序論:好文章的創(chuàng)作是一個(gè)不斷探索和完善的過(guò)程�,我們?yōu)槟扑]十篇網(wǎng)絡(luò)安全評(píng)估報(bào)告范例,希望它們能助您一臂之力,提升您的閱讀品質(zhì),帶來(lái)更深刻的閱讀感受���。
篇(1)
第二條 本規(guī)定所稱具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)�����,包括下列情形:
(一)開(kāi)辦論壇����、博客�、微博客、聊天室、通訊群組、公眾賬號(hào)、短視頻�����、網(wǎng)絡(luò)直播���、信息分享���、小程序等信息服務(wù)或者附設(shè)相應(yīng)功能��;
(二)開(kāi)辦提供公眾輿論表達(dá)渠道或者具有發(fā)動(dòng)社會(huì)公眾從事特定活動(dòng)能力的其他互聯(lián)網(wǎng)信息服務(wù)�。
第三條 互聯(lián)網(wǎng)信息服務(wù)提供者具有下列情形之一的����,應(yīng)當(dāng)依照本規(guī)定自行開(kāi)展安全評(píng)估�,并對(duì)評(píng)估結(jié)果負(fù)責(zé):
(一)具有輿論屬性或社會(huì)動(dòng)員能力的信息服務(wù)上線,或者信息服務(wù)增設(shè)相關(guān)功能的�����;
(二)使用新技術(shù)新應(yīng)用��,使信息服務(wù)的功能屬性�、技術(shù)實(shí)現(xiàn)方式����、基礎(chǔ)資源配置等發(fā)生重大變更,導(dǎo)致輿論屬性或者社會(huì)動(dòng)員能力發(fā)生重大變化的���;
(三)用戶規(guī)模顯著增加,導(dǎo)致信息服務(wù)的輿論屬性或者社會(huì)動(dòng)員能力發(fā)生重大變化的�����;
(四)發(fā)生違法有害信息傳播擴(kuò)散,表明已有安全措施難以有效防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的�����;
(五)地市級(jí)以上網(wǎng)信部門(mén)或者公安機(jī)關(guān)書(shū)面通知需要進(jìn)行安全評(píng)估的其他情形�����。
第四條 互聯(lián)網(wǎng)信息服務(wù)提供者可以自行實(shí)施安全評(píng)估�,也可以委托第三方安全評(píng)估機(jī)構(gòu)實(shí)施���。
第五條 互聯(lián)網(wǎng)信息服務(wù)提供者開(kāi)展安全評(píng)估���,應(yīng)當(dāng)對(duì)信息服務(wù)和新技術(shù)新應(yīng)用的合法性�,落實(shí)法律���、行政法規(guī)�、部門(mén)規(guī)章和標(biāo)準(zhǔn)規(guī)定的安全措施的有效性,防控安全風(fēng)險(xiǎn)的有效性等情況進(jìn)行全面評(píng)估�,并重點(diǎn)評(píng)估下列內(nèi)容:
(一)確定與所提供服務(wù)相適應(yīng)的安全管理負(fù)責(zé)人�、信息審核人員或者建立安全管理機(jī)構(gòu)的情況�����;
(二)用戶真實(shí)身份核驗(yàn)以及注冊(cè)信息留存措施����;
(三)對(duì)用戶的賬號(hào)��、操作時(shí)間����、操作類型����、網(wǎng)絡(luò)源地址和目標(biāo)地址�����、網(wǎng)絡(luò)源端口���、客戶端硬件特征等日志信息�����,以及用戶信息記錄的留存措施��;
(四)對(duì)用戶賬號(hào)和通訊群組名稱、昵稱、簡(jiǎn)介、備注���、標(biāo)識(shí),信息、轉(zhuǎn)發(fā)���、評(píng)論和通訊群組等服務(wù)功能中違法有害信息的防范處置和有關(guān)記錄保存措施����;
(五)個(gè)人信息保護(hù)以及防范違法有害信息傳播擴(kuò)散���、社會(huì)動(dòng)員功能失控風(fēng)險(xiǎn)的技術(shù)措施�;
(六)建立投訴、舉報(bào)制度�,公布投訴�����、舉報(bào)方式等信息����,及時(shí)受理并處理有關(guān)投訴和舉報(bào)的情況�;
(七)建立為網(wǎng)信部門(mén)依法履行互聯(lián)網(wǎng)信息服務(wù)監(jiān)督管理職責(zé)提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況�����;
(八)建立為公安機(jī)關(guān)��、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全和查處違法犯罪提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況。
第六條 互聯(lián)網(wǎng)信息服務(wù)提供者在安全評(píng)估中發(fā)現(xiàn)存在安全隱患的,應(yīng)當(dāng)及時(shí)整改���,直至消除相關(guān)安全隱患。
經(jīng)過(guò)安全評(píng)估,符合法律�����、行政法規(guī)、部門(mén)規(guī)章和標(biāo)準(zhǔn)的����,應(yīng)當(dāng)形成安全評(píng)估報(bào)告���。安全評(píng)估報(bào)告應(yīng)當(dāng)包括下列內(nèi)容:
(一)互聯(lián)網(wǎng)信息服務(wù)的功能�、服務(wù)范圍、軟硬件設(shè)施���、部署位置等基本情況和相關(guān)證照獲取情況;
(二)安全管理制度和技術(shù)措施落實(shí)情況及風(fēng)險(xiǎn)防控效果���;
(三)安全評(píng)估結(jié)論;
(四)其他應(yīng)當(dāng)說(shuō)明的相關(guān)情況。
第七條 互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)將安全評(píng)估報(bào)告通過(guò)全國(guó)互聯(lián)網(wǎng)安全管理服務(wù)平臺(tái)提交所在地地市級(jí)以上網(wǎng)信部門(mén)和公安機(jī)關(guān)���。
具有本規(guī)定第三條第一項(xiàng)、第二項(xiàng)情形的,互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)在信息服務(wù)���、新技術(shù)新應(yīng)用上線或者功能增設(shè)前提交安全評(píng)估報(bào)告;具有本規(guī)定第三條第三、四���、五項(xiàng)情形的,應(yīng)當(dāng)自相關(guān)情形發(fā)生之日起30個(gè)工作日內(nèi)提交安全評(píng)估報(bào)告。
第八條 地市級(jí)以上網(wǎng)信部門(mén)和公安機(jī)關(guān)應(yīng)當(dāng)依據(jù)各自職責(zé)對(duì)安全評(píng)估報(bào)告進(jìn)行書(shū)面審查。
發(fā)現(xiàn)安全評(píng)估報(bào)告內(nèi)容�����、項(xiàng)目缺失����,或者安全評(píng)估方法明顯不當(dāng)?shù)?�,?yīng)當(dāng)責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者限期重新評(píng)估�。
發(fā)現(xiàn)安全評(píng)估報(bào)告內(nèi)容不清的,可以責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者補(bǔ)充說(shuō)明�。
第九條 網(wǎng)信部門(mén)和公安機(jī)關(guān)根據(jù)對(duì)安全評(píng)估報(bào)告的書(shū)面審查情況���,認(rèn)為有必要的�����,應(yīng)當(dāng)依據(jù)各自職責(zé)對(duì)互聯(lián)網(wǎng)信息服務(wù)提供者開(kāi)展現(xiàn)場(chǎng)檢查��。
網(wǎng)信部門(mén)和公安機(jī)關(guān)開(kāi)展現(xiàn)場(chǎng)檢查原則上應(yīng)當(dāng)聯(lián)合實(shí)施,不得干擾互聯(lián)網(wǎng)信息服務(wù)提供者正常的業(yè)務(wù)活動(dòng)����。
第十條 對(duì)存在較大安全風(fēng)險(xiǎn)���、可能影響國(guó)家安全�、社會(huì)秩序和公共利益的互聯(lián)網(wǎng)信息服務(wù)��,省級(jí)以上網(wǎng)信部門(mén)和公安機(jī)關(guān)應(yīng)當(dāng)組織專家進(jìn)行評(píng)審��,必要時(shí)可以會(huì)同屬地相關(guān)部門(mén)開(kāi)展現(xiàn)場(chǎng)檢查���。
第十一條 網(wǎng)信部門(mén)和公安機(jī)關(guān)開(kāi)展現(xiàn)場(chǎng)檢查����,應(yīng)當(dāng)依照有關(guān)法律��、行政法規(guī)、部門(mén)規(guī)章的規(guī)定進(jìn)行����。
第十二條 網(wǎng)信部門(mén)和公安機(jī)關(guān)應(yīng)當(dāng)建立監(jiān)測(cè)管理制度����,加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理�,督促互聯(lián)網(wǎng)信息服務(wù)提供者依法履行網(wǎng)絡(luò)安全義務(wù)。
發(fā)現(xiàn)具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)提供者未按本規(guī)定開(kāi)展安全評(píng)估的����,網(wǎng)信部門(mén)和公安機(jī)關(guān)應(yīng)當(dāng)通知其按本規(guī)定開(kāi)展安全評(píng)估����。
第十三條 網(wǎng)信部門(mén)和公安機(jī)關(guān)發(fā)現(xiàn)具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)提供者拒不按照本規(guī)定開(kāi)展安全評(píng)估的�����,應(yīng)當(dāng)通過(guò)全國(guó)互聯(lián)網(wǎng)安全管理服務(wù)平臺(tái)向公眾提示該互聯(lián)網(wǎng)信息服務(wù)存在安全風(fēng)險(xiǎn)�����,并依照各自職責(zé)對(duì)該互聯(lián)網(wǎng)信息服務(wù)實(shí)施監(jiān)督檢查,發(fā)現(xiàn)存在違法行為的�,應(yīng)當(dāng)依法處理���。
第十四條 網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)安全評(píng)估工作���,公安機(jī)關(guān)的安全評(píng)估工作情況定期通報(bào)網(wǎng)信部門(mén)。
篇(2)
中圖文分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)29-0366-02
Research on Network Security Risk Assessment Appraisal Flow
XING Zhi-jun
(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)
Abstract: Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.
Key words: network security;risk assessment;appraisal flow
1 引言
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估就是通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全狀況進(jìn)行安全性分析,及時(shí)發(fā)現(xiàn)并指出存在的安全漏洞����,以保證系統(tǒng)的安全�。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)安全技術(shù)中具有重要的地位���,其基本原理是采用多種方法對(duì)網(wǎng)絡(luò)系統(tǒng)可能存在的已知安全漏洞進(jìn)行檢測(cè)��,找出可能被黑客利用的安全隱患�,并根據(jù)檢測(cè)結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全分析報(bào)告與漏洞修補(bǔ)建議�,以便及早采取措施,保護(hù)系統(tǒng)信息資源��。
風(fēng)險(xiǎn)評(píng)估過(guò)程就是在評(píng)估標(biāo)準(zhǔn)的指導(dǎo)下��,綜合利用相關(guān)評(píng)估技術(shù)�����、評(píng)估方法、評(píng)估工具,針對(duì)信息系統(tǒng)展開(kāi)全方位的評(píng)估工作的完整歷程�����。對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估���,首先應(yīng)確保風(fēng)險(xiǎn)分析的內(nèi)容與范圍應(yīng)該覆蓋信息系統(tǒng)的整個(gè)體系��,應(yīng)包括:系統(tǒng)基本情況分析�、信息系統(tǒng)基本安全狀況調(diào)查�、信息系統(tǒng)安全組織、政策情況分析、信息系統(tǒng)弱點(diǎn)漏洞分析等���。
2 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備
風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備過(guò)程是組織進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ),是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。機(jī)構(gòu)對(duì)自身信息及信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮���,其結(jié)果將受到機(jī)構(gòu)的業(yè)務(wù)需求及戰(zhàn)略目標(biāo)���、文化、業(yè)務(wù)流程����、安全要求��、規(guī)模和結(jié)構(gòu)的影響。不同機(jī)構(gòu)對(duì)于風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程可能存在不同的要求�,因此在風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備階段����,應(yīng)該完成以下工作��。
1) 確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)
首先應(yīng)該明確風(fēng)險(xiǎn)評(píng)估的目標(biāo)��,為風(fēng)險(xiǎn)評(píng)估的過(guò)程提供導(dǎo)向。支持機(jī)構(gòu)的信息、系統(tǒng)�、應(yīng)用軟件和網(wǎng)絡(luò)是機(jī)構(gòu)重要的資產(chǎn)��。資產(chǎn)的機(jī)密性、完整信和可用性對(duì)于維持競(jìng)爭(zhēng)優(yōu)勢(shì)、獲利能力�、法規(guī)要求和一個(gè)機(jī)構(gòu)的形象是必要的��。機(jī)構(gòu)要面對(duì)來(lái)自四面八方日益增長(zhǎng)的安全威脅。一個(gè)機(jī)構(gòu)的系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo)����。同時(shí)��,由于機(jī)構(gòu)的信息化程度不斷提高,對(duì)基于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加����,一個(gè)機(jī)構(gòu)則可能出現(xiàn)更多的脆弱性�����。機(jī)構(gòu)的風(fēng)險(xiǎn)評(píng)估的目標(biāo)基本上來(lái)源于機(jī)構(gòu)業(yè)務(wù)持續(xù)發(fā)展的需要���、滿足相關(guān)方的要求���、滿足法律法規(guī)的要求等方面�����。
2) 確定風(fēng)險(xiǎn)評(píng)估的范圍
機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估可能是由于自身業(yè)務(wù)要求及戰(zhàn)略目標(biāo)的要求����、相關(guān)方的要求或者其他原因�����。因此應(yīng)根據(jù)上述具體原因確定分險(xiǎn)評(píng)估范圍���。范圍可能是機(jī)構(gòu)全部的信息和信息系統(tǒng)���,可能是單獨(dú)的信息系統(tǒng)����,可能是機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)流程���,也可能是客戶的知識(shí)產(chǎn)權(quán)�����。
3) 建立適當(dāng)?shù)慕M織結(jié)構(gòu)
在風(fēng)險(xiǎn)評(píng)估過(guò)程中���,機(jī)構(gòu)應(yīng)建立適當(dāng)?shù)慕M織結(jié)構(gòu),以支持整個(gè)過(guò)程的推進(jìn),如成立由管理層�、相關(guān)業(yè)務(wù)骨干��、IT技術(shù)人員等組成的風(fēng)險(xiǎn)評(píng)估小組。組織結(jié)構(gòu)的建立應(yīng)考慮其結(jié)構(gòu)和復(fù)雜程度,以保證能夠滿足風(fēng)險(xiǎn)評(píng)估的目標(biāo)����、范圍���。
4) 建立系統(tǒng)型的風(fēng)險(xiǎn)評(píng)估方法
風(fēng)險(xiǎn)評(píng)估方法應(yīng)考慮評(píng)估的范圍���、目的�����、時(shí)間����、效果��、機(jī)構(gòu)文化�����、人員素質(zhì)以及具體開(kāi)展的程度等因素來(lái)確定,使之能夠與機(jī)構(gòu)的環(huán)境和安全要求相適應(yīng)���。
5) 獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估策劃的批準(zhǔn)
上述所有內(nèi)容應(yīng)得到機(jī)構(gòu)的最高管理者的批準(zhǔn),并對(duì)管理層和員工進(jìn)行傳達(dá)��。由于風(fēng)險(xiǎn)評(píng)估活動(dòng)涉及單位的不同領(lǐng)域和人員���,需要多方面的協(xié)調(diào)�,必要的����、充分的準(zhǔn)備是風(fēng)險(xiǎn)評(píng)估成功的關(guān)鍵。因此,評(píng)估前期準(zhǔn)備工作中還應(yīng)簽訂合同和機(jī)密協(xié)議以及選擇評(píng)估模式�����。
3 信息資產(chǎn)識(shí)別
資產(chǎn)是企業(yè)���、機(jī)構(gòu)直接賦予了價(jià)值因而需要保護(hù)的東西�����,它可能是以多種形式存在的���,無(wú)形的���、有形的����,硬件�����、軟件�,文檔�����、代碼���,或者服務(wù)、企業(yè)形象等��。在一般的評(píng)估體中�,資產(chǎn)大多屬于不同的信息系統(tǒng),如OA系統(tǒng)��、網(wǎng)管系統(tǒng)�、業(yè)務(wù)生產(chǎn)系統(tǒng)等,而且對(duì)于提供多種業(yè)務(wù)的機(jī)構(gòu)����,業(yè)務(wù)生產(chǎn)系統(tǒng)的數(shù)量還可能會(huì)很多����。
資產(chǎn)賦值是對(duì)資產(chǎn)安全價(jià)值的估價(jià),不是以資產(chǎn)的帳面價(jià)格來(lái)衡量的�。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí)�����,不僅要考慮資產(chǎn)的成本價(jià)格,更重要的是要考慮資產(chǎn)對(duì)于機(jī)構(gòu)業(yè)務(wù)的安全重要性����,即由資產(chǎn)損失所引發(fā)的潛在的影響來(lái)決定����。為確保資產(chǎn)估價(jià)時(shí)的一致性和準(zhǔn)確定����,機(jī)構(gòu)應(yīng)按照上述原則,建立一個(gè)資產(chǎn)價(jià)值尺度(資產(chǎn)評(píng)估標(biāo)準(zhǔn)),以明確如何對(duì)資產(chǎn)進(jìn)行賦值。資產(chǎn)賦值包括機(jī)密性賦值���、完整性賦值和可用性賦值。
4 威脅識(shí)別
安全威脅是一種對(duì)機(jī)構(gòu)及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者時(shí)間。無(wú)論對(duì)于多么安全的信息系統(tǒng)�,安全威脅是一個(gè)客觀存在的事物����,它是風(fēng)險(xiǎn)評(píng)估的重要因素之一���。
5 脆弱性識(shí)別
脆弱性評(píng)估也稱為弱點(diǎn)評(píng)估���,是風(fēng)險(xiǎn)評(píng)估中的重要內(nèi)容�����。弱點(diǎn)是資產(chǎn)本身存在的,它可以被威脅利用���、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點(diǎn)包括物理環(huán)境���、機(jī)構(gòu)、過(guò)程�、人員���、管理���、配置��、硬件、軟件和信息等各種資產(chǎn)的脆弱性���。
6 已有安全措施的確認(rèn)
機(jī)構(gòu)應(yīng)對(duì)已采取的控制措施進(jìn)行識(shí)別并對(duì)控制措施的有效性進(jìn)行確認(rèn),將有效的安全控制措施繼續(xù)保持���,以避免不必要的工作和費(fèi)用,防止控制措施的重復(fù)實(shí)施��。對(duì)于那些被認(rèn)為不適當(dāng)?shù)目刂茟?yīng)核查是否應(yīng)被取消���,或者用更合適的控制代替���。安全控制可以分為預(yù)防性控制措施和保護(hù)性控制措施兩種�����。預(yù)防性控制措施可以降低威脅發(fā)生的可能性和減少安全脆弱性;而保護(hù)性控制措施可以減少因威脅發(fā)生所造成的影響。
7 風(fēng)險(xiǎn)識(shí)別
根據(jù)策劃的機(jī)構(gòu)����,由評(píng)估的人員按照相應(yīng)的職責(zé)和程序進(jìn)行資產(chǎn)評(píng)估�、威脅評(píng)估��、脆弱性評(píng)估�����,在考慮已有安全措施的情況下,利用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性�����,并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響來(lái)得出資產(chǎn)的安全風(fēng)險(xiǎn)。
8 風(fēng)險(xiǎn)評(píng)估結(jié)果記錄
根據(jù)評(píng)估實(shí)施情況和所搜集到的信息,如資產(chǎn)評(píng)估數(shù)據(jù)��、威脅評(píng)估數(shù)據(jù)���、脆弱性評(píng)估數(shù)據(jù)等�,完成評(píng)估報(bào)告撰寫(xiě)。評(píng)估報(bào)告是風(fēng)險(xiǎn)評(píng)估結(jié)果的記錄文件����,是機(jī)構(gòu)實(shí)施風(fēng)險(xiǎn)管理的主要依據(jù)�,是對(duì)風(fēng)險(xiǎn)評(píng)估活動(dòng)進(jìn)行評(píng)審和認(rèn)可的基礎(chǔ)資料����,因此�,報(bào)告必須做到有據(jù)可查,報(bào)告內(nèi)容一般主要包括風(fēng)險(xiǎn)評(píng)估范圍、風(fēng)險(xiǎn)計(jì)算方法��、安全問(wèn)題歸納以及描述�����、風(fēng)險(xiǎn)級(jí)數(shù)��、安全建議等。風(fēng)險(xiǎn)評(píng)估報(bào)告還可以包括風(fēng)險(xiǎn)控制措施建議��、參與風(fēng)險(xiǎn)描述等�。
由于信息系統(tǒng)及其所在環(huán)境的不斷變化,在信息系統(tǒng)的運(yùn)行過(guò)程中���,絕對(duì)安全的措施是不存在的。攻擊者不斷有新的方法繞過(guò)或擾亂系統(tǒng)中的安全措施����,系統(tǒng)的變化會(huì)帶來(lái)新的脆弱點(diǎn)����,實(shí)施的安全措施會(huì)隨著時(shí)間而過(guò)時(shí)等等����,所有這些表明,信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過(guò)程是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程,應(yīng)周期性的對(duì)信息系統(tǒng)安全進(jìn)行重新評(píng)估���。
參考文獻(xiàn):
篇(3)
網(wǎng)絡(luò)安全評(píng)估又叫安全評(píng)價(jià)。一個(gè)組織的信息系統(tǒng)經(jīng)常會(huì)面臨內(nèi)部和外部威脅的風(fēng)險(xiǎn)。安全評(píng)估利用大量安全性行業(yè)經(jīng)驗(yàn)和漏洞掃描的最先進(jìn)技術(shù)�����。從內(nèi)部和外部?jī)蓚€(gè)角度��。對(duì)系統(tǒng)進(jìn)行全面的評(píng)估。
1 網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn)簡(jiǎn)介:
1.1 TCSEC
TCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)��,具有劃時(shí)代的意義�。該準(zhǔn)則于1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出,并于1985年12月由美國(guó)國(guó)防部公布�����。TCSEC安全要求由策略(Policy)��、保障(Assuerance)類和可追究性(Account-ability)類構(gòu)成���。TCSEC將計(jì)算機(jī)系統(tǒng)按照安全要從由低到高分為四個(gè)等級(jí)��。四個(gè)等級(jí)包括D、C���、B和A,每個(gè)等級(jí)下面又分為七個(gè)級(jí)別:D1�����、c1��、c2���、B1�、B2、B3和A1七個(gè)類別��,每一級(jí)別要求涵蓋安全策略��、責(zé)任��、保證、文檔四個(gè)方面�。
TCSEC安全概念僅僅涉及防護(hù)�,而缺乏對(duì)安全功能檢查和如何應(yīng)對(duì)安全漏洞方面問(wèn)題的研究和探討�����,因此TCSEC有很大的局限性。它運(yùn)用的主要安全策略是訪問(wèn)控制機(jī)制���。
1.2 1TSEC
ITSEC在1990年由德國(guó)信息安全局發(fā)起,該標(biāo)準(zhǔn)的制定��,有利于歐共體標(biāo)準(zhǔn)一體化�,也有利于各國(guó)在評(píng)估結(jié)果上的互認(rèn)。該標(biāo)準(zhǔn)在TCSEC的基礎(chǔ)上��,首次提出了信息安全CIA概念(保密性�����、完整性��、可用性)。1TSEC的安全功能要求從F1~F10共分為10級(jí)����,其中1~5級(jí)分別于TCSEC的D-A對(duì)應(yīng)����,6~10級(jí)的定義為:F6:數(shù)據(jù)和程序的完整性�;F7:系統(tǒng)可用性;F8:數(shù)據(jù)通信完整性��;F9:數(shù)據(jù)通信保密性�;F10:包括機(jī)密性和完整性。
1.3 CC
CC標(biāo)準(zhǔn)是由美國(guó)發(fā)起的����,英國(guó)���、法國(guó)���、德國(guó)等國(guó)共同參與制定的,是當(dāng)前信息系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)。CC由三部分組成:見(jiàn)解和一般模型��、安全功能要求和安全保證要求�。CC提出了從低到高的七個(gè)安全保證等級(jí),從EALl到EAL7。該標(biāo)準(zhǔn)主要保護(hù)信息的保密性��、完整性和可用性三大特性����。評(píng)估對(duì)象包括信息技術(shù)產(chǎn)品或系統(tǒng),不論其實(shí)現(xiàn)方式是硬件��、固件還是軟件�。
2 網(wǎng)絡(luò)安全評(píng)估方法
目前網(wǎng)絡(luò)安全評(píng)估方法有很多,有的通過(guò)定性的評(píng)價(jià)給出IT系統(tǒng)的風(fēng)險(xiǎn)情況,有的是通過(guò)定量的計(jì)算得到IT系統(tǒng)的風(fēng)險(xiǎn)值��,從系統(tǒng)的風(fēng)險(xiǎn)取值高低來(lái)衡量系統(tǒng)的安全性?,F(xiàn)在最常用的還是綜合分析法,它是以上兩種方式的結(jié)合,通過(guò)兩種方法的結(jié)合應(yīng)用,對(duì)系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行定性和定量的評(píng)價(jià)����。下面介紹幾種常見(jiàn)方法�。
2.1 確定性評(píng)估(點(diǎn)估計(jì))
確定性評(píng)估要求輸入為單一的數(shù)據(jù)��,比如50%為置信區(qū)間的上限值�,假設(shè)當(dāng)輸入的值大于該值時(shí)�,一般是表示“最壞的情況”。確定性評(píng)估應(yīng)用比較簡(jiǎn)單,節(jié)省時(shí)間�����,在某些情況下可以采用該方法����。點(diǎn)估計(jì)的不足在于對(duì)風(fēng)險(xiǎn)情況缺乏全面、深入的理解���。
2.2 可能性評(píng)估(概率評(píng)估)
可能性評(píng)估要求輸入在一個(gè)區(qū)間范圍內(nèi)的數(shù)據(jù)�����,通過(guò)該數(shù)據(jù)分布情況和概率來(lái)作出判斷��,其結(jié)果的準(zhǔn)確性比較依靠評(píng)估者的能力和安全知識(shí)水平�。
2.3 故障樹(shù)分析法(FAT)
故障樹(shù)分析法是一種樹(shù)形圖��,也是一種邏輯因果關(guān)系圖��。它從頂事件逐級(jí)向下分析各自的直接原因事件,用邏輯門(mén)符號(hào)連接上下事件,從上到下開(kāi)始分析直至所要求的分析深度。
3 網(wǎng)絡(luò)安全評(píng)估工具
在信息系統(tǒng)的評(píng)估中,我們經(jīng)常會(huì)用到問(wèn)卷調(diào)查和檢查列表等��。這些只能用于風(fēng)險(xiǎn)評(píng)估的某些過(guò)程����。目前,各大安全公司都先后推出自己的評(píng)估工具,使得信息系統(tǒng)的安全評(píng)估更加的自動(dòng)化。常見(jiàn)的評(píng)估工具主要有下列幾種:
3.1 Asset-1
Asset-1評(píng)估工具是以NIST SP800-26為標(biāo)準(zhǔn)制定的用于安全性自我評(píng)估的自動(dòng)化工具��。工具的主要功能是進(jìn)行信息系統(tǒng)安全性的白評(píng)估�����,采用形式是通過(guò)用戶手動(dòng)操作進(jìn)行自評(píng)估���,達(dá)到收集系統(tǒng)安全性相關(guān)信息的目的���,工具最終生成安全性自評(píng)估報(bào)告���。最終生成的報(bào)告只能達(dá)到與用戶提供的信息統(tǒng)計(jì)的準(zhǔn)確性���,工具并不能引導(dǎo)分析或驗(yàn)證自我評(píng)估提供信息的關(guān)聯(lián)性����、準(zhǔn)確性�����。
根據(jù)NIST安全性自我評(píng)估向?qū)В瑢踩?jí)別分為五級(jí):一般����、策略�����、實(shí)施、測(cè)驗(yàn)�����、檢驗(yàn)��。此工具的每個(gè)調(diào)查問(wèn)題都相當(dāng)于一個(gè)命題�,陳述為了確保系統(tǒng)的安全性應(yīng)該做到的相關(guān)事項(xiàng)�,用戶對(duì)于問(wèn)題的回答就是選擇系統(tǒng)對(duì)于此項(xiàng)命題的安全程度為上述五級(jí)中的哪些級(jí)別。最后通過(guò)統(tǒng)計(jì)在某一級(jí)別上問(wèn)題命題和級(jí)別選定��,來(lái)統(tǒng)計(jì)系統(tǒng)的安全措施達(dá)到的安全級(jí)別�。
3.2 CC評(píng)估工具
CC評(píng)估工具由NIAP,由兩部分組成:CC PKB和CC ToolBox�����。
CC PKB是進(jìn)行CC評(píng)估的支持?jǐn)?shù)據(jù)庫(kù)����,基于Access構(gòu)建。使用Access VBA開(kāi)發(fā)了所有庫(kù)表的管理程序��,在管理主窗體中可以完成所有表的記錄修改����、增加�����、刪除��,管理主窗體以基本表為主�����,并體現(xiàn)了所有庫(kù)表之間的主要連接關(guān)系,通過(guò)連接關(guān)系可以對(duì)其他非基本表的記錄進(jìn)行增刪改����。
CC ToolBox是進(jìn)行CC評(píng)估的主要工具����,主要采用頁(yè)面調(diào)查形式�����,用戶通過(guò)依次填充每個(gè)頁(yè)面的調(diào)查項(xiàng)來(lái)完成評(píng)估����,最后生成關(guān)于評(píng)估所進(jìn)行的詳細(xì)調(diào)查結(jié)果和最終評(píng)估報(bào)告���。
CC評(píng)估系統(tǒng)依據(jù)CC標(biāo)準(zhǔn)進(jìn)行評(píng)估���,評(píng)估被測(cè)達(dá)到CC標(biāo)準(zhǔn)的程度��,評(píng)估主要包括PP評(píng)估����、TOE評(píng)估等�����。
3.3 COBRA風(fēng)險(xiǎn)管理工具
安全風(fēng)險(xiǎn)分析管理和評(píng)估是保證IT安全的一個(gè)重要方法,它是組織安全的重要基礎(chǔ)。1991年�����,C&A Systems SecurityLtd推出了自動(dòng)化風(fēng)險(xiǎn)管理工具COBRA 1版本���。用于風(fēng)險(xiǎn)管理評(píng)估����。隨著COBRA的發(fā)展,目前的產(chǎn)品不僅僅具有風(fēng)險(xiǎn)管理功能���,還可以用于評(píng)估是否符合BS7799標(biāo)準(zhǔn),是否符合組織自身制定的安全策略�。COBRA系列工具包括風(fēng)險(xiǎn)咨詢工具�����、ISO17799/BS7799咨詢工具、策略一致性分析工具�����、數(shù)據(jù)安全性咨詢工具���。
COBRA采用調(diào)查表的形式��,在PC機(jī)上使用,基于知識(shí)庫(kù)�,類似專家系統(tǒng)的模式���。它評(píng)估威脅�����、脆弱性的相關(guān)重要性,并生成合適的改進(jìn)建議�����。最后針對(duì)每類風(fēng)險(xiǎn)形成文字評(píng)估報(bào)告、風(fēng)險(xiǎn)等級(jí)���,所指出的風(fēng)險(xiǎn)自動(dòng)與給系統(tǒng)造成的影響相聯(lián)系。
COBRA風(fēng)險(xiǎn)評(píng)估過(guò)程比較靈活�����,一般都包括問(wèn)題表構(gòu)建�����、風(fēng)險(xiǎn)評(píng)估���、產(chǎn)生報(bào)告�。每部分分別由問(wèn)題表構(gòu)建�����、風(fēng)險(xiǎn)評(píng)估�、產(chǎn)生報(bào)告生成三個(gè)子系統(tǒng)完成����。
3.4 RiskPAC評(píng)估工具
RiskPAC是CSCI公司開(kāi)發(fā)的����,對(duì)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析的工具�����,它完成定量和定性風(fēng)險(xiǎn)評(píng)估�。
RiskPAC將風(fēng)險(xiǎn)分為幾個(gè)級(jí)別,即低級(jí)�、中級(jí)����、高級(jí)等���,針對(duì)每個(gè)級(jí)別都有不同的風(fēng)險(xiǎn)描述�����,根據(jù)不同風(fēng)險(xiǎn)級(jí)別問(wèn)題的構(gòu)造和回答�,完成風(fēng)險(xiǎn)評(píng)估�。
RiskPAC包括兩個(gè)獨(dú)立的工具:?jiǎn)栴}設(shè)計(jì)器和調(diào)查管理器。其中問(wèn)題表設(shè)計(jì)器進(jìn)行業(yè)務(wù)分析和風(fēng)險(xiǎn)評(píng)估的調(diào)查表設(shè)計(jì)��,調(diào)查管理器就是將已選定的調(diào)查表以易用的形式提供給用戶���,供用戶選擇相應(yīng)答案�,根據(jù)答案做出分析評(píng)估結(jié)論。
3.5 RiskWatch工具
使用RiskWatch風(fēng)險(xiǎn)分析工具���,用戶可以根據(jù)實(shí)際需求定制風(fēng)險(xiǎn)分析和脆弱性評(píng)估過(guò)程,而其他風(fēng)險(xiǎn)評(píng)估工具都沒(méi)有提供此項(xiàng)功能��。RiskWatch通過(guò)兩個(gè)特性:定量和定性風(fēng)險(xiǎn)分析�����、預(yù)制風(fēng)險(xiǎn)分析模板,為用戶提供這種定制功能。
4 總結(jié)
網(wǎng)絡(luò)安全評(píng)估是在網(wǎng)絡(luò)安全領(lǐng)域里最關(guān)鍵的問(wèn)題��。目前���,國(guó)內(nèi)外還沒(méi)形成對(duì)網(wǎng)絡(luò)設(shè)備的安全性評(píng)估的統(tǒng)一的標(biāo)準(zhǔn)���,只是在網(wǎng)絡(luò)安全的其他方面有所提及到�����,但也都不沒(méi)有明確���。所以說(shuō)網(wǎng)絡(luò)設(shè)備的安全性評(píng)估這個(gè)問(wèn)題在今后相當(dāng)長(zhǎng)的一段時(shí)間中還需要我們網(wǎng)絡(luò)工作人員及相關(guān)的專家在實(shí)際工作中和研究中對(duì)網(wǎng)絡(luò)設(shè)備的安全性多多關(guān)注��,以便盡早的在這一方面形成一定的評(píng)斷標(biāo)準(zhǔn)�,填補(bǔ)這方面的空白�����。
參考文獻(xiàn)
篇(4)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2012) 12-0073-01
網(wǎng)絡(luò)技術(shù)的創(chuàng)新越來(lái)越全面,互聯(lián)網(wǎng)的普及程度越來(lái)越高,網(wǎng)絡(luò)技術(shù)的某些技術(shù)被不懷好意者利用,成為人們安全上網(wǎng)的威脅�����。網(wǎng)絡(luò)安全越來(lái)越成為信息技術(shù)發(fā)展中人們關(guān)注的焦點(diǎn),成為影響人們應(yīng)用新技術(shù)的障礙,網(wǎng)絡(luò)安全威脅問(wèn)題的解除迫在眉睫。
一�����、網(wǎng)絡(luò)安全態(tài)勢(shì)研究的概念
網(wǎng)絡(luò)安全泛指網(wǎng)絡(luò)系統(tǒng)的硬件���、軟件��、數(shù)據(jù)信息等具有防御侵襲的能力,以免遭到惡意侵襲的情況下遺失、損壞、更改����、泄露,不影響網(wǎng)絡(luò)系統(tǒng)的照常運(yùn)行,不間斷服務(wù)��。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō),凡是涉及到網(wǎng)絡(luò)上信息的保密性��、完整性�����、可用性�、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域�����。
網(wǎng)絡(luò)安全態(tài)勢(shì)研究的領(lǐng)域主要由以下三個(gè)方面組成:(1)將魚(yú)龍混雜的信息數(shù)據(jù)進(jìn)行整合并且加以處理,從而使信息的特征更加明顯的反映出來(lái)��。再通過(guò)可視化圖形來(lái)表現(xiàn)出來(lái),直觀的呈現(xiàn)運(yùn)行機(jī)制和結(jié)構(gòu),使網(wǎng)絡(luò)管理員更加輕松的工作。(2)數(shù)據(jù)經(jīng)過(guò)加工處理以后,節(jié)省了大量數(shù)據(jù)存儲(chǔ)空間,可以利用以往的數(shù)據(jù)對(duì)網(wǎng)絡(luò)的歷史運(yùn)行做出分析和判斷。(3)找出挖掘數(shù)據(jù)和網(wǎng)絡(luò)事件的內(nèi)在關(guān)系,建立數(shù)據(jù)統(tǒng)計(jì)表,對(duì)網(wǎng)絡(luò)管理員預(yù)測(cè)下一個(gè)階段可能出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供信息基礎(chǔ),起到防范于未然的作用�����。
二����、網(wǎng)絡(luò)安全態(tài)勢(shì)研究的主要難點(diǎn)
現(xiàn)在的網(wǎng)絡(luò)安全技術(shù)主要有;防火墻、入侵檢測(cè)���、病毒檢測(cè)、脆弱性掃描技術(shù)等等�����。網(wǎng)絡(luò)安全態(tài)勢(shì)系統(tǒng)的實(shí)用化水平很高,如果我們要監(jiān)控整個(gè)網(wǎng)絡(luò)的態(tài)勢(shì)情況,需要考慮的難點(diǎn)問(wèn)題有以下幾個(gè):(1)需要保證跨越幾個(gè)位于不同地址的公司的網(wǎng)絡(luò)安全�����。(2)網(wǎng)絡(luò)結(jié)構(gòu)變的越來(lái)越復(fù)雜。(3)網(wǎng)絡(luò)安全同時(shí)受到多個(gè)事件的威脅�����。(4)需要將網(wǎng)絡(luò)運(yùn)行情況可視化��。(5)對(duì)攻擊的響應(yīng)時(shí)間要求變高��。(6)為網(wǎng)絡(luò)超負(fù)荷運(yùn)轉(zhuǎn)提供空間。(7)要求防御系統(tǒng)有較強(qiáng)的系統(tǒng)適應(yīng)能力�。通過(guò)以上的對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)研究的主要內(nèi)容和研究難點(diǎn)的分析可知,網(wǎng)絡(luò)安全態(tài)勢(shì)的研究是一個(gè)綜合了多學(xué)科的復(fù)雜的過(guò)程�。
三�、網(wǎng)絡(luò)安全態(tài)勢(shì)現(xiàn)狀的評(píng)價(jià)和預(yù)測(cè)
網(wǎng)絡(luò)安全態(tài)勢(shì)分析技術(shù)提供的一個(gè)功能是告知“網(wǎng)絡(luò)運(yùn)行狀況是否安全”,并以網(wǎng)絡(luò)安全態(tài)勢(shì)值的形式呈現(xiàn)出來(lái)。網(wǎng)絡(luò)安全態(tài)勢(shì)值,主要運(yùn)用數(shù)學(xué)的方法,通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)分析模型,把網(wǎng)絡(luò)安全信息進(jìn)行合并綜合處理,最終生成可視化的一組或幾組數(shù)據(jù)�。計(jì)算數(shù)值可以把網(wǎng)絡(luò)運(yùn)行狀況反映出來(lái),并且可以隨著網(wǎng)絡(luò)安全事件發(fā)生的頻率��、數(shù)量,以及網(wǎng)絡(luò)受到威脅程度的不同,智能的做出相應(yīng)的措施。管理員可以通過(guò)數(shù)值的變化來(lái)綜合判斷網(wǎng)絡(luò)是否受到威脅,是否遭受攻擊等����。
網(wǎng)絡(luò)安全態(tài)勢(shì)分析技術(shù)還可以分析網(wǎng)絡(luò)現(xiàn)在面臨怎樣的風(fēng)險(xiǎn),并可以具體告知用戶可能會(huì)受到那些威脅,這些情況以網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估報(bào)告的形式呈現(xiàn)���。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估,是將網(wǎng)絡(luò)原始事件進(jìn)行預(yù)處理后,把具有一定相關(guān)性,反映某些網(wǎng)絡(luò)安全事件特征的信息提取出來(lái),運(yùn)用一定的數(shù)學(xué)模型和先驗(yàn)知識(shí),對(duì)某些安全事件是否真正發(fā)生,給出一個(gè)可供參考的���、可信的評(píng)估概率值�。也就是說(shuō)評(píng)估的結(jié)果是一組針對(duì)某些具體事件發(fā)生概率的估計(jì)。
網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)主要有兩種方法:一是將網(wǎng)絡(luò)安全設(shè)備的報(bào)警信號(hào)進(jìn)行系統(tǒng)處理�、信息采集�、實(shí)時(shí)的呈現(xiàn)網(wǎng)絡(luò)運(yùn)行態(tài)勢(shì);二是對(duì)以往信息進(jìn)行詳細(xì)分析,采用數(shù)據(jù)挖掘的手段對(duì)潛在可能的威脅進(jìn)行預(yù)測(cè)����。
每天有龐大的信息量從不同的網(wǎng)絡(luò)設(shè)備中產(chǎn)生,而且來(lái)自不同設(shè)備的網(wǎng)絡(luò)信息事件總有一定的聯(lián)系�。安全態(tài)勢(shì)值屬于一種整體的預(yù)警方法,安全態(tài)勢(shì)評(píng)測(cè)則是把網(wǎng)絡(luò)安全信息的內(nèi)部特點(diǎn)和網(wǎng)絡(luò)安全之間的聯(lián)系相結(jié)合,當(dāng)安全事件滿足里面的條件,符合里面的規(guī)律特點(diǎn)時(shí),安全態(tài)勢(shì)預(yù)測(cè)體系完全可以根據(jù)這些數(shù)據(jù)和規(guī)律及時(shí)的判斷出來(lái),使網(wǎng)絡(luò)管理員知道里面的風(fēng)險(xiǎn)由多大。再者,同一等級(jí)的風(fēng)險(xiǎn)和事故,對(duì)不同配置的服務(wù)器所造成的影響是不同的���。
目前開(kāi)發(fā)的網(wǎng)絡(luò)安全評(píng)價(jià)與檢測(cè)系統(tǒng)有蟻警網(wǎng)絡(luò)安全態(tài)勢(shì)分析系統(tǒng)、網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)的融合決策模型分析系統(tǒng)��、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)等�����。
四����、網(wǎng)絡(luò)安全態(tài)勢(shì)的研究展望
開(kāi)展大規(guī)模網(wǎng)絡(luò)態(tài)勢(shì)感知可以保障網(wǎng)絡(luò)信息安全,對(duì)于提高網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力,緩解網(wǎng)絡(luò)攻擊所造成的危害,發(fā)現(xiàn)潛在惡意的入侵行為�、提高系統(tǒng)的反擊能力等具有十分重要的意義。
一個(gè)完整的網(wǎng)絡(luò)安全態(tài)勢(shì)感知過(guò)程應(yīng)該包括對(duì)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)的掌握和對(duì)未來(lái)的網(wǎng)絡(luò)安全態(tài)勢(shì)的分析預(yù)測(cè)���。目前提出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架,較多屬于即時(shí)或近即時(shí)的對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的了解,不是太深入,因此并不能對(duì)未來(lái)的網(wǎng)絡(luò)安全態(tài)勢(shì)變化趨勢(shì)提供真實(shí)有效的預(yù)測(cè),網(wǎng)絡(luò)管理人員也無(wú)法據(jù)此對(duì)網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全狀況做出及時(shí)、前瞻性的決策����。當(dāng)前,網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)一般采用回歸分析預(yù)測(cè)��、時(shí)間序列預(yù)測(cè)、指數(shù)法預(yù)測(cè)以及灰色預(yù)測(cè)等方法�。但是在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)研究中,采用何種方法來(lái)預(yù)測(cè)安全態(tài)勢(shì)的未來(lái)發(fā)展有待于進(jìn)一步地探討�。
五����、小結(jié)
隨著參加網(wǎng)絡(luò)的計(jì)算機(jī)數(shù)量迅速的增長(zhǎng)和網(wǎng)絡(luò)安全管理形勢(shì)的日益嚴(yán)峻,我們對(duì)網(wǎng)絡(luò)的安全管理需要改變被動(dòng)處理威脅的局面。通過(guò)使用網(wǎng)絡(luò)安全態(tài)勢(shì)分析技術(shù),網(wǎng)絡(luò)管理者可以判斷網(wǎng)絡(luò)安全整體情況,這樣就可以在網(wǎng)絡(luò)遭受攻擊和損失之前,提前采取防御措施,改善網(wǎng)絡(luò)安全設(shè)備的安全策略,達(dá)到主動(dòng)防衛(wèi)的目的�����。目前網(wǎng)絡(luò)安全態(tài)勢(shì)的研究國(guó)內(nèi)還處在起步階段,需要在相關(guān)算法����、體系架構(gòu)�、實(shí)用模型等方面作更深入的研究。
參考文獻(xiàn):
[1]蕭海東.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與趨勢(shì)感知的分析研究[D].上海:上海交通大學(xué),2007
篇(5)
眾所周知�,一個(gè)系統(tǒng)全面的計(jì)算機(jī)安全評(píng)估系統(tǒng)是防止黑客入侵計(jì)算機(jī)的重要保障����,安全評(píng)估體系能夠?qū)φ麄€(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全性與防護(hù)性作出一個(gè)較為科學(xué)嚴(yán)謹(jǐn)?shù)姆治鲈u(píng)估�����,而且該評(píng)估系統(tǒng)還會(huì)根據(jù)實(shí)際的計(jì)算機(jī)網(wǎng)路安全評(píng)估報(bào)告來(lái)制定相關(guān)的計(jì)算機(jī)安全使用策略�����。然而,在我們的計(jì)算機(jī)實(shí)際應(yīng)用中,往往不注意計(jì)算機(jī)安全評(píng)估系統(tǒng)的構(gòu)建,只注重計(jì)算機(jī)網(wǎng)絡(luò)安全事故的預(yù)防與事后處理���,平時(shí)欠缺對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全作出及時(shí)的評(píng)估與監(jiān)控,給計(jì)算機(jī)網(wǎng)絡(luò)安全造成一定的安全隱患。
2計(jì)算機(jī)外界威脅因素
計(jì)算機(jī)網(wǎng)絡(luò)安全事故很多是由計(jì)算機(jī)外界威脅因素造成的��,這其中包括自然環(huán)境威脅����、網(wǎng)絡(luò)黑客與病毒的入侵攻擊與非法訪問(wèn)操作。自然環(huán)境威脅一般是指計(jì)算機(jī)外在的自然條件不太完善,如各種無(wú)法預(yù)測(cè)的自然災(zāi)害����、難以控制的計(jì)算機(jī)外部機(jī)器故障等因素��。網(wǎng)絡(luò)黑客與病毒的入侵攻擊不但會(huì)對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)安全帶來(lái)極大的破壞�,還會(huì)摧毀計(jì)算機(jī)系統(tǒng)�����,對(duì)計(jì)算機(jī)自身造成極大的傷害��。據(jù)估計(jì)�,未來(lái)網(wǎng)絡(luò)黑客與病毒的摧毀力度將會(huì)越來(lái)越強(qiáng),而它們自身的隱蔽性與抗壓性也會(huì)相應(yīng)地得到提高�����,所以說(shuō)�����,網(wǎng)絡(luò)黑客與病毒的存在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全造成嚴(yán)重威脅��。而非法訪問(wèn)操作則主要指一些未得到授權(quán),私自越過(guò)計(jì)算機(jī)權(quán)限,或者是不法分子借助一些計(jì)算機(jī)工具去進(jìn)行計(jì)算機(jī)程序的編寫(xiě)�,從而突破該計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)權(quán)限���,入侵到他人計(jì)算機(jī)的不法操作����。
二��、計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施
1建立安全可靠的計(jì)算機(jī)安全防線
安全可靠的計(jì)算機(jī)安全防線是避免計(jì)算機(jī)網(wǎng)絡(luò)不安全因素出現(xiàn)的最關(guān)鍵環(huán)節(jié)�����,其構(gòu)建主要依靠計(jì)算機(jī)防火墻技術(shù)、數(shù)據(jù)加密技術(shù)與病毒查殺技術(shù)�。防火墻控制技術(shù)主要是一種建立在各網(wǎng)絡(luò)之間的互聯(lián)設(shè)備���,能夠有效避免不法分子以不正當(dāng)方式入侵網(wǎng)絡(luò)內(nèi)部����,防止不法分子盜取計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的信息資源��,是計(jì)算機(jī)內(nèi)部一道強(qiáng)有力的網(wǎng)絡(luò)安全屏障�����。數(shù)據(jù)加密技術(shù)的主要作用就是對(duì)計(jì)算機(jī)內(nèi)部的數(shù)據(jù)添加密文設(shè)置��,未經(jīng)授權(quán)的計(jì)算機(jī)不法分子是無(wú)法獲取數(shù)據(jù)����、讀懂?dāng)?shù)據(jù)的��,最終達(dá)到保護(hù)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)恼_性與安全性���。常用的數(shù)據(jù)加密技術(shù)包括有:保證個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間信息傳輸正確且安全的鏈路加密技術(shù)�����、確保計(jì)算機(jī)始端數(shù)據(jù)傳輸與終端數(shù)據(jù)接收安全的端點(diǎn)加密技術(shù)與保證源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間傳輸安全可靠的節(jié)點(diǎn)加密技術(shù)。病毒查殺技術(shù)可謂是計(jì)算機(jī)安全網(wǎng)絡(luò)防范最為關(guān)鍵的環(huán)節(jié)��。病毒查殺技術(shù)一般通過(guò)殺毒軟件的安裝運(yùn)行去運(yùn)行的�,在計(jì)算機(jī)安裝殺毒軟件以后,應(yīng)當(dāng)定時(shí)對(duì)殺毒軟件進(jìn)行實(shí)時(shí)的監(jiān)測(cè)控制�,定期對(duì)殺毒軟件進(jìn)行升級(jí)處理�����,按時(shí)對(duì)計(jì)算機(jī)進(jìn)行殺毒掃描,以求及時(shí)將計(jì)算機(jī)內(nèi)容隱藏病毒進(jìn)行發(fā)現(xiàn)處理����。
2提高計(jì)算機(jī)用戶與計(jì)算機(jī)網(wǎng)絡(luò)管理人員的安全意識(shí)
于個(gè)人計(jì)算機(jī)用戶而言��,必須要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)資源管理意識(shí),根據(jù)自己實(shí)際需要對(duì)計(jì)算機(jī)設(shè)置特殊的口令�,確保計(jì)算機(jī)數(shù)據(jù)獲取的合法性與安全性�����,避免其他計(jì)算機(jī)用戶以非法手段入侵計(jì)算機(jī)內(nèi)部,獲取相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)資源�����,造成計(jì)算機(jī)網(wǎng)絡(luò)安全隱患����。閑時(shí),計(jì)算機(jī)用戶還必須注意對(duì)病毒進(jìn)行監(jiān)測(cè)清除����,避免網(wǎng)絡(luò)黑客的入侵導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰��。于社會(huì)團(tuán)體組織而言,必須注重提高內(nèi)部計(jì)算機(jī)管理人員的網(wǎng)絡(luò)安全意識(shí)�,注意采用適當(dāng)?shù)姆椒ㄈヅ囵B(yǎng)一批具有專業(yè)計(jì)算機(jī)技術(shù)的網(wǎng)絡(luò)監(jiān)控人員�,打造精英計(jì)算機(jī)安全管理團(tuán)隊(duì)�����,能及時(shí)對(duì)網(wǎng)絡(luò)不法攻擊作出處理���,構(gòu)建一個(gè)系統(tǒng)全面的計(jì)算機(jī)網(wǎng)絡(luò)安全管理體系�,致力打造一個(gè)安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境�����。
3完善計(jì)算機(jī)網(wǎng)絡(luò)安全制度
健全的計(jì)算機(jī)網(wǎng)絡(luò)安全制度不但可以規(guī)范計(jì)算機(jī)網(wǎng)絡(luò)安全使用�����,還能夠借助法律法規(guī)等強(qiáng)硬手段去徹底打擊計(jì)算機(jī)網(wǎng)絡(luò)犯罪,及時(shí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)不法分子給予相關(guān)懲處�,保證了計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全可靠。因此,加強(qiáng)并且定期完善計(jì)算機(jī)網(wǎng)絡(luò)安全立法制度是十分必要的���。
4其他管理措施
計(jì)算機(jī)網(wǎng)絡(luò)安全防范僅僅依靠強(qiáng)硬的計(jì)算機(jī)安全防御系統(tǒng)與專業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)人員是遠(yuǎn)遠(yuǎn)不夠的,還必須定期對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行一系列的專業(yè)評(píng)估與監(jiān)測(cè)控制,實(shí)時(shí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行���、數(shù)據(jù)傳輸過(guò)程進(jìn)行監(jiān)控,熱切關(guān)注計(jì)算機(jī)內(nèi)部系統(tǒng)是否存在一些漏洞,一旦發(fā)現(xiàn)漏洞����,要盡早處理�,避免其他計(jì)算機(jī)病毒的攻擊�����。
篇(6)
眾所周知,一個(gè)系統(tǒng)全面的計(jì)算機(jī)安全評(píng)估系統(tǒng)是防止黑客入侵計(jì)算機(jī)的重要保障,安全評(píng)估體系能夠?qū)φ麄€(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全性與防護(hù)性作出一個(gè)較為科學(xué)嚴(yán)謹(jǐn)?shù)姆治鲈u(píng)估,而且該評(píng)估系統(tǒng)還會(huì)根據(jù)實(shí)際的計(jì)算機(jī)網(wǎng)路安全評(píng)估報(bào)告來(lái)制定相關(guān)的計(jì)算機(jī)安全使用策略�。然而,在我們的計(jì)算機(jī)實(shí)際應(yīng)用中,往往不注意計(jì)算機(jī)安全評(píng)估系統(tǒng)的構(gòu)建,只注重計(jì)算機(jī)網(wǎng)絡(luò)安全事故的預(yù)防與事后處理,平時(shí)欠缺對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全作出及時(shí)的評(píng)估與監(jiān)控,給計(jì)算機(jī)網(wǎng)絡(luò)安全造成一定的安全隱患�����。
2計(jì)算機(jī)外界威脅因素
計(jì)算機(jī)網(wǎng)絡(luò)安全事故很多是由計(jì)算機(jī)外界威脅因素造成的,這其中包括自然環(huán)境威脅���、網(wǎng)絡(luò)黑客與病毒的入侵攻擊與非法訪問(wèn)操作����。自然環(huán)境威脅一般是指計(jì)算機(jī)外在的自然條件不太完善,如各種無(wú)法預(yù)測(cè)的自然災(zāi)害��、難以控制的計(jì)算機(jī)外部機(jī)器故障等因素���。網(wǎng)絡(luò)黑客與病毒的入侵攻擊不但會(huì)對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)安全帶來(lái)極大的破壞,還會(huì)摧毀計(jì)算機(jī)系統(tǒng),對(duì)計(jì)算機(jī)自身造成極大的傷害��。據(jù)估計(jì),未來(lái)網(wǎng)絡(luò)黑客與病毒的摧毀力度將會(huì)越來(lái)越強(qiáng),而它們自身的隱蔽性與抗壓性也會(huì)相應(yīng)地得到提高,所以說(shuō),網(wǎng)絡(luò)黑客與病毒的存在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全造成嚴(yán)重威脅。而非法訪問(wèn)操作則主要指一些未得到授權(quán),私自越過(guò)計(jì)算機(jī)權(quán)限,或者是不法分子借助一些計(jì)算機(jī)工具去進(jìn)行計(jì)算機(jī)程序的編寫(xiě),從而突破該計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)權(quán)限,入侵到他人計(jì)算機(jī)的不法操作。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施
1建立安全可靠的計(jì)算機(jī)安全防線
安全可靠的計(jì)算機(jī)安全防線是避免計(jì)算機(jī)網(wǎng)絡(luò)不安全因素出現(xiàn)的最關(guān)鍵環(huán)節(jié),其構(gòu)建主要依靠計(jì)算機(jī)防火墻技術(shù)��、數(shù)據(jù)加密技術(shù)與病毒查殺技術(shù)��。防火墻控制技術(shù)主要是一種建立在各網(wǎng)絡(luò)之間的互聯(lián)設(shè)備,能夠有效避免不法分子以不正當(dāng)方式入侵網(wǎng)絡(luò)內(nèi)部,防止不法分子盜取計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的信息資源,是計(jì)算機(jī)內(nèi)部一道強(qiáng)有力的網(wǎng)絡(luò)安全屏障。數(shù)據(jù)加密技術(shù)的主要作用就是對(duì)計(jì)算機(jī)內(nèi)部的數(shù)據(jù)添加密文設(shè)置,未經(jīng)授權(quán)的計(jì)算機(jī)不法分子是無(wú)法獲取數(shù)據(jù)����、讀懂?dāng)?shù)據(jù)的,最終達(dá)到保護(hù)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)恼_性與安全性���。常用的數(shù)據(jù)加密技術(shù)包括有:保證個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間信息傳輸正確且安全的鏈路加密技術(shù)���、確保計(jì)算機(jī)始端數(shù)據(jù)傳輸與終端數(shù)據(jù)接收安全的端點(diǎn)加密技術(shù)與保證源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間傳輸安全可靠的節(jié)點(diǎn)加密技術(shù)��。病毒查殺技術(shù)可謂是計(jì)算機(jī)安全網(wǎng)絡(luò)防范最為關(guān)鍵的環(huán)節(jié)��。病毒查殺技術(shù)一般通過(guò)殺毒軟件的安裝運(yùn)行去運(yùn)行的,在計(jì)算機(jī)安裝殺毒軟件以后,應(yīng)當(dāng)定時(shí)對(duì)殺毒軟件進(jìn)行實(shí)時(shí)的監(jiān)測(cè)控制,定期對(duì)殺毒軟件進(jìn)行升級(jí)處理,按時(shí)對(duì)計(jì)算機(jī)進(jìn)行殺毒掃描,以求及時(shí)將計(jì)算機(jī)內(nèi)容隱藏病毒進(jìn)行發(fā)現(xiàn)處理。
2提高計(jì)算機(jī)用戶與計(jì)算機(jī)網(wǎng)絡(luò)管理人員的安全意識(shí)
于個(gè)人計(jì)算機(jī)用戶而言,必須要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)資源管理意識(shí),根據(jù)自己實(shí)際需要對(duì)計(jì)算機(jī)設(shè)置特殊的口令,確保計(jì)算機(jī)數(shù)據(jù)獲取的合法性與安全性,避免其他計(jì)算機(jī)用戶以非法手段入侵計(jì)算機(jī)內(nèi)部,獲取相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)資源,造成計(jì)算機(jī)網(wǎng)絡(luò)安全隱患����。閑時(shí),計(jì)算機(jī)用戶還必須注意對(duì)病毒進(jìn)行監(jiān)測(cè)清除,避免網(wǎng)絡(luò)黑客的入侵導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰�����。于社會(huì)團(tuán)體組織而言,必須注重提高內(nèi)部計(jì)算機(jī)管理人員的網(wǎng)絡(luò)安全意識(shí),注意采用適當(dāng)?shù)姆椒ㄈヅ囵B(yǎng)一批具有專業(yè)計(jì)算機(jī)技術(shù)的網(wǎng)絡(luò)監(jiān)控人員,打造精英計(jì)算機(jī)安全管理團(tuán)隊(duì),能及時(shí)對(duì)網(wǎng)絡(luò)不法攻擊作出處理,構(gòu)建一個(gè)系統(tǒng)全面的計(jì)算機(jī)網(wǎng)絡(luò)安全管理體系,致力打造一個(gè)安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境。
3完善計(jì)算機(jī)網(wǎng)絡(luò)安全制度
健全的計(jì)算機(jī)網(wǎng)絡(luò)安全制度不但可以規(guī)范計(jì)算機(jī)網(wǎng)絡(luò)安全使用,還能夠借助法律法規(guī)等強(qiáng)硬手段去徹底打擊計(jì)算機(jī)網(wǎng)絡(luò)犯罪,及時(shí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)不法分子給予相關(guān)懲處,保證了計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全可靠�。因此,加強(qiáng)并且定期完善計(jì)算機(jī)網(wǎng)絡(luò)安全立法制度是十分必要的��。
4其他管理措施
篇(7)
這個(gè)時(shí)期內(nèi),在微軟Windows上共發(fā)現(xiàn)了39處漏洞,其中12個(gè)屬高優(yōu)先級(jí)或嚴(yán)重級(jí)��。微軟修復(fù)這些漏洞的平均時(shí)間僅為21天�����,而Linux操作系統(tǒng)在2006年下半年共曝露了208處漏洞���,修復(fù)這些漏洞平均耗時(shí)58天���。
該報(bào)告涵蓋了2006年后半年發(fā)現(xiàn)的數(shù)量龐大的一系列安全漏洞。 但是這種以發(fā)現(xiàn)安全漏洞數(shù)量的多少和修復(fù)漏洞時(shí)間的長(zhǎng)短為依據(jù)來(lái)判定安全與否���,是否是惟一答案?
中科紅旗產(chǎn)品經(jīng)理王旭認(rèn)為�,關(guān)于安全漏洞是不可避免���,但評(píng)價(jià)漏洞對(duì)安全影響多少要綜合起來(lái)看漏洞問(wèn)題和所帶來(lái)的實(shí)際危害�。Linux系統(tǒng)的安全漏洞大部分被社區(qū)發(fā)現(xiàn)�,而相反,Windows漏洞大部分都是被黑客發(fā)現(xiàn)而進(jìn)行惡意攻擊和利用�����,所以并不能單靠哪個(gè)系統(tǒng)發(fā)現(xiàn)的漏洞多少和修復(fù)時(shí)間長(zhǎng)短來(lái)判定哪個(gè)系統(tǒng)是最安全���。
事實(shí)上����,近兩年Linux系統(tǒng)的應(yīng)用越來(lái)越廣泛,這也要求客戶在實(shí)際應(yīng)用中應(yīng)采用適當(dāng)?shù)陌踩珯C(jī)制,那么基于Linux系統(tǒng)的網(wǎng)絡(luò)安全策略和保護(hù)措施都有哪些�?
中科紅旗副總裁鄭忠源告訴我們���,有下面幾點(diǎn)是需要特別考慮的�,一是身份驗(yàn)證是否收到保護(hù);二是對(duì)安全管理員而言����,對(duì)其自主訪問(wèn)用戶的控制;三是網(wǎng)絡(luò)上的安全細(xì)節(jié),比如對(duì)其端口保護(hù)等;四是審計(jì)監(jiān)督�,即什么用戶�����,在什么時(shí)候進(jìn)行登錄,都要有所記錄����,Windows日志也會(huì)跟綜這方面的登錄信息,但經(jīng)常有高明黑客能很容易刪除日志,所以也很難發(fā)現(xiàn)黑客痕跡。
微軟在Vista的宣傳資料中所說(shuō)�,Vista是目前為止微軟推出的最安全的操作系統(tǒng)����。微軟承諾說(shuō)��,歷經(jīng)了5年開(kāi)發(fā)而成的Vista將讓桌面用戶進(jìn)入一個(gè)可信計(jì)算的新世界���,在這個(gè)世界里��,電腦將更可靠�����、使用者得到更好的體驗(yàn)、臭名昭著的惡意軟件將成為過(guò)去。
篇(8)
為切實(shí)履行通信網(wǎng)絡(luò)安全管理職責(zé)��,提高通信網(wǎng)絡(luò)安全防護(hù)水平���,依據(jù)《中華人民共和國(guó)電信條例》���,工業(yè)和信息化部起草了《通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法(征求意見(jiàn)稿)》�,現(xiàn)予以公告,征求意見(jiàn)���。請(qǐng)于2009年9月4日前反饋意見(jiàn)。
聯(lián)系地址:北京西長(zhǎng)安街13號(hào)工業(yè)和信息化部政策法規(guī)司(郵編:100804)
電子郵件:wangxiaofei@miit.gov.cn
附件:《通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法(征求意見(jiàn)稿)》
通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法
(征求意見(jiàn)稿)
第一條(目的依據(jù))為加強(qiáng)對(duì)通信網(wǎng)絡(luò)安全的管理�����,提高通信網(wǎng)絡(luò)安全防護(hù)能力�����,保障通信網(wǎng)絡(luò)安全暢通,根據(jù)《中華人民共和國(guó)電信條例》���,制定本辦法。
第二條(適用范圍)中華人民共和國(guó)境內(nèi)的電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)域名服務(wù)提供者(以下統(tǒng)稱“通信網(wǎng)絡(luò)運(yùn)行單位”)管理和運(yùn)行的公用通信網(wǎng)和互聯(lián)網(wǎng)(以下統(tǒng)稱“通信網(wǎng)絡(luò)”)的網(wǎng)絡(luò)安全防護(hù)工作�,適用本辦法���。
本辦法所稱互聯(lián)網(wǎng)域名服務(wù)���,是指設(shè)置域名數(shù)據(jù)庫(kù)或域名解析服務(wù)器��,為域名持有者提供域名注冊(cè)或權(quán)威解析服務(wù)的行為。
本辦法所稱網(wǎng)絡(luò)安全防護(hù)工作�,是指為防止通信網(wǎng)絡(luò)阻塞����、中斷��、癱瘓或被非法控制等以及通信網(wǎng)絡(luò)中傳輸�����、存儲(chǔ)、處理的數(shù)據(jù)信息丟失、泄露或被非法篡改等而開(kāi)展的相關(guān)工作。
第三條(管轄職責(zé))中華人民共和國(guó)工業(yè)和信息化部(以下簡(jiǎn)稱工業(yè)和信息化部)負(fù)責(zé)全國(guó)通信網(wǎng)絡(luò)安全防護(hù)工作的統(tǒng)一指導(dǎo)、協(xié)調(diào)�、監(jiān)督和檢查��,建立健全通信網(wǎng)絡(luò)安全防護(hù)體系,制訂通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)����。
省��、自治區(qū)、直轄市通信管理局(以下簡(jiǎn)稱“通信管理局”)依據(jù)本辦法的規(guī)定����,對(duì)本行政區(qū)域內(nèi)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行指導(dǎo)�����、協(xié)調(diào)�����、監(jiān)督和檢查�����。
工業(yè)和信息化部和通信管理局統(tǒng)稱“電信管理機(jī)構(gòu)”。
第四條(責(zé)任主體)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照本辦法和通信網(wǎng)絡(luò)安全防護(hù)政策����、標(biāo)準(zhǔn)的要求開(kāi)展通信網(wǎng)絡(luò)安全防護(hù)工作���,對(duì)本單位通信網(wǎng)絡(luò)安全負(fù)責(zé)�。
第五條(方針原則)通信網(wǎng)絡(luò)安全防護(hù)工作堅(jiān)持積極防御、綜合防范的方針�,實(shí)行分級(jí)保護(hù)的原則���。
第六條(同步要求)通信網(wǎng)絡(luò)運(yùn)行單位規(guī)劃��、設(shè)計(jì)、新建����、改建通信網(wǎng)絡(luò)工程項(xiàng)目����,應(yīng)當(dāng)同步規(guī)劃����、設(shè)計(jì)���、建設(shè)滿足通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)要求的通信網(wǎng)絡(luò)安全保障設(shè)施����,并與主體工程同時(shí)進(jìn)行驗(yàn)收和投入運(yùn)行。
已經(jīng)投入運(yùn)行的通信網(wǎng)絡(luò)安全保障設(shè)施沒(méi)有滿足通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)要求的,通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)進(jìn)行改建��。
通信網(wǎng)絡(luò)安全保障設(shè)施的規(guī)劃���、設(shè)計(jì)�、新建、改建費(fèi)用���,應(yīng)當(dāng)納入本單位建設(shè)項(xiàng)目預(yù)算。
第七條(分級(jí)保護(hù)要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)規(guī)定的方法��,對(duì)本單位已正式投入運(yùn)行的通信網(wǎng)絡(luò)進(jìn)行單元?jiǎng)澐?����,將各通信網(wǎng)絡(luò)單元按照其對(duì)國(guó)家和社會(huì)經(jīng)濟(jì)發(fā)展的重要程度由低到高分別劃分為一級(jí)���、二級(jí)���、三級(jí)����、四級(jí)���、五級(jí)��。
通信網(wǎng)絡(luò)單元的分級(jí)結(jié)果應(yīng)由接受其備案的電信管理機(jī)構(gòu)組織專家進(jìn)行評(píng)審�。
通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)根據(jù)實(shí)際情況適時(shí)調(diào)整通信網(wǎng)絡(luò)單元的劃分和級(jí)別�����。通信網(wǎng)絡(luò)運(yùn)行單位調(diào)整通信網(wǎng)絡(luò)單元的劃分和級(jí)別的,應(yīng)當(dāng)按照前款規(guī)定重新進(jìn)行評(píng)審。
第八條(備案要求1)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照下列規(guī)定在通信網(wǎng)絡(luò)投入運(yùn)行后30日內(nèi)將通信網(wǎng)絡(luò)單元向電信管理機(jī)構(gòu)備案:
(一)基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者集團(tuán)公司直接管理的通信網(wǎng)絡(luò)單元,向工業(yè)和信息化部備案;基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者各省(自治區(qū)����、直轄市)子公司���、分公司負(fù)責(zé)管理的通信網(wǎng)絡(luò)單元���,向當(dāng)?shù)赝ㄐ殴芾砭謧浒浮?/p>
(二)增值電信業(yè)務(wù)經(jīng)營(yíng)者的通信網(wǎng)絡(luò)單元��,向電信業(yè)務(wù)經(jīng)營(yíng)許可證的發(fā)證機(jī)構(gòu)備案。
(三)互聯(lián)網(wǎng)域名服務(wù)提供者的通信網(wǎng)絡(luò)單元,向工業(yè)和信息化部備案。
第九條(備案要求2)通信網(wǎng)絡(luò)運(yùn)行單位辦理通信網(wǎng)絡(luò)單元備案,應(yīng)當(dāng)提交以下信息:
(一)通信網(wǎng)絡(luò)單元的名稱、級(jí)別、主要功能等。
(二)通信網(wǎng)絡(luò)單元責(zé)任單位的名稱����、聯(lián)系方式等�����。
(三)通信網(wǎng)絡(luò)單元主要負(fù)責(zé)人的姓名、聯(lián)系方式等�。
(四)通信網(wǎng)絡(luò)單元的拓?fù)浼軜?gòu)����、網(wǎng)絡(luò)邊界、主要軟硬件及型號(hào)、關(guān)鍵設(shè)施位址等���。
前款規(guī)定的備案信息發(fā)生變化的,通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)自變更之日起15日內(nèi)向電信管理機(jī)構(gòu)變更備案。
第十條(備案審核)電信管理機(jī)構(gòu)應(yīng)當(dāng)自收到通信網(wǎng)絡(luò)單元備案申請(qǐng)后20日內(nèi)完成備案信息審核工作�。備案信息真實(shí)�����、齊全��、符合規(guī)定形式的�����,應(yīng)當(dāng)予以備案;備案信息不真實(shí)、不齊全或者不符合規(guī)定形式的��,應(yīng)當(dāng)通知備案單位補(bǔ)正�。
第十一條(符合性評(píng)測(cè)要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的要求,落實(shí)與通信網(wǎng)絡(luò)單元級(jí)別相適應(yīng)的安全防護(hù)措施,并自行組織進(jìn)行符合性評(píng)測(cè)。評(píng)測(cè)方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的有關(guān)規(guī)定�。
三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元�����,應(yīng)當(dāng)每年進(jìn)行一次符合性評(píng)測(cè);二級(jí)通信網(wǎng)絡(luò)單元�����,應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次符合性評(píng)測(cè)����。通信網(wǎng)絡(luò)單元的級(jí)別調(diào)整后,應(yīng)當(dāng)及時(shí)重新進(jìn)行符合性評(píng)測(cè)�。
符合性評(píng)測(cè)結(jié)果及整改情況或者整改計(jì)劃應(yīng)當(dāng)于評(píng)測(cè)結(jié)束后30日內(nèi)報(bào)送通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)�����。
第十二條(風(fēng)險(xiǎn)評(píng)估要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)對(duì)通信網(wǎng)絡(luò)單元進(jìn)行經(jīng)常性的風(fēng)險(xiǎn)評(píng)估,及時(shí)消除重大網(wǎng)絡(luò)安全隱患���。風(fēng)險(xiǎn)評(píng)估方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的有關(guān)規(guī)定。
三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元���,應(yīng)當(dāng)每年進(jìn)行一次風(fēng)險(xiǎn)評(píng)估;二級(jí)通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次風(fēng)險(xiǎn)評(píng)估��;國(guó)家重大活動(dòng)舉辦前�,三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估�。
風(fēng)險(xiǎn)評(píng)估結(jié)果及隱患處理情況或者處理計(jì)劃應(yīng)當(dāng)于風(fēng)險(xiǎn)評(píng)估結(jié)束后30日內(nèi)上報(bào)通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)。
第十三條(災(zāi)難備份要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的要求�����,對(duì)通信網(wǎng)絡(luò)單元的重要線路����、設(shè)備、系統(tǒng)和數(shù)據(jù)等進(jìn)行備份�。
第十四條(演練要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)定期或不定期組織演練檢驗(yàn)通信網(wǎng)絡(luò)安全防護(hù)措施的有效性���,并參加電信管理機(jī)構(gòu)組織開(kāi)展的演練�。
第十五條(監(jiān)測(cè)要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)對(duì)本單位通信網(wǎng)絡(luò)的安全狀況進(jìn)行自主監(jiān)測(cè)��,按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)建設(shè)和運(yùn)行通信網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)�。
通信網(wǎng)絡(luò)運(yùn)行單位的監(jiān)測(cè)系統(tǒng)應(yīng)當(dāng)按照電信管理機(jī)構(gòu)的要求�,與電信管理機(jī)構(gòu)的監(jiān)測(cè)系統(tǒng)互聯(lián)。
第十六條(CNCERT職責(zé))工業(yè)和信息化部委托國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心建設(shè)和運(yùn)行互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)����。
第十七條(安全服務(wù)規(guī)范)通信網(wǎng)絡(luò)運(yùn)行單位委托其他單位進(jìn)行安全評(píng)測(cè)����、評(píng)估��、監(jiān)測(cè)等工作的���,應(yīng)當(dāng)加強(qiáng)對(duì)受委托單位的管理�����,保證其服務(wù)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)及有關(guān)法律、法規(guī)和政策的要求����。
第十八條(監(jiān)督檢查)電信管理機(jī)構(gòu)應(yīng)當(dāng)根據(jù)本辦法和通信網(wǎng)絡(luò)安全防護(hù)政策��、標(biāo)準(zhǔn),對(duì)通信網(wǎng)絡(luò)運(yùn)行單位開(kāi)展通信網(wǎng)絡(luò)安全防護(hù)工作的情況進(jìn)行監(jiān)督檢查����。
第十九條(檢查措施)電信管理機(jī)構(gòu)有權(quán)采取以下措施對(duì)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行監(jiān)督檢查:
(一)查閱通信網(wǎng)絡(luò)運(yùn)行單位的符合性評(píng)測(cè)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告���。
(二)查閱通信網(wǎng)絡(luò)運(yùn)行單位的有關(guān)文檔和工作記錄����。
(三)向通信網(wǎng)絡(luò)運(yùn)行單位工作人員詢問(wèn)了解有關(guān)情況�����。
(四)查驗(yàn)通信網(wǎng)絡(luò)運(yùn)行單位的有關(guān)設(shè)施�����。
(五)對(duì)通信網(wǎng)絡(luò)進(jìn)行技術(shù)性分析和測(cè)試。
(六)采用法律、行政法規(guī)規(guī)定的其他檢查方式。
第二十條(委托檢查)電信管理機(jī)構(gòu)可以委托網(wǎng)絡(luò)安全檢測(cè)專業(yè)機(jī)構(gòu)開(kāi)展通信網(wǎng)絡(luò)安全檢測(cè)活動(dòng)���。
第二十一條(配合檢查的義務(wù))通信網(wǎng)絡(luò)運(yùn)行單位對(duì)電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)依據(jù)本辦法開(kāi)展的監(jiān)督檢查和檢測(cè)活動(dòng)應(yīng)當(dāng)予以配合,不得拒絕����、阻撓�����。
第二十二條(規(guī)范檢查單位)電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)對(duì)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行監(jiān)督檢查和檢測(cè)����,不得影響通信網(wǎng)絡(luò)的正常運(yùn)行,不得收取任何費(fèi)用,不得要求接受監(jiān)督檢查的單位購(gòu)買(mǎi)指定品牌或者指定生產(chǎn)、銷售單位的安全軟件�、設(shè)備或者其他產(chǎn)品�。
第二十三條(規(guī)范檢查人員)電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)的監(jiān)督檢查人員應(yīng)當(dāng)忠于職守��、堅(jiān)持原則����,不得泄漏監(jiān)督檢查工作中知悉的國(guó)家秘密��、商業(yè)秘密�����、技術(shù)秘密和個(gè)人隱私。
第二十四條(對(duì)專業(yè)機(jī)構(gòu)的要求)電信管理機(jī)構(gòu)委托的專業(yè)機(jī)構(gòu)進(jìn)行檢測(cè)時(shí)�,應(yīng)當(dāng)書(shū)面記錄檢查的對(duì)象��、時(shí)間、地點(diǎn)�����、內(nèi)容���、發(fā)現(xiàn)的問(wèn)題等�����,由檢查單位和被檢查單位相關(guān)負(fù)責(zé)人簽字蓋章后����,報(bào)委托方�����。
第二十五條(罰則1)違反本辦法第六條�����、第七條、第八條�����、第九條�����、第十一條�、第十二條����、第十三條、第十四條、第十五條���、第十七條、第二十一條規(guī)定的����,由電信管理機(jī)構(gòu)責(zé)令改正���,給予警告�,并處5000元以上3萬(wàn)元以下的罰款��。
篇(9)
0 引言
如何保證合法網(wǎng)絡(luò)用戶對(duì)資源的合法訪問(wèn)以及如何防止網(wǎng)絡(luò)黑客的攻擊���,已經(jīng)成為網(wǎng)絡(luò)安全的主要內(nèi)容。
1 網(wǎng)絡(luò)安全威脅
1.1 網(wǎng)絡(luò)中物理的安全威脅 例如空氣溫度��、濕度�����、塵土等環(huán)境故障���、以及設(shè)備故障�����、電源故障、電磁干擾�、線路截獲等�����。
1.2 網(wǎng)絡(luò)中信息的安全威脅 ①蠕蟲(chóng)和病毒。計(jì)算機(jī)蠕蟲(chóng)和病毒是最常見(jiàn)的一類安全威脅����。蠕蟲(chóng)和病毒會(huì)嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性��。隨著病毒變得更智能、更具破壞性��,其傳播速度也更快�����,甚至能在片刻間使信息處理處于癱瘓狀態(tài)���,而要清除被感染計(jì)算機(jī)中的病毒所要耗費(fèi)的時(shí)一間也更長(zhǎng)���。②黑客攻擊。“黑客”一詞由英語(yǔ)hacker英譯而來(lái)�,原意是指專門(mén)研究�����、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛(ài)好者。現(xiàn)如今主要用來(lái)描述那些掌握高超的網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)竊取他人或企業(yè)部門(mén)重要數(shù)據(jù)從中獲益的人�����。黑客攻擊主要包括系統(tǒng)入侵、網(wǎng)絡(luò)監(jiān)聽(tīng)、密文破解和拒絕服務(wù)(dts)攻擊等��。
2 網(wǎng)絡(luò)安全技術(shù)
為了消除上述安全威脅�����,企業(yè)���、部門(mén)或個(gè)人需要建立一系列的防御體系�����。目前主要有以下幾種安全技術(shù):
2.1 密碼技術(shù) 在信息傳輸過(guò)程中,發(fā)送方先用加密密鑰���,通過(guò)加密設(shè)備或算法,將信息加密后發(fā)送出去�,接收方在收到密文后����,用解密密鑰將密文解密��,恢復(fù)為明文���。如果傳輸中有人竊取,也只能得到無(wú)法理解的密文���,從而對(duì)信息起到保密作用。
2.2 身份認(rèn)證技術(shù) 通過(guò)建立身份認(rèn)證系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)用戶的集中統(tǒng)一授權(quán)�����,防止未經(jīng)授權(quán)的非法用戶使用網(wǎng)絡(luò)資源��。在網(wǎng)絡(luò)環(huán)境中��,信息傳至接收方后,接收方首先要確認(rèn)信息發(fā)送方的合法身份,然后才能與之建立一條通信鏈路。身份認(rèn)證技術(shù)主要包括數(shù)字簽名���、身份驗(yàn)證和數(shù)字證明。
2.3 病毒防范技術(shù) 計(jì)算機(jī)病毒實(shí)際上是一種惡意程序,防病毒技術(shù)就是識(shí)別出這種程序并消除其影響的一種技術(shù)���。從防病毒產(chǎn)品對(duì)計(jì)算機(jī)病毒的作用來(lái)講,防病毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)、病毒檢測(cè)技術(shù)和病毒清除技術(shù)。
①病毒預(yù)防技術(shù)�。計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類處理���,而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒�。病毒預(yù)防技術(shù)包括磁盤(pán)引導(dǎo)區(qū)保護(hù)�����、加密可執(zhí)行程序��、讀寫(xiě)控制技術(shù)和系統(tǒng)監(jiān)控技術(shù)等。②病毒檢測(cè)技術(shù)���。它有兩種:一種是根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容��、病毒特征及傳染方式�����、文件長(zhǎng)度的變化,在特征分類的基礎(chǔ)上建立的病毒檢測(cè)技術(shù)�;另一種是不針對(duì)具體病毒程序的自身校驗(yàn)技術(shù)��,即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果,以后定期或不定期地以保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)��,若出現(xiàn)差異���,即表示該文件或數(shù)據(jù)段完整性己遭到破壞�����,感染上了病毒����,從而檢測(cè)到病毒的存在。③病毒清除技術(shù)�。計(jì)算機(jī)病毒的清除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果��,是計(jì)算機(jī)病毒傳染程序的一個(gè)逆過(guò)程。目前�����,清除病毒大都是在某種病毒出現(xiàn)后���,通過(guò)對(duì)其進(jìn)行分析研究而研制出來(lái)的具有相應(yīng)解毒功能的軟件�。這類軟件技術(shù)發(fā)展往往是被動(dòng)的,帶有滯后性����。而且由于計(jì)算機(jī)軟件所要求的精確性�����,殺毒軟件有其局限性�����,對(duì)有些變種病毒的清除無(wú)能為力�。
2.4 入侵檢測(cè)技術(shù) 入侵檢測(cè)技術(shù)是一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?�,F(xiàn)象的技術(shù)����,也是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)����。
入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。
①特征檢測(cè)的假設(shè)是入侵者活動(dòng)可以用一種模式來(lái)表示�����,系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式���。它可以將己有的入侵方法檢查出來(lái)��,但對(duì)新的入侵方法無(wú)能為力��。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。②異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)��。根據(jù)這一理念建立主體正?����;顒?dòng)的“活動(dòng)簡(jiǎn)檔”����,將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較����,當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)�,認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為����。
2.5 漏洞掃描技術(shù) 漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)����、文件等進(jìn)行檢查�����,發(fā)現(xiàn)其中可被黑客所利用的漏洞����。漏洞檢測(cè)技術(shù)就是通過(guò)對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查,查找系統(tǒng)安全漏洞的一種技術(shù)。它能夠預(yù)先評(píng)估和分析系統(tǒng)中存在的各種安全隱患,換言之,漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)����、文件等進(jìn)行檢查��,發(fā)現(xiàn)其中可被黑客所利用的漏洞。隨著黑客人侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷,預(yù)先評(píng)估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問(wèn)題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的評(píng)估報(bào)告����,它指出了哪些攻擊是可能的���,因此成為網(wǎng)絡(luò)安全解決方案中的一個(gè)重要組成部分�。
漏洞掃描技術(shù)主要分為被動(dòng)式和主動(dòng)式兩種:
①被動(dòng)式是基于主機(jī)的檢測(cè)�����,對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查。②主動(dòng)式則是基于對(duì)網(wǎng)絡(luò)的主動(dòng)檢測(cè)�����,通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊���,并記錄它的反應(yīng)���,從而發(fā)現(xiàn)其中的漏洞�����。
篇(10)
第二條 中華人民共和國(guó)境內(nèi)的電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)域名服務(wù)提供者(以下統(tǒng)稱通信網(wǎng)絡(luò)運(yùn)行單位)管理和運(yùn)行的公用通信網(wǎng)和互聯(lián)網(wǎng)(以下統(tǒng)稱通信網(wǎng)絡(luò))的網(wǎng)絡(luò)安全防護(hù)工作�����,適用本辦法。
本辦法所稱互聯(lián)網(wǎng)域名服務(wù)��,是指設(shè)置域名數(shù)據(jù)庫(kù)或者域名解析服務(wù)器�����,為域名持有者提供域名注冊(cè)或者權(quán)威解析服務(wù)的行為��。
本辦法所稱網(wǎng)絡(luò)安全防護(hù)工作,是指為防止通信網(wǎng)絡(luò)阻塞、中斷���、癱瘓或者被非法控制,以及為防止通信網(wǎng)絡(luò)中傳輸、存儲(chǔ)、處理的數(shù)據(jù)信息丟失、泄露或者被篡改而開(kāi)展的工作���。
第三條 通信網(wǎng)絡(luò)安全防護(hù)工作堅(jiān)持積極防御���、綜合防范����、分級(jí)保護(hù)的原則。
第四條 中華人民共和國(guó)工業(yè)和信息化部(以下簡(jiǎn)稱工業(yè)和信息化部)負(fù)責(zé)全國(guó)通信網(wǎng)絡(luò)安全防護(hù)工作的統(tǒng)一指導(dǎo)��、協(xié)調(diào)和檢查����,組織建立健全通信網(wǎng)絡(luò)安全防護(hù)體系,制定通信行業(yè)相關(guān)標(biāo)準(zhǔn)�。
各省��、自治區(qū)、直轄市通信管理局(以下簡(jiǎn)稱通信管理局)依據(jù)本辦法的規(guī)定����,對(duì)本行政區(qū)域內(nèi)的通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行指導(dǎo)�����、協(xié)調(diào)和檢查。
工業(yè)和信息化部與通信管理局統(tǒng)稱電信管理機(jī)構(gòu)�����。
第五條 通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照電信管理機(jī)構(gòu)的規(guī)定和通信行業(yè)標(biāo)準(zhǔn)開(kāi)展通信網(wǎng)絡(luò)安全防護(hù)工作,對(duì)本單位通信網(wǎng)絡(luò)安全負(fù)責(zé)����。
第六條 通信網(wǎng)絡(luò)運(yùn)行單位新建��、改建、擴(kuò)建通信網(wǎng)絡(luò)工程項(xiàng)目�,應(yīng)當(dāng)同步建設(shè)通信網(wǎng)絡(luò)安全保障設(shè)施�����,并與主體工程同時(shí)進(jìn)行驗(yàn)收和投入運(yùn)行���。
通信網(wǎng)絡(luò)安全保障設(shè)施的新建��、改建���、擴(kuò)建費(fèi)用���,應(yīng)當(dāng)納入本單位建設(shè)項(xiàng)目概算��。
第七條 通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)對(duì)本單位已正式投入運(yùn)行的通信網(wǎng)絡(luò)進(jìn)行單元?jiǎng)澐郑凑崭魍ㄐ啪W(wǎng)絡(luò)單元遭到破壞后可能對(duì)國(guó)家安全�、經(jīng)濟(jì)運(yùn)行�����、社會(huì)秩序、公眾利益的危害程度,由低到高分別劃分為一級(jí)�、二級(jí)��、三級(jí)、四級(jí)、五級(jí)���。
電信管理機(jī)構(gòu)應(yīng)當(dāng)組織專家對(duì)通信網(wǎng)絡(luò)單元的分級(jí)情況進(jìn)行評(píng)審。
通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)根據(jù)實(shí)際情況適時(shí)調(diào)整通信網(wǎng)絡(luò)單元的劃分和級(jí)別�����,并按照前款規(guī)定進(jìn)行評(píng)審��。
第八條 通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)在通信網(wǎng)絡(luò)定級(jí)評(píng)審?fù)ㄟ^(guò)后三十日內(nèi)����,將通信網(wǎng)絡(luò)單元的劃分和定級(jí)情況按照以下規(guī)定向電信管理機(jī)構(gòu)備案:
(一)基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者集團(tuán)公司向工業(yè)和信息化部申請(qǐng)辦理其直接管理的通信網(wǎng)絡(luò)單元的備案;基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者各省(自治區(qū)��、直轄市)子公司、分公司向當(dāng)?shù)赝ㄐ殴芾砭稚暾?qǐng)辦理其負(fù)責(zé)管理的通信網(wǎng)絡(luò)單元的備案;
(二)增值電信業(yè)務(wù)經(jīng)營(yíng)者向作出電信業(yè)務(wù)經(jīng)營(yíng)許可決定的電信管理機(jī)構(gòu)備案;
(三)互聯(lián)網(wǎng)域名服務(wù)提供者向工業(yè)和信息化部備案。
第九條 通信網(wǎng)絡(luò)運(yùn)行單位辦理通信網(wǎng)絡(luò)單元備案�,應(yīng)當(dāng)提交以下信息:
(一)通信網(wǎng)絡(luò)單元的名稱���、級(jí)別和主要功能;
(二)通信網(wǎng)絡(luò)單元責(zé)任單位的名稱和聯(lián)系方式;
(三)通信網(wǎng)絡(luò)單元主要負(fù)責(zé)人的姓名和聯(lián)系方式;
(四)通信網(wǎng)絡(luò)單元的拓?fù)浼軜?gòu)���、網(wǎng)絡(luò)邊界���、主要軟硬件及型號(hào)和關(guān)鍵設(shè)施位置;
(五)電信管理機(jī)構(gòu)要求提交的涉及通信網(wǎng)絡(luò)安全的其他信息����。
前款規(guī)定的備案信息發(fā)生變化的����,通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)自信息變化之日起三十日內(nèi)向電信管理機(jī)構(gòu)變更備案。
通信網(wǎng)絡(luò)運(yùn)行單位報(bào)備的信息應(yīng)當(dāng)真實(shí)�、完整�。
第十條 電信管理機(jī)構(gòu)應(yīng)當(dāng)對(duì)備案信息的真實(shí)性�����、完整性進(jìn)行核查�,發(fā)現(xiàn)備案信息不真實(shí)��、不完整的���,通知備案單位予以補(bǔ)正�。
第十一條 通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)落實(shí)與通信網(wǎng)絡(luò)單元級(jí)別相適應(yīng)的安全防護(hù)措施�����,并按照以下規(guī)定進(jìn)行符合性評(píng)測(cè):
(一)三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每年進(jìn)行一次符合性評(píng)測(cè);
(二)二級(jí)通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次符合性評(píng)測(cè)�。
通信網(wǎng)絡(luò)單元的劃分和級(jí)別調(diào)整的���,應(yīng)當(dāng)自調(diào)整完成之日起九十日內(nèi)重新進(jìn)行符合性評(píng)測(cè)����。
通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)在評(píng)測(cè)結(jié)束后三十日內(nèi),將通信網(wǎng)絡(luò)單元的符合性評(píng)測(cè)結(jié)果���、整改情況或者整改計(jì)劃報(bào)送通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)。
第十二條 通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照以下規(guī)定組織對(duì)通信網(wǎng)絡(luò)單元進(jìn)行安全風(fēng)險(xiǎn)評(píng)估��,及時(shí)消除重大網(wǎng)絡(luò)安全隱患:
(一)三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每年進(jìn)行一次安全風(fēng)險(xiǎn)評(píng)估;
(二)二級(jí)通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次安全風(fēng)險(xiǎn)評(píng)估�����。
國(guó)家重大活動(dòng)舉辦前�����,通信網(wǎng)絡(luò)單元應(yīng)當(dāng)按照電信管理機(jī)構(gòu)的要求進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。
通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)在安全風(fēng)險(xiǎn)評(píng)估結(jié)束后三十日內(nèi),將安全風(fēng)險(xiǎn)評(píng)估結(jié)果、隱患處理情況或者處理計(jì)劃報(bào)送通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)���。
第十三條 通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)對(duì)通信網(wǎng)絡(luò)單元的重要線路、設(shè)備����、系統(tǒng)和數(shù)據(jù)等進(jìn)行備份��。
第十四條 通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)組織演練,檢驗(yàn)通信網(wǎng)絡(luò)安全防護(hù)措施的有效性��。
通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)參加電信管理機(jī)構(gòu)組織開(kāi)展的演練�。
第十五條 通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)建設(shè)和運(yùn)行通信網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),對(duì)本單位通信網(wǎng)絡(luò)的安全狀況進(jìn)行監(jiān)測(cè)�����。
第十六條 通信網(wǎng)絡(luò)運(yùn)行單位可以委托專業(yè)機(jī)構(gòu)開(kāi)展通信網(wǎng)絡(luò)安全評(píng)測(cè)����、評(píng)估�����、監(jiān)測(cè)等工作��。
工業(yè)和信息化部應(yīng)當(dāng)根據(jù)通信網(wǎng)絡(luò)安全防護(hù)工作的需要,加強(qiáng)對(duì)前款規(guī)定的受托機(jī)構(gòu)的安全評(píng)測(cè)����、評(píng)估����、監(jiān)測(cè)能力指導(dǎo)�。
第十七條 電信管理機(jī)構(gòu)應(yīng)當(dāng)對(duì)通信網(wǎng)絡(luò)運(yùn)行單位開(kāi)展通信網(wǎng)絡(luò)安全防護(hù)工作的情況進(jìn)行檢查。
電信管理機(jī)構(gòu)可以采取以下檢查措施:
(一)查閱通信網(wǎng)絡(luò)運(yùn)行單位的符合性評(píng)測(cè)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告;
(二)查閱通信網(wǎng)絡(luò)運(yùn)行單位有關(guān)網(wǎng)絡(luò)安全防護(hù)的文檔和工作記錄;
(三)向通信網(wǎng)絡(luò)運(yùn)行單位工作人員詢問(wèn)了解有關(guān)情況;
(四)查驗(yàn)通信網(wǎng)絡(luò)運(yùn)行單位的有關(guān)設(shè)施;
(五)對(duì)通信網(wǎng)絡(luò)進(jìn)行技術(shù)性分析和測(cè)試;
(六)法律��、行政法規(guī)規(guī)定的其他檢查措施�。
第十八條 電信管理機(jī)構(gòu)可以委托專業(yè)機(jī)構(gòu)開(kāi)展通信網(wǎng)絡(luò)安全檢查活動(dòng)。
第十九條 通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)配合電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)開(kāi)展檢查活動(dòng)����,對(duì)于檢查中發(fā)現(xiàn)的重大網(wǎng)絡(luò)安全隱患�,應(yīng)當(dāng)及時(shí)整改��。
第二十條 電信管理機(jī)構(gòu)對(duì)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行檢查�,不得影響通信網(wǎng)絡(luò)的正常運(yùn)行�,不得收取任何費(fèi)用,不得要求接受檢查的單位購(gòu)買(mǎi)指定品牌或者指定單位的安全軟件����、設(shè)備或者其他產(chǎn)品�。
第二十一條 電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)的工作人員對(duì)于檢查工作中獲悉的國(guó)家秘密��、商業(yè)秘密和個(gè)人隱私,有保密的義務(wù)。
