以下常见的网络安全评估方法

A. 网络舆情效果评估最常用的评估方式有

目前网络公关传播显然已经在公关中占据重要的地位，但其效果评估一直困扰着企业和网络公关公司。网络公关公司普遍采用“广告当量”代替对互联网公关传播效果本身的衡量，这样的评估方式虽然量化上有一定的指标意义，但是对于影响力以及效果的真实说明上还是存在距离的，我们看看当前的一些评估方式有哪些?

  1)量：评估网络公关传播会以数量作为KPI已经成为普遍方式，主要表现为主动发布篇次、被转载数、评论数、浏览量等。

  不过目前浏览量一般媒体平台很少对外公开，尤其对于单篇新闻，页面上也很难看出来，其他数据是比较直观，对于达成效果上是相对容易的，在对效果的意义上，以量为据的方式不是最好的评估方法，在传播中这种方法是最基础的KPI设定方式。在被转载数这个指标上，目前来看是对网络公关一个很好的评估，一篇好的文章，和一个好的新闻事件，会在很长时间内会被反复转载。截止一个时间段并记录它的被转载次数，是一个可行的方案。

  2)质：关于网络公关传播质量的评估，会有很多个维度，比如：

  热门新闻排行榜：由于很多新闻没有浏览量来权衡，不过一些新闻网站会有一个根据24小时、48小时访问流量的新闻自动排序，两外一些网络新闻源媒体在“网络新闻”各个频道的推荐也值得关注。

  网络媒体发布的位置：网络发布的位置一般会通过两方面产生，一个是以广告形式购买的文字链或者幻灯片轮播，之后用户点击是企业的新闻，或产品推荐或者品牌植入等等，这种方式一般较容易达成，不过要考虑内容的符合度。另外一种方式则是策划优秀的内容被编辑推荐，这种难度较高，需要营销推广人员在内容选题、稿件撰写上有一定功夫。

  专题的影响力：带入流量、专题文章数量、评论量、文章撰写专家数量与影响力等都会成为专题评估的指标，不过目前在网络公关上，大家习惯性的进行专题制造，在专题的用法上重点在质，不在量的多少，一个专题输出内容是不是足够有影响力，吸引过来用户的目的是什么，如果是一个企业的产品介绍页，那不如就直接做个广告链接到企业官方网站，专题更多会是深度解读，从品牌的另一面展示品牌内涵。

  3)势：网络公关的真正的影响力有多大，这个“势”可以引起多少人关注，在这方面会有几个指标出现：

  传播力：有些网络公关传播上会引发全行业的关注，一篇爆炸性的网络新闻发出后，引起平面、电视、广播等媒体的热烈讨论，在这时就不是“被转载数”这个指标来评估了，在成“势”之后，会有众多媒体、机构自发的将事件发酵起来，此时可以通过网络指数、Google趋势等数据进行评估，或者委托第三方调研公司，调查品牌或者产品的知名度及美誉度变化情况。

  销售力：销售这个词是企业推广的终极目的，只是在品牌的各阶段要求会略有不同，然而在网络公关效果成“势”方面是不是就能带来销售力，我的回答是，能!从一个用户“了解、知道、兴趣、购买”的行为转化流程看，了解、知道环节都可以从网络公关上获得，用户行为的转化可以通过公关、广告、互动产生，目前通过网络广告产生是很容易评估，各种监测代码随着用户跳转着陆被记录下来。

B. 如何评估网络安全风险并在此基础之上提出所采用的技术方案

首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？
其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？
第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？
第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？
最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？
风险评估的主要任务包括：
识别评估对象面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策

C. 怎样评估网络安全风险

一般情况下，安全风险评估服务，将从IT资产、网络架构、网络脆弱性、数据流、应用系统、终端主机、物理安全、管理安全共8个方面，对网络进行全面的风险评估，并根据评估的实际情况，提供详细的网络安全风险评估报告

D. 如何进行企业网络的安全风险评估

安全风险评估，也称为网络评估、风险评估、网络安全评估、网络安全风险评估，它是指对网络中已知或潜在的安全风险、安全隐患，进行探测、识别、控制、消除的全过程，是企业网络安全管理工作的必备措施之一。

安全风险评估的对象可以是整个网络，也可以是针对网络的某一部分，如网络架构、重要业务系统。通过评估，可以全面梳理网络资产，了解网络存在的安全风险和安全隐患，并有针对性地进行安全加固，从而保障网络的安全运行。

一般情况下，安全风险评估服务，将从IT资产、网络架构、网络脆弱性、数据流、应用系统、终端主机、物理安全、管理安全共8个方面，对网络进行全面的风险评估，并根据评估的实际情况，提供详细的网络安全风险评估报告。

成都优创信安，专业的网络安全服务、网站安全检测、IT外包服务提供商。我们提供了专业的网络安全风险评估服务，详细信息可查看我们网站。

E. 网络安全评估主要有哪些项目

网络安全评估，也称为网络评估、风险评估、网络风险评估、安全风险评估。一般情况下，它包括以下几个方面：
网络资产评估、网络架构评估、网络脆弱性评估、数据流评估、应用系统评估、终端主机评估、物理安全评估、管理安全评估，一共8个方面。

成都优创信安，专业的网络和信息安全服务提供商。

F. 如何对网络安全进行风险评估

安全风险分为四个颜色，红、蓝、黄、绿。
分别对应四个等级，其含义和用途：
（1）红色：表示禁止、停止，用于禁止标志、停止信号、车辆上的紧急制动手柄等；
（2）蓝色：表示指令、必须遵守的规定，一般用于指令标志；
（3）黄色：表示警告、注意，用于警告警戒标志、行车道中线等；
（4）绿色：表示提示安全状态、通行，用于提示标志、行人和车辆通行标志等。



(6)以下常见的网络安全评估方法扩展阅读：
国家标准GB2893—82《 安全色》对安全色的含义及用途、照明要求、颜色范围以及检查与维修等均作了具体规定。
根据《安全色》（GB2893-2001），国家规定了四种传递安全信息的安全色：红色表示禁止、危险；黄色表示警告、注意；蓝色表示指令、遵守；绿色表示通行、安全。
安全风险评估
安全风险评估：就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。
风险评估工作贯穿信息系统整个生命周期，包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。
常用的安全风险评价方法：
1、工作危害分析（JHA）；
2、安全检查表分析（SCL）；
3、预危险性分析（PHA）；
4、危险与可操作性分析（HAZOP）；
5、失效模式与影响分析（FMEA）；
6、故障树分析（FTA）；
7、事件树分析（ETA）；
8、作业条件危险性分析（LEC）等方法。

G. 网络信息评估方法有哪些

1. 权重评估分析法：

1.1 信息来源评估

一条信息是大媒体公布的还是小道消息，是知名人物说的还是小角色。

是在有https的网站上的内容还是http网站上的。

一般事件大网站，权威媒体一般是比较准确的。

1.2 专业评估

非专业人士如果发表专业领域的看法，笑笑就可以了，别当真。

如果是和专业人士观点背道而驰，那么非专业人士很可能就是在胡搅蛮缠。

你想想看对方和你一样都是不懂这个专业的，怎么可能得出正确的结论？

2.3 能力评估

如果一个人教你做了一件他自己都没做成的事情，你就要值得怀疑。大部分情况下是骗子，少部分情况下是迫于一些现实原因没法完成。

如果一个人本身就混的不成功，来传授“成功”的秘诀，十有八九是这个人想推销“成功学”骗钱。如这个人十分成功，那可能还真是“成功学”（虽然你不一定用得上）。

这里答主有一个正面例子：Ray Dalio，桥水投资的创始人。身价 $18.1 billion 美金

Ray Dalio - Wikipediaen.wikipedia.org

做了一个成功学的短视频：

https://www.youtube.com/watch?v=B9XGUpQZY38www.youtube.com

身价不是上亿美金，不要谈什么狗屁“成功学”。

虽然答主认为这没啥用处，如果各位真想用“鸡汤”找回点信心，去看名人传记，或者这些当代名人的“言论”，会比“职业鸡汤作家”更加接近现实。

2.4 机会成本评估

主要看一个人的时间有多值钱。

这里是考虑机会成本，也就是信息来源的作者如果不去干这件事，他能赚多少钱，而不是他有多少钱！

如果一个人十分繁忙，还在百忙之间来发表评论。那说明可能关系到自己切身利益。

如果结论并没有对其自身利益产生影响，很可能是这个人真的想给大众一个真理。

一个靠写营销文赚钱的和一个名校博士/企业高管，都发表了对一个事件的看法，你觉得应该相信谁？

名校博士/企业高管如果不写文章对他来说毫无影响，用这些时间去工作可以赚得比写文章多得多的回报。之所以这么做，如果不是为了自己的利益，就是真的想传播一下真理。

而营销文不一样, 如果不写，他们就没有工资，所以观点切实的影响了他们的利益。这时候就不要去相信这些观点。（当然不排除某些“用爱发电”的营销号）

2. 逻辑推理分析法

2.1 权威例外&结论利益评估

一般来说权威是准确的，但当这些内容影响到了他们自身利益的时候，他们一般不会说实话和真话。而是用“官话”搪塞或者蒙蔽一些事实，断章取义。

大多数人是理性的动物，是靠利益驱动的。

要会判断两个相反的结论对谁有好处。

屁股决定脑袋，尤其是对一些活在上流社会的人来说更是如此。

他们说得大部分话首先会考虑对自己有没有影响。

如果有影响，他们会选择对自己有利的观点。

如果没影响，他们会选择较为“正确”的观点，这里的“正确”大部分情况指政治正确。

2.2 影响力原因

很多人喜欢用人数衡量一个人是否权威。有一定道理，但不绝对。

首先要看粉丝是为什么来的，娱乐明星，或者节目主持人，一般粉丝都是因为，颜值，名气而来的，而非这个人有多么专业。所以在科学问题上不要相信这些人的言论，也不要去听信他们对于一些技术，社会问题的解释。

2.2 验证困难性

很多观点有验证困难性。这要归结到一个比较常见的逻辑语句 “→”

比如：事件A→事件B

如果事件A没有发生，那么B无论发不发生，逻辑都是自洽的。

验证建立在事件A几乎不可能发生，或者很难判断A发生了，这种验证就是无效的。

或者是B事件没法精确验证

比如：转发这条说说，就能有好运。

怎么样判断你有没有“好运”就是没法精确验证的事情。

或者是B时间永远正确/在你所能见到的时间尺度上永远正确

那么无论A发不发生，这条逻辑始终成立。

大部分的胡搅蛮缠都是在玩弄这个简单的逻辑符号。

2.3 逻辑自查

有很多文章是前后有逻辑漏洞的，如果你逻辑非常清晰就能很快找出其中的漏洞。当然这需要一定的功底，所以不像上面那些方法简单啊。但用好这一条确是比上面更有用。

2.4 叙述模糊

一些概念如果非常模糊，或闭口不谈，那就是这部分内容没法逻辑上自圆其说，所以故意不写清楚。

2.5 逻辑模糊&叙述模糊：局限性

这个不适用于故事性例子。如果作者功底厉害，完全可以编一个叙述详细，并且几乎没有逻辑漏洞的故事。这个只适用于类似，证明和议论类的观点。

2.6 奥卡姆剃刀 (从简原则)

有些情况下是两种理论都可以完美解释一个现象，这时候选取奥卡姆剃刀原理（选择比较简单的那个），对另一个复杂的原理持怀疑态度。（可能是真的，但是需要对方给出证明）

3. 计算机科学方法

3.1 加权求和

你不会判断，就看其他人怎么判断这个人，你觉得最靠谱的人怎么判断这个人。多听取一些其他人是怎么判断的。

同时判断投票者的价值，也就是加权。

你比较相信的人，从来不说假话的人有较高的权重。

你不相信的人，原来骗过你的人有较低的权重。

有权威出处的，专业的，机会成本高的，能力强的，判断出错率少，和屁股利益没有冲突的，有较高权重。

上文已经介绍了怎么样设置权重在此不错赘述。

3.2 搜索引擎判断法

google搜索靠前的一般是比较靠谱的

wiki上英文词条解释一般是比较靠谱的

网络上搜索靠前的热点事件和ACG文化是比较靠谱的

网络上对于一些中国名人的解释一般会比wiki详细

4. 对错界限模糊判断

4.1 自身利益判断

很多观点对错很难界定，无非就是“谁赚钱，谁亏钱”，“谁吃肉，谁喝汤”的问题。这就要看问题对你有没有影响了。

尤其是你可以改变结果的问题。需要考虑自己的机会成本（时间，金钱）的情况下好好的研究一下该怎么选择，别让自己被骗吃亏。

如果你的选择影响不了结果，那么别浪费时间了。这瓜不甜，把时间花在能改变的结果的事情上。

H. 信息网络安全评估的方法

信息网络安全发展的时间是比较短的，所以，存在的问题还是比较多的、下面一起来看看信息网络安全风险评估的方法。
方法/步骤
1/6 分步阅读
定制适合的评估方法

在之前会有很多的评估方法，当我们需要评估的时候，应该将那些案例作为参考。然后，根据自己产品的特点，制定出适合的评估方法。

2/6
制定完整的框架

在做信息网络安全风险评估的时候，不只是要评估存在的风险，也是需要为管理提供一个基础的依据，整理出相关的数据。应该为产品设计一个1到2年的设计框架，这样才有一个基础的保证。

3/6
对用户的需求进行评估

不同的用户会有不用的需求，同时就会存在不同的风险，想要查找出风险，就需要和用户进行必要的沟通。多与用户沟通，对风险的评估有很大的帮助。

4/6
细致的分析

现在大多数的企业的系统都是比较复杂的，同时风险也是越来越隐蔽，越来越多的。所以，有必要对此进行一个细致深度的评估。找出了风险了以后，还需要找出为什么会存在风险，并找到解决方法。

5/6
系统的管理

对于评估信息网络安全风险并不是一个人就可以完成的，需要拥有一个专业的团队才可以及时有效的应对。拥有专业知识的团队是评估风险的一个保障、

6/6
计划好评估过程

在评估的时候一般是有前期，中期，后期这三个评估的过程的。在每一个过程都需要做不同的事情。同时也需要对风险评估有一个重要的认识，才可以准确的评估出风险。

I. 网络安全风险是指人为或自然

一、网络安全风险是指人为或自然的威胁，利用信息系统及其管理体系中存在的脆弱性，导致安全事件的发生及其对组织造成的影响。这也是网络安全风险评估的一部分。

2、个人信息泄露

3、密码安全

J. 简述网络安全的相关评估标准.

1 我国评价标准

1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
l 第1级为用户自主保护级（GB1安全级）：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。
l 第2级为系统审计保护级（GB2安全级）：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。
l 第3级为安全标记保护级（GB3安全级）：除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。
l 第4级为结构化保护级（GB4安全级）：在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。
l 第5级为访问验证保护级（GB5安全级）：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。
我国是国际标准化组织的成员国，信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始，自主制定和采用了一批相应的信息安全标准。但是，应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距，使我国的信息安全标准化工作与国际已有的工作相比，覆盖的范围还不够大，宏观和微观的指导作用也有待进一步提高。
2 国际评价标准

根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC），即网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。
自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别，如表1-1所示。
表 安全 级 别
类 别
级 别
名 称
主 要 特 征
D
D
低级保护
没有安全保护
C
C1
自主安全保护
自主存储控制
C2
受控存储控制
单独的可查性，安全标识
B
B1
标识的安全保护
强制存取控制，安全标识
B2
结构化保护
面向安全的体系结构，较好的抗渗透能力
B3
安全区域
存取监控、高抗渗透能力
A
A
验证设计
形式化的最高级描述和验证
D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。
C1是C类的一个安全子级。C1又称选择性安全保护（Discretionary Security Protection）系统，它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。
用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。
C2级除了包含C1级的特征外，应该具有访问控制环境（Controlled Access Environment）权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限，而且还加入了身份认证等级。另外，系统对发生的事情加以审计，并写入日志中，如什么时候开机，哪个用户在什么时候从什么地方登录，等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外，还加入了身份认证级别，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种：
（1）UNIX系统；
（2）Novell 3.X或者更高版本；
（3）Windows NT，Windows 2000和Windows 2003。
B级中有三个级别，B1级即标志安全保护（Labeled Security Protection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。
安全级别存在秘密和绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。
B2级，又叫结构保护（Structured Protection）级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。
B3级，又叫做安全域（Security Domain）级别，使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。
A级，又称验证设计（Verified Design）级别，是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特性。
安全级别设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。橙皮书也存在不足，TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适合企业，这个模型是静态的。