網絡信息安全評估精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇網絡信息安全評估，期待它們能激發您的靈感。

篇1

目前我國已步入信息化時代，隨著國民經濟和社會信息化進程的全面加速，各地政府紛紛建立起基礎網絡平臺和重要的信息系統，這些網絡與信息系統的基礎性、全局性作用日益增強，國民經濟和社會發展對基礎網絡平臺和重要信息系統的依賴性也越來越大，網絡與信息系統自身存在的缺陷、脆弱性以及面臨的威脅，使信息系統的運行在客觀上存在著潛在風險，信息系統安全的重要性更顯突出，已成為國家安全的基座。

近年來我國政府也開始重視信息安全風險評估工作。2003年7月《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發［2003］27號）文件中明確提出：要重視信息安全風險評估工作，對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估，綜合考慮網絡與信息系統的重要性、程度和面臨的風險等因素，進行相應等級的安全建設和管理。

為落實中辦發[2003]27號文件要求，由國家信息中心、公安部、安全部、信息產業部、國家認監委、國家標準化委、國家密碼管理局、國家保密局等單位聯合組成課題組先后對四個地區、十幾個行業的50多家單位進行了調研考查，制定出《信息安全風險評估指南》、《信息安全風險管理指南》等標準和規范。

2004年6月天津市市委辦公廳、市政府辦公廳聯合轉發了《關于加強我市信息安全保障工作的意見》（津黨辦發［2004］15號）文件，成立了天津市網絡與信息安全協調小組，加強了對我市信息安全工作的領導和管理。

二、風險評估工作內容

信息安全風險評估工作，就是從風險管理角度入手，依據國家風險評估管理規范和技術標準，采用適當的風險評估工具，運用定性及定量的分析方法和手段，系統分析信息化業務和信息系統資產所面臨的人為的或自然的潛在威脅、薄弱環節、防護措施等，準確了解信息系統安全狀況，綜合考慮網絡與信息系統的重要性、程度和面臨的風險等因素，確定風險等級和風險控制順序，有針對性地幫助制定抵御威脅的安全策略和防護措施，指導安全建設的合理投入。

風險評估的形式按照評估實施者的不同，可將其分為自評估和檢查評估二種形式：

自評估

自評估就是信息系統擁有者依靠自身力量，依據有關信息安全技術與管理標準，對自有網絡和信息系統進行風險評估的活動。該網絡和信息系統的擁有者通過自評估隨時掌握其安全狀況，不斷調整安全措施，有效地進行安全控制。其優點是有利于自身系統的保密性，發揮行業和本部門專業人員的業務專長，降低了風險評估的費用，提高了本單位風險評估能力。

檢查評估

檢查評估通常是由政府安全主管機關或本單位的上級主管機構發起，旨在依據已經頒布的法規或標準進行的、具有強制意味的檢查活動，是經過行政手段加強信息安全的重要措施。其優點是這種形式具有權威性。

自評估和檢查評估都可以通過信息安全風險評估的服務機構提供咨詢、培訓及相關工具，目前建議主要采用自評估形式，以保證本單位信息的保密性、完整性和可用性。它也是檢查評估的基礎和必要條件。

按照國信辦2006年5號文件的要求，在網絡與信息系統的設計、驗收、運行維護階段，以及當安全形勢發生重大變化或信息系統使命有重大變更時均應及時進行信息安全風險評估。

在風險評估過程中，應以本單位的業務為核心，圍繞相關信息資產（如計算機網絡設備、應用系統、數據庫等）及價值，對其所面臨的威脅、所具有的弱點和已有的安全控制措施展開分析工作。

風險評估是信息安全管理體系的基礎，信息安全風險管理的主要工作就是要發現風險，并在有限的資源下，進行削減風險或控制風險。只有建立信息安全管理體系，并有效地進行安全風險管理與控制，才能真正保護本單位的利益，并在安全事件發生的時候，最大限度地減少經濟損失和負面影響。

三、目前需解決的問題

目前信息安全風險評估工作在我國尚處于起步階段，各地開展和重視此項工作的程度也不盡相同，一些單位的網絡安全還處于亞健康狀態，需要強化信息安全管理意識，并注意解決以下幾方面的問題：

1．建立健全管理體制

依據國家在信息安全管理方面的法律、法規、標準和規范，建立安全管理制度，通過對安全評估和實施整改等各環節的監督管理，層層落實安全管理責任制，形成完善的信息安全管理體系。

2．保障資金投入

努力保障信息安全資金的投入，充分發揮信息安全保障資金的使用效益，認真分析信息安全風險評估的結果，既要保障安全，又不能因保護過度造成資金浪費。

3．聚集技術和管理人才

注意聚集和培養熟悉并有能力進行信息安全風險評估的技術人員，尤其是注意吸收那些既懂管理又懂技術的專業風險評估人才，形成一支信息安全風險評估專業隊伍。

篇2

關鍵詞：信息安全；風險評估；脆弱性；威脅

1. 引言

隨著信息技術的飛速發展，關系國計民生的關鍵信息資源的規模越來越大，信息系統的復雜程度越來越高，保障信息資源、信息系統的安全是國民經濟發展和信息化建設的需要。信息安全的目標主要體現在機密性、完整性、可用性等方面。風險評估是安全建設的出發點，它的重要意義在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案的制定，以成本一效益平衡的原則，通過評估信息系統面臨的威脅以及脆弱性被威脅源利用后安全事件發生的可能性，并結合資產的重要程度來識別信息系統的安全風險。信息安全風險評估就是從風險管理角度，運用科學的分析方法和手段，系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，以防范和化解風險，或者將殘余風險控制在可接受的水平，從而最大限度地保障網絡與信息安全。

2．網絡信息安全的內容和主要因素分析

“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全，而從廣義的角度考慮，還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。

網絡信息安全具有如下6個特征：（1）　保密性。即信息不泄露給非授權的個人或實體。（2）完整性。即信息未經授權不能被修改、破壞。（3）可用性。即能保證合法的用戶正常訪問相關的信息。（4）可控性。即信息的內容及傳播過程能夠被有效地合法控制。（5）可審查性。即信息的使用過程都有相關的記錄可供事后查詢核對。網絡信息安全的研究內容非常廣泛，根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。

而通過有效的網絡信息安全風險因素分析，就能夠為此復雜問題的解決找到一個考慮問題的立足點，能夠將復雜的問題量化，同時，也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎。

網絡信息安全的風險因素主要有以下6大類：（1）自然界因素，如地震、火災、風災、水災、雷電等；（2）社會因素，主要是人類社會的各種活動，如暴力、戰爭、盜竊等；（3）網絡硬件的因素，如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響；（4）軟件的因素，包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等；（5）人為的因素，主要包括網絡信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等；（6）其他因素，包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。

3．安全風險評估方法

3.1　定制個性化的評估方法

雖然已經有許多標準評估方法和流程，但在實踐過程中，不應只是這些方法的套用和拷貝，而是以他們作為參考，根據企業的特點及安全風險評估的能力，進行“基因”重組，定制個性化的評估方法，使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網絡結構評估、脆弱性掃描、策略評估、應用風險評估等。

3.2　安全整體框架的設計

風險評估的目的，不僅在于明確風險，更重要的是為管理風險提供基礎和依據。作為評估直接輸出，用于進行風險管理的安全整體框架。但是由于不同企業環境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應用較少。但是，企業至少應該完成近期　1～2　年內框架，這樣才能做到有律可依。

3.3　多用戶決策評估

不同層面的用戶能看到不同的問題，要全面了解風險，必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程，對于了解風險、理解風險、管理風險、落實行動，具有極大的意義。事實證明，多用戶參與的效果非常明顯。多用戶“決策”評估，也需要一個具體的流程和方法。

3.4　敏感性分析

由于企業的系統越發復雜且互相關聯，使得風險越來越隱蔽。要提高評估效果，必須進行深入關聯分析，比如對一個老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關的其他技術和管理漏洞，找出病“根”，開出有效的“處方”。這需要強大的評估經驗知識庫支撐，同時要求評估者具有敏銳的分析能力。

3.5　集中化決策管理

安全風險評估需要具有多種知識和能力的人參與，對這些能力和知識的管理，有助于提高評估的效果。集中化決策管理，是評估項目成功的保障條件之一，它不僅是項目管理問題，而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人，去執行相應的關鍵任務。如控制臺審計和滲透性測試，由不具備攻防經驗和知識的人執行，就達不到任何效果。

3.6　評估結果管理

安全風險評估的輸出，不應是文檔的堆砌，而是一套能夠進行記錄、管理的系統。它可能不是一個完整的風險管理系統，但至少是一個非常重要的可管理的風險表述系統。企業需要這樣的評估管理系統，使用它來指導評估過程，管理評估結果，以便在管理層面提高評估效果。

4．風險評估的過程

4.1　前期準備階段

主要任務是明確評估目標，確定評估所涉及的業務范圍，簽署相關合同及協議，接收被評估對象已存在的相關資料。展開對被評估對象的調查研究工作。

4.2　中期現場階段

編寫測評方案，準備現場測試表、管理問卷，展開現場階段的測試和調查研究階段。

4.3　后期評估階段

撰寫系統測試報告。進行補充調查研究，評估組依據系統測試報告和補充調研結果形成最終的系統風險評估報告。

5．風險評估的錯誤理解

（1）　不能把最終的系統風險評估報告認為是結果唯一。

（2）不能認為風險評估可以發現所有的安全問題。

（3）　不能認為風險評估可以一勞永逸的解決安全問題。

（4）不能認為風險評估就是漏洞掃描。

（5）不能認為風險評估就是　IT部門的工作，與其它部門無關。

（6）　不能認為風險評估是對所有信息資產都進行評估。

6．結語

總之，風險評估可以明確信息系統的安全狀況和主要安全風險。風險評估是信息系統安全技術體系與管理體系建設的基礎。通過風險評估及早發現安全隱患并采取相應的加固方案是信息系統安全工程的重要組成部分，是建立信息系統安全體系的基礎和前提。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求，但是，信息安全評估工作的實施也存在一定的難題，涉及信息安全評估的行業或系統各不相同，并不是所有的評估方法都適用于任何一個行業，要選擇合適的評估方法，或開發適合于某一特定行業或系統的特定評估方法，是當前很現實的問題，也會成為下一步研究的重點。

參考文獻：

[1] 剛 , 吳昌倫. 信息安全風險評估的策劃[J]. 信息技術與標準化 , 2004,(09)

[2] 賈穎禾. 信息安全風險評估[J]. 中國計算機用戶 , 2004,(24)

[3] 楊潔. 層次化的企業信息系統風險分析方法研究[J]. 軟件導刊 , 2007,(03)

[4] 楊晨. 建立健全信息安全風險評估工作機制勢在必行——信息安全專家趙戰生訪談[J]. 當代通信 , 2004,(22)

篇3

1、網絡安全評估現狀

1. 1 傳統的評估方法

傳統網絡安全檢查和評估方法主要以人工的方式進行,評估的方法有下列幾種:

(1) 通過查看網管信息,了解網絡的連通性,獲取網絡流量、負荷等信息;(2) 通過登入網絡設備對網絡配置和動態性能參數進行查看,并人工確認信息的正確性;(3) 查看網絡日志發現網絡存在的隱患.

1. 2 存在的主要問題

傳統的網絡安全檢查和評估方法存在以下不足:(1) 檢查過程比較繁瑣,加大了工作人員的工作量,容易產生漏查、錯查等情況,達不到全面檢查的效果;(2) 對檢查人員技能要求較高,檢查人員需要具有較強的專業知識,熟悉設備的操作方法;(3) 需要反復輸入命令,造成時間的浪費,工作效率低下;(4) 無法對所檢查的信息進行整理和保存,不利于障礙的排除和后期的查看.

2、解決方案

本項目以網絡管理的實際工作為出發點,緊跟現代信息技術的步伐,利用 Java 技術,建立客戶端/服務器(C/S) 的界面,根據日常維護的具體要求,實現靜態數據分析、動態性能參數檢查等功能,并且針對不同網絡設備可以按要求自主設置檢查模板,同時具備導出相應分析報告的功能.

2. 1 設計思路

采用 Java + Swing 技術,開發客戶端操作界面,具備靜態數據分析和動態數據分析等功能的操作界面; 在總結、歸納大量的配置檢查規則的基礎上,設計多個規則模版,確保檢查的正確性.

2. 2 技術架構和原理分析

采用 Java 語言來開發系統軟件,使用 C /S 架構來搭建系統程序,可以方便操作人員使用.[7](1) 硬件結構 包括交換機、局域網內的 PC機客戶端. PC 機建議配置: CPU 為 P4 2. 6 GHz 及以上,內存為 512 M 及以上.(2) 應用軟件 Minitool; 編程語言為 Java和 xml.(3) 開發工具 myeclipse6. 5; 操作系統為Window s 2003.具體技術架構如圖 1 所示.

(1) 靜態分析 利用 I/O 工作流對已經生成的信息文件進行讀取,并利用已設定的分析規則對文件進行檢查,在程序中顯示檢查的具體內容和正確性,根據需要手動導出結果報告. 靜態分析流程如圖 2 所示.

(2) 動態分析 采用多線程連接終端設備,在程序中顯示設備的連接狀況和運行狀況,可以手動停止程序的運行,其中包括連接測試和分析兩個主要功能. 連接測試是指對每個設備進行連接,測試結束后制定目錄自動生成測試結果; 分析是指在測試完成后對每個設備的制定規則進行分析,并在結束后導出分析結果. 動態分析流程如圖3 所示.

(3) 制定規則 操作員可以在該功能中指定檢查項目名稱和檢查要求,并對每個檢查要求的具體操作規則進行添加,將其保存在已經創建好的 xml 文件中,也可指定 xml 文件對其內容進行增、刪、改、查;(4) 模板管理 利用可視化界面對保存在特定文件夾下面的配置文件進行創建和刪除的操作.3、 程序功能及界面簡介。

靜態分析是對已經導出為 txt 文件格式的設備信息進行分析,通過導入設備信息文件選擇相應的檢查模板,點擊開始按鈕即可自動檢測信息文件的安全程度,并動態地顯示在輸出框內,如圖 4 所示. 其右上角用儀表盤形象化地顯示了評估分數,目的是檢查現有設備的信息安全程度.通過圖 4 的導出按鈕可以將分析完成的結果導入 Excel 文件中,可方便查看打印或者保存,如圖 5 所示.動態分析是利用遠程登入方式(ssh 或者telnet) 對設備進行實時的連接和分析,輸入文件可以選擇事先預設好的遠程設備、用戶名密碼等信息的文件,輸出路徑可以選擇分析結果數據保存的位置,然后選擇連接模式和分析模板對設備進行動態分析,其目的是可以實時地連接遠程設備,并通過預設的條件對其進行安全評估.

針對某一個具體模板中各種檢查項的操作,則可以選中檢查項,按刪除檢查項按鈕進行刪除,也可以對具體檢查項內容進行設置,如設置項目名稱、要求等,并且可以選擇添加至某個模板. 對具體檢查項可以進行添加、重置、撤銷和更新操作: 添加是向檢查項中加入一則新的規則; 重置是對當前檢查項進行清除; 撤銷是消除最后添加的規則; 而更新是對修改完的檢查項進行更新,其目的是為了增、刪、改具體的檢查條目,并添加至相應的檢查模板.4、 系統比較。

傳統的安全評估方法: 大都是人工對設備進行信息安全評估; 檢查模板較少,只能進行少部分的信息檢查; 檢測內容不夠靈活,導致錯誤評估的出現.本系統在總結傳統的安全評估方法不足基礎上,進行完善和創新. 本系統主要對模板的設計和制定進行了多方面創新. 首先,可以對某一類的檢查進行歸納,例如設備 CPU 的運行狀況、溫度的高低等,都可以歸在同一類模板中,系統對創建的模板進行保存,便于下次直接調用. 其次,在傳統的軟件中,有些自動檢查內容不夠靈活,碰到特殊的情況,會檢測不到所需要的信息,甚至會錯誤地反饋信息. 例如要檢測端口信息,只要檢測其中打開的端口,而對于關閉的端口就不必檢測,這在一般的評估軟件中很難判斷哪些端口是關閉的. 本系統針對這些情況,對檢查的內容進行分步操作,利用 Java 字符串可拼接的特點對每條檢查內容進行分割,提取其中的關鍵字符串,并對其前后進行限制,使其成為一個基本的、唯一的關鍵字符串. 這些由多個關鍵字步驟組成的完整的檢查項目可以大大地提高準確率,而且添加關鍵字組成的檢查條目可以靈活地確定所要檢查的內容,去除不必要的選項. 最后,本系統通過 C /S 界面的方式可以形象化地對各個模板及其檢查項目進行添加、刪除、修改等操作,并為每個檢查條目設定分值,以便在導出報告和靜態分析中更好地確定評估結果.本系統的特點如下:(1) 圖形化操作,方便簡單;(2) 采用多線程技術,可以同時交替進行多個流程,提高了流暢性;(3) 運用 xml 技術,對程序配置進行了保存,使操作更加簡便;(4) 使用 ssh 和 telnet 技術,實現了遠程登入;(5) 生成日志文件,方便系統異常查看;(6) 數據自動分析,減少了工作量,提高了維護的準確性和安全性.

篇4

網絡系統所存在的安全風險主要包括：資產、威脅以及脆弱性。安全風險主要體現的是一種潛在的，沒有發生的狀態。網絡安全態勢評估在網絡安全管理技術中具有重要的作用，其工作原理就是利用多種方法對網絡系統可能存在的安全漏洞進行檢測，然后根據檢測的結果分析原因，進而提供解決的建議。目前對網絡安全態勢的評估主要采取以下幾種方法：一是基于安全標準的評估方法；二是基于財產價值的評估方法，其主要是將風險看做一種量化風險，考慮風險存在所造成的各種損失；三是基于漏洞檢測的評估方法。信息系統的安全隨著檢測技術的不斷發展，其會逐漸的被公布出來進而使相關人員對系統進行檢測，以此發現其存在，并且給予解決；四是給予安全模型的評估方法。隨著人們安全意識的提高，信息系統的開發者會開發出針對不同安全風險的模型，這些模型可以為提升系統的安全性和結構性提供準確的數據參考依據。

2基于信息融合的網絡安全態勢評估模型的構建

信息融合通俗的說法就是數據融合，信息融合的關鍵問題就是提出一種方法，對來自于相同系統或者不同特征模式的多源檢測信息進行互補集成，從而獲得當前系統狀態的判斷，并且對系統進行未來預測，制訂出相應的策略保障。

2．1當前網絡安全態勢評估模型面臨的突出問題

當前對現存的網絡安全態勢評估模型的分析發現其主要存在以下兩個問題：首先是系統狀態空間爆炸問題。信息系統的狀態是由不同的信息所組成的，這些信息在應用網絡安全態勢評估模型方法進行檢測的過程中，這些信息在空間中的儲存量會快速的增加，進而導致使用空間的縮小，影響模型的運行速度；其次，當前網絡態勢評估模型主要的精力是放在對漏洞的探測和發現上，對于發現的漏洞應該如何進行安全級別的評估還比較少，而且這種模型評估主要是依據人為因素的比較大，必須根據專家經驗對相關系統的安全問題進行評估，評估的結果不會隨著時間、地點的變化而變化，結果導致評估的風險不能真實的反映系統的內部狀態。而且當前市場中所存在的安全評估產品質量不高，導致評估的結果也存在很大的問題。結合當前網絡安全態勢評估模型的現存問題，我們應該充分認識到系統本身有關參數以及實際運行數據的缺陷，通過融合技術將這些問題給予解決，然后建立一個基于信息融合技術安全評估的模型。

2．2基于信息融合的網絡安全評估模型

根據上述的問題，本文提出一個利用數據融合中心對網絡安全事件進行數據綜合、分析和數據融合的網絡安全評估模型。具體設計模型見圖1：

（1）信息收集模塊。信息收集模塊就是形成漏洞數據庫，其主要是根據網絡專家對網絡系統的分析以及相關實驗人員對網絡系統的安全配置管理的經驗，構建一套相對標準的網絡系統漏洞庫，然后進行相應的匹配規則，以此根據系統進行自動漏洞的掃描工作，根據漏洞數據系統對網絡完全系統進行處理。可以說漏洞系統的完整與否決定著網絡系統的安全程度。比如如果網絡漏洞數據庫存在缺陷，那么其就不能準確的掃描出系統中的相關漏洞，這樣對網絡系統而言是一種巨大的安全隱患。因此在信息模塊建設過程中，一定要針對不同的網絡安全隱患構建相應的漏洞文件數據庫，同時還要保證漏洞庫內的文件符合系統安全性能的要求。

（2）信息融合模塊。針對目前市場中所存在的收集信息產品之間的相互轉化局限問題，需要將信息接收系統轉化為一種通用的格式，以此實現對信息的統一接收，實現對原始信息的過濾機篩選。其具體的操作流程是：首先是數據預處理。由于網絡系統的信息數量很多，為了對網路安全進行分析，前提就是要對眾多的信息進行分類管理，建立漏洞關聯庫；其次是初級融合部分將預處理傳來的數據進行分類處理，并且利用不同的關聯方法進行處理，然后將處理的信息傳給下一級別的數據進行融合處理；最后決策融合。決策融合是綜合所有的規則以及推理方法，對系統信息進行綜合的處理之后，得出所需要的信息的策略。經過融合的信息在處理之后，實現了信息之間由相互獨立到具有相互間關聯的數據。聯動控制根據融合后的數據查找策略庫中相匹配的策略規則，如果某條規則的條件組與當前的數據匹配，即執行聯動響應模塊。

（3）人機界面。人機界面是實現網路拓撲自動探測，實現智能安全評估的重要形式。人機界面主要是為系統安全評估的信息交流提供重要的載體，比如對于網路數據信息的錄入，以及給相關用戶提供信息查詢等都需要通過人機界面環節實現。人機界面安全評估主要包括對網絡系統安全評估結果以及相關解決策略的顯示。通過人機界面可以大大降低相關網絡管理人員的工作量，提高對網絡安全隱患的動態監測。

3信息融合技術在模型中的層次結構

本文設計的網絡系統安全評估模型主要是利用漏洞掃描儀對系統漏洞進行過濾、篩選，進而建立漏洞數據庫的方式對相關系統漏洞進行管理分析。因此我們將信息融合的結構分為3層：數據層、信息層和知識層，分別對各個數據庫的創建方法和過程進行詳細的闡述。

3．1數據層融合

漏洞數據庫是描述網絡系統狀態的有效信息，基于對當前系統知識的理解，我們可以準確的對系統的狀態進行判斷，然后判定信息系統的漏洞，從而形成對階段網絡的攻擊模型：一是漏洞非量化屬性的提取，其主要包括：漏洞的標識號、CVE、操作系統及其版本等；二是漏洞的量化性屬性的提取，其主要是提取系統的安全屬性。

3．2信息層融合

信息層融合主要是將多個系統的信息資源進行整合，以此體現出傳感器提取數據所具備的的代表性，因此信息層融合的數據庫主要是：一是漏洞關聯庫的建立。網絡安全隱患的發生主要是外部侵入者利用系統的漏洞進行攻擊，由此可見漏洞之間存在關聯性，因此為提高網絡系統的安全性，就必須要對漏洞的關聯性進行分析，根據漏洞的關聯性開展網絡安全評估模型的構建；二是建立動態數據庫。動態數據庫主要是根據對歷史態勢信息的分析，找出未來網絡安全的發展態勢，以此更好地分析網路安全態勢評估模型。

3．3知識層融合

篇5

【 關鍵詞 】 軍校學員；信息安全；風險評估

Cadets’s Information Security Risk Assessment Problems and Solutions

Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3

（1.Second Military Medical University， Department of Health Services Corps Shanghai 200433；

2.Second Military Medical University， Department of Health Services， Public Health Management Shanghai 200433；

3.Second Military Medical University， Department of Computer Shanghai 200433）

【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information， meanwhile， make a huge challenge to information security.So， Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing， point out the problems of information security risk assessment， and the specific implementation of countermeasures.

【 Keywords 】 cadet； information security； risk assessment

1 引言

軍隊院校信息化建設始于上個世紀90年代初開始，如今軍校教育教學、機關辦公、學員管理等基礎業務對網絡信息系統的依賴程度越來越大，同時面臨的信息安全問題也越來越復雜多樣化、越來越隱蔽化。雖然學校采取了安全監測、入侵防護等安全技術措施，但由于學員網絡安全保密意識不強，網絡安全技術掌握不到位的欠缺，管理方法針對性不強，軍隊院校學員網絡安全風險高，以至網絡安全事件甚至泄密事件時有發生。而衛勤軍校學員在平時的學習工作中均有可能會涉及并接觸到更多的軍事秘密，面臨的信息安全問題更加嚴峻。因此，迫切需要對衛勤軍校學員的網絡信息安全現狀及風險因素進行客觀有效的分析和評估，依據評估結果為針對軍校學員的網絡信息安全管理提供指導，進而有針對性地采取綜合性網絡安全風險的有效管理措施。

2 軍校學員信息安全面臨的風險

2.1 網絡信息環境復雜，安全風危險性高

信息時代，互聯網的應用已經深入到各個領域，但其共享性、開放性和互聯性的特點，使得環境越來越復雜，危險不安全因素越來越多。

一是網絡黑客攻擊。網絡攻擊包括黑客攻擊、病毒感染以及針對性軍事機構、軍隊人員的網絡監視，如軍校附近的企業、網絡監聽。目前信息系統技術發達，網絡黑客可以通過極限攻擊、讀取受限文件、拒絕服務以及口令恢復等一系列技術獲取信息，對軍隊保密安全形成威脅。學員在使用網絡時感染病毒導致文件丟失、破壞，發生嚴重的安全事故。此外，針對軍事機構和軍事人員的網絡監視并不少見， 增加了軍校學員網絡信息安全的風險。

二是網絡陷阱。特別是一些博客、論壇，借軍事愛好、討論敏感話題、套取軍事信息此外，有些人在網絡上設置陷阱，一旦發現軍人身份的網絡用戶便主動接近，通過交流和獲取軍隊內部信息。同時，由網絡海量信息形成的巨大信息流，其中摻雜著諸多不良信息，更有人借網絡進行非法活動的傳播，對大學生進行鼓動和教唆，嚴重危害學員身心健康。現代社會的多元化很大程度上反映到了互聯網上，隨著網絡的發展，論壇社區、交友網站的興起，微博、QQ、MSN等交流交互方式的流行，智能手機的廣泛應用，吸引著軍校學員接觸網絡，給學員自身、學校甚至軍隊的信息安全都帶來很大的威脅。

三是病毒感染網絡沉迷。互聯網的虛擬性極大程度地吸引著學員不斷接觸網絡，其中網絡戀情和網絡游戲是最主要的沉迷對象。人生觀和價值觀正在形成過程中的大學生分辨能力和自制能力較差，加上軍隊院校相對封閉的環境，部分軍校學員沉迷于網絡戀情或網絡游戲而不能自拔，安全意識更加薄弱，往往將自身信息和軍事機密信息透漏出去，甚至引發安全事故。

2.2 信息安全意識差，抵御能力弱

一方面隨著智能終端的不斷研發，信息化進程的不斷推進，上網方式已經不再局限于計算機，智能手機、平板電腦以及各種無線網絡設備都可以方便連接網絡。學生作為網絡的主體，網絡信息安全意識差，依賴上網方式的多樣化和便捷性頻繁的接觸網絡。另一方面，隨著微時代的到來，微文化流行，參與便捷，加之學員的信息安全意識不強，將校區所處的環境圖片、課件、聽看到的信息、消息等隨手轉發到網絡上，給學校和軍事機構帶來嚴重的安全隱患。更有甚者，學員利用網絡散播不良信息，參與黑客等網絡破壞活動，給國家和軍隊帶來嚴重的損失。迅速發展和廣泛應用的互聯網，是廣大軍校學員獲取信息的有效途徑，同時也對信息安全形成巨大挑戰。互聯網大量的信息集成，是對每個涉足互聯網人員的沖擊，沒有強烈的安全意識，很容易導致安全事故的發生。在管理方式上，大多數只停留在接受口頭安全教育的層面上，沒有意識到現代高端的信息技術和間諜技術帶來的威脅。

2.3 網絡信息安全管理差，處理方法少

目前軍校面臨的信息安全問題也越來越復雜多樣化、越來越隱蔽化。雖然殺毒軟件、防火墻、入侵檢測等安全技術的應用起到一定的防御作用，但由于管理方法針對性不強，對于安全事件的處理不到位，信息安全事故依舊不減。軍隊院校是培養軍隊專門人才的特殊教育訓練機構，互聯網、校園網、軍事信息綜合網等各類網絡廣泛應用。軍校學員在生活、學習過程中，有機會了解和掌握軍隊的編制體制、方針政策、武器裝備等涉及軍事秘密等信息，而針對軍校學員的網絡信息安全管理辦法少、科學性不強，主要體現在兩方面。

一是宣傳式教育過于形式化。大多數學校的網絡信息安全教育是以口頭說教、安全講座、安全知識考試以及教育傳單的形式展開，而這些宣傳式的教育流于表面，沒有真正讓學員體會到現代網絡環境存在的風險，也沒有意識到自己的網絡行為所造成的安全隱患。

二是限制網絡使用效果不明顯。為了防止安全保密事故的發生，學校常常用會限制學員的網絡使用，但是這種 “堵”的方式只能限制了學員對學校網絡和網絡設備的使用，學員依舊可以方便選擇通過其他智能終端使用網絡，而且這種方式與現代信息社會格格不入，阻礙和影響到了學員正常獲取學校正常教學、辦公信息和知識的途徑，引起教學辦公人員的不滿。這些辦法并沒有真正加強學員的安全意識以及阻止安全事件的發生，也為信息安全帶來了風險。

3 軍校學員信息安全評估存在的問題

3.1 針對性不強，評估指標不完善

目前大多數軍校都會定期對網絡進行檢測和維護，對于信息安全的風險評估大多數側重于網絡硬件和軟件的基本情況，忽視了針對學員的信息風險評估。認為通過限制使用就可以避免風險，這樣不但浪費了資源，也沒有真正起到降低風險的作用。很多風險評估沒有針對學員的評估指標，或者沒有深入研究學員的網絡行為，其指標缺乏有針對性，導致評估在學員信息安全防范措施這一環節上的薄弱。

3.2 科學性不高，風險量化能力差

對于軍校學員的信息安全風險評估大多數指標是定性的，而定性的安全風險評估無法準確地確定風險的大小，無法對安全風險進行精確地排序，從而難以確定系統面臨的真正風險。這就要求軍校學員信息安全風險評估工作所運用的評估方法必須具備一定的量化能力。量化風險評估分析方法的關鍵在于輸入參數的量化。對制定的量表進行有效的賦值，并在此基礎上歸類分析是量化評估的難點，而目前軍校在對學員進行信息安全風險評估時，處理這些量化難點做的還不夠到位。

3.3 系統性評估流于形式，對評估結果沒有充分利用

多數軍校只有上級安全部門進行的檢查評估時才進行信息安全風險評估工作，并沒有進行自評估，或者自評估的次數少，不能及時發現學員存在的信息安全隱患。風險評估在國內發展的時間較短，在軍校學員中開展系統性的信息安全風險評估，軍校引入的并不多，所以評估的形式欠科學性。同時評估流于形式，有些軍校雖然開展了對學員的評估，但不能根據評估結果采取相應的安全措施，失去了評估的意義。

4 軍校學員風險評估實施策略

4.1 提高重視程度，采用先進管理方法

提高對學員信息安全風險評估的重視程度是決定風險評估效果的關鍵因素。首先，軍校工作人員在對學校整個信息系統進行風險評估時，應當把對學員的信息安全風險評估單獨列出，著重從倫理道德、紀律規范、網絡技能和網絡行為等方面進行評估，提高學員的安全思想意識。其次，要引進先進的管理辦法，不能只停留在宣傳式教育和限制網絡上。宣傳形式要新穎，可以用實例向學員宣講，同時模擬真實的環境，讓學員參與其中，從而加深印象，提高意識。管理上可以對學員進行跟蹤監測，發現學員在網絡使用上的漏洞，將其列為控制的關鍵環節加強管理；也可以對學員進行調研，了解學員對于網絡行為和信息安全的認識程度，及時進行針對性教育。同時，領導層面要加強重視，才能提供更多的人力物力支持評估工作。各級干部和學員要抓好落實，養成良好的安全習慣，配合好風險評估工作。

4.2 深入研究風險，有針對性地建立指標體系

合理有效的評估指標體系是進行風險評估的基礎要素。建立有針對性的評估指標體系：一是要要充分調研學員信息安全存在的風險，跟蹤學員的網絡行為，發現關鍵環節；二是要把握指標體現建立的原則。首先是一般性原則，包括系統性原則、典型性原則、導向性原則、針對性原則、簡約性原則、可操作性原則以及可延續性原則。風險評估設計要考慮到學員心理行為、網絡安全技術和安全管理制度等多方面因素，依照一般性原則的同時也要綜合考慮這些特殊因素；三是要多維度建立評估指標體系。依據信息安全風險評估成熟的理論和方法，根據對軍校學員網絡行為的研究結果，從法律法規、倫理道德、安全保密和安全技術等維度入手，在每個維度中確立定性和定量的指標，建立網絡安全風險評估架構。

4.3 充分利用評估結果，將風險評估制度化

在完成了對學員信息安全風險的評估后，要對采集的數據進行科學的分析。針對學員的信息安全風險評估存在大量的定性指標，具有結構復雜、不確定性和非線性的特點，傳統的權重賦值方法精度低。人工神經網絡是近幾年發展起來的一種新興的科學方法，它模仿人大腦的工作機理和思維本質，通過數學模型與計算機的結合，所建立起來的一套智能的系統。目前，人工神經網絡已經發展了十幾種，適用于不同的實際問題來建模。而徑向基神經網絡因其能夠逼近任意的非線性函數，解決系統內在難以解析的規律，因此在實際評估的過程中能很好地處理主觀與客觀的指標，得到較為完善的評估結果。針對評估結果，學校應當采取一系列管理措施，并制定長期的網絡使用規范和有關信息安全的紀律條例，并根據新的問題進行修改和完善。把對學員信息安全的風險評估制度化、規范化，真正展現發揮風險評估的效果效用，從而避免安全事故的發生。

參考文獻

[1] 賈玲.軍校網絡信息安全風險評估研究[J]. 武警學院學報，2010（8）：95-96.

[2] 賈衛國，許浩，王成.軍校網絡信息安全風險評估工作探討[J]. 計算機安全，2009（9）：78-80.

[3] 孫利娟，劉彩紅.高校信息安全教育問題研究[J]. 電腦技術與知識，2010（8）：30.

[4] 劉楓.大學生信息安全素養分析與形成[J]. 計算機教育，2010（21）：77-80.

[5] 申時凱，佘玉梅. 糊神經網絡在信息安全風險評估中的應用[J]. 計算機仿真，2011（10）：92-94.

[6] 黃婷婷.網絡安全防御管理研究及對策[J]. SILICONVALLEY，2010（6）：107.

[7] 趙軍勇. 網絡信息系統技術安全與防范[J]. 廣播電視技術，2011（4）：9-11.

[8] 任麗平. 加強大學生網絡安全教育[J]. 內江師范學院學報，2004（5）：97-100.

[9] 巢傳宣.大學生網絡安全問題研究[J]. 南昌工程學院學報，2010（5）：54-57.

[10] 韓立群.人工神經網絡理論、設計及應用（第2 版）[M].化學工業出版社，2011（9）：164.

[11] 郝文江，武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全，2012，（01）：5-9.

[12] 任偉.無線網絡安全問題初探[J].信息網絡安全，2012，（01）：10.

[13] 郎為民，楊德鵬，李虎生.基于SIR模型的智能電網WCSN數據偽造攻擊研究[J].信息網絡安全，2012，（01）：14-16.

基金項目：

基于神經網絡模型的大學生網絡信息安全風險評估及對策研究；項目級別：校創新能力基金；項目編號：ZD2012039。

作者簡介：