信息安全服務評估報告范文
時間:2023-05-04 13:13:17
導語:如何才能寫好一篇信息安全服務評估報告,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
安全評估管理規定
第一條為規范開展互聯網新聞信息服務新技術新應用安全評估工作,維護國家安全和公共利益,保護公民、法人和其他組織的合法權益,根據《中華人民共和國網絡安全法》《互聯網新聞信息服務管理規定》,制定本規定。
第二條國家和省、自治區、直轄市互聯網信息辦公室組織開展互聯網新聞信息服務新技術新應用安全評估,適用本規定。
本規定所稱互聯網新聞信息服務新技術新應用(以下簡稱“新技術新應用”),是指用于提供互聯網新聞信息服務的創新性應用(包括功能及應用形式)及相關支撐技術。
本規定所稱互聯網新聞信息服務新技術新應用安全評估(以下簡稱“新技術新應用安全評估”),是指根據新技術新應用的新聞輿論屬性、社會動員能力及由此產生的信息內容安全風險確定評估等級,審查評價其信息安全管理制度和技術保障措施的活動。
第三條互聯網新聞信息服務提供者調整增設新技術新應用,應當建立健全信息安全管理制度和安全可控的技術保障措施,不得、傳播法律法規禁止的信息內容。
第四條國家互聯網信息辦公室負責全國新技術新應用安全評估工作。省、自治區、直轄市互聯網信息辦公室依據職責負責本行政區域內新技術新應用安全評估工作。
國家和省、自治區、直轄市互聯網信息辦公室可以委托第三方機構承擔新技術新應用安全評估的具體實施工作。
第五條鼓勵支持新技術新應用安全評估相關行業組織和專業機構加強自律,建立健全安全評估服務質量評議和信用、能力公示制度,促進行業規范發展。
第六條互聯網新聞信息服務提供者應當建立健全新技術新應用安全評估管理制度和保障制度,按照本規定要求自行組織開展安全評估,為國家和省、自治區、直轄市互聯網信息辦公室組織開展安全評估提供必要的配合,并及時完成整改。
第七條有下列情形之一的,互聯網新聞信息服務提供者應當自行組織開展新技術新應用安全評估,編制書面安全評估報告,并對評估結果負責:
(一)應用新技術、調整增設具有新聞輿論屬性或社會動員能力的應用功能的;
(二)新技術、新應用功能在用戶規模、功能屬性、技術實現方式、基礎資源配置等方面的改變導致新聞輿論屬性或社會動員能力發生重大變化的。
國家互聯網信息辦公室適時新技術新應用安全評估目錄,供互聯網新聞信息服務提供者自行組織開展安全評估參考。
第八條互聯網新聞信息服務提供者按照本規定第七條自行組織開展新技術新應用安全評估,發現存在安全風險的,應當及時整改,直至消除相關安全風險。
按照本規定第七條規定自行組織開展安全評估的,應當在應用新技術、調整增設應用功能前完成評估。
第九條互聯網新聞信息服務提供者按照本規定第八條自行組織開展新技術新應用安全評估后,應當自安全評估完成之日起10個工作日內報請國家或者省、自治區、直轄市互聯網信息辦公室組織開展安全評估。
第十條報請國家或者省、自治區、直轄市互聯網信息辦公室組織開展新技術新應用安全評估,報請主體為中央新聞單位或者中央新聞宣傳部門主管的單位的,由國家互聯網信息辦公室組織開展安全評估;報請主體為地方新聞單位或者地方新聞宣傳部門主管的單位的,由省、自治區、直轄市互聯網信息辦公室組織開展安全評估;報請主體為其他單位的,經所在地省、自治區、直轄市互聯網信息辦公室組織開展安全評估后,將評估材料及意見報國家互聯網信息辦公室審核后形成安全評估報告。
第十一條互聯網新聞信息服務提供者報請國家或者省、自治區、直轄市互聯網信息辦公室組織開展新技術新應用安全評估,應當提供下列材料,并對提供材料的真實性負責:
(一)服務方案(包括服務項目、服務方式、業務形式、服務范圍等);
(二)產品(服務)的主要功能和主要業務流程,系統組成(主要軟硬件系統的種類、品牌、版本、部署位置等概要介紹);
(三)產品(服務)配套的信息安全管理制度和技術保障措施;
(四)自行組織開展并完成的安全評估報告;
(五)其他開展安全評估所需的必要材料。
第十二條國家和省、自治區、直轄市互聯網信息辦公室應當自材料齊備之日起45個工作日內組織完成新技術新應用安全評估。
國家和省、自治區、直轄市互聯網信息辦公室可以采取書面確認、實地核查、網絡監測等方式對報請材料進行進一步核實,服務提供者應予配合。
國家和省、自治區、直轄市互聯網信息辦公室組織完成安全評估后,應自行或委托第三方機構編制形成安全評估報告。
第十三條新技術新應用安全評估報告載明的意見認為新技術新應用存在信息安全風險隱患,未能配套必要的安全保障措施手段的,互聯網新聞信息服務提供者應當及時進行整改,直至符合法律法規規章等相關規定和國家強制性標準相關要求。在整改完成前,擬調整增設的新技術新應用不得用于提供互聯網新聞信息服務。
服務提供者拒絕整改,或整改后未達法律法規規章等相關規定和國家強制性標準相關要求,而導致不再符合許可條件的,由國家和省、自治區、直轄市互聯網信息辦公室依據《互聯網新聞信息服務管理規定》第二十三條的規定,責令服務提供者限期改正;逾期仍不符合許可條件的,暫停新聞信息更新;《互聯網新聞信息服務許可證》有效期屆滿仍不符合許可條件的,不予換發許可證。
第十四條組織開展新技術新應用安全評估的相關單位和人員應當對在履行職責中知悉的國家秘密、商業秘密和個人信息嚴格保密,不得泄露、出售或者非法向他人提供。
第十五條國家和省、自治區、直轄市互聯網信息辦公室應當建立主動監測管理制度,對新技術新應用加強監測巡查,強化信息安全風險管理,督導企業主體責任落實。
第十六條互聯網新聞信息服務提供者未按照本規定進行安全評估,違反《互聯網新聞信息服務管理規定》的,由國家和地方互聯網信息辦公室依法予以處罰。
篇2
隨著信息技術的飛速發展和廣泛應用,信息化逐漸滲透到社會各個領域,國家的經營活動也完全處于信息化環境之下。然而信息化的普及也使得人們越來越依賴信息系統,意味著其面對安全威脅時更加脆弱。本文通過介紹信息安全管理軟件,主要闡述了其在企業信息管理中的作用和地位,例舉了信息安全管理軟件在黑莓手機和交通管理中的實際應用,分析了其未來的發展趨勢。
1信息安全管理軟件在實際生活中的應用
1.1信息安全管理軟件在企業管理中的應用
國外常見應用于企業的信息安全管理軟件有ASSET、COBRA、Callio Secum 17799等。ASSET主要通過用戶手動操作對信息系統安全性進行自我評估,生成安全性自我評估報告,從而達到保障信息系統安全性的目的;COBRA通過問卷的方式采集和分析資料,并對組織的風險進行定性分析,最終生成包含已識別風險和推薦措施的評估報告;Callio Sect~是一款幫助企業實施定性的風險評估和認證信息安全管理體系的基于Web的工具。它們有各自的優缺點,其中COBRA和CallioSecum的技術相對成熟,安全性更高,使用范圍也更廣。
國內開發的企業信息安全管理軟件比較少,如今應用得比較廣泛的是由廈門天銳科技有限公司自主研發的綠盾加密軟件,是一套整合了文件自動加密、網絡實時監控、網絡行為管理及內網的軟件系統,為企業信息一體化的安全管理提供解決方案,從源頭保障了數據存儲和使用安全。
信息安全管理軟件在企業中主要起到了保護企業信息資源財產安全、防止企業信息泄露、規范企業員工行為準則、保障企業信息系統得以順暢運行等重要作用,保證企業的價值最大化。
1.2黑莓手機中信息安全管理軟件的設計和實現
在信息化逐漸普及的今天,智能手機也隨之迅猛發展起來,但是人們在享受它帶來的生活樂趣和生活便利的同時,也隨時面臨著個人信息泄露、重要數據丟失、通信不安全等威脅。因此,如何利用信息安全管理軟件避免信息泄露是相關技術人員應該致力研究的方向。
在黑莓手機的安全管理軟件設計中,技術人員采用了很多模塊功能來控制信息的泄露、轉移、傳送等過程,保證了這些過程實施的安全性。例如:當操作模塊受到客戶端發送的銷毀敏感數據的命令時,先在敏感信息模塊對數據進行刪除,再調用通信模塊將執行結果提交到服務器;在加解密模塊,使用RC4算法對所有交互數據進行加密,通過讀取程序預設的通信解密密匙進行解密;短信收發模塊通過調用加解密模塊對短信內容進行加解密,防止短信等信息被不法分子竊聽破解。
合理利用相關信息安全技術手段提高手機通信中的安全管理,能保護公民個人隱私、企業財產安全,但是現在信息安全管理技術發展的并不成熟,相關管理軟件也存在一些漏洞,需要在未來不斷地進步并修復這些可能存在的技術本身的風險和威脅。
1.3信息安全管理軟件在交通管理中的應用實現
在國家公安機關進行交通管理信息化的進程中,有些非法分子使用安全攻擊技術和手段對交通管理信息系統進行攻擊,企圖竊取相關業務軟件,篡改程序代碼謀取利益。這些行為使得交通管理信息安全系統承受著日益沉重的壓力,嚴重危害了交通管理業務的辦理和安全。
公安機關通過安裝點標識、安裝密鑰管理、正式密鑰管理和設置通信機制等技術手段來實現交通管理信息系統的安全管理。安裝點標識通過采集足夠多的信息以對服務器進行認證識別;密鑰管理中,系統通過安裝密鑰、注冊采集標識信息、驗證注冊信息生成正式的密鑰,保證信息的安全性;在系統信息交互過程中使用雙重對稱加密法保證通信的保密性和完整性。通過使用這些信息安全技術和安裝信息安全管理軟件,加強了交通管理業務軟件的安全性,保障了相關業務的順利進行。
2信息安全管理軟件的現狀及發展趨勢
2.1國內信息安全管理軟件的發展現狀
我國近幾年來雖然大力引入信息化,注重信息化管理,但是由于自身信息化技術不完備、觀念不清、試驗尚不成熟等原因,加上信息化隨之引起的信息安全問題,國內信息化產業發展得并不順暢。很多企業在面臨信息安全風險時,更傾向于使用國外的信息安全管理軟件,因為它們的功能更強大、界面更友好、技術更成熟。這就導致了國內信息安全管理軟件并沒有得到一個很好的環境來開發或者發展,這是現階段我們應該認識到并值得注意的問題。
2.2國內信息安全管理軟件的發展趨勢
IT新技術的高速發展和攻擊手段的不斷變化,使得信息安全軟件快速崛起。傳統的信息安全軟件偏重于靜態的封閉的自我保護,隨著攻擊者手段的不斷變化和信息安全事故的損失之慘痛,未來的信息安全軟件將朝著動態變化主動出擊發展。預測未來應急相應技術、攻擊取證、攻擊陷阱、入侵容忍和自動恢復將成為信息安全發展的熱門。信息安全軟件也將避開基于特征的防御難題,轉向基于行為的防護。另外,信息安全軟件的保護環境也將覆蓋到內網。人們往往認為黑客的攻擊來源于外網用戶,而忽略了內網用戶對內網結構、防范部署了解更深,因此,內網用戶的攻擊和誤操作也會給整個網絡帶來巨大的傷害,因此未來的信息安全軟件將逐步消除這一安全盲區。
未來的信息安全軟件可能仍然會側重于基礎軟件的完善,如通信協議軟件、操作系統、數據庫、通用辦公軟件和中間件。基礎軟件一旦存在安全漏洞,將會造成毀滅性的傷害。因此軟件安全工程、軟件功能可信性驗證、軟件漏洞自動分析工具、軟件完整性保護方法,都是未來軟件的發展新動力。安全軟件的應用重點領域也將仍然是:政府、軍隊、能源、銀行、電信。其中證券、交通、教育、制造對于等新興企業需求日趨強勁。信用卡的信息安全問題日趨嚴重,我國銀行信用卡發行超過4億張,但據調查,銀行客戶信用卡泄露情況非常嚴重,甚至在網絡上形成公開販賣之勢。信用卡領域信息安全也會成為信息安全市場的新興產業。
未來中國信息安全市場整體仍然保持20%的年平均增長率,網絡信息安全行業的市場規模,有望達到300億元。
3結論
目前信息安全管理軟件發展還不是很完備,信息安全這條路還需要進行不斷探索發展。國家需要信息技術和科學管理方面的人才,為指導和指揮我國信息安全產業發展提供堅實有力的基礎。信息安全管理軟件也勢必會經歷一系列的改革淘汰,最終形成成熟的技術體系。
篇3
【 關鍵詞 】 物聯網;信息安全;檢測體系
1 引言
隨著國家信息網絡基礎設施基本完成,信息化應用全面展開,物聯網廣泛應用于公共事業/服務、交通運輸、個人用戶、批發零售、工業、制造業、商業、服務業、農業、建筑業、金融業等。目前來看,物聯網雖然給人們帶來便利,但物聯網在信息安全方面還存在一定的局限性。一是存在信號受到干擾的可能。如果安置在物品上的傳感設備信號受到惡意干擾,很容易造成重要物品損失以及重要信息被篡改、丟失的隱患。二是惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過了相關安全技術的防范,對物聯網的授權管理進行惡意操作,掌控他人的物品,就會造成對用戶隱私權的侵犯。如果爆炸物、槍支等危險物品被其它人掌控,后果會十分嚴重。因此,物聯網安全問題如果得不到有效解決,將嚴重阻礙物聯網產業發展。由于物聯網感知節點和傳輸設備具有能量低、計算能力差、運行環境惡劣、通信協議龐雜等特點,使得傳統安全技術無法直接應用于物聯網,由此引發物聯網特有的安全問題,而物聯網安全技術和安全狀況缺乏有效的檢測和評價手段。
我國政策環境較好,物聯網已成為國家發展戰略,初步明確了未來發展方向和重點領域。國家高度重視物聯網安全建設。2013年初,國務院了《關于推進物聯網有序健康發展的指導意見》(國發[2013]7號)中明確提出以工業和信息化部、發展改革委、公安部牽頭承擔物聯網安全保障專項行動計劃:提高物聯網信息安全管理與數據保護水平,建立健全監督、檢查和安全評估機制。加強物聯網重要應用和系統的安全測評、風險評估和安全防護工作。加快物聯網相關標準、檢測、認證等公共服務建設,完善支撐服務體系,有效保障物聯網信息采集、傳輸、處理、應用等各環節的安全可控。
2 物聯網一體化安全檢測體系
各類物聯網示范工程進行大規模應用之前,應充分考慮和評測其安全性,從源頭保證物聯網安全措施有效性、功能符合性、安全管理的全面性以及給出安全防護評估。在建設實施階段,將所有的安全功能模塊(產品)集成為一個完整的系統后,需要檢查集成出的系統是否符合要求,測試并評估安全措施在整個系統中實施的有效性,跟蹤安全保障機制并發現漏洞,完成系統的運行程序和全生命期安的安全風險評估報告。在運行維護階段,要定期進行安全性檢測和風險評估以保證系統的安全水平在運行期間不會下降,包括檢查產品的升級和系統打補丁情況,檢測系統的安全性能,檢測新安全攻擊、新威脅以及其它與安全風險有關的因素,評估系統改動對安全系統造成的影響。
物聯網關鍵安全問題:一是感知設備安全;二是物聯網系統安全和風險評估,重點是接入問題;三是業務應用安全。目前,各行業均提出了相應的安全防護體系,如智能電網系統、工業控制系統等。本文依據相關的安全防護體系提出物聯網一體化安全檢測體系,即“一中心、兩庫、五平臺”,如圖1所示。即開放式場景檢測支撐平臺、感知設備安全檢測服務平臺、物聯網系統安全檢測服務平臺、物聯網系統風險評估服務平臺、物聯網集成化安全管理檢查服務平臺、物聯網安全檢測標準及指標庫、物聯網信息安全漏洞與補丁庫以及一體化安全檢測管理中心。在此基礎上,結合物聯網具體業務需求,進行物聯網安全檢測方法、規范、指標體系、專業化檢測技術研究與積累。同時,形成一支服務于物聯網安全檢測的多層次、復合型、專業化人才隊伍,全面保障物聯網系統安全穩定運行。
3 “五平臺”
“五平臺”提供檢測、檢查和評估三類專業化服務,其中物聯網集成化安全管理檢查服務平臺可作為獨立平臺對外提供檢查服務;開放式場景檢測支撐平臺為感知設備安全檢測服務平臺與物聯網系統安全檢測服務平臺提供安全符合性檢測環境,此三個平臺提供技術檢測服務;物聯網系統風險評估服務平臺在前述四個平臺基礎上,關聯外在威脅,分析自身脆弱性,提供風險評估服務。“五平臺”結構關系如圖2所示,“五平臺”既可獨立提供檢測服務,也可互為補充,為用戶提供定制化的檢測服務,形成開放式檢測服務體系架構。
3.1 開放式場景檢測支撐平臺
開放式場景檢測支撐平臺實現物聯網感知設備、接入系統、業務應用三層檢測環境,如圖3所示。通過多部件的靈活組建,實現其感、傳、知、用的安全功能檢測,靈活支持用戶個性化的檢測需求。
3.2 感知設備安全檢測服務平臺
感知設備安全檢測服務平臺實現一個通用的感知設備安全檢測系統,由開放式場景檢測支撐平臺為被測設備提供運行檢測環境,其從感知操作安全、感知數據處理安全、感知數據存儲安全和感知節點設備安全、感知節點通信安全等五方面檢測安全功能和性能,其檢測框架如圖4所示。
3.3 物聯網系統安全檢測服務平臺
物聯網系統安全檢測服務平臺以系統、整體的視角對智能感知層訪問控制、身份認證等策略配置進行符合性測試;對接入傳輸層的AKA機制的一致性或兼容性、跨域認證和跨網絡認證等進行檢測;對業務應用層數據庫安全、應用系統和網站安全、應用系統穩定性、業務連續性等進行符合性和有效性檢測。檢測框架如圖5所示。
3.4 物聯網系統風險評估服務平臺
物聯網系統風險評估服務平臺對可能遭受到的威脅和自身脆弱性進行安全分析,然后根據安全事件的可能性以及安全事件造成的損失計算出風險值、對安全事件進行風險等級定級,最后結合安全事件所涉及的資產價值來判斷安全事件一旦發生對物聯網系統造成的影響。風險評估框架如圖6所示。
3.5 集成化安全管理檢查服務平臺
集成化安全管理檢查服務基于物聯網多類型終端、多網融合、海量數據處理和全面感知等特點。從防范阻止、檢測發現、應急處置、審計追查和集中管控五個方面,對物聯網系統智能感知層、接入傳輸層和業務應用層的安全管理情況進行檢查,其安全管理檢查框架如圖7所示。
4 “兩庫”
4.1 標準及指標庫
基礎庫“標準及指標庫”通過構建物聯網安全檢測標準子庫與指標子庫為“五平臺”提供支撐。標準子庫建設來源:一是從物聯網國際標準組織IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解國際最新標準,研究制訂適合國情的物聯網標準;二是從國內標準組織:WGSN、CCSA和RFID標準工作組獲取最新標準;三是隨著業務開展,編制了物聯網安全標準。物聯網一體化安全檢測標準體系框架,按照標準服務性質的區分,分為物聯網產品安全檢測標準、物聯網系統安全檢測標準、物聯網風險評估標準以及集成化安全管理檢查標準。其框架如圖8所示。
指標庫為各種類型的被測設備和系統提供相應的檢測指標項目,同時支持用戶自定義新的檢測指標。指標庫依據各服務平臺檢測內容劃分四類,即物聯網產品檢測指標、物聯網系統安全檢測指標、物聯網風險評估指標以及集成化管理檢查指標。其涵蓋功能檢測、性能檢測、抗毀性檢測、符合性檢測、有效性檢測和可用性檢測等指標。
4.2 漏洞與補丁庫
漏洞與補丁庫采用云存儲方式,包括海量數據融合漏洞,TinyOS操作系統漏洞,異構網絡認證協議漏洞,感知信息傳輸協議漏洞等。 漏洞與補丁庫一方面為產品、系統檢測,風險評估、安全檢查提供支撐服務,另一方面對外提供咨詢服務,網上漏洞信息,定制客戶漏洞處理方案,提供漏洞補丁和專用殺毒工具下載等。
5 “一中心”
一體化安全檢測管理中心完成上述“二庫、五平臺”的互聯互通和信息共享,實現檢測項目統一管理,檢測數據統一匯總,檢測結果統一判定,形成感知設備檢測報告、物聯網系統檢測報告、物聯網系統風險評估報告以及集成化安全管理檢查報告等。
一體化安全檢測管理中心由項目管理、場景管理、感知設備檢測、系統檢測、風險評估、集成化安全管理檢查、工具集、基礎庫管理八個核心模塊組成,整個平臺由項目庫、標準及指標庫、方法庫、漏洞與補丁庫四個數據庫支撐,管理中心框架設計如圖9所示。
6 技術特點
(1)提供開放式檢測環境
物聯網應用的廣泛性和復雜性,僅依賴單一場景無法滿足客戶的多層次需求,通過開放式檢測環境,可實現感知設備、接入方式、業務應用的檢測環境,使得檢測手段更豐富、更精準。
(2)提供多類型、多元化的檢測
一體化安全檢測體系通過感知設備檢測、系統檢測、風險評估、管理檢查的一體化檢測服務,提品檢測和系統檢測、實驗室檢測和現場檢測服務,滿足物聯網復雜多變的檢測需求,使得安全檢測更全面性,幫助客戶準確評估物聯網安全性。
(3)提供技術與管理全方位檢測
物聯網安全包含技術與管理兩方面,技術與管理并重,本體系通過“五平臺”實現產品、系統技術類檢測/風險評估與安全管理檢查,全方位、整體評估物聯網安全性。
(4)提供技術符合性和關聯外在風險評估相支撐的檢測
物聯網安全問題是動態發展的,在安全技術符合性檢測的基礎上,提供適用于動態評估物聯網工程的風險評估服務。風險評估旨在通過關聯外在風險,結合自身脆弱性評估系統和工程的安全性,與技術符合性檢測相支撐。
(5)提供一體化服務模式
提供一個靈活、規范的信息組織管理平臺和全網范圍的網絡協作環境,實現集成的信息采集、內容管理、信息搜索,能夠直接組織各類共享信息和內部業務基礎信息,實現信息整合應用,同時也提供管理中心支撐下的統一項目管理、統一數據匯總、統一結果判定的一體化服務系統。
7 結束語
目前,我國政策環境好,物聯網已成為國家發展戰略,初步明確了未來發展方向和重點領域,但產業和行業標準正在建立,是機遇也是挑戰。經濟環境上,中國企業正在隨著國家的快速發展,持續提升競爭力和國際影響力,對物聯網安全性的需求逐步增強,企業對物聯網安全問題的認知提高,經濟支付能力也在增強。通過對各行業物聯網建設方面的調查發現,當前已有的物聯網應用對其安全性的檢測和技術支持需求十分迫切,物聯網安全檢測產業市場前景樂觀。
上述“一中心、二庫、五平臺”形成專業的平臺,加上精專的人才、全面的服務內容和敏捷的反應,構建物聯網一體化安全檢測專業化服務體系架構。從而提升價值、方便客戶、節約成本、提高效率,滿足物聯網安全檢測集成化、規模化的需求。
參考文獻
[1] T Grobler, Prof B Louwrens. New Information Security Architecture[J]. 2005, University of Johannesburg.
[2] 范紅, 邵華等. 物聯網安全技術體系研究[J].第26次全國計算機安全學術交流會,2011(09),5-8.
[3] 譚建平, 柔衛國等. 基于物聯網的一體化安全防范技術體系研究[J].湖南理工學院學報, 2011,第24卷 第4期 46-51.
[4] Jackie Rees, Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM, Volume 46 Issue7, 2003, P101-106.
[5] 郎為民,楊德鵬,李虎生.智能電網WCSN安全體系架構研究[J].信息網絡安全,2012,(04):19-22.
[6] 余勇,林為民.工業控制SCADA系統的信息安全防護體系研究[J].信息網絡安全,2012,(05):74-77.
基金項目:
國家863高技術研究發展計劃資助項目(2009AA01Z437)和國家863高技術研究發展計劃資助項目(2009AA01Z439)。
篇4
根據國內一些網絡安全研究機構的資料,國內大部分的ISP、ICP、IT 公司、政府、教育和科研機構等都沒有精力對網絡安全進行必要的人力和物力投入;很多重要站點的管理員都是Internet 的新手,一些操作系統如UNIX,在那些有經驗的系統管理員的配置下尚且有缺陷,在這些新手的操作中更是漏洞百出。很多服務器至少有三種以上的漏洞可以使入侵者獲取系統的最高控制權。
為了使廣大用戶對自己的網絡系統安全現狀有一個清醒的認識,同時提高對信息安全概念的了解和認識,強化網絡系統安全性能,首創網絡近日向用戶推出免費安全掃描服務活動。
評估主機范圍
Capitalnet技術支持中心在開展此次活動之前得到了客戶的書面授權。活動中,根據客戶提供的IP地址,并按照客戶指定的時間,對包括網絡設備和應用服務器等在內的主機系統進行安全評估。
評估時間和方式
此次活動持續兩個月時間,由7月1日開始,到8月31日結束。在活動期間,首創網絡技術支持中心安全產品組的專家們在與用戶達成共識的前提下,利用專業的安全評估工具,對客戶網絡信息系統中的重點環節進行了全方位的安全掃描,并根據掃描結果產生了安全評估報告,提交給客戶。客戶可以根據這一安全評估報告充分了解自己信息系統的安全情況,進而采取相應的安全應對措施,從而提高網絡系統安全性。
評估單位分布
此次評估活動共收到IP地址93個,分別來自不同行業的34家單位。這些單位分別屬于多種行業部門。
評估主機分類
93個IP地址基本代表93臺主機,分別為各個單位提供不同的信息化應用。如:WEB、Datebase、Mail等常見應用和防火墻等特殊應用。
評估漏洞分布
在93臺主機提供的各種信息應用中,都存在這樣或那樣的漏洞,此次評估都漏洞的風險分為三種:高風險漏洞、中風險漏洞、低風險漏洞。
參照標準為:
高風險漏洞代表該漏洞可以使攻擊者可以得到該主機的最高權限或中斷網絡服務;
中風險漏洞代表該漏洞可以獲取主機信息,有助于攻擊者進一步攻擊,或存在潛在致命漏洞;
低風險漏洞代表該漏洞會間接影響系統服務的正常運行。
評估漏洞類型
本次掃描活動主要采用了三星信息安全公司的安全評估工具SecuiScan,但為了真實反映客戶的漏洞存在情況,也結合了其它著名的安全評估工具,為俄羅斯著名安全評估軟件Shadow Security Scanner和著名的自由軟件Nessus。在工具評估后,根據提供的分析報告來人工檢查證實漏洞的真實性,并在不破壞客戶主機正常運行的情況下得出令客戶信服的評估結果。
評估發現,很多存在漏洞的主機都是一些常見的配置錯誤和已經公布的漏洞,而且針對這些漏洞的攻擊工具很容易被惡意的攻擊者獲取。這些漏洞分布如下圖:
評估漏洞說明
1. 弱口令攻擊:不少網站的管理員賬號密碼、ftp 賬號密碼、Sql 賬號密碼等都使用很簡單的或是很容易猜測到的字母或數字,利用現有的家用PIII 機器配合編寫恰當的破解軟件足以在短時間內輕松破解,一旦口令被破解,網站就意味著被攻破。
2. Unicode 編碼漏洞攻擊:對于Windows NT4.0 和Windows 2000 來說都存在有該漏洞,利用該漏洞遠程用戶可以在服務器上以匿名賬號來執行程序或命令,從而輕易就可達到遍歷硬盤、刪除文件、更換主頁和提升權限等目的,實施方法簡單,僅僅擁有一個瀏覽器就可實施。
3. ASP 源碼泄漏和MS SQL Server 攻擊:通過向web 服務器請求精心構造的特殊的url 就可以看到不應該看到的asp 程序的全部或部分源代碼,進而取得諸如MS SQL Server 的管理員sa 的密碼,再利用存儲過程xp_cmdshell 就可遠程以SYSTEM 賬號在服務器上任意執行程序或命令,事實上,MS SQL Server 默認安裝的管理員sa 的密碼為空,并且大多數系統管理員的確沒有重新設定為新的復雜密碼,這直接就留下了嚴重的安全隱患。
4. IIS 緩沖溢出攻擊:對于IIS4.0 和IIS5.0 來說都存在有嚴重的緩沖溢出漏洞,利用該漏洞遠程用戶可以以具有管理員權限的SYSTEM 賬號在服務器上任意執行程序或命令,極具危險性。實施較為復雜,但是可以獲得這種攻擊的傻瓜攻擊軟件。這種攻擊主要存在于Windows NT 和2000 系統中。
5. BIND 緩沖溢出攻擊:在最新版本的Bind 以前的版本中都存在有嚴重的緩沖溢出漏洞,可以導致遠程用戶直接以root 權限在服務器上執行程序或命令,極具危險性。但由于操作和實施較為復雜,一般也為黑客高手所用。這種攻擊主要存在于Linux、BSDI 和Solaris 等系統中。
6. 其他攻擊手法:還有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻擊的手段,但在這次評估活動中表現的不是非常明顯。
整體安全評估報告
主機系統的安全評估主要在于分析主機系統存在的安全弱點和確定可能存在的威脅和風險,并且針對這些弱點、威脅和風險提出解決方案。
主機存在安全弱點
安全弱點和信息資產緊密相連,它可能被威脅利用、引起資產損失或傷害。但是,安全弱點本身不會造成損失,它只是一種條件或環境、可能導致被威脅利用而造成資產損失。安全弱點的出現有各種原因,例如可能是軟件開發過程中的質量問題,也可能是系統管理員配置方面的,也可能是管理方面的。但是,它們的共同特性就是給攻擊者提供了對主機系統或者其他信息系統進行攻擊的機會。
經過對這些主機系統和防火墻的掃描記錄分析,我們發現目前該網絡中的主機系統主要弱點集中在以下幾個方面:
1 .系統自身存在的弱點
對于商業UNIX 系統的補丁更新不及時,沒有安全配置過,系統還是運行在默認的安裝狀態非常危險。對NT/2000 的服務器系統,雖然補丁更新的比及時,但是配置上存在很大安全隱患,用戶的密碼口令的強度非常低很多還在使用默認的弱口令,網絡攻擊者可以非常輕易的接管整個服務器。另外存在IPC$這樣的匿名共享會泄露很多服務器的敏感信息。
2 .系統管理存在的弱點
在系統管理上缺乏統一的管理策略,比如缺乏對用戶輪廓文件(Profile )的支持。在系統中存在空口令的Guest 組的用戶,這些用戶有的是系統默認的Guest用戶,有的是IIS 和SQL 服務器的默認安裝用戶。這些用戶有些是被系統禁用的,如Guest ,有些則沒有,沒有被禁用的這些賬號可能被利用進入系統。
3 .數據庫系統的弱點
數據庫系統的用戶權限和執行外部系統指令是該系統最大的安全弱點,由于未對數據庫做明顯的安全措施,望進一步對數據庫做最新的升級補丁。
4 .來自周邊機器的威脅
手工測試發現部分周邊機器明顯存在嚴重安全漏洞,來自周邊機器的安全弱點(比如可能使用同樣的密碼等等)可能是影響網絡的最大威脅。
主機存在的威脅和風險
安全威脅是一種對系統、組織及其資產構成潛在破壞能力的可能性因素或者事件。產生安全威脅的主要因素可以分為人為因素和環境因素。人為因素包括有意的和無意的因素。環境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對企業信息直接或間接的攻擊,例如非授權的泄露、篡改、刪除等,在機密性、完整性或可用性等方面造成損害。威脅也可能源于偶發的、或蓄意的事件。一般來說,威脅總是要利用企業網絡中的系統、應用或服務的弱點才可能成功地對資產造成傷害。因此威脅分析是圍繞信息系統的可用性、保密性、完整性、可控性、可審查性、抗抵賴性進行的。
安全風險則是一種可能性,是指某個威脅利用弱點引起某項信息資產或一組信息資產的損害,從而直接地或間接地引起企業或機構的損害的可能性。
在這次評估中,主機系統存在的威脅和及其產生的安全風險主要有以下幾個方面:
1. 針對主機的攻擊威脅
包括針對Windows NT 系統及其開放的系統服務的安全弱點攻擊威脅,攻擊者可能由此獲取系統的信息資源或者對系統信息進行破壞。
2. 針對數據庫的攻擊威脅
包括在對數據庫系統的攻擊行為,包括非法獲取、篡改、刪除數據庫信息資源和進行其他形式的服務攻擊。
3. 管理不當所引起的安全威脅
包括由于用戶管理策略不當使得攻擊者可能獲取某一級別的用戶的訪問權限,并由此提升用戶權限,造成用戶權限的濫用和信息資源的泄漏、損毀等;由于采用遠程管理而引發的威脅;缺乏足夠的安全審計致使對安全事件不敏感,無法發現攻擊行為等。
4. 配置不當所引起的安全威脅
包括在主機系統上開放了未做安全防范的服務如IPC$共享所造成的安全威脅等。
網絡安全建議
建議把提供網絡服務的程序升級到最新版本,關注網絡安全通告,或由首創為客戶提供全面、周到、專業的網絡安全服務。
總 結
此次活動歷時兩個月時間,為34家客戶的93臺主機提供了全面的安全掃描服務,并將最終的掃描結果提供給了客戶。
通過此次活動,我們發現所有的客戶主機都或多或少存在著各種風險度的安全漏洞,安全現狀不容樂觀。其實在這些客戶所暴露出來的漏洞中,絕大多數都是已經有了解決辦法的,只要做一些簡單的升級或安裝補丁就可以解決。另外,我們還發現,有的客戶使用了一些安全產品,但卻由于使用不當,反而引入了更多的安全漏洞。另外,客戶的信息系統普遍也缺乏良好合理的安全規劃和管理,從而使得其自身的系統對外呈現了很多本不應該出現的漏洞,給外界入侵提供了便利的條件。
我們認為出現這樣的問題主要有這樣一些原因:
客戶普遍還缺乏安全意識,不知道自己其實面臨很大的危險;專業知識不夠,不知如何解決安全問題;對安全產品的選擇、使用和設置不當;沒有合理的安全管理策略和機制。
針對這樣一些原因,有些相對容易解決,有些則要困難一些。在首創網絡通過自身的努力,在信息安全領域里不斷追求更高的技術水準和服務水準,力爭在競爭日益激烈的今天,面對不斷復雜的信息安全形勢,從容面對,為客戶提供更加完美的產品和服務。
(本報告由首創網絡提供,內容有刪節)
“首創網絡安全調查”帶來的啟示
本刊記者 曹 玫
近日,首創網絡針對我國企
業網絡安全現狀,對來自
34個不同行業用戶的93臺主機的網絡信息系統進行了抽樣調查,結果是100%的用戶的主機都存在不同程度的安全問題。這個數字不能不讓我們吃驚,網絡現狀讓人擔擾。
隨著企業信息化、電子政務的進一步推進,對網絡安全的要求與過去已不可同日而語。但信息化在我國剛剛起步,企業對網絡安全的意識和認知尚待培育。
本刊記者就首創的網絡安全評估活動采訪了中國國家信息安全測評認證中心計算機測評中心常務副主任翁正軍女士,她認為:“首創這次的評估活動值得肯定。這類的網絡安全評估如果經常性的進行,對用戶了解自身的安全風險非常有益”
另外,翁女士還提醒道:“針對網絡和系統的脆弱性評估,有可能對被測系統造成損害。當然,不一定是測試本身的問題,而是被測系統太脆弱。但是不管怎么樣,都要讓用戶事先知道風險的存在,并且通過恰當的安排盡力回避這些風險”。
安全意識 攜手培育
網絡安全是“三分技術,七分管理”,從首創的報告中可以看出,造成網絡漏洞的原因基本上是管理的忽視和疏漏。
已認識到IT系統重要性的大型企業和跨國企業,雖有一些機房和系統的不很細化的管理制度,但大部分也只限于書面文字的約束而已,沒有強有力的監督實施手段和相應的管理人員;大部分的中小企業甚至沒有把網絡安全提升到管理的層面,還只是停留在購買一些低端的安全設備上,當然對于國內的中小企業采取何種安全模式仍是專家和安全服務提供商們爭論的熱點問題。
管理問題追溯其根源,還是企業的意識問題,安全意識的加強和培育是需要政府或行業主管單位、安全廠商和用戶自身共同努力來實現的。
如政府和行業主管要加大政策和法令的宣傳力度,改變政策和相關標準滯后的現狀,一方面,用戶有相關的政策和標準來衡量網絡安全廠商提供給他們的產品和服務是否符合國家標準,做到有據可依。另一方面,安全廠商有了相關條例和行業標準,在為用戶構建網絡平臺和生產安全產品時,把各種安全隱患降減到最小程度,做到了有法必依。
安全廠商在培育用戶的安全意識方面,毫無疑問,充當著主力軍的角色,目前,我國的網絡安全意識尚處于萌芽階段,因此對用戶意識的培育應屬于安全廠商市場戰略和規劃的一部分,只有大家共同把這塊蛋糕做大,網絡安全廣闊的市場才會在短時間內形成規模。
從用戶自身的角度來講,“船到江心才補漏”是需要付出不可估量的代價的,網絡數據的迅速增長,單靠一些低端的安全設備已遠遠難以維護系統和網絡安全。總的來說,要改善和加強管理力度,必須提高企業的安全意識.
網絡測試 謹慎評估
做安全測試,一定要做非常細化的風險評估策略,首先要確定企業哪些資源需要保護,并根據保護成本與如果事件發生前不采取行動需付出的代價之間的平衡制定評估方案,檢測后要確定企業具體環境下到底存在哪些安全漏洞和安全隱患,一旦這些漏洞被黑客利用會造成哪些風險和破壞。
最后綜合對各種風險因素的評價,明確網絡系統的安全現狀,確定網絡系統中安全的最薄弱環節,從而改進網絡的安全性能。所以檢測之前與之后的評估是非常重要的。全面的網絡系統的漏洞評估應該包括對網絡的漏洞評估、對系統主機的漏洞評估以及對數據庫系統的漏洞評估三個方面。首創的安全評估屬于對系統主機的漏洞的評估,測試的安全風險相對要小一些。
測試不是目的,制定相應的安全策略并徹底解決用戶存在的安全問題,才是我們的愿望。
首創的安全測試為我們敲醒了警鐘,加強安全意識已成為企業高層迫切需要正確對待的問題。
企業信息安全意識有待覺醒
本刊記者 陳 慧
為了解客戶的安全現狀,并
提高客戶的安全意識,首
創網絡在7月1日到8月31日為期兩個月的時間內為34家客戶的93臺主機提供了免費遠程安全掃描服務。提交的報告結果表明,這些客戶所有的業務部門都或多或少存在著安全漏洞,其中高風險漏洞占42%,中風險漏洞占28%,低風險漏洞達30%。可見這些客戶的信息安全現狀令人堪憂。
面對安全漏洞,
視而不見還是立即行動
“此次掃描主要是針對黑客的攻擊行為,”首創網絡安全產品經理鐘博向記者介紹說,“我們選擇這種遠程的網絡掃描的服務活動比較容易開展,類似于黑客攻擊的第一個階段,還未涉及到內部攻擊。”在發現客戶漏洞之后,首創還可以針對客戶的要求為其提供相應的修補、加固和優化服務、專門的培訓和分析,以及遠程管理和緊急響應等多種全方位的安全服務。
在首創網絡掃描過程中發現的網絡安全漏洞主要涉及到底層的操作系統平臺和應用系統兩個方面。漏洞可能是操作系統帶來的,比如采用Windows操作系統平臺的企業漏洞特別多;也有可能是應用系統本身的問題,比如數據庫、Web系統和ERP應用軟件等等。在應用系統方面,數據庫的漏洞比較多,其中又以SQL Server數據庫的漏洞為甚。對于操作系統的漏洞,大多可通過從網上下載補丁程序的方法加以解決,有些客戶沒有下載補丁程序,因而容易被攻擊。也有客戶把用戶訪問口令設成了空的,也容易被攻擊。這些漏洞本都很容易避免,之所以出現,主要因為應用和管理人員本身安全意識淡薄所導致。
被掃描的首創網絡的IDC和專線客戶,都是經常使用IT設備和網絡應用的,其中,本身業務系統與安全結合不是很緊密的客戶比較容易產生安全漏洞,比如媒體的網站、制造業企業的網站等。在首創網絡的整個掃描服務期間中就出現過這樣的情況。一家傳媒機構的網站被黑客攻擊,其主頁被篡改了。客戶要求首創對其遭到攻擊的主機進行掃描,了解其被攻擊的原因。通過掃描,發現主要原因在于這個傳媒機構把操作系統裝好之后,采取了默認配置,并沒有做安全性增強方面的考慮和設置,其主機上的漏洞都是一些很常見也很容易彌補的。此外,制造業企業涉及到CRM和ERP這樣的系統。總部與分支機構之間經常有大量機密的數據需要交互,對于這樣的企業,如果不做好全面的安全規劃并采取相應的安全手段,也容易對外暴露很多安全漏洞。
面對送過來的掃描結果和漏洞分析,客戶的反應五花八門:有的客戶一接到掃描的結果,發現自己的網絡安全存在這么多的問題,非常著急,立刻要求首創為其提供相應的解決方案;有的客戶要求首創幫助把漏洞堵上;也有客戶說,賣我們一個防火墻吧;還有客戶沒有反應,好像在忙著理順自己的網絡,無暇顧及安全問題。
安全防范,投入多少并采取哪些手段
有兩個問題需要企業考慮清楚,一是企業要保護的信息到底值得投入多少;二是采取什么手段。網絡時代,企業要連接到互聯網上與外部溝通。任何企業無論大小,總是有些信息是不希望被外界知道的,每一個企業都有必要采取一定的手段保護自己的信息,防止被別人竊取、篡改或者破壞。那么企業值得投入多少人力、物力和財力保護信息安全?
篇5
關鍵詞 企業網 信息系統 風險評估
中圖分類號:TP393.08 文獻標識碼:A
一、引言
信息技術在商業上的廣泛應用,使得企業對信息系統的依賴性增大。信息系統風險評估是辨別各種系統的脆弱性及其對系統構成威脅,識別系統中存在的風險,并將這些風險進行定性,定量的分析,最后制定控制和變更措施的過程 。通過安全評估能夠明確企業信息系統的安全威脅,了解企業信息系統的脆弱性,并分析可能由此造成的損失或影響,為滿足企業信息安全需求和降低風險提供必要的依據。
二、安全風險評估的關鍵要素
信息系統安全風險評估的三個關鍵要素是信息資產、威脅、弱點(即脆弱性)。每個要素都有各自的屬性,信息資產的屬性是資產價值。威脅的屬性是威脅發生的可能性,弱點的屬性是弱點被威脅利用后對資產帶來的影響的嚴重程度。
對企業信息系統的本身條件和歷史數據進行整理分析,得到威脅,脆弱點分析如下:
實物資產的脆弱性:對電腦等辦公物品的保護措施不力,辦公場所防范災害措施不力,電纜松動,通訊線路保護缺失。
信息資產的脆弱性:相關技術文檔不全,信息傳輸保護缺失,撥號線路網絡訪問受限,單點故障,網絡管理不力,不受控制的拷貝。
軟件資產的脆弱性:未使用正版穩定軟件。
人員的脆弱性:對外來人員監管不力,安全技術培訓不力,授權使用控制不力,內部員工的道德培訓不力。
三、風險評估過程
風險評估是信息系統安全保障的核心和關鍵。風險評估過程分為風險識別、風險分析和風險管理。
風險識別是分析系統,找出系統的薄弱點和在運行過程中可能存在的風險。為了保證風險分析的的及時性和有效性,管理層面應該有具備豐富風險知識的部門經理、IT人員、關鍵用戶、審計人員和專家顧問,他們能夠幫助快速地指出關鍵風險。
風險分析是對已識別的風險進行分析,確定各個風險可能造成的影響和損失,并按照其造成的影響和損失大小進行排序,得到風險的級別。風險分析有助于企業就安全項目和構成該項目的安全組成部分編制正確的預算,有助于將安全項目的目標與企業的業務目標和要求結合起來。
風險管理是由以上步驟得到的結果,制定相應的保護措施。通過實施在評估階段創建的各種計劃,并用這些計劃來創建新的安全策略,在完成補救措施策略的開發和相關系統管理的更改,并且確定其有效性的策略和過程已經寫好之后,即進行安全風險補救措施測試。在測試過程中,將按照安全風險的控制效果來評估對策的有效性。
四、評估系統的設計
(一)評估系統的體系結構和運行環境。
該評估系統主要采用B/S/S三層體系結構,即包括客戶端、應用服務器、數據庫服務器三部分。其結構示意圖如圖1所示:其中,客戶端通過Web瀏覽器訪問應用服務器,在Web頁面的引導下指導用戶與評估人員進行風險識別、數據收集,并顯示最后的評估結果。同時豐富的在線幫助信息又為用戶及評估人員參與風險評估以及管理員進行系統維護提供了很好的在線支持,系統管理員也可以利用任意一臺客戶端登錄管理帳號對系統數據庫進行權限范圍內的維護。管理者需了解部門、員工及資產總體情況,明確風險種類及大小,并以知識庫的形式,為如何處置風險提供了一些解決方案。面向評估人員的功能模塊,展示了本部門目前面臨的威脅和薄弱點情況,幫助評估人員明確風險。相比而言,該模塊更主要的功能,是協助上報本部門的人員及資產信息,以滿足評估需要。
圖1 評估系統體系結構
應用服務器處理收集到的風險信息,并采取多種手段,利用綜合評估算法 ,完成信息系統安全風險評估,并實時將執行結果返回給客戶端Web瀏覽器。應用服務器配置了系統運行所需要的Web服務器程序以及Web站點頁面文件,我們選擇動態網頁編程技術對系統的Web站點頁面文件進行編碼和開發。數據庫服務器上配置了系統運行所需要的SQL Server數據庫管理程序以及系統數據庫資源,通過Web服務器與客戶端實現實時數據交互。
(二)工作流程設計
首先,對信息系統進行風險數據采集,用戶填寫由評估單位制定的評估申請,將信息系統按具體情況進行分類,同時利用漏洞掃描器、正反向工具從技術角度了解系統的安全配置和運行的應用服務,使得評估人員從整體上了解該信息系統及其評估重點,并針對系統業務特點進行裁剪;接下來,在前面所做的工作的基礎上,圍繞著系統所承載的業務對數據進行資產、威脅、脆弱性分析;最后,依據發生的可能性及對系統業務造成的影響對識別的風險進行分類,利用定性和定量的評估算法以及消除主觀性的各種算法,對風險識別中獲得的風險信息進行風險綜合評估,并在整體和局部、管理和技術風險評估的基礎上,生成評估報告。
(三)數據庫設計
該系統的數據庫由企業信息庫、知識庫、評估標準庫和評估方法庫組成,采用SQL Server數據庫管理系統作為該數據庫的開發和運行平臺,其中:企業信息庫存儲的是有關企業信息系統的基本信息;評估方法庫存儲了針對所設計的評估結構所采用的評估方法集合;知識庫存儲的是以往已評估系統的完整評估資料,可以為當前的風險評估提供可借鑒的經驗;在數據庫設計中評估標準庫是幾個庫中最重要也是工作量最大的部分,該庫涵蓋了各評估標準的評估要素,即遵從標準,又針對各行業的業務特點,提供了靈活的數據結構。
(四)網站內容風險算法。
對風險進行計算,需要確定影響的風險要素、要素之間的組合方式、以及具體的計算方法。將風險要素按照組合方式使用具體的計算方法進行計算,得到風險值。目前通用的風險評估中風險值計算涉及的風險要素一般為資產、威脅、和脆弱性。由威脅和脆弱性確定安全事件發生的可能性,由資產和脆弱性確定安全事件的損失;由安全事件發生的可能性和安全事件的損失確定風險值。目前,常用的計算方法是矩陣法和相乘法。
五、總結
網絡技術的發展在加速信息交流與共享的同時,也加大了網絡信息安全事故發生的可能性。對企業信息系統進行風險評估,可以了解其安全風險,評估這些風險可能帶來的安全威脅與影響程度,為安全策略的確定、信息系統的建立及安全運行提供依據,給用戶提供信息技術產品和系統可靠性的信心,增強產品、企業的競爭力。
(作者:武漢職業技術學院計算機系教師,碩士,研究方向:計算機網絡及其應用、信息安全)
注釋:
篇6
2013年國家信息安全專項有關事項的通知
發改辦高技[2013]1965號
工業和信息化部、公安部、安全部、質檢總局、中科院、國家保密局、國家密碼局辦公廳(室),各省、自治區、直轄市及計劃單列市、新疆生產建設兵團發展改革委,相關中央直屬企業:
為了貫徹落實《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》(國發[2012]23號)的工作部署,針對金融、云計算與大數據、信息系統保密管理、工業控制等領域面臨的信息安全實際需要,國家發展改革委決定繼續組織國家信息安全專項。現將有關事項通知如下:
一、專項重點支持領域
(一)信息安全產品產業化
產品自身應具有較高的安全性,不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等國家標準中3級的相關要求。
1、金融信息安全領域
(1)金融領域智能入侵檢測產品。
適用于金融機構電子銀行等應用業務系統,支持IPv4/IPv6環境,具有雙向數據檢測、歷史數據關聯分析、網絡報警數據篩選過濾、反饋測試、自學習和自定義檢測規則、多維度展現,以及攻擊影響分級等功能,吞吐量不低于20Gbps,基于國內外主流特征庫檢測的漏報率低于10%、誤報率低于5%。
(2)高級可持續威脅(APT)安全監測產品。
適用于金融機構的業務網絡和應用系統,支持IPv4/IPv6環境,具有規模化虛擬機或沙箱執行等動態檢測技術的威脅感知功能,具備對各類設備網絡文件傳輸異常行為、漏洞利用行為、未知木馬、隱蔽信道傳輸等多樣性、組合性和持續性攻擊的檢測能力,支持1000個以上的并發檢測能力,基于國內外主流特征庫檢測的漏報率低于5%、誤報率低于10%。
(3)面向電子銀行的Web漏洞掃描產品。
適用于金融機構電子銀行業務系統,具備開放式Web應用程序安全項目(OWASP)通用漏洞的高啟發、高強度、交互式檢測能力,具有漏洞驗證、基于電子銀行系統業務流程的流量錄制重放式的邏輯漏洞分析等功能,基于國內外主流漏洞特征庫掃描的漏報率低于5%、誤報率低于10%。
(4)金融領域應用軟件源代碼安全檢查產品。
適用于金融機構各類業務應用系統,具備適用于金融領域特點、可更新和自定義的安全掃描規則庫,可定制掃描策略,在Linux、Aix、Windows、Android、iOS等環境下,具有對Java、C/C++、C#、JSP、COBOL、VB、Ruby等主流編程語言和.NET、Eclipse、Matlab等集成軟件工具開發的應用系統進行源代碼掃描的功能,對源代碼潛在問題分析給出分級別建議,每小時掃描百萬行以上代碼,基于國內外主流軟件源代碼漏洞特征庫檢測的誤報率低于30%、漏報率低于35%。
2、云計算與大數據信息安全領域
(1)高性能異常流量檢測和清洗產品。
支持IPv4/IPv6環境,適用于云計算和大數據的應用,具備流量牽引和回注、網絡層和應用層攻擊檢測與清洗等功能,支持地址區間的IP保護,可實現對100萬個以上IP地址的異常攻擊流量清洗,啟用全部檢測和清洗功能后,設備整體吞吐量達到100Gbps以上。
(2)云操作系統安全加固和虛擬機安全管理產品。
支持IPv4/IPv6環境,支持虛擬化認證授權、訪問控制和安全審計,具備虛擬機逃逸監控、實時操作監測與控制、防惡意軟件加載和安全隔離等功能,具備1萬臺以上安全可控輕量級虛擬機的安全管理能力。
(3)高速固態盤陣安全存儲產品。
支持IPv4/IPv6環境,具備雙控及冗余保護機制,具有緩存鏡像、掉電保護、采用國家密碼局規定算法的數據加密等功能,支持原生命令隊列(NCQ)技術及多種主流接口協議,單盤持續讀寫性能不低于200MB/s,容量大于512GB,每秒輸入輸出次數(IOPS)大于12,000,單陣列支持500塊以上單盤擴展,響應時間小于800s,非加密通道IOPS大于220,000,加密吞吐量大于1Gb/s。
(4)大數據平臺安全管理產品。
支持IPv4/IPv6環境,具有對不少于3種大數據應用平臺進行漏洞掃描、配置基線檢查、弱口令檢測、版本檢測和補丁管理等功能,可實現大數據去隱私化處理和策略化數據抽取與集成、統一的策略管理、統一事件分析、全文檢索及多維度大數據審計,能夠對用戶訪問敏感信息行為進行報警、阻斷、跟蹤和追溯,關鍵安全策略同時支持結構化與非結構化數據的管理,支持1000萬以上并發業務訪問。
3、信息安全分級保護領域
(1)網絡保密檢查和失泄密核查取證產品。
適用于涉密網和普通業務網絡,支持各類主流操作系統,具備對各種網絡失密泄密事件證據保全、提取和分析的功能,支持只讀方式、多種硬盤接口、DD或AFF等多種鏡像格式,支持已刪除文件、注冊表、分區的恢復,具有自定義策略取證、關鍵詞搜索、2000萬個以上文件并行搜索、加密文件快速檢測的能力,對帶有密級標志的圖形、版式等類型文件識別率大于95%。
(2)特殊木馬檢查產品。
適用于涉密網和普通業務網絡,支持各類主流操作系統,具有已知木馬和未知特殊木馬檢測的能力,具備木馬樣本及其配置信息的提取、特征歸類檢測等功能,能夠定期進行升級,已知木馬檢測準確率為100%,未知特殊木馬檢測準確率大于70%。
(3)涉密信息系統安全保密風險評估軟件產品。
符合涉密信息系統分級保護相關國家保密標準,具備合規性檢測、漏洞掃描等功能,以自動檢測為主、人工判定為輔,評估內容覆蓋涉密信息系統安全保密風險評估全部項目,評估結論準確可靠,能夠自動生成評估報告。
4、工業控制信息安全領域
(1)面向現場設備環境的邊界安全專用網關產品。
支持IPv4/IPv6及工業以太網,適用于集散控制系統(DCS)、數據采集與監視控制系統(SCADA)、現場總線等現場環境,具備5種以上工業控制專有協議以及多種狀態或指令主流格式數據的檢查、過濾、交換、阻斷等功能,數據傳輸可靠性達到100%,可保護節點數不少于500點,設備吞吐量達到線速運行水平,延時小于100ms。
(2)面向集散控制系統(DCS)的異常監測產品。
適用于電廠、石油、化工、供熱、供水等工藝流程,具有對工業控制系統的DCS工程師站組態變更、DCS操作站數據與操控指令變更,以及各種主流現場總線訪問、負載變更、通信行為、異常流量等安全監測能力,具備過程狀態參數、控制信號的閾值檢查與報警功能。
(3)安全采集遠程終端單元(RTU)產品。
支持工業以太網協議,適用于-40℃~+70℃溫度環境,電磁兼容性(EMC)不低于4級,具有內置安全模塊,實現數據采集與監視控制系統(SCADA)軟件端到端的信源加密,具備基于數字證書的安全認證功能,支持基于國家密碼局規定算法的數據加密,加密速率不小于20Mb/s。
(4)工業應用軟件漏洞掃描產品。
適用于石油化工、先進制造領域,具有對符合IEC61131-3標準的控制系統上位機(SCADA/HMI)軟件、DCS控制器嵌入式軟件以及各種主流現場總線離線漏洞掃描能力,具有對數字化設計制造軟件平臺(如產品數據管理PDM、專用數控機床通信軟件eXtremeDNC、高級設計系統ADS等)漏洞掃描能力,具備檢測與發現軟件安全漏洞、評估漏洞安全風險、可視化展示、漏洞修復建議等功能,漏洞檢測率達到90%以上。
(二)重要信息系統安全可控試點示范
1、金融信息安全試點示范
支持商業銀行開展一體化信息安全風險感知體系試點示范,按照信息安全等級保護相關要求,建立銀行系統整體信息安全風險感知預警、網點集中管控的防護體系,完善災備能力檢測、第三方安全服務質量評價等管理規范。
支持商業銀行開展電子銀行和移動支付業務系統安全態勢監控試點示范,按照信息安全等級保護相關要求,構建銀行新型增值業務應用的安全管理機制,并形成相應標準規范體系。
支持商業銀行、信息安全專業機構、行業主管部門對電子銀行系統聯合開展金融領域釣魚網站和金融詐騙事件安全應急保障試點示范,探索銀行、機構和政府部門合作的新模式,建立聯合處置、及時有效的應急保障機制。
2、云計算與大數據安全應用試點示范
按照信息安全等級保護的相關要求,在金融、能源、交通、電子政務、電子商務和互聯網服務領域,支持重點骨干企業,圍繞主要業務應用,采用安全可控的技術和產品,開展云計算和大數據安全應用試點示范,研究制定云計算和大數據應用的安全管理機制、責任認定機制、數據保護和使用安全機制與規范。
3、信息系統保密管理試點示范
在國家重點黨政機構和涉密單位,按照信息安全等級保護相關要求,開展基于密級標識的涉密信息及載體管控試點示范,部署電子文件密級標識管理、涉密計算機和涉密移動存儲介質識別管理等系統,探索重要信息系統保密管理新方式。
支持商業機構、專業機構開展電子郵箱安全保密試點示范,采用國家密碼局規定算法,以及相關信息安全防護技術,建設安全郵箱服務平臺,形成電子郵箱防泄密、反竊密綜合保障能力,探索安全加密郵件與智能終端電子郵件消息加密推送等新服務模式。
4、工業控制信息安全領域示范
在電力電網、石油石化、先進制造、軌道交通領域,支持大型重點骨干企業,按照信息安全等級保護相關要求,建設完善安全可控的工業控制系統。建立以杜絕重大災難性事件為底線的工業控制系統綜合安全防護體系,建立完善工業控制信息安全技術與管理的機制和規范。
二、申報要求
(一)請項目主管部門根據投資體制改革精神和《國家高技術產業發展項目管理暫行辦法》的有關規定,結合本單位、本地區實際情況,認真做好項目組織和備案工作,組織編寫項目資金申請報告并協調落實項目建設資金、環境影響評價、節能評估等相關建設條件,同時匯總相關申請材料并報我委。
(二)通過國務院有關部門及中央直屬企業申報的項目,項目單位應與有關部門和中央直屬企業有財務隸屬關系。其他項目應按照屬地管理原則,通過項目單位所在地的省級發展和改革委員會申報。
(三)項目主管部門應對報送的材料,如資金申請報告、銀行貸款承諾、自有資金證明、各類許可資質等,進行認真核實,并負責對其真實性予以確認。
(四)項目紙質申報材料包括:項目資金申請報告(達到可行性研究報告深度)、項目簡表和項目匯總表,上述材料一式兩份。項目簡表、項目匯總表、項目備案文件、自有資金證明、投資及信貸承諾等所有附件要與項目資金申請報告一并裝訂(項目簡表和匯總表應訂裝在報告正文前)。各項目材料一經提供不予退還,請做好備份。資金申請報告的具體編制要求詳見附件1、2。
(五)項目材料的具體報送時間、地點和相關要求將在今年9月下旬在國家發展改革委高技術司網站(網址gjss.ndrc.gov.cn)信息化欄目下另行通知。
(六)信息安全產品產業化項目的承擔單位原則上應為企業法人。申報項目應具備以下條件:(1)按規定在當地政府備案;(2)已落實項目建設資金;(3)采用的科技成果應具有自主知識產權;(4)項目申報單位必須具有較強的技術開發和項目實施能力,具備較好的資信等級,資產負債率在合理范圍內;(5)項目答辯時各單位應已有相關產品。
(七)重要信息系統安全可控試點示范項目的承擔單位應為企業法人或事業法人(不包含高校和科研機構),項目的具體要求及項目資金申請報告的編制要點詳見附件2。
(八)本次信息安全專項分兩階段開展。第一階段受理金融信息安全、云計算與大數據安全、信息系統保密管理項目的申報,截止時間為2013年10月15日。第二階段受理工業控制信息安全項目申報,截止時間為2014年7月15日。我委對項目進行初步評審后,將組織現場答辯。其中,專項擬支持的產品將全部委托第三方檢測機構進行公開測試,有關具體項目答辯和測試名單、時間和地點,以及公開測試的時間將另行通知。
附件:1、信息安全產品產業化項目資金申請報告編制要點
2、重要信息系統安全可控試點示范具體要求及項目資金申請報告編制要點
3、信息安全項目及承擔單位基本情況簡表
4、信息安全項目匯總表
國家發展改革委辦公廳
2013年8月12日
篇7
安全威脅變局
2007年,垃圾郵件、電腦病毒等傳統的安全問題依然是CIO需要防范的重點。不久前,Gartner了年度安全軟件市場增長評估報告,預測2007年的銷售額將在2006年全年82億美元的基礎上增長10.7%,其中將有53.8%,約為49億美元的銷售額來自反病毒市場。
與此同時,安全威脅的性質正在發生實質性的轉變。現在的黑客和病毒編寫者已經不再傾向于使網絡癱瘓,他們更關注的是如何通過網絡獲取經濟利益。不同來源的行業報告均顯示,通過木馬程序等方式竊取商業和個人機密信息的行為,以及被遠程黑客控制的計算機數量均呈上升勢頭。隨著信息的海量增長,包括各種數據和應用的信息資產對于企業運營正發揮日益重要的作用,對企業應用和數據的進攻正在取代對企業網絡環境的進攻成為主要的威脅。
一份IBM專門針對中國企業安全性的調查顯示,有38%的中國企業已經意識到,信息安全比實際犯罪對他們的業務更具威脅,企業的品牌和聲譽很容易因此造成嚴重的損失。面臨變化了的安全環境和不斷加劇的威脅,企業需要加強信息安全意識,從信息資產管理的宏觀角度建立安全防御體系。
樹立風險導向意識
目前中國的安全市場仍然以安全產品的銷售為主。廠家和用戶從購置產品的角度看待威脅,在應對病毒破壞、黑客攻擊等問題時,基本停留在“兵來將擋”的階段。總體而言,企業在安全項目方面的回報并不很好,花了很多錢卻沒有用在企業需要用的地方。其中一個原因是企業難以認識到自己的風險所在,也就難以從投資回報的角度衡量安全投資。同時,安全又是一個涵蓋很廣的領域,不同的廠家、集成商和用戶對安全的理解各有千秋,但有限范圍內最好的選擇未必在全局上發揮最好的效果。
內部的安全漏洞和來自外部的威脅在數量和范圍上都呈現愈演愈烈之勢,也給企業用戶提出了嚴重的挑戰。針對企業在信息安全領域的管理、項目規劃及信息技術的投資比例,筆者認為企業在信息安全管理方面可劃分為四種模型,分別為事件導向、工具導向、流程導向和風險導向。
事件導向型企業或者對信息安全的認識較為薄弱,或者缺乏足夠的技能和資源來應對安全問題,對安全攻擊基本處于遇到問題再解決的被動響應狀態。面對每年數量呈直線上升的各類病毒在網絡上流行并不斷生成新的變種,購置一些基本的防毒設備不可能做到萬事大吉。同時,攻擊者正在不斷改進攻擊方法和逃避檢測,并更快地利用已知漏洞發起“零日攻擊”。這都對事件導向型企業的信息安全管理提出挑戰,由于缺乏業務連續性規劃,一旦遭受攻擊就會導致業務中斷,給這類企業帶來損失。
工具導向型企業擁有較多的安全預算,能夠主動意識到安全問題,遇到問題習慣于通過安全技術或工具來解決,安全管理呈分布式。這類企業通常都在業務運營中大量應用IT技術,對于業務連續性、時效性具有很高的要求,不能承受業務中斷帶來的損失。由于業務擴展和防范未知風險的需要,他們不可能等待一個安全問題暴露出來才去應對,因此有較完善的安全規劃,并主動投資、積極部署最新的安全技術。電信、金融等行業是這一類別的典型。他們需要關注的是需要加強安全管理方面的工作,以配合相關安全技術與工具真正發揮作用。
流程導向型企業受預算等限制,在安全方面的投入不會很多,而側重于從管理的角度減少安全威脅,加強對人員和流程的控制力度。通常企業會建立較為完善的安全制度和組織。這類企業包括在中國市場的一些外資企業和信息安全觀念較強的民營企業。需要關注的是如何將安全的管理制度落地。
以上三種類型的企業在信息安全上都存在不足,沒有從企業風險控制的全局出發來看待安全威脅。IBM提倡風險導向型的信息安全管理,這是一種采用工具與流程相結合的方式,也是最為成熟的風險管理模式。風險導向型的企業能夠識別風險和確定風險的優先級,根據識別出來的不同類別的風險,決定是加強管理、改善流程,還是進行技術投資,從而做到有的放矢,集中有限的資源應對企業面臨的主要威脅。
如何掌控風險
安全項目最大的回報在于降低風險對企業運營帶來的損失,但如何才能真正從風險管理的角度進行信息安全建設呢?筆者建議,企業首先需要了解有哪些風險存在,預測、評估其發生的可能性以及對企業的影響程度,盡可能量化風險,然后根據優先順序,采取適當的預防措施。
僅僅通過預防只能在一定程度上降低風險,而無法解決所有的問題,這時還需要通過制定周密的安全策略以保護企業的關鍵信息。在防范信息安全風險的同時,用戶也應該認識到,任何企業都不會有足夠多的人力、物力和財力完全消除風險,要達到100%的信息安全其實是一種不符合客觀實際的期望。筆者認為信息安全管理的目標是通過控制方法,把信息風險降到最低,使成本支出達到一個非常合理的狀態。總有一些風險是不能避免的,把這些風險分類記錄下來,并最終接受它,才是一個理智的風險管理者應有的態度。
信息安全的基本原則要求我們了解風險,并在了解情況的前提下進行決策,以根據消除風險所需要的成本,決定對風險做出反應或者接受。樹立風險導向的信息安全管理意識,最終目的在于提高信息安全項目的投資回報,將IT風險作為企業運營風險中的一部分加以管理。
建立完整安全架構
當前信息安全的發展趨勢已經不僅僅是升級傳統的安全產品,而是從業務策略和整體系統上來考慮安全問題,幫助企業建立安全、完善的IT環境,以應對來自內外部的攻擊,降低風險和損失。因此,全方位的安全策略及解決方案對保護企業信息系統的安全不可或缺。
對于多數企業而言,目前都已制定了相關的制度和流程,但還沒有企業級整體的信息安全規劃和建設,信息安全還沒有或很少從整體上進行考慮。IBM企業IT安全服務是一套針對企業信息安全管理的完善解決方案,能夠協助企業更加全面地認識信息技術、評估企業的信息安全隱患及薄弱環節,進一步完善企業安全架構,為企業的應用構建高度信息安全的運行環境,共同規劃、設計、實施、運作,從而保護企業信息系統的安全。
隨著中國信息化進程的發展,信息資產在企業中的重要性不斷提升。企業管理者不應該再將信息安全看作一個孤立的或是純技術的問題,而要從企業運營的全局角度整體看待,制定與企業特點和成長潛力相適應的安全管理架構。
關注市場變化
完善的安全架構必須能夠因應市場的變化進行調整,IT部門的決策者必須密切關注市場的變化。2007年安全用戶在三類需求上將有突出的增長。CIO需要更好地應對日益增長的法規遵從性要求,更多地關注應用層面,與此同時,積極利用外包的機遇實現更好的投資回報。
在中國,隨著信息安全和上市公司相關立法的完善,法規遵從性和相關審計在行業中的要求也正在不斷普及,越來越多的公司和行業正努力去滿足法律所規定的安全要求。企業在信息管理方面需要做到三點:信息的完整性、信息的保密性和要求信息能夠在適當的時間以適當的格式被訪問,這都與信息安全密不可分。保護企業數據安全,達到法規遵從性的要求將是CIO們2007年的一大職責。
篇8
在訪問和保存信息方面,企業網絡管理人員需要有分層的安全策略,使得不同的被管理端點以及其使用者有著不同的權限和許可。例如,在賓館的商務中心使用電子郵件的銷售人員,通過SSL VPN訪問知識產權的合同工,通過企業有線或無線局域網訪問公司數據的訪客。但是,僅僅是間接訪問就足以讓企業敏感信息暴露在安全威脅之中。因為一旦未被管理的端點被惡意軟件所利用,安全威脅軟件就可以利用端點訪問網絡的機會而秘密地植入企業網絡之中,或者直接盜取企業敏感信息。
一個全面的端點安全解決方案可為管理和未管理的主機提供防護,而使用持久穩固的機制以及綜合防護功能則不再適用,因此對未管理端點所采用的防護策略必須是臨時的,被稱為“按需(On Demand)”防護。
這種按需保護適用的范圍包括企業現場來訪者訪問、用戶訪問電子商務應用、合作伙伴額外訪問、員工從公共場所或家庭電腦訪問等。需要指出的是,這不僅保護企業的利益,還應當確保企業能夠為用戶擴展增值服務。例如,憑借這種按需保護功能,金融機構或評估報告能夠確定用戶從其網站下載的數據的安全性且不會受到任何干擾。
篇9
>> 水肥資源利用現狀及在東北進行研究的必要性分析 基于Windows Server 2003的安全評估系統研究 房屋安全性鑒定的必要性研究 原州區農田水利現狀及加快建設的必要性論證 農田水利現狀及加快農田水利事業發展的必要性 礦山安全管理的必要性和措施研究 加快電網建設新技術推廣應用的必要性分析的研究與建議 廣西高職輔導員職業倦怠研究的必要性及現狀探討 置業顧問培訓的必要性及方案研究 機床綠色制造的必要性及發展研究 加快滄州現代服務業發展的必要性研究 關于加快完善國際外層空間法的必要性研究 中國后轉型研究必要性的分析 建筑節能的必要性及節能設計的研究分析 大學生心理檔案管理現狀調查及檔案系統建立的必要性分析 建筑工程成本分析與控制的必要性及要點研究 對新農村社區建設的必要性分析及研究 發行科技創業彩票的必要性分析及可行方案研究 新疆和田地毯特點分析及圖像矢量化的必要性研究 關于出租車管制的必要性分析及對策研究 常見問題解答 當前所在位置:L。其他設置功能可以幫助處理一些掃描過程種的問題,包括跳過沒有響應主機,無條件掃描等等。插件設置項目包括了端口相關設置,SNMP相關設置,NETBIOS相關設置,漏洞檢測腳本設置,CGI相關設置,字典文件設置這6項設置。X-Scan掃描方式有兩種,一種是利用TCP檢測,一種是利用SYN檢測。
功能特點:X-SCAN采用多線程方式對指定IP地址段(或單機)進行安全漏洞檢測,支持插件功能,提供了圖形界面和命令行兩種操作方式,掃描內容包括:遠程操作系統類型及版本,標準端口狀態及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用戶,NT服務器NETBIOS信息等。X-SCAN提供了簡單的插件開發包,便于有編程基礎的朋友自己編寫或將其他調試通過的代碼修改為X-Scan插件。這十分值得我們借鑒。但其中的漏洞資料和整體功能都存在不足,各項功能的測試受時間及環境所限也不夠全面。
(三)SATAN軟件
安全管理員分析工具SATAN是一個端口掃描程序,1995年4月推出,運行在Unix環境下,掃描的目標是Unix系統,它對大多數己知的漏洞進行掃描,發現漏洞便提交報告給用戶,說明如何利用該漏洞以及如何對該漏洞進行修補。SATAN采用了HTML技術,是第一個把掃描結果以用戶友好的格式來顯示的掃描工具。SATAN的推出引起了很大的轟動,與其他掃描工具相比,SATAN是受到公眾關注最多的。
功能特點:SATAN軟件可以讓用戶對子網瀏覽進行了解。當用戶讓SATAN對子網中的所有主機進行瀏覽時,SATAN利用Unix的fping工具來決定究竟哪些主機它可以瀏覽,SATAN中安裝的fping工具是標準Unix中的fping的變體,它能有效地順序瀏覽大量主機。SATAN利用fping節省了與并不存在和正退出的主機的信息交流的時間。同時,fping能發現未經管理員同意而附屬于本網絡的其他系統。
(四)NMAP軟件
NMAP是當前較受歡迎的掃描工具,其特點是提供了比較全面的掃描方法及利用指紋技術的遠程操作系統識別功能,NMAP掃描速度很快。它提供的掃描方法包括:Vanilla TCP Connect()掃描、TCP SYN掃描、TCP FIN掃描、TCP FTP Proxy掃描、利用IP Fragments的SYN/FIN掃描、TCP ACK和Window掃描、工CMP掃描、TCP Ping掃描。為提高掃描速度提供了并行掃描的功能,NMAP用C語言編碼。
功能特點和使用方法:nmap運行通常會得到被掃描主機端口的列表。nmap總會給出well known端口的服務名(如果可能)、端口號、狀態和協議等信息。每個端口的狀態有:open、filtered、unfiltered。open狀態意味著目標主機能夠在這個端口使用accept()系統調用接受連接。filtered狀態表示:防火墻、包過濾和其它的網絡安全軟件掩蓋了這個端口,禁止nmap探測其是否打開。unfiltered表示:這個端口關閉,并且沒有防火墻/包過濾軟件來隔離nmap的探測企圖。通常情況下,端口的狀態基本都是unfiltered狀態,只有在大多數被掃描的端口處于filtered狀態下,才會顯示處于unfiltered狀態的端口。這十分值得我們借鑒。但其中的漏洞資料和整體功能都存在不足,各項功能的測試受時間及環境所限也不夠全面。
(五)ISS軟件
ISS的Internet Scanner(互聯網掃描器)是一個用于分析網絡上設備安全性的弱點評估產品。它檢測路由器、Web服務器、Unix服務器、Windows NT服務器、桌面系統和防火墻的弱點,從而識別能被入侵者用來非法進入網絡的漏洞。Internet Scanner以入侵者的行為方式通過檢查網絡設備、服務以及相互關系去發現漏洞。Internet Scanner的掃描策略是模擬黑客技術探測網絡環境中的安全脆弱點,它向目標網絡和設備發送各種探測數據包(如ICMP,TCP,UCP數據包等),偵聽目標響應的情況,搜集信息,判斷是否存在安全性弱點。Internet Scanner可以在同一時間執行多個掃描線程,即并行掃描,它也可以設置多個用于TCP服務掃描的專門線程,即實現了并行TCP服務掃描。ISS的系統掃描器System Scanner是一個基于主機的安全評估系統,它在系統層上通過依附于主機上的掃描器偵測主機內部的漏洞。System Scanner能夠識別并報告系統中所存在的安全漏洞、弱點以及使用不當的策略,從而提供基于主機的安全評估。System Scanner由控制臺(Console)和掃描(Agent)兩部分組成,采用C/S(客戶機/服務器)結構,通過在每個被管理系統上所安裝的模塊來檢測安全漏洞、誤配置以及使用不當的策略。
功能特點:ISS Internet Scanner通過對網絡安全弱點全面和自主地檢測與分析并檢查它們的弱點,將風險分為高中低三個等級,并且可以生成大范圍的有意義的報表。這些評估功能我們軟件評估系統可以借鑒。
四、安全專家評估應用情況
(一)安全專家系統
安全專家是集眾多信息安全專家多年的信息安全經驗,為客戶計算機提供多種安全防護手段(防火墻、防病毒、安全評估、安全修復等等)。它能象一位安全專家一樣,為客戶計算機存在的安全威脅,進行“主動檢測”、“綜合治療”,并能做到事前“自動免疫”通過在級升級功能長期保證客戶計算機處在高等級的安全狀態。安全評估專家的功能:
1.自檢:安全評估功能
對用戶主機自動進行全面的安全檢測,發現系統存在的所有已知安全漏洞、病毒及木馬后門程序,并向用戶提交安全評估報告,告知主機安全等級。
2.自醫:安全修復功能
針對檢測中發現的安全隱患,對終端主機進行全面的修復。清除主機上存在的各種安全漏洞、病毒、蠕蟲和惡意代碼。
3.自疫:預先免疫功能
安全專家針對不同用戶的安全需求提供了多種安全防護策略,通過安全策略可以實現端口的防護、系統安全漏洞及時修復,安全配置的完全優化,從而全面提高計算機的整體安全性,并能對未來的安全威脅起到很好的安全免疫,確保用戶的計算機不被新的蠕蟲病毒和黑客攻擊程序的破壞。
4.自保:在線升級功能
安全專家產品實現了自動在線實時更新的功能,用戶可以手動或設置時間定期升級安全專家程序,確保對新的出現病毒及黑客攻擊技術的防范,實現長治久安的目的。
(二)主機安全評估套件(HRA)
黑龍江哈爾濱商務之窗在2007-08-12日寫出了《國內首款計算機主機安全評估套件在哈問世,其技術國際領先》報道:作為國內知名的網絡安全產品和解決方案供應商,哈爾濱安天公司近日研發出一款名為“安天主機安全評估套件”的高科技產品。這是國內主機安全評估方面唯一實現了自動化、定性、定量評估的相關系統,其產品全部核心技術均由安天公司自行開發,系統核心的AVL SDK反病毒引擎還曾因技術國際領先獲得了國家科技部創新基金。該套件根據上百個自動化提取的關聯因素對主機節點的風險等級進行準確評分、以及通過主機節點數據生成網絡整體安全等級定量評定等產品創意,均為國內首創。它有本地評估和網絡評估兩種方式。只要將套件中的U盤或光盤插入主機,即可自動檢測惡意代碼、查找安全漏洞、做出安全分析,生成相關報告。不但能夠高效準確地判定終端系統受惡意代碼感染的情況,還能及時發現網絡系統,特別是內網、系統中由于違規安裝軟件、私自撥號上網、私自插入移動存儲設備等帶來的重大安全隱患。此外,該套件還能發現系統遭受入侵攻擊的各種痕跡,對目前機器上存在的安全漏洞、面臨的安全隱患和已經發生的安全問題做出系統化的評價,直觀地呈現出來,并可根據評估結果自動對每個問題的解決方案提供相應的建議。
典型的應用方案如1-1圖所示:
圖1-1 主機安全評估套件的典型的應用方案
(三)瑞星2008安檢
瑞星殺毒軟件2008版,是基于新一代虛擬機脫殼引擎、采用三層主動防御策略開發的新一代信息安全產品。瑞星08獨創的“賬號保險柜”基于“主動防御”構架開發,可保護上百種流行軟件的賬號,包括70多款熱門網游,30多種股票、網上銀行類軟件,QQ、MSN等常用聊天工具及下載軟件等。同時,瑞星08采用“木馬強殺”、“病毒DNA識別”、“主動防御”、“惡意行為檢測”等大量核心技術,可有效查殺目前各種加殼、混合型及家族式木馬病毒共約70萬種。電腦安檢也是瑞星2008版新增加的功能之一,非常方便用戶使用。通過安檢能夠檢查用戶是否及時升級殺毒軟件、是否進行過全盤殺毒、是否安裝了所有的補丁程序、實時監控和主動防御是否都打開了等等。幫助用戶更好地了解電腦的安全狀況,提升電腦安全防護級別。
五、結語
篇10
關鍵詞 互聯網金融 P2P 大數據征信 信審
互聯網金融自2007年出現直至2015年發展態勢愈演愈烈,作為一種新興的金融服務方式,P2P行業憑借其“短,平,快”的特點和優勢獲得了迅猛的發展。另一方面,P2P問題平臺跑路、倒閉、兌付危機等負面新聞頻出,整個行業都受到了牽連,行業發展的迅猛態勢倒逼監管加快步伐。其中,作為P2P行業工作的關鍵環節,信審工作存在的問題及其優化受到了越來越多的關注。本文以“大數據”為研究背景,對P2P企業信審環節中的主要問題展開研究。
一、信審環節主要存在的問題
(一)資料收集階段――渠道較少,范圍較小
目前我國眾多P2P企業在收集資料階段存在信息渠道窄、信息覆蓋面不全等主要問題。首先,大多P2P企業獲得信息渠道相對單一,以P2P企業與借款融資企業之間的雙向往來為主。其次,P2P企業信審大多參考銀行傳統征信函蓋的資料內容與范圍,信息的覆蓋范圍較窄,使風險評估階段由于數據信息的局限性導致評估結果有一定的偏差性。
(二)風險評估階段――建模初期,經驗主義
風險評估方面的問題是制約P2P企業發展的重要因素。目前較多P2P企業在審核企業信用時采用以往或行業經驗來定性評估受審企業的信用等級。由于不同企業在信用審核中存在行業差異性,沒有統一的衡量標準,P2P企業為了了解待審企業的運營狀況,先實地盡調,再根據受審企業具體問題具體分析。這就導致審核時間長、耗費的成本及人力資源較多且評估結果缺少科學性依據。
(三)數據存儲階段――疏于管理,安全性低
P2P企業都會對借款方企業的前期資料以及后期評估的信用情況進行建檔存檔。目前,大多P2P企業的數據存儲沒有專門的數據庫系統,也沒有設立服務器或交予第三方云服務平臺托管的意識。
二、歐美的征信經驗及我國的改變
說到信用審核的問題,必然要談到近兩年頻繁出現的“大數據征信”了。一些歐美國家在在此方面的應用都是先于我國的。以利用“大數據”進行風險管理的ZestFiance為例,它整合分散數據,借助數據挖掘與自我開發的預測模型(包括防欺詐模型、還款能力模型等十個模型),再將預測模型的結果進行集成處理,挖掘更多傳統征信覆蓋不到或潛在的信用信息,并借助信用評估模型獲得完整的信用評估報告。
而近些年國內有關征信方面也有了不少改變。央行將征信系統向個人及金融機構開放,個人每年可免費查詢一次自己的征信報告,而金融機構只要符合相關申請條件經授權批準即可接入征信系統的接口。此外,央行在2015年1月印發的《關于做好個人征信業務準備工作的通知》中,包括芝麻信用、騰訊征信等八家企業被授權掛牌作為民營征信企業。通過對數據的挖掘和分析,各企業從不同維度綜合評估,為用戶建立個人的信用評分,向個人及機構提供征信服務,豐富了征信內容。這對沖破傳統意義上的征信使征信多元化、數據化有著重大意義。
三、對P2P企業信審工作的建議
(一)資料收集階段――多元化數據搜集
在收集借款方企業的審核資料過程中,可以從兩方面做出多元化改善:
1.獲取信息渠道多元化。這里的信息渠道是指獲得借款方需審核資料的方式。在行業未來發展中,擴展信息收集渠道將成為一種趨勢。如獲取借款融資企業資料可通過以下幾種方式:第一,申請央行征信系統的接口,獲取企業法人、融資負責人、企業核心決策層等相關人員的個人征信報告;第二,向目前已開放的八家征信企業選擇一家或幾家支付一定服務費用,接入數據接口,獲取借款融資方相關人員的信用記錄及評分;第三,通過全國企業信用信息公示系統、中國裁判文書網、各地法院官網等官方網站,獲取企業基本信息及企業的不誠信經營導致被事件等信息。
2.信息領域多元化。信息領域,也稱信息覆蓋面。正確地拓寬數據搜集的覆蓋面可以為信用審核提供更多維度的信息,使最終的信用評估綜合性及參考價值更高。除了傳統信審所涵蓋的身份信息、信貸信息、金融負債信息及公共信息外,可參考拓寬的領域有:第一,民營征信企業提供的信息。不同征信企業有不同的側重領域,如:中誠信征信、前海征信、鵬元征信側重金融領域;中智誠征信和北京華道征信側重反欺詐領域;騰訊征信、芝麻信用、拉卡拉信用側重生活場景領域,包括社交、消費等方面。第二,大數據征信視角可探知的信息。這點與上條所說民營征信企業提供的信息有交疊部分。信用信息與信貸記錄具有強相關性,同時,它與通過數據挖掘方法獲取的一些行為信息也有一定的聯系。例如利用數據挖掘獲得的搬家次數、網絡點擊等信息。當然,需在合法合規的前提下獲取此類信息。第三,非金融日常信息。如:水電氣繳納情況、有線電視、移動電話等信息。
(二)風險評估階段――多層次多維度綜合評估
多層次的綜合評估是指在建立模型的過程中,由基礎模型――評估模型――信審模型 構成垂直方向上層級遞進的評估模型。首先將收集的數據信息劃分為多個維度,劃分也可分為兩種方法:一是按照信息來源分類,如:央行的征信報告、企業公共信息、民營征信機構信息等;二是按照信息的領域分類,如:驗證類基礎信息、金融類信息、非金融類信息。不同類別的數據與信審的相關性不同,即每一類信其次針對不同評估方面,以兩類或以上的基礎模型評估結果為參考,運用相應的算法建立適用的評估模型,如還款能力評估模型、還款意愿評估模型、身份驗證評估模型、企業運營評估模型等。最后根據不同類型的企業及其不同的側重點,在評估模型的基礎上加上不同的權重,使用相應的規則,將評估模型整合為最終的信審模型,獲得最終的信用評估報告。
(三)數據存儲階段――完善服務器
上文中提到多數P2P企業將信息安全保障集中放在網絡平臺的運營上,而忽視了對借款方企業信息存儲的安全保障。
在長期發展中建議P2P企業在信息存儲方面建立完備的數據庫服務器對數據統一管理,或將其托管至第三方云服務平臺;對于信息中的敏感數據采用一定的加密技術以確保信息存儲的安全性。
四、結語
互聯網金融P2P行業在我國仍處于初步發展階段,其發展有無限的可能,也將會朝著網貸行業產業鏈的趨勢發展,形成數據服務企業――征信(信審)服務企業――P2P平臺服務企業交叉網狀結構,將每一環節的業務細化到每一類企業。對中國征信將來的發展也抱有積極的觀望態度。
(作者單位為西南交通大學經濟管理學院信息管理與信息系統)
參考文獻
[1] 陳初.對中國“P2P”網絡融資的思考[J].人民論壇,2010(26).
[2] 王亮平. P2P網絡借貸環境下我國小微企業融資需求分析[J].商場現代化,2015(Z1).
