当期目录

2018年 第4卷 第10期    刊出日期：2018-10-15

上一期    下一期

特别策划

特朗普政府网络安全政策走势 及中国应对方略

檀有志

2018, 4(10):  870-880. 

摘要 ( )   PDF (1337KB) ( )  

参考文献 | 相关文章 | 计量指标

冷战结束以来美国政府在网络安全政策上不断强化逐步完善，特朗普政府初期出台的各种网 络安全相关政策举措彰显审慎务实风格，未来其网络安全政策走向或将表现出更为显著的“关注 强度”与“交易力度”。这既是立之于对美国当前网络安全基本生态的整体性把握，也是基于对 特朗普总统个人性格偏好的科学性认知。近年来中美两国在网络安全相关问题上龃龉不断，特朗 普政府未来网络安全政策走向可能给中国国家利益带来错综复杂的潜在风险。着眼于良性建构中 美网络竞合关系，中国宜双管齐下加以应对：一方面“速立制”，聚焦网络主权概念以赢得战略 主动权；另一方面“广聚智”，发掘网络安全智力资源以打造国际话语权。

风险评估专题

智能联网设备身份认证安全风险评估

周荆 李青山 陈钟

2018, 4(10):  881-888. 

摘要 ( )   PDF (3295KB) ( )  

参考文献 | 相关文章 | 计量指标

随着智能联网设备的普及，其安全问题日益凸显。目前，智能联网设备与局域网内的控制器之间的通信过程普遍存在身份认证风险，使得攻击者可以冒充控制器，控制智能联网设备执行恶意指令，对智能联网设备的安全性构成了严重的威胁。本文提出了一种智能联网设备的身份认证脆弱性识别方法，并以两家厂商的智能联网设备为例，对其存在的身份认证脆弱性进行了识别。进一步地，我们还提出了一种简单的身份认证方法用以有效规避目前智能联网设备存在的身份认证风险。

风险评估服务能力成熟度模型研究

孙明亮 位华 王琰

2018, 4(10):  889-897. 

摘要 ( )   PDF (2485KB) ( )  

参考文献 | 相关文章 | 计量指标

信息安全风险评估服务是我国信息安全保障工作的重要环节之一，信息安全风险评估技术手段一直为行业内所推崇。目前，因多方面因素影响，信息安全风险评估服务能力的水平在地区、行业间等呈现参差不齐的现象。结合SSE-CMM理论及信息安全风险评估服务的最优实践，提出风险评估服务能力成熟度模型概念，即RAS-CMM。RAS-CMM围绕资源配置、技术过程、项目管理等能力因素对风险评估服务能力等级提出理论评价框架。

网络安全风险评估在电子政务中的实践

刘璐 贺强

2018, 4(10):  898-903. 

摘要 ( )   PDF (1815KB) ( )  

参考文献 | 相关文章 | 计量指标

电子政务系统已成为城市建设、运行、管理、服务、保障、应急的重要基础，涉及国家安全、经济命脉、社会秩序和公共利益的网络与信息系统.系统的安全稳定运行已经成为确保城市信息化正常运转的重要基础，对于保障城市安全、社会稳定具有重要意义.电子政务系统多数定义为重要的信息系统，并且开展了信息安全定级备案、安全测评等工作，但是仍存在较多安全风险，包括重建设、轻运维、日常安全运行保障能力不足；信息安全保障水平参差不齐、信息安全短板明显；信息安全管理制度落实不足，存在较多管理漏洞；容灾备份体系建设不足，缺少应对重大安全事件的能力.依据发布的风险评估相关准则、规范和指南针对电子政务信息系统进行风险评估，从资产、威胁、脆弱性等多方面进行评估，了解政务信息系统当前的安全现状，为政务信息系统后续的安全整改建设奠定基础，保障政务信息系统安全、稳定和可靠的运行.

电力行业工业控制系统信息安全风险评估研究

魏晓雷 刘龙涛

2018, 4(10):  904-913. 

摘要 ( )   PDF (3885KB) ( )  

参考文献 | 相关文章 | 计量指标

摘要简要地分析了电力行业工业控制系统面临的信息安全威胁，列出了电力行业工业控制系统主要的安全问题，并在此基础上建立了工业控制系统信息安全风险评估与管理模型，提出了工业控制系统信息安全风险评估的方法和流程，总结出了一套针对工业控制系统的信息安全风险评估解决方案，并阐述了关于风险评估和工业控制系统网络安全工作的一些新认识，进一步分析了工业控制系统网络安全脆弱性，借此提请有关单位和有关主管部门应进一步明确和规范工业控制系统信息安全风险评估工作的管理，加强有关评估标准、技术的研究，增加面向专业测评机构和用户单位的技术培训，推动我国工业控制系统信息风险评估工作的发展.

基于博弈模型的物联网系统漏洞风险评估

韦早裕 吴鸣旦 马楠 雷敏 毕伟

2018, 4(10):  914-921. 

摘要 ( )   PDF (2129KB) ( )  

参考文献 | 相关文章 | 计量指标

随着区块链热度的提高，分布广且数量多的物联网终端设备更易于被攻击而形成挖矿的僵尸网络，物联网系统的安全性愈加受到人们的重视.准确的风险评估和针对性的安全防护是确保物联网系统安全的关键.结合物联网系统的多个攻击层，针对基于多种漏洞组合的攻击策略，构建物联网系统攻防博弈模型，提出攻防收益与成本的量化方法.并运用博弈模型综合分析攻防双方的收益期望，以较低复杂度定量计算物联网系统中的漏洞危害，从而能准确地评估物联网系统特定攻击层的安全风险.最后，通过实例分析证明该漏洞风险量化分析算法的可行性.

OCTAVE风险评估方法在电子政务外网的应用

葛晓囡 林玉堂 黄振博 王焱

2018, 4(10):  922-927. 

摘要 ( )   PDF (1541KB) ( )  

参考文献 | 相关文章 | 计量指标

介绍一种基于OCTAVE的信息安全风险评估方法，包含创建基于资产的威胁轮廓、确定基础设施漏洞、制订安全战略和环节计划3个阶段，阐明该方法的8个具体过程.通过与NIST方法对比，凸显该方法自主进行、可操作性强的优势.最后，结合电子政务外网系统特点，详细描述OCTAVE方法在电子政务外网系统的风险评估中的应用.创建基于资产的威胁轮廓，针对基础设施漏洞制定安全策略和环节计划.包括组建合理的安全管理机构、严格执行管理制度和背景调查规定及建立严格的系统防护措施.

信息安全风险管理标准体系研究

高亚楠 刘丰 陈永刚

2018, 4(10):  928-933. 

摘要 ( )   PDF (1732KB) ( )  

参考文献 | 相关文章 | 计量指标

信息安全风险管理是我国信息安全保障工作开展的重要基石.通过对当前国内外信息安全风险管理标准体系制定情况的调研，分析新形势下既有标准体系存在的问题，提出了新形势下风险管理标准体系的科学构建方法和体系框架，旨在进一步提高我国信息安全风险管理相关工作的科学性和实用性.

信息安全风险评估实施模型研究

张益 霍珊珊 刘美静

2018, 4(10):  934-939. 

摘要 ( )   PDF (2455KB) ( )  

参考文献 | 相关文章 | 计量指标

信息风险评估是风险管理和控制的核心组成部分，但实施过程中存在一些问题.基于正在修订的国家标准，针对评估实施中的问题，提出了高阶信息安全风险评估、详细信息安全风险评估和先详细信息安全风险评估再高阶信息安全风险评估3种实施模型.通过3种模型的研究，探讨不同情况下如何更好地开展信息安全风险评估工作，并将标准修订核心内容落实到工作环节中.通过实际案例表明，3种模型能够有效解决当前评估对象受限、缺少针对业务层面的信息安全风险评估、缺少业务或组织整体风险评估的依据或方法等问题.3种模型能够有效地指导信息安全风险评估工作，满足从资产到业务、从个体到整体等不同方面的评估需求，为决策和实施安全措施提供可靠的依据.

商业银行信息系统安全风险识别与风险库研究

郭汉利 张辉 杨宝辉 顾呈页

2018, 4(10):  940-945. 

摘要 ( )   PDF (1793KB) ( )  

参考文献 | 相关文章 | 计量指标

风险识别是商业银行信息系统安全风险管理的基础，风险被识别后才能进行有效管理.目前业界缺少可操作性强的风险识别方法和通用的信息系统风险基础库，导致风险管理更多以控制为核心而非以风险为核心.通过借鉴国内外业界标准和实践，深入分析大量信息系统安全风险事件，建立风险要素模型、风险识别方法和风险数据库，统一风险认知，实现对信息系统安全风险的有效识别，明确风险管控目标和重点，提高银行信息科技风险管理水平，增强风险管控能力，支持银行金融科技创新和发展.

信息安全风险评估服务资质认证发现

王笑 成林芳 翟亚红

2018, 4(10):  946-953. 

摘要 ( )   PDF (1903KB) ( )  

参考文献 | 相关文章 | 计量指标

摘要对于对外提供信息安全风险评估服务的组织来说，通过信息安全风险评估服务资质认证是体现其技术与管理能力的重要方式.中国网络安全审查技术与认证中心在对外开展风险评估服务资质认证过程中，发现大多数组织在实施风险评估项目的过程中往往存在缺乏依据、不够客观、说服性不足等问题，在风险评估结果输出时，往往偏重于各种图表及计算模型的罗列，而缺乏相应的文字解释说明.将对发现的问题进行说明，同时基于风险评估工作实践给出问题解决和处理思路，推动信息安全风险评估技术实践及标准不断完善，提高信息安全风险评估服务能力.

法律法规

西部少数民族地区网络舆情治理研究

曹吉明 赵文成 李登楼

2018, 4(10):  954-958. 

摘要 ( )   PDF (1531KB) ( )  

参考文献 | 相关文章 | 计量指标

西部少数民族地区由于民族宗教与历史文化的诸多问题交织而成为我国舆论安全链条中最为关键的环节，进而该地区网络舆情变化态势也成为舆情研究的重点领域.由于境外网络舆情虚假的、不良的信息影响，加之宗教极端势力利用境外网络进行渗透，这种巨大的影响极大地增加了网络舆情引导的难度，因此对于西部少数民族地区网络舆情的治理就显得格外重要.从西部少数民族地区网络舆情的地域性、复杂性、政治性、敏感性、国际性等突出特点出发，通过阐述当前西部少数民族地区网络舆情方面可能所存在的问题，进而来对该地区出现网络舆情的影响因素进行论证分析，最终探索出一条属于西部少数民族地区网络舆情治理的合理有效途径.

我国工业控制系统信息安全政策和标准体系架构研究

安高峰 朱长明 雷晓锋 李亚楠

2018, 4(10):  959-964. 

摘要 ( )   PDF (2263KB) ( )  

参考文献 | 相关文章 | 计量指标

中国制造2025、“互联网+”等战略的实施推进，使工控系统存在的信息安全问题日益突出.究其根源，工控安全相关标准不成体系、对实际工作的指导缺位是主要因素之一.在调研我国信息安全国家标准体系建设现状、整理国内工控安全相关标准的基础上，通过研究国际工控安全相关标准体系，结合国内工控安全需求的实际情况，梳理出了我国工业控制系统信息安全标准体系架构.该体系架构可作为企事业单位规划建设工控系统安全防护体系、制定工控系统安全管理规范、定期开展工控安全自检等活动提供参考及指导，切实提高企事业单位工控系统信息安全的保障能力.