企业网络安全评估篇1
【关键词】电力信息网络安全风险评估
改革开放以来,我国社会经济得到了长足的发展,人民物质文化生活水平不断提高,用电量亦直线增涨,电力行业获得了前所未有的发展机遇。随着电力行业的不断发展壮大和信息网络技术日新月异的发展,电力行业和电力企业也面临着一系列的挑战,电力信息网络风险管理和防御显得日益重要,信息网络风险量化评估成为重中之重。由于我国电力信息化技术起步较晚,发展也比较滞后,电力信息网络风险管理与风险防御是一个新的课题,电力信息网络风险量化评估在最近几年才被重视,所以存在不少的问题急待完善。
1电力信息网络风险量化评估的必要性
随着信息技术的不断发展,电力信息网络存在的风险越来越大,电力企业不得不提高信息网络风险防控意识,重视电力信息网络的风险评估工作。进行电力系统信息网络风险量化评估意义体现在许多方面,可以提高电力企业管理层和全体员工的信息网络安全意识,促进电力企业不断完善电力信息网络技术的研发与提升,防范广大电力用户个人信息泄露,为电力企业今后的良好发展保驾护航。近年来,电力企业迎来了黄金发展时期,电力网络覆盖面不断扩大,电力企业管理理念也不断提升,电力系统也随之步入了数字化时代,信息网络安全防范成为当务之急。目前电力系统信息网络安全防范一般为安装防病毒软件、部署防火墙、进行入侵检测等基础性的安全防御,缺乏完整有效的信息安全保障体系。风险量化评估技术能够准确预测出电力信息网络可能面临的各种威胁,及时发现系统安全问题,进行风险分析和评估,尽最大可能地协助防御电力系统安全威胁。
2电力系统信息网络安全风险评估中存在的问题
我国电力信息网络安全风险评估是近几年才开始的,发展相对滞后,目前针对电力信息网络安全风险评估的相关研究特别少。2008年电力行业信息标准化技术委员会才讨论通过了《电力行业信息化标准体系》,因此电力信息网络安全风险评估中存在不少的问题和难题有待解决。
2.1电力信息网络系统的得杂性
电力行业,电力企业,各电网单位因为工作性质不同,对电力信息网络安全风险的认识各不相同,加上相关标准体系的不健全,信息识别缺乏参考,电力信息网络安全风险识别存在较大的困难。此外电力信息网络安全风险评估对象难以确定,也给评估工作带来了很大的困难。
2.2电力信息网络安全风险量化评估方法缺乏科学性
我国部分电力企业的信息网络安全风险评估方法比较落后简单,其主要方式是组织专家、管理人员、用户代表根据一些相关的信息数据开会研讨,再在研讨的基础上进行人为打分,形成书面的文字说明和统计表格来评定电力信息网络系统可能面临的各种风险,这种评估方法十分模糊,缺乏科学的分析,给风险防范决策带来了极大风险,实在不可取。
2.3传统的电力信息网络安全风险评估方法过于主观
目前用于电力信息网络安全风险分析计算的传统方法很多,如层次分析、模糊理论等方法。可是因为电力网络安全信息的复杂性、不确定性和人为干扰等原因,传统分析评估方法比较主观,影响评估结果。在评估的实际工作中存在很多干扰因素,如何排除干扰因素亦是一大难点。电力信息网络安全风险量化评估要面对海量的信息数据,如何采用科学方法进行数据筛选,简约数据简化评估流程是当前的又一重大课题。
3电力信息网络所面临的风险分析
电力信息网络系统面临的风险五花八门,影响电力信息网络系统的因素错综复杂,需要根据实际情况建立一个立体的安全防御体系。要搞好电力信息网络系统安全防护工作首先要分析电力信息网络系统面临的风险类别,然后才能各个突破,有效防范。电力信息网络系统面临的安全风险主要有两面大类别:安全技术风险和安全管理风险。
3.1电力信息网络安全技术风险
3.1.1物理性安全风险
是指信息网络外界环境因素和物理因素,导致设备及线路故障使电力信息网络处于瘫痪状态,电力信息系统不能正常动作。如地震海啸、水患火灾,雷劈电击等自然灾害;人为的破坏和人为信息泄露;电磁及静电干扰等,都能够使电力信息网络系统不能正常工作。
3.1.2网络安全风险
是指电力信息系统内网与外网之间的防火墙不能有效隔离,网络安全设置的结构出现问题,关键设备处理业务的硬件空间不够用,通信线缆和信息处理硬件等级太低,电力信息网络速度跟不上等等。
3.1.3主机系统本身存在的安全风险
是指系统本身安全防御不够完善,存在系统漏洞,电力企业内部人员和外部人员都可以利用一定的信息技术盗取用户所有的权限,窃走或破坏电力信息网络相关数据。电力信息网络安全风险有两种:一是因操作不当,安装了一些不良插件,使电力信息网络系统门户大开,被他人轻而易举地进行网络入侵和攻击;二是因为主机硬件出故障使数据丢失无法恢复,以及数据库本身存在不可修复的漏洞导致数据的丢失。
3.2电力信息网络安全管理中存在的风险
电力信息网络是一个庞大复杂的网络,必须要重视安全管理。电力信息网络安全管理风险来源于电力企业的内部,可见其风险威胁性之大。电力信息网络安全管理中存在风险的原因主要是企业内部管理混乱,权责划分不清晰,操作人员业务技能不过关,工作人员责任心缺乏,最主要还是管理层对电力信息网络安全管理中存在的风险意识薄弱,风险管理不到位所致。
4电力信息网络风险评估的量化分析
4.1电力信息网络风险评估标准
目前我国一般运用的电力信息网络风险评估标准是:GB/t20984-2007《信息安全技术:信息安全风险评估规范》,该标准定义了信息安全风险评估的相关专业术语,规范了信息安全风险评估流程,对信息网络系统各个使用寿命周期的风险评估实施细节做出了详细的说明和规定。
4.2电力信息网络安全风险计算模型
学界认为电力信息网络的安全风险与风险事件发生概率与风险事件发生后造成的可能损失存在较高的相关性。所以电力信息系统总体风险值的计算公式如下:
R(x)=f(p,c)
其中R(x)为系统风险总值,p代表概率,c为风险事件产生的后果。
由此可知,利用科学的计算模式来量化风险事件发生的概率,和风险事件发生后可能产生的后果,即可演算出电力信息网络安全的风险总值。
4.3电力信息网络安全风险量化评估的方法
4.3.1模糊综合评判法
模糊综合评判法采用模糊数学进行电力信息网络安全风险量化评估的一种方法,利用模糊数学的隶属度理论,把对风险的定性评估转化成定量评估,一般运用于复杂庞大的力信息网络安全防御系统的综全性评估。利用模糊综合评判法时,要确定好因数集、评判集、权重系数,解出综合评估矩阵值。模糊综合评判法是一种线性分析数学方法,多用于化解风险量化评估中的不确定因素。
4.3.2层次分析法
电力信息网络风险量化评估层次分析法起源于美国,是将定性与定量相结合的一种风险量化评估分析方法。层次分析法是把信息网络风险分成不同的层次等级,从最底层开始进行分析、比较和计算各评估要素所占的权重,层层向上计算求解,直到计算出最终矩阵值,从而判断出信息网络风险终值。
4.3.3变精度粗糙集法
电力信息网络风险量化评估变精度粗糙集法是一种处理模糊和不精确性问题的数学方法,其核心理念是利用问题的描述集合,用可辨关系与不可辨关系确定该问题的近似域,在数据中寻找出问题的内在规律,从而获得风险量化评估所需要的相关数据。在实际工作中,电力信息网络风险量化评估分析会受到诸多因素的影响和干扰,变精度粗糙集法可以把这些干扰因素模糊化,具有强大的定性分析功能。
电力信息网络风险量化评估是运用数学工具把评估对象进行量化处理的一种过程。在现实工作中,无论采用哪种信息网络风险评估的量化分析方法,其目的都是为了更好地进行风险防控,为电力企业的发展保驾护航。
5总结
电力信息网络安全对保证人民财产安全和电力企业的日常营运都具有非常重要的意义,电力企业领导层必须要加以重视,加大科研投入,定向培养相关的专业人才,强化电力信息网络安全风险评估工作,为电力企业的良好发展打下坚实的基础。
参考文献
[1]庞霞,谢清宇.浅议电力信息安全运行维护与管理[J].科技与企业,2012(07):28.
企业网络安全评估篇2
【关键词】网络企业价值评估方法模糊评判法
一、网络企业的涵义
广义上的网络企业是指以互联网为基础,利用网络平台提供服务并因此而获得收入的企业。按其在网络产业中的协作关系,可分为基础层网络企业、服务层网络企业、终端层网络企业三大类。狭义的网络企业即是指终端层网络企业。在本文中,作为研究对象的网络企业也特指这一类。
二、现行网络企业价值评估常用方法及评价
由于网络企业在价值构成方面与传统产业存在着很大的差别,所以要对传统的价值评估模型进行修正,提出新模型来对网络企业价值进行评估。其中,具有代表性的模型主要有:折现现金流模型、修正市盈率模型、经济附加值模型。
(一)折现现金流模型
折现现金流量模型(DCFm)是理财学中的基本理论之一,也是财务管理工作的重要工具之一。
现金流量贴现方法用数学模型表示为:
V=C1/(1+R)+C2/(1+R)2+C3/(1+R)3+…+Cn/(1+R)n
式中:Cn――第n年企业的现金流量
R――贴现率
(二)修正的市盈率模型
由于传统的市盈率模型在网络企业价值评估中已失效,在传统的市盈率模型评估法的基础上,享利伯罗杰提出修正的市盈率模型。大致估价过程如下:第一:分析目标市场;第二:考虑利润率;第三:计算净利润;第四:确定市盈率。
(三)经济附加值模型
经济附加值(eVa)的计算公式是:
eVa=RoC-CoC
RoC通常用税后净营业利润来衡量,CoC则等于企业的加权平均资本成本率(waCC)与全部投入资本(Ce),(包括债务资本和权益资本)的乘积。
因此,公式可以改写为:
eVa=nopat-waCC*Ce
(四)现行常用评估方法的评价
上述评估模型所使用的参数主要是利润、未来现金流量等企业价值指标,但是在对网络企业进行价值评估时,其评估的基础还是要立足于网络企业未来的盈利能力,而非收入、费用等中介指标。因此,以下将模糊数学中的模糊评判法应用于网络企业价值评估中,以得出一个调整系数,从而能得出一个较为准确的评估值。
三、模糊评判法在网络企业价值评估中应用的探讨
模糊评判方法是善于处理不精确的、模糊的信息,模拟人的综合判断推理能力,在定性分析与定量分析之间建立联系,把定性的分析转化为定量的分析结果,对网络企业价值评估仍然具有较高的研究价值和实践意义。
(一)模糊评判方法原理及模型
根据模糊数学的有关理论,模糊关系的合成为具有模糊性的多指标综合评价提供了可靠的途径。下面将模糊评判法的基本原理和模型做一下简单介绍。
第一步:将因素集U={U1,U2,K,Un},按某些属性分成S个子集,即:
Ui={ui1,ui2,k,ui},i=1,2,k,s
它们满足如下条件:
n1+n2+k+ns=n;
U1∪U2∪K∪Us=U;
Ui∩Uj=Φ,i≠j。
第二步:对每一个子因素集Ui分别作出综合评判。设V={V1,V2,K,Vm}为评语集,Ui中的各因素相对V的权重分配为:ai=(ai1,ai2,k,ain),其中:ai1+ai2+k+ain=1。若Ri为单因素评价矩阵,则得到一级的评价向量:Bi=ai*Ri=(bi1,bi2,k,bin),i=1,2,k,s
第三步:将每一个Ui视为一个因素,记为:
u={U1,U2,K,Us},
于是u又是一个因素集,而又可以得到u的单因素评价矩阵。每个Ui作为U的一部分,反映了U的某些特性,可以按照它们的重要性给出权重分配:a=(a1,a1,k,as),
于是得到二级评判向量:
B=a*R=(b1,b2,k,bm)
(二)评估指标的建立
用模糊评判法来评估网络企业的价值,首先应针对网络企业的特点,建立起条理清晰、层次分明的指标体系来全面的衡量网络企业的价值。指标体系如下:
因素集:
U={U1,U2}={外部因素,内部因素};
U1={U11,U12,U13,U14}={基础设施状况,经济周期状况,支付体系完善程度,配送体系的完善程度};
U2={U21,U22,U23}={客户资源,技术状况,经营管理};
U11={U111,U112,U113}={互联网的普及率,上网费用,上网带宽};
U12={U121,U122}={商业时机,股市状况};
U13={U131,U132,U133}={网上银行普及率,网上银行便捷程度,网上银行安全程度};
U14={U141,U142,U143}={国内快递企业的数量,国内快递企业的规模,快递货物所需要时间};
U21={U211,U212,U213,U214,U215}={注册用户量,访问用户数量,客户满意度,客户滞留时间,品牌知名度};
U22={U221,U222,U223,U224}={服务器配置,网络带宽,网络技术平台,网络整体稳定性和安全性};
U23={U231,U232,U233,U234}={管理团队水平,企业业绩,经营模式};
评语集:
V={V1,V2,V3,V4,V5}={优,较优,一般,较差,差};
相应分值={90,80,70,60,50};
(三)模糊评判矩阵的建立
在本文中评判矩阵的建立采用德尔菲法(Dephi)。具体操作方式如下:
第一,确定每个价值影响因素的等级,如:按好、较好、一般、较差、差设为5个等级。
第二,选定n位评审成员对各因素进行评级,在评级过程中,应给予评审成员相关的数据资料,以及行业相关数据。
第三,评审人员对照相关数据资料和自己的知识经验对各因素进行评判。若有m个人对某个因素指标(如Uij)在等级Vk上划“√”记作mijk,则可认为整个评审组对该因素在Uij项指标方面的评价划“√”的概率为rij=mijk/n。
第四,依次对所选定的风险因素进行评价,得出概率值,构成模糊评判模型中的评判矩阵。
综上,运用模糊评价方法对网络企业各种相关因素指标进行评估得出调整系数。ß
最后得到网络企业价值公式:
V=(V1+V2)*ß
其中,V1――应用贴现现金流模型估算出的网络企业现有业务的价值
V2――应用期权定价模型估算出的网络企业未来业务的价值
(四)模糊评判方法的优势
目前,评估师乐于采用市场比较法。但这种评估方法的估算过程是含糊的,既无法用精确的数学语言定量描述待评估网络企业与参照网络企业的相似程度,又不能准确确定调整系数和权重,因此误差较大。基于这一不足,模糊评判法运用模糊数学原理把定性的分析转化为定量的分析结果,既解决了市场法上述的问题,评估方法的估算过程也有一整套完整的原理可依,因此能得到误差相对较小的评估结果。
参考文献
[1]唐建新,王衰艰.网络股价值评估方法新探[J].财会月刊,2003,(7):9-11.
[2]杨子江.网络价值评估[m].北京:中国人民大学出版社,2002.
[3]汪海粟.企业价值评估[m].上海:复旦大学出版社,2005.
企业网络安全评估篇3
关键词:信息安全网络风险防御模式
中图分类号:tp309文献标识码:a文章编号:1672-3791(2013)02(a)-0033-01
作为企业的第一战略资源,信息有着举足轻重的作用。如果企业想要顺利完成其工作,就要保证信息资源的安全。与资产天生相对的矛盾产物的另一个就是风险,风险随着资产的价值正比例变化。而与传统资产不同的信息资源,也面临着新的不可知的风险。为了缓和平衡这一对新矛盾出现了信息安全网络风险防御,它大大降低了风险,使信息以及相关资源能够在可接受的风险范围内得到安全保证。若风险防御不到位,所存在的安全风险不仅仅影响系统的正常运行,而且可能危害到企业的安全。因此,在选择风险防御策略时,要选择能够在风险防御具体实施过程下,找到合适的风险防御实施点来实施的新技术的风险防御,这样可以帮助风险管理过程有效完成,保护企业完成任务。
1信息安全网络风险管理包括:信息安全网络需求分析、风险评估和风险防御
信息安全网络需求分析包括远程接入域、企业互联域、服务域、内网支撑域。不同的区域有不同的安全需求,在远程接入域主要考虑信息安全3a的安全需求;在互联域重要考虑BLp、biba模型的分析、建立、部署;在服务域重点考虑信息安全的Cia安全需求;在内网支撑域重点考虑人的安全、流程的安全、物理安全等安全需求。在信息安全网络风险防御过程中,信息安全的需求的确立过程是一次信息安全网络风险防御主循环的起始,为风险评估提供输入。
风险评估,就是风险和风险影响的识别和评估,还有建议如何降低风险。风险管理过程的第三步才是风险防御,风险评估时,关于对安全控制实施优先级的排序、评价、实现的建议,都属于风险防御,这些控制将会降低风险。
2新技术下的网络风险模式研究
2.1风险防御模式
包括选择风险防御措施、选择风险防御策略、实施风险防御三个过程。实施风险防御的过程包括对过程进行优先级排序、评价建议的安全控制类别、选择风险防御控制、分配责任、制定安全措施实现计划、实现被选择的安全控制,最后还要进行残余风险分析。
2.2风险防御措施
(1)风险规避:通过消除风险的原因或后果(如当识别出风险时放弃系统某项功能或关闭系统)来规避风险。(2)风险降低:通过实现安全控制来限制风险,这些安全控制可将由于系统弱点被威胁破坏而带来的不利影响最小化(如使用支持、预防、检测类的安全控制)。(3)风险计划:制定一套风险减缓计划来管理风险,在该计划中对安全控制进行优先排序、实现和维护。(4)风险转移:通过使用其他措施补偿损失,从而转移风险,如购买保险。
企业的目标和使命是企业选择风险防御措施的首要考虑因素。想要解决所有风险是不可能的,因此可以将严重危害影响目标的各种威胁或者弱点进行排序。选择不同厂商的安全产品中最合适的技术,再配合有效地风险防御措施和非技术类的管理措施是最好的方法。
2.3风险防御策略
通过对实践经验的总结,对由于故意的人为威胁所带来的风险做出防御,采取行动来提供指导,从而保护我们的企业信息安全。
(1)当存在系统漏洞时,实现保证技术来降低弱点被攻击的可能性。(2)当系统漏洞被恶意攻击时,运用层次化保护、结构化设计以及管理控制将风险最小化或防止这种情形的发生。(3)当攻击者的成本比攻击得到更多收益时,运用保护措施,通过提高攻击者成本来降低攻击者的攻击动机(如使用系统控制,限制系统用户可以访问或做些什么,这些措施能够大大降低攻击所得)。(4)当损失巨大时,运用设计原则、结构化设计以及技术或非技术类保护措施来限制攻击的程度,从而降低可能的损失。
2.4风险防御模式的实施
在实施风险防御措施时,要遵循以下规则:找出最大的风险,将其风险减缓到最小风险,同时要使对其他目标的影响减到最小化。下面是以某企业信息网络应用系统为例在新技术下的信息安全风险防御模式的研究过程。
2.4.1风险评估
对信息网络进行属性分析,风险评估后,得到如下结果:数据库系统安全状况为中风险等级。在检查的30个项目中,共有8个项目存在安全漏洞。其中:3个项目为高风险、1个项目为中风险、4个项目为低风险等级。
2.4.2风险防御具体措施
根据风险评估报告和承受能力来决定风险防御具体措施。确定风险防御实施点,该网站的设计存在漏洞并且该漏洞可能被利用。实施步骤如以下几点。
(1)确立风险级别,对评估结果中的8个项目漏洞进行优先级排序。
(2)评价建议的安全控制。在该网站主站数据库被建立后,针对评估报告中的安全控制建议进行分析,得出要采取的防御策略。
(3)对相应的若干种防御策略进行成本收益分析,得出每种防御策略的成本和收益。
(4)选择安全控制。对漏洞分别选择相应的防御策略。
(5)责任分配,输出负责人清单。
(6)制定完整的漏洞修复计划。
(7)实施选择好的防御策略,对SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站页面权限漏洞(w—写权限)、网站存在ddos攻击这几个漏洞进行一一修复。
3结语
风险管理过程持续改进。通过对信息安全的风险的计划、识别、定量分析、应对角度进行全方面的安全风险评估;在风险评估过程中,注重安全需求分析,通过渗透测试、文档评审、漏洞扫描等手工和自动化过程充分识别风险;通过蒙特卡罗、决策树模型准确定义风险,使风险评估尽可能的准确;在专家评审会议上,通过头脑风暴、DeLpHi等评审方法,针对不同的优先级别的风险采用不同的应对措施,并本着pDR模型的方式在企业内部建立纵身的安全风险控制系统,为企业保驾护航。
参考文献
[1]孙强,陈伟.信息安全管理:全球最佳实践与实施指南[m].北京:清华大学出版社,2007.
企业网络安全评估篇4
从国内外各大企业的发展历程可以看出,并购已成为企业走向国际化、实现快速扩张、实现企业规模经营的重要途径。网络通信企业凭借着高成长性和未来不可预期的高收益性,如今已成为全球并购市场的热点。网络通信指人与人通过网络进行沟通,信息的交流,以及通过网络完成一些业务,其涉及到的方面很多,包括电子通信,btob业务等在中国发展也较为迅猛,所以如今我国网络通信企业并购也开展的如火如荼。
1.并购案例
2010年8月,英特尔宣布以每股48美元现金收购安全软件公司mcafee,此笔交易总值将达约78.6亿美元。在收购mcafee后,英特尔可利用其安全技术为家庭用户、服务供应商、政府机构提供全面的解决方案,帮助他们有效地拦截黑客攻击并防止业务中断,此次收购可让英特尔进一步整合安全软件与硬件两项服务,从而加强针对个人、企业和政府机构解决方案的安全性。
2010年7月,诺基亚西门子通信公司以12亿美元现金收购摩托罗拉无线网络基础设施部门绝大部分资产。此次收购诺基亚西门子通信如愿获得了北美的宝贵市场份额,顺便收获日本市场份额,同时业务触角得到了延伸、一些领域得到补充和增强。
在国内2000年盈动集团收购香港电讯之后盈动集团的股价和市值飙升,声誉得到进一步的提高。2004年联想集团有限公司经过13个月的谈判后通过现金、股票支付以及偿债的方式,收购了ibm个人电脑事业部(pcd),新联想集团通过并购成为一家拥有强大品牌、丰富产品组合和领先研发能力的国际化大型企业。www.133229.com
2.网络通信企业并购的动因
2.1获得技术的提升
网络通信企业的资产很大一部分是无形资产,而无形资产中科技含量占很大一部分,企业若想获得更多的市场,技术的更新换代显得尤为重要。而并购能快速获得对方的技术让新型技术提高企业的生产效率,扩大市场占有率,从而获得较高的利润。
2.2扩大市本文由http://收集整理场占有率
通过并购网络通信企业可以获取被并购企业市场份额,增强企业的市场竞争能力,从而获得更多的客户,为企业塑造品牌打下基础。
2.3扩大企业规模
通过并购可以在短时间内扩大企业的生产规模,从而获得规模经济。一般来说,企业规模的大小会影响客户的信赖感,规模越大客户的好感越强,越容易扩大市场。网络通信企业可以通过并购选出有利于生产要素互补,有利于形成能降低单位成本,提高经济效益的联合企业。
2.4提高企业的市场价值
并购可以实现企业业务领域的扩张,使企业市场价值得到提升,也进一步提高了本企业在社会上的地位和市场价值。企业并购之后公司的股票价格也会上升,市盈率会维持在一个较高的水平,收益额也会提高,这样股东的财富就会得到增加。
3.网络通信企业并购对象的选择
3.1纵向并购企业
网络通信企业如果并购对象是产业上下游的企业,那么并购后企业可以增加其市场中的份额,可以掌握产业链中关键价值增值的部分,来提升企业价值,还可以降低成本,缩短生产周期,完善生产流程,最终增强企业的核心竞争力。
3.2并购竞争对手企业
甲骨文拉里埃利森认为,只有上规模的公司才能制胜,而消灭竞争对手最好的方法就是买过来。网络通信企业在发展的过程中肯定会因为技术或者人才的不足而遇到增长的平台期,此时如果通过并购竞争对手的公司,既可以获得竞争对手的人才、技术和市场份额,还可以提高本企业的知名度,从而帮助本企业扩大市场占有率,增强获利能力。
3.3并购优势互补性企业
网络通信企业如果服务或产品过于单一,那么将难以满足客户,通过并购行业互补性企业,可以降低成本来获得企业所需要的优势技术和产品,从而赢得客户的青睐,所以网络通信企业并购需要考虑并购对象优势互补,能和本企业达到协同效应的最大化。例如英特尔公司并购mcafee公司是为了获得安全系统,来弥补本企业安全系统差的缺陷。要通过并购获得竞争的优势,就必须通过分析并购对象的优势和劣势,其中包括财务状况,市场分布情况,生产能力,产品的质量等,从而选择适合本企业的并购对象。
4.网络通信企业并购特点
4.1人力资本高度密集
与传统的企业拥有大量的土地、楼盘和设备等有形资产所不同的是网络通信企业拥有大量的无形资产,其中包括知识产权和人力资本等。网络通信企业是高新技术行业,技术对企业的生产发展起关键作用,而只有人才可以将技术应用到企业的发展中,所以人才是网络通信企业的灵魂,而并购很大一部分也是为了获得更好的技术和人才。
4.2并购风险大
技术是网络通信企业发展的重要因素,基于这点网络通信企业就得不断的研发新的技术,以获得技术上的优势,才能占领行业的领先位置,从而扩大市场占有率。但是要研发必须投入大量的资金,这就会给企业带来风险,其中包括研究失败带来的技术风险,也可能由于新技术不受客户青睐不被市场接受而带来的市场风险,或者由于经营不善而带来的经营风险等等,所以并购企业应该分析承担的风险,这样才能以较小的风险获得较大的利润。
4.3高收益带来高成长
由于网络通信企业无形资产的产品在技术和功能上都有垄断性和指引性,网络通信企业的毛利率一般都在30%以上。因此网络通信企业可以迅速占领市场从而获得高收益,通过并购弥补技术的不足,扩大了市场占有率,从而带来高成长,提高其市场竞争力。
5.网络通信企业并购的价值评价
网络通信企业价值评价的特点:
第一,可比对象少、缺乏传统价值评价所需要数据
网络通信企业所主营的产品类型繁多,一般很难找到技术、市场、行业规模和环境都相当的同类型企业。并且对企业进行价值评价最重要在于企业的获利能力,而获利能力是需要对企业的现状和历史的数据进行分析判断得出的未来预测。由于技术发展的局限性很多网络通信企业刚刚崭露头角,这些企业成立时间较短,历史数据有限,这就给价值评价带来了困难。
转贴于
第二,现金流量预测较难
网络通信企业面临市场不稳定,成功率低,风险大,所以导致现金流量在一定时期内波动频繁。可是一旦网络通信企业的技术产品转化为生产力,产品的高附加值会给企业带来巨大的经济效益,这时现金流量也会跟着变大。并且除了少数企业在成立初获利,很大一部分盈利较少,这就意味着无法根据现在的盈利估算未来的盈利。
第三,缺乏对企业风险的有效计量
网络通信企业进入市场一般都有自己独特的产品,或者销售策略,所以在成立的前几年,会有较高的增长速度,这种成长速度基于产品的市场发展趋势。如今科技发展日新月异,竞争对手的技术也在不断更新,并且竞争对手的加入很可能会威胁本企业在市场中的地位,分割你的市场份额,这就使得高速增长的新企业面临破产的可能。现有的传统估值方法都是在本企业能够持续经营的前提下,由于缺乏对企业风险的有效计量就造成评估的不准确。
第四,网络通信企业的无形资产比重较大
网络通信企业无本文由http://收集整理形资产较多,其中有部分专利包括网络传输工具,还有数据采集器等等,但专利权在没投入使用时是不能变现的,如果按照传统的评估方法评价网络通信企业就会低估了企业的价值,所以要充分考虑到这些权利在价值中是否体现。
6.实物期权法在网络通信企业价值评价中的应用
6.1网络通信企业价值评价方法的选择
通过对网络通信企业价值评价特点的分析可以得出传统的评价方法不太适合评价网络通信企业:
成本法是指分别求出企业各项资产的评估值并累加求和,再扣减负债评估值,得到整体企业资产评估值的方法。成本法评价没有考虑到资产组合的价值效用。网络通信企业中技术,专利等无形资产比重较大,利用成本法对无形资产评估不准确,所以不适合用成本法评估企业价值。
市场法需要通过本企业在市场中的定价来分析判断从而进行评价的,但是网络通信企业种类繁多,很难找到相似的企业所以利用市场法进行评价可能会因为缺少可比企业的信息而增加评价的难度。
收益法是通过评估企业未来各年预计现金流量通过折现求和来确定企业价值,但是网络通信企业由于风险较大不能准确预计未来的现金流量,而且网络通信企业无形资产较多,带来的现金流量难以预测,所以收益法也不适合于评价网络通信企业。
6.2用实物期权方法对网络通信并购企业进行价值评价
实物期权是指在不确定性条件下,与金融期权类似的实物资产投资的选择权。就是企业可以在未来以一个合适的价位取得出售本公司实物资产的权利,所以可以利用类似评估期权的方式评估实物资产。实物资产价值包括通过企业拥有资产的使用产生出来的现金流量,再加上一个未来的增长机会。
与传统企业相比网络通信企业可以迅速占据市场,因为其具备及时把握市场机会的能力,这种情况与期权定价所适用的条件十分符合,它不仅考虑了选择权即选择专利使用权也考虑了不同投资机会所创造的价值。对于企业潜在投资机会所能带来价值的评价,传统评价方法不准确而这种对潜在投资机会价值评价却是实物期权法所擅长的。实物期权法可以通过期权模型将未来企业可能投资机会看做买方期权,从而算出买方期权的价值,也就是网络通信企业潜在的投资机会价值,这样评价更为准确。
实物期权定价公式为:
p是网络通信企业所获得未来收益通过一定折现率折现所得的现值,v是指投资项目投资额的现值,t是无形资产的有效期限,是无形资产价值的不确定性,r是无风险利率。利用公式即可以计算得到企业的价值。
企业网络安全评估篇5
1企业办公系统移动网络终端的安全接入问题
伴随着移动互联网的发展,企业办公网络开始向着移动网络终端的方向发展,企业用户希望能够依靠移动终端连接到企业的内部网络。在这种情况下,移动网络的应用日趋复杂,原本的安全接入方案逐渐无法适应新的应用环境。与此同时,企业自身的发展使得办公网与外部网的交流业务不断增加,网络中接入的移动终端越来越多,也给网络管理工作带来了很大的困难。从目前来看,在企业办公网中,移动网络终端接入中面临的主要安全问题,体现在数据的传输链路和应用系统等方面。如果移动终端通过数据传输链路,对网络进行攻击,或者向网络植入病毒、木马等,则会对企业办公系统造成严重的影响和破坏,而如果移动终端在用户不知情的情况下被植入了后门,或者其漏洞被不法分子利用,则可能会导致企业信息的泄露、破坏和丢失,给企业造成巨大的经济损失。因此,如何在充分保证企业办公系统安全的前提下,对移动网络终端进行有效接入,是当前企业发展过程中一个亟待解决的问题。
2企业办公系统移动网络终端的安全接入技术及应用
企业办公系统移动网络终端安全接入系统架构。该系统架构主要包括wpKi系统、身份认证系统、可信安全接入控制系统以及可信判定系统四个部分,具体表现为:(1)wpKi。wpKi是企业办公系统移动网络终端安全接入的基础,具有访问加密、颁发证书以及管理证书等服务,wpKi系统具体功能包括以下几个方面:证书数据库,主要功能是储存证书以及证书失效清单,同时提供证书查询功能;Ca,主要功能是发放与管理数字证书;wpKiprotal,主要功能是创建Ca和用户之间相互联系的接口;wap/3G,主要功能是连接有线网络与无线网络;mobileDevice,主要功能是接收和撤销请求信号以及更新提交证书等,并提供可信证书、数字签名。(2)身份认证系统。通过利用mtam可信度判断方式,对企业办公系统中移动网络终端的可信度、完整性等进行验证,只有通过安全认证,并且具有移动终端的身份的终端、设备才允许接入系统。(3)可信安全接入控制系统。该系统主要包括三个部分:网络可信接口,功能为保证数据传输的安全性;网关可信接口,功能包括定位终端设备,与安全应用信息交互以及安全通信等;终端可信接口,功能为采集移动终端的信息。(4)可信判定系统。该系统的功能是判断接入移动终端设备的可信度和完整度,并以设备属性信息、认证信息为依据,重新判定接入移动终端的可信度,进而保证访问移动终端的可信度和安全性。基于tnC的移动网络终端的安全接入技术的应用分析。tnC,即可信网络连接,能够确保具有tpm的终端设备与网络的可靠连接。基于tnC移动网络终端安全接入技术在企业办公系统中的应用,可信网络连接可以通过网络访问请求,对请求者的信息进行搜集和验证,依照相应的安全策略,进行信息的评估,以决定是否允许请求者接入网络中,从而保证网络安全。(1)移动终端可信接入机制。企业办公系统移动网络终端安全接入的机制流程包括以下几个方面:aCL规则的制定,由RDp对ap的可信度进行分析,然后制定对应的aCL规则;接入ap请求,将接入终端设备的可信度评估值传递至RJp中,由RJp判断接入终端设备的可信度和安全性;由RDp验证和判断mtam的真实性和完整性,并颁发相应的可信证书;由RDp制度与分发ap可信度判定规则,并验证可信证书,保证接入终端设备的安全性与可信度。(2)移动终端接入机制。mtam想要实现与iSp信息的交互,应该向RDp提出注册申请,由RDp对mtam的可信度进行评估,并颁发相应的可信度评估证书,证书包括CmJC签名、RDp公钥等,每一个接入的移动终端设备都具有相应的公钥和身份证书。RDp和mtam之间的连接,由mtam向RDp提出可信度证书颁发申请,由RDp对mtam的可信度、完整新等进行判断和评估,并认证mtam的身份,认证完成之后,由RDp颁发mtam的可信度证书,在有效期以内,该接入移动网络终端,都能够和iSp创建相应的连接。
3结语
企业网络安全评估篇6
论文摘要:随着软件行业特别是软件外包行业在国内的蓬勃发展,如何保证自身的信息安全成了摆在软件企业面前的重要课题。文章通过对软件企业现有信息安全问题的分析,提出了采用信息安全体系建设系统解决信息安全问题,着重阐述了信息安全风险管理的原理和方法在软件行业中的应用。
论文关键词:软件企业;信息安全;风险管理
随着国家大力推动软件外包行业和it行业的发展,软件企业发展呈现良好态势,在自身业务发展壮大的同时,软件企业信息安全重要性日益凸显。互联网和it技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2007年5月~2008年5月间,有62.7%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为85.5%,遭到端口扫描或网络攻击的占31.4%,垃圾邮件占25.4%。
信息是软件企业的重要资源,是非常重要的“无形财富”,分析当前的信息安全问题,有如下典型的信息安全问题急需解决。
(1)网络共享与恶意代码防控。
网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的QoS下降,甚至系统瘫痪不可用。
(2)信息化建设超速与安全规范不协调。
网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。
(3)信息产品国外引进与安全自主控制。
国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。
(4)it产品单一性和大规模攻击问题。
信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。
(5)it产品类型繁多和安全管理滞后矛盾。
目前,信息系统部署了众多的it产品,包括操作系统、数据库平台、应用系统。但是,不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之问安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
(6)it系统复杂性和漏洞管理。
多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
(7)攻击突发性和防范响应滞后。
网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
(8)口令安全设置和口令易记性难题。
在一个网络系统中.每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、Ftp口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
(9)远程移动办公和内网安全。
随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全”就成了一个许多单位都面临的问题。
(10)内外网络隔离安全和数据交换方便性。
由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
(11)业务快速发展与安全建设滞后。
在信息化建设过程中,由于业务急需要开通,做法常常是“业务优先,安全滞后”,使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是亡羊补牢,出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
(12)网络资源健康应用与管理手段提升。
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到“可信、可靠、可视、可控”。
(13)信息系统用户安全意识差和安全整体提高困难。
目前,普遍存在“重产品、轻服务,重技术、轻管理,重业务、轻安全”的思想,“安全就是安装防火墙,安全就是安装杀毒软件”,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:用户选取弱口令,使得攻击者可以从远程直接控制主机;用户开放过多网络服务,例如:网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机,允许建立空连接;用户随意安装有漏洞的软件包;用户直接利用厂家缺省配置;用户泄漏网络安全敏感信息,如DnS服务配置信息。
(14)安全岗位设置和安全管理策略实施难题。
根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
(15)信息安全成本投入和经济效益回报可见性。
由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行,即当安全事件产生影响后,企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是“头痛医头,脚痛医脚”,信息网络工作人员整天疲于奔命,成了“救火队员”。
为了解决信息安全问题,保护企业信息的安全,建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求,越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全,通过建设信息安全管理体系中降低组织存在的信息安全风险的方法,来提高组织信息的安全性。由此可见信息安全风险管理,是我们建立信息安全管理体系的一个重要环节,也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。
1.信息安全风险管理概述
我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理,风险管理被认为是良好管理的一个组成部分,
2.确定范围
在建立信息安全管理体系之初,根据业务、组织、位置、资产和技术等方面的特性,我们确定了组织iSmS的范围,那么风险管理的范围应该和我们确定的iSmS的范围相一致。在软件企业中,我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中
3.风险分析
风险分析是标识安全风险,确定其大小和标识需要保护措施地区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法,主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性,相对于威胁发生的可能性,该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围),并采用从不同来源中得到的数据进行分析,其主要步骤集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考数据。在软件企业进行风险分析时,因为定量分析方法中的数值、数据不易获取,我们通常采用定性分析方法。风险分析又包括以下4个方面,针对定性分析方法,具体过程如下:
(1)识别评估资产。
在iSmS中所识别评估的资产有别于常见的固定资产,这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时,我们需要选择适合的分类原则和识别粒度。在软件企业中,通常把资产划分为硬件、软件等方面,还需要对这些方面进行细分,也就是进行二级分类。
在评估资产时,我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值:
①资产属于“高”等级重要度,赋值为“3”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成严重或无法挽回的经济损失;
②资产属于“中”等级重要度,赋值为“2”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成一定的经济损失;
③资产属于“低”等级重要度,赋值为“1”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成轻微的经济损失。
(2)识别评估威胁。
我们应该清楚威胁一定是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁,这种威胁动机、能力较强。
(3)识别评估脆弱性。
脆弱性可以理解为资产可以被某种威胁所利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性,通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁,软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。
(4)识别评估控制措施。
在我们识别出威胁和脆弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:
①控制措施影响程度为“好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息安全管理要求;
②控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息安全管理要求;
③控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新制定新的控制措施满足公司信息安全管理要求。
控制措施的有效性是我们风险评价的依据之一。
4.风险评价
风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程,其结果是具有不同等级的风险列表,目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程:
(1)分析评估可能性和影响。
“可能性”指威胁利用脆弱性的可能性,“影响”指威胁利用脆弱性后,对组织资产造成的影响。在分析可能性时,我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时,依据组织制定的评估准则,对可能性进行描述,例如将可能性进行如下定义和赋值:
①可能性级别“高”,赋值为“1”,威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的;
②可能性级别“中”,赋值为“0.5”,威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用;
③可能性级别“低”,赋值为“0”,威胁源缺少动机和能力,或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。
在分析影响时,我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时,同样依据组织制定的评估准则,对影响进行描述,例如将影响进行如下定义和赋值:
①影响级别“高”,赋值为“l00”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的高成本损失;b.可能严重违犯、危害或阻碍单位的使命、声誉或利益;c.可能导致人员死亡或者严重伤害;
②影响级别“中”,赋值为“50”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的损失.b.可能违犯、危害或阻碍单位使命、声誉或利益-c.可能导致人员伤害。
③影响级别“低”,赋值为“10”,该级别影响对脆弱性的利用:a.可能导致某些有形资产或资源的损失;b.可能导致单位的使命、声誉或利益造成值得注意的影响。
参考“风险分析”中的例子,病毒、木马攻击的动机、能力很强,员工很容易忽略对杀毒软件病毒库的升级,病毒、木马攻击很可能导致公司重要数据的丢失或损坏,那么这种威胁利用脆弱性的可能性就比较高,影响也比较高,均属于“高”等级。
可能性和影响都是我们进行风险评价的依据。
(2)评价风险。
在评价风险时,我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响,通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式,计算出风险值,并根据组织制定的准则,将风险进行分级,例如将风险进行如下分级:
①“高”等级风险:如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系统可能要继续运行,但是必须尽快部署针对性计划;
②“中”等级风险:如果被评估为中风险,那么便要求有纠正行动,必须在一个合理的时间段内制定有关计划来实施这些行动;
③“低”等级风险:如果被评估为低风险,那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。
5.风险处置。
风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程:
①行动优先级排序。
行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。
②评估建议的安全选项
评估建议的安全选项主要考虑安全选项的可行性和有效性。
③实施成本效益分析。
对建议的安全选项进行成本效益分析,帮助组织的管理人员找出成本有效性最好的安全控制措施。
④选择控制措施。
在成本效益分析的基础上,组织的管理人员应确定成本有效性最好的控制措施,来降低组织的风险。
⑤责任分配。
根据确定的控制措施,选择拥有合适的专长和技能,能实现相应控制措施的人员,并赋以相关责任。
⑥制定控制措施的实施计划。
明确控制措施的具体行动时间表。
⑦实现所选择的安全防护措施。
根据各自不同的情况,所实现的安全防护措施可以降低风险级但不会根除风险,实现安全防护措施后仍然存在的风险为残余风险,残余风险需经过组织管理者批示,若组织管理者批准即为风险接受,若组织管理者批示不接受,则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。
企业网络安全评估篇7
论文摘要:随着软件行业特别是软件外包行业在国内的蓬勃发展,如何保证自身的信息安全成了摆在软件企业面前的重要课题。文章通过对软件企业现有信息安全问题的分析,提出了采用信息安全体系建设系统解决信息安全问题,着重阐述了信息安全风险管理的原理和方法在软件行业中的应用。
论文关键词:软件企业;信息安全;风险管理
随着国家大力推动软件外包行业和it行业的发展,软件企业发展呈现良好态势,在自身业务发展壮大的同时,软件企业信息安全重要性日益凸显。互联网和it技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2007年5月~2008年5月间,有62.7%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为85.5%,遭到端口扫描或网络攻击的占31.4%,垃圾邮件占25.4%。
信息是软件企业的重要资源,是非常重要的“无形财富”,分析当前的信息安全问题,有如下典型的信息安全问题急需解决。
(1)网络共享与恶意代码防控。
网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的QoS下降,甚至系统瘫痪不可用。
(2)信息化建设超速与安全规范不协调。
网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。
(3)信息产品国外引进与安全自主控制。
国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。
(4)it产品单一性和大规模攻击问题。
信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。
(5)it产品类型繁多和安全管理滞后矛盾。
目前,信息系统部署了众多的it产品,包括操作系统、数据库平台、应用系统。但是,不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之问安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
(6)it系统复杂性和漏洞管理。
多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
(7)攻击突发性和防范响应滞后。
网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
(8)口令安全设置和口令易记性难题。
在一个网络系统中.每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、Ftp口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
(9)远程移动办公和内网安全。
随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全”就成了一个许多单位都面临的问题。
(10)内外网络隔离安全和数据交换方便性。
由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
(11)业务快速发展与安全建设滞后。
在信息化建设过程中,由于业务急需要开通,做法常常是“业务优先,安全滞后”,使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是亡羊补牢,出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
(12)网络资源健康应用与管理手段提升。
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到“可信、可靠、可视、可控”。
(13)信息系统用户安全意识差和安全整体提高困难。
目前,普遍存在“重产品、轻服务,重技术、轻管理,重业务、轻安全”的思想,“安全就是安装防火墙,安全就是安装杀毒软件”,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:用户选取弱口令,使得攻击者可以从远程直接控制主机;用户开放过多网络服务,例如:网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机,允许建立空连接;用户随意安装有漏洞的软件包;用户直接利用厂家缺省配置;用户泄漏网络安全敏感信息,如DnS服务配置信息。
(14)安全岗位设置和安全管理策略实施难题。
根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
(15)信息安全成本投入和经济效益回报可见性。
由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行,即当安全事件产生影响后,企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是“头痛医头,脚痛医脚”,信息网络工作人员整天疲于奔命,成了“救火队员”。
为了解决信息安全问题,保护企业信息的安全,建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求,越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全,通过建设信息安全管理体系中降低组织存在的信息安全风险的方法,来提高组织信息的安全性。由此可见信息安全风险管理,是我们建立信息安全管理体系的一个重要环节,也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。
1.信息安全风险管理概述
我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理,风险管理被认为是良好管理的一个组成部分,其过程如图1所示。
2.确定范围
在建立信息安全管理体系之初,根据业务、组织、位置、资产和技术等方面的特性,我们确定了组织iSmS的范围,那么风险管理的范围应该和我们确定的iSmS的范围相一致。在软件企业中,我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中
3.风险分析
风险分析是标识安全风险,确定其大小和标识需要保护措施地区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法,主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性,相对于威胁发生的可能性,该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围),并采用从不同来源中得到的数据进行分析,其主要步骤集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考数据。在软件企业进行风险分析时,因为定量分析方法中的数值、数据不易获取,我们通常采用定性分析方法。风险分析又包括以下4个方面,针对定性分析方法,具体过程如下:
(1)识别评估资产。
在iSmS中所识别评估的资产有别于常见的固定资产,这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时,我们需要选择适合的分类原则和识别粒度。在软件企业中,通常把资产划分为硬件、软件等方面,还需要对这些方面进行细分,也就是进行二级分类。
在评估资产时,我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值:
①资产属于“高”等级重要度,赋值为“3”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成严重或无法挽回的经济损失;
②资产属于“中”等级重要度,赋值为“2”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成一定的经济损失;
③资产属于“低”等级重要度,赋值为“1”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成轻微的经济损失。
(2)识别评估威胁。
我们应该清楚威胁一定是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁,这种威胁动机、能力较强。
(3)识别评估脆弱性。
脆弱性可以理解为资产可以被某种威胁所利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性,通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁,软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。
(4)识别评估控制措施。
在我们识别出威胁和脆弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:
①控制措施影响程度为“好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息安全管理要求;
②控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息安全管理要求;
③控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新制定新的控制措施满足公司信息安全管理要求。
控制措施的有效性是我们风险评价的依据之一。
4.风险评价
风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程,其结果是具有不同等级的风险列表,目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程:
(1)分析评估可能性和影响。
“可能性”指威胁利用脆弱性的可能性,“影响”指威胁利用脆弱性后,对组织资产造成的影响。在分析可能性时,我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时,依据组织制定的评估准则,对可能性进行描述,例如将可能性进行如下定义和赋值:
①可能性级别“高”,赋值为“1”,威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的;
②可能性级别“中”,赋值为“0.5”,威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用;
③可能性级别“低”,赋值为“0”,威胁源缺少动机和能力,或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。
在分析影响时,我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时,同样依据组织制定的评估准则,对影响进行描述,例如将影响进行如下定义和赋值:
①影响级别“高”,赋值为“l00”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的高成本损失;b.可能严重违犯、危害或阻碍单位的使命、声誉或利益;c.可能导致人员死亡或者严重伤害;
②影响级别“中”,赋值为“50”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的损失.b.可能违犯、危害或阻碍单位使命、声誉或利益-c.可能导致人员伤害。
③影响级别“低”,赋值为“10”,该级别影响对脆弱性的利用:a.可能导致某些有形资产或资源的损失;b.可能导致单位的使命、声誉或利益造成值得注意的影响。
参考“风险分析”中的例子,病毒、木马攻击的动机、能力很强,员工很容易忽略对杀毒软件病毒库的升级,病毒、木马攻击很可能导致公司重要数据的丢失或损坏,那么这种威胁利用脆弱性的可能性就比较高,影响也比较高,均属于“高”等级。
可能性和影响都是我们进行风险评价的依据。
(2)评价风险。
在评价风险时,我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响,通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式,计算出风险值,并根据组织制定的准则,将风险进行分级,例如将风险进行如下分级:
①“高”等级风险:如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系统可能要继续运行,但是必须尽快部署针对性计划;
②“中”等级风险:如果被评估为中风险,那么便要求有纠正行动,必须在一个合理的时间段内制定有关计划来实施这些行动;
③“低”等级风险:如果被评估为低风险,那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。
5.风险处置。
风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程:
①行动优先级排序。
行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。
②评估建议的安全选项
评估建议的安全选项主要考虑安全选项的可行性和有效性。
③实施成本效益分析。
对建议的安全选项进行成本效益分析,帮助组织的管理人员找出成本有效性最好的安全控制措施。
④选择控制措施。
在成本效益分析的基础上,组织的管理人员应确定成本有效性最好的控制措施,来降低组织的风险。
⑤责任分配。
根据确定的控制措施,选择拥有合适的专长和技能,能实现相应控制措施的人员,并赋以相关责任。
⑥制定控制措施的实施计划。
明确控制措施的具体行动时间表。
⑦实现所选择的安全防护措施。
根据各自不同的情况,所实现的安全防护措施可以降低风险级但不会根除风险,实现安全防护措施后仍然存在的风险为残余风险,残余风险需经过组织管理者批示,若组织管理者批准即为风险接受,若组织管理者批示不接受,则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。
企业网络安全评估篇8
【关键词】数据通信通信网络网络安全
随着当前通信技术和计算机网络技术的迅速发展,数据通信的相关技术也逐渐成熟,数据通信已经取代传统通信成为当前最重要的通信方式。基于计算机网络和数据库现代化程度的加深,服务器和客户端已经成为通过网络获取各种信息的重要方式。
一、数据通信网络与网络安全的涵义
1.数据通信网络。数据通信网络就是指通过电话、电缆或光纤等信息传输通道进行计算机和客户端之间数据的相互传递,通过网络实现对信息的客户共享,客户可以对搜索或接收到的信息进行处理、更改和打印。数据通信网络根据不同的地理位置可分为局域网、广域网和国际网。一般的单位、企业或者学校都是建立的局域网来传递信息,局域网的覆盖面积较小,但网络较为稳定,便于企业或学校进行内部的管理,也有利于信息的加密。广域网的覆盖范围大约是一个城市,辐射范围较大,便于城市人的信息搜索。国际网就是我们统称的“上网”,因特网早已成为大多数现代人日常生活中不可分割的一部分。由此可见,数据通信网络与我们的生活息息相关。
2.网络安全。随着因特网和计算机网络技术的发展,人们利用网络传递的信息越来越多,网络安全也逐渐成为客户更加关注的重要问题。众所周知,网络是由很多个节点和服务器终端构成的,信息和相关数据的传递应当受到保护。网络安全就是指保护传递的数据不受泄露,网络系统能连续运行。网络中传递的很多信息应当是私密的,是无法对外共享的,尤其是企业的网络更怕受到不明黑客的攻击。企业的数据通信要尤其注重网络安全和网络维护,以防外人盗取企业的商业机密。
二、数据通信网络维护之我见
在当今的信息时代,数据通信网络对于国家和个人的发展都有着重要的战略意义,维护数据通信网络的稳定性也有着不可替代的现实价值。
数据通信的网络维护主要是维护数据通信网络的安全性和稳定性,保证数据通信网络的正常运行,预防网络瘫痪现象的发生。维护数据通信网络是一项长远的工程,虽不能直接为企业带来经济效益,但却是企业长足发展的重要保证。提升数据通信网络的稳定性有助于数据通信效率和准确性的提高,能帮助企业赢得长足竞争力,推动企业自身的发展。
三、注重网络安全,加强数据通信网络管理
1.对当前数据通信网络的安全性进行科学评估。要确保数据通信网络的安全性和可靠性,首先需要技术人员构建完整的数据通信平台,并对当前网络的安全性进行科学评估。技术人员应当根据数据通信网络的使用要求和评估方式,全面细致的依照网络环境进行安全调整,对潜在的用户群和传输信息源进行安全识别,全面掌握数据通信网络的现状并对当前的安全性进行分析。
2.分析数据通信网络存在的安全隐患。网络安全的维护主要是对数据信息的真实性和准确性进行安全确认,防止计算机终端和信息网中的软硬件设备遭到破坏,防止数据通信网络的ip地址遭到恶意攻击,保证数据库中信息的保密。技术人员应当在对数据通信网络安全性科学评估的基础上细致排查安全隐患,通过设置网管限制、设置防火墙等方式对系统漏洞进行完善,避免不明非法用户的侵入,减少数据通信网络存在的威胁和风险。
3.制定相应的预防数据通信网络威胁的措施。通过对数据通信网络进行安全评估并分析安全隐患,技术人员可针对性的制定相应的措施,维持数据通信网络的稳定性。
四、结束语
在全球信息技术和计算机网络技术不断发展的大环境中,数据通信与网络内容也得到了大幅度的丰富,数据通信已经成为当前通信方式的重中之重。因此,不论是从基础概念上还是实际应用中,网络安全都是当今时代重要的研究课题。随着数据通信和网络技术的快速发展,保证数据通信的安全性和准确性尤为重要,仍需创新性的采取多种方式维护当今网络安全,给众多用户提供一个安全稳定的网络通信环境。
参考文献
[1]高宏杰.浅析数据通信交换方式及其适用范围[J].民营科技,2010(2)
[2]李琳.计算机网络数据通信系统构建技术[J].硅谷,2010(9)
企业网络安全评估篇9
值得注意的是,位于榜单前列的,多是新兴的网络安全厂商,除以apt(高级持续性威胁)防护为主要业务的Fireeye公司位列第一之外,还有创立不久的moka5公司(排名第2)和norse公司(排名第4)。相比之下,一些老牌安全厂商的排名相对靠后。
当然,这也和该评选的标准有关。CybersecurityVentures给出的评选标准包括:网络安全行业(市场类别)、解决的问题、客户基础、首席信息安全官和决策制定者的反馈、it安全评估与推荐者的反馈、企业风险评估、法律人员及顾问的反馈、风险投资基金、企业增长性、公开的产品评论、企业市场和品牌等,这与以往的类似评选有截然不同的标准。
CybersecurityVentures的创始人兼首席执行官斯蒂夫・摩根表示:“评选并不依据收入、员工数或年度增长率排名,因为对于网络安全的决策者、评估人和推荐者来说,他们已经知道备厂商的实力。”
事实上,此榜单意在告诉我们,对网络安全行业而言,传统意义上以企业规模、产品线和服务完备程度进行企业排名的评判标准正在转化为应对网络空间威胁的能力和潜力。
当前新兴的威胁贯穿了整个虚拟世界和实体世界,网络安全解决方案不再只是简单的产品堆砌,而是厂商敏锐度和反应的比拼。
在这样一个新的形势下,以营业额、产品数量为标准,已不足以体现一个厂商的能力水平。
诸如该榜单中排名第一的Fireeye公司,在2013年上市前只是一个规模不足400人,营业额约1.6亿美元的中等规模企业,它目前的规模和营收也只是传统安全巨头的零头,但其正在成为美国国家安全能力的重要支点之一。
同时,我们也看到有三家中国厂商跻身这一榜单。其中安天位列第94位,它长期扮演反病毒引擎供应商的角色,从而在全球安全产业供应链体系中拥有比较独特的位置。
而位列第142位的山石网科作为一家下一代防火墙厂商,其智能安全和对新兴安全威胁的分析研究,也让自己在排名上领先Juniper、Fortinet等老牌同类安全厂商很多。
当然,一个第三方机构给出的榜单,并不能完全反映网络安全市场的情况。
企业网络安全评估篇10
摘要:该文对企业信息安全所面临的风险进行了深入探讨,并提出了对应的解决安全问题的思路和方法。
随着计算机信息化建设的飞速发展而信息系统在企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变,其重要性日益越来越明显,信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性:保证非授权操作不能获取受保护的信息或计算机资源。完整性:保证非授权操作小能修改数据。有效性:保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
1企业信息安全风险分析
计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要,如果这些信息系统及网络系统遭到破坏,造成数据损坏,信息泄漏,不能正常运行等问题,则将对企业的生产管理以及经济效益等造成不可估量的损失,信启、技术在提高生产效率和管理水平的同时,也带来了不同以往的安全风险和问题。
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,公司信息系统面临的主要风险存在于如下几个方面。
计算机病毒的威胁:在业信息安全问题中,计算机病毒发生的频率高,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,单台计算机感染病毒,在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
网络安全问题:企业网络的联通为信息传递提供了方便的途径。业有许多应用系统如:办公自动化系统,营销系统,电子商务系统,eRp,CRm,远程教育培训系统等,通过广域网传递数据。目前大部分企业都采用光纤的方式连接到互联网运营商,企业内部职工可以通过互联网方便地浏览网络查阅、获取信息,即时聊天、发送电子邮件等。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是当前企业面临的一个非常突出的安全问题。
信息传递的安全不容忽视:随着办公自动化,财务管理系统,各个企业相关业务系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部局域网来传输。
网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。
用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计r用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。
如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
2解决信息安全问题的基本原则
企业要建立完整的信息安全防护体系,必须根据企业实际情况,,结合信息系统建设和应用的步伐,统筹规划,分步实施。
2.1做好安全风险的评估
进行安全系统的建设,首先必须全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。
培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2.2采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施。
2.3根据信息安全策略,出台管理制度,提高安全管理水平
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全“七分管理,三分技术”的说法不是很精确,但管理的作用可见一斑。
3解决信息安全问题的思路和方法企业的信息安伞管理要从以下几个方面人手,相辅相成、互相配合。
3.1从技术手段入手保证网络的安全
网络安全指由于网络信息系统基于网络运行和网络问的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。我们在正视这一事实的基础上,在承认不可能有绝对安全的网络系统的前提下,努力探讨如何加强网络安全防范性能,如何通过安全系列软件、硬件及相关管理手段提高网络信息系统的安全性能,降低安全风险,及时准确地掌握网络信息系统的安全问题及薄弱环节,及早发现安全漏洞、攻击行为井针对性地做出预防处理。
在攻击发生过程中,尽早发现,及时阻断。在攻击发十后,尽快恢复并找出原因。
保证网络安全的技术于段包括:过滤、信息分析临控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有:网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦洲与实时响应系统、网络病毒防护系统、强力存取控制系统等。信息安全指数据的保密性、完整性、真实性、可用性、不町否认性及可控性等安全,技术手段包括加密、数字签名、身份认证、安全协议(set、ss1)及ca机制等。文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁,主要表现在舆论宣传方面。主要柯:黄色、反动信息泛滥,敌对的意识形态信息涌入,瓦联网被利用作为串联工具等。其技术手段包括:信息过滤、设置网关、监测、控管等,同时要强有力的管理措施配合,才可取得良好的效果。
3.2建立、健全企业息安全管理制度
任何一个信息系统的安全,在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段,都围绕这一策略来选择和使用,如果在安全管理策略上出了问题,相当于没有安全系统。同时,从大角度来看,网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域,技术手段和相关安全工具只是辅助手段,离开完善的管理制度与措施,是没法发挥应有的作用并建设良好的网络信息安全空间的。
国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安垒的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。
信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
3.3充分利用企业网络条件,提供全面。及时和快捷的信息安全服务
很多企业通过广域网联通了系统内的多个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为总公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供信息安全设备选型、安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
3.4定期评估,不断的发展,改进,完善
企业的信息化应用是随着企业的发展而不断发展的,信息技术更是日新月异的发展的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。安全的需求也是逐步变化的,新的安全问题也不断产生,原来建设的防护系统可能不满足新形势下的安全需求,这些都决定了信息安全是一个动态过程,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。
不是所有的信息安全问题可以一次解决,人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。