新业务信息安全评估(共8篇)
一、业务基本情况
1、业务简介(包括业务申请单位、业务功能等内容)
2、技术原理(包括业务平台以及相关网元的网络拓扑图、采用技术的原理、采用技术在行业内或者相关行业的应用情况等内容;对自建的业务平台,需提供设备位置、基线检测和漏洞扫描的安全检测结果报告等情况)
3、实现方式(包括业务流程等内容)
4、用户规模(对未上线业务需评估潜在用户情况,对已上线业务统计使用的用户情况,包括近两年内用户的增长情况);
5、市场情况(包括在行业内或者相关行业的应用情况等)
二、已有业务信息安全保障措施
1、自评估业务可能存在的信息安全风险(业务需求部门自行初步评估信息安全风险)
2、已有安全管理措施情况(包含日常、应急安全措施、已开展同类业务的安全防护情况等)。
三、企业信息安全评估情况
1、评估人员组成
2、评估流程(描述对新业务评估的整个过程,包括初次评估、二次评估)
3、评估发现的信息安全风险 至少从以下方面评估:
(1)对自建接入内网的业务平台,必须提供基线检测、漏洞扫描的结果报告,同时评估网络结构是否符合中国联合网络通信集团有限公司内网信息安全的相关管理要求。
(2)对基于现有系统平台或已具有成熟运营模式的新产品及系统集成新产品,评估与同类业务的安全防护情况。
(3)对采用新技术、新业务平台或新应用的产品,评估新技术、新业务在电信企业、互联网企业的应用情况。
(4)评估业务实现流程、网络结构、接入方式等方面是否存在风险被非法入侵、非法利用或者导致敏感数据泄露。
1 信息安全风险评估概述及必要性
1.1 信息安全风险评估概述
首先,信息安全风险,主要是指人为或自然的利用信息系统脆弱性操作威胁信息系统,以导致信息系统发生安全事件或造成一定消极影响的可能。而信息安全风险评估简单的理解,就是以减少信息安全风险为目的通过科学处理信息系统的方法对信息系统的保密性、完整性进行评估。信息安全风险评估工作是一项保证信息系统相对安全的重要工作,必须科学的对信息系统的生命周期进行评估,最大限度的保障网络和信息的安全。
1.2 信息安全风险评估的必要性
信息安全评估是为了更好的保障信息系统的安全,以确保对信息化技术的正常使用。信息安全风险评估是信息系统安全管理的必要和关键的环节,因为信息系统的安全管理必须建立在科学的风险评估基础上,科学的风险评估有利于正确判断信息系统的安全风险问题,提供风险问题的及时解决方案。
2 信息安全风险评估过程及方法
信息安全风险的评估过程极其复杂和规范。为了加强我国信息安全风险评估工作的开展,这里有必要对风险评估的过程和方法给予提示和借鉴。风险评估的过程要求完整而准确。具体有如下步骤:
1)风险评估的准备工作,即要确定信息系统资产,包含范围、价值、评估团队、评估依据和方法等方面。要明确好这些资产信息,做好识别。2)对资产的脆弱性及威胁的识别工作,这是由于信息系统存在脆弱性的特点,所以要周密分析信息系统的脆弱点,统计分析信息系统发生威胁事件的可能性以及可能造成的损失。3)安全风险分析,这是较为重要的环节。主要是采用方法与工具确定威胁利用信息系统脆弱性导致安全事件发生的可能性,便于决策的提出。4)制定安全控制措施,主要有针对性的制定出控制威胁发生的措施,并确认措施的有效性,最大限度的降低安全风险,确保信息系统的安全。5)措施实施的阶段,主要是在有效监督下实施安全措施,并及时发现问题和改正。
对于信息安全风险评估的方法,国内外进行了很多不同的方法尝试。方法一般都遵循风险评估的流程,只是在手段和计算方法上有差异,但是分别都有一定的评估效果。主要采用:定性评估、定量评估、以及定性与定量相结合的评估,最后的方法是一个互补的评估方式,能达到评估的最佳效果。
3 我国信息安全风险评估发展现状
较美国等西方国家关于信息安全系统风险评估的发展历史和技术研究,我国起步比较晚且落后于发达国家。但近年来,随着社会各界对信息系统安全的重视,我国开始在信息系统安全管理工作上加大力度,并把信息系统的安全评估工作放在重要的位置,不断创新研究,取得了高效成果。但是,就我国目前的信息安全风险评估工作看来,还存在诸多问题。
1)我国部分企业、组织和部门对于信息系统安全风险评估没有引起绝对的重视,没有大力普及风险评估工作。由于领导者及员工的信息安全防范意识不强以及自身素质水平的影响,导致对风险评估的流程及必要性都不了解,就不太重视对企业信息系统的安全风险评估工作。
2)我国缺乏信息系统安全风险评估的规范化标准。我国目前的信息系统安全风险评估工作的开展,大部分依靠参考国际标准提供服务,只注重效仿,而缺乏对我国信息系统安全风险的实际状况的研究,没有针对性,得不到应有的效果。
3)我国缺乏行之有效的理论和技术,也缺乏实践的经验。由于科技水平的相对落后,对于信息系统的安全风险评估缺乏合适的理论、方法、技术等。我国仅依靠深化研究IT技术共性风险,而没有针对性的行业信息个性风险评估,这是没有联系实际的举措,是不能真正将信息系统的安全风险评估落实到位的。
4)在对信息系统安全风险的额评估中角色的责任不明确。这应该归咎于领导的和员工的不符责任及素质水平的落后。对风险评估理论缺乏,那么就会导致参与评估工作领导和员工角色不明确,领导对评估工作的指导角色以及责任不明确,员工则对评估工作流程方法不理解,都大大降低了风险评估的工作效率。
以上种种关于信息系统安全风险评估的现状问题反映出我国在对信息系统安全风险评估的工作还缺乏很多理论和实践的指导。我国的信息系统安全风险评估工作的开展力度还远不够,那些在信息系统安全风险评估工作的成果还远远达不到评估工作的标准。
4 强化信息安全风险评估的对策
4.1 加强对信息安全风险评估的重视
信息化技术对于每一个企事业单位都是至关重要的,企业在对工作任务的执行和管理中都必须用到信息化技术,因此,保证信息系统的安全性对于企业的发展至关重要。企业、组织和部门要加强对信息安全风险评估的重视,强化风险意识,将信息安全风险评估作为一项长期的工作来开展。
4.2 完善我国信息系统安全风险评估的规范化标准
上文中指出我国目前的信息系统安全风险评估工作大部分依靠国际标准在进行,国内没有一个统一的评估标准。因此,我国应该根据企业各种标准的侧重点,自主创新研究,创造出自己的标准技术体系,而不再一味的去效仿他国。只有这样,我国的信息系统安全风险评估才能得到迅猛的提高与发展,才能保证国家信息化的安全。
4.3 加强对评估专业人才的培养
信息化技术是一项非常专业的技术,只有拥有专业知识和技能的高科技人才才能控制和把握。信息安全风险的评估工作上则更需要拥有专业技能和业务水平的人才,他们必须对信息化技术相当了解和精通,对风险评估的方法、手段、模型、流程必须熟练。因此,企事业单位要加强对专业人才的培养,定期进行业务技能培训,鼓励人才的自主学习,不断提高自身的能力,为确保企业信息安全评估工作的高效发展及信息安全贡献力量。
4.4 加强科技创新,增强评估的可操作性
我国的科技水平较西方国家有很大的差距,因此在对信息安全风险的评估工作中,也存在理论和技术上的差距。我国应该不断的加强科研力度,在理论和技术上加以完善,在评估工具上改进,以确保评估工作的高效开展。信息系统风险评估是一个过程体系,必须抓好每一环节的技术性,在依据实际状况下进行风险评估。
4.5 明确评估工作的职责划分
信息安全风险评估工作是复杂的,每一个流程都需要投入一定的人力、物力和财力。针对人力这一方面,企业单位应该明确划分评估工作人员的职责范围,管理者要发挥好领导监督作用,有效指导评估工作的开展,员工则有效发挥自身的作用和能力。进而在每一环节工作人员共同协作下,完成评估工作的各项流程,并达到预期的成效。
5 结束语
关键词:信息安全;风险评估;脆弱性;威胁
1.引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下6个特征:(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。
(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:(1)自然界因素,如地震、火灾、风灾、水灾、雷电等;(2)社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;(3)网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;(4)软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;(5)人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;(6)其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
3、安全风险评估方法
3.1定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估種类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
3.2安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
3.3多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
3.4敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
3.5评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
4、风险评估的过程
4.1前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
4.2中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
4.3后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
5.风险评估的错误理解
(1)
不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3)
不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是IT部门的工作,与其它部门无关。
(6)
不能认为风险评估是对所有信息资产都进行评估。
6、结语
一、什么是信息安全?
目前常说的所谓信息主要是指在信息系统中存储、传输、处理的数字化信息。信息安全通常是指保证信息数据不受偶然的或者恶意的原因遭到破坏、更改、泄露,保证信息系统能够连续可靠正常地运行,信息服务不中断。信息安全涉及到信息的保密性、完整性、可用性、可控性。保密性是保证信息不泄漏给未经授权的人;完整性是防止信息被未经授权的篡改;可用性是保证信息及信息系统确实为授权使用者所用;可控性就是对信息及信息系统实施安全监控。
信息安全面临的主要威胁来源有环境因素和人为因素,而威胁最大的并不是恶意的外部人员,恰恰是缺乏责任心或专业技能不足的内部人员,由于没有遵循规章制度和操作流程或不具备岗位技能而导致信息系统故障或被攻击。
信息安全涉及到物理环境、网络、主机、应用等不同的信息领域,每个领域都有其相关的风险、威胁及解决方法。信息安全是一个动态发展的过程,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。
二、什么是等级保护?
信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;
由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。
三、什么是风险评估?
风险评估就是量化评判安全事件带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
风险评估的主要任务包括:1)识别组织面临的各种风险;2)评估风险概率和可能带来的负面影响;3)确定组织承受风险的能力;4)确定风险消减和控制的优先等级;5)推荐风险消减对策。
在风险评估过程中需要考虑几个关键问题:
第一,要确定保护的对象(资产)是什么?它的直接和间接价值如何?
第二,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
第五,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上这些问题的过程,就是风险评估的过程。
四、中科网威的风险评估案例
2010年,某市税务局通过招标,对市属税务单位进行了一次风险评估。
在招标中,要求风险评估单位具有安全服务资质、风险评估资质、参与过国家信息安全评估产品标准的制订,有具有自主知识产权的风险评估产品、有6名以上CISP等。北京中科网威信息技术有限公司因技术实力突出而一举中标。
根据先期确定的风险评估实施方案,风险评估工作的对象为市局及其五个下属的区县级税务分局的信息系统。评估范围是市局的数据管理中心及五个下属区县局,涵盖物理环境、网络、应用、管理和终端等方面的评估;从20个分局中抽取了三个征管局和两个县区局,针对征管系统、OA系统、国地税数据交换系统进行检查评估。
经过2个月的评估,北京中科网威信息技术有限公司出具了风险评估报告,指明该市局税务系统的信息安全风险突出表现在以下五个方面:
1)安全管理体系不够健全
2)管理执行力度较差,缺乏监管与奖惩机制
3)各类人员不同程度的缺乏安全意识
4)现有安全措施不足,总体安全策略没有在技术上落实
5)安全风险过于集中,对于突发事件缺乏应急准备
针对发现的风险,北京中科网威信息技术有限公司协助市税务局制订了完整的整改方案,采取了一系列措施进行安全建设整改。经过4个月的安全建设和整改,完善了安全体系,有效防范了大部分安全风险,取得了令人满意的阶段性成果,并通过了国税总局进行的信息安全等级测评。
在总结会上,市局信息中心孙主任表示,在实行等级保护过程中,风险评估的作用至关重要,这次之所以顺利通过等级测评,就是前期的风险评估工作扎实到位,使得信息安全建设有的放矢。
2.1计划准备阶段
(1)制定项目章程。在信息安全风险评估项目中,应尽早确认并任命项目经理,最好在制定项目章程时就任命。项目经理的职责首先就在于应该参与制定项目章程,而该章程则具有授权的作用,即它能够使得经理能够运用组织资源来进行项目的实施。显而易见,项目经理是被授权的一方,必然不能成为授权项目运行有效的一方。授权项目启动的人一般而言能够提供实施项目所需要的资金等资源,他们能够参与章程的编制。
(2)确定风险评估范围。确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能,例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等,甚至一些人为的因素也是重要的参考。
(3)明确风险评估成果。在信息安全风险评估项目中,应该在项目开始之前,与客户将项目提交的成果及要求确定下来。明确风险评估成果之后,在项目执行过程中,该目标也应该作为项目验收的标准。
(4)制定项目实施方案。项目实施方案是项目活动实施的具体流程,主要用来为项目实施提供技术指导。
(5)制定项目管理计划。如果想要计划实施过程一切顺利,或者说对定义等计划行动的过程需要记录的话,就会需要制定一个项目管理计划。项目管理计划需要通过不断更新来渐进明细。项目管理计划不能冗余,相反应该极其精炼,但是精炼并不意味着简单,相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件。
(6)组建项目团队。一个优秀的项目团队是完成项目所必不可少的,是一种必须的人力资源。在项目开始时,一般而言,由项目经理来决定优秀团队的组成,并且在组建团队时应该注意谈判技巧。
(7)召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作,是一个项目的启动阶段,在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。
(8)风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训,以便项目能顺利实施。
2.2数据收集阶段
主要包括收集资料、现场技术评估、现场管理评估三项任务。
(1)收集资料。数据收集阶段最开始的步骤肯定是收集资料,简而言之,收集资料就是采取一切可行的方法,尽可能详细地获得和项目相关的一些信息,例如客户的行为习惯、客户业务相关的文档,甚至信息安全系统、信息化流程等信息都要尽量详细化。
(2)现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。
(3)现场管理评估。现场管理评估是最后一个步骤,但是却非常重要,它不仅关系着此次项目运行成功与否,还关系到以后项目效率的改进,现场评估需要对项目进展的流程进行综合分析,找出不足之处,寻出与优秀的项目管理之间的差距,归纳总结,从而完善管理程序。
2.3数据分析阶段
收集数据阶段已经收集了很多的数据存量,想要发现数据的内在规律,从而发现有用的东西,就必须对数据进行详细分析,只有仔细分析数据,才能够发现项目的风险所在,从而确定风险的大小,找出其资产、弱点、风险。
2.4报告撰写阶段
对收集到的数据进行了详细分析,得到初步的结论以后,就到了报告撰写阶段,即在数据分析的基础上,制作一份报告,论述项目的风险问题。
(1)撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来,让管理层清楚地了解当前信息系统存在的风险。
(2)撰写整改报告。整改报告则是根据风险评估的结果,提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。
2.5项目验收阶段
在完成了以上的步骤以后,理论上就可以对项目进行验收了,项目验收即对前期风险评估成果的检验,一般包括三项内容,即报告的评审、组织会议讨论验收事宜以及内部项目总结。
(1)报告评审报告评审就是对风险评估报告及整改报告进行评审。
(2)召开项目验收会即对项目的成果进行汇报。
当前,信息安全风险管理已成为企业信息化工作的关键,而信息系统安全风险已经成为企业信息化运营风险中最为重要的组成部分。信息系统风险管理是内控框架中的核心内容,并已成为判定企业成熟度的一项重要指标。信息系统安全风险评估是安全风险管理的基础和重要内容,既是企业信息安全体系建设的起点,也将覆盖其全生命周期。如何持续提升信息安全风险评估意识和能力,妥当开展信息系统安全风险评估及风险管控,是企业信息安全工作的重中之重,本文就此进行探讨研究。
一、评估目的、原则及方式
1.1 评估的目的。企业进行信息系统安全风险评估,是为了提高信息安全保障体系的有效性,主要包括:发现现有基础信息网络和重要信息系统的安全问题和隐患,提出针对性改进措施;识别在用系统和在建系统在生命周期各个阶段的安全风险;分析现有与信息安全相关的组织管理机构、管理制度和管理流程的缺陷与不足;评价已有信息安全措施的适当性、合规性等。
1.2 评估的原则。进行信息系统安全风险评估,要遵循以下原则:
(1)整体性。系统安全风险评估应从企业实际需求出发,不局限于网络、主机等单一的安全层面,而是从业务角度进行评估,包括技术、管理和业务运营的安全性。
(2)动态性。风险评估应是动态、阶段性重复的,并非一次评估即可解决所有问题。每次评估应达到有限的目标,并依据评估的动态特性考虑再次评估的时机,形成良性的评估生命周期。
(3)适当性。选择恰当的评估对象、评估范围、评估时机,评估对象要有代表性,确定评估范围的恰当性、可行性等情况。
(4)规范化。应严格规范评估过程和成果文档,便于项目跟踪和控制。
(5)可控性。评估过程和所使用的工具应具有可控性。评估所采用的工具必须经过实践检验,可根据企业实际现状与需求进行定制。
(6)最小影响。评估工作应充分准备,精心筹划,事先预见可能发生的情况并制定应急预案,不能对网络和信息系统的运行及业务的正常运作产生影响。
(7)保密性。参与评估的工作人员应签署保密协议,明确要求在评估过程中对所有的相关数据、信息严格保密,不得将评估中的任何数据用于与评估以外的任何活动。
1.3 评估方式。风险评估的方式可分为自评估、检查评估、委托评估三种。自评估是由企业自身实施,以发现现有信息技术设施和信息系统的弱点、实施安全管理为目的的评估方式。检查评估是由主管部门发起,对下级单位的安全风险管理工作进行检查而实施的评估活动。委托评估是指企业委托具有风险评估能力和资质的专业评估机构实施的评估活动。
企业信息管理部门应定期或在重大、特殊事件发生时组织进行风险评估,识别和分析风险,实施控制措施,确保信息安全和信息系统的稳定安全运行。
1.4 评估时机。企业信息系统风险评估应贯穿于系统的整个生命周期,方可做好风险管控。在系统规划设计阶段,通过风险评估明确系统建设的安全目标;在系统建设阶段,通过风险评估确定系统的安全目标是否达到;在系统运行维护阶段,实施风险评估识别系统面临不断变化的风险和脆弱性,从而确定安全措施的有效性,确保信息系统安全运行;在系统废弃阶段,确保硬件和软件等资产的残留信息得到适当的处置,确保废弃过程在安全的状态下完成。
二、评估方法
企业信息系统的安全风险评估大致可分为三个阶段:计划准备阶段、现场评估阶段、分析报告阶段。三个阶段的工作内容和步骤如图 1 所示。
2.1 计划准备阶段。在进行安全风险评估之前,充分的准备工作是评估工作成功的基础。在计划准备阶段,需要开展以下工作:
(1)制定项目计划。确定评估目标、范围和对象;明确评估人员组织,包括项目领导小组、项目负责人、项目技术顾问组、风险评估小组、被评估单位项目协调人和项目配合人员;制定项目进度计划;明确项目沟通与配合制度。(2)召开项目启动会。进行评估前的项目动员。
(3)收集相关信息。收集所有评估对象资产信息;收集文档信息,包括安全管理文档、技术设施文档、应用系统文档和机房环境文档等。
2.2 现场评估阶段。现场评估阶段包含文档审阅、问卷调查、脆弱性扫描、本地审计、渗透测试、现场观测和人员访谈等工作内容。
(1)文档审阅。通过文档审阅了解评估对象的基本信息(包括安全需求),了解各评估对象已被发现的问题、已实施的安全措施,确定需要通过访谈了解的信息和澄清的`问题,以便尽量缩减人员访谈沟通时间,降低评估工作对相关人员正常业务工作的影响。
(2)问卷调查。由一组相关的封闭式或开放式问题组成,用于在评估过程中获取信息系统在各个层面的安全状况,包括安全策略、组织制度、执行情况等。
(3)脆弱性扫描。利用技术手段对信息系统组件进行脆弱性识别,收集各信息系统组件可能存在的技术脆弱性信息,以便在分析阶段进行详细分析。
(4)本地审计。本地审计与脆弱性扫描互补,收集各信息系统组件可能存在的技术脆弱性信息,以便在分析阶段进行详细分析。
(5)渗透测试。利用模拟XX攻击方式发现网络、系统存在的可利用弱点,目的是检测系统的安全配置情况,发现配置隐患。主要通过后门利用测试、DDos 强度测试、强口令攻击测试等手段实现。需要注意,渗透测试的风险较其它几种手段要大得多,在实际评估中需要慎重使用,未必每次评估都要进行渗透测试。
(6)现场观测。主要通过现场巡视和观察等方法,观察与应用系统、机房环境等有关的管理制度、安全运维相关的机制、系统配置现状(如系统现有账号、日志功能等),了解制度实际执行情况,保留检查证据(截图,日志文件等)并填写现场观测结果。
(7)人员访谈。访谈的对象包括:信息系统管理人员、应用系统相关人员、网络及设备负责人和机房管理人员。主要涉及信息系统控制环境评估,包括安全策略、组织安全、人员、资产管理、风险管理、法律法规符合性等;信息系统通用控制评估,包括程序开发设计、变更管理、程序和数据访问控制、投产上线、系统运维等;应用系统的安全性评估,包括身份认证、标识与授权、会话管理、系统配置、日志与审计、用户账户管理、输入控制、异常处理、数据保护和通信等;应用控制评估,包括业务操作、权限管理、职责分离、业务流程、备份等。
2.3 分析报告阶段。分析报告阶段的主要工作是整理现场评估获得的数据、资料,进行综合分析以及生成最终评估报告。
综合分析根据收集到的各种信息,整理出系统 / 资产脆弱性,并对脆弱性进行威胁分析,包括分析威胁发生的可能性、产生的后果,判定风险级别,以及制定风险处理计划。综合分析对分析人员的能力要求较高。主导综合分析和报告生成的人员必须参与过信息系统风险评估的各阶段,对被评估系统有基本的了解,熟悉风险评估的方法、手段、过程,掌握风险计算方法,了解风险评估基本理论,具备较强的文字功底。
最终编写的风险评估报告是风险评估重要的结果文件,是企业实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料。风险评估报告通常应包括以下内容:
(1)概述。简要描述被评估系统的基本情况,包括功能用途、系统体系结构以及风险评估所使用的评估方法、评估过程等。
(2)评估综述。对被评估系统及其支撑平台已经实施的安全措施、评估发现的风险进行综合评价。
(3)评估详述。概要描述评估过程所发现的被评估系统存在的风险、以及不同级别的风险数量和比例;针对被评估系统及其支撑平台的每一个风险点,进行威胁分析、现有或计划实施的安全措施分析、风险评价等。
(4)整改建议。综合以上分析,说明被评估系统及其支撑平台需要采取的安全整改措施。
(5)附件。说明风险评估过程中主要访谈的人员和审阅的文档、脆弱性-风险对应表、控制措施-风险对应表等。
三、风险控制措施
风险评估的目的在于控制和规避风险。风险控制报告包括安全管理策略和风险控制措施,要依据通过审批的风险控制报告,落实控制措施。
控制信息安全风险的重要措施是实施信息系统安全等级保护,而等级保护的基本前提是信息系统等级的划分。企业要根据公安部等四部委联合发布的《关于信息安全等级保护工作的实施意见》,结合企业实际情况和国内相关领域专家的建议,确定信息系统安全保护等级,实施相应的等级保护,有效控制信息安全风险,支撑企业业务的连续运行。
四、风险控制实施的监督与跟踪
风险评估通常还包括一个至关重要的跟踪过程,即对执行与落实整改建议的情况进行监督与跟踪,必要时再次进行评估。
要充分利用风险评估管理信息系统作为基础性必备工具,实现对资产信息、安全威胁信息、脆弱性信息、评估结果的统一管理,以提升评估结果的可用性。
监督与跟踪主要工作包括建立监督与跟踪机制、制定跟踪计划、执行主动监督与报告等三个步骤:
(1)企业各级信息管理部门指定专门人员,建立监督与跟踪机制以跟踪安全整改建议的实施和效果。
(2)对关键的、意义重大而且至关紧要的安全整改措施,制定并实施跟踪计划,包括实施计划、预计实施时间、事项清单、验收方法与过程等。
信息安全风险评估是对信息资产面临的威胁、存在的弱点、造成的影响以及三者综合作用而带来风险的可能性的评估。整个信息安全风险评估体系经过长时间的积累和发展, 已经有着非常成熟和较为复杂的理论体系支撑, 同时也有大量的实践案例支撑。作为风险管理的基础, 风险评估 (Risk Assessment) 是组织确定信息安全需求的一个重要途径, 属于组织信息安全管理体系策划的过程, 主要包括资产识别与评价、威胁和弱点评估及认定、控制措施评估在内的一系列活动。
信息安全风险评估具有如下作用:
(一) 明确安全现状。进行信息安全评估后, 可以了解自身的网络、各种应用系统以及管理制度规范的安全现状, 从而明晰安全需求。
(二) 确定主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后, 可以确定主要安全风险。
(三) 指导信息系统安全技术体系与管理体系的建设。进行信息安全评估后, 可以制定网络和系统的安全策略及安全解决方案, 从而指导安全技术体系与管理体系的建设。
二、信息安全风险评估的主要方法
目前, 安全风险评估的方法有故障树分析法 (Fault Tree Analysis, FTA) 、层次分析法 (Analytic Hierarchy Process, AHP) 、模糊综合评判法 (Fuzzy Comprehensive Evaluation method, CE) 等。下面, 我们就着重介绍一下这三种理论。
(一) 故障树分析法 (FTA)
故障树分析法主要用于分析大型复杂系统的可靠性及安全性, 被公认为是对复杂系统可靠性、安全性进行分析的一种有效的方法。故障树分析是一种top-down方法, 通过对可能造成系统故障的硬件、软件、环境、人为因素进行分析, 列出故障原因的各种可能组合方式和其发生概率, 按树状结构, 逐层细化的一种分析方法。故障树分析采用树形图的形式, 把系统的故障与组成系统的部件的故障有机地联系在一起。首先以系统不希望发生的事件作为顶事件, 然后按照演绎分析的原则, 从顶事件逐级向下分析各自的直接原因事件 (称基本事件) , 根据彼此的逻辑关系, 用逻辑门符号连接上下事件, 直至所要求的分析深度。
故障树分析方法可以分为定性和定量两种方式。定性分析的目的在于寻找导致顶事件发生的原因和原因组合, 识别导致顶事件发生的所有故障模式。它可以帮助判明潜在的风险, 以便改进设计和运行维护方案。定量计算的任务就是要计算或估计顶事件发生的概率、各个底事件的重要度等。
故障树分析法具有灵活性高、表达直观等优点, 但是在定量计算中, 它需要有大量的准确数据做为支撑。
(二) 层次分析法 (AHP)
层次分析法 (Analytical Hierarchy Process, AHP) 是美国运筹学家萨蒂 (T.L.Saaty) 于20世纪70年代初提出的一种定性与定量分析相结合的多准则决策分析方法。其基本原理是首先将决策的问题看作是受多种因素影响的大系统, 这些相互关联、相互制约的因素可以按照它们之间的隶属关系排成从高到低的若干层次;然后利用数学方法对各因素层层排序;最后对排序结果进行分析, 辅助进行决策。
层次分析法主要有以下步骤:
第一步, 明确问题。明确问题就是要明确决策目的、决策准则、备选方案及它们之间的相互关系。
第二步, 建立层次结构。根据对问题的分析和明确, 将所涉及的要素按各自的性质进行分层排列, 构造一个便于问题解决的各因素之间相互连接的层次结构模型, 使问题的结构特征明朗化。
第三步, 逐层进行成对比较, 建立判断矩阵。在每个层次之中进行要素间的两两比较, 依据一定的决策准则, 确定要素之间的优劣差异。
但是, AHP在进行决策时存在以下问题:专家对信息安全风险因素的定性评价打分采用确定的数值点, 从而不能够准确地反映各因素间比较的模糊性和不确定性;构造比较判断矩阵时, 由一个专家来给出比较判断矩阵容易带有片面性, 从而导致结论的可信度不足。
(三) 模糊综合评判法 (CE)
综合评判是用于决策者综合决策的数学工具, 它通过建立评判函数、评判矩阵, 结合决策者的权重, 运用矩阵运算得出综合评判值, 并且依据最大隶属度原则, 得出决策者最有可能的决策, 应用范围十分广泛。
综合评判主要有以下步骤:
第一步, 建立因素集U={u1, u2, …un}, 也就是被评判对象的各因素组成的集合;
第二步, 建立判断集V={v1, v2, …, vm}, 某类专家或决策者给的评语集合;
第三步, 为对因素集U中的ui (i=1, 2, …, n) 作单因素评判, 从因素ui着眼确定该事物对判断等级vj (j=1, 2, …, m) 的隶属度rij, 并由此得出ui的单因素评判集ri={ri1, ri2, …, rim}, 它是抉择评语集合V上的模糊子集。由n个因素的评价集可构造出模糊关系矩阵R:
第四步, 确定各评价因素对评价对象的权重, 对于被评判的事物, 由于从不同的因素可能会得出截然不同的结论。而且在诸多着眼因素ui中, 对总评价的影响程度不一, 存在着模糊择优因素。因此, 评价的着眼点可看成着眼因素集U上的一个模糊子集A。在模型中, A称为输入模糊向量, 记成A={a1a2…an}。式中ai (0≤ai≤1) 为ui对A的隶属度且规定之和为1。
第五步, 综合评价。在确定了模糊矩阵R和模糊向量A后, 可作如下模糊变换来进行综合评判:B=A×R={b1, b2, …, bn}。其中B称为输出模糊向量, 它是评价集V的模糊子集, 其分向量的数值大小将相对地反映了有关因素的风险程度。
三、信息安全风险评估流程
风险评估是组织确定信息安全需求的过程, 包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等一系列的流程。
(一) 进行资产识别和评价, 列出一份与信息安全相关的资产清单。目前一般采用定性的方法, 根据资产的重要性或敏感度, 对已识别的资产进行赋值。在确定资产重要性或敏感度时, 要同时考虑资产在保密性、完整性和可用性这三个方面受损可能引发的后果。
(二) 识别并评价资产之后, 应根据资产目前所处的环境条件和以前的记录情况识别每项 (类) 资产可能面临的威胁。识别资产面临的威胁后, 还应该根据经验或者相关的统计数据来判断威胁发生的频率或概率。
(三) 针对每一项需要保护的信息资产和相应的威胁, 找出可以被利用的弱点。常见的弱点有技术性弱点、操作性弱点和管理性弱点。弱点来源有各种审计报告、事件报告、安全复查报告、系统测试及评估报告等。技术性和操作性弱点可以借助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。
(四) 对已有的 (或已计划的) 安全控制措施进行评估, 分析安全措施的效力, 确定威胁利用弱点的实际可能性。
(五) 根据资产、威胁、弱点和安全措施的识别和评估, 对风险进行评估, 确定风险的等级, 度量并评价信息安全管理范围内每一项信息资产遭受泄漏、修改、破坏所造成影响的风险水平。
(六) 根据风险评估结果, 选定消减风险的安全措施, 制定安全计划, 实施安全整改策略。
四、自动化风险评估工具
风险评估过程最常用的还是一些专用的自动化的风险评估工具, 此类工具都可以有效地通过输入数据来分析风险, 最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括:
COBRA———COBRA (Consultative, Objectiveand Bi-functional Risk Analysis) 是英国的C&A系统安全公司推出的一套风险分析工具软件, 它通过问卷的方式来采集和分析数据, 并对组织的风险进行定性分析, 最终的评估报告中包含已识别风险的水平和推荐措施。
CRAMM———CRAMM (CCTA Risk Analysis and Management Method) 是由英国政府的中央计算机与电信局 (Central Computer and Telecommunications Agency, CCTA) 于1985年开发的一种定量风险分析工具, 同时支持定性分析。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法, 适用于各种类型的信息系统和网络, 也可以在信息系统生命周期的各个阶段使用。
ASSET———ASSET (Automated Security Self-Evaluation Tool) 是美国国家标准技术协会 (National Institute of Standard and Technology, NIST) 发布的一个可用来进行安全风险自我评估的自动化工具, 它采用典型的基于知识的分析方法, 利用问卷方式来评估系统安全现状与NIST SP 800-26指南之间的差距。
CORA———CORA (Cost-of-Risk Analysis) 是由国际安全技术公司 (International Security Technology) 开发的一种风险管理决策支持系统, 它采用典型的定量分析方法, 可以方便地采集、组织、分析并存储风险数据, 为组织的风险管理决策支持提供准确的依据。
五、结束语
关键词:风险评估;威胁分析;信息安全
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 15-0000-01
Threat Analysis of Information Security Risk Assessment Methods Study
Huang Yue
(Naval Command College,Information Warfare Study Institute,Nanjing211800,China)
Abstract:A threat-based analysis of quantitative risk assessment methods,the use of multi-attribute decision theory,with examples,the security of information systems for quantitative risk analysis for the establishment of information systems security system to provide a scientific basis.
Keywords:Risk assessment;Threat analysis;Information security
随着信息技术的迅速发展和广泛应用,信息安全问题已备受人们瞩目,风险评估是安全建设的出发点,在信息安全中占有举足轻重的地位。信息安全风险评估,是指依据国家有关信息安全技术标准,对信息系统及由其處理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程[1]。信息安全风险评估方法主要有定性评估和定量评估。定性评估主要依赖专家的知识和经验,主观性较强,对评估者本身的要求很高;定量评估使用数学和统计学工具来描述风险,采用合理的定量分析方法可以使评估结果更科学。本文提出一种基于威胁分析的多属性定量风险评估方法,建立以威胁为核心的风险计算模型,通过威胁识别、威胁后果属性计算及威胁指数计算等步骤对信息系统的安全风险进行定量分析和评估。
一、风险评估要素分析
信息系统安全风险评估的基本要素包括资产、脆弱性和威胁,存在以下关系:a资产是信息系统中需要保护的对象,资产拥有价值。资产的价值越大则风险越大b风险是由威胁引起的,威胁越大则风险越大c脆弱性使资产暴露,是未被满足的安全需求,威胁通过利用脆弱性来危害资产,从而形成风险,脆弱性越大则风险越大[2]。
二、风险评估模型
威胁是风险评估模型关注的核心问题,威胁利用脆弱性对信息系统产生的危害称为威胁后果。威胁发生的概率以及威胁后果的值是经过量化的。风险按式计算R=f(A,V,T)=f(I,L(V,T)),R风险;A资产;V资产的脆弱性;T威胁;I威胁后果;L安全事件发生的可能性。风险评估模型通过计算威胁利用脆弱性而发生安全事件的概率及其对信息系统造成损害的程度来度量安全风险,从而确定安全风险大小及决策控制。评估过程主要包括威胁识别、威胁后果属性及威胁指数计算。(一)威胁识别。识别信息系统威胁主要有德尔菲法、故障树分析法、层次分析法等[3]。通过德尔菲法,结合对系统历史数据的分析,以及系统漏洞扫描等手段来确定信息系统中存在的威胁。其中,历史数据分析包括对信息系统中资产遭受威胁攻击的事件发生的概率等进行统计和计算。例如:近几年来全球范围内的计算机犯罪,病毒泛滥,黑客入侵等几大问题,使企业信息系统安全技术受到严重的威胁,企业对信息系统安全的依赖性达到了空前的程度,一旦遭到攻击遭遇瘫痪,整个企业就会陷入危机。某企业信息系统,面临的主要威胁有:1黑客蓄意攻击:出于不同目的对企业网络进行破坏与盗窃;网络敲诈2病毒木马破坏:病毒或木马传播复制迅猛3员工误操作:安全配置不当,安全意识薄弱4软硬件技术缺陷:硬件软件设计缺陷,网络软硬件等多数依靠进口5物理环境:断电、静电、电磁干扰、火灾等环境问题和自然灾害。(二)确定威胁后果属性。在评估威胁对信息系统的危害程度时,要充分考虑不同后果属性的权重,才能真正得到符合被评估对象实际情况的风险评价结果。最终确定的风险后果属性类型可表示为X{xj|j=1,2,…m}:其中,xj为第j种后果属性,权重W:{wj|j=1,2,…m}.列出企业信息系统的威胁后果属性及权重:收入损失RL,生产力损失PL,信誉损害PR。权重为0.3,0.5,0.2。(三)确定后果属性值。通过收集历史上发生的有关该类威胁事件的资料数据为风险评估提高可靠依据。最终确定威胁发生概率P:{pi|i=1,2,…n}及相应后果属性值集合V:{vij|i=1,2,…n;j=1,2,…m},pi是第i种威胁ti的发生概率,vij为威胁ti在后果属性xj上可能造成的影响值。由于多种后果属性类型有不同的量纲,为度量方便,消除了不同量纲,得到后果影响的相对值V*:{vij*|i=1,2,…n;j=1,2,…m},vij*表示威胁在后果属性方面造成的相对后果影响值。Vij*=vij/max{vkj}本例中,最终确定的结果见表1。
表1:风险概率与后果属性值
编号概率后果属性值
RL w=0.3PL w=0.5PR w=0.2
V1/万元V1*V2/hV2*V3/级V3*
10.451000140.451
20.351000110140.8
30.15000.540.420.4
40.082500.2560.620.4
50.021000.120.210.2
(四)计算威胁指数。使用威胁指数来表示风险的大小和严重程度。对于威胁ti,定义相应的威胁指数:TIi=pi*∑(wjvij),pi-威胁ti发生的概率,∑(wjvij)-威胁ti可能造成的总的后果影响,wj-后果属性xj的权重,vij-威胁ti在后果属性xj上可能造成的影响值。如前所述,安全风险评价的主要目标是为了度量出各个威胁的相对严重程度,并对其进行排序,以利于进行安全决策。因此,为使评估结果更加清晰和便于比较,这里用相对威胁指数RTI来表示威胁的相对严重程度。归一化,得到各威胁的相对指数。RTIi=(TIi/max{TIk})*100经计算,黑客蓄意攻击93,病毒木马破坏100,员工误操作13,软硬件缺陷11,物理环境1
三、结论及展望
结合企业信息系统实例,得出信息系统的相对威胁程度,使风险评估更易量化,使评估结果更加科学和客观。下一步工作是继续完善该评估模型,设计实现基于该方法的信息系统风险评估辅助系统,更好地促进信息系统安全管理的实施。
参考文献:
[1]GB/T20984-2007.信息安全技术信息安全风险评估规范[S].中华人民共和国国家标准,2007
[2]陈鑫,王晓晗,黄河.基于威胁分析的多属性信息安全风险评估方法研究[J].计算机工程与设计,2009,30(1):39
[3]sattyTL.How to make adecision:the analytichier archprocess[J].European journal of operation research,1990,48(1):9
(二)药品问题广告主要表现
在该段时间内,三大网站中存在问题的4个药品广告中,均为一个广告《打呼噜——当晚止鼾》在不同时段在不同的网站中投放。该广告存在诸多问题。首先,该广告含有不科学地表示功效的断言和保证,在广告中提到“当晚止鼾,一个月呼吸顺畅,二个月睡眠质量提高,三个月告别打呼噜”;电子生物『止鼾器』治疗打呼噜,不手术、不吃药,不用电,纯物理疗法,安全可靠,被誉为“绿色疗法”;“安全无毒,对身体没有任何影响;舒适耐用”等等。其次,利用他人名义、形象作证明。“他人”具体是指:医药科研、学术机构,专家、医生、患者或者用户。在该广告中,有利用具体的患者照片以及一些具体患者做广告宣传,“上海的刘芳32岁,是一个患者的妻子……江苏的老人陈老板自述……”这些都是利用具体的患者或者用户的名义做广告宣传。再次,含有“最新技术”、“最先進制法”等绝对化用语和表示。在该广告中,多次提到“采用国际医学界推崇的绿色物理疗法”、“为国际第一个戴在手腕上的止鼾产品,美国原装产品,畅销欧美20年,2010年由北京盛大电子科技有限公司引进中国大陆”等等。
三、解决网络广告问题的对策
一般来说,只要是发布广告,就要遵守《广告法》,但有关在网络媒体上发布广告,《广告法》中未提及。对于管理部门而言,出来规定网络公司承接广告业务必须对其经营范围进行变更登记外,如何界定网络广告经营资格,检测和打击虚假违法广告,取证违法事实,规范通过电子邮件发送的商业信息,对域外网络广告行使管辖权等一系列新的课题,都尚待探讨。因此,针对以上网络中的特殊商品广告违法行为,笔者认为应该采取以下对策:(1)网络经营者,网络广告发布者要牢固树立为人民服务、为社会主义事业服务的宣传宗旨,加强行业自律和职业道德修养,在思想上筑起防范不良广告的“大堤”。网络广告相关从业人员需要认真学习广告法规,特别是特殊商品、服务广告发布标准,对于违反广告法规的广告应该予以拒绝,净化传播广告的空间,给消费者提供一个良好的信息平台。(2)对于违反广告法规的广告,在追寻广告商责任的同时,应对该网站实施一定的惩罚。网站特别是大型的有一定影响力的网站作为广告的载体,有责任发布正规广告,为消费者提供真实、准确的信息。对于发布违法广告的网站,相关部门应该追究其责任,并进行经济处罚。(3)普通消费者应该了解基本的广告法规内容,从而判断简单的广告信息真伪,了解该广告是否合法。普通消费者学习广告法规,能够提高他们的基本素质,帮助消费者辨别广告的真伪,帮助选择信息,从而保护自己的合法权利。
参考文献:
[1]吕蓉.广告法规管理[M].上海:复旦大学出版,2003,9
[2]刘林清.广告监督与自律[M].湖南:中南大学出版社,2003,7
[3]倪宁.广告学教程[M].北京:中国人民大学出版社,2004,8
[4]刘敏.强化媒体治理虚假广告的责任意识[J].现代广告,2010,3
[5]曾红宇,张波.报纸特殊商品的违法违章广告探析[J].湖南大众传媒职业技术学院学报,2011,1
[作者简介]曾红宇(1982-),女,湖南郴州人,湖南大众传媒职业技术学院传媒管理系讲师,研究方向:媒介经营管理;胡芳豪(1981-),男,湖南邵阳人,湖南大众传媒职业技术学院体育卫生课部讲师,研究方向:运动营养。
【新业务信息安全评估】推荐阅读:
新业务商业模式11-18
新技术新业务汇报范文11-28
巾帼创新业 建功十二五06-08
小学教师业务评估细则11-11
业务财务信息化11-28
信息化与业务流程再造06-24
关于银行业信息科技与业务发展融合的思考07-06
业务园长安全责任书10-16
业务校长安全责任书12-20
税收业务业务培训11-27
