安全信息评估精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇安全信息评估，期待它们能激发您的灵感。

篇1

【关键词】电力企业；信息安全；风险防御

和谐社会的发展是政治、经济、文化、社会和生态多方面合力的结果，科技的进步使得电力企业意识到亟需尽快的对电力系统进行革新，从计划经济到市场经济体制的改革中，电力企业为了适应这样的变化，加强了对管理体制的合理改变和生产效率的大步提高，拉开了电力系统改革的序幕。安全的信息网络系统的构建是电力企业发展改革过程中至关重要的一个环节，有效的将电力企业的信息安全系统与其管理和考核进行有机结合，更好的服务于电力企业的生产、经营和管理，电力企业安全信息系统风险评估与防御也就成为了电力企业在经济全球化进程中亟待重视的问题所在。

1 电力企业安全信息系统风险评估

1.1 企业规模发展迅速，信息网络安全意识淡薄

电力资源是我们社会生活中必不可少的一部分，电力企业在相对垄断的情况下，发展极其迅速，但在这样的过程中，我们可以看到，大多数电力企业仅仅对基础设施和简单的网络构建有着重视力度，却没有对安全信息系统的风险认识足够，这种情况下必然产生了诸如网络安全防御意识差，对网络信息安全防范的资金投入不足等不良情况的出现。企业规模越来越大，对企业安全信息系统的维护资金投入却并不高，网络安全技术没能及时加强，电力企业也就不能很好的抵御网络风险，对网络入侵也显得无所适从。

1.2 信息化安全资金投入少，管理机制有待完善

电力企业对安全信息网络的建设的重视并不充分，有些电力企业在管理过程中对信息管理部门完全忽视，只是将企业的网络信息安全的管理安排给几个技术员或挂靠到生产技术部门，电力企业作为高盈利企业却对信息安全资金投入并不充分，信息化管理制度也很不健全。电力企业安全信息机制的构建是个长期的系统工程，我们必须注意到构建专门的信息化部门的重要性，才能在激烈的市场竞争中使得电力企业更好的满足其发展体制对信息化管理的需求。

2 电力企业安全信息系统的主要问题

2.1 信息安全化管理未分区

国家电力管理委员会出台的5号规定，对电网企业、发电企业、供电企业等电力相关企业做出了有关其信息安全网络业务系统构建的明确规定，将这些企业的计算机和网络技术系统大致分为了管理信息的部分以及生产控制的区域。信息管理区域可以依托各个企业不同的经营管理模式对安全区进行划分，而生产控制区域一般来说应该由可控制区和非可控区两大部分构成。在这样两个大的区域之间，电力企业必须在国家电力监测认定部门的监督下安装电力生产专用的单向横向安全的隔离装置。如若不能很好的遵从这样一个标准对电力企业网络系统进行管理，就经常会出现企业管理信息大区部分网络直接可以对生产控制区域的数据进行访问，出现网络安全事件，影响电力企业的安全生产和发展。

2.2 网络端口接点存在风险

互联网技术的革新的步伐越来越快，企业的网络系统安全建设却并不牢靠，在部分环节仍然十分脆弱，在电力企业的信息安全网络建设中， Web程序漏洞、系统漏洞不断出现，对病毒的侵入无力抵抗，为黑客、病毒制造者提供了入侵的机会，这些信息安全威胁的发生可能会引起电力企业网络安全系统的瘫痪和网络故障，为企业造成了这些安全威胁使得企业利益造成了巨大的损失。在最近的一项调查数据中显示，电力企业中遭受到的网络安全信息系统威胁中约有70%是由于网络系统内部的危险侵袭。这种危害的可能发现于诸多方面：对于敏感数据的滥用，对于内部员工的信息监管不力使得信息泄露都提升了企业的运行风险。

2.3 互联网病毒的侵害

从口语传播时代到印刷传播时代，直至现在的网络传播时代，互联网的高速发展使得网络病毒也迅速得以传播和扩散。诸多的电力企业网络内外相连，覆盖范围相当广泛，网络病毒经常可以有机可乘，牵一发而动全身，从一台电脑的病毒侵害到整个电力网络系统，造成网络通信的阻塞，使得整个系统中的文件和关键数据得不到完整的保存，造成不可预计的后果。

2.4 信息安全人员防范意识较低

电力企业信息防范人员对信息安全应用系统的管理是保障信息网络安全系统的重要一部分。数据库操作系统的规划和防范都离不开信息安全人员的有力防范，但在如今的电力企业信息安全系统的管理过程中，相关人员防范意识低下的情况屡屡发生，由此引发的网络安全漏洞泄露了电力企业机密信息，造成了很大的安全隐患，使企业遭受安全冲击。用户的网络安全防范意识低下是现如今网络安全的通病，大多数的用户都认为网络自身有着一定的自我安全防范意识，对电脑提示的病毒预警视而不见，电力企业中也没有很好的避免这一点，部分工作人员重技术轻管理，网络安全信息管理机制的不完善，也给企业的网络带来了十分大的管理风险，这就迫切的要求应该对网络的安全机制进行完善，也应该主动自高工作人员自身的安全防范意识。

3 电力企业安全信息系统风险防御

3.1 防火墙技术的运用

防火墙技术是现今社会经常用于互联网风险防御的重要手段之一，多用于将可信任网络和非信任网络之间相隔开来。电力企业的生产经营和管理的过程中的运行调度中都应该加强在安全检查中对网络节点的关注，限制对含带危险信息的领域的访问。电力企业在生产经营、分散控制和运行调度的过程中对防火墙技术的运用有效的将信息的采集、整合和应用都限制在可掌控的范围内，在不同的权限内最大限度的合理的运用着相关资源。

3.2 网络病毒侵袭的防护

电力企业关系着国家重要电力资源的开发和应用，为了保护电力资源的安全，必须要从内到外的构建起全方位的网络病毒防侵害系统，更好的对来自于各个方面的病毒信息进行防护。只有提高了企业的整体安全性，在互联网和周边的局域网内都安装好防病毒侵袭的安全网关和内置的病毒防护软件，才能使得电力企业免受网络病毒的侵袭，各个方面的数据得以安全与稳定的保存。

在电力企业的网络准入控制系统中，对接入点客户的安全策略检测和身份认证都是必不可少的，若不能通过检测的用户应该被严令禁止在网络之外进行隔离。无论是无线用户还是有限用户，都将面对互联网访问客户端从验证、授权到阻止未授权的计算机网络资源的过程，只有在一系列的检测中得到审核通过才可以拿到进入内部网络的通行证，网络病毒越来越厉害，愈发侵入性越强，对此，电力企业对客户端主机应该进行更加严密的考察，不间断的对病毒特征信息库进行更新，维护好网络的完整和安全性。

3.3 虚拟网的数据备份技术

互联网技术的网络拓扑结构设置，加之很好的利用交换机、路由器等功能设置，可以使网络管理员将任何一个相关局域网内的一些网段结合起来，组成一个局域网。在这个局域网里的信息传递速度更加迅速，传播速度的加快使得网络信息安全生产过程中的管理效率得到提高，使得电力企业的数据被窃听的可能性不断的降低。与此同时，现在电力企业在大多数情况下都会对重要的资料进行数据库的备份工作，这样构建起对电力企业信息网络安全系统的应急预案，可以在出现网络侵袭时及时的对关键业务和应用程序进行保护，确保核心数据系统在出现损害时，企业核心安全得到保护。

3.4 终端设备的网络准入控制技术

可采用基于网关认证的硬件控制技术，实现对通过无线网络、有线网络、VPN网络、wifi网络等方式连接的设备进行接入控制。同时，采用“报备重定向+注册重定向”的双重认证保护技术，对非法接入的终端设备进行强制重定向安全检查。对不符合安全等级要求的终端设备，可根据系统策略限制用户接入网络或将其访问限制在隔离区。

网络准入控制技术应以细致、准确、迅速为原则，对网络资源访问进行控制，尤其是一些核心的网络应用，包括C/S、B/S以及服务器应用；以精益化的客户端联动管理为核心，基于多种授权方式，包括单用户授权、用户组授权、白名单授权等方式，实现对未受控客户端实施不同用户级别的可靠便捷的接入控制。

4 结论

电力企业的安全信息系统是电力企业信息化管理的重要内容之一，有效的对电力企业安全信息系统将要面临的风险进行评估并且提出切实可行的防御措施，是保障电力企业现代化管理的有力手段。随着近些年来互联网技术的增强，电力企业的安全系统构建也愈发的完善，为电力企业的良性循环运行提供了必要的技术支持和保障，因此，我们应该重视对互联网信息的保护，防御病毒的侵害，为为电力企业的安全信息系统的正常运行营造起安全的网络环境。

参考文献：

[1]陈伟.电力系统网络安全体系研究[J].电力系统通信，2008（01）.

[2]牟奕欣.关于电力系统的网络安全的探讨[J].中国经贸，2010（14）.

篇2

【关键词】信息安全；评估；标准；对策

保证信息安全不发生外泄现象，是至关重要的。可是，现在我国信息安全保障和其它先进国家相比，仍难望其项背，还有不少问题迫切需要我们着手解决：

中国保证信息安全工作经历了三个时期。第一时期是不用联网，只作用于单一电脑的查杀和防控病毒软件；第二个时期是独立的防止病毒产品向为保证信息安全采用的成套装备过渡时期；第三个时期是建设保证信息安全的系统时期。

1 需要解决与注意的问题

信息安全保障的内容和深度不断得到扩展和加深，但依然存在着“头痛医头，脚痛医脚”的片面性，没有从系统工程的角度来考虑和对待信息安全保障问题；信息安全保障问题的解决既不能只依靠纯粹的技术，也不能靠简单的安全产品的堆砌，它要依赖于复杂的系统工程、信息安全工程（system security engineering）；信息安全就是人们把利用工程的理论、定义、办法和技术进行信息安全的开发实施与维护的经过，是把通过岁月检验证明没有错误的工程实施步骤管理技术和当前能够得到的最好的技术方法相结合的过程；由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统，因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。

2 安全检测标准

2.1 CC 标准

1993年6月，美国、加拿大及欧洲四国协商共同起草了《信息技术安全评估公共标准CCITSE（commoncriteria of information technical securityevaluation）》，简称 CC，它是国际标准化组织统一现有多种准则的结果。CC标准，一方面可以支持产品（最终已在系统中安装的产品）中安全特征的技术性要求评估，另一方面描述了用户对安全性的技术需求。然而，CC 没有包括对物理安全、行政管理措施、密码机制等方面的评估，且未能体现动态的安全要求。因此，CC标准主要还是一套技术性标准。

2.2 BS 7799标准

BS 7799标准是由英国标准协会（BSI）制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，包括：BS 7799-1∶1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则；BS7799-2∶2002 以 BS 7799-1∶1999为指南，详细说明按照 PDCA 模型，建立、实施及文件化信息安全管理体系（ISMS）的要求。

2.3 SSE-CMM 标准

SSE-CMM（System Security EngineeringCapability Maturity Model）模型是 CMM 在系统安全工程这个具体领域应用而产生的一个分支，是美国国家安全局（NSA）领导开发的，它专门用于系统安全工程的能力成熟度模型。

3 网络安全框架考察的项目

对网络安全进行考察的项目包括：限制访问以及网络审核记录：对网络涉及的区域进行有效访问控制；对网络实施入侵检测和漏洞评估；进行网络日志审计并统一日志时间基准线；网络框架：设计适宜的拓扑结构；合乎系统需求的区域分界；对无线网接入方式进行选择方式；对周边网络接入进行安全控制和冗余设计；对网络流量进行监控和管理；对网络设备和链路进行冗余设计；网络安全管理：采用安全的网络管理协议；建立网络安全事件响应体系；对网络设备进行安全管理。网络设备是否进行了安全配置，并且验证设备没有已知的漏洞等。对网络设置密码：在网络运输过程中可以根据其特点对数字设置密码；在认证设备时对比较敏感的信息进行加密。

4 安全信息检测办法

4.1 调整材料和访问

调整材料和访问是对安全信息检测的手段。评估人员首先通过对信息系统的网络拓扑图、安全运作记录、相关的管理制度、规范、技术文档、历史事件、日志等的研究和剖析，从更高的层次上发现网络系统中存在的安全脆弱性。并找准信息资产体现为一个业务流时所流经的网络节点，查看关键网络节点的设备安全策略是否得当，利用技术手段验证安全策略是否有效。评估专家经验在安全顾问咨询服务中处于不可替代的关键地位。通过对客户访谈、技术资料进行分析，分析设备的安全性能，而且注意把自己的实际体会纳入网络安全的检测中。

4.2 工具发现

工具发现是利用扫描器扫描设备上的缺陷，发现危险的地方和错误的配置。利用检测扫描数据库、应用程序和主机，利用已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，从而把主机、应用系统、网络设备中存在的不利于安全的因素恰切地展现出来。

4.3 渗透评估

渗透评估是为了让使用的人员能够知道网络当前存在的危险以及会产生的后果，从而进行预防。渗透评估的关键是经过辨别业务产业，搭配一定手段进行探测，判断可能存在的攻击路径，并且利用技术手段技术实现。由于渗透测试偏重于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于渗透测试的某些手段可能引起网络流量的增加，因此可能会引起被测试目标的服务质量降低。由于中国电信运营商的网络规范庞大，因此在渗透测试的难度也较大。因此，渗透层次上既包括了网络层的渗透测试，也包括了系统层的渗透测试及应用层的渗透测试。合法渗透测试的一般流程为两大步骤，即预攻击探测阶段、验证攻击阶段、渗透实施阶段。不涉及安装后门、远程控制等活动。

我国信息安全要想得到保证，需要有一定的信息安全监测办法。依靠信息安全监测办法对中国业务系统和信息系统整体分析和多方面衡量，将对中国信息安全结论的量化提供强有力的帮助，给我国所做出的重要决策实行保密，对中国筹划安全信息建设以及投入，甚至包括制定安全信息决策、探究与拓宽安全技术，都至关重要。因而，制定我国信息安全检测办法，是一项不容忽视的重要工作。

【参考文献】

[1]曹一家，姚欢，黄小庆，等.基于D-S证据理论的变电站通信系统信息安全评估[J].电力自动化设备，2011，31（6）：1-5.

[2]焦波，李辉，黄东，等.基于变权证据合成的信息安全评估[J].计算机工程，2012，38（21）：126-128，132.

[3]张海霞，连一峰.基于测试床模拟的通用安全评估框架[J].信息网络安全，2013，（z1）：13-16.

篇3

关键词：信息安全；风险评估；脆弱性；威胁

1. 引言

随着信息技术的飞速发展，关系国计民生的关键信息资源的规模越来越大，信息系统的复杂程度越来越高，保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点，它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定，以成本一效益平衡的原则，通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。

2．网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。

网络信息安全具有如下6个特征：（1）　保密性。即信息不泄露给非授权的个人或实体。（2）完整性。即信息未经授权不能被修改、破坏。（3）可用性。即能保证合法的用户正常访问相关的信息。（4）可控性。即信息的内容及传播过程能够被有效地合法控制。（5）可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。

而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。

网络信息安全的风险因素主要有以下6大类：（1）自然界因素，如地震、火灾、风灾、水灾、雷电等；（2）社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；（3）网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；（4）软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；（5）人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；（6）其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

3．安全风险评估方法

3.1　定制个性化的评估方法

虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

3.2　安全整体框架的设计

风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期　1～2　年内框架，这样才能做到有律可依。

3.3　多用户决策评估

不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决策”评估，也需要一个具体的流程和方法。

3.4　敏感性分析

由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

3.5　集中化决策管理

安全风险评估需要具有多种知识和能力的人参与，对这些能力和知识的管理，有助于提高评估的效果。集中化决策管理，是评估项目成功的保障条件之一，它不仅是项目管理问题，而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人，去执行相应的关键任务。如控制台审计和渗透性测试，由不具备攻防经验和知识的人执行，就达不到任何效果。

3.6　评估结果管理

安全风险评估的输出，不应是文档的堆砌，而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统，但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统，使用它来指导评估过程，管理评估结果，以便在管理层面提高评估效果。

4．风险评估的过程

4.1　前期准备阶段

主要任务是明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。

4.2　中期现场阶段

编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究阶段。

4.3　后期评估阶段

撰写系统测试报告。进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。

5．风险评估的错误理解

（1）　不能把最终的系统风险评估报告认为是结果唯一。

（2）不能认为风险评估可以发现所有的安全问题。

（3）　不能认为风险评估可以一劳永逸的解决安全问题。

（4）不能认为风险评估就是漏洞扫描。

（5）不能认为风险评估就是　IT部门的工作，与其它部门无关。

（6）　不能认为风险评估是对所有信息资产都进行评估。

6．结语

总之，风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分，是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求，但是，信息安全评估工作的实施也存在一定的难题，涉及信息安全评估的行业或系统各不相同，并不是所有的评估方法都适用于任何一个行业，要选择合适的评估方法，或开发适合于某一特定行业或系统的特定评估方法，是当前很现实的问题，也会成为下一步研究的重点。

参考文献：

[1] 刚 , 吴昌伦. 信息安全风险评估的策划[J]. 信息技术与标准化 , 2004,(09)

[2] 贾颖禾. 信息安全风险评估[J]. 中国计算机用户 , 2004,(24)

[3] 杨洁. 层次化的企业信息系统风险分析方法研究[J]. 软件导刊 , 2007,(03)

[4] 杨晨. 建立健全信息安全风险评估工作机制势在必行——信息安全专家赵战生访谈[J]. 当代通信 , 2004,(22)

篇4

10月8日，美国众议院情报委员会报告称，总部设在中国深圳的华为和中兴通讯，有可能对美国国家安全构成威胁，并建议美国禁止两家公司在美展开业务。此后1个多月时间里，相关各方展开激烈的论辩冲撞，至今尚未有最终结论。

随着此事的进一步发酵，一场关于中国信息安全的反思也悄然渐起。通过美国立法、政府部门与企业在此事中的种种作为，行业人士认为，中国信息安全亦处于威胁中，且需要从制度、监管等各个环节进行调整。

美国之鉴

“华为中兴在美国受到调查的事件教育了我们，要重新调查技术标准、法律法规，以及监管机构和电信运营商在网络信息安全中的角色和作用，建立起安全的防护墙。”11月14日，电信专家陈金桥向《财经国家周刊》记者表示。

在这一事件爆发后，多个领域的专家，一直对于中美两国公司在对方市场受到的不对等待遇表示不满。外界普遍认为，此次调查的主要推动力并不是美国政府，而更多是在大选年背景下，思科等公司与一些政客假国家信息安全之名，蓄谋打击竞争对手的手段。

但不论如何，在此过程中，美国从调查、立法到政府介入的各个环节，都已经形成一个通畅的体系，这值得中国借鉴。

“比如，美国对中兴与华为的调查，并不是政府进行的，而是众议院下属的情报委员会。”一位深度参与此次事件的设备厂商人士说，“这份报告本身没有任何的法律约束力，但如果报告通过议会，则可能迅速演变为立法，从而形成一个坚固壁垒。”

与之对应的是，中国对外资厂商的信息安全监管却并未在立法层面建立类似的机制。这就导致在面临信息安全威胁或国际摩擦时，政府干预会破坏规则或被人指责，不干预则无法形成有效的防范或对抗，从而陷入两难的困局。

就此，多位接受采访的专家建议，中国应考虑效法美国，在人大下设常态化的外国投资审查委员会，并对相关企业进行审查监督。

与此同时，基础网络建设层面相关法规的缺失，也导致中国网络安全无法得到充分保障。虽然早在2003年，中国就出台第一部信息安全纲领性文件《关于加强信息安全保障工作的意见》（中办发[2003]27号文），但直到现在，信息安全依然缺少一个完整保障信息安全的法律体系。

《财经国家周刊》从工信部获悉，工信部信息安全协调司经过2011年的专项调研，已于2012年上半年曾形成相关报告。报告表示，仅在涉及个人信息保护方面，相关法规条文就已经众多，其中涉及个人信息保护的法律有将近40部、最高人民法院出台10条个人信息保护相关的司法解释、国务院的有关个人信息保护的法规约有30部、而各大部委颁布的相关部门条例、管理办法、规定，更是多达近200部，这还不包括各省级以下政府颁布的区域性政策和规定。

然而，这些文件大多是针对具体问题，在总体上，个人信息保护领域的法律法规，却仍然不成体系，对基础网络建设信息安全领域保护，更是缺少明确的、体系化的法律文本。

《财经国家周刊》从工业和信息化部（下称“工信部”）相关部门获得的资料表明，工信部2011年已经启动信息保护立法调研和研究工作，并约谈了包括百度、腾讯等诸多互联网公司。

监管调整

降了立法层面之外，专家也建议，中国应建立更加立体化的国家网络信息安全评估保障机制。

一位资深行业人士说，中国一直没有真正着手信息安全体系，更多是由于历史原因。

“就最基础的通信设备和网络设备来说，中国最早是没有自己的工业基础的，在上个世纪90年代以前，基本上都是依赖进口，而且在早期我们还处于大发展阶段，每年都需要兴建大量的网络，在那个阶段，对系统设备的要求基本上只有最低的要求：能用就行。”该人士说，虽然当年的信产部及后来的工信部，都设立了入网检测机构与检测程序，但这一程序也更多是对于设备可用性的检测，对信息安全的评估并没有提到最为重要的等级。

但随着时代变化，当各国的信息通信流量爆涨，并全面渗透进入政府、军事、商业、工业与公众服务的各个环节之后，信息安全的作用变得日益重要。

“信息安全关系到国家的政治安全、经济安全、文化安全、国防安全和社会稳定，尤其网络信息安全已经成为事关国家安全的第一安全，信息技术产业的发展也就直接关系对国家安全的基本保障能力。”工信部软件与集成电路促进中心主任邱善勤说，当前，世界各国都将信息技术和信息安全的自主可控能力与维护国家安全的能力紧密联系在一起，控制与反控制的斗争甚至已经对国与国之间的外交、经贸等关系产生了重要影响。

与此同时，信息安全事故的破坏性越来越大，信息安全问题也越来越成为焦点。近两年来，微软、亚马逊、谷歌等企业纷纷发生重大信息安全事故，“震网”病毒更给伊朗造成巨大损失。信息安全事故频发，也引起了各国政府的高度重视。比如在美国，奥巴马将网络安全问题视为最严重的国家经济和国家安全挑战之一，提出将数字基础设施视为国家战略资产予以保护，并组建了网络战司令部。日本则通过了《保护国民信息安全战略》，重点加强铁路、金融系统重要信息基础设施的安全防范。

“这也是为什么利益相关方以信息安全为借口指控中兴华为时，美国各方立刻高度紧张的原因。”前文提及资深行业人士说。

问题在于，由于过去在开放环境下的高速发展，中国过去是既没有行业标准，也没有法律要求，没有合格的检测机构，对于信息安全成体系的评估监管，尤其在设备领域，几乎是一个空白。该人士说，在此过程中，过去政府对行业基本没有做强制性的规范，也缺乏强制手段和检测手段，而是把权放给了基础运营商，但在商业环境下，运营商所进行的检测乃至防范往往会不自觉地放松要求。

“所以，中国现在除了继续开放市场，积极与海外厂商合作外，也要注意保护与捍卫自己的核心利益与国家安全，重新改变政府与企业过去在对信息安全体系中的定位和分工。”陈金桥认为。

据《财经国家周刊》了解，中国从决策层到各个部委，在此之前就已开始意识到相关的风险，并开始考虑如何要进一步强化信息安全领域的管理，包括来自物理网络层面的国家安全和来自互联网传输过程中的个人信息安全。

威胁仍在

《财经国家周刊》获得的一份资料表明，以思科、微软等为主的美国IT公司，仍然占据着中国基础网络核心。

目前，中国市场仍是思科全球范围内唯一没有占据垄断地位的区域市场，但这一市场主要份额，仍被思科和H3C两个美国公司占据。2011年，H3C销售收入14.6亿美元，而思科在华收入略低于H3C，约占思科全球收入3%。但有报道称，思科中国业务的利润高达思科整体利润的30%。

《财经国家周刊》获得的文件表明，思科网络设备广泛应用于中国信息网络关键领域，包括运营商骨干网络、医疗网络、航空和交通网络，乃至金融网络、政府网络，甚至于军队网络。

“值得警惕的是，包括思科、微软等在内的大多数美国公司，在中国占据了庞大的市场份额和商业机会的同时，一直没有向中国政府开放相关源代码，而这些美国公司在中国信息网络的关键领域，同样长期占有较大份额。”中国通信标准化协会理事、迈普通信CEO肖志辉对《财经国家周刊》表示，“中国政府应当为自身安全考虑，未来应对包括思科、微软在内的美国公司予以相应审查，以防范关键信息被窃取的事件继续发生。”

与此同时，正在兴起的云计算业务中也存在类似风险。一位行业人士说，中小企业如果没有主机系统，只有一个服务的平台，大量的经济信息与商业秘密就会成半状态呈现在云服务器上。为此，欧盟此前就有要求，在12到18个月之内，所有入云中小企业的信息都必须全部删除，而且不允许跨境传播。但外国的技术商向中国客户提供这一服务时，却一直在掩盖这一事实。

篇5

一、如何看待安全预算

安全预算是各类企事业单位为保护信息资产，保证自身可持续发展而投入的资金，是一种预防行为。安全预算多少合适，是不是投入得太多了？虽然安全问题越来越受到重视，但是网络安全事件仍然是呈现递增趋势。从安全预算角度分析原因：一是预算不足；二是预算不到位。

在国外，安全投入占企业基础建设投入的5%～20%，这人比例在中国的企事业中却很少超过2%。从风险的角度看，就是要平衡成本与风险之间的关系，用一百万美金保护三十万的资产，显然是不可接受的，但是如果资产的价值超过了一千万美金，产生的效益就显而易见，目前用一个量化的方法来计算信息化建设对于战略发展的贡献确实比较难。一年下来，并没有发生重大的信息安全事件，年初的安全预算可能就会被质疑投入太多了；如果发生了不可接受的安全事件，那就成了预算部门的责任。安全预算到底够不够？我们可以通过宏观的情况来分析一下风险与成本的关系，每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算，我国也有数百亿美元的经济损失，然而安全方面的投入却不超过几十亿美元。由此可以看出，我国整体信息化建设，安全预算不足。

一个单位在安全方面投入了很多，但是仍然发生“不可接受的”信息安全事故。信息安全理论中有名的木桶理论，很好的解释了这种现象。如很多企业每年在安全产品上投入大量资金，但是却不关注内部人员的考察、安全产品有效性的审核等安全要素，缺乏系统的、科学的管理体系支持，都是导致这种结果产生的原因。

二、 科学制定安全预算

信息安全的预算如何制定？其实要解决的就是预算多少和怎么用的问题。说安全预算难做，一是因为信息安全涉及到很多方面的问题，例如：人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。安全预算是否合理，应该关注以下几个方面：（1）是否“平衡”了成本与风险的关系；（2）是否真正用于降低或者消除信息安全风险，而不是引入了新的不可接受风险；（3）被关注的风险是否具有较高的优先等级。

信息安全风险评估恰恰解决了以上问题，通过制定科学的风险评估方法、程序，对那些起到关键作用的信息和信息资产进行评估，得出面临的风险，然后针对不同风险制定相应的处理计划，提出所需要的资源，从而利用风险评估辅助安全预算的制定。

三、 风险评估过程

目前国际和国内都有一些比较成熟的风险评估标准及指南，通常包括下述几个过程：（1） 确定评估的范围、目的、评估组、评估方法等；（2）识别评估范围内的信息资产；（3）识别对于这些资产的威胁；（4）识别可能利用这些威胁的薄弱点；（5）识别信息资产的损失给单位带来的影响；（6）识别威胁时间发生的可能性；（7）根据“影响”及“可能性”计算风险；（8）确定风险等级及可接受风险的等级。