導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇網(wǎng)絡(luò)安全風(fēng)險管理，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

目前關(guān)于計算機(jī)網(wǎng)絡(luò)安全問題與對策的研究比較多，主要集中在網(wǎng)絡(luò)安全威脅的類型和網(wǎng)絡(luò)安全的防范措施兩個方面。第一，在網(wǎng)絡(luò)安全威脅的類型方面，廖博藝介紹了網(wǎng)絡(luò)安全威脅的相關(guān)情況，他認(rèn)為計算機(jī)病毒是首要威脅，系統(tǒng)漏洞和惡意攻擊是重要威脅。袁劍鋒分析了網(wǎng)絡(luò)安全中存在的問題，主要是自然威脅、身份鑒別威脅等。第二，在網(wǎng)絡(luò)安全的防范措施方面，仝世君從用戶、系統(tǒng)開發(fā)者、黑客這三個主體的角度分析了網(wǎng)絡(luò)安全面臨的問題，并提出了多種應(yīng)對措施。羅濤提出網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)是人的漏洞，因此要加強(qiáng)網(wǎng)絡(luò)安全教育。

總體上，已有研究多關(guān)注網(wǎng)絡(luò)安全建設(shè)，但大多是定性介紹，泛泛而談，沒有形成系統(tǒng)的分析框架。因此本文通過建立風(fēng)險分析框架，基于流程來分析計算機(jī)網(wǎng)絡(luò)在運行過程中存在的風(fēng)險與問題，并提出針對性的對策建議。

二、計算機(jī)網(wǎng)絡(luò)運行的風(fēng)險分析

計算機(jī)網(wǎng)絡(luò)在運行過程中會面臨諸多方面的問題。為了更加全面地分析計算機(jī)網(wǎng)絡(luò)運行過程中的風(fēng)險與問題，本文以風(fēng)險管理流程的三個層面為框架，結(jié)合計算機(jī)網(wǎng)絡(luò)的風(fēng)險來源和風(fēng)險處理要素，構(gòu)建了計算機(jī)網(wǎng)絡(luò)安全的風(fēng)險分析框架，并按照該框架提出對策意見。具體包括：風(fēng)險來源分析，即從計算機(jī)網(wǎng)絡(luò)運行的三個核心要素分析，包括操作系統(tǒng)、軟件應(yīng)用、數(shù)據(jù)信息；風(fēng)險評估分析，即從資產(chǎn)損失、威脅行為兩個方面分析可能的風(fēng)險影響；風(fēng)險處理分析，包括風(fēng)險預(yù)防和風(fēng)險應(yīng)對兩個層面提出應(yīng)對策略。

（1）風(fēng)險來源分析。計算機(jī)網(wǎng)絡(luò)面臨的風(fēng)險來源包括三個方面。第一，在操作系統(tǒng)方面存在的風(fēng)險。目前計算機(jī)的操作系統(tǒng)主要是Windows、Linux等。由于操作系統(tǒng)的集中性，導(dǎo)致操作系統(tǒng)的安全性存在很大的問題。這些操作系統(tǒng)的源代碼是公開的，一些程序員可以在這方面做文章，如制作病毒攻擊。這是所有計算機(jī)都可能面臨的風(fēng)險。第二，在軟件應(yīng)用方面存在的風(fēng)險。某些黑客設(shè)計出一些帶有病毒的軟件來竊取用戶的信息，如照片、通信信息等。第三，數(shù)據(jù)信息丟失的風(fēng)險。例如應(yīng)用軟件不小心被卸載了，會直接導(dǎo)致用戶數(shù)據(jù)的丟失。

（2）風(fēng)險評估分析。風(fēng)險評估是正確認(rèn)識風(fēng)險的重要一環(huán)。一般來說，對于計算機(jī)網(wǎng)絡(luò)存在的風(fēng)險的評估要素包括兩個部分，即資產(chǎn)損失、威脅行為。首先，資產(chǎn)方面的評估不僅包括財產(chǎn)或貨幣資產(chǎn)，也包括無形的資產(chǎn)，比如當(dāng)某個用戶的信息被泄露了，可能造成該用戶在名譽(yù)上的損失。其次，在威脅行為上的評估。計算機(jī)網(wǎng)絡(luò)的運行是流程性的、多方面的，在每個環(huán)節(jié)都有可能受到影響，用戶層面的受影響的范圍還較小，但若是平臺后臺或者數(shù)據(jù)庫被影響了，則波及面更廣、破壞性更大。

三、計算機(jī)網(wǎng)絡(luò)安全的對策分析

（1）風(fēng)險預(yù)防層面。用戶、計算機(jī)系統(tǒng)設(shè)計者要結(jié)合風(fēng)險隱患可能存在的三個方面進(jìn)行預(yù)防。首先，在操作系統(tǒng)方面，操作系統(tǒng)設(shè)計公司和設(shè)計者們要不斷更新完善。其次，在軟件應(yīng)用方面，用戶要學(xué)會使用計算機(jī)內(nèi)部的安全設(shè)置功能。例如用戶可以在計算機(jī)內(nèi)部存儲運行設(shè)置方面進(jìn)行操作，做一些安全隱私性的設(shè)置。再次，在數(shù)據(jù)信息方面，用戶要及時保存原始數(shù)據(jù)，如上傳云盤，避免電腦崩潰、軟件運行錯誤等帶來的不必要的損失。

（2）風(fēng)險應(yīng)對層面。上述風(fēng)險預(yù)防的措施主要是針對用戶的，因為這些用戶是使用計算機(jī)的主要對象，他們把預(yù)防工作做好了，會極大地減輕自身的風(fēng)險損失。在風(fēng)險應(yīng)對方面，用戶面臨風(fēng)險威脅時，比如支付信息被盜竊、個人隱私泄露等，用戶首先要與應(yīng)用軟件的工作人員溝通，共同尋找降低損失的方案，其次要及時停止使用該軟件，以免造成二次損失。在必要時候可以向有關(guān)部門反映情況。對于平臺而言，當(dāng)平臺被惡性攻擊，如平臺數(shù)據(jù)庫被破壞時，相關(guān)管理部門要啟動緊急預(yù)案，查明原因，追究破壞者的責(zé)任，降低平臺的損失，創(chuàng)造一個公正、透明、有序的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

1.廖博藝.淺析計算機(jī)網(wǎng)絡(luò)安全問題與對策.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（06）.

2.袁劍鋒.計算機(jī)網(wǎng)絡(luò)安全問題及其防范措施.中國科技信息，2006（15）.

3.仝世君.淺談計算機(jī)網(wǎng)絡(luò)安全問題與對策.中國科技信息，2006（10）.

篇2

一、引言

從審計的角度，風(fēng)險評估是現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷暮诵睦砟?。無論是在歷史財務(wù)報表審計還是在網(wǎng)絡(luò)審計中，現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬀髮徲嫀熢趫?zhí)行審計工作過程中應(yīng)以風(fēng)險評估為中心，通過對被審計單位及其環(huán)境的了解，評估確定被審計單位的高風(fēng)險領(lǐng)域，從而確定審計的范圍和重點，進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù)，以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度，企業(yè)風(fēng)險管理將風(fēng)險評估作為其基本的要素之一進(jìn)行規(guī)范，要求企業(yè)在識別和評估風(fēng)險可能對企業(yè)產(chǎn)生影響的基礎(chǔ)上，采取積極的措施來控制風(fēng)險，降低風(fēng)險為企業(yè)帶來損失的概率或縮小損失程度來達(dá)到控制目的。信息安全風(fēng)險評估作為企業(yè)風(fēng)險管理的一部分，是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此，風(fēng)險評估在網(wǎng)絡(luò)審計、歷史財務(wù)報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同，本文在分析計算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險和網(wǎng)絡(luò)審計風(fēng)險基本要素的基礎(chǔ)上，從風(fēng)險評估中應(yīng)關(guān)注的風(fēng)險范圍、風(fēng)險評估的目的、內(nèi)容、程序及實施流程等內(nèi)容展開，將網(wǎng)絡(luò)審計與歷史財務(wù)報表審計和信息安全管理的風(fēng)險評估進(jìn)行對比分析，以期深化對網(wǎng)絡(luò)審計風(fēng)險評估的理解。

二、網(wǎng)絡(luò)審計與歷史財務(wù)報表審計的風(fēng)險評估比較

(一)審計風(fēng)險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標(biāo)準(zhǔn)說明中的審計風(fēng)險模型，審計風(fēng)險又由固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險構(gòu)成。其中，固有風(fēng)險是指不考慮被審計單位相關(guān)的內(nèi)部控制政策或程序的情況下，其財務(wù)報表某項認(rèn)定產(chǎn)生重大錯報的可能性；控制風(fēng)險是被審計單位內(nèi)部控制未能及時防止或發(fā)現(xiàn)財務(wù)報表上某項錯報或漏報的可能性；檢查風(fēng)險是審計人員通過預(yù)定的審計程序未能發(fā)現(xiàn)被審計單位財務(wù)報表上存在重大錯報或漏報的可能性。在網(wǎng)絡(luò)審計中，審計風(fēng)險仍然包括固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險要素，但其具體內(nèi)容直接受計算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險的影響。計算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營活動的效率，為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性，但同時也為企業(yè)帶來了一些新的風(fēng)險。這些新的風(fēng)險主要表現(xiàn)為：(1)數(shù)據(jù)與職責(zé)過于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計算機(jī)系統(tǒng)自動處理過程中去了，這些集中的數(shù)據(jù)庫技術(shù)無疑會增加數(shù)據(jù)縱和破壞的風(fēng)險。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計算機(jī)系統(tǒng)有較高的技術(shù)要求，非專業(yè)人員難以察覺計算機(jī)舞弊的線索，這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng)，或者說，企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風(fēng)險，例如程序中的差錯反復(fù)和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計接口，使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù)，從而無法正常開展審計工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險，如計算機(jī)信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障，或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應(yīng)地，網(wǎng)絡(luò)審計的固有風(fēng)險主要是指系統(tǒng)環(huán)境風(fēng)險，即財務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險，它可分為硬件環(huán)境風(fēng)險和軟件環(huán)境風(fēng)險?？刂骑L(fēng)險包括系統(tǒng)控制風(fēng)險和財務(wù)數(shù)據(jù)風(fēng)險，其中，系統(tǒng)控制風(fēng)險是指會計電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險，財務(wù)數(shù)據(jù)風(fēng)險是指電磁性財務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險包括審計軟件風(fēng)險和人員操作風(fēng)險，審計軟件風(fēng)險是指計算機(jī)審計軟件本身缺陷原因造成的風(fēng)險，人員操作風(fēng)險是指計算機(jī)審計系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險。

(二)風(fēng)險評估目的無論在網(wǎng)絡(luò)審計還是歷史財務(wù)報表審計中，風(fēng)險評估只是審計的一項重要程序，貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此，兩者所關(guān)注的風(fēng)險范圍則有所不同。歷史財務(wù)報表審計的風(fēng)險評估要求審計人員主要關(guān)注的是被審計單位的重大錯報風(fēng)險――財務(wù)報表在審計前存在重大錯報的可能性。由于網(wǎng)絡(luò)審計的審計對象包括被審計單位基于網(wǎng)絡(luò)的財務(wù)信息和網(wǎng)絡(luò)財務(wù)信息系統(tǒng)兩類，因此審計人員關(guān)注的風(fēng)險應(yīng)是被審計單位經(jīng)營過程中與該兩類審計對象相關(guān)的風(fēng)險。(1)對于與企業(yè)網(wǎng)絡(luò)財務(wù)信息系統(tǒng)相關(guān)的風(fēng)險，審計人員應(yīng)該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進(jìn)行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個階段及其活動，無論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中，一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設(shè)計開發(fā)或采購、集成實現(xiàn)、運行和維護(hù)、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內(nèi)容不同，企業(yè)在不同階段的控制目標(biāo)和控制行為也會有所不同，因此，審計人員的風(fēng)險評估應(yīng)該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等，信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面：物理層，即信息系統(tǒng)運行所必備的機(jī)房、設(shè)備、辦公場所、系統(tǒng)線路及相關(guān)環(huán)境；網(wǎng)絡(luò)層，即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等；系統(tǒng)層，即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況；應(yīng)用層，即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險，審計人員應(yīng)著重關(guān)注財務(wù)信息的重大錯報風(fēng)險和信息的安全風(fēng)險。重大錯報風(fēng)險主要指被審計單位基于網(wǎng)絡(luò)的相關(guān)財務(wù)信息存在重大錯報的可能性，它是針對企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對有關(guān)賬戶、交易或事項進(jìn)行確認(rèn)、計量或披露而言。網(wǎng)絡(luò)審計中關(guān)注的重大錯報風(fēng)險與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的，審計人員在審計時應(yīng)當(dāng)考慮被審計單位的行業(yè)狀況、經(jīng)營性質(zhì)、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務(wù)業(yè)績的衡量和評價等方面的情況對財務(wù)信息錯報可能的影響。信息安全風(fēng)險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險，主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺來存儲、傳輸、披露相關(guān)財務(wù)信息而言。在審計過程中，審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然，這兩類風(fēng)險并非完全分離的，評估時審計人員應(yīng)將兩者結(jié)合起來考慮。

(三)風(fēng)險評估內(nèi)容　廣泛意義的風(fēng)險評估是指考慮潛在事件對目標(biāo)實現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計與歷史財務(wù)報表審計風(fēng)險評估的目的并不完全相同，因此兩者在風(fēng)險評估的內(nèi)容上也是存在區(qū)別的?？偟膩碚f，網(wǎng)絡(luò)審計的風(fēng)險評估內(nèi)容比歷史財務(wù)報表審計的風(fēng)險評估內(nèi)容更廣泛和深入。根據(jù)《中國注冊會計師審計準(zhǔn)則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風(fēng)

險》，在歷史財務(wù)報表審計中，審計人員的風(fēng)險評估應(yīng)以了解被審計單位及其環(huán)境為內(nèi)容。為識別和評價重大錯報風(fēng)險，審計人員了解的具體內(nèi)容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質(zhì)、被審計單位對會計政策的選擇和運用、被審計單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營風(fēng)險、被審計單位財務(wù)業(yè)績的衡量和評價及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計中。為了識別和評估上文所述的兩類風(fēng)險，審計人員除了從以上方面了解被審計單位及其環(huán)境外，還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響，尤其是企業(yè)的財務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息可能面l臨的威脅或存在的脆弱點。其中，威脅是指對信息系統(tǒng)及財務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息所存在的薄弱環(huán)節(jié)，它是系統(tǒng)或網(wǎng)絡(luò)財務(wù)信息本身固有的，包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說，脆弱點本身不會帶來損失或信息錯報，威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點來成功地引起破壞。因此，我們認(rèn)為網(wǎng)絡(luò)審計申風(fēng)險評估的內(nèi)容應(yīng)包括以下幾方面：(1)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能面臨的威脅，并分析威脅發(fā)生的可能性；(2)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能存在的脆弱點，并分析脆弱點的嚴(yán)重程度；(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴(yán)重程度，判斷風(fēng)險發(fā)生的可能性；(4)根據(jù)風(fēng)險發(fā)生的可能性，評價風(fēng)險對財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能帶來的影響；(5)若被審計單位存在風(fēng)險防范或化解措施，審計人員在進(jìn)行風(fēng)險評估時還應(yīng)該考慮相應(yīng)措施的可行性及有效性。

(四)風(fēng)險評估程序《中國注冊會計師審計準(zhǔn)則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》中要求，審計人員應(yīng)當(dāng)實施詢問、分析程序、觀察和檢查等程序，以獲取被審計單位的信息，進(jìn)而評估被審計單位的重大錯報風(fēng)險。這些程序同樣適用于網(wǎng)絡(luò)審計中的風(fēng)險評估。但在具體運用時網(wǎng)絡(luò)審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項。在實施詢問程序時，審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類，分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能存在的威脅和脆弱點。在實施分析程序時，除了研究財務(wù)數(shù)據(jù)及與財務(wù)信息相關(guān)的非財務(wù)數(shù)據(jù)可能的異常趨勢外，審計人員應(yīng)格外關(guān)注對信息系統(tǒng)及網(wǎng)絡(luò)的特性情況，被審計單位對信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實施觀察和檢查時，除執(zhí)行常規(guī)程序外，審計人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外，針對特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險的評估，審計人員還需要實施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等；管理方面如風(fēng)險問卷調(diào)查、風(fēng)險顧問訪談、風(fēng)險策略分析、文檔審核等。其中，IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式，獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為，并對通信流量進(jìn)行分析；滲透測試是指在獲取用戶授權(quán)后，通過真實模擬黑客使用的工具、方法來進(jìn)行實際漏洞發(fā)現(xiàn)和利用的安全測試方法；工具掃描是指通過評估工具軟件或?qū)Ｓ冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息，包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描等，用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風(fēng)險問卷調(diào)查與風(fēng)險顧問訪談要求審計人員分別采用問卷和面談的方式向有關(guān)主體了解被審計單位的風(fēng)險狀況，使用時關(guān)鍵是要明確問卷或訪談的對象情況風(fēng)險策略分析要求審計人員對企業(yè)所設(shè)定的風(fēng)險管理和應(yīng)對策略的有效性進(jìn)行分析，進(jìn)而評價企業(yè)相關(guān)風(fēng)險發(fā)生的概率以及可能帶來的損失；文檔審核是一種事前評價方法，屬于前置軟件測試的一部分，主要包括需求文檔測試和設(shè)計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險方面進(jìn)行評價，審計人員在具體使用時應(yīng)結(jié)合被審計單位的業(yè)務(wù)性質(zhì)選擇合適的程序。

三、網(wǎng)絡(luò)審計與信息安全管理的風(fēng)險評估比較

(一)風(fēng)險評估的目的信息安全管理中的風(fēng)險評估(即信息安全風(fēng)險評估)是指根據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機(jī)制，信息安全風(fēng)險評估是企業(yè)管理的組成部分，它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征，其主要目的在于從企業(yè)內(nèi)部風(fēng)險管理的角度，在系統(tǒng)分析和評估風(fēng)險發(fā)生的可能性及帶來的損失的基礎(chǔ)上，提出有針對性的防護(hù)和整改措施，將企業(yè)面臨或遭遇的風(fēng)險控制在可接受水平，最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計是由獨立審計人員向企業(yè)提供的一項鑒證服務(wù)，其風(fēng)險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡(luò)的財務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度，從而指導(dǎo)進(jìn)一步審計程序。因此，兩者風(fēng)險評估的目的是不一樣。從評估所應(yīng)關(guān)注的風(fēng)險范圍來看，兩者具有一致性，即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險。但是，具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險評估要評估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，它要求評估人員關(guān)注與企業(yè)整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險，包括實體安全風(fēng)險、數(shù)據(jù)安全風(fēng)險、軟件安全風(fēng)險、運行安全風(fēng)險等。網(wǎng)絡(luò)審計中，審計人員是對被審計單位的網(wǎng)絡(luò)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息發(fā)表意見，因此，風(fēng)險評估時審計人員主要關(guān)注的是與企業(yè)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險，而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險。根據(jù)評估實施者的不同，信息安全風(fēng)險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險評估活動；他評估通常是由組織的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評估和他評估都可以通過風(fēng)險評估服務(wù)機(jī)構(gòu)進(jìn)行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險評估有關(guān)工具的提供。因此。對審計人員而言，受托執(zhí)行的信息安全風(fēng)險評估應(yīng)當(dāng)歸屬于管理咨詢類，即屬于非鑒證業(yè)務(wù)，與網(wǎng)絡(luò)審計嚴(yán)格區(qū)分開來。

(二)風(fēng)險評估的內(nèi)容在我國國家質(zhì)量監(jiān)督檢驗檢疫總局的《信息安全風(fēng)險評估指南》(征求意見稿)國家標(biāo)準(zhǔn)中，它將信息安全風(fēng)險評估的內(nèi)容分為兩部分：基本要素和相關(guān)屬性，提出信息安全風(fēng)險評估應(yīng)圍繞其基本要素展開，并充分考慮與這些基本要素相關(guān)的其他屬性。其中，風(fēng)險評估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險和安全措施；相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等。在此基礎(chǔ)上的風(fēng)險計算過程是：(1)對信息資產(chǎn)進(jìn)行識別，并對資產(chǎn)賦值；(2)對威脅進(jìn)行分析，并對威

篇3

1風(fēng)險識別

網(wǎng)絡(luò)安全防護(hù)工作主要包括以下幾方面：（1）網(wǎng)絡(luò)與信息安全管理機(jī)制，包括組織機(jī)構(gòu)的設(shè)置和信息通報制度的建立等；（2）與網(wǎng)絡(luò)相關(guān)的各種設(shè)備設(shè)施，主要包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、終端設(shè)備和各種操作系統(tǒng)及軟件等；（3）支撐網(wǎng)絡(luò)運行的基礎(chǔ)設(shè)備設(shè)施，主要包括機(jī)房電源、UPS、空調(diào)、防火設(shè)施以及溫度感應(yīng)器、濕度感應(yīng)器和視頻監(jiān)控等監(jiān)控設(shè)備；（4）網(wǎng)絡(luò)應(yīng)急備份設(shè)備設(shè)施。明確網(wǎng)絡(luò)安全防護(hù)主要內(nèi)容后，需要對各項內(nèi)容存在的安全隱患進(jìn)行逐一識別并加以分析。其中，管理機(jī)制可能存在的安全問題有：組織機(jī)構(gòu)的建立以及機(jī)構(gòu)建立后的完善程度，信息通報制度的建立以及通報渠道通暢性，各種管理制度的落實及執(zhí)行力等。網(wǎng)絡(luò)相關(guān)設(shè)備設(shè)施存在的主要安全問題有：自然災(zāi)害（如火災(zāi)、雷擊）、環(huán)境事故（如斷電、鼠患）、人為對硬件破壞、數(shù)據(jù)庫和操作系統(tǒng)等軟件的漏洞以及人為等原因造成的安全隱患。支撐網(wǎng)絡(luò)運行的基礎(chǔ)設(shè)備設(shè)施可能存在的安全問題主要是：機(jī)房電源、UPS、空調(diào)和防火設(shè)施配備是否齊全；由于地震、爆炸、大火等災(zāi)害造成通信線路斷裂；網(wǎng)絡(luò)連接接口松動或網(wǎng)絡(luò)設(shè)備損壞等。網(wǎng)絡(luò)應(yīng)急備份設(shè)備可能存在安全問題主要是：應(yīng)急預(yù)案和應(yīng)急支援隊伍的建立及完善程度；應(yīng)急演練開展的情況；重要數(shù)據(jù)和系統(tǒng)是否進(jìn)行備份和備份的及時性等。

2風(fēng)險評估

在對網(wǎng)絡(luò)安全保障工作中可能存在的風(fēng)險和隱患進(jìn)行識別后，通過對所收集的識別資料加以分析，進(jìn)行風(fēng)險估計。風(fēng)險評估按照嚴(yán)重性、可能性和風(fēng)險系數(shù)3個影響因素進(jìn)行劃分。（1）風(fēng)險嚴(yán)重性等級的劃分依據(jù)是進(jìn)度延誤或者費用超支。延誤或超支指標(biāo)按照每多5個百分點為1級劃分，共分為5個等級，分別用1~5數(shù)字表示。（2）風(fēng)險可能性等級依據(jù)風(fēng)險發(fā)生的概率進(jìn)行劃分，共分為5個等級，也分別用1~5數(shù)字表示，概率<20%的為1級，發(fā)生概率每多出20%，即多一個等級。（3）風(fēng)險系數(shù)通過對風(fēng)險嚴(yán)重性和風(fēng)險可能性的等級來確定，當(dāng)風(fēng)險嚴(yán)重性等級為5，可能性等級為5，那么它的風(fēng)險系數(shù)是5×5=25，當(dāng)風(fēng)險嚴(yán)重性等級為1，可能性等級為1，那么它的風(fēng)險系數(shù)是1×1=1，這樣風(fēng)險系數(shù)共分為1~25等級。風(fēng)險系數(shù)為1時，風(fēng)險等級最低，屬于小風(fēng)險，在一定程度上不會造成重大事故的發(fā)生，風(fēng)險系數(shù)為25時，風(fēng)險等級最高，屬于重大風(fēng)險，一旦發(fā)生，會造成人員傷亡、財產(chǎn)損失、嚴(yán)重影響生產(chǎn)等后果，帶來不良的社會效應(yīng)，需要引起高度的重視。

3風(fēng)險規(guī)避

在對網(wǎng)絡(luò)安全防護(hù)工作存在的風(fēng)險進(jìn)行評估之后，網(wǎng)絡(luò)部門的管理者已經(jīng)對網(wǎng)絡(luò)安全防護(hù)工作中存在的種種風(fēng)險和嚴(yán)重程度有了一定的把握。這時需要找到風(fēng)險發(fā)生的原因或者引起風(fēng)險的觸發(fā)條件，并在此基礎(chǔ)上，從眾多的風(fēng)險應(yīng)對策略中，結(jié)合工作實際，選擇行之有效的方法和規(guī)避措施，把風(fēng)險轉(zhuǎn)化為機(jī)會或?qū)L(fēng)險所造成的負(fù)面效應(yīng)降低到最低的程度。比如，網(wǎng)絡(luò)安全管理機(jī)制的建立及完善是網(wǎng)絡(luò)安全防護(hù)的首要任務(wù)。首先，企業(yè)需要建立起完善的組織機(jī)構(gòu)，包括領(lǐng)導(dǎo)小組和工作小組。領(lǐng)導(dǎo)小組的組成應(yīng)該由企業(yè)的主要領(lǐng)導(dǎo)及各部門的主要負(fù)責(zé)人組成，一旦發(fā)生隱患和事故時，企業(yè)能夠做出快速響應(yīng)；工作小組主要由企業(yè)的網(wǎng)絡(luò)管理員和各部門的相關(guān)技術(shù)人員組成，除了做好日常網(wǎng)絡(luò)與信息安全監(jiān)督和管理工作，還要配合企業(yè)做好各項網(wǎng)絡(luò)安全的檢查工作。其次，企業(yè)需要建立并完善信息通報制度，并保障通報渠道的通暢性，發(fā)生事故時，利用通報渠道，可以迅速把發(fā)生事件及嚴(yán)重程度傳達(dá)到各級部門，使領(lǐng)導(dǎo)能夠迅速做出決策并把決策和方案傳遞到各部門，日常工作中，信息通報渠道也是相關(guān)人員學(xué)習(xí)和交流的平臺。再比如，關(guān)于某企業(yè)下屬企業(yè)的網(wǎng)絡(luò)相關(guān)設(shè)備設(shè)施和支撐網(wǎng)絡(luò)運行的基礎(chǔ)設(shè)備設(shè)施，當(dāng)網(wǎng)絡(luò)通道中斷時，引發(fā)中斷的原因可能有3點：網(wǎng)絡(luò)外部鏈路故障、企業(yè)內(nèi)電話班或機(jī)房設(shè)備故障、下屬企業(yè)內(nèi)部網(wǎng)絡(luò)鏈路故障。根據(jù)上述網(wǎng)絡(luò)通道中斷的3個觸發(fā)條件，需要采取的規(guī)避措施是：通過各系統(tǒng)的監(jiān)控系統(tǒng)對網(wǎng)絡(luò)狀況進(jìn)行實時監(jiān)控，發(fā)現(xiàn)問題立刻與鐵通、電信通等相關(guān)單位聯(lián)系；敦促電話班、上級企業(yè)網(wǎng)絡(luò)中心檢查設(shè)備，并建立共同的應(yīng)急機(jī)制；檢查企業(yè)內(nèi)部網(wǎng)絡(luò)鏈路上的關(guān)鍵設(shè)備狀況；對關(guān)鍵線路上的關(guān)鍵設(shè)備進(jìn)行備份；梳理并熟知應(yīng)急預(yù)案等。

險跟蹤

篇4

網(wǎng)絡(luò)安全基線是阻止未經(jīng)授權(quán)信息泄露、丟失或損害的第一級安全標(biāo)準(zhǔn)。確保與產(chǎn)品相關(guān)的人員、程序和技術(shù)都符合基線，將有效提高政府的網(wǎng)絡(luò)安全等級。網(wǎng)絡(luò)安全基線應(yīng)體現(xiàn)在采辦程序的技術(shù)需求以及性能標(biāo)準(zhǔn)中，以明確在整個采辦生命周期內(nèi)產(chǎn)品或服務(wù)的網(wǎng)絡(luò)風(fēng)險。由于資源有限以及采辦中風(fēng)險的多樣性，政府應(yīng)采取漸進(jìn)和基于風(fēng)險的方法，逐步增加超越基線的網(wǎng)絡(luò)安全需求。這種需求應(yīng)在合同內(nèi)清晰且專門列出。

開展網(wǎng)絡(luò)安全培訓(xùn)

政府應(yīng)對工業(yè)合作伙伴開展采辦網(wǎng)絡(luò)安全培訓(xùn)。通過這種培訓(xùn)向工業(yè)合作伙伴明確展示，政府正通過基于風(fēng)險的方法調(diào)整與網(wǎng)絡(luò)安全相關(guān)的采購活動，且將在特定采辦活動中提出更多網(wǎng)絡(luò)安全方面的要求。

明確通用關(guān)鍵網(wǎng)絡(luò)安全事項定義

明確聯(lián)邦采辦過程中關(guān)鍵網(wǎng)絡(luò)安全事項的定義將提高政府和私營部門的效率和效益。需求的有效開發(fā)和完善很大程度上依賴于對關(guān)鍵網(wǎng)絡(luò)安全事項的共同認(rèn)識。在采辦過程中，不清晰、不一致的關(guān)鍵網(wǎng)絡(luò)安全事項定義將導(dǎo)致網(wǎng)絡(luò)安全不能達(dá)到最優(yōu)效果。定義的清晰界定應(yīng)建立在公認(rèn)或國際通用的標(biāo)準(zhǔn)上。

建立采辦網(wǎng)絡(luò)風(fēng)險管理戰(zhàn)略

政府需要一個部門內(nèi)普遍適用的采辦網(wǎng)絡(luò)風(fēng)險管理戰(zhàn)略。該戰(zhàn)略將成為政府企業(yè)風(fēng)險管理戰(zhàn)略的一部分，并要求政府部門確保其行為符合采辦網(wǎng)絡(luò)風(fēng)險目標(biāo)。該戰(zhàn)略應(yīng)建立在政府通用的采辦愿景基礎(chǔ)上，并與美國家標(biāo)準(zhǔn)與技術(shù)研究院制定的“網(wǎng)絡(luò)安全框架”相匹配。戰(zhàn)略應(yīng)為采辦建立網(wǎng)絡(luò)風(fēng)險等級，并包含基于風(fēng)險的采辦優(yōu)先次序。戰(zhàn)略還應(yīng)包含完整的安全需求。制定戰(zhàn)略時，政府應(yīng)將網(wǎng)絡(luò)風(fēng)險列入企業(yè)風(fēng)險管理，并積極與工業(yè)界、民間和政府機(jī)構(gòu)以及情報機(jī)構(gòu)合作，共享已驗證的、基于結(jié)果的風(fēng)險管理程序和最佳經(jīng)驗。

加強(qiáng)采購來源的網(wǎng)絡(luò)風(fēng)險管控

篇5

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A文章編號：16727800（2011）012014102

作者簡介：黃勇（1971-），男，湖南長沙人，廣州涉外經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院信息學(xué)院講師、網(wǎng)絡(luò)工程師，研究方向為計算機(jī)網(wǎng)絡(luò)技術(shù)。1網(wǎng)絡(luò)信息安全的組織因素分析

1.1組織目標(biāo)

組織目標(biāo)是組織期望達(dá)到的一種狀態(tài)，它是組織所有成員的行動指南，是組織進(jìn)行決策、協(xié)調(diào)、考核、效率評價的主要依據(jù)，同時它對組織中的成員具有激勵作用。影響組織目標(biāo)的主要因素有:（1）網(wǎng)絡(luò)信息安全目標(biāo)。組織中的信息安全目標(biāo)是組織追求和實現(xiàn)高績效目標(biāo)的子目標(biāo)之一，組織只有達(dá)到了信息安全目標(biāo)，才能真正確保實現(xiàn)組織的高績效目標(biāo)；（2）信息安全目標(biāo)的優(yōu)先次序。組織目標(biāo)的優(yōu)先次序是指當(dāng)組織存在諸多目標(biāo)時，首先需要確定優(yōu)勢目標(biāo)，有了優(yōu)勢目標(biāo)才能形成優(yōu)勢動機(jī)。如果不能形成優(yōu)勢目標(biāo)，則會分散組織的注意力，影響組織目標(biāo)的實現(xiàn)，甚至使組織產(chǎn)生安全隱患。

1.2組織結(jié)構(gòu)

組織結(jié)構(gòu)組織內(nèi)部協(xié)調(diào)和分工的基本形式，是組織正式確定的使工作分解、組合和協(xié)調(diào)的基本框架體系。組織結(jié)構(gòu)主要由組織內(nèi)部的各個要素組成，如組織人員、職位、責(zé)任、協(xié)同、關(guān)系、信息和目的等等。組織結(jié)構(gòu)能否有效運行就取決于組織內(nèi)部各個要素之間能否合理配置、充分協(xié)調(diào)、以及組織與所處的環(huán)境的適應(yīng)程度。組織結(jié)構(gòu)對于維持組織安全、可靠、有效的行動和控制整個組織的運作有著非常重要的影響，直接影響了組織目標(biāo)能否順利實現(xiàn)。網(wǎng)絡(luò)信息系統(tǒng)中的安全問題與組織結(jié)構(gòu)存在密切聯(lián)系，合理的信息安全組織結(jié)構(gòu)是確保組織網(wǎng)絡(luò)信息安全管理的前提。

網(wǎng)絡(luò)信息系統(tǒng)組織結(jié)構(gòu)：①信息安全工作組織：主要負(fù)責(zé)信息安全工作，設(shè)置組織的信息安全管理部門和網(wǎng)絡(luò)管理部門；②職責(zé)與權(quán)力：為了增強(qiáng)組織網(wǎng)絡(luò)信息系統(tǒng)的安全性，組織就要嚴(yán)格劃分和明確規(guī)定員工的職責(zé)并授予權(quán)限；③交流：通過交流可以把組織中的員工聯(lián)系起來，調(diào)動員工的積極性和協(xié)調(diào)能力，更有利于組織目標(biāo)的實現(xiàn)；④資源：網(wǎng)絡(luò)信息安全離不開設(shè)備和技術(shù)，提高網(wǎng)絡(luò)信息的安全性需要不斷的開發(fā)新技術(shù)和更新或升級通信設(shè)備，這些都需要組織提供充足的人力資源、財力資源、物資資源和時間資源的支持。

1.3組織管理

組織管理是組織為實現(xiàn)組織目標(biāo)而實施的控制、計劃、指揮、協(xié)調(diào)、監(jiān)督等系列過活動。網(wǎng)絡(luò)信息安全工作中的組織管理包括: 建立安全制度、制訂安全策略、規(guī)范安全行為、監(jiān)督管理的執(zhí)行等方面。

(1)建立安全制度。組織制定網(wǎng)絡(luò)建設(shè)方案、信息安全保密規(guī)定、機(jī)房管理制度、口令管理制度、用戶上網(wǎng)使用手冊、網(wǎng)絡(luò)安全指南、系統(tǒng)操作規(guī)程、安全防護(hù)記錄、應(yīng)急響應(yīng)方案等一系列的信息安全制度，主要為保證網(wǎng)絡(luò)信息系統(tǒng)安全、可靠地運作。

(2)制訂安全策略。安全策略是企業(yè)整體的安全思想和觀念的宏觀反映，安全策略對于組織的網(wǎng)絡(luò)信息安全有重要作用，在它的指導(dǎo)下，組織開展信息安全建設(shè)和后續(xù)工作。隨著網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷發(fā)展，安全策略的制訂和實施已經(jīng)成為一個動態(tài)的延續(xù)過程。

(3)規(guī)范安全行為。組織往往通過網(wǎng)絡(luò)通信安全規(guī)程來規(guī)范員工行為，規(guī)程主要基于具體的任務(wù)和功能的分析，通過識別、開發(fā)、審核、執(zhí)行、驗證等循環(huán)往復(fù)過程建立起來，它規(guī)范了組織員工開展某一項活動或工作的行為。

(4)監(jiān)督管理。主要針對組織信息安全相關(guān)的工作環(huán)節(jié)和重要步驟增強(qiáng)監(jiān)管力度，對操作中可能出現(xiàn)的偏差和疏忽實施合理監(jiān)督，確保正確的操作，以降低信息安全隱患。

1.4安全文化

組織文化是組織成員共奉的價值觀、態(tài)度以及內(nèi)隱的行為規(guī)范。安全文化是組織文化的有機(jī)組成部分，它通常被定義為安全價值觀與安全行為的總和。良好安全文化能有效的降低組織的事故發(fā)生率，因此，形成了良好的安全文化氛圍會將直接影響著網(wǎng)絡(luò)信息的安全。具體相關(guān)因素包括：

(1)網(wǎng)絡(luò)安全文化。組織員工的安全意識與組織的網(wǎng)絡(luò)安全文化有著必然聯(lián)系，組織員工只有形成“安全第一”的安全意識，對于謹(jǐn)防工作中安全隱患，就會自愿的為了組織共同的安全目標(biāo)而交流溝通，會主動加強(qiáng)工作中的監(jiān)督檢查，謹(jǐn)防將組織的重要信息泄露給競爭對手。

(2)領(lǐng)導(dǎo)層對信息安全的意識和態(tài)度。如果組織領(lǐng)導(dǎo)對信息安全的重要性認(rèn)識越深刻，那么組織中的信息安全在組織工作中的地位就會越高，信息安全就會引起組織中更多成員的關(guān)注和重視。領(lǐng)導(dǎo)層對信息安全的意識和態(tài)度對組織網(wǎng)絡(luò)安全文化的形成有著重要的作用。

(3)員工間的和諧度。團(tuán)隊的和諧是保證安全的重要基礎(chǔ)，如果組織成員對安全存在共識，持一致態(tài)度，則全體員工在安全目標(biāo)、行為準(zhǔn)則方面保持一致，從而保障信息的安全，進(jìn)而實現(xiàn)系統(tǒng)和組織上的安全。

(4)組織成員對信息安全的意識和態(tài)度。

1.5培訓(xùn)

對培訓(xùn)的效果造成直接影響的主要包括：①培訓(xùn)的內(nèi)容：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，信息安全教育培訓(xùn)的內(nèi)容也應(yīng)該隨著技術(shù)、環(huán)境的變化而更新，要使員工不斷增長對新環(huán)境的適應(yīng)能力，對新問題的辨別能力和解決問題的能力，才能確保信息的安全；②培訓(xùn)的師資：參與信息安全培訓(xùn)的師資隊伍的素質(zhì)，直接影響著教育與培訓(xùn)的效果。培訓(xùn)老師的目標(biāo)性、方向性，在保證培訓(xùn)系統(tǒng)的高效運轉(zhuǎn)中起著重要作用。

2網(wǎng)絡(luò)信息安全管理的組織對策

2.1建立并完善信息安全風(fēng)險制度

信息安全制度著重體現(xiàn)：①風(fēng)險管理的責(zé)任機(jī)制。將風(fēng)險管理與組織成員的責(zé)任聯(lián)系起來，在信息安全風(fēng)險管理工作中，切實執(zhí)行責(zé)任制，不斷增強(qiáng)組織上至各級領(lǐng)導(dǎo)，下至普通員工的風(fēng)險責(zé)任意識，將信息安全風(fēng)險管理合理分工，執(zhí)行信息安全風(fēng)險管理措施，保證信息安全風(fēng)險管理工作有序開展；②風(fēng)險管理的預(yù)防機(jī)制。預(yù)防機(jī)制是風(fēng)險管理的核心內(nèi)容，風(fēng)險管理要重視事前管理，事前對信息系統(tǒng)涉及的關(guān)鍵環(huán)節(jié)和重要部門進(jìn)行嚴(yán)格的風(fēng)險評估、檢查工作，得出準(zhǔn)確的風(fēng)險報告；③風(fēng)險管理的應(yīng)急機(jī)制。有效的應(yīng)急機(jī)制是降低和化解此類風(fēng)險的必備手段，針對關(guān)鍵的應(yīng)用系統(tǒng)群組，乃至針對整個數(shù)據(jù)中心的突發(fā)事件必須具有可操作性很強(qiáng)的應(yīng)急方案，并且還要有成熟的應(yīng)急反應(yīng)體系 能在事件發(fā)生之時，合理決策、落實執(zhí)行應(yīng)急方案；④風(fēng)險管理的通報機(jī)制。實施信息安全的風(fēng)險管理通報機(jī)制，對于尚未出現(xiàn)的問題有一個警示作用，它能對行業(yè)的經(jīng)驗教訓(xùn)及時總結(jié)，讓組織認(rèn)識風(fēng)險隱患，盡早發(fā)現(xiàn)類似風(fēng)險，快速采取有針對性的事前防范措施。

2.2制定信息安全的管理策略

（1）風(fēng)險評估和預(yù)警策略。采用科學(xué)的分析方法，對系統(tǒng)存在的不同頻度的風(fēng)險定期作系統(tǒng)評估工作，以定量與定性的評估方法，探測風(fēng)險的來源以及風(fēng)險的大小。

（2）風(fēng)險規(guī)避策略。通過降低風(fēng)險發(fā)生的可能性和降低風(fēng)險發(fā)生后的影響等手段，努力在風(fēng)險發(fā)生前規(guī)避風(fēng)險或降低風(fēng)險大小，并對整改成果進(jìn)行再評估。

（3）應(yīng)急管理策略。經(jīng)過系統(tǒng)風(fēng)險評估，針對評估結(jié)果存在的安全隱患，制定應(yīng)急預(yù)案，通過有效的應(yīng)急處置，爭取在風(fēng)險事件發(fā)生后快速地恢復(fù)生產(chǎn)運行，控制風(fēng)險的影響范圍和影響程度。

（4）風(fēng)險管理策略。對于涉及信息安全風(fēng)險管理的組織內(nèi)部架構(gòu)和對外客戶端可能存在的風(fēng)險，制定一系列的規(guī)章和規(guī)范，防范內(nèi)部風(fēng)險。

2.3強(qiáng)化信息安全的監(jiān)督管理

信息安全的監(jiān)督對杜絕違規(guī)、違章操作、發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)隱患、及時整改、督促組織建立健全各項安全規(guī)章制度，落實各項信息安全防范措施具有重大作用。具體包括：①信息系統(tǒng)投產(chǎn)上線管理操作規(guī)范；②信息系統(tǒng)管理維護(hù)操作規(guī)范；③信息系統(tǒng)變更管理操作規(guī)范；④信息系統(tǒng)訪問控制管理操作規(guī)范；⑤信息系統(tǒng)運營環(huán)境管理操作規(guī)范；⑥信息系統(tǒng)業(yè)務(wù)連續(xù)性管理操作規(guī)范；⑦信息系統(tǒng)運營服務(wù)外包管理操作規(guī)范。參考文獻(xiàn)：

[1]楊旭.計算機(jī)網(wǎng)絡(luò)信息安全技術(shù)研究[D].南京:南京理工大學(xué),2008.

[2]王以群,程,張力.網(wǎng)絡(luò)信息安全中的人因失誤分析[J].情報學(xué),2007(11).

[3]楊月江,劉士杰,耿子林.網(wǎng)絡(luò)安全管理的分析與研究[J].商場現(xiàn)代化，2008(1).

[4]張力,王以群,鄧志良.復(fù)雜人-機(jī)系統(tǒng)中的人因失誤[J].安全科學(xué)學(xué)報,1996(6).

[5]姜婷婷.淺談我國網(wǎng)絡(luò)信息安全保險的開發(fā)[J].情報理論與實踐,2003(4).

[6]劉繪珍.影響復(fù)雜人機(jī)系統(tǒng)安全的組織因素分析[D].衡陽:南華大學(xué),2007.

[7]劉繪珍,張力,張玉玲,等.影響系統(tǒng)安全的組織因素分類分析[J].核動力工程,2009(4).

篇6

當(dāng)今網(wǎng)絡(luò)信息技術(shù)飛速發(fā)展，人們的日常生活已經(jīng)離不開網(wǎng)絡(luò)。網(wǎng)絡(luò)極大地改變了當(dāng)今社會、經(jīng)濟(jì)、文化的結(jié)構(gòu)，極大改變了人們的思維方式，數(shù)字化生存的方式、空間、時間不斷開拓。不過隨著計算機(jī)技術(shù)的普及，也有人會利用計算機(jī)中存在的漏洞進(jìn)行網(wǎng)絡(luò)攻擊，盜取用戶的個人資料，比如銀行賬戶信息、個人郵件數(shù)據(jù)等。因此，如何保證網(wǎng)絡(luò)信息安全已成為一個非常重要的問題。

一、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)能夠連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義來說，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

二、信息安全

信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露，防范青少年對不良信息的瀏覽，防范個人信息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等），直至安全系統(tǒng)，其中任何一個安全漏洞便可以威脅全局安全。

三、網(wǎng)絡(luò)信息安全的風(fēng)險分析

1.信息資產(chǎn)確定

信息資產(chǎn)大致分為物理資產(chǎn)、知識資產(chǎn)、時間資產(chǎn)和名譽(yù)資產(chǎn)

（1）物理資產(chǎn)：是具有物理形態(tài)的資產(chǎn)，例如服務(wù)器、網(wǎng)絡(luò)連接設(shè)備、工作站等。

（2）知識資產(chǎn)：是可以為任意信息的形式存在。例如一些系統(tǒng)軟件、數(shù)據(jù)庫或者組織內(nèi)部的電子郵件。

（3）名譽(yù)資產(chǎn)：是公眾對于一個企業(yè)的看法與意見，也可以直接影響其業(yè)績。

2.信息安全評估

對資產(chǎn)進(jìn)行標(biāo)示后，下一步就是對這些資產(chǎn)面臨的威脅進(jìn)行標(biāo)示，首先有以下關(guān)鍵詞便于理解這些風(fēng)險。

（1）安全漏洞：是存在于系統(tǒng)之中，可以用于越過系統(tǒng)的安全防護(hù)。

（2）安全威脅：是一系列可能被利用的漏洞。

（3）安全風(fēng)險：當(dāng)漏洞與安全威脅同時存在時就會存在風(fēng)險。

3.風(fēng)險管理

在確定了資產(chǎn)與資產(chǎn)面臨的風(fēng)險之后，應(yīng)該對這些資產(chǎn)進(jìn)行風(fēng)險管理。具體來說，風(fēng)險管理可以分為4個部分：風(fēng)險規(guī)避、風(fēng)險最小化、風(fēng)險承擔(dān)、風(fēng)險轉(zhuǎn)移。

（1）風(fēng)險規(guī)避。此方法為最簡單的風(fēng)險管理方法，當(dāng)資產(chǎn)收益遠(yuǎn)大于操作該方法所損失的收益時可使用。例如，以各系統(tǒng)可能把員工與外界進(jìn)行郵件交換視為一個不可接受的安全威脅，因為他們認(rèn)為這樣可能會把系統(tǒng)內(nèi)的秘密到外部環(huán)境中，所以系統(tǒng)就直接禁用郵件服務(wù)。

（2）風(fēng)險最小化：對于系統(tǒng)來說，風(fēng)險影響最小化是最為常見的風(fēng)險管理方法，該方法的具體做法是管理員進(jìn)行一些防御措施來降低資產(chǎn)面臨的風(fēng)險。例如，對于黑客攻擊Web服務(wù)器的威脅的，管理員可以在黑客與服務(wù)器主機(jī)之間建立防火墻來降低攻擊發(fā)生的概率。

（3）風(fēng)險承擔(dān)：管理者可能選擇承擔(dān)一些特定的風(fēng)險，并將其造成的損失當(dāng)作運營成本，這一方法稱為風(fēng)險承擔(dān)。這種情況往往出現(xiàn)在危險發(fā)生的概率是極其低的（例如交通設(shè)備撞上數(shù)據(jù)中心）或者是不可避免的（例如硬盤工作中的磨損）情況下，當(dāng)管理員選擇了這一風(fēng)險進(jìn)行承擔(dān)時，就會將其視為無風(fēng)險。

（4）風(fēng)險轉(zhuǎn)移：作為風(fēng)險轉(zhuǎn)移，最為常見的例子就是保險，當(dāng)一個人對自己身體健康狀態(tài)擔(dān)憂時，為了對抗生病的風(fēng)險，可以為自己投入保險，保險公司同意將助其進(jìn)行治療，同樣的道理可以用在系統(tǒng)維護(hù)上面。

在現(xiàn)實世界中，以上4種方法都不是獨立使用的，一般來說，企業(yè)或者組織都可以對4種方法進(jìn)行綜合使用。

在互聯(lián)網(wǎng)高速發(fā)展的今天，發(fā)生在我們身邊的許多的信息泄密事件說明當(dāng)前保密技術(shù)發(fā)展的不平衡，說明我們對信息安全還不夠重視，所以我們必須對網(wǎng)絡(luò)信息安全這個問題加以重視，要加大國產(chǎn)化安全產(chǎn)品的開發(fā)力度，加強(qiáng)培訓(xùn)提高用戶的安全防范意識，加大對信息安全產(chǎn)業(yè)的投入力度，加快高等信息安全人才培養(yǎng)。

篇7

1美國電力行業(yè)信息安全的戰(zhàn)略框架

 

為響應(yīng)奧巴馬政府關(guān)于加強(qiáng)丨Kj家能源坫礎(chǔ)設(shè)施安全(13636行政令，即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求，美國能源部出資，能源行業(yè)控制系統(tǒng)工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護(hù)能源行業(yè)控制系統(tǒng)路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎(chǔ)上，于2011年了《實現(xiàn)能源傳輸系統(tǒng)信息安全路線閣》。2011路線圖為電力行業(yè)未來丨0年的信息安全制定了戰(zhàn)略框架和行動計劃，體現(xiàn)了美國加強(qiáng)國家電網(wǎng)持續(xù)安全和可靠性的承諾和努力路線圖基于風(fēng)險管理原則，明確了至2020年美國能源傳輸系統(tǒng)網(wǎng)絡(luò)安全目標(biāo)、實施策略及里程碑計劃，指導(dǎo)行業(yè)、政府、學(xué)術(shù)界為共丨司愿景投入并協(xié)同合作。2011路線圖指出：至2020年，要設(shè)計、安裝、運行、維護(hù)堅韌的能源傳輸系統(tǒng)(resilientenergydeliverysystems)。美國能源彳了業(yè)的網(wǎng)絡(luò)安全目標(biāo)已從安全防護(hù)轉(zhuǎn)向系統(tǒng)堅韌。路線圖提出了實現(xiàn)目標(biāo)的5個策略，為行業(yè)、政府、學(xué)術(shù)界指明了發(fā)展方向和工作思路。(1)建立安全文化。定期回顧和完善風(fēng)險管理實踐，確保建立的安全控制有效。網(wǎng)絡(luò)安全實踐成為能源行業(yè)所有相關(guān)者的習(xí)慣,，(2)評估和監(jiān)測風(fēng)險。實現(xiàn)對能源輸送系統(tǒng)的所有架構(gòu)層次、信息物理融合領(lǐng)域的連續(xù)安全狀態(tài)監(jiān)測，持續(xù)評估新的網(wǎng)絡(luò)威脅、漏洞、風(fēng)險及其應(yīng)對措施。(3)制定和實施新的保施。新一代能源傳輸系統(tǒng)結(jié)構(gòu)實現(xiàn)“深度防御”，在網(wǎng)絡(luò)安全事件中能連續(xù)運行。(4)開展事件管理。開展網(wǎng)絡(luò)事件的監(jiān)測、補(bǔ)救、恢復(fù)，減少對能源傳輸系統(tǒng)的影響。開展事件后續(xù)的分析、取證以及總結(jié)，促進(jìn)能源輸送系統(tǒng)環(huán)境的改進(jìn)。(5)持續(xù)安全改進(jìn)。保持強(qiáng)大的資源保障、明確的激勵機(jī)制及利益相關(guān)者密切合作，確保持續(xù)積極主動的能源傳輸系統(tǒng)安全提升。為及時跟蹤2011路線圖實施情況，能源行業(yè)控制系統(tǒng)工作組(ESCSWG)提供了ieRoadmap交互式平臺。通過該平臺共享各方的努力成果，掌握里程碑進(jìn)展情況，使能源利益相關(guān)者為路線圖的實現(xiàn)作一致努力。

 

2美國電力行業(yè)信息安全的管理結(jié)構(gòu)

 

承擔(dān)美國電力行業(yè)信息安全相關(guān)職責(zé)的主要政府機(jī)構(gòu)和組織包括：國土安全部(DHS)、能源部(1)0￡)、聯(lián)邦能源管理委員會(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業(yè)委員會(PUC)。2.1國土安全部美國國土安全部是美國聯(lián)邦政府指定的基礎(chǔ)設(shè)施信息安全領(lǐng)導(dǎo)部I'j'負(fù)責(zé)監(jiān)督保護(hù)政府網(wǎng)絡(luò)安全，為私營企業(yè)提供專業(yè)援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負(fù)責(zé)與聯(lián)邦相關(guān)部門、各州、各行業(yè)以及國際社會共享網(wǎng)絡(luò)威脅發(fā)展趨勢，組織協(xié)調(diào)事件響應(yīng)w。

 

2.2能源部

 

美國能源部不直接承擔(dān)電網(wǎng)信息安全的管理職責(zé)，而是通過指導(dǎo)技術(shù)研發(fā)和協(xié)助項目開發(fā)促進(jìn)私營企業(yè)發(fā)展和技術(shù)進(jìn)步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔(dān)加強(qiáng)國家能源基礎(chǔ)設(shè)施的可靠性和堅韌性的職責(zé)，提供技術(shù)研究和發(fā)展的資金，推進(jìn)風(fēng)險管理策略和信息安全標(biāo)準(zhǔn)研發(fā)，促進(jìn)威脅信息的及時共享，為電網(wǎng)信息安全戰(zhàn)略性綜合方案提供支撐。

 

能源部2012年與美國國家標(biāo)準(zhǔn)技術(shù)研究院、北美電力可靠性公司合作編制了《電力安全風(fēng)險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協(xié)作編制完成了《電力行業(yè)信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨，以支撐電力行業(yè)的信息安全能力評估和提升;2014年資助能源行業(yè)控制系統(tǒng)工作組(ESCSWG)形成了《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強(qiáng)供應(yīng)鏈的信息安全風(fēng)險管理。

 

在201丨路線圖的指導(dǎo)下，能源部啟動了能源傳輸系統(tǒng)的信息安全項目，資助愛達(dá)荷國家實驗室建立SCADA安全測試平臺，發(fā)現(xiàn)并解決行業(yè)面臨的關(guān)鍵安全漏洞和威脅;資助伊利諾伊大學(xué)等開展值得信賴的電網(wǎng)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)研究。

 

2.3聯(lián)邦能源管理委員會

 

聯(lián)邦能源管理委員會負(fù)責(zé)依法制定聯(lián)邦政府職責(zé)范圍內(nèi)的能源監(jiān)管政策并實施監(jiān)管，是獨立監(jiān)管機(jī)構(gòu)。2005年能源政策法案(EnergyPolicyActof2005)授權(quán)FERC監(jiān)督包括信息安全標(biāo)準(zhǔn)在內(nèi)的主干電網(wǎng)強(qiáng)制可靠性標(biāo)準(zhǔn)的實施。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標(biāo)準(zhǔn)與技術(shù)研究所(National丨nstituteofStandardsan<丨Technology，NIST)相關(guān)責(zé)任以協(xié)調(diào)智能電網(wǎng)指導(dǎo)方針和標(biāo)準(zhǔn)的編制和落實。2011年的電網(wǎng)網(wǎng)絡(luò)安全法案(GridCyberSecurityAct)要求FKRC建立關(guān)鍵電力基礎(chǔ)設(shè)施的信息安全標(biāo)準(zhǔn)。

 

2007年FERC批準(zhǔn)由北美電力可靠性公司制定的《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》(criticalinfrastructureprotection，CIPW標(biāo)準(zhǔn)為北美電力可靠性標(biāo)準(zhǔn)之中的強(qiáng)制標(biāo)準(zhǔn)，要求各相關(guān)企業(yè)執(zhí)行，旨在保護(hù)電網(wǎng)，預(yù)防信息系統(tǒng)攻擊事件的發(fā)生。

 

2.4北美電力可靠性公司

 

北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監(jiān)管下，制定并強(qiáng)制執(zhí)行包括信息安全標(biāo)準(zhǔn)在內(nèi)的大電力系統(tǒng)可靠性標(biāo)準(zhǔn)，開展可靠性監(jiān)測、分析、評估、信息共享，確保大電力系統(tǒng)的可靠性。

 

NERC了一系列的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)標(biāo)準(zhǔn)181作為北美電力系統(tǒng)的強(qiáng)制性標(biāo)準(zhǔn);與美國能源部和NIST編制了《電力行業(yè)信息安全風(fēng)險管理過程指南》，提供了網(wǎng)絡(luò)安全風(fēng)險管理的指導(dǎo)方針。

 

歸屬NERC的電力行業(yè)協(xié)凋委員會(ESCC)是聯(lián)邦政府與電力行業(yè)的主要聯(lián)絡(luò)者，其主要使命是促進(jìn)和支持行業(yè)政策和戰(zhàn)略的協(xié)調(diào)，以提高電力行業(yè)的可靠性和堅韌性'NERC通過其電力行業(yè)信息共享和分析中心(ES-ISAC)的態(tài)勢感知、事件管理以及協(xié)調(diào)和溝通的能力，與電力企業(yè)進(jìn)行及時、可靠和安全的信息共享和溝通。通過電網(wǎng)安全年會(GridSecCon)、簡報，提供威脅應(yīng)對策略、最佳實踐的討論共享和培訓(xùn)機(jī)會;組織電網(wǎng)安全演練(GridEx)檢查整個行業(yè)應(yīng)對物理和網(wǎng)絡(luò)事件的響應(yīng)能力，促2.5州公共事業(yè)委員會美國聯(lián)邦政府對地方電力公司供電系統(tǒng)的可靠性沒有直接的監(jiān)管職責(zé)。各州公共事業(yè)委員會負(fù)責(zé)監(jiān)管地方電力公司的信息安全，大多數(shù)州的PUC沒有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定職責(zé)。PUC通過監(jiān)管權(quán)力，成為地方電力系統(tǒng)和配電系統(tǒng)網(wǎng)絡(luò)安全措施的重要決策者。全國公用事業(yè)監(jiān)管委員協(xié)會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯(lián)盟協(xié)會，也采取措施促進(jìn)PUC的電力網(wǎng)絡(luò)安全工作，呼吁PUC密切監(jiān)控網(wǎng)絡(luò)安全威脅，定期審查各自的政策和程序，以確保與適用標(biāo)準(zhǔn)、最佳實踐的一致性%

 

3美國電力行業(yè)信息安全的硏究資源

 

參與美國電力行業(yè)信息安全研究的機(jī)構(gòu)和組織主要有商務(wù)部所屬的國家標(biāo)準(zhǔn)技術(shù)研究院及其領(lǐng)導(dǎo)下的智能電網(wǎng)網(wǎng)絡(luò)安全委員會、國土安全部所屬的能源行業(yè)控制系統(tǒng)工作組，重點幵展電力行業(yè)信息安全發(fā)展路線圖、框架以及標(biāo)準(zhǔn)、指南的研究。同時，能源部所屬的多個國家實驗室提供網(wǎng)絡(luò)安全測試、網(wǎng)絡(luò)威脅分析、具體防御措施指導(dǎo)以及新技術(shù)研究等。

 

3.1國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)

 

根據(jù)2007能源獨立與安全法令，美_國家標(biāo)準(zhǔn)技術(shù)研究院負(fù)責(zé)包括信息安全協(xié)議在內(nèi)的智能電網(wǎng)協(xié)議和標(biāo)準(zhǔn)的自愿框架的研發(fā)。NISTf20102014發(fā)#了《?能電網(wǎng)互操作標(biāo)準(zhǔn)的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本，明確了智能電網(wǎng)的網(wǎng)絡(luò)安全原則以及標(biāo)準(zhǔn)等。2011年3月，NIST了信息安全標(biāo)準(zhǔn)和指導(dǎo)方針系列中的旗艦文檔《NISTSP800-39，信息安全風(fēng)險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)，提供了一系列有意義的信息安全改進(jìn)建議。2014年2月，根據(jù)13636行政令，了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》第一版，以幫助組織識別、評估和管理關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險。

 

NIST正在開發(fā)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全實驗平臺用于檢測符合網(wǎng)絡(luò)安全保護(hù)指導(dǎo)方針和標(biāo)準(zhǔn)的_「.業(yè)控制系統(tǒng)的性能，以指導(dǎo)工業(yè)控制系統(tǒng)安全策略最佳實踐的實施。

 

3.2智能電網(wǎng)網(wǎng)絡(luò)安全委員會

 

智能電網(wǎng)網(wǎng)絡(luò)安全委員會其前身是智能電網(wǎng)互操作組網(wǎng)絡(luò)安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網(wǎng)安全架構(gòu)、風(fēng)險管理流程、安全測試和認(rèn)證等研究，致力于推進(jìn)智能電網(wǎng)網(wǎng)絡(luò)安全的發(fā)展和標(biāo)準(zhǔn)化。在NIST的領(lǐng)導(dǎo)下，SGCC編制并進(jìn)一步修訂了《智能電網(wǎng)信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網(wǎng)信息安全分析框架，為組織級研究、設(shè)計、研發(fā)和實施智能電網(wǎng)技術(shù)提供了指導(dǎo)性T.具。

 

3.3國家電力行業(yè)信息安全組織(NESC0)

 

能源部組建的國家電力行業(yè)信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)，集結(jié)了美國國內(nèi)外致力于電力行業(yè)網(wǎng)絡(luò)安全的專家、開發(fā)商以及用戶，致力于網(wǎng)絡(luò)威脅的數(shù)據(jù)分析和取證工作⑴。美國電力科學(xué)研究院(EPRI)作為NESC0成員之一提供研究和分析資源，開展信息安全要求、標(biāo)準(zhǔn)和結(jié)果的評估和分析。NESCO與能源部、聯(lián)邦政府其他機(jī)構(gòu)等共同合作補(bǔ)充和完善了2011路線圖的關(guān)鍵里程碑和目標(biāo)。

 

3.4能源行業(yè)控制系統(tǒng)工作組(ESCSWG)

 

隸屬國土安全部的能源行業(yè)控制系統(tǒng)工作組由能源領(lǐng)域安全專家組成，在關(guān)鍵基礎(chǔ)設(shè)施合作咨詢委員會框架下運作。在能源部的資助下，ESCSWG編制了《實現(xiàn)能源傳輸系統(tǒng)信息安全路線圖》、《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全釆購用語指南》。3.5能源部所屬的國家實驗室

 

3.5.1愛達(dá)荷國家實驗室(INL)

 

愛達(dá)荷W家實驗室成立于1949年，是為美國能源部在能源研究、國家防御等方面提供支撐的應(yīng)用工程實驗室。近十年來，INL與電力行業(yè)合作，加強(qiáng)了電網(wǎng)可靠性、控制系統(tǒng)安全研究。

 

在美國能源部的資助下，INL建立了包含美國國內(nèi)和國際上多種控制系統(tǒng)的SCADA安全測試平臺以及無線測試平臺等資源，目的對SCADA進(jìn)行全面、徹底的評估，識別控制系統(tǒng)脆弱點，并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統(tǒng)信息安全項目，INL提出了采用數(shù)據(jù)壓縮技術(shù)檢測惡意流量對SCADA實時網(wǎng)絡(luò)保護(hù)的方法hi。為支持美國國土安全部控制系統(tǒng)安全項目，INL開發(fā)并實施了培訓(xùn)課程以增強(qiáng)控制系統(tǒng)專家的安全意識和防御能力。1NL的相關(guān)研究報告有《SCADA網(wǎng)絡(luò)安全評估方法》、《控制系統(tǒng)十大漏洞及其補(bǔ)救措施》、《控制系統(tǒng)網(wǎng)絡(luò)安全：深度防御戰(zhàn)略》、《控制系統(tǒng)評估中常見網(wǎng)絡(luò)安全漏洞》%、《能源傳輸控制系統(tǒng)漏洞分析>嚴(yán)|等。

 

3.5.2太平洋西北國家實驗室(PNNL)

 

太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室，研究解決美國在能源、環(huán)境和國家安全等方面最緊迫的問題。

 

PNNL提出的安全SCADA通信協(xié)議(secureserialcommunicationsprotocol,SSCP)的概念，有助于實現(xiàn)遠(yuǎn)程訪問設(shè)備與控制中心之間的安全通信。的相關(guān)研究報告有《工業(yè)控制和SCADA的安全數(shù)據(jù)傳輸指南》等。PNNL目前正在開展仿生技術(shù)提高能源領(lǐng)域網(wǎng)絡(luò)安全的研究項。

 

3.5.3桑迪亞國家實驗室(SNL)

 

桑迪亞國家實驗室是能源部所屬的多學(xué)科國家實驗室，也是聯(lián)邦政府資助的研究和發(fā)展中心。SNL的研究報告有《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)網(wǎng)絡(luò)漏洞評估指南》、《控制系統(tǒng)數(shù)據(jù)分析和保護(hù)安全框架》、《過程控制系統(tǒng)的安全指標(biāo)》I1'《高級計量基礎(chǔ)設(shè)施安全考慮》、《微電網(wǎng)網(wǎng)絡(luò)安全參考結(jié)構(gòu)》等。在能源部的資助下，SNL開展了關(guān)于供應(yīng)鏈威脅的研究項目，形成的威脅模型有助于指導(dǎo)安全解決方案的選擇以及新投資的決策h(yuǎn)i。

 

4美國電力行業(yè)信息安全的運作策略

 

4.1標(biāo)準(zhǔn)只作為網(wǎng)絡(luò)安全的基線

 

NERC的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)(CIP)作為強(qiáng)制性標(biāo)準(zhǔn)，是電力行業(yè)整體網(wǎng)絡(luò)安全策略的重要內(nèi)容。CIP標(biāo)準(zhǔn)與電網(wǎng)規(guī)劃準(zhǔn)則、系統(tǒng)有功平衡與調(diào)頻、無功平衡與調(diào)壓、安全穩(wěn)定運行等系列標(biāo)準(zhǔn)相并列，成為北美大電網(wǎng)可靠性標(biāo)準(zhǔn)的重要組成部分。目前強(qiáng)制執(zhí)行的是CIP-002至C⑴-009共8個標(biāo)準(zhǔn)的第3版。文獻(xiàn)1丨6]提供了CIP-002至CIP-009主要內(nèi)容的描述列表。C〖P第5版近期已通過FERC批準(zhǔn)即將于2016年實施。第5版新增了CIP-010配置變更管理和漏洞評估、C1P-011信息保護(hù)2個強(qiáng)制標(biāo)準(zhǔn)。

 

目前配電系統(tǒng)沒有強(qiáng)制標(biāo)準(zhǔn)，但NIST將C1P標(biāo)準(zhǔn)融入了智能電網(wǎng)互操作框架中。智能電網(wǎng)互操作框架雖然是自愿標(biāo)準(zhǔn)，但為配電系統(tǒng)提供了信息安全措施指導(dǎo)為系統(tǒng)性的指導(dǎo)智能電網(wǎng)信息安全工作，NIST組織編制了《美國智能電網(wǎng)信息安全指南》，提出了一個普適性的智能電網(wǎng)信息安全分析框架，為智能電網(wǎng)的各相關(guān)方提供了風(fēng)險評估、風(fēng)險識別以及安全要求的實施方法。DOE編制的《電力行業(yè)信息安全風(fēng)險管理過程指南》提供了電力行業(yè)信息安全風(fēng)險管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i，通過行業(yè)實踐幫助組織評估、優(yōu)化和改善網(wǎng)絡(luò)安全功能，促進(jìn)網(wǎng)絡(luò)安全行動和投資的有序開展以及信息安全能力的持續(xù)提升。2014年NIST了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》也作為電力行業(yè)網(wǎng)絡(luò)安全自愿標(biāo)準(zhǔn)。文獻(xiàn)f17]提到只有21%的公用事業(yè)采取了NERC推薦的預(yù)防震網(wǎng)措施，可見自愿標(biāo)準(zhǔn)的執(zhí)行率偏低強(qiáng)制執(zhí)行的CIP標(biāo)準(zhǔn)在大電力系統(tǒng)網(wǎng)絡(luò)安全方面確實發(fā)揮了基礎(chǔ)作用，然而網(wǎng)絡(luò)威脅的快速變化以及每個組織面對的風(fēng)險的獨特性，強(qiáng)制性標(biāo)準(zhǔn)在某種程度上影響企業(yè)采取超過但不同于最低標(biāo)準(zhǔn)的合適的防護(hù)措施。文獻(xiàn)丨3]提出目前將強(qiáng)制性的解決方案擴(kuò)展到配電網(wǎng)不是有效的方法，聯(lián)邦政府也在考慮縮小強(qiáng)制性范圍。持續(xù)提升網(wǎng)絡(luò)安全水平不能僅僅依賴于標(biāo)準(zhǔn)的符合度，監(jiān)督管理不能保證安全。電力行業(yè)的網(wǎng)絡(luò)安全需要整體的網(wǎng)絡(luò)安全戰(zhàn)略，包括安全文化建設(shè)、共享與協(xié)作、風(fēng)險管理等。無論是強(qiáng)制性的標(biāo)準(zhǔn)還是非強(qiáng)制性的標(biāo)準(zhǔn)都只是信息安全的最低要求'4.2安全文化建設(shè)成為信息安全路線圖首要策略

 

篇8

1．引言

隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，其開放性，共享性，互連程度擴(kuò)大，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。而網(wǎng)絡(luò)安全問題顯得越來越重要了。網(wǎng)絡(luò)有其脆弱性，并會受到一些威脅。而風(fēng)險分析是建立網(wǎng)絡(luò)防護(hù)系統(tǒng)，實施風(fēng)險管理程序所開展的一項基礎(chǔ)性工作。風(fēng)險管理的目的是為確保通過合理步驟，以防止所有對網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。網(wǎng)絡(luò)的安全威脅與網(wǎng)絡(luò)的安全防護(hù)措施是交互出現(xiàn)的。不適當(dāng)?shù)木W(wǎng)絡(luò)安全防護(hù)，不僅可能不能減少網(wǎng)絡(luò)的安全風(fēng)險，浪費大量的資金，而且可能招致更大的安全威脅。因此，周密的網(wǎng)絡(luò)安全風(fēng)險分析，是可靠，有效的安全防護(hù)措施制定的必要前提。網(wǎng)絡(luò)風(fēng)險分析應(yīng)該在網(wǎng)絡(luò)系統(tǒng)，應(yīng)用程序或信息數(shù)據(jù)庫的設(shè)計階段進(jìn)行，這樣可以從設(shè)計開始就明確安全需求，確認(rèn)潛在的損失。因為在設(shè)計階段實現(xiàn)安全控制要遠(yuǎn)比在網(wǎng)絡(luò)系統(tǒng)運行后采取同樣的控制要節(jié)約的多。即使認(rèn)為當(dāng)前的網(wǎng)絡(luò)系統(tǒng)分析建立的十分完善，在建立安全防護(hù)時，風(fēng)險分析還是會發(fā)現(xiàn)一些潛在的安全問題。

一般來說，計算機(jī)網(wǎng)絡(luò)安全問題，計算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施脆弱性共同構(gòu)成了計算機(jī)網(wǎng)絡(luò)的潛在威脅。一方面，計算機(jī)系統(tǒng)硬件和通信設(shè)施極易遭受到自然環(huán)境因素的影響（如：溫度，濕度，灰塵度和電磁場等的影響）以及自然災(zāi)害（如：洪水，地震等）和人為（包括故意破壞和非故意破壞）的物理破壞；另一方面計算機(jī)內(nèi)的軟件資源和數(shù)據(jù)信息易受到非法的竊取，復(fù)制，篡改和毀壞等攻擊；同時計算機(jī)系統(tǒng)的硬件，軟件的自然損耗和自然失效等同樣會影響系統(tǒng)的正常工作，造成計算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)信息的損壞，丟失和安全事故。

通過結(jié)合對計算機(jī)網(wǎng)絡(luò)的特點進(jìn)行分析，綜合起來，從安全威脅的形式劃分得出了主要風(fēng)險因素。

風(fēng)險因素主要有：自然因素，物理破壞，系統(tǒng)不可用，備份數(shù)據(jù)的丟失，信息泄漏等因素

2．古典的風(fēng)險分析

基本概念：

風(fēng)險：風(fēng)險就是一個事件產(chǎn)生我們所不希望的后果的可能性。風(fēng)險分析要包括發(fā)生的可能性和它所產(chǎn)生的后果的大小兩個方面。因此風(fēng)險可表示為事件發(fā)生的概率及其后果的函數(shù)：

風(fēng)險R=ƒ(p,c)

其中p­為事件發(fā)生的概率，c為事件發(fā)生的后果。

風(fēng)險分析：就是要對風(fēng)險的辨識，估計和評價做出全面的，綜合的分析，其主要組成為：

1.風(fēng)險的辨識，也就是那里有風(fēng)險，后果如何，參數(shù)變化？

2.風(fēng)險評估，也就是概率大小及分布，后果大??？

風(fēng)險管理：

風(fēng)險管理是指對風(fēng)險的不確定性及可能性等因素進(jìn)行考察、預(yù)測、收集、分析的基礎(chǔ)上制定的包括識別風(fēng)險、衡量風(fēng)險、積極管理風(fēng)險、有效處置風(fēng)險及妥善處理風(fēng)險等一整套系統(tǒng)而科學(xué)的管理方法，旨在使企業(yè)避免和減少風(fēng)險損失，得到長期穩(wěn)定的發(fā)展。

3．網(wǎng)絡(luò)安全的風(fēng)險分析

本文采用的風(fēng)險分析方法是專家評判的方法。由于網(wǎng)絡(luò)的脆弱性以及對網(wǎng)絡(luò)的威脅，因此網(wǎng)絡(luò)中就存在風(fēng)險。根據(jù)古典的風(fēng)險分析，則網(wǎng)絡(luò)中的風(fēng)險與風(fēng)險因素發(fā)生的概率和相應(yīng)的影響有關(guān)。而概率可以通過統(tǒng)計的方法來得到，影響可以通過專家的評判方法來得到。因此,風(fēng)險R=P(概率)*F（影響）

這時，風(fēng)險分析的過程包括：統(tǒng)計概率，評估影響，然后評估風(fēng)險。然后根據(jù)風(fēng)險分析的大小來管理風(fēng)險。

1統(tǒng)計概率

通俗的說，概率是單位時間內(nèi)事件發(fā)生的次數(shù)。按每年事件發(fā)生的次數(shù)來統(tǒng)計概率。

2影響的評估

首先對上述5個因素確定權(quán)重W，按照模糊數(shù)學(xué)的方法將每個因素劃分為五個等級：很低，低，中等，高，很高。并給出每個等級的分?jǐn)?shù)C（1．2，3．6，7），根據(jù)各個專家對每個因素的打分計算出每個因素的分?jǐn)?shù)C，再將W與C相乘，累計求和ΣWC,讓F=ΣWC此值即因素的影響的大小。

風(fēng)險因素權(quán)重的確定方法如下：

設(shè)影響的n個因素為A1，A2，…，An，參加評判的專家m人。對n個因素，先找出最重要因素和最不重要因素，并按層次分析方法（AHP）中1－9的標(biāo)度和標(biāo)準(zhǔn)確定兩者的比率。

將5個因素按重要程度從小到大排序，以最不重要因素為基準(zhǔn)（賦值為1），將各個因素與其比較。按重要程度進(jìn)行賦值（按AHP法中的標(biāo)度和標(biāo)準(zhǔn)）。

將m個專家對n個因素所賦的分為r塊，分別記為A［1］，A［2］，…，A［r］。其中矩陣A［k］的行表示以Ak為最不重要因素的專家數(shù)，記作mk。列表示將因素Ak作為基準(zhǔn)，對n個因素A1，A2，…，An所賦的值。具體形式為：

AAA…A…..A

A[k]=(1)

其中

a=1,1<=a<=9,Σm=m(i=1,2,…,m;j=1,2,…,n)

對于分塊矩陣A［k］，因各因素賦值均以Ak為基準(zhǔn)，從而可對A［k］中各列分別求平均值

a=Σa/mj=1,2,…,n（2）

對所有分塊矩陣作上述處理，可分別得到（A1，A2，…，Ar）。

對于每個分塊矩陣A［k］（k＝1，2，…，r）；因行數(shù)不同，其在專家數(shù)m中的所占的比重也不同，因而需考慮mk在m中所占的比重，稱mk／m為ajk的權(quán)系數(shù)。

由以上分析可得因素Aj的綜合賦值。

A=Σa*m/mj=1,2,…,n（3）

篇9

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2016）11-0210-01

1 網(wǎng)絡(luò)安全風(fēng)險概述

1.1 網(wǎng)絡(luò)安全風(fēng)險

網(wǎng)絡(luò)最大的特點便是自身的靈活性高、便利性強(qiáng)，其能夠為廣大網(wǎng)絡(luò)用戶提供傳輸以及網(wǎng)絡(luò)服務(wù)等功能，網(wǎng)絡(luò)安全主要包括無線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)安全。從無線網(wǎng)絡(luò)安全方面來看，無線網(wǎng)絡(luò)安全主要是保證使用者進(jìn)行網(wǎng)絡(luò)通話以及信息傳遞的安全性和保密性，其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當(dāng)前研究的重要課題，由于無線網(wǎng)絡(luò)在數(shù)據(jù)存儲和傳輸?shù)倪^程之中有著相當(dāng)嚴(yán)重的局限性，其在安全方面面臨著較大的風(fēng)險，如何對這些風(fēng)險進(jìn)行預(yù)防直接關(guān)乎著使用者的切身利益。想要對無線網(wǎng)絡(luò)安全進(jìn)行全面正確的評估，單純的定量分析法已經(jīng)不能夠滿足當(dāng)前的需求，因此，本文更推薦將層次分析法和逼近思想法進(jìn)行雙重結(jié)合，進(jìn)一步對一些不確定因素進(jìn)行全面的評估，確保分析到每一個定量和變量，進(jìn)一步計算出當(dāng)前無線網(wǎng)絡(luò)的安全風(fēng)險值。而對于有線網(wǎng)絡(luò)，影響其安全風(fēng)險的因素相對較少，但是依然要對其進(jìn)行全面分析，盡最大可能得到最準(zhǔn)確的數(shù)值。

1.2 網(wǎng)絡(luò)安全的目標(biāo)

網(wǎng)絡(luò)安全系統(tǒng)最重要的核心目標(biāo)便是安全。在網(wǎng)絡(luò)漏洞日益增多的今天，如何對網(wǎng)絡(luò)進(jìn)行全方位無死角的漏洞安全排查便顯得尤為重要。在網(wǎng)絡(luò)安全檢測的各個方面均有著不同的要求，而借助這些各方面各個層次的安全目標(biāo)最終匯集成為一個總的目標(biāo)方案，而采取這種大目標(biāo)和小目標(biāo)的分層形式主要是為了確保網(wǎng)絡(luò)安全評估的工作效率，盡最大可能減少每個環(huán)節(jié)所帶來的網(wǎng)絡(luò)安全風(fēng)險，從而保證網(wǎng)絡(luò)的合理安全運行。

1.3 風(fēng)險評估指標(biāo)

在本論文的分析過程之中，主要對風(fēng)險評估劃分了三個系統(tǒng)化的指標(biāo)，即網(wǎng)絡(luò)層指標(biāo)體系、網(wǎng)絡(luò)傳輸風(fēng)險指標(biāo)體系以及物理安全風(fēng)險指標(biāo)體系，在各個指標(biāo)體系之中，又分別包含了若干個指標(biāo)要素，最終形成了一個完整的風(fēng)險評估指標(biāo)體系，進(jìn)而避免了資源的不必要浪費，最終達(dá)到網(wǎng)絡(luò)安全的評估標(biāo)準(zhǔn)。

2 網(wǎng)絡(luò)安全風(fēng)險評估的方法

如何對網(wǎng)絡(luò)風(fēng)險進(jìn)行評估是當(dāng)前備受關(guān)注的研究課題之一。筆者結(jié)合了近幾年一些學(xué)者在學(xué)術(shù)期刊和論文上的意見進(jìn)行了全面的分析，結(jié)合網(wǎng)絡(luò)動態(tài)風(fēng)險的特點以及難點問題，最終在確定風(fēng)險指標(biāo)系統(tǒng)的基礎(chǔ)上總結(jié)出了以下幾種方法，最終能夠保證網(wǎng)絡(luò)信息安全。

2.1 網(wǎng)絡(luò)風(fēng)險分析

作為網(wǎng)絡(luò)安全第一個環(huán)節(jié)也是最為重要的一個環(huán)節(jié)，網(wǎng)絡(luò)風(fēng)險分析的成敗直接決定了網(wǎng)絡(luò)安全風(fēng)險評估的成敗。對于網(wǎng)絡(luò)風(fēng)險進(jìn)行分析，不單單要涉及指標(biāo)性因素，還有將許多不穩(wěn)定的因素考慮在內(nèi)，全面的徹底的分析網(wǎng)絡(luò)安全問題發(fā)生的可能性。在進(jìn)行分析的過程之中，要從宏觀和微觀兩個方面進(jìn)行入手分手，最大程度的保證將內(nèi)外部因素全部考慮在內(nèi)，對網(wǎng)絡(luò)資產(chǎn)有一個大致的判斷，并借此展開深層次的分析和研究。

2.2 風(fēng)險評估

在網(wǎng)絡(luò)安全風(fēng)險評估之中，可以說整個活動的核心便是風(fēng)險評估了。網(wǎng)絡(luò)風(fēng)險的突發(fā)性以及并發(fā)性相對其他風(fēng)險較高，這便進(jìn)一步的體現(xiàn)了風(fēng)險評估工作的重要性。在進(jìn)行風(fēng)險評估的過程之中，我們主要通過對風(fēng)險誘導(dǎo)因素進(jìn)行定量和定性分析，在此分析的基礎(chǔ)上再加以運用逼近思想法進(jìn)行全面的驗證，從而不斷的促進(jìn)風(fēng)險評估工作的效率以及安全性。在進(jìn)行風(fēng)險評估的過程之中，要充分結(jié)合當(dāng)前網(wǎng)絡(luò)所處的環(huán)境進(jìn)行分析，將工作思想放開，不能拘泥于理論知識，將實踐和理論相結(jié)合，最終完成整個風(fēng)險評估工作。

2.3 安全風(fēng)險決策與監(jiān)測

在進(jìn)行安全風(fēng)險決策的過程之中，對信息安全依法進(jìn)行管理和監(jiān)測是保證網(wǎng)絡(luò)風(fēng)險安全的前提。安全決策主要是根據(jù)系統(tǒng)實時所面對的具體狀況所進(jìn)行的風(fēng)險方案決策，其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定，從而最終保證風(fēng)險評估得以平穩(wěn)進(jìn)行。而對于安全監(jiān)測，網(wǎng)絡(luò)風(fēng)險評估的任何一個過程都離不開安全檢測的運行。網(wǎng)絡(luò)的不確定性直接決定了網(wǎng)絡(luò)安全監(jiān)測的必要性，在系統(tǒng)更新?lián)Q代中，倘若由于一些新的風(fēng)險要素導(dǎo)致整個網(wǎng)絡(luò)的安全評估出現(xiàn)問題，那么之前的風(fēng)險分析和決策對于后面的管理便已經(jīng)毫無作用，這時候網(wǎng)絡(luò)監(jiān)測所起到的一個作用就是實時判斷網(wǎng)絡(luò)安全是否產(chǎn)生突發(fā)狀況，倘若產(chǎn)生了突發(fā)狀況，相關(guān)決策部門能夠第一時間的進(jìn)行策略調(diào)整。因此，網(wǎng)絡(luò)監(jiān)測在整個工作之中起到一個至關(guān)重要的作用。

3 結(jié)語

網(wǎng)絡(luò)安全風(fēng)險評估是一個復(fù)雜且完整的系統(tǒng)工程，其本質(zhì)性質(zhì)決定了風(fēng)險評估的難度。在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險評估的過程之中，要有層次的選擇合適的評估方法進(jìn)行評估，確保風(fēng)險分析和評估工作的有序進(jìn)行，同時又要保證安全決策和安全檢測的完整運行，與此同時，要保證所有的突發(fā)狀況都能夠及時的反映和對付，最終確保整個網(wǎng)絡(luò)安全的平穩(wěn)運行。

參考文獻(xiàn)

[1]程建華.信息安全風(fēng)險管理、評估與控制研究[D].吉林大學(xué)，2008.

[2]李志偉.信息系統(tǒng)風(fēng)險評估及風(fēng)險管理對策研究[D].北京交通大學(xué)，2010.

篇10

計算機(jī)網(wǎng)絡(luò)已經(jīng)成為各個行業(yè)發(fā)展歷程中不可或缺的組成部分，為了確保政府單位、企業(yè)等資源的安全、合理利用，就需要對計算機(jī)網(wǎng)絡(luò)進(jìn)行全面的研究和分析，發(fā)現(xiàn)哪些環(huán)節(jié)容易受到惡意軟件、黑客和病毒的攻擊，并制定有效的預(yù)防措施，這樣不僅可以確保各個環(huán)節(jié)工作的順利進(jìn)行，而且還能避免秘密的泄漏，所以加強(qiáng)對網(wǎng)絡(luò)風(fēng)險的管理至關(guān)重要。

一、計算機(jī)網(wǎng)絡(luò)安全的定義

計算機(jī)網(wǎng)絡(luò)安全主要包括硬件安全、管理控制網(wǎng)絡(luò)軟件安全、快捷網(wǎng)絡(luò)服務(wù)安全以及共享資源的安全等，所以計算機(jī)網(wǎng)絡(luò)安全幾乎涵蓋了所有與計算機(jī)有關(guān)的內(nèi)容。由ISO的定義可知計算機(jī)網(wǎng)絡(luò)安全主要是借助一些技能、管理和手段，來對計算機(jī)的硬件、軟件以及數(shù)據(jù)資源進(jìn)行安全管理，使其不會遭受惡意或偶然的更改、破壞、泄漏，從而確保計算機(jī)網(wǎng)絡(luò)安全、可靠的運行。

二、計算機(jī)網(wǎng)絡(luò)風(fēng)險分析與管理

通常情況下，計算機(jī)網(wǎng)絡(luò)安全的問題主要來自于計算機(jī)本身和通信設(shè)施自身的脆弱性，這些缺陷都可能導(dǎo)致計算機(jī)網(wǎng)絡(luò)的運行存在威脅。同時計算機(jī)系統(tǒng)軟件、硬件和通信設(shè)備也極易受到濕度、溫度、電磁場、灰塵度等外界因素的影響。除此之外，故意與非故意的人為破壞也會在一定程度上導(dǎo)致計算機(jī)安全受到威脅。另一方面，計算機(jī)內(nèi)部的數(shù)據(jù)和軟件資源極易受到非法復(fù)制、竊取、毀壞和篡改，而且計算機(jī)軟件和硬件系統(tǒng)自身的損耗也會導(dǎo)致系統(tǒng)不能正常運行，從而造成計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的丟失和信息的損壞。通過對計算機(jī)網(wǎng)絡(luò)安全的特點分析得知，影響計算機(jī)網(wǎng)絡(luò)安全的主要因素包括系統(tǒng)因素、信息泄漏、數(shù)據(jù)因素、物理破壞因素、自然因素等。對計算機(jī)網(wǎng)絡(luò)安全分析的時候要同時包括隱患事件發(fā)生的可能性和影響范圍大小兩個方面，要對風(fēng)險的估計、辨識和評價作出全面的分析，主要含有風(fēng)險評估與風(fēng)險辨識兩個方面。相關(guān)人員在對網(wǎng)絡(luò)風(fēng)險進(jìn)行分析時，可以根據(jù)風(fēng)險因素出現(xiàn)的概率和影響范圍大小進(jìn)行評估，然后根據(jù)相關(guān)標(biāo)準(zhǔn)將計算機(jī)網(wǎng)絡(luò)風(fēng)險分析的過程劃分為評估影響、統(tǒng)計概率、評估風(fēng)險三個步驟，并根據(jù)風(fēng)險分析的大小來采取措施對其進(jìn)行管理。

風(fēng)險管理的過程就是對計算機(jī)網(wǎng)絡(luò)風(fēng)險因素進(jìn)行收集、分析、預(yù)測，并根據(jù)其風(fēng)險發(fā)生的概率制定系統(tǒng)性的科學(xué)管理方法，該過程中一般包括風(fēng)險的識別、風(fēng)險的衡量、風(fēng)險的有效處置、風(fēng)險的積極管理以及風(fēng)險妥善處理等內(nèi)容。風(fēng)險管理的主要目的就是減少和避免網(wǎng)絡(luò)風(fēng)險給企業(yè)造成的巨大損失，從而促進(jìn)企業(yè)的安全、可靠發(fā)展。

三、計算機(jī)網(wǎng)絡(luò)風(fēng)險的常見類型

計算機(jī)網(wǎng)絡(luò)本身具有一定的特殊性，所以將會面臨諸多因素的干擾，相應(yīng)的風(fēng)險就應(yīng)運而生，對各類風(fēng)險的分類總結(jié)如下：

（一）黑客的威脅和攻擊

黑客是計算機(jī)網(wǎng)絡(luò)中的最大威脅，現(xiàn)實生活中黑客攻擊的方式主要有破壞性攻擊和非破壞性攻擊兩種。破壞性攻擊會對電腦系統(tǒng)造成嚴(yán)重的破壞，主要目的是竊取計算機(jī)網(wǎng)絡(luò)中的保密數(shù)據(jù)，其一般是通過獲取電子郵件、口令、特洛伊木馬以及系統(tǒng)漏洞等來對計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊和損害。非破壞性攻擊一般是以阻礙計算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運行為目的，其一般不會導(dǎo)致系統(tǒng)資料的外泄，通常是通過信息炸彈和拒絕服務(wù)來對系統(tǒng)進(jìn)行攻擊。

（二）IP地址被盜用

區(qū)域網(wǎng)絡(luò)使用過程中經(jīng)常會出現(xiàn)IP地址被盜用的情況，所以經(jīng)常會告知用戶IP地址已被占用，導(dǎo)致用戶無法進(jìn)行計算機(jī)網(wǎng)絡(luò)連接。IP地址的權(quán)限一般比較高，IP地址竊取人員通常會以不知名的身份來阻止用戶對網(wǎng)絡(luò)的正常使用，從而對用戶造成較大的影響，使用戶的合法權(quán)益受到侵犯，嚴(yán)重威脅了計算機(jī)網(wǎng)絡(luò)的安全性。

（三）計算機(jī)病毒

我國的相關(guān)規(guī)范和標(biāo)準(zhǔn)中明文規(guī)定了計算機(jī)病毒的定義是編制者將程序代碼、指令植入到計算機(jī)網(wǎng)絡(luò)系統(tǒng)之中，而且這些程序代碼和指令具有自我復(fù)制的功能，而且對計算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)和相關(guān)功能進(jìn)行破壞，從而影響了計算機(jī)網(wǎng)絡(luò)的正常運行。大量的實踐結(jié)果表明，計算機(jī)病毒具有破壞力強(qiáng)而不易發(fā)現(xiàn)的特點。如今，計算機(jī)病毒已經(jīng)成為威脅網(wǎng)絡(luò)安全的罪魁禍?zhǔn)?，其各類病毒在網(wǎng)上的傳播速度比較快，而且對計算機(jī)網(wǎng)絡(luò)所造成的危害也是巨大的，常見的計算機(jī)病毒有震網(wǎng)、木馬、火焰等。

（四）缺乏系統(tǒng)性的計算機(jī)網(wǎng)絡(luò)安全管理

如今，我國大部分計算機(jī)網(wǎng)絡(luò)安全缺乏系統(tǒng)性的管理，而且相關(guān)管理體制不夠健全，對權(quán)限和密碼的管理不到位，崗位分工不明確、用戶安全防衛(wèi)意識薄弱等都有可能加重計算機(jī)網(wǎng)絡(luò)風(fēng)險的發(fā)生，同時導(dǎo)致計算機(jī)黑客、病毒更容易對計算機(jī)網(wǎng)絡(luò)進(jìn)行破壞，從而威脅到了計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。

（五）垃圾郵件的泛濫

垃圾郵件屬于用戶不愿意結(jié)束但是又無法拒絕的郵件，這些郵件不僅增加了郵箱的內(nèi)存，而且還增加了網(wǎng)絡(luò)的負(fù)擔(dān)，嚴(yán)重影響了計算機(jī)網(wǎng)絡(luò)系統(tǒng)的運行速度，同時也侵犯了用戶的隱私。

四、計算機(jī)網(wǎng)絡(luò)安全的控制對策

導(dǎo)致計算機(jī)網(wǎng)絡(luò)出現(xiàn)風(fēng)險的因素比較多，只有對其進(jìn)行全面的分析，掌握風(fēng)險的類型才能做到對癥下藥；只有采取有效的策略，才能盡最大可能避免風(fēng)險的發(fā)生，保證計算機(jī)網(wǎng)絡(luò)的安全。具體的風(fēng)險防范策略如表1所示。

表1計算機(jī)網(wǎng)絡(luò)風(fēng)險防范策略

（一）防黑客技術(shù)

如今，黑客已經(jīng)導(dǎo)致越來越多的企業(yè)遭受損害，所以加強(qiáng)計算機(jī)網(wǎng)絡(luò)的身份認(rèn)證已經(jīng)成為未來發(fā)展的必然趨勢，同時要求用戶定期對自己的賬戶和密碼進(jìn)行修改，并結(jié)合其它預(yù)防技術(shù)，從而實現(xiàn)對網(wǎng)絡(luò)黑客的阻止。現(xiàn)實生活中最為有效的黑客防治措施就是防火墻技術(shù)，防火墻可以有效的避免外來用戶對計算機(jī)網(wǎng)絡(luò)的非法入侵，其一般是在外部網(wǎng)絡(luò)和局域網(wǎng)之間設(shè)置防火墻，其不僅能夠阻止外來用戶對計算機(jī)網(wǎng)絡(luò)的非法入侵，而且還能保證網(wǎng)絡(luò)系統(tǒng)的正常運行。防火墻的使用可以保證外部網(wǎng)與局域網(wǎng)地址的分割，這樣一來外部網(wǎng)絡(luò)也不能任意查找局域網(wǎng)的IP地址，同時也不能和局域網(wǎng)之間發(fā)生數(shù)據(jù)交流，因為外部網(wǎng)絡(luò)和局域網(wǎng)之間的交流必須通過防火墻的過濾才能實現(xiàn)，從而提高了計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性。防火墻技術(shù)運用的主要目的就是對計算機(jī)網(wǎng)絡(luò)之間的訪問進(jìn)行控制，避免外部非法用戶對網(wǎng)絡(luò)資源的竊取和利用，從而實現(xiàn)了對內(nèi)部網(wǎng)絡(luò)的保護(hù)。防火墻技術(shù)不僅可以決定對外部信息的訪問，而且還能決定外部哪些信息可以進(jìn)入計算機(jī)網(wǎng)絡(luò)系統(tǒng)之中，而且只要是外部信息想要進(jìn)入內(nèi)部網(wǎng)絡(luò)就需要經(jīng)過防火墻，防火墻將會對這些信息進(jìn)行檢查，獲取授權(quán)之后才能順利通過防火墻。

（二）計算機(jī)病毒的防范措施

計算機(jī)病毒的入侵難以察覺，而且侵入計算機(jī)網(wǎng)絡(luò)內(nèi)部的方式比較多，所以要對病毒的預(yù)防給予高度的重視，同時還要為計算機(jī)網(wǎng)絡(luò)配備專業(yè)的防毒軟件，并定期進(jìn)行升級，以便能夠更好的解決計算機(jī)病毒，防止其對計算機(jī)網(wǎng)絡(luò)的破壞。對于計算機(jī)病毒的預(yù)防不僅要從計算機(jī)管理人員的日常維護(hù)著手，而且還要從根本上重視計算機(jī)管理的基本內(nèi)容。計算機(jī)網(wǎng)絡(luò)系統(tǒng)的所有工作人員都要熟悉和掌握殺毒軟件，從而有效的預(yù)防病毒的入侵，而且還要定期對計算機(jī)網(wǎng)絡(luò)進(jìn)行檢查，對于潛在的威脅要及時采取措施給予解決。要想最大限度的降低病毒對計算機(jī)網(wǎng)絡(luò)系統(tǒng)的破損，最好對重要信息和數(shù)據(jù)進(jìn)行備份，避免病毒入侵后，一些重要信息無法及時恢復(fù)。計算機(jī)網(wǎng)絡(luò)系統(tǒng)中最為常用的殺毒軟件為：360安全衛(wèi)士、瑞星殺毒、卡巴斯基、金山毒霸、KV3000、NOD32等。

（三）入侵檢測

隨著我國計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，傳統(tǒng)的檢測技術(shù)已經(jīng)不能很好的適應(yīng)時展，此時就需要不斷對其進(jìn)行創(chuàng)新，而入侵檢測技術(shù)就屬于新一代的安全保護(hù)技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)技術(shù)更多的傾向于防火墻技術(shù)和數(shù)據(jù)加密，而入侵檢測技術(shù)則是在上述兩種技術(shù)的基礎(chǔ)上進(jìn)一步研發(fā)得到的。入侵檢測技術(shù)主要包括數(shù)據(jù)收集技術(shù)、響應(yīng)技術(shù)和攻擊檢測技術(shù)三個方面。入侵檢測技術(shù)可以及時、有效的檢測出計算機(jī)網(wǎng)絡(luò)信息和資源中隱含的惡意攻擊行為，其不僅能夠?qū)?nèi)部用戶的非法操作進(jìn)行檢測，而且還能對外部網(wǎng)絡(luò)環(huán)境進(jìn)行有效檢測。該技術(shù)可以在不同網(wǎng)絡(luò)資源或計算機(jī)系統(tǒng)中獲取需要的信息，其主要包括系統(tǒng)運行狀態(tài)信息和網(wǎng)絡(luò)路由信息，在對這些信息進(jìn)行判斷和分析的過程中，入侵檢測技術(shù)可以對異常行為和信號進(jìn)行檢測，從而降低網(wǎng)絡(luò)的威脅。

（四）計算機(jī)網(wǎng)絡(luò)風(fēng)險管理

如今，所有的計算機(jī)網(wǎng)絡(luò)都將面對各式各樣的風(fēng)險，所以加強(qiáng)計算機(jī)網(wǎng)絡(luò)風(fēng)險的管理就顯得尤為重要。計算機(jī)網(wǎng)絡(luò)風(fēng)險管理主要過程就是對各類風(fēng)險進(jìn)行分析和評價，并針對具體風(fēng)險制定有效的處理措施。計算機(jī)網(wǎng)絡(luò)風(fēng)險管理主要是對網(wǎng)絡(luò)的基本屬性特征進(jìn)行分析，其特征主要包括了信息安全和信息系統(tǒng)的調(diào)查。計算機(jī)網(wǎng)絡(luò)風(fēng)險的防范最初開始于對網(wǎng)絡(luò)屬性的分析，其是后續(xù)風(fēng)險評估的關(guān)鍵，從風(fēng)險評估中找出降低計算機(jī)網(wǎng)絡(luò)風(fēng)險的主要措施。風(fēng)險防范的過程中就是對各項風(fēng)險預(yù)防措施的重新排列組合，盡最大努力降低風(fēng)險發(fā)生的概率。實際上，計算機(jī)網(wǎng)絡(luò)風(fēng)險管理是網(wǎng)絡(luò)正常運行中最為重要的一步，同時也是最后一步。

五、結(jié)束語

綜上所述，隨著我國計算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)犯罪的數(shù)量呈現(xiàn)逐年增加的趨勢，而且對計算機(jī)網(wǎng)絡(luò)的攻擊方法逐漸多元化，如電子信息截獲、模仿、更改以及網(wǎng)站經(jīng)濟(jì)欺詐等。究其主要原因還是由于計算機(jī)網(wǎng)絡(luò)管理方面存在漏洞，導(dǎo)致一些病毒、黑客等對網(wǎng)絡(luò)進(jìn)行入侵，致使計算機(jī)網(wǎng)絡(luò)存在較大的安全隱患。所以，加強(qiáng)計算機(jī)網(wǎng)絡(luò)風(fēng)險預(yù)防措施的制定，可以有效降低各類網(wǎng)絡(luò)風(fēng)險的發(fā)生。

參考文獻(xiàn)：