网络安全成熟度评估精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇网络安全成熟度评估，期待它们能激发您的灵感。

篇1

（1）安全漏洞攻击。任何一个计算机系统都不是十全十美的，都存在某些漏洞。这些系统无意中的漏洞缺陷，却成为黑客攻击的通道。当运行在客户机或服务器的系统程序包含着漏洞代码时，黑客就能利用这些问题来实施攻击。

（2）拒绝服务攻击。这是黑客最常用的攻击方式之一，通常是使服务器出现如下结果：服务器的缓存区存满而无法收到新的请求或者利用IP欺骗的方式影响服务器与合法用户的连接。攻击者通常通过某种方式使目标主机来停止提供服务从而达到攻击网络的目的。拒绝服务攻击中最常见的方式是对网络的可用带宽或连通性的攻击。拒绝服务攻击对网络来说一直是一个得不到有效解决的问题，这主要是由网络协议的本身安全缺陷所造成的，因此拒绝服务也就成了入侵者终极的攻击手段。

2网络安全策略与防范措施

（1）攻击发生之前的防范措施。防火墙技术能够最大限度识别与阻挡非法的攻击行为。它通过网络边界的一种特殊的访问控制构件来隔离内网和外网及其它的部分间的信息交流。根据网络的体系结构，可以分别设置网络层IP分组过滤的防火墙、传输层的链路级防火墙及应用层的应用级防火墙。

（2）攻击过程的防范措施。随着网络技术的发展，攻击者使用的工具和方法也变得更加复杂多样，所以单纯采用防火墙已不能够满足用户的安全需求。因此，网络防护要向纵深和多样化的方向发展。这样，入侵检测技术得到了应用。

（3）攻击后的防范措施。当防火墙及入侵检测技术都记录到危险的动作及恶意的攻击行为之后，一旦网络遭受攻击以后，计算机可根据其记录来分析攻击的方式，从而尽快地弥补系统存在的漏洞，防止相同攻击的再次发生。

（4）全方位防范措施在物理安全层面可以采取以下的措施：选用质量较好的网络硬件设备；对关键设备及系统,进行系统的备份；加强机房安全防护，防火、防盗，同时加强网络设备及安全设备的防护。信息安全方面要保证信息的真实性、完整性和机密性。因此，要将计算机中的重要或者隐私的数据加密，在数据的传输过程中也要进行加密传输。使用链路加密、端点加密和节点加密3种加密方式来确保信息传输的安全。访问控制措施是保证资源不被非法的使用与访问的有效措施。它包括入网的访问控制、操作权限的控制、目录安全的控制、属性安全的控制、网络服务器安全的控制、网络的监测、锁定的控制及防火墙的控制等7个方面的控制内容。因此，它是维护网络的安全和保护资源的一个重要的手段。

3网络攻击的效果评估方法

网络攻击效果评估是研究复杂网络环境中怎样对信息系统所进行的网络攻击效果来定性或者定量评估的结果，从而由此检验攻击有效性与网络的系统安全性等。进行网络的攻击效果评估在信息系统安全评估的过程中有着十分重要的意义。首先，网络的构建部门通过对网络进行攻击模拟及自我评估来检验系统安全特性；其次，当对敌方恶意的攻击进行反击时，网络的攻击效果评估还能够为网络的反击样式及反击强度制定合理的应对方案。现有的评估方式可分为安全审计、风险分析、能力成熟模型及安全测评四类。

（1）安全审计。将安全审计做为核心的评估思想是将是否实施最佳实践和程度进行系统安全性评估。此类模型主要包括：美国的信息系统的审计与控制协会COBIT、德国IT安全基本保护手册及美国审计总署自动信息系统的安全审计手册等。此方式主要是针对信息系统的安全措施的落实和安全管理，这是一种静态的、瞬时测量方法。

（2）风险分析。风险分析模型主要从风险控制的角度来进行安全的评估和分析。一般的方法是通过对要进行保护的IT资源的研究，假设出这些资源可能存在的漏洞和安全威胁，然后对这些漏洞和威胁对资源可能所带来的后果进行预算，通过数学概率统计对安全性能进行测量，对可能产生的损失大部分进行量化。然后提取出所需来进行风险控制，从而降低风险，把安全风险控制到能够接受的范围之内。风险的管理是动态的及反复测量的过程。现有的通用信息安全的标准，例如15013335和15017799等，核心的思想都源于风险安全的理念。

（3）能力成熟度模型。能力成熟度模型主要是由过程（Process）保证其安全。最著名的能力成熟模型是系统工程安全的能力成熟度模型。系统工程安全的能力成熟度模型的基本原理是通过将安全工程的过程管理途径，把系统的安全工程转化成为定义好、成熟、可测量的一个过程。该模型把安全能力共划分成5个等级，从低到高进行排序，低等级的是不成熟、难控制安全能力，中等级的是能管理、可控的安全能力，高等级的则是可量化、可测量的安全能力。能力成熟度模型为动态、螺旋式的上升模型。

（4）安全测评。安全测评主要更多从安全的技术及功能与机制方面来对信息系统安全进行评估。早期安全测评方案有美国国防部的TCSEC，它的优势是比较适用于计算机安全，尤其是操作系统的安全进行度量，对计算机操作系统的等级的划分有着相当大的影响力。

4结语

篇2

网络安全策略与防范措施

（1）攻击发生之前的防范措施。防火墙技术能够最大限度识别与阻挡非法的攻击行为。它通过网络边界的一种特殊的访问控制构件来隔离内网和外网及其它的部分间的信息交流。根据网络的体系结构，可以分别设置网络层IP分组过滤的防火墙、传输层的链路级防火墙及应用层的应用级防火墙。（2）攻击过程的防范措施。随着网络技术的发展，攻击者使用的工具和方法也变得更加复杂多样，所以单纯采用防火墙已不能够满足用户的安全需求。因此，网络防护要向纵深和多样化的方向发展。这样，入侵检测技术得到了应用。（3）攻击后的防范措施。当防火墙及入侵检测技术都记录到危险的动作及恶意的攻击行为之后，一旦网络遭受攻击以后，计算机可根据其记录来分析攻击的方式，从而尽快地弥补系统存在的漏洞，防止相同攻击的再次发生。（4）全方位防范措施在物理安全层面可以采取以下的措施：选用质量较好的网络硬件设备；对关键设备及系统,进行系统的备份；加强机房安全防护，防火、防盗，同时加强网络设备及安全设备的防护。信息安全方面要保证信息的真实性、完整性和机密性。因此，要将计算机中的重要或者隐私的数据加密，在数据的传输过程中也要进行加密传输。使用链路加密、端点加密和节点加密3种加密方式来确保信息传输的安全。访问控制措施是保证资源不被非法的使用与访问的有效措施。它包括入网的访问控制、操作权限的控制、目录安全的控制、属性安全的控制、网络服务器安全的控制、网络的监测、锁定的控制及防火墙的控制等7个方面的控制内容。因此，它是维护网络的安全和保护资源的一个重要的手段。

网络攻击的效果评估方法

网络攻击效果评估是研究复杂网络环境中怎样对信息系统所进行的网络攻击效果来定性或者定量评估的结果，从而由此检验攻击有效性与网络的系统安全性等。进行网络的攻击效果评估在信息系统安全评估的过程中有着十分重要的意义。首先，网络的构建部门通过对网络进行攻击模拟及自我评估来检验系统安全特性；其次，当对敌方恶意的攻击进行反击时，网络的攻击效果评估还能够为网络的反击样式及反击强度制定合理的应对方案。现有的评估方式可分为安全审计、风险分析、能力成熟模型及安全测评四类。（1）安全审计。将安全审计做为核心的评估思想是将是否实施最佳实践和程度进行系统安全性评估。此类模型主要包括：美国的信息系统的审计与控制协会COBIT、德国IT安全基本保护手册及美国审计总署自动信息系统的安全审计手册等。此方式主要是针对信息系统的安全措施的落实和安全管理，这是一种静态的、瞬时测量方法。（2）风险分析。风险分析模型主要从风险控制的角度来进行安全的评估和分析。一般的方法是通过对要进行保护的IT资源的研究，假设出这些资源可能存在的漏洞和安全威胁，然后对这些漏洞和威胁对资源可能所带来的后果进行预算，通过数学概率统计对安全性能进行测量，对可能产生的损失大部分进行量化。然后提取出所需来进行风险控制，从而降低风险，把安全风险控制到能够接受的范围之内。风险的管理是动态的及反复测量的过程。现有的通用信息安全的标准，例如15013335和15017799等，核心的思想都源于风险安全的理念。（3）能力成熟度模型。能力成熟度模型主要是由过程（Process）保证其安全。最著名的能力成熟模型是系统工程安全的能力成熟度模型。系统工程安全的能力成熟度模型的基本原理是通过将安全工程的过程管理途径，把系统的安全工程转化成为定义好、成熟、可测量的一个过程。该模型把安全能力共划分成5个等级，从低到高进行排序，低等级的是不成熟、难控制安全能力，中等级的是能管理、可控的安全能力，高等级的则是可量化、可测量的安全能力。能力成熟度模型为动态、螺旋式的上升模型。（4）安全测评。安全测评主要更多从安全的技术及功能与机制方面来对信息系统安全进行评估。早期安全测评方案有美国国防部的TCSEC，它的优势是比较适用于计算机安全，尤其是操作系统的安全进行度量，对计算机操作系统的等级的划分有着相当大的影响力。

结语

篇3

【关键词】 网络会计； 风险分析； 会计内控指标体系； 模糊评价法； 绩效评价

中图分类号：F232；F272.35文献标识码：A文章编号：1004-5937（2014）16-0083-05目前，中国很多企业实施了网络会计信息系统，但对网络环境下产生的安全威胁不够重视，未及时完善自身的内控体系，增加了内部控制的不安全性，从而影响到会计信息的安全。因此，研究网络会计信息系统下内部控制的安全问题，帮助企业建立一个新的、更有效的内部控制指标体系很有意义。

文章基于传统内部控制评价体系网络化下赋予的新含义，重新构建了网络会计内部控制的安全评价体系，以实现对会计内控目标、会计内控环境、财务风险监控与管理控制、信息技术控制、财务监督问责、信息沟通等安全控制方面的评价。

一、网络会计内部控制体系的理论基础

（一）传统内部控制体系

2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》，要求企业建立实施的内部控制包括下列五个要素：内部环境、风险评估、控制活动、信息与沟通以及内部监督。这五个部分也可作为评价内部控制系统有效性的标准。

（二）网络会计内部控制风险分析

内部控制主要是控制好风险，因此，笔者首先对网络会计信息系统进行安全分析，然后运用各种方法和工具找出各个流程的潜在风险，最终建立起风险的详细清单，如表1所示。

二、构建网络会计内部控制安全评价体系

处于经济转型期的我国企业面临经营风险及外部环境的变化，内控体系应及时作出相应的调整，构建适应信息化环境的内部控制框架。其中控制网络会计带来的新变化是重点，所有内控要素都要从信息化会计系统的特征出发加以通盘考虑。内部安全控制框架如图1所示。

在网络会计内部控制体系之下，根据每一类控制因素的活动域，首先将其分解为关键过程域，然后将该过程域细化到具体的关键控制点。本文将对体系中六个控制因素的活动域，按照关键过程域到关键控制点的步骤来分别描述。

（一）会计内控目标

1.建立符合国内外法律、法规，面向会计部门并结合部门内部网络会计实际情况的内部控制体系。

2.梳理网络会计下的内部管理流程。

3.不断完善内部控制体系，与企业战略目标相融合，向全面风险管理体系过渡，建立风险管理和内部控制长效管理机制。

（二）会计内控环境

1.更新信息化观念

为了适应网络发展的新形势，企业领导要树立市场观念、竞争观念，重视会计信息化，同时企业要结合先进的管理理念和现代化方法，更新现有会计信息系统。

2.明确会计部门分工

财务部下应设置信息部门和业务部门。信息部门提供信息技术服务和系统运行监督；业务部门负责批准、执行业务和资产保管等。

3.提高财务人员安全意识

（1）将会计信息安全方针与安全考察方针形成书面文件；（2）与重要的会计人员签署保密协议；（3）对会计人员进行信息安全教育与培训。

（三）财务风险监控与管理

1.财务风险监控

（1）识别关键控制点；（2）更新预警模型。实时监控潜在的风险，将全方位的信息转换成财务指标，加入到预警模型中，实现资源共享和功能集成。

2.财务风险管理

（1）适当利用自动化控制来代替手工控制；（2）可在系统外部执行部分关键的手工操作。

（四）信息技术控制

1.系统构建控制

（1）制定信息系统开发战略；（2）选择合适的系统开发方式。

2.严密的授权审批制度

（1）操作权限与岗位责任制；（2）重点业务环节实行“双口令”。

3.系统操作控制

（1）数据输入控制；（2）数据处理控制；（3）数据输出控制。

4.会计数据安全管理

（1）会计数据备份加密；（2）会计数据传输加密；（3）用户访问控制；（4）服务器加密。

（五）财务监督与问责

主要是内部审计管理：

（1）定期审计会计资料，检查会计信息系统账务处理的正确性；（2）审查机内数据与书面资料的一致性；（3）监督数据保存方式的安全性和合法性，防止非法修改历史数据；（4）审查系统运行各环节，发现并及时堵塞漏洞等。

（六）信息沟通

会计信息的沟通与交流应贯穿整个内控体系中。

1.管理层重视

管理层应高度重视及支持信息系统的开发工作，确保各职能部门信息系统在信息交流上高度耦合。

2.严密的组织保障

各部门通过控制系统识别使用者需要的信息；收集、加工和处理信息，并及时、准确和经济地传递给相关人员。

3.体系化的制度保障

建立健全会计及相关信息的报告负责制度，使会计人员能清楚地知道其所承担的责任，并及时取得和交换他们在执行、管理和控制经营过程中所需的信息。

三、基于模糊评价法的内控评价体系应用 研究

网络会计信息系统内控体系绩效评价的应用研究主要利用成熟度模型来划分内部会计控制因素的等级，基于模糊评价法来进行安全绩效评价，最后得出相应的结论。

（一）模糊综合评价法的应用

模糊综合评价法是以模糊数学为基础，将一些不易定量的因素定量化，从多个因素对被评价事物隶属等级状况进行综合性评价。

一是对网络会计内控体系进行成熟度划分。

二是依据成熟度模型来确定评价因素和评价等级。设：U=｛?滋1，?滋2，?滋3，…，?滋m｝为被评价对象的m个评价指标V=｛v1，v2，v3，…，vn｝；为每一个因素所处的状态的n种等级。

三是确定权重分配。

四是进行全面的调查访问，并建立评价表。

五是建立模糊评价矩阵，得出多级模糊的综合等级。

六是得出关键控制点的评级表。

七是得出评价结果。

（二）模糊综合评价法的应用

本节针对上述内控体系中的信息技术控制因素，对其应用模糊评价法来进行分析，其他控制因素的评价方法与此例相同。

1.成熟度评价标准

借鉴能力成熟度模型（CMM），同时考虑网络会计信息系统的特点，将内控流程评价标准划分为六级：不存在级、初始级、已认识级、已定义级、已管理级、优化级。完善后的内部会计控制成熟度评价标准如表2所示。

表2中等级的划分是针对会计信息系统内部控制体系总体情况而言。具体到网络会计内部控制的每一级指标建立成熟度模型时，各个流程也分为以上六个等级。

2.成熟度模型

建立了成熟度评价标准之后，便可根据网络会计内部控制体系列出控制内容、关键过程域及关键控制点。本文以信息技术控制为例建立具体模型，该控制因素的成熟度模型如表3所示。

3.权重分配

我国学者辛金国、范炜采用德尔菲法，通过问卷调查的方式得到传统内部控制五要素中控制环境权重为30%、风险评估为12.9%、控制活动为25.2%、信息与沟通为28%、监督为3.9%。

本文赋权采用德尔菲法，并结合网络会计的特点，控制内容的权重分配如表4、表5所示。

4.评价表

建立起三级的指标体系结构之后，分别对审计机构、信息安全机构、公司管理层及普通员工四个方面进行调查。每一类对象都挑选10人（总共40人）进行调查访问，每位专家、管理者及员工分别运用实地观察法、流程图法、专业判断法或工作经验法，按照指标执行情况，对每一项关键控制点依照成熟度模型赋予安全等级分值，表格的内容代表选择该等级的人数，整理后得出评价表，如表6所示。

5.模糊评价矩阵

首先，用表6中每个级别的分值除以总人数40，得出的评价结果构成关键过程域的模糊评价矩阵R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，进行关键控制域模糊矩阵运算，B4j=A4j・R4j

B41=［0.5 0.5］・R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，计算控制内容的模糊矩阵运算，Vi=Ai・Bi

V4=［0.2 0.3 0.25 0.25］・B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，计算信息技术控制的综合得分G4=V4・ ［0 1 2 3 4 5］T=2.78875。

6.评级表

对各关键控制点的分值进行加权平均计算，根据得出的数所靠近的级别，从而判断其成熟度级别，公式是：

单项关键控制点评价得分=Σ（该关键控制点的分值×对应的等级数）÷40

每一项关键控制点通过上述公式计算得出的评级表如表7所示。

依据内控流程的成熟度，对照单项关键控制点的评级，赋予其合适的等级区间。

7.评价结果

根据模糊矩阵法运算出的信息技术控制的综合评分为2.78875，在2―已认识级与3―已定义级之间，接近3―已定义级。

根据表7，可以针对公司的信息技术控制关键控制点的绩效作出如下评价：

公司在适当的信息系统开发方式、操作权限与岗位责任制、操作控制以及会计数据存储加密中做得较好，评级基本在3―已定义级以上。

公司在内部会计控制中的信息系统开发的战略规划、重点业务环节的安全控制、会计数据安全管理、对外来人员的访问控制、对内部服务器的安全管理均需要进一步加强。

四、结语

网络会计具有开放性、及时性、分散性与共享性的特点，根据其特点，本文建立了信息化内部会计控制体系，主要包含会计内控目标、会计内控环境、财务风险监控与管理、信息技术控制、财务监督问责、信息沟通六个方面。在安全分析过程中，列出了风险清单，让财务部门负责人更全面地了解到面临的各级风险。发现风险是第一步，第二步便是管理风险，公司应分别从内部会计控制的六个方面进行体系化的控制，其中最重要的便是利用信息技术控制来保障网络会计信息系统的内部安全和计算机网络安全。最后，本文运用模糊评价法，对网络会计信息系统内部控制评价体系进行应用研究，以信息技术控制为例，对其安全内控体系进行了评价及实证分析。

【参考文献】

［1］ 王晓玲.基于风险管理的内部控制建设［M］.北京：电子工业出版社，2010：100-102.

［2］ 陈志斌.信息化生态环境下企业内部控制框架研究［J］.会计研究，2007（1）：30-37.

［3］ 杜洪涛.网络环境下会计电算化信息系统安全探讨［J］.计算机光盘软件与应用，2010（9）：37-38.

［4］ 宫雪冰.基于内部控制的网络会计信息系统安全问题的控制［J］.中国管理信息化，2010，13（15）：2-3.

［5］ 李河君.会计信息系统风险控制体系研究［D］.首都经济贸易大学硕士学位论文，2010.

［6］ 财政部会计司.《企业内部控制应用指引第18号―信息系统》解读［J］.财务与会计，2011（6）：57-62.

［7］ 艾文国，王亚鸣.企业会计信息化内部控制问题研究［J］.中国管理信息化，2008，11（15）：14-16.

［8］ 张继德,刘盼盼. 会计信息系统安全性现状及应对策略探讨［J］. 中国管理信息化，2010，13（6）：3-5.

［9］ 陈秀伟.网络环境下会计信息系统的内部控制探析［J］.中国管理信息化，2011，14（5）：7-8.

篇4

关键词：网络熵；定量评估；模型

中图分类号：TP393.08

随着社会的发展与科技的进步，网络在日常生活中被应用到更多领域。当网络带给生活越来越多的便利时，也带来了一些风险，网络的安全问题是当前人们最关注的问题之一。目前对于网络信息安全的评估并未有系统化、规范化的方式，但是目前被经常使用的方法大致有四种：安全审计、风险分析、系统安全工程能力成熟度模型以及安全测评。但是目前还未实现对网络攻击效果的评测，本文基于网络熵，构建了计算机网络攻击效果定量评估模型，依据假设的模型完成对网络攻击效果的评估。

1 网络安全指标的选取规则

网络攻击的最终目标是使对方网络遭到破坏或者被摧毁，使其计算机系统无法正常的工作。所以想要观测攻击的效果，可以使用一个量化的指标对攻击结果进行评测。关于计算机网络安全的指标有很多，其中，安全机制、安全准则与安全指标之间是波及范围递减即逐步细化分类的三种指标。

实施对计算机网络攻击效果的评估，简而言之，就是通过实施对安全指标的观测完成攻击效果的确定。目前计算机网络系统中已存在的安全机制有许多，例如防篡改、防绕过等。由上述安全机制能够得出安全准则的主要内容同样是关于防篡改、立体化、以及强制性。由于能够用来评估网络攻击效果的安全指标数量较多，需要对其进行一定规则下的筛选。比如说，在依据某一项安全准则得到若干个指标X1，X2，X3直至Xn，依据德尔菲法的结论可知，安全指标的重要程度与其数字的大小成正比（上述值Xi均为正）。我们假设上述情况中提到的安全指标中X1>X2>X3>……>Xn，此时需要构造一个递减数列{x1 x2 …xn}，并设数列的和为X，需要我们求出最小的m，使得成立，其中a∈（-∞，1），即是重要性常数。其中前m项中每一项均可对应求出一个这样的一个指标，即为重要性指标，用Im表示。这里的a可以视实际情况选取，但需注意一般要不小于0.7。

2 基于网络熵的计算机网络攻击效果研究

2.1 网络熵的具体含义

想要得出网络系统的安全性测评结果，需要在筛选过安全性能指标后运用一定的手段，例如模型试验法等将指标进行量化，分别获取遭受攻击前与遭受攻击后的量化结果，将两者进行对比即可得出攻击效果的量化结果。简而言之攻击效果评估就是要得出在遭受计算机网络攻击后计算机网络安全性的变化。基于此可以得出“网络熵”的概念。所谓“熵”，指的是一个体系的混乱程度，多应用于控制论、数论以及天体物理、生命科学等领域，由Claude Elwood Shannon率先将其应用于信息论中。因此熵值越小，说明该计算机系统的安全性就越强，相反，熵值大则其稳定性较差，可以据此构建一个关于熵值变化的公式：

H=-log2Vi （1）

其中Vi指的是网络在此项安全指标中的归一化参数。通常情况下当计算机网络被攻击后对其整体安全性会有负面影响，系统可靠性、稳定性等都会下降，因此其熵值会有一定程度的增加。此时可以构建一个阐释攻击效果的公式：

H=-log2（V2/V1） （2）

其中V1指的是网络再受攻击之前的网络可靠性、系统稳定性等的归一化参数，V2指的是在网络受攻击之后网络可靠性、系统稳定性等的归一化参数。

2.2 单一网络安全指标的网络熵差计算方式

能够对计算机网络安全性能产生影响的因素有许多种，因为在不同网络环境下，网络安全整体机制是不相同的，对安全性的计算方式也各不相同。其中对计算机网络安全性能有影响的主要因素有许多种，且各自的状况较为复杂，因此在进行网络安全指标的选取时应当注意该指标在实施过程中的可操作性以及简便性。例如想要实施对计算机网络安全可用性的计算，需要明确对可用性有影响的部分指标，如网络数据在一定时间内的吞吐量、网络信道利用效率等。可以得出下列计算网络数据流量对计算机网络攻击效果的计算公式：

HS=-log2（S2/Sg）-（-log2（S1/Sg））=-log2（S2/S1） （3）

其中S1指的是在计算机网络遭受攻击之前的网络吞吐量，S2为计算机网络受攻击后的网络吞吐量，Sg则是网络最大吞吐量。将其进行归一量化后的出S1/Sg，S2/Sg。在此公式下，通过计算可知，当S2与S1数值相同时，HS=0，说明此次攻击未生效；当S2的数值越小时，HS的值就会越大，表明攻击的效果越明显。同理可得：

HU=-log2V2-（-log2V1）=-log2（V2/V1） （4）

文章上述内容针对计算机网络可用性的部分指标网络熵值得确定进行了相关探讨。上述提到的归一化能利用多种方式实现。当前可操作性较强的有线性、非线性、折线以及指数型等。在具体的归一化过程中可以根据自身网络整体安全准则与具体安全指标的具体情况决定。

3 构建基于网络熵的计算机网络攻击效果定量评估模型

3.1 模型的系统构成

依据上述研究思路对基于网络熵的计算机网络攻击效果定量评估模型进行构建，制作出的模型结构如图1所示。根据下图构建的系统展开网络攻击模拟实验能让网络攻击的效果最终产生并输出。

图1 基于网络熵的计算机网络攻击效果定量评估模型系统构成

在攻击试验开始之前还需对上图中所有模块进行相关参数设定：（1）在系统设置模块中调整设置，设定参与试验的网络拓扑结构、网络流量类型、网络服务种类以及此次计算计网络攻击行为的实施目的等。（2）根据上述系统设置模块的具体设定，调整指标选择模块的参数设置，选择适合本次评估工作的网络指标。可以利用德尔菲法完成评估指标体系的综合构建，对一切能影响此次评估的网络指标进行筛选，最终确定影响效果最明显的若干指标。使用该种方式也能将外力因素对此次评估结果的影响降到最小。（3）根据指标选择模块中指标的选择，设置各项指标对最终结果的影响程度。该项设置可以根据德尔菲法的结果进行人工选择，也可以在计算机中使用评价指标判断矩阵，使用AHP逐步进行计算得来。（4）数据输入模块就是从试验网络中收集得来各项指标的数据信息，收集数据能使用的方法有许多，例如被动侦听等，这里能根据自身需要自由选择。（5）效果评估模块则会根据以上模块得来的数据，对计算机网络受到攻击后性能的下降情况进行量化计算，完成对其评估。（6）最终结果由输出子模块以表格或是文档的形式输出。

3.2 对计算机网络攻击效果评估模型的证明

为了证明及确保该模型法实施的有效性以及规范性，构建出图2所示网络攻击效果评估试验平台。

图2 网络攻击效果评估试验平台

（1）主控程序，即系统的主要控制程序，能对其他模块进行设置及实施调整，并能实现对其基本参数设置状况的更改。（2）脆弱性扫描模块，主要作用是对受试网络的漏洞及安全隐患状况进行扫描并能将扫描结果存储下来，为攻击模块实施网络攻击行为提供方向指导。（3）模拟攻击模块，就是依据脆弱性扫描得来的结果，利用一定的网络攻击手段对受试网络发动网络攻击行动，攻击的结果将会传输至专门的结果数据库中存储。（4）数据库模块主要负责漏洞库、病毒库等子模块的日常维护以及管理。（5）数据采集模块主要负责采集受试网络的各项指标，例如其网络数据吞吐量、系统的响应时间等。并能将收集得来的数据发送至综合评估模块完成对攻击效果的评估。（6）综合评估模块，就是对上述模块发送的信息进行综合分析，得出对此次攻击的结果表述，还会把结果以书面的方式呈现，完成对模型法评估结果有效性的证明。

利用上述模型开展了模拟实验，最终得出的结果如表1、表2、表3所示：

表1 UDP flooder模拟攻击测试数据

表2 Ping of death攻击测试数据

表3 Worm. Blaster攻击测试数据

4 结束语

基于网络熵的计算机网络攻击效果定量评估方法为我国信息系统安全综合评估提供了新思路，此方式的确立对我国的网络安全建设意义重大。对建设我国信息网络系统、国家信息安全基础设施以及网络攻防对抗实践有十分重要的作用。此种方式对网络攻击效果有良好的评估作用，能如实地反映网络攻击的各项效果，未来在实践过程中应用前景十分广阔。目前针对此项研究有待完善的地方正在进行进一步的探究。

参考文献：

[1]王新安，周漫，万歆.基于网络熵的计算机网络攻击效果定量评估方法分析[J].科技资讯，2013（05）.

[2]王克难.计算机网络攻击的防范与效果评估[J].煤炭技术，2013（05）.

[3]赵博夫，殷肖川.多维网络攻击效果评估方法研究[J].计算机工程与设计，2011（08）.

[4]任连兴，单洪.基于效果评估的网络抗毁性研究[J].计算机与现代化，2010（01）.

篇5

【关键词】 电子政务 绩效评估 综述

1.引言

电子政务绩效评价就是指专门的机构和人员依据大量的客观数据和事实,按照专门的规范、程序,遵循统一的标准和特定的指标体系,运用科学的方法模型,对电子政务建设成本与效益进行客观、准确评判的过程。

电子政务绩效评估的根本目的就在于及时发现问题、解决问题,为电子政务的发展提供信息源泉和导向。所以对现有电子政务绩效评估研究成果进行回顾、归纳和分析,为我国电子政务的健康发展提供依据和指导,具有良好的现实意义。

2.国外电子政务评价体系

伴随发达国家电子政务的蓬勃发展,出现了一系列测评全球电子政务绩效状况的研究报告,这些研究报告在连续几年的跟踪测评过程中发展出了各自独特的电子政务绩效评价指标体系。

2.1 联合国经济与社会事务部的电子政府成熟指数

2008年, 联合国经济与社会事务部对全球190个国家的电子政务进行了调查, 将结果编制成各国电子政府成熟指数(董礼胜、雷婷,2009)[1]。指数包括三方面的内容:(1)政府网站的内容和网站的成熟度;(2)对信息通信技术基础设施的数据分析,共包括6 个指数, 即一个国家的计算机数量、互联网主机数量、上网人数、固定电话、移动电话以及电视机数量的百分比;(3)人力资本的数据分析, 包括人力资本的发展指数(是否倾向于接受并使用电子政府提供的数据)、信息获取指数(是否拥有技术手段获取相关的信息和服务)以及城市人口占总人口的百分比。对上述三方面综合分析,即得到电子政府成熟指数(见表1)。统计指数表明:美国电子政府成熟度指数为0.8644,全球排名第一;加拿大、法国、德国等发达国家也处于0.7-0.8之间,我国电子政府成熟度指数为0.5017,与发达国家存在一定差距。

2.2 埃森哲咨询公司的总体成熟度

世界著名的埃森哲咨询公司从2000年开始,就用其特有的评价指标体系对部分具有代表性的国家和地区政府门户网站进行分析评测(李鸣,2010)[2]。该评价体系主要通过总体成熟度来衡量一个国家或地区政府门户的电子政务绩效,总体成熟度由服务成熟度和客户关系管理两个指标的得分进行加权平均后的分数,其中服务成熟度包括服务成熟广度和服务成熟深度两个方面,权重占70%。客户关系管理是指政府服务的完备水平,占权重的30%(见表2)。

2.3 TNS(Taylor Nelson Sofres)咨询公司的电子政务绩效评估指标体系

TNS咨询公司是世界第四大市场信息咨询服务公司,在全球50个国家设有办事处,主要从事社会和政府方面的研究。该公司提出自己的一套电子政务绩效评估指标体系(赵小伟、葛晓萍,2010)[3]:1、发展程度(延伸的社会广度和行业深度);2、应用程度(政务的技术能力和集成度);3、人口覆盖面;4、对个人隐私信息安全的关心。通过问卷方式向各国电子政务用户、网民和一般公众采集原始数据,并将回收的答卷按对象划分为七种类型,通过细分答卷对象来获得更加具体的评价结果。

2.4 Gartner咨询公司的电子政务有效性评估

Cartner咨询公司致力于对特定电子政务项目有效性的评估主要从三个方面评价电子政务项目的有效性(张红亮、梁晓鹏、亢爱国,2009)[4],即对公民的服务水平、运行效益以及政治回报,而每个大类又包含一系列具体参数。该指标体系的设计充分考虑了成本效益分析对电子政务的建设所具有的指导意义,提出了应该围绕政府职能的根本作用进行评价,包括公众对电子政务提供的服务内容的满意程度、电子政务工程的经济效益,以及对电子政务参与政治事务的促进作用。

3.国内电子政务评价体系

3.1 中国互联网络信息中心

中国互联网络信息中心自1997年12月起《中国互联发展状况统计报告》(中国互联网络信息中心,2010)[5];截止到2010年1月,共发行25期。通过计算机辅助电话访问系统(CATI)进行调查。报告侧重于了解中国网民数量与结构特征、上网条件、网络应用、网民对互联网使用的态度和非网民状况。调查内容包括被访者是否上网,被访者背景信息,网民的上网行为、上网深度、上网体验等。

3.2 计世资讯公司

计世资讯公司在《2007-2008年中国政府公众网站评估研究报告》中,采用网站内容服务、网站功能服务、网站建设质量3项指标体系,对我国大中城市的政府网站进行了评估。该研究报告集中对当前电子政务与服务型政府转型中的热点和焦点问题进行了深度评论,并且选择具有代表性的政府网站进行了实地调研与案例研究。

3.3 中国互联网实验室

中国互联网实验室于2002年11月了《中国电子政务战略研究报告》。该报告在提出中国特色的电子政务战略分析框架的基础上,分别从评测战略、运营战略和IT战略三方面对国内电子政务战略规划进行了分析,详细描述了如何对政府机关的电子政务战略目标、可用的资源和能力、面临的外部环境以及达到目标的手段进行量化评测。

3.4 北京大学网络经济研究中心

北京大学网络经济研究中心2003年6月《中国地级市电子政务研究报告》。该研究对中国所有地级市政府网站进行了4次数据采集,从信息上网、网上信息使用指南、网上办公、对外经济服务、互动性、链接情况、时效性、国际化程度、网络安全、隐私性10个方面进行评分,综合权重计算得出电子政务网站的绩效水平。

4.小结

国内外众多的电子政务绩效评价体系既有共同之处,又各有特点;既有各自的优势,又存在不足。综合来看,各评价体系在理论研究与实践应用中都做出了巨大贡献,但普遍在指标体系的客观性和可操作性上还存在一定的局限:由于定性评价指标居多,在实际应用中难免要用到专家评价,而难以控制人为评价主观性、倾向性和评价过程中的不确定性影响,导致评价客观性和准确性受到影响。此外,国内外许多学者研究提出的评价体系经常追求理论上的逻辑性与严密性,而忽略了当理论运用于实际时的可操作性,指标体系数据获取困难而流于形式。因此,要对电子政务系统进行准确、公平、客观的评价,首先必须结合本国的实际情况,构建系统、客观、可操作的评价指标体系。

参考文献:

[1] 董礼胜、雷婷,国外电子政务最新发展及前景分析[J]. 中国 社会科学院研究生院学报,2009(11)

[2] 李鸣,我国电子政务发展综述[J].武汉工程大学学报,2010(04)

[3] 赵小伟、葛晓萍,国际电子政务发展阶段与现状[J].电脑知 识与技术,2010(03)

[4] 张红亮、梁晓鹏、亢爱国, 国内外电子政务发展阶段模型研 究[J]. 新世纪圈书馆,2009(06)

[5] 中国互联网信息中心,中国互联网络发展统计报告[M].中 国互联网信息中心,2010(07)

[6] 杨云飞、白庆华,电子政务评价指标体系[J].计算机应用与 软件,2004(08)

[7] 张成福、唐钧,完善我国电子政务建设的总体思路[J].电子 政务,2005(12)

[8] 颜佳华、宁国良、盛明科; 基于BP神经网络的电子政务绩 效评价研究 [J]. 中国管理科学,2005(12)

[9] 陈立立,行政生态视角下电子政务绩效评价动态指标构建 模型研究 [D]. 电子科技大学,2008

[10] 陈强、赵珏; NPS在电子政务绩效评价中的应用研究[J]. 上 海管理科学,2007(12)

[11] 易亚将,基于快速模拟退火神经网络的电子政务绩效评价 研究 [D]. 厦门大学,2007(04)