网络安全评测范例

摘要：随着互联网技术的快速发展和普及，如今互联网技术的运用领域范围也越加广泛，并逐步改变人们的日常生活内容及习惯。在此情况下，国家为能够有效确保网络信息安全，已经将网络信息安全的相关内容纳入到国家安全之中，并将其视作为国家安全的重要组成部分。基于此，本文将提出一种网络安全评测信息系统的总体设计架构，并以某中小企业为例，实现对网络安全评测信息系统的具体运用测试，进一步确定网络安全评测信息系统的实际运用成效。

关键词：网络安全；系统开发；系统运用

近些年来，随着互联网技术的快速发展，我国在网络信息安全保障领域方面也得到了快速发展。但结合当今实际情况来看，我国网络信息安全保障领域中还存在着网络信息安全滞后于信息发展等问题，这些问题的存在将会严重影响到我国的网络信息安全。为能够进一步提高网络信息安全保障能力，维护国家信息安全和公民信息安全，需要在网络安全测评领域，采用先进技术手段和科学有效的方法，构建相应的网络安全测评信息系统，及时预防和抵御网络信息安全问题，将网络信息安全风险控制在可接受水平范围。

1网络安全评测信息系统设计与实现

1.1安全漏洞扫描器类型。安全漏洞扫描器作为网络安全评测信息系统重要组成部分，其在市面上常用的类型主要分为基于主机的安全漏洞扫描器、基于网络的安全漏洞扫描器、基于目标的安全漏洞扫描器以及基于应用的安全漏洞扫描器四种。（1）基于主机的安全漏洞扫描器主要是通过被动式、非破坏性的方法对网络信息系统进行全面检测，检测过程中会对系统配置文件的完整性、正确性、重要文件和程序的实际权限以及主机内部安全状态等内容进行检测分析，分析文件、程序、主机中是否存在风险漏洞问题[1]；（2）基于网络的安全漏洞扫描器则会采用主动性、破坏性的方式来检测系统是否能够抵御外部攻击，即通过一些脚本、病毒来模拟系统在被攻击时的安全性能，进而测定系统的安全水平；（3）基于目标的安全漏洞扫描器在运行过程中会对系统属性和文件属性进行全面检测，并在检测过程中采用消息加密算法和HASH函数来感知系统加密消息的真伪变化情况；（4）基于应用的安全漏洞扫描器是一种被动式、非破坏性的安全检测方式，在实际运行过程中会通过对应用软件设置情况的检测来判断系统示范存在安全漏洞问题。

1.2网络安全评测信息系统主要架构。结合当今实际情况来看，常见的网络安全评测信息系统主要采用B-S、C-S等架构，本文在实际设计过程中，将会采用C-S架构。在网络安全评测信息系统中主要分为客户端和服务器两部分，其中客户端主要由安全评估模块、扫描配置模块以及结果报表整理模块三部分组成；服务器主要是由扫描引擎、漏洞库以及插件库三部分组成[2]。在该些模块的支持下，客户端可以实现配置模块的全面扫描，并实时将扫描请求发送到服务器端。服务器端在接收到扫描请求后，会调用扫描引擎会基于目标配置文件对目标的网络进行全面扫描，然后将扫描结果与服务器漏洞库中的预设信息进行匹配对比，确定目标网络是否存在漏洞问题，再将判断后获取到的匹配结果返回给客户端，客户端会对返回的匹配结果进行分析，然后对分析结果及相关内容进行报表整理，完成整个网络安全评测信息系统工作流程。

1.3客户端架构设计。网络安全评测信息系统的客户端主要有扫描配置模块、评估模块、预警模块、扫描结果数据库以及主机基本情况数据库五部分组成，具体内容如下：（1）扫描配置模块：扫描配置模块的主要作用是对客户端的扫描任务进行合理配置，具体配置内容包括扫描目标、用户名、用户密码、加密方式、输出格式、扫描范围、服务器地址、服务器端口、使用插件等。（2）评估模块：评估模块的主要作用是结合目标的实际情况选用适当的算法对目标扫描结果进行分析，然后对目标安全新情况进行一个较为全面、公正的评估判断。（3）预警模块：预警模块的主要作用是在发现目标存在安全风险后，通过Email或者其他通信方式，及时告知目标存在的安全风险问题的实际情况，具体告知内容包括目标已发现的安全漏洞，漏洞相应的补救措施等[3]。（4）主机基本情况数据库：通常来说，某一系统内部的所包含的主机数量在一定时间范围内都是一定的，所以在实际网络安全评测过程中，可以将这些主机相关的基本信息存入到主机基本情况数据库中，以方便后续网络安全评测信息系统检测中使用，进而有效提高评测速度的同时，增强主机的管理效果。当然，在主机情况发生变动后，网络管理人员需要结合主机变动情况及时对主机基本情况数据库中的信息进行更新处理，确保数据的精准性和有效性。（5）扫描结果数据库：每当完成一次网络安全扫描后，扫描所获取到的结果便会存储到扫描结果数据库中，以供后续扫描结果评估的匹配参考。

摘要:针对本地信息安全人才培养的需求，尝试构建基于云计算的信息安全实训平台。利用虚拟化技术和云计算的优势，弥补了传统实训环节的薄弱，设计了数据安全实训、密码学安全实训、逆向工程实训、安全运维与评估及信息安全综合实训五大实训环节，更好地满足新疆职业院校信息安全人才培养的需求。

关键词:信息安全;实训平台;云计算

近年来，信息安全成为国家关注的重要领域，各高校正在积极开设信息安全类课程和专业，然而信息安全相关实验内容极不完善，实验环境和实验器材都较为匮乏，开发一种具备实用性、开放性、灵活性的信息安全实验平台成为开展相关课程教学的基础条件之一［1］。

1新疆高职院校信息安全专业实训建设意义

“一带一路”经过五年的建设发展，取得了举世瞩目的成绩，乌鲁木齐作为丝绸之路经济带的桥头堡，其经济发展和信息化建设将起着决定性作用。在信息化建设过程中，信息安全成为维护国家安全和社会稳定的一个焦点［2］。新疆高职院校主要是培养适应本地发展的高素质技能型人才，其特点是强调应用型。本文以乌鲁木齐职业大学(以下简称“乌职大”)的信息安全云实训平台构建为例，紧紧抓住“实用”和“应用”两个关键点，围绕信息安全云实训的内容及对应的职业技能和岗位应用进行探索。目的是加强网络发展变革下的信息安全防范工作，顺应“一带一路”的发展信息网络安全新思路，抵御恐怖主义、极端主义的信息及网络袭击，加强新疆信息安全高素质应用型人才的培养，努力构建社会稳定的安全格局。

2实训平台建设目标

信息安全云实验平台对信息安全人才培养至关重要。综合信息安全领域的数据安全、密码学安全、逆向工程、安全运维与评估等方面，构建一个基于云计算环境的虚拟化信息安全综合实训平台具有迫切性和实用性。如何构建一个集成网络工程、计算机科学与技术、信息安全、网络安全、信息对抗、信息管理、电子商务等安全相关专业或相关方向迫切需要开设更多更全的信息安全类课程，如“信息安全概论”、“网络安全”、“现代密码学”、“PKI原理与技术”、“操作系统安全”、“数据安全技术”、“防火墙”、“入侵检测”、“计算机病毒分析与防治”、“网络攻击与防护”、“信息隐藏”、“无线局域网安全分析与防护”、“信息安全综合实训”等，这些课程的教学都离不开好的实验实训平台。

［摘要］随着网络信息安全重要性愈发凸显，高校信息系统安全等级保护工作的实施势在必行。定级作为等级保护工作的第一步，其科学性、合理性、可行性直接关系着后续环节的有序进行。文章通过分析定级工作流程和核心要素，结合教育行业特殊性，就高校信息系统定级工作进行分析和归纳。

［关键词］安全等级保护；信息系统；定级

0引言

在教育部提出《教育信息化2．0行动计划》后，建设“数字化”“智慧化”校园成为实现教育现代化的重要举措。然而，由于有些高校信息系统在建设之初未将等级保护作为政策性要求加以考虑，其保护现状能否满足安全基本要求成为管理者们担忧的问题。据统计，由于安全观念薄弱，黑客对高校攻击的成功率很高［1］，因此高校实施信息系统安全等级保护势在必行。但由于思想认识不到位、资金投入不足、管理机构和制度不健全等因素［2］，部分高校迟迟未实施等级保护工作。而现有的等级保护研究成果多从信息系统等级评测技术角度及整体实施步骤进行，对于等级保护中定级工作缺乏具体的实践指导意义。定级作为等级保护工作的第一步，其能否科学、合理关系到后续环节的顺利展开。本文针对高校典型信息系统的定级流程、核心要素进行分析，结合山西某高校网站群信息平台定级实例，希望对高校新建或改建信息系统等级保护评测提供借鉴。

1定级依据

信息系统安全等级评测制度对涉及国家安全，社会安全、公共利益，公民、法人和其他组织的专有和公开信息以及对这些信息存储、传输、处理的信息系统分等级进行安全保护［3］。截至2018年底，国家公开的信息安全技术、网络安全等级标准共14条。高校信息系统定级主要依据《信息系统安全保护等级定级指南（GB／T22240－2008）》以及教育部下发的《教育行业信息系统安全等级保护定级工作指南（试行）》。根据业务信息和信息系统在国家安全、社会秩序和公共利益、公民及相关组织合法权益中的重要程度以及在遭到破坏后对国家、社会、公民合法权益的危害程度，将业务信息和信息系统的安全保护等级分为五级［4］，安全级别由高到低分别为专控保护级、强制保护级、监督保护级、指导保护级、自主保护级。同时依据安全等级保护管理办法，信息安全等级保护评测的主要环节分为定级、备案、建设整改、等级评测和监督检查五个环节。

2定级流程

[摘要]本文探讨电子政务信息系统质量监督的主要内容及其面临的网络安全风险，重点讨论电子政务信息系统网络安全检测的内容，以及网络安全检测在电子政务信息系统质量监督中的重要性及意义。

[关键词]电子政务；质量监督；网络安全检测

电子政务是指政府相关部门利用信息技术、网络技术等现代技术手段重新梳理、优化组织架构和办公流程，利用电子化方式替代传统的人工服务，为社会提供更高效、简便、透明、廉洁的公共服务的一种全新的运作模式。其网络安全能否得到有效保障，直接影响到政务信息资产的安全。

一、电子政务信息系统质量监督的主要内容

依照《中华人民共和国政府采购法》第四十一条：“大型或复杂的政府采购项目，应当邀请国家认可的质量检测机构参加验收工作。”围绕采购方需求，制定出科学完善的测评方案，通过性能测试、漏洞扫描、云计算服务安全评估等专业检测方法，为采购方采购的业务系统、软件应用、云计算平台等开展安全检测。相关评测标准主要有：《GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》《GB50462-2015数据中心基础设施施工及验收规范》。

二、网络安全检测在质量监督中的重要性

电子政务信息系统存储着大量涉及国计民生的有效信息，若遭到不法分子窃取，将对个人、社会甚至国家安全造成严重威胁。基于此，对电子政务信息系统进行网络安全检测，保障其安全稳定地运行，是非常必要且需高度重视的。政务信息网络安全检测主要是针对系统可能存在的安全漏洞进行识别、分析，采取措施应对发现的安全问题，以保障电子政务信息系统安全稳定运行。

[摘要]本文探讨电子政务信息系统质量监督的主要内容及其面临的网络安全风险，重点讨论电子政务信息系统网络安全检测的内容，以及网络安全检测在电子政务信息系统质量监督中的重要性及意义。

[关键词]电子政务;质量监督;网络安全检测

电子政务是指政府相关部门利用信息技术、网络技术等现代技术手段重新梳理、优化组织架构和办公流程，利用电子化方式替代传统的人工服务，为社会提供更高效、简便、透明、廉洁的公共服务的一种全新的运作模式。其网络安全能否得到有效保障，直接影响到政务信息资产的安全。

一、电子政务信息系统质量监督的主要内容

依照《中华人民共和国政府采购法》第四十一条：“大型或复杂的政府采购项目，应当邀请国家认可的质量检测机构参加验收工作。”围绕采购方需求，制定出科学完善的测评方案，通过性能测试、漏洞扫描、云计算服务安全评估等专业检测方法，为采购方采购的业务系统、软件应用、云计算平台等开展安全检测。相关评测标准主要有：《GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》《GB50462-2015数据中心基础设施施工及验收规范》。

二、网络安全检测在质量监督中的重要性

电子政务信息系统存储着大量涉及国计民生的有效信息，若遭到不法分子窃取，将对个人、社会甚至国家安全造成严重威胁。基于此，对电子政务信息系统进行网络安全检测，保障其安全稳定地运行，是非常必要且需高度重视的。政务信息网络安全检测主要是针对系统可能存在的安全漏洞进行识别、分析，采取措施应对发现的安全问题，以保障电子政务信息系统安全稳定运行。

1定级的标准及其依据

根据《基本要求》的规定，二级要求的系统防护能力为：信息系统具有抵御一般攻击的能力，能防范常见计算机病毒和恶意代码危害的能力，系统遭受破坏后，具有恢复系统主要功能的能力。数据恢复的能力要求为：系统具有一定的数据备份功能和设备冗余，在遭受破坏后能够在有限的时间内恢复部分功能。按照二级的要求，一般情况下分为技术层面和管理层面的两个层面对信息系统安全进行全面衡量，技术层面主要针对机房的物理条件、安全审计、入侵防范、边界、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信完整性和数据保密性等多个控制点进行测评，而管理层面主要针对管理制度评审修订、安全管理机构的审核和检查、人员安全管理、系统运维管理、应急预案等方面进行综合评测。其中技术类安全要求按照其保护的侧重点不同分为业务信息安全类（S类）、系统服务安全类（A类）、通用安全防护类（G类）三类。水利信息系统通常以S和G类防护为主，既关注保护业务信息的安全性，又关注保护系统的连续可用性。

2水利科研院所信息安全现状分析

水利科研院所信息系统结构相对简单，在管理制度上基本建立了机房管控制度、人员安全管理制度等，技术上也都基本达到了一级防护的要求。下面以某水利科研单位为例分析。某水利科研单位主机房选址为大楼低层(3层以下)，且不临街。机房大门为门禁电磁防盗门，机房内安装多部监控探头。机房内部划分为多个独立功能区，每个功能区均安装门禁隔离。机房铺设防静电地板，且已与大楼防雷接地连接。机房内按照面积匹配自动气体消防，能够对火灾发生进行自动报警，人工干预灭火。机房内已安装温度湿度监控探头，对机房内温湿度自动监控并具有报警功能，机房配备较大功率UPS电源，能够保障关键业务系统在断电后2小时正常工作。机房采用通信线路上走线，动力电路下走线方式。以上物理条件均满足二级要求。网络拓扑结构分为外联区、对外服务区、业务处理区和接入区4大板块，对外服务区部署有VPN网关，外部人员可通过VPN网关进入加密SSL通道访问业务处理区，接入区用户通过认证网关访问互联网。整个网络系统未部署入侵检测（IDS）系统、非法外联检测系统、网络安全审计系统以及流量控制系统。由上述拓扑结构可以看出，现有的安全防护手段可基本保障信息网络系统的安全，但按照二级要求，系统内缺少IDS系统、网络安全审计系统和非法外联检测系统，且没有独立的数据备份区域，给整个信息网安全带来一定的隐患。新的网络系统在外联区边界防火墙下接入了入侵检测系统（IDS），新规划了独立的数据备份区域，在核心交换机上部署了网络审计系统，并在接入区安装了非法外联检测系统。形成了较为完整的信息网络安全防护体系。

3信息系统安全等级测评的内容

3.1信息系统等级保护的总体规划

信息系统从规划到建立是一个复杂漫长的过程，需要做好规划。一般情况下,信息系统的安全规划分为计算机系统、边界区域、通信系统的安全设计。相应的技术测评工作也主要围绕这3个模块展开。

摘要:文章分析了新形势下网络攻击的模式和手段，列举了支付行业所面临的威胁和挑战，剖析了加强支付行业信息系统安全建设的紧迫性和必要性，提出纵深安全防御体系建设的目标和路线图，从而为企业的网络安全建设提供思路和方向。

关键词:第三方支付；网络安全；关键信息基础设施

2018年4月全国网络安全和信息化工作会议上，再次强调“没有网络安全就没有国家安全，就没有经济社会稳定运行”。明确提出铸牢安全屏障，就要“加强网络安全信息统筹机制、手段、平台建设，做到关口前移，防患于未然”。“关口前移”实际上就是要知道风险到底在哪里，才能有的放矢。攻防双方的输赢取决于信息是否对称，技术是否对等，投入产出是否合理。要以技术对技术，以技术管技术，做到魔高一尺、道高一丈。

1新形势下网络安全所面临的挑战

近年来，国内外病毒事件和信息泄露事件层出不穷，“勒索病毒”“某酒店上亿条客户信息泄露”“某快递公司数千万条客户信息泄露”等事件的余温尚未退去，这给我们网络安全的建设敲响了警钟。回顾近年来经历的网络安全和信息泄露事件，威胁手段已由原来的脚本攻击、扫描注入攻击演变成勒索病毒攻击、僵尸网络攻击，攻击目标也由针对普通用户攻击转向针对关键信息基础设施的攻击。随着互联网技术和通信技术的发展，支付行业的信息化程度越来越高，由于支付场景的极大丰富，给人们生活带了各种便利，缴纳话费、水电煤费用等均可在网上完成。但是随着支付场景的多元化，个人信息和其他支付类敏感数据在互联网上传输越来越频繁，意外泄露和被非法窃取的可能性增加，因此保障信息的安全性至关重要。由于互联网的开放性和共享特征及信息系统自身安全漏洞和某些应用框架的先天缺陷，使得敏感信息被非法获取成为可能，因此构建合适的网络安全体系来保障信息的保密性、完整性和可用性变得尤为重要[1]。

2加强网络安全建设的必要性

支付系统是国家金融体系的重要组成部分，与公共交通、水电煤行业一样属于关键信息基础设施，支付系统的安全稳定运行是社会稳定的重要基础。对于支付行业而言，攻击者目的是要获取系统内部敏感数据，导致敏感数据泄露和企业声誉受损。随着外部攻击形式越来越隐蔽、攻击层次越来越高级、攻击维度越来越多样化，企业需要依赖健全的安全架构体系才能识别各种类型的攻击来源、辨识不同的攻击手段和方式，勾画出全面的风险威胁视图，进而制定多层“水闸式”纵深安全防御措施。在DT时代，数据是各种信息的载体，支付行业的数据尤为敏感，除了职能部门数据外，更多的敏感数据为商户和持卡人信息。任何数据泄漏都将导致客户或商户利益受损，支付企业自身名誉遭受重创。《网络安全法》等相关法律法规的出台，对数据安全保护提出了更高的要求[3]。数据是核心的信息资产，企业必须做好动静态数据的安全防护，落实各项法规和监管政策的要求，只有严格按照各项安全标准和监管要求，在不断加强安全防护的同时，做到最小化的信息收集、传输和存储，才是防止动态和静态数据外泄的行之有效的办法。现在的网络安全概念区别于以前的信息安全的概念，不仅仅只涵盖信息系统层面，也涉及到业务系统的安全。将安全管控触角延伸到业务流程之中，对业务操作过程实时监控，依托安全大数据态势感知，做到防患于未然。

摘要：随着科学技术的不断发展，社会经济与网络的关系越来越密切，但是网络安全的形势也是愈加严峻，网络安全问题不断地出现在大众的视野，国家安全机关、相关的监督部门也针对这一系列问题制定了一些新的方案。在这种情况下，基础电信运营企业就需要将网络安全防护工作作为相关工作的重点，加大投入的力度，全方位地确保通信行业网络安全防护工作的正确、严谨、规范。

关键词：基础电信；网络问题；保护

0前言

当今社会，网络安全显然已经是一个每天都能听到的话题，无论是国家安全，亦或是各个行业、企业，还是个人的学习、家庭，和网络都是离不开的。所以通信网络的这种特性保证了通信的网络安全工作处在最根本的地位上，而且通信网络安全不单单只是通信行业自己的发展，还会干涉到其他行业的发展，通信网络承载着各种行业的发展和安全。从基础电信运营企业来看，网络安全工作的核心就是做好网络安全防护。

1网络安全问题刻不容缓

国际网络安全问题不断出现在大众视野，也给国家给个人造成了不可弥补的损失。最让民众感到恐慌的就是2013年3月20日韩国的大范围网络瘫痪事件，该次网络安全问题导致了韩国的一些节目播放和金融行业产生一系列的问题。不只是在韩国，其他的国家和地区也是如此，此类的网络安全事件也是经常发生，但此类问题如果在特殊的地区和时间下发生区，难免会造成民众恐慌等负面的影响。通过对这些已经发生的案例分析来看，我们可以感觉到网络正在逐渐演变成当今社会国家与国之间的竞争主战场。从上次的韩国网络瘫痪事件我们不难得到这样的结论，网络战争和传统战争最大的不同点就是空间距离在这一战略上已经完全消失，替代的是网络安全防护组成的新的框架结构。就目前来说，网络安全防护工作者身上背负着巨大的责任和使命。由于国内互联网网络安全形式越来越不如人意，后期的工作任务变得更加困难。根据CNCERT前一段时间发表的《2012年我国互联网网络安全态势综述》数据显示，包括信息系统或设备的bug、网站植入后门、网络钓鱼、移动互联网恶意程序方面。这些问题从某种程度是在说明国内互联网安全问题已经到刻不容缓的地步。在信息系统或设备的漏洞方面，2012年基础电信运营企业总共接到CNVD的漏洞风险报告多达339个，包括系统网站、应用、业务系统等各种应用。就目前出现的问题从数量上来看，明年肯定还会有进一步增加的新问题在等着我们。通过2008年到现在通信行业实施了不少的网络安全防护措施，比如《通信网络安全防护管理办法》颁布以来，基础电信运营企业的网络安全防护工作有了较大程度的提升，但是想要快速达到西方发达国家的水平还需要一段时间，我们需要改进的地方涉及体系完善、规章制度、人员素质、方式手段和技术及管理等方面，这就要求我们去保持学习，不断保持进步。

2监管要求不断深化