前言:中文期刊网精心挑选了网络安全成熟度评估范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全成熟度评估范文1
【关键词】信息安全;评估;标准;对策
保证信息安全不发生外泄现象,是至关重要的。可是,现在我国信息安全保障和其它先进国家相比,仍难望其项背,还有不少问题迫切需要我们着手解决:
中国保证信息安全工作经历了三个时期。第一时期是不用联网,只作用于单一电脑的查杀和防控病毒软件;第二个时期是独立的防止病毒产品向为保证信息安全采用的成套装备过渡时期;第三个时期是建设保证信息安全的系统时期。
1 需要解决与注意的问题
信息安全保障的内容和深度不断得到扩展和加深,但依然存在着“头痛医头,脚痛医脚”的片面性,没有从系统工程的角度来考虑和对待信息安全保障问题;信息安全保障问题的解决既不能只依靠纯粹的技术,也不能靠简单的安全产品的堆砌,它要依赖于复杂的系统工程、信息安全工程(system security engineering);信息安全就是人们把利用工程的理论、定义、办法和技术进行信息安全的开发实施与维护的经过,是把通过岁月检验证明没有错误的工程实施步骤管理技术和当前能够得到的最好的技术方法相结合的过程;由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统,因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。
2 安全检测标准
2.1 CC 标准
1993年6月,美国、加拿大及欧洲四国协商共同起草了《信息技术安全评估公共标准CCITSE(commoncriteria of information technical securityevaluation)》,简称 CC,它是国际标准化组织统一现有多种准则的结果。CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性要求评估,另一方面描述了用户对安全性的技术需求。然而,CC 没有包括对物理安全、行政管理措施、密码机制等方面的评估,且未能体现动态的安全要求。因此,CC标准主要还是一套技术性标准。
2.2 BS 7799标准
BS 7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括:BS 7799-1∶1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则;BS7799-2∶2002 以 BS 7799-1∶1999为指南,详细说明按照 PDCA 模型,建立、实施及文件化信息安全管理体系(ISMS)的要求。
2.3 SSE-CMM 标准
SSE-CMM(System Security EngineeringCapability Maturity Model)模型是 CMM 在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,它专门用于系统安全工程的能力成熟度模型。
3 网络安全框架考察的项目
对网络安全进行考察的项目包括:限制访问以及网络审核记录:对网络涉及的区域进行有效访问控制;对网络实施入侵检测和漏洞评估;进行网络日志审计并统一日志时间基准线;网络框架:设计适宜的拓扑结构;合乎系统需求的区域分界;对无线网接入方式进行选择方式;对周边网络接入进行安全控制和冗余设计;对网络流量进行监控和管理;对网络设备和链路进行冗余设计;网络安全管理:采用安全的网络管理协议;建立网络安全事件响应体系;对网络设备进行安全管理。网络设备是否进行了安全配置,并且验证设备没有已知的漏洞等。对网络设置密码:在网络运输过程中可以根据其特点对数字设置密码;在认证设备时对比较敏感的信息进行加密。
4 安全信息检测办法
4.1 调整材料和访问
调整材料和访问是对安全信息检测的手段。评估人员首先通过对信息系统的网络拓扑图、安全运作记录、相关的管理制度、规范、技术文档、历史事件、日志等的研究和剖析,从更高的层次上发现网络系统中存在的安全脆弱性。并找准信息资产体现为一个业务流时所流经的网络节点,查看关键网络节点的设备安全策略是否得当,利用技术手段验证安全策略是否有效。评估专家经验在安全顾问咨询服务中处于不可替代的关键地位。通过对客户访谈、技术资料进行分析,分析设备的安全性能,而且注意把自己的实际体会纳入网络安全的检测中。
4.2 工具发现
工具发现是利用扫描器扫描设备上的缺陷,发现危险的地方和错误的配置。利用检测扫描数据库、应用程序和主机,利用已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,从而把主机、应用系统、网络设备中存在的不利于安全的因素恰切地展现出来。
4.3 渗透评估
渗透评估是为了让使用的人员能够知道网络当前存在的危险以及会产生的后果,从而进行预防。渗透评估的关键是经过辨别业务产业,搭配一定手段进行探测,判断可能存在的攻击路径,并且利用技术手段技术实现。由于渗透测试偏重于黑盒测试,因此可能对被测试目标造成不可预知的风险;此外对于性能比较敏感的测试目标,如一些实时性要求比较高的系统,由于渗透测试的某些手段可能引起网络流量的增加,因此可能会引起被测试目标的服务质量降低。由于中国电信运营商的网络规范庞大,因此在渗透测试的难度也较大。因此,渗透层次上既包括了网络层的渗透测试,也包括了系统层的渗透测试及应用层的渗透测试。合法渗透测试的一般流程为两大步骤,即预攻击探测阶段、验证攻击阶段、渗透实施阶段。不涉及安装后门、远程控制等活动。
我国信息安全要想得到保证,需要有一定的信息安全监测办法。依靠信息安全监测办法对中国业务系统和信息系统整体分析和多方面衡量,将对中国信息安全结论的量化提供强有力的帮助,给我国所做出的重要决策实行保密,对中国筹划安全信息建设以及投入,甚至包括制定安全信息决策、探究与拓宽安全技术,都至关重要。因而,制定我国信息安全检测办法,是一项不容忽视的重要工作。
【参考文献】
[1]曹一家,姚欢,黄小庆,等.基于D-S证据理论的变电站通信系统信息安全评估[J].电力自动化设备,2011,31(6):1-5.
[2]焦波,李辉,黄东,等.基于变权证据合成的信息安全评估[J].计算机工程,2012,38(21):126-128,132.
[3]张海霞,连一峰.基于测试床模拟的通用安全评估框架[J].信息网络安全,2013,(z1):13-16.
网络安全成熟度评估范文2
1美国电力行业信息安全的战略框架
为响应奥巴马政府关于加强丨Kj家能源坫础设施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美国能源部出资,能源行业控制系统工作组(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保护能源行业控制系统路线图》(RoadmaptoSecureControlSystemsintheEnergySector)的基础上,于2011年了《实现能源传输系统信息安全路线阁》。2011路线图为电力行业未来丨0年的信息安全制定了战略框架和行动计划,体现了美国加强国家电网持续安全和可靠性的承诺和努力%
路线图基于风险管理原则,明确了至2020年美国能源传输系统网络安全目标、实施策略及里程碑计划,指导行业、政府、学术界为共丨司愿景投入并协同合作。2011路线图指出:至2020年,要设计、安装、运行、维护坚韧的能源传输系统(resilientenergydeliverysystems)。美国能源彳了业的网络安全目标已从安全防护转向系统坚韧。路线图提出了实现目标的5个策略,为行业、政府、学术界指明了发展方向和工作思路。(1)建立安全文化。定期回顾和完善风险管理实践,确保建立的安全控制有效。网络安全实践成为能源行业所有相关者的习惯,,(2)评估和监测风险。实现对能源输送系统的所有架构层次、信息物理融合领域的连续安全状态监测,持续评估新的网络威胁、漏洞、风险及其应对措施。(3)制定和实施新的保施。新一代能源传输系统结构实现“深度防御”,在网络安全事件中能连续运行。(4)开展事件管理。开展网络事件的监测、补救、恢复,减少对能源传输系统的影响。开展事件后续的分析、取证以及总结,促进能源输送系统环境的改进。(5)持续安全改进。保持强大的资源保障、明确的激励机制及利益相关者密切合作,确保持续积极主动的能源传输系统安全提升。为及时跟踪2011路线图实施情况,能源行业控制系统工作组(ESCSWG)提供了ieRoadmap交互式平台。通过该平台共享各方的努力成果,掌握里程碑进展情况,使能源利益相关者为路线图的实现作一致努力。
2美国电力行业信息安全的管理结构
承担美国电力行业信息安全相关职责的主要政府机构和组织包括:国土安全部(DHS)、能源部(1)0£)、联邦能源管理委员会(FEUC)、北美电力可靠性公司(NERC)以及各州公共事业委员会(PUC)。2.1国土安全部美国国土安全部是美国联邦政府指定的基础设施信息安全领导部I'j'负责监督保护政府网络安全,为私营企业提供专业援助。2009年DHS建立了国家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),负责与联邦相关部门、各州、各行业以及国际社会共享网络威胁发展趋势,组织协调事件响应。
2.2能源部
美国能源部不直接承担电网信息安全的管理职责,而是通过指导技术研发和协助项目开发促进私营企业发展和技术进步能源部的电力传输和能源可靠性办公室(Office(>fElectricityDelivery<&EnergyReliability)承担加强国家能源基础设施的可靠性和坚韧性的职责,提供技术研究和发展的资金,推进风险管理策略和信息安全标准研发,促进威胁信息的及时共享,为电网信息安全战略性综合方案提供支撑。
能源部2012年与美国国家标准技术研究院、北美电力可靠性公司合作编制了《电力安全风险管理过程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年与国土安全部等共同协作编制完成了《电力行业信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撑电力行业的信息安全能力评估和提升;2014年资助能源行业控制系统工作组(ESCSWG)形成了《能源传输系统网络安全采购用语指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加强供应链的信息安全风险管理。
在201丨路线图的指导下,能源部启动了能源传输系统的信息安全项目,资助爱达荷国家实验室建立SCADA安全测试平台,发现并解决行业面临的关键安全漏洞和威胁;资助伊利诺伊大学等开展值得信赖的电网网络基础结构研究。
2.3联邦能源管理委员会
联邦能源管理委员会负责依法制定联邦政府职责范围内的能源监管政策并实施监管,是独立监管机构。2005年能源政策法案(EnergyPolicyActof2005)授权FERC监督包括信息安全标准在内的主干电网强制可靠性标准的实施。2007年能源独立与安全法案(EnergyIndependenceandSecurityActof2007(EISA))赋予FERC和国家标准与技术研究所(National丨nstituteofStandardsan<丨Technology,NIST)相关责任以协调智能电网指导方针和标准的编制和落实。2011年的电网网络安全法案(GridCyberSecurityAct)要求FKRC建立关键电力基础设施的信息安全标准。
2007年FERC批准由北美电力可靠性公司制定的《关键基础设施保护》(criticalinfrastructprotection,CIPW标准为北美电力可靠性标准之中的强制标准,要求各相关企业执行,旨在保护电网,预防信息系统攻击事件的发生。
2.4北美电力可靠性公司
北美电力可靠性公司是非盈利的国际电力可靠性组织。NERC在FERC的监管下,制定并强制执行包括信息安全标准在内的大电力系统可靠性标准,开展可靠性监测、分析、评估、信息共享,确保大电力系统的可靠性。
NERC了一系列的关键基础设施保护(CIP)标准181作为北美电力系统的强制性标准;与美国能源部和NIST编制了《电力行业信息安全风险管理过程指南》,提供了网络安全风险管理的指导方针。
归属NERC的电力行业协凋委员会(ESCC)是联邦政府与电力行业的主要联络者,其主要使命是促进和支持行业政策和战略的协调,以提高电力行业的可靠性和坚韧性'NERC通过其电力行业信息共享和分析中心(ES-ISAC)的态势感知、事件管理以及协调和沟通的能力,与电力企业进行及时、可靠和安全的信息共享和沟通。通过电网安全年会(GridSecCon)、简报,提供威胁应对策略、最佳实践的讨论共享和培训机会;组织电网安全演练(GridEx)检查整个行业应对物理和网络事件的响应能力,促进协调解决行业面临的突出的网络安全问题。
2.5州公共事业委员会
美国联邦政府对地方电力公司供电系统的可靠性没有直接的监管职责。各州公共事业委员会负责监管地方电力公司的信息安全,大多数州的PUC没有网络安全标准的制定职责。PUC通过监管权力,成为地方电力系统和配电系统网络安全措施的重要决策者。全国公用事业监管委员协会(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作为PUC的一■个联盟协会,也采取措施促进PUC的电力网络安全工作,呼吁PUC密切监控网络安全威胁,定期审查各自的政策和程序,以确保与适用标准、最佳实践的一致性
3美国电力行业信息安全的硏究资源
参与美国电力行业信息安全研究的机构和组织主要有商务部所属的国家标准技术研究院及其领导下的智能电网网络安全委员会、国土安全部所属的能源行业控制系统工作组,重点幵展电力行业信息安全发展路线图、框架以及标准、指南的研究。同时,能源部所属的多个国家实验室提供网络安全测试、网络威胁分析、具体防御措施指导以及新技术研究等。
3.1国家标准技术研究院(NIST)
根据2007能源独立与安全法令,美_国家标准技术研究院负责包括信息安全协议在内的智能电网协议和标准的自愿框架的研发能电网互操作标准的框架和路线图》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明确了智能电网的网络安全原则以及标准等。2011年3月,NIST了信息安全标准和指导方针系列中的旗舰文档《NISTSP800-39,信息安全风险管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意义的信息安全改进建议。2014年2月,根据13636行政令,了《提高关键基础设施网络安全框架》第一版,以帮助组织识别、评估和管理关键基础设施信息安全风险。
NIST正在开发工业控制系统(ICS)网络安全实验平台用于检测符合网络安全保护指导方针和标准的_「.业控制系统的性能,以指导工业控制系统安全策略最佳实践的实施。
3.2智能电网网络安全委员会
智能电网网络安全委员会其前身是智能电网互操作组网络安全工作组(SGIP-CSWG)ra。SGCC一直专注于智能电网安全架构、风险管理流程、安全测试和认证等研究,致力于推进智能电网网络安全的发展和标准化。
在NIST的领导下,SGCC编制并进一步修订了《智能电网信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能电网信息安全分析框架,为组织级研究、设计、研发和实施智能电网技术提供了指导性T.具。
3.3国家电力行业信息安全组织(NESC0)
能源部组建的国家电力行业信息安全组织(NationalElectricSectorCybersecurityOrganization,NESCO),集结了美国国内外致力于电力行业网络安全的专家、开发商以及用户,致力于网络威胁的数据分析和取证工作⑴。美国电力科学研究院(EPRI)作为NESC0成员之一提供研究和分析资源,开展信息安全要求、标准和结果的评估和分析。NESCO与能源部、联邦政府其他机构等共同合作补充和完善了2011路线图的关键里程碑和目标。
3.4能源行业控制系统工作组(ESCSWG)
隶属国土安全部的能源行业控制系统工作组由能源领域安全专家组成,在关键基础设施合作咨询委员会框架下运作。在能源部的资助下,ESCSWG编制了《实现能源传输系统信息安全路线图》、《能源传输系统网络安全釆购用语指南》。3.5能源部所属的国家实验室
3.5.1爱达荷国家实验室(INL)
爱达荷W家实验室成立于1949年,是为美国能源部在能源研究、国家防御等方面提供支撑的应用工程实验室。近十年来,INL与电力行业合作,加强了电网可靠性、控制系统安全研究。
在美国能源部的资助下,INL建立了包含美国国内和国际上多种控制系统的SCADA安全测试平台以及无线测试平台等资源,目的对SCADA进行全面、彻底的评估,识別控制系统脆弱点,并提供脆弱点的消减方法113】。通过能源部的能源传输系统信息安全项目,INL提出了采用数据压缩技术检测恶意流量对SCADA实时网络保护的方法hi。为支持美国国土安全部控制系统安全项目,INL开发并实施了培训课程以增强控制系统专家的安全意识和防御能力。1NL的相关研究报告有《SCADA网络安全评估方法》、《控制系统十大漏洞及其补救措施》、《控制系统网络安全:深度防御战略》、《控制系统评估中常见网络安全漏洞》%、《能源传输控制系统漏洞分析>严|等。
3.5.2太平洋西北国家实验室(PNNL)
太平洋西北国家实验室是美国能源部所属的阔家综合性实验室,研究解决美国在能源、环境和国家安全等方面最紧迫的问题。
PNNL提出的安全SCADA通信协议(secureserialcommunicationsprotocol,SSCP)的概念,有助于实现远程访问设备与控制中心之间的安全通信。的相关研究报告有《工业控制和SCADA的安全数据传输指南》等。PNNL目前正在开展仿生技术提高能源领域网络安全的研究项。
3.5.3桑迪亚国家实验室(SNL)
网络安全成熟度评估范文3
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、IP、AAA、DNS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
图一信息安全风险管理模型
既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
图二信息安全体系的“PDCA”管理模型
2建立信息安全管理体系的主要步骤
如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:
(1)确定ISMS的范畴和安全边界
(2)在范畴内定义信息安全策略、方针和指南
(3)对范畴内的相关信息和信息系统进行风险评估
a)Planning(规划)
b)InformationGathering(信息搜集)
c)RiskAnalysis(风险分析)
uAssetsIdentification&valuation(资产鉴别与资产评估)
uThreatAnalysis(威胁分析)
uVulnerabilityAnalysis(弱点分析)
u资产/威胁/弱点的映射表
uImpact&LikelihoodAssessment(影响和可能性评估)
uRiskResultAnalysis(风险结果分析)
d)Identifying&SelectingSafeguards(鉴别和选择防护措施)
e)Monitoring&Implementation(监控和实施)
f)Effectestimation(效果检查与评估)
(4)实施和运营初步的ISMS体系
(5)对ISMS运营的过程和效果进行监控
(6)在运营中对ISMS进行不断优化
3IP宽带网络安全风险管理主要实践步骤
目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4IP宽带网络安全风险管理实践要点分析
运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)IP宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)AAA平台系统结构和配置
e)DNS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。
网络安全成熟度评估范文4
关键词:SaaS应用模式;中小企业;风险因素;管控策略;顾客信任模型
中图分类号:F276・3;F069・9 文献标识码:A文章编号:1006-4311(2009)12-0125-04
0引言
(1)SaaS应用服务在中国的现状。
近年来,随着中国中小企业对信息化建设及企业发展需求的重视程度越来越高,中小企业的SaaS应用逐步得到认同。中国软件产业也正经历着向SaaS应用模式的转变,并形成了具有自己特色的生态系统:传统应用软件厂商开始建立B2B电子商务社区,并将自己的传统应用与SaaS服务捆绑在一起,比如阿里巴巴等;拥有大量中小企业客户群的互联网企业,开始在充当SaaS零售商的同时,并开始自主开发和运营SaaS应用软件,比如铭万软件、八百客等企业。据计世资讯(CCW Research)的研究表明[1],2008年中国SaaS软件运营服务市场规模达到198.4亿元,较2006、2007年有明显增幅。
(2)本文研究目的及意义。
本文旨在通过对SaaS应用模式下风险管控策略以及顾客信任的研究,以此来提高SaaS应用模式运营的科学性,这对中小企业利用SaaS应用模式降低成本、提高营运效率、提高竞争力有重要意义。
1SaaS应用模式理论概述
近年来,随着SaaS应用模式的发展,作为一个新兴的产业,学者们开始逐步关注SaaS应用模式的研究,主要包括SaaS应用模式的概念、划分、构架实现以及成熟度模型分析。
1.1 SaaS的概念介绍
多数学者认为,SaaS是Software-as-a-Service(软件即服务)的简称[2],是一种通过 Internet 提供软件服务的模式。在这一模式下,软件使用者不需要购置额外的硬件设备、软件许可证,也不需要安装和维护软件系统,它以软件租用、在线使用方式提供软件服务,通过互联网,在任何时间、任何地点都可以轻松使用软件并按照使用量定期支付使用费,具备“软件部署为托管服务,通过互联网存取”的特质,它将改变人们构建、销售、购买以及使用软件的方式。
1.2 SaaS应用模式的划分
SaaS应用模式按照不同的角度有不同的划分,总结如下:
①中国 SaaS 应用服务按照企业产品特点及应用模式可以划分为[3]:
第一,应用软件运营服务:在线杀毒(瑞星)、在线翻译(Google)、网络会议(Webex)、即时通讯(QQ)等。
第二,WEB商业运营服务:企业建站(万网)、在线 B to B(阿里巴巴)、在线C to C(淘宝网)、在线B to C(当当网、卓越)等。
第三,管理软件运营服务:在线 CRM(Salesforce、阿里软件)、在线 ERP(金算盘)、在线 HR(铭万、八百客)、在线会计服务(金蝶友商、用友)等。
②按照不同的服务对象可以划分为:
第一,面向企业的服务(Line-of-business service),是指向各种规模的企业或组织提供的服务。这种服务模式通常是可定制的大型商务解决方案,旨在协助开展财务、供应链管理以及CRM等商务工作。这种服务模式通常采用用户定制的销售方式。
第二,面向个人消费者的服务(Consumer-oriented service),是指向公众提供的一类服务。这种服务模式可以以用户购买的方式销售,不过通常是免费提供给用户使用,供应商从广告中赚取收入。
1.3 SaaS应用模式的实现
本文所指的SaaS主要是在线管理软件服务,必须与非管理类在线软件进行区分。这时,SaaS表现为向客户提供托管式服务,并以按月、按时、按使用客户端数及定制化在线服务收费模式。实现了多赢的状态,如图1所示,它的实现可以分为三层[4]:
第一,表现层:SaaS是一种业务服务模式,用户基于WEB软件,可以通过租用的方式远程使用软件,解决了用户使用软件必须购买软件许可证的问题,同时解决了软件投资和维护问题;从用户角度来讲,SaaS是一种软件定制付费模式。
第二,接口层:SaaS必须是统一的接口方式,方便用户和其他应用在远程通过标准接口调用软件模块,实现业务组合。
第三,应用实现层:SaaS更多体现的是一种软件能力,软件设计必须强调配置能力和可扩展性,使得多个用户可以同时使用一套软件,实现资源共享。
1.4 SaaS应用模式的成熟度模型
由上一节的分析可知,一个成熟的SaaS系统架构,离不开三个基本要素:可扩展(Scalable)、高效的多用户支持(Multi-Tenant-Efficient)和可配置性(Configurable)。可扩展意味着最大程度的提高系统并发性,更有效的使用系统资源;高效的多客户支持可以使众多企业或组织在共享资源的同时,能够严格的分离开各自的数据;可配置性则能够保证客户使用元数据来为其终端用户配置系统的界面以及相关的交互行为时,简单且易于为客户所直接理解并使用,无需考虑付出任何额外的开发和维护成本。
并不是每一个SaaS系统都具备上述三个要素,按照目前业界的标准,基于SaaS应用模式的系统设计可以按照其成熟度分为以下四种[5],如图2所示。
2SaaS应用模式下的风险管控分析
2.1 SaaS应用模式下的风险因素
随着对SaaS应用模式理论研究的深入,SaaS应用模式服务特点、构架实现以及成熟度模型中潜在的风险问题逐渐显现。中小企业在选择SaaS服务时也更加慎重,系统数据安全性如何保障、不熟悉的服务协议、新的价格体系、客户服务的定制化与整合难度、SaaS系统的稳定度等因素,使得企业在选择SaaS服务时面临着巨大的风险。笔者认为这些风险因素主要包括下几类:
①系统数据安全风险。
据Gartner公司调查,307家美国中小企业中,有45%表示他们不放心把数据交给诸如SaaS供应商的第三方,只有7%的中小企业SaaS供应商的第三方充满信心[6]。
作为基于Web的在线应用,系统数据的安全性毋庸置疑,数据是一个软件企业销售部门的核心机密,将这些至关重要的核心数据放在第三方的服务器上,数据的安全性是重中之重。像用友、金蝶这样的以做财务管理软件为生的企业,为客户提供SaaS服务时,如果用户在使用过程中企业内部的财务数据被恶意篡改或发生泄漏,势必会给用户带来损失。可以说,系统安全性已经在相当程度上制约了软件SaaS模式的发展和推广。
②新价格体系的风险。
SaaS按照使用客户端数及定制化在线服务进行付费,是用多少付多少,付款方式也十分灵活,可以按年支付,也可以按月支付,这打破了传统的客户必须购买软件许可证的模式。但是,一方面对于按模块收费和按时收费等收费方式,业界并没有一个明确的定价标准,更多的是SaaS软件提供商们自己做出的定价标准;另一方面,对于用户而言,由于在SaaS服务模式下,软件供应商负责软件的维护、升级等工作,在某种程度上可能为其节省部分运营成本,但随着实施应用的逐步深入,用户投入的成本可能会越来越高,以大中型管理软件尤为明显。
③服务商及供应商信誉风险。
对于服务商而言,SaaS服务模式下主要以服务企业为主,如果出现服务商盗取用户资料、买卖用户信息的情况,对于用户的的打击可能是毁灭性的。像招商银行、建设银行等各大银行的网上银行服务,正是因为服务商的高质量信誉,才得以被用户认可。对于供应商而言,软件服务的质量、升级等因素会影响用户业务的发展,供应商在可扩展性较强的SaaS服务模式下,通过专业化和规模经济降低提供软件服务成本的同时,靠大数量的用户提高自己的经济效益,客户基础的形成与供应商的信誉是相辅相成的,这源于供应商高质量的软件服务,可以说其成功离不开用户的信任。
④定制化与实施难度风险。
供应商要提供一套与用户实际需求完全吻合的SaaS软件,需要进行大量的前期准备工作,对用户的需求进行综合分析,面对不同需求用户的个性化服务。SaaS不同于传统的按需定制软件,它要能够满足不同用户,不同地域和不同的业务规则,所以对服务的适应性、扩展性以及灵活性要求非常高,在技术上也有更高的要求。因此,SaaS软件定制化服务的实现程度是个疑问。
很显然,SaaS软件的在线应用、托管服务等特点,使得用户比在传统服务模式下承受的风险更大,SaaS应用模式下的风险管控问题亟待解决,建立新的安全风险管控策略势在必行。
2.2 SaaS应用模式风险管控策略
由于SaaS应用模式下存在的多种风险,为加强SaaS应用模式抵抗风险的能力,提高SaaS应用模式的营运效率,对风险的管控策略被提上日程,笔者认为目前可从以下几个方面加强SaaS应用模式的管控。
第一,建立多层的系统安全防护体系。
可以通过数字签名、防火墙、密钥、反病毒、数据库安全等技术与SaaS应用模式的结合,保证系统的稳定性和数据的安全性。此外,可以利用多级权限控制机制,以达到用户级控制、数据库级控制和网络系统级控制相结合的目的;可以建立多层备份机制,分层次地采用服务器双机热备份、RAID镜像技术、财务及管理软件系统自动备份等多种保护方式。
第二,重视对提供商和服务商声誉的评估。
建立一套严格的声誉评估体系,还可以成立一个相应的机构来评估SaaS服务提供商和服务商,为SaaS的建设提供咨询和评估。SaaS应用模式提供商评估内容可以包括:业务能力、营运能力、服务质量、顾客关注、品牌个性、正直、仁爱等因素;SaaS应用模式服务商评估内容可以包括:网络安全的维护能力、易操作性、知名度、正直等因素。
第三,建立第三方监理制度。
通过建立第三方监理制度,规范SaaS应用模式的建设绩效,我们同样也应该利用第三方监理这种社会化、科学化、公平化和专业化的监督机制确保项目按质、按期完成,更合理更有效地保障SaaS应用模式的成功。
除此之外,企业还可能遭遇诸如咨信保护风险、交易完险以及无形资产难于计价等风险,为降低此类风险,用户可以通过建立信任模型,进一步完善SaaS模式下的风险管控策略。
3SaaS应用模式下的顾客信任模型分析
为了完善SaaS应用模式下的风险管控策略,进一步降低用户风险,作者提出了SaaS模式下的顾客信任模型。如图4所示。
该模型把信任模型的建立归纳为五种因素:驱动因素、系统因素、信任因素、行为因素和历史因素,具体分析如下。
第一,用户根据服务商与供应商声誉认知、定制化与实施难度认知、系统风险认知、情感认知等驱动因素,以及网络安全等系统因素,对供应商和服务商进行综合评价,由此形成用户对供应商和服务商的能力信任和信任意愿等信任因素的感知。
第二,用户通过对供应商和服务商信任因素,以及系统风险感知等系统因素的分析,作出相关的行为判断,比如:听从服务商和供应商的建议及定制所需求的软件服务等。
第三,用户最后的行为判断作为下一次交易的历史经验保存下来,并最终影响到下一次交易过程中的某些因素。比如,作为历史记录的交易经验会影响到下一次交易中用户的主观判断,即情感认知,同样会影响对服务商与供应商的信任意愿和能力信任等信任因素。
通过这样一个动态过程,交易者能获得较准确的判断,从而维护一个可信的交易环境。
4结束语
SaaS应用模式是一种新的服务模式。通过对SaaS应用模式下风险管控策略和顾客信任模型的分析,可以帮助中小企业在选择SaaS应用服务时提供借鉴。当然,要想使SaaS应用服务得到更多企业的认可,还需要完善其服务体系,比如,进一步修正顾客信任模型,在服务合同中加强对服务水平协议(SLA)的管理,政府部门加强监管和引导作用,从而更好的满足用户的需求,促进中小企业的发展,帮助其走出金融危机下的困境。
参考文献:
[1].cn 计世资讯。
[2]张水坤:《SaaS模式的设计与研究》[J];《科技创业》2007(11):118。
[3]中国中小企业SAAS管理软件行业发展报告[R];艾瑞咨询集团,2008:17-18。
[4]孙志勇:《什么是SaaS?》[J];《信息系统工程》2006(10):26-28。
[5]赵进:《SaaS成熟度模型浅析》[J];《程序员》2008(8):53-54。
网络安全成熟度评估范文5
关键词:电子政务网;信息安全评估;研究综述
一、研究的意义
伴随着计算机通信技术的广泛应用,信息化时代迅速到来。社会信息化给政府事务管理提出了新的要求,行政管理的现代化迫在眉睫。电子政务在发达国家取得长足进展,为了提高政府的行政效能和行政管理水平,我国正在加快对电子政务网的建设。在新的时代条件下,开放和互联的发展带来信息流动的极大便利,同时,也带来了新的问题和挑战。电子政务系统上所承载的信息的特殊性,在网络开放的条件下,尤其是公共部门电子政务信息与资产,如果受到不法攻击、利用,则有可能给国家带来损失,也可能危及政府、企业和居民的安全。作为政府信息化工作的基本手段,电子政务网在稳定性、安全性方面,比普通信息网要求更高。对信息安全风险进行评估,是确定与衡量电子政务安全的重要方式。研究确定科学的安全风险评估标准和评估方法及模型,不仅有助于维护政府信息安全,也有助于防止现实与潜在的风险。
二、国内外研究状况
当前,国内外尚未形成系统化的电子政务网络信息安全的评估体系与方法。目前主要有风险分析、系统安全工程能力成熟度模型、安全测评和安全审计等四类。
(一)国外研究现状。在风险评估标准方面,1993年,美、英、德等国国家标准技术研究所与各国国家安全局制定并签署了《信息技术安全通用评估准则》。1997年形成了信息安全通用准则2.0版,1999年形成了CC2.1版,并被当作国际标准(150/IEC15408)。CC分为EALI到EAL7共7个评估等级,对相关领域的研究与应用影响深远。之后,风险评估和管理被国际标准组织高度重视,作为防止安全风险的手段,他们更加关注信息安全管理和技术措施,并体现在相继于1996年和2000年的《信息技术安全管理指南》(150/IECTR13335标准)和《信息技术信息安全管理实用规则》(150/IEC177799)中。与此同时,全球在信息技术应用和研究方面较为发达的国家也纷纷研发符合本国实际的风险管理标准。如美国国家标准与技术局自1990年以来,制定了十几个相关的风险管理标准。进入二十一世纪初,美国又制定了《IT系统风险管理指南》,细致入微地提出风险处理的步骤和方法。2002年与2003年,美国防部相继公布了《信息(安全)保障》指示(8500•l)及更加完备的《信息(安全)保障实现))指令(5500•2),为国家防务系统的安全评估提供了标准和依据。随着信息安全标准的广泛实施,风险评估服务市场应运而生。继政府、社会研究机构之后,市场敏锐的产业界也投入资金出台适应市场需求风险评估评估体系和标准。例如美国卡内基•梅隆大学的OCTAVE方法等。在风险评估方法方面,目前许多国内外的学者运用神经网络、灰色理论、层次分析法、贝叶斯网络、模糊数学、决策树法等多种方法,系统研究并制定与开发了不同类型、不同用途的风险评估模型,这些模型与方法虽然具备一定的科学依据,在不用范围和层面的应用中取得一定成果,但也存在不同程度的不足,比如计算复杂,成本高,难以广泛推广。
(二)国内相关研究现状。我国的研究较之国外起步稍晚,尽管信息化浪潮对各国的挑战程度不同,但都深受影响。20世纪90年代末,我国信息安全标准和风险评估模型的研究已广泛开展。但在电子政务网上的应用却是近几年才开始引发政府、公众及研究机构的关注。任何国家政府都十分重视对信息安全保障体系的宏观管理。但政府依托什么来宏观控制和管理呢?实际上就是信息安全标准。所以在股价战略层面看,用哪个国家的标准,就会带动那个国家的相关产业,关系到该国的经济发展利益。标准的竞争、争夺、保护,也就成为各国信息技术战场的重要领域。但要建立国内通行、国际认可的技术标准,却是一项艰巨而长期的任务。我国从20世纪80年代开始,就组织力量学习、吸收国际标准,并逐步转化了一批国际信息安全基础技术标准,为国家安全技术工作的发展作出了重要贡献。信息安全技术标准的具体研究应用,首先从最直接的公共安全领域开始的。公安部首先根据实际需要组织制定和颁布了信息安全标准。1999年颁布了《计算机信息系统安全保护等级划分准则》(GB17859一1999);2001年援引CC的GB/T18336一2001,作为我国安全产品测评的标准;在此基础上,2003年完成了《风险评估规范第1部分:安全风险评估程序》、《风险评估规范第2部分:安全风险评估操作指南》。同时,公安部以上述国家标准为依据,开展安全产品功能测评工作,以及安全产品的性能评测、安全性评测。在公安部的带动下,我国政府科研计划和各个行业的科技项目中,都列出一些风险评估研究项目,带动行业技术人员和各部门研究人员加入研究行列,并取得一些成果。这些成果又为风险评估标准的制定提供了丰富的材料和实践的依据。同时,国家测评认证机构也扩展自己的工作范围,开展信息系统的安全评测业务。2002年4月15日,全国信息安全标准化技术委员会正式成立。为进一步推进工作,尽快启动一批信息安全关键性标准的研究工作,委员会制定了《全国信息安全标准化技术委员会工作组章程(草案)》,并先后成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)等10个工作组。经过我国各部门和行业的长期研究和实践,积累了大量的成果和经验,在现实需求下,制定我国自己的风险评估国家标准的条件初步成熟。2004年,国信办启动了我国风险评估国家标准的制定工作。该项工作由信息安全风险评估课题组牵头制定工作计划,将我国风险评估国家标准系列分为三个标准,即《信息安全风险管理指南》、《信息安全风险评估指南》和《信息安全风险评估框架》。每个标准的内容和规定各不相同,共同组成国家标准系列。《信息安全风险管理指南》主要规定了风险管理的基本内容和主要过程,其中对本单位管理层的职责予以特别明确,管理层有权根据本单位风险评估和风险处理的结果,判断信息系统是否运行。《信息安全风险评估指南》规定,风险评估包括的特定技术性内容、评估方法和风险判断准则,适用于信息系统的使用单位进行自我风险评估及机构的评估。《信息安全风险评估框架》则规定,风险评估本身特定的概念与流程。
三、研究的难点及趋势
电子政务网的用户与管理层不一定具备计算机专业的技能与知识,其操作行为与管理方式可能造成安全漏洞,容易构成网络安全风险问题。目前存在的风险评估体系难以适应电子政务安全运行的基本要求,因此结合电子政务网性需求,需要设计一种由内部提出的相应的评估方法和评估准则,制定风险评估模型。当前存在的难点主要有:一是如何建立风险评估模型体系来解决风险评估中因素众多,关系错综复杂,主观性强等诸多问题,是当前电子政务网络信息安全评估研究的重点和难点。二是评估工作存在评估误差,也是目前研究的难点和不足之处。误差的不可避免性,以及其出现的随机性和不确定性,使得风险评估中风险要素的确定更加复杂,评估本身就具有了不确定性。从未来研究趋势看,一是要不断改进风险评估方法和风险评估模型。有研究者认为,要充分借鉴和利用模糊数学的方法,建立OCTAVE电子政务系统风险评估模型。它可以有效顾及评估中的各项因素,较为简易地获得评估结果,并消除其中存在的主观偏差。二是由静态风险评估转向动态风险评估。动态的风险评估能够对电子政务信息安全评估进行较为准确的判断,同时可以及时制止风险进一步发生。在动态模型运用中,研究者主要提出了基于主成分的BP人工神经网络算法,通过对人工神经网络算法的进一步改进,实现定性与定量的有效结合。
作者:郭玮 单位:西安邮电大学
参考文献:
[1]陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011,8:94~98
[2]雷战波,胡安阳.电子政务信息安全风险评估方法研究[J].中国信息界,2010,6
[3]余洋.电子政务系统风险评估模型设计与研究[D].成都理工大学,2008
[4]周伟良,朱方洲,电子政务系统安全风险评估研究[J].电子政务,2007,29:67~68
[5]赵磊.电子政务网络风险评估与安全控制[D].上海交通大学,2011
[6].自动安全评估系统的分析与设计[D].北京邮电大学,2011
网络安全成熟度评估范文6
如果有人问,2006年底至2007年初在网络上最流行的词语是什么,绝大多数人都会认为是“熊猫烧香”,一个在网络上任意肆虐的幽灵,短短几个月时间,使我国上百万企业、网吧、局域网用户遭受感染和破坏。
在刚刚的《金山公司中国互联网2006年度安全报告》中,“熊猫烧香”被评为2006年年末最疯狂2大病毒之一,而《瑞星公司中国互联网2006年度安全报告》中则把“熊猫烧香”评为2006年毒王。
“熊猫烧香”本身是一个传染型的DownLoad,使用Delphi编写,从技术上来说并没有什么创新之处,却借鉴很多经典病毒、木马甚至是流氓软件的技术特点,综合成了一个拥有可爱的图标却让人闻之色变的病毒。单技术下的病毒杀毒软件都能应付,但各种毒素综合到一起这只“熊猫”反过来让众多杀毒软件成了它“烧香”时的祭品。它的运行原理并不复杂,无非是“复制文件到系统目录和根目录”、“添加注册表启动项”、“利用微软自动播放功能运行”、“针对计算机本身攻击弱口令”、“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不“最新先进”的技术。就是这些“不算最新”的技术却在全国上下揭起了一股“烧香”热潮... ...
将自己的黑客技术用在非法牟利上,使李俊踏出犯罪的第一步,尝到甜头以后,李俊越陷越深,最终面对雪亮的镣铐,低下了自己悔恨的头……
李俊编出“熊猫烧香”病毒,目的是为了出售木马病毒软件给盗取网络游戏账户装备和QQ密码盗卖者而获利。李俊先后在网上以每个病毒500元至1000元的价格出售病毒近20套,在与合伙人张顺接洽上以后,由李俊负责制作,张顺负责销售、形成了黑色的产业链,在短短一个多月的时间就牟利15万元,一位反病毒专家介绍,李俊一年出售病毒收益可以买一座别墅。
据北京德恒律师事务所的律师郑中涛介绍:我们国家关于计算机系统犯罪的刑罚还很轻,有严重后果的处以5年以下有期徒刑,特别严重是5年以上,上面没有限制,一般情况下是作为有期徒刑来限制的(有期徒刑最高15年)。对这个熊猫烧香病毒的制造者并不排除有数罪并罚的情况,不仅仅是破坏计算机安全的信息系统罪,可能会涉及到其他的犯罪。因为其中有一个网络的虚拟财产的盗窃问题,大多数的学者认为应该按照盗窃罪来处罚。我国刑法规定利用计算机盗窃适用相关的规定。
郑律师认为,应该会对李俊判处有期徒刑5年以上的刑罚。因为制作传播计算机病毒和其它破坏程序,影响了网络的正常运行,我国在97年的时候就已经写入到法律里了,这种情况应该有一个严厉的处罚。
很多人早已习惯生活工作中对网络的依赖,突如其来的事件使网络呈现出它的脆弱、甚至不堪一击。一直被人忽略的信息安全话题浮出水面,成为焦点。
病毒肆虐,给中国的电脑用户敲响了信息安全的警钟。尤其是对微软Windows操作系统及IE浏览器的过度依赖,让病毒和有害程序有了扩散爆发的温床。反病毒专家曾警告:由于多家著名网站遭到攻击,相继被植入病毒,所有上网浏览的用户都可能受害。由于这些网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构超过千家,其中不乏金融、税务、能源等敏感单位。
微软应该对最近国内用户不能及时更新安全补丁负上主要责任。且不论Windows操作系统的漏洞,对于一个拥有十几亿人口的国家,正版软件消费金额巨大的市场,中国用户的安全更新的合法权益,却被一场外海的地震震得一点保障都没有。(2006年12月26日20时26分和34分,台湾屏东地区连续发生两次七级左右的强烈地震及多次余震,致使中国网通所有途经台湾南部海域和香港周边海域的国际海缆不同程度的发生阻断。直到2007年11月29日下午才得以完全修复。)绝大多数购买了品牌电脑的用户,也同时购买了正版的WindowsXP/Vista。
随着病毒技术的发展,U盘、电子邮件、甚至MP3和音乐手机都可能成为新型病毒携带者。此次“熊猫烧香”的泛滥只暴露出网络安全问题危机的冰山一角。也许有人还记得当年CIH病毒爆发时,电脑城内排队修理电脑的景象。
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到如今网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把大把的预算也都投入到安全产品的采购上。但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的。
“三分技术,七分管理”,实践经验和原则在信息安全领域也同样适用。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,管理已成为信息安全保障能力的重要基础。
网络信息安全建设,任重而道远!没有一个安全的网络环境,操作者就会处于随时有可能崩溃的网络环境下,如同头上悬着一把达克摩斯之剑,没有任何安全感可言。
自国务院信息办成立网络与信息安全领导小组以来,先后采取了一系列相应的措施保护网络安全。
初步建成了国家信息安全组织保障体系。早在2003年7月,国务院信息化领导小组第三次会议专题讨论并通过了《关于加强信息安全保障工作的意见》。 同年9月,中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(2003[27]号文件)。27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针。
制定和引进了一批重要的信息安全管理标准。为了更好地推进我国信息安全管理工作,公安部主持制定、国家质量技术监督局的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》,并引进了国际上著名的《ISO 17799:2000:信息安全管理实施准则》、《BS 7799-2:2002:信息安全管理体系实施规范》、《ISO/IEC 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则 》、《SSE-CMM:系统安全工程能力成熟度模型》等信息安全管理标准。信息安全标准化委会设置了10个工作组,其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。
制定了一系列必须的信息安全管理的法律法规。例如:《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等。
信息安全风险评估工作已经得到重视和开展;国信办信息安全风险评估课题组早已启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动通信公司于本世纪初就已完成了的信息安全风险评估试点工作,国家其它关键行业或系统(如电力、电信、银行等)也陆续开展或在近期已完成了这方面的工作。
虽然国家已经做了很多工作在信息安全建设上,但是还存在不少问题需要解决,通过这次“熊猫烧香”的发作,也可以看出信息安全现状仍存在着管理混乱、监督力度不够、实施手段不足、相关法律成文尚不严谨等问题。“熊猫烧香”刚出现的时候没有很好的抑制,几个月时间都没有能够很好的防范住病毒的扩散,并且在对待病毒变种进化中所采取的对策手段仍需要加以改进。
令我们高兴的是,在病毒发作以后,国家相关部门积极主动的手段。“熊猫烧香”于2006年10月16日编写,120天之后警方破案,网监的表现可以称之比较完美。
国家计算机病毒应急处理中心张主任对这次案件的破获和最新信息安全发展进程进行了介绍。
这起案件破获是公安部的领导下由国家计算机病毒应急处理中心建立的病毒防空预警体系成果。这些年中心一直致力于整个国家病毒预警体系的建设。是国家计算机病毒应急处理中心把所有的防病毒厂家有效的组织起来,形成国家病毒应急小组,发现新的病毒之后厂家会上报,包括病毒样本和报告。中心首先发现病毒也会通过这个渠道通知给所有防病毒的厂家,这样就会加快中心对病毒的快速反映和处置能力。
这个作用在整个案件里已经发挥了系统作用,厂家通过日常的监测从去年11月就发现了“熊猫烧香”病毒,通过中心对病毒的监测分析。一方面是要拿出应急的处置方案包括防病毒软件的升级,让用户免受损失,同时技术的角度详细分析,发现了一些和制造者有关的线索,根据这些线索进一步的监测,逐步的把嫌疑人圈定在一定的范围内。
