網(wǎng)絡(luò)信息安全評估精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇網(wǎng)絡(luò)信息安全評估，期待它們能激發(fā)您的靈感。

篇1

目前我國已步入信息化時(shí)代，隨著國民經(jīng)濟(jì)和社會信息化進(jìn)程的全面加速，各地政府紛紛建立起基礎(chǔ)網(wǎng)絡(luò)平臺和重要的信息系統(tǒng)，這些網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，國民經(jīng)濟(jì)和社會發(fā)展對基礎(chǔ)網(wǎng)絡(luò)平臺和重要信息系統(tǒng)的依賴性也越來越大，網(wǎng)絡(luò)與信息系統(tǒng)自身存在的缺陷、脆弱性以及面臨的威脅，使信息系統(tǒng)的運(yùn)行在客觀上存在著潛在風(fēng)險(xiǎn)，信息系統(tǒng)安全的重要性更顯突出，已成為國家安全的基座。

近年來我國政府也開始重視信息安全風(fēng)險(xiǎn)評估工作。2003年7月《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)［2003］27號）文件中明確提出：要重視信息安全風(fēng)險(xiǎn)評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級的安全建設(shè)和管理。

為落實(shí)中辦發(fā)[2003]27號文件要求，由國家信息中心、公安部、安全部、信息產(chǎn)業(yè)部、國家認(rèn)監(jiān)委、國家標(biāo)準(zhǔn)化委、國家密碼管理局、國家保密局等單位聯(lián)合組成課題組先后對四個(gè)地區(qū)、十幾個(gè)行業(yè)的50多家單位進(jìn)行了調(diào)研考查，制定出《信息安全風(fēng)險(xiǎn)評估指南》、《信息安全風(fēng)險(xiǎn)管理指南》等標(biāo)準(zhǔn)和規(guī)范。

2004年6月天津市市委辦公廳、市政府辦公廳聯(lián)合轉(zhuǎn)發(fā)了《關(guān)于加強(qiáng)我市信息安全保障工作的意見》（津黨辦發(fā)［2004］15號）文件，成立了天津市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，加強(qiáng)了對我市信息安全工作的領(lǐng)導(dǎo)和管理。

二、風(fēng)險(xiǎn)評估工作內(nèi)容

信息安全風(fēng)險(xiǎn)評估工作，就是從風(fēng)險(xiǎn)管理角度入手，依據(jù)國家風(fēng)險(xiǎn)評估管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，采用適當(dāng)?shù)娘L(fēng)險(xiǎn)評估工具，運(yùn)用定性及定量的分析方法和手段，系統(tǒng)分析信息化業(yè)務(wù)和信息系統(tǒng)資產(chǎn)所面臨的人為的或自然的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等，準(zhǔn)確了解信息系統(tǒng)安全狀況，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的風(fēng)險(xiǎn)等因素，確定風(fēng)險(xiǎn)等級和風(fēng)險(xiǎn)控制順序，有針對性地幫助制定抵御威脅的安全策略和防護(hù)措施，指導(dǎo)安全建設(shè)的合理投入。

風(fēng)險(xiǎn)評估的形式按照評估實(shí)施者的不同，可將其分為自評估和檢查評估二種形式：

自評估

自評估就是信息系統(tǒng)擁有者依靠自身力量，依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對自有網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估的活動。該網(wǎng)絡(luò)和信息系統(tǒng)的擁有者通過自評估隨時(shí)掌握其安全狀況，不斷調(diào)整安全措施，有效地進(jìn)行安全控制。其優(yōu)點(diǎn)是有利于自身系統(tǒng)的保密性，發(fā)揮行業(yè)和本部門專業(yè)人員的業(yè)務(wù)專長，降低了風(fēng)險(xiǎn)評估的費(fèi)用，提高了本單位風(fēng)險(xiǎn)評估能力。

檢查評估

檢查評估通常是由政府安全主管機(jī)關(guān)或本單位的上級主管機(jī)構(gòu)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的、具有強(qiáng)制意味的檢查活動，是經(jīng)過行政手段加強(qiáng)信息安全的重要措施。其優(yōu)點(diǎn)是這種形式具有權(quán)威性。

自評估和檢查評估都可以通過信息安全風(fēng)險(xiǎn)評估的服務(wù)機(jī)構(gòu)提供咨詢、培訓(xùn)及相關(guān)工具，目前建議主要采用自評估形式，以保證本單位信息的保密性、完整性和可用性。它也是檢查評估的基礎(chǔ)和必要條件。

按照國信辦2006年5號文件的要求，在網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、驗(yàn)收、運(yùn)行維護(hù)階段，以及當(dāng)安全形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時(shí)均應(yīng)及時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評估。

在風(fēng)險(xiǎn)評估過程中，應(yīng)以本單位的業(yè)務(wù)為核心，圍繞相關(guān)信息資產(chǎn)（如計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等）及價(jià)值，對其所面臨的威脅、所具有的弱點(diǎn)和已有的安全控制措施展開分析工作。

風(fēng)險(xiǎn)評估是信息安全管理體系的基礎(chǔ)，信息安全風(fēng)險(xiǎn)管理的主要工作就是要發(fā)現(xiàn)風(fēng)險(xiǎn)，并在有限的資源下，進(jìn)行削減風(fēng)險(xiǎn)或控制風(fēng)險(xiǎn)。只有建立信息安全管理體系，并有效地進(jìn)行安全風(fēng)險(xiǎn)管理與控制，才能真正保護(hù)本單位的利益，并在安全事件發(fā)生的時(shí)候，最大限度地減少經(jīng)濟(jì)損失和負(fù)面影響。

三、目前需解決的問題

目前信息安全風(fēng)險(xiǎn)評估工作在我國尚處于起步階段，各地開展和重視此項(xiàng)工作的程度也不盡相同，一些單位的網(wǎng)絡(luò)安全還處于亞健康狀態(tài)，需要強(qiáng)化信息安全管理意識，并注意解決以下幾方面的問題：

1．建立健全管理體制

依據(jù)國家在信息安全管理方面的法律、法規(guī)、標(biāo)準(zhǔn)和規(guī)范，建立安全管理制度，通過對安全評估和實(shí)施整改等各環(huán)節(jié)的監(jiān)督管理，層層落實(shí)安全管理責(zé)任制，形成完善的信息安全管理體系。

2．保障資金投入

努力保障信息安全資金的投入，充分發(fā)揮信息安全保障資金的使用效益，認(rèn)真分析信息安全風(fēng)險(xiǎn)評估的結(jié)果，既要保障安全，又不能因保護(hù)過度造成資金浪費(fèi)。

3．聚集技術(shù)和管理人才

注意聚集和培養(yǎng)熟悉并有能力進(jìn)行信息安全風(fēng)險(xiǎn)評估的技術(shù)人員，尤其是注意吸收那些既懂管理又懂技術(shù)的專業(yè)風(fēng)險(xiǎn)評估人才，形成一支信息安全風(fēng)險(xiǎn)評估專業(yè)隊(duì)伍。

篇2

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評估；脆弱性；威脅

1. 引言

隨著信息技術(shù)的飛速發(fā)展，關(guān)系國計(jì)民生的關(guān)鍵信息資源的規(guī)模越來越大，信息系統(tǒng)的復(fù)雜程度越來越高，保障信息資源、信息系統(tǒng)的安全是國民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要。信息安全的目標(biāo)主要體現(xiàn)在機(jī)密性、完整性、可用性等方面。風(fēng)險(xiǎn)評估是安全建設(shè)的出發(fā)點(diǎn)，它的重要意義在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案的制定，以成本一效益平衡的原則，通過評估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性，并結(jié)合資產(chǎn)的重要程度來識別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施，以防范和化解風(fēng)險(xiǎn)，或者將殘余風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。

2．網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析

“網(wǎng)絡(luò)信息的安全”從狹義的字面上來講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲、傳輸?shù)仁褂眠^程的安全。

網(wǎng)絡(luò)信息安全具有如下6個(gè)特征：（1）　保密性。即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。（2）完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。（3）可用性。即能保證合法的用戶正常訪問相關(guān)的信息。（4）可控性。即信息的內(nèi)容及傳播過程能夠被有效地合法控制。（5）可審查性。即信息的使用過程都有相關(guān)的記錄可供事后查詢核對。網(wǎng)絡(luò)信息安全的研究內(nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究內(nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問題的復(fù)雜性。

而通過有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析，就能夠?yàn)榇藦?fù)雜問題的解決找到一個(gè)考慮問題的立足點(diǎn)，能夠?qū)?fù)雜的問題量化，同時(shí)，也為能通過其他方法如人工智能網(wǎng)絡(luò)方法解決問題提供依據(jù)和基礎(chǔ)。

網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類：（1）自然界因素，如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等；（2）社會因素，主要是人類社會的各種活動，如暴力、戰(zhàn)爭、盜竊等；（3）網(wǎng)絡(luò)硬件的因素，如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；（4）軟件的因素，包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；（5）人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等；（6）其他因素，包括政府職能部門的監(jiān)管因素、有關(guān)部門對相關(guān)法律法規(guī)立法因素、教育部門對相關(guān)知識的培訓(xùn)因素、宣傳部門對相關(guān)安全內(nèi)容的宣傳因素等。這些因素對于網(wǎng)絡(luò)信息安全均會產(chǎn)生直接或者間接的影響。

3．安全風(fēng)險(xiǎn)評估方法

3.1　定制個(gè)性化的評估方法

雖然已經(jīng)有許多標(biāo)準(zhǔn)評估方法和流程，但在實(shí)踐過程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評估的能力，進(jìn)行“基因”重組，定制個(gè)性化的評估方法，使得評估服務(wù)具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網(wǎng)絡(luò)結(jié)構(gòu)評估、脆弱性掃描、策略評估、應(yīng)用風(fēng)險(xiǎn)評估等。

3.2　安全整體框架的設(shè)計(jì)

風(fēng)險(xiǎn)評估的目的，不僅在于明確風(fēng)險(xiǎn)，更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評估直接輸出，用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期　1～2　年內(nèi)框架，這樣才能做到有律可依。

3.3　多用戶決策評估

不同層面的用戶能看到不同的問題，要全面了解風(fēng)險(xiǎn)，必須進(jìn)行多用戶溝通評估。將評估過程作為多用戶“決策”過程，對于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動，具有極大的意義。事實(shí)證明，多用戶參與的效果非常明顯。多用戶“決策”評估，也需要一個(gè)具體的流程和方法。

3.4　敏感性分析

由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)，使得風(fēng)險(xiǎn)越來越隱蔽。要提高評估效果，必須進(jìn)行深入關(guān)聯(lián)分析，比如對一個(gè)老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病“根”，開出有效的“處方”。這需要強(qiáng)大的評估經(jīng)驗(yàn)知識庫支撐，同時(shí)要求評估者具有敏銳的分析能力。

3.5　集中化決策管理

安全風(fēng)險(xiǎn)評估需要具有多種知識和能力的人參與，對這些能力和知識的管理，有助于提高評估的效果。集中化決策管理，是評估項(xiàng)目成功的保障條件之一，它不僅是項(xiàng)目管理問題，而且是知識、能力等“基因”的組合運(yùn)用。必須選用具有特殊技能的人，去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺審計(jì)和滲透性測試，由不具備攻防經(jīng)驗(yàn)和知識的人執(zhí)行，就達(dá)不到任何效果。

3.6　評估結(jié)果管理

安全風(fēng)險(xiǎn)評估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng)，但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評估管理系統(tǒng)，使用它來指導(dǎo)評估過程，管理評估結(jié)果，以便在管理層面提高評估效果。

4．風(fēng)險(xiǎn)評估的過程

4.1　前期準(zhǔn)備階段

主要任務(wù)是明確評估目標(biāo)，確定評估所涉及的業(yè)務(wù)范圍，簽署相關(guān)合同及協(xié)議，接收被評估對象已存在的相關(guān)資料。展開對被評估對象的調(diào)查研究工作。

4.2　中期現(xiàn)場階段

編寫測評方案，準(zhǔn)備現(xiàn)場測試表、管理問卷，展開現(xiàn)場階段的測試和調(diào)查研究階段。

4.3　后期評估階段

撰寫系統(tǒng)測試報(bào)告。進(jìn)行補(bǔ)充調(diào)查研究，評估組依據(jù)系統(tǒng)測試報(bào)告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險(xiǎn)評估報(bào)告。

5．風(fēng)險(xiǎn)評估的錯(cuò)誤理解

（1）　不能把最終的系統(tǒng)風(fēng)險(xiǎn)評估報(bào)告認(rèn)為是結(jié)果唯一。

（2）不能認(rèn)為風(fēng)險(xiǎn)評估可以發(fā)現(xiàn)所有的安全問題。

（3）　不能認(rèn)為風(fēng)險(xiǎn)評估可以一勞永逸的解決安全問題。

（4）不能認(rèn)為風(fēng)險(xiǎn)評估就是漏洞掃描。

（5）不能認(rèn)為風(fēng)險(xiǎn)評估就是　IT部門的工作，與其它部門無關(guān)。

（6）　不能認(rèn)為風(fēng)險(xiǎn)評估是對所有信息資產(chǎn)都進(jìn)行評估。

6．結(jié)語

總之，風(fēng)險(xiǎn)評估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。通過風(fēng)險(xiǎn)評估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案是信息系統(tǒng)安全工程的重要組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求，但是，信息安全評估工作的實(shí)施也存在一定的難題，涉及信息安全評估的行業(yè)或系統(tǒng)各不相同，并不是所有的評估方法都適用于任何一個(gè)行業(yè)，要選擇合適的評估方法，或開發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評估方法，是當(dāng)前很現(xiàn)實(shí)的問題，也會成為下一步研究的重點(diǎn)。

參考文獻(xiàn)：

[1] 剛 , 吳昌倫. 信息安全風(fēng)險(xiǎn)評估的策劃[J]. 信息技術(shù)與標(biāo)準(zhǔn)化 , 2004,(09)

[2] 賈穎禾. 信息安全風(fēng)險(xiǎn)評估[J]. 中國計(jì)算機(jī)用戶 , 2004,(24)

[3] 楊潔. 層次化的企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)分析方法研究[J]. 軟件導(dǎo)刊 , 2007,(03)

[4] 楊晨. 建立健全信息安全風(fēng)險(xiǎn)評估工作機(jī)制勢在必行——信息安全專家趙戰(zhàn)生訪談[J]. 當(dāng)代通信 , 2004,(22)

篇3

1、網(wǎng)絡(luò)安全評估現(xiàn)狀

1. 1 傳統(tǒng)的評估方法

傳統(tǒng)網(wǎng)絡(luò)安全檢查和評估方法主要以人工的方式進(jìn)行,評估的方法有下列幾種:

(1) 通過查看網(wǎng)管信息,了解網(wǎng)絡(luò)的連通性,獲取網(wǎng)絡(luò)流量、負(fù)荷等信息;(2) 通過登入網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)配置和動態(tài)性能參數(shù)進(jìn)行查看,并人工確認(rèn)信息的正確性;(3) 查看網(wǎng)絡(luò)日志發(fā)現(xiàn)網(wǎng)絡(luò)存在的隱患.

1. 2 存在的主要問題

傳統(tǒng)的網(wǎng)絡(luò)安全檢查和評估方法存在以下不足:(1) 檢查過程比較繁瑣,加大了工作人員的工作量,容易產(chǎn)生漏查、錯(cuò)查等情況,達(dá)不到全面檢查的效果;(2) 對檢查人員技能要求較高,檢查人員需要具有較強(qiáng)的專業(yè)知識,熟悉設(shè)備的操作方法;(3) 需要反復(fù)輸入命令,造成時(shí)間的浪費(fèi),工作效率低下;(4) 無法對所檢查的信息進(jìn)行整理和保存,不利于障礙的排除和后期的查看.

2、解決方案

本項(xiàng)目以網(wǎng)絡(luò)管理的實(shí)際工作為出發(fā)點(diǎn),緊跟現(xiàn)代信息技術(shù)的步伐,利用 Java 技術(shù),建立客戶端/服務(wù)器(C/S) 的界面,根據(jù)日常維護(hù)的具體要求,實(shí)現(xiàn)靜態(tài)數(shù)據(jù)分析、動態(tài)性能參數(shù)檢查等功能,并且針對不同網(wǎng)絡(luò)設(shè)備可以按要求自主設(shè)置檢查模板,同時(shí)具備導(dǎo)出相應(yīng)分析報(bào)告的功能.

2. 1 設(shè)計(jì)思路

采用 Java + Swing 技術(shù),開發(fā)客戶端操作界面,具備靜態(tài)數(shù)據(jù)分析和動態(tài)數(shù)據(jù)分析等功能的操作界面; 在總結(jié)、歸納大量的配置檢查規(guī)則的基礎(chǔ)上,設(shè)計(jì)多個(gè)規(guī)則模版,確保檢查的正確性.

2. 2 技術(shù)架構(gòu)和原理分析

采用 Java 語言來開發(fā)系統(tǒng)軟件,使用 C /S 架構(gòu)來搭建系統(tǒng)程序,可以方便操作人員使用.[7](1) 硬件結(jié)構(gòu) 包括交換機(jī)、局域網(wǎng)內(nèi)的 PC機(jī)客戶端. PC 機(jī)建議配置: CPU 為 P4 2. 6 GHz 及以上,內(nèi)存為 512 M 及以上.(2) 應(yīng)用軟件 Minitool; 編程語言為 Java和 xml.(3) 開發(fā)工具 myeclipse6. 5; 操作系統(tǒng)為Window s 2003.具體技術(shù)架構(gòu)如圖 1 所示.

(1) 靜態(tài)分析 利用 I/O 工作流對已經(jīng)生成的信息文件進(jìn)行讀取,并利用已設(shè)定的分析規(guī)則對文件進(jìn)行檢查,在程序中顯示檢查的具體內(nèi)容和正確性,根據(jù)需要手動導(dǎo)出結(jié)果報(bào)告. 靜態(tài)分析流程如圖 2 所示.

(2) 動態(tài)分析 采用多線程連接終端設(shè)備,在程序中顯示設(shè)備的連接狀況和運(yùn)行狀況,可以手動停止程序的運(yùn)行,其中包括連接測試和分析兩個(gè)主要功能. 連接測試是指對每個(gè)設(shè)備進(jìn)行連接,測試結(jié)束后制定目錄自動生成測試結(jié)果; 分析是指在測試完成后對每個(gè)設(shè)備的制定規(guī)則進(jìn)行分析,并在結(jié)束后導(dǎo)出分析結(jié)果. 動態(tài)分析流程如圖3 所示.

(3) 制定規(guī)則 操作員可以在該功能中指定檢查項(xiàng)目名稱和檢查要求,并對每個(gè)檢查要求的具體操作規(guī)則進(jìn)行添加,將其保存在已經(jīng)創(chuàng)建好的 xml 文件中,也可指定 xml 文件對其內(nèi)容進(jìn)行增、刪、改、查;(4) 模板管理 利用可視化界面對保存在特定文件夾下面的配置文件進(jìn)行創(chuàng)建和刪除的操作.3、 程序功能及界面簡介。

靜態(tài)分析是對已經(jīng)導(dǎo)出為 txt 文件格式的設(shè)備信息進(jìn)行分析,通過導(dǎo)入設(shè)備信息文件選擇相應(yīng)的檢查模板,點(diǎn)擊開始按鈕即可自動檢測信息文件的安全程度,并動態(tài)地顯示在輸出框內(nèi),如圖 4 所示. 其右上角用儀表盤形象化地顯示了評估分?jǐn)?shù),目的是檢查現(xiàn)有設(shè)備的信息安全程度.通過圖 4 的導(dǎo)出按鈕可以將分析完成的結(jié)果導(dǎo)入 Excel 文件中,可方便查看打印或者保存,如圖 5 所示.動態(tài)分析是利用遠(yuǎn)程登入方式(ssh 或者telnet) 對設(shè)備進(jìn)行實(shí)時(shí)的連接和分析,輸入文件可以選擇事先預(yù)設(shè)好的遠(yuǎn)程設(shè)備、用戶名密碼等信息的文件,輸出路徑可以選擇分析結(jié)果數(shù)據(jù)保存的位置,然后選擇連接模式和分析模板對設(shè)備進(jìn)行動態(tài)分析,其目的是可以實(shí)時(shí)地連接遠(yuǎn)程設(shè)備,并通過預(yù)設(shè)的條件對其進(jìn)行安全評估.

針對某一個(gè)具體模板中各種檢查項(xiàng)的操作,則可以選中檢查項(xiàng),按刪除檢查項(xiàng)按鈕進(jìn)行刪除,也可以對具體檢查項(xiàng)內(nèi)容進(jìn)行設(shè)置,如設(shè)置項(xiàng)目名稱、要求等,并且可以選擇添加至某個(gè)模板. 對具體檢查項(xiàng)可以進(jìn)行添加、重置、撤銷和更新操作: 添加是向檢查項(xiàng)中加入一則新的規(guī)則; 重置是對當(dāng)前檢查項(xiàng)進(jìn)行清除; 撤銷是消除最后添加的規(guī)則; 而更新是對修改完的檢查項(xiàng)進(jìn)行更新,其目的是為了增、刪、改具體的檢查條目,并添加至相應(yīng)的檢查模板.4、 系統(tǒng)比較。

傳統(tǒng)的安全評估方法: 大都是人工對設(shè)備進(jìn)行信息安全評估; 檢查模板較少,只能進(jìn)行少部分的信息檢查; 檢測內(nèi)容不夠靈活,導(dǎo)致錯(cuò)誤評估的出現(xiàn).本系統(tǒng)在總結(jié)傳統(tǒng)的安全評估方法不足基礎(chǔ)上,進(jìn)行完善和創(chuàng)新. 本系統(tǒng)主要對模板的設(shè)計(jì)和制定進(jìn)行了多方面創(chuàng)新. 首先,可以對某一類的檢查進(jìn)行歸納,例如設(shè)備 CPU 的運(yùn)行狀況、溫度的高低等,都可以歸在同一類模板中,系統(tǒng)對創(chuàng)建的模板進(jìn)行保存,便于下次直接調(diào)用. 其次,在傳統(tǒng)的軟件中,有些自動檢查內(nèi)容不夠靈活,碰到特殊的情況,會檢測不到所需要的信息,甚至?xí)e(cuò)誤地反饋信息. 例如要檢測端口信息,只要檢測其中打開的端口,而對于關(guān)閉的端口就不必檢測,這在一般的評估軟件中很難判斷哪些端口是關(guān)閉的. 本系統(tǒng)針對這些情況,對檢查的內(nèi)容進(jìn)行分步操作,利用 Java 字符串可拼接的特點(diǎn)對每條檢查內(nèi)容進(jìn)行分割,提取其中的關(guān)鍵字符串,并對其前后進(jìn)行限制,使其成為一個(gè)基本的、唯一的關(guān)鍵字符串. 這些由多個(gè)關(guān)鍵字步驟組成的完整的檢查項(xiàng)目可以大大地提高準(zhǔn)確率,而且添加關(guān)鍵字組成的檢查條目可以靈活地確定所要檢查的內(nèi)容,去除不必要的選項(xiàng). 最后,本系統(tǒng)通過 C /S 界面的方式可以形象化地對各個(gè)模板及其檢查項(xiàng)目進(jìn)行添加、刪除、修改等操作,并為每個(gè)檢查條目設(shè)定分值,以便在導(dǎo)出報(bào)告和靜態(tài)分析中更好地確定評估結(jié)果.本系統(tǒng)的特點(diǎn)如下:(1) 圖形化操作,方便簡單;(2) 采用多線程技術(shù),可以同時(shí)交替進(jìn)行多個(gè)流程,提高了流暢性;(3) 運(yùn)用 xml 技術(shù),對程序配置進(jìn)行了保存,使操作更加簡便;(4) 使用 ssh 和 telnet 技術(shù),實(shí)現(xiàn)了遠(yuǎn)程登入;(5) 生成日志文件,方便系統(tǒng)異常查看;(6) 數(shù)據(jù)自動分析,減少了工作量,提高了維護(hù)的準(zhǔn)確性和安全性.

篇4

網(wǎng)絡(luò)系統(tǒng)所存在的安全風(fēng)險(xiǎn)主要包括：資產(chǎn)、威脅以及脆弱性。安全風(fēng)險(xiǎn)主要體現(xiàn)的是一種潛在的，沒有發(fā)生的狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢評估在網(wǎng)絡(luò)安全管理技術(shù)中具有重要的作用，其工作原理就是利用多種方法對網(wǎng)絡(luò)系統(tǒng)可能存在的安全漏洞進(jìn)行檢測，然后根據(jù)檢測的結(jié)果分析原因，進(jìn)而提供解決的建議。目前對網(wǎng)絡(luò)安全態(tài)勢的評估主要采取以下幾種方法：一是基于安全標(biāo)準(zhǔn)的評估方法；二是基于財(cái)產(chǎn)價(jià)值的評估方法，其主要是將風(fēng)險(xiǎn)看做一種量化風(fēng)險(xiǎn)，考慮風(fēng)險(xiǎn)存在所造成的各種損失；三是基于漏洞檢測的評估方法。信息系統(tǒng)的安全隨著檢測技術(shù)的不斷發(fā)展，其會逐漸的被公布出來進(jìn)而使相關(guān)人員對系統(tǒng)進(jìn)行檢測，以此發(fā)現(xiàn)其存在，并且給予解決；四是給予安全模型的評估方法。隨著人們安全意識的提高，信息系統(tǒng)的開發(fā)者會開發(fā)出針對不同安全風(fēng)險(xiǎn)的模型，這些模型可以為提升系統(tǒng)的安全性和結(jié)構(gòu)性提供準(zhǔn)確的數(shù)據(jù)參考依據(jù)。

2基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型的構(gòu)建

信息融合通俗的說法就是數(shù)據(jù)融合，信息融合的關(guān)鍵問題就是提出一種方法，對來自于相同系統(tǒng)或者不同特征模式的多源檢測信息進(jìn)行互補(bǔ)集成，從而獲得當(dāng)前系統(tǒng)狀態(tài)的判斷，并且對系統(tǒng)進(jìn)行未來預(yù)測，制訂出相應(yīng)的策略保障。

2．1當(dāng)前網(wǎng)絡(luò)安全態(tài)勢評估模型面臨的突出問題

當(dāng)前對現(xiàn)存的網(wǎng)絡(luò)安全態(tài)勢評估模型的分析發(fā)現(xiàn)其主要存在以下兩個(gè)問題：首先是系統(tǒng)狀態(tài)空間爆炸問題。信息系統(tǒng)的狀態(tài)是由不同的信息所組成的，這些信息在應(yīng)用網(wǎng)絡(luò)安全態(tài)勢評估模型方法進(jìn)行檢測的過程中，這些信息在空間中的儲存量會快速的增加，進(jìn)而導(dǎo)致使用空間的縮小，影響模型的運(yùn)行速度；其次，當(dāng)前網(wǎng)絡(luò)態(tài)勢評估模型主要的精力是放在對漏洞的探測和發(fā)現(xiàn)上，對于發(fā)現(xiàn)的漏洞應(yīng)該如何進(jìn)行安全級別的評估還比較少，而且這種模型評估主要是依據(jù)人為因素的比較大，必須根據(jù)專家經(jīng)驗(yàn)對相關(guān)系統(tǒng)的安全問題進(jìn)行評估，評估的結(jié)果不會隨著時(shí)間、地點(diǎn)的變化而變化，結(jié)果導(dǎo)致評估的風(fēng)險(xiǎn)不能真實(shí)的反映系統(tǒng)的內(nèi)部狀態(tài)。而且當(dāng)前市場中所存在的安全評估產(chǎn)品質(zhì)量不高，導(dǎo)致評估的結(jié)果也存在很大的問題。結(jié)合當(dāng)前網(wǎng)絡(luò)安全態(tài)勢評估模型的現(xiàn)存問題，我們應(yīng)該充分認(rèn)識到系統(tǒng)本身有關(guān)參數(shù)以及實(shí)際運(yùn)行數(shù)據(jù)的缺陷，通過融合技術(shù)將這些問題給予解決，然后建立一個(gè)基于信息融合技術(shù)安全評估的模型。

2．2基于信息融合的網(wǎng)絡(luò)安全評估模型

根據(jù)上述的問題，本文提出一個(gè)利用數(shù)據(jù)融合中心對網(wǎng)絡(luò)安全事件進(jìn)行數(shù)據(jù)綜合、分析和數(shù)據(jù)融合的網(wǎng)絡(luò)安全評估模型。具體設(shè)計(jì)模型見圖1：

（1）信息收集模塊。信息收集模塊就是形成漏洞數(shù)據(jù)庫，其主要是根據(jù)網(wǎng)絡(luò)專家對網(wǎng)絡(luò)系統(tǒng)的分析以及相關(guān)實(shí)驗(yàn)人員對網(wǎng)絡(luò)系統(tǒng)的安全配置管理的經(jīng)驗(yàn)，構(gòu)建一套相對標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫，然后進(jìn)行相應(yīng)的匹配規(guī)則，以此根據(jù)系統(tǒng)進(jìn)行自動漏洞的掃描工作，根據(jù)漏洞數(shù)據(jù)系統(tǒng)對網(wǎng)絡(luò)完全系統(tǒng)進(jìn)行處理。可以說漏洞系統(tǒng)的完整與否決定著網(wǎng)絡(luò)系統(tǒng)的安全程度。比如如果網(wǎng)絡(luò)漏洞數(shù)據(jù)庫存在缺陷，那么其就不能準(zhǔn)確的掃描出系統(tǒng)中的相關(guān)漏洞，這樣對網(wǎng)絡(luò)系統(tǒng)而言是一種巨大的安全隱患。因此在信息模塊建設(shè)過程中，一定要針對不同的網(wǎng)絡(luò)安全隱患構(gòu)建相應(yīng)的漏洞文件數(shù)據(jù)庫，同時(shí)還要保證漏洞庫內(nèi)的文件符合系統(tǒng)安全性能的要求。

（2）信息融合模塊。針對目前市場中所存在的收集信息產(chǎn)品之間的相互轉(zhuǎn)化局限問題，需要將信息接收系統(tǒng)轉(zhuǎn)化為一種通用的格式，以此實(shí)現(xiàn)對信息的統(tǒng)一接收，實(shí)現(xiàn)對原始信息的過濾機(jī)篩選。其具體的操作流程是：首先是數(shù)據(jù)預(yù)處理。由于網(wǎng)絡(luò)系統(tǒng)的信息數(shù)量很多，為了對網(wǎng)路安全進(jìn)行分析，前提就是要對眾多的信息進(jìn)行分類管理，建立漏洞關(guān)聯(lián)庫；其次是初級融合部分將預(yù)處理傳來的數(shù)據(jù)進(jìn)行分類處理，并且利用不同的關(guān)聯(lián)方法進(jìn)行處理，然后將處理的信息傳給下一級別的數(shù)據(jù)進(jìn)行融合處理；最后決策融合。決策融合是綜合所有的規(guī)則以及推理方法，對系統(tǒng)信息進(jìn)行綜合的處理之后，得出所需要的信息的策略。經(jīng)過融合的信息在處理之后，實(shí)現(xiàn)了信息之間由相互獨(dú)立到具有相互間關(guān)聯(lián)的數(shù)據(jù)。聯(lián)動控制根據(jù)融合后的數(shù)據(jù)查找策略庫中相匹配的策略規(guī)則，如果某條規(guī)則的條件組與當(dāng)前的數(shù)據(jù)匹配，即執(zhí)行聯(lián)動響應(yīng)模塊。

（3）人機(jī)界面。人機(jī)界面是實(shí)現(xiàn)網(wǎng)路拓?fù)渥詣犹綔y，實(shí)現(xiàn)智能安全評估的重要形式。人機(jī)界面主要是為系統(tǒng)安全評估的信息交流提供重要的載體，比如對于網(wǎng)路數(shù)據(jù)信息的錄入，以及給相關(guān)用戶提供信息查詢等都需要通過人機(jī)界面環(huán)節(jié)實(shí)現(xiàn)。人機(jī)界面安全評估主要包括對網(wǎng)絡(luò)系統(tǒng)安全評估結(jié)果以及相關(guān)解決策略的顯示。通過人機(jī)界面可以大大降低相關(guān)網(wǎng)絡(luò)管理人員的工作量，提高對網(wǎng)絡(luò)安全隱患的動態(tài)監(jiān)測。

3信息融合技術(shù)在模型中的層次結(jié)構(gòu)

本文設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)安全評估模型主要是利用漏洞掃描儀對系統(tǒng)漏洞進(jìn)行過濾、篩選，進(jìn)而建立漏洞數(shù)據(jù)庫的方式對相關(guān)系統(tǒng)漏洞進(jìn)行管理分析。因此我們將信息融合的結(jié)構(gòu)分為3層：數(shù)據(jù)層、信息層和知識層，分別對各個(gè)數(shù)據(jù)庫的創(chuàng)建方法和過程進(jìn)行詳細(xì)的闡述。

3．1數(shù)據(jù)層融合

漏洞數(shù)據(jù)庫是描述網(wǎng)絡(luò)系統(tǒng)狀態(tài)的有效信息，基于對當(dāng)前系統(tǒng)知識的理解，我們可以準(zhǔn)確的對系統(tǒng)的狀態(tài)進(jìn)行判斷，然后判定信息系統(tǒng)的漏洞，從而形成對階段網(wǎng)絡(luò)的攻擊模型：一是漏洞非量化屬性的提取，其主要包括：漏洞的標(biāo)識號、CVE、操作系統(tǒng)及其版本等；二是漏洞的量化性屬性的提取，其主要是提取系統(tǒng)的安全屬性。

3．2信息層融合

信息層融合主要是將多個(gè)系統(tǒng)的信息資源進(jìn)行整合，以此體現(xiàn)出傳感器提取數(shù)據(jù)所具備的的代表性，因此信息層融合的數(shù)據(jù)庫主要是：一是漏洞關(guān)聯(lián)庫的建立。網(wǎng)絡(luò)安全隱患的發(fā)生主要是外部侵入者利用系統(tǒng)的漏洞進(jìn)行攻擊，由此可見漏洞之間存在關(guān)聯(lián)性，因此為提高網(wǎng)絡(luò)系統(tǒng)的安全性，就必須要對漏洞的關(guān)聯(lián)性進(jìn)行分析，根據(jù)漏洞的關(guān)聯(lián)性開展網(wǎng)絡(luò)安全評估模型的構(gòu)建；二是建立動態(tài)數(shù)據(jù)庫。動態(tài)數(shù)據(jù)庫主要是根據(jù)對歷史態(tài)勢信息的分析，找出未來網(wǎng)絡(luò)安全的發(fā)展態(tài)勢，以此更好地分析網(wǎng)路安全態(tài)勢評估模型。

3．3知識層融合

篇5

【 關(guān)鍵詞 】 軍校學(xué)員；信息安全；風(fēng)險(xiǎn)評估

Cadets’s Information Security Risk Assessment Problems and Solutions

Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3

（1.Second Military Medical University， Department of Health Services Corps Shanghai 200433；

2.Second Military Medical University， Department of Health Services， Public Health Management Shanghai 200433；

3.Second Military Medical University， Department of Computer Shanghai 200433）

【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information， meanwhile， make a huge challenge to information security.So， Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing， point out the problems of information security risk assessment， and the specific implementation of countermeasures.

【 Keywords 】 cadet； information security； risk assessment

1 引言

軍隊(duì)院校信息化建設(shè)始于上個(gè)世紀(jì)90年代初開始，如今軍校教育教學(xué)、機(jī)關(guān)辦公、學(xué)員管理等基礎(chǔ)業(yè)務(wù)對網(wǎng)絡(luò)信息系統(tǒng)的依賴程度越來越大，同時(shí)面臨的信息安全問題也越來越復(fù)雜多樣化、越來越隱蔽化。雖然學(xué)校采取了安全監(jiān)測、入侵防護(hù)等安全技術(shù)措施，但由于學(xué)員網(wǎng)絡(luò)安全保密意識不強(qiáng)，網(wǎng)絡(luò)安全技術(shù)掌握不到位的欠缺，管理方法針對性不強(qiáng)，軍隊(duì)院校學(xué)員網(wǎng)絡(luò)安全風(fēng)險(xiǎn)高，以至網(wǎng)絡(luò)安全事件甚至泄密事件時(shí)有發(fā)生。而衛(wèi)勤軍校學(xué)員在平時(shí)的學(xué)習(xí)工作中均有可能會涉及并接觸到更多的軍事秘密，面臨的信息安全問題更加嚴(yán)峻。因此，迫切需要對衛(wèi)勤軍校學(xué)員的網(wǎng)絡(luò)信息安全現(xiàn)狀及風(fēng)險(xiǎn)因素進(jìn)行客觀有效的分析和評估，依據(jù)評估結(jié)果為針對軍校學(xué)員的網(wǎng)絡(luò)信息安全管理提供指導(dǎo)，進(jìn)而有針對性地采取綜合性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的有效管理措施。

2 軍校學(xué)員信息安全面臨的風(fēng)險(xiǎn)

2.1 網(wǎng)絡(luò)信息環(huán)境復(fù)雜，安全風(fēng)危險(xiǎn)性高

信息時(shí)代，互聯(lián)網(wǎng)的應(yīng)用已經(jīng)深入到各個(gè)領(lǐng)域，但其共享性、開放性和互聯(lián)性的特點(diǎn)，使得環(huán)境越來越復(fù)雜，危險(xiǎn)不安全因素越來越多。

一是網(wǎng)絡(luò)黑客攻擊。網(wǎng)絡(luò)攻擊包括黑客攻擊、病毒感染以及針對性軍事機(jī)構(gòu)、軍隊(duì)人員的網(wǎng)絡(luò)監(jiān)視，如軍校附近的企業(yè)、網(wǎng)絡(luò)監(jiān)聽。目前信息系統(tǒng)技術(shù)發(fā)達(dá)，網(wǎng)絡(luò)黑客可以通過極限攻擊、讀取受限文件、拒絕服務(wù)以及口令恢復(fù)等一系列技術(shù)獲取信息，對軍隊(duì)保密安全形成威脅。學(xué)員在使用網(wǎng)絡(luò)時(shí)感染病毒導(dǎo)致文件丟失、破壞，發(fā)生嚴(yán)重的安全事故。此外，針對軍事機(jī)構(gòu)和軍事人員的網(wǎng)絡(luò)監(jiān)視并不少見， 增加了軍校學(xué)員網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)。

二是網(wǎng)絡(luò)陷阱。特別是一些博客、論壇，借軍事愛好、討論敏感話題、套取軍事信息此外，有些人在網(wǎng)絡(luò)上設(shè)置陷阱，一旦發(fā)現(xiàn)軍人身份的網(wǎng)絡(luò)用戶便主動接近，通過交流和獲取軍隊(duì)內(nèi)部信息。同時(shí)，由網(wǎng)絡(luò)海量信息形成的巨大信息流，其中摻雜著諸多不良信息，更有人借網(wǎng)絡(luò)進(jìn)行非法活動的傳播，對大學(xué)生進(jìn)行鼓動和教唆，嚴(yán)重危害學(xué)員身心健康。現(xiàn)代社會的多元化很大程度上反映到了互聯(lián)網(wǎng)上，隨著網(wǎng)絡(luò)的發(fā)展，論壇社區(qū)、交友網(wǎng)站的興起，微博、QQ、MSN等交流交互方式的流行，智能手機(jī)的廣泛應(yīng)用，吸引著軍校學(xué)員接觸網(wǎng)絡(luò)，給學(xué)員自身、學(xué)校甚至軍隊(duì)的信息安全都帶來很大的威脅。

三是病毒感染網(wǎng)絡(luò)沉迷。互聯(lián)網(wǎng)的虛擬性極大程度地吸引著學(xué)員不斷接觸網(wǎng)絡(luò)，其中網(wǎng)絡(luò)戀情和網(wǎng)絡(luò)游戲是最主要的沉迷對象。人生觀和價(jià)值觀正在形成過程中的大學(xué)生分辨能力和自制能力較差，加上軍隊(duì)院校相對封閉的環(huán)境，部分軍校學(xué)員沉迷于網(wǎng)絡(luò)戀情或網(wǎng)絡(luò)游戲而不能自拔，安全意識更加薄弱，往往將自身信息和軍事機(jī)密信息透漏出去，甚至引發(fā)安全事故。

2.2 信息安全意識差，抵御能力弱

一方面隨著智能終端的不斷研發(fā)，信息化進(jìn)程的不斷推進(jìn)，上網(wǎng)方式已經(jīng)不再局限于計(jì)算機(jī)，智能手機(jī)、平板電腦以及各種無線網(wǎng)絡(luò)設(shè)備都可以方便連接網(wǎng)絡(luò)。學(xué)生作為網(wǎng)絡(luò)的主體，網(wǎng)絡(luò)信息安全意識差，依賴上網(wǎng)方式的多樣化和便捷性頻繁的接觸網(wǎng)絡(luò)。另一方面，隨著微時(shí)代的到來，微文化流行，參與便捷，加之學(xué)員的信息安全意識不強(qiáng)，將校區(qū)所處的環(huán)境圖片、課件、聽看到的信息、消息等隨手轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上，給學(xué)校和軍事機(jī)構(gòu)帶來嚴(yán)重的安全隱患。更有甚者，學(xué)員利用網(wǎng)絡(luò)散播不良信息，參與黑客等網(wǎng)絡(luò)破壞活動，給國家和軍隊(duì)帶來嚴(yán)重的損失。迅速發(fā)展和廣泛應(yīng)用的互聯(lián)網(wǎng)，是廣大軍校學(xué)員獲取信息的有效途徑，同時(shí)也對信息安全形成巨大挑戰(zhàn)。互聯(lián)網(wǎng)大量的信息集成，是對每個(gè)涉足互聯(lián)網(wǎng)人員的沖擊，沒有強(qiáng)烈的安全意識，很容易導(dǎo)致安全事故的發(fā)生。在管理方式上，大多數(shù)只停留在接受口頭安全教育的層面上，沒有意識到現(xiàn)代高端的信息技術(shù)和間諜技術(shù)帶來的威脅。

2.3 網(wǎng)絡(luò)信息安全管理差，處理方法少

目前軍校面臨的信息安全問題也越來越復(fù)雜多樣化、越來越隱蔽化。雖然殺毒軟件、防火墻、入侵檢測等安全技術(shù)的應(yīng)用起到一定的防御作用，但由于管理方法針對性不強(qiáng)，對于安全事件的處理不到位，信息安全事故依舊不減。軍隊(duì)院校是培養(yǎng)軍隊(duì)專門人才的特殊教育訓(xùn)練機(jī)構(gòu)，互聯(lián)網(wǎng)、校園網(wǎng)、軍事信息綜合網(wǎng)等各類網(wǎng)絡(luò)廣泛應(yīng)用。軍校學(xué)員在生活、學(xué)習(xí)過程中，有機(jī)會了解和掌握軍隊(duì)的編制體制、方針政策、武器裝備等涉及軍事秘密等信息，而針對軍校學(xué)員的網(wǎng)絡(luò)信息安全管理辦法少、科學(xué)性不強(qiáng)，主要體現(xiàn)在兩方面。

一是宣傳式教育過于形式化。大多數(shù)學(xué)校的網(wǎng)絡(luò)信息安全教育是以口頭說教、安全講座、安全知識考試以及教育傳單的形式展開，而這些宣傳式的教育流于表面，沒有真正讓學(xué)員體會到現(xiàn)代網(wǎng)絡(luò)環(huán)境存在的風(fēng)險(xiǎn)，也沒有意識到自己的網(wǎng)絡(luò)行為所造成的安全隱患。

二是限制網(wǎng)絡(luò)使用效果不明顯。為了防止安全保密事故的發(fā)生，學(xué)校常常用會限制學(xué)員的網(wǎng)絡(luò)使用，但是這種 “堵”的方式只能限制了學(xué)員對學(xué)校網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的使用，學(xué)員依舊可以方便選擇通過其他智能終端使用網(wǎng)絡(luò)，而且這種方式與現(xiàn)代信息社會格格不入，阻礙和影響到了學(xué)員正常獲取學(xué)校正常教學(xué)、辦公信息和知識的途徑，引起教學(xué)辦公人員的不滿。這些辦法并沒有真正加強(qiáng)學(xué)員的安全意識以及阻止安全事件的發(fā)生，也為信息安全帶來了風(fēng)險(xiǎn)。

3 軍校學(xué)員信息安全評估存在的問題

3.1 針對性不強(qiáng)，評估指標(biāo)不完善

目前大多數(shù)軍校都會定期對網(wǎng)絡(luò)進(jìn)行檢測和維護(hù)，對于信息安全的風(fēng)險(xiǎn)評估大多數(shù)側(cè)重于網(wǎng)絡(luò)硬件和軟件的基本情況，忽視了針對學(xué)員的信息風(fēng)險(xiǎn)評估。認(rèn)為通過限制使用就可以避免風(fēng)險(xiǎn)，這樣不但浪費(fèi)了資源，也沒有真正起到降低風(fēng)險(xiǎn)的作用。很多風(fēng)險(xiǎn)評估沒有針對學(xué)員的評估指標(biāo)，或者沒有深入研究學(xué)員的網(wǎng)絡(luò)行為，其指標(biāo)缺乏有針對性，導(dǎo)致評估在學(xué)員信息安全防范措施這一環(huán)節(jié)上的薄弱。

3.2 科學(xué)性不高，風(fēng)險(xiǎn)量化能力差

對于軍校學(xué)員的信息安全風(fēng)險(xiǎn)評估大多數(shù)指標(biāo)是定性的，而定性的安全風(fēng)險(xiǎn)評估無法準(zhǔn)確地確定風(fēng)險(xiǎn)的大小，無法對安全風(fēng)險(xiǎn)進(jìn)行精確地排序，從而難以確定系統(tǒng)面臨的真正風(fēng)險(xiǎn)。這就要求軍校學(xué)員信息安全風(fēng)險(xiǎn)評估工作所運(yùn)用的評估方法必須具備一定的量化能力。量化風(fēng)險(xiǎn)評估分析方法的關(guān)鍵在于輸入?yún)?shù)的量化。對制定的量表進(jìn)行有效的賦值，并在此基礎(chǔ)上歸類分析是量化評估的難點(diǎn)，而目前軍校在對學(xué)員進(jìn)行信息安全風(fēng)險(xiǎn)評估時(shí)，處理這些量化難點(diǎn)做的還不夠到位。

3.3 系統(tǒng)性評估流于形式，對評估結(jié)果沒有充分利用

多數(shù)軍校只有上級安全部門進(jìn)行的檢查評估時(shí)才進(jìn)行信息安全風(fēng)險(xiǎn)評估工作，并沒有進(jìn)行自評估，或者自評估的次數(shù)少，不能及時(shí)發(fā)現(xiàn)學(xué)員存在的信息安全隱患。風(fēng)險(xiǎn)評估在國內(nèi)發(fā)展的時(shí)間較短，在軍校學(xué)員中開展系統(tǒng)性的信息安全風(fēng)險(xiǎn)評估，軍校引入的并不多，所以評估的形式欠科學(xué)性。同時(shí)評估流于形式，有些軍校雖然開展了對學(xué)員的評估，但不能根據(jù)評估結(jié)果采取相應(yīng)的安全措施，失去了評估的意義。

4 軍校學(xué)員風(fēng)險(xiǎn)評估實(shí)施策略

4.1 提高重視程度，采用先進(jìn)管理方法

提高對學(xué)員信息安全風(fēng)險(xiǎn)評估的重視程度是決定風(fēng)險(xiǎn)評估效果的關(guān)鍵因素。首先，軍校工作人員在對學(xué)校整個(gè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估時(shí)，應(yīng)當(dāng)把對學(xué)員的信息安全風(fēng)險(xiǎn)評估單獨(dú)列出，著重從倫理道德、紀(jì)律規(guī)范、網(wǎng)絡(luò)技能和網(wǎng)絡(luò)行為等方面進(jìn)行評估，提高學(xué)員的安全思想意識。其次，要引進(jìn)先進(jìn)的管理辦法，不能只停留在宣傳式教育和限制網(wǎng)絡(luò)上。宣傳形式要新穎，可以用實(shí)例向?qū)W員宣講，同時(shí)模擬真實(shí)的環(huán)境，讓學(xué)員參與其中，從而加深印象，提高意識。管理上可以對學(xué)員進(jìn)行跟蹤監(jiān)測，發(fā)現(xiàn)學(xué)員在網(wǎng)絡(luò)使用上的漏洞，將其列為控制的關(guān)鍵環(huán)節(jié)加強(qiáng)管理；也可以對學(xué)員進(jìn)行調(diào)研，了解學(xué)員對于網(wǎng)絡(luò)行為和信息安全的認(rèn)識程度，及時(shí)進(jìn)行針對性教育。同時(shí)，領(lǐng)導(dǎo)層面要加強(qiáng)重視，才能提供更多的人力物力支持評估工作。各級干部和學(xué)員要抓好落實(shí)，養(yǎng)成良好的安全習(xí)慣，配合好風(fēng)險(xiǎn)評估工作。

4.2 深入研究風(fēng)險(xiǎn)，有針對性地建立指標(biāo)體系

合理有效的評估指標(biāo)體系是進(jìn)行風(fēng)險(xiǎn)評估的基礎(chǔ)要素。建立有針對性的評估指標(biāo)體系：一是要要充分調(diào)研學(xué)員信息安全存在的風(fēng)險(xiǎn)，跟蹤學(xué)員的網(wǎng)絡(luò)行為，發(fā)現(xiàn)關(guān)鍵環(huán)節(jié)；二是要把握指標(biāo)體現(xiàn)建立的原則。首先是一般性原則，包括系統(tǒng)性原則、典型性原則、導(dǎo)向性原則、針對性原則、簡約性原則、可操作性原則以及可延續(xù)性原則。風(fēng)險(xiǎn)評估設(shè)計(jì)要考慮到學(xué)員心理行為、網(wǎng)絡(luò)安全技術(shù)和安全管理制度等多方面因素，依照一般性原則的同時(shí)也要綜合考慮這些特殊因素；三是要多維度建立評估指標(biāo)體系。依據(jù)信息安全風(fēng)險(xiǎn)評估成熟的理論和方法，根據(jù)對軍校學(xué)員網(wǎng)絡(luò)行為的研究結(jié)果，從法律法規(guī)、倫理道德、安全保密和安全技術(shù)等維度入手，在每個(gè)維度中確立定性和定量的指標(biāo)，建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估架構(gòu)。

4.3 充分利用評估結(jié)果，將風(fēng)險(xiǎn)評估制度化

在完成了對學(xué)員信息安全風(fēng)險(xiǎn)的評估后，要對采集的數(shù)據(jù)進(jìn)行科學(xué)的分析。針對學(xué)員的信息安全風(fēng)險(xiǎn)評估存在大量的定性指標(biāo)，具有結(jié)構(gòu)復(fù)雜、不確定性和非線性的特點(diǎn)，傳統(tǒng)的權(quán)重賦值方法精度低。人工神經(jīng)網(wǎng)絡(luò)是近幾年發(fā)展起來的一種新興的科學(xué)方法，它模仿人大腦的工作機(jī)理和思維本質(zhì)，通過數(shù)學(xué)模型與計(jì)算機(jī)的結(jié)合，所建立起來的一套智能的系統(tǒng)。目前，人工神經(jīng)網(wǎng)絡(luò)已經(jīng)發(fā)展了十幾種，適用于不同的實(shí)際問題來建模。而徑向基神經(jīng)網(wǎng)絡(luò)因其能夠逼近任意的非線性函數(shù)，解決系統(tǒng)內(nèi)在難以解析的規(guī)律，因此在實(shí)際評估的過程中能很好地處理主觀與客觀的指標(biāo)，得到較為完善的評估結(jié)果。針對評估結(jié)果，學(xué)校應(yīng)當(dāng)采取一系列管理措施，并制定長期的網(wǎng)絡(luò)使用規(guī)范和有關(guān)信息安全的紀(jì)律條例，并根據(jù)新的問題進(jìn)行修改和完善。把對學(xué)員信息安全的風(fēng)險(xiǎn)評估制度化、規(guī)范化，真正展現(xiàn)發(fā)揮風(fēng)險(xiǎn)評估的效果效用，從而避免安全事故的發(fā)生。

參考文獻(xiàn)

[1] 賈玲.軍校網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估研究[J]. 武警學(xué)院學(xué)報(bào)，2010（8）：95-96.

[2] 賈衛(wèi)國，許浩，王成.軍校網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估工作探討[J]. 計(jì)算機(jī)安全，2009（9）：78-80.

[3] 孫利娟，劉彩紅.高校信息安全教育問題研究[J]. 電腦技術(shù)與知識，2010（8）：30.

[4] 劉楓.大學(xué)生信息安全素養(yǎng)分析與形成[J]. 計(jì)算機(jī)教育，2010（21）：77-80.

[5] 申時(shí)凱，佘玉梅. 糊神經(jīng)網(wǎng)絡(luò)在信息安全風(fēng)險(xiǎn)評估中的應(yīng)用[J]. 計(jì)算機(jī)仿真，2011（10）：92-94.

[6] 黃婷婷.網(wǎng)絡(luò)安全防御管理研究及對策[J]. SILICONVALLEY，2010（6）：107.

[7] 趙軍勇. 網(wǎng)絡(luò)信息系統(tǒng)技術(shù)安全與防范[J]. 廣播電視技術(shù)，2011（4）：9-11.

[8] 任麗平. 加強(qiáng)大學(xué)生網(wǎng)絡(luò)安全教育[J]. 內(nèi)江師范學(xué)院學(xué)報(bào)，2004（5）：97-100.

[9] 巢傳宣.大學(xué)生網(wǎng)絡(luò)安全問題研究[J]. 南昌工程學(xué)院學(xué)報(bào)，2010（5）：54-57.

[10] 韓立群.人工神經(jīng)網(wǎng)絡(luò)理論、設(shè)計(jì)及應(yīng)用（第2 版）[M].化學(xué)工業(yè)出版社，2011（9）：164.

[11] 郝文江，武捷.三網(wǎng)融合中的安全風(fēng)險(xiǎn)及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012，（01）：5-9.

[12] 任偉.無線網(wǎng)絡(luò)安全問題初探[J].信息網(wǎng)絡(luò)安全，2012，（01）：10.

[13] 郎為民，楊德鵬，李虎生.基于SIR模型的智能電網(wǎng)WCSN數(shù)據(jù)偽造攻擊研究[J].信息網(wǎng)絡(luò)安全，2012，（01）：14-16.

基金項(xiàng)目：

基于神經(jīng)網(wǎng)絡(luò)模型的大學(xué)生網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估及對策研究；項(xiàng)目級別：校創(chuàng)新能力基金；項(xiàng)目編號：ZD2012039。

作者簡介：