公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全成熟度評估范文

網(wǎng)絡(luò)安全成熟度評估精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全成熟度評估主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全成熟度評估

第1篇:網(wǎng)絡(luò)安全成熟度評估范文

【關(guān)鍵詞】 網(wǎng)絡(luò)會計(jì); 風(fēng)險分析; 會計(jì)內(nèi)控指標(biāo)體系; 模糊評價法; 績效評價

中圖分類號:F232;F272.35文獻(xiàn)標(biāo)識碼:A文章編號:1004-5937(2014)16-0083-05目前,中國很多企業(yè)實(shí)施了網(wǎng)絡(luò)會計(jì)信息系統(tǒng),但對網(wǎng)絡(luò)環(huán)境下產(chǎn)生的安全威脅不夠重視,未及時完善自身的內(nèi)控體系,增加了內(nèi)部控制的不安全性,從而影響到會計(jì)信息的安全。因此,研究網(wǎng)絡(luò)會計(jì)信息系統(tǒng)下內(nèi)部控制的安全問題,幫助企業(yè)建立一個新的、更有效的內(nèi)部控制指標(biāo)體系很有意義。

文章基于傳統(tǒng)內(nèi)部控制評價體系網(wǎng)絡(luò)化下賦予的新含義,重新構(gòu)建了網(wǎng)絡(luò)會計(jì)內(nèi)部控制的安全評價體系,以實(shí)現(xiàn)對會計(jì)內(nèi)控目標(biāo)、會計(jì)內(nèi)控環(huán)境、財務(wù)風(fēng)險監(jiān)控與管理控制、信息技術(shù)控制、財務(wù)監(jiān)督問責(zé)、信息溝通等安全控制方面的評價。

一、網(wǎng)絡(luò)會計(jì)內(nèi)部控制體系的理論基礎(chǔ)

(一)傳統(tǒng)內(nèi)部控制體系

2008年6月28日,財政部會同證監(jiān)會、審計(jì)署、銀監(jiān)會、保監(jiān)會制定并印發(fā)《企業(yè)內(nèi)部控制基本規(guī)范》,要求企業(yè)建立實(shí)施的內(nèi)部控制包括下列五個要素:內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通以及內(nèi)部監(jiān)督。這五個部分也可作為評價內(nèi)部控制系統(tǒng)有效性的標(biāo)準(zhǔn)。

(二)網(wǎng)絡(luò)會計(jì)內(nèi)部控制風(fēng)險分析

內(nèi)部控制主要是控制好風(fēng)險,因此,筆者首先對網(wǎng)絡(luò)會計(jì)信息系統(tǒng)進(jìn)行安全分析,然后運(yùn)用各種方法和工具找出各個流程的潛在風(fēng)險,最終建立起風(fēng)險的詳細(xì)清單,如表1所示。

二、構(gòu)建網(wǎng)絡(luò)會計(jì)內(nèi)部控制安全評價體系

處于經(jīng)濟(jì)轉(zhuǎn)型期的我國企業(yè)面臨經(jīng)營風(fēng)險及外部環(huán)境的變化,內(nèi)控體系應(yīng)及時作出相應(yīng)的調(diào)整,構(gòu)建適應(yīng)信息化環(huán)境的內(nèi)部控制框架。其中控制網(wǎng)絡(luò)會計(jì)帶來的新變化是重點(diǎn),所有內(nèi)控要素都要從信息化會計(jì)系統(tǒng)的特征出發(fā)加以通盤考慮。內(nèi)部安全控制框架如圖1所示。

在網(wǎng)絡(luò)會計(jì)內(nèi)部控制體系之下,根據(jù)每一類控制因素的活動域,首先將其分解為關(guān)鍵過程域,然后將該過程域細(xì)化到具體的關(guān)鍵控制點(diǎn)。本文將對體系中六個控制因素的活動域,按照關(guān)鍵過程域到關(guān)鍵控制點(diǎn)的步驟來分別描述。

(一)會計(jì)內(nèi)控目標(biāo)

1.建立符合國內(nèi)外法律、法規(guī),面向會計(jì)部門并結(jié)合部門內(nèi)部網(wǎng)絡(luò)會計(jì)實(shí)際情況的內(nèi)部控制體系。

2.梳理網(wǎng)絡(luò)會計(jì)下的內(nèi)部管理流程。

3.不斷完善內(nèi)部控制體系,與企業(yè)戰(zhàn)略目標(biāo)相融合,向全面風(fēng)險管理體系過渡,建立風(fēng)險管理和內(nèi)部控制長效管理機(jī)制。

(二)會計(jì)內(nèi)控環(huán)境

1.更新信息化觀念

為了適應(yīng)網(wǎng)絡(luò)發(fā)展的新形勢,企業(yè)領(lǐng)導(dǎo)要樹立市場觀念、競爭觀念,重視會計(jì)信息化,同時企業(yè)要結(jié)合先進(jìn)的管理理念和現(xiàn)代化方法,更新現(xiàn)有會計(jì)信息系統(tǒng)。

2.明確會計(jì)部門分工

財務(wù)部下應(yīng)設(shè)置信息部門和業(yè)務(wù)部門。信息部門提供信息技術(shù)服務(wù)和系統(tǒng)運(yùn)行監(jiān)督;業(yè)務(wù)部門負(fù)責(zé)批準(zhǔn)、執(zhí)行業(yè)務(wù)和資產(chǎn)保管等。

3.提高財務(wù)人員安全意識

(1)將會計(jì)信息安全方針與安全考察方針形成書面文件;(2)與重要的會計(jì)人員簽署保密協(xié)議;(3)對會計(jì)人員進(jìn)行信息安全教育與培訓(xùn)。

(三)財務(wù)風(fēng)險監(jiān)控與管理

1.財務(wù)風(fēng)險監(jiān)控

(1)識別關(guān)鍵控制點(diǎn);(2)更新預(yù)警模型。實(shí)時監(jiān)控潛在的風(fēng)險,將全方位的信息轉(zhuǎn)換成財務(wù)指標(biāo),加入到預(yù)警模型中,實(shí)現(xiàn)資源共享和功能集成。

2.財務(wù)風(fēng)險管理

(1)適當(dāng)利用自動化控制來代替手工控制;(2)可在系統(tǒng)外部執(zhí)行部分關(guān)鍵的手工操作。

(四)信息技術(shù)控制

1.系統(tǒng)構(gòu)建控制

(1)制定信息系統(tǒng)開發(fā)戰(zhàn)略;(2)選擇合適的系統(tǒng)開發(fā)方式。

2.嚴(yán)密的授權(quán)審批制度

(1)操作權(quán)限與崗位責(zé)任制;(2)重點(diǎn)業(yè)務(wù)環(huán)節(jié)實(shí)行“雙口令”。

3.系統(tǒng)操作控制

(1)數(shù)據(jù)輸入控制;(2)數(shù)據(jù)處理控制;(3)數(shù)據(jù)輸出控制。

4.會計(jì)數(shù)據(jù)安全管理

(1)會計(jì)數(shù)據(jù)備份加密;(2)會計(jì)數(shù)據(jù)傳輸加密;(3)用戶訪問控制;(4)服務(wù)器加密。

(五)財務(wù)監(jiān)督與問責(zé)

主要是內(nèi)部審計(jì)管理:

(1)定期審計(jì)會計(jì)資料,檢查會計(jì)信息系統(tǒng)賬務(wù)處理的正確性;(2)審查機(jī)內(nèi)數(shù)據(jù)與書面資料的一致性;(3)監(jiān)督數(shù)據(jù)保存方式的安全性和合法性,防止非法修改歷史數(shù)據(jù);(4)審查系統(tǒng)運(yùn)行各環(huán)節(jié),發(fā)現(xiàn)并及時堵塞漏洞等。

(六)信息溝通

會計(jì)信息的溝通與交流應(yīng)貫穿整個內(nèi)控體系中。

1.管理層重視

管理層應(yīng)高度重視及支持信息系統(tǒng)的開發(fā)工作,確保各職能部門信息系統(tǒng)在信息交流上高度耦合。

2.嚴(yán)密的組織保障

各部門通過控制系統(tǒng)識別使用者需要的信息;收集、加工和處理信息,并及時、準(zhǔn)確和經(jīng)濟(jì)地傳遞給相關(guān)人員。

3.體系化的制度保障

建立健全會計(jì)及相關(guān)信息的報告負(fù)責(zé)制度,使會計(jì)人員能清楚地知道其所承擔(dān)的責(zé)任,并及時取得和交換他們在執(zhí)行、管理和控制經(jīng)營過程中所需的信息。

三、基于模糊評價法的內(nèi)控評價體系應(yīng)用 研究

網(wǎng)絡(luò)會計(jì)信息系統(tǒng)內(nèi)控體系績效評價的應(yīng)用研究主要利用成熟度模型來劃分內(nèi)部會計(jì)控制因素的等級,基于模糊評價法來進(jìn)行安全績效評價,最后得出相應(yīng)的結(jié)論。

(一)模糊綜合評價法的應(yīng)用

模糊綜合評價法是以模糊數(shù)學(xué)為基礎(chǔ),將一些不易定量的因素定量化,從多個因素對被評價事物隸屬等級狀況進(jìn)行綜合性評價。

一是對網(wǎng)絡(luò)會計(jì)內(nèi)控體系進(jìn)行成熟度劃分。

二是依據(jù)成熟度模型來確定評價因素和評價等級。設(shè):U={?滋1,?滋2,?滋3,…,?滋m}為被評價對象的m個評價指標(biāo)V={v1,v2,v3,…,vn};為每一個因素所處的狀態(tài)的n種等級。

三是確定權(quán)重分配。

四是進(jìn)行全面的調(diào)查訪問,并建立評價表。

五是建立模糊評價矩陣,得出多級模糊的綜合等級。

六是得出關(guān)鍵控制點(diǎn)的評級表。

七是得出評價結(jié)果。

(二)模糊綜合評價法的應(yīng)用

本節(jié)針對上述內(nèi)控體系中的信息技術(shù)控制因素,對其應(yīng)用模糊評價法來進(jìn)行分析,其他控制因素的評價方法與此例相同。

1.成熟度評價標(biāo)準(zhǔn)

借鑒能力成熟度模型(CMM),同時考慮網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的特點(diǎn),將內(nèi)控流程評價標(biāo)準(zhǔn)劃分為六級:不存在級、初始級、已認(rèn)識級、已定義級、已管理級、優(yōu)化級。完善后的內(nèi)部會計(jì)控制成熟度評價標(biāo)準(zhǔn)如表2所示。

表2中等級的劃分是針對會計(jì)信息系統(tǒng)內(nèi)部控制體系總體情況而言。具體到網(wǎng)絡(luò)會計(jì)內(nèi)部控制的每一級指標(biāo)建立成熟度模型時,各個流程也分為以上六個等級。

2.成熟度模型

建立了成熟度評價標(biāo)準(zhǔn)之后,便可根據(jù)網(wǎng)絡(luò)會計(jì)內(nèi)部控制體系列出控制內(nèi)容、關(guān)鍵過程域及關(guān)鍵控制點(diǎn)。本文以信息技術(shù)控制為例建立具體模型,該控制因素的成熟度模型如表3所示。

3.權(quán)重分配

我國學(xué)者辛金國、范煒采用德爾菲法,通過問卷調(diào)查的方式得到傳統(tǒng)內(nèi)部控制五要素中控制環(huán)境權(quán)重為30%、風(fēng)險評估為12.9%、控制活動為25.2%、信息與溝通為28%、監(jiān)督為3.9%。

本文賦權(quán)采用德爾菲法,并結(jié)合網(wǎng)絡(luò)會計(jì)的特點(diǎn),控制內(nèi)容的權(quán)重分配如表4、表5所示。

4.評價表

建立起三級的指標(biāo)體系結(jié)構(gòu)之后,分別對審計(jì)機(jī)構(gòu)、信息安全機(jī)構(gòu)、公司管理層及普通員工四個方面進(jìn)行調(diào)查。每一類對象都挑選10人(總共40人)進(jìn)行調(diào)查訪問,每位專家、管理者及員工分別運(yùn)用實(shí)地觀察法、流程圖法、專業(yè)判斷法或工作經(jīng)驗(yàn)法,按照指標(biāo)執(zhí)行情況,對每一項(xiàng)關(guān)鍵控制點(diǎn)依照成熟度模型賦予安全等級分值,表格的內(nèi)容代表選擇該等級的人數(shù),整理后得出評價表,如表6所示。

5.模糊評價矩陣

首先,用表6中每個級別的分值除以總?cè)藬?shù)40,得出的評價結(jié)果構(gòu)成關(guān)鍵過程域的模糊評價矩陣R4j:

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次,進(jìn)行關(guān)鍵控制域模糊矩陣運(yùn)算,B4j=A4j?R4j

B41=[0.5 0.5]?R41=[0.35 0.1 0.1 0.15 0.25 0.05]

B42=[0 0.05 0.3 0.2 0.4 0.05]

B43=[0 0 0.033 0.1 0.366 0.501]

B44=[0.25 0.275 0.225 0.225 0.025 0]

然后,計(jì)算控制內(nèi)容的模糊矩陣運(yùn)算,Vi=Ai?Bi

V4=[0.2 0.3 0.25 0.25]?B4=[0.1325 0.10375 0.1745 0.17125 0.26775 0.15025]

最后,計(jì)算信息技術(shù)控制的綜合得分G4=V4? [0 1 2 3 4 5]T=2.78875。

6.評級表

對各關(guān)鍵控制點(diǎn)的分值進(jìn)行加權(quán)平均計(jì)算,根據(jù)得出的數(shù)所靠近的級別,從而判斷其成熟度級別,公式是:

單項(xiàng)關(guān)鍵控制點(diǎn)評價得分=Σ(該關(guān)鍵控制點(diǎn)的分值×對應(yīng)的等級數(shù))÷40

每一項(xiàng)關(guān)鍵控制點(diǎn)通過上述公式計(jì)算得出的評級表如表7所示。

依據(jù)內(nèi)控流程的成熟度,對照單項(xiàng)關(guān)鍵控制點(diǎn)的評級,賦予其合適的等級區(qū)間。

7.評價結(jié)果

根據(jù)模糊矩陣法運(yùn)算出的信息技術(shù)控制的綜合評分為2.78875,在2―已認(rèn)識級與3―已定義級之間,接近3―已定義級。

根據(jù)表7,可以針對公司的信息技術(shù)控制關(guān)鍵控制點(diǎn)的績效作出如下評價:

公司在適當(dāng)?shù)男畔⑾到y(tǒng)開發(fā)方式、操作權(quán)限與崗位責(zé)任制、操作控制以及會計(jì)數(shù)據(jù)存儲加密中做得較好,評級基本在3―已定義級以上。

公司在內(nèi)部會計(jì)控制中的信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃、重點(diǎn)業(yè)務(wù)環(huán)節(jié)的安全控制、會計(jì)數(shù)據(jù)安全管理、對外來人員的訪問控制、對內(nèi)部服務(wù)器的安全管理均需要進(jìn)一步加強(qiáng)。

四、結(jié)語

網(wǎng)絡(luò)會計(jì)具有開放性、及時性、分散性與共享性的特點(diǎn),根據(jù)其特點(diǎn),本文建立了信息化內(nèi)部會計(jì)控制體系,主要包含會計(jì)內(nèi)控目標(biāo)、會計(jì)內(nèi)控環(huán)境、財務(wù)風(fēng)險監(jiān)控與管理、信息技術(shù)控制、財務(wù)監(jiān)督問責(zé)、信息溝通六個方面。在安全分析過程中,列出了風(fēng)險清單,讓財務(wù)部門負(fù)責(zé)人更全面地了解到面臨的各級風(fēng)險。發(fā)現(xiàn)風(fēng)險是第一步,第二步便是管理風(fēng)險,公司應(yīng)分別從內(nèi)部會計(jì)控制的六個方面進(jìn)行體系化的控制,其中最重要的便是利用信息技術(shù)控制來保障網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的內(nèi)部安全和計(jì)算機(jī)網(wǎng)絡(luò)安全。最后,本文運(yùn)用模糊評價法,對網(wǎng)絡(luò)會計(jì)信息系統(tǒng)內(nèi)部控制評價體系進(jìn)行應(yīng)用研究,以信息技術(shù)控制為例,對其安全內(nèi)控體系進(jìn)行了評價及實(shí)證分析。

【參考文獻(xiàn)】

[1] 王曉玲.基于風(fēng)險管理的內(nèi)部控制建設(shè)[M].北京:電子工業(yè)出版社,2010:100-102.

[2] 陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J].會計(jì)研究,2007(1):30-37.

[3] 杜洪濤.網(wǎng)絡(luò)環(huán)境下會計(jì)電算化信息系統(tǒng)安全探討[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2010(9):37-38.

[4] 宮雪冰.基于內(nèi)部控制的網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全問題的控制[J].中國管理信息化,2010,13(15):2-3.

[5] 李河君.會計(jì)信息系統(tǒng)風(fēng)險控制體系研究[D].首都經(jīng)濟(jì)貿(mào)易大學(xué)碩士學(xué)位論文,2010.

[6] 財政部會計(jì)司.《企業(yè)內(nèi)部控制應(yīng)用指引第18號―信息系統(tǒng)》解讀[J].財務(wù)與會計(jì),2011(6):57-62.

[7] 艾文國,王亞鳴.企業(yè)會計(jì)信息化內(nèi)部控制問題研究[J].中國管理信息化,2008,11(15):14-16.

[8] 張繼德,劉盼盼. 會計(jì)信息系統(tǒng)安全性現(xiàn)狀及應(yīng)對策略探討[J]. 中國管理信息化,2010,13(6):3-5.

[9] 陳秀偉.網(wǎng)絡(luò)環(huán)境下會計(jì)信息系統(tǒng)的內(nèi)部控制探析[J].中國管理信息化,2011,14(5):7-8.

第2篇:網(wǎng)絡(luò)安全成熟度評估范文

關(guān)鍵詞:銀行網(wǎng)絡(luò);銀行數(shù)據(jù)安全性;網(wǎng)絡(luò)安全性

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)20-5422-02

當(dāng)前,很多網(wǎng)絡(luò)技術(shù)經(jīng)過培訓(xùn),都能被大部分人所理解和運(yùn)用,利用成熟度的網(wǎng)絡(luò)技術(shù),對銀行系統(tǒng)的網(wǎng)絡(luò)做以改進(jìn),在對原系統(tǒng)不做大規(guī)模改變的情況下,提高銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?,這是整個銀行網(wǎng)絡(luò)安全最為基礎(chǔ)和關(guān)鍵的環(huán)節(jié)。

1 我國銀行網(wǎng)絡(luò)安全運(yùn)行中存在的問題

1.1 銀行網(wǎng)絡(luò)自身的問題

1) 網(wǎng)絡(luò)系統(tǒng)存在的不安全因素。由于網(wǎng)絡(luò)化的銀行業(yè)務(wù)中大部分的業(yè)務(wù)和風(fēng)險控制工作都是由電腦中的大量程序完成的,所以,網(wǎng)絡(luò)信息系統(tǒng)的安全性就成為銀行網(wǎng)絡(luò)運(yùn)行中最重要的技術(shù)風(fēng)險,雖然在銀行網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)過程中有多層次的安全系統(tǒng),但是隨著新的技術(shù)不斷發(fā)展,雖然可以保護(hù)銀行網(wǎng)絡(luò)柜臺的順利運(yùn)行,但是銀行的網(wǎng)絡(luò)系統(tǒng)仍然是網(wǎng)絡(luò)銀行運(yùn)行中最為關(guān)鍵的環(huán)節(jié)。

2) 網(wǎng)絡(luò)特有的開放性,是病毒流傳的淵源。由于因特網(wǎng)所具有的開放性,使得各種計(jì)算機(jī)病毒隨著網(wǎng)絡(luò)到處流傳,這種病毒嚴(yán)重威脅到銀行網(wǎng)絡(luò)的各個系統(tǒng)的順利運(yùn)行,尤其是隨著銀行網(wǎng)絡(luò)的不斷開放,更加為病毒的傳播提供了有效的傳播途徑,這位銀行的網(wǎng)絡(luò)安全帶來了巨大的威脅。

3) 專業(yè)人才緊缺。當(dāng)前的網(wǎng)絡(luò)銀行發(fā)展,需要的是集合金融業(yè)務(wù)知識與計(jì)算機(jī)技術(shù)知識為一體的綜合型人才,要求這類人才必須要熟悉銀行的各種業(yè)務(wù),同時又要懂得網(wǎng)絡(luò)技術(shù),只有這種人才才是保證銀行網(wǎng)絡(luò)安全運(yùn)行的重要保證,因此,在我國的銀行網(wǎng)絡(luò)發(fā)展中,急需的正是這樣的人才,當(dāng)前人才的緊缺,也是造成銀行網(wǎng)絡(luò)安全隱患的原因之一。

1.2 各種來自外部攻擊手段所帶來的安全問題

1) 來自網(wǎng)絡(luò)黑客的攻擊。近年來,網(wǎng)絡(luò)銀行不斷遭到黑客的攻擊,導(dǎo)致一部分銀行將網(wǎng)上支付系統(tǒng)關(guān)閉,密碼被竊取,和各種假冒的營業(yè)網(wǎng)點(diǎn)已經(jīng)成為銀行網(wǎng)絡(luò)業(yè)務(wù)中最大的安全隱患。網(wǎng)絡(luò)黑客通常的做法是利用各種木馬程序,向用戶發(fā)送一些促銷活動的通知郵件,誘惑用戶訪問其事先預(yù)設(shè)的網(wǎng)站,用戶一旦訪問該網(wǎng)站,就會將賬號和密碼泄露,給犯罪分子可乘之機(jī)。

2) 犯罪分子的經(jīng)濟(jì)犯罪行為。由于網(wǎng)絡(luò)銀行的支付系統(tǒng)是由金錢進(jìn)行支付和結(jié)算的,因此,很容易引起不法分子的注意,使很多犯罪分子利用網(wǎng)絡(luò)銀行進(jìn)行各種詐騙行為,嚴(yán)重的會使銀行和用戶雙方受到嚴(yán)重的損失。

3) 工作人員的內(nèi)部職務(wù)犯罪。很多銀行的內(nèi)部工作人員利用工作之便,自行進(jìn)入銀行的網(wǎng)絡(luò)系統(tǒng),進(jìn)行違法犯罪的活動,對銀行的網(wǎng)絡(luò)安全也是一種嚴(yán)重的威脅。

4) 越來越多的病毒威脅。計(jì)算機(jī)病毒是威脅網(wǎng)絡(luò)安全的一個最為嚴(yán)重的威脅,普通的計(jì)算機(jī)病毒會導(dǎo)致數(shù)據(jù)丟失,使整個計(jì)算機(jī)網(wǎng)絡(luò)和程序遭到破壞,很多正常的項(xiàng)目無法運(yùn)行,甚至使計(jì)算機(jī)系統(tǒng)癱瘓。由于病毒的入侵,導(dǎo)致系統(tǒng)癱瘓的例子越來越多,各種層出不窮的計(jì)算機(jī)病毒存在于網(wǎng)絡(luò)的各個角落,一觸即發(fā),令網(wǎng)絡(luò)安全處于一個令人堪憂的環(huán)境。

2 銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸系統(tǒng)建設(shè)的背景

當(dāng)前的廣域網(wǎng)中,銀行所采用的內(nèi)部網(wǎng)絡(luò)一般都是營運(yùn)商的專用路線,通常情況下,銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸系統(tǒng)的數(shù)據(jù)鏈路層一般都是采用HDLC、PPP、ATM、幀中繼等等通用的協(xié)議,在網(wǎng)絡(luò)層一般采用IP 協(xié)議,并且在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間不做安全處理,因此,在了解到銀行網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)層IP 協(xié)議之后,就很容易根據(jù)IP協(xié)議的規(guī)劃和訪問控制等細(xì)節(jié),獲得其他信息,就會有不法之徒利用這些信息,模擬出銀行網(wǎng)點(diǎn)極為相似的業(yè)務(wù)環(huán)境,實(shí)施其犯罪活動,比如在各個網(wǎng)點(diǎn)簽到的柜員到了自己的崗位之后,從運(yùn)營商的網(wǎng)站中模擬出網(wǎng)點(diǎn)的終端,就可以先顯出交易畫面,進(jìn)行違法活動。

3 運(yùn)用網(wǎng)絡(luò)安全技術(shù),提高網(wǎng)絡(luò)數(shù)據(jù)安全性

網(wǎng)絡(luò)安全技術(shù)是運(yùn)用各種技術(shù)手段,增加網(wǎng)絡(luò)安全的措施,一般包括防火墻技術(shù),網(wǎng)絡(luò)設(shè)備的安全技術(shù),加密技術(shù)等等,下面簡要分析各種安全技術(shù)。

1) 網(wǎng)絡(luò)防火墻技術(shù):網(wǎng)絡(luò)防火墻是根據(jù)最小權(quán)限的原則。由于網(wǎng)絡(luò)之間存在著訪問控制權(quán)限,因此實(shí)現(xiàn)了網(wǎng)絡(luò)隔離,設(shè)置網(wǎng)絡(luò)防火墻,可以成功的隔離DMZ,有效保護(hù)網(wǎng)絡(luò)內(nèi)部的安全。防火墻一般有包過濾型防火墻,應(yīng)用型防火墻等等,防火墻可以采用專門的硬件和專用的網(wǎng)絡(luò)操作系統(tǒng),也可以基于服務(wù)器軟件實(shí)現(xiàn)。在銀行網(wǎng)絡(luò)系統(tǒng)中,應(yīng)用的比較成熟的是狀態(tài)包過濾的防火墻,可以對IP地址訪問端口進(jìn)行嚴(yán)格的控制,確保網(wǎng)絡(luò)出入口的安全,在網(wǎng)絡(luò)內(nèi)部的重要區(qū)域也可以設(shè)置防火墻技術(shù),以確保網(wǎng)絡(luò)數(shù)據(jù)的安全傳送。在防火墻的設(shè)計(jì)過程中,需要網(wǎng)絡(luò)維護(hù)人員對業(yè)務(wù)流程和應(yīng)用數(shù)據(jù)有著明確的認(rèn)識,同時要了解訪問關(guān)系和網(wǎng)絡(luò)應(yīng)用端口,實(shí)現(xiàn)網(wǎng)絡(luò)安全與應(yīng)用開發(fā)部門的有效結(jié)合。

2) 網(wǎng)絡(luò)設(shè)備安全技術(shù):網(wǎng)絡(luò)設(shè)備安全技術(shù)一般是指訪問控制列表技術(shù),通過這種技術(shù),實(shí)現(xiàn)傳輸層與網(wǎng)絡(luò)層的訪問控制,比如在銀行辦公網(wǎng)絡(luò)中的交換機(jī)LAN接口,部署ACL,可以限制普通用戶或者測試網(wǎng)絡(luò)對服務(wù)器的訪問權(quán)限,不會影響到網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備的主要功能體現(xiàn)在轉(zhuǎn)發(fā)和路由上,而對于訪問控制權(quán)限較弱的網(wǎng)段,可以采用一些簡單的網(wǎng)絡(luò)控制,相對于硬件的防火墻技術(shù),網(wǎng)絡(luò)設(shè)備自身的安全訪問權(quán)限功能更加專業(yè),能夠更好的維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全。

3) 加密技術(shù):加密技術(shù)是維護(hù)網(wǎng)絡(luò)和信息安全的重要保障,基于TCP/IP協(xié)議的加密技術(shù),是與網(wǎng)絡(luò)層相關(guān)聯(lián)的一種技術(shù),常見的有鏈路層加密,網(wǎng)絡(luò)層加密以及傳輸層加密等等,加密產(chǎn)品有硬件也有軟件。鏈路層加密一般是以硬件產(chǎn)品加密為主,在廣域網(wǎng)中實(shí)施一點(diǎn)對一點(diǎn)或者一點(diǎn)對多點(diǎn)的加密和解密技術(shù),保障數(shù)據(jù)在連路層的安全傳輸;而在網(wǎng)絡(luò)層多使用的軟件產(chǎn)品加密技術(shù),這種軟件產(chǎn)品加密技術(shù)成本小,可以在不同的網(wǎng)絡(luò)層實(shí)施加密和解密技術(shù),實(shí)現(xiàn)數(shù)據(jù)在各個網(wǎng)絡(luò)層之間安全傳輸。

4) 審計(jì)網(wǎng)絡(luò)日志:應(yīng)用網(wǎng)絡(luò)管理系統(tǒng),實(shí)現(xiàn)網(wǎng)絡(luò)中的事件管理,對日志進(jìn)行管理和變更,這也是提高銀行網(wǎng)絡(luò)安全性的一個重要保障,因?yàn)榫W(wǎng)絡(luò)系統(tǒng)中所包含的各種網(wǎng)絡(luò)日志是進(jìn)行日志審計(jì)的重要來源。日志審計(jì)是及時發(fā)展系統(tǒng)漏洞以及安全隱患的有效辦法,網(wǎng)絡(luò)系統(tǒng)中存在的事件日志、用戶登錄日志等等都是可以審計(jì)的內(nèi)容。將日志進(jìn)行收集和整理后,通過分析和審計(jì),發(fā)揮其應(yīng)有的作用。在銀行網(wǎng)絡(luò)系統(tǒng)中,可以采用仿真的模擬運(yùn)行系統(tǒng),記錄攻擊者的方式和端口,通過日志的審計(jì)功能,評估其面臨的風(fēng)險程度。

4 總結(jié)

網(wǎng)絡(luò)安全是一個系統(tǒng)的,可控的,動態(tài)的工程,金融部門應(yīng)當(dāng)將增強(qiáng)網(wǎng)絡(luò)安全意識,投入大量的人力物力,進(jìn)行技術(shù)改進(jìn),打造專門的技術(shù)團(tuán)隊(duì),對銀行內(nèi)部網(wǎng)絡(luò)安全進(jìn)行風(fēng)險評估,購買安全產(chǎn)品,實(shí)施各種安全技術(shù),建立多層次的安全體系,完善安全防范機(jī)制,確保銀行網(wǎng)絡(luò)數(shù)據(jù)的安全運(yùn)行。

參考文獻(xiàn):

[1] 范平平.我國網(wǎng)絡(luò)銀行現(xiàn)狀及安全性分析[J].內(nèi)江職業(yè)技術(shù)學(xué)院學(xué)報,2008(4).

[2] 魏強(qiáng).淺析增強(qiáng)銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性[J].企業(yè)技術(shù)開發(fā):下,2009(7).

[3] 劉紅.試析網(wǎng)絡(luò)銀行的安全性措施[J].北京市計(jì)劃勞動管理干部學(xué)院學(xué)報,2006(3).

[4] 王惠君.銀行網(wǎng)絡(luò)數(shù)據(jù)通信安全與保密問題的研究[J].電腦與信息技術(shù),2008(3).

[5] 姜慧群,師志勇.淺析從網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測中獲取實(shí)時數(shù)據(jù)的方法[J].華南金融電腦,2006(8).

第3篇:網(wǎng)絡(luò)安全成熟度評估范文

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長,用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng),對電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手,結(jié)合電信IP城域網(wǎng),提出電信IP城域網(wǎng)安全管理、風(fēng)險評估和加固的實(shí)踐方法建議。

關(guān)鍵字(Keywords):

安全管理、風(fēng)險、弱點(diǎn)、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上,對信息安全的定義是“保護(hù)信息系統(tǒng)和信息,防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏,保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程,通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

信息安全管理的本質(zhì),可以看作是動態(tài)地對信息安全風(fēng)險的管理,即要實(shí)現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408-1(信息安全風(fēng)險管理和評估規(guī)則),給出了一個非常經(jīng)典的信息安全風(fēng)險管理模型,如下圖一所示:

圖一信息安全風(fēng)險管理模型

既然信息安全是一個管理過程,則對PDCA模型有適用性,結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計(jì)劃-實(shí)施與部署-監(jiān)控與評估-維護(hù)和改進(jìn))的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示,在PLAN階段,就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況,建設(shè)適合于自身的ISMS信息安全管理體系,ISMS的構(gòu)建包含以下主要步驟:

(1)確定ISMS的范疇和安全邊界

(2)在范疇內(nèi)定義信息安全策略、方針和指南

(3)對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險評估

a)Planning(規(guī)劃)

b)InformationGathering(信息搜集)

c)RiskAnalysis(風(fēng)險分析)

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)

uThreatAnalysis(威脅分析)

uVulnerabilityAnalysis(弱點(diǎn)分析)

u資產(chǎn)/威脅/弱點(diǎn)的映射表

uImpact&LikelihoodAssessment(影響和可能性評估)

uRiskResultAnalysis(風(fēng)險結(jié)果分析)

d)Identifying&SelectingSafeguards(鑒別和選擇防護(hù)措施)

e)Monitoring&Implementation(監(jiān)控和實(shí)施)

f)Effectestimation(效果檢查與評估)

(4)實(shí)施和運(yùn)營初步的ISMS體系

(5)對ISMS運(yùn)營的過程和效果進(jìn)行監(jiān)控

(6)在運(yùn)營中對ISMS進(jìn)行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理主要實(shí)踐步驟

目前,寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高,且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營者意識到有必要對IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理,以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險。

由于網(wǎng)絡(luò)運(yùn)營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項(xiàng)目一般按照以下幾個階段,進(jìn)行項(xiàng)目實(shí)踐:

3.1項(xiàng)目準(zhǔn)備階段。

a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息;

b)和客戶溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖;

c)建議并明確項(xiàng)目成員組成和分工;

d)對項(xiàng)目約束條件和風(fēng)險進(jìn)行聲明;

e)對客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識、知識或工具培訓(xùn);

f)匯報項(xiàng)目進(jìn)度計(jì)劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項(xiàng)目執(zhí)行階段。

a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分;

b)分安全域進(jìn)行資料搜集和訪談,包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等;

c)在各個安全域進(jìn)行資產(chǎn)鑒別、價值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析,形成資產(chǎn)表、威脅評估表、風(fēng)險評估表和風(fēng)險關(guān)系映射表;

d)對存在的主要風(fēng)險進(jìn)行風(fēng)險等級綜合評價,并按照重要次序,給出相應(yīng)的防護(hù)措施選擇和風(fēng)險處置建議。

3.3項(xiàng)目總結(jié)階段

a)項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn);

b)對項(xiàng)目資產(chǎn)鑒別報告、風(fēng)險分析報告進(jìn)行審核和批準(zhǔn);

c)對需要進(jìn)行的相關(guān)風(fēng)險處置建議進(jìn)行項(xiàng)目安排;

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理實(shí)踐要點(diǎn)分析

運(yùn)營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段,需要特別注意以下要點(diǎn):

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項(xiàng)目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng):如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。

4.3項(xiàng)目成員

應(yīng)該得到運(yùn)營商高層領(lǐng)導(dǎo)的明確支持,項(xiàng)目組長應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān),且項(xiàng)目成員除了包含一些專業(yè)安全評估人員之外,還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集:

背景信息搜集之前,應(yīng)該對信息搜集對象進(jìn)行分組,即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含:

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機(jī)和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機(jī)房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別,必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組;然后可以在一級資產(chǎn)組內(nèi),按照功能或地域進(jìn)行劃分二級資產(chǎn)組,如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組;進(jìn)一步可以針對各個二級資產(chǎn)組的每個設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別,鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對性,即按照不同的資產(chǎn)組進(jìn)行針對性威脅分析。如針對IP城域網(wǎng),其主要風(fēng)險可能是:蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等;而對于DNS或AAA平臺,其主要風(fēng)險可能包括:主機(jī)病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進(jìn)行評定,作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營商意見,尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽(yù)影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率,其發(fā)生概率評定非常困難,所以一般情況下都應(yīng)該采用定性的分析方法,制定出一套評價規(guī)則,主要由運(yùn)營商管理人員按照規(guī)則進(jìn)行評價。

第4篇:網(wǎng)絡(luò)安全成熟度評估范文

Abstract: ERP is the platform to achieve the integration, optimization, sharing of internal resources and external resources in business. The traditional ERP system can not meet the actual needs of SMEs. Based on the discussion on the concept of SaaS and ERP and the comparison of ERP system of SaaS model and the traditional model, this paper proposed the solutions of the ERP system under the SaaS model and the logical structure of SaaS ERP system, and pointed several problems in the development and construction of SaaS ERP system.

關(guān)鍵詞:軟件即服務(wù);企業(yè)資源計(jì)劃系統(tǒng);中小企業(yè)

Key words: Software is service;planning system of enterprise resource;SMEs

中圖分類號:TP31文獻(xiàn)標(biāo)識碼:A文章編號:1006-4311(2011)08-0154-03

0引言

中小企業(yè)已經(jīng)占據(jù)我國經(jīng)濟(jì)總量的半壁江山,在調(diào)整產(chǎn)業(yè)結(jié)構(gòu),促進(jìn)科技創(chuàng)新,解決城鎮(zhèn)就業(yè)和農(nóng)村勞動力轉(zhuǎn)移,提高國民生活水平,維護(hù)社會穩(wěn)定,構(gòu)建和諧社會等方面發(fā)揮著日益重要的作用,是保增長、保民生和保穩(wěn)定的堅(jiān)實(shí)基礎(chǔ)。但是,近年來,中小企業(yè)的生存空間正在受到擠壓,經(jīng)營上的困難也不斷增加,嚴(yán)重影響了中小企業(yè)的發(fā)展。從企業(yè)外部來講,融資環(huán)境不公平,行業(yè)準(zhǔn)入條件不公平,缺乏充裕、優(yōu)質(zhì)的技術(shù)、人才和信息等要素供給。從內(nèi)部來講,大部分中小企業(yè)缺乏科學(xué)的管理理念和運(yùn)作方式,很多企業(yè)的組織形式都是直線職能制,相當(dāng)一部分企業(yè)管理粗放、不規(guī)范,存在著管理制度不健全、管理手段缺乏、管理方式落后等狀態(tài)。對于大型企業(yè)來說,具有資金、技術(shù)和人力資源優(yōu)勢,通過IT公司定制符合自身企業(yè)特點(diǎn)的管理系統(tǒng),提升企業(yè)的管理水平,而對于處于劣勢的廣大中小企業(yè)來說,更需通過求新求異整合管理資源,促使管理活動適應(yīng)內(nèi)外環(huán)境的變化,增強(qiáng)整體競爭力。中小企業(yè)只有不斷進(jìn)行管理上的創(chuàng)新,才能使企業(yè)擁有一個良好的發(fā)展機(jī)制,使企業(yè)真正發(fā)揮其小而精、適應(yīng)性強(qiáng)的優(yōu)勢,提高企業(yè)的市場競爭力。但是,中小企業(yè)要開發(fā)定制―個ERP系統(tǒng),價格高昂、實(shí)施復(fù)雜,以及運(yùn)行、維護(hù)和升級所需要投入的大量人力和物力都是絕大部分中小企業(yè)很難承受。近年席卷而來的SaaS軟件模式,為中小企業(yè)應(yīng)用ERP系統(tǒng)帶來了新的希望。探索基于SaaS模式在中小企業(yè)ERP系統(tǒng)的應(yīng)用對于推動中小企業(yè)轉(zhuǎn)變發(fā)展方式、調(diào)整優(yōu)化結(jié)構(gòu)、提高經(jīng)營管理水平和競爭力具有重要的意義。

1SaaS與ERP系統(tǒng)

1.1 SaaS的概念SaaS提供商為企業(yè)搭建信息化所需要的所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施及軟件、硬件運(yùn)作平臺,并負(fù)責(zé)所有前期的實(shí)施、后期的維護(hù)等一系列服務(wù),企業(yè)無需購買軟硬件、建設(shè)機(jī)房、招聘IT人員,即可通過互聯(lián)網(wǎng)使用信息系統(tǒng)。企業(yè)根據(jù)實(shí)際需要,向SaaS提供商租賃軟件服務(wù)。SaaS提供商通過有效的技術(shù)措施,可以保證每家企業(yè)數(shù)據(jù)的安全性和保密性。SaaS采用靈活租賃的收費(fèi)方式,企業(yè)可以按需增減使用帳號,也可以按實(shí)際使用賬戶和實(shí)際使用時間付費(fèi)。由于降低了成本,SaaS的租賃費(fèi)用較之傳統(tǒng)軟件許可模式更加低廉。企業(yè)采用SaaS模式在效果上與企業(yè)自建信息系統(tǒng)基本沒有區(qū)別,但節(jié)省了大量資金,從而大幅度降低了企業(yè)信息化的門檻與風(fēng)險。在這種模式下,客戶不再象傳統(tǒng)模式那樣花費(fèi)大量投資用于硬件、軟件、人員開資,而只需要支出一定的租賃服務(wù)費(fèi)用,通過互聯(lián)網(wǎng)便可以享受到相應(yīng)的硬件、軟件和維護(hù)服務(wù),享有軟件使用權(quán)和不斷升級,這是網(wǎng)絡(luò)應(yīng)用最具效益的營運(yùn)模式。

國內(nèi)ICT領(lǐng)域權(quán)威研究機(jī)構(gòu)計(jì)世資訊(CCW Research)在其最新的《軟件業(yè)的下一個十年――中國軟件運(yùn)營服務(wù)(SaaS)市場發(fā)展趨勢研究報告》中指出,2006中國軟件運(yùn)營服務(wù)(SaaS)產(chǎn)業(yè)的規(guī)模為68億元,2011年將突破400到406億元,未來五年的復(fù)合增長率達(dá)到43%。

1.2 ERP的概念簡單地講ERP就是企業(yè)資源計(jì)劃系統(tǒng)。ERP是由美國著名的計(jì)算機(jī)技術(shù)咨詢和評估集團(tuán)Garter Group公司提出的一整套企業(yè)管理系統(tǒng)體系標(biāo)準(zhǔn),是指建立在信息技術(shù)基礎(chǔ)上,以提高企業(yè)資源效能為系統(tǒng)思想,為企業(yè)提供業(yè)務(wù)集成運(yùn)行中的資源管理方案。ERP不僅僅是一個軟件,更重要的是一個管理思想,它實(shí)現(xiàn)了企業(yè)內(nèi)部資源和企業(yè)相關(guān)的外部資源的整合。通過軟件把企業(yè)的人、財、物、產(chǎn)、供、銷及相應(yīng)的物流、信息流、資金流、管理流、增值流等緊密地集成起來,實(shí)現(xiàn)資源優(yōu)化和共享。

1.3 SaaS模式與傳統(tǒng)模式ERP系統(tǒng)比較SaaS的興起是IT行業(yè)的一場新革命,SaaS模式將促進(jìn)整個傳統(tǒng)軟件產(chǎn)業(yè)大的變革。SaaS模式和傳統(tǒng)模式的軟件服務(wù)主要有以下兩點(diǎn)區(qū)別:

1.3.1 SaaS是對傳統(tǒng)軟件開發(fā)模式和交互模式的變革。傳統(tǒng)管理軟件的開發(fā)模式,是以軟件產(chǎn)品為中心,通過市場推廣不斷尋找更多的客戶購買產(chǎn)品來實(shí)現(xiàn)業(yè)務(wù)增長。傳統(tǒng)軟件一般通過光盤等磁盤介質(zhì)或者以軟件下載方式交互客戶,然后由廠商技術(shù)人員完成服務(wù)器和客戶端的安裝以及一系列的配置等。在SaaS模式中,客戶端可以不需要安裝任何類似傳統(tǒng)模式的客戶端軟件??蛻舳酥灰性O(shè)備能夠連接并瀏覽互聯(lián)網(wǎng),客戶就可以“隨時隨地”通過電腦、手機(jī)等多種互聯(lián)網(wǎng)接入方式連接到互聯(lián)網(wǎng),通過互聯(lián)網(wǎng)進(jìn)行應(yīng)用軟件的管理和操作。

1.3.2 SaaS是對傳統(tǒng)軟件運(yùn)營模式的變革。首先是軟件付費(fèi)方式的改變,傳統(tǒng)管理軟件付費(fèi)模式是客戶需要一次性投入整個項(xiàng)目高昂的項(xiàng)目資金,除管理軟件產(chǎn)品本身外,還有整個系統(tǒng)的服務(wù)器機(jī)群、網(wǎng)絡(luò)平臺、系統(tǒng)軟件,如數(shù)據(jù)庫系統(tǒng)等,軟件提供商主要靠銷售軟件產(chǎn)品盈利。SaaS模式通過租賃方式,定期支付租用的在線軟件服務(wù),客戶大大降低了項(xiàng)目投資風(fēng)險和資金投入壓力,而SaaS提供商主要依靠為大量客戶提供軟件租用服務(wù)獲取企業(yè)利潤。SaaS運(yùn)營模式以“服務(wù)”為核心,銷售的內(nèi)容從軟件的許可證轉(zhuǎn)變?yōu)榉?wù),軟件產(chǎn)品成為服務(wù)的載體。軟件供應(yīng)商與客戶的關(guān)系從軟件產(chǎn)品的買賣關(guān)系轉(zhuǎn)變?yōu)榉?wù)關(guān)系,這種關(guān)系的徹底改變,也改變了人們對軟件的認(rèn)識。

1.3.3 SaaS模式改變了傳統(tǒng)ERP系統(tǒng)部署方式。ERP軟件的部署和實(shí)施比軟件本身的功能、性能更為重要,萬一部署失敗,所有的投入幾乎全部白費(fèi),這樣的風(fēng)險是每個企業(yè)用戶都希望避免的。通常的ERP項(xiàng)目的部署周期至少需要一兩年甚至更久的時間,而SaaS模式的軟件項(xiàng)目部署最多也不會超過90天,而且用戶無需在軟件許可證和硬件方面進(jìn)行投資。傳統(tǒng)軟件在使用方式上受空間和地點(diǎn)的限制,必須在固定的設(shè)備上使用,而SaaS模式的軟件項(xiàng)目可以在任何可接入Internet的地方使用。相對于傳統(tǒng)軟件而言,SaaS模式在軟件的升級、服務(wù)、數(shù)據(jù)安全傳輸?shù)雀鱾€方面都有很大的優(yōu)勢。

2基于SaaS模式的ERP系統(tǒng)的優(yōu)勢

中小型企業(yè)固有的特點(diǎn)和弱點(diǎn),使得采用SaaS模式來實(shí)施ERP系統(tǒng)在IT投資、業(yè)務(wù)流程、技術(shù)支持等方面具備了許多優(yōu)勢。

2.1 在投資層面上中小企業(yè)資金實(shí)力相對薄弱,在IT預(yù)算方面較低。而SaaS模式是由服務(wù)商統(tǒng)一部署軟硬件,一定程度上實(shí)現(xiàn)了軟硬件資源的共享。中小企業(yè)僅僅通過支付軟件的租賃費(fèi)用來獲得ERP系統(tǒng)的使用權(quán)限,而不用向傳統(tǒng)ERP系統(tǒng)那樣的需要大量前期投資。

2.2 在業(yè)務(wù)層面上中小企業(yè)整體運(yùn)營情況的穩(wěn)定性較差,主營業(yè)務(wù)靈活多變,能夠?qū)κ袌鲎兓龀隹焖俜磻?yīng)。SaaS模式的ERP系統(tǒng)提供個性化功能模塊定制,可以靈活適應(yīng)中小企業(yè)的業(yè)務(wù)特點(diǎn),及時調(diào)整系統(tǒng)功能。

2.3 在技術(shù)層面上中小企業(yè)自身的軟硬件技術(shù)設(shè)備基礎(chǔ)較差,相對缺乏專業(yè)的信息化人才,沒有足夠的能力自己承擔(dān)ERP項(xiàng)目實(shí)施及后期維護(hù)任務(wù)。而SaaS服務(wù)商可以完全提供ERP系統(tǒng)的上線及運(yùn)行維護(hù),軟件升級等服務(wù),對用戶自身的技術(shù)要求降到最低。

2.4 實(shí)施周期上中小企業(yè)的運(yùn)營目標(biāo)傾向于短期利益,看重即時效果。相對于傳統(tǒng)ERP系統(tǒng)漫長的實(shí)施周期,SaaS模式的ERP系統(tǒng)由于軟硬件資源的共享程度高,上線速度快,可大大縮減項(xiàng)目的實(shí)施周期,符合中小企業(yè)的時間要求。

3基于SaaS模式的ERP系統(tǒng)架構(gòu)設(shè)計(jì)

3.1 SaaS模式的軟件成熟度模型根據(jù)SaaS應(yīng)用是否具有可配置性、高性能、可伸縮性的特性,SaaS成熟度模型可以分為四級,如圖1所示。

第一級軟件成熟度模型下,軟件服務(wù)提供商為每個客戶定制一套軟件。每個客戶使用一個獨(dú)立的數(shù)據(jù)庫實(shí)例和應(yīng)用服務(wù)器實(shí)例,數(shù)據(jù)庫中的數(shù)據(jù)結(jié)構(gòu)和應(yīng)用的代碼可能根據(jù)客戶需求做定制化修改。SaaS應(yīng)用提供商通過整合軟硬件資源,在降低軟硬件以及專業(yè)化的維護(hù)成本方面取得了一定的規(guī)模效應(yīng),從而在一定程度上降低用戶使用軟件的綜合成本。

第二級成熟度模型相對于最初級的成熟度模型,增加了可配置性。希望通過不同的配置來滿足不同客戶的需求,而不需要為每個客戶進(jìn)行特殊定制,以降低定制開發(fā)的成本。在這種模式下,軟件提供商負(fù)責(zé)其軟件的硬件部署、網(wǎng)絡(luò)環(huán)境以及后續(xù)的維護(hù)。通過軟件本身提供的配置功能可以滿足不同客戶特定的需求,而客戶則僅需按年或按月支付相應(yīng)的服務(wù)費(fèi)即可。

在第三級軟件成熟度中,實(shí)現(xiàn)了多租戶單實(shí)例的應(yīng)用架構(gòu)。通過一定的策略來保證不同租戶間的數(shù)據(jù)隔離,確保不同租戶既能共享同一個應(yīng)用的運(yùn)行實(shí)例,又能為用戶提供獨(dú)立的應(yīng)用體驗(yàn)和數(shù)據(jù)空間。

在第四級軟件成熟度模型中,SaaS服務(wù)提供商將通過運(yùn)行―個負(fù)載均衡的具備權(quán)限驗(yàn)證功能的平臺來為眾多的客戶同時服務(wù),每個客戶的業(yè)務(wù)數(shù)據(jù)將被單獨(dú)存放,同時提供使用可配置的元數(shù)據(jù)來為每―個客戶提供其自身需要的獨(dú)特的用戶體驗(yàn)。符合這樣―個成熟度的SaaS系統(tǒng)具備可擴(kuò)展性,可易支持大規(guī)??蛻舻男枰S脩羰紫韧ㄟ^接入客戶負(fù)載均衡層,再分配到不同的實(shí)例上。通過多個實(shí)例來分擔(dān)大量用戶的訪問,可以讓應(yīng)用實(shí)現(xiàn)近似無限的水平擴(kuò)展。

雖然從應(yīng)用架構(gòu)的角度,同時具備可配置性、高性能和可伸縮性的第四級SaaS成熟度模型是最為理想的應(yīng)用架構(gòu)。但是,綜合商業(yè)需求、實(shí)現(xiàn)成本及復(fù)雜程度等各方面的考慮,可以合理選擇SaaS成熟度模型。

3.2 基于SaaS模式解決方案的邏輯體系結(jié)構(gòu)SaaS模式可以實(shí)現(xiàn)“拿來即用”,將SaaS ERP軟件安裝和部署在軟件商的服務(wù)器上,用戶無需關(guān)心軟件安裝的問題。在SaaS ERP提供商的部署中,首先需要在系統(tǒng)邊界部署防火墻確保整個系統(tǒng)的安全。身份認(rèn)證能夠?qū)崿F(xiàn)對客戶的識別和驗(yàn)證,通過嚴(yán)格的身份認(rèn)證,防止非法用戶使用系統(tǒng),或偽裝其他用戶來使用系統(tǒng),這也是保證整個系統(tǒng)應(yīng)用安全的基礎(chǔ)。只有合法用戶并通過身份認(rèn)證后才能根據(jù)用戶的請求重定向到相應(yīng)的服務(wù)器獲得相應(yīng)的服務(wù)。ERP系統(tǒng)安裝在ERP應(yīng)用服務(wù)器上,Web服務(wù)器對外提供服務(wù)接口。SaaS ERP軟件的邏輯結(jié)構(gòu)如圖2所示。

對于用戶來說,不需要安裝任何額外的軟件,用戶通過手機(jī)、電腦等手持上網(wǎng)設(shè)備通過Internet連接到軟件提供商的服務(wù)平臺上。首次使用客戶初始化后,就可以定制需要的模塊和功能。用戶的注冊、身份認(rèn)證、付費(fèi)、授權(quán)等通過身份認(rèn)證服務(wù)器來實(shí)現(xiàn)。

在實(shí)施SaaS ERP系統(tǒng)時需要注意以下幾個問題:

3.2.1 應(yīng)用安全SaaS ERP系統(tǒng)中首先需要考慮的問題是應(yīng)用安全問題,使得基于SaaS模式的用戶能夠像使用傳統(tǒng)ERP軟件一樣具有良好的可用性和可靠性。為了保證SaaS ERP系統(tǒng)的安全可用,可以通過身份認(rèn)證、權(quán)限管理、應(yīng)用監(jiān)控、日志管理等措施保證系統(tǒng)的安全。身份認(rèn)證可以采用集中式認(rèn)證、非集中式認(rèn)證或混合認(rèn)證方式,通過嚴(yán)格的身份認(rèn)證,防止非法用戶使用系統(tǒng)或偽裝成其他用戶來使用系統(tǒng)。權(quán)限管理實(shí)現(xiàn)用戶使用系統(tǒng)功能的訪問控制,保證有效用戶正常使用系統(tǒng)的同時,防止非法用戶和無權(quán)用戶對系統(tǒng)功能的使用。由于SaaS ERP是基于Internet的應(yīng)用,很容易受到來自網(wǎng)絡(luò)的各種攻擊,因此,需要監(jiān)控SaaS ERP系統(tǒng)的軟硬件使用情況,防止系統(tǒng)出現(xiàn)不正常的停機(jī)、死機(jī)和拒絕服務(wù)等情況。在此基礎(chǔ)上,還要對系統(tǒng)的可靠性和穩(wěn)定進(jìn)行監(jiān)控,確保系統(tǒng)安全、可靠和穩(wěn)定的運(yùn)行。

3.2.2 數(shù)據(jù)安全對于SaaS ERP系統(tǒng)來說,客戶最關(guān)心的問題莫過于數(shù)據(jù)的安全。要保證客戶的數(shù)據(jù)安全,需要對客戶的數(shù)據(jù)進(jìn)行隔離,以確保各租戶數(shù)據(jù)的完整性和保密性,對敏感數(shù)據(jù)采取必要的加密措施。

3.2.3 網(wǎng)絡(luò)安全應(yīng)用數(shù)據(jù)在傳輸過程中很容易遭受網(wǎng)絡(luò)的攻擊,應(yīng)用的穩(wěn)定性也更容易受到網(wǎng)絡(luò)的影響。需要重視用戶數(shù)據(jù)在網(wǎng)絡(luò)中的安全傳輸,保證數(shù)據(jù)的完整性和保密性。

3.2.4 離線應(yīng)用SaaS ERP系統(tǒng)還需要考慮的另外一個問題是:在網(wǎng)絡(luò)不穩(wěn)定的情況下,如何避免數(shù)據(jù)保存時不丟失問題。在這種情況下,需要一個能夠支持離線使用的應(yīng)用,確保系統(tǒng)在網(wǎng)絡(luò)不穩(wěn)定的情況下,系統(tǒng)能夠自動切換到離線狀態(tài),將數(shù)據(jù)保存在本地數(shù)據(jù)庫,當(dāng)網(wǎng)絡(luò)連接恢復(fù)后,通過數(shù)據(jù)同步向Internet服務(wù)器提交等待提交的數(shù)據(jù)。

4結(jié)束語

SaaS 模式不僅僅是軟件提供形式的轉(zhuǎn)變,最重要是SaaS提供了一整套解決軟件生產(chǎn)和消費(fèi)的思想和方法。隨著SaaS ERP系統(tǒng)的應(yīng)用安全性、數(shù)據(jù)安全性、可靠性和穩(wěn)定性的提升,以及用戶在認(rèn)識上的轉(zhuǎn)變,必將迎來SaaS ERP軟件的春天。以SaaS模式的ERP系統(tǒng)也將為廣大中小企業(yè)在企業(yè)管理、資源合理配置等方面提供強(qiáng)大的支持,為企業(yè)參與激烈的市場競爭插上騰飛的翅膀。

參考文獻(xiàn):

[1]尹峰.ERP在我國中小企業(yè)中的應(yīng)用[J].合作經(jīng)濟(jì)與科技,2009,9.

[2]向堅(jiān)持,陳曉紅.SaaS模式的中小企業(yè)客戶關(guān)系管理研究[J].計(jì)算機(jī)工程與應(yīng)用,2009,45.

[3]王樨,湯偉等.ERP現(xiàn)狀及未來發(fā)展趨勢[J].化工自動化及儀表,2009,36(3).

[4]田維珍,郭歡歡等.SaaS安全技術(shù)研究[J].計(jì)算機(jī)安全,2010.

第5篇:網(wǎng)絡(luò)安全成熟度評估范文

關(guān)鍵詞:企業(yè)信息化;SaaS;關(guān)鍵技術(shù);PaaS

中圖分類號:TP311文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)11-2647-03

Study of Key Technique of SaaS

LIN Xuan

(Department of Math and Information Tech, Hanshan Normal University, Chaozhou 521041, China)

Abstract: Software-as-a-Service (SaaS) is a new software delivery mode.Firstly,the status and development of SaaS are introduced.Then the paper emphasizes on the key technique of Saas and proposes the view about the SaaS solution on the basis of research summary lastly.

Key words: enterprise informationize; SaaS; key technique; PaaS

隨著信息經(jīng)濟(jì)時代的到來,軟件及其相關(guān)的信息服務(wù)產(chǎn)業(yè)已成為引導(dǎo)未來經(jīng)濟(jì)的核心力量,企業(yè)信息化水平則是衡量軟件產(chǎn)業(yè)的重要指標(biāo)?,F(xiàn)在企業(yè)管理軟件已經(jīng)歷了由Mainframe結(jié)構(gòu)、Client/Server結(jié)構(gòu)、B/S多層分布式結(jié)構(gòu)到SOA的演變,變得越來越分散、越來越開放和強(qiáng)調(diào)互操作性[1]。軟件交付方式也從傳統(tǒng)的IT外包轉(zhuǎn)為了應(yīng)用服務(wù)提供商模式(Application service Providers,ASP)模式[2],獨(dú)立軟件開發(fā)商逐步發(fā)展為應(yīng)用服務(wù)聯(lián)盟。而相比傳統(tǒng)的ASP 模式,軟件即服務(wù)模式(Software-as-a-Service , SaaS)更適合中小企業(yè)應(yīng)用。

SaaS是一種通過Internet 提供軟件的模式, 用戶不用再購買軟件,而改為向服務(wù)提供商租用基于Web 的軟件來管理企業(yè)經(jīng)營活動,服務(wù)提供商會全權(quán)管理和維護(hù)軟件[3]。自2003年Salesforce首次推出SaaS概念以來,SaaS取得了很大的發(fā)展,已成為當(dāng)前的研究熱點(diǎn)。本文首先介紹SaaS的發(fā)展趨勢,然后重點(diǎn)分析構(gòu)建SaaS平臺的關(guān)鍵技術(shù),最后提出了對SaaS解決方案的看法。

1 SaaS的現(xiàn)狀和發(fā)展

據(jù)Gartner預(yù)測,到2010年全球SaaS市場將占整個軟件行業(yè)市場份額的25%[4]。國外出現(xiàn)了包括Salesforce、Rightnow、Taleo以及Google、Microsoft、SAP等從事SaaS業(yè)務(wù)的公司,已形成包括支撐平臺與網(wǎng)絡(luò)環(huán)境提供商、軟件運(yùn)營服務(wù)平臺提供商、SaaS軟件提供商、SaaS軟件集成商、咨詢、實(shí)施、維護(hù)提供商、軟件運(yùn)營商和用戶在內(nèi)的SaaS生態(tài)系統(tǒng),并呈現(xiàn)從中小應(yīng)用往大型應(yīng)用過度的趨勢。

在國內(nèi),也涌現(xiàn)了包括用友、金蝶、金算盤、800CRM和阿里軟件等SaaS服務(wù)提供商,SaaS生態(tài)系統(tǒng)中的各種角色都已出現(xiàn),但是角色的分工尚不明晰,總體處于市場發(fā)展階段初期。據(jù)“計(jì)世資訊”統(tǒng)計(jì),SaaS市場2007年比2006年增長104.5%,2008年將達(dá)8億元的規(guī)模,未來3-5年是SaaS市場發(fā)展的黃金時期,2015年之后,將進(jìn)入成熟期[5]。在2007年,管理型SaaS中制造、服務(wù)、流通領(lǐng)域占的市場份額為20%、16%和21%,服務(wù)內(nèi)容主要針對企業(yè)的通用性應(yīng)用,軟件流程簡單。往后,應(yīng)用趨勢將朝著行業(yè)化、個性化、集成化和多功能滲透發(fā)展。

未來SaaS的發(fā)展呈現(xiàn)幾個趨勢:

1)所涉及的領(lǐng)域不斷擴(kuò)大,所提供的功能也不斷深化。技術(shù)上快速地從基于云計(jì)算的垂直應(yīng)用過渡到多種應(yīng)用功能架構(gòu)和服務(wù)集成。中小企業(yè)的醫(yī)療、法律、財務(wù)和旅行等領(lǐng)域也開始受到關(guān)注[6]。

2)應(yīng)用服務(wù)供應(yīng)商逐漸趨向于提供API(應(yīng)用編程接口),在SaaS平臺上幫助用戶拓展功能,而不僅僅是提供成熟的應(yīng)用軟件。平臺即服務(wù)(Platform as a service,PaaS)是這種趨勢的典型代表,體現(xiàn)了互聯(lián)網(wǎng)低成本、高效率和規(guī)?;瘧?yīng)用的特性[7]。目前的產(chǎn)品包括Salesforce的、Google的App Engine和Amazon的EC2。

2 SaaS的關(guān)鍵技術(shù)

2.1 系統(tǒng)架構(gòu)

系統(tǒng)結(jié)構(gòu)是SaaS中最重要的部分,以下是幾種典型的方案:

2.1.1 成熟度模型

文獻(xiàn)[8]認(rèn)為SaaS結(jié)構(gòu)應(yīng)該至少滿足以下三個特點(diǎn)中的一個或多個,即

1)可擴(kuò)展性:指能最大限度提高并行性,以便更高效地利用應(yīng)用資源。

2)可配置性:指讓每個客戶能用元數(shù)據(jù)配置應(yīng)用的外觀和行為,同時保證配置的使用簡易和零費(fèi)用。

3)多用戶高效性:指能最大化不同用戶間的資源共享,但要區(qū)分不同用戶的數(shù)據(jù)。

根據(jù)是否滿足這三個特點(diǎn),可以建立SaaS的四級成熟度模型,每一級都比前一級增加了上述三種成熟特性中的一種。

1)成熟度Ⅰ: 如應(yīng)用程序提供商(ASP)提供的模式,每一個用戶運(yùn)行一個不同的實(shí)例。

2)成熟度Ⅱ:所有的用戶提供相同的實(shí)例。但是在這個模式下,實(shí)例具有可配置性,用戶可以根據(jù)自己的需要配置自己運(yùn)行的實(shí)例。

3)成熟度Ⅲ:這種模式具有可配置性及多用戶效率,所有的用戶運(yùn)行在同一個實(shí)例下。

4)成熟度Ⅳ:這種模式下,供應(yīng)商在負(fù)載平衡的服務(wù)器群上為不同的顧客提供服務(wù)

每種成熟度的特點(diǎn)看參考文獻(xiàn)[1]。文獻(xiàn)[9]則提出了可根據(jù)業(yè)務(wù)模型、架構(gòu)模型和運(yùn)營模型來選擇成熟度模型的策略。

2.1.2 三層模型

文獻(xiàn)[10]認(rèn)為SaaS系統(tǒng)可以分為表現(xiàn)層、接口層和應(yīng)用實(shí)現(xiàn)層,表現(xiàn)層側(cè)重于管理流和業(yè)務(wù)流的分離,在接口層必須提供統(tǒng)一的用戶遠(yuǎn)程調(diào)用接口,而應(yīng)用實(shí)現(xiàn)層則計(jì)算能力共享、存儲能力共享、個性化配置能力和大容量支持能力。

2.1.3 標(biāo)準(zhǔn)SaaS體系結(jié)構(gòu)

文獻(xiàn)[11]提出一個標(biāo)準(zhǔn)的SaaS體系結(jié)構(gòu),包括數(shù)據(jù)中心、硬件層、OS平臺、應(yīng)用基礎(chǔ)設(shè)施、應(yīng)用服務(wù)層以及系統(tǒng)監(jiān)控管理等部分,微軟、谷歌和IBM等公司的SaaS方案基本涵蓋了該結(jié)構(gòu)的主要部分。

2.2硬件方案

解決方案包括HTML靜態(tài)化、圖片服務(wù)器分離、數(shù)據(jù)庫集群、庫表散列、緩存、鏡像、負(fù)載均衡、CDN加速技術(shù)、分布式服務(wù)器集群、鏈路聚合技術(shù)、更高層交換技術(shù)等等[12]。當(dāng)前,集群技術(shù)是主流的解決方法。而服務(wù)器集群的負(fù)載平衡問題則是當(dāng)前研究人員關(guān)注的重要問題。主流的集群系統(tǒng)有:LVS是通用的集群系統(tǒng),MOSIX集群系統(tǒng)主要是針對于科學(xué)計(jì)算;EDDIE主要是針對于WEB服務(wù),它使用了DNS負(fù)載調(diào)度策略。KTCPVS主要介紹了一種基于內(nèi)容請求分發(fā)的集群體系結(jié)構(gòu)[13-14]。近年來,服務(wù)器虛擬化成為新的研究熱點(diǎn),它和云計(jì)算結(jié)合也引起了很多討論[15],但是相關(guān)研究剛剛起步。

2.3 集成技術(shù)

因?yàn)镾aaS平臺致力于為各類不同企業(yè)集中提供信息化特色服務(wù),具有多行業(yè)、多架構(gòu)、多模式、跨地域、跨平臺、多語言的特點(diǎn),要求靈活開放易擴(kuò)展的集成方式?,F(xiàn)有很多ASP平臺的系統(tǒng)集成方案以及體系結(jié)構(gòu)可以使用于SaaS,這些系統(tǒng)一般都采用多層模型,建立統(tǒng)一的集成框架,如平臺與應(yīng)用層的“基于統(tǒng)一安全認(rèn)證的應(yīng)用集成模式”,數(shù)據(jù)層、功能層和過程層的“基于企業(yè)服務(wù)總線的應(yīng)用集成模式”等[16]。但是SaaS更強(qiáng)調(diào)軟件服務(wù)的組合以提供個性化和靈活性的支持,因此采用基于服務(wù)組合的思想來構(gòu)建SaaS平臺正成為趨勢。這種思想是:基于SOA的思想,采用ESB技術(shù),在平臺與應(yīng)用系統(tǒng)之間建立中間層,將所有應(yīng)用作為服務(wù)用XML模板來描述,使用SOAP協(xié)議傳遞與調(diào)用,從而不僅可以實(shí)現(xiàn)平臺與應(yīng)用系統(tǒng)的整合,還可以方便地整合應(yīng)用系統(tǒng)間的數(shù)據(jù)和流程[17]。基于SCA(Service Component Architecture)的SaaS平臺以及IBM的SaaS平臺是其中的代表[18]。另外SaaS平臺還綜合了基于CORBA、XML、Agent、工作流等技術(shù)的集成方法[19]。但是服務(wù)軟件的編制和集成缺乏統(tǒng)一標(biāo)準(zhǔn)。

2.4 安全

目前SaaS沒有統(tǒng)一的安全標(biāo)準(zhǔn),熱點(diǎn)的安全問題涉及到了數(shù)據(jù)中心、硬件、操作系統(tǒng)和軟件服務(wù)客戶端等,許多信息安全領(lǐng)域的理論和技術(shù)被引進(jìn)來,包括基于角色、網(wǎng)絡(luò)安全、信任關(guān)系和風(fēng)險評估等[20-21]。

2.5 個性化支持

主要技術(shù)有建立動態(tài)聯(lián)盟,提供不同靈活的應(yīng)用組合;靈活的角色權(quán)限控制;數(shù)據(jù)管理;用戶界面;報表自定義等等。基于平臺的服務(wù)(PaaS)則允許用戶不寫代碼而組合出適合自己的應(yīng)用系統(tǒng),現(xiàn)在處于試驗(yàn)階段。在個性化方面,有很多的技術(shù)和方法問題尚在研究之中。

可以看到,SaaS不僅是軟件交付模式的改變,管理思想的革新,而且還給理論和技術(shù)研究帶來了很多新的課題。

3 結(jié)束語

SaaS的應(yīng)用中,選型很重要。如第四級成熟度很好,但是它需要負(fù)載均衡技術(shù)的支持,成本較高,因此必須結(jié)合各方面的能力和應(yīng)用的要求來確定SaaS解決方案。第三級成熟度模型則比較適合我國的情況,因?yàn)榭梢栽谫Y源的利用率和成本間取得較好的平衡。該模型中,SaaS平臺提供單個實(shí)例來滿足不同客戶的需求,并采用可配置的元數(shù)據(jù)為不同的用戶提供獨(dú)特的用戶使用體驗(yàn)和特性集。相同的實(shí)例能最大化不同用戶間的資源共享,并且從最終用戶的角度來看,不會察覺到應(yīng)用是與多個用戶共享的。不同用戶的數(shù)據(jù)彼此分開,通過授權(quán)和安全策略來確保不同的用戶訪問各自權(quán)限范圍內(nèi)的數(shù)據(jù),以及區(qū)分不同用戶的數(shù)據(jù)。

從該文的論述可看到,無論從技術(shù)領(lǐng)域研究,還是應(yīng)用前景來看,SaaS都是值得關(guān)注的。往后,SaaS將會吸引其他學(xué)科的注意,如管理學(xué)、協(xié)同學(xué)等。

參考文獻(xiàn):

[1] 張靜.軟件即服務(wù)模型的研究與實(shí)現(xiàn)[D].南昌:南昌大學(xué),2007:9,12.

[2] Tebboune.Application service Provision:origins and development[J].Business process management Journal,2003,9(6):722-734.

[3] 馬曉杰.軟件作為服務(wù)模式的創(chuàng)新研究[D].北京:對外貿(mào)易經(jīng)濟(jì)大學(xué),2006:26.

[4] Pettey C.Gartner Says 25 Percent of New Business Software Will Be Delivered As Software As A Service by 2011[EB/OL].(2006-10-03)./.

[5] 田夢.中國SaaS路在何方[EB/OL].(2007-09-08)..cn/.

[6] WEST M.Progress Software: Pointing Toward SaaS 2.0[EB/OL].(2007-02-14)..

[7] 800app.SaaS和云計(jì)算的技術(shù)與市場趨勢[EB/OL].(2008-09)./.

[8] Chong F,Carraro G.Architecture Strategies for Catching the LongTail[EB/OL].(2006-08)..

[9] Rowell J.A step-by-Step guide to starting up Saas operations[EB/OL]..

[10] 趙立君,范曉暉.SaaS 技術(shù)的發(fā)展和演進(jìn)[J].現(xiàn)代電信科技,2007(11):47.

[11] 范春瑩.SaaS可信平臺的搭建[J].程序員,2008(8):55.

[12] 提升大型網(wǎng)站并發(fā)訪問性能[EB/OL].(2008-09)..

[13] 戴剛.服務(wù)器集群關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D].長沙:國防科學(xué)技術(shù)大學(xué),2002:30.

[14] 熊盛武,王魯,楊婕.構(gòu)建高性能集群計(jì)算機(jī)系統(tǒng)的關(guān)鍵技術(shù)[J].微計(jì)算機(jī)信息,2006(5):38-39.

[15] 用云計(jì)算提升企業(yè)計(jì)算能力[EB/OL].計(jì)算機(jī)世界,2008-09-22.

[16] 袁曉舟.ASP平臺應(yīng)用集成模式研究與實(shí)現(xiàn)[J].制造業(yè)自動化,2005(12):41-43.

[17] Sathyan J,Shenoy K.Realizing Unified Service Experience with SaaS on SOA[C].IEEE Software,2008:23-28.

[18] Mietzner R,Leymann F.Defining Composite Configurable SaaS Application Packages Using SCA,Variability Descriptors and Multi-Tenancy Patterns[C].The Third International Conference on Internet and Web Applications and Services,2008:156-161.

[19] Mietzner R,Leymann F.Generation of BPEL Customization Processes for SaaS Applications from Variability Descriptors[C].2008 IEEE International Conference on Services Computing,2008:178-182.

第6篇:網(wǎng)絡(luò)安全成熟度評估范文

一、電力企業(yè)信息安全風(fēng)險分析

信息安全風(fēng)險和信息化應(yīng)用情況密切相關(guān),和采用的信息技術(shù)也密切相關(guān),電力公司信息系統(tǒng)面臨的主要風(fēng)險存在于如下幾個方面:(1)計(jì)算機(jī)病毒的威脅最為廣泛:計(jì)算機(jī)病毒自產(chǎn)生以來,一直就是計(jì)算機(jī)系統(tǒng)的頭號敵人,在電力企業(yè)信息安全問題中,計(jì)算機(jī)病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災(zāi)難性的;(2)網(wǎng)絡(luò)安全問題日益突出:企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動化系統(tǒng),用電營銷系統(tǒng),遠(yuǎn)程教育培訓(xùn)系統(tǒng)等,通過廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng),企業(yè)內(nèi)部職工可以通過互聯(lián)網(wǎng)方便地收集獲取信息,發(fā)送電子郵件等;(3)信息傳遞的安全不容忽視:隨著辦公自動化,財務(wù)管理系統(tǒng),用電營銷系統(tǒng)等生產(chǎn),經(jīng)營方面的重要系統(tǒng)投入在線運(yùn)行,越來越多的重要數(shù)據(jù)和機(jī)密信息都通過企業(yè)的內(nèi)部廣域網(wǎng)來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關(guān)公司都有著許多的工作聯(lián)系,日常許多信息,數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險,例如被非法用戶截取從而泄露企業(yè)機(jī)密;被非法篡改,造成數(shù)據(jù)混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產(chǎn)經(jīng)營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán);(4)用戶身份認(rèn)證和信息系統(tǒng)的訪問控制急需加強(qiáng):企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用,信息系統(tǒng)中包含的信息和數(shù)據(jù),也只對一定范圍的用戶開放,沒有得到授權(quán)的用戶不能訪問。為此各個信息系統(tǒng)中都設(shè)計(jì)了用戶管理功能,在系統(tǒng)中建立用戶,設(shè)置權(quán)限,管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定能夠程度上加強(qiáng)系統(tǒng)的安全性。但在實(shí)際應(yīng)用中仍然存在一些問題。一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡單,不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制,甚至簡單到要么都能看,要么都不能看。二是各應(yīng)用系統(tǒng)沒有一個統(tǒng)一的用戶管理,企業(yè)的一個員工要使用到好幾個系統(tǒng)時,在每個應(yīng)用系統(tǒng)中都要建立用戶賬號,口令和設(shè)置權(quán)限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了;(5)實(shí)時控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全至關(guān)重要:電網(wǎng)的調(diào)度指揮,自動控制,微機(jī)保護(hù)等領(lǐng)域的計(jì)算機(jī)應(yīng)用在電力企業(yè)中起步早,應(yīng)用水平高,不但實(shí)現(xiàn)了對電網(wǎng)運(yùn)行狀況的實(shí)時監(jiān)視,還實(shí)現(xiàn)了對電網(wǎng)一次設(shè)備的遙控,遙調(diào)以及保護(hù)設(shè)備的遠(yuǎn)方管理。隨著數(shù)據(jù)網(wǎng)的建設(shè)和應(yīng)用,這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數(shù)據(jù)轉(zhuǎn)移到通過數(shù)據(jù)網(wǎng)絡(luò)來傳送數(shù)據(jù)和下發(fā)控制指控令。由于這些計(jì)算機(jī)系統(tǒng)可以直接管理和操作控制電網(wǎng)一次設(shè)備,系統(tǒng)的安全可靠,數(shù)據(jù)網(wǎng)的安全可靠,信息指令傳輸?shù)膶?shí)時性等直接關(guān)系著電網(wǎng)的安全,其安全等級要求高于一般的廣域網(wǎng)系統(tǒng)。隨著電子商務(wù)在電力企業(yè)中的應(yīng)用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務(wù)安全問題也會越來越突出。

二、解決信息安全問題的基本原則

(一)采用信息安全新技術(shù),建立信息安全防護(hù)體系。企業(yè)信息安全面臨的問題很多,我們可以根據(jù)安全需求的輕重緩急,解決相關(guān)安全問題的信息安全技術(shù)的成熟度綜合考慮,分步實(shí)施。技術(shù)成熟的,能快速見效的安全系統(tǒng)先實(shí)施

(二)計(jì)算機(jī)防病毒系統(tǒng)。計(jì)算機(jī)防病毒系統(tǒng)是發(fā)展時間最長的信息安全技術(shù),從硬件防病毒卡,單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件,到企業(yè)版防病毒軟件,技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計(jì)算機(jī)病毒,保障信息系統(tǒng)的安全。在目前的網(wǎng)絡(luò)環(huán)境下,能夠提供集中管理,服務(wù)器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統(tǒng)平臺,多種應(yīng)用平臺殺毒的企業(yè)版殺毒軟件,是電網(wǎng)公司這樣的大型企業(yè)的首選。個人版本的殺毒軟件適合家庭,小規(guī)模用戶。

(三)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。信息資源訪問的安全是信息安全的一個重要內(nèi)容,在信息系統(tǒng)建設(shè)的設(shè)計(jì)階段,就必須仔細(xì)分析,設(shè)計(jì)出合理的,靈活的用戶管理和權(quán)限控制機(jī)制,明確信息資源的訪問范圍,制定信息資源訪問策略。對于已經(jīng)投入使用的信息系統(tǒng),可以通過采用增加安全訪問網(wǎng)關(guān)的方法,來增強(qiáng)原有系統(tǒng)的用戶管理和對信息資源訪問的控制,以及實(shí)現(xiàn)單點(diǎn)登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動原來的系統(tǒng),實(shí)施的技術(shù)難度相對小一些。對于新建系統(tǒng),則最好采用統(tǒng)一身份認(rèn)證平臺技術(shù),來實(shí)現(xiàn)不同系統(tǒng)通過同一個用戶管理平臺實(shí)現(xiàn)用戶管理和訪問控制。

三、解決信息安全問題的對策

(一)依據(jù)國家法律,法規(guī),建立企業(yè)信息安全管理制度。國家在信息安全方面了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn),對信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定,并有專門的部門負(fù)責(zé)信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國家的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn),企業(yè)也必須依據(jù)這些法律法規(guī),來建立自己的管理標(biāo)準(zhǔn),技術(shù)體系,指導(dǎo)信息安全工作。學(xué)習(xí)信息安全管理國際標(biāo)準(zhǔn),提升企業(yè)信息安全管理水平。信息安全是企業(yè)信息化工作中一項(xiàng)重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設(shè)機(jī)構(gòu),明確領(lǐng)導(dǎo),設(shè)立專責(zé)人長期負(fù)責(zé)信息安全的管理工作和技術(shù)工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。

第7篇:網(wǎng)絡(luò)安全成熟度評估范文

然而,雖然網(wǎng)絡(luò)營銷作為一種新生事物具有諸多不可替代的優(yōu)勢,從另類角度詮釋了現(xiàn)代企業(yè)的競爭規(guī)則,給企業(yè)帶來滾滾財源和新的發(fā)展契機(jī),但它與傳統(tǒng)營銷模式相比,有其自身的局限性和風(fēng)險性。在技術(shù)信息的成熟度、金融法律體系的完善以及物流配送等方面還有待于進(jìn)一步完善。目前,企業(yè)網(wǎng)絡(luò)營銷模式的運(yùn)作障礙和經(jīng)營風(fēng)險仍然是不可回避的難題,本文基于此對企業(yè)網(wǎng)絡(luò)營銷風(fēng)險管理體系展開論述。

一、企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的含義

所謂風(fēng)險,是指在一定條件下和一定時期內(nèi)可能發(fā)生的各種結(jié)果變動程度的不確定性。這種不確定性表現(xiàn)在主觀對客觀事物運(yùn)作規(guī)律認(rèn)識的不完全確定和事物結(jié)果的不確定性。網(wǎng)絡(luò)營銷風(fēng)險,是指在網(wǎng)絡(luò)營銷活動過程中,由于各種事先無法預(yù)料的不確定因素帶來的影響,使網(wǎng)絡(luò)營銷的實(shí)際收益與預(yù)期收益產(chǎn)生一定的偏差,從而帶來蒙受損失和獲得額外收益的機(jī)會或可能性。因此,企業(yè)要在網(wǎng)絡(luò)營銷活動中要客觀地識別、評估和判斷網(wǎng)絡(luò)營銷風(fēng)險,并采取一定的規(guī)避措施把這種損失降低到最低程度。

二、企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的類型

(一)技術(shù)風(fēng)險

以計(jì)算機(jī)為平臺的虛擬網(wǎng)絡(luò)交易平臺在帶給人們便捷服務(wù)的同時,也給人們的生活帶來諸多不安全隱患,技術(shù)風(fēng)險是最重要的風(fēng)險之一,主要是由于企業(yè)的網(wǎng)絡(luò)技術(shù)手段不成熟、不穩(wěn)定而給交易雙方帶來的風(fēng)險。造成技術(shù)風(fēng)險的因素很多,既有系統(tǒng)自身缺陷造成的也有人為因素造成的。目前,由于我國網(wǎng)絡(luò)發(fā)展水平不高、網(wǎng)絡(luò)基礎(chǔ)設(shè)施差、線路少、安全性低等原因,再加上很多企業(yè)的資金和技術(shù)有限,網(wǎng)絡(luò)運(yùn)行時經(jīng)常發(fā)生上網(wǎng)速度慢、網(wǎng)絡(luò)易堵塞、信息傳遞出錯、交易平臺混亂等現(xiàn)象,進(jìn)而造成信息傳輸風(fēng)險、數(shù)據(jù)交換風(fēng)險、信息確認(rèn)風(fēng)險、交易者身份不確定等風(fēng)險。另外,隨著黑客技術(shù)手段的不斷翻新和病毒感染的不斷升級,網(wǎng)站被攻擊、數(shù)據(jù)庫崩潰、密碼被盜竊等現(xiàn)象時有發(fā)生,這些都加劇了網(wǎng)絡(luò)交易的風(fēng)險?;诖耍髽I(yè)需要建立一個WEB數(shù)據(jù)庫安全體系,及時進(jìn)行漏洞檢測、風(fēng)險評估,不斷完善現(xiàn)有的網(wǎng)絡(luò)開發(fā)技術(shù)和數(shù)據(jù)加密手段,才能防患于未然。

(二)支付風(fēng)險

在網(wǎng)絡(luò)營銷領(lǐng)域,支付風(fēng)險是網(wǎng)絡(luò)營銷的最直接的風(fēng)險。由于網(wǎng)絡(luò)具有虛擬性,給不法之人以可乘之機(jī),他們通過自己對網(wǎng)絡(luò)知識的掌握虛假信息,造成了極壞的影響。另外,目前金融領(lǐng)域仍然缺乏滿足網(wǎng)絡(luò)營銷所要求的交易費(fèi)用支付和結(jié)算手段。由于很多銀行的電子化辦公水平弱,安全性差,而且銀行之間的業(yè)務(wù)分割、交叉少,沒有統(tǒng)一的接口,雖然有一些銀行提出了一些改進(jìn)措施,但距離網(wǎng)絡(luò)營銷的要求還有差距,信用卡號碼被盜用、個人隱私被泄露等現(xiàn)象時有發(fā)生。

(三)道德風(fēng)險

道德風(fēng)險,也稱道德危機(jī)或信用風(fēng)險,是指從事經(jīng)濟(jì)活動的人在最大限度地增進(jìn)自身效用的同時做出不利于他人的行動。如果從委托—雙方信息不對稱的理論出發(fā),道德風(fēng)險是指契約的甲方(通常是人)利用其擁有的信息優(yōu)勢采取契約的乙方(通常是委托人)所無法觀測和監(jiān)督的隱藏性行動或不行動,從而導(dǎo)致委托人損失或人獲利的可能性?,F(xiàn)實(shí)生活中,消費(fèi)行為是人類社會經(jīng)濟(jì)活動的重要行為和過程,也是人類社會經(jīng)濟(jì)生活的一個重要領(lǐng)域。在21世紀(jì)這個蘊(yùn)涵無限商機(jī)的消費(fèi)時代,網(wǎng)絡(luò)營銷顯示出強(qiáng)大的生命力。道德風(fēng)險是網(wǎng)絡(luò)營銷的一大難題,由于網(wǎng)絡(luò)營銷是建立在道德信用的基礎(chǔ)上的,即交易雙方相互信任,信守承諾。網(wǎng)絡(luò)營銷的假設(shè)是:買方假設(shè)賣方提供的商品質(zhì)量合格不存在缺陷;賣方假設(shè)買方有足夠的支付能力,雙方都會履行交易時達(dá)成的承諾。但是,目前有很多企業(yè)置消費(fèi)者的利益和身心安全于不顧,假冒偽劣盛行,如果沒有任何信用做保證,網(wǎng)絡(luò)營銷是難以為繼的。今后,在很長的時期內(nèi)道德風(fēng)險將在很大程度上制約網(wǎng)絡(luò)營銷的發(fā)展。

(四)物流配送風(fēng)險

在網(wǎng)絡(luò)經(jīng)濟(jì)日益繁榮的今天,物流問題成為了制約網(wǎng)絡(luò)營銷的一個重要問題。網(wǎng)上交易一般順序如下:網(wǎng)上信息傳遞——網(wǎng)上交易——網(wǎng)上結(jié)算(下訂單)——物流配送。在整個鏈條中,物流配送才是唯一的實(shí)體行為。由于產(chǎn)品銷售具有分散性、不確定性和不可預(yù)測性,這些都增加了物流配送的難度:配送點(diǎn)的布局、人員的配備數(shù)量、商品的庫存量等很難合理地確定;保證配送的時效以滿足用戶的即時需求;保證配送的數(shù)量。因此,一個暢通的物流配送體系,應(yīng)該從接到定單時起,就開始了采購、配送和分撥物流的同步流程。每一步都以最合理的時間、最合理的分配、最合理的路線來構(gòu)建,從而在最大程度上減少產(chǎn)品的積壓和庫存開支。物流配送的好與壞,直接影響到企業(yè)網(wǎng)的運(yùn)作效率、企業(yè)的信譽(yù)、客戶的滿意度。而目前很多企業(yè)的物流能力不強(qiáng),不能及時與網(wǎng)絡(luò)用戶實(shí)物交割,產(chǎn)生物權(quán)轉(zhuǎn)移的風(fēng)險,這已經(jīng)成為阻礙網(wǎng)絡(luò)營銷發(fā)展的主要原因。

(五)法律風(fēng)險

20世紀(jì)90年代以來,互聯(lián)網(wǎng)的興起為現(xiàn)代企業(yè)的經(jīng)營和管理提供了新思路,網(wǎng)絡(luò)營銷收到普遍關(guān)注。一方面,互聯(lián)網(wǎng)是跨地域、國界的全球性信息網(wǎng)絡(luò),在這個虛擬空間里無法向現(xiàn)實(shí)空間那樣規(guī)定國家和地區(qū)的界限和管轄范圍。另一方面,網(wǎng)絡(luò)營銷的雙方主體可以在不同國家和地區(qū)的企業(yè)和個人之間展開,但各國的適用法律不同,社會文化、風(fēng)俗習(xí)慣又迥然相異,因此造成雙方的交易沖突不可避免。更確切地說,雖然互聯(lián)網(wǎng)的飛速發(fā)展促進(jìn)了網(wǎng)絡(luò)營銷的強(qiáng)勁增長,但是與之相應(yīng)的法律法規(guī)并沒有同步配套,這些法律法規(guī)主要包括:網(wǎng)絡(luò)經(jīng)濟(jì)貿(mào)易中的法律法規(guī)、網(wǎng)站建設(shè)中的法律程序、在線交易主體的認(rèn)定中的法律和程序、電子簽名與認(rèn)證的操作、電子合同的法律確認(rèn)、在線電子支付的規(guī)則、網(wǎng)絡(luò)廣告爭議解決、網(wǎng)上知識產(chǎn)權(quán)保護(hù)及網(wǎng)絡(luò)營銷中消費(fèi)者權(quán)益保護(hù)等。由于很多法律存在空白,從而造成一定的風(fēng)險隱患。

(六)客戶風(fēng)險

美國著名體驗(yàn)經(jīng)濟(jì)學(xué)家約瑟夫·派恩指出:體驗(yàn)事實(shí)上是當(dāng)一個人達(dá)到情緒、智力、甚至精神的某一特定水平時,其意識中所產(chǎn)生的美好感覺。它涉及人們的感官、情感、情緒等感性因素,也涵蓋知識、智力、思考等理性因素和身體的一些活動。在現(xiàn)代營銷理念中普遍認(rèn)為:體驗(yàn)就是企業(yè)以服務(wù)為舞臺,以產(chǎn)品為道具,以消費(fèi)者為中心,能夠創(chuàng)造使消費(fèi)者參與、值得同憶的活動。在傳統(tǒng)的營銷模式中,消費(fèi)者往往通過視覺、觸覺、味覺等多種感覺來判斷商品的優(yōu)劣并決定取舍,而在當(dāng)前虛擬的網(wǎng)絡(luò)環(huán)境當(dāng)中只能通過商品的圖片及少量的文字說明來甄別。在這一購買活動中,一旦消費(fèi)者由于判斷失誤而對購買的商品不滿意,一種可能就是發(fā)生消費(fèi)者漂移現(xiàn)象。所謂消費(fèi)者漂移,就是消費(fèi)者從一個產(chǎn)品漂移到另一個產(chǎn)品;從一個場所漂移到另一個場所,從一個品牌漂移到另一個品牌。因而采用動態(tài)的、發(fā)展變化的視角研究消費(fèi)心理和消費(fèi)者漂移問題是科學(xué)的、可行的。另一種可能就是,一旦消費(fèi)者因購物不滿意就會對網(wǎng)上購物產(chǎn)生質(zhì)疑,進(jìn)而做出不規(guī)范的市場行為,帶給企業(yè)的影響和損失也是巨大的。例如,有45%的人認(rèn)為網(wǎng)上購物沒有真實(shí)體驗(yàn)感,對其質(zhì)量安全不放心,而寧可花更多的價錢去商場購買,這種消費(fèi)心理造成了企業(yè)網(wǎng)絡(luò)營銷過程中的風(fēng)險。

三、規(guī)避企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的策略

企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的規(guī)避,建立在企業(yè)準(zhǔn)確認(rèn)識網(wǎng)絡(luò)營銷風(fēng)險基礎(chǔ)之上.而科學(xué)的營銷戰(zhàn)略和戰(zhàn)術(shù)可以減少網(wǎng)絡(luò)營銷企業(yè)的經(jīng)營風(fēng)險和機(jī)會成本。通過對企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的具體分析,可以考慮以下幾種防范規(guī)避策略:

(一)加強(qiáng)信息安全技術(shù)研究

在全球化經(jīng)濟(jì)浪潮中,網(wǎng)絡(luò)營銷要取得實(shí)質(zhì)性進(jìn)展,就必須突破信息安全這一道關(guān)卡,加強(qiáng)信息安全研究是我國發(fā)展網(wǎng)絡(luò)營銷亟待解決的關(guān)鍵問題。信息安全體系的重點(diǎn)是必須有先進(jìn)的技術(shù)系統(tǒng)來支持。在安全技術(shù)方面,涉及技術(shù)標(biāo)準(zhǔn)、關(guān)鍵技術(shù)、關(guān)鍵設(shè)備和安全技術(shù)管理等環(huán)節(jié)。國家要組織力量選擇符合我國國情的網(wǎng)絡(luò)交易安全技術(shù),積極開發(fā)我國自己的網(wǎng)絡(luò)安全產(chǎn)品。另外,要加大支付技術(shù)上的攻關(guān)力度,進(jìn)一步提高網(wǎng)上支付安全保障。通常系統(tǒng)的安全主要受到假冒,報文被截?。ㄗx取或復(fù)制)、修改、重播,報文丟失,報文發(fā)送方或接收方否認(rèn)等威脅。針對這些不安全因素應(yīng)做好以下防范:(1)安全登入和選擇服務(wù);(2)防止第三方冒充;(3)防止第三方截取報文;(4)使第三方無法修改、替換報文內(nèi)容,或者使接收方可以發(fā)現(xiàn)報文在傳輸?shù)倪^程中被修改;(5)防止報文的重播和丟失;(6)在系統(tǒng)內(nèi)進(jìn)行交換的報文被復(fù)制存儲,與報文交換有關(guān)的各種活動及其發(fā)生的時間均被記錄;(7)相關(guān)安全責(zé)任的分離,即一人不能負(fù)責(zé)多項(xiàng)安全事務(wù)。最重要的事,要防范網(wǎng)絡(luò)營銷中可能存在的風(fēng)險,必須加強(qiáng)網(wǎng)絡(luò)技術(shù)研究,改善網(wǎng)絡(luò)基礎(chǔ)設(shè)施,加快寬帶光纜的建設(shè),全面提高網(wǎng)絡(luò)的運(yùn)行速度,保證信息傳遞的準(zhǔn)確、及時與安全。

(二)進(jìn)行網(wǎng)絡(luò)營銷可行性分析

企業(yè)戰(zhàn)略是指企業(yè)為求得生存和穩(wěn)定發(fā)展而設(shè)計(jì)的行動綱領(lǐng)或方案,營銷戰(zhàn)略是企業(yè)戰(zhàn)略的重點(diǎn),是對企業(yè)市場營銷工作做出的全局性、長期性和方向性的謀劃,從而實(shí)現(xiàn)企業(yè)目標(biāo)、資源能力和經(jīng)營環(huán)境三者之間的動態(tài)平衡。一個有實(shí)際操作價值的網(wǎng)絡(luò)營銷戰(zhàn)略,不僅對企業(yè)網(wǎng)絡(luò)營銷活動意義重大,而且對于制定與網(wǎng)絡(luò)營銷活動密切相關(guān)的生產(chǎn)、財務(wù)、研發(fā)、人力資源等計(jì)劃也有指導(dǎo)意義。企業(yè)網(wǎng)絡(luò)營銷可行性分析包括:企業(yè)發(fā)展的整體戰(zhàn)略、市場潛力、發(fā)展方向預(yù)測以及風(fēng)險和可能收益。只有根據(jù)企業(yè)生產(chǎn)經(jīng)營的環(huán)境因素和內(nèi)部的經(jīng)營狀況進(jìn)行綜合評價和預(yù)測,才能得到科學(xué)、恰當(dāng)?shù)姆治龊驮u估結(jié)果,才能使企業(yè)規(guī)避風(fēng)險走向成功。

(三)加強(qiáng)企業(yè)經(jīng)營管理工作

科學(xué)化、規(guī)范化和制度化是營銷系統(tǒng)管理的方向,營銷系統(tǒng)成員工作質(zhì)量的好壞直接關(guān)系到企業(yè)的興衰。為了有效規(guī)避網(wǎng)絡(luò)營銷風(fēng)險,企業(yè)應(yīng)加強(qiáng)以下方面的管理工作:首先,企業(yè)必須高度關(guān)注公司產(chǎn)品質(zhì)量,做好營銷體系的質(zhì)量管理工作,包括總部與各分部的工作聯(lián)系與溝通,也包括與經(jīng)銷商、商之間的種種業(yè)務(wù)來往等,還涉及到產(chǎn)品線與價格體系的規(guī)劃、市場需求計(jì)劃以及長期和實(shí)時營銷策略的制定等。其次,要提升網(wǎng)絡(luò)多媒體表現(xiàn)水平,讓消費(fèi)者真切地感知商品的質(zhì)量、安全付款,合理選擇物流公司并保證及時完好的把商品送到消費(fèi)者手中。再次,要提高企業(yè)在風(fēng)險決策、交易管理、危機(jī)應(yīng)急等狀況下提供規(guī)范的處理方法和操作機(jī)制的能力。最后,網(wǎng)絡(luò)營銷中最重要的因素是人的因素,企業(yè)要規(guī)范員工行為,各司其職、各負(fù)其責(zé),從而不斷提高員工的風(fēng)險防范意識和能力??傊訌?qiáng)企業(yè)的經(jīng)營管理是有效防范各類風(fēng)險、減少風(fēng)險損失的重要手段。

(四)完善網(wǎng)絡(luò)營銷的法律法規(guī)及信用評估體系

建立完善的立法監(jiān)督及信用評估體系是促進(jìn)網(wǎng)絡(luò)營銷的關(guān)鍵環(huán)節(jié)。網(wǎng)絡(luò)營銷的順利實(shí)施離不開法律法規(guī)的支撐,國家必須在立法和執(zhí)法上加大力度。要強(qiáng)化網(wǎng)絡(luò)交易安全管理,制定相關(guān)的網(wǎng)絡(luò)交易標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)。例如,在網(wǎng)絡(luò)商場的市場準(zhǔn)入制度、網(wǎng)絡(luò)交易的合同認(rèn)證、執(zhí)行和賠償、反欺騙、知識產(chǎn)權(quán)保護(hù)、稅收征管、廣告管制、交易監(jiān)督,以及網(wǎng)絡(luò)有害信息過濾等方面制定規(guī)則,規(guī)范買賣雙方和中介方的交易行為,嚴(yán)厲打擊利用網(wǎng)絡(luò)營銷進(jìn)行欺詐的行為。另外,國家應(yīng)組建獨(dú)立、公正的評級機(jī)構(gòu),并建立一套科學(xué)的信用評級體系,遵循國際慣例與中國國情相結(jié)合、傳統(tǒng)研究方法與現(xiàn)代先進(jìn)評級技術(shù)和互聯(lián)網(wǎng)技術(shù)相結(jié)合的原則,對企業(yè)的信用進(jìn)行評估,合格者可以頒發(fā)證書并通過媒體或其他方式公示。通過建立完善的立法監(jiān)督及信用評估體系,從而為網(wǎng)絡(luò)營銷健康、有序、高速、和諧地發(fā)展提供一個公平規(guī)范的法律環(huán)境,最大程度地降低網(wǎng)絡(luò)營銷風(fēng)險。

第8篇:網(wǎng)絡(luò)安全成熟度評估范文

一、引言

狹義上的區(qū)塊鏈技術(shù)是基于密碼學(xué)中橢圓曲線數(shù)字簽名算法(ECDSA)實(shí)現(xiàn)去中心化的數(shù)據(jù)庫技術(shù),將區(qū)塊以鏈的方式組合在一起形成數(shù)據(jù)結(jié)構(gòu),以參與者共識為基礎(chǔ)存儲有先后關(guān)系的、能在系統(tǒng)內(nèi)驗(yàn)證的數(shù)據(jù)。廣義的區(qū)塊鏈技術(shù)則是利用加密鏈?zhǔn)絽^(qū)塊結(jié)構(gòu)來驗(yàn)證與存儲數(shù)據(jù)、利用分布式節(jié)點(diǎn)共識算法來生成和更新數(shù)據(jù)、利用自動化腳本代碼(智能合約)來編程和操作數(shù)據(jù)的一種全新的去中心化基礎(chǔ)架構(gòu)與分布式計(jì)算范式(Kavanagh D,2015)。區(qū)塊鏈的概念首次由Satoshi Nakamoto(2009)在論文《比特幣:一種點(diǎn)對點(diǎn)的電子現(xiàn)金系統(tǒng)》中提出。O’Dwyer(2014)提出應(yīng)用區(qū)塊鏈技術(shù)來保護(hù)敏感數(shù)據(jù)、個人隱私等。Kishigami J(2015)等提出將區(qū)塊鏈應(yīng)用到數(shù)字內(nèi)容版權(quán)的保護(hù)上,改變傳統(tǒng)的CAS和DRM模式。R.Dennis(2015)提出了一種基于區(qū)塊鏈的聲譽(yù)系統(tǒng)。國內(nèi)對區(qū)塊鏈技術(shù)研究剛剛起步,相關(guān)著作較少。從實(shí)際應(yīng)用來看,除個別應(yīng)用開始小范圍推廣外,絕大部分運(yùn)用仍未走出實(shí)驗(yàn)室。

區(qū)塊鏈技術(shù)具有去中心化、分布式賬單、可靠安全以及透明公開等特點(diǎn),使其在數(shù)字加密貨幣、金融和社會系統(tǒng)中有廣泛的應(yīng)用前景,給金融機(jī)構(gòu)帶來巨大的潛力和價值。多國央行、國際金融巨頭、交易所及IT行業(yè)巨頭紛紛涌入?yún)^(qū)塊鏈領(lǐng)域,其投資規(guī)模呈現(xiàn)爆發(fā)式增長。在經(jīng)濟(jì)金融全球化時代,加強(qiáng)區(qū)塊鏈技術(shù)在金融領(lǐng)域的應(yīng)用問題研究,對探索我國金融業(yè)務(wù)創(chuàng)新與發(fā)展具有重要的理論和現(xiàn)實(shí)意義。

二、國內(nèi)外區(qū)塊鏈技術(shù)研發(fā)與應(yīng)用前景

區(qū)塊鏈作為擁有巨大應(yīng)用潛力的新技術(shù),必將給全球金融業(yè)帶來革命性的變革。如何在金融業(yè)務(wù)創(chuàng)新發(fā)展中發(fā)揮用武之地,全球金融界正以各種形式開展一系列探索(見表1、表2)。

三、區(qū)塊鏈技術(shù)對金融業(yè)務(wù)創(chuàng)新的主要潛在影響

(一)沖擊現(xiàn)有支付機(jī)構(gòu)的平臺功能,改變支付體系和架構(gòu)

區(qū)塊鏈技術(shù)具有靈活的架構(gòu),可能重塑信用形成機(jī)制,尤其是區(qū)塊鏈的去中心化機(jī)制,即第三方支付的資金監(jiān)管功能可由“智能合約”自動替代,將沖擊第三方支付的根基,在保證信息安全的同時有效提升系統(tǒng)的運(yùn)營效率和降低成本,大大提高資金利用率(侯本旗和趙飛,2015)。區(qū)塊鏈會使第三方支付逐步被邊緣化,目前已涌現(xiàn)了Ripple和Circle等多種支付清算類應(yīng)用,特別是像R3CEV聯(lián)盟機(jī)構(gòu),沖擊現(xiàn)有機(jī)構(gòu)如支付寶的平臺功能,并將可能改變現(xiàn)有金融體系中的交易、清算和結(jié)算流程(見圖1)。據(jù)麥肯錫預(yù)測,如在全球范圍內(nèi)應(yīng)用區(qū)塊鏈技術(shù)開展B2B跨境支付與結(jié)算業(yè)務(wù),則其每筆交易成本可將從約26美元降至15美元。

(二)數(shù)據(jù)信息不可篡改,彌補(bǔ)現(xiàn)有金融服務(wù)功能的不足

區(qū)塊鏈系統(tǒng)通過公鑰和私鑰的加密、解密對交易進(jìn)行處理,交易的主體及交易內(nèi)容都被記錄在區(qū)塊鏈上,任何交易都可被追蹤和查詢,數(shù)據(jù)信息不可篡改,具有更強(qiáng)的公信力。借鑒區(qū)塊鏈和加密技術(shù),核查外部數(shù)據(jù)源、確認(rèn)滿足特定觸發(fā)條件后激活并執(zhí)行合約,促進(jìn)不同系統(tǒng)間的協(xié)調(diào),提升數(shù)據(jù)交換效率(見圖2)。2015年末,納斯達(dá)克首次利用區(qū)塊鏈技術(shù)完成和記錄了一項(xiàng)私人證券交易,從股權(quán)交易市場標(biāo)準(zhǔn)結(jié)算時間的3天,區(qū)塊鏈技術(shù)的應(yīng)用將交易時間從股權(quán)交易市場標(biāo)準(zhǔn)時間3天縮短至10分鐘、結(jié)算風(fēng)險降低99%,從而有效降低資金成本和系統(tǒng)性風(fēng)險。

(三)優(yōu)化共識機(jī)制,提高系統(tǒng)的安全性和私密性

高安全性的智能合約可編程,實(shí)現(xiàn)主動或被動的處理數(shù)據(jù),接受、儲存和發(fā)送價值,以及控制和管理各類鏈上智能資產(chǎn)等功能,即區(qū)塊鏈?zhǔn)褂蒙⒘兴惴訒r間戳(Timestamping),既可保證交易信息的真實(shí)性、獨(dú)立性和保密性,又為交易提供時間上的證明。如供應(yīng)鏈金融借助區(qū)塊鏈技術(shù)的“智能合約”功能自動進(jìn)行支付,大大降低人工成本并減少因人工交易造成失誤的可能性,極大提高交易效率和安全性。據(jù)麥肯錫測算,從全球范圍來看,在供應(yīng)鏈金融業(yè)務(wù)中廣泛開展區(qū)塊鏈技術(shù)應(yīng)用,可使銀行一年風(fēng)險成本縮減11―16億美元。

(四)大幅改變信用風(fēng)險管理模式,具有廣泛金融業(yè)務(wù)創(chuàng)新的潛力

區(qū)塊鏈技術(shù)是使用全新的加密認(rèn)證技術(shù)和去中心化的機(jī)制,通過新的信用創(chuàng)造方式,大幅改變信用風(fēng)險管理模式,降低交易風(fēng)險與成本,實(shí)現(xiàn)金融資源優(yōu)化配置。從技術(shù)特性來看,區(qū)塊鏈與傳統(tǒng)數(shù)據(jù)庫既有緊密的聯(lián)系又存在顯著差異(見表3),為涉及數(shù)據(jù)庫應(yīng)用的行業(yè)發(fā)展提供了新的技術(shù)選擇,兩者的有機(jī)結(jié)合必將產(chǎn)生強(qiáng)大的融合效應(yīng),形成全新的發(fā)展模式,在主數(shù)據(jù)管理、復(fù)雜資產(chǎn)交易管理等領(lǐng)域具有廣泛開發(fā)的潛力。

(五)降低金融監(jiān)管的難度與成本,規(guī)范市場行為與秩序

區(qū)塊鏈的分布式系統(tǒng)具有透明、公開、不可篡改等特性,可做到實(shí)時平賬,避免事后審計(jì),降低企業(yè)成本,降低結(jié)算與支付的出錯率,實(shí)時監(jiān)控每一筆資金的流入流出情況,適用于合規(guī)、審計(jì)和風(fēng)控領(lǐng)域,從而為審計(jì)和監(jiān)管單位提供數(shù)據(jù)透明性。銀行業(yè)基于區(qū)塊鏈技術(shù)可監(jiān)測分析、識別異常交易,及時發(fā)現(xiàn)并能有效防止欺詐、洗錢等犯罪行為。近?啄昀矗?世界各國商業(yè)銀行和金融公司為應(yīng)對日趨嚴(yán)格的金融監(jiān)管要求,不斷加大人力和物力的投入。根據(jù)高盛測算,區(qū)塊鏈可以驅(qū)動全行業(yè)因減少人力開支和反洗錢監(jiān)管罰款而實(shí)現(xiàn)30―50億美元的成本節(jié)約(見表4)。

四、我國區(qū)塊鏈金融業(yè)務(wù)創(chuàng)新所面臨的困難與挑戰(zhàn)

(一)相關(guān)法律法規(guī)建設(shè)相對滯后

一是區(qū)塊鏈的去中心化機(jī)制,沖擊了現(xiàn)行的國家監(jiān)管體制,對現(xiàn)有業(yè)務(wù)監(jiān)管體系形成挑戰(zhàn)。將該技術(shù)整合至銀行現(xiàn)有制度的成本較高,當(dāng)數(shù)據(jù)規(guī)模增大時,低效的查詢和挖掘分析將使其數(shù)據(jù)透明性的優(yōu)勢形同虛設(shè),鏈狀的數(shù)據(jù)結(jié)構(gòu)和大量內(nèi)容的直接記錄將使得擁有反洗錢職能的監(jiān)管機(jī)構(gòu)也無法在可接受的時間內(nèi)完成對數(shù)據(jù)的解讀。二是區(qū)塊鏈相關(guān)的制度規(guī)范、法律法規(guī)建設(shè)相對滯后,導(dǎo)致市場主體相關(guān)活動風(fēng)險無形中被放大。如智能合約涉及的法律責(zé)任界定不明確。智能合約利用計(jì)算機(jī)代碼在合約方之間闡述、驗(yàn)證和執(zhí)行合同,是用代碼來表述,而典型合同是用自然語言起草。當(dāng)智能合約執(zhí)行和典型合同之間出現(xiàn)相應(yīng)糾紛時,涉及法律責(zé)任界定就不明確。同時,成熟資本市場和傳統(tǒng)交易所,任何一個金融創(chuàng)新產(chǎn)品上線都有業(yè)務(wù)所有權(quán)人(owner),而智能合約一旦有漏洞,歸屬智能合約開發(fā)者負(fù)責(zé)還是由運(yùn)行智能合約的平臺來負(fù)責(zé),難以界定。

(二)絕大部分運(yùn)用仍未走出實(shí)驗(yàn)室,建立完善的區(qū)塊鏈應(yīng)用仍面臨眾多技術(shù)挑戰(zhàn)

從區(qū)塊鏈實(shí)踐進(jìn)展來看,大部分仍處于構(gòu)想與測試進(jìn)程中,要獲得市場和監(jiān)管部門的認(rèn)可還面臨不少的困難。一是大規(guī)模交易與區(qū)塊鏈膨脹處置能力問題。由于區(qū)塊鏈采用分布式的存儲方式,占用存儲的巨大空間,且去中心化的確認(rèn)機(jī)制,交易時間延遲較長,導(dǎo)致在實(shí)際應(yīng)用中交易量低、對存儲空間膨脹的抗壓能力差。二是智能合約的循環(huán)執(zhí)行與靈活性差。智能合約具有自我循環(huán)執(zhí)行特性,與高頻交易類似,導(dǎo)致顯著放大價格波動;且區(qū)塊鏈數(shù)據(jù)信息一旦寫入,不可篡改,交易后無法退回,靈活性較差,需事先設(shè)置例外追索機(jī)制。三是競爭性技術(shù)挑戰(zhàn)。如在通信領(lǐng)域應(yīng)用區(qū)塊鏈技術(shù),信息傳遞的安全性會大大增強(qiáng)。量子技術(shù)也可做到,量子通信――利用量子糾纏效應(yīng)進(jìn)行信息傳遞,同樣具有高效安全的特點(diǎn),近年來更是取得了不小的進(jìn)展,很可能與區(qū)塊鏈技術(shù)形成競爭態(tài)勢。

(三)區(qū)塊鏈技術(shù)的監(jiān)管標(biāo)準(zhǔn)不統(tǒng)一,生態(tài)體系較為脆弱

1.區(qū)塊鏈缺乏生態(tài)體系。目前區(qū)塊鏈的各種技術(shù)方案五花八門,超級賬本、以太坊等大項(xiàng)目也都缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)體系,均處于“各自為政、群雄爭霸”的狀態(tài),甚至與區(qū)塊鏈相關(guān)的去中心化存儲協(xié)議管理、網(wǎng)絡(luò)安全性管理等也均尚未形成較為完善的標(biāo)準(zhǔn)方案,許多項(xiàng)目缺乏可靠的實(shí)踐數(shù)據(jù)測試,整個區(qū)塊鏈生態(tài)體系較為脆弱,仍需進(jìn)一步健全完善。

2.區(qū)塊鏈開發(fā)技術(shù)、監(jiān)管標(biāo)準(zhǔn)不統(tǒng)一。由花旗銀行、瑞士銀行等共同組成的R3區(qū)塊鏈聯(lián)盟試圖制定適合全球金融業(yè)使用的區(qū)塊鏈技術(shù)領(lǐng)域的統(tǒng)一標(biāo)準(zhǔn),強(qiáng)化在全球金融業(yè)中的領(lǐng)先地位。如2016年5月區(qū)塊鏈技術(shù)提供商Chain和第一資本、花旗集團(tuán)等金融機(jī)構(gòu)了區(qū)塊鏈方面的開放標(biāo)準(zhǔn),在智能合約框架等方面實(shí)現(xiàn)了突破。然而,在全球?qū)用嫔腥狈σ粋€統(tǒng)一的技術(shù)開發(fā)標(biāo)準(zhǔn),智能合約使用的兼容性等方面將受限制,目前仍缺乏具有可操作性的國際標(biāo)準(zhǔn)促進(jìn)在區(qū)塊鏈上的創(chuàng)新。而我國金融業(yè)中針對區(qū)塊鏈的標(biāo)準(zhǔn)研究和制訂基本還沒有真正起步,與國際發(fā)展存在較大的差距。

(四)風(fēng)險防范機(jī)制尚有待于更深入的研究和設(shè)計(jì)

1.以天河二號目前的算力來說,產(chǎn)生比特幣SHA256哈希算法的一個哈希碰撞大約需要248年,但隨著量子等新計(jì)算技術(shù)和各類反匿名身份甄別技術(shù)的快速發(fā)展,未來非對稱加密算法具有一定的破解可能性,因而需要研究并設(shè)計(jì)更為安全和有效的共識機(jī)制。

2. 我國大量在實(shí)際中應(yīng)用的密碼學(xué)產(chǎn)品都來自歐美國家。區(qū)塊鏈技術(shù)的核心基礎(chǔ)掌握在歐美國家手中,若關(guān)乎國家命脈的核心系統(tǒng)構(gòu)筑在區(qū)塊鏈技術(shù)之上,則存在著潛在安全風(fēng)險。如去中心化的運(yùn)作機(jī)制一定程度上削弱了中央政府對金融的控制,有可能危及國家的金融安全。由于區(qū)塊鏈的運(yùn)行節(jié)點(diǎn)位于公開網(wǎng)絡(luò)上,面向所有參與者,傳統(tǒng)防范網(wǎng)絡(luò)攻擊的物理隔離策略已不再適用,對網(wǎng)絡(luò)安全防范也必將提出更高的技術(shù)處理要求。如2016年6月DAO遭遇黑客攻擊,黑客正常解讀DAO智能合約代碼,利用其中一個遞歸調(diào)用函數(shù)盜取用戶資金,累計(jì)損失360萬個以太幣,近6000萬美元。

(五)顛覆性替代仍具高成本和局限性

1.顛覆性替代仍具高成本和局限性。區(qū)塊鏈技術(shù)應(yīng)用初期,將區(qū)塊鏈中的智能合約平臺用于現(xiàn)代金融領(lǐng)域,其投入成本與收益之間的關(guān)系尚處于未知;區(qū)塊鏈去中心化、自我管理、集體維護(hù)的特性顛覆了人們目前的生產(chǎn)生活方式,沖擊了現(xiàn)行法律安排,且與現(xiàn)有的運(yùn)行模式、管理模式還有一段摩擦的過程。如區(qū)塊鏈網(wǎng)絡(luò)作為去中心化的分布式系統(tǒng),其各節(jié)點(diǎn)在交互過程中不可避免地會存在相互競爭與合作的博弈關(guān)系。

2.智能合約代碼向所有參與方公開,影響參與方利益。就許多金融交易形式而言,網(wǎng)絡(luò)中非參與方可能會利用智能合約,在其金融交易中囤積或出售智能資產(chǎn),進(jìn)而損害參與方的利益。如何設(shè)計(jì)激勵相容的共識機(jī)制,提高系統(tǒng)內(nèi)非理性行為的成本以抑制安全性攻擊和威脅,是區(qū)塊鏈有待解決的重要問題。同時,跨界人才匱乏。從全球來看,既懂區(qū)塊鏈又懂金融、法律的跨界人才極度匱乏,均制約了新產(chǎn)品的研發(fā)和創(chuàng)新(李鈞和孔華威,2014)。

五、政策建議

(一)加強(qiáng)同業(yè)交流合作,積極參與前瞻性創(chuàng)新和國際標(biāo)準(zhǔn)制定

1.積極參與,制定標(biāo)準(zhǔn)。區(qū)塊鏈技術(shù)仍屬新生事物,需要監(jiān)管部門牽頭,加強(qiáng)金融機(jī)構(gòu)和互聯(lián)網(wǎng)企業(yè)的合作,開展區(qū)塊鏈技術(shù)在金融領(lǐng)域的應(yīng)用場景研究,并允許個別技術(shù)條件較為成熟的金融企業(yè)聯(lián)合開展實(shí)驗(yàn)性應(yīng)用,做好相關(guān)技術(shù)研究儲備。同時,積極參與國際區(qū)塊鏈組織的研究交流和標(biāo)準(zhǔn)規(guī)則討論,力爭參與研究制定區(qū)塊鏈的行業(yè)標(biāo)準(zhǔn),探索應(yīng)用場景,制定有利于自身發(fā)展的區(qū)塊鏈應(yīng)用標(biāo)準(zhǔn)。

2.抓住機(jī)遇,投資合作。高度關(guān)注國際區(qū)塊鏈發(fā)展與創(chuàng)新動向,及時調(diào)整發(fā)展戰(zhàn)略,力爭加入國際區(qū)塊鏈系列產(chǎn)品的研究和開發(fā)。在?⒓恿?盟制定標(biāo)準(zhǔn)的同時,成立相對獨(dú)立的區(qū)塊鏈創(chuàng)新實(shí)驗(yàn)室,如與金融科技公司合作成立研發(fā)實(shí)驗(yàn)室,重點(diǎn)研究區(qū)塊鏈的運(yùn)用;并可選擇與較為成熟的區(qū)塊鏈公司強(qiáng)強(qiáng)聯(lián)手,積極推進(jìn)金融同業(yè)的區(qū)塊鏈技術(shù)應(yīng)用交流和合作。

(二)?c時俱進(jìn),改進(jìn)金融業(yè)監(jiān)管方式與手段

一是積極開展區(qū)塊鏈技術(shù)在金融領(lǐng)域應(yīng)用的立法研究。應(yīng)加強(qiáng)新技術(shù)與金融創(chuàng)新的相關(guān)法律法規(guī)的國際交流和研究,制定相關(guān)標(biāo)準(zhǔn)規(guī)范和操作規(guī)范,鼓勵商業(yè)銀行、非銀行機(jī)構(gòu)和金融交易所聯(lián)合開展區(qū)塊鏈相關(guān)技術(shù)合作研究,探索區(qū)塊鏈應(yīng)用場景,制定區(qū)塊鏈技術(shù)的相關(guān)行業(yè)標(biāo)準(zhǔn)。二是避免監(jiān)管過度。監(jiān)管部門應(yīng)與時俱進(jìn),密切關(guān)注行業(yè)政策引導(dǎo)與跟進(jìn),充分利用區(qū)塊鏈金融技術(shù),改進(jìn)金融業(yè)監(jiān)管方式與手段,規(guī)范市場秩序,提高監(jiān)管的有效性,實(shí)現(xiàn)市場各方共存和共贏。

(三)探索和完善區(qū)塊鏈技術(shù)方案,推進(jìn)金融業(yè)務(wù)創(chuàng)新

密切關(guān)注并評估區(qū)塊鏈技術(shù)應(yīng)用的成熟度、安全性、時效性等,協(xié)同開發(fā)區(qū)塊鏈應(yīng)用架構(gòu),如基于區(qū)塊鏈技術(shù)探索推動票據(jù)、股票等的應(yīng)用場景模擬實(shí)驗(yàn),提升票據(jù)交易和證券交易的安全性和效率。進(jìn)一步探索和完善各種技術(shù)方案、應(yīng)用場景和商業(yè)模式,探索基于區(qū)塊鏈技術(shù)的金融創(chuàng)新業(yè)務(wù)應(yīng)用場景,選擇交易關(guān)聯(lián)簡潔、業(yè)務(wù)成熟度高、技術(shù)應(yīng)用提升效果明顯的應(yīng)用場景作為切入點(diǎn),盡快打造適合我國金融體系特點(diǎn)的區(qū)塊鏈技術(shù)方案。重點(diǎn)在跨行結(jié)算、跨境支付、證券發(fā)行和數(shù)字票據(jù)等方面加強(qiáng)研發(fā),構(gòu)筑若干通用型的應(yīng)用服務(wù)平臺,為金融業(yè)務(wù)創(chuàng)新提供相應(yīng)的應(yīng)用支持。

(四)完善相應(yīng)的保障體系,為金融業(yè)務(wù)創(chuàng)新提供可靠的支撐

第9篇:網(wǎng)絡(luò)安全成熟度評估范文

智能電網(wǎng)從提出至今,尚沒有一個統(tǒng)一的概念.不同國家和地區(qū)根據(jù)自身電網(wǎng)的特點(diǎn)和發(fā)展的需要,制定了相應(yīng)的智能電網(wǎng)發(fā)展規(guī)劃H;不同科研機(jī)構(gòu)和學(xué)者根據(jù)自己的理解闡述了具有學(xué)科特色的智能電網(wǎng);不同的公司作為參與智能電網(wǎng)建設(shè)的商業(yè)主體,從自身的業(yè)務(wù)范圍和經(jīng)營利益出發(fā)描繪了智能電網(wǎng)應(yīng)具備的功能和特點(diǎn).

雖然各方對智能電網(wǎng)的定義并不相同,但其基本思想大體上可以表述為通過數(shù)字化和信息化將電能的生產(chǎn)、輸送、分配和使用等各個環(huán)節(jié)緊密聯(lián)系在一起,通過智能化的控制實(shí)現(xiàn)“經(jīng)濟(jì)高效、靈活互動、友好開放、清潔環(huán)?!钡男乱淮娏ο到y(tǒng).其中,信息化是實(shí)現(xiàn)智能電網(wǎng)基礎(chǔ)功能的重要前提.隨著信息技術(shù)在電力系統(tǒng)基礎(chǔ)設(shè)施和高級應(yīng)用中的深度滲透,相互依存的信息網(wǎng)和電力網(wǎng)將成為未來智能電網(wǎng)的重要組成部分.

可以預(yù)見,隨著智能電網(wǎng)實(shí)踐的深入,電力企業(yè)和電力用戶側(cè)的信息化將得到極大的提高.對電力企業(yè)而言,信息化的深入為企業(yè)帶來更高的生產(chǎn)效率和管理水平;對電力用戶而言,信息化的普及則意味著更經(jīng)濟(jì)的用電方式和更好的用戶體驗(yàn).然而,信息化的深入和普及在為電力企業(yè)和用戶帶來眾多利好的同時,也給智能電網(wǎng)的運(yùn)行安全埋下諸多隱患.一方面,信息技術(shù)發(fā)展十分迅速,許多技術(shù)發(fā)展過程中遺留的安全漏洞并沒有得到有效解決,甚至還有不少尚未發(fā)現(xiàn)的安全隱患[13-16],近年來發(fā)生的利用信息網(wǎng)絡(luò)攻擊工業(yè)系統(tǒng)的重大事件更是引發(fā)了廣泛的關(guān)注和擔(dān)憂[1748];另一方面,信息網(wǎng)和電力網(wǎng)相互影響和作用的機(jī)理目前尚不明確,針對二者構(gòu)成的相互依存復(fù)合網(wǎng)絡(luò)脆弱性的惡意攻擊很有可能造成大范圍的連鎖停電事故.因此,有必要分析智能電網(wǎng)運(yùn)行過程中的信息安全隱患,并從復(fù)合網(wǎng)絡(luò)的角度探討信息安全對電力系統(tǒng)生存性的影響.需要說明的是,有關(guān)智能電網(wǎng)信息安全的研究,筆者在文獻(xiàn)中已從復(fù)雜網(wǎng)絡(luò)的角度予以綜述和展望,而本文則從電力信息安全的角度思考未來電網(wǎng)安全性問題,即可認(rèn)為是對文獻(xiàn)的有益補(bǔ)充和深入.

本文首先介紹了智能電網(wǎng)信息化條件下的網(wǎng)絡(luò)特征,分析了信息化背景下智能電網(wǎng)中存在的安全性問題,并針對各類隱患預(yù)想了特定攻擊條件下可能的安全性事故場景.進(jìn)一步,探討了信息網(wǎng)絡(luò)安全對電力系統(tǒng)生存性的影響.最后,討論了提高智能電網(wǎng)信息安全水平和電力系統(tǒng)生存性的可行對策和改進(jìn)措施.

2智能電網(wǎng)網(wǎng)絡(luò)特征(Networkcharacteris?ticsofsmartgrid)

未來智能電網(wǎng)從總體上可以視為由信息網(wǎng)和電力網(wǎng)這兩個相互依存的網(wǎng)絡(luò)構(gòu)成的一個復(fù)合網(wǎng)絡(luò),如圖1所示.

為了敘述方便,將電力網(wǎng)中的節(jié)點(diǎn)簡化為電源節(jié)點(diǎn)和負(fù)荷節(jié)點(diǎn)兩大類,二者通過輸電線進(jìn)行連接.在雙向通信的條件下,將信息網(wǎng)絡(luò)中的節(jié)點(diǎn)也簡化為兩類:一類是信息釆集/指令執(zhí)行節(jié)點(diǎn),負(fù)責(zé)對控制范圍內(nèi)的負(fù)荷和電源的狀態(tài)信息進(jìn)行釆集和上傳,并根據(jù)接收到的控制指令對負(fù)荷和電源節(jié)點(diǎn)的狀態(tài)執(zhí)行調(diào)整操作;另一類是信息處理/指令生成節(jié)點(diǎn),負(fù)責(zé)對釆集到的信息進(jìn)行匯總分析和生成控制指令.信息網(wǎng)絡(luò)中的節(jié)點(diǎn)通過光纖和無線網(wǎng)等實(shí)現(xiàn)連接.

電力網(wǎng)和信息網(wǎng)的相互依存主要體現(xiàn)在兩個方面:信息網(wǎng)絡(luò)中節(jié)點(diǎn)的正常運(yùn)行需要電力網(wǎng)中鄰近的電源節(jié)點(diǎn)提供工作電源;電力網(wǎng)絡(luò)的安全、可靠、經(jīng)濟(jì)運(yùn)行有賴于信息網(wǎng)中各節(jié)點(diǎn)的正常工作.

從網(wǎng)絡(luò)的規(guī)模來看,電力網(wǎng)和信息網(wǎng)均屬于超大規(guī)模的復(fù)雜網(wǎng)絡(luò).文獻(xiàn)指出,復(fù)合網(wǎng)絡(luò)的運(yùn)行安全風(fēng)險在某些情況下遠(yuǎn)大于單一的復(fù)雜網(wǎng)絡(luò).從這個角度來看,智能電網(wǎng)的安全性不容忽視,這其中,信息網(wǎng)絡(luò)的安全性則是重中之重.主要原因如下:

1) 從網(wǎng)絡(luò)發(fā)展的成熟度來看,信息網(wǎng)存在的安全隱患更多.即使在信息技術(shù)高度發(fā)達(dá)的今天,信息網(wǎng)絡(luò)中仍有許多已知的安全漏洞尚未解決,且還會出現(xiàn)更多的新漏洞,這為攻擊提供了許多可能的渠道.與之不同的,對電力網(wǎng)的攻擊往往需要借助于物理手段,攻擊的成本比較高,且受天氣和地理?xiàng)l件的限制較多.

2) 從運(yùn)行過程中的相互依賴關(guān)系來看,電力網(wǎng)的正常運(yùn)行對信息網(wǎng)的依賴程度更高.電力網(wǎng)中電源節(jié)點(diǎn)出力的調(diào)整和負(fù)荷節(jié)點(diǎn)的投切等操作均是借助于信息網(wǎng)絡(luò)來實(shí)現(xiàn).如果信息網(wǎng)絡(luò)出錯或崩潰,電力網(wǎng)絡(luò)一般很難保持正常運(yùn)行.另一方面,信息網(wǎng)絡(luò)雖然需要借助于電力網(wǎng)絡(luò)的電源支持,但由于重要的信息網(wǎng)絡(luò)通常配有不間斷電源系統(tǒng),短時停電并不會對信息網(wǎng)絡(luò)造成大的影響.

3) 從網(wǎng)絡(luò)故障的傳播特性來看,信息網(wǎng)的故障更容易造成大范圍的停電.由于信息流動的成本遠(yuǎn)低于能量流動的成本,這使得信息網(wǎng)絡(luò)比電力網(wǎng)絡(luò)具有更強(qiáng)的互聯(lián)互通性,信息流可以在較大的范圍內(nèi)頻繁地進(jìn)行交互.因此,信息網(wǎng)絡(luò)出現(xiàn)故障時受影響的范圍將更為廣泛.

智能電網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)決定了其運(yùn)行風(fēng)險既來源于電力網(wǎng)絡(luò)的安全性,也來源于信息網(wǎng)絡(luò)的安全性,而這其中,信息網(wǎng)的安全及其對電網(wǎng)帶來的運(yùn)行風(fēng)險需要引起大家的高度重視.

3智能電網(wǎng)信息安全(Smartgridinformationsecurity)

智能電網(wǎng)信息化的主要特點(diǎn)可以歸納為兩個方面,一是對傳統(tǒng)電力系統(tǒng)中發(fā)電、輸電、配電、用電等各個環(huán)節(jié)的高度信息化,二是促進(jìn)“售電”和“受電”參與各方的信息互動化.信息化為未來智能電網(wǎng)的安全運(yùn)行帶來了許多問題:

1)信息釆集環(huán)節(jié)的安全性.在智能電網(wǎng)中,各類高級傳感器和測量表計(jì)將廣泛用于對電力系統(tǒng)和電力用戶狀態(tài)進(jìn)行監(jiān)測.電力系統(tǒng)和用戶狀態(tài)的高度信息化為保障智能電網(wǎng)的安全、可靠和經(jīng)濟(jì)運(yùn)行提供了重要基礎(chǔ).比如,借助于各類智能表計(jì)釆集的大量數(shù)據(jù),可以對電網(wǎng)設(shè)備的健康狀況和電網(wǎng)的完整性進(jìn)行評估,對潛在的危險進(jìn)行預(yù)警和有效的規(guī)避,還可以通過智能表計(jì)實(shí)時電價和優(yōu)惠政策,實(shí)現(xiàn)與用戶的溝通,協(xié)助用戶制定經(jīng)濟(jì)的用電策略.

未來的智能電網(wǎng)將取消所有的電磁表計(jì)及其讀取系統(tǒng),取而代之的是可以使電力公司與用戶進(jìn)行雙向通信的智能固態(tài)表計(jì).出于成本的考慮,智能表計(jì)一般不會加入復(fù)雜的加密技術(shù),這導(dǎo)致智能表計(jì)比較容易被破解和控制.一旦這些設(shè)備受到控制,則攻擊者既可以利用其向電網(wǎng)提供虛假用電信息,影響電網(wǎng)供給;又可以通過其向用戶提供不合理的電價信息,影響用戶側(cè)的用電方式.極端情況下,還可以使大量智能表計(jì)與電網(wǎng)斷開通信,使電網(wǎng)無法實(shí)時掌握系統(tǒng)用電情況,從而造成更大的事故.

2) 信息傳輸環(huán)節(jié)的安全性.建立高速、雙向、實(shí)時、集成的通信系統(tǒng)是實(shí)現(xiàn)智能電網(wǎng)的基礎(chǔ).一方面,大量從智能表計(jì)獲得的數(shù)據(jù)需要通過高速通信網(wǎng)絡(luò)及時地傳輸?shù)綌?shù)據(jù)處理中心;另一方面,電力企業(yè)也需要將電價信息和相關(guān)優(yōu)惠政策通過通信系統(tǒng)實(shí)時地進(jìn)行.相比于傳統(tǒng)電網(wǎng),智能電網(wǎng)中需要監(jiān)測和控制的設(shè)備數(shù)量更多,分布更廣.為了實(shí)現(xiàn)全面和實(shí)時的監(jiān)控,成本低廉的無線通信網(wǎng)和分布廣泛的公用因特網(wǎng)將在智能電網(wǎng)通信系統(tǒng)中占有越來越多的比重.通過無線網(wǎng)絡(luò)和公用因特網(wǎng)可以方便地構(gòu)建多通道的冗余通信網(wǎng)絡(luò),從而實(shí)現(xiàn)可靠的通信.然而,電力系統(tǒng)中公用網(wǎng)絡(luò)的大量接入為惡意攻擊提供了更多的入口.由于無線網(wǎng)絡(luò)的安全標(biāo)準(zhǔn)目前尚處在早期應(yīng)用階段,有許多已經(jīng)暴露出來的安全性漏洞還沒有得到妥善解決,信息傳輸?shù)陌踩赃€有待進(jìn)一步提高.文獻(xiàn)[13]指出,只需要70美元左右的成本即可對基于IEEE802.15.4無線傳感器網(wǎng)絡(luò)發(fā)起一次拒絕服務(wù)攻擊.此外,對于專業(yè)的攻擊者而言,多入口的公用因特網(wǎng)環(huán)境為發(fā)起多點(diǎn)協(xié)調(diào)的攻擊提供了可能性,這將為電網(wǎng)和用戶帶來更大的危害.

3) 智能控制的安全性.從電網(wǎng)側(cè)來看,智能控制系統(tǒng)可以利用搜集到的各類信息對電網(wǎng)狀態(tài)進(jìn)行分析、診斷和預(yù)測,并及時采取適當(dāng)?shù)拇胧﹄娋W(wǎng)運(yùn)行狀態(tài)進(jìn)行調(diào)節(jié),使之運(yùn)行在安全、可靠和經(jīng)濟(jì)的狀態(tài);從用戶側(cè)來看,內(nèi)嵌有智能控制技術(shù)的家用電器,如熱水器、空調(diào)和電動汽車等,可以根據(jù)電網(wǎng)狀態(tài)自動調(diào)節(jié)用電計(jì)劃,從而獲得實(shí)實(shí)在在的經(jīng)濟(jì)利益.此外,公共用電場合,如公交汽車充電站、寫字樓等還可以通過其中用電設(shè)備之間的智能協(xié)調(diào)控制來降低整體用電成本.然而,上述應(yīng)用成功的前提條件是智能電器的控制權(quán)得到正確的使用,如果智能電器之間的信息交互安全性缺乏保障,則很有可能被攻擊者利用,不僅電器不能正常工作,還很有可能因大量電器的控制權(quán)被攻擊者獲取用于對電網(wǎng)負(fù)荷形成較大規(guī)模的沖擊.

4) 電網(wǎng)和用戶互動環(huán)境下的安全性.智能電網(wǎng)的重要特征之一是鼓勵用戶參與,實(shí)現(xiàn)電網(wǎng)和用戶的互動化.電網(wǎng)通過將用戶納入電力系統(tǒng)的運(yùn)行和管理以更好地實(shí)現(xiàn)供需平衡關(guān)系,提高系統(tǒng)運(yùn)行的可靠性和經(jīng)濟(jì)性.而用戶則根據(jù)其電力需求和電力系統(tǒng)當(dāng)前的狀態(tài)來制定科學(xué)的用電方式,從而獲得經(jīng)濟(jì)上的收益.這一互動過程使得用戶用電行為受系統(tǒng)狀態(tài)的影響也越來越廣泛.專業(yè)的攻擊者可以利用互動過程對電力系統(tǒng)造成更大的破壞.比如通過信息網(wǎng)絡(luò)向用戶側(cè)虛假的低電價信息,使得大量智能負(fù)荷,如電動汽車充電站、智能熱水器和智能空調(diào)等,同時啟用造成系統(tǒng)過負(fù)荷;與此同時,通過控制傳感器網(wǎng)絡(luò)向電網(wǎng)側(cè)提交偽造的低負(fù)荷信息使得電網(wǎng)減少電力供應(yīng),從而對電力系統(tǒng)的穩(wěn)定和用戶的用電安全造成巨大的危害.

5)其他安全性問題.出于信息交互的需要,每個家庭的用電負(fù)荷、設(shè)備構(gòu)成以及用電規(guī)律等個人隱私將出現(xiàn)在信息網(wǎng)上.同時,電力市場化的需要使得電力企業(yè)的實(shí)時電價政策等重要信息也將在網(wǎng)絡(luò)上傳輸.這些信息均有可能被不法分子截獲、篡改甚至用于其他非法用途.

4信息安全與電力系統(tǒng)生存性(Informationsecurityandpowersystemsurvivability)

一般而言,生存性是指系統(tǒng)在遭受攻擊、出現(xiàn)故障或發(fā)生意外事故時,依然能夠及時完成任務(wù)的能力[22].未來智能電網(wǎng)從宏觀上看將演變成一個由信息網(wǎng)和電力網(wǎng)為主體的復(fù)雜交互網(wǎng)絡(luò).在發(fā)生系統(tǒng)內(nèi)部故障、惡意攻擊以及自然災(zāi)害等情況時均有可能導(dǎo)致電網(wǎng)瓦解,進(jìn)而引發(fā)大面積停電事故.因此,為了保障電力系統(tǒng)的安全運(yùn)行,不僅要控制和消除電力系統(tǒng)信息化新元素帶來的安全隱患,還要從系統(tǒng)完整性的角度研究系統(tǒng)局部失效或遭受攻擊之后整個系統(tǒng)的生存性.

信息安全對電力系統(tǒng)生存性的影響主要表現(xiàn)在以下兩個方面:

1)網(wǎng)絡(luò)間功能的強(qiáng)耦合性.一方面,分布廣泛的信息網(wǎng)絡(luò)需要與之配套的電力網(wǎng)絡(luò)為其提供工作電源.另一方面,電力網(wǎng)絡(luò)中幾乎所有功能的實(shí)現(xiàn)都需要借助于信息網(wǎng)絡(luò)提供的服務(wù).電力網(wǎng)和信息網(wǎng)的這種強(qiáng)耦合性,使得大停電事故更加容易發(fā)生.例如,通過對信息網(wǎng)中的關(guān)鍵節(jié)點(diǎn)發(fā)動攻擊,使得相應(yīng)的電力網(wǎng)絡(luò)中的關(guān)鍵電廠停機(jī)或重要輸電線出現(xiàn)過載,可以造成與該信息節(jié)點(diǎn)對應(yīng)的電力節(jié)點(diǎn)失效.換言之,在智能電網(wǎng)條件下,信息網(wǎng)絡(luò)和電力網(wǎng)絡(luò)之間的故障可以相互轉(zhuǎn)化.由于信息網(wǎng)絡(luò)目前具有許多已知安全漏洞,可以用來發(fā)起攻擊的入口很多,且不受時間、地點(diǎn)和天氣等因素的影響,所需成本極低且攻擊手段更為隱蔽,因而對電力系統(tǒng)的危害性也更大.因此,未來對智能電網(wǎng)的攻擊形式很有可能從傳統(tǒng)的對物理電力系統(tǒng)的直接攻擊轉(zhuǎn)為對與之相對應(yīng)的信息系統(tǒng)的攻擊.

2)網(wǎng)絡(luò)間故障的傳播性.目前,關(guān)于電力系統(tǒng)連鎖故障的研究已有了許多成果,但研究對象大多局限于電力系統(tǒng)內(nèi)部傳播的故障.在信息網(wǎng)和電力網(wǎng)相互依存的智能電網(wǎng)中,故障的傳播形式有了更多的可能性.對于相互依存兩個網(wǎng)絡(luò),當(dāng)其中一個網(wǎng)絡(luò)中的某個節(jié)點(diǎn)失效時,將會引發(fā)另一個網(wǎng)絡(luò)中相關(guān)節(jié)點(diǎn)的失效.隨著這一過程在兩個網(wǎng)絡(luò)中的交替出現(xiàn),失效節(jié)點(diǎn)數(shù)將迅速增加,網(wǎng)絡(luò)出現(xiàn)大面積故障,最終導(dǎo)致全網(wǎng)崩潰.值得擔(dān)憂的是,未來的智能電網(wǎng)為網(wǎng)絡(luò)間故障的傳播提供了很好的平臺.文獻(xiàn)[21]指出,相互依存網(wǎng)絡(luò)和單一網(wǎng)絡(luò)的復(fù)雜性特征也有很大的不同.比如對于單一網(wǎng)絡(luò)而言,網(wǎng)絡(luò)的度分布越平均,則其對于隨機(jī)故障越魯棒,而對于相互依存的網(wǎng)絡(luò)而言,網(wǎng)絡(luò)的度分布越平均則其對于隨機(jī)故障越脆弱.這表明,對于由相互依存網(wǎng)絡(luò)構(gòu)成的智能電網(wǎng),其內(nèi)部故障傳播的條件也與以往研究中的單一電力網(wǎng)有了很大的不同.需要指出的是,文獻(xiàn)[21]中構(gòu)成復(fù)合網(wǎng)絡(luò)的兩個子網(wǎng)絡(luò)均采用的是隨機(jī)圖模型,而對于智能電網(wǎng)這一具體的復(fù)合網(wǎng)絡(luò),其中的信息網(wǎng)多為無標(biāo)度網(wǎng),電力網(wǎng)則多呈小世界網(wǎng),一旦信息網(wǎng)絡(luò)出現(xiàn)連鎖故障,更容易造成全網(wǎng)出現(xiàn)崩潰.

5建議和對策(Suggestions)

1) 加強(qiáng)信息安全技術(shù)研究.智能電網(wǎng)的信息安全需要從信息的采集、傳輸、處理和交互等各個環(huán)節(jié)加強(qiáng)保障.針對智能儀表數(shù)據(jù)采集和儲存開展數(shù)據(jù)加密存儲和傳輸?shù)难芯?開展對無線網(wǎng)絡(luò)中安全傳輸協(xié)議以及有線網(wǎng)絡(luò)中防火墻技術(shù)和安全認(rèn)證技術(shù)的研究;完善網(wǎng)絡(luò)與信息安全預(yù)警、通報、監(jiān)控和應(yīng)急處置平臺,形成有效的安全技術(shù)防護(hù)體系.

2) 制定信息安全標(biāo)準(zhǔn)體系.目前,國外關(guān)于智能電網(wǎng)信息安全標(biāo)準(zhǔn)體系的研究已經(jīng)走在了前列.在加強(qiáng)對國外相關(guān)安全標(biāo)準(zhǔn)的研究和借鑒先進(jìn)的研究成果的同時,還應(yīng)由既了解我國電網(wǎng)實(shí)際情況,又了解信息安全的專家組對我國信息安全標(biāo)準(zhǔn)體系進(jìn)行科學(xué)的規(guī)劃,以此為指導(dǎo)制定信息安全標(biāo)準(zhǔn)體系.同時,還要推進(jìn)信息安全標(biāo)準(zhǔn)在行業(yè)內(nèi)的合理部署和實(shí)施.如此,則有望避免智能電網(wǎng)的無序建設(shè)引入的大量安全隱患.

3) 完善相關(guān)的政策法規(guī).智能電網(wǎng)的建設(shè)牽涉到政府、用戶、電力企業(yè)、IT公司和設(shè)備制造商等眾多參與者.政府需要根據(jù)參與各方在智能電網(wǎng)中扮演的角色制定合理的政策.通過出臺政策規(guī)定各方應(yīng)承擔(dān)的責(zé)任和義務(wù),同時要制定相應(yīng)的法律法規(guī)來規(guī)范參與各方的行為,切實(shí)保護(hù)用戶隱私和電力企業(yè)關(guān)鍵信息的安全,使智能電網(wǎng)的建設(shè)和運(yùn)營更加的科學(xué)、有序.

4) 建立信息安全培訓(xùn)體系.對于大多數(shù)用戶而言,信息安全還是一個十分復(fù)雜的概念,而用戶作為智能電網(wǎng)中參與數(shù)量最多的一個主體,其安全意識的高低直接影響到智能電網(wǎng)運(yùn)行的整體安全水平.因此,完善的信息安全培訓(xùn)體系是提高智能電網(wǎng)信息安全的重要保障.

5) 加強(qiáng)對相互依存網(wǎng)絡(luò)相關(guān)理論的研究.如前所述,全面地掌握相互依存網(wǎng)絡(luò)的行為特性是防止未來智能電網(wǎng)發(fā)生大停電事故的前提,為此需要研究并解決很多關(guān)鍵科學(xué)問題.如相互依存網(wǎng)絡(luò)的靜態(tài)和動態(tài)特性的數(shù)學(xué)描述模型;相互依存網(wǎng)絡(luò)故障傳播的理論和分析方法;相互依存網(wǎng)絡(luò)的脆弱性、可靠性等指標(biāo)評價體系.此外,不同國家和地區(qū)的電力網(wǎng)和信息網(wǎng)的發(fā)展水平和網(wǎng)絡(luò)特點(diǎn)也不盡相同,需要結(jié)合實(shí)際情況進(jìn)行建模和分析.