內容網路安全評估方法

① 什麼手段可以有效應對較大范圍的安全事件的不良影響保證關鍵服務和數據的可用

網路安全評估方法按照其原理來說可以分為以下三大類：

• 基於數學模型的方法

基於數學模型的方法最早被用於態勢評估。該評估方法根據影響網路態勢的不同因素，構造評價函數，然後通過評價函數將多個態勢因子聚集得到態勢結果。基於數學模型的方法通過借鑒傳統通用的多目標決策理論的一些方法來解決態勢評估的問題，其優點就是可以形象直觀的反映網路安全態勢情況，比如傳統的權重分析法，集對分析方法都屬於該模型的范疇。但是針對該方法也存在著許多的不足，比如說數學模型中核心評價函數的構造、參數的選擇等沒有統一的評價標准和衡量體系，往往藉助該領域專家的知識和經驗來進行評估，因此不可避免的帶有專家的主觀意見。

• 基於知識推理的方法

基於知識推理的方法主要用來處理一些數學模型難以處理的情況。知識推理方法能夠模擬人類的思維方式，相對於傳統的數學模型而言，評價過程具有一定的智能性，在一定程度上避免了人的主觀因素對態勢評估客觀性的影響。知識推理方法一方面藉助模糊集、概率論、D-S 證據理論等處理不確定性信息；另一方面通過推理匯聚多源多屬性信息。在知識推理方面研究的熱點有基於故障圖模型的安全態勢評估方法、基於攻擊樹的安全態勢評估方法、基於特權圖的安全態勢評估方法、基於攻擊圖模型的安全態勢評估方法、基於貝葉斯網路的安全態勢評估方法、基於層次化的安全態勢評估方法等。

• 基於模式識別的方法

隨著機器學習技術的發展，模式識別方法被引入到網路安全態勢評估的研究中。該方法借鑒數據挖掘演算法的理念，主要依靠從訓練樣本或者歷史數據中挖掘態勢模式來進行態勢評估。該方法具有強大的學習能力，其過程主要分為建立模式和模式匹配兩個階段。在網路安全態勢評估中使用該方法的代表性工作包括：支持向量機的方法、基於神經網路、灰關聯度、粗集理論和基於隱馬爾科夫模型的態勢評估方法。

② 網路安全評估的實做與分析

周密的網路安全評估與分析，是可靠，
有效的安全防護措施制定的必要前提。網路風險分析應該在網路系統，應用程序或信息資料庫的設計階段進行，這樣可以從設計開始就明確安全需求，確認潛在的損失。因為在設計階段實現安全控制要遠比在網路系統運行後採取同樣的控制要節約的多。即使認為當前的網路系統分析建立的十分完善，在建立安全防護時，風險分析還是會發現一些潛在的安全問題。網路系統的安全性取決於網路系統最薄弱的環肆坦猜節，任何疏忽的地方都可能成為黑客攻擊點，導致網路系統受到很大的威脅，最有效的方法是定期對網路系統進行安全性分析，及時裂型發現並修正存在的弱點和信旁漏洞，保證網路系統的安全性。

③ 如何對網路安全進行風險評估

安全風險分為四個顏色，紅、藍、黃、綠。
分別對應四個等級，其含義和用途：
（1）紅色：表示禁止、停止，用於禁止標志、停止信號、車輛上的緊急制動手柄等；
（2）藍色：表示指令、必須遵守的規定，一般用於指令標志；
（3）黃色：表示警告、注意，用於警告警戒標志、行車道中線等；
（4）綠色：表示提示安全狀態、通行，用於提示標志、行人和車輛通行標志等。



(3)內容網路安全評估方法擴展閱讀：
國家標准GB2893—82《 安全色》對安全色的含義及用途、照明要求、顏色范圍以及檢查與維修等均作了具體規定。
根據《安全色》（GB2893-2001），國家規定了四種傳遞安全信息的安全色：紅色表示禁止、危險；黃色表示警告、注意；藍色表示指令、遵守；綠色表示通行、安全。
安全風險評估
安全風險評估：就是從風險管理角度，運用科學的方法和手段，系統地分析網路與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵禦威脅的防護對策和整改措施。
風險評估工作貫穿信息系統整個生命周期，包括規劃階段、設計階段、實施階段、運行階段、廢棄階段等。
常用的安全風險評價方法：
1、工作危害分析（JHA）；
2、安全檢查表分析（SCL）；
3、預危險性分析（PHA）；
4、危險與可操作性分析（HAZOP）；
5、失效模式與影響分析（FMEA）；
6、故障樹分析（FTA）；
7、事件樹分析（ETA）；
8、作業條件危險性分析（LEC）等方法。

④ 怎樣評估網路安全風險

一般情況下，安全風險評估服務，將從IT資產、網路架構、網路脆弱性、數據流、應用系統、終端主機、物理安全、管理安全共8個方面，對網路進行全面的風險評估，並根據評估的實際情況，提供詳細的網路安全風險評估報告

⑤ 網路輿情效果評估最常用的評估方式有

目前網路公關傳播顯然已經在公關中占據重要的地位，但其效果評估一直困擾著企業和網路公關公司。網路公關公司普遍採用「廣告當量」代替對互聯網公關傳播效果本身的衡量，這樣的評估方式雖然量化上有一定的指標意義，但是對於影響力以及效果的真實說明上還是存在距離的，我們看看當前的一些評估方式有哪些?

  1)量：評估網路公關傳播會以數量作為KPI已經成為普遍方式，主要表現為主動發布篇次、被轉載數、評論數、瀏覽量等。

  不過目前瀏覽量一般媒體平台很少對外公開，尤其對於單篇新聞，頁面上也很難看出來，其他數據是比較直觀，對於達成效果上是相對容易的，在對效果的意義上，以量為據的方式不是最好的評估方法，在傳播中這種方法是最基礎的KPI設定方式。在被轉載數這個指標上，目前來看是對網路公關一個很好的評估，一篇好的文章，和一個好的新聞事件，會在很長時間內會被反復轉載。截止一個時間段並記錄它的被轉載次數，是一個可行的方案。

  2)質：關於網路公關傳播質量的評估，會有很多個維度，比如：

  熱門新聞排行榜：由於很多新聞沒有瀏覽量來權衡，不過一些新聞網站會有一個根據24小時、48小時訪問流量的新聞自動排序，兩外一些網路新聞源媒體在「網路新聞」各個頻道的推薦也值得關注。

  網路媒體發布的位置：網路發布的位置一般會通過兩方面產生，一個是以廣告形式購買的文字鏈或者幻燈片輪播，之後用戶點擊是企業的新聞，或產品推薦或者品牌植入等等，這種方式一般較容易達成，不過要考慮內容的符合度。另外一種方式則是策劃優秀的內容被編輯推薦，這種難度較高，需要營銷推廣人員在內容選題、稿件撰寫上有一定功夫。

  專題的影響力：帶入流量、專題文章數量、評論量、文章撰寫專家數量與影響力等都會成為專題評估的指標，不過目前在網路公關上，大家習慣性的進行專題製造，在專題的用法上重點在質，不在量的多少，一個專題輸出內容是不是足夠有影響力，吸引過來用戶的目的是什麼，如果是一個企業的產品介紹頁，那不如就直接做個廣告鏈接到企業官方網站，專題更多會是深度解讀，從品牌的另一面展示品牌內涵。

  3)勢：網路公關的真正的影響力有多大，這個「勢」可以引起多少人關注，在這方面會有幾個指標出現：

  傳播力：有些網路公關傳播上會引發全行業的關注，一篇爆炸性的網路新聞發出後，引起平面、電視、廣播等媒體的熱烈討論，在這時就不是「被轉載數」這個指標來評估了，在成「勢」之後，會有眾多媒體、機構自發的將事件發酵起來，此時可以通過網路指數、Google趨勢等數據進行評估，或者委託第三方調研公司，調查品牌或者產品的知名度及美譽度變化情況。

  銷售力：銷售這個詞是企業推廣的終極目的，只是在品牌的各階段要求會略有不同，然而在網路公關效果成「勢」方面是不是就能帶來銷售力，我的回答是，能!從一個用戶「了解、知道、興趣、購買」的行為轉化流程看，了解、知道環節都可以從網路公關上獲得，用戶行為的轉化可以通過公關、廣告、互動產生，目前通過網路廣告產生是很容易評估，各種監測代碼隨著用戶跳轉著陸被記錄下來。

⑥ 信息網路安全風險評估的方法是定性評估還是定點評估

信息安全風險評估是信息系統安全的基礎性工作。它是傳統的風險理論和方法在信息系統中的運用，是科學地分析和理解信息與信息系統在保密性、完整性、可用性等方面所面臨的風險，並在風險的減少、轉移和規避等風險控制方法之間做出決策的過程

⑦ 如何評估網路系統的安全

國際標准化組織將「計算機安全」定義為： 「為數據處理系統建立和裂棚採取的技術和管理的安全慧鉛保護，保護計算機硬體、軟體數據不因偶然和惡意的原因而遭到破壞、更改和泄漏」。 上述計算機安全的定義包含物理安全和邏輯安肆碧則全兩方面的內容，其邏輯安全的內...

⑧ 網路安全評估主要有哪些項目

網路安全評估，也稱為網路評估、風險評估、網路風險評估、安全風險評估。一般情況下，它包括以下幾個方面：
網路資產評估、網路架構評估、網路脆弱性評估、數據流評估、應用系統評估、終端主機評估、物理安全評估、管理安全評估，一共8個方面。

成都優創信安，專業的網路和信息安全服務提供商。

⑨ 網路安全評估准則和方法的內容是什麼

網路安全評估准則通常採用美國國防部計算機安全中心制定的可信計算機系統評價准則（TCSEC）。TCSEC 定義了系統安全的 5 個要素：系統的安全策略、系統的審計機制、系統安全的可操作性、系統安全的生命期保證以及針對以上系統安全要素而建立和維護的相關文件。

定量評估方法

定量的評估方法是指運用數量指標來對風險進行評估。

定量的評估方法的優點是用直觀的數據來表述評估的結果，看起來比較客觀，而且一目瞭然，定量分析方法的採用，可以使研究結果更嚴密，更科學，更深刻。有時，一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的；但常常為了量化，使本來比較復雜的事物簡單化、模糊化物老了，有的風險因素被量化以後還可能被誤解和曲解。

定量分析方法主要有等風險圖法、決策樹法、因子分析法、時序模墅、回歸模型、聚類分析法等。

⑩ 簡述網路安全的相關評估標准.

1 我國評價標准

1999年10月經過國家質量技術監督局批准發布的《計算機信息系統安全保護等級劃分准則》將計算機安全保護劃分為以下5個級別。
l 第1級為用戶自主保護級（GB1安全級）：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。
l 第2級為系統審計保護級（GB2安全級）：除具備第一級所有的安全保護功能外，要求創建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。
l 第3級為安全標記保護級（GB3安全級）：除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問許可權，實現對訪問對象的強制保護。
l 第4級為結構化保護級（GB4安全級）：在繼承前面安全級別安全功能的基礎上，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統的抗滲透能力。
l 第5級為訪問驗證保護級（GB5安全級）：這一個級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。
我國是國際標准化組織的成員國，信息安全標准化工作在各方面的努力下正在積極開展之中。從20世紀80年代中期開始，自主制定和採用了一批相應的信息安全標准。但是，應該承認，標準的制定需要較為廣泛的應用經驗和較為深入的研究背景。這兩方面的差距，使我國的信息安全標准化工作與國際已有的工作相比，覆蓋的范圍還不夠大，宏觀和微觀的指導作用也有待進一步提高。
2 國際評價標准

根據美國國防部開發的計算機安全標准——可信任計算機標准評價准則（Trusted Computer Standards Evaluation Criteria，TCSEC），即網路安全橙皮書，一些計算機安全級別被用來評價一個計算機系統的安全性。
自從1985年橙皮書成為美國國防部的標准以來，就一直沒有改變過，多年以來一直是評估多用戶主機和小型操作系統的主要方法。其他子系統（如資料庫和網路）也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別，如表1-1所示。
表 安全 級 別
類 別
級 別
名 稱
主 要 特 征
D
D
低級保護
沒有安全保護
C
C1
自主安全保護
自主存儲控制
C2
受控存儲控制
單獨的可查性，安全標識
B
B1
標識的安全保護
強制存取控制，安全標識
B2
結構化保護
面向安全的體系結構，較好的抗滲透能力
B3
安全區域
存取監控、高抗滲透能力
A
A
驗證設計
形式化的最高級描述和驗證
D級是最低的安全級別，擁有這個級別的操作系統就像一個門戶大開的房子，任何人都可以自由進出，是完全不可信任的。對於硬體來說，沒有任何保護措施，操作系統容易受到損害，沒有系統訪問限制和數據訪問限制，任何人不需任何賬戶都可以進入系統，不受任何限制可以訪問他人的數據文件。屬於這個級別的操作系統有DOS和Windows 98等。
C1是C類的一個安全子級。C1又稱選擇性安全保護（Discretionary Security Protection）系統，它描述了一個典型的用在UNIX系統上安全級別。這種級別的系統對硬體又有某種程度的保護，如用戶擁有注冊賬號和口令，系統通過賬號和口令來識別用戶是否合法，並決定用戶對程序和信息擁有什麼樣的訪問權，但硬體受到損害的可能性仍然存在。
用戶擁有的訪問權是指對文件和目標的訪問權。文件的擁有者和超級用戶可以改變文件的訪問屬性，從而對不同的用戶授予不通的訪問許可權。
C2級除了包含C1級的特徵外，應該具有訪問控制環境（Controlled Access Environment）權力。該環境具有進一步限制用戶執行某些命令或者訪問某些文件的許可權，而且還加入了身份認證等級。另外，系統對發生的事情加以審計，並寫入日誌中，如什麼時候開機，哪個用戶在什麼時候從什麼地方登錄，等等，這樣通過查看日誌，就可以發現入侵的痕跡，如多次登錄失敗，也可以大致推測出可能有人想入侵系統。審計除了可以記錄下系統管理員執行的活動以外，還加入了身份認證級別，這樣就可以知道誰在執行這些命令。審計的缺點在於它需要額外的處理時間和磁碟空間。
使用附加身份驗證就可以讓一個C2級系統用戶在不是超級用戶的情況下有權執行系統管理任務。授權分級使系統管理員能夠給用戶分組，授予他們訪問某些程序的許可權或訪問特定的目錄。能夠達到C2級別的常見操作系統有如下幾種：
（1）UNIX系統；
（2）Novell 3.X或者更高版本；
（3）Windows NT，Windows 2000和Windows 2003。
B級中有三個級別，B1級即標志安全保護（Labeled Security Protection），是支持多級安全（例如：秘密和絕密）的第一個級別，這個級別說明處於強制性訪問控制之下的對象，系統不允許文件的擁有者改變其許可許可權。
安全級別存在秘密和絕密級別，這種安全級別的計算機系統一般在政府機構中，比如國防部和國家安全局的計算機系統。
B2級，又叫結構保護（Structured Protection）級別，它要求計算機系統中所有的對象都要加上標簽，而且給設備（磁碟、磁帶和終端）分配單個或者多個安全級別。
B3級，又叫做安全域（Security Domain）級別，使用安裝硬體的方式來加強域的安全，例如，內存管理硬體用於保護安全域免遭無授權訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統上。
A級，又稱驗證設計（Verified Design）級別，是當前橙皮書的最高級別，它包含了一個嚴格的設計、控制和驗證過程。該級別包含較低級別的所有的安全特性。
安全級別設計必須從數學角度上進行驗證，而且必須進行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含義是：硬體和軟體在物理傳輸過程中已經受到保護，以防止破壞安全系統。橙皮書也存在不足，TCSEC是針對孤立計算機系統，特別是小型機和主機系統。假設有一定的物理保障，該標准適合政府和軍隊，不適合企業，這個模型是靜態的。