序論:好文章的創(chuàng)作是一個不斷探索和完善的過程,我們?yōu)槟扑]十篇網(wǎng)絡(luò)安全評估報告范例����,希望它們能助您一臂之力,提升您的閱讀品質(zhì)��,帶來更深刻的閱讀感受�����。
篇(1)
第二條 本規(guī)定所稱具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù),包括下列情形:
(一)開辦論壇���、博客���、微博客、聊天室���、通訊群組���、公眾賬號、短視頻�����、網(wǎng)絡(luò)直播���、信息分享����、小程序等信息服務(wù)或者附設(shè)相應(yīng)功能�����;
(二)開辦提供公眾輿論表達(dá)渠道或者具有發(fā)動社會公眾從事特定活動能力的其他互聯(lián)網(wǎng)信息服務(wù)��。
第三條 互聯(lián)網(wǎng)信息服務(wù)提供者具有下列情形之一的�����,應(yīng)當(dāng)依照本規(guī)定自行開展安全評估��,并對評估結(jié)果負(fù)責(zé):
(一)具有輿論屬性或社會動員能力的信息服務(wù)上線�����,或者信息服務(wù)增設(shè)相關(guān)功能的�;
(二)使用新技術(shù)新應(yīng)用,使信息服務(wù)的功能屬性����、技術(shù)實現(xiàn)方式、基礎(chǔ)資源配置等發(fā)生重大變更�����,導(dǎo)致輿論屬性或者社會動員能力發(fā)生重大變化的;
(三)用戶規(guī)模顯著增加�,導(dǎo)致信息服務(wù)的輿論屬性或者社會動員能力發(fā)生重大變化的;
(四)發(fā)生違法有害信息傳播擴(kuò)散����,表明已有安全措施難以有效防控網(wǎng)絡(luò)安全風(fēng)險的;
(五)地市級以上網(wǎng)信部門或者公安機(jī)關(guān)書面通知需要進(jìn)行安全評估的其他情形�。
第四條 互聯(lián)網(wǎng)信息服務(wù)提供者可以自行實施安全評估,也可以委托第三方安全評估機(jī)構(gòu)實施�����。
第五條 互聯(lián)網(wǎng)信息服務(wù)提供者開展安全評估���,應(yīng)當(dāng)對信息服務(wù)和新技術(shù)新應(yīng)用的合法性���,落實法律、行政法規(guī)���、部門規(guī)章和標(biāo)準(zhǔn)規(guī)定的安全措施的有效性��,防控安全風(fēng)險的有效性等情況進(jìn)行全面評估����,并重點評估下列內(nèi)容:
(一)確定與所提供服務(wù)相適應(yīng)的安全管理負(fù)責(zé)人、信息審核人員或者建立安全管理機(jī)構(gòu)的情況�;
(二)用戶真實身份核驗以及注冊信息留存措施;
(三)對用戶的賬號��、操作時間�����、操作類型���、網(wǎng)絡(luò)源地址和目標(biāo)地址、網(wǎng)絡(luò)源端口����、客戶端硬件特征等日志信息,以及用戶信息記錄的留存措施��;
(四)對用戶賬號和通訊群組名稱�、昵稱、簡介�、備注、標(biāo)識�,信息、轉(zhuǎn)發(fā)����、評論和通訊群組等服務(wù)功能中違法有害信息的防范處置和有關(guān)記錄保存措施����;
(五)個人信息保護(hù)以及防范違法有害信息傳播擴(kuò)散�����、社會動員功能失控風(fēng)險的技術(shù)措施�;
(六)建立投訴、舉報制度����,公布投訴、舉報方式等信息�����,及時受理并處理有關(guān)投訴和舉報的情況���;
(七)建立為網(wǎng)信部門依法履行互聯(lián)網(wǎng)信息服務(wù)監(jiān)督管理職責(zé)提供技術(shù)�����、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況����;
(八)建立為公安機(jī)關(guān)、國家安全機(jī)關(guān)依法維護(hù)國家安全和查處違法犯罪提供技術(shù)��、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況���。
第六條 互聯(lián)網(wǎng)信息服務(wù)提供者在安全評估中發(fā)現(xiàn)存在安全隱患的��,應(yīng)當(dāng)及時整改,直至消除相關(guān)安全隱患���。
經(jīng)過安全評估����,符合法律���、行政法規(guī)��、部門規(guī)章和標(biāo)準(zhǔn)的���,應(yīng)當(dāng)形成安全評估報告。安全評估報告應(yīng)當(dāng)包括下列內(nèi)容:
(一)互聯(lián)網(wǎng)信息服務(wù)的功能�����、服務(wù)范圍、軟硬件設(shè)施�����、部署位置等基本情況和相關(guān)證照獲取情況�����;
(二)安全管理制度和技術(shù)措施落實情況及風(fēng)險防控效果�;
(三)安全評估結(jié)論;
(四)其他應(yīng)當(dāng)說明的相關(guān)情況�。
第七條 互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)將安全評估報告通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺提交所在地地市級以上網(wǎng)信部門和公安機(jī)關(guān)。
具有本規(guī)定第三條第一項����、第二項情形的,互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)在信息服務(wù)��、新技術(shù)新應(yīng)用上線或者功能增設(shè)前提交安全評估報告��;具有本規(guī)定第三條第三��、四����、五項情形的�����,應(yīng)當(dāng)自相關(guān)情形發(fā)生之日起30個工作日內(nèi)提交安全評估報告��。
第八條 地市級以上網(wǎng)信部門和公安機(jī)關(guān)應(yīng)當(dāng)依據(jù)各自職責(zé)對安全評估報告進(jìn)行書面審查�����。
發(fā)現(xiàn)安全評估報告內(nèi)容���、項目缺失����,或者安全評估方法明顯不當(dāng)?shù)模瑧?yīng)當(dāng)責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者限期重新評估���。
發(fā)現(xiàn)安全評估報告內(nèi)容不清的��,可以責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者補(bǔ)充說明��。
第九條 網(wǎng)信部門和公安機(jī)關(guān)根據(jù)對安全評估報告的書面審查情況��,認(rèn)為有必要的���,應(yīng)當(dāng)依據(jù)各自職責(zé)對互聯(lián)網(wǎng)信息服務(wù)提供者開展現(xiàn)場檢查��。
網(wǎng)信部門和公安機(jī)關(guān)開展現(xiàn)場檢查原則上應(yīng)當(dāng)聯(lián)合實施����,不得干擾互聯(lián)網(wǎng)信息服務(wù)提供者正常的業(yè)務(wù)活動�。
第十條 對存在較大安全風(fēng)險、可能影響國家安全��、社會秩序和公共利益的互聯(lián)網(wǎng)信息服務(wù)�,省級以上網(wǎng)信部門和公安機(jī)關(guān)應(yīng)當(dāng)組織專家進(jìn)行評審,必要時可以會同屬地相關(guān)部門開展現(xiàn)場檢查���。
第十一條 網(wǎng)信部門和公安機(jī)關(guān)開展現(xiàn)場檢查���,應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)�、部門規(guī)章的規(guī)定進(jìn)行。
第十二條 網(wǎng)信部門和公安機(jī)關(guān)應(yīng)當(dāng)建立監(jiān)測管理制度����,加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險管理���,督促互聯(lián)網(wǎng)信息服務(wù)提供者依法履行網(wǎng)絡(luò)安全義務(wù)。
發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者未按本規(guī)定開展安全評估的���,網(wǎng)信部門和公安機(jī)關(guān)應(yīng)當(dāng)通知其按本規(guī)定開展安全評估����。
第十三條 網(wǎng)信部門和公安機(jī)關(guān)發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者拒不按照本規(guī)定開展安全評估的�����,應(yīng)當(dāng)通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺向公眾提示該互聯(lián)網(wǎng)信息服務(wù)存在安全風(fēng)險�����,并依照各自職責(zé)對該互聯(lián)網(wǎng)信息服務(wù)實施監(jiān)督檢查�,發(fā)現(xiàn)存在違法行為的����,應(yīng)當(dāng)依法處理。
第十四條 網(wǎng)信部門統(tǒng)籌協(xié)調(diào)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估工作�,公安機(jī)關(guān)的安全評估工作情況定期通報網(wǎng)信部門。
篇(2)
中圖文分類號:TP393.08文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2008)29-0366-02
Research on Network Security Risk Assessment Appraisal Flow
XING Zhi-jun
(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)
Abstract: Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.
Key words: network security;risk assessment;appraisal flow
1 引言
網(wǎng)絡(luò)安全風(fēng)險評估就是通過對計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全狀況進(jìn)行安全性分析���,及時發(fā)現(xiàn)并指出存在的安全漏洞�����,以保證系統(tǒng)的安全�����。網(wǎng)絡(luò)安全風(fēng)險評估在網(wǎng)絡(luò)安全技術(shù)中具有重要的地位�����,其基本原理是采用多種方法對網(wǎng)絡(luò)系統(tǒng)可能存在的已知安全漏洞進(jìn)行檢測�����,找出可能被黑客利用的安全隱患���,并根據(jù)檢測結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全分析報告與漏洞修補(bǔ)建議�,以便及早采取措施�,保護(hù)系統(tǒng)信息資源。
風(fēng)險評估過程就是在評估標(biāo)準(zhǔn)的指導(dǎo)下��,綜合利用相關(guān)評估技術(shù)、評估方法�、評估工具,針對信息系統(tǒng)展開全方位的評估工作的完整歷程��。對信息系統(tǒng)進(jìn)行風(fēng)險評估����,首先應(yīng)確保風(fēng)險分析的內(nèi)容與范圍應(yīng)該覆蓋信息系統(tǒng)的整個體系,應(yīng)包括:系統(tǒng)基本情況分析�、信息系統(tǒng)基本安全狀況調(diào)查、信息系統(tǒng)安全組織��、政策情況分析����、信息系統(tǒng)弱點漏洞分析等。
2 風(fēng)險評估的準(zhǔn)備
風(fēng)險評估的準(zhǔn)備過程是組織進(jìn)行風(fēng)險評估的基礎(chǔ)���,是整個風(fēng)險評估過程有效性的保證���。機(jī)構(gòu)對自身信息及信息系統(tǒng)進(jìn)行風(fēng)險評估是一種戰(zhàn)略性的考慮,其結(jié)果將受到機(jī)構(gòu)的業(yè)務(wù)需求及戰(zhàn)略目標(biāo)�、文化��、業(yè)務(wù)流程、安全要求����、規(guī)模和結(jié)構(gòu)的影響。不同機(jī)構(gòu)對于風(fēng)險評估的實施過程可能存在不同的要求��,因此在風(fēng)險評估的準(zhǔn)備階段�,應(yīng)該完成以下工作。
1) 確定風(fēng)險評估的目標(biāo)
首先應(yīng)該明確風(fēng)險評估的目標(biāo)�����,為風(fēng)險評估的過程提供導(dǎo)向���。支持機(jī)構(gòu)的信息����、系統(tǒng)��、應(yīng)用軟件和網(wǎng)絡(luò)是機(jī)構(gòu)重要的資產(chǎn)���。資產(chǎn)的機(jī)密性�����、完整信和可用性對于維持競爭優(yōu)勢����、獲利能力、法規(guī)要求和一個機(jī)構(gòu)的形象是必要的����。機(jī)構(gòu)要面對來自四面八方日益增長的安全威脅。一個機(jī)構(gòu)的系統(tǒng)�、應(yīng)用軟件和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo)。同時����,由于機(jī)構(gòu)的信息化程度不斷提高,對基于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加����,一個機(jī)構(gòu)則可能出現(xiàn)更多的脆弱性。機(jī)構(gòu)的風(fēng)險評估的目標(biāo)基本上來源于機(jī)構(gòu)業(yè)務(wù)持續(xù)發(fā)展的需要�、滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面�。
2) 確定風(fēng)險評估的范圍
機(jī)構(gòu)進(jìn)行風(fēng)險評估可能是由于自身業(yè)務(wù)要求及戰(zhàn)略目標(biāo)的要求、相關(guān)方的要求或者其他原因����。因此應(yīng)根據(jù)上述具體原因確定分險評估范圍�����。范圍可能是機(jī)構(gòu)全部的信息和信息系統(tǒng),可能是單獨的信息系統(tǒng)����,可能是機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)流程,也可能是客戶的知識產(chǎn)權(quán)���。
3) 建立適當(dāng)?shù)慕M織結(jié)構(gòu)
在風(fēng)險評估過程中�,機(jī)構(gòu)應(yīng)建立適當(dāng)?shù)慕M織結(jié)構(gòu)�����,以支持整個過程的推進(jìn)����,如成立由管理層、相關(guān)業(yè)務(wù)骨干���、IT技術(shù)人員等組成的風(fēng)險評估小組����。組織結(jié)構(gòu)的建立應(yīng)考慮其結(jié)構(gòu)和復(fù)雜程度,以保證能夠滿足風(fēng)險評估的目標(biāo)����、范圍。
4) 建立系統(tǒng)型的風(fēng)險評估方法
風(fēng)險評估方法應(yīng)考慮評估的范圍���、目的�、時間�����、效果�、機(jī)構(gòu)文化、人員素質(zhì)以及具體開展的程度等因素來確定�����,使之能夠與機(jī)構(gòu)的環(huán)境和安全要求相適應(yīng)�����。
5) 獲得最高管理者對風(fēng)險評估策劃的批準(zhǔn)
上述所有內(nèi)容應(yīng)得到機(jī)構(gòu)的最高管理者的批準(zhǔn)�,并對管理層和員工進(jìn)行傳達(dá)。由于風(fēng)險評估活動涉及單位的不同領(lǐng)域和人員�,需要多方面的協(xié)調(diào)�����,必要的���、充分的準(zhǔn)備是風(fēng)險評估成功的關(guān)鍵�。因此,評估前期準(zhǔn)備工作中還應(yīng)簽訂合同和機(jī)密協(xié)議以及選擇評估模式��。
3 信息資產(chǎn)識別
資產(chǎn)是企業(yè)�、機(jī)構(gòu)直接賦予了價值因而需要保護(hù)的東西,它可能是以多種形式存在的����,無形的、有形的��,硬件����、軟件,文檔�����、代碼,或者服務(wù)���、企業(yè)形象等����。在一般的評估體中��,資產(chǎn)大多屬于不同的信息系統(tǒng)�,如OA系統(tǒng)、網(wǎng)管系統(tǒng)�����、業(yè)務(wù)生產(chǎn)系統(tǒng)等���,而且對于提供多種業(yè)務(wù)的機(jī)構(gòu)��,業(yè)務(wù)生產(chǎn)系統(tǒng)的數(shù)量還可能會很多�����。
資產(chǎn)賦值是對資產(chǎn)安全價值的估價����,不是以資產(chǎn)的帳面價格來衡量的。在對資產(chǎn)進(jìn)行估價時��,不僅要考慮資產(chǎn)的成本價格����,更重要的是要考慮資產(chǎn)對于機(jī)構(gòu)業(yè)務(wù)的安全重要性,即由資產(chǎn)損失所引發(fā)的潛在的影響來決定���。為確保資產(chǎn)估價時的一致性和準(zhǔn)確定,機(jī)構(gòu)應(yīng)按照上述原則�����,建立一個資產(chǎn)價值尺度(資產(chǎn)評估標(biāo)準(zhǔn))����,以明確如何對資產(chǎn)進(jìn)行賦值。資產(chǎn)賦值包括機(jī)密性賦值����、完整性賦值和可用性賦值。
4 威脅識別
安全威脅是一種對機(jī)構(gòu)及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者時間�����。無論對于多么安全的信息系統(tǒng),安全威脅是一個客觀存在的事物����,它是風(fēng)險評估的重要因素之一。
5 脆弱性識別
脆弱性評估也稱為弱點評估����,是風(fēng)險評估中的重要內(nèi)容。弱點是資產(chǎn)本身存在的�����,它可以被威脅利用�、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點包括物理環(huán)境�、機(jī)構(gòu)、過程��、人員��、管理�、配置、硬件�����、軟件和信息等各種資產(chǎn)的脆弱性。
6 已有安全措施的確認(rèn)
機(jī)構(gòu)應(yīng)對已采取的控制措施進(jìn)行識別并對控制措施的有效性進(jìn)行確認(rèn)���,將有效的安全控制措施繼續(xù)保持���,以避免不必要的工作和費用,防止控制措施的重復(fù)實施��。對于那些被認(rèn)為不適當(dāng)?shù)目刂茟?yīng)核查是否應(yīng)被取消����,或者用更合適的控制代替。安全控制可以分為預(yù)防性控制措施和保護(hù)性控制措施兩種���。預(yù)防性控制措施可以降低威脅發(fā)生的可能性和減少安全脆弱性;而保護(hù)性控制措施可以減少因威脅發(fā)生所造成的影響��。
7 風(fēng)險識別
根據(jù)策劃的機(jī)構(gòu)�,由評估的人員按照相應(yīng)的職責(zé)和程序進(jìn)行資產(chǎn)評估、威脅評估����、脆弱性評估,在考慮已有安全措施的情況下,利用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性��,并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響來得出資產(chǎn)的安全風(fēng)險�����。
8 風(fēng)險評估結(jié)果記錄
根據(jù)評估實施情況和所搜集到的信息�����,如資產(chǎn)評估數(shù)據(jù)����、威脅評估數(shù)據(jù)、脆弱性評估數(shù)據(jù)等��,完成評估報告撰寫��。評估報告是風(fēng)險評估結(jié)果的記錄文件���,是機(jī)構(gòu)實施風(fēng)險管理的主要依據(jù)����,是對風(fēng)險評估活動進(jìn)行評審和認(rèn)可的基礎(chǔ)資料���,因此���,報告必須做到有據(jù)可查��,報告內(nèi)容一般主要包括風(fēng)險評估范圍�、風(fēng)險計算方法�����、安全問題歸納以及描述��、風(fēng)險級數(shù)��、安全建議等�����。風(fēng)險評估報告還可以包括風(fēng)險控制措施建議���、參與風(fēng)險描述等。
由于信息系統(tǒng)及其所在環(huán)境的不斷變化�����,在信息系統(tǒng)的運行過程中,絕對安全的措施是不存在的��。攻擊者不斷有新的方法繞過或擾亂系統(tǒng)中的安全措施���,系統(tǒng)的變化會帶來新的脆弱點���,實施的安全措施會隨著時間而過時等等,所有這些表明�,信息系統(tǒng)的風(fēng)險評估過程是一個動態(tài)循環(huán)的過程,應(yīng)周期性的對信息系統(tǒng)安全進(jìn)行重新評估�����。
參考文獻(xiàn):
篇(3)
網(wǎng)絡(luò)安全評估又叫安全評價���。一個組織的信息系統(tǒng)經(jīng)常會面臨內(nèi)部和外部威脅的風(fēng)險�。安全評估利用大量安全性行業(yè)經(jīng)驗和漏洞掃描的最先進(jìn)技術(shù)����。從內(nèi)部和外部兩個角度。對系統(tǒng)進(jìn)行全面的評估��。
1 網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)簡介:
1.1 TCSEC
TCSEC標(biāo)準(zhǔn)是計算機(jī)系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn)�����,具有劃時代的意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會提出��,并于1985年12月由美國國防部公布����。TCSEC安全要求由策略(Policy)、保障(Assuerance)類和可追究性(Account-ability)類構(gòu)成�。TCSEC將計算機(jī)系統(tǒng)按照安全要從由低到高分為四個等級。四個等級包括D���、C����、B和A����,每個等級下面又分為七個級別:D1、c1����、c2���、B1�、B2、B3和A1七個類別�,每一級別要求涵蓋安全策略、責(zé)任��、保證�����、文檔四個方面�����。
TCSEC安全概念僅僅涉及防護(hù)�,而缺乏對安全功能檢查和如何應(yīng)對安全漏洞方面問題的研究和探討,因此TCSEC有很大的局限性����。它運用的主要安全策略是訪問控制機(jī)制。
1.2 1TSEC
ITSEC在1990年由德國信息安全局發(fā)起����,該標(biāo)準(zhǔn)的制定,有利于歐共體標(biāo)準(zhǔn)一體化���,也有利于各國在評估結(jié)果上的互認(rèn)��。該標(biāo)準(zhǔn)在TCSEC的基礎(chǔ)上�,首次提出了信息安全CIA概念(保密性、完整性�、可用性)。1TSEC的安全功能要求從F1~F10共分為10級���,其中1~5級分別于TCSEC的D-A對應(yīng)�,6~10級的定義為:F6:數(shù)據(jù)和程序的完整性���;F7:系統(tǒng)可用性����;F8:數(shù)據(jù)通信完整性����;F9:數(shù)據(jù)通信保密性;F10:包括機(jī)密性和完整性�。
1.3 CC
CC標(biāo)準(zhǔn)是由美國發(fā)起的,英國���、法國��、德國等國共同參與制定的�,是當(dāng)前信息系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)����。CC由三部分組成:見解和一般模型、安全功能要求和安全保證要求����。CC提出了從低到高的七個安全保證等級,從EALl到EAL7�����。該標(biāo)準(zhǔn)主要保護(hù)信息的保密性���、完整性和可用性三大特性����。評估對象包括信息技術(shù)產(chǎn)品或系統(tǒng)�����,不論其實現(xiàn)方式是硬件、固件還是軟件�。
2 網(wǎng)絡(luò)安全評估方法
目前網(wǎng)絡(luò)安全評估方法有很多,有的通過定性的評價給出IT系統(tǒng)的風(fēng)險情況����,有的是通過定量的計算得到IT系統(tǒng)的風(fēng)險值,從系統(tǒng)的風(fēng)險取值高低來衡量系統(tǒng)的安全性?�,F(xiàn)在最常用的還是綜合分析法����,它是以上兩種方式的結(jié)合,通過兩種方法的結(jié)合應(yīng)用��,對系統(tǒng)的風(fēng)險進(jìn)行定性和定量的評價���。下面介紹幾種常見方法�����。
2.1 確定性評估(點估計)
確定性評估要求輸入為單一的數(shù)據(jù)��,比如50%為置信區(qū)間的上限值����,假設(shè)當(dāng)輸入的值大于該值時,一般是表示“最壞的情況”�。確定性評估應(yīng)用比較簡單,節(jié)省時間�����,在某些情況下可以采用該方法����。點估計的不足在于對風(fēng)險情況缺乏全面��、深入的理解��。
2.2 可能性評估(概率評估)
可能性評估要求輸入在一個區(qū)間范圍內(nèi)的數(shù)據(jù)����,通過該數(shù)據(jù)分布情況和概率來作出判斷,其結(jié)果的準(zhǔn)確性比較依靠評估者的能力和安全知識水平�����。
2.3 故障樹分析法(FAT)
故障樹分析法是一種樹形圖�,也是一種邏輯因果關(guān)系圖。它從頂事件逐級向下分析各自的直接原因事件���,用邏輯門符號連接上下事件�����,從上到下開始分析直至所要求的分析深度�����。
3 網(wǎng)絡(luò)安全評估工具
在信息系統(tǒng)的評估中����,我們經(jīng)常會用到問卷調(diào)查和檢查列表等。這些只能用于風(fēng)險評估的某些過程�。目前,各大安全公司都先后推出自己的評估工具��,使得信息系統(tǒng)的安全評估更加的自動化。常見的評估工具主要有下列幾種:
3.1 Asset-1
Asset-1評估工具是以NIST SP800-26為標(biāo)準(zhǔn)制定的用于安全性自我評估的自動化工具。工具的主要功能是進(jìn)行信息系統(tǒng)安全性的白評估�����,采用形式是通過用戶手動操作進(jìn)行自評估,達(dá)到收集系統(tǒng)安全性相關(guān)信息的目的��,工具最終生成安全性自評估報告�����。最終生成的報告只能達(dá)到與用戶提供的信息統(tǒng)計的準(zhǔn)確性,工具并不能引導(dǎo)分析或驗證自我評估提供信息的關(guān)聯(lián)性����、準(zhǔn)確性。
根據(jù)NIST安全性自我評估向?qū)?��,將安全級別分為五級:一般���、策略�����、實施�、測驗、檢驗�。此工具的每個調(diào)查問題都相當(dāng)于一個命題,陳述為了確保系統(tǒng)的安全性應(yīng)該做到的相關(guān)事項�����,用戶對于問題的回答就是選擇系統(tǒng)對于此項命題的安全程度為上述五級中的哪些級別���。最后通過統(tǒng)計在某一級別上問題命題和級別選定�����,來統(tǒng)計系統(tǒng)的安全措施達(dá)到的安全級別�。
3.2 CC評估工具
CC評估工具由NIAP,由兩部分組成:CC PKB和CC ToolBox���。
CC PKB是進(jìn)行CC評估的支持?jǐn)?shù)據(jù)庫�,基于Access構(gòu)建����。使用Access VBA開發(fā)了所有庫表的管理程序,在管理主窗體中可以完成所有表的記錄修改��、增加����、刪除,管理主窗體以基本表為主�,并體現(xiàn)了所有庫表之間的主要連接關(guān)系,通過連接關(guān)系可以對其他非基本表的記錄進(jìn)行增刪改���。
CC ToolBox是進(jìn)行CC評估的主要工具�,主要采用頁面調(diào)查形式,用戶通過依次填充每個頁面的調(diào)查項來完成評估���,最后生成關(guān)于評估所進(jìn)行的詳細(xì)調(diào)查結(jié)果和最終評估報告���。
CC評估系統(tǒng)依據(jù)CC標(biāo)準(zhǔn)進(jìn)行評估,評估被測達(dá)到CC標(biāo)準(zhǔn)的程度��,評估主要包括PP評估��、TOE評估等�����。
3.3 COBRA風(fēng)險管理工具
安全風(fēng)險分析管理和評估是保證IT安全的一個重要方法��,它是組織安全的重要基礎(chǔ)����。1991年����,C&A Systems SecurityLtd推出了自動化風(fēng)險管理工具COBRA 1版本。用于風(fēng)險管理評估����。隨著COBRA的發(fā)展�,目前的產(chǎn)品不僅僅具有風(fēng)險管理功能����,還可以用于評估是否符合BS7799標(biāo)準(zhǔn),是否符合組織自身制定的安全策略�。COBRA系列工具包括風(fēng)險咨詢工具、ISO17799/BS7799咨詢工具��、策略一致性分析工具�、數(shù)據(jù)安全性咨詢工具。
COBRA采用調(diào)查表的形式���,在PC機(jī)上使用���,基于知識庫,類似專家系統(tǒng)的模式���。它評估威脅����、脆弱性的相關(guān)重要性��,并生成合適的改進(jìn)建議。最后針對每類風(fēng)險形成文字評估報告��、風(fēng)險等級����,所指出的風(fēng)險自動與給系統(tǒng)造成的影響相聯(lián)系。
COBRA風(fēng)險評估過程比較靈活�,一般都包括問題表構(gòu)建、風(fēng)險評估����、產(chǎn)生報告。每部分分別由問題表構(gòu)建�、風(fēng)險評估、產(chǎn)生報告生成三個子系統(tǒng)完成����。
3.4 RiskPAC評估工具
RiskPAC是CSCI公司開發(fā)的,對組織進(jìn)行風(fēng)險評估�、業(yè)務(wù)影響分析的工具���,它完成定量和定性風(fēng)險評估����。
RiskPAC將風(fēng)險分為幾個級別,即低級�����、中級����、高級等,針對每個級別都有不同的風(fēng)險描述���,根據(jù)不同風(fēng)險級別問題的構(gòu)造和回答����,完成風(fēng)險評估��。
RiskPAC包括兩個獨立的工具:問題設(shè)計器和調(diào)查管理器��。其中問題表設(shè)計器進(jìn)行業(yè)務(wù)分析和風(fēng)險評估的調(diào)查表設(shè)計���,調(diào)查管理器就是將已選定的調(diào)查表以易用的形式提供給用戶�����,供用戶選擇相應(yīng)答案�����,根據(jù)答案做出分析評估結(jié)論����。
3.5 RiskWatch工具
使用RiskWatch風(fēng)險分析工具,用戶可以根據(jù)實際需求定制風(fēng)險分析和脆弱性評估過程�,而其他風(fēng)險評估工具都沒有提供此項功能。RiskWatch通過兩個特性:定量和定性風(fēng)險分析�����、預(yù)制風(fēng)險分析模板�,為用戶提供這種定制功能。
4 總結(jié)
網(wǎng)絡(luò)安全評估是在網(wǎng)絡(luò)安全領(lǐng)域里最關(guān)鍵的問題���。目前��,國內(nèi)外還沒形成對網(wǎng)絡(luò)設(shè)備的安全性評估的統(tǒng)一的標(biāo)準(zhǔn)�,只是在網(wǎng)絡(luò)安全的其他方面有所提及到����,但也都不沒有明確����。所以說網(wǎng)絡(luò)設(shè)備的安全性評估這個問題在今后相當(dāng)長的一段時間中還需要我們網(wǎng)絡(luò)工作人員及相關(guān)的專家在實際工作中和研究中對網(wǎng)絡(luò)設(shè)備的安全性多多關(guān)注�,以便盡早的在這一方面形成一定的評斷標(biāo)準(zhǔn)�����,填補(bǔ)這方面的空白���。
參考文獻(xiàn)
篇(4)
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-7712 (2012) 12-0073-01
網(wǎng)絡(luò)技術(shù)的創(chuàng)新越來越全面,互聯(lián)網(wǎng)的普及程度越來越高,網(wǎng)絡(luò)技術(shù)的某些技術(shù)被不懷好意者利用,成為人們安全上網(wǎng)的威脅�。網(wǎng)絡(luò)安全越來越成為信息技術(shù)發(fā)展中人們關(guān)注的焦點,成為影響人們應(yīng)用新技術(shù)的障礙,網(wǎng)絡(luò)安全威脅問題的解除迫在眉睫�����。
一�����、網(wǎng)絡(luò)安全態(tài)勢研究的概念
網(wǎng)絡(luò)安全泛指網(wǎng)絡(luò)系統(tǒng)的硬件��、軟件�����、數(shù)據(jù)信息等具有防御侵襲的能力,以免遭到惡意侵襲的情況下遺失、損壞��、更改���、泄露,不影響網(wǎng)絡(luò)系統(tǒng)的照常運行,不間斷服務(wù)����。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全��。從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性���、完整性�、可用性�����、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域���。
網(wǎng)絡(luò)安全態(tài)勢研究的領(lǐng)域主要由以下三個方面組成:(1)將魚龍混雜的信息數(shù)據(jù)進(jìn)行整合并且加以處理,從而使信息的特征更加明顯的反映出來��。再通過可視化圖形來表現(xiàn)出來,直觀的呈現(xiàn)運行機(jī)制和結(jié)構(gòu),使網(wǎng)絡(luò)管理員更加輕松的工作��。(2)數(shù)據(jù)經(jīng)過加工處理以后,節(jié)省了大量數(shù)據(jù)存儲空間,可以利用以往的數(shù)據(jù)對網(wǎng)絡(luò)的歷史運行做出分析和判斷�。(3)找出挖掘數(shù)據(jù)和網(wǎng)絡(luò)事件的內(nèi)在關(guān)系,建立數(shù)據(jù)統(tǒng)計表,對網(wǎng)絡(luò)管理員預(yù)測下一個階段可能出現(xiàn)的網(wǎng)絡(luò)安全問題提供信息基礎(chǔ),起到防范于未然的作用。
二����、網(wǎng)絡(luò)安全態(tài)勢研究的主要難點
現(xiàn)在的網(wǎng)絡(luò)安全技術(shù)主要有;防火墻���、入侵檢測�、病毒檢測�、脆弱性掃描技術(shù)等等。網(wǎng)絡(luò)安全態(tài)勢系統(tǒng)的實用化水平很高,如果我們要監(jiān)控整個網(wǎng)絡(luò)的態(tài)勢情況,需要考慮的難點問題有以下幾個:(1)需要保證跨越幾個位于不同地址的公司的網(wǎng)絡(luò)安全��。(2)網(wǎng)絡(luò)結(jié)構(gòu)變的越來越復(fù)雜��。(3)網(wǎng)絡(luò)安全同時受到多個事件的威脅���。(4)需要將網(wǎng)絡(luò)運行情況可視化����。(5)對攻擊的響應(yīng)時間要求變高�。(6)為網(wǎng)絡(luò)超負(fù)荷運轉(zhuǎn)提供空間。(7)要求防御系統(tǒng)有較強(qiáng)的系統(tǒng)適應(yīng)能力��。通過以上的對網(wǎng)絡(luò)安全態(tài)勢研究的主要內(nèi)容和研究難點的分析可知,網(wǎng)絡(luò)安全態(tài)勢的研究是一個綜合了多學(xué)科的復(fù)雜的過程�����。
三、網(wǎng)絡(luò)安全態(tài)勢現(xiàn)狀的評價和預(yù)測
網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)提供的一個功能是告知“網(wǎng)絡(luò)運行狀況是否安全”,并以網(wǎng)絡(luò)安全態(tài)勢值的形式呈現(xiàn)出來�����。網(wǎng)絡(luò)安全態(tài)勢值,主要運用數(shù)學(xué)的方法,通過網(wǎng)絡(luò)安全態(tài)勢分析模型,把網(wǎng)絡(luò)安全信息進(jìn)行合并綜合處理,最終生成可視化的一組或幾組數(shù)據(jù)�����。計算數(shù)值可以把網(wǎng)絡(luò)運行狀況反映出來,并且可以隨著網(wǎng)絡(luò)安全事件發(fā)生的頻率��、數(shù)量,以及網(wǎng)絡(luò)受到威脅程度的不同,智能的做出相應(yīng)的措施����。管理員可以通過數(shù)值的變化來綜合判斷網(wǎng)絡(luò)是否受到威脅,是否遭受攻擊等。
網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)還可以分析網(wǎng)絡(luò)現(xiàn)在面臨怎樣的風(fēng)險,并可以具體告知用戶可能會受到那些威脅,這些情況以網(wǎng)絡(luò)安全態(tài)勢評估報告的形式呈現(xiàn)����。網(wǎng)絡(luò)安全態(tài)勢評估,是將網(wǎng)絡(luò)原始事件進(jìn)行預(yù)處理后,把具有一定相關(guān)性,反映某些網(wǎng)絡(luò)安全事件特征的信息提取出來,運用一定的數(shù)學(xué)模型和先驗知識,對某些安全事件是否真正發(fā)生,給出一個可供參考的、可信的評估概率值���。也就是說評估的結(jié)果是一組針對某些具體事件發(fā)生概率的估計����。
網(wǎng)絡(luò)安全態(tài)勢評測主要有兩種方法:一是將網(wǎng)絡(luò)安全設(shè)備的報警信號進(jìn)行系統(tǒng)處理、信息采集�、實時的呈現(xiàn)網(wǎng)絡(luò)運行態(tài)勢;二是對以往信息進(jìn)行詳細(xì)分析,采用數(shù)據(jù)挖掘的手段對潛在可能的威脅進(jìn)行預(yù)測。
每天有龐大的信息量從不同的網(wǎng)絡(luò)設(shè)備中產(chǎn)生,而且來自不同設(shè)備的網(wǎng)絡(luò)信息事件總有一定的聯(lián)系�����。安全態(tài)勢值屬于一種整體的預(yù)警方法,安全態(tài)勢評測則是把網(wǎng)絡(luò)安全信息的內(nèi)部特點和網(wǎng)絡(luò)安全之間的聯(lián)系相結(jié)合,當(dāng)安全事件滿足里面的條件,符合里面的規(guī)律特點時,安全態(tài)勢預(yù)測體系完全可以根據(jù)這些數(shù)據(jù)和規(guī)律及時的判斷出來,使網(wǎng)絡(luò)管理員知道里面的風(fēng)險由多大����。再者,同一等級的風(fēng)險和事故,對不同配置的服務(wù)器所造成的影響是不同的���。
目前開發(fā)的網(wǎng)絡(luò)安全評價與檢測系統(tǒng)有蟻警網(wǎng)絡(luò)安全態(tài)勢分析系統(tǒng)�、網(wǎng)絡(luò)安全態(tài)勢估計的融合決策模型分析系統(tǒng)�、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)等。
四�����、網(wǎng)絡(luò)安全態(tài)勢的研究展望
開展大規(guī)模網(wǎng)絡(luò)態(tài)勢感知可以保障網(wǎng)絡(luò)信息安全,對于提高網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力,緩解網(wǎng)絡(luò)攻擊所造成的危害,發(fā)現(xiàn)潛在惡意的入侵行為����、提高系統(tǒng)的反擊能力等具有十分重要的意義。
一個完整的網(wǎng)絡(luò)安全態(tài)勢感知過程應(yīng)該包括對當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢的掌握和對未來的網(wǎng)絡(luò)安全態(tài)勢的分析預(yù)測��。目前提出的網(wǎng)絡(luò)安全態(tài)勢感知框架,較多屬于即時或近即時的對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢的了解,不是太深入,因此并不能對未來的網(wǎng)絡(luò)安全態(tài)勢變化趨勢提供真實有效的預(yù)測,網(wǎng)絡(luò)管理人員也無法據(jù)此對網(wǎng)絡(luò)系統(tǒng)的實際安全狀況做出及時、前瞻性的決策���。當(dāng)前,網(wǎng)絡(luò)安全態(tài)勢預(yù)測一般采用回歸分析預(yù)測����、時間序列預(yù)測�、指數(shù)法預(yù)測以及灰色預(yù)測等方法。但是在網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究中,采用何種方法來預(yù)測安全態(tài)勢的未來發(fā)展有待于進(jìn)一步地探討��。
五��、小結(jié)
隨著參加網(wǎng)絡(luò)的計算機(jī)數(shù)量迅速的增長和網(wǎng)絡(luò)安全管理形勢的日益嚴(yán)峻,我們對網(wǎng)絡(luò)的安全管理需要改變被動處理威脅的局面���。通過使用網(wǎng)絡(luò)安全態(tài)勢分析技術(shù),網(wǎng)絡(luò)管理者可以判斷網(wǎng)絡(luò)安全整體情況,這樣就可以在網(wǎng)絡(luò)遭受攻擊和損失之前,提前采取防御措施,改善網(wǎng)絡(luò)安全設(shè)備的安全策略,達(dá)到主動防衛(wèi)的目的���。目前網(wǎng)絡(luò)安全態(tài)勢的研究國內(nèi)還處在起步階段,需要在相關(guān)算法、體系架構(gòu)��、實用模型等方面作更深入的研究�����。
參考文獻(xiàn):
[1]蕭海東.網(wǎng)絡(luò)安全態(tài)勢評估與趨勢感知的分析研究[D].上海:上海交通大學(xué),2007
篇(5)
眾所周知,一個系統(tǒng)全面的計算機(jī)安全評估系統(tǒng)是防止黑客入侵計算機(jī)的重要保障����,安全評估體系能夠?qū)φ麄€計算機(jī)網(wǎng)絡(luò)的安全性與防護(hù)性作出一個較為科學(xué)嚴(yán)謹(jǐn)?shù)姆治鲈u估,而且該評估系統(tǒng)還會根據(jù)實際的計算機(jī)網(wǎng)路安全評估報告來制定相關(guān)的計算機(jī)安全使用策略����。然而,在我們的計算機(jī)實際應(yīng)用中����,往往不注意計算機(jī)安全評估系統(tǒng)的構(gòu)建,只注重計算機(jī)網(wǎng)絡(luò)安全事故的預(yù)防與事后處理���,平時欠缺對計算機(jī)網(wǎng)絡(luò)安全作出及時的評估與監(jiān)控,給計算機(jī)網(wǎng)絡(luò)安全造成一定的安全隱患����。
2計算機(jī)外界威脅因素
計算機(jī)網(wǎng)絡(luò)安全事故很多是由計算機(jī)外界威脅因素造成的,這其中包括自然環(huán)境威脅�、網(wǎng)絡(luò)黑客與病毒的入侵攻擊與非法訪問操作。自然環(huán)境威脅一般是指計算機(jī)外在的自然條件不太完善�����,如各種無法預(yù)測的自然災(zāi)害���、難以控制的計算機(jī)外部機(jī)器故障等因素���。網(wǎng)絡(luò)黑客與病毒的入侵攻擊不但會對計算機(jī)的網(wǎng)絡(luò)安全帶來極大的破壞��,還會摧毀計算機(jī)系統(tǒng)�����,對計算機(jī)自身造成極大的傷害�����。據(jù)估計��,未來網(wǎng)絡(luò)黑客與病毒的摧毀力度將會越來越強(qiáng)����,而它們自身的隱蔽性與抗壓性也會相應(yīng)地得到提高��,所以說�,網(wǎng)絡(luò)黑客與病毒的存在對計算機(jī)網(wǎng)絡(luò)安全造成嚴(yán)重威脅。而非法訪問操作則主要指一些未得到授權(quán)����,私自越過計算機(jī)權(quán)限�����,或者是不法分子借助一些計算機(jī)工具去進(jìn)行計算機(jī)程序的編寫�,從而突破該計算機(jī)的網(wǎng)絡(luò)訪問權(quán)限�����,入侵到他人計算機(jī)的不法操作��。
二��、計算機(jī)網(wǎng)絡(luò)安全防范措施
1建立安全可靠的計算機(jī)安全防線
安全可靠的計算機(jī)安全防線是避免計算機(jī)網(wǎng)絡(luò)不安全因素出現(xiàn)的最關(guān)鍵環(huán)節(jié)�,其構(gòu)建主要依靠計算機(jī)防火墻技術(shù)、數(shù)據(jù)加密技術(shù)與病毒查殺技術(shù)���。防火墻控制技術(shù)主要是一種建立在各網(wǎng)絡(luò)之間的互聯(lián)設(shè)備,能夠有效避免不法分子以不正當(dāng)方式入侵網(wǎng)絡(luò)內(nèi)部�����,防止不法分子盜取計算機(jī)網(wǎng)絡(luò)內(nèi)部的信息資源���,是計算機(jī)內(nèi)部一道強(qiáng)有力的網(wǎng)絡(luò)安全屏障�����。數(shù)據(jù)加密技術(shù)的主要作用就是對計算機(jī)內(nèi)部的數(shù)據(jù)添加密文設(shè)置���,未經(jīng)授權(quán)的計算機(jī)不法分子是無法獲取數(shù)據(jù)���、讀懂?dāng)?shù)據(jù)的,最終達(dá)到保護(hù)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)恼_性與安全性���。常用的數(shù)據(jù)加密技術(shù)包括有:保證個網(wǎng)絡(luò)節(jié)點間信息傳輸正確且安全的鏈路加密技術(shù)����、確保計算機(jī)始端數(shù)據(jù)傳輸與終端數(shù)據(jù)接收安全的端點加密技術(shù)與保證源節(jié)點到目的節(jié)點之間傳輸安全可靠的節(jié)點加密技術(shù)�。病毒查殺技術(shù)可謂是計算機(jī)安全網(wǎng)絡(luò)防范最為關(guān)鍵的環(huán)節(jié)。病毒查殺技術(shù)一般通過殺毒軟件的安裝運行去運行的��,在計算機(jī)安裝殺毒軟件以后����,應(yīng)當(dāng)定時對殺毒軟件進(jìn)行實時的監(jiān)測控制,定期對殺毒軟件進(jìn)行升級處理�,按時對計算機(jī)進(jìn)行殺毒掃描�,以求及時將計算機(jī)內(nèi)容隱藏病毒進(jìn)行發(fā)現(xiàn)處理�。
2提高計算機(jī)用戶與計算機(jī)網(wǎng)絡(luò)管理人員的安全意識
于個人計算機(jī)用戶而言,必須要加強(qiáng)計算機(jī)網(wǎng)絡(luò)資源管理意識����,根據(jù)自己實際需要對計算機(jī)設(shè)置特殊的口令,確保計算機(jī)數(shù)據(jù)獲取的合法性與安全性���,避免其他計算機(jī)用戶以非法手段入侵計算機(jī)內(nèi)部��,獲取相關(guān)計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)資源�����,造成計算機(jī)網(wǎng)絡(luò)安全隱患�����。閑時���,計算機(jī)用戶還必須注意對病毒進(jìn)行監(jiān)測清除,避免網(wǎng)絡(luò)黑客的入侵導(dǎo)致計算機(jī)系統(tǒng)崩潰�����。于社會團(tuán)體組織而言�,必須注重提高內(nèi)部計算機(jī)管理人員的網(wǎng)絡(luò)安全意識,注意采用適當(dāng)?shù)姆椒ㄈヅ囵B(yǎng)一批具有專業(yè)計算機(jī)技術(shù)的網(wǎng)絡(luò)監(jiān)控人員����,打造精英計算機(jī)安全管理團(tuán)隊,能及時對網(wǎng)絡(luò)不法攻擊作出處理�����,構(gòu)建一個系統(tǒng)全面的計算機(jī)網(wǎng)絡(luò)安全管理體系��,致力打造一個安全可靠的計算機(jī)網(wǎng)絡(luò)環(huán)境�����。
3完善計算機(jī)網(wǎng)絡(luò)安全制度
健全的計算機(jī)網(wǎng)絡(luò)安全制度不但可以規(guī)范計算機(jī)網(wǎng)絡(luò)安全使用�����,還能夠借助法律法規(guī)等強(qiáng)硬手段去徹底打擊計算機(jī)網(wǎng)絡(luò)犯罪���,及時對計算機(jī)網(wǎng)絡(luò)不法分子給予相關(guān)懲處��,保證了計算機(jī)網(wǎng)絡(luò)環(huán)境的安全可靠��。因此�,加強(qiáng)并且定期完善計算機(jī)網(wǎng)絡(luò)安全立法制度是十分必要的。
4其他管理措施
計算機(jī)網(wǎng)絡(luò)安全防范僅僅依靠強(qiáng)硬的計算機(jī)安全防御系統(tǒng)與專業(yè)的計算機(jī)網(wǎng)絡(luò)安全管理技術(shù)人員是遠(yuǎn)遠(yuǎn)不夠的��,還必須定期對計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行一系列的專業(yè)評估與監(jiān)測控制���,實時對計算機(jī)網(wǎng)絡(luò)運行���、數(shù)據(jù)傳輸過程進(jìn)行監(jiān)控,熱切關(guān)注計算機(jī)內(nèi)部系統(tǒng)是否存在一些漏洞�,一旦發(fā)現(xiàn)漏洞,要盡早處理��,避免其他計算機(jī)病毒的攻擊�。
篇(6)
眾所周知,一個系統(tǒng)全面的計算機(jī)安全評估系統(tǒng)是防止黑客入侵計算機(jī)的重要保障,安全評估體系能夠?qū)φ麄€計算機(jī)網(wǎng)絡(luò)的安全性與防護(hù)性作出一個較為科學(xué)嚴(yán)謹(jǐn)?shù)姆治鲈u估,而且該評估系統(tǒng)還會根據(jù)實際的計算機(jī)網(wǎng)路安全評估報告來制定相關(guān)的計算機(jī)安全使用策略。然而,在我們的計算機(jī)實際應(yīng)用中,往往不注意計算機(jī)安全評估系統(tǒng)的構(gòu)建,只注重計算機(jī)網(wǎng)絡(luò)安全事故的預(yù)防與事后處理,平時欠缺對計算機(jī)網(wǎng)絡(luò)安全作出及時的評估與監(jiān)控,給計算機(jī)網(wǎng)絡(luò)安全造成一定的安全隱患��。
2計算機(jī)外界威脅因素
計算機(jī)網(wǎng)絡(luò)安全事故很多是由計算機(jī)外界威脅因素造成的,這其中包括自然環(huán)境威脅����、網(wǎng)絡(luò)黑客與病毒的入侵攻擊與非法訪問操作。自然環(huán)境威脅一般是指計算機(jī)外在的自然條件不太完善,如各種無法預(yù)測的自然災(zāi)害�、難以控制的計算機(jī)外部機(jī)器故障等因素。網(wǎng)絡(luò)黑客與病毒的入侵攻擊不但會對計算機(jī)的網(wǎng)絡(luò)安全帶來極大的破壞,還會摧毀計算機(jī)系統(tǒng),對計算機(jī)自身造成極大的傷害���。據(jù)估計,未來網(wǎng)絡(luò)黑客與病毒的摧毀力度將會越來越強(qiáng),而它們自身的隱蔽性與抗壓性也會相應(yīng)地得到提高,所以說,網(wǎng)絡(luò)黑客與病毒的存在對計算機(jī)網(wǎng)絡(luò)安全造成嚴(yán)重威脅����。而非法訪問操作則主要指一些未得到授權(quán),私自越過計算機(jī)權(quán)限,或者是不法分子借助一些計算機(jī)工具去進(jìn)行計算機(jī)程序的編寫,從而突破該計算機(jī)的網(wǎng)絡(luò)訪問權(quán)限,入侵到他人計算機(jī)的不法操作��。
二�、計算機(jī)網(wǎng)絡(luò)安全防范措施
1建立安全可靠的計算機(jī)安全防線
安全可靠的計算機(jī)安全防線是避免計算機(jī)網(wǎng)絡(luò)不安全因素出現(xiàn)的最關(guān)鍵環(huán)節(jié),其構(gòu)建主要依靠計算機(jī)防火墻技術(shù)、數(shù)據(jù)加密技術(shù)與病毒查殺技術(shù)�����。防火墻控制技術(shù)主要是一種建立在各網(wǎng)絡(luò)之間的互聯(lián)設(shè)備,能夠有效避免不法分子以不正當(dāng)方式入侵網(wǎng)絡(luò)內(nèi)部,防止不法分子盜取計算機(jī)網(wǎng)絡(luò)內(nèi)部的信息資源,是計算機(jī)內(nèi)部一道強(qiáng)有力的網(wǎng)絡(luò)安全屏障����。數(shù)據(jù)加密技術(shù)的主要作用就是對計算機(jī)內(nèi)部的數(shù)據(jù)添加密文設(shè)置,未經(jīng)授權(quán)的計算機(jī)不法分子是無法獲取數(shù)據(jù)、讀懂?dāng)?shù)據(jù)的,最終達(dá)到保護(hù)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)恼_性與安全性���。常用的數(shù)據(jù)加密技術(shù)包括有:保證個網(wǎng)絡(luò)節(jié)點間信息傳輸正確且安全的鏈路加密技術(shù)�、確保計算機(jī)始端數(shù)據(jù)傳輸與終端數(shù)據(jù)接收安全的端點加密技術(shù)與保證源節(jié)點到目的節(jié)點之間傳輸安全可靠的節(jié)點加密技術(shù)����。病毒查殺技術(shù)可謂是計算機(jī)安全網(wǎng)絡(luò)防范最為關(guān)鍵的環(huán)節(jié)。病毒查殺技術(shù)一般通過殺毒軟件的安裝運行去運行的,在計算機(jī)安裝殺毒軟件以后,應(yīng)當(dāng)定時對殺毒軟件進(jìn)行實時的監(jiān)測控制,定期對殺毒軟件進(jìn)行升級處理,按時對計算機(jī)進(jìn)行殺毒掃描,以求及時將計算機(jī)內(nèi)容隱藏病毒進(jìn)行發(fā)現(xiàn)處理�����。
2提高計算機(jī)用戶與計算機(jī)網(wǎng)絡(luò)管理人員的安全意識
于個人計算機(jī)用戶而言,必須要加強(qiáng)計算機(jī)網(wǎng)絡(luò)資源管理意識,根據(jù)自己實際需要對計算機(jī)設(shè)置特殊的口令,確保計算機(jī)數(shù)據(jù)獲取的合法性與安全性,避免其他計算機(jī)用戶以非法手段入侵計算機(jī)內(nèi)部,獲取相關(guān)計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)資源,造成計算機(jī)網(wǎng)絡(luò)安全隱患。閑時,計算機(jī)用戶還必須注意對病毒進(jìn)行監(jiān)測清除,避免網(wǎng)絡(luò)黑客的入侵導(dǎo)致計算機(jī)系統(tǒng)崩潰����。于社會團(tuán)體組織而言,必須注重提高內(nèi)部計算機(jī)管理人員的網(wǎng)絡(luò)安全意識,注意采用適當(dāng)?shù)姆椒ㄈヅ囵B(yǎng)一批具有專業(yè)計算機(jī)技術(shù)的網(wǎng)絡(luò)監(jiān)控人員,打造精英計算機(jī)安全管理團(tuán)隊,能及時對網(wǎng)絡(luò)不法攻擊作出處理,構(gòu)建一個系統(tǒng)全面的計算機(jī)網(wǎng)絡(luò)安全管理體系,致力打造一個安全可靠的計算機(jī)網(wǎng)絡(luò)環(huán)境。
3完善計算機(jī)網(wǎng)絡(luò)安全制度
健全的計算機(jī)網(wǎng)絡(luò)安全制度不但可以規(guī)范計算機(jī)網(wǎng)絡(luò)安全使用,還能夠借助法律法規(guī)等強(qiáng)硬手段去徹底打擊計算機(jī)網(wǎng)絡(luò)犯罪,及時對計算機(jī)網(wǎng)絡(luò)不法分子給予相關(guān)懲處,保證了計算機(jī)網(wǎng)絡(luò)環(huán)境的安全可靠�����。因此,加強(qiáng)并且定期完善計算機(jī)網(wǎng)絡(luò)安全立法制度是十分必要的��。
4其他管理措施
篇(7)
這個時期內(nèi)���,在微軟Windows上共發(fā)現(xiàn)了39處漏洞�����,其中12個屬高優(yōu)先級或嚴(yán)重級��。微軟修復(fù)這些漏洞的平均時間僅為21天�����,而Linux操作系統(tǒng)在2006年下半年共曝露了208處漏洞�����,修復(fù)這些漏洞平均耗時58天����。
該報告涵蓋了2006年后半年發(fā)現(xiàn)的數(shù)量龐大的一系列安全漏洞�����。 但是這種以發(fā)現(xiàn)安全漏洞數(shù)量的多少和修復(fù)漏洞時間的長短為依據(jù)來判定安全與否�,是否是惟一答案?
中科紅旗產(chǎn)品經(jīng)理王旭認(rèn)為�,關(guān)于安全漏洞是不可避免,但評價漏洞對安全影響多少要綜合起來看漏洞問題和所帶來的實際危害����。Linux系統(tǒng)的安全漏洞大部分被社區(qū)發(fā)現(xiàn),而相反���,Windows漏洞大部分都是被黑客發(fā)現(xiàn)而進(jìn)行惡意攻擊和利用�����,所以并不能單靠哪個系統(tǒng)發(fā)現(xiàn)的漏洞多少和修復(fù)時間長短來判定哪個系統(tǒng)是最安全�����。
事實上����,近兩年Linux系統(tǒng)的應(yīng)用越來越廣泛,這也要求客戶在實際應(yīng)用中應(yīng)采用適當(dāng)?shù)陌踩珯C(jī)制����,那么基于Linux系統(tǒng)的網(wǎng)絡(luò)安全策略和保護(hù)措施都有哪些?
中科紅旗副總裁鄭忠源告訴我們�����,有下面幾點是需要特別考慮的����,一是身份驗證是否收到保護(hù);二是對安全管理員而言,對其自主訪問用戶的控制;三是網(wǎng)絡(luò)上的安全細(xì)節(jié)����,比如對其端口保護(hù)等;四是審計監(jiān)督,即什么用戶��,在什么時候進(jìn)行登錄,都要有所記錄�����,Windows日志也會跟綜這方面的登錄信息����,但經(jīng)常有高明黑客能很容易刪除日志,所以也很難發(fā)現(xiàn)黑客痕跡��。
微軟在Vista的宣傳資料中所說���,Vista是目前為止微軟推出的最安全的操作系統(tǒng)。微軟承諾說���,歷經(jīng)了5年開發(fā)而成的Vista將讓桌面用戶進(jìn)入一個可信計算的新世界�����,在這個世界里����,電腦將更可靠�����、使用者得到更好的體驗、臭名昭著的惡意軟件將成為過去���。
篇(8)
為切實履行通信網(wǎng)絡(luò)安全管理職責(zé)�����,提高通信網(wǎng)絡(luò)安全防護(hù)水平�����,依據(jù)《中華人民共和國電信條例》����,工業(yè)和信息化部起草了《通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法(征求意見稿)》����,現(xiàn)予以公告,征求意見�����。請于2009年9月4日前反饋意見���。
聯(lián)系地址:北京西長安街13號工業(yè)和信息化部政策法規(guī)司(郵編:100804)
電子郵件:wangxiaofei@miit.gov.cn
附件:《通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法(征求意見稿)》
通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法
(征求意見稿)
第一條(目的依據(jù))為加強(qiáng)對通信網(wǎng)絡(luò)安全的管理�,提高通信網(wǎng)絡(luò)安全防護(hù)能力,保障通信網(wǎng)絡(luò)安全暢通��,根據(jù)《中華人民共和國電信條例》�,制定本辦法。
第二條(適用范圍)中華人民共和國境內(nèi)的電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)域名服務(wù)提供者(以下統(tǒng)稱“通信網(wǎng)絡(luò)運行單位”)管理和運行的公用通信網(wǎng)和互聯(lián)網(wǎng)(以下統(tǒng)稱“通信網(wǎng)絡(luò)”)的網(wǎng)絡(luò)安全防護(hù)工作����,適用本辦法。
本辦法所稱互聯(lián)網(wǎng)域名服務(wù)�����,是指設(shè)置域名數(shù)據(jù)庫或域名解析服務(wù)器�,為域名持有者提供域名注冊或權(quán)威解析服務(wù)的行為��。
本辦法所稱網(wǎng)絡(luò)安全防護(hù)工作�����,是指為防止通信網(wǎng)絡(luò)阻塞����、中斷��、癱瘓或被非法控制等以及通信網(wǎng)絡(luò)中傳輸���、存儲、處理的數(shù)據(jù)信息丟失��、泄露或被非法篡改等而開展的相關(guān)工作���。
第三條(管轄職責(zé))中華人民共和國工業(yè)和信息化部(以下簡稱工業(yè)和信息化部)負(fù)責(zé)全國通信網(wǎng)絡(luò)安全防護(hù)工作的統(tǒng)一指導(dǎo)�、協(xié)調(diào)�����、監(jiān)督和檢查�,建立健全通信網(wǎng)絡(luò)安全防護(hù)體系,制訂通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)���。
省�����、自治區(qū)����、直轄市通信管理局(以下簡稱“通信管理局”)依據(jù)本辦法的規(guī)定,對本行政區(qū)域內(nèi)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行指導(dǎo)�、協(xié)調(diào)、監(jiān)督和檢查�。
工業(yè)和信息化部和通信管理局統(tǒng)稱“電信管理機(jī)構(gòu)”。
第四條(責(zé)任主體)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照本辦法和通信網(wǎng)絡(luò)安全防護(hù)政策����、標(biāo)準(zhǔn)的要求開展通信網(wǎng)絡(luò)安全防護(hù)工作,對本單位通信網(wǎng)絡(luò)安全負(fù)責(zé)�。
第五條(方針原則)通信網(wǎng)絡(luò)安全防護(hù)工作堅持積極防御、綜合防范的方針��,實行分級保護(hù)的原則���。
第六條(同步要求)通信網(wǎng)絡(luò)運行單位規(guī)劃�����、設(shè)計、新建��、改建通信網(wǎng)絡(luò)工程項目�,應(yīng)當(dāng)同步規(guī)劃、設(shè)計��、建設(shè)滿足通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)要求的通信網(wǎng)絡(luò)安全保障設(shè)施,并與主體工程同時進(jìn)行驗收和投入運行����。
已經(jīng)投入運行的通信網(wǎng)絡(luò)安全保障設(shè)施沒有滿足通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)要求的,通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)進(jìn)行改建���。
通信網(wǎng)絡(luò)安全保障設(shè)施的規(guī)劃�����、設(shè)計�����、新建�����、改建費用�����,應(yīng)當(dāng)納入本單位建設(shè)項目預(yù)算�。
第七條(分級保護(hù)要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)規(guī)定的方法�����,對本單位已正式投入運行的通信網(wǎng)絡(luò)進(jìn)行單元劃分,將各通信網(wǎng)絡(luò)單元按照其對國家和社會經(jīng)濟(jì)發(fā)展的重要程度由低到高分別劃分為一級���、二級�、三級���、四級�、五級���。
通信網(wǎng)絡(luò)單元的分級結(jié)果應(yīng)由接受其備案的電信管理機(jī)構(gòu)組織專家進(jìn)行評審�����。
通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)根據(jù)實際情況適時調(diào)整通信網(wǎng)絡(luò)單元的劃分和級別�����。通信網(wǎng)絡(luò)運行單位調(diào)整通信網(wǎng)絡(luò)單元的劃分和級別的����,應(yīng)當(dāng)按照前款規(guī)定重新進(jìn)行評審���。
第八條(備案要求1)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照下列規(guī)定在通信網(wǎng)絡(luò)投入運行后30日內(nèi)將通信網(wǎng)絡(luò)單元向電信管理機(jī)構(gòu)備案:
(一)基礎(chǔ)電信業(yè)務(wù)經(jīng)營者集團(tuán)公司直接管理的通信網(wǎng)絡(luò)單元���,向工業(yè)和信息化部備案;基礎(chǔ)電信業(yè)務(wù)經(jīng)營者各省(自治區(qū)�、直轄市)子公司、分公司負(fù)責(zé)管理的通信網(wǎng)絡(luò)單元�����,向當(dāng)?shù)赝ㄐ殴芾砭謧浒浮?/p>
(二)增值電信業(yè)務(wù)經(jīng)營者的通信網(wǎng)絡(luò)單元����,向電信業(yè)務(wù)經(jīng)營許可證的發(fā)證機(jī)構(gòu)備案。
(三)互聯(lián)網(wǎng)域名服務(wù)提供者的通信網(wǎng)絡(luò)單元��,向工業(yè)和信息化部備案��。
第九條(備案要求2)通信網(wǎng)絡(luò)運行單位辦理通信網(wǎng)絡(luò)單元備案���,應(yīng)當(dāng)提交以下信息:
(一)通信網(wǎng)絡(luò)單元的名稱����、級別、主要功能等����。
(二)通信網(wǎng)絡(luò)單元責(zé)任單位的名稱、聯(lián)系方式等���。
(三)通信網(wǎng)絡(luò)單元主要負(fù)責(zé)人的姓名��、聯(lián)系方式等�。
(四)通信網(wǎng)絡(luò)單元的拓?fù)浼軜?gòu)����、網(wǎng)絡(luò)邊界、主要軟硬件及型號���、關(guān)鍵設(shè)施位址等�。
前款規(guī)定的備案信息發(fā)生變化的�,通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)自變更之日起15日內(nèi)向電信管理機(jī)構(gòu)變更備案。
第十條(備案審核)電信管理機(jī)構(gòu)應(yīng)當(dāng)自收到通信網(wǎng)絡(luò)單元備案申請后20日內(nèi)完成備案信息審核工作�。備案信息真實、齊全�����、符合規(guī)定形式的,應(yīng)當(dāng)予以備案����;備案信息不真實�����、不齊全或者不符合規(guī)定形式的�,應(yīng)當(dāng)通知備案單位補(bǔ)正。
第十一條(符合性評測要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的要求�����,落實與通信網(wǎng)絡(luò)單元級別相適應(yīng)的安全防護(hù)措施�����,并自行組織進(jìn)行符合性評測�。評測方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的有關(guān)規(guī)定。
三級及三級以上通信網(wǎng)絡(luò)單元���,應(yīng)當(dāng)每年進(jìn)行一次符合性評測���;二級通信網(wǎng)絡(luò)單元�����,應(yīng)當(dāng)每兩年進(jìn)行一次符合性評測���。通信網(wǎng)絡(luò)單元的級別調(diào)整后,應(yīng)當(dāng)及時重新進(jìn)行符合性評測����。
符合性評測結(jié)果及整改情況或者整改計劃應(yīng)當(dāng)于評測結(jié)束后30日內(nèi)報送通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)。
第十二條(風(fēng)險評估要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)對通信網(wǎng)絡(luò)單元進(jìn)行經(jīng)常性的風(fēng)險評估��,及時消除重大網(wǎng)絡(luò)安全隱患���。風(fēng)險評估方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的有關(guān)規(guī)定��。
三級及三級以上通信網(wǎng)絡(luò)單元�,應(yīng)當(dāng)每年進(jìn)行一次風(fēng)險評估�;二級通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每兩年進(jìn)行一次風(fēng)險評估����;國家重大活動舉辦前,三級及三級以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)進(jìn)行風(fēng)險評估�����。
風(fēng)險評估結(jié)果及隱患處理情況或者處理計劃應(yīng)當(dāng)于風(fēng)險評估結(jié)束后30日內(nèi)上報通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)。
第十三條(災(zāi)難備份要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的要求���,對通信網(wǎng)絡(luò)單元的重要線路����、設(shè)備�、系統(tǒng)和數(shù)據(jù)等進(jìn)行備份��。
第十四條(演練要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)定期或不定期組織演練檢驗通信網(wǎng)絡(luò)安全防護(hù)措施的有效性���,并參加電信管理機(jī)構(gòu)組織開展的演練����。
第十五條(監(jiān)測要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)對本單位通信網(wǎng)絡(luò)的安全狀況進(jìn)行自主監(jiān)測��,按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)建設(shè)和運行通信網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)���。
通信網(wǎng)絡(luò)運行單位的監(jiān)測系統(tǒng)應(yīng)當(dāng)按照電信管理機(jī)構(gòu)的要求��,與電信管理機(jī)構(gòu)的監(jiān)測系統(tǒng)互聯(lián)��。
第十六條(CNCERT職責(zé))工業(yè)和信息化部委托國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心建設(shè)和運行互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)�。
第十七條(安全服務(wù)規(guī)范)通信網(wǎng)絡(luò)運行單位委托其他單位進(jìn)行安全評測、評估���、監(jiān)測等工作的���,應(yīng)當(dāng)加強(qiáng)對受委托單位的管理,保證其服務(wù)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)及有關(guān)法律��、法規(guī)和政策的要求��。
第十八條(監(jiān)督檢查)電信管理機(jī)構(gòu)應(yīng)當(dāng)根據(jù)本辦法和通信網(wǎng)絡(luò)安全防護(hù)政策���、標(biāo)準(zhǔn)��,對通信網(wǎng)絡(luò)運行單位開展通信網(wǎng)絡(luò)安全防護(hù)工作的情況進(jìn)行監(jiān)督檢查�����。
第十九條(檢查措施)電信管理機(jī)構(gòu)有權(quán)采取以下措施對通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行監(jiān)督檢查:
(一)查閱通信網(wǎng)絡(luò)運行單位的符合性評測報告和風(fēng)險評估報告�。
(二)查閱通信網(wǎng)絡(luò)運行單位的有關(guān)文檔和工作記錄�����。
(三)向通信網(wǎng)絡(luò)運行單位工作人員詢問了解有關(guān)情況。
(四)查驗通信網(wǎng)絡(luò)運行單位的有關(guān)設(shè)施�。
(五)對通信網(wǎng)絡(luò)進(jìn)行技術(shù)性分析和測試。
(六)采用法律�、行政法規(guī)規(guī)定的其他檢查方式。
第二十條(委托檢查)電信管理機(jī)構(gòu)可以委托網(wǎng)絡(luò)安全檢測專業(yè)機(jī)構(gòu)開展通信網(wǎng)絡(luò)安全檢測活動���。
第二十一條(配合檢查的義務(wù))通信網(wǎng)絡(luò)運行單位對電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)依據(jù)本辦法開展的監(jiān)督檢查和檢測活動應(yīng)當(dāng)予以配合����,不得拒絕�、阻撓����。
第二十二條(規(guī)范檢查單位)電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)對通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行監(jiān)督檢查和檢測,不得影響通信網(wǎng)絡(luò)的正常運行���,不得收取任何費用�����,不得要求接受監(jiān)督檢查的單位購買指定品牌或者指定生產(chǎn)��、銷售單位的安全軟件��、設(shè)備或者其他產(chǎn)品�����。
第二十三條(規(guī)范檢查人員)電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)的監(jiān)督檢查人員應(yīng)當(dāng)忠于職守����、堅持原則,不得泄漏監(jiān)督檢查工作中知悉的國家秘密����、商業(yè)秘密、技術(shù)秘密和個人隱私�����。
第二十四條(對專業(yè)機(jī)構(gòu)的要求)電信管理機(jī)構(gòu)委托的專業(yè)機(jī)構(gòu)進(jìn)行檢測時��,應(yīng)當(dāng)書面記錄檢查的對象��、時間��、地點����、內(nèi)容�����、發(fā)現(xiàn)的問題等�,由檢查單位和被檢查單位相關(guān)負(fù)責(zé)人簽字蓋章后�,報委托方。
第二十五條(罰則1)違反本辦法第六條�、第七條、第八條���、第九條��、第十一條��、第十二條����、第十三條�、第十四條���、第十五條��、第十七條�、第二十一條規(guī)定的,由電信管理機(jī)構(gòu)責(zé)令改正�����,給予警告�����,并處5000元以上3萬元以下的罰款�����。
篇(9)
0 引言
如何保證合法網(wǎng)絡(luò)用戶對資源的合法訪問以及如何防止網(wǎng)絡(luò)黑客的攻擊�����,已經(jīng)成為網(wǎng)絡(luò)安全的主要內(nèi)容���。
1 網(wǎng)絡(luò)安全威脅
1.1 網(wǎng)絡(luò)中物理的安全威脅 例如空氣溫度����、濕度��、塵土等環(huán)境故障、以及設(shè)備故障�����、電源故障����、電磁干擾、線路截獲等���。
1.2 網(wǎng)絡(luò)中信息的安全威脅 ①蠕蟲和病毒���。計算機(jī)蠕蟲和病毒是最常見的一類安全威脅。蠕蟲和病毒會嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性�����。隨著病毒變得更智能��、更具破壞性���,其傳播速度也更快,甚至能在片刻間使信息處理處于癱瘓狀態(tài)��,而要清除被感染計算機(jī)中的病毒所要耗費的時一間也更長。②黑客攻擊�。“黑客”一詞由英語hacker英譯而來����,原意是指專門研究、發(fā)現(xiàn)計算機(jī)和網(wǎng)絡(luò)漏洞的計算機(jī)愛好者?�,F(xiàn)如今主要用來描述那些掌握高超的網(wǎng)絡(luò)計算機(jī)技術(shù)竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人�。黑客攻擊主要包括系統(tǒng)入侵、網(wǎng)絡(luò)監(jiān)聽��、密文破解和拒絕服務(wù)(dts)攻擊等�����。
2 網(wǎng)絡(luò)安全技術(shù)
為了消除上述安全威脅���,企業(yè)����、部門或個人需要建立一系列的防御體系�����。目前主要有以下幾種安全技術(shù):
2.1 密碼技術(shù) 在信息傳輸過程中,發(fā)送方先用加密密鑰�,通過加密設(shè)備或算法,將信息加密后發(fā)送出去����,接收方在收到密文后,用解密密鑰將密文解密���,恢復(fù)為明文���。如果傳輸中有人竊取,也只能得到無法理解的密文����,從而對信息起到保密作用。
2.2 身份認(rèn)證技術(shù) 通過建立身份認(rèn)證系統(tǒng)可實現(xiàn)網(wǎng)絡(luò)用戶的集中統(tǒng)一授權(quán)��,防止未經(jīng)授權(quán)的非法用戶使用網(wǎng)絡(luò)資源����。在網(wǎng)絡(luò)環(huán)境中,信息傳至接收方后�����,接收方首先要確認(rèn)信息發(fā)送方的合法身份���,然后才能與之建立一條通信鏈路��。身份認(rèn)證技術(shù)主要包括數(shù)字簽名�、身份驗證和數(shù)字證明�。
2.3 病毒防范技術(shù) 計算機(jī)病毒實際上是一種惡意程序,防病毒技術(shù)就是識別出這種程序并消除其影響的一種技術(shù)��。從防病毒產(chǎn)品對計算機(jī)病毒的作用來講�����,防病毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)��、病毒檢測技術(shù)和病毒清除技術(shù)���。
①病毒預(yù)防技術(shù)���。計算機(jī)病毒的預(yù)防是采用對病毒的規(guī)則進(jìn)行分類處理,而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計算機(jī)病毒�。病毒預(yù)防技術(shù)包括磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序��、讀寫控制技術(shù)和系統(tǒng)監(jiān)控技術(shù)等。②病毒檢測技術(shù)�。它有兩種:一種是根據(jù)計算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容���、病毒特征及傳染方式�、文件長度的變化����,在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù);另一種是不針對具體病毒程序的自身校驗技術(shù)���,即對某個文件或數(shù)據(jù)段進(jìn)行檢驗和計算并保存其結(jié)果����,以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進(jìn)行檢驗���,若出現(xiàn)差異���,即表示該文件或數(shù)據(jù)段完整性己遭到破壞,感染上了病毒�����,從而檢測到病毒的存在。③病毒清除技術(shù)����。計算機(jī)病毒的清除技術(shù)是計算機(jī)病毒檢測技術(shù)發(fā)展的必然結(jié)果�,是計算機(jī)病毒傳染程序的一個逆過程。目前����,清除病毒大都是在某種病毒出現(xiàn)后,通過對其進(jìn)行分析研究而研制出來的具有相應(yīng)解毒功能的軟件�。這類軟件技術(shù)發(fā)展往往是被動的,帶有滯后性����。而且由于計算機(jī)軟件所要求的精確性,殺毒軟件有其局限性�,對有些變種病毒的清除無能為力。
2.4 入侵檢測技術(shù) 入侵檢測技術(shù)是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?��,F(xiàn)象的技術(shù)�����,也是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)�。
入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。
①特征檢測的假設(shè)是入侵者活動可以用一種模式來表示����,系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將己有的入侵方法檢查出來��,但對新的入侵方法無能為力�。其難點在于如何設(shè)計模式既能夠表達(dá)“入侵”現(xiàn)象又不會將正常的活動包含進(jìn)來。②異常檢測的假設(shè)是入侵者活動異常于正常主體的活動����。根據(jù)這一理念建立主體正常活動的“活動簡檔”��,將當(dāng)前主體的活動狀況與“活動簡檔”相比較����,當(dāng)違反其統(tǒng)計規(guī)律時,認(rèn)為該活動可能是“入侵”行為�����。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法����,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為����。
2.5 漏洞掃描技術(shù) 漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)�����、文件等進(jìn)行檢查����,發(fā)現(xiàn)其中可被黑客所利用的漏洞�。漏洞檢測技術(shù)就是通過對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查,查找系統(tǒng)安全漏洞的一種技術(shù)����。它能夠預(yù)先評估和分析系統(tǒng)中存在的各種安全隱患,換言之����,漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查���,發(fā)現(xiàn)其中可被黑客所利用的漏洞��。隨著黑客人侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷���,預(yù)先評估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求�。漏洞掃描的結(jié)果實際上就是系統(tǒng)安全性能的評估報告�,它指出了哪些攻擊是可能的,因此成為網(wǎng)絡(luò)安全解決方案中的一個重要組成部分�����。
漏洞掃描技術(shù)主要分為被動式和主動式兩種:
①被動式是基于主機(jī)的檢測�,對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進(jìn)行檢查���。②主動式則是基于對網(wǎng)絡(luò)的主動檢測�����,通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊�����,并記錄它的反應(yīng)����,從而發(fā)現(xiàn)其中的漏洞。
篇(10)
第二條 中華人民共和國境內(nèi)的電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)域名服務(wù)提供者(以下統(tǒng)稱通信網(wǎng)絡(luò)運行單位)管理和運行的公用通信網(wǎng)和互聯(lián)網(wǎng)(以下統(tǒng)稱通信網(wǎng)絡(luò))的網(wǎng)絡(luò)安全防護(hù)工作��,適用本辦法����。
本辦法所稱互聯(lián)網(wǎng)域名服務(wù),是指設(shè)置域名數(shù)據(jù)庫或者域名解析服務(wù)器��,為域名持有者提供域名注冊或者權(quán)威解析服務(wù)的行為���。
本辦法所稱網(wǎng)絡(luò)安全防護(hù)工作����,是指為防止通信網(wǎng)絡(luò)阻塞�、中斷����、癱瘓或者被非法控制,以及為防止通信網(wǎng)絡(luò)中傳輸�����、存儲����、處理的數(shù)據(jù)信息丟失���、泄露或者被篡改而開展的工作。
第三條 通信網(wǎng)絡(luò)安全防護(hù)工作堅持積極防御���、綜合防范���、分級保護(hù)的原則。
第四條 中華人民共和國工業(yè)和信息化部(以下簡稱工業(yè)和信息化部)負(fù)責(zé)全國通信網(wǎng)絡(luò)安全防護(hù)工作的統(tǒng)一指導(dǎo)����、協(xié)調(diào)和檢查,組織建立健全通信網(wǎng)絡(luò)安全防護(hù)體系�����,制定通信行業(yè)相關(guān)標(biāo)準(zhǔn)����。
各省、自治區(qū)�����、直轄市通信管理局(以下簡稱通信管理局)依據(jù)本辦法的規(guī)定,對本行政區(qū)域內(nèi)的通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行指導(dǎo)�����、協(xié)調(diào)和檢查��。
工業(yè)和信息化部與通信管理局統(tǒng)稱電信管理機(jī)構(gòu)���。
第五條 通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照電信管理機(jī)構(gòu)的規(guī)定和通信行業(yè)標(biāo)準(zhǔn)開展通信網(wǎng)絡(luò)安全防護(hù)工作����,對本單位通信網(wǎng)絡(luò)安全負(fù)責(zé)�。
第六條 通信網(wǎng)絡(luò)運行單位新建、改建���、擴(kuò)建通信網(wǎng)絡(luò)工程項目�����,應(yīng)當(dāng)同步建設(shè)通信網(wǎng)絡(luò)安全保障設(shè)施,并與主體工程同時進(jìn)行驗收和投入運行�。
通信網(wǎng)絡(luò)安全保障設(shè)施的新建、改建����、擴(kuò)建費用�����,應(yīng)當(dāng)納入本單位建設(shè)項目概算���。
第七條 通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)對本單位已正式投入運行的通信網(wǎng)絡(luò)進(jìn)行單元劃分,并按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對國家安全����、經(jīng)濟(jì)運行、社會秩序�����、公眾利益的危害程度�,由低到高分別劃分為一級、二級��、三級�、四級、五級����。
電信管理機(jī)構(gòu)應(yīng)當(dāng)組織專家對通信網(wǎng)絡(luò)單元的分級情況進(jìn)行評審����。
通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)根據(jù)實際情況適時調(diào)整通信網(wǎng)絡(luò)單元的劃分和級別�,并按照前款規(guī)定進(jìn)行評審。
第八條 通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)在通信網(wǎng)絡(luò)定級評審?fù)ㄟ^后三十日內(nèi)�����,將通信網(wǎng)絡(luò)單元的劃分和定級情況按照以下規(guī)定向電信管理機(jī)構(gòu)備案:
(一)基礎(chǔ)電信業(yè)務(wù)經(jīng)營者集團(tuán)公司向工業(yè)和信息化部申請辦理其直接管理的通信網(wǎng)絡(luò)單元的備案;基礎(chǔ)電信業(yè)務(wù)經(jīng)營者各省(自治區(qū)����、直轄市)子公司、分公司向當(dāng)?shù)赝ㄐ殴芾砭稚暾堔k理其負(fù)責(zé)管理的通信網(wǎng)絡(luò)單元的備案;
(二)增值電信業(yè)務(wù)經(jīng)營者向作出電信業(yè)務(wù)經(jīng)營許可決定的電信管理機(jī)構(gòu)備案;
(三)互聯(lián)網(wǎng)域名服務(wù)提供者向工業(yè)和信息化部備案����。
第九條 通信網(wǎng)絡(luò)運行單位辦理通信網(wǎng)絡(luò)單元備案,應(yīng)當(dāng)提交以下信息:
(一)通信網(wǎng)絡(luò)單元的名稱��、級別和主要功能;
(二)通信網(wǎng)絡(luò)單元責(zé)任單位的名稱和聯(lián)系方式;
(三)通信網(wǎng)絡(luò)單元主要負(fù)責(zé)人的姓名和聯(lián)系方式;
(四)通信網(wǎng)絡(luò)單元的拓?fù)浼軜?gòu)���、網(wǎng)絡(luò)邊界����、主要軟硬件及型號和關(guān)鍵設(shè)施位置;
(五)電信管理機(jī)構(gòu)要求提交的涉及通信網(wǎng)絡(luò)安全的其他信息�����。
前款規(guī)定的備案信息發(fā)生變化的�����,通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)自信息變化之日起三十日內(nèi)向電信管理機(jī)構(gòu)變更備案�����。
通信網(wǎng)絡(luò)運行單位報備的信息應(yīng)當(dāng)真實���、完整�����。
第十條 電信管理機(jī)構(gòu)應(yīng)當(dāng)對備案信息的真實性�、完整性進(jìn)行核查�����,發(fā)現(xiàn)備案信息不真實��、不完整的��,通知備案單位予以補(bǔ)正。
第十一條 通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)落實與通信網(wǎng)絡(luò)單元級別相適應(yīng)的安全防護(hù)措施���,并按照以下規(guī)定進(jìn)行符合性評測:
(一)三級及三級以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每年進(jìn)行一次符合性評測;
(二)二級通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每兩年進(jìn)行一次符合性評測�。
通信網(wǎng)絡(luò)單元的劃分和級別調(diào)整的����,應(yīng)當(dāng)自調(diào)整完成之日起九十日內(nèi)重新進(jìn)行符合性評測。
通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)在評測結(jié)束后三十日內(nèi)���,將通信網(wǎng)絡(luò)單元的符合性評測結(jié)果�����、整改情況或者整改計劃報送通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)����。
第十二條 通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照以下規(guī)定組織對通信網(wǎng)絡(luò)單元進(jìn)行安全風(fēng)險評估��,及時消除重大網(wǎng)絡(luò)安全隱患:
(一)三級及三級以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每年進(jìn)行一次安全風(fēng)險評估;
(二)二級通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每兩年進(jìn)行一次安全風(fēng)險評估�����。
國家重大活動舉辦前,通信網(wǎng)絡(luò)單元應(yīng)當(dāng)按照電信管理機(jī)構(gòu)的要求進(jìn)行安全風(fēng)險評估�。
通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)在安全風(fēng)險評估結(jié)束后三十日內(nèi)����,將安全風(fēng)險評估結(jié)果、隱患處理情況或者處理計劃報送通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)����。
第十三條 通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)對通信網(wǎng)絡(luò)單元的重要線路、設(shè)備���、系統(tǒng)和數(shù)據(jù)等進(jìn)行備份���。
第十四條 通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)組織演練,檢驗通信網(wǎng)絡(luò)安全防護(hù)措施的有效性�����。
通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)參加電信管理機(jī)構(gòu)組織開展的演練�����。
第十五條 通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)建設(shè)和運行通信網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)����,對本單位通信網(wǎng)絡(luò)的安全狀況進(jìn)行監(jiān)測����。
第十六條 通信網(wǎng)絡(luò)運行單位可以委托專業(yè)機(jī)構(gòu)開展通信網(wǎng)絡(luò)安全評測�、評估、監(jiān)測等工作����。
工業(yè)和信息化部應(yīng)當(dāng)根據(jù)通信網(wǎng)絡(luò)安全防護(hù)工作的需要,加強(qiáng)對前款規(guī)定的受托機(jī)構(gòu)的安全評測�、評估、監(jiān)測能力指導(dǎo)��。
第十七條 電信管理機(jī)構(gòu)應(yīng)當(dāng)對通信網(wǎng)絡(luò)運行單位開展通信網(wǎng)絡(luò)安全防護(hù)工作的情況進(jìn)行檢查�。
電信管理機(jī)構(gòu)可以采取以下檢查措施:
(一)查閱通信網(wǎng)絡(luò)運行單位的符合性評測報告和風(fēng)險評估報告;
(二)查閱通信網(wǎng)絡(luò)運行單位有關(guān)網(wǎng)絡(luò)安全防護(hù)的文檔和工作記錄;
(三)向通信網(wǎng)絡(luò)運行單位工作人員詢問了解有關(guān)情況;
(四)查驗通信網(wǎng)絡(luò)運行單位的有關(guān)設(shè)施;
(五)對通信網(wǎng)絡(luò)進(jìn)行技術(shù)性分析和測試;
(六)法律、行政法規(guī)規(guī)定的其他檢查措施����。
第十八條 電信管理機(jī)構(gòu)可以委托專業(yè)機(jī)構(gòu)開展通信網(wǎng)絡(luò)安全檢查活動。
第十九條 通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)配合電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)開展檢查活動�����,對于檢查中發(fā)現(xiàn)的重大網(wǎng)絡(luò)安全隱患��,應(yīng)當(dāng)及時整改。
第二十條 電信管理機(jī)構(gòu)對通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行檢查����,不得影響通信網(wǎng)絡(luò)的正常運行,不得收取任何費用��,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟件����、設(shè)備或者其他產(chǎn)品��。
第二十一條 電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)的工作人員對于檢查工作中獲悉的國家秘密���、商業(yè)秘密和個人隱私�����,有保密的義務(wù)�����。
