网络安全评估报告精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全评估报告主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全评估报告范文

关键词：网络安全；风险评估；安全措施

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)06-11012-01

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract：To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

频频发生的信息安全事件正在日益引起全球的关注，列举的近年来的网络突发事件，不难发现，强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估，是指网络安全防御中的一项重要技术，它的原理是，根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现，以及所导致的信息技术环境的转变，信息安全工作人员要不断地评估当前的安全威胁，并不断对当前系统中的安全性产生认知。

2 网络安全风险评估的现状

2.1 风险评估的必要性

有人说安全产品就是保障网络安全的基础，但有了安全产品，不等于用户可以高枕无忧地应用网络。产品是没有生命的，需要人来管理与维护，这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入，时时伺机进攻。这就更要求对安全产品及时升级，不断完善，实时检测，不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的，它需要合适的安全体系和合理的安全产品组合，需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常，在一个企业中，对安全技术了如指掌的人员不多，大多技术人员停留在对安全产品的一般使用上，如果安全系统出现故障或者黑客攻击引发网络瘫痪，他们将束手无策。这时他们需要的是安全服务。而安全评估，便是安全服务的重要前期工作。网络信息安全，需要不断评估方可安全威胁。

2.2 安全评估的目标、原则及内容

安全评估的目标通常包括：确定可能对资产造成危害的威胁；通过对历史资料和专家的经验确定威胁实施的可能性；对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的；准确了解企业网的网络和系统安全现状；明晰企业网的安全需求；制定网络和系统的安全策略；制定网络和系统的安全解决方案；指导企业网未来的建设和投入；通过项目实施和培训，培养用户自己的安全队伍。而在安全评估中必须遵循以下原则：标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。

安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查，进行专业安全的技术评定，并根据评估结果提供评估报告。

目标系统主要是主流UNIX及NT系统，主流数据库系统，以及主流的网络设备。使用扫描工具对目标系统进行扫描，提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。

系统加固报告服务选择使用该服务包，必须以选择ISMR/SSMR/HME服务包为前提，针对评估分析报告，提出加固报告。系统加固报告增强服务选择使用该服务包，必须以选择ISMR/SSMR/HME服务包为前提，针对评估分析报告，提出系统加固报告，并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包，必须以选择 ISMR/SSMR/HME服务包为前提，针对评估分析报告，提出系统加固报告，并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户，并由专业安全工程师实施加固工作。

3 网络安全风险评估系统

讨论安全评定的前提在于企业已经具有了较为完备的安全策略，这项工作主要检测当前的安全策略是否被良好的执行，从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP，而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护，网络安全评定的主要目标就是为修补全部的安全问题提供指导。

评定网络安全性的首要工作是了解网络拓扑结构，拓扑描述文档并不总能反映最新的网络状态，进行一些实际的检测是非常必要的。最简单的，可以通过Trackroute工具进行网络拓扑发现，但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后，应该获知所有计算机的网络地址和机器名。对于可以访问的计算机，还应该了解其正在运行的端口，这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后，就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。

安全领域的很多专家都提出边界防御已经无法满足今天的要求，为了提高安全防御的质量，除了在网络边界防范外部攻击之外，还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据，包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险，是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析，也有很多厂商开发出了整合式的安全信息管理平台，可以实现所有系统模块的信息整合与联动。

数据作为信息系统的核心价值，被直接攻击和盗取数据将对用户产生极大的危害。正因为如此，数据系统极易受到攻击。对数据库平台来说，应该验证是否能够从远程进行访问，是否存在默认用户名密码，密码的强度是否达到策略要求等。而除了数据库平台之外，数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证，不但要检验其是否存在安全问题，还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证，利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用，而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面，这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比，应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。

4 结束语

目前我国信息系统安全风险评估工作，在测试数据采集和处理方面缺乏实用的技术和工具的支持，已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法，总结出一套适用于我国国情的信息安全效用评价体系，以保证信息安全风险评估结果准确可靠，可以为风险管理活动提供有价值的参考；加强我国信息安全风险评估队伍建设，促使我国信息安全评估水平得到持续改进。

参考文献：

[1] 陈晓苏，朱国胜，肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001，32-34.

[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用，2004(7)，21-24.

[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.

[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社，2000.

[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1)，40-45

[6] 赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.

第2篇：网络安全评估报告范文

    1缺乏计算机安全评估系统

    众所周知,一个系统全面的计算机安全评估系统是防止黑客入侵计算机的重要保障,安全评估体系能够对整个计算机网络的安全性与防护性作出一个较为科学严谨的分析评估,而且该评估系统还会根据实际的计算机网路安全评估报告来制定相关的计算机安全使用策略。然而,在我们的计算机实际应用中,往往不注意计算机安全评估系统的构建,只注重计算机网络安全事故的预防与事后处理,平时欠缺对计算机网络安全作出及时的评估与监控,给计算机网络安全造成一定的安全隐患。

    2计算机外界威胁因素

    计算机网络安全事故很多是由计算机外界威胁因素造成的,这其中包括自然环境威胁、网络黑客与病毒的入侵攻击与非法访问操作。自然环境威胁一般是指计算机外在的自然条件不太完善,如各种无法预测的自然灾害、难以控制的计算机外部机器故障等因素。网络黑客与病毒的入侵攻击不但会对计算机的网络安全带来极大的破坏,还会摧毁计算机系统,对计算机自身造成极大的伤害。据估计,未来网络黑客与病毒的摧毁力度将会越来越强,而它们自身的隐蔽性与抗压性也会相应地得到提高,所以说,网络黑客与病毒的存在对计算机网络安全造成严重威胁。而非法访问操作则主要指一些未得到授权,私自越过计算机权限,或者是不法分子借助一些计算机工具去进行计算机程序的编写,从而突破该计算机的网络访问权限,入侵到他人计算机的不法操作。

    二、计算机网络安全防范措施

    1建立安全可靠的计算机安全防线

    安全可靠的计算机安全防线是避免计算机网络不安全因素出现的最关键环节,其构建主要依靠计算机防火墙技术、数据加密技术与病毒查杀技术。防火墙控制技术主要是一种建立在各网络之间的互联设备,能够有效避免不法分子以不正当方式入侵网络内部,防止不法分子盗取计算机网络内部的信息资源,是计算机内部一道强有力的网络安全屏障。数据加密技术的主要作用就是对计算机内部的数据添加密文设置,未经授权的计算机不法分子是无法获取数据、读懂数据的,最终达到保护网络数据传输的正确性与安全性。常用的数据加密技术包括有:保证个网络节点间信息传输正确且安全的链路加密技术、确保计算机始端数据传输与终端数据接收安全的端点加密技术与保证源节点到目的节点之间传输安全可靠的节点加密技术。病毒查杀技术可谓是计算机安全网络防范最为关键的环节。病毒查杀技术一般通过杀毒软件的安装运行去运行的,在计算机安装杀毒软件以后,应当定时对杀毒软件进行实时的监测控制,定期对杀毒软件进行升级处理,按时对计算机进行杀毒扫描,以求及时将计算机内容隐藏病毒进行发现处理。

    2提高计算机用户与计算机网络管理人员的安全意识

    于个人计算机用户而言,必须要加强计算机网络资源管理意识,根据自己实际需要对计算机设置特殊的口令,确保计算机数据获取的合法性与安全性,避免其他计算机用户以非法手段入侵计算机内部,获取相关计算机网络数据资源,造成计算机网络安全隐患。闲时,计算机用户还必须注意对病毒进行监测清除,避免网络黑客的入侵导致计算机系统崩溃。于社会团体组织而言,必须注重提高内部计算机管理人员的网络安全意识,注意采用适当的方法去培养一批具有专业计算机技术的网络监控人员,打造精英计算机安全管理团队,能及时对网络不法攻击作出处理,构建一个系统全面的计算机网络安全管理体系,致力打造一个安全可靠的计算机网络环境。

    3完善计算机网络安全制度

    健全的计算机网络安全制度不但可以规范计算机网络安全使用,还能够借助法律法规等强硬手段去彻底打击计算机网络犯罪,及时对计算机网络不法分子给予相关惩处,保证了计算机网络环境的安全可靠。因此,加强并且定期完善计算机网络安全立法制度是十分必要的。

    4其他管理措施

    计算机网络安全防范仅仅依靠强硬的计算机安全防御系统与专业的计算机网络安全管理技术人员是远远不够的,还必须定期对计算机网络系统进行一系列的专业评估与监测控制,实时对计算机网络运行、数据传输过程进行监控,热切关注计算机内部系统是否存在一些漏洞,一旦发现漏洞,要尽早处理,避免其他计算机病毒的攻击。

第3篇：网络安全评估报告范文

关键词：信息安全；等级保护；漏洞扫描

中图分类号：TP315 文献标识码：A 文章编号：1007-9599 (2011) 23-0000-02

Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management

Chen Wan

(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)

Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.

Keywords:Information security;Protection Level;Vulnerability scanning

引言：伴随着信息化的高速发展，信息安全的形势日趋复杂和严峻。国家政府对信息安全高度关注，信息安全等级保护是我国在新的信息安全形势下推行的一项国家制度，国家相关部门高度重视等级保护制度的落实与执行。信息系统是业务系统的支持平台，信息系统的安全是承载业务系统安全的基础，而在信息系统等级保护中，安全技术测评包括五个部分：分别是物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。其中所涉及到的主机系统安全控制点包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、入侵防范、恶意代码防范和资源控制等九个控制点。怎么提前做好风险控制，利用现有的信息安全工具，规范信息系统主机上架前的检测，对信息安全的管理是一种创新的尝试，也是安全管理中位于未雨绸缪的体现。

一、漏洞扫描系统的构建

（一）漏洞扫描工具的作用

漏洞扫描工具采用高效、智能的漏洞识别技术，第一时间主动对网络中的资产进行细致深入的漏洞检测、分析，并提供专业、有效的漏洞防护建议。

我们采用的漏洞扫描工具的管理是基于Web的管理方式，用户使用浏览器通过SSL加密通道和系统Web界面模块进行交互，采用模块化设计。具有优化的专用安全系统平台，具有很高的安全性和稳定性。其专用硬件能够长期稳定地运行，很好地保证了任务的周期性自动处理。能够自动处理的任务包括：评估任务下发、扫描结果自动分析、处理和发送、系统检测插件的自动升级等。同时支持多用户管理模式，能够对用户的权限做出严格的限制，通过权限的划分可以实现一台设备多人的虚拟多机管理，并且提供了登录、操作和异常等日志审计功能，方便用户对系统的审计和控制。

在每次安全评估之前，用户需要根据自己的业务系统确定需要进行评估的资产，并且划分资产的重要性。漏洞扫描系统根据用户的资产及其重要性会自动在其内部对目标评估系统建立基于时间和基于风险等多种安全评估模型。在对目标完成评估之后，模型输出的结果数据不但有定性的趋势分析，而且有定量的风险分析，用户能够清楚地看到单个资产、整个网络的资产存在的风险，还能够看到网络中漏洞的分布情况、风险级别排名较高的资产、不同操作系统和不同应用漏洞分布等详细统计信息，用户能够很直观地了解自己网络安全状况。

（二）漏洞扫描工具的部署

针对汕头供电局的网络情况，使用独立式部署方式。独立式部署就是在网络中部署一台漏洞扫描设备。在共享式工作模式下，只要将设备接入网络并进行正确的配置即可正常使用，其工作范围通常包含汕头供电局的整个网络地址，用户登录系统并下达扫描任务。下图是漏洞扫描系统独立式部署模式图。从图中可以看出，无论在汕头供电局何处接入设备，网络都能正常工作，完成对网络的安全评估。

图1：漏洞扫描系统独立式部署模式图

（三）漏洞扫描工具的定位

1.利用漏洞扫描工具定期对网络信息系统进行扫描，以便主动发现存在的安全隐患和防护漏洞。

2.巡检服务中对操作系统修补、加固和优化，根据提供出来的评估报告对相关系统进行打补丁、升级、修补、加固和优化，提供详细操作报告。

3.巡检服务过程中针对网络设备安全加固和优化；进行修补和加固，按照安全策略进行安全配置和优化，提供详细操作报告。包括：网络设备的安全配置，网络设备的安全加固，网络设备的优化配置等。

4.检服务过程中对网络安全设备，对所有网络边界进行梳理，对边界安全防护系统的策略进行优化。通过综合应用防火墙、IPS、防病毒网关等网络安全系统，在区域边界实施严密的控制措施，尽量在边界阻断来自区域外的安全威胁，从而最大化地提高电力信息数据的安全性和电力信息系统的可用性。

5.巡检服务过程中在安全评估的基础上，对桌面终端和服务器系统中存在的安全漏洞进行修复。对于无法修复的漏洞，评价其可能带来的安全风险，并采用周边网络防护系统（如防火墙、IPS等）阻断可能的攻击，或通过监控等手段对该风险进行控制管理。

二、服务器上架漏洞扫描规范编写

按照信息安全工作实际需要，以“制度化管理、规范化操作”为原则，完善信息安全管理策略规范，理顺信息工作内部安全控制流程规范，不断增强网络与信息安全整体管控效能。为更好的保障汕头供电局信息网络的安全、稳定运行，使得漏洞扫描工具能真正的用到实处，特制订漏洞系统管理流程。如下图：

图2：每季度漏洞扫描流程图

图3：新服务器上架前漏洞扫描流程图

（一）漏洞扫描管理员的职责

负责漏洞扫描软件（包括漏洞库）的管理、更新和公布；

负责查找修补漏洞的补丁程序，及时提出漏洞修复方案；

密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情；

每季度第一个月1-4日期间（节假日顺推）进行上季度安全扫描复查；

每季度第一个月5号（节假日顺推）生成上季度汇总报告；

新系统上线前，负责对系统管理员提出的申请的主机进行漏洞扫描检查，并提交漏洞扫描报告给系统管理员，并检查主机漏洞修补情况。

（二）系统管理员的职责

负责对漏洞扫描系统发现的漏洞进行修补工作；

遵守漏洞扫描设备各项管理规范。

新系统上线前，提交扫描申请，并负责对漏洞扫描系统发现的漏洞进行修补工作。

三、结束语

第4篇：网络安全评估报告范文

关键词：网络安全；病毒防范；防火墙

0引言

如何保证合法网络用户对资源的合法访问以及如何防止网络黑客的攻击，已经成为网络安全的主要内容。

1网络安全威胁

1.1网络中物理的安全威胁例如空气温度、湿度、尘土等环境故障、以及设备故障、电源故障、电磁干扰、线路截获等。

1.2网络中信息的安全威胁①蠕虫和病毒。计算机蠕虫和病毒是最常见的一类安全威胁。蠕虫和病毒会严重破坏业务的连续性和有效性。随着病毒变得更智能、更具破坏性，其传播速度也更快，甚至能在片刻间使信息处理处于瘫痪状态，而要清除被感染计算机中的病毒所要耗费的时一间也更长。②黑客攻击。“黑客”一词由英语Hacker英译而来，原意是指专门研究、发现计算机和网络漏洞的计算机爱好者。现如今主要用来描述那些掌握高超的网络计算机技术窃取他人或企业部门重要数据从中获益的人。黑客攻击主要包括系统入侵、网络监听、密文破解和拒绝服务（DtS）攻击等。

2网络安全技术

为了消除上述安全威胁，企业、部门或个人需要建立一系列的防御体系。目前主要有以下几种安全技术：

2.1密码技术在信息传输过程中，发送方先用加密密钥，通过加密设备或算法，将信息加密后发送出去，接收方在收到密文后，用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，也只能得到无法理解的密文，从而对信息起到保密作用。

2.2身份认证技术通过建立身份认证系统可实现网络用户的集中统一授权，防止未经授权的非法用户使用网络资源。在网络环境中，信息传至接收方后，接收方首先要确认信息发送方的合法身份，然后才能与之建立一条通信链路。身份认证技术主要包括数字签名、身份验证和数字证明。

2.3病毒防范技术计算机病毒实际上是一种恶意程序，防病毒技术就是识别出这种程序并消除其影响的一种技术。从防病毒产品对计算机病毒的作用来讲，防病毒技术可以直观地分为病毒预防技术、病毒检测技术和病毒清除技术。

①病毒预防技术。计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。病毒预防技术包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。②病毒检测技术。它有两种：一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术；另一种是不针对具体病毒程序的自身校验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地以保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段完整性己遭到破坏，感染上了病毒，从而检测到病毒的存在。③病毒清除技术。计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一个逆过程。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的，带有滞后性。而且由于计算机软件所要求的精确性，杀毒软件有其局限性，对有些变种病毒的清除无能为力。

2.4入侵检测技术入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术，也是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

①特征检测的假设是入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将己有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。②异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

2.5漏洞扫描技术漏洞扫描就是对系统中重要的数据、文件等进行检查，发现其中可被黑客所利用的漏洞。漏洞检测技术就是通过对网络信息系统进行检查，查找系统安全漏洞的一种技术。它能够预先评估和分析系统中存在的各种安全隐患，换言之，漏洞扫描就是对系统中重要的数据、文件等进行检查，发现其中可被黑客所利用的漏洞。随着黑客人侵手段的日益复杂和通用系统不断发现的安全缺陷，预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。漏洞扫描的结果实际上就是系统安全性能的评估报告，它指出了哪些攻击是可能的，因此成为网络安全解决方案中的一个重要组成部分。

漏洞扫描技术主要分为被动式和主动式两种：

①被动式是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查。②主动式则是基于对网络的主动检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。

2.6慝。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

第5篇：网络安全评估报告范文

【 关键词 】 组件技术；网络安全；架构；机制

Component Technology Framework for Analysis of Network Security Management

Hu Ting-feng

(The twentieth Middle School of Beijing City Beijing 100085)

【 Abstract 】 With the growing popularity of Internet applications, to further accelerate the process of resource sharing computer network, the resulting network security issues can not be ignored. In this paper the current status of the component technology, component technology present a network security management structure, and as a basis for analyzing the structure of the implementation mechanism and security mechanism, enhance the stability of network operation, security.

【 Keywords 】 component technology; network security; architecture; mechanism

0 引言

随着组件技术的应用，带来一次软件开发革命，为修改与复用提供了更好的技术支持。基于组件技术的三层软件开发结构，更利于系统分项与整体功能的实现，具有一定实用价值。正是鉴于组件这一特殊功能，可满足软件的即插即用功能，有针对性地进行修复与升级。但是随着组件技术的广泛应用，安全性能问题日益凸显，已不容忽视。文章结合实际工作经验，重点依据网络安全管理模型，对相关技术进行具体分析。

1 组件技术的网络安全管理架构

目前，大多网络安全产品之间的功能具有重复性特点，单个的安全产品既希望获得更多功能，同时又难以满足用户的各方面需求。因此，在建设安全管理系统过程中，虽然用户也购买了较多产品，但是产品综合效益难以发挥。针对这一问题，最好的解决办法就是实现各种安全产品与安全软件的功能组合。这样，安全产品不再以独立的形态出现，安全组件技术应运而生。 每一种安全组件都需继承并顺利实现接口，完成某项或者某组特殊任务，但是每一项软件功能都有明确划分，不会出现功能重复。在用户应用安全管理系统时，根据具体要求从组件库中选择适用的安全组件，选定的安全组件借助综合平台实现集成功能。如图1所示。

在安全组件运行的平台上，统一分发、配置、加载、升级并管理安全组件。通过应用组件技术，提供了系统安全的系统性、灵活性、集成性、开放性、模块性、透明性及可管理性等优势。安全管理服务器作为整个系统运行的核心，在分布式运行环境中，可对外提供各种基础，如策略管理、资产管理、事件管理、应急响应等。通过应用安全管理服务器，可对组件完成集中注册、存储、索引、分发等，加强对各项管理信息、相关策略的收集、索引、存储、分发等功能，同时支持审计。

通过应用数据库，给安全系统提供数据查询、存储支持等功能。在安全管理控制台中，提供了统一的系统管理界面框架以及各项服务配置的界面。可在该平台中实现策略编辑组件、监视组件等功能，实现面向系统用户与管理员，管理员完成安全监督、安全策略、应急响应等工作。

分布式组件容器，分别部署于网络的各个端点位置，为组件运行提供基础环境，支持每个功能组件的统一运行环境、加载方式、通信模块以及通用功能等。通过组件技术，实现安全产品的深化改造，统一在系统中加载运行，统一管理安全产品的应用性能、网络配置以及安全性能，提高管理效率，确保整个系统的顺利运行。

2 网络安全管理架构的实现机制研究

通过组件技术，将入侵检测技术、漏洞扫描、防火墙技术、网络安全评估等相结合，利用多组件的动态协作模型，可确保安全组件既独立运行又相互通信、共同开展工作，提高工作效率与质量，实现网络与主机的保护功能。

2.1 防火墙和网络探测器

网络探测器建立在入侵检测技术基础上，拦截并获取网段中的数据包，从中找出可能存在的敏感信息或入侵信息，发挥保护作用。当网络探测器检测到攻击事件，就可实时记录并保存有关信息，将信息传输到管理控制台，实现报警提示。但是网络探测器自身并不能直接阻断具有攻击行为的网络连接，只能作提示所用。因此，为了及时发现攻击行为，应加强防火墙和网络探测器的协作，由网络探测器发出请求信号，通过防火墙切断网络连接。另外，如果防火墙自身发现了可疑但是不能确定的事件，也可将有关信息传送到网络探测器中，由网络探测器进行分析与评估。当网络探测器发出通知，要求防火墙切断网络连接，则调用API命令的函数：FW-BLOCK，其中包括命令源、源端口、目标端口、源IP、目标IP、组断电等。其中，命令源主要指发送命令的组件技术，阻断点则主要指防火墙阻断的具置。

2.2 防火墙和扫描器

扫描器定期或者按照实际需要，评估目标网络及主机的安全风险。如果发现漏洞，扫描器不能实现漏洞修补功能，而是通过管理人员的人工干预。如果在发现漏洞到修补漏洞的这段时间内，发现风险级别较高的漏洞但是无法及时采取措施，将增加系统的安全风险，给系统运行造成威胁。基于这一实际情况，可以实现扫描器与防火墙的协作功能，如果扫描器检测到主机中的服务存在高风险漏洞，即将信息传输到防火墙，由防火墙对外部网络的访问行为进行限制，当人工干预修补漏洞完毕之后，再请求防火墙开发外部信息的输入。通过实现这一操作过程，可在扫描器端口分别调用FW-BLOCK以及FW-RELEASE命令函数。

2.3 网络探测器和主机

网络探测器和主机都是完成入侵检测任务的重要组成部分，二者的集成与协作较为简单。实际上，当前很多入侵检测系统中集合了基于主机与网络两种测试技术的复合型入侵检测系统，例如ISS中的ReaSecure。在组件技术的网络安全管理架构中，网络探测器和主机两种组件部署在保护网络的不同层次与位置，分别收集来自不同层次、不同位置的信息，共同归属于一个安全数据库，协同整合网络信息，并在整个网络范围内判断各种异常行为的特点与具体过程，如经过伪装的入侵行为等。在网络探测器和主机之间，实现共同协作，应参照CIDF建议中的相关标准，以CISL数据交换语言及格式为主。

2.4 管理控制台和组件技术

在组件技术的网络安全管理架构中，设置专用控制台，统一集中管理组件。通过这种集中式的网络安全管理环境，更好地保持组件之间协作，成为有机整体。网络管理员只要通过管理控制台就可以访问并控制各个组件，提升整个网络安全策略，实时掌握安全动态，并做好相关测试工作，保障各组件之间的协调工作，全面保护网络运行。

2.5 扫描器和入侵检测

当扫描器扫描到网络及系统中的脆弱性安全信息，对网络探测器以及主机的入侵检测非常重要。因此，在该组件技术的网络安全管理架构中，每次扫描器完成扫描评估过程，就会将漏洞信息中的相关入侵检测组件，包括服务端口、主机IP地址、CVE值以及风险级别等。另外，在扫描器中可以获得相应的目标网络安全评估报告，给网络探测器、主机等部署提供有效建议。如果入侵检测组件已经检测到内部主机中产生的攻击信息，就可同时传递到扫描器中，实行主机安全评估，尽快完善主机存在的系统漏洞及安全隐患。

3 组件技术的安全机制

为了确保各个安全组件的协同工作，各组件之间必须兼容、共享，保持密切通信关系，实现信息交互。在大型分布式网络构架中，大多安全组件安装在通用网络中，因此组件技术的安全系统中各组件之间的通信也通过网络而实现，安全系统自身也可能受到外来病毒、黑客的入侵与攻击。

出于对网络安全管理系统自身安全性的重视，构建一个安全、可靠、完整的内部通信机制非常重要。为了确保组件技术的网络安全系统自身具有安全性、可靠性，建议采取PKI身份认证或者保密通信机制。给系统中的组件通信提供鉴于数字证书基础上的身份认证、消息加密、消息认证、消息发送等。在整个PKI系统中，主要包括CA服务器、客户端应用接口、证书查询服务器三大部分，如图2所示。

其中，CA服务器用于签发并核实证书；客户端应用接口则是一个用于安全组件中的PKI应用接口软件，支持入侵检测系统、扫描器、防火墙等安全组件的身份认证与通信保密；证书查询服务器支持各种证书查询服务。在CA服务器中，向系统中的所有组件签发证书，每两个组件之间实现通信连接。以证书查询服务器为基础，验证对方身份，并协商好共享的对称密钥，通过该密钥实现系统加密，构建一条信息交换的安全通道。

4 系统应用的优势分析

（1）在整个管理构架系统中，存在着多级防御体系，分别完成不同的工作任务。将整体工作量具体划分为若干层次，可避免过去集中式系统中常产生的负载过度集中问题。在该系统中，负责服务器组的安全防御体系中，监控过滤后的流量，与监控所有流量的方式相比，负载有所降低，有效提高监控效率。

（2）对于各个子系统，在不同防御级别上有所重叠，更利于实现不同子系统之间的协作管理。例如，在核心防御系统中，防火墙、网络扫描器、中心NIDS端接在同一个核心交换机中，极大方便相互协作与信息共享。

（3）与传统的网络安全管理系统相比，该系统既可防御外部网络攻击，更可对内部攻击行为进行记录，为用户提供依据，防堵内部漏洞，震慑内部攻击行为，提高系统运行安全性。

5 结束语

随着网络安全问题的日益突出，给网络安全防护提出全新要求，且体系结构越来越复杂，涉及到各种各样的安全技术与安全设备。随着网络安全管理系统的提出，将过去孤立的网络安全转变为统一性、集中性的大型安全技术管理。以组件技术为基础的网络安全管理架构系统来看，不同的组件在不同机器、不同设备运行时，执行的任务也有所不同，但是最终归属到安全管理控制台中，统一汇总并管理。

可见，以组件技术为基础的网络安全管理构架，既可保障系统安全性、完整性，也可发挥最大效益，减少投入成本，更方便网络安全设备的统一监控、集中管理，减少安全管理员的工作强度。当前，该架构已逐渐应用并推广，具有良好的发展空间。

参考文献

[1] 朱思峰,李春丽,刘曼华,杨建辉.基于多组件协作的网络安全防御体系研究[J].周口师范学院学报,2007（2）.

[2] 刘效武.基于多源融合的网络安全态势量化感知与评估[J].哈尔滨工程大学：计算机应用技术,2009.

[3] 谢桂芹.网络安全软件的自动化测试系统的研究与应用[D].南京邮电大学：计算机软件与理论,2009.

[4] 郭晨,夏洁武,黄传连.基于漏洞检测安全中间件的设计与实现[J].微计算机信息,2007（18）.

[5] 王宇,卢昱.基于组件及信任域的信息网络安全控制[J].计算机应用与软件,2006（3）.

[6] 杨宏宇,邓强,谢丽霞.网络安全组件协同操作研究[J].计算机应用,2009（9）.

第6篇：网络安全评估报告范文

 

 

随着水利信息化工作的不断推进，电子政务，水利公共信息载体，数字水利，以及水资源管理体系等信息化结果的出现，有利的推进了水利现代化的运行。网络平台是信息构建和信息化成果使用的重要媒介，充分的表现出了IT的实际价值。在互联网飞速发展的现在，网络进攻的方式也逐渐增多，信息体系所承受的安全风险也逐渐增加，怎样保证网络信息的安全是现在水利信息化进程中急需要处理的问题之一。

 

1 水利网络信息安全的实际状况

 

最近几年，水利部门根据水利工作的实际状况，在对治水经验和实际操作进行总结的过程中，提出要转变过去的水利发展道路，坚持走可持续发展水利道路，建立水利现代化的发展道路。随着水利事业的不断发展和变革，水利信息化构建也取得了一定的成绩，逐渐转变成为水利现代化的主要力量。根据国家防汛抗旱指挥系统中的一期工程城市水资源的监控管理，水利电子政务的相关项目和大型灌区信息化试点等重要工程的顺利完成，水利信息化基础设备也在不断的健全，对业务的使用能力也在逐渐加强。防汛抗旱，城市水资源的监控管理，水利电子政务和全国水土保持监管信息体系等业务也开始应用到实际生活中。在水利信息化基础构建和业务不断拓展的过程中，相关的保证水利信息化安全的体系也逐渐形成。

 

2 强化水利网络信息安全的解决措施

 

网络和信息的安全隐患问题，使得水利信息化的发展受到阻碍，所以要及时的进行预防，综合治理和科学管理，逐渐增加信息的安全性，加强其中的保护能力，保证水利信息化的持续运行。

 

2.1 加强信息安全管理

 

信息安全规划包含了技术、管理和相关法律等多个层面的问题，是稳定网络安全、物理安全、资料安全和使用安全的关键因素。信息安全规划不但依赖于信息化的管理，还是信息化形成的重要力量。在信息安全管理的过程中，信息系统安全构建和管理要更加具有系统性、整体性和目标性。

 

2.1.1 以信息化规划为基础，构建信息化建设

 

信息安全是在信息化规划的基础上，对信息安全进行系统的整理，是信息化发展的主要力量。信息安全规划不但要对信息化发展的实际情况进行深入的分析和研究，更好的发现信息化中存在的安全隐患，还要根据信息化规划以及信息化发展的主要战略和思路，有效的处理信息安全的问题。

 

2.1.2 构建信息安全系统

 

信息安全规划需要从技术安全、组织安全、战略安全等方面入手，构建相关的信息安全系统，从而更好的保证信息化的安全。

 

2.2 日常的运维管理

 

2.2.1 注重网络的安全监控

 

网络的飞速发展使得水利网络安全和互联网安全关系更加紧密。所以，注重互联网安全监控，从而及时的采取相关的安全防护措施，是现在日常安全管理工作中的主要内容。

 

2.2.2 安全状态研究

 

网络信息安全是处于不断变化的过程中，需要定时对网络安全环境进行整体的分析，这样不但可以发现其中的问题，还可以及时的采取相关的措施进行改正。安全态势主要是利用网络设备、主机设备、安全设备和安全管理工具等策略来进行信息的处理，通过统计和分析，综合评价网络系统的安全性，并且对发展的状态进行判断。

 

2.2.3 信息安全风险评估

 

风险评估是信息安全管理工作中的重要部分。通过进行风险评估，可以及时的发现信息安全中的问题，并且找到积极有效的解决措施。安全风险评估的主要方法是：(1)对被评估的主要信息进行确定;(2)通过本地审计、人员走访、现场观看、文档审阅、脆弱性扫描等方法，对评估范围中的网络、使用和主机等方面的安全技术和信息进行管理;(3)对取得的信息资料进行综合的分析，判别被评估信息资产中存在的主要问题和风险;(4)从管理体制、管理措施、系统脆弱性判别、威胁研究、漏洞和现有技术等方面，根据风险程度的不同，分析和管理相关的安全问题;(5)根据上面的分析结果，建立相关的信息安全风险评估报告。

 

2.2.4 应急响应

 

所谓的应急响应就是信息安全保护的最后一道屏障，主要是为了尽量的减少和控制信息安全所造成的严重影响，进行及时的响应和修复。应急响应包含了前期应急准备和后期应急响应两个部分。前期应急准备主要有预警预防制度、组织指导系统、应急响应过程、应急团队、应急器械、技术支持、费用支持等应急措施，并且定时进行应急演练等。后期应急措施主要有检查病毒、系统防护、阻断后门等问题，对网络服务进行限制或关闭以及事后的恢复系统等工作。通过两个部分的不断配合，才能更好的发挥应急响应的重要作用。

 

2.3 教育培养

 

人是信息安全的主要力量，其中的知识构造和使用能力对信息安全工作有着重要的影响。强化信息安全管理人员的专业素养，及时的进行信息安全教育，提升人们的信息安全意识，从而有效的减少信息安全问题的出现。

 

3 总结

 

随着社会经济的不断发展，信息系统中的安全问题也逐渐增多。因此需要不断的加强信息安全管理工作，对于网络信息安全管理中的问题进行深入的研究，找到具有针对性的解决措施，从而保证水利信息化的健康发展。

第7篇：网络安全评估报告范文

关键词:资产管理;资产探测;漏洞扫描

近年来，随着广电网络公司业务边界的不断拓展，安全策略的不断变化，防护对象的转换，作为业务、生产的运行单元，广电网络公司的网络资产管理逐渐成为安全核心要素。当前广播电视网络公司的资产规模越来越大，数量越来越多，如公网地址就达到了百万级别，这些给资产管理工作带来了很大的挑战。各类资产、设备数量大幅增加，资产的归属结构关系复杂，部门与部门之间存在交叉使用的情况，同时带来了资产安全责任难以落实，风险管理面临巨大的压力。如使用的Excel或ERP系统，已经无法满足资产管理的需要，为实现基于可视化的网络资产全生命周期的安全管理，必须通过建设新型的资产安全管理平台。

1新型资产安全管理平台功能架构

新型资产安全管理平台架构如图1，它具备以下功能。

1.1自动采集发现企业网络信息系统资产

利用专业的IT资产探测工具，对资产进行探测发现，并在此基础上进行资产信息的补充和记录，最终录入安全资产管理库。资产的探测通过自动采集、手工维护和接口同步等3种方式实现。自动采集是通过资产扫描、Web爬虫等完成设备类和软件类资产的自动采集，具备根据IP地址段自动扫描资产的能力，扫描结果包含但不限于IP、端口、设备类别、操作系统、承载的软件应用(如中间件)等手工维护是通过人工维护对资产数据进行录入和完善对应属性信息。接口同步是利用统一安全管理平台等系统进行数据同步，自动进行资产数据的录入和核对。

1.2自动稽核网络信息安全资产

根据资产报备流程(新增、变更和注销)，对单位上报的资产信息的准确性进行审核。如发现误报、漏报等问题，稽核对相关单位进行通报，责令整改。稽核采用日常巡检和不定期抽查两种方式，日常巡检为每周对全量资产信息审核一次。

1.3生成和梳理网络信息资产

建立网络信息安全资产库并维护更新，资产库能够自动同步或者导入各单位上报的资产信息，并整理为统一模板格式。资产库能够将探测和导入的资产，包括主机资产和应用资产，进行集中梳理和管理，并通过导出报表的形式对资产信息进行集中展示。分析报表主要包含Excel报表和综合报表。Excel报表主要为用户导出资产清单和资产风险清单，生成清单文档，用户可以下载相关的Excel文档。综合报表是对资产的安全进行分析评估。用户可以通过点击“添加报表”根据提示创建资产安全评估报告，从而输出单位资产信息汇总报告。

1.4发现资产的网络安全漏洞和闭环管理

资产安全管理平台采用先进的漏洞扫描引擎和流程化管理方式，对网络信息安全资产所存在的安全漏洞进行扫描和风险全生命周期管理工作，实现了漏洞管理从发现到修复完成的闭环［1］。当风险管理员通过漏洞扫描到风险漏洞并审核后，将扫描到的漏洞下发到相关责任人员进行处理修复;相关部门责任人接到漏洞修复任务后对漏洞进行审核和修复操作，责任人修复完漏洞后提交复测申请;风险管理员对修复的漏洞进行复测和后续的归档，漏洞管理实现了从发现到修复的完整闭环。

1.5资产的全生命周期态势分析

安全管理平台通过对资产的全生命周期活动进行全方位的数据分析，包括资产探测，资产稽核、资产变更、漏洞管理等，将结果通过分析报表和可视化大屏的方式呈现。其中可视化大屏的方式是将资产信息通过折线图、饼状图、柱状图等形式从资产情况、风险漏洞等8421多角度直观、实时、全面地展示资产概况与趋势，实现资产管理全流程工作信息数据可视、动态感知的目标。

2关键技术

新型资产安全管理平台建设过程中，主要采用以下关键技术。

2.1资产建模技术

基于核心的资产建模技术，根据导入资产的信息建立资产模型，进行深度识别，自动发现关联资产，智能识别资产类型［2］。通过网络安全资产的主动探测和发现，结合广播电视现有网络资产数据库，智能化建模。

2.2资产探测技术

利用无状态扫描技术极速完成资产管理，通过异步连接技术高效完成端口探测与状态识别［3］。

2.3人工智能深度学习技术

利用决策树算法和海量产品数据库进行机器训练［4］，完成不同应用与服务协议数据的拆分，提取特征值，自动建立指纹模型，实现智能阻断绕过。自动整理所提供的已知资产，并持续进行智能化巡检和识别，实时更新资产状态。

2.4基于策略匹配的极速响应

资产安全管理平台通过策略匹配实现漏洞的极速响应排查和策略学习，进一步提高漏洞事件匹配的准确率。另外资产安全管理平台支持本地、虚拟等多种环境，有效做到了全业务系统覆盖。结合自定义检测，从海量数据中快速定位高危资产，极大简便了风险管理，缩短了应急响应的流程。

3应用效果

以中广有线信息网络有限公司(以下简称中广有线)为例，自资产安全管理平台上线以来，为中广有线发现未掌控的网络资产300余个，保障了单位网络安全资产管理的工作稳步、有序、高效地开展，规避了未掌控资产因无法管理，导致可能被恶意网络攻击造成的负面影响。通过自动的资产安全管理稽核与梳理，大大降低了资产管理的成本，节省了大量的人力和管理成本。同时将原有不受管控的资产找回，部分资产被二次利用，避免了单位资产的浪费。通过高效的漏洞探测与管理机制，减少了繁琐的修复任务下发流程，漏洞修复速度大大加快，避免漏洞未及时修复导致被攻击造成重大经济损失。

4结束语

资产安全管理平台能够满足资产管理工作中的大多数业务需求，资产管理得到有效梳理和相关责任的顺利落地，有效解决了资产管理中存在的长期痛点和难题。同时这套系统具备方便、高效、规范等特点，具备推广价值。

参考文献:

［1］倪浩杰．基于生命周期的新型漏洞管理平台设计［J］．网络安全技术与应用，2020(4):77－79．

［2］齐权，贺劼，鲁悦．网络空间资产普查与风险感知系统［J］．信息技术与标准化，2018(9):53－56，69．

第8篇：网络安全评估报告范文

关键词：网络安全；云计算；网络安全数据存储系统；设计；数据存储

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）35-0005-03

1 引言

1.1 研究背景

对于本次研究中，基于云计算技术，该技术是由多种不同技术混合发展的结果。当前社会中，云计算技术的成熟度较高，又有多数公司企业的应用推动，也使得云计算的发展极为迅速【1】。云计算技术中，其确保用户可以将大量的数据存储在云端之中，可以减少使用信息数据的IT设备投资成本，也可提升数据使用便利【2】。然而，在实际中，网络安全数据存储中，由于云计算数据损坏引发的弊端，也不断出现，给用户造成损失，对此进行研究，以便解决安全问题。

1.2国内外研究现状

在我国的云计算发展中，2008年，我国就在无锡以及北京地区，建立IBM云计算中心；同时，中国的移动研究院，在当前已经建立了1024个关于云计算研究的试验中心【3】。在云安全技术方面，通过云分析、识别病毒以及木马方面，也在我国网络安全应用中取得巨大成功【4】。同时，对于瑞星、趋势以及卡巴斯基等公司，也均推出基于云的网络安全解决方法【5】，促进我国云技术的发展在国外云计算研究中，Google云、IBM云、亚马逊云、微软云等，其也均是运用云计算实现网络安全数据存储的先行者。在云计算领域之中，还包括VMware、Salesforce等成功的公司【6】。在国外云技术发展中，微软公司也紧跟上安全数据网络云计算发展步伐，在2008年的10月期间推出Windows Azure操作系统，微软已经配置了220个集装箱式数据中心，包括44万台服务器【7-8】。

1.3本次设计可行性

在本次设计中，系统由网络安全技术项目开发小组开发研制；本系统设计中，主要就是基于云计算技术，可以采用BS的系统架构模式，基于WEB网络应用形式，满足系统用户的使用安全需求。利用https协议实现web服务器和web客户端之间的数据的加密传输，数字签名认证，加密存储，实现网络安全通信，实现简单的网络信息安全存储，发挥设计可行性，有助于提升网络安全数据存储性能。

2云计算技术应用

2.1技术简介

对于云计算技术中，可以根据该技术服务类型的不同，可以把基础设施作为其服务IaaS的云计算技术，一种就是将平台作为服务的PaaS云计算技术，还有一种是将软件作为服务的SaaS云技术。

在实际之中，我们可以将云计算当做商业计算模型，可以使云计算系统用户能够按需，去获取系统服务【9】。

2.2应用特点

云计算具有超大规模：云计算技术中，“云”具有相当规模，可以赋予用户实现“云”计算的能力【10】。

云计算具有虚拟化的特点，用户可以在任意位置用 “云”终端服务【11】。

云计算具有通用性，大幅降低系统的设计成本【12】。

3分析网络安全数据存储系统设计需求

随着当我国云计算技术的发展与成功应用，云计算已经渗透到人民生活的方方方面，因而，由此带来的云计算安全问题，也越来越令人担忧。若是黑客突破了网络安全系统屏障之后，对于系统中没有加密明文存储的数据，就极其容易被泄露，给用户数据安全带来危害。本次设计中，在分析云计算技术下优化系统设计特征以及面临的相关安全威胁，可以从云计算的服务用户角度，优化水云计算网络安全数据存储系统的防御策略。在云计算技术下，进网络安全数据存储系统设计之中，能够通过对用户安全和攻击数据刻画出攻击者的行为习惯，从研究“一片叶子“过渡到观察”整片森林”，对整个森林的形势更了解，掌握安全主动权；当网络行为层面检测到异常，云盾的态势感知会快速完成从“异常发现”到“实时分析”再到“追溯取证”的全过程，并辅以直观的可视化的分析报告，提升网络安全数据存储系统安全。

4云计算技术下设计网络安全数据存储系统

4.1总体结构设计

4.2系统功能设计

对于本次系统设计之中，找出适合自身需求的云模式。系统功能结构如图3所示：

登录注册模块功能：实现用户的登录和注册，和服务器进行通信使用https协议，在将注册信 息保存到数据库时，对注册信息进行加密传输，web服务器收到数据后进行解密，然后对数据进行加密存储。

生成数字证书模块功能：用于对订单文件的数字认证。让用户进行系统操作，对数据存储文件进行加密传输，web服务器收到文件后对文件进行解密，然后对文件加密存储

系统操作模块： 对云计算技术下的网络安全信息进行加密传输，web服务器接收到信息后对信息解密，然后对信息进行加密存储。

4.3 设计云计算服务

在云计算技术下，设计网络安全数据存储系统，对有特殊安全需求的存储服务，会以黑客的视角，用黑客的攻击方法进行测试，给出安全评估报告，及早发现网络安全数据存储系统中可能被利用的漏洞，对于云服务中的漏洞能够及时自动修复。云计算的存储来源可以基于整个体系，既有主机端数据，也有网络数据；既有线上数据，也有线下数据。数据来源足够丰富，足以覆盖防护面上的漏洞和盲点。数据的处理不仅包括存储，还有计算。谁攻击过用户，谁对用户有威胁，都能够通过云网络安全数据存储系统实时分析计算出来。

4.4 系统代码实现

5 应用云计算技术下网络安全数据存储系统的效益

随着我国当前在网络安全以及网络信息交换技术等方面的深入研究，基于云计算技术下，结合与防火墙技术、入侵检测系统技术以及病毒检测等相关技术，使其与网络安全数据存储实现有机的结合，有助于提高当前系统的数据处理速率；并可以根据实际的数据存储系统应用，去修改完善该系统的安全功能，提高云计算技术下网络系统的安全性。基于云计算技术设计网络安全数据存储系统，可以提升系统安全性能，提高16.0%，也可以提高该系统使用性能，发挥积极应用价值。

6 结论

综上所述，设计网络安全数据存储系统中，基于云计算技术下，提升系统存储安全技术的可扩展与高性能，有助于推动云计算网络环境下的网络安全数据存储系统安全，将会发挥积极影响。

参考文献：

[1] 张树凡，吴新桥，曹宇，等.基于云计算的多源遥感数据服务系统研究[J].现代电子技术，2015， 03（03）：90-94.

[2] 陈良维.云计算环境下的网络安全估计模型态势仿真[J].现代电子技术，2015.

[3] 李海涛.云计算用户数据传输与存储安全研究[J].现代电子技术，2013，20（20）：24-26.

[4] 刘胜娃，陈思锦，李卫，等.面向企业私有云计算平台的安全构架研究[J].现代电子技术，2014，4（4）：34-36.

[5] 荆宜青.云计算环境下的网络安全问题及应对措施探讨[J].网络安全技术与应用，2015（9）：75-76.

[6] 黎伟.大数据环境下的网络安全研究[J].科技创新与应用，2015（33）：105.

[7] 王筱娟.云计算与图书馆发展的研究[J].科技风，2015（7）：224.

[8] 刘思得.基于网络的云存储模式的分析探讨[J].科技通报，2012，28（10）：206-209.

[9] 张洁.云计算环境下的数据存储保护机制研究与仿真[J].计算机仿真，2013，30（8）：254-257.

[10] 梁彪，曹宇佶，秦中元，等.云计算下的数据存储安全可证明性综述[J].计算机应用研究，2012，29（7）：2416-2421.

第9篇：网络安全评估报告范文

[关键词]企业信息 网络安全体系

一、企业信息网络安全现状概述

进入21世纪后,随着国内信息化程度的快速提高,信息网络信息安全越来越多受到关注,信息网络安全产品和厂商短短几年内大量涌现。但是,令人担忧的是,虽然众多的产品和厂商都以信息网络安全的概念在提供服务,但其中包含的实际技术和内容却千差万别。这样的情况,一方面对市场和用户形成了误导,不利于解决用户的实际信息网络安全问题,造成投资浪费;另一方面也不利于创造良性的竞争环境,阻遏了信息网络安全市场的发展。

鉴于此,有必要对信息网络安全进行成体系的理论探讨,形成统一的共识和标准,这样才能让信息网络安全产品和厂商真正满足用户的需求,解决用户的实际问题,推动国家信息化的发展。

二、信息网络安全问题的本质探讨

1.信息网络安全问题的形成原因

信息网络安全问题的提出跟国家信息化的进程息息相关,信息化程度的提高,使得内部信息网络具备了以下三个特点:

(1)随着ERP、OA和CAD等生产和办公系统的普及,单位的日程运转对内部信息网络的依赖程度越来越高,信息网络已经成了各个单位的生命线,对信息网络稳定性、可靠性和可控性提出高度的要求。

(2)内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对信息网络各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。

(3)由于生产和办公系统的电子化,使得内部网络成为单位信息和知识产权的主要载体,传统的对信息的控制管理手段不再使用,新的信息管理控制手段成为关注的焦点。

上述三个问题,都是依赖于信息网络,与信息网络的安全紧密相连的,信息网络安全受到广泛的高度重视也就不以为奇。

2.信息网络安全问题的威胁模型

相对于信息网络安全概念,传统意义上的网络安全更加为人所熟知和理解,事实上,从本质来说,传统网络安全考虑的是防范互联网对信息网络的攻击,即可以说是互联网安全,包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。互联网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内互联网边界出口。所以,在互联网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。

而信息网络安全的威胁模型与互联网安全模型相比,更加全面和细致,它即假设信息网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自互联网,也可能来自信息网络的任何一个节点上。所以,在信息网络安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的信息网络。由此可见,相比于互联网安全,企业的信息网络安全具有以下特点:

(1)要求建立一种更加全面、客观和严格的信任体系和安全体系;

(2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理;

(3)要求对信息进行生命周期的完善管理。

三、现有信息网络安全产品和技术分析

自从信息网络安全概念提出到现在,有众多的厂商纷纷自己的信息网络安全解决方案,由于缺乏标准,这些产品和技术各不相同,但是总结起来,应该包括监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。下面分别对这些产品和技术类型的特性做了简单的分析和说明。

1.监控审计类

监控审计类产品是最早出现的信息网络安全产品, 50%以上的信息网络安全厂商推出的信息网络安全产品都是监控审计类的。监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作,以及外设使用等提供集中监控和审计功能,并可以生成各种类型的报表。

监控审计产品一般基于协议分析、注册表监控和文件监控等技术,具有实现简单和开发周期短的特点,能够在信息网络发生安全事件后,提供有效的证据,实现事后审计的目标。监控审计类产品的缺点是不能做到事情防范,不能从根本上实现提高信息网络的可控性和可管理性。

2.桌面管理类

桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略,包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能,这类型产品通常跟监控审计产品有类似的地方,也提供了相当丰富的审计功能,

桌面监控审计类产品除了使用监控审计类产品的技术外,还可能需要对针对Windows系统使用钩子技术,对资源进行控制,总体来说,技术难度也不是很大。桌面监控审计类产品实现了对计算机终端资源的有效管理和授权,其缺点不能实现对信息网络信息数据提供有效的控制。

3.文档加密类

文档加密类产品也是信息网络安全产品中研发厂商相对较多的信息网络安全产品类型,其主要解决特定格式主流文档的权限管理和防泄密问题,可以部分解决专利资料、财务资料、设计资料和图纸资料的泄密问题。

文档加密技术一般基于文件驱动和应用程序的API钩子技术结合完成,具有部署灵活的特点。但是,因为文档加密技术基于文件驱动钩子、临时文件和API钩子技术,也具有软件兼容性差、应用系统适应性差、安全性不高以及维护升级工作量大的缺点。

4.文件加密类

文件加密类产品类型繁多,有针对单个文件加密,也有针对文件目录的加密,但是总体来说,基本上是提供了一种用户主动的文件保护措施。

文件加密类产品主要基于文件驱动技术,不针对特定类型文档,避免了文档加密类产品兼容性差等特点,但是由于其安全性主要依赖于使用者的喜好和习惯,难以实现对数据信息的强制保护和控制。

5.磁盘加密类

磁盘加密类产品在磁盘驱动层对部分或者全部扇区进行加密,对所有文件进行强制的保护,结合用户或者客户端认证技术,实现对磁盘数据的全面保护。

磁盘加密技术由于基于底层的磁盘驱动和内核驱动技术,具有技术难度高、研发周期长的特点。此外,由于磁盘加密技术对于上层系统、数据和应用都是透明的,要实现比较好的效果,必须结合其他信息网络安全管理控制措施。

四、构建完整的信息网络安全体系

从前面的介绍可以看出,上述的信息网络安全产品,都仅仅解决了信息网络安全部分的问题,并且由于其技术的限制,存在各自的缺点。事实上,要真正构建一个可管理、可信任和可控制的信息网络安全体系,应该统一规划,综合上述各种技术的优势,构建整体一致的信息网络安全管理平台。

根据上述分析和信息网络安全的特点,一个整体一致的信息网络安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全信息网络的效果。

身份认证是信息网络安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。信息网络的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。

授权管理是以身份认证为基础的,其主要对内部信息网络各种信息资源的使用进行授权,确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和权限”。授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。

数据保密是信息网络信息安全的核心,其实质是要对信息网络信息流和数据流进行全生命周期的有效管理,构建信息和数据安全可控的使用、存储和交换环境,从而实现对信息网络核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。

监控审计是信息网络安全不可缺少的辅助部分,可以实现对信息网络安全状态的实时监控,提供信息网络安全状态的评估报告,并在发生信息网络安全事件后实现有效的取证。

需要再次强调的是,上述四个方面,必须是整体一致的,如果只简单实现其中一部分,或者只是不同产品的简单堆砌,都难以建立和实现有效信息网络安全管理体系。