網絡安全成熟度評估8篇

時間：2023-12-10 16:44:26

緒論：在尋找寫作靈感嗎？愛發表網為您精選了8篇網絡安全成熟度評估，愿這些內容能夠啟迪您的思維，激發您的創作熱情，歡迎您的閱讀與分享！

網絡安全成熟度評估

篇1

通過下一代防火墻、態勢感知檢測響應、安全云端、安全運營平臺，初步構建“網-端-云-平臺”一體化框架進行風險控制閉環。框架中，下一代防火墻、態勢感知檢測響應等網絡和端點安全設備持續采集網絡和端點側流量日志，安全云端和本地安全運營平臺通過發現和關聯流量日志中各類攻擊威脅失陷標志，找出入侵攻擊鏈，進一步在網絡和端點側進行控制處置，切斷攻擊鏈。

3.2建立初步的信任評估和控制機制

以上網行為管理和SSLVPN設備組件為基礎，對接各類型終端，入網前基于設備狀態和身份信息進行信任等級判定。并建立內部應用訪問身份認證機制。下一階段工作通過零信任技術建立更全面的訪問前信息采集和持續評估能力，進一步打通網絡、應用、數據訪問的身份和信任判決及控制。

3.3建立本地化安全運營能力

基于安全運營平臺，將全網終端威脅、網絡攻擊及業務系統安全通過大屏可視化的方式呈現，結合外部安全服務專家專屬服務化的方式，實現了網絡安全的閉環響應與處置，同時為內部人員提供信息安全知識與技能，沉淀本地知識經驗庫；基于安全運營平臺分析結果進行決策，指導各部門開展網絡安全工作；通過網絡安全運營平臺指導安全建設，提供安全策略優化指導，全面提升系統安全運營能力。

3.4構建針對未知威脅防控的人機共智能力

基于本地安全運營平臺、下一代防火墻、態勢感知檢測響應等設備組件中人工智能算法，借助安全云端的全球威脅情報和安全大數據分析輔助，初步構建針對已知和未知Web攻擊、僵尸網絡、各類型病毒、漏洞利用、部分APT攻擊和異常業務行為的檢測識別能力。通過演練成果應用，實現了滿足等級保護2.0合規要求，具備在實戰化攻防對抗中抵御攻擊、快速恢復能力，同時日常服務運維過程中對各類型業務和數據提供常態化安全防護。

4創新性與價值

信息系統安全建設基于自身信息化業務需求和網絡安全監管法規要求，以“體系合規，面向實戰，常態保護”為目標，“統籌風險，精益安全，持續推進，人機共智”為安全能力構建方向，逐步推進建設落地。規劃建設過程，體現了以下幾方面特色和優勢：（1）體系化統籌，從高層要求、監管法規等業務和內外部需求出發，從風險、安全、推進、智能四方面，體系化地規劃安全能力和落地過程[5]。（2）全面保障，整個建設理念和框架覆蓋的保護對象從物理環境，到網絡、主機、邊界等各層面，并對各類型業務和場景具有普適性。（3）面向未來，利用人機共智的三位一體能力，以及階段性演進的成熟度坐標，規劃面向未來的能力演進體系。（4）有效落地，創新網絡安全微服務架構，提升自動化管理效率，利用專家服務和輔助決策降低人員門檻，進一步通過可視化指標體系呈現安全建設績效。

篇2

【關鍵詞】信息安全；評估；標準；對策

保證信息安全不發生外泄現象，是至關重要的。可是，現在我國信息安全保障和其它先進國家相比，仍難望其項背，還有不少問題迫切需要我們著手解決：

中國保證信息安全工作經歷了三個時期。第一時期是不用聯網，只作用于單一電腦的查殺和防控病毒軟件；第二個時期是獨立的防止病毒產品向為保證信息安全采用的成套裝備過渡時期；第三個時期是建設保證信息安全的系統時期。

1 需要解決與注意的問題

信息安全保障的內容和深度不斷得到擴展和加深，但依然存在著“頭痛醫頭，腳痛醫腳”的片面性，沒有從系統工程的角度來考慮和對待信息安全保障問題；信息安全保障問題的解決既不能只依靠純粹的技術，也不能靠簡單的安全產品的堆砌，它要依賴于復雜的系統工程、信息安全工程（system security engineering）；信息安全就是人們把利用工程的理論、定義、辦法和技術進行信息安全的開發實施與維護的經過，是把通過歲月檢驗證明沒有錯誤的工程實施步驟管理技術和當前能夠得到的最好的技術方法相結合的過程；由于國家8個重點信息系統和3個重點基礎網絡本身均為復雜的大型信息系統，因此必須采用系統化方法對其信息安全保障的效果和長效性進行評估。

2 安全檢測標準

2.1 CC 標準

1993年6月，美國、加拿大及歐洲四國協商共同起草了《信息技術安全評估公共標準CCITSE（commoncriteria of information technical securityevaluation）》，簡稱 CC，它是國際標準化組織統一現有多種準則的結果。CC標準，一方面可以支持產品（最終已在系統中安裝的產品）中安全特征的技術性要求評估，另一方面描述了用戶對安全性的技術需求。然而，CC 沒有包括對物理安全、行政管理措施、密碼機制等方面的評估，且未能體現動態的安全要求。因此，CC標準主要還是一套技術性標準。

2.2 BS 7799標準

BS 7799標準是由英國標準協會（BSI）制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，包括：BS 7799-1∶1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則；BS7799-2∶2002 以 BS 7799-1∶1999為指南，詳細說明按照 PDCA 模型，建立、實施及文件化信息安全管理體系（ISMS）的要求。

2.3 SSE-CMM 標準

SSE-CMM（System Security EngineeringCapability Maturity Model）模型是 CMM 在系統安全工程這個具體領域應用而產生的一個分支，是美國國家安全局（NSA）領導開發的，它專門用于系統安全工程的能力成熟度模型。

3 網絡安全框架考察的項目

對網絡安全進行考察的項目包括：限制訪問以及網絡審核記錄：對網絡涉及的區域進行有效訪問控制；對網絡實施入侵檢測和漏洞評估；進行網絡日志審計并統一日志時間基準線；網絡框架：設計適宜的拓撲結構；合乎系統需求的區域分界；對無線網接入方式進行選擇方式；對周邊網絡接入進行安全控制和冗余設計；對網絡流量進行監控和管理；對網絡設備和鏈路進行冗余設計；網絡安全管理：采用安全的網絡管理協議；建立網絡安全事件響應體系；對網絡設備進行安全管理。網絡設備是否進行了安全配置，并且驗證設備沒有已知的漏洞等。對網絡設置密碼：在網絡運輸過程中可以根據其特點對數字設置密碼；在認證設備時對比較敏感的信息進行加密。

4 安全信息檢測辦法

4.1 調整材料和訪問

調整材料和訪問是對安全信息檢測的手段。評估人員首先通過對信息系統的網絡拓撲圖、安全運作記錄、相關的管理制度、規范、技術文檔、歷史事件、日志等的研究和剖析，從更高的層次上發現網絡系統中存在的安全脆弱性。并找準信息資產體現為一個業務流時所流經的網絡節點，查看關鍵網絡節點的設備安全策略是否得當，利用技術手段驗證安全策略是否有效。評估專家經驗在安全顧問咨詢服務中處于不可替代的關鍵地位。通過對客戶訪談、技術資料進行分析，分析設備的安全性能，而且注意把自己的實際體會納入網絡安全的檢測中。

4.2 工具發現

工具發現是利用掃描器掃描設備上的缺陷，發現危險的地方和錯誤的配置。利用檢測掃描數據庫、應用程序和主機，利用已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網絡協議、網絡服務、網絡設備、應用系統等各主機設備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識庫的網絡安全掃描工具對信息資產進行基于網絡層面安全掃描，其特點是能對被評估目標進行覆蓋面廣泛的安全漏洞查找，并且評估環境與被評估對象在線運行的環境完全一致，從而把主機、應用系統、網絡設備中存在的不利于安全的因素恰切地展現出來。

4.3 滲透評估

滲透評估是為了讓使用的人員能夠知道網絡當前存在的危險以及會產生的后果，從而進行預防。滲透評估的關鍵是經過辨別業務產業，搭配一定手段進行探測，判斷可能存在的攻擊路徑，并且利用技術手段技術實現。由于滲透測試偏重于黑盒測試，因此可能對被測試目標造成不可預知的風險；此外對于性能比較敏感的測試目標，如一些實時性要求比較高的系統，由于滲透測試的某些手段可能引起網絡流量的增加，因此可能會引起被測試目標的服務質量降低。由于中國電信運營商的網絡規范龐大，因此在滲透測試的難度也較大。因此，滲透層次上既包括了網絡層的滲透測試，也包括了系統層的滲透測試及應用層的滲透測試。合法滲透測試的一般流程為兩大步驟，即預攻擊探測階段、驗證攻擊階段、滲透實施階段。不涉及安裝后門、遠程控制等活動。

我國信息安全要想得到保證，需要有一定的信息安全監測辦法。依靠信息安全監測辦法對中國業務系統和信息系統整體分析和多方面衡量，將對中國信息安全結論的量化提供強有力的幫助，給我國所做出的重要決策實行保密，對中國籌劃安全信息建設以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術，都至關重要。因而，制定我國信息安全檢測辦法，是一項不容忽視的重要工作。

【參考文獻】

[1]曹一家，姚歡，黃小慶，等.基于D-S證據理論的變電站通信系統信息安全評估[J].電力自動化設備，2011，31（6）：1-5.

[2]焦波，李輝，黃東，等.基于變權證據合成的信息安全評估[J].計算機工程，2012，38（21）：126-128，132.

[3]張海霞，連一峰.基于測試床模擬的通用安全評估框架[J].信息網絡安全，2013，（z1）：13-16.

篇3

【關鍵詞】網絡會計；風險分析；會計內控指標體系；模糊評價法；績效評價

中圖分類號：F232；F272.35文獻標識碼：A文章編號：1004-5937（2014）16-0083-05目前，中國很多企業實施了網絡會計信息系統，但對網絡環境下產生的安全威脅不夠重視，未及時完善自身的內控體系，增加了內部控制的不安全性，從而影響到會計信息的安全。因此，研究網絡會計信息系統下內部控制的安全問題，幫助企業建立一個新的、更有效的內部控制指標體系很有意義。

文章基于傳統內部控制評價體系網絡化下賦予的新含義，重新構建了網絡會計內部控制的安全評價體系，以實現對會計內控目標、會計內控環境、財務風險監控與管理控制、信息技術控制、財務監督問責、信息溝通等安全控制方面的評價。

一、網絡會計內部控制體系的理論基礎

（一）傳統內部控制體系

2008年6月28日，財政部會同證監會、審計署、銀監會、保監會制定并印發《企業內部控制基本規范》，要求企業建立實施的內部控制包括下列五個要素：內部環境、風險評估、控制活動、信息與溝通以及內部監督。這五個部分也可作為評價內部控制系統有效性的標準。

（二）網絡會計內部控制風險分析

內部控制主要是控制好風險，因此，筆者首先對網絡會計信息系統進行安全分析，然后運用各種方法和工具找出各個流程的潛在風險，最終建立起風險的詳細清單，如表1所示。

二、構建網絡會計內部控制安全評價體系

處于經濟轉型期的我國企業面臨經營風險及外部環境的變化，內控體系應及時作出相應的調整，構建適應信息化環境的內部控制框架。其中控制網絡會計帶來的新變化是重點，所有內控要素都要從信息化會計系統的特征出發加以通盤考慮。內部安全控制框架如圖1所示。

在網絡會計內部控制體系之下，根據每一類控制因素的活動域，首先將其分解為關鍵過程域，然后將該過程域細化到具體的關鍵控制點。本文將對體系中六個控制因素的活動域，按照關鍵過程域到關鍵控制點的步驟來分別描述。

（一）會計內控目標

1.建立符合國內外法律、法規，面向會計部門并結合部門內部網絡會計實際情況的內部控制體系。

2.梳理網絡會計下的內部管理流程。

3.不斷完善內部控制體系，與企業戰略目標相融合，向全面風險管理體系過渡，建立風險管理和內部控制長效管理機制。

（二）會計內控環境

1.更新信息化觀念

為了適應網絡發展的新形勢，企業領導要樹立市場觀念、競爭觀念，重視會計信息化，同時企業要結合先進的管理理念和現代化方法，更新現有會計信息系統。

2.明確會計部門分工

財務部下應設置信息部門和業務部門。信息部門提供信息技術服務和系統運行監督；業務部門負責批準、執行業務和資產保管等。

3.提高財務人員安全意識

（1）將會計信息安全方針與安全考察方針形成書面文件；（2）與重要的會計人員簽署保密協議；（3）對會計人員進行信息安全教育與培訓。

（三）財務風險監控與管理

1.財務風險監控

（1）識別關鍵控制點；（2）更新預警模型。實時監控潛在的風險，將全方位的信息轉換成財務指標，加入到預警模型中，實現資源共享和功能集成。

2.財務風險管理

（1）適當利用自動化控制來代替手工控制；（2）可在系統外部執行部分關鍵的手工操作。

（四）信息技術控制

1.系統構建控制

（1）制定信息系統開發戰略；（2）選擇合適的系統開發方式。

2.嚴密的授權審批制度

（1）操作權限與崗位責任制；（2）重點業務環節實行“雙口令”。

3.系統操作控制

（1）數據輸入控制；（2）數據處理控制；（3）數據輸出控制。

4.會計數據安全管理

（1）會計數據備份加密；（2）會計數據傳輸加密；（3）用戶訪問控制；（4）服務器加密。

（五）財務監督與問責

主要是內部審計管理：

（1）定期審計會計資料，檢查會計信息系統賬務處理的正確性；（2）審查機內數據與書面資料的一致性；（3）監督數據保存方式的安全性和合法性，防止非法修改歷史數據；（4）審查系統運行各環節，發現并及時堵塞漏洞等。

（六）信息溝通

會計信息的溝通與交流應貫穿整個內控體系中。

1.管理層重視

管理層應高度重視及支持信息系統的開發工作，確保各職能部門信息系統在信息交流上高度耦合。

2.嚴密的組織保障

各部門通過控制系統識別使用者需要的信息；收集、加工和處理信息，并及時、準確和經濟地傳遞給相關人員。

3.體系化的制度保障

建立健全會計及相關信息的報告負責制度，使會計人員能清楚地知道其所承擔的責任，并及時取得和交換他們在執行、管理和控制經營過程中所需的信息。

三、基于模糊評價法的內控評價體系應用研究

網絡會計信息系統內控體系績效評價的應用研究主要利用成熟度模型來劃分內部會計控制因素的等級，基于模糊評價法來進行安全績效評價，最后得出相應的結論。

（一）模糊綜合評價法的應用

模糊綜合評價法是以模糊數學為基礎，將一些不易定量的因素定量化，從多個因素對被評價事物隸屬等級狀況進行綜合性評價。

一是對網絡會計內控體系進行成熟度劃分。

二是依據成熟度模型來確定評價因素和評價等級。設：U=｛?滋1，?滋2，?滋3，…，?滋m｝為被評價對象的m個評價指標V=｛v1，v2，v3，…，vn｝；為每一個因素所處的狀態的n種等級。

三是確定權重分配。

四是進行全面的調查訪問，并建立評價表。

五是建立模糊評價矩陣，得出多級模糊的綜合等級。

六是得出關鍵控制點的評級表。

七是得出評價結果。

（二）模糊綜合評價法的應用

本節針對上述內控體系中的信息技術控制因素，對其應用模糊評價法來進行分析，其他控制因素的評價方法與此例相同。

1.成熟度評價標準

借鑒能力成熟度模型（CMM），同時考慮網絡會計信息系統的特點，將內控流程評價標準劃分為六級：不存在級、初始級、已認識級、已定義級、已管理級、優化級。完善后的內部會計控制成熟度評價標準如表2所示。

表2中等級的劃分是針對會計信息系統內部控制體系總體情況而言。具體到網絡會計內部控制的每一級指標建立成熟度模型時，各個流程也分為以上六個等級。

2.成熟度模型

建立了成熟度評價標準之后，便可根據網絡會計內部控制體系列出控制內容、關鍵過程域及關鍵控制點。本文以信息技術控制為例建立具體模型，該控制因素的成熟度模型如表3所示。

3.權重分配

我國學者辛金國、范煒采用德爾菲法，通過問卷調查的方式得到傳統內部控制五要素中控制環境權重為30%、風險評估為12.9%、控制活動為25.2%、信息與溝通為28%、監督為3.9%。

本文賦權采用德爾菲法，并結合網絡會計的特點，控制內容的權重分配如表4、表5所示。

4.評價表

建立起三級的指標體系結構之后，分別對審計機構、信息安全機構、公司管理層及普通員工四個方面進行調查。每一類對象都挑選10人（總共40人）進行調查訪問，每位專家、管理者及員工分別運用實地觀察法、流程圖法、專業判斷法或工作經驗法，按照指標執行情況，對每一項關鍵控制點依照成熟度模型賦予安全等級分值，表格的內容代表選擇該等級的人數，整理后得出評價表，如表6所示。

5.模糊評價矩陣

首先，用表6中每個級別的分值除以總人數40，得出的評價結果構成關鍵過程域的模糊評價矩陣R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，進行關鍵控制域模糊矩陣運算，B4j=A4j?R4j

B41=［0.5 0.5］?R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，計算控制內容的模糊矩陣運算，Vi=Ai?Bi

V4=［0.2 0.3 0.25 0.25］?B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，計算信息技術控制的綜合得分G4=V4? ［0 1 2 3 4 5］T=2.78875。

6.評級表

對各關鍵控制點的分值進行加權平均計算，根據得出的數所靠近的級別，從而判斷其成熟度級別，公式是：

單項關鍵控制點評價得分=Σ（該關鍵控制點的分值×對應的等級數）÷40

每一項關鍵控制點通過上述公式計算得出的評級表如表7所示。

依據內控流程的成熟度，對照單項關鍵控制點的評級，賦予其合適的等級區間。

7.評價結果

根據模糊矩陣法運算出的信息技術控制的綜合評分為2.78875，在2―已認識級與3―已定義級之間，接近3―已定義級。

根據表7，可以針對公司的信息技術控制關鍵控制點的績效作出如下評價：

公司在適當的信息系統開發方式、操作權限與崗位責任制、操作控制以及會計數據存儲加密中做得較好，評級基本在3―已定義級以上。

公司在內部會計控制中的信息系統開發的戰略規劃、重點業務環節的安全控制、會計數據安全管理、對外來人員的訪問控制、對內部服務器的安全管理均需要進一步加強。

四、結語

網絡會計具有開放性、及時性、分散性與共享性的特點，根據其特點，本文建立了信息化內部會計控制體系，主要包含會計內控目標、會計內控環境、財務風險監控與管理、信息技術控制、財務監督問責、信息溝通六個方面。在安全分析過程中，列出了風險清單，讓財務部門負責人更全面地了解到面臨的各級風險。發現風險是第一步，第二步便是管理風險，公司應分別從內部會計控制的六個方面進行體系化的控制，其中最重要的便是利用信息技術控制來保障網絡會計信息系統的內部安全和計算機網絡安全。最后，本文運用模糊評價法，對網絡會計信息系統內部控制評價體系進行應用研究，以信息技術控制為例，對其安全內控體系進行了評價及實證分析。

【參考文獻】

［1］王曉玲.基于風險管理的內部控制建設［M］.北京：電子工業出版社，2010：100-102.

［2］陳志斌.信息化生態環境下企業內部控制框架研究［J］.會計研究，2007（1）：30-37.

［3］杜洪濤.網絡環境下會計電算化信息系統安全探討［J］.計算機光盤軟件與應用，2010（9）：37-38.

［4］宮雪冰.基于內部控制的網絡會計信息系統安全問題的控制［J］.中國管理信息化，2010，13（15）：2-3.

［5］李河君.會計信息系統風險控制體系研究［D］.首都經濟貿易大學碩士學位論文，2010.

［6］財政部會計司.《企業內部控制應用指引第18號―信息系統》解讀［J］.財務與會計，2011（6）：57-62.

［7］艾文國，王亞鳴.企業會計信息化內部控制問題研究［J］.中國管理信息化，2008，11（15）：14-16.

［8］張繼德,劉盼盼. 會計信息系統安全性現狀及應對策略探討［J］. 中國管理信息化，2010，13（6）：3-5.

［9］陳秀偉.網絡環境下會計信息系統的內部控制探析［J］.中國管理信息化，2011，14（5）：7-8.

篇4

【關鍵詞】信息安全架構；企業戰略；信息安全服務；信息安全價值；一致性；可追溯性

【文獻標識碼】 A 【中圖分類號】 TP393.08

1 引言

信息安全技術和管理經過不斷的發展和改善，已經能夠比較有效地解決一些傳統信息安全問題，如信息安全風險管理、訪問控制，脆弱性管理、加密解密和災難恢復等。隨著信息越來越成為組織的核心資產，保護信息的安全已不再只是局限于技術和日常管理層面的討論，信息的安全越來越關系到組織自身發展的安全。一次重大的信息泄露事故就能使企業的市值一落千丈。同時，一套合理的訪問控制解決方案能夠幫助企業快速推出核心產品（尤其是電子商務）和兼并其他企業。當前信息安全發展呈現出新的趨勢和要求：（1）信息安全部門逐漸從成本中心轉向價值中心，信息安全的各項活動越來越和企業戰略緊密相連；（2）企業內部其他部門越來越多的要求信息安全部門提供清晰、可測量的服務來支持業務的運行。

企業的信息安全部門在不斷增強其核心影響力的同時，也承擔著隨之而來的更多責任和挑戰。其一是如何將企業戰略轉化為信息安全計劃，將信息安全融入到組織的業務流程中，并且保持信息安全控制措施與企業戰略的一致性和可追溯性；其二是如何使信息安全的價值得到認可并在組織內部最大化；其三是如何滿足企業內部各部門有計劃或無計劃的信息安全服務需求；其四是如何確保以一種系統主動和集中統一的方式來管理業務和遵從性需求，并實現清晰的測量和不斷的改進。

當前各企業廣泛采用的標準或最佳實踐有幾種：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。這些標準各有優點，但也有明顯的缺憾，如表1所示（缺憾部分用X表示）。

設計本信息安全架構旨在解決上述問題并建立一種高效機制達到如下目標。

* 將企業戰略轉化為信息安全計劃，確保信息安全的可追溯性、持續一致性和簡潔性，以降低成本、減少重復和提高效率。將信息安全融入到組織的業務流程中，建立一致性和可追溯性；建立清晰的信息安全架構和愿景，以減少重復和指導信息安全投入和解決方案的實施。

* 基于客戶服務理念，信息安全服務價值得到認可，信息安全靠攏業務部門，為信息安全管理和業務管理建立共同語言。

* 全面管理信息安全，滿足目前絕大多數法律法規、標準的最佳實際的要求，并具有靈活的可擴展性，當新需求出現后能夠將其平滑的融入到現有架構中。

* 系統和集中統一的方式，使信息安全管理可預測和可測量，并不斷的改進。

2 信息安全架構設計

2.1 信息安全架構設計所基于的原則

本信息安全架構的設計遵循四大原則。

1）業務驅動：所有的信息安全目標應該從業務需求中來，從而保證信息安全管理總是做“正確的事”。

2）整合、統一的架構：現在有數以十計的信息安全相關的法律法規，標準和最佳實踐需要去符合或參考，且其各有不同的要求側重點和優缺點。因此很有必要將所有相關的信息安全關注點整合到一個統一的架構中，以保證所有要求都被滿足，同時避免不要的重復。例如，ISO27001關注全面安全控制和風險管理，PCIDSS側重支付卡環境中技術控制和策略管理等。

3）系統化思維：運用系統化思維可以幫助組織解決復雜且動態的問題，適應運營中的各種變化，減輕戰略上的不確定性和外部因素的影響。例如，需要整合機構、人員、技術和流程；需要考慮安全、成本和易用性的權衡；需要靠持續改進（Plan-Do-Check-Act）；需要考慮全面防護和縱深防護。

4）易用性：信息安全架構的最大價值在于被理解和廣泛應用于組織的實踐當中。因此，信息安全架構必須易于理解并且實際可操作性要強，應避免太過復雜和晦澀。

2.2 信息安全架構實現

2.2.1 信息安全架構-域試圖

基于上面的基本原則，本信息安全架構由三個域組成（如圖1所示）：治理（Governance）、保障（Assurance）和服務（Services）。

治理（Governance）：信息安全治理域強調戰略一致性，風險管理，資源管理和有效性測量。治理域又包括三個子域：愿景與戰略、風險與遵從性管理和測量。各子域主要功能如下所述。

* 愿景與戰略：將遵從性要求，信息安全的發展趨勢，行業發展趨勢和業務戰略轉化為信息安全愿景、戰略和路線圖。

* 風險與遵從性管理：管理信息安全風險使信息安全風險控制在組織可接受的范圍內。

* 測量：監控和測量整體信息安全的有效性并持續提升信息安全對組織的價值。

保障：保障域側重于信息安全的全面與縱深防護措施。保障域包含預防、監測、響應和恢復四個部分。各部分主要功能如下所述。同時保護的對象為不同層面的信息資產：數據層、應用層、IT基礎設施層和物理層。

* 預防：實施信息安全控制措施包括管理措施和技術措施，防止信息安全威脅損害組織的信息安全控態。

* 監測：部署信息安全監測能力監控正在發生或已經發生的信息安全事態。

* 響應：部署信息安全響應體系迅速、高效的抑制信息安全事件。

* 恢復：建立組織的可持續性能力，但重要信息系統不可用時，可以在計劃的時間內恢復。

服務：服務域顯示了面向客戶（內部和外部），協作與知識更新對信息安全實踐非常重要。服務域包含三個部分：信息安全服務、知識管理、意識與文化。各部分主要功能如下所述。

* 信息安全服務：信息安全團隊應對待組織內部其他部門和對外部客戶一樣，基于服務基本協議，提供高質量的信息安全服務。

* 知識管理：知識是信息安全實踐和服務的基石。信息安全知識管理包括獲取、維護和利用知識去獲取最大的信息安全專業價值。信息安全知識應不僅在信息安全團隊內部而且在整個組織被共享。

* 意識與文化：信息安全意識與文化在組織內部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全，關心信息安全、在日常工作中關注信息安全。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風險至關重要。

2.2.2 信息安全架構-組件試圖

為支撐信息安全架構的三個域，本信息安全架構組件融合了不同標準和最佳實踐的精華部分，并自成一體，如圖2所示。本架構參考的標準主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架構在企業內實際應用效果分析

本信息安全架構已被推廣和應用到各個行業中，如保險業、銀行業、教育和非盈利性機構等。本文選取一個保險企業的案例來說明本信息安全架構給企業帶來的積極變化。

背景：此保險公司有3000名員工，計劃在加拿大多倫多（Toronto）上市，因此需要符合加拿大和行業的一些法律法規的要求，如Bill198、PIPEDA、PCIDSS等。同時公司高層決定借鑒信息安全管理的最佳實踐標準，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構的特點就是融合各法規、標準和最佳實踐的要求，因此不需要做任何大的改動的情況下（降低成本）就能應用到此保險公司中。

經過9個月的實際運行，公司進行了各項測量指標重新評估并與實施本信息安全架構前的指標進行了對比分析。

3.1 平衡計分卡（Balanced Scorecard）[10]測評分析

平衡計分卡是衡量信息安全對企業貢獻價值的一種分析工具。平衡計分卡包括四個測量項目：對企業的貢獻，對愿景的規劃，內部流程的成熟度和面向客戶。該保險公司在實施本信息安全架構前后分別進行了兩次測評。測評方法是由公司高級管理人員和各部門經理對信息安全部門進行評估，0級表示無成績，5級表示完美，然后取平均值。2011年7月評估結果顯示“企業貢獻”為2.2，“愿景規劃”為2.5，“內部流程”為2.8，“面向客戶”為2.1；2012年7月評估結果顯示“企業貢獻”為4.1，“愿景規劃”為3.9，“內部流程”為3.8，“面向客戶”為4.1。如圖3所示。測評結果表明實施本信息安全架構后企業高層及各部門對信息安全給企業帶來的價值的認可度有較為明顯提升。

3.2 總體信息安全成熟度級別分析

本文采取的信息安全總體成熟度的評價是基于ISO27002的控制域和CMMI[11]的評估級別。0級是最低級，5級是最高級。該保險公司在實施本信息安全架構前后分別進行了兩次自評估。2011年10月實施本信息安全架構前成熟度水平是介于2.0-3.0之間， 2012年10月實施本信息安全架構后成熟度水平是介于3.0-4.5之間，如圖4所示。成熟度級別分析結果表明實施本信息安全架構后整體成熟度有較為明顯提升。

3.3 獨立審核發現點數量分析

第三方機構獨立審核是從專業、客觀的角度來衡量整體信息安全控制措施，包括管理、技術和流程。審核發現點的數量越多，表明脆弱點越多，存在的風險越大。該保險公司在實施本信息安全架構前后分別邀請用一個第三方審核機構對其進行了全面審核與評估（依據上市公司的管控要求）。2011年9月審核結果顯示有4個高風險項，8個中風險項和13個第風險項；2012年9月審核結果顯示無高風險項，且只有2個中風險項和4個第風險項。如圖5所示。審核結果表明實施本信息安全架構后整體風險水平有較為明顯降低。

3.4 信息安全事件發生數量分析

信息安全事件（特別是1級與2級事件）發生的數量標志著信息安全控制措施的全面性和有效性。信息安全事件數量越少，表明整體控制措施越有效。該保險公司統計了實施本信息安全架構前后發生的信息安全事件數量。2011年1月-10月期間有4個一級安全事件（重大），12個二級安全事件（嚴重），25個三級安全事件和40個四級安全事件；2012年1月-10月期間有1個一級安全事件（重大），2個二級安全事件（嚴重），10個三級安全事件和16個四級安全事件。如圖6所示。信息安全事件數量分析結果表明實施本信息安全架構后安全控制措施的全面性和有效性有較為明顯增強。

3.5 魚叉式網絡釣魚模擬攻擊測試結果分析

模擬釣魚攻擊測試是對企業員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊（點擊鏈接）的人數越少，表明整體信息安全水平越高。該保險公司采用ThreatSim的模擬攻擊測試平臺，在實施本信息安全架構前后分別選取了5個分支機構（共200人）進行了模擬攻擊測試。測試的主要方法是注冊一個與該保險公司類似的網絡域名，然后偽造一份看似從信息安全管理員發出的E-mail，此E-mail的大致內容是說該保險公司于近期對相關系統進行了升級，將會影響到原有的帳戶和密碼，要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網頁。

2011年5月測試結果顯示有47%的員工點擊了有害鏈接，點擊有害鏈接的員工中有18%的人輸入了密碼，點擊有害鏈接的員工中有68%的人完成了在線培訓內容；2012年5月測試結果顯示有14%的員工點擊了有害鏈接，點擊有害鏈接的員工中有3%的人輸入了密碼，點擊有害鏈接的員工中有98%的人完成了在線培訓內容。如圖7所示。模擬攻擊測試分析結果表明實施本信息安全架構后該保險公司員工整體信息安全意識水平有較為明顯進步。

3.6 信息安全服務客戶滿意度調查結果分析

客戶滿意度調查是從被服務客戶的角度來衡量信息安全團隊的服務能力，以及給公司帶來的實際價值。滿意度百分比值越高，表明信息安全團隊的能力和服務價值越被認可。該保險公司在實施本信息安全架構前后分別對精算部、個人保險部、商業保險部、索償部、渠道與銷售部做了信息安全服務滿意度調查。

2011年8月調查結果顯示對服務專業質量的滿意度為72%，對服務請求響應速度的滿意度為46%，對服務態度的滿意度為67%，整體滿意度為60%；2012年8月調查結果顯示對服務專業質量的滿意度為95%，對服務請求響應速度的滿意度為85%，對服務態度的滿意度為92%，整體滿意度為88%；如圖7所示。客戶滿意度分析結果表明實施本信息安全架構后企業各部門對信息安全服務價值的認可度有較為明顯提升。

4 結束語

現階段信息安全管理著重在信息安全的風險控制，隨著信息安全管理角色的轉變，信息安全需要跟多的與組織戰略結合，為組織創造更多的價值，并通過提供信息安全服務使組織內部各部門享受到信息安全給組織帶來的價值并認可這些價值。當前被廣泛采用的一些標準和最佳實踐有其優點，但同時無法滿足一些新的挑戰。目前缺乏一種高效可執行的信息安全架構來將企業戰略轉化為信息安全計劃、基于客戶服務理念使信息安全服務價值最大化以及全面系統化管理信息安全。本文針對上述問題提出的一種面向企業戰略和服務的信息安全架構。通過將本信息安全架構應用到實際的企業中，驗證了本信息安全架構能夠為企業提供更多的價值、增強客戶滿意度、提升整體安全成熟度和員工信息安全意識水平。

參考文獻

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves，等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者簡介：

篇5

1美國電力行業信息安全的戰略框架

為響應奧巴馬政府關于加強丨Kj家能源坫礎設施安全(13636行政令，即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求，美國能源部出資，能源行業控制系統工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護能源行業控制系統路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎上，于2011年了《實現能源傳輸系統信息安全路線閣》。2011路線圖為電力行業未來丨0年的信息安全制定了戰略框架和行動計劃，體現了美國加強國家電網持續安全和可靠性的承諾和努力%

路線圖基于風險管理原則，明確了至2020年美國能源傳輸系統網絡安全目標、實施策略及里程碑計劃，指導行業、政府、學術界為共丨司愿景投入并協同合作。2011路線圖指出：至2020年，要設計、安裝、運行、維護堅韌的能源傳輸系統(resilientenergydeliverysystems)。美國能源彳了業的網絡安全目標已從安全防護轉向系統堅韌。路線圖提出了實現目標的5個策略，為行業、政府、學術界指明了發展方向和工作思路。(1)建立安全文化。定期回顧和完善風險管理實踐，確保建立的安全控制有效。網絡安全實踐成為能源行業所有相關者的習慣,，(2)評估和監測風險。實現對能源輸送系統的所有架構層次、信息物理融合領域的連續安全狀態監測，持續評估新的網絡威脅、漏洞、風險及其應對措施。(3)制定和實施新的保施。新一代能源傳輸系統結構實現“深度防御”，在網絡安全事件中能連續運行。(4)開展事件管理。開展網絡事件的監測、補救、恢復，減少對能源傳輸系統的影響。開展事件后續的分析、取證以及總結，促進能源輸送系統環境的改進。(5)持續安全改進。保持強大的資源保障、明確的激勵機制及利益相關者密切合作，確保持續積極主動的能源傳輸系統安全提升。為及時跟蹤2011路線圖實施情況，能源行業控制系統工作組(ESCSWG)提供了ieRoadmap交互式平臺。通過該平臺共享各方的努力成果，掌握里程碑進展情況，使能源利益相關者為路線圖的實現作一致努力。

2美國電力行業信息安全的管理結構

承擔美國電力行業信息安全相關職責的主要政府機構和組織包括：國土安全部(DHS)、能源部(1)0￡)、聯邦能源管理委員會(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業委員會(PUC)。2.1國土安全部美國國土安全部是美國聯邦政府指定的基礎設施信息安全領導部I'j'負責監督保護政府網絡安全，為私營企業提供專業援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負責與聯邦相關部門、各州、各行業以及國際社會共享網絡威脅發展趨勢，組織協調事件響應。

2.2能源部

美國能源部不直接承擔電網信息安全的管理職責，而是通過指導技術研發和協助項目開發促進私營企業發展和技術進步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔加強國家能源基礎設施的可靠性和堅韌性的職責，提供技術研究和發展的資金，推進風險管理策略和信息安全標準研發，促進威脅信息的及時共享，為電網信息安全戰略性綜合方案提供支撐。

能源部2012年與美國國家標準技術研究院、北美電力可靠性公司合作編制了《電力安全風險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協作編制完成了《電力行業信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨，以支撐電力行業的信息安全能力評估和提升;2014年資助能源行業控制系統工作組(ESCSWG)形成了《能源傳輸系統網絡安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強供應鏈的信息安全風險管理。

在201丨路線圖的指導下，能源部啟動了能源傳輸系統的信息安全項目，資助愛達荷國家實驗室建立SCADA安全測試平臺，發現并解決行業面臨的關鍵安全漏洞和威脅;資助伊利諾伊大學等開展值得信賴的電網網絡基礎結構研究。

2.3聯邦能源管理委員會

聯邦能源管理委員會負責依法制定聯邦政府職責范圍內的能源監管政策并實施監管，是獨立監管機構。2005年能源政策法案(EnergyPolicyActof2005)授權FERC監督包括信息安全標準在內的主干電網強制可靠性標準的實施。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標準與技術研究所(National丨nstituteofStandardsan<丨Technology，NIST)相關責任以協調智能電網指導方針和標準的編制和落實。2011年的電網網絡安全法案(GridCyberSecurityAct)要求FKRC建立關鍵電力基礎設施的信息安全標準。

2007年FERC批準由北美電力可靠性公司制定的《關鍵基礎設施保護》(criticalinfrastructprotection，CIPW標準為北美電力可靠性標準之中的強制標準，要求各相關企業執行，旨在保護電網，預防信息系統攻擊事件的發生。

2.4北美電力可靠性公司

北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監管下，制定并強制執行包括信息安全標準在內的大電力系統可靠性標準，開展可靠性監測、分析、評估、信息共享，確保大電力系統的可靠性。

NERC了一系列的關鍵基礎設施保護(CIP)標準181作為北美電力系統的強制性標準;與美國能源部和NIST編制了《電力行業信息安全風險管理過程指南》，提供了網絡安全風險管理的指導方針。

歸屬NERC的電力行業協凋委員會(ESCC)是聯邦政府與電力行業的主要聯絡者，其主要使命是促進和支持行業政策和戰略的協調，以提高電力行業的可靠性和堅韌性'NERC通過其電力行業信息共享和分析中心(ES-ISAC)的態勢感知、事件管理以及協調和溝通的能力，與電力企業進行及時、可靠和安全的信息共享和溝通。通過電網安全年會(GridSecCon)、簡報，提供威脅應對策略、最佳實踐的討論共享和培訓機會;組織電網安全演練(GridEx)檢查整個行業應對物理和網絡事件的響應能力，促進協調解決行業面臨的突出的網絡安全問題。

2.5州公共事業委員會

美國聯邦政府對地方電力公司供電系統的可靠性沒有直接的監管職責。各州公共事業委員會負責監管地方電力公司的信息安全，大多數州的PUC沒有網絡安全標準的制定職責。PUC通過監管權力，成為地方電力系統和配電系統網絡安全措施的重要決策者。全國公用事業監管委員協會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯盟協會，也采取措施促進PUC的電力網絡安全工作，呼吁PUC密切監控網絡安全威脅，定期審查各自的政策和程序，以確保與適用標準、最佳實踐的一致性

3美國電力行業信息安全的硏究資源

參與美國電力行業信息安全研究的機構和組織主要有商務部所屬的國家標準技術研究院及其領導下的智能電網網絡安全委員會、國土安全部所屬的能源行業控制系統工作組，重點幵展電力行業信息安全發展路線圖、框架以及標準、指南的研究。同時，能源部所屬的多個國家實驗室提供網絡安全測試、網絡威脅分析、具體防御措施指導以及新技術研究等。

3.1國家標準技術研究院(NIST)

根據2007能源獨立與安全法令，美_國家標準技術研究院負責包括信息安全協議在內的智能電網協議和標準的自愿框架的研發能電網互操作標準的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本，明確了智能電網的網絡安全原則以及標準等。2011年3月，NIST了信息安全標準和指導方針系列中的旗艦文檔《NISTSP800-39，信息安全風險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)，提供了一系列有意義的信息安全改進建議。2014年2月，根據13636行政令，了《提高關鍵基礎設施網絡安全框架》第一版，以幫助組織識別、評估和管理關鍵基礎設施信息安全風險。

NIST正在開發工業控制系統(ICS)網絡安全實驗平臺用于檢測符合網絡安全保護指導方針和標準的_「.業控制系統的性能，以指導工業控制系統安全策略最佳實踐的實施。

3.2智能電網網絡安全委員會

智能電網網絡安全委員會其前身是智能電網互操作組網絡安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網安全架構、風險管理流程、安全測試和認證等研究，致力于推進智能電網網絡安全的發展和標準化。

在NIST的領導下，SGCC編制并進一步修訂了《智能電網信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網信息安全分析框架，為組織級研究、設計、研發和實施智能電網技術提供了指導性T.具。

3.3國家電力行業信息安全組織(NESC0)

能源部組建的國家電力行業信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)，集結了美國國內外致力于電力行業網絡安全的專家、開發商以及用戶，致力于網絡威脅的數據分析和取證工作⑴。美國電力科學研究院(EPRI)作為NESC0成員之一提供研究和分析資源，開展信息安全要求、標準和結果的評估和分析。NESCO與能源部、聯邦政府其他機構等共同合作補充和完善了2011路線圖的關鍵里程碑和目標。

3.4能源行業控制系統工作組(ESCSWG)

隸屬國土安全部的能源行業控制系統工作組由能源領域安全專家組成，在關鍵基礎設施合作咨詢委員會框架下運作。在能源部的資助下，ESCSWG編制了《實現能源傳輸系統信息安全路線圖》、《能源傳輸系統網絡安全釆購用語指南》。3.5能源部所屬的國家實驗室

3.5.1愛達荷國家實驗室(INL)

愛達荷W家實驗室成立于1949年，是為美國能源部在能源研究、國家防御等方面提供支撐的應用工程實驗室。近十年來，INL與電力行業合作，加強了電網可靠性、控制系統安全研究。

在美國能源部的資助下，INL建立了包含美國國內和國際上多種控制系統的SCADA安全測試平臺以及無線測試平臺等資源，目的對SCADA進行全面、徹底的評估，識別控制系統脆弱點，并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統信息安全項目，INL提出了采用數據壓縮技術檢測惡意流量對SCADA實時網絡保護的方法hi。為支持美國國土安全部控制系統安全項目，INL開發并實施了培訓課程以增強控制系統專家的安全意識和防御能力。1NL的相關研究報告有《SCADA網絡安全評估方法》、《控制系統十大漏洞及其補救措施》、《控制系統網絡安全：深度防御戰略》、《控制系統評估中常見網絡安全漏洞》%、《能源傳輸控制系統漏洞分析>嚴|等。

3.5.2太平洋西北國家實驗室(PNNL)

太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室，研究解決美國在能源、環境和國家安全等方面最緊迫的問題。

PNNL提出的安全SCADA通信協議(secureserialcommunicationsprotocol,SSCP)的概念，有助于實現遠程訪問設備與控制中心之間的安全通信。的相關研究報告有《工業控制和SCADA的安全數據傳輸指南》等。PNNL目前正在開展仿生技術提高能源領域網絡安全的研究項。

3.5.3桑迪亞國家實驗室(SNL)

篇6

關鍵詞：銀行網絡；銀行數據安全性；網絡安全性

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2010)20-5422-02

當前，很多網絡技術經過培訓，都能被大部分人所理解和運用，利用成熟度的網絡技術，對銀行系統的網絡做以改進，在對原系統不做大規模改變的情況下，提高銀行網絡數據傳輸的安全性，這是整個銀行網絡安全最為基礎和關鍵的環節。

1 我國銀行網絡安全運行中存在的問題

1.1 銀行網絡自身的問題

1) 網絡系統存在的不安全因素。由于網絡化的銀行業務中大部分的業務和風險控制工作都是由電腦中的大量程序完成的，所以，網絡信息系統的安全性就成為銀行網絡運行中最重要的技術風險，雖然在銀行網絡系統的設計過程中有多層次的安全系統，但是隨著新的技術不斷發展，雖然可以保護銀行網絡柜臺的順利運行，但是銀行的網絡系統仍然是網絡銀行運行中最為關鍵的環節。

2) 網絡特有的開放性，是病毒流傳的淵源。由于因特網所具有的開放性，使得各種計算機病毒隨著網絡到處流傳，這種病毒嚴重威脅到銀行網絡的各個系統的順利運行，尤其是隨著銀行網絡的不斷開放，更加為病毒的傳播提供了有效的傳播途徑，這位銀行的網絡安全帶來了巨大的威脅。

3) 專業人才緊缺。當前的網絡銀行發展，需要的是集合金融業務知識與計算機技術知識為一體的綜合型人才，要求這類人才必須要熟悉銀行的各種業務，同時又要懂得網絡技術，只有這種人才才是保證銀行網絡安全運行的重要保證，因此，在我國的銀行網絡發展中，急需的正是這樣的人才，當前人才的緊缺，也是造成銀行網絡安全隱患的原因之一。

1.2 各種來自外部攻擊手段所帶來的安全問題

1) 來自網絡黑客的攻擊。近年來，網絡銀行不斷遭到黑客的攻擊，導致一部分銀行將網上支付系統關閉，密碼被竊取，和各種假冒的營業網點已經成為銀行網絡業務中最大的安全隱患。網絡黑客通常的做法是利用各種木馬程序，向用戶發送一些促銷活動的通知郵件，誘惑用戶訪問其事先預設的網站，用戶一旦訪問該網站，就會將賬號和密碼泄露，給犯罪分子可乘之機。

2) 犯罪分子的經濟犯罪行為。由于網絡銀行的支付系統是由金錢進行支付和結算的，因此，很容易引起不法分子的注意，使很多犯罪分子利用網絡銀行進行各種詐騙行為，嚴重的會使銀行和用戶雙方受到嚴重的損失。

3) 工作人員的內部職務犯罪。很多銀行的內部工作人員利用工作之便，自行進入銀行的網絡系統，進行違法犯罪的活動，對銀行的網絡安全也是一種嚴重的威脅。

4) 越來越多的病毒威脅。計算機病毒是威脅網絡安全的一個最為嚴重的威脅，普通的計算機病毒會導致數據丟失，使整個計算機網絡和程序遭到破壞，很多正常的項目無法運行，甚至使計算機系統癱瘓。由于病毒的入侵，導致系統癱瘓的例子越來越多，各種層出不窮的計算機病毒存在于網絡的各個角落，一觸即發，令網絡安全處于一個令人堪憂的環境。

2 銀行網絡數據傳輸系統建設的背景

當前的廣域網中，銀行所采用的內部網絡一般都是營運商的專用路線，通常情況下，銀行網絡數據傳輸系統的數據鏈路層一般都是采用HDLC、PPP、ATM、幀中繼等等通用的協議，在網絡層一般采用IP 協議，并且在數據鏈路層和網絡層之間不做安全處理，因此，在了解到銀行網絡系統的網絡層IP 協議之后，就很容易根據IP協議的規劃和訪問控制等細節，獲得其他信息，就會有不法之徒利用這些信息，模擬出銀行網點極為相似的業務環境，實施其犯罪活動，比如在各個網點簽到的柜員到了自己的崗位之后，從運營商的網站中模擬出網點的終端，就可以先顯出交易畫面，進行違法活動。

3 運用網絡安全技術，提高網絡數據安全性

網絡安全技術是運用各種技術手段，增加網絡安全的措施，一般包括防火墻技術，網絡設備的安全技術，加密技術等等，下面簡要分析各種安全技術。

1) 網絡防火墻技術：網絡防火墻是根據最小權限的原則。由于網絡之間存在著訪問控制權限，因此實現了網絡隔離，設置網絡防火墻，可以成功的隔離DMZ，有效保護網絡內部的安全。防火墻一般有包過濾型防火墻，應用型防火墻等等，防火墻可以采用專門的硬件和專用的網絡操作系統，也可以基于服務器軟件實現。在銀行網絡系統中，應用的比較成熟的是狀態包過濾的防火墻，可以對IP地址訪問端口進行嚴格的控制，確保網絡出入口的安全，在網絡內部的重要區域也可以設置防火墻技術，以確保網絡數據的安全傳送。在防火墻的設計過程中，需要網絡維護人員對業務流程和應用數據有著明確的認識，同時要了解訪問關系和網絡應用端口，實現網絡安全與應用開發部門的有效結合。

2) 網絡設備安全技術：網絡設備安全技術一般是指訪問控制列表技術，通過這種技術，實現傳輸層與網絡層的訪問控制，比如在銀行辦公網絡中的交換機LAN接口，部署ACL，可以限制普通用戶或者測試網絡對服務器的訪問權限，不會影響到網絡內部數據的正常運行。網絡設備的主要功能體現在轉發和路由上，而對于訪問控制權限較弱的網段，可以采用一些簡單的網絡控制，相對于硬件的防火墻技術，網絡設備自身的安全訪問權限功能更加專業，能夠更好的維護網絡數據的傳輸安全。

3) 加密技術：加密技術是維護網絡和信息安全的重要保障，基于TCP/IP協議的加密技術，是與網絡層相關聯的一種技術，常見的有鏈路層加密，網絡層加密以及傳輸層加密等等，加密產品有硬件也有軟件。鏈路層加密一般是以硬件產品加密為主，在廣域網中實施一點對一點或者一點對多點的加密和解密技術，保障數據在連路層的安全傳輸；而在網絡層多使用的軟件產品加密技術，這種軟件產品加密技術成本小，可以在不同的網絡層實施加密和解密技術，實現數據在各個網絡層之間安全傳輸。

4) 審計網絡日志：應用網絡管理系統，實現網絡中的事件管理，對日志進行管理和變更，這也是提高銀行網絡安全性的一個重要保障，因為網絡系統中所包含的各種網絡日志是進行日志審計的重要來源。日志審計是及時發展系統漏洞以及安全隱患的有效辦法，網絡系統中存在的事件日志、用戶登錄日志等等都是可以審計的內容。將日志進行收集和整理后，通過分析和審計，發揮其應有的作用。在銀行網絡系統中，可以采用仿真的模擬運行系統，記錄攻擊者的方式和端口，通過日志的審計功能，評估其面臨的風險程度。

4 總結

網絡安全是一個系統的，可控的，動態的工程，金融部門應當將增強網絡安全意識，投入大量的人力物力，進行技術改進，打造專門的技術團隊，對銀行內部網絡安全進行風險評估，購買安全產品，實施各種安全技術，建立多層次的安全體系，完善安全防范機制，確保銀行網絡數據的安全運行。

參考文獻：

[1] 范平平.我國網絡銀行現狀及安全性分析[J].內江職業技術學院學報,2008(4).

[2] 魏強.淺析增強銀行網絡數據傳輸安全性[J].企業技術開發：下,2009(7).

[3] 劉紅.試析網絡銀行的安全性措施[J].北京市計劃勞動管理干部學院學報,2006(3).

[4] 王惠君.銀行網絡數據通信安全與保密問題的研究[J].電腦與信息技術,2008(3).

[5] 姜慧群,師志勇.淺析從網絡數據監測中獲取實時數據的方法[J].華南金融電腦,2006(8).

篇7

隨著寬帶網絡和用戶規模的不斷增長，用戶對寬帶接入業務的高可用性要求不斷增強，對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手，結合電信IP城域網，提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。

關鍵字（Keywords）：

安全管理、風險、弱點、評估、城域網、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程，通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質，可以看作是動態地對信息安全風險的管理，即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408－1（信息安全風險管理和評估規則），給出了一個非常經典的信息安全風險管理模型，如下圖一所示：

圖一信息安全風險管理模型

既然信息安全是一個管理過程，則對PDCA模型有適用性，結合信息安全管理相關標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監控與評估－維護和改進）的循環過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關標準、結合企業信息系統實際情況，建設適合于自身的ISMS信息安全管理體系，ISMS的構建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內定義信息安全策略、方針和指南

（3）對范疇內的相關信息和信息系統進行風險評估

a)Planning（規劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風險分析）

uAssetsIdentification&valuation(資產鑒別與資產評估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點分析）

u資產/威脅/弱點的映射表

uImpact&LikelihoodAssessment（影響和可能性評估）

uRiskResultAnalysis（風險結果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護措施）

e)Monitoring&Implementation（監控和實施）

f)Effectestimation（效果檢查與評估）

（4）實施和運營初步的ISMS體系

（5）對ISMS運營的過程和效果進行監控

（6）在運營中對ISMS進行不斷優化

3IP寬帶網絡安全風險管理主要實踐步驟

目前，寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高，且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理，以使得能夠動態的了解、管理和控制各種可能存在的安全風險。

由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進行項目實踐：

3.1項目準備階段。

a)主要搜集和分析與項目相關的背景信息；

b)和客戶溝通并明確項目范圍、目標與藍圖；

c)建議并明確項目成員組成和分工；

d)對項目約束條件和風險進行聲明；

e)對客戶領導和項目成員進行意識、知識或工具培訓；

f)匯報項目進度計劃并獲得客戶領導批準等。

3.2項目執行階段。

a)在項目范圍內進行安全域劃分；

b)分安全域進行資料搜集和訪談，包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等；

c)在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產表、威脅評估表、風險評估表和風險關系映射表；

d)對存在的主要風險進行風險等級綜合評價，并按照重要次序，給出相應的防護措施選擇和風險處置建議。

3.3項目總結階段

a)項目中產生的策略、指南等文檔進行審核和批準；

b)對項目資產鑒別報告、風險分析報告進行審核和批準；

c)對需要進行的相關風險處置建議進行項目安排；

4IP寬帶網絡安全風險管理實踐要點分析

運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段，需要特別注意以下要點：

4.1安全目標

充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。

4.2項目范疇

應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統：如網管系統、AAA平臺、DNS等。

4.3項目成員

應該得到運營商高層領導的明確支持，項目組長應該具備管理大型安全咨詢項目經驗的人承擔，且項目成員除了包含一些專業安全評估人員之外，還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。

4.4背景信息搜集：

背景信息搜集之前，應該對信息搜集對象進行分組，即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含：

a)IP寬帶網絡總體架構

b)城域網結構和配置

c)接入網結構和配置

d)AAA平臺系統結構和配置

e)DNS系統結構和配置

f)相關主機和設備的軟硬件信息

g)相關業務操作規范、流程和接口

h)相關業務數據的生成、存儲和安全需求信息

i)已有的安全事故記錄

j)已有的安全產品和已經部署的安全控制措施

k)相關機房的物理環境信息

l)已有的安全管理策略、規定和指南

m)其它相關

4.5資產鑒別

資產鑒別應該自頂向下進行鑒別，必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組；然后可以在一級資產組內，按照功能或地域進行劃分二級資產組，如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組；進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別，鑒別其設備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應該具有針對性，即按照不同的資產組進行針對性威脅分析。如針對IP城域網，其主要風險可能是：蠕蟲、P2P、路由攻擊、路由設備入侵等；而對于DNS或AAA平臺，其主要風險可能包括：主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進行評定，作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見，尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。

4.8威脅可能性分析

是指某種威脅可能發生的概率，其發生概率評定非常困難，所以一般情況下都應該采用定性的分析方法，制定出一套評價規則，主要由運營商管理人員按照規則進行評價。

篇8