序言:寫作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全評(píng)估報(bào)告樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)����,請(qǐng)盡情閱讀�����。
第1篇
1.1需求分析
通過(guò)德?tīng)柗品?����、訪談法�、SWOT分析等風(fēng)險(xiǎn)管理技術(shù),向?qū)W院各職能部門和其它渠道收集風(fēng)險(xiǎn)信息����,分類總結(jié),然后列出風(fēng)險(xiǎn)系統(tǒng)開發(fā)的大功能模塊�����,每個(gè)大功能模塊有哪些小功能模塊�;描述實(shí)現(xiàn)具體模塊所涉及到的主要算法、數(shù)據(jù)結(jié)構(gòu)���、類的層次結(jié)構(gòu)及調(diào)用關(guān)系����,需要說(shuō)明軟件系統(tǒng)各個(gè)層次中每個(gè)模塊或子程序的設(shè)計(jì)考慮,以便進(jìn)行編碼測(cè)試����。系統(tǒng)平臺(tái)可以實(shí)現(xiàn)以下功能:自動(dòng)輸出風(fēng)險(xiǎn)評(píng)估報(bào)告和建議報(bào)告,有效監(jiān)控預(yù)防風(fēng)險(xiǎn)����;對(duì)風(fēng)險(xiǎn)進(jìn)行定量分析,實(shí)現(xiàn)以圖表直觀形式輸出顯示����,并展示相應(yīng)的數(shù)據(jù)指標(biāo);用戶以個(gè)人賬戶或部門賬戶��,登錄到風(fēng)險(xiǎn)評(píng)估輸入列表�����,選擇相應(yīng)的職能部門�����、行業(yè)類型、風(fēng)險(xiǎn)級(jí)別指標(biāo)�����、以問(wèn)答的形式選擇相應(yīng)的內(nèi)置風(fēng)險(xiǎn)條目�����,根據(jù)登陸權(quán)限�,可自擬增加��、刪除風(fēng)險(xiǎn)條目����;可實(shí)現(xiàn)日常工作重要環(huán)節(jié)和重點(diǎn)風(fēng)險(xiǎn)過(guò)程的時(shí)間提醒功能,通過(guò)手機(jī)短信或網(wǎng)頁(yè)提示窗提示等手段�,提醒重點(diǎn)工作的正常開展,防范工作疏忽引起的風(fēng)險(xiǎn)�����;風(fēng)險(xiǎn)級(jí)別指標(biāo)制定��,可參考相應(yīng)的國(guó)家或行業(yè)標(biāo)準(zhǔn)����,也可自擬��;系統(tǒng)平臺(tái)內(nèi)有評(píng)估標(biāo)準(zhǔn)����,根據(jù)評(píng)估標(biāo)準(zhǔn)設(shè)計(jì)評(píng)估模型����,利用評(píng)估模型對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行評(píng)估,得出評(píng)估結(jié)果供風(fēng)險(xiǎn)決策者參考�;校領(lǐng)導(dǎo)和各職能部門負(fù)責(zé)人可根據(jù)管理權(quán)限查詢相應(yīng)的風(fēng)險(xiǎn)數(shù)據(jù);B/S架構(gòu)���,實(shí)現(xiàn)新聞即時(shí)�,可及時(shí)更新各高校風(fēng)險(xiǎn)管理中的經(jīng)驗(yàn)交流文章�、理論知識(shí)。
1.2程序編碼實(shí)現(xiàn)
開始具體的編寫程序工作�����,分別實(shí)現(xiàn)各模塊的功能����,從而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的功能�����、性能�、接口��、界面等方面的要求�;開發(fā)過(guò)程中�����,邊開發(fā)邊測(cè)試��,系統(tǒng)完工后�,通過(guò)內(nèi)部外部測(cè)試、模塊測(cè)試���、整體聯(lián)調(diào)等測(cè)試方法�����,驗(yàn)證系統(tǒng)的整體穩(wěn)定性�����,不斷完善���。
1.3具體應(yīng)用
軟件開發(fā)完成���,做成相關(guān)的技術(shù)文檔,系統(tǒng)上線�;在具體應(yīng)用中發(fā)現(xiàn)問(wèn)題及時(shí)登記到問(wèn)題記錄冊(cè),反饋到開發(fā)人員����,為以后的系統(tǒng)平臺(tái)升級(jí)提供依據(jù)。
2平臺(tái)功能模塊
信息安全風(fēng)險(xiǎn)評(píng)估平臺(tái)的開發(fā)環(huán)境為/MSSQL��,基于SOA軟件系統(tǒng)架構(gòu)解決學(xué)院各信息系統(tǒng)集成����,通過(guò)PDCA循環(huán)模型具體實(shí)施。信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)平臺(tái)建設(shè)主要包括評(píng)估公告����、用戶管理、指標(biāo)設(shè)置�����、綜合評(píng)估、綜合查詢�����、報(bào)表系統(tǒng)����,數(shù)據(jù)導(dǎo)出七大模塊。
2.1評(píng)估公告模塊
評(píng)估公告模塊實(shí)現(xiàn)新聞即時(shí)��,可及時(shí)更新各高校風(fēng)險(xiǎn)管理中的經(jīng)驗(yàn)交流文章���、理論知識(shí);可實(shí)現(xiàn)日常工作重要環(huán)節(jié)和重點(diǎn)風(fēng)險(xiǎn)過(guò)程的時(shí)間提醒功能�,提醒重點(diǎn)工作的正常開展,防范工作疏忽引起的信息系統(tǒng)風(fēng)險(xiǎn)����。
2.2用戶管理模塊
用戶管理模塊的功能是管理用戶信息,主要包括用戶的用戶名����、密碼和權(quán)限,同時(shí)支持顯示所有注冊(cè)用戶信息和刪除用戶功能�;模塊可以添加系統(tǒng)管理員�、評(píng)估人和評(píng)估單位�,評(píng)估人員可以設(shè)置不同的權(quán)限,限制評(píng)估范圍��;用戶以個(gè)人賬戶或部門賬戶��,登錄到風(fēng)險(xiǎn)評(píng)估輸入列表����,選擇相應(yīng)的職能部門、行業(yè)類型�����、風(fēng)險(xiǎn)級(jí)別指標(biāo)�����、以問(wèn)答的形式選擇相應(yīng)的內(nèi)置風(fēng)險(xiǎn)條目�����;不同的用戶登錄系統(tǒng)顯示的模塊不一樣����,根據(jù)登陸權(quán)限�����,可自擬增加��、刪除風(fēng)險(xiǎn)條目����。
3.3指標(biāo)設(shè)置模塊
指標(biāo)設(shè)置模塊主要是依據(jù)國(guó)家有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)���,實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的指標(biāo)體系設(shè)置����,劃分兩級(jí)指標(biāo)細(xì)化評(píng)估體系��,一級(jí)指標(biāo)劃分為信息資產(chǎn)���、威脅性、脆弱性����,二級(jí)指標(biāo)從硬件、軟件、風(fēng)險(xiǎn)識(shí)別等細(xì)化指標(biāo)體系����;實(shí)現(xiàn)指標(biāo)庫(kù)的設(shè)置,可以分配不同的被評(píng)估單位相應(yīng)的評(píng)價(jià)指標(biāo)����。
2.4綜合評(píng)估模塊
綜合評(píng)估模塊包括評(píng)估列表、評(píng)估歷史����。評(píng)估列表顯示所有被評(píng)估單位,某一單位用戶登錄以后����,系統(tǒng)自動(dòng)調(diào)用相應(yīng)的指標(biāo)庫(kù),回答相應(yīng)的信息系統(tǒng)安全問(wèn)題�,系統(tǒng)自動(dòng)給出指標(biāo)分?jǐn)?shù);評(píng)估歷史是不同的賬戶登錄���,顯示的列表不同�,管理員能查詢所有的用戶評(píng)估歷史�,單位用戶只能查詢本系部的評(píng)估歷史。
2.5綜合查詢模塊
綜合查詢模塊實(shí)現(xiàn)不同單位評(píng)估次數(shù)�����、評(píng)估成績(jī)、各評(píng)估對(duì)象不同時(shí)間段等的評(píng)估查詢��。
2.6報(bào)表系統(tǒng)模塊
報(bào)表模塊實(shí)現(xiàn)了不同單位評(píng)估次數(shù)�����、評(píng)估成績(jī)�、各評(píng)估對(duì)象的柱狀圖的形式直觀展示。
2.7數(shù)據(jù)導(dǎo)出模塊
數(shù)據(jù)導(dǎo)出模塊實(shí)現(xiàn)了評(píng)估單位當(dāng)前總成績(jī)或歷史評(píng)估成績(jī)的數(shù)據(jù)導(dǎo)出功能��,支持PDF����、Word、Excel文檔格式����。
3系統(tǒng)評(píng)估操作流程
系統(tǒng)管理員首先在系統(tǒng)后臺(tái)對(duì)不同的用戶設(shè)置相應(yīng)的評(píng)估指標(biāo)庫(kù)���;用戶通過(guò)用戶名和密碼登錄系統(tǒng)后臺(tái)��;登錄成功后系統(tǒng)會(huì)自動(dòng)調(diào)用相應(yīng)的評(píng)價(jià)指標(biāo)�����,用戶回答相應(yīng)的問(wèn)題�;回答結(jié)束后,用戶點(diǎn)擊提交����,系統(tǒng)自動(dòng)給出相應(yīng)的評(píng)估分值;用戶打印或存儲(chǔ)評(píng)估數(shù)據(jù)報(bào)告��。
4平臺(tái)應(yīng)用效果
4.1為我國(guó)高校的信息系統(tǒng)風(fēng)險(xiǎn)預(yù)防和應(yīng)急處理提供建設(shè)性的意見(jiàn)
目前關(guān)于我國(guó)高校風(fēng)險(xiǎn)評(píng)估研究的大多停留在某些具體領(lǐng)域�,主要是對(duì)宏觀風(fēng)險(xiǎn)管理和財(cái)務(wù)風(fēng)險(xiǎn)狀況進(jìn)行探討,對(duì)信息系統(tǒng)安全的研究較少�。信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)平臺(tái)對(duì)高校信息安全風(fēng)險(xiǎn)進(jìn)行定量分析評(píng)估,為我國(guó)高校信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了一個(gè)重要平臺(tái)����,為高校的信息系統(tǒng)風(fēng)險(xiǎn)預(yù)防和應(yīng)急處理提供一些建設(shè)性的意見(jiàn)。
4.2為高校各級(jí)信息系統(tǒng)管理者提供了處理信息系統(tǒng)
風(fēng)險(xiǎn)的決策依據(jù)系統(tǒng)實(shí)現(xiàn)各級(jí)信息系統(tǒng)管理者可實(shí)時(shí)查詢部門風(fēng)險(xiǎn)評(píng)估�����,針對(duì)高校日常管理中可能面臨的各類信息系統(tǒng)安全風(fēng)險(xiǎn)���、建議應(yīng)對(duì)措施���、突發(fā)事件����、應(yīng)急預(yù)案����、法律法規(guī)等相關(guān)風(fēng)險(xiǎn)管理文檔查詢,為科學(xué)決策提供依據(jù)�����。
4.3信息系統(tǒng)安全風(fēng)險(xiǎn)處理更迅速
信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估平臺(tái)與學(xué)院網(wǎng)絡(luò)安全教育平臺(tái)����、運(yùn)維網(wǎng)站數(shù)據(jù)整合,當(dāng)網(wǎng)絡(luò)遭受攻擊�����、病毒肆虐時(shí)����,能第一時(shí)間獲得相關(guān)信息���,為快速解決信息系統(tǒng)安全風(fēng)險(xiǎn)創(chuàng)造了條件�。
4.4提高了全校師生網(wǎng)絡(luò)安全防范和參與意識(shí)
通過(guò)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估平臺(tái),全院師生提高了網(wǎng)絡(luò)安全防范和參與意識(shí)�,為河南牧業(yè)經(jīng)濟(jì)學(xué)院網(wǎng)絡(luò)信息化建設(shè)出謀劃策,促進(jìn)學(xué)校領(lǐng)導(dǎo)和有關(guān)職能部門制定和完善網(wǎng)絡(luò)有關(guān)管理制度�����。
4.5規(guī)范了全校師生的上網(wǎng)行為���,減少了網(wǎng)絡(luò)攻擊
全校師生通過(guò)平臺(tái)了解學(xué)校網(wǎng)絡(luò)管理相關(guān)制度和管理方式����,認(rèn)識(shí)到自己的上網(wǎng)行為在學(xué)校監(jiān)督管理中��,從而自覺(jué)規(guī)范自身的上網(wǎng)行為���。平臺(tái)為引導(dǎo)師生正確使用網(wǎng)絡(luò)���、規(guī)避風(fēng)險(xiǎn),保障校園網(wǎng)網(wǎng)絡(luò)良好正常運(yùn)轉(zhuǎn)起到了積極的作用�����。通過(guò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的漏洞查找,各系部加強(qiáng)了網(wǎng)絡(luò)安全知識(shí)普及��、全員參與、相關(guān)規(guī)章制度的約束,一直困擾我院網(wǎng)管人員的網(wǎng)絡(luò)非法攻擊��,特別是破壞后果更難預(yù)測(cè)的內(nèi)部網(wǎng)絡(luò)攻擊得到了有效的遏制。
5結(jié)束語(yǔ)
第2篇
ENISA對(duì)2002~2012年期間舉行的85次不同層級(jí)的網(wǎng)絡(luò)演習(xí)進(jìn)行了調(diào)研,既有單個(gè)國(guó)家演習(xí)又有多國(guó)演習(xí),既有針對(duì)私營(yíng)企業(yè)或政府機(jī)構(gòu)的演習(xí)又有二者結(jié)合的演習(xí)�。全球共計(jì)84個(gè)國(guó)家參加多國(guó)網(wǎng)絡(luò)演習(xí)��,歐洲共有22個(gè)國(guó)家組織過(guò)全國(guó)性網(wǎng)絡(luò)演習(xí)�。
主要結(jié)論
歐洲網(wǎng)絡(luò)與信息安全局認(rèn)為此次調(diào)研評(píng)估較好地總結(jié)了國(guó)家及國(guó)際網(wǎng)絡(luò)演習(xí)的現(xiàn)狀,主要結(jié)論如下���。
(1)網(wǎng)絡(luò)演習(xí)次數(shù)逐年增多��。
網(wǎng)絡(luò)演習(xí)日漸普遍�����,2010年后演習(xí)數(shù)量更是激增���,這與政策支持和網(wǎng)絡(luò)攻擊威脅不斷增多不無(wú)關(guān)系。很多演習(xí)作為系列演習(xí)的一部分,每年都舉行�����,這種趨勢(shì)在未來(lái)數(shù)年仍將繼續(xù)�����。
(2)網(wǎng)絡(luò)危機(jī)合作不斷發(fā)展�����。
不僅網(wǎng)絡(luò)演習(xí)日漸普遍���,網(wǎng)絡(luò)危機(jī)合作方面的舉措也在不斷發(fā)展。網(wǎng)絡(luò)安全已成為歐洲國(guó)家的緊要事務(wù)�,受到越來(lái)越多的關(guān)注。
(3)多數(shù)歐洲國(guó)家參與了國(guó)家和多國(guó)網(wǎng)絡(luò)演習(xí)���。
多數(shù)歐盟和歐洲自由貿(mào)易區(qū)國(guó)家既組織過(guò)國(guó)家演習(xí)又參加過(guò)多國(guó)網(wǎng)絡(luò)演習(xí)�。這說(shuō)明參與國(guó)際演習(xí)對(duì)組織國(guó)家層面的網(wǎng)絡(luò)演習(xí)能夠起到補(bǔ)益作用����,國(guó)際網(wǎng)絡(luò)危機(jī)合作能夠在這些演習(xí)中得到發(fā)展。對(duì)于本身能力有限的國(guó)家(例如沒(méi)有能力組織國(guó)家演習(xí))��,參加國(guó)際演習(xí)能夠幫助他們達(dá)到歐盟制定的國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。網(wǎng)絡(luò)危機(jī)往往超越國(guó)境�����,這一事實(shí)也為大國(guó)幫助網(wǎng)絡(luò)安全應(yīng)急能力較弱的鄰邦提供了動(dòng)力��,凸顯了多國(guó)聯(lián)合組織跨國(guó)網(wǎng)絡(luò)演習(xí)的必要性���。ENISA通過(guò)組織網(wǎng)絡(luò)演習(xí)研討會(huì)和泛歐洲地區(qū)網(wǎng)絡(luò)演習(xí)的方式支持各國(guó)的網(wǎng)絡(luò)演習(xí)活動(dòng)�。
(4)政府機(jī)構(gòu)與私營(yíng)企業(yè)之間的交流合作至關(guān)重要���。
鑒于很多私營(yíng)企業(yè)是重要信息基礎(chǔ)設(shè)施的所有者�、管理者和使用者���,因此未來(lái)的網(wǎng)絡(luò)演習(xí)更需要加強(qiáng)政府機(jī)構(gòu)與私營(yíng)企業(yè)的合作�。
(5)必須更加重視演習(xí)管理工具����。
對(duì)演習(xí)管理工具的重要性認(rèn)識(shí)不足是所有網(wǎng)絡(luò)演習(xí)普遍存在的問(wèn)題。演習(xí)管理工具可以用來(lái)協(xié)助進(jìn)行演習(xí)準(zhǔn)備和評(píng)估����。
(6)促進(jìn)演習(xí)規(guī)劃��、監(jiān)控與評(píng)估方法的使用�。
演習(xí)規(guī)劃���、監(jiān)控和評(píng)估關(guān)系到演習(xí)是否能夠成功,演習(xí)規(guī)劃包括完善演習(xí)方案�、程序,修改演習(xí)策略等����,監(jiān)控和評(píng)估能夠進(jìn)一步幫助演習(xí)組織者建立反饋機(jī)制,總結(jié)經(jīng)驗(yàn)教訓(xùn)����。本次調(diào)研發(fā)現(xiàn)演習(xí)監(jiān)控、評(píng)估方法的使用有限����,在未來(lái)演習(xí)中應(yīng)該更多地使用這些方法。
建議
報(bào)告提出了一些能夠提高演習(xí)質(zhì)量�����、增加演習(xí)數(shù)量的建議,這些建議有助于增強(qiáng)重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施及服務(wù)對(duì)網(wǎng)絡(luò)安全事件的承受能力���。
(1)打造更為協(xié)調(diào)的網(wǎng)絡(luò)演習(xí)環(huán)境���。
隨著網(wǎng)絡(luò)演習(xí)范圍的不斷擴(kuò)大,網(wǎng)絡(luò)危機(jī)合作的不斷發(fā)展���,應(yīng)該努力打造一個(gè)更加協(xié)調(diào)的網(wǎng)絡(luò)演習(xí)環(huán)境����,讓全球網(wǎng)絡(luò)演習(xí)領(lǐng)域的利益方能夠充分交流與探討該領(lǐng)域的好做法�、挑戰(zhàn)及經(jīng)驗(yàn)教訓(xùn)。如何以取長(zhǎng)補(bǔ)短為目的�,協(xié)調(diào)網(wǎng)絡(luò)計(jì)劃,實(shí)現(xiàn)同步化是網(wǎng)絡(luò)演習(xí)界面臨的一個(gè)艱巨的挑戰(zhàn)�����。此外�,建議繼續(xù)組織網(wǎng)絡(luò)危機(jī)合作國(guó)際會(huì)議,為建立更加協(xié)調(diào)的網(wǎng)絡(luò)演習(xí)群體創(chuàng)造條件�����。
(2)建立公私合作,加強(qiáng)網(wǎng)絡(luò)演習(xí)經(jīng)驗(yàn)交流�。
公共機(jī)構(gòu)與私營(yíng)企業(yè)之間通過(guò)合作共同保護(hù)重要信息基礎(chǔ)設(shè)施非常重要,而組織聯(lián)合演習(xí)和分享好的做法和經(jīng)驗(yàn)則是實(shí)現(xiàn)合作不可或缺的手段���。經(jīng)驗(yàn)交流可以通過(guò)建立專門的數(shù)據(jù)庫(kù)���、觀摩演習(xí)、學(xué)習(xí)交流等方式實(shí)現(xiàn)����。
(3)繼續(xù)推進(jìn)演習(xí)管理工具的開發(fā)���。
在網(wǎng)絡(luò)演習(xí)中�,良好的方法和自動(dòng)化的工具能夠有效地提高演習(xí)設(shè)計(jì)���、實(shí)施及評(píng)估的效率��。包括模擬器和仿真機(jī)在內(nèi)的各種演習(xí)管理工具能夠在提高演習(xí)效率的同時(shí)使演習(xí)質(zhì)量更高�����,效果更好����。報(bào)告呼吁業(yè)界人士支持網(wǎng)絡(luò)演習(xí)管理工具的開發(fā)、應(yīng)用和共享�����。
(4)力求在部門間����、國(guó)際和歐洲層級(jí)舉行更復(fù)雜的網(wǎng)絡(luò)演習(xí)。
網(wǎng)絡(luò)事件/危機(jī)大多是跨界的���,包括跨國(guó)境����、跨部門等�,這種情況帶來(lái)的挑戰(zhàn)就是,如何組織能夠檢驗(yàn)跨界網(wǎng)絡(luò)事件各種復(fù)雜情況的網(wǎng)絡(luò)演習(xí)���,特別是在需要同時(shí)檢驗(yàn)不同層級(jí)應(yīng)急響應(yīng)能力的時(shí)候(包括戰(zhàn)役���、戰(zhàn)術(shù)和戰(zhàn)略演習(xí)層面)。報(bào)告建議業(yè)界人士與ENISA一起�����,共同為組織更為復(fù)雜的網(wǎng)絡(luò)演習(xí)而努力。
(5)將網(wǎng)絡(luò)演習(xí)納入網(wǎng)絡(luò)危機(jī)應(yīng)急方案�����。
各國(guó)應(yīng)制定��、維護(hù)并及時(shí)更新網(wǎng)絡(luò)危機(jī)應(yīng)急方案和標(biāo)準(zhǔn)合作程序�。響應(yīng)結(jié)構(gòu)的持續(xù)完善需要網(wǎng)絡(luò)演習(xí)的支撐。為了更好地備戰(zhàn)網(wǎng)絡(luò)危機(jī)�,建議歐盟成員國(guó)相關(guān)決策者將網(wǎng)絡(luò)演習(xí)納入網(wǎng)絡(luò)危機(jī)應(yīng)急方案和標(biāo)準(zhǔn)合作程序。ENISA曾過(guò)一份《國(guó)家網(wǎng)絡(luò)應(yīng)急方案實(shí)踐指南》���。
(6)及時(shí)更新網(wǎng)絡(luò)演習(xí)方法��。
2009年,ENISA頒布了《國(guó)家演習(xí)實(shí)踐指南》����,代表著網(wǎng)絡(luò)演習(xí)向著用更正規(guī)的方法進(jìn)行規(guī)劃和實(shí)施邁出了第一步。報(bào)告建議ENISA根據(jù)近幾年歐洲相關(guān)政策的變化�����、本次調(diào)研的研究成果以及有關(guān)論壇獲得的相關(guān)報(bào)告整合、改進(jìn)上述文件推薦的網(wǎng)絡(luò)演習(xí)方法�,利用相關(guān)工具設(shè)計(jì)出正規(guī)的網(wǎng)絡(luò)演習(xí)規(guī)劃及組織辦法。
第3篇
關(guān)鍵詞 計(jì)算機(jī)��;網(wǎng)絡(luò)風(fēng)險(xiǎn)�����;防范模式���;防范流程
中圖分類號(hào) F062.5 [KG*2]文獻(xiàn)標(biāo)識(shí)碼 A [KG*2]文章編號(hào) 1002-2104(2011)02-0096-04
在信息時(shí)代�,信息成為第一戰(zhàn)略資源�,更是起著至關(guān)重要的作用。因此���,信息資產(chǎn)的安全是關(guān)系到該機(jī)構(gòu)能否完成其使命的大事����。資產(chǎn)與風(fēng)險(xiǎn)是天生的一對(duì)矛盾�����,資產(chǎn)價(jià)值越高��,面臨的風(fēng)險(xiǎn)就越大。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性����,面臨著新型風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范的目的就是要緩解和平衡這一對(duì)矛盾�����,將風(fēng)險(xiǎn)防范到可接受的程度�,保護(hù)信息及其相關(guān)資產(chǎn),最終保證機(jī)構(gòu)能夠完成其使命�。風(fēng)險(xiǎn)防范做不好,系統(tǒng)中所存在的安全風(fēng)險(xiǎn)不僅僅影響系統(tǒng)的正常運(yùn)行�����,且可能危害到政府部門自身和社會(huì)公眾�����,嚴(yán)重時(shí)還將威脅國(guó)家的安全���。論文提出了在選擇風(fēng)險(xiǎn)防范策略時(shí)如何尋找合適的風(fēng)險(xiǎn)防范實(shí)施點(diǎn)并按照實(shí)施風(fēng)險(xiǎn)防范的具體過(guò)程來(lái)進(jìn)行新技術(shù)下的風(fēng)險(xiǎn)防范,從而幫助完成有效的風(fēng)險(xiǎn)管理過(guò)程���,保護(hù)組織以及組織完成其任務(wù)�����。
1 計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理
計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理包括三個(gè)過(guò)程:計(jì)算機(jī)網(wǎng)絡(luò)屬性特征分析��、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)防范��。計(jì)算機(jī)網(wǎng)絡(luò)屬性特征分析包括風(fēng)險(xiǎn)管理準(zhǔn)備�、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個(gè)階段���。在計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范過(guò)程中��,計(jì)算機(jī)網(wǎng)絡(luò)屬性的確立過(guò)程是一次計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范主循環(huán)的起始�����,為風(fēng)險(xiǎn)評(píng)估提供輸入���。風(fēng)險(xiǎn)評(píng)估過(guò)程,包括對(duì)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)影響的識(shí)別和評(píng)價(jià)��,以及降低風(fēng)險(xiǎn)措施的建議。風(fēng)險(xiǎn)防范是風(fēng)險(xiǎn)管理的第三個(gè)過(guò)程��,它包括對(duì)在風(fēng)險(xiǎn)評(píng)估過(guò)程中建議的安全控制進(jìn)行優(yōu)先級(jí)排序��、評(píng)價(jià)和實(shí)現(xiàn)���,這些控制可以用來(lái)減輕風(fēng)險(xiǎn)��。
2 網(wǎng)絡(luò)風(fēng)險(xiǎn)模式研究
2.1 風(fēng)險(xiǎn)防范體系
計(jì)算機(jī)風(fēng)險(xiǎn)防范模式包括選擇風(fēng)險(xiǎn)防范措施(風(fēng)險(xiǎn)假設(shè)���、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)限制�、風(fēng)險(xiǎn)計(jì)劃、研究和了解����、風(fēng)險(xiǎn)轉(zhuǎn)移)、選擇風(fēng)險(xiǎn)防范策略(包括尋找風(fēng)險(xiǎn)防范實(shí)施點(diǎn)和防范控制類別的選擇)����、實(shí)施風(fēng)險(xiǎn)防范3個(gè)過(guò)程。在實(shí)施風(fēng)險(xiǎn)防范的過(guò)程中包括對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序����、評(píng)價(jià)建議的安全控制類別、成本-收益分析�����、選擇風(fēng)險(xiǎn)防范控制�、分配責(zé)任、制定安全措施實(shí)現(xiàn)計(jì)劃�、實(shí)現(xiàn)被選擇的安全控制,最后還要進(jìn)行殘余風(fēng)險(xiǎn)分析����。
2.2 風(fēng)險(xiǎn)防范措施
風(fēng)險(xiǎn)防范是一種系統(tǒng)方法,高級(jí)管理人員可用它來(lái)降低使命風(fēng)險(xiǎn)�。風(fēng)險(xiǎn)防范可以通過(guò)下列措施實(shí)現(xiàn):
(1)風(fēng)險(xiǎn)假設(shè):接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行IT系統(tǒng),或?qū)崿F(xiàn)安全控制以把風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別����。
(2)風(fēng)險(xiǎn)規(guī)避:通過(guò)消除風(fēng)險(xiǎn)的原因或后果(如當(dāng)識(shí)別出風(fēng)險(xiǎn)時(shí)放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng))來(lái)規(guī)避風(fēng)險(xiǎn)。
(3)風(fēng)險(xiǎn)限制:通過(guò)實(shí)現(xiàn)安全控制來(lái)限制風(fēng)險(xiǎn)���,這些安全控制可將由于系統(tǒng)弱點(diǎn)被威脅破壞而帶來(lái)的不利影響最小化(如使用支持���、預(yù)防、檢測(cè)類的安全控制)�����。
(4)風(fēng)險(xiǎn)計(jì)劃:制定一套風(fēng)險(xiǎn)減緩計(jì)劃來(lái)管理風(fēng)險(xiǎn),在該計(jì)劃中對(duì)安全控制進(jìn)行優(yōu)先排序�����、實(shí)現(xiàn)和維護(hù)�����。
(5)研究和了解:通過(guò)了解系統(tǒng)弱點(diǎn)和缺陷��,并研究相應(yīng)的安全控制修正這些弱點(diǎn)�����,來(lái)降低風(fēng)險(xiǎn)損失�。
(6)風(fēng)險(xiǎn)轉(zhuǎn)移:通過(guò)使用其他措施補(bǔ)償損失,從而轉(zhuǎn)移風(fēng)險(xiǎn)�����,如購(gòu)買保險(xiǎn)��。
在選擇風(fēng)險(xiǎn)防范措施中應(yīng)該考慮機(jī)構(gòu)的目標(biāo)和使命���。要解決所有風(fēng)險(xiǎn)可能是不實(shí)際的����,所以應(yīng)該對(duì)那些可能給使命帶來(lái)嚴(yán)重危害影響的威脅/弱點(diǎn)進(jìn)行優(yōu)先排序�����。同時(shí)����,在保護(hù)機(jī)構(gòu)使命及其IT系統(tǒng)時(shí),由于每一機(jī)構(gòu)有其特定的環(huán)境和目標(biāo)�,因此用來(lái)減緩風(fēng)險(xiǎn)的措施和實(shí)現(xiàn)安全控制的方法也各不相同。最好的方法是從不同的廠商安全產(chǎn)品中選擇最合適的技術(shù)���,再伴以適當(dāng)?shù)娘L(fēng)險(xiǎn)防范措施和非技術(shù)類的管理措施���。
2.3 風(fēng)險(xiǎn)防范策略
高級(jí)管理人員和使命所有者在了解了潛在風(fēng)險(xiǎn)和安全控制建議書后,可能會(huì)問(wèn):什么時(shí)候��、在什么情況下我們?cè)摬扇⌒袆?dòng)����?什么時(shí)候該實(shí)現(xiàn)這些安全控制來(lái)進(jìn)行風(fēng)險(xiǎn)防范���,從而保護(hù)我們的機(jī)構(gòu)?
如圖1所示的風(fēng)險(xiǎn)防范實(shí)施點(diǎn)回答了這個(gè)問(wèn)題��。在圖1中�,標(biāo)有“是”的地方是應(yīng)該實(shí)現(xiàn)風(fēng)險(xiǎn)防范的合適點(diǎn)。
總結(jié)風(fēng)險(xiǎn)防范實(shí)踐����,以下經(jīng)驗(yàn)可以對(duì)如何采取行動(dòng)來(lái)防范由于故意的人為威脅所帶來(lái)的風(fēng)險(xiǎn)提供指導(dǎo):
楊濤等:計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范模式研究中國(guó)人口•資源與環(huán)境 2011年 第2期(1)當(dāng)存在系統(tǒng)漏洞時(shí),實(shí)現(xiàn)保證技術(shù)來(lái)降低弱點(diǎn)被攻擊的可能性��;
(2) 當(dāng)系統(tǒng)漏洞被惡意攻擊時(shí)����,運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制將風(fēng)險(xiǎn)最小化或防止這種情形的發(fā)生��;
(3) 當(dāng)攻擊者的成本比攻擊得到更多收益時(shí)��,運(yùn)用保護(hù)措施���,通過(guò)提高攻擊者成本來(lái)降低攻擊者的攻擊動(dòng)機(jī)(如使用系統(tǒng)控制�����,限制系統(tǒng)用戶可以訪問(wèn)或做些什么��,這些措施能夠大大降低攻擊所得)����;
(4) 當(dāng)損失巨大時(shí),運(yùn)用設(shè)計(jì)原則���、結(jié)構(gòu)化設(shè)計(jì)以及技術(shù)或非技術(shù)類保護(hù)措施來(lái)限制攻擊的程度,從而降低可能的損失�����。
上面所述的風(fēng)險(xiǎn)防范策略中除第三條外�����,也都可運(yùn)用來(lái)防范由于環(huán)境威脅或無(wú)意的人員威脅所帶來(lái)的風(fēng)險(xiǎn)���。
2.4 風(fēng)險(xiǎn)防范模式的實(shí)施
在實(shí)施風(fēng)險(xiǎn)防范措施時(shí)�����,要遵循以下規(guī)則:找出最大的風(fēng)險(xiǎn)�,然后爭(zhēng)取以最小的代價(jià)充分減緩風(fēng)險(xiǎn),同時(shí)要使對(duì)其他使命能力的影響最小���。實(shí)施措施通過(guò)以下七個(gè)步驟來(lái)完成���,見(jiàn)圖2。
2.4.1 對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序
基于在風(fēng)險(xiǎn)評(píng)估報(bào)告中提出的風(fēng)險(xiǎn)級(jí)別��,對(duì)行動(dòng)進(jìn)行優(yōu)先級(jí)排序�����。在分配資源時(shí)��,那些標(biāo)有不可接受的高風(fēng)險(xiǎn)等級(jí)(如被定義為非常高或高風(fēng)險(xiǎn)級(jí)別的風(fēng)險(xiǎn))的風(fēng)險(xiǎn)項(xiàng)目應(yīng)該最優(yōu)先���。這些弱點(diǎn)/威脅需要采取立即糾正行動(dòng)以保護(hù)機(jī)構(gòu)的利益和使命���。步驟一輸出―從高到低優(yōu)先級(jí)的行動(dòng)。
2.4.2 評(píng)價(jià)建議的安全控制
風(fēng)險(xiǎn)評(píng)估過(guò)程中建議的安全措施對(duì)于具體的機(jī)構(gòu)和IT系統(tǒng)可能不是最適合和可行的�����。在這一步中����,要對(duì)建議
圖1 網(wǎng)絡(luò)風(fēng)險(xiǎn)防范實(shí)施點(diǎn)
Fig.1 Network implementation point of risk prevention
圖2 實(shí)施風(fēng)險(xiǎn)防范措施流程及其輸入輸出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性��、用戶接受程度)和有效性(如保護(hù)程度和風(fēng)險(xiǎn)防范級(jí)別)進(jìn)行分析���。目的是選擇最適當(dāng)?shù)陌踩刂拼胧┮宰钚』L(fēng)險(xiǎn)。步驟二輸出―可行安全控制清單����。
2.4.3 實(shí)施成本-收益分析
為了幫助管理層做出決策并找出性價(jià)比好的安全控制,要實(shí)施成本―收益分析�����。第三步輸出―成本-收益分析���,其中描述了實(shí)現(xiàn)或者不實(shí)現(xiàn)安全控制所帶來(lái)的成本和收益 。
2.4.4 選擇安全控制
在成本-收益分析的基礎(chǔ)上����,管理人員確定性價(jià)比最好的安全控制來(lái)降低機(jī)構(gòu)使命的風(fēng)險(xiǎn)。所選擇的安全控制應(yīng)該結(jié)合技術(shù)���、操作和管理類的控制元素以確保IT系統(tǒng)和機(jī)構(gòu)適度的安全��。步驟四輸出―選擇好的安全控制���。
2.4.5 責(zé)任分配
遴選出那些有合適專長(zhǎng)和技能來(lái)實(shí)現(xiàn)所選安全控制的人員(內(nèi)務(wù)人員或外部簽約人員)��,并分配以相應(yīng)責(zé)任�。步驟五輸出―責(zé)任人清單��。
2.4.6 制定一套安全措施實(shí)現(xiàn)計(jì)劃
在這一步�,將制定一套安全措施實(shí)現(xiàn)計(jì)劃(或行動(dòng)計(jì)劃)。這套計(jì)劃應(yīng)該至少包括下列信息:
(1)風(fēng)險(xiǎn)(弱點(diǎn)/威脅)和相關(guān)的風(fēng)險(xiǎn)級(jí)別(風(fēng)險(xiǎn)評(píng)估報(bào)告輸出)����。
(2)建議的安全控制(風(fēng)險(xiǎn)評(píng)估報(bào)告輸出)。
(3)優(yōu)先排序過(guò)的行動(dòng)(標(biāo)有給那些有非常高和高風(fēng)險(xiǎn)級(jí)別的項(xiàng)目分配的優(yōu)先級(jí))�����。
(4)被選擇的計(jì)劃好的安全控制(基于可行性�����、有效性�、機(jī)構(gòu)的收益和成本來(lái)決定)。
(5)實(shí)現(xiàn)那些被選擇的計(jì)劃好的安全控制所需要的資源。
(6)負(fù)責(zé)小組和人員清單�。
(7)開始實(shí)現(xiàn)日期。
(8)實(shí)現(xiàn)完成的預(yù)計(jì)日期�����。
(9)維護(hù)要求�����。
2.4.7 實(shí)現(xiàn)被選擇的安全控制
根據(jù)各自的情況����,實(shí)現(xiàn)的安全控制可以降低風(fēng)險(xiǎn)級(jí)別但不會(huì)根除風(fēng)險(xiǎn)。步驟七輸出―殘余風(fēng)險(xiǎn)清單����。
3 網(wǎng)絡(luò)風(fēng)險(xiǎn)防范案例
以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例,首先要對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)進(jìn)行屬性分析���,風(fēng)險(xiǎn)評(píng)估,然后根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告和承受能力來(lái)決定風(fēng)險(xiǎn)防范具體措施����。
3.1 風(fēng)險(xiǎn)評(píng)估
該計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全級(jí)別要求高,根據(jù)手工和自動(dòng)化網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估,結(jié)果如下所示:
數(shù)據(jù)庫(kù)系統(tǒng)安全狀況為中風(fēng)險(xiǎn)等級(jí)�。在檢查的33個(gè)項(xiàng)目中,共有9個(gè)項(xiàng)目存在安全漏洞��。其中:3 個(gè)項(xiàng)目為高風(fēng)險(xiǎn)等級(jí)�����,占總檢查項(xiàng)目的 9%��;1 個(gè)項(xiàng)目為中風(fēng)險(xiǎn)等級(jí)����,占總檢查項(xiàng)目的 3%;5 個(gè)項(xiàng)目為低風(fēng)險(xiǎn)等級(jí)��,占總檢查項(xiàng)目的 15%����。
3.2 風(fēng)險(xiǎn)防范具體措施
選擇風(fēng)險(xiǎn)防范措施中的研究和了解同時(shí)進(jìn)行風(fēng)險(xiǎn)限制。確定風(fēng)險(xiǎn)防范實(shí)施點(diǎn)�,該數(shù)據(jù)庫(kù)的設(shè)計(jì)存在漏洞并且該漏洞可能被利用,所以應(yīng)該實(shí)施風(fēng)險(xiǎn)防范�����。實(shí)施步驟如下:
步驟一:對(duì)以上掃描結(jié)果中的9個(gè)漏洞進(jìn)行優(yōu)先級(jí)排序,確立每個(gè)項(xiàng)目的風(fēng)險(xiǎn)級(jí)別�。
步驟二:評(píng)價(jià)建議的安全控制。在該網(wǎng)站主站數(shù)據(jù)庫(kù)被建立后針對(duì)評(píng)估報(bào)告中的安全控制建議進(jìn)行分析���,得出要采取的防范策略��。
步驟三:對(duì)步驟二中得出相應(yīng)的若干種防范策略進(jìn)行成本收益分析���,最后得出每種防范策略的成本和收益。
步驟四:選擇安全控制��。對(duì)上述掃描的9個(gè)漏洞分別選擇相應(yīng)的防范策略��。
步驟五:責(zé)任分配����,輸出負(fù)責(zé)人清單。
步驟六:制定完整的漏洞修復(fù)計(jì)劃�����。
步驟七:實(shí)施選擇好的防范策略����,按表1對(duì)這9個(gè)漏洞進(jìn)行一一修復(fù)。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名稱
Vulnerability
Name級(jí)別
level風(fēng)險(xiǎn)防范策略
Risk prevention
strategiesAXTSGL1006Guest用戶檢測(cè)高預(yù)防性技術(shù)控制AXTSGL1008登錄模式高預(yù)防性技術(shù)控制AXTSGL3002審計(jì)級(jí)別設(shè)置高監(jiān)測(cè)和恢復(fù)技術(shù)控制AXTSGL3011注冊(cè)表存儲(chǔ)過(guò)程權(quán)限中支持和預(yù)防性技術(shù)控制AXTSGL2001允許遠(yuǎn)程訪問(wèn)低預(yù)防性技術(shù)控制AXTSGL2012系統(tǒng)表訪問(wèn)權(quán)限設(shè)置低預(yù)防性技術(shù)控制AXTSGL3003安全事件審計(jì)低監(jiān)測(cè)恢復(fù)技術(shù)控制AXTSGL3004黑盒跟蹤低恢復(fù)管理安全控制AXTSGL3006C2 審計(jì)模式低監(jiān)測(cè)和恢復(fù)技術(shù)控制
4 總 結(jié)
在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理分析的基礎(chǔ)上���,提出了新技術(shù)下的風(fēng)險(xiǎn)防范模式和體系結(jié)構(gòu)����,同時(shí)將該防范模式成功應(yīng)用到某市官方網(wǎng)站的主站數(shù)據(jù)庫(kù)中���。應(yīng)用過(guò)程中選擇了恰當(dāng)?shù)姆婪洞胧?��,根?jù)新技術(shù)下風(fēng)險(xiǎn)防范實(shí)施點(diǎn)的選擇流程確立了該數(shù)據(jù)庫(kù)的防范實(shí)施點(diǎn)并嚴(yán)格按照風(fēng)險(xiǎn)防范實(shí)施步驟進(jìn)行風(fēng)險(xiǎn)防范的執(zhí)行,成功地使風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別���,使得對(duì)機(jī)構(gòu)的資源和使命造成的負(fù)面影響最小化���。
雖然該防范模式在一定程度上降低了風(fēng)險(xiǎn)的級(jí)別,但是由于風(fēng)險(xiǎn)類型的不可預(yù)見(jiàn)性和防范策略的局限性����,該模式未必使機(jī)構(gòu)或系統(tǒng)的風(fēng)險(xiǎn)降到最低,因此風(fēng)險(xiǎn)防范有待于進(jìn)一步改進(jìn)和完善��,這將是一個(gè)長(zhǎng)期的任務(wù)�。
參考文獻(xiàn)(References)
[1]蔡昱����,張玉清.風(fēng)險(xiǎn)評(píng)估在電子政務(wù)系統(tǒng)中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用�����,2004�,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]張平,蔣凡.一種改進(jìn)的網(wǎng)絡(luò)安全掃描工具[J].計(jì)算機(jī)工程����,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯?jié)h.網(wǎng)絡(luò)安全檢測(cè)的理論和實(shí)踐[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何軍.一種基于主機(jī)分布式安全掃描的計(jì)算機(jī)免疫系統(tǒng)模型[J].計(jì)算機(jī)應(yīng),2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
Research on Risk Precention Model of Computer Network
YANG Tao1 LI Shuren1 DANG Depeng2
( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;
2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)
第4篇
【關(guān)鍵詞】 網(wǎng)絡(luò)安全 綜合評(píng)價(jià) 方法 應(yīng)用
一����、常見(jiàn)網(wǎng)絡(luò)安全綜合評(píng)價(jià)方法
1.1層次分析法(AHP)
1)構(gòu)造層次分析結(jié)構(gòu):一般按目標(biāo)層、準(zhǔn)則層�、方案層建立三層次的結(jié)構(gòu)。
2)構(gòu)造判斷矩陣:判斷矩陣的每個(gè)元素是某一層兩個(gè)元素的相對(duì)重要性程度值��,一般采用 1-9 及其倒數(shù)的標(biāo)度法����。
3)層次單排序及一致性驗(yàn)證:計(jì)算出某層次因素相對(duì)于上一層次某一因素的相對(duì)重要性。這一步驟還需要檢驗(yàn)構(gòu)造的判斷矩陣的合理性���,一般采用判斷矩陣最大特征根以外的其余特征根的負(fù)平均值�����,作為度量判斷矩陣的偏離一致性的指標(biāo)��。
4)層次總排序及一致性驗(yàn)證:依次沿層次結(jié)構(gòu)由下而上逐層計(jì)算�����,即可計(jì)算出結(jié)構(gòu)圖中最底層各因素相對(duì)于總目標(biāo)的相對(duì)重要性的排序值����。
5)決策:根據(jù)分析計(jì)算結(jié)果進(jìn)行決策�。
在網(wǎng)絡(luò)安全的研究中,一般不直接采用層次分析法去評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的安全性�����,而是組合其他綜合評(píng)價(jià)法使用��,層次分析法一般用來(lái)確定指標(biāo)的權(quán)重�。
1.2灰色綜合評(píng)價(jià)法
灰色綜合評(píng)價(jià)是指基于灰色系統(tǒng)理論,對(duì)系統(tǒng)或所屬因子����,在某一時(shí)段所處的狀態(tài)����,做出一種半定性與半定量的評(píng)價(jià)與描述�����,以便對(duì)系統(tǒng)的綜合效果和整體水平�����,形成一個(gè)可供比較的概念與類別�。
1.3人工神經(jīng)網(wǎng)絡(luò)評(píng)價(jià)法
人工神經(jīng)網(wǎng)絡(luò)(ANN)是由大量與自然神經(jīng)細(xì)胞類似的人工神經(jīng)元互聯(lián)而組成的網(wǎng)絡(luò),它是在對(duì)人腦組織結(jié)構(gòu)和運(yùn)行機(jī)制的認(rèn)識(shí)理解基礎(chǔ)之上模擬其結(jié)構(gòu)和職能行為的一種工程系統(tǒng)�����?��;谌斯ど窠?jīng)網(wǎng)絡(luò)的多指標(biāo)綜合評(píng)價(jià)方法通過(guò)神經(jīng)網(wǎng)絡(luò)的自學(xué)習(xí)����、自適應(yīng)能力和強(qiáng)容錯(cuò)性,建立更加接近人類思維模式的定性和定量的綜合評(píng)價(jià)模型���。神經(jīng)網(wǎng)絡(luò)綜合評(píng)價(jià)方法具有很強(qiáng)的處理非線性關(guān)系數(shù)據(jù)的能力����,其權(quán)值是通過(guò)實(shí)例學(xué)習(xí)而得�,避免了主觀性和不確定性�����,因而具有很大的優(yōu)越性�����。
1.3模糊綜合評(píng)價(jià)法
模糊綜合評(píng)價(jià)是以模糊數(shù)學(xué)為基礎(chǔ)��,應(yīng)用模糊關(guān)系合成的原理���,將一些邊界不清��、不易量化的因素定量化��,從多個(gè)因素對(duì)被評(píng)價(jià)事物隸屬等級(jí)狀況進(jìn)行綜合評(píng)價(jià)的一種方法���。模糊綜合評(píng)價(jià)方法能有效地解決在網(wǎng)絡(luò)安全評(píng)估中大量的定性指標(biāo)量化的問(wèn)題�,是處理帶有主觀評(píng)價(jià)的安全性評(píng)估最好的方法之一�����,因此本文采用模糊綜合評(píng)價(jià)方法來(lái)建立網(wǎng)絡(luò)安全綜合評(píng)價(jià)模型��,該方法將在第五章中詳細(xì)介紹�����。
二��、計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行存在的風(fēng)險(xiǎn)
2.1操作風(fēng)險(xiǎn)
企業(yè)經(jīng)營(yíng)業(yè)務(wù)在不斷拓展�,計(jì)算機(jī)網(wǎng)絡(luò)操作的次數(shù)更加頻繁,這些都需要內(nèi)部職員經(jīng)過(guò)相關(guān)的操作完成�����。由于專業(yè)技能及理論知識(shí)不足����,內(nèi)部人員在操作網(wǎng)絡(luò)執(zhí)行命令時(shí)發(fā)生錯(cuò)誤,造成數(shù)據(jù)傳輸失敗或文件丟失�����,引發(fā)了一系列的操作問(wèn)題。此外��,軟硬件設(shè)備的連接處理���,未按照計(jì)算機(jī)聯(lián)網(wǎng)標(biāo)準(zhǔn)的要求操作�����,也會(huì)帶來(lái)許多潛在的操作風(fēng)險(xiǎn)。
2.2數(shù)據(jù)風(fēng)險(xiǎn)
數(shù)據(jù)庫(kù)是網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的核心區(qū)域����,同時(shí)也是企業(yè)用戶日常操作的主要對(duì)象,其面臨的風(fēng)險(xiǎn)隱患最大����。如:數(shù)據(jù)庫(kù)訪問(wèn)風(fēng)險(xiǎn),打開數(shù)據(jù)庫(kù)未經(jīng)過(guò)有效身份的驗(yàn)證���,權(quán)限設(shè)置不嚴(yán)易造成數(shù)據(jù)信息被竊??����;數(shù)據(jù)庫(kù)調(diào)用風(fēng)險(xiǎn),由于管理工作的疏忽�����,數(shù)據(jù)庫(kù)資源可隨意性調(diào)配利用��。數(shù)據(jù)風(fēng)險(xiǎn)對(duì)用戶數(shù)據(jù)調(diào)配是極為不利的�,風(fēng)險(xiǎn)發(fā)生造成了較大的經(jīng)濟(jì)損失。
2.3病毒風(fēng)險(xiǎn)
病毒是破壞網(wǎng)絡(luò)安全的常見(jiàn)因素����,病毒的傳播性、破壞性�����、擴(kuò)散性等特點(diǎn)往往會(huì)波及其它計(jì)算機(jī)����。計(jì)算機(jī)網(wǎng)絡(luò)被病毒感染,本臺(tái)計(jì)算機(jī)系統(tǒng)遭到破壞����,用戶在網(wǎng)絡(luò)上執(zhí)行的有關(guān)操作將無(wú)法完成命令�����。
2.4設(shè)備風(fēng)險(xiǎn)
硬件設(shè)備是計(jì)算機(jī)網(wǎng)絡(luò)的重要組成之一���,許多網(wǎng)絡(luò)操作功能均是通過(guò)硬件設(shè)備調(diào)控才能實(shí)現(xiàn)。設(shè)備風(fēng)險(xiǎn)的來(lái)源是由于計(jì)算機(jī)設(shè)備連接不當(dāng)���,模擬調(diào)試階段未對(duì)設(shè)備潛在的問(wèn)題及時(shí)處理���。以主機(jī)連接為例,技術(shù)人員安裝設(shè)備未能對(duì)數(shù)據(jù)接口詳細(xì)檢查�,主機(jī)與其它輔助設(shè)備的連接安裝不科學(xué),用戶操作計(jì)算機(jī)后容易出現(xiàn)數(shù)據(jù)傳輸問(wèn)題���,情況嚴(yán)重時(shí)引發(fā)設(shè)備故障。
三���、防范安全風(fēng)險(xiǎn)發(fā)生的有效措施
3.1分段技術(shù)
分段技術(shù)的根本在于從源頭開始對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行控制��,當(dāng)前局域網(wǎng)的傳輸方式主要是利用交換機(jī)作為中心��、路由器作為邊界��,而中心交換機(jī)具備優(yōu)越的訪問(wèn)控制功能及三層交換功能�����。這就為分段技術(shù)的運(yùn)用提供了有利的條件����,如:通過(guò)物理分段、邏輯分段對(duì)局域網(wǎng)進(jìn)行安全控制��。
3.2加密技術(shù)
數(shù)據(jù)加密是防范網(wǎng)絡(luò)信息風(fēng)險(xiǎn)最直接最有效的一種方式����,如下圖所示。該技術(shù)主要是引導(dǎo)用戶對(duì)傳輸過(guò)程中的數(shù)據(jù)設(shè)置有效的密碼��。
數(shù)據(jù)加密包括了線路加密�、端與端加密等,兩種方式都有著自己的特點(diǎn)����。線路加密主要對(duì)保密信息使用相應(yīng)的加密密鑰進(jìn)行安全保護(hù)。
3.3防火墻技術(shù)
對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安裝防火墻最大的作用在于能夠避免遭到黑客入侵����。防火墻技術(shù)的預(yù)防原理為結(jié)合防火墻的功能對(duì)網(wǎng)絡(luò)通訊實(shí)施相應(yīng)的訪問(wèn)控制規(guī)定����,只能同意用戶允許的人和數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)中���,對(duì)于未經(jīng)允許的用戶和數(shù)據(jù)則會(huì)自動(dòng)屏蔽����。
3.4抗病毒技術(shù)
網(wǎng)絡(luò)病毒不僅危害大�����,而且傳播速度極快����,能以很短的時(shí)間散布于各個(gè)計(jì)算機(jī)網(wǎng)絡(luò)。增加抗病毒技術(shù)的運(yùn)用能夠?qū)W(wǎng)絡(luò)病毒起到良好的抵制作用����?���?共《炯夹g(shù)主要是通過(guò)安裝不同的殺毒軟件實(shí)現(xiàn),如:卡巴斯基�、360等�,維護(hù)計(jì)算機(jī)處于正常狀態(tài)��。
四����、結(jié)束語(yǔ)
考慮到企業(yè)辦公自動(dòng)化模式的普及應(yīng)用,加強(qiáng)網(wǎng)絡(luò)安全管理工作已成為不容忽視的管理內(nèi)容�。企業(yè)在制定基于計(jì)算機(jī)運(yùn)營(yíng)平臺(tái)的過(guò)程中,應(yīng)深入分析網(wǎng)絡(luò)潛在的風(fēng)險(xiǎn)隱患���,編制科學(xué)的安全綜合評(píng)價(jià)方案�,更好地運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)企業(yè)����。
參 考 文 獻(xiàn)
第5篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;病毒防范���;防火墻
0 引言
如何保證合法網(wǎng)絡(luò)用戶對(duì)資源的合法訪問(wèn)以及如何防止網(wǎng)絡(luò)黑客的攻擊����,已經(jīng)成為網(wǎng)絡(luò)安全的主要內(nèi)容�����。
1 網(wǎng)絡(luò)安全威脅
1.1 網(wǎng)絡(luò)中物理的安全威脅 例如空氣溫度、濕度�����、塵土等環(huán)境故障����、以及設(shè)備故障、電源故障����、電磁干擾、線路截獲等�����。
1.2 網(wǎng)絡(luò)中信息的安全威脅 ①蠕蟲和病毒�����。計(jì)算機(jī)蠕蟲和病毒是最常見(jiàn)的一類安全威脅����。蠕蟲和病毒會(huì)嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性�。隨著病毒變得更智能����、更具破壞性����,其傳播速度也更快,甚至能在片刻間使信息處理處于癱瘓狀態(tài)����,而要清除被感染計(jì)算機(jī)中的病毒所要耗費(fèi)的時(shí)一間也更長(zhǎng)。②黑客攻擊�。“黑客”一詞由英語(yǔ)Hacker英譯而來(lái)�����,原意是指專門研究���、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛(ài)好者?�,F(xiàn)如今主要用來(lái)描述那些掌握高超的網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人�����。黑客攻擊主要包括系統(tǒng)入侵��、網(wǎng)絡(luò)監(jiān)聽(tīng)��、密文破解和拒絕服務(wù)(DtS)攻擊等����。
2 網(wǎng)絡(luò)安全技術(shù)
為了消除上述安全威脅,企業(yè)�����、部門或個(gè)人需要建立一系列的防御體系�。目前主要有以下幾種安全技術(shù):
2.1 密碼技術(shù) 在信息傳輸過(guò)程中,發(fā)送方先用加密密鑰��,通過(guò)加密設(shè)備或算法��,將信息加密后發(fā)送出去����,接收方在收到密文后,用解密密鑰將密文解密�����,恢復(fù)為明文。如果傳輸中有人竊取�����,也只能得到無(wú)法理解的密文�����,從而對(duì)信息起到保密作用���。
2.2 身份認(rèn)證技術(shù) 通過(guò)建立身份認(rèn)證系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)用戶的集中統(tǒng)一授權(quán),防止未經(jīng)授權(quán)的非法用戶使用網(wǎng)絡(luò)資源��。在網(wǎng)絡(luò)環(huán)境中��,信息傳至接收方后���,接收方首先要確認(rèn)信息發(fā)送方的合法身份����,然后才能與之建立一條通信鏈路�����。身份認(rèn)證技術(shù)主要包括數(shù)字簽名、身份驗(yàn)證和數(shù)字證明���。
2.3 病毒防范技術(shù) 計(jì)算機(jī)病毒實(shí)際上是一種惡意程序�����,防病毒技術(shù)就是識(shí)別出這種程序并消除其影響的一種技術(shù)����。從防病毒產(chǎn)品對(duì)計(jì)算機(jī)病毒的作用來(lái)講�,防病毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)、病毒檢測(cè)技術(shù)和病毒清除技術(shù)�����。
①病毒預(yù)防技術(shù)��。計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類處理��,而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒�����。病毒預(yù)防技術(shù)包括磁盤引導(dǎo)區(qū)保護(hù)�����、加密可執(zhí)行程序、讀寫控制技術(shù)和系統(tǒng)監(jiān)控技術(shù)等��。②病毒檢測(cè)技術(shù)���。它有兩種:一種是根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容����、病毒特征及傳染方式、文件長(zhǎng)度的變化�����,在特征分類的基礎(chǔ)上建立的病毒檢測(cè)技術(shù)��;另一種是不針對(duì)具體病毒程序的自身校驗(yàn)技術(shù)�,即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果,以后定期或不定期地以保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)�����,若出現(xiàn)差異�,即表示該文件或數(shù)據(jù)段完整性己遭到破壞�,感染上了病毒���,從而檢測(cè)到病毒的存在����。③病毒清除技術(shù)�。計(jì)算機(jī)病毒的清除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果,是計(jì)算機(jī)病毒傳染程序的一個(gè)逆過(guò)程��。目前�,清除病毒大都是在某種病毒出現(xiàn)后,通過(guò)對(duì)其進(jìn)行分析研究而研制出來(lái)的具有相應(yīng)解毒功能的軟件���。這類軟件技術(shù)發(fā)展往往是被動(dòng)的��,帶有滯后性���。而且由于計(jì)算機(jī)軟件所要求的精確性,殺毒軟件有其局限性����,對(duì)有些變種病毒的清除無(wú)能為力。
2.4 入侵檢測(cè)技術(shù) 入侵檢測(cè)技術(shù)是一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?���,F(xiàn)象的技術(shù)����,也是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)����。
入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。
①特征檢測(cè)的假設(shè)是入侵者活動(dòng)可以用一種模式來(lái)表示��,系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式����。它可以將己有的入侵方法檢查出來(lái)����,但對(duì)新的入侵方法無(wú)能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)����。②異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?����;顒?dòng)的“活動(dòng)簡(jiǎn)檔”,將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較��,當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)���,認(rèn)為該活動(dòng)可能是“入侵”行為��。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法���,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
2.5 漏洞掃描技術(shù) 漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)���、文件等進(jìn)行檢查����,發(fā)現(xiàn)其中可被黑客所利用的漏洞����。漏洞檢測(cè)技術(shù)就是通過(guò)對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查,查找系統(tǒng)安全漏洞的一種技術(shù)�����。它能夠預(yù)先評(píng)估和分析系統(tǒng)中存在的各種安全隱患��,換言之,漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)��、文件等進(jìn)行檢查����,發(fā)現(xiàn)其中可被黑客所利用的漏洞。隨著黑客人侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷���,預(yù)先評(píng)估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問(wèn)題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求�����。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的評(píng)估報(bào)告��,它指出了哪些攻擊是可能的,因此成為網(wǎng)絡(luò)安全解決方案中的一個(gè)重要組成部分�。
漏洞掃描技術(shù)主要分為被動(dòng)式和主動(dòng)式兩種:
第6篇
傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全防范主要都是對(duì)網(wǎng)絡(luò)病毒、系統(tǒng)漏洞����、入侵檢測(cè)等方面加以設(shè)置,安全措施和相關(guān)配置通常都在網(wǎng)絡(luò)與外部進(jìn)行連接的端口處加以實(shí)施�,采取這樣的網(wǎng)絡(luò)安全防范雖然能夠降低外部網(wǎng)絡(luò)帶來(lái)的安全威脅,但卻忽視了企業(yè)內(nèi)部網(wǎng)絡(luò)潛在的安全問(wèn)題����。
目前�,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題的嚴(yán)重程度已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)了外部網(wǎng)絡(luò)帶來(lái)的安全威脅�,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅成為了企業(yè)信息安全面臨的重大難題。但是��,由于企業(yè)管理人員的網(wǎng)絡(luò)安全防范意識(shí)不強(qiáng)��,對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題不夠重視����,甚至沒(méi)有對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)采取任何安全防范措施,因此導(dǎo)致了企業(yè)內(nèi)部網(wǎng)絡(luò)安全事故不斷增加�,給企業(yè)帶來(lái)了重大經(jīng)濟(jì)損失和社會(huì)負(fù)面影響,怎樣能夠保證企業(yè)內(nèi)部網(wǎng)絡(luò)不受到任何威脅和侵害��,已經(jīng)成為了企業(yè)在信息化發(fā)展建設(shè)過(guò)程中亟待解決的問(wèn)題�。
2 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,企業(yè)內(nèi)部網(wǎng)絡(luò)是其信息化建設(shè)過(guò)程中必不可少的一部分���。而且�����,網(wǎng)絡(luò)應(yīng)用程序的不斷增多也使得企業(yè)網(wǎng)絡(luò)正在面臨著各種各樣的安全威脅��。
2.1內(nèi)部網(wǎng)絡(luò)脆弱
企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊通常是利用企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的漏洞實(shí)現(xiàn)的��,而且�,由于部分網(wǎng)絡(luò)管理人員對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范不夠重視,使得大部分的計(jì)算機(jī)終端都面臨著嚴(yán)重的系統(tǒng)漏洞問(wèn)題��,隨著內(nèi)部網(wǎng)絡(luò)中應(yīng)用程序數(shù)量的日益增加��,也給計(jì)算機(jī)終端帶來(lái)了更多的系統(tǒng)漏洞問(wèn)題���。
2.2用戶權(quán)限不同
企業(yè)內(nèi)部網(wǎng)絡(luò)的每個(gè)用戶都擁有不同的使用權(quán)限�����,因此�,對(duì)用戶權(quán)限的統(tǒng)一控制和管理非常難以實(shí)現(xiàn)���,不同的應(yīng)用程序都會(huì)遭到用戶密碼的破譯和非法越權(quán)操作����。部分企業(yè)的信息安全部門對(duì)于內(nèi)部網(wǎng)絡(luò)的服務(wù)器管理不到位�����,更容易給網(wǎng)絡(luò)黑客留下可乘之機(jī)�����。
2.3涉密信息分散
由于部分企業(yè)內(nèi)部網(wǎng)絡(luò)的涉密數(shù)據(jù)存儲(chǔ)分布在不同的計(jì)算機(jī)終端中�,沒(méi)有將這些涉密信息統(tǒng)一存儲(chǔ)到服務(wù)器中,又缺乏嚴(yán)格有效的監(jiān)督控制管理辦法�����。甚至為了方便日常辦公����,對(duì)于涉密數(shù)據(jù)往往不加密就在內(nèi)部網(wǎng)絡(luò)中隨意傳輸,這就給竊取涉密信息的人員制造了大量的攻擊機(jī)會(huì)�����。
3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案
3.1網(wǎng)絡(luò)安全防范總體設(shè)計(jì)
即使企業(yè)內(nèi)部網(wǎng)絡(luò)綜合使用了入侵檢測(cè)系統(tǒng)��、漏洞掃描系統(tǒng)等防護(hù)手段��,也很難保證企業(yè)內(nèi)部網(wǎng)絡(luò)之間數(shù)據(jù)通信的絕對(duì)安全�。因此,在本文設(shè)計(jì)的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范方案中,部署了硬件加密機(jī)的應(yīng)用����,能夠保證對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)通信進(jìn)行加密處理,從而加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)�。
3.2網(wǎng)絡(luò)安全體系模型構(gòu)建
企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系屬于水平與垂直分層實(shí)現(xiàn)的,水平層面上包括了安全管理����、安全技術(shù)、安全策略和安全產(chǎn)品��,它們之間是通過(guò)支配和被支配的模式實(shí)現(xiàn)使用的�����;垂直層面上的安全制度是負(fù)責(zé)對(duì)水平層面上的行為進(jìn)行安全規(guī)范�。一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系如果想保持一致性,必須包括用戶授權(quán)管理����、用戶身份認(rèn)證、數(shù)據(jù)信息保密和實(shí)時(shí)監(jiān)控審計(jì)這四個(gè)方面����。這四個(gè)方面的管理功能是共同作用于同一個(gè)平臺(tái)之上的,從而構(gòu)建成一個(gè)安全可靠�����、實(shí)時(shí)可控的企業(yè)內(nèi)部網(wǎng)絡(luò)���。
1)用戶身份認(rèn)證
用戶身份認(rèn)證是保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的基礎(chǔ)��,企業(yè)內(nèi)部網(wǎng)絡(luò)中的用戶身份認(rèn)證包括了服務(wù)器用戶�、網(wǎng)絡(luò)設(shè)備用戶��、網(wǎng)絡(luò)資源用戶����、客戶端用戶等等,而且���,由于網(wǎng)絡(luò)客戶端用戶數(shù)量龐大����,存在著更多的不安全���、不確定性��,因此�,對(duì)于網(wǎng)絡(luò)客戶端用戶的身份認(rèn)證至關(guān)重要。
2)用戶授權(quán)管理
用戶授權(quán)管理是以用戶身份認(rèn)證作為基礎(chǔ)的��,主要是對(duì)用戶使用企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)資源時(shí)進(jìn)行授權(quán)����,每個(gè)用戶都對(duì)應(yīng)著不用的權(quán)限,權(quán)限代表著能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)中的某些資源進(jìn)行訪問(wèn)和使用�,包括服務(wù)器數(shù)據(jù)資源的使用權(quán)限、網(wǎng)絡(luò)數(shù)據(jù)資源使用權(quán)限和網(wǎng)絡(luò)存儲(chǔ)設(shè)備資源使用權(quán)限等等����。
3)數(shù)據(jù)信息保密
數(shù)據(jù)信息保密作為企業(yè)內(nèi)部網(wǎng)絡(luò)中信息安全的核心部分,需要對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)通信的所有數(shù)據(jù)進(jìn)行安全管理����,保證數(shù)據(jù)通信能夠在企業(yè)內(nèi)部網(wǎng)絡(luò)中處于一個(gè)安全環(huán)境下進(jìn)行,從而保證對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)涉密信息和知識(shí)產(chǎn)權(quán)信息的有效保護(hù)���。
4)實(shí)時(shí)監(jiān)控審計(jì)
實(shí)時(shí)監(jiān)控審計(jì)作為企業(yè)內(nèi)部網(wǎng)絡(luò)中必不可少的部分�����,主要實(shí)現(xiàn)的是對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全的實(shí)時(shí)監(jiān)控���,定期生成企業(yè)內(nèi)部網(wǎng)絡(luò)安全評(píng)估報(bào)告�,一旦企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題時(shí)�����,能夠及時(shí)匯總數(shù)據(jù)����,為安全事故的分析判斷提供有效依據(jù)��。
4結(jié)論
目前���,關(guān)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防范問(wèn)題一直是網(wǎng)絡(luò)信息安全領(lǐng)域研究的熱點(diǎn)問(wèn)題�,越來(lái)越多的企業(yè)將辦公系統(tǒng)應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)中��,但是由于企業(yè)工作人員的安全防范意識(shí)不強(qiáng)���,或者網(wǎng)絡(luò)操作不規(guī)范����,都給企業(yè)內(nèi)部網(wǎng)絡(luò)帶來(lái)了更多的安全威脅���。本文提出的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案�����,能夠有效解決多種內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題�����,具有一定的實(shí)踐應(yīng)用價(jià)值��。
參考文獻(xiàn)
第7篇
[關(guān)鍵詞] 水務(wù)����;網(wǎng)絡(luò)信息安全;管理
[中圖分類號(hào)] F272.7 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2013)20- 0054- 03
0 引 言
隨著上海水務(wù)信息化工作的快速推進(jìn)和不斷深化�����,電子政務(wù)���、數(shù)字水務(wù)��、水務(wù)公共信息平臺(tái)�����、水資源管理系統(tǒng)等信息化成果有力推動(dòng)了水務(wù)的現(xiàn)代化建設(shè)�����。網(wǎng)絡(luò)平臺(tái)作為信息化建設(shè)和信息化成果應(yīng)用的重要基礎(chǔ)平臺(tái)��, 支撐起了巨大的IT價(jià)值�,是水務(wù)IT價(jià)值實(shí)現(xiàn)的根本和基礎(chǔ)���。在互聯(lián)網(wǎng)快速發(fā)展的背景下�,網(wǎng)絡(luò)攻擊手段日益增多�����,信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)也越來(lái)越多��,如何確保網(wǎng)絡(luò)信息安全已成為水務(wù)信息化進(jìn)程中的一項(xiàng)重要工作���。
1 現(xiàn)狀分析
上海水務(wù)網(wǎng)絡(luò)由中國(guó)水利信息網(wǎng)接入網(wǎng)���、市防汛水務(wù)專網(wǎng)、市政務(wù)外網(wǎng)接入網(wǎng)�、辦公局域網(wǎng)���、無(wú)線專網(wǎng)等網(wǎng)絡(luò)組成,實(shí)現(xiàn)了上連國(guó)家防總���、水利部�����、全國(guó)流域機(jī)構(gòu)����,中連全市各委辦局��、下連所有局屬單位以及全市各區(qū)縣防汛指揮部�,系統(tǒng)承載了防汛報(bào)訊系統(tǒng)、電子政務(wù)系統(tǒng)�����、水務(wù)公共信息平臺(tái)�����、視頻會(huì)議系統(tǒng)、視頻監(jiān)控����、水務(wù)熱線、水資源管理系統(tǒng)等重要水務(wù)防汛應(yīng)用����。
為確保網(wǎng)絡(luò)運(yùn)行安全和系統(tǒng)應(yīng)用正常,水務(wù)網(wǎng)絡(luò)實(shí)施了一系列的安全防護(hù)措施�,主要包括:在網(wǎng)絡(luò)邊界處部署安全訪問(wèn)控制設(shè)備,如防火墻����、上網(wǎng)行為設(shè)備等���,建立了安全的通信連接��,確保數(shù)據(jù)訪問(wèn)合法并在有效的安全管理控制之下���,同時(shí)作為抵御外部威脅的第一道防線,有效檢測(cè)和防御惡意入侵����;在網(wǎng)絡(luò)核心部位和重要區(qū)域部署了入侵檢測(cè)設(shè)備,分析網(wǎng)絡(luò)傳輸數(shù)據(jù),檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象���;開展計(jì)算環(huán)境安全管理�����,主要內(nèi)容包括操作系統(tǒng)策略管理��、統(tǒng)一病毒防護(hù)管理�����、安全補(bǔ)丁管理等�����。
2 面臨的安全風(fēng)險(xiǎn)
2.1 信息系統(tǒng)缺乏同步安全建設(shè)
信息化進(jìn)程中��,普遍存在重建設(shè)輕管理�,重應(yīng)用功能輕安全防護(hù)���,導(dǎo)致信息系統(tǒng)在建設(shè)過(guò)程中沒(méi)有充分考慮信息安全防護(hù)措施和管理要求�,通常在安全測(cè)評(píng)階段�����,根據(jù)相應(yīng)的測(cè)評(píng)指標(biāo),臨時(shí)��、被動(dòng)地實(shí)施相關(guān)安全防護(hù)措施��,雖然滿足了測(cè)評(píng)的基本要求��,但是安全措施比較零散�����,缺乏體系和相互關(guān)聯(lián)����,甚至實(shí)施的安全措施治標(biāo)不治本,安全隱患重重����。
2.2 未充分發(fā)揮安全產(chǎn)品防御作用
當(dāng)前����,信息安全已深入到業(yè)務(wù)行為關(guān)聯(lián)和信息內(nèi)容語(yǔ)義范疇。防火墻的訪問(wèn)控制�����、入侵檢測(cè)的預(yù)警判斷、網(wǎng)閘的數(shù)據(jù)傳輸控制以及安全審計(jì)信息的合規(guī)性判斷均來(lái)自應(yīng)用安全策略要求��,信息安全產(chǎn)品更多的是面向應(yīng)用層面的信息安全控制����。但是由于系統(tǒng)開發(fā)缺乏明確的安全需求,造成了信息安全產(chǎn)品針對(duì)其實(shí)施的安全策略權(quán)限開放過(guò)大或無(wú)安全策略�����,安全告警無(wú)法有效判斷�����,使得部分產(chǎn)品形同虛設(shè)���,不能充分發(fā)揮其防御作用�。
2.3 軟件漏洞
軟件漏洞是信息安全問(wèn)題的根源之一�����,易引發(fā)信息竊取�、資源被控���、系統(tǒng)崩潰等安全事件。軟件漏洞主要涉及操作系統(tǒng)漏洞�����、數(shù)據(jù)庫(kù)系統(tǒng)漏洞��、中間件漏洞�����、應(yīng)用程序漏洞等����。操作系統(tǒng)、數(shù)據(jù)庫(kù)等廠商會(huì)不定期針對(duì)漏洞相應(yīng)的補(bǔ)丁�,但是,由于應(yīng)用系統(tǒng)運(yùn)行對(duì)程序開發(fā)環(huán)境的依賴度較高����,補(bǔ)丁升級(jí)存在較大安全風(fēng)險(xiǎn)和不確定性,使得應(yīng)用部門通常不實(shí)施操作系統(tǒng)等相關(guān)補(bǔ)丁升級(jí)工作���。此外�,應(yīng)用程序本身也普遍缺失安全技術(shù)����,存在諸多未知安全漏洞等問(wèn)題。
2.4 網(wǎng)絡(luò)病毒
計(jì)算機(jī)病毒是數(shù)據(jù)安全的頭號(hào)大敵�,根據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的《2011年全國(guó)信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)及移動(dòng)終端病毒疫情調(diào)查分析報(bào)告》,2011年全國(guó)計(jì)算機(jī)病毒感染率為48.87%�����,雖呈下降態(tài)勢(shì)���,但是病毒帶來(lái)的危害越來(lái)越大��。
2.5 黑客攻擊
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)的最新數(shù)據(jù)顯示�����,中國(guó)遭受境外網(wǎng)絡(luò)攻擊的情況日趨嚴(yán)重�����。CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)����,2013年1月1日至2月28日不足60天的時(shí)間里,境外6 747臺(tái)木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了中國(guó)境內(nèi)190萬(wàn)余臺(tái)主機(jī)��。在信息系統(tǒng)漏洞頻出的情況下����,面向有組織的黑客攻擊行為,現(xiàn)有的技術(shù)防護(hù)和安全管理措施捉襟見(jiàn)肘���。
2.6 信息安全意識(shí)薄弱
人是信息安全工作的核心因素��,其安全管理水平將直接影響信息安全保障工作�����。由于缺少宣傳��、培訓(xùn)和教育�����,用戶信息安全意識(shí)較為淡薄�。由于安全意識(shí)淡薄和缺乏識(shí)別潛在的安全風(fēng)險(xiǎn)��,用戶在實(shí)際工作中容易產(chǎn)生違規(guī)操作,引發(fā)信息安全問(wèn)題或失泄密事件����。
3 采取的管理措施
存在這些安全風(fēng)險(xiǎn)的主要原因?yàn)槿狈π畔踩?guī)劃�����、缺乏持續(xù)改進(jìn)的安全維護(hù)保障措施以及安全意識(shí)薄弱等���,所以做好該部分工作是解決當(dāng)前所面臨安全風(fēng)險(xiǎn)的主要措施�����。
3.1 信息安全規(guī)劃
信息安全規(guī)劃是一個(gè)涉及技術(shù)�、管理���、法規(guī)等多方面的綜合工程�����,是確保物理安全���、網(wǎng)絡(luò)安全、主機(jī)安全��、應(yīng)用安全和數(shù)據(jù)安全的系統(tǒng)性規(guī)劃。信息安全規(guī)劃既依托于信息化規(guī)劃��,又是信息化的重要組成部分����。在信息安全規(guī)劃的指導(dǎo)下,信息系統(tǒng)安全建設(shè)與管理才能有計(jì)劃�、有方向、有目標(biāo)��。信息安全規(guī)劃框架如圖1���。
3.1.1 以信息化規(guī)劃為指引��,以信息化建設(shè)現(xiàn)狀為基礎(chǔ)
信息安全規(guī)劃是以信息化規(guī)劃為指引�����,以信息化建設(shè)現(xiàn)狀為基礎(chǔ)���,系統(tǒng)性的規(guī)劃信息安全架構(gòu),是信息化發(fā)展中的重要環(huán)節(jié)���。信息安全規(guī)劃一方面要對(duì)信息化發(fā)展現(xiàn)狀進(jìn)行深入和全面的調(diào)研�����,摸清家底���、掌握情況,分析當(dāng)前存在的安全問(wèn)題和信息化發(fā)展所帶來(lái)的安全需求���,另一方面要緊緊圍繞信息化規(guī)劃��,按照信息化發(fā)展戰(zhàn)略和思路����,同步考慮信息安全問(wèn)題����。
3.1.2 建立信息安全體系
信息安全規(guī)劃需要圍繞技術(shù)安全、管理安全���、組織安全進(jìn)行全面的考慮����,建立相應(yīng)的信息安全體系,確定信息安全的任務(wù)��、目標(biāo)����、戰(zhàn)略以及人員保障。
3.2 日常安全運(yùn)維保障
3.2.1 關(guān)注互聯(lián)網(wǎng)安全動(dòng)態(tài)
互聯(lián)網(wǎng)的快速發(fā)展使得水務(wù)網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)安全密切相關(guān)�����。因此����,關(guān)注互聯(lián)網(wǎng)安全動(dòng)態(tài),及時(shí)更新或調(diào)整水務(wù)網(wǎng)絡(luò)安全策略和防護(hù)措施�����,是日常安全管理工作中的一項(xiàng)重要工作�����。
3.2.2 安全態(tài)勢(shì)分析
網(wǎng)絡(luò)信息安全是一個(gè)動(dòng)態(tài)發(fā)展的過(guò)程���,固化的安全防護(hù)措施無(wú)法持續(xù)確保網(wǎng)絡(luò)環(huán)境安全�����。定期對(duì)網(wǎng)絡(luò)安全環(huán)境進(jìn)行態(tài)勢(shì)分析不僅可以掌握當(dāng)前存在的問(wèn)題����,面臨的風(fēng)險(xiǎn),而且可以及時(shí)總結(jié)原因����,制定改進(jìn)策略。安全態(tài)勢(shì)分析主要通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備��、安全設(shè)備�����、主機(jī)設(shè)備及安全管理工具等策略變更信息��、日志信息�、安全告警信息等�,經(jīng)過(guò)統(tǒng)計(jì)和關(guān)聯(lián)分析,綜合評(píng)估網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)��,并判斷發(fā)展變化趨勢(shì)���。
3.2.3 信息安全風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是信息安全管理工作的關(guān)鍵環(huán)節(jié)�����。通過(guò)開展風(fēng)險(xiǎn)評(píng)估工作���,可以發(fā)現(xiàn)信息安全存在的主要問(wèn)題和矛盾�,找到解決諸多問(wèn)題的辦法����。安全風(fēng)險(xiǎn)評(píng)估的主要步驟和方法:①確定被評(píng)估的關(guān)鍵信息資產(chǎn);②通過(guò)文檔審閱��、脆弱性掃描��、本地審計(jì)��、人員訪談�����、現(xiàn)場(chǎng)觀測(cè)等方式���,獲得評(píng)估范圍內(nèi)主機(jī)�����、網(wǎng)絡(luò)�、應(yīng)用等方面與信息安全相關(guān)的技術(shù)與管理信息;③對(duì)所獲得的信息進(jìn)行綜合分析���,鑒別被評(píng)估信息資產(chǎn)存在的安全問(wèn)題與風(fēng)險(xiǎn)��;④從系統(tǒng)脆弱性鑒別���、漏洞和威脅分析、現(xiàn)有技術(shù)和管理措施���、管理制度等方面,根據(jù)不同風(fēng)險(xiǎn)的優(yōu)先級(jí)���,分析�����、確定管理相應(yīng)風(fēng)險(xiǎn)的控制措施�����;⑤基于以上分析的結(jié)果��,形成相應(yīng)的信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告�����。
3.2.4 應(yīng)急響應(yīng)
應(yīng)急響應(yīng)是信息安全防護(hù)的最后一道防線��,其主要目的是盡可能地減小和控制信息安全事件的損失�����,提供有效的響應(yīng)和恢復(fù)��。應(yīng)急響應(yīng)包括事先應(yīng)急準(zhǔn)備和事件發(fā)生后的響應(yīng)措施兩部分�����。事先應(yīng)急準(zhǔn)備主要包括明確組織指揮體系����,預(yù)警及預(yù)防機(jī)制,應(yīng)急響應(yīng)流程�,應(yīng)急隊(duì)伍、應(yīng)急設(shè)備����、技術(shù)資料����、經(jīng)費(fèi)等應(yīng)急保障���,定期開展應(yīng)急演練等工作����。事件發(fā)生后的應(yīng)急措施包括收集系統(tǒng)特征���,檢測(cè)病毒�、后門等惡意代碼���,限制或關(guān)閉網(wǎng)絡(luò)服務(wù)����,系統(tǒng)恢復(fù)等工作�。這兩方面互相補(bǔ)充�����,事前應(yīng)急準(zhǔn)備為事件發(fā)生后的響應(yīng)提供指導(dǎo),事后的響應(yīng)處置進(jìn)一步促進(jìn)事前準(zhǔn)備工作的不斷完善��。
3.3 教育培訓(xùn)
人是信息安全工作的核心因素�,其知識(shí)結(jié)構(gòu)和應(yīng)用水平將直接影響信息安全保障工作。加強(qiáng)相關(guān)信息安全管理人員的專業(yè)培訓(xùn)���,以及開展面向網(wǎng)絡(luò)用戶的信息安全宣傳教育�����、行為引導(dǎo)等���,是提升信息安全專業(yè)化管理水平,提高信息安全意識(shí)����,有效避免信息安全問(wèn)題或失泄密事件發(fā)生的重要工作。
4 總 結(jié)
隨著信息化進(jìn)程的加快���,信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)越來(lái)越多����,信息安全管理工作要求也逐步提高。持續(xù)分析�、總結(jié)網(wǎng)絡(luò)信息安全管理中存在的問(wèn)題,并采取針對(duì)性的措施不斷加以改進(jìn)�����,成為保證水務(wù)信息化戰(zhàn)略實(shí)現(xiàn)���、不斷提升水務(wù)部門管理能力和服務(wù)水平的重要基礎(chǔ)保障工作�。
主要參考文獻(xiàn)
[1]GB/T 22239-2008����,信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].
[2]GB/T 25058-2010,信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S].
第8篇
2012年的報(bào)告主要內(nèi)容包括引言���、戰(zhàn)略指導(dǎo)���、對(duì)工業(yè)基礎(chǔ)的“逐行業(yè)、逐層級(jí)”(S2T2)評(píng)估��、對(duì)工業(yè)部類的評(píng)估��、國(guó)防并購(gòu)�����、維持工業(yè)能力的計(jì)劃與措施等6部分��。本文呈現(xiàn)的是該報(bào)告對(duì)美國(guó)國(guó)防工業(yè)各領(lǐng)域的評(píng)估�����。負(fù)責(zé)制造和工業(yè)基礎(chǔ)政策的國(guó)防部副部長(zhǎng)助理主導(dǎo)評(píng)估與分析���,對(duì)以下領(lǐng)域開展了工業(yè)基礎(chǔ)檢查���。評(píng)估包括該工業(yè)領(lǐng)域的運(yùn)行狀況、支持該領(lǐng)域的財(cái)務(wù)狀況����、對(duì)國(guó)防工業(yè)基礎(chǔ)很重要的風(fēng)險(xiǎn)領(lǐng)域或關(guān)鍵問(wèn)題。
飛機(jī)工業(yè)領(lǐng)域
2011財(cái)年�,軍用飛機(jī)銷售和利潤(rùn)率穩(wěn)健增長(zhǎng),產(chǎn)品和服務(wù)銷售較上年增長(zhǎng)4.2%�,企業(yè)財(cái)務(wù)健康。但由于F-35開發(fā)項(xiàng)目終止���,以及未來(lái)年度并無(wú)新戰(zhàn)斗機(jī)需求����,國(guó)防部將降低戰(zhàn)術(shù)飛機(jī)研發(fā)預(yù)算;同時(shí)�,飛機(jī)工業(yè)勞動(dòng)力老化,年輕工程師對(duì)該領(lǐng)域興趣減小�,關(guān)鍵設(shè)計(jì)能力面臨缺乏與不足。而與之相對(duì)應(yīng)的是���,對(duì)無(wú)人機(jī)的需求在不斷增長(zhǎng)����,工業(yè)基礎(chǔ)廣闊�����、健康��、并持續(xù)增長(zhǎng)���。
主要問(wèn)題有:①大型鑄件和鍛件供應(yīng)商少���,需要的準(zhǔn)備期長(zhǎng),對(duì)能源和原材料價(jià)格�����、需求周期高度敏感;②高精度軸承供應(yīng)商有限����,許多平臺(tái)對(duì)單一產(chǎn)品和單一供應(yīng)商依賴度高���。
信息技術(shù)�����、雷達(dá)與電子戰(zhàn)�����、指揮�、控制�����、通信與計(jì)算機(jī)領(lǐng)域(IT/C4)
信息技術(shù)工業(yè)仍然保持健康�,各類可供選擇的供應(yīng)商眾多。由于防務(wù)公司和商業(yè)公司的技術(shù)技能并無(wú)實(shí)質(zhì)性差異���,國(guó)防部對(duì)商業(yè)公司(尤其低層的供應(yīng)商)的依賴逐年增加��。建模與仿真是“逐行業(yè)��、逐層級(jí)”評(píng)估關(guān)注的焦點(diǎn)�,目前該領(lǐng)域運(yùn)行健康,有能力滿足當(dāng)前與未來(lái)需求��。指揮��、控制����、通信與計(jì)算機(jī)工業(yè)存在大量具有設(shè)計(jì)與生產(chǎn)資格的供應(yīng)商,有健康的全球商用電子工業(yè)作為支持����。
主要問(wèn)題包括:①雷達(dá)與電子戰(zhàn)工業(yè)整體狀況可維持,但基礎(chǔ)較為薄弱����,一些關(guān)鍵技術(shù)難以民用;②C4工業(yè)基礎(chǔ)的全球化和商業(yè)化特性導(dǎo)致供應(yīng)鏈管理和防止假冒偽劣等方面易發(fā)生問(wèn)題���;③國(guó)防部通信主要依賴商業(yè)網(wǎng)絡(luò)��,國(guó)內(nèi)只有一家第一層級(jí)電信設(shè)備供應(yīng)商和少數(shù)第二層級(jí)供應(yīng)商��。
服務(wù)保障工業(yè)領(lǐng)域
服務(wù)保障工業(yè)組織簡(jiǎn)單�����,只有主承包商和分包商兩個(gè)層級(jí)�����,每個(gè)層級(jí)都有相當(dāng)多的勞動(dòng)力群體�。主承包商通過(guò)一個(gè)或多個(gè)分包商獲得專業(yè)化技能����。由于幾乎所有需求都有多樣的、高度競(jìng)爭(zhēng)的����、有經(jīng)驗(yàn)的供應(yīng)源,因此服務(wù)保障工業(yè)保持相對(duì)健康��。
主要問(wèn)題為:復(fù)雜武器系統(tǒng)設(shè)計(jì)人員不足�����。
網(wǎng)絡(luò)電磁工業(yè)領(lǐng)域
網(wǎng)絡(luò)電磁工業(yè)是信息和通信技術(shù)(ICT)工業(yè)的一部分,但由于其在國(guó)家安全中的特殊地位����,新版《年度工業(yè)能力評(píng)估報(bào)告》將其從傳統(tǒng)的IT/C4工業(yè)中單列出來(lái)。通過(guò)評(píng)估發(fā)現(xiàn)�,在網(wǎng)絡(luò)電磁領(lǐng)域,美國(guó)存在著各種層面的競(jìng)爭(zhēng)對(duì)手��,不過(guò)基于ICT工業(yè)的全球性特征����,美國(guó)商用ICT工業(yè)無(wú)需在規(guī)模或年收入上壓倒競(jìng)爭(zhēng)對(duì)手�����,而是要著眼于保持領(lǐng)先地位����。
主要問(wèn)題包括:①網(wǎng)絡(luò)電磁安全人才相對(duì)不足,對(duì)工業(yè)基礎(chǔ)的支撐不夠堅(jiān)實(shí)�;②國(guó)防工業(yè)基礎(chǔ)網(wǎng)絡(luò)安全方面,要滿足“國(guó)防聯(lián)邦采辦條例”補(bǔ)充規(guī)定(DFARS)的要求�����,將額外增加工業(yè)基礎(chǔ)投入。
戰(zhàn)車工業(yè)領(lǐng)域
戰(zhàn)車工業(yè)對(duì)美國(guó)在伊拉克和阿富汗戰(zhàn)爭(zhēng)中的行動(dòng)提供了有力支撐���,具有較好的應(yīng)急能力�����。2012年新版戰(zhàn)略指南預(yù)計(jì)國(guó)防開支減少和軍事力量更趨精簡(jiǎn)靈巧��,取代了既要保持戰(zhàn)車數(shù)量又要開發(fā)新型陸地戰(zhàn)車的傳統(tǒng)思路�����。
主要問(wèn)題有:①隨著陸地戰(zhàn)車采購(gòu)量下降,僅生產(chǎn)軍用車輛的供應(yīng)商的承受能力要差于生產(chǎn)軍民兩用車輛的供應(yīng)商���;②中小供應(yīng)商抵御風(fēng)險(xiǎn)的能力不足����,應(yīng)保障其具有專業(yè)人才����、技能和設(shè)計(jì)研發(fā)新一代產(chǎn)品的能力。
材料工業(yè)領(lǐng)域
用于制造中間產(chǎn)品和最終產(chǎn)品的原材料及供應(yīng)鏈對(duì)于國(guó)家制造基礎(chǔ)����、整體經(jīng)濟(jì)和國(guó)家安全是不可或缺的���。原材料供應(yīng)鏈通常依賴于國(guó)際貿(mào)易,國(guó)防工業(yè)基礎(chǔ)對(duì)原材料的需求占美國(guó)整體需求的比例有限���,大部分還是集中在商業(yè)領(lǐng)域�����。因而����,保持國(guó)防工業(yè)基礎(chǔ)健康發(fā)展必須有充滿活力的商業(yè)制造基礎(chǔ)���。美國(guó)國(guó)防部采取了一系列措施��,評(píng)估原材料供應(yīng)鏈為作戰(zhàn)人員提供可靠和經(jīng)濟(jì)的產(chǎn)品的能力����。
主要問(wèn)題為:國(guó)際市場(chǎng)存在出口管制等行為�,導(dǎo)致稀土等原材料供應(yīng)受到影響。
彈藥和導(dǎo)彈工業(yè)領(lǐng)域
彈藥和導(dǎo)彈工業(yè)是國(guó)防工業(yè)的基礎(chǔ)行業(yè)。該領(lǐng)域存在較為明顯的周期性�,在沖突時(shí)產(chǎn)量驟增,在沖突結(jié)束后銳減��。這種周期性�����,要求主承包商對(duì)分承包商具有良好的產(chǎn)量管理能力�。
問(wèn)題主要有:(1)洛?馬公司和雷聲公司占據(jù)85%的市場(chǎng)份額,兩大公司的分承包商之間競(jìng)爭(zhēng)不足���;(2)預(yù)算增加����,但是研發(fā)和采辦投入可能下降�����,從而導(dǎo)致維持設(shè)計(jì)和工程團(tuán)隊(duì)存在困難��;(3)主承包商維持關(guān)鍵的分承包商工業(yè)基礎(chǔ)面臨挑戰(zhàn)���。
艦船工業(yè)領(lǐng)域
艦船工業(yè)總體保持穩(wěn)定,主要船廠和承包商財(cái)務(wù)狀況良好。艦船工業(yè)部門出現(xiàn)數(shù)起并購(gòu)重組�����,如諾?格集團(tuán)分拆艦船業(yè)務(wù)��,通用動(dòng)力決定收購(gòu)康弗蒂姆公司���;主減速齒輪����、軍用閥門等低層級(jí)行業(yè)也存在并購(gòu)事件��。
主要問(wèn)題有:①無(wú)大型中速柴油機(jī)制造商�,只能以許可證的方式生產(chǎn);②大型鑄件供應(yīng)商短缺���;③大型鍛壓(尤其是1.4萬(wàn)~5萬(wàn)噸)行業(yè)存在不足�,僅有一家超大型鍛壓制造商可制造推進(jìn)軸及核反應(yīng)堆安全殼等關(guān)鍵組件����。
航天工業(yè)領(lǐng)域
购物车(0)
