信息网络安全评估方法精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息网络安全评估方法主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息网络安全评估方法范文

【 关键词 】 军校学员；信息安全；风险评估

Cadets’s Information Security Risk Assessment Problems and Solutions

Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3

（1.Second Military Medical University， Department of Health Services Corps Shanghai 200433；

2.Second Military Medical University， Department of Health Services， Public Health Management Shanghai 200433；

3.Second Military Medical University， Department of Computer Shanghai 200433）

【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information， meanwhile， make a huge challenge to information security.So， Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing， point out the problems of information security risk assessment， and the specific implementation of countermeasures.

【 Keywords 】 cadet； information security； risk assessment

1 引言

军队院校信息化建设始于上个世纪90年代初开始，如今军校教育教学、机关办公、学员管理等基础业务对网络信息系统的依赖程度越来越大，同时面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然学校采取了安全监测、入侵防护等安全技术措施，但由于学员网络安全保密意识不强，网络安全技术掌握不到位的欠缺，管理方法针对性不强，军队院校学员网络安全风险高，以至网络安全事件甚至泄密事件时有发生。而卫勤军校学员在平时的学习工作中均有可能会涉及并接触到更多的军事秘密，面临的信息安全问题更加严峻。因此，迫切需要对卫勤军校学员的网络信息安全现状及风险因素进行客观有效的分析和评估，依据评估结果为针对军校学员的网络信息安全管理提供指导，进而有针对性地采取综合性网络安全风险的有效管理措施。

2 军校学员信息安全面临的风险

2.1 网络信息环境复杂，安全风危险性高

信息时代，互联网的应用已经深入到各个领域，但其共享性、开放性和互联性的特点，使得环境越来越复杂，危险不安全因素越来越多。

一是网络黑客攻击。网络攻击包括黑客攻击、病毒感染以及针对性军事机构、军队人员的网络监视，如军校附近的企业、网络监听。目前信息系统技术发达，网络黑客可以通过极限攻击、读取受限文件、拒绝服务以及口令恢复等一系列技术获取信息，对军队保密安全形成威胁。学员在使用网络时感染病毒导致文件丢失、破坏，发生严重的安全事故。此外，针对军事机构和军事人员的网络监视并不少见， 增加了军校学员网络信息安全的风险。

二是网络陷阱。特别是一些博客、论坛，借军事爱好、讨论敏感话题、套取军事信息此外，有些人在网络上设置陷阱，一旦发现军人身份的网络用户便主动接近，通过交流和获取军队内部信息。同时，由网络海量信息形成的巨大信息流，其中掺杂着诸多不良信息，更有人借网络进行非法活动的传播，对大学生进行鼓动和教唆，严重危害学员身心健康。现代社会的多元化很大程度上反映到了互联网上，随着网络的发展，论坛社区、交友网站的兴起，微博、QQ、MSN等交流交互方式的流行，智能手机的广泛应用，吸引着军校学员接触网络，给学员自身、学校甚至军队的信息安全都带来很大的威胁。

三是病毒感染网络沉迷。互联网的虚拟性极大程度地吸引着学员不断接触网络，其中网络恋情和网络游戏是最主要的沉迷对象。人生观和价值观正在形成过程中的大学生分辨能力和自制能力较差，加上军队院校相对封闭的环境，部分军校学员沉迷于网络恋情或网络游戏而不能自拔，安全意识更加薄弱，往往将自身信息和军事机密信息透漏出去，甚至引发安全事故。

2.2 信息安全意识差，抵御能力弱

一方面随着智能终端的不断研发，信息化进程的不断推进，上网方式已经不再局限于计算机，智能手机、平板电脑以及各种无线网络设备都可以方便连接网络。学生作为网络的主体，网络信息安全意识差，依赖上网方式的多样化和便捷性频繁的接触网络。另一方面，随着微时代的到来，微文化流行，参与便捷，加之学员的信息安全意识不强，将校区所处的环境图片、课件、听看到的信息、消息等随手转发到网络上，给学校和军事机构带来严重的安全隐患。更有甚者，学员利用网络散播不良信息，参与黑客等网络破坏活动，给国家和军队带来严重的损失。迅速发展和广泛应用的互联网，是广大军校学员获取信息的有效途径，同时也对信息安全形成巨大挑战。互联网大量的信息集成，是对每个涉足互联网人员的冲击，没有强烈的安全意识，很容易导致安全事故的发生。在管理方式上，大多数只停留在接受口头安全教育的层面上，没有意识到现代高端的信息技术和间谍技术带来的威胁。

2.3 网络信息安全管理差，处理方法少

目前军校面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然杀毒软件、防火墙、入侵检测等安全技术的应用起到一定的防御作用，但由于管理方法针对性不强，对于安全事件的处理不到位，信息安全事故依旧不减。军队院校是培养军队专门人才的特殊教育训练机构，互联网、校园网、军事信息综合网等各类网络广泛应用。军校学员在生活、学习过程中，有机会了解和掌握军队的编制体制、方针政策、武器装备等涉及军事秘密等信息，而针对军校学员的网络信息安全管理办法少、科学性不强，主要体现在两方面。

一是宣传式教育过于形式化。大多数学校的网络信息安全教育是以口头说教、安全讲座、安全知识考试以及教育传单的形式展开，而这些宣传式的教育流于表面，没有真正让学员体会到现代网络环境存在的风险，也没有意识到自己的网络行为所造成的安全隐患。

二是限制网络使用效果不明显。为了防止安全保密事故的发生，学校常常用会限制学员的网络使用，但是这种 “堵”的方式只能限制了学员对学校网络和网络设备的使用，学员依旧可以方便选择通过其他智能终端使用网络，而且这种方式与现代信息社会格格不入，阻碍和影响到了学员正常获取学校正常教学、办公信息和知识的途径，引起教学办公人员的不满。这些办法并没有真正加强学员的安全意识以及阻止安全事件的发生，也为信息安全带来了风险。

3 军校学员信息安全评估存在的问题

3.1 针对性不强，评估指标不完善

目前大多数军校都会定期对网络进行检测和维护，对于信息安全的风险评估大多数侧重于网络硬件和软件的基本情况，忽视了针对学员的信息风险评估。认为通过限制使用就可以避免风险，这样不但浪费了资源，也没有真正起到降低风险的作用。很多风险评估没有针对学员的评估指标，或者没有深入研究学员的网络行为，其指标缺乏有针对性，导致评估在学员信息安全防范措施这一环节上的薄弱。

3.2 科学性不高，风险量化能力差

对于军校学员的信息安全风险评估大多数指标是定性的，而定性的安全风险评估无法准确地确定风险的大小，无法对安全风险进行精确地排序，从而难以确定系统面临的真正风险。这就要求军校学员信息安全风险评估工作所运用的评估方法必须具备一定的量化能力。量化风险评估分析方法的关键在于输入参数的量化。对制定的量表进行有效的赋值，并在此基础上归类分析是量化评估的难点，而目前军校在对学员进行信息安全风险评估时，处理这些量化难点做的还不够到位。

3.3 系统性评估流于形式，对评估结果没有充分利用

多数军校只有上级安全部门进行的检查评估时才进行信息安全风险评估工作，并没有进行自评估，或者自评估的次数少，不能及时发现学员存在的信息安全隐患。风险评估在国内发展的时间较短，在军校学员中开展系统性的信息安全风险评估，军校引入的并不多，所以评估的形式欠科学性。同时评估流于形式，有些军校虽然开展了对学员的评估，但不能根据评估结果采取相应的安全措施，失去了评估的意义。

4 军校学员风险评估实施策略

4.1 提高重视程度，采用先进管理方法

提高对学员信息安全风险评估的重视程度是决定风险评估效果的关键因素。首先，军校工作人员在对学校整个信息系统进行风险评估时，应当把对学员的信息安全风险评估单独列出，着重从伦理道德、纪律规范、网络技能和网络行为等方面进行评估，提高学员的安全思想意识。其次，要引进先进的管理办法，不能只停留在宣传式教育和限制网络上。宣传形式要新颖，可以用实例向学员宣讲，同时模拟真实的环境，让学员参与其中，从而加深印象，提高意识。管理上可以对学员进行跟踪监测，发现学员在网络使用上的漏洞，将其列为控制的关键环节加强管理；也可以对学员进行调研，了解学员对于网络行为和信息安全的认识程度，及时进行针对性教育。同时，领导层面要加强重视，才能提供更多的人力物力支持评估工作。各级干部和学员要抓好落实，养成良好的安全习惯，配合好风险评估工作。

4.2 深入研究风险，有针对性地建立指标体系

合理有效的评估指标体系是进行风险评估的基础要素。建立有针对性的评估指标体系：一是要要充分调研学员信息安全存在的风险，跟踪学员的网络行为，发现关键环节；二是要把握指标体现建立的原则。首先是一般性原则，包括系统性原则、典型性原则、导向性原则、针对性原则、简约性原则、可操作性原则以及可延续性原则。风险评估设计要考虑到学员心理行为、网络安全技术和安全管理制度等多方面因素，依照一般性原则的同时也要综合考虑这些特殊因素；三是要多维度建立评估指标体系。依据信息安全风险评估成熟的理论和方法，根据对军校学员网络行为的研究结果，从法律法规、伦理道德、安全保密和安全技术等维度入手，在每个维度中确立定性和定量的指标，建立网络安全风险评估架构。

4.3 充分利用评估结果，将风险评估制度化

在完成了对学员信息安全风险的评估后，要对采集的数据进行科学的分析。针对学员的信息安全风险评估存在大量的定性指标，具有结构复杂、不确定性和非线性的特点，传统的权重赋值方法精度低。人工神经网络是近几年发展起来的一种新兴的科学方法，它模仿人大脑的工作机理和思维本质，通过数学模型与计算机的结合，所建立起来的一套智能的系统。目前，人工神经网络已经发展了十几种，适用于不同的实际问题来建模。而径向基神经网络因其能够逼近任意的非线性函数，解决系统内在难以解析的规律，因此在实际评估的过程中能很好地处理主观与客观的指标，得到较为完善的评估结果。针对评估结果，学校应当采取一系列管理措施，并制定长期的网络使用规范和有关信息安全的纪律条例，并根据新的问题进行修改和完善。把对学员信息安全的风险评估制度化、规范化，真正展现发挥风险评估的效果效用，从而避免安全事故的发生。

参考文献

[1] 贾玲.军校网络信息安全风险评估研究[J]. 武警学院学报，2010（8）：95-96.

[2] 贾卫国，许浩，王成.军校网络信息安全风险评估工作探讨[J]. 计算机安全，2009（9）：78-80.

[3] 孙利娟，刘彩红.高校信息安全教育问题研究[J]. 电脑技术与知识，2010（8）：30.

[4] 刘枫.大学生信息安全素养分析与形成[J]. 计算机教育，2010（21）：77-80.

[5] 申时凯，佘玉梅. 糊神经网络在信息安全风险评估中的应用[J]. 计算机仿真，2011（10）：92-94.

[6] 黄婷婷.网络安全防御管理研究及对策[J]. SILICONVALLEY，2010（6）：107.

[7] 赵军勇. 网络信息系统技术安全与防范[J]. 广播电视技术，2011（4）：9-11.

[8] 任丽平. 加强大学生网络安全教育[J]. 内江师范学院学报，2004（5）：97-100.

[9] 巢传宣.大学生网络安全问题研究[J]. 南昌工程学院学报，2010（5）：54-57.

[10] 韩立群.人工神经网络理论、设计及应用（第2 版）[M].化学工业出版社，2011（9）：164.

[11] 郝文江，武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全，2012，（01）：5-9.

[12] 任伟.无线网络安全问题初探[J].信息网络安全，2012，（01）：10.

[13] 郎为民，杨德鹏，李虎生.基于SIR模型的智能电网WCSN数据伪造攻击研究[J].信息网络安全，2012，（01）：14-16.

基金项目：

基于神经网络模型的大学生网络信息安全风险评估及对策研究；项目级别：校创新能力基金；项目编号：ZD2012039。

作者简介：

第2篇：信息网络安全评估方法范文

关键词 电子政务 信息安全 风险评估

中图分类号：C931 文献标识码：A

1 课题的研究背景与意义

风险管理是信息系统安全运行的必要保证，是运行维护体系中最重要的环节，而风险评估则是风险管理的基础。首先，风险评估是电子政务系统的安全需求。信息安全风险评估是电子政务系统安全保障体系建立过程中的重要评价和决策依据。信息系统安全是相对的，没有绝对的安全系统。因此，为了实现电子政务系统的安全、稳定运行这一目标，就必须采取一系列的安全制度和技术保障方法，对电子政务系统风险进行事先防患、事中控制、事后监督及纠正，以化解因电子政务系统的脆弱性所造成的风险。其次，电子政务系统的脆弱性需要风险评估。电子政务系统软硬件本身存在着很大的脆弱性，一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素，如火灾、水灾、地震、战争等不可抗拒的自然灾难；另一方面表现在由于技术发展的局限和人类的能力限制，在设计庞大的操作系统、复杂的应用程序之初人们不能认识所有的问题，失误和考虑不周在所难免。再次，安全技术保障手段的欠缺需要风险评估。当前我国电子政务系统信息安全建设，在整体安全系统、内部网络安全监控与防范、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面，都有很多不足之处，迫切需要进行信息系统风险评估来发现弱点弥补不足。

2 电子政务系统风险评估要素的提取原则和方法

电子政务系统安全的风险评估是一个复杂的过程，它涉及系统中物理环境、管理体系、主机安全、网络安全和应急体系等方面。要在这么广泛的范围内对一个复杂的系统进行全面的风险评估，就需要对系统有一个非常全面的了解，对系统构架和运行模式有一个清醒的认识。可见，要做到这一点就需要进行广泛的调研和实践调查，深入系统内部，运用多种科学手段来获得信息。

2.1评估要素的提取原则

评估要素提取是指通过各种方式获取风险评估所需要的信息。评估要素提取是保证风险评估得以正常运行的基础和前提。评估要素提取成功与否，直接关系到整个风险评估工作和安全信息管理工作的质量。为了保证所获取信息的质量，应坚持以下原则：

一是准确性原则。该原则要求所收集到的信息要真实、可靠，这是信息收集工作的最基本要求；二是全面性原则。该原则要求所搜集到的信息要广泛、全面完整；三是时效性原则。信息的利用价值取决于该信息是否能及时地提供，即具备时性。

2.2 评估要素提取的方法

信息系统风险评估中涉及到的多种因素包括资产、威胁、漏洞和安全措施。信息系统的资产包括数据资产、软件、人员、硬件和服务资产等。资产的价值由固有价值、它所受伤害的近期影响和长期结果所组成。目前使用的风险评估方法大多需要对多种形式资产进行综合评估，所获取的信息范围应包含全部的上述内容，只有这样，其结果才是有效全面的。同时，评估时还要考虑：考虑业务中的关键部分，将其重点考虑起来。第二，哪些关于资产的重要决定取决于信息的准确度、完整性或可用性，以及要对那些资产信息加以重点保护。第三必须要考虑安全时间会对业务或者组织的资产产生哪些影响，如信息资产的购买价值，信息资产的损毁对政府形象的负面影响程度，信息资产的损毁程度对政府长期规划和远景发展的影响等等。

2.3 电子政务系统安全风险评估的流程及实施

2.3.1电子政务系统安全的评估流程

电子政务系统安全的风险评估是组织机构确定信息安全需求的过程，包括环境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在内的一系列活动。

2.3.2 电子政务系统安全风险评估的实施

电子政务系统安全的风险评估是一项复杂的工程，除了应遵循一定的流程外，选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的安全状态，在实施风险评估过程中需要采用多种方法。评估流程实施过程如信息网络安全技术测评是电子政务系统安全测评的重要手段，许多安全控制项都必须借助于技术手段来实现，但是单独依靠技术测评还不能全面系统的分析电子政务系统的安全。实践经验证明，仅有安全技术防范，而无严格的安全管理体系是难以保障系统的安全的。因此在测评中我们必须对被测评方制订的一系列安全管理制度进行测评。信息安全管理的测评可以单独进行也可以穿插到技术测评当中。随着信息技术的发展，信息安全测评工程师面临越来越多的挑战，为提高测评能力和效率，应充分的发挥主观能动性，利用各种现有的各种安全测试工具，开发安全测试工具、报告生成工具等。信息安全测评机构以及电子政务系统的运行、维护方必须共同努力，为我国的信息化发展保驾护航。

第一，参与系统实践。系统实践是获得信息系统真实可靠信息的最重要手段。系统实践是指深入信息系统内部，亲自参与系统的运行，并运用观察、操作等方法直接从信息系统中了解情况，收集资料和数据的活动。第二，问卷调查。问卷调查表是通过问题表的形式，事先将需要了解的问题列举出来，通过让信息系统相关人员回答相关问题而获取信息的一种有效方式。现在的信息获取经常利用这种方式，它具有实施方便，操作方便，所需费用少，分析简洁、明快等特点，所以得到了广泛的应用。但是它的灵活性较少，得到的信息有时不太清楚，具有一定的模糊性，信息深度不够等；还需要其他的方式来配合和补充。第三，辅助工具的使用，在信息系统中，网络安全状况、主机安全状况等难以用眼睛观察出来，需要借助优秀的网络和系统检测工具来监测。辅助工具能够发现系统的某些内在的弱点，以及在配置上可能存在的威胁系统安全的错误，这些因素很可能就是破坏目标主机安全性的关键性因素。辅助工具能帮助发现系统中的安全隐患，但并不能完全代替人做所有的工作，而且扫描的结果往往是不全面的。

参考文献

[1] 闫强，陈钟，段云所，等.信息安全评估标准、技术及其进展[J].计算机工程，2003

第3篇：信息网络安全评估方法范文

关键词：CC标准；安全需求分析；安全功能组件；安全保证组件；物联网

中图分类号：TP311

文献标识码：A

DOI：10.3969/j.issn.1003-6970.2015.08.025

0 引言

在物联网的长期发展进程中，不可避免地会遇到一些问题，而对于信息、数据而言，最致命的莫过于安全问题。物联网安全若得不到保证，那么物联网所涵盖的人与物、物与物之间的通信信息将有可能被泄露，进而导致不可预计的严重后果。

由于物联网是一个融合了多网的异构网络，因此除了具备与一般移动通信网络、传感器网络和因特网相同的安全问题之外，还具有一定的特殊性，主要表现在异构网络的认证与访问控制问题、信息储存和管理问题、隐私保护问题等。因此，在保证物联网应用背景本身安全的前提之下，构建物联网信息系统的信息安全设计也是必不可少的。一旦信息安全设计存在易被攻击的漏洞，所获得的数据或信息不仅无效，甚至会带来危害，严重者还会导致系统瘫痪。例如互联网的无线信号很容易被窃取和干扰，一旦被敌对势力利用发起恶意攻击，就很可能导致工厂停产、商店停业、交通瘫痪，等等，整个社会陷入一片混乱。

如何在物联网中构建安全架构、运用安全技术，是物联网安全的研究重点。文章基于物联网数据安全的角度，对物联网数据及其安全特点进行了分析，在此基础上，结合通用国际标注CC，对物联网数据安全保护所需的安全功能组件和保证要求进行了选取，对后续物联网数据安全防护产品的设计和选型有一定的参考意义。

1 物联网数据特点和安全问题新特性

跟一般的数据相比，物联网数据有自己的特色。例如，物联网数据总是大规模的、分布式的、时间相关的和位置相关的。同时，数据的来源是各异的，节点的资源是有限的。与其他网络相比，物联网数据特点和安全问题呈现出以下新特性：

1.1 数据的容量更大

物联网不是静态的，而是由若干个无线识别的物体彼此连接和结合形成的动态网络。例如在一个大型的有机农场中，农产品的往往以千万计。在农场的RFID系统中，假如有2000万件蔬菜需要跟踪，每天读取10次，每次100个字节，这样一天的数据量就达到20GB，而一年的数据量将达到7300GB。而所有蔬菜的跟踪数据量加起来将是一个海量的数据。

1.2 数据的异构性更强

无线传感网的数据既有视频、图像、音频、文字等多种形式，也有静态和动态多种状态；无线传感网的传感器既有多种用途，也有多种结构和性能；RFID系统既有多种读写器，也有多个RFID标签；M2M系统中的微型计算设备也是多种多样。以上这些多态性、异构性决定了物联网数据同样具有异构性，而造成数据多态性和异构性的根本原因则是物联网的应用模式和架构互不相同，缺乏可批量应用的系统方法。

1.3 数据的更新速度更快

物联网的信息采集工作是实时进行的，而被采集的对象一一物的信息是随时变化的，因此无论是RFID，还是WSN，它们所发送的数据更新是很快的，而且这些数据只能备份，而不能长期保存。数据更新速度的加快对系统的反应速度和响应时间提出了更高的要求，否则就容易得出错误的结果。

1.4 数据的传输难度更大

国内物联网应用相关研究证明：对于WSN来说，文本型数据易传难感，多媒体数据易感难传；当数据传输故障发生时，难以判断是硬件故障还是软件故障；理想化的系统模型假设因其忽略了WSN运行过程中伴随的各种不确定的、动态的环境因素往往难以实地应用；从某种程度来说，电源（电池）的寿命甚至可以决定整个WSN的寿命。因此，造成WSN式物联网在实际应用中节点的数量难以突破1000大关的原因，并不完全是异构性、海量性等。数据采集、传输元器件的性能一一功耗、实用性、可靠性和稳定性，已经成为目前WSN数据管理的瓶颈。

上文所提到的物联网数据的容量更大、异构性更强、更新速度更快，以及传输难度更大的问题，是物联网发展过程中面临的挑战，也是促使相关研究者不断研究的动力，以满足互联网特性的要求，解决数据处理难题。

2 物联网安全研究和CC应用现状

2.1 物联网安全研究现状

目前，美国、欧盟、日本、中国等都在投入巨资深入研究物联网。作为物联网关键技术之一一一物联网安全，各机构更是不遗余力的投入。2008年在法国召开的欧洲物联网大会重要议题之一就是物联网中隐私权，关注物联网的安全和隐私。在欧盟物联网研究需求进程表中，对其中的安全与隐私技术的进程做了明确规定[1][2]。

通过跟进这些研究现状不难看出，目前对物联网的安全研究大多集中在物联网安全架构和物联网安全技术研究方面，例如，文献[3-11]关注的时物联网分层架构安全。文献[3-8]首先将物联网分为感知层、网络层、处理层、应用层四个逻辑层，而后对各层面临的安全威胁及其需求进行总结，最后提出了分层安全架构雏形；文献[9-10]重点探讨了物联网的嵌入式安全框架特有的安全问题，提出了物联网安全中间件的体系架构，并应用成熟的中间件技术和安全技术来屏蔽安全的复杂性，实现物联网的安全防护；文献[11]对物联网的新范式从安全架构角度进行了描述。物联网安全技术研究方面，文献[12-16]关注了目前物联网安全领域的安全技术发展现状和一些关键安全技术，关键安全技术主要体现在安全路由、安全认证、安全接人和加密算法等，但文献主要是做出了概括性结论，没有具体涉及到物联网安全的核心技术，而且对相关技术能否适用于物联网并未给出相应评论。目前，国外的物联网前端无线传感网和后端互联网安全研究要领先于我国，文献[17-21]对物联网中的入侵检测、拒绝服务攻击、安全路由和协议等技术进行了详细描述。

通过对目前国内外用于物联网的传感器网络安全性研究现状的综合分析，我们可以发现，用于物联网的传感器安全越来越受到重视。从政府层面到主流的研究机构，都对其投入了极大的关注；同时，因为物联网的应用还处于初级阶段，目前对物联网安全的研究主要还停留在安全架构，安全模型，传感器终端安全的阶段；从这些研究，我们可以看出总结现有物联网安全研究的不足：

1）多是从分析物联网面临的安全威胁人手，根据物联网的主流体系架构，从感知层、传输层和应用层分层的角度对物联网的安全进行分析，并结合各层的特点，采取不同的安全措施。

2）不全面，针对特定领域的特定问题，或者只是通用架构描述，实践性不足。

2.2 CC应用现状

CC作为IT安全评估的行业标准，不仅定义了对特定的IT产品的评估模型和方法，还定义了对一类IT产品的评估方法和模型。这里需要注意的是，CC标准体系除了包括CC之外，还包括CEM（通用评估方法）和PP（保护轮廓）。CEM是CC标准出版后，为了在评估中应用CC而提供的一种通用方法，是与CC配套的文档。保护轮廓是针对一系列产品的安全功能需求描述文档。这三者就组成了CC的标准体系[22]。CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求[23]。

CC标准提供的安全功能组件和安全保证组件是在总结各国多年在软件安全方面的经验和知识的基础上得出的，并且在软件安全评估的经验中得到了实践的检验。所以CC提供的安全功能组件可以作为软件需求工程的核心知识库。近年来基于CC标准来定义软件安全需求已经逐渐成为业界一种共识，CC标准作为软件安全评估领域的国际标准将可能成为软件安全需求分析的事实标准。

2.3 基于CC分析物联网数据安全的可行性

CC能够脱离产品和技术本身，全面的反映应用场景下的安全需求和安全问题。数据安全有对立的两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护；二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如数据备份、异地容灾等。隐私即为数据所有者不愿意被披露的敏感信息，包括敏感数据以及数据所表征的特性。目前常见的隐私保护技术主要分为基于数据失真的技术、基于数据加密的技术、基于限制的技术。

物联网的数据要经过信息感知、获取、汇聚、加密、传输、存储、决策和控制等处理流程。物联网应用不仅面临信息采集的安全性，也要考虑到数据传输中安全性和应用平台中数据存储的私密性，要求信息不能被窃听或篡改，以及非授权用户的访问；同时，还要考虑到网络的可靠性、可用性和安全性。物联网能否大规模推广应用，很大程度上取决于其是否能够保障用户数据和隐私的安全。

用CC的思路来考虑物联网的数据安全，可以全面的分析物联网数据安全保证的需求，同时通过安全功能组件和安全保证组件的提取，可以为后续的物联网数据安全产品设计和物联网数据安全风险评估提供指导。

3 基于CC标准的物联网数据安全需求分析

下图是一个典型的物联网数据传输应用场景，涵盖了不同的数据传输方式，在没有网络覆盖的情况且不适合布线的地方，通过无线传输，如①所示。或者无线专网传输，如②所示。通过专网上传数据的有线传输，如③所示。

可以从图中总结出物联网的数据安全着重要关注的区域有三个，分别是感知层的数据安全，信息采集中心的数据安全和数据上传到上级中心的数据传输安全。从图1中可以看出，感知层处于物联网的末端，负责各类信息的采集，是物联网各种应用的基石，但是采集后的业务数据并没有严格的保密措施，这些业务数据信息是一些信息，到达信息中心采集服务器，有“一公里”的安全通信问题，并且在数据上报传输时，数据易被截获、纂改等，一旦泄漏，会严重损害国家利益。数据采集区数据进入信息采集中心网络以及业务数据上报到上级单位网络时，业务数据由低安全域网进入高安全域网络，在进行数据交换时，并没有相应的隔离措施来保证高安全域网络的安全。在“末端一公里”的传输过程中，由于存在专用的通信资源有限、专用通信网络覆盖范围有限等不足，很可能影响上级单位对采集信息实时监管的任务需求。同时也不能满足物联网时代军民融合的通信战略需求。

针对图1中提出的安全隐患，系统需要重点解决“末端一公里”的通信安全问题以及信息安全传输问题和网络安全隔离问题。安全需求具体体现在以下方面：

（1）业务数据的安全保密需求

物联网中的业务数据在开放的网络中传输时，有可能被非授权的用户或实体截取，获得对某个资源的非法访问，从而导致泄密，造成严重后果。因此，通过信息系统传输的业务数据必须进行加密保护，且加密算法和密码强度满足一定的加密要求。

（2）业务数据安全隔离交换需求

业务数据在进入高安全域网络进行数据交换时，需要提供可靠的安全隔离，要阻断能用的TCP/IP连接，任何TCP/IP报文都不能直接进行传输，实现通用网络协议和私有通信协议的协议转换，只允许用户认可的业务及其他信息进行数据转发。需要控制包含在TCP/IP报文中的网络攻击，保证不同安全域网络互连的安全性。

（3）身份认证及消息认证需求

身份认证确保通信双方互为可信的通信实体；消息认证实现消息的完整性验证。

（4）其他安全需求

仅允许给出数据交换机制、数据格式的专用业务数据进入，并能对业务数据进行有效控制，进行安全检查。只有通过安全检查的数据才允许进行另一个网络。因此，系统还应该设置访问控制、安全审计、密钥管理等功能。

CC标准中提出的安全需求抽取方法是根据威胁和预定采取的组织安全策略确定安全目的，通过选择安全功能组件对应实现安全目的，所选择的安全功能组件可以视为是安全需求的具体抽取。基于CC标准的方法的一个优势是使用了标准所提供的安全功能组件，使得安全需求的表达形式更为严谨和权威。安全需求抽取的主要工作是根据威胁或者预定的安全目标识别安全需求。

4 基于CC的物联网数据安全功能组件和安全保证组件

基于对物联网数据安全的需求分析，结合CC功能组建集合中关于数据安全方面的功能组件的设计，本文对物联网数据安全功能组建和安全保证组建选取了下面的安全功能组建列表和安全保证组建列表（EAL 3级，3级是应用中广泛采用的一个等级）。

5 结束语

在对物联网安全研究中从物联网的数据安全角度出发，建立了基于CC的物联网数据安全风险分析和安全功能组件和安全保证组件的选取，建立了数据驱动的安全保证体系。本文将CC标准融人物联网数据安全需求分析过程中，为物联网的数据安全需求选取了安全功能组件和安全保证组件，从而能够较为容易的开发物联网数据安全防护产品和物联网数据防护提供框架范围内的参考，能部分解决物联网安全的落地问题。对以往的只是从架构角度去谈物联网安全或突出某项关键技术，但脱离实际应用环境的现状做了改进。

结合CC分析物联网的数据安全，在一定程度上达到了脱离具体产品和特定技术，能够较为全面的反映物联网数据安全保证所需的功能组件。该方法对于物联网数据安全评估和物联网安全产品的开发有较好的实用价值。

参考文献

[1]European Research Projects on the Intemet of Things （CERP-IoT） Strategic Research Agenda（SRA）. Internet of things-strategic research roadmap.http：//ec.Europa.eu/information_so ciety/policy/rfid/documents/in_cerp.pdf.）

[2]Commission of the European communities. Internet of Things in 2020， EPoSS， Brussels. http： //umic. pt/images/sto-ries/publicacoes2/1nternet-of-Things_in_ 2020_EC-EPoSS_Workshop_Report_2008_v3.pdf

[3]武传坤物联网安全架构初探中国科学院软件研究所信息安全国家重点实验室《中国科学院院刊》（中文版），2011

[4]孙其博，刘杰，黎，等物联网：概念、架构与关键技术研究综述[J]北京邮电大学学报，2010（03）

[5]郭莉，严波，沈延物联网安全系统架构研究[J]信息安全与通信保密，2010（12）

[6]高同，朱佳佳，罗圣美，孙知信M2M功能架构与安全研究计算机技术与发展2012（1）

[7]李志清.物联网安全架构与关键技术[J]微型机与应用，2011（09）

[8]吴振强，周彦伟，马建峰物联网安全传输模型[J]计算机学报，2011（08）

[9]SachinBabar，AntoniettiaStango， Proposed Embedded Security Framework for Internet of Things （IoT）978-1-4577-07872011 IEEE

[10]ArijitUkil，JaydipSen， Embedded Security for Internet of Things978-1-4244-9581

2011 IEEE

[11]DoriceNyamy， Pascal Urien， HIP-TAG，a New Paradigm for the Internet of Things， 978-1-4244-8790-5/112011 IEEE

[12]杨庚，许建，陈伟，等物联网安全特征与关键技术[J]南京邮电大学学报（自然科学版），2010（04）

[13]郎为民.物联网安全技术的相关研究与发展[J]信息网络安全，2011（03）

[14]杨光，耿贵宁，都婧，等物联网安全威胁与措施[J]清华大学学报（自然科学版），2011（10）

[15]聂学武，张永胜，骆琴，等物联网安全问题及其对策研究[J]计算机安全，2010（11）

[16]李振汕.物联网安全问题研究[J]信息网络安全，2010（12）

[17]Murat D，Youngwhan S An RSSI-based scheme for Sybil attack detection in wireless sensor networks. In： Proceedings of the 2006Intemational Symposium on a World of Wireless， Mobile and Multimedia Nerworks（WoWMoM' 06）， New York USA， June 2006

[18]Hu Y C，Perrig A，Johnson D B Packet leashes：a defense against wormhole attacks in wireless networks， twenty-second annualjointconference ofthe IEEE computer and communications societies. IEEE INFOCOM 2003， 3（30）：1 976-1 986

[19] KrotirisI，DimitriouT，Giannetsos T.LIDeA： A distributed lightweight intrusion detection architecture for sensor networks[C]//Proceedings fo the 4 th Intemational Conference on Security and Privacy for Communication networks， 2008

[20]Loo C E，Ng M Y，LechkieC，et al，Intrusion detection for routing attacks in sensor networks[J]. Intemational Journal of DistributedSensor Networks， 2006， 2（4）L：313-332

[21]Bhuse V，Gupta A Anomaly intrusion detection in wireless sensor networks[J]. Journal of High Speed Networks， 2006，15（1）： 33-51

第4篇：信息网络安全评估方法范文

【 关键词 】 电子认证服务机构；企业竞争力；评价指标体系

【 中图分类号 】 TP393.08 【 文献标识码 】 A

1 引言

随着电子认证服务应用领域的快速扩大和服务层次的逐渐深入，电子认证服务机构的竞争力成为影响一个机构发展的重要因素，同时也是电子认证服务业健康发展的重要因素之一。对电子认证服务机构竞争力进行分析，可以在一定程度上提升服务质量，同时引导行业公平竞争。同时，竞争力分析指标体系的制定可以体现电子认证服务机构市场拓展能力和持续创新潜力。本文专门对电子认证服务机构竞争力评价指标体系进行研究，目的是引导电子认证服务机构的发展方向，促进电子认证服务行业健康发展。

1.1 相关概念及内涵

1.1.1电子认证服务机构

电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。电子认证服务机构是指为需要第三方认证的电子签名提供认证服务的机构。电子认证服务机构目前在国内实行行政许可制度设立，具有独立的企业法人资格，属于法人企业的属性，同时由于是为电子签名相关各方提供真实性、可靠性验证服务，这种服务决定了电子认证服务机构还有具有其特殊性。

1.1.2 企业竞争力评价的内涵

企业竞争力评价，是指借助根据企业竞争力影响因素而建立的指标体系，根据指标体系对企业竞争力水平进行评估的过程。

企业竞争力的提高需要有一个过程和可用于指引这一过程行之有效的战略，而这一战略的制定，应建立一套科学、合理的竞争力评估方法，对企业的竞争优势进行评价，以保证提高竞争力是有的放矢。

企业竞争力是一个具有层次性的概念，其显在的市场表现是由众多因素（包括内、外部因素，主、客观因素，量化与不可量化因素）组成，并共同作用的结果。企业竞争力既表现静态的结果，也表现为动态的变化过程。要正确把握企业竞争力，指导企业的各种活动，帮助企业在激烈的竞争中稳操胜券，并不断提升其竞争地位，就必须对影响企业竞争力结果和过程的诸多因素环节进行分析、提取和转换，建立起可以进行评估操作的指标体系，并采用科学的方法加以评估，使其结果和过程能为企业、行业、区域和国家的经济可持续发展提供支持。

1.1.3电子认证服务机构竞争力评价指标体系

电子认证服务机构竞争力评价指标体系是评价电子认证服务机构服务质量的重要组成部分，是指在参考普通企业竞争力评价指标体系的基础上，结合电子认证服务行业本身的特殊性，对电子认证服务机构进行衡量和评估的一套科学的、合理的、多层次的、具有操作性的评价指标体系。构建电子认证服务机构竞争力评价指标体系，首先要考虑影响电子认证服务机构在行业内发展的主要因素，其次要考虑企业竞争力分析中的诸多因素，从而使电子认证服务机构评价指标体系能够真正评估和反映某个电子认证服务机构的实力和市场竞争力。

2 研究目标与原则

2.1 研究目标

基于一般企业竞争力评价指标并结合电子认证服务行业特殊性和发展现状进行综合分析，设计和制定出科学、合理、全面、切实可行的电子认证服务机构竞争力评价指标体系，为引导形成电子认证服务业正确、健康、公平的竞争环境提供基础支撑。

2.2 指标体系设计原则

指标体系的设计遵循四原则。

（1）科学性原则：企业竞争力指标体系是理论与实践相结合的产物，必须采用科学的方法，以科学理论为指导，客观真实地反映实际情况，使指标体系能够在基本要领和逻辑结构上严谨、合理，各指标概念确切、含义清楚、计算范围明确，数据尽量具有代表性和可靠性，既能系统科学地反映企业竞争力的全貌，又能在某一方面提示对企业竞争力有重大影响的项目。

（2）导向性原则：建立企业竞争力评价指标体系的目的在于，衡量和评价企业竞争力的状况，找出企业竞争力强弱的原因，指出改善企业竞争力的手段和方法，最终增强企业竞争力，从而对企业提高竞争力起到导向和监控作用。分析竞争力指标有助于帮助企业寻找市场和生产潜力，通过自身的经济运行指标与行业及全国平均水平、先进水平的比较，指导企业挖掘自身潜力，引导企业走向良性循环的发展轨道，推动企业提高管理水平。

（3）可行性原则：研究建立企业竞争力评价指标体系的主要目的是提升企业竞争力，因此建立的指标体系及其评价方法应具有可行性和可操作性，设置的指标体系必须与经济发展水平相适应，计算方法科学，操作简单，资料易取得。指标必须有明确的代表性，数据的获取方便、可行，尽可能采用有数据支撑的指标，其相应的计算方法要标准化、规范化，避免产生误解和歧义。

（4）通用性和发展性结合的原则：所建立的指标体系必须具有广泛的适应性，即设立的指标能反映不同类别、不同行业企业竞争力的共性。同时建立的竞争力指标体系必须具有发展性，即可根据具体的行业和企业做出适当的调整，从而灵活应用。

3 电子认证服务机构企业竞争力评价指标体系

企业竞争力评价的核心是怎样用统计学的方法把竞争力的强弱以及影响竞争力的因素表现出来。因此，企业竞争力评价的首要任务是构建测评企业竞争力的指标体系，这是企业竞争力评价的基础工作。在前期研究的基础上，结合电子认证服务机构的特殊性，我们设置电子认证服务机构竞争力评价指标体系，即综合分析影响电子认证服务机构竞争力的各要素，从不同侧面构建电子认证服务机构竞争力评价指标体系。

3.1 机构竞争力指标设计

电子认证服务机构竞争力分析指标主要包含企业规模、企业增长速度、运营管理能力、市场拓展能力、经营能力、服务保障能力、技术研发能力、产品竞争能力八个要素。

企业规模用来衡量电子认证服务机构整体发展情况。一般来说，企业规模大可以获得规模经济，并且增强企业产品的市场竞争综合实力，包括新产品开发能力、营销网络的建立、企业形象的总体策划能力等。

企业增长速度反映了企业的成长能力，它是企业通过自身的生产经营活动，不断扩大积累而形成的发展潜能。衡量电子认证服务机构的增长速度，我们考虑了其主要服务——提供数字证书的服务，因此数字证书数量也是衡量指标之一。

运营管理能力是衡量电子认证服务机构综合运营水平的重要方法。运营管理水平影响电子认证服务机构竞争力的主要因素。市场拓展能力是衡量电子认证服务机构市场服务能力及发展前景的重要方法。

企业经营能力是衡量企业生存能力高低的指标器。一般通过净资产、盈利能力、流动比率、净利润率。净资产是企业所有，并可以自由支配的资产。盈利能力是通过资本收益率来衡量，反映企业以实收资本为基础的盈利情况，资本收益率=净利润/实收资本。流动比率是反映企业短期偿债能力。用流动比率来衡量企业的偿债能力是要求企业的流动资产有足够能力偿还短期的债务，并且有余力去应付日常经营活动中的气压资金需要。根据西方国家的经验，流动比率=流动资产/流动负债，一般情况下，流动比率达到2：1的水平，表明企业的短期偿债能力是好的。净利润率反映了净利润的增长速度，净利润率=净利润/主营业务收入。

服务保障能力主要用来衡量电子认证服务机构在设备、技术、人员等方面是否具备支撑服务的能力。

企业的技术研发能力在评估上较难把握。作为企业发展的原动力，企业的技术活动对企业当前业绩和未来发展具有及其重要的作用。而技术研发是一项非常负责的投入产出活动。因此对技术研发能力的评价应该从技术的投入和产出两个方面评估。技术研发投入方面主要在经费投入的强度，人员结构等方面加以度量，产出可以通过专利数目等进行衡量。

产品竞争力反映了企业产品的市场竞争能力，即产品符合市场要求的程度，体现在消费者对产品各种竞争力要素的考虑上，直接体现在证书数量的市场占有率，以及营业收入的市场份额等。

每项要素具体指标选择如图1所示。

3.2 机构竞争力指标权重设计

指标权重的确定取决于指标所反映的评价内容的重要性和指标本身信息的可信赖程度。对定量指标的权重设置综合运用相关权重法和德尔菲法（Delphi） ；对定性指标，由于无法用数据进行相关性测试，主要采用Delphi 法确定权重。所有定性指标的答案得分可分成“优秀”、“良好”、“中等”、“差”、“极差”五个等级。可参照下列标准确定得分水平： （1） 优秀（5分） ，即提供电子认证服务所希望得到的较高水平和能力； （2） 良好（4 分） ，即完全实施了电子认证服务要求的基本目标，部分重要指标优良，不存在不合格项； （3） 中等（3 分） ，即基本达到了电子认证服务要求的最低要求，较差指标项不涉及关键服务内容； （4） 差（ 2分） ，即电子认证服务机构缺乏竞争力，关键服务内容存在问题。（5） 极差（ 1分） ，即电子认证服务机构及其缺乏竞争力，风险突出。

4 电子认证服务机构竞争力模糊评价模型

以电子认证服务机构评价指标体系基础上，可以应用模糊指标综合判断法来建立竞争力综合评价模型，以便对电子认证服务机构进行综合评定。

考核因素集：

F={F1，F2，F3，F4，F5，F6，F7，F8}

F1={f11，f12，f13，f14，f15}

F2={f21，f22，f23，f24，f25}

F3={f31，f32，f33，f34，f35，f36}

F4={f41，f42，f43，f44，f45}

F5={f51，f52，f53，f54}

F6={f61，f62，f63，f64}

F7={f71，f72，f73，f74，f75，f76}

F8={f81，f82，f83，f84}

确定权重：

WF={WF1，WF2，...，WF8}

Wf1={Wf11，Wf12，Wf13，Wf14，Wf15}

Wf2={Wf21，Wf22，Wf23，Wf24，Wf25}

Wf3={Wf31，Wf32，Wf33，Wf34，Wf35，Wf36}

Wf4={Wf41，Wf42，Wf43，Wf44，Wf45}

Wf5={Wf51，Wf52，Wf53，Wf54}

Wf6={Wf61，Wf62，Wf63，Wf64}

Wf7={Wf71，Wf72，Wf73，Wf74，Wf75，Wf76}

Wf8={Wf81，Wf82，Wf83，Wf84}

并且，WFi =1，Wfij=1，i-=1，2，...，8 。

各考核因素的隶属度向量矩阵：

R=

其中，rij表示Fi关于综合评级的隶属程度，隶属度向量的各分量可根据考核资料的统计处理求得， 一般取归一化，即隶属度之和为1。

计算综合评价结果

Si=WfiRi，i=1，2，...，8 ；

经归一化处理后，得到，

S={S1，S2，S3，S4，S5，S6，S7，S8，}。

依据每项的综合评价得分S，进行机构的综合竞争力计算。

本文对电子认证机构竞争力评价模型进行了初步的探讨，在具体应用上、指标的选择上、权重的设置等方面，还需要根据具体情况评估确定。

5 结束语

总之，企业的竞争力评价是一项系统工程，需要对企业的现状和发展以及能力做出全面的衡量才能准确地对企业竞争力加以把握。我们结合电子认证服务机构以及行业特点提出电子认证服务机构竞争力评价指标体系由上述八个方面综合评价而成。不同的评价次级指标评价的角度不同，但基本上涵盖了电子认证服务机构竞争力的各个方面。在企业的竞争力评价指标体系的建立过程中通过把这八个方面表达在一个总体的框架中，做出对电子认证服务机构竞争力给出恰当的评价，并对电子认证服务机构战略的制定和竞争力的提高提供可行的方向。

参考文献

[1] 中华人民共和国电子签名法.2005.

[2] 李庆东.企业竞争力评价指标体系与评价方法研究.辽宁石油化工大学学报，2004（1）：93-96.

[3] 吴翔，臧良运.中小企业竞争力评价指标体系与评价方法选择.东北电力大学学报，2006（1）：85-88.

[4] 周勇，郑丕锷.企业核心竞争力分析.西安电子科技大学学报，2007（2）：25-30.

[5] 陈月华.网站可信评价指标体系研究.信息网络安全，2013（5）：79-82.

基金项目：

本课题得到国家高技术研究发展计划（863计划）No.2012AA01A403支持。