信息系统检测评估协议书

2024-04-26

信息系统检测评估协议书（共8篇）

篇1：信息系统检测评估协议书

甲方：_________

地址：_________

法定代表人：_________

乙方：中国信息安全产品测评认证中心_________测评中心

地址：_________

法定代表人：_________

受_________委托，由乙方即中国信息安全产品测评认证中心_________测评中心（该中心系由国家授权履行对信息安全产品，信息系统及信息安全服务进行测评认证的第三方权威，公证机构。）对甲方即进行测评。为保证信息系统检测评估过程的顺利进行，提高信息系统的安全性，现经甲、乙双方平等协商，自愿签订本协议，共同遵守如下条款：

1．经甲乙双方协商，于_________年_________月_________日起（时间约为_________周）由乙方对甲方网络系统的安全性进行检测评估。

2．测评范围为_________。

3．在检测评估过程中，甲方应协助并向乙方提供有关网络系统检测评估所需的文档。

4．乙方在对甲方的网络系统进行检测评估中必须严格依照信息系统检测评估要求与标准执行。信息系统检测评估过程如下：

（1）甲方向乙方提交系统检测评估申请文档；

（2）乙方对甲方提交的文档进行形式化审查；

（3）乙方对甲方提交的文档进行技术审查；

（4）乙方确定现场核查方案及计划；

（5）乙方对甲方申请检测的系统进行现场核查检测；

（6）乙方整理分析检测数据并撰写检测报告；

（7）乙方向甲方提交系统检测报告。

5．乙方在检测评估完毕后_________个工作日内向甲方提交网络系统检测评估报告。

6．乙方有义务对甲方提交的任何文档资料以及检测评估数据与结果保密，严格依照《中华人民共和国保密法》相关事宜执行，以确保任何相关技术及业务文档不得泄露。

7．甲方应在本协议生效之日起_________个工作日内将系统检测评估费用人民币_________元转入乙方指定的银行账户中。

8．本协议未尽事宜，双方协商解决，与国家法律法规相抵触的按国家规定执行。

9．本协议自签订之日起生效，一式三份，甲方持一份，乙方持两份。

甲方（盖章）：_________乙方（盖章）：_________

代表（签字）：_________代表（签字）：_________

_________年____月____日_________年____月____日

篇2：信息系统检测评估协议书

1、引言

随着人们安全意识的逐步提高，入侵检测系统(IDS)的应用范围也越来越广，各种各样的IDS也越来越多。那么IDS能发现入侵行为吗?IDS是否达到了开发者的设计目标?什么样的IDS才是用户需要的性能优良的IDS呢?要回答这些问题，都要对IDS进行测试和评估。

和其他产品一样，当IDS发展和应用到一定程度以后，对IDS进行测试和评估的要求也就提上日程表。各方都希望有方便的工具，合理的方法对IDS进行科学。公正并且可信地测试和评估。对于IDS的研制和开发者来说，对各种IDS进行经常性的评估，可以及时了解技术发展的现状和系统存在的不足，从而将讲究重点放在那些关键的技术问题上，减少系统的不足，提高系统的性能;而对于IDS的使用者来说，由于他们对IDS依赖程度越来越大，所以也希望通过评估来选择适合自己需要的产品，避免各IDS产品宣传的误导。IDS的用户对测试评估的要求尤为迫切，因为大多数用户对IDS本身了解得可能并不是很深入，他们希望有专家的评测结果作为自己选择IDS的依据。

总地来说，对IDS进行测试和评估，具有以下作用：

・有助于更好地刻划IDS的特征。通过测试评估，可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准;领会各检测方法之间的关系。

・对IDS的各项性能进行评估，确定IDS的性能级别及其对运行环境的影响。

・利用测试和评估结果，可做出一些预测，推断IDS发展的趋势，估计风险，制定可实现的IDS质量目标(比如，可靠性、可用性、速度、精确度)、花费以及开发进度。

・根据测试和评估结果，对IDS进行改善。也就是发现系统中存在的问题并进行改进，从而提高系统的各项性能指标。

本文首先介绍了测试评估IDS性能的标准，然后介绍了测试评估的方法步骤，并且介绍测试评估的具体指标、所需的数据源、测试评估环境配置与框架，最后介绍了测试评估现状以及其中存在的一些问题。

2、测试评估IDS性能的标准

根据Porras等的研究，给出了评价IDS性能的三个因素：

・准确性(Accuracy)：指IDS从各种行为中正确地识别入侵的能力，当一个IDS的检测不准确时，就有可能把系统中的合法活动当作入侵行为并标识为异常(虚警现象)。

・处理性能(Performance)：指一个IDS处理数据源数据的速度。显然，当IDS的处理性能较差时，它就不可能实现实时的IDS，并有可能成为整个系统的瓶颈，进而严重影响整个系统的性能。

・完备性(Completeness)：指IDS能够检测出所有攻击行为的能力。如果存在一个攻击行为，无法被IDS检测出来，那么该JDS就不具有检测完备性。也就是说，它把对系统的入侵活动当作正常行为(漏报现象)。由于在一般情况下，攻击类型、攻击手段的变化很快，我们很难得到关于攻击行为的所有知识，所以关于IDS的检测完备性的评估相对比较困难。

在此基础上，Debar等又增加了两个性能评价测度：

・容错性(Fault Tolerance)：由于IDS是检测入侵的重要手段/所以它也就成为很多入侵者攻击的首选目标。IDS自身必须能够抵御对它自身的攻击，特别是拒绝服务(Denial-of-Service)攻击。由于大多数的IDS是运行在极易遭受攻击的操作系统和硬件平台上，这就使得系统的容错性变得特别重要，在测试评估IDS时必须考虑这一点。

・及时性(Timeliness)：及时性要求IDS必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止入侵者进一步的破坏活动，和上面的处理性能因素相比，及时性的要求更高。它不仅要求IDS的处理速度要尽可能地快，而且要求传播、反应检测结果信息的时间尽可能少。

3、IDS测试评估的方法步骤

前面我们已经讨论了IDS测试评估的性能指标，具体测试主要就是围绕这些指标来进行。大部分的测试过程都遵循下面的基本测试步骤：

・创建、选择一些测试工具或测试脚本。这些脚本和工具主要用来生成模拟的正常行为及入侵，也就是模拟IDS运行的实际环境。

・确定计算环境所要求的条件，比如背景计算机活动的级别。

・配置运行IDS。

・运行测试工具或测试脚本。

・分析IDS的检测结果。

美国加州大学的Nicholas J.Puketza等人把测试分为三类，分别与前面的性能指标相对应，即入侵识别测试(也可以说是IDS有效性测试)。资源消耗测试、强度测试。入侵识别测试测量IDS区分正常行为和入侵的能力，主要衡量的指标是检测率和虚警率。资源消耗测试(Resource Usage Tests)测量IDS占用系统资源的状况，考虑的主要因素是硬盘占用空间、内存消耗等。强度测试主要检测IDS在强负荷运行状况下检测效果是否受影响，主要包括大负载、高密度数据流量情况下对检测效果的检测。

4、测试评估IDS的性能指标

在我们分析IDS的性能时，主要考虑检测系统的有效性、效率和可用性。有效性研究检测机制的检测精确度和系统检测结果的可信度，它是开发设计和应用IDS的前提和目的，是测试评估IDS的主要指标，效率则从检测机制的处理数据的速度以及经济性的角度来考虑，也就是侧重检测机制性能价格比的改进。可用性主要包括系统的可扩展性、用户界面的可用性，部署配置方便程度等方面。有效性是开发设计和应用IDS的前提和目的，因此也是测试评估IDS的主要指标，但效率和可用性对IDS的性能也起很重要的作用。效率和可用性渗透于系统设计的各个方面之中。本节从检测的有效性、效率以及可用性角度，对测试评估IDS的性能指标进行分析讨论。

4.1 检测率、虚警率及检测可信度

检测率是指被监控系统在受到入侵攻击时，检测系统能够正确报警的概率。虚警率是指检测系统在检测时出现虚警的概率。检测可信度也就是检测系统检测结果的可信程度，这是测试评估IDS的最重要的指标。

实际的IDS的实现总是在检测率和虚警率之间徘徊，检测率高了，虚警率就会提高;同样虚警率降低了，检测率也就会降低。一般地，IDS产品会在两者中取一个折衷，并且能够进行调整，以适应不同的网络环境。美国的林肯实验室用接收器特性(ROC，Receiver Operating Characteristic)曲线来描述IDS的性能。该曲线准确刻画了IDS的检测率与虚警率之间的变化关系。ROC广泛用于输入不确定的系统的评估。根据一个IDS在不同的条件(在允许范围内变化的阈值，例如异常检测系统的报警门限等参数)下的虚警率和检测率，分别把虚警率和检测率作为横坐标和纵坐标，就可做出对应于该IDS的ROC曲线。ROC曲线与IDS的检测门限具有对应的关系。

在测试评估IDS的具体实施过程中，除了要IDS的检测率和虚警率之外，往往还会单独考虑与这两个指标密切相关的一些因素，比如能检测的入侵特征数量、IP碎片重组能力、TCP流重组能力。显然，能检测的入侵特征数量越多，检测率也就越高。此外，由于攻击者为了加大检测的难度甚至绕过IDS的检测，常常会发送一些特别设计的分组。为了提高IDS的检测率降低IDS的虚警率，IDS常常需要采取一些相应的措施，比如IP碎片能力、TCP流重组。因为分析单个的数据分组会导致许多误报和漏报，所以IP碎片的重组可以提高检测的精确度。IP碎片重组的评测标准有三个性能参数：能重组的最大IP分片数;能同时重组的IP分组数;能进行重组的最大IP数据分组的长度，TCP流重组是为了对完整的网络对话进行分析，它是网络IDS对应用层进行分析的基础。如检查邮件内容。附件，检查FTP传输的数据，禁止访问有害网站，判断非法HTTP请求等。这两个能力都会直接影响IDS的检测可信度。

4.2 IDS本身的抗攻击能力

和其他系统一样，IDS本身也往往存在安全漏洞。若对IDS攻击成功，则直接导致其报警失灵，入侵者在其后所作的行为将无法被记录。因此IDS首先必须保证自己的安全性。IDS本身的抗攻击能力也就是IDS的可靠性，用于衡量IDS对那些经过特别设计直接以IDS为攻击目标的攻击的抵抗能力。它主要体现在两个方面：一是程序本身在各种网络环境下能够正常工作;二是程序各个模块之间的通信能够不被破坏，不可仿冒。此外要特别考虑抵御拒绝服务攻击的能力。如果IDS本身不能正常运行，也就失去了它的保护意义。而如果系统各模块间的通信遭到破坏，那系统的报警之类的检测结果也就值得怀疑，应该有一个良好的通信机制保证模块间通信的安全并能在出问题时能够迅速恢复。

4.3 其他性能指标

延迟时间。检测延迟指的是在攻击发生至IDS检测到入侵之间的延迟时间。延迟时间的长短直接关系着入侵攻击破坏的程度。

资源的占用情况。即系统在达到某种检测有效性时对资源的需求情况。通常，在同等检测有效性的前提下，对资源的要求越低，IDS的性能越好，检测入侵的能力也就越强。

负荷能力。IDS有其设计的负荷能力，在超出负荷能力的情况下，性能会出现不同程度的下降。比如，在正常情况下IDS可检测到某攻击但在负荷大的情况下可能就检测不出该攻击。考察检测系统的负荷能力就是观察不同大小的网络流量、不同强度的CPU内存等系统资源的使用对IDS的关键指标(比如检测率、虚警率)的影响。

日志、报善、报告以及响应能力。日志能力是指检测系统保存日志的能力、按照特定要求选取日志内容的能力。报警能力是指在检测到入侵后，向特全部件、人员发送报警信号的能力以及在报警中附加信息的能力。报告能力是指产生入侵行为报告、提供查询报告、创建和保存报告的能力。响应能力是指在检测到入侵后进一步处理的能力，这包括阻断入侵、跟踪入侵者、记录入侵证据等。

系统的可用性。主要是指系统安装、配置、管理、使用的方便程度，系统界面的友好程度，攻击规则库维护的简易程度等方面。

总之，IDS是个比较复杂的系统，对IDS进行测试和评估不仅和IDS本身有关，还与应用IDS的环境有关。测试过程中涉及到操作环境、网络环境、工具、软件、硬件等方面。我们既要考虑入侵检测的效果如何，也要考虑应用该系统后它对实际系统的影响，有时要折衷考虑这两种因素，

5、对IDS进行测试评估一利用的相关数据

对IDS进行测试评估，也就是让IDS对进入到受保护系统的数据进行检测，以确定检测系统能否发现其中的入侵。要测试评估IDS，最准确的数据当然是根据实际运行环境产生的数据，但这通常是行不通的。因为各机构的数据中都包含一些隐私信息，他们不愿公开这些数据，并且即使有机构愿意公开自己的数据，也不大适合用来做通用测试，因为特定机构的数据都带有明显的特有的一些特性，具有一定的局限性，可重复性也不好。为此，在具体测试的时候，大都采用一些测试工具。通过这些工具来生成IDS的测试数据。

测试评估数据的生成需要满足下面几个条件，即数据的生成必须能自动完成，不需要人为的干预;要具有一定的可重复性，也就是说需要时可以产生相同的数据;要有一定的健壮性，可在无人监控的条件下，可运行较长时间。

测试评估IDS的数据包括两部分，一部分是训练数据，另外一部分是实际测试数据。这两部分数据中都包括正常数据和入侵数据。只有在正常数据的背景下，对IDS的测试评估结果才是客观和全面的。入侵行为在背景数据的掩护下，被检测系统发现的机率会大大降低。而IDS也可能将正常的流量行为误判为攻击，产生虚警。训练数据用来帮助IDS建立正常行为的模型，调整IDS各参数的设置。在训练数据中，入侵数据是明确标明的。测试数据用来对检测系统进行测试，其中的入侵数据没有标明。

通常使用下面三种方法生成既包含正常通信数据又有攻击的可公用的数据：抓取正常情况和被受控攻击时的运行通信数据。由于隐私和安全问题这显然行不通;从实际运行数据中清除秘密信息。并在其中加入攻击，这也行不通，因为很难清除秘密信息;在一个内部网中重建正常通信和攻击数据，这是我们采用的方法。

重建正常通信和攻击数据也就是仿真用户操作、模拟入侵。仿真用户操作即生成用户各种各样的正常使用模式，这些模式帮助基于异常检测的IDS建立正常行为的模型，并且以用户正常模式数据作为检测入侵的背景通信数据，对于确定IDS正常运行时的检测率和虚警率是非常必要的。模拟入侵应尽可能地覆盖多种类型，新的攻击只在测试数据一出现。设计攻击要考虑很多问题。要分析攻击的机制，并在测试系统中试验以便于分析和调节。分析要确定攻击在测试环境中能否工作，是否需要新软件或服务的支持。设计新奇的攻击以用来发现未利用的系统或网络漏洞。下面对用户正常模式的仿真和入侵仿真分别进行讨论。

目前，大多采用下面三种方法来仿真网络用户行为，即通用会话生成工具、测试软件包和录制重放实际数据。通用会话生成工具方法基于有限自动机来生成用户所有可能的操作。每种操作都有一定的操作规程，比如FTP操作，首先它要完成TCP三步握手初始化连接，然后要输入用户名和密码，用户名密码通过之后再浏览FTP服务器上的内容、下载或者上传，所有操作完成后离开服务器，结束TCP会话。根据这种通用规程，就可生成通用的会话，模拟用户操作。但是，这种方法只适用于测试有限的命令集，比如可仿真FTP客户，但不能仿真shell客户，并且这种仿真存在一些问题，因为用户操作的顺序和服务器端的响应都是不确定的，仿真并不能完全模拟用户的操作状况。操作系统开发商自带测试软件包是比较简单的模拟方法，通常用于测试评估操作系统服务的性能和应用服务软件是否按设计说明来实现。但是这种测试不能给出用户进行什么样的操作，只能告诉我们系统对正常请求的响应行为。录制重放方法是记录各种用户正常活动的数据，然后在测试平台上重放用户的活动过程。这种方法要求用户活动记录要足够多。

用户正常行为的仿真主要包括网络流量仿真、主机正常使用仿真。大多数的网络IDS或者网络IDS的大部分都工作于网络层或网络层之上，它们对网络上的数据分组根据不同的协议进行相应的分析。因此，在仿真网络流量时，要仿真各种协议的各种应用的流量。通常，对实际流量进行分析，经统计计算，得到各个协议按时间的流量概率分布，以此为模型，分别仿真各个协议的流量。

主机的使用可以分为两个部分：主机所提供的网络服务的使用和主机的直接使用，即用户在主机上执行命令。相应的主机正常使用的仿真要分为两部分，即主机网络服务正常使用的仿真和主机直接使用的仿真。对主机提供的网络服务的正常使用进行仿真，可以采用两种方法。一是遍历法，即找出某个服务允许的所有正常使用模式，再由仿真程序，按这些模式依次对该服务进行访问。二是实际采样法，取得真实网络环境中某个服务的实际使用情况数据，分析出现的使用模式，再根据分析结果建立仿真模型进行仿真。此方法与网络流量仿真的方法类似。这两种方法各有优缺点、仿真实现中，应根据被仿真服务的具体情况进行选择。由于用户的行为因工作性质不同，会有很大差别，所以主机直接使用的仿真应将用户分为不同的种类(比如管理员、普通用户)，根据不同的用户类型编写不同的脚本，实现主机直接使用的仿真。由于不同用户使用习惯变化很大，并且即使同一用户使用习惯也带有很大的随机性，这使得仿真的难度大大增加。在实际测试评估IDS时，一般只是仿真主机正常使用的一个具有代表性的子集。

攻击仿真是评估环境的核心，也是对IDS进行测试的关键。攻击仿真要尽可能多地搜集各种攻击方法。由于各种攻击的数量过于庞大，不可能对所有的攻击都进行仿真。参考软件测试领域中的等价划分方法(equivalence partitioning)，在进行攻击仿真时，一般先将攻击分类，然后选择每种类别中典型的攻击方法进行仿真试验。选择好攻击类型后，在仿真时根据入侵者进行攻击的步骤进行仿真。在构造攻击数据时还要注意新式攻击。攻击方式隐秘的攻击、并行进行的攻击等方面。相对于旧式攻击、攻击方式明显的攻击以及串行进行的攻击而言，这些攻击方式对检测结果的影响可能会更大。

目前，测试数据所采用的格式大多采用Tcpdump数据格式和BSM数据格式，由于Windows系统广泛应用，Windows NT的日志格式也逐渐考虑进来。在测试数据方面，麻省理工学院林肯实验室的数据比较完备，它包括一定时间的训练数据和用于最后实际测试的检测数据。用于网络流量仿真的工具有Anzen公司开发的nidsbench以及加利福尼亚大学开发的入侵检测测试平台。nidsbench包括tcpreplay和fraqrouter两部分。tcpreplay的功能是将tcpdump复制的数据分组重放，还原网络的实际运行状态;而fraqrouter的功能是通过构造一系列躲避IDS检测的攻击以测试检测系统的正确性和安全性。加利福尼亚大学的IDS软件测试平台使用 Tcl-DP(TooL Command Language Distributed Programming)工具开发实现。它共包含四组命令：基本的会话命令集、同步命令集、通信命令集、记录重放命令集。这些命令集分别用来仿真入侵者的基本操作，按指定要求产生事件，实现并发进程的通信以及记录用户会话期间的操作命令序列再重放这些记录。此外，麻省理工学院林肯实验室也开发了非实时IDS性能评估工具，该工具可动态重放大量的数据。

6、测试评估IDS的环境配置与框架

在测试评估IDS时，很少会把IDS放在实际运行的网络中，因为实际网络环境是不可控的，并且实际网络环境的专用性也太强，很难对IDS进行准确的系统测试。所以一般要构建专用的网络的环境。

受保护系统模拟主机正常运行状况，网络负载生成器模拟内部网之间以及内部网与外部网之间的网络通信。攻击模拟用来模拟入侵者发起的攻击。IDS即为待检测的系统。由于有时实际的网络环境很大，有很多安装各种各样操作系统、应用软件的主机服务器，要求测试环境完全按照实际网络进行配置并不是很实际，所以在测试中一般采用虚拟主机技术。通常使用一些软件工具或者编写可自动运行的脚本来模拟各种主机的各种行为，相当于在一台物理主机上运行多台虚拟主机，每个虚拟主机模拟不同硬件上运行的不同操作系统、不同应用程序。一般来说，受保护主机要包含运行常用操作系统(比如Windows、Linux、SunOS)的主机。内部网网络负载生成器要模拟内部的网络流量以及内部的攻击，而外部位网络负载生成器要模拟外部的网络流量(比如访问Web页面，下载文件)以及外部的攻击。实际构建测试环境的过程是个复杂过程，它直接关系到评测的成功与否。

7、IDS测试评估现状以及存在的问题

虽然IDS及其相关技术已获得了很大的进展，但关于IDS的性能检测及其相关评测工具、标准以及测试环境等方面的研究工作还很缺乏。

Puketza等人在1994年开创了对IDS评估系统研究的先河，在他们开发的软件平台上可以实现自动化的攻击仿真。Debar等在IDS实验测试系统的研究中，指出在评估环境中仿真正常网络流量是一件非常复杂而且耗时的工作。林肯实验室在19、进行的两次IDS离线评估，是迄今为止最权威的IDS评估。在精心设计的测试网络中，他们对正常网络流量进行了仿真，实施了大量的攻击，将记录下的流量系统日志和主机上文件系统映像等数据，交由参加评估的IDS进行离线分析。最后根据各IDS提交的检测结果做出评估报告。目前美国空军罗马实验室对IDS进行了实时评估。罗马实验室的实时评估是林肯实验室离线评估的补充，它主要对作为现行网络中的一部分的完整系统进行测试，其目的是测试IDS在现有正常机器和网络活动中检测入侵行为的能力以及IDS的响应能力及其对正常用户的影响。IBM的Zurich研究实验室也开发了一套IDS测评工具。此外，有些工具软件也可用来对IDS进行评测。

目前，市场上以及正在研发的IDS很多，各系统都有自己独特的检测方法。攻击描述方式以及攻击知识库，还没有一个统一的标准。这大大加大了测试评估IDS的难度，因为很难建立一个统一的基准，也很难建立统一的测试方法。

测试评估IDS中存在的最大问题是只能测试已知的攻击。在测试评估过程中，采用模拟的方法来生成测试数据，而模拟入侵者实施攻击面临的困难是只能掌握已公布的攻击，而对于新的攻击方法就无法得知。这样的后果是，即使测试没有发现IDS的潜在弱点，也不能说明IDS是一个完备的系统。不过，可以通过分类选取测试例子，使之尽量覆盖许多不同种类的攻击，同时不断更新入侵知识库，以适应新的情况。

并且，由于测试评估IDS的数据都是公开的，如果针对测试数据设计待测试IDS，则该IDS的测试结果肯定比较好，但这并不能说明它实际运行的状况就好。

此外，对评测结果的分析使用也有很多问题。理想状况是可以自动地对评测结果进行分析，但实际上很难做到这一点。对IDS的实际评估通常既包含客观的也包含主观的，这和IDS的原始检测能力以及它报告的方式有关。分析人员要在IDS误报时分析为什么会出现这种误报，在给定的测试网络条件下，这种误报是否合理等问题。评测结果的计分方式也很关键，如果计分不合理的话，得出的评测结果可信度也就不可能很高。比如，如果某个IDS检测不出某种攻击或对某种正常行为会产生虚警，则同样的行为都产生同样的结果，正确的处理方法是应该只计一次，但这很难把握，一旦这种效果被多次重复考虑的话，该IDS的评测结果肯定不是很理想，但实际上该人侵检测总体检测效果可能很好。

8、小结

入侵检测作为一门正在蓬勃发展的技术，出现的时间并不是很长;相应地对IDS进行评测出现得更晚。它肯定有很多不完善和有待改进的地方，这需要进一步的研究。其中几个比较关键的问题是：网络流量仿真、用户行为仿真、攻击特征库的构建、评估环境的实现以及评测结果的分析。

篇3：太阳能热水系统检测及节能评估

1 系统概况

该宾馆位于福州市的五四北路, 原来计划采用2台燃油锅炉为客房提供热水, 后为节能考虑增加太阳能热水系统。该热水系统优先采用太阳能热水系统所产生的热水, 当太阳能热水系统所产生的热水未能满足使用要求时, 由燃油锅炉辅助加热。太阳能热水系统集热器面积为200㎡, 集热器与屋面倾角为25℃, 系统日设计水量为16吨/天。

2 技术方案

系统主要控制原理如下:在电磁供水阀控制下, 冷水从屋面冷水箱直接进入贮热水箱、并充满集热器;集热器接受太阳能辐射, 当集热器中的水温高于贮热水箱中的水温±10℃时, 集热循环水泵在温度控制器作用下启动, 将热水输送到集热水箱, 同时贮热水箱底部温度较低的水由下循环管进入集热器阵, 继续受太阳能辐射加热, 如此周而复始循环使贮热水箱中的水温不断升高。当贮热水箱中水温达到要求时, 由循环泵送入太阳能恒温水箱。在特殊情况下, 太阳能恒温水箱温度未达到设计要求, 应采用辅助热源加热。

3 检测方法

3.1 检测依据及内容

检测依据为《太阳热水系统性能评定规范》GB/T 20095-2006。

检测内容太阳能热水系统的日有用得热量、升温性能, 因此, 在检测期间关闭热泵系统和其他一切辅助加热设备, 启动太阳能集热系统, 按照国家标准对该系统进行全面的检测。

3.2 试验条件及要求

环境温度8℃≤ta≤39℃;环境空气流动平均速率不大于4m/s;太阳集热器采光口所在平面的日太阳辐照量h≥17MJ/m2;试验前系统至少正常连续运行3天;检测起止时间为正午前后4小时, 共计8小时采样间隔≤30min;每天进行试验前, 必须将系统内的热水排净, 重新注入冷水。

3.3 试验程序

将系统关闭, 在贮热水箱中央沿轴线方向均匀布置5个温度传感器, 见图2;记录检测期间太阳辐射数据、环境风速及环境温度, 太阳辐射计布置与集热器平面平行, 见图3;在日出之前确保集热水箱的温度在8℃≤tb≤25℃范围内;关闭贮热水箱与恒温水箱循环回路, 启动集热系统循环回路, 并监测贮热水箱水温和液面高度变化情况;日落后, 关闭系统, 统计数据。

3.4 系统日有用得热量和升温性能的计算

检测期间数据统计如下:

3.4.1 系统日有用得热量

系统试验期间单位轮廓采光面积的日有用得热量q用下式计算:

undefined

其中, ρ、c为水的密度及比热容, 分别取1000kg/m3、4.18kJ/ (kg·℃) ;V为贮热水箱容量;Ac为集热器轮廓采光面积;其余数据见表1。则:

undefined

日太阳辐照量为17MJ/m2时的日有用得热量q17用下式计算:

undefined

则:undefined

3.4.2 升温性能

日太阳辐照量为17MJ/m2时, 水箱的升温△t17用下式计算:

undefined

将表1中的相关数据代入得:

undefined

4 能效测评

4.1 检测结果

日太阳辐射量为17MJ/m2时日有用得热量q17=7.07 MJ/m2, 集热效率为41.6%;日太阳辐射量为17MJ/m2时的水箱升温Δt17=33.8 ℃。

4.2 能效评估

4.2.1 太阳能保证率

依据检测结果, 辐射量为17MJ/m2时, 该太阳能热水系统日有用得热量为7.07 MJ/m2, 福州市年太阳能辐照量4500 MJ/m2, 则该系统年有用得热量为1872 MJ/m2, 宾馆安装集热面积为200 m2, 系统年得热量为374400MJ。经计算可将2200吨15℃自来水加热至55℃, 该系统设计日水量为16吨/天, 年用水量为5840吨, 则太阳能保证率为0.38。

4.2.2 全年常规能源替代量 (吨标煤)

全年常规能源替代量Qbm (吨标准煤) 计算公式为:

undefined

该公式中, QJ全年为374400MJ, 经计算全年常规能源替代量为8.7吨标准煤。

4.2.3 环境效益

(1) 二氧化碳减排量 (吨/年)

二氧化碳减排量公式为:QCO2=2.47Qbm

经计算全年二氧化碳减排量为21.5吨。

(2) 二氧化硫减排量 (吨/年)

二氧化硫减排量公式为:QSO2=0.02Qbm

经计算全年二氧化硫减排量为0.17吨。

(3) 粉尘减排量 (吨/年) 粉尘减排量公式为:QFC=0.01Qbm

经计算全年二氧化硫减排量为0.09吨。

5 结论

从检测结果来看, 系统的日有用得热量及水箱升温均达到标准《太阳热水系统性能评定规范》GB/T 20095-2006的要求。

能效评估方面, 按相关规范, 福州市的太阳能保证率宜为0.42, 因该宾馆屋顶面积有限, 无空间再安装集热器, 所以太阳能保证率会略小些。

从建筑节能考虑, 该系统辅助能源宜将燃油锅炉加热改为空气源热泵加热, 会更加节能。

摘要：随着国家对建筑节能要求的不断深化提高, 太阳能热水系统在我国的得到了广泛应用, 但对其性能及节能效果的检测评估在我省却仍处于起步阶段。本文以福州某宾馆太阳能热水系统为检测对象, 讲述了检测方法, 计算检测结果, 并对检测结果进行了节能评估。

关键词：太阳能热水系统,日有用得热量,能效测评

参考文献

[1]范亚明.福建地区太阳能资源特征及光热利用分析.2009年福建省暖通空调制冷学术年会论文资料集, 2009:5-9.

[2]国家住宅与居住环境工程技术研究中心.住宅建筑太阳能热水系统整合设计.2006:289.

[3]中华人民共和国建设部.GB50346-2005民用建筑太阳能热水系统应用技术规范[S].北京:中国建筑工业出版社, 2006.

篇4：船舶水下技术状态评估信息系统

关键词：船舶水下评估模型；系统设计；评估信息系统

中图分类号：U692.7文献标识码：A文章编号：1007-9599 (2011) 08-0000-02

Ship Underwater Technology State Assessment Information System

Wu Chunqiu,Fan Kai

(Navy Representative Office Located in Jiangnan Shipyard(Group) Co.,Ltd,Shanghai200083,China)

Abstract:An state assessment information system for ship under-water technology is presented in this paper,system design of the ship underwater assessment mode.The system provides a new technical means for the management of the ship.

Keywords:Ship underwater assessment mode;System design;Assessment Information System

现代船舶水下技术状态十分复杂，船舶水下技术状态评估系统引进了当今先进的图像识别技术，以科学的评估模型，解决了传统方式的弊病，通过图像识别、综合评估的方式，全面、直观、准确地反映了舰船水下部分腐蚀、污底和变形的分布及特征。同时，系统还提供了多种查询、统计、定位功能，为船舶管理提供了全新的技术手段。

一、系统组成

系统主要由图象识别、数据维护等功能模块组成，各个功能模块集成在同一个操作界面下，它们之间既相互联系又相对独立。其技术核心是图像识别、综合评估模型。其软件的主要组成模块如图1所示。

图1软件的主要组成模块

二、系统实现

本软件系统是在VC平台上开发的，数据库采用sql server。本软件系统数据库的设计符合第三范式，能对ODBC提供强大的支持。评估程序对各用户提供权限管理，用户权限分为三级，分别为：超级管理员、管理员和普通用户。用户admin为系统默认的超级管理员，该用户不可删除。超级管理员可以创建管理员和用户，还可以删除管理员和用户；管理员可以创建用户、删除用户；普通用户只有使用软件的权限，无任何用户管理权限。

程序采用标准Windows界面，在标题栏中显示当前船名，状态栏中显示当前登陆的用户名和用户类型。主窗体左侧使用树状空间显示船舶中需要评估的项目。窗体右侧上半部分显示当前项目的基本数据；窗体右侧下半部分显示评估时的部分信息。程序主菜单的项目有：系统、查看、基础数据、测量数据、模型管理、评估、图示和帮助。各项目主要功能如表1所示。表1程序主菜单功能

项目主要功能

系统用户登陆；增加用户；修改密码；删除用户

查看查看窗体部件；修改界面显示风格

基础数据添加、修改、删除舰艇信息

测量数据添加、修改、删除测量数据

模型管理输入判定矩阵，得到指标层权系数；输入评估层权系数

评估确定评估标准；污底评估；变形评估；腐蚀评估；综合评估

图示原理图显示；三维图显示

帮助关于；帮助

三、系统评估模型

输入待评估的各项目测量数据后，可以开始进行评估，评估之前需要确定层次分析法使用的权系数。输入准则层权系数界面如图2所示。

图2准则层参数设置

准则层包括腐蚀、变形、污底，输入各部分权系数，单击确定即可，程序将自动保存权重系数。确定准则层系数后，需要确定评估层系数，评估层系数使用评估矩阵方式求得，具体公式可参考层次输入法。图3表示腐蚀评估的权重设置界面。

图3 腐蚀评估权重设置界面

确定评估矩阵后，单击计算权重，系统将计算腐蚀评估的评估权重系数。单击确定将保存该设置。变形、污底等设置与之类似。确定各项系数后，可以进行单项评估：腐蚀评估、污底评估和变形评估，得到单项评估结果。系统将根据测量数据，进行腐蚀评估，得到各部分腐蚀评估值，乘以各自权重，得到最终腐蚀评估总值，并给出评估结果。也可以直接进行综合评估，综合评估界面如图4所示。

图4 综合评估界面

综合评估显示单项评估结果和综合评估结果，并给出结论。单击详细查询，也可以显示单项评估的具体结果。

四、系统的特点

（一）数据操作的简便性

本系统考虑到数据输入的工作量非常庞大，在设计中大量采用了系统赋值的方法自动赋值。同时在设计中通过与用户的相互沟通，对很多数据的大量取值情况进行了统计，得到了很多属性的最大可能取值，将此值在数据库设计阶段就作为初值赋予该字段。这样用户在增加一个新项目时，系统就将大部分数据的值已经自动取好，简化了用户的工作。

（二）定位和查询的方便性

本系统查询功能的实现，专门设计了三种查询方式。一种是组合查询方式，一种是全文查询方式。这二种查询方式基本满足了不同层次用户的需求，不仅可按照各种字段进行查询，也可借助各种函数进行较高级的查询，极大地方便了用户。

（三）数据维护的全面性

本系统设计了增加记录、删除记录、取消修改记录、拷贝记录、打印记录等维护功能。同时建立了专门的浏览窗口，方便了用户的预览。在此浏览窗口，高级用户还可以使用SQL语言实现更高级的查询功能。针对用户的实际情况，在前台实现了数据库的备份与还原等功能，使得用户不必进入系统后台就可以实现系统的日常维护，从而极大地降低了系统管理员的工作。

篇5：信息系统风险评估作业指导书

1、作业目的

信息系统风险评估作业是我公司的主要服务内容之一，其目的是通过发现客户系统中的安全风险和威胁，对客户系统进行真实、可靠的安全评估，为客户信息系统的安全整改提供依据和建议，从而帮助客户切实改进自身信息系统，使客户系统顺利达到相关安全接入标准。

2、作业范围

信息系统风险评估作业的范围主要包括： 2.1 信息系统用户访问

针对信息系统的风险评估作业的主要依据和方法是对信息系统的用户访问，通过访问发现系统资产的重要性、操作方法、业务流程、依赖程度、受攻击情况、安全管理制度、人员管理制度、管理机构设置以及管理状况等等。2.2 信息系统现场勘察

针对信息系统的现场勘察作业，可以发现系统的物理安全环境、实际拓扑结构以及实际的管理状况，并可通过现场勘察验证资产信息和配置状况。对于内网系统，现场勘察过程中也可进行必要测试和验证作业。

2.3 信息系统远程测试针对信息系统的远程测试主要目的是通过远程方式，在时间相对宽裕的条件下通过善意扫描和渗透，测试客户信息系统的安全状况和安全程度，并提出适当报告和相关建议。但远程测试并非每个评估作业项目都必需的作业方式，除非经过用户许可或现实条件允许，否则不应采用远程测试方式进行评估作业。2.4 信息系统威胁分析

通过人员访问、现场勘察、远程测试等途径，从客户资产识别、脆弱性识别以及威胁性识别三个方面出发，基于信息系统的可用性、完整性、安全性三原则出发，根据资料对比、客户沟通结果进行分析和验证。

2.5 信息系统评估报告

针对客户信息系统威胁分析结果生成评估报告并附加安全整改建议。

2.6 信息系统安全演练

信息系统安全演练的主要目的是基于作业员工的评估素质出发，进行日常训练。内容包括评估方法训练、测试技术训练、资料分析训练等等。

3、职责划分

3.1 评估管理小组

因为信息系统的风险评估工作本身带有一定的风险，因此加强作业管理、重视客户沟通就必然成为评估作业首要的保障手段。评估管理小组的主要职责正是通过对作业人员、作业行为、作业工具、作业结果、历史档案以及客户资料的管理，保证整个评估项目的顺利进行和成功交付。3.2 评估作业小组

评估作业小组的主要职责包括:针对资产的依赖性识别、重要性识别等；针对系统脆弱性的用户访问、历史资料分析、拓扑结构分析、稳定性分析等；针对系统威胁的历史资料分析和用户访问。以及通过分析历史资料、安全环境、用户习惯、测试结果、标准规范等形成风险评估报告和整改建议。3.3 技术测试小组

技术测试小组的主要职责包括：在获得客户许可的前提下对客户信息系统进行现场技术测试和模拟攻击，在远程通过善意扫描和渗透测试模仿非法行为等方式更好的确定系统存在的漏洞和风险，为评估作业分析提供详实、可靠的技术依据。3.4 风险控制小组

风险控制小组的主要职责包括：根据系统的重要程度和用户对系统的业务依赖程度，确定整个系统的测试方法，并对测试方法进行认真审核和控制以防止对用户系统产生破坏作用影响客户正常的业务使用。并在测试之前形成风险控制计划和应急响应计划及相应措施。

4、作业流程

4.1 管理作业流程

首先：同客户进行接触，了解客户自身信息以及客户对于信息安全风险评估的和目的，形成《客户档案》。其次：明确风险评估的范围，并向客户说明风险评估的过程和可能产生的意外情况。形成《风险评估范围说明书》及《客户意见表》。并根据所了解情况撰写客户《评估方案书》。

再次：与客户签订风险评估服务合同和信息系统资料保密协议。争取获得客户对于信息系统进行现场测试和远程测试的授权书。再次：审查、保管由测试组、评估组、风控组提交的《测试方案》、《评估方案》、《风控方案》。若发现所接收方案存在问题，应及时填写《方案审查结果》并通知方案提供者，进行修正或变更。再次：在接到测试组、评估组、风控组递交的《沟通请求报告》后和客户进行及时沟通，解决随机发生的各种矛盾，形成《客户沟通记录表》。

再次：审查、保管由测试组、评估组、风控组提交的《测试报告》、《评估报告》、《整改建议》、《评估过程监督报告》。若发现所接收方案存在问题，应及时填写《报告审查结果》并通知方案提供者，进行修正或变更。

最后：向用户出具《评估报告》和《整改建议》，并进行解释、说明。4.2 测试作业流程

首先：根据管理组撰写的《范围说明》、《客户意见表》、《评估方案》以及《测试授权书》制定《测试方案》。

其次：进行现场或远程测试。生成《测试报告》。在需要与客户配合时，向管理组递交《沟通请求报告》。

再次：根据分析《测试报告》，生成包含有可接受风险、不可接受风险统计信息的《风险说明书》以及包含不可接受风险防范措施的《整改建议》。

最后：将《测试报告》、《风险说明书》、《整改建议》交付评估作业组，并进行必要的解释和说明。4.3 评估作业流程

首先：根据管理组提供的《客户档案》、《范围说明》、《客户意见表》、《评估方案书》制定《信息系统安全评估方案》。

其次：准备《客户访谈记录表》，该表应包括《客户资产访谈记录表》、《目标系统调查表》、《客户系统安全配置记录表》、《客户系统管理措施记录表》、《历史威胁访谈记录表》、《客户所在行业所面临安全风险历史记录表》、《信息系统安全风险形式分析表》以及国家有关于信息系统安全评估的法律、法规、政策、标准。

再次：进入评估现场。访谈客户，填写《客户访谈记录表》。再次：根据《客户访谈记录》和测试组递交的《测试报告》、《风险说明书》和历史资料库，对客户系统所存在的安全风险进行分析对比，生成《客户信息系统安全风险评估报告》。通过整理分析测试组递交的《整改建议》和《客户信息系统安全风险评估报告》生成《客户信息系统安全风险整改建议书》，并提交管理组交付客户。4.4 风控作业流程

首先：接受管理组提交的《评估范围说明书》、《客户意见》、《评估方案书》和评估组提交的《目标系统调查表》、《客户所在行业所面临安全风险历史记录表》，通过分析产生《潜在评估风险记录表》。其次：根据《潜在评估风险记录表》，进行现场勘察和客户访谈，产生《风险控制现场调查记录》，通过分析产生《潜在评估风险控制方案》。

再次：将《潜在评估风险控制方案》提交管理组和评估组、测试组进行方案修订。

再次：审查评估组和测试组的相关方案，控制其中的潜在风险。当需与客户沟通时，填写《沟通请求报告》，交由管理组同客户沟通协调。最后：对测试组的测试过程进行监督，生成《评估过程监督报告》，并提交管理组审查。

5、成果约束

5.1 过程文档

管理组：《评估方案书》、《方案审查结果》、《报告审查结果》测试组：《沟通请求报告》

评估组：《沟通请求报告》、《客户访谈记录表》风控组：《沟通请求报告》 5.2 分析文档

管理组：《客户意见表》测试组：《风险说明书》

评估组：《目标系统调查表》、《客户系统安全配置记录表》、《客户系统管理措施记录表》、《历史威胁访谈记录表》、《客户所在行业所面临安全风险历史记录表》、《信息系统安全风险形式分析表》以及国家有关于信息系统安全评估的法律、法规、政策、标准。

风控组：《潜在评估风险记录表》 5.3 最终文档

管理组：《风险评估服务合同》、《评估测试授权书》、《客户档案》、《评估范围说明书》、《风险评估报告三》、《整改建议三》。

篇6：信息系统的内部控制与风险评估

仲婕

江苏省电信有限公司苏州分公司

摘要：如何保证信息系统处理流程规范，系统数据安全完整准确，内控制度落到实处，本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。关键词：信息系统、内控制度

随着电信企业各项生产运营系统的建立与使用，各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。

近年来电信企业上线运行的重要信息系统有BSS业务受理系统、OA办公自动化系统、资源管理系统、综合调度系统、智能网管理系统、计费账务系统、计划建设管理系统等等。这些信息系统的建立运用能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题，利用信息系统可以将人工处理的程序、模型预先设计好，帮助企业高效率地管理生产过程，帮助企业及时获取并提炼重要的信息，以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求，信息数据是否完整准确，却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查，分析系统的安全风险，堵塞系统漏洞，切实发挥信息系统在企业发展决策方面的支撑作用。

日前获悉，某电信运营企业因小灵通预付费系统超级密码被盗，导致被非法制作了1000多万元的小灵通充值卡，至案发时已全部充值消费，给电信企业造成了巨大的经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益，对企业是至关重要的。

本文将就信息系统如何加强内部控制、防范安全风险谈几点看法：

一、信息系统从开发建设起就必须建立一套完整的内控流程

1、信息系统程序设计必须健全数据核对环节，保证数据准确

信息系统能提高企业管理效率，提升企业服务水平，提高企业竞争应变能力，但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程，其中发生了部分溢出、丢失或变异，那么信息系统会输出错误的数据，经营管理者依靠错误的数据肯定不会得出正确的结论。因此信息系统的数据完整准确是首先要保证的。如何保证数据准确呢，一般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。

2、信息系统建设必须考虑数据安全存放，保证数据安全

一般情况下数据是否安全主要考虑两个方面，一是数据库是否安全，能否防止非法访问，如果发生有非法访问，或是发生恶意修改、篡改数据情况的，系统是否会留下记录，能否及时告警。另外一方面是数据存放介质是否可靠，有无备份，重要数据是否异地存放，防止自然灾害对数据安全的危害。

根据电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行ABC分类，A类数据库如会计核算系统、计费账务系统必须要具备可靠的存储介质，严格建立实时的异地备份，以保证数据安全。B、C类数据根据机房容量、建设成本情况分别制定备份计划，采用两种以上介质存储、两个不同机房存放等方法。

3、信息系统开发要考虑设置严谨的密码策略，杜绝非法入侵

信息系统必须建立用户身份的验证机制，对信息系统的访问必须使用用户名和密码，而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策，并根据密码政策在系统固化相应的设置，以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位、密码应至少每90天进行更新、不得使用最近的密码。以上称为’6901’密码策略，对于超级用户则需要按照’8901’来设置密码，位长不少于8位，更新周期同普通用户。

在对电信企业信息系统进行内控评估时，发现较多的系统存在用户名、密码共用的现象，不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问，发生问题时也无法落实责任。因此有此现象的应当确认为重要缺陷，必须立即整改。

二、信息系统运行维护要严格遵守内控规定

1、用户账号变更严格履行审批

对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后，方可由系统管理员在系统中创建用户帐号，以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时，由人力资源部或用户所在部门及时正式书面通知系统维护部门，由系统管理员更新或删除其相应的访问权限。

在对某电信企业信息系统进行内控评估时，发现用户账号的创建、修改缺少书面审批资料，无法证明是否经过必要的授权，因此被认定为内控执行缺陷。

2、重要操作要严格执行复核、审批制度

对信息系统的重要操作如涉及数据增加、修改、变更等需要坚持复核、审批制度，即一人操作、一人复核再加上主管审批，防止误操作，影响信息数据准确。在大家都熟悉的会计核算系统中凭证制作必须要经过复核才能记账，这也是遵循内控规定的重要体现。以电信企业的计费系统为例，系统操作人员需要根据营销政策对批量用户进行赠送话费操作，此操作会影响一大批用户的预存款余额，不能发生任何 4 差错。操作人员要将营销政策的文字信息转化为计算机语言，既不能送错对象，也不能多送或少送，所以此类重要操作就必须严格执行复核、审批制度。

3、系统操作要有完善的记录

一般信息系统本身会具有记录的功能，将维护人员的维护操作全部记录下来，生成专门的维护日志，供主管定期审阅。但也存在个别信息系统在程序开发时未提供完善的记录功能，不是所有重要操作都能记录系统中，在这种情况下，必须要求系统操作人员作好手工记录，记录的内容包括操作员姓名、操作指令、依据、时间、结果等信息。对重要的操作指令先要履行上述第2条规定复核程序。

4、不相容职务严格分离

《内部会计控制规范》中只是说“不相容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务”。事实上，一个企业或一个组织因业务种类、机构设置不同，所要明确的不相容职务是不尽相同的，既涉及不同部门的不相容职务又涉及同部门不同岗位的不相容职务。在此仅讨论涉及信息系统的不相容职务分离的问题，如上文所提的用户创建、修改操作与审批、数据录入与审核、系统操作与复核、数据维护与统计记账等。将这些职责分离是为了保证信息系统数据处理的合法合规性，谨防信息系统本身出现重大风险。以电信企业为例，信息系统运用广泛之后，产生了许多电子化虚拟货币如Q币、电子卡等有别于传统货币的实物，无法按照原来实物管理的模式进行到货验收、保管记录、月度盘点等工作，但作为系统管理的虚拟实物还必须要建立这样的职务分离制度，负责管理虚拟实物部门（即系统维护部门）与购买、销售部门分离，实物管理部门与会计记账部门分离，建立相互核对、相互监督的内控工作制度，以两个不同系统的数据核对，或以人工计算核对等方法来验证信息系统数据的完整。以Q币为例，在电信企业就经历购买、入库、销售、计费、记账等诸多环节，购买与入库、销售与计费、计费与记账就必须按照不相容职务分离规定执行，相互之间建立进行定期对账机制，以保证Q币的购销存业务流程闭环管理。

我们都知道不相容职务分离是内部控制的核心，在信息化环境下，更加需要强调不相容职务分离原则，因为业务管理流程经过信息系统固化之后，所有人员都会在系统中承担一个或多个角色，角色分配结果在一段时间内是不会发生变化的，这些角色之间是否是不相容职务，是否会存在因分工不当导致舞弊行为的发生，都直接影响信息系统的安全性。

三、内审部门要加强信息系统的内控评估，堵塞漏洞防范风险

1、信息系统审计评估需要关注的重点内容对照以上所述的在信息系统开发建设、运行维护中所要落实的各项内控要求，认真开展检查评估。

在评估过程中既要关注信息系统本身对数据处理的控制流程是否规范，用户权限设置是否经过授权，是否存在数据安全风险，又要关注不同信息系统之间有无建立数据接口，是否进行数据核对，是否将不相容职务分离，相互之间是否存在监督关系。评估要重点关注与财务报告相关的信息系统数据的安全情况。

2、信息系统审计评估需要运用的方法

信息系统评估方法与业务流程内控评估方法基本相同，主要有：询问、文件检查、重新履行、观察、问卷调查等。其中文件检查、重新履行是内控评估常用的重要方法，像前面所述的用户权限审批、重要操作审批、系统操作记录、复核检查等都需要运用文件检查方法，通过审阅相关文档记录来判断各项内控措施是否得到有效执行。

3、信息系统审计评估重要目的是落实缺陷整改

篇7：信息系统检测评估协议书

(1)嵌入式系统的.广泛应用提升了系统的智能化水平。随着嵌入式系统开发环境的优化和技术难度的不断降低，嵌入式系统在电子产品的设计和开发中已经广泛应用，使得设备和系统的开发流程简化，周期缩短，成本大幅下降。嵌入式系统的应用提高了设备的智能化水平，简化了设备互联的复杂度，降低了系统集成的成本。例如，建筑智能化系统的重要子系统，安全防范系统，使用的监控摄像机在前主要是模拟摄像机，只有图像和声音的记录和传输功能，信号通过同轴电缆传输。目前嵌入式监控摄像机已经成为主流产品，不但具有模拟机的全部功能，还增加了与手机互动监控、网络存储图像、多协议支持等功能。在组网方面，嵌入式系统的监控摄像机一般都支持基于TCP/IP的以太网连接，简化了网络结构。

(2)网络技术的进步扩大了系统集成的规模。智能建筑的核心是系统集成，网络是系统集成的基础。目前智能建筑中除了用于电话、电视、消防的网络外，还大幅增加了各种计算机网络、综合服务数字网、楼宇控制系统网络等［7－9］。这些网络实现了建筑内各个系统的互联互通，还承担了智能建筑中部分系统接入互联网的功能。此外与通讯网络相关的设备数量和种类也逐渐增加。例如楼宇控制系统采用以太网连接和OPC技术将其房门控制系统、空调控制系统、智能照明系统等信息集成到统一平台进行管理。该平台通过核心交换机与办公系统和其他管理系统进行数据交互，部分办公和业务系统通过核心交换机连接到互联网。

(3)无线接入技术改变了系统连接方式。近年来，无线局域网技术和产品逐渐走向成熟，无线局域网能够通过与广域网相结合提供移动互联网的接入服务。此外，采用无线局域网还可以节省线缆铺设成本，降低了线缆端接不可靠问题，满足接入设备在一定区域内任意更换地理位置的需要。这使得无线局域网在智能建筑中的应用日益广泛。例如在智能建筑中办公场所、公共区域等地方都提供无线接入服务，部分无线不需要认证可直接登录使用。新技术和产品的使用一方面促进了建筑智能化系统的功能和性能的提高，另一方面也增加了系统的脆弱点:(1)嵌入式设备和网络集成给建筑智能化系统的信息安全带来巨大挑战。在传统的建筑智能化系统中，网络是相对封闭的，承载的数据相对隔离，设备一般由单片机控制，程序和功能相对简单。例如楼宇的给排水系统一般由单片机控制，楼宇的监控系统采用的是模拟监控摄像机。这两种系统的网络独立相互，使用不同的现场总线进行信息传输。设备中没有嵌入式系统，病毒和恶意攻击难以改变设备的功能，对系统造成破坏。在这种情况下，即便某个系统中的设备故障了，基本不会对本系统中其他设备造成干扰，更不会影响其他系统和设备。现在，随着技术的进步，控制系统采用高级PLC，监控摄像机使用嵌入式系统，控制系统和监控系统通过以太网集成管理后，信息安全风险将可能引起智能化系统的整体故障。其一，病毒可以通过集成管理服务器或办公电脑传播;其二，嵌入式系统中的漏洞和应用程序中的bug可被攻击者利用;其三，被攻陷后的嵌入式设备可能成为僵尸设备，对网络其他设备发动二次攻击;其四，攻击者可以通过网络进行远程攻击，攻击更加隐蔽。(2)无线网络的使用增加了建筑智能化系统受到攻击的隐蔽性。无线网的信号是在开放空间中传送的，所以只要有合适的无线客户端设备，在合适的信号覆盖范围之内就可以接收无线网的信号。目前在智能化系统中，无线网络主要设置在普通办公室，员工休息房间，餐厅等区域，且部分无线网络与管理或办公内网相连，仅采用简单技术方法进行隔离。而管理或办公内网与楼宇集成控制网络存在必要的数据交换，这导致通过部分无线网络可以进入楼宇集成控制系统网络。此外，由于无线接入的便利性，部分楼宇集成控制系统网络中的设备也采用无线接入的方式，虽然这些设备在进行无线传输时采用了一定的加密措施防止信息泄露，但无线接入点及其设备却成为网络信息安全的薄弱环节。入侵者可在较隐蔽的地方通过这类无线接入设备进入网络，然后利用技术手段发现网络薄弱点，最后实施攻击或敏感信息的窃取，造成设备失效或信息泄密。

2．2建筑智能化系统管理上的信息安全脆弱性

篇8：信息系统检测评估协议书

现代鱼雷武器系统越来越复杂,特别是集导弹与鱼雷一体的高科技火箭助飞鱼雷武器系统更是复杂,现场试验次数不会太多。对其主要战技指标的考核,经典评估方法得不到置信度较高的评估结果。随着Bayes理论、计算机及仿真技术的发展,小子样条件下的武器系统试验也越来越多。利用武器系统在研制及定型过程中的各阶段试验信息,也可以得到置信度很高的评估结果,可优质高效地完成武器试验与鉴定工作。

故障检测率是武器系统测试性一项重要指标,要求样本至少30个[1]。但由于火箭助飞鱼雷武器系统的可靠性越来越高,产品在技术准备的过程中出现自然故障很少见。即使出现故障了,也能正确检测到故障,因而产生了注入故障和诱发故障的人为做法。但如此的做法存在着潜在的风险,同时故障样本集能否覆盖产品的重要特性,能否正确反映出被试品的故障检测率,存在着异议[2,3]。

因此针对火箭助飞鱼雷主要指标之一的故障检测率考核,在试验现场自然故障样本数较少、注入故障谨慎使用的条件下,本文提出了使用多源验前信息,并在相容性和可信度基础上,构建了多源验前信息Bayes融合的验后分布,推出了评估方法。

1 故障检测率

1.1故障检测率定义

故障检测率(FDR)是指检测并发现设备内一个或多个故障的能力,也可被看做是通过采用规定的方法和步骤直接或间接地确定系统或单元故障的能力,或向操作人员指示故障的能力[4]。

1.2故障检测率的概率密度

由故障检测率的定义可知,每当武器系统某单元发生n次故障,若某次故障能够正确被检测到,即为一个成功的事件;否则为一个失败的事件,符合二项分布的成败型产品特征事件。因此,若每次故障能够被正确检测到的概率为p,注入的n次故障中被检测到的为k次,则随机变量k服从参数为n,p的二项分布[5],k的概率密度函数为:

$f (k | Ρ) = C_{n}^{k} p^{k} (1 - p)^{n - k} (1)$

故障检测率p在二项分布下,常用Beta分布函数作为其先验分布密度函数。先验分布π(p)密度函数为:

式(2)中a,b为p的分布参数,即超参数。利用Bayes公式,由式(1)和式(2)可得p的后验分布为:

$\begin{array}{l} π (Ρ | k) = \frac{Γ (a + b + n)}{Γ (a + k) Γ (b + n - k)} p^{a + k - 1} (1 - \\ p)^{b + n - k - 1} = B e t a (p | a + k, b + n - k) (3) \end{array}$

2 验前信息

2.1来源

验前信息来源主要分为以下三类:

a) 被试品历史试验信息,包括历次的单元级或分系统级、系统级试验信息;

b) 被试品仿真试验信息;

c) 工程技术专家提供的经验知识信息。

2.2使用原则

验前信息使用原则主要有如下:

a) 被测试产品保持技术状态一致性。获取验前信息与现场试验信息时,被测试产品技术状态未发生改变,或者技术状态的更改不会对所获取的信息产生实质性的影响。因此,被测试产品技术状态的更改要及时通报,以便各方实时把握技术状态的一致性情况;

b) 验前信息与现场信息服从同一分布。Bayes小子样理论应用验前信息的前提是验前信息与现场信息源于同一母体,即要求验前信息与现场信息是相容的、具有一致性。

2.3相容性检验和可信性分析

相容性检验主要有秩和检验、Fisher检验法;验前信息和现场试验信息即使通过了相容性检验,也不一定就能完全反映出来自同一个总体[6]。为了避免不太可信的验前信息影响现场试验的评定结果,就应要对验前信息可信度进行度量,即可信性分析。

3 基于多源验前信息的故障检测率Bayes融合评估方法

在试验现场信息不够30个样本的条件下,应充分利用多源验前信息,以弥补现场试验次数有限,对火箭助飞鱼雷的故障检测率做出正确的评估结果。

火箭助飞鱼雷武器系统经历了单元或者分系统的多次试验,经历了分系统或者系统的仿真试验,也经历了陆上、湖上和海上的系统级试验,试验次数积累较多,所产生的历史验前信息也较多,构成了丰富的多源验前信息。

3.1分系统验前信息的综合

首先根据验前信息使用原则,整理出可以利用的验前信息源,然后对多源信息进行相容性和可信性分析,通过相容性检验和可信性分析后,对分系统的验前信息进行综合。

通过数据相容后,可信度P(H0|A)公式为:

$Ρ (Η_{0} | A) = \frac{1}{1 + \frac{(1 - Ρ (Η_{0}))}{Ρ (Η_{0})} \frac{β}{1 - α}} (4)$

式(4)中:α、β分为弃真概率和采伪概率, P(H0)表示在获得现场子样之前的先验概率,反映了获取验前子样的方法或者过程的可信度,令P(H0|A)=c。

在多源验前信息的不同试验阶段,都得到了大量的分系统试验信息,并且多个分系统全部成功地检测到故障,失败检测数为零。当这些分系统的验前信息综合为系统级的验前信息时,一旦系统级别的失败检测数也为零的时候,最好采用新的方法——bayes方法,否则经典方法会带来很大的误差。

关于无失效数据研究文献,提供了不少综合方法。如文献[7]中,利用的是多层bayes先验分布的方法分析,但主观性强,其结果还涉及到数值积分计算,即使借助计算机实现,也因为太复杂,在多数情况下对于试验现场的工程技术人员来说不会使用。

文献[8]利用了信息熵法对分系统数据综合成系统级别的试验数据,这也提出了较好的综合方法。

然而在实际的每个试验阶段,既有分系统级的试验数据,也有系统级别的数据,如何将多个无失败次数的分系统和系统都存在的试验数据综合为整个验前试验数据,Los Alamos科学实验室提出了L—A算法[9],周源泉则提出了直接法[9],这两种方法均能较好的解决问题,取得了较好的评估结果,二者评估结果基本吻合,但后者应用更广,计算更简捷。

本文采用周源泉系统可靠性贝叶斯近似下限直接法,限于篇幅,不做赘述,具体算法请参考文献[9],可获得折合后的系统级验前信息数据。

3.2基于可信度构造p的验前分布和验后分布

为了避免大量验前信息湮没现场小子样信息,同时又能有效利用验前信息,考虑到不同阶段验前信息的异总体性,在得到各阶段的多源验前信息之后,基于可信度构造p的验前分布和验后分布。

在获得现场子样数据之后,利用现场试验数据与多源验前信息分别进行相容性检验,并利用式(4)得到可信度ci,将可信度ci归一化后为权重因子ρi,由式(2),于是就得到了基于可信度的多源验前信息融合p的验前分布[10,11]:

式(5)中:m为可利用的多源验前信息总批数。

权重因子ρi对于评估故障检测率起到极其关键的作用,在文献[10]中使用了各验前样本与现场试验样本所来自总体的拟合优度来确定权重因子,利用了两总体的相似性来确定权重因子,考虑到了异总体性,但没有进行相容性检验和可信性分析。

因此本文对权重因子的计算,是建立在通过了相容性检验和可信性分析的基础上,充分利用可信度的信息来确定权重因子。

在确定了新的验前信息的验前分布后,根据式(5)和现场试验信息,可得到验后分布[12]为:

式(6)中:

$λ_{i} = \frac{ρ_{i} \int_{0}^{1} C_{n}^{f} Ρ^{s} (1 - Ρ)^{f} \frac{Ρ^{a_{i} - 1} (1 - Ρ)^{b_{i} - 1}}{β (a_{i}, b_{i})} d Ρ}{\int_{0}^{1} C_{n}^{f} Ρ^{s} (1 - Ρ)^{f} \sum_{i = 1}^{m} \frac{Ρ^{a_{i} - 1} (1 - Ρ)^{b_{i} - 1}}{β (a_{i}, b_{i})} d Ρ} (7)$