網絡安全成熟度評估精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇網絡安全成熟度評估，期待它們能激發您的靈感。

篇1

（1）安全漏洞攻擊。任何一個計算機系統都不是十全十美的，都存在某些漏洞。這些系統無意中的漏洞缺陷，卻成為黑客攻擊的通道。當運行在客戶機或服務器的系統程序包含著漏洞代碼時，黑客就能利用這些問題來實施攻擊。

（2）拒絕服務攻擊。這是黑客最常用的攻擊方式之一，通常是使服務器出現如下結果：服務器的緩存區存滿而無法收到新的請求或者利用IP欺騙的方式影響服務器與合法用戶的連接。攻擊者通常通過某種方式使目標主機來停止提供服務從而達到攻擊網絡的目的。拒絕服務攻擊中最常見的方式是對網絡的可用帶寬或連通性的攻擊。拒絕服務攻擊對網絡來說一直是一個得不到有效解決的問題，這主要是由網絡協議的本身安全缺陷所造成的，因此拒絕服務也就成了入侵者終極的攻擊手段。

2網絡安全策略與防范措施

（1）攻擊發生之前的防范措施。防火墻技術能夠最大限度識別與阻擋非法的攻擊行為。它通過網絡邊界的一種特殊的訪問控制構件來隔離內網和外網及其它的部分間的信息交流。根據網絡的體系結構，可以分別設置網絡層IP分組過濾的防火墻、傳輸層的鏈路級防火墻及應用層的應用級防火墻。

（2）攻擊過程的防范措施。隨著網絡技術的發展，攻擊者使用的工具和方法也變得更加復雜多樣，所以單純采用防火墻已不能夠滿足用戶的安全需求。因此，網絡防護要向縱深和多樣化的方向發展。這樣，入侵檢測技術得到了應用。

（3）攻擊后的防范措施。當防火墻及入侵檢測技術都記錄到危險的動作及惡意的攻擊行為之后，一旦網絡遭受攻擊以后，計算機可根據其記錄來分析攻擊的方式，從而盡快地彌補系統存在的漏洞，防止相同攻擊的再次發生。

（4）全方位防范措施在物理安全層面可以采取以下的措施：選用質量較好的網絡硬件設備；對關鍵設備及系統,進行系統的備份；加強機房安全防護，防火、防盜，同時加強網絡設備及安全設備的防護。信息安全方面要保證信息的真實性、完整性和機密性。因此，要將計算機中的重要或者隱私的數據加密，在數據的傳輸過程中也要進行加密傳輸。使用鏈路加密、端點加密和節點加密3種加密方式來確保信息傳輸的安全。訪問控制措施是保證資源不被非法的使用與訪問的有效措施。它包括入網的訪問控制、操作權限的控制、目錄安全的控制、屬性安全的控制、網絡服務器安全的控制、網絡的監測、鎖定的控制及防火墻的控制等7個方面的控制內容。因此，它是維護網絡的安全和保護資源的一個重要的手段。

3網絡攻擊的效果評估方法

網絡攻擊效果評估是研究復雜網絡環境中怎樣對信息系統所進行的網絡攻擊效果來定性或者定量評估的結果，從而由此檢驗攻擊有效性與網絡的系統安全性等。進行網絡的攻擊效果評估在信息系統安全評估的過程中有著十分重要的意義。首先，網絡的構建部門通過對網絡進行攻擊模擬及自我評估來檢驗系統安全特性；其次，當對敵方惡意的攻擊進行反擊時，網絡的攻擊效果評估還能夠為網絡的反擊樣式及反擊強度制定合理的應對方案。現有的評估方式可分為安全審計、風險分析、能力成熟模型及安全測評四類。

（1）安全審計。將安全審計做為核心的評估思想是將是否實施最佳實踐和程度進行系統安全性評估。此類模型主要包括：美國的信息系統的審計與控制協會COBIT、德國IT安全基本保護手冊及美國審計總署自動信息系統的安全審計手冊等。此方式主要是針對信息系統的安全措施的落實和安全管理，這是一種靜態的、瞬時測量方法。

（2）風險分析。風險分析模型主要從風險控制的角度來進行安全的評估和分析。一般的方法是通過對要進行保護的IT資源的研究，假設出這些資源可能存在的漏洞和安全威脅，然后對這些漏洞和威脅對資源可能所帶來的后果進行預算，通過數學概率統計對安全性能進行測量，對可能產生的損失大部分進行量化。然后提取出所需來進行風險控制，從而降低風險，把安全風險控制到能夠接受的范圍之內。風險的管理是動態的及反復測量的過程。現有的通用信息安全的標準，例如15013335和15017799等，核心的思想都源于風險安全的理念。

（3）能力成熟度模型。能力成熟度模型主要是由過程（Process）保證其安全。最著名的能力成熟模型是系統工程安全的能力成熟度模型。系統工程安全的能力成熟度模型的基本原理是通過將安全工程的過程管理途徑，把系統的安全工程轉化成為定義好、成熟、可測量的一個過程。該模型把安全能力共劃分成5個等級，從低到高進行排序，低等級的是不成熟、難控制安全能力，中等級的是能管理、可控的安全能力，高等級的則是可量化、可測量的安全能力。能力成熟度模型為動態、螺旋式的上升模型。

（4）安全測評。安全測評主要更多從安全的技術及功能與機制方面來對信息系統安全進行評估。早期安全測評方案有美國國防部的TCSEC，它的優勢是比較適用于計算機安全，尤其是操作系統的安全進行度量，對計算機操作系統的等級的劃分有著相當大的影響力。

4結語

篇2

網絡安全策略與防范措施

（1）攻擊發生之前的防范措施。防火墻技術能夠最大限度識別與阻擋非法的攻擊行為。它通過網絡邊界的一種特殊的訪問控制構件來隔離內網和外網及其它的部分間的信息交流。根據網絡的體系結構，可以分別設置網絡層IP分組過濾的防火墻、傳輸層的鏈路級防火墻及應用層的應用級防火墻。（2）攻擊過程的防范措施。隨著網絡技術的發展，攻擊者使用的工具和方法也變得更加復雜多樣，所以單純采用防火墻已不能夠滿足用戶的安全需求。因此，網絡防護要向縱深和多樣化的方向發展。這樣，入侵檢測技術得到了應用。（3）攻擊后的防范措施。當防火墻及入侵檢測技術都記錄到危險的動作及惡意的攻擊行為之后，一旦網絡遭受攻擊以后，計算機可根據其記錄來分析攻擊的方式，從而盡快地彌補系統存在的漏洞，防止相同攻擊的再次發生。（4）全方位防范措施在物理安全層面可以采取以下的措施：選用質量較好的網絡硬件設備；對關鍵設備及系統,進行系統的備份；加強機房安全防護，防火、防盜，同時加強網絡設備及安全設備的防護。信息安全方面要保證信息的真實性、完整性和機密性。因此，要將計算機中的重要或者隱私的數據加密，在數據的傳輸過程中也要進行加密傳輸。使用鏈路加密、端點加密和節點加密3種加密方式來確保信息傳輸的安全。訪問控制措施是保證資源不被非法的使用與訪問的有效措施。它包括入網的訪問控制、操作權限的控制、目錄安全的控制、屬性安全的控制、網絡服務器安全的控制、網絡的監測、鎖定的控制及防火墻的控制等7個方面的控制內容。因此，它是維護網絡的安全和保護資源的一個重要的手段。

網絡攻擊的效果評估方法

網絡攻擊效果評估是研究復雜網絡環境中怎樣對信息系統所進行的網絡攻擊效果來定性或者定量評估的結果，從而由此檢驗攻擊有效性與網絡的系統安全性等。進行網絡的攻擊效果評估在信息系統安全評估的過程中有著十分重要的意義。首先，網絡的構建部門通過對網絡進行攻擊模擬及自我評估來檢驗系統安全特性；其次，當對敵方惡意的攻擊進行反擊時，網絡的攻擊效果評估還能夠為網絡的反擊樣式及反擊強度制定合理的應對方案。現有的評估方式可分為安全審計、風險分析、能力成熟模型及安全測評四類。（1）安全審計。將安全審計做為核心的評估思想是將是否實施最佳實踐和程度進行系統安全性評估。此類模型主要包括：美國的信息系統的審計與控制協會COBIT、德國IT安全基本保護手冊及美國審計總署自動信息系統的安全審計手冊等。此方式主要是針對信息系統的安全措施的落實和安全管理，這是一種靜態的、瞬時測量方法。（2）風險分析。風險分析模型主要從風險控制的角度來進行安全的評估和分析。一般的方法是通過對要進行保護的IT資源的研究，假設出這些資源可能存在的漏洞和安全威脅，然后對這些漏洞和威脅對資源可能所帶來的后果進行預算，通過數學概率統計對安全性能進行測量，對可能產生的損失大部分進行量化。然后提取出所需來進行風險控制，從而降低風險，把安全風險控制到能夠接受的范圍之內。風險的管理是動態的及反復測量的過程。現有的通用信息安全的標準，例如15013335和15017799等，核心的思想都源于風險安全的理念。（3）能力成熟度模型。能力成熟度模型主要是由過程（Process）保證其安全。最著名的能力成熟模型是系統工程安全的能力成熟度模型。系統工程安全的能力成熟度模型的基本原理是通過將安全工程的過程管理途徑，把系統的安全工程轉化成為定義好、成熟、可測量的一個過程。該模型把安全能力共劃分成5個等級，從低到高進行排序，低等級的是不成熟、難控制安全能力，中等級的是能管理、可控的安全能力，高等級的則是可量化、可測量的安全能力。能力成熟度模型為動態、螺旋式的上升模型。（4）安全測評。安全測評主要更多從安全的技術及功能與機制方面來對信息系統安全進行評估。早期安全測評方案有美國國防部的TCSEC，它的優勢是比較適用于計算機安全，尤其是操作系統的安全進行度量，對計算機操作系統的等級的劃分有著相當大的影響力。

結語

篇3

【關鍵詞】 網絡會計； 風險分析； 會計內控指標體系； 模糊評價法； 績效評價

中圖分類號：F232；F272.35文獻標識碼：A文章編號：1004-5937（2014）16-0083-05目前，中國很多企業實施了網絡會計信息系統，但對網絡環境下產生的安全威脅不夠重視，未及時完善自身的內控體系，增加了內部控制的不安全性，從而影響到會計信息的安全。因此，研究網絡會計信息系統下內部控制的安全問題，幫助企業建立一個新的、更有效的內部控制指標體系很有意義。

文章基于傳統內部控制評價體系網絡化下賦予的新含義，重新構建了網絡會計內部控制的安全評價體系，以實現對會計內控目標、會計內控環境、財務風險監控與管理控制、信息技術控制、財務監督問責、信息溝通等安全控制方面的評價。

一、網絡會計內部控制體系的理論基礎

（一）傳統內部控制體系

2008年6月28日，財政部會同證監會、審計署、銀監會、保監會制定并印發《企業內部控制基本規范》，要求企業建立實施的內部控制包括下列五個要素：內部環境、風險評估、控制活動、信息與溝通以及內部監督。這五個部分也可作為評價內部控制系統有效性的標準。

（二）網絡會計內部控制風險分析

內部控制主要是控制好風險，因此，筆者首先對網絡會計信息系統進行安全分析，然后運用各種方法和工具找出各個流程的潛在風險，最終建立起風險的詳細清單，如表1所示。

二、構建網絡會計內部控制安全評價體系

處于經濟轉型期的我國企業面臨經營風險及外部環境的變化，內控體系應及時作出相應的調整，構建適應信息化環境的內部控制框架。其中控制網絡會計帶來的新變化是重點，所有內控要素都要從信息化會計系統的特征出發加以通盤考慮。內部安全控制框架如圖1所示。

在網絡會計內部控制體系之下，根據每一類控制因素的活動域，首先將其分解為關鍵過程域，然后將該過程域細化到具體的關鍵控制點。本文將對體系中六個控制因素的活動域，按照關鍵過程域到關鍵控制點的步驟來分別描述。

（一）會計內控目標

1.建立符合國內外法律、法規，面向會計部門并結合部門內部網絡會計實際情況的內部控制體系。

2.梳理網絡會計下的內部管理流程。

3.不斷完善內部控制體系，與企業戰略目標相融合，向全面風險管理體系過渡，建立風險管理和內部控制長效管理機制。

（二）會計內控環境

1.更新信息化觀念

為了適應網絡發展的新形勢，企業領導要樹立市場觀念、競爭觀念，重視會計信息化，同時企業要結合先進的管理理念和現代化方法，更新現有會計信息系統。

2.明確會計部門分工

財務部下應設置信息部門和業務部門。信息部門提供信息技術服務和系統運行監督；業務部門負責批準、執行業務和資產保管等。

3.提高財務人員安全意識

（1）將會計信息安全方針與安全考察方針形成書面文件；（2）與重要的會計人員簽署保密協議；（3）對會計人員進行信息安全教育與培訓。

（三）財務風險監控與管理

1.財務風險監控

（1）識別關鍵控制點；（2）更新預警模型。實時監控潛在的風險，將全方位的信息轉換成財務指標，加入到預警模型中，實現資源共享和功能集成。

2.財務風險管理

（1）適當利用自動化控制來代替手工控制；（2）可在系統外部執行部分關鍵的手工操作。

（四）信息技術控制

1.系統構建控制

（1）制定信息系統開發戰略；（2）選擇合適的系統開發方式。

2.嚴密的授權審批制度

（1）操作權限與崗位責任制；（2）重點業務環節實行“雙口令”。

3.系統操作控制

（1）數據輸入控制；（2）數據處理控制；（3）數據輸出控制。

4.會計數據安全管理

（1）會計數據備份加密；（2）會計數據傳輸加密；（3）用戶訪問控制；（4）服務器加密。

（五）財務監督與問責

主要是內部審計管理：

（1）定期審計會計資料，檢查會計信息系統賬務處理的正確性；（2）審查機內數據與書面資料的一致性；（3）監督數據保存方式的安全性和合法性，防止非法修改歷史數據；（4）審查系統運行各環節，發現并及時堵塞漏洞等。

（六）信息溝通

會計信息的溝通與交流應貫穿整個內控體系中。

1.管理層重視

管理層應高度重視及支持信息系統的開發工作，確保各職能部門信息系統在信息交流上高度耦合。

2.嚴密的組織保障

各部門通過控制系統識別使用者需要的信息；收集、加工和處理信息，并及時、準確和經濟地傳遞給相關人員。

3.體系化的制度保障

建立健全會計及相關信息的報告負責制度，使會計人員能清楚地知道其所承擔的責任，并及時取得和交換他們在執行、管理和控制經營過程中所需的信息。

三、基于模糊評價法的內控評價體系應用 研究

網絡會計信息系統內控體系績效評價的應用研究主要利用成熟度模型來劃分內部會計控制因素的等級，基于模糊評價法來進行安全績效評價，最后得出相應的結論。

（一）模糊綜合評價法的應用

模糊綜合評價法是以模糊數學為基礎，將一些不易定量的因素定量化，從多個因素對被評價事物隸屬等級狀況進行綜合性評價。

一是對網絡會計內控體系進行成熟度劃分。

二是依據成熟度模型來確定評價因素和評價等級。設：U=｛?滋1，?滋2，?滋3，…，?滋m｝為被評價對象的m個評價指標V=｛v1，v2，v3，…，vn｝；為每一個因素所處的狀態的n種等級。

三是確定權重分配。

四是進行全面的調查訪問，并建立評價表。

五是建立模糊評價矩陣，得出多級模糊的綜合等級。

六是得出關鍵控制點的評級表。

七是得出評價結果。

（二）模糊綜合評價法的應用

本節針對上述內控體系中的信息技術控制因素，對其應用模糊評價法來進行分析，其他控制因素的評價方法與此例相同。

1.成熟度評價標準

借鑒能力成熟度模型（CMM），同時考慮網絡會計信息系統的特點，將內控流程評價標準劃分為六級：不存在級、初始級、已認識級、已定義級、已管理級、優化級。完善后的內部會計控制成熟度評價標準如表2所示。

表2中等級的劃分是針對會計信息系統內部控制體系總體情況而言。具體到網絡會計內部控制的每一級指標建立成熟度模型時，各個流程也分為以上六個等級。

2.成熟度模型

建立了成熟度評價標準之后，便可根據網絡會計內部控制體系列出控制內容、關鍵過程域及關鍵控制點。本文以信息技術控制為例建立具體模型，該控制因素的成熟度模型如表3所示。

3.權重分配

我國學者辛金國、范煒采用德爾菲法，通過問卷調查的方式得到傳統內部控制五要素中控制環境權重為30%、風險評估為12.9%、控制活動為25.2%、信息與溝通為28%、監督為3.9%。

本文賦權采用德爾菲法，并結合網絡會計的特點，控制內容的權重分配如表4、表5所示。

4.評價表

建立起三級的指標體系結構之后，分別對審計機構、信息安全機構、公司管理層及普通員工四個方面進行調查。每一類對象都挑選10人（總共40人）進行調查訪問，每位專家、管理者及員工分別運用實地觀察法、流程圖法、專業判斷法或工作經驗法，按照指標執行情況，對每一項關鍵控制點依照成熟度模型賦予安全等級分值，表格的內容代表選擇該等級的人數，整理后得出評價表，如表6所示。

5.模糊評價矩陣

首先，用表6中每個級別的分值除以總人數40，得出的評價結果構成關鍵過程域的模糊評價矩陣R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，進行關鍵控制域模糊矩陣運算，B4j=A4j?R4j

B41=［0.5 0.5］?R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，計算控制內容的模糊矩陣運算，Vi=Ai?Bi

V4=［0.2 0.3 0.25 0.25］?B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，計算信息技術控制的綜合得分G4=V4? ［0 1 2 3 4 5］T=2.78875。

6.評級表

對各關鍵控制點的分值進行加權平均計算，根據得出的數所靠近的級別，從而判斷其成熟度級別，公式是：

單項關鍵控制點評價得分=Σ（該關鍵控制點的分值×對應的等級數）÷40

每一項關鍵控制點通過上述公式計算得出的評級表如表7所示。

依據內控流程的成熟度，對照單項關鍵控制點的評級，賦予其合適的等級區間。

7.評價結果

根據模糊矩陣法運算出的信息技術控制的綜合評分為2.78875，在2―已認識級與3―已定義級之間，接近3―已定義級。

根據表7，可以針對公司的信息技術控制關鍵控制點的績效作出如下評價：

公司在適當的信息系統開發方式、操作權限與崗位責任制、操作控制以及會計數據存儲加密中做得較好，評級基本在3―已定義級以上。

公司在內部會計控制中的信息系統開發的戰略規劃、重點業務環節的安全控制、會計數據安全管理、對外來人員的訪問控制、對內部服務器的安全管理均需要進一步加強。

四、結語

網絡會計具有開放性、及時性、分散性與共享性的特點，根據其特點，本文建立了信息化內部會計控制體系，主要包含會計內控目標、會計內控環境、財務風險監控與管理、信息技術控制、財務監督問責、信息溝通六個方面。在安全分析過程中，列出了風險清單，讓財務部門負責人更全面地了解到面臨的各級風險。發現風險是第一步，第二步便是管理風險，公司應分別從內部會計控制的六個方面進行體系化的控制，其中最重要的便是利用信息技術控制來保障網絡會計信息系統的內部安全和計算機網絡安全。最后，本文運用模糊評價法，對網絡會計信息系統內部控制評價體系進行應用研究，以信息技術控制為例，對其安全內控體系進行了評價及實證分析。

【參考文獻】

［1］ 王曉玲.基于風險管理的內部控制建設［M］.北京：電子工業出版社，2010：100-102.

［2］ 陳志斌.信息化生態環境下企業內部控制框架研究［J］.會計研究，2007（1）：30-37.

［3］ 杜洪濤.網絡環境下會計電算化信息系統安全探討［J］.計算機光盤軟件與應用，2010（9）：37-38.

［4］ 宮雪冰.基于內部控制的網絡會計信息系統安全問題的控制［J］.中國管理信息化，2010，13（15）：2-3.

［5］ 李河君.會計信息系統風險控制體系研究［D］.首都經濟貿易大學碩士學位論文，2010.

［6］ 財政部會計司.《企業內部控制應用指引第18號―信息系統》解讀［J］.財務與會計，2011（6）：57-62.

［7］ 艾文國，王亞鳴.企業會計信息化內部控制問題研究［J］.中國管理信息化，2008，11（15）：14-16.

［8］ 張繼德,劉盼盼. 會計信息系統安全性現狀及應對策略探討［J］. 中國管理信息化，2010，13（6）：3-5.

［9］ 陳秀偉.網絡環境下會計信息系統的內部控制探析［J］.中國管理信息化，2011，14（5）：7-8.

篇4

關鍵詞：網絡熵；定量評估；模型

中圖分類號：TP393.08

隨著社會的發展與科技的進步，網絡在日常生活中被應用到更多領域。當網絡帶給生活越來越多的便利時，也帶來了一些風險，網絡的安全問題是當前人們最關注的問題之一。目前對于網絡信息安全的評估并未有系統化、規范化的方式，但是目前被經常使用的方法大致有四種：安全審計、風險分析、系統安全工程能力成熟度模型以及安全測評。但是目前還未實現對網絡攻擊效果的評測，本文基于網絡熵，構建了計算機網絡攻擊效果定量評估模型，依據假設的模型完成對網絡攻擊效果的評估。

1 網絡安全指標的選取規則

網絡攻擊的最終目標是使對方網絡遭到破壞或者被摧毀，使其計算機系統無法正常的工作。所以想要觀測攻擊的效果，可以使用一個量化的指標對攻擊結果進行評測。關于計算機網絡安全的指標有很多，其中，安全機制、安全準則與安全指標之間是波及范圍遞減即逐步細化分類的三種指標。

實施對計算機網絡攻擊效果的評估，簡而言之，就是通過實施對安全指標的觀測完成攻擊效果的確定。目前計算機網絡系統中已存在的安全機制有許多，例如防篡改、防繞過等。由上述安全機制能夠得出安全準則的主要內容同樣是關于防篡改、立體化、以及強制性。由于能夠用來評估網絡攻擊效果的安全指標數量較多，需要對其進行一定規則下的篩選。比如說，在依據某一項安全準則得到若干個指標X1，X2，X3直至Xn，依據德爾菲法的結論可知，安全指標的重要程度與其數字的大小成正比（上述值Xi均為正）。我們假設上述情況中提到的安全指標中X1>X2>X3>……>Xn，此時需要構造一個遞減數列{x1 x2 …xn}，并設數列的和為X，需要我們求出最小的m，使得成立，其中a∈（-∞，1），即是重要性常數。其中前m項中每一項均可對應求出一個這樣的一個指標，即為重要性指標，用Im表示。這里的a可以視實際情況選取，但需注意一般要不小于0.7。

2 基于網絡熵的計算機網絡攻擊效果研究

2.1 網絡熵的具體含義

想要得出網絡系統的安全性測評結果，需要在篩選過安全性能指標后運用一定的手段，例如模型試驗法等將指標進行量化，分別獲取遭受攻擊前與遭受攻擊后的量化結果，將兩者進行對比即可得出攻擊效果的量化結果。簡而言之攻擊效果評估就是要得出在遭受計算機網絡攻擊后計算機網絡安全性的變化。基于此可以得出“網絡熵”的概念。所謂“熵”，指的是一個體系的混亂程度，多應用于控制論、數論以及天體物理、生命科學等領域，由Claude Elwood Shannon率先將其應用于信息論中。因此熵值越小，說明該計算機系統的安全性就越強，相反，熵值大則其穩定性較差，可以據此構建一個關于熵值變化的公式：

H=-log2Vi （1）

其中Vi指的是網絡在此項安全指標中的歸一化參數。通常情況下當計算機網絡被攻擊后對其整體安全性會有負面影響，系統可靠性、穩定性等都會下降，因此其熵值會有一定程度的增加。此時可以構建一個闡釋攻擊效果的公式：

H=-log2（V2/V1） （2）

其中V1指的是網絡再受攻擊之前的網絡可靠性、系統穩定性等的歸一化參數，V2指的是在網絡受攻擊之后網絡可靠性、系統穩定性等的歸一化參數。

2.2 單一網絡安全指標的網絡熵差計算方式

能夠對計算機網絡安全性能產生影響的因素有許多種，因為在不同網絡環境下，網絡安全整體機制是不相同的，對安全性的計算方式也各不相同。其中對計算機網絡安全性能有影響的主要因素有許多種，且各自的狀況較為復雜，因此在進行網絡安全指標的選取時應當注意該指標在實施過程中的可操作性以及簡便性。例如想要實施對計算機網絡安全可用性的計算，需要明確對可用性有影響的部分指標，如網絡數據在一定時間內的吞吐量、網絡信道利用效率等。可以得出下列計算網絡數據流量對計算機網絡攻擊效果的計算公式：

HS=-log2（S2/Sg）-（-log2（S1/Sg））=-log2（S2/S1） （3）

其中S1指的是在計算機網絡遭受攻擊之前的網絡吞吐量，S2為計算機網絡受攻擊后的網絡吞吐量，Sg則是網絡最大吞吐量。將其進行歸一量化后的出S1/Sg，S2/Sg。在此公式下，通過計算可知，當S2與S1數值相同時，HS=0，說明此次攻擊未生效；當S2的數值越小時，HS的值就會越大，表明攻擊的效果越明顯。同理可得：

HU=-log2V2-（-log2V1）=-log2（V2/V1） （4）

文章上述內容針對計算機網絡可用性的部分指標網絡熵值得確定進行了相關探討。上述提到的歸一化能利用多種方式實現。當前可操作性較強的有線性、非線性、折線以及指數型等。在具體的歸一化過程中可以根據自身網絡整體安全準則與具體安全指標的具體情況決定。

3 構建基于網絡熵的計算機網絡攻擊效果定量評估模型

3.1 模型的系統構成

依據上述研究思路對基于網絡熵的計算機網絡攻擊效果定量評估模型進行構建，制作出的模型結構如圖1所示。根據下圖構建的系統展開網絡攻擊模擬實驗能讓網絡攻擊的效果最終產生并輸出。

圖1 基于網絡熵的計算機網絡攻擊效果定量評估模型系統構成

在攻擊試驗開始之前還需對上圖中所有模塊進行相關參數設定：（1）在系統設置模塊中調整設置，設定參與試驗的網絡拓撲結構、網絡流量類型、網絡服務種類以及此次計算計網絡攻擊行為的實施目的等。（2）根據上述系統設置模塊的具體設定，調整指標選擇模塊的參數設置，選擇適合本次評估工作的網絡指標。可以利用德爾菲法完成評估指標體系的綜合構建，對一切能影響此次評估的網絡指標進行篩選，最終確定影響效果最明顯的若干指標。使用該種方式也能將外力因素對此次評估結果的影響降到最小。（3）根據指標選擇模塊中指標的選擇，設置各項指標對最終結果的影響程度。該項設置可以根據德爾菲法的結果進行人工選擇，也可以在計算機中使用評價指標判斷矩陣，使用AHP逐步進行計算得來。（4）數據輸入模塊就是從試驗網絡中收集得來各項指標的數據信息，收集數據能使用的方法有許多，例如被動偵聽等，這里能根據自身需要自由選擇。（5）效果評估模塊則會根據以上模塊得來的數據，對計算機網絡受到攻擊后性能的下降情況進行量化計算，完成對其評估。（6）最終結果由輸出子模塊以表格或是文檔的形式輸出。

3.2 對計算機網絡攻擊效果評估模型的證明

為了證明及確保該模型法實施的有效性以及規范性，構建出圖2所示網絡攻擊效果評估試驗平臺。

圖2 網絡攻擊效果評估試驗平臺

（1）主控程序，即系統的主要控制程序，能對其他模塊進行設置及實施調整，并能實現對其基本參數設置狀況的更改。（2）脆弱性掃描模塊，主要作用是對受試網絡的漏洞及安全隱患狀況進行掃描并能將掃描結果存儲下來，為攻擊模塊實施網絡攻擊行為提供方向指導。（3）模擬攻擊模塊，就是依據脆弱性掃描得來的結果，利用一定的網絡攻擊手段對受試網絡發動網絡攻擊行動，攻擊的結果將會傳輸至專門的結果數據庫中存儲。（4）數據庫模塊主要負責漏洞庫、病毒庫等子模塊的日常維護以及管理。（5）數據采集模塊主要負責采集受試網絡的各項指標，例如其網絡數據吞吐量、系統的響應時間等。并能將收集得來的數據發送至綜合評估模塊完成對攻擊效果的評估。（6）綜合評估模塊，就是對上述模塊發送的信息進行綜合分析，得出對此次攻擊的結果表述，還會把結果以書面的方式呈現，完成對模型法評估結果有效性的證明。

利用上述模型開展了模擬實驗，最終得出的結果如表1、表2、表3所示：

表1 UDP flooder模擬攻擊測試數據

表2 Ping of death攻擊測試數據

表3 Worm. Blaster攻擊測試數據

4 結束語

基于網絡熵的計算機網絡攻擊效果定量評估方法為我國信息系統安全綜合評估提供了新思路，此方式的確立對我國的網絡安全建設意義重大。對建設我國信息網絡系統、國家信息安全基礎設施以及網絡攻防對抗實踐有十分重要的作用。此種方式對網絡攻擊效果有良好的評估作用，能如實地反映網絡攻擊的各項效果，未來在實踐過程中應用前景十分廣闊。目前針對此項研究有待完善的地方正在進行進一步的探究。

參考文獻：

[1]王新安，周漫，萬歆.基于網絡熵的計算機網絡攻擊效果定量評估方法分析[J].科技資訊，2013（05）.

[2]王克難.計算機網絡攻擊的防范與效果評估[J].煤炭技術，2013（05）.

[3]趙博夫，殷肖川.多維網絡攻擊效果評估方法研究[J].計算機工程與設計，2011（08）.

[4]任連興，單洪.基于效果評估的網絡抗毀性研究[J].計算機與現代化，2010（01）.

篇5

【關鍵詞】 電子政務 績效評估 綜述

1.引言

電子政務績效評價就是指專門的機構和人員依據大量的客觀數據和事實,按照專門的規范、程序,遵循統一的標準和特定的指標體系,運用科學的方法模型,對電子政務建設成本與效益進行客觀、準確評判的過程。

電子政務績效評估的根本目的就在于及時發現問題、解決問題,為電子政務的發展提供信息源泉和導向。所以對現有電子政務績效評估研究成果進行回顧、歸納和分析,為我國電子政務的健康發展提供依據和指導,具有良好的現實意義。

2.國外電子政務評價體系

伴隨發達國家電子政務的蓬勃發展,出現了一系列測評全球電子政務績效狀況的研究報告,這些研究報告在連續幾年的跟蹤測評過程中發展出了各自獨特的電子政務績效評價指標體系。

2.1 聯合國經濟與社會事務部的電子政府成熟指數

2008年, 聯合國經濟與社會事務部對全球190個國家的電子政務進行了調查, 將結果編制成各國電子政府成熟指數(董禮勝、雷婷,2009)[1]。指數包括三方面的內容:(1)政府網站的內容和網站的成熟度;(2)對信息通信技術基礎設施的數據分析,共包括6 個指數, 即一個國家的計算機數量、互聯網主機數量、上網人數、固定電話、移動電話以及電視機數量的百分比;(3)人力資本的數據分析, 包括人力資本的發展指數(是否傾向于接受并使用電子政府提供的數據)、信息獲取指數(是否擁有技術手段獲取相關的信息和服務)以及城市人口占總人口的百分比。對上述三方面綜合分析,即得到電子政府成熟指數(見表1)。統計指數表明:美國電子政府成熟度指數為0.8644,全球排名第一;加拿大、法國、德國等發達國家也處于0.7-0.8之間,我國電子政府成熟度指數為0.5017,與發達國家存在一定差距。

2.2 埃森哲咨詢公司的總體成熟度

世界著名的埃森哲咨詢公司從2000年開始,就用其特有的評價指標體系對部分具有代表性的國家和地區政府門戶網站進行分析評測(李鳴,2010)[2]。該評價體系主要通過總體成熟度來衡量一個國家或地區政府門戶的電子政務績效,總體成熟度由服務成熟度和客戶關系管理兩個指標的得分進行加權平均后的分數,其中服務成熟度包括服務成熟廣度和服務成熟深度兩個方面,權重占70%。客戶關系管理是指政府服務的完備水平,占權重的30%(見表2)。

2.3 TNS(Taylor Nelson Sofres)咨詢公司的電子政務績效評估指標體系

TNS咨詢公司是世界第四大市場信息咨詢服務公司,在全球50個國家設有辦事處,主要從事社會和政府方面的研究。該公司提出自己的一套電子政務績效評估指標體系(趙小偉、葛曉萍,2010)[3]:1、發展程度(延伸的社會廣度和行業深度);2、應用程度(政務的技術能力和集成度);3、人口覆蓋面;4、對個人隱私信息安全的關心。通過問卷方式向各國電子政務用戶、網民和一般公眾采集原始數據,并將回收的答卷按對象劃分為七種類型,通過細分答卷對象來獲得更加具體的評價結果。

2.4 Gartner咨詢公司的電子政務有效性評估

Cartner咨詢公司致力于對特定電子政務項目有效性的評估主要從三個方面評價電子政務項目的有效性(張紅亮、梁曉鵬、亢愛國,2009)[4],即對公民的服務水平、運行效益以及政治回報,而每個大類又包含一系列具體參數。該指標體系的設計充分考慮了成本效益分析對電子政務的建設所具有的指導意義,提出了應該圍繞政府職能的根本作用進行評價,包括公眾對電子政務提供的服務內容的滿意程度、電子政務工程的經濟效益,以及對電子政務參與政治事務的促進作用。

3.國內電子政務評價體系

3.1 中國互聯網絡信息中心

中國互聯網絡信息中心自1997年12月起《中國互聯發展狀況統計報告》(中國互聯網絡信息中心,2010)[5];截止到2010年1月,共發行25期。通過計算機輔助電話訪問系統(CATI)進行調查。報告側重于了解中國網民數量與結構特征、上網條件、網絡應用、網民對互聯網使用的態度和非網民狀況。調查內容包括被訪者是否上網,被訪者背景信息,網民的上網行為、上網深度、上網體驗等。

3.2 計世資訊公司

計世資訊公司在《2007-2008年中國政府公眾網站評估研究報告》中,采用網站內容服務、網站功能服務、網站建設質量3項指標體系,對我國大中城市的政府網站進行了評估。該研究報告集中對當前電子政務與服務型政府轉型中的熱點和焦點問題進行了深度評論,并且選擇具有代表性的政府網站進行了實地調研與案例研究。

3.3 中國互聯網實驗室

中國互聯網實驗室于2002年11月了《中國電子政務戰略研究報告》。該報告在提出中國特色的電子政務戰略分析框架的基礎上,分別從評測戰略、運營戰略和IT戰略三方面對國內電子政務戰略規劃進行了分析,詳細描述了如何對政府機關的電子政務戰略目標、可用的資源和能力、面臨的外部環境以及達到目標的手段進行量化評測。

3.4 北京大學網絡經濟研究中心

北京大學網絡經濟研究中心2003年6月《中國地級市電子政務研究報告》。該研究對中國所有地級市政府網站進行了4次數據采集,從信息上網、網上信息使用指南、網上辦公、對外經濟服務、互動性、鏈接情況、時效性、國際化程度、網絡安全、隱私性10個方面進行評分,綜合權重計算得出電子政務網站的績效水平。

4.小結

國內外眾多的電子政務績效評價體系既有共同之處,又各有特點;既有各自的優勢,又存在不足。綜合來看,各評價體系在理論研究與實踐應用中都做出了巨大貢獻,但普遍在指標體系的客觀性和可操作性上還存在一定的局限:由于定性評價指標居多,在實際應用中難免要用到專家評價,而難以控制人為評價主觀性、傾向性和評價過程中的不確定性影響,導致評價客觀性和準確性受到影響。此外,國內外許多學者研究提出的評價體系經常追求理論上的邏輯性與嚴密性,而忽略了當理論運用于實際時的可操作性,指標體系數據獲取困難而流于形式。因此,要對電子政務系統進行準確、公平、客觀的評價,首先必須結合本國的實際情況,構建系統、客觀、可操作的評價指標體系。

參考文獻:

[1] 董禮勝、雷婷,國外電子政務最新發展及前景分析[J]. 中國 社會科學院研究生院學報,2009(11)

[2] 李鳴,我國電子政務發展綜述[J].武漢工程大學學報,2010(04)

[3] 趙小偉、葛曉萍,國際電子政務發展階段與現狀[J].電腦知 識與技術,2010(03)

[4] 張紅亮、梁曉鵬、亢愛國, 國內外電子政務發展階段模型研 究[J]. 新世紀圈書館,2009(06)

[5] 中國互聯網信息中心,中國互聯網絡發展統計報告[M].中 國互聯網信息中心,2010(07)

[6] 楊云飛、白慶華,電子政務評價指標體系[J].計算機應用與 軟件,2004(08)

[7] 張成福、唐鈞,完善我國電子政務建設的總體思路[J].電子 政務,2005(12)

[8] 顏佳華、寧國良、盛明科; 基于BP神經網絡的電子政務績 效評價研究 [J]. 中國管理科學,2005(12)

[9] 陳立立,行政生態視角下電子政務績效評價動態指標構建 模型研究 [D]. 電子科技大學,2008

[10] 陳強、趙玨; NPS在電子政務績效評價中的應用研究[J]. 上 海管理科學,2007(12)

[11] 易亞將,基于快速模擬退火神經網絡的電子政務績效評價 研究 [D]. 廈門大學,2007(04)