網絡安全成熟度評估精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全成熟度評估主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全成熟度評估范文
【關鍵詞】 網絡會計; 風險分析; 會計內控指標體系; 模糊評價法; 績效評價
中圖分類號:F232;F272.35文獻標識碼:A文章編號:1004-5937(2014)16-0083-05目前,中國很多企業實施了網絡會計信息系統,但對網絡環境下產生的安全威脅不夠重視,未及時完善自身的內控體系,增加了內部控制的不安全性,從而影響到會計信息的安全。因此,研究網絡會計信息系統下內部控制的安全問題,幫助企業建立一個新的、更有效的內部控制指標體系很有意義。
文章基于傳統內部控制評價體系網絡化下賦予的新含義,重新構建了網絡會計內部控制的安全評價體系,以實現對會計內控目標、會計內控環境、財務風險監控與管理控制、信息技術控制、財務監督問責、信息溝通等安全控制方面的評價。
一、網絡會計內部控制體系的理論基礎
(一)傳統內部控制體系
2008年6月28日,財政部會同證監會、審計署、銀監會、保監會制定并印發《企業內部控制基本規范》,要求企業建立實施的內部控制包括下列五個要素:內部環境、風險評估、控制活動、信息與溝通以及內部監督。這五個部分也可作為評價內部控制系統有效性的標準。
(二)網絡會計內部控制風險分析
內部控制主要是控制好風險,因此,筆者首先對網絡會計信息系統進行安全分析,然后運用各種方法和工具找出各個流程的潛在風險,最終建立起風險的詳細清單,如表1所示。
二、構建網絡會計內部控制安全評價體系
處于經濟轉型期的我國企業面臨經營風險及外部環境的變化,內控體系應及時作出相應的調整,構建適應信息化環境的內部控制框架。其中控制網絡會計帶來的新變化是重點,所有內控要素都要從信息化會計系統的特征出發加以通盤考慮。內部安全控制框架如圖1所示。
在網絡會計內部控制體系之下,根據每一類控制因素的活動域,首先將其分解為關鍵過程域,然后將該過程域細化到具體的關鍵控制點。本文將對體系中六個控制因素的活動域,按照關鍵過程域到關鍵控制點的步驟來分別描述。
(一)會計內控目標
1.建立符合國內外法律、法規,面向會計部門并結合部門內部網絡會計實際情況的內部控制體系。
2.梳理網絡會計下的內部管理流程。
3.不斷完善內部控制體系,與企業戰略目標相融合,向全面風險管理體系過渡,建立風險管理和內部控制長效管理機制。
(二)會計內控環境
1.更新信息化觀念
為了適應網絡發展的新形勢,企業領導要樹立市場觀念、競爭觀念,重視會計信息化,同時企業要結合先進的管理理念和現代化方法,更新現有會計信息系統。
2.明確會計部門分工
財務部下應設置信息部門和業務部門。信息部門提供信息技術服務和系統運行監督;業務部門負責批準、執行業務和資產保管等。
3.提高財務人員安全意識
(1)將會計信息安全方針與安全考察方針形成書面文件;(2)與重要的會計人員簽署保密協議;(3)對會計人員進行信息安全教育與培訓。
(三)財務風險監控與管理
1.財務風險監控
(1)識別關鍵控制點;(2)更新預警模型。實時監控潛在的風險,將全方位的信息轉換成財務指標,加入到預警模型中,實現資源共享和功能集成。
2.財務風險管理
(1)適當利用自動化控制來代替手工控制;(2)可在系統外部執行部分關鍵的手工操作。
(四)信息技術控制
1.系統構建控制
(1)制定信息系統開發戰略;(2)選擇合適的系統開發方式。
2.嚴密的授權審批制度
(1)操作權限與崗位責任制;(2)重點業務環節實行“雙口令”。
3.系統操作控制
(1)數據輸入控制;(2)數據處理控制;(3)數據輸出控制。
4.會計數據安全管理
(1)會計數據備份加密;(2)會計數據傳輸加密;(3)用戶訪問控制;(4)服務器加密。
(五)財務監督與問責
主要是內部審計管理:
(1)定期審計會計資料,檢查會計信息系統賬務處理的正確性;(2)審查機內數據與書面資料的一致性;(3)監督數據保存方式的安全性和合法性,防止非法修改歷史數據;(4)審查系統運行各環節,發現并及時堵塞漏洞等。
(六)信息溝通
會計信息的溝通與交流應貫穿整個內控體系中。
1.管理層重視
管理層應高度重視及支持信息系統的開發工作,確保各職能部門信息系統在信息交流上高度耦合。
2.嚴密的組織保障
各部門通過控制系統識別使用者需要的信息;收集、加工和處理信息,并及時、準確和經濟地傳遞給相關人員。
3.體系化的制度保障
建立健全會計及相關信息的報告負責制度,使會計人員能清楚地知道其所承擔的責任,并及時取得和交換他們在執行、管理和控制經營過程中所需的信息。
三、基于模糊評價法的內控評價體系應用 研究
網絡會計信息系統內控體系績效評價的應用研究主要利用成熟度模型來劃分內部會計控制因素的等級,基于模糊評價法來進行安全績效評價,最后得出相應的結論。
(一)模糊綜合評價法的應用
模糊綜合評價法是以模糊數學為基礎,將一些不易定量的因素定量化,從多個因素對被評價事物隸屬等級狀況進行綜合性評價。
一是對網絡會計內控體系進行成熟度劃分。
二是依據成熟度模型來確定評價因素和評價等級。設:U={?滋1,?滋2,?滋3,…,?滋m}為被評價對象的m個評價指標V={v1,v2,v3,…,vn};為每一個因素所處的狀態的n種等級。
三是確定權重分配。
四是進行全面的調查訪問,并建立評價表。
五是建立模糊評價矩陣,得出多級模糊的綜合等級。
六是得出關鍵控制點的評級表。
七是得出評價結果。
(二)模糊綜合評價法的應用
本節針對上述內控體系中的信息技術控制因素,對其應用模糊評價法來進行分析,其他控制因素的評價方法與此例相同。
1.成熟度評價標準
借鑒能力成熟度模型(CMM),同時考慮網絡會計信息系統的特點,將內控流程評價標準劃分為六級:不存在級、初始級、已認識級、已定義級、已管理級、優化級。完善后的內部會計控制成熟度評價標準如表2所示。
表2中等級的劃分是針對會計信息系統內部控制體系總體情況而言。具體到網絡會計內部控制的每一級指標建立成熟度模型時,各個流程也分為以上六個等級。
2.成熟度模型
建立了成熟度評價標準之后,便可根據網絡會計內部控制體系列出控制內容、關鍵過程域及關鍵控制點。本文以信息技術控制為例建立具體模型,該控制因素的成熟度模型如表3所示。
3.權重分配
我國學者辛金國、范煒采用德爾菲法,通過問卷調查的方式得到傳統內部控制五要素中控制環境權重為30%、風險評估為12.9%、控制活動為25.2%、信息與溝通為28%、監督為3.9%。
本文賦權采用德爾菲法,并結合網絡會計的特點,控制內容的權重分配如表4、表5所示。
4.評價表
建立起三級的指標體系結構之后,分別對審計機構、信息安全機構、公司管理層及普通員工四個方面進行調查。每一類對象都挑選10人(總共40人)進行調查訪問,每位專家、管理者及員工分別運用實地觀察法、流程圖法、專業判斷法或工作經驗法,按照指標執行情況,對每一項關鍵控制點依照成熟度模型賦予安全等級分值,表格的內容代表選擇該等級的人數,整理后得出評價表,如表6所示。
5.模糊評價矩陣
首先,用表6中每個級別的分值除以總人數40,得出的評價結果構成關鍵過程域的模糊評價矩陣R4j:
R41=0.7 0.2 0.1 000000.1 0.3 0.50.1
R42=00 00.20.7 0.100.10.6 0.20.1 0
R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8
R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200
其次,進行關鍵控制域模糊矩陣運算,B4j=A4j?R4j
B41=[0.5 0.5]?R41=[0.35 0.1 0.1 0.15 0.25 0.05]
B42=[0 0.05 0.3 0.2 0.4 0.05]
B43=[0 0 0.033 0.1 0.366 0.501]
B44=[0.25 0.275 0.225 0.225 0.025 0]
然后,計算控制內容的模糊矩陣運算,Vi=Ai?Bi
V4=[0.2 0.3 0.25 0.25]?B4=[0.1325 0.10375 0.1745 0.17125 0.26775 0.15025]
最后,計算信息技術控制的綜合得分G4=V4? [0 1 2 3 4 5]T=2.78875。
6.評級表
對各關鍵控制點的分值進行加權平均計算,根據得出的數所靠近的級別,從而判斷其成熟度級別,公式是:
單項關鍵控制點評價得分=Σ(該關鍵控制點的分值×對應的等級數)÷40
每一項關鍵控制點通過上述公式計算得出的評級表如表7所示。
依據內控流程的成熟度,對照單項關鍵控制點的評級,賦予其合適的等級區間。
7.評價結果
根據模糊矩陣法運算出的信息技術控制的綜合評分為2.78875,在2―已認識級與3―已定義級之間,接近3―已定義級。
根據表7,可以針對公司的信息技術控制關鍵控制點的績效作出如下評價:
公司在適當的信息系統開發方式、操作權限與崗位責任制、操作控制以及會計數據存儲加密中做得較好,評級基本在3―已定義級以上。
公司在內部會計控制中的信息系統開發的戰略規劃、重點業務環節的安全控制、會計數據安全管理、對外來人員的訪問控制、對內部服務器的安全管理均需要進一步加強。
四、結語
網絡會計具有開放性、及時性、分散性與共享性的特點,根據其特點,本文建立了信息化內部會計控制體系,主要包含會計內控目標、會計內控環境、財務風險監控與管理、信息技術控制、財務監督問責、信息溝通六個方面。在安全分析過程中,列出了風險清單,讓財務部門負責人更全面地了解到面臨的各級風險。發現風險是第一步,第二步便是管理風險,公司應分別從內部會計控制的六個方面進行體系化的控制,其中最重要的便是利用信息技術控制來保障網絡會計信息系統的內部安全和計算機網絡安全。最后,本文運用模糊評價法,對網絡會計信息系統內部控制評價體系進行應用研究,以信息技術控制為例,對其安全內控體系進行了評價及實證分析。
【參考文獻】
[1] 王曉玲.基于風險管理的內部控制建設[M].北京:電子工業出版社,2010:100-102.
[2] 陳志斌.信息化生態環境下企業內部控制框架研究[J].會計研究,2007(1):30-37.
[3] 杜洪濤.網絡環境下會計電算化信息系統安全探討[J].計算機光盤軟件與應用,2010(9):37-38.
[4] 宮雪冰.基于內部控制的網絡會計信息系統安全問題的控制[J].中國管理信息化,2010,13(15):2-3.
[5] 李河君.會計信息系統風險控制體系研究[D].首都經濟貿易大學碩士學位論文,2010.
[6] 財政部會計司.《企業內部控制應用指引第18號―信息系統》解讀[J].財務與會計,2011(6):57-62.
[7] 艾文國,王亞鳴.企業會計信息化內部控制問題研究[J].中國管理信息化,2008,11(15):14-16.
[8] 張繼德,劉盼盼. 會計信息系統安全性現狀及應對策略探討[J]. 中國管理信息化,2010,13(6):3-5.
[9] 陳秀偉.網絡環境下會計信息系統的內部控制探析[J].中國管理信息化,2011,14(5):7-8.
第2篇:網絡安全成熟度評估范文
關鍵詞:銀行網絡;銀行數據安全性;網絡安全性
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)20-5422-02
當前,很多網絡技術經過培訓,都能被大部分人所理解和運用,利用成熟度的網絡技術,對銀行系統的網絡做以改進,在對原系統不做大規模改變的情況下,提高銀行網絡數據傳輸的安全性,這是整個銀行網絡安全最為基礎和關鍵的環節。
1 我國銀行網絡安全運行中存在的問題
1.1 銀行網絡自身的問題
1) 網絡系統存在的不安全因素。由于網絡化的銀行業務中大部分的業務和風險控制工作都是由電腦中的大量程序完成的,所以,網絡信息系統的安全性就成為銀行網絡運行中最重要的技術風險,雖然在銀行網絡系統的設計過程中有多層次的安全系統,但是隨著新的技術不斷發展,雖然可以保護銀行網絡柜臺的順利運行,但是銀行的網絡系統仍然是網絡銀行運行中最為關鍵的環節。
2) 網絡特有的開放性,是病毒流傳的淵源。由于因特網所具有的開放性,使得各種計算機病毒隨著網絡到處流傳,這種病毒嚴重威脅到銀行網絡的各個系統的順利運行,尤其是隨著銀行網絡的不斷開放,更加為病毒的傳播提供了有效的傳播途徑,這位銀行的網絡安全帶來了巨大的威脅。
3) 專業人才緊缺。當前的網絡銀行發展,需要的是集合金融業務知識與計算機技術知識為一體的綜合型人才,要求這類人才必須要熟悉銀行的各種業務,同時又要懂得網絡技術,只有這種人才才是保證銀行網絡安全運行的重要保證,因此,在我國的銀行網絡發展中,急需的正是這樣的人才,當前人才的緊缺,也是造成銀行網絡安全隱患的原因之一。
1.2 各種來自外部攻擊手段所帶來的安全問題
1) 來自網絡黑客的攻擊。近年來,網絡銀行不斷遭到黑客的攻擊,導致一部分銀行將網上支付系統關閉,密碼被竊取,和各種假冒的營業網點已經成為銀行網絡業務中最大的安全隱患。網絡黑客通常的做法是利用各種木馬程序,向用戶發送一些促銷活動的通知郵件,誘惑用戶訪問其事先預設的網站,用戶一旦訪問該網站,就會將賬號和密碼泄露,給犯罪分子可乘之機。
2) 犯罪分子的經濟犯罪行為。由于網絡銀行的支付系統是由金錢進行支付和結算的,因此,很容易引起不法分子的注意,使很多犯罪分子利用網絡銀行進行各種詐騙行為,嚴重的會使銀行和用戶雙方受到嚴重的損失。
3) 工作人員的內部職務犯罪。很多銀行的內部工作人員利用工作之便,自行進入銀行的網絡系統,進行違法犯罪的活動,對銀行的網絡安全也是一種嚴重的威脅。
4) 越來越多的病毒威脅。計算機病毒是威脅網絡安全的一個最為嚴重的威脅,普通的計算機病毒會導致數據丟失,使整個計算機網絡和程序遭到破壞,很多正常的項目無法運行,甚至使計算機系統癱瘓。由于病毒的入侵,導致系統癱瘓的例子越來越多,各種層出不窮的計算機病毒存在于網絡的各個角落,一觸即發,令網絡安全處于一個令人堪憂的環境。
2 銀行網絡數據傳輸系統建設的背景
當前的廣域網中,銀行所采用的內部網絡一般都是營運商的專用路線,通常情況下,銀行網絡數據傳輸系統的數據鏈路層一般都是采用HDLC、PPP、ATM、幀中繼等等通用的協議,在網絡層一般采用IP 協議,并且在數據鏈路層和網絡層之間不做安全處理,因此,在了解到銀行網絡系統的網絡層IP 協議之后,就很容易根據IP協議的規劃和訪問控制等細節,獲得其他信息,就會有不法之徒利用這些信息,模擬出銀行網點極為相似的業務環境,實施其犯罪活動,比如在各個網點簽到的柜員到了自己的崗位之后,從運營商的網站中模擬出網點的終端,就可以先顯出交易畫面,進行違法活動。
3 運用網絡安全技術,提高網絡數據安全性
網絡安全技術是運用各種技術手段,增加網絡安全的措施,一般包括防火墻技術,網絡設備的安全技術,加密技術等等,下面簡要分析各種安全技術。
1) 網絡防火墻技術:網絡防火墻是根據最小權限的原則。由于網絡之間存在著訪問控制權限,因此實現了網絡隔離,設置網絡防火墻,可以成功的隔離DMZ,有效保護網絡內部的安全。防火墻一般有包過濾型防火墻,應用型防火墻等等,防火墻可以采用專門的硬件和專用的網絡操作系統,也可以基于服務器軟件實現。在銀行網絡系統中,應用的比較成熟的是狀態包過濾的防火墻,可以對IP地址訪問端口進行嚴格的控制,確保網絡出入口的安全,在網絡內部的重要區域也可以設置防火墻技術,以確保網絡數據的安全傳送。在防火墻的設計過程中,需要網絡維護人員對業務流程和應用數據有著明確的認識,同時要了解訪問關系和網絡應用端口,實現網絡安全與應用開發部門的有效結合。
2) 網絡設備安全技術:網絡設備安全技術一般是指訪問控制列表技術,通過這種技術,實現傳輸層與網絡層的訪問控制,比如在銀行辦公網絡中的交換機LAN接口,部署ACL,可以限制普通用戶或者測試網絡對服務器的訪問權限,不會影響到網絡內部數據的正常運行。網絡設備的主要功能體現在轉發和路由上,而對于訪問控制權限較弱的網段,可以采用一些簡單的網絡控制,相對于硬件的防火墻技術,網絡設備自身的安全訪問權限功能更加專業,能夠更好的維護網絡數據的傳輸安全。
3) 加密技術:加密技術是維護網絡和信息安全的重要保障,基于TCP/IP協議的加密技術,是與網絡層相關聯的一種技術,常見的有鏈路層加密,網絡層加密以及傳輸層加密等等,加密產品有硬件也有軟件。鏈路層加密一般是以硬件產品加密為主,在廣域網中實施一點對一點或者一點對多點的加密和解密技術,保障數據在連路層的安全傳輸;而在網絡層多使用的軟件產品加密技術,這種軟件產品加密技術成本小,可以在不同的網絡層實施加密和解密技術,實現數據在各個網絡層之間安全傳輸。
4) 審計網絡日志:應用網絡管理系統,實現網絡中的事件管理,對日志進行管理和變更,這也是提高銀行網絡安全性的一個重要保障,因為網絡系統中所包含的各種網絡日志是進行日志審計的重要來源。日志審計是及時發展系統漏洞以及安全隱患的有效辦法,網絡系統中存在的事件日志、用戶登錄日志等等都是可以審計的內容。將日志進行收集和整理后,通過分析和審計,發揮其應有的作用。在銀行網絡系統中,可以采用仿真的模擬運行系統,記錄攻擊者的方式和端口,通過日志的審計功能,評估其面臨的風險程度。
4 總結
網絡安全是一個系統的,可控的,動態的工程,金融部門應當將增強網絡安全意識,投入大量的人力物力,進行技術改進,打造專門的技術團隊,對銀行內部網絡安全進行風險評估,購買安全產品,實施各種安全技術,建立多層次的安全體系,完善安全防范機制,確保銀行網絡數據的安全運行。
參考文獻:
[1] 范平平.我國網絡銀行現狀及安全性分析[J].內江職業技術學院學報,2008(4).
[2] 魏強.淺析增強銀行網絡數據傳輸安全性[J].企業技術開發:下,2009(7).
[3] 劉紅.試析網絡銀行的安全性措施[J].北京市計劃勞動管理干部學院學報,2006(3).
[4] 王惠君.銀行網絡數據通信安全與保密問題的研究[J].電腦與信息技術,2008(3).
[5] 姜慧群,師志勇.淺析從網絡數據監測中獲取實時數據的方法[J].華南金融電腦,2006(8).
第3篇:網絡安全成熟度評估范文
隨著寬帶網絡和用戶規模的不斷增長,用戶對寬帶接入業務的高可用性要求不斷增強,對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手,結合電信IP城域網,提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。
關鍵字(Keywords):
安全管理、風險、弱點、評估、城域網、IP、AAA、DNS
1信息安全管理概述
普遍意義上,對信息安全的定義是“保護信息系統和信息,防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏,保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程,通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。
信息安全管理的本質,可以看作是動態地對信息安全風險的管理,即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408-1(信息安全風險管理和評估規則),給出了一個非常經典的信息安全風險管理模型,如下圖一所示:
圖一信息安全風險管理模型
既然信息安全是一個管理過程,則對PDCA模型有適用性,結合信息安全管理相關標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實施與部署-監控與評估-維護和改進)的循環過程。
圖二信息安全體系的“PDCA”管理模型
2建立信息安全管理體系的主要步驟
如圖二所示,在PLAN階段,就需要遵照BS7799等相關標準、結合企業信息系統實際情況,建設適合于自身的ISMS信息安全管理體系,ISMS的構建包含以下主要步驟:
(1)確定ISMS的范疇和安全邊界
(2)在范疇內定義信息安全策略、方針和指南
(3)對范疇內的相關信息和信息系統進行風險評估
a)Planning(規劃)
b)InformationGathering(信息搜集)
c)RiskAnalysis(風險分析)
uAssetsIdentification&valuation(資產鑒別與資產評估)
uThreatAnalysis(威脅分析)
uVulnerabilityAnalysis(弱點分析)
u資產/威脅/弱點的映射表
uImpact&LikelihoodAssessment(影響和可能性評估)
uRiskResultAnalysis(風險結果分析)
d)Identifying&SelectingSafeguards(鑒別和選擇防護措施)
e)Monitoring&Implementation(監控和實施)
f)Effectestimation(效果檢查與評估)
(4)實施和運營初步的ISMS體系
(5)對ISMS運營的過程和效果進行監控
(6)在運營中對ISMS進行不斷優化
3IP寬帶網絡安全風險管理主要實踐步驟
目前,寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高,且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理,以使得能夠動態的了解、管理和控制各種可能存在的安全風險。
由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段,進行項目實踐:
3.1項目準備階段。
a)主要搜集和分析與項目相關的背景信息;
b)和客戶溝通并明確項目范圍、目標與藍圖;
c)建議并明確項目成員組成和分工;
d)對項目約束條件和風險進行聲明;
e)對客戶領導和項目成員進行意識、知識或工具培訓;
f)匯報項目進度計劃并獲得客戶領導批準等。
3.2項目執行階段。
a)在項目范圍內進行安全域劃分;
b)分安全域進行資料搜集和訪談,包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等;
c)在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析,形成資產表、威脅評估表、風險評估表和風險關系映射表;
d)對存在的主要風險進行風險等級綜合評價,并按照重要次序,給出相應的防護措施選擇和風險處置建議。
3.3項目總結階段
a)項目中產生的策略、指南等文檔進行審核和批準;
b)對項目資產鑒別報告、風險分析報告進行審核和批準;
c)對需要進行的相關風險處置建議進行項目安排;
4IP寬帶網絡安全風險管理實踐要點分析
運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段,需要特別注意以下要點:
4.1安全目標
充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。
4.2項目范疇
應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統:如網管系統、AAA平臺、DNS等。
4.3項目成員
應該得到運營商高層領導的明確支持,項目組長應該具備管理大型安全咨詢項目經驗的人承擔,且項目成員除了包含一些專業安全評估人員之外,還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。
4.4背景信息搜集:
背景信息搜集之前,應該對信息搜集對象進行分組,即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含:
a)IP寬帶網絡總體架構
b)城域網結構和配置
c)接入網結構和配置
d)AAA平臺系統結構和配置
e)DNS系統結構和配置
f)相關主機和設備的軟硬件信息
g)相關業務操作規范、流程和接口
h)相關業務數據的生成、存儲和安全需求信息
i)已有的安全事故記錄
j)已有的安全產品和已經部署的安全控制措施
k)相關機房的物理環境信息
l)已有的安全管理策略、規定和指南
m)其它相關
4.5資產鑒別
資產鑒別應該自頂向下進行鑒別,必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組;然后可以在一級資產組內,按照功能或地域進行劃分二級資產組,如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組;進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別,鑒別其設備類型、地址配置、軟硬件配置等信息。
4.6威脅分析
威脅分析應該具有針對性,即按照不同的資產組進行針對性威脅分析。如針對IP城域網,其主要風險可能是:蠕蟲、P2P、路由攻擊、路由設備入侵等;而對于DNS或AAA平臺,其主要風險可能包括:主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。
4.7威脅影響分析
是指對不同威脅其可能造成的危害進行評定,作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見,尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。
4.8威脅可能性分析
是指某種威脅可能發生的概率,其發生概率評定非常困難,所以一般情況下都應該采用定性的分析方法,制定出一套評價規則,主要由運營商管理人員按照規則進行評價。
第4篇:網絡安全成熟度評估范文
Abstract: ERP is the platform to achieve the integration, optimization, sharing of internal resources and external resources in business. The traditional ERP system can not meet the actual needs of SMEs. Based on the discussion on the concept of SaaS and ERP and the comparison of ERP system of SaaS model and the traditional model, this paper proposed the solutions of the ERP system under the SaaS model and the logical structure of SaaS ERP system, and pointed several problems in the development and construction of SaaS ERP system.
關鍵詞:軟件即服務;企業資源計劃系統;中小企業
Key words: Software is service;planning system of enterprise resource;SMEs
中圖分類號:TP31文獻標識碼:A文章編號:1006-4311(2011)08-0154-03
0引言
中小企業已經占據我國經濟總量的半壁江山,在調整產業結構,促進科技創新,解決城鎮就業和農村勞動力轉移,提高國民生活水平,維護社會穩定,構建和諧社會等方面發揮著日益重要的作用,是保增長、保民生和保穩定的堅實基礎。但是,近年來,中小企業的生存空間正在受到擠壓,經營上的困難也不斷增加,嚴重影響了中小企業的發展。從企業外部來講,融資環境不公平,行業準入條件不公平,缺乏充裕、優質的技術、人才和信息等要素供給。從內部來講,大部分中小企業缺乏科學的管理理念和運作方式,很多企業的組織形式都是直線職能制,相當一部分企業管理粗放、不規范,存在著管理制度不健全、管理手段缺乏、管理方式落后等狀態。對于大型企業來說,具有資金、技術和人力資源優勢,通過IT公司定制符合自身企業特點的管理系統,提升企業的管理水平,而對于處于劣勢的廣大中小企業來說,更需通過求新求異整合管理資源,促使管理活動適應內外環境的變化,增強整體競爭力。中小企業只有不斷進行管理上的創新,才能使企業擁有一個良好的發展機制,使企業真正發揮其小而精、適應性強的優勢,提高企業的市場競爭力。但是,中小企業要開發定制―個ERP系統,價格高昂、實施復雜,以及運行、維護和升級所需要投入的大量人力和物力都是絕大部分中小企業很難承受。近年席卷而來的SaaS軟件模式,為中小企業應用ERP系統帶來了新的希望。探索基于SaaS模式在中小企業ERP系統的應用對于推動中小企業轉變發展方式、調整優化結構、提高經營管理水平和競爭力具有重要的意義。
1SaaS與ERP系統
1.1 SaaS的概念SaaS提供商為企業搭建信息化所需要的所有網絡基礎設施及軟件、硬件運作平臺,并負責所有前期的實施、后期的維護等一系列服務,企業無需購買軟硬件、建設機房、招聘IT人員,即可通過互聯網使用信息系統。企業根據實際需要,向SaaS提供商租賃軟件服務。SaaS提供商通過有效的技術措施,可以保證每家企業數據的安全性和保密性。SaaS采用靈活租賃的收費方式,企業可以按需增減使用帳號,也可以按實際使用賬戶和實際使用時間付費。由于降低了成本,SaaS的租賃費用較之傳統軟件許可模式更加低廉。企業采用SaaS模式在效果上與企業自建信息系統基本沒有區別,但節省了大量資金,從而大幅度降低了企業信息化的門檻與風險。在這種模式下,客戶不再象傳統模式那樣花費大量投資用于硬件、軟件、人員開資,而只需要支出一定的租賃服務費用,通過互聯網便可以享受到相應的硬件、軟件和維護服務,享有軟件使用權和不斷升級,這是網絡應用最具效益的營運模式。
國內ICT領域權威研究機構計世資訊(CCW Research)在其最新的《軟件業的下一個十年――中國軟件運營服務(SaaS)市場發展趨勢研究報告》中指出,2006中國軟件運營服務(SaaS)產業的規模為68億元,2011年將突破400到406億元,未來五年的復合增長率達到43%。
1.2 ERP的概念簡單地講ERP就是企業資源計劃系統。ERP是由美國著名的計算機技術咨詢和評估集團Garter Group公司提出的一整套企業管理系統體系標準,是指建立在信息技術基礎上,以提高企業資源效能為系統思想,為企業提供業務集成運行中的資源管理方案。ERP不僅僅是一個軟件,更重要的是一個管理思想,它實現了企業內部資源和企業相關的外部資源的整合。通過軟件把企業的人、財、物、產、供、銷及相應的物流、信息流、資金流、管理流、增值流等緊密地集成起來,實現資源優化和共享。
1.3 SaaS模式與傳統模式ERP系統比較SaaS的興起是IT行業的一場新革命,SaaS模式將促進整個傳統軟件產業大的變革。SaaS模式和傳統模式的軟件服務主要有以下兩點區別:
1.3.1 SaaS是對傳統軟件開發模式和交互模式的變革。傳統管理軟件的開發模式,是以軟件產品為中心,通過市場推廣不斷尋找更多的客戶購買產品來實現業務增長。傳統軟件一般通過光盤等磁盤介質或者以軟件下載方式交互客戶,然后由廠商技術人員完成服務器和客戶端的安裝以及一系列的配置等。在SaaS模式中,客戶端可以不需要安裝任何類似傳統模式的客戶端軟件。客戶端只要有設備能夠連接并瀏覽互聯網,客戶就可以“隨時隨地”通過電腦、手機等多種互聯網接入方式連接到互聯網,通過互聯網進行應用軟件的管理和操作。
1.3.2 SaaS是對傳統軟件運營模式的變革。首先是軟件付費方式的改變,傳統管理軟件付費模式是客戶需要一次性投入整個項目高昂的項目資金,除管理軟件產品本身外,還有整個系統的服務器機群、網絡平臺、系統軟件,如數據庫系統等,軟件提供商主要靠銷售軟件產品盈利。SaaS模式通過租賃方式,定期支付租用的在線軟件服務,客戶大大降低了項目投資風險和資金投入壓力,而SaaS提供商主要依靠為大量客戶提供軟件租用服務獲取企業利潤。SaaS運營模式以“服務”為核心,銷售的內容從軟件的許可證轉變為服務,軟件產品成為服務的載體。軟件供應商與客戶的關系從軟件產品的買賣關系轉變為服務關系,這種關系的徹底改變,也改變了人們對軟件的認識。
1.3.3 SaaS模式改變了傳統ERP系統部署方式。ERP軟件的部署和實施比軟件本身的功能、性能更為重要,萬一部署失敗,所有的投入幾乎全部白費,這樣的風險是每個企業用戶都希望避免的。通常的ERP項目的部署周期至少需要一兩年甚至更久的時間,而SaaS模式的軟件項目部署最多也不會超過90天,而且用戶無需在軟件許可證和硬件方面進行投資。傳統軟件在使用方式上受空間和地點的限制,必須在固定的設備上使用,而SaaS模式的軟件項目可以在任何可接入Internet的地方使用。相對于傳統軟件而言,SaaS模式在軟件的升級、服務、數據安全傳輸等各個方面都有很大的優勢。
2基于SaaS模式的ERP系統的優勢
中小型企業固有的特點和弱點,使得采用SaaS模式來實施ERP系統在IT投資、業務流程、技術支持等方面具備了許多優勢。
2.1 在投資層面上中小企業資金實力相對薄弱,在IT預算方面較低。而SaaS模式是由服務商統一部署軟硬件,一定程度上實現了軟硬件資源的共享。中小企業僅僅通過支付軟件的租賃費用來獲得ERP系統的使用權限,而不用向傳統ERP系統那樣的需要大量前期投資。
2.2 在業務層面上中小企業整體運營情況的穩定性較差,主營業務靈活多變,能夠對市場變化做出快速反應。SaaS模式的ERP系統提供個性化功能模塊定制,可以靈活適應中小企業的業務特點,及時調整系統功能。
2.3 在技術層面上中小企業自身的軟硬件技術設備基礎較差,相對缺乏專業的信息化人才,沒有足夠的能力自己承擔ERP項目實施及后期維護任務。而SaaS服務商可以完全提供ERP系統的上線及運行維護,軟件升級等服務,對用戶自身的技術要求降到最低。
2.4 實施周期上中小企業的運營目標傾向于短期利益,看重即時效果。相對于傳統ERP系統漫長的實施周期,SaaS模式的ERP系統由于軟硬件資源的共享程度高,上線速度快,可大大縮減項目的實施周期,符合中小企業的時間要求。
3基于SaaS模式的ERP系統架構設計
3.1 SaaS模式的軟件成熟度模型根據SaaS應用是否具有可配置性、高性能、可伸縮性的特性,SaaS成熟度模型可以分為四級,如圖1所示。
第一級軟件成熟度模型下,軟件服務提供商為每個客戶定制一套軟件。每個客戶使用一個獨立的數據庫實例和應用服務器實例,數據庫中的數據結構和應用的代碼可能根據客戶需求做定制化修改。SaaS應用提供商通過整合軟硬件資源,在降低軟硬件以及專業化的維護成本方面取得了一定的規模效應,從而在一定程度上降低用戶使用軟件的綜合成本。
第二級成熟度模型相對于最初級的成熟度模型,增加了可配置性。希望通過不同的配置來滿足不同客戶的需求,而不需要為每個客戶進行特殊定制,以降低定制開發的成本。在這種模式下,軟件提供商負責其軟件的硬件部署、網絡環境以及后續的維護。通過軟件本身提供的配置功能可以滿足不同客戶特定的需求,而客戶則僅需按年或按月支付相應的服務費即可。
在第三級軟件成熟度中,實現了多租戶單實例的應用架構。通過一定的策略來保證不同租戶間的數據隔離,確保不同租戶既能共享同一個應用的運行實例,又能為用戶提供獨立的應用體驗和數據空間。
在第四級軟件成熟度模型中,SaaS服務提供商將通過運行―個負載均衡的具備權限驗證功能的平臺來為眾多的客戶同時服務,每個客戶的業務數據將被單獨存放,同時提供使用可配置的元數據來為每―個客戶提供其自身需要的獨特的用戶體驗。符合這樣―個成熟度的SaaS系統具備可擴展性,可易支持大規模客戶的需要。用戶首先通過接入客戶負載均衡層,再分配到不同的實例上。通過多個實例來分擔大量用戶的訪問,可以讓應用實現近似無限的水平擴展。
雖然從應用架構的角度,同時具備可配置性、高性能和可伸縮性的第四級SaaS成熟度模型是最為理想的應用架構。但是,綜合商業需求、實現成本及復雜程度等各方面的考慮,可以合理選擇SaaS成熟度模型。
3.2 基于SaaS模式解決方案的邏輯體系結構SaaS模式可以實現“拿來即用”,將SaaS ERP軟件安裝和部署在軟件商的服務器上,用戶無需關心軟件安裝的問題。在SaaS ERP提供商的部署中,首先需要在系統邊界部署防火墻確保整個系統的安全。身份認證能夠實現對客戶的識別和驗證,通過嚴格的身份認證,防止非法用戶使用系統,或偽裝其他用戶來使用系統,這也是保證整個系統應用安全的基礎。只有合法用戶并通過身份認證后才能根據用戶的請求重定向到相應的服務器獲得相應的服務。ERP系統安裝在ERP應用服務器上,Web服務器對外提供服務接口。SaaS ERP軟件的邏輯結構如圖2所示。
對于用戶來說,不需要安裝任何額外的軟件,用戶通過手機、電腦等手持上網設備通過Internet連接到軟件提供商的服務平臺上。首次使用客戶初始化后,就可以定制需要的模塊和功能。用戶的注冊、身份認證、付費、授權等通過身份認證服務器來實現。
在實施SaaS ERP系統時需要注意以下幾個問題:
3.2.1 應用安全SaaS ERP系統中首先需要考慮的問題是應用安全問題,使得基于SaaS模式的用戶能夠像使用傳統ERP軟件一樣具有良好的可用性和可靠性。為了保證SaaS ERP系統的安全可用,可以通過身份認證、權限管理、應用監控、日志管理等措施保證系統的安全。身份認證可以采用集中式認證、非集中式認證或混合認證方式,通過嚴格的身份認證,防止非法用戶使用系統或偽裝成其他用戶來使用系統。權限管理實現用戶使用系統功能的訪問控制,保證有效用戶正常使用系統的同時,防止非法用戶和無權用戶對系統功能的使用。由于SaaS ERP是基于Internet的應用,很容易受到來自網絡的各種攻擊,因此,需要監控SaaS ERP系統的軟硬件使用情況,防止系統出現不正常的停機、死機和拒絕服務等情況。在此基礎上,還要對系統的可靠性和穩定進行監控,確保系統安全、可靠和穩定的運行。
3.2.2 數據安全對于SaaS ERP系統來說,客戶最關心的問題莫過于數據的安全。要保證客戶的數據安全,需要對客戶的數據進行隔離,以確保各租戶數據的完整性和保密性,對敏感數據采取必要的加密措施。
3.2.3 網絡安全應用數據在傳輸過程中很容易遭受網絡的攻擊,應用的穩定性也更容易受到網絡的影響。需要重視用戶數據在網絡中的安全傳輸,保證數據的完整性和保密性。
3.2.4 離線應用SaaS ERP系統還需要考慮的另外一個問題是:在網絡不穩定的情況下,如何避免數據保存時不丟失問題。在這種情況下,需要一個能夠支持離線使用的應用,確保系統在網絡不穩定的情況下,系統能夠自動切換到離線狀態,將數據保存在本地數據庫,當網絡連接恢復后,通過數據同步向Internet服務器提交等待提交的數據。
4結束語
SaaS 模式不僅僅是軟件提供形式的轉變,最重要是SaaS提供了一整套解決軟件生產和消費的思想和方法。隨著SaaS ERP系統的應用安全性、數據安全性、可靠性和穩定性的提升,以及用戶在認識上的轉變,必將迎來SaaS ERP軟件的春天。以SaaS模式的ERP系統也將為廣大中小企業在企業管理、資源合理配置等方面提供強大的支持,為企業參與激烈的市場競爭插上騰飛的翅膀。
參考文獻:
[1]尹峰.ERP在我國中小企業中的應用[J].合作經濟與科技,2009,9.
[2]向堅持,陳曉紅.SaaS模式的中小企業客戶關系管理研究[J].計算機工程與應用,2009,45.
[3]王樨,湯偉等.ERP現狀及未來發展趨勢[J].化工自動化及儀表,2009,36(3).
[4]田維珍,郭歡歡等.SaaS安全技術研究[J].計算機安全,2010.
第5篇:網絡安全成熟度評估范文
關鍵詞:企業信息化;SaaS;關鍵技術;PaaS
中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2010)11-2647-03
Study of Key Technique of SaaS
LIN Xuan
(Department of Math and Information Tech, Hanshan Normal University, Chaozhou 521041, China)
Abstract: Software-as-a-Service (SaaS) is a new software delivery mode.Firstly,the status and development of SaaS are introduced.Then the paper emphasizes on the key technique of Saas and proposes the view about the SaaS solution on the basis of research summary lastly.
Key words: enterprise informationize; SaaS; key technique; PaaS
隨著信息經濟時代的到來,軟件及其相關的信息服務產業已成為引導未來經濟的核心力量,企業信息化水平則是衡量軟件產業的重要指標。現在企業管理軟件已經歷了由Mainframe結構、Client/Server結構、B/S多層分布式結構到SOA的演變,變得越來越分散、越來越開放和強調互操作性[1]。軟件交付方式也從傳統的IT外包轉為了應用服務提供商模式(Application service Providers,ASP)模式[2],獨立軟件開發商逐步發展為應用服務聯盟。而相比傳統的ASP 模式,軟件即服務模式(Software-as-a-Service , SaaS)更適合中小企業應用。
SaaS是一種通過Internet 提供軟件的模式, 用戶不用再購買軟件,而改為向服務提供商租用基于Web 的軟件來管理企業經營活動,服務提供商會全權管理和維護軟件[3]。自2003年Salesforce首次推出SaaS概念以來,SaaS取得了很大的發展,已成為當前的研究熱點。本文首先介紹SaaS的發展趨勢,然后重點分析構建SaaS平臺的關鍵技術,最后提出了對SaaS解決方案的看法。
1 SaaS的現狀和發展
據Gartner預測,到2010年全球SaaS市場將占整個軟件行業市場份額的25%[4]。國外出現了包括Salesforce、Rightnow、Taleo以及Google、Microsoft、SAP等從事SaaS業務的公司,已形成包括支撐平臺與網絡環境提供商、軟件運營服務平臺提供商、SaaS軟件提供商、SaaS軟件集成商、咨詢、實施、維護提供商、軟件運營商和用戶在內的SaaS生態系統,并呈現從中小應用往大型應用過度的趨勢。
在國內,也涌現了包括用友、金蝶、金算盤、800CRM和阿里軟件等SaaS服務提供商,SaaS生態系統中的各種角色都已出現,但是角色的分工尚不明晰,總體處于市場發展階段初期。據“計世資訊”統計,SaaS市場2007年比2006年增長104.5%,2008年將達8億元的規模,未來3-5年是SaaS市場發展的黃金時期,2015年之后,將進入成熟期[5]。在2007年,管理型SaaS中制造、服務、流通領域占的市場份額為20%、16%和21%,服務內容主要針對企業的通用性應用,軟件流程簡單。往后,應用趨勢將朝著行業化、個性化、集成化和多功能滲透發展。
未來SaaS的發展呈現幾個趨勢:
1)所涉及的領域不斷擴大,所提供的功能也不斷深化。技術上快速地從基于云計算的垂直應用過渡到多種應用功能架構和服務集成。中小企業的醫療、法律、財務和旅行等領域也開始受到關注[6]。
2)應用服務供應商逐漸趨向于提供API(應用編程接口),在SaaS平臺上幫助用戶拓展功能,而不僅僅是提供成熟的應用軟件。平臺即服務(Platform as a service,PaaS)是這種趨勢的典型代表,體現了互聯網低成本、高效率和規模化應用的特性[7]。目前的產品包括Salesforce的、Google的App Engine和Amazon的EC2。
2 SaaS的關鍵技術
2.1 系統架構
系統結構是SaaS中最重要的部分,以下是幾種典型的方案:
2.1.1 成熟度模型
文獻[8]認為SaaS結構應該至少滿足以下三個特點中的一個或多個,即
1)可擴展性:指能最大限度提高并行性,以便更高效地利用應用資源。
2)可配置性:指讓每個客戶能用元數據配置應用的外觀和行為,同時保證配置的使用簡易和零費用。
3)多用戶高效性:指能最大化不同用戶間的資源共享,但要區分不同用戶的數據。
根據是否滿足這三個特點,可以建立SaaS的四級成熟度模型,每一級都比前一級增加了上述三種成熟特性中的一種。
1)成熟度Ⅰ: 如應用程序提供商(ASP)提供的模式,每一個用戶運行一個不同的實例。
2)成熟度Ⅱ:所有的用戶提供相同的實例。但是在這個模式下,實例具有可配置性,用戶可以根據自己的需要配置自己運行的實例。
3)成熟度Ⅲ:這種模式具有可配置性及多用戶效率,所有的用戶運行在同一個實例下。
4)成熟度Ⅳ:這種模式下,供應商在負載平衡的服務器群上為不同的顧客提供服務
每種成熟度的特點看參考文獻[1]。文獻[9]則提出了可根據業務模型、架構模型和運營模型來選擇成熟度模型的策略。
2.1.2 三層模型
文獻[10]認為SaaS系統可以分為表現層、接口層和應用實現層,表現層側重于管理流和業務流的分離,在接口層必須提供統一的用戶遠程調用接口,而應用實現層則計算能力共享、存儲能力共享、個性化配置能力和大容量支持能力。
2.1.3 標準SaaS體系結構
文獻[11]提出一個標準的SaaS體系結構,包括數據中心、硬件層、OS平臺、應用基礎設施、應用服務層以及系統監控管理等部分,微軟、谷歌和IBM等公司的SaaS方案基本涵蓋了該結構的主要部分。
2.2硬件方案
解決方案包括HTML靜態化、圖片服務器分離、數據庫集群、庫表散列、緩存、鏡像、負載均衡、CDN加速技術、分布式服務器集群、鏈路聚合技術、更高層交換技術等等[12]。當前,集群技術是主流的解決方法。而服務器集群的負載平衡問題則是當前研究人員關注的重要問題。主流的集群系統有:LVS是通用的集群系統,MOSIX集群系統主要是針對于科學計算;EDDIE主要是針對于WEB服務,它使用了DNS負載調度策略。KTCPVS主要介紹了一種基于內容請求分發的集群體系結構[13-14]。近年來,服務器虛擬化成為新的研究熱點,它和云計算結合也引起了很多討論[15],但是相關研究剛剛起步。
2.3 集成技術
因為SaaS平臺致力于為各類不同企業集中提供信息化特色服務,具有多行業、多架構、多模式、跨地域、跨平臺、多語言的特點,要求靈活開放易擴展的集成方式。現有很多ASP平臺的系統集成方案以及體系結構可以使用于SaaS,這些系統一般都采用多層模型,建立統一的集成框架,如平臺與應用層的“基于統一安全認證的應用集成模式”,數據層、功能層和過程層的“基于企業服務總線的應用集成模式”等[16]。但是SaaS更強調軟件服務的組合以提供個性化和靈活性的支持,因此采用基于服務組合的思想來構建SaaS平臺正成為趨勢。這種思想是:基于SOA的思想,采用ESB技術,在平臺與應用系統之間建立中間層,將所有應用作為服務用XML模板來描述,使用SOAP協議傳遞與調用,從而不僅可以實現平臺與應用系統的整合,還可以方便地整合應用系統間的數據和流程[17]。基于SCA(Service Component Architecture)的SaaS平臺以及IBM的SaaS平臺是其中的代表[18]。另外SaaS平臺還綜合了基于CORBA、XML、Agent、工作流等技術的集成方法[19]。但是服務軟件的編制和集成缺乏統一標準。
2.4 安全
目前SaaS沒有統一的安全標準,熱點的安全問題涉及到了數據中心、硬件、操作系統和軟件服務客戶端等,許多信息安全領域的理論和技術被引進來,包括基于角色、網絡安全、信任關系和風險評估等[20-21]。
2.5 個性化支持
主要技術有建立動態聯盟,提供不同靈活的應用組合;靈活的角色權限控制;數據管理;用戶界面;報表自定義等等。基于平臺的服務(PaaS)則允許用戶不寫代碼而組合出適合自己的應用系統,現在處于試驗階段。在個性化方面,有很多的技術和方法問題尚在研究之中。
可以看到,SaaS不僅是軟件交付模式的改變,管理思想的革新,而且還給理論和技術研究帶來了很多新的課題。
3 結束語
SaaS的應用中,選型很重要。如第四級成熟度很好,但是它需要負載均衡技術的支持,成本較高,因此必須結合各方面的能力和應用的要求來確定SaaS解決方案。第三級成熟度模型則比較適合我國的情況,因為可以在資源的利用率和成本間取得較好的平衡。該模型中,SaaS平臺提供單個實例來滿足不同客戶的需求,并采用可配置的元數據為不同的用戶提供獨特的用戶使用體驗和特性集。相同的實例能最大化不同用戶間的資源共享,并且從最終用戶的角度來看,不會察覺到應用是與多個用戶共享的。不同用戶的數據彼此分開,通過授權和安全策略來確保不同的用戶訪問各自權限范圍內的數據,以及區分不同用戶的數據。
從該文的論述可看到,無論從技術領域研究,還是應用前景來看,SaaS都是值得關注的。往后,SaaS將會吸引其他學科的注意,如管理學、協同學等。
參考文獻:
[1] 張靜.軟件即服務模型的研究與實現[D].南昌:南昌大學,2007:9,12.
[2] Tebboune.Application service Provision:origins and development[J].Business process management Journal,2003,9(6):722-734.
[3] 馬曉杰.軟件作為服務模式的創新研究[D].北京:對外貿易經濟大學,2006:26.
[4] Pettey C.Gartner Says 25 Percent of New Business Software Will Be Delivered As Software As A Service by 2011[EB/OL].(2006-10-03)./.
[5] 田夢.中國SaaS路在何方[EB/OL].(2007-09-08)..cn/.
[6] WEST M.Progress Software: Pointing Toward SaaS 2.0[EB/OL].(2007-02-14)..
[7] 800app.SaaS和云計算的技術與市場趨勢[EB/OL].(2008-09)./.
[8] Chong F,Carraro G.Architecture Strategies for Catching the LongTail[EB/OL].(2006-08)..
[9] Rowell J.A step-by-Step guide to starting up Saas operations[EB/OL]..
[10] 趙立君,范曉暉.SaaS 技術的發展和演進[J].現代電信科技,2007(11):47.
[11] 范春瑩.SaaS可信平臺的搭建[J].程序員,2008(8):55.
[12] 提升大型網站并發訪問性能[EB/OL].(2008-09)..
[13] 戴剛.服務器集群關鍵技術的研究與實現[D].長沙:國防科學技術大學,2002:30.
[14] 熊盛武,王魯,楊婕.構建高性能集群計算機系統的關鍵技術[J].微計算機信息,2006(5):38-39.
[15] 用云計算提升企業計算能力[EB/OL].計算機世界,2008-09-22.
[16] 袁曉舟.ASP平臺應用集成模式研究與實現[J].制造業自動化,2005(12):41-43.
[17] Sathyan J,Shenoy K.Realizing Unified Service Experience with SaaS on SOA[C].IEEE Software,2008:23-28.
[18] Mietzner R,Leymann F.Defining Composite Configurable SaaS Application Packages Using SCA,Variability Descriptors and Multi-Tenancy Patterns[C].The Third International Conference on Internet and Web Applications and Services,2008:156-161.
[19] Mietzner R,Leymann F.Generation of BPEL Customization Processes for SaaS Applications from Variability Descriptors[C].2008 IEEE International Conference on Services Computing,2008:178-182.
第6篇:網絡安全成熟度評估范文
一、電力企業信息安全風險分析
信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統面臨的主要風險存在于如下幾個方面:(1)計算機病毒的威脅最為廣泛:計算機病毒自產生以來,一直就是計算機系統的頭號敵人,在電力企業信息安全問題中,計算機病毒發生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的;(2)網絡安全問題日益突出:企業網絡的聯通為信息傳遞提供了方便的途徑。企業有許多應用系統如:辦公自動化系統,用電營銷系統,遠程教育培訓系統等,通過廣域網傳遞數據。企業開通了互聯網專線寬帶上網,企業內部職工可以通過互聯網方便地收集獲取信息,發送電子郵件等;(3)信息傳遞的安全不容忽視:隨著辦公自動化,財務管理系統,用電營銷系統等生產,經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業的內部廣域網來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關公司都有著許多的工作聯系,日常許多信息,數據都需要通過互聯網來傳輸。網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業機密;被非法篡改,造成數據混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業信息安全中重要的一環;(4)用戶身份認證和信息系統的訪問控制急需加強:企業中的信息系統一般為特定范圍的用戶使用,信息系統中包含的信息和數據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定能夠程度上加強系統的安全性。但在實際應用中仍然存在一些問題。一是部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制,甚至簡單到要么都能看,要么都不能看。二是各應用系統沒有一個統一的用戶管理,企業的一個員工要使用到好幾個系統時,在每個應用系統中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了;(5)實時控制系統和數據網絡的安全至關重要:電網的調度指揮,自動控制,微機保護等領域的計算機應用在電力企業中起步早,應用水平高,不但實現了對電網運行狀況的實時監視,還實現了對電網一次設備的遙控,遙調以及保護設備的遠方管理。隨著數據網的建設和應用,這些電網監視和控制方面的系統逐步從采用專線通道傳輸數據轉移到通過數據網絡來傳送數據和下發控制指控令。由于這些計算機系統可以直接管理和操作控制電網一次設備,系統的安全可靠,數據網的安全可靠,信息指令傳輸的實時性等直接關系著電網的安全,其安全等級要求高于一般的廣域網系統。隨著電子商務在電力企業中的應用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務安全問題也會越來越突出。
二、解決信息安全問題的基本原則
(一)采用信息安全新技術,建立信息安全防護體系。企業信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施
(二)計算機防病毒系統。計算機防病毒系統是發展時間最長的信息安全技術,從硬件防病毒卡,單機版防病毒軟件到網絡版防病毒軟件,到企業版防病毒軟件,技術成熟且應用效果非常明顯。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。在目前的網絡環境下,能夠提供集中管理,服務器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統平臺,多種應用平臺殺毒的企業版殺毒軟件,是電網公司這樣的大型企業的首選。個人版本的殺毒軟件適合家庭,小規模用戶。
(三)網絡安全防護系統。信息資源訪問的安全是信息安全的一個重要內容,在信息系統建設的設計階段,就必須仔細分析,設計出合理的,靈活的用戶管理和權限控制機制,明確信息資源的訪問范圍,制定信息資源訪問策略。對于已經投入使用的信息系統,可以通過采用增加安全訪問網關的方法,來增強原有系統的用戶管理和對信息資源訪問的控制,以及實現單點登陸訪問任意系統等功能。這種方式基本上不需要改動原來的系統,實施的技術難度相對小一些。對于新建系統,則最好采用統一身份認證平臺技術,來實現不同系統通過同一個用戶管理平臺實現用戶管理和訪問控制。
三、解決信息安全問題的對策
(一)依據國家法律,法規,建立企業信息安全管理制度。國家在信息安全方面了一系列的法律法規和技術標準,對信息網絡安全進行了明確的規定,并有專門的部門負責信息安全的管理和執法。企業首先必須遵守國家的這些法律法規和技術標準,企業也必須依據這些法律法規,來建立自己的管理標準,技術體系,指導信息安全工作。學習信息安全管理國際標準,提升企業信息安全管理水平。信息安全是企業信息化工作中一項重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設機構,明確領導,設立專責人長期負責信息安全的管理工作和技術工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。
第7篇:網絡安全成熟度評估范文
然而,雖然網絡營銷作為一種新生事物具有諸多不可替代的優勢,從另類角度詮釋了現代企業的競爭規則,給企業帶來滾滾財源和新的發展契機,但它與傳統營銷模式相比,有其自身的局限性和風險性。在技術信息的成熟度、金融法律體系的完善以及物流配送等方面還有待于進一步完善。目前,企業網絡營銷模式的運作障礙和經營風險仍然是不可回避的難題,本文基于此對企業網絡營銷風險管理體系展開論述。
一、企業網絡營銷風險的含義
所謂風險,是指在一定條件下和一定時期內可能發生的各種結果變動程度的不確定性。這種不確定性表現在主觀對客觀事物運作規律認識的不完全確定和事物結果的不確定性。網絡營銷風險,是指在網絡營銷活動過程中,由于各種事先無法預料的不確定因素帶來的影響,使網絡營銷的實際收益與預期收益產生一定的偏差,從而帶來蒙受損失和獲得額外收益的機會或可能性。因此,企業要在網絡營銷活動中要客觀地識別、評估和判斷網絡營銷風險,并采取一定的規避措施把這種損失降低到最低程度。
二、企業網絡營銷風險的類型
(一)技術風險
以計算機為平臺的虛擬網絡交易平臺在帶給人們便捷服務的同時,也給人們的生活帶來諸多不安全隱患,技術風險是最重要的風險之一,主要是由于企業的網絡技術手段不成熟、不穩定而給交易雙方帶來的風險。造成技術風險的因素很多,既有系統自身缺陷造成的也有人為因素造成的。目前,由于我國網絡發展水平不高、網絡基礎設施差、線路少、安全性低等原因,再加上很多企業的資金和技術有限,網絡運行時經常發生上網速度慢、網絡易堵塞、信息傳遞出錯、交易平臺混亂等現象,進而造成信息傳輸風險、數據交換風險、信息確認風險、交易者身份不確定等風險。另外,隨著黑客技術手段的不斷翻新和病毒感染的不斷升級,網站被攻擊、數據庫崩潰、密碼被盜竊等現象時有發生,這些都加劇了網絡交易的風險。基于此,企業需要建立一個WEB數據庫安全體系,及時進行漏洞檢測、風險評估,不斷完善現有的網絡開發技術和數據加密手段,才能防患于未然。
(二)支付風險
在網絡營銷領域,支付風險是網絡營銷的最直接的風險。由于網絡具有虛擬性,給不法之人以可乘之機,他們通過自己對網絡知識的掌握虛假信息,造成了極壞的影響。另外,目前金融領域仍然缺乏滿足網絡營銷所要求的交易費用支付和結算手段。由于很多銀行的電子化辦公水平弱,安全性差,而且銀行之間的業務分割、交叉少,沒有統一的接口,雖然有一些銀行提出了一些改進措施,但距離網絡營銷的要求還有差距,信用卡號碼被盜用、個人隱私被泄露等現象時有發生。
(三)道德風險
道德風險,也稱道德危機或信用風險,是指從事經濟活動的人在最大限度地增進自身效用的同時做出不利于他人的行動。如果從委托—雙方信息不對稱的理論出發,道德風險是指契約的甲方(通常是人)利用其擁有的信息優勢采取契約的乙方(通常是委托人)所無法觀測和監督的隱藏性行動或不行動,從而導致委托人損失或人獲利的可能性。現實生活中,消費行為是人類社會經濟活動的重要行為和過程,也是人類社會經濟生活的一個重要領域。在21世紀這個蘊涵無限商機的消費時代,網絡營銷顯示出強大的生命力。道德風險是網絡營銷的一大難題,由于網絡營銷是建立在道德信用的基礎上的,即交易雙方相互信任,信守承諾。網絡營銷的假設是:買方假設賣方提供的商品質量合格不存在缺陷;賣方假設買方有足夠的支付能力,雙方都會履行交易時達成的承諾。但是,目前有很多企業置消費者的利益和身心安全于不顧,假冒偽劣盛行,如果沒有任何信用做保證,網絡營銷是難以為繼的。今后,在很長的時期內道德風險將在很大程度上制約網絡營銷的發展。
(四)物流配送風險
在網絡經濟日益繁榮的今天,物流問題成為了制約網絡營銷的一個重要問題。網上交易一般順序如下:網上信息傳遞——網上交易——網上結算(下訂單)——物流配送。在整個鏈條中,物流配送才是唯一的實體行為。由于產品銷售具有分散性、不確定性和不可預測性,這些都增加了物流配送的難度:配送點的布局、人員的配備數量、商品的庫存量等很難合理地確定;保證配送的時效以滿足用戶的即時需求;保證配送的數量。因此,一個暢通的物流配送體系,應該從接到定單時起,就開始了采購、配送和分撥物流的同步流程。每一步都以最合理的時間、最合理的分配、最合理的路線來構建,從而在最大程度上減少產品的積壓和庫存開支。物流配送的好與壞,直接影響到企業網的運作效率、企業的信譽、客戶的滿意度。而目前很多企業的物流能力不強,不能及時與網絡用戶實物交割,產生物權轉移的風險,這已經成為阻礙網絡營銷發展的主要原因。
(五)法律風險
20世紀90年代以來,互聯網的興起為現代企業的經營和管理提供了新思路,網絡營銷收到普遍關注。一方面,互聯網是跨地域、國界的全球性信息網絡,在這個虛擬空間里無法向現實空間那樣規定國家和地區的界限和管轄范圍。另一方面,網絡營銷的雙方主體可以在不同國家和地區的企業和個人之間展開,但各國的適用法律不同,社會文化、風俗習慣又迥然相異,因此造成雙方的交易沖突不可避免。更確切地說,雖然互聯網的飛速發展促進了網絡營銷的強勁增長,但是與之相應的法律法規并沒有同步配套,這些法律法規主要包括:網絡經濟貿易中的法律法規、網站建設中的法律程序、在線交易主體的認定中的法律和程序、電子簽名與認證的操作、電子合同的法律確認、在線電子支付的規則、網絡廣告爭議解決、網上知識產權保護及網絡營銷中消費者權益保護等。由于很多法律存在空白,從而造成一定的風險隱患。
(六)客戶風險
美國著名體驗經濟學家約瑟夫·派恩指出:體驗事實上是當一個人達到情緒、智力、甚至精神的某一特定水平時,其意識中所產生的美好感覺。它涉及人們的感官、情感、情緒等感性因素,也涵蓋知識、智力、思考等理性因素和身體的一些活動。在現代營銷理念中普遍認為:體驗就是企業以服務為舞臺,以產品為道具,以消費者為中心,能夠創造使消費者參與、值得同憶的活動。在傳統的營銷模式中,消費者往往通過視覺、觸覺、味覺等多種感覺來判斷商品的優劣并決定取舍,而在當前虛擬的網絡環境當中只能通過商品的圖片及少量的文字說明來甄別。在這一購買活動中,一旦消費者由于判斷失誤而對購買的商品不滿意,一種可能就是發生消費者漂移現象。所謂消費者漂移,就是消費者從一個產品漂移到另一個產品;從一個場所漂移到另一個場所,從一個品牌漂移到另一個品牌。因而采用動態的、發展變化的視角研究消費心理和消費者漂移問題是科學的、可行的。另一種可能就是,一旦消費者因購物不滿意就會對網上購物產生質疑,進而做出不規范的市場行為,帶給企業的影響和損失也是巨大的。例如,有45%的人認為網上購物沒有真實體驗感,對其質量安全不放心,而寧可花更多的價錢去商場購買,這種消費心理造成了企業網絡營銷過程中的風險。
三、規避企業網絡營銷風險的策略
企業網絡營銷風險的規避,建立在企業準確認識網絡營銷風險基礎之上.而科學的營銷戰略和戰術可以減少網絡營銷企業的經營風險和機會成本。通過對企業網絡營銷風險的具體分析,可以考慮以下幾種防范規避策略:
(一)加強信息安全技術研究
在全球化經濟浪潮中,網絡營銷要取得實質性進展,就必須突破信息安全這一道關卡,加強信息安全研究是我國發展網絡營銷亟待解決的關鍵問題。信息安全體系的重點是必須有先進的技術系統來支持。在安全技術方面,涉及技術標準、關鍵技術、關鍵設備和安全技術管理等環節。國家要組織力量選擇符合我國國情的網絡交易安全技術,積極開發我國自己的網絡安全產品。另外,要加大支付技術上的攻關力度,進一步提高網上支付安全保障。通常系統的安全主要受到假冒,報文被截取(讀取或復制)、修改、重播,報文丟失,報文發送方或接收方否認等威脅。針對這些不安全因素應做好以下防范:(1)安全登入和選擇服務;(2)防止第三方冒充;(3)防止第三方截取報文;(4)使第三方無法修改、替換報文內容,或者使接收方可以發現報文在傳輸的過程中被修改;(5)防止報文的重播和丟失;(6)在系統內進行交換的報文被復制存儲,與報文交換有關的各種活動及其發生的時間均被記錄;(7)相關安全責任的分離,即一人不能負責多項安全事務。最重要的事,要防范網絡營銷中可能存在的風險,必須加強網絡技術研究,改善網絡基礎設施,加快寬帶光纜的建設,全面提高網絡的運行速度,保證信息傳遞的準確、及時與安全。
(二)進行網絡營銷可行性分析
企業戰略是指企業為求得生存和穩定發展而設計的行動綱領或方案,營銷戰略是企業戰略的重點,是對企業市場營銷工作做出的全局性、長期性和方向性的謀劃,從而實現企業目標、資源能力和經營環境三者之間的動態平衡。一個有實際操作價值的網絡營銷戰略,不僅對企業網絡營銷活動意義重大,而且對于制定與網絡營銷活動密切相關的生產、財務、研發、人力資源等計劃也有指導意義。企業網絡營銷可行性分析包括:企業發展的整體戰略、市場潛力、發展方向預測以及風險和可能收益。只有根據企業生產經營的環境因素和內部的經營狀況進行綜合評價和預測,才能得到科學、恰當的分析和評估結果,才能使企業規避風險走向成功。
(三)加強企業經營管理工作
科學化、規范化和制度化是營銷系統管理的方向,營銷系統成員工作質量的好壞直接關系到企業的興衰。為了有效規避網絡營銷風險,企業應加強以下方面的管理工作:首先,企業必須高度關注公司產品質量,做好營銷體系的質量管理工作,包括總部與各分部的工作聯系與溝通,也包括與經銷商、商之間的種種業務來往等,還涉及到產品線與價格體系的規劃、市場需求計劃以及長期和實時營銷策略的制定等。其次,要提升網絡多媒體表現水平,讓消費者真切地感知商品的質量、安全付款,合理選擇物流公司并保證及時完好的把商品送到消費者手中。再次,要提高企業在風險決策、交易管理、危機應急等狀況下提供規范的處理方法和操作機制的能力。最后,網絡營銷中最重要的因素是人的因素,企業要規范員工行為,各司其職、各負其責,從而不斷提高員工的風險防范意識和能力。總之,加強企業的經營管理是有效防范各類風險、減少風險損失的重要手段。
(四)完善網絡營銷的法律法規及信用評估體系
建立完善的立法監督及信用評估體系是促進網絡營銷的關鍵環節。網絡營銷的順利實施離不開法律法規的支撐,國家必須在立法和執法上加大力度。要強化網絡交易安全管理,制定相關的網絡交易標準和管理標準。例如,在網絡商場的市場準入制度、網絡交易的合同認證、執行和賠償、反欺騙、知識產權保護、稅收征管、廣告管制、交易監督,以及網絡有害信息過濾等方面制定規則,規范買賣雙方和中介方的交易行為,嚴厲打擊利用網絡營銷進行欺詐的行為。另外,國家應組建獨立、公正的評級機構,并建立一套科學的信用評級體系,遵循國際慣例與中國國情相結合、傳統研究方法與現代先進評級技術和互聯網技術相結合的原則,對企業的信用進行評估,合格者可以頒發證書并通過媒體或其他方式公示。通過建立完善的立法監督及信用評估體系,從而為網絡營銷健康、有序、高速、和諧地發展提供一個公平規范的法律環境,最大程度地降低網絡營銷風險。
第8篇:網絡安全成熟度評估范文
一、引言
狹義上的區塊鏈技術是基于密碼學中橢圓曲線數字簽名算法(ECDSA)實現去中心化的數據庫技術,將區塊以鏈的方式組合在一起形成數據結構,以參與者共識為基礎存儲有先后關系的、能在系統內驗證的數據。廣義的區塊鏈技術則是利用加密鏈式區塊結構來驗證與存儲數據、利用分布式節點共識算法來生成和更新數據、利用自動化腳本代碼(智能合約)來編程和操作數據的一種全新的去中心化基礎架構與分布式計算范式(Kavanagh D,2015)。區塊鏈的概念首次由Satoshi Nakamoto(2009)在論文《比特幣:一種點對點的電子現金系統》中提出。O’Dwyer(2014)提出應用區塊鏈技術來保護敏感數據、個人隱私等。Kishigami J(2015)等提出將區塊鏈應用到數字內容版權的保護上,改變傳統的CAS和DRM模式。R.Dennis(2015)提出了一種基于區塊鏈的聲譽系統。國內對區塊鏈技術研究剛剛起步,相關著作較少。從實際應用來看,除個別應用開始小范圍推廣外,絕大部分運用仍未走出實驗室。
區塊鏈技術具有去中心化、分布式賬單、可靠安全以及透明公開等特點,使其在數字加密貨幣、金融和社會系統中有廣泛的應用前景,給金融機構帶來巨大的潛力和價值。多國央行、國際金融巨頭、交易所及IT行業巨頭紛紛涌入區塊鏈領域,其投資規模呈現爆發式增長。在經濟金融全球化時代,加強區塊鏈技術在金融領域的應用問題研究,對探索我國金融業務創新與發展具有重要的理論和現實意義。
二、國內外區塊鏈技術研發與應用前景
區塊鏈作為擁有巨大應用潛力的新技術,必將給全球金融業帶來革命性的變革。如何在金融業務創新發展中發揮用武之地,全球金融界正以各種形式開展一系列探索(見表1、表2)。
三、區塊鏈技術對金融業務創新的主要潛在影響
(一)沖擊現有支付機構的平臺功能,改變支付體系和架構
區塊鏈技術具有靈活的架構,可能重塑信用形成機制,尤其是區塊鏈的去中心化機制,即第三方支付的資金監管功能可由“智能合約”自動替代,將沖擊第三方支付的根基,在保證信息安全的同時有效提升系統的運營效率和降低成本,大大提高資金利用率(侯本旗和趙飛,2015)。區塊鏈會使第三方支付逐步被邊緣化,目前已涌現了Ripple和Circle等多種支付清算類應用,特別是像R3CEV聯盟機構,沖擊現有機構如支付寶的平臺功能,并將可能改變現有金融體系中的交易、清算和結算流程(見圖1)。據麥肯錫預測,如在全球范圍內應用區塊鏈技術開展B2B跨境支付與結算業務,則其每筆交易成本可將從約26美元降至15美元。
(二)數據信息不可篡改,彌補現有金融服務功能的不足
區塊鏈系統通過公鑰和私鑰的加密、解密對交易進行處理,交易的主體及交易內容都被記錄在區塊鏈上,任何交易都可被追蹤和查詢,數據信息不可篡改,具有更強的公信力。借鑒區塊鏈和加密技術,核查外部數據源、確認滿足特定觸發條件后激活并執行合約,促進不同系統間的協調,提升數據交換效率(見圖2)。2015年末,納斯達克首次利用區塊鏈技術完成和記錄了一項私人證券交易,從股權交易市場標準結算時間的3天,區塊鏈技術的應用將交易時間從股權交易市場標準時間3天縮短至10分鐘、結算風險降低99%,從而有效降低資金成本和系統性風險。
(三)優化共識機制,提高系統的安全性和私密性
高安全性的智能合約可編程,實現主動或被動的處理數據,接受、儲存和發送價值,以及控制和管理各類鏈上智能資產等功能,即區塊鏈使用散列算法加時間戳(Timestamping),既可保證交易信息的真實性、獨立性和保密性,又為交易提供時間上的證明。如供應鏈金融借助區塊鏈技術的“智能合約”功能自動進行支付,大大降低人工成本并減少因人工交易造成失誤的可能性,極大提高交易效率和安全性。據麥肯錫測算,從全球范圍來看,在供應鏈金融業務中廣泛開展區塊鏈技術應用,可使銀行一年風險成本縮減11―16億美元。
(四)大幅改變信用風險管理模式,具有廣泛金融業務創新的潛力
區塊鏈技術是使用全新的加密認證技術和去中心化的機制,通過新的信用創造方式,大幅改變信用風險管理模式,降低交易風險與成本,實現金融資源優化配置。從技術特性來看,區塊鏈與傳統數據庫既有緊密的聯系又存在顯著差異(見表3),為涉及數據庫應用的行業發展提供了新的技術選擇,兩者的有機結合必將產生強大的融合效應,形成全新的發展模式,在主數據管理、復雜資產交易管理等領域具有廣泛開發的潛力。
(五)降低金融監管的難度與成本,規范市場行為與秩序
區塊鏈的分布式系統具有透明、公開、不可篡改等特性,可做到實時平賬,避免事后審計,降低企業成本,降低結算與支付的出錯率,實時監控每一筆資金的流入流出情況,適用于合規、審計和風控領域,從而為審計和監管單位提供數據透明性。銀行業基于區塊鏈技術可監測分析、識別異常交易,及時發現并能有效防止欺詐、洗錢等犯罪行為。近?啄昀矗?世界各國商業銀行和金融公司為應對日趨嚴格的金融監管要求,不斷加大人力和物力的投入。根據高盛測算,區塊鏈可以驅動全行業因減少人力開支和反洗錢監管罰款而實現30―50億美元的成本節約(見表4)。
四、我國區塊鏈金融業務創新所面臨的困難與挑戰
(一)相關法律法規建設相對滯后
一是區塊鏈的去中心化機制,沖擊了現行的國家監管體制,對現有業務監管體系形成挑戰。將該技術整合至銀行現有制度的成本較高,當數據規模增大時,低效的查詢和挖掘分析將使其數據透明性的優勢形同虛設,鏈狀的數據結構和大量內容的直接記錄將使得擁有反洗錢職能的監管機構也無法在可接受的時間內完成對數據的解讀。二是區塊鏈相關的制度規范、法律法規建設相對滯后,導致市場主體相關活動風險無形中被放大。如智能合約涉及的法律責任界定不明確。智能合約利用計算機代碼在合約方之間闡述、驗證和執行合同,是用代碼來表述,而典型合同是用自然語言起草。當智能合約執行和典型合同之間出現相應糾紛時,涉及法律責任界定就不明確。同時,成熟資本市場和傳統交易所,任何一個金融創新產品上線都有業務所有權人(owner),而智能合約一旦有漏洞,歸屬智能合約開發者負責還是由運行智能合約的平臺來負責,難以界定。
(二)絕大部分運用仍未走出實驗室,建立完善的區塊鏈應用仍面臨眾多技術挑戰
從區塊鏈實踐進展來看,大部分仍處于構想與測試進程中,要獲得市場和監管部門的認可還面臨不少的困難。一是大規模交易與區塊鏈膨脹處置能力問題。由于區塊鏈采用分布式的存儲方式,占用存儲的巨大空間,且去中心化的確認機制,交易時間延遲較長,導致在實際應用中交易量低、對存儲空間膨脹的抗壓能力差。二是智能合約的循環執行與靈活性差。智能合約具有自我循環執行特性,與高頻交易類似,導致顯著放大價格波動;且區塊鏈數據信息一旦寫入,不可篡改,交易后無法退回,靈活性較差,需事先設置例外追索機制。三是競爭性技術挑戰。如在通信領域應用區塊鏈技術,信息傳遞的安全性會大大增強。量子技術也可做到,量子通信――利用量子糾纏效應進行信息傳遞,同樣具有高效安全的特點,近年來更是取得了不小的進展,很可能與區塊鏈技術形成競爭態勢。
(三)區塊鏈技術的監管標準不統一,生態體系較為脆弱
1.區塊鏈缺乏生態體系。目前區塊鏈的各種技術方案五花八門,超級賬本、以太坊等大項目也都缺乏統一的技術標準體系,均處于“各自為政、群雄爭霸”的狀態,甚至與區塊鏈相關的去中心化存儲協議管理、網絡安全性管理等也均尚未形成較為完善的標準方案,許多項目缺乏可靠的實踐數據測試,整個區塊鏈生態體系較為脆弱,仍需進一步健全完善。
2.區塊鏈開發技術、監管標準不統一。由花旗銀行、瑞士銀行等共同組成的R3區塊鏈聯盟試圖制定適合全球金融業使用的區塊鏈技術領域的統一標準,強化在全球金融業中的領先地位。如2016年5月區塊鏈技術提供商Chain和第一資本、花旗集團等金融機構了區塊鏈方面的開放標準,在智能合約框架等方面實現了突破。然而,在全球層面尚缺乏一個統一的技術開發標準,智能合約使用的兼容性等方面將受限制,目前仍缺乏具有可操作性的國際標準促進在區塊鏈上的創新。而我國金融業中針對區塊鏈的標準研究和制訂基本還沒有真正起步,與國際發展存在較大的差距。
(四)風險防范機制尚有待于更深入的研究和設計
1.以天河二號目前的算力來說,產生比特幣SHA256哈希算法的一個哈希碰撞大約需要248年,但隨著量子等新計算技術和各類反匿名身份甄別技術的快速發展,未來非對稱加密算法具有一定的破解可能性,因而需要研究并設計更為安全和有效的共識機制。
2. 我國大量在實際中應用的密碼學產品都來自歐美國家。區塊鏈技術的核心基礎掌握在歐美國家手中,若關乎國家命脈的核心系統構筑在區塊鏈技術之上,則存在著潛在安全風險。如去中心化的運作機制一定程度上削弱了中央政府對金融的控制,有可能危及國家的金融安全。由于區塊鏈的運行節點位于公開網絡上,面向所有參與者,傳統防范網絡攻擊的物理隔離策略已不再適用,對網絡安全防范也必將提出更高的技術處理要求。如2016年6月DAO遭遇黑客攻擊,黑客正常解讀DAO智能合約代碼,利用其中一個遞歸調用函數盜取用戶資金,累計損失360萬個以太幣,近6000萬美元。
(五)顛覆性替代仍具高成本和局限性
1.顛覆性替代仍具高成本和局限性。區塊鏈技術應用初期,將區塊鏈中的智能合約平臺用于現代金融領域,其投入成本與收益之間的關系尚處于未知;區塊鏈去中心化、自我管理、集體維護的特性顛覆了人們目前的生產生活方式,沖擊了現行法律安排,且與現有的運行模式、管理模式還有一段摩擦的過程。如區塊鏈網絡作為去中心化的分布式系統,其各節點在交互過程中不可避免地會存在相互競爭與合作的博弈關系。
2.智能合約代碼向所有參與方公開,影響參與方利益。就許多金融交易形式而言,網絡中非參與方可能會利用智能合約,在其金融交易中囤積或出售智能資產,進而損害參與方的利益。如何設計激勵相容的共識機制,提高系統內非理性行為的成本以抑制安全性攻擊和威脅,是區塊鏈有待解決的重要問題。同時,跨界人才匱乏。從全球來看,既懂區塊鏈又懂金融、法律的跨界人才極度匱乏,均制約了新產品的研發和創新(李鈞和孔華威,2014)。
五、政策建議
(一)加強同業交流合作,積極參與前瞻性創新和國際標準制定
1.積極參與,制定標準。區塊鏈技術仍屬新生事物,需要監管部門牽頭,加強金融機構和互聯網企業的合作,開展區塊鏈技術在金融領域的應用場景研究,并允許個別技術條件較為成熟的金融企業聯合開展實驗性應用,做好相關技術研究儲備。同時,積極參與國際區塊鏈組織的研究交流和標準規則討論,力爭參與研究制定區塊鏈的行業標準,探索應用場景,制定有利于自身發展的區塊鏈應用標準。
2.抓住機遇,投資合作。高度關注國際區塊鏈發展與創新動向,及時調整發展戰略,力爭加入國際區塊鏈系列產品的研究和開發。在?⒓恿?盟制定標準的同時,成立相對獨立的區塊鏈創新實驗室,如與金融科技公司合作成立研發實驗室,重點研究區塊鏈的運用;并可選擇與較為成熟的區塊鏈公司強強聯手,積極推進金融同業的區塊鏈技術應用交流和合作。
(二)?c時俱進,改進金融業監管方式與手段
一是積極開展區塊鏈技術在金融領域應用的立法研究。應加強新技術與金融創新的相關法律法規的國際交流和研究,制定相關標準規范和操作規范,鼓勵商業銀行、非銀行機構和金融交易所聯合開展區塊鏈相關技術合作研究,探索區塊鏈應用場景,制定區塊鏈技術的相關行業標準。二是避免監管過度。監管部門應與時俱進,密切關注行業政策引導與跟進,充分利用區塊鏈金融技術,改進金融業監管方式與手段,規范市場秩序,提高監管的有效性,實現市場各方共存和共贏。
(三)探索和完善區塊鏈技術方案,推進金融業務創新
密切關注并評估區塊鏈技術應用的成熟度、安全性、時效性等,協同開發區塊鏈應用架構,如基于區塊鏈技術探索推動票據、股票等的應用場景模擬實驗,提升票據交易和證券交易的安全性和效率。進一步探索和完善各種技術方案、應用場景和商業模式,探索基于區塊鏈技術的金融創新業務應用場景,選擇交易關聯簡潔、業務成熟度高、技術應用提升效果明顯的應用場景作為切入點,盡快打造適合我國金融體系特點的區塊鏈技術方案。重點在跨行結算、跨境支付、證券發行和數字票據等方面加強研發,構筑若干通用型的應用服務平臺,為金融業務創新提供相應的應用支持。
(四)完善相應的保障體系,為金融業務創新提供可靠的支撐
第9篇:網絡安全成熟度評估范文
智能電網從提出至今,尚沒有一個統一的概念.不同國家和地區根據自身電網的特點和發展的需要,制定了相應的智能電網發展規劃H;不同科研機構和學者根據自己的理解闡述了具有學科特色的智能電網;不同的公司作為參與智能電網建設的商業主體,從自身的業務范圍和經營利益出發描繪了智能電網應具備的功能和特點.
雖然各方對智能電網的定義并不相同,但其基本思想大體上可以表述為通過數字化和信息化將電能的生產、輸送、分配和使用等各個環節緊密聯系在一起,通過智能化的控制實現“經濟高效、靈活互動、友好開放、清潔環保”的新一代電力系統.其中,信息化是實現智能電網基礎功能的重要前提.隨著信息技術在電力系統基礎設施和高級應用中的深度滲透,相互依存的信息網和電力網將成為未來智能電網的重要組成部分.
可以預見,隨著智能電網實踐的深入,電力企業和電力用戶側的信息化將得到極大的提高.對電力企業而言,信息化的深入為企業帶來更高的生產效率和管理水平;對電力用戶而言,信息化的普及則意味著更經濟的用電方式和更好的用戶體驗.然而,信息化的深入和普及在為電力企業和用戶帶來眾多利好的同時,也給智能電網的運行安全埋下諸多隱患.一方面,信息技術發展十分迅速,許多技術發展過程中遺留的安全漏洞并沒有得到有效解決,甚至還有不少尚未發現的安全隱患[13-16],近年來發生的利用信息網絡攻擊工業系統的重大事件更是引發了廣泛的關注和擔憂[1748];另一方面,信息網和電力網相互影響和作用的機理目前尚不明確,針對二者構成的相互依存復合網絡脆弱性的惡意攻擊很有可能造成大范圍的連鎖停電事故.因此,有必要分析智能電網運行過程中的信息安全隱患,并從復合網絡的角度探討信息安全對電力系統生存性的影響.需要說明的是,有關智能電網信息安全的研究,筆者在文獻中已從復雜網絡的角度予以綜述和展望,而本文則從電力信息安全的角度思考未來電網安全性問題,即可認為是對文獻的有益補充和深入.
本文首先介紹了智能電網信息化條件下的網絡特征,分析了信息化背景下智能電網中存在的安全性問題,并針對各類隱患預想了特定攻擊條件下可能的安全性事故場景.進一步,探討了信息網絡安全對電力系統生存性的影響.最后,討論了提高智能電網信息安全水平和電力系統生存性的可行對策和改進措施.
2智能電網網絡特征(Networkcharacteris?ticsofsmartgrid)
未來智能電網從總體上可以視為由信息網和電力網這兩個相互依存的網絡構成的一個復合網絡,如圖1所示.
為了敘述方便,將電力網中的節點簡化為電源節點和負荷節點兩大類,二者通過輸電線進行連接.在雙向通信的條件下,將信息網絡中的節點也簡化為兩類:一類是信息釆集/指令執行節點,負責對控制范圍內的負荷和電源的狀態信息進行釆集和上傳,并根據接收到的控制指令對負荷和電源節點的狀態執行調整操作;另一類是信息處理/指令生成節點,負責對釆集到的信息進行匯總分析和生成控制指令.信息網絡中的節點通過光纖和無線網等實現連接.
電力網和信息網的相互依存主要體現在兩個方面:信息網絡中節點的正常運行需要電力網中鄰近的電源節點提供工作電源;電力網絡的安全、可靠、經濟運行有賴于信息網中各節點的正常工作.
從網絡的規模來看,電力網和信息網均屬于超大規模的復雜網絡.文獻指出,復合網絡的運行安全風險在某些情況下遠大于單一的復雜網絡.從這個角度來看,智能電網的安全性不容忽視,這其中,信息網絡的安全性則是重中之重.主要原因如下:
1) 從網絡發展的成熟度來看,信息網存在的安全隱患更多.即使在信息技術高度發達的今天,信息網絡中仍有許多已知的安全漏洞尚未解決,且還會出現更多的新漏洞,這為攻擊提供了許多可能的渠道.與之不同的,對電力網的攻擊往往需要借助于物理手段,攻擊的成本比較高,且受天氣和地理條件的限制較多.
2) 從運行過程中的相互依賴關系來看,電力網的正常運行對信息網的依賴程度更高.電力網中電源節點出力的調整和負荷節點的投切等操作均是借助于信息網絡來實現.如果信息網絡出錯或崩潰,電力網絡一般很難保持正常運行.另一方面,信息網絡雖然需要借助于電力網絡的電源支持,但由于重要的信息網絡通常配有不間斷電源系統,短時停電并不會對信息網絡造成大的影響.
3) 從網絡故障的傳播特性來看,信息網的故障更容易造成大范圍的停電.由于信息流動的成本遠低于能量流動的成本,這使得信息網絡比電力網絡具有更強的互聯互通性,信息流可以在較大的范圍內頻繁地進行交互.因此,信息網絡出現故障時受影響的范圍將更為廣泛.
智能電網的網絡結構決定了其運行風險既來源于電力網絡的安全性,也來源于信息網絡的安全性,而這其中,信息網的安全及其對電網帶來的運行風險需要引起大家的高度重視.
3智能電網信息安全(Smartgridinformationsecurity)
智能電網信息化的主要特點可以歸納為兩個方面,一是對傳統電力系統中發電、輸電、配電、用電等各個環節的高度信息化,二是促進“售電”和“受電”參與各方的信息互動化.信息化為未來智能電網的安全運行帶來了許多問題:
1)信息釆集環節的安全性.在智能電網中,各類高級傳感器和測量表計將廣泛用于對電力系統和電力用戶狀態進行監測.電力系統和用戶狀態的高度信息化為保障智能電網的安全、可靠和經濟運行提供了重要基礎.比如,借助于各類智能表計釆集的大量數據,可以對電網設備的健康狀況和電網的完整性進行評估,對潛在的危險進行預警和有效的規避,還可以通過智能表計實時電價和優惠政策,實現與用戶的溝通,協助用戶制定經濟的用電策略.
未來的智能電網將取消所有的電磁表計及其讀取系統,取而代之的是可以使電力公司與用戶進行雙向通信的智能固態表計.出于成本的考慮,智能表計一般不會加入復雜的加密技術,這導致智能表計比較容易被破解和控制.一旦這些設備受到控制,則攻擊者既可以利用其向電網提供虛假用電信息,影響電網供給;又可以通過其向用戶提供不合理的電價信息,影響用戶側的用電方式.極端情況下,還可以使大量智能表計與電網斷開通信,使電網無法實時掌握系統用電情況,從而造成更大的事故.
2) 信息傳輸環節的安全性.建立高速、雙向、實時、集成的通信系統是實現智能電網的基礎.一方面,大量從智能表計獲得的數據需要通過高速通信網絡及時地傳輸到數據處理中心;另一方面,電力企業也需要將電價信息和相關優惠政策通過通信系統實時地進行.相比于傳統電網,智能電網中需要監測和控制的設備數量更多,分布更廣.為了實現全面和實時的監控,成本低廉的無線通信網和分布廣泛的公用因特網將在智能電網通信系統中占有越來越多的比重.通過無線網絡和公用因特網可以方便地構建多通道的冗余通信網絡,從而實現可靠的通信.然而,電力系統中公用網絡的大量接入為惡意攻擊提供了更多的入口.由于無線網絡的安全標準目前尚處在早期應用階段,有許多已經暴露出來的安全性漏洞還沒有得到妥善解決,信息傳輸的安全性還有待進一步提高.文獻[13]指出,只需要70美元左右的成本即可對基于IEEE802.15.4無線傳感器網絡發起一次拒絕服務攻擊.此外,對于專業的攻擊者而言,多入口的公用因特網環境為發起多點協調的攻擊提供了可能性,這將為電網和用戶帶來更大的危害.
3) 智能控制的安全性.從電網側來看,智能控制系統可以利用搜集到的各類信息對電網狀態進行分析、診斷和預測,并及時采取適當的措施對電網運行狀態進行調節,使之運行在安全、可靠和經濟的狀態;從用戶側來看,內嵌有智能控制技術的家用電器,如熱水器、空調和電動汽車等,可以根據電網狀態自動調節用電計劃,從而獲得實實在在的經濟利益.此外,公共用電場合,如公交汽車充電站、寫字樓等還可以通過其中用電設備之間的智能協調控制來降低整體用電成本.然而,上述應用成功的前提條件是智能電器的控制權得到正確的使用,如果智能電器之間的信息交互安全性缺乏保障,則很有可能被攻擊者利用,不僅電器不能正常工作,還很有可能因大量電器的控制權被攻擊者獲取用于對電網負荷形成較大規模的沖擊.
4) 電網和用戶互動環境下的安全性.智能電網的重要特征之一是鼓勵用戶參與,實現電網和用戶的互動化.電網通過將用戶納入電力系統的運行和管理以更好地實現供需平衡關系,提高系統運行的可靠性和經濟性.而用戶則根據其電力需求和電力系統當前的狀態來制定科學的用電方式,從而獲得經濟上的收益.這一互動過程使得用戶用電行為受系統狀態的影響也越來越廣泛.專業的攻擊者可以利用互動過程對電力系統造成更大的破壞.比如通過信息網絡向用戶側虛假的低電價信息,使得大量智能負荷,如電動汽車充電站、智能熱水器和智能空調等,同時啟用造成系統過負荷;與此同時,通過控制傳感器網絡向電網側提交偽造的低負荷信息使得電網減少電力供應,從而對電力系統的穩定和用戶的用電安全造成巨大的危害.
5)其他安全性問題.出于信息交互的需要,每個家庭的用電負荷、設備構成以及用電規律等個人隱私將出現在信息網上.同時,電力市場化的需要使得電力企業的實時電價政策等重要信息也將在網絡上傳輸.這些信息均有可能被不法分子截獲、篡改甚至用于其他非法用途.
4信息安全與電力系統生存性(Informationsecurityandpowersystemsurvivability)
一般而言,生存性是指系統在遭受攻擊、出現故障或發生意外事故時,依然能夠及時完成任務的能力[22].未來智能電網從宏觀上看將演變成一個由信息網和電力網為主體的復雜交互網絡.在發生系統內部故障、惡意攻擊以及自然災害等情況時均有可能導致電網瓦解,進而引發大面積停電事故.因此,為了保障電力系統的安全運行,不僅要控制和消除電力系統信息化新元素帶來的安全隱患,還要從系統完整性的角度研究系統局部失效或遭受攻擊之后整個系統的生存性.
信息安全對電力系統生存性的影響主要表現在以下兩個方面:
1)網絡間功能的強耦合性.一方面,分布廣泛的信息網絡需要與之配套的電力網絡為其提供工作電源.另一方面,電力網絡中幾乎所有功能的實現都需要借助于信息網絡提供的服務.電力網和信息網的這種強耦合性,使得大停電事故更加容易發生.例如,通過對信息網中的關鍵節點發動攻擊,使得相應的電力網絡中的關鍵電廠停機或重要輸電線出現過載,可以造成與該信息節點對應的電力節點失效.換言之,在智能電網條件下,信息網絡和電力網絡之間的故障可以相互轉化.由于信息網絡目前具有許多已知安全漏洞,可以用來發起攻擊的入口很多,且不受時間、地點和天氣等因素的影響,所需成本極低且攻擊手段更為隱蔽,因而對電力系統的危害性也更大.因此,未來對智能電網的攻擊形式很有可能從傳統的對物理電力系統的直接攻擊轉為對與之相對應的信息系統的攻擊.
2)網絡間故障的傳播性.目前,關于電力系統連鎖故障的研究已有了許多成果,但研究對象大多局限于電力系統內部傳播的故障.在信息網和電力網相互依存的智能電網中,故障的傳播形式有了更多的可能性.對于相互依存兩個網絡,當其中一個網絡中的某個節點失效時,將會引發另一個網絡中相關節點的失效.隨著這一過程在兩個網絡中的交替出現,失效節點數將迅速增加,網絡出現大面積故障,最終導致全網崩潰.值得擔憂的是,未來的智能電網為網絡間故障的傳播提供了很好的平臺.文獻[21]指出,相互依存網絡和單一網絡的復雜性特征也有很大的不同.比如對于單一網絡而言,網絡的度分布越平均,則其對于隨機故障越魯棒,而對于相互依存的網絡而言,網絡的度分布越平均則其對于隨機故障越脆弱.這表明,對于由相互依存網絡構成的智能電網,其內部故障傳播的條件也與以往研究中的單一電力網有了很大的不同.需要指出的是,文獻[21]中構成復合網絡的兩個子網絡均采用的是隨機圖模型,而對于智能電網這一具體的復合網絡,其中的信息網多為無標度網,電力網則多呈小世界網,一旦信息網絡出現連鎖故障,更容易造成全網出現崩潰.
5建議和對策(Suggestions)
1) 加強信息安全技術研究.智能電網的信息安全需要從信息的采集、傳輸、處理和交互等各個環節加強保障.針對智能儀表數據采集和儲存開展數據加密存儲和傳輸的研究;開展對無線網絡中安全傳輸協議以及有線網絡中防火墻技術和安全認證技術的研究;完善網絡與信息安全預警、通報、監控和應急處置平臺,形成有效的安全技術防護體系.
2) 制定信息安全標準體系.目前,國外關于智能電網信息安全標準體系的研究已經走在了前列.在加強對國外相關安全標準的研究和借鑒先進的研究成果的同時,還應由既了解我國電網實際情況,又了解信息安全的專家組對我國信息安全標準體系進行科學的規劃,以此為指導制定信息安全標準體系.同時,還要推進信息安全標準在行業內的合理部署和實施.如此,則有望避免智能電網的無序建設引入的大量安全隱患.
3) 完善相關的政策法規.智能電網的建設牽涉到政府、用戶、電力企業、IT公司和設備制造商等眾多參與者.政府需要根據參與各方在智能電網中扮演的角色制定合理的政策.通過出臺政策規定各方應承擔的責任和義務,同時要制定相應的法律法規來規范參與各方的行為,切實保護用戶隱私和電力企業關鍵信息的安全,使智能電網的建設和運營更加的科學、有序.
4) 建立信息安全培訓體系.對于大多數用戶而言,信息安全還是一個十分復雜的概念,而用戶作為智能電網中參與數量最多的一個主體,其安全意識的高低直接影響到智能電網運行的整體安全水平.因此,完善的信息安全培訓體系是提高智能電網信息安全的重要保障.
5) 加強對相互依存網絡相關理論的研究.如前所述,全面地掌握相互依存網絡的行為特性是防止未來智能電網發生大停電事故的前提,為此需要研究并解決很多關鍵科學問題.如相互依存網絡的靜態和動態特性的數學描述模型;相互依存網絡故障傳播的理論和分析方法;相互依存網絡的脆弱性、可靠性等指標評價體系.此外,不同國家和地區的電力網和信息網的發展水平和網絡特點也不盡相同,需要結合實際情況進行建模和分析.
