信息安全服务评估报告范文
时间:2023-05-04 13:13:17
导语:如何才能写好一篇信息安全服务评估报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
安全评估管理规定
第一条为规范开展互联网新闻信息服务新技术新应用安全评估工作,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本规定。
第二条国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估,适用本规定。
本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”),是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。
本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”),是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级,审查评价其信息安全管理制度和技术保障措施的活动。
第三条互联网新闻信息服务提供者调整增设新技术新应用,应当建立健全信息安全管理制度和安全可控的技术保障措施,不得、传播法律法规禁止的信息内容。
第四条国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。
国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。
第五条鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律,建立健全安全评估服务质量评议和信用、能力公示制度,促进行业规范发展。
第六条互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度,按照本规定要求自行组织开展安全评估,为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合,并及时完成整改。
第七条有下列情形之一的,互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估,编制书面安全评估报告,并对评估结果负责:
(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;
(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。
国家互联网信息办公室适时新技术新应用安全评估目录,供互联网新闻信息服务提供者自行组织开展安全评估参考。
第八条互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估,发现存在安全风险的,应当及时整改,直至消除相关安全风险。
按照本规定第七条规定自行组织开展安全评估的,应当在应用新技术、调整增设应用功能前完成评估。
第九条互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后,应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。
第十条报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的,由国家互联网信息办公室组织开展安全评估;报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室组织开展安全评估;报请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后,将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。
第十一条互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,应当提供下列材料,并对提供材料的真实性负责:
(一)服务方案(包括服务项目、服务方式、业务形式、服务范围等);
(二)产品(服务)的主要功能和主要业务流程,系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍);
(三)产品(服务)配套的信息安全管理制度和技术保障措施;
(四)自行组织开展并完成的安全评估报告;
(五)其他开展安全评估所需的必要材料。
第十二条国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。
国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实,服务提供者应予配合。
国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后,应自行或委托第三方机构编制形成安全评估报告。
第十三条新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患,未能配套必要的安全保障措施手段的,互联网新闻信息服务提供者应当及时进行整改,直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前,拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。
服务提供者拒绝整改,或整改后未达法律法规规章等相关规定和国家强制性标准相关要求,而导致不再符合许可条件的,由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定,责令服务提供者限期改正;逾期仍不符合许可条件的,暂停新闻信息更新;《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的,不予换发许可证。
第十四条组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密,不得泄露、出售或者非法向他人提供。
第十五条国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度,对新技术新应用加强监测巡查,强化信息安全风险管理,督导企业主体责任落实。
第十六条互联网新闻信息服务提供者未按照本规定进行安全评估,违反《互联网新闻信息服务管理规定》的,由国家和地方互联网信息办公室依法予以处罚。
篇2
随着信息技术的飞速发展和广泛应用,信息化逐渐渗透到社会各个领域,国家的经营活动也完全处于信息化环境之下。然而信息化的普及也使得人们越来越依赖信息系统,意味着其面对安全威胁时更加脆弱。本文通过介绍信息安全管理软件,主要阐述了其在企业信息管理中的作用和地位,例举了信息安全管理软件在黑莓手机和交通管理中的实际应用,分析了其未来的发展趋势。
1信息安全管理软件在实际生活中的应用
1.1信息安全管理软件在企业管理中的应用
国外常见应用于企业的信息安全管理软件有ASSET、COBRA、Callio Secum 17799等。ASSET主要通过用户手动操作对信息系统安全性进行自我评估,生成安全性自我评估报告,从而达到保障信息系统安全性的目的;COBRA通过问卷的方式采集和分析资料,并对组织的风险进行定性分析,最终生成包含已识别风险和推荐措施的评估报告;Callio Sect~是一款帮助企业实施定性的风险评估和认证信息安全管理体系的基于Web的工具。它们有各自的优缺点,其中COBRA和CallioSecum的技术相对成熟,安全性更高,使用范围也更广。
国内开发的企业信息安全管理软件比较少,如今应用得比较广泛的是由厦门天锐科技有限公司自主研发的绿盾加密软件,是一套整合了文件自动加密、网络实时监控、网络行为管理及内网的软件系统,为企业信息一体化的安全管理提供解决方案,从源头保障了数据存储和使用安全。
信息安全管理软件在企业中主要起到了保护企业信息资源财产安全、防止企业信息泄露、规范企业员工行为准则、保障企业信息系统得以顺畅运行等重要作用,保证企业的价值最大化。
1.2黑莓手机中信息安全管理软件的设计和实现
在信息化逐渐普及的今天,智能手机也随之迅猛发展起来,但是人们在享受它带来的生活乐趣和生活便利的同时,也随时面临着个人信息泄露、重要数据丢失、通信不安全等威胁。因此,如何利用信息安全管理软件避免信息泄露是相关技术人员应该致力研究的方向。
在黑莓手机的安全管理软件设计中,技术人员采用了很多模块功能来控制信息的泄露、转移、传送等过程,保证了这些过程实施的安全性。例如:当操作模块受到客户端发送的销毁敏感数据的命令时,先在敏感信息模块对数据进行删除,再调用通信模块将执行结果提交到服务器;在加解密模块,使用RC4算法对所有交互数据进行加密,通过读取程序预设的通信解密密匙进行解密;短信收发模块通过调用加解密模块对短信内容进行加解密,防止短信等信息被不法分子窃听破解。
合理利用相关信息安全技术手段提高手机通信中的安全管理,能保护公民个人隐私、企业财产安全,但是现在信息安全管理技术发展的并不成熟,相关管理软件也存在一些漏洞,需要在未来不断地进步并修复这些可能存在的技术本身的风险和威胁。
1.3信息安全管理软件在交通管理中的应用实现
在国家公安机关进行交通管理信息化的进程中,有些非法分子使用安全攻击技术和手段对交通管理信息系统进行攻击,企图窃取相关业务软件,篡改程序代码谋取利益。这些行为使得交通管理信息安全系统承受着日益沉重的压力,严重危害了交通管理业务的办理和安全。
公安机关通过安装点标识、安装密钥管理、正式密钥管理和设置通信机制等技术手段来实现交通管理信息系统的安全管理。安装点标识通过采集足够多的信息以对服务器进行认证识别;密钥管理中,系统通过安装密钥、注册采集标识信息、验证注册信息生成正式的密钥,保证信息的安全性;在系统信息交互过程中使用双重对称加密法保证通信的保密性和完整性。通过使用这些信息安全技术和安装信息安全管理软件,加强了交通管理业务软件的安全性,保障了相关业务的顺利进行。
2信息安全管理软件的现状及发展趋势
2.1国内信息安全管理软件的发展现状
我国近几年来虽然大力引入信息化,注重信息化管理,但是由于自身信息化技术不完备、观念不清、试验尚不成熟等原因,加上信息化随之引起的信息安全问题,国内信息化产业发展得并不顺畅。很多企业在面临信息安全风险时,更倾向于使用国外的信息安全管理软件,因为它们的功能更强大、界面更友好、技术更成熟。这就导致了国内信息安全管理软件并没有得到一个很好的环境来开发或者发展,这是现阶段我们应该认识到并值得注意的问题。
2.2国内信息安全管理软件的发展趋势
IT新技术的高速发展和攻击手段的不断变化,使得信息安全软件快速崛起。传统的信息安全软件偏重于静态的封闭的自我保护,随着攻击者手段的不断变化和信息安全事故的损失之惨痛,未来的信息安全软件将朝着动态变化主动出击发展。预测未来应急相应技术、攻击取证、攻击陷阱、入侵容忍和自动恢复将成为信息安全发展的热门。信息安全软件也将避开基于特征的防御难题,转向基于行为的防护。另外,信息安全软件的保护环境也将覆盖到内网。人们往往认为黑客的攻击来源于外网用户,而忽略了内网用户对内网结构、防范部署了解更深,因此,内网用户的攻击和误操作也会给整个网络带来巨大的伤害,因此未来的信息安全软件将逐步消除这一安全盲区。
未来的信息安全软件可能仍然会侧重于基础软件的完善,如通信协议软件、操作系统、数据库、通用办公软件和中间件。基础软件一旦存在安全漏洞,将会造成毁灭性的伤害。因此软件安全工程、软件功能可信性验证、软件漏洞自动分析工具、软件完整性保护方法,都是未来软件的发展新动力。安全软件的应用重点领域也将仍然是:政府、军队、能源、银行、电信。其中证券、交通、教育、制造对于等新兴企业需求日趋强劲。信用卡的信息安全问题日趋严重,我国银行信用卡发行超过4亿张,但据调查,银行客户信用卡泄露情况非常严重,甚至在网络上形成公开贩卖之势。信用卡领域信息安全也会成为信息安全市场的新兴产业。
未来中国信息安全市场整体仍然保持20%的年平均增长率,网络信息安全行业的市场规模,有望达到300亿元。
3结论
目前信息安全管理软件发展还不是很完备,信息安全这条路还需要进行不断探索发展。国家需要信息技术和科学管理方面的人才,为指导和指挥我国信息安全产业发展提供坚实有力的基础。信息安全管理软件也势必会经历一系列的改革淘汰,最终形成成熟的技术体系。
篇3
【 关键词 】 物联网;信息安全;检测体系
1 引言
随着国家信息网络基础设施基本完成,信息化应用全面展开,物联网广泛应用于公共事业/服务、交通运输、个人用户、批发零售、工业、制造业、商业、服务业、农业、建筑业、金融业等。目前来看,物联网虽然给人们带来便利,但物联网在信息安全方面还存在一定的局限性。一是存在信号受到干扰的可能。如果安置在物品上的传感设备信号受到恶意干扰,很容易造成重要物品损失以及重要信息被篡改、丢失的隐患。二是恶意入侵的隐患。如果病毒、黑客、恶意软件绕过了相关安全技术的防范,对物联网的授权管理进行恶意操作,掌控他人的物品,就会造成对用户隐私权的侵犯。如果爆炸物、枪支等危险物品被其它人掌控,后果会十分严重。因此,物联网安全问题如果得不到有效解决,将严重阻碍物联网产业发展。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得传统安全技术无法直接应用于物联网,由此引发物联网特有的安全问题,而物联网安全技术和安全状况缺乏有效的检测和评价手段。
我国政策环境较好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域。国家高度重视物联网安全建设。2013年初,国务院了《关于推进物联网有序健康发展的指导意见》(国发[2013]7号)中明确提出以工业和信息化部、发展改革委、公安部牵头承担物联网安全保障专项行动计划:提高物联网信息安全管理与数据保护水平,建立健全监督、检查和安全评估机制。加强物联网重要应用和系统的安全测评、风险评估和安全防护工作。加快物联网相关标准、检测、认证等公共服务建设,完善支撑服务体系,有效保障物联网信息采集、传输、处理、应用等各环节的安全可控。
2 物联网一体化安全检测体系
各类物联网示范工程进行大规模应用之前,应充分考虑和评测其安全性,从源头保证物联网安全措施有效性、功能符合性、安全管理的全面性以及给出安全防护评估。在建设实施阶段,将所有的安全功能模块(产品)集成为一个完整的系统后,需要检查集成出的系统是否符合要求,测试并评估安全措施在整个系统中实施的有效性,跟踪安全保障机制并发现漏洞,完成系统的运行程序和全生命期安的安全风险评估报告。在运行维护阶段,要定期进行安全性检测和风险评估以保证系统的安全水平在运行期间不会下降,包括检查产品的升级和系统打补丁情况,检测系统的安全性能,检测新安全攻击、新威胁以及其它与安全风险有关的因素,评估系统改动对安全系统造成的影响。
物联网关键安全问题:一是感知设备安全;二是物联网系统安全和风险评估,重点是接入问题;三是业务应用安全。目前,各行业均提出了相应的安全防护体系,如智能电网系统、工业控制系统等。本文依据相关的安全防护体系提出物联网一体化安全检测体系,即“一中心、两库、五平台”,如图1所示。即开放式场景检测支撑平台、感知设备安全检测服务平台、物联网系统安全检测服务平台、物联网系统风险评估服务平台、物联网集成化安全管理检查服务平台、物联网安全检测标准及指标库、物联网信息安全漏洞与补丁库以及一体化安全检测管理中心。在此基础上,结合物联网具体业务需求,进行物联网安全检测方法、规范、指标体系、专业化检测技术研究与积累。同时,形成一支服务于物联网安全检测的多层次、复合型、专业化人才队伍,全面保障物联网系统安全稳定运行。
3 “五平台”
“五平台”提供检测、检查和评估三类专业化服务,其中物联网集成化安全管理检查服务平台可作为独立平台对外提供检查服务;开放式场景检测支撑平台为感知设备安全检测服务平台与物联网系统安全检测服务平台提供安全符合性检测环境,此三个平台提供技术检测服务;物联网系统风险评估服务平台在前述四个平台基础上,关联外在威胁,分析自身脆弱性,提供风险评估服务。“五平台”结构关系如图2所示,“五平台”既可独立提供检测服务,也可互为补充,为用户提供定制化的检测服务,形成开放式检测服务体系架构。
3.1 开放式场景检测支撑平台
开放式场景检测支撑平台实现物联网感知设备、接入系统、业务应用三层检测环境,如图3所示。通过多部件的灵活组建,实现其感、传、知、用的安全功能检测,灵活支持用户个性化的检测需求。
3.2 感知设备安全检测服务平台
感知设备安全检测服务平台实现一个通用的感知设备安全检测系统,由开放式场景检测支撑平台为被测设备提供运行检测环境,其从感知操作安全、感知数据处理安全、感知数据存储安全和感知节点设备安全、感知节点通信安全等五方面检测安全功能和性能,其检测框架如图4所示。
3.3 物联网系统安全检测服务平台
物联网系统安全检测服务平台以系统、整体的视角对智能感知层访问控制、身份认证等策略配置进行符合性测试;对接入传输层的AKA机制的一致性或兼容性、跨域认证和跨网络认证等进行检测;对业务应用层数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性等进行符合性和有效性检测。检测框架如图5所示。
3.4 物联网系统风险评估服务平台
物联网系统风险评估服务平台对可能遭受到的威胁和自身脆弱性进行安全分析,然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级,最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。风险评估框架如图6所示。
3.5 集成化安全管理检查服务平台
集成化安全管理检查服务基于物联网多类型终端、多网融合、海量数据处理和全面感知等特点。从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面,对物联网系统智能感知层、接入传输层和业务应用层的安全管理情况进行检查,其安全管理检查框架如图7所示。
4 “两库”
4.1 标准及指标库
基础库“标准及指标库”通过构建物联网安全检测标准子库与指标子库为“五平台”提供支撑。标准子库建设来源:一是从物联网国际标准组织IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解国际最新标准,研究制订适合国情的物联网标准;二是从国内标准组织:WGSN、CCSA和RFID标准工作组获取最新标准;三是随着业务开展,编制了物联网安全标准。物联网一体化安全检测标准体系框架,按照标准服务性质的区分,分为物联网产品安全检测标准、物联网系统安全检测标准、物联网风险评估标准以及集成化安全管理检查标准。其框架如图8所示。
指标库为各种类型的被测设备和系统提供相应的检测指标项目,同时支持用户自定义新的检测指标。指标库依据各服务平台检测内容划分四类,即物联网产品检测指标、物联网系统安全检测指标、物联网风险评估指标以及集成化管理检查指标。其涵盖功能检测、性能检测、抗毁性检测、符合性检测、有效性检测和可用性检测等指标。
4.2 漏洞与补丁库
漏洞与补丁库采用云存储方式,包括海量数据融合漏洞,TinyOS操作系统漏洞,异构网络认证协议漏洞,感知信息传输协议漏洞等。 漏洞与补丁库一方面为产品、系统检测,风险评估、安全检查提供支撑服务,另一方面对外提供咨询服务,网上漏洞信息,定制客户漏洞处理方案,提供漏洞补丁和专用杀毒工具下载等。
5 “一中心”
一体化安全检测管理中心完成上述“二库、五平台”的互联互通和信息共享,实现检测项目统一管理,检测数据统一汇总,检测结果统一判定,形成感知设备检测报告、物联网系统检测报告、物联网系统风险评估报告以及集成化安全管理检查报告等。
一体化安全检测管理中心由项目管理、场景管理、感知设备检测、系统检测、风险评估、集成化安全管理检查、工具集、基础库管理八个核心模块组成,整个平台由项目库、标准及指标库、方法库、漏洞与补丁库四个数据库支撑,管理中心框架设计如图9所示。
6 技术特点
(1)提供开放式检测环境
物联网应用的广泛性和复杂性,仅依赖单一场景无法满足客户的多层次需求,通过开放式检测环境,可实现感知设备、接入方式、业务应用的检测环境,使得检测手段更丰富、更精准。
(2)提供多类型、多元化的检测
一体化安全检测体系通过感知设备检测、系统检测、风险评估、管理检查的一体化检测服务,提品检测和系统检测、实验室检测和现场检测服务,满足物联网复杂多变的检测需求,使得安全检测更全面性,帮助客户准确评估物联网安全性。
(3)提供技术与管理全方位检测
物联网安全包含技术与管理两方面,技术与管理并重,本体系通过“五平台”实现产品、系统技术类检测/风险评估与安全管理检查,全方位、整体评估物联网安全性。
(4)提供技术符合性和关联外在风险评估相支撑的检测
物联网安全问题是动态发展的,在安全技术符合性检测的基础上,提供适用于动态评估物联网工程的风险评估服务。风险评估旨在通过关联外在风险,结合自身脆弱性评估系统和工程的安全性,与技术符合性检测相支撑。
(5)提供一体化服务模式
提供一个灵活、规范的信息组织管理平台和全网范围的网络协作环境,实现集成的信息采集、内容管理、信息搜索,能够直接组织各类共享信息和内部业务基础信息,实现信息整合应用,同时也提供管理中心支撑下的统一项目管理、统一数据汇总、统一结果判定的一体化服务系统。
7 结束语
目前,我国政策环境好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域,但产业和行业标准正在建立,是机遇也是挑战。经济环境上,中国企业正在随着国家的快速发展,持续提升竞争力和国际影响力,对物联网安全性的需求逐步增强,企业对物联网安全问题的认知提高,经济支付能力也在增强。通过对各行业物联网建设方面的调查发现,当前已有的物联网应用对其安全性的检测和技术支持需求十分迫切,物联网安全检测产业市场前景乐观。
上述“一中心、二库、五平台”形成专业的平台,加上精专的人才、全面的服务内容和敏捷的反应,构建物联网一体化安全检测专业化服务体系架构。从而提升价值、方便客户、节约成本、提高效率,满足物联网安全检测集成化、规模化的需求。
参考文献
[1] T Grobler, Prof B Louwrens. New Information Security Architecture[J]. 2005, University of Johannesburg.
[2] 范红, 邵华等. 物联网安全技术体系研究[J].第26次全国计算机安全学术交流会,2011(09),5-8.
[3] 谭建平, 柔卫国等. 基于物联网的一体化安全防范技术体系研究[J].湖南理工学院学报, 2011,第24卷 第4期 46-51.
[4] Jackie Rees, Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM, Volume 46 Issue7, 2003, P101-106.
[5] 郎为民,杨德鹏,李虎生.智能电网WCSN安全体系架构研究[J].信息网络安全,2012,(04):19-22.
[6] 余勇,林为民.工业控制SCADA系统的信息安全防护体系研究[J].信息网络安全,2012,(05):74-77.
基金项目:
国家863高技术研究发展计划资助项目(2009AA01Z437)和国家863高技术研究发展计划资助项目(2009AA01Z439)。
篇4
根据国内一些网络安全研究机构的资料,国内大部分的ISP、ICP、IT 公司、政府、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入;很多重要站点的管理员都是Internet 的新手,一些操作系统如UNIX,在那些有经验的系统管理员的配置下尚且有缺陷,在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。
为了使广大用户对自己的网络系统安全现状有一个清醒的认识,同时提高对信息安全概念的了解和认识,强化网络系统安全性能,首创网络近日向用户推出免费安全扫描服务活动。
评估主机范围
Capitalnet技术支持中心在开展此次活动之前得到了客户的书面授权。活动中,根据客户提供的IP地址,并按照客户指定的时间,对包括网络设备和应用服务器等在内的主机系统进行安全评估。
评估时间和方式
此次活动持续两个月时间,由7月1日开始,到8月31日结束。在活动期间,首创网络技术支持中心安全产品组的专家们在与用户达成共识的前提下,利用专业的安全评估工具,对客户网络信息系统中的重点环节进行了全方位的安全扫描,并根据扫描结果产生了安全评估报告,提交给客户。客户可以根据这一安全评估报告充分了解自己信息系统的安全情况,进而采取相应的安全应对措施,从而提高网络系统安全性。
评估单位分布
此次评估活动共收到IP地址93个,分别来自不同行业的34家单位。这些单位分别属于多种行业部门。
评估主机分类
93个IP地址基本代表93台主机,分别为各个单位提供不同的信息化应用。如:WEB、Datebase、Mail等常见应用和防火墙等特殊应用。
评估漏洞分布
在93台主机提供的各种信息应用中,都存在这样或那样的漏洞,此次评估都漏洞的风险分为三种:高风险漏洞、中风险漏洞、低风险漏洞。
参照标准为:
高风险漏洞代表该漏洞可以使攻击者可以得到该主机的最高权限或中断网络服务;
中风险漏洞代表该漏洞可以获取主机信息,有助于攻击者进一步攻击,或存在潜在致命漏洞;
低风险漏洞代表该漏洞会间接影响系统服务的正常运行。
评估漏洞类型
本次扫描活动主要采用了三星信息安全公司的安全评估工具SecuiScan,但为了真实反映客户的漏洞存在情况,也结合了其它著名的安全评估工具,为俄罗斯著名安全评估软件Shadow Security Scanner和著名的自由软件Nessus。在工具评估后,根据提供的分析报告来人工检查证实漏洞的真实性,并在不破坏客户主机正常运行的情况下得出令客户信服的评估结果。
评估发现,很多存在漏洞的主机都是一些常见的配置错误和已经公布的漏洞,而且针对这些漏洞的攻击工具很容易被恶意的攻击者获取。这些漏洞分布如下图:
评估漏洞说明
1. 弱口令攻击:不少网站的管理员账号密码、ftp 账号密码、Sql 账号密码等都使用很简单的或是很容易猜测到的字母或数字,利用现有的家用PIII 机器配合编写恰当的破解软件足以在短时间内轻松破解,一旦口令被破解,网站就意味着被攻破。
2. Unicode 编码漏洞攻击:对于Windows NT4.0 和Windows 2000 来说都存在有该漏洞,利用该漏洞远程用户可以在服务器上以匿名账号来执行程序或命令,从而轻易就可达到遍历硬盘、删除文件、更换主页和提升权限等目的,实施方法简单,仅仅拥有一个浏览器就可实施。
3. ASP 源码泄漏和MS SQL Server 攻击:通过向web 服务器请求精心构造的特殊的url 就可以看到不应该看到的asp 程序的全部或部分源代码,进而取得诸如MS SQL Server 的管理员sa 的密码,再利用存储过程xp_cmdshell 就可远程以SYSTEM 账号在服务器上任意执行程序或命令,事实上,MS SQL Server 默认安装的管理员sa 的密码为空,并且大多数系统管理员的确没有重新设定为新的复杂密码,这直接就留下了严重的安全隐患。
4. IIS 缓冲溢出攻击:对于IIS4.0 和IIS5.0 来说都存在有严重的缓冲溢出漏洞,利用该漏洞远程用户可以以具有管理员权限的SYSTEM 账号在服务器上任意执行程序或命令,极具危险性。实施较为复杂,但是可以获得这种攻击的傻瓜攻击软件。这种攻击主要存在于Windows NT 和2000 系统中。
5. BIND 缓冲溢出攻击:在最新版本的Bind 以前的版本中都存在有严重的缓冲溢出漏洞,可以导致远程用户直接以root 权限在服务器上执行程序或命令,极具危险性。但由于操作和实施较为复杂,一般也为黑客高手所用。这种攻击主要存在于Linux、BSDI 和Solaris 等系统中。
6. 其他攻击手法:还有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻击的手段,但在这次评估活动中表现的不是非常明显。
整体安全评估报告
主机系统的安全评估主要在于分析主机系统存在的安全弱点和确定可能存在的威胁和风险,并且针对这些弱点、威胁和风险提出解决方案。
主机存在安全弱点
安全弱点和信息资产紧密相连,它可能被威胁利用、引起资产损失或伤害。但是,安全弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。安全弱点的出现有各种原因,例如可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。但是,它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统进行攻击的机会。
经过对这些主机系统和防火墙的扫描记录分析,我们发现目前该网络中的主机系统主要弱点集中在以下几个方面:
1 .系统自身存在的弱点
对于商业UNIX 系统的补丁更新不及时,没有安全配置过,系统还是运行在默认的安装状态非常危险。对NT/2000 的服务器系统,虽然补丁更新的比及时,但是配置上存在很大安全隐患,用户的密码口令的强度非常低很多还在使用默认的弱口令,网络攻击者可以非常轻易的接管整个服务器。另外存在IPC$这样的匿名共享会泄露很多服务器的敏感信息。
2 .系统管理存在的弱点
在系统管理上缺乏统一的管理策略,比如缺乏对用户轮廓文件(Profile )的支持。在系统中存在空口令的Guest 组的用户,这些用户有的是系统默认的Guest用户,有的是IIS 和SQL 服务器的默认安装用户。这些用户有些是被系统禁用的,如Guest ,有些则没有,没有被禁用的这些账号可能被利用进入系统。
3 .数据库系统的弱点
数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点,由于未对数据库做明显的安全措施,望进一步对数据库做最新的升级补丁。
4 .来自周边机器的威胁
手工测试发现部分周边机器明显存在严重安全漏洞,来自周边机器的安全弱点(比如可能使用同样的密码等等)可能是影响网络的最大威胁。
主机存在的威胁和风险
安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对企业信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。因此威胁分析是围绕信息系统的可用性、保密性、完整性、可控性、可审查性、抗抵赖性进行的。
安全风险则是一种可能性,是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害,从而直接地或间接地引起企业或机构的损害的可能性。
在这次评估中,主机系统存在的威胁和及其产生的安全风险主要有以下几个方面:
1. 针对主机的攻击威胁
包括针对Windows NT 系统及其开放的系统服务的安全弱点攻击威胁,攻击者可能由此获取系统的信息资源或者对系统信息进行破坏。
2. 针对数据库的攻击威胁
包括在对数据库系统的攻击行为,包括非法获取、篡改、删除数据库信息资源和进行其他形式的服务攻击。
3. 管理不当所引起的安全威胁
包括由于用户管理策略不当使得攻击者可能获取某一级别的用户的访问权限,并由此提升用户权限,造成用户权限的滥用和信息资源的泄漏、损毁等;由于采用远程管理而引发的威胁;缺乏足够的安全审计致使对安全事件不敏感,无法发现攻击行为等。
4. 配置不当所引起的安全威胁
包括在主机系统上开放了未做安全防范的服务如IPC$共享所造成的安全威胁等。
网络安全建议
建议把提供网络服务的程序升级到最新版本,关注网络安全通告,或由首创为客户提供全面、周到、专业的网络安全服务。
总 结
此次活动历时两个月时间,为34家客户的93台主机提供了全面的安全扫描服务,并将最终的扫描结果提供给了客户。
通过此次活动,我们发现所有的客户主机都或多或少存在着各种风险度的安全漏洞,安全现状不容乐观。其实在这些客户所暴露出来的漏洞中,绝大多数都是已经有了解决办法的,只要做一些简单的升级或安装补丁就可以解决。另外,我们还发现,有的客户使用了一些安全产品,但却由于使用不当,反而引入了更多的安全漏洞。另外,客户的信息系统普遍也缺乏良好合理的安全规划和管理,从而使得其自身的系统对外呈现了很多本不应该出现的漏洞,给外界入侵提供了便利的条件。
我们认为出现这样的问题主要有这样一些原因:
客户普遍还缺乏安全意识,不知道自己其实面临很大的危险;专业知识不够,不知如何解决安全问题;对安全产品的选择、使用和设置不当;没有合理的安全管理策略和机制。
针对这样一些原因,有些相对容易解决,有些则要困难一些。在首创网络通过自身的努力,在信息安全领域里不断追求更高的技术水准和服务水准,力争在竞争日益激烈的今天,面对不断复杂的信息安全形势,从容面对,为客户提供更加完美的产品和服务。
(本报告由首创网络提供,内容有删节)
“首创网络安全调查”带来的启示
本刊记者 曹 玫
近日,首创网络针对我国企
业网络安全现状,对来自
34个不同行业用户的93台主机的网络信息系统进行了抽样调查,结果是100%的用户的主机都存在不同程度的安全问题。这个数字不能不让我们吃惊,网络现状让人担扰。
随着企业信息化、电子政务的进一步推进,对网络安全的要求与过去已不可同日而语。但信息化在我国刚刚起步,企业对网络安全的意识和认知尚待培育。
本刊记者就首创的网络安全评估活动采访了中国国家信息安全测评认证中心计算机测评中心常务副主任翁正军女士,她认为:“首创这次的评估活动值得肯定。这类的网络安全评估如果经常性的进行,对用户了解自身的安全风险非常有益”
另外,翁女士还提醒道:“针对网络和系统的脆弱性评估,有可能对被测系统造成损害。当然,不一定是测试本身的问题,而是被测系统太脆弱。但是不管怎么样,都要让用户事先知道风险的存在,并且通过恰当的安排尽力回避这些风险”。
安全意识 携手培育
网络安全是“三分技术,七分管理”,从首创的报告中可以看出,造成网络漏洞的原因基本上是管理的忽视和疏漏。
已认识到IT系统重要性的大型企业和跨国企业,虽有一些机房和系统的不很细化的管理制度,但大部分也只限于书面文字的约束而已,没有强有力的监督实施手段和相应的管理人员;大部分的中小企业甚至没有把网络安全提升到管理的层面,还只是停留在购买一些低端的安全设备上,当然对于国内的中小企业采取何种安全模式仍是专家和安全服务提供商们争论的热点问题。
管理问题追溯其根源,还是企业的意识问题,安全意识的加强和培育是需要政府或行业主管单位、安全厂商和用户自身共同努力来实现的。
如政府和行业主管要加大政策和法令的宣传力度,改变政策和相关标准滞后的现状,一方面,用户有相关的政策和标准来衡量网络安全厂商提供给他们的产品和服务是否符合国家标准,做到有据可依。另一方面,安全厂商有了相关条例和行业标准,在为用户构建网络平台和生产安全产品时,把各种安全隐患降减到最小程度,做到了有法必依。
安全厂商在培育用户的安全意识方面,毫无疑问,充当着主力军的角色,目前,我国的网络安全意识尚处于萌芽阶段,因此对用户意识的培育应属于安全厂商市场战略和规划的一部分,只有大家共同把这块蛋糕做大,网络安全广阔的市场才会在短时间内形成规模。
从用户自身的角度来讲,“船到江心才补漏”是需要付出不可估量的代价的,网络数据的迅速增长,单靠一些低端的安全设备已远远难以维护系统和网络安全。总的来说,要改善和加强管理力度,必须提高企业的安全意识.
网络测试 谨慎评估
做安全测试,一定要做非常细化的风险评估策略,首先要确定企业哪些资源需要保护,并根据保护成本与如果事件发生前不采取行动需付出的代价之间的平衡制定评估方案,检测后要确定企业具体环境下到底存在哪些安全漏洞和安全隐患,一旦这些漏洞被黑客利用会造成哪些风险和破坏。
最后综合对各种风险因素的评价,明确网络系统的安全现状,确定网络系统中安全的最薄弱环节,从而改进网络的安全性能。所以检测之前与之后的评估是非常重要的。全面的网络系统的漏洞评估应该包括对网络的漏洞评估、对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方面。首创的安全评估属于对系统主机的漏洞的评估,测试的安全风险相对要小一些。
测试不是目的,制定相应的安全策略并彻底解决用户存在的安全问题,才是我们的愿望。
首创的安全测试为我们敲醒了警钟,加强安全意识已成为企业高层迫切需要正确对待的问题。
企业信息安全意识有待觉醒
本刊记者 陈 慧
为了解客户的安全现状,并
提高客户的安全意识,首
创网络在7月1日到8月31日为期两个月的时间内为34家客户的93台主机提供了免费远程安全扫描服务。提交的报告结果表明,这些客户所有的业务部门都或多或少存在着安全漏洞,其中高风险漏洞占42%,中风险漏洞占28%,低风险漏洞达30%。可见这些客户的信息安全现状令人堪忧。
面对安全漏洞,
视而不见还是立即行动
“此次扫描主要是针对黑客的攻击行为,”首创网络安全产品经理钟博向记者介绍说,“我们选择这种远程的网络扫描的服务活动比较容易开展,类似于黑客攻击的第一个阶段,还未涉及到内部攻击。”在发现客户漏洞之后,首创还可以针对客户的要求为其提供相应的修补、加固和优化服务、专门的培训和分析,以及远程管理和紧急响应等多种全方位的安全服务。
在首创网络扫描过程中发现的网络安全漏洞主要涉及到底层的操作系统平台和应用系统两个方面。漏洞可能是操作系统带来的,比如采用Windows操作系统平台的企业漏洞特别多;也有可能是应用系统本身的问题,比如数据库、Web系统和ERP应用软件等等。在应用系统方面,数据库的漏洞比较多,其中又以SQL Server数据库的漏洞为甚。对于操作系统的漏洞,大多可通过从网上下载补丁程序的方法加以解决,有些客户没有下载补丁程序,因而容易被攻击。也有客户把用户访问口令设成了空的,也容易被攻击。这些漏洞本都很容易避免,之所以出现,主要因为应用和管理人员本身安全意识淡薄所导致。
被扫描的首创网络的IDC和专线客户,都是经常使用IT设备和网络应用的,其中,本身业务系统与安全结合不是很紧密的客户比较容易产生安全漏洞,比如媒体的网站、制造业企业的网站等。在首创网络的整个扫描服务期间中就出现过这样的情况。一家传媒机构的网站被黑客攻击,其主页被篡改了。客户要求首创对其遭到攻击的主机进行扫描,了解其被攻击的原因。通过扫描,发现主要原因在于这个传媒机构把操作系统装好之后,采取了默认配置,并没有做安全性增强方面的考虑和设置,其主机上的漏洞都是一些很常见也很容易弥补的。此外,制造业企业涉及到CRM和ERP这样的系统。总部与分支机构之间经常有大量机密的数据需要交互,对于这样的企业,如果不做好全面的安全规划并采取相应的安全手段,也容易对外暴露很多安全漏洞。
面对送过来的扫描结果和漏洞分析,客户的反应五花八门:有的客户一接到扫描的结果,发现自己的网络安全存在这么多的问题,非常着急,立刻要求首创为其提供相应的解决方案;有的客户要求首创帮助把漏洞堵上;也有客户说,卖我们一个防火墙吧;还有客户没有反应,好像在忙着理顺自己的网络,无暇顾及安全问题。
安全防范,投入多少并采取哪些手段
有两个问题需要企业考虑清楚,一是企业要保护的信息到底值得投入多少;二是采取什么手段。网络时代,企业要连接到互联网上与外部沟通。任何企业无论大小,总是有些信息是不希望被外界知道的,每一个企业都有必要采取一定的手段保护自己的信息,防止被别人窃取、篡改或者破坏。那么企业值得投入多少人力、物力和财力保护信息安全?
篇5
关键词 企业网 信息系统 风险评估
中图分类号:TP393.08 文献标识码:A
一、引言
信息技术在商业上的广泛应用,使得企业对信息系统的依赖性增大。信息系统风险评估是辨别各种系统的脆弱性及其对系统构成威胁,识别系统中存在的风险,并将这些风险进行定性,定量的分析,最后制定控制和变更措施的过程 。通过安全评估能够明确企业信息系统的安全威胁,了解企业信息系统的脆弱性,并分析可能由此造成的损失或影响,为满足企业信息安全需求和降低风险提供必要的依据。
二、安全风险评估的关键要素
信息系统安全风险评估的三个关键要素是信息资产、威胁、弱点(即脆弱性)。每个要素都有各自的属性,信息资产的属性是资产价值。威胁的属性是威胁发生的可能性,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度。
对企业信息系统的本身条件和历史数据进行整理分析,得到威胁,脆弱点分析如下:
实物资产的脆弱性:对电脑等办公物品的保护措施不力,办公场所防范灾害措施不力,电缆松动,通讯线路保护缺失。
信息资产的脆弱性:相关技术文档不全,信息传输保护缺失,拨号线路网络访问受限,单点故障,网络管理不力,不受控制的拷贝。
软件资产的脆弱性:未使用正版稳定软件。
人员的脆弱性:对外来人员监管不力,安全技术培训不力,授权使用控制不力,内部员工的道德培训不力。
三、风险评估过程
风险评估是信息系统安全保障的核心和关键。风险评估过程分为风险识别、风险分析和风险管理。
风险识别是分析系统,找出系统的薄弱点和在运行过程中可能存在的风险。为了保证风险分析的的及时性和有效性,管理层面应该有具备丰富风险知识的部门经理、IT人员、关键用户、审计人员和专家顾问,他们能够帮助快速地指出关键风险。
风险分析是对已识别的风险进行分析,确定各个风险可能造成的影响和损失,并按照其造成的影响和损失大小进行排序,得到风险的级别。风险分析有助于企业就安全项目和构成该项目的安全组成部分编制正确的预算,有助于将安全项目的目标与企业的业务目标和要求结合起来。
风险管理是由以上步骤得到的结果,制定相应的保护措施。通过实施在评估阶段创建的各种计划,并用这些计划来创建新的安全策略,在完成补救措施策略的开发和相关系统管理的更改,并且确定其有效性的策略和过程已经写好之后,即进行安全风险补救措施测试。在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
四、评估系统的设计
(一)评估系统的体系结构和运行环境。
该评估系统主要采用B/S/S三层体系结构,即包括客户端、应用服务器、数据库服务器三部分。其结构示意图如图1所示:其中,客户端通过Web浏览器访问应用服务器,在Web页面的引导下指导用户与评估人员进行风险识别、数据收集,并显示最后的评估结果。同时丰富的在线帮助信息又为用户及评估人员参与风险评估以及管理员进行系统维护提供了很好的在线支持,系统管理员也可以利用任意一台客户端登录管理帐号对系统数据库进行权限范围内的维护。管理者需了解部门、员工及资产总体情况,明确风险种类及大小,并以知识库的形式,为如何处置风险提供了一些解决方案。面向评估人员的功能模块,展示了本部门目前面临的威胁和薄弱点情况,帮助评估人员明确风险。相比而言,该模块更主要的功能,是协助上报本部门的人员及资产信息,以满足评估需要。
图1 评估系统体系结构
应用服务器处理收集到的风险信息,并采取多种手段,利用综合评估算法 ,完成信息系统安全风险评估,并实时将执行结果返回给客户端Web浏览器。应用服务器配置了系统运行所需要的Web服务器程序以及Web站点页面文件,我们选择动态网页编程技术对系统的Web站点页面文件进行编码和开发。数据库服务器上配置了系统运行所需要的SQL Server数据库管理程序以及系统数据库资源,通过Web服务器与客户端实现实时数据交互。
(二)工作流程设计
首先,对信息系统进行风险数据采集,用户填写由评估单位制定的评估申请,将信息系统按具体情况进行分类,同时利用漏洞扫描器、正反向工具从技术角度了解系统的安全配置和运行的应用服务,使得评估人员从整体上了解该信息系统及其评估重点,并针对系统业务特点进行裁剪;接下来,在前面所做的工作的基础上,围绕着系统所承载的业务对数据进行资产、威胁、脆弱性分析;最后,依据发生的可能性及对系统业务造成的影响对识别的风险进行分类,利用定性和定量的评估算法以及消除主观性的各种算法,对风险识别中获得的风险信息进行风险综合评估,并在整体和局部、管理和技术风险评估的基础上,生成评估报告。
(三)数据库设计
该系统的数据库由企业信息库、知识库、评估标准库和评估方法库组成,采用SQL Server数据库管理系统作为该数据库的开发和运行平台,其中:企业信息库存储的是有关企业信息系统的基本信息;评估方法库存储了针对所设计的评估结构所采用的评估方法集合;知识库存储的是以往已评估系统的完整评估资料,可以为当前的风险评估提供可借鉴的经验;在数据库设计中评估标准库是几个库中最重要也是工作量最大的部分,该库涵盖了各评估标准的评估要素,即遵从标准,又针对各行业的业务特点,提供了灵活的数据结构。
(四)网站内容风险算法。
对风险进行计算,需要确定影响的风险要素、要素之间的组合方式、以及具体的计算方法。将风险要素按照组合方式使用具体的计算方法进行计算,得到风险值。目前通用的风险评估中风险值计算涉及的风险要素一般为资产、威胁、和脆弱性。由威胁和脆弱性确定安全事件发生的可能性,由资产和脆弱性确定安全事件的损失;由安全事件发生的可能性和安全事件的损失确定风险值。目前,常用的计算方法是矩阵法和相乘法。
五、总结
网络技术的发展在加速信息交流与共享的同时,也加大了网络信息安全事故发生的可能性。对企业信息系统进行风险评估,可以了解其安全风险,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据,给用户提供信息技术产品和系统可靠性的信心,增强产品、企业的竞争力。
(作者:武汉职业技术学院计算机系教师,硕士,研究方向:计算机网络及其应用、信息安全)
注释:
篇6
2013年国家信息安全专项有关事项的通知
发改办高技[2013]1965号
工业和信息化部、公安部、安全部、质检总局、中科院、国家保密局、国家密码局办公厅(室),各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委,相关中央直属企业:
为了贯彻落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)的工作部署,针对金融、云计算与大数据、信息系统保密管理、工业控制等领域面临的信息安全实际需要,国家发展改革委决定继续组织国家信息安全专项。现将有关事项通知如下:
一、专项重点支持领域
(一)信息安全产品产业化
产品自身应具有较高的安全性,不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等国家标准中3级的相关要求。
1、金融信息安全领域
(1)金融领域智能入侵检测产品。
适用于金融机构电子银行等应用业务系统,支持IPv4/IPv6环境,具有双向数据检测、历史数据关联分析、网络报警数据筛选过滤、反馈测试、自学习和自定义检测规则、多维度展现,以及攻击影响分级等功能,吞吐量不低于20Gbps,基于国内外主流特征库检测的漏报率低于10%、误报率低于5%。
(2)高级可持续威胁(APT)安全监测产品。
适用于金融机构的业务网络和应用系统,支持IPv4/IPv6环境,具有规模化虚拟机或沙箱执行等动态检测技术的威胁感知功能,具备对各类设备网络文件传输异常行为、漏洞利用行为、未知木马、隐蔽信道传输等多样性、组合性和持续性攻击的检测能力,支持1000个以上的并发检测能力,基于国内外主流特征库检测的漏报率低于5%、误报率低于10%。
(3)面向电子银行的Web漏洞扫描产品。
适用于金融机构电子银行业务系统,具备开放式Web应用程序安全项目(OWASP)通用漏洞的高启发、高强度、交互式检测能力,具有漏洞验证、基于电子银行系统业务流程的流量录制重放式的逻辑漏洞分析等功能,基于国内外主流漏洞特征库扫描的漏报率低于5%、误报率低于10%。
(4)金融领域应用软件源代码安全检查产品。
适用于金融机构各类业务应用系统,具备适用于金融领域特点、可更新和自定义的安全扫描规则库,可定制扫描策略,在Linux、Aix、Windows、Android、iOS等环境下,具有对Java、C/C++、C#、JSP、COBOL、VB、Ruby等主流编程语言和.NET、Eclipse、Matlab等集成软件工具开发的应用系统进行源代码扫描的功能,对源代码潜在问题分析给出分级别建议,每小时扫描百万行以上代码,基于国内外主流软件源代码漏洞特征库检测的误报率低于30%、漏报率低于35%。
2、云计算与大数据信息安全领域
(1)高性能异常流量检测和清洗产品。
支持IPv4/IPv6环境,适用于云计算和大数据的应用,具备流量牵引和回注、网络层和应用层攻击检测与清洗等功能,支持地址区间的IP保护,可实现对100万个以上IP地址的异常攻击流量清洗,启用全部检测和清洗功能后,设备整体吞吐量达到100Gbps以上。
(2)云操作系统安全加固和虚拟机安全管理产品。
支持IPv4/IPv6环境,支持虚拟化认证授权、访问控制和安全审计,具备虚拟机逃逸监控、实时操作监测与控制、防恶意软件加载和安全隔离等功能,具备1万台以上安全可控轻量级虚拟机的安全管理能力。
(3)高速固态盘阵安全存储产品。
支持IPv4/IPv6环境,具备双控及冗余保护机制,具有缓存镜像、掉电保护、采用国家密码局规定算法的数据加密等功能,支持原生命令队列(NCQ)技术及多种主流接口协议,单盘持续读写性能不低于200MB/s,容量大于512GB,每秒输入输出次数(IOPS)大于12,000,单阵列支持500块以上单盘扩展,响应时间小于800s,非加密通道IOPS大于220,000,加密吞吐量大于1Gb/s。
(4)大数据平台安全管理产品。
支持IPv4/IPv6环境,具有对不少于3种大数据应用平台进行漏洞扫描、配置基线检查、弱口令检测、版本检测和补丁管理等功能,可实现大数据去隐私化处理和策略化数据抽取与集成、统一的策略管理、统一事件分析、全文检索及多维度大数据审计,能够对用户访问敏感信息行为进行报警、阻断、跟踪和追溯,关键安全策略同时支持结构化与非结构化数据的管理,支持1000万以上并发业务访问。
3、信息安全分级保护领域
(1)网络保密检查和失泄密核查取证产品。
适用于涉密网和普通业务网络,支持各类主流操作系统,具备对各种网络失密泄密事件证据保全、提取和分析的功能,支持只读方式、多种硬盘接口、DD或AFF等多种镜像格式,支持已删除文件、注册表、分区的恢复,具有自定义策略取证、关键词搜索、2000万个以上文件并行搜索、加密文件快速检测的能力,对带有密级标志的图形、版式等类型文件识别率大于95%。
(2)特殊木马检查产品。
适用于涉密网和普通业务网络,支持各类主流操作系统,具有已知木马和未知特殊木马检测的能力,具备木马样本及其配置信息的提取、特征归类检测等功能,能够定期进行升级,已知木马检测准确率为100%,未知特殊木马检测准确率大于70%。
(3)涉密信息系统安全保密风险评估软件产品。
符合涉密信息系统分级保护相关国家保密标准,具备合规性检测、漏洞扫描等功能,以自动检测为主、人工判定为辅,评估内容覆盖涉密信息系统安全保密风险评估全部项目,评估结论准确可靠,能够自动生成评估报告。
4、工业控制信息安全领域
(1)面向现场设备环境的边界安全专用网关产品。
支持IPv4/IPv6及工业以太网,适用于集散控制系统(DCS)、数据采集与监视控制系统(SCADA)、现场总线等现场环境,具备5种以上工业控制专有协议以及多种状态或指令主流格式数据的检查、过滤、交换、阻断等功能,数据传输可靠性达到100%,可保护节点数不少于500点,设备吞吐量达到线速运行水平,延时小于100ms。
(2)面向集散控制系统(DCS)的异常监测产品。
适用于电厂、石油、化工、供热、供水等工艺流程,具有对工业控制系统的DCS工程师站组态变更、DCS操作站数据与操控指令变更,以及各种主流现场总线访问、负载变更、通信行为、异常流量等安全监测能力,具备过程状态参数、控制信号的阈值检查与报警功能。
(3)安全采集远程终端单元(RTU)产品。
支持工业以太网协议,适用于-40℃~+70℃温度环境,电磁兼容性(EMC)不低于4级,具有内置安全模块,实现数据采集与监视控制系统(SCADA)软件端到端的信源加密,具备基于数字证书的安全认证功能,支持基于国家密码局规定算法的数据加密,加密速率不小于20Mb/s。
(4)工业应用软件漏洞扫描产品。
适用于石油化工、先进制造领域,具有对符合IEC61131-3标准的控制系统上位机(SCADA/HMI)软件、DCS控制器嵌入式软件以及各种主流现场总线离线漏洞扫描能力,具有对数字化设计制造软件平台(如产品数据管理PDM、专用数控机床通信软件eXtremeDNC、高级设计系统ADS等)漏洞扫描能力,具备检测与发现软件安全漏洞、评估漏洞安全风险、可视化展示、漏洞修复建议等功能,漏洞检测率达到90%以上。
(二)重要信息系统安全可控试点示范
1、金融信息安全试点示范
支持商业银行开展一体化信息安全风险感知体系试点示范,按照信息安全等级保护相关要求,建立银行系统整体信息安全风险感知预警、网点集中管控的防护体系,完善灾备能力检测、第三方安全服务质量评价等管理规范。
支持商业银行开展电子银行和移动支付业务系统安全态势监控试点示范,按照信息安全等级保护相关要求,构建银行新型增值业务应用的安全管理机制,并形成相应标准规范体系。
支持商业银行、信息安全专业机构、行业主管部门对电子银行系统联合开展金融领域钓鱼网站和金融诈骗事件安全应急保障试点示范,探索银行、机构和政府部门合作的新模式,建立联合处置、及时有效的应急保障机制。
2、云计算与大数据安全应用试点示范
按照信息安全等级保护的相关要求,在金融、能源、交通、电子政务、电子商务和互联网服务领域,支持重点骨干企业,围绕主要业务应用,采用安全可控的技术和产品,开展云计算和大数据安全应用试点示范,研究制定云计算和大数据应用的安全管理机制、责任认定机制、数据保护和使用安全机制与规范。
3、信息系统保密管理试点示范
在国家重点党政机构和涉密单位,按照信息安全等级保护相关要求,开展基于密级标识的涉密信息及载体管控试点示范,部署电子文件密级标识管理、涉密计算机和涉密移动存储介质识别管理等系统,探索重要信息系统保密管理新方式。
支持商业机构、专业机构开展电子邮箱安全保密试点示范,采用国家密码局规定算法,以及相关信息安全防护技术,建设安全邮箱服务平台,形成电子邮箱防泄密、反窃密综合保障能力,探索安全加密邮件与智能终端电子邮件消息加密推送等新服务模式。
4、工业控制信息安全领域示范
在电力电网、石油石化、先进制造、轨道交通领域,支持大型重点骨干企业,按照信息安全等级保护相关要求,建设完善安全可控的工业控制系统。建立以杜绝重大灾难性事件为底线的工业控制系统综合安全防护体系,建立完善工业控制信息安全技术与管理的机制和规范。
二、申报要求
(一)请项目主管部门根据投资体制改革精神和《国家高技术产业发展项目管理暂行办法》的有关规定,结合本单位、本地区实际情况,认真做好项目组织和备案工作,组织编写项目资金申请报告并协调落实项目建设资金、环境影响评价、节能评估等相关建设条件,同时汇总相关申请材料并报我委。
(二)通过国务院有关部门及中央直属企业申报的项目,项目单位应与有关部门和中央直属企业有财务隶属关系。其他项目应按照属地管理原则,通过项目单位所在地的省级发展和改革委员会申报。
(三)项目主管部门应对报送的材料,如资金申请报告、银行贷款承诺、自有资金证明、各类许可资质等,进行认真核实,并负责对其真实性予以确认。
(四)项目纸质申报材料包括:项目资金申请报告(达到可行性研究报告深度)、项目简表和项目汇总表,上述材料一式两份。项目简表、项目汇总表、项目备案文件、自有资金证明、投资及信贷承诺等所有附件要与项目资金申请报告一并装订(项目简表和汇总表应订装在报告正文前)。各项目材料一经提供不予退还,请做好备份。资金申请报告的具体编制要求详见附件1、2。
(五)项目材料的具体报送时间、地点和相关要求将在今年9月下旬在国家发展改革委高技术司网站(网址gjss.ndrc.gov.cn)信息化栏目下另行通知。
(六)信息安全产品产业化项目的承担单位原则上应为企业法人。申报项目应具备以下条件:(1)按规定在当地政府备案;(2)已落实项目建设资金;(3)采用的科技成果应具有自主知识产权;(4)项目申报单位必须具有较强的技术开发和项目实施能力,具备较好的资信等级,资产负债率在合理范围内;(5)项目答辩时各单位应已有相关产品。
(七)重要信息系统安全可控试点示范项目的承担单位应为企业法人或事业法人(不包含高校和科研机构),项目的具体要求及项目资金申请报告的编制要点详见附件2。
(八)本次信息安全专项分两阶段开展。第一阶段受理金融信息安全、云计算与大数据安全、信息系统保密管理项目的申报,截止时间为2013年10月15日。第二阶段受理工业控制信息安全项目申报,截止时间为2014年7月15日。我委对项目进行初步评审后,将组织现场答辩。其中,专项拟支持的产品将全部委托第三方检测机构进行公开测试,有关具体项目答辩和测试名单、时间和地点,以及公开测试的时间将另行通知。
附件:1、信息安全产品产业化项目资金申请报告编制要点
2、重要信息系统安全可控试点示范具体要求及项目资金申请报告编制要点
3、信息安全项目及承担单位基本情况简表
4、信息安全项目汇总表
国家发展改革委办公厅
2013年8月12日
篇7
安全威胁变局
2007年,垃圾邮件、电脑病毒等传统的安全问题依然是CIO需要防范的重点。不久前,Gartner了年度安全软件市场增长评估报告,预测2007年的销售额将在2006年全年82亿美元的基础上增长10.7%,其中将有53.8%,约为49亿美元的销售额来自反病毒市场。
与此同时,安全威胁的性质正在发生实质性的转变。现在的黑客和病毒编写者已经不再倾向于使网络瘫痪,他们更关注的是如何通过网络获取经济利益。不同来源的行业报告均显示,通过木马程序等方式窃取商业和个人机密信息的行为,以及被远程黑客控制的计算机数量均呈上升势头。随着信息的海量增长,包括各种数据和应用的信息资产对于企业运营正发挥日益重要的作用,对企业应用和数据的进攻正在取代对企业网络环境的进攻成为主要的威胁。
一份IBM专门针对中国企业安全性的调查显示,有38%的中国企业已经意识到,信息安全比实际犯罪对他们的业务更具威胁,企业的品牌和声誉很容易因此造成严重的损失。面临变化了的安全环境和不断加剧的威胁,企业需要加强信息安全意识,从信息资产管理的宏观角度建立安全防御体系。
树立风险导向意识
目前中国的安全市场仍然以安全产品的销售为主。厂家和用户从购置产品的角度看待威胁,在应对病毒破坏、黑客攻击等问题时,基本停留在“兵来将挡”的阶段。总体而言,企业在安全项目方面的回报并不很好,花了很多钱却没有用在企业需要用的地方。其中一个原因是企业难以认识到自己的风险所在,也就难以从投资回报的角度衡量安全投资。同时,安全又是一个涵盖很广的领域,不同的厂家、集成商和用户对安全的理解各有千秋,但有限范围内最好的选择未必在全局上发挥最好的效果。
内部的安全漏洞和来自外部的威胁在数量和范围上都呈现愈演愈烈之势,也给企业用户提出了严重的挑战。针对企业在信息安全领域的管理、项目规划及信息技术的投资比例,笔者认为企业在信息安全管理方面可划分为四种模型,分别为事件导向、工具导向、流程导向和风险导向。
事件导向型企业或者对信息安全的认识较为薄弱,或者缺乏足够的技能和资源来应对安全问题,对安全攻击基本处于遇到问题再解决的被动响应状态。面对每年数量呈直线上升的各类病毒在网络上流行并不断生成新的变种,购置一些基本的防毒设备不可能做到万事大吉。同时,攻击者正在不断改进攻击方法和逃避检测,并更快地利用已知漏洞发起“零日攻击”。这都对事件导向型企业的信息安全管理提出挑战,由于缺乏业务连续性规划,一旦遭受攻击就会导致业务中断,给这类企业带来损失。
工具导向型企业拥有较多的安全预算,能够主动意识到安全问题,遇到问题习惯于通过安全技术或工具来解决,安全管理呈分布式。这类企业通常都在业务运营中大量应用IT技术,对于业务连续性、时效性具有很高的要求,不能承受业务中断带来的损失。由于业务扩展和防范未知风险的需要,他们不可能等待一个安全问题暴露出来才去应对,因此有较完善的安全规划,并主动投资、积极部署最新的安全技术。电信、金融等行业是这一类别的典型。他们需要关注的是需要加强安全管理方面的工作,以配合相关安全技术与工具真正发挥作用。
流程导向型企业受预算等限制,在安全方面的投入不会很多,而侧重于从管理的角度减少安全威胁,加强对人员和流程的控制力度。通常企业会建立较为完善的安全制度和组织。这类企业包括在中国市场的一些外资企业和信息安全观念较强的民营企业。需要关注的是如何将安全的管理制度落地。
以上三种类型的企业在信息安全上都存在不足,没有从企业风险控制的全局出发来看待安全威胁。IBM提倡风险导向型的信息安全管理,这是一种采用工具与流程相结合的方式,也是最为成熟的风险管理模式。风险导向型的企业能够识别风险和确定风险的优先级,根据识别出来的不同类别的风险,决定是加强管理、改善流程,还是进行技术投资,从而做到有的放矢,集中有限的资源应对企业面临的主要威胁。
如何掌控风险
安全项目最大的回报在于降低风险对企业运营带来的损失,但如何才能真正从风险管理的角度进行信息安全建设呢?笔者建议,企业首先需要了解有哪些风险存在,预测、评估其发生的可能性以及对企业的影响程度,尽可能量化风险,然后根据优先顺序,采取适当的预防措施。
仅仅通过预防只能在一定程度上降低风险,而无法解决所有的问题,这时还需要通过制定周密的安全策略以保护企业的关键信息。在防范信息安全风险的同时,用户也应该认识到,任何企业都不会有足够多的人力、物力和财力完全消除风险,要达到100%的信息安全其实是一种不符合客观实际的期望。笔者认为信息安全管理的目标是通过控制方法,把信息风险降到最低,使成本支出达到一个非常合理的状态。总有一些风险是不能避免的,把这些风险分类记录下来,并最终接受它,才是一个理智的风险管理者应有的态度。
信息安全的基本原则要求我们了解风险,并在了解情况的前提下进行决策,以根据消除风险所需要的成本,决定对风险做出反应或者接受。树立风险导向的信息安全管理意识,最终目的在于提高信息安全项目的投资回报,将IT风险作为企业运营风险中的一部分加以管理。
建立完整安全架构
当前信息安全的发展趋势已经不仅仅是升级传统的安全产品,而是从业务策略和整体系统上来考虑安全问题,帮助企业建立安全、完善的IT环境,以应对来自内外部的攻击,降低风险和损失。因此,全方位的安全策略及解决方案对保护企业信息系统的安全不可或缺。
对于多数企业而言,目前都已制定了相关的制度和流程,但还没有企业级整体的信息安全规划和建设,信息安全还没有或很少从整体上进行考虑。IBM企业IT安全服务是一套针对企业信息安全管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善企业安全架构,为企业的应用构建高度信息安全的运行环境,共同规划、设计、实施、运作,从而保护企业信息系统的安全。
随着中国信息化进程的发展,信息资产在企业中的重要性不断提升。企业管理者不应该再将信息安全看作一个孤立的或是纯技术的问题,而要从企业运营的全局角度整体看待,制定与企业特点和成长潜力相适应的安全管理架构。
关注市场变化
完善的安全架构必须能够因应市场的变化进行调整,IT部门的决策者必须密切关注市场的变化。2007年安全用户在三类需求上将有突出的增长。CIO需要更好地应对日益增长的法规遵从性要求,更多地关注应用层面,与此同时,积极利用外包的机遇实现更好的投资回报。
在中国,随着信息安全和上市公司相关立法的完善,法规遵从性和相关审计在行业中的要求也正在不断普及,越来越多的公司和行业正努力去满足法律所规定的安全要求。企业在信息管理方面需要做到三点:信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问,这都与信息安全密不可分。保护企业数据安全,达到法规遵从性的要求将是CIO们2007年的一大职责。
篇8
在访问和保存信息方面,企业网络管理人员需要有分层的安全策略,使得不同的被管理端点以及其使用者有着不同的权限和许可。例如,在宾馆的商务中心使用电子邮件的销售人员,通过SSL VPN访问知识产权的合同工,通过企业有线或无线局域网访问公司数据的访客。但是,仅仅是间接访问就足以让企业敏感信息暴露在安全威胁之中。因为一旦未被管理的端点被恶意软件所利用,安全威胁软件就可以利用端点访问网络的机会而秘密地植入企业网络之中,或者直接盗取企业敏感信息。
一个全面的端点安全解决方案可为管理和未管理的主机提供防护,而使用持久稳固的机制以及综合防护功能则不再适用,因此对未管理端点所采用的防护策略必须是临时的,被称为“按需(On Demand)”防护。
这种按需保护适用的范围包括企业现场来访者访问、用户访问电子商务应用、合作伙伴额外访问、员工从公共场所或家庭电脑访问等。需要指出的是,这不仅保护企业的利益,还应当确保企业能够为用户扩展增值服务。例如,凭借这种按需保护功能,金融机构或评估报告能够确定用户从其网站下载的数据的安全性且不会受到任何干扰。
篇9
>> 水肥资源利用现状及在东北进行研究的必要性分析 基于Windows Server 2003的安全评估系统研究 房屋安全性鉴定的必要性研究 原州区农田水利现状及加快建设的必要性论证 农田水利现状及加快农田水利事业发展的必要性 矿山安全管理的必要性和措施研究 加快电网建设新技术推广应用的必要性分析的研究与建议 广西高职辅导员职业倦怠研究的必要性及现状探讨 置业顾问培训的必要性及方案研究 机床绿色制造的必要性及发展研究 加快沧州现代服务业发展的必要性研究 关于加快完善国际外层空间法的必要性研究 中国后转型研究必要性的分析 建筑节能的必要性及节能设计的研究分析 大学生心理档案管理现状调查及档案系统建立的必要性分析 建筑工程成本分析与控制的必要性及要点研究 对新农村社区建设的必要性分析及研究 发行科技创业彩票的必要性分析及可行方案研究 新疆和田地毯特点分析及图像矢量化的必要性研究 关于出租车管制的必要性分析及对策研究 常见问题解答 当前所在位置:L。其他设置功能可以帮助处理一些扫描过程种的问题,包括跳过没有响应主机,无条件扫描等等。插件设置项目包括了端口相关设置,SNMP相关设置,NETBIOS相关设置,漏洞检测脚本设置,CGI相关设置,字典文件设置这6项设置。X-Scan扫描方式有两种,一种是利用TCP检测,一种是利用SYN检测。
功能特点:X-SCAN采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息等。X-SCAN提供了简单的插件开发包,便于有编程基础的朋友自己编写或将其他调试通过的代码修改为X-Scan插件。这十分值得我们借鉴。但其中的漏洞资料和整体功能都存在不足,各项功能的测试受时间及环境所限也不够全面。
(三)SATAN软件
安全管理员分析工具SATAN是一个端口扫描程序,1995年4月推出,运行在Unix环境下,扫描的目标是Unix系统,它对大多数己知的漏洞进行扫描,发现漏洞便提交报告给用户,说明如何利用该漏洞以及如何对该漏洞进行修补。SATAN采用了HTML技术,是第一个把扫描结果以用户友好的格式来显示的扫描工具。SATAN的推出引起了很大的轰动,与其他扫描工具相比,SATAN是受到公众关注最多的。
功能特点:SATAN软件可以让用户对子网浏览进行了解。当用户让SATAN对子网中的所有主机进行浏览时,SATAN利用Unix的fping工具来决定究竟哪些主机它可以浏览,SATAN中安装的fping工具是标准Unix中的fping的变体,它能有效地顺序浏览大量主机。SATAN利用fping节省了与并不存在和正退出的主机的信息交流的时间。同时,fping能发现未经管理员同意而附属于本网络的其他系统。
(四)NMAP软件
NMAP是当前较受欢迎的扫描工具,其特点是提供了比较全面的扫描方法及利用指纹技术的远程操作系统识别功能,NMAP扫描速度很快。它提供的扫描方法包括:Vanilla TCP Connect()扫描、TCP SYN扫描、TCP FIN扫描、TCP FTP Proxy扫描、利用IP Fragments的SYN/FIN扫描、TCP ACK和Window扫描、工CMP扫描、TCP Ping扫描。为提高扫描速度提供了并行扫描的功能,NMAP用C语言编码。
功能特点和使用方法:nmap运行通常会得到被扫描主机端口的列表。nmap总会给出well known端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有:open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示:防火墙、包过滤和其它的网络安全软件掩盖了这个端口,禁止nmap探测其是否打开。unfiltered表示:这个端口关闭,并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下,端口的状态基本都是unfiltered状态,只有在大多数被扫描的端口处于filtered状态下,才会显示处于unfiltered状态的端口。这十分值得我们借鉴。但其中的漏洞资料和整体功能都存在不足,各项功能的测试受时间及环境所限也不够全面。
(五)ISS软件
ISS的Internet Scanner(互联网扫描器)是一个用于分析网络上设备安全性的弱点评估产品。它检测路由器、Web服务器、Unix服务器、Windows NT服务器、桌面系统和防火墙的弱点,从而识别能被入侵者用来非法进入网络的漏洞。Internet Scanner以入侵者的行为方式通过检查网络设备、服务以及相互关系去发现漏洞。Internet Scanner的扫描策略是模拟黑客技术探测网络环境中的安全脆弱点,它向目标网络和设备发送各种探测数据包(如ICMP,TCP,UCP数据包等),侦听目标响应的情况,搜集信息,判断是否存在安全性弱点。Internet Scanner可以在同一时间执行多个扫描线程,即并行扫描,它也可以设置多个用于TCP服务扫描的专门线程,即实现了并行TCP服务扫描。ISS的系统扫描器System Scanner是一个基于主机的安全评估系统,它在系统层上通过依附于主机上的扫描器侦测主机内部的漏洞。System Scanner能够识别并报告系统中所存在的安全漏洞、弱点以及使用不当的策略,从而提供基于主机的安全评估。System Scanner由控制台(Console)和扫描(Agent)两部分组成,采用C/S(客户机/服务器)结构,通过在每个被管理系统上所安装的模块来检测安全漏洞、误配置以及使用不当的策略。
功能特点:ISS Internet Scanner通过对网络安全弱点全面和自主地检测与分析并检查它们的弱点,将风险分为高中低三个等级,并且可以生成大范围的有意义的报表。这些评估功能我们软件评估系统可以借鉴。
四、安全专家评估应用情况
(一)安全专家系统
安全专家是集众多信息安全专家多年的信息安全经验,为客户计算机提供多种安全防护手段(防火墙、防病毒、安全评估、安全修复等等)。它能象一位安全专家一样,为客户计算机存在的安全威胁,进行“主动检测”、“综合治疗”,并能做到事前“自动免疫”通过在级升级功能长期保证客户计算机处在高等级的安全状态。安全评估专家的功能:
1.自检:安全评估功能
对用户主机自动进行全面的安全检测,发现系统存在的所有已知安全漏洞、病毒及木马后门程序,并向用户提交安全评估报告,告知主机安全等级。
2.自医:安全修复功能
针对检测中发现的安全隐患,对终端主机进行全面的修复。清除主机上存在的各种安全漏洞、病毒、蠕虫和恶意代码。
3.自疫:预先免疫功能
安全专家针对不同用户的安全需求提供了多种安全防护策略,通过安全策略可以实现端口的防护、系统安全漏洞及时修复,安全配置的完全优化,从而全面提高计算机的整体安全性,并能对未来的安全威胁起到很好的安全免疫,确保用户的计算机不被新的蠕虫病毒和黑客攻击程序的破坏。
4.自保:在线升级功能
安全专家产品实现了自动在线实时更新的功能,用户可以手动或设置时间定期升级安全专家程序,确保对新的出现病毒及黑客攻击技术的防范,实现长治久安的目的。
(二)主机安全评估套件(HRA)
黑龙江哈尔滨商务之窗在2007-08-12日写出了《国内首款计算机主机安全评估套件在哈问世,其技术国际领先》报道:作为国内知名的网络安全产品和解决方案供应商,哈尔滨安天公司近日研发出一款名为“安天主机安全评估套件”的高科技产品。这是国内主机安全评估方面唯一实现了自动化、定性、定量评估的相关系统,其产品全部核心技术均由安天公司自行开发,系统核心的AVL SDK反病毒引擎还曾因技术国际领先获得了国家科技部创新基金。该套件根据上百个自动化提取的关联因素对主机节点的风险等级进行准确评分、以及通过主机节点数据生成网络整体安全等级定量评定等产品创意,均为国内首创。它有本地评估和网络评估两种方式。只要将套件中的U盘或光盘插入主机,即可自动检测恶意代码、查找安全漏洞、做出安全分析,生成相关报告。不但能够高效准确地判定终端系统受恶意代码感染的情况,还能及时发现网络系统,特别是内网、系统中由于违规安装软件、私自拨号上网、私自插入移动存储设备等带来的重大安全隐患。此外,该套件还能发现系统遭受入侵攻击的各种痕迹,对目前机器上存在的安全漏洞、面临的安全隐患和已经发生的安全问题做出系统化的评价,直观地呈现出来,并可根据评估结果自动对每个问题的解决方案提供相应的建议。
典型的应用方案如1-1图所示:
图1-1 主机安全评估套件的典型的应用方案
(三)瑞星2008安检
瑞星杀毒软件2008版,是基于新一代虚拟机脱壳引擎、采用三层主动防御策略开发的新一代信息安全产品。瑞星08独创的“账号保险柜”基于“主动防御”构架开发,可保护上百种流行软件的账号,包括70多款热门网游,30多种股票、网上银行类软件,QQ、MSN等常用聊天工具及下载软件等。同时,瑞星08采用“木马强杀”、“病毒DNA识别”、“主动防御”、“恶意行为检测”等大量核心技术,可有效查杀目前各种加壳、混合型及家族式木马病毒共约70万种。电脑安检也是瑞星2008版新增加的功能之一,非常方便用户使用。通过安检能够检查用户是否及时升级杀毒软件、是否进行过全盘杀毒、是否安装了所有的补丁程序、实时监控和主动防御是否都打开了等等。帮助用户更好地了解电脑的安全状况,提升电脑安全防护级别。
五、结语
篇10
关键词 互联网金融 P2P 大数据征信 信审
互联网金融自2007年出现直至2015年发展态势愈演愈烈,作为一种新兴的金融服务方式,P2P行业凭借其“短,平,快”的特点和优势获得了迅猛的发展。另一方面,P2P问题平台跑路、倒闭、兑付危机等负面新闻频出,整个行业都受到了牵连,行业发展的迅猛态势倒逼监管加快步伐。其中,作为P2P行业工作的关键环节,信审工作存在的问题及其优化受到了越来越多的关注。本文以“大数据”为研究背景,对P2P企业信审环节中的主要问题展开研究。
一、信审环节主要存在的问题
(一)资料收集阶段――渠道较少,范围较小
目前我国众多P2P企业在收集资料阶段存在信息渠道窄、信息覆盖面不全等主要问题。首先,大多P2P企业获得信息渠道相对单一,以P2P企业与借款融资企业之间的双向往来为主。其次,P2P企业信审大多参考银行传统征信函盖的资料内容与范围,信息的覆盖范围较窄,使风险评估阶段由于数据信息的局限性导致评估结果有一定的偏差性。
(二)风险评估阶段――建模初期,经验主义
风险评估方面的问题是制约P2P企业发展的重要因素。目前较多P2P企业在审核企业信用时采用以往或行业经验来定性评估受审企业的信用等级。由于不同企业在信用审核中存在行业差异性,没有统一的衡量标准,P2P企业为了了解待审企业的运营状况,先实地尽调,再根据受审企业具体问题具体分析。这就导致审核时间长、耗费的成本及人力资源较多且评估结果缺少科学性依据。
(三)数据存储阶段――疏于管理,安全性低
P2P企业都会对借款方企业的前期资料以及后期评估的信用情况进行建档存档。目前,大多P2P企业的数据存储没有专门的数据库系统,也没有设立服务器或交予第三方云服务平台托管的意识。
二、欧美的征信经验及我国的改变
说到信用审核的问题,必然要谈到近两年频繁出现的“大数据征信”了。一些欧美国家在在此方面的应用都是先于我国的。以利用“大数据”进行风险管理的ZestFiance为例,它整合分散数据,借助数据挖掘与自我开发的预测模型(包括防欺诈模型、还款能力模型等十个模型),再将预测模型的结果进行集成处理,挖掘更多传统征信覆盖不到或潜在的信用信息,并借助信用评估模型获得完整的信用评估报告。
而近些年国内有关征信方面也有了不少改变。央行将征信系统向个人及金融机构开放,个人每年可免费查询一次自己的征信报告,而金融机构只要符合相关申请条件经授权批准即可接入征信系统的接口。此外,央行在2015年1月印发的《关于做好个人征信业务准备工作的通知》中,包括芝麻信用、腾讯征信等八家企业被授权挂牌作为民营征信企业。通过对数据的挖掘和分析,各企业从不同维度综合评估,为用户建立个人的信用评分,向个人及机构提供征信服务,丰富了征信内容。这对冲破传统意义上的征信使征信多元化、数据化有着重大意义。
三、对P2P企业信审工作的建议
(一)资料收集阶段――多元化数据搜集
在收集借款方企业的审核资料过程中,可以从两方面做出多元化改善:
1.获取信息渠道多元化。这里的信息渠道是指获得借款方需审核资料的方式。在行业未来发展中,扩展信息收集渠道将成为一种趋势。如获取借款融资企业资料可通过以下几种方式:第一,申请央行征信系统的接口,获取企业法人、融资负责人、企业核心决策层等相关人员的个人征信报告;第二,向目前已开放的八家征信企业选择一家或几家支付一定服务费用,接入数据接口,获取借款融资方相关人员的信用记录及评分;第三,通过全国企业信用信息公示系统、中国裁判文书网、各地法院官网等官方网站,获取企业基本信息及企业的不诚信经营导致被事件等信息。
2.信息领域多元化。信息领域,也称信息覆盖面。正确地拓宽数据搜集的覆盖面可以为信用审核提供更多维度的信息,使最终的信用评估综合性及参考价值更高。除了传统信审所涵盖的身份信息、信贷信息、金融负债信息及公共信息外,可参考拓宽的领域有:第一,民营征信企业提供的信息。不同征信企业有不同的侧重领域,如:中诚信征信、前海征信、鹏元征信侧重金融领域;中智诚征信和北京华道征信侧重反欺诈领域;腾讯征信、芝麻信用、拉卡拉信用侧重生活场景领域,包括社交、消费等方面。第二,大数据征信视角可探知的信息。这点与上条所说民营征信企业提供的信息有交叠部分。信用信息与信贷记录具有强相关性,同时,它与通过数据挖掘方法获取的一些行为信息也有一定的联系。例如利用数据挖掘获得的搬家次数、网络点击等信息。当然,需在合法合规的前提下获取此类信息。第三,非金融日常信息。如:水电气缴纳情况、有线电视、移动电话等信息。
(二)风险评估阶段――多层次多维度综合评估
多层次的综合评估是指在建立模型的过程中,由基础模型――评估模型――信审模型 构成垂直方向上层级递进的评估模型。首先将收集的数据信息划分为多个维度,划分也可分为两种方法:一是按照信息来源分类,如:央行的征信报告、企业公共信息、民营征信机构信息等;二是按照信息的领域分类,如:验证类基础信息、金融类信息、非金融类信息。不同类别的数据与信审的相关性不同,即每一类信其次针对不同评估方面,以两类或以上的基础模型评估结果为参考,运用相应的算法建立适用的评估模型,如还款能力评估模型、还款意愿评估模型、身份验证评估模型、企业运营评估模型等。最后根据不同类型的企业及其不同的侧重点,在评估模型的基础上加上不同的权重,使用相应的规则,将评估模型整合为最终的信审模型,获得最终的信用评估报告。
(三)数据存储阶段――完善服务器
上文中提到多数P2P企业将信息安全保障集中放在网络平台的运营上,而忽视了对借款方企业信息存储的安全保障。
在长期发展中建议P2P企业在信息存储方面建立完备的数据库服务器对数据统一管理,或将其托管至第三方云服务平台;对于信息中的敏感数据采用一定的加密技术以确保信息存储的安全性。
四、结语
互联网金融P2P行业在我国仍处于初步发展阶段,其发展有无限的可能,也将会朝着网贷行业产业链的趋势发展,形成数据服务企业――征信(信审)服务企业――P2P平台服务企业交叉网状结构,将每一环节的业务细化到每一类企业。对中国征信将来的发展也抱有积极的观望态度。
(作者单位为西南交通大学经济管理学院信息管理与信息系统)
参考文献
[1] 陈初.对中国“P2P”网络融资的思考[J].人民论坛,2010(26).
[2] 王亮平. P2P网络借贷环境下我国小微企业融资需求分析[J].商场现代化,2015(Z1).
相关期刊
精品范文
4信息简报