前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇云計算安全評估辦法范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

云計算安全評估辦法范文第1篇

關鍵詞：云計算； 云安全；安全策略

基金支持：廣州市科技計劃項目，《基于云計算的數(shù)據(jù)挖掘技術在電信業(yè)務中的應用》(2011.1-2013.8, 項目編號：2011J5100004)

云計算（cloud computing），是一種基于互聯(lián)網(wǎng)的計算方式，通過這種方式，共享的軟硬件資源和信息可以按需提供給計算機和其他設備。本文首先闡述云計算概念和面臨的安全問題，然后探討應用安全的策略。

1.云計算的概念

2006年8月9日，Google在搜索引擎大會（SES San Jose 2006）首次提出“云計算”的概念。該概念是網(wǎng)格計算、分布式計算、并行計算、效用計算、網(wǎng)絡存儲、虛擬化、負載均衡等傳統(tǒng)計算機和網(wǎng)絡技術發(fā)展融合的產物。

云是網(wǎng)絡、互聯(lián)網(wǎng)的一種比喻說法，過去在圖中往往用云來表示電信網(wǎng)，后來也用來表示互聯(lián)網(wǎng)和底層基礎設施的抽象。狹義云計算指IT基礎設施的交付和使用模式，指通過網(wǎng)絡以按需、易擴展的方式獲得所需資源；廣義云計算指服務的交付和使用模式，指通過網(wǎng)絡以按需、易擴展的方式獲得所需服務。這種服務可以是IT和軟件、互聯(lián)網(wǎng)相關，也可是其他服務。它意味著計算能力也可作為一種商品通過互聯(lián)網(wǎng)進行流通。

云計算的模式可以認為包括以下三個層次的服務：Infrastructure-as-a-Service (IaaS，基礎設施即服務)，Platform-as-a-Service (PaaS，平臺即服務)，Software-as-a- Service (SaaS，軟件即服務)。

IaaS指消費者通過Internet可以從完善的計算機基礎設施獲得服務。PaaS實際上是指將軟件研發(fā)的平臺作為一種服務，以SaaS的模式提交給用戶。因此，PaaS也是SaaS模式的一種應用。但是，PaaS的出現(xiàn)可以加快SaaS的發(fā)展，尤其是加快SaaS應用的開發(fā)速度。SaaS是一種通過Internet提供軟件的模式，用戶無需購買軟件，而是向提供商租用基于Web的軟件，來管理企業(yè)經營活動。

2.云計算面臨的安全問題

美國知名市場研究公司Gartner的一份名為“云計算安全風險評估”的研究報告，該報告認為雖然云計算產業(yè)具有巨大的市場增長前景，但對于使用這項服務的企業(yè)用戶來說，云服務存在著七大潛在的安全風險，即特權用戶的接入、可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)恢復、調查支持和長期生存性。

針對“云計算安全風險評估”中提出的七大風險，可得出云計算用戶的安全需求:

(1)特權用戶的接入:云服務提供商（CSP）提供和監(jiān)管享有特權的管理員方面的具體信息以及控制訪問方面的具體信息。

(2)可審查性:CSP愿意而且有能力做到遵從相關法律法規(guī)。

(3)數(shù)據(jù)位置:CSP給出合同承諾，遵守相關數(shù)據(jù)管理法律法規(guī)，提供數(shù)據(jù)存儲地點信息的查詢服務。

(4)數(shù)據(jù)隔離:CSP按照不同數(shù)據(jù)，提供數(shù)據(jù)隔離存儲服務。

(5)數(shù)據(jù)恢復:CSP有能力對數(shù)據(jù)進行快速全面恢復。

(6)調查支持:CSP以合同承諾來支持特定的幾種調查。

(7)長期生存性:CSP提供長期發(fā)展風險的安全措施，譬如用戶如何拿回自己的數(shù)據(jù)，以及拿回的數(shù)據(jù)如何被導入到替代的應用程序中。

目前，各個公司所部署和開發(fā)的云計算業(yè)務運行并不穩(wěn)定，部分云計算提供商比較頻繁地出現(xiàn)數(shù)據(jù)安全方面的問題。典型案例有：2009年2月24日，Google Gmail郵箱爆發(fā)的全球性故障，2011年3月，Google Gmail郵箱再次爆發(fā)的大規(guī)模用戶數(shù)據(jù)泄漏事件，及2011年4月22日，亞馬遜云數(shù)據(jù)中心服務器大面積宕機事件。這些事件讓用戶對云計算的安全性產生了質疑?！霸瓢踩备拍?即“云計算的安全問題”)隨之也被提出、被關注和重視。

3.云計算應用安全策略

因為云計算的安全問題是多方面問題綜合而產生的，因此，關于云計算安全問題的解決，需要考慮云計算安全的成因，需要多管齊下，需要從技術、標準、法律以及業(yè)務監(jiān)管等多個方面來進行綜合考慮。

傳統(tǒng)的安全需求，如授權合法性、信息完整性、不可抵賴性、身份真實性等問題，但是云計算的操作模式是將用戶數(shù)據(jù)和相應的計算任務交給全球運行的服務器網(wǎng)絡和數(shù)據(jù)庫系統(tǒng)。用戶數(shù)據(jù)的存儲，以及用戶數(shù)據(jù)的處理和保護等操作，都是在“云”中完成的。這樣，就不可避免地使用戶的數(shù)據(jù)處于一種可能被破壞和竊取的不安全狀態(tài)，并且也有更多更詳細的個人隱私信息曝露在網(wǎng)絡上，存在非常大的泄露風險。

從云計算的發(fā)展來看，用戶數(shù)據(jù)的安全、用戶隱私信息的保護問題、數(shù)據(jù)的異地存儲以及云計算自身的穩(wěn)定性等諸多安全和云計算監(jiān)管方面的問題，直接關系到了云計算業(yè)務被用戶的接受程度，進而成為了影響云計算業(yè)務發(fā)展的最重要因素。從技術、標準、法律以及業(yè)務監(jiān)管等多個方面來進行綜合考慮后，可以從以下幾個問題上給出解決辦法：兼容性的風險管理、身份驗證管理、服務完整性、信息安全等。

首先在兼容性的風險管理上，可以由企業(yè)內部有經驗的團隊和提供云服務的供應商共同實施，將特定的級別流程透明化來實現(xiàn)。其次，在身份驗證管理上，由于云計算的復雜性，所以需要了解身份提供者需要什么樣的安全級別，使用強證書的數(shù)字身份系統(tǒng)能夠驗證來自于自有平臺和基于互操作聲明的云提供商的用戶，可以加大安全性和數(shù)據(jù)的完整性。然后，在服務完整性上，主要是在服務的設計與開發(fā)、服務的交付。那么設計與開發(fā)提供商在此階段如何將安全和隱私保護融入其中，是要考慮的問題所在。在交付方面，就要考慮服務要以怎樣的運營方式才能滿足合同約定的可靠性與服務支持的級別。最后在信息安全上，對應用數(shù)據(jù)的分類是非常重要，哪些是可以共享的，哪些是私有的，共享的也要讓被訪問者知道哪些信息被誰訪問過等等，這樣有助于確定云服務所需的那些數(shù)據(jù)在什么情況下，由誰來監(jiān)控和使用。

參考文獻

[1] 百度百科.云計算[EB/OL] baike.省略/view/1316082.htm

[2]J. Brodkin. Gartner: Seven Cloud-Computing Security Risks[R]. Network World 2008.

云計算安全評估辦法范文第2篇

一、互聯(lián)網(wǎng)新技術新業(yè)務信息安全評估的內容

(一)評估內容。

工信部與三大運營商對互聯(lián)網(wǎng)新技術新業(yè)務信息安全評估的要求主要包括:與業(yè)務相關的網(wǎng)絡架構安全、設備安全、平臺安全、業(yè)務流程安全、內容安全、業(yè)務數(shù)據(jù)安全、系統(tǒng)運維及人員管理安全等方面。

(二)“傳統(tǒng)”安全評估的主要內容。

雖然目前的評估都來自于ISO13335－2信息安全風險管理中，但主要的內容為:管理脆弱性識別包括組織架構管理、人員安全管理、運維安全管理、審計安全管理等方面的評估技術脆弱性識別漏洞掃描:對網(wǎng)絡安全、網(wǎng)站安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全等方面的脆弱性進行識別?；€安全:對各種類型操作系統(tǒng)(HP－UX、AIX、SOLARIS、LINUX、Windows等)、WEB應用(IIS、Tomcat等)、網(wǎng)絡設備等網(wǎng)元的安全配置進行檢查和評估。滲透測試:滲透測試是站在攻擊者的角度，對目標進行深入的技術脆弱性的挖掘。

(三)業(yè)務信息安全評估與“傳統(tǒng)”安全評估的對比。

雖然安全風險評估基本都按照了ISO13335－2中的方法來操作，但是通過對業(yè)務信息安全評估的內容和“傳統(tǒng)”安全評估內容對比不難看出，“傳統(tǒng)”安全評估主要集中在網(wǎng)絡、系統(tǒng)和應用軟件層，且每層的評估比較孤立，很難全面反映業(yè)務的主要風險。“以業(yè)務為中心、風險為導向”的業(yè)務系統(tǒng)安全評估能夠與客戶的業(yè)務密切結合，風險評估結果和安全建議能夠與客戶的業(yè)務發(fā)展戰(zhàn)略相一致，最終做到促進和保障業(yè)務戰(zhàn)略的實現(xiàn)。

二、互聯(lián)網(wǎng)新技術新業(yè)務信息安全評估的主要方法

“業(yè)務為中心、風險為導向”的信息安全評估思路互聯(lián)網(wǎng)新技術新業(yè)務信息安全評估是開展其他信息安全服務的基礎，而以“業(yè)務為中心、風險為導向”的信息安全評估思路，是切實落實信息安全風險評估的根本保證。

(一)主要流程。

對互聯(lián)網(wǎng)新技術新業(yè)務信息安全評估來說，分為三大基本步驟:一是深入業(yè)務，分析流程;二是業(yè)務威脅分析、業(yè)務脆弱性識別和人工滲透分析;三是風險分析和處置建議。

(二)深入業(yè)務，分析流程。

目標是了解業(yè)務信息系統(tǒng)承載的業(yè)務使命、業(yè)務功能、業(yè)務流程等;客觀準確把握業(yè)務信息系統(tǒng)的體系特征。管理層面調研和分析圍繞“業(yè)務”，管理調研的內容主要為組織架構、部門職責、崗位設置、人員能力、管理流程、審計流程等等，其調研核心是一系列的管理流程。通常，組織中有多種類型的管理流程，管理調研的重點是與信息安全有關的流程、制度及其落實、執(zhí)行和效果情況。管理措施通常貫穿于整個管理流程之中，目的是保證管理流程的有效流傳或者不出現(xiàn)意外的紕漏。管控措施的設計一般都遵循一定的原則，如工作相關、職責分析、最小授權等等。業(yè)務系統(tǒng)層面調研和分析業(yè)務系統(tǒng)提供的功能一般是指被外界(例如客戶、用戶)所感知的服務項目或內容，是IT系統(tǒng)承載、支持的若干個業(yè)務流程所提供功能的總匯。一個具體的業(yè)務功能常常與多個業(yè)務流程相關，一種(個)業(yè)務功能，常常需要若干個業(yè)務流程來實現(xiàn)。例如數(shù)據(jù)的錄入流程、數(shù)據(jù)的修改流程、數(shù)據(jù)的處理流程等等。對于一個具體的信息系統(tǒng)來說，可以通過其提供的業(yè)務功能，對業(yè)務流程進行全面梳理、歸納，并驗證業(yè)務流程分析的完備性、系統(tǒng)性。一個具體的業(yè)務流程也常?？缭蕉鄠€系統(tǒng)，某個具體的IT系統(tǒng)可能僅完成整個IT流程中的某一個活動。例如在短信增值服務中，SP與用戶手機短信收發(fā)就涉及到了短信中心、短信網(wǎng)關、智能網(wǎng)SCP等多個系統(tǒng);另外，還涉及到了計費、BOSS等業(yè)務支撐系統(tǒng)以及網(wǎng)管等運維管理系統(tǒng)等。因此，業(yè)務功能通常是對業(yè)務系統(tǒng)進行調研的最佳切入點，并將業(yè)務流程簡化成為單純的數(shù)據(jù)處理過程，將各個應用軟件之間的數(shù)據(jù)傳輸簡化成為點對點的流。然后基于數(shù)據(jù)流分析，建立信息視圖，明確信息的流轉、分布、出入口，把業(yè)務系統(tǒng)簡化成為數(shù)據(jù)流的形式，可以更好地分析數(shù)據(jù)在各個階段所面臨的風險。

(三)脆弱性識別。

1．系統(tǒng)和應用軟件層脆弱性識別。對評估范圍內的主機操作系統(tǒng)及其上運行的數(shù)據(jù)庫/Web服務器/中間件等系統(tǒng)軟件的安全技術脆弱性，得到主機設備的安全現(xiàn)狀，包含當前安全模塊的性能、安全功能、穩(wěn)定性以及在基礎設施中的功能狀態(tài)。

2．網(wǎng)絡層脆弱性識別。明確被評估系統(tǒng)和其他業(yè)務系統(tǒng)的接口邏輯關系、和其他業(yè)務系統(tǒng)的訪問關系、得出清晰的基礎設施拓撲圖;從網(wǎng)絡的穩(wěn)定性、安全性、擴展性、(易于)管理性、冗余性幾個方面綜合評定網(wǎng)絡的安全狀況。

3．現(xiàn)有安全措施脆弱性識別。識別并分析現(xiàn)有安全措施的部署位置、安全策略，確定其是否發(fā)揮了應用的作用。

4．管理層脆弱性識別。識別和分析安全組織、安全管理制度、流程以及執(zhí)行中存在的安全弱點。

(四)業(yè)務威脅分析。

對于業(yè)務系統(tǒng)來說，安全威脅及安全需求分析的最小單位是數(shù)據(jù)處理活動?？梢酝ㄟ^安全威脅列表來識別威脅，構建安全威脅場景來進行威脅、風險分析。

1．列出評估的業(yè)務系統(tǒng)的全部安全威脅。如何能將安全威脅很好的列出來呢?可以借助一些現(xiàn)有的安全威脅分析模型，例如微軟Stride模型(假冒、篡改、否認、信息泄漏、拒絕服務、提升權限)都提供了一些安全威脅的分類方法。

2．識別和構造威脅路徑。依據(jù)自身(企業(yè)或部門級)的業(yè)務特點進行細化，識別和列出安全威脅來，如拒絕服務、業(yè)務濫用、業(yè)務欺詐、惡意訂購、用戶假冒、隱蔽、非法數(shù)據(jù)流、惡意代碼等。

3．業(yè)務滲透測試和攻擊路徑分析。因為業(yè)務的特性是“個性化”，那么就很難用一個或多個工具發(fā)現(xiàn)所有問題;且業(yè)務的個性化，在業(yè)務邏輯、接口等安全測評中，必須要有人工參與。利用業(yè)務流程分析、威脅分析和脆弱性分析的相關數(shù)據(jù)，實現(xiàn)滲透測試。

云計算安全評估辦法范文第3篇

終端因為其儲存著大量敏感數(shù)據(jù),因而成為黑客和病毒制造者的攻擊目標。因為每個病毒碼被部署到1000臺終端至少需4小時,而終端直接面對企業(yè)的內部員工,且難以管理,所以導致終端成為企業(yè)網(wǎng)絡中最脆弱的一環(huán)。雖然利用云安全技術,對病毒的響應時間縮短了九成。但是,我們仍然十分有必要重新對終端安全的價值進行判斷和思考。

思考

網(wǎng)關安全能否代替終端安全?

如果說云安全的不斷升溫顯示了信息安全領域正在技術上謀求變革,那么這背后所隱含的意義事實上更加引人關注。

在之前的很長一段時間里,網(wǎng)關安全都是一種受到推崇的防護模式。由于在網(wǎng)關處部署防御體系可以過濾大部分通信內容,所以有大量的組織都將安全保護的重心集中于網(wǎng)關位置。

然而事實結果證明,過分依賴于網(wǎng)關防護而忽視了對組織內部計算機節(jié)點的保護,導致的結果仍舊是較低的安全性。云安全所帶來的對技術和功能的改進令人欣喜,而其對終端安全乃至于對整個安全體系的補強,讓人看到了從核心層面變革安全防護的可能。

傳統(tǒng)安全體系的終端安全困局

在一些典型的安全案例中,組織雖然部署了防火墻、入侵檢測和VPN等安全保護措施,但是這些措施似乎只能防止外部威脅進入內部網(wǎng)絡,而對于信息存放失當、員工誤操作等內部安全管理問題卻束手無策。

很多調查報告都顯示,全球范圍內的企業(yè)員工在工作時間更容易進行具有安全風險的計算機操作,諸如訪問可能存在威脅的網(wǎng)站、打開來源未知的電子郵件附件等等?？赡苁瞧髽I(yè)缺乏足夠嚴格和有效的安全管理制度,也可能是員工對非私有財產的保護意識不足,總之人們在上班狀態(tài)下似乎沒有對網(wǎng)絡安全問題給予正確的認識和足夠的重視。

美國《Network World》報道,當前的網(wǎng)絡訪問控制解決方案往往只評估終端的初始狀態(tài),一旦一個終端節(jié)點獲得安全系統(tǒng)的訪問許可,那么之后的操作將很少受到嚴格的監(jiān)控,這也體現(xiàn)出當前終端保護體系缺乏動態(tài)反應能力的現(xiàn)狀。

正如趨勢科技全球高級副總裁暨大中華區(qū)總經理張偉欽所指出的,如果安全威脅的入侵原因及位置缺乏足夠的能見度,那么信息技術部門就無法確定正確的解決辦法,也無法真正提供有效和及時的安全響應服務。除了識別安全威脅存在誤區(qū)之外,傳統(tǒng)的安全管理體系也缺乏能夠有效對安全威脅進行預警和修補的工具。

賽門鐵克中國區(qū)技術支持部首席解決方案顧問林育民則表示,在發(fā)生安全事件的時候,信息技術部門往往需要耗費大量的時間去定位威脅源頭、識別威脅種類,進而制訂出處理方案并實施。從時間上來看,這往往都要滯后于威脅的傳播,經常是所有終端都已經受到波及之后信息技術部門才開始真正的處理工作。

云安全如何助力終端安全

事實上,在歷數(shù)云安全技術的諸多特點時會發(fā)現(xiàn),很多云安全特性都能夠為提升終端安全提供幫助。在安全組件嘗試發(fā)現(xiàn)終端以及內部網(wǎng)絡中的安全威脅時,云安全體系可以提供更加及時有效的威脅識別能力。而利用云安全體系強大的關聯(lián)分析能力,也可以更好地發(fā)現(xiàn)安全威脅和定位威脅位置。

在新一代的云安全技術當中,領先的廠商都在嘗試植入一種新的特征碼管理機制,從而實現(xiàn)檢測引擎和特征碼的分離。通過云安全體系提供的通信方式,特征碼的存放和比對都可以放在云端進行,而將大量的特征碼更新到網(wǎng)絡中的每一臺終端將不再是保證安全性的必要條件。

在新一代的云安全網(wǎng)絡當中,大量的安全威脅檢測功能將從終端遷移至云端,而客戶端系統(tǒng)將只完成掃描等基本的安全功能。在實時防護過程中,客戶端不斷地與云服務器進行協(xié)作,從而減輕客戶端的負擔,即讓終端用戶在盡量少地受到干擾的情況下,實現(xiàn)更好的安全防護。

以趨勢科技提出的云安全2.0為例,其多協(xié)議關聯(lián)分析技術可以在近百種常見協(xié)議中進行智能分析,從而追蹤到真正的受攻擊位置,為管理員解決安全問題提供真正的支持。一個真正成熟的云安全體系,安全威脅發(fā)現(xiàn)和響應覆蓋了從網(wǎng)絡層到應用層的各個層次,而防護陣線也貫穿了云端、網(wǎng)關、終端等多個不同的位置和區(qū)域。

云安全2.0的到來,勢必會加速云安全在體系架構主流化進程上的速度。用戶應該從現(xiàn)在就開始認真地思考自己組織的計算機終端是否已經獲得了足夠的保護,云安全體系帶來的高管理效率和高ROI無疑會引起用戶的高度關注。

分析

遞增的網(wǎng)絡威脅與信息安全的出路

從供需角度來說,云安全技術的出現(xiàn),無疑是為了對抗層出不窮的新安全威脅而產生的一種必然結果。根據(jù)測算,2008年全球每小時出現(xiàn)大約800種新的安全威脅,在2009年,每小時出現(xiàn)的新安全威脅數(shù)量已經達到1500種。按照這種發(fā)展速度,在最多不超過5年的時間里,每小時的新安全威脅產生量就將突破10000種。

高速的安全威脅增長態(tài)勢已經成為整個安全世界的大背景,傳統(tǒng)的依靠人工分析惡意軟件特征的安全響應體系,已經完全無法滿足現(xiàn)在的安全防護需要。在這種前提下,擁有共享全球安全威脅信息優(yōu)點的云安全網(wǎng)絡,就成為了信息安全領域的一個重要出路。

云安全的正確認知

單從各個廠商的宣傳資料來看,也許安全專家也難以給云安全下一個準確的定義。事實上,從技術角度定義云安全并不困難,但是實際映射到產品和運營層面,就可謂是“橫看成嶺側成峰,遠近高低各不同”了。這一方面體現(xiàn)出云安全是一個非常復雜的系統(tǒng),另外也說明不同的安全廠商對云安全存在著定位和投入上的不同。

有很多用戶將云安全理解為一種完全嶄新的安全模式,也有用戶將云安全理解為對傳統(tǒng)安全體系的升級。實際上這兩種理解都有可取之處,云安全更近似于云計算技術在安全領域的特定應用,而其創(chuàng)新之處則更多地來自于用戶和運營等層面。

云安全體系可以令安全廠商更準確地了解全球安全威脅的變化態(tài)勢,同時也有助于廠商發(fā)現(xiàn)新的安全威脅。無論是國外廠商還是國內廠商,真正在云安全領域有所投入的廠商,其采集威脅的速度和數(shù)量都呈現(xiàn)出幾何級數(shù)增長的態(tài)勢。趨勢科技自有的云服務器數(shù)量就達到數(shù)萬臺,而金山也在總部的辦公樓開辟了一層專門用于放置云安全系統(tǒng),這些在云安全領域投入重金的廠商掌握的病毒樣本數(shù)量早已達到千萬級。

更重要的是,擁有了海量的安全威脅數(shù)據(jù)之后,廠商就可以根據(jù)安全威脅情況動態(tài)地變更其云防護體系的工作狀態(tài)。類似趨勢科技的安全爆發(fā)防御體系,它就需要足夠數(shù)量的監(jiān)測點和統(tǒng)計數(shù)據(jù)作為支撐,也可以視為云安全最早的應用嘗試之一。

從核心模式上來說,當前的云安全應用主要側重于阻斷用戶訪問已經被辨識的安全威脅和可能存在風險的安全威脅,這主要源于云安全體系可以大幅度加快廠商對安全威脅的響應速度。這其中比較容易引起誤解的一點是,云安全是否能夠更好地應對未知安全威脅呢?從本質上來講,云安全的主要改進在于能夠更好地、更快地響應已知安全威脅。不過在一些特定條件下,云安全也可以對未知安全威脅防護提供幫助。

假設一個剛剛被放入互聯(lián)網(wǎng)的惡意軟件感染了第一臺計算機,這個惡意軟件對于這臺計算機是一個未知的安全威脅;如果該計算機將這個感染行為以及這個程序提交給了云安全網(wǎng)絡,那么相比傳統(tǒng)模式而言,其他使用該安全云服務的計算機就有更大的機會避免被該程序感染。也就是說,云安全體系更多地是避免一個未知安全威脅所帶來的破壞,讓廠商和用戶能更快地發(fā)現(xiàn)新出現(xiàn)的安全威脅,而與未知威脅檢測技術無關。

云安全的選擇及路徑

當“云安全”作為一個名詞吸引了公眾的注意之后,所有的安全廠商都陸續(xù)宣布了對云安全的支持,這一幕看起來與UTM剛剛問世時何其相似。如何正確看待云安全的效果,如何選擇真正支持云安全的產品,這些問題需要選購安全產品的用戶認真對待。

就目前的情況來看,選擇一線廠商的產品所獲得的保障無疑要更強一些,而這并非只是源于品牌和信譽。對一個云安全體系來說,其投入規(guī)模和所擁有的用戶數(shù)量,相當于云的大小和密度,也決定了云的工作質量。

第一代云安全技術:海量采集應對海量威脅

最開始被集成到安全產品中的云安全技術,主要集中于將從終端客戶處收集到的信息返回到安全云端,同時將分析后的結果返回給終端客戶。這種作法的好處在于能夠利用云安全體系的巨大運算處理能力和共享的安全威脅信息,為終端用戶提供更及時、更有效的安全保護服務。在傳統(tǒng)的安全防護模式下,安全廠商通常依賴人工方式采集安全威脅信息。

由于高速互聯(lián)網(wǎng)連接的普及,一個新出現(xiàn)的安全威脅完全有能力在數(shù)個小時甚至不到一個小時之內在全球網(wǎng)絡內實現(xiàn)傳播,而舊有的安全響應體系已經漏洞百出。在應用了云安全體系之后,廠商可以將威脅的采集工作更多地轉移到終端用戶的計算機上,根據(jù)其訪問行為和受感染情況來更準確地獲知安全威脅的產生和蔓延情況。

對于一些明顯可能造成破壞的安全操作,云安全系統(tǒng)會自主將其標示為安全威脅,這樣在其它計算機執(zhí)行相同或相似的操作時,就會獲得來自云端的警告,從而以接近實時的速度獲得對安全威脅的免疫。事實上,在一個運行良好的云安全體系當中,從一個新威脅被識別到被標識,所耗費的時間極短,甚至要少于終端計算機更新病毒特征碼以及完成特征碼加載的時間,這為安全產品提高響應速度提供了很好的技術基礎。

第二代云安全技術:更加全面徹底的云安全

事實上,第一代的云安全技術表現(xiàn)在產品功能上,更多的是以信息采集為主,真正能夠產生效果的安全功能寥寥無幾。在第二代的云安全技術應用上,一個顯著的特征就是安全功能對云安全體系更充分、更廣泛的利用。目前已有多家主流的安全廠商都推出了具有云安全2.0技術特征的產品。以最先倡導云安全技術的趨勢科技來說,其最新版本的產品線都集成了被稱之為文件信譽的安全技術。

顧名思義,與在云端檢測Web地址安全性的Web信譽技術一樣,文件信譽技術旨在通過云安全體系判斷位于客戶端的文件是否包含惡意威脅。在傳統(tǒng)的特征碼識別技術中,通常是將文件內容不同部分的Hash值與所檢測文件的Hash值進行比較,從而判別文件是否受到感染。

與傳統(tǒng)的將特征碼放置在客戶端的方式不同,基于云安全體系的文件信譽技術,支持將特征等檢測所用的信息放置在云端(比如全球性的云安全網(wǎng)絡或局域網(wǎng)中的云安全服務器)。這樣做的顯見好處是,解決了從更新文件,到客戶端部署了更新這段時間間隔里,防護系統(tǒng)無法識別最新安全威脅的問題。

通過連接到云端服務器,終端計算機始終能獲得最新的防護。如果說第一代云安全技術提高了發(fā)現(xiàn)安全威脅的速度,那么第二代云安全技術則讓安全防護功能得以用接近實時的速度檢測和識別最新的安全威脅。

下一代云安全技術:靈動的云

相信用不了多久,幾乎所有的安全功能都將順暢地接入云端,從而實現(xiàn)云級別的安全防護。解決了安全威脅響應速度這一核心問題之后,對安全防護的質量提升將是云安全的下一命題。

由于云安全體系所擁有的龐大的資源配給,用戶無疑會對其能夠在多大程度上替代人工分析和操作,抱有極大的興趣。事實上,這也是能否從本質上提升安全產品保護能力的一個重要指標。

另一方面,終端用戶應期待可以通過自己的產品界面,對安全云進行更多的操作和管理。以往對于客戶端防護產品的定制能力將轉移到云端,用戶可以決定哪些安全功能需要連入云端,而哪些功能必須使用本地的防護引擎。在3.0乃至4.0的云安全技術體系中,用戶將獲得更大限度的自由,安全保護的新時代也將隨之展開。

模擬真實環(huán)境 破解云安全謎團

為了更好地模擬管理中心、服務器客戶端、工作站客戶端等常見的安全對象,在本次評測過程中我們啟用了五臺計算機,其中一臺用作管理服務器,其它計算機作為終端計算機。

在網(wǎng)絡環(huán)境方面,我們使用一臺TP-Link的TL-R 860路由器作為連接設備,所有測試用計算機都以百兆以太網(wǎng)形式接入該設備。同時在該設備上還接入了2Mbps的網(wǎng)通寬帶,用以提供互聯(lián)網(wǎng)連接。在測試過程中,我們對產品的測試實現(xiàn)完全分離,也即完整地測試完一個產品之后,再測試另一個產品,以避免測試過程中相互干擾。

本次測評參測產品4款,包括趨勢科技OfficeScan10.0、熊貓AdminSecure Business。令我們感覺有些遺憾的是,由于另外兩家參測廠商即將新的產品版本,所以在本次評測中隱去其真實廠商及產品名稱。在這里,我們將在總體上對其進行適當?shù)狞c評,以讓讀者了解這些產品最新的發(fā)展狀況。文中以X和Y表示用來表示隱去其真實廠商的產品名稱。

在性能表現(xiàn)方面,產品安裝后的系統(tǒng)資源占用情況以及產品的運行速度都是關注的重點。通過比較安裝前后的磁盤空間占用情況,我們可以了解產品對硬盤的消耗。同時針對管理服務器、客戶端的處理器和內存資源使用情況,測試工程師也給出了相應的評價。檢測引擎的速度一直是評估安全產品性能的保留項目,本次評測過程中通過對一個包含4GB文件的系統(tǒng)內分區(qū)進行掃描來完成該項測試。為了判斷產品的檢測引擎是否支持文件指紋機制,該項測試共進行兩次,每次測試之間計算機會重新啟動以令時間記錄更加精確。

惡意軟件檢測

我們選用了100個采集自實際應用環(huán)境的惡意程序樣本。其中覆蓋了蠕蟲、木馬程序、腳本病毒、廣告軟件和黑客工具等多個常見的惡意軟件類別。另外,在測試樣本中也包含了一些未被驗證的、可能包含安全威脅的程序,用以驗證參測產品在檢測未知威脅方面的能力。在該項測試過程中,所有產品的檢測引擎的識別能力和識別范圍均開啟為最高,所有有助于提高檢測效果的選項也均被啟用。

防火墻測試

防火墻作為另一個核心的安全防護模塊,也設定了多個專門的測試項目?；贕RC網(wǎng)站提供的在線檢測工具Shields UP!,我們能夠了解一臺計算機的網(wǎng)絡端口在外網(wǎng)看起來是處于什么狀態(tài)。該檢測分析計算機的前1056個端口,并且提供計算機是否響應Ping請求的附加測試結果。另外,我們通過一組工具來測試在終端計算機上利用各種方法建立外向連接時,防火墻組件的反應行為是否正確。下面提供了這些測試工具的工作機制等相關描述。

• LeakTest:該工具在被測計算機上建立外向連接,如果防火墻組件發(fā)現(xiàn)了建立連接的行為,視為能夠識別基本的外向連接活動。

• FireHole:該工具調用系統(tǒng)中的缺省瀏覽器傳送數(shù)據(jù)到遠程主機,在計算機上建立具有攔截功能的DLL,從而偽裝瀏覽器進程進行數(shù)據(jù)發(fā)送。

• PCFlank:與FireHole工具類似,該工具檢驗一個防火墻信任的程序在調用另一個程序時,在工作方式上利用了Windows的OLE自動化機制。

• ZAbypass:該工具使用直接數(shù)據(jù)交換(DDE,Data Direct Exchange)技術,以借助系統(tǒng)中的IE瀏覽器訪問互聯(lián)網(wǎng)服務器上的數(shù)據(jù)。

• Jumper:該工具會生成一個DLL文件,將其掛接到Explorer.exe之后關閉和重啟該程序,從而執(zhí)行該DLL。這項測試同時考察防火墻組件的防DLL注入能力以及對注冊表關鍵位置的保護能力。

• Ghost:通過修改瀏覽器進程的PID來欺騙防火墻組件,從而通過系統(tǒng)缺省瀏覽器向互聯(lián)網(wǎng)發(fā)送信息,主要用于測試防火墻是否能夠實現(xiàn)進程級別的監(jiān)控。

云安全測試

針對當下最熱門的云安全技術,在本次評測中也專設了多個測試項目。首先我們的工程師會驗證參測產品是否支持云安全網(wǎng)絡,以及支持哪些云端安全功能。例如,通過訪問包含有惡意代碼的網(wǎng)站來判別參測產品是否支持云端Web威脅識別。另外,我們會嘗試使用產品的云端功能檢測前面所準備的100個惡意軟件樣本,比較其檢測率和處理能力相較使用傳統(tǒng)掃描引擎是否有所提高,從而驗證云安全機制對于產品效能的提高發(fā)揮的作用。管理

機制測試

管理能力是企業(yè)級安全產品的重中之重,通過對參測產品的終端管理、終端部署、權限管理、配置管理等諸多方面的能力進行考察和評估,我們可以獲得產品管理機制是否健壯有效的第一手證據(jù)。

與此同時,產品客戶端所具備的特性,特別是管理端對于客戶端的授權和控制,也是網(wǎng)絡版安全產品需要重點關注的問題。

易用性測試

在易用性方面,我們遵循軟件業(yè)內常見的一些評估方式,進行體現(xiàn)物理操作負擔的肌肉事件測試,針對界面設計的屏幕利用率測試以及體現(xiàn)操作流程的記憶負擔測試等諸多測試項目。

結合針對界面元素排布、界面指引等方面的分析,最終形成對軟件易用性的綜合性評價。在易用性的測試過程中,主要面向參測產品的控管中心模塊,對于部署于服務器和工作站上的終端軟件不進行評估。

評測總結

在本次評測中,通過對比應用云安全的產品和傳統(tǒng)形式的產品,我們發(fā)現(xiàn)云安全類型的產品帶給客戶端的負擔更小。趨勢科技已經近乎徹底地實現(xiàn)了產品的云安全化,無論從基礎架構還是從核心功能上看,云安全技術都在充分地發(fā)揮作用。而熊貓的云安全應用,則更多地停留在后臺輔助服務方面,用戶從前端功能還無法明確了解云安全的具體應用狀態(tài)。相對地,X和Y在云安全應用領域也取得了相當?shù)某晒?并且擁有相當規(guī)模的云安全網(wǎng)絡支持,對其安全威脅的發(fā)現(xiàn)和采集提供了相當?shù)膸椭?/p>

通過評測,我們也發(fā)現(xiàn)目前的主流企業(yè)級安全產品并沒有走向完全趨同的發(fā)展道路?；诓煌氖袌隼斫夂筒煌目蛻羧∠?不同廠商在構造自己的產品時,都體現(xiàn)出鮮明的功能和設計特點。

云計算安全評估辦法范文第4篇

事業(yè)機構在互聯(lián)網(wǎng)上開放的應用入口，也是通常意義上人們常說的“網(wǎng)站”，其前端接受用戶在WEB瀏覽器上發(fā)送請求，后端則和企業(yè)后臺的數(shù)據(jù)庫及其他內部動態(tài)內容通信。由于WEB應用的天然開放性，以及各種WEB軟硬件漏洞的不可避免性，使得黑客們將注意力從以往對網(wǎng)絡服務器的攻擊逐步轉移到了對WEB應用的攻擊上。

根據(jù)最新調查，信息安全攻擊有75%都是發(fā)生在WEB應用而非網(wǎng)絡層面上。同時，數(shù)據(jù)也顯示，三分之二的WEB站點都相當脆弱。但目前，絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡和服務器的安全上，沒有從真正意義上保證WEB應用本身的安全。2011年底，國內互聯(lián)網(wǎng)業(yè)界爆發(fā)的眾多知名網(wǎng)站“泄密門”系列事件，其實只是掀開WEB應用威脅的冰山一角。今天，WEB應用防護和數(shù)據(jù)安全已經成為企事業(yè)機構信息安全綜合體系中的核心與重點。

日前，在工信部信息安全協(xié)調司、浙江省經信委、杭州市經信委等單位和機構的指導和支持下，2012（首屆）中國WEB應用防護與數(shù)據(jù)安全高峰論壇在杭州舉行。來自安全界德高望重的專家學者、從中央到地方的各級相關信息化管理部門的領導、國內各重要行業(yè)機構和單位信息化主管領導以及眾多中國信息安全企業(yè)界老總們，以“技術創(chuàng)新和行業(yè)應用”為主題，通過專家演講、嘉賓互動和WEB攻防實戰(zhàn)演習等形式，對WEB應用防護的技術體系建設和產品服務創(chuàng)新，尤其是針對國家重要基礎行業(yè)應用的創(chuàng)新；構建行業(yè)WEB應用防護安全體系；國際WEB應用防護最新技術與理念；內網(wǎng)數(shù)據(jù)安全的管理架構與技術體系；重要行業(yè)WEB應用高安全防護實踐等話題進行深入探討。

本次大會覆蓋了幾乎所有當前信息安全方面的迫切問題，充分交流信息安全產業(yè)發(fā)展趨勢，瞭望信息安全行業(yè)應用的態(tài)勢，引導用戶的采購選型，達到構筑業(yè)界最大交流平臺、促進產業(yè)發(fā)展、溝通行業(yè)應用、推動我國信息安全建設穩(wěn)步前進之目的。

建立網(wǎng)絡秩序是網(wǎng)絡信息安全工作的努力方向

當前，以互聯(lián)網(wǎng)為基礎的信息空間、信息網(wǎng)絡已經成為政府和民眾交流以及商務交流、貿易交流的一個重要平臺，成為我們工作學習的重要空間，甚至已經成為我們世界經濟重要的一種基礎設施。因此，互聯(lián)網(wǎng)世界迫切需要建立起應有的秩序。

正如浙江省經信委胡蓓姿處長在論壇上所言：眾所周知的個人信息安全問題、公共系統(tǒng)的信息安全問題，包括其他工作當中遇到的信息安全問題，都與在網(wǎng)絡空間中建立秩序緊密相關。我們既要維護網(wǎng)絡空間的活力、網(wǎng)絡空間的創(chuàng)造力，同時又要維護網(wǎng)絡空間的公平公正；要讓所有人在網(wǎng)絡上能夠表達自己的思想和言論的同時，又要在空間當中擔負起相應的責任，讓每個人能夠依法行事。這是網(wǎng)絡維持秩序的基礎，也是政府信息安全主管部門一直致力于網(wǎng)絡安全努力的方向。

近年來，我國信息安全的理論研究逐步成熟，信息安全政策框架逐步形成，信息安全部門的責任逐步明確，各項信息安全基礎工作、基礎設施建設都取得了一定發(fā)展。在浙江，信息安全工作圍繞著構建可信、可靠的目標，建立了俗稱“136”的工程，從管理、控制、技術三個方面全面加強安全信息建設?！?”即起協(xié)調作用的網(wǎng)絡與信息安全協(xié)管平臺。因為網(wǎng)絡安全管理涉及到各個管理部門，所以浙江省經信委作為信息安全的主管協(xié)調機構，要發(fā)揮各個職能部門的作用，形成合力，加強對網(wǎng)絡的管理；“3”是三個重點領域，即電子政務、電子商務和十個重點行業(yè)；“6”即六大體系建設工程，根據(jù)安全信息保障的要求，在6個方面加強信息安全的工程建設。

WEB安全面臨云計算時代的新挑戰(zhàn)

WEB作為互聯(lián)網(wǎng)核心，是將來云計算和移動互聯(lián)網(wǎng)最佳的載體，因此，WEB安全在云計算時代更要引起我們的高度關注。

國家信息中心專家委員會委員寧家駿認為：云計算和新一代移動通信時代的到來，向信息安全提出了新的挑戰(zhàn)。首先，信息安全與我們密切相關。當前互聯(lián)網(wǎng)正在不斷地向移動化發(fā)展，用戶對互聯(lián)網(wǎng)無所不在的接入，以及從社會向用戶的轉入，使得國家政府、企業(yè)和個人，面臨著更為嚴峻的網(wǎng)絡危機。WEB的安全、虛擬化的安全是云計算必須要解決的核心問題，它既有原來傳統(tǒng)安全問題的延伸，也帶來了新的問題。比如說位置信息的泄露、身份信息的泄露以及一些其他領域。所以沒有安全的云計算將是一個“暈計算”。其次，信息安全面臨著新的形勢。當前我國自身建設發(fā)展由于對安全重視不夠，頂層設計和統(tǒng)一規(guī)劃不夠，使得目前的信息安全自身存在著問題；另一方面，由于改革的深入和發(fā)展，人們的公平意識、民主意識、權利意識、法制意識在不斷增強，使得網(wǎng)絡管理面臨著巨大的內部挑戰(zhàn)。此外，我國很多基于互聯(lián)網(wǎng)的應用系統(tǒng)還存在著規(guī)模龐大、協(xié)議開放、應用邏輯復雜等問題，這也為提升重要信息安全系統(tǒng)保障提出了更加嚴峻的挑戰(zhàn)。

云計算安全評估辦法范文第5篇

關鍵詞：農作物；病蟲害防治；服務質量；規(guī)范

DOI編碼:10.3969/j.issn.1674-5698.2016.01.012

1引言

農作物病蟲害專業(yè)化防治，是按照現(xiàn)代農業(yè)發(fā)展的要求，遵循“預防為主、綜合防治”的植保方針，由具有一定植保專業(yè)技能的人員組成的具有一定規(guī)模的服務組織，利用先進的設備和手段，對病蟲防控實施農業(yè)防治、化學防治、生物防治和物理防治的生產服務性活動[1]。農業(yè)病蟲害社會化服務組織包括公共服務機構、合作經濟組織、部分龍頭企業(yè)或其他社會力量等。農作物病蟲害防治專業(yè)服務組織在提高重大病蟲防控效果、促進糧食穩(wěn)定增產、降低農藥使用風險、保障農產品質量安全和農業(yè)生態(tài)環(huán)境安全方面發(fā)揮著重要的作用。據(jù)農業(yè)部統(tǒng)計，到2011年6月，全國經工商注冊的病蟲專業(yè)化防治組織達1萬個以上，擁有大中型植保機械120萬臺套，從業(yè)人員近100萬人，日作業(yè)能力超過3,000萬畝[2-3]。為規(guī)范專業(yè)化統(tǒng)防統(tǒng)治服務行為，提高專業(yè)化防治組織的服務質量，2011年農業(yè)部了《農作物病蟲害專業(yè)化統(tǒng)防統(tǒng)治管理辦法》，從宏觀管理層面對防治服務組織的管理與指導、防治作業(yè)、監(jiān)督與評估等方面進行了規(guī)定[4]。但在防治服務過程中涉及的合同管理、防治方案設計、信息服務、應急管理、投訴處理、滿意度調查等方面沒有進一步的細化要求。目前，我國在農作物病蟲害防治服務組織及服務質量方面尚無國家標準，導致農作物病蟲害防治服務活動中出現(xiàn)服務質量不規(guī)范、服務效果差等問題時，無標可依、無據(jù)可循。因此，有必要盡快研究和制定農作物病蟲害防治專業(yè)服務組織服務質量要求國家標準，用以指導和提升我國農作物病蟲害防治專業(yè)服務組織的服務質量、服務能力和服務水平。

2制定原則和依據(jù)

2.1科學性原則以《農作物病蟲害專業(yè)化統(tǒng)防統(tǒng)治管理辦法(中華人民共和國農業(yè)部第1571號公告)》為主要技術基礎，統(tǒng)籌結合湖南、浙江、安徽等各地農作物病蟲害防治條例或管理辦法的要求，并參照GB/T24620-2009《服務標準制定導則考慮消費者需求》等國家標準對服務活動各環(huán)節(jié)的統(tǒng)一要求，從服務提供角度，構建標準技術框架，編制具體要求，保證質量規(guī)范技術內容的科學性。2.2實用性原則充分考慮了我國各省農作物病蟲害防治條例或管理辦法中對服務組織的具體要求，全面凝練各地基層和一線農作物病蟲害防治組織（如：農民專業(yè)合作社、植保站等）在基本條件、組織運行和管理、作業(yè)服務、效果評價等服務提供過程中的服務規(guī)范和實踐經驗，吸收了《農作物病蟲害專業(yè)化統(tǒng)防統(tǒng)治管理辦法(中華人民共和國農業(yè)部第1571號公告)》的核心技術要求，增加了關于防治服務組織的管理體系、社會責任、信息服務、應急管理、投訴處理等內容，列出了服務滿意度、病害防治效果、蟲害防治效果等主要服務質量指標及其計算方法，以保證質量規(guī)范的適用性和實用性。2.3協(xié)調性原則作為農作物病蟲害防治服務的基礎通用性標準，在術語、基本要求、合同管理、方案設計、作業(yè)服務等標準條款內容方面，與我國現(xiàn)行的法規(guī)和管理辦法及GB/T8321.1～9農藥合理使用準則系列國家標準、NY/T1276農藥安全使用規(guī)范總則等標準協(xié)調一致、配套使用，相互支撐。

3技術框架設計

質量規(guī)范主體技術內容包括組織基本要求、合同管理、方案設計、信息服務、作業(yè)服務、檔案管理、應急管理、投訴處理、滿意度調查、主要質量指標、資料性附錄等11個部分，力求涵蓋農作物病蟲害防治服務提供的全過程。

4內容要素及技術要求

4.1組織基本要求（1）總則農作物病蟲害防治服務需要遵循“預防為主、綜合防治”的植保方針，貫徹國家倡導的“科學植保、綠色植保、公共植?！崩砟?，以服務農業(yè)生產和提高防治服務質量為中心，且需符合國家農業(yè)主管部門的監(jiān)管要求。（2）基本條件服務組織是農作物病蟲害防治服務的提供主體，應在組織資質、技術人員、設施設備、作業(yè)能力、員工保護、管理體系、服務內容等方面達到開展相關服務的基本條件。如：組織應經工商行政管理機關或民政部門注冊登記，取得法人資質；具有經過植物保護專業(yè)技能培訓的防治技術人員；具備國家規(guī)定的安全作業(yè)條件和滿足服務對象需求的日作業(yè)能力；具有固定的經營場所，必要的防治設備及人員安全防護條件；具有健全的服務管理制度等。4.2合同管理服務合同是農作物病蟲害防治服務供需雙方確立相互責任、權利和義務的重要文件。服務合同內容應包括服務對象的基本信息、防治方案、防治面積、防治物資、防治效果、收費標準、繳費時限、賠償標準、違約責任、免責內容、糾紛調處辦法、投訴反饋時限等。4.3方案設計防治方案是農作物病蟲害防治服務組織解決服務對象病蟲害問題的一系列綜合措施，是開展病蟲害防治服務的技術依據(jù)和科學規(guī)范。方案設計應根據(jù)服務對象的農作物病蟲害發(fā)生的種類、程度、危害、預期目標等信息和農業(yè)植物保護機構的指導意見，經科學分析與評估而制定，其內容應包括防治目標、防控技術、防治服務流程、田間作業(yè)程序和作業(yè)要求等。4.4信息服務信息服務是農作物病蟲害防治服務組織為服務對象提供快捷化和便利化服務的重要基礎，也是服務供需雙方互動交流的渠道。信息服務渠道應包括網(wǎng)絡、電話、傳真、電子郵件、信函、服務窗口等多種方式。提供的信息應及時、準確、完整、實用，且防止服務對象信息的泄露及不正當使用。4.5作業(yè)服務作業(yè)服務要求是農作物病蟲害防治服務實施過程的重要技術規(guī)范。需對防治用品、田間作業(yè)、質量跟蹤等方面進行具體規(guī)定。如：所使用的農藥、施藥設施設備的質量應符合國家相關規(guī)定；組織實施具有安全隱患的防治作業(yè)時，應在相應區(qū)域設立警示標志；需采取必要措施，保證周邊其他作物及蜜蜂、蠶、魚、蝦、蟹等生物的安全；妥善處理剩余農藥及廢包裝、廢容器、沖洗施藥機械廢水等廢棄物；提示和幫助服務對象填寫田間作業(yè)服務確認單；作業(yè)結束后及時跟蹤調查防治效果等。4.6檔案管理檔案管理要求是農作物病蟲害防治服務內容及過程的真實性和可追溯的重要依據(jù)。應確保防治服務檔案完整、準確、系統(tǒng)和安全，服務合同、田間作業(yè)服務確認單、滿意度調查表、田間作業(yè)照片及視頻等資料需及時整理、歸檔并保存兩年以上，便于查找和提供利用。4.7應急管理應急管理是農作物病蟲害防治服務中發(fā)生意外服務事故時采取處理措施的活動。防治服務組織應對潛在和可能存在的防治服務風險進行分析和評估，并針對不同風險制定相應的應急預案。當風險發(fā)生時及時啟動應急預案，采取應急措施并及時評估應急預案效果。4.8投訴處理投訴處理是快速和穩(wěn)妥的解決農作物病蟲害防治服務質量投訴的重要途徑。防治服務組織應提供可靠、便捷的投訴渠道。當服務對象對防治效果提出異議或投訴時，及時主動與服務對象溝通，按雙方合同規(guī)定的程序、方式和時限要求進行處理。處理結果要及時反饋給服務對象，并采取預防控制措施防止類似情況發(fā)生。4.9滿意度調查滿意度調查是農作物病蟲害防治服務組織衡量自身服務效果，評價服務績效的重要措施。服務組織要定期對服務對象進行回訪，調查服務質量和服務對象滿意度，并客觀分析滿意度調查信息和服務對象投訴信息，持續(xù)提升和改進自身服務質量。4.10主要質量指標農作物病蟲害防治服務質量指標主要包括病害防治效果、蟲害防治效果、服務滿意度等。服務組織可根據(jù)具體情況選用或補充，并明確指標的具體數(shù)值。計算方法如下：（1）病害防治效果[4]以病情指數(shù)表示。1）當病情基數(shù)在處理前為零時，按式（1）計算：防治效果（﹪）=[（對照區(qū)病情指數(shù)-防治區(qū)病情指數(shù)）/對照區(qū)病情指數(shù)]×100（1）其中：病情指數(shù)（﹪）=[∑（各病級的樣本數(shù)×相應發(fā)病級數(shù)）]/調查樣本總數(shù)×最高發(fā)病級數(shù)]×1002）當防治處理前病害已發(fā)生時，按式（2）計算：防治效果（﹪）=[（對照區(qū)病情指數(shù)增長率-防治區(qū)病情指數(shù)增長率）/對照區(qū)病情指數(shù)增長率]×100（2）其中：病情指數(shù)增長率（﹪）=[(用藥后病情指數(shù)-用藥前病情指數(shù))/(100-用藥前病情指數(shù))]×100（2）蟲害防治效果[4]以被害減輕率或蟲口死亡率表示。1)以被害減輕率表示時，按式（3）計算：防治效果（﹪）=（對照區(qū)被害率-防治區(qū)被害率）/對照區(qū)被害率×100（3）其中：被害率（﹪）=被害株數(shù)/調查總株數(shù)×1002）以蟲口死亡率表示時，按式（4）計算：防治效果（﹪）=（防治區(qū)蟲口死亡率-對照區(qū)蟲口死亡率）/（100-對照區(qū)蟲口死亡率）×100（4）其中：蟲口死亡率（﹪）=死蟲/（死蟲+活蟲）×100（3）服務滿意度統(tǒng)計期內服務對象滿意數(shù)占調查所得回復總數(shù)的比率，按式（5）計算：服務滿意度（﹪）=滿意數(shù)/回復總數(shù)×100（5）4.11資料性附錄為了增強質量規(guī)范的指導性和實操性，研究制定了《水稻病蟲害防治服務合同（樣本）》《田間作業(yè)服務確認單（樣本）》《農作物病蟲害防治服務滿意度調查表（樣本）》等3個資料性附錄，以便于使用者在實際應用中參考。

5結語

農作物病蟲害專業(yè)化防治服務是我國農業(yè)社會化服務的重要內容之一，是解決農民一家一戶分散防病治蟲難題，保障農業(yè)生產安全和農產品質量安全的重要途徑。因此，在分析和借鑒國內農作物病蟲害專業(yè)化防治相關法規(guī)和各地實踐的基礎上，制定出符合我國實際的農作物病蟲害防治服務質量規(guī)范，對于規(guī)范我國農作物病蟲害防治服務組織的建設和運行，改進和提升農作物病蟲害防治服務服務質量，引導和推動我國農作物病蟲害防治服務行業(yè)的可持續(xù)發(fā)展，具有重要的技術指導作用。

參考文獻

[1]農業(yè)部關于推進農作物病蟲害專業(yè)化防治的意見.農業(yè)部農農發(fā)[2008]13號[Z].

2李力,喬金亮“.田間保姆”為農民分憂解難.新農村周刊,2011,8,1.

3陳仁澤.農作物病蟲害專業(yè)化防治組織全國超萬個[N].人民日報,2011,6,16.

4農業(yè)部第1571號公告.農作物病蟲害專業(yè)化統(tǒng)防統(tǒng)治管理辦法.2011.