前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡安全評估報告主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡安全評估報告范文

關鍵詞：網(wǎng)絡安全；風險評估；安全措施

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)06-11012-01

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract：To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發(fā)生的信息安全事件正在日益引起全球的關注，列舉的近年來的網(wǎng)絡突發(fā)事件，不難發(fā)現(xiàn)，強化提升網(wǎng)絡安全風險評估意識、強化信息安全保障為當務之急。所謂風險評估，是指網(wǎng)絡安全防御中的一項重要技術，它的原理是，根據(jù)已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。然后根據(jù)掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平提供重要依據(jù)。完成一個信息安全系統(tǒng)的設計與實施并不足以代表該信息安全事務的完結。隨著新技術、新應用的不斷出現(xiàn)，以及所導致的信息技術環(huán)境的轉(zhuǎn)變，信息安全工作人員要不斷地評估當前的安全威脅，并不斷對當前系統(tǒng)中的安全性產(chǎn)生認知。

2 網(wǎng)絡安全風險評估的現(xiàn)狀

2.1 風險評估的必要性

有人說安全產(chǎn)品就是保障網(wǎng)絡安全的基礎，但有了安全產(chǎn)品，不等于用戶可以高枕無憂地應用網(wǎng)絡。產(chǎn)品是沒有生命的，需要人來管理與維護，這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入，時時伺機進攻。這就更要求對安全產(chǎn)品及時升級，不斷完善，實時檢測，不斷補漏。網(wǎng)絡安全并不是僅僅依靠網(wǎng)絡安全產(chǎn)品就能解決的，它需要合適的安全體系和合理的安全產(chǎn)品組合，需要根據(jù)網(wǎng)絡及網(wǎng)絡用戶的情況和需求規(guī)劃、設計和實施一定的安全策略。通常，在一個企業(yè)中，對安全技術了如指掌的人員不多，大多技術人員停留在對安全產(chǎn)品的一般使用上，如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡癱瘓，他們將束手無策。這時他們需要的是安全服務。而安全評估，便是安全服務的重要前期工作。網(wǎng)絡信息安全，需要不斷評估方可安全威脅。

2.2 安全評估的目標、原則及內(nèi)容

安全評估的目標通常包括：確定可能對資產(chǎn)造成危害的威脅；通過對歷史資料和專家的經(jīng)驗確定威脅實施的可能性；對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴重性，以及相應的級別，確定哪些資產(chǎn)是最重要的；準確了解企業(yè)網(wǎng)的網(wǎng)絡和系統(tǒng)安全現(xiàn)狀；明晰企業(yè)網(wǎng)的安全需求；制定網(wǎng)絡和系統(tǒng)的安全策略；制定網(wǎng)絡和系統(tǒng)的安全解決方案；指導企業(yè)網(wǎng)未來的建設和投入；通過項目實施和培訓，培養(yǎng)用戶自己的安全隊伍。而在安全評估中必須遵循以下原則：標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評估的內(nèi)容包括專業(yè)安全評估服務和主機系統(tǒng)加固服務。專業(yè)安全評估服務對目標系統(tǒng)通過工具掃描和人工檢查，進行專業(yè)安全的技術評定，并根據(jù)評估結果提供評估報告。

目標系統(tǒng)主要是主流UNIX及NT系統(tǒng)，主流數(shù)據(jù)庫系統(tǒng)，以及主流的網(wǎng)絡設備。使用掃描工具對目標系統(tǒng)進行掃描，提供原始評估報告或由專業(yè)安全工程師提供人工分析報告?；蚴侨斯z查安全配置檢查、安全機制檢查、入侵追查及事后取證等內(nèi)容。而主機系統(tǒng)加固服務是根據(jù)專業(yè)安全評估結果，制定相應的系統(tǒng)加固方案，針對不同目標系統(tǒng)，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。

系統(tǒng)加固報告服務選擇使用該服務包，必須以選擇ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出加固報告。系統(tǒng)加固報告增強服務選擇使用該服務包，必須以選擇ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統(tǒng)加固實施服務選擇使用該服務包，必須以選擇 ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶，并由專業(yè)安全工程師實施加固工作。

3 網(wǎng)絡安全風險評估系統(tǒng)

討論安全評定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略，這項工作主要檢測當前的安全策略是否被良好的執(zhí)行，從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當前計算機世界應用的主流網(wǎng)絡協(xié)議是TCP/IP，而該協(xié)議族并沒有內(nèi)置任何安全機制。這意味著基于網(wǎng)絡的應用程序必須被非常好的保護，網(wǎng)絡安全評定的主要目標就是為修補全部的安全問題提供指導。

評定網(wǎng)絡安全性的首要工作是了解網(wǎng)絡拓撲結構，拓撲描述文檔并不總能反映最新的網(wǎng)絡狀態(tài)，進行一些實際的檢測是非常必要的。最簡單的，可以通過Trackroute工具進行網(wǎng)絡拓撲發(fā)現(xiàn)，但是一些網(wǎng)絡節(jié)點可能會禁止Trackroute流量的通過。在了解了網(wǎng)絡拓撲之后，應該獲知所有計算機的網(wǎng)絡地址和機器名。對于可以訪問的計算機，還應該了解其正在運行的端口，這可以通過很多流行的端口發(fā)現(xiàn)工具實現(xiàn)。當對整個網(wǎng)絡的架構獲得了足夠的認知以后，就可以針對所運行的網(wǎng)絡協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡層面的安全脆弱點了。通常使用的方法是對協(xié)議和端口所存在的安全漏洞逐項進行測試。

安全領域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求，為了提高安全防御的質(zhì)量，除了在網(wǎng)絡邊界防范外部攻擊之外，還應該在網(wǎng)絡內(nèi)部對各種訪問進行監(jiān)控和管理。企業(yè)組織每天都會從信息應用環(huán)境中獲得大量的數(shù)據(jù)，包括系統(tǒng)日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險，是風險管理中重要一環(huán)。目前的技術手段主要被應用于信息的收集、識別和分析，也有很多廠商開發(fā)出了整合式的安全信息管理平臺，可以實現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動。

數(shù)據(jù)作為信息系統(tǒng)的核心價值，被直接攻擊和盜取數(shù)據(jù)將對用戶產(chǎn)生極大的危害。正因為如此，數(shù)據(jù)系統(tǒng)極易受到攻擊。對數(shù)據(jù)庫平臺來說，應該驗證是否能夠從遠程進行訪問，是否存在默認用戶名密碼，密碼的強度是否達到策略要求等。而除了數(shù)據(jù)庫平臺之外，數(shù)據(jù)管理機制也應該被仔細評估。不同級別的備份措施乃至完整的災難備份機制都應該進行有效的驗證，不但要檢驗其是否存在安全問題，還要確認其有效性。大部分數(shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進行安全設定和數(shù)據(jù)驗證，利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權訪問某些應用，而這往往是獲得系統(tǒng)權限和數(shù)據(jù)的跳板。事實上大部分的安全漏洞都來自于應用層面，這使得應用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規(guī)程化的面向體系底層的安全評定相比，應用安全評定需要工作人員具有豐富的安全知識和堅實的技術技能。

4 結束語

目前我國信息系統(tǒng)安全風險評估工作，在測試數(shù)據(jù)采集和處理方面缺乏實用的技術和工具的支持，已經(jīng)成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法，總結出一套適用于我國國情的信息安全效用評價體系，以保證信息安全風險評估結果準確可靠，可以為風險管理活動提供有價值的參考；加強我國信息安全風險評估隊伍建設，促使我國信息安全評估水平得到持續(xù)改進。

參考文獻：

[1] 陳曉蘇，朱國勝，肖道舉.TCP/IP協(xié)議族的安全架構[N].華中科技大學學報,2001，32-34.

[2] 賈穎禾.國務院信息化工作辦公室網(wǎng)絡與信息安全組.信息安全風險評估[J].網(wǎng)絡安全技術與應用，2004(7)，21-24.

[3] 劉恒,信息安全風險評估挑戰(zhàn)[R],信息安全風險評估與信息安全保障體系建設研討會,2004.10.12.

[4] [美]Thomas A Wadlow.網(wǎng)絡安全實施方法.瀟湘工作室譯.北京:人民郵電出版社，2000.

[5] 張衛(wèi)清,王以群.網(wǎng)絡安全與網(wǎng)絡安全文化[J].情報雜志,2006(1)，40-45

[6] 趙戰(zhàn)生,信息安全風險評估[R],第全國計算機學術交流會,2004.7.3.

第2篇：網(wǎng)絡安全評估報告范文

    1缺乏計算機安全評估系統(tǒng)

    眾所周知,一個系統(tǒng)全面的計算機安全評估系統(tǒng)是防止黑客入侵計算機的重要保障,安全評估體系能夠?qū)φ麄€計算機網(wǎng)絡的安全性與防護性作出一個較為科學嚴謹?shù)姆治鲈u估,而且該評估系統(tǒng)還會根據(jù)實際的計算機網(wǎng)路安全評估報告來制定相關的計算機安全使用策略。然而,在我們的計算機實際應用中,往往不注意計算機安全評估系統(tǒng)的構建,只注重計算機網(wǎng)絡安全事故的預防與事后處理,平時欠缺對計算機網(wǎng)絡安全作出及時的評估與監(jiān)控,給計算機網(wǎng)絡安全造成一定的安全隱患。

    2計算機外界威脅因素

    計算機網(wǎng)絡安全事故很多是由計算機外界威脅因素造成的,這其中包括自然環(huán)境威脅、網(wǎng)絡黑客與病毒的入侵攻擊與非法訪問操作。自然環(huán)境威脅一般是指計算機外在的自然條件不太完善,如各種無法預測的自然災害、難以控制的計算機外部機器故障等因素。網(wǎng)絡黑客與病毒的入侵攻擊不但會對計算機的網(wǎng)絡安全帶來極大的破壞,還會摧毀計算機系統(tǒng),對計算機自身造成極大的傷害。據(jù)估計,未來網(wǎng)絡黑客與病毒的摧毀力度將會越來越強,而它們自身的隱蔽性與抗壓性也會相應地得到提高,所以說,網(wǎng)絡黑客與病毒的存在對計算機網(wǎng)絡安全造成嚴重威脅。而非法訪問操作則主要指一些未得到授權,私自越過計算機權限,或者是不法分子借助一些計算機工具去進行計算機程序的編寫,從而突破該計算機的網(wǎng)絡訪問權限,入侵到他人計算機的不法操作。

    二、計算機網(wǎng)絡安全防范措施

    1建立安全可靠的計算機安全防線

    安全可靠的計算機安全防線是避免計算機網(wǎng)絡不安全因素出現(xiàn)的最關鍵環(huán)節(jié),其構建主要依靠計算機防火墻技術、數(shù)據(jù)加密技術與病毒查殺技術。防火墻控制技術主要是一種建立在各網(wǎng)絡之間的互聯(lián)設備,能夠有效避免不法分子以不正當方式入侵網(wǎng)絡內(nèi)部,防止不法分子盜取計算機網(wǎng)絡內(nèi)部的信息資源,是計算機內(nèi)部一道強有力的網(wǎng)絡安全屏障。數(shù)據(jù)加密技術的主要作用就是對計算機內(nèi)部的數(shù)據(jù)添加密文設置,未經(jīng)授權的計算機不法分子是無法獲取數(shù)據(jù)、讀懂數(shù)據(jù)的,最終達到保護網(wǎng)絡數(shù)據(jù)傳輸?shù)恼_性與安全性。常用的數(shù)據(jù)加密技術包括有:保證個網(wǎng)絡節(jié)點間信息傳輸正確且安全的鏈路加密技術、確保計算機始端數(shù)據(jù)傳輸與終端數(shù)據(jù)接收安全的端點加密技術與保證源節(jié)點到目的節(jié)點之間傳輸安全可靠的節(jié)點加密技術。病毒查殺技術可謂是計算機安全網(wǎng)絡防范最為關鍵的環(huán)節(jié)。病毒查殺技術一般通過殺毒軟件的安裝運行去運行的,在計算機安裝殺毒軟件以后,應當定時對殺毒軟件進行實時的監(jiān)測控制,定期對殺毒軟件進行升級處理,按時對計算機進行殺毒掃描,以求及時將計算機內(nèi)容隱藏病毒進行發(fā)現(xiàn)處理。

    2提高計算機用戶與計算機網(wǎng)絡管理人員的安全意識

    于個人計算機用戶而言,必須要加強計算機網(wǎng)絡資源管理意識,根據(jù)自己實際需要對計算機設置特殊的口令,確保計算機數(shù)據(jù)獲取的合法性與安全性,避免其他計算機用戶以非法手段入侵計算機內(nèi)部,獲取相關計算機網(wǎng)絡數(shù)據(jù)資源,造成計算機網(wǎng)絡安全隱患。閑時,計算機用戶還必須注意對病毒進行監(jiān)測清除,避免網(wǎng)絡黑客的入侵導致計算機系統(tǒng)崩潰。于社會團體組織而言,必須注重提高內(nèi)部計算機管理人員的網(wǎng)絡安全意識,注意采用適當?shù)姆椒ㄈヅ囵B(yǎng)一批具有專業(yè)計算機技術的網(wǎng)絡監(jiān)控人員,打造精英計算機安全管理團隊,能及時對網(wǎng)絡不法攻擊作出處理,構建一個系統(tǒng)全面的計算機網(wǎng)絡安全管理體系,致力打造一個安全可靠的計算機網(wǎng)絡環(huán)境。

    3完善計算機網(wǎng)絡安全制度

    健全的計算機網(wǎng)絡安全制度不但可以規(guī)范計算機網(wǎng)絡安全使用,還能夠借助法律法規(guī)等強硬手段去徹底打擊計算機網(wǎng)絡犯罪,及時對計算機網(wǎng)絡不法分子給予相關懲處,保證了計算機網(wǎng)絡環(huán)境的安全可靠。因此,加強并且定期完善計算機網(wǎng)絡安全立法制度是十分必要的。

    4其他管理措施

    計算機網(wǎng)絡安全防范僅僅依靠強硬的計算機安全防御系統(tǒng)與專業(yè)的計算機網(wǎng)絡安全管理技術人員是遠遠不夠的,還必須定期對計算機網(wǎng)絡系統(tǒng)進行一系列的專業(yè)評估與監(jiān)測控制,實時對計算機網(wǎng)絡運行、數(shù)據(jù)傳輸過程進行監(jiān)控,熱切關注計算機內(nèi)部系統(tǒng)是否存在一些漏洞,一旦發(fā)現(xiàn)漏洞,要盡早處理,避免其他計算機病毒的攻擊。

第3篇：網(wǎng)絡安全評估報告范文

關鍵詞：信息安全；等級保護；漏洞掃描

中圖分類號：TP315 文獻標識碼：A 文章編號：1007-9599 (2011) 23-0000-02

Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management

Chen Wan

(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)

Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.

Keywords:Information security;Protection Level;Vulnerability scanning

引言：伴隨著信息化的高速發(fā)展，信息安全的形勢日趨復雜和嚴峻。國家政府對信息安全高度關注，信息安全等級保護是我國在新的信息安全形勢下推行的一項國家制度，國家相關部門高度重視等級保護制度的落實與執(zhí)行。信息系統(tǒng)是業(yè)務系統(tǒng)的支持平臺，信息系統(tǒng)的安全是承載業(yè)務系統(tǒng)安全的基礎，而在信息系統(tǒng)等級保護中，安全技術測評包括五個部分：分別是物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復。其中所涉及到的主機系統(tǒng)安全控制點包括：身份鑒別、安全標記、訪問控制、可信路徑、安全審計、入侵防范、惡意代碼防范和資源控制等九個控制點。怎么提前做好風險控制，利用現(xiàn)有的信息安全工具，規(guī)范信息系統(tǒng)主機上架前的檢測，對信息安全的管理是一種創(chuàng)新的嘗試，也是安全管理中位于未雨綢繆的體現(xiàn)。

一、漏洞掃描系統(tǒng)的構建

（一）漏洞掃描工具的作用

漏洞掃描工具采用高效、智能的漏洞識別技術，第一時間主動對網(wǎng)絡中的資產(chǎn)進行細致深入的漏洞檢測、分析，并提供專業(yè)、有效的漏洞防護建議。

我們采用的漏洞掃描工具的管理是基于Web的管理方式，用戶使用瀏覽器通過SSL加密通道和系統(tǒng)Web界面模塊進行交互，采用模塊化設計。具有優(yōu)化的專用安全系統(tǒng)平臺，具有很高的安全性和穩(wěn)定性。其專用硬件能夠長期穩(wěn)定地運行，很好地保證了任務的周期性自動處理。能夠自動處理的任務包括：評估任務下發(fā)、掃描結果自動分析、處理和發(fā)送、系統(tǒng)檢測插件的自動升級等。同時支持多用戶管理模式，能夠?qū)τ脩舻臋嘞拮龀鰢栏竦南拗?，通過權限的劃分可以實現(xiàn)一臺設備多人的虛擬多機管理，并且提供了登錄、操作和異常等日志審計功能，方便用戶對系統(tǒng)的審計和控制。

在每次安全評估之前，用戶需要根據(jù)自己的業(yè)務系統(tǒng)確定需要進行評估的資產(chǎn)，并且劃分資產(chǎn)的重要性。漏洞掃描系統(tǒng)根據(jù)用戶的資產(chǎn)及其重要性會自動在其內(nèi)部對目標評估系統(tǒng)建立基于時間和基于風險等多種安全評估模型。在對目標完成評估之后，模型輸出的結果數(shù)據(jù)不但有定性的趨勢分析，而且有定量的風險分析，用戶能夠清楚地看到單個資產(chǎn)、整個網(wǎng)絡的資產(chǎn)存在的風險，還能夠看到網(wǎng)絡中漏洞的分布情況、風險級別排名較高的資產(chǎn)、不同操作系統(tǒng)和不同應用漏洞分布等詳細統(tǒng)計信息，用戶能夠很直觀地了解自己網(wǎng)絡安全狀況。

（二）漏洞掃描工具的部署

針對汕頭供電局的網(wǎng)絡情況，使用獨立式部署方式。獨立式部署就是在網(wǎng)絡中部署一臺漏洞掃描設備。在共享式工作模式下，只要將設備接入網(wǎng)絡并進行正確的配置即可正常使用，其工作范圍通常包含汕頭供電局的整個網(wǎng)絡地址，用戶登錄系統(tǒng)并下達掃描任務。下圖是漏洞掃描系統(tǒng)獨立式部署模式圖。從圖中可以看出，無論在汕頭供電局何處接入設備，網(wǎng)絡都能正常工作，完成對網(wǎng)絡的安全評估。

圖1：漏洞掃描系統(tǒng)獨立式部署模式圖

（三）漏洞掃描工具的定位

1.利用漏洞掃描工具定期對網(wǎng)絡信息系統(tǒng)進行掃描，以便主動發(fā)現(xiàn)存在的安全隱患和防護漏洞。

2.巡檢服務中對操作系統(tǒng)修補、加固和優(yōu)化，根據(jù)提供出來的評估報告對相關系統(tǒng)進行打補丁、升級、修補、加固和優(yōu)化，提供詳細操作報告。

3.巡檢服務過程中針對網(wǎng)絡設備安全加固和優(yōu)化；進行修補和加固，按照安全策略進行安全配置和優(yōu)化，提供詳細操作報告。包括：網(wǎng)絡設備的安全配置，網(wǎng)絡設備的安全加固，網(wǎng)絡設備的優(yōu)化配置等。

4.檢服務過程中對網(wǎng)絡安全設備，對所有網(wǎng)絡邊界進行梳理，對邊界安全防護系統(tǒng)的策略進行優(yōu)化。通過綜合應用防火墻、IPS、防病毒網(wǎng)關等網(wǎng)絡安全系統(tǒng)，在區(qū)域邊界實施嚴密的控制措施，盡量在邊界阻斷來自區(qū)域外的安全威脅，從而最大化地提高電力信息數(shù)據(jù)的安全性和電力信息系統(tǒng)的可用性。

5.巡檢服務過程中在安全評估的基礎上，對桌面終端和服務器系統(tǒng)中存在的安全漏洞進行修復。對于無法修復的漏洞，評價其可能帶來的安全風險，并采用周邊網(wǎng)絡防護系統(tǒng)（如防火墻、IPS等）阻斷可能的攻擊，或通過監(jiān)控等手段對該風險進行控制管理。

二、服務器上架漏洞掃描規(guī)范編寫

按照信息安全工作實際需要，以“制度化管理、規(guī)范化操作”為原則，完善信息安全管理策略規(guī)范，理順信息工作內(nèi)部安全控制流程規(guī)范，不斷增強網(wǎng)絡與信息安全整體管控效能。為更好的保障汕頭供電局信息網(wǎng)絡的安全、穩(wěn)定運行，使得漏洞掃描工具能真正的用到實處，特制訂漏洞系統(tǒng)管理流程。如下圖：

圖2：每季度漏洞掃描流程圖

圖3：新服務器上架前漏洞掃描流程圖

（一）漏洞掃描管理員的職責

負責漏洞掃描軟件（包括漏洞庫）的管理、更新和公布；

負責查找修補漏洞的補丁程序，及時提出漏洞修復方案；

密切注意最新漏洞的發(fā)生、發(fā)展情況，關注和追蹤業(yè)界公布的漏洞疫情；

每季度第一個月1-4日期間（節(jié)假日順推）進行上季度安全掃描復查；

每季度第一個月5號（節(jié)假日順推）生成上季度匯總報告；

新系統(tǒng)上線前，負責對系統(tǒng)管理員提出的申請的主機進行漏洞掃描檢查，并提交漏洞掃描報告給系統(tǒng)管理員，并檢查主機漏洞修補情況。

（二）系統(tǒng)管理員的職責

負責對漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進行修補工作；

遵守漏洞掃描設備各項管理規(guī)范。

新系統(tǒng)上線前，提交掃描申請，并負責對漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進行修補工作。

三、結束語

第4篇：網(wǎng)絡安全評估報告范文

關鍵詞：網(wǎng)絡安全；病毒防范；防火墻

0引言

如何保證合法網(wǎng)絡用戶對資源的合法訪問以及如何防止網(wǎng)絡黑客的攻擊，已經(jīng)成為網(wǎng)絡安全的主要內(nèi)容。

1網(wǎng)絡安全威脅

1.1網(wǎng)絡中物理的安全威脅例如空氣溫度、濕度、塵土等環(huán)境故障、以及設備故障、電源故障、電磁干擾、線路截獲等。

1.2網(wǎng)絡中信息的安全威脅①蠕蟲和病毒。計算機蠕蟲和病毒是最常見的一類安全威脅。蠕蟲和病毒會嚴重破壞業(yè)務的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性，其傳播速度也更快，甚至能在片刻間使信息處理處于癱瘓狀態(tài)，而要清除被感染計算機中的病毒所要耗費的時一間也更長。②黑客攻擊?！昂诳汀币辉~由英語Hacker英譯而來，原意是指專門研究、發(fā)現(xiàn)計算機和網(wǎng)絡漏洞的計算機愛好者?，F(xiàn)如今主要用來描述那些掌握高超的網(wǎng)絡計算機技術竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人。黑客攻擊主要包括系統(tǒng)入侵、網(wǎng)絡監(jiān)聽、密文破解和拒絕服務（DtS）攻擊等。

2網(wǎng)絡安全技術

為了消除上述安全威脅，企業(yè)、部門或個人需要建立一系列的防御體系。目前主要有以下幾種安全技術：

2.1密碼技術在信息傳輸過程中，發(fā)送方先用加密密鑰，通過加密設備或算法，將信息加密后發(fā)送出去，接收方在收到密文后，用解密密鑰將密文解密，恢復為明文。如果傳輸中有人竊取，也只能得到無法理解的密文，從而對信息起到保密作用。

2.2身份認證技術通過建立身份認證系統(tǒng)可實現(xiàn)網(wǎng)絡用戶的集中統(tǒng)一授權，防止未經(jīng)授權的非法用戶使用網(wǎng)絡資源。在網(wǎng)絡環(huán)境中，信息傳至接收方后，接收方首先要確認信息發(fā)送方的合法身份，然后才能與之建立一條通信鏈路。身份認證技術主要包括數(shù)字簽名、身份驗證和數(shù)字證明。

2.3病毒防范技術計算機病毒實際上是一種惡意程序，防病毒技術就是識別出這種程序并消除其影響的一種技術。從防病毒產(chǎn)品對計算機病毒的作用來講，防病毒技術可以直觀地分為病毒預防技術、病毒檢測技術和病毒清除技術。

①病毒預防技術。計算機病毒的預防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。病毒預防技術包括磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術和系統(tǒng)監(jiān)控技術等。②病毒檢測技術。它有兩種：一種是根據(jù)計算機病毒的關鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎上建立的病毒檢測技術；另一種是不針對具體病毒程序的自身校驗技術，即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結果，以后定期或不定期地以保存的結果對該文件或數(shù)據(jù)段進行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性己遭到破壞，感染上了病毒，從而檢測到病毒的存在。③病毒清除技術。計算機病毒的清除技術是計算機病毒檢測技術發(fā)展的必然結果，是計算機病毒傳染程序的一個逆過程。目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對其進行分析研究而研制出來的具有相應解毒功能的軟件。這類軟件技術發(fā)展往往是被動的，帶有滯后性。而且由于計算機軟件所要求的精確性，殺毒軟件有其局限性，對有些變種病毒的清除無能為力。

2.4入侵檢測技術入侵檢測技術是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，也是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。

入侵檢測系統(tǒng)所采用的技術可分為特征檢測與異常檢測兩種。

①特征檢測的假設是入侵者活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式。它可以將己有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來。②異常檢測的假設是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?；顒拥摹盎顒雍啓n”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統(tǒng)計規(guī)律時，認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

2.5漏洞掃描技術漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)、文件等進行檢查，發(fā)現(xiàn)其中可被黑客所利用的漏洞。漏洞檢測技術就是通過對網(wǎng)絡信息系統(tǒng)進行檢查，查找系統(tǒng)安全漏洞的一種技術。它能夠預先評估和分析系統(tǒng)中存在的各種安全隱患，換言之，漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)、文件等進行檢查，發(fā)現(xiàn)其中可被黑客所利用的漏洞。隨著黑客人侵手段的日益復雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷，預先評估和分析網(wǎng)絡系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡管理員們的重要需求。漏洞掃描的結果實際上就是系統(tǒng)安全性能的評估報告，它指出了哪些攻擊是可能的，因此成為網(wǎng)絡安全解決方案中的一個重要組成部分。

漏洞掃描技術主要分為被動式和主動式兩種：

①被動式是基于主機的檢測，對系統(tǒng)中不合適的設置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進行檢查。②主動式則是基于對網(wǎng)絡的主動檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊，并記錄它的反應，從而發(fā)現(xiàn)其中的漏洞。

2.6慝。防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。

第5篇：網(wǎng)絡安全評估報告范文

【 關鍵詞 】 組件技術；網(wǎng)絡安全；架構；機制

Component Technology Framework for Analysis of Network Security Management

Hu Ting-feng

(The twentieth Middle School of Beijing City Beijing 100085)

【 Abstract 】 With the growing popularity of Internet applications, to further accelerate the process of resource sharing computer network, the resulting network security issues can not be ignored. In this paper the current status of the component technology, component technology present a network security management structure, and as a basis for analyzing the structure of the implementation mechanism and security mechanism, enhance the stability of network operation, security.

【 Keywords 】 component technology; network security; architecture; mechanism

0 引言

隨著組件技術的應用，帶來一次軟件開發(fā)革命，為修改與復用提供了更好的技術支持?；诮M件技術的三層軟件開發(fā)結構，更利于系統(tǒng)分項與整體功能的實現(xiàn)，具有一定實用價值。正是鑒于組件這一特殊功能，可滿足軟件的即插即用功能，有針對性地進行修復與升級。但是隨著組件技術的廣泛應用，安全性能問題日益凸顯，已不容忽視。文章結合實際工作經(jīng)驗，重點依據(jù)網(wǎng)絡安全管理模型，對相關技術進行具體分析。

1 組件技術的網(wǎng)絡安全管理架構

目前，大多網(wǎng)絡安全產(chǎn)品之間的功能具有重復性特點，單個的安全產(chǎn)品既希望獲得更多功能，同時又難以滿足用戶的各方面需求。因此，在建設安全管理系統(tǒng)過程中，雖然用戶也購買了較多產(chǎn)品，但是產(chǎn)品綜合效益難以發(fā)揮。針對這一問題，最好的解決辦法就是實現(xiàn)各種安全產(chǎn)品與安全軟件的功能組合。這樣，安全產(chǎn)品不再以獨立的形態(tài)出現(xiàn)，安全組件技術應運而生。 每一種安全組件都需繼承并順利實現(xiàn)接口，完成某項或者某組特殊任務，但是每一項軟件功能都有明確劃分，不會出現(xiàn)功能重復。在用戶應用安全管理系統(tǒng)時，根據(jù)具體要求從組件庫中選擇適用的安全組件，選定的安全組件借助綜合平臺實現(xiàn)集成功能。如圖1所示。

在安全組件運行的平臺上，統(tǒng)一分發(fā)、配置、加載、升級并管理安全組件。通過應用組件技術，提供了系統(tǒng)安全的系統(tǒng)性、靈活性、集成性、開放性、模塊性、透明性及可管理性等優(yōu)勢。安全管理服務器作為整個系統(tǒng)運行的核心，在分布式運行環(huán)境中，可對外提供各種基礎，如策略管理、資產(chǎn)管理、事件管理、應急響應等。通過應用安全管理服務器，可對組件完成集中注冊、存儲、索引、分發(fā)等，加強對各項管理信息、相關策略的收集、索引、存儲、分發(fā)等功能，同時支持審計。

通過應用數(shù)據(jù)庫，給安全系統(tǒng)提供數(shù)據(jù)查詢、存儲支持等功能。在安全管理控制臺中，提供了統(tǒng)一的系統(tǒng)管理界面框架以及各項服務配置的界面?？稍谠撈脚_中實現(xiàn)策略編輯組件、監(jiān)視組件等功能，實現(xiàn)面向系統(tǒng)用戶與管理員，管理員完成安全監(jiān)督、安全策略、應急響應等工作。

分布式組件容器，分別部署于網(wǎng)絡的各個端點位置，為組件運行提供基礎環(huán)境，支持每個功能組件的統(tǒng)一運行環(huán)境、加載方式、通信模塊以及通用功能等。通過組件技術，實現(xiàn)安全產(chǎn)品的深化改造，統(tǒng)一在系統(tǒng)中加載運行，統(tǒng)一管理安全產(chǎn)品的應用性能、網(wǎng)絡配置以及安全性能，提高管理效率，確保整個系統(tǒng)的順利運行。

2 網(wǎng)絡安全管理架構的實現(xiàn)機制研究

通過組件技術，將入侵檢測技術、漏洞掃描、防火墻技術、網(wǎng)絡安全評估等相結合，利用多組件的動態(tài)協(xié)作模型，可確保安全組件既獨立運行又相互通信、共同開展工作，提高工作效率與質(zhì)量，實現(xiàn)網(wǎng)絡與主機的保護功能。

2.1 防火墻和網(wǎng)絡探測器

網(wǎng)絡探測器建立在入侵檢測技術基礎上，攔截并獲取網(wǎng)段中的數(shù)據(jù)包，從中找出可能存在的敏感信息或入侵信息，發(fā)揮保護作用。當網(wǎng)絡探測器檢測到攻擊事件，就可實時記錄并保存有關信息，將信息傳輸?shù)焦芾砜刂婆_，實現(xiàn)報警提示。但是網(wǎng)絡探測器自身并不能直接阻斷具有攻擊行為的網(wǎng)絡連接，只能作提示所用。因此，為了及時發(fā)現(xiàn)攻擊行為，應加強防火墻和網(wǎng)絡探測器的協(xié)作，由網(wǎng)絡探測器發(fā)出請求信號，通過防火墻切斷網(wǎng)絡連接。另外，如果防火墻自身發(fā)現(xiàn)了可疑但是不能確定的事件，也可將有關信息傳送到網(wǎng)絡探測器中，由網(wǎng)絡探測器進行分析與評估。當網(wǎng)絡探測器發(fā)出通知，要求防火墻切斷網(wǎng)絡連接，則調(diào)用API命令的函數(shù)：FW-BLOCK，其中包括命令源、源端口、目標端口、源IP、目標IP、組斷電等。其中，命令源主要指發(fā)送命令的組件技術，阻斷點則主要指防火墻阻斷的具置。

2.2 防火墻和掃描器

掃描器定期或者按照實際需要，評估目標網(wǎng)絡及主機的安全風險。如果發(fā)現(xiàn)漏洞，掃描器不能實現(xiàn)漏洞修補功能，而是通過管理人員的人工干預。如果在發(fā)現(xiàn)漏洞到修補漏洞的這段時間內(nèi)，發(fā)現(xiàn)風險級別較高的漏洞但是無法及時采取措施，將增加系統(tǒng)的安全風險，給系統(tǒng)運行造成威脅。基于這一實際情況，可以實現(xiàn)掃描器與防火墻的協(xié)作功能，如果掃描器檢測到主機中的服務存在高風險漏洞，即將信息傳輸?shù)椒阑饓?，由防火墻對外部網(wǎng)絡的訪問行為進行限制，當人工干預修補漏洞完畢之后，再請求防火墻開發(fā)外部信息的輸入。通過實現(xiàn)這一操作過程，可在掃描器端口分別調(diào)用FW-BLOCK以及FW-RELEASE命令函數(shù)。

2.3 網(wǎng)絡探測器和主機

網(wǎng)絡探測器和主機都是完成入侵檢測任務的重要組成部分，二者的集成與協(xié)作較為簡單。實際上，當前很多入侵檢測系統(tǒng)中集合了基于主機與網(wǎng)絡兩種測試技術的復合型入侵檢測系統(tǒng)，例如ISS中的ReaSecure。在組件技術的網(wǎng)絡安全管理架構中，網(wǎng)絡探測器和主機兩種組件部署在保護網(wǎng)絡的不同層次與位置，分別收集來自不同層次、不同位置的信息，共同歸屬于一個安全數(shù)據(jù)庫，協(xié)同整合網(wǎng)絡信息，并在整個網(wǎng)絡范圍內(nèi)判斷各種異常行為的特點與具體過程，如經(jīng)過偽裝的入侵行為等。在網(wǎng)絡探測器和主機之間，實現(xiàn)共同協(xié)作，應參照CIDF建議中的相關標準，以CISL數(shù)據(jù)交換語言及格式為主。

2.4 管理控制臺和組件技術

在組件技術的網(wǎng)絡安全管理架構中，設置專用控制臺，統(tǒng)一集中管理組件。通過這種集中式的網(wǎng)絡安全管理環(huán)境，更好地保持組件之間協(xié)作，成為有機整體。網(wǎng)絡管理員只要通過管理控制臺就可以訪問并控制各個組件，提升整個網(wǎng)絡安全策略，實時掌握安全動態(tài)，并做好相關測試工作，保障各組件之間的協(xié)調(diào)工作，全面保護網(wǎng)絡運行。

2.5 掃描器和入侵檢測

當掃描器掃描到網(wǎng)絡及系統(tǒng)中的脆弱性安全信息，對網(wǎng)絡探測器以及主機的入侵檢測非常重要。因此，在該組件技術的網(wǎng)絡安全管理架構中，每次掃描器完成掃描評估過程，就會將漏洞信息中的相關入侵檢測組件，包括服務端口、主機IP地址、CVE值以及風險級別等。另外，在掃描器中可以獲得相應的目標網(wǎng)絡安全評估報告，給網(wǎng)絡探測器、主機等部署提供有效建議。如果入侵檢測組件已經(jīng)檢測到內(nèi)部主機中產(chǎn)生的攻擊信息，就可同時傳遞到掃描器中，實行主機安全評估，盡快完善主機存在的系統(tǒng)漏洞及安全隱患。

3 組件技術的安全機制

為了確保各個安全組件的協(xié)同工作，各組件之間必須兼容、共享，保持密切通信關系，實現(xiàn)信息交互。在大型分布式網(wǎng)絡構架中，大多安全組件安裝在通用網(wǎng)絡中，因此組件技術的安全系統(tǒng)中各組件之間的通信也通過網(wǎng)絡而實現(xiàn)，安全系統(tǒng)自身也可能受到外來病毒、黑客的入侵與攻擊。

出于對網(wǎng)絡安全管理系統(tǒng)自身安全性的重視，構建一個安全、可靠、完整的內(nèi)部通信機制非常重要。為了確保組件技術的網(wǎng)絡安全系統(tǒng)自身具有安全性、可靠性，建議采取PKI身份認證或者保密通信機制。給系統(tǒng)中的組件通信提供鑒于數(shù)字證書基礎上的身份認證、消息加密、消息認證、消息發(fā)送等。在整個PKI系統(tǒng)中，主要包括CA服務器、客戶端應用接口、證書查詢服務器三大部分，如圖2所示。

其中，CA服務器用于簽發(fā)并核實證書；客戶端應用接口則是一個用于安全組件中的PKI應用接口軟件，支持入侵檢測系統(tǒng)、掃描器、防火墻等安全組件的身份認證與通信保密；證書查詢服務器支持各種證書查詢服務。在CA服務器中，向系統(tǒng)中的所有組件簽發(fā)證書，每兩個組件之間實現(xiàn)通信連接。以證書查詢服務器為基礎，驗證對方身份，并協(xié)商好共享的對稱密鑰，通過該密鑰實現(xiàn)系統(tǒng)加密，構建一條信息交換的安全通道。

4 系統(tǒng)應用的優(yōu)勢分析

（1）在整個管理構架系統(tǒng)中，存在著多級防御體系，分別完成不同的工作任務。將整體工作量具體劃分為若干層次，可避免過去集中式系統(tǒng)中常產(chǎn)生的負載過度集中問題。在該系統(tǒng)中，負責服務器組的安全防御體系中，監(jiān)控過濾后的流量，與監(jiān)控所有流量的方式相比，負載有所降低，有效提高監(jiān)控效率。

（2）對于各個子系統(tǒng)，在不同防御級別上有所重疊，更利于實現(xiàn)不同子系統(tǒng)之間的協(xié)作管理。例如，在核心防御系統(tǒng)中，防火墻、網(wǎng)絡掃描器、中心NIDS端接在同一個核心交換機中，極大方便相互協(xié)作與信息共享。

（3）與傳統(tǒng)的網(wǎng)絡安全管理系統(tǒng)相比，該系統(tǒng)既可防御外部網(wǎng)絡攻擊，更可對內(nèi)部攻擊行為進行記錄，為用戶提供依據(jù)，防堵內(nèi)部漏洞，震懾內(nèi)部攻擊行為，提高系統(tǒng)運行安全性。

5 結束語

隨著網(wǎng)絡安全問題的日益突出，給網(wǎng)絡安全防護提出全新要求，且體系結構越來越復雜，涉及到各種各樣的安全技術與安全設備。隨著網(wǎng)絡安全管理系統(tǒng)的提出，將過去孤立的網(wǎng)絡安全轉(zhuǎn)變?yōu)榻y(tǒng)一性、集中性的大型安全技術管理。以組件技術為基礎的網(wǎng)絡安全管理架構系統(tǒng)來看，不同的組件在不同機器、不同設備運行時，執(zhí)行的任務也有所不同，但是最終歸屬到安全管理控制臺中，統(tǒng)一匯總并管理。

可見，以組件技術為基礎的網(wǎng)絡安全管理構架，既可保障系統(tǒng)安全性、完整性，也可發(fā)揮最大效益，減少投入成本，更方便網(wǎng)絡安全設備的統(tǒng)一監(jiān)控、集中管理，減少安全管理員的工作強度。當前，該架構已逐漸應用并推廣，具有良好的發(fā)展空間。

參考文獻

[1] 朱思峰,李春麗,劉曼華,楊建輝.基于多組件協(xié)作的網(wǎng)絡安全防御體系研究[J].周口師范學院學報,2007（2）.

[2] 劉效武.基于多源融合的網(wǎng)絡安全態(tài)勢量化感知與評估[J].哈爾濱工程大學：計算機應用技術,2009.

[3] 謝桂芹.網(wǎng)絡安全軟件的自動化測試系統(tǒng)的研究與應用[D].南京郵電大學：計算機軟件與理論,2009.

[4] 郭晨,夏潔武,黃傳連.基于漏洞檢測安全中間件的設計與實現(xiàn)[J].微計算機信息,2007（18）.

[5] 王宇,盧昱.基于組件及信任域的信息網(wǎng)絡安全控制[J].計算機應用與軟件,2006（3）.

[6] 楊宏宇,鄧強,謝麗霞.網(wǎng)絡安全組件協(xié)同操作研究[J].計算機應用,2009（9）.

第6篇：網(wǎng)絡安全評估報告范文

 

 

隨著水利信息化工作的不斷推進，電子政務，水利公共信息載體，數(shù)字水利，以及水資源管理體系等信息化結果的出現(xiàn)，有利的推進了水利現(xiàn)代化的運行。網(wǎng)絡平臺是信息構建和信息化成果使用的重要媒介，充分的表現(xiàn)出了IT的實際價值。在互聯(lián)網(wǎng)飛速發(fā)展的現(xiàn)在，網(wǎng)絡進攻的方式也逐漸增多，信息體系所承受的安全風險也逐漸增加，怎樣保證網(wǎng)絡信息的安全是現(xiàn)在水利信息化進程中急需要處理的問題之一。

 

1 水利網(wǎng)絡信息安全的實際狀況

 

最近幾年，水利部門根據(jù)水利工作的實際狀況，在對治水經(jīng)驗和實際操作進行總結的過程中，提出要轉(zhuǎn)變過去的水利發(fā)展道路，堅持走可持續(xù)發(fā)展水利道路，建立水利現(xiàn)代化的發(fā)展道路。隨著水利事業(yè)的不斷發(fā)展和變革，水利信息化構建也取得了一定的成績，逐漸轉(zhuǎn)變成為水利現(xiàn)代化的主要力量。根據(jù)國家防汛抗旱指揮系統(tǒng)中的一期工程城市水資源的監(jiān)控管理，水利電子政務的相關項目和大型灌區(qū)信息化試點等重要工程的順利完成，水利信息化基礎設備也在不斷的健全，對業(yè)務的使用能力也在逐漸加強。防汛抗旱，城市水資源的監(jiān)控管理，水利電子政務和全國水土保持監(jiān)管信息體系等業(yè)務也開始應用到實際生活中。在水利信息化基礎構建和業(yè)務不斷拓展的過程中，相關的保證水利信息化安全的體系也逐漸形成。

 

2 強化水利網(wǎng)絡信息安全的解決措施

 

網(wǎng)絡和信息的安全隱患問題，使得水利信息化的發(fā)展受到阻礙，所以要及時的進行預防，綜合治理和科學管理，逐漸增加信息的安全性，加強其中的保護能力，保證水利信息化的持續(xù)運行。

 

2.1 加強信息安全管理

 

信息安全規(guī)劃包含了技術、管理和相關法律等多個層面的問題，是穩(wěn)定網(wǎng)絡安全、物理安全、資料安全和使用安全的關鍵因素。信息安全規(guī)劃不但依賴于信息化的管理，還是信息化形成的重要力量。在信息安全管理的過程中，信息系統(tǒng)安全構建和管理要更加具有系統(tǒng)性、整體性和目標性。

 

2.1.1 以信息化規(guī)劃為基礎，構建信息化建設

 

信息安全是在信息化規(guī)劃的基礎上，對信息安全進行系統(tǒng)的整理，是信息化發(fā)展的主要力量。信息安全規(guī)劃不但要對信息化發(fā)展的實際情況進行深入的分析和研究，更好的發(fā)現(xiàn)信息化中存在的安全隱患，還要根據(jù)信息化規(guī)劃以及信息化發(fā)展的主要戰(zhàn)略和思路，有效的處理信息安全的問題。

 

2.1.2 構建信息安全系統(tǒng)

 

信息安全規(guī)劃需要從技術安全、組織安全、戰(zhàn)略安全等方面入手，構建相關的信息安全系統(tǒng)，從而更好的保證信息化的安全。

 

2.2 日常的運維管理

 

2.2.1 注重網(wǎng)絡的安全監(jiān)控

 

網(wǎng)絡的飛速發(fā)展使得水利網(wǎng)絡安全和互聯(lián)網(wǎng)安全關系更加緊密。所以，注重互聯(lián)網(wǎng)安全監(jiān)控，從而及時的采取相關的安全防護措施，是現(xiàn)在日常安全管理工作中的主要內(nèi)容。

 

2.2.2 安全狀態(tài)研究

 

網(wǎng)絡信息安全是處于不斷變化的過程中，需要定時對網(wǎng)絡安全環(huán)境進行整體的分析，這樣不但可以發(fā)現(xiàn)其中的問題，還可以及時的采取相關的措施進行改正。安全態(tài)勢主要是利用網(wǎng)絡設備、主機設備、安全設備和安全管理工具等策略來進行信息的處理，通過統(tǒng)計和分析，綜合評價網(wǎng)絡系統(tǒng)的安全性，并且對發(fā)展的狀態(tài)進行判斷。

 

2.2.3 信息安全風險評估

 

風險評估是信息安全管理工作中的重要部分。通過進行風險評估，可以及時的發(fā)現(xiàn)信息安全中的問題，并且找到積極有效的解決措施。安全風險評估的主要方法是：(1)對被評估的主要信息進行確定;(2)通過本地審計、人員走訪、現(xiàn)場觀看、文檔審閱、脆弱性掃描等方法，對評估范圍中的網(wǎng)絡、使用和主機等方面的安全技術和信息進行管理;(3)對取得的信息資料進行綜合的分析，判別被評估信息資產(chǎn)中存在的主要問題和風險;(4)從管理體制、管理措施、系統(tǒng)脆弱性判別、威脅研究、漏洞和現(xiàn)有技術等方面，根據(jù)風險程度的不同，分析和管理相關的安全問題;(5)根據(jù)上面的分析結果，建立相關的信息安全風險評估報告。

 

2.2.4 應急響應

 

所謂的應急響應就是信息安全保護的最后一道屏障，主要是為了盡量的減少和控制信息安全所造成的嚴重影響，進行及時的響應和修復。應急響應包含了前期應急準備和后期應急響應兩個部分。前期應急準備主要有預警預防制度、組織指導系統(tǒng)、應急響應過程、應急團隊、應急器械、技術支持、費用支持等應急措施，并且定時進行應急演練等。后期應急措施主要有檢查病毒、系統(tǒng)防護、阻斷后門等問題，對網(wǎng)絡服務進行限制或關閉以及事后的恢復系統(tǒng)等工作。通過兩個部分的不斷配合，才能更好的發(fā)揮應急響應的重要作用。

 

2.3 教育培養(yǎng)

 

人是信息安全的主要力量，其中的知識構造和使用能力對信息安全工作有著重要的影響。強化信息安全管理人員的專業(yè)素養(yǎng)，及時的進行信息安全教育，提升人們的信息安全意識，從而有效的減少信息安全問題的出現(xiàn)。

 

3 總結

 

隨著社會經(jīng)濟的不斷發(fā)展，信息系統(tǒng)中的安全問題也逐漸增多。因此需要不斷的加強信息安全管理工作，對于網(wǎng)絡信息安全管理中的問題進行深入的研究，找到具有針對性的解決措施，從而保證水利信息化的健康發(fā)展。

第7篇：網(wǎng)絡安全評估報告范文

關鍵詞:資產(chǎn)管理;資產(chǎn)探測;漏洞掃描

近年來，隨著廣電網(wǎng)絡公司業(yè)務邊界的不斷拓展，安全策略的不斷變化，防護對象的轉(zhuǎn)換，作為業(yè)務、生產(chǎn)的運行單元，廣電網(wǎng)絡公司的網(wǎng)絡資產(chǎn)管理逐漸成為安全核心要素。當前廣播電視網(wǎng)絡公司的資產(chǎn)規(guī)模越來越大，數(shù)量越來越多，如公網(wǎng)地址就達到了百萬級別，這些給資產(chǎn)管理工作帶來了很大的挑戰(zhàn)。各類資產(chǎn)、設備數(shù)量大幅增加，資產(chǎn)的歸屬結構關系復雜，部門與部門之間存在交叉使用的情況，同時帶來了資產(chǎn)安全責任難以落實，風險管理面臨巨大的壓力。如使用的Excel或ERP系統(tǒng)，已經(jīng)無法滿足資產(chǎn)管理的需要，為實現(xiàn)基于可視化的網(wǎng)絡資產(chǎn)全生命周期的安全管理，必須通過建設新型的資產(chǎn)安全管理平臺。

1新型資產(chǎn)安全管理平臺功能架構

新型資產(chǎn)安全管理平臺架構如圖1，它具備以下功能。

1.1自動采集發(fā)現(xiàn)企業(yè)網(wǎng)絡信息系統(tǒng)資產(chǎn)

利用專業(yè)的IT資產(chǎn)探測工具，對資產(chǎn)進行探測發(fā)現(xiàn)，并在此基礎上進行資產(chǎn)信息的補充和記錄，最終錄入安全資產(chǎn)管理庫。資產(chǎn)的探測通過自動采集、手工維護和接口同步等3種方式實現(xiàn)。自動采集是通過資產(chǎn)掃描、Web爬蟲等完成設備類和軟件類資產(chǎn)的自動采集，具備根據(jù)IP地址段自動掃描資產(chǎn)的能力，掃描結果包含但不限于IP、端口、設備類別、操作系統(tǒng)、承載的軟件應用(如中間件)等手工維護是通過人工維護對資產(chǎn)數(shù)據(jù)進行錄入和完善對應屬性信息。接口同步是利用統(tǒng)一安全管理平臺等系統(tǒng)進行數(shù)據(jù)同步，自動進行資產(chǎn)數(shù)據(jù)的錄入和核對。

1.2自動稽核網(wǎng)絡信息安全資產(chǎn)

根據(jù)資產(chǎn)報備流程(新增、變更和注銷)，對單位上報的資產(chǎn)信息的準確性進行審核。如發(fā)現(xiàn)誤報、漏報等問題，稽核對相關單位進行通報，責令整改?；瞬捎萌粘Ｑ矙z和不定期抽查兩種方式，日常巡檢為每周對全量資產(chǎn)信息審核一次。

1.3生成和梳理網(wǎng)絡信息資產(chǎn)

建立網(wǎng)絡信息安全資產(chǎn)庫并維護更新，資產(chǎn)庫能夠自動同步或者導入各單位上報的資產(chǎn)信息，并整理為統(tǒng)一模板格式。資產(chǎn)庫能夠?qū)⑻綔y和導入的資產(chǎn)，包括主機資產(chǎn)和應用資產(chǎn)，進行集中梳理和管理，并通過導出報表的形式對資產(chǎn)信息進行集中展示。分析報表主要包含Excel報表和綜合報表。Excel報表主要為用戶導出資產(chǎn)清單和資產(chǎn)風險清單，生成清單文檔，用戶可以下載相關的Excel文檔。綜合報表是對資產(chǎn)的安全進行分析評估。用戶可以通過點擊“添加報表”根據(jù)提示創(chuàng)建資產(chǎn)安全評估報告，從而輸出單位資產(chǎn)信息匯總報告。

1.4發(fā)現(xiàn)資產(chǎn)的網(wǎng)絡安全漏洞和閉環(huán)管理

資產(chǎn)安全管理平臺采用先進的漏洞掃描引擎和流程化管理方式，對網(wǎng)絡信息安全資產(chǎn)所存在的安全漏洞進行掃描和風險全生命周期管理工作，實現(xiàn)了漏洞管理從發(fā)現(xiàn)到修復完成的閉環(huán)［1］。當風險管理員通過漏洞掃描到風險漏洞并審核后，將掃描到的漏洞下發(fā)到相關責任人員進行處理修復;相關部門責任人接到漏洞修復任務后對漏洞進行審核和修復操作，責任人修復完漏洞后提交復測申請;風險管理員對修復的漏洞進行復測和后續(xù)的歸檔，漏洞管理實現(xiàn)了從發(fā)現(xiàn)到修復的完整閉環(huán)。

1.5資產(chǎn)的全生命周期態(tài)勢分析

安全管理平臺通過對資產(chǎn)的全生命周期活動進行全方位的數(shù)據(jù)分析，包括資產(chǎn)探測，資產(chǎn)稽核、資產(chǎn)變更、漏洞管理等，將結果通過分析報表和可視化大屏的方式呈現(xiàn)。其中可視化大屏的方式是將資產(chǎn)信息通過折線圖、餅狀圖、柱狀圖等形式從資產(chǎn)情況、風險漏洞等8421多角度直觀、實時、全面地展示資產(chǎn)概況與趨勢，實現(xiàn)資產(chǎn)管理全流程工作信息數(shù)據(jù)可視、動態(tài)感知的目標。

2關鍵技術

新型資產(chǎn)安全管理平臺建設過程中，主要采用以下關鍵技術。

2.1資產(chǎn)建模技術

基于核心的資產(chǎn)建模技術，根據(jù)導入資產(chǎn)的信息建立資產(chǎn)模型，進行深度識別，自動發(fā)現(xiàn)關聯(lián)資產(chǎn)，智能識別資產(chǎn)類型［2］。通過網(wǎng)絡安全資產(chǎn)的主動探測和發(fā)現(xiàn)，結合廣播電視現(xiàn)有網(wǎng)絡資產(chǎn)數(shù)據(jù)庫，智能化建模。

2.2資產(chǎn)探測技術

利用無狀態(tài)掃描技術極速完成資產(chǎn)管理，通過異步連接技術高效完成端口探測與狀態(tài)識別［3］。

2.3人工智能深度學習技術

利用決策樹算法和海量產(chǎn)品數(shù)據(jù)庫進行機器訓練［4］，完成不同應用與服務協(xié)議數(shù)據(jù)的拆分，提取特征值，自動建立指紋模型，實現(xiàn)智能阻斷繞過。自動整理所提供的已知資產(chǎn)，并持續(xù)進行智能化巡檢和識別，實時更新資產(chǎn)狀態(tài)。

2.4基于策略匹配的極速響應

資產(chǎn)安全管理平臺通過策略匹配實現(xiàn)漏洞的極速響應排查和策略學習，進一步提高漏洞事件匹配的準確率。另外資產(chǎn)安全管理平臺支持本地、虛擬等多種環(huán)境，有效做到了全業(yè)務系統(tǒng)覆蓋。結合自定義檢測，從海量數(shù)據(jù)中快速定位高危資產(chǎn)，極大簡便了風險管理，縮短了應急響應的流程。

3應用效果

以中廣有線信息網(wǎng)絡有限公司(以下簡稱中廣有線)為例，自資產(chǎn)安全管理平臺上線以來，為中廣有線發(fā)現(xiàn)未掌控的網(wǎng)絡資產(chǎn)300余個，保障了單位網(wǎng)絡安全資產(chǎn)管理的工作穩(wěn)步、有序、高效地開展，規(guī)避了未掌控資產(chǎn)因無法管理，導致可能被惡意網(wǎng)絡攻擊造成的負面影響。通過自動的資產(chǎn)安全管理稽核與梳理，大大降低了資產(chǎn)管理的成本，節(jié)省了大量的人力和管理成本。同時將原有不受管控的資產(chǎn)找回，部分資產(chǎn)被二次利用，避免了單位資產(chǎn)的浪費。通過高效的漏洞探測與管理機制，減少了繁瑣的修復任務下發(fā)流程，漏洞修復速度大大加快，避免漏洞未及時修復導致被攻擊造成重大經(jīng)濟損失。

4結束語

資產(chǎn)安全管理平臺能夠滿足資產(chǎn)管理工作中的大多數(shù)業(yè)務需求，資產(chǎn)管理得到有效梳理和相關責任的順利落地，有效解決了資產(chǎn)管理中存在的長期痛點和難題。同時這套系統(tǒng)具備方便、高效、規(guī)范等特點，具備推廣價值。

參考文獻:

［1］倪浩杰．基于生命周期的新型漏洞管理平臺設計［J］．網(wǎng)絡安全技術與應用，2020(4):77－79．

［2］齊權，賀劼，魯悅．網(wǎng)絡空間資產(chǎn)普查與風險感知系統(tǒng)［J］．信息技術與標準化，2018(9):53－56，69．

第8篇：網(wǎng)絡安全評估報告范文

關鍵詞：網(wǎng)絡安全；云計算；網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)；設計；數(shù)據(jù)存儲

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）35-0005-03

1 引言

1.1 研究背景

對于本次研究中，基于云計算技術，該技術是由多種不同技術混合發(fā)展的結果。當前社會中，云計算技術的成熟度較高，又有多數(shù)公司企業(yè)的應用推動，也使得云計算的發(fā)展極為迅速【1】。云計算技術中，其確保用戶可以將大量的數(shù)據(jù)存儲在云端之中，可以減少使用信息數(shù)據(jù)的IT設備投資成本，也可提升數(shù)據(jù)使用便利【2】。然而，在實際中，網(wǎng)絡安全數(shù)據(jù)存儲中，由于云計算數(shù)據(jù)損壞引發(fā)的弊端，也不斷出現(xiàn)，給用戶造成損失，對此進行研究，以便解決安全問題。

1.2國內(nèi)外研究現(xiàn)狀

在我國的云計算發(fā)展中，2008年，我國就在無錫以及北京地區(qū)，建立IBM云計算中心；同時，中國的移動研究院，在當前已經(jīng)建立了1024個關于云計算研究的試驗中心【3】。在云安全技術方面，通過云分析、識別病毒以及木馬方面，也在我國網(wǎng)絡安全應用中取得巨大成功【4】。同時，對于瑞星、趨勢以及卡巴斯基等公司，也均推出基于云的網(wǎng)絡安全解決方法【5】，促進我國云技術的發(fā)展在國外云計算研究中，Google云、IBM云、亞馬遜云、微軟云等，其也均是運用云計算實現(xiàn)網(wǎng)絡安全數(shù)據(jù)存儲的先行者。在云計算領域之中，還包括VMware、Salesforce等成功的公司【6】。在國外云技術發(fā)展中，微軟公司也緊跟上安全數(shù)據(jù)網(wǎng)絡云計算發(fā)展步伐，在2008年的10月期間推出Windows Azure操作系統(tǒng)，微軟已經(jīng)配置了220個集裝箱式數(shù)據(jù)中心，包括44萬臺服務器【7-8】。

1.3本次設計可行性

在本次設計中，系統(tǒng)由網(wǎng)絡安全技術項目開發(fā)小組開發(fā)研制；本系統(tǒng)設計中，主要就是基于云計算技術，可以采用BS的系統(tǒng)架構模式，基于WEB網(wǎng)絡應用形式，滿足系統(tǒng)用戶的使用安全需求。利用https協(xié)議實現(xiàn)web服務器和web客戶端之間的數(shù)據(jù)的加密傳輸，數(shù)字簽名認證，加密存儲，實現(xiàn)網(wǎng)絡安全通信，實現(xiàn)簡單的網(wǎng)絡信息安全存儲，發(fā)揮設計可行性，有助于提升網(wǎng)絡安全數(shù)據(jù)存儲性能。

2云計算技術應用

2.1技術簡介

對于云計算技術中，可以根據(jù)該技術服務類型的不同，可以把基礎設施作為其服務IaaS的云計算技術，一種就是將平臺作為服務的PaaS云計算技術，還有一種是將軟件作為服務的SaaS云技術。

在實際之中，我們可以將云計算當做商業(yè)計算模型，可以使云計算系統(tǒng)用戶能夠按需，去獲取系統(tǒng)服務【9】。

2.2應用特點

云計算具有超大規(guī)模：云計算技術中，“云”具有相當規(guī)模，可以賦予用戶實現(xiàn)“云”計算的能力【10】。

云計算具有虛擬化的特點，用戶可以在任意位置用 “云”終端服務【11】。

云計算具有通用性，大幅降低系統(tǒng)的設計成本【12】。

3分析網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)設計需求

隨著當我國云計算技術的發(fā)展與成功應用，云計算已經(jīng)滲透到人民生活的方方方面，因而，由此帶來的云計算安全問題，也越來越令人擔憂。若是黑客突破了網(wǎng)絡安全系統(tǒng)屏障之后，對于系統(tǒng)中沒有加密明文存儲的數(shù)據(jù)，就極其容易被泄露，給用戶數(shù)據(jù)安全帶來危害。本次設計中，在分析云計算技術下優(yōu)化系統(tǒng)設計特征以及面臨的相關安全威脅，可以從云計算的服務用戶角度，優(yōu)化水云計算網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)的防御策略。在云計算技術下，進網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)設計之中，能夠通過對用戶安全和攻擊數(shù)據(jù)刻畫出攻擊者的行為習慣，從研究“一片葉子“過渡到觀察”整片森林”，對整個森林的形勢更了解，掌握安全主動權；當網(wǎng)絡行為層面檢測到異常，云盾的態(tài)勢感知會快速完成從“異常發(fā)現(xiàn)”到“實時分析”再到“追溯取證”的全過程，并輔以直觀的可視化的分析報告，提升網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)安全。

4云計算技術下設計網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)

4.1總體結構設計

4.2系統(tǒng)功能設計

對于本次系統(tǒng)設計之中，找出適合自身需求的云模式。系統(tǒng)功能結構如圖3所示：

登錄注冊模塊功能：實現(xiàn)用戶的登錄和注冊，和服務器進行通信使用https協(xié)議，在將注冊信 息保存到數(shù)據(jù)庫時，對注冊信息進行加密傳輸，web服務器收到數(shù)據(jù)后進行解密，然后對數(shù)據(jù)進行加密存儲。

生成數(shù)字證書模塊功能：用于對訂單文件的數(shù)字認證。讓用戶進行系統(tǒng)操作，對數(shù)據(jù)存儲文件進行加密傳輸，web服務器收到文件后對文件進行解密，然后對文件加密存儲

系統(tǒng)操作模塊： 對云計算技術下的網(wǎng)絡安全信息進行加密傳輸，web服務器接收到信息后對信息解密，然后對信息進行加密存儲。

4.3 設計云計算服務

在云計算技術下，設計網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)，對有特殊安全需求的存儲服務，會以黑客的視角，用黑客的攻擊方法進行測試，給出安全評估報告，及早發(fā)現(xiàn)網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)中可能被利用的漏洞，對于云服務中的漏洞能夠及時自動修復。云計算的存儲來源可以基于整個體系，既有主機端數(shù)據(jù)，也有網(wǎng)絡數(shù)據(jù)；既有線上數(shù)據(jù)，也有線下數(shù)據(jù)。數(shù)據(jù)來源足夠豐富，足以覆蓋防護面上的漏洞和盲點。數(shù)據(jù)的處理不僅包括存儲，還有計算。誰攻擊過用戶，誰對用戶有威脅，都能夠通過云網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)實時分析計算出來。

4.4 系統(tǒng)代碼實現(xiàn)

5 應用云計算技術下網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)的效益

隨著我國當前在網(wǎng)絡安全以及網(wǎng)絡信息交換技術等方面的深入研究，基于云計算技術下，結合與防火墻技術、入侵檢測系統(tǒng)技術以及病毒檢測等相關技術，使其與網(wǎng)絡安全數(shù)據(jù)存儲實現(xiàn)有機的結合，有助于提高當前系統(tǒng)的數(shù)據(jù)處理速率；并可以根據(jù)實際的數(shù)據(jù)存儲系統(tǒng)應用，去修改完善該系統(tǒng)的安全功能，提高云計算技術下網(wǎng)絡系統(tǒng)的安全性?；谠朴嬎慵夹g設計網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)，可以提升系統(tǒng)安全性能，提高16.0%，也可以提高該系統(tǒng)使用性能，發(fā)揮積極應用價值。

6 結論

綜上所述，設計網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)中，基于云計算技術下，提升系統(tǒng)存儲安全技術的可擴展與高性能，有助于推動云計算網(wǎng)絡環(huán)境下的網(wǎng)絡安全數(shù)據(jù)存儲系統(tǒng)安全，將會發(fā)揮積極影響。

參考文獻：

[1] 張樹凡，吳新橋，曹宇，等.基于云計算的多源遙感數(shù)據(jù)服務系統(tǒng)研究[J].現(xiàn)代電子技術，2015， 03（03）：90-94.

[2] 陳良維.云計算環(huán)境下的網(wǎng)絡安全估計模型態(tài)勢仿真[J].現(xiàn)代電子技術，2015.

[3] 李海濤.云計算用戶數(shù)據(jù)傳輸與存儲安全研究[J].現(xiàn)代電子技術，2013，20（20）：24-26.

[4] 劉勝娃，陳思錦，李衛(wèi)，等.面向企業(yè)私有云計算平臺的安全構架研究[J].現(xiàn)代電子技術，2014，4（4）：34-36.

[5] 荊宜青.云計算環(huán)境下的網(wǎng)絡安全問題及應對措施探討[J].網(wǎng)絡安全技術與應用，2015（9）：75-76.

[6] 黎偉.大數(shù)據(jù)環(huán)境下的網(wǎng)絡安全研究[J].科技創(chuàng)新與應用，2015（33）：105.

[7] 王筱娟.云計算與圖書館發(fā)展的研究[J].科技風，2015（7）：224.

[8] 劉思得.基于網(wǎng)絡的云存儲模式的分析探討[J].科技通報，2012，28（10）：206-209.

[9] 張潔.云計算環(huán)境下的數(shù)據(jù)存儲保護機制研究與仿真[J].計算機仿真，2013，30（8）：254-257.

[10] 梁彪，曹宇佶，秦中元，等.云計算下的數(shù)據(jù)存儲安全可證明性綜述[J].計算機應用研究，2012，29（7）：2416-2421.

第9篇：網(wǎng)絡安全評估報告范文

[關鍵詞]企業(yè)信息 網(wǎng)絡安全體系

一、企業(yè)信息網(wǎng)絡安全現(xiàn)狀概述

進入21世紀后,隨著國內(nèi)信息化程度的快速提高,信息網(wǎng)絡信息安全越來越多受到關注,信息網(wǎng)絡安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)。但是,令人擔憂的是,雖然眾多的產(chǎn)品和廠商都以信息網(wǎng)絡安全的概念在提供服務,但其中包含的實際技術和內(nèi)容卻千差萬別。這樣的情況,一方面對市場和用戶形成了誤導,不利于解決用戶的實際信息網(wǎng)絡安全問題,造成投資浪費;另一方面也不利于創(chuàng)造良性的競爭環(huán)境,阻遏了信息網(wǎng)絡安全市場的發(fā)展。

鑒于此,有必要對信息網(wǎng)絡安全進行成體系的理論探討,形成統(tǒng)一的共識和標準,這樣才能讓信息網(wǎng)絡安全產(chǎn)品和廠商真正滿足用戶的需求,解決用戶的實際問題,推動國家信息化的發(fā)展。

二、信息網(wǎng)絡安全問題的本質(zhì)探討

1.信息網(wǎng)絡安全問題的形成原因

信息網(wǎng)絡安全問題的提出跟國家信息化的進程息息相關,信息化程度的提高,使得內(nèi)部信息網(wǎng)絡具備了以下三個特點:

(1)隨著ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及,單位的日程運轉(zhuǎn)對內(nèi)部信息網(wǎng)絡的依賴程度越來越高,信息網(wǎng)絡已經(jīng)成了各個單位的生命線,對信息網(wǎng)絡穩(wěn)定性、可靠性和可控性提出高度的要求。

(2)內(nèi)部信息網(wǎng)絡由大量的終端、服務器和網(wǎng)絡設備組成,形成了統(tǒng)一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發(fā)整個網(wǎng)絡的癱瘓,對信息網(wǎng)絡各個具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求。

(3)由于生產(chǎn)和辦公系統(tǒng)的電子化,使得內(nèi)部網(wǎng)絡成為單位信息和知識產(chǎn)權的主要載體,傳統(tǒng)的對信息的控制管理手段不再使用,新的信息管理控制手段成為關注的焦點。

上述三個問題,都是依賴于信息網(wǎng)絡,與信息網(wǎng)絡的安全緊密相連的,信息網(wǎng)絡安全受到廣泛的高度重視也就不以為奇。

2.信息網(wǎng)絡安全問題的威脅模型

相對于信息網(wǎng)絡安全概念,傳統(tǒng)意義上的網(wǎng)絡安全更加為人所熟知和理解,事實上,從本質(zhì)來說,傳統(tǒng)網(wǎng)絡安全考慮的是防范互聯(lián)網(wǎng)對信息網(wǎng)絡的攻擊,即可以說是互聯(lián)網(wǎng)安全,包括傳統(tǒng)的防火墻、入侵檢察系統(tǒng)和VPN都是基于這種思路設計和考慮的?；ヂ?lián)網(wǎng)安全的威脅模型假設內(nèi)部網(wǎng)絡都是安全可信的,威脅都來自于外部網(wǎng)絡,其途徑主要通過內(nèi)互聯(lián)網(wǎng)邊界出口。所以,在互聯(lián)網(wǎng)安全的威脅模型假設下,只要將網(wǎng)絡邊界處的安全控制措施做好,就可以確保整個網(wǎng)絡的安全。

而信息網(wǎng)絡安全的威脅模型與互聯(lián)網(wǎng)安全模型相比,更加全面和細致,它即假設信息網(wǎng)絡中的任何一個終端、用戶和網(wǎng)絡都是不安全和不可信的,威脅既可能來自互聯(lián)網(wǎng),也可能來自信息網(wǎng)絡的任何一個節(jié)點上。所以,在信息網(wǎng)絡安全的威脅模型下,需要對內(nèi)部網(wǎng)絡中所有組成節(jié)點和參與者的細致管理,實現(xiàn)一個可管理、可控制和可信任的信息網(wǎng)絡。由此可見,相比于互聯(lián)網(wǎng)安全,企業(yè)的信息網(wǎng)絡安全具有以下特點:

(1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;

(2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網(wǎng)絡和使用者都進行更加具有針對性的管理;

(3)要求對信息進行生命周期的完善管理。

三、現(xiàn)有信息網(wǎng)絡安全產(chǎn)品和技術分析

自從信息網(wǎng)絡安全概念提出到現(xiàn)在,有眾多的廠商紛紛自己的信息網(wǎng)絡安全解決方案,由于缺乏標準,這些產(chǎn)品和技術各不相同,但是總結起來,應該包括監(jiān)控審計類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對這些產(chǎn)品和技術類型的特性做了簡單的分析和說明。

1.監(jiān)控審計類

監(jiān)控審計類產(chǎn)品是最早出現(xiàn)的信息網(wǎng)絡安全產(chǎn)品, 50%以上的信息網(wǎng)絡安全廠商推出的信息網(wǎng)絡安全產(chǎn)品都是監(jiān)控審計類的。監(jiān)控審計類產(chǎn)品主要對計算機終端訪問網(wǎng)絡、應用使用、系統(tǒng)配置、文件操作,以及外設使用等提供集中監(jiān)控和審計功能,并可以生成各種類型的報表。

監(jiān)控審計產(chǎn)品一般基于協(xié)議分析、注冊表監(jiān)控和文件監(jiān)控等技術,具有實現(xiàn)簡單和開發(fā)周期短的特點,能夠在信息網(wǎng)絡發(fā)生安全事件后,提供有效的證據(jù),實現(xiàn)事后審計的目標。監(jiān)控審計類產(chǎn)品的缺點是不能做到事情防范,不能從根本上實現(xiàn)提高信息網(wǎng)絡的可控性和可管理性。

2.桌面管理類

桌面管理類產(chǎn)品主要針對計算機終端實現(xiàn)一定的集中管理控制策略,包括外設管理、應用程序管理、網(wǎng)絡管理、資產(chǎn)管理以及補丁管理等功能,這類型產(chǎn)品通常跟監(jiān)控審計產(chǎn)品有類似的地方,也提供了相當豐富的審計功能,

桌面監(jiān)控審計類產(chǎn)品除了使用監(jiān)控審計類產(chǎn)品的技術外,還可能需要對針對Windows系統(tǒng)使用鉤子技術,對資源進行控制,總體來說,技術難度也不是很大。桌面監(jiān)控審計類產(chǎn)品實現(xiàn)了對計算機終端資源的有效管理和授權,其缺點不能實現(xiàn)對信息網(wǎng)絡信息數(shù)據(jù)提供有效的控制。

3.文檔加密類

文檔加密類產(chǎn)品也是信息網(wǎng)絡安全產(chǎn)品中研發(fā)廠商相對較多的信息網(wǎng)絡安全產(chǎn)品類型,其主要解決特定格式主流文檔的權限管理和防泄密問題,可以部分解決專利資料、財務資料、設計資料和圖紙資料的泄密問題。

文檔加密技術一般基于文件驅(qū)動和應用程序的API鉤子技術結合完成,具有部署靈活的特點。但是,因為文檔加密技術基于文件驅(qū)動鉤子、臨時文件和API鉤子技術,也具有軟件兼容性差、應用系統(tǒng)適應性差、安全性不高以及維護升級工作量大的缺點。

4.文件加密類

文件加密類產(chǎn)品類型繁多,有針對單個文件加密,也有針對文件目錄的加密,但是總體來說,基本上是提供了一種用戶主動的文件保護措施。

文件加密類產(chǎn)品主要基于文件驅(qū)動技術,不針對特定類型文檔,避免了文檔加密類產(chǎn)品兼容性差等特點,但是由于其安全性主要依賴于使用者的喜好和習慣,難以實現(xiàn)對數(shù)據(jù)信息的強制保護和控制。

5.磁盤加密類

磁盤加密類產(chǎn)品在磁盤驅(qū)動層對部分或者全部扇區(qū)進行加密,對所有文件進行強制的保護,結合用戶或者客戶端認證技術,實現(xiàn)對磁盤數(shù)據(jù)的全面保護。

磁盤加密技術由于基于底層的磁盤驅(qū)動和內(nèi)核驅(qū)動技術,具有技術難度高、研發(fā)周期長的特點。此外,由于磁盤加密技術對于上層系統(tǒng)、數(shù)據(jù)和應用都是透明的,要實現(xiàn)比較好的效果,必須結合其他信息網(wǎng)絡安全管理控制措施。

四、構建完整的信息網(wǎng)絡安全體系

從前面的介紹可以看出,上述的信息網(wǎng)絡安全產(chǎn)品,都僅僅解決了信息網(wǎng)絡安全部分的問題,并且由于其技術的限制,存在各自的缺點。事實上,要真正構建一個可管理、可信任和可控制的信息網(wǎng)絡安全體系,應該統(tǒng)一規(guī)劃,綜合上述各種技術的優(yōu)勢,構建整體一致的信息網(wǎng)絡安全管理平臺。

根據(jù)上述分析和信息網(wǎng)絡安全的特點,一個整體一致的信息網(wǎng)絡安全體系,應該包括身份認證、授權管理、數(shù)據(jù)保密和監(jiān)控審計四個方面,并且,這四個方面應該是緊密結合、相互聯(lián)動的統(tǒng)一平臺,才能達到構建可信、可控和可管理的安全信息網(wǎng)絡的效果。

身份認證是信息網(wǎng)絡安全管理的基礎,不確認實體的身份,進一步制定各種安全管理策略也就無從談起。信息網(wǎng)絡的身份認證,必須全面考慮所有參與實體的身份確認,包括服務器、客戶端、用戶和主要設備等。其中,客戶端和用戶的身份認證尤其要重點關注,因為他們具有數(shù)量大、環(huán)境不安全和變化頻繁的特點。

授權管理是以身份認證為基礎的,其主要對內(nèi)部信息網(wǎng)絡各種信息資源的使用進行授權,確定“誰”能夠在那些“計算機終端或者服務器”使用什么樣的“資源和權限”。授權管理的信息資源應該盡可能全面,應該包括終端使用權、外設資源、網(wǎng)絡資源、文件資源、服務器資源和存儲設備資源等。

數(shù)據(jù)保密是信息網(wǎng)絡信息安全的核心,其實質(zhì)是要對信息網(wǎng)絡信息流和數(shù)據(jù)流進行全生命周期的有效管理,構建信息和數(shù)據(jù)安全可控的使用、存儲和交換環(huán)境,從而實現(xiàn)對信息網(wǎng)絡核心數(shù)據(jù)的保密和數(shù)字知識產(chǎn)權的保護。由于信息和數(shù)據(jù)的應用系統(tǒng)和表現(xiàn)方式多種多樣,所以要求數(shù)據(jù)保密技術必須具有通用性和應用無關性。

監(jiān)控審計是信息網(wǎng)絡安全不可缺少的輔助部分,可以實現(xiàn)對信息網(wǎng)絡安全狀態(tài)的實時監(jiān)控,提供信息網(wǎng)絡安全狀態(tài)的評估報告,并在發(fā)生信息網(wǎng)絡安全事件后實現(xiàn)有效的取證。

需要再次強調(diào)的是,上述四個方面,必須是整體一致的,如果只簡單實現(xiàn)其中一部分,或者只是不同產(chǎn)品的簡單堆砌,都難以建立和實現(xiàn)有效信息網(wǎng)絡安全管理體系。