信息安全服務(wù)評估報告范文

時間:2023-05-04 13:13:17

導(dǎo)語:如何才能寫好一篇信息安全服務(wù)評估報告,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

信息安全服務(wù)評估報告

篇1

安全評估管理規(guī)定

第一條為規(guī)范開展互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評估工作,維護(hù)國家安全和公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》,制定本規(guī)定。

第二條國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評估,適用本規(guī)定。

本規(guī)定所稱互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用(以下簡稱“新技術(shù)新應(yīng)用”),是指用于提供互聯(lián)網(wǎng)新聞信息服務(wù)的創(chuàng)新性應(yīng)用(包括功能及應(yīng)用形式)及相關(guān)支撐技術(shù)。

本規(guī)定所稱互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評估(以下簡稱“新技術(shù)新應(yīng)用安全評估”),是指根據(jù)新技術(shù)新應(yīng)用的新聞輿論屬性、社會動員能力及由此產(chǎn)生的信息內(nèi)容安全風(fēng)險確定評估等級,審查評價其信息安全管理制度和技術(shù)保障措施的活動。

第三條互聯(lián)網(wǎng)新聞信息服務(wù)提供者調(diào)整增設(shè)新技術(shù)新應(yīng)用,應(yīng)當(dāng)建立健全信息安全管理制度和安全可控的技術(shù)保障措施,不得、傳播法律法規(guī)禁止的信息內(nèi)容。

第四條國家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)全國新技術(shù)新應(yīng)用安全評估工作。省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室依據(jù)職責(zé)負(fù)責(zé)本行政區(qū)域內(nèi)新技術(shù)新應(yīng)用安全評估工作。

國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室可以委托第三方機(jī)構(gòu)承擔(dān)新技術(shù)新應(yīng)用安全評估的具體實(shí)施工作。

第五條鼓勵支持新技術(shù)新應(yīng)用安全評估相關(guān)行業(yè)組織和專業(yè)機(jī)構(gòu)加強(qiáng)自律,建立健全安全評估服務(wù)質(zhì)量評議和信用、能力公示制度,促進(jìn)行業(yè)規(guī)范發(fā)展。

第六條互聯(lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)當(dāng)建立健全新技術(shù)新應(yīng)用安全評估管理制度和保障制度,按照本規(guī)定要求自行組織開展安全評估,為國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評估提供必要的配合,并及時完成整改。

第七條有下列情形之一的,互聯(lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)當(dāng)自行組織開展新技術(shù)新應(yīng)用安全評估,編制書面安全評估報告,并對評估結(jié)果負(fù)責(zé):

(一)應(yīng)用新技術(shù)、調(diào)整增設(shè)具有新聞輿論屬性或社會動員能力的應(yīng)用功能的;

(二)新技術(shù)、新應(yīng)用功能在用戶規(guī)模、功能屬性、技術(shù)實(shí)現(xiàn)方式、基礎(chǔ)資源配置等方面的改變導(dǎo)致新聞輿論屬性或社會動員能力發(fā)生重大變化的。

國家互聯(lián)網(wǎng)信息辦公室適時新技術(shù)新應(yīng)用安全評估目錄,供互聯(lián)網(wǎng)新聞信息服務(wù)提供者自行組織開展安全評估參考。

第八條互聯(lián)網(wǎng)新聞信息服務(wù)提供者按照本規(guī)定第七條自行組織開展新技術(shù)新應(yīng)用安全評估,發(fā)現(xiàn)存在安全風(fēng)險的,應(yīng)當(dāng)及時整改,直至消除相關(guān)安全風(fēng)險。

按照本規(guī)定第七條規(guī)定自行組織開展安全評估的,應(yīng)當(dāng)在應(yīng)用新技術(shù)、調(diào)整增設(shè)應(yīng)用功能前完成評估。

第九條互聯(lián)網(wǎng)新聞信息服務(wù)提供者按照本規(guī)定第八條自行組織開展新技術(shù)新應(yīng)用安全評估后,應(yīng)當(dāng)自安全評估完成之日起10個工作日內(nèi)報請國家或者省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評估。

第十條報請國家或者省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展新技術(shù)新應(yīng)用安全評估,報請主體為中央新聞單位或者中央新聞宣傳部門主管的單位的,由國家互聯(lián)網(wǎng)信息辦公室組織開展安全評估;報請主體為地方新聞單位或者地方新聞宣傳部門主管的單位的,由省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評估;報請主體為其他單位的,經(jīng)所在地省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展安全評估后,將評估材料及意見報國家互聯(lián)網(wǎng)信息辦公室審核后形成安全評估報告。

第十一條互聯(lián)網(wǎng)新聞信息服務(wù)提供者報請國家或者省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織開展新技術(shù)新應(yīng)用安全評估,應(yīng)當(dāng)提供下列材料,并對提供材料的真實(shí)性負(fù)責(zé):

(一)服務(wù)方案(包括服務(wù)項目、服務(wù)方式、業(yè)務(wù)形式、服務(wù)范圍等);

(二)產(chǎn)品(服務(wù))的主要功能和主要業(yè)務(wù)流程,系統(tǒng)組成(主要軟硬件系統(tǒng)的種類、品牌、版本、部署位置等概要介紹);

(三)產(chǎn)品(服務(wù))配套的信息安全管理制度和技術(shù)保障措施;

(四)自行組織開展并完成的安全評估報告;

(五)其他開展安全評估所需的必要材料。

第十二條國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室應(yīng)當(dāng)自材料齊備之日起45個工作日內(nèi)組織完成新技術(shù)新應(yīng)用安全評估。

國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室可以采取書面確認(rèn)、實(shí)地核查、網(wǎng)絡(luò)監(jiān)測等方式對報請材料進(jìn)行進(jìn)一步核實(shí),服務(wù)提供者應(yīng)予配合。

國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室組織完成安全評估后,應(yīng)自行或委托第三方機(jī)構(gòu)編制形成安全評估報告。

第十三條新技術(shù)新應(yīng)用安全評估報告載明的意見認(rèn)為新技術(shù)新應(yīng)用存在信息安全風(fēng)險隱患,未能配套必要的安全保障措施手段的,互聯(lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)當(dāng)及時進(jìn)行整改,直至符合法律法規(guī)規(guī)章等相關(guān)規(guī)定和國家強(qiáng)制性標(biāo)準(zhǔn)相關(guān)要求。在整改完成前,擬調(diào)整增設(shè)的新技術(shù)新應(yīng)用不得用于提供互聯(lián)網(wǎng)新聞信息服務(wù)。

服務(wù)提供者拒絕整改,或整改后未達(dá)法律法規(guī)規(guī)章等相關(guān)規(guī)定和國家強(qiáng)制性標(biāo)準(zhǔn)相關(guān)要求,而導(dǎo)致不再符合許可條件的,由國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室依據(jù)《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》第二十三條的規(guī)定,責(zé)令服務(wù)提供者限期改正;逾期仍不符合許可條件的,暫停新聞信息更新;《互聯(lián)網(wǎng)新聞信息服務(wù)許可證》有效期屆滿仍不符合許可條件的,不予換發(fā)許可證。

第十四條組織開展新技術(shù)新應(yīng)用安全評估的相關(guān)單位和人員應(yīng)當(dāng)對在履行職責(zé)中知悉的國家秘密、商業(yè)秘密和個人信息嚴(yán)格保密,不得泄露、出售或者非法向他人提供。

第十五條國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室應(yīng)當(dāng)建立主動監(jiān)測管理制度,對新技術(shù)新應(yīng)用加強(qiáng)監(jiān)測巡查,強(qiáng)化信息安全風(fēng)險管理,督導(dǎo)企業(yè)主體責(zé)任落實(shí)。

第十六條互聯(lián)網(wǎng)新聞信息服務(wù)提供者未按照本規(guī)定進(jìn)行安全評估,違反《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》的,由國家和地方互聯(lián)網(wǎng)信息辦公室依法予以處罰。

篇2

 

隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用,信息化逐漸滲透到社會各個領(lǐng)域,國家的經(jīng)營活動也完全處于信息化環(huán)境之下。然而信息化的普及也使得人們越來越依賴信息系統(tǒng),意味著其面對安全威脅時更加脆弱。本文通過介紹信息安全管理軟件,主要闡述了其在企業(yè)信息管理中的作用和地位,例舉了信息安全管理軟件在黑莓手機(jī)和交通管理中的實(shí)際應(yīng)用,分析了其未來的發(fā)展趨勢。

 

1信息安全管理軟件在實(shí)際生活中的應(yīng)用

 

1.1信息安全管理軟件在企業(yè)管理中的應(yīng)用

 

國外常見應(yīng)用于企業(yè)的信息安全管理軟件有ASSET、COBRA、Callio Secum 17799等。ASSET主要通過用戶手動操作對信息系統(tǒng)安全性進(jìn)行自我評估,生成安全性自我評估報告,從而達(dá)到保障信息系統(tǒng)安全性的目的;COBRA通過問卷的方式采集和分析資料,并對組織的風(fēng)險進(jìn)行定性分析,最終生成包含已識別風(fēng)險和推薦措施的評估報告;Callio Sect~是一款幫助企業(yè)實(shí)施定性的風(fēng)險評估和認(rèn)證信息安全管理體系的基于Web的工具。它們有各自的優(yōu)缺點(diǎn),其中COBRA和CallioSecum的技術(shù)相對成熟,安全性更高,使用范圍也更廣。

 

國內(nèi)開發(fā)的企業(yè)信息安全管理軟件比較少,如今應(yīng)用得比較廣泛的是由廈門天銳科技有限公司自主研發(fā)的綠盾加密軟件,是一套整合了文件自動加密、網(wǎng)絡(luò)實(shí)時監(jiān)控、網(wǎng)絡(luò)行為管理及內(nèi)網(wǎng)的軟件系統(tǒng),為企業(yè)信息一體化的安全管理提供解決方案,從源頭保障了數(shù)據(jù)存儲和使用安全。

 

信息安全管理軟件在企業(yè)中主要起到了保護(hù)企業(yè)信息資源財產(chǎn)安全、防止企業(yè)信息泄露、規(guī)范企業(yè)員工行為準(zhǔn)則、保障企業(yè)信息系統(tǒng)得以順暢運(yùn)行等重要作用,保證企業(yè)的價值最大化。

 

1.2黑莓手機(jī)中信息安全管理軟件的設(shè)計和實(shí)現(xiàn)

 

在信息化逐漸普及的今天,智能手機(jī)也隨之迅猛發(fā)展起來,但是人們在享受它帶來的生活樂趣和生活便利的同時,也隨時面臨著個人信息泄露、重要數(shù)據(jù)丟失、通信不安全等威脅。因此,如何利用信息安全管理軟件避免信息泄露是相關(guān)技術(shù)人員應(yīng)該致力研究的方向。

 

在黑莓手機(jī)的安全管理軟件設(shè)計中,技術(shù)人員采用了很多模塊功能來控制信息的泄露、轉(zhuǎn)移、傳送等過程,保證了這些過程實(shí)施的安全性。例如:當(dāng)操作模塊受到客戶端發(fā)送的銷毀敏感數(shù)據(jù)的命令時,先在敏感信息模塊對數(shù)據(jù)進(jìn)行刪除,再調(diào)用通信模塊將執(zhí)行結(jié)果提交到服務(wù)器;在加解密模塊,使用RC4算法對所有交互數(shù)據(jù)進(jìn)行加密,通過讀取程序預(yù)設(shè)的通信解密密匙進(jìn)行解密;短信收發(fā)模塊通過調(diào)用加解密模塊對短信內(nèi)容進(jìn)行加解密,防止短信等信息被不法分子竊聽破解。

 

合理利用相關(guān)信息安全技術(shù)手段提高手機(jī)通信中的安全管理,能保護(hù)公民個人隱私、企業(yè)財產(chǎn)安全,但是現(xiàn)在信息安全管理技術(shù)發(fā)展的并不成熟,相關(guān)管理軟件也存在一些漏洞,需要在未來不斷地進(jìn)步并修復(fù)這些可能存在的技術(shù)本身的風(fēng)險和威脅。

 

1.3信息安全管理軟件在交通管理中的應(yīng)用實(shí)現(xiàn)

 

在國家公安機(jī)關(guān)進(jìn)行交通管理信息化的進(jìn)程中,有些非法分子使用安全攻擊技術(shù)和手段對交通管理信息系統(tǒng)進(jìn)行攻擊,企圖竊取相關(guān)業(yè)務(wù)軟件,篡改程序代碼謀取利益。這些行為使得交通管理信息安全系統(tǒng)承受著日益沉重的壓力,嚴(yán)重危害了交通管理業(yè)務(wù)的辦理和安全。

 

公安機(jī)關(guān)通過安裝點(diǎn)標(biāo)識、安裝密鑰管理、正式密鑰管理和設(shè)置通信機(jī)制等技術(shù)手段來實(shí)現(xiàn)交通管理信息系統(tǒng)的安全管理。安裝點(diǎn)標(biāo)識通過采集足夠多的信息以對服務(wù)器進(jìn)行認(rèn)證識別;密鑰管理中,系統(tǒng)通過安裝密鑰、注冊采集標(biāo)識信息、驗(yàn)證注冊信息生成正式的密鑰,保證信息的安全性;在系統(tǒng)信息交互過程中使用雙重對稱加密法保證通信的保密性和完整性。通過使用這些信息安全技術(shù)和安裝信息安全管理軟件,加強(qiáng)了交通管理業(yè)務(wù)軟件的安全性,保障了相關(guān)業(yè)務(wù)的順利進(jìn)行。

 

2信息安全管理軟件的現(xiàn)狀及發(fā)展趨勢

 

2.1國內(nèi)信息安全管理軟件的發(fā)展現(xiàn)狀

 

我國近幾年來雖然大力引入信息化,注重信息化管理,但是由于自身信息化技術(shù)不完備、觀念不清、試驗(yàn)尚不成熟等原因,加上信息化隨之引起的信息安全問題,國內(nèi)信息化產(chǎn)業(yè)發(fā)展得并不順暢。很多企業(yè)在面臨信息安全風(fēng)險時,更傾向于使用國外的信息安全管理軟件,因?yàn)樗鼈兊墓δ芨鼜?qiáng)大、界面更友好、技術(shù)更成熟。這就導(dǎo)致了國內(nèi)信息安全管理軟件并沒有得到一個很好的環(huán)境來開發(fā)或者發(fā)展,這是現(xiàn)階段我們應(yīng)該認(rèn)識到并值得注意的問題。

 

2.2國內(nèi)信息安全管理軟件的發(fā)展趨勢

 

IT新技術(shù)的高速發(fā)展和攻擊手段的不斷變化,使得信息安全軟件快速崛起。傳統(tǒng)的信息安全軟件偏重于靜態(tài)的封閉的自我保護(hù),隨著攻擊者手段的不斷變化和信息安全事故的損失之慘痛,未來的信息安全軟件將朝著動態(tài)變化主動出擊發(fā)展。預(yù)測未來應(yīng)急相應(yīng)技術(shù)、攻擊取證、攻擊陷阱、入侵容忍和自動恢復(fù)將成為信息安全發(fā)展的熱門。信息安全軟件也將避開基于特征的防御難題,轉(zhuǎn)向基于行為的防護(hù)。另外,信息安全軟件的保護(hù)環(huán)境也將覆蓋到內(nèi)網(wǎng)。人們往往認(rèn)為黑客的攻擊來源于外網(wǎng)用戶,而忽略了內(nèi)網(wǎng)用戶對內(nèi)網(wǎng)結(jié)構(gòu)、防范部署了解更深,因此,內(nèi)網(wǎng)用戶的攻擊和誤操作也會給整個網(wǎng)絡(luò)帶來巨大的傷害,因此未來的信息安全軟件將逐步消除這一安全盲區(qū)。

 

未來的信息安全軟件可能仍然會側(cè)重于基礎(chǔ)軟件的完善,如通信協(xié)議軟件、操作系統(tǒng)、數(shù)據(jù)庫、通用辦公軟件和中間件?;A(chǔ)軟件一旦存在安全漏洞,將會造成毀滅性的傷害。因此軟件安全工程、軟件功能可信性驗(yàn)證、軟件漏洞自動分析工具、軟件完整性保護(hù)方法,都是未來軟件的發(fā)展新動力。安全軟件的應(yīng)用重點(diǎn)領(lǐng)域也將仍然是:政府、軍隊、能源、銀行、電信。其中證券、交通、教育、制造對于等新興企業(yè)需求日趨強(qiáng)勁。信用卡的信息安全問題日趨嚴(yán)重,我國銀行信用卡發(fā)行超過4億張,但據(jù)調(diào)查,銀行客戶信用卡泄露情況非常嚴(yán)重,甚至在網(wǎng)絡(luò)上形成公開販賣之勢。信用卡領(lǐng)域信息安全也會成為信息安全市場的新興產(chǎn)業(yè)。

 

未來中國信息安全市場整體仍然保持20%的年平均增長率,網(wǎng)絡(luò)信息安全行業(yè)的市場規(guī)模,有望達(dá)到300億元。

 

3結(jié)論

 

目前信息安全管理軟件發(fā)展還不是很完備,信息安全這條路還需要進(jìn)行不斷探索發(fā)展。國家需要信息技術(shù)和科學(xué)管理方面的人才,為指導(dǎo)和指揮我國信息安全產(chǎn)業(yè)發(fā)展提供堅實(shí)有力的基礎(chǔ)。信息安全管理軟件也勢必會經(jīng)歷一系列的改革淘汰,最終形成成熟的技術(shù)體系。

篇3

【 關(guān)鍵詞 】 物聯(lián)網(wǎng);信息安全;檢測體系

1 引言

隨著國家信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本完成,信息化應(yīng)用全面展開,物聯(lián)網(wǎng)廣泛應(yīng)用于公共事業(yè)/服務(wù)、交通運(yùn)輸、個人用戶、批發(fā)零售、工業(yè)、制造業(yè)、商業(yè)、服務(wù)業(yè)、農(nóng)業(yè)、建筑業(yè)、金融業(yè)等。目前來看,物聯(lián)網(wǎng)雖然給人們帶來便利,但物聯(lián)網(wǎng)在信息安全方面還存在一定的局限性。一是存在信號受到干擾的可能。如果安置在物品上的傳感設(shè)備信號受到惡意干擾,很容易造成重要物品損失以及重要信息被篡改、丟失的隱患。二是惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過了相關(guān)安全技術(shù)的防范,對物聯(lián)網(wǎng)的授權(quán)管理進(jìn)行惡意操作,掌控他人的物品,就會造成對用戶隱私權(quán)的侵犯。如果爆炸物、槍支等危險物品被其它人掌控,后果會十分嚴(yán)重。因此,物聯(lián)網(wǎng)安全問題如果得不到有效解決,將嚴(yán)重阻礙物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。由于物聯(lián)網(wǎng)感知節(jié)點(diǎn)和傳輸設(shè)備具有能量低、計算能力差、運(yùn)行環(huán)境惡劣、通信協(xié)議龐雜等特點(diǎn),使得傳統(tǒng)安全技術(shù)無法直接應(yīng)用于物聯(lián)網(wǎng),由此引發(fā)物聯(lián)網(wǎng)特有的安全問題,而物聯(lián)網(wǎng)安全技術(shù)和安全狀況缺乏有效的檢測和評價手段。

我國政策環(huán)境較好,物聯(lián)網(wǎng)已成為國家發(fā)展戰(zhàn)略,初步明確了未來發(fā)展方向和重點(diǎn)領(lǐng)域。國家高度重視物聯(lián)網(wǎng)安全建設(shè)。2013年初,國務(wù)院了《關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》(國發(fā)[2013]7號)中明確提出以工業(yè)和信息化部、發(fā)展改革委、公安部牽頭承擔(dān)物聯(lián)網(wǎng)安全保障專項行動計劃:提高物聯(lián)網(wǎng)信息安全管理與數(shù)據(jù)保護(hù)水平,建立健全監(jiān)督、檢查和安全評估機(jī)制。加強(qiáng)物聯(lián)網(wǎng)重要應(yīng)用和系統(tǒng)的安全測評、風(fēng)險評估和安全防護(hù)工作。加快物聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)、檢測、認(rèn)證等公共服務(wù)建設(shè),完善支撐服務(wù)體系,有效保障物聯(lián)網(wǎng)信息采集、傳輸、處理、應(yīng)用等各環(huán)節(jié)的安全可控。

2 物聯(lián)網(wǎng)一體化安全檢測體系

各類物聯(lián)網(wǎng)示范工程進(jìn)行大規(guī)模應(yīng)用之前,應(yīng)充分考慮和評測其安全性,從源頭保證物聯(lián)網(wǎng)安全措施有效性、功能符合性、安全管理的全面性以及給出安全防護(hù)評估。在建設(shè)實(shí)施階段,將所有的安全功能模塊(產(chǎn)品)集成為一個完整的系統(tǒng)后,需要檢查集成出的系統(tǒng)是否符合要求,測試并評估安全措施在整個系統(tǒng)中實(shí)施的有效性,跟蹤安全保障機(jī)制并發(fā)現(xiàn)漏洞,完成系統(tǒng)的運(yùn)行程序和全生命期安的安全風(fēng)險評估報告。在運(yùn)行維護(hù)階段,要定期進(jìn)行安全性檢測和風(fēng)險評估以保證系統(tǒng)的安全水平在運(yùn)行期間不會下降,包括檢查產(chǎn)品的升級和系統(tǒng)打補(bǔ)丁情況,檢測系統(tǒng)的安全性能,檢測新安全攻擊、新威脅以及其它與安全風(fēng)險有關(guān)的因素,評估系統(tǒng)改動對安全系統(tǒng)造成的影響。

物聯(lián)網(wǎng)關(guān)鍵安全問題:一是感知設(shè)備安全;二是物聯(lián)網(wǎng)系統(tǒng)安全和風(fēng)險評估,重點(diǎn)是接入問題;三是業(yè)務(wù)應(yīng)用安全。目前,各行業(yè)均提出了相應(yīng)的安全防護(hù)體系,如智能電網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。本文依據(jù)相關(guān)的安全防護(hù)體系提出物聯(lián)網(wǎng)一體化安全檢測體系,即“一中心、兩庫、五平臺”,如圖1所示。即開放式場景檢測支撐平臺、感知設(shè)備安全檢測服務(wù)平臺、物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估服務(wù)平臺、物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺、物聯(lián)網(wǎng)安全檢測標(biāo)準(zhǔn)及指標(biāo)庫、物聯(lián)網(wǎng)信息安全漏洞與補(bǔ)丁庫以及一體化安全檢測管理中心。在此基礎(chǔ)上,結(jié)合物聯(lián)網(wǎng)具體業(yè)務(wù)需求,進(jìn)行物聯(lián)網(wǎng)安全檢測方法、規(guī)范、指標(biāo)體系、專業(yè)化檢測技術(shù)研究與積累。同時,形成一支服務(wù)于物聯(lián)網(wǎng)安全檢測的多層次、復(fù)合型、專業(yè)化人才隊伍,全面保障物聯(lián)網(wǎng)系統(tǒng)安全穩(wěn)定運(yùn)行。

3 “五平臺”

“五平臺”提供檢測、檢查和評估三類專業(yè)化服務(wù),其中物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺可作為獨(dú)立平臺對外提供檢查服務(wù);開放式場景檢測支撐平臺為感知設(shè)備安全檢測服務(wù)平臺與物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺提供安全符合性檢測環(huán)境,此三個平臺提供技術(shù)檢測服務(wù);物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估服務(wù)平臺在前述四個平臺基礎(chǔ)上,關(guān)聯(lián)外在威脅,分析自身脆弱性,提供風(fēng)險評估服務(wù)?!拔迤脚_”結(jié)構(gòu)關(guān)系如圖2所示,“五平臺”既可獨(dú)立提供檢測服務(wù),也可互為補(bǔ)充,為用戶提供定制化的檢測服務(wù),形成開放式檢測服務(wù)體系架構(gòu)。

3.1 開放式場景檢測支撐平臺

開放式場景檢測支撐平臺實(shí)現(xiàn)物聯(lián)網(wǎng)感知設(shè)備、接入系統(tǒng)、業(yè)務(wù)應(yīng)用三層檢測環(huán)境,如圖3所示。通過多部件的靈活組建,實(shí)現(xiàn)其感、傳、知、用的安全功能檢測,靈活支持用戶個性化的檢測需求。

3.2 感知設(shè)備安全檢測服務(wù)平臺

感知設(shè)備安全檢測服務(wù)平臺實(shí)現(xiàn)一個通用的感知設(shè)備安全檢測系統(tǒng),由開放式場景檢測支撐平臺為被測設(shè)備提供運(yùn)行檢測環(huán)境,其從感知操作安全、感知數(shù)據(jù)處理安全、感知數(shù)據(jù)存儲安全和感知節(jié)點(diǎn)設(shè)備安全、感知節(jié)點(diǎn)通信安全等五方面檢測安全功能和性能,其檢測框架如圖4所示。

3.3 物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺

物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺以系統(tǒng)、整體的視角對智能感知層訪問控制、身份認(rèn)證等策略配置進(jìn)行符合性測試;對接入傳輸層的AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證等進(jìn)行檢測;對業(yè)務(wù)應(yīng)用層數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)和網(wǎng)站安全、應(yīng)用系統(tǒng)穩(wěn)定性、業(yè)務(wù)連續(xù)性等進(jìn)行符合性和有效性檢測。檢測框架如圖5所示。

3.4 物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估服務(wù)平臺

物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估服務(wù)平臺對可能遭受到的威脅和自身脆弱性進(jìn)行安全分析,然后根據(jù)安全事件的可能性以及安全事件造成的損失計算出風(fēng)險值、對安全事件進(jìn)行風(fēng)險等級定級,最后結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對物聯(lián)網(wǎng)系統(tǒng)造成的影響。風(fēng)險評估框架如圖6所示。

3.5 集成化安全管理檢查服務(wù)平臺

集成化安全管理檢查服務(wù)基于物聯(lián)網(wǎng)多類型終端、多網(wǎng)融合、海量數(shù)據(jù)處理和全面感知等特點(diǎn)。從防范阻止、檢測發(fā)現(xiàn)、應(yīng)急處置、審計追查和集中管控五個方面,對物聯(lián)網(wǎng)系統(tǒng)智能感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層的安全管理情況進(jìn)行檢查,其安全管理檢查框架如圖7所示。

4 “兩庫”

4.1 標(biāo)準(zhǔn)及指標(biāo)庫

基礎(chǔ)庫“標(biāo)準(zhǔn)及指標(biāo)庫”通過構(gòu)建物聯(lián)網(wǎng)安全檢測標(biāo)準(zhǔn)子庫與指標(biāo)子庫為“五平臺”提供支撐。標(biāo)準(zhǔn)子庫建設(shè)來源:一是從物聯(lián)網(wǎng)國際標(biāo)準(zhǔn)組織IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解國際最新標(biāo)準(zhǔn),研究制訂適合國情的物聯(lián)網(wǎng)標(biāo)準(zhǔn);二是從國內(nèi)標(biāo)準(zhǔn)組織:WGSN、CCSA和RFID標(biāo)準(zhǔn)工作組獲取最新標(biāo)準(zhǔn);三是隨著業(yè)務(wù)開展,編制了物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)一體化安全檢測標(biāo)準(zhǔn)體系框架,按照標(biāo)準(zhǔn)服務(wù)性質(zhì)的區(qū)分,分為物聯(lián)網(wǎng)產(chǎn)品安全檢測標(biāo)準(zhǔn)、物聯(lián)網(wǎng)系統(tǒng)安全檢測標(biāo)準(zhǔn)、物聯(lián)網(wǎng)風(fēng)險評估標(biāo)準(zhǔn)以及集成化安全管理檢查標(biāo)準(zhǔn)。其框架如圖8所示。

指標(biāo)庫為各種類型的被測設(shè)備和系統(tǒng)提供相應(yīng)的檢測指標(biāo)項目,同時支持用戶自定義新的檢測指標(biāo)。指標(biāo)庫依據(jù)各服務(wù)平臺檢測內(nèi)容劃分四類,即物聯(lián)網(wǎng)產(chǎn)品檢測指標(biāo)、物聯(lián)網(wǎng)系統(tǒng)安全檢測指標(biāo)、物聯(lián)網(wǎng)風(fēng)險評估指標(biāo)以及集成化管理檢查指標(biāo)。其涵蓋功能檢測、性能檢測、抗毀性檢測、符合性檢測、有效性檢測和可用性檢測等指標(biāo)。

4.2 漏洞與補(bǔ)丁庫

漏洞與補(bǔ)丁庫采用云存儲方式,包括海量數(shù)據(jù)融合漏洞,TinyOS操作系統(tǒng)漏洞,異構(gòu)網(wǎng)絡(luò)認(rèn)證協(xié)議漏洞,感知信息傳輸協(xié)議漏洞等。 漏洞與補(bǔ)丁庫一方面為產(chǎn)品、系統(tǒng)檢測,風(fēng)險評估、安全檢查提供支撐服務(wù),另一方面對外提供咨詢服務(wù),網(wǎng)上漏洞信息,定制客戶漏洞處理方案,提供漏洞補(bǔ)丁和專用殺毒工具下載等。

5 “一中心”

一體化安全檢測管理中心完成上述“二庫、五平臺”的互聯(lián)互通和信息共享,實(shí)現(xiàn)檢測項目統(tǒng)一管理,檢測數(shù)據(jù)統(tǒng)一匯總,檢測結(jié)果統(tǒng)一判定,形成感知設(shè)備檢測報告、物聯(lián)網(wǎng)系統(tǒng)檢測報告、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估報告以及集成化安全管理檢查報告等。

一體化安全檢測管理中心由項目管理、場景管理、感知設(shè)備檢測、系統(tǒng)檢測、風(fēng)險評估、集成化安全管理檢查、工具集、基礎(chǔ)庫管理八個核心模塊組成,整個平臺由項目庫、標(biāo)準(zhǔn)及指標(biāo)庫、方法庫、漏洞與補(bǔ)丁庫四個數(shù)據(jù)庫支撐,管理中心框架設(shè)計如圖9所示。

6 技術(shù)特點(diǎn)

(1)提供開放式檢測環(huán)境

物聯(lián)網(wǎng)應(yīng)用的廣泛性和復(fù)雜性,僅依賴單一場景無法滿足客戶的多層次需求,通過開放式檢測環(huán)境,可實(shí)現(xiàn)感知設(shè)備、接入方式、業(yè)務(wù)應(yīng)用的檢測環(huán)境,使得檢測手段更豐富、更精準(zhǔn)。

(2)提供多類型、多元化的檢測

一體化安全檢測體系通過感知設(shè)備檢測、系統(tǒng)檢測、風(fēng)險評估、管理檢查的一體化檢測服務(wù),提品檢測和系統(tǒng)檢測、實(shí)驗(yàn)室檢測和現(xiàn)場檢測服務(wù),滿足物聯(lián)網(wǎng)復(fù)雜多變的檢測需求,使得安全檢測更全面性,幫助客戶準(zhǔn)確評估物聯(lián)網(wǎng)安全性。

(3)提供技術(shù)與管理全方位檢測

物聯(lián)網(wǎng)安全包含技術(shù)與管理兩方面,技術(shù)與管理并重,本體系通過“五平臺”實(shí)現(xiàn)產(chǎn)品、系統(tǒng)技術(shù)類檢測/風(fēng)險評估與安全管理檢查,全方位、整體評估物聯(lián)網(wǎng)安全性。

(4)提供技術(shù)符合性和關(guān)聯(lián)外在風(fēng)險評估相支撐的檢測

物聯(lián)網(wǎng)安全問題是動態(tài)發(fā)展的,在安全技術(shù)符合性檢測的基礎(chǔ)上,提供適用于動態(tài)評估物聯(lián)網(wǎng)工程的風(fēng)險評估服務(wù)。風(fēng)險評估旨在通過關(guān)聯(lián)外在風(fēng)險,結(jié)合自身脆弱性評估系統(tǒng)和工程的安全性,與技術(shù)符合性檢測相支撐。

(5)提供一體化服務(wù)模式

提供一個靈活、規(guī)范的信息組織管理平臺和全網(wǎng)范圍的網(wǎng)絡(luò)協(xié)作環(huán)境,實(shí)現(xiàn)集成的信息采集、內(nèi)容管理、信息搜索,能夠直接組織各類共享信息和內(nèi)部業(yè)務(wù)基礎(chǔ)信息,實(shí)現(xiàn)信息整合應(yīng)用,同時也提供管理中心支撐下的統(tǒng)一項目管理、統(tǒng)一數(shù)據(jù)匯總、統(tǒng)一結(jié)果判定的一體化服務(wù)系統(tǒng)。

7 結(jié)束語

目前,我國政策環(huán)境好,物聯(lián)網(wǎng)已成為國家發(fā)展戰(zhàn)略,初步明確了未來發(fā)展方向和重點(diǎn)領(lǐng)域,但產(chǎn)業(yè)和行業(yè)標(biāo)準(zhǔn)正在建立,是機(jī)遇也是挑戰(zhàn)。經(jīng)濟(jì)環(huán)境上,中國企業(yè)正在隨著國家的快速發(fā)展,持續(xù)提升競爭力和國際影響力,對物聯(lián)網(wǎng)安全性的需求逐步增強(qiáng),企業(yè)對物聯(lián)網(wǎng)安全問題的認(rèn)知提高,經(jīng)濟(jì)支付能力也在增強(qiáng)。通過對各行業(yè)物聯(lián)網(wǎng)建設(shè)方面的調(diào)查發(fā)現(xiàn),當(dāng)前已有的物聯(lián)網(wǎng)應(yīng)用對其安全性的檢測和技術(shù)支持需求十分迫切,物聯(lián)網(wǎng)安全檢測產(chǎn)業(yè)市場前景樂觀。

上述“一中心、二庫、五平臺”形成專業(yè)的平臺,加上精專的人才、全面的服務(wù)內(nèi)容和敏捷的反應(yīng),構(gòu)建物聯(lián)網(wǎng)一體化安全檢測專業(yè)化服務(wù)體系架構(gòu)。從而提升價值、方便客戶、節(jié)約成本、提高效率,滿足物聯(lián)網(wǎng)安全檢測集成化、規(guī)模化的需求。

參考文獻(xiàn)

[1] T Grobler, Prof B Louwrens. New Information Security Architecture[J]. 2005, University of Johannesburg.

[2] 范紅, 邵華等. 物聯(lián)網(wǎng)安全技術(shù)體系研究[J].第26次全國計算機(jī)安全學(xué)術(shù)交流會,2011(09),5-8.

[3] 譚建平, 柔衛(wèi)國等. 基于物聯(lián)網(wǎng)的一體化安全防范技術(shù)體系研究[J].湖南理工學(xué)院學(xué)報, 2011,第24卷 第4期 46-51.

[4] Jackie Rees, Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM, Volume 46 Issue7, 2003, P101-106.

[5] 郎為民,楊德鵬,李虎生.智能電網(wǎng)WCSN安全體系架構(gòu)研究[J].信息網(wǎng)絡(luò)安全,2012,(04):19-22.

[6] 余勇,林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全,2012,(05):74-77.

基金項目:

國家863高技術(shù)研究發(fā)展計劃資助項目(2009AA01Z437)和國家863高技術(shù)研究發(fā)展計劃資助項目(2009AA01Z439)。

篇4

根據(jù)國內(nèi)一些網(wǎng)絡(luò)安全研究機(jī)構(gòu)的資料,國內(nèi)大部分的ISP、ICP、IT 公司、政府、教育和科研機(jī)構(gòu)等都沒有精力對網(wǎng)絡(luò)安全進(jìn)行必要的人力和物力投入;很多重要站點(diǎn)的管理員都是Internet 的新手,一些操作系統(tǒng)如UNIX,在那些有經(jīng)驗(yàn)的系統(tǒng)管理員的配置下尚且有缺陷,在這些新手的操作中更是漏洞百出。很多服務(wù)器至少有三種以上的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán)。

為了使廣大用戶對自己的網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀有一個清醒的認(rèn)識,同時提高對信息安全概念的了解和認(rèn)識,強(qiáng)化網(wǎng)絡(luò)系統(tǒng)安全性能,首創(chuàng)網(wǎng)絡(luò)近日向用戶推出免費(fèi)安全掃描服務(wù)活動。

評估主機(jī)范圍

Capitalnet技術(shù)支持中心在開展此次活動之前得到了客戶的書面授權(quán)。活動中,根據(jù)客戶提供的IP地址,并按照客戶指定的時間,對包括網(wǎng)絡(luò)設(shè)備和應(yīng)用服務(wù)器等在內(nèi)的主機(jī)系統(tǒng)進(jìn)行安全評估。

評估時間和方式

此次活動持續(xù)兩個月時間,由7月1日開始,到8月31日結(jié)束。在活動期間,首創(chuàng)網(wǎng)絡(luò)技術(shù)支持中心安全產(chǎn)品組的專家們在與用戶達(dá)成共識的前提下,利用專業(yè)的安全評估工具,對客戶網(wǎng)絡(luò)信息系統(tǒng)中的重點(diǎn)環(huán)節(jié)進(jìn)行了全方位的安全掃描,并根據(jù)掃描結(jié)果產(chǎn)生了安全評估報告,提交給客戶??蛻艨梢愿鶕?jù)這一安全評估報告充分了解自己信息系統(tǒng)的安全情況,進(jìn)而采取相應(yīng)的安全應(yīng)對措施,從而提高網(wǎng)絡(luò)系統(tǒng)安全性。

評估單位分布

此次評估活動共收到IP地址93個,分別來自不同行業(yè)的34家單位。這些單位分別屬于多種行業(yè)部門。

評估主機(jī)分類

93個IP地址基本代表93臺主機(jī),分別為各個單位提供不同的信息化應(yīng)用。如:WEB、Datebase、Mail等常見應(yīng)用和防火墻等特殊應(yīng)用。

評估漏洞分布

在93臺主機(jī)提供的各種信息應(yīng)用中,都存在這樣或那樣的漏洞,此次評估都漏洞的風(fēng)險分為三種:高風(fēng)險漏洞、中風(fēng)險漏洞、低風(fēng)險漏洞。

參照標(biāo)準(zhǔn)為:

  高風(fēng)險漏洞代表該漏洞可以使攻擊者可以得到該主機(jī)的最高權(quán)限或中斷網(wǎng)絡(luò)服務(wù);

  中風(fēng)險漏洞代表該漏洞可以獲取主機(jī)信息,有助于攻擊者進(jìn)一步攻擊,或存在潛在致命漏洞;

  低風(fēng)險漏洞代表該漏洞會間接影響系統(tǒng)服務(wù)的正常運(yùn)行。

評估漏洞類型

本次掃描活動主要采用了三星信息安全公司的安全評估工具SecuiScan,但為了真實(shí)反映客戶的漏洞存在情況,也結(jié)合了其它著名的安全評估工具,為俄羅斯著名安全評估軟件Shadow Security Scanner和著名的自由軟件Nessus。在工具評估后,根據(jù)提供的分析報告來人工檢查證實(shí)漏洞的真實(shí)性,并在不破壞客戶主機(jī)正常運(yùn)行的情況下得出令客戶信服的評估結(jié)果。

評估發(fā)現(xiàn),很多存在漏洞的主機(jī)都是一些常見的配置錯誤和已經(jīng)公布的漏洞,而且針對這些漏洞的攻擊工具很容易被惡意的攻擊者獲取。這些漏洞分布如下圖:

評估漏洞說明

1.   弱口令攻擊:不少網(wǎng)站的管理員賬號密碼、ftp 賬號密碼、Sql 賬號密碼等都使用很簡單的或是很容易猜測到的字母或數(shù)字,利用現(xiàn)有的家用PIII 機(jī)器配合編寫恰當(dāng)?shù)钠平廛浖阋栽诙虝r間內(nèi)輕松破解,一旦口令被破解,網(wǎng)站就意味著被攻破。

2.    Unicode 編碼漏洞攻擊:對于Windows NT4.0 和Windows 2000 來說都存在有該漏洞,利用該漏洞遠(yuǎn)程用戶可以在服務(wù)器上以匿名賬號來執(zhí)行程序或命令,從而輕易就可達(dá)到遍歷硬盤、刪除文件、更換主頁和提升權(quán)限等目的,實(shí)施方法簡單,僅僅擁有一個瀏覽器就可實(shí)施。

3.    ASP 源碼泄漏和MS SQL Server 攻擊:通過向web 服務(wù)器請求精心構(gòu)造的特殊的url 就可以看到不應(yīng)該看到的asp 程序的全部或部分源代碼,進(jìn)而取得諸如MS SQL Server 的管理員sa 的密碼,再利用存儲過程xp_cmdshell 就可遠(yuǎn)程以SYSTEM 賬號在服務(wù)器上任意執(zhí)行程序或命令,事實(shí)上,MS SQL Server 默認(rèn)安裝的管理員sa 的密碼為空,并且大多數(shù)系統(tǒng)管理員的確沒有重新設(shè)定為新的復(fù)雜密碼,這直接就留下了嚴(yán)重的安全隱患。

4.    IIS 緩沖溢出攻擊:對于IIS4.0 和IIS5.0 來說都存在有嚴(yán)重的緩沖溢出漏洞,利用該漏洞遠(yuǎn)程用戶可以以具有管理員權(quán)限的SYSTEM 賬號在服務(wù)器上任意執(zhí)行程序或命令,極具危險性。實(shí)施較為復(fù)雜,但是可以獲得這種攻擊的傻瓜攻擊軟件。這種攻擊主要存在于Windows NT 和2000 系統(tǒng)中。

5.    BIND 緩沖溢出攻擊:在最新版本的Bind 以前的版本中都存在有嚴(yán)重的緩沖溢出漏洞,可以導(dǎo)致遠(yuǎn)程用戶直接以root 權(quán)限在服務(wù)器上執(zhí)行程序或命令,極具危險性。但由于操作和實(shí)施較為復(fù)雜,一般也為黑客高手所用。這種攻擊主要存在于Linux、BSDI 和Solaris 等系統(tǒng)中。

6.    其他攻擊手法:還有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻擊的手段,但在這次評估活動中表現(xiàn)的不是非常明顯。

整體安全評估報告

主機(jī)系統(tǒng)的安全評估主要在于分析主機(jī)系統(tǒng)存在的安全弱點(diǎn)和確定可能存在的威脅和風(fēng)險,并且針對這些弱點(diǎn)、威脅和風(fēng)險提出解決方案。

主機(jī)存在安全弱點(diǎn)

安全弱點(diǎn)和信息資產(chǎn)緊密相連,它可能被威脅利用、引起資產(chǎn)損失或傷害。但是,安全弱點(diǎn)本身不會造成損失,它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。安全弱點(diǎn)的出現(xiàn)有各種原因,例如可能是軟件開發(fā)過程中的質(zhì)量問題,也可能是系統(tǒng)管理員配置方面的,也可能是管理方面的。但是,它們的共同特性就是給攻擊者提供了對主機(jī)系統(tǒng)或者其他信息系統(tǒng)進(jìn)行攻擊的機(jī)會。

經(jīng)過對這些主機(jī)系統(tǒng)和防火墻的掃描記錄分析,我們發(fā)現(xiàn)目前該網(wǎng)絡(luò)中的主機(jī)系統(tǒng)主要弱點(diǎn)集中在以下幾個方面:

1 .系統(tǒng)自身存在的弱點(diǎn)

對于商業(yè)UNIX 系統(tǒng)的補(bǔ)丁更新不及時,沒有安全配置過,系統(tǒng)還是運(yùn)行在默認(rèn)的安裝狀態(tài)非常危險。對NT/2000 的服務(wù)器系統(tǒng),雖然補(bǔ)丁更新的比及時,但是配置上存在很大安全隱患,用戶的密碼口令的強(qiáng)度非常低很多還在使用默認(rèn)的弱口令,網(wǎng)絡(luò)攻擊者可以非常輕易的接管整個服務(wù)器。另外存在IPC$這樣的匿名共享會泄露很多服務(wù)器的敏感信息。

2 .系統(tǒng)管理存在的弱點(diǎn)

在系統(tǒng)管理上缺乏統(tǒng)一的管理策略,比如缺乏對用戶輪廓文件(Profile )的支持。在系統(tǒng)中存在空口令的Guest 組的用戶,這些用戶有的是系統(tǒng)默認(rèn)的Guest用戶,有的是IIS 和SQL 服務(wù)器的默認(rèn)安裝用戶。這些用戶有些是被系統(tǒng)禁用的,如Guest ,有些則沒有,沒有被禁用的這些賬號可能被利用進(jìn)入系統(tǒng)。

3 .?dāng)?shù)據(jù)庫系統(tǒng)的弱點(diǎn)

數(shù)據(jù)庫系統(tǒng)的用戶權(quán)限和執(zhí)行外部系統(tǒng)指令是該系統(tǒng)最大的安全弱點(diǎn),由于未對數(shù)據(jù)庫做明顯的安全措施,望進(jìn)一步對數(shù)據(jù)庫做最新的升級補(bǔ)丁。

4 .來自周邊機(jī)器的威脅

手工測試發(fā)現(xiàn)部分周邊機(jī)器明顯存在嚴(yán)重安全漏洞,來自周邊機(jī)器的安全弱點(diǎn)(比如可能使用同樣的密碼等等)可能是影響網(wǎng)絡(luò)的最大威脅。

主機(jī)存在的威脅和風(fēng)險

安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對企業(yè)信息直接或間接的攻擊,例如非授權(quán)的泄露、篡改、刪除等,在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說,威脅總是要利用企業(yè)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對資產(chǎn)造成傷害。因此威脅分析是圍繞信息系統(tǒng)的可用性、保密性、完整性、可控性、可審查性、抗抵賴性進(jìn)行的。

安全風(fēng)險則是一種可能性,是指某個威脅利用弱點(diǎn)引起某項信息資產(chǎn)或一組信息資產(chǎn)的損害,從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害的可能性。

在這次評估中,主機(jī)系統(tǒng)存在的威脅和及其產(chǎn)生的安全風(fēng)險主要有以下幾個方面:

1.  針對主機(jī)的攻擊威脅

包括針對Windows NT 系統(tǒng)及其開放的系統(tǒng)服務(wù)的安全弱點(diǎn)攻擊威脅,攻擊者可能由此獲取系統(tǒng)的信息資源或者對系統(tǒng)信息進(jìn)行破壞。

2.  針對數(shù)據(jù)庫的攻擊威脅

包括在對數(shù)據(jù)庫系統(tǒng)的攻擊行為,包括非法獲取、篡改、刪除數(shù)據(jù)庫信息資源和進(jìn)行其他形式的服務(wù)攻擊。

3.   管理不當(dāng)所引起的安全威脅

包括由于用戶管理策略不當(dāng)使得攻擊者可能獲取某一級別的用戶的訪問權(quán)限,并由此提升用戶權(quán)限,造成用戶權(quán)限的濫用和信息資源的泄漏、損毀等;由于采用遠(yuǎn)程管理而引發(fā)的威脅;缺乏足夠的安全審計致使對安全事件不敏感,無法發(fā)現(xiàn)攻擊行為等。

4.  配置不當(dāng)所引起的安全威脅

包括在主機(jī)系統(tǒng)上開放了未做安全防范的服務(wù)如IPC$共享所造成的安全威脅等。

網(wǎng)絡(luò)安全建議

建議把提供網(wǎng)絡(luò)服務(wù)的程序升級到最新版本,關(guān)注網(wǎng)絡(luò)安全通告,或由首創(chuàng)為客戶提供全面、周到、專業(yè)的網(wǎng)絡(luò)安全服務(wù)。

總  結(jié)

此次活動歷時兩個月時間,為34家客戶的93臺主機(jī)提供了全面的安全掃描服務(wù),并將最終的掃描結(jié)果提供給了客戶。

通過此次活動,我們發(fā)現(xiàn)所有的客戶主機(jī)都或多或少存在著各種風(fēng)險度的安全漏洞,安全現(xiàn)狀不容樂觀。其實(shí)在這些客戶所暴露出來的漏洞中,絕大多數(shù)都是已經(jīng)有了解決辦法的,只要做一些簡單的升級或安裝補(bǔ)丁就可以解決。另外,我們還發(fā)現(xiàn),有的客戶使用了一些安全產(chǎn)品,但卻由于使用不當(dāng),反而引入了更多的安全漏洞。另外,客戶的信息系統(tǒng)普遍也缺乏良好合理的安全規(guī)劃和管理,從而使得其自身的系統(tǒng)對外呈現(xiàn)了很多本不應(yīng)該出現(xiàn)的漏洞,給外界入侵提供了便利的條件。

我們認(rèn)為出現(xiàn)這樣的問題主要有這樣一些原因:

客戶普遍還缺乏安全意識,不知道自己其實(shí)面臨很大的危險;專業(yè)知識不夠,不知如何解決安全問題;對安全產(chǎn)品的選擇、使用和設(shè)置不當(dāng);沒有合理的安全管理策略和機(jī)制。

針對這樣一些原因,有些相對容易解決,有些則要困難一些。在首創(chuàng)網(wǎng)絡(luò)通過自身的努力,在信息安全領(lǐng)域里不斷追求更高的技術(shù)水準(zhǔn)和服務(wù)水準(zhǔn),力爭在競爭日益激烈的今天,面對不斷復(fù)雜的信息安全形勢,從容面對,為客戶提供更加完美的產(chǎn)品和服務(wù)。

(本報告由首創(chuàng)網(wǎng)絡(luò)提供,內(nèi)容有刪節(jié))

“首創(chuàng)網(wǎng)絡(luò)安全調(diào)查”帶來的啟示

本刊記者   曹  玫

近日,首創(chuàng)網(wǎng)絡(luò)針對我國企

業(yè)網(wǎng)絡(luò)安全現(xiàn)狀,對來自

34個不同行業(yè)用戶的93臺主機(jī)的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行了抽樣調(diào)查,結(jié)果是100%的用戶的主機(jī)都存在不同程度的安全問題。這個數(shù)字不能不讓我們吃驚,網(wǎng)絡(luò)現(xiàn)狀讓人擔(dān)擾。

隨著企業(yè)信息化、電子政務(wù)的進(jìn)一步推進(jìn),對網(wǎng)絡(luò)安全的要求與過去已不可同日而語。但信息化在我國剛剛起步,企業(yè)對網(wǎng)絡(luò)安全的意識和認(rèn)知尚待培育。

本刊記者就首創(chuàng)的網(wǎng)絡(luò)安全評估活動采訪了中國國家信息安全測評認(rèn)證中心計算機(jī)測評中心常務(wù)副主任翁正軍女士,她認(rèn)為:“首創(chuàng)這次的評估活動值得肯定。這類的網(wǎng)絡(luò)安全評估如果經(jīng)常性的進(jìn)行,對用戶了解自身的安全風(fēng)險非常有益”

另外,翁女士還提醒道:“針對網(wǎng)絡(luò)和系統(tǒng)的脆弱性評估,有可能對被測系統(tǒng)造成損害。當(dāng)然,不一定是測試本身的問題,而是被測系統(tǒng)太脆弱。但是不管怎么樣,都要讓用戶事先知道風(fēng)險的存在,并且通過恰當(dāng)?shù)陌才疟M力回避這些風(fēng)險”。

安全意識   攜手培育

網(wǎng)絡(luò)安全是“三分技術(shù),七分管理”,從首創(chuàng)的報告中可以看出,造成網(wǎng)絡(luò)漏洞的原因基本上是管理的忽視和疏漏。

已認(rèn)識到IT系統(tǒng)重要性的大型企業(yè)和跨國企業(yè),雖有一些機(jī)房和系統(tǒng)的不很細(xì)化的管理制度,但大部分也只限于書面文字的約束而已,沒有強(qiáng)有力的監(jiān)督實(shí)施手段和相應(yīng)的管理人員;大部分的中小企業(yè)甚至沒有把網(wǎng)絡(luò)安全提升到管理的層面,還只是停留在購買一些低端的安全設(shè)備上,當(dāng)然對于國內(nèi)的中小企業(yè)采取何種安全模式仍是專家和安全服務(wù)提供商們爭論的熱點(diǎn)問題。

管理問題追溯其根源,還是企業(yè)的意識問題,安全意識的加強(qiáng)和培育是需要政府或行業(yè)主管單位、安全廠商和用戶自身共同努力來實(shí)現(xiàn)的。

如政府和行業(yè)主管要加大政策和法令的宣傳力度,改變政策和相關(guān)標(biāo)準(zhǔn)滯后的現(xiàn)狀,一方面,用戶有相關(guān)的政策和標(biāo)準(zhǔn)來衡量網(wǎng)絡(luò)安全廠商提供給他們的產(chǎn)品和服務(wù)是否符合國家標(biāo)準(zhǔn),做到有據(jù)可依。另一方面,安全廠商有了相關(guān)條例和行業(yè)標(biāo)準(zhǔn),在為用戶構(gòu)建網(wǎng)絡(luò)平臺和生產(chǎn)安全產(chǎn)品時,把各種安全隱患降減到最小程度,做到了有法必依。

安全廠商在培育用戶的安全意識方面,毫無疑問,充當(dāng)著主力軍的角色,目前,我國的網(wǎng)絡(luò)安全意識尚處于萌芽階段,因此對用戶意識的培育應(yīng)屬于安全廠商市場戰(zhàn)略和規(guī)劃的一部分,只有大家共同把這塊蛋糕做大,網(wǎng)絡(luò)安全廣闊的市場才會在短時間內(nèi)形成規(guī)模。 

從用戶自身的角度來講,“船到江心才補(bǔ)漏”是需要付出不可估量的代價的,網(wǎng)絡(luò)數(shù)據(jù)的迅速增長,單靠一些低端的安全設(shè)備已遠(yuǎn)遠(yuǎn)難以維護(hù)系統(tǒng)和網(wǎng)絡(luò)安全??偟膩碚f,要改善和加強(qiáng)管理力度,必須提高企業(yè)的安全意識.

網(wǎng)絡(luò)測試   謹(jǐn)慎評估 

做安全測試,一定要做非常細(xì)化的風(fēng)險評估策略,首先要確定企業(yè)哪些資源需要保護(hù),并根據(jù)保護(hù)成本與如果事件發(fā)生前不采取行動需付出的代價之間的平衡制定評估方案,檢測后要確定企業(yè)具體環(huán)境下到底存在哪些安全漏洞和安全隱患,一旦這些漏洞被黑客利用會造成哪些風(fēng)險和破壞。

最后綜合對各種風(fēng)險因素的評價,明確網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀,確定網(wǎng)絡(luò)系統(tǒng)中安全的最薄弱環(huán)節(jié),從而改進(jìn)網(wǎng)絡(luò)的安全性能。所以檢測之前與之后的評估是非常重要的。全面的網(wǎng)絡(luò)系統(tǒng)的漏洞評估應(yīng)該包括對網(wǎng)絡(luò)的漏洞評估、對系統(tǒng)主機(jī)的漏洞評估以及對數(shù)據(jù)庫系統(tǒng)的漏洞評估三個方面。首創(chuàng)的安全評估屬于對系統(tǒng)主機(jī)的漏洞的評估,測試的安全風(fēng)險相對要小一些。

測試不是目的,制定相應(yīng)的安全策略并徹底解決用戶存在的安全問題,才是我們的愿望。

首創(chuàng)的安全測試為我們敲醒了警鐘,加強(qiáng)安全意識已成為企業(yè)高層迫切需要正確對待的問題。

企業(yè)信息安全意識有待覺醒

本刊記者   陳  慧

為了解客戶的安全現(xiàn)狀,并

提高客戶的安全意識,首

創(chuàng)網(wǎng)絡(luò)在7月1日到8月31日為期兩個月的時間內(nèi)為34家客戶的93臺主機(jī)提供了免費(fèi)遠(yuǎn)程安全掃描服務(wù)。提交的報告結(jié)果表明,這些客戶所有的業(yè)務(wù)部門都或多或少存在著安全漏洞,其中高風(fēng)險漏洞占42%,中風(fēng)險漏洞占28%,低風(fēng)險漏洞達(dá)30%。可見這些客戶的信息安全現(xiàn)狀令人堪憂。

面對安全漏洞,

視而不見還是立即行動

“此次掃描主要是針對黑客的攻擊行為,”首創(chuàng)網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理鐘博向記者介紹說,“我們選擇這種遠(yuǎn)程的網(wǎng)絡(luò)掃描的服務(wù)活動比較容易開展,類似于黑客攻擊的第一個階段,還未涉及到內(nèi)部攻擊?!痹诎l(fā)現(xiàn)客戶漏洞之后,首創(chuàng)還可以針對客戶的要求為其提供相應(yīng)的修補(bǔ)、加固和優(yōu)化服務(wù)、專門的培訓(xùn)和分析,以及遠(yuǎn)程管理和緊急響應(yīng)等多種全方位的安全服務(wù)。

在首創(chuàng)網(wǎng)絡(luò)掃描過程中發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞主要涉及到底層的操作系統(tǒng)平臺和應(yīng)用系統(tǒng)兩個方面。漏洞可能是操作系統(tǒng)帶來的,比如采用Windows操作系統(tǒng)平臺的企業(yè)漏洞特別多;也有可能是應(yīng)用系統(tǒng)本身的問題,比如數(shù)據(jù)庫、Web系統(tǒng)和ERP應(yīng)用軟件等等。在應(yīng)用系統(tǒng)方面,數(shù)據(jù)庫的漏洞比較多,其中又以SQL Server數(shù)據(jù)庫的漏洞為甚。對于操作系統(tǒng)的漏洞,大多可通過從網(wǎng)上下載補(bǔ)丁程序的方法加以解決,有些客戶沒有下載補(bǔ)丁程序,因而容易被攻擊。也有客戶把用戶訪問口令設(shè)成了空的,也容易被攻擊。這些漏洞本都很容易避免,之所以出現(xiàn),主要因?yàn)閼?yīng)用和管理人員本身安全意識淡薄所導(dǎo)致。

被掃描的首創(chuàng)網(wǎng)絡(luò)的IDC和專線客戶,都是經(jīng)常使用IT設(shè)備和網(wǎng)絡(luò)應(yīng)用的,其中,本身業(yè)務(wù)系統(tǒng)與安全結(jié)合不是很緊密的客戶比較容易產(chǎn)生安全漏洞,比如媒體的網(wǎng)站、制造業(yè)企業(yè)的網(wǎng)站等。在首創(chuàng)網(wǎng)絡(luò)的整個掃描服務(wù)期間中就出現(xiàn)過這樣的情況。一家傳媒機(jī)構(gòu)的網(wǎng)站被黑客攻擊,其主頁被篡改了。客戶要求首創(chuàng)對其遭到攻擊的主機(jī)進(jìn)行掃描,了解其被攻擊的原因。通過掃描,發(fā)現(xiàn)主要原因在于這個傳媒機(jī)構(gòu)把操作系統(tǒng)裝好之后,采取了默認(rèn)配置,并沒有做安全性增強(qiáng)方面的考慮和設(shè)置,其主機(jī)上的漏洞都是一些很常見也很容易彌補(bǔ)的。此外,制造業(yè)企業(yè)涉及到CRM和ERP這樣的系統(tǒng)??偛颗c分支機(jī)構(gòu)之間經(jīng)常有大量機(jī)密的數(shù)據(jù)需要交互,對于這樣的企業(yè),如果不做好全面的安全規(guī)劃并采取相應(yīng)的安全手段,也容易對外暴露很多安全漏洞。

面對送過來的掃描結(jié)果和漏洞分析,客戶的反應(yīng)五花八門:有的客戶一接到掃描的結(jié)果,發(fā)現(xiàn)自己的網(wǎng)絡(luò)安全存在這么多的問題,非常著急,立刻要求首創(chuàng)為其提供相應(yīng)的解決方案;有的客戶要求首創(chuàng)幫助把漏洞堵上;也有客戶說,賣我們一個防火墻吧;還有客戶沒有反應(yīng),好像在忙著理順自己的網(wǎng)絡(luò),無暇顧及安全問題。

安全防范,投入多少并采取哪些手段

有兩個問題需要企業(yè)考慮清楚,一是企業(yè)要保護(hù)的信息到底值得投入多少;二是采取什么手段。網(wǎng)絡(luò)時代,企業(yè)要連接到互聯(lián)網(wǎng)上與外部溝通。任何企業(yè)無論大小,總是有些信息是不希望被外界知道的,每一個企業(yè)都有必要采取一定的手段保護(hù)自己的信息,防止被別人竊取、篡改或者破壞。那么企業(yè)值得投入多少人力、物力和財力保護(hù)信息安全?

篇5

關(guān)鍵詞 企業(yè)網(wǎng) 信息系統(tǒng) 風(fēng)險評估

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A

一、引言

信息技術(shù)在商業(yè)上的廣泛應(yīng)用,使得企業(yè)對信息系統(tǒng)的依賴性增大。信息系統(tǒng)風(fēng)險評估是辨別各種系統(tǒng)的脆弱性及其對系統(tǒng)構(gòu)成威脅,識別系統(tǒng)中存在的風(fēng)險,并將這些風(fēng)險進(jìn)行定性,定量的分析,最后制定控制和變更措施的過程 。通過安全評估能夠明確企業(yè)信息系統(tǒng)的安全威脅,了解企業(yè)信息系統(tǒng)的脆弱性,并分析可能由此造成的損失或影響,為滿足企業(yè)信息安全需求和降低風(fēng)險提供必要的依據(jù)。

二、安全風(fēng)險評估的關(guān)鍵要素

信息系統(tǒng)安全風(fēng)險評估的三個關(guān)鍵要素是信息資產(chǎn)、威脅、弱點(diǎn)(即脆弱性)。每個要素都有各自的屬性,信息資產(chǎn)的屬性是資產(chǎn)價值。威脅的屬性是威脅發(fā)生的可能性,弱點(diǎn)的屬性是弱點(diǎn)被威脅利用后對資產(chǎn)帶來的影響的嚴(yán)重程度。

對企業(yè)信息系統(tǒng)的本身條件和歷史數(shù)據(jù)進(jìn)行整理分析,得到威脅,脆弱點(diǎn)分析如下:

實(shí)物資產(chǎn)的脆弱性:對電腦等辦公物品的保護(hù)措施不力,辦公場所防范災(zāi)害措施不力,電纜松動,通訊線路保護(hù)缺失。

信息資產(chǎn)的脆弱性:相關(guān)技術(shù)文檔不全,信息傳輸保護(hù)缺失,撥號線路網(wǎng)絡(luò)訪問受限,單點(diǎn)故障,網(wǎng)絡(luò)管理不力,不受控制的拷貝。

軟件資產(chǎn)的脆弱性:未使用正版穩(wěn)定軟件。

人員的脆弱性:對外來人員監(jiān)管不力,安全技術(shù)培訓(xùn)不力,授權(quán)使用控制不力,內(nèi)部員工的道德培訓(xùn)不力。

三、風(fēng)險評估過程

風(fēng)險評估是信息系統(tǒng)安全保障的核心和關(guān)鍵。風(fēng)險評估過程分為風(fēng)險識別、風(fēng)險分析和風(fēng)險管理。

風(fēng)險識別是分析系統(tǒng),找出系統(tǒng)的薄弱點(diǎn)和在運(yùn)行過程中可能存在的風(fēng)險。為了保證風(fēng)險分析的的及時性和有效性,管理層面應(yīng)該有具備豐富風(fēng)險知識的部門經(jīng)理、IT人員、關(guān)鍵用戶、審計人員和專家顧問,他們能夠幫助快速地指出關(guān)鍵風(fēng)險。

風(fēng)險分析是對已識別的風(fēng)險進(jìn)行分析,確定各個風(fēng)險可能造成的影響和損失,并按照其造成的影響和損失大小進(jìn)行排序,得到風(fēng)險的級別。風(fēng)險分析有助于企業(yè)就安全項目和構(gòu)成該項目的安全組成部分編制正確的預(yù)算,有助于將安全項目的目標(biāo)與企業(yè)的業(yè)務(wù)目標(biāo)和要求結(jié)合起來。

風(fēng)險管理是由以上步驟得到的結(jié)果,制定相應(yīng)的保護(hù)措施。通過實(shí)施在評估階段創(chuàng)建的各種計劃,并用這些計劃來創(chuàng)建新的安全策略,在完成補(bǔ)救措施策略的開發(fā)和相關(guān)系統(tǒng)管理的更改,并且確定其有效性的策略和過程已經(jīng)寫好之后,即進(jìn)行安全風(fēng)險補(bǔ)救措施測試。在測試過程中,將按照安全風(fēng)險的控制效果來評估對策的有效性。

四、評估系統(tǒng)的設(shè)計

(一)評估系統(tǒng)的體系結(jié)構(gòu)和運(yùn)行環(huán)境。

該評估系統(tǒng)主要采用B/S/S三層體系結(jié)構(gòu),即包括客戶端、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器三部分。其結(jié)構(gòu)示意圖如圖1所示:其中,客戶端通過Web瀏覽器訪問應(yīng)用服務(wù)器,在Web頁面的引導(dǎo)下指導(dǎo)用戶與評估人員進(jìn)行風(fēng)險識別、數(shù)據(jù)收集,并顯示最后的評估結(jié)果。同時豐富的在線幫助信息又為用戶及評估人員參與風(fēng)險評估以及管理員進(jìn)行系統(tǒng)維護(hù)提供了很好的在線支持,系統(tǒng)管理員也可以利用任意一臺客戶端登錄管理帳號對系統(tǒng)數(shù)據(jù)庫進(jìn)行權(quán)限范圍內(nèi)的維護(hù)。管理者需了解部門、員工及資產(chǎn)總體情況,明確風(fēng)險種類及大小,并以知識庫的形式,為如何處置風(fēng)險提供了一些解決方案。面向評估人員的功能模塊,展示了本部門目前面臨的威脅和薄弱點(diǎn)情況,幫助評估人員明確風(fēng)險。相比而言,該模塊更主要的功能,是協(xié)助上報本部門的人員及資產(chǎn)信息,以滿足評估需要。

圖1 評估系統(tǒng)體系結(jié)構(gòu)

應(yīng)用服務(wù)器處理收集到的風(fēng)險信息,并采取多種手段,利用綜合評估算法 ,完成信息系統(tǒng)安全風(fēng)險評估,并實(shí)時將執(zhí)行結(jié)果返回給客戶端Web瀏覽器。應(yīng)用服務(wù)器配置了系統(tǒng)運(yùn)行所需要的Web服務(wù)器程序以及Web站點(diǎn)頁面文件,我們選擇動態(tài)網(wǎng)頁編程技術(shù)對系統(tǒng)的Web站點(diǎn)頁面文件進(jìn)行編碼和開發(fā)。數(shù)據(jù)庫服務(wù)器上配置了系統(tǒng)運(yùn)行所需要的SQL Server數(shù)據(jù)庫管理程序以及系統(tǒng)數(shù)據(jù)庫資源,通過Web服務(wù)器與客戶端實(shí)現(xiàn)實(shí)時數(shù)據(jù)交互。

(二)工作流程設(shè)計

首先,對信息系統(tǒng)進(jìn)行風(fēng)險數(shù)據(jù)采集,用戶填寫由評估單位制定的評估申請,將信息系統(tǒng)按具體情況進(jìn)行分類,同時利用漏洞掃描器、正反向工具從技術(shù)角度了解系統(tǒng)的安全配置和運(yùn)行的應(yīng)用服務(wù),使得評估人員從整體上了解該信息系統(tǒng)及其評估重點(diǎn),并針對系統(tǒng)業(yè)務(wù)特點(diǎn)進(jìn)行裁剪;接下來,在前面所做的工作的基礎(chǔ)上,圍繞著系統(tǒng)所承載的業(yè)務(wù)對數(shù)據(jù)進(jìn)行資產(chǎn)、威脅、脆弱性分析;最后,依據(jù)發(fā)生的可能性及對系統(tǒng)業(yè)務(wù)造成的影響對識別的風(fēng)險進(jìn)行分類,利用定性和定量的評估算法以及消除主觀性的各種算法,對風(fēng)險識別中獲得的風(fēng)險信息進(jìn)行風(fēng)險綜合評估,并在整體和局部、管理和技術(shù)風(fēng)險評估的基礎(chǔ)上,生成評估報告。

(三)數(shù)據(jù)庫設(shè)計

該系統(tǒng)的數(shù)據(jù)庫由企業(yè)信息庫、知識庫、評估標(biāo)準(zhǔn)庫和評估方法庫組成,采用SQL Server數(shù)據(jù)庫管理系統(tǒng)作為該數(shù)據(jù)庫的開發(fā)和運(yùn)行平臺,其中:企業(yè)信息庫存儲的是有關(guān)企業(yè)信息系統(tǒng)的基本信息;評估方法庫存儲了針對所設(shè)計的評估結(jié)構(gòu)所采用的評估方法集合;知識庫存儲的是以往已評估系統(tǒng)的完整評估資料,可以為當(dāng)前的風(fēng)險評估提供可借鑒的經(jīng)驗(yàn);在數(shù)據(jù)庫設(shè)計中評估標(biāo)準(zhǔn)庫是幾個庫中最重要也是工作量最大的部分,該庫涵蓋了各評估標(biāo)準(zhǔn)的評估要素,即遵從標(biāo)準(zhǔn),又針對各行業(yè)的業(yè)務(wù)特點(diǎn),提供了靈活的數(shù)據(jù)結(jié)構(gòu)。

(四)網(wǎng)站內(nèi)容風(fēng)險算法。

對風(fēng)險進(jìn)行計算,需要確定影響的風(fēng)險要素、要素之間的組合方式、以及具體的計算方法。將風(fēng)險要素按照組合方式使用具體的計算方法進(jìn)行計算,得到風(fēng)險值。目前通用的風(fēng)險評估中風(fēng)險值計算涉及的風(fēng)險要素一般為資產(chǎn)、威脅、和脆弱性。由威脅和脆弱性確定安全事件發(fā)生的可能性,由資產(chǎn)和脆弱性確定安全事件的損失;由安全事件發(fā)生的可能性和安全事件的損失確定風(fēng)險值。目前,常用的計算方法是矩陣法和相乘法。

五、總結(jié)

網(wǎng)絡(luò)技術(shù)的發(fā)展在加速信息交流與共享的同時,也加大了網(wǎng)絡(luò)信息安全事故發(fā)生的可能性。對企業(yè)信息系統(tǒng)進(jìn)行風(fēng)險評估,可以了解其安全風(fēng)險,評估這些風(fēng)險可能帶來的安全威脅與影響程度,為安全策略的確定、信息系統(tǒng)的建立及安全運(yùn)行提供依據(jù),給用戶提供信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心,增強(qiáng)產(chǎn)品、企業(yè)的競爭力。

(作者:武漢職業(yè)技術(shù)學(xué)院計算機(jī)系教師,碩士,研究方向:計算機(jī)網(wǎng)絡(luò)及其應(yīng)用、信息安全)

注釋:

篇6

2013年國家信息安全專項有關(guān)事項的通知

發(fā)改辦高技[2013]1965號

工業(yè)和信息化部、公安部、安全部、質(zhì)檢總局、中科院、國家保密局、國家密碼局辦公廳(室),各省、自治區(qū)、直轄市及計劃單列市、新疆生產(chǎn)建設(shè)兵團(tuán)發(fā)展改革委,相關(guān)中央直屬企業(yè):

為了貫徹落實(shí)《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)[2012]23號)的工作部署,針對金融、云計算與大數(shù)據(jù)、信息系統(tǒng)保密管理、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要,國家發(fā)展改革委決定繼續(xù)組織國家信息安全專項?,F(xiàn)將有關(guān)事項通知如下:

一、專項重點(diǎn)支持領(lǐng)域

(一)信息安全產(chǎn)品產(chǎn)業(yè)化

產(chǎn)品自身應(yīng)具有較高的安全性,不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等國家標(biāo)準(zhǔn)中3級的相關(guān)要求。

1、金融信息安全領(lǐng)域

(1)金融領(lǐng)域智能入侵檢測產(chǎn)品。

適用于金融機(jī)構(gòu)電子銀行等應(yīng)用業(yè)務(wù)系統(tǒng),支持IPv4/IPv6環(huán)境,具有雙向數(shù)據(jù)檢測、歷史數(shù)據(jù)關(guān)聯(lián)分析、網(wǎng)絡(luò)報警數(shù)據(jù)篩選過濾、反饋測試、自學(xué)習(xí)和自定義檢測規(guī)則、多維度展現(xiàn),以及攻擊影響分級等功能,吞吐量不低于20Gbps,基于國內(nèi)外主流特征庫檢測的漏報率低于10%、誤報率低于5%。

(2)高級可持續(xù)威脅(APT)安全監(jiān)測產(chǎn)品。

適用于金融機(jī)構(gòu)的業(yè)務(wù)網(wǎng)絡(luò)和應(yīng)用系統(tǒng),支持IPv4/IPv6環(huán)境,具有規(guī)?;摂M機(jī)或沙箱執(zhí)行等動態(tài)檢測技術(shù)的威脅感知功能,具備對各類設(shè)備網(wǎng)絡(luò)文件傳輸異常行為、漏洞利用行為、未知木馬、隱蔽信道傳輸?shù)榷鄻有?、組合性和持續(xù)性攻擊的檢測能力,支持1000個以上的并發(fā)檢測能力,基于國內(nèi)外主流特征庫檢測的漏報率低于5%、誤報率低于10%。

(3)面向電子銀行的Web漏洞掃描產(chǎn)品。

適用于金融機(jī)構(gòu)電子銀行業(yè)務(wù)系統(tǒng),具備開放式Web應(yīng)用程序安全項目(OWASP)通用漏洞的高啟發(fā)、高強(qiáng)度、交互式檢測能力,具有漏洞驗(yàn)證、基于電子銀行系統(tǒng)業(yè)務(wù)流程的流量錄制重放式的邏輯漏洞分析等功能,基于國內(nèi)外主流漏洞特征庫掃描的漏報率低于5%、誤報率低于10%。

(4)金融領(lǐng)域應(yīng)用軟件源代碼安全檢查產(chǎn)品。

適用于金融機(jī)構(gòu)各類業(yè)務(wù)應(yīng)用系統(tǒng),具備適用于金融領(lǐng)域特點(diǎn)、可更新和自定義的安全掃描規(guī)則庫,可定制掃描策略,在Linux、Aix、Windows、Android、iOS等環(huán)境下,具有對Java、C/C++、C#、JSP、COBOL、VB、Ruby等主流編程語言和.NET、Eclipse、Matlab等集成軟件工具開發(fā)的應(yīng)用系統(tǒng)進(jìn)行源代碼掃描的功能,對源代碼潛在問題分析給出分級別建議,每小時掃描百萬行以上代碼,基于國內(nèi)外主流軟件源代碼漏洞特征庫檢測的誤報率低于30%、漏報率低于35%。

2、云計算與大數(shù)據(jù)信息安全領(lǐng)域

(1)高性能異常流量檢測和清洗產(chǎn)品。

支持IPv4/IPv6環(huán)境,適用于云計算和大數(shù)據(jù)的應(yīng)用,具備流量牽引和回注、網(wǎng)絡(luò)層和應(yīng)用層攻擊檢測與清洗等功能,支持地址區(qū)間的IP保護(hù),可實(shí)現(xiàn)對100萬個以上IP地址的異常攻擊流量清洗,啟用全部檢測和清洗功能后,設(shè)備整體吞吐量達(dá)到100Gbps以上。

(2)云操作系統(tǒng)安全加固和虛擬機(jī)安全管理產(chǎn)品。

支持IPv4/IPv6環(huán)境,支持虛擬化認(rèn)證授權(quán)、訪問控制和安全審計,具備虛擬機(jī)逃逸監(jiān)控、實(shí)時操作監(jiān)測與控制、防惡意軟件加載和安全隔離等功能,具備1萬臺以上安全可控輕量級虛擬機(jī)的安全管理能力。

(3)高速固態(tài)盤陣安全存儲產(chǎn)品。

支持IPv4/IPv6環(huán)境,具備雙控及冗余保護(hù)機(jī)制,具有緩存鏡像、掉電保護(hù)、采用國家密碼局規(guī)定算法的數(shù)據(jù)加密等功能,支持原生命令隊列(NCQ)技術(shù)及多種主流接口協(xié)議,單盤持續(xù)讀寫性能不低于200MB/s,容量大于512GB,每秒輸入輸出次數(shù)(IOPS)大于12,000,單陣列支持500塊以上單盤擴(kuò)展,響應(yīng)時間小于800s,非加密通道IOPS大于220,000,加密吞吐量大于1Gb/s。

(4)大數(shù)據(jù)平臺安全管理產(chǎn)品。

支持IPv4/IPv6環(huán)境,具有對不少于3種大數(shù)據(jù)應(yīng)用平臺進(jìn)行漏洞掃描、配置基線檢查、弱口令檢測、版本檢測和補(bǔ)丁管理等功能,可實(shí)現(xiàn)大數(shù)據(jù)去隱私化處理和策略化數(shù)據(jù)抽取與集成、統(tǒng)一的策略管理、統(tǒng)一事件分析、全文檢索及多維度大數(shù)據(jù)審計,能夠?qū)τ脩粼L問敏感信息行為進(jìn)行報警、阻斷、跟蹤和追溯,關(guān)鍵安全策略同時支持結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)的管理,支持1000萬以上并發(fā)業(yè)務(wù)訪問。

3、信息安全分級保護(hù)領(lǐng)域

(1)網(wǎng)絡(luò)保密檢查和失泄密核查取證產(chǎn)品。

適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò),支持各類主流操作系統(tǒng),具備對各種網(wǎng)絡(luò)失密泄密事件證據(jù)保全、提取和分析的功能,支持只讀方式、多種硬盤接口、DD或AFF等多種鏡像格式,支持已刪除文件、注冊表、分區(qū)的恢復(fù),具有自定義策略取證、關(guān)鍵詞搜索、2000萬個以上文件并行搜索、加密文件快速檢測的能力,對帶有密級標(biāo)志的圖形、版式等類型文件識別率大于95%。

(2)特殊木馬檢查產(chǎn)品。

適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò),支持各類主流操作系統(tǒng),具有已知木馬和未知特殊木馬檢測的能力,具備木馬樣本及其配置信息的提取、特征歸類檢測等功能,能夠定期進(jìn)行升級,已知木馬檢測準(zhǔn)確率為100%,未知特殊木馬檢測準(zhǔn)確率大于70%。

(3)涉密信息系統(tǒng)安全保密風(fēng)險評估軟件產(chǎn)品。

符合涉密信息系統(tǒng)分級保護(hù)相關(guān)國家保密標(biāo)準(zhǔn),具備合規(guī)性檢測、漏洞掃描等功能,以自動檢測為主、人工判定為輔,評估內(nèi)容覆蓋涉密信息系統(tǒng)安全保密風(fēng)險評估全部項目,評估結(jié)論準(zhǔn)確可靠,能夠自動生成評估報告。

4、工業(yè)控制信息安全領(lǐng)域

(1)面向現(xiàn)場設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)產(chǎn)品。

支持IPv4/IPv6及工業(yè)以太網(wǎng),適用于集散控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、現(xiàn)場總線等現(xiàn)場環(huán)境,具備5種以上工業(yè)控制專有協(xié)議以及多種狀態(tài)或指令主流格式數(shù)據(jù)的檢查、過濾、交換、阻斷等功能,數(shù)據(jù)傳輸可靠性達(dá)到100%,可保護(hù)節(jié)點(diǎn)數(shù)不少于500點(diǎn),設(shè)備吞吐量達(dá)到線速運(yùn)行水平,延時小于100ms。

(2)面向集散控制系統(tǒng)(DCS)的異常監(jiān)測產(chǎn)品。

適用于電廠、石油、化工、供熱、供水等工藝流程,具有對工業(yè)控制系統(tǒng)的DCS工程師站組態(tài)變更、DCS操作站數(shù)據(jù)與操控指令變更,以及各種主流現(xiàn)場總線訪問、負(fù)載變更、通信行為、異常流量等安全監(jiān)測能力,具備過程狀態(tài)參數(shù)、控制信號的閾值檢查與報警功能。

(3)安全采集遠(yuǎn)程終端單元(RTU)產(chǎn)品。

支持工業(yè)以太網(wǎng)協(xié)議,適用于-40℃~+70℃溫度環(huán)境,電磁兼容性(EMC)不低于4級,具有內(nèi)置安全模塊,實(shí)現(xiàn)數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)軟件端到端的信源加密,具備基于數(shù)字證書的安全認(rèn)證功能,支持基于國家密碼局規(guī)定算法的數(shù)據(jù)加密,加密速率不小于20Mb/s。

(4)工業(yè)應(yīng)用軟件漏洞掃描產(chǎn)品。

適用于石油化工、先進(jìn)制造領(lǐng)域,具有對符合IEC61131-3標(biāo)準(zhǔn)的控制系統(tǒng)上位機(jī)(SCADA/HMI)軟件、DCS控制器嵌入式軟件以及各種主流現(xiàn)場總線離線漏洞掃描能力,具有對數(shù)字化設(shè)計制造軟件平臺(如產(chǎn)品數(shù)據(jù)管理PDM、專用數(shù)控機(jī)床通信軟件eXtremeDNC、高級設(shè)計系統(tǒng)ADS等)漏洞掃描能力,具備檢測與發(fā)現(xiàn)軟件安全漏洞、評估漏洞安全風(fēng)險、可視化展示、漏洞修復(fù)建議等功能,漏洞檢測率達(dá)到90%以上。

(二)重要信息系統(tǒng)安全可控試點(diǎn)示范

1、金融信息安全試點(diǎn)示范

支持商業(yè)銀行開展一體化信息安全風(fēng)險感知體系試點(diǎn)示范,按照信息安全等級保護(hù)相關(guān)要求,建立銀行系統(tǒng)整體信息安全風(fēng)險感知預(yù)警、網(wǎng)點(diǎn)集中管控的防護(hù)體系,完善災(zāi)備能力檢測、第三方安全服務(wù)質(zhì)量評價等管理規(guī)范。

支持商業(yè)銀行開展電子銀行和移動支付業(yè)務(wù)系統(tǒng)安全態(tài)勢監(jiān)控試點(diǎn)示范,按照信息安全等級保護(hù)相關(guān)要求,構(gòu)建銀行新型增值業(yè)務(wù)應(yīng)用的安全管理機(jī)制,并形成相應(yīng)標(biāo)準(zhǔn)規(guī)范體系。

支持商業(yè)銀行、信息安全專業(yè)機(jī)構(gòu)、行業(yè)主管部門對電子銀行系統(tǒng)聯(lián)合開展金融領(lǐng)域釣魚網(wǎng)站和金融詐騙事件安全應(yīng)急保障試點(diǎn)示范,探索銀行、機(jī)構(gòu)和政府部門合作的新模式,建立聯(lián)合處置、及時有效的應(yīng)急保障機(jī)制。

2、云計算與大數(shù)據(jù)安全應(yīng)用試點(diǎn)示范

按照信息安全等級保護(hù)的相關(guān)要求,在金融、能源、交通、電子政務(wù)、電子商務(wù)和互聯(lián)網(wǎng)服務(wù)領(lǐng)域,支持重點(diǎn)骨干企業(yè),圍繞主要業(yè)務(wù)應(yīng)用,采用安全可控的技術(shù)和產(chǎn)品,開展云計算和大數(shù)據(jù)安全應(yīng)用試點(diǎn)示范,研究制定云計算和大數(shù)據(jù)應(yīng)用的安全管理機(jī)制、責(zé)任認(rèn)定機(jī)制、數(shù)據(jù)保護(hù)和使用安全機(jī)制與規(guī)范。

3、信息系統(tǒng)保密管理試點(diǎn)示范

在國家重點(diǎn)黨政機(jī)構(gòu)和涉密單位,按照信息安全等級保護(hù)相關(guān)要求,開展基于密級標(biāo)識的涉密信息及載體管控試點(diǎn)示范,部署電子文件密級標(biāo)識管理、涉密計算機(jī)和涉密移動存儲介質(zhì)識別管理等系統(tǒng),探索重要信息系統(tǒng)保密管理新方式。

支持商業(yè)機(jī)構(gòu)、專業(yè)機(jī)構(gòu)開展電子郵箱安全保密試點(diǎn)示范,采用國家密碼局規(guī)定算法,以及相關(guān)信息安全防護(hù)技術(shù),建設(shè)安全郵箱服務(wù)平臺,形成電子郵箱防泄密、反竊密綜合保障能力,探索安全加密郵件與智能終端電子郵件消息加密推送等新服務(wù)模式。

4、工業(yè)控制信息安全領(lǐng)域示范

在電力電網(wǎng)、石油石化、先進(jìn)制造、軌道交通領(lǐng)域,支持大型重點(diǎn)骨干企業(yè),按照信息安全等級保護(hù)相關(guān)要求,建設(shè)完善安全可控的工業(yè)控制系統(tǒng)。建立以杜絕重大災(zāi)難性事件為底線的工業(yè)控制系統(tǒng)綜合安全防護(hù)體系,建立完善工業(yè)控制信息安全技術(shù)與管理的機(jī)制和規(guī)范。

二、申報要求

(一)請項目主管部門根據(jù)投資體制改革精神和《國家高技術(shù)產(chǎn)業(yè)發(fā)展項目管理暫行辦法》的有關(guān)規(guī)定,結(jié)合本單位、本地區(qū)實(shí)際情況,認(rèn)真做好項目組織和備案工作,組織編寫項目資金申請報告并協(xié)調(diào)落實(shí)項目建設(shè)資金、環(huán)境影響評價、節(jié)能評估等相關(guān)建設(shè)條件,同時匯總相關(guān)申請材料并報我委。

(二)通過國務(wù)院有關(guān)部門及中央直屬企業(yè)申報的項目,項目單位應(yīng)與有關(guān)部門和中央直屬企業(yè)有財務(wù)隸屬關(guān)系。其他項目應(yīng)按照屬地管理原則,通過項目單位所在地的省級發(fā)展和改革委員會申報。

(三)項目主管部門應(yīng)對報送的材料,如資金申請報告、銀行貸款承諾、自有資金證明、各類許可資質(zhì)等,進(jìn)行認(rèn)真核實(shí),并負(fù)責(zé)對其真實(shí)性予以確認(rèn)。

(四)項目紙質(zhì)申報材料包括:項目資金申請報告(達(dá)到可行性研究報告深度)、項目簡表和項目匯總表,上述材料一式兩份。項目簡表、項目匯總表、項目備案文件、自有資金證明、投資及信貸承諾等所有附件要與項目資金申請報告一并裝訂(項目簡表和匯總表應(yīng)訂裝在報告正文前)。各項目材料一經(jīng)提供不予退還,請做好備份。資金申請報告的具體編制要求詳見附件1、2。

(五)項目材料的具體報送時間、地點(diǎn)和相關(guān)要求將在今年9月下旬在國家發(fā)展改革委高技術(shù)司網(wǎng)站(網(wǎng)址gjss.ndrc.gov.cn)信息化欄目下另行通知。

(六)信息安全產(chǎn)品產(chǎn)業(yè)化項目的承擔(dān)單位原則上應(yīng)為企業(yè)法人。申報項目應(yīng)具備以下條件:(1)按規(guī)定在當(dāng)?shù)卣畟浒福?2)已落實(shí)項目建設(shè)資金;(3)采用的科技成果應(yīng)具有自主知識產(chǎn)權(quán);(4)項目申報單位必須具有較強(qiáng)的技術(shù)開發(fā)和項目實(shí)施能力,具備較好的資信等級,資產(chǎn)負(fù)債率在合理范圍內(nèi);(5)項目答辯時各單位應(yīng)已有相關(guān)產(chǎn)品。

(七)重要信息系統(tǒng)安全可控試點(diǎn)示范項目的承擔(dān)單位應(yīng)為企業(yè)法人或事業(yè)法人(不包含高校和科研機(jī)構(gòu)),項目的具體要求及項目資金申請報告的編制要點(diǎn)詳見附件2。

(八)本次信息安全專項分兩階段開展。第一階段受理金融信息安全、云計算與大數(shù)據(jù)安全、信息系統(tǒng)保密管理項目的申報,截止時間為2013年10月15日。第二階段受理工業(yè)控制信息安全項目申報,截止時間為2014年7月15日。我委對項目進(jìn)行初步評審后,將組織現(xiàn)場答辯。其中,專項擬支持的產(chǎn)品將全部委托第三方檢測機(jī)構(gòu)進(jìn)行公開測試,有關(guān)具體項目答辯和測試名單、時間和地點(diǎn),以及公開測試的時間將另行通知。

附件:1、信息安全產(chǎn)品產(chǎn)業(yè)化項目資金申請報告編制要點(diǎn)

2、重要信息系統(tǒng)安全可控試點(diǎn)示范具體要求及項目資金申請報告編制要點(diǎn)

3、信息安全項目及承擔(dān)單位基本情況簡表

4、信息安全項目匯總表

國家發(fā)展改革委辦公廳

2013年8月12日

篇7

安全威脅變局

2007年,垃圾郵件、電腦病毒等傳統(tǒng)的安全問題依然是CIO需要防范的重點(diǎn)。不久前,Gartner了年度安全軟件市場增長評估報告,預(yù)測2007年的銷售額將在2006年全年82億美元的基礎(chǔ)上增長10.7%,其中將有53.8%,約為49億美元的銷售額來自反病毒市場。

與此同時,安全威脅的性質(zhì)正在發(fā)生實(shí)質(zhì)性的轉(zhuǎn)變?,F(xiàn)在的黑客和病毒編寫者已經(jīng)不再傾向于使網(wǎng)絡(luò)癱瘓,他們更關(guān)注的是如何通過網(wǎng)絡(luò)獲取經(jīng)濟(jì)利益。不同來源的行業(yè)報告均顯示,通過木馬程序等方式竊取商業(yè)和個人機(jī)密信息的行為,以及被遠(yuǎn)程黑客控制的計算機(jī)數(shù)量均呈上升勢頭。隨著信息的海量增長,包括各種數(shù)據(jù)和應(yīng)用的信息資產(chǎn)對于企業(yè)運(yùn)營正發(fā)揮日益重要的作用,對企業(yè)應(yīng)用和數(shù)據(jù)的進(jìn)攻正在取代對企業(yè)網(wǎng)絡(luò)環(huán)境的進(jìn)攻成為主要的威脅。

一份IBM專門針對中國企業(yè)安全性的調(diào)查顯示,有38%的中國企業(yè)已經(jīng)意識到,信息安全比實(shí)際犯罪對他們的業(yè)務(wù)更具威脅,企業(yè)的品牌和聲譽(yù)很容易因此造成嚴(yán)重的損失。面臨變化了的安全環(huán)境和不斷加劇的威脅,企業(yè)需要加強(qiáng)信息安全意識,從信息資產(chǎn)管理的宏觀角度建立安全防御體系。

樹立風(fēng)險導(dǎo)向意識

目前中國的安全市場仍然以安全產(chǎn)品的銷售為主。廠家和用戶從購置產(chǎn)品的角度看待威脅,在應(yīng)對病毒破壞、黑客攻擊等問題時,基本停留在“兵來將擋”的階段??傮w而言,企業(yè)在安全項目方面的回報并不很好,花了很多錢卻沒有用在企業(yè)需要用的地方。其中一個原因是企業(yè)難以認(rèn)識到自己的風(fēng)險所在,也就難以從投資回報的角度衡量安全投資。同時,安全又是一個涵蓋很廣的領(lǐng)域,不同的廠家、集成商和用戶對安全的理解各有千秋,但有限范圍內(nèi)最好的選擇未必在全局上發(fā)揮最好的效果。

內(nèi)部的安全漏洞和來自外部的威脅在數(shù)量和范圍上都呈現(xiàn)愈演愈烈之勢,也給企業(yè)用戶提出了嚴(yán)重的挑戰(zhàn)。針對企業(yè)在信息安全領(lǐng)域的管理、項目規(guī)劃及信息技術(shù)的投資比例,筆者認(rèn)為企業(yè)在信息安全管理方面可劃分為四種模型,分別為事件導(dǎo)向、工具導(dǎo)向、流程導(dǎo)向和風(fēng)險導(dǎo)向。

事件導(dǎo)向型企業(yè)或者對信息安全的認(rèn)識較為薄弱,或者缺乏足夠的技能和資源來應(yīng)對安全問題,對安全攻擊基本處于遇到問題再解決的被動響應(yīng)狀態(tài)。面對每年數(shù)量呈直線上升的各類病毒在網(wǎng)絡(luò)上流行并不斷生成新的變種,購置一些基本的防毒設(shè)備不可能做到萬事大吉。同時,攻擊者正在不斷改進(jìn)攻擊方法和逃避檢測,并更快地利用已知漏洞發(fā)起“零日攻擊”。這都對事件導(dǎo)向型企業(yè)的信息安全管理提出挑戰(zhàn),由于缺乏業(yè)務(wù)連續(xù)性規(guī)劃,一旦遭受攻擊就會導(dǎo)致業(yè)務(wù)中斷,給這類企業(yè)帶來損失。

工具導(dǎo)向型企業(yè)擁有較多的安全預(yù)算,能夠主動意識到安全問題,遇到問題習(xí)慣于通過安全技術(shù)或工具來解決,安全管理呈分布式。這類企業(yè)通常都在業(yè)務(wù)運(yùn)營中大量應(yīng)用IT技術(shù),對于業(yè)務(wù)連續(xù)性、時效性具有很高的要求,不能承受業(yè)務(wù)中斷帶來的損失。由于業(yè)務(wù)擴(kuò)展和防范未知風(fēng)險的需要,他們不可能等待一個安全問題暴露出來才去應(yīng)對,因此有較完善的安全規(guī)劃,并主動投資、積極部署最新的安全技術(shù)。電信、金融等行業(yè)是這一類別的典型。他們需要關(guān)注的是需要加強(qiáng)安全管理方面的工作,以配合相關(guān)安全技術(shù)與工具真正發(fā)揮作用。

流程導(dǎo)向型企業(yè)受預(yù)算等限制,在安全方面的投入不會很多,而側(cè)重于從管理的角度減少安全威脅,加強(qiáng)對人員和流程的控制力度。通常企業(yè)會建立較為完善的安全制度和組織。這類企業(yè)包括在中國市場的一些外資企業(yè)和信息安全觀念較強(qiáng)的民營企業(yè)。需要關(guān)注的是如何將安全的管理制度落地。

以上三種類型的企業(yè)在信息安全上都存在不足,沒有從企業(yè)風(fēng)險控制的全局出發(fā)來看待安全威脅。IBM提倡風(fēng)險導(dǎo)向型的信息安全管理,這是一種采用工具與流程相結(jié)合的方式,也是最為成熟的風(fēng)險管理模式。風(fēng)險導(dǎo)向型的企業(yè)能夠識別風(fēng)險和確定風(fēng)險的優(yōu)先級,根據(jù)識別出來的不同類別的風(fēng)險,決定是加強(qiáng)管理、改善流程,還是進(jìn)行技術(shù)投資,從而做到有的放矢,集中有限的資源應(yīng)對企業(yè)面臨的主要威脅。

如何掌控風(fēng)險

安全項目最大的回報在于降低風(fēng)險對企業(yè)運(yùn)營帶來的損失,但如何才能真正從風(fēng)險管理的角度進(jìn)行信息安全建設(shè)呢?筆者建議,企業(yè)首先需要了解有哪些風(fēng)險存在,預(yù)測、評估其發(fā)生的可能性以及對企業(yè)的影響程度,盡可能量化風(fēng)險,然后根據(jù)優(yōu)先順序,采取適當(dāng)?shù)念A(yù)防措施。

僅僅通過預(yù)防只能在一定程度上降低風(fēng)險,而無法解決所有的問題,這時還需要通過制定周密的安全策略以保護(hù)企業(yè)的關(guān)鍵信息。在防范信息安全風(fēng)險的同時,用戶也應(yīng)該認(rèn)識到,任何企業(yè)都不會有足夠多的人力、物力和財力完全消除風(fēng)險,要達(dá)到100%的信息安全其實(shí)是一種不符合客觀實(shí)際的期望。筆者認(rèn)為信息安全管理的目標(biāo)是通過控制方法,把信息風(fēng)險降到最低,使成本支出達(dá)到一個非常合理的狀態(tài)??傆幸恍╋L(fēng)險是不能避免的,把這些風(fēng)險分類記錄下來,并最終接受它,才是一個理智的風(fēng)險管理者應(yīng)有的態(tài)度。

信息安全的基本原則要求我們了解風(fēng)險,并在了解情況的前提下進(jìn)行決策,以根據(jù)消除風(fēng)險所需要的成本,決定對風(fēng)險做出反應(yīng)或者接受。樹立風(fēng)險導(dǎo)向的信息安全管理意識,最終目的在于提高信息安全項目的投資回報,將IT風(fēng)險作為企業(yè)運(yùn)營風(fēng)險中的一部分加以管理。

建立完整安全架構(gòu)

當(dāng)前信息安全的發(fā)展趨勢已經(jīng)不僅僅是升級傳統(tǒng)的安全產(chǎn)品,而是從業(yè)務(wù)策略和整體系統(tǒng)上來考慮安全問題,幫助企業(yè)建立安全、完善的IT環(huán)境,以應(yīng)對來自內(nèi)外部的攻擊,降低風(fēng)險和損失。因此,全方位的安全策略及解決方案對保護(hù)企業(yè)信息系統(tǒng)的安全不可或缺。

對于多數(shù)企業(yè)而言,目前都已制定了相關(guān)的制度和流程,但還沒有企業(yè)級整體的信息安全規(guī)劃和建設(shè),信息安全還沒有或很少從整體上進(jìn)行考慮。IBM企業(yè)IT安全服務(wù)是一套針對企業(yè)信息安全管理的完善解決方案,能夠協(xié)助企業(yè)更加全面地認(rèn)識信息技術(shù)、評估企業(yè)的信息安全隱患及薄弱環(huán)節(jié),進(jìn)一步完善企業(yè)安全架構(gòu),為企業(yè)的應(yīng)用構(gòu)建高度信息安全的運(yùn)行環(huán)境,共同規(guī)劃、設(shè)計、實(shí)施、運(yùn)作,從而保護(hù)企業(yè)信息系統(tǒng)的安全。

隨著中國信息化進(jìn)程的發(fā)展,信息資產(chǎn)在企業(yè)中的重要性不斷提升。企業(yè)管理者不應(yīng)該再將信息安全看作一個孤立的或是純技術(shù)的問題,而要從企業(yè)運(yùn)營的全局角度整體看待,制定與企業(yè)特點(diǎn)和成長潛力相適應(yīng)的安全管理架構(gòu)。

關(guān)注市場變化

完善的安全架構(gòu)必須能夠因應(yīng)市場的變化進(jìn)行調(diào)整,IT部門的決策者必須密切關(guān)注市場的變化。2007年安全用戶在三類需求上將有突出的增長。CIO需要更好地應(yīng)對日益增長的法規(guī)遵從性要求,更多地關(guān)注應(yīng)用層面,與此同時,積極利用外包的機(jī)遇實(shí)現(xiàn)更好的投資回報。

在中國,隨著信息安全和上市公司相關(guān)立法的完善,法規(guī)遵從性和相關(guān)審計在行業(yè)中的要求也正在不斷普及,越來越多的公司和行業(yè)正努力去滿足法律所規(guī)定的安全要求。企業(yè)在信息管理方面需要做到三點(diǎn):信息的完整性、信息的保密性和要求信息能夠在適當(dāng)?shù)臅r間以適當(dāng)?shù)母袷奖辉L問,這都與信息安全密不可分。保護(hù)企業(yè)數(shù)據(jù)安全,達(dá)到法規(guī)遵從性的要求將是CIO們2007年的一大職責(zé)。

篇8

在訪問和保存信息方面,企業(yè)網(wǎng)絡(luò)管理人員需要有分層的安全策略,使得不同的被管理端點(diǎn)以及其使用者有著不同的權(quán)限和許可。例如,在賓館的商務(wù)中心使用電子郵件的銷售人員,通過SSL VPN訪問知識產(chǎn)權(quán)的合同工,通過企業(yè)有線或無線局域網(wǎng)訪問公司數(shù)據(jù)的訪客。但是,僅僅是間接訪問就足以讓企業(yè)敏感信息暴露在安全威脅之中。因?yàn)橐坏┪幢还芾淼亩它c(diǎn)被惡意軟件所利用,安全威脅軟件就可以利用端點(diǎn)訪問網(wǎng)絡(luò)的機(jī)會而秘密地植入企業(yè)網(wǎng)絡(luò)之中,或者直接盜取企業(yè)敏感信息。

一個全面的端點(diǎn)安全解決方案可為管理和未管理的主機(jī)提供防護(hù),而使用持久穩(wěn)固的機(jī)制以及綜合防護(hù)功能則不再適用,因此對未管理端點(diǎn)所采用的防護(hù)策略必須是臨時的,被稱為“按需(On Demand)”防護(hù)。

這種按需保護(hù)適用的范圍包括企業(yè)現(xiàn)場來訪者訪問、用戶訪問電子商務(wù)應(yīng)用、合作伙伴額外訪問、員工從公共場所或家庭電腦訪問等。需要指出的是,這不僅保護(hù)企業(yè)的利益,還應(yīng)當(dāng)確保企業(yè)能夠?yàn)橛脩魯U(kuò)展增值服務(wù)。例如,憑借這種按需保護(hù)功能,金融機(jī)構(gòu)或評估報告能夠確定用戶從其網(wǎng)站下載的數(shù)據(jù)的安全性且不會受到任何干擾。

篇9

>> 水肥資源利用現(xiàn)狀及在東北進(jìn)行研究的必要性分析 基于Windows Server 2003的安全評估系統(tǒng)研究 房屋安全性鑒定的必要性研究 原州區(qū)農(nóng)田水利現(xiàn)狀及加快建設(shè)的必要性論證 農(nóng)田水利現(xiàn)狀及加快農(nóng)田水利事業(yè)發(fā)展的必要性 礦山安全管理的必要性和措施研究 加快電網(wǎng)建設(shè)新技術(shù)推廣應(yīng)用的必要性分析的研究與建議 廣西高職輔導(dǎo)員職業(yè)倦怠研究的必要性及現(xiàn)狀探討 置業(yè)顧問培訓(xùn)的必要性及方案研究 機(jī)床綠色制造的必要性及發(fā)展研究 加快滄州現(xiàn)代服務(wù)業(yè)發(fā)展的必要性研究 關(guān)于加快完善國際外層空間法的必要性研究 中國后轉(zhuǎn)型研究必要性的分析 建筑節(jié)能的必要性及節(jié)能設(shè)計的研究分析 大學(xué)生心理檔案管理現(xiàn)狀調(diào)查及檔案系統(tǒng)建立的必要性分析 建筑工程成本分析與控制的必要性及要點(diǎn)研究 對新農(nóng)村社區(qū)建設(shè)的必要性分析及研究 發(fā)行科技創(chuàng)業(yè)彩票的必要性分析及可行方案研究 新疆和田地毯特點(diǎn)分析及圖像矢量化的必要性研究 關(guān)于出租車管制的必要性分析及對策研究 常見問題解答 當(dāng)前所在位置:L。其他設(shè)置功能可以幫助處理一些掃描過程種的問題,包括跳過沒有響應(yīng)主機(jī),無條件掃描等等。插件設(shè)置項目包括了端口相關(guān)設(shè)置,SNMP相關(guān)設(shè)置,NETBIOS相關(guān)設(shè)置,漏洞檢測腳本設(shè)置,CGI相關(guān)設(shè)置,字典文件設(shè)置這6項設(shè)置。X-Scan掃描方式有兩種,一種是利用TCP檢測,一種是利用SYN檢測。

功能特點(diǎn):X-SCAN采用多線程方式對指定IP地址段(或單機(jī))進(jìn)行安全漏洞檢測,支持插件功能,提供了圖形界面和命令行兩種操作方式,掃描內(nèi)容包括:遠(yuǎn)程操作系統(tǒng)類型及版本,標(biāo)準(zhǔn)端口狀態(tài)及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用戶,NT服務(wù)器NETBIOS信息等。X-SCAN提供了簡單的插件開發(fā)包,便于有編程基礎(chǔ)的朋友自己編寫或?qū)⑵渌{(diào)試通過的代碼修改為X-Scan插件。這十分值得我們借鑒。但其中的漏洞資料和整體功能都存在不足,各項功能的測試受時間及環(huán)境所限也不夠全面。

(三)SATAN軟件

安全管理員分析工具SATAN是一個端口掃描程序,1995年4月推出,運(yùn)行在Unix環(huán)境下,掃描的目標(biāo)是Unix系統(tǒng),它對大多數(shù)己知的漏洞進(jìn)行掃描,發(fā)現(xiàn)漏洞便提交報告給用戶,說明如何利用該漏洞以及如何對該漏洞進(jìn)行修補(bǔ)。SATAN采用了HTML技術(shù),是第一個把掃描結(jié)果以用戶友好的格式來顯示的掃描工具。SATAN的推出引起了很大的轟動,與其他掃描工具相比,SATAN是受到公眾關(guān)注最多的。

功能特點(diǎn):SATAN軟件可以讓用戶對子網(wǎng)瀏覽進(jìn)行了解。當(dāng)用戶讓SATAN對子網(wǎng)中的所有主機(jī)進(jìn)行瀏覽時,SATAN利用Unix的fping工具來決定究竟哪些主機(jī)它可以瀏覽,SATAN中安裝的fping工具是標(biāo)準(zhǔn)Unix中的fping的變體,它能有效地順序?yàn)g覽大量主機(jī)。SATAN利用fping節(jié)省了與并不存在和正退出的主機(jī)的信息交流的時間。同時,fping能發(fā)現(xiàn)未經(jīng)管理員同意而附屬于本網(wǎng)絡(luò)的其他系統(tǒng)。

(四)NMAP軟件

NMAP是當(dāng)前較受歡迎的掃描工具,其特點(diǎn)是提供了比較全面的掃描方法及利用指紋技術(shù)的遠(yuǎn)程操作系統(tǒng)識別功能,NMAP掃描速度很快。它提供的掃描方法包括:Vanilla TCP Connect()掃描、TCP SYN掃描、TCP FIN掃描、TCP FTP Proxy掃描、利用IP Fragments的SYN/FIN掃描、TCP ACK和Window掃描、工CMP掃描、TCP Ping掃描。為提高掃描速度提供了并行掃描的功能,NMAP用C語言編碼。

功能特點(diǎn)和使用方法:nmap運(yùn)行通常會得到被掃描主機(jī)端口的列表。nmap總會給出well known端口的服務(wù)名(如果可能)、端口號、狀態(tài)和協(xié)議等信息。每個端口的狀態(tài)有:open、filtered、unfiltered。open狀態(tài)意味著目標(biāo)主機(jī)能夠在這個端口使用accept()系統(tǒng)調(diào)用接受連接。filtered狀態(tài)表示:防火墻、包過濾和其它的網(wǎng)絡(luò)安全軟件掩蓋了這個端口,禁止nmap探測其是否打開。unfiltered表示:這個端口關(guān)閉,并且沒有防火墻/包過濾軟件來隔離nmap的探測企圖。通常情況下,端口的狀態(tài)基本都是unfiltered狀態(tài),只有在大多數(shù)被掃描的端口處于filtered狀態(tài)下,才會顯示處于unfiltered狀態(tài)的端口。這十分值得我們借鑒。但其中的漏洞資料和整體功能都存在不足,各項功能的測試受時間及環(huán)境所限也不夠全面。

(五)ISS軟件

ISS的Internet Scanner(互聯(lián)網(wǎng)掃描器)是一個用于分析網(wǎng)絡(luò)上設(shè)備安全性的弱點(diǎn)評估產(chǎn)品。它檢測路由器、Web服務(wù)器、Unix服務(wù)器、Windows NT服務(wù)器、桌面系統(tǒng)和防火墻的弱點(diǎn),從而識別能被入侵者用來非法進(jìn)入網(wǎng)絡(luò)的漏洞。Internet Scanner以入侵者的行為方式通過檢查網(wǎng)絡(luò)設(shè)備、服務(wù)以及相互關(guān)系去發(fā)現(xiàn)漏洞。Internet Scanner的掃描策略是模擬黑客技術(shù)探測網(wǎng)絡(luò)環(huán)境中的安全脆弱點(diǎn),它向目標(biāo)網(wǎng)絡(luò)和設(shè)備發(fā)送各種探測數(shù)據(jù)包(如ICMP,TCP,UCP數(shù)據(jù)包等),偵聽目標(biāo)響應(yīng)的情況,搜集信息,判斷是否存在安全性弱點(diǎn)。Internet Scanner可以在同一時間執(zhí)行多個掃描線程,即并行掃描,它也可以設(shè)置多個用于TCP服務(wù)掃描的專門線程,即實(shí)現(xiàn)了并行TCP服務(wù)掃描。ISS的系統(tǒng)掃描器System Scanner是一個基于主機(jī)的安全評估系統(tǒng),它在系統(tǒng)層上通過依附于主機(jī)上的掃描器偵測主機(jī)內(nèi)部的漏洞。System Scanner能夠識別并報告系統(tǒng)中所存在的安全漏洞、弱點(diǎn)以及使用不當(dāng)?shù)牟呗裕瑥亩峁┗谥鳈C(jī)的安全評估。System Scanner由控制臺(Console)和掃描(Agent)兩部分組成,采用C/S(客戶機(jī)/服務(wù)器)結(jié)構(gòu),通過在每個被管理系統(tǒng)上所安裝的模塊來檢測安全漏洞、誤配置以及使用不當(dāng)?shù)牟呗浴?/p>

功能特點(diǎn):ISS Internet Scanner通過對網(wǎng)絡(luò)安全弱點(diǎn)全面和自主地檢測與分析并檢查它們的弱點(diǎn),將風(fēng)險分為高中低三個等級,并且可以生成大范圍的有意義的報表。這些評估功能我們軟件評估系統(tǒng)可以借鑒。

四、安全專家評估應(yīng)用情況

(一)安全專家系統(tǒng)

安全專家是集眾多信息安全專家多年的信息安全經(jīng)驗(yàn),為客戶計算機(jī)提供多種安全防護(hù)手段(防火墻、防病毒、安全評估、安全修復(fù)等等)。它能象一位安全專家一樣,為客戶計算機(jī)存在的安全威脅,進(jìn)行“主動檢測”、“綜合治療”,并能做到事前“自動免疫”通過在級升級功能長期保證客戶計算機(jī)處在高等級的安全狀態(tài)。安全評估專家的功能:

1.自檢:安全評估功能

對用戶主機(jī)自動進(jìn)行全面的安全檢測,發(fā)現(xiàn)系統(tǒng)存在的所有已知安全漏洞、病毒及木馬后門程序,并向用戶提交安全評估報告,告知主機(jī)安全等級。

2.自醫(yī):安全修復(fù)功能

針對檢測中發(fā)現(xiàn)的安全隱患,對終端主機(jī)進(jìn)行全面的修復(fù)。清除主機(jī)上存在的各種安全漏洞、病毒、蠕蟲和惡意代碼。

3.自疫:預(yù)先免疫功能

安全專家針對不同用戶的安全需求提供了多種安全防護(hù)策略,通過安全策略可以實(shí)現(xiàn)端口的防護(hù)、系統(tǒng)安全漏洞及時修復(fù),安全配置的完全優(yōu)化,從而全面提高計算機(jī)的整體安全性,并能對未來的安全威脅起到很好的安全免疫,確保用戶的計算機(jī)不被新的蠕蟲病毒和黑客攻擊程序的破壞。

4.自保:在線升級功能

安全專家產(chǎn)品實(shí)現(xiàn)了自動在線實(shí)時更新的功能,用戶可以手動或設(shè)置時間定期升級安全專家程序,確保對新的出現(xiàn)病毒及黑客攻擊技術(shù)的防范,實(shí)現(xiàn)長治久安的目的。

(二)主機(jī)安全評估套件(HRA)

黑龍江哈爾濱商務(wù)之窗在2007-08-12日寫出了《國內(nèi)首款計算機(jī)主機(jī)安全評估套件在哈問世,其技術(shù)國際領(lǐng)先》報道:作為國內(nèi)知名的網(wǎng)絡(luò)安全產(chǎn)品和解決方案供應(yīng)商,哈爾濱安天公司近日研發(fā)出一款名為“安天主機(jī)安全評估套件”的高科技產(chǎn)品。這是國內(nèi)主機(jī)安全評估方面唯一實(shí)現(xiàn)了自動化、定性、定量評估的相關(guān)系統(tǒng),其產(chǎn)品全部核心技術(shù)均由安天公司自行開發(fā),系統(tǒng)核心的AVL SDK反病毒引擎還曾因技術(shù)國際領(lǐng)先獲得了國家科技部創(chuàng)新基金。該套件根據(jù)上百個自動化提取的關(guān)聯(lián)因素對主機(jī)節(jié)點(diǎn)的風(fēng)險等級進(jìn)行準(zhǔn)確評分、以及通過主機(jī)節(jié)點(diǎn)數(shù)據(jù)生成網(wǎng)絡(luò)整體安全等級定量評定等產(chǎn)品創(chuàng)意,均為國內(nèi)首創(chuàng)。它有本地評估和網(wǎng)絡(luò)評估兩種方式。只要將套件中的U盤或光盤插入主機(jī),即可自動檢測惡意代碼、查找安全漏洞、做出安全分析,生成相關(guān)報告。不但能夠高效準(zhǔn)確地判定終端系統(tǒng)受惡意代碼感染的情況,還能及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng),特別是內(nèi)網(wǎng)、系統(tǒng)中由于違規(guī)安裝軟件、私自撥號上網(wǎng)、私自插入移動存儲設(shè)備等帶來的重大安全隱患。此外,該套件還能發(fā)現(xiàn)系統(tǒng)遭受入侵攻擊的各種痕跡,對目前機(jī)器上存在的安全漏洞、面臨的安全隱患和已經(jīng)發(fā)生的安全問題做出系統(tǒng)化的評價,直觀地呈現(xiàn)出來,并可根據(jù)評估結(jié)果自動對每個問題的解決方案提供相應(yīng)的建議。

典型的應(yīng)用方案如1-1圖所示:

圖1-1 主機(jī)安全評估套件的典型的應(yīng)用方案

(三)瑞星2008安檢

瑞星殺毒軟件2008版,是基于新一代虛擬機(jī)脫殼引擎、采用三層主動防御策略開發(fā)的新一代信息安全產(chǎn)品。瑞星08獨(dú)創(chuàng)的“賬號保險柜”基于“主動防御”構(gòu)架開發(fā),可保護(hù)上百種流行軟件的賬號,包括70多款熱門網(wǎng)游,30多種股票、網(wǎng)上銀行類軟件,QQ、MSN等常用聊天工具及下載軟件等。同時,瑞星08采用“木馬強(qiáng)殺”、“病毒DNA識別”、“主動防御”、“惡意行為檢測”等大量核心技術(shù),可有效查殺目前各種加殼、混合型及家族式木馬病毒共約70萬種。電腦安檢也是瑞星2008版新增加的功能之一,非常方便用戶使用。通過安檢能夠檢查用戶是否及時升級殺毒軟件、是否進(jìn)行過全盤殺毒、是否安裝了所有的補(bǔ)丁程序、實(shí)時監(jiān)控和主動防御是否都打開了等等。幫助用戶更好地了解電腦的安全狀況,提升電腦安全防護(hù)級別。

五、結(jié)語

篇10

關(guān)鍵詞 互聯(lián)網(wǎng)金融 P2P 大數(shù)據(jù)征信 信審

互聯(lián)網(wǎng)金融自2007年出現(xiàn)直至2015年發(fā)展態(tài)勢愈演愈烈,作為一種新興的金融服務(wù)方式,P2P行業(yè)憑借其“短,平,快”的特點(diǎn)和優(yōu)勢獲得了迅猛的發(fā)展。另一方面,P2P問題平臺跑路、倒閉、兌付危機(jī)等負(fù)面新聞頻出,整個行業(yè)都受到了牽連,行業(yè)發(fā)展的迅猛態(tài)勢倒逼監(jiān)管加快步伐。其中,作為P2P行業(yè)工作的關(guān)鍵環(huán)節(jié),信審工作存在的問題及其優(yōu)化受到了越來越多的關(guān)注。本文以“大數(shù)據(jù)”為研究背景,對P2P企業(yè)信審環(huán)節(jié)中的主要問題展開研究。

一、信審環(huán)節(jié)主要存在的問題

(一)資料收集階段――渠道較少,范圍較小

目前我國眾多P2P企業(yè)在收集資料階段存在信息渠道窄、信息覆蓋面不全等主要問題。首先,大多P2P企業(yè)獲得信息渠道相對單一,以P2P企業(yè)與借款融資企業(yè)之間的雙向往來為主。其次,P2P企業(yè)信審大多參考銀行傳統(tǒng)征信函蓋的資料內(nèi)容與范圍,信息的覆蓋范圍較窄,使風(fēng)險評估階段由于數(shù)據(jù)信息的局限性導(dǎo)致評估結(jié)果有一定的偏差性。

(二)風(fēng)險評估階段――建模初期,經(jīng)驗(yàn)主義

風(fēng)險評估方面的問題是制約P2P企業(yè)發(fā)展的重要因素。目前較多P2P企業(yè)在審核企業(yè)信用時采用以往或行業(yè)經(jīng)驗(yàn)來定性評估受審企業(yè)的信用等級。由于不同企業(yè)在信用審核中存在行業(yè)差異性,沒有統(tǒng)一的衡量標(biāo)準(zhǔn),P2P企業(yè)為了了解待審企業(yè)的運(yùn)營狀況,先實(shí)地盡調(diào),再根據(jù)受審企業(yè)具體問題具體分析。這就導(dǎo)致審核時間長、耗費(fèi)的成本及人力資源較多且評估結(jié)果缺少科學(xué)性依據(jù)。

(三)數(shù)據(jù)存儲階段――疏于管理,安全性低

P2P企業(yè)都會對借款方企業(yè)的前期資料以及后期評估的信用情況進(jìn)行建檔存檔。目前,大多P2P企業(yè)的數(shù)據(jù)存儲沒有專門的數(shù)據(jù)庫系統(tǒng),也沒有設(shè)立服務(wù)器或交予第三方云服務(wù)平臺托管的意識。

二、歐美的征信經(jīng)驗(yàn)及我國的改變

說到信用審核的問題,必然要談到近兩年頻繁出現(xiàn)的“大數(shù)據(jù)征信”了。一些歐美國家在在此方面的應(yīng)用都是先于我國的。以利用“大數(shù)據(jù)”進(jìn)行風(fēng)險管理的ZestFiance為例,它整合分散數(shù)據(jù),借助數(shù)據(jù)挖掘與自我開發(fā)的預(yù)測模型(包括防欺詐模型、還款能力模型等十個模型),再將預(yù)測模型的結(jié)果進(jìn)行集成處理,挖掘更多傳統(tǒng)征信覆蓋不到或潛在的信用信息,并借助信用評估模型獲得完整的信用評估報告。

而近些年國內(nèi)有關(guān)征信方面也有了不少改變。央行將征信系統(tǒng)向個人及金融機(jī)構(gòu)開放,個人每年可免費(fèi)查詢一次自己的征信報告,而金融機(jī)構(gòu)只要符合相關(guān)申請條件經(jīng)授權(quán)批準(zhǔn)即可接入征信系統(tǒng)的接口。此外,央行在2015年1月印發(fā)的《關(guān)于做好個人征信業(yè)務(wù)準(zhǔn)備工作的通知》中,包括芝麻信用、騰訊征信等八家企業(yè)被授權(quán)掛牌作為民營征信企業(yè)。通過對數(shù)據(jù)的挖掘和分析,各企業(yè)從不同維度綜合評估,為用戶建立個人的信用評分,向個人及機(jī)構(gòu)提供征信服務(wù),豐富了征信內(nèi)容。這對沖破傳統(tǒng)意義上的征信使征信多元化、數(shù)據(jù)化有著重大意義。

三、對P2P企業(yè)信審工作的建議

(一)資料收集階段――多元化數(shù)據(jù)搜集

在收集借款方企業(yè)的審核資料過程中,可以從兩方面做出多元化改善:

1.獲取信息渠道多元化。這里的信息渠道是指獲得借款方需審核資料的方式。在行業(yè)未來發(fā)展中,擴(kuò)展信息收集渠道將成為一種趨勢。如獲取借款融資企業(yè)資料可通過以下幾種方式:第一,申請央行征信系統(tǒng)的接口,獲取企業(yè)法人、融資負(fù)責(zé)人、企業(yè)核心決策層等相關(guān)人員的個人征信報告;第二,向目前已開放的八家征信企業(yè)選擇一家或幾家支付一定服務(wù)費(fèi)用,接入數(shù)據(jù)接口,獲取借款融資方相關(guān)人員的信用記錄及評分;第三,通過全國企業(yè)信用信息公示系統(tǒng)、中國裁判文書網(wǎng)、各地法院官網(wǎng)等官方網(wǎng)站,獲取企業(yè)基本信息及企業(yè)的不誠信經(jīng)營導(dǎo)致被事件等信息。

2.信息領(lǐng)域多元化。信息領(lǐng)域,也稱信息覆蓋面。正確地拓寬數(shù)據(jù)搜集的覆蓋面可以為信用審核提供更多維度的信息,使最終的信用評估綜合性及參考價值更高。除了傳統(tǒng)信審所涵蓋的身份信息、信貸信息、金融負(fù)債信息及公共信息外,可參考拓寬的領(lǐng)域有:第一,民營征信企業(yè)提供的信息。不同征信企業(yè)有不同的側(cè)重領(lǐng)域,如:中誠信征信、前海征信、鵬元征信側(cè)重金融領(lǐng)域;中智誠征信和北京華道征信側(cè)重反欺詐領(lǐng)域;騰訊征信、芝麻信用、拉卡拉信用側(cè)重生活場景領(lǐng)域,包括社交、消費(fèi)等方面。第二,大數(shù)據(jù)征信視角可探知的信息。這點(diǎn)與上條所說民營征信企業(yè)提供的信息有交疊部分。信用信息與信貸記錄具有強(qiáng)相關(guān)性,同時,它與通過數(shù)據(jù)挖掘方法獲取的一些行為信息也有一定的聯(lián)系。例如利用數(shù)據(jù)挖掘獲得的搬家次數(shù)、網(wǎng)絡(luò)點(diǎn)擊等信息。當(dāng)然,需在合法合規(guī)的前提下獲取此類信息。第三,非金融日常信息。如:水電氣繳納情況、有線電視、移動電話等信息。

(二)風(fēng)險評估階段――多層次多維度綜合評估

多層次的綜合評估是指在建立模型的過程中,由基礎(chǔ)模型――評估模型――信審模型 構(gòu)成垂直方向上層級遞進(jìn)的評估模型。首先將收集的數(shù)據(jù)信息劃分為多個維度,劃分也可分為兩種方法:一是按照信息來源分類,如:央行的征信報告、企業(yè)公共信息、民營征信機(jī)構(gòu)信息等;二是按照信息的領(lǐng)域分類,如:驗(yàn)證類基礎(chǔ)信息、金融類信息、非金融類信息。不同類別的數(shù)據(jù)與信審的相關(guān)性不同,即每一類信其次針對不同評估方面,以兩類或以上的基礎(chǔ)模型評估結(jié)果為參考,運(yùn)用相應(yīng)的算法建立適用的評估模型,如還款能力評估模型、還款意愿評估模型、身份驗(yàn)證評估模型、企業(yè)運(yùn)營評估模型等。最后根據(jù)不同類型的企業(yè)及其不同的側(cè)重點(diǎn),在評估模型的基礎(chǔ)上加上不同的權(quán)重,使用相應(yīng)的規(guī)則,將評估模型整合為最終的信審模型,獲得最終的信用評估報告。

(三)數(shù)據(jù)存儲階段――完善服務(wù)器

上文中提到多數(shù)P2P企業(yè)將信息安全保障集中放在網(wǎng)絡(luò)平臺的運(yùn)營上,而忽視了對借款方企業(yè)信息存儲的安全保障。

在長期發(fā)展中建議P2P企業(yè)在信息存儲方面建立完備的數(shù)據(jù)庫服務(wù)器對數(shù)據(jù)統(tǒng)一管理,或?qū)⑵渫泄苤恋谌皆品?wù)平臺;對于信息中的敏感數(shù)據(jù)采用一定的加密技術(shù)以確保信息存儲的安全性。

四、結(jié)語

互聯(lián)網(wǎng)金融P2P行業(yè)在我國仍處于初步發(fā)展階段,其發(fā)展有無限的可能,也將會朝著網(wǎng)貸行業(yè)產(chǎn)業(yè)鏈的趨勢發(fā)展,形成數(shù)據(jù)服務(wù)企業(yè)――征信(信審)服務(wù)企業(yè)――P2P平臺服務(wù)企業(yè)交叉網(wǎng)狀結(jié)構(gòu),將每一環(huán)節(jié)的業(yè)務(wù)細(xì)化到每一類企業(yè)。對中國征信將來的發(fā)展也抱有積極的觀望態(tài)度。

(作者單位為西南交通大學(xué)經(jīng)濟(jì)管理學(xué)院信息管理與信息系統(tǒng))

參考文獻(xiàn)

[1] 陳初.對中國“P2P”網(wǎng)絡(luò)融資的思考[J].人民論壇,2010(26).

[2] 王亮平. P2P網(wǎng)絡(luò)借貸環(huán)境下我國小微企業(yè)融資需求分析[J].商場現(xiàn)代化,2015(Z1).