業(yè)保險(xiǎn)部、索償部、渠道與銷售部做了信息安全服務(wù)滿意度調(diào)查。

2011年8月調(diào)查結(jié)果顯示對(duì)服務(wù)專業(yè)質(zhì)量的滿意度為72%，對(duì)服務(wù)請(qǐng)求響應(yīng)速度的滿意度為46%，對(duì)服務(wù)態(tài)度的滿意度為67%，整體滿意度為60%；2012年8月調(diào)查結(jié)果顯示對(duì)服務(wù)專業(yè)質(zhì)量的滿意度為95%，對(duì)服務(wù)請(qǐng)求響應(yīng)速度的滿意度為85%，對(duì)服務(wù)態(tài)度的滿意度為92%，整體滿意度為88%；如圖7所示?？蛻魸M意度分析結(jié)果表明實(shí)施本信息安全架構(gòu)后企業(yè)各部門對(duì)信息安全服務(wù)價(jià)值的認(rèn)可度有較為明顯提升。

4 結(jié)束語

現(xiàn)階段信息安全管理著重在信息安全的風(fēng)險(xiǎn)控制，隨著信息安全管理角色的轉(zhuǎn)變，信息安全需要跟多的與組織戰(zhàn)略結(jié)合，為組織創(chuàng)造更多的價(jià)值，并通過提供信息安全服務(wù)使組織內(nèi)部各部門享受到信息安全給組織帶來的價(jià)值并認(rèn)可這些價(jià)值。當(dāng)前被廣泛采用的一些標(biāo)準(zhǔn)和最佳實(shí)踐有其優(yōu)點(diǎn)，但同時(shí)無法滿足一些新的挑戰(zhàn)。目前缺乏一種高效可執(zhí)行的信息安全架構(gòu)來將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃、基于客戶服務(wù)理念使信息安全服務(wù)價(jià)值最大化以及全面系統(tǒng)化管理信息安全。本文針對(duì)上述問題提出的一種面向企業(yè)戰(zhàn)略和服務(wù)的信息安全架構(gòu)。通過將本信息安全架構(gòu)應(yīng)用到實(shí)際的企業(yè)中，驗(yàn)證了本信息安全架構(gòu)能夠?yàn)槠髽I(yè)提供更多的價(jià)值、增強(qiáng)客戶滿意度、提升整體安全成熟度和員工信息安全意識(shí)水平。

參考文獻(xiàn)

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves，等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者簡(jiǎn)介：

篇5

1美國(guó)電力行業(yè)信息安全的戰(zhàn)略框架

為響應(yīng)奧巴馬政府關(guān)于加強(qiáng)丨Kj家能源坫礎(chǔ)設(shè)施安全(13636行政令，即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求，美國(guó)能源部出資，能源行業(yè)控制系統(tǒng)工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護(hù)能源行業(yè)控制系統(tǒng)路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎(chǔ)上，于2011年了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線閣》。2011路線圖為電力行業(yè)未來丨0年的信息安全制定了戰(zhàn)略框架和行動(dòng)計(jì)劃，體現(xiàn)了美國(guó)加強(qiáng)國(guó)家電網(wǎng)持續(xù)安全和可靠性的承諾和努力%

路線圖基于風(fēng)險(xiǎn)管理原則，明確了至2020年美國(guó)能源傳輸系統(tǒng)網(wǎng)絡(luò)安全目標(biāo)、實(shí)施策略及里程碑計(jì)劃，指導(dǎo)行業(yè)、政府、學(xué)術(shù)界為共丨司愿景投入并協(xié)同合作。2011路線圖指出：至2020年，要設(shè)計(jì)、安裝、運(yùn)行、維護(hù)堅(jiān)韌的能源傳輸系統(tǒng)(resilientenergydeliverysystems)。美國(guó)能源彳了業(yè)的網(wǎng)絡(luò)安全目標(biāo)已從安全防護(hù)轉(zhuǎn)向系統(tǒng)堅(jiān)韌。路線圖提出了實(shí)現(xiàn)目標(biāo)的5個(gè)策略，為行業(yè)、政府、學(xué)術(shù)界指明了發(fā)展方向和工作思路。(1)建立安全文化。定期回顧和完善風(fēng)險(xiǎn)管理實(shí)踐，確保建立的安全控制有效。網(wǎng)絡(luò)安全實(shí)踐成為能源行業(yè)所有相關(guān)者的習(xí)慣,，(2)評(píng)估和監(jiān)測(cè)風(fēng)險(xiǎn)。實(shí)現(xiàn)對(duì)能源輸送系統(tǒng)的所有架構(gòu)層次、信息物理融合領(lǐng)域的連續(xù)安全狀態(tài)監(jiān)測(cè)，持續(xù)評(píng)估新的網(wǎng)絡(luò)威脅、漏洞、風(fēng)險(xiǎn)及其應(yīng)對(duì)措施。(3)制定和實(shí)施新的保施。新一代能源傳輸系統(tǒng)結(jié)構(gòu)實(shí)現(xiàn)“深度防御”，在網(wǎng)絡(luò)安全事件中能連續(xù)運(yùn)行。(4)開展事件管理。開展網(wǎng)絡(luò)事件的監(jiān)測(cè)、補(bǔ)救、恢復(fù)，減少對(duì)能源傳輸系統(tǒng)的影響。開展事件后續(xù)的分析、取證以及總結(jié)，促進(jìn)能源輸送系統(tǒng)環(huán)境的改進(jìn)。(5)持續(xù)安全改進(jìn)。保持強(qiáng)大的資源保障、明確的激勵(lì)機(jī)制及利益相關(guān)者密切合作，確保持續(xù)積極主動(dòng)的能源傳輸系統(tǒng)安全提升。為及時(shí)跟蹤2011路線圖實(shí)施情況，能源行業(yè)控制系統(tǒng)工作組(ESCSWG)提供了ieRoadmap交互式平臺(tái)。通過該平臺(tái)共享各方的努力成果，掌握里程碑進(jìn)展情況，使能源利益相關(guān)者為路線圖的實(shí)現(xiàn)作一致努力。

2美國(guó)電力行業(yè)信息安全的管理結(jié)構(gòu)

承擔(dān)美國(guó)電力行業(yè)信息安全相關(guān)職責(zé)的主要政府機(jī)構(gòu)和組織包括：國(guó)土安全部(DHS)、能源部(1)0￡)、聯(lián)邦能源管理委員會(huì)(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業(yè)委員會(huì)(PUC)。2.1國(guó)土安全部美國(guó)國(guó)土安全部是美國(guó)聯(lián)邦政府指定的基礎(chǔ)設(shè)施信息安全領(lǐng)導(dǎo)部I'j'負(fù)責(zé)監(jiān)督保護(hù)政府網(wǎng)絡(luò)安全，為私營(yíng)企業(yè)提供專業(yè)援助。2009年DHS建立了國(guó)家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負(fù)責(zé)與聯(lián)邦相關(guān)部門、各州、各行業(yè)以及國(guó)際社會(huì)共享網(wǎng)絡(luò)威脅發(fā)展趨勢(shì)，組織協(xié)調(diào)事件響應(yīng)。

2.2能源部

美國(guó)能源部不直接承擔(dān)電網(wǎng)信息安全的管理職責(zé)，而是通過指導(dǎo)技術(shù)研發(fā)和協(xié)助項(xiàng)目開發(fā)促進(jìn)私營(yíng)企業(yè)發(fā)展和技術(shù)進(jìn)步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔(dān)加強(qiáng)國(guó)家能源基礎(chǔ)設(shè)施的可靠性和堅(jiān)韌性的職責(zé)，提供技術(shù)研究和發(fā)展的資金，推進(jìn)風(fēng)險(xiǎn)管理策略和信息安全標(biāo)準(zhǔn)研發(fā)，促進(jìn)威脅信息的及時(shí)共享，為電網(wǎng)信息安全戰(zhàn)略性綜合方案提供支撐。

能源部2012年與美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院、北美電力可靠性公司合作編制了《電力安全風(fēng)險(xiǎn)管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國(guó)土安全部等共同協(xié)作編制完成了《電力行業(yè)信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨，以支撐電力行業(yè)的信息安全能力評(píng)估和提升;2014年資助能源行業(yè)控制系統(tǒng)工作組(ESCSWG)形成了《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全采購(gòu)用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強(qiáng)供應(yīng)鏈的信息安全風(fēng)險(xiǎn)管理。

在201丨路線圖的指導(dǎo)下，能源部啟動(dòng)了能源傳輸系統(tǒng)的信息安全項(xiàng)目，資助愛達(dá)荷國(guó)家實(shí)驗(yàn)室建立SCADA安全測(cè)試平臺(tái)，發(fā)現(xiàn)并解決行業(yè)面臨的關(guān)鍵安全漏洞和威脅;資助伊利諾伊大學(xué)等開展值得信賴的電網(wǎng)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)研究。

2.3聯(lián)邦能源管理委員會(huì)

聯(lián)邦能源管理委員會(huì)負(fù)責(zé)依法制定聯(lián)邦政府職責(zé)范圍內(nèi)的能源監(jiān)管政策并實(shí)施監(jiān)管，是獨(dú)立監(jiān)管機(jī)構(gòu)。2005年能源政策法案(EnergyPolicyActof2005)授權(quán)FERC監(jiān)督包括信息安全標(biāo)準(zhǔn)在內(nèi)的主干電網(wǎng)強(qiáng)制可靠性標(biāo)準(zhǔn)的實(shí)施。2007年能源獨(dú)立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(National丨nstituteofStandardsan<丨Technology，NIST)相關(guān)責(zé)任以協(xié)調(diào)智能電網(wǎng)指導(dǎo)方針和標(biāo)準(zhǔn)的編制和落實(shí)。2011年的電網(wǎng)網(wǎng)絡(luò)安全法案(GridCyberSecurityAct)要求FKRC建立關(guān)鍵電力基礎(chǔ)設(shè)施的信息安全標(biāo)準(zhǔn)。

2007年FERC批準(zhǔn)由北美電力可靠性公司制定的《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》(criticalinfrastructprotection，CIPW標(biāo)準(zhǔn)為北美電力可靠性標(biāo)準(zhǔn)之中的強(qiáng)制標(biāo)準(zhǔn)，要求各相關(guān)企業(yè)執(zhí)行，旨在保護(hù)電網(wǎng)，預(yù)防信息系統(tǒng)攻擊事件的發(fā)生。

2.4北美電力可靠性公司

北美電力可靠性公司是非盈利的國(guó)際電力可靠性組織。NERC在FERC的監(jiān)管下，制定并強(qiáng)制執(zhí)行包括信息安全標(biāo)準(zhǔn)在內(nèi)的大電力系統(tǒng)可靠性標(biāo)準(zhǔn)，開展可靠性監(jiān)測(cè)、分析、評(píng)估、信息共享，確保大電力系統(tǒng)的可靠性。

NERC了一系列的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)標(biāo)準(zhǔn)181作為北美電力系統(tǒng)的強(qiáng)制性標(biāo)準(zhǔn);與美國(guó)能源部和NIST編制了《電力行業(yè)信息安全風(fēng)險(xiǎn)管理過程指南》，提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的指導(dǎo)方針。

歸屬NERC的電力行業(yè)協(xié)凋委員會(huì)(ESCC)是聯(lián)邦政府與電力行業(yè)的主要聯(lián)絡(luò)者，其主要使命是促進(jìn)和支持行業(yè)政策和戰(zhàn)略的協(xié)調(diào)，以提高電力行業(yè)的可靠性和堅(jiān)韌性'NERC通過其電力行業(yè)信息共享和分析中心(ES-ISAC)的態(tài)勢(shì)感知、事件管理以及協(xié)調(diào)和溝通的能力，與電力企業(yè)進(jìn)行及時(shí)、可靠和安全的信息共享和溝通。通過電網(wǎng)安全年會(huì)(GridSecCon)、簡(jiǎn)報(bào)，提供威脅應(yīng)對(duì)策略、最佳實(shí)踐的討論共享和培訓(xùn)機(jī)會(huì);組織電網(wǎng)安全演練(GridEx)檢查整個(gè)行業(yè)應(yīng)對(duì)物理和網(wǎng)絡(luò)事件的響應(yīng)能力，促進(jìn)協(xié)調(diào)解決行業(yè)面臨的突出的網(wǎng)絡(luò)安全問題。

2.5州公共事業(yè)委員會(huì)

美國(guó)聯(lián)邦政府對(duì)地方電力公司供電系統(tǒng)的可靠性沒有直接的監(jiān)管職責(zé)。各州公共事業(yè)委員會(huì)負(fù)責(zé)監(jiān)管地方電力公司的信息安全，大多數(shù)州的PUC沒有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定職責(zé)。PUC通過監(jiān)管權(quán)力，成為地方電力系統(tǒng)和配電系統(tǒng)網(wǎng)絡(luò)安全措施的重要決策者。全國(guó)公用事業(yè)監(jiān)管委員協(xié)會(huì)(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個(gè)聯(lián)盟協(xié)會(huì)，也采取措施促進(jìn)PUC的電力網(wǎng)絡(luò)安全工作，呼吁PUC密切監(jiān)控網(wǎng)絡(luò)安全威脅，定期審查各自的政策和程序，以確保與適用標(biāo)準(zhǔn)、最佳實(shí)踐的一致性

3美國(guó)電力行業(yè)信息安全的硏究資源

參與美國(guó)電力行業(yè)信息安全研究的機(jī)構(gòu)和組織主要有商務(wù)部所屬的國(guó)家標(biāo)準(zhǔn)技術(shù)研究院及其領(lǐng)導(dǎo)下的智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)、國(guó)土安全部所屬的能源行業(yè)控制系統(tǒng)工作組，重點(diǎn)幵展電力行業(yè)信息安全發(fā)展路線圖、框架以及標(biāo)準(zhǔn)、指南的研究。同時(shí)，能源部所屬的多個(gè)國(guó)家實(shí)驗(yàn)室提供網(wǎng)絡(luò)安全測(cè)試、網(wǎng)絡(luò)威脅分析、具體防御措施指導(dǎo)以及新技術(shù)研究等。

3.1國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)

根據(jù)2007能源獨(dú)立與安全法令，美_國(guó)家標(biāo)準(zhǔn)技術(shù)研究院負(fù)責(zé)包括信息安全協(xié)議在內(nèi)的智能電網(wǎng)協(xié)議和標(biāo)準(zhǔn)的自愿框架的研發(fā)能電網(wǎng)互操作標(biāo)準(zhǔn)的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本，明確了智能電網(wǎng)的網(wǎng)絡(luò)安全原則以及標(biāo)準(zhǔn)等。2011年3月，NIST了信息安全標(biāo)準(zhǔn)和指導(dǎo)方針系列中的旗艦文檔《NISTSP800-39，信息安全風(fēng)險(xiǎn)管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)，提供了一系列有意義的信息安全改進(jìn)建議。2014年2月，根據(jù)13636行政令，了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》第一版，以幫助組織識(shí)別、評(píng)估和管理關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn)。

NIST正在開發(fā)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)用于檢測(cè)符合網(wǎng)絡(luò)安全保護(hù)指導(dǎo)方針和標(biāo)準(zhǔn)的_「.業(yè)控制系統(tǒng)的性能，以指導(dǎo)工業(yè)控制系統(tǒng)安全策略最佳實(shí)踐的實(shí)施。

3.2智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)

智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)其前身是智能電網(wǎng)互操作組網(wǎng)絡(luò)安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網(wǎng)安全架構(gòu)、風(fēng)險(xiǎn)管理流程、安全測(cè)試和認(rèn)證等研究，致力于推進(jìn)智能電網(wǎng)網(wǎng)絡(luò)安全的發(fā)展和標(biāo)準(zhǔn)化。

在NIST的領(lǐng)導(dǎo)下，SGCC編制并進(jìn)一步修訂了《智能電網(wǎng)信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網(wǎng)信息安全分析框架，為組織級(jí)研究、設(shè)計(jì)、研發(fā)和實(shí)施智能電網(wǎng)技術(shù)提供了指導(dǎo)性T.具。

3.3國(guó)家電力行業(yè)信息安全組織(NESC0)

能源部組建的國(guó)家電力行業(yè)信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)，集結(jié)了美國(guó)國(guó)內(nèi)外致力于電力行業(yè)網(wǎng)絡(luò)安全的專家、開發(fā)商以及用戶，致力于網(wǎng)絡(luò)威脅的數(shù)據(jù)分析和取證工作⑴。美國(guó)電力科學(xué)研究院(EPRI)作為NESC0成員之一提供研究和分析資源，開展信息安全要求、標(biāo)準(zhǔn)和結(jié)果的評(píng)估和分析。NESCO與能源部、聯(lián)邦政府其他機(jī)構(gòu)等共同合作補(bǔ)充和完善了2011路線圖的關(guān)鍵里程碑和目標(biāo)。

3.4能源行業(yè)控制系統(tǒng)工作組(ESCSWG)

隸屬國(guó)土安全部的能源行業(yè)控制系統(tǒng)工作組由能源領(lǐng)域安全專家組成，在關(guān)鍵基礎(chǔ)設(shè)施合作咨詢委員會(huì)框架下運(yùn)作。在能源部的資助下，ESCSWG編制了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線圖》、《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全釆購(gòu)用語指南》。3.5能源部所屬的國(guó)家實(shí)驗(yàn)室

3.5.1愛達(dá)荷國(guó)家實(shí)驗(yàn)室(INL)

愛達(dá)荷W家實(shí)驗(yàn)室成立于1949年，是為美國(guó)能源部在能源研究、國(guó)家防御等方面提供支撐的應(yīng)用工程實(shí)驗(yàn)室。近十年來，INL與電力行業(yè)合作，加強(qiáng)了電網(wǎng)可靠性、控制系統(tǒng)安全研究。

在美國(guó)能源部的資助下，INL建立了包含美國(guó)國(guó)內(nèi)和國(guó)際上多種控制系統(tǒng)的SCADA安全測(cè)試平臺(tái)以及無線測(cè)試平臺(tái)等資源，目的對(duì)SCADA進(jìn)行全面、徹底的評(píng)估，識(shí)別控制系統(tǒng)脆弱點(diǎn)，并提供脆弱點(diǎn)的消減方法113】。通過能源部的能源傳輸系統(tǒng)信息安全項(xiàng)目，INL提出了采用數(shù)據(jù)壓縮技術(shù)檢測(cè)惡意流量對(duì)SCADA實(shí)時(shí)網(wǎng)絡(luò)保護(hù)的方法hi。為支持美國(guó)國(guó)土安全部控制系統(tǒng)安全項(xiàng)目，INL開發(fā)并實(shí)施了培訓(xùn)課程以增強(qiáng)控制系統(tǒng)專家的安全意識(shí)和防御能力。1NL的相關(guān)研究報(bào)告有《SCADA網(wǎng)絡(luò)安全評(píng)估方法》、《控制系統(tǒng)十大漏洞及其補(bǔ)救措施》、《控制系統(tǒng)網(wǎng)絡(luò)安全：深度防御戰(zhàn)略》、《控制系統(tǒng)評(píng)估中常見網(wǎng)絡(luò)安全漏洞》%、《能源傳輸控制系統(tǒng)漏洞分析>嚴(yán)|等。

3.5.2太平洋西北國(guó)家實(shí)驗(yàn)室(PNNL)

太平洋西北國(guó)家實(shí)驗(yàn)室是美國(guó)能源部所屬的闊家綜合性實(shí)驗(yàn)室，研究解決美國(guó)在能源、環(huán)境和國(guó)家安全等方面最緊迫的問題。

PNNL提出的安全SCADA通信協(xié)議(secureserialcommunicationsprotocol,SSCP)的概念，有助于實(shí)現(xiàn)遠(yuǎn)程訪問設(shè)備與控制中心之間的安全通信。的相關(guān)研究報(bào)告有《工業(yè)控制和SCADA的安全數(shù)據(jù)傳輸指南》等。PNNL目前正在開展仿生技術(shù)提高能源領(lǐng)域網(wǎng)絡(luò)安全的研究項(xiàng)。

3.5.3桑迪亞國(guó)家實(shí)驗(yàn)室(SNL)

篇6

關(guān)鍵詞：銀行網(wǎng)絡(luò)；銀行數(shù)據(jù)安全性；網(wǎng)絡(luò)安全性

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2010)20-5422-02

當(dāng)前，很多網(wǎng)絡(luò)技術(shù)經(jīng)過培訓(xùn)，都能被大部分人所理解和運(yùn)用，利用成熟度的網(wǎng)絡(luò)技術(shù)，對(duì)銀行系統(tǒng)的網(wǎng)絡(luò)做以改進(jìn)，在對(duì)原系統(tǒng)不做大規(guī)模改變的情況下，提高銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?，這是整個(gè)銀行網(wǎng)絡(luò)安全最為基礎(chǔ)和關(guān)鍵的環(huán)節(jié)。

1 我國(guó)銀行網(wǎng)絡(luò)安全運(yùn)行中存在的問題

1.1 銀行網(wǎng)絡(luò)自身的問題

1) 網(wǎng)絡(luò)系統(tǒng)存在的不安全因素。由于網(wǎng)絡(luò)化的銀行業(yè)務(wù)中大部分的業(yè)務(wù)和風(fēng)險(xiǎn)控制工作都是由電腦中的大量程序完成的，所以，網(wǎng)絡(luò)信息系統(tǒng)的安全性就成為銀行網(wǎng)絡(luò)運(yùn)行中最重要的技術(shù)風(fēng)險(xiǎn)，雖然在銀行網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)過程中有多層次的安全系統(tǒng)，但是隨著新的技術(shù)不斷發(fā)展，雖然可以保護(hù)銀行網(wǎng)絡(luò)柜臺(tái)的順利運(yùn)行，但是銀行的網(wǎng)絡(luò)系統(tǒng)仍然是網(wǎng)絡(luò)銀行運(yùn)行中最為關(guān)鍵的環(huán)節(jié)。

2) 網(wǎng)絡(luò)特有的開放性，是病毒流傳的淵源。由于因特網(wǎng)所具有的開放性，使得各種計(jì)算機(jī)病毒隨著網(wǎng)絡(luò)到處流傳，這種病毒嚴(yán)重威脅到銀行網(wǎng)絡(luò)的各個(gè)系統(tǒng)的順利運(yùn)行，尤其是隨著銀行網(wǎng)絡(luò)的不斷開放，更加為病毒的傳播提供了有效的傳播途徑，這位銀行的網(wǎng)絡(luò)安全帶來了巨大的威脅。

3) 專業(yè)人才緊缺。當(dāng)前的網(wǎng)絡(luò)銀行發(fā)展，需要的是集合金融業(yè)務(wù)知識(shí)與計(jì)算機(jī)技術(shù)知識(shí)為一體的綜合型人才，要求這類人才必須要熟悉銀行的各種業(yè)務(wù)，同時(shí)又要懂得網(wǎng)絡(luò)技術(shù)，只有這種人才才是保證銀行網(wǎng)絡(luò)安全運(yùn)行的重要保證，因此，在我國(guó)的銀行網(wǎng)絡(luò)發(fā)展中，急需的正是這樣的人才，當(dāng)前人才的緊缺，也是造成銀行網(wǎng)絡(luò)安全隱患的原因之一。

1.2 各種來自外部攻擊手段所帶來的安全問題

1) 來自網(wǎng)絡(luò)黑客的攻擊。近年來，網(wǎng)絡(luò)銀行不斷遭到黑客的攻擊，導(dǎo)致一部分銀行將網(wǎng)上支付系統(tǒng)關(guān)閉，密碼被竊取，和各種假冒的營(yíng)業(yè)網(wǎng)點(diǎn)已經(jīng)成為銀行網(wǎng)絡(luò)業(yè)務(wù)中最大的安全隱患。網(wǎng)絡(luò)黑客通常的做法是利用各種木馬程序，向用戶發(fā)送一些促銷活動(dòng)的通知郵件，誘惑用戶訪問其事先預(yù)設(shè)的網(wǎng)站，用戶一旦訪問該網(wǎng)站，就會(huì)將賬號(hào)和密碼泄露，給犯罪分子可乘之機(jī)。

2) 犯罪分子的經(jīng)濟(jì)犯罪行為。由于網(wǎng)絡(luò)銀行的支付系統(tǒng)是由金錢進(jìn)行支付和結(jié)算的，因此，很容易引起不法分子的注意，使很多犯罪分子利用網(wǎng)絡(luò)銀行進(jìn)行各種詐騙行為，嚴(yán)重的會(huì)使銀行和用戶雙方受到嚴(yán)重的損失。

3) 工作人員的內(nèi)部職務(wù)犯罪。很多銀行的內(nèi)部工作人員利用工作之便，自行進(jìn)入銀行的網(wǎng)絡(luò)系統(tǒng)，進(jìn)行違法犯罪的活動(dòng)，對(duì)銀行的網(wǎng)絡(luò)安全也是一種嚴(yán)重的威脅。

4) 越來越多的病毒威脅。計(jì)算機(jī)病毒是威脅網(wǎng)絡(luò)安全的一個(gè)最為嚴(yán)重的威脅，普通的計(jì)算機(jī)病毒會(huì)導(dǎo)致數(shù)據(jù)丟失，使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)和程序遭到破壞，很多正常的項(xiàng)目無法運(yùn)行，甚至使計(jì)算機(jī)系統(tǒng)癱瘓。由于病毒的入侵，導(dǎo)致系統(tǒng)癱瘓的例子越來越多，各種層出不窮的計(jì)算機(jī)病毒存在于網(wǎng)絡(luò)的各個(gè)角落，一觸即發(fā)，令網(wǎng)絡(luò)安全處于一個(gè)令人堪憂的環(huán)境。

2 銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸系統(tǒng)建設(shè)的背景

當(dāng)前的廣域網(wǎng)中，銀行所采用的內(nèi)部網(wǎng)絡(luò)一般都是營(yíng)運(yùn)商的專用路線，通常情況下，銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸系統(tǒng)的數(shù)據(jù)鏈路層一般都是采用HDLC、PPP、ATM、幀中繼等等通用的協(xié)議，在網(wǎng)絡(luò)層一般采用IP 協(xié)議，并且在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間不做安全處理，因此，在了解到銀行網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)層IP 協(xié)議之后，就很容易根據(jù)IP協(xié)議的規(guī)劃和訪問控制等細(xì)節(jié)，獲得其他信息，就會(huì)有不法之徒利用這些信息，模擬出銀行網(wǎng)點(diǎn)極為相似的業(yè)務(wù)環(huán)境，實(shí)施其犯罪活動(dòng)，比如在各個(gè)網(wǎng)點(diǎn)簽到的柜員到了自己的崗位之后，從運(yùn)營(yíng)商的網(wǎng)站中模擬出網(wǎng)點(diǎn)的終端，就可以先顯出交易畫面，進(jìn)行違法活動(dòng)。

3 運(yùn)用網(wǎng)絡(luò)安全技術(shù)，提高網(wǎng)絡(luò)數(shù)據(jù)安全性

網(wǎng)絡(luò)安全技術(shù)是運(yùn)用各種技術(shù)手段，增加網(wǎng)絡(luò)安全的措施，一般包括防火墻技術(shù)，網(wǎng)絡(luò)設(shè)備的安全技術(shù)，加密技術(shù)等等，下面簡(jiǎn)要分析各種安全技術(shù)。

1) 網(wǎng)絡(luò)防火墻技術(shù)：網(wǎng)絡(luò)防火墻是根據(jù)最小權(quán)限的原則。由于網(wǎng)絡(luò)之間存在著訪問控制權(quán)限，因此實(shí)現(xiàn)了網(wǎng)絡(luò)隔離，設(shè)置網(wǎng)絡(luò)防火墻，可以成功的隔離DMZ，有效保護(hù)網(wǎng)絡(luò)內(nèi)部的安全。防火墻一般有包過濾型防火墻，應(yīng)用型防火墻等等，防火墻可以采用專門的硬件和專用的網(wǎng)絡(luò)操作系統(tǒng)，也可以基于服務(wù)器軟件實(shí)現(xiàn)。在銀行網(wǎng)絡(luò)系統(tǒng)中，應(yīng)用的比較成熟的是狀態(tài)包過濾的防火墻，可以對(duì)IP地址訪問端口進(jìn)行嚴(yán)格的控制，確保網(wǎng)絡(luò)出入口的安全，在網(wǎng)絡(luò)內(nèi)部的重要區(qū)域也可以設(shè)置防火墻技術(shù)，以確保網(wǎng)絡(luò)數(shù)據(jù)的安全傳送。在防火墻的設(shè)計(jì)過程中，需要網(wǎng)絡(luò)維護(hù)人員對(duì)業(yè)務(wù)流程和應(yīng)用數(shù)據(jù)有著明確的認(rèn)識(shí)，同時(shí)要了解訪問關(guān)系和網(wǎng)絡(luò)應(yīng)用端口，實(shí)現(xiàn)網(wǎng)絡(luò)安全與應(yīng)用開發(fā)部門的有效結(jié)合。

2) 網(wǎng)絡(luò)設(shè)備安全技術(shù)：網(wǎng)絡(luò)設(shè)備安全技術(shù)一般是指訪問控制列表技術(shù)，通過這種技術(shù)，實(shí)現(xiàn)傳輸層與網(wǎng)絡(luò)層的訪問控制，比如在銀行辦公網(wǎng)絡(luò)中的交換機(jī)LAN接口，部署ACL，可以限制普通用戶或者測(cè)試網(wǎng)絡(luò)對(duì)服務(wù)器的訪問權(quán)限，不會(huì)影響到網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備的主要功能體現(xiàn)在轉(zhuǎn)發(fā)和路由上，而對(duì)于訪問控制權(quán)限較弱的網(wǎng)段，可以采用一些簡(jiǎn)單的網(wǎng)絡(luò)控制，相對(duì)于硬件的防火墻技術(shù)，網(wǎng)絡(luò)設(shè)備自身的安全訪問權(quán)限功能更加專業(yè)，能夠更好的維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全。

3) 加密技術(shù)：加密技術(shù)是維護(hù)網(wǎng)絡(luò)和信息安全的重要保障，基于TCP/IP協(xié)議的加密技術(shù)，是與網(wǎng)絡(luò)層相關(guān)聯(lián)的一種技術(shù)，常見的有鏈路層加密，網(wǎng)絡(luò)層加密以及傳輸層加密等等，加密產(chǎn)品有硬件也有軟件。鏈路層加密一般是以硬件產(chǎn)品加密為主，在廣域網(wǎng)中實(shí)施一點(diǎn)對(duì)一點(diǎn)或者一點(diǎn)對(duì)多點(diǎn)的加密和解密技術(shù)，保障數(shù)據(jù)在連路層的安全傳輸；而在網(wǎng)絡(luò)層多使用的軟件產(chǎn)品加密技術(shù)，這種軟件產(chǎn)品加密技術(shù)成本小，可以在不同的網(wǎng)絡(luò)層實(shí)施加密和解密技術(shù)，實(shí)現(xiàn)數(shù)據(jù)在各個(gè)網(wǎng)絡(luò)層之間安全傳輸。

4) 審計(jì)網(wǎng)絡(luò)日志：應(yīng)用網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)中的事件管理，對(duì)日志進(jìn)行管理和變更，這也是提高銀行網(wǎng)絡(luò)安全性的一個(gè)重要保障，因?yàn)榫W(wǎng)絡(luò)系統(tǒng)中所包含的各種網(wǎng)絡(luò)日志是進(jìn)行日志審計(jì)的重要來源。日志審計(jì)是及時(shí)發(fā)展系統(tǒng)漏洞以及安全隱患的有效辦法，網(wǎng)絡(luò)系統(tǒng)中存在的事件日志、用戶登錄日志等等都是可以審計(jì)的內(nèi)容。將日志進(jìn)行收集和整理后，通過分析和審計(jì)，發(fā)揮其應(yīng)有的作用。在銀行網(wǎng)絡(luò)系統(tǒng)中，可以采用仿真的模擬運(yùn)行系統(tǒng)，記錄攻擊者的方式和端口，通過日志的審計(jì)功能，評(píng)估其面臨的風(fēng)險(xiǎn)程度。

4 總結(jié)

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的，可控的，動(dòng)態(tài)的工程，金融部門應(yīng)當(dāng)將增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，投入大量的人力物力，進(jìn)行技術(shù)改進(jìn)，打造專門的技術(shù)團(tuán)隊(duì)，對(duì)銀行內(nèi)部網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估，購(gòu)買安全產(chǎn)品，實(shí)施各種安全技術(shù)，建立多層次的安全體系，完善安全防范機(jī)制，確保銀行網(wǎng)絡(luò)數(shù)據(jù)的安全運(yùn)行。

參考文獻(xiàn)：

[1] 范平平.我國(guó)網(wǎng)絡(luò)銀行現(xiàn)狀及安全性分析[J].內(nèi)江職業(yè)技術(shù)學(xué)院學(xué)報(bào),2008(4).

[2] 魏強(qiáng).淺析增強(qiáng)銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性[J].企業(yè)技術(shù)開發(fā)：下,2009(7).

[3] 劉紅.試析網(wǎng)絡(luò)銀行的安全性措施[J].北京市計(jì)劃勞動(dòng)管理干部學(xué)院學(xué)報(bào),2006(3).

[4] 王惠君.銀行網(wǎng)絡(luò)數(shù)據(jù)通信安全與保密問題的研究[J].電腦與信息技術(shù),2008(3).

[5] 姜慧群,師志勇.淺析從網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測(cè)中獲取實(shí)時(shí)數(shù)據(jù)的方法[J].華南金融電腦,2006(8).

篇7

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過程，通過一系列的安全管理活動(dòng)來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

信息安全管理的本質(zhì)，可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則），給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型，如下圖一所示：

圖一信息安全風(fēng)險(xiǎn)管理模型

既然信息安全是一個(gè)管理過程，則對(duì)PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計(jì)劃－實(shí)施與部署－監(jiān)控與評(píng)估－維護(hù)和改進(jìn)）的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對(duì)范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險(xiǎn)分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評(píng)估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點(diǎn)分析）

u資產(chǎn)/威脅/弱點(diǎn)的映射表

uImpact&LikelihoodAssessment（影響和可能性評(píng)估）

uRiskResultAnalysis（風(fēng)險(xiǎn)結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護(hù)措施）

e)Monitoring&Implementation（監(jiān)控和實(shí)施）

f)Effectestimation（效果檢查與評(píng)估）

（4）實(shí)施和運(yùn)營(yíng)初步的ISMS體系

（5）對(duì)ISMS運(yùn)營(yíng)的過程和效果進(jìn)行監(jiān)控

（6）在運(yùn)營(yíng)中對(duì)ISMS進(jìn)行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶對(duì)網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營(yíng)者意識(shí)到有必要對(duì)IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理，以使得能夠動(dòng)態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。

由于網(wǎng)絡(luò)運(yùn)營(yíng)者目前對(duì)于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項(xiàng)目一般按照以下幾個(gè)階段，進(jìn)行項(xiàng)目實(shí)踐：

3.1項(xiàng)目準(zhǔn)備階段。

a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息；

b)和客戶溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖；

c)建議并明確項(xiàng)目成員組成和分工；

d)對(duì)項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明；

e)對(duì)客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識(shí)、知識(shí)或工具培訓(xùn)；

f)匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項(xiàng)目執(zhí)行階段。

a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分；

b)分安全域進(jìn)行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫(kù)配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等；

c)在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表；

d)對(duì)存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)綜合評(píng)價(jià)，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。

3.3項(xiàng)目總結(jié)階段

a)項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn)；

b)對(duì)項(xiàng)目資產(chǎn)鑒別報(bào)告、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn)；

c)對(duì)需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析

運(yùn)營(yíng)商IP寬帶網(wǎng)絡(luò)和常見的針對(duì)以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段，需要特別注意以下要點(diǎn)：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項(xiàng)目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺(tái)、DNS等。

4.3項(xiàng)目成員

應(yīng)該得到運(yùn)營(yíng)商高層領(lǐng)導(dǎo)的明確支持，項(xiàng)目組長(zhǎng)應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān)，且項(xiàng)目成員除了包含一些專業(yè)安全評(píng)估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對(duì)信息搜集對(duì)象進(jìn)行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺(tái)系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機(jī)和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲(chǔ)和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機(jī)房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺(tái)、DNS平臺(tái)、網(wǎng)管系統(tǒng)等一級(jí)資產(chǎn)組；然后可以在一級(jí)資產(chǎn)組內(nèi)，按照功能或地域進(jìn)行劃分二級(jí)資產(chǎn)組，如AAA平臺(tái)一級(jí)資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級(jí)資產(chǎn)組；進(jìn)一步可以針對(duì)各個(gè)二級(jí)資產(chǎn)組的每個(gè)設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對(duì)性，即按照不同的資產(chǎn)組進(jìn)行針對(duì)性威脅分析。如針對(duì)IP城域網(wǎng)，其主要風(fēng)險(xiǎn)可能是：蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等；而對(duì)于DNS或AAA平臺(tái)，其主要風(fēng)險(xiǎn)可能包括：主機(jī)病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫(kù)攻擊、DNS釣魚等。

4.7威脅影響分析

是指對(duì)不同威脅其可能造成的危害進(jìn)行評(píng)定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營(yíng)商意見，尤其要充分考慮威脅發(fā)生后可能造成的社會(huì)影響和信譽(yù)影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評(píng)定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評(píng)價(jià)規(guī)則，主要由運(yùn)營(yíng)商管理人員按照規(guī)則進(jìn)行評(píng)價(jià)。

篇8