發布時間:2023-03-06 16:00:02
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全評估報告樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
1.1需求分析
通過德爾菲法、訪談法、SWOT分析等風險管理技術,向學院各職能部門和其它渠道收集風險信息,分類總結,然后列出風險系統開發的大功能模塊,每個大功能模塊有哪些小功能模塊;描述實現具體模塊所涉及到的主要算法、數據結構、類的層次結構及調用關系,需要說明軟件系統各個層次中每個模塊或子程序的設計考慮,以便進行編碼測試。系統平臺可以實現以下功能:自動輸出風險評估報告和建議報告,有效監控預防風險;對風險進行定量分析,實現以圖表直觀形式輸出顯示,并展示相應的數據指標;用戶以個人賬戶或部門賬戶,登錄到風險評估輸入列表,選擇相應的職能部門、行業類型、風險級別指標、以問答的形式選擇相應的內置風險條目,根據登陸權限,可自擬增加、刪除風險條目;可實現日常工作重要環節和重點風險過程的時間提醒功能,通過手機短信或網頁提示窗提示等手段,提醒重點工作的正常開展,防范工作疏忽引起的風險;風險級別指標制定,可參考相應的國家或行業標準,也可自擬;系統平臺內有評估標準,根據評估標準設計評估模型,利用評估模型對風險評估報告進行評估,得出評估結果供風險決策者參考;校領導和各職能部門負責人可根據管理權限查詢相應的風險數據;B/S架構,實現新聞即時,可及時更新各高校風險管理中的經驗交流文章、理論知識。
1.2程序編碼實現
開始具體的編寫程序工作,分別實現各模塊的功能,從而實現對目標系統的功能、性能、接口、界面等方面的要求;開發過程中,邊開發邊測試,系統完工后,通過內部外部測試、模塊測試、整體聯調等測試方法,驗證系統的整體穩定性,不斷完善。
1.3具體應用
軟件開發完成,做成相關的技術文檔,系統上線;在具體應用中發現問題及時登記到問題記錄冊,反饋到開發人員,為以后的系統平臺升級提供依據。
2平臺功能模塊
信息安全風險評估平臺的開發環境為/MSSQL,基于SOA軟件系統架構解決學院各信息系統集成,通過PDCA循環模型具體實施。信息安全風險評估系統平臺建設主要包括評估公告、用戶管理、指標設置、綜合評估、綜合查詢、報表系統,數據導出七大模塊。
2.1評估公告模塊
評估公告模塊實現新聞即時,可及時更新各高校風險管理中的經驗交流文章、理論知識;可實現日常工作重要環節和重點風險過程的時間提醒功能,提醒重點工作的正常開展,防范工作疏忽引起的信息系統風險。
2.2用戶管理模塊
用戶管理模塊的功能是管理用戶信息,主要包括用戶的用戶名、密碼和權限,同時支持顯示所有注冊用戶信息和刪除用戶功能;模塊可以添加系統管理員、評估人和評估單位,評估人員可以設置不同的權限,限制評估范圍;用戶以個人賬戶或部門賬戶,登錄到風險評估輸入列表,選擇相應的職能部門、行業類型、風險級別指標、以問答的形式選擇相應的內置風險條目;不同的用戶登錄系統顯示的模塊不一樣,根據登陸權限,可自擬增加、刪除風險條目。
3.3指標設置模塊
指標設置模塊主要是依據國家有關信息安全風險評估指標,實現信息系統風險評估的指標體系設置,劃分兩級指標細化評估體系,一級指標劃分為信息資產、威脅性、脆弱性,二級指標從硬件、軟件、風險識別等細化指標體系;實現指標庫的設置,可以分配不同的被評估單位相應的評價指標。
2.4綜合評估模塊
綜合評估模塊包括評估列表、評估歷史。評估列表顯示所有被評估單位,某一單位用戶登錄以后,系統自動調用相應的指標庫,回答相應的信息系統安全問題,系統自動給出指標分數;評估歷史是不同的賬戶登錄,顯示的列表不同,管理員能查詢所有的用戶評估歷史,單位用戶只能查詢本系部的評估歷史。
2.5綜合查詢模塊
綜合查詢模塊實現不同單位評估次數、評估成績、各評估對象不同時間段等的評估查詢。
2.6報表系統模塊
報表模塊實現了不同單位評估次數、評估成績、各評估對象的柱狀圖的形式直觀展示。
2.7數據導出模塊
數據導出模塊實現了評估單位當前總成績或歷史評估成績的數據導出功能,支持PDF、Word、Excel文檔格式。
3系統評估操作流程
系統管理員首先在系統后臺對不同的用戶設置相應的評估指標庫;用戶通過用戶名和密碼登錄系統后臺;登錄成功后系統會自動調用相應的評價指標,用戶回答相應的問題;回答結束后,用戶點擊提交,系統自動給出相應的評估分值;用戶打印或存儲評估數據報告。
4平臺應用效果
4.1為我國高校的信息系統風險預防和應急處理提供建設性的意見
目前關于我國高校風險評估研究的大多停留在某些具體領域,主要是對宏觀風險管理和財務風險狀況進行探討,對信息系統安全的研究較少。信息安全風險評估系統平臺對高校信息安全風險進行定量分析評估,為我國高校信息系統風險評估提供了一個重要平臺,為高校的信息系統風險預防和應急處理提供一些建設性的意見。
4.2為高校各級信息系統管理者提供了處理信息系統
風險的決策依據系統實現各級信息系統管理者可實時查詢部門風險評估,針對高校日常管理中可能面臨的各類信息系統安全風險、建議應對措施、突發事件、應急預案、法律法規等相關風險管理文檔查詢,為科學決策提供依據。
4.3信息系統安全風險處理更迅速
信息系統安全風險評估平臺與學院網絡安全教育平臺、運維網站數據整合,當網絡遭受攻擊、病毒肆虐時,能第一時間獲得相關信息,為快速解決信息系統安全風險創造了條件。
4.4提高了全校師生網絡安全防范和參與意識
通過信息系統安全風險評估平臺,全院師生提高了網絡安全防范和參與意識,為河南牧業經濟學院網絡信息化建設出謀劃策,促進學校領導和有關職能部門制定和完善網絡有關管理制度。
4.5規范了全校師生的上網行為,減少了網絡攻擊
全校師生通過平臺了解學校網絡管理相關制度和管理方式,認識到自己的上網行為在學校監督管理中,從而自覺規范自身的上網行為。平臺為引導師生正確使用網絡、規避風險,保障校園網網絡良好正常運轉起到了積極的作用。通過信息系統風險評估的漏洞查找,各系部加強了網絡安全知識普及、全員參與、相關規章制度的約束,一直困擾我院網管人員的網絡非法攻擊,特別是破壞后果更難預測的內部網絡攻擊得到了有效的遏制。
5結束語
ENISA對2002~2012年期間舉行的85次不同層級的網絡演習進行了調研,既有單個國家演習又有多國演習,既有針對私營企業或政府機構的演習又有二者結合的演習。全球共計84個國家參加多國網絡演習,歐洲共有22個國家組織過全國性網絡演習。
主要結論
歐洲網絡與信息安全局認為此次調研評估較好地總結了國家及國際網絡演習的現狀,主要結論如下。
(1)網絡演習次數逐年增多。
網絡演習日漸普遍,2010年后演習數量更是激增,這與政策支持和網絡攻擊威脅不斷增多不無關系。很多演習作為系列演習的一部分,每年都舉行,這種趨勢在未來數年仍將繼續。
(2)網絡危機合作不斷發展。
不僅網絡演習日漸普遍,網絡危機合作方面的舉措也在不斷發展。網絡安全已成為歐洲國家的緊要事務,受到越來越多的關注。
(3)多數歐洲國家參與了國家和多國網絡演習。
多數歐盟和歐洲自由貿易區國家既組織過國家演習又參加過多國網絡演習。這說明參與國際演習對組織國家層面的網絡演習能夠起到補益作用,國際網絡危機合作能夠在這些演習中得到發展。對于本身能力有限的國家(例如沒有能力組織國家演習),參加國際演習能夠幫助他們達到歐盟制定的國家網絡安全標準。網絡危機往往超越國境,這一事實也為大國幫助網絡安全應急能力較弱的鄰邦提供了動力,凸顯了多國聯合組織跨國網絡演習的必要性。ENISA通過組織網絡演習研討會和泛歐洲地區網絡演習的方式支持各國的網絡演習活動。
(4)政府機構與私營企業之間的交流合作至關重要。
鑒于很多私營企業是重要信息基礎設施的所有者、管理者和使用者,因此未來的網絡演習更需要加強政府機構與私營企業的合作。
(5)必須更加重視演習管理工具。
對演習管理工具的重要性認識不足是所有網絡演習普遍存在的問題。演習管理工具可以用來協助進行演習準備和評估。
(6)促進演習規劃、監控與評估方法的使用。
演習規劃、監控和評估關系到演習是否能夠成功,演習規劃包括完善演習方案、程序,修改演習策略等,監控和評估能夠進一步幫助演習組織者建立反饋機制,總結經驗教訓。本次調研發現演習監控、評估方法的使用有限,在未來演習中應該更多地使用這些方法。
建議
報告提出了一些能夠提高演習質量、增加演習數量的建議,這些建議有助于增強重要網絡基礎設施及服務對網絡安全事件的承受能力。
(1)打造更為協調的網絡演習環境。
隨著網絡演習范圍的不斷擴大,網絡危機合作的不斷發展,應該努力打造一個更加協調的網絡演習環境,讓全球網絡演習領域的利益方能夠充分交流與探討該領域的好做法、挑戰及經驗教訓。如何以取長補短為目的,協調網絡計劃,實現同步化是網絡演習界面臨的一個艱巨的挑戰。此外,建議繼續組織網絡危機合作國際會議,為建立更加協調的網絡演習群體創造條件。
(2)建立公私合作,加強網絡演習經驗交流。
公共機構與私營企業之間通過合作共同保護重要信息基礎設施非常重要,而組織聯合演習和分享好的做法和經驗則是實現合作不可或缺的手段。經驗交流可以通過建立專門的數據庫、觀摩演習、學習交流等方式實現。
(3)繼續推進演習管理工具的開發。
在網絡演習中,良好的方法和自動化的工具能夠有效地提高演習設計、實施及評估的效率。包括模擬器和仿真機在內的各種演習管理工具能夠在提高演習效率的同時使演習質量更高,效果更好。報告呼吁業界人士支持網絡演習管理工具的開發、應用和共享。
(4)力求在部門間、國際和歐洲層級舉行更復雜的網絡演習。
網絡事件/危機大多是跨界的,包括跨國境、跨部門等,這種情況帶來的挑戰就是,如何組織能夠檢驗跨界網絡事件各種復雜情況的網絡演習,特別是在需要同時檢驗不同層級應急響應能力的時候(包括戰役、戰術和戰略演習層面)。報告建議業界人士與ENISA一起,共同為組織更為復雜的網絡演習而努力。
(5)將網絡演習納入網絡危機應急方案。
各國應制定、維護并及時更新網絡危機應急方案和標準合作程序。響應結構的持續完善需要網絡演習的支撐。為了更好地備戰網絡危機,建議歐盟成員國相關決策者將網絡演習納入網絡危機應急方案和標準合作程序。ENISA曾過一份《國家網絡應急方案實踐指南》。
(6)及時更新網絡演習方法。
2009年,ENISA頒布了《國家演習實踐指南》,代表著網絡演習向著用更正規的方法進行規劃和實施邁出了第一步。報告建議ENISA根據近幾年歐洲相關政策的變化、本次調研的研究成果以及有關論壇獲得的相關報告整合、改進上述文件推薦的網絡演習方法,利用相關工具設計出正規的網絡演習規劃及組織辦法。
關鍵詞 計算機;網絡風險;防范模式;防范流程
中圖分類號 F062.5 [KG*2]文獻標識碼 A [KG*2]文章編號 1002-2104(2011)02-0096-04
在信息時代,信息成為第一戰略資源,更是起著至關重要的作用。因此,信息資產的安全是關系到該機構能否完成其使命的大事。資產與風險是天生的一對矛盾,資產價值越高,面臨的風險就越大。信息資產有著與傳統資產不同的特性,面臨著新型風險。計算機網絡風險防范的目的就是要緩解和平衡這一對矛盾,將風險防范到可接受的程度,保護信息及其相關資產,最終保證機構能夠完成其使命。風險防范做不好,系統中所存在的安全風險不僅僅影響系統的正常運行,且可能危害到政府部門自身和社會公眾,嚴重時還將威脅國家的安全。論文提出了在選擇風險防范策略時如何尋找合適的風險防范實施點并按照實施風險防范的具體過程來進行新技術下的風險防范,從而幫助完成有效的風險管理過程,保護組織以及組織完成其任務。
1 計算機網絡風險管理
計算機網絡風險管理包括三個過程:計算機網絡屬性特征分析、風險評估和風險防范。計算機網絡屬性特征分析包括風險管理準備、信息系統調查、信息系統分析和信息安全分析4個階段。在計算機網絡風險防范過程中,計算機網絡屬性的確立過程是一次計算機網絡風險防范主循環的起始,為風險評估提供輸入。風險評估過程,包括對風險和風險影響的識別和評價,以及降低風險措施的建議。風險防范是風險管理的第三個過程,它包括對在風險評估過程中建議的安全控制進行優先級排序、評價和實現,這些控制可以用來減輕風險。
2 網絡風險模式研究
2.1 風險防范體系
計算機風險防范模式包括選擇風險防范措施(風險假設、風險規避、風險限制、風險計劃、研究和了解、風險轉移)、選擇風險防范策略(包括尋找風險防范實施點和防范控制類別的選擇)、實施風險防范3個過程。在實施風險防范的過程中包括對行動進行優先級排序、評價建議的安全控制類別、成本-收益分析、選擇風險防范控制、分配責任、制定安全措施實現計劃、實現被選擇的安全控制,最后還要進行殘余風險分析。
2.2 風險防范措施
風險防范是一種系統方法,高級管理人員可用它來降低使命風險。風險防范可以通過下列措施實現:
(1)風險假設:接受潛在的風險并繼續運行IT系統,或實現安全控制以把風險降低到一個可接受的級別。
(2)風險規避:通過消除風險的原因或后果(如當識別出風險時放棄系統某項功能或關閉系統)來規避風險。
(3)風險限制:通過實現安全控制來限制風險,這些安全控制可將由于系統弱點被威脅破壞而帶來的不利影響最小化(如使用支持、預防、檢測類的安全控制)。
(4)風險計劃:制定一套風險減緩計劃來管理風險,在該計劃中對安全控制進行優先排序、實現和維護。
(5)研究和了解:通過了解系統弱點和缺陷,并研究相應的安全控制修正這些弱點,來降低風險損失。
(6)風險轉移:通過使用其他措施補償損失,從而轉移風險,如購買保險。
在選擇風險防范措施中應該考慮機構的目標和使命。要解決所有風險可能是不實際的,所以應該對那些可能給使命帶來嚴重危害影響的威脅/弱點進行優先排序。同時,在保護機構使命及其IT系統時,由于每一機構有其特定的環境和目標,因此用來減緩風險的措施和實現安全控制的方法也各不相同。最好的方法是從不同的廠商安全產品中選擇最合適的技術,再伴以適當的風險防范措施和非技術類的管理措施。
2.3 風險防范策略
高級管理人員和使命所有者在了解了潛在風險和安全控制建議書后,可能會問:什么時候、在什么情況下我們該采取行動?什么時候該實現這些安全控制來進行風險防范,從而保護我們的機構?
如圖1所示的風險防范實施點回答了這個問題。在圖1中,標有“是”的地方是應該實現風險防范的合適點。
總結風險防范實踐,以下經驗可以對如何采取行動來防范由于故意的人為威脅所帶來的風險提供指導:
楊濤等:計算機網絡風險防范模式研究中國人口•資源與環境 2011年 第2期(1)當存在系統漏洞時,實現保證技術來降低弱點被攻擊的可能性;
(2) 當系統漏洞被惡意攻擊時,運用層次化保護、結構化設計以及管理控制將風險最小化或防止這種情形的發生;
(3) 當攻擊者的成本比攻擊得到更多收益時,運用保護措施,通過提高攻擊者成本來降低攻擊者的攻擊動機(如使用系統控制,限制系統用戶可以訪問或做些什么,這些措施能夠大大降低攻擊所得);
(4) 當損失巨大時,運用設計原則、結構化設計以及技術或非技術類保護措施來限制攻擊的程度,從而降低可能的損失。
上面所述的風險防范策略中除第三條外,也都可運用來防范由于環境威脅或無意的人員威脅所帶來的風險。
2.4 風險防范模式的實施
在實施風險防范措施時,要遵循以下規則:找出最大的風險,然后爭取以最小的代價充分減緩風險,同時要使對其他使命能力的影響最小。實施措施通過以下七個步驟來完成,見圖2。
2.4.1 對行動進行優先級排序
基于在風險評估報告中提出的風險級別,對行動進行優先級排序。在分配資源時,那些標有不可接受的高風險等級(如被定義為非常高或高風險級別的風險)的風險項目應該最優先。這些弱點/威脅需要采取立即糾正行動以保護機構的利益和使命。步驟一輸出―從高到低優先級的行動。
2.4.2 評價建議的安全控制
風險評估過程中建議的安全措施對于具體的機構和IT系統可能不是最適合和可行的。在這一步中,要對建議
圖1 網絡風險防范實施點
Fig.1 Network implementation point of risk prevention
圖2 實施風險防范措施流程及其輸入輸出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性、用戶接受程度)和有效性(如保護程度和風險防范級別)進行分析。目的是選擇最適當的安全控制措施以最小化風險。步驟二輸出―可行安全控制清單。
2.4.3 實施成本-收益分析
為了幫助管理層做出決策并找出性價比好的安全控制,要實施成本―收益分析。第三步輸出―成本-收益分析,其中描述了實現或者不實現安全控制所帶來的成本和收益 。
2.4.4 選擇安全控制
在成本-收益分析的基礎上,管理人員確定性價比最好的安全控制來降低機構使命的風險。所選擇的安全控制應該結合技術、操作和管理類的控制元素以確保IT系統和機構適度的安全。步驟四輸出―選擇好的安全控制。
2.4.5 責任分配
遴選出那些有合適專長和技能來實現所選安全控制的人員(內務人員或外部簽約人員),并分配以相應責任。步驟五輸出―責任人清單。
2.4.6 制定一套安全措施實現計劃
在這一步,將制定一套安全措施實現計劃(或行動計劃)。這套計劃應該至少包括下列信息:
(1)風險(弱點/威脅)和相關的風險級別(風險評估報告輸出)。
(2)建議的安全控制(風險評估報告輸出)。
(3)優先排序過的行動(標有給那些有非常高和高風險級別的項目分配的優先級)。
(4)被選擇的計劃好的安全控制(基于可行性、有效性、機構的收益和成本來決定)。
(5)實現那些被選擇的計劃好的安全控制所需要的資源。
(6)負責小組和人員清單。
(7)開始實現日期。
(8)實現完成的預計日期。
(9)維護要求。
2.4.7 實現被選擇的安全控制
根據各自的情況,實現的安全控制可以降低風險級別但不會根除風險。步驟七輸出―殘余風險清單。
3 網絡風險防范案例
以某市政府官方門戶網絡應用系統為例,首先要對網絡應用系統進行屬性分析,風險評估,然后根據風險評估報告和承受能力來決定風險防范具體措施。
3.1 風險評估
該計算機網絡應用系統安全級別要求高,根據手工和自動化網絡風險評估,結果如下所示:
數據庫系統安全狀況為中風險等級。在檢查的33個項目中,共有9個項目存在安全漏洞。其中:3 個項目為高風險等級,占總檢查項目的 9%;1 個項目為中風險等級,占總檢查項目的 3%;5 個項目為低風險等級,占總檢查項目的 15%。
3.2 風險防范具體措施
選擇風險防范措施中的研究和了解同時進行風險限制。確定風險防范實施點,該數據庫的設計存在漏洞并且該漏洞可能被利用,所以應該實施風險防范。實施步驟如下:
步驟一:對以上掃描結果中的9個漏洞進行優先級排序,確立每個項目的風險級別。
步驟二:評價建議的安全控制。在該網站主站數據庫被建立后針對評估報告中的安全控制建議進行分析,得出要采取的防范策略。
步驟三:對步驟二中得出相應的若干種防范策略進行成本收益分析,最后得出每種防范策略的成本和收益。
步驟四:選擇安全控制。對上述掃描的9個漏洞分別選擇相應的防范策略。
步驟五:責任分配,輸出負責人清單。
步驟六:制定完整的漏洞修復計劃。
步驟七:實施選擇好的防范策略,按表1對這9個漏洞進行一一修復。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名稱
Vulnerability
Name級別
level風險防范策略
Risk prevention
strategiesAXTSGL1006Guest用戶檢測高預防性技術控制AXTSGL1008登錄模式高預防性技術控制AXTSGL3002審計級別設置高監測和恢復技術控制AXTSGL3011注冊表存儲過程權限中支持和預防性技術控制AXTSGL2001允許遠程訪問低預防性技術控制AXTSGL2012系統表訪問權限設置低預防性技術控制AXTSGL3003安全事件審計低監測恢復技術控制AXTSGL3004黑盒跟蹤低恢復管理安全控制AXTSGL3006C2 審計模式低監測和恢復技術控制
4 總 結
在進行計算機網絡風險管理分析的基礎上,提出了新技術下的風險防范模式和體系結構,同時將該防范模式成功應用到某市官方網站的主站數據庫中。應用過程中選擇了恰當的防范措施,根據新技術下風險防范實施點的選擇流程確立了該數據庫的防范實施點并嚴格按照風險防范實施步驟進行風險防范的執行,成功地使風險降低到一個可接受的級別,使得對機構的資源和使命造成的負面影響最小化。
雖然該防范模式在一定程度上降低了風險的級別,但是由于風險類型的不可預見性和防范策略的局限性,該模式未必使機構或系統的風險降到最低,因此風險防范有待于進一步改進和完善,這將是一個長期的任務。
參考文獻(References)
[1]蔡昱,張玉清.風險評估在電子政務系統中的應用[J].計算機工程與應用,2004,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]張平,蔣凡.一種改進的網絡安全掃描工具[J].計算機工程,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯漢.網絡安全檢測的理論和實踐[J].計算機系統應用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何軍.一種基于主機分布式安全掃描的計算機免疫系統模型[J].計算機應,2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
Research on Risk Precention Model of Computer Network
YANG Tao1 LI Shuren1 DANG Depeng2
( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;
2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)
【關鍵詞】 網絡安全 綜合評價 方法 應用
一、常見網絡安全綜合評價方法
1.1層次分析法(AHP)
1)構造層次分析結構:一般按目標層、準則層、方案層建立三層次的結構。
2)構造判斷矩陣:判斷矩陣的每個元素是某一層兩個元素的相對重要性程度值,一般采用 1-9 及其倒數的標度法。
3)層次單排序及一致性驗證:計算出某層次因素相對于上一層次某一因素的相對重要性。這一步驟還需要檢驗構造的判斷矩陣的合理性,一般采用判斷矩陣最大特征根以外的其余特征根的負平均值,作為度量判斷矩陣的偏離一致性的指標。
4)層次總排序及一致性驗證:依次沿層次結構由下而上逐層計算,即可計算出結構圖中最底層各因素相對于總目標的相對重要性的排序值。
5)決策:根據分析計算結果進行決策。
在網絡安全的研究中,一般不直接采用層次分析法去評價網絡系統的安全性,而是組合其他綜合評價法使用,層次分析法一般用來確定指標的權重。
1.2灰色綜合評價法
灰色綜合評價是指基于灰色系統理論,對系統或所屬因子,在某一時段所處的狀態,做出一種半定性與半定量的評價與描述,以便對系統的綜合效果和整體水平,形成一個可供比較的概念與類別。
1.3人工神經網絡評價法
人工神經網絡(ANN)是由大量與自然神經細胞類似的人工神經元互聯而組成的網絡,它是在對人腦組織結構和運行機制的認識理解基礎之上模擬其結構和職能行為的一種工程系統。基于人工神經網絡的多指標綜合評價方法通過神經網絡的自學習、自適應能力和強容錯性,建立更加接近人類思維模式的定性和定量的綜合評價模型。神經網絡綜合評價方法具有很強的處理非線性關系數據的能力,其權值是通過實例學習而得,避免了主觀性和不確定性,因而具有很大的優越性。
1.3模糊綜合評價法
模糊綜合評價是以模糊數學為基礎,應用模糊關系合成的原理,將一些邊界不清、不易量化的因素定量化,從多個因素對被評價事物隸屬等級狀況進行綜合評價的一種方法。模糊綜合評價方法能有效地解決在網絡安全評估中大量的定性指標量化的問題,是處理帶有主觀評價的安全性評估最好的方法之一,因此本文采用模糊綜合評價方法來建立網絡安全綜合評價模型,該方法將在第五章中詳細介紹。
二、計算機網絡運行存在的風險
2.1操作風險
企業經營業務在不斷拓展,計算機網絡操作的次數更加頻繁,這些都需要內部職員經過相關的操作完成。由于專業技能及理論知識不足,內部人員在操作網絡執行命令時發生錯誤,造成數據傳輸失敗或文件丟失,引發了一系列的操作問題。此外,軟硬件設備的連接處理,未按照計算機聯網標準的要求操作,也會帶來許多潛在的操作風險。
2.2數據風險
數據庫是網絡存儲數據的核心區域,同時也是企業用戶日常操作的主要對象,其面臨的風險隱患最大。如:數據庫訪問風險,打開數據庫未經過有效身份的驗證,權限設置不嚴易造成數據信息被竊取;數據庫調用風險,由于管理工作的疏忽,數據庫資源可隨意性調配利用。數據風險對用戶數據調配是極為不利的,風險發生造成了較大的經濟損失。
2.3病毒風險
病毒是破壞網絡安全的常見因素,病毒的傳播性、破壞性、擴散性等特點往往會波及其它計算機。計算機網絡被病毒感染,本臺計算機系統遭到破壞,用戶在網絡上執行的有關操作將無法完成命令。
2.4設備風險
硬件設備是計算機網絡的重要組成之一,許多網絡操作功能均是通過硬件設備調控才能實現。設備風險的來源是由于計算機設備連接不當,模擬調試階段未對設備潛在的問題及時處理。以主機連接為例,技術人員安裝設備未能對數據接口詳細檢查,主機與其它輔助設備的連接安裝不科學,用戶操作計算機后容易出現數據傳輸問題,情況嚴重時引發設備故障。
三、防范安全風險發生的有效措施
3.1分段技術
分段技術的根本在于從源頭開始對網絡風險進行控制,當前局域網的傳輸方式主要是利用交換機作為中心、路由器作為邊界,而中心交換機具備優越的訪問控制功能及三層交換功能。這就為分段技術的運用提供了有利的條件,如:通過物理分段、邏輯分段對局域網進行安全控制。
3.2加密技術
數據加密是防范網絡信息風險最直接最有效的一種方式,如下圖所示。該技術主要是引導用戶對傳輸過程中的數據設置有效的密碼。
數據加密包括了線路加密、端與端加密等,兩種方式都有著自己的特點。線路加密主要對保密信息使用相應的加密密鑰進行安全保護。
3.3防火墻技術
對計算機網絡安裝防火墻最大的作用在于能夠避免遭到黑客入侵。防火墻技術的預防原理為結合防火墻的功能對網絡通訊實施相應的訪問控制規定,只能同意用戶允許的人和數據進入內部網絡中,對于未經允許的用戶和數據則會自動屏蔽。
3.4抗病毒技術
網絡病毒不僅危害大,而且傳播速度極快,能以很短的時間散布于各個計算機網絡。增加抗病毒技術的運用能夠對網絡病毒起到良好的抵制作用。抗病毒技術主要是通過安裝不同的殺毒軟件實現,如:卡巴斯基、360等,維護計算機處于正常狀態。
四、結束語
考慮到企業辦公自動化模式的普及應用,加強網絡安全管理工作已成為不容忽視的管理內容。企業在制定基于計算機運營平臺的過程中,應深入分析網絡潛在的風險隱患,編制科學的安全綜合評價方案,更好地運用計算機網絡服務企業。
參 考 文 獻
關鍵詞:網絡安全;病毒防范;防火墻
0 引言
如何保證合法網絡用戶對資源的合法訪問以及如何防止網絡黑客的攻擊,已經成為網絡安全的主要內容。
1 網絡安全威脅
1.1 網絡中物理的安全威脅 例如空氣溫度、濕度、塵土等環境故障、以及設備故障、電源故障、電磁干擾、線路截獲等。
1.2 網絡中信息的安全威脅 ①蠕蟲和病毒。計算機蠕蟲和病毒是最常見的一類安全威脅。蠕蟲和病毒會嚴重破壞業務的連續性和有效性。隨著病毒變得更智能、更具破壞性,其傳播速度也更快,甚至能在片刻間使信息處理處于癱瘓狀態,而要清除被感染計算機中的病毒所要耗費的時一間也更長。②黑客攻擊。“黑客”一詞由英語Hacker英譯而來,原意是指專門研究、發現計算機和網絡漏洞的計算機愛好者。現如今主要用來描述那些掌握高超的網絡計算機技術竊取他人或企業部門重要數據從中獲益的人。黑客攻擊主要包括系統入侵、網絡監聽、密文破解和拒絕服務(DtS)攻擊等。
2 網絡安全技術
為了消除上述安全威脅,企業、部門或個人需要建立一系列的防御體系。目前主要有以下幾種安全技術:
2.1 密碼技術 在信息傳輸過程中,發送方先用加密密鑰,通過加密設備或算法,將信息加密后發送出去,接收方在收到密文后,用解密密鑰將密文解密,恢復為明文。如果傳輸中有人竊取,也只能得到無法理解的密文,從而對信息起到保密作用。
2.2 身份認證技術 通過建立身份認證系統可實現網絡用戶的集中統一授權,防止未經授權的非法用戶使用網絡資源。在網絡環境中,信息傳至接收方后,接收方首先要確認信息發送方的合法身份,然后才能與之建立一條通信鏈路。身份認證技術主要包括數字簽名、身份驗證和數字證明。
2.3 病毒防范技術 計算機病毒實際上是一種惡意程序,防病毒技術就是識別出這種程序并消除其影響的一種技術。從防病毒產品對計算機病毒的作用來講,防病毒技術可以直觀地分為病毒預防技術、病毒檢測技術和病毒清除技術。
①病毒預防技術。計算機病毒的預防是采用對病毒的規則進行分類處理,而后在程序運作中凡有類似的規則出現則認定是計算機病毒。病毒預防技術包括磁盤引導區保護、加密可執行程序、讀寫控制技術和系統監控技術等。②病毒檢測技術。它有兩種:一種是根據計算機病毒的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化,在特征分類的基礎上建立的病毒檢測技術;另一種是不針對具體病毒程序的自身校驗技術,即對某個文件或數據段進行檢驗和計算并保存其結果,以后定期或不定期地以保存的結果對該文件或數據段進行檢驗,若出現差異,即表示該文件或數據段完整性己遭到破壞,感染上了病毒,從而檢測到病毒的存在。③病毒清除技術。計算機病毒的清除技術是計算機病毒檢測技術發展的必然結果,是計算機病毒傳染程序的一個逆過程。目前,清除病毒大都是在某種病毒出現后,通過對其進行分析研究而研制出來的具有相應解毒功能的軟件。這類軟件技術發展往往是被動的,帶有滯后性。而且由于計算機軟件所要求的精確性,殺毒軟件有其局限性,對有些變種病毒的清除無能為力。
2.4 入侵檢測技術 入侵檢測技術是一種能夠及時發現并報告系統中未授權或異常現象的技術,也是一種用于檢測計算機網絡中違反安全策略行為的技術。
入侵檢測系統所采用的技術可分為特征檢測與異常檢測兩種。
①特征檢測的假設是入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將己有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。②異常檢測的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
2.5 漏洞掃描技術 漏洞掃描就是對系統中重要的數據、文件等進行檢查,發現其中可被黑客所利用的漏洞。漏洞檢測技術就是通過對網絡信息系統進行檢查,查找系統安全漏洞的一種技術。它能夠預先評估和分析系統中存在的各種安全隱患,換言之,漏洞掃描就是對系統中重要的數據、文件等進行檢查,發現其中可被黑客所利用的漏洞。隨著黑客人侵手段的日益復雜和通用系統不斷發現的安全缺陷,預先評估和分析網絡系統中存在的安全問題已經成為網絡管理員們的重要需求。漏洞掃描的結果實際上就是系統安全性能的評估報告,它指出了哪些攻擊是可能的,因此成為網絡安全解決方案中的一個重要組成部分。
漏洞掃描技術主要分為被動式和主動式兩種:
傳統的企業網絡安全防范主要都是對網絡病毒、系統漏洞、入侵檢測等方面加以設置,安全措施和相關配置通常都在網絡與外部進行連接的端口處加以實施,采取這樣的網絡安全防范雖然能夠降低外部網絡帶來的安全威脅,但卻忽視了企業內部網絡潛在的安全問題。
目前,企業內部網絡的安全問題的嚴重程度已經遠遠超過了外部網絡帶來的安全威脅,企業內部網絡的安全威脅成為了企業信息安全面臨的重大難題。但是,由于企業管理人員的網絡安全防范意識不強,對于企業內部網絡的安全問題不夠重視,甚至沒有對企業內部網絡采取任何安全防范措施,因此導致了企業內部網絡安全事故不斷增加,給企業帶來了重大經濟損失和社會負面影響,怎樣能夠保證企業內部網絡不受到任何威脅和侵害,已經成為了企業在信息化發展建設過程中亟待解決的問題。
2 企業內部網絡的安全威脅
隨著計算機技術和網絡技術的飛速發展,企業內部網絡是其信息化建設過程中必不可少的一部分。而且,網絡應用程序的不斷增多也使得企業網絡正在面臨著各種各樣的安全威脅。
2.1內部網絡脆弱
企業內部網絡遭到攻擊通常是利用企業內部網絡安全防范的漏洞實現的,而且,由于部分網絡管理人員對于企業內部網絡安全防范不夠重視,使得大部分的計算機終端都面臨著嚴重的系統漏洞問題,隨著內部網絡中應用程序數量的日益增加,也給計算機終端帶來了更多的系統漏洞問題。
2.2用戶權限不同
企業內部網絡的每個用戶都擁有不同的使用權限,因此,對用戶權限的統一控制和管理非常難以實現,不同的應用程序都會遭到用戶密碼的破譯和非法越權操作。部分企業的信息安全部門對于內部網絡的服務器管理不到位,更容易給網絡黑客留下可乘之機。
2.3涉密信息分散
由于部分企業內部網絡的涉密數據存儲分布在不同的計算機終端中,沒有將這些涉密信息統一存儲到服務器中,又缺乏嚴格有效的監督控制管理辦法。甚至為了方便日常辦公,對于涉密數據往往不加密就在內部網絡中隨意傳輸,這就給竊取涉密信息的人員制造了大量的攻擊機會。
3 企業內部網絡安全防范設計方案
3.1網絡安全防范總體設計
即使企業內部網絡綜合使用了入侵檢測系統、漏洞掃描系統等防護手段,也很難保證企業內部網絡之間數據通信的絕對安全。因此,在本文設計的企業內部網絡安全防范方案中,部署了硬件加密機的應用,能夠保證對企業內部網絡中的所有數據通信進行加密處理,從而加強企業內部網絡的安全保護。
3.2網絡安全體系模型構建
企業內部網絡安全體系屬于水平與垂直分層實現的,水平層面上包括了安全管理、安全技術、安全策略和安全產品,它們之間是通過支配和被支配的模式實現使用的;垂直層面上的安全制度是負責對水平層面上的行為進行安全規范。一個企業內部網絡安全體系如果想保持一致性,必須包括用戶授權管理、用戶身份認證、數據信息保密和實時監控審計這四個方面。這四個方面的管理功能是共同作用于同一個平臺之上的,從而構建成一個安全可靠、實時可控的企業內部網絡。
1)用戶身份認證
用戶身份認證是保證企業內部網絡安全穩定運行的基礎,企業內部網絡中的用戶身份認證包括了服務器用戶、網絡設備用戶、網絡資源用戶、客戶端用戶等等,而且,由于網絡客戶端用戶數量龐大,存在著更多的不安全、不確定性,因此,對于網絡客戶端用戶的身份認證至關重要。
2)用戶授權管理
用戶授權管理是以用戶身份認證作為基礎的,主要是對用戶使用企業內部網絡的數據資源時進行授權,每個用戶都對應著不用的權限,權限代表著能夠對企業內部網絡中的某些資源進行訪問和使用,包括服務器數據資源的使用權限、網絡數據資源使用權限和網絡存儲設備資源使用權限等等。
3)數據信息保密
數據信息保密作為企業內部網絡中信息安全的核心部分,需要對企業內部網絡中進行數據通信的所有數據進行安全管理,保證數據通信能夠在企業內部網絡中處于一個安全環境下進行,從而保證對企業內部網絡涉密信息和知識產權信息的有效保護。
4)實時監控審計
實時監控審計作為企業內部網絡中必不可少的部分,主要實現的是對企業內部網絡的安全的實時監控,定期生成企業內部網絡安全評估報告,一旦企業內部網絡出現安全問題時,能夠及時匯總數據,為安全事故的分析判斷提供有效依據。
4結論
目前,關于企業內部網絡的安全防范問題一直是網絡信息安全領域研究的熱點問題,越來越多的企業將辦公系統應用于企業內部網絡中,但是由于企業工作人員的安全防范意識不強,或者網絡操作不規范,都給企業內部網絡帶來了更多的安全威脅。本文提出的企業內部網絡安全防范設計方案,能夠有效解決多種內部網絡的安全問題,具有一定的實踐應用價值。
參考文獻
[關鍵詞] 水務;網絡信息安全;管理
[中圖分類號] F272.7 [文獻標識碼] A [文章編號] 1673 - 0194(2013)20- 0054- 03
0 引 言
隨著上海水務信息化工作的快速推進和不斷深化,電子政務、數字水務、水務公共信息平臺、水資源管理系統等信息化成果有力推動了水務的現代化建設。網絡平臺作為信息化建設和信息化成果應用的重要基礎平臺, 支撐起了巨大的IT價值,是水務IT價值實現的根本和基礎。在互聯網快速發展的背景下,網絡攻擊手段日益增多,信息系統所面臨的安全風險也越來越多,如何確保網絡信息安全已成為水務信息化進程中的一項重要工作。
1 現狀分析
上海水務網絡由中國水利信息網接入網、市防汛水務專網、市政務外網接入網、辦公局域網、無線專網等網絡組成,實現了上連國家防總、水利部、全國流域機構,中連全市各委辦局、下連所有局屬單位以及全市各區縣防汛指揮部,系統承載了防汛報訊系統、電子政務系統、水務公共信息平臺、視頻會議系統、視頻監控、水務熱線、水資源管理系統等重要水務防汛應用。
為確保網絡運行安全和系統應用正常,水務網絡實施了一系列的安全防護措施,主要包括:在網絡邊界處部署安全訪問控制設備,如防火墻、上網行為設備等,建立了安全的通信連接,確保數據訪問合法并在有效的安全管理控制之下,同時作為抵御外部威脅的第一道防線,有效檢測和防御惡意入侵;在網絡核心部位和重要區域部署了入侵檢測設備,分析網絡傳輸數據,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象;開展計算環境安全管理,主要內容包括操作系統策略管理、統一病毒防護管理、安全補丁管理等。
2 面臨的安全風險
2.1 信息系統缺乏同步安全建設
信息化進程中,普遍存在重建設輕管理,重應用功能輕安全防護,導致信息系統在建設過程中沒有充分考慮信息安全防護措施和管理要求,通常在安全測評階段,根據相應的測評指標,臨時、被動地實施相關安全防護措施,雖然滿足了測評的基本要求,但是安全措施比較零散,缺乏體系和相互關聯,甚至實施的安全措施治標不治本,安全隱患重重。
2.2 未充分發揮安全產品防御作用
當前,信息安全已深入到業務行為關聯和信息內容語義范疇。防火墻的訪問控制、入侵檢測的預警判斷、網閘的數據傳輸控制以及安全審計信息的合規性判斷均來自應用安全策略要求,信息安全產品更多的是面向應用層面的信息安全控制。但是由于系統開發缺乏明確的安全需求,造成了信息安全產品針對其實施的安全策略權限開放過大或無安全策略,安全告警無法有效判斷,使得部分產品形同虛設,不能充分發揮其防御作用。
2.3 軟件漏洞
軟件漏洞是信息安全問題的根源之一,易引發信息竊取、資源被控、系統崩潰等安全事件。軟件漏洞主要涉及操作系統漏洞、數據庫系統漏洞、中間件漏洞、應用程序漏洞等。操作系統、數據庫等廠商會不定期針對漏洞相應的補丁,但是,由于應用系統運行對程序開發環境的依賴度較高,補丁升級存在較大安全風險和不確定性,使得應用部門通常不實施操作系統等相關補丁升級工作。此外,應用程序本身也普遍缺失安全技術,存在諸多未知安全漏洞等問題。
2.4 網絡病毒
計算機病毒是數據安全的頭號大敵,根據國家計算機病毒應急處理中心的《2011年全國信息網絡安全狀況與計算機及移動終端病毒疫情調查分析報告》,2011年全國計算機病毒感染率為48.87%,雖呈下降態勢,但是病毒帶來的危害越來越大。
2.5 黑客攻擊
國家互聯網應急中心(CNCERT)的最新數據顯示,中國遭受境外網絡攻擊的情況日趨嚴重。CNCERT抽樣監測發現,2013年1月1日至2月28日不足60天的時間里,境外6 747臺木馬或僵尸網絡控制服務器控制了中國境內190萬余臺主機。在信息系統漏洞頻出的情況下,面向有組織的黑客攻擊行為,現有的技術防護和安全管理措施捉襟見肘。
2.6 信息安全意識薄弱
人是信息安全工作的核心因素,其安全管理水平將直接影響信息安全保障工作。由于缺少宣傳、培訓和教育,用戶信息安全意識較為淡薄。由于安全意識淡薄和缺乏識別潛在的安全風險,用戶在實際工作中容易產生違規操作,引發信息安全問題或失泄密事件。
3 采取的管理措施
存在這些安全風險的主要原因為缺乏信息安全規劃、缺乏持續改進的安全維護保障措施以及安全意識薄弱等,所以做好該部分工作是解決當前所面臨安全風險的主要措施。
3.1 信息安全規劃
信息安全規劃是一個涉及技術、管理、法規等多方面的綜合工程,是確保物理安全、網絡安全、主機安全、應用安全和數據安全的系統性規劃。信息安全規劃既依托于信息化規劃,又是信息化的重要組成部分。在信息安全規劃的指導下,信息系統安全建設與管理才能有計劃、有方向、有目標。信息安全規劃框架如圖1。
3.1.1 以信息化規劃為指引,以信息化建設現狀為基礎
信息安全規劃是以信息化規劃為指引,以信息化建設現狀為基礎,系統性的規劃信息安全架構,是信息化發展中的重要環節。信息安全規劃一方面要對信息化發展現狀進行深入和全面的調研,摸清家底、掌握情況,分析當前存在的安全問題和信息化發展所帶來的安全需求,另一方面要緊緊圍繞信息化規劃,按照信息化發展戰略和思路,同步考慮信息安全問題。
3.1.2 建立信息安全體系
信息安全規劃需要圍繞技術安全、管理安全、組織安全進行全面的考慮,建立相應的信息安全體系,確定信息安全的任務、目標、戰略以及人員保障。
3.2 日常安全運維保障
3.2.1 關注互聯網安全動態
互聯網的快速發展使得水務網絡安全與互聯網安全密切相關。因此,關注互聯網安全動態,及時更新或調整水務網絡安全策略和防護措施,是日常安全管理工作中的一項重要工作。
3.2.2 安全態勢分析
網絡信息安全是一個動態發展的過程,固化的安全防護措施無法持續確保網絡環境安全。定期對網絡安全環境進行態勢分析不僅可以掌握當前存在的問題,面臨的風險,而且可以及時總結原因,制定改進策略。安全態勢分析主要通過對網絡設備、安全設備、主機設備及安全管理工具等策略變更信息、日志信息、安全告警信息等,經過統計和關聯分析,綜合評估網絡系統安全狀態,并判斷發展變化趨勢。
3.2.3 信息安全風險評估
風險評估是信息安全管理工作的關鍵環節。通過開展風險評估工作,可以發現信息安全存在的主要問題和矛盾,找到解決諸多問題的辦法。安全風險評估的主要步驟和方法:①確定被評估的關鍵信息資產;②通過文檔審閱、脆弱性掃描、本地審計、人員訪談、現場觀測等方式,獲得評估范圍內主機、網絡、應用等方面與信息安全相關的技術與管理信息;③對所獲得的信息進行綜合分析,鑒別被評估信息資產存在的安全問題與風險;④從系統脆弱性鑒別、漏洞和威脅分析、現有技術和管理措施、管理制度等方面,根據不同風險的優先級,分析、確定管理相應風險的控制措施;⑤基于以上分析的結果,形成相應的信息安全風險評估報告。
3.2.4 應急響應
應急響應是信息安全防護的最后一道防線,其主要目的是盡可能地減小和控制信息安全事件的損失,提供有效的響應和恢復。應急響應包括事先應急準備和事件發生后的響應措施兩部分。事先應急準備主要包括明確組織指揮體系,預警及預防機制,應急響應流程,應急隊伍、應急設備、技術資料、經費等應急保障,定期開展應急演練等工作。事件發生后的應急措施包括收集系統特征,檢測病毒、后門等惡意代碼,限制或關閉網絡服務,系統恢復等工作。這兩方面互相補充,事前應急準備為事件發生后的響應提供指導,事后的響應處置進一步促進事前準備工作的不斷完善。
3.3 教育培訓
人是信息安全工作的核心因素,其知識結構和應用水平將直接影響信息安全保障工作。加強相關信息安全管理人員的專業培訓,以及開展面向網絡用戶的信息安全宣傳教育、行為引導等,是提升信息安全專業化管理水平,提高信息安全意識,有效避免信息安全問題或失泄密事件發生的重要工作。
4 總 結
隨著信息化進程的加快,信息系統所面臨的安全風險越來越多,信息安全管理工作要求也逐步提高。持續分析、總結網絡信息安全管理中存在的問題,并采取針對性的措施不斷加以改進,成為保證水務信息化戰略實現、不斷提升水務部門管理能力和服務水平的重要基礎保障工作。
主要參考文獻
[1]GB/T 22239-2008,信息安全技術信息系統安全等級保護基本要求[S].
[2]GB/T 25058-2010,信息安全技術信息系統安全等級保護實施指南[S].
2012年的報告主要內容包括引言、戰略指導、對工業基礎的“逐行業、逐層級”(S2T2)評估、對工業部類的評估、國防并購、維持工業能力的計劃與措施等6部分。本文呈現的是該報告對美國國防工業各領域的評估。負責制造和工業基礎政策的國防部副部長助理主導評估與分析,對以下領域開展了工業基礎檢查。評估包括該工業領域的運行狀況、支持該領域的財務狀況、對國防工業基礎很重要的風險領域或關鍵問題。
飛機工業領域
2011財年,軍用飛機銷售和利潤率穩健增長,產品和服務銷售較上年增長4.2%,企業財務健康。但由于F-35開發項目終止,以及未來年度并無新戰斗機需求,國防部將降低戰術飛機研發預算;同時,飛機工業勞動力老化,年輕工程師對該領域興趣減小,關鍵設計能力面臨缺乏與不足。而與之相對應的是,對無人機的需求在不斷增長,工業基礎廣闊、健康、并持續增長。
主要問題有:①大型鑄件和鍛件供應商少,需要的準備期長,對能源和原材料價格、需求周期高度敏感;②高精度軸承供應商有限,許多平臺對單一產品和單一供應商依賴度高。
信息技術、雷達與電子戰、指揮、控制、通信與計算機領域(IT/C4)
信息技術工業仍然保持健康,各類可供選擇的供應商眾多。由于防務公司和商業公司的技術技能并無實質性差異,國防部對商業公司(尤其低層的供應商)的依賴逐年增加。建模與仿真是“逐行業、逐層級”評估關注的焦點,目前該領域運行健康,有能力滿足當前與未來需求。指揮、控制、通信與計算機工業存在大量具有設計與生產資格的供應商,有健康的全球商用電子工業作為支持。
主要問題包括:①雷達與電子戰工業整體狀況可維持,但基礎較為薄弱,一些關鍵技術難以民用;②C4工業基礎的全球化和商業化特性導致供應鏈管理和防止假冒偽劣等方面易發生問題;③國防部通信主要依賴商業網絡,國內只有一家第一層級電信設備供應商和少數第二層級供應商。
服務保障工業領域
服務保障工業組織簡單,只有主承包商和分包商兩個層級,每個層級都有相當多的勞動力群體。主承包商通過一個或多個分包商獲得專業化技能。由于幾乎所有需求都有多樣的、高度競爭的、有經驗的供應源,因此服務保障工業保持相對健康。
主要問題為:復雜武器系統設計人員不足。
網絡電磁工業領域
網絡電磁工業是信息和通信技術(ICT)工業的一部分,但由于其在國家安全中的特殊地位,新版《年度工業能力評估報告》將其從傳統的IT/C4工業中單列出來。通過評估發現,在網絡電磁領域,美國存在著各種層面的競爭對手,不過基于ICT工業的全球性特征,美國商用ICT工業無需在規模或年收入上壓倒競爭對手,而是要著眼于保持領先地位。
主要問題包括:①網絡電磁安全人才相對不足,對工業基礎的支撐不夠堅實;②國防工業基礎網絡安全方面,要滿足“國防聯邦采辦條例”補充規定(DFARS)的要求,將額外增加工業基礎投入。
戰車工業領域
戰車工業對美國在伊拉克和阿富汗戰爭中的行動提供了有力支撐,具有較好的應急能力。2012年新版戰略指南預計國防開支減少和軍事力量更趨精簡靈巧,取代了既要保持戰車數量又要開發新型陸地戰車的傳統思路。
主要問題有:①隨著陸地戰車采購量下降,僅生產軍用車輛的供應商的承受能力要差于生產軍民兩用車輛的供應商;②中小供應商抵御風險的能力不足,應保障其具有專業人才、技能和設計研發新一代產品的能力。
材料工業領域
用于制造中間產品和最終產品的原材料及供應鏈對于國家制造基礎、整體經濟和國家安全是不可或缺的。原材料供應鏈通常依賴于國際貿易,國防工業基礎對原材料的需求占美國整體需求的比例有限,大部分還是集中在商業領域。因而,保持國防工業基礎健康發展必須有充滿活力的商業制造基礎。美國國防部采取了一系列措施,評估原材料供應鏈為作戰人員提供可靠和經濟的產品的能力。
主要問題為:國際市場存在出口管制等行為,導致稀土等原材料供應受到影響。
彈藥和導彈工業領域
彈藥和導彈工業是國防工業的基礎行業。該領域存在較為明顯的周期性,在沖突時產量驟增,在沖突結束后銳減。這種周期性,要求主承包商對分承包商具有良好的產量管理能力。
問題主要有:(1)洛?馬公司和雷聲公司占據85%的市場份額,兩大公司的分承包商之間競爭不足;(2)預算增加,但是研發和采辦投入可能下降,從而導致維持設計和工程團隊存在困難;(3)主承包商維持關鍵的分承包商工業基礎面臨挑戰。
艦船工業領域
艦船工業總體保持穩定,主要船廠和承包商財務狀況良好。艦船工業部門出現數起并購重組,如諾?格集團分拆艦船業務,通用動力決定收購康弗蒂姆公司;主減速齒輪、軍用閥門等低層級行業也存在并購事件。
主要問題有:①無大型中速柴油機制造商,只能以許可證的方式生產;②大型鑄件供應商短缺;③大型鍛壓(尤其是1.4萬~5萬噸)行業存在不足,僅有一家超大型鍛壓制造商可制造推進軸及核反應堆安全殼等關鍵組件。
航天工業領域
