序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁�,我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全評估報告樣本����,期待這些樣本能夠為您提供豐富的參考和啟發(fā)�,請盡情閱讀。
第1篇
1.1需求分析
通過德爾菲法��、訪談法�、SWOT分析等風險管理技術(shù),向?qū)W院各職能部門和其它渠道收集風險信息����,分類總結(jié),然后列出風險系統(tǒng)開發(fā)的大功能模塊���,每個大功能模塊有哪些小功能模塊�;描述實現(xiàn)具體模塊所涉及到的主要算法����、數(shù)據(jù)結(jié)構(gòu)、類的層次結(jié)構(gòu)及調(diào)用關(guān)系�,需要說明軟件系統(tǒng)各個層次中每個模塊或子程序的設(shè)計考慮,以便進行編碼測試����。系統(tǒng)平臺可以實現(xiàn)以下功能:自動輸出風險評估報告和建議報告,有效監(jiān)控預(yù)防風險����;對風險進行定量分析��,實現(xiàn)以圖表直觀形式輸出顯示�,并展示相應(yīng)的數(shù)據(jù)指標�����;用戶以個人賬戶或部門賬戶�����,登錄到風險評估輸入列表�����,選擇相應(yīng)的職能部門�����、行業(yè)類型����、風險級別指標����、以問答的形式選擇相應(yīng)的內(nèi)置風險條目���,根據(jù)登陸權(quán)限,可自擬增加�����、刪除風險條目��;可實現(xiàn)日常工作重要環(huán)節(jié)和重點風險過程的時間提醒功能�,通過手機短信或網(wǎng)頁提示窗提示等手段,提醒重點工作的正常開展�����,防范工作疏忽引起的風險�;風險級別指標制定,可參考相應(yīng)的國家或行業(yè)標準�,也可自擬;系統(tǒng)平臺內(nèi)有評估標準�,根據(jù)評估標準設(shè)計評估模型,利用評估模型對風險評估報告進行評估�,得出評估結(jié)果供風險決策者參考;校領(lǐng)導和各職能部門負責人可根據(jù)管理權(quán)限查詢相應(yīng)的風險數(shù)據(jù)���;B/S架構(gòu)�,實現(xiàn)新聞即時,可及時更新各高校風險管理中的經(jīng)驗交流文章���、理論知識�。
1.2程序編碼實現(xiàn)
開始具體的編寫程序工作�,分別實現(xiàn)各模塊的功能,從而實現(xiàn)對目標系統(tǒng)的功能��、性能�����、接口���、界面等方面的要求;開發(fā)過程中��,邊開發(fā)邊測試����,系統(tǒng)完工后,通過內(nèi)部外部測試��、模塊測試、整體聯(lián)調(diào)等測試方法�,驗證系統(tǒng)的整體穩(wěn)定性,不斷完善���。
1.3具體應(yīng)用
軟件開發(fā)完成��,做成相關(guān)的技術(shù)文檔�,系統(tǒng)上線�����;在具體應(yīng)用中發(fā)現(xiàn)問題及時登記到問題記錄冊��,反饋到開發(fā)人員�,為以后的系統(tǒng)平臺升級提供依據(jù)。
2平臺功能模塊
信息安全風險評估平臺的開發(fā)環(huán)境為/MSSQL�����,基于SOA軟件系統(tǒng)架構(gòu)解決學院各信息系統(tǒng)集成�����,通過PDCA循環(huán)模型具體實施���。信息安全風險評估系統(tǒng)平臺建設(shè)主要包括評估公告�、用戶管理、指標設(shè)置�����、綜合評估���、綜合查詢����、報表系統(tǒng)�����,數(shù)據(jù)導出七大模塊��。
2.1評估公告模塊
評估公告模塊實現(xiàn)新聞即時�,可及時更新各高校風險管理中的經(jīng)驗交流文章��、理論知識���;可實現(xiàn)日常工作重要環(huán)節(jié)和重點風險過程的時間提醒功能���,提醒重點工作的正常開展�,防范工作疏忽引起的信息系統(tǒng)風險����。
2.2用戶管理模塊
用戶管理模塊的功能是管理用戶信息,主要包括用戶的用戶名��、密碼和權(quán)限�,同時支持顯示所有注冊用戶信息和刪除用戶功能;模塊可以添加系統(tǒng)管理員�、評估人和評估單位,評估人員可以設(shè)置不同的權(quán)限��,限制評估范圍��;用戶以個人賬戶或部門賬戶�����,登錄到風險評估輸入列表�����,選擇相應(yīng)的職能部門���、行業(yè)類型����、風險級別指標、以問答的形式選擇相應(yīng)的內(nèi)置風險條目�;不同的用戶登錄系統(tǒng)顯示的模塊不一樣,根據(jù)登陸權(quán)限���,可自擬增加�、刪除風險條目�。
3.3指標設(shè)置模塊
指標設(shè)置模塊主要是依據(jù)國家有關(guān)信息安全風險評估指標,實現(xiàn)信息系統(tǒng)風險評估的指標體系設(shè)置�,劃分兩級指標細化評估體系,一級指標劃分為信息資產(chǎn)��、威脅性��、脆弱性����,二級指標從硬件�、軟件、風險識別等細化指標體系���;實現(xiàn)指標庫的設(shè)置�,可以分配不同的被評估單位相應(yīng)的評價指標。
2.4綜合評估模塊
綜合評估模塊包括評估列表����、評估歷史。評估列表顯示所有被評估單位��,某一單位用戶登錄以后����,系統(tǒng)自動調(diào)用相應(yīng)的指標庫,回答相應(yīng)的信息系統(tǒng)安全問題�,系統(tǒng)自動給出指標分數(shù);評估歷史是不同的賬戶登錄��,顯示的列表不同��,管理員能查詢所有的用戶評估歷史�����,單位用戶只能查詢本系部的評估歷史����。
2.5綜合查詢模塊
綜合查詢模塊實現(xiàn)不同單位評估次數(shù)�、評估成績�、各評估對象不同時間段等的評估查詢。
2.6報表系統(tǒng)模塊
報表模塊實現(xiàn)了不同單位評估次數(shù)�����、評估成績�、各評估對象的柱狀圖的形式直觀展示。
2.7數(shù)據(jù)導出模塊
數(shù)據(jù)導出模塊實現(xiàn)了評估單位當前總成績或歷史評估成績的數(shù)據(jù)導出功能��,支持PDF�、Word、Excel文檔格式��。
3系統(tǒng)評估操作流程
系統(tǒng)管理員首先在系統(tǒng)后臺對不同的用戶設(shè)置相應(yīng)的評估指標庫����;用戶通過用戶名和密碼登錄系統(tǒng)后臺;登錄成功后系統(tǒng)會自動調(diào)用相應(yīng)的評價指標�,用戶回答相應(yīng)的問題;回答結(jié)束后���,用戶點擊提交�,系統(tǒng)自動給出相應(yīng)的評估分值;用戶打印或存儲評估數(shù)據(jù)報告���。
4平臺應(yīng)用效果
4.1為我國高校的信息系統(tǒng)風險預(yù)防和應(yīng)急處理提供建設(shè)性的意見
目前關(guān)于我國高校風險評估研究的大多停留在某些具體領(lǐng)域,主要是對宏觀風險管理和財務(wù)風險狀況進行探討���,對信息系統(tǒng)安全的研究較少��。信息安全風險評估系統(tǒng)平臺對高校信息安全風險進行定量分析評估��,為我國高校信息系統(tǒng)風險評估提供了一個重要平臺�,為高校的信息系統(tǒng)風險預(yù)防和應(yīng)急處理提供一些建設(shè)性的意見�。
4.2為高校各級信息系統(tǒng)管理者提供了處理信息系統(tǒng)
風險的決策依據(jù)系統(tǒng)實現(xiàn)各級信息系統(tǒng)管理者可實時查詢部門風險評估,針對高校日常管理中可能面臨的各類信息系統(tǒng)安全風險�、建議應(yīng)對措施、突發(fā)事件�、應(yīng)急預(yù)案、法律法規(guī)等相關(guān)風險管理文檔查詢����,為科學決策提供依據(jù)。
4.3信息系統(tǒng)安全風險處理更迅速
信息系統(tǒng)安全風險評估平臺與學院網(wǎng)絡(luò)安全教育平臺�、運維網(wǎng)站數(shù)據(jù)整合,當網(wǎng)絡(luò)遭受攻擊���、病毒肆虐時���,能第一時間獲得相關(guān)信息�,為快速解決信息系統(tǒng)安全風險創(chuàng)造了條件�����。
4.4提高了全校師生網(wǎng)絡(luò)安全防范和參與意識
通過信息系統(tǒng)安全風險評估平臺��,全院師生提高了網(wǎng)絡(luò)安全防范和參與意識���,為河南牧業(yè)經(jīng)濟學院網(wǎng)絡(luò)信息化建設(shè)出謀劃策��,促進學校領(lǐng)導和有關(guān)職能部門制定和完善網(wǎng)絡(luò)有關(guān)管理制度��。
4.5規(guī)范了全校師生的上網(wǎng)行為��,減少了網(wǎng)絡(luò)攻擊
全校師生通過平臺了解學校網(wǎng)絡(luò)管理相關(guān)制度和管理方式��,認識到自己的上網(wǎng)行為在學校監(jiān)督管理中��,從而自覺規(guī)范自身的上網(wǎng)行為�����。平臺為引導師生正確使用網(wǎng)絡(luò)����、規(guī)避風險,保障校園網(wǎng)網(wǎng)絡(luò)良好正常運轉(zhuǎn)起到了積極的作用��。通過信息系統(tǒng)風險評估的漏洞查找�,各系部加強了網(wǎng)絡(luò)安全知識普及�、全員參與、相關(guān)規(guī)章制度的約束�����,一直困擾我院網(wǎng)管人員的網(wǎng)絡(luò)非法攻擊�����,特別是破壞后果更難預(yù)測的內(nèi)部網(wǎng)絡(luò)攻擊得到了有效的遏制��。
5結(jié)束語
第2篇
ENISA對2002~2012年期間舉行的85次不同層級的網(wǎng)絡(luò)演習進行了調(diào)研�,既有單個國家演習又有多國演習,既有針對私營企業(yè)或政府機構(gòu)的演習又有二者結(jié)合的演習���。全球共計84個國家參加多國網(wǎng)絡(luò)演習��,歐洲共有22個國家組織過全國性網(wǎng)絡(luò)演習����。
主要結(jié)論
歐洲網(wǎng)絡(luò)與信息安全局認為此次調(diào)研評估較好地總結(jié)了國家及國際網(wǎng)絡(luò)演習的現(xiàn)狀,主要結(jié)論如下��。
(1)網(wǎng)絡(luò)演習次數(shù)逐年增多��。
網(wǎng)絡(luò)演習日漸普遍���,2010年后演習數(shù)量更是激增��,這與政策支持和網(wǎng)絡(luò)攻擊威脅不斷增多不無關(guān)系��。很多演習作為系列演習的一部分���,每年都舉行,這種趨勢在未來數(shù)年仍將繼續(xù)��。
(2)網(wǎng)絡(luò)危機合作不斷發(fā)展�。
不僅網(wǎng)絡(luò)演習日漸普遍,網(wǎng)絡(luò)危機合作方面的舉措也在不斷發(fā)展��。網(wǎng)絡(luò)安全已成為歐洲國家的緊要事務(wù)���,受到越來越多的關(guān)注��。
(3)多數(shù)歐洲國家參與了國家和多國網(wǎng)絡(luò)演習�����。
多數(shù)歐盟和歐洲自由貿(mào)易區(qū)國家既組織過國家演習又參加過多國網(wǎng)絡(luò)演習����。這說明參與國際演習對組織國家層面的網(wǎng)絡(luò)演習能夠起到補益作用�����,國際網(wǎng)絡(luò)危機合作能夠在這些演習中得到發(fā)展��。對于本身能力有限的國家(例如沒有能力組織國家演習)�,參加國際演習能夠幫助他們達到歐盟制定的國家網(wǎng)絡(luò)安全標準。網(wǎng)絡(luò)危機往往超越國境��,這一事實也為大國幫助網(wǎng)絡(luò)安全應(yīng)急能力較弱的鄰邦提供了動力���,凸顯了多國聯(lián)合組織跨國網(wǎng)絡(luò)演習的必要性�。ENISA通過組織網(wǎng)絡(luò)演習研討會和泛歐洲地區(qū)網(wǎng)絡(luò)演習的方式支持各國的網(wǎng)絡(luò)演習活動��。
(4)政府機構(gòu)與私營企業(yè)之間的交流合作至關(guān)重要。
鑒于很多私營企業(yè)是重要信息基礎(chǔ)設(shè)施的所有者���、管理者和使用者���,因此未來的網(wǎng)絡(luò)演習更需要加強政府機構(gòu)與私營企業(yè)的合作。
(5)必須更加重視演習管理工具�����。
對演習管理工具的重要性認識不足是所有網(wǎng)絡(luò)演習普遍存在的問題��。演習管理工具可以用來協(xié)助進行演習準備和評估��。
(6)促進演習規(guī)劃�����、監(jiān)控與評估方法的使用��。
演習規(guī)劃��、監(jiān)控和評估關(guān)系到演習是否能夠成功���,演習規(guī)劃包括完善演習方案�、程序,修改演習策略等����,監(jiān)控和評估能夠進一步幫助演習組織者建立反饋機制,總結(jié)經(jīng)驗教訓����。本次調(diào)研發(fā)現(xiàn)演習監(jiān)控、評估方法的使用有限�����,在未來演習中應(yīng)該更多地使用這些方法�����。
建議
報告提出了一些能夠提高演習質(zhì)量�、增加演習數(shù)量的建議��,這些建議有助于增強重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施及服務(wù)對網(wǎng)絡(luò)安全事件的承受能力���。
(1)打造更為協(xié)調(diào)的網(wǎng)絡(luò)演習環(huán)境�。
隨著網(wǎng)絡(luò)演習范圍的不斷擴大��,網(wǎng)絡(luò)危機合作的不斷發(fā)展,應(yīng)該努力打造一個更加協(xié)調(diào)的網(wǎng)絡(luò)演習環(huán)境����,讓全球網(wǎng)絡(luò)演習領(lǐng)域的利益方能夠充分交流與探討該領(lǐng)域的好做法、挑戰(zhàn)及經(jīng)驗教訓��。如何以取長補短為目的��,協(xié)調(diào)網(wǎng)絡(luò)計劃��,實現(xiàn)同步化是網(wǎng)絡(luò)演習界面臨的一個艱巨的挑戰(zhàn)��。此外�,建議繼續(xù)組織網(wǎng)絡(luò)危機合作國際會議,為建立更加協(xié)調(diào)的網(wǎng)絡(luò)演習群體創(chuàng)造條件�。
(2)建立公私合作�,加強網(wǎng)絡(luò)演習經(jīng)驗交流��。
公共機構(gòu)與私營企業(yè)之間通過合作共同保護重要信息基礎(chǔ)設(shè)施非常重要,而組織聯(lián)合演習和分享好的做法和經(jīng)驗則是實現(xiàn)合作不可或缺的手段��。經(jīng)驗交流可以通過建立專門的數(shù)據(jù)庫��、觀摩演習、學習交流等方式實現(xiàn)。
(3)繼續(xù)推進演習管理工具的開發(fā)。
在網(wǎng)絡(luò)演習中����,良好的方法和自動化的工具能夠有效地提高演習設(shè)計��、實施及評估的效率�。包括模擬器和仿真機在內(nèi)的各種演習管理工具能夠在提高演習效率的同時使演習質(zhì)量更高,效果更好��。報告呼吁業(yè)界人士支持網(wǎng)絡(luò)演習管理工具的開發(fā)�、應(yīng)用和共享。
(4)力求在部門間�����、國際和歐洲層級舉行更復雜的網(wǎng)絡(luò)演習�����。
網(wǎng)絡(luò)事件/危機大多是跨界的�,包括跨國境、跨部門等�,這種情況帶來的挑戰(zhàn)就是��,如何組織能夠檢驗跨界網(wǎng)絡(luò)事件各種復雜情況的網(wǎng)絡(luò)演習,特別是在需要同時檢驗不同層級應(yīng)急響應(yīng)能力的時候(包括戰(zhàn)役�、戰(zhàn)術(shù)和戰(zhàn)略演習層面)��。報告建議業(yè)界人士與ENISA一起��,共同為組織更為復雜的網(wǎng)絡(luò)演習而努力��。
(5)將網(wǎng)絡(luò)演習納入網(wǎng)絡(luò)危機應(yīng)急方案�。
各國應(yīng)制定、維護并及時更新網(wǎng)絡(luò)危機應(yīng)急方案和標準合作程序�����。響應(yīng)結(jié)構(gòu)的持續(xù)完善需要網(wǎng)絡(luò)演習的支撐�����。為了更好地備戰(zhàn)網(wǎng)絡(luò)危機��,建議歐盟成員國相關(guān)決策者將網(wǎng)絡(luò)演習納入網(wǎng)絡(luò)危機應(yīng)急方案和標準合作程序��。ENISA曾過一份《國家網(wǎng)絡(luò)應(yīng)急方案實踐指南》�。
(6)及時更新網(wǎng)絡(luò)演習方法。
2009年�,ENISA頒布了《國家演習實踐指南》����,代表著網(wǎng)絡(luò)演習向著用更正規(guī)的方法進行規(guī)劃和實施邁出了第一步���。報告建議ENISA根據(jù)近幾年歐洲相關(guān)政策的變化��、本次調(diào)研的研究成果以及有關(guān)論壇獲得的相關(guān)報告整合��、改進上述文件推薦的網(wǎng)絡(luò)演習方法�,利用相關(guān)工具設(shè)計出正規(guī)的網(wǎng)絡(luò)演習規(guī)劃及組織辦法�。
第3篇
關(guān)鍵詞 計算機;網(wǎng)絡(luò)風險��;防范模式��;防范流程
中圖分類號 F062.5 [KG*2]文獻標識碼 A [KG*2]文章編號 1002-2104(2011)02-0096-04
在信息時代���,信息成為第一戰(zhàn)略資源��,更是起著至關(guān)重要的作用���。因此,信息資產(chǎn)的安全是關(guān)系到該機構(gòu)能否完成其使命的大事����。資產(chǎn)與風險是天生的一對矛盾,資產(chǎn)價值越高��,面臨的風險就越大��。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性���,面臨著新型風險�。計算機網(wǎng)絡(luò)風險防范的目的就是要緩解和平衡這一對矛盾����,將風險防范到可接受的程度,保護信息及其相關(guān)資產(chǎn)����,最終保證機構(gòu)能夠完成其使命。風險防范做不好��,系統(tǒng)中所存在的安全風險不僅僅影響系統(tǒng)的正常運行�����,且可能危害到政府部門自身和社會公眾��,嚴重時還將威脅國家的安全。論文提出了在選擇風險防范策略時如何尋找合適的風險防范實施點并按照實施風險防范的具體過程來進行新技術(shù)下的風險防范�����,從而幫助完成有效的風險管理過程��,保護組織以及組織完成其任務(wù)�。
1 計算機網(wǎng)絡(luò)風險管理
計算機網(wǎng)絡(luò)風險管理包括三個過程:計算機網(wǎng)絡(luò)屬性特征分析、風險評估和風險防范��。計算機網(wǎng)絡(luò)屬性特征分析包括風險管理準備��、信息系統(tǒng)調(diào)查��、信息系統(tǒng)分析和信息安全分析4個階段�。在計算機網(wǎng)絡(luò)風險防范過程中,計算機網(wǎng)絡(luò)屬性的確立過程是一次計算機網(wǎng)絡(luò)風險防范主循環(huán)的起始�,為風險評估提供輸入。風險評估過程���,包括對風險和風險影響的識別和評價��,以及降低風險措施的建議���。風險防范是風險管理的第三個過程��,它包括對在風險評估過程中建議的安全控制進行優(yōu)先級排序��、評價和實現(xiàn)�,這些控制可以用來減輕風險�。
2 網(wǎng)絡(luò)風險模式研究
2.1 風險防范體系
計算機風險防范模式包括選擇風險防范措施(風險假設(shè)��、風險規(guī)避�、風險限制、風險計劃��、研究和了解���、風險轉(zhuǎn)移)��、選擇風險防范策略(包括尋找風險防范實施點和防范控制類別的選擇)��、實施風險防范3個過程���。在實施風險防范的過程中包括對行動進行優(yōu)先級排序、評價建議的安全控制類別�、成本-收益分析、選擇風險防范控制�、分配責任�����、制定安全措施實現(xiàn)計劃��、實現(xiàn)被選擇的安全控制��,最后還要進行殘余風險分析�。
2.2 風險防范措施
風險防范是一種系統(tǒng)方法��,高級管理人員可用它來降低使命風險��。風險防范可以通過下列措施實現(xiàn):
(1)風險假設(shè):接受潛在的風險并繼續(xù)運行IT系統(tǒng)����,或?qū)崿F(xiàn)安全控制以把風險降低到一個可接受的級別。
(2)風險規(guī)避:通過消除風險的原因或后果(如當識別出風險時放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng))來規(guī)避風險���。
(3)風險限制:通過實現(xiàn)安全控制來限制風險��,這些安全控制可將由于系統(tǒng)弱點被威脅破壞而帶來的不利影響最小化(如使用支持�、預(yù)防�����、檢測類的安全控制)。
(4)風險計劃:制定一套風險減緩計劃來管理風險�,在該計劃中對安全控制進行優(yōu)先排序、實現(xiàn)和維護��。
(5)研究和了解:通過了解系統(tǒng)弱點和缺陷�,并研究相應(yīng)的安全控制修正這些弱點,來降低風險損失��。
(6)風險轉(zhuǎn)移:通過使用其他措施補償損失���,從而轉(zhuǎn)移風險,如購買保險��。
在選擇風險防范措施中應(yīng)該考慮機構(gòu)的目標和使命���。要解決所有風險可能是不實際的�,所以應(yīng)該對那些可能給使命帶來嚴重危害影響的威脅/弱點進行優(yōu)先排序���。同時�,在保護機構(gòu)使命及其IT系統(tǒng)時�,由于每一機構(gòu)有其特定的環(huán)境和目標,因此用來減緩風險的措施和實現(xiàn)安全控制的方法也各不相同�。最好的方法是從不同的廠商安全產(chǎn)品中選擇最合適的技術(shù)���,再伴以適當?shù)娘L險防范措施和非技術(shù)類的管理措施����。
2.3 風險防范策略
高級管理人員和使命所有者在了解了潛在風險和安全控制建議書后,可能會問:什么時候��、在什么情況下我們該采取行動�?什么時候該實現(xiàn)這些安全控制來進行風險防范,從而保護我們的機構(gòu)�����?
如圖1所示的風險防范實施點回答了這個問題����。在圖1中,標有“是”的地方是應(yīng)該實現(xiàn)風險防范的合適點���。
總結(jié)風險防范實踐,以下經(jīng)驗可以對如何采取行動來防范由于故意的人為威脅所帶來的風險提供指導:
楊濤等:計算機網(wǎng)絡(luò)風險防范模式研究中國人口•資源與環(huán)境 2011年 第2期(1)當存在系統(tǒng)漏洞時���,實現(xiàn)保證技術(shù)來降低弱點被攻擊的可能性;
(2) 當系統(tǒng)漏洞被惡意攻擊時�,運用層次化保護�����、結(jié)構(gòu)化設(shè)計以及管理控制將風險最小化或防止這種情形的發(fā)生�����;
(3) 當攻擊者的成本比攻擊得到更多收益時,運用保護措施����,通過提高攻擊者成本來降低攻擊者的攻擊動機(如使用系統(tǒng)控制�,限制系統(tǒng)用戶可以訪問或做些什么,這些措施能夠大大降低攻擊所得)�;
(4) 當損失巨大時,運用設(shè)計原則����、結(jié)構(gòu)化設(shè)計以及技術(shù)或非技術(shù)類保護措施來限制攻擊的程度,從而降低可能的損失�����。
上面所述的風險防范策略中除第三條外�,也都可運用來防范由于環(huán)境威脅或無意的人員威脅所帶來的風險。
2.4 風險防范模式的實施
在實施風險防范措施時�,要遵循以下規(guī)則:找出最大的風險,然后爭取以最小的代價充分減緩風險�,同時要使對其他使命能力的影響最小。實施措施通過以下七個步驟來完成���,見圖2�。
2.4.1 對行動進行優(yōu)先級排序
基于在風險評估報告中提出的風險級別���,對行動進行優(yōu)先級排序�。在分配資源時����,那些標有不可接受的高風險等級(如被定義為非常高或高風險級別的風險)的風險項目應(yīng)該最優(yōu)先。這些弱點/威脅需要采取立即糾正行動以保護機構(gòu)的利益和使命����。步驟一輸出―從高到低優(yōu)先級的行動�����。
2.4.2 評價建議的安全控制
風險評估過程中建議的安全措施對于具體的機構(gòu)和IT系統(tǒng)可能不是最適合和可行的�����。在這一步中�,要對建議
圖1 網(wǎng)絡(luò)風險防范實施點
Fig.1 Network implementation point of risk prevention
圖2 實施風險防范措施流程及其輸入輸出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性�、用戶接受程度)和有效性(如保護程度和風險防范級別)進行分析。目的是選擇最適當?shù)陌踩刂拼胧┮宰钚』L險���。步驟二輸出―可行安全控制清單���。
2.4.3 實施成本-收益分析
為了幫助管理層做出決策并找出性價比好的安全控制,要實施成本―收益分析�。第三步輸出―成本-收益分析,其中描述了實現(xiàn)或者不實現(xiàn)安全控制所帶來的成本和收益 �。
2.4.4 選擇安全控制
在成本-收益分析的基礎(chǔ)上,管理人員確定性價比最好的安全控制來降低機構(gòu)使命的風險�。所選擇的安全控制應(yīng)該結(jié)合技術(shù)����、操作和管理類的控制元素以確保IT系統(tǒng)和機構(gòu)適度的安全�。步驟四輸出―選擇好的安全控制�。
2.4.5 責任分配
遴選出那些有合適專長和技能來實現(xiàn)所選安全控制的人員(內(nèi)務(wù)人員或外部簽約人員),并分配以相應(yīng)責任���。步驟五輸出―責任人清單�。
2.4.6 制定一套安全措施實現(xiàn)計劃
在這一步����,將制定一套安全措施實現(xiàn)計劃(或行動計劃)。這套計劃應(yīng)該至少包括下列信息:
(1)風險(弱點/威脅)和相關(guān)的風險級別(風險評估報告輸出)����。
(2)建議的安全控制(風險評估報告輸出)。
(3)優(yōu)先排序過的行動(標有給那些有非常高和高風險級別的項目分配的優(yōu)先級)���。
(4)被選擇的計劃好的安全控制(基于可行性����、有效性�、機構(gòu)的收益和成本來決定)。
(5)實現(xiàn)那些被選擇的計劃好的安全控制所需要的資源�����。
(6)負責小組和人員清單。
(7)開始實現(xiàn)日期����。
(8)實現(xiàn)完成的預(yù)計日期。
(9)維護要求����。
2.4.7 實現(xiàn)被選擇的安全控制
根據(jù)各自的情況,實現(xiàn)的安全控制可以降低風險級別但不會根除風險����。步驟七輸出―殘余風險清單。
3 網(wǎng)絡(luò)風險防范案例
以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例���,首先要對網(wǎng)絡(luò)應(yīng)用系統(tǒng)進行屬性分析����,風險評估����,然后根據(jù)風險評估報告和承受能力來決定風險防范具體措施。
3.1 風險評估
該計算機網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全級別要求高����,根據(jù)手工和自動化網(wǎng)絡(luò)風險評估,結(jié)果如下所示:
數(shù)據(jù)庫系統(tǒng)安全狀況為中風險等級�。在檢查的33個項目中,共有9個項目存在安全漏洞���。其中:3 個項目為高風險等級����,占總檢查項目的 9%�����;1 個項目為中風險等級���,占總檢查項目的 3%�����;5 個項目為低風險等級�,占總檢查項目的 15%���。
3.2 風險防范具體措施
選擇風險防范措施中的研究和了解同時進行風險限制�����。確定風險防范實施點����,該數(shù)據(jù)庫的設(shè)計存在漏洞并且該漏洞可能被利用,所以應(yīng)該實施風險防范�。實施步驟如下:
步驟一:對以上掃描結(jié)果中的9個漏洞進行優(yōu)先級排序,確立每個項目的風險級別���。
步驟二:評價建議的安全控制�����。在該網(wǎng)站主站數(shù)據(jù)庫被建立后針對評估報告中的安全控制建議進行分析�,得出要采取的防范策略�����。
步驟三:對步驟二中得出相應(yīng)的若干種防范策略進行成本收益分析�,最后得出每種防范策略的成本和收益。
步驟四:選擇安全控制����。對上述掃描的9個漏洞分別選擇相應(yīng)的防范策略。
步驟五:責任分配,輸出負責人清單�。
步驟六:制定完整的漏洞修復計劃。
步驟七:實施選擇好的防范策略���,按表1對這9個漏洞進行一一修復。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名稱
Vulnerability
Name級別
level風險防范策略
Risk prevention
strategiesAXTSGL1006Guest用戶檢測高預(yù)防性技術(shù)控制AXTSGL1008登錄模式高預(yù)防性技術(shù)控制AXTSGL3002審計級別設(shè)置高監(jiān)測和恢復技術(shù)控制AXTSGL3011注冊表存儲過程權(quán)限中支持和預(yù)防性技術(shù)控制AXTSGL2001允許遠程訪問低預(yù)防性技術(shù)控制AXTSGL2012系統(tǒng)表訪問權(quán)限設(shè)置低預(yù)防性技術(shù)控制AXTSGL3003安全事件審計低監(jiān)測恢復技術(shù)控制AXTSGL3004黑盒跟蹤低恢復管理安全控制AXTSGL3006C2 審計模式低監(jiān)測和恢復技術(shù)控制
4 總 結(jié)
在進行計算機網(wǎng)絡(luò)風險管理分析的基礎(chǔ)上���,提出了新技術(shù)下的風險防范模式和體系結(jié)構(gòu)�,同時將該防范模式成功應(yīng)用到某市官方網(wǎng)站的主站數(shù)據(jù)庫中���。應(yīng)用過程中選擇了恰當?shù)姆婪洞胧?����,根?jù)新技術(shù)下風險防范實施點的選擇流程確立了該數(shù)據(jù)庫的防范實施點并嚴格按照風險防范實施步驟進行風險防范的執(zhí)行����,成功地使風險降低到一個可接受的級別�,使得對機構(gòu)的資源和使命造成的負面影響最小化。
雖然該防范模式在一定程度上降低了風險的級別���,但是由于風險類型的不可預(yù)見性和防范策略的局限性�����,該模式未必使機構(gòu)或系統(tǒng)的風險降到最低�����,因此風險防范有待于進一步改進和完善���,這將是一個長期的任務(wù)�。
參考文獻(References)
[1]蔡昱���,張玉清.風險評估在電子政務(wù)系統(tǒng)中的應(yīng)用[J].計算機工程與應(yīng)用����,2004����,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]張平,蔣凡.一種改進的網(wǎng)絡(luò)安全掃描工具[J].計算機工程�,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯?jié)h.網(wǎng)絡(luò)安全檢測的理論和實踐[J].計算機系統(tǒng)應(yīng)用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何軍.一種基于主機分布式安全掃描的計算機免疫系統(tǒng)模型[J].計算機應(yīng),2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
Research on Risk Precention Model of Computer Network
YANG Tao1 LI Shuren1 DANG Depeng2
( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;
2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)
第4篇
【關(guān)鍵詞】 網(wǎng)絡(luò)安全 綜合評價 方法 應(yīng)用
一����、常見網(wǎng)絡(luò)安全綜合評價方法
1.1層次分析法(AHP)
1)構(gòu)造層次分析結(jié)構(gòu):一般按目標層�、準則層���、方案層建立三層次的結(jié)構(gòu)���。
2)構(gòu)造判斷矩陣:判斷矩陣的每個元素是某一層兩個元素的相對重要性程度值,一般采用 1-9 及其倒數(shù)的標度法�。
3)層次單排序及一致性驗證:計算出某層次因素相對于上一層次某一因素的相對重要性。這一步驟還需要檢驗構(gòu)造的判斷矩陣的合理性����,一般采用判斷矩陣最大特征根以外的其余特征根的負平均值����,作為度量判斷矩陣的偏離一致性的指標。
4)層次總排序及一致性驗證:依次沿層次結(jié)構(gòu)由下而上逐層計算����,即可計算出結(jié)構(gòu)圖中最底層各因素相對于總目標的相對重要性的排序值。
5)決策:根據(jù)分析計算結(jié)果進行決策�����。
在網(wǎng)絡(luò)安全的研究中�����,一般不直接采用層次分析法去評價網(wǎng)絡(luò)系統(tǒng)的安全性,而是組合其他綜合評價法使用���,層次分析法一般用來確定指標的權(quán)重�����。
1.2灰色綜合評價法
灰色綜合評價是指基于灰色系統(tǒng)理論���,對系統(tǒng)或所屬因子,在某一時段所處的狀態(tài)���,做出一種半定性與半定量的評價與描述����,以便對系統(tǒng)的綜合效果和整體水平���,形成一個可供比較的概念與類別�����。
1.3人工神經(jīng)網(wǎng)絡(luò)評價法
人工神經(jīng)網(wǎng)絡(luò)(ANN)是由大量與自然神經(jīng)細胞類似的人工神經(jīng)元互聯(lián)而組成的網(wǎng)絡(luò)���,它是在對人腦組織結(jié)構(gòu)和運行機制的認識理解基礎(chǔ)之上模擬其結(jié)構(gòu)和職能行為的一種工程系統(tǒng)����?;谌斯ど窠?jīng)網(wǎng)絡(luò)的多指標綜合評價方法通過神經(jīng)網(wǎng)絡(luò)的自學習、自適應(yīng)能力和強容錯性����,建立更加接近人類思維模式的定性和定量的綜合評價模型。神經(jīng)網(wǎng)絡(luò)綜合評價方法具有很強的處理非線性關(guān)系數(shù)據(jù)的能力�,其權(quán)值是通過實例學習而得,避免了主觀性和不確定性�,因而具有很大的優(yōu)越性�����。
1.3模糊綜合評價法
模糊綜合評價是以模糊數(shù)學為基礎(chǔ)����,應(yīng)用模糊關(guān)系合成的原理,將一些邊界不清�����、不易量化的因素定量化,從多個因素對被評價事物隸屬等級狀況進行綜合評價的一種方法�。模糊綜合評價方法能有效地解決在網(wǎng)絡(luò)安全評估中大量的定性指標量化的問題,是處理帶有主觀評價的安全性評估最好的方法之一���,因此本文采用模糊綜合評價方法來建立網(wǎng)絡(luò)安全綜合評價模型����,該方法將在第五章中詳細介紹�����。
二���、計算機網(wǎng)絡(luò)運行存在的風險
2.1操作風險
企業(yè)經(jīng)營業(yè)務(wù)在不斷拓展�����,計算機網(wǎng)絡(luò)操作的次數(shù)更加頻繁���,這些都需要內(nèi)部職員經(jīng)過相關(guān)的操作完成。由于專業(yè)技能及理論知識不足���,內(nèi)部人員在操作網(wǎng)絡(luò)執(zhí)行命令時發(fā)生錯誤�����,造成數(shù)據(jù)傳輸失敗或文件丟失�����,引發(fā)了一系列的操作問題�。此外,軟硬件設(shè)備的連接處理���,未按照計算機聯(lián)網(wǎng)標準的要求操作�����,也會帶來許多潛在的操作風險����。
2.2數(shù)據(jù)風險
數(shù)據(jù)庫是網(wǎng)絡(luò)存儲數(shù)據(jù)的核心區(qū)域���,同時也是企業(yè)用戶日常操作的主要對象,其面臨的風險隱患最大�����。如:數(shù)據(jù)庫訪問風險,打開數(shù)據(jù)庫未經(jīng)過有效身份的驗證�,權(quán)限設(shè)置不嚴易造成數(shù)據(jù)信息被竊取����;數(shù)據(jù)庫調(diào)用風險,由于管理工作的疏忽�,數(shù)據(jù)庫資源可隨意性調(diào)配利用。數(shù)據(jù)風險對用戶數(shù)據(jù)調(diào)配是極為不利的����,風險發(fā)生造成了較大的經(jīng)濟損失。
2.3病毒風險
病毒是破壞網(wǎng)絡(luò)安全的常見因素���,病毒的傳播性�����、破壞性�、擴散性等特點往往會波及其它計算機�����。計算機網(wǎng)絡(luò)被病毒感染����,本臺計算機系統(tǒng)遭到破壞�,用戶在網(wǎng)絡(luò)上執(zhí)行的有關(guān)操作將無法完成命令���。
2.4設(shè)備風險
硬件設(shè)備是計算機網(wǎng)絡(luò)的重要組成之一���,許多網(wǎng)絡(luò)操作功能均是通過硬件設(shè)備調(diào)控才能實現(xiàn)。設(shè)備風險的來源是由于計算機設(shè)備連接不當�����,模擬調(diào)試階段未對設(shè)備潛在的問題及時處理�����。以主機連接為例���,技術(shù)人員安裝設(shè)備未能對數(shù)據(jù)接口詳細檢查���,主機與其它輔助設(shè)備的連接安裝不科學���,用戶操作計算機后容易出現(xiàn)數(shù)據(jù)傳輸問題����,情況嚴重時引發(fā)設(shè)備故障。
三�����、防范安全風險發(fā)生的有效措施
3.1分段技術(shù)
分段技術(shù)的根本在于從源頭開始對網(wǎng)絡(luò)風險進行控制����,當前局域網(wǎng)的傳輸方式主要是利用交換機作為中心、路由器作為邊界���,而中心交換機具備優(yōu)越的訪問控制功能及三層交換功能�。這就為分段技術(shù)的運用提供了有利的條件�,如:通過物理分段、邏輯分段對局域網(wǎng)進行安全控制���。
3.2加密技術(shù)
數(shù)據(jù)加密是防范網(wǎng)絡(luò)信息風險最直接最有效的一種方式���,如下圖所示。該技術(shù)主要是引導用戶對傳輸過程中的數(shù)據(jù)設(shè)置有效的密碼�。
數(shù)據(jù)加密包括了線路加密、端與端加密等,兩種方式都有著自己的特點�����。線路加密主要對保密信息使用相應(yīng)的加密密鑰進行安全保護����。
3.3防火墻技術(shù)
對計算機網(wǎng)絡(luò)安裝防火墻最大的作用在于能夠避免遭到黑客入侵。防火墻技術(shù)的預(yù)防原理為結(jié)合防火墻的功能對網(wǎng)絡(luò)通訊實施相應(yīng)的訪問控制規(guī)定�,只能同意用戶允許的人和數(shù)據(jù)進入內(nèi)部網(wǎng)絡(luò)中,對于未經(jīng)允許的用戶和數(shù)據(jù)則會自動屏蔽����。
3.4抗病毒技術(shù)
網(wǎng)絡(luò)病毒不僅危害大,而且傳播速度極快���,能以很短的時間散布于各個計算機網(wǎng)絡(luò)���。增加抗病毒技術(shù)的運用能夠?qū)W(wǎng)絡(luò)病毒起到良好的抵制作用??共《炯夹g(shù)主要是通過安裝不同的殺毒軟件實現(xiàn),如:卡巴斯基���、360等�����,維護計算機處于正常狀態(tài)����。
四�、結(jié)束語
考慮到企業(yè)辦公自動化模式的普及應(yīng)用,加強網(wǎng)絡(luò)安全管理工作已成為不容忽視的管理內(nèi)容�����。企業(yè)在制定基于計算機運營平臺的過程中�,應(yīng)深入分析網(wǎng)絡(luò)潛在的風險隱患,編制科學的安全綜合評價方案�,更好地運用計算機網(wǎng)絡(luò)服務(wù)企業(yè)。
參 考 文 獻
第5篇
關(guān)鍵詞:網(wǎng)絡(luò)安全�����;病毒防范���;防火墻
0 引言
如何保證合法網(wǎng)絡(luò)用戶對資源的合法訪問以及如何防止網(wǎng)絡(luò)黑客的攻擊����,已經(jīng)成為網(wǎng)絡(luò)安全的主要內(nèi)容。
1 網(wǎng)絡(luò)安全威脅
1.1 網(wǎng)絡(luò)中物理的安全威脅 例如空氣溫度�、濕度、塵土等環(huán)境故障���、以及設(shè)備故障����、電源故障���、電磁干擾�、線路截獲等����。
1.2 網(wǎng)絡(luò)中信息的安全威脅 ①蠕蟲和病毒。計算機蠕蟲和病毒是最常見的一類安全威脅����。蠕蟲和病毒會嚴重破壞業(yè)務(wù)的連續(xù)性和有效性。隨著病毒變得更智能�、更具破壞性,其傳播速度也更快����,甚至能在片刻間使信息處理處于癱瘓狀態(tài)���,而要清除被感染計算機中的病毒所要耗費的時一間也更長。②黑客攻擊�。“黑客”一詞由英語Hacker英譯而來�,原意是指專門研究�����、發(fā)現(xiàn)計算機和網(wǎng)絡(luò)漏洞的計算機愛好者?���,F(xiàn)如今主要用來描述那些掌握高超的網(wǎng)絡(luò)計算機技術(shù)竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人。黑客攻擊主要包括系統(tǒng)入侵���、網(wǎng)絡(luò)監(jiān)聽�����、密文破解和拒絕服務(wù)(DtS)攻擊等�。
2 網(wǎng)絡(luò)安全技術(shù)
為了消除上述安全威脅����,企業(yè)����、部門或個人需要建立一系列的防御體系�。目前主要有以下幾種安全技術(shù):
2.1 密碼技術(shù) 在信息傳輸過程中,發(fā)送方先用加密密鑰�����,通過加密設(shè)備或算法���,將信息加密后發(fā)送出去�,接收方在收到密文后�,用解密密鑰將密文解密,恢復為明文�。如果傳輸中有人竊取,也只能得到無法理解的密文�,從而對信息起到保密作用。
2.2 身份認證技術(shù) 通過建立身份認證系統(tǒng)可實現(xiàn)網(wǎng)絡(luò)用戶的集中統(tǒng)一授權(quán)���,防止未經(jīng)授權(quán)的非法用戶使用網(wǎng)絡(luò)資源����。在網(wǎng)絡(luò)環(huán)境中����,信息傳至接收方后����,接收方首先要確認信息發(fā)送方的合法身份�,然后才能與之建立一條通信鏈路。身份認證技術(shù)主要包括數(shù)字簽名�、身份驗證和數(shù)字證明。
2.3 病毒防范技術(shù) 計算機病毒實際上是一種惡意程序�����,防病毒技術(shù)就是識別出這種程序并消除其影響的一種技術(shù)����。從防病毒產(chǎn)品對計算機病毒的作用來講����,防病毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)、病毒檢測技術(shù)和病毒清除技術(shù)����。
①病毒預(yù)防技術(shù)。計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類處理����,而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒����。病毒預(yù)防技術(shù)包括磁盤引導區(qū)保護����、加密可執(zhí)行程序、讀寫控制技術(shù)和系統(tǒng)監(jiān)控技術(shù)等����。②病毒檢測技術(shù)。它有兩種:一種是根據(jù)計算機病毒的關(guān)鍵字����、特征程序段內(nèi)容、病毒特征及傳染方式�、文件長度的變化,在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)���;另一種是不針對具體病毒程序的自身校驗技術(shù)���,即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結(jié)果,以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進行檢驗,若出現(xiàn)差異�����,即表示該文件或數(shù)據(jù)段完整性己遭到破壞�����,感染上了病毒���,從而檢測到病毒的存在�。③病毒清除技術(shù)����。計算機病毒的清除技術(shù)是計算機病毒檢測技術(shù)發(fā)展的必然結(jié)果�����,是計算機病毒傳染程序的一個逆過程�����。目前�,清除病毒大都是在某種病毒出現(xiàn)后,通過對其進行分析研究而研制出來的具有相應(yīng)解毒功能的軟件�。這類軟件技術(shù)發(fā)展往往是被動的�,帶有滯后性�����。而且由于計算機軟件所要求的精確性����,殺毒軟件有其局限性,對有些變種病毒的清除無能為力�。
2.4 入侵檢測技術(shù) 入侵檢測技術(shù)是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)�����,也是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)�。
入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。
①特征檢測的假設(shè)是入侵者活動可以用一種模式來表示���,系統(tǒng)的目標是檢測主體活動是否符合這些模式����。它可以將己有的入侵方法檢查出來���,但對新的入侵方法無能為力�����。其難點在于如何設(shè)計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來���。②異常檢測的假設(shè)是入侵者活動異常于正常主體的活動�。根據(jù)這一理念建立主體正?;顒拥摹盎顒雍啓n”,將當前主體的活動狀況與“活動簡檔”相比較�,當違反其統(tǒng)計規(guī)律時,認為該活動可能是“入侵”行為�。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為���。
2.5 漏洞掃描技術(shù) 漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)�、文件等進行檢查�����,發(fā)現(xiàn)其中可被黑客所利用的漏洞�����。漏洞檢測技術(shù)就是通過對網(wǎng)絡(luò)信息系統(tǒng)進行檢查����,查找系統(tǒng)安全漏洞的一種技術(shù)。它能夠預(yù)先評估和分析系統(tǒng)中存在的各種安全隱患����,換言之,漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)����、文件等進行檢查,發(fā)現(xiàn)其中可被黑客所利用的漏洞�。隨著黑客人侵手段的日益復雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷,預(yù)先評估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求���。漏洞掃描的結(jié)果實際上就是系統(tǒng)安全性能的評估報告����,它指出了哪些攻擊是可能的����,因此成為網(wǎng)絡(luò)安全解決方案中的一個重要組成部分。
漏洞掃描技術(shù)主要分為被動式和主動式兩種:
第6篇
傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全防范主要都是對網(wǎng)絡(luò)病毒�����、系統(tǒng)漏洞、入侵檢測等方面加以設(shè)置�,安全措施和相關(guān)配置通常都在網(wǎng)絡(luò)與外部進行連接的端口處加以實施,采取這樣的網(wǎng)絡(luò)安全防范雖然能夠降低外部網(wǎng)絡(luò)帶來的安全威脅�����,但卻忽視了企業(yè)內(nèi)部網(wǎng)絡(luò)潛在的安全問題���。
目前�,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題的嚴重程度已經(jīng)遠遠超過了外部網(wǎng)絡(luò)帶來的安全威脅���,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅成為了企業(yè)信息安全面臨的重大難題����。但是�,由于企業(yè)管理人員的網(wǎng)絡(luò)安全防范意識不強,對于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題不夠重視�����,甚至沒有對企業(yè)內(nèi)部網(wǎng)絡(luò)采取任何安全防范措施����,因此導致了企業(yè)內(nèi)部網(wǎng)絡(luò)安全事故不斷增加,給企業(yè)帶來了重大經(jīng)濟損失和社會負面影響����,怎樣能夠保證企業(yè)內(nèi)部網(wǎng)絡(luò)不受到任何威脅和侵害,已經(jīng)成為了企業(yè)在信息化發(fā)展建設(shè)過程中亟待解決的問題����。
2 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅
隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,企業(yè)內(nèi)部網(wǎng)絡(luò)是其信息化建設(shè)過程中必不可少的一部分���。而且�����,網(wǎng)絡(luò)應(yīng)用程序的不斷增多也使得企業(yè)網(wǎng)絡(luò)正在面臨著各種各樣的安全威脅�����。
2.1內(nèi)部網(wǎng)絡(luò)脆弱
企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊通常是利用企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的漏洞實現(xiàn)的�����,而且����,由于部分網(wǎng)絡(luò)管理人員對于企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范不夠重視,使得大部分的計算機終端都面臨著嚴重的系統(tǒng)漏洞問題�,隨著內(nèi)部網(wǎng)絡(luò)中應(yīng)用程序數(shù)量的日益增加,也給計算機終端帶來了更多的系統(tǒng)漏洞問題���。
2.2用戶權(quán)限不同
企業(yè)內(nèi)部網(wǎng)絡(luò)的每個用戶都擁有不同的使用權(quán)限�����,因此���,對用戶權(quán)限的統(tǒng)一控制和管理非常難以實現(xiàn),不同的應(yīng)用程序都會遭到用戶密碼的破譯和非法越權(quán)操作�。部分企業(yè)的信息安全部門對于內(nèi)部網(wǎng)絡(luò)的服務(wù)器管理不到位,更容易給網(wǎng)絡(luò)黑客留下可乘之機���。
2.3涉密信息分散
由于部分企業(yè)內(nèi)部網(wǎng)絡(luò)的涉密數(shù)據(jù)存儲分布在不同的計算機終端中�,沒有將這些涉密信息統(tǒng)一存儲到服務(wù)器中����,又缺乏嚴格有效的監(jiān)督控制管理辦法。甚至為了方便日常辦公�����,對于涉密數(shù)據(jù)往往不加密就在內(nèi)部網(wǎng)絡(luò)中隨意傳輸���,這就給竊取涉密信息的人員制造了大量的攻擊機會�。
3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計方案
3.1網(wǎng)絡(luò)安全防范總體設(shè)計
即使企業(yè)內(nèi)部網(wǎng)絡(luò)綜合使用了入侵檢測系統(tǒng)�����、漏洞掃描系統(tǒng)等防護手段�,也很難保證企業(yè)內(nèi)部網(wǎng)絡(luò)之間數(shù)據(jù)通信的絕對安全。因此�����,在本文設(shè)計的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范方案中�,部署了硬件加密機的應(yīng)用,能夠保證對企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)通信進行加密處理����,從而加強企業(yè)內(nèi)部網(wǎng)絡(luò)的安全保護。
3.2網(wǎng)絡(luò)安全體系模型構(gòu)建
企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系屬于水平與垂直分層實現(xiàn)的�,水平層面上包括了安全管理、安全技術(shù)����、安全策略和安全產(chǎn)品�,它們之間是通過支配和被支配的模式實現(xiàn)使用的�;垂直層面上的安全制度是負責對水平層面上的行為進行安全規(guī)范。一個企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系如果想保持一致性����,必須包括用戶授權(quán)管理、用戶身份認證����、數(shù)據(jù)信息保密和實時監(jiān)控審計這四個方面。這四個方面的管理功能是共同作用于同一個平臺之上的���,從而構(gòu)建成一個安全可靠����、實時可控的企業(yè)內(nèi)部網(wǎng)絡(luò)�。
1)用戶身份認證
用戶身份認證是保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運行的基礎(chǔ),企業(yè)內(nèi)部網(wǎng)絡(luò)中的用戶身份認證包括了服務(wù)器用戶�����、網(wǎng)絡(luò)設(shè)備用戶、網(wǎng)絡(luò)資源用戶�����、客戶端用戶等等����,而且���,由于網(wǎng)絡(luò)客戶端用戶數(shù)量龐大����,存在著更多的不安全�、不確定性,因此�����,對于網(wǎng)絡(luò)客戶端用戶的身份認證至關(guān)重要���。
2)用戶授權(quán)管理
用戶授權(quán)管理是以用戶身份認證作為基礎(chǔ)的���,主要是對用戶使用企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)資源時進行授權(quán),每個用戶都對應(yīng)著不用的權(quán)限,權(quán)限代表著能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)中的某些資源進行訪問和使用�����,包括服務(wù)器數(shù)據(jù)資源的使用權(quán)限�����、網(wǎng)絡(luò)數(shù)據(jù)資源使用權(quán)限和網(wǎng)絡(luò)存儲設(shè)備資源使用權(quán)限等等����。
3)數(shù)據(jù)信息保密
數(shù)據(jù)信息保密作為企業(yè)內(nèi)部網(wǎng)絡(luò)中信息安全的核心部分,需要對企業(yè)內(nèi)部網(wǎng)絡(luò)中進行數(shù)據(jù)通信的所有數(shù)據(jù)進行安全管理����,保證數(shù)據(jù)通信能夠在企業(yè)內(nèi)部網(wǎng)絡(luò)中處于一個安全環(huán)境下進行,從而保證對企業(yè)內(nèi)部網(wǎng)絡(luò)涉密信息和知識產(chǎn)權(quán)信息的有效保護���。
4)實時監(jiān)控審計
實時監(jiān)控審計作為企業(yè)內(nèi)部網(wǎng)絡(luò)中必不可少的部分�,主要實現(xiàn)的是對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全的實時監(jiān)控����,定期生成企業(yè)內(nèi)部網(wǎng)絡(luò)安全評估報告,一旦企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問題時���,能夠及時匯總數(shù)據(jù)�,為安全事故的分析判斷提供有效依據(jù)。
4結(jié)論
目前����,關(guān)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防范問題一直是網(wǎng)絡(luò)信息安全領(lǐng)域研究的熱點問題,越來越多的企業(yè)將辦公系統(tǒng)應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)中���,但是由于企業(yè)工作人員的安全防范意識不強�����,或者網(wǎng)絡(luò)操作不規(guī)范,都給企業(yè)內(nèi)部網(wǎng)絡(luò)帶來了更多的安全威脅�。本文提出的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計方案,能夠有效解決多種內(nèi)部網(wǎng)絡(luò)的安全問題����,具有一定的實踐應(yīng)用價值。
參考文獻
第7篇
[關(guān)鍵詞] 水務(wù)�����;網(wǎng)絡(luò)信息安全�����;管理
[中圖分類號] F272.7 [文獻標識碼] A [文章編號] 1673 - 0194(2013)20- 0054- 03
0 引 言
隨著上海水務(wù)信息化工作的快速推進和不斷深化,電子政務(wù)����、數(shù)字水務(wù)、水務(wù)公共信息平臺�、水資源管理系統(tǒng)等信息化成果有力推動了水務(wù)的現(xiàn)代化建設(shè)。網(wǎng)絡(luò)平臺作為信息化建設(shè)和信息化成果應(yīng)用的重要基礎(chǔ)平臺�, 支撐起了巨大的IT價值,是水務(wù)IT價值實現(xiàn)的根本和基礎(chǔ)�����。在互聯(lián)網(wǎng)快速發(fā)展的背景下�����,網(wǎng)絡(luò)攻擊手段日益增多�����,信息系統(tǒng)所面臨的安全風險也越來越多�,如何確保網(wǎng)絡(luò)信息安全已成為水務(wù)信息化進程中的一項重要工作。
1 現(xiàn)狀分析
上海水務(wù)網(wǎng)絡(luò)由中國水利信息網(wǎng)接入網(wǎng)���、市防汛水務(wù)專網(wǎng)�����、市政務(wù)外網(wǎng)接入網(wǎng)�、辦公局域網(wǎng)、無線專網(wǎng)等網(wǎng)絡(luò)組成����,實現(xiàn)了上連國家防總、水利部�����、全國流域機構(gòu)����,中連全市各委辦局����、下連所有局屬單位以及全市各區(qū)縣防汛指揮部,系統(tǒng)承載了防汛報訊系統(tǒng)�����、電子政務(wù)系統(tǒng)、水務(wù)公共信息平臺�、視頻會議系統(tǒng)、視頻監(jiān)控�����、水務(wù)熱線�����、水資源管理系統(tǒng)等重要水務(wù)防汛應(yīng)用�����。
為確保網(wǎng)絡(luò)運行安全和系統(tǒng)應(yīng)用正常�,水務(wù)網(wǎng)絡(luò)實施了一系列的安全防護措施,主要包括:在網(wǎng)絡(luò)邊界處部署安全訪問控制設(shè)備�,如防火墻、上網(wǎng)行為設(shè)備等����,建立了安全的通信連接,確保數(shù)據(jù)訪問合法并在有效的安全管理控制之下�,同時作為抵御外部威脅的第一道防線,有效檢測和防御惡意入侵����;在網(wǎng)絡(luò)核心部位和重要區(qū)域部署了入侵檢測設(shè)備����,分析網(wǎng)絡(luò)傳輸數(shù)據(jù)�,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象;開展計算環(huán)境安全管理�����,主要內(nèi)容包括操作系統(tǒng)策略管理�、統(tǒng)一病毒防護管理、安全補丁管理等�����。
2 面臨的安全風險
2.1 信息系統(tǒng)缺乏同步安全建設(shè)
信息化進程中����,普遍存在重建設(shè)輕管理�����,重應(yīng)用功能輕安全防護�����,導致信息系統(tǒng)在建設(shè)過程中沒有充分考慮信息安全防護措施和管理要求,通常在安全測評階段�����,根據(jù)相應(yīng)的測評指標����,臨時、被動地實施相關(guān)安全防護措施���,雖然滿足了測評的基本要求�,但是安全措施比較零散�,缺乏體系和相互關(guān)聯(lián),甚至實施的安全措施治標不治本�,安全隱患重重。
2.2 未充分發(fā)揮安全產(chǎn)品防御作用
當前�����,信息安全已深入到業(yè)務(wù)行為關(guān)聯(lián)和信息內(nèi)容語義范疇���。防火墻的訪問控制���、入侵檢測的預(yù)警判斷�����、網(wǎng)閘的數(shù)據(jù)傳輸控制以及安全審計信息的合規(guī)性判斷均來自應(yīng)用安全策略要求�,信息安全產(chǎn)品更多的是面向應(yīng)用層面的信息安全控制�����。但是由于系統(tǒng)開發(fā)缺乏明確的安全需求����,造成了信息安全產(chǎn)品針對其實施的安全策略權(quán)限開放過大或無安全策略,安全告警無法有效判斷�,使得部分產(chǎn)品形同虛設(shè),不能充分發(fā)揮其防御作用���。
2.3 軟件漏洞
軟件漏洞是信息安全問題的根源之一�,易引發(fā)信息竊取�、資源被控、系統(tǒng)崩潰等安全事件�。軟件漏洞主要涉及操作系統(tǒng)漏洞、數(shù)據(jù)庫系統(tǒng)漏洞���、中間件漏洞�����、應(yīng)用程序漏洞等����。操作系統(tǒng)���、數(shù)據(jù)庫等廠商會不定期針對漏洞相應(yīng)的補丁����,但是�,由于應(yīng)用系統(tǒng)運行對程序開發(fā)環(huán)境的依賴度較高,補丁升級存在較大安全風險和不確定性����,使得應(yīng)用部門通常不實施操作系統(tǒng)等相關(guān)補丁升級工作。此外����,應(yīng)用程序本身也普遍缺失安全技術(shù),存在諸多未知安全漏洞等問題。
2.4 網(wǎng)絡(luò)病毒
計算機病毒是數(shù)據(jù)安全的頭號大敵�,根據(jù)國家計算機病毒應(yīng)急處理中心的《2011年全國信息網(wǎng)絡(luò)安全狀況與計算機及移動終端病毒疫情調(diào)查分析報告》,2011年全國計算機病毒感染率為48.87%����,雖呈下降態(tài)勢,但是病毒帶來的危害越來越大�。
2.5 黑客攻擊
國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)的最新數(shù)據(jù)顯示,中國遭受境外網(wǎng)絡(luò)攻擊的情況日趨嚴重�。CNCERT抽樣監(jiān)測發(fā)現(xiàn),2013年1月1日至2月28日不足60天的時間里����,境外6 747臺木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了中國境內(nèi)190萬余臺主機。在信息系統(tǒng)漏洞頻出的情況下���,面向有組織的黑客攻擊行為�����,現(xiàn)有的技術(shù)防護和安全管理措施捉襟見肘�。
2.6 信息安全意識薄弱
人是信息安全工作的核心因素�����,其安全管理水平將直接影響信息安全保障工作。由于缺少宣傳�、培訓和教育,用戶信息安全意識較為淡薄�����。由于安全意識淡薄和缺乏識別潛在的安全風險�,用戶在實際工作中容易產(chǎn)生違規(guī)操作����,引發(fā)信息安全問題或失泄密事件。
3 采取的管理措施
存在這些安全風險的主要原因為缺乏信息安全規(guī)劃���、缺乏持續(xù)改進的安全維護保障措施以及安全意識薄弱等����,所以做好該部分工作是解決當前所面臨安全風險的主要措施�。
3.1 信息安全規(guī)劃
信息安全規(guī)劃是一個涉及技術(shù)、管理�、法規(guī)等多方面的綜合工程,是確保物理安全�����、網(wǎng)絡(luò)安全、主機安全����、應(yīng)用安全和數(shù)據(jù)安全的系統(tǒng)性規(guī)劃。信息安全規(guī)劃既依托于信息化規(guī)劃�����,又是信息化的重要組成部分����。在信息安全規(guī)劃的指導下,信息系統(tǒng)安全建設(shè)與管理才能有計劃����、有方向、有目標����。信息安全規(guī)劃框架如圖1。
3.1.1 以信息化規(guī)劃為指引����,以信息化建設(shè)現(xiàn)狀為基礎(chǔ)
信息安全規(guī)劃是以信息化規(guī)劃為指引,以信息化建設(shè)現(xiàn)狀為基礎(chǔ)���,系統(tǒng)性的規(guī)劃信息安全架構(gòu)���,是信息化發(fā)展中的重要環(huán)節(jié)�。信息安全規(guī)劃一方面要對信息化發(fā)展現(xiàn)狀進行深入和全面的調(diào)研�����,摸清家底���、掌握情況,分析當前存在的安全問題和信息化發(fā)展所帶來的安全需求���,另一方面要緊緊圍繞信息化規(guī)劃�,按照信息化發(fā)展戰(zhàn)略和思路���,同步考慮信息安全問題�。
3.1.2 建立信息安全體系
信息安全規(guī)劃需要圍繞技術(shù)安全����、管理安全、組織安全進行全面的考慮����,建立相應(yīng)的信息安全體系����,確定信息安全的任務(wù)����、目標、戰(zhàn)略以及人員保障�。
3.2 日常安全運維保障
3.2.1 關(guān)注互聯(lián)網(wǎng)安全動態(tài)
互聯(lián)網(wǎng)的快速發(fā)展使得水務(wù)網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)安全密切相關(guān)。因此�����,關(guān)注互聯(lián)網(wǎng)安全動態(tài)�����,及時更新或調(diào)整水務(wù)網(wǎng)絡(luò)安全策略和防護措施���,是日常安全管理工作中的一項重要工作�。
3.2.2 安全態(tài)勢分析
網(wǎng)絡(luò)信息安全是一個動態(tài)發(fā)展的過程����,固化的安全防護措施無法持續(xù)確保網(wǎng)絡(luò)環(huán)境安全���。定期對網(wǎng)絡(luò)安全環(huán)境進行態(tài)勢分析不僅可以掌握當前存在的問題,面臨的風險����,而且可以及時總結(jié)原因,制定改進策略���。安全態(tài)勢分析主要通過對網(wǎng)絡(luò)設(shè)備���、安全設(shè)備、主機設(shè)備及安全管理工具等策略變更信息�����、日志信息�����、安全告警信息等�,經(jīng)過統(tǒng)計和關(guān)聯(lián)分析�����,綜合評估網(wǎng)絡(luò)系統(tǒng)安全狀態(tài),并判斷發(fā)展變化趨勢�����。
3.2.3 信息安全風險評估
風險評估是信息安全管理工作的關(guān)鍵環(huán)節(jié)�。通過開展風險評估工作,可以發(fā)現(xiàn)信息安全存在的主要問題和矛盾�����,找到解決諸多問題的辦法���。安全風險評估的主要步驟和方法:①確定被評估的關(guān)鍵信息資產(chǎn)�;②通過文檔審閱�����、脆弱性掃描����、本地審計、人員訪談���、現(xiàn)場觀測等方式���,獲得評估范圍內(nèi)主機�����、網(wǎng)絡(luò)�、應(yīng)用等方面與信息安全相關(guān)的技術(shù)與管理信息�����;③對所獲得的信息進行綜合分析�����,鑒別被評估信息資產(chǎn)存在的安全問題與風險�����;④從系統(tǒng)脆弱性鑒別�、漏洞和威脅分析�����、現(xiàn)有技術(shù)和管理措施�、管理制度等方面���,根據(jù)不同風險的優(yōu)先級,分析�、確定管理相應(yīng)風險的控制措施;⑤基于以上分析的結(jié)果�����,形成相應(yīng)的信息安全風險評估報告����。
3.2.4 應(yīng)急響應(yīng)
應(yīng)急響應(yīng)是信息安全防護的最后一道防線,其主要目的是盡可能地減小和控制信息安全事件的損失����,提供有效的響應(yīng)和恢復。應(yīng)急響應(yīng)包括事先應(yīng)急準備和事件發(fā)生后的響應(yīng)措施兩部分�����。事先應(yīng)急準備主要包括明確組織指揮體系�����,預(yù)警及預(yù)防機制,應(yīng)急響應(yīng)流程�,應(yīng)急隊伍、應(yīng)急設(shè)備�、技術(shù)資料、經(jīng)費等應(yīng)急保障����,定期開展應(yīng)急演練等工作。事件發(fā)生后的應(yīng)急措施包括收集系統(tǒng)特征����,檢測病毒、后門等惡意代碼�����,限制或關(guān)閉網(wǎng)絡(luò)服務(wù)�,系統(tǒng)恢復等工作。這兩方面互相補充�����,事前應(yīng)急準備為事件發(fā)生后的響應(yīng)提供指導���,事后的響應(yīng)處置進一步促進事前準備工作的不斷完善。
3.3 教育培訓
人是信息安全工作的核心因素,其知識結(jié)構(gòu)和應(yīng)用水平將直接影響信息安全保障工作���。加強相關(guān)信息安全管理人員的專業(yè)培訓�����,以及開展面向網(wǎng)絡(luò)用戶的信息安全宣傳教育�、行為引導等����,是提升信息安全專業(yè)化管理水平,提高信息安全意識�,有效避免信息安全問題或失泄密事件發(fā)生的重要工作。
4 總 結(jié)
隨著信息化進程的加快����,信息系統(tǒng)所面臨的安全風險越來越多,信息安全管理工作要求也逐步提高���。持續(xù)分析���、總結(jié)網(wǎng)絡(luò)信息安全管理中存在的問題,并采取針對性的措施不斷加以改進�,成為保證水務(wù)信息化戰(zhàn)略實現(xiàn)���、不斷提升水務(wù)部門管理能力和服務(wù)水平的重要基礎(chǔ)保障工作。
主要參考文獻
[1]GB/T 22239-2008����,信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求[S].
[2]GB/T 25058-2010,信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南[S].
第8篇
2012年的報告主要內(nèi)容包括引言���、戰(zhàn)略指導���、對工業(yè)基礎(chǔ)的“逐行業(yè)、逐層級”(S2T2)評估����、對工業(yè)部類的評估、國防并購����、維持工業(yè)能力的計劃與措施等6部分。本文呈現(xiàn)的是該報告對美國國防工業(yè)各領(lǐng)域的評估���。負責制造和工業(yè)基礎(chǔ)政策的國防部副部長助理主導評估與分析���,對以下領(lǐng)域開展了工業(yè)基礎(chǔ)檢查����。評估包括該工業(yè)領(lǐng)域的運行狀況�����、支持該領(lǐng)域的財務(wù)狀況�����、對國防工業(yè)基礎(chǔ)很重要的風險領(lǐng)域或關(guān)鍵問題����。
飛機工業(yè)領(lǐng)域
2011財年�,軍用飛機銷售和利潤率穩(wěn)健增長,產(chǎn)品和服務(wù)銷售較上年增長4.2%����,企業(yè)財務(wù)健康。但由于F-35開發(fā)項目終止����,以及未來年度并無新戰(zhàn)斗機需求,國防部將降低戰(zhàn)術(shù)飛機研發(fā)預(yù)算�����;同時,飛機工業(yè)勞動力老化����,年輕工程師對該領(lǐng)域興趣減小,關(guān)鍵設(shè)計能力面臨缺乏與不足�����。而與之相對應(yīng)的是�,對無人機的需求在不斷增長,工業(yè)基礎(chǔ)廣闊�、健康、并持續(xù)增長�。
主要問題有:①大型鑄件和鍛件供應(yīng)商少,需要的準備期長�����,對能源和原材料價格���、需求周期高度敏感���;②高精度軸承供應(yīng)商有限�����,許多平臺對單一產(chǎn)品和單一供應(yīng)商依賴度高���。
信息技術(shù)�、雷達與電子戰(zhàn)、指揮����、控制、通信與計算機領(lǐng)域(IT/C4)
信息技術(shù)工業(yè)仍然保持健康���,各類可供選擇的供應(yīng)商眾多���。由于防務(wù)公司和商業(yè)公司的技術(shù)技能并無實質(zhì)性差異,國防部對商業(yè)公司(尤其低層的供應(yīng)商)的依賴逐年增加���。建模與仿真是“逐行業(yè)���、逐層級”評估關(guān)注的焦點,目前該領(lǐng)域運行健康�����,有能力滿足當前與未來需求。指揮�、控制、通信與計算機工業(yè)存在大量具有設(shè)計與生產(chǎn)資格的供應(yīng)商���,有健康的全球商用電子工業(yè)作為支持���。
主要問題包括:①雷達與電子戰(zhàn)工業(yè)整體狀況可維持,但基礎(chǔ)較為薄弱�,一些關(guān)鍵技術(shù)難以民用;②C4工業(yè)基礎(chǔ)的全球化和商業(yè)化特性導致供應(yīng)鏈管理和防止假冒偽劣等方面易發(fā)生問題���;③國防部通信主要依賴商業(yè)網(wǎng)絡(luò)���,國內(nèi)只有一家第一層級電信設(shè)備供應(yīng)商和少數(shù)第二層級供應(yīng)商。
服務(wù)保障工業(yè)領(lǐng)域
服務(wù)保障工業(yè)組織簡單���,只有主承包商和分包商兩個層級�,每個層級都有相當多的勞動力群體�。主承包商通過一個或多個分包商獲得專業(yè)化技能。由于幾乎所有需求都有多樣的、高度競爭的�����、有經(jīng)驗的供應(yīng)源�,因此服務(wù)保障工業(yè)保持相對健康。
主要問題為:復雜武器系統(tǒng)設(shè)計人員不足����。
網(wǎng)絡(luò)電磁工業(yè)領(lǐng)域
網(wǎng)絡(luò)電磁工業(yè)是信息和通信技術(shù)(ICT)工業(yè)的一部分,但由于其在國家安全中的特殊地位����,新版《年度工業(yè)能力評估報告》將其從傳統(tǒng)的IT/C4工業(yè)中單列出來�。通過評估發(fā)現(xiàn),在網(wǎng)絡(luò)電磁領(lǐng)域�����,美國存在著各種層面的競爭對手����,不過基于ICT工業(yè)的全球性特征,美國商用ICT工業(yè)無需在規(guī)?��;蚰晔杖肷蠅旱垢偁帉κ?��,而是要著眼于保持領(lǐng)先地位�����。
主要問題包括:①網(wǎng)絡(luò)電磁安全人才相對不足����,對工業(yè)基礎(chǔ)的支撐不夠堅實�;②國防工業(yè)基礎(chǔ)網(wǎng)絡(luò)安全方面,要滿足“國防聯(lián)邦采辦條例”補充規(guī)定(DFARS)的要求����,將額外增加工業(yè)基礎(chǔ)投入。
戰(zhàn)車工業(yè)領(lǐng)域
戰(zhàn)車工業(yè)對美國在伊拉克和阿富汗戰(zhàn)爭中的行動提供了有力支撐�����,具有較好的應(yīng)急能力�。2012年新版戰(zhàn)略指南預(yù)計國防開支減少和軍事力量更趨精簡靈巧,取代了既要保持戰(zhàn)車數(shù)量又要開發(fā)新型陸地戰(zhàn)車的傳統(tǒng)思路����。
主要問題有:①隨著陸地戰(zhàn)車采購量下降,僅生產(chǎn)軍用車輛的供應(yīng)商的承受能力要差于生產(chǎn)軍民兩用車輛的供應(yīng)商;②中小供應(yīng)商抵御風險的能力不足�,應(yīng)保障其具有專業(yè)人才、技能和設(shè)計研發(fā)新一代產(chǎn)品的能力�����。
材料工業(yè)領(lǐng)域
用于制造中間產(chǎn)品和最終產(chǎn)品的原材料及供應(yīng)鏈對于國家制造基礎(chǔ)����、整體經(jīng)濟和國家安全是不可或缺的。原材料供應(yīng)鏈通常依賴于國際貿(mào)易���,國防工業(yè)基礎(chǔ)對原材料的需求占美國整體需求的比例有限���,大部分還是集中在商業(yè)領(lǐng)域�����。因而�,保持國防工業(yè)基礎(chǔ)健康發(fā)展必須有充滿活力的商業(yè)制造基礎(chǔ)。美國國防部采取了一系列措施�,評估原材料供應(yīng)鏈為作戰(zhàn)人員提供可靠和經(jīng)濟的產(chǎn)品的能力。
主要問題為:國際市場存在出口管制等行為���,導致稀土等原材料供應(yīng)受到影響����。
彈藥和導彈工業(yè)領(lǐng)域
彈藥和導彈工業(yè)是國防工業(yè)的基礎(chǔ)行業(yè)。該領(lǐng)域存在較為明顯的周期性�����,在沖突時產(chǎn)量驟增�,在沖突結(jié)束后銳減。這種周期性���,要求主承包商對分承包商具有良好的產(chǎn)量管理能力�。
問題主要有:(1)洛?馬公司和雷聲公司占據(jù)85%的市場份額�,兩大公司的分承包商之間競爭不足;(2)預(yù)算增加����,但是研發(fā)和采辦投入可能下降,從而導致維持設(shè)計和工程團隊存在困難���;(3)主承包商維持關(guān)鍵的分承包商工業(yè)基礎(chǔ)面臨挑戰(zhàn)����。
艦船工業(yè)領(lǐng)域
艦船工業(yè)總體保持穩(wěn)定,主要船廠和承包商財務(wù)狀況良好����。艦船工業(yè)部門出現(xiàn)數(shù)起并購重組,如諾?格集團分拆艦船業(yè)務(wù)����,通用動力決定收購康弗蒂姆公司;主減速齒輪�����、軍用閥門等低層級行業(yè)也存在并購事件���。
主要問題有:①無大型中速柴油機制造商����,只能以許可證的方式生產(chǎn)����;②大型鑄件供應(yīng)商短缺�����;③大型鍛壓(尤其是1.4萬~5萬噸)行業(yè)存在不足,僅有一家超大型鍛壓制造商可制造推進軸及核反應(yīng)堆安全殼等關(guān)鍵組件�。
航天工業(yè)領(lǐng)域
