序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇安全信息評估，期待它們能激發您的靈感。

篇1

【關鍵詞】電力企業；信息安全；風險防御

和諧社會的發展是政治、經濟、文化、社會和生態多方面合力的結果，科技的進步使得電力企業意識到亟需盡快的對電力系統進行革新，從計劃經濟到市場經濟體制的改革中，電力企業為了適應這樣的變化，加強了對管理體制的合理改變和生產效率的大步提高，拉開了電力系統改革的序幕。安全的信息網絡系統的構建是電力企業發展改革過程中至關重要的一個環節，有效的將電力企業的信息安全系統與其管理和考核進行有機結合，更好的服務于電力企業的生產、經營和管理，電力企業安全信息系統風險評估與防御也就成為了電力企業在經濟全球化進程中亟待重視的問題所在。

1 電力企業安全信息系統風險評估

1.1 企業規模發展迅速，信息網絡安全意識淡薄

電力資源是我們社會生活中必不可少的一部分，電力企業在相對壟斷的情況下，發展極其迅速，但在這樣的過程中，我們可以看到，大多數電力企業僅僅對基礎設施和簡單的網絡構建有著重視力度，卻沒有對安全信息系統的風險認識足夠，這種情況下必然產生了諸如網絡安全防御意識差，對網絡信息安全防范的資金投入不足等不良情況的出現。企業規模越來越大，對企業安全信息系統的維護資金投入卻并不高，網絡安全技術沒能及時加強，電力企業也就不能很好的抵御網絡風險，對網絡入侵也顯得無所適從。

1.2 信息化安全資金投入少，管理機制有待完善

電力企業對安全信息網絡的建設的重視并不充分，有些電力企業在管理過程中對信息管理部門完全忽視，只是將企業的網絡信息安全的管理安排給幾個技術員或掛靠到生產技術部門，電力企業作為高盈利企業卻對信息安全資金投入并不充分，信息化管理制度也很不健全。電力企業安全信息機制的構建是個長期的系統工程，我們必須注意到構建專門的信息化部門的重要性，才能在激烈的市場競爭中使得電力企業更好的滿足其發展體制對信息化管理的需求。

2 電力企業安全信息系統的主要問題

2.1 信息安全化管理未分區

國家電力管理委員會出臺的5號規定，對電網企業、發電企業、供電企業等電力相關企業做出了有關其信息安全網絡業務系統構建的明確規定，將這些企業的計算機和網絡技術系統大致分為了管理信息的部分以及生產控制的區域。信息管理區域可以依托各個企業不同的經營管理模式對安全區進行劃分，而生產控制區域一般來說應該由可控制區和非可控區兩大部分構成。在這樣兩個大的區域之間，電力企業必須在國家電力監測認定部門的監督下安裝電力生產專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個標準對電力企業網絡系統進行管理，就經常會出現企業管理信息大區部分網絡直接可以對生產控制區域的數據進行訪問，出現網絡安全事件，影響電力企業的安全生產和發展。

2.2 網絡端口接點存在風險

互聯網技術的革新的步伐越來越快，企業的網絡系統安全建設卻并不牢靠，在部分環節仍然十分脆弱，在電力企業的信息安全網絡建設中， Web程序漏洞、系統漏洞不斷出現，對病毒的侵入無力抵抗，為黑客、病毒制造者提供了入侵的機會，這些信息安全威脅的發生可能會引起電力企業網絡安全系統的癱瘓和網絡故障，為企業造成了這些安全威脅使得企業利益造成了巨大的損失。在最近的一項調查數據中顯示，電力企業中遭受到的網絡安全信息系統威脅中約有70%是由于網絡系統內部的危險侵襲。這種危害的可能發現于諸多方面：對于敏感數據的濫用，對于內部員工的信息監管不力使得信息泄露都提升了企業的運行風險。

2.3 互聯網病毒的侵害

從口語傳播時代到印刷傳播時代，直至現在的網絡傳播時代，互聯網的高速發展使得網絡病毒也迅速得以傳播和擴散。諸多的電力企業網絡內外相連，覆蓋范圍相當廣泛，網絡病毒經常可以有機可乘，牽一發而動全身，從一臺電腦的病毒侵害到整個電力網絡系統，造成網絡通信的阻塞，使得整個系統中的文件和關鍵數據得不到完整的保存，造成不可預計的后果。

2.4 信息安全人員防范意識較低

電力企業信息防范人員對信息安全應用系統的管理是保障信息網絡安全系統的重要一部分。數據庫操作系統的規劃和防范都離不開信息安全人員的有力防范，但在如今的電力企業信息安全系統的管理過程中，相關人員防范意識低下的情況屢屢發生，由此引發的網絡安全漏洞泄露了電力企業機密信息，造成了很大的安全隱患，使企業遭受安全沖擊。用戶的網絡安全防范意識低下是現如今網絡安全的通病，大多數的用戶都認為網絡自身有著一定的自我安全防范意識，對電腦提示的病毒預警視而不見，電力企業中也沒有很好的避免這一點，部分工作人員重技術輕管理，網絡安全信息管理機制的不完善，也給企業的網絡帶來了十分大的管理風險，這就迫切的要求應該對網絡的安全機制進行完善，也應該主動自高工作人員自身的安全防范意識。

3 電力企業安全信息系統風險防御

3.1 防火墻技術的運用

防火墻技術是現今社會經常用于互聯網風險防御的重要手段之一，多用于將可信任網絡和非信任網絡之間相隔開來。電力企業的生產經營和管理的過程中的運行調度中都應該加強在安全檢查中對網絡節點的關注，限制對含帶危險信息的領域的訪問。電力企業在生產經營、分散控制和運行調度的過程中對防火墻技術的運用有效的將信息的采集、整合和應用都限制在可掌控的范圍內，在不同的權限內最大限度的合理的運用著相關資源。

3.2 網絡病毒侵襲的防護

電力企業關系著國家重要電力資源的開發和應用，為了保護電力資源的安全，必須要從內到外的構建起全方位的網絡病毒防侵害系統，更好的對來自于各個方面的病毒信息進行防護。只有提高了企業的整體安全性，在互聯網和周邊的局域網內都安裝好防病毒侵襲的安全網關和內置的病毒防護軟件，才能使得電力企業免受網絡病毒的侵襲，各個方面的數據得以安全與穩定的保存。

在電力企業的網絡準入控制系統中，對接入點客戶的安全策略檢測和身份認證都是必不可少的，若不能通過檢測的用戶應該被嚴令禁止在網絡之外進行隔離。無論是無線用戶還是有限用戶，都將面對互聯網訪問客戶端從驗證、授權到阻止未授權的計算機網絡資源的過程，只有在一系列的檢測中得到審核通過才可以拿到進入內部網絡的通行證，網絡病毒越來越厲害，愈發侵入性越強，對此，電力企業對客戶端主機應該進行更加嚴密的考察，不間斷的對病毒特征信息庫進行更新，維護好網絡的完整和安全性。

3.3 虛擬網的數據備份技術

互聯網技術的網絡拓撲結構設置，加之很好的利用交換機、路由器等功能設置，可以使網絡管理員將任何一個相關局域網內的一些網段結合起來，組成一個局域網。在這個局域網里的信息傳遞速度更加迅速，傳播速度的加快使得網絡信息安全生產過程中的管理效率得到提高，使得電力企業的數據被竊聽的可能性不斷的降低。與此同時，現在電力企業在大多數情況下都會對重要的資料進行數據庫的備份工作，這樣構建起對電力企業信息網絡安全系統的應急預案，可以在出現網絡侵襲時及時的對關鍵業務和應用程序進行保護，確保核心數據系統在出現損害時，企業核心安全得到保護。

3.4 終端設備的網絡準入控制技術

可采用基于網關認證的硬件控制技術，實現對通過無線網絡、有線網絡、VPN網絡、wifi網絡等方式連接的設備進行接入控制。同時，采用“報備重定向+注冊重定向”的雙重認證保護技術，對非法接入的終端設備進行強制重定向安全檢查。對不符合安全等級要求的終端設備，可根據系統策略限制用戶接入網絡或將其訪問限制在隔離區。

網絡準入控制技術應以細致、準確、迅速為原則，對網絡資源訪問進行控制，尤其是一些核心的網絡應用，包括C/S、B/S以及服務器應用；以精益化的客戶端聯動管理為核心，基于多種授權方式，包括單用戶授權、用戶組授權、白名單授權等方式，實現對未受控客戶端實施不同用戶級別的可靠便捷的接入控制。

4 結論

電力企業的安全信息系統是電力企業信息化管理的重要內容之一，有效的對電力企業安全信息系統將要面臨的風險進行評估并且提出切實可行的防御措施，是保障電力企業現代化管理的有力手段。隨著近些年來互聯網技術的增強，電力企業的安全系統構建也愈發的完善，為電力企業的良性循環運行提供了必要的技術支持和保障，因此，我們應該重視對互聯網信息的保護，防御病毒的侵害，為為電力企業的安全信息系統的正常運行營造起安全的網絡環境。

參考文獻：

[1]陳偉.電力系統網絡安全體系研究[J].電力系統通信，2008（01）.

[2]牟奕欣.關于電力系統的網絡安全的探討[J].中國經貿，2010（14）.

篇2

【關鍵詞】信息安全；評估；標準；對策

保證信息安全不發生外泄現象，是至關重要的?？墒?，現在我國信息安全保障和其它先進國家相比，仍難望其項背，還有不少問題迫切需要我們著手解決：

中國保證信息安全工作經歷了三個時期。第一時期是不用聯網，只作用于單一電腦的查殺和防控病毒軟件；第二個時期是獨立的防止病毒產品向為保證信息安全采用的成套裝備過渡時期；第三個時期是建設保證信息安全的系統時期。

1 需要解決與注意的問題

信息安全保障的內容和深度不斷得到擴展和加深，但依然存在著“頭痛醫頭，腳痛醫腳”的片面性，沒有從系統工程的角度來考慮和對待信息安全保障問題；信息安全保障問題的解決既不能只依靠純粹的技術，也不能靠簡單的安全產品的堆砌，它要依賴于復雜的系統工程、信息安全工程（system security engineering）；信息安全就是人們把利用工程的理論、定義、辦法和技術進行信息安全的開發實施與維護的經過，是把通過歲月檢驗證明沒有錯誤的工程實施步驟管理技術和當前能夠得到的最好的技術方法相結合的過程；由于國家8個重點信息系統和3個重點基礎網絡本身均為復雜的大型信息系統，因此必須采用系統化方法對其信息安全保障的效果和長效性進行評估。

2 安全檢測標準

2.1 CC 標準

1993年6月，美國、加拿大及歐洲四國協商共同起草了《信息技術安全評估公共標準CCITSE（commoncriteria of information technical securityevaluation）》，簡稱 CC，它是國際標準化組織統一現有多種準則的結果。CC標準，一方面可以支持產品（最終已在系統中安裝的產品）中安全特征的技術性要求評估，另一方面描述了用戶對安全性的技術需求。然而，CC 沒有包括對物理安全、行政管理措施、密碼機制等方面的評估，且未能體現動態的安全要求。因此，CC標準主要還是一套技術性標準。

2.2 BS 7799標準

BS 7799標準是由英國標準協會（BSI）制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，包括：BS 7799-1∶1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則；BS7799-2∶2002 以 BS 7799-1∶1999為指南，詳細說明按照 PDCA 模型，建立、實施及文件化信息安全管理體系（ISMS）的要求。

2.3 SSE-CMM 標準

SSE-CMM（System Security EngineeringCapability Maturity Model）模型是 CMM 在系統安全工程這個具體領域應用而產生的一個分支，是美國國家安全局（NSA）領導開發的，它專門用于系統安全工程的能力成熟度模型。

3 網絡安全框架考察的項目

對網絡安全進行考察的項目包括：限制訪問以及網絡審核記錄：對網絡涉及的區域進行有效訪問控制；對網絡實施入侵檢測和漏洞評估；進行網絡日志審計并統一日志時間基準線；網絡框架：設計適宜的拓撲結構；合乎系統需求的區域分界；對無線網接入方式進行選擇方式；對周邊網絡接入進行安全控制和冗余設計；對網絡流量進行監控和管理；對網絡設備和鏈路進行冗余設計；網絡安全管理：采用安全的網絡管理協議；建立網絡安全事件響應體系；對網絡設備進行安全管理。網絡設備是否進行了安全配置，并且驗證設備沒有已知的漏洞等。對網絡設置密碼：在網絡運輸過程中可以根據其特點對數字設置密碼；在認證設備時對比較敏感的信息進行加密。

4 安全信息檢測辦法

4.1 調整材料和訪問

調整材料和訪問是對安全信息檢測的手段。評估人員首先通過對信息系統的網絡拓撲圖、安全運作記錄、相關的管理制度、規范、技術文檔、歷史事件、日志等的研究和剖析，從更高的層次上發現網絡系統中存在的安全脆弱性。并找準信息資產體現為一個業務流時所流經的網絡節點，查看關鍵網絡節點的設備安全策略是否得當，利用技術手段驗證安全策略是否有效。評估專家經驗在安全顧問咨詢服務中處于不可替代的關鍵地位。通過對客戶訪談、技術資料進行分析，分析設備的安全性能，而且注意把自己的實際體會納入網絡安全的檢測中。

4.2 工具發現

工具發現是利用掃描器掃描設備上的缺陷，發現危險的地方和錯誤的配置。利用檢測掃描數據庫、應用程序和主機，利用已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網絡協議、網絡服務、網絡設備、應用系統等各主機設備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識庫的網絡安全掃描工具對信息資產進行基于網絡層面安全掃描，其特點是能對被評估目標進行覆蓋面廣泛的安全漏洞查找，并且評估環境與被評估對象在線運行的環境完全一致，從而把主機、應用系統、網絡設備中存在的不利于安全的因素恰切地展現出來。

4.3 滲透評估

滲透評估是為了讓使用的人員能夠知道網絡當前存在的危險以及會產生的后果，從而進行預防。滲透評估的關鍵是經過辨別業務產業，搭配一定手段進行探測，判斷可能存在的攻擊路徑，并且利用技術手段技術實現。由于滲透測試偏重于黑盒測試，因此可能對被測試目標造成不可預知的風險；此外對于性能比較敏感的測試目標，如一些實時性要求比較高的系統，由于滲透測試的某些手段可能引起網絡流量的增加，因此可能會引起被測試目標的服務質量降低。由于中國電信運營商的網絡規范龐大，因此在滲透測試的難度也較大。因此，滲透層次上既包括了網絡層的滲透測試，也包括了系統層的滲透測試及應用層的滲透測試。合法滲透測試的一般流程為兩大步驟，即預攻擊探測階段、驗證攻擊階段、滲透實施階段。不涉及安裝后門、遠程控制等活動。

我國信息安全要想得到保證，需要有一定的信息安全監測辦法。依靠信息安全監測辦法對中國業務系統和信息系統整體分析和多方面衡量，將對中國信息安全結論的量化提供強有力的幫助，給我國所做出的重要決策實行保密，對中國籌劃安全信息建設以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術，都至關重要。因而，制定我國信息安全檢測辦法，是一項不容忽視的重要工作。

【參考文獻】

[1]曹一家，姚歡，黃小慶，等.基于D-S證據理論的變電站通信系統信息安全評估[J].電力自動化設備，2011，31（6）：1-5.

[2]焦波，李輝，黃東，等.基于變權證據合成的信息安全評估[J].計算機工程，2012，38（21）：126-128，132.

[3]張海霞，連一峰.基于測試床模擬的通用安全評估框架[J].信息網絡安全，2013，（z1）：13-16.

篇3

關鍵詞：信息安全；風險評估；脆弱性；威脅

1. 引言

隨著信息技術的飛速發展，關系國計民生的關鍵信息資源的規模越來越大，信息系統的復雜程度越來越高，保障信息資源、信息系統的安全是國民經濟發展和信息化建設的需要。信息安全的目標主要體現在機密性、完整性、可用性等方面。風險評估是安全建設的出發點，它的重要意義在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案的制定，以成本一效益平衡的原則，通過評估信息系統面臨的威脅以及脆弱性被威脅源利用后安全事件發生的可能性，并結合資產的重要程度來識別信息系統的安全風險。信息安全風險評估就是從風險管理角度，運用科學的分析方法和手段，系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，以防范和化解風險，或者將殘余風險控制在可接受的水平，從而最大限度地保障網絡與信息安全。

2．網絡信息安全的內容和主要因素分析

“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全，而從廣義的角度考慮，還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。

網絡信息安全具有如下6個特征：（1）　保密性。即信息不泄露給非授權的個人或實體。（2）完整性。即信息未經授權不能被修改、破壞。（3）可用性。即能保證合法的用戶正常訪問相關的信息。（4）可控性。即信息的內容及傳播過程能夠被有效地合法控制。（5）可審查性。即信息的使用過程都有相關的記錄可供事后查詢核對。網絡信息安全的研究內容非常廣泛，根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。

而通過有效的網絡信息安全風險因素分析，就能夠為此復雜問題的解決找到一個考慮問題的立足點，能夠將復雜的問題量化，同時，也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎。

網絡信息安全的風險因素主要有以下6大類：（1）自然界因素，如地震、火災、風災、水災、雷電等；（2）社會因素，主要是人類社會的各種活動，如暴力、戰爭、盜竊等；（3）網絡硬件的因素，如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響；（4）軟件的因素，包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等；（5）人為的因素，主要包括網絡信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等；（6）其他因素，包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。

3．安全風險評估方法

3.1　定制個性化的評估方法

雖然已經有許多標準評估方法和流程，但在實踐過程中，不應只是這些方法的套用和拷貝，而是以他們作為參考，根據企業的特點及安全風險評估的能力，進行“基因”重組，定制個性化的評估方法，使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網絡結構評估、脆弱性掃描、策略評估、應用風險評估等。

3.2　安全整體框架的設計

風險評估的目的，不僅在于明確風險，更重要的是為管理風險提供基礎和依據。作為評估直接輸出，用于進行風險管理的安全整體框架。但是由于不同企業環境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應用較少。但是，企業至少應該完成近期　1～2　年內框架，這樣才能做到有律可依。

3.3　多用戶決策評估

不同層面的用戶能看到不同的問題，要全面了解風險，必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程，對于了解風險、理解風險、管理風險、落實行動，具有極大的意義。事實證明，多用戶參與的效果非常明顯。多用戶“決策”評估，也需要一個具體的流程和方法。

3.4　敏感性分析

由于企業的系統越發復雜且互相關聯，使得風險越來越隱蔽。要提高評估效果，必須進行深入關聯分析，比如對一個老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關的其他技術和管理漏洞，找出病“根”，開出有效的“處方”。這需要強大的評估經驗知識庫支撐，同時要求評估者具有敏銳的分析能力。

3.5　集中化決策管理

安全風險評估需要具有多種知識和能力的人參與，對這些能力和知識的管理，有助于提高評估的效果。集中化決策管理，是評估項目成功的保障條件之一，它不僅是項目管理問題，而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人，去執行相應的關鍵任務。如控制臺審計和滲透性測試，由不具備攻防經驗和知識的人執行，就達不到任何效果。

3.6　評估結果管理

安全風險評估的輸出，不應是文檔的堆砌，而是一套能夠進行記錄、管理的系統。它可能不是一個完整的風險管理系統，但至少是一個非常重要的可管理的風險表述系統。企業需要這樣的評估管理系統，使用它來指導評估過程，管理評估結果，以便在管理層面提高評估效果。

4．風險評估的過程

4.1　前期準備階段

主要任務是明確評估目標，確定評估所涉及的業務范圍，簽署相關合同及協議，接收被評估對象已存在的相關資料。展開對被評估對象的調查研究工作。

4.2　中期現場階段

編寫測評方案，準備現場測試表、管理問卷，展開現場階段的測試和調查研究階段。

4.3　后期評估階段

撰寫系統測試報告。進行補充調查研究，評估組依據系統測試報告和補充調研結果形成最終的系統風險評估報告。

5．風險評估的錯誤理解

（1）　不能把最終的系統風險評估報告認為是結果唯一。

（2）不能認為風險評估可以發現所有的安全問題。

（3）　不能認為風險評估可以一勞永逸的解決安全問題。

（4）不能認為風險評估就是漏洞掃描。

（5）不能認為風險評估就是　IT部門的工作，與其它部門無關。

（6）　不能認為風險評估是對所有信息資產都進行評估。

6．結語

總之，風險評估可以明確信息系統的安全狀況和主要安全風險。風險評估是信息系統安全技術體系與管理體系建設的基礎。通過風險評估及早發現安全隱患并采取相應的加固方案是信息系統安全工程的重要組成部分，是建立信息系統安全體系的基礎和前提。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求，但是，信息安全評估工作的實施也存在一定的難題，涉及信息安全評估的行業或系統各不相同，并不是所有的評估方法都適用于任何一個行業，要選擇合適的評估方法，或開發適合于某一特定行業或系統的特定評估方法，是當前很現實的問題，也會成為下一步研究的重點。

參考文獻：

[1] 剛 , 吳昌倫. 信息安全風險評估的策劃[J]. 信息技術與標準化 , 2004,(09)

[2] 賈穎禾. 信息安全風險評估[J]. 中國計算機用戶 , 2004,(24)

[3] 楊潔. 層次化的企業信息系統風險分析方法研究[J]. 軟件導刊 , 2007,(03)

[4] 楊晨. 建立健全信息安全風險評估工作機制勢在必行——信息安全專家趙戰生訪談[J]. 當代通信 , 2004,(22)

篇4

10月8日，美國眾議院情報委員會報告稱，總部設在中國深圳的華為和中興通訊，有可能對美國國家安全構成威脅，并建議美國禁止兩家公司在美展開業務。此后1個多月時間里，相關各方展開激烈的論辯沖撞，至今尚未有最終結論。

隨著此事的進一步發酵，一場關于中國信息安全的反思也悄然漸起。通過美國立法、政府部門與企業在此事中的種種作為，行業人士認為，中國信息安全亦處于威脅中，且需要從制度、監管等各個環節進行調整。

美國之鑒

“華為中興在美國受到調查的事件教育了我們，要重新調查技術標準、法律法規，以及監管機構和電信運營商在網絡信息安全中的角色和作用，建立起安全的防護墻?！?1月14日，電信專家陳金橋向《財經國家周刊》記者表示。

在這一事件爆發后，多個領域的專家，一直對于中美兩國公司在對方市場受到的不對等待遇表示不滿。外界普遍認為，此次調查的主要推動力并不是美國政府，而更多是在大選年背景下，思科等公司與一些政客假國家信息安全之名，蓄謀打擊競爭對手的手段。

但不論如何，在此過程中，美國從調查、立法到政府介入的各個環節，都已經形成一個通暢的體系，這值得中國借鑒。

“比如，美國對中興與華為的調查，并不是政府進行的，而是眾議院下屬的情報委員會?！币晃簧疃葏⑴c此次事件的設備廠商人士說，“這份報告本身沒有任何的法律約束力，但如果報告通過議會，則可能迅速演變為立法，從而形成一個堅固壁壘?！?/p>

與之對應的是，中國對外資廠商的信息安全監管卻并未在立法層面建立類似的機制。這就導致在面臨信息安全威脅或國際摩擦時，政府干預會破壞規則或被人指責，不干預則無法形成有效的防范或對抗，從而陷入兩難的困局。

就此，多位接受采訪的專家建議，中國應考慮效法美國，在人大下設常態化的外國投資審查委員會，并對相關企業進行審查監督。

與此同時，基礎網絡建設層面相關法規的缺失，也導致中國網絡安全無法得到充分保障。雖然早在2003年，中國就出臺第一部信息安全綱領性文件《關于加強信息安全保障工作的意見》（中辦發[2003]27號文），但直到現在，信息安全依然缺少一個完整保障信息安全的法律體系。

《財經國家周刊》從工信部獲悉，工信部信息安全協調司經過2011年的專項調研，已于2012年上半年曾形成相關報告。報告表示，僅在涉及個人信息保護方面，相關法規條文就已經眾多，其中涉及個人信息保護的法律有將近40部、最高人民法院出臺10條個人信息保護相關的司法解釋、國務院的有關個人信息保護的法規約有30部、而各大部委頒布的相關部門條例、管理辦法、規定，更是多達近200部，這還不包括各省級以下政府頒布的區域性政策和規定。

然而，這些文件大多是針對具體問題，在總體上，個人信息保護領域的法律法規，卻仍然不成體系，對基礎網絡建設信息安全領域保護，更是缺少明確的、體系化的法律文本。

《財經國家周刊》從工業和信息化部（下稱“工信部”）相關部門獲得的資料表明，工信部2011年已經啟動信息保護立法調研和研究工作，并約談了包括百度、騰訊等諸多互聯網公司。

監管調整

降了立法層面之外，專家也建議，中國應建立更加立體化的國家網絡信息安全評估保障機制。

一位資深行業人士說，中國一直沒有真正著手信息安全體系，更多是由于歷史原因。

“就最基礎的通信設備和網絡設備來說，中國最早是沒有自己的工業基礎的，在上個世紀90年代以前，基本上都是依賴進口，而且在早期我們還處于大發展階段，每年都需要興建大量的網絡，在那個階段，對系統設備的要求基本上只有最低的要求：能用就行?！痹撊耸空f，雖然當年的信產部及后來的工信部，都設立了入網檢測機構與檢測程序，但這一程序也更多是對于設備可用性的檢測，對信息安全的評估并沒有提到最為重要的等級。

但隨著時代變化，當各國的信息通信流量爆漲，并全面滲透進入政府、軍事、商業、工業與公眾服務的各個環節之后，信息安全的作用變得日益重要。

“信息安全關系到國家的政治安全、經濟安全、文化安全、國防安全和社會穩定，尤其網絡信息安全已經成為事關國家安全的第一安全，信息技術產業的發展也就直接關系對國家安全的基本保障能力?！惫ば挪寇浖c集成電路促進中心主任邱善勤說，當前，世界各國都將信息技術和信息安全的自主可控能力與維護國家安全的能力緊密聯系在一起，控制與反控制的斗爭甚至已經對國與國之間的外交、經貿等關系產生了重要影響。

與此同時，信息安全事故的破壞性越來越大，信息安全問題也越來越成為焦點。近兩年來，微軟、亞馬遜、谷歌等企業紛紛發生重大信息安全事故，“震網”病毒更給伊朗造成巨大損失。信息安全事故頻發，也引起了各國政府的高度重視。比如在美國，奧巴馬將網絡安全問題視為最嚴重的國家經濟和國家安全挑戰之一，提出將數字基礎設施視為國家戰略資產予以保護，并組建了網絡戰司令部。日本則通過了《保護國民信息安全戰略》，重點加強鐵路、金融系統重要信息基礎設施的安全防范。

“這也是為什么利益相關方以信息安全為借口指控中興華為時，美國各方立刻高度緊張的原因?！鼻拔奶峒百Y深行業人士說。

問題在于，由于過去在開放環境下的高速發展，中國過去是既沒有行業標準，也沒有法律要求，沒有合格的檢測機構，對于信息安全成體系的評估監管，尤其在設備領域，幾乎是一個空白。該人士說，在此過程中，過去政府對行業基本沒有做強制性的規范，也缺乏強制手段和檢測手段，而是把權放給了基礎運營商，但在商業環境下，運營商所進行的檢測乃至防范往往會不自覺地放松要求。

“所以，中國現在除了繼續開放市場，積極與海外廠商合作外，也要注意保護與捍衛自己的核心利益與國家安全，重新改變政府與企業過去在對信息安全體系中的定位和分工。”陳金橋認為。

據《財經國家周刊》了解，中國從決策層到各個部委，在此之前就已開始意識到相關的風險，并開始考慮如何要進一步強化信息安全領域的管理，包括來自物理網絡層面的國家安全和來自互聯網傳輸過程中的個人信息安全。

威脅仍在

《財經國家周刊》獲得的一份資料表明，以思科、微軟等為主的美國IT公司，仍然占據著中國基礎網絡核心。

目前，中國市場仍是思科全球范圍內唯一沒有占據壟斷地位的區域市場，但這一市場主要份額，仍被思科和H3C兩個美國公司占據。2011年，H3C銷售收入14.6億美元，而思科在華收入略低于H3C，約占思科全球收入3%。但有報道稱，思科中國業務的利潤高達思科整體利潤的30%。

《財經國家周刊》獲得的文件表明，思科網絡設備廣泛應用于中國信息網絡關鍵領域，包括運營商骨干網絡、醫療網絡、航空和交通網絡，乃至金融網絡、政府網絡，甚至于軍隊網絡。

“值得警惕的是，包括思科、微軟等在內的大多數美國公司，在中國占據了龐大的市場份額和商業機會的同時，一直沒有向中國政府開放相關源代碼，而這些美國公司在中國信息網絡的關鍵領域，同樣長期占有較大份額?！敝袊ㄐ艠藴驶瘏f會理事、邁普通信CEO肖志輝對《財經國家周刊》表示，“中國政府應當為自身安全考慮，未來應對包括思科、微軟在內的美國公司予以相應審查，以防范關鍵信息被竊取的事件繼續發生?！?/p>

與此同時，正在興起的云計算業務中也存在類似風險。一位行業人士說，中小企業如果沒有主機系統，只有一個服務的平臺，大量的經濟信息與商業秘密就會成半狀態呈現在云服務器上。為此，歐盟此前就有要求，在12到18個月之內，所有入云中小企業的信息都必須全部刪除，而且不允許跨境傳播。但外國的技術商向中國客戶提供這一服務時，卻一直在掩蓋這一事實。

篇5

一、如何看待安全預算

安全預算是各類企事業單位為保護信息資產，保證自身可持續發展而投入的資金，是一種預防行為。安全預算多少合適，是不是投入得太多了？雖然安全問題越來越受到重視，但是網絡安全事件仍然是呈現遞增趨勢。從安全預算角度分析原因：一是預算不足；二是預算不到位。

在國外，安全投入占企業基礎建設投入的5%～20%，這人比例在中國的企事業中卻很少超過2%。從風險的角度看，就是要平衡成本與風險之間的關系，用一百萬美金保護三十萬的資產，顯然是不可接受的，但是如果資產的價值超過了一千萬美金，產生的效益就顯而易見，目前用一個量化的方法來計算信息化建設對于戰略發展的貢獻確實比較難。一年下來，并沒有發生重大的信息安全事件，年初的安全預算可能就會被質疑投入太多了；如果發生了不可接受的安全事件，那就成了預算部門的責任。安全預算到底夠不夠？我們可以通過宏觀的情況來分析一下風險與成本的關系，每年全球因安全問題導致的網絡損失已經可以用萬億美元的數量級來計算，我國也有數百億美元的經濟損失，然而安全方面的投入卻不超過幾十億美元。由此可以看出，我國整體信息化建設，安全預算不足。

一個單位在安全方面投入了很多，但是仍然發生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論，很好的解釋了這種現象。如很多企業每年在安全產品上投入大量資金，但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素，缺乏系統的、科學的管理體系支持，都是導致這種結果產生的原因。

二、 科學制定安全預算

信息安全的預算如何制定？其實要解決的就是預算多少和怎么用的問題。說安全預算難做，一是因為信息安全涉及到很多方面的問題，例如：人員安全、物力安全、訪問控制、符合法律法規等等。二是很難依據某種科學的量化的輸入得出具體的預算費用。安全預算是否合理，應該關注以下幾個方面：（1）是否“平衡”了成本與風險的關系；（2）是否真正用于降低或者消除信息安全風險，而不是引入了新的不可接受風險；（3）被關注的風險是否具有較高的優先等級。

信息安全風險評估恰恰解決了以上問題，通過制定科學的風險評估方法、程序，對那些起到關鍵作用的信息和信息資產進行評估，得出面臨的風險，然后針對不同風險制定相應的處理計劃，提出所需要的資源，從而利用風險評估輔助安全預算的制定。

三、 風險評估過程

目前國際和國內都有一些比較成熟的風險評估標準及指南，通常包括下述幾個過程：（1） 確定評估的范圍、目的、評估組、評估方法等；（2）識別評估范圍內的信息資產；（3）識別對于這些資產的威脅；（4）識別可能利用這些威脅的薄弱點；（5）識別信息資產的損失給單位帶來的影響；（6）識別威脅時間發生的可能性；（7）根據“影響”及“可能性”計算風險；（8）確定風險等級及可接受風險的等級。