前言:中文期刊网精心挑选了信息安全服务评估报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全服务评估报告范文1
关键词:网络安全;风险评估;安全措施
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
频频发生的信息安全事件正在日益引起全球的关注,列举的近年来的网络突发事件,不难发现,强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估,是指网络安全防御中的一项重要技术,它的原理是,根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。
2 网络安全风险评估的现状
2.1 风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2 安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3 网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
数据作为信息系统的核心价值,被直接攻击和盗取数据将对用户产生极大的危害。正因为如此,数据系统极易受到攻击。对数据库平台来说,应该验证是否能够从远程进行访问,是否存在默认用户名密码,密码的强度是否达到策略要求等。而除了数据库平台之外,数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证,不但要检验其是否存在安全问题,还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证,利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用,而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面,这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比,应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。
4 结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
参考文献:
[1] 陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
[6] 赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.
信息安全服务评估报告范文2
【关键词】信息安全管理 保险公司
一、保险公司信息安全管理的意义
科学的进步,信息技术的发展使当今的社会步入了互联网和大数据的时代。这一时代的变革给社会经济带来了深刻的影响,产生了许多颠覆性的创新,改变了人们传统的行为习惯、企业的商业模式和市场的竞争格局。
整个社会正在发生革命性的变化,世界在迈向信息化的过程中,也给保险行业的发展带来了更广阔的天空。信息技术在未来的保险领域中承载着越来越重要的作用,然而,新技术的应用和推广中,风险与机遇是并存的。技术上的缺陷,安全管理上的漏洞,都将使得信息和信息系统的安全产生严重的问题,甚至于危害人们生命与财产的安全。因此,研究和制定保险公司的信息安全战略,提升保险公司安全保障能力,架构保险信息安全体系是我们面临的重大课题。本文的研究目的就是对保险公司的信息安全管理体系解决方案进行探索,为保险公司的大力发展提供有力的安全保障和基础。
二、保险公司信息安全管理中普通存在的问题
尽管在日常生活中,人们对越来越多暴露出的信息安全问题愈发的敏感和关注,但是普遍来说,整个保险行业对信息安全问题的整体认识不足,缺乏必要和实质的行动,主要存在的问题有以下几个方面:
(一)管理层对信息安全的意义认识不足
管理层对信息安全的认识还没有达到战略性的高度,没有意识到信息安全问题将渗透到企业的方方面面,没有意识到信息安全管理能力将成为企业未来的核心能力。由于管理层重视程度不高,导致了对信息安全管理上人力和物力的投入不足,许多企业的信息安全管理水平不理想。
(二)信息安全管理上缺乏全局思维
保险公司的安全管理目前仍然缺乏一整套完善的规范约束,重视其中的技术问题,轻视了管理问题;重视客观性问题,轻视人为主观性因素;重视对外部环境的安全,轻视内在存在的隐患;以静态的观念思考问题,缺乏前瞻性思维。
(三)信息安全治理的成熟度较低
信息安全治理要包括风险管理,组织流程,策略执行,责任到岗等一整套治理体系,目前许多保险企业的信息安全管理的成熟度仍然处于初级阶段,表现为有局限性的安全保障行为,距离成熟的治理结构,即全面动态优化的阶段,还有比较长的距离。
(四)安全管理基础薄弱,对安全保障有行为没有体系
信息安全问题不仅是技术上问题,,更要面临管理的问题。需要利用技术手段去支持管理手段,利用管理手段提升技术手段应有作用的有效发挥。许多企业对安全的决策没有整合到整个管理体系流程中,对风险的防范是片段的、分散的、局部的,也缺乏专业的安全治理部门和责任人对安全问题进行评估、监督和优化。
鉴于以上存在的问题和现状,保险企业需要深刻的理解信息安全问题的重要性,建立和健全一整套的信息安全管理体系保证安全战略的规划和部署,在信息技术的支持下,促进行业和企业的高速发展。
三、建设和实施信息安全体系的步骤
《保险公司信息系统安全管理指引(试行)》中指出:信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。信息安全不是对单一的信息产品进行防护,而是构筑综合防御体系。一个典型的综合防御体系的构筑过程包括如下步骤:首先,明确信息安全的目标,并建立和完善企业安全治理结构,进而识别和评估企业中存在的安全风险,涉及的相关主体和面临的各项约束,形成安全评估报告,并制定相关的安全控制规划,建立分层次的安全管理体系,最后,对安全管理活动进行持续性的评估、监督、控制和改进。这个过程是个PDCA的过程,安全体系会随着外部环境的变化、业务情况的变化和信息技术的改进而产生新的需求,新的方法,因此它需要不断更新改进,是一个动态发展的过程。
(一)安全目标的确立
信息安全有三个层次的内涵:
第一层次:信息安全,指的是保护信息这种资产自身的安全,避免发生偶发的或有意的泄露、修改、破坏或丧失处理能力。包括三重含义:信息的机密性、信息的真实性和信息的完整性。
第二层次:信息系统的安全,信息系统是信息处理中包含硬件、软件和网络等支撑体系的集合,信息安全与信息系统安全相互附生,信息系统问题将直接引发信息安全问题。
第三层次:由信息安全和信息系统安全带来的的传统安全问题,如机密信息泄露导致的生命财产的损失。
以这三个层次为出发点,帮助我们分析信息安全中的主体、要素、相关关系,并结合公司的战略规划,确定信息安全的根本目标是制定和实施安全管理解决方案的首要任务。
(二)治理结构的设置
由于信息安全管理需要跨部门、跨业务整合资源,因此需要建立强有力的领导层和组织架构,进行顶层设计。在此基础上,实施多资源系统控制政策,整合不同业务、不同渠道、不同条线、不同分支机构的要求,形成安全管理体系,开展具体工作,强化多项目综合管理,既有牵头部门,又要协同作战,既有重点主次,又要全面推进。在高层组织机构的领导下,建立顺畅的安全管理工作协作机制,破除部门壁垒,增进部门协作,推进工作的高效开展。
(三)安全风险的识别和评估
评估信息安全时需要对信息安全、技术安全及其涉及的治理机制、业务流程、人员管理、企业文化等内容进行分析,通过评估工具、人工分析、文档清理、问卷调研等方式对公司现状进行调研,了解物理安全(物理设备的访问控制、电力供应等)、网络安全(基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全)、系统安全(系统软件安全漏洞、系统软件配置安全等)、应用安全(应用软件安全漏洞、软件安全功能、数据防护等)的情况和控制措施。通过基线风险评估制定信息安全底线,对信息资产进行详细的风险分析,了解与信息安全标准之间存在的差距,得到初步的安全评估;通过信息资产风险评估和流程风险评估进行详细的风险评估,对重要的信息资产和IT流程中存在的安全威胁、漏洞及其可能性分析,选择合适的方法进行管理,得到最终的风险评估报告。
(四)整体安全控制规划的制定
为了保障安全管理工作有序、科学和顺利的开展,必须要制定安全控制规划。安全规划在风险评估的基础上,对安全管理框架和技术框架进行详细的规划,作为指导企业安全建设的指南,应该结合过去与未来的网络架构、威胁防护、安全策略、组织、运行等各项工作的任务、内容、建设重点,制定实施的优先级、具体步骤和具体措施。
(五)安全控制体系的建立
安全控制体系架构的建立是整项工作的关键环节之一,我们将安全控制体系分成五个层次:安全内核层、安全服务标准接口层,通用安全接口层、安全组件服务层、安全系统应用层。架构安全控制体系时,满足如下的原则:分层的体系结构要为不同层级的安全服务提供保障;层级功能有相对独立性;应用服务具有通用性,提供统一的访问接口,服务之间也可相互协调;具有很强的扩展能力,很好的兼容新的安全机制和模块。
(六)有效性评估、监管、考核和审计
保险企业应该不断地对信息安全控制体系的实施情况进行审查、监督,采取纠正性措施、预防性措施,并保持安全管理体系的有效运作。对信息安全策略、安全的目标达成情况、编制的文件、安全事件进行分析,采取积极措施,消除已发生的或未来可能发生的与实施和运作标准有差距的不合格状况,防止不利事件的发生。
四、结束语
每一个保险企业具备的个性问题各不相同,在实施信息系统安全管理解决方案时会面临不同条件和约束。同时,即便在共性问题上,也会随着时间的进展,而产生新的问题。现代社会中,如何保障信息安全是一个不断增长的社会需求。安全只是相对的,而不是绝对的,是动态的,不是静止的,这也意味着对信息安全的管理将是一个持续发展、不断完善的过程。
参考文献:
信息安全服务评估报告范文3
最近几年,水利部门根据水利工作的实际状况,在对治水经验和实际操作进行总结的过程中,提出要转变过去的水利发展道路,坚持走可持续发展水利道路,建立水利现代化的发展道路。随着水利事业的不断发展和变革,水利信息化构建也取得了一定的成绩,逐渐转变成为水利现代化的主要力量。根据国家防汛抗旱指挥系统中的一期工程城市水资源的监控管理,水利电子政务的相关项目和大型灌区信息化试点等重要工程的顺利完成,水利信息化基础设备也在不断的健全,对业务的使用能力也在逐渐加强。防汛抗旱,城市水资源的监控管理,水利电子政务和全国水土保持监管信息体系等业务也开始应用到实际生活中。在水利信息化基础构建和业务不断拓展的过程中,相关的保证水利信息化安全的体系也逐渐形成。
2强化水利网络信息安全的解决措施
网络和信息的安全隐患问题,使得水利信息化的发展受到阻碍,所以要及时的进行预防,综合治理和科学管理,逐渐增加信息的安全性,加强其中的保护能力,保证水利信息化的持续运行。
2.1加强信息安全管理
信息安全规划包含了技术、管理和相关法律等多个层面的问题,是稳定网络安全、物理安全、资料安全和使用安全的关键因素。信息安全规划不但依赖于信息化的管理,还是信息化形成的重要力量。在信息安全管理的过程中,信息系统安全构建和管理要更加具有系统性、整体性和目标性。
2.1.1以信息化规划为基础,构建信息化建设
信息安全是在信息化规划的基础上,对信息安全进行系统的整理,是信息化发展的主要力量。信息安全规划不但要对信息化发展的实际情况进行深入的分析和研究,更好的发现信息化中存在的安全隐患,还要根据信息化规划以及信息化发展的主要战略和思路,有效的处理信息安全的问题。
2.1.2构建信息安全系统
信息安全规划需要从技术安全、组织安全、战略安全等方面入手,构建相关的信息安全系统,从而更好的保证信息化的安全。
2.2日常的运维管理
2.2.1注重网络的安全监控
网络的飞速发展使得水利网络安全和互联网安全关系更加紧密。所以,注重互联网安全监控,从而及时的采取相关的安全防护措施,是现在日常安全管理工作中的主要内容。
2.2.2安全状态研究
网络信息安全是处于不断变化的过程中,需要定时对网络安全环境进行整体的分析,这样不但可以发现其中的问题,还可以及时的采取相关的措施进行改正。安全态势主要是利用网络设备、主机设备、安全设备和安全管理工具等策略来进行信息的处理,通过统计和分析,综合评价网络系统的安全性,并且对发展的状态进行判断。
2.2.3信息安全风险评估
风险评估是信息安全管理工作中的重要部分。通过进行风险评估,可以及时的发现信息安全中的问题,并且找到积极有效的解决措施。安全风险评估的主要方法是:(1)对被评估的主要信息进行确定;(2)通过本地审计、人员走访、现场观看、文档审阅、脆弱性扫描等方法,对评估范围中的网络、使用和主机等方面的安全技术和信息进行管理;(3)对取得的信息资料进行综合的分析,判别被评估信息资产中存在的主要问题和风险;(4)从管理体制、管理措施、系统脆弱性判别、威胁研究、漏洞和现有技术等方面,根据风险程度的不同,分析和管理相关的安全问题;(5)根据上面的分析结果,建立相关的信息安全风险评估报告。
2.2.4应急响应
所谓的应急响应就是信息安全保护的最后一道屏障,主要是为了尽量的减少和控制信息安全所造成的严重影响,进行及时的响应和修复。应急响应包含了前期应急准备和后期应急响应两个部分。前期应急准备主要有预警预防制度、组织指导系统、应急响应过程、应急团队、应急器械、技术支持、费用支持等应急措施,并且定时进行应急演练等。后期应急措施主要有检查病毒、系统防护、阻断后门等问题,对网络服务进行限制或关闭以及事后的恢复系统等工作。通过两个部分的不断配合,才能更好的发挥应急响应的重要作用。
2.3教育培养
人是信息安全的主要力量,其中的知识构造和使用能力对信息安全工作有着重要的影响。强化信息安全管理人员的专业素养,及时的进行信息安全教育,提升人们的信息安全意识,从而有效的减少信息安全问题的出现。
3总结
信息安全服务评估报告范文4
关键词:信息;安全
信息是客观世界中物质和能量存在和变动的有序形式,和组织系统对这个形式的能动的反映及改组。其中前一个表语表述了信息概念的广义内涵,后一个表语表述了信息概念的狭义内涵。
一、信息的概述
信息是物质的普遍性,是物质运动的状态与方式。信息的一般属性主要包括普遍性、客观性、无限性、动态性、异步性、共享性 、可传递性等。信息的功能是信息属性的体现 ,主要可以分为两个层次:基本功能和社会功能。信息的功能主要体现在以下几个方面:信息是一切生物进化的导向资源,是知识的来源,是决策的依据,是控制的灵魂,是思维的材料。
二、信息安全的重要性
在当今的信息时代,必须保护对其发展壮大至关重要的信息资产,因此,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。安全漏洞会大大降低公司的市场价值,甚至威胁企业的生存。当今世界已进入信息社会,随着计算机、通信技术的迅猛发展,计算机信息系统的广泛应用,促使它渗透到社会各个行业和部门,人们对它的依赖性越来越大。在军事、经济、科学技术、文化教育商业等行业中,重要的信息资源是通过计算机网络进行输入、处理、存储、传递、输出, 给人们提供迅速、高效的各种信息服务,因此如果不重视计算机信息系统的保护,国家的机要信息资源如不加保护,势必容易被非法窃取、更改、毁坏,将会造成国民经济的巨大损失,国家安全的严重危害。
三、信息安全体系结构
(1)息安全的保护机制
信息安全保护存在的主要问题与政策: 正确的信息安全政策和策略是搞好国家信息安全保护工作的关键, 引发信息安全问题的因素有有外部因素和内部两方面,主要的因素在于内部如信息安全政策不确定;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱、安全管理与技术规范不统一;信息安全市场和服务混乱、不规范;国家监管机制不健全,监管手段缺乏等。
信息安全等级保护要贯彻国家保护重点和基础信息网络与重要信息系统内分区重点兼顾一般的原则。
(2)信息安全体系框架
依据信息安全的多重保护机制,信息安全系统的总要求是物理安全、网络安全、信息内容安全、应用系统安全的总和,安全的最终目标是确保信息的机密性、完整性、可用性、可空性和抗抵赖性,以及信息系统主体对信息资源的控制。完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。
为了适应信息技术的迅速发展以及信息安全的突出需求,国际上许多标准化组织和机构很早就开始了信息安全标准的研究和制定工作,如美国的国防部DOD(Department Of Defense),国际标准化组织ISO,英国标准化协会BSI(British Standards Institute)等。
四、漏洞扫描技术与信息安全管理
(1)漏洞扫描技术
一般认为,漏洞是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。
随着Internet的不断发展,信息技术已经对经济发展、社会进步产生了巨大的推动力。不管是存储在工作站、服务器中还是流通于Internet上的信息,都已转变成为一个关系事业成败的策略点,因此,保证信息资源的安全就显得格外重要。目前,国内网络安全产品主要是以硬件为主,防火墙、入侵检测系统、VPN应用较为广泛。漏洞扫描系统也是网络安全产品中不可缺少的一部分,有效的安全扫描是增强计算机系统安全性的重要措施之一,它能够预先评估和分析系统中存在的各种安全隐患。换言之,漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷,预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。漏洞扫描的结果实际上就是系统安全性能的一个评估报告,因此成为网络安全解决方案中的一个重要组成部分。
(2)信息安全管理
随着社会信息化的深入和竞争的日益激烈,信息安全问题备受关注。制定信息安全管理策略及制度才能有效的保证信息的安全性。
制定信息安全管理策略及制度
目前关于信息安全的理论研究,一个是信息安全问题不仅仅是保密问题,信息安全是指信息的保密性、完整性和可用性的保持,其最终目标是降低组织的业务风险,保持可持续发展;另一个观点是,信息安全问题不单纯是技术问题,它是涉及很多方面如历史,文化,道德,法律,管理,技术等方面的综合性问题,单纯从技术角度考虑是不可能得到很好解决的。
这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体应该有一个完整的信息安全策略。
信息安全策略也叫信息安全方针,是组织对信息和信息处理设施进行管理,保护和分配的原则,以及使信息系统免遭入侵和破坏而必须采取的措施,它告诉组织成员在日常的工作中哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全的行为规范。
制定信息安全管理制度应遵循如下统一的安全管理原则:
(1)规范化原则。各阶段都应遵循安全规范要求,根据组织安全信息需求,制定安全策略。
(2)系统化原则。根据安全工程的要求,对系统个阶段,包括以后的升级、换代和功能扩展进行全面统一地考虑。
(3)综合保障原则。人员、资金、技术等多方面 综合保障。
(4)以人为本原则。技术是关键,管理是核心,要不断提高管理人员的技术素养和道德水平。
(5)首长负责原则。
(6)预防原则。安全管理以预防为主,并要有一定的超前意识。
(7)风险评估原则。根据实践对系统定期进行风险评估以改进系统的安全状况。
(8)动态原则。根据环境的改变和技术的进步,提高系统的保护能力。
(9)成本效益原则。根据资源价值和风险评估结果,采用适度的保护措施。
(10)均衡防护原则。
信息安全系统工程
信息安全服务评估报告范文5
【关键词】网络终端 数据 系统功能模块 量化模型
1 引言
随着计算机网络的普及和信息化的推进,网络与信息安全问题也日益突出,我国对网络信息系统的依赖性日益加深。国外在研究网络与信息系统安全风险评估方面已有数十年的经验,IT发达国家在信息系统风险评估的标准、技术、架构、组织等方面都已非常成熟。而国内,更重视网络系统内部数据的安全保护,网络终端是重要文件和重要数据的存放源头,许多安全事件往往发源于网络终端,来自终端的泄密事件、安全威胁也频频显现,网络终端安全管理已成为信息安全管理体系的薄弱环节。
对网络终端安全性进行客观、系统地评估是保障信息安全的基础。通过对安全隐患及未来风险的分析,并评估这些风险可能带来的安全威胁及影响程度,将有助于安全人员针对性地抵御威胁、全面提高网络信息系统安全防护能力,最大程度地保护信息资产。
目前,国内关于评估网络终端安全状况还没有统一的标准,网络终端安全的关键点尚不明晰。本文将对网络终端安全状况评估指标体系作出有益探讨,尝试量化网络终端评估系统指标,将网络终端安全风险控制在可靠水平,从而最大程度提高终端安全水平。
2 网络终端安全评估方法
选择何种安全评估方法将直接影响到评估过程的各个环节,可能左右最终评估结果。现有的风险评估方法大致可分为定量风险评估、定性风险评估及综合风险评估三大类。
2.1 定量风险评估
定量评估对构成风险的各个要素和潜在的损失水平赋以数值,当量度风险的所有要素都被赋值后,建立起综合评价的数学模型,从而完成风险的量化计算。定量评估数据较为直观,分析方法相对客观,但部分风险被量化后存在被曲解的可能性。常用的定量评估方法包括模糊综合评判法、BP神经网络、灰色系统等。
2.2 定性风险评估
定性评估主要依据研究人员的知识和经验,或业界标准、历史教训、政策走向等非量化
资料对系统风险作出评估,是一种模糊分析方法。定性分析操作相对简单,结论较为全面,但主观性强,易受到评估人员直觉、经验的影响。常用的定性评估方法包括专家评价法、历史比较法、事故树分析法、因果分析法、逻辑分析法等。
2.3 综合风险评估
综合风险分析是将定性与定量评估相结合的一种分析方法,在不容易获得准确数据的情况下使用定性分析,在定性分析的基础上采取定量方法以减少主观性。最常用的综合风险分析评估法即层次分析法(简称AHP),它是一种综合了定性与定量分析、是人脑决策思维模型化的决策方法。
3 网络终端安全评估指标体系研究
3.1 建立评估体系的原则
我国《信息安全风险评估规范》将风险评估的基本要素定义为:资产、威胁、脆弱性、风险、安全措施。网络终端安全状况评估中主要牵涉资产、威胁、脆弱性三个要素。建立网络终端安全评估指标体系时,需要考虑以下4大原则:(1)必须遵循国际、国内信息安全评估规范,评估指标体系还应符合业务要求及应用特点,尽量满足用户及应用环境对网络终端安全性的要求。(2)设定的指标应涵盖终端安全所有风险要素,覆盖技术、管理各个层面,也囊括主观、客观各种因素。(3)指标的含义、目标应当明确,指标体系整体条理清晰,数据收集渠道应具现实操作性,保障定量分析的可行性。(4)评估指标要独立于网络终端安全的具体内容,不与其他指标内涵发生重叠。
3.2 网络终端安全评估框架设计
本文遵循评估体系建立原则,对网络终端安全状况建立起层次评估指标体系,拟将指标体系分为四层,详见表1。
实现网络终端安全状况评估指标体系,分为三步:一是建立层次评估指标体系;二是确定评估指标;三是对各个评估指标赋予权值。指标数据有多种来源,包括问卷调查、人员访谈、实地调查、辅助工具和文档审查等。之后,参照终端安全评估指标体系,采用文档审查、调查表等方式获得安全状况数据,再利用漏洞扫描工具、入侵检测工具等技术对资产、威胁、脆弱性进行识别和分析。
3.3 网络终端安全量化评估模型建立
本文采用多级模糊综合评价方法建立评估模型。模糊综合评价方法先通过构造等级模糊子集,对被评估事物的模糊指标进行量化,再利用模糊变换原理对各指标进行综合评价。
3.3.1 建立评价对象因素集
设层次型评估指标体系为U,把因素集U分为n组,记做U={U1,U2,…,Un},其中Ui∩Uj≠Φ,i≠j(i,j=1,2,…,n)。设第i个子集为Ui={Ui1,Ui2,…,Uin},其中i表示第i组的单因素个数。
3.3.2 设置评判集和分配权重系数
设V={V1,V2,…,Vn}为评判集,由不同等级的描述组成的集合。m一般取奇数,评判集适用于任一层次和任一因素的评判。
3.3.3 单级模糊综合评价
成立一个评估专家小组,由专家对每个评估指标评判,并确定评估指标属于等级评判集中哪个级别,统计评估指标被评判为相应等级的专家数,相应等级专家数占专家总人数的百分比,即得到评估指标在此等级的隶属度,进而得到模糊关系矩阵Rj。根据单因素模糊关系矩阵Rj,利用复合运算求出子因素Ui的综合评判结果:Bi=AiΟRi=(bi1 bi2 … bim),i=1,2,…,n。
3.3.4 计算最终综合评价结果
对单因素评价结果Bi再进行高层次的模糊综合评判,由较低层次的综合评判结果Bi构成高一层的单因素模糊关系矩阵R。之后,对多级因素集进行综合评价,得出评判因素U的最后评价结果为:B=AΟR=(b1 b2 … bm)。可根据评估指标的层次情况循环本轮计算,直至得到最满意的综合评价结果。
3.3.5 综合评价结果分析
模糊综合评价的最终结果不是一个单值,而是一个模糊子集,这样,能比较准确地体现对象本身的模糊状况。由多级模糊综合评价法量化评价的具体过程可以看出,最底层指标需要人为做隶属度判断,所有上层指标的隶属度均根据下层计算得到。网络终端安全评估主要是识别和分析资产价值、威胁及脆弱性。根据资产(A)在保密性、完整性、可用性要求的不同程度,将三个属性划分为五个等级,对不同等级赋予不同数值;根据威胁(T)出现的频率对威胁进行赋值并划分五个等级;脆弱性(V)识别针对每一项资产,同样将其划分为五个等级。对网络终端安全评估值进行五等级划分,分别是好、良、中、差、极差,等级越高对终端及网络造成的影响越大。表2是等级划分表及相应的安全状况。
根据三个基本要素的最终赋值,并结合网络终端安全评估模型(图1),分析计算出网络终端安全评估值,计算过程分四步:(1)由A、T、V及风险发生概率决定网络终端安全评估值。(2)计算威胁利用脆弱性导致终端安全事件发生的可能性P,记为P=F1(T,V),P=T+V。(3)对资产造成的损失程度和威胁值、脆弱性、资产价值有关,记为L=F2(P,A),L=PXA。(4)考虑威胁发生并对资产造成的损失与风险发生的概率R,得出终端安全评估值S,S= F(L,R) ,S=LXR。
3.4 网络终端安全评估系统的设计与实现
3.4.1 系统需求分析
安全性评估分析,重点评估风险可能造成的威胁及影响,向系统管理员提交细致可靠的分析报告,让管理员掌握策略漏洞和安全状况,并提出有针对性的抵御威胁的防护对策。网络终端安全评估系统需要满足7点需求:(1)识别网络终端资产。(2)对网络终端进行漏洞扫描,提供准确、客观的定量评估数据。(3)动态监测网络运行的终端资源,分析可能面临的威胁及发生的可能性。(4)进行终端安全评估,得到综合量化评估结论。(5)将数据、量化评估结果以报告形式输出。(6)给出安全解决方案或加固建议等,提高网络终端安全性。(7)管理使用评估系统的用户,分配不同权限。
3.4.2 网络终端安全评估系统设计
为减少系统资源占用,本文将评估系统设计在内网一台服务器上,设软件运行环境为Windows 2002/2003 Server,服务器被要求接入核心交换机。系统架构如图2所示。
3.4.3 系统功能模块实现
网络终端安全评估系统主要分为五大模块:资产识别、脆弱性管理、威胁管理、终端安全评估、评估响应。
(1)资产识别模块。资产识别模块主要包括资产信息管理子模块和资产识别及赋值子模块。前者主要管理本地终端和远程终端的基本信息,后者从资产数据库里读取终端IP地址、用户名、密码等信息,建立主机对象,将主机对象传给回调函数。
(2)脆弱性管理模块。该模块包含漏洞扫描和脆弱性赋值两个子模块。扫描被评估的本地终端和远程终端,并确定应用程序和操作系统所存在的漏洞以及对终端资产的脆弱性权重进行赋值。
(3)威胁管理模块。该模块包括资源监测和威胁赋值两个子模块。其中,资源监测模块动态监测本地、远程终端资源,获取资源状态信息。
(4)终端安全评估模块。分为快速、完全评估两大子模块。快速评估根据量化评估模型对终端安全进行评估;完全评估则根据建立的安全评估指标体系里的指标因素集,利用多级模糊综合评判方法进行评估。
(5)响应模块。根据评估结果,匹配响应库里定义的规则,给出解决方案或加固建议。
系统接口设计方面,将系统分为三层:用户接口层、逻辑处理层和数据中间层。接口层用于接受用户输入及显示评估报告;逻辑处理层实现上述五大模块的各项功能;数据中间层则屏蔽数据库细节,连接系统和多个数据库。系统接口设计如图3所示。
4 结束语
本文提出一套网络终端安全评估指标体系,建立起网络终端量化评估模型,将评估项目尽可能具体量化,以减少人为主观影响。下一步可考虑根据安全评估系统,对终端安全量化评估模型做进一步探索和改进,完善系统设计并扩充评估功能。
参考文献
[1]国家质量技术监督局.GB17859-1999,计算机信息系统安全保护等级划分准则[S].1999.
[2]国家质量监督检验检疫总局.GB/Z 24367-2009,信息安全技术 信息安全风险管理指南[S].2009.
[3]吴亚飞,李新友,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007(04).
[4]郭宁.信息安全风险评估指标体系研究[J].信息安全标准与技术追踪,2006,5:17-19.
[5]Xiaoping Wu,Yu Fu,Jiasheng Wang.Information systems security risk assessment on improved fuzzy AHP[C].Compution,Communication,Control,and Management.International Colloquium,2009,4:365-369.
[6]GB/T 20984-2007,信息安全技术信息安全风险评估规范[S].2007.
作者单位
信息安全服务评估报告范文6
关键词:大数据;计算机软件技术;应用
一、大数据下的计算机软件技术
(一)云储存服务
在大数据时代的背景下,云储存服务是当今社会有效储存海量数据信息、进行数据信息价值分析与利用的技术。与传统的数据储存技术相比,云储存服务在大大提升自身储存容量,并且能够分类储存不同领域数据的同时,还可以抛弃固定化的储存设备,通过快捷、方便的储存来发挥出该技术协同性、综合性的功能。云储存技术帮助系统利用对数据资源的有效整合来实现提升信息存储效率的目的,同时数据储存较高的安全性也能够为人们日常的工作、生活提供良好的保障。
(二)信息安全技术
由于互联网是大数据处理的基础,其中互联网平台开放度比较高、不同领域数据信息联系紧密,一旦外来病毒、木马攻击互联网平台,部分数据就会受到病毒的感染,并且对其他存在一定关联的数据信息造成不利的连带影响。因此,在大数据时代中需要有互联网信息安全技术来发挥出防护病毒、木马的作用。并且我国还要积极学习发达国家的信息安全技术,通过不断的研究与经验积累来弥补差距,从而也为大数据背景下海量数据信息准确性、安全性的提升作出贡献。
(三)虚拟化技术
虚拟化技术作为资源管理技术的一个分类,能够对各类数据资源进行优化配置,不仅可以为各类不同的场景提供需求,降低了生产管理、资源管理的生产成本,还有效提升了数据资源的利用率。扩展性、可行性、综合性较高的虚拟化技术成为了许多企业与研究机构重点关注的对象,使其在大大降低人力、财力、物力的同时,有利于社会经济效益的可持续发展。因此,在大数据时代背景下,企业要分析自身的发展情况与发展需求,从而顺应时代潮流,做好对虚拟化技术的创新研究,通过较高的科技水平来发挥出虚拟化技术的特点。
二、大数据下计算机软件技术的具体应用
(一)商业通信领域的应用
由目前情况可知,计算机软件技术在商业通信行业的快速发展中起着十分重要的作用,许多通信工作人员能够通过各类计算机软件技术,来有效分析与记忆所有消费者的不同消费习惯与需求,从而实现用户满意度的提升以及通信企业的良好发展发展。例如,IBMSPSS作为一款测预分析软件,它能够实时掌握用户的信息,通过精准的分析来对用户提供个性化的需求;而功能更加丰富的XO分析软件以通信用户的消费行为基础进行合理的评估报告,不断发掘用户潜在的消费心理,同时它还可以借助网络分析加速器,来检测自身系统存在的问题,并且快速、开心的制定出解决方案。
(二)商业领域的应用
计算机软件技术在商业领域的应用,不仅可以帮助工作人员优化工作结构,做好企业各部门作职责的分配,同时电子商务企业能够借助计算机软件技术来实现数据信息的汇总、处理,从而通过线上或者是线下多种方式促进消费者的消费行为,有利于企业核心竞争力的提高。而在用户信息的管理方面,工作人员可以通过Gognos技术在设备上建立起即时功能平台,用于用户信息的查询。例如,景区里的管理人员能够利用电脑、手机等实时共享设备实现对进出游客的实时控制。
(三)企业信息解决方案方面的应用
在大数据背景下,计算机软件技术还可以用于解决企业在发展过程中容易出现的信息安全问题,管理人员能够通过对数据资料的深入挖掘来掌握准确、有效的市场信息以及风险评估。首先是数据取样环节,企业人员需要在所销售的产品之中随机抽取代表性强的产品,其次是信息收集整合环节,借助计算机软件技术的计算分析来提高结果的可靠性,从而实现帮助企业有效在行业竞争的过程中规避市场风险的目的。
