前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的安全信息評(píng)估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：安全信息評(píng)估范文

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；脆弱性；威脅

1. 引言

隨著信息技術(shù)的飛速發(fā)展，關(guān)系國(guó)計(jì)民生的關(guān)鍵信息資源的規(guī)模越來越大，信息系統(tǒng)的復(fù)雜程度越來越高，保障信息資源、信息系統(tǒng)的安全是國(guó)民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要。信息安全的目標(biāo)主要體現(xiàn)在機(jī)密性、完整性、可用性等方面。風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn)，它的重要意義在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案的制定，以成本一效益平衡的原則，通過評(píng)估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性，并結(jié)合資產(chǎn)的重要程度來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以防范和化解風(fēng)險(xiǎn)，或者將殘余風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。

2．網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析

“網(wǎng)絡(luò)信息的安全”從狹義的字面上來講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲(chǔ)、傳輸?shù)仁褂眠^程的安全。

網(wǎng)絡(luò)信息安全具有如下6個(gè)特征：（1）　保密性。即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。（2）完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。（3）可用性。即能保證合法的用戶正常訪問相關(guān)的信息。（4）可控性。即信息的內(nèi)容及傳播過程能夠被有效地合法控制。（5）可審查性。即信息的使用過程都有相關(guān)的記錄可供事后查詢核對(duì)。網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問題的復(fù)雜性。

而通過有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析，就能夠?yàn)榇藦?fù)雜問題的解決找到一個(gè)考慮問題的立足點(diǎn)，能夠?qū)?fù)雜的問題量化，同時(shí)，也為能通過其他方法如人工智能網(wǎng)絡(luò)方法解決問題提供依據(jù)和基礎(chǔ)。

網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類：（1）自然界因素，如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等；（2）社會(huì)因素，主要是人類社會(huì)的各種活動(dòng)，如暴力、戰(zhàn)爭(zhēng)、盜竊等；（3）網(wǎng)絡(luò)硬件的因素，如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；（4）軟件的因素，包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；（5）人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等；（6）其他因素，包括政府職能部門的監(jiān)管因素、有關(guān)部門對(duì)相關(guān)法律法規(guī)立法因素、教育部門對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門對(duì)相關(guān)安全內(nèi)容的宣傳因素等。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響。

3．安全風(fēng)險(xiǎn)評(píng)估方法

3.1　定制個(gè)性化的評(píng)估方法

雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程，但在實(shí)踐過程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力，進(jìn)行“基因”重組，定制個(gè)性化的評(píng)估方法，使得評(píng)估服務(wù)具有可裁剪性和靈活性。評(píng)估種類一般有整體評(píng)估、IT安全評(píng)估、滲透測(cè)試、邊界評(píng)估、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、脆弱性掃描、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等。

3.2　安全整體框架的設(shè)計(jì)

風(fēng)險(xiǎn)評(píng)估的目的，不僅在于明確風(fēng)險(xiǎn)，更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評(píng)估直接輸出，用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期　1～2　年內(nèi)框架，這樣才能做到有律可依。

3.3　多用戶決策評(píng)估

不同層面的用戶能看到不同的問題，要全面了解風(fēng)險(xiǎn)，必須進(jìn)行多用戶溝通評(píng)估。將評(píng)估過程作為多用戶“決策”過程，對(duì)于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動(dòng)，具有極大的意義。事實(shí)證明，多用戶參與的效果非常明顯。多用戶“決策”評(píng)估，也需要一個(gè)具體的流程和方法。

3.4　敏感性分析

由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)，使得風(fēng)險(xiǎn)越來越隱蔽。要提高評(píng)估效果，必須進(jìn)行深入關(guān)聯(lián)分析，比如對(duì)一個(gè)老漏洞，不是簡(jiǎn)單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病“根”，開出有效的“處方”。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫支撐，同時(shí)要求評(píng)估者具有敏銳的分析能力。

3.5　集中化決策管理

安全風(fēng)險(xiǎn)評(píng)估需要具有多種知識(shí)和能力的人參與，對(duì)這些能力和知識(shí)的管理，有助于提高評(píng)估的效果。集中化決策管理，是評(píng)估項(xiàng)目成功的保障條件之一，它不僅是項(xiàng)目管理問題，而且是知識(shí)、能力等“基因”的組合運(yùn)用。必須選用具有特殊技能的人，去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺(tái)審計(jì)和滲透性測(cè)試，由不具備攻防經(jīng)驗(yàn)和知識(shí)的人執(zhí)行，就達(dá)不到任何效果。

3.6　評(píng)估結(jié)果管理

安全風(fēng)險(xiǎn)評(píng)估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng)，但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評(píng)估管理系統(tǒng)，使用它來指導(dǎo)評(píng)估過程，管理評(píng)估結(jié)果，以便在管理層面提高評(píng)估效果。

4．風(fēng)險(xiǎn)評(píng)估的過程

4.1　前期準(zhǔn)備階段

主要任務(wù)是明確評(píng)估目標(biāo)，確定評(píng)估所涉及的業(yè)務(wù)范圍，簽署相關(guān)合同及協(xié)議，接收被評(píng)估對(duì)象已存在的相關(guān)資料。展開對(duì)被評(píng)估對(duì)象的調(diào)查研究工作。

4.2　中期現(xiàn)場(chǎng)階段

編寫測(cè)評(píng)方案，準(zhǔn)備現(xiàn)場(chǎng)測(cè)試表、管理問卷，展開現(xiàn)場(chǎng)階段的測(cè)試和調(diào)查研究階段。

4.3　后期評(píng)估階段

撰寫系統(tǒng)測(cè)試報(bào)告。進(jìn)行補(bǔ)充調(diào)查研究，評(píng)估組依據(jù)系統(tǒng)測(cè)試報(bào)告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告。

5．風(fēng)險(xiǎn)評(píng)估的錯(cuò)誤理解

（1）　不能把最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告認(rèn)為是結(jié)果唯一。

（2）不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)所有的安全問題。

（3）　不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以一勞永逸的解決安全問題。

（4）不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是漏洞掃描。

（5）不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是　IT部門的工作，與其它部門無關(guān)。

（6）　不能認(rèn)為風(fēng)險(xiǎn)評(píng)估是對(duì)所有信息資產(chǎn)都進(jìn)行評(píng)估。

6．結(jié)語

總之，風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。通過風(fēng)險(xiǎn)評(píng)估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案是信息系統(tǒng)安全工程的重要組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求，但是，信息安全評(píng)估工作的實(shí)施也存在一定的難題，涉及信息安全評(píng)估的行業(yè)或系統(tǒng)各不相同，并不是所有的評(píng)估方法都適用于任何一個(gè)行業(yè)，要選擇合適的評(píng)估方法，或開發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評(píng)估方法，是當(dāng)前很現(xiàn)實(shí)的問題，也會(huì)成為下一步研究的重點(diǎn)。

參考文獻(xiàn)：

[1] 剛 , 吳昌倫. 信息安全風(fēng)險(xiǎn)評(píng)估的策劃[J]. 信息技術(shù)與標(biāo)準(zhǔn)化 , 2004,(09)

[2] 賈穎禾. 信息安全風(fēng)險(xiǎn)評(píng)估[J]. 中國(guó)計(jì)算機(jī)用戶 , 2004,(24)

[3] 楊潔. 層次化的企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)分析方法研究[J]. 軟件導(dǎo)刊 , 2007,(03)

[4] 楊晨. 建立健全信息安全風(fēng)險(xiǎn)評(píng)估工作機(jī)制勢(shì)在必行——信息安全專家趙戰(zhàn)生訪談[J]. 當(dāng)代通信 , 2004,(22)

第2篇：安全信息評(píng)估范文

關(guān)鍵詞：商業(yè)銀行；信息安全；風(fēng)險(xiǎn)評(píng)估；控制

中圖分類號(hào)：F832.33

商業(yè)銀行對(duì)于金融行業(yè)的穩(wěn)定有積極的現(xiàn)實(shí)意義，在我國(guó)經(jīng)濟(jì)發(fā)展中具有舉足輕重的作用。商業(yè)銀行的重要角色主要是由它自身的職能所決定的，因此做好商業(yè)銀行的信息安全尤為重要。

1 商業(yè)銀行信息安全的重要性

1.1 信用中介的職能

信用中介作為銀行的最基本的職能，是銀行的本質(zhì)特征的反映，商業(yè)銀行銀行的主營(yíng)業(yè)務(wù)收入是通過借貸之間的差價(jià)獲取的。商業(yè)銀行在不同的主體的借貸之間，實(shí)際上扮演的就是一個(gè)信用中介的角色。商業(yè)銀行通過向存款者提供利息，把社會(huì)上的閑散的貨幣資金收集起來，再通過收取利息，把這些自己通過業(yè)務(wù)往借給經(jīng)濟(jì)投資者。

1.2 支付中介的職能

銀行的另一項(xiàng)職能就是支付中介的職能。銀行在擔(dān)當(dāng)信用中介的過程中，本身產(chǎn)生了信用。這樣，一些社會(huì)上的資金保管的安全自身無法保障時(shí)，就會(huì)交給銀行保管。一些商業(yè)主體的業(yè)務(wù)往來的資金，也可以通過銀行在雙方的賬戶上進(jìn)行資金的轉(zhuǎn)移

1.3 信用創(chuàng)造的功能

商業(yè)銀行在信用中介的功能的擔(dān)當(dāng)和中介職能的擔(dān)當(dāng)時(shí)，就產(chǎn)生了信用創(chuàng)造的職能。商業(yè)銀行在進(jìn)行收集社會(huì)閑散資金時(shí)，將受到的自己發(fā)放到社會(huì)上形成貸款、商業(yè)銀行利用社會(huì)借款和貸款。形成了資金的來源，在支票流通和轉(zhuǎn)賬結(jié)算的條件下，將原本是貸款的資金轉(zhuǎn)化成了銀行的存款，增加了銀行的資金存款，貸向社會(huì)，有增加了派生的資金。商業(yè)銀行在進(jìn)行主營(yíng)業(yè)務(wù)時(shí)，又具備了信用創(chuàng)造的功能。

1.4 金融服務(wù)職能

經(jīng)濟(jì)的快速發(fā)展，尤其是電子商務(wù)的快遞發(fā)展，使得自己的流通日益復(fù)雜，各項(xiàng)活動(dòng)的經(jīng)濟(jì)往來越來越多。工商銀行自身專業(yè)化的發(fā)展，使得一些其他的機(jī)構(gòu)把自己的某些資金業(yè)務(wù)也交給銀行辦理。如工資等。在消費(fèi)的個(gè)體，方面，人們?cè)絹碓絻A向于一些電子業(yè)務(wù)的結(jié)算，如信用卡的使用。這些現(xiàn)象的存在，都使銀行不能僅僅滿足于原來簡(jiǎn)單的存貸業(yè)務(wù)。商業(yè)銀行的服務(wù)領(lǐng)域在向各個(gè)方面擴(kuò)展。在現(xiàn)代社會(huì)中，銀行的金融服務(wù)職能在日常生活中發(fā)揮著越來越重要的作用。

2 信息安全風(fēng)險(xiǎn)的表現(xiàn)形式

商業(yè)銀行信息化水平的不斷提高，為人們帶來的不僅是生活的便利，也帶來了潛在的風(fēng)險(xiǎn)。從新聞中我們可以發(fā)現(xiàn)，近年來，人們通過網(wǎng)絡(luò)交易面臨的財(cái)產(chǎn)損失的新聞越來越多。通過總結(jié)，我們可以發(fā)現(xiàn)，網(wǎng)絡(luò)信心安全時(shí)間顯現(xiàn)出的特點(diǎn)主要表現(xiàn)在以下的幾個(gè)方面：

2.1 軟件和硬件產(chǎn)品的脆弱性

商業(yè)銀行信息系統(tǒng)包含著數(shù)以萬計(jì)的設(shè)備，和服務(wù)器，每臺(tái)設(shè)備又包含著大量的零件和軟件。在如此多的細(xì)節(jié)組成的龐大的系統(tǒng)中，有任何一個(gè)環(huán)節(jié)出現(xiàn)些微的錯(cuò)誤，都可能為信息系統(tǒng)的安全留下隱患。在龐大的系統(tǒng)中，難免有照顧不周的地方，加之外界環(huán)境的各種干擾，都可能造成不好的后果，使信息安全系統(tǒng)呈現(xiàn)出脆弱性的特征。

2.2 信息系統(tǒng)外部的威脅

傳統(tǒng)的銀行對(duì)信心安全的保護(hù)一般采取的物理隔離的方式或者是協(xié)議隔離的方式。但是，隨著銀行的金融業(yè)務(wù)的極大拓展，給銀行的客戶帶來了很大的便利?，F(xiàn)在，網(wǎng)上銀行等電子商務(wù)的出現(xiàn)，又進(jìn)一步的促進(jìn)了銀行利潤(rùn)的增長(zhǎng)。但是，銀行利潤(rùn)渠道的增多也就意味著風(fēng)險(xiǎn)的增多。外部的各種木馬軟件的惡意入侵和銀行內(nèi)部的網(wǎng)絡(luò)病毒等都會(huì)威脅著銀行信息系統(tǒng)的安全。這些都對(duì)全面開放下的銀行業(yè)務(wù)系統(tǒng)有了新的安全的需求。這些新的外部和內(nèi)部的威脅，對(duì)信息安全系統(tǒng)帶來了巨大的挑戰(zhàn)。

2.3 缺乏有效的信息安全技術(shù)保障

我國(guó)的信息系統(tǒng)本身具有脆弱性，外部又收到了各方面的威脅，但是我國(guó)的商業(yè)銀行的信息安全系統(tǒng)的建設(shè)卻不是很理想。從整體上看，針對(duì)可能存在的風(fēng)險(xiǎn)，銀行自身沒有監(jiān)控和預(yù)警的手段。也沒有一個(gè)相對(duì)智能的，主動(dòng)的防御體系去抵擋各方面的風(fēng)險(xiǎn)從局部上看，現(xiàn)在商業(yè)銀行的信心安全管理體系過于落后，針對(duì)新興的木馬軟件、黑客病毒等其他方面的威脅。傳統(tǒng)的防御體系顯然不能很大的作用。這些都需要新的產(chǎn)品的更新?lián)Q代。

2.4 信息安全架構(gòu)和管理流程不完善

商業(yè)銀行內(nèi)部的網(wǎng)絡(luò)規(guī)模十分龐大，業(yè)務(wù)系統(tǒng)除了集中在總行數(shù)據(jù)中心的大部分，還有一些分散在各個(gè)分支行。在分支行中，不論是從系統(tǒng)人員的素質(zhì)，還是從系統(tǒng)設(shè)備和網(wǎng)絡(luò)設(shè)備的水平來說，都達(dá)不到總行的管理和運(yùn)行水平。在整個(gè)商業(yè)銀行信息安全系統(tǒng)中。這些薄弱環(huán)節(jié)是最容易發(fā)生問題的地方。就我國(guó)目前商業(yè)銀行的現(xiàn)狀來看，大多存在著管理流程不順暢、面對(duì)風(fēng)險(xiǎn)處理能力不足、風(fēng)險(xiǎn)管理缺乏彈性等問題。這些問題的存在，都可能導(dǎo)致風(fēng)險(xiǎn)控制失控，突發(fā)事件不能及時(shí)處理的現(xiàn)象發(fā)生。

3 信息安全風(fēng)險(xiǎn)管理體系建設(shè)具體措施

3.1 加強(qiáng)對(duì)信息安全重要性的認(rèn)識(shí)

商業(yè)銀行的信息安全關(guān)系著金融的穩(wěn)定和社會(huì)穩(wěn)定。因此，商業(yè)銀行要加強(qiáng)對(duì)信息安全的重視程度，采取可行的措施來把防范風(fēng)險(xiǎn)的工作切實(shí)做到位。一方面，在領(lǐng)導(dǎo)的頂層決策時(shí)，就要形成安全的意識(shí)。對(duì)信息安全的問題上，要意識(shí)到信息安全帶來的負(fù)面影響。在員工方面，要加強(qiáng)對(duì)員工的安全教育工作和信息安全的培訓(xùn)工作。由于現(xiàn)在商業(yè)銀行的業(yè)務(wù)大部分依靠計(jì)算機(jī)和網(wǎng)絡(luò)來進(jìn)行處理。所以在銀行的操作員工，要具備較高的計(jì)算機(jī)操作水平。同時(shí)，員工也要時(shí)時(shí)刻刻記住安全的重要性，在日常的工作中時(shí)刻考級(jí)信息安全的管理制度。

3.2 完善信息安全管理制度和風(fēng)險(xiǎn)控制制度的有效性

保證信息安全的重點(diǎn)在于人的管理。人的主觀能動(dòng)性的發(fā)揮，對(duì)有效堵塞和防范風(fēng)險(xiǎn)有著極其重要的作用。識(shí)人充分發(fā)揮主顧南能動(dòng)性，就要加強(qiáng)銀行內(nèi)部的管理和控制。銀行要根據(jù)信息安全的保護(hù)要求，對(duì)整個(gè)管理體系進(jìn)行有效的梳理，進(jìn)行層層有效的監(jiān)控和控制。建立有效的管理體制和風(fēng)險(xiǎn)防控體制。

3.3 加強(qiáng)銀行內(nèi)部人員的技術(shù)建設(shè)

商業(yè)銀行為了保證信息安全的保護(hù)，對(duì)人才隊(duì)伍的建設(shè)也要重視起來。首先，要建設(shè)專門的監(jiān)管理機(jī)構(gòu)。運(yùn)用這些機(jī)構(gòu)加強(qiáng)信息安全的管理職能。其次，加強(qiáng)對(duì)專業(yè)技術(shù)人員的培養(yǎng)。信息安全技術(shù)的保證需要大量的經(jīng)驗(yàn)豐富的專業(yè)技術(shù)人員。商業(yè)銀行要提高自己的薪資待遇和福利條件，吸引優(yōu)秀的IT人員進(jìn)入銀行，幫助商業(yè)銀行進(jìn)行安全管理的體系。最后，要謹(jǐn)慎對(duì)待到一些IT外包的業(yè)務(wù)。商業(yè)銀行的某些業(yè)務(wù)有些因?yàn)榧夹g(shù)問題或者其他原因，會(huì)將一些技術(shù)業(yè)務(wù)外包給專業(yè)的信心花處理機(jī)構(gòu)。這些措施雖然會(huì)為商業(yè)銀行的業(yè)務(wù)帶來專業(yè)型的支持，但是在選擇外包業(yè)務(wù)時(shí)也要堅(jiān)持謹(jǐn)慎的原則。特別要重視保密措施的處理。謹(jǐn)防安全信息外泄等問題的出現(xiàn)。

4 結(jié)束語

新型的電子業(yè)務(wù)為商業(yè)銀行帶來更多的利潤(rùn)的同時(shí)，也帶來了新的安全問題。商業(yè)銀行新的業(yè)務(wù)的產(chǎn)生所帶來的漏洞和原來商業(yè)銀行本身可能存在的風(fēng)險(xiǎn)都使安全隱患的問題越來越多。存在的一些小的問題所引發(fā)的的大的矛盾都可能給銀行帶來不可挽回的損失。但是商業(yè)銀行信息安全風(fēng)險(xiǎn)管理是一項(xiàng)系統(tǒng)的復(fù)雜的涉及多方面的工程。商業(yè)信息安全的漏洞需要大量的工作去發(fā)現(xiàn)。在實(shí)際工作中，我們要時(shí)刻加強(qiáng)安全意識(shí)。評(píng)估商業(yè)銀行的風(fēng)險(xiǎn)以及推出一些具體的解決措施對(duì)商業(yè)銀行的健康發(fā)展具有重要的意義。

參考文獻(xiàn)：

[1]王永強(qiáng).淺議商業(yè)銀行信息風(fēng)險(xiǎn)的防范[J].中國(guó)電子商務(wù)，2013（04）：23-24.

[2]徐崇玲.銀行信心安全風(fēng)險(xiǎn)自聘雇的流程和方法[J].中國(guó)金融電腦，2007（02）：12-13.

[3]高松，李陽，王琰.山野銀行信心系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控新思路[J].現(xiàn)代商業(yè)，2013（27）：78-79.

第3篇：安全信息評(píng)估范文

【關(guān)鍵詞】信息系統(tǒng)；安全；風(fēng)險(xiǎn)評(píng)估；管理

一、信息系統(tǒng)安全

何謂信息系統(tǒng)，依據(jù)美國(guó)國(guó)家信息系統(tǒng)安全詞匯表的定義，信息系統(tǒng)是指用于收集、處理、存儲(chǔ)、傳輸、顯示、傳播和清除信息的所有設(shè)施、組織、人員等部件的總和。在這個(gè)定義中，我們不難看出，信息系統(tǒng)應(yīng)該是一種結(jié)合了人力因素、硬件設(shè)備、軟件系統(tǒng)等多方面元素的一種集合。信息系統(tǒng)的安全，主要就是圍繞著信息系統(tǒng)的功能，即數(shù)據(jù)的處理、存儲(chǔ)、傳輸?shù)葍?nèi)容來展開。當(dāng)前信息系統(tǒng)存在的安全隱患就是數(shù)據(jù)被篡改、被竊取、系統(tǒng)運(yùn)行被破壞這幾種情形。信息系統(tǒng)的安全以數(shù)據(jù)為核心，但是其內(nèi)容又并不局限于數(shù)據(jù)，理論上信息系統(tǒng)的安全包括四個(gè)方面的內(nèi)容，即實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和管理安全四個(gè)方面。這其中的每一個(gè)方面對(duì)信息系統(tǒng)的安全評(píng)價(jià)角度都是不同的，不同角度的安全評(píng)價(jià)決定了我們?cè)趯?duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)所選取的方式和角度也必然是不同的。

二、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法

根據(jù)信息系統(tǒng)的構(gòu)建和組成，我們對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估主要采用以下幾種方法：（1）事件樹分析：這是一種利用邏輯進(jìn)行演繹推理的方法，它的作用發(fā)揮方式是以某一個(gè)給定的事件為依據(jù)。根據(jù)這個(gè)事件展開分析，尋找出可能出現(xiàn)的各種具有影響力的后果，通過多角度、多層面的推理演繹，實(shí)習(xí)對(duì)風(fēng)險(xiǎn)的預(yù)估。（2）層次分析法：是一種多指標(biāo)綜合評(píng)價(jià)方法。這種評(píng)價(jià)方法的關(guān)鍵在于尋找不同因素直接存在的聯(lián)系，這種聯(lián)系可能表現(xiàn)為相互制約，也可能表現(xiàn)為一種形態(tài)上的隸屬關(guān)系。無論是那一種關(guān)系，都需要按照一定的標(biāo)準(zhǔn)，采用數(shù)學(xué)方法對(duì)不同的因素進(jìn)行層次上的排序。然后根據(jù)排序的結(jié)果來對(duì)風(fēng)險(xiǎn)進(jìn)行預(yù)估。（3）BP神經(jīng)網(wǎng)絡(luò)：是一種按誤差逆向傳播算法訓(xùn)練的多層前饋網(wǎng)絡(luò)，具有自學(xué)習(xí)能力，能夠?qū)崿F(xiàn)輸入和輸出之間的復(fù)雜非線性關(guān)信息系統(tǒng)的風(fēng)險(xiǎn)管理系。缺點(diǎn)是風(fēng)險(xiǎn)因素的權(quán)值確定較難，優(yōu)點(diǎn)是有自學(xué)能力，問題抽象化，適用于事故預(yù)測(cè)和方案擇優(yōu)。（4）故障樹分析：這是一種較為形象的風(fēng)險(xiǎn)預(yù)測(cè)方法，即首先對(duì)具有潛在危險(xiǎn)的各種因素進(jìn)行初始的分析，根據(jù)這些因素繪畫出故障樹，利用故障樹來發(fā)現(xiàn)不同因素之間存在的復(fù)雜聯(lián)系，找出事件發(fā)生之間的聯(lián)系。（5）風(fēng)險(xiǎn)評(píng)審技術(shù)方法：通過模擬實(shí)際系統(tǒng)研制時(shí)間、費(fèi)用及性能分布，針對(duì)不同條件對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)，需多次訪問，數(shù)據(jù)準(zhǔn)確性要求高。

三、信息系統(tǒng)的風(fēng)險(xiǎn)管理

無論是對(duì)信息系統(tǒng)安全還是風(fēng)險(xiǎn)評(píng)估方法，我們的目的都是希望其最終能夠服務(wù)于信息系統(tǒng)的風(fēng)險(xiǎn)管理工作。信息系統(tǒng)的風(fēng)險(xiǎn)管理，我們從以下幾個(gè)方面來進(jìn)行分析：第一，信息系統(tǒng)的動(dòng)態(tài)風(fēng)險(xiǎn)態(tài)勢(shì)評(píng)估。信息系統(tǒng)的風(fēng)險(xiǎn)管理，是一項(xiàng)動(dòng)靜結(jié)合的工作。由于當(dāng)前網(wǎng)絡(luò)環(huán)境是處于不斷運(yùn)動(dòng)的狀態(tài)，所以動(dòng)態(tài)管理對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)管理具有重要的意義。信息系統(tǒng)面臨的風(fēng)險(xiǎn)雖然具有突發(fā)性，但是我們通過對(duì)某一段時(shí)間的態(tài)勢(shì)值比較分析能夠做出一定的判斷，當(dāng)一段時(shí)間內(nèi)的態(tài)勢(shì)值與正常范圍內(nèi)的態(tài)勢(shì)值有差異的時(shí)候，我們應(yīng)該加強(qiáng)系統(tǒng)信息的風(fēng)險(xiǎn)預(yù)警。通過這種動(dòng)態(tài)的評(píng)估，管理人員能夠在數(shù)據(jù)參考的基礎(chǔ)上做出一些應(yīng)對(duì)。第二，ART-BP神經(jīng)網(wǎng)絡(luò)的模糊專家系統(tǒng)風(fēng)險(xiǎn)管理。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)信息技術(shù)的進(jìn)一步普及，信息系統(tǒng)在未來仍然會(huì)以規(guī)?；内厔?shì)覆蓋我們的日常生活，信息系統(tǒng)對(duì)人類生活產(chǎn)生的重要影響將越來越突出，風(fēng)險(xiǎn)管理的水平必須進(jìn)一步提升和加強(qiáng)。ART-BP神經(jīng)網(wǎng)絡(luò)的基本工作原理是：網(wǎng)絡(luò)接收外面環(huán)境的輸入狀況，對(duì)網(wǎng)絡(luò)已經(jīng)存儲(chǔ)的模式和新來的網(wǎng)絡(luò)樣本進(jìn)行比較和權(quán)衡，通過一定的程序?qū)Χ叩南嗨贫冗M(jìn)行計(jì)算，利用閾值檢查已有的網(wǎng)絡(luò)存儲(chǔ)模式和輸入的樣本，并且對(duì)連接權(quán)重進(jìn)行調(diào)整，實(shí)現(xiàn)最大的相似度。第三，加強(qiáng)風(fēng)險(xiǎn)管理中的人力因素管理。信息系統(tǒng)是由人力、硬軟件設(shè)備共同發(fā)揮作用而組成的一個(gè)管理系統(tǒng)。信息系統(tǒng)各種不安全因素的出現(xiàn)，最大的始作俑者也是人類，人力因素在整個(gè)信息系統(tǒng)的安全管理中有著重要的作用。信息系統(tǒng)的風(fēng)險(xiǎn)管理，必須加強(qiáng)對(duì)人力因素的控制和管理，人力因素在整個(gè)系統(tǒng)風(fēng)險(xiǎn)管理中作用的發(fā)揮的是首要的。加強(qiáng)人力因素的管理，首先我們要提高從業(yè)人員的素質(zhì)，這種素質(zhì)不僅僅是專業(yè)的信息技術(shù)素質(zhì)，而且包括一個(gè)人的品行、工作態(tài)度等多方面素質(zhì)的綜合。其次加強(qiáng)那個(gè)人力因素管理，還應(yīng)該通過制度來予以明確的規(guī)定，用明文的制度來規(guī)范具體的操作行為和操作流程，加強(qiáng)風(fēng)險(xiǎn)預(yù)警意識(shí)的培養(yǎng)，是實(shí)現(xiàn)風(fēng)險(xiǎn)管理的另一個(gè)重要途徑。

參考文獻(xiàn)

[1]劉翠翠，王云．淺析網(wǎng)絡(luò)信息安全挑戰(zhàn)及其應(yīng)對(duì)措施[J]．電腦知識(shí)與技術(shù)．2008：36

第4篇：安全信息評(píng)估范文

通過對(duì)以上信息系統(tǒng)安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和研究成果的分析，信息系統(tǒng)安全風(fēng)險(xiǎn)的影響因素應(yīng)包含以下幾個(gè)方面【1-8】。（1）物理環(huán)境安全性：主要是指信息系統(tǒng)的硬件部分的可靠性。信息系統(tǒng)安全首要問題是必須保證計(jì)算機(jī)硬件的可靠性。信息都是以ASCII碼的形式存儲(chǔ)在計(jì)算機(jī)上面的，一旦計(jì)算機(jī)物理硬件出現(xiàn)問題，很多信息將會(huì)丟失，所以必須保證信息系統(tǒng)存儲(chǔ)硬件的可靠性，同時(shí)，計(jì)算機(jī)硬件對(duì)設(shè)備存放的環(huán)境也很重要，必須保持計(jì)算機(jī)周圍的散熱和通風(fēng)效果較好，減少機(jī)房灰塵，這樣能有效保證計(jì)算機(jī)設(shè)備的壽命和安全，減少計(jì)算機(jī)等硬件設(shè)備的損壞機(jī)率。（2）網(wǎng)絡(luò)運(yùn)行安全性：主要是信息系統(tǒng)在進(jìn)行收集、儲(chǔ)存、整理和發(fā)掘過程中的信息保存和傳輸?shù)陌踩?。信息系統(tǒng)的正常運(yùn)行和信息的存儲(chǔ)與挖掘是需要在信息系統(tǒng)之間進(jìn)行的，這就必須保證信息的安全和傳輸網(wǎng)絡(luò)的可靠。為了避免信息損失或丟失，應(yīng)該做好信息的及時(shí)備份；其次是應(yīng)該做好防毒工作，如今的病毒隱藏越來越深，對(duì)數(shù)據(jù)的破壞程度也越來越嚴(yán)重，所以必須做好病毒防范措施；再次就是保證信息系統(tǒng)在信息傳輸過程中的網(wǎng)絡(luò)通信協(xié)議安全，這樣能避免信息數(shù)據(jù)被其他人截獲和利用。所以，做好網(wǎng)絡(luò)運(yùn)行安全措施，是避免信息系統(tǒng)安全風(fēng)險(xiǎn)的有效措施。（3）信息保密狀況：主要是對(duì)信息系統(tǒng)使用過程中的保密措施。要做到信息不被其他人盜取和利用，必須做好信息數(shù)據(jù)的保密工作，應(yīng)該根據(jù)不同職位級(jí)別制定不同的信息使用和訪問權(quán)限，不僅要有專用的使用者身份鑒別、訪問控制等，還必須進(jìn)行電磁泄密防護(hù)，做好抗抵賴性和入侵檢測(cè)，保證信息系統(tǒng)的信息數(shù)據(jù)的保密工作，有效降低信息系統(tǒng)的安全風(fēng)險(xiǎn)。（4）安全管理能力：信息系統(tǒng)中信息的收集和管理都是有管理人員參與的，基于人性的不確定性和功利性，信息數(shù)據(jù)很容易被泄密，所以必須加強(qiáng)管理層的保密工作和安全防范意識(shí)。在對(duì)信息數(shù)據(jù)進(jìn)行管理的時(shí)候，必須建立專人專責(zé)的管理制度，對(duì)管理人員加強(qiáng)安全保密意識(shí)的培養(yǎng)，同時(shí)對(duì)于信息系統(tǒng)的不同級(jí)別的密碼和密匙要分開管理，將信息系統(tǒng)的安全威脅系數(shù)降到最低。（5）威脅對(duì)抗能力：隨著黑客數(shù)量的逐漸增加，黑客已經(jīng)滲透到各行各業(yè)，一些企業(yè)或組織的信息系統(tǒng)的機(jī)密數(shù)據(jù)從而成為黑客的攻擊對(duì)象，這就要求信息系統(tǒng)構(gòu)建中必須具有較好的威脅對(duì)抗能力，不僅能有效將黑客攻擊抵擋在信息系統(tǒng)之外，還應(yīng)該具有攻擊追蹤和反饋能力，對(duì)威脅來源進(jìn)行分析，為尋找威脅提供有用信息。通過以上的分析可以看出，在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)的時(shí)候，主要是從物理環(huán)境安全性、網(wǎng)絡(luò)運(yùn)行安全性、信息保密狀況、安全管理能力、威脅對(duì)抗能力五個(gè)方面來進(jìn)行評(píng)價(jià)最為合適。

2評(píng)價(jià)標(biāo)度的選擇與評(píng)價(jià)方法研究

2.1評(píng)價(jià)標(biāo)度的選擇問題研究

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)過程中，通過對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)的分析可以看出，這些指標(biāo)都是很難定量計(jì)算的，同時(shí)在對(duì)信息風(fēng)險(xiǎn)評(píng)價(jià)過程中存在一定的不確定性和模糊性，故在對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)度的選擇過程中，應(yīng)該選擇不確定性評(píng)價(jià)標(biāo)度。基于不確定性評(píng)價(jià)指標(biāo)，在評(píng)價(jià)的時(shí)候，基于人的意識(shí)的模糊性和直觀性，專家更習(xí)慣于給出諸如“好”、“很好”之類的語言評(píng)價(jià)標(biāo)度【9】，綜合考慮以上因素，在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)過程中，選擇評(píng)價(jià)標(biāo)度為語言評(píng)價(jià)標(biāo)度，并將語言標(biāo)度和模糊數(shù)對(duì)應(yīng)，形成模糊語言評(píng)價(jià)標(biāo)度。在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)的時(shí)候，因?yàn)樽陨韺I(yè)知識(shí)的有限性或是進(jìn)行實(shí)際調(diào)查中存在的不確定性因素，參與評(píng)價(jià)的專家往往不可能對(duì)所評(píng)價(jià)組織或企業(yè)的信息系統(tǒng)安全風(fēng)險(xiǎn)管理情況完全了解，這樣，專家所給出的評(píng)價(jià)信息就存在一定的不可靠性，為了能使得最終的評(píng)價(jià)結(jié)果更為科學(xué)、可信，最好的解決方法就是專家在給出評(píng)價(jià)值的同時(shí)也將其對(duì)該方面了解知識(shí)的程度也標(biāo)注出來，這樣的結(jié)果更為科學(xué)，決策者在獲得評(píng)價(jià)結(jié)果的同時(shí)還能明白專家是在掌握多少知識(shí)的情況下給出的評(píng)價(jià)。考慮到灰色系統(tǒng)中的灰度主要用來反映信息未知量的多少【10】，對(duì)于灰度為0則認(rèn)為專家給出的評(píng)價(jià)信息是在完全掌握信息量的情況下給出的，如果灰度為1，則認(rèn)為專家給出的評(píng)價(jià)值是在專家沒有掌握任何信息量的情況下給出的，因此，在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)過程中，應(yīng)該將反應(yīng)專家掌握信息量多少的灰度引入評(píng)價(jià)標(biāo)度中。綜合以上分析，在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)度的選擇上，應(yīng)該選擇由模糊數(shù)和灰度構(gòu)成的有序?qū)?S,G)作為評(píng)價(jià)標(biāo)度，其中S表示語言評(píng)價(jià)標(biāo)度，其對(duì)應(yīng)一個(gè)確定的模糊數(shù)，G代表掌握信息量多少的灰度，其中G∈[0,1]。

2.2基于模糊灰度的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)方法研究

在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)過程中，為了避免單一決策者的評(píng)價(jià)帶有個(gè)人偏見，一般采用的是聘請(qǐng)不同方面的專家構(gòu)成評(píng)審團(tuán)隊(duì)來對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，設(shè)最終聘請(qǐng)K個(gè)專家對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，評(píng)價(jià)標(biāo)度選擇以前文討論所得的模糊灰度評(píng)價(jià)標(biāo)度，其中語言標(biāo)度與模糊數(shù)的對(duì)應(yīng)關(guān)系如表1。在給出評(píng)價(jià)矩陣后，考慮到每個(gè)專家的重要性不同，且每個(gè)指標(biāo)的重要性不同，所以還需要確定出專家的權(quán)重和評(píng)價(jià)指標(biāo)的權(quán)重，在確定指標(biāo)權(quán)重和專家權(quán)重時(shí)，考慮到模糊數(shù)不便于計(jì)算和比較，故利用下式將模糊數(shù)(al,am,ar)轉(zhuǎn)換成便于比較的實(shí)數(shù)。

3實(shí)證研究

顧客知識(shí)信息不僅能為企業(yè)的產(chǎn)品創(chuàng)新和研發(fā)給出指導(dǎo)方向，還是企業(yè)產(chǎn)品營(yíng)銷中分析顧客群的有效知識(shí)。很多企業(yè)從顧客知識(shí)的管理和挖掘中獲得較大利益，因此，基于顧客知識(shí)信息的信息系統(tǒng)對(duì)企業(yè)的可持續(xù)發(fā)展具有重要作用。其信息系統(tǒng)的安全風(fēng)險(xiǎn)問題是企業(yè)必須注重的，定期的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)是大型企業(yè)進(jìn)行信息系統(tǒng)管理中必不可少的一步。某大型企業(yè)為了掌握其客戶管理信息系統(tǒng)安全風(fēng)險(xiǎn)的現(xiàn)狀，聘請(qǐng)6位專家對(duì)該企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，采用模糊灰度評(píng)價(jià)標(biāo)度，得到語言評(píng)價(jià)矩陣如表3所示。通過最大隸屬度原則，可以看出，在對(duì)該企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理的評(píng)價(jià)中，說明該企業(yè)在對(duì)企業(yè)安全風(fēng)險(xiǎn)管理上做的“較好”，且該綜合評(píng)價(jià)信息是在群體平均信息掌握量為0.2568的情況下給出的。綜合這些信息得到該企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的綜合評(píng)價(jià)結(jié)論。（1）通過群組專家在對(duì)企業(yè)信息系統(tǒng)進(jìn)行調(diào)查分析，在較充分掌握信息系統(tǒng)運(yùn)行情況和管理信息的情況下，對(duì)企業(yè)的信息系統(tǒng)安全風(fēng)險(xiǎn)做出的最終評(píng)價(jià)結(jié)果為：該企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理方面做的“較好”。（2）通過對(duì)該企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果可以看出，該企業(yè)信息安全風(fēng)險(xiǎn)的管理方面還存在一定的提升空間，但是考慮到評(píng)審團(tuán)隊(duì)對(duì)該評(píng)價(jià)結(jié)果不是在完全掌握企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理的情況下做出的，所以可能存在一定的偏差，但是該偏差是較小的，作為最終的決策者，對(duì)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)更為了解，可以通過對(duì)群組專家評(píng)價(jià)結(jié)果的借鑒來對(duì)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理和預(yù)防方面做出科學(xué)的決策。

4信息系統(tǒng)安全風(fēng)險(xiǎn)防范對(duì)策

信息系統(tǒng)安全風(fēng)險(xiǎn)的主要影響因素為物理環(huán)境安全性、網(wǎng)絡(luò)運(yùn)行安全性、信息保密狀況、安全管理能力、威脅對(duì)抗能力五個(gè)方面。為了保證信息系統(tǒng)的有效運(yùn)行，防止信息系統(tǒng)被破壞，應(yīng)該做好如下幾個(gè)方面：（1）建立健全信息系統(tǒng)安全風(fēng)險(xiǎn)防護(hù)框架。主要是針對(duì)企業(yè)信息系統(tǒng)構(gòu)建的實(shí)際情況，及信息系統(tǒng)的需求和使用情況，根據(jù)不同使用權(quán)限和安全強(qiáng)度進(jìn)行分層、分區(qū)授權(quán)和管理，對(duì)信息系統(tǒng)的實(shí)時(shí)控制區(qū)等關(guān)鍵區(qū)進(jìn)行重點(diǎn)防護(hù)和監(jiān)測(cè)。（2）加強(qiáng)信息安全專業(yè)技術(shù)的應(yīng)用。主要是在對(duì)信息系統(tǒng)安全管理過程中，加強(qiáng)利用專業(yè)信息安全技術(shù)進(jìn)行安全保密，如引入最新的身份認(rèn)證系統(tǒng)進(jìn)行操作和使用者的訪問權(quán)限監(jiān)測(cè)，對(duì)于接入網(wǎng)絡(luò)的系統(tǒng)要設(shè)置防火墻，防止計(jì)算機(jī)病毒或其他威脅的入侵，并對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)檢測(cè)和系統(tǒng)日志審計(jì)，監(jiān)測(cè)是否有非法活動(dòng)，及時(shí)發(fā)現(xiàn)問題并解決問題，保證信息系統(tǒng)的正常運(yùn)行。（3）完善信息系統(tǒng)管理制度。很多信息系統(tǒng)更多的是人為因素造成的，而且人為因素導(dǎo)致的風(fēng)險(xiǎn)還具有隱蔽性，所以要加強(qiáng)對(duì)信息系統(tǒng)管理制度的建立和完善，建立嚴(yán)格的信息系統(tǒng)管理和使用制度，明確各管理人員的職責(zé)分工，要對(duì)管理人員和使用人員進(jìn)行定期的保密培訓(xùn)和專業(yè)技術(shù)培訓(xùn)，避免錯(cuò)誤操作，對(duì)信息系統(tǒng)進(jìn)行有效的保護(hù)。

5結(jié)語

第5篇：安全信息評(píng)估范文

1.1網(wǎng)絡(luò)隔離

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)入侵是利用網(wǎng)絡(luò)系統(tǒng)的漏洞進(jìn)行病毒感染的過程。在核電站內(nèi)，網(wǎng)絡(luò)有1E級(jí)與非1E級(jí)之分。按照核電站設(shè)計(jì)規(guī)范，數(shù)據(jù)只能由1E級(jí)網(wǎng)絡(luò)向非1E級(jí)網(wǎng)絡(luò)單向傳輸[2]。網(wǎng)絡(luò)的隔離可通過“硬設(shè)置”（如：在兩級(jí)網(wǎng)絡(luò)間設(shè)置網(wǎng)橋）或“軟設(shè)置”（如：在1E級(jí)網(wǎng)絡(luò)上設(shè)置防火墻或在任一方網(wǎng)絡(luò)的標(biāo)準(zhǔn)化接口的讀寫方式上設(shè)置讀寫命令，或完全自主設(shè)計(jì)網(wǎng)絡(luò)接口完成網(wǎng)絡(luò)數(shù)據(jù)單向傳輸?shù)膯栴}）等方式來實(shí)現(xiàn)。按照業(yè)務(wù)職能和安全需求的不同，網(wǎng)絡(luò)可劃分為以下幾個(gè)區(qū)域：滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域；滿足在線業(yè)務(wù)需要DMZ區(qū)域；滿足ICS管理與監(jiān)控需要的管理區(qū)域；滿足自動(dòng)化作業(yè)需要的控制區(qū)域。通過設(shè)置各個(gè)網(wǎng)絡(luò)段的隔離（如：工業(yè)防火墻）和進(jìn)行按重要防護(hù)級(jí)別進(jìn)行區(qū)域劃分來達(dá)到信息安全“縱深防御”的基本要求。

1.2核安全分級(jí)

核設(shè)施的不同安全級(jí)別，決定了需要防護(hù)的等級(jí)的差異。因此，在進(jìn)行核設(shè)施風(fēng)險(xiǎn)評(píng)估時(shí)，要對(duì)核設(shè)施的安全等級(jí)有全面的了解。根據(jù)核設(shè)施的重要程度確定風(fēng)險(xiǎn)評(píng)估的級(jí)別。據(jù)分析，核電站的典型事故主要包括以下方面：蒸汽發(fā)生器傳熱管破裂、給水管道破裂、蒸汽管道破裂、反應(yīng)堆冷卻劑泵停運(yùn)、穩(wěn)壓器波紋管破裂等。根據(jù)事故產(chǎn)生后果的嚴(yán)重性，將核電廠內(nèi)部設(shè)施的安全性分為四級(jí)：核安全1級(jí)～核安全4級(jí)。核安全1級(jí)設(shè)備指發(fā)生事故后產(chǎn)生后果最嚴(yán)重、對(duì)安全性要求最高的設(shè)備：核安全4級(jí)設(shè)備為一般性設(shè)備，發(fā)生故障后不會(huì)引起核事故的發(fā)生，因此也稱非核級(jí)。反應(yīng)堆壓力容器、反應(yīng)堆冷卻劑泵、主冷卻管道、穩(wěn)壓器等屬于核安全l級(jí)，余熱排除系統(tǒng)、蒸汽發(fā)生器二次側(cè)等屬于核安全2級(jí)。核安全1級(jí)、2級(jí)部件對(duì)核電站整體的安全性至關(guān)重要，是監(jiān)測(cè)和維護(hù)的重點(diǎn)。

1.3電力SCADA系統(tǒng)

為了維持和控制龐大的廣域系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)中起著重要的作用。電力行業(yè)的基本工具是能源管理系統(tǒng)（EMS）和SCADA系統(tǒng)。遠(yuǎn)程終端單元（RTU）是安裝在本地發(fā)電廠或變電站，收集電力系統(tǒng)運(yùn)行信息，并將它們發(fā)送到控制中心的微波和/或光纖的通訊網(wǎng)絡(luò)，執(zhí)行從控制中心發(fā)出的控制指令。這意味著，操作人員可以在控制中心監(jiān)控并控制整個(gè)電力系統(tǒng)。EMS分析所收集的信息SCADA，并幫助更準(zhǔn)確地掌握電力系統(tǒng)的操作狀態(tài)。再加上自動(dòng)發(fā)電控制（AGC），當(dāng)?shù)氐碾娫措妷?，無功功率控制（VQC），SCADA系統(tǒng)構(gòu)成的控制系統(tǒng)的電源系統(tǒng)。

2評(píng)估方法

2.1風(fēng)險(xiǎn)評(píng)估定義

進(jìn)行風(fēng)險(xiǎn)評(píng)估是按照相關(guān)法規(guī)要求，在核電站建造的不同階段，提交初步安全分析報(bào)告和最終安全分析報(bào)告，并在通過核安全審評(píng)后才能進(jìn)行下階段工作。數(shù)字化核電站的儀控設(shè)計(jì)必須考慮如何滿足相關(guān)法規(guī)和標(biāo)準(zhǔn)要求。從安全審評(píng)的角度看待這些設(shè)計(jì)可以大大減少設(shè)計(jì)變更的可能性及由于設(shè)計(jì)上的安全問題而導(dǎo)致的工程延期?？傮w設(shè)計(jì)思想是在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性[3]。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析主要內(nèi)容為：對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的重要性進(jìn)行賦值；對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)威脅和脆弱性的識(shí)別結(jié)果判斷安全事件發(fā)生的可能性；根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計(jì)算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值?？紤]安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)，以下面的范式形式化加以說明：風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。在描述框架對(duì)風(fēng)險(xiǎn)的優(yōu)先次序和校準(zhǔn)之前，重要的是要明白風(fēng)險(xiǎn)分析的基本概念（例如風(fēng)險(xiǎn)方程）。對(duì)發(fā)生的事件的可能性考慮到威脅可能實(shí)現(xiàn)的可能性，例如，對(duì)于網(wǎng)絡(luò)病毒，則需要在網(wǎng)絡(luò)上進(jìn)行防病毒控制。如果采用類似的概率表達(dá)可能，則有：事件發(fā)生的可能性＝威脅產(chǎn)生的可能性×脆弱性出現(xiàn)的可能性，風(fēng)險(xiǎn)有可能性和后果兩個(gè)方面，其中后果由特定的威脅或漏洞，具體對(duì)組織的資產(chǎn)負(fù)面影響[4-6]。風(fēng)險(xiǎn)R（后果/單位時(shí)間）=事件概率P（事件/單位時(shí)間）×造成的后果C（后果/事件），見圖1。

2.2評(píng)估過程

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備：確定評(píng)估范圍、組織評(píng)估小組、評(píng)估目標(biāo)、評(píng)估工具和評(píng)估方法。風(fēng)險(xiǎn)因素識(shí)別：資產(chǎn)識(shí)別、威脅識(shí)別、脆弱點(diǎn)識(shí)別。風(fēng)險(xiǎn)評(píng)估方法：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。評(píng)估過程中涉及的可能性規(guī)模見表1。定性的風(fēng)險(xiǎn)評(píng)估的輸出是一個(gè)資產(chǎn)或場(chǎng)景的列表，有一個(gè)整體的風(fēng)險(xiǎn)級(jí)別排列。表2的矩陣范例描述了總體風(fēng)險(xiǎn)級(jí)別是如何得出的。例如：賦給每個(gè)威脅可能性級(jí)上的概率為1.0時(shí)表示高，0.5表示中，0.1表示低；賦給每個(gè)影響級(jí)上的值為100時(shí)表示高，50表示中，10表示低。在定義評(píng)估范圍時(shí)，要對(duì)控制系統(tǒng)邊界和機(jī)構(gòu)責(zé)任進(jìn)行分析，可以通過一組進(jìn)程、通信、存儲(chǔ)、資源等來確定。在控制系統(tǒng)的邊界范圍內(nèi)的每個(gè)要素必須滿足：處于相同的直接管理控制下；具有相同的功能或使命目標(biāo)；有相同的直接管理控制；有相同的功能或使命；有本質(zhì)上相同的運(yùn)行特性和安全需求；位于相同的通用運(yùn)行環(huán)境中。見圖2。

2.3安全級(jí)別生命周期

相關(guān)圖示見圖3。3概率安全評(píng)價(jià)方法的結(jié)合PSA對(duì)分析系統(tǒng)的風(fēng)險(xiǎn)采用系統(tǒng)的、定量的描述，并對(duì)系統(tǒng)的風(fēng)險(xiǎn)避免提出改進(jìn)的方法。這種評(píng)估方法的價(jià)值取決于分析者對(duì)所分析系統(tǒng)的了解、掌握的數(shù)據(jù)是否全面及可靠的程度。與PSA方法相對(duì)的另一種方法是確定論的方法，通過考慮出現(xiàn)典型事故時(shí)(基準(zhǔn)事件)，應(yīng)采取預(yù)防或緩解措施。隨著PSA方法的發(fā)展和計(jì)算機(jī)在PSA方法中的應(yīng)用，確定論方法越來越顯示出局限性，主要表現(xiàn)在：嚴(yán)重的初始事件并不一定導(dǎo)致嚴(yán)重的后果；相反看起來并不嚴(yán)重的初始事件卻可以導(dǎo)致嚴(yán)重的后果；只考慮安全系統(tǒng)的單一故障，不考慮系統(tǒng)的完全失效；沒有定量的描述。目前，美國(guó)在PSA的應(yīng)用領(lǐng)域處于領(lǐng)先地位。美國(guó)核管會(huì)新的核電廠監(jiān)督檢查大綱的一個(gè)重要建立基礎(chǔ)就是PSA的應(yīng)用。同時(shí)，PSA也廣泛應(yīng)用于NRC的法規(guī)制定、修改及對(duì)電廠所提與許可證條件相關(guān)的變更申請(qǐng)的審批。美國(guó)近幾年來有多座核電廠提升了功率，正是PSA應(yīng)用所取得的一個(gè)重要成果。雖然PSA在核電領(lǐng)域已經(jīng)廣泛應(yīng)用，但在核電信息安全領(lǐng)域，PSA方法還沒有得到應(yīng)用。目前，信息安全領(lǐng)域相關(guān)的標(biāo)準(zhǔn)如ISA99和IEC62443等提出了信息安全評(píng)估方法。當(dāng)設(shè)計(jì)一個(gè)新的系統(tǒng)或檢查一個(gè)現(xiàn)有系統(tǒng)的安全性，通過將系統(tǒng)劃分成區(qū)域，定義區(qū)域的連接管道，確定其保護(hù)等級(jí)。如何實(shí)現(xiàn)這一步在IEC62443-3-2中有詳細(xì)描述。一旦一個(gè)系統(tǒng)的區(qū)域模型建立，每個(gè)區(qū)域和管道分派給一個(gè)目標(biāo)SAL，基于事件的后果分析，描述所希望實(shí)現(xiàn)的安全性保障。我們的研究目標(biāo)之一是將PSA的成熟分析技術(shù)應(yīng)用于核電領(lǐng)域的信息安全。這將進(jìn)一步加強(qiáng)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估的精度[7]。

3結(jié)束語

第6篇：安全信息評(píng)估范文

關(guān)鍵詞：高速鐵路；高速鐵路；信號(hào)系統(tǒng)；安全評(píng)估

中圖分類號(hào)：U284

1高速鐵路信號(hào)系統(tǒng)安全評(píng)估的意義

幾年來，我國(guó)的高速鐵路列車運(yùn)行速度經(jīng)過了幾次較大幅度的提升，每小時(shí)可達(dá)350公里，列車的大提速對(duì)列車運(yùn)行的安全問題提出了更高的要求。高速列車的運(yùn)行與旅客的生命財(cái)產(chǎn)緊密聯(lián)系，關(guān)系到了旅客的出行安全問題，已成為重大的工程問題。鐵路信號(hào)系統(tǒng)的研發(fā)、設(shè)計(jì)、生產(chǎn)和投入使用出現(xiàn)任何質(zhì)量問題，必將給國(guó)家和人民群眾造成嚴(yán)重的生命財(cái)產(chǎn)損失。所以，高鐵信號(hào)系統(tǒng)的安全評(píng)估能夠及時(shí)查處鐵路信號(hào)系統(tǒng)出現(xiàn)的各種安全隱患，保證信號(hào)系統(tǒng)功能的正常發(fā)揮。

2高速鐵路信號(hào)系統(tǒng)的安全評(píng)估現(xiàn)狀

發(fā)達(dá)國(guó)家的鐵路建設(shè)歷史悠久，鐵路建設(shè)經(jīng)驗(yàn)非常豐富，形成了一個(gè)比較完善的鐵路信號(hào)系統(tǒng)安全評(píng)估體系，制定了一系列可行的安全評(píng)估標(biāo)準(zhǔn)。歐洲電氣化標(biāo)準(zhǔn)委員會(huì)制定的鐵路信號(hào)系統(tǒng)規(guī)范包括鐵路應(yīng)用的可靠性、可用性、可維護(hù)性和安全性規(guī)范和說明。歐洲鐵路行業(yè)標(biāo)準(zhǔn)成為各國(guó)鐵路發(fā)展的指導(dǎo)性規(guī)范，成為各國(guó)參考的標(biāo)準(zhǔn)。我國(guó)的鐵路發(fā)展歷史已有100年了，但是由于各種原因，我國(guó)的鐵路在改革開放之前發(fā)展緩慢，改革開放之后雖然發(fā)展速度，但是發(fā)展中出現(xiàn)的許多問題，鐵路信號(hào)系統(tǒng)技術(shù)發(fā)展不能滿足鐵路大提速的要求，技術(shù)相對(duì)滯后，信號(hào)系統(tǒng)的技術(shù)主要借鑒與歐洲百年來形成的鐵路信號(hào)系統(tǒng)的評(píng)估體系。

3高速鐵路信號(hào)系統(tǒng)安全評(píng)估的參考標(biāo)準(zhǔn)

我國(guó)的高速鐵路起步比較晚，但是發(fā)展規(guī)模非常大，鐵路信號(hào)系統(tǒng)技術(shù)的落后使之我國(guó)的鐵路信號(hào)系統(tǒng)安全評(píng)估體系主要借鑒于歐洲的信號(hào)系統(tǒng)安全標(biāo)準(zhǔn)。本文就歐洲鐵路信號(hào)系統(tǒng)安全標(biāo)準(zhǔn)進(jìn)行分解：（1）EN50128-2001鐵路應(yīng)用：鐵路防護(hù)和控制系統(tǒng)軟件；（2）EN50129-2003鐵路應(yīng)用：安全電子信號(hào)系統(tǒng)；（3）EN50126-2003鐵路應(yīng)用：可維護(hù)性、可用性、可靠性和安全性規(guī)范及說明；（4）EN50159-1-2001鐵路應(yīng)用：信號(hào)、通信和處理系統(tǒng)。第1部分：在封閉的傳輸系統(tǒng)中與安全有關(guān)的通信；（5）EN50159-2-2001鐵路應(yīng)用：通信、信號(hào)和處理系統(tǒng)。第2部分：在開放的傳輸系統(tǒng)中與安全有關(guān)的通信。除此之外，高速鐵路信號(hào)的設(shè)計(jì)的總體方案、安全功能要求以及需求規(guī)范等也是安全評(píng)估的依據(jù)。

4高速鐵路信號(hào)系統(tǒng)安全評(píng)估的內(nèi)容

4.1安全評(píng)估的相關(guān)主體。高速鐵路信號(hào)系統(tǒng)安全評(píng)估的不同利益主體有4個(gè)方面：

（1）客戶：客戶是鐵路建設(shè)的提出者和需求者，也是鐵路建設(shè)完成后的運(yùn)營(yíng)者；（2）項(xiàng)目單位：鐵路建設(shè)項(xiàng)目的實(shí)施者和過程控制著；（3）評(píng)估單位：對(duì)鐵路工程進(jìn)行審查，確保工程在實(shí)施中風(fēng)險(xiǎn)降到最低；（4）安全主管部門：認(rèn)可鐵路工程安全性的部門。

4.2高速鐵路安全評(píng)估的主要步驟

（1）安全評(píng)估材料收集。安全評(píng)估所需要的材料包括安全評(píng)估依據(jù)和評(píng)估材料。評(píng)估依據(jù)包括評(píng)估方面的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范。評(píng)估材料包括高鐵具體的項(xiàng)目方案、招標(biāo)文件、項(xiàng)目設(shè)計(jì)和施工過程記錄等材料，設(shè)備說明書、綜合實(shí)驗(yàn)結(jié)果、環(huán)境衛(wèi)生和安全管理技術(shù)等。

（2）評(píng)估單元?jiǎng)澐治：π员嫖?。高速鐵路實(shí)施安全評(píng)估時(shí)，將評(píng)估對(duì)象分為若干個(gè)能夠確定評(píng)估的單元模式，分別進(jìn)行評(píng)估，在分割評(píng)估的基礎(chǔ)上進(jìn)行整體評(píng)估。這樣可以減少評(píng)估工作量，也是評(píng)估工作更加的仔細(xì)和準(zhǔn)確。

（3）選擇評(píng)估方法進(jìn)行定性和定量評(píng)估。在對(duì)評(píng)估單元?jiǎng)澐值幕A(chǔ)上，針對(duì)不同的評(píng)估單元選擇不同的評(píng)估方法。對(duì)評(píng)估單元進(jìn)行系統(tǒng)性的定量分析和定性分析，采用的評(píng)估方法要依據(jù)評(píng)估單元的特點(diǎn)和危險(xiǎn)有害因素的類型確定。

4.3高速鐵路信號(hào)系統(tǒng)安全評(píng)估的方法

（1）專家評(píng)估法。專家評(píng)估法包含評(píng)分法、表決法和安全檢查表法等，其中使用較為普遍的是安全檢查表（SCL）法。其主要思想是事先把檢查對(duì)象加以分解，將大系統(tǒng)分割成若干小的子系統(tǒng)，以提問或打分的形式，將檢查項(xiàng)目列表逐項(xiàng)檢查，以查找系統(tǒng)中各種元件、部件、設(shè)備、設(shè)施、物料、工件、操作、人員、管理和組織措施中的危險(xiǎn)、有害因素，并逐項(xiàng)進(jìn)行分析，對(duì)存在安全隱患的部分提出整改意見和措施。

（2）預(yù)先危險(xiǎn)性分析（PHA）。在高速鐵路項(xiàng)目實(shí)施之前，為實(shí)現(xiàn)系統(tǒng)安全而對(duì)系統(tǒng)進(jìn)行初步或初始的分析，包括設(shè)計(jì)、型式實(shí)驗(yàn)、生產(chǎn)或施工前，首先對(duì)系統(tǒng)中存在的危險(xiǎn)性類別、出現(xiàn)條件，導(dǎo)致故障（或事故）的后果進(jìn)行分析，其目的是識(shí)別系統(tǒng)中的潛在危險(xiǎn)，確定其危險(xiǎn)等級(jí)，防止危險(xiǎn)發(fā)展成故障（或事故）。預(yù)先危險(xiǎn)性分析可以達(dá)到識(shí)別與系統(tǒng)有關(guān)的主要危險(xiǎn)，鑒別產(chǎn)生危險(xiǎn)的原因，預(yù)測(cè)故障（或事故）發(fā)生對(duì)人員和系統(tǒng)的影響；判別危險(xiǎn)等級(jí)并提出消除或控制危險(xiǎn)性的對(duì)策措施。

（3）故障模式和影響分析（FMEA）。根據(jù)高速鐵路系統(tǒng)可以劃分為子系統(tǒng)、設(shè)備和元件等評(píng)估單元的特點(diǎn)，按實(shí)際需要將系統(tǒng)進(jìn)行分割，然后分析各自可能發(fā)生的故障模式及其產(chǎn)生的影響，以便采取相應(yīng)的對(duì)策，提高系統(tǒng)的安全可靠性。

（5）故障樹分析（FTA）。故障樹能對(duì)各種系統(tǒng)的危險(xiǎn)性進(jìn)行識(shí)別評(píng)價(jià)，既適用于定性分析，又能進(jìn)行定量分析。FTA作為安全分析、評(píng)價(jià)和故障（或事故）預(yù)測(cè)的一種先進(jìn)的科學(xué)方法，不僅能分析出故障（或事故）的直接原因，而且能進(jìn)一步提示故障（或事故）的潛在原因。因此，在工程或設(shè)備的設(shè)計(jì)階段、在故障（或事故）查詢或編制新的操作方法時(shí)，都可以使用FTA對(duì)它們的安全性作出評(píng)價(jià)。

5結(jié)論

我國(guó)的高速鐵路信號(hào)系統(tǒng)技術(shù)必須隨著鐵路的發(fā)展而不斷的改進(jìn)和完善，來滿足鐵路發(fā)展的需求。因此，要用科學(xué)的管理技術(shù)，正確的應(yīng)用歐洲的鐵路信號(hào)安全評(píng)價(jià)標(biāo)準(zhǔn)，結(jié)合我國(guó)鐵路信號(hào)系統(tǒng)發(fā)展的實(shí)際情況，建立起符合我國(guó)高速鐵路信號(hào)安全的評(píng)價(jià)體系，形成一個(gè)完整的規(guī)范標(biāo)準(zhǔn)，實(shí)現(xiàn)鐵路的安全運(yùn)行。

參考文獻(xiàn)

[1]禹志陽.高速鐵路信號(hào)系統(tǒng)聯(lián)調(diào)聯(lián)試技術(shù)的研究與實(shí)踐[J].鐵路通信信號(hào)工程技術(shù)，2011（3）：34-37.

[2]郭進(jìn)，張亞東.中國(guó)高速鐵路信號(hào)系統(tǒng)分析與思考[J].北京交通大學(xué)學(xué)報(bào)，2012（5）：56-57.

第7篇：安全信息評(píng)估范文

關(guān)鍵詞：電力信息系統(tǒng)；建模；安全評(píng)估

中圖分類號(hào)：TM73 文獻(xiàn)標(biāo)識(shí)碼：A

電力信息系統(tǒng)是由各級(jí)調(diào)度中心、發(fā)電廠、變電站等系統(tǒng)通過緊密的或者松散的聯(lián)系構(gòu)成的分布廣泛、極大規(guī)模以及分級(jí)階梯的互聯(lián)系統(tǒng)構(gòu)成的。電力信息系統(tǒng)的安全性非常重要，一點(diǎn)遭到破壞將導(dǎo)致電力供應(yīng)中斷甚至擴(kuò)大到大規(guī)模的停電事故。對(duì)于如何加強(qiáng)電力系統(tǒng)的安全性建設(shè)，成為水電開發(fā)企業(yè)迫在眉睫的重大任務(wù)。從相關(guān)的實(shí)踐經(jīng)歷中不難發(fā)現(xiàn)，電力信息系統(tǒng)的安全性工程在通常狀況下，都是通過組織權(quán)威的電力信息系統(tǒng)的專家、電力企業(yè)的相關(guān)用戶、信息安全專家等進(jìn)行深入的研討活動(dòng)的方式確立如何完善電力信息系統(tǒng)的安全體系。為了進(jìn)一步提高電力信息系統(tǒng)的安全體系建設(shè)的水平，目前，相關(guān)的電力信息系統(tǒng)的專家和學(xué)者探討出一種建模語言，來對(duì)電力系統(tǒng)的抽象模型加以解釋說明，研究一種安全評(píng)估的方法，來設(shè)計(jì)電力信息系統(tǒng)的安全體系結(jié)構(gòu)。

一、關(guān)于電力信息系統(tǒng)建模事項(xiàng)的相關(guān)的解讀

（一）水電站運(yùn)行管理方面的工作效率以及發(fā)電能力的建設(shè)水平，都是直接影響企業(yè)經(jīng)濟(jì)利益的關(guān)鍵性因素，由于水電開發(fā)有限公司都面臨著同行業(yè)的激烈競(jìng)爭(zhēng)，越來越多的水電開發(fā)有限公司更加注重提高本企業(yè)水電站運(yùn)行管理工作的效率以及提高發(fā)電能力水平，并以此為競(jìng)爭(zhēng)優(yōu)勢(shì)，在日趨激烈的市場(chǎng)經(jīng)濟(jì)中，獲得生存與發(fā)展的新空間。本文主要是關(guān)于電力信息系統(tǒng)建模的相關(guān)事項(xiàng)的分析以及對(duì)其安全評(píng)估方面工作的簡(jiǎn)單分析，旨在促進(jìn)水電開發(fā)企業(yè)的健康、可持續(xù)發(fā)展。

（二）電力信息系統(tǒng)安全體系的設(shè)計(jì)的需要分步驟逐次的進(jìn)行。電力信息系統(tǒng)存在著復(fù)雜的交換行為以及大量的異步操作。也因此，在其建模語言中系統(tǒng)常常被抽象為一組存在交換關(guān)系的通信實(shí)體。通常情況下，將其角色的定義為通信實(shí)體并用相關(guān)動(dòng)作表示存在的交互關(guān)系，再用執(zhí)行動(dòng)作引發(fā)的事件順序表示與其系統(tǒng)安全性相關(guān)的行為。根據(jù)相關(guān)研究資料對(duì)電力信息系統(tǒng)安全體系的定義分，我們大致分析最為重要的兩點(diǎn)：

第一點(diǎn)：關(guān)于建模的角色分析。一般情況下，角色具有獨(dú)特的屬性，相對(duì)而言，屬性的不同取值也就表示角色的不同狀態(tài)。在應(yīng)用角色進(jìn)行判斷時(shí)，要注意角色的不同取值所代表的的不同狀態(tài)，避免因?qū)栴}判斷失誤，造成巨大的經(jīng)濟(jì)損失。通過執(zhí)行與角色相關(guān)的動(dòng)作，就可以改變角色的狀態(tài)。我們將通信實(shí)體成為角色，這其中包括網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、進(jìn)程、數(shù)據(jù)等。關(guān)于角色的類型分為子類型、父類型，同時(shí)子類型會(huì)繼承父類型的基本屬性，子類型也可以由多個(gè)父類型。在實(shí)際工作中，我們可以依據(jù)角色的特性以及相關(guān)的類型，來解決不同的問題。

第二點(diǎn)：關(guān)于建模的動(dòng)作分析。相關(guān)專業(yè)的資料表明，通信實(shí)體之間的交互關(guān)系就稱之為動(dòng)作。相關(guān)動(dòng)作包括：運(yùn)行、使用、存儲(chǔ)以及處理、連接等等。動(dòng)作通常情況下，都是與若干角色相關(guān)聯(lián)的，而且動(dòng)作的類型和動(dòng)作的實(shí)例用帶角色的類和對(duì)象表示出來。動(dòng)作雖然也有自己的屬性，但是其沒有繼承的特性。動(dòng)作相關(guān)的狀態(tài)被稱為動(dòng)作及其關(guān)聯(lián)角色的所有屬性記為Q，所有屬性的取值構(gòu)成動(dòng)作的狀態(tài)值，將其記為。通常狀態(tài)下，執(zhí)行動(dòng)作能夠改變狀態(tài)值，改變后的狀態(tài)值記為。這樣，執(zhí)行動(dòng)作a可以表示為：

它的語義是：

ifthenQ=；Return；。

由此可見，動(dòng)作執(zhí)行只返回true或false，并通過兩個(gè)關(guān)鍵約束pre和post表示對(duì)動(dòng)作對(duì)狀態(tài)改變的表現(xiàn)。從而得出一個(gè)結(jié)論：動(dòng)作能夠表達(dá)系統(tǒng)所能夠提供的基本功能。為了表達(dá)更為復(fù)雜的系統(tǒng)功能，從而又用順序、選擇、并行、循環(huán)四種動(dòng)作運(yùn)算來表示復(fù)合動(dòng)作。

二、電力系統(tǒng)與電力信息系統(tǒng)的統(tǒng)一建模方法

一般而言，可以將電力信息系統(tǒng)分為計(jì)算、通信、傳感三個(gè)部分，分別用于完成信息的處理、傳輸與采集等功能。這三個(gè)個(gè)部分共同決定電力信息系統(tǒng)的整體性能。這里將基于有窮自動(dòng)機(jī)、隨機(jī)過程、微分代數(shù)方程等理論首先為計(jì)算、通信與傳感系統(tǒng)分別建立適當(dāng)?shù)臄?shù)學(xué)模型，再將其與現(xiàn)有的電力系統(tǒng)數(shù)學(xué)模型聯(lián)立起來以構(gòu)成比較完整的電力CPS數(shù)學(xué)模型。與電力系統(tǒng)類似，從整體上講電力信息系統(tǒng)模型也可以分為穩(wěn)態(tài)模型和動(dòng)態(tài)模型兩類，并分別用代數(shù)方程組和微分方程組描述。信息系統(tǒng)建模與電力系統(tǒng)建模的不同之處在于信息系統(tǒng)通常存在若干種離散工作狀態(tài)，因此需要引入有窮自動(dòng)機(jī)等數(shù)學(xué)工具處理離散工作狀態(tài)之間的相互轉(zhuǎn)換。聯(lián)合采用微分代數(shù)方程組、有窮自動(dòng)機(jī)和隨機(jī)過程理論，就可以構(gòu)成電力信息系統(tǒng)模型。由于信息系統(tǒng)模型和電力系統(tǒng)模型均以微分代數(shù)方程組為基礎(chǔ)，因此可以方便地將兩者聯(lián)立，形成電力CPS的統(tǒng)一模型。

三、電力信息系統(tǒng)風(fēng)險(xiǎn)的特征

首先，客觀性和不確定性，由于電力信息系統(tǒng)風(fēng)險(xiǎn)是客觀存在的事實(shí)，是不以人的意志為轉(zhuǎn)移的，所以發(fā)生在整個(gè)電力信息系統(tǒng)發(fā)展周期中風(fēng)險(xiǎn)是時(shí)刻存在的，但又因其獨(dú)有的不確定性，在實(shí)際工作的處理方面存在著一定的難度；其次，多層次性和多樣性，信息系統(tǒng)風(fēng)險(xiǎn)包括物理安全、邏輯安全和安全管理等多層次風(fēng)險(xiǎn)。物理安全包括周界控制、區(qū)域訪問控制及區(qū)內(nèi)設(shè)施安全三大要素。邏輯安全包括信息的保密性、完整性和可用性。安全管理包括人員角色管理、系統(tǒng)管理、應(yīng)急管理等，因而所面臨的風(fēng)險(xiǎn)多樣。然而可變性和動(dòng)態(tài)性使電力信息系統(tǒng)風(fēng)險(xiǎn)，隨信息技術(shù)發(fā)展而呈現(xiàn)動(dòng)態(tài)性、可變性。在電力信息系統(tǒng)的發(fā)展和運(yùn)行過程中，由于采用了及時(shí)有效的措施而消除了某些風(fēng)險(xiǎn)。有的風(fēng)險(xiǎn)實(shí)際發(fā)生并得到處理，甚至發(fā)生次要風(fēng)險(xiǎn)增大躍升為主要風(fēng)險(xiǎn)的狀況。在每一個(gè)新階段都可能出現(xiàn)新的風(fēng)險(xiǎn)。最后可測(cè)性、不確定性成為風(fēng)險(xiǎn)的本質(zhì)，但這種不確定性不等于對(duì)風(fēng)險(xiǎn)的全然不知。任何一種具體的風(fēng)險(xiǎn)發(fā)生都是諸多風(fēng)險(xiǎn)因素和其他因素共同作用的結(jié)果。通過對(duì)大量風(fēng)險(xiǎn)事件資料的觀察和統(tǒng)計(jì)分析，可以發(fā)現(xiàn)其運(yùn)動(dòng)規(guī)律。由于信息系統(tǒng)風(fēng)險(xiǎn)的多層次性和動(dòng)態(tài)性，難以建立一個(gè)覆蓋全部安全問題的安全體系，同時(shí)考慮到安全投入費(fèi)用與被保護(hù)的資產(chǎn)價(jià)值保持應(yīng)有的一個(gè)恰當(dāng)?shù)谋壤虼酥荒芙⒁粋€(gè)適度的安全準(zhǔn)則。

四、電力信息系統(tǒng)的安全評(píng)估

電力信息系統(tǒng)中安全風(fēng)險(xiǎn)因素的分析。首先，設(shè)S為電力信息系統(tǒng)所有安全風(fēng)險(xiǎn)因素集合，通過劃分性質(zhì)，將性質(zhì)相近的因素分在一組，假設(shè)S中的因素為l組，即S=

式中的代表S中的第i組因素，i=1，2，......，N，。然后，針對(duì)每個(gè)有n個(gè)風(fēng)險(xiǎn)因素集，表示成=這樣，將安全風(fēng)險(xiǎn)因素集合分為多層次集合。最后，關(guān)于安全風(fēng)險(xiǎn)指標(biāo)V，表示電力信息系統(tǒng)安全風(fēng)險(xiǎn)發(fā)生時(shí)產(chǎn)生的后果對(duì)電力信息系統(tǒng)的影響程度。式中的m表示風(fēng)險(xiǎn)指標(biāo)集的數(shù)目；表示安全風(fēng)險(xiǎn)指標(biāo)，j=1，2，，m。確定安全風(fēng)險(xiǎn)因素的權(quán)重系數(shù)，中各個(gè)因素相對(duì)安全風(fēng)險(xiǎn)指標(biāo)集V的權(quán)重，系數(shù)可以用矩陣表示為，式中：我們可以依據(jù)中各因素對(duì)安全風(fēng)險(xiǎn)影響的嚴(yán)重程度確定電力信息系統(tǒng)的安全風(fēng)險(xiǎn)。

五、關(guān)于電力信息系統(tǒng)的安全防護(hù)

首先，建立電力信息安全組織體系，將責(zé)任制落實(shí)到個(gè)人，明確各管理部門的相關(guān)職責(zé)，各部門要各司其職的負(fù)責(zé)本部門的相關(guān)工作事項(xiàng)。規(guī)范對(duì)電力信息系統(tǒng)相關(guān)安全人員及其重要崗位人員的有效管理，實(shí)行電力信息安全責(zé)任追究制度；其次，建立健全安全技術(shù)規(guī)范，包括電力信息系統(tǒng)書安全規(guī)范、應(yīng)用軟件安全開發(fā)的規(guī)范、相關(guān)安全數(shù)據(jù)的備份規(guī)范等，為今后指導(dǎo)電力信息系統(tǒng)的安全開發(fā)工作提供制度保障；然后，建立健全相關(guān)安全管理制度，包括對(duì)人員的管理、機(jī)房的管理、設(shè)備的管理、技術(shù)資料的管理、操作的管理、開發(fā)與維護(hù)的管理等工作制度，為確保電力信息系統(tǒng)的安全運(yùn)行提供技術(shù)基礎(chǔ)；最后，建立安全培訓(xùn)的相關(guān)機(jī)制。對(duì)所有相關(guān)工作人員進(jìn)行電力信息系統(tǒng)的安全基本知識(shí)、信息系統(tǒng)安全模型以及相關(guān)法律法規(guī)、安全產(chǎn)品的使用等方面進(jìn)行培訓(xùn)，強(qiáng)化相關(guān)工作人員的安全意識(shí)，提高電力信息系統(tǒng)的技術(shù)水平和管理水平，從而提高電力信息系統(tǒng)的整體安全水平。

結(jié)語

關(guān)于電力信息系統(tǒng)建模和安全評(píng)估的系統(tǒng)化方法的研究還在不斷的進(jìn)行中，將安全體系設(shè)計(jì)語言應(yīng)用于建立電力信息系統(tǒng)的抽象模型，利用科學(xué)合理的方法推測(cè)并嘗試多次建立模型，減少相關(guān)工作人員在參與安全體系設(shè)計(jì)工作時(shí)的主觀性。在實(shí)際工作中，我們可以通過對(duì)一些電力信息系統(tǒng)進(jìn)行實(shí)例分析后，不斷的總結(jié)相關(guān)經(jīng)驗(yàn)，可以在一定程度上有效的驗(yàn)證相對(duì)安全度指標(biāo)的有效性。最終達(dá)到推進(jìn)電力信息系統(tǒng)安全體系設(shè)計(jì)的理論化、定量化和計(jì)算機(jī)輔助化的進(jìn)程的目標(biāo)。電力信息系統(tǒng)中包括的信息資產(chǎn)以及物理資產(chǎn)，常常受到來自系統(tǒng)內(nèi)部、外部以及人為的安全威脅。我們?cè)趯?duì)電力信息系統(tǒng)建模的相關(guān)分析以安全評(píng)估的深入探究之后，可以制定出電力信息系統(tǒng)的安全防護(hù)戰(zhàn)略，明確電力信息系統(tǒng)的安全風(fēng)險(xiǎn)分析與評(píng)估。為電力信息系統(tǒng)管理與使用部門采取相關(guān)的防護(hù)和管理工作提供了合理的思路。

參考文獻(xiàn)

[1]余勇，林為民.電力信息系統(tǒng)安全保障體系.電力信息化，2003.1（03）.

第8篇：安全信息評(píng)估范文

要：本文依據(jù)我國(guó)制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和國(guó)際有關(guān)標(biāo)準(zhǔn)，研究和設(shè)計(jì)針對(duì)數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估流程和框架，并利用該流程針對(duì)實(shí)際的數(shù)字校園對(duì)象進(jìn)行實(shí)例驗(yàn)證，風(fēng)險(xiǎn)評(píng)估結(jié)果驗(yàn)證了該流程的合理性和可行性。

關(guān)鍵詞：數(shù)字校園；風(fēng)險(xiǎn)評(píng)估；信息安全

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：B 文章編號(hào)：1673-8454（2012）23-0030-04

一、引言

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個(gè)典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫、身份認(rèn)證平臺(tái)、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個(gè)龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護(hù)一個(gè)良好的信息安全管理體系是一項(xiàng)非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險(xiǎn)評(píng)估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過識(shí)別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評(píng)估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對(duì)組織造成的影響。對(duì)數(shù)字校園進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估有助于及時(shí)發(fā)現(xiàn)和解決存在的信息安全問題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個(gè)良好的信息安全管理體系奠定堅(jiān)實(shí)基礎(chǔ)。

二、評(píng)估標(biāo)準(zhǔn)

由于信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性作用，包括我國(guó)在內(nèi)的信息化程度較高的國(guó)家以及相關(guān)國(guó)際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001：2005）、美國(guó)NIST制定的SP800系列標(biāo)準(zhǔn)、美國(guó)CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國(guó)制定的《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式，作為一種全球性的信息安全管理國(guó)際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動(dòng)，同時(shí)也為評(píng)估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒有制定明確的信息安全風(fēng)險(xiǎn)評(píng)估流程，組織可以自行選擇適合自身特點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開展，我國(guó)于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007），這是我國(guó)自主研究和制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致，但對(duì)信息安全風(fēng)險(xiǎn)評(píng)估過程進(jìn)行了細(xì)化，使得更加適合我國(guó)企業(yè)或者組織的信息安全風(fēng)險(xiǎn)評(píng)估工作開展。

三、評(píng)估流程

《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）等標(biāo)準(zhǔn)為風(fēng)險(xiǎn)評(píng)估提供了方法論和流程，為風(fēng)險(xiǎn)評(píng)估各個(gè)階段的工作制定了規(guī)范，但標(biāo)準(zhǔn)沒有規(guī)定風(fēng)險(xiǎn)評(píng)估實(shí)施的具體模型和方法，由風(fēng)險(xiǎn)評(píng)估實(shí)施者根據(jù)業(yè)務(wù)特點(diǎn)和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點(diǎn)，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場(chǎng)景理論和通用弱點(diǎn)評(píng)價(jià)體系（CVSS）等風(fēng)險(xiǎn)評(píng)估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估首先在充分識(shí)別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)，然后根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算得出信息資產(chǎn)的風(fēng)險(xiǎn)值分布表。數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的詳細(xì)流程如下：

（1）資產(chǎn)識(shí)別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對(duì)數(shù)字校園的信息資產(chǎn)進(jìn)行識(shí)別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實(shí)際價(jià)格，更重要的是要考慮資產(chǎn)對(duì)組織的信息安全重要程度，即信息資產(chǎn)的機(jī)密性、完整性和可用性在受到損害后對(duì)組織造成的損害程度，預(yù)計(jì)損害程度越高則賦值越高。

在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級(jí)后，需要經(jīng)過綜合評(píng)定得出資產(chǎn)等級(jí)。綜合評(píng)定方法一般有兩種：一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個(gè)屬性確定資產(chǎn)等級(jí)；還有一種方法是對(duì)資產(chǎn)機(jī)密性、完整性和可用性三個(gè)賦值進(jìn)行加權(quán)計(jì)算，通常采用的加權(quán)計(jì)算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點(diǎn)確定。

設(shè)資產(chǎn)的機(jī)密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級(jí)值為，則

相加法的計(jì)算公式為v=f（x，y，z）=ax+by+cz，其中a+b+c=1（1）

（2）威脅識(shí)別：威脅分為實(shí)際威脅和潛在威脅，實(shí)際威脅識(shí)別需要通過訪談和專業(yè)檢測(cè)工具，并通過分析入侵檢測(cè)系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對(duì)實(shí)際發(fā)生的威脅進(jìn)行識(shí)別和分類。潛在威脅識(shí)別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計(jì)數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點(diǎn)對(duì)潛在可能發(fā)生的威脅進(jìn)行充分識(shí)別和分類。

（3）脆弱性識(shí)別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因?yàn)椴缓侠砘蛭凑_實(shí)施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測(cè)軟件進(jìn)行檢測(cè)，然后通過安裝補(bǔ)丁程序消除。而管理制度造成的隱患需要進(jìn)行充分識(shí)別，包括對(duì)已有的控制措施的有效性也一并識(shí)別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨(dú)對(duì)威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險(xiǎn)分析計(jì)算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場(chǎng)景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)。

（5）風(fēng)險(xiǎn)值計(jì)算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險(xiǎn)計(jì)算方法計(jì)算每個(gè)“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險(xiǎn)值，并最終得到整個(gè)數(shù)字校園的風(fēng)險(xiǎn)值分布表，并依據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則，確認(rèn)可接受和不可接受的風(fēng)險(xiǎn)。

四、評(píng)估實(shí)例

本文以筆者所在高職院校的數(shù)字校園作為研究對(duì)象實(shí)例，利用前面所述的信息安全風(fēng)險(xiǎn)評(píng)估流程對(duì)該實(shí)例對(duì)象進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

1.資產(chǎn)識(shí)別與評(píng)估

數(shù)字校園的資產(chǎn)識(shí)別與評(píng)估包括資產(chǎn)識(shí)別和資產(chǎn)價(jià)值計(jì)算。

（1）資產(chǎn)識(shí)別

信息安全風(fēng)險(xiǎn)評(píng)估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識(shí)別小組，小組通過現(xiàn)場(chǎng)清查、問卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個(gè)業(yè)務(wù)系統(tǒng)的工作流程，詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件（如服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊(cè)、工作日志等）、人員和服務(wù)等。為了對(duì)資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理，識(shí)別小組對(duì)各個(gè)資產(chǎn)進(jìn)行了編碼，便于標(biāo)準(zhǔn)化和精確化管理。

（2）資產(chǎn)價(jià)值計(jì)算

獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后，資產(chǎn)識(shí)別小組召開座談會(huì)確定每個(gè)信息資產(chǎn)的價(jià)值，即對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值，三性的賦值為1～5的整數(shù)，1代表對(duì)組織造成的影響或損失最低，5代表對(duì)組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點(diǎn)，采用相加法確定資產(chǎn)的價(jià)值。該數(shù)字校園的軟件類資產(chǎn)計(jì)算樣例表如下表1所示。

由于資產(chǎn)價(jià)值的計(jì)算結(jié)果為1～5之間的實(shí)數(shù)，為了與資產(chǎn)的機(jī)密性、完整性、可用性賦值相對(duì)應(yīng)，需要對(duì)資產(chǎn)價(jià)值的計(jì)算結(jié)果歸整，歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級(jí)結(jié)果如表1所示。

因?yàn)閿?shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點(diǎn)防范，不重要的可以不用考慮或者減少投入。在識(shí)別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點(diǎn)關(guān)注。不同的組織對(duì)關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同，本文將資產(chǎn)等級(jí)值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識(shí)別清單中予以注明，如表1所示。

2.威脅和脆弱性識(shí)別與評(píng)估

數(shù)字校園與其他計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時(shí)數(shù)字校園作為一種在校園內(nèi)部運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點(diǎn)。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過破壞資產(chǎn)的一個(gè)或多個(gè)安全屬性而產(chǎn)生信息安全風(fēng)險(xiǎn)，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅可能作用于多項(xiàng)資產(chǎn)。威脅的識(shí)別方法是在資產(chǎn)識(shí)別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點(diǎn)，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個(gè)方面對(duì)資產(chǎn)面臨的威脅進(jìn)行識(shí)別。在分析數(shù)字校園實(shí)際發(fā)生的網(wǎng)絡(luò)威脅時(shí)，需要檢查入侵檢測(cè)系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點(diǎn)。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署、運(yùn)維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對(duì)數(shù)字校園的資產(chǎn)造成損害，進(jìn)而對(duì)數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計(jì)缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識(shí)別主要采用問卷調(diào)查、工具檢測(cè)、人工檢查、文檔查閱、滲透性測(cè)試等方法。因?yàn)榇蟛糠旨夹g(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測(cè)工具檢測(cè)脆弱性，可以獲得較高的檢測(cè)效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對(duì)數(shù)字校園進(jìn)行技術(shù)脆弱性識(shí)別和評(píng)估。

管理脆弱性識(shí)別的主要內(nèi)容就是對(duì)數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識(shí)別與確認(rèn)，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無效的安全控制措施會(huì)提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實(shí)施、運(yùn)行和維護(hù)等過程同步建設(shè)與完善，具有較強(qiáng)的針對(duì)性，識(shí)別比較容易。管理和操作控制措施識(shí)別需要對(duì)照ISO27001標(biāo)準(zhǔn)的《信息安全實(shí)用規(guī)則指南》或NIST的《最佳安全實(shí)踐相關(guān)手冊(cè)》制訂的表格進(jìn)行，避免遺漏。

3.風(fēng)險(xiǎn)計(jì)算

完成數(shù)字校園的資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有控制措施識(shí)別任務(wù)后，進(jìn)入風(fēng)險(xiǎn)計(jì)算階段。

對(duì)于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場(chǎng)景”方法進(jìn)行風(fēng)險(xiǎn)分析?！皹?gòu)建威脅場(chǎng)景”方法基于“具體問題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評(píng)價(jià)威脅導(dǎo)致風(fēng)險(xiǎn)計(jì)算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求進(jìn)行風(fēng)險(xiǎn)計(jì)算。為了便于計(jì)算，需要將前面各個(gè)階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因?yàn)樵趯?duì)脆弱性賦值的時(shí)候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

本文采用的風(fēng)險(xiǎn)計(jì)算方法為《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中推薦的矩陣法，風(fēng)險(xiǎn)值計(jì)算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險(xiǎn)計(jì)算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計(jì)算安全事件可能性值；

（b）對(duì)照《安全事件可能性等級(jí)劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級(jí)值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計(jì)算安全事件損失值；

（d）對(duì)照《安全事件損失等級(jí)劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級(jí)值；

（e）根據(jù)安全事件可能性等級(jí)值和安全事件損失等級(jí)值，查詢《風(fēng)險(xiǎn)矩陣》計(jì)算安全事件風(fēng)險(xiǎn)值；

（f）對(duì)照《風(fēng)險(xiǎn)等級(jí)劃分矩陣》將安全事件風(fēng)險(xiǎn)值轉(zhuǎn)換為安全事件風(fēng)險(xiǎn)等級(jí)值。

所有等級(jí)值均采用五級(jí)制，1級(jí)最低，5級(jí)最高。

五、結(jié)束語

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險(xiǎn)評(píng)估是保證數(shù)字校園安全穩(wěn)定的一項(xiàng)基礎(chǔ)性工作。本文的信息安全風(fēng)險(xiǎn)評(píng)估方法依據(jù)國(guó)家標(biāo)準(zhǔn)，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險(xiǎn)評(píng)估的有效性和科學(xué)性，使得風(fēng)險(xiǎn)評(píng)估結(jié)果能對(duì)后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

參考文獻(xiàn)：

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國(guó)教育信息化，2010（4）.

第9篇：安全信息評(píng)估范文

隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)的應(yīng)用已經(jīng)進(jìn)入各個(gè)領(lǐng)域。近年來國(guó)內(nèi)外網(wǎng)絡(luò)安全領(lǐng)域?qū)W(wǎng)絡(luò)的安全態(tài)勢(shì)評(píng)估十分關(guān)注，針對(duì)目前網(wǎng)絡(luò)安全中數(shù)據(jù)源數(shù)量較多的特點(diǎn)，本文通過評(píng)價(jià)現(xiàn)有的安全態(tài)勢(shì)并結(jié)合基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，繪制安全態(tài)勢(shì)圖，以時(shí)間序列分析態(tài)勢(shì)計(jì)算結(jié)果，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)安全趨勢(shì)的預(yù)測(cè)，并結(jié)合網(wǎng)絡(luò)數(shù)據(jù)對(duì)該模型和算法進(jìn)行檢驗(yàn)，證明該模型的準(zhǔn)確性和有效性。

【關(guān)鍵詞】安全態(tài)勢(shì)評(píng)估 信息融合 時(shí)間序列 網(wǎng)絡(luò)安全 預(yù)測(cè)

隨著計(jì)算機(jī)通信技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)得到廣泛的應(yīng)用。同時(shí)隨著使用者的增多，網(wǎng)絡(luò)規(guī)模愈加龐大，計(jì)算機(jī)網(wǎng)絡(luò)安全問題也日益嚴(yán)重，傳統(tǒng)的網(wǎng)絡(luò)防御設(shè)施已經(jīng)無法保全用戶的網(wǎng)絡(luò)安全，故需要對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行評(píng)估。通過網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估能夠有效評(píng)價(jià)網(wǎng)絡(luò)的安全狀況，并對(duì)其發(fā)展趨勢(shì)進(jìn)行預(yù)警。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

計(jì)算機(jī)網(wǎng)絡(luò)是由網(wǎng)絡(luò)組件、計(jì)算機(jī)節(jié)點(diǎn)以及各種檢測(cè)設(shè)備組成，這些設(shè)備承擔(dān)著網(wǎng)絡(luò)主機(jī)的監(jiān)控任務(wù)，由其生成的網(wǎng)絡(luò)日志與網(wǎng)絡(luò)警報(bào)有著巨大的關(guān)聯(lián)性。傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法一般通過單一網(wǎng)絡(luò)檢測(cè)設(shè)備提供的日志信息進(jìn)行分析，其結(jié)果往往由于數(shù)據(jù)來源的全面性不足而出現(xiàn)較大的失真。故本文提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型和算法，通過結(jié)合全部相關(guān)網(wǎng)絡(luò)檢測(cè)設(shè)備的日志，并融合其數(shù)據(jù)信息，另選取主機(jī)的漏洞信息和其提供的服務(wù)信息，關(guān)聯(lián)外部攻擊對(duì)網(wǎng)絡(luò)安全的影響，采用時(shí)間序列分析，對(duì)未來的安全趨勢(shì)進(jìn)行預(yù)測(cè)，以彌補(bǔ)傳統(tǒng)安全評(píng)估的不足之處。

本文中網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的步驟以四步完成：（1）分析全部相關(guān)檢測(cè)設(shè)備的日志文件，融合數(shù)據(jù)源進(jìn)行計(jì)算，以確定攻擊發(fā)生率。（2）分析攻擊漏洞信息和網(wǎng)絡(luò)主機(jī)漏洞信息計(jì)算攻擊成功概率，通過已知的攻擊信息計(jì)算攻擊的威脅值，融合推斷主機(jī)的安全態(tài)勢(shì)。（3）分析服務(wù)信息確定各主機(jī)權(quán)重，融合節(jié)點(diǎn)態(tài)勢(shì)以確定網(wǎng)絡(luò)安全。（4）根據(jù)安全態(tài)勢(shì)的評(píng)估數(shù)據(jù)，加入時(shí)間序列分析，從而預(yù)測(cè)網(wǎng)絡(luò)安全趨勢(shì)。

2 基于信息融合的算法評(píng)估

基于信息融合的算法包括三個(gè)部分，節(jié)點(diǎn)態(tài)勢(shì)融合、態(tài)勢(shì)要素融合和數(shù)據(jù)源融合。節(jié)點(diǎn)態(tài)勢(shì)融合采用主機(jī)是融合節(jié)點(diǎn)的安全和權(quán)重，從而確定網(wǎng)絡(luò)安全；態(tài)勢(shì)要素的融合則通過監(jiān)測(cè)設(shè)備的結(jié)果顯示外部攻擊的概率，經(jīng)過融合后計(jì)算節(jié)點(diǎn)的安全?；谛畔⑷诤系乃惴ㄈ缦拢?/p>

BEGlN

IatProbebiIity=0；

for aech assantieI vuInarebiIityavuI0，avuI1，，，avuInof etteck

IatRasuIt=chack_assantieI_vuI（avuIi，VI）；

wharaVIis tha vuInarebiIity informetion of host

if （RasuItis TRUa）

continua；

aIsa

raturn 0；

if （thara is no othar vuInarebiIity etteck naads）

raturn 1；

if （RasuItis TRUE）

ProbebiIity+=wj；

wharawjis tha waight ofovuIj

aIsa

continua；

raturnProbebiIity.

END

3 基于時(shí)間序列分析的算法

時(shí)間序列算法是根據(jù)系統(tǒng)檢測(cè)到的時(shí)間序列信息，采用參數(shù)建立數(shù)學(xué)模型，時(shí)間序列分析普遍用于氣象預(yù)報(bào)等方面，其算法涵蓋平穩(wěn)性檢驗(yàn)、自身系數(shù)檢驗(yàn)和參數(shù)估計(jì)等，具體算法如下：

BEGlN

gat tha veIuas of tima sarias：x0，x1，，，xn；

IatRasuIt=chack_stetionery （x0，x1，，，xn）；

whiIa（RasuItis FeISa）

Iat（y0，y1，，，yn-1）=diffarancing（x0，x1，，，xn）；

IatRasuIt=chack_stetionery（y0，y1，，，yn-1）；

continua；

IatQk=eutocorraIetion_coafficiant（x0，x1，，，xn）；

Iat

IatModaI=gat_modaI（pk，

IatPerematars=gat_perematars（ModaI，x0，x1，，，xn）；

IatRasuIt=chack_whita_noisa（C0，C1，，，Cn）；

if（RasuItis TRUE）

raturn（ModaI， Perematars）；

aIsa

raturn 0.

END

通過時(shí)間序列分析算法能夠繪制出安全態(tài)勢(shì)圖譜，網(wǎng)絡(luò)管理員則可通過圖譜掌握網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)，進(jìn)而采取可靠的防護(hù)措施。

4 結(jié)語

本文通過分析已有的安全態(tài)勢(shì)評(píng)估模型，結(jié)合網(wǎng)絡(luò)中數(shù)據(jù)源相對(duì)較多的特點(diǎn)，提出基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，分析多數(shù)據(jù)源下的漏洞信息與服務(wù)信息的關(guān)系，融合態(tài)勢(shì)要素和節(jié)點(diǎn)態(tài)勢(shì)分析網(wǎng)絡(luò)安全態(tài)勢(shì)，最后通過時(shí)間序列分析算法實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的方法層出不窮，通過優(yōu)化現(xiàn)有模型并結(jié)合新技術(shù)能夠創(chuàng)造出更多的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，進(jìn)而更加準(zhǔn)確的預(yù)測(cè)網(wǎng)絡(luò)安全的威脅來源以及網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展趨勢(shì)。

參考文獻(xiàn)

[1]王選宏，肖云.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型[J].科學(xué)技術(shù)與工程，2010，28（02）：6899-6902.

[2]張新剛，王保平，程新黨.基于信息融合的層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012，09（04）：1072-1074.