网络安全成熟度评估范文

栏目：文库百科作者：文库宝发布：2023-11-12 15:39:11浏览：219

网络安全成熟度评估

网络安全成熟度评估篇1

一、网络安全策略与防范措施

(1)攻击发生之前的防范措施。防火墙技术能够最大限度识别与阻挡非法的攻击行为。它通过网络边界的一种特殊的访问控制构件来隔离内网和外网及其它的部分间的信息交流。根据网络的体系结构,可以分别设置网络层IP分组过滤的防火墙、传输层的链路级防火墙及应用层的应用级防火墙。

(2)攻击过程的防范措施。随着网络技术的发展,攻击者使用的工具和方法也变得更加复杂多样,所以单纯采用防火墙已不能够满足用户的安全需求。因此,网络防护要向纵深和多样化的方向发展。这样,入侵检测技术得到了应用。

(3)攻击后的防范措施。当防火墙及入侵检测技术都记录到危险的动作及恶意的攻击行为之后,一旦网络遭受攻击以后,计算机可根据其记录来分析攻击的方式,从而尽快地弥补系统存在的漏洞,防止相同攻击的再次发生。

(4)全方位防范措施在物理安全层面可以采取以下的措施:选用质量较好的网络硬件设备;对关键设备及系统,进行系统的备份;加强机房安全防护,防火、防盗,同时加强网络设备及安全设备的防护。信息安全方面要保证信息的真实性、完整性和机密性。因此,要将计算机中的重要或者隐私的数据加密,在数据的传输过程中也要进行加密传输。使用链路加密、端点加密和节点加密3种加密方式来确保信息传输的安全。访问控制措施是保证资源不被非法的使用与访问的有效措施。它包括入网的访问控制、操作权限的控制、目录安全的控制、属性安全的控制、网络服务器安全的控制、网络的监测、锁定的控制及防火墙的控制等7个方面的控制内容。因此,它是维护网络的安全和保护资源的一个重要的手段。

二、网络攻击的效果评估方法

网络攻击效果评估是研究复杂网络环境中怎样对信息系统所进行的网络攻击效果来定性或者定量评估的结果,从而由此检验攻击有效性与网络的系统安全性等。进行网络的攻击效果评估在信息系统安全评估的过程中有着十分重要的意义。首先,网络的构建部门通过对网络进行攻击模拟及自我评估来检验系统安全特性;其次,当对敌方恶意的攻击进行反击时,网络的攻击效果评估还能够为网络的反击样式及反击强度制定合理的应对方案。现有的评估方式可分为安全审计、风险分析、能力成熟模型及安全测评四类。

(1)安全审计。将安全审计做为核心的评估思想是将是否实施最佳实践和程度进行系统安全性评估。此类模型主要包括:美国的信息系统的审计与控制协会COBIT、德国IT安全基本保护手册及美国审计总署自动信息系统的安全审计手册等。此方式主要是针对信息系统的安全措施的落实和安全管理,这是一种静态的、瞬时测量方法。

(2)风险分析。风险分析模型主要从风险控制的角度来进行安全的评估和分析。一般的方法是通过对要进行保护的IT资源的研究,假设出这些资源可能存在的漏洞和安全威胁,然后对这些漏洞和威胁对资源可能所带来的后果进行预算,通过数学概率统计对安全性能进行测量,对可能产生的损失大部分进行量化。然后提取出所需来进行风险控制,从而降低风险,把安全风险控制到能够接受的范围之内。风险的管理是动态的及反复测量的过程。现有的通用信息安全的标准,例如15013335和15017799等,核心的思想都源于风险安全的理念。

(3)能力成熟度模型。能力成熟度模型主要是由过程(Process)保证其安全。最着名的能力成熟模型是系统工程安全的能力成熟度模型。系统工程安全的能力成熟度模型的基本原理是通过将安全工程的过程管理途径,把系统的安全工程转化成为定义好、成熟、可测量的一个过程。该模型把安全能力共划分成5个等级,从低到高进行排序,低等级的是不成熟、难控制安全能力,中等级的是能管理、可控的安全能力,高等级的则是可量化、可测量的安全能力。能力成熟度模型为动态、螺旋式的上升模型。

(4)安全测评。安全测评主要更多从安全的技术及功能与机制方面来对信息系统安全进行评估。早期安全测评方案有美国国防部的TCSEC,它的优势是比较适用于计算机安全,尤其是操作系统的安全进行度量,对计算机操作系统的等级的划分有着相当大的影响力。

三、结语

网络安全成熟度评估篇2

专题特约顾问沈安

继2008年颁布国家防务战略后，近期，巴西又推出国家网络安全战略。这两大举措表明，作为新兴大国，巴西对其国家安全怀有强烈的忧患意识。网络安全战略突出外部威胁以及军事理念和军队主导，强调系统性治理和统筹兼顾原则，重视本国技术的研发和创新。

重点内容及出台背景

巴西网络安全战略全称为《联邦公共管理机构信息与通讯安全和网络安全战略（2015-2018）》。顾名思义，该战略适用范围是联邦政府及联邦其他公共管理机构，其涵盖领域不仅是网络安全，还包括信息与通讯安全。巴西认为，信息与通讯安全和网络安全是网络防御的基础，其宗旨是为网络空间的使用提供保障，预防和阻止损害国家利益和社会利益的行为。

该战略极为详细，既提出了联邦一级政府机构网络安全规划的指导方针、网络安全的战略目的和具体目标，也规定了所有与数字安全问题有关的国家各机构的特殊职能，以及企业、大学及研究机构、公民和社团等社会各界参与制定网络安全政策的机制。

网络安全战略的战略目的意味着履行现实任务和未来使命的动力。巴西寄望于通过实施这些战略促成信息与通讯安全和网络安全的系统性治理，以便在联邦行政权力范围内实现网络安全公共管理制度化。

战略目的共有10项，其中包括：建设网络安全的系统治理模式，提升网络安全的成熟度，加强网络安全问题在政府日程中的高度优先地位，为网络安全的研究、开发和创新提供持续性保障，重视和扩大旨在加强信息关键基础设施安全的行动，促进建立相关机制以便提高全社会对网络安全的认识。

战略目标共计38项，均为须在特定时间予以落实的具体行动。2016年的目标有：在战略政治层面确立网络安全系统治理模式；研发网络安全成熟度指示器，以此作为联邦政府各机构网络安全跟踪和评估机制；协调各方努力，建设数字生态系统（信息与通讯安全+网络安全+企业+科研机构），并与网络防御生态系统协同并进。2017年的目标有：在联邦政府各机构安装并检测网络安全成熟度指示器。2018年的目标有：联邦政府直属机构全部实现网络安全自动分析并接受网络安全中央管理机构―总统府制度安全办公室评估。

网络安全战略出台背景主要有以下三点：

网络空间特点导致网络安全极具脆弱性。巴西网络空间有四大特点。一是互联网使用发展迅速。2000年巴西仅有860万互联网用户，到2014年增至1亿，成为世界第五大互联网使用国，也是脸谱、推特、YouTube等社交网站使用大国。巴西还是全球第四大信息与通讯市场。联邦行政权力机关拥有约6000个政府机构，320多个政府网络，1.65万个政府网站。二是信息三大要素―存储、处理和传送的前两项大部分都在国外，而传送国际通讯信息的海底电缆也大多经过美国。三是信息基础设施基本由外国跨国公司所支配。四是本国网络人才明显不足。据巴西联邦审计法院的数据，联邦公共管理机构和国企所使用的网络有80%在连续性处理事务和交易中出现错误，70%在上网控制方面有错误，75%在事故管理中有错误，85%在风险控制方面有错误。在这些构成高度战略性制度核心的企业和机构中，仅有50%任命了信息安全责任人，54%拥有关于内部数据下载的规范。2009年巴西电网多次遭受网络袭击破坏。2011年6月陆军电脑系统遭受黑客每天上万次的连续性攻击。2015年5月巴西外交部在全球的电子邮件和数据系统遭到黑客持续性攻击，许多机要文件泄密，驻世界各地约1500名外交官的邮箱受损。

美国监听事件迫使巴西加速推出网络安全战略。2013年揭露的美国国安局对巴西进行网络间谍活动的丑闻令巴西政府大为惊讶，就连总统本人的通讯也遭窃听，而巴西石油公司机密被大量窃取。巴西政府深感保护其网络空间与维护国家主权密不可分。参议院就美国监听事件成立了议会调查委员会。该委员会的调查报告要求国家迅速制订网络安全战略。无疑，“棱镜门”事件是促成巴西出台网络安全战略的催化剂。此外，巴西当局对连续举办重大国际体育赛事所带来的安全隐忧也促使其加快推出网络安全战略。

前期立法和重大举措为网络安全战略铺路。巴西于2003年立法建立互联网管理委员会并确定巴西互联网治理模式。2008年颁布法律批准国家防务战略，规定网络和空间与核共同构成国家防务最重要的三大战略部门。同年设立全国优化信息安全和密码系统网络。2010年陆军成立网络防御中心。2012年经立法规定信息犯罪的刑事立案和量刑标准。2012年网络防御政策。2014年颁布法律，公布互联网民则，规定了互联网使用的原则、保障、权利和义务。同年颁布法律，批准采取旨在加强国家网络防御的措施，并批准在陆军司令部建制下设立网络防御指挥中心和国家网络防御学院。同时还以国防部法规形式公布“网络防御军事理论”。2015年《2014～2015信息与通讯技术总战略》。这些法规和举措促使网络安全战略水到渠成。

网络安全战略三大特点

突出军事理念和军队主导。巴西网络防御观的形成先于网络安全观。2009年，国防部经由国家防务战略正式提出网络防御的概念，并将协调和统筹国防体系内网络防御规划和行动的任务赋予陆军。国防部以法规形式公布了“网络防御军事理论”和网络防御政策，从战略和网络战层面对网络防御分别进行系统阐释和行动及战术上的指导。巴西网络安全战略深受网络防御军事理论的影响，比如把外部威胁视为巴西所面临的主要网络威胁，以维护国家主权作为网络安全首要任务。专家认为，美国监听事件使巴西有理由相信，网络间谍活动后随之而来的可能就是网络战争，这已成为必须严阵以待的危险。

在组织结构方面，巴西网络防御主要由陆军主导。2010年国防部成立了网络防御中心，隶属陆军司令部。2014年批准在陆军司令部建制下设立网络防御指挥中心，建立和巩固网络防御产品的核准与认证，支持网络防御产品的研制与开发，以及设立网络防御观察站。陆军网络防御中心和网络防御指挥中心是巴西军事网络防御体系的重要组成部分，该体系的宗旨是网络的保护与利用，共有5大职能：理论、行动、情报、科技和人才培训。足见这些机构在巴西网络安全战略中发挥着重要作用。

巴西网络安全战略规定，联邦网络安全中央管理机构是直接隶属于总统府的部长级制度安全办公室。总统府原设有军事办公室，后将其撤销，改设为制度安全办公室。制度安全办公室职能是为总统行使其职权提供军事和安全事务方面的直接协助，负责总统、副总统的人身安全等。其主任通常由一位具有上将军衔的军人担任。制度安全办公室主任既是国家防务委员会的执行秘书，又是对外关系与国家防务会议的主持人。该机构的军事背景也表明巴西网络安全战略以军队为主导。

分析家认为，巴西网络安全战略突出应对外来威胁、突出军事理念和军队主导有其地缘政治的动机，作为一个新兴大国，巴西希望借助其网络安全架构提升地位、扩大影响，在双边关系和国际舞台显示其软实力。但也有专家担心巴西的这种选择会本末倒置，忽视国内网络犯罪所构成的严重威胁。

强调系统性治理和统筹兼顾原则。巴西制订和实施网络安全战略的思路是，在不远的将来，先在联邦行政权力范围内促成信息与通讯安全和网络安全的系统性治理，而后在适当时机向其他联邦机构和全国州市级机构及全社会推广，以逐步实现全国网络安全领域公共管理制度化。这种系统性治理基于一种把全社会和联邦各级（联邦、州和市）机构连为一体的模式，以使各自信息与通讯安全和网络安全体系以既自主又协作的方式组织起来。这种网络安全系统将建立国家和社会之间有效的结合，加强信息与通讯安全和网络安全公共政策的有机性、合理性、有效性并促进相关的投资和创新行动。

依照网络安全战略的规定，巴西联邦公共管理机构网络安全系统治理模式包括5个层级：

最高层是中央机构（总统府制度安全办公室），即信息与通讯安全和网络安全各领域事务的管理机构，负责协调与统筹联邦公共管理机构网络安全相关战略政治指导原则方面的所有行动。中间层为各部门管理机构，从联邦政府部级到基层共分三个层级，分别是贯彻战略指导原则的责任主体和参与者。第5层级是协作机构，包括凡是同联邦行政机构保持某种联系的州级和市级机构、学术机构、企业和社会组织。

统筹兼顾原则首先体现于网络安全同信息与通讯安全统筹考虑、全盘应对。当今时代，网络安全和信息安全、通讯安全已经高度融合、不分彼此。为此，巴西网络安全战略采用以下概念：

一是信息与通讯安全，旨在为信息的可用性、完整性、机密性和真实性提供可行性和保障；二是网络安全，为本国信息社会的存在和延续提供保障，在网络空间保护信息财产及其关键基础设施；三是信息财产，指存储、传输和处理工具及其所在处所；四是关键基础设施，指那些一旦被中断或被摧毁就将对社会、经济、政治、国际关系和国家与社会安全造成严重冲击的设施、服务、资产和系统。

信息与通讯安全和网络安全越来越体现为国家的战略职能，国家要从网络空间维护和保护诸如能源、交通、电讯、水源、金融和信息本身等国家关键基础设施，也要维护和保护个人权利特别是隐私和尊严。

统筹兼顾还体现为政府同企业、研究机构和社会团体协同努力，共谋网络安全大计。网络安全战略将扩大和加强同国内外学术界、公共与私人企业、社会组织的协作列为战略目的之一，规定联邦政府机构应该在网络安全领域寻求同社会各界建立协作和伙伴关系，以便吸收先进做法、技术解决方案，鼓励开发新的产品和服务。这些行动有利于减轻对外依赖，应该予以高度优先。网络安全战略还强调加强国际双边和多边合作、同跨国网络犯罪活动斗争的重要性。

数字生态系统（信息与通讯安全+网络安全+企业+科研机构）就是依靠政府和全社会协同努力加以建设的，其宗旨是支持信息与通讯安全和网络安全技术的研发，比如侦测恶意装置的解决方案和其他网络工具，推动数字生态系统的建立并促其与网络防御生态系统协同发挥作用。有必要完善有利于形成私人部门与大学和研究机构伙伴关系的促进和融资机制，加强信息与通讯安全和网络安全解决方案的研发和生产。

重视本国技术的研发和创新。巴西认为，在网络安全领域的研究、开发和创新是使巴西被世界认可为国际重要角色的基础条件，也能使巴西因满足保障国家主权和公民网络空间隐私的需要而受到尊重。网络安全战略规定，在科学、基础和应用研究、技术开发和创新中加强和优先对待信息与通讯安全和网络安全。网络安全部门应与联邦政府科学技术和创新部密切合作，以便提高知识生产，同时使相关的产品、服务和技术以及有关生产部门取得增值效益。

具体而言，本国技术研发和创新的重点领域有：

一是研发信息与通讯安全和网络安全领域解决方案，这项工作建立在硬件和国家专用密码规则基础之上，旨在确保联邦公共管理机构之间战略通讯的保密性、完整性和真实性。二是建立全国信息与密码系统安全网络，这个项目整合全国研究人员的努力，促进信息和密码系统安全知识的交流与新方案的开发。三是加速建立数字生态系统（信息与通讯安全+网络安全+企业+科研机构），以便支持信息与通讯安全和网络安全技术的研发。四是推动联邦政府信息与通讯安全和网络安全环境的标准化，制定既能做到设备与服务规格一致化又能确保政府采购合理与优化的计划。

为了在联邦公共管理机构建立信息与通讯安全和网络安全的规范性架构，必须寻求管理模式、技术解决方案、标准等的经常性更新，以便跟踪全球信息通讯技术进展和和技术衔接的发展动向。

网络安全成熟度评估篇3

【关键词】网络会计；风险分析；会计内控指标体系；模糊评价法；绩效评价

中图分类号：F232；F272.35文献标识码：A文章编号：1004-5937（2014）16-0083-05目前，中国很多企业实施了网络会计信息系统，但对网络环境下产生的安全威胁不够重视，未及时完善自身的内控体系，增加了内部控制的不安全性，从而影响到会计信息的安全。因此，研究网络会计信息系统下内部控制的安全问题，帮助企业建立一个新的、更有效的内部控制指标体系很有意义。

文章基于传统内部控制评价体系网络化下赋予的新含义，重新构建了网络会计内部控制的安全评价体系，以实现对会计内控目标、会计内控环境、财务风险监控与管理控制、信息技术控制、财务监督问责、信息沟通等安全控制方面的评价。

一、网络会计内部控制体系的理论基础

（一）传统内部控制体系

2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》，要求企业建立实施的内部控制包括下列五个要素：内部环境、风险评估、控制活动、信息与沟通以及内部监督。这五个部分也可作为评价内部控制系统有效性的标准。

（二）网络会计内部控制风险分析

内部控制主要是控制好风险，因此，笔者首先对网络会计信息系统进行安全分析，然后运用各种方法和工具找出各个流程的潜在风险，最终建立起风险的详细清单，如表1所示。

二、构建网络会计内部控制安全评价体系

处于经济转型期的我国企业面临经营风险及外部环境的变化，内控体系应及时作出相应的调整，构建适应信息化环境的内部控制框架。其中控制网络会计带来的新变化是重点，所有内控要素都要从信息化会计系统的特征出发加以通盘考虑。内部安全控制框架如图1所示。

在网络会计内部控制体系之下，根据每一类控制因素的活动域，首先将其分解为关键过程域，然后将该过程域细化到具体的关键控制点。本文将对体系中六个控制因素的活动域，按照关键过程域到关键控制点的步骤来分别描述。

（一）会计内控目标

1.建立符合国内外法律、法规，面向会计部门并结合部门内部网络会计实际情况的内部控制体系。

2.梳理网络会计下的内部管理流程。

3.不断完善内部控制体系，与企业战略目标相融合，向全面风险管理体系过渡，建立风险管理和内部控制长效管理机制。

（二）会计内控环境

1.更新信息化观念

为了适应网络发展的新形势，企业领导要树立市场观念、竞争观念，重视会计信息化，同时企业要结合先进的管理理念和现代化方法，更新现有会计信息系统。

2.明确会计部门分工

财务部下应设置信息部门和业务部门。信息部门提供信息技术服务和系统运行监督；业务部门负责批准、执行业务和资产保管等。

3.提高财务人员安全意识

（1）将会计信息安全方针与安全考察方针形成书面文件；（2）与重要的会计人员签署保密协议；（3）对会计人员进行信息安全教育与培训。

（三）财务风险监控与管理

1.财务风险监控

（1）识别关键控制点；（2）更新预警模型。实时监控潜在的风险，将全方位的信息转换成财务指标，加入到预警模型中，实现资源共享和功能集成。

2.财务风险管理

（1）适当利用自动化控制来代替手工控制；（2）可在系统外部执行部分关键的手工操作。

（四）信息技术控制

1.系统构建控制

（1）制定信息系统开发战略；（2）选择合适的系统开发方式。

2.严密的授权审批制度

（1）操作权限与岗位责任制；（2）重点业务环节实行“双口令”。

3.系统操作控制

（1）数据输入控制；（2）数据处理控制；（3）数据输出控制。

4.会计数据安全管理

（1）会计数据备份加密；（2）会计数据传输加密；（3）用户访问控制；（4）服务器加密。

（五）财务监督与问责

主要是内部审计管理：

（1）定期审计会计资料，检查会计信息系统账务处理的正确性；（2）审查机内数据与书面资料的一致性；（3）监督数据保存方式的安全性和合法性，防止非法修改历史数据；（4）审查系统运行各环节，发现并及时堵塞漏洞等。

（六）信息沟通

会计信息的沟通与交流应贯穿整个内控体系中。

1.管理层重视

管理层应高度重视及支持信息系统的开发工作，确保各职能部门信息系统在信息交流上高度耦合。

2.严密的组织保障

各部门通过控制系统识别使用者需要的信息；收集、加工和处理信息，并及时、准确和经济地传递给相关人员。

3.体系化的制度保障

建立健全会计及相关信息的报告负责制度，使会计人员能清楚地知道其所承担的责任，并及时取得和交换他们在执行、管理和控制经营过程中所需的信息。

三、基于模糊评价法的内控评价体系应用研究

网络会计信息系统内控体系绩效评价的应用研究主要利用成熟度模型来划分内部会计控制因素的等级，基于模糊评价法来进行安全绩效评价，最后得出相应的结论。

（一）模糊综合评价法的应用

模糊综合评价法是以模糊数学为基础，将一些不易定量的因素定量化，从多个因素对被评价事物隶属等级状况进行综合性评价。

一是对网络会计内控体系进行成熟度划分。

二是依据成熟度模型来确定评价因素和评价等级。设：U=｛?滋1，?滋2，?滋3，…，?滋m｝为被评价对象的m个评价指标V=｛v1，v2，v3，…，vn｝；为每一个因素所处的状态的n种等级。

三是确定权重分配。

四是进行全面的调查访问，并建立评价表。

五是建立模糊评价矩阵，得出多级模糊的综合等级。

六是得出关键控制点的评级表。

七是得出评价结果。

（二）模糊综合评价法的应用

本节针对上述内控体系中的信息技术控制因素，对其应用模糊评价法来进行分析，其他控制因素的评价方法与此例相同。

1.成熟度评价标准

借鉴能力成熟度模型（CMM），同时考虑网络会计信息系统的特点，将内控流程评价标准划分为六级：不存在级、初始级、已认识级、已定义级、已管理级、优化级。完善后的内部会计控制成熟度评价标准如表2所示。

表2中等级的划分是针对会计信息系统内部控制体系总体情况而言。具体到网络会计内部控制的每一级指标建立成熟度模型时，各个流程也分为以上六个等级。

2.成熟度模型

建立了成熟度评价标准之后，便可根据网络会计内部控制体系列出控制内容、关键过程域及关键控制点。本文以信息技术控制为例建立具体模型，该控制因素的成熟度模型如表3所示。

3.权重分配

我国学者辛金国、范炜采用德尔菲法，通过问卷调查的方式得到传统内部控制五要素中控制环境权重为30%、风险评估为12.9%、控制活动为25.2%、信息与沟通为28%、监督为3.9%。

本文赋权采用德尔菲法，并结合网络会计的特点，控制内容的权重分配如表4、表5所示。

4.评价表

建立起三级的指标体系结构之后，分别对审计机构、信息安全机构、公司管理层及普通员工四个方面进行调查。每一类对象都挑选10人（总共40人）进行调查访问，每位专家、管理者及员工分别运用实地观察法、流程图法、专业判断法或工作经验法，按照指标执行情况，对每一项关键控制点依照成熟度模型赋予安全等级分值，表格的内容代表选择该等级的人数，整理后得出评价表，如表6所示。

5.模糊评价矩阵

首先，用表6中每个级别的分值除以总人数40，得出的评价结果构成关键过程域的模糊评价矩阵R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，进行关键控制域模糊矩阵运算，B4j=A4j・R4j

B41=［0.5 0.5］・R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，计算控制内容的模糊矩阵运算，Vi=Ai・Bi

V4=［0.2 0.3 0.25 0.25］・B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，计算信息技术控制的综合得分G4=V4・［0 1 2 3 4 5］T=2.78875。

6.评级表

对各关键控制点的分值进行加权平均计算，根据得出的数所靠近的级别，从而判断其成熟度级别，公式是：

单项关键控制点评价得分=Σ（该关键控制点的分值×对应的等级数）÷40

每一项关键控制点通过上述公式计算得出的评级表如表7所示。

依据内控流程的成熟度，对照单项关键控制点的评级，赋予其合适的等级区间。

7.评价结果

根据模糊矩阵法运算出的信息技术控制的综合评分为2.78875，在2―已认识级与3―已定义级之间，接近3―已定义级。

根据表7，可以针对公司的信息技术控制关键控制点的绩效作出如下评价：

公司在适当的信息系统开发方式、操作权限与岗位责任制、操作控制以及会计数据存储加密中做得较好，评级基本在3―已定义级以上。

公司在内部会计控制中的信息系统开发的战略规划、重点业务环节的安全控制、会计数据安全管理、对外来人员的访问控制、对内部服务器的安全管理均需要进一步加强。

四、结语

网络会计具有开放性、及时性、分散性与共享性的特点，根据其特点，本文建立了信息化内部会计控制体系，主要包含会计内控目标、会计内控环境、财务风险监控与管理、信息技术控制、财务监督问责、信息沟通六个方面。在安全分析过程中，列出了风险清单，让财务部门负责人更全面地了解到面临的各级风险。发现风险是第一步，第二步便是管理风险，公司应分别从内部会计控制的六个方面进行体系化的控制，其中最重要的便是利用信息技术控制来保障网络会计信息系统的内部安全和计算机网络安全。最后，本文运用模糊评价法，对网络会计信息系统内部控制评价体系进行应用研究，以信息技术控制为例，对其安全内控体系进行了评价及实证分析。

【参考文献】

［1］王晓玲.基于风险管理的内部控制建设［M］.北京：电子工业出版社，2010：100-102.

［2］陈志斌.信息化生态环境下企业内部控制框架研究［J］.会计研究，2007（1）：30-37.

［3］杜洪涛.网络环境下会计电算化信息系统安全探讨［J］.计算机光盘软件与应用，2010（9）：37-38.

［4］宫雪冰.基于内部控制的网络会计信息系统安全问题的控制［J］.中国管理信息化，2010，13（15）：2-3.

［5］李河君.会计信息系统风险控制体系研究［D］.首都经济贸易大学硕士学位论文，2010.

［6］财政部会计司.《企业内部控制应用指引第18号―信息系统》解读［J］.财务与会计，2011（6）：57-62.

［7］艾文国，王亚鸣.企业会计信息化内部控制问题研究［J］.中国管理信息化，2008，11（15）：14-16.

［8］张继德,刘盼盼. 会计信息系统安全性现状及应对策略探讨［J］. 中国管理信息化，2010，13（6）：3-5.

［9］陈秀伟.网络环境下会计信息系统的内部控制探析［J］.中国管理信息化，2011，14（5）：7-8.

［10］梁丽瑾，房卉.基于COBIT的企业信息化内部控制绩效评价［J］.经济问题，2012（2）：114-119.

网络安全成熟度评估篇4

Abstract: in the office automation system, understand the organization of the information and network system at present and future of the risks, and fully assess the risk may bring threats and influence, do it fundamentally found that the problem is to solve the problem of information security first. So the office automation system safety risk assessment strategies appears very important.

中图分类号：P415.1+3文献标识码：A 文章编号：

一、安全风险评估目的

通过安全风险评估，明确了办公室自动化系统包含的资产、面临的主要威胁、本身的弱点，哪些威胁出现的可能性较大、造成的影响也较大，哪些威胁出现的可能性较小、造成的影响可以忽略不计；通过保护哪些资产、防止哪种威胁出现，如何保护和防止才能保证系统达到某一安全级所提出的安全方案，需要多少技术和费用的消耗；更进一步还会分析出信息系统的风险，是如何随时间变化的，将来如何面对这些风险。同时评估将为后期进一步安全防护技术的实施，提供了的安全理论依据，为决策者制定网络安全策略、构架安全系统以及确定有效的安全措施、选择可靠的安全产品、建立安全防护层次提供了一套完整、规范的指导模型。

二、安全风险评估要素

评估考虑的安全要素，将涵盖办公室自动化系统网络信息的整个体系。包括网络安全组织、制度和人员情况，网络安全技术方法的使用情况，防火墙布控及外联业务动态安全管理状况，链路、数据及应用加密情况，网络访问控制状况等。在网络系统的安全工作中，人是关键。无论网络系统的安全服务、安全机制和安全过程多么化和现代化，都需要人去操作、运行和管理。如果管理水平低下，人员素质不高，那么网络系统的安全性能就会减弱，漏洞就会增加。具体来讲风险评估考虑的安全范围有：

(1)网络基本情况分析:包括网络规模、网络结构、网络设备、网络出口、网络拓扑结构的安全状况;

(2)信息系统基本安全状况调查:包括黑客的攻击、内部违规操作及其造成的损失、系统内成员的安全意识、安全技术培训、安全意识教育等;

(3)信息系统安全组织、政策情况分析:包括安全组织机构、安全岗位、安全管理制度等;

(4)网络安全技术措施使用情况分析:包括网络资源(人员、数据、媒体、设备、设施和通信线路)的密级划分，对不同密级的资源的安全保护，采取的网络安全技术措施网络防病毒体系等;

(5)防火墙布控及外联业务安全状况分析:包括防火墙的布控方式、发挥的作用，信息系统对外提供的服务，对外连接的形式及其采取的安全防护措施等;

(6)动态安全管理状况分析:包括网络系统的漏洞扫描，操作系统和关键网络设备的软件补丁安装，对网络系统进行数据流的监控和入侵检测，系统日志的周期性审计和分析等;

(7)链路、数据及应用加密情况分析:包括系统关键应用采取的加密措施;网络综合布线符合安全标准;

(8)网络系统访问控制状况分析:系统用户进行控制的方法，关键服务器和设备用户的严格控制和管理，除复杂账号密码认证外的其他访问控制措施，管理员的权限分配，网络资源访问的日志和审计功能等;

(9)渗透测试:测试系统的抗攻击能力：包括拒绝服务攻击‘渗透入侵攻击能力。

三、安全风险评估原则

由于评估的内容涉及很多方面，因此进行分析时要本着多层面、多角度的原则，从理论到实际，从软件到硬件，从组织到人员，制定详细的评估计划和分析步骤，避免遗漏。为确保办公室自动化系统安全评估项目高效、顺利的进行，评估过程可以遵循以下原则:

1、标准性原则

依据以下安全标准和规范:

信息安全管理标准

BS7799 (ISO/IEC17799)信息安全管理体系标准

ISO/IEC 13335信息安全管理标准

ISO 7498

(2)技术与工程标准

SSE一CM网安全系统工程能力成熟度模型

ISO/IEC 15408(GB /丁18336)信息产品通用测评准则

(3)事实标准

SSL传输层加密标准

CVE通用脆弱性描述标准

PMI项目管理方法

2、规范性原则

在提供评估服务中，除了依据相关的国内和国际标准之外，还根据具体情况的需要遵循评估单位自身的一些规范和要求，这些规范包括:

(1)安全体系架构模型

(2)安全工程过程

(3)安全服务规范

(4)软件开发规范

(5)工程文档规范

3、可控性原则

在评估的实施过程中，需要从多个方面对项目进行监管，以保障项目的人员、工具、过程的可控性。

4、保密原则

所有参与评估项目的项目组成员，都需要签署此项目特定的保密协议，对工作过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不会利用此数据进行任何侵害办公室自动化系统网络的行为。

5、全面性原则

避免由于遗漏，造成未来的安全隐患，保证评估的全面性，既要包括技术方面的又要包括管理和策略方面的内容。

6、最小影响原则

从项目管理和技术应用的层面，将评估过程对系统和网络的正常运行所可能的影响降到最低程度，不对现网的运行和业务产生显著影响(包括系统性能明显下降、网络拥塞、服务中断)，同时在评估和加固前做好备份和应急措施。

7、高效性原则

保证评估的高效性，在尽可能短的时间内，高质量的完成风险的评估工作，使得评估报告的结果，能准确地反映出评估前的真实情况。

8、持续性原则

根据安全工程模型划分过程区，在每个过程区都建立持续监控机制，制定相应的文档规范，对工作过程中产生的文档进行跟踪和控制。另外在项目结束后，建立安全跟踪机制，继续对采取措施后剩余的风险以及没有采取安全措施的低风险因素进行跟踪监控。这样既可以保证最终风险评估报告的有效性和真实性，又可以实现信息系统的持续安全规划。

四、总结

网络安全成熟度评估篇5

关键词：信息安全风险防范

随着计算机信息化建设的飞速发展而信息系统在企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变，其重要性日益越来越明显，信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性：保证非授权操作不能获取受保护的信息或计算机资源。完整性：保证非授权操作小能修改数据。有效性：保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息，确保信息在存储，处理，传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。

1企业信息安全风险分析

计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要，如果这些信息系统及网络系统遭到破坏，造成数据损坏，信息泄漏，不能正常运行等问题，则将对企业的生产管理以及经济效益等造成不可估量的损失，信启、技术在提高生产效率和管理水平的同时，也带来了不同以往的安全风险和问题。

信息安全风险和信息化应用情况密切相关，和采用的信息技术也密切相关，公司信息系统面临的主要风险存在于如下几个方面。

计算机病毒的威胁：在业信息安全问题中，计算机病毒发生的频率高，影响的面宽，并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞，系统数据和文件系统破坏，系统无法提供服务甚至破坏后无法恢复，特别是系统中多年积累的重要数据的丢失，损失是灾难性的。

在目前的局域网建成，广域网联通的条件下，计算机病毒的传播更加迅速，单台计算机感染病毒，在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度，感染和破坏规模与网络尚未联通之时相比，高出几个数量级。

网络安全问题：企业网络的联通为信息传递提供了方便的途径。业有许多应用系统如：办公自动化系统，营销系统，电子商务系统，ERP，CRM，远程教育培训系统等，通过广域网传递数据。目前大部分企业都采用光纤的方式连接到互联网运营商，企业内部职工可以通过互联网方便地浏览网络查阅、获取信息，即时聊天、发送电子邮件等。

如何加强网络的安全防护，保护企业内部网上的信息系统和信息资源的安全，保证对信息网络的合法使用，是目前一个热门的安全课题，也是当前企业面临的一个非常突出的安全问题。

信息传递的安全不容忽视：随着办公自动化，财务管理系统，各个企业相关业务系统等生产，经营方面的重要系统投入在线运行，越来越多的重要数据和机密信息都通过企业的内部局域网来传输。

网络中传输的这些信息面临着各种安全风险，例如被非法用户截取从而泄露企业机密；被非法篡改，造成数据混乱，信息错误从而造成工作失误。

用户身份认证和信息系统的访问控制急需加强：企业中的信息系统一般为特定范围的用户使用，信息系统中包含的信息和数据，也只对一定范围的用户开放，没有得到授权的用户不能访问。为此各个信息系统中都设计r用户管理功能，在系统中建立用户，设置权限，管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单，能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理，企业的一个员工要使用到好几个系统时，在每个应用系统中都要建立用户账号，口令和设置权限，用户自己都记不住众多的账号和口令，使用起来非常不方便，更不用说账号的有效管理和安全了。

如何为各应用系统提供统一的用户管理和身份认证服务，是我们开发建设应用系统时必须考虑的一个共性的安全问题。

2解决信息安全问题的基本原则

企业要建立完整的信息安全防护体系，必须根据企业实际情况，，结合信息系统建设和应用的步伐，统筹规划，分步实施。

2．1做好安全风险的评估

进行安全系统的建设，首先必须全面进行信息安全风险评估，找出问题，确定需求，制定策略，再来实施，实施完成后还要定期评估和改进。

信息安全系统建设着重点在安全和稳定，应尽量采用成熟的技术和产品，不能过分求全求新。

培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行，才能真正发挥信息安全防护系统和设备的作用。

2．2采用信息安全新技术，建立信息安全防护体系

企业信息安全面临的问题很多，我们可以根据安全需求的轻重缓急，解决相关安全问题的信息安全技术的成熟度综合考虑，分步实施。技术成熟的，能快速见效的安全系统先实施。

2．3根据信息安全策略，出台管理制度，提高安全管理水平

信息安全的管理包括了法律法规的规定，责任的分化，策略的规划，政策的制订，流程的制作，操作的审议等等。虽然信息安全“七分管理，三分技术”的说法不是很精确，但管理的作用可见一斑。

3解决信息安全问题的思路和方法企业的信息安伞管理要从以下几个方面人手，相辅相成、互相配合。

3．1从技术手段入手保证网络的安全

网络安全指由于网络信息系统基于网络运行和网络问的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。我们在正视这一事实的基础上，在承认不可能有绝对安全的网络系统的前提下，努力探讨如何加强网络安全防范性能，如何通过安全系列软件、硬件及相关管理手段提高网络信息系统的安全性能，降低安全风险，及时准确地掌握网络信息系统的安全问题及薄弱环节，及早发现安全漏洞、攻击行为井针对性地做出预防处理。

在攻击发生过程中，尽早发现，及时阻断。在攻击发十后，尽快恢复并找出原因。

保证网络安全的技术于段包括：过滤、信息分析临控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有：网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦洲与实时响应系统、网络病毒防护系统、强力存取控制系统等。信息安全指数据的保密性、完整性、真实性、可用性、不町否认性及可控性等安全，技术手段包括加密、数字签名、身份认证、安全协议(set、ss1)及ca机制等。文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。主要柯：黄色、反动信息泛滥，敌对的意识形态信息涌入，瓦联网被利用作为串联工具等。其技术手段包括：信息过滤、设置网关、监测、控管等，同时要强有力的管理措施配合，才可取得良好的效果。

3．2建立、健全企业息安全管理制度

任何一个信息系统的安全，在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段，都围绕这一策略来选择和使用，如果在安全管理策略上出了问题，相当于没有安全系统。同时，从大角度来看，网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域，技术手段和相关安全工具只是辅助手段，离开完善的管理制度与措施，是没法发挥应有的作用并建设良好的网络信息安全空间的。

国家在信息安全方面了一系列的法律法规和技术标准，对信息网络安全进行了明确的规定，并有专门的部门负责信息安垒的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准，企业也必须依据这些法律法规，来建立自己的管理标准，技术体系，指导信息安全工作。学习信息安全管理国际标准，提升企业信息安全管理水平国际上的信息技术发展和应用比我们先进，在信息安全领域的研究起步比我们更早，取得了很多的成果和经验，我们可以充分利用国际标准来指导我们的工作，提高水平，少走弯路。

信息安全是企业信息化工作中一项重要而且长期的工作，为此必须各单位建立一个信息安全工作的组织体系和常设机构，明确领导，设立专责人长期负责信息安全的管理工作和技术工作，长能保证信息安全工作长期的，有效的开展，才能取得好的成绩。

3．3充分利用企业网络条件，提供全面。及时和快捷的信息安全服务

很多企业通过广域网联通了系统内的多个二级单位，各单位的局域网全部建成，在这种良好的网络条件下，作为总公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台，安全公告，安全法规和技术标准，提供信息安全设备选型、安全软件下载，搜集安全问题，解答用户疑问，提供在线的信息安全教育培训，并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间，空间和地域的限制，是信息安全管理和服务的重要方式。

3．4定期评估，不断的发展，改进，完善

企业的信息化应用是随着企业的发展而不断发展的，信息技术更是日新月异的发展的，安全防护软件系统由于技术复杂，在研制开发过程中不可避免的会出现这样或者那样的问题，这势必决定了安全防护系统和设备不可能百分百的防御各种已知的，未知的信息安全威胁。安全的需求也是逐步变化的，新的安全问题也不断产生，原来建设的防护系统可能不满足新形势下的安全需求，这些都决定了信息安全是一个动态过程，需要定期对信息网络安全状况进行评估，改进安全方案，调整安全策略。

不是所有的信息安全问题可以一次解决，人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的，不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备，也仅仅是满足某一些方面的安全需求，不是企业有某一方面的信息安全需求，市场上就有对应的成熟产品，因此不是所有的安全问题都可以找到有效的解决方案。

4结语