物联网安全总结范文

导语：如何才能写好一篇物联网安全总结，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

【 关键词 】 信息安全；规划；规范；完善；信息系统

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在当今全球一体化的环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为信息化管理越来越关键的一部分。面对越来越严峻的安全形势，世界各国高度重视信息安全保障。2015年已然过半，在安全行业，不同规模的攻击者，无论是技术还是组织都在快速提升。相比之下美国信息安全保障体系建设比较完善，信息保障已成为美军组织实施信息化作战的指导思想。

国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主要有几个：ISO（国际标准化组织）、IEC（国际电工委员会）、ITU（国际电信联盟）、IETF（Internet工程任务组）等。除了上述标准组织，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。

2 国外IT新技术信息安全

随着全球信息化浪潮的不断推进，信息技术正在经历一场新的革命，使社会经济生活各方面都发生着日新月异的变化。虚拟化、云计算、物联网、IPv6等新技术、新应用和新模式的出现，对信息安全提出了新的要求，拓展了信息安全产业的发展空间。同时，新技术、新应用和新模式在国外市场的全面开拓将加快国外信息安全技术创新速度，催生云安全等新的信息安全应用领域，为国外企业与国际同步发展提供了契机。

2.1 云计算

“云安全”是继“云计算”、“云存储”之后出现的“云”技术的重要应用，已经在反病毒软件中取得了广泛的应用，发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全联盟CSA是在2009年的RSA大会上宣布成立的，云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。同时云安全联盟列出了云计算的七大安全风险：（1）数据丢失/泄漏；（2）共享技术漏洞；（3）内部控制；（4）账户、服务和通信劫持；（5）不安全的应用程序接口；（6）没有正确运用云计算；（7）透明度问题。

2.2 虚拟化

咨询公司Gartner将虚拟化技术列为2013年十大战略技术第一位，而在2014年初预测中，更是大胆断言到2015年20%的企业将不再拥有IT资产，因为多个内在关联的趋势正在推动企业去逐步减少IT硬件资产，这些趋势主要是虚拟化、云计算服务等。而虚拟化技术，作为云计算的一个支撑技术，必将成为未来最重要的最值得研究的IT技术之一。虽然目前针对各组件安全的保护措施不少，但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有三类：逃逸威胁、流量分析与隐蔽信道以及Host OS与Guest OS之间的共享问题。

2.3 物联网

物联网和互联网一样，都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统，其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。根据物联网自身的特点，物联网除了面对移动通信网络的传统网络安全问题之外，还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成，缺少人对设备的有效监控，并且数量庞大，设备集群等相关特点造成的，这些特殊的安全问题主要有几个方面：（l）物联网机器/感知节点的本地安全问题；（2）感知网络的传输与信息安全问题；（3）核心网络的传输与信息安全问题；（4）物联网应用的安全问题。

2.4 IPv6

为适应Intemet的迅速发展及对网络安全性的需要，由IETF（The Internet Engineer Task Force）建议制定的下一代网际协议（IPNextGeneration Protocol，IPng），又被称为IP版本6（1Pv6），除了扩展到128位地址来解决地址匮乏外，在网络安全上也做了多项改进，可以有效地提高网络的安全性。

由于IPv6与IPv4网络将会，网络必然会同时存在两者的安全问题，或由此产生新的安全漏洞。已经发现从IPv4向IPv6转移时出现的一些安全漏洞，例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源，攻击者可以通过安装了双栈的使用IPv6的主机，建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击。

3 国外信息安全发展趋势

据Gartner分析，当前国际大型企业在信息安全领域主要有几个发展趋势：（1） 信息安全投资从基础架构向应用系统转移；（2）信息安全的重心从技术向管理转移；（3）信息安全管理与企业风险管理、内控体系建设的结合日益紧密；（4）信息技术逐步向信息安全管理渗透。结合大型企业信息安全发展趋势，国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化发展需要的信息安全体系架构模型，着力建立全面的企业信息安全体系架构，使企业的信息安全保护模式从较为单一的保护模式发展成为系统、全面的保护模式。

4 国外信息安全总结

信息安全在国外已经上升到了国家战略层次，国外的信息安全总体发展领先于国内，特别是欧美，研究国外的信息安全现状有助于我国的信息安全规划。国外的主流的信息安全体系框架较多，都有其适用范围和缺点，并不完全符合我国现状，可选取框架的先进理念和组成部分为我国所用，如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全管理模型、IBM的安全治理模块等。

5 国内信息安全综述

目前，国家开始高度重视信息安全问题，以等级保护和分级保护工作为主要手段，加强我国企事业单位的信息安全保障水平。 目前我国信息于网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态，信息与网络安全，目前处于忙于封堵现有信息系统的安全漏洞，要解决这 些迫在眉睫的问题，归根结底取决于信息安全保障体系的建设。

6 国内信息安全标准

国内的安全标准组织主要有信息技术安全标准化技术委员会（CITS）、中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。

在信息安全标准方面，我国已了《信息技术 安全技术 公钥基础设施在线证书状态协议》、《信息技术 安全技术 公钥基础设施证书管理协议》等几十项重要的国家信息安全基础标准，初步形成了包括基础标准、技术标准、管理标准和测评标准在内的信息安全标准体系框架。

7 国内IT新技术信息安全

7.1 云计算

目前我国的云计算应用还处于初始阶段，关注的重点是数据中心建设、虚拟化技术方面，因此，我国的云安全技术多数集中在虚拟化安全方面，对于云应用的安全技术所涉及的还不多。虽然当前众多厂商提出了各种云安全解决方案，但云安全仍处于起步阶段，除了可能发生的大规模计算资源的系统故障外，云计算安全隐患还包括缺乏统一的安全标准、适用法规、以及对于用户的隐私保护、数据、迁移、传输安全、灾备等问题。

7.2 虚拟化

由于虚拟化技术能够通过服务器整合而显著降低投资成本，并通过构建内部云和外部云节省大量的运营成本，因此加速了虚拟化在全球范围的普及与应用。目前许多预测已经成为现实：存储虚拟化真正落地、高端应用程序虚拟化渐成主流、网络虚拟化逐渐普及、虚拟化数据中心朝着云计算的方向大步迈进、管理工具比以往更加关注虚拟数据中心。在虚拟化技术应用方面，企业桌面虚拟化、手机虚拟化、面向虚拟化的安全解决方案、虚拟化推动绿色中心发展等领域也取得了长足进步，发展势头比之前预想的还要迅猛。

7.3 IPv6

我国IPv6标准整体上仍处于跟随国际标准的地位，IPv6标准进展与国际标准基本一致，在过渡类标准方面有所创新（如软线技术标准和 IVI技术标准等），已进入国际标准。中国运营企业在IPv6网络的发展，奠定了中国在世界范围内IPv6领域的地位，积累了一定的运营经验。但总体来看，我国IPv6运营业发展缓慢，主要体现在IPv6网络集中在骨干网层面，向边缘网络延伸不足，难以为IPv6特色业务的开发和规模商用提供有效平台。此外，由于运营企业积极申请IPv4地址，或采用私有地址，对于发展IPv6用户并不积极，直接影响了其他产业环节的IPv6投入力度。

8 国内信息安全发展趋势

随着信息技术的快速发展和广泛应用，基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增，应用安全日益受到关注，主动防御技术成为信息安全技术发展的重点。

第一，向系统化、主动防御方向发展。信息安全保障逐步由传统的被动防护转向"监测-响应式"的主动防御，产品功能集成化、系统化趋势明显，功能越来越丰富，性能不断提高；产品问自适应联动防护、综合防御水平不断提高。

第二，向网络化、智能化方向发展。计算技术的重心从计算机转向互联网，互联网正在逐步成为软件开发、部署、运行和服务的平台，对高效防范和综合治理的要求日益提高，信息安全产品向网络化、智能化方向发展。网络身份认证、安全智能技术、新型密码算法等信息安全技术日益受到重视。

第三，向服务化方向发展。信息安全内容正从技术、产品主导向技术、产品、服务并重调整，安全服务逐步成为发展重点。

9 国内信息安全总结

国内的信息安全较国外有一定距离，不过也正在快速赶上，国内现在以等级保护体系和分级保护体系为主要手段，以保护重点为特点，强制实施以提高对重点系统和设施的信息安全保障水平，国内的信息安全标准通过引进和消化也已经初步成了体系，我国在规划时，需考虑合规因素，如等级保护和分级保护。国内的信息安全体系框架较少，主要是等级保护和分级保护，也有国内专家个人推崇的框架，总体来讲，以合规为主要目的。

参考资料

[1] 中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例.1994.

[2] 公安部，国家保密局，国家密码管理局，国务院信息化工作办公室.信息安全等级保护管理办法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April， 2006.

篇2

关键词：企业信息化；信息安全管理体系；信息安全保障

1 企业信息安全需求与目标

近年来随着企业信息系统建设的不断发展，企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业，公司的发展对高速动车行业产生着举足轻重的作用；从企业信息安全现状分析，公司IT部门主管深深意识到，尽管从自身情况来看，在信息安全方面已经做了很多工作，如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁，无法产生协同效应，距离国际同行业企业还存在一定的差距。

公司通过可行性研究及论证，决定借助外力，通过知名的咨询公司协助企业发现存在的信息安全不足点，以科研项目方式，通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求，分析企业目前的现状和国际标准ISO27001之间的差距，继而完善企业信息安全体系的规划与设计，最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强，建立一个有责（职责）、有序（秩序）、有效（效率）的信息安全管理体系，预防信息安全事件的发生，确保更小的业务损失，提供客户满意度，获取更多的管理支持。在行业内树立标杆和示范，提升企业形象，赢取客户信任，增强竞争力。同时，使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。

2 企业信息安全管理体系建设过程

凡事预则立，不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段：实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA（Plan-Do-Check-Action）模型及ISO27001要求，即有效地保护企业信息系统的安全，确保信息安全的持续发展。本文结合作者经验，重点论述上述几个方面的内容。

2.1 确立范围

首先是确立项目范围，从机构层次及系统层次两个维度进行范围的划分。从机构层次上，可以考虑内部机构：需要覆盖公司的各个部门，其包括总部、事业部、制造本部、技术本部等；外部机构：则包括公司信息系统相连的外部机构，包括供应商、中间业务合作伙伴、及其他合作伙伴等。

从系统层次上，可按照物理环境：即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等；网络系统：构成信息系统网络传输环境的线路介质，设备和软件；服务器平台系统：支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统；应用系统：支撑业务、办公和管理应用的应用系统；数据：整个信息系统中传输以及存储的数据；安全管理：包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。

2.2 安全风险评估

企业信息安全是指保障企业业务系统不被非法访问、利用和篡改，为企业员工提供安全、可信的服务，保证信息系统的可用性、完整性和保密性。

本次进行的安全评估，主要包括两方面的内容：

2.2.1 企业安全管理类的评估

通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对，以及在行业的经验上进行“差距分析”，检查企业在安全控制层面上存在的弱点，从而为安全措施的选择提供依据。

评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面，包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。

2.2.2 企业安全技术类评估

基于资产安全等级的分类，通过对信息设备进行的安全扫描、安全设备的配置，检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点，为安全加固提供依据。

针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法，在应用评估中将对应用系统的威胁、弱点进行识别，分析其和应用系统的安全目标之间的差距，为后期改造提供依据。

提到安全评估，一定要有方法论。我们以ISO27001为核心，并借鉴国际常用的几种评估模型的优点，同时结合企业自身的特点，建立风险评估模型：

在风险评估模型中，主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点在现有控制措施的保护下，被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度，威胁的属性是威胁发生的可能性及其危害的严重程度，风险的属性是风险级别的高低。风险评估采用定性的风险评估方法，通过分级别的方式进行赋值。

2.3 规划体系建设方案

企业信息安全问题根源分布在技术、人员和管理等多个层面，须统一规划并建立企业信息安全体系，并最终落实到管理措施和技术措施，才能确保信息安全。

规划体系建设方案是在风险评估的基础上，对企业中存在的安全风险提出安全建议，增强系统的安全性和抗攻击性。

在未来1-2年内通过信息安全体系制的建立与实施，建立安全组织，技术上进行安全审计、内外网隔离的改造、安全产品的部署，实现以流程为导向的转型。在未来的 3-5 年内，通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设，将企业建设成为一个注重管理，预防为主，防治结合的先进型企业。

2.4 企业信息安全体系建设

企业信息安全体系建立在信息安全模型与企业信息化的基础上，建立信息安全管理体系核心可以更好的发挥六方面的能力：即预警（Warn）、保护（Protect）、检测（Detect）、反应（Response）、恢复（Recover）和反击（Counter-attack），体系应该兼顾攘外和安内的功能。

安全体系的建设一是涉及安全管理制度建设完善；二是涉及到信息安全技术。首先，针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。

其次，信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术，以及安全基础设施平台；同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求，规划信息安全技术包括：

2.5 体系运行及改进

信息安全管理体系文件编制完成以后，由公司企划部门组织按照文件的控制要求进行审核。结合公司实际，在体系文件编制阶段，将该标准与公司的现有其他体系，如质量、环境保护等体系文件，改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力，批准并实施了信息安全管理系统的文档。至此，信息安全管理体系将进入运行阶段。

有人说，信息系统的成功靠的是“三分技术，七分管理，十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此！在此期间，以IT部门牵头，加强宣传力度，组织了若干次不同层面的宣导培训，充分发挥体系本身的各项功能，及时发现存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。

3 总结

总结项目，建立健全的信息安全管理制度是进行安全管理的基础。当然，体系建设过程中还存在不足，如岗位原有职责与现有安全职责的界定，员工的认知及接受程度还有待提高，体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终，在公司各部门的共同努力下，体系经历了来自国际知名品牌认证公司DNV及中国认可委（CNAS）的双重检验，并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准，提升公司信息安全管理的水平，从而为企业向国际化发展与合作提供有力支撑。

[参考文献]

[1]沈昌祥.《信息系统安全导论》.电子工业出版社，2003.7.