網(wǎng)絡安全成熟度評估精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們?yōu)槟鷾蕚淞瞬煌L格的5篇網(wǎng)絡安全成熟度評估，期待它們能激發(fā)您的靈感。

篇1

（1）安全漏洞攻擊。任何一個計算機系統(tǒng)都不是十全十美的，都存在某些漏洞。這些系統(tǒng)無意中的漏洞缺陷，卻成為黑客攻擊的通道。當運行在客戶機或服務器的系統(tǒng)程序包含著漏洞代碼時，黑客就能利用這些問題來實施攻擊。

（2）拒絕服務攻擊。這是黑客最常用的攻擊方式之一，通常是使服務器出現(xiàn)如下結果：服務器的緩存區(qū)存滿而無法收到新的請求或者利用IP欺騙的方式影響服務器與合法用戶的連接。攻擊者通常通過某種方式使目標主機來停止提供服務從而達到攻擊網(wǎng)絡的目的。拒絕服務攻擊中最常見的方式是對網(wǎng)絡的可用帶寬或連通性的攻擊。拒絕服務攻擊對網(wǎng)絡來說一直是一個得不到有效解決的問題，這主要是由網(wǎng)絡協(xié)議的本身安全缺陷所造成的，因此拒絕服務也就成了入侵者終極的攻擊手段。

2網(wǎng)絡安全策略與防范措施

（1）攻擊發(fā)生之前的防范措施。防火墻技術能夠最大限度識別與阻擋非法的攻擊行為。它通過網(wǎng)絡邊界的一種特殊的訪問控制構件來隔離內(nèi)網(wǎng)和外網(wǎng)及其它的部分間的信息交流。根據(jù)網(wǎng)絡的體系結構，可以分別設置網(wǎng)絡層IP分組過濾的防火墻、傳輸層的鏈路級防火墻及應用層的應用級防火墻。

（2）攻擊過程的防范措施。隨著網(wǎng)絡技術的發(fā)展，攻擊者使用的工具和方法也變得更加復雜多樣，所以單純采用防火墻已不能夠滿足用戶的安全需求。因此，網(wǎng)絡防護要向縱深和多樣化的方向發(fā)展。這樣，入侵檢測技術得到了應用。

（3）攻擊后的防范措施。當防火墻及入侵檢測技術都記錄到危險的動作及惡意的攻擊行為之后，一旦網(wǎng)絡遭受攻擊以后，計算機可根據(jù)其記錄來分析攻擊的方式，從而盡快地彌補系統(tǒng)存在的漏洞，防止相同攻擊的再次發(fā)生。

（4）全方位防范措施在物理安全層面可以采取以下的措施：選用質(zhì)量較好的網(wǎng)絡硬件設備；對關鍵設備及系統(tǒng),進行系統(tǒng)的備份；加強機房安全防護，防火、防盜，同時加強網(wǎng)絡設備及安全設備的防護。信息安全方面要保證信息的真實性、完整性和機密性。因此，要將計算機中的重要或者隱私的數(shù)據(jù)加密，在數(shù)據(jù)的傳輸過程中也要進行加密傳輸。使用鏈路加密、端點加密和節(jié)點加密3種加密方式來確保信息傳輸?shù)陌踩ＴL問控制措施是保證資源不被非法的使用與訪問的有效措施。它包括入網(wǎng)的訪問控制、操作權限的控制、目錄安全的控制、屬性安全的控制、網(wǎng)絡服務器安全的控制、網(wǎng)絡的監(jiān)測、鎖定的控制及防火墻的控制等7個方面的控制內(nèi)容。因此，它是維護網(wǎng)絡的安全和保護資源的一個重要的手段。

3網(wǎng)絡攻擊的效果評估方法

網(wǎng)絡攻擊效果評估是研究復雜網(wǎng)絡環(huán)境中怎樣對信息系統(tǒng)所進行的網(wǎng)絡攻擊效果來定性或者定量評估的結果，從而由此檢驗攻擊有效性與網(wǎng)絡的系統(tǒng)安全性等。進行網(wǎng)絡的攻擊效果評估在信息系統(tǒng)安全評估的過程中有著十分重要的意義。首先，網(wǎng)絡的構建部門通過對網(wǎng)絡進行攻擊模擬及自我評估來檢驗系統(tǒng)安全特性；其次，當對敵方惡意的攻擊進行反擊時，網(wǎng)絡的攻擊效果評估還能夠為網(wǎng)絡的反擊樣式及反擊強度制定合理的應對方案。現(xiàn)有的評估方式可分為安全審計、風險分析、能力成熟模型及安全測評四類。

（1）安全審計。將安全審計做為核心的評估思想是將是否實施最佳實踐和程度進行系統(tǒng)安全性評估。此類模型主要包括：美國的信息系統(tǒng)的審計與控制協(xié)會COBIT、德國IT安全基本保護手冊及美國審計總署自動信息系統(tǒng)的安全審計手冊等。此方式主要是針對信息系統(tǒng)的安全措施的落實和安全管理，這是一種靜態(tài)的、瞬時測量方法。

（2）風險分析。風險分析模型主要從風險控制的角度來進行安全的評估和分析。一般的方法是通過對要進行保護的IT資源的研究，假設出這些資源可能存在的漏洞和安全威脅，然后對這些漏洞和威脅對資源可能所帶來的后果進行預算，通過數(shù)學概率統(tǒng)計對安全性能進行測量，對可能產(chǎn)生的損失大部分進行量化。然后提取出所需來進行風險控制，從而降低風險，把安全風險控制到能夠接受的范圍之內(nèi)。風險的管理是動態(tài)的及反復測量的過程。現(xiàn)有的通用信息安全的標準，例如15013335和15017799等，核心的思想都源于風險安全的理念。

（3）能力成熟度模型。能力成熟度模型主要是由過程（Process）保證其安全。最著名的能力成熟模型是系統(tǒng)工程安全的能力成熟度模型。系統(tǒng)工程安全的能力成熟度模型的基本原理是通過將安全工程的過程管理途徑，把系統(tǒng)的安全工程轉化成為定義好、成熟、可測量的一個過程。該模型把安全能力共劃分成5個等級，從低到高進行排序，低等級的是不成熟、難控制安全能力，中等級的是能管理、可控的安全能力，高等級的則是可量化、可測量的安全能力。能力成熟度模型為動態(tài)、螺旋式的上升模型。

（4）安全測評。安全測評主要更多從安全的技術及功能與機制方面來對信息系統(tǒng)安全進行評估。早期安全測評方案有美國國防部的TCSEC，它的優(yōu)勢是比較適用于計算機安全，尤其是操作系統(tǒng)的安全進行度量，對計算機操作系統(tǒng)的等級的劃分有著相當大的影響力。

4結語

篇2

網(wǎng)絡安全策略與防范措施

（1）攻擊發(fā)生之前的防范措施。防火墻技術能夠最大限度識別與阻擋非法的攻擊行為。它通過網(wǎng)絡邊界的一種特殊的訪問控制構件來隔離內(nèi)網(wǎng)和外網(wǎng)及其它的部分間的信息交流。根據(jù)網(wǎng)絡的體系結構，可以分別設置網(wǎng)絡層IP分組過濾的防火墻、傳輸層的鏈路級防火墻及應用層的應用級防火墻。（2）攻擊過程的防范措施。隨著網(wǎng)絡技術的發(fā)展，攻擊者使用的工具和方法也變得更加復雜多樣，所以單純采用防火墻已不能夠滿足用戶的安全需求。因此，網(wǎng)絡防護要向縱深和多樣化的方向發(fā)展。這樣，入侵檢測技術得到了應用。（3）攻擊后的防范措施。當防火墻及入侵檢測技術都記錄到危險的動作及惡意的攻擊行為之后，一旦網(wǎng)絡遭受攻擊以后，計算機可根據(jù)其記錄來分析攻擊的方式，從而盡快地彌補系統(tǒng)存在的漏洞，防止相同攻擊的再次發(fā)生。（4）全方位防范措施在物理安全層面可以采取以下的措施：選用質(zhì)量較好的網(wǎng)絡硬件設備；對關鍵設備及系統(tǒng),進行系統(tǒng)的備份；加強機房安全防護，防火、防盜，同時加強網(wǎng)絡設備及安全設備的防護。信息安全方面要保證信息的真實性、完整性和機密性。因此，要將計算機中的重要或者隱私的數(shù)據(jù)加密，在數(shù)據(jù)的傳輸過程中也要進行加密傳輸。使用鏈路加密、端點加密和節(jié)點加密3種加密方式來確保信息傳輸?shù)陌踩ＴL問控制措施是保證資源不被非法的使用與訪問的有效措施。它包括入網(wǎng)的訪問控制、操作權限的控制、目錄安全的控制、屬性安全的控制、網(wǎng)絡服務器安全的控制、網(wǎng)絡的監(jiān)測、鎖定的控制及防火墻的控制等7個方面的控制內(nèi)容。因此，它是維護網(wǎng)絡的安全和保護資源的一個重要的手段。

網(wǎng)絡攻擊的效果評估方法

網(wǎng)絡攻擊效果評估是研究復雜網(wǎng)絡環(huán)境中怎樣對信息系統(tǒng)所進行的網(wǎng)絡攻擊效果來定性或者定量評估的結果，從而由此檢驗攻擊有效性與網(wǎng)絡的系統(tǒng)安全性等。進行網(wǎng)絡的攻擊效果評估在信息系統(tǒng)安全評估的過程中有著十分重要的意義。首先，網(wǎng)絡的構建部門通過對網(wǎng)絡進行攻擊模擬及自我評估來檢驗系統(tǒng)安全特性；其次，當對敵方惡意的攻擊進行反擊時，網(wǎng)絡的攻擊效果評估還能夠為網(wǎng)絡的反擊樣式及反擊強度制定合理的應對方案。現(xiàn)有的評估方式可分為安全審計、風險分析、能力成熟模型及安全測評四類。（1）安全審計。將安全審計做為核心的評估思想是將是否實施最佳實踐和程度進行系統(tǒng)安全性評估。此類模型主要包括：美國的信息系統(tǒng)的審計與控制協(xié)會COBIT、德國IT安全基本保護手冊及美國審計總署自動信息系統(tǒng)的安全審計手冊等。此方式主要是針對信息系統(tǒng)的安全措施的落實和安全管理，這是一種靜態(tài)的、瞬時測量方法。（2）風險分析。風險分析模型主要從風險控制的角度來進行安全的評估和分析。一般的方法是通過對要進行保護的IT資源的研究，假設出這些資源可能存在的漏洞和安全威脅，然后對這些漏洞和威脅對資源可能所帶來的后果進行預算，通過數(shù)學概率統(tǒng)計對安全性能進行測量，對可能產(chǎn)生的損失大部分進行量化。然后提取出所需來進行風險控制，從而降低風險，把安全風險控制到能夠接受的范圍之內(nèi)。風險的管理是動態(tài)的及反復測量的過程。現(xiàn)有的通用信息安全的標準，例如15013335和15017799等，核心的思想都源于風險安全的理念。（3）能力成熟度模型。能力成熟度模型主要是由過程（Process）保證其安全。最著名的能力成熟模型是系統(tǒng)工程安全的能力成熟度模型。系統(tǒng)工程安全的能力成熟度模型的基本原理是通過將安全工程的過程管理途徑，把系統(tǒng)的安全工程轉化成為定義好、成熟、可測量的一個過程。該模型把安全能力共劃分成5個等級，從低到高進行排序，低等級的是不成熟、難控制安全能力，中等級的是能管理、可控的安全能力，高等級的則是可量化、可測量的安全能力。能力成熟度模型為動態(tài)、螺旋式的上升模型。（4）安全測評。安全測評主要更多從安全的技術及功能與機制方面來對信息系統(tǒng)安全進行評估。早期安全測評方案有美國國防部的TCSEC，它的優(yōu)勢是比較適用于計算機安全，尤其是操作系統(tǒng)的安全進行度量，對計算機操作系統(tǒng)的等級的劃分有著相當大的影響力。

結語

篇3

【關鍵詞】 網(wǎng)絡會計； 風險分析； 會計內(nèi)控指標體系； 模糊評價法； 績效評價

中圖分類號：F232；F272.35文獻標識碼：A文章編號：1004-5937（2014）16-0083-05目前，中國很多企業(yè)實施了網(wǎng)絡會計信息系統(tǒng)，但對網(wǎng)絡環(huán)境下產(chǎn)生的安全威脅不夠重視，未及時完善自身的內(nèi)控體系，增加了內(nèi)部控制的不安全性，從而影響到會計信息的安全。因此，研究網(wǎng)絡會計信息系統(tǒng)下內(nèi)部控制的安全問題，幫助企業(yè)建立一個新的、更有效的內(nèi)部控制指標體系很有意義。

文章基于傳統(tǒng)內(nèi)部控制評價體系網(wǎng)絡化下賦予的新含義，重新構建了網(wǎng)絡會計內(nèi)部控制的安全評價體系，以實現(xiàn)對會計內(nèi)控目標、會計內(nèi)控環(huán)境、財務風險監(jiān)控與管理控制、信息技術控制、財務監(jiān)督問責、信息溝通等安全控制方面的評價。

一、網(wǎng)絡會計內(nèi)部控制體系的理論基礎

（一）傳統(tǒng)內(nèi)部控制體系

2008年6月28日，財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會制定并印發(fā)《企業(yè)內(nèi)部控制基本規(guī)范》，要求企業(yè)建立實施的內(nèi)部控制包括下列五個要素：內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通以及內(nèi)部監(jiān)督。這五個部分也可作為評價內(nèi)部控制系統(tǒng)有效性的標準。

（二）網(wǎng)絡會計內(nèi)部控制風險分析

內(nèi)部控制主要是控制好風險，因此，筆者首先對網(wǎng)絡會計信息系統(tǒng)進行安全分析，然后運用各種方法和工具找出各個流程的潛在風險，最終建立起風險的詳細清單，如表1所示。

二、構建網(wǎng)絡會計內(nèi)部控制安全評價體系

處于經(jīng)濟轉型期的我國企業(yè)面臨經(jīng)營風險及外部環(huán)境的變化，內(nèi)控體系應及時作出相應的調(diào)整，構建適應信息化環(huán)境的內(nèi)部控制框架。其中控制網(wǎng)絡會計帶來的新變化是重點，所有內(nèi)控要素都要從信息化會計系統(tǒng)的特征出發(fā)加以通盤考慮。內(nèi)部安全控制框架如圖1所示。

在網(wǎng)絡會計內(nèi)部控制體系之下，根據(jù)每一類控制因素的活動域，首先將其分解為關鍵過程域，然后將該過程域細化到具體的關鍵控制點。本文將對體系中六個控制因素的活動域，按照關鍵過程域到關鍵控制點的步驟來分別描述。

（一）會計內(nèi)控目標

1.建立符合國內(nèi)外法律、法規(guī)，面向會計部門并結合部門內(nèi)部網(wǎng)絡會計實際情況的內(nèi)部控制體系。

2.梳理網(wǎng)絡會計下的內(nèi)部管理流程。

3.不斷完善內(nèi)部控制體系，與企業(yè)戰(zhàn)略目標相融合，向全面風險管理體系過渡，建立風險管理和內(nèi)部控制長效管理機制。

（二）會計內(nèi)控環(huán)境

1.更新信息化觀念

為了適應網(wǎng)絡發(fā)展的新形勢，企業(yè)領導要樹立市場觀念、競爭觀念，重視會計信息化，同時企業(yè)要結合先進的管理理念和現(xiàn)代化方法，更新現(xiàn)有會計信息系統(tǒng)。

2.明確會計部門分工

財務部下應設置信息部門和業(yè)務部門。信息部門提供信息技術服務和系統(tǒng)運行監(jiān)督；業(yè)務部門負責批準、執(zhí)行業(yè)務和資產(chǎn)保管等。

3.提高財務人員安全意識

（1）將會計信息安全方針與安全考察方針形成書面文件；（2）與重要的會計人員簽署保密協(xié)議；（3）對會計人員進行信息安全教育與培訓。

（三）財務風險監(jiān)控與管理

1.財務風險監(jiān)控

（1）識別關鍵控制點；（2）更新預警模型。實時監(jiān)控潛在的風險，將全方位的信息轉換成財務指標，加入到預警模型中，實現(xiàn)資源共享和功能集成。

2.財務風險管理

（1）適當利用自動化控制來代替手工控制；（2）可在系統(tǒng)外部執(zhí)行部分關鍵的手工操作。

（四）信息技術控制

1.系統(tǒng)構建控制

（1）制定信息系統(tǒng)開發(fā)戰(zhàn)略；（2）選擇合適的系統(tǒng)開發(fā)方式。

2.嚴密的授權審批制度

（1）操作權限與崗位責任制；（2）重點業(yè)務環(huán)節(jié)實行“雙口令”。

3.系統(tǒng)操作控制

（1）數(shù)據(jù)輸入控制；（2）數(shù)據(jù)處理控制；（3）數(shù)據(jù)輸出控制。

4.會計數(shù)據(jù)安全管理

（1）會計數(shù)據(jù)備份加密；（2）會計數(shù)據(jù)傳輸加密；（3）用戶訪問控制；（4）服務器加密。

（五）財務監(jiān)督與問責

主要是內(nèi)部審計管理：

（1）定期審計會計資料，檢查會計信息系統(tǒng)賬務處理的正確性；（2）審查機內(nèi)數(shù)據(jù)與書面資料的一致性；（3）監(jiān)督數(shù)據(jù)保存方式的安全性和合法性，防止非法修改歷史數(shù)據(jù)；（4）審查系統(tǒng)運行各環(huán)節(jié)，發(fā)現(xiàn)并及時堵塞漏洞等。

（六）信息溝通

會計信息的溝通與交流應貫穿整個內(nèi)控體系中。

1.管理層重視

管理層應高度重視及支持信息系統(tǒng)的開發(fā)工作，確保各職能部門信息系統(tǒng)在信息交流上高度耦合。

2.嚴密的組織保障

各部門通過控制系統(tǒng)識別使用者需要的信息；收集、加工和處理信息，并及時、準確和經(jīng)濟地傳遞給相關人員。

3.體系化的制度保障

建立健全會計及相關信息的報告負責制度，使會計人員能清楚地知道其所承擔的責任，并及時取得和交換他們在執(zhí)行、管理和控制經(jīng)營過程中所需的信息。

三、基于模糊評價法的內(nèi)控評價體系應用 研究

網(wǎng)絡會計信息系統(tǒng)內(nèi)控體系績效評價的應用研究主要利用成熟度模型來劃分內(nèi)部會計控制因素的等級，基于模糊評價法來進行安全績效評價，最后得出相應的結論。

（一）模糊綜合評價法的應用

模糊綜合評價法是以模糊數(shù)學為基礎，將一些不易定量的因素定量化，從多個因素對被評價事物隸屬等級狀況進行綜合性評價。

一是對網(wǎng)絡會計內(nèi)控體系進行成熟度劃分。

二是依據(jù)成熟度模型來確定評價因素和評價等級。設：U=｛?滋1，?滋2，?滋3，…，?滋m｝為被評價對象的m個評價指標V=｛v1，v2，v3，…，vn｝；為每一個因素所處的狀態(tài)的n種等級。

三是確定權重分配。

四是進行全面的調(diào)查訪問，并建立評價表。

五是建立模糊評價矩陣，得出多級模糊的綜合等級。

六是得出關鍵控制點的評級表。

七是得出評價結果。

（二）模糊綜合評價法的應用

本節(jié)針對上述內(nèi)控體系中的信息技術控制因素，對其應用模糊評價法來進行分析，其他控制因素的評價方法與此例相同。

1.成熟度評價標準

借鑒能力成熟度模型（CMM），同時考慮網(wǎng)絡會計信息系統(tǒng)的特點，將內(nèi)控流程評價標準劃分為六級：不存在級、初始級、已認識級、已定義級、已管理級、優(yōu)化級。完善后的內(nèi)部會計控制成熟度評價標準如表2所示。

表2中等級的劃分是針對會計信息系統(tǒng)內(nèi)部控制體系總體情況而言。具體到網(wǎng)絡會計內(nèi)部控制的每一級指標建立成熟度模型時，各個流程也分為以上六個等級。

2.成熟度模型

建立了成熟度評價標準之后，便可根據(jù)網(wǎng)絡會計內(nèi)部控制體系列出控制內(nèi)容、關鍵過程域及關鍵控制點。本文以信息技術控制為例建立具體模型，該控制因素的成熟度模型如表3所示。

3.權重分配

我國學者辛金國、范煒采用德爾菲法，通過問卷調(diào)查的方式得到傳統(tǒng)內(nèi)部控制五要素中控制環(huán)境權重為30%、風險評估為12.9%、控制活動為25.2%、信息與溝通為28%、監(jiān)督為3.9%。

本文賦權采用德爾菲法，并結合網(wǎng)絡會計的特點，控制內(nèi)容的權重分配如表4、表5所示。

4.評價表

建立起三級的指標體系結構之后，分別對審計機構、信息安全機構、公司管理層及普通員工四個方面進行調(diào)查。每一類對象都挑選10人（總共40人）進行調(diào)查訪問，每位專家、管理者及員工分別運用實地觀察法、流程圖法、專業(yè)判斷法或工作經(jīng)驗法，按照指標執(zhí)行情況，對每一項關鍵控制點依照成熟度模型賦予安全等級分值，表格的內(nèi)容代表選擇該等級的人數(shù)，整理后得出評價表，如表6所示。

5.模糊評價矩陣

首先，用表6中每個級別的分值除以總人數(shù)40，得出的評價結果構成關鍵過程域的模糊評價矩陣R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，進行關鍵控制域模糊矩陣運算，B4j=A4j?R4j

B41=［0.5 0.5］?R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，計算控制內(nèi)容的模糊矩陣運算，Vi=Ai?Bi

V4=［0.2 0.3 0.25 0.25］?B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，計算信息技術控制的綜合得分G4=V4? ［0 1 2 3 4 5］T=2.78875。

6.評級表

對各關鍵控制點的分值進行加權平均計算，根據(jù)得出的數(shù)所靠近的級別，從而判斷其成熟度級別，公式是：

單項關鍵控制點評價得分=Σ（該關鍵控制點的分值×對應的等級數(shù)）÷40

每一項關鍵控制點通過上述公式計算得出的評級表如表7所示。

依據(jù)內(nèi)控流程的成熟度，對照單項關鍵控制點的評級，賦予其合適的等級區(qū)間。

7.評價結果

根據(jù)模糊矩陣法運算出的信息技術控制的綜合評分為2.78875，在2―已認識級與3―已定義級之間，接近3―已定義級。

根據(jù)表7，可以針對公司的信息技術控制關鍵控制點的績效作出如下評價：

公司在適當?shù)男畔⑾到y(tǒng)開發(fā)方式、操作權限與崗位責任制、操作控制以及會計數(shù)據(jù)存儲加密中做得較好，評級基本在3―已定義級以上。

公司在內(nèi)部會計控制中的信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃、重點業(yè)務環(huán)節(jié)的安全控制、會計數(shù)據(jù)安全管理、對外來人員的訪問控制、對內(nèi)部服務器的安全管理均需要進一步加強。

四、結語

網(wǎng)絡會計具有開放性、及時性、分散性與共享性的特點，根據(jù)其特點，本文建立了信息化內(nèi)部會計控制體系，主要包含會計內(nèi)控目標、會計內(nèi)控環(huán)境、財務風險監(jiān)控與管理、信息技術控制、財務監(jiān)督問責、信息溝通六個方面。在安全分析過程中，列出了風險清單，讓財務部門負責人更全面地了解到面臨的各級風險。發(fā)現(xiàn)風險是第一步，第二步便是管理風險，公司應分別從內(nèi)部會計控制的六個方面進行體系化的控制，其中最重要的便是利用信息技術控制來保障網(wǎng)絡會計信息系統(tǒng)的內(nèi)部安全和計算機網(wǎng)絡安全。最后，本文運用模糊評價法，對網(wǎng)絡會計信息系統(tǒng)內(nèi)部控制評價體系進行應用研究，以信息技術控制為例，對其安全內(nèi)控體系進行了評價及實證分析。

【參考文獻】

［1］ 王曉玲.基于風險管理的內(nèi)部控制建設［M］.北京：電子工業(yè)出版社，2010：100-102.

［2］ 陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究［J］.會計研究，2007（1）：30-37.

［3］ 杜洪濤.網(wǎng)絡環(huán)境下會計電算化信息系統(tǒng)安全探討［J］.計算機光盤軟件與應用，2010（9）：37-38.

［4］ 宮雪冰.基于內(nèi)部控制的網(wǎng)絡會計信息系統(tǒng)安全問題的控制［J］.中國管理信息化，2010，13（15）：2-3.

［5］ 李河君.會計信息系統(tǒng)風險控制體系研究［D］.首都經(jīng)濟貿(mào)易大學碩士學位論文，2010.

［6］ 財政部會計司.《企業(yè)內(nèi)部控制應用指引第18號―信息系統(tǒng)》解讀［J］.財務與會計，2011（6）：57-62.

［7］ 艾文國，王亞鳴.企業(yè)會計信息化內(nèi)部控制問題研究［J］.中國管理信息化，2008，11（15）：14-16.

［8］ 張繼德,劉盼盼. 會計信息系統(tǒng)安全性現(xiàn)狀及應對策略探討［J］. 中國管理信息化，2010，13（6）：3-5.

［9］ 陳秀偉.網(wǎng)絡環(huán)境下會計信息系統(tǒng)的內(nèi)部控制探析［J］.中國管理信息化，2011，14（5）：7-8.

篇4

關鍵詞：網(wǎng)絡熵；定量評估；模型

中圖分類號：TP393.08

隨著社會的發(fā)展與科技的進步，網(wǎng)絡在日常生活中被應用到更多領域。當網(wǎng)絡帶給生活越來越多的便利時，也帶來了一些風險，網(wǎng)絡的安全問題是當前人們最關注的問題之一。目前對于網(wǎng)絡信息安全的評估并未有系統(tǒng)化、規(guī)范化的方式，但是目前被經(jīng)常使用的方法大致有四種：安全審計、風險分析、系統(tǒng)安全工程能力成熟度模型以及安全測評。但是目前還未實現(xiàn)對網(wǎng)絡攻擊效果的評測，本文基于網(wǎng)絡熵，構建了計算機網(wǎng)絡攻擊效果定量評估模型，依據(jù)假設的模型完成對網(wǎng)絡攻擊效果的評估。

1 網(wǎng)絡安全指標的選取規(guī)則

網(wǎng)絡攻擊的最終目標是使對方網(wǎng)絡遭到破壞或者被摧毀，使其計算機系統(tǒng)無法正常的工作。所以想要觀測攻擊的效果，可以使用一個量化的指標對攻擊結果進行評測。關于計算機網(wǎng)絡安全的指標有很多，其中，安全機制、安全準則與安全指標之間是波及范圍遞減即逐步細化分類的三種指標。

實施對計算機網(wǎng)絡攻擊效果的評估，簡而言之，就是通過實施對安全指標的觀測完成攻擊效果的確定。目前計算機網(wǎng)絡系統(tǒng)中已存在的安全機制有許多，例如防篡改、防繞過等。由上述安全機制能夠得出安全準則的主要內(nèi)容同樣是關于防篡改、立體化、以及強制性。由于能夠用來評估網(wǎng)絡攻擊效果的安全指標數(shù)量較多，需要對其進行一定規(guī)則下的篩選。比如說，在依據(jù)某一項安全準則得到若干個指標X1，X2，X3直至Xn，依據(jù)德爾菲法的結論可知，安全指標的重要程度與其數(shù)字的大小成正比（上述值Xi均為正）。我們假設上述情況中提到的安全指標中X1>X2>X3>……>Xn，此時需要構造一個遞減數(shù)列{x1 x2 …xn}，并設數(shù)列的和為X，需要我們求出最小的m，使得成立，其中a∈（-∞，1），即是重要性常數(shù)。其中前m項中每一項均可對應求出一個這樣的一個指標，即為重要性指標，用Im表示。這里的a可以視實際情況選取，但需注意一般要不小于0.7。

2 基于網(wǎng)絡熵的計算機網(wǎng)絡攻擊效果研究

2.1 網(wǎng)絡熵的具體含義

想要得出網(wǎng)絡系統(tǒng)的安全性測評結果，需要在篩選過安全性能指標后運用一定的手段，例如模型試驗法等將指標進行量化，分別獲取遭受攻擊前與遭受攻擊后的量化結果，將兩者進行對比即可得出攻擊效果的量化結果。簡而言之攻擊效果評估就是要得出在遭受計算機網(wǎng)絡攻擊后計算機網(wǎng)絡安全性的變化。基于此可以得出“網(wǎng)絡熵”的概念。所謂“熵”，指的是一個體系的混亂程度，多應用于控制論、數(shù)論以及天體物理、生命科學等領域，由Claude Elwood Shannon率先將其應用于信息論中。因此熵值越小，說明該計算機系統(tǒng)的安全性就越強，相反，熵值大則其穩(wěn)定性較差，可以據(jù)此構建一個關于熵值變化的公式：

H=-log2Vi （1）

其中Vi指的是網(wǎng)絡在此項安全指標中的歸一化參數(shù)。通常情況下當計算機網(wǎng)絡被攻擊后對其整體安全性會有負面影響，系統(tǒng)可靠性、穩(wěn)定性等都會下降，因此其熵值會有一定程度的增加。此時可以構建一個闡釋攻擊效果的公式：

H=-log2（V2/V1） （2）

其中V1指的是網(wǎng)絡再受攻擊之前的網(wǎng)絡可靠性、系統(tǒng)穩(wěn)定性等的歸一化參數(shù)，V2指的是在網(wǎng)絡受攻擊之后網(wǎng)絡可靠性、系統(tǒng)穩(wěn)定性等的歸一化參數(shù)。

2.2 單一網(wǎng)絡安全指標的網(wǎng)絡熵差計算方式

能夠對計算機網(wǎng)絡安全性能產(chǎn)生影響的因素有許多種，因為在不同網(wǎng)絡環(huán)境下，網(wǎng)絡安全整體機制是不相同的，對安全性的計算方式也各不相同。其中對計算機網(wǎng)絡安全性能有影響的主要因素有許多種，且各自的狀況較為復雜，因此在進行網(wǎng)絡安全指標的選取時應當注意該指標在實施過程中的可操作性以及簡便性。例如想要實施對計算機網(wǎng)絡安全可用性的計算，需要明確對可用性有影響的部分指標，如網(wǎng)絡數(shù)據(jù)在一定時間內(nèi)的吞吐量、網(wǎng)絡信道利用效率等。可以得出下列計算網(wǎng)絡數(shù)據(jù)流量對計算機網(wǎng)絡攻擊效果的計算公式：

HS=-log2（S2/Sg）-（-log2（S1/Sg））=-log2（S2/S1） （3）

其中S1指的是在計算機網(wǎng)絡遭受攻擊之前的網(wǎng)絡吞吐量，S2為計算機網(wǎng)絡受攻擊后的網(wǎng)絡吞吐量，Sg則是網(wǎng)絡最大吞吐量。將其進行歸一量化后的出S1/Sg，S2/Sg。在此公式下，通過計算可知，當S2與S1數(shù)值相同時，HS=0，說明此次攻擊未生效；當S2的數(shù)值越小時，HS的值就會越大，表明攻擊的效果越明顯。同理可得：

HU=-log2V2-（-log2V1）=-log2（V2/V1） （4）

文章上述內(nèi)容針對計算機網(wǎng)絡可用性的部分指標網(wǎng)絡熵值得確定進行了相關探討。上述提到的歸一化能利用多種方式實現(xiàn)。當前可操作性較強的有線性、非線性、折線以及指數(shù)型等。在具體的歸一化過程中可以根據(jù)自身網(wǎng)絡整體安全準則與具體安全指標的具體情況決定。

3 構建基于網(wǎng)絡熵的計算機網(wǎng)絡攻擊效果定量評估模型

3.1 模型的系統(tǒng)構成

依據(jù)上述研究思路對基于網(wǎng)絡熵的計算機網(wǎng)絡攻擊效果定量評估模型進行構建，制作出的模型結構如圖1所示。根據(jù)下圖構建的系統(tǒng)展開網(wǎng)絡攻擊模擬實驗能讓網(wǎng)絡攻擊的效果最終產(chǎn)生并輸出。

圖1 基于網(wǎng)絡熵的計算機網(wǎng)絡攻擊效果定量評估模型系統(tǒng)構成

在攻擊試驗開始之前還需對上圖中所有模塊進行相關參數(shù)設定：（1）在系統(tǒng)設置模塊中調(diào)整設置，設定參與試驗的網(wǎng)絡拓撲結構、網(wǎng)絡流量類型、網(wǎng)絡服務種類以及此次計算計網(wǎng)絡攻擊行為的實施目的等。（2）根據(jù)上述系統(tǒng)設置模塊的具體設定，調(diào)整指標選擇模塊的參數(shù)設置，選擇適合本次評估工作的網(wǎng)絡指標。可以利用德爾菲法完成評估指標體系的綜合構建，對一切能影響此次評估的網(wǎng)絡指標進行篩選，最終確定影響效果最明顯的若干指標。使用該種方式也能將外力因素對此次評估結果的影響降到最小。（3）根據(jù)指標選擇模塊中指標的選擇，設置各項指標對最終結果的影響程度。該項設置可以根據(jù)德爾菲法的結果進行人工選擇，也可以在計算機中使用評價指標判斷矩陣，使用AHP逐步進行計算得來。（4）數(shù)據(jù)輸入模塊就是從試驗網(wǎng)絡中收集得來各項指標的數(shù)據(jù)信息，收集數(shù)據(jù)能使用的方法有許多，例如被動偵聽等，這里能根據(jù)自身需要自由選擇。（5）效果評估模塊則會根據(jù)以上模塊得來的數(shù)據(jù)，對計算機網(wǎng)絡受到攻擊后性能的下降情況進行量化計算，完成對其評估。（6）最終結果由輸出子模塊以表格或是文檔的形式輸出。

3.2 對計算機網(wǎng)絡攻擊效果評估模型的證明

為了證明及確保該模型法實施的有效性以及規(guī)范性，構建出圖2所示網(wǎng)絡攻擊效果評估試驗平臺。

圖2 網(wǎng)絡攻擊效果評估試驗平臺

（1）主控程序，即系統(tǒng)的主要控制程序，能對其他模塊進行設置及實施調(diào)整，并能實現(xiàn)對其基本參數(shù)設置狀況的更改。（2）脆弱性掃描模塊，主要作用是對受試網(wǎng)絡的漏洞及安全隱患狀況進行掃描并能將掃描結果存儲下來，為攻擊模塊實施網(wǎng)絡攻擊行為提供方向指導。（3）模擬攻擊模塊，就是依據(jù)脆弱性掃描得來的結果，利用一定的網(wǎng)絡攻擊手段對受試網(wǎng)絡發(fā)動網(wǎng)絡攻擊行動，攻擊的結果將會傳輸至專門的結果數(shù)據(jù)庫中存儲。（4）數(shù)據(jù)庫模塊主要負責漏洞庫、病毒庫等子模塊的日常維護以及管理。（5）數(shù)據(jù)采集模塊主要負責采集受試網(wǎng)絡的各項指標，例如其網(wǎng)絡數(shù)據(jù)吞吐量、系統(tǒng)的響應時間等。并能將收集得來的數(shù)據(jù)發(fā)送至綜合評估模塊完成對攻擊效果的評估。（6）綜合評估模塊，就是對上述模塊發(fā)送的信息進行綜合分析，得出對此次攻擊的結果表述，還會把結果以書面的方式呈現(xiàn)，完成對模型法評估結果有效性的證明。

利用上述模型開展了模擬實驗，最終得出的結果如表1、表2、表3所示：

表1 UDP flooder模擬攻擊測試數(shù)據(jù)

表2 Ping of death攻擊測試數(shù)據(jù)

表3 Worm. Blaster攻擊測試數(shù)據(jù)

4 結束語

基于網(wǎng)絡熵的計算機網(wǎng)絡攻擊效果定量評估方法為我國信息系統(tǒng)安全綜合評估提供了新思路，此方式的確立對我國的網(wǎng)絡安全建設意義重大。對建設我國信息網(wǎng)絡系統(tǒng)、國家信息安全基礎設施以及網(wǎng)絡攻防對抗實踐有十分重要的作用。此種方式對網(wǎng)絡攻擊效果有良好的評估作用，能如實地反映網(wǎng)絡攻擊的各項效果，未來在實踐過程中應用前景十分廣闊。目前針對此項研究有待完善的地方正在進行進一步的探究。

參考文獻：

[1]王新安，周漫，萬歆.基于網(wǎng)絡熵的計算機網(wǎng)絡攻擊效果定量評估方法分析[J].科技資訊，2013（05）.

[2]王克難.計算機網(wǎng)絡攻擊的防范與效果評估[J].煤炭技術，2013（05）.

[3]趙博夫，殷肖川.多維網(wǎng)絡攻擊效果評估方法研究[J].計算機工程與設計，2011（08）.

[4]任連興，單洪.基于效果評估的網(wǎng)絡抗毀性研究[J].計算機與現(xiàn)代化，2010（01）.

篇5

【關鍵詞】 電子政務 績效評估 綜述

1.引言

電子政務績效評價就是指專門的機構和人員依據(jù)大量的客觀數(shù)據(jù)和事實,按照專門的規(guī)范、程序,遵循統(tǒng)一的標準和特定的指標體系,運用科學的方法模型,對電子政務建設成本與效益進行客觀、準確評判的過程。

電子政務績效評估的根本目的就在于及時發(fā)現(xiàn)問題、解決問題,為電子政務的發(fā)展提供信息源泉和導向。所以對現(xiàn)有電子政務績效評估研究成果進行回顧、歸納和分析,為我國電子政務的健康發(fā)展提供依據(jù)和指導,具有良好的現(xiàn)實意義。

2.國外電子政務評價體系

伴隨發(fā)達國家電子政務的蓬勃發(fā)展,出現(xiàn)了一系列測評全球電子政務績效狀況的研究報告,這些研究報告在連續(xù)幾年的跟蹤測評過程中發(fā)展出了各自獨特的電子政務績效評價指標體系。

2.1 聯(lián)合國經(jīng)濟與社會事務部的電子政府成熟指數(shù)

2008年, 聯(lián)合國經(jīng)濟與社會事務部對全球190個國家的電子政務進行了調(diào)查, 將結果編制成各國電子政府成熟指數(shù)(董禮勝、雷婷,2009)[1]。指數(shù)包括三方面的內(nèi)容:(1)政府網(wǎng)站的內(nèi)容和網(wǎng)站的成熟度;(2)對信息通信技術基礎設施的數(shù)據(jù)分析,共包括6 個指數(shù), 即一個國家的計算機數(shù)量、互聯(lián)網(wǎng)主機數(shù)量、上網(wǎng)人數(shù)、固定電話、移動電話以及電視機數(shù)量的百分比;(3)人力資本的數(shù)據(jù)分析, 包括人力資本的發(fā)展指數(shù)(是否傾向于接受并使用電子政府提供的數(shù)據(jù))、信息獲取指數(shù)(是否擁有技術手段獲取相關的信息和服務)以及城市人口占總人口的百分比。對上述三方面綜合分析,即得到電子政府成熟指數(shù)(見表1)。統(tǒng)計指數(shù)表明:美國電子政府成熟度指數(shù)為0.8644,全球排名第一;加拿大、法國、德國等發(fā)達國家也處于0.7-0.8之間,我國電子政府成熟度指數(shù)為0.5017,與發(fā)達國家存在一定差距。

2.2 埃森哲咨詢公司的總體成熟度

世界著名的埃森哲咨詢公司從2000年開始,就用其特有的評價指標體系對部分具有代表性的國家和地區(qū)政府門戶網(wǎng)站進行分析評測(李鳴,2010)[2]。該評價體系主要通過總體成熟度來衡量一個國家或地區(qū)政府門戶的電子政務績效,總體成熟度由服務成熟度和客戶關系管理兩個指標的得分進行加權平均后的分數(shù),其中服務成熟度包括服務成熟廣度和服務成熟深度兩個方面,權重占70%。客戶關系管理是指政府服務的完備水平,占權重的30%(見表2)。

2.3 TNS(Taylor Nelson Sofres)咨詢公司的電子政務績效評估指標體系

TNS咨詢公司是世界第四大市場信息咨詢服務公司,在全球50個國家設有辦事處,主要從事社會和政府方面的研究。該公司提出自己的一套電子政務績效評估指標體系(趙小偉、葛曉萍,2010)[3]:1、發(fā)展程度(延伸的社會廣度和行業(yè)深度);2、應用程度(政務的技術能力和集成度);3、人口覆蓋面;4、對個人隱私信息安全的關心。通過問卷方式向各國電子政務用戶、網(wǎng)民和一般公眾采集原始數(shù)據(jù),并將回收的答卷按對象劃分為七種類型,通過細分答卷對象來獲得更加具體的評價結果。

2.4 Gartner咨詢公司的電子政務有效性評估

Cartner咨詢公司致力于對特定電子政務項目有效性的評估主要從三個方面評價電子政務項目的有效性(張紅亮、梁曉鵬、亢愛國,2009)[4],即對公民的服務水平、運行效益以及政治回報,而每個大類又包含一系列具體參數(shù)。該指標體系的設計充分考慮了成本效益分析對電子政務的建設所具有的指導意義,提出了應該圍繞政府職能的根本作用進行評價,包括公眾對電子政務提供的服務內(nèi)容的滿意程度、電子政務工程的經(jīng)濟效益,以及對電子政務參與政治事務的促進作用。

3.國內(nèi)電子政務評價體系

3.1 中國互聯(lián)網(wǎng)絡信息中心

中國互聯(lián)網(wǎng)絡信息中心自1997年12月起《中國互聯(lián)發(fā)展狀況統(tǒng)計報告》(中國互聯(lián)網(wǎng)絡信息中心,2010)[5];截止到2010年1月,共發(fā)行25期。通過計算機輔助電話訪問系統(tǒng)(CATI)進行調(diào)查。報告?zhèn)戎赜诹私庵袊W(wǎng)民數(shù)量與結構特征、上網(wǎng)條件、網(wǎng)絡應用、網(wǎng)民對互聯(lián)網(wǎng)使用的態(tài)度和非網(wǎng)民狀況。調(diào)查內(nèi)容包括被訪者是否上網(wǎng),被訪者背景信息,網(wǎng)民的上網(wǎng)行為、上網(wǎng)深度、上網(wǎng)體驗等。

3.2 計世資訊公司

計世資訊公司在《2007-2008年中國政府公眾網(wǎng)站評估研究報告》中,采用網(wǎng)站內(nèi)容服務、網(wǎng)站功能服務、網(wǎng)站建設質(zhì)量3項指標體系,對我國大中城市的政府網(wǎng)站進行了評估。該研究報告集中對當前電子政務與服務型政府轉型中的熱點和焦點問題進行了深度評論,并且選擇具有代表性的政府網(wǎng)站進行了實地調(diào)研與案例研究。

3.3 中國互聯(lián)網(wǎng)實驗室

中國互聯(lián)網(wǎng)實驗室于2002年11月了《中國電子政務戰(zhàn)略研究報告》。該報告在提出中國特色的電子政務戰(zhàn)略分析框架的基礎上,分別從評測戰(zhàn)略、運營戰(zhàn)略和IT戰(zhàn)略三方面對國內(nèi)電子政務戰(zhàn)略規(guī)劃進行了分析,詳細描述了如何對政府機關的電子政務戰(zhàn)略目標、可用的資源和能力、面臨的外部環(huán)境以及達到目標的手段進行量化評測。

3.4 北京大學網(wǎng)絡經(jīng)濟研究中心

北京大學網(wǎng)絡經(jīng)濟研究中心2003年6月《中國地級市電子政務研究報告》。該研究對中國所有地級市政府網(wǎng)站進行了4次數(shù)據(jù)采集,從信息上網(wǎng)、網(wǎng)上信息使用指南、網(wǎng)上辦公、對外經(jīng)濟服務、互動性、鏈接情況、時效性、國際化程度、網(wǎng)絡安全、隱私性10個方面進行評分,綜合權重計算得出電子政務網(wǎng)站的績效水平。

4.小結

國內(nèi)外眾多的電子政務績效評價體系既有共同之處,又各有特點;既有各自的優(yōu)勢,又存在不足。綜合來看,各評價體系在理論研究與實踐應用中都做出了巨大貢獻,但普遍在指標體系的客觀性和可操作性上還存在一定的局限:由于定性評價指標居多,在實際應用中難免要用到專家評價,而難以控制人為評價主觀性、傾向性和評價過程中的不確定性影響,導致評價客觀性和準確性受到影響。此外,國內(nèi)外許多學者研究提出的評價體系經(jīng)常追求理論上的邏輯性與嚴密性,而忽略了當理論運用于實際時的可操作性,指標體系數(shù)據(jù)獲取困難而流于形式。因此,要對電子政務系統(tǒng)進行準確、公平、客觀的評價,首先必須結合本國的實際情況,構建系統(tǒng)、客觀、可操作的評價指標體系。

參考文獻:

[1] 董禮勝、雷婷,國外電子政務最新發(fā)展及前景分析[J]. 中國 社會科學院研究生院學報,2009(11)

[2] 李鳴,我國電子政務發(fā)展綜述[J].武漢工程大學學報,2010(04)

[3] 趙小偉、葛曉萍,國際電子政務發(fā)展階段與現(xiàn)狀[J].電腦知 識與技術,2010(03)

[4] 張紅亮、梁曉鵬、亢愛國, 國內(nèi)外電子政務發(fā)展階段模型研 究[J]. 新世紀圈書館,2009(06)

[5] 中國互聯(lián)網(wǎng)信息中心,中國互聯(lián)網(wǎng)絡發(fā)展統(tǒng)計報告[M].中 國互聯(lián)網(wǎng)信息中心,2010(07)

[6] 楊云飛、白慶華,電子政務評價指標體系[J].計算機應用與 軟件,2004(08)

[7] 張成福、唐鈞,完善我國電子政務建設的總體思路[J].電子 政務,2005(12)

[8] 顏佳華、寧國良、盛明科; 基于BP神經(jīng)網(wǎng)絡的電子政務績 效評價研究 [J]. 中國管理科學,2005(12)

[9] 陳立立,行政生態(tài)視角下電子政務績效評價動態(tài)指標構建 模型研究 [D]. 電子科技大學,2008

[10] 陳強、趙玨; NPS在電子政務績效評價中的應用研究[J]. 上 海管理科學,2007(12)

[11] 易亞將,基于快速模擬退火神經(jīng)網(wǎng)絡的電子政務績效評價 研究 [D]. 廈門大學,2007(04)