2019-2020年度工业信息安全形势分析报告

2019-2020年度工业信息安全

形势分析

2020年1月

未来一段时期，我国工业信息安全发展的主要趋势和发展展望。

对我国工业信息安全发展提出的发展路径、政策建议、解决方案等。

2

主要内容

01 基本情况 2019年全年国内外工业 信息安全发展基本态势， 包括战略、政策、事件、漏洞、技术、产业等方面主要进展和突出特点。 02问题挑战

当前时期，我国推进工业信息安全发展面临的外部风险、挑战，内部存在的矛盾、问题和短板。

03发展趋势

04对策建议

2019基本情况

各国工业信息安全相关政策举措更加具体实操

1

以工控系统、工业互

联网为对象

8月

国土安全部网络与基础设施局 ? 战略意图文件将工控安全作为优先事项 8月

《国家网络安全行动计划 （2019-2024）》

? 要求公共安全和应急部门提供工控安全威胁和态势信息； ? 加强技术培训以增强工控系统弹性；

? 成立工控系统咨询委员会

10月

《国家网络安全行动计划 （2019-2024）》

? 聚焦工控系统，指出人员、流程和技术是防护三大挑战并提出对策

3

以能源领域为重点

与5G 供应链安全相关联

2月

德国联邦网络局

? 将对5G 等网络适用的设备建立安全认证制度

3月

欧盟委员会

《5G 网络安全建议书》

? 建议欧盟国家采取方法确保5G 网络安全， 阐述成员国层面和欧盟层面确保5G 网络 安全的方法和程序 5月

《布拉格提案》

? 强调5G 技术和设备供应链安全，建议考虑第三国政府可能对供应商施加影响的风险 9月

美国和波兰签署《5G 安全联合声明》

? 要求对电信供应商严格评估，评估5G 供应商是否收到外国控制

5月

国家标准与技术研究院

《工业物联网安全：基于场景的能源部门网络安全》

? 防范工控恶意软件感染，确保能源系 统数据安全，保护分布式能源系统免 于受阻

6月 参议院

《能源基础设施安全法案》

? 保护电网免受网络攻击，建立试点项 目寻找电网漏洞

北美电力可靠性 委员会

8月 《网络安全事故报告和响应计划指令》 ? 明确北美大型电力公司网络安全事故

报告义务，细化电力网络安全防护要

求

9月

《2019第105号法令》

? 要求电信运营商通报关基信息，确保关基安全

2 勒索病毒、APT 等网络安全威胁对工业影响加剧

? 每月受攻击率约为20%

? 欠发达地区受攻击比例远高于相对发达地区;

3月，英国

核电公司受网络攻击

3月，挪威

Norsk Hydro 受勒索病毒攻击

中国 40% 36.0% 36.6% 36.7%

34.2%

3月，美国 Hexion 、

35% 30%

37.2%

35.9% Momentive 受勒索病毒攻击； 电网遭受Dos 攻击

25% 22.3% 22.5% 22.6% 3月，7月，委内瑞拉

古里水电站遭攻击

20% 15%

22.9% 20.6%

19.7%

10月，印度 核电公司感染

对汽车厂商APT 攻击集中出现

2019年全球受攻击的工业主机比例

? 数量：超过10次

恶意软件

=

? 区域：美国、英国、印度、委内瑞拉、南非 ? 领域：电力、天然气、石油等领域

宝马、丰田、现代

4

勒索软件对工业企业的影响加剧

能源是首选攻击领域

针对工业域的网络攻击保持高发

4月，瑞士

大型制造企业Aebi

Sschmidt 受勒索软件攻击

春季，德国

宝马汽车公司的网 络系统遭“海莲花” 入侵

6月，比利时

艾默生比利Zaventem 工厂受勒索病毒攻击

2月，东京

丰田汽车公司IT 系统 遭“海莲花”入侵

2 勒索病毒、APT等网络安全威胁对工业影响加剧

俄罗斯首次国家级断网演习顺利开展俄罗斯主权互联网法案正式实施12月11月

普京签署“俄罗斯独立主权互联网”法案计划建设独立的国家域名解析（DNS）系统

和Runet独立互联网，计划在2020年控制

全国95%以上的网络流量

俄罗斯主权互联网法案提出6月

5月

2019年

11月

2018年

6月15日

美加大对俄电网渗透

6月20日

美国定向瘫痪伊朗火

箭导弹发射控制系统5

国家间网络战从幕后走向台前，俄罗斯国家级断网演习获得成功

3 工业控制系统安全漏洞持续增多并呈现多样化特征

PLC, 16.9%

资料来源：中国国家信息安全漏洞共享平台（CNVD ）

资料来源：中国国家信息安全漏洞共享平台（CNVD ）

其他, 36.4%

DCS, 16.9%

高危漏洞

危漏洞

有厂商修复

无厂商修复

SCADA 软 件, 10.1%

6

58.7%

45.3%

42.3%

2014年-2019年的新增工业控制系统漏洞数量

拒绝服务漏洞缓冲区溢出漏洞信息泄露漏洞内存破坏漏洞 DLL 劫持漏洞不当身份验证漏洞

51 49

10

20

30

40

50

其他, 25.1%

研华科技, 8.0%

西门子, 36.7%

施耐德电气, 8.9%

51.1%

中危漏洞

低

涉及多个品牌的多种产品

多种类型的安全漏洞被挖掘 工控系统安全漏洞持续增长 108

133 191

351

442

567

19 17 12 12

4 政策体系和安全保障工作机制初步形成

顶层设计 技术支撑

标准体系 安全评估

7

常态化安全评估机制逐步建立

? 国家层面，持续开展针对工业互联网安全、车联网安

全、工控安全的检查评估

? 地方层面，河北、河南、陕西等地开展工控安全检查

评估

安全标准供给体系进一步加强

? 《工业互联网综合标准化体系建设指南》 ? 国家标准：“等保2.0” 《信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法》等7项标准发布。

? 行业标准：《工业互联网平台安全防护检测要求》《工业互联网平台安全风险评估规范》 《工业互联网 安全服务机构能力认定准则》等 加快制定。

顶层设计加强，实操举措出台

? 《加强工业互联网安全工作的指导意见》 ? 《工业互联网企业网络安全分类分级指南 （试行）》（征求意见稿） ? 《工业控制系统信息安全防护建设实施规范》

技术支撑体系完善，安全监测平台发布

? 国家级工业互联网安全监测平台初步建成，与山东、江苏、广东等18个省级平台对接，覆盖设备 3000余万台，海尔、树根互联、360等建立企业级 平台

? 国家工控安全监测平台覆盖8个省级平台、200个企业节点

5 工业信息安全技术创新和产业发展动力强劲

创新工程

2年支持超过100个安全项目，促进工业

互联网等重点关键领域核心安全技术突破

，撬动社会资金投入超百亿元。

2019年工业互联网创新发展工程安全方

向共14个

试点示范

4月，部网安局试点示范项目关注工控安全与工业互联网安全；

11月，《关于开展2019年工业互联网 试点示范项目推荐工作的通知》政府支持社会推动

联盟平台

工业信息安全发展联盟

工业互联网产业联盟

中国网络安全产业联盟

安全赛事

2019年工业信息安全技能大赛

?“护网杯”2019年网络安全防护赛暨

第二届工业互联网安全大赛

?“天府杯”2019国际网络安全大赛

2019年北京网络安全大会

2019首届中国工业互联网大赛

校企协作

神州绿盟、安恒信息、奇虎测腾等安

全企业入选2019年教育部产学合租协

同育人项目

2019基本情况

全） 元

投资

2.98亿

4.49亿元

2019.01.07 奇安信（360企业安 B 轮融资9亿元

中电基金和网安基

安全厂商与自动化厂商等加强合作。

93.9 亿

2019.02.10 绿盟科技 2019.02.19 烽台科技 金投资10.08亿 首轮天使融资，金额未公开

威努特&Moxa

奇安信&沈阳工业大学

70.32 亿

2019.03.11

长扬科技 数千万元A+轮融资 2019.03.18 上海观安

B +轮融资1亿+元获战略投资37.31亿 ? 天融信&中控科技等

52.65 2019.04.12 奇安信 元

43.36 亿

亿

33.55%

29.03%

25.69%

2019.04.12 迪普科技 完成IPO 上市融资

2019.04.19

绿盟科技 获得启迪科服战略

2019.05.16

烽台科技 获得Pre-A 轮融资 2019.06.21 融安网络 A 轮融资数千万元 2019.08.17 安博通 完成IPO 上市融资

2019.09.30 山石网科 IPO 上市融资近9亿 2019.10.15

长扬科技 Pre-B 轮融资数千万

2016年 2017年

2018年 2019年（预计）

? 政策红利释放、安全态势倒逼、企业意识 提升共同促进产业规模提升

2019.12.09

齐安科技

千万元级天使轮融资

? 工业信息安全市场投融资活跃，集团型 公司对工控安全领域进9行战略投资

安全厂商渴望植入“工业基

因”

工业信息安全市场投融资活跃 工业信息安全产业整体规模保持高速增长

6 预计产业规模增速30%，

整体规模逼近百亿

2019.10.25 天地和兴 C 轮融资近2亿元 2019.11.05

安恒信息 IPO 融资近10亿元 2019.11.12 珞安科技 A 轮融资数千万元

2018年网络安全行业深度分析报告

２０１８年网络安全行业深度分析报告

报告摘要 网络安全重要性不断凸显，包含云安全的行业规模有望达数千亿 ?数量不断增长的数据中蕴含丰富信息，一旦泄露将造成严重后果。而目前我国网络安全形势较为严峻，亟需优秀的网络安全产品保障信息安全。 ?随着云计算从概念推广的萌芽期转变为行业发展期，市场规模快速增长，网络安全的范围逐渐扩大，云计算安全已成为广义网络安全的重要组成部分。云计算安全是指基于云计算，保护云基础设施、架构于云端之上的数据与应用的安全措施。 ?未来三我年国网络安全市场规模将不断扩大，2016年市场规模有望突破100亿元，2018年预计将超过170亿元，2015至2018年的复合增长率为 25.8%。 传统安全厂商纷纷转型云计算安全；云计算安全厂商占据越来越重要的地位?目前有很多传统安全厂商开始逐渐向包括云计算安全在内的广义网络安全服务转型，开始将相关产品与服务纳入自己原有的业务体系。此外，以云计算安全作为业务主要切入点的厂商也开始在整个网络安全厂商中占据越来越多的席位。这其中既包含了云计算提供商旗下的云安全产品，又包含了其他云安全初创厂商。 ?在网络安全领域，每出现一种新的病毒或是攻击手段，必然会产生与之相对应的安全防护技术或措施。因此，最先掌握这些新技术的厂商有机会引领安全领域的新潮流，这就为一些拥有优秀人才的中小型或是初创型安全厂商提供了弯道超车的机会。 ?人才是网络安全厂商的核心竞争力，技术是网络安全领域的重要推动力； 安全厂商的可信任度是企业客户选择安全厂商时的重点考虑因素。

目录C ontents 一.网络安全行业发展现状 ?网络安全概述 ?网络安全行业发展背景 ?行业资本热度&市场规模 二. 网络安全厂商分析 ?网络安全厂商概述 ?传统网络安全厂商的转型 ?云计算安全厂商成为重要组成部分 ?网络安全厂商价值判断 三. 网络安全技术概述 ?网络安全技术概述 ?已被商业化的技术举例 ?未被商业化的新技术举例 四. 网络安全行业总结 ?行业概述&未来发展趋势 ?网络安全厂商概述&价值判断

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期

报告编写人: 日期： 批准人：日期： 版本号：第一版本日期 第二版本日期 终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

2017年中国信息安全行业发展现状及未来发展趋势分析

2017年中国信息安全行业发展现状及未来发展趋势分析 （一）行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管，具体如下： 数据来源：公开资料整理 2、行业主要法律法规及政策 （1）行业主要法律法规 信息安全行业，受到信息安全行业相关法律法规的管理。行业的主要法律法规如下：

数据来源：公开资料整理（2）行业主要发展政策

行业主要发展政策如下： 数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护，使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁，保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性： 数据来源：公开资料整理 2、信息安全行业的技术、产品和服务 （1）信息安全技术 为了实现信息安全的七个核心属性，需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而，目前信息安全的主流技术包括信息系统自身的安全技术（物理安全和运行安全技术）、信息自身的安全技术（数据安全与内容安全技术）、信息利用的安全技术（信息对抗技术），具体如下：

数据来源：公开资料整理（2）信息安全产品 信息安全产品按照功能分类主要包括：防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。主要产品的情况如下：

信息安全行业分析报告文案

信息安全行业分析报告

目录 一、信息安全的概念、技术和产品 (5) 1、信息安全的基本概念和主要技术 (5) 2、信息安全的主要产品和服务 (6) 二、行业国外发展概况 (9) 1、网络威胁持续增长带动全球信息安全市场稳健增长 (9) 2、我国信息安全行业在需求驱动和政策扶持下发展迅速 (11) 3、我国信息安全市场发展现状 (13) 三、行业的技术水平和产业发展水平 (14) 1、关键核心技术与国际先进水平差距不大 (14) 2、安全技术转化为产品的能力与国际先进水平有差距 (15) 3、安全技术迅速融入服务的能力与国际先进水平相当 (16) 4、应用环境差距明显，造就巨大市场潜力 (17) 四、行业管理体制 (17) 1、行业主管部门和行业协会 (17) 2、行业政策 (19) 五、行业竞争状况 (20) 1、我国信息安全行业总体竞争格局 (20) （1）市场快速增长，厂商数量众多，品牌集中度有待提高 (20) （2）信息安全厂商寻求差异化竞争途径 (20)

2、行业的主要企业 (21) （1）2008 年中国信息安全产品市场结构 (21) （2）行业的主要企业 (21) 3、产品和服务的价格变动趋势 (22) 4、新进入者进入本行业的主要障碍 (22) （1）技术壁垒 (23) （2）人才壁垒 (23) （3）品牌壁垒 (24) （4）资质壁垒 (24) 六、影响行业发展的有利和不利因素 (24) 1、有利因素 (24) 2、不利因素 (26) 七、行业特有的经营模式、区域性、周期性和季节性特点 (27) 1、行业经营模式 (27) 2、行业的区域性特点 (27) 3、行业的周期性特征不明显 (28) 4、行业的季节性特点 (28) 八、信息安全行业与上下游行业间的关系 (29) 九、行业发展趋势和市场容量预测 (30) 1、信息安全行业发展趋势 (30) （1）市场增长走向多元化驱动模式 (30) （2）安全产品向多功能化方向发展，集成的安全解决方案将成为用户首选 (31) （3）政策推动信息安全市场走向持续良性发展 (32)

网络安全形势统计分析

网络安全形势统计分析 近年来，在互联网领域，系统漏洞、网络病毒、垃圾邮件，黑客攻击频频发生；有害信息普遍存在；信息系统瘫痪事件时有发生；由经济利益驱动的网络犯罪在全球日渐猖獗；个人信息及国家敏感信息事件频发。各类网络攻击及危害安全行为的活动日渐增多，严重威胁互联网的应用和发展，网上形势异常严峻。为此，我们对计算机和网络安全情况进入深入的分析。 近几年XX在加快信息化建设和信息系统开发应用的同时，高度重视信息安全工作，采取了很多防范措施，取得了较好的工作效果。管理处在对现有信息安全资源进行整合、整改的同时，按照国家、集团公司有关信息安全管理规定，结合本单位实际情况，每年对信息网络系统进行定期安全评估。 1、信息系统安全管理状况检查 评估各种安全制度的建立情况，包括：对终端计算机访问互联网的相关制度；对终端计算机接入内网的相关制度；使用移动存储介质的制度；系统管理人员、维护人员相关安全管理制度等。 2、网络架构、网络安全设备 评估范围包括：统计业务内网、办公内网、外部单位联网等；分析网络拓扑结构是否清晰划分网络边界；评估网络的安全区域划分以及访问控制措施。 3、对资产自身存在的脆弱性进行收集和整理 交换机：检查安全漏洞和补丁的升级情况，各VLAN间的访问控制策略；口令设置和管理，口令文件的安全存储形式；配置文件的备份。 安全设备：包括防火墙、入侵检测系统、入网安全准入、防病毒、桌面安全管理、身份鉴别等。查看安全设备的部署情况。查看安全设备的配置策略；查看安全的日志记录；通过漏洞扫描系统对安全进行扫描。通过渗透性测试安全设置的有效性。 4、重要服务器的安全设置 服务器安全检测：登录安全检测；用户及口令安全检测；共享资源安全检测；系统服务安全检测；系统安全补丁检测；日志记录审计检测；木马检测。

信息安全风险评估报告DOC

XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服

务的企业。 3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方 法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产 清单； 5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作

从2017年9月10日开始进入风险评估阶段，到2017年9月15日止基本工作告一段落。主要工作过程如下： 1.2017-9-10 ~ 2017-9-10，风险评估培训； 2.2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3.2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4.2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在 风险，并在ISMS工作组内审核； 5.2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作 组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风险115个，不可接受风险42个. 表1 资产面临的威胁和脆弱性汇总表

关于我国信息安全形势

关于我国的信息安全形势 当前，网络空间已经上升为与海、陆、空、太空并列的第五空间，世界各国都高度重视加强网络战的攻防实力，发展各自的“网络威慑”能力。首先，世界各国都在加快组建网络部队，已经有美国、俄罗斯、以色列、伊朗、韩国等40多个国家成立了网络部队，并逐步扩大网络部队的规模。例如，美国网络部队总人数已经达到7万人以上，俄罗斯网络战部队规模达7000人等。其次，世界各国不断增加网络武器、网络安全人才等方面的投入。例如，美国国防部2012年在网络安全和网络技术方面的预算达到34亿美元，主要用于新一代网络武器研发方面。欧盟网络与信息安全局(ENISA)发布的报告显示，近两年来网络演习的频率大幅提高。纵观当今各国在网络空间的战备竞赛，可以预见，2015年网络空间的局势将更加复杂，难免会出现局部网络冲突。 同时，我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品，据统计，我国芯片、操作系统等软硬件产品，以及通用协议和标准90%以上依赖进口，这些技术和产品的漏洞不可控，使得网络和系统更易受到攻击，面临着敏感信息泄露、系统停运等重大安全事件的安全风险。以基础网络为例，由中国电信和中国联通运营的互联网骨干网络承担着中国互联网80%以上的流量，然而这些骨干网络70%-80%的网络设备都来自于思科，几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科掌握。与此同时，国际上针对关键信息基础设施的网络攻击持续增多，甚至出现了政府和恐怖分子支持的高级可持续性威胁(APT)，APT是针对特定组织的、复

杂的、多方位的网络攻击，这类攻击目标性强，持续时间长，一旦成功则可能导致基础网络、重要信息系统和工业控制系统等瘫痪。我国关键信息基础设施核心技术受制于人的局面在短期内难以改变，这在未来几年中将成为我国国家安全的严峻挑战。 随着移动互联网、下一代互联网和大数据等新兴技术的广泛应用，伴随这些技术而来的信息安全威胁将对我国信息安全带来新的挑战。在移动互联网领域，用户和应用的数量快速增长，与此同时，移动终端恶意软件数量暴增，腾讯移动安全实验室统计数据显示，2012年9月份安卓平台的恶意软件数量达到了26260个，第三季度增速达78%。手机病毒黑色产业链进一步强化，病毒攻击技术与攻击方式也得到广泛提升，针对网银、支付、汇款等敏感财产信息进行收集窃取等新的特征显露，安全威胁持续加大。在下一代互联网领域，IPv6即将逐步取代IPv4成为支撑互联网运转的核心协议,但仍然存在一些难以解决的安全隐患，如难以应对拒绝服务攻击等,而且在从IPv4向IPv6进行迁移的过程中，还会出现一些新的安全风险。大数据分析技术的广泛应用将使我国一些关键数据面临安全威胁。 针对以上现象，我觉得我们国家应该完善相关的信息安全政策法规、加强我国信息安全保障体制机制建设加强国家信息安全防御力量建设、加大扶持信息安全技术产业、全面提升新兴技术安全风险防护能力等应对即将出现或者可能出现的信息安全问题。

信息安全评估标准简介

信息安全产品评估标准综述 全国信息安全标准化技术委员会安全评估标准组崔书昆 信息安全产品，广义地是指具备安全功能（保密性、完整性、可用性、可鉴别性与不可否认性）的信息通信技术（ICT）产品，狭义地是指具备上述功能的专用信息通信技术产品。这些产品可能是硬件、固件和软件，也可能是软、固、硬件的结合。 一、国外信息安全产品评估标准的发展 以美国为首的西方发达国家和前苏联及其盟国，早在20世纪50年代即着手开发用于政府和军队的信息安全产品。到20世纪末，美国信息安全产品产值已达500亿美元。 随着产品研发，有关信息安全产品评估标准的制定也相应地开展起来。 （一）国外信息安全产品评估标准的演变 国际上信息安全产品检测评估标准的发展大体上经历了三个阶段： 1.本土化阶段 1983年，美国国防部率先推出了《可信计算机系统评估准则》（TCSEC），该标准事实上成了美国国家信息安全评估标准，对世界各国也产生了广泛影响。在1990年前后，英国、德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准，如加拿大的《可信计算机产品评估准则》（CTCPEC）等。在欧洲影响下，美国1991年制定了一个《联邦（最低安全要求）评估准则》（FC），但由于其不完备性，未能推开。 2.多国化阶段 由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成，单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求，于是多国共同制定统一的信息安全产品评估标准被提了出来。 1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》（ITSEC），并在事实上成为欧盟各国使用的共同评估标准。这为多国共同制定信息安全标准开了先河。为了紧紧把握信息安全产品技术与市场的主导权，美国在欧洲四国出台ITSEC之后，立即倡议欧美六国七方（即英、

中国信息安全行业发展现状及未来发展趋势分析

年中国信息安全行业发展现状及未来发展趋势分析

————————————————————————————————作者：————————————————————————————————日期：

2017年中国信息安全行业发展现状及未来发展趋势分析 （一）行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管，具体如下： 数据来源：公开资料整理 2、行业主要法律法规及政策 （1）行业主要法律法规 信息安全行业，受到信息安全行业相关法律法规的管理。行业的主要法律法规如下：

数据来源：公开资料整理

（2）行业主要发展政策 行业主要发展政策如下： 数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护，使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁，保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性： 数据来源：公开资料整理 2、信息安全行业的技术、产品和服务 （1）信息安全技术 为了实现信息安全的七个核心属性，需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而，目前信息安全的主流技术包括信息系统自身的安全技术（物理安全和运行安全技术）、信息自身的安全技术（数据安全与内容安全技术）、信息利用的安全技术（信息对抗技术），具体如下：

2019年信息安全行业分析报告

2019年信息安全行业 分析报告 2019年5月

目录 一、行业管理 (4) 1、行业主管单位和监管体制 (4) 2、主要法规和政策 (5) 二、行业发展概况和趋势 (10) 三、行业竞争格局 (14) 四、行业壁垒 (15) 1、技术壁垒 (15) 2、资质壁垒 (15) 3、市场壁垒 (15) 4、资金壁垒 (16) 五、行业市场规模 (16) 六、行业相关公司 (19) 1、启明星辰信息技术集团股份有限公司 (19) 2、北京北信源软件股份有限公司 (19) 3、北京神州绿盟信息安全科技股份有限公司 (19) 七、行业风险特征 (20) 1、政策风险 (20) 2、市场风险 (20) 3、人力资源不足风险 (21)

服务器安全加固系统是以可信计算为基础，以访问控制为核心，对操作系统内核进行加固的安全解决方案。系统主要的原理是通过对文件、进程、服务和注册表等强制访问控制，采用白名单机制，抵御一切未知病毒、木马以及恶意代码的攻击，从而达到主动防御的效果，为现有操作系统及国产化操作系统打造安全可靠的应用环境，形成了第三方可信安全架构，构建了“内外兼防”的安全防护体系。 存储介质信息消除工具贯彻和落实国家保密局BMB21-2007 文件要求，实现对涉密计算机的存储介质敏感信息进行深度擦除，是对涉密计算机的敏感信息进行安全清除的系统，兼容国产化操作系统。 数据库漏洞扫描系统是在综合分析数据库访问控制、数据库审计、资源管理、数据库加密以及数据库系统本身安全机制的基础上，深入研究数据库系统本身存在的BUG 以及数据库管理、使用中存在的问题后，进而设计出的专业的数据库安全产品。本系统读取数据库的信息与安全策略并进行综合分析，在查出数据库中存在的漏洞后自动给出详细的漏洞描述、漏洞来源及修复建议，提供完整的数据库漏洞报告、数据库安全评估报告。用户据此报告对数据库进行漏洞修复，最大限度地保护数据库的安全。 数据库安全审计管理系统具有实时的网络数据采集能力、强大的审计分析能力以及智能的信息处理能力。通过使用该系统，可以实现如下目标：分析数据库系统压力；审计SQL Server、Oracle、DB2、Sybase 等多种数据库；实现网络行为后期取证。该产品适用于对信息保密、非法信息传播/控制比较关心的单位，或需要实施网络行为

信息安全风险评估方案

第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

油田信息安全形势分析

油田信息安全形势分析 摘要：随着经济的快速发展，信息技术被广泛的应用到各个方面，油田建设企 业也不例外，油田建设经营方面都越来越依赖于信息技术，随着信息技术不断的 优化深入，其安全问题也随之出现，只有将安全问题有效的解决了，才能促使油 田产业得到长久且稳定的发展。 关键词：油田信息；安全形势；分析 前言： 油田产业要想在信息化时代实现稳定发展，就要对信息技术存在的安全问题 进行有效的解决，提高信息系统的安全性能，使信息技术充分发挥其作用，让油 田产业能够满足时代的发展需求，并促使油田产业在竞争激烈的市场环境中，增 强竞争力，成为行业的领头者。 一、信息安全 信息安全是指在对信息系统的管理和技术上采取安全保护措施，让信息实现 保密性、完整性以及可用性。其中保密性是指：将信息只传送给授权的人，不会 泄露给非授权的人，且传送的信息只有授权的人才能用；完整性是指：信息在传 输的过程中，不会遭到修改或者丢失，会将信息原样传输给授权人；可用性是指：网络信息可被授权实体正确的访问，并按要求在正常或者非正常情况下回复使用 特征，它是衡量网络信息系统面想授权用户的一种安全性能。 二、油田信息安全形势分析 （一）油田信息化建设取得的成绩 随着社会经济的快速发展，油田产业也逐渐实现信息化管理，并贯彻落实党 和国家的政策，让企业的发展随着党和国家的指导方针转变发展方向，促使国家 科学技术得到进一步的发展。另外，企业坚持按照“十一五”的信息技术规划为发 展策略，并建立相应的信息系统平台，让企业取得了一定成果，如ERP系统的建 设目标逐渐实现、信息化系统应用逐渐加深、信息化专业团队在不断的扩大等等。 （二）油田信息系统的特点 由于油田开采工程较大，则信息系统的应用种类就会相应的较多，其业务包 含勘测和开采、制造、工程技术、工程建设、销售等等，与此同时还包含开采油 田期间的办公系统，如电子邮件、视频会议等等。由此可见，油田信息系统承载 的任务繁重且复杂，相对的，其油田网络接线也较为复杂，面对数量巨大的网路 用户，其提供的服务类型的各异。 （三）油田信息系统面临的安全问题 信息系统是国家重要的信息基础设施，在信息化广泛应用的时代，油田信息 系统内外部仍然存在较多问题的和漏洞，随着油田信息系统的迅速发展，信息系 统面临的安全问题逐渐显现出来，这对油田产业的发展产生了不利的因素，让油 田产业一直止步不前，既影响了油田产业的稳定发展，又影响了我国经济的发展。 三、影响油田信息安全的因素 （一）网络设备的稳定性 网络设备的稳定性也会对油田信息的安全产生影响，在油田建设信息系统中，数据主要是依靠光纤进行传输的，随着光纤技术的不断发展，其传输质量也得到 了有效的提升，进而使网路设备的稳定性进一步提升，由此可见，数据传输的稳 定性在一定程度上影响了设备的运行状况。另外，网络的服务器、电源、交换等 都会对信息系统的安全产生影响。

信息安全风险评估服务

1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产，任对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息保密阶段1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个面；逐步形成了风险评估、自评估、认证认可的工作思路。

2017年工控系统信息安全行业研究分析报告

2017年工控系统信息安全行业研究分析报告 2017年10月

目录 一、工控网络安全新态势 (4) 1、两化深度融合大背景下，工控系统信息安全重要意义凸显 (4) （1）工业4.0、物联网快速普及，工控系统与外部融合加深 (4) （2）能源等重要基础设施已经成为高级别网络攻击的新目标，工控安全形势严峻 . 6（3）我国工控安全态势不容乐观 (9) 2、工控安全：起步较晚、受政策高度关注 (11) （1）工控系统信息安全发展历程 (11) （2）政策重点关注 (12) 二、重点关注工控测评细分领域 (13) 1、工控安全市场概要：处于快速起步阶段的蓝海市场 (13) 2、看好工控行业信息安全测评市场 (15) （1）重要基础设施强制定期检测，电力领域工控安全检测市场增长稳健 (15) （2）核电、化工、石油等行业需求将驱动工控信息安全测评整体市场持续高速增长 (17) 三、布局工控技术背景较强的信息安全厂商 (18) 1、卓识网安：工控安全测评行业龙头，成长空间大 (18) 2、珠海鸿瑞：聚焦隔离、加密、审计硬件安全产品，业绩增长稳健 (21)

工控系统信息安全重要意义凸显。工控系统联网多，外部融合深,全球工控系统联网数量达到137564套，美国、德国、中国分列前三位，联网数分别为50795、12542、8345。能源等重要基础设施已经成为高级别网络攻击的新目标，全球工控安全事件数量呈现稳中有升的态势，2015年共发生295起、2012年为197起。 近年发生了包括Mirai 在内的重大事件，工控安全攻击呈现出如下的特征： 网络攻击威胁的对象不仅仅是虚拟资产的安全，通过改变工控系统的关键参数影响运行状态，可以对现实世界中的工业生产等过程造成实质性破坏，损害物理资产的安全。 随着工业控制系统与互联网空间融合程度加深，出现了以办公信息系统为跳板的新型威胁模式，攻击手段的复杂程度显著加深，给防护带来挑战。 工控安全在我国处于起步萌芽期，2016年我国工控信息安全市场规模约为10亿元。2017年网络安全法的实施将带动重要关键基础设施防护的建设，工控安全市场将迅速启动。预计至2020年，工控安全市场将达到27.4亿元，2016-2019年CAGR 为39%。关键驱动因素包括：发电、输配电、制造、市政等行业的企事业单位维护信息安全意识增强，加大在工控安全方向的投入力度；行业相关安全标准的不断出台以及完善，对于工控系统信息安全体系的构建提出明确、实操性强的指导；工控安全领域自身的发展，网闸、工控防火墙、状态感知等系统的日趋完善将促进产品的部署与普及。

信息安全风险评估报告

附件： 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

信息安全问题的特点和趋势

信息安全问题的特点和趋势 导读：本文信息安全问题的特点和趋势，仅供参考，如果觉得很不错，欢迎点评和分享。 【内容提要】文章对信息安全问题的主要特点和趋势从其高度脆弱性和风险性、安全攻击源和防范对象的不确定性、信息空间活动主体的虚拟实在化、反传统的技术维度和复杂的“人-机”关系、网络世界的互联互动与全球“即时效应”、信息安全的不对称性和反传统的力量对比格局等诸多方面进行了阐述。 【摘要题】信息法学 【关键词】信息/信息安全/安全战略/信息空间…… 【正文】 国家安全面临的新形势的出现，主要归因于信息空间和网络世界史无前例的本质和特性。概括起来看，信息安全问题具有下述主要特点和趋势。 1社会总体信息结构的高度脆弱性和风险性 以网络为基础的社会总体信息结构（军事、经济、政治、管理，乃至交通、通讯、医疗等一切方面）具有高度脆弱性和风险性，从而使信息安全威胁对于全社会产生极强的破坏性和弥漫性。 随着计算机的大面积应用，越来越多的机构不得不重新布局以与技术的发展保持一致。在这个过程中，社会作为整体，变得越来越依赖于大型与微妙相结合的技术系统。网络成为国家控制经济和安全的

不可缺少的技术盔甲，它的安全、持续运转，成为维系社会秩序的先决条件。今天不单是全球化金融系统利用网络在世界范围内转移资金、大多数公司把财务记录储存在计算机内，甚至国家的整个军用和民用基础设施都越来越依赖于网络。如今网络不仅是信息传递的工具，而且是控制系统的中枢；不仅国防设施要靠网络指挥，包括电话网、油气管道、电力网、交通管理系统、金融系统和卫生保健系统等事关国计民生的各个方面，都越来越依赖于网络的安全性。在严重不公、缺乏合适的国际治理机制的现时代，难以控制的技术漏洞必然会导致不可避免的安全攻击和灾难。正如GeorgeK.Walker所概括的：“全球范围内正在出现一场由有形生产和破坏方式向无形生产和破坏方式过渡（转变）的革命性变化，信息战（信息恐怖主义）正是作为这种全球性革命变化一部分的冲突的示范性表现。”[1] 正因为如此，美国等国家都已把防范与对抗对关键信息基础设施的信息攻击和破坏作为新时代国家安全战略的重点。美国国家安全委员会安全基础设施保护与反恐怖主义全国协调员RichardClarke1999年10月14日在一个招待会上发表主题演讲时，就曾一针见血地指出了美国信息系统的脆弱性和易受攻击性。他指出：“我们未来的敌人会寻找其他比通过常规军事途径与我们争斗更能保证成功的途径。用五角大楼的话说，他们会寻找‘不对称机会’（asymmetricalopportunities）；或者用报界的说法，他们会寻找我们的‘致命要害’（Achilleshell），在芝加哥、纽约。”他对这种危险的分析是具有启示意义的。在过去8年中美国开展了一场信息技

2020年信息安全行业分析报告

2020年信息安全行业 分析报告 2020年6月

目录 一、行业主管部门、主要法律法规和政策 (5) 1、行业主管部门和监管体制 (5) 2、行业主要法律法规 (5) 3、行业主要政策 (7) 二、行业发展概况 (9) 1、信息安全行业简介 (9) 2、全球信息安全行业概况 (9) （1）全球信息安全行业市场规模较大，预期将保持稳步增长 (9) （2）北美地区信息安全市场规模领先，欧洲、亚太等地区增速较快 (10) （3）全球信息安全产业以安全服务与安全产品为主，市场规模较为均衡 (10) （4）全球信息安全人才短缺情况尚未缓解 (11) 3、中国信息安全行业发展概况 (11) （1）我国信息安全行业处于发展期，市场规模保持较高速增长 (11) （2）中国信息安全行业以产品为主，安全硬件市场规模占信息安全产业的比重最高 (12) （3）政府、电信、金融等重点行业的信息安全需求较大，教育、制造、能源、交通等领域信息安全市场日渐兴起 (13) （4）我国信息安全产业政策的推动以及云计算、大数据、移动互联网等新兴 (14) （5）中国信息安全市场仍将保持软硬件产品为主的市场结构，安全硬件的市场规模和增速仍将保持领先 (15) 三、行业进入壁垒 (16) 1、技术壁垒 (16) 2、人才壁垒 (17) 3、品牌壁垒 (17)

4、渠道壁垒 (17) 5、行业经验壁垒 (18) 四、影响行业发展的因素 (18) 1、有利因素 (18) （1）产业政策支持信息安全、云计算等软件信息技术服务业的持续健康发展 (18) （2）信息化水平的持续提升推动信息安全、云计算行业的快速发展 (20) （3）新技术、新应用和新模式的发展，进一步拓展信息安全的发展空间 (20) （4）信息安全、云计算等信息化建设逐步成为企业构建核心竞争力的重要方式 (21) （5）产品和服务的国产化替代成为信息安全行业发展的重要驱动因素 (21) 2、不利因素 (22) （1）国内信息安全市场规模较国外整体偏小 (22) （2）国内信息安全市场竞争较激烈 (22) 五、行业周期性、区域性和季节性特征 (22) 1、周期性特征 (22) 2、区域性特征 (23) 3、季节性特征 (23) 六、行业上下游之间的关联性 (23) 七、行业竞争情况 (24) 1、行业竞争格局 (24) 2、行业主要企业 (25) （1）华为技术有限公司 (25) （2）新华三技术有限公司 (25) （3）启明星辰信息技术集团股份有限公司 (25) （4）蓝盾信息安全技术股份有限公司 (25) （5）绿盟科技集团股份有限公司 (26)

信息安全风险评估报告格式

附件： 信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

信息安全保密形势依然严峻.doc

信息安全保密形势依然严峻 近年来，在党中央、国务院的高度重视和坚强领导下，保密事业发展取得显著成绩，为维护国家安全和利益、保障改革开放和社会主义现代化建设事业顺利进行作出了重要贡献。但也要清醒看到，当前，国际国内形势正在发生新的深刻复杂变化，保密工作形势依然十分严峻，国家秘密安全面临新的挑战。 一方面，情报窃密活动呈现出一些新的态势和特点。针对我党政机关和涉密单位的攻击窃密活动明显增多，窃密泄密案件特别是重大窃密泄密案件屡屡发生，窃密与反窃密斗争更加尖锐复杂。 另一方面，国家秘密存载和运行方式发生深刻变化，泄密风险隐患不断加大。随着现代网络信息技术的迅猛发展和普遍运用，国家秘密除以声、光、电、磁等已经广泛应用的形式存载外，数字化、网络化存储已成为主要存载形式；国家秘密处理方式由人工为主向以计算机信息系统数据处理转化，传输方式由人工传递为主向通信网络、计算机信息系统等传输方式转化。我们越来越深刻地体会到，国家秘密存储和运行对网络和信息系统的依赖性愈加增强，网络和信息系统已经成为国家秘密存储和运行的主要渠道和基础设施。 这些变化，对信息化条件下的保密工作带来前所未有的影响。一是国家秘密管控难度日益增加。管控对象从单一的信息内容扩展到多样化信息存载形式和基础设施；管控范围从保护单元信息安全，扩展到保护系统信息安全。 二是泄密渠道不断增多。大量国家秘密可以通过海量存储介质存储、携带、交换，通过网络数据处理、传输、应用，泄密隐患和漏洞可能无处不在。 三是系统性风险加大。由于国家秘密对网络和信息系统高度依赖，而网络和信息系统的潜在脆弱性和安全风险始终存在，一旦受到入侵、攻击，将直接破坏整个网络和信息系统，导致国家秘密安全受到严重损害。