前言:中文期刊网精心挑选了云计算安全评估办法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
云计算安全评估办法范文1
1 引言
云计算虽然是一种新的互联网技术,但只不过是数据结构和计算方式的改变,由云服务提供商的数据中心负责存储过去一直保存在最终用户个人电脑或企业自己数据中心的信息,用户通过互联网远程访问这些应用程序和数据。其实质上只是一种服务方式的改变。
尽管云计算已逐渐融入我们的生活,但云计算的发展仍然存在各种问题,尤其是数据隐私问题、安全问题等更为突出。事实上,数据保护、终端防护、虚拟环境中的风险管理等信息安全将面临更加严峻的挑战。
2 云计算面临的安全威胁
开放的互联网环境已经使得安全问题更加复杂多变,多形态安全威胁将是主流趋势,用户需要防范的不仅仅是病毒,数据中心也面临着无穷的隐患,各种隐患及难题极大地加大了数据中心的运维难度及成本。因此,无论从终端维护还是从数据中心等安全考虑,都无疑是一种全新的威胁和挑战。
3 云计算安全防范策略
云计算改变了服务方式,但其安全模式并没有实质性的改变,只不过是将原来的安全责任主体(用户)转移到了现在的云服务提供商,由云服务提供商负责安全保障。因此,云计算服务提供商应积极改善其安全策略,以应对各种新的安全挑战。在此过程中,政府相关部门也要及时推出相应的规章制度予以规范,强制要求云计算服务提供商采用必要的服务措施,保证服务的安全性,同时,用户也要从自身的角度做好安全防护工作。下面,针对用户最为关注的云计算安全问题及应对策略归纳如下:
(1)数据泄露或丢失
事实上,数据泄露或丢失是目前云计算用户最为担忧的安全问题。用户数据在云计算环境中进行传输和存储时,用户本身对于自身数据在云中的安全风险并没有实际的控制能力,数据安全完全依赖于服务商,如果服务商本身对于数据安全的控制存在疏漏,则很可能导致数据泄露或丢失。
从这个角度看,云计算服务商在向用户推荐云计算服务时,需要和企业用户签署服务质量保证协议,并从技术和管理两个方面向用户进行安全保证,以减轻用户对于数据安全的担忧。
如何保证存放在云服务提供商的数据不被泄露,不被非法利用,不仅需要技术改进,也需要相应法律进一步完善。
(2)内部人员的恶意操作行为
在云计算环境下,不同用户的访问权限控制也是很关键的问题。用户权限即合法用户可以进行的具体操作,但不是每个用户都可以进行所有的操作,不同的用户将具有不同的权限,访问控制的目的是保证各用户信息资源不被非法访问和使用。
无论是在企业内部还是云计算服务提供商内部,人员的恶意操作都是非常危险的,同样后果也非常严重。有些数据是企业的商业机密,数据的安全性关系到企业的生存发展,如果内部监控不严,也就意味着只要有了一定级别的授权,将可能导致内部人员私自获得用户机密数据,从而对用户的利益造成严重损害。
抵御这一数据丢失的最好办法是从管理、合同、技术等几个角度同时入手。管理上加强安全意识教育,各个业务流程上落实相关的安全控制,明确雇员的法律责任,在违反安全规定造成安全事故时有权送交司法机关;在供应商的管理环节上必须对网络安全有专门的条款和核查措施,对供应商出现安全滥用和违犯合同,甚至犯罪的情况制定明确的惩罚措施;在技术上广泛采取加密、认证、访问控制、入侵检测、审计等安全措施。
(3)账号和服务劫持
很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制,如果很薄弱的话,入侵者就可以轻松获得用户账号,并登录客户的虚拟机,可进行浏览、检索、下载、创建、更新(修改或删除)等操作,这将对用户数据及隐私的安全性构成极大的威胁。另外,在云环境中,如果攻击者获得了你的账号信息,就可以窃听你的活动和交易,返回假冒的信息,将你的客户导向假冒的站点,并且被“劫持”的服务和账号可能被用来发起新的攻击,你的网络“信誉”或信用会被降低或失掉。
在这种情况下,必需采取有效的访问控制策略予以防范,云服务提供商必须要引入严格的身份认证机制,不同类别的账号要区分管理。
提示:我们不能否认云计算给我们带来的便利,但我们更要学会如何降低风险,要引入第三方来评估云服务提供商,并仔细评估其云服务合同,这样可最大限度防范安全风险。
4 结束语
云计算发展迅猛,涉及各行各业,安全问题是云计算发展过程中不可回避和逾越的问题,要勇于面对。业内人士指出,如想真正解决云计算的安全性问题,仅靠一两个厂商的力量是不够的,需要业界联合起来组成一个完整的生态系统,共同保护云计算的安全。相信随着政策法规的不断完善、厂商技术的不断创新、用户安全意识的不断提高,云计算安全会得到更好的保障。
参考文献
[1]孙松儿.云计算环境下安全风险分析.H3C.
[2]赵粮.云计算面临的七大安全威胁.中国教育网.
[3]实施云计算必须明确的四大威胁.
云计算安全评估办法范文2
关键词:动漫;云渲染
中图分类号:TP391文献标识码:A文章编号:1007-9599 (2012) 01-0000-02
Cartoon Cloud Rendering Solutions
Zhou Chunyan
(Changzhou Textile Garment Institute Creativity College,Changzhou213164,China)
Abstract:This paper from the university research combine to start experiment in animation professional training construction at the same time,improve social service capacity.The concept of cloud computing,cloud rendering approach proposed rendering cloud level architecture,hardware logic topology,cloud management logic architecture,a good solution to the animation cloud rendering of the formation.
Keywords:Animation;Cloud rendering
在国内动漫产业规模不断壮大的过程中,动漫制作水平的低下已经成为制约产业做强的一大瓶颈。以往在高端的3D制作和渲染应用上,原来常常采用专业渲染集群,但就现在看来其应用瓶颈还是比较明显的,主要是运营模式单一,资源利用率不均匀,管理使用复杂度高等问题都为运营商和用户都带来了不同程度的困扰。尤其是作为动漫制作的核心环节―动漫渲染,还存在着资源分布不均、难以整合、渲染操作较为原始等亟待解决的应用难题。
为此,我认为高校在校企合作的大背景下,在调查社会渲染客户应用需求了解他们对自主使用计算存储等资源的需求基础上,结合学校自身的专业发展要求提出云渲染的建设,是符合技术发展和社会需求的明智之举。当然,云渲染也是动漫渲染计算平台的主要发展趋势。
“渲染云”是为了解决动漫渲染行业的问题而应运而生的。一直以来,国内的渲染平台普遍以“一套系统运行多个应用”和“一个平台多用户共享”的公用渲染制作平台为主,平台软、硬件乃至插件冲突频发,异构现象极为严重,而渲染平台管理和运营也始终停留在以人工为主的原始操作时代,除了渲染可以自动化以外,其余全部依托于人力。
如上图所示的渲染云解决方案成功解决了动漫渲染行业的这些问题,它针对用户提供基于Web化的全程服务,实现不同渲染集群、甚至跨Internet不同数据中心之间的渲染任务的均衡分配和管理,提高渲染资源利用效率及投资回报率;终端客户只需要通过Web就可以享受到任务提交、任务进度查看和收费情况等全程服务,使繁琐的动漫渲染演变成为纯基于web的透明的傻瓜化的操作,也让客户能够将精力解放出来,专注于自身制作业务,促进了渲染行业的发展。
渲染云解决方案通过采用主流或高端计算机设备,甚至集群的分布式计算平台,有效缩短建模制作、渲染和后期处理的计算时间;而且很多时候,图形图像处理也需要GPU加速计算或可视化来增进制作与效果的交互性;同时需要高速的网络带宽为后期系统轻松实现。因此,渲染云需要为用户提供了高性能的计算资源和设备。
渲染云以渲染集群和集中存储等设备为基础网络环境,外延到完全自主的制作和提交渲染任务,云平台自动处理任务错误,实时基于策略备份数据内容,同时支持自助按需购买支付云资源。对运营商提供灵活多样的资源分配策略,很好的组织和管理用户群和用户权限;对用户则提供按需服务,按使用情况来支付的整体功能。用户可以通过手机、笔记本、PC、工作站等各种终端设备直接向渲染云计算平台提出请求,即可得到响应和相应的资源分配;云计算平台提供了高效的计算能力,最大限度地发挥了所有平台的资源利用率和计算能力。
渲染云针对动漫渲染应用特点,符合当下技术发展趋势,将成为当下主流动漫渲染服务平台模型之一,其解决方案的层次结构,主要按照提交端和云计算进行分类,它的层次结构内容如下图所示。
渲染云为3D渲染提供了一个超级计算服务平台模型,使用者可利用所有能连接到云计算平台的日常硬件提交环境,轻松高效的支付后,利用渲染云模拟出渲染效果等结果,并在本地高速得到反馈。由于将建模制作后的3D渲染任务从本机搬到了互联网络上,把繁重的计算任务放在超级计算机集群上进行可视化处理,所以原来需要大量时间计算和大量硬件资源占用的现象都不会再困扰用户。通过利用渲染云平台,运营商和最终用户都无需再担忧曾经需要被维护的渲染农场。主要功能实现如下:
用户管理:渲染云提供多用户权限和功能管理,对运营商提供全局管理界面和功能,对不同用户提供区别费率分项计费管理;管理员权限用户拥有资源分配权限,计算用户无缝使用计算资源。
便捷操作:渲染云通过专业网络在线渲染计算,支持主流动漫制作和网络渲染功能。利用云计算平台超级计算能力,高速网络带宽和富客户端为用户实现桌面软件级的用户体验,轻松制作、提交和监控管理计算任务及过程,高效查看制作和渲染计算结果。作为国产厂商关切本土用户需求,提供全中文界面支持。
弹性扩展:渲染云不仅为平台运营商提供超级计算能力,随着技术的发展和更新,硬件平台可弹性平滑扩展,不影响用户体验。
安全保障:渲染云采用自主知识产权龙芯硬件防火墙,保障云计算平台的安全性。同时渲染云作业提交仅依赖浏览器支持,无需开启桌面系统级别的共享访问实现,更提高了整个平台安全性。基于策略的硬件备份容灾系统,通过本地数据备份和异地容灾的充分保障了数据安全性。
按需计费:运营商可通过渲染云全面为不同用户提供即“插”即用渲染等服务,按需计费,合理分发资源,并通过支付平台便捷支付。
绿色计算:渲染云充分为运营商考虑到是运营成本和环保,闲时策略关闭部分或全部计算服务,收到任务后自动唤醒计算服务。
渲染云的逻辑拓扑结构
上图所示为该系统的逻辑拓扑图,用户将制作好的三维场景文件上传到用户自己的工程目录下,通过Muster Explorer GUI将任务提交给分发节点(dispatcher server)服务器,由dispatcher server节点服务器将任务分发给系统中指派的计算节点,渲染完成后每个节点再将结果返回dispatcher server节点服务器,最后把渲染的最终结果保存到用户自己的工程目录下,用户可以通过FTP下载。所有的数据均可通过存储设备定期备份,以防数据丢失。
渲染云的管理软件逻辑图
从逻辑上,渲染云解决方案可以分为三个层次,即硬件资源层、应用管理层和资源调度层,前两层分别从硬件和软件定义了云计算资源,而资源调度层则充当了整个方案的核心。其拓扑图如下所示:
其中,应用管理层分布于渲染云资源之上,主要部署了“任务管理、软件整合和资源统计”三个子模块。资源调度层是整个渲染云解决方案的核心,部署于渲染云管理平台之上,也包括“需求评估、资源管理、资源调度”三个子模块,而每个子模块又各自有三个组成部分。可见,该方案可以实现异构硬件资源管理、渲染任务管理、软件和插件管理、客户需求分析与资源调度、计费管理等诸多功能。渲染云方案组成如下表所示:
硬件资源层 主要由渲染云资源的硬件组成,渲染云资源有其特有的渲染服务器、网络设备和存储设备。它们可以是异构的,只要能够提供较为均衡的资源配置即可,即计算能力、网络能力和存储能力等方面不存在明显的瓶颈。
应用管理层 任务管理模块 负责对管理中心和远程客户提交过来的渲染任务进行管理,包括选择相应的渲染引擎、渲染插件、调度策略、资源选择、资源控制、客户数据的上传和下载等。该模块为该层的主要组成部分。
软件整合模块 为渲染行业各种应用软件和插件提供名称和版本的管理。渲染云解决方案面对的是多种多样的动漫用户,他们使用不同的软件,甚至同一软件的不同版本。该模块就是对这些软件进行集成、维护、升级、增加、淘汰等管理操作。
资源统计模块 主要任务是对渲染云资源的各类硬件资源进行实时统计,向渲染云管理平台实时提供资源使用状况的信息,包括有多少空闲资源,非空闲资源预估多长时间能完成工作,以及增加及淘汰硬件设备的信息。
资源调度层 需求评估模块(对客户提交的任务进行需求评估) 1)需求测试部分:为客户提供初步测试,得出客户提交的测试算例单位计算能力渲染时间以及单位计算能力所需要的网络和存储资源。
2)资源需求评估部分:根据需求测试结果,评估出客户整个任务中单位计算能力(1万亿次/s)渲染所需要的总时间。在客户选择所需要的计算能力后(比如需要10万亿次),评估该计算规模所需要的网络和存储性能情况。
3)计费管理部分:根据计算能力、网络性能、存储性能,按照一定的商务规则,评估出客户大致的花费;并且在整个渲染过程结束后,计算确切的花费情况。
资源管理模块(对渲染云资源池进行管理) 1)资源统计部分:汇总渲染云资源渲染应用层的资源统计模块的信息,对整个渲染云资源池的资源情况进行统计和管理。
2)资源归档部分:由于渲染云资源采用的处理器平台不同,同样的平台又分为多个系列及多种主频。该部分统计相同型号的处理器并进行归档,避免同一任务在不同的处理器平台上渲染可能带来的色差问题。
3)资源评估部分:对归档的各种资源进行评估,按照多种规则对渲染节点进行估值,以便于进行统计分析,为渲染云资源所有方进行更新或淘汰设备的参考。比如,计算能力较弱,能耗较高的节点估值就较低。
资源调度模块(根据客户需求对渲染任务进行合理的调度) 1)调度策略管理部分:提供多种资源调度策略的管理,利用资源管理的分析数据,针对不同的软件和任务,对调度策略进行优化。
2)闲置资源分析部分:对目前整个渲染云资源池中的闲置资源,包括渲染节点、网络性能和存储性能进行分析,结合资源管理子模块的数据和需求分析子模块的资源需求,列出目前所有的可选资源或者在一定时间内可以空闲出来的可选资源。
3)调度策略选择部分:结合调度策略管理部分和闲置资源分析部分所得出来的结果,为任务选择最为合理的调度策略以及渲染资源。
在这种新的模式下,整个渲染业务流程将简化成三个步骤:
第一步:提交任务。客户只需要在远程访问管理平台,进行任务的提交。渲染云管理平台在得到客户的渲染需求之后,会采用统一的标准对该任务进行测试分析:采用单位计算能力对任务一定比例的渲染量进行测试,从而评估出整个任务对计算资源的需求,比如1万亿次/s的计算能力需要进行150个小时的渲染工作;测试分析同时还评估出渲染任务在单位计算能力所需要的网络及存储带宽。根据资源需求的评估将会换算为费用的评估,如果客户认可,则达成初步的渲染委托协议,而客户如果对时限有要求,则费用也会有一定比例的调整。比如,一个任务1万亿次的计算能力需要渲染150个小时,如果客户要求在1天之内拿到成品,则可以采用10万亿次计算能力渲染15个小时的方案。
第二步:资源匹配。任务提交后,渲染云管理平台会在渲染云资源池中选择合适的资源。由于每个渲染资源都会有一个模块,实时统计该资源空闲的计算能力、网络带宽、存储带宽等信息。渲染云管理平台会根据这些信息,为客户初步选择合适的渲染资源。考虑到客户对渲染结果的满意程度具有一定的主观性,所以选定测试资源后,首选远程提交一个测试帧,由被选中的渲染资源进行渲染测试,将样片发给客户进行样片确认,客户如果对结果不满意,可以选择其他合适的资源,直至客户满意为止。客户如对结果满意,即可通过FTP远程直接向渲染资源提交渲染的原始数据及渲染参数等信息。然后,选出客户需要的计算能力参与渲染,在评估的时间内完成成片供客户进行下载。
第三步:业务结算。任务达成后,根据协议进行业务结算。
由此可见:云渲染可以根据不同的云渲染要求提供专业的渲染云服务,能够让用户摆脱对于地域和设备的依赖,使众多的设计师在同一个平台中进行设计,彼此直接交流看法并作出结论,修改后的设计共同验证,这相当于通过技术的手段把产学研有机地紧密联结在一起,达到了产学研的和谐统一。
参考文献:
[1]MichaelMiller.云计算[M].姜进磊.机械工业出版社,2009,4
[2]王鹏.走近云计算[M].人民邮电出版社,2009,6
[3]George Reese.云计算应用架构[M].电子工业出版社,2010,7
[4]吴朱华.云计算核心技术剖析[M].人民邮电出版社,2011,5
云计算安全评估办法范文3
关键词:高校财务 信息化 风险识别及应对
随着信息化时代的到来,计算机信息技术迅速发展,会计信息化建设受到各界人士的普遍关注。2014年1月6日,财政部的《企业会计信息化工作规范》正式施行。这是继20年前的《会计电算化管理办法》等相关规定之后,财政部首次以“会计信息化”的概念来规范企业的相关财务工作。企业会计信息化建设已取得显著成果,借鉴企业信息化建设的经验,研究高校财务信息化建设,可以提高高校财务工作的效率,也有助于高校的快速发展。财务信息化建设是一把“双刃剑”,在发展过程中也面临诸多风险,如何做好信息时代背景下财务信息化风险识别及防范,成为高校财务人员需要面临的重要问题。
一、高校财务信息化风险概述
所谓高校财务信息化,是指采用现代信息技术对高校财务工作模式进行重整,将计算机、互联网和通信等信息技术与高校日常财务活动有效整合,创建财务信息系统,从而能够为高校的财务工作和决策活动提供全面、准确、充分、及时的财务信息资源,进一步增强高校资金使用的效益与效果。信息化的高速发展促进了高校财务信息化的进程,提高了财务人员的工作效率,减轻了财务人员的负担,但是在发展过程中,风险问题也日益突出。
(一)财务舞弊。财务舞弊是指行为人为获得不当利益,违反国家法律、法规的有关规定,凭借财务欺诈等方式,导致他人遭受损失的行为。当前,高校财务信息系统还不能做到完全意义上的信息化,如经费的预算编制、应收应付款的管理、工资的编制发放、银行对账单的定期核对、固定资产入库的核对等方面,均需要人为的干预和决策,一旦内部控制不完善,就容易存在财务舞弊。
(二)稻萸匀 V敢圆徽当的手段取得各项财务数据以达到自己的目的。财务信息化要依托于网络,而网络开放的信息资源、众多的用户等特点,使得财务数据在网络环境下总是存在着很多的安全威胁。社会中某些行为人出于各种目的,利用黑客技术登陆财务服务器,窃取各类财务信息,侵害了财务数据的机密性,严重扰乱了高校财务工作秩序。
(三)系统故障。系统故障是指由于某种原因造成系统非正常停止运行,比如设备故障、硬件损坏、软件的安全漏洞等,故障所造成的系统运行中断、数据丢失等后果,往往产生难以弥补的损失。现实中,高校财务经常面临信息化资金缺乏、投入不高的现状,财务信息系统设备老旧,服务器配置低、故障频繁等现象时有发生,严重影响高校财务工作的有效运行。
(四)病毒攻击。随着互联网的广泛应用,网络安全最大的威胁因素是计算机病毒,计算机病毒表现出隐蔽性高、破坏力强、周期短、速度快、清除难度大、难以防范等特点。高校财务局域网与互联网连接,使计算机系统感染病毒的几率和防范病毒的难度加大。外部一些有不良动机的不法分子会利用浏览网页、下载文件、收发邮件等手段,使财务系统感染病毒,严重威胁整个财务计算机网络系统和数据安全。
(五)恶意破坏。恶意破坏是指一些人出于不良动机,故意毁坏财务设备或网络,给高校财务带来严重的不良后果。恶意破坏对于任何信息化程度较高的单位破坏性都是致命的,无论对软件还是硬件的破坏都足以导致该单位陷入混乱的局面。在某些特殊情况下,财务舞弊人员会通过恶意破坏引起单位混乱,从而来掩盖其不法行为。
(六)自然灾害。自然灾害是指由于火、水、雷电、地震等不可抗力造成的财务信息化的外部风险。虽然发生的概率很小,但是一旦发生,造成的损失往往是毁灭性的,所以也应引起足够重视,提前做好防范措施。
上述影响高校财务信息化的风险因素,每一种风险发生的概率和产生的成本是不同的,根据成本效益的原则,对以上风险因素进行风险评估,确定合适的应对方法策略。
二、高校财务信息化风险评估
信息化风险是指可能存在影响信息化目标实现的各种不确定性因素,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。风险评估的方法有定量分析法和定性分析法。
(一)定量分析方法。定量分析法是对社会现象的数量特征、数量关系与数量变化进行分析的方法。高校财务信息化风险评估是从数字上对风险进行分析评估,定量分析法思想明确、清晰,对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素都被赋值,风险评估的整个过程和结果也就都可以被量化了。本文对某高校财务信息化的风险进行了评估,其分析过程如下:首先,评估每一风险事项发生的可能性,根据事件发生的可能性推出高校财务信息化的风险系数(见表1);其次,根据表1的风险系数表估测每一个影响高校财务信息化风险事项发生的可能性,然后用评估的某高校财务信息化潜在损失乘以表1中的风险系数表,计算出每种事项的风险损失成本(见表2)。
从表1和表2中可以发现财务舞弊是财务损失最大的风险,其次是恶意破坏和系统故障。从内外部角度来看,内部因素比外部因素更具有破坏力。从表2中我们还可以看出发生风险最大的并不一定是损失最大的,例如发生损失最大的是财务舞弊,损失风险68.4万元,有57%的几率会发生;风险最大的是系统故障,损失风险17.28万元,有96%的几率会发生。通过定性分析方法我们很直观地看到影响高校财务信息化的风险因素发生概率以及发生损失的大小,从而根据成本效益原则制定适宜的应对措施。
(二)定性分析方法。在实际操作中,定量方法用于评估损失风险有一些困难,因为确定单位损失的相关成本及其发生的可能性有一定的随机性。所以我们实践中采用定量分析和定性分析相结合的方法。定性分析法亦称“非数量分析法”,主要依靠预测人员的丰富实践经验以及主观的判断和分析能力,推断出事物的性质和发展趋势的分析方法。借鉴企业风险评估的方法,我们采用定性分析矩阵来评估影响高校财务信息化的风险因素(见表3),由表3进一步分析演化成综合定性分析表(见表4)。
以上我们分析的影响高校财务信息化的因素,根据影响程度和可能性,可以把风险因素依据预测人员的主观判断能力分别进行分析。例如财务舞弊属于很可能且带来的损失结果较大的一种风险,对应表3中的高风险区域,应该需要立即采取行动;对应表4中的,可能性很可能,结果较大的S严重风险,需要引起高校高层管理者密切注意和重视。自然灾害于发生的概率几乎不可能,但是一旦发生带来的损失较大,对应表3中的中风险区域,需要管理层密切监督;对应表4中的可能性几乎不可能,结果较大的M中度风险,管理者应该采取措施进行预防管理,做好日常的防范监督。
结合定量和定性分析方法,本文分析了影响高校财务信息化的风险因素,分析了各个风险的发生概率以及发生损失的大小,根据成本效益的原则,同时结合目前我国高校财务信息化的实际现状,比如财务管理系统比较落后,财务信息化程度较低,财务信息传递速度缓慢等,制定高效可行的应对措施。
三、高校财务信息化风险的应对措施
风险评估之后,高校管理者应当根据经济效益最大化的原t来确定采取风险应对措施。针对发生损失概率大,损失成本高的因素,采取积极主动应对措施,同时做好预防工作。针对发生损失概率较小,损失成本较高的因素,应引起高度重视。对于发生概率较大,损失成本较低的因素,应当妥善做好日常财务信息安全工作,从而避免不必要的损失。针对发生损失概率小,风险低的因素,应时常提醒财务人员有可能会面临的风险及如何应对。本文从影响高校财务信息化风险因素的角度,制定具体应对措施。
(一)岗位分工,实行职责分离。采取不同岗位管理人员职责分离来应对财务舞弊行为,从而降低财务风险。岗位设置可分为系统管理、监控、操作等。系统管理岗位主要负责日常管理、维护、用户授权、数据备份等,监控岗位可以通过信息网络平台对系统管理岗位和操作岗位的工作流程和结果进行识别、记录,防止利用网络进行欺诈舞弊等行为;操作岗位具体负责信息的采录与研判分析,细分为录入、核审、档案管理等岗位;现实中,系统管理、监控和操作岗位应由专人负责且应分工明确、互不干涉。例如接触实物资产和经常接触会计记录数据文档的岗位人员必须实现职责分离,否则这两种接触的特权放在一起容易产生舞弊和欺诈。
(二)创新体制,完善内部控制。加强内控制度建设,应对财务舞弊、数据窃取、行为人的恶意破坏等违法行为。首先,高校内控制度建设需要进一步完善管理制度,例如网络维护与管理制度、数据安全与维护制度、机房管理制度、计算机软件操作及维护制度、操作权限控制,计算机软硬件使用与维护制度,业务处理流程、设备管理制度等,从源头上对高校财务工作人员进行行为约束。其次,进一步提高对数据访问和运用的核审机制。对高校财务信息系统的各类重要数据参数及敏感资料进行实时监控,根据不同人员设置类别不同的使用权限,未经有效授权严禁拷录、使用系统资源,避免数据窃取、程序和系统破坏现象的出现,切实提高财务信息风险管控水平。最后,要建立高校财务信息化系统的安保体系,确保网络和信息畅通,防止人为破坏。
(三)减少威胁,诚信与法律结合。实践中,对财务信息管理系统恶意破坏且造成严重后果者,高校可以采用法律手段维护自身合法利益,我国《刑法》《民法》《中华人民共和国计算机信息系统安全保护条例》等多部法律明确规定,任何组织或个人,不得利用计算机信息系统从事危害国家利益、公共利益和公民个人合法利益的活动,不得危害计算机信息系统的安全。任何组织或者个人违反本条例的规定,给国家、集体或者他人合法财产造成损失的,应当依法承担相应法律责任。《计算机信息网络国际联网管理暂行规定》规定用户不得擅自进入未经许可的计算机系统,篡改他人信息;不得制造、传播计算机病毒及从事其他侵犯网络和他人合法权益的活动。《公安部计算机信息网络国际互联网安全保护管理办法》规定任何单位和个人未经允许不得对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;不得故意制作、传播计算机病毒等破坏性程序。同时,对一些主观恶性较小,处于违法行为预备阶段或尚未造成危害后果的行为人可以对其加强宣传教育,依靠诚信原则及道德力量来约束、规范行为人。
(四)数据备份,确保数据安全。数据备份在工作实践中具有十分重要的现实意义,系统故障、人为破坏或意外事故等风险因素均会对数据的保存和延续造成影响,因此应定期做好备份,可采用云备份或软、硬盘等多种存储介质同时备份,并可配备专门的服务器,从而保证财务数据万无一失。对于重要的财务档案或台账应指定专人负责,对于备份的电子数据及纸质台账要严格按照国家规定的管理办法进行归档和保存,妥善做好各种防护措施,确保财务数据的完整和安全。
(五)防范病毒,保证系统安全。针对病毒攻击我们应建立完善的防病毒体系。计算机病毒传播范围广、时间短、危害大,对财务信息系统的正常运行及数据的安全造成严重威胁,因此高校财务系统管理者必须建立完善的防病毒防护体系,将杀毒软件及网络防火墙在有关网络和计算机上实现全方位覆盖,并启动实时监控系统,定期升级病毒库,严格执行防病毒措施,且应当制定严格的计算机管理制度,禁止在工作机上安装无关软件和危险插件,财务专用机由专人负责,慎用U 盘等移动存储介质。
(六)强化培训,提高人员素质。高校财务人员应当进一步提高自己预防风险和管控风险的能力。当前,财务信息化已成为高校财务管理发展的必然趋势,信息化的发展对工作人员的能力提出了更高的要求,在新形势下,要想胜任财务工作岗位,必须在掌握财务专业基础上精通计算机操作等相关技能,因此,高校管理者必须进一步加强复合型人才的培养,一方面要进行宣传教育,提升工作人员的思想认识,使财务人员明确新知识、新技能在现实工作中的重要意义;另一方面要定期开展业务培训,结合财务信息化系统的使用提升财务人员计算机操作技能,增强其风险防范意识和管控水平,从而进一步推动高效财务信息化进程迈出坚实的步伐。
参考文献:
[1]高娟.高校风险管理研究综述[J].财会通讯,2015,(16):43-47
[2]牛丽云.信息化环境下高校会计信息化人才培养的探讨[J].商业会计,2014,(21):122-123.
[3]魏春波.高校财务信息化风险管理探析[J].沈阳建筑大学学报(社会科学版),2007,(4):427-437.
云计算安全评估办法范文4
2013年国家信息安全专项有关事项的通知
发改办高技[2013]1965号
工业和信息化部、公安部、安全部、质检总局、中科院、国家保密局、国家密码局办公厅(室),各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委,相关中央直属企业:
为了贯彻落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)的工作部署,针对金融、云计算与大数据、信息系统保密管理、工业控制等领域面临的信息安全实际需要,国家发展改革委决定继续组织国家信息安全专项。现将有关事项通知如下:
一、专项重点支持领域
(一)信息安全产品产业化
产品自身应具有较高的安全性,不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等国家标准中3级的相关要求。
1、金融信息安全领域
(1)金融领域智能入侵检测产品。
适用于金融机构电子银行等应用业务系统,支持IPv4/IPv6环境,具有双向数据检测、历史数据关联分析、网络报警数据筛选过滤、反馈测试、自学习和自定义检测规则、多维度展现,以及攻击影响分级等功能,吞吐量不低于20Gbps,基于国内外主流特征库检测的漏报率低于10%、误报率低于5%。
(2)高级可持续威胁(APT)安全监测产品。
适用于金融机构的业务网络和应用系统,支持IPv4/IPv6环境,具有规模化虚拟机或沙箱执行等动态检测技术的威胁感知功能,具备对各类设备网络文件传输异常行为、漏洞利用行为、未知木马、隐蔽信道传输等多样性、组合性和持续性攻击的检测能力,支持1000个以上的并发检测能力,基于国内外主流特征库检测的漏报率低于5%、误报率低于10%。
(3)面向电子银行的Web漏洞扫描产品。
适用于金融机构电子银行业务系统,具备开放式Web应用程序安全项目(OWASP)通用漏洞的高启发、高强度、交互式检测能力,具有漏洞验证、基于电子银行系统业务流程的流量录制重放式的逻辑漏洞分析等功能,基于国内外主流漏洞特征库扫描的漏报率低于5%、误报率低于10%。
(4)金融领域应用软件源代码安全检查产品。
适用于金融机构各类业务应用系统,具备适用于金融领域特点、可更新和自定义的安全扫描规则库,可定制扫描策略,在Linux、Aix、Windows、Android、iOS等环境下,具有对Java、C/C++、C#、JSP、COBOL、VB、Ruby等主流编程语言和.NET、Eclipse、Matlab等集成软件工具开发的应用系统进行源代码扫描的功能,对源代码潜在问题分析给出分级别建议,每小时扫描百万行以上代码,基于国内外主流软件源代码漏洞特征库检测的误报率低于30%、漏报率低于35%。
2、云计算与大数据信息安全领域
(1)高性能异常流量检测和清洗产品。
支持IPv4/IPv6环境,适用于云计算和大数据的应用,具备流量牵引和回注、网络层和应用层攻击检测与清洗等功能,支持地址区间的IP保护,可实现对100万个以上IP地址的异常攻击流量清洗,启用全部检测和清洗功能后,设备整体吞吐量达到100Gbps以上。
(2)云操作系统安全加固和虚拟机安全管理产品。
支持IPv4/IPv6环境,支持虚拟化认证授权、访问控制和安全审计,具备虚拟机逃逸监控、实时操作监测与控制、防恶意软件加载和安全隔离等功能,具备1万台以上安全可控轻量级虚拟机的安全管理能力。
(3)高速固态盘阵安全存储产品。
支持IPv4/IPv6环境,具备双控及冗余保护机制,具有缓存镜像、掉电保护、采用国家密码局规定算法的数据加密等功能,支持原生命令队列(NCQ)技术及多种主流接口协议,单盘持续读写性能不低于200MB/s,容量大于512GB,每秒输入输出次数(IOPS)大于12,000,单阵列支持500块以上单盘扩展,响应时间小于800s,非加密通道IOPS大于220,000,加密吞吐量大于1Gb/s。
(4)大数据平台安全管理产品。
支持IPv4/IPv6环境,具有对不少于3种大数据应用平台进行漏洞扫描、配置基线检查、弱口令检测、版本检测和补丁管理等功能,可实现大数据去隐私化处理和策略化数据抽取与集成、统一的策略管理、统一事件分析、全文检索及多维度大数据审计,能够对用户访问敏感信息行为进行报警、阻断、跟踪和追溯,关键安全策略同时支持结构化与非结构化数据的管理,支持1000万以上并发业务访问。
3、信息安全分级保护领域
(1)网络保密检查和失泄密核查取证产品。
适用于涉密网和普通业务网络,支持各类主流操作系统,具备对各种网络失密泄密事件证据保全、提取和分析的功能,支持只读方式、多种硬盘接口、DD或AFF等多种镜像格式,支持已删除文件、注册表、分区的恢复,具有自定义策略取证、关键词搜索、2000万个以上文件并行搜索、加密文件快速检测的能力,对带有密级标志的图形、版式等类型文件识别率大于95%。
(2)特殊木马检查产品。
适用于涉密网和普通业务网络,支持各类主流操作系统,具有已知木马和未知特殊木马检测的能力,具备木马样本及其配置信息的提取、特征归类检测等功能,能够定期进行升级,已知木马检测准确率为100%,未知特殊木马检测准确率大于70%。
(3)涉密信息系统安全保密风险评估软件产品。
符合涉密信息系统分级保护相关国家保密标准,具备合规性检测、漏洞扫描等功能,以自动检测为主、人工判定为辅,评估内容覆盖涉密信息系统安全保密风险评估全部项目,评估结论准确可靠,能够自动生成评估报告。
4、工业控制信息安全领域
(1)面向现场设备环境的边界安全专用网关产品。
支持IPv4/IPv6及工业以太网,适用于集散控制系统(DCS)、数据采集与监视控制系统(SCADA)、现场总线等现场环境,具备5种以上工业控制专有协议以及多种状态或指令主流格式数据的检查、过滤、交换、阻断等功能,数据传输可靠性达到100%,可保护节点数不少于500点,设备吞吐量达到线速运行水平,延时小于100ms。
(2)面向集散控制系统(DCS)的异常监测产品。
适用于电厂、石油、化工、供热、供水等工艺流程,具有对工业控制系统的DCS工程师站组态变更、DCS操作站数据与操控指令变更,以及各种主流现场总线访问、负载变更、通信行为、异常流量等安全监测能力,具备过程状态参数、控制信号的阈值检查与报警功能。
(3)安全采集远程终端单元(RTU)产品。
支持工业以太网协议,适用于-40℃~+70℃温度环境,电磁兼容性(EMC)不低于4级,具有内置安全模块,实现数据采集与监视控制系统(SCADA)软件端到端的信源加密,具备基于数字证书的安全认证功能,支持基于国家密码局规定算法的数据加密,加密速率不小于20Mb/s。
(4)工业应用软件漏洞扫描产品。
适用于石油化工、先进制造领域,具有对符合IEC61131-3标准的控制系统上位机(SCADA/HMI)软件、DCS控制器嵌入式软件以及各种主流现场总线离线漏洞扫描能力,具有对数字化设计制造软件平台(如产品数据管理PDM、专用数控机床通信软件eXtremeDNC、高级设计系统ADS等)漏洞扫描能力,具备检测与发现软件安全漏洞、评估漏洞安全风险、可视化展示、漏洞修复建议等功能,漏洞检测率达到90%以上。
(二)重要信息系统安全可控试点示范
1、金融信息安全试点示范
支持商业银行开展一体化信息安全风险感知体系试点示范,按照信息安全等级保护相关要求,建立银行系统整体信息安全风险感知预警、网点集中管控的防护体系,完善灾备能力检测、第三方安全服务质量评价等管理规范。
支持商业银行开展电子银行和移动支付业务系统安全态势监控试点示范,按照信息安全等级保护相关要求,构建银行新型增值业务应用的安全管理机制,并形成相应标准规范体系。
支持商业银行、信息安全专业机构、行业主管部门对电子银行系统联合开展金融领域钓鱼网站和金融诈骗事件安全应急保障试点示范,探索银行、机构和政府部门合作的新模式,建立联合处置、及时有效的应急保障机制。
2、云计算与大数据安全应用试点示范
按照信息安全等级保护的相关要求,在金融、能源、交通、电子政务、电子商务和互联网服务领域,支持重点骨干企业,围绕主要业务应用,采用安全可控的技术和产品,开展云计算和大数据安全应用试点示范,研究制定云计算和大数据应用的安全管理机制、责任认定机制、数据保护和使用安全机制与规范。
3、信息系统保密管理试点示范
在国家重点党政机构和涉密单位,按照信息安全等级保护相关要求,开展基于密级标识的涉密信息及载体管控试点示范,部署电子文件密级标识管理、涉密计算机和涉密移动存储介质识别管理等系统,探索重要信息系统保密管理新方式。
支持商业机构、专业机构开展电子邮箱安全保密试点示范,采用国家密码局规定算法,以及相关信息安全防护技术,建设安全邮箱服务平台,形成电子邮箱防泄密、反窃密综合保障能力,探索安全加密邮件与智能终端电子邮件消息加密推送等新服务模式。
4、工业控制信息安全领域示范
在电力电网、石油石化、先进制造、轨道交通领域,支持大型重点骨干企业,按照信息安全等级保护相关要求,建设完善安全可控的工业控制系统。建立以杜绝重大灾难性事件为底线的工业控制系统综合安全防护体系,建立完善工业控制信息安全技术与管理的机制和规范。
二、申报要求
(一)请项目主管部门根据投资体制改革精神和《国家高技术产业发展项目管理暂行办法》的有关规定,结合本单位、本地区实际情况,认真做好项目组织和备案工作,组织编写项目资金申请报告并协调落实项目建设资金、环境影响评价、节能评估等相关建设条件,同时汇总相关申请材料并报我委。
(二)通过国务院有关部门及中央直属企业申报的项目,项目单位应与有关部门和中央直属企业有财务隶属关系。其他项目应按照属地管理原则,通过项目单位所在地的省级发展和改革委员会申报。
(三)项目主管部门应对报送的材料,如资金申请报告、银行贷款承诺、自有资金证明、各类许可资质等,进行认真核实,并负责对其真实性予以确认。
(四)项目纸质申报材料包括:项目资金申请报告(达到可行性研究报告深度)、项目简表和项目汇总表,上述材料一式两份。项目简表、项目汇总表、项目备案文件、自有资金证明、投资及信贷承诺等所有附件要与项目资金申请报告一并装订(项目简表和汇总表应订装在报告正文前)。各项目材料一经提供不予退还,请做好备份。资金申请报告的具体编制要求详见附件1、2。
(五)项目材料的具体报送时间、地点和相关要求将在今年9月下旬在国家发展改革委高技术司网站(网址gjss.ndrc.gov.cn)信息化栏目下另行通知。
(六)信息安全产品产业化项目的承担单位原则上应为企业法人。申报项目应具备以下条件:(1)按规定在当地政府备案;(2)已落实项目建设资金;(3)采用的科技成果应具有自主知识产权;(4)项目申报单位必须具有较强的技术开发和项目实施能力,具备较好的资信等级,资产负债率在合理范围内;(5)项目答辩时各单位应已有相关产品。
(七)重要信息系统安全可控试点示范项目的承担单位应为企业法人或事业法人(不包含高校和科研机构),项目的具体要求及项目资金申请报告的编制要点详见附件2。
(八)本次信息安全专项分两阶段开展。第一阶段受理金融信息安全、云计算与大数据安全、信息系统保密管理项目的申报,截止时间为2013年10月15日。第二阶段受理工业控制信息安全项目申报,截止时间为2014年7月15日。我委对项目进行初步评审后,将组织现场答辩。其中,专项拟支持的产品将全部委托第三方检测机构进行公开测试,有关具体项目答辩和测试名单、时间和地点,以及公开测试的时间将另行通知。
附件:1、信息安全产品产业化项目资金申请报告编制要点
2、重要信息系统安全可控试点示范具体要求及项目资金申请报告编制要点
3、信息安全项目及承担单位基本情况简表
4、信息安全项目汇总表
国家发展改革委办公厅
2013年8月12日
云计算安全评估办法范文5
2014年9月2日,职业病危害防治评估工作总结会在北京召开。会议听取了职业病危害防治评估工作有关情况的汇报,审议通过了《2013年度职业病危害防治评估报告》,并对下一步工作提出了要求。国家安全监管总局副局长杨元元出席会议并讲话。
评估指标与方法
此次评估是对职业病危害防治情况首次开展的评价工作,政策性强、工作量大、技术要求高,没有经验可循。在这样的情况下,国家安全监管总局统计司与中国安科院加强调查研究与科研攻关,历时2年,经多次征求意见和反复研究论证,制定了评估指标、评估方法。
评估共设7项指标,包括用人单位负责人职业卫生培训率、用人单位劳动者上岗前职业卫生培训率、从事接触职业病危害作业劳动者职业健康检查率、工作场所职业病危害因素检测率、工作场所职业病危害告知率、工作场所职业病危害警示标识设置率,以及职业病防治监督覆盖率。
评估采取抽样调查的方法。对每一省级统计单位,按照统计学分层抽样原则,选取2个地市,在“作业场所职业病危害申报与备案管理系统”内按行业、规模比例随机抽取60家用人单位进行资料审查、10家用人单位进行现场抽查。
评估设计满分100分,按照资料审查、现场抽查的分值分别占70%和30%,计算各省级统计单位的评估得分。得分结果分优秀、良好、合格和不合格4个等级。
评估结果分析
此次评估工作,掌握了职业病危害防治现状,明确了差距,发现了问题,为今后职业病危害防治工作提供了基础数据,为有的放矢开展工作提供了依据。
职业病危害防治现状
近年来各级安全监管部门认真贯彻落实《职业病防治法》和《规划》,取得了一定成效。但当前职业病危害防治形势依然不容乐观,职业病危害防治工作基础薄弱,发展不平衡的情况较为突出。从被评估省级统计单位的总体情况看,建材、金属制品、轻工等行业的用人单位及小微型用人单位,迫切需要提升职业病危害防治工作水平。
从被评估省级统计单位的总体情况看,各项指标的实施情况距离《规划》目标有不同程度的差距,特别是用人单位负责人职业卫生培训率和工作场所职业病危害告知率与《规划》目标水平差距较大。
职业病危害防治存在的主要问题
根据评估结果,评估组分析了当前职业病危害防治工作存在的主要问题。一是基层职业卫生监管效果有待提高,特别是对小、微型用人单位的监督和指导需要进一步深化和提高。二是用人单位负责人职业卫生培训工作有待加强。三是职业卫生技术服务机构的建设还不能满足工作需要,集中表现在管理体制存在问题,数量不足、分布不均等。
继续深入推进
云计算安全评估办法范文6
关键词:棱镜门 去IOE 国产化替代 云安全
一、IT架构国产化成趋势
(一)信息安全市场规模加速发展,市场发展空间较大
据统计,2014年全球信息安全市场规模总共达到670多亿美元,全球的年复合增长率是8.7%,预计2016年,市场总规模将达到960亿美元。
我国的信息安全建设起步较晚,意识形态在逐步提升,从行业分析的数据来看,国内信息安全市场规模的平均增幅达到17%,远远超过国外的增速。我们认为国内信息安全市场规模的增长速度还会提升,预期会达到20%左右。主要原因有以下两点:一是中国的人口和企业基数多,信息化程度提升后带来的边际效应特别快,特别是移动互联网的到来,中国的移动用户终端数量达到5.5亿,基础的安全建设将随之有较大比例的提升;二是目前互联网建设过程中信息安全投资的比例低,据公开信息,2010年我国信息安全产业与软件和信息服务业相比不足1.5%,远低于国外的安全投入比例。
(二)棱镜门是信息安全可控的助推器
从国家层面来看,十八届三中全会公报指出将设立国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全。2014年2月27日,中央网络安全和信息化领导小组召开第一次会议。指出,网络安全和信息化对一个国家很多领域都是非常重要,要认清面临的形势和任务,充分认识做好工作的紧迫性和重要性,因势而谋,顺势而为。网络安全和信息化是一体两翼、双轮驱动,必须统一部署、统一谋划、统一推进、统一实施。做好网络信息化安全工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。
棱镜门事件的爆发,使人们发现美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。最重要的是通过对本国公司的合作,达到监控他国政府的目的,另外这个名为“棱镜”的项目还可以使情报人员通过“后门”进入9家主要科技公司的服务器,包括微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、YouTube、苹果。
当代社会已经进入数字社会,互联网开始连接一切,构成互联网时代的基础则是各种通信设备和系统应用软件,信息安全是国家安全的重中之重,保障互联网安全,保障IT信息产业安全将是重头戏。在互联网的时代,IT产业国产化的进程不可逆转。
(三)国家意志下,IT架构国产化的必然性
虽然要求“去IOE”的呼声在国内喊了很久,此前实际上并没有实质进展。但2014年9月银监会的39号文,让“去IOE”真正落实成“白纸黑字”的文件。
根据39号文件要求,从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比。2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。同时,银监会还要求,2015年银行业至少完成一个信息系统的迁移,至少实现一个数据级灾备系统主要部件采用国产设备或软件,并明确表示不建议再采购大型机设备。
在2015年的银行采购中,某行已经要求采购国产IT产品,最新采购的服务器主要来自联想集团、浪潮信息等国内知名IT企业。
二、云安全成为新的热点
(一)云计算的发展推动行业新一轮成长
据Gartner公司统计,2014年全球云计算市场总规模已达1500亿美金,而整个全球IT投入是3.6亿美金,云计算占其中不足4%的份额。据Gartner公司日前的调查结果显示,2013年全球公共云市场规模将从2012年的1110亿美元增至1310亿美元,私有云服务及混合云服务发展势头也十分迅猛。工信部云计算研究中心主任杨东日日前也透露,包括中国电信、中国联通、中国移动在内蒙古的云计算投入将达到200亿元。微软亚太研发集团主席张亚勤曾预测,云计算未来几年在全球范围可创造1300万份工作机会,未来五年年化符合增速将达到30%。
随着越来越多的企业部署SaaS和BYOD,Gartner预计企业云安全服务的接受度和依赖性将逐渐增加,而未来几年云安全市场将进入高速发展期。近日,Gartner报告“2014年全球云安全服务市场趋势”预测:随着越来越多的企业,尤其是中小企业采用云安全服务,云安全服务市场,包括安全邮件/web网关、身份和访问管理IAM、远程漏洞评估、安全信息和事件管理将迎来高速发展时期,2017年该市场规模将高达41.3亿美元。
(二)国外云安全趋势的最新动态
2014年8月,IBM收购了云安全服务提供商Lighthouse Security Group,是继7月下旬收购意大利云安全厂商CrossIdeas后,再次进行的另一安全业务并购。该收购显示IBM在身份和访问管理安全服务领域将持续发力。
(三)国内企业逐渐布局云安全
启明星辰紧跟云计算、虚拟化和SDN技术发展,结合公司在信息安全领域深厚的技术、产品、经验积累,推出了“启明星辰智慧流安全平台”,深入诠释和实践了公司SDS(Software Defined Security,软件定义安全)的理念,实现了安全按需使用、安全个性化编排、安全资源高弹性、切实抵御未知威胁等功能,助力SDN网络及云数据中心安全。目前,“启明星辰智慧流安全平台”已经成功完成了与华为SDN网络的联合对接测试,并于“2015华为网络大会”上。
三、信息安全行业发展的海外映射
(一)国外信息安全行业发展历程
近年来,全球网络威胁持续增长,各类网络攻击和网络犯罪现象日益突出,并呈现出:攻击工具专业化、目的趋于商业化、行为趋于组织化、手段趋于多样化等特点。许多漏洞和攻击工具被网络犯罪组织商品化,使网络威胁的范围加速扩散。随着网络犯罪背后的黑色产业链获利能力的大幅提高,互联网的无国界性使得网络威胁对全球各国用户造成的损失随着范围的扩散而迅速增长。
国外信息安全领域龙头企业逐渐从内生性成长向外延并购扩张。
(二)美国信息安全龙头的成长之路
赛门铁克营业收入从1989年上市的7400万美元增长到2010年的61.9亿美元,净利润从800万美元增长到6亿美元,是全球收入规模最大的信息安全产商。
赛门铁克向全球的企业及服务供应商提供包括:入侵检测、互联网内容及电子邮件过滤、病毒防护、防火墙、VPN、风险管理、远程管理技术及安全服务等。公司旗下的诺顿品牌是个人安全产品全球零售市场的领导者。
安全需求从单一产品逐渐转向信息安全整体解决方案及服务;信息安全发展迅速,新需求层出不穷;通过收购来扩充自己的产品线和赢得客户。从2000年2月到2006年2月,其收购了不下25家公司。而其也在收购之路上屡试不爽,成功率颇高。
(三)信息安全国产化替代百亿空间
由于信息安全在互联网时代的重要性,我国政府采购信息安全产品有着很高的要求,都要求采购“自主可控的国产安全产品”,具有完全自主创新特点的安全产品成为我国国家战略部门采购时的首选产品,在政策上也受到政府的大力鼓励。我国国家保密局、公安部、国务院信息化工作办公室联合制定《信息安全等级保护管理办法》指出,我国第三级以上信息系统选择使用的安全产品,其产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格。同时要求,产品的核心技术、关键部件具有我国自主知识产权。
截至2014年底,国内信息安全市场规模110亿,信息安全占IT支出比例为1%,而欧美是8%-12%;政府、军队将被划入第三级以上的信息安全等级保护,如果未来信息安全支出可以达到企业级IT支出比例的2%-3%,则每年将会有80-120亿的市场。
四、信息安全产业的发展趋势展望
随着信息技术的快速发展和广泛应用,基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增,应用安全日益受到关注,主动防御技术成为信息安全技术发展的重点,信息安全产品与服务演化为多技术、多产品、多功能的融合。作为信息安全领域的领军品牌,清华同方电脑总工程师刘峰认为目前信息安全产业呈现两大新趋势,将引领信息安全产业的发展。