前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)范文第1篇

關(guān)鍵詞 云安全模型 信息系統(tǒng) 保護(hù)測(cè)評(píng)

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A

文中以云安全服務(wù)模型為研究依據(jù)，從云計(jì)算信息系統(tǒng)的安全特性入手，提出建立云安全服務(wù)模型及管理中心，介紹了云安全等級(jí)保護(hù)模型的建立情況。

1簡(jiǎn)述云計(jì)算信息系統(tǒng)安全特性

以傳統(tǒng)的互聯(lián)網(wǎng)信息系統(tǒng)相比較，云計(jì)算信息系統(tǒng)把全部數(shù)據(jù)的處理與存儲(chǔ)都放在服務(wù)端，終端用戶根據(jù)網(wǎng)絡(luò)可以及時(shí)獲取需要的信息和服務(wù)，沒有必須在本地配置的情況下進(jìn)行數(shù)據(jù)的處理和存儲(chǔ)。根據(jù)網(wǎng)絡(luò)中所設(shè)置的網(wǎng)絡(luò)安全防護(hù)設(shè)施，可以在服務(wù)端設(shè)置統(tǒng)一的身份兼?zhèn)渑c安全審計(jì)系統(tǒng)，確保多數(shù)系統(tǒng)出現(xiàn)的安全問題得到有效解決，但此時(shí)新的設(shè)計(jì)服務(wù)模式又會(huì)帶來(lái)新的安全問題，例如：濫用云計(jì)算、不安全的服務(wù)接口、數(shù)據(jù)泄露、安全管理等多個(gè)方面的問題。

2建立云安全服務(wù)模型及管理中心

現(xiàn)實(shí)中的不同云產(chǎn)品，在部署模型、資源位置、服務(wù)模型等各個(gè)方面都展現(xiàn)出不一樣的形態(tài)和模式，進(jìn)而形成各不相同的安全風(fēng)險(xiǎn)特征及安全控制范圍。所以，必須從安全控制的角度創(chuàng)建云計(jì)算的模型，對(duì)各個(gè)屬性組合的云服務(wù)架構(gòu)進(jìn)行描述，從而確保云服務(wù)架構(gòu)到安全架構(gòu)的合理映射，為設(shè)備的安全控制和風(fēng)險(xiǎn)識(shí)別提供有效依據(jù)。建立的云安全服務(wù)模型如圖1所示。

3云安全模型的信息安全等級(jí)測(cè)評(píng)辦法

云安全信息安全保護(hù)測(cè)評(píng)的辦法就是根據(jù)云安全服務(wù)模型與云安全中心模型，考察用戶在云安全方面的不同需求，安全模型處在安全等級(jí)保護(hù)體系下的不同位置。安全模型一端連接著等級(jí)保護(hù)技術(shù)，另一端連接著等級(jí)保護(hù)管理的要求。根據(jù)云安全信息中心的建模情況，對(duì)云安全模型下的核心基礎(chǔ)、支撐安全展開分析，獲取企業(yè)在云安全領(lǐng)域的信息安全等級(jí)測(cè)評(píng)模型，依照模型開展下一步的測(cè)評(píng)工作。

3.1分析等級(jí)測(cè)評(píng)云安全模型下的控制項(xiàng)

根據(jù)上述分析情況，可以把云安全模型嵌套在云安全等級(jí)保護(hù)模式中，從而展開與云安全有關(guān)的信息安全等級(jí)評(píng)價(jià)，并對(duì)安全模型下的有關(guān)控制項(xiàng)展開分析。首先察看云認(rèn)證及授權(quán)情況，對(duì)是否存在登陸認(rèn)證、程序授權(quán)、敏感文件授權(quán)等進(jìn)行測(cè)評(píng)。依照不同的訪問控制模型，選擇訪問控制的目標(biāo)是強(qiáng)制性訪問、自主性訪問、角色型訪問，進(jìn)而采取與之相對(duì)應(yīng)的方法。為了確保網(wǎng)絡(luò)訪問資源可以有效的控制和分配，需要?jiǎng)?chuàng)建統(tǒng)一、可靠的執(zhí)行辦法和解決策略。自由具備統(tǒng)一、可靠地方式才可以保障安全策略達(dá)到自動(dòng)執(zhí)行的目的。測(cè)試網(wǎng)絡(luò)數(shù)據(jù)的加密情況，要對(duì)標(biāo)準(zhǔn)的加密功能及服務(wù)類型，做到靜態(tài)和動(dòng)態(tài)的安全保護(hù)。探測(cè)數(shù)據(jù)的備份與恢復(fù)情況，就必須查看云備份是否安全、數(shù)據(jù)銷毀情況、磁帶是否加密及密碼鑰匙的管理，檢查的重點(diǎn)是供應(yīng)商的數(shù)據(jù)備份情況。查看對(duì)管理用戶的身份是否可以控制管理，是否可以管理用戶角色的訪問內(nèi)容。查看用戶的安全服務(wù)及審計(jì)日志，其中包括網(wǎng)絡(luò)設(shè)備的監(jiān)控管理、主機(jī)的維護(hù)、告警管理與維護(hù)等。

3.2分析等級(jí)測(cè)評(píng)云安全模型的風(fēng)險(xiǎn)性

依照等級(jí)保護(hù)的有關(guān)要求，運(yùn)用風(fēng)險(xiǎn)分析的辦法，對(duì)信息系統(tǒng)展開分析時(shí)必須重視下面的內(nèi)容。

（1）云身份認(rèn)證、授權(quán)及訪問控制

云安全對(duì)于選擇用戶身份的認(rèn)證、授權(quán)和訪問控制尤為重要，但它所發(fā)揮的實(shí)際效果必須依賴具體的實(shí)施情況。

（2）設(shè)置云安全邊界

云安全內(nèi)部的網(wǎng)絡(luò)設(shè)備運(yùn)用防火墻這系列的措施展開安全防護(hù)。但外部的云用戶只能運(yùn)用虛擬技術(shù)，該技術(shù)自身攜帶安全風(fēng)險(xiǎn)，所以必須對(duì)其設(shè)置高效的安全隔離。

（3）云安全儲(chǔ)存及數(shù)據(jù)信息備份

一般情況下，云供應(yīng)商采用數(shù)據(jù)備份的方式是最為安全的保護(hù)模式，即使供應(yīng)商進(jìn)行數(shù)據(jù)備份更加安全，仍然會(huì)發(fā)生數(shù)據(jù)丟失的情況。所以，如果有條件的，公司應(yīng)該采用云技術(shù)共享的所有數(shù)據(jù)進(jìn)行備份，或在保留數(shù)據(jù)發(fā)生徹底丟失事件時(shí)提出訴訟，從而獲取有效的賠償。云計(jì)算中一直存在因數(shù)據(jù)的交互放大而導(dǎo)致數(shù)據(jù)丟失或泄露的情況。如果出現(xiàn)安全時(shí)間，導(dǎo)致用戶數(shù)據(jù)丟失，系統(tǒng)應(yīng)該快速把發(fā)生的安全時(shí)間通報(bào)給用戶，防止出現(xiàn)大的損失。

4結(jié)束語(yǔ)

綜上所述，隨著云計(jì)算技術(shù)的發(fā)展，云計(jì)算信息系統(tǒng)會(huì)成為日后信息化建設(shè)的重要組成部分。文中從云安全等級(jí)保護(hù)測(cè)試為研究依據(jù)，簡(jiǎn)述了云計(jì)算信息系統(tǒng)安全特性，對(duì)云安全服務(wù)模型及管理中心的建立情況進(jìn)行分析，提出云安全模型的信息安全等級(jí)測(cè)評(píng)辦法。

參考文獻(xiàn)

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)范文第2篇

本報(bào)訊 7月20日，公安部、國(guó)務(wù)院信息辦等4部門在北京聯(lián)合召開“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”，部署在全國(guó)范圍內(nèi)開展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作(以下簡(jiǎn)稱“定級(jí)工作”)。國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組組長(zhǎng)、公安部副部長(zhǎng)張新楓，國(guó)務(wù)院信息化工作辦公室副主任、國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室主任楊學(xué)山出席會(huì)議并講話。

張新楓指出，當(dāng)前，我國(guó)信息安全面臨的形勢(shì)仍然十分嚴(yán)峻，維護(hù)國(guó)家信息安全的任務(wù)非常艱巨、繁重。隨著我國(guó)經(jīng)濟(jì)的持續(xù)發(fā)展和國(guó)際地位的不斷提高，我國(guó)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅及安全隱患比較嚴(yán)重，計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技術(shù)、網(wǎng)絡(luò)釣魚技術(shù)、木馬間諜程序等新技術(shù)，進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪，給用戶造成嚴(yán)重?fù)p失。特別是“科技奧運(yùn)”和“數(shù)字奧運(yùn)”是2008年北京奧運(yùn)會(huì)的一大亮點(diǎn)，網(wǎng)絡(luò)與信息安全已經(jīng)成為事關(guān)北京奧運(yùn)安全的重大問題之一。

張新楓強(qiáng)調(diào)，信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障工作的基本制度。為了加快推進(jìn)信息安全等級(jí)保護(hù)工作，此前，公安部、國(guó)務(wù)院信息辦等部門已聯(lián)合出臺(tái)了有關(guān)信息安全等級(jí)保護(hù)工作的實(shí)施意見、管理辦法等相關(guān)文件。定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。此次定級(jí)工作的主要內(nèi)容：一是開展信息系統(tǒng)基本情況的摸底調(diào)查，確定定級(jí)對(duì)象。二是信息系統(tǒng)主管部門和運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南，初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)，請(qǐng)專家進(jìn)行評(píng)審，并報(bào)經(jīng)上級(jí)行業(yè)主管部門審批同意。三是信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門到公安機(jī)關(guān)備案。公安機(jī)關(guān)和國(guó)家有關(guān)部門受理備案后，要對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)和備案情況進(jìn)行審核、管理。

會(huì)議由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局局長(zhǎng)李昭主持，公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局副局長(zhǎng)、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心主任顧建國(guó)對(duì)定級(jí)工作作了具體說明。

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)范文第3篇

【 關(guān)鍵詞 】 信息安全等級(jí)保護(hù)；等級(jí)測(cè)評(píng)；物聯(lián)網(wǎng)；云計(jì)算

Research of Effect of Internet of Things and Cloud Computing to Classified Evaluation

Zhao Liang

（Sinopec Shandong Dongying Oil Company ShandongJinan 257000）

【 Abstract 】 Classified Protection of Information Security is the basic system and strategy of national information security work. And Classified Evaluation is an important method of testing and evaluating the level of Information Security Protection. The appearance of new technologies， such as cloud computing， Internet of Things， tri-networks integration， brings new challenge to the Classified Evaluation technology. This paper introduced the influences upon Classified Evaluation from new technology development， represented by cloud computing and Internet of Things， in order to promote the development of test method research， and provide theoretical basis to further research.

【 Keywords 】 classified protection of information security； multilevel security database； cloud computing； internet of things

1 引言

社會(huì)信息化技術(shù)和國(guó)民經(jīng)濟(jì)的飛速發(fā)展，使得信息系統(tǒng)與網(wǎng)絡(luò)的基礎(chǔ)性與全面性作用逐漸增強(qiáng)，而由此帶來(lái)的信息安全問題也變得突出，并逐漸成為關(guān)系國(guó)家安全的重大戰(zhàn)略問題。信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度，而等級(jí)測(cè)評(píng)作為檢驗(yàn)和評(píng)價(jià)信息系統(tǒng)安全保護(hù)水平的重要方法，是信息安全等級(jí)保護(hù)實(shí)施過程中的重要環(huán)節(jié)。近幾年，越來(lái)越多的研究者致力于等級(jí)測(cè)評(píng)技術(shù)、方法和工具的研究與開發(fā)，并取得了一定的成果。但越來(lái)越多網(wǎng)絡(luò)新技術(shù)的出現(xiàn)，在開拓等級(jí)保護(hù)與等級(jí)測(cè)評(píng)應(yīng)用領(lǐng)域的同時(shí)，也對(duì)傳統(tǒng)等級(jí)測(cè)評(píng)技術(shù)帶來(lái)了一定的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計(jì)算兩種新的技術(shù)應(yīng)用，并探討了其對(duì)等級(jí)測(cè)評(píng)技術(shù)產(chǎn)生的影響，旨在推動(dòng)等級(jí)測(cè)評(píng)技術(shù)的發(fā)展，為其深入研究提供理論參考。

2 安全等級(jí)保護(hù)與等級(jí)測(cè)評(píng)

信息安全等級(jí)保護(hù)是指根據(jù)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理，以保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。等級(jí)保護(hù)是幫助用戶分析、評(píng)定信息系統(tǒng)的等級(jí)，在后期的工作中根據(jù)不同的等級(jí)進(jìn)行不同級(jí)別的安全防護(hù)，

在我國(guó)的信息安全等級(jí)保護(hù)制度中，等級(jí)保護(hù)工作主要分為五個(gè)環(huán)節(jié)：定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查。

等級(jí)測(cè)評(píng)是指第三方等級(jí)測(cè)評(píng)機(jī)構(gòu)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求，針對(duì)已經(jīng)實(shí)施了安全等級(jí)保護(hù)的信息系統(tǒng)進(jìn)行的符合性測(cè)評(píng)活動(dòng)，以確保信息系統(tǒng)的安全性保護(hù)措施符合對(duì)應(yīng)等級(jí)的基本安全要求，是信息安全等級(jí)保護(hù)工作的重要環(huán)節(jié)，既可以在信息系統(tǒng)安全建設(shè)完成后進(jìn)行，也可以在信息系統(tǒng)的運(yùn)行維護(hù)過程中進(jìn)行。《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》作為等級(jí)測(cè)評(píng)的基礎(chǔ)性標(biāo)準(zhǔn)，目前主要基于其進(jìn)行符合性判定。

3 物聯(lián)網(wǎng)技術(shù)與等級(jí)測(cè)評(píng)

3.1 物聯(lián)網(wǎng)技術(shù)簡(jiǎn)介

物聯(lián)網(wǎng)（Internet of Things， IOT），顧名思義，就是“物物相連的網(wǎng)絡(luò)”，是指通過各種信息傳感設(shè)備（如傳感器、射頻識(shí)別技術(shù)、全球定位系統(tǒng)、紅外感應(yīng)器、激光掃描器等各種裝置與技術(shù)），實(shí)時(shí)采集任何需要監(jiān)控、連接、互動(dòng)的物體或過程，采集其聲、光、熱、電、力學(xué)、化學(xué)等各種需要的信息，與互聯(lián)網(wǎng)結(jié)合形成的一個(gè)巨大網(wǎng)絡(luò)。物聯(lián)網(wǎng)作為新一代信息技術(shù)的重要組成部分，其目的是實(shí)現(xiàn)物與物、物與人，所有的物品與網(wǎng)絡(luò)的連接，方便識(shí)別、管理和控制。

物聯(lián)網(wǎng)被稱為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后，世界信息產(chǎn)業(yè)的第三次浪潮。業(yè)內(nèi)專家認(rèn)為，物聯(lián)網(wǎng)不僅可以大大提高經(jīng)濟(jì)效益，有效節(jié)約成本，還可以為全球經(jīng)濟(jì)的復(fù)蘇提供技術(shù)動(dòng)力支持。目前，美國(guó)、歐盟、韓國(guó)等都在加大力度深入研究物聯(lián)網(wǎng)。我國(guó)也正在高度關(guān)注、重視物聯(lián)網(wǎng)的研究，工業(yè)和信息化部會(huì)同有關(guān)部門，在新一代信息技術(shù)方面正在開展研究，以形成支持新一代信息技術(shù)發(fā)展的政策措施。

與傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)有其明顯的特征：（1）它是各種感知技術(shù)的廣泛應(yīng)用；（2）以互聯(lián)網(wǎng)為基礎(chǔ)；（3）其本身具有智能處理的能力，能對(duì)物體實(shí)施智能控制。物聯(lián)網(wǎng)用途廣泛，主要應(yīng)用領(lǐng)域有智能家居、智能醫(yī)療、智能環(huán)保、智能交通、智能農(nóng)業(yè)。

3.2 物聯(lián)網(wǎng)對(duì)等級(jí)測(cè)評(píng)技術(shù)的影響

物聯(lián)網(wǎng)技術(shù)的推廣和應(yīng)用，一方面將顯著提高經(jīng)濟(jì)和社會(huì)運(yùn)行效率，另一方面也對(duì)國(guó)家、社會(huì)、企業(yè)、公民的信息安全和隱私保護(hù)問題提出了嚴(yán)峻的挑戰(zhàn)，其開放性的特點(diǎn)與信息安全理念背道而馳，對(duì)信息安全等級(jí)測(cè)評(píng)的工作方法及測(cè)評(píng)范圍產(chǎn)生了較大的影響。主要體現(xiàn)在幾個(gè)方面。

（1） 信號(hào)易擾：雖然物聯(lián)網(wǎng)能夠智能化的處理一些突發(fā)事件，不需要人為干涉，但傳感設(shè)備都是安裝在物品上的，且其信號(hào)很容易收到干擾，因此很可能導(dǎo)致物品的損失。此外，如果國(guó)家某些重要機(jī)構(gòu)如金融機(jī)構(gòu)依賴物聯(lián)網(wǎng)，也存在信號(hào)擾導(dǎo)致重要信息丟失的隱患。這樣如何評(píng)估物聯(lián)網(wǎng)技術(shù)的安全性及穩(wěn)定性成為等級(jí)測(cè)評(píng)中的難題。

（2） 針對(duì)性入侵技術(shù)：物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的關(guān)系，使得互聯(lián)網(wǎng)上的安全隱患同樣也會(huì)對(duì)物聯(lián)網(wǎng)造成危害。物聯(lián)網(wǎng)上傳播的黑客、病毒和惡意軟件等進(jìn)行的惡意操作會(huì)侵害物品，進(jìn)一步侵犯用戶的隱私權(quán)。尤其是對(duì)一些敏感物品如銀行卡、身份證等物品的惡意掌控，將造成不堪設(shè)想的后果。因此，在對(duì)物聯(lián)網(wǎng)進(jìn)行安全保護(hù)以及等級(jí)測(cè)評(píng)過程中，不僅要考慮到物聯(lián)網(wǎng)無(wú)線網(wǎng)絡(luò)的防惡意入侵能力，更要考慮互聯(lián)網(wǎng)傳統(tǒng)的入侵技術(shù)。

（3） 通訊安全：物聯(lián)網(wǎng)與3G手機(jī)的結(jié)合，在很大程度上方便了人們的生活。然而，移動(dòng)通訊設(shè)備本身存在的安全問題也會(huì)對(duì)物聯(lián)網(wǎng)造成影響。移動(dòng)通信設(shè)備存在許多安全漏洞，黑客很有可能通過移動(dòng)設(shè)備的漏洞竊取物聯(lián)網(wǎng)內(nèi)部的各種信息，從而帶來(lái)安全隱患。而且移動(dòng)設(shè)備的便攜性也使得其很容易丟失，若被不法分子獲得，則很容易造成用戶敏感信息的泄露。因此，在對(duì)物聯(lián)網(wǎng)進(jìn)行等級(jí)測(cè)評(píng)的過程中，還要考慮到通信終端及通信過程的保密性。

總之，在考慮物聯(lián)網(wǎng)的等級(jí)保護(hù)與等級(jí)測(cè)評(píng)過程中，要以構(gòu)建物聯(lián)網(wǎng)安全體系框架為目標(biāo)，在充分理解物聯(lián)網(wǎng)的結(jié)構(gòu)、技術(shù)和應(yīng)用模式的基礎(chǔ)上，深入分析物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、信息和管理等各層面面臨的安全威脅和風(fēng)險(xiǎn)，梳理物聯(lián)網(wǎng)安全的主要問題，明確物聯(lián)網(wǎng)安全需求（“物”的真實(shí)性、“聯(lián)”的完整性、“網(wǎng)”的健壯性），并針對(duì)各項(xiàng)安全需求，研究保障物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)（低能耗密碼算法設(shè)計(jì)技術(shù)、海量信息標(biāo)識(shí)技術(shù)、物聯(lián)網(wǎng)設(shè)備管理技術(shù)、物聯(lián)網(wǎng)密鑰管理技術(shù)、動(dòng)態(tài)安全策略控制技術(shù)、物聯(lián)網(wǎng)安全等級(jí)保護(hù)技術(shù)、傳感設(shè)備物理安全防護(hù)技術(shù)），提出物聯(lián)網(wǎng)安全目標(biāo)以及技術(shù)體系、承載裝備體系、標(biāo)準(zhǔn)規(guī)范體系和管理體系框架，給出物聯(lián)網(wǎng)安全體系頂層設(shè)計(jì)思路、建設(shè)任務(wù)和應(yīng)對(duì)措施，為全面建設(shè)物聯(lián)網(wǎng)安全體系奠定必要的基礎(chǔ)。

4 計(jì)算與等級(jí)測(cè)評(píng)

4.1 云計(jì)算技術(shù)簡(jiǎn)介

作為一種新興的共享基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)應(yīng)用模式，云計(jì)算（Cloud Computing）越來(lái)越受到研究者的關(guān)注。云計(jì)算的概念最早由IBM提出，是傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物，旨在通過網(wǎng)絡(luò)把多個(gè)成本相對(duì)較低的計(jì)算機(jī)實(shí)體整合成一個(gè)具有強(qiáng)大計(jì)算能力的系統(tǒng)，并借助各種商業(yè)模式把強(qiáng)大的計(jì)算能力分布給終端用戶。其核心思想是使用大規(guī)模的數(shù)據(jù)中心和功能強(qiáng)勁的服務(wù)器運(yùn)行網(wǎng)絡(luò)應(yīng)用程序、提供網(wǎng)絡(luò)服務(wù)，使得任何一個(gè)用戶都能輕松訪問應(yīng)用程序。這種特殊的應(yīng)用模式，使得云計(jì)算具有大規(guī)模、服務(wù)虛擬化、通用性、高可靠性、高擴(kuò)展性等特點(diǎn)。

云計(jì)算作為一種新的概念和應(yīng)用模式，研究尚未成熟，還存在若干制約其發(fā)展的問題，包括服務(wù)的可靠性、標(biāo)準(zhǔn)化問題、安全性問題、數(shù)據(jù)傳輸瓶頸以及信譽(yù)和法律危機(jī)。其中云安全問題是目前發(fā)展云計(jì)算首要解決的問題之一。

4.2 云計(jì)算對(duì)等級(jí)測(cè)評(píng)技術(shù)的影響

云計(jì)算平臺(tái)在為用戶提供服務(wù)的同時(shí)，仍不可避免的面臨嚴(yán)峻的安全考驗(yàn)。由于其用戶、信息資源的高度集中，帶來(lái)的安全事件后果與風(fēng)險(xiǎn)較傳統(tǒng)應(yīng)用高出很多。據(jù)IDC在2009年底的一項(xiàng)調(diào)查報(bào)告顯示，當(dāng)前云計(jì)算面臨的三大市場(chǎng)挑戰(zhàn)分別為安全性、穩(wěn)定性和性能表現(xiàn)。由此可見，解決云計(jì)算的安全問題尤為迫切。云計(jì)算面臨的安全問題及其對(duì)等級(jí)保護(hù)和等級(jí)測(cè)評(píng)造成的影響主要有幾個(gè)方面。

（1） 身份與權(quán)限控制：大數(shù)用戶對(duì)于云計(jì)算缺乏信心，其中一個(gè)很大原因是對(duì)于云模式下的使用和管理權(quán)限有顧慮。在復(fù)雜、虛擬的環(huán)境下，如何有效保證數(shù)據(jù)與應(yīng)用依然清晰可控，這既是用戶的問題，也是云服務(wù)提供商的問題。因此，身份與權(quán)限控制解決方案成為云安全的核心問題之一，同樣的，傳統(tǒng)等級(jí)測(cè)評(píng)中針對(duì)身份認(rèn)證和權(quán)限控制的相關(guān)技術(shù)與方法也不適用于這種虛擬、復(fù)雜的應(yīng)用環(huán)境，需要開發(fā)專用的測(cè)試技術(shù)；

（3）計(jì)算層并行計(jì)算的干擾：計(jì)算層的主要功能是為整個(gè)云計(jì)算提供高效、靈活、高強(qiáng)度的計(jì)算服務(wù)，但也面臨一定的問題，主要有計(jì)算性能的不可靠性，即資源競(jìng)爭(zhēng)造成的性能干擾，云計(jì)算主要采用并行計(jì)算間性能隔離機(jī)制來(lái)解決此問題。因此在等級(jí)測(cè)評(píng)中，需要開發(fā)新的測(cè)試技術(shù)和方法來(lái)評(píng)估并行計(jì)算間的干擾問題。

云計(jì)算給我們帶來(lái)創(chuàng)新和變革的同時(shí)，對(duì)安全問題與等級(jí)測(cè)評(píng)技術(shù)也提出了更高的要求。在云計(jì)算環(huán)境下，無(wú)論是使用云服務(wù)的用戶，還是云服務(wù)提供商，安全問題都是第一大問題。研究適用于云計(jì)算應(yīng)用的等級(jí)測(cè)評(píng)技術(shù)，將極大的推動(dòng)云計(jì)算領(lǐng)域的發(fā)展。

5 結(jié)束語(yǔ)

隨著各行各業(yè)對(duì)信息安全等級(jí)保護(hù)工作的關(guān)注和重視，等級(jí)保護(hù)和等級(jí)測(cè)評(píng)工作已逐漸成為制度化、規(guī)范化的研究課題。許多新技術(shù)如云計(jì)算、物聯(lián)網(wǎng)、三網(wǎng)融合等的推廣應(yīng)用在帶來(lái)機(jī)遇的同時(shí)，也給等級(jí)保護(hù)乃至整個(gè)信息安全帶來(lái)了新的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計(jì)算兩種新的技術(shù)應(yīng)用，并探討了其對(duì)等級(jí)測(cè)評(píng)技術(shù)產(chǎn)生的影響，旨在推動(dòng)等級(jí)測(cè)評(píng)技術(shù)的發(fā)展，為其深入研究提供理論參考。

參考文獻(xiàn)

[1] 公通字[2004]66號(hào) 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見.

[2] GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求.

[3] 楊磊，郭志博. 信息安全等級(jí)保護(hù)的等級(jí)測(cè)評(píng). 中國(guó)人民公安大學(xué)學(xué)報(bào)（自然科學(xué)版），No. 1 2007.

[4] 劉忠寶. 物聯(lián)網(wǎng)技術(shù)應(yīng)用與研究. 信息與電腦，2010年第10期.

[5] 郝文江，武捷. 物聯(lián)網(wǎng)技術(shù)安全問題探析. 實(shí)踐探究，2010.

[6] 王斐. 淺談信息化的新浪潮――云計(jì)算. 科技創(chuàng)新導(dǎo)報(bào)，2010 No.30

[7] Jon Brodkin. Gartner： Seven cloud-computing Security risks[EB/OL]. 2008，07.http：///d/.

[8] 陳丹偉，黃秀麗，任勛益. 云計(jì)算及安全分析. 計(jì)算機(jī)技術(shù)與發(fā)展，2010 第2期.

[9] 任偉.物聯(lián)網(wǎng)安全架構(gòu)與技術(shù)路線研究.信息網(wǎng)絡(luò)安全，2012.5.

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)范文第4篇

該文對(duì)供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析，并探討了可以針對(duì)性改進(jìn)的安全防護(hù)措施。首先對(duì)當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析，然后研究了在“自主定級(jí)，自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案，最終實(shí)現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)。

關(guān)鍵詞：

供水企業(yè)信息集成系統(tǒng)；等級(jí)保護(hù)；信息安全

供水行業(yè)對(duì)國(guó)計(jì)民生很重要的一個(gè)行業(yè)，供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn)，集中管理所有涉及運(yùn)營(yíng)的相關(guān)數(shù)據(jù)，針對(duì)供水企業(yè)運(yùn)行的特殊要求，進(jìn)行集中的規(guī)劃和架構(gòu)，將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合，最終形成完整的供水企業(yè)綜合信息平臺(tái)。[1]而集成系統(tǒng)中最重要的一個(gè)要求就是信息安全。

隨著大數(shù)據(jù)時(shí)代的到來(lái)，網(wǎng)格、分布式計(jì)算、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)相繼推出，對(duì)供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展，應(yīng)用中存在著大量的安全隱患，網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國(guó)Radicati公司于2015年3月的調(diào)查報(bào)告，截至2014年12月，網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬(wàn)億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升，計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級(jí)數(shù)增長(zhǎng)。根據(jù)2015年的中國(guó)網(wǎng)絡(luò)安全分析報(bào)告，2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國(guó)各地都出現(xiàn)了長(zhǎng)達(dá)25分鐘無(wú)法使用。2014年7月，某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊，造成在其公司注冊(cè)的13%的網(wǎng)站無(wú)法訪問，時(shí)間長(zhǎng)達(dá)17個(gè)小時(shí)，經(jīng)濟(jì)損失不可估量。因此，從信息安全的角度，要對(duì)供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù)，降低信息安全事故的發(fā)生的概率，降低其危害，是本文需要研究的內(nèi)容。

1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問題

伴隨著科技的不斷發(fā)展，供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展，主要是從深度和廣度兩個(gè)層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等子系統(tǒng)。其中多個(gè)系統(tǒng)數(shù)據(jù)需要接受外部訪問，存在大量的安全隱患。目前，威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個(gè)大類：1）人為原因，如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級(jí)錯(cuò)誤等。2）數(shù)據(jù)存儲(chǔ)位置位置的風(fēng)險(xiǎn)。可能由自然災(zāi)害引發(fā)的問題，缺乏數(shù)據(jù)備份和恢復(fù)能力。3）不斷增長(zhǎng)的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞、軟件版本、安全實(shí)踐和代碼更改等。

2有關(guān)分級(jí)防護(hù)的要求

尤其是供水企業(yè)信息集成系統(tǒng)中，存在大量涉及公民個(gè)人隱私的信息，也存在像生產(chǎn)調(diào)度這樣涉及國(guó)計(jì)民生的信息。因此，需要按照國(guó)家有關(guān)信息安全的法律法規(guī)，明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）第十四條，信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。定級(jí)標(biāo)準(zhǔn)按照國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240—2008）實(shí)施，根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：1）造成一般損害；2）造成嚴(yán)重?fù)p害；3）造成特別嚴(yán)重?fù)p害。

3分別防護(hù)實(shí)施步驟

根據(jù)有關(guān)法律法規(guī)，建設(shè)完成并投入使用的信息系統(tǒng)，其有關(guān)使用此系統(tǒng)的單位需要對(duì)其系統(tǒng)的等級(jí)狀況做定期的測(cè)評(píng)。供水企業(yè)要遵照要求選擇具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)來(lái)對(duì)管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級(jí)保護(hù)的測(cè)評(píng)工作。其所得到的結(jié)果如下表1所示：通常情況下，供水企業(yè)信息系統(tǒng)中不會(huì)出現(xiàn)第四級(jí)和第五級(jí)的系統(tǒng)。根據(jù)測(cè)評(píng)結(jié)果，有必要對(duì)供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容：細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置；按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際，主要有等級(jí)包括三個(gè)業(yè)務(wù)區(qū)域，以及一個(gè)公共業(yè)務(wù)區(qū)和測(cè)評(píng)業(yè)務(wù)區(qū)。按照上述原則對(duì)供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級(jí)的系統(tǒng)服務(wù)器針對(duì)不同級(jí)別的信息安全區(qū)進(jìn)行設(shè)置。等級(jí)為一、二、三的業(yè)務(wù)區(qū)分別安裝著對(duì)應(yīng)的服務(wù)器，而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù)，不需要進(jìn)行保護(hù)分級(jí)。測(cè)評(píng)業(yè)務(wù)區(qū)提供是投入正式使用前的測(cè)試服務(wù)器。

依據(jù)表1的測(cè)評(píng)結(jié)果，將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū)，其主要業(yè)務(wù)系統(tǒng)對(duì)安全區(qū)域存放問題的展示。根據(jù)表2得到的結(jié)果，可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi)，以此達(dá)到服務(wù)器分級(jí)防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界，也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對(duì)于不同區(qū)域邊界的信息安全的部署建議，供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi)，如此可以初步實(shí)現(xiàn)對(duì)供水企業(yè)管理信息區(qū)的信息安全防護(hù)。

4結(jié)束語(yǔ)

隨著大數(shù)據(jù)的發(fā)展，對(duì)供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會(huì)提出更高的要求，也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下，還需要加強(qiáng)信息審計(jì)，及時(shí)發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷，加強(qiáng)數(shù)據(jù)庫(kù)安全防護(hù)，維護(hù)管理系統(tǒng)的隱患。

參考文獻(xiàn)：

[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)范文第5篇

關(guān)鍵詞：電子政務(wù)外網(wǎng)；等級(jí)保護(hù)測(cè)評(píng)；風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)評(píng)估模型

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）34-8337-02

1 等級(jí)保護(hù)背景下的電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評(píng)估

電子政務(wù)外網(wǎng)提供非的社會(huì)公共服務(wù)業(yè)務(wù)，全國(guó)從中央各部委、到省、市、縣，已經(jīng)形成了一張大龐大的網(wǎng)絡(luò)系統(tǒng)，有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會(huì)，有效提高了政府從事行政管理和社會(huì)公共服務(wù)效率。今后凡屬社會(huì)管理和公共服務(wù)范疇及不需在國(guó)家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用，原則上應(yīng)納入國(guó)家政務(wù)外網(wǎng)運(yùn)行，它按照國(guó)家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級(jí)保護(hù)措施。

隨著政務(wù)外網(wǎng)的網(wǎng)絡(luò)覆蓋的擴(kuò)大及接入的政務(wù)單位越來(lái)越多、政務(wù)外網(wǎng)應(yīng)用的不斷增加，各級(jí)政務(wù)移動(dòng)接入政務(wù)外網(wǎng)的需求也在增加，對(duì)政務(wù)外網(wǎng)的要求和期望越大，網(wǎng)絡(luò)安全和運(yùn)維的壓力也越大，責(zé)任也更大。由于政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要滿足各級(jí)政務(wù)部門社會(huì)管理、公共服務(wù)、市場(chǎng)監(jiān)管和經(jīng)濟(jì)調(diào)節(jié)等業(yè)務(wù)應(yīng)用及公務(wù)人員移動(dòng)辦公、現(xiàn)場(chǎng)執(zhí)法等各類的需要，網(wǎng)絡(luò)和電子政務(wù)應(yīng)用也成為境外敵對(duì)勢(shì)力、黑客等攻擊目標(biāo)。隨著新技術(shù)的不斷涌現(xiàn)和大量使用，也對(duì)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全防護(hù)、監(jiān)控、管理等帶來(lái)新的挑戰(zhàn)。按照國(guó)家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級(jí)保護(hù)措施是必須的。

為保障電子政務(wù)外網(wǎng)的安全有效運(yùn)行，我們應(yīng)以風(fēng)險(xiǎn)管理理念來(lái)統(tǒng)籌建設(shè)網(wǎng)絡(luò)和信息安全保障體系。在國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)的大背景下，2011年國(guó)家信息中心下發(fā)了《關(guān)于加快推進(jìn)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)工作的通知》，強(qiáng)化了電子政務(wù)外網(wǎng)的等級(jí)保護(hù)制度以及等級(jí)測(cè)評(píng)要求，要求對(duì)政務(wù)外網(wǎng)開展等級(jí)測(cè)評(píng)，全面了解和掌握安全問題、安全保護(hù)狀況及與國(guó)家安全等級(jí)保護(hù)制度相關(guān)要求存在的差距，分析其中存在的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)進(jìn)行整改[1]。

系統(tǒng)安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)都是信息系統(tǒng)安全的評(píng)判方法[2，3]，其實(shí)它們本沒有本質(zhì)的區(qū)別，目標(biāo)都是一樣的，系統(tǒng)安全測(cè)評(píng)從系統(tǒng)整體來(lái)對(duì)系統(tǒng)的安全進(jìn)行判斷，風(fēng)險(xiǎn)評(píng)估從風(fēng)險(xiǎn)管理的角度來(lái)對(duì)系統(tǒng)的安全狀況進(jìn)行評(píng)判，而等級(jí)測(cè)評(píng)則是從等級(jí)保護(hù)的角度對(duì)系統(tǒng)的安全進(jìn)行評(píng)判。不管是系統(tǒng)安全測(cè)評(píng)[1]、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)，風(fēng)險(xiǎn)的風(fēng)險(xiǎn)與計(jì)算都是三者必不可少的部分。

2 電子政務(wù)主要風(fēng)險(xiǎn)評(píng)估方法簡(jiǎn)介

電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評(píng)估有自評(píng)估、檢查評(píng)估、第三方評(píng)估（認(rèn)證）評(píng)估模式，都需利用一定的風(fēng)險(xiǎn)評(píng)估方法來(lái)進(jìn)行相關(guān)風(fēng)險(xiǎn)的評(píng)估。從總體上來(lái)講，主要有定量評(píng)估、定性評(píng)估兩類。在進(jìn)行電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估過程中，采用的主要風(fēng)險(xiǎn)評(píng)估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時(shí)許模型、回歸模型等方法。研究風(fēng)險(xiǎn)評(píng)估模型的方法可以運(yùn)用馬爾可夫法、神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹、小波分析等[4-6]。OCTAVE 方法是一個(gè)系統(tǒng)的方法，它從系統(tǒng)的高度來(lái)進(jìn)行信息安全的安全防護(hù)工作，評(píng)估系統(tǒng)的安全管理風(fēng)險(xiǎn)、安全技術(shù)風(fēng)險(xiǎn)，它提高了利用自評(píng)估的方式制定安全防范措施的能力。它通過分析重要資產(chǎn)的安全價(jià)值、脆弱性、威脅的情況，制定起風(fēng)險(xiǎn)削減計(jì)劃，降低重要資產(chǎn)的安全風(fēng)險(xiǎn)。電子政務(wù)外網(wǎng)需要從實(shí)際出發(fā)，不能照搬其它評(píng)估方法，根據(jù)電子政務(wù)外網(wǎng)實(shí)際，本設(shè)計(jì)基于OCTAVE 評(píng)估模型，設(shè)計(jì)了一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)分析計(jì)算模型。

3 基于OCTAVE模型的一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

3.1 風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)、威脅、脆弱性賦值的設(shè)計(jì)

保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。

資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，經(jīng)過綜合評(píng)定得出。綜合評(píng)定方法可以根據(jù)自身的特點(diǎn)，選擇對(duì)資產(chǎn)保密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。本設(shè)計(jì)模型根據(jù)電子政務(wù)外網(wǎng)的業(yè)務(wù)特點(diǎn)，依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)進(jìn)行加權(quán)計(jì)算（保密性α+完整性β+和可用性γ），α、β、γ為權(quán)重系數(shù)，權(quán)重系數(shù)的確定可以采用專家咨詢法、信息商權(quán)法、獨(dú)立性權(quán)數(shù)等。本設(shè)計(jì)方案采用專家咨詢法。資產(chǎn)、威脅、脆弱性的賦值可以從0-10，賦值越高，等級(jí)越高。

脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范等，如國(guó)家信息安全漏洞共享平臺(tái)（CNVD）漏洞通報(bào)、CVE漏洞、微軟漏洞通報(bào)等。

資產(chǎn)、威脅、脆弱性的識(shí)別與賦值依賴于專家對(duì)三者的理解，不同的人員對(duì)三者的賦值可能不同，甚至差別很大，可能會(huì)不能真實(shí)的反映實(shí)際情況。為了識(shí)別與賦值能準(zhǔn)確反映實(shí)際情況，可以采用一定的方法來(lái)進(jìn)行修正。本設(shè)計(jì)采用頭腦風(fēng)暴法、德爾菲法去獲取資產(chǎn)、威脅、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)、威脅、脆弱性的識(shí)別與賦值。這樣發(fā)揮了三個(gè)方法的特點(diǎn)，得到的賦值準(zhǔn)確性大大提高。

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷[7]。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容，如果僅僅從近一兩年來(lái)各種國(guó)內(nèi)、國(guó)際組織的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及的威脅預(yù)警等來(lái)判斷是不太準(zhǔn)確的，因?yàn)樗鼪]有與具體的電子政務(wù)外網(wǎng)應(yīng)用實(shí)際聯(lián)系起來(lái)，實(shí)際環(huán)境中通過檢測(cè)工具（如IPS等）以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)也應(yīng)該考慮進(jìn)去。

本設(shè)計(jì)模型采用綜根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷，并結(jié)合具體電子政務(wù)外網(wǎng)實(shí)際，從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計(jì)，并采用馬兒可夫方法計(jì)算出某個(gè)時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法，具有無(wú)后效性的特點(diǎn)，適用于計(jì)算實(shí)時(shí)的動(dòng)態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計(jì)某一時(shí)段的發(fā)生了哪些威脅，構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖，使用馬爾可夫方法計(jì)算出該時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。計(jì)算出的威脅發(fā)生概率結(jié)果可以進(jìn)行適當(dāng)?shù)奈⒄{(diào)，該方法要求記錄的樣本具有代表性。

3.2 風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

通常風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素為資產(chǎn)、威脅、和脆弱性。 在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)計(jì)算。

風(fēng)險(xiǎn)值=R（資產(chǎn)，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度））。可根據(jù)自身電子政務(wù)外網(wǎng)實(shí)際情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個(gè)要素值確定一個(gè)要素值的情形，相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形。

本設(shè)計(jì)模型采用風(fēng)險(xiǎn)計(jì)算矩陣方法。矩陣法通過構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。

在使用矩陣法分別計(jì)算出某個(gè)資產(chǎn)對(duì)應(yīng)某個(gè)威脅i，某個(gè)脆弱性j的風(fēng)險(xiǎn)系數(shù)[Ri，j]，還應(yīng)對(duì)某個(gè)資產(chǎn)的總體安全威脅風(fēng)險(xiǎn)值進(jìn)行計(jì)算，某個(gè)資產(chǎn)總體風(fēng)險(xiǎn)威脅風(fēng)險(xiǎn)=Max（[Ri，j]），i，j=1，2，3…。組織所有資產(chǎn)的威脅風(fēng)險(xiǎn)值為所有資產(chǎn)的風(fēng)險(xiǎn)值之和。

3.3 對(duì)風(fēng)險(xiǎn)計(jì)算模型的改進(jìn)

在風(fēng)險(xiǎn)值=R（A，T，V）的計(jì)算模型中，由資產(chǎn)賦值、危險(xiǎn)、脆弱性三元組計(jì)算出風(fēng)險(xiǎn)值， 并沒有把安全防護(hù)措施因素對(duì)風(fēng)險(xiǎn)計(jì)算的影響考慮在內(nèi)，該文把風(fēng)險(xiǎn)值=R（A，T，V）改進(jìn)為風(fēng)險(xiǎn)值=R（A，T，V，P），其中P為安全防護(hù)措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進(jìn)為風(fēng)險(xiǎn)值=R（L（T，V，P），F(xiàn)（Ia，Va，P ））。對(duì)于L（T，V，P），F(xiàn)（Ia，Va，P ）的計(jì)算可以采用相乘法等。如果采用矩陣法，對(duì)L（T，V，P）的可以拆分計(jì)算L（T，V，P）=L（L（T，V），L（V，P））。

在計(jì)算出單個(gè)資產(chǎn)對(duì)應(yīng)某個(gè)脆弱性、某個(gè)威脅、某個(gè)防護(hù)措施后的風(fēng)險(xiǎn)值后，還應(yīng)總體上計(jì)算組織內(nèi)整體資產(chǎn)面臨的整體風(fēng)險(xiǎn)。單個(gè)風(fēng)險(xiǎn)（一組風(fēng)險(xiǎn)）對(duì)其它風(fēng)險(xiǎn)（一組風(fēng)險(xiǎn)）的影響是必須考慮的，風(fēng)險(xiǎn)之間的影響有風(fēng)險(xiǎn)之間的疊加、消減等。有必要對(duì)風(fēng)險(xiǎn)的疊加效應(yīng)、疊加原理、疊加模型進(jìn)行研究。

3.4 風(fēng)險(xiǎn)結(jié)果判定

為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理?？蓪L(fēng)險(xiǎn)劃分為10，等級(jí)越高，風(fēng)險(xiǎn)越高。

風(fēng)險(xiǎn)等級(jí)處理的目的是為風(fēng)險(xiǎn)管理過程中對(duì)不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對(duì)某些資產(chǎn)面臨的安全風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，則該風(fēng)險(xiǎn)是不可接受的，需要采取安全措施以降低、控制或轉(zhuǎn)移風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的辦法是根據(jù)等級(jí)化處理的結(jié)果，不設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn)，對(duì)達(dá)到相應(yīng)等級(jí)的風(fēng)險(xiǎn)都進(jìn)行處理。

參考文獻(xiàn)：

[1] 國(guó)家電子政務(wù)外網(wǎng)管理中心.關(guān)于加快推進(jìn)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)工作的通知[政務(wù)外網(wǎng)[2011]15號(hào)][Z].2011.

[2] 等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者之間的區(qū)別與聯(lián)系[EB/OL].http：///faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)三者的內(nèi)在聯(lián)系及實(shí)施建議[C].第二十次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集，2005.

[4] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估研究――以數(shù)字檔案館為例[D].蘇州：蘇州大學(xué)，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估模型研究[J].情報(bào)雜志，2011（8）：94-99.