導言：作為寫作愛好者，不可錯過為您精心挑選的10篇網絡安全風險管理，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

篇1

目前關于計算機網絡安全問題與對策的研究比較多，主要集中在網絡安全威脅的類型和網絡安全的防范措施兩個方面。第一，在網絡安全威脅的類型方面，廖博藝介紹了網絡安全威脅的相關情況，他認為計算機病毒是首要威脅，系統漏洞和惡意攻擊是重要威脅。袁劍鋒分析了網絡安全中存在的問題，主要是自然威脅、身份鑒別威脅等。第二，在網絡安全的防范措施方面，仝世君從用戶、系統開發者、黑客這三個主體的角度分析了網絡安全面臨的問題，并提出了多種應對措施。羅濤提出網絡安全最薄弱的環節是人的漏洞，因此要加強網絡安全教育。

總體上，已有研究多關注網絡安全建設，但大多是定性介紹，泛泛而談，沒有形成系統的分析框架。因此本文通過建立風險分析框架，基于流程來分析計算機網絡在運行過程中存在的風險與問題，并提出針對性的對策建議。

二、計算機網絡運行的風險分析

計算機網絡在運行過程中會面臨諸多方面的問題。為了更加全面地分析計算機網絡運行過程中的風險與問題，本文以風險管理流程的三個層面為框架，結合計算機網絡的風險來源和風險處理要素，構建了計算機網絡安全的風險分析框架，并按照該框架提出對策意見。具體包括：風險來源分析，即從計算機網絡運行的三個核心要素分析，包括操作系統、軟件應用、數據信息；風險評估分析，即從資產損失、威脅行為兩個方面分析可能的風險影響；風險處理分析，包括風險預防和風險應對兩個層面提出應對策略。

（1）風險來源分析。計算機網絡面臨的風險來源包括三個方面。第一，在操作系統方面存在的風險。目前計算機的操作系統主要是Windows、Linux等。由于操作系統的集中性，導致操作系統的安全性存在很大的問題。這些操作系統的源代碼是公開的，一些程序員可以在這方面做文章，如制作病毒攻擊。這是所有計算機都可能面臨的風險。第二，在軟件應用方面存在的風險。某些黑客設計出一些帶有病毒的軟件來竊取用戶的信息，如照片、通信信息等。第三，數據信息丟失的風險。例如應用軟件不小心被卸載了，會直接導致用戶數據的丟失。

（2）風險評估分析。風險評估是正確認識風險的重要一環。一般來說，對于計算機網絡存在的風險的評估要素包括兩個部分，即資產損失、威脅行為。首先，資產方面的評估不僅包括財產或貨幣資產，也包括無形的資產，比如當某個用戶的信息被泄露了，可能造成該用戶在名譽上的損失。其次，在威脅行為上的評估。計算機網絡的運行是流程性的、多方面的，在每個環節都有可能受到影響，用戶層面的受影響的范圍還較小，但若是平臺后臺或者數據庫被影響了，則波及面更廣、破壞性更大。

三、計算機網絡安全的對策分析

（1）風險預防層面。用戶、計算機系統設計者要結合風險隱患可能存在的三個方面進行預防。首先，在操作系統方面，操作系統設計公司和設計者們要不斷更新完善。其次，在軟件應用方面，用戶要學會使用計算機內部的安全設置功能。例如用戶可以在計算機內部存儲運行設置方面進行操作，做一些安全隱私性的設置。再次，在數據信息方面，用戶要及時保存原始數據，如上傳云盤，避免電腦崩潰、軟件運行錯誤等帶來的不必要的損失。

（2）風險應對層面。上述風險預防的措施主要是針對用戶的，因為這些用戶是使用計算機的主要對象，他們把預防工作做好了，會極大地減輕自身的風險損失。在風險應對方面，用戶面臨風險威脅時，比如支付信息被盜竊、個人隱私泄露等，用戶首先要與應用軟件的工作人員溝通，共同尋找降低損失的方案，其次要及時停止使用該軟件，以免造成二次損失。在必要時候可以向有關部門反映情況。對于平臺而言，當平臺被惡性攻擊，如平臺數據庫被破壞時，相關管理部門要啟動緊急預案，查明原因，追究破壞者的責任，降低平臺的損失，創造一個公正、透明、有序的網絡環境。

參考文獻

1.廖博藝.淺析計算機網絡安全問題與對策.網絡安全技術與應用，2014（06）.

2.袁劍鋒.計算機網絡安全問題及其防范措施.中國科技信息，2006（15）.

3.仝世君.淺談計算機網絡安全問題與對策.中國科技信息，2006（10）.

篇2

一、引言

從審計的角度，風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中，現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心，通過對被審計單位及其環境的了解，評估確定被審計單位的高風險領域，從而確定審計的范圍和重點，進一步決定如何收集、收集多少和收集何種性質的證據，以便更有效地控制和提高審計效果及審計效率。從企業管理的角度，企業風險管理將風險評估作為其基本的要素之一進行規范，要求企業在識別和評估風險可能對企業產生影響的基礎上，采取積極的措施來控制風險，降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分，是企業信息安全管理的基礎和關鍵環節。盡管如此，風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同，本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上，從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開，將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析，以期深化對網絡審計風險評估的理解。

二、網絡審計與歷史財務報表審計的風險評估比較

(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型，審計風險又由固有風險、控制風險和檢查風險構成。其中，固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下，其財務報表某項認定產生重大錯報的可能性；控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性；檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中，審計風險仍然包括固有風險、控制風險和檢查風險要素，但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率，為企業的經營管理帶來很大的優越性，但同時也為企業帶來了一些新的風險。這些新的風險主要表現為：(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了，這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求，非專業人員難以察覺計算機舞弊的線索，這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統，或者說，企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險，例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口，使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據，從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險，如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障，或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地，網絡審計的固有風險主要是指系統環境風險，即財務電算化系統本身所處的環境引起的風險，它可分為硬件環境風險和軟件環境風險。控制風險包括系統控制風險和財務數據風險，其中，系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險，財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險，審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險，人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。

(二)風險評估目的無論在網絡審計還是歷史財務報表審計中，風險評估只是審計的一項重要程序，貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此，兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類，因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險，審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動，無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中，一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同，企業在不同階段的控制目標和控制行為也會有所不同，因此，審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等，信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面：物理層，即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境；網絡層，即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等；系統層，即信息系統本身的漏洞情況、配置的缺陷情況；應用層，即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險，審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性，它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的，審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險，主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中，審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然，這兩類風險并非完全分離的，評估時審計人員應將兩者結合起來考慮。

(三)風險評估內容　廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同，因此兩者在風險評估的內容上也是存在區別的。總的來說，網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風

險》，在歷史財務報表審計中，審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險，審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險，審計人員除了從以上方面了解被審計單位及其環境外，還應該關注其他相關的潛在事件及其影響，尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中，威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節，它是系統或網絡財務信息本身固有的，包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說，脆弱點本身不會帶來損失或信息錯報，威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此，我們認為網絡審計申風險評估的內容應包括以下幾方面：(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅，并分析威脅發生的可能性；(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點，并分析脆弱點的嚴重程度；(3)根據威脅發生的可能性和脆弱點發生的嚴重程度，判斷風險發生的可能性；(4)根據風險發生的可能性，評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響；(5)若被審計單位存在風險防范或化解措施，審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。

(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求，審計人員應當實施詢問、分析程序、觀察和檢查等程序，以獲取被審計單位的信息，進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時，審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類，分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時，除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外，審計人員應格外關注對信息系統及網絡的特性情況，被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時，除執行常規程序外，審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外，針對特定系統或網絡技術風險的評估，審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等；管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中，IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式，獲取網絡中存在的攻擊和蠕蟲行為，并對通信流量進行分析；滲透測試是指在獲取用戶授權后，通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法；工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息，包括主機掃描、網絡掃描、數據庫掃描等，用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況，使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析，進而評價企業相關風險發生的概率以及可能帶來的損失；文檔審核是一種事前評價方法，屬于前置軟件測試的一部分，主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價，審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。

三、網絡審計與信息安全管理的風險評估比較

(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制，信息安全風險評估是企業管理的組成部分，它具有規劃、組織、協調和控制等管理的基本特征，其主要目的在于從企業內部風險管理的角度，在系統分析和評估風險發生的可能性及帶來的損失的基礎上，提出有針對性的防護和整改措施，將企業面臨或遭遇的風險控制在可接受水平，最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務，其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度，從而指導進一步審計程序。因此，兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看，兩者具有一致性，即都需要考慮與信息系統和信息相關的風險。但是，具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響，它要求評估人員關注與企業整個信息系統和所有的信息相關的風險，包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中，審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見，因此，風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險，而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同，信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動；他評估通常是由組織的上級主管機關或業務主管機關發起的，旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言，受托執行的信息安全風險評估應當歸屬于管理咨詢類，即屬于非鑒證業務，與網絡審計嚴格區分開來。

(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中，它將信息安全風險評估的內容分為兩部分：基本要素和相關屬性，提出信息安全風險評估應圍繞其基本要素展開，并充分考慮與這些基本要素相關的其他屬性。其中，風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施；相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是：(1)對信息資產進行識別，并對資產賦值；(2)對威脅進行分析，并對威

篇3

1風險識別

網絡安全防護工作主要包括以下幾方面：（1）網絡與信息安全管理機制，包括組織機構的設置和信息通報制度的建立等；（2）與網絡相關的各種設備設施，主要包括服務器、網絡設備、存儲設備、終端設備和各種操作系統及軟件等；（3）支撐網絡運行的基礎設備設施，主要包括機房電源、UPS、空調、防火設施以及溫度感應器、濕度感應器和視頻監控等監控設備；（4）網絡應急備份設備設施。明確網絡安全防護主要內容后，需要對各項內容存在的安全隱患進行逐一識別并加以分析。其中，管理機制可能存在的安全問題有：組織機構的建立以及機構建立后的完善程度，信息通報制度的建立以及通報渠道通暢性，各種管理制度的落實及執行力等。網絡相關設備設施存在的主要安全問題有：自然災害（如火災、雷擊）、環境事故（如斷電、鼠患）、人為對硬件破壞、數據庫和操作系統等軟件的漏洞以及人為等原因造成的安全隱患。支撐網絡運行的基礎設備設施可能存在的安全問題主要是：機房電源、UPS、空調和防火設施配備是否齊全；由于地震、爆炸、大火等災害造成通信線路斷裂；網絡連接接口松動或網絡設備損壞等。網絡應急備份設備可能存在安全問題主要是：應急預案和應急支援隊伍的建立及完善程度；應急演練開展的情況；重要數據和系統是否進行備份和備份的及時性等。

2風險評估

在對網絡安全保障工作中可能存在的風險和隱患進行識別后，通過對所收集的識別資料加以分析，進行風險估計。風險評估按照嚴重性、可能性和風險系數3個影響因素進行劃分。（1）風險嚴重性等級的劃分依據是進度延誤或者費用超支。延誤或超支指標按照每多5個百分點為1級劃分，共分為5個等級，分別用1~5數字表示。（2）風險可能性等級依據風險發生的概率進行劃分，共分為5個等級，也分別用1~5數字表示，概率<20%的為1級，發生概率每多出20%，即多一個等級。（3）風險系數通過對風險嚴重性和風險可能性的等級來確定，當風險嚴重性等級為5，可能性等級為5，那么它的風險系數是5×5=25，當風險嚴重性等級為1，可能性等級為1，那么它的風險系數是1×1=1，這樣風險系數共分為1~25等級。風險系數為1時，風險等級最低，屬于小風險，在一定程度上不會造成重大事故的發生，風險系數為25時，風險等級最高，屬于重大風險，一旦發生，會造成人員傷亡、財產損失、嚴重影響生產等后果，帶來不良的社會效應，需要引起高度的重視。

3風險規避

在對網絡安全防護工作存在的風險進行評估之后，網絡部門的管理者已經對網絡安全防護工作中存在的種種風險和嚴重程度有了一定的把握。這時需要找到風險發生的原因或者引起風險的觸發條件，并在此基礎上，從眾多的風險應對策略中，結合工作實際，選擇行之有效的方法和規避措施，把風險轉化為機會或將風險所造成的負面效應降低到最低的程度。比如，網絡安全管理機制的建立及完善是網絡安全防護的首要任務。首先，企業需要建立起完善的組織機構，包括領導小組和工作小組。領導小組的組成應該由企業的主要領導及各部門的主要負責人組成，一旦發生隱患和事故時，企業能夠做出快速響應；工作小組主要由企業的網絡管理員和各部門的相關技術人員組成，除了做好日常網絡與信息安全監督和管理工作，還要配合企業做好各項網絡安全的檢查工作。其次，企業需要建立并完善信息通報制度，并保障通報渠道的通暢性，發生事故時，利用通報渠道，可以迅速把發生事件及嚴重程度傳達到各級部門，使領導能夠迅速做出決策并把決策和方案傳遞到各部門，日常工作中，信息通報渠道也是相關人員學習和交流的平臺。再比如，關于某企業下屬企業的網絡相關設備設施和支撐網絡運行的基礎設備設施，當網絡通道中斷時，引發中斷的原因可能有3點：網絡外部鏈路故障、企業內電話班或機房設備故障、下屬企業內部網絡鏈路故障。根據上述網絡通道中斷的3個觸發條件，需要采取的規避措施是：通過各系統的監控系統對網絡狀況進行實時監控，發現問題立刻與鐵通、電信通等相關單位聯系；敦促電話班、上級企業網絡中心檢查設備，并建立共同的應急機制；檢查企業內部網絡鏈路上的關鍵設備狀況；對關鍵線路上的關鍵設備進行備份；梳理并熟知應急預案等。

險跟蹤

篇4

網絡安全基線是阻止未經授權信息泄露、丟失或損害的第一級安全標準。確保與產品相關的人員、程序和技術都符合基線，將有效提高政府的網絡安全等級。網絡安全基線應體現在采辦程序的技術需求以及性能標準中，以明確在整個采辦生命周期內產品或服務的網絡風險。由于資源有限以及采辦中風險的多樣性，政府應采取漸進和基于風險的方法，逐步增加超越基線的網絡安全需求。這種需求應在合同內清晰且專門列出。

開展網絡安全培訓

政府應對工業合作伙伴開展采辦網絡安全培訓。通過這種培訓向工業合作伙伴明確展示，政府正通過基于風險的方法調整與網絡安全相關的采購活動，且將在特定采辦活動中提出更多網絡安全方面的要求。

明確通用關鍵網絡安全事項定義

明確聯邦采辦過程中關鍵網絡安全事項的定義將提高政府和私營部門的效率和效益。需求的有效開發和完善很大程度上依賴于對關鍵網絡安全事項的共同認識。在采辦過程中，不清晰、不一致的關鍵網絡安全事項定義將導致網絡安全不能達到最優效果。定義的清晰界定應建立在公認或國際通用的標準上。

建立采辦網絡風險管理戰略

政府需要一個部門內普遍適用的采辦網絡風險管理戰略。該戰略將成為政府企業風險管理戰略的一部分，并要求政府部門確保其行為符合采辦網絡風險目標。該戰略應建立在政府通用的采辦愿景基礎上，并與美國家標準與技術研究院制定的“網絡安全框架”相匹配。戰略應為采辦建立網絡風險等級，并包含基于風險的采辦優先次序。戰略還應包含完整的安全需求。制定戰略時，政府應將網絡風險列入企業風險管理，并積極與工業界、民間和政府機構以及情報機構合作，共享已驗證的、基于結果的風險管理程序和最佳經驗。

加強采購來源的網絡風險管控

篇5

中圖分類號：TP393.08文獻標識碼：A文章編號：16727800（2011）012014102

作者簡介：黃勇（1971-），男，湖南長沙人，廣州涉外經濟職業技術學院信息學院講師、網絡工程師，研究方向為計算機網絡技術。1網絡信息安全的組織因素分析

1.1組織目標

組織目標是組織期望達到的一種狀態，它是組織所有成員的行動指南，是組織進行決策、協調、考核、效率評價的主要依據，同時它對組織中的成員具有激勵作用。影響組織目標的主要因素有:（1）網絡信息安全目標。組織中的信息安全目標是組織追求和實現高績效目標的子目標之一，組織只有達到了信息安全目標，才能真正確保實現組織的高績效目標；（2）信息安全目標的優先次序。組織目標的優先次序是指當組織存在諸多目標時，首先需要確定優勢目標，有了優勢目標才能形成優勢動機。如果不能形成優勢目標，則會分散組織的注意力，影響組織目標的實現，甚至使組織產生安全隱患。

1.2組織結構

組織結構組織內部協調和分工的基本形式，是組織正式確定的使工作分解、組合和協調的基本框架體系。組織結構主要由組織內部的各個要素組成，如組織人員、職位、責任、協同、關系、信息和目的等等。組織結構能否有效運行就取決于組織內部各個要素之間能否合理配置、充分協調、以及組織與所處的環境的適應程度。組織結構對于維持組織安全、可靠、有效的行動和控制整個組織的運作有著非常重要的影響，直接影響了組織目標能否順利實現。網絡信息系統中的安全問題與組織結構存在密切聯系，合理的信息安全組織結構是確保組織網絡信息安全管理的前提。

網絡信息系統組織結構：①信息安全工作組織：主要負責信息安全工作，設置組織的信息安全管理部門和網絡管理部門；②職責與權力：為了增強組織網絡信息系統的安全性，組織就要嚴格劃分和明確規定員工的職責并授予權限；③交流：通過交流可以把組織中的員工聯系起來，調動員工的積極性和協調能力，更有利于組織目標的實現；④資源：網絡信息安全離不開設備和技術，提高網絡信息的安全性需要不斷的開發新技術和更新或升級通信設備，這些都需要組織提供充足的人力資源、財力資源、物資資源和時間資源的支持。

1.3組織管理

組織管理是組織為實現組織目標而實施的控制、計劃、指揮、協調、監督等系列過活動。網絡信息安全工作中的組織管理包括: 建立安全制度、制訂安全策略、規范安全行為、監督管理的執行等方面。

(1)建立安全制度。組織制定網絡建設方案、信息安全保密規定、機房管理制度、口令管理制度、用戶上網使用手冊、網絡安全指南、系統操作規程、安全防護記錄、應急響應方案等一系列的信息安全制度，主要為保證網絡信息系統安全、可靠地運作。

(2)制訂安全策略。安全策略是企業整體的安全思想和觀念的宏觀反映，安全策略對于組織的網絡信息安全有重要作用，在它的指導下，組織開展信息安全建設和后續工作。隨著網絡安全技術、網絡拓撲結構和網絡應用技術的不斷發展，安全策略的制訂和實施已經成為一個動態的延續過程。

(3)規范安全行為。組織往往通過網絡通信安全規程來規范員工行為，規程主要基于具體的任務和功能的分析，通過識別、開發、審核、執行、驗證等循環往復過程建立起來，它規范了組織員工開展某一項活動或工作的行為。

(4)監督管理。主要針對組織信息安全相關的工作環節和重要步驟增強監管力度，對操作中可能出現的偏差和疏忽實施合理監督，確保正確的操作，以降低信息安全隱患。

1.4安全文化

組織文化是組織成員共奉的價值觀、態度以及內隱的行為規范。安全文化是組織文化的有機組成部分，它通常被定義為安全價值觀與安全行為的總和。良好安全文化能有效的降低組織的事故發生率，因此，形成了良好的安全文化氛圍會將直接影響著網絡信息的安全。具體相關因素包括：

(1)網絡安全文化。組織員工的安全意識與組織的網絡安全文化有著必然聯系，組織員工只有形成“安全第一”的安全意識，對于謹防工作中安全隱患，就會自愿的為了組織共同的安全目標而交流溝通，會主動加強工作中的監督檢查，謹防將組織的重要信息泄露給競爭對手。

(2)領導層對信息安全的意識和態度。如果組織領導對信息安全的重要性認識越深刻，那么組織中的信息安全在組織工作中的地位就會越高，信息安全就會引起組織中更多成員的關注和重視。領導層對信息安全的意識和態度對組織網絡安全文化的形成有著重要的作用。

(3)員工間的和諧度。團隊的和諧是保證安全的重要基礎，如果組織成員對安全存在共識，持一致態度，則全體員工在安全目標、行為準則方面保持一致，從而保障信息的安全，進而實現系統和組織上的安全。

(4)組織成員對信息安全的意識和態度。

1.5培訓

對培訓的效果造成直接影響的主要包括：①培訓的內容：隨著網絡技術的發展，信息安全教育培訓的內容也應該隨著技術、環境的變化而更新，要使員工不斷增長對新環境的適應能力，對新問題的辨別能力和解決問題的能力，才能確保信息的安全；②培訓的師資：參與信息安全培訓的師資隊伍的素質，直接影響著教育與培訓的效果。培訓老師的目標性、方向性，在保證培訓系統的高效運轉中起著重要作用。

2網絡信息安全管理的組織對策

2.1建立并完善信息安全風險制度

信息安全制度著重體現：①風險管理的責任機制。將風險管理與組織成員的責任聯系起來，在信息安全風險管理工作中，切實執行責任制，不斷增強組織上至各級領導，下至普通員工的風險責任意識，將信息安全風險管理合理分工，執行信息安全風險管理措施，保證信息安全風險管理工作有序開展；②風險管理的預防機制。預防機制是風險管理的核心內容，風險管理要重視事前管理，事前對信息系統涉及的關鍵環節和重要部門進行嚴格的風險評估、檢查工作，得出準確的風險報告；③風險管理的應急機制。有效的應急機制是降低和化解此類風險的必備手段，針對關鍵的應用系統群組，乃至針對整個數據中心的突發事件必須具有可操作性很強的應急方案，并且還要有成熟的應急反應體系 能在事件發生之時，合理決策、落實執行應急方案；④風險管理的通報機制。實施信息安全的風險管理通報機制，對于尚未出現的問題有一個警示作用，它能對行業的經驗教訓及時總結，讓組織認識風險隱患，盡早發現類似風險，快速采取有針對性的事前防范措施。

2.2制定信息安全的管理策略

（1）風險評估和預警策略。采用科學的分析方法，對系統存在的不同頻度的風險定期作系統評估工作，以定量與定性的評估方法，探測風險的來源以及風險的大小。

（2）風險規避策略。通過降低風險發生的可能性和降低風險發生后的影響等手段，努力在風險發生前規避風險或降低風險大小，并對整改成果進行再評估。

（3）應急管理策略。經過系統風險評估，針對評估結果存在的安全隱患，制定應急預案，通過有效的應急處置，爭取在風險事件發生后快速地恢復生產運行，控制風險的影響范圍和影響程度。

（4）風險管理策略。對于涉及信息安全風險管理的組織內部架構和對外客戶端可能存在的風險，制定一系列的規章和規范，防范內部風險。

2.3強化信息安全的監督管理

信息安全的監督對杜絕違規、違章操作、發現網絡信息系統隱患、及時整改、督促組織建立健全各項安全規章制度，落實各項信息安全防范措施具有重大作用。具體包括：①信息系統投產上線管理操作規范；②信息系統管理維護操作規范；③信息系統變更管理操作規范；④信息系統訪問控制管理操作規范；⑤信息系統運營環境管理操作規范；⑥信息系統業務連續性管理操作規范；⑦信息系統運營服務外包管理操作規范。參考文獻：

[1]楊旭.計算機網絡信息安全技術研究[D].南京:南京理工大學,2008.

[2]王以群,程,張力.網絡信息安全中的人因失誤分析[J].情報學,2007(11).

[3]楊月江,劉士杰,耿子林.網絡安全管理的分析與研究[J].商場現代化，2008(1).

[4]張力,王以群,鄧志良.復雜人-機系統中的人因失誤[J].安全科學學報,1996(6).

[5]姜婷婷.淺談我國網絡信息安全保險的開發[J].情報理論與實踐,2003(4).

[6]劉繪珍.影響復雜人機系統安全的組織因素分析[D].衡陽:南華大學,2007.

[7]劉繪珍,張力,張玉玲,等.影響系統安全的組織因素分類分析[J].核動力工程,2009(4).

篇6

當今網絡信息技術飛速發展，人們的日常生活已經離不開網絡。網絡極大地改變了當今社會、經濟、文化的結構，極大改變了人們的思維方式，數字化生存的方式、空間、時間不斷開拓。不過隨著計算機技術的普及，也有人會利用計算機中存在的漏洞進行網絡攻擊，盜取用戶的個人資料，比如銀行賬戶信息、個人郵件數據等。因此，如何保證網絡信息安全已成為一個非常重要的問題。

一、網絡安全

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統能夠連續可靠正常地運行，網絡服務不中斷。從廣義來說，凡是涉及網絡上信息的保密性、完整性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。

二、信息安全

信息安全本身包括的范圍很大，其中包括如何防范商業企業機密泄露，防范青少年對不良信息的瀏覽，防范個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統、各種安全協議、安全機制（數字簽名、消息認證、數據加密等），直至安全系統，其中任何一個安全漏洞便可以威脅全局安全。

三、網絡信息安全的風險分析

1.信息資產確定

信息資產大致分為物理資產、知識資產、時間資產和名譽資產

（1）物理資產：是具有物理形態的資產，例如服務器、網絡連接設備、工作站等。

（2）知識資產：是可以為任意信息的形式存在。例如一些系統軟件、數據庫或者組織內部的電子郵件。

（3）名譽資產：是公眾對于一個企業的看法與意見，也可以直接影響其業績。

2.信息安全評估

對資產進行標示后，下一步就是對這些資產面臨的威脅進行標示，首先有以下關鍵詞便于理解這些風險。

（1）安全漏洞：是存在于系統之中，可以用于越過系統的安全防護。

（2）安全威脅：是一系列可能被利用的漏洞。

（3）安全風險：當漏洞與安全威脅同時存在時就會存在風險。

3.風險管理

在確定了資產與資產面臨的風險之后，應該對這些資產進行風險管理。具體來說，風險管理可以分為4個部分：風險規避、風險最小化、風險承擔、風險轉移。

（1）風險規避。此方法為最簡單的風險管理方法，當資產收益遠大于操作該方法所損失的收益時可使用。例如，以各系統可能把員工與外界進行郵件交換視為一個不可接受的安全威脅，因為他們認為這樣可能會把系統內的秘密到外部環境中，所以系統就直接禁用郵件服務。

（2）風險最小化：對于系統來說，風險影響最小化是最為常見的風險管理方法，該方法的具體做法是管理員進行一些防御措施來降低資產面臨的風險。例如，對于黑客攻擊Web服務器的威脅的，管理員可以在黑客與服務器主機之間建立防火墻來降低攻擊發生的概率。

（3）風險承擔：管理者可能選擇承擔一些特定的風險，并將其造成的損失當作運營成本，這一方法稱為風險承擔。這種情況往往出現在危險發生的概率是極其低的（例如交通設備撞上數據中心）或者是不可避免的（例如硬盤工作中的磨損）情況下，當管理員選擇了這一風險進行承擔時，就會將其視為無風險。

（4）風險轉移：作為風險轉移，最為常見的例子就是保險，當一個人對自己身體健康狀態擔憂時，為了對抗生病的風險，可以為自己投入保險，保險公司同意將助其進行治療，同樣的道理可以用在系統維護上面。

在現實世界中，以上4種方法都不是獨立使用的，一般來說，企業或者組織都可以對4種方法進行綜合使用。

在互聯網高速發展的今天，發生在我們身邊的許多的信息泄密事件說明當前保密技術發展的不平衡，說明我們對信息安全還不夠重視，所以我們必須對網絡信息安全這個問題加以重視，要加大國產化安全產品的開發力度，加強培訓提高用戶的安全防范意識，加大對信息安全產業的投入力度，加快高等信息安全人才培養。

篇7

1美國電力行業信息安全的戰略框架

 

為響應奧巴馬政府關于加強丨Kj家能源坫礎設施安全(13636行政令，即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求，美國能源部出資，能源行業控制系統工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護能源行業控制系統路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎上，于2011年了《實現能源傳輸系統信息安全路線閣》。2011路線圖為電力行業未來丨0年的信息安全制定了戰略框架和行動計劃，體現了美國加強國家電網持續安全和可靠性的承諾和努力路線圖基于風險管理原則，明確了至2020年美國能源傳輸系統網絡安全目標、實施策略及里程碑計劃，指導行業、政府、學術界為共丨司愿景投入并協同合作。2011路線圖指出：至2020年，要設計、安裝、運行、維護堅韌的能源傳輸系統(resilientenergydeliverysystems)。美國能源彳了業的網絡安全目標已從安全防護轉向系統堅韌。路線圖提出了實現目標的5個策略，為行業、政府、學術界指明了發展方向和工作思路。(1)建立安全文化。定期回顧和完善風險管理實踐，確保建立的安全控制有效。網絡安全實踐成為能源行業所有相關者的習慣,，(2)評估和監測風險。實現對能源輸送系統的所有架構層次、信息物理融合領域的連續安全狀態監測，持續評估新的網絡威脅、漏洞、風險及其應對措施。(3)制定和實施新的保施。新一代能源傳輸系統結構實現“深度防御”，在網絡安全事件中能連續運行。(4)開展事件管理。開展網絡事件的監測、補救、恢復，減少對能源傳輸系統的影響。開展事件后續的分析、取證以及總結，促進能源輸送系統環境的改進。(5)持續安全改進。保持強大的資源保障、明確的激勵機制及利益相關者密切合作，確保持續積極主動的能源傳輸系統安全提升。為及時跟蹤2011路線圖實施情況，能源行業控制系統工作組(ESCSWG)提供了ieRoadmap交互式平臺。通過該平臺共享各方的努力成果，掌握里程碑進展情況，使能源利益相關者為路線圖的實現作一致努力。

 

2美國電力行業信息安全的管理結構

 

承擔美國電力行業信息安全相關職責的主要政府機構和組織包括：國土安全部(DHS)、能源部(1)0￡)、聯邦能源管理委員會(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業委員會(PUC)。2.1國土安全部美國國土安全部是美國聯邦政府指定的基礎設施信息安全領導部I'j'負責監督保護政府網絡安全，為私營企業提供專業援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負責與聯邦相關部門、各州、各行業以及國際社會共享網絡威脅發展趨勢，組織協調事件響應w。

 

2.2能源部

 

美國能源部不直接承擔電網信息安全的管理職責，而是通過指導技術研發和協助項目開發促進私營企業發展和技術進步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔加強國家能源基礎設施的可靠性和堅韌性的職責，提供技術研究和發展的資金，推進風險管理策略和信息安全標準研發，促進威脅信息的及時共享，為電網信息安全戰略性綜合方案提供支撐。

 

能源部2012年與美國國家標準技術研究院、北美電力可靠性公司合作編制了《電力安全風險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協作編制完成了《電力行業信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨，以支撐電力行業的信息安全能力評估和提升;2014年資助能源行業控制系統工作組(ESCSWG)形成了《能源傳輸系統網絡安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強供應鏈的信息安全風險管理。

 

在201丨路線圖的指導下，能源部啟動了能源傳輸系統的信息安全項目，資助愛達荷國家實驗室建立SCADA安全測試平臺，發現并解決行業面臨的關鍵安全漏洞和威脅;資助伊利諾伊大學等開展值得信賴的電網網絡基礎結構研究。

 

2.3聯邦能源管理委員會

 

聯邦能源管理委員會負責依法制定聯邦政府職責范圍內的能源監管政策并實施監管，是獨立監管機構。2005年能源政策法案(EnergyPolicyActof2005)授權FERC監督包括信息安全標準在內的主干電網強制可靠性標準的實施。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標準與技術研究所(National丨nstituteofStandardsan<丨Technology，NIST)相關責任以協調智能電網指導方針和標準的編制和落實。2011年的電網網絡安全法案(GridCyberSecurityAct)要求FKRC建立關鍵電力基礎設施的信息安全標準。

 

2007年FERC批準由北美電力可靠性公司制定的《關鍵基礎設施保護》(criticalinfrastructureprotection，CIPW標準為北美電力可靠性標準之中的強制標準，要求各相關企業執行，旨在保護電網，預防信息系統攻擊事件的發生。

 

2.4北美電力可靠性公司

 

北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監管下，制定并強制執行包括信息安全標準在內的大電力系統可靠性標準，開展可靠性監測、分析、評估、信息共享，確保大電力系統的可靠性。

 

NERC了一系列的關鍵基礎設施保護(CIP)標準181作為北美電力系統的強制性標準;與美國能源部和NIST編制了《電力行業信息安全風險管理過程指南》，提供了網絡安全風險管理的指導方針。

 

歸屬NERC的電力行業協凋委員會(ESCC)是聯邦政府與電力行業的主要聯絡者，其主要使命是促進和支持行業政策和戰略的協調，以提高電力行業的可靠性和堅韌性'NERC通過其電力行業信息共享和分析中心(ES-ISAC)的態勢感知、事件管理以及協調和溝通的能力，與電力企業進行及時、可靠和安全的信息共享和溝通。通過電網安全年會(GridSecCon)、簡報，提供威脅應對策略、最佳實踐的討論共享和培訓機會;組織電網安全演練(GridEx)檢查整個行業應對物理和網絡事件的響應能力，促2.5州公共事業委員會美國聯邦政府對地方電力公司供電系統的可靠性沒有直接的監管職責。各州公共事業委員會負責監管地方電力公司的信息安全，大多數州的PUC沒有網絡安全標準的制定職責。PUC通過監管權力，成為地方電力系統和配電系統網絡安全措施的重要決策者。全國公用事業監管委員協會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯盟協會，也采取措施促進PUC的電力網絡安全工作，呼吁PUC密切監控網絡安全威脅，定期審查各自的政策和程序，以確保與適用標準、最佳實踐的一致性%

 

3美國電力行業信息安全的硏究資源

 

參與美國電力行業信息安全研究的機構和組織主要有商務部所屬的國家標準技術研究院及其領導下的智能電網網絡安全委員會、國土安全部所屬的能源行業控制系統工作組，重點幵展電力行業信息安全發展路線圖、框架以及標準、指南的研究。同時，能源部所屬的多個國家實驗室提供網絡安全測試、網絡威脅分析、具體防御措施指導以及新技術研究等。

 

3.1國家標準技術研究院(NIST)

 

根據2007能源獨立與安全法令，美_國家標準技術研究院負責包括信息安全協議在內的智能電網協議和標準的自愿框架的研發。NISTf20102014發#了《?能電網互操作標準的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本，明確了智能電網的網絡安全原則以及標準等。2011年3月，NIST了信息安全標準和指導方針系列中的旗艦文檔《NISTSP800-39，信息安全風險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)，提供了一系列有意義的信息安全改進建議。2014年2月，根據13636行政令，了《提高關鍵基礎設施網絡安全框架》第一版，以幫助組織識別、評估和管理關鍵基礎設施信息安全風險。

 

NIST正在開發工業控制系統(ICS)網絡安全實驗平臺用于檢測符合網絡安全保護指導方針和標準的_「.業控制系統的性能，以指導工業控制系統安全策略最佳實踐的實施。

 

3.2智能電網網絡安全委員會

 

智能電網網絡安全委員會其前身是智能電網互操作組網絡安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網安全架構、風險管理流程、安全測試和認證等研究，致力于推進智能電網網絡安全的發展和標準化。在NIST的領導下，SGCC編制并進一步修訂了《智能電網信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網信息安全分析框架，為組織級研究、設計、研發和實施智能電網技術提供了指導性T.具。

 

3.3國家電力行業信息安全組織(NESC0)

 

能源部組建的國家電力行業信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)，集結了美國國內外致力于電力行業網絡安全的專家、開發商以及用戶，致力于網絡威脅的數據分析和取證工作⑴。美國電力科學研究院(EPRI)作為NESC0成員之一提供研究和分析資源，開展信息安全要求、標準和結果的評估和分析。NESCO與能源部、聯邦政府其他機構等共同合作補充和完善了2011路線圖的關鍵里程碑和目標。

 

3.4能源行業控制系統工作組(ESCSWG)

 

隸屬國土安全部的能源行業控制系統工作組由能源領域安全專家組成，在關鍵基礎設施合作咨詢委員會框架下運作。在能源部的資助下，ESCSWG編制了《實現能源傳輸系統信息安全路線圖》、《能源傳輸系統網絡安全釆購用語指南》。3.5能源部所屬的國家實驗室

 

3.5.1愛達荷國家實驗室(INL)

 

愛達荷W家實驗室成立于1949年，是為美國能源部在能源研究、國家防御等方面提供支撐的應用工程實驗室。近十年來，INL與電力行業合作，加強了電網可靠性、控制系統安全研究。

 

在美國能源部的資助下，INL建立了包含美國國內和國際上多種控制系統的SCADA安全測試平臺以及無線測試平臺等資源，目的對SCADA進行全面、徹底的評估，識別控制系統脆弱點，并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統信息安全項目，INL提出了采用數據壓縮技術檢測惡意流量對SCADA實時網絡保護的方法hi。為支持美國國土安全部控制系統安全項目，INL開發并實施了培訓課程以增強控制系統專家的安全意識和防御能力。1NL的相關研究報告有《SCADA網絡安全評估方法》、《控制系統十大漏洞及其補救措施》、《控制系統網絡安全：深度防御戰略》、《控制系統評估中常見網絡安全漏洞》%、《能源傳輸控制系統漏洞分析>嚴|等。

 

3.5.2太平洋西北國家實驗室(PNNL)

 

太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室，研究解決美國在能源、環境和國家安全等方面最緊迫的問題。

 

PNNL提出的安全SCADA通信協議(secureserialcommunicationsprotocol,SSCP)的概念，有助于實現遠程訪問設備與控制中心之間的安全通信。的相關研究報告有《工業控制和SCADA的安全數據傳輸指南》等。PNNL目前正在開展仿生技術提高能源領域網絡安全的研究項。

 

3.5.3桑迪亞國家實驗室(SNL)

 

桑迪亞國家實驗室是能源部所屬的多學科國家實驗室，也是聯邦政府資助的研究和發展中心。SNL的研究報告有《關鍵基礎設施保護網絡漏洞評估指南》、《控制系統數據分析和保護安全框架》、《過程控制系統的安全指標》I1'《高級計量基礎設施安全考慮》、《微電網網絡安全參考結構》等。在能源部的資助下，SNL開展了關于供應鏈威脅的研究項目，形成的威脅模型有助于指導安全解決方案的選擇以及新投資的決策hi。

 

4美國電力行業信息安全的運作策略

 

4.1標準只作為網絡安全的基線

 

NERC的關鍵基礎設施保護標準(CIP)作為強制性標準，是電力行業整體網絡安全策略的重要內容。CIP標準與電網規劃準則、系統有功平衡與調頻、無功平衡與調壓、安全穩定運行等系列標準相并列，成為北美大電網可靠性標準的重要組成部分。目前強制執行的是CIP-002至C⑴-009共8個標準的第3版。文獻1丨6]提供了CIP-002至CIP-009主要內容的描述列表。C〖P第5版近期已通過FERC批準即將于2016年實施。第5版新增了CIP-010配置變更管理和漏洞評估、C1P-011信息保護2個強制標準。

 

目前配電系統沒有強制標準，但NIST將C1P標準融入了智能電網互操作框架中。智能電網互操作框架雖然是自愿標準，但為配電系統提供了信息安全措施指導為系統性的指導智能電網信息安全工作，NIST組織編制了《美國智能電網信息安全指南》，提出了一個普適性的智能電網信息安全分析框架，為智能電網的各相關方提供了風險評估、風險識別以及安全要求的實施方法。DOE編制的《電力行業信息安全風險管理過程指南》提供了電力行業信息安全風險管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i，通過行業實踐幫助組織評估、優化和改善網絡安全功能，促進網絡安全行動和投資的有序開展以及信息安全能力的持續提升。2014年NIST了《提高關鍵基礎設施網絡安全框架》也作為電力行業網絡安全自愿標準。文獻f17]提到只有21%的公用事業采取了NERC推薦的預防震網措施，可見自愿標準的執行率偏低強制執行的CIP標準在大電力系統網絡安全方面確實發揮了基礎作用，然而網絡威脅的快速變化以及每個組織面對的風險的獨特性，強制性標準在某種程度上影響企業采取超過但不同于最低標準的合適的防護措施。文獻丨3]提出目前將強制性的解決方案擴展到配電網不是有效的方法，聯邦政府也在考慮縮小強制性范圍。持續提升網絡安全水平不能僅僅依賴于標準的符合度，監督管理不能保證安全。電力行業的網絡安全需要整體的網絡安全戰略，包括安全文化建設、共享與協作、風險管理等。無論是強制性的標準還是非強制性的標準都只是信息安全的最低要求'4.2安全文化建設成為信息安全路線圖首要策略

 

篇8

1．引言

隨著計算機網絡的發展，其開放性，共享性，互連程度擴大，網絡的重要性和對社會的影響也越來越大。而網絡安全問題顯得越來越重要了。網絡有其脆弱性，并會受到一些威脅。而風險分析是建立網絡防護系統，實施風險管理程序所開展的一項基礎性工作。風險管理的目的是為確保通過合理步驟，以防止所有對網絡安全構成威脅的事件發生。網絡的安全威脅與網絡的安全防護措施是交互出現的。不適當的網絡安全防護，不僅可能不能減少網絡的安全風險，浪費大量的資金，而且可能招致更大的安全威脅。因此，周密的網絡安全風險分析，是可靠，有效的安全防護措施制定的必要前提。網絡風險分析應該在網絡系統，應用程序或信息數據庫的設計階段進行，這樣可以從設計開始就明確安全需求，確認潛在的損失。因為在設計階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多。即使認為當前的網絡系統分析建立的十分完善，在建立安全防護時，風險分析還是會發現一些潛在的安全問題。

一般來說，計算機網絡安全問題，計算機系統本身的脆弱性和通信設施脆弱性共同構成了計算機網絡的潛在威脅。一方面，計算機系統硬件和通信設施極易遭受到自然環境因素的影響（如：溫度，濕度，灰塵度和電磁場等的影響）以及自然災害（如：洪水，地震等）和人為（包括故意破壞和非故意破壞）的物理破壞；另一方面計算機內的軟件資源和數據信息易受到非法的竊取，復制，篡改和毀壞等攻擊；同時計算機系統的硬件，軟件的自然損耗和自然失效等同樣會影響系統的正常工作，造成計算機網絡系統內信息的損壞，丟失和安全事故。

通過結合對計算機網絡的特點進行分析，綜合起來，從安全威脅的形式劃分得出了主要風險因素。

風險因素主要有：自然因素，物理破壞，系統不可用，備份數據的丟失，信息泄漏等因素

2．古典的風險分析

基本概念：

風險：風險就是一個事件產生我們所不希望的后果的可能性。風險分析要包括發生的可能性和它所產生的后果的大小兩個方面。因此風險可表示為事件發生的概率及其后果的函數：

風險R=ƒ(p,c)

其中p­為事件發生的概率，c為事件發生的后果。

風險分析：就是要對風險的辨識，估計和評價做出全面的，綜合的分析，其主要組成為：

1.風險的辨識，也就是那里有風險，后果如何，參數變化？

2.風險評估，也就是概率大小及分布，后果大小？

風險管理：

風險管理是指對風險的不確定性及可能性等因素進行考察、預測、收集、分析的基礎上制定的包括識別風險、衡量風險、積極管理風險、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，旨在使企業避免和減少風險損失，得到長期穩定的發展。

3．網絡安全的風險分析

本文采用的風險分析方法是專家評判的方法。由于網絡的脆弱性以及對網絡的威脅，因此網絡中就存在風險。根據古典的風險分析，則網絡中的風險與風險因素發生的概率和相應的影響有關。而概率可以通過統計的方法來得到，影響可以通過專家的評判方法來得到。因此,風險R=P(概率)*F（影響）

這時，風險分析的過程包括：統計概率，評估影響，然后評估風險。然后根據風險分析的大小來管理風險。

1統計概率

通俗的說，概率是單位時間內事件發生的次數。按每年事件發生的次數來統計概率。

2影響的評估

首先對上述5個因素確定權重W，按照模糊數學的方法將每個因素劃分為五個等級：很低，低，中等，高，很高。并給出每個等級的分數C（1．2，3．6，7），根據各個專家對每個因素的打分計算出每個因素的分數C，再將W與C相乘，累計求和ΣWC,讓F=ΣWC此值即因素的影響的大小。

風險因素權重的確定方法如下：

設影響的n個因素為A1，A2，…，An，參加評判的專家m人。對n個因素，先找出最重要因素和最不重要因素，并按層次分析方法（AHP）中1－9的標度和標準確定兩者的比率。

將5個因素按重要程度從小到大排序，以最不重要因素為基準（賦值為1），將各個因素與其比較。按重要程度進行賦值（按AHP法中的標度和標準）。

將m個專家對n個因素所賦的分為r塊，分別記為A［1］，A［2］，…，A［r］。其中矩陣A［k］的行表示以Ak為最不重要因素的專家數，記作mk。列表示將因素Ak作為基準，對n個因素A1，A2，…，An所賦的值。具體形式為：

AAA…A…..A

A[k]=(1)

其中

a=1,1<=a<=9,Σm=m(i=1,2,…,m;j=1,2,…,n)

對于分塊矩陣A［k］，因各因素賦值均以Ak為基準，從而可對A［k］中各列分別求平均值

a=Σa/mj=1,2,…,n（2）

對所有分塊矩陣作上述處理，可分別得到（A1，A2，…，Ar）。

對于每個分塊矩陣A［k］（k＝1，2，…，r）；因行數不同，其在專家數m中的所占的比重也不同，因而需考慮mk在m中所占的比重，稱mk／m為ajk的權系數。

由以上分析可得因素Aj的綜合賦值。

A=Σa*m/mj=1,2,…,n（3）

篇9

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）11-0210-01

1 網絡安全風險概述

1.1 網絡安全風險

網絡最大的特點便是自身的靈活性高、便利性強，其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能，網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看，無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性，其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題，由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性，其在安全方面面臨著較大的風險，如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估，單純的定量分析法已經不能夠滿足當前的需求，因此，本文更推薦將層次分析法和逼近思想法進行雙重結合，進一步對一些不確定因素進行全面的評估，確保分析到每一個定量和變量，進一步計算出當前無線網絡的安全風險值。而對于有線網絡，影響其安全風險的因素相對較少，但是依然要對其進行全面分析，盡最大可能得到最準確的數值。

1.2 網絡安全的目標

網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天，如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求，而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案，而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率，盡最大可能減少每個環節所帶來的網絡安全風險，從而保證網絡的合理安全運行。

1.3 風險評估指標

在本論文的分析過程之中，主要對風險評估劃分了三個系統化的指標，即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系，在各個指標體系之中，又分別包含了若干個指標要素，最終形成了一個完整的風險評估指標體系，進而避免了資源的不必要浪費，最終達到網絡安全的評估標準。

2 網絡安全風險評估的方法

如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析，結合網絡動態風險的特點以及難點問題，最終在確定風險指標系統的基礎上總結出了以下幾種方法，最終能夠保證網絡信息安全。

2.1 網絡風險分析

作為網絡安全第一個環節也是最為重要的一個環節，網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析，不單單要涉及指標性因素，還有將許多不穩定的因素考慮在內，全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中，要從宏觀和微觀兩個方面進行入手分手，最大程度的保證將內外部因素全部考慮在內，對網絡資產有一個大致的判斷，并借此展開深層次的分析和研究。

2.2 風險評估

在網絡安全風險評估之中，可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高，這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中，我們主要通過對風險誘導因素進行定量和定性分析，在此分析的基礎上再加以運用逼近思想法進行全面的驗證，從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中，要充分結合當前網絡所處的環境進行分析，將工作思想放開，不能拘泥于理論知識，將實踐和理論相結合，最終完成整個風險評估工作。

2.3 安全風險決策與監測

在進行安全風險決策的過程之中，對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策，其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定，從而最終保證風險評估得以平穩進行。而對于安全監測，網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性，在系統更新換代中，倘若由于一些新的風險要素導致整個網絡的安全評估出現問題，那么之前的風險分析和決策對于后面的管理便已經毫無作用，這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況，倘若產生了突發狀況，相關決策部門能夠第一時間的進行策略調整。因此，網絡監測在整個工作之中起到一個至關重要的作用。

3 結語

網絡安全風險評估是一個復雜且完整的系統工程，其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中，要有層次的選擇合適的評估方法進行評估，確保風險分析和評估工作的有序進行，同時又要保證安全決策和安全檢測的完整運行，與此同時，要保證所有的突發狀況都能夠及時的反映和對付，最終確保整個網絡安全的平穩運行。

參考文獻

[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學，2008.

[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學，2010.

篇10

計算機網絡已經成為各個行業發展歷程中不可或缺的組成部分，為了確保政府單位、企業等資源的安全、合理利用，就需要對計算機網絡進行全面的研究和分析，發現哪些環節容易受到惡意軟件、黑客和病毒的攻擊，并制定有效的預防措施，這樣不僅可以確保各個環節工作的順利進行，而且還能避免秘密的泄漏，所以加強對網絡風險的管理至關重要。

一、計算機網絡安全的定義

計算機網絡安全主要包括硬件安全、管理控制網絡軟件安全、快捷網絡服務安全以及共享資源的安全等，所以計算機網絡安全幾乎涵蓋了所有與計算機有關的內容。由ISO的定義可知計算機網絡安全主要是借助一些技能、管理和手段，來對計算機的硬件、軟件以及數據資源進行安全管理，使其不會遭受惡意或偶然的更改、破壞、泄漏，從而確保計算機網絡安全、可靠的運行。

二、計算機網絡風險分析與管理

通常情況下，計算機網絡安全的問題主要來自于計算機本身和通信設施自身的脆弱性，這些缺陷都可能導致計算機網絡的運行存在威脅。同時計算機系統軟件、硬件和通信設備也極易受到濕度、溫度、電磁場、灰塵度等外界因素的影響。除此之外，故意與非故意的人為破壞也會在一定程度上導致計算機安全受到威脅。另一方面，計算機內部的數據和軟件資源極易受到非法復制、竊取、毀壞和篡改，而且計算機軟件和硬件系統自身的損耗也會導致系統不能正常運行，從而造成計算機網絡數據的丟失和信息的損壞。通過對計算機網絡安全的特點分析得知，影響計算機網絡安全的主要因素包括系統因素、信息泄漏、數據因素、物理破壞因素、自然因素等。對計算機網絡安全分析的時候要同時包括隱患事件發生的可能性和影響范圍大小兩個方面，要對風險的估計、辨識和評價作出全面的分析，主要含有風險評估與風險辨識兩個方面。相關人員在對網絡風險進行分析時，可以根據風險因素出現的概率和影響范圍大小進行評估，然后根據相關標準將計算機網絡風險分析的過程劃分為評估影響、統計概率、評估風險三個步驟，并根據風險分析的大小來采取措施對其進行管理。

風險管理的過程就是對計算機網絡風險因素進行收集、分析、預測，并根據其風險發生的概率制定系統性的科學管理方法，該過程中一般包括風險的識別、風險的衡量、風險的有效處置、風險的積極管理以及風險妥善處理等內容。風險管理的主要目的就是減少和避免網絡風險給企業造成的巨大損失，從而促進企業的安全、可靠發展。

三、計算機網絡風險的常見類型

計算機網絡本身具有一定的特殊性，所以將會面臨諸多因素的干擾，相應的風險就應運而生，對各類風險的分類總結如下：

（一）黑客的威脅和攻擊

黑客是計算機網絡中的最大威脅，現實生活中黑客攻擊的方式主要有破壞性攻擊和非破壞性攻擊兩種。破壞性攻擊會對電腦系統造成嚴重的破壞，主要目的是竊取計算機網絡中的保密數據，其一般是通過獲取電子郵件、口令、特洛伊木馬以及系統漏洞等來對計算機網絡系統進行攻擊和損害。非破壞性攻擊一般是以阻礙計算機網絡系統正常運行為目的，其一般不會導致系統資料的外泄，通常是通過信息炸彈和拒絕服務來對系統進行攻擊。

（二）IP地址被盜用

區域網絡使用過程中經常會出現IP地址被盜用的情況，所以經常會告知用戶IP地址已被占用，導致用戶無法進行計算機網絡連接。IP地址的權限一般比較高，IP地址竊取人員通常會以不知名的身份來阻止用戶對網絡的正常使用，從而對用戶造成較大的影響，使用戶的合法權益受到侵犯，嚴重威脅了計算機網絡的安全性。

（三）計算機病毒

我國的相關規范和標準中明文規定了計算機病毒的定義是編制者將程序代碼、指令植入到計算機網絡系統之中，而且這些程序代碼和指令具有自我復制的功能，而且對計算機網絡的數據和相關功能進行破壞，從而影響了計算機網絡的正常運行。大量的實踐結果表明，計算機病毒具有破壞力強而不易發現的特點。如今，計算機病毒已經成為威脅網絡安全的罪魁禍首，其各類病毒在網上的傳播速度比較快，而且對計算機網絡所造成的危害也是巨大的，常見的計算機病毒有震網、木馬、火焰等。

（四）缺乏系統性的計算機網絡安全管理

如今，我國大部分計算機網絡安全缺乏系統性的管理，而且相關管理體制不夠健全，對權限和密碼的管理不到位，崗位分工不明確、用戶安全防衛意識薄弱等都有可能加重計算機網絡風險的發生，同時導致計算機黑客、病毒更容易對計算機網絡進行破壞，從而威脅到了計算機網絡系統的安全。

（五）垃圾郵件的泛濫

垃圾郵件屬于用戶不愿意結束但是又無法拒絕的郵件，這些郵件不僅增加了郵箱的內存，而且還增加了網絡的負擔，嚴重影響了計算機網絡系統的運行速度，同時也侵犯了用戶的隱私。

四、計算機網絡安全的控制對策

導致計算機網絡出現風險的因素比較多，只有對其進行全面的分析，掌握風險的類型才能做到對癥下藥；只有采取有效的策略，才能盡最大可能避免風險的發生，保證計算機網絡的安全。具體的風險防范策略如表1所示。

表1計算機網絡風險防范策略

（一）防黑客技術

如今，黑客已經導致越來越多的企業遭受損害，所以加強計算機網絡的身份認證已經成為未來發展的必然趨勢，同時要求用戶定期對自己的賬戶和密碼進行修改，并結合其它預防技術，從而實現對網絡黑客的阻止。現實生活中最為有效的黑客防治措施就是防火墻技術，防火墻可以有效的避免外來用戶對計算機網絡的非法入侵，其一般是在外部網絡和局域網之間設置防火墻，其不僅能夠阻止外來用戶對計算機網絡的非法入侵，而且還能保證網絡系統的正常運行。防火墻的使用可以保證外部網與局域網地址的分割，這樣一來外部網絡也不能任意查找局域網的IP地址，同時也不能和局域網之間發生數據交流，因為外部網絡和局域網之間的交流必須通過防火墻的過濾才能實現，從而提高了計算機網絡系統的安全性。防火墻技術運用的主要目的就是對計算機網絡之間的訪問進行控制，避免外部非法用戶對網絡資源的竊取和利用，從而實現了對內部網絡的保護。防火墻技術不僅可以決定對外部信息的訪問，而且還能決定外部哪些信息可以進入計算機網絡系統之中，而且只要是外部信息想要進入內部網絡就需要經過防火墻，防火墻將會對這些信息進行檢查，獲取授權之后才能順利通過防火墻。

（二）計算機病毒的防范措施

計算機病毒的入侵難以察覺，而且侵入計算機網絡內部的方式比較多，所以要對病毒的預防給予高度的重視，同時還要為計算機網絡配備專業的防毒軟件，并定期進行升級，以便能夠更好的解決計算機病毒，防止其對計算機網絡的破壞。對于計算機病毒的預防不僅要從計算機管理人員的日常維護著手，而且還要從根本上重視計算機管理的基本內容。計算機網絡系統的所有工作人員都要熟悉和掌握殺毒軟件，從而有效的預防病毒的入侵，而且還要定期對計算機網絡進行檢查，對于潛在的威脅要及時采取措施給予解決。要想最大限度的降低病毒對計算機網絡系統的破損，最好對重要信息和數據進行備份，避免病毒入侵后，一些重要信息無法及時恢復。計算機網絡系統中最為常用的殺毒軟件為：360安全衛士、瑞星殺毒、卡巴斯基、金山毒霸、KV3000、NOD32等。

（三）入侵檢測

隨著我國計算機網絡技術的不斷發展，傳統的檢測技術已經不能很好的適應時展，此時就需要不斷對其進行創新，而入侵檢測技術就屬于新一代的安全保護技術。傳統的網絡技術更多的傾向于防火墻技術和數據加密，而入侵檢測技術則是在上述兩種技術的基礎上進一步研發得到的。入侵檢測技術主要包括數據收集技術、響應技術和攻擊檢測技術三個方面。入侵檢測技術可以及時、有效的檢測出計算機網絡信息和資源中隱含的惡意攻擊行為，其不僅能夠對內部用戶的非法操作進行檢測，而且還能對外部網絡環境進行有效檢測。該技術可以在不同網絡資源或計算機系統中獲取需要的信息，其主要包括系統運行狀態信息和網絡路由信息，在對這些信息進行判斷和分析的過程中，入侵檢測技術可以對異常行為和信號進行檢測，從而降低網絡的威脅。

（四）計算機網絡風險管理

如今，所有的計算機網絡都將面對各式各樣的風險，所以加強計算機網絡風險的管理就顯得尤為重要。計算機網絡風險管理主要過程就是對各類風險進行分析和評價，并針對具體風險制定有效的處理措施。計算機網絡風險管理主要是對網絡的基本屬性特征進行分析，其特征主要包括了信息安全和信息系統的調查。計算機網絡風險的防范最初開始于對網絡屬性的分析，其是后續風險評估的關鍵，從風險評估中找出降低計算機網絡風險的主要措施。風險防范的過程中就是對各項風險預防措施的重新排列組合，盡最大努力降低風險發生的概率。實際上，計算機網絡風險管理是網絡正常運行中最為重要的一步，同時也是最后一步。

五、結束語

綜上所述，隨著我國計算機網絡技術的快速發展，網絡犯罪的數量呈現逐年增加的趨勢，而且對計算機網絡的攻擊方法逐漸多元化，如電子信息截獲、模仿、更改以及網站經濟欺詐等。究其主要原因還是由于計算機網絡管理方面存在漏洞，導致一些病毒、黑客等對網絡進行入侵，致使計算機網絡存在較大的安全隱患。所以，加強計算機網絡風險預防措施的制定，可以有效降低各類網絡風險的發生。

參考文獻：