根据国内一些网络安全研究机构的资料,国内大部分的ISP、ICP、IT 公司、政府、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入;很多重要站点的管理员都是Internet 的新手,一些操作系统如UNIX,在那些有经验的系统管理员的配置下尚且有缺陷,在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。
为了使广大用户对自己的网络系统安全现状有一个清醒的认识,同时提高对信息安全概念的了解和认识,强化网络系统安全性能,首创网络近日向用户推出免费安全扫描服务活动。
评估主机范围
Capitalnet技术支持中心在开展此次活动之前得到了客户的书面授权。活动中,根据客户提供的IP地址,并按照客户指定的时间,对包括网络设备和应用服务器等在内的主机系统进行安全评估。
评估时间和方式
此次活动持续两个月时间,由7月1日开始,到8月31日结束。在活动期间,首创网络技术支持中心安全产品组的专家们在与用户达成共识的前提下,利用专业的安全评估工具,对客户网络信息系统中的重点环节进行了全方位的安全扫描,并根据扫描结果产生了安全评估报告,提交给客户。客户可以根据这一安全评估报告充分了解自己信息系统的安全情况,进而采取相应的安全应对措施,从而提高网络系统安全性。
评估单位分布
此次评估活动共收到IP地址93个,分别来自不同行业的34家单位。这些单位分别属于多种行业部门。
评估主机分类
93个IP地址基本代表93台主机,分别为各个单位提供不同的信息化应用。如:WEB、Datebase、Mail等常见应用和防火墙等特殊应用。
评估漏洞分布
在93台主机提供的各种信息应用中,都存在这样或那样的漏洞,此次评估都漏洞的风险分为三种:高风险漏洞、中风险漏洞、低风险漏洞。
参照标准为:
高风险漏洞代表该漏洞可以使攻击者可以得到该主机的最高权限或中断网络服务;
中风险漏洞代表该漏洞可以获取主机信息,有助于攻击者进一步攻击,或存在潜在致命漏洞;
低风险漏洞代表该漏洞会间接影响系统服务的正常运行。
评估漏洞类型
本次扫描活动主要采用了三星信息安全公司的安全评估工具SecuiScan,但为了真实反映客户的漏洞存在情况,也结合了其它著名的安全评估工具,为俄罗斯著名安全评估软件Shadow Security Scanner和著名的自由软件Nessus。在工具评估后,根据提供的分析报告来人工检查证实漏洞的真实性,并在不破坏客户主机正常运行的情况下得出令客户信服的评估结果。
评估发现,很多存在漏洞的主机都是一些常见的配置错误和已经公布的漏洞,而且针对这些漏洞的攻击工具很容易被恶意的攻击者获取。这些漏洞分布如下图:
评估漏洞说明
1. 弱口令攻击:不少网站的管理员账号密码、ftp 账号密码、Sql 账号密码等都使用很简单的或是很容易猜测到的字母或数字,利用现有的家用PIII 机器配合编写恰当的破解软件足以在短时间内轻松破解,一旦口令被破解,网站就意味着被攻破。
2. Unicode 编码漏洞攻击:对于Windows NT4.0 和Windows 2000 来说都存在有该漏洞,利用该漏洞远程用户可以在服务器上以匿名账号来执行程序或命令,从而轻易就可达到遍历硬盘、删除文件、更换主页和提升权限等目的,实施方法简单,仅仅拥有一个浏览器就可实施。
3. ASP 源码泄漏和MS SQL Server 攻击:通过向web 服务器请求精心构造的特殊的url 就可以看到不应该看到的asp 程序的全部或部分源代码,进而取得诸如MS SQL Server 的管理员sa 的密码,再利用存储过程xp_cmdshell 就可远程以SYSTEM 账号在服务器上任意执行程序或命令,事实上,MS SQL Server 默认安装的管理员sa 的密码为空,并且大多数系统管理员的确没有重新设定为新的复杂密码,这直接就留下了严重的安全隐患。
4. IIS 缓冲溢出攻击:对于IIS4.0 和IIS5.0 来说都存在有严重的缓冲溢出漏洞,利用该漏洞远程用户可以以具有管理员权限的SYSTEM 账号在服务器上任意执行程序或命令,极具危险性。实施较为复杂,但是可以获得这种攻击的傻瓜攻击软件。这种攻击主要存在于Windows NT 和2000 系统中。
5. BIND 缓冲溢出攻击:在最新版本的Bind 以前的版本中都存在有严重的缓冲溢出漏洞,可以导致远程用户直接以root 权限在服务器上执行程序或命令,极具危险性。但由于操作和实施较为复杂,一般也为黑客高手所用。这种攻击主要存在于Linux、BSDI 和Solaris 等系统中。
6. 其他攻击手法:还有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻击的手段,但在这次评估活动中表现的不是非常明显。
整体安全评估报告
主机系统的安全评估主要在于分析主机系统存在的安全弱点和确定可能存在的威胁和风险,并且针对这些弱点、威胁和风险提出解决方案。
主机存在安全弱点
安全弱点和信息资产紧密相连,它可能被威胁利用、引起资产损失或伤害。但是,安全弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。安全弱点的出现有各种原因,例如可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。但是,它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统进行攻击的机会。
经过对这些主机系统和防火墙的扫描记录分析,我们发现目前该网络中的主机系统主要弱点集中在以下几个方面:
1 .系统自身存在的弱点
对于商业UNIX 系统的补丁更新不及时,没有安全配置过,系统还是运行在默认的安装状态非常危险。对NT/2000 的服务器系统,虽然补丁更新的比及时,但是配置上存在很大安全隐患,用户的密码口令的强度非常低很多还在使用默认的弱口令,网络攻击者可以非常轻易的接管整个服务器。另外存在IPC$这样的匿名共享会泄露很多服务器的敏感信息。
2 .系统管理存在的弱点
在系统管理上缺乏统一的管理策略,比如缺乏对用户轮廓文件(Profile )的支持。在系统中存在空口令的Guest 组的用户,这些用户有的是系统默认的Guest用户,有的是IIS 和SQL 服务器的默认安装用户。这些用户有些是被系统禁用的,如Guest ,有些则没有,没有被禁用的这些账号可能被利用进入系统。
3 .数据库系统的弱点
数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点,由于未对数据库做明显的安全措施,望进一步对数据库做最新的升级补丁。
4 .来自周边机器的威胁
手工测试发现部分周边机器明显存在严重安全漏洞,来自周边机器的安全弱点(比如可能使用同样的密码等等)可能是影响网络的最大威胁。
主机存在的威胁和风险
安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对企业信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。因此威胁分析是围绕信息系统的可用性、保密性、完整性、可控性、可审查性、抗抵赖性进行的。
安全风险则是一种可能性,是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害,从而直接地或间接地引起企业或机构的损害的可能性。
在这次评估中,主机系统存在的威胁和及其产生的安全风险主要有以下几个方面:
1. 针对主机的攻击威胁
包括针对Windows NT 系统及其开放的系统服务的安全弱点攻击威胁,攻击者可能由此获取系统的信息资源或者对系统信息进行破坏。
2. 针对数据库的攻击威胁
包括在对数据库系统的攻击行为,包括非法获取、篡改、删除数据库信息资源和进行其他形式的服务攻击。
3. 管理不当所引起的安全威胁
包括由于用户管理策略不当使得攻击者可能获取某一级别的用户的访问权限,并由此提升用户权限,造成用户权限的滥用和信息资源的泄漏、损毁等;由于采用远程管理而引发的威胁;缺乏足够的安全审计致使对安全事件不敏感,无法发现攻击行为等。
4. 配置不当所引起的安全威胁
包括在主机系统上开放了未做安全防范的服务如IPC$共享所造成的安全威胁等。
网络安全建议
建议把提供网络服务的程序升级到最新版本,关注网络安全通告,或由首创为客户提供全面、周到、专业的网络安全服务。
总 结
此次活动历时两个月时间,为34家客户的93台主机提供了全面的安全扫描服务,并将最终的扫描结果提供给了客户。
通过此次活动,我们发现所有的客户主机都或多或少存在着各种风险度的安全漏洞,安全现状不容乐观。其实在这些客户所暴露出来的漏洞中,绝大多数都是已经有了解决办法的,只要做一些简单的升级或安装补丁就可以解决。另外,我们还发现,有的客户使用了一些安全产品,但却由于使用不当,反而引入了更多的安全漏洞。另外,客户的信息系统普遍也缺乏良好合理的安全规划和管理,从而使得其自身的系统对外呈现了很多本不应该出现的漏洞,给外界入侵提供了便利的条件。
我们认为出现这样的问题主要有这样一些原因:
客户普遍还缺乏安全意识,不知道自己其实面临很大的危险;专业知识不够,不知如何解决安全问题;对安全产品的选择、使用和设置不当;没有合理的安全管理策略和机制。
针对这样一些原因,有些相对容易解决,有些则要困难一些。在首创网络通过自身的努力,在信息安全领域里不断追求更高的技术水准和服务水准,力争在竞争日益激烈的今天,面对不断复杂的信息安全形势,从容面对,为客户提供更加完美的产品和服务。
(本报告由首创网络提供,内容有删节)
“首创网络安全调查”带来的启示
本刊记者 曹 玫
近日,首创网络针对我国企
业网络安全现状,对来自
34个不同行业用户的93台主机的网络信息系统进行了抽样调查,结果是100%的用户的主机都存在不同程度的安全问题。这个数字不能不让我们吃惊,网络现状让人担扰。
随着企业信息化、电子政务的进一步推进,对网络安全的要求与过去已不可同日而语。但信息化在我国刚刚起步,企业对网络安全的意识和认知尚待培育。
本刊记者就首创的网络安全评估活动采访了中国国家信息安全测评认证中心计算机测评中心常务副主任翁正军女士,她认为:“首创这次的评估活动值得肯定。这类的网络安全评估如果经常性的进行,对用户了解自身的安全风险非常有益”
另外,翁女士还提醒道:“针对网络和系统的脆弱性评估,有可能对被测系统造成损害。当然,不一定是测试本身的问题,而是被测系统太脆弱。但是不管怎么样,都要让用户事先知道风险的存在,并且通过恰当的安排尽力回避这些风险”。
安全意识 携手培育
网络安全是“三分技术,七分管理”,从首创的报告中可以看出,造成网络漏洞的原因基本上是管理的忽视和疏漏。
已认识到IT系统重要性的大型企业和跨国企业,虽有一些机房和系统的不很细化的管理制度,但大部分也只限于书面文字的约束而已,没有强有力的监督实施手段和相应的管理人员;大部分的中小企业甚至没有把网络安全提升到管理的层面,还只是停留在购买一些低端的安全设备上,当然对于国内的中小企业采取何种安全模式仍是专家和安全服务提供商们争论的热点问题。
管理问题追溯其根源,还是企业的意识问题,安全意识的加强和培育是需要政府或行业主管单位、安全厂商和用户自身共同努力来实现的。
如政府和行业主管要加大政策和法令的宣传力度,改变政策和相关标准滞后的现状,一方面,用户有相关的政策和标准来衡量网络安全厂商提供给他们的产品和服务是否符合国家标准,做到有据可依。另一方面,安全厂商有了相关条例和行业标准,在为用户构建网络平台和生产安全产品时,把各种安全隐患降减到最小程度,做到了有法必依。
安全厂商在培育用户的安全意识方面,毫无疑问,充当着主力军的角色,目前,我国的网络安全意识尚处于萌芽阶段,因此对用户意识的培育应属于安全厂商市场战略和规划的一部分,只有大家共同把这块蛋糕做大,网络安全广阔的市场才会在短时间内形成规模。
从用户自身的角度来讲,“船到江心才补漏”是需要付出不可估量的代价的,网络数据的迅速增长,单靠一些低端的安全设备已远远难以维护系统和网络安全。总的来说,要改善和加强管理力度,必须提高企业的安全意识.
网络测试 谨慎评估
做安全测试,一定要做非常细化的风险评估策略,首先要确定企业哪些资源需要保护,并根据保护成本与如果事件发生前不采取行动需付出的代价之间的平衡制定评估方案,检测后要确定企业具体环境下到底存在哪些安全漏洞和安全隐患,一旦这些漏洞被黑客利用会造成哪些风险和破坏。
最后综合对各种风险因素的评价,明确网络系统的安全现状,确定网络系统中安全的最薄弱环节,从而改进网络的安全性能。所以检测之前与之后的评估是非常重要的。全面的网络系统的漏洞评估应该包括对网络的漏洞评估、对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方面。首创的安全评估属于对系统主机的漏洞的评估,测试的安全风险相对要小一些。
测试不是目的,制定相应的安全策略并彻底解决用户存在的安全问题,才是我们的愿望。
首创的安全测试为我们敲醒了警钟,加强安全意识已成为企业高层迫切需要正确对待的问题。
企业信息安全意识有待觉醒
本刊记者 陈 慧
为了解客户的安全现状,并
提高客户的安全意识,首
创网络在7月1日到8月31日为期两个月的时间内为34家客户的93台主机提供了免费远程安全扫描服务。提交的报告结果表明,这些客户所有的业务部门都或多或少存在着安全漏洞,其中高风险漏洞占42%,中风险漏洞占28%,低风险漏洞达30%。可见这些客户的信息安全现状令人堪忧。
面对安全漏洞,
视而不见还是立即行动
“此次扫描主要是针对黑客的攻击行为,”首创网络安全产品经理钟博向记者介绍说,“我们选择这种远程的网络扫描的服务活动比较容易开展,类似于黑客攻击的第一个阶段,还未涉及到内部攻击。”在发现客户漏洞之后,首创还可以针对客户的要求为其提供相应的修补、加固和优化服务、专门的培训和分析,以及远程管理和紧急响应等多种全方位的安全服务。
在首创网络扫描过程中发现的网络安全漏洞主要涉及到底层的操作系统平台和应用系统两个方面。漏洞可能是操作系统带来的,比如采用Windows操作系统平台的企业漏洞特别多;也有可能是应用系统本身的问题,比如数据库、Web系统和ERP应用软件等等。在应用系统方面,数据库的漏洞比较多,其中又以SQL Server数据库的漏洞为甚。对于操作系统的漏洞,大多可通过从网上下载补丁程序的方法加以解决,有些客户没有下载补丁程序,因而容易被攻击。也有客户把用户访问口令设成了空的,也容易被攻击。这些漏洞本都很容易避免,之所以出现,主要因为应用和管理人员本身安全意识淡薄所导致。
被扫描的首创网络的IDC和专线客户,都是经常使用IT设备和网络应用的,其中,本身业务系统与安全结合不是很紧密的客户比较容易产生安全漏洞,比如媒体的网站、制造业企业的网站等。在首创网络的整个扫描服务期间中就出现过这样的情况。一家传媒机构的网站被黑客攻击,其主页被篡改了。客户要求首创对其遭到攻击的主机进行扫描,了解其被攻击的原因。通过扫描,发现主要原因在于这个传媒机构把操作系统装好之后,采取了默认配置,并没有做安全性增强方面的考虑和设置,其主机上的漏洞都是一些很常见也很容易弥补的。此外,制造业企业涉及到CRM和ERP这样的系统。总部与分支机构之间经常有大量机密的数据需要交互,对于这样的企业,如果不做好全面的安全规划并采取相应的安全手段,也容易对外暴露很多安全漏洞。
面对送过来的扫描结果和漏洞分析,客户的反应五花八门:有的客户一接到扫描的结果,发现自己的网络安全存在这么多的问题,非常着急,立刻要求首创为其提供相应的解决方案;有的客户要求首创帮助把漏洞堵上;也有客户说,卖我们一个防火墙吧;还有客户没有反应,好像在忙着理顺自己的网络,无暇顾及安全问题。
安全防范,投入多少并采取哪些手段
有两个问题需要企业考虑清楚,一是企业要保护的信息到底值得投入多少;二是采取什么手段。网络时代,企业要连接到互联网上与外部沟通。任何企业无论大小,总是有些信息是不希望被外界知道的,每一个企业都有必要采取一定的手段保护自己的信息,防止被别人窃取、篡改或者破坏。那么企业值得投入多少人力、物力和财力保护信息安全?
【关键词】 安全风险 网络安全 风险评估 关键技术
引言:现如今人类已对网络产生依赖性,相关统计数据显示我国网民高达七亿人。人们通过网络进行在线商务洽谈、交易支付、资源共享。自网络诞生以来,安全问题就备受社会各界关注。网络应用中稍有不慎就有可能遭到攻击或入侵,一些黑客利用木马或后门软件,便可盗取他们账户、密码、网银信息,使网络用户遭受经济损失。个人信息丢失相对来说影响比较小,但如果是国家信息或者企业信息被窃取,将影响到社会和谐稳定。企业信息多为商业机密,一旦泄露极有可能会影响正常运营,给企业带来负面影响,甚至诱使企业倒闭。为了保障网络安全,提高网络安全性,做好网络安全风险评估具有重要意义。
一、网络安全风险研究现状及评估意义
计算机网络指的是将不同地理位置的独立功能的多台计算机及其外部设备,通过通信线路连接起来,在操作系统及网络软件与硬件在网络通信协议的管理及协调下,实现的信息资源共享和传递的计算机系统。网络建设目的是计算机之间互联、信息共享、资源整合[1]。
计算机网络发展至今已历经四个阶段分为是:远程终端连接阶段、计算机网络阶段、网络互联阶段、国际互联网与信息高速公路阶段。计算机网络具有开放性特点,用户群体庞大,任何人都可以成为网络用户。进入二十一世纪后,网络几乎实现了世界范围的推广和应用,全球网络用户不计其数。但正是因为网络的开放性特点,也为一些不法之徒提供了便利,网络攻击不仅给社会造成了不良影响,更给某些企业带来了经济损失。
近些年,网络安全问题已成为社会各界广泛关注的焦点,有许多学者曾针对网络安全风险问题展开研究。林文教授曾经在论文《层次化网络安全风险量化评估研究》中提出,网络安全是是网络应用的前提条件,若无法保证网络的安全,致使用户私人信息泄露,用户便会逐渐远离网络,这无疑会制约网络发展[2]。现如今网络行业已成为经济支柱产业,若网络产业发生倒退,必然给经济发展造成不利影响,网络安全风险问题不能小视。近些年,网络攻击事件笔笔皆是,网络风险随之增加,对网络安全风险进行评估,科学规避网络风险势在必行。
二、威胁网络安全的常见网络攻击手段
网络上存在大量不确定和不安全因素,自网络诞生以来就存在非法入侵、数据盗取破坏等行为。这个世界上没有百分之百安全的网络,网络发展和应用中信息盗取、黑客入侵、病毒攻击频频发生[3]。
二零一五年,携程网络就曾遭受网络攻击,造成网站无法访问,用户信息大量丢失,APP完全陷入瘫痪。此次攻击,使携程遭受直接经济损失超过五百万美元,股票下跌百分之十一点二。网络攻击手段多种多样,五花八门,但大多都是通过软件漏洞、物理漏洞、数据漏洞进行攻击,威胁网络安全,来实现截获、窃取、破解用户信息、破坏用户系统目的。想要进行有效的网络安全风险评估,必须要了解网络攻击手段。常见网络攻击手段有:IP欺骗攻击、口令攻击、数据劫持攻击、网络窃听攻击等等。
其中口令攻击最为常见是黑客常用的网络攻击手段之一,黑客确定攻击目标后,利用穷举法,通过“字典”便可进行口令测试,破解网络口令。口令攻击在UNIX系统网络攻击中,由于UNIX系统并不会对错误口令尝试进行提示或封锁用户系统,可无限尝试错误口令,所以UNIX系统容易遭受口令攻击。口令测试成功网络遭到入侵时系统不会向管理员发送报告,黑客通过FTP或Telnet就可以进行系统数据加密文件破解[4]。
网络攻击中数据劫持攻击和网络窃听攻击危害巨大,将直接造成用户密码信息的泄漏,导致网络陷入瘫痪,这种攻击通常发生在网络文件传输过程中。IP欺骗攻击是目前较为流行的攻击手段,通过伪装网络主机,复制主机TCP/IP地址,提供虚假网络认证来骗取返回报文,导致主机无法连接网络,造成计算机网络无法使用,这种攻击主要发生在IP协议传送报文时。
通过分析不难看出网络攻击的危害性和严重性,网络攻击无处不在,网络应用中必须针对网络攻击特点和特征,做好安全风险评估,提高网络安全性,降低网络风险。
三、网络安全风险评估的关键技术
网络安全风险威胁着网络用户系统安全、信息安全、网络安全,对网络安全风险进行评估,构建网络风险评估框架,是做好网络安全防护的前提条件,对提高网络安全性有着重要意义。下面通过几点来分析网络安全风险评估关键技术:
3.1定性评估技术
定性评估技术是较为常用的网络安全风险评估技术,采用德尔菲法,利用推倒演绎理论来实现对网络安全进行分析,判断网络安全状态。定性评估技术在具体评估过程中要先采用背对背通信方式获取安全影响因素,利用匿名数据筛选的方式,对数据进行处理结果分析,通过多次反馈与征询判断网络安全风险因素和网络安全系数,进行安全风险评估。
3.2定量评估技术
定量评估技术与其他评估技术相比,评估结果更加直观,评估有效性更好,但评估复杂性和难度较大,应用中存在一定局限性。这种评估技术主要利用嫡权系数法,通过数据指标量化方式进行网络安全风险评估。定量评估技术的原理是,利用嫡权系数法计算参数权重,度量系统不确定因素,把安全风险进行量化,根据极值特征评估网络安全风险。评估中若熵值越大,网络安全风险越大,安全风险影响因素越多。若熵值ei最大值是1,风险因素对系统安全影响越小,说明网络安全性较高。
3.3综合评估技术
网络安全风险影响因素较多,具有多变性和复杂性,一些时候若无法通过定性评估技术或定量评估技术取得良好评估效果,便可应用综合评估技术。综合评估技术是通过将各种评估技术有机结合方式,来提高评估有效性和准确性,判断网络安全系数,达到网络安全风险评估目的。
综合评估方法主要包括:威胁树法、障碍树法、层次分析法等。综合评估技术大多以定量评估为基础,以定性评估为核心,继承了这两种评估技术优点,进一步提高了评估准确性。
四、结束语
安全是网络应用的基础和前提条件,保障网络安全至关重要。网络安全风险威胁着网络社会和谐建设、网络信息数据安全,加强对网络安全风险评估技术的应用和推广具有重要意义。
参 考 文 献
[1]马进.加载隐私保护的网络安全综合管理关键技术研究[D].上海交通大学,2012,13(11):119-124.
[2]孟锦.网络安全态势评估与预测关键技术研究[D].南京理工大学,2012,11(14):132-136.
王娟
(青海省电力公司信通公司 青海 黄南藏族自治州811200)
摘要:目前,信息技术在电力企业的发展中起着至关重要的作用,特别是如今随着我国计算机网络的不断发展,电力企业的网络信息安全管理显得越来越重要,如何做好电力企业网络信息安全管理是现今人们关注的主要问题,本文就电力企业网络信息安全管理进行了相应的探讨。
关键词:电力企业 网络信息 安全管理
随着网络和计算机技术的不断发展,人们越来越离不开网络,网络不但给用户带来便利,还带来了信息安全问题。本文分析了电力企业网络信息安全管理存在的问题,并提出了相应的完善措施。
一、电力企业网络信息安全管理存在的问题
(一)电脑病毒的威胁
对所有的电脑用户来说,不得不面临的主要问题就是电脑病毒的威胁,电力企业也是如此,计算机病毒会从各种渠道传播到计算机中,使电力企业的网络系统出现问题。电脑病毒不但会影响计算机的运算速度,还会破坏计算机的硬件和软件,并且电脑病毒的感染速度极快,只要计算机连接一个含有电脑病毒的移动存储设备,就可以使计算机感染电脑病毒,并且企业网络环境的变化也会导致计算机感染病毒。
(二)信息的安全问题
在网络信息的存储和传递中,不可避免都会出现相应的网络安全问题。在电力企业存储信息的时候,通过介入外部的互联网,会导致企业内部一些商业机密被网络黑客盗取,从而给企业带来相应的损失。在信息的传输过程中,也会造成企业内部信息被非法截取,使得商业机密泄露,除此之外,一些黑客人员还会运用非法手段来篡改企业的信息,使得企业的数据出现错误,造成信息混乱,给企业员工的工作带来巨大的影响。因此,如果不有效的解决电力企业的信息安全问题,就会给企业带来严重的损失和破坏,严重的甚至会危机国家和社会的财产安全。
(三)管理人员素质风险
现今,许多企业存在重技术、轻管理的情况,没有完善的安全管理制度,并且管理人员普遍信息安全意识不强,这也就在一定程度上提高了网络风险,并且企业网络管理员配备不当也是造成企业信息安全问题的主要原因。除此之外,对于电力企业来说, 来自内部的风险是非常主要的安全风险,特别是网络管理人员,不经意间泄露的重要信息, 都将可能成为导致系统受攻击的最致命的安全威胁。
(四)设备本身与系统软件存在漏洞
由于电力企业的信息化发展较为缓慢,所以这就很可能造成电力企业很多设备和软件存在安全漏洞,给电力企业带来许多不良的安全问题。电力企业信息网络的操作系统、数据库存在安全漏洞,并且信息存储的介质受到损坏,就会造成大量的信息泄露或者丢失。除此之外,由于计算机设备工作时产生的辐射电磁波也会使电力企业网络信息存在安全问题,一些电力企业没有按照相关的要求及时的升级和修复防范软件,这就给网络信息安全带来一定的威胁。
二、完善电力企业网络信息安全管理的措施
(一)提高企业内全体员工的安全意识
目前,造成电力企业网络信息存在安全问题的其中一个主要问题就是用户的安全意识淡薄,对网络信息的安全不够重视,并且缺乏相应的防范措施。这些问题主要是因为电力企业网络信息管理不完善,缺乏相应的安全管理责任制,因此,必须提高用户的安全意识,使他们自觉的修补计算机的操作系统和安全漏洞,并且及时的升级防毒软件和防火墙,掌握安全评估的基本方法, 对安全操作和维护技术的合理运用,使电力企业的网络信息处于安全的环境当中,只有这样才可以做好电力企业网络信息安全管理,减少网络的威胁。
(二)进行网络安全风险评估
电力企业想要从根本上解决网络安全问题,除了要从技术上面考虑以外,还应该做好网络安全风险评估工作。网络的安全离不开各种安全技术的实施,现在市面上有各种安全技术产品,想要选择合适的安全技术产品,首先应该进行可行性的分析,对电力企业存在的网络信息风险进行分析,并且对收益与付出进行比较,了解安全技术产品在电力企业中使用的效率,看下哪一个产品更加适合电力企业降低网络信息安全的需求。对电力企业来说,弄清楚网络信息存在的风险,并且评估这种风险带来的威胁和影响,只有这样才可以制定相应的安全管理策略,从而有效的提高电力企业网络信息的安全。
(三)完善网络防病毒体系
由于计算机病毒会广泛的传播,并且对网络用户的数据具有严重的破坏力,随着网络技术的不断发展,计算机病毒给网络用户带来的损失也越来越大,严重影响了电力企业网络系统的运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。
(四)建立企业网络信息安全文化
作为电力企业网络管理人员,应该建立企业网络信息安全文化,重点掌握企业信息安全的整体策略和目标,安全体系的建立和网络信息安全管理制度的制订。负责信息安全运行和维护的技术人员,应该对信息安全管理有一个充分的了解,并且掌握安全评估的基本方法,能够合理的运用安全操作和维护技术,提高安全管理人员的综合素质,使他们具备承担安全职责的能力,只有这样才可以降低电力企业网络信息安全风险,使电力企业免遭黑客和病毒的入侵,确保网络信息的安全。
(五)开展电力企业内部的全员信息安全教育和培训活动
在电力企业发展中,信息安全不但是整个信息网络部门的事情,还是企业内所有员工的职责,因此,为了提高电力企业网络信息安全管理的力度,就应该对企业内所有的员工进行信息安全教育,并开展相应的培训活动,以此来有效的避免由于失误造成企业内部出现安全风险。电力企业应该做好宣传工作,提高企业内所有员工对网络信息安全的认识,向每一位员工普及网络安全操作流程,使他们掌握基本的安全管理策略。除此之外,主管部门和各级管理人员,应该清楚掌握信息安全体系的构成情况,建立相应的管理责任制,每个部门每个员工都应该从自己做起,完善自己所用计算机的病毒软件和防火墙,防止网络病毒有机可乘。
三、结束语
综上所述,想要提高电力企业网络信息安全管理,首先应该提高企业内全体员工的安全意识,建立企业网络信息安全文化,并且完善网络防病毒体系和进行网络安全风险评估,开展电力企业内部的全员信息安全教育和培训活动,只有这样才可以确保电力企业的网络信息安全,避免网络安全风险的产生。
参考文献:
[1] 林世溪,林小迪. 电力企业网络信息安全防护体系的建立[J]. 华东电力, 2010,(05) .
[2] 朱琳娜, 盛海港. 网络信息安全管理在电力企业中的应用[J]. 中国电力教育, 2010,(S2)
[3] 汪洁, 易予江. 电力企业信息网络安全分析与对策[J]. 电力信息化, 2008,(10)
【摘要】本文主要分析新媒体营销中的绩效评估,包括新媒体营销和企业绩效评估的常规定义和内涵,以及新媒体营销中的绩效评估这一新兴概念的阐述。通过搜集现有资料和分析,对新媒体营销绩效评估的定义、现状、目标、原则和常规的评估方式进行了论述,最后以B2B企业的新媒体营销绩效分析为例,运用上述理论进行案例分析。
关键词 新媒体营销绩效评估
一、新媒体营销
新媒体营销归属于整合营销传播,是通过新媒体的传播平台,进行组织策划营销推广事件,从而最终实现产品销售或品牌推广目标。①然而对于这种新兴的营销方式,是否同样需要传统营销中惯用的绩效评估,指导前期策划活动呢?答案是肯定的。有效的营销效果监测,不仅可以评估营销流程科学性、预期目标合理性,也可以指导修正下一次的营销活动。
二、企业绩效评估
企业绩效评估是运用一定的调查研究和数据分析方法,对企业营销活动做出最终的结果评估,从而指导修正企业的经营目标,在学术界也成为了营销领域的新热点。②一方面,绩效评估虽然是营销活动的最终一步,却是企业整体实现经营目标的基础,只有科学严谨地评估结果,才能对企业的经营目标和计划达到警示和修正作用;另一方面,绩效评估也是当今企业极容易忽视的一个方面,整个经营活动结束之后,企业往往像无头苍蝇一样,只能通过利润率等朦朦胧胧地感知营销活动的成败,殊不知经营活动是一个整体性的活动,影响因子何止千千万,于是单纯的绩效评估更显得难上加难。③
三、新媒体营销绩效评估
许多公司采取传统营销和新媒体营销相结合的手段,新媒体营销的绩效测评,广告主获得的非同于过去经营方式的结果:如某网页的单日点击量对比说明了潜在消费者的兴趣倾向;各大网站的调查问卷表征着受访者的满意度;微博评论、博客留言等则可很清晰直观地获取一手反馈。④
(一)新媒体营销绩效评估定义
新媒体营销绩效评估指企业完成了新媒体平台策划的推广方案之后,通过定量分析和定性分析,用数据建模的方式,评估实际效果和企业预期的差别,并通过这一差别的分析,完成对下一次经营活动的指导和修正。
(二)新媒体营销绩效评估现状
新媒体营销绩效评估经历了以网站流量来预测市场趋势与潜在访问者的数量、通过点击率来单纯评估新媒体对营销的作用究竟有多大,发展到较为完善的科学评估方法和完整的数据分析网络。⑤在众多企业的实际操作中,多采用第三方日志分析软件,获取网站的运行数据来对网络营销效果进行评估。基于工具受限,得到的绩效评估数据公信力不高、亦缺乏系统性与全面性。因此,现阶段的企业网络营销绩效评估结果缺乏客观性,对企业后续的营销行为指导借鉴作用不大。
1、新媒体营销绩效评估的困难
传统的绩效评估主要是会计、财务,注重的是对过程结果的反映,虽然对结果的把控精准,但无法全面、动态地反映营销过程中的问题。⑥而新媒体营销绩效评估计量的范围更大,包括企业为销售产品和扩大市场份额的预算、为满足顾客对个性化和便捷性增加的投入等、企业利润和市场占有率等定量指标以及顾客满意度和企业持续发展等综合目标。⑦
(1)新媒体营销的平台与传统营销平台的巨大差异,即新媒体和传统媒体特质的不同造成的营销绩效评估工具、手段、方法等天差地别;
(2)新媒体营销的效果不比传统营销手段,它是难以清晰界定的。因为任何一种单一的新媒体营销工具所带来的效果可能是多方面和长期的,例如搜索引擎优化对线下销售的短期促进效果,以及对品牌形象的长期作用;
(3)线上和线下业务相结合,新媒体营销与传统营销相结合本身就增加了绩效评估的难度。
2、新媒体营销绩效难以评估的原因
(1)绩效评估目的模糊。新媒体营销属于新兴的营销手段,媒介层出不穷,因此企业往往对这种营销方式的目的不太明确,导致绩效评估过程中将新媒体营销的部分功能以偏概全替代整体。
(2)评估标准和方式不一致。有些企业聘用第三方专家或调研公司进行评估,有些则采纳网民的评估反馈,还有的则自己评估绩效。
(3)评估数据的准确性问题。
3、新媒体营销绩效评估的目标
新媒体营销绩效评估在操作层面,解决了企业对于ROI(投资回报率)的不解,可以真正地让数据说话,实实在在地通过图表看到营销活动的效果究竟如何,广告成本、路演成本、调研成本和促销成本等多重真金白银的投入,究竟哪一种投入效果更好,更能契合目标人群的需求,更符合产品或品牌的发展阶段;甚至于在媒体组合策略中,究竟哪一类型、哪一个地区、哪一个时段、哪一种形式的媒体效果更好,都可以从科学的绩效评估中得到结论,这也是为什么诸如法国阳狮实力传播等专注于ROI 研究的4A 公司能够吸引众多重量级客户青睐的原因。⑧
在理论层面,只有不断地尝试实际的新媒体绩效评估,才有可能对现存的各种评估方法进行修正,丰富这个新兴媒介效果研究学界的理论,在未来可以让众多广告主方便快捷地选择最适合自己的评估体系,节省时间和金钱成本。
4、新媒体营销绩效评估的原则
(1)科学性。绩效评估是一种更依赖于定量分析的方法,因此从前期的样本筛选、数据收集,到后期的大量数据分析,以及数据来源等,都必须保证其科学性,任意一个因子出现问题,则很容易造成结果失真,甚至对企业造成误导。
(2)可操作性。新媒体营销绩效评估的方法很多,毋庸置疑的是其中有一些确实精度更高、效果更好,但是实际操作中还是应当选择操作性强,相对成本低廉的方法,毕竟绩效评估已是企业营销活动的一个组成部分,换句话说,一切评估的费用都会被计入企业的投资成本当中。如果数据在现有条件下无法收集,应及早剔除。⑨
(3)有效性。新媒体营销绩效评估体系必须结合企业营销活动的内涵和特点,体现新媒体营销的主要特征和本质。
(4)动态性。新媒体营销的主要特点就是动态性,所以其绩效也必然是一个动态积累的过程。所以在进行绩效评估时,要有能够测量企业新媒体营销结果的静态数据,也要反映营销过程中发展趋势的动态过程。
5、新媒体营销绩效评估的方法
(1)国外新媒体营销绩效评估方法国外的评估是从网络媒体着眼,包含可操作性、内容评价和满意度等多个方面,但是尚未成完整的学术框架。如RayWelling,Lesley White 指出中小型公司和快消行业等对这一评估的需求更为迫切,可以作为实证研究的突破口。⑩
美国消费者联盟了几大评估因子:日均IP、日均PV、点击量、利润率、网站安全、受众满意度等。
美国BizRate 公司研发了BizRate 评价法,研究因子有:消费者评分和评价、高峰服务器负荷量、页面设计、产品线丰富程度、支付安全性、物流便捷程度、客户满意度、比价功能等。
(2)国内新媒体营销绩效评估方法在国内,虽然网络营销绩效评价的研究起步较晚,但却形成了自己的特色,拥有了独立的网络营销绩效评价体系。
曲永政、王雷震从页面美观、站点推广方式、网站普及率和知名度、营收年报、点击量增长率、企业社会责任、信息完整度和健康性等十个层面设计了评价指标体系。高文海(2006)等,从三个方面设计了11 个二级指标和44 个三级指标,构建了四层次评价指标体系。
四、新媒体营销绩效评估实例——B2B 企业
(一)B2B新媒体营销绩效特征B2B 公司多数经营规模较小,营销费用较低,比起跨国大企业来说,它们迫切渴望一针见血的传播方式,能够用最低的成本最大程度地接近消费者,并向潜在购买人群传递品牌和产品信息,从而抓住商机。新媒体以低廉的成本、灵活的方式和更快的速度,获得了大部分B2B 企业的青睐,近年来新媒体购买平台也塑造了一个又一个网络品牌的销售神话;其次,中国的B2B 企业基数大,是民营企业金字塔的基石,也是竞争最为激烈的新兴领域,新媒体营销是他们为了生存并在短期内打响名号选择的最为有效的方式,昂贵的传统媒体推广费用并不是他们能够承担的;最后,对公业务往往来往金额很大,消费者自然会货比三家,新媒体渠道能够很方便地实现比价功能,此时企业是否能抓住这一特征,用高质量的产品和服务打动消费者,就会成为成败的关键。
(二)B2B新媒体营销绩效评估指标B2B 企业进行新媒体营销绩效评估时常用的指标有:第一,财务绩效,是整体绩效的核心部分,主要包括销售增长率、利润增长率、网络收入占整体收入的比例、网络运营维护成本、搜索引擎竞价排名推广费用、B2B 大型网络营销平台会员费、新媒体广告费用等。第二,市场竞争绩效,诸如美誉度、品牌形象、领导者地位的竞争、快速去化率等竞争能力的提升、业务咨询量增长率、订单数的增长率、新客户的增长率和市场占有率的增长率;第三,网络推广绩效,网络推广方式的影响因素主要有页面设计、网页速度、浏览流畅程度、服务器负荷量、操作便捷性、比价功能完整性等,网络推广如今多采用banner视窗广告、会员制度、积分排名等方式;第四,顾客关系绩效,包括顾客对网站使用情况的满意度、顾客对网站的满意度包含多个方面,比如服务质量、个人资料安全、支付便捷和安全、健康广告有效性等。
参考文献
① 冯英健:《新媒体营销基础与实践》[M].清华大学出版社,2004:322
②王丽丽、陈雪,《企业绩效评价研究综述》[J]《. 云南社会主义学院学报》,2007(2):25-27
③李丽,《正确处理企业绩效评价四大关系》[J]《. 商业时代》,2004(36):29-30
④刘蓓,《浅析网络营销的发展趋势》[J]《. 天津市财贸管理干部学院学报》,2008(3):21-22
⑤文燕平、史佳华,《网络营销绩效评价指标体系研究》[D].上海师范大学商学院,2002
⑥孙新波、于春海、孙培山等,《知识型企业知识员工的模糊综合评价》[J]《. 沈阳工业大学学报》,2005(6):707
⑦李从东、陈小峰、高联益,《企业竞争力的可拓评价方法》[J].《工业工程》,2005(4):6
⑧张杏辉,《Z 公司网络营销绩效评价研究》[J]《. 北京化工大学学报》,2011(9)
⑨王岩、徐建中、任嘉嵩,《企业网络营销绩效评价研究》[J].《现代远距离教育》,2006(3):77-79
⑩ Ray Welling, Lesley White,《网络营销绩效测量:预期与结果》[J]《. 营销管理服务》,2006(6):654-670
北京天融信科技有限公司(简称天融信),1995年成立于北京,是中国领先的网络安全、大数据与安全云服务提供商。天融信凭借业界领先的网络安全、大数据与云服务等技术,为用户构建下一代可信网络安全架构,帮助用户降低安全风险,创造业务价值。
日前在刚刚落幕的中国信息产业经济年会上,天融信风险探知系统被国内权威IT媒体《中国计算机报》评为“2016年度优秀产品”。天融信风险探知系统能够帮助用户准确了解网络资产、应用状态,摸清IT家底,排除隐患,为用户带来全新的安全体验,因而倍受分布式企业、互联网公司等用户的好评。
对于业务规模不断扩大,网络和服务器遍布全国乃至全球的用户来说,用户实时准确地了解所辖网络的状况,有利于掌握用户自身安全风险。尤其是在安全形势日益严峻的今天,用户如何在新漏洞爆发后第一时间了解该漏洞对自身网络的影响,准确掌握联网系统的安全状态,准确掌握物联网定设备(如工控设备、摄像头等)的分布等情况对于帮助企业及时化解安全风险,完善防御体系,提升安全保障能力极其重要。
天融信风险探知系统采用分布式探测技术,通过安全情报机制,实现了安全信息融合。此外,该系统依托风险分析模型,可以实时准确地获取网络静态和动态安全状况,帮助企业用户建立网络安全评估系统。具体来说,该系统具备构建资产信息库、绘制信息安全底图、漏洞验证三大功能。由于该系统具有全面的信息探测、完善的安全情报库、开放的漏洞验证框架、强大的数据分析能力等特点,因此,它可以帮助用户准确掌握网络资产、应用安全状态,建立完善的主动防御探知体系。该系统可以主动发现企业现有防御体系中存在的风险,并确保这些风险漏洞在被恶意利用前得到修复,进而提高企业的信息安全综合防御能力。
天融信风险探知系统目前广泛应用在全网态势感知、资产摸底、漏洞分布评估、设备分布情况评估等领域。天融信CEO于海波表示:“随着移动互联、物联网、BYOD、云计算、大数据等新技术的应用,用户数据信息资产变得日益分散,而天融信风险探知系统能够帮助用户快速梳理数据信息资产。无论面对互联网还是内网,该系统都能帮客户构建安全的基础信息资产数据库。通过绘制网络风险信息安全底图,该系统可以在第一时间帮助用户简单明了地判断安全风险对网络影响的范围和程度,进而定期对网络安全风险进行评估和安全检查,提升企业的安全保障能力,橛没Т来了全新的安全体验。”
[关键词] 经济效果传播效果电子支付
1994年10月,美国《热线杂志》站点卖出了全球第一个网络广告,开创了互联网广告的新时代,也标志着数字媒体开始成型。今天,大大小小的网站上都挂上了各种网络广告。2005年全球因特网上的广告支出已达到147亿美元,2006年中国网络广告市场规模将达到46亿元;至2010年,中国网络广告市场规模预计将达到157亿元。
网络广告效果的测定,不仅能对企业前期的广告做出客观的评价,而且对企业今后的广告活动,能起到有效的指导作用。它对于提高企业的广告效益,不论是宏观的经济效益或是微观的经济效益,都是十分重要的。
一、网络广告效果评估的含义和意义
1.网络广告效果评估
网络广告效果是指通过广告调查、广告策划、广告创意和制作、广告和实施等网络广告活动,对广告主、消费者,以及社会所产生的效益和作用。
按广告效果内容分类网络广告效果可分为经济效果和传播效果。本文正是以这两个为基准进行效果评估的。
(1)网络广告的经济效果。网络广告的经济效果是指广告活动在促进产品、劳务销售,增加企业利润等方面的作用。网络广告的经济效果是广告活动的最基本、最重要的效果,也成为网络广告的直接效果。
(2)网络广告的传播效果。网络广告的传播效果是指广告活动在消费者心理上的引起反应的作用。广告的传播效果是一种内在的具有长远影响的效果,也成为网络广告的间接效果。
2.网络广告效果评估的意义
(1)有利于完善广告计划。通过网络广告效果的评估,可以检验原来预定的广告目标是否正确,网络广告形式是否运用得当,广告时间和网站的选择是否合适,广告费用的投入是否经济合理等等。从而可以提高制定网络广告活动计划的水平,争取更好的广告效益。
(2)有利于提高广告水平。通过收集消费者对广告的接受程度,鉴定广告主题是否突出,广告诉求是否针对消费者的心理,广告创意是否吸引人,是否能起到良好的效果,从而可以改进广告设计,制作出更好的广告作品。
(3)有利于促进广告业务的发展。由于网络广告效果评估能客观地肯定广告所取得的效益,可以增强广告主的信心,使广告企业更精心地安排广告预算,而广告公司也容易争取广告客户,从而促进广告业务的发展。
二、常用的网络广告效果评估方法
1.网络广告经济效果评估的内容及指标
网络广告的最终目的是促成产品的销售,广告主最关注的是由于网络广告的影响而得到的收益。收益是广告收入与广告成本两者之差,网络广告经济效果评估的内容及指标主要包括网络广告收入和网络广告成本。
(1)网络广告收入(income)。网络广告收入就是指消费者受网络广告刊登的影响产生购买而给广告主带来的销售收入。
(2)网络广告成本(cost)。目前有以下几种网络广告的成本计算方式:①千人印象成本(cost per mille)。千人印象成本是指网络广告所产生1000个广告印象的成本,通常以广告所在页面的曝光次数为依据。②每点击成本(cost per click)。所谓每点击成本就是点击某网络广告1次广告主所付出的成本。③每行动成本(cost per action)。所谓每行动成本就是广告主为每个行动所付出的成本。
cpm是目前应用最广,也是使用起来最简单的指标。其含义是:广告显示1000次所应付的费用。cpc也是目前常用的指标,在这种模式下广告主仅为用户点击广告的行为付费,而不再为广告的显示次数付费。由于cpm和cpc两个指标都存在一定的局限性,所以有人提出了cpa指标。cpa指标对于广告主最有借鉴意义,因为网络广告的最终目的就是促进产品的销售,这是通过消费者的行动来实现的。
2.网络广告效果评估基本方法
(1)通过服务器端统计访问人数评估;
(2)通过查看客户反馈量评估;
(3)通过广告评估机构评估;
(4)通过网络广告效果评估软件评估。
三、电子支付评估网络广告经济效果
1.电子支付的概念
电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付和资金转移的行为。
电子支付从基本形态上看是电子数据的流动,它以金融专用网络伪基础,通过计算机网络系统传输电子信息来实现支付。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。按照支付指令的传输渠道电子支付可以分为卡基支付、因特网支付和移动支付。
2.电子支付工具
电子支付系统中使用的支付工具可以分为以下三大类:
(1)银行卡电子支付工具,主要包括信用卡和借记卡;
(2)电子现金支付工具,如mondex、netcash等;
(3)电子票据支付工具,如电子支票等。
3.电子支付评估网络广告经济效果的原理
电子支付评估模型
网络广告引起的购物过程
(1)无效果阶段。顾客可能被网络广告的广告词、画面或者是其他因素吸引进入产品页面,但并未对所宣传的产品产生兴趣,于是离开。这个阶段可视为广告失效,并未对顾客产生任何效果。
(2)传播效果阶段。顾客对产品产生了兴趣,于是浏览该产品。但可能因为诸多因素,顾客仍然会离开,不选择购买产品,但其对产品已经有了一定了解,留下印象。如果顾客对产品感兴趣,便会有购买欲望,当顾客下订单,选择支付方式,便完成购买。但这个阶段并不代表顾客已经完全确定购买商品,存在许多因素使得顾客改变购买计划,取消支付,那么网络广告的经济效果并未实现,实现的是网络广告的传播效果。这样的潜在用户可能会有再次购买行为,产品的特性已经印在他们的脑海中。
(3)经济效果阶段。处于该阶段的顾客已经完成支付过程,即不会出现退货或者未支付货款行为。电子支付的完成,标志着网络广告经济效果的完全实现。因存在安全隐患问题,许多顾客会选择线下支付,选择线下支付的顾客在完成确认订单后视为经济效果实现,因为商家在收到线下付款后便会确认订单,然后发货。
第三个阶段的完成,说明了网络广告为企业直接带来了经济效益,以电子支付完成为评估点,每完成一个,说明网络广告该次点击是有效的。在支付系统中设置一个计数器,来统计完成电子支付的次数n,确认订单数为m(等于电子支付次数n和非电子支付次数m-n之和),商品价格x,每次购买量y。在确认订单处设置开关n,当n=1时,表示支付完成;当n=0时,表示未完成支付。在电子支付处设置开关s,当s=1时,表示选择电子支付;当s=0时,表示选择线下支付,s取值的前提是n=1。nsx∑y称为纯电子支付经济效果,记为ne=nsx∑y;(1-s)(m-n)x∑y称为非电子支付经济效果,记为e=(1-s)(m-n)x∑y。那么网络广告实现的最终经济效果为:n[nsx∑y+(1-s)(m-n)x∑y],记为b=n[nsx∑y+(1-s)(m-n)x∑y]=ne+e。
例如,一位顾客某一次点击网络广告并完成购买,那么n=1,若选择电子支付,那么s=1,所购商品单价为10元,一共购买了5件,那么网络广告实现的最终经济效果就是纯电子支付经济效果,因为(1-s)=0,那么,s=1,x=10,y=5,n=1
ne=nsx∑y=1×1×10×5=50
若该顾客选择线下支付,则,s=0,x=10,y=5,m-n=1-0=1
e=(1-s)(m-n)x∑y=(1-0)(1-0)×10×5=50
两次所得结果虽然相同,但是所包含的意义不同,第一次是电子支付经济效果为50,第二次为非电子支付经济效果为50,那么为什么网络广告实现的最终经济效果为两者之和e+ne,仍是50。因为我们计算的只是一次购买行为,选择了电子支付,ne就为0,选择线下支付,e就为0,因为一个人一次不可能又选择电子支付又选择线下支付,所以选择电子支付时b=n[nsx∑y+(1-s)(m-n)x∑y]=ne+e=ne+0,选择线下支付时b=n[nsx∑y+(1-s)(m-n)x∑y]=ne+e=0+e。再来看个例子,某商品在一个月内的购买情况如下:
被确认订单购买了10次,即m=10,其中有6次选择电子支付,即n=6,那么m-n=10-6=4,该商品单价x=10,在6次电子支付中,每次购买的数量为5,3,6,7,1,4,即y1=5,3,6,7,1,4,另外4次线下购买中,每次购买的数量为2,4,9,1,即y2=2,4,9,1。
则,
记住,单位可不是元,因为效果并不是效益。这里的几个结果所反映的是网络广告到底产生多少经济效果,而网络广告的传播效果是无法精确计算,例如每个人对产品的记忆程度是不同的,或者是偏好有所不同,导致广告对其影响程度会有很大差异。
四、电子支付评估网络广告经济效果模型的利弊
1.直接反映出网络广告带来的经济效果
本模型的根本目的就是估算网络广告的经济效果,因为对经济效果的评估是网络广告效果评估最主要也是最根本的目的。对经济效果的科学估算,可以为企业对网络广告的实施效果提供分析基础,企业可以根据评估结果,分析网络广告存在的问题,及时改进,不仅可以为企业减少不必要的损失,也可以为其他网络广告提供有用的参考数据。
2.与电子支付相结合,完全的电子化是未来发展必然趋势
电子支付已经成为网上购物一种必不可少的支付手段,方便快捷的特点使得电子支付替代线下支付成为可能,但电子支付存在的各种不安全因素也制约着电子支付的普及进度,也就会影响本模型的使用。但随着网络安全性地提高,电子支付趋势势不可挡。
3.将网络广告经济效果和传播效果基本分开,有利于评估直接经济效果
网络广告的经济效果和传播效果是很难完全分开的,因为广告对人们心理造成的影响会导致购买行为,但也会慢慢消失。如果顾客一次点进就完成购买,这样评估便容易许多了。本模型利用电子支付完成确认订单就增加一次经济效果评估系数n,可以很清晰的将传播效果和经济效果分开。
4.以技术手段进行评估,排除人为因素对评估效果的影响
因为评估的采集和计算都是由计算机完成,因此可以排除很多人为造假因素。技术手段进行评估更为科学、准确,并且评估结果能够用数据来表示。
5.模型简单,不能完全反映出例外情况
模型构造还不够完善,只是简单的总体评估。支付模式本身也存在很多不同的形式,所以例外情况不可排除。
6.参数数值存在缺点,不适合过大数据的计算
参数的设置对于小数额的评价极为有利,但是网络广告经济效果的数字评估结果往往是巨大的数额,这样对计算和显示都存在不利,也就会失去评估的意义。在公式参数的选取和效果的计算上,应更科学准确。
7.线下支付很难统计,为评估模型带来新挑战
[关键词] 风险评估工具 风险评估产品
一、市场前景
风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。风险评估工具不仅把技术人员从繁杂的资产统计、风险评估的工作过程中解脱出来,还可以完成一些人力无法完成的工作。
目前,许多组织根据一些安全管理指南和标准开发出风险评估工具,为风险评估的进行提供了便利条件。但综观这些工具的现状,还存在许多问题,如工具运用的结果如何能够反映客观实质、如何有效度量、工具的使用如何能够综合协调等。同时,我国在风险评估工具的开发方面还处于萌芽阶段,没有成型的风险评估工具。因此开发出具有自主知识产权的风险评估工具具有广阔的市场前景。
二、信息安全风险评估产品格局
根据在风险评估过程中的主要任务和作用原理的不同,目前的风险评估工具可分为三类:综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。综合风险评估与管理工具从管理的层面出发,根据信息所面临的威胁的不同分布进行全面考虑,如RA。信息基础设施风险评估工具包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统脆弱点。渗透性测试工具是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断是否这些漏洞能够被他人利用。风险评估辅助工具用来收集评估所需要的数据和资料,帮助完成现状分析和趋势分析。
可见,目前风险评估工具的类型界限非常明显,从需求的角度来看,管理型和技术层面的风险评估工具的需求已初露端倪。事实上,从管理角度进行风险评估的软件国内外已经有20余种,而技术层面的自动实现对网络环境风险评估的软件,目前还没有成型的产品。更多的仍是采用“漏洞扫描―渗透性测试―专家分析”的过程,而这种方式对评估人员的专业知识要求较高,对于一般的企业来说可操作性较差。因此,一个能够自动提供网络环境面临风险状况,提供控制风险解决方案的风险评估系统(策略管理系统)是企业真正需要的工具产品。
三、信息安全风险评估产品特点分析
国内信息安全风险评估产品及服务提供者主要来自于两个方向:一是国外提供商,包括国外知名的咨询机构,如美国Palisade公司的@RISK、英国CCTA的CRAMM、IIS的Internet Scanner、美国赛门铁克公司的NetRecon等,另一是国内专业从事信息安全的公司。企业自身由于IT技术相对较为薄弱,还没有能形成自己的专业工具。
1.国外主要信息安全风险评估厂商特点分析
目前,国外的信息安全风险评估产品在国内安全评估中的应用占有绝对优势,这一方面是因国外产品成熟度高,另一方面是因国内到目前为止还没有一套成形的风险评估产品。但从长远发展来看,国外软件公司占据中国软件绝大多数市场的局面只会是暂时的,将在一段时间内被拥有自主知识产权的本土化产品所替代。风险评估产品的国产化是必然趋势,主要原因如下:
(1)总体实施成本高昂
国外供应商在国内企业实施管理软件系统的过程中,必须对软件进行国产化,加之其他方面的成本考虑,同样实施一套管理软件,国外软件的采购、咨询、实施的费用要比国内软件的费用高出5到10倍。如此高的费用使得很多企业难以接受。
(2)国外企业管理制度、语言环境等方面差异化
由于国外的政策、企业的管理制度,以及风俗习惯与国内不同,这也决定了软件在流程规划、功能设计、界面交互等方面不太符合国内实际情况及应用要求,同时由于语言、环境的差异,给实际用户对系统的理解、功能的操作,以及帮助的使用都带来很大的不便。
(3)商业机密及国防安全方面考虑
在信息化建设过程中,会逐步涉及到企业的所有管理业务、资源、及资源配备等信息,这些信息的汇集,无形之中就形成了企业的商业机密和国家机密。
2.国内主要信息安全风险评估产品厂商特点分析
虽然目前人们对信息安全风险评估的重要性和其存在的地位给与极大的肯定,人们也认识到风险评估在整个系统生命周期(SDLC)中发挥着重要的作用,象电信、金融这样的大型行业成为在信息安全风险评估方面的领头羊为其行业内的风险评估工作一掷千斤,但目前国内推出专业风险评估工具的厂商凤毛麟角。2003年6月20日,启明星辰公司正式国内第一套专业的安全风险评估工具“天清安全风险与控制管理系统”,天清安全风险控制与管理系统是启明星辰信息技术有限公司与新加坡Maximus Consulting公司合作开发的信息管理类型的产品,完全按照BS7799/ISO17799标准而设计。其他公司也在这方面投入力量,但还没有相关的产品出现。目前在信息系统、网络层面的综合风险评估与管理工具还没有出现。对信息系统的风险评估仍是阶段式的交互进行。而更多情况下,人们对信息安全的焦点更多的落在网络环境中,但不同的公司在这方面的专业人员又有限,因此,迫切需要一个能够提供网络环境风险评估与管理的综合系统(决策管理系统)。
参考文献:
[1]Federal Deposit Insurance Corpaoration,Risk Assessment Tools and Practices for Information System Security,fdic.gov
[2]Jeff Forristal , Greg Shipley , Vulnerability Assessment Scanners, Network Computing ,January 8,2001
关键词:网络安全;风险评估;模糊综合评价
0 前言
网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。
然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法——模糊综合评价法。
模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。
1 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。
威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。
漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。
资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。
2 网络安全风险评估模型
2.1 网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。
可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。
从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。
即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。
2.2 资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。
2.3 威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。
威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。
2.4 脆弱性评估
安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。
通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。
3 评估方法
3.1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响
但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响
3.2 模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。
在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。
(1)确定隶属函数。
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。
此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。
为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。
威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。
(2)建立关系模糊矩阵。
对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。
(3)权重模糊矩阵。
一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。
(4)模糊综合评价算法。
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。
4 网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。
在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。
那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此时该资产的安全风险值为2.8。
参考文献
[1]郭仲伟.风险分析与决策[M].北京:机械工业出版社,1987.
[2]韩立岩,汪培庄.应用模糊数学[M].北京:首都经济贸易大学出版社,1998.
[3]徐小琳,龚向阳.网络安全评估软件综述[J].网络信息安全,2001.
