前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全成熟度評估范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全成熟度評估范文第1篇

通過下一代防火墻、態(tài)勢感知檢測響應(yīng)、安全云端、安全運(yùn)營平臺，初步構(gòu)建“網(wǎng)-端-云-平臺”一體化框架進(jìn)行風(fēng)險(xiǎn)控制閉環(huán)。框架中，下一代防火墻、態(tài)勢感知檢測響應(yīng)等網(wǎng)絡(luò)和端點(diǎn)安全設(shè)備持續(xù)采集網(wǎng)絡(luò)和端點(diǎn)側(cè)流量日志，安全云端和本地安全運(yùn)營平臺通過發(fā)現(xiàn)和關(guān)聯(lián)流量日志中各類攻擊威脅失陷標(biāo)志，找出入侵攻擊鏈，進(jìn)一步在網(wǎng)絡(luò)和端點(diǎn)側(cè)進(jìn)行控制處置，切斷攻擊鏈。

3.2建立初步的信任評估和控制機(jī)制

以上網(wǎng)行為管理和SSLVPN設(shè)備組件為基礎(chǔ)，對接各類型終端，入網(wǎng)前基于設(shè)備狀態(tài)和身份信息進(jìn)行信任等級判定。并建立內(nèi)部應(yīng)用訪問身份認(rèn)證機(jī)制。下一階段工作通過零信任技術(shù)建立更全面的訪問前信息采集和持續(xù)評估能力，進(jìn)一步打通網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)訪問的身份和信任判決及控制。

3.3建立本地化安全運(yùn)營能力

基于安全運(yùn)營平臺，將全網(wǎng)終端威脅、網(wǎng)絡(luò)攻擊及業(yè)務(wù)系統(tǒng)安全通過大屏可視化的方式呈現(xiàn)，結(jié)合外部安全服務(wù)專家專屬服務(wù)化的方式，實(shí)現(xiàn)了網(wǎng)絡(luò)安全的閉環(huán)響應(yīng)與處置，同時(shí)為內(nèi)部人員提供信息安全知識與技能，沉淀本地知識經(jīng)驗(yàn)庫；基于安全運(yùn)營平臺分析結(jié)果進(jìn)行決策，指導(dǎo)各部門開展網(wǎng)絡(luò)安全工作；通過網(wǎng)絡(luò)安全運(yùn)營平臺指導(dǎo)安全建設(shè)，提供安全策略優(yōu)化指導(dǎo)，全面提升系統(tǒng)安全運(yùn)營能力。

3.4構(gòu)建針對未知威脅防控的人機(jī)共智能力

基于本地安全運(yùn)營平臺、下一代防火墻、態(tài)勢感知檢測響應(yīng)等設(shè)備組件中人工智能算法，借助安全云端的全球威脅情報(bào)和安全大數(shù)據(jù)分析輔助，初步構(gòu)建針對已知和未知Web攻擊、僵尸網(wǎng)絡(luò)、各類型病毒、漏洞利用、部分APT攻擊和異常業(yè)務(wù)行為的檢測識別能力。通過演練成果應(yīng)用，實(shí)現(xiàn)了滿足等級保護(hù)2.0合規(guī)要求，具備在實(shí)戰(zhàn)化攻防對抗中抵御攻擊、快速恢復(fù)能力，同時(shí)日常服務(wù)運(yùn)維過程中對各類型業(yè)務(wù)和數(shù)據(jù)提供常態(tài)化安全防護(hù)。

4創(chuàng)新性與價(jià)值

信息系統(tǒng)安全建設(shè)基于自身信息化業(yè)務(wù)需求和網(wǎng)絡(luò)安全監(jiān)管法規(guī)要求，以“體系合規(guī)，面向?qū)崙?zhàn)，常態(tài)保護(hù)”為目標(biāo)，“統(tǒng)籌風(fēng)險(xiǎn)，精益安全，持續(xù)推進(jìn)，人機(jī)共智”為安全能力構(gòu)建方向，逐步推進(jìn)建設(shè)落地。規(guī)劃建設(shè)過程，體現(xiàn)了以下幾方面特色和優(yōu)勢：（1）體系化統(tǒng)籌，從高層要求、監(jiān)管法規(guī)等業(yè)務(wù)和內(nèi)外部需求出發(fā)，從風(fēng)險(xiǎn)、安全、推進(jìn)、智能四方面，體系化地規(guī)劃安全能力和落地過程[5]。（2）全面保障，整個建設(shè)理念和框架覆蓋的保護(hù)對象從物理環(huán)境，到網(wǎng)絡(luò)、主機(jī)、邊界等各層面，并對各類型業(yè)務(wù)和場景具有普適性。（3）面向未來，利用人機(jī)共智的三位一體能力，以及階段性演進(jìn)的成熟度坐標(biāo)，規(guī)劃面向未來的能力演進(jìn)體系。（4）有效落地，創(chuàng)新網(wǎng)絡(luò)安全微服務(wù)架構(gòu)，提升自動化管理效率，利用專家服務(wù)和輔助決策降低人員門檻，進(jìn)一步通過可視化指標(biāo)體系呈現(xiàn)安全建設(shè)績效。

網(wǎng)絡(luò)安全成熟度評估范文第2篇

【 關(guān)鍵詞 】 信息安全架構(gòu)；企業(yè)戰(zhàn)略；信息安全服務(wù)； 信息安全價(jià)值； 一致性；可追溯性

【 文獻(xiàn)標(biāo)識碼 】 A 【 中圖分類號 】 TP393.08

1 引言

信息安全技術(shù)和管理經(jīng)過不斷的發(fā)展和改善，已經(jīng)能夠比較有效地解決一些傳統(tǒng)信息安全問題，如信息安全風(fēng)險(xiǎn)管理、訪問控制，脆弱性管理、加密解密和災(zāi)難恢復(fù)等。隨著信息越來越成為組織的核心資產(chǎn)，保護(hù)信息的安全已不再只是局限于技術(shù)和日常管理層面的討論，信息的安全越來越關(guān)系到組織自身發(fā)展的安全。一次重大的信息泄露事故就能使企業(yè)的市值一落千丈。同時(shí)，一套合理的訪問控制解決方案能夠幫助企業(yè)快速推出核心產(chǎn)品（尤其是電子商務(wù)）和兼并其他企業(yè)。當(dāng)前信息安全發(fā)展呈現(xiàn)出新的趨勢和要求：（1）信息安全部門逐漸從成本中心轉(zhuǎn)向價(jià)值中心，信息安全的各項(xiàng)活動越來越和企業(yè)戰(zhàn)略緊密相連；（2）企業(yè)內(nèi)部其他部門越來越多的要求信息安全部門提供清晰、可測量的服務(wù)來支持業(yè)務(wù)的運(yùn)行。

企業(yè)的信息安全部門在不斷增強(qiáng)其核心影響力的同時(shí)，也承擔(dān)著隨之而來的更多責(zé)任和挑戰(zhàn)。其一是如何將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃，將信息安全融入到組織的業(yè)務(wù)流程中，并且保持信息安全控制措施與企業(yè)戰(zhàn)略的一致性和可追溯性；其二是如何使信息安全的價(jià)值得到認(rèn)可并在組織內(nèi)部最大化；其三是如何滿足企業(yè)內(nèi)部各部門有計(jì)劃或無計(jì)劃的信息安全服務(wù)需求；其四是如何確保以一種系統(tǒng)主動和集中統(tǒng)一的方式來管理業(yè)務(wù)和遵從性需求，并實(shí)現(xiàn)清晰的測量和不斷的改進(jìn)。

當(dāng)前各企業(yè)廣泛采用的標(biāo)準(zhǔn)或最佳實(shí)踐有幾種：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。這些標(biāo)準(zhǔn)各有優(yōu)點(diǎn)，但也有明顯的缺憾，如表1所示（缺憾部分用X表示）。

設(shè)計(jì)本信息安全架構(gòu)旨在解決上述問題并建立一種高效機(jī)制達(dá)到如下目標(biāo)。

* 將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃，確保信息安全的可追溯性、持續(xù)一致性和簡潔性，以降低成本、減少重復(fù)和提高效率。將信息安全融入到組織的業(yè)務(wù)流程中，建立一致性和可追溯性；建立清晰的信息安全架構(gòu)和愿景，以減少重復(fù)和指導(dǎo)信息安全投入和解決方案的實(shí)施。

* 基于客戶服務(wù)理念，信息安全服務(wù)價(jià)值得到認(rèn)可，信息安全靠攏業(yè)務(wù)部門，為信息安全管理和業(yè)務(wù)管理建立共同語言。

* 全面管理信息安全，滿足目前絕大多數(shù)法律法規(guī)、標(biāo)準(zhǔn)的最佳實(shí)際的要求，并具有靈活的可擴(kuò)展性，當(dāng)新需求出現(xiàn)后能夠?qū)⑵淦交娜谌氲浆F(xiàn)有架構(gòu)中。

* 系統(tǒng)和集中統(tǒng)一的方式，使信息安全管理可預(yù)測和可測量，并不斷的改進(jìn)。

2 信息安全架構(gòu)設(shè)計(jì)

2.1 信息安全架構(gòu)設(shè)計(jì)所基于的原則

本信息安全架構(gòu)的設(shè)計(jì)遵循四大原則。

1） 業(yè)務(wù)驅(qū)動：所有的信息安全目標(biāo)應(yīng)該從業(yè)務(wù)需求中來，從而保證信息安全管理總是做“正確的事”。

2） 整合、統(tǒng)一的架構(gòu)：現(xiàn)在有數(shù)以十計(jì)的信息安全相關(guān)的法律法規(guī)，標(biāo)準(zhǔn)和最佳實(shí)踐需要去符合或參考，且其各有不同的要求側(cè)重點(diǎn)和優(yōu)缺點(diǎn)。因此很有必要將所有相關(guān)的信息安全關(guān)注點(diǎn)整合到一個統(tǒng)一的架構(gòu)中，以保證所有要求都被滿足，同時(shí)避免不要的重復(fù)。例如，ISO27001關(guān)注全面安全控制和風(fēng)險(xiǎn)管理，PCIDSS側(cè)重支付卡環(huán)境中技術(shù)控制和策略管理等。

3） 系統(tǒng)化思維：運(yùn)用系統(tǒng)化思維可以幫助組織解決復(fù)雜且動態(tài)的問題，適應(yīng)運(yùn)營中的各種變化，減輕戰(zhàn)略上的不確定性和外部因素的影響。例如，需要整合機(jī)構(gòu)、人員、技術(shù)和流程；需要考慮安全、成本和易用性的權(quán)衡；需要靠持續(xù)改進(jìn)（Plan-Do-Check-Act）；需要考慮全面防護(hù)和縱深防護(hù)。

4） 易用性：信息安全架構(gòu)的最大價(jià)值在于被理解和廣泛應(yīng)用于組織的實(shí)踐當(dāng)中。因此，信息安全架構(gòu)必須易于理解并且實(shí)際可操作性要強(qiáng)，應(yīng)避免太過復(fù)雜和晦澀。

2.2 信息安全架構(gòu)實(shí)現(xiàn)

2.2.1 信息安全架構(gòu)-域試圖

基于上面的基本原則，本信息安全架構(gòu)由三個域組成（如圖1所示）：治理（Governance）、保障（Assurance）和服務(wù)（Services）。

治理（Governance）： 信息安全治理域強(qiáng)調(diào)戰(zhàn)略一致性，風(fēng)險(xiǎn)管理，資源管理和有效性測量。治理域又包括三個子域：愿景與戰(zhàn)略、風(fēng)險(xiǎn)與遵從性管理和測量。各子域主要功能如下所述。

* 愿景與戰(zhàn)略： 將遵從性要求，信息安全的發(fā)展趨勢，行業(yè)發(fā)展趨勢和業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為信息安全愿景、戰(zhàn)略和路線圖。

* 風(fēng)險(xiǎn)與遵從性管理： 管理信息安全風(fēng)險(xiǎn)使信息安全風(fēng)險(xiǎn)控制在組織可接受的范圍內(nèi)。

* 測量： 監(jiān)控和測量整體信息安全的有效性并持續(xù)提升信息安全對組織的價(jià)值。

保障： 保障域側(cè)重于信息安全的全面與縱深防護(hù)措施。保障域包含預(yù)防、監(jiān)測、響應(yīng)和恢復(fù)四個部分。各部分主要功能如下所述。同時(shí)保護(hù)的對象為不同層面的信息資產(chǎn)：數(shù)據(jù)層、應(yīng)用層、IT基礎(chǔ)設(shè)施層和物理層。

* 預(yù)防： 實(shí)施信息安全控制措施包括管理措施和技術(shù)措施，防止信息安全威脅損害組織的信息安全控態(tài)。

* 監(jiān)測： 部署信息安全監(jiān)測能力監(jiān)控正在發(fā)生或已經(jīng)發(fā)生的信息安全事態(tài)。

* 響應(yīng)：部署信息安全響應(yīng)體系迅速、高效的抑制信息安全事件。

* 恢復(fù)： 建立組織的可持續(xù)性能力，但重要信息系統(tǒng)不可用時(shí)，可以在計(jì)劃的時(shí)間內(nèi)恢復(fù)。

服務(wù)： 服務(wù)域顯示了面向客戶（內(nèi)部和外部），協(xié)作與知識更新對信息安全實(shí)踐非常重要。服務(wù)域包含三個部分：信息安全服務(wù)、知識管理、意識與文化。各部分主要功能如下所述。

* 信息安全服務(wù)： 信息安全團(tuán)隊(duì)?wèi)?yīng)對待組織內(nèi)部其他部門和對外部客戶一樣，基于服務(wù)基本協(xié)議，提供高質(zhì)量的信息安全服務(wù)。

* 知識管理： 知識是信息安全實(shí)踐和服務(wù)的基石。信息安全知識管理包括獲取、維護(hù)和利用知識去獲取最大的信息安全專業(yè)價(jià)值。信息安全知識應(yīng)不僅在信息安全團(tuán)隊(duì)內(nèi)部而且在整個組織被共享。

* 意識與文化： 信息安全意識與文化在組織內(nèi)部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全，關(guān)心信息安全、在日常工作中關(guān)注信息安全。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風(fēng)險(xiǎn)至關(guān)重要。

2.2.2 信息安全架構(gòu)-組件試圖

為支撐信息安全架構(gòu)的三個域，本信息安全架構(gòu)組件融合了不同標(biāo)準(zhǔn)和最佳實(shí)踐的精華部分，并自成一體，如圖2所示。本架構(gòu)參考的標(biāo)準(zhǔn)主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架構(gòu)在企業(yè)內(nèi)實(shí)際應(yīng)用效果分析

本信息安全架構(gòu)已被推廣和應(yīng)用到各個行業(yè)中，如保險(xiǎn)業(yè)、銀行業(yè)、教育和非盈利性機(jī)構(gòu)等。本文選取一個保險(xiǎn)企業(yè)的案例來說明本信息安全架構(gòu)給企業(yè)帶來的積極變化。

背景：此保險(xiǎn)公司有3000名員工，計(jì)劃在加拿大多倫多（Toronto）上市，因此需要符合加拿大和行業(yè)的一些法律法規(guī)的要求，如Bill198、PIPEDA、PCIDSS等。同時(shí)公司高層決定借鑒信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構(gòu)的特點(diǎn)就是融合各法規(guī)、標(biāo)準(zhǔn)和最佳實(shí)踐的要求，因此不需要做任何大的改動的情況下（降低成本）就能應(yīng)用到此保險(xiǎn)公司中。

經(jīng)過9個月的實(shí)際運(yùn)行，公司進(jìn)行了各項(xiàng)測量指標(biāo)重新評估并與實(shí)施本信息安全架構(gòu)前的指標(biāo)進(jìn)行了對比分析。

3.1 平衡計(jì)分卡（Balanced Scorecard）[10]測評分析

平衡計(jì)分卡是衡量信息安全對企業(yè)貢獻(xiàn)價(jià)值的一種分析工具。平衡計(jì)分卡包括四個測量項(xiàng)目：對企業(yè)的貢獻(xiàn)，對愿景的規(guī)劃，內(nèi)部流程的成熟度和面向客戶。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別進(jìn)行了兩次測評。測評方法是由公司高級管理人員和各部門經(jīng)理對信息安全部門進(jìn)行評估，0級表示無成績，5級表示完美，然后取平均值。2011年7月評估結(jié)果顯示“企業(yè)貢獻(xiàn)”為2.2，“愿景規(guī)劃”為2.5，“內(nèi)部流程”為2.8，“面向客戶”為2.1；2012年7月評估結(jié)果顯示“企業(yè)貢獻(xiàn)”為4.1，“愿景規(guī)劃”為3.9，“內(nèi)部流程”為3.8，“面向客戶”為4.1。如圖3所示。測評結(jié)果表明實(shí)施本信息安全架構(gòu)后企業(yè)高層及各部門對信息安全給企業(yè)帶來的價(jià)值的認(rèn)可度有較為明顯提升。

3.2 總體信息安全成熟度級別分析

本文采取的信息安全總體成熟度的評價(jià)是基于ISO27002的控制域和CMMI[11]的評估級別。0級是最低級，5級是最高級。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別進(jìn)行了兩次自評估。2011年10月實(shí)施本信息安全架構(gòu)前成熟度水平是介于2.0-3.0之間， 2012年10月實(shí)施本信息安全架構(gòu)后成熟度水平是介于3.0-4.5之間，如圖4所示。成熟度級別分析結(jié)果表明實(shí)施本信息安全架構(gòu)后整體成熟度有較為明顯提升。

3.3 獨(dú)立審核發(fā)現(xiàn)點(diǎn)數(shù)量分析

第三方機(jī)構(gòu)獨(dú)立審核是從專業(yè)、客觀的角度來衡量整體信息安全控制措施，包括管理、技術(shù)和流程。審核發(fā)現(xiàn)點(diǎn)的數(shù)量越多，表明脆弱點(diǎn)越多，存在的風(fēng)險(xiǎn)越大。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別邀請用一個第三方審核機(jī)構(gòu)對其進(jìn)行了全面審核與評估（依據(jù)上市公司的管控要求）。2011年9月審核結(jié)果顯示有4個高風(fēng)險(xiǎn)項(xiàng)，8個中風(fēng)險(xiǎn)項(xiàng)和13個第風(fēng)險(xiǎn)項(xiàng)；2012年9月審核結(jié)果顯示無高風(fēng)險(xiǎn)項(xiàng)，且只有2個中風(fēng)險(xiǎn)項(xiàng)和4個第風(fēng)險(xiǎn)項(xiàng)。如圖5所示。審核結(jié)果表明實(shí)施本信息安全架構(gòu)后整體風(fēng)險(xiǎn)水平有較為明顯降低。

3.4 信息安全事件發(fā)生數(shù)量分析

信息安全事件（特別是1級與2級事件）發(fā)生的數(shù)量標(biāo)志著信息安全控制措施的全面性和有效性。信息安全事件數(shù)量越少，表明整體控制措施越有效。該保險(xiǎn)公司統(tǒng)計(jì)了實(shí)施本信息安全架構(gòu)前后發(fā)生的信息安全事件數(shù)量。2011年1月-10月期間有4個一級安全事件（重大），12個二級安全事件（嚴(yán)重），25個三級安全事件和40個四級安全事件；2012年1月-10月期間有1個一級安全事件（重大），2個二級安全事件（嚴(yán)重），10個三級安全事件和16個四級安全事件。如圖6所示。信息安全事件數(shù)量分析結(jié)果表明實(shí)施本信息安全架構(gòu)后安全控制措施的全面性和有效性有較為明顯增強(qiáng)。

3.5 魚叉式網(wǎng)絡(luò)釣魚模擬攻擊測試結(jié)果分析

模擬釣魚攻擊測試是對企業(yè)員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊（點(diǎn)擊鏈接）的人數(shù)越少，表明整體信息安全水平越高。該保險(xiǎn)公司采用ThreatSim的模擬攻擊測試平臺，在實(shí)施本信息安全架構(gòu)前后分別選取了5個分支機(jī)構(gòu)（共200人）進(jìn)行了模擬攻擊測試。測試的主要方法是注冊一個與該保險(xiǎn)公司類似的網(wǎng)絡(luò)域名，然后偽造一份看似從信息安全管理員發(fā)出的E-mail，此E-mail的大致內(nèi)容是說該保險(xiǎn)公司于近期對相關(guān)系統(tǒng)進(jìn)行了升級，將會影響到原有的帳戶和密碼，要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網(wǎng)頁。

2011年5月測試結(jié)果顯示有47%的員工點(diǎn)擊了有害鏈接，點(diǎn)擊有害鏈接的員工中有18%的人輸入了密碼，點(diǎn)擊有害鏈接的員工中有68%的人完成了在線培訓(xùn)內(nèi)容；2012年5月測試結(jié)果顯示有14%的員工點(diǎn)擊了有害鏈接，點(diǎn)擊有害鏈接的員工中有3%的人輸入了密碼，點(diǎn)擊有害鏈接的員工中有98%的人完成了在線培訓(xùn)內(nèi)容。如圖7所示。模擬攻擊測試分析結(jié)果表明實(shí)施本信息安全架構(gòu)后該保險(xiǎn)公司員工整體信息安全意識水平有較為明顯進(jìn)步。

3.6 信息安全服務(wù)客戶滿意度調(diào)查結(jié)果分析

客戶滿意度調(diào)查是從被服務(wù)客戶的角度來衡量信息安全團(tuán)隊(duì)的服務(wù)能力，以及給公司帶來的實(shí)際價(jià)值。滿意度百分比值越高，表明信息安全團(tuán)隊(duì)的能力和服務(wù)價(jià)值越被認(rèn)可。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別對精算部、個人保險(xiǎn)部、商業(yè)保險(xiǎn)部、索償部、渠道與銷售部做了信息安全服務(wù)滿意度調(diào)查。

2011年8月調(diào)查結(jié)果顯示對服務(wù)專業(yè)質(zhì)量的滿意度為72%，對服務(wù)請求響應(yīng)速度的滿意度為46%，對服務(wù)態(tài)度的滿意度為67%，整體滿意度為60%；2012年8月調(diào)查結(jié)果顯示對服務(wù)專業(yè)質(zhì)量的滿意度為95%，對服務(wù)請求響應(yīng)速度的滿意度為85%，對服務(wù)態(tài)度的滿意度為92%，整體滿意度為88%；如圖7所示?？蛻魸M意度分析結(jié)果表明實(shí)施本信息安全架構(gòu)后企業(yè)各部門對信息安全服務(wù)價(jià)值的認(rèn)可度有較為明顯提升。

4 結(jié)束語

現(xiàn)階段信息安全管理著重在信息安全的風(fēng)險(xiǎn)控制，隨著信息安全管理角色的轉(zhuǎn)變，信息安全需要跟多的與組織戰(zhàn)略結(jié)合，為組織創(chuàng)造更多的價(jià)值，并通過提供信息安全服務(wù)使組織內(nèi)部各部門享受到信息安全給組織帶來的價(jià)值并認(rèn)可這些價(jià)值。當(dāng)前被廣泛采用的一些標(biāo)準(zhǔn)和最佳實(shí)踐有其優(yōu)點(diǎn)，但同時(shí)無法滿足一些新的挑戰(zhàn)。目前缺乏一種高效可執(zhí)行的信息安全架構(gòu)來將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃、基于客戶服務(wù)理念使信息安全服務(wù)價(jià)值最大化以及全面系統(tǒng)化管理信息安全。本文針對上述問題提出的一種面向企業(yè)戰(zhàn)略和服務(wù)的信息安全架構(gòu)。通過將本信息安全架構(gòu)應(yīng)用到實(shí)際的企業(yè)中，驗(yàn)證了本信息安全架構(gòu)能夠?yàn)槠髽I(yè)提供更多的價(jià)值、增強(qiáng)客戶滿意度、提升整體安全成熟度和員工信息安全意識水平。

參考文獻(xiàn)

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者簡介：

網(wǎng)絡(luò)安全成熟度評估范文第3篇

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險(xiǎn)管理和評估規(guī)則），給出了一個非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型，如下圖一所示：

圖一信息安全風(fēng)險(xiǎn)管理模型

既然信息安全是一個管理過程，則對PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計(jì)劃－實(shí)施與部署－監(jiān)控與評估－維護(hù)和改進(jìn)）的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險(xiǎn)分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點(diǎn)分析）

u資產(chǎn)/威脅/弱點(diǎn)的映射表

uImpact&LikelihoodAssessment（影響和可能性評估）

uRiskResultAnalysis（風(fēng)險(xiǎn)結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護(hù)措施）

e)Monitoring&Implementation（監(jiān)控和實(shí)施）

f)Effectestimation（效果檢查與評估）

（4）實(shí)施和運(yùn)營初步的ISMS體系

（5）對ISMS運(yùn)營的過程和效果進(jìn)行監(jiān)控

（6）在運(yùn)營中對ISMS進(jìn)行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營者意識到有必要對IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理，以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。

由于網(wǎng)絡(luò)運(yùn)營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項(xiàng)目一般按照以下幾個階段，進(jìn)行項(xiàng)目實(shí)踐：

3.1項(xiàng)目準(zhǔn)備階段。

a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息；

b)和客戶溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖；

c)建議并明確項(xiàng)目成員組成和分工；

d)對項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明；

e)對客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識、知識或工具培訓(xùn)；

f)匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項(xiàng)目執(zhí)行階段。

a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分；

b)分安全域進(jìn)行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等；

c)在各個安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評估表、風(fēng)險(xiǎn)評估表和風(fēng)險(xiǎn)關(guān)系映射表；

d)對存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級綜合評價(jià)，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。

3.3項(xiàng)目總結(jié)階段

a)項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn)；

b)對項(xiàng)目資產(chǎn)鑒別報(bào)告、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn)；

c)對需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析

運(yùn)營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段，需要特別注意以下要點(diǎn)：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項(xiàng)目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。

4.3項(xiàng)目成員

應(yīng)該得到運(yùn)營商高層領(lǐng)導(dǎo)的明確支持，項(xiàng)目組長應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān)，且項(xiàng)目成員除了包含一些專業(yè)安全評估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對信息搜集對象進(jìn)行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機(jī)和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機(jī)房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組；然后可以在一級資產(chǎn)組內(nèi)，按照功能或地域進(jìn)行劃分二級資產(chǎn)組，如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組；進(jìn)一步可以針對各個二級資產(chǎn)組的每個設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對性，即按照不同的資產(chǎn)組進(jìn)行針對性威脅分析。如針對IP城域網(wǎng)，其主要風(fēng)險(xiǎn)可能是：蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等；而對于DNS或AAA平臺，其主要風(fēng)險(xiǎn)可能包括：主機(jī)病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進(jìn)行評定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營商意見，尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽(yù)影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評價(jià)規(guī)則，主要由運(yùn)營商管理人員按照規(guī)則進(jìn)行評價(jià)。

網(wǎng)絡(luò)安全成熟度評估范文第4篇

【關(guān)鍵詞】系統(tǒng)安全工程；信息系統(tǒng)；風(fēng)險(xiǎn)

引言

隨著科學(xué)技術(shù)的快速發(fā)展，信息系統(tǒng)安全問題也越來越常見，如何采取有效措施預(yù)防并減少信息系統(tǒng)風(fēng)險(xiǎn)已經(jīng)逐漸成為信息安全研究的關(guān)鍵。對于信息系統(tǒng)安全，可以采用風(fēng)險(xiǎn)大小進(jìn)行度量，同對信息在保密性、完整性等多個方面所受到的威脅，可以對安全威脅進(jìn)行有效控制。需要注意的是，為了保障信息安全，不僅需要依靠安全技術(shù)和產(chǎn)品，而且還需要信息系統(tǒng)安全工程的支持。通過構(gòu)建系統(tǒng)安全工程能力成熟模型，對影響信息系統(tǒng)的各個安全要素進(jìn)行分析，并對風(fēng)險(xiǎn)因素發(fā)生的可能性進(jìn)行評價(jià)分析，能夠保證信息安全管理決策的客觀性和合理性。

1我國礦山生產(chǎn)安全現(xiàn)狀

近年來，隨著國家的重視與社會的關(guān)注，礦山的百萬噸死亡率以及前人死亡率有所下降，但是礦山的安全工程還是存在一定的問題，就目前看來，其主要存在以下問題：①我國大多數(shù)的礦山都缺乏統(tǒng)一持續(xù)的安全戰(zhàn)略規(guī)劃目標(biāo)，我國大型的礦山企業(yè)都是國有企業(yè)，其在生產(chǎn)的過程中都十分重視礦產(chǎn)的安全管理，十分重視企業(yè)生產(chǎn)安全。但是其在生產(chǎn)的過程中同樣需要面臨著市場競爭帶來的壓力，對于礦山生產(chǎn)的風(fēng)險(xiǎn)性以及隨機(jī)性沒有充分的把握，難以從根本上提升礦山的安全性；②我國礦產(chǎn)開采缺乏完善的安全理念，盡管大多數(shù)的礦產(chǎn)企業(yè)在開采時(shí)都確立了安全生產(chǎn)理念，但是這些理念僅僅概況成了幾句口號，并沒有得到徹底的落實(shí)，這樣一來無法有效的確保礦山安全管理的質(zhì)量；③我國礦山開采安全程度較低，尤其是一些小型礦產(chǎn)，基本沒有安全設(shè)施，采用的甚至是一些落后的工藝設(shè)備。為了有效的判斷礦山生產(chǎn)過程中的風(fēng)險(xiǎn)，需要建立完善的風(fēng)險(xiǎn)評估模型，下面簡單的介紹系統(tǒng)安全工程能力成熟模型，以及其在風(fēng)險(xiǎn)評估中的作用。

2系統(tǒng)安全工程能力成熟模型概述

系統(tǒng)安全工程能力指的是系統(tǒng)在實(shí)際應(yīng)用中，能夠達(dá)到的安全性指標(biāo)的能力，通過改善系統(tǒng)工程的過程安全能力，能夠使系統(tǒng)工程變得更加成熟。在系統(tǒng)安全工程能力成熟模型的構(gòu)建過程，需要完善的、成熟的、可度量的安全工程。在系統(tǒng)安全工程下，所有工程活動都有明確的定義，并且對于所有工程活動，都可以進(jìn)行有效的測量、管理和控制。系統(tǒng)安全工程能力成熟度模型主要是由兩個部分所組成的，包括“過程域”和“能力”。其中，過程域指的是在完成一個子任務(wù)過程中，所需要完成的一系列工程實(shí)踐，過程域指又可以被分為三個部分，即工程過程域、組織過程域和項(xiàng)目過程域。其中，組織過程域和項(xiàng)目過程域與系統(tǒng)安全沒有直接關(guān)聯(lián)，因此，二者不是模型的組成部分。模型為每個過程域均定義了一組確定的基本實(shí)踐（BP），在子任務(wù)的完成過程中，每個基本實(shí)踐都必不可少。另外，能力維指的是實(shí)踐代表過程管理和制度化能力，其又可以被稱為通用實(shí)踐（GP）。通用實(shí)踐的主要作用是對每個級別的共同特性（CF）進(jìn)行描述，即每個級別的判定反映為一組共同特性。通用實(shí)踐是應(yīng)用于所有過程的活動，通用實(shí)踐的重點(diǎn)是對過程進(jìn)行度量和管理。應(yīng)用通用實(shí)踐描述共同特性的邏輯區(qū)域可以被被劃分5個能力級別，

3信息系統(tǒng)風(fēng)險(xiǎn)的特征

信息系統(tǒng)的投資比較大，建設(shè)周期長，影響因素較多，因此，信息系統(tǒng)所面臨的風(fēng)險(xiǎn)種類也比較多，并且不同風(fēng)險(xiǎn)之間的關(guān)系錯綜復(fù)雜。通過對大中型信息系統(tǒng)進(jìn)行調(diào)查分析發(fā)現(xiàn)，信息系統(tǒng)風(fēng)險(xiǎn)的特征主要體現(xiàn)在以下幾點(diǎn)：客觀性和不確定性。在信息系統(tǒng)的實(shí)際應(yīng)用中，信息系統(tǒng)風(fēng)險(xiǎn)客觀存在，因此，在整個信息系統(tǒng)生命周期中，風(fēng)險(xiǎn)因素?zé)o處不在，但是有具有明顯的不確定特征，風(fēng)險(xiǎn)事件的客觀體現(xiàn)指的是隨著客觀條件的變化，所造成的不確定性。在信息系統(tǒng)的實(shí)際運(yùn)行過程中，各類不確定因素的伴隨物即為信息系統(tǒng)風(fēng)險(xiǎn)。多層次性和多樣性。信息系統(tǒng)風(fēng)險(xiǎn)包包括多種層次風(fēng)險(xiǎn)，包括物理安全風(fēng)險(xiǎn)、邏輯安全風(fēng)險(xiǎn)等等，其中，物理安全風(fēng)險(xiǎn)是由周界控制、區(qū)域訪問控制以及區(qū)內(nèi)設(shè)施安全等所組成的，安全管理內(nèi)容包括人員管理、系統(tǒng)管理、應(yīng)急管理等，信息系統(tǒng)風(fēng)險(xiǎn)的種類也具有可變性和動態(tài)性特征，隨著信息技術(shù)的發(fā)展，信息系統(tǒng)風(fēng)險(xiǎn)也逐漸呈動態(tài)性和可變性特征。在信息系統(tǒng)實(shí)際運(yùn)行過程中，對于有些風(fēng)險(xiǎn)因素，由于采取了有效措施，因此風(fēng)險(xiǎn)得以消除，而對于有些風(fēng)險(xiǎn)因素，由于沒有采取有效的消除措施，因此風(fēng)險(xiǎn)逐漸成為主要風(fēng)險(xiǎn)?？蓽y性。系統(tǒng)安全風(fēng)險(xiǎn)的本質(zhì)是不確定性，在各類風(fēng)險(xiǎn)因素中，任何風(fēng)險(xiǎn)的發(fā)生都是多個風(fēng)險(xiǎn)因素共同作用所造成的，也有個別風(fēng)險(xiǎn)因素的發(fā)生是偶然事件，但是，通過對大量風(fēng)險(xiǎn)發(fā)生事件進(jìn)行統(tǒng)計(jì)和分析發(fā)現(xiàn)，風(fēng)險(xiǎn)時(shí)間的發(fā)生具有一定的運(yùn)動規(guī)律。對于風(fēng)險(xiǎn)時(shí)間的發(fā)生概率以及其所造成，可以采用多種風(fēng)險(xiǎn)分析方式進(jìn)行計(jì)算，并對可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行預(yù)測分析，從而為防范決策提供重要依據(jù)。由于信息系統(tǒng)風(fēng)險(xiǎn)具有多層次以及多樣性特征，因此，安全防范難度較大，對此，一般采用防火墻技術(shù)進(jìn)行安全管理。另外，由于信息系統(tǒng)風(fēng)險(xiǎn)具有多層次以及動態(tài)性特征，因此，很難構(gòu)建覆蓋全部安全問題的安全防控體系，綜合考慮安全投入成本以及被保護(hù)資產(chǎn)價(jià)值，必須構(gòu)建合適的安全準(zhǔn)則。通過上述分析可見，信息系統(tǒng)風(fēng)險(xiǎn)復(fù)雜程度比較高，并且系統(tǒng)風(fēng)險(xiǎn)的涉及面比較廣泛，因此，在信息系統(tǒng)整個生命周期中，都必須加強(qiáng)風(fēng)險(xiǎn)評估和管理，對此，應(yīng)該在模型的指導(dǎo)下來保證信SSE-CMM息系統(tǒng)的安全。

4信息風(fēng)險(xiǎn)評估模型

信息風(fēng)險(xiǎn)評估的過程指的是，對信息系統(tǒng)資產(chǎn)所面對的各類風(fēng)險(xiǎn)因素進(jìn)行分析，并對安全控制措施進(jìn)行研究，從而準(zhǔn)確識別系統(tǒng)風(fēng)險(xiǎn)因素，并對各類風(fēng)險(xiǎn)因素進(jìn)行評價(jià)。從系統(tǒng)風(fēng)險(xiǎn)管理角度出發(fā)，系統(tǒng)風(fēng)險(xiǎn)管理過程值得是對信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行控制、降低以及消除的過程，在此過程中，需要對網(wǎng)絡(luò)與信息系統(tǒng)中所面臨的風(fēng)險(xiǎn)因素進(jìn)行準(zhǔn)確識別，并采取有效的控制措施。在對安全事件進(jìn)行評估過程中，如果發(fā)現(xiàn)風(fēng)險(xiǎn)因素可能會產(chǎn)生的危害事件，則應(yīng)該立即提出相應(yīng)的低于威脅防護(hù)措施，對安全風(fēng)險(xiǎn)進(jìn)行化解，或者采取有效的防范措施，將信息安全風(fēng)險(xiǎn)控制在一定范圍內(nèi)，從而有效保障網(wǎng)絡(luò)安全以及信息安全。在進(jìn)行信息風(fēng)險(xiǎn)評估過程中，需要注意以下幾點(diǎn)：①準(zhǔn)確識別被評估信息資產(chǎn)，并對其估價(jià)；②對網(wǎng)絡(luò)弱點(diǎn)進(jìn)行檢測，評估資產(chǎn)脆弱性；③獲取系統(tǒng)各對象信息，并詳細(xì)列出資產(chǎn)威脅；④識別當(dāng)前安全控制；⑤綜合考慮脆弱性和威脅的嚴(yán)重程度，對資產(chǎn)的重要性進(jìn)行計(jì)算分析。風(fēng)險(xiǎn)事件因素對于信息系統(tǒng)的影響程度具有模糊性特征，因此，對于安全風(fēng)險(xiǎn)，可以將其描述為關(guān)于威脅和這種威脅后果的一個函數(shù)，通過對其進(jìn)行定量分析，能夠估算出風(fēng)險(xiǎn)時(shí)間發(fā)生后對于系統(tǒng)安全性的影響程度，同時(shí)還能夠?qū)?fù)雜的思維決策過程模型化、數(shù)量化。系統(tǒng)所有者在系統(tǒng)的實(shí)際應(yīng)用過程中，可以結(jié)合項(xiàng)目實(shí)際情況，在資產(chǎn)風(fēng)險(xiǎn)評估過程中，對資產(chǎn)、威脅和脆弱性等各因素所占權(quán)重進(jìn)行計(jì)算，并賦予其相應(yīng)的權(quán)向量：A=（r1，r2，r3，…，ri），其中，其中ri指的是判斷矩陣相應(yīng)因素。aij=rij/nk=1Σrkj（i=1，2，…，n）（1）由公式（1）再按行求和：c軃i=nj=1Σrkj（i=1，2，…，n）（2）通過公式（2）可得：ci=c軃ini=1Σc軃i（i=1，2，…，n）（3）其中，c指的是所求的特征向量，具體而言其指的是對應(yīng)i個因素的相對重要程度，即權(quán)重系數(shù)，如果c越高，則說明風(fēng)險(xiǎn)越大，系統(tǒng)安全工程的安全程度比較低。因此，可以根據(jù)以上公式，計(jì)算出風(fēng)險(xiǎn)評估量化分析結(jié)果，并對系統(tǒng)中的各類風(fēng)險(xiǎn)因素進(jìn)行建模分析，從而計(jì)算得出各類風(fēng)險(xiǎn)權(quán)重，并以此為依據(jù)，對信息風(fēng)險(xiǎn)評估以及系統(tǒng)安全策略的制定提供重要的參考依據(jù)。

5結(jié)語

綜上所述，在信息系統(tǒng)的建設(shè)過程中，加強(qiáng)安全工程管理至關(guān)重要，現(xiàn)如今已經(jīng)逐漸引起社會各界的廣泛關(guān)注，而我國信息系統(tǒng)風(fēng)險(xiǎn)評估研究起步比較晚，定量評估模型依然處于探索階段。為了有效保障保障信息系統(tǒng)的安全性，應(yīng)該采用SSE-CMM模型作為安全指導(dǎo)思想，通過對風(fēng)險(xiǎn)因素進(jìn)行全過程、全方位的分析，能夠有效解決信息系統(tǒng)安全的動態(tài)性和廣泛性問題。本文主要對SSE-CMM模型進(jìn)行了詳細(xì)分析，SSE-CMM模型屬于理論指導(dǎo)模型，可以用在信息系統(tǒng)的效益分析、系統(tǒng)可靠性分析等方面，所以具有較大的推廣價(jià)值，但是需要注意的是，在其實(shí)際應(yīng)用中，還應(yīng)該綜合考慮不同性質(zhì)的信息系統(tǒng)，采取不同的實(shí)施方案。

參考文獻(xiàn)

[1]吳峰，賁可榮.系統(tǒng)安全測試能力成熟度模型框架研究[J].計(jì)算機(jī)與數(shù)字工程，2011，39（2）：128~132.

[2]李燦，周春雷，華斌，等.信息系統(tǒng)應(yīng)用成熟度評價(jià)模型[J].華東電力，2014，42（11）：2428~2431.

網(wǎng)絡(luò)安全成熟度評估范文第5篇

關(guān)鍵詞: 電力系統(tǒng)；計(jì)算機(jī)網(wǎng)絡(luò)；安全性；維護(hù)

中圖分類號：TP32文獻(xiàn)標(biāo)識碼：A

前言

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，就是利用通訊設(shè)備和線路將地理位置不同的、功能獨(dú)立的多個計(jì)算機(jī)系統(tǒng)互連起來，以功能完善的網(wǎng)絡(luò)軟件(網(wǎng)絡(luò)通信協(xié)議、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等)實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。它的主要功能表現(xiàn)在兩個方面:一是實(shí)現(xiàn)資源共享，包括硬件資源和軟件資源的共享；二是在用戶之間交換信息。隨著計(jì)算機(jī)的廣泛應(yīng)用和網(wǎng)絡(luò)的流行，目前電力系統(tǒng)企業(yè)員工的很多日常工作(包括生產(chǎn)MIS、OA、電力營銷、視頻監(jiān)控、集群錄音等各種系統(tǒng))已經(jīng)與網(wǎng)絡(luò)密不可分，但由于各單位、各部門之間的計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備與操作系統(tǒng)千差萬別，應(yīng)用水平也參差不齊。

1計(jì)算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)的應(yīng)用現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用，擴(kuò)大了管理范圍，大大提高了員工的工作效率，但計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)安全問題也隨之變得更加嚴(yán)重。例如:計(jì)算機(jī)病毒通過電子郵件感染并傳播；管理網(wǎng)絡(luò)互聯(lián)接口的防火墻只配置了包過濾規(guī)則，提供的安全保證很低，容易受到基于IP欺騙的攻擊，泄露企業(yè)機(jī)密；部分局域網(wǎng)沒有進(jìn)行虛擬網(wǎng)絡(luò)VLAN劃分和管理，造成網(wǎng)絡(luò)阻塞，使工作效率減低；絕大多數(shù)操作系統(tǒng)是非正版軟件，或網(wǎng)上下載的免費(fèi)軟件，不能夠做到及時(shí)補(bǔ)丁(PATCH)更新，造成系統(tǒng)漏洞，給攻擊者進(jìn)行木馬攻擊留下后門；絕大多數(shù)工作站沒有關(guān)閉不必要的通訊端口，使得計(jì)算機(jī)易遭受遠(yuǎn)程攻擊、病毒入侵等等。

2計(jì)算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)的應(yīng)用意義

電力系統(tǒng)企業(yè)管理人員能夠通過計(jì)算機(jī)網(wǎng)絡(luò)在企業(yè)本部辦公室了解分散在全國各地項(xiàng)目部的財(cái)務(wù)報(bào)表、工程進(jìn)度、工程質(zhì)量、工程中存在的問題等信息；在企業(yè)本部計(jì)算機(jī)網(wǎng)絡(luò)會議系統(tǒng)中獲取分散在全國各地項(xiàng)目部的項(xiàng)目資料，與其他管理人員進(jìn)行研討，商量出解決問題的辦法。電力系統(tǒng)企業(yè)擔(dān)負(fù)的電網(wǎng)建設(shè)任務(wù)決定了電力企業(yè)要使用計(jì)算機(jī)網(wǎng)絡(luò)，它能將分散的電網(wǎng)設(shè)施連接成一個整體，同時(shí)能將分散在各地的員工連接成一個整體并能將管理范圍縮小。利用計(jì)算機(jī)網(wǎng)絡(luò)，企業(yè)可以發(fā)揮每一個員工的積極性，是企業(yè)與每個員工聯(lián)系的平臺。管理者的決策要依賴企業(yè)員工直接提供的素材，計(jì)算機(jī)網(wǎng)絡(luò)能將企業(yè)員工提供的大量素材直接呈現(xiàn)至領(lǐng)導(dǎo)者面前。計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用為電力系統(tǒng)企業(yè)提供了現(xiàn)代化的管理手段，從而提高電力系統(tǒng)企業(yè)經(jīng)濟(jì)效益。

3電力系統(tǒng)信息安全防護(hù)應(yīng)對策略

3.1做好電力系統(tǒng)安全風(fēng)險(xiǎn)的評估

開展電力系統(tǒng)企業(yè)信息安全建設(shè)，首先必須做好安全狀況評估分析。評估應(yīng)聘請專業(yè)權(quán)威的信息安全咨詢機(jī)構(gòu)，并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與，全面進(jìn)行信息安全風(fēng)險(xiǎn)評估，發(fā)現(xiàn)問題、明確需求、制定策略后開展實(shí)施工作，實(shí)施完成后還要定期評估和改進(jìn)。信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定，應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品，不能過分求全求新。

3.2采用信息安全新技術(shù)，建立信息安全防護(hù)體系

電力系統(tǒng)企業(yè)信息安全面臨的問題很多，應(yīng)該根據(jù)安全需求的輕重緩急，解決相關(guān)安全問題，根據(jù)信息安全技術(shù)的成熟度進(jìn)行綜合分析判斷，采取分步實(shí)施。技術(shù)成熟的，能快速見效的電力安全系統(tǒng)先行實(shí)施。

3.3計(jì)算機(jī)病毒防范

目前防病毒軟件主要分為單機(jī)版和網(wǎng)絡(luò)版兩種。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)病毒的危害越來越大，因此，必須將電力系統(tǒng)內(nèi)各臺計(jì)算機(jī)加裝防病毒軟件，并且要及時(shí)更新防病毒軟件的病毒庫版本，建議采用單機(jī)版、網(wǎng)絡(luò)版防病毒軟件及其他防護(hù)手段相結(jié)合的綜合病毒防范體系。單機(jī)版防病毒軟件安裝在單機(jī)工作站上，保護(hù)工作站免受病毒侵?jǐn)_。病毒防火墻安裝在網(wǎng)關(guān)處，對出入網(wǎng)關(guān)的數(shù)據(jù)包進(jìn)行檢查，及時(shí)發(fā)現(xiàn)并殺死企圖進(jìn)入內(nèi)網(wǎng)的網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)版防病毒軟件管控中心安裝在網(wǎng)絡(luò)服務(wù)器上，用戶安裝網(wǎng)絡(luò)版防病毒軟件客戶端，每臺客戶端都能實(shí)施連接管控中心服務(wù)器，管控中心可以對客戶端下發(fā)安全防護(hù)策略、升級客戶端病毒庫，從而全面監(jiān)控整個網(wǎng)絡(luò)的病毒情況。

3.4優(yōu)化安全設(shè)備配置策略

通過信息檢測、攻擊檢測、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置，對黑客進(jìn)行監(jiān)控。利用防火墻可以阻斷非法的數(shù)據(jù)包，屏蔽針對網(wǎng)絡(luò)的非法攻擊，阻斷黑客入侵。一般情況下，防火墻設(shè)置會導(dǎo)致信息傳輸?shù)拿黠@延時(shí)。因此，在需要考慮實(shí)時(shí)性要求的電力系統(tǒng)，建議采用實(shí)時(shí)系統(tǒng)專用的防火墻組件，以降低電力系統(tǒng)通用防火墻軟件延時(shí)帶來的影響。

3.5監(jiān)視網(wǎng)絡(luò)流量和進(jìn)行非授權(quán)使用檢測

通過對網(wǎng)絡(luò)流量采樣．來實(shí)時(shí)地監(jiān)視網(wǎng)絡(luò)流量和進(jìn)行非授權(quán)使用檢測。同時(shí)，可以通過封鎖網(wǎng)絡(luò)訪問或終止非法對話來主動響應(yīng)非法活動。

3.6物理鏈路上的隔離

電力系統(tǒng)重要網(wǎng)絡(luò)采用物理隔離的方法保證其安全性。物理隔離是在物理鏈路上進(jìn)行隔離，是一種最安全的防護(hù)技術(shù)。大體可分成單機(jī)物理隔離、隔離集線器和網(wǎng)際物理隔離三類。單機(jī)物理隔離：分為內(nèi)置隔離卡和外置隔離器。隔離卡安裝在機(jī)器內(nèi)部，安裝和使用比較麻煩，切換內(nèi)外網(wǎng)時(shí)需要重新啟動，但安全性最高。隔離卡又分為單硬盤物理隔離卡和雙硬盤物理隔離卡。隔離器是外置設(shè)備，安裝很簡單，使用起來十分方便，缺點(diǎn)是安全性不如隔離卡高。電力系統(tǒng)隔離集線器不需要改變布線結(jié)構(gòu)，單網(wǎng)線到桌面?？梢酝瑫r(shí)接入多個工作站，使用方便。網(wǎng)際物理隔離：電力系統(tǒng)物理隔離器可以完成外網(wǎng)信息的搜集、轉(zhuǎn)發(fā)和內(nèi)網(wǎng)三個工作環(huán)節(jié)，在轉(zhuǎn)發(fā)的過程中需要重新啟動隔離傳送器。適合實(shí)時(shí)性要求不高的部門的外網(wǎng)接口處。

3.7信息安全人才培養(yǎng)

加強(qiáng)信息安全管理工作的重點(diǎn)是培養(yǎng)信息安全專門人才，人才培養(yǎng)和必須與電力系統(tǒng)信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行，才能真正發(fā)揮電力系統(tǒng)的信息安全防護(hù)系統(tǒng)和設(shè)備的作用。

4電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的維護(hù)

4.1維護(hù)工作內(nèi)容

計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)工作內(nèi)容包括:設(shè)備、鏈路、電源和配線架等附屬設(shè)備的維護(hù)。具體要求包括:

1）保證設(shè)備工作條件，包括供電條件和環(huán)境條件等。

2）對系統(tǒng)故障進(jìn)行判斷和處理，根據(jù)故障現(xiàn)象和告警指示，利用網(wǎng)管及各種測試工具進(jìn)行故障定位，找出故障原因，在最短時(shí)間內(nèi)排除故障。3）通常采用集中維護(hù)方式，將維護(hù)人員和必要的維護(hù)儀表集中在一個主要站。

4）經(jīng)常檢查交換機(jī)與路由器中的端口狀態(tài)，尤其需要關(guān)注端口差錯統(tǒng)計(jì)信息，對于出錯包特別多的端口，應(yīng)該檢查其是交換機(jī)或路由器本身的、鏈路的原因，還是接入設(shè)備的原因。交換機(jī)或路由器主要查CPU利用率和MEM利用率，接入設(shè)備若是計(jì)算機(jī)，則主要看網(wǎng)卡的設(shè)置是否正確、網(wǎng)卡的驅(qū)動程序是否和網(wǎng)卡匹配，查出原因后進(jìn)行整改，檢查完后對端口統(tǒng)計(jì)信息清零。

5）鏈路若是光纜，則主要檢查現(xiàn)有衰耗和投運(yùn)時(shí)的衰耗差，鏈路是網(wǎng)線則用專用儀器進(jìn)行現(xiàn)場測試，光纖不允許小角度彎折，更不能出現(xiàn)直角。

6）網(wǎng)管監(jiān)控系統(tǒng)和本地維護(hù)終端用的計(jì)算機(jī)是專用設(shè)備，禁止挪用，以免病毒侵害.

4.2對維護(hù)人員的要求

1）對運(yùn)行中的網(wǎng)絡(luò)設(shè)備在進(jìn)行變更設(shè)置的操作時(shí)，必須有兩人同時(shí)在場方可進(jìn)行，一人操作，一人監(jiān)護(hù)，并做好如何在操作失敗而導(dǎo)致網(wǎng)絡(luò)設(shè)備異常的情況下的處理預(yù)案，履行必要手續(xù)。

2）處理光接口信號時(shí)，不得將光發(fā)送器的尾纖端面或上面活動連接器的端面對著眼睛，并注意尾纖端面和連接器的清潔。

3）熟練掌握所維護(hù)的設(shè)備的基本操作。

4）做好設(shè)備的日常巡視工作。

結(jié)語

計(jì)算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)現(xiàn)代化企業(yè)管理中正在發(fā)揮著積極的作用。同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)的安全防護(hù)形勢越來越嚴(yán)峻，電力企業(yè)面臨的困難和挑戰(zhàn)還很多，工作任重而道遠(yuǎn)，值得電力系統(tǒng)管理者和全體員工一起積極探索，不斷發(fā)展和完善。

參考文獻(xiàn)

【1】周軍輝，胡湘任．校園網(wǎng)IPv4向IPv6過渡技術(shù)的研究【J】．大眾科技．2008．7：30-31．