網絡安全成熟度評估
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全成熟度評估范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全成熟度評估范文第1篇
通過下一代防火墻、態勢感知檢測響應、安全云端、安全運營平臺,初步構建“網-端-云-平臺”一體化框架進行風險控制閉環。框架中,下一代防火墻、態勢感知檢測響應等網絡和端點安全設備持續采集網絡和端點側流量日志,安全云端和本地安全運營平臺通過發現和關聯流量日志中各類攻擊威脅失陷標志,找出入侵攻擊鏈,進一步在網絡和端點側進行控制處置,切斷攻擊鏈。
3.2建立初步的信任評估和控制機制
以上網行為管理和SSLVPN設備組件為基礎,對接各類型終端,入網前基于設備狀態和身份信息進行信任等級判定。并建立內部應用訪問身份認證機制。下一階段工作通過零信任技術建立更全面的訪問前信息采集和持續評估能力,進一步打通網絡、應用、數據訪問的身份和信任判決及控制。
3.3建立本地化安全運營能力
基于安全運營平臺,將全網終端威脅、網絡攻擊及業務系統安全通過大屏可視化的方式呈現,結合外部安全服務專家專屬服務化的方式,實現了網絡安全的閉環響應與處置,同時為內部人員提供信息安全知識與技能,沉淀本地知識經驗庫;基于安全運營平臺分析結果進行決策,指導各部門開展網絡安全工作;通過網絡安全運營平臺指導安全建設,提供安全策略優化指導,全面提升系統安全運營能力。
3.4構建針對未知威脅防控的人機共智能力
基于本地安全運營平臺、下一代防火墻、態勢感知檢測響應等設備組件中人工智能算法,借助安全云端的全球威脅情報和安全大數據分析輔助,初步構建針對已知和未知Web攻擊、僵尸網絡、各類型病毒、漏洞利用、部分APT攻擊和異常業務行為的檢測識別能力。通過演練成果應用,實現了滿足等級保護2.0合規要求,具備在實戰化攻防對抗中抵御攻擊、快速恢復能力,同時日常服務運維過程中對各類型業務和數據提供常態化安全防護。
4創新性與價值
信息系統安全建設基于自身信息化業務需求和網絡安全監管法規要求,以“體系合規,面向實戰,常態保護”為目標,“統籌風險,精益安全,持續推進,人機共智”為安全能力構建方向,逐步推進建設落地。規劃建設過程,體現了以下幾方面特色和優勢:(1)體系化統籌,從高層要求、監管法規等業務和內外部需求出發,從風險、安全、推進、智能四方面,體系化地規劃安全能力和落地過程[5]。(2)全面保障,整個建設理念和框架覆蓋的保護對象從物理環境,到網絡、主機、邊界等各層面,并對各類型業務和場景具有普適性。(3)面向未來,利用人機共智的三位一體能力,以及階段性演進的成熟度坐標,規劃面向未來的能力演進體系。(4)有效落地,創新網絡安全微服務架構,提升自動化管理效率,利用專家服務和輔助決策降低人員門檻,進一步通過可視化指標體系呈現安全建設績效。
網絡安全成熟度評估范文第2篇
【 關鍵詞 】 信息安全架構;企業戰略;信息安全服務; 信息安全價值; 一致性;可追溯性
【 文獻標識碼 】 A 【 中圖分類號 】 TP393.08
1 引言
信息安全技術和管理經過不斷的發展和改善,已經能夠比較有效地解決一些傳統信息安全問題,如信息安全風險管理、訪問控制,脆弱性管理、加密解密和災難恢復等。隨著信息越來越成為組織的核心資產,保護信息的安全已不再只是局限于技術和日常管理層面的討論,信息的安全越來越關系到組織自身發展的安全。一次重大的信息泄露事故就能使企業的市值一落千丈。同時,一套合理的訪問控制解決方案能夠幫助企業快速推出核心產品(尤其是電子商務)和兼并其他企業。當前信息安全發展呈現出新的趨勢和要求:(1)信息安全部門逐漸從成本中心轉向價值中心,信息安全的各項活動越來越和企業戰略緊密相連;(2)企業內部其他部門越來越多的要求信息安全部門提供清晰、可測量的服務來支持業務的運行。
企業的信息安全部門在不斷增強其核心影響力的同時,也承擔著隨之而來的更多責任和挑戰。其一是如何將企業戰略轉化為信息安全計劃,將信息安全融入到組織的業務流程中,并且保持信息安全控制措施與企業戰略的一致性和可追溯性;其二是如何使信息安全的價值得到認可并在組織內部最大化;其三是如何滿足企業內部各部門有計劃或無計劃的信息安全服務需求;其四是如何確保以一種系統主動和集中統一的方式來管理業務和遵從性需求,并實現清晰的測量和不斷的改進。
當前各企業廣泛采用的標準或最佳實踐有幾種:ISO27001:2005,COBIT4.1,NISTSP800或PCIDSSv2.0等。這些標準各有優點,但也有明顯的缺憾,如表1所示(缺憾部分用X表示)。
設計本信息安全架構旨在解決上述問題并建立一種高效機制達到如下目標。
* 將企業戰略轉化為信息安全計劃,確保信息安全的可追溯性、持續一致性和簡潔性,以降低成本、減少重復和提高效率。將信息安全融入到組織的業務流程中,建立一致性和可追溯性;建立清晰的信息安全架構和愿景,以減少重復和指導信息安全投入和解決方案的實施。
* 基于客戶服務理念,信息安全服務價值得到認可,信息安全靠攏業務部門,為信息安全管理和業務管理建立共同語言。
* 全面管理信息安全,滿足目前絕大多數法律法規、標準的最佳實際的要求,并具有靈活的可擴展性,當新需求出現后能夠將其平滑的融入到現有架構中。
* 系統和集中統一的方式,使信息安全管理可預測和可測量,并不斷的改進。
2 信息安全架構設計
2.1 信息安全架構設計所基于的原則
本信息安全架構的設計遵循四大原則。
1) 業務驅動:所有的信息安全目標應該從業務需求中來,從而保證信息安全管理總是做“正確的事”。
2) 整合、統一的架構:現在有數以十計的信息安全相關的法律法規,標準和最佳實踐需要去符合或參考,且其各有不同的要求側重點和優缺點。因此很有必要將所有相關的信息安全關注點整合到一個統一的架構中,以保證所有要求都被滿足,同時避免不要的重復。例如,ISO27001關注全面安全控制和風險管理,PCIDSS側重支付卡環境中技術控制和策略管理等。
3) 系統化思維:運用系統化思維可以幫助組織解決復雜且動態的問題,適應運營中的各種變化,減輕戰略上的不確定性和外部因素的影響。例如,需要整合機構、人員、技術和流程;需要考慮安全、成本和易用性的權衡;需要靠持續改進(Plan-Do-Check-Act);需要考慮全面防護和縱深防護。
4) 易用性:信息安全架構的最大價值在于被理解和廣泛應用于組織的實踐當中。因此,信息安全架構必須易于理解并且實際可操作性要強,應避免太過復雜和晦澀。
2.2 信息安全架構實現
2.2.1 信息安全架構-域試圖
基于上面的基本原則,本信息安全架構由三個域組成(如圖1所示):治理(Governance)、保障(Assurance)和服務(Services)。
治理(Governance): 信息安全治理域強調戰略一致性,風險管理,資源管理和有效性測量。治理域又包括三個子域:愿景與戰略、風險與遵從性管理和測量。各子域主要功能如下所述。
* 愿景與戰略: 將遵從性要求,信息安全的發展趨勢,行業發展趨勢和業務戰略轉化為信息安全愿景、戰略和路線圖。
* 風險與遵從性管理: 管理信息安全風險使信息安全風險控制在組織可接受的范圍內。
* 測量: 監控和測量整體信息安全的有效性并持續提升信息安全對組織的價值。
保障: 保障域側重于信息安全的全面與縱深防護措施。保障域包含預防、監測、響應和恢復四個部分。各部分主要功能如下所述。同時保護的對象為不同層面的信息資產:數據層、應用層、IT基礎設施層和物理層。
* 預防: 實施信息安全控制措施包括管理措施和技術措施,防止信息安全威脅損害組織的信息安全控態。
* 監測: 部署信息安全監測能力監控正在發生或已經發生的信息安全事態。
* 響應:部署信息安全響應體系迅速、高效的抑制信息安全事件。
* 恢復: 建立組織的可持續性能力,但重要信息系統不可用時,可以在計劃的時間內恢復。
服務: 服務域顯示了面向客戶(內部和外部),協作與知識更新對信息安全實踐非常重要。服務域包含三個部分:信息安全服務、知識管理、意識與文化。各部分主要功能如下所述。
* 信息安全服務: 信息安全團隊應對待組織內部其他部門和對外部客戶一樣,基于服務基本協議,提供高質量的信息安全服務。
* 知識管理: 知識是信息安全實踐和服務的基石。信息安全知識管理包括獲取、維護和利用知識去獲取最大的信息安全專業價值。信息安全知識應不僅在信息安全團隊內部而且在整個組織被共享。
* 意識與文化: 信息安全意識與文化在組織內部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全,關心信息安全、在日常工作中關注信息安全。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風險至關重要。
2.2.2 信息安全架構-組件試圖
為支撐信息安全架構的三個域,本信息安全架構組件融合了不同標準和最佳實踐的精華部分,并自成一體,如圖2所示。本架構參考的標準主要有如下一些:ISO27001:2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。
3 信息安全架構在企業內實際應用效果分析
本信息安全架構已被推廣和應用到各個行業中,如保險業、銀行業、教育和非盈利性機構等。本文選取一個保險企業的案例來說明本信息安全架構給企業帶來的積極變化。
背景:此保險公司有3000名員工,計劃在加拿大多倫多(Toronto)上市,因此需要符合加拿大和行業的一些法律法規的要求,如Bill198、PIPEDA、PCIDSS等。同時公司高層決定借鑒信息安全管理的最佳實踐標準,如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構的特點就是融合各法規、標準和最佳實踐的要求,因此不需要做任何大的改動的情況下(降低成本)就能應用到此保險公司中。
經過9個月的實際運行,公司進行了各項測量指標重新評估并與實施本信息安全架構前的指標進行了對比分析。
3.1 平衡計分卡(Balanced Scorecard)[10]測評分析
平衡計分卡是衡量信息安全對企業貢獻價值的一種分析工具。平衡計分卡包括四個測量項目:對企業的貢獻,對愿景的規劃,內部流程的成熟度和面向客戶。該保險公司在實施本信息安全架構前后分別進行了兩次測評。測評方法是由公司高級管理人員和各部門經理對信息安全部門進行評估,0級表示無成績,5級表示完美,然后取平均值。2011年7月評估結果顯示“企業貢獻”為2.2,“愿景規劃”為2.5,“內部流程”為2.8,“面向客戶”為2.1;2012年7月評估結果顯示“企業貢獻”為4.1,“愿景規劃”為3.9,“內部流程”為3.8,“面向客戶”為4.1。如圖3所示。測評結果表明實施本信息安全架構后企業高層及各部門對信息安全給企業帶來的價值的認可度有較為明顯提升。
3.2 總體信息安全成熟度級別分析
本文采取的信息安全總體成熟度的評價是基于ISO27002的控制域和CMMI[11]的評估級別。0級是最低級,5級是最高級。該保險公司在實施本信息安全架構前后分別進行了兩次自評估。2011年10月實施本信息安全架構前成熟度水平是介于2.0-3.0之間, 2012年10月實施本信息安全架構后成熟度水平是介于3.0-4.5之間,如圖4所示。成熟度級別分析結果表明實施本信息安全架構后整體成熟度有較為明顯提升。
3.3 獨立審核發現點數量分析
第三方機構獨立審核是從專業、客觀的角度來衡量整體信息安全控制措施,包括管理、技術和流程。審核發現點的數量越多,表明脆弱點越多,存在的風險越大。該保險公司在實施本信息安全架構前后分別邀請用一個第三方審核機構對其進行了全面審核與評估(依據上市公司的管控要求)。2011年9月審核結果顯示有4個高風險項,8個中風險項和13個第風險項;2012年9月審核結果顯示無高風險項,且只有2個中風險項和4個第風險項。如圖5所示。審核結果表明實施本信息安全架構后整體風險水平有較為明顯降低。
3.4 信息安全事件發生數量分析
信息安全事件(特別是1級與2級事件)發生的數量標志著信息安全控制措施的全面性和有效性。信息安全事件數量越少,表明整體控制措施越有效。該保險公司統計了實施本信息安全架構前后發生的信息安全事件數量。2011年1月-10月期間有4個一級安全事件(重大),12個二級安全事件(嚴重),25個三級安全事件和40個四級安全事件;2012年1月-10月期間有1個一級安全事件(重大),2個二級安全事件(嚴重),10個三級安全事件和16個四級安全事件。如圖6所示。信息安全事件數量分析結果表明實施本信息安全架構后安全控制措施的全面性和有效性有較為明顯增強。
3.5 魚叉式網絡釣魚模擬攻擊測試結果分析
模擬釣魚攻擊測試是對企業員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊(點擊鏈接)的人數越少,表明整體信息安全水平越高。該保險公司采用ThreatSim的模擬攻擊測試平臺,在實施本信息安全架構前后分別選取了5個分支機構(共200人)進行了模擬攻擊測試。測試的主要方法是注冊一個與該保險公司類似的網絡域名,然后偽造一份看似從信息安全管理員發出的E-mail,此E-mail的大致內容是說該保險公司于近期對相關系統進行了升級,將會影響到原有的帳戶和密碼,要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網頁。
2011年5月測試結果顯示有47%的員工點擊了有害鏈接,點擊有害鏈接的員工中有18%的人輸入了密碼,點擊有害鏈接的員工中有68%的人完成了在線培訓內容;2012年5月測試結果顯示有14%的員工點擊了有害鏈接,點擊有害鏈接的員工中有3%的人輸入了密碼,點擊有害鏈接的員工中有98%的人完成了在線培訓內容。如圖7所示。模擬攻擊測試分析結果表明實施本信息安全架構后該保險公司員工整體信息安全意識水平有較為明顯進步。
3.6 信息安全服務客戶滿意度調查結果分析
客戶滿意度調查是從被服務客戶的角度來衡量信息安全團隊的服務能力,以及給公司帶來的實際價值。滿意度百分比值越高,表明信息安全團隊的能力和服務價值越被認可。該保險公司在實施本信息安全架構前后分別對精算部、個人保險部、商業保險部、索償部、渠道與銷售部做了信息安全服務滿意度調查。
2011年8月調查結果顯示對服務專業質量的滿意度為72%,對服務請求響應速度的滿意度為46%,對服務態度的滿意度為67%,整體滿意度為60%;2012年8月調查結果顯示對服務專業質量的滿意度為95%,對服務請求響應速度的滿意度為85%,對服務態度的滿意度為92%,整體滿意度為88%;如圖7所示。客戶滿意度分析結果表明實施本信息安全架構后企業各部門對信息安全服務價值的認可度有較為明顯提升。
4 結束語
現階段信息安全管理著重在信息安全的風險控制,隨著信息安全管理角色的轉變,信息安全需要跟多的與組織戰略結合,為組織創造更多的價值,并通過提供信息安全服務使組織內部各部門享受到信息安全給組織帶來的價值并認可這些價值。當前被廣泛采用的一些標準和最佳實踐有其優點,但同時無法滿足一些新的挑戰。目前缺乏一種高效可執行的信息安全架構來將企業戰略轉化為信息安全計劃、基于客戶服務理念使信息安全服務價值最大化以及全面系統化管理信息安全。本文針對上述問題提出的一種面向企業戰略和服務的信息安全架構。通過將本信息安全架構應用到實際的企業中,驗證了本信息安全架構能夠為企業提供更多的價值、增強客戶滿意度、提升整體安全成熟度和員工信息安全意識水平。
參考文獻
[1] International Organization for Standardization, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office, 2005.
[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1,USA: IT Governance Institute, 2007.
[3] National Institute of Standards and Technology, U.S. Department of Commerce. NIST Special Publication 800 series.
[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures, Version 2.0. 2010.
[5] National Security Agency Information Assurance.
[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.
[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0,USA: IT Governance Institute, 2012.
[8] Sharon Taylor, Majid Iqbal, Michael Nieves, 等. Information Technology Infrastructure Library , England: Office of Government Commerce, ITIL Press Office, 2007.
[9] Federal Financial Institutions Examination Council. IT Examination Handbook, information security Booklet. USA: FFIEC, 2006
[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1, 2012.
[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute, a Strategy Management Group company, 2008.
[12] Software Engineering Institute, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University, 2010.
[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.
作者簡介:
網絡安全成熟度評估范文第3篇
隨著寬帶網絡和用戶規模的不斷增長,用戶對寬帶接入業務的高可用性要求不斷增強,對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手,結合電信IP城域網,提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。
關鍵字(Keywords):
安全管理、風險、弱點、評估、城域網、IP、AAA、DNS
1信息安全管理概述
普遍意義上,對信息安全的定義是“保護信息系統和信息,防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏,保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程,通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。
信息安全管理的本質,可以看作是動態地對信息安全風險的管理,即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408-1(信息安全風險管理和評估規則),給出了一個非常經典的信息安全風險管理模型,如下圖一所示:
圖一信息安全風險管理模型
既然信息安全是一個管理過程,則對PDCA模型有適用性,結合信息安全管理相關標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實施與部署-監控與評估-維護和改進)的循環過程。
圖二信息安全體系的“PDCA”管理模型
2建立信息安全管理體系的主要步驟
如圖二所示,在PLAN階段,就需要遵照BS7799等相關標準、結合企業信息系統實際情況,建設適合于自身的ISMS信息安全管理體系,ISMS的構建包含以下主要步驟:
(1)確定ISMS的范疇和安全邊界
(2)在范疇內定義信息安全策略、方針和指南
(3)對范疇內的相關信息和信息系統進行風險評估
a)Planning(規劃)
b)InformationGathering(信息搜集)
c)RiskAnalysis(風險分析)
uAssetsIdentification&valuation(資產鑒別與資產評估)
uThreatAnalysis(威脅分析)
uVulnerabilityAnalysis(弱點分析)
u資產/威脅/弱點的映射表
uImpact&LikelihoodAssessment(影響和可能性評估)
uRiskResultAnalysis(風險結果分析)
d)Identifying&SelectingSafeguards(鑒別和選擇防護措施)
e)Monitoring&Implementation(監控和實施)
f)Effectestimation(效果檢查與評估)
(4)實施和運營初步的ISMS體系
(5)對ISMS運營的過程和效果進行監控
(6)在運營中對ISMS進行不斷優化
3IP寬帶網絡安全風險管理主要實踐步驟
目前,寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高,且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理,以使得能夠動態的了解、管理和控制各種可能存在的安全風險。
由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段,進行項目實踐:
3.1項目準備階段。
a)主要搜集和分析與項目相關的背景信息;
b)和客戶溝通并明確項目范圍、目標與藍圖;
c)建議并明確項目成員組成和分工;
d)對項目約束條件和風險進行聲明;
e)對客戶領導和項目成員進行意識、知識或工具培訓;
f)匯報項目進度計劃并獲得客戶領導批準等。
3.2項目執行階段。
a)在項目范圍內進行安全域劃分;
b)分安全域進行資料搜集和訪談,包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等;
c)在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析,形成資產表、威脅評估表、風險評估表和風險關系映射表;
d)對存在的主要風險進行風險等級綜合評價,并按照重要次序,給出相應的防護措施選擇和風險處置建議。
3.3項目總結階段
a)項目中產生的策略、指南等文檔進行審核和批準;
b)對項目資產鑒別報告、風險分析報告進行審核和批準;
c)對需要進行的相關風險處置建議進行項目安排;
4IP寬帶網絡安全風險管理實踐要點分析
運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段,需要特別注意以下要點:
4.1安全目標
充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。
4.2項目范疇
應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統:如網管系統、AAA平臺、DNS等。
4.3項目成員
應該得到運營商高層領導的明確支持,項目組長應該具備管理大型安全咨詢項目經驗的人承擔,且項目成員除了包含一些專業安全評估人員之外,還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。
4.4背景信息搜集:
背景信息搜集之前,應該對信息搜集對象進行分組,即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含:
a)IP寬帶網絡總體架構
b)城域網結構和配置
c)接入網結構和配置
d)AAA平臺系統結構和配置
e)DNS系統結構和配置
f)相關主機和設備的軟硬件信息
g)相關業務操作規范、流程和接口
h)相關業務數據的生成、存儲和安全需求信息
i)已有的安全事故記錄
j)已有的安全產品和已經部署的安全控制措施
k)相關機房的物理環境信息
l)已有的安全管理策略、規定和指南
m)其它相關
4.5資產鑒別
資產鑒別應該自頂向下進行鑒別,必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組;然后可以在一級資產組內,按照功能或地域進行劃分二級資產組,如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組;進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別,鑒別其設備類型、地址配置、軟硬件配置等信息。
4.6威脅分析
威脅分析應該具有針對性,即按照不同的資產組進行針對性威脅分析。如針對IP城域網,其主要風險可能是:蠕蟲、P2P、路由攻擊、路由設備入侵等;而對于DNS或AAA平臺,其主要風險可能包括:主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。
4.7威脅影響分析
是指對不同威脅其可能造成的危害進行評定,作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見,尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。
4.8威脅可能性分析
是指某種威脅可能發生的概率,其發生概率評定非常困難,所以一般情況下都應該采用定性的分析方法,制定出一套評價規則,主要由運營商管理人員按照規則進行評價。
網絡安全成熟度評估范文第4篇
【關鍵詞】系統安全工程;信息系統;風險
引言
隨著科學技術的快速發展,信息系統安全問題也越來越常見,如何采取有效措施預防并減少信息系統風險已經逐漸成為信息安全研究的關鍵。對于信息系統安全,可以采用風險大小進行度量,同對信息在保密性、完整性等多個方面所受到的威脅,可以對安全威脅進行有效控制。需要注意的是,為了保障信息安全,不僅需要依靠安全技術和產品,而且還需要信息系統安全工程的支持。通過構建系統安全工程能力成熟模型,對影響信息系統的各個安全要素進行分析,并對風險因素發生的可能性進行評價分析,能夠保證信息安全管理決策的客觀性和合理性。
1我國礦山生產安全現狀
近年來,隨著國家的重視與社會的關注,礦山的百萬噸死亡率以及前人死亡率有所下降,但是礦山的安全工程還是存在一定的問題,就目前看來,其主要存在以下問題:①我國大多數的礦山都缺乏統一持續的安全戰略規劃目標,我國大型的礦山企業都是國有企業,其在生產的過程中都十分重視礦產的安全管理,十分重視企業生產安全。但是其在生產的過程中同樣需要面臨著市場競爭帶來的壓力,對于礦山生產的風險性以及隨機性沒有充分的把握,難以從根本上提升礦山的安全性;②我國礦產開采缺乏完善的安全理念,盡管大多數的礦產企業在開采時都確立了安全生產理念,但是這些理念僅僅概況成了幾句口號,并沒有得到徹底的落實,這樣一來無法有效的確保礦山安全管理的質量;③我國礦山開采安全程度較低,尤其是一些小型礦產,基本沒有安全設施,采用的甚至是一些落后的工藝設備。為了有效的判斷礦山生產過程中的風險,需要建立完善的風險評估模型,下面簡單的介紹系統安全工程能力成熟模型,以及其在風險評估中的作用。
2系統安全工程能力成熟模型概述
系統安全工程能力指的是系統在實際應用中,能夠達到的安全性指標的能力,通過改善系統工程的過程安全能力,能夠使系統工程變得更加成熟。在系統安全工程能力成熟模型的構建過程,需要完善的、成熟的、可度量的安全工程。在系統安全工程下,所有工程活動都有明確的定義,并且對于所有工程活動,都可以進行有效的測量、管理和控制。系統安全工程能力成熟度模型主要是由兩個部分所組成的,包括“過程域”和“能力”。其中,過程域指的是在完成一個子任務過程中,所需要完成的一系列工程實踐,過程域指又可以被分為三個部分,即工程過程域、組織過程域和項目過程域。其中,組織過程域和項目過程域與系統安全沒有直接關聯,因此,二者不是模型的組成部分。模型為每個過程域均定義了一組確定的基本實踐(BP),在子任務的完成過程中,每個基本實踐都必不可少。另外,能力維指的是實踐代表過程管理和制度化能力,其又可以被稱為通用實踐(GP)。通用實踐的主要作用是對每個級別的共同特性(CF)進行描述,即每個級別的判定反映為一組共同特性。通用實踐是應用于所有過程的活動,通用實踐的重點是對過程進行度量和管理。應用通用實踐描述共同特性的邏輯區域可以被被劃分5個能力級別,
3信息系統風險的特征
信息系統的投資比較大,建設周期長,影響因素較多,因此,信息系統所面臨的風險種類也比較多,并且不同風險之間的關系錯綜復雜。通過對大中型信息系統進行調查分析發現,信息系統風險的特征主要體現在以下幾點:客觀性和不確定性。在信息系統的實際應用中,信息系統風險客觀存在,因此,在整個信息系統生命周期中,風險因素無處不在,但是有具有明顯的不確定特征,風險事件的客觀體現指的是隨著客觀條件的變化,所造成的不確定性。在信息系統的實際運行過程中,各類不確定因素的伴隨物即為信息系統風險。多層次性和多樣性。信息系統風險包包括多種層次風險,包括物理安全風險、邏輯安全風險等等,其中,物理安全風險是由周界控制、區域訪問控制以及區內設施安全等所組成的,安全管理內容包括人員管理、系統管理、應急管理等,信息系統風險的種類也具有可變性和動態性特征,隨著信息技術的發展,信息系統風險也逐漸呈動態性和可變性特征。在信息系統實際運行過程中,對于有些風險因素,由于采取了有效措施,因此風險得以消除,而對于有些風險因素,由于沒有采取有效的消除措施,因此風險逐漸成為主要風險。可測性。系統安全風險的本質是不確定性,在各類風險因素中,任何風險的發生都是多個風險因素共同作用所造成的,也有個別風險因素的發生是偶然事件,但是,通過對大量風險發生事件進行統計和分析發現,風險時間的發生具有一定的運動規律。對于風險時間的發生概率以及其所造成,可以采用多種風險分析方式進行計算,并對可能發生的風險進行預測分析,從而為防范決策提供重要依據。由于信息系統風險具有多層次以及多樣性特征,因此,安全防范難度較大,對此,一般采用防火墻技術進行安全管理。另外,由于信息系統風險具有多層次以及動態性特征,因此,很難構建覆蓋全部安全問題的安全防控體系,綜合考慮安全投入成本以及被保護資產價值,必須構建合適的安全準則。通過上述分析可見,信息系統風險復雜程度比較高,并且系統風險的涉及面比較廣泛,因此,在信息系統整個生命周期中,都必須加強風險評估和管理,對此,應該在模型的指導下來保證信SSE-CMM息系統的安全。
4信息風險評估模型
信息風險評估的過程指的是,對信息系統資產所面對的各類風險因素進行分析,并對安全控制措施進行研究,從而準確識別系統風險因素,并對各類風險因素進行評價。從系統風險管理角度出發,系統風險管理過程值得是對信息系統安全風險進行控制、降低以及消除的過程,在此過程中,需要對網絡與信息系統中所面臨的風險因素進行準確識別,并采取有效的控制措施。在對安全事件進行評估過程中,如果發現風險因素可能會產生的危害事件,則應該立即提出相應的低于威脅防護措施,對安全風險進行化解,或者采取有效的防范措施,將信息安全風險控制在一定范圍內,從而有效保障網絡安全以及信息安全。在進行信息風險評估過程中,需要注意以下幾點:①準確識別被評估信息資產,并對其估價;②對網絡弱點進行檢測,評估資產脆弱性;③獲取系統各對象信息,并詳細列出資產威脅;④識別當前安全控制;⑤綜合考慮脆弱性和威脅的嚴重程度,對資產的重要性進行計算分析。風險事件因素對于信息系統的影響程度具有模糊性特征,因此,對于安全風險,可以將其描述為關于威脅和這種威脅后果的一個函數,通過對其進行定量分析,能夠估算出風險時間發生后對于系統安全性的影響程度,同時還能夠將將復雜的思維決策過程模型化、數量化。系統所有者在系統的實際應用過程中,可以結合項目實際情況,在資產風險評估過程中,對資產、威脅和脆弱性等各因素所占權重進行計算,并賦予其相應的權向量:A=(r1,r2,r3,…,ri),其中,其中ri指的是判斷矩陣相應因素。aij=rij/nk=1Σrkj(i=1,2,…,n)(1)由公式(1)再按行求和:c軃i=nj=1Σrkj(i=1,2,…,n)(2)通過公式(2)可得:ci=c軃ini=1Σc軃i(i=1,2,…,n)(3)其中,c指的是所求的特征向量,具體而言其指的是對應i個因素的相對重要程度,即權重系數,如果c越高,則說明風險越大,系統安全工程的安全程度比較低。因此,可以根據以上公式,計算出風險評估量化分析結果,并對系統中的各類風險因素進行建模分析,從而計算得出各類風險權重,并以此為依據,對信息風險評估以及系統安全策略的制定提供重要的參考依據。
5結語
綜上所述,在信息系統的建設過程中,加強安全工程管理至關重要,現如今已經逐漸引起社會各界的廣泛關注,而我國信息系統風險評估研究起步比較晚,定量評估模型依然處于探索階段。為了有效保障保障信息系統的安全性,應該采用SSE-CMM模型作為安全指導思想,通過對風險因素進行全過程、全方位的分析,能夠有效解決信息系統安全的動態性和廣泛性問題。本文主要對SSE-CMM模型進行了詳細分析,SSE-CMM模型屬于理論指導模型,可以用在信息系統的效益分析、系統可靠性分析等方面,所以具有較大的推廣價值,但是需要注意的是,在其實際應用中,還應該綜合考慮不同性質的信息系統,采取不同的實施方案。
參考文獻
[1]吳峰,賁可榮.系統安全測試能力成熟度模型框架研究[J].計算機與數字工程,2011,39(2):128~132.
[2]李燦,周春雷,華斌,等.信息系統應用成熟度評價模型[J].華東電力,2014,42(11):2428~2431.
網絡安全成熟度評估范文第5篇
關鍵詞: 電力系統;計算機網絡;安全性;維護
中圖分類號:TP32文獻標識碼:A
前言
計算機網絡系統,就是利用通訊設備和線路將地理位置不同的、功能獨立的多個計算機系統互連起來,以功能完善的網絡軟件(網絡通信協議、信息交換方式及網絡操作系統等)實現網絡中資源共享和信息傳遞的系統。它的主要功能表現在兩個方面:一是實現資源共享,包括硬件資源和軟件資源的共享;二是在用戶之間交換信息。隨著計算機的廣泛應用和網絡的流行,目前電力系統企業員工的很多日常工作(包括生產MIS、OA、電力營銷、視頻監控、集群錄音等各種系統)已經與網絡密不可分,但由于各單位、各部門之間的計算機網絡硬件設備與操作系統千差萬別,應用水平也參差不齊。
1計算機網絡在電力系統的應用現狀
計算機網絡的應用,擴大了管理范圍,大大提高了員工的工作效率,但計算機系統網絡安全問題也隨之變得更加嚴重。例如:計算機病毒通過電子郵件感染并傳播;管理網絡互聯接口的防火墻只配置了包過濾規則,提供的安全保證很低,容易受到基于IP欺騙的攻擊,泄露企業機密;部分局域網沒有進行虛擬網絡VLAN劃分和管理,造成網絡阻塞,使工作效率減低;絕大多數操作系統是非正版軟件,或網上下載的免費軟件,不能夠做到及時補丁(PATCH)更新,造成系統漏洞,給攻擊者進行木馬攻擊留下后門;絕大多數工作站沒有關閉不必要的通訊端口,使得計算機易遭受遠程攻擊、病毒入侵等等。
2計算機網絡在電力系統的應用意義
電力系統企業管理人員能夠通過計算機網絡在企業本部辦公室了解分散在全國各地項目部的財務報表、工程進度、工程質量、工程中存在的問題等信息;在企業本部計算機網絡會議系統中獲取分散在全國各地項目部的項目資料,與其他管理人員進行研討,商量出解決問題的辦法。電力系統企業擔負的電網建設任務決定了電力企業要使用計算機網絡,它能將分散的電網設施連接成一個整體,同時能將分散在各地的員工連接成一個整體并能將管理范圍縮小。利用計算機網絡,企業可以發揮每一個員工的積極性,是企業與每個員工聯系的平臺。管理者的決策要依賴企業員工直接提供的素材,計算機網絡能將企業員工提供的大量素材直接呈現至領導者面前。計算機網絡的應用為電力系統企業提供了現代化的管理手段,從而提高電力系統企業經濟效益。
3電力系統信息安全防護應對策略
3.1做好電力系統安全風險的評估
開展電力系統企業信息安全建設,首先必須做好安全狀況評估分析。評估應聘請專業權威的信息安全咨詢機構,并組織企業內部信息人員和專業人員深度參與,全面進行信息安全風險評估,發現問題、明確需求、制定策略后開展實施工作,實施完成后還要定期評估和改進。信息安全系統建設著重點在安全和穩定,應盡量采用成熟的技術和產品,不能過分求全求新。
3.2采用信息安全新技術,建立信息安全防護體系
電力系統企業信息安全面臨的問題很多,應該根據安全需求的輕重緩急,解決相關安全問題,根據信息安全技術的成熟度進行綜合分析判斷,采取分步實施。技術成熟的,能快速見效的電力安全系統先行實施。
3.3計算機病毒防范
目前防病毒軟件主要分為單機版和網絡版兩種。隨著網絡技術的快速發展,網絡病毒的危害越來越大,因此,必須將電力系統內各臺計算機加裝防病毒軟件,并且要及時更新防病毒軟件的病毒庫版本,建議采用單機版、網絡版防病毒軟件及其他防護手段相結合的綜合病毒防范體系。單機版防病毒軟件安裝在單機工作站上,保護工作站免受病毒侵擾。病毒防火墻安裝在網關處,對出入網關的數據包進行檢查,及時發現并殺死企圖進入內網的網絡病毒。網絡版防病毒軟件管控中心安裝在網絡服務器上,用戶安裝網絡版防病毒軟件客戶端,每臺客戶端都能實施連接管控中心服務器,管控中心可以對客戶端下發安全防護策略、升級客戶端病毒庫,從而全面監控整個網絡的病毒情況。
3.4優化安全設備配置策略
通過信息檢測、攻擊檢測、網絡安全性分析和操作系統安全性分析等一系列配置,對黑客進行監控。利用防火墻可以阻斷非法的數據包,屏蔽針對網絡的非法攻擊,阻斷黑客入侵。一般情況下,防火墻設置會導致信息傳輸的明顯延時。因此,在需要考慮實時性要求的電力系統,建議采用實時系統專用的防火墻組件,以降低電力系統通用防火墻軟件延時帶來的影響。
3.5監視網絡流量和進行非授權使用檢測
通過對網絡流量采樣.來實時地監視網絡流量和進行非授權使用檢測。同時,可以通過封鎖網絡訪問或終止非法對話來主動響應非法活動。
3.6物理鏈路上的隔離
電力系統重要網絡采用物理隔離的方法保證其安全性。物理隔離是在物理鏈路上進行隔離,是一種最安全的防護技術。大體可分成單機物理隔離、隔離集線器和網際物理隔離三類。單機物理隔離:分為內置隔離卡和外置隔離器。隔離卡安裝在機器內部,安裝和使用比較麻煩,切換內外網時需要重新啟動,但安全性最高。隔離卡又分為單硬盤物理隔離卡和雙硬盤物理隔離卡。隔離器是外置設備,安裝很簡單,使用起來十分方便,缺點是安全性不如隔離卡高。電力系統隔離集線器不需要改變布線結構,單網線到桌面。可以同時接入多個工作站,使用方便。網際物理隔離:電力系統物理隔離器可以完成外網信息的搜集、轉發和內網三個工作環節,在轉發的過程中需要重新啟動隔離傳送器。適合實時性要求不高的部門的外網接口處。
3.7信息安全人才培養
加強信息安全管理工作的重點是培養信息安全專門人才,人才培養和必須與電力系統信息安全防護系統建設同步進行,才能真正發揮電力系統的信息安全防護系統和設備的作用。
4電力系統計算機網絡的維護
4.1維護工作內容
計算機網絡維護工作內容包括:設備、鏈路、電源和配線架等附屬設備的維護。具體要求包括:
1)保證設備工作條件,包括供電條件和環境條件等。
2)對系統故障進行判斷和處理,根據故障現象和告警指示,利用網管及各種測試工具進行故障定位,找出故障原因,在最短時間內排除故障。3)通常采用集中維護方式,將維護人員和必要的維護儀表集中在一個主要站。
4)經常檢查交換機與路由器中的端口狀態,尤其需要關注端口差錯統計信息,對于出錯包特別多的端口,應該檢查其是交換機或路由器本身的、鏈路的原因,還是接入設備的原因。交換機或路由器主要查CPU利用率和MEM利用率,接入設備若是計算機,則主要看網卡的設置是否正確、網卡的驅動程序是否和網卡匹配,查出原因后進行整改,檢查完后對端口統計信息清零。
5)鏈路若是光纜,則主要檢查現有衰耗和投運時的衰耗差,鏈路是網線則用專用儀器進行現場測試,光纖不允許小角度彎折,更不能出現直角。
6)網管監控系統和本地維護終端用的計算機是專用設備,禁止挪用,以免病毒侵害.
4.2對維護人員的要求
1)對運行中的網絡設備在進行變更設置的操作時,必須有兩人同時在場方可進行,一人操作,一人監護,并做好如何在操作失敗而導致網絡設備異常的情況下的處理預案,履行必要手續。
2)處理光接口信號時,不得將光發送器的尾纖端面或上面活動連接器的端面對著眼睛,并注意尾纖端面和連接器的清潔。
3)熟練掌握所維護的設備的基本操作。
4)做好設備的日常巡視工作。
結語
計算機網絡在電力系統現代化企業管理中正在發揮著積極的作用。同時計算機網絡在電力系統的安全防護形勢越來越嚴峻,電力企業面臨的困難和挑戰還很多,工作任重而道遠,值得電力系統管理者和全體員工一起積極探索,不斷發展和完善。
參考文獻
【1】周軍輝,胡湘任.校園網IPv4向IPv6過渡技術的研究【J】.大眾科技.2008.7:30-31.
