信息網絡安全評估方法范文

導語：如何才能寫好一篇信息網絡安全評估方法，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】電力 信息網絡安全 風險評估

改革開放以來，我國社會經濟得到了長足的發展，人民物質文化生活水平不斷提高，用電量亦直線增漲，電力行業獲得了前所未有的發展機遇。隨著電力行業的不斷發展壯大和信息網絡技術日新月異的發展，電力行業和電力企業也面臨著一系列的挑戰，電力信息網絡風險管理和防御顯得日益重要，信息網絡風險量化評估成為重中之重。由于我國電力信息化技術起步較晚，發展也比較滯后，電力信息網絡風險管理與風險防御是一個新的課題，電力信息網絡風險量化評估在最近幾年才被重視，所以存在不少的問題急待完善。

1 電力信息網絡風險量化評估的必要性

隨著信息技術的不斷發展，電力信息網絡存在的風險越來越大，電力企業不得不提高信息網絡風險防控意識，重視電力信息網絡的風險評估工作。進行電力系統信息網絡風險量化評估意義體現在許多方面，可以提高電力企業管理層和全體員工的信息網絡安全意識，促進電力企業不斷完善電力信息網絡技術的研發與提升，防范廣大電力用戶個人信息泄露，為電力企業今后的良好發展保駕護航。近年來，電力企業迎來了黃金發展時期，電力網絡覆蓋面不斷擴大，電力企業管理理念也不斷提升，電力系統也隨之步入了數字化時代，信息網絡安全防范成為當務之急。目前電力系統信息網絡安全防范一般為安裝防病毒軟件、部署防火墻、進行入侵檢測等基礎性的安全防御，缺乏完整有效的信息安全保障體系。風險量化評估技術能夠準確預測出電力信息網絡可能面臨的各種威脅，及時發現系統安全問題，進行風險分析和評估，盡最大可能地協助防御電力系統安全威脅。

2 電力系統信息網絡安全風險評估中存在的問題

我國電力信息網絡安全風險評估是近幾年才開始的，發展相對滯后，目前針對電力信息網絡安全風險評估的相關研究特別少。2008年電力行業信息標準化技術委員會才討論通過了《電力行業信息化標準體系》，因此電力信息網絡安全風險評估中存在不少的問題和難題有待解決。

2.1 電力信息網絡系統的得雜性

電力行業，電力企業，各電網單位因為工作性質不同，對電力信息網絡安全風險的認識各不相同，加上相關標準體系的不健全，信息識別缺乏參考，電力信息網絡安全風險識別存在較大的困難。此外電力信息網絡安全風險評估對象難以確定，也給評估工作帶來了很大的困難。

2.2 電力信息網絡安全風險量化評估方法缺乏科學性

我國部分電力企業的信息網絡安全風險評估方法比較落后簡單，其主要方式是組織專家、管理人員、用戶代表根據一些相關的信息數據開會研討，再在研討的基礎上進行人為打分，形成書面的文字說明和統計表格來評定電力信息網絡系統可能面臨的各種風險，這種評估方法十分模糊，缺乏科學的分析，給風險防范決策帶來了極大風險，實在不可取。

2.3 傳統的電力信息網絡安全風險評估方法過于主觀

目前用于電力信息網絡安全風險分析計算的傳統方法很多，如層次分析、模糊理論等方法?？墒且驗殡娏W絡安全信息的復雜性、不確定性和人為干擾等原因，傳統分析評估方法比較主觀，影響評估結果。在評估的實際工作中存在很多干擾因素，如何排除干擾因素亦是一大難點。電力信息網絡安全風險量化評估要面對海量的信息數據，如何采用科學方法進行數據篩選，簡約數據簡化評估流程是當前的又一重大課題。

3 電力信息網絡所面臨的風險分析

電力信息網絡系統面臨的風險五花八門，影響電力信息網絡系統的因素錯綜復雜，需要根據實際情況建立一個立體的安全防御體系。要搞好電力信息網絡系統安全防護工作首先要分析電力信息網絡系統面臨的風險類別，然后才能各個突破，有效防范。電力信息網絡系統面臨的安全風險主要有兩面大類別：安全技術風險和安全管理風險。

3.1 電力信息網絡安全技術風險

3.1.1 物理性安全風險

是指信息網絡外界環境因素和物理因素，導致設備及線路故障使電力信息網絡處于癱瘓狀態，電力信息系統不能正常動作。如地震海嘯、水患火災，雷劈電擊等自然災害；人為的破壞和人為信息泄露；電磁及靜電干擾等，都能夠使電力信息網絡系統不能正常工作。

3.1.2 網絡安全風險

是指電力信息系統內網與外網之間的防火墻不能有效隔離，網絡安全設置的結構出現問題，關鍵設備處理業務的硬件空間不夠用，通信線纜和信息處理硬件等級太低，電力信息網絡速度跟不上等等。

3.1.3 主機系統本身存在的安全風險

是指系統本身安全防御不夠完善，存在系統漏洞，電力企業內部人員和外部人員都可以利用一定的信息技術盜取用戶所有的權限，竊走或破壞電力信息網絡相關數據。電力信息網絡安全風險有兩種：一是因操作不當，安裝了一些不良插件，使電力信息網絡系統門戶大開，被他人輕而易舉地進行網絡入侵和攻擊；二是因為主機硬件出故障使數據丟失無法恢復，以及數據庫本身存在不可修復的漏洞導致數據的丟失。

3.2 電力信息網絡安全管理中存在的風險

電力信息網絡是一個龐大復雜的網絡，必須要重視安全管理。電力信息網絡安全管理風險來源于電力企業的內部，可見其風險威脅性之大。電力信息網絡安全管理中存在風險的原因主要是企業內部管理混亂，權責劃分不清晰，操作人員業務技能不過關，工作人員責任心缺乏，最主要還是管理層對電力信息網絡安全管理中存在的風險意識薄弱，風險管理不到位所致。

4 電力信息網絡風險評估的量化分析

4.1 電力信息網絡風險評估標準

目前我國一般運用的電力信息網絡風險評估標準是：GB/T 20984-2007《信息安全技術：信息安全風險評估規范》，該標準定義了信息安全風險評估的相關專業術語，規范了信息安全風險評估流程，對信息網絡系統各個使用壽命周期的風險評估實施細節做出了詳細的說明和規定。

4.2 電力信息網絡安全風險計算模型

學界認為電力信息網絡的安全風險與風險事件發生概率與風險事件發生后造成的可能損失存在較高的相關性。所以電力信息系統總體風險值的計算公式如下：

R（x）=f（p，c）

其中 R（x）為系統風險總值，p代表概率，c為風險事件產生的后果。

由此可知，利用科學的計算模式來量化風險事件發生的概率，和風險事件發生后可能產生的后果，即可演算出電力信息網絡安全的風險總值。

4.3 電力信息網絡安全風險量化評估的方法

4.3.1 模糊綜合評判法

模糊綜合評判法采用模糊數學進行電力信息網絡安全風險量化評估的一種方法，利用模糊數學的隸屬度理論，把對風險的定性評估轉化成定量評估，一般運用于復雜龐大的力信息網絡安全防御系統的綜全性評估。利用模糊綜合評判法時，要確定好因數集、評判集、權重系數，解出綜合評估矩陣值。模糊綜合評判法是一種線性分析數學方法，多用于化解風險量化評估中的不確定因素。

4.3.2 層次分析法

電力信息網絡風險量化評估層次分析法起源于美國，是將定性與定量相結合的一種風險量化評估分析方法。層次分析法是把信息網絡風險分成不同的層次等級，從最底層開始進行分析、比較和計算各評估要素所占的權重，層層向上計算求解，直到計算出最終矩陣值，從而判斷出信息網絡風險終值。

4.3.3 變精度粗糙集法

電力信息網絡風險量化評估變精度粗糙集法是一種處理模糊和不精確性問題的數學方法，其核心理念是利用問題的描述集合，用可辨關系與不可辨關系確定該問題的近似域，在數據中尋找出問題的內在規律，從而獲得風險量化評估所需要的相關數據。在實際工作中，電力信息網絡風險量化評估分析會受到諸多因素的影響和干擾，變精度粗糙集法可以把這些干擾因素模糊化，具有強大的定性分析功能。

電力信息網絡風險量化評估是運用數學工具把評估對象進行量化處理的一種過程。在現實工作中，無論采用哪種信息網絡風險評估的量化分析方法，其目的都是為了更好地進行風險防控，為電力企業的發展保駕護航。

5 總結

電力信息網絡安全對保證人民財產安全和電力企業的日常營運都具有非常重要的意義，電力企業領導層必須要加以重視，加大科研投入，定向培養相關的專業人才，強化電力信息網絡安全風險評估工作，為電力企業的良好發展打下堅實的基礎。

參考文獻

[1]龐霞，謝清宇.淺議電力信息安全運行維護與管理[J].科技與企業，2012（07）：28.

篇2

【 關鍵詞 】 物聯網系統；安全檢測；風險評估；安全檢查

【 中圖分類號 】 TN918

Research on Security Test and Check Method of IoT System

Li Hai-tao Li Cheng-yuan Fan Hong

（The First Research Institute of the Ministry of Public Security Beijing 100048）

【 Abstract 】 With the wide application on the internet of things （IoTs） technology， the IoT systems are confronted with various security threats. There are eager demands on Security test and check of IoT System. In this paper， we have researched on Security test and check method of IoT System from system security test， risk assessment and integration security management.

【 Keywords 】 internet of things system； security test； risk assessment； security check

1 引言

目前在全球市場的數據統計分析上看，物聯網成為未來10年發展迅猛的行業。據美國市場研究公司Forester預測，到2020年，世界上“物物互連”的應用業務，跟人與人之間通信的業務相比，前者是后者的30倍，僅在智能電網和機場入侵檢測系統方面的市場就有上千億美元。因此“物聯網”必將成為下一個萬億美元級的信息技術產業。

從經濟發展角度看，各國齊頭并進，相繼推出物聯網區域戰略規劃。當前，世界各國的物聯網基本都處于技術研究與試驗階段，美、日、韓、歐盟等都正投入巨資深入研究探索物聯網關鍵技術。

物聯網是互聯網在現實世界的延伸。隨著應用的不斷擴展，物聯網一旦發生安全問題，極有可能在現實世界造成電力中斷、金融癱瘓、社會混亂等嚴重危害公共安全的事件，甚至將危及國家安全。由于物聯網感知節點和傳輸設備具有能量低、計算能力差、運行環境惡劣、通信協議龐雜等特點，使得傳統安全技術無法直接應用于物聯網，由此引發眾物聯網特有的安全問題。

物聯網安全問題如果得不到有效解決，將嚴重阻礙物聯網產業發展。目前物聯網安全技術和安全狀況缺乏有效的檢測和評價手段，已有的物聯網應用急需對其安全性能的檢測和技術支持。所以，對物聯網安全檢測與檢查方法的研究是解決物聯網安全問題必不可少的關鍵工作。

2 物聯網系統面臨的安全威脅

從安全測評的角度來看，物聯網系統的結構可以分為三層，即智能感知層、接入傳輸層和業務應用層。物聯網面臨的安全威脅也來自這三個層次。

由于網絡環境的不確定性，感知節點面臨著多方面的威脅，感知節點本身就是用于監測和控制各種感知設備。節點對各種檢測對象進行監測，從而提供感知設備傳輸的數據信息來監控網絡系統的運行情況。這些智能傳感器節點是暴露在攻擊者面前的，最容易被攻擊。因此，與傳統的IP網絡比較，所有的監控措施、安全防范策略不僅面臨著更復雜的網絡環境，而且還有更高的實時性要求。物聯網系統面臨的主要威脅有幾個方面。

（1）安全隱私 射頻識別技術被廣泛用于物聯網系統中，RFID標簽可能被嵌入到任何物體中，例如人們的生活和生產用品。但是這些物品的擁有者不一定能夠了解相關情況，會導致該對象的擁有者被隨意地掃描、定位和追蹤。

（2）偽造攻擊 與傳統IP網絡相比，傳感設備和電子標簽都是在攻擊者面前的。與此同時，接入傳輸網絡中有一部分是無線網絡，竄擾問題在傳感網絡和無線網絡中是普遍存在的，而無線安全研究方面也顯得非常棘手。因此，在網絡中這些方面面臨的偽造節點攻擊很大程度上威脅著傳感器節點的安全，從而影響整個物聯網安全。

（3）惡意代碼攻擊 惡意代碼在接入傳輸層和傳感層中都可以找到很多可以攻擊的突破口。對攻擊者而言只要進入到網絡，通過傳輸網絡進行病毒傳播就變得輕車熟路，而且具有較強的隱蔽性，這一點與有線網絡相比就更加難以防御。例如類似蠕蟲這樣的惡意代碼，本身又不需要寄生文件，在這種環境中檢測發現和清除惡意代碼的難度是非常大的。

（4）拒絕服務攻擊 這種被熟悉的攻擊方式，一般發生在感知層與接入傳輸層銜接位置的概率是非常大的。由于物聯網中感知節點數量龐大，而且多數是以集群的方式存在，因此信息在網絡中傳輸時，海量的感知節點信息傳遞轉發請求會導致網絡擁塞，產生拒絕服務攻擊的效果。

（5）信息安全 感知節點一般都具有功能單一、信息處理能力低的特點。因此，感知節點不可能具有高強度的安全防范措施。同時因為感知層節點的多樣化，采集的數據、傳輸的信息也就不會有統一的格式，所以提供統一的安全防范策略和安全體系架構是很難做到的。

（6）接入傳輸層和業務應用層的安全隱患 在物聯網系統的接入傳輸層和業務應用層除了面臨傳統有線網絡的所有安全威脅的同時，還因為物聯網在感知層所采集數據格式的不統一，來自不同類型感知節點的數據信息是無法想象的、并且是多源異構數據，所以接入層和業務應用層的安全問題也就更加繁雜。

通過對各行業物聯網建設方面的調查發現，當前已有的物聯網應用對其安全性能的檢測和技術支持需求十分迫切，例如移動系統與行業網的接入安全性評估和檢測、社會公共安全的視頻采集系統的接入安全檢測、基于RFID和車牌識別的智能車輛管控系統安全性評估等檢測業務都是亟待解決的問題。由此看出，物聯網安全檢測和檢查方法研究需求迫切。

為了把物聯網系統安全風險降到最低，應該做到系統建設與檢測檢查同步進行，且檢測檢查過程中要技術與管理并重。本文將從物聯網系統安全檢測、物聯網系統風險評估和物聯網集成化安全管理三個方面進行檢測、檢查的方法研究。

3 物聯網系統安全檢測

安全檢測是以系統檢測方式對物聯網系統三層架構的各個層面進行安全符合性和有效性檢測。

（1）智能感知層應該對訪問控制策略配置、身份認證策略配置、數據完整性保護策略配置、數據保密性保護策略配置、感知節點抗攻擊性、安全審計策略配置和物理安全進行符合性測試。

（2）接入傳輸層檢測應該對AKA機制的一致性或兼容性、跨域認證和跨網絡認證、視頻傳輸協議轉換前后的安全性；傳統認證和數據交換安全、無線認證網關安全、無線傳輸協議、身份認證安全等進行符合性和有效性檢測。

（3）業務應用層應該對數據庫安全、應用系統和網站安全、應用系統穩定性、業務連續性以及應用模擬等進行符合性和有效性檢測。

下面從物聯網系統檢測規則和檢測工具兩個方面研究物聯網系統安全檢測方法。

物聯網系統檢測規則由三個部分組成分別是智能感知層規則、接入傳輸層規則和業務應用層規則。

（1）智能感知層規則主要包括訪問控制、身份認證、數據完整性保護、數據保密性保護、抗攻擊、安全審計以及物理安全等安全規則。

（2）接入傳輸層規則包括數字接入系統中接入業務可管理性、可控性、信息保密性、完整性和可用性的規則要求，視頻接入系統實現外部視頻資源單向傳輸至內網，視頻控制信令和數據的會話終止于應用服務區，包含對視頻信令格式進行檢查及內容過濾、合法的協議和數據通過、視頻數據和視頻控制信令安全傳輸等方面的規則，無線接入系統接入內網，需要與內網的各種信息系統交互信息，包含敏感信息、數據完整性保護、數據保密性保護、抗攻擊、安全審計以及物理安全等方面的規則。

（3）業務應用層規則一般包括訪問控制、用戶身份鑒別、資源控制、安全漏洞、安全審計以及數據備份等安全規則。

檢測工具是包含物聯網系統安全檢測中所有測試工具、測試樣本數據的集合。檢測工具根據其應用范圍可以劃分為三類。

（1）智能感知層檢測工具：主要包括對感知操作安全項目進行檢測所用到的軟硬件工具和測試樣本數據；感知數據處理安全檢測工具包括對感知數據處理安全項目進行檢測所用到的工具；感知數據存儲安全檢測工具主要包括感知數據存儲安全項目進行檢測所用到的工具和測試樣本數據；感知節點設備安全檢測工具主要包括漏洞掃描工具、自動化攻擊工具以及自身所建立的漏洞補丁知識庫，根據被測設備的操作系統、功能組件，查詢漏洞補丁知識庫，可以發現漏洞掃描類工具無法直接探測的隱藏漏洞。

（2）接入傳輸層檢測工具：主要包括脆弱性掃描與管理工具、網絡協議分析工具、主機配置檢測工具、網絡邊界檢測工具等。

（3）業務應用層檢測工具：主要包括Web應用系統及網站安全檢測工具、數據庫脆弱性檢測工具和網絡終端安全檢測工具等。

4 物聯網系統風險評估

物聯網系統風險評估主要針對物聯網智能感知層、接入傳輸層和業務應用層中所包含的各個組成部分。開展物聯網系統風險評估工作，需要構建物聯網系統風險評估平臺，對物聯網可能遭受到的威脅和脆弱性進行安全分析，然后根據安全事件的可能性以及安全事件造成的損失計算出風險值、對安全事件進行風險等級定級，最后結合安全事件所涉及的資產價值來判斷安全事件一旦發生對物聯網系統造成的影響。

下面從物聯網系統風險評估知識庫和風險評估工具兩方面來研究物聯網系統風險評估方法。

風險評估知識庫應該包含威脅庫、脆弱性庫、風險分析方法和評估案例等。物聯網系統風險評估服務威脅庫包括智能感知層威脅庫、接入傳輸層威脅庫和業務應用層威脅庫：智能感知層威脅有RFID安全隱私、RFID標簽復制、傳感網安全路由、感知節點逐跳加密安全等；接入傳輸層威脅有海量數據融合信息竊取、海量數據傳輸安全、三網融合面臨的新威脅等；業務應用層威脅有位置信息泄露、數據融合后機密信息泄露、應用系統漏洞等。脆弱性庫，脆弱性識別時的數據應來自于資產的所有者、使用者，以及相關業務領域和軟硬件方面的專業人員等。風險分析方法主要包括系統層次分析方法、基于概率論和數理統計的方法、模糊數學方法，這些方法或是在識別風險的基礎上，進一步分析已識別風險，提高風險結果可信度，或是融入風險評估過程中，使評估過程更科學、更合理。

如果物聯網系統風險評估案例庫建立實際風險評估案例，能夠給出風險分析方法、風險分析過程。系統整體風險評估結果就能一目了然，也為物聯網系統風險評估工作提供參考案例。

根據在風險評估過程中的主要任務和作用原理的不同，風險評估工具可以分成風險評估與管理工具、系統基礎平臺風險評估工具和風險評估輔助工具三類。

（1）風險評估與管理工具應該是一套集成風險評估各類知識和判定依據的管理信息系統，以規范風險評估的過程和操作方法，或者用于收集評估所需要的數據和資料，基于專家總結的經驗，對輸人輸出進行自動化的模型分析。

（2）系統基礎平臺風險評估工具主要用于對信息系統的主要部件（如操作系統、數據庫系統、網絡設備等）的脆弱性進行分析，或實施基于脆弱性的攻擊。

（3）風險評估輔助工具則實現對數據的采集、現狀分析和趨勢分析等單項功能，為風險評估各要素的賦值、定級提供依據。

5 物聯網集成化安全管理檢查

目前監管體系對不同的物聯網系統的防護管理要求存在沒有差異和缺乏針對性等問題。因此，物聯網集成化安全管理勢在必行。根據物聯網的技術特點，針對物聯網面臨的安全威脅，應該構建和完善物聯網的監管體系，從防范阻止、檢測發現、應急處置、審計追查和集中管控五個方面，對物聯網系統感知層、接入傳輸層和業務應用層進行安全防護管理。

（1）防范阻止主要指物聯網系統應該具有安全防護和阻止信息安全威脅影響的措施，從而有效防范本文中提到的安全威脅。從物聯網的體系結構而言，物聯網除了面對TCP/IP網絡、無線網絡和移動通信網絡等傳統網絡安全問題之外，還存在著大量自身的特殊安全問題。因此數據完整性和保密性保護、身份認證、訪問控制、安全審計等方面的安全措施必不可少。

（2）檢測發現主要是指物聯網系統應該能夠檢測發現物聯網系統存在安全隱患，其中包括感知層檢測、接入傳輸層檢測和業務應用層檢測，在感知層應能檢測發現感知設備偽造攻擊。由于感知設備是“”在攻擊者面前的，那么攻擊者就可以輕易地接觸到這些設備，從而對它們造成破壞，甚至通過本地操作更換機器的軟硬件。接入傳輸層應包括邊界接入系統、視頻接入系統和無線接入系統三類接入傳輸系統的安全管理要求。業務應用層應能檢測發現業務應用中的安全隱患，因為TCP/IP網絡的所有安全隱患都同樣適用于物聯網。同時應能針對物聯網感知層、接入傳輸層、業務應用層三個層次進行風險威脅分析，形成反映物聯網系統安全態勢的總體視圖。因為安全系統從隱患到影響是一個態勢變化的過程，因此對物聯網系統態勢的分析與威脅防范同樣重要。

（3）應急處置主要是指應該能夠具有高效指導系統維護人員開展應急處置工作的措施，應制定物聯網信息安全應急預案，并結合實際工作情況，對物聯網信息安全應急預案做出相應修訂。應明確現場總指揮、副總指揮、應急指揮中心以及各應急行動小組在應急救援整個過程中所擔負的職責。應明確完成應急救援任務應該包含的所有應急程序，以及對各應急程序能否安全可靠地完成對應的某項應急救援任務進行確認。應急預案應具備實用性、可操作性、完整性和可讀性的特點。

（4）審計追查主要是指應該能夠為安全管理人員提供物聯網系統安全事件倒查的措施，包括日志采集、查詢、分析和追查。其中采集應能對分布在感知層、接入傳輸層和業務應用層各個部分的用戶和管理員操作日志進行采集。查詢應能對物聯網信息系統日志進行查詢，包括常規查詢、條件查詢和權限控制查詢。分析應能根據統計需求，對物聯網信息系統日志進行統計分析。追查應能根據追查安全事件需求，為安全管理人員提供安全事（案）件的倒查手段。

（5）集中管控主要是指應該能夠為物聯網系統自身安全管理和控制提供技術手段。它們包括集中監控、策略管理、運行監控、異常和用戶監控，其中集中監控應能通過監控中心對物聯網系統進行集中管控，包括系統安全管理和監控。策略管理應能對感知層、接入傳輸層和業務應用層的安全策略進行集中管理，支持管理感知節點的備份與恢復。運行管控應能對感知層終端運行情況進行監控，對物聯網系統運行情況進行監控。異常和用戶監控應能對業務應用層異常進行監控，能對系統用戶的操作進行監控。

6 結束語

隨著物聯網產業的迅猛發展，信息安全問題也面臨著新的挑戰，所以安全作為物聯網領域的核心問題，沒有完善的安全保護和測評措施，物聯網就無法被廣泛地應用，這就會對物聯網優勢的發揮產生嚴重的影響。

本文在分析了物聯網系統面臨安全威脅的基礎上。根據物聯網技術特點，針對面臨的安全威脅，從物聯網系統安全檢測、物聯網系統風險評估和物聯網集成化安全管理三個方面進行檢測和檢查的研究。從而進一步明確在物聯網的建設中，物聯網應用不僅要投入巨資深入研究系統構建技術，還需要做到安全保障與物聯網建設齊頭并進，避免先應用后安全的被動局面，增強物聯網主動保障能力，提高物聯網安全檢測能力，擴大安全檢測和檢查應用范圍，為推進我國物聯網安全檢測標準化進程提供保障，使得物聯網安全檢測工作更加專業化、規范化和常態化。

參考文獻

[1] 丁超， 楊立君， 吳蒙. IoT/CPS的安全體系結構及關鍵技術.中興通訊技術，2011，01（17）.

[2] 李向軍.物聯網安全及解決措施.農業網絡信息，2010，12.

[3] 戴鐵君.物聯網安全問題與其解決措施.科技風， 2011，02.

[4] 汪金鵬，胡國華.物聯網安全性能分析與應用.科技信息， 2010，33.

[5] 姚遠.基于中間件的物聯網安全模型.電腦知識與技術， 2011，01（07）.

[6] 肖毅.物聯網安全管理技術研究.通信技術. 2011， 01（44）.

[7] 蒲石，陳周國祝世雄.震網病毒分析與防范[J].信息網絡安全，2012，（02）：40-43.

[8] 武鴻浩.CUDA并行計算技術在情報信息研判中的應用[J].信息網絡安全，2012，（02）：58-59.

[9] 王勇.隨機函數及其在密碼學中的應用研究[J].信息網絡安全，2012，（03）：17-18.

[10] 丁麗萍.Android 操作系統的安全性分析[J].信息網絡安全，2012，（03）：23-26.

篇3

【關鍵詞】信息系統 網絡安全 風險管理

信息時代的到來帶給我們無限的商機與財富、快捷與便利，但是依舊逃脫不了事物的兩面性，信息系統的也存在著安全隱患與危險。越來越多的病毒，網絡黑客在的盯著互聯網這塊肥肉，通過網絡渠道肆意的入侵企業或個人的計算機，盜取重要信息資料，或者破壞信息系統令其崩潰、癱瘓，對企業和個人造成重大損失的同時，不法分子也可能會利用信息系統中的資料來進行謀利或做出有害于社會的事情。因此，在社會主義高度發展的今天，信息系統網絡安全非常重要，能夠預測其存在的風險并及時找出管理的方法顯得刻不容緩。

1 信息系統網絡安全問題現狀分析

根據目前的情形，信息系統網絡安全問題面臨著很嚴重的挑戰，其安全問題方面不容樂觀。美國計算機小組的統計資料顯示，從2005年后全球發生重大信息系統網絡安全問題逐年翻倍增長，面臨著很嚴峻的形式。信息系統是一個龐大復雜的大系統，一般由多種軟件、接口、硬盤等等組件構成，由于技術和設計上存在不完善性，大量的漏洞和缺陷隨之而來，這些弱點構成了信息系統的脆弱性。信息系統網絡安全問題主要來自兩大方面：首先是人們技術能力和創造能力的局限性，使得信息系統在網絡上存在本身的弱點；其次是社會現實引起的爭斗，商業競爭、個人報復等等犯罪行為從信息系統的弱點進行入手，來對信息系統網絡進行攻擊。

信息系統在不斷的更新和完善，這是一個無止境的過程，縱觀計算機與網絡技術的發展，每一項新技術的推出，都會有隨之而來的被“破解”，它的脆弱性會很快被顯現出來，然后就是不斷的進行完善。同樣，信息系統也如此，設計者在設計和工程上存在錯誤或失誤導致信息系統存在一定的缺陷，根據IBM研究人員的統計結果顯示：計算機操作系統、數據庫都是由幾萬行、幾十萬行程序代碼所編寫而成，平均一千行代碼中就可能存在一個錯誤，那么，信息系統在互聯網上的應用朝著互聯互通的一體化方向發展，技術要求越高，其復雜性就越來越大，同時，導致其網絡安全的脆弱性因素就越來越多。

美國微軟公司推出的號稱是迄今為止“視窗XP”系統不久，就被發現其系統中存在嚴重缺陷，微軟公司也承認了此項事實，調差顯示：黑客可以通過網絡來控制并操控整個操作系統，進而竊取資料，銷毀用戶資料等等，計算機系統的脆弱性暴露無遺。那么，可想而知信息系統也岌岌可危，現在的信息系統網絡安全問題無處不在，可能當你的計算機聯網時，病毒就隨之而來，且并不會被發現。病毒是互聯網中普遍的存在，還有一種特殊的存在--黑客，黑客作為擁有主觀能動性的存在，是信息空間中一種特殊文化現象的產生，他伴隨著信息系統的發展而存在，并也隨著信息系統的技術提高而提高，黑客扮演著陰暗面的角色，對全球信息系統的惡意攻擊呈現著愈演愈烈的趨勢?，F在的信息系統網絡能夠檢測出是否有黑客試圖攻擊，能夠做到及時的發現和回擊，但是，俗話說“道高一尺，魔高一丈”根據我國新華社的報道，中國近60%的單位信息系統網絡受到國黑客攻擊，甚至于政府部門的重要職能部門都被攻擊過。

隨著網絡技術的發展，病毒和黑客的攻擊也在不斷的發展進步，黑客的攻擊方法也在發生變化，不僅是黑客本身利用IP地址來欺騙，利用程序代碼、分析源代碼或者發掘應用程序的缺陷來攻擊，而且還有黑客技術和病毒傳播相結合的方式。

如上所述，信心系統網絡安全的問題的現狀一直都存在，技術人員在不斷的創新，同時也在不斷的與網絡上的安全問題、陰暗面在做斗爭，修補脆弱的一面，致力于提高信息系統網絡安全。

2 信息系統網絡安全風險分析

據木桶原理來看，信息系統網絡的安全性取決于它本身最薄弱的環節，信息系統網絡安全是保證其系統安全正常運行的基本保障，但是信息系統是龐大而復雜的，這就決定了保護信息系統的安全維護不是一蹴而就的事情。分析信息系統網絡中存在的安全風險，便于盡快找到相應的解決措施。

（1）盜取和截獲信息系統網絡中的信息。如果信息系統本身的防火墻和安全措施、加密措施的強度不夠，攻擊者會通過互聯網、電話線、電磁波輻射范圍內所安裝的裝置、路由器上等可以利用的裝置來截獲傳輸中的數據信息；更有甚者通過對信息流量數據、通信次數的分析，來套取信息系統中的信息。因此，應運用加密技術對信息系統網絡來進行加密處理以保證其機密性。

（2）篡改和假冒信息系統網絡中的信息。

當攻擊者破解了信息系統的程序，熟悉了信息系統的網絡信息內容格式后，很有可能會利用技術和手段在信息系統傳輸信息的過程中，入侵其中并篡改信息內容，從而破壞信息的真實性和完整性。所以，要預防信息系統網絡中的隨意修改、生成、刪除情況。

信息系統網絡中還會出現假冒的信息，攻擊者摸索到信息系統網絡中數據規律或解密了機密信息后，可以假冒合法用戶去發送假冒信息去欺騙用戶，在公司中也可假冒領導發號施令，調閱機密文件等等。

（3）信息有效性得不到保障?；ヂ摼W應用的發展，信息化社會隨之到來，電子設備的信息傳遞，其有效性是值得關注的問題。由電子商務作為領軍，以電子化形式取代了紙張形式的信息傳遞方式，其信息的有效性是開展業務的前提。信息系統中信息的有效性關系到企業、個人甚至國家，因此，對網絡故障、應用程序代碼、系統硬件、軟件、病毒等潛在威脅加以預防和控制，以保證信息系統網絡傳遞的信息是有效的，正確的。

以上三點是信息系統網絡安全的風險分析，風險的存在不是一步就可以解決的問題，分析出了哪些方面存在風險，才可以更好的預防和控制。

3 信息系統網絡風險管理的目的

信息系統網絡的安全是人類面臨的新問題，它普遍的存在人們的日常生活中，信息系統的復雜性和安全問題的突發性、不確定性使得安全問題的解決面臨困難，沒有完善的全面防范，防范的重點難以確定，具有高突發性的信息安全問題。積極尋求解決方法和手段是進行治理信息系統網絡安全的務實選擇。 在尋求解決方法、有效對策時，防范不足信息安全會失效；全面防范會造成財力、人力、物力的浪費，或是信息系統網絡的可用性下降。因此，信息系統風險管理是要盡可能的安全卻又不能太過于安全的，要從經濟、技術的可行性上來有效的進行管理。

進入互聯網時代以后，信息網絡安全威脅不斷增加，也在不斷的迫使人們重新考慮合適的安全模式，信息系統網絡安全觀念是人們探索的新產物。信息安全問題也從過去單純的應對威脅拓展到既要應對威脅，又要面對挑戰。在當今復雜的信息系統環境下，風險總是存在的，無論你采取多么完美的信息系統安全手段，都難以徹底消除安全問題的威脅。

對信息系統網絡進行風險管理，可以將攻擊和破壞產生后果的程度限制在可承受范圍內，風險管理是對信息系統的一個動態管理，是一個連續的過程，即在特定的安全方案下將風險降到最低以致于可以接受的過程，并非完全的消滅風險。風險可以不被一舉消除，但是必須要控制在可接受范圍內，有了對風險的管理，人們就不在被動的受威脅，完全可以在主動、防患于未然的常態下出擊，從而使信息系統網絡得到安全的保障。

信息系統網絡的風險管理信息安全的新模式，如果運用好風險管理的手段，將會對信息系統起到很好的保障的作用。

4 信息系統網絡安全管理方法

（1）增強安全防護體系。每一項信息系統都會有相應的安全防護體系，但是安全防護體系的脆弱性是網絡攻擊者的目標，現在的網絡安全已不再是一個簡單的概念，它與國家、企業、個人之間緊密相關， 例如對于企業信息系統網絡安全而言，安全問題涉及到多層數據信息，幾乎覆蓋了企業信息的通信平臺、網絡平臺、應用平臺等系統單元，是企業網絡至關重要的核心部分。

增強安全防護體系不僅僅是常人眼中的防火墻，還需要更全面的防護體系，來提供安全的服務。

（2）樹立信息安全管理意識。現今信息系統的網絡安全的使用者還是以電子商務的銀行、證券、電信等為主，中小企業也隨之使用，對網絡安全的問題也日益重視。信息系統網絡根據互聯網的特點，是信息在人與人之間的支配，在造成信息破壞的因素中，認為失誤的破壞率遠遠大于技術失誤，所以要提高信息安全的管理意識，三分靠技術，七分靠管理，安全方面的技術和產品僅是為信息系統網絡提供技術層次的手段，然而，能否利用好這些技術更大程度上取決人們對這些技術的應用。

因此，在信息系統網絡安全中，必須加強用戶的安全教育和安全意識的培養。

5 結語

計算機、互聯網技術的迅速發展，加快了信息化社會的腳步，隨著信息系統與國家、企業、個人關系日趨密切，也帶來了信息安全的問題。信息系統網絡安全是產業運營的基礎，是實現信息資源保值升值的重要途徑。針對信息系統網絡風險與管理提出了相應的建議，以保障信息資源產業的安全運營和健康發展。

參考文獻

[1]王璐.信息安全風險評估系統的研究與實現[D].2008.

[2]常顥.具有可實施性的信息安全風險管理體系[J].科技信息,2009(24)

[3]崇小蕾.信息安全風險自評估方法的研究及其輔助工具的設計與實現[D].2006.

[4]孫鵬鵬.信息安全風險評估系統的研究與開發[D].2006.

篇4

關鍵詞：會計信息系統；安全風險；層次分析法

一、引言

近年來，網絡技術的廣泛應用使得企業在全球范圍內實現信息的交流和共享成為可能。相應的，企業的會計環境也發生了變化，由原來封閉的局域網會計信息系統進入到了互聯網世界。這種變化給企業帶來了前所未有的優越性的同時，也使得企業會計信息系統面臨更多樣化的風險與問題。據調查顯示，美國每年因為網絡安全造成的經濟損失超過 170 億美元，75%的公司報告財務損失是由于會計信息系統的安全問題造成的。在我國，企業為防止泄密而修補信息網絡安全漏洞的投入每年達 700 萬元。因此，會計信息系統的風險分析與評估越來越受到人們的重視（谷增軍，2009）。 運用科學的方法對會計信息系統進行全面、系統的安全風險評估，識別網絡環境下會計信息系統的主要不安全因素，了解企業的安全技術與管理現狀，并采取及時的風險應對措施、制定安全策略，確保會計信息系統的安全，對于保證企業平穩健康的運行，保障各方的利益具有重要意義。

針對上述問題，本文首先分析了網絡環境下企業會計信息系統存在的主要不安全因素，并應用層次分析法評估主要不安全因素的相對重要程度，據此提出安全風險的防范措施，對于企業加強會計信息系統安全管理具有一定的指導作用。

二、網絡環境下企業會計信息系統主要不安全因素分析

網絡環境下的會計信息系統是指建立在網絡環境基礎上的會計信息系統，即在互聯網境下對各種交易中的會計事項進行確認、計量和披露的會計活動。其為企業與客戶、供應商之間，等部門之間建立開放、實時的雙向信息交流環境創造了條件，也使企業會計業務一體化處理成為現實。但由于互聯網系統的分布式、開放性等特點，與原有集中封閉的會計信息系統比較，系統在安全上的問題也更加突出，因此網絡環境下會計信息系統的安全性問題越來越受到人們的重視，同時和其密切相關的安全因素也成為學者們研究的重點（宋彪、常劍鋒，2010）。宋彪、常劍鋒等人在2010年通過對100名會計從業人員進行問卷調查，得到影響會計信息系統安全的主要因素，按照重要程度分別為會計軟件的缺陷，企業內部控制方面的失效，操作人員的有意破壞，人為舞弊，計算機病毒，網絡黑客的入侵，不可預測的災害。這些要素之間存在包含關系，如操作人員的有意破壞、人為舞弊都屬于企業內部控制方面的問題。倪江陵（2008）在其碩士論文中提到網絡環境下會計信息系統的不安全性因素有硬件系統的不安全因素（硬盤、存儲器、線路故障等）、軟件系統的不安全因素（會計軟件、操作系統、數據庫系統、數據中心、會計檔案）、網絡系統的不安全性（黑客攻擊、病毒、電磁波輻射）。谷增軍（2010）比較全面的描述了影響會計信息系統安全的因素：自身的脆弱性（系統硬件選配安裝不當，操作系統問題、傳輸、存儲介質不安全、數據庫安全問題，軟件開發設計缺陷）、內控的風險（會計軟件功能的濫用，授權控制下降，操作人員舞弊，系統管理員失職），自然界的威脅（颶風，地震、火災）和外部環境（間諜、病毒、黑客）的威脅。

由于不安全因素錯綜復雜，學者們在評估會計信息系統的安全風險時，所關注的重點也有所不同。不過，通過對文獻的梳理發現，學者們對于以下安全風險因素達成共識：1、技術方面，包括硬件安裝不當、軟件開發設計或選配不當、傳輸、存儲介質不安全（潘婧，2008；羅紅，2011；王恒輝，2010等）。2、內部控制風險，包括操作人員舞弊、系統操作不規范、數據交易不安全、身份認證安全隱患、授權控制下降（谷增軍，2010；宋彪、常劍鋒，2010；倪江陵，2008等）3、意外因素帶來的風險，如自然災害，如地震、臺風、病毒、黑客入侵（谷增軍，2010；宋彪、常劍鋒，2010；朱海英，2010；程琳，2006等）

三、基于層次分析法的安全風險評估指標體系

層次分析法（Analytic Hierarchy Process）簡稱AHP方法，是20世紀70年代由美國運籌學家T. L. Satty提出的。層次分析法作為一種定性分析與定量分析相結合的評估分析方法，適用于有多種屬性、多個目標或多重準則系統的問題（羅鑫，2010）。鑒于網絡環境下會計信息系統的安全風險分析問題指標具有層次性、定性與定量指標并存、并且指標數據不易獲得的特點，本文采用層次分析法評估主要不安全因素的相對重要程度，找到主要文獻因素和次要風險因素，為企業有針對性的采取規避措施提供科學的依據。

在第二部分我們分析了會計信息系統主要的不安全因素，根據層次分析法的要求，建立安全風險評估的三層結構：目標層（A層）、一級指標（B層）、二級指標（C層），如表1所示。

四、指標體系權重分析、檢驗及排序

1、構造判斷矩陣

本研究邀請了從業經驗5年以上的會計工作者6名，吉林大學管理學院會計系副教授職稱以上教師4名，企業管理中層領導干部2名對各層次的評價指標按照其發生的可能性、發生后后果的嚴重性等對其重要性予以比較。在綜合了12名專家的意見后，獲得了各指標在本層的比較得分。本研究采用Satty的1-9標度方法構建兩兩比較矩陣。表2展示的是準則層（B層）對于目標層（A層）的判斷矩陣及相對權重。

2、一致性檢驗

一般當CR

同樣的，表2至表5分別列出了技術風險、內部控制風險和意外因素風險的判斷矩陣和相對權重。

除意外因素風險下只有兩個因素不需要一致性檢驗外，其他判斷矩陣均通過一致性檢驗。

3、指標合成權重的計算及排序

合成權重Wk可以由二級指標各權重及其對應的一級指標相乘獲得。見表6。

五、風險防范策略

由層次分析法得出的各指標的權重實際上表示指標相對于目標層的重要程度。從表6中可以看出，造成會計信息系統安全風險的主要因素有：軟件開發設計或選配不當、系統硬件安裝不當、數據交易不安全、病毒、黑客入侵和操作人員舞弊。這五個因素占據不安全因素累積權重的80%以上，為主要因素，必須予以重視。針對上述因素，本文提出以下幾點防范措施，幫助企業最大限度的減少會計信息系統的安全性風險。

1、軟件開發設計或選配不當

通過運用層次分析法對會計信息系統的不安全因素按照其重要程度進行排序，軟件開發設計或選配不當成為影響會計信息系統安全性的最主要問題。一般來講，企業應用的會計信息系統主要是通過外包或者是直接從軟件公司購買兩種方式獲得的。如果是通過外包的形式開發，企業應積極安排會計人員與委托開發公司進行充分的溝通，使需求分析的結果盡可能的反應真實的要求。另外，委托公司的所使用的開發工具要與企業實際狀況匹配，以數據庫為例，SQL server、Oracle、Sybase等主要適用于大型系統；Acess、FoxPro等則主要適用于小型系統。如果企業從軟件公司直接購買已完成開發的軟件，由于現成的系統不可能完全支持企業的現有業務，因此在選擇軟件時，應充分了解企業的財務經營流程，全面掌握備選軟件的操作流程，在充分比較后謹慎選擇。

2、硬件方面

計算機硬件包括硬盤、磁盤、存儲器等，是會計信息系統的物質基礎。如果硬件方面出現故障，會影響整個運營的效率，甚至導致巨大的災難。為了保證會計信息系統硬件的安全性，企業在采購硬件時應全面掌握相關信息，了解品牌、產品型號及供應商的信譽等，硬件采購后要進行試運行，在確保其安全性后再投入到企業的實際應用中。同時，要排除由于安裝不當而導致的安全隱患。

3、數據交易不安全

網絡環境下，交易數據的處理都依托于網絡，計算速度加快，信息資源的共享性和財務復雜程度的增加，許多會計業務交叉進行，如果系統中權限劃分不明確、內部控制不嚴密，就非常容易造成信息的泄露，數據交易的不安全性增加。企業要要保證數據的安全，一方面需要借助法律、政策及相關規章制度的約束，另一方面又必須依賴企業管理人員制定有效的管理制度，同時還必須有嚴格的監督與管理手段。會計數據的安全控制一般分為以下幾個方面：1.依據相關的法律規章制度建立嚴格的內部管理制度。2.利用數字簽名技術進行數據確認。3. 加強監控與審計

4、病毒、黑客入侵

網絡傳輸中由于黑客， 病毒， 木馬入侵， 造成非法訪問、信息泄露、非法拷貝、盜竊以及非法監視、監聽等風險（潘婧，2008）。應對病毒、黑客入侵會計信息系統的主要措施有：（1）定期殺毒。盡管目前卻沒有一款殺毒軟件能夠應對一切病毒，但是定期進行殺毒是防治病毒入侵最直接有效的辦法。對于企業網等比較復雜的網絡環境，建議采用網絡殺毒軟件進行殺毒。網絡病毒防治系統可以通過對局域網進行遠程集中安全管理、通過賬號和口令設置來達到一定的網絡病毒防治效果。（2）定期備份財務數據。財務數據作為企業經營狀況的直接指標，是企業制定經營決策的主要依據。備份財務數據的意義在于通過將財務數據復制到不同的介質中保存來防止財務數據的丟失。一旦會計信息系統遭到病毒或者黑客的入侵，數據備份可以及時的恢復丟失數據，支持會計信息系統的正常運行。（3）制度保障。企業應出臺相應制度，限制運行會計信息系統的計算機的其他上網行為；謹慎使用U盤和移動硬盤；設置 Office 軟件的宏安全級別等。

5、操作人員舞弊

個別操作人員由于專業素養不夠，對會計信息系統的操作不夠規范，對整個系統的安全造成了很大的威脅。究其原因，隨著企業的擴大和發展，利益相關者的范圍也在逐漸擴大，經營活動也更加廣泛，網絡會計信息系統相關人員面對了更多的誘惑和威脅，這可能會動搖相關人員遵守職業道德的決心，從而引發道德風險。安然、世界通訊等重大的舞弊案件的發生迫使企業重視人員舞弊的不安全因素。企業應關注會計信息系統建設中的人員因素，加強人員的培訓， 通過會計培訓使財會人員不斷汲取新知識， 不僅掌握現代網絡技術， 而且充分認識到會計人員的職業道德的重要性， 自覺抵制各種誘惑， 切實遵守各項規章制度。與此同時，要對財務人員的崗位職責進行定期的審計。近年來，國家也相應的出臺了一系列的法律法規和職業道德規范來規范會計人員的職業道德素質，要求會計人員誠信、保密、獨立等（王恒輝，2010）。（作者單位：大連隆銘會計師事務所有限公司）

參考文獻

[1]潘婧.網絡會計信息系統的安全風險及防范措施[J].財會研究，2008，（2）：48-52.

[2]羅紅.網絡會計信息系統安全問題研究[J].財會通訊，2011，（7）：33-35.

[3]宋彪，常劍峰.網絡環境下會計信息系統安全性研究[C].上海： 第九屆全國會計信息化年會，2010.174-180.

[4]胡玉可.淺析網絡環境下會計信息系統安全控制的實現[J].會計之友，2009，（11）：44-45.

[5]韓娜.企業會計信息系統風險評估方法研究[D].2006.

[6]張繼德，劉盼盼. 會計信息系統安全性現狀及應對策略探討[J].中國管理信息化，2010，13（6）：3-5.

[7]王恒輝.網絡環境下會計信息系統安全性探析[D].2010.

[8]倪江陵. 網絡環境下會計信息系統安全問題防范對策研究[D].2008.