前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息資產(chǎn)的安全屬性主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息資產(chǎn)的安全屬性范文

論文關(guān)鍵詞：信息安全　風(fēng)險(xiǎn)評(píng)估　風(fēng)險(xiǎn)分析

論文摘要：本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)是一個(gè)多專家評(píng)估系統(tǒng)，主要模塊分為風(fēng)險(xiǎn)評(píng)估管理端、系統(tǒng)評(píng)估端、信息庫(kù)管理端和知識(shí)庫(kù)管理端，嚴(yán)格按照《指南》的風(fēng)險(xiǎn)評(píng)估流程進(jìn)行評(píng)估，使評(píng)估結(jié)果更全面更客觀。

一、前言

電力系統(tǒng)越來(lái)越依賴電力信息網(wǎng)絡(luò)來(lái)保障其安全、可靠、高效的運(yùn)行，該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩[1，2]。風(fēng)險(xiǎn)評(píng)估具體的評(píng)估方法從早期簡(jiǎn)單的純技術(shù)操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)，以威脅為觸發(fā)，以技術(shù)、管理、運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型[3]。

二、信息安全風(fēng)險(xiǎn)評(píng)估

在我國(guó)，風(fēng)險(xiǎn)評(píng)估工作已經(jīng)完成了調(diào)查研究階段、標(biāo)準(zhǔn)草案編制階段和全國(guó)試點(diǎn)工作階段，國(guó)信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險(xiǎn)評(píng)估指南》[4]（簡(jiǎn)稱《指南》）得到了較好地實(shí)踐。本文設(shè)計(jì)的工具是基于《指南》的，涉及內(nèi)容包括：

（一）風(fēng)險(xiǎn)要素關(guān)系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對(duì)基本要素的評(píng)估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與基本要素相關(guān)的各類屬性。

（二）風(fēng)險(xiǎn)分析原理。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

（三）風(fēng)險(xiǎn)評(píng)估流程。包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)消減[5]。

三、電力信息網(wǎng)風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn)，設(shè)計(jì)階段參考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等風(fēng)險(xiǎn)評(píng)估工具。系統(tǒng)采用C/S結(jié)構(gòu)，是一個(gè)多專家共同評(píng)估的風(fēng)險(xiǎn)評(píng)估工具。分為知識(shí)庫(kù)管理端、信息庫(kù)管理端、系統(tǒng)評(píng)估端、評(píng)估管理端。其中前兩個(gè)工具用于更新知識(shí)庫(kù)和信息庫(kù)。后兩個(gè)工具是風(fēng)險(xiǎn)評(píng)估的主體。下面對(duì)系統(tǒng)各部分的功能模塊進(jìn)行詳細(xì)介紹：

（一）評(píng)估管理端。評(píng)估管理端控制風(fēng)險(xiǎn)評(píng)估的進(jìn)度，綜合管理系統(tǒng)評(píng)估端的評(píng)估結(jié)果。具體表現(xiàn)在：開啟評(píng)估任務(wù)；分配風(fēng)險(xiǎn)評(píng)估專家；對(duì)準(zhǔn)備階段、資產(chǎn)識(shí)別階段、威脅識(shí)別階段、脆弱性識(shí)別階段、已有控制措施識(shí)別階段、風(fēng)險(xiǎn)分析階段、選擇控制措施階段這七個(gè)階段多個(gè)專家的評(píng)估進(jìn)行確認(rèn)，對(duì)多個(gè)專家的評(píng)估數(shù)據(jù)進(jìn)行綜合，得到綜合評(píng)估結(jié)果。

（二）系統(tǒng)評(píng)估端。系統(tǒng)評(píng)估端由多個(gè)專家操作，同時(shí)開展評(píng)估。系統(tǒng)評(píng)估端要經(jīng)歷如下階段：a.準(zhǔn)備階段：評(píng)估系統(tǒng)中CIA的相對(duì)重要性；b.資產(chǎn)識(shí)別階段；c.威脅識(shí)別階段；d.脆弱性識(shí)別階段；e.已有控制措施識(shí)別階段；f.風(fēng)險(xiǎn)分析階段；g.控制措施選擇階段。在完成了風(fēng)險(xiǎn)評(píng)估的所有階段之后，和評(píng)估管理端一樣，可以瀏覽、導(dǎo)出、打印評(píng)估的結(jié)果—風(fēng)險(xiǎn)評(píng)估報(bào)表系列。

（三）信息庫(kù)管理端。信息庫(kù)管理端由資產(chǎn)管理，威脅管理，脆弱點(diǎn)管理，控制措施管理四部分組成。具體功能是：對(duì)資產(chǎn)大類、小類進(jìn)行管理；對(duì)威脅列表進(jìn)行管理；對(duì)脆弱點(diǎn)大類、列表進(jìn)行管理；對(duì)控制措施列表進(jìn)行管理。

（四）知識(shí)庫(kù)管理端。知識(shí)庫(kù)的管理分為系統(tǒng)CIA問卷管理，脆弱點(diǎn)問卷管理，威脅問卷管理，資產(chǎn)屬性問卷管理，控制措施問卷管理，控制措施損益問卷管理六部分。

四、總結(jié)

信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)新興的領(lǐng)域，本文在介紹了信息安全風(fēng)險(xiǎn)評(píng)估研究意義的基礎(chǔ)之上，詳細(xì)闡述了信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的結(jié)構(gòu)設(shè)計(jì)和系統(tǒng)主要部分的功能描述。測(cè)試結(jié)果表明系統(tǒng)能對(duì)已有的控制措施進(jìn)行識(shí)別，分析出已有控制措施的實(shí)施效果，為風(fēng)險(xiǎn)處理計(jì)劃提供依據(jù)。

參考文獻(xiàn)

[1]Huisheng Gao，Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network，IEEE，2007.

[2]Masami Hasegawa，Toshiki Ogawa，Security Measures for the Manufacture and Control System，SICE Annual Conference 2007.

[3]左曉棟等.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估中幾個(gè)重要問題的認(rèn)識(shí)[J].計(jì)算機(jī)安全，2004，7:64-66

第2篇：信息資產(chǎn)的安全屬性范文

關(guān)鍵詞：信息安全安全屬性安全建設(shè)

我國(guó)信息化安全建設(shè)任務(wù)非常艱巨，主要包括各種業(yè)務(wù)的社會(huì)公網(wǎng)、行業(yè)專網(wǎng)、互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施運(yùn)營(yíng)、管理和服務(wù)的安全自主保障、安全監(jiān)管、安全應(yīng)急和打擊信息犯罪為核心的威懾體系的建設(shè)，其內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)安全建設(shè)、領(lǐng)域和企業(yè)的業(yè)務(wù)信息化安全建設(shè)、網(wǎng)絡(luò)內(nèi)容與行為的安全建設(shè)和用戶關(guān)注的網(wǎng)絡(luò)安全建設(shè)等方面。這些安全建設(shè)對(duì)于不同的領(lǐng)域和領(lǐng)導(dǎo)層面關(guān)注的內(nèi)容、對(duì)象和程度各不相同。網(wǎng)絡(luò)信息安全是一個(gè)完整的、系統(tǒng)的概念。它既是一個(gè)理論問題，同時(shí)又是一個(gè)工程實(shí)踐問題。由于互聯(lián)網(wǎng)的開發(fā)性、復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全系統(tǒng)需要有一個(gè)完整的、嚴(yán)謹(jǐn)?shù)捏w系結(jié)構(gòu)來(lái)保證網(wǎng)絡(luò)中信息的安全。

1 信息安全的定義及目標(biāo)

信息的定義，從廣義上講，信息是任何一個(gè)事物的運(yùn)動(dòng)狀態(tài)以及運(yùn)動(dòng)狀態(tài)形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術(shù)安全管理指南》定義：信息是通過在數(shù)據(jù)上施加某此約定而賦予這此數(shù)據(jù)的特殊含義。信息是無(wú)形的，借助于信息媒體以多種形式存在和傳播，同時(shí)。信息也是一種重要資產(chǎn)，具有價(jià)值，需要保護(hù)。信息安全的目標(biāo)是信息資產(chǎn)被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個(gè)基本屬性是信息安全的最終目標(biāo)。信息安全的保護(hù)對(duì)象包括了計(jì)算機(jī)硬件、軟件和數(shù)據(jù)。就本質(zhì)而言，信息安全所針對(duì)的均是“信息”這種資源的“安全”，對(duì)信息安全的理解應(yīng)從信息化背景出發(fā)，最終落實(shí)在信息的安全屬性上。

2 構(gòu)建網(wǎng)絡(luò)信息化安全的意義

能否有效地保護(hù)信息資源，保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展，直接關(guān)乎國(guó)家安危，關(guān)乎民族興亡，是國(guó)家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩(wěn)固的經(jīng)濟(jì)安全和軍事安全，更沒有完整意義上的國(guó)家安全。信息安全是信息技術(shù)發(fā)展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺(tái)。信息安全不是最終目的，它只是服務(wù)于信息化的一種手段，其針對(duì)的是信息化這種戰(zhàn)略資源的安全，其主旨在于為信息化保駕護(hù)航。

3 網(wǎng)絡(luò)信息化的安全屬性

信息安全的概念與信息的本質(zhì)屬性有著必然的聯(lián)系，它是信息的本質(zhì)屬性所體現(xiàn)的安全意義。說(shuō)安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來(lái)看的，信息安全最初目標(biāo)，叫數(shù)據(jù)安全，它關(guān)心的是數(shù)據(jù)自身，所以是一個(gè)狹義的數(shù)據(jù)安全，是保護(hù)信息自身的安全。

3.1 保密性（Confidentiality）

在傳統(tǒng)信息環(huán)境中，普通人通過郵政系統(tǒng)發(fā)信件時(shí)，為了個(gè)人隱私要裝上信封?？墒堑搅诵畔⒒瘯r(shí)代，信息在網(wǎng)上傳播時(shí)，如果沒有這個(gè)“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權(quán)的用戶、實(shí)體或進(jìn)程，或被其利用的特性。保密性不但包括信息內(nèi)容的保密，還包括信息狀態(tài)的保密。

3.2 完整性（Integrality）

完整性是指信息未經(jīng)授權(quán)不能進(jìn)行更改的特性。即信息在存儲(chǔ)或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機(jī)密性不同，機(jī)密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權(quán)實(shí)體訪問并按需求使用的特性。在授權(quán)用戶或?qū)嶓w需要信息服務(wù)時(shí)，信息服務(wù)應(yīng)該可以使用，或者是信息系統(tǒng)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)。易用性一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來(lái)度量。

4 構(gòu)建網(wǎng)絡(luò)信息化安全管理體系

在面向網(wǎng)絡(luò)信息的安全系統(tǒng)中，安全管理是應(yīng)得到高度重視的。這是因?yàn)?，?jù)相關(guān)部門統(tǒng)計(jì)，在所有的計(jì)算機(jī)安全事件中，約有52％是人為因素造成的，25％是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯(cuò)誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡(jiǎn)單歸類，屬于管理方面的原因比重高達(dá)70％以上，這正應(yīng)了人們常說(shuō)的“三分技術(shù)，七分管理”的箋言。因此，解決網(wǎng)絡(luò)與信息安全問題，不僅應(yīng)從技術(shù)方面著手，更應(yīng)加強(qiáng)網(wǎng)絡(luò)住所的管理工作。

好的網(wǎng)絡(luò)信息化安全管理體現(xiàn)在以下幾個(gè)方面：在組織內(nèi)部建立全面的信息安全管理體系，強(qiáng)調(diào)信息安全是一個(gè)管理過程，而非技術(shù)過程；強(qiáng)調(diào)信息保密性、完整性、易用性三者在關(guān)鍵流程中運(yùn)用的平衡；把信息提高到組織資產(chǎn)的高度，強(qiáng)調(diào)對(duì)組織信息資產(chǎn)進(jìn)行價(jià)值及影響評(píng)估，對(duì)信息資產(chǎn)的脆弱性及其面臨的威脅進(jìn)行分析，運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理手段管理信息安全，使組織風(fēng)險(xiǎn)降低到可接受的水平；從法律和最好的實(shí)踐經(jīng)驗(yàn)角度，實(shí)施全面的控制措施，使組織信息安全威脅的方方面面置于嚴(yán)密控制之下；強(qiáng)調(diào)領(lǐng)導(dǎo)在信息安全管理中的作用；強(qiáng)調(diào)信息安全方針在管理體系中的作用；強(qiáng)調(diào)對(duì)信息技術(shù)及工具的實(shí)時(shí)和有效管理；強(qiáng)調(diào)組織運(yùn)作的連續(xù)性及業(yè)務(wù)連續(xù)性的管理；強(qiáng)調(diào)信息安全管理水平的不斷提高及對(duì)流程的策劃、實(shí)施、檢查和改進(jìn)的過程；信息安全應(yīng)該是一個(gè)以“價(jià)值”為基礎(chǔ)的過程，即信息安全管理應(yīng)是一個(gè)有附加價(jià)值，并講究投入產(chǎn)出比的過程。

5 關(guān)注信息化安全服務(wù)的綜合性、高技術(shù)性和對(duì)策性特點(diǎn)

信息安全產(chǎn)業(yè)有其鮮明的特點(diǎn)，雖然產(chǎn)生于信息化和信息系統(tǒng)，依然與通常的IT服務(wù)有許多區(qū)別。信息化安全的基本特征是服務(wù)性的。這種服務(wù)性與一般軟件的服務(wù)性是不同的。一般應(yīng)用系統(tǒng)或產(chǎn)品的服務(wù)主要是維護(hù)和培訓(xùn)，通常服務(wù)是非對(duì)策性的、非動(dòng)態(tài)的和比較固定的。信息化安全服務(wù)是對(duì)策性的、動(dòng)態(tài)性的、不斷產(chǎn)生新內(nèi)容的和似乎永遠(yuǎn)不能成熟等特性。信息化安全服務(wù)范疇?zhēng)缀醢苏麄€(gè)信息化所包括的所有產(chǎn)品和系統(tǒng)，其服務(wù)的綜合性和復(fù)雜性是顯而易見的。信息化安全服務(wù)是最高技術(shù)的服務(wù)，無(wú)論從設(shè)計(jì)角度和使用的角度都要求深入、熟練和非常專業(yè)。我們可以驕傲地說(shuō)，信息化安全服務(wù)是世界上最偉大的服務(wù)業(yè)，也是最困難的服務(wù)業(yè)。信息化安全服務(wù)的復(fù)雜性、高成本特性要求信息化安全企業(yè)必須在安全服務(wù)的遠(yuǎn)程化和化的推進(jìn)方面做出不懈努力，不斷降低服務(wù)成本。

6 結(jié)語(yǔ)

網(wǎng)絡(luò)信息安全不僅僅是一個(gè)純技術(shù)層面的問題，單靠技術(shù)因素不足以保證網(wǎng)絡(luò)中信息的安全。網(wǎng)絡(luò)信息安全還涉及到法律、管理、標(biāo)準(zhǔn)等多方面的問題。因此，信息安全是一個(gè)相當(dāng)復(fù)雜的問題，只有協(xié)調(diào)好這些體系之間的關(guān)系，才能有效保證系統(tǒng)的安全。

參考文獻(xiàn)

第3篇：信息資產(chǎn)的安全屬性范文

隨著信息化的不斷推進(jìn)，信息設(shè)備的使用也變得越來(lái)越廣泛，越來(lái)越多單位的主營(yíng)業(yè)務(wù)系統(tǒng)開始基于信息設(shè)備來(lái)構(gòu)建，鑒于此，信息設(shè)備及信息系統(tǒng)是否能持續(xù)穩(wěn)定的運(yùn)行以及承載在這些信息設(shè)備之上的數(shù)據(jù)是否安全成為關(guān)注的熱點(diǎn)問題。目前信息數(shù)據(jù)的主要載體便是各種類型的信息設(shè)備，所以對(duì)信息設(shè)備的信息安全防護(hù)即是對(duì)其包含的信息數(shù)據(jù)的安全防護(hù)。隨著信息設(shè)備所面臨的越來(lái)越嚴(yán)峻的信息安全威脅，如何做好信息設(shè)備的風(fēng)險(xiǎn)管理工作是一個(gè)值得深入探討的課題。

2信息設(shè)備風(fēng)險(xiǎn)管理

2.1信息設(shè)備的風(fēng)險(xiǎn)概述

參照信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范等標(biāo)準(zhǔn)來(lái)說(shuō)，信息設(shè)備信息安全風(fēng)險(xiǎn)包含三個(gè)要素，即脆弱性、威脅和資產(chǎn)，每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。信息設(shè)備所面臨的信息安全風(fēng)險(xiǎn)并非某種單一來(lái)源的安全威脅，而是三種要素互相影響、互相關(guān)聯(lián)的某種動(dòng)態(tài)的平衡關(guān)系，而信息設(shè)備的風(fēng)險(xiǎn)管理本質(zhì)上講是對(duì)這三種要素造成的安全風(fēng)險(xiǎn)程度的可控管理。

2.2信息設(shè)備全生命周期風(fēng)險(xiǎn)管理

信息設(shè)備全生命周期風(fēng)險(xiǎn)管理包括信息設(shè)備規(guī)劃設(shè)計(jì)階段、部署階段、測(cè)試階段、運(yùn)行階段和廢棄階段。規(guī)劃設(shè)計(jì)階段應(yīng)能夠描述信息系統(tǒng)建成后對(duì)現(xiàn)有模式的作用,包括技術(shù)、管理等方面,并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的目標(biāo)。這個(gè)階段,風(fēng)險(xiǎn)威脅應(yīng)根據(jù)未來(lái)系統(tǒng)的應(yīng)用對(duì)象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進(jìn)行分析。部署階段是根據(jù)規(guī)劃設(shè)計(jì)階段分析的威脅和制定的安全措施,在設(shè)備部署階段應(yīng)進(jìn)行質(zhì)量控制。測(cè)試階段是對(duì)已經(jīng)部署完成的信息設(shè)備結(jié)合前期規(guī)劃設(shè)計(jì)方案的要求對(duì)采購(gòu)來(lái)的信息設(shè)備進(jìn)行全面的測(cè)試，包括基礎(chǔ)測(cè)試、功能性測(cè)試及安全性測(cè)試等。運(yùn)行階段讓信息設(shè)備穩(wěn)定運(yùn)行并起到其應(yīng)有的功能。該階段應(yīng)做好設(shè)備監(jiān)控、脆弱性發(fā)現(xiàn)、設(shè)備異常報(bào)警、信息設(shè)備日志搜集和分析等工作。廢棄階段存在的風(fēng)險(xiǎn)包括未對(duì)殘留信息進(jìn)行適當(dāng)處理、未對(duì)系統(tǒng)組件進(jìn)行合理的丟棄或更換或未關(guān)閉相關(guān)連接，對(duì)于變更的系統(tǒng)，還可能存在新的信息安全風(fēng)險(xiǎn)，因?yàn)槠淇赡芴鎿Q了新的系統(tǒng)組件等。

2.3信息設(shè)備風(fēng)險(xiǎn)管理體系

傳統(tǒng)的信息安全管理體系主要依據(jù)ISO27001相關(guān)標(biāo)準(zhǔn)搭建,ISO27001標(biāo)準(zhǔn)采用基于風(fēng)險(xiǎn)評(píng)估的信息安全風(fēng)險(xiǎn)管理，具體采用了PDCA模型過程方法來(lái)全面、系統(tǒng)、持續(xù)的改進(jìn)組織的信息安全管理。ISO27001采用的PDCA模型不僅適用于傳統(tǒng)信息安全管理，同時(shí)也適用于信息設(shè)備的安全風(fēng)險(xiǎn)管理。

2.3.1總體思路

信息設(shè)備風(fēng)險(xiǎn)管理總體借鑒PDCA管理模型的相關(guān)理念，將信息安全設(shè)計(jì)方案制定、各階段的信息安全風(fēng)險(xiǎn)管理實(shí)施、各階段信息安全管理檢查、信息安全管理改進(jìn)，形成一套有效的安全風(fēng)險(xiǎn)管理防護(hù)方法，對(duì)信息設(shè)備進(jìn)行不同時(shí)間階段、不同維度、不同重點(diǎn)的管理，有效防范和控制信息安全風(fēng)險(xiǎn)，增強(qiáng)信息安全體系的檢測(cè)能力、保護(hù)能力，為用戶開展風(fēng)險(xiǎn)管理提供全方位的管理思路。

2.3.2風(fēng)險(xiǎn)管理模型

融合傳統(tǒng)風(fēng)險(xiǎn)管理的PDCA模型，將傳統(tǒng)風(fēng)險(xiǎn)管理中動(dòng)態(tài)模型的思路加以延續(xù)，增強(qiáng)信息設(shè)備狀態(tài)的動(dòng)態(tài)特性，主要分為四部分：管理規(guī)劃、管理實(shí)施、管理檢查、管理改進(jìn)。管理規(guī)劃：決策層要明確政策、目標(biāo)、策略、計(jì)劃，形成具體的管理規(guī)劃，明確組織風(fēng)險(xiǎn)管理的整體目標(biāo)和方向，確定對(duì)信息設(shè)備進(jìn)行風(fēng)險(xiǎn)管理所要達(dá)到的目的和狀態(tài)，從而防止后續(xù)制定的風(fēng)險(xiǎn)管理規(guī)范和組織與已有的戰(zhàn)略決策、制度、規(guī)范等相違背而導(dǎo)致不可執(zhí)行的問題。管理實(shí)施：管理層在深入領(lǐng)會(huì)和遵照管理規(guī)劃的指示后深入研究信息設(shè)備各階段所面臨的信息安全風(fēng)險(xiǎn)，對(duì)信息設(shè)備各環(huán)節(jié)制定詳細(xì)的風(fēng)險(xiǎn)管理實(shí)施規(guī)范和標(biāo)準(zhǔn)，以便具體的業(yè)務(wù)部門、人員等能嚴(yán)格按照管理規(guī)劃的計(jì)劃和要求來(lái)實(shí)施風(fēng)險(xiǎn)管理規(guī)范。管理檢查：管理檢查作為監(jiān)督信息風(fēng)險(xiǎn)管理實(shí)施效果的主要手段之一，需要確保管理檢查手段的全面性、科學(xué)性、客觀性，需要覆蓋各個(gè)管理階段，客觀而高效的評(píng)價(jià)風(fēng)險(xiǎn)管理實(shí)施效果。管理改進(jìn)：通過歸納總結(jié)前階段管理檢查的工作成果，結(jié)合信息設(shè)備各階段在實(shí)施信息風(fēng)險(xiǎn)管理中碰到的各類問題，從管理規(guī)劃、管理實(shí)施、管理檢查等各階段提出信息風(fēng)險(xiǎn)管理改進(jìn)意見，從而持續(xù)的改進(jìn)信息設(shè)備各階段的安全風(fēng)險(xiǎn)管理體系。

2.3.3風(fēng)險(xiǎn)管理體系的構(gòu)建

根據(jù)安全風(fēng)險(xiǎn)的特點(diǎn)、信息安全三個(gè)關(guān)鍵要素以及信息設(shè)備各階段的特點(diǎn)，我們應(yīng)明確安全風(fēng)險(xiǎn)的幾個(gè)控制手段，然后有計(jì)劃的加強(qiáng)整個(gè)信息設(shè)備安全風(fēng)險(xiǎn)管理體系的建設(shè)，才有可能最終有效控制信息安全設(shè)備風(fēng)險(xiǎn)。首先，根據(jù)企業(yè)所處的環(huán)境，全面準(zhǔn)確的評(píng)估安全風(fēng)險(xiǎn)，并根據(jù)安全風(fēng)險(xiǎn)的狀況結(jié)合系統(tǒng)、網(wǎng)絡(luò)層面的安全防御手段有效抵御各種威脅，最終主動(dòng)降低安全風(fēng)險(xiǎn)。要實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的管理和控制，需要實(shí)現(xiàn)完整的風(fēng)險(xiǎn)管理流程，具體為發(fā)現(xiàn)安全風(fēng)險(xiǎn)，即通過有效的手段確定安全風(fēng)險(xiǎn)的資產(chǎn)和區(qū)域、定位安全風(fēng)險(xiǎn)存在的區(qū)域、評(píng)估安全風(fēng)險(xiǎn)，準(zhǔn)確高效的評(píng)估安全風(fēng)險(xiǎn)，了解安全風(fēng)險(xiǎn)的大小和實(shí)質(zhì)、強(qiáng)制措施降低風(fēng)險(xiǎn)，通過管理或強(qiáng)制等安全手段，主動(dòng)降低安全風(fēng)險(xiǎn)、安全防御通過各類系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、防御各類安全威脅、安全問題修補(bǔ)，主動(dòng)修補(bǔ)存在的各類安全漏洞，全面降低安全風(fēng)險(xiǎn)。以上是完整的信息設(shè)備安全風(fēng)險(xiǎn)管理流程，對(duì)整個(gè)信息設(shè)備安全風(fēng)險(xiǎn)的管理和控制，這些步驟缺一不可，同時(shí)，風(fēng)險(xiǎn)管理流程還應(yīng)根據(jù)企業(yè)的具體情況，有不同的實(shí)現(xiàn)方式。其次，實(shí)現(xiàn)信息設(shè)備風(fēng)險(xiǎn)管理的詳細(xì)步驟包括：確定信息安全標(biāo)準(zhǔn)和方針、統(tǒng)計(jì)信息設(shè)備資產(chǎn)，進(jìn)行資產(chǎn)識(shí)別、檢測(cè)信息設(shè)備資產(chǎn)存在的安全漏洞、了解潛在的威脅、分析存在的安全風(fēng)險(xiǎn)、通過各種手段如安全防護(hù)產(chǎn)品來(lái)降低已有的安全風(fēng)險(xiǎn)、對(duì)信息設(shè)備評(píng)估安全效果和影響、對(duì)已有信息設(shè)備安全策略進(jìn)行對(duì)比及改進(jìn)。最后，實(shí)現(xiàn)完善的信息設(shè)備安全風(fēng)險(xiǎn)管理，還需要有計(jì)劃的完善自身的安全風(fēng)險(xiǎn)管理體系，制定相應(yīng)的整體安全策略。建立全面的資產(chǎn)管理和風(fēng)險(xiǎn)管理體系，整合現(xiàn)有的安全設(shè)備和手段，形成信息設(shè)備成熟完備的動(dòng)態(tài)安全風(fēng)險(xiǎn)管理體系。

3結(jié)束語(yǔ)

第4篇：信息資產(chǎn)的安全屬性范文

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個(gè)典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫(kù)、身份認(rèn)證平臺(tái)、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個(gè)龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護(hù)一個(gè)良好的信息安全管理體系是一項(xiàng)非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險(xiǎn)評(píng)估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過識(shí)別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評(píng)估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對(duì)組織造成的影響。對(duì)數(shù)字校園進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估有助于及時(shí)發(fā)現(xiàn)和解決存在的信息安全問題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個(gè)良好的信息安全管理體系奠定堅(jiān)實(shí)基礎(chǔ)。

二、評(píng)估標(biāo)準(zhǔn)

由于信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性作用，包括我國(guó)在內(nèi)的信息化程度較高的國(guó)家以及相關(guān)國(guó)際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001：2005）、美國(guó)NIST制定的SP800系列標(biāo)準(zhǔn)、美國(guó)CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國(guó)制定的《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式，作為一種全球性的信息安全管理國(guó)際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動(dòng)，同時(shí)也為評(píng)估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒有制定明確的信息安全風(fēng)險(xiǎn)評(píng)估流程，組織可以自行選擇適合自身特點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開展，我國(guó)于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007），這是我國(guó)自主研究和制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致，但對(duì)信息安全風(fēng)險(xiǎn)評(píng)估過程進(jìn)行了細(xì)化，使得更加適合我國(guó)企業(yè)或者組織的信息安全風(fēng)險(xiǎn)評(píng)估工作開展。

三、評(píng)估流程

《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）等標(biāo)準(zhǔn)為風(fēng)險(xiǎn)評(píng)估提供了方法論和流程，為風(fēng)險(xiǎn)評(píng)估各個(gè)階段的工作制定了規(guī)范，但標(biāo)準(zhǔn)沒有規(guī)定風(fēng)險(xiǎn)評(píng)估實(shí)施的具體模型和方法，由風(fēng)險(xiǎn)評(píng)估實(shí)施者根據(jù)業(yè)務(wù)特點(diǎn)和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點(diǎn)，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場(chǎng)景理論和通用弱點(diǎn)評(píng)價(jià)體系（CVSS）等風(fēng)險(xiǎn)評(píng)估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估首先在充分識(shí)別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)，然后根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算得出信息資產(chǎn)的風(fēng)險(xiǎn)值分布表。數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的詳細(xì)流程如下：

（1）資產(chǎn)識(shí)別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對(duì)數(shù)字校園的信息資產(chǎn)進(jìn)行識(shí)別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實(shí)際價(jià)格，更重要的是要考慮資產(chǎn)對(duì)組織的信息安全重要程度，即信息資產(chǎn)的機(jī)密性、完整性和可用性在受到損害后對(duì)組織造成的損害程度，預(yù)計(jì)損害程度越高則賦值越高。

在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級(jí)后，需要經(jīng)過綜合評(píng)定得出資產(chǎn)等級(jí)。綜合評(píng)定方法一般有兩種：一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個(gè)屬性確定資產(chǎn)等級(jí)；還有一種方法是對(duì)資產(chǎn)機(jī)密性、完整性和可用性三個(gè)賦值進(jìn)行加權(quán)計(jì)算，通常采用的加權(quán)計(jì)算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點(diǎn)確定。

設(shè)資產(chǎn)的機(jī)密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級(jí)值為，則

相加法的計(jì)算公式為v=f（x，y，z）=ax+by+cz，其中a+b+c=1（1）

（2）威脅識(shí)別：威脅分為實(shí)際威脅和潛在威脅，實(shí)際威脅識(shí)別需要通過訪談和專業(yè)檢測(cè)工具，并通過分析入侵檢測(cè)系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對(duì)實(shí)際發(fā)生的威脅進(jìn)行識(shí)別和分類。潛在威脅識(shí)別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計(jì)數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點(diǎn)對(duì)潛在可能發(fā)生的威脅進(jìn)行充分識(shí)別和分類。

（3）脆弱性識(shí)別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因?yàn)椴缓侠砘蛭凑_實(shí)施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測(cè)軟件進(jìn)行檢測(cè)，然后通過安裝補(bǔ)丁程序消除。而管理制度造成的隱患需要進(jìn)行充分識(shí)別，包括對(duì)已有的控制措施的有效性也一并識(shí)別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨(dú)對(duì)威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險(xiǎn)分析計(jì)算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場(chǎng)景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)。

（5）風(fēng)險(xiǎn)值計(jì)算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險(xiǎn)計(jì)算方法計(jì)算每個(gè)“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險(xiǎn)值，并最終得到整個(gè)數(shù)字校園的風(fēng)險(xiǎn)值分布表，并依據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則，確認(rèn)可接受和不可接受的風(fēng)險(xiǎn)。

四、評(píng)估實(shí)例

本文以筆者所在高職院校的數(shù)字校園作為研究對(duì)象實(shí)例，利用前面所述的信息安全風(fēng)險(xiǎn)評(píng)估流程對(duì)該實(shí)例對(duì)象進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

1.資產(chǎn)識(shí)別與評(píng)估

數(shù)字校園的資產(chǎn)識(shí)別與評(píng)估包括資產(chǎn)識(shí)別和資產(chǎn)價(jià)值計(jì)算。

（1）資產(chǎn)識(shí)別

信息安全風(fēng)險(xiǎn)評(píng)估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識(shí)別小組，小組通過現(xiàn)場(chǎng)清查、問卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個(gè)業(yè)務(wù)系統(tǒng)的工作流程，詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件（如服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫(kù)、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊(cè)、工作日志等）、人員和服務(wù)等。為了對(duì)資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理，識(shí)別小組對(duì)各個(gè)資產(chǎn)進(jìn)行了編碼，便于標(biāo)準(zhǔn)化和精確化管理。

（2）資產(chǎn)價(jià)值計(jì)算

獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后，資產(chǎn)識(shí)別小 組召開座談會(huì)確定每個(gè)信息資產(chǎn)的價(jià)值，即對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值，三性的賦值為1～5的整數(shù)，1代表對(duì)組織造成的影響或損失最低，5代表對(duì)組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點(diǎn)，采用相加法確定資產(chǎn)的價(jià)值。該數(shù)字校園的軟件類資產(chǎn)計(jì)算樣例表如下表1所示。

由于資產(chǎn)價(jià)值的計(jì)算結(jié)果為1～5之間的實(shí)數(shù)，為了與資產(chǎn)的機(jī)密性、完整性、可用性賦值相對(duì)應(yīng)，需要對(duì)資產(chǎn)價(jià)值的計(jì)算結(jié)果歸整，歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級(jí)結(jié)果如表1所示。

因?yàn)閿?shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點(diǎn)防范，不重要的可以不用考慮或者減少投入。在識(shí)別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點(diǎn)關(guān)注。不同的組織對(duì)關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同，本文將資產(chǎn)等級(jí)值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識(shí)別清單中予以注明，如表1所示。

2.威脅和脆弱性識(shí)別與評(píng)估

數(shù)字校園與其他計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時(shí)數(shù)字校園作為一種在校園內(nèi)部運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點(diǎn)。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過破壞資產(chǎn)的一個(gè)或多個(gè)安全屬性而產(chǎn)生信息安全風(fēng)險(xiǎn)，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅可能作用于多項(xiàng)資產(chǎn)。威脅的識(shí)別方法是在資產(chǎn)識(shí)別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點(diǎn)，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個(gè)方面對(duì)資產(chǎn)面臨的威脅進(jìn)行識(shí)別。在分析數(shù)字校園實(shí)際發(fā)生的網(wǎng)絡(luò)威脅時(shí)，需要檢查入侵檢測(cè)系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點(diǎn)。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署、運(yùn)維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對(duì)數(shù)字校園的資產(chǎn)造成損害，進(jìn)而對(duì)數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計(jì)缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識(shí)別主要采用問卷調(diào)查、工具檢測(cè)、人工檢查、文檔查閱、滲透性測(cè)試等方法。因?yàn)榇蟛糠旨夹g(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測(cè)工具檢測(cè)脆弱性，可以獲得較高的檢測(cè)效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對(duì)數(shù)字校園進(jìn)行技術(shù)脆弱性識(shí)別和評(píng)估。

管理脆弱性識(shí)別的主要內(nèi)容就是對(duì)數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識(shí)別與確認(rèn)，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無(wú)效的安全控制措施會(huì)提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實(shí)施、運(yùn)行和維護(hù)等過程同步建設(shè)與完善，具有較強(qiáng)的針對(duì)性，識(shí)別比較容易。管理和操作控制措施識(shí)別需要對(duì)照ISO27001標(biāo)準(zhǔn)的《信息安全實(shí)用規(guī)則指南》或NIST的《最佳安全實(shí)踐相關(guān)手冊(cè)》制訂的表格進(jìn)行，避免遺漏。

3.風(fēng)險(xiǎn)計(jì)算

完成數(shù)字校園的資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有控制措施識(shí)別任務(wù)后，進(jìn)入風(fēng)險(xiǎn)計(jì)算階段。

對(duì)于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場(chǎng)景”方法進(jìn)行風(fēng)險(xiǎn)分析。“構(gòu)建威脅場(chǎng)景”方法基于“具體問題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評(píng)價(jià)威脅導(dǎo)致風(fēng)險(xiǎn)計(jì)算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求進(jìn)行風(fēng)險(xiǎn)計(jì)算。為了便于計(jì)算，需要將前面各個(gè)階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因?yàn)樵趯?duì)脆弱性賦值的時(shí)候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

本文采用的風(fēng)險(xiǎn)計(jì)算方法為《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中推薦的矩陣法，風(fēng)險(xiǎn)值計(jì)算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險(xiǎn)計(jì)算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計(jì)算安全事件可能性值；

（b）對(duì)照《安全事件可能性等級(jí)劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級(jí)值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計(jì)算安全事件損失值；

（d）對(duì)照《安全事件損失等級(jí)劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級(jí)值；

（e）根據(jù)安全事件可能性等級(jí)值和安全事件損失等級(jí)值，查詢《風(fēng)險(xiǎn)矩陣》計(jì)算安全事件風(fēng)險(xiǎn)值；

（f）對(duì)照《風(fēng)險(xiǎn)等級(jí)劃分矩陣》將安全事件風(fēng)險(xiǎn)值轉(zhuǎn)換為安全事件風(fēng)險(xiǎn)等級(jí)值。

所有等級(jí)值均采用五級(jí)制，1級(jí)最低，5級(jí)最高。

五、結(jié)束語(yǔ)

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險(xiǎn)評(píng)估是保證數(shù)字校園安全穩(wěn)定的一項(xiàng)基礎(chǔ)性工作。本文的信息安全風(fēng)險(xiǎn)評(píng)估方法依據(jù)國(guó)家標(biāo)準(zhǔn)，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險(xiǎn)評(píng)估的有效性和科學(xué)性，使得風(fēng)險(xiǎn)評(píng)估結(jié)果能對(duì)后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

參考文獻(xiàn)：

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國(guó)教育信息化，2010（4）.

第5篇：信息資產(chǎn)的安全屬性范文

隨著科學(xué)技術(shù)的不斷提高，人們應(yīng)用科學(xué)技術(shù)的水平和應(yīng)用的領(lǐng)域也在不斷的擴(kuò)展，尤其是網(wǎng)絡(luò)技術(shù)的應(yīng)用是最為廣泛的，在企業(yè)的會(huì)計(jì)報(bào)告模式中的應(yīng)用為企業(yè)打來(lái)了很多的便利，比如工作軟件的使用等，為企業(yè)的數(shù)據(jù)的集中采集和處理都帶去了很大的便利，這也是網(wǎng)絡(luò)技術(shù)在會(huì)計(jì)報(bào)告模式中的應(yīng)用，但是在應(yīng)用于會(huì)計(jì)報(bào)告模式的同時(shí)還會(huì)有一些挑戰(zhàn)需要企業(yè)去解決，比如對(duì)企業(yè)會(huì)計(jì)計(jì)量方式的選擇等，因此，網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)報(bào)告模式在應(yīng)用的同時(shí)也需要進(jìn)行一定的改革。

二、網(wǎng)絡(luò)模式下的會(huì)計(jì)報(bào)告模式遇到的挑戰(zhàn)

1.會(huì)計(jì)報(bào)告中計(jì)量方式的忽視

會(huì)計(jì)報(bào)告模式需要考慮的問題就是要采用什么樣的屬性來(lái)進(jìn)行核算，其中有歷史成本和現(xiàn)值這兩種的計(jì)量屬性。歷史成本就是對(duì)過去獲取資產(chǎn)時(shí)采用的價(jià)值進(jìn)行核算，而現(xiàn)值就是對(duì)資產(chǎn)未來(lái)的價(jià)值核算。

而很多的企業(yè)使用的是歷史成本的屬性來(lái)進(jìn)行核算，卻很少使用現(xiàn)值的計(jì)量屬性，而歷史成本的核算屬性主要是對(duì)企業(yè)過去的資產(chǎn)進(jìn)行一定的核算，只能反應(yīng)過去企業(yè)的資產(chǎn)價(jià)值，而無(wú)法估計(jì)未來(lái)的資產(chǎn)價(jià)值，而現(xiàn)值的計(jì)量屬性就是對(duì)企業(yè)未來(lái)的價(jià)值進(jìn)行一定的評(píng)估，這樣的計(jì)量屬性對(duì)企業(yè)未來(lái)的發(fā)展能有一定的預(yù)測(cè)功能，而企業(yè)的發(fā)展靠的不僅是過去的資產(chǎn)價(jià)值，還有未來(lái)的資產(chǎn)價(jià)值評(píng)估，而很多的企業(yè)都不會(huì)注意到使用現(xiàn)值的計(jì)量方式，忽視會(huì)計(jì)報(bào)告中計(jì)量方式的改革。這就使得企業(yè)的會(huì)計(jì)報(bào)告可能會(huì)有些片面，沒有一定的前景展望，進(jìn)而對(duì)企業(yè)的發(fā)展有一定的影響。

2.不會(huì)利用多種網(wǎng)絡(luò)技術(shù)進(jìn)行一定的企業(yè)未來(lái)規(guī)劃

現(xiàn)今的企業(yè)的會(huì)計(jì)報(bào)告之中，所做的就是對(duì)過去資產(chǎn)的核算與評(píng)估，利用的網(wǎng)絡(luò)技術(shù)只是簡(jiǎn)單的辦公軟件，簡(jiǎn)單的表格圖表，而對(duì)企業(yè)未來(lái)的價(jià)值聘雇沒有一定有力可靠的評(píng)估，這就使得企業(yè)的未來(lái)價(jià)值不明確。進(jìn)而影響企業(yè)的未來(lái)發(fā)展。

在企業(yè)耳釘發(fā)展之中只有對(duì)企業(yè)未來(lái)的價(jià)值有一個(gè)很好的評(píng)估才能夠長(zhǎng)久地發(fā)展下去。而在現(xiàn)代的科技社會(huì)中，如果不能運(yùn)用多種的網(wǎng)絡(luò)技術(shù)進(jìn)行會(huì)計(jì)報(bào)告模式的提升，對(duì)企業(yè)的價(jià)值進(jìn)行一定的評(píng)估那就可能就會(huì)被社會(huì)淘汰，這是個(gè)快速發(fā)展的社會(huì)也是個(gè)優(yōu)勝劣汰的社會(huì)，因此在如今的社會(huì)中，使用多種網(wǎng)絡(luò)技術(shù)進(jìn)行企業(yè)價(jià)值評(píng)估，未來(lái)的規(guī)劃是一個(gè)大的挑戰(zhàn)。

三、企業(yè)在網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)報(bào)告模式中應(yīng)對(duì)挑戰(zhàn)的對(duì)策

會(huì)計(jì)報(bào)告模式的計(jì)量方式方面要采用現(xiàn)值的計(jì)量核算方式，結(jié)合歷史成本的計(jì)量方式，在總結(jié)計(jì)量企業(yè)過去的資產(chǎn)價(jià)值的同時(shí)對(duì)未來(lái)的價(jià)值進(jìn)行一定的估計(jì)，對(duì)企業(yè)未來(lái)的發(fā)展有一定的規(guī)劃。

加強(qiáng)與客戶的交流。在以往的會(huì)計(jì)報(bào)告中，客戶基本與企業(yè)沒有什么交流，這樣客戶的要求企業(yè)不會(huì)知道，而企業(yè)的會(huì)計(jì)報(bào)告的生成過程之中出現(xiàn)的問題等等客戶也不會(huì)知道，這就使得雙方?jīng)]有互動(dòng)性，而我們應(yīng)該在會(huì)計(jì)報(bào)告中采用人機(jī)對(duì)話，使得財(cái)務(wù)信息的獲取過程具有交互性，滿足了用戶多樣化和個(gè)性化的需求，這樣的方式可以使得客戶和企業(yè)有一定的交流，進(jìn)而有所反饋，將客戶的意見反饋給企業(yè)，進(jìn)而對(duì)企業(yè)的寬口徑報(bào)告的生成有一定的幫助，而客戶也會(huì)對(duì)企業(yè)的會(huì)計(jì)報(bào)告的生成有一定的了解，進(jìn)而可以達(dá)成客戶與企業(yè)互利雙贏的局面。

上述的方法能夠有效的迎接網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)報(bào)告模式遇到的挑戰(zhàn)，進(jìn)而為企業(yè)的發(fā)展帶來(lái)美好的愿景。

四、網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)報(bào)告模式的優(yōu)點(diǎn)

會(huì)計(jì)數(shù)據(jù)生成快速，信息集中而且能夠得到安全的保存。在會(huì)計(jì)報(bào)告的生成過程中，使用一定的辦公軟件而已將多而雜的數(shù)據(jù)集中起來(lái)，列表畫圖，這為數(shù)據(jù)的集中提供了很大的便利。會(huì)計(jì)報(bào)告中肯定有很多的數(shù)據(jù)，有的還對(duì)數(shù)據(jù)進(jìn)行一定的分析，那么如果人工對(duì)數(shù)據(jù)的記錄與分析就很容易出錯(cuò)，而且有的錯(cuò)誤修改起來(lái)十分地麻煩，而運(yùn)用一定的網(wǎng)絡(luò)技術(shù)就可以將數(shù)據(jù)重復(fù)的利用，很好的保存下來(lái)，方便員工對(duì)數(shù)據(jù)吉祥鳥記錄和處理，做出圖表進(jìn)行分析，而且還能為可能會(huì)發(fā)生的錯(cuò)誤提供解決的基礎(chǔ)，大大方便了會(huì)計(jì)報(bào)告的生成，也能使得會(huì)計(jì)數(shù)據(jù)很安全的保存下來(lái)，為后續(xù)的工作提供便利。這樣做不僅可以提高工作的效率，還能提高較高的準(zhǔn)確率。

第6篇：信息資產(chǎn)的安全屬性范文

關(guān)鍵詞：大數(shù)據(jù)時(shí)代；電氣工程；大數(shù)據(jù)技術(shù)；應(yīng)用情況

當(dāng)下，國(guó)家電網(wǎng)等相關(guān)公司都進(jìn)一步加強(qiáng)了對(duì)于大數(shù)據(jù)技術(shù)等方面的重視。早在2013年，相關(guān)單位就建立了大數(shù)據(jù)技術(shù)方面的團(tuán)隊(duì)。逐漸加強(qiáng)了團(tuán)隊(duì)之間的合作，包括國(guó)內(nèi)的各種研究機(jī)構(gòu)等，也都實(shí)行了廣泛的交流，并且對(duì)技術(shù)做了跟蹤研究，這樣就需要對(duì)配電網(wǎng)絡(luò)的情況，進(jìn)行進(jìn)一步的監(jiān)測(cè)和相應(yīng)的分析，有效提升電力與氣象等方面的應(yīng)用，并通過智能電網(wǎng)來(lái)對(duì)智慧城市的發(fā)展做支撐。通過使用計(jì)算機(jī)云計(jì)算技術(shù)，也就是計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的結(jié)合，從而充分發(fā)揮出相應(yīng)的優(yōu)勢(shì)，逐漸地構(gòu)成了新型的信息化計(jì)算方式，目前其能夠廣泛應(yīng)用于市場(chǎng)主要有以下幾個(gè)優(yōu)勢(shì)：可靠性高、使用靈活、延展性高等。

1云計(jì)算的基本概述

云計(jì)算（cloudcomputing）屬于網(wǎng)狀式的分布性計(jì)算法的一種，主要借助網(wǎng)絡(luò)云端將大量數(shù)據(jù)穿入，利用計(jì)算公式和程序?qū)ζ浞纸馐崂?，隨之借助多部服務(wù)器系統(tǒng)傳達(dá)并處理小程序?qū)⒔Y(jié)果反饋給使用人員?；ヂ?lián)網(wǎng)計(jì)算方式的建立綜合了軟件、硬件的信息資源，加大各個(gè)電器工程對(duì)于信息化技術(shù)的使用力度。使用過程中不斷提升系統(tǒng)更新頻率，這對(duì)目前諸多三甲醫(yī)院客戶所使用的計(jì)算機(jī)云計(jì)算系統(tǒng)而言更能穩(wěn)定治療安全性，且用戶使用時(shí)可隨時(shí)共享信息至終端設(shè)備，不用詳細(xì)了解其構(gòu)成知識(shí)且操作便捷。

2大數(shù)據(jù)技術(shù)應(yīng)用于電氣工程的意義

近幾年，互聯(lián)網(wǎng)和物聯(lián)網(wǎng)都得到了越來(lái)越廣泛的應(yīng)用，特別是在建設(shè)電氣工程時(shí)，應(yīng)用大數(shù)據(jù)技術(shù)的優(yōu)勢(shì)就是能夠更加及時(shí)、準(zhǔn)確地獲得相關(guān)的信息資料。由于很多行業(yè)在工作中介入了云計(jì)算工作模式獲得了較高的收益，因此已經(jīng)成為很多人的重點(diǎn)研究方向，望其能夠在各個(gè)行業(yè)中得到成熟運(yùn)用。尤其在電力行業(yè)，不僅能加強(qiáng)業(yè)務(wù)能力以使信息化建設(shè)進(jìn)程加快，而且可不斷完善管理水平，讓電力管理機(jī)構(gòu)管理水準(zhǔn)更進(jìn)一步，贏得經(jīng)濟(jì)收益、口碑、管理效益。另外，大數(shù)據(jù)的相關(guān)技術(shù)也有著速度快、時(shí)效高的特點(diǎn)，例如在進(jìn)行搜索信息的時(shí)候，通常需要有幾分鐘之后，才能夠查詢到用戶的相關(guān)信息，而應(yīng)用個(gè)性化的推薦算法，能夠盡量的滿足相關(guān)的要求，實(shí)現(xiàn)實(shí)時(shí)推薦，這也與電氣工程的建設(shè)和發(fā)展的要求相符合。另外，需要支出單是大數(shù)據(jù)中的相關(guān)數(shù)據(jù)，需要做到在線易得，尤其是基于互聯(lián)網(wǎng)高速發(fā)展的背景下。例如，在建立電氣工程時(shí)，因?yàn)橄嚓P(guān)的信息需求比較大，還需要做到及時(shí)準(zhǔn)確等，因此對(duì)于工程項(xiàng)目的數(shù)據(jù)建設(shè)來(lái)說(shuō)，一定要和相關(guān)的數(shù)據(jù)同時(shí)在線，這樣能夠更好地實(shí)現(xiàn)數(shù)據(jù)的共享與應(yīng)用。

3大數(shù)據(jù)技術(shù)在應(yīng)用時(shí)存在的問題

目前，在進(jìn)行大數(shù)據(jù)的應(yīng)用的時(shí)候，還存在著部分問題，所以亟待完善。主要的問題就是在大數(shù)據(jù)應(yīng)用方面的資金投入比較少，而且相關(guān)的大數(shù)據(jù)技術(shù)方面的人才并不是特別多，這樣就阻礙了大數(shù)據(jù)整體的發(fā)展。將電氣工程線路中出現(xiàn)的過載管理作為主要的例子，其相應(yīng)的問題表現(xiàn)就包括有過多的配電線路，整體分布比較廣泛，而且相應(yīng)的變化比較快，具備負(fù)載特性差異。另外，在管理上具有較大難度，也存在著部分線路重過載的情況，特別是在夏、冬季節(jié)會(huì)對(duì)線路安全和可靠供電造成嚴(yán)重影響，如果沒有及時(shí)對(duì)線路重過載的情況進(jìn)行有效的分析，則沒有辦法實(shí)現(xiàn)配網(wǎng)工程立項(xiàng)，也不能提供相對(duì)精準(zhǔn)的參考。所以整體線路的工作情況都需要依賴工作人員自身的經(jīng)驗(yàn)，這樣就不能做到信息的精準(zhǔn)和預(yù)控。另外，雖然應(yīng)用了大數(shù)據(jù)進(jìn)行信息數(shù)據(jù)處理，但是存在著安全隱私方面的問題，其中比較突出的就是對(duì)于個(gè)人的行蹤進(jìn)行鎖定，不能夠很好保障人身安全。因此，針對(duì)大數(shù)據(jù)中存在的安全方面的問題一定要加強(qiáng)重視。

4大數(shù)據(jù)技術(shù)在電氣工程中的應(yīng)用措施

4.1做好大數(shù)據(jù)技術(shù)應(yīng)用于電網(wǎng)調(diào)度。為了能夠更好的實(shí)現(xiàn)電氣工程的整體的調(diào)度工作，其最主要的目的就是能夠進(jìn)行電網(wǎng)的調(diào)度，與此同時(shí)，還要做好整個(gè)電氣自動(dòng)化系統(tǒng)的調(diào)控。另外，在施行系統(tǒng)的自動(dòng)化設(shè)計(jì)方面，其主要的目的就是能夠?qū)﹄娋W(wǎng)在運(yùn)行的時(shí)候?qū)嵤┙?jīng)濟(jì)上的調(diào)度，同樣的還要能夠使電網(wǎng)更加穩(wěn)定的運(yùn)行。還有就是對(duì)于電力生產(chǎn)中產(chǎn)生的數(shù)據(jù)能夠進(jìn)行分析，并且針對(duì)整個(gè)系統(tǒng)中的負(fù)荷情況進(jìn)行自動(dòng)的預(yù)測(cè)。之后就是針對(duì)顯示出的部分?jǐn)?shù)據(jù)，充分的排查系統(tǒng)中存在的故障點(diǎn)，避免時(shí)間與監(jiān)理的浪費(fèi)。4.2建立配網(wǎng)資產(chǎn)管理的大數(shù)據(jù)平臺(tái)。因?yàn)榕渚W(wǎng)所具備的屬性與種類比較多，因此，針對(duì)不同屬性的配網(wǎng)工作，一定要保證能夠做好資產(chǎn)管理工作，主要是因?yàn)樗軌驅(qū)崿F(xiàn)配網(wǎng)的自動(dòng)、經(jīng)濟(jì)與穩(wěn)定，這些都是保證配網(wǎng)能夠正常、安全運(yùn)行的一項(xiàng)非常重要的基礎(chǔ)。另外，針對(duì)也要積極的堆現(xiàn)代的計(jì)算機(jī)技術(shù)進(jìn)行應(yīng)用，還要積極的建立配網(wǎng)資產(chǎn)管理的大數(shù)據(jù)平臺(tái)。這樣才能夠基于資產(chǎn)管理的整體的數(shù)據(jù)平臺(tái)，來(lái)進(jìn)行資產(chǎn)的存量和增量。提升相應(yīng)情況的一致性和真實(shí)性，另外，在這個(gè)平臺(tái)上也要能夠?qū)⑴潆娋W(wǎng)的每個(gè)設(shè)備充分的體現(xiàn)出來(lái)，包括相關(guān)的要素，而針對(duì)不同屬性的微觀狀況的差異，也需要對(duì)整個(gè)配電網(wǎng)相應(yīng)的能力來(lái)進(jìn)行衡量。其中主要就是經(jīng)濟(jì)的狀態(tài)，其功率與符合的情況，是否處于安全水平，相應(yīng)的承載能力情況，有沒有發(fā)生故障的可能，以及使用壽命。4.3做好配網(wǎng)資產(chǎn)平臺(tái)中的各種類型傳感器的連接。在應(yīng)用配網(wǎng)的比較關(guān)鍵的節(jié)點(diǎn)的時(shí)候，一定要配置好各種傳感器和操作器。與此同時(shí)，還要積極的采集配網(wǎng)資產(chǎn)所具備的各項(xiàng)傳輸?shù)哪芰壳闆r，以及各種參數(shù)情況，這樣才能夠保證配網(wǎng)資產(chǎn)實(shí)體的結(jié)合，也能夠形成比較完善的參數(shù)體系。而針對(duì)傳感器中采集與應(yīng)用到的相關(guān)數(shù)據(jù)，需要保證相關(guān)的操作器的相關(guān)數(shù)據(jù)可以實(shí)現(xiàn)永久的保存，保證資產(chǎn)屬性能夠更加的完善，并保證其可以和電氣的參數(shù)歷史實(shí)現(xiàn)完美的統(tǒng)一，也能夠更加充分的清楚配網(wǎng)的狀態(tài)，再根據(jù)歷史數(shù)據(jù)進(jìn)行評(píng)價(jià)。對(duì)于各類決策和設(shè)計(jì)的正確性進(jìn)行隨時(shí)的檢驗(yàn)，這樣能夠提升預(yù)測(cè)依據(jù)的準(zhǔn)確性。另外，需要做到的就是對(duì)實(shí)現(xiàn)配網(wǎng)的整個(gè)資產(chǎn)屬性以及電氣的數(shù)據(jù)情況實(shí)行分析，保證可以實(shí)現(xiàn)整個(gè)項(xiàng)目的安全，節(jié)約成本，增長(zhǎng)使用壽命，并進(jìn)行統(tǒng)一的優(yōu)化，保證做好配網(wǎng)擴(kuò)張以及配網(wǎng)組合的工作。4.4根據(jù)配網(wǎng)的資產(chǎn)是否完整來(lái)做好配網(wǎng)的準(zhǔn)確擴(kuò)張。目前，在進(jìn)行配網(wǎng)資產(chǎn)的統(tǒng)計(jì)方面，存在著比較多的用戶數(shù)量，所以在添加配網(wǎng)資產(chǎn)的時(shí)候，需要預(yù)先做好的工作就是進(jìn)行相關(guān)的設(shè)計(jì)，這樣才能夠?qū)崿F(xiàn)配網(wǎng)資產(chǎn)管理平臺(tái)工作順利進(jìn)行。并且在對(duì)相應(yīng)的數(shù)據(jù)做好調(diào)整和完善，再進(jìn)行相關(guān)的預(yù)測(cè)和設(shè)計(jì)。而且在進(jìn)行配網(wǎng)資產(chǎn)的平臺(tái)上，也需要保證對(duì)整個(gè)配網(wǎng)進(jìn)行更加完整的設(shè)計(jì)，還要做好評(píng)估和檢驗(yàn)工作，與此同時(shí)，需要保證其能夠滿足其在電參數(shù)和配網(wǎng)的承載的工作。進(jìn)一步提升整個(gè)配網(wǎng)的合理性。而通常在進(jìn)行配網(wǎng)連接的時(shí)候，都需要進(jìn)行合理的操作和保護(hù)，這樣才能夠進(jìn)一步滿足預(yù)期的效果。

5結(jié)語(yǔ)

綜上所述，隨著電氣工程的不斷發(fā)展，進(jìn)一步加快了我國(guó)社會(huì)主義建設(shè)與發(fā)展的腳步。目前大數(shù)據(jù)技術(shù)應(yīng)用于電氣工程面臨著全新的機(jī)遇，當(dāng)然也存在著許多的挑戰(zhàn)和困難，因此，需要加強(qiáng)對(duì)系統(tǒng)的規(guī)劃。在處理大數(shù)據(jù)時(shí)，常常會(huì)應(yīng)用云計(jì)算，這存在安全隱私方面的問題。所以需要進(jìn)一步提升云計(jì)算的安全性，并將其應(yīng)用在電氣工程中，這樣才可以更好地實(shí)現(xiàn)電氣工程建設(shè)事業(yè)的可持續(xù)發(fā)展。

參考文獻(xiàn)：

[1]陸汝華,李亞蘭,文波,等.教育大數(shù)據(jù)中大學(xué)生幸福感影響因素的提取模型[J].電腦與信息技術(shù),2020,28(3):57-59.

[2]付現(xiàn)立.基于大數(shù)據(jù)技術(shù)的鐵路安全管理研究[J].建筑工程技術(shù)與設(shè)計(jì),2018,(21):1620.

[3]熊同強(qiáng).電氣火災(zāi)預(yù)報(bào)系統(tǒng)大數(shù)據(jù)處理與應(yīng)用淺析[J].當(dāng)代教育實(shí)踐與教學(xué)研究（電子刊）,2017,(7):513.

[4]汪威為,陳超洋.智能電網(wǎng)背景下的大數(shù)據(jù)處理與短期負(fù)荷預(yù)測(cè)綜述[J].無(wú)線互聯(lián)科技,2019,16(5):3-5.

[5]王逸飛,張行,何迪,等.基于大數(shù)據(jù)平臺(tái)的電網(wǎng)防災(zāi)調(diào)度系統(tǒng)功能設(shè)計(jì)與系統(tǒng)架構(gòu)[J].電網(wǎng)技術(shù),2016,40(10):3213-3219.

[6]魏利峰,紀(jì)建偉,王曉斌.云環(huán)境中web信息抓取技術(shù)的研究及應(yīng)用[J].電子設(shè)計(jì)工程,2016,24(4):29-31.

第7篇：信息資產(chǎn)的安全屬性范文

Abstract： Relay protection equipment management is the core business of relay protection maintenance work. We establish module of relaying protection equipment account information management， of relaying protection service management， and of relaying protection defect management， and build improved equipment information model in relaying protection service， in order to gradually realize the whole life cycle of equipment asset management， optimize the relay protection maintenance， thus achieve the real meaning of relay protection state overhaul， realize the comprehensive， all-round， the whole process， the unity of the lean management.

關(guān)鍵詞： 生產(chǎn)管理系統(tǒng)；繼電保護(hù)；設(shè)備；檢修

Key words： production management system；relay protection；equipment；maintenance

中圖分類號(hào)：TM774 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-4311（2013）27-0196-02

0 引言

設(shè)備是資產(chǎn)管理的核心，隨著我國(guó)電網(wǎng)的飛速發(fā)展，電網(wǎng)設(shè)備的規(guī)模越來(lái)越大，數(shù)量大幅度增加，為適應(yīng)“集約化發(fā)展、精益化管理”的管理要求，需要在原來(lái)的資產(chǎn)管理模式中引入新的理念，運(yùn)用新的技術(shù)。

繼電保護(hù)設(shè)備臺(tái)賬信息是指繼電保護(hù)裝置自身的固有信息及檢修信息，包含日常檢修工作中所涉及的各種技術(shù)參數(shù)及檢修統(tǒng)計(jì)數(shù)據(jù)，它們具有類型多、量大、面廣等特點(diǎn)。目前，繼電保護(hù)設(shè)備臺(tái)賬信息管理都是整合設(shè)備信息、檢修記錄、缺陷信息等信息，及時(shí)將臺(tái)帳信息錄入生產(chǎn)管理系統(tǒng)實(shí)現(xiàn)臺(tái)帳管理信息化，為繼電保護(hù)檢修班組的設(shè)備運(yùn)行維護(hù)和專業(yè)管理決策提供有力的理論依據(jù)。

1 生產(chǎn)管理系統(tǒng)簡(jiǎn)介與管理范疇

冀北電力有限公司開發(fā)設(shè)計(jì)的生產(chǎn)管理系統(tǒng)主要應(yīng)用EAM系統(tǒng)，同時(shí)ERP作為EAM的輔助系統(tǒng)負(fù)責(zé)設(shè)備的投入及退役。EAM是英文Enterprise Asset Management的縮寫，即企業(yè)資產(chǎn)管理，是一種微機(jī)化的資產(chǎn)管理和維護(hù)系統(tǒng)。作為一個(gè)閉環(huán)管理系統(tǒng)，EAM可分為設(shè)備信息、缺陷管理、檢修計(jì)劃、校驗(yàn)報(bào)告等多模塊（如圖1）。它帶給企業(yè)的最大好處是科學(xué)地規(guī)范了設(shè)備的管理，讓單靠“人腦”的管理，轉(zhuǎn)化為高度集成可以資源共享的信息化管理。EAM的核心理念所在就是根據(jù)大量歷史信息和后期積累的數(shù)據(jù)信息，在統(tǒng)計(jì)和分析的基礎(chǔ)上對(duì)設(shè)備進(jìn)行管理。設(shè)備運(yùn)轉(zhuǎn)的時(shí)間越長(zhǎng)，數(shù)據(jù)越多，規(guī)律性的東西也就越多，提供的有效信息就越多，EAM系統(tǒng)就是利用設(shè)備資產(chǎn)的這些準(zhǔn)確數(shù)據(jù)，通過信息化手段，合理安排維修計(jì)劃及相關(guān)資源與活動(dòng)。

2 生產(chǎn)管理系統(tǒng)流程管理

生產(chǎn)管理系統(tǒng)中繼電保護(hù)數(shù)據(jù)信息分為靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)兩種。靜態(tài)數(shù)據(jù)是繼電保護(hù)設(shè)備自身的固有數(shù)據(jù)，如繼電保護(hù)裝置的生產(chǎn)廠家、出廠日期等信息。動(dòng)態(tài)數(shù)據(jù)指繼電保護(hù)檢修班組在生產(chǎn)工作過程中產(chǎn)生的有關(guān)繼電保護(hù)設(shè)備運(yùn)行情況的數(shù)據(jù)，如對(duì)繼電保護(hù)設(shè)備進(jìn)行檢修產(chǎn)生的檢修記錄，處理缺陷產(chǎn)生消缺記錄及對(duì)繼電保護(hù)裝置版本升級(jí)產(chǎn)生的新的版本等數(shù)據(jù)。這些數(shù)據(jù)反映了繼電保護(hù)設(shè)備的物理信息及檢修過程中動(dòng)態(tài)數(shù)據(jù)對(duì)物理數(shù)據(jù)的影響。

生產(chǎn)管理系統(tǒng)中的數(shù)據(jù)信息是依附設(shè)備屬性存在的，將缺陷管理流程、檢修管理流程、 校驗(yàn)報(bào)告、檢修計(jì)劃流程等與具體的繼電保護(hù)設(shè)備對(duì)應(yīng)，以繼電保護(hù)設(shè)備作為EAM體系的核心和基礎(chǔ)，隨時(shí)查詢靜態(tài)數(shù)據(jù)及動(dòng)態(tài)數(shù)據(jù)。

2.1 設(shè)備臺(tái)賬

2.1.1 設(shè)備分類 按照生產(chǎn)管理系統(tǒng)繼電保護(hù)設(shè)備功能位置分類，逐級(jí)分為所屬局、設(shè)施大類、變電站、電壓等級(jí)、間隔、設(shè)備大類等功能位置。保護(hù)類型又分為安全自動(dòng)裝置、保護(hù)故障信息站、保護(hù)屏、保護(hù)通道設(shè)備、保護(hù)通訊接口裝置、保護(hù)信息管理機(jī)、保護(hù)裝置、輔助裝置、復(fù)合電壓閉鎖裝置、規(guī)約轉(zhuǎn)換器、繼電器、失靈啟動(dòng)及三相不一致裝置、收發(fā)訊機(jī)等。

單間隔設(shè)備放在該間隔下，與所對(duì)應(yīng)的一次設(shè)備并列。公共單元（如母線保護(hù)、故障錄波器等）及一個(gè)屏內(nèi)有兩個(gè)及以上間隔的保護(hù)設(shè)備放在命名為“空”的間隔下。

2.1.2 臺(tái)賬屬性 繼電保護(hù)設(shè)備臺(tái)賬分為保護(hù)屏、繼電保護(hù)裝置及安全自動(dòng)裝置臺(tái)賬。設(shè)備屬性是二次設(shè)備臺(tái)賬的基本組成部分，它反映了設(shè)備的基本信息。

繼電保護(hù)設(shè)備臺(tái)賬屬性分為公有屬性和私有屬性兩部分。公有屬性是包含資產(chǎn)名稱、調(diào)度編號(hào)、是否GIS、相別、電壓等級(jí)、規(guī)格型號(hào)、生產(chǎn)廠家、出廠序號(hào)、出廠日期、投運(yùn)日期、購(gòu)置價(jià)值、生產(chǎn)廠家性質(zhì)等設(shè)備的固有信息。私有屬性是包含保護(hù)功能、保護(hù)類別、調(diào)度歸屬、一次設(shè)備電壓等級(jí)、交流額定電流、交流額定電壓、直流額定電壓、定值單、保護(hù)版本、校驗(yàn)碼、程序形成時(shí)間及調(diào)度OMS信息等裝置的特殊信息。

2.2 檢修計(jì)劃

2.2.1 角色設(shè)置 檢修計(jì)劃管理模塊配置工區(qū)檢修計(jì)劃員和公司檢修計(jì)劃員。由工區(qū)檢修計(jì)劃員根據(jù)工作需要擬定計(jì)劃，再由公司檢修計(jì)劃員平衡、發(fā)放。檢修計(jì)劃分為月度檢修計(jì)劃和日停電計(jì)劃。

2.2.2 管理流程 工區(qū)檢修計(jì)劃員月末直接從系統(tǒng)中擬定下月停電檢修計(jì)劃，并上報(bào)給公司檢修計(jì)劃員。在“工區(qū)計(jì)劃員工作臺(tái)”完成每月計(jì)劃上報(bào)并經(jīng)公司計(jì)劃員完成月計(jì)劃后，還需要從“日停電申請(qǐng)”里將上報(bào)的日停電申請(qǐng)計(jì)劃再提交上報(bào)一次，方可自動(dòng)根據(jù)每月停電計(jì)劃自動(dòng)生成每日檢修計(jì)劃。

針對(duì)同一變電站內(nèi)不同的設(shè)備同時(shí)停電的情況，應(yīng)作為一個(gè)停電計(jì)劃進(jìn)行上報(bào)。公司檢修計(jì)劃員平衡、發(fā)放計(jì)劃，并確保在設(shè)備停電前一天從系統(tǒng)中完成批復(fù)操作。各班組工作負(fù)責(zé)人根據(jù)發(fā)放或者批復(fù)后的計(jì)劃及時(shí)從“部門檢修計(jì)劃”或者“日檢修計(jì)劃”創(chuàng)里建班組作業(yè)子工單，必須在本次檢修工作完成之前創(chuàng)建。

2.3 缺陷管理

2.3.1 角色設(shè)置 生產(chǎn)管理信息系統(tǒng)中，設(shè)置操作人員，分別為變電運(yùn)行人員、缺陷審核人員、缺陷審定人員、消缺安排人員及消缺人以不同用戶的身份設(shè)置相應(yīng)的權(quán)限。缺陷審核人一般為變電運(yùn)行主管，缺陷審定人一般為生技部門主管，消缺安排人一般為檢修部門主管主任或?qū)I(yè)技術(shù)主管。

2.3.2 設(shè)備選定 繼電保護(hù)專業(yè)缺陷一般選擇繼電保護(hù)裝置，如確認(rèn)無(wú)法選擇到保護(hù)裝置，則可選擇保護(hù)屏柜。若確認(rèn)為屏柜自身的缺陷，選擇該屏柜；若確認(rèn)繼電保護(hù)設(shè)備對(duì)應(yīng)的一次設(shè)備，則選擇一次設(shè)備。

設(shè)備資產(chǎn)發(fā)生的所有記錄均必須圍繞設(shè)備展開，因此在進(jìn)行缺陷填報(bào)選擇"資產(chǎn)名稱"時(shí)，應(yīng)選擇“XX設(shè)備”，不允許選擇“XX設(shè)備位置、一次設(shè)備、XX間隔”等。

2.3.3 流程管理 缺陷管理流程可分為兩種：一種為正常缺陷流程，一種為補(bǔ)錄缺陷流程。正常缺陷流程一般設(shè)置各6個(gè)環(huán)節(jié)：缺陷填報(bào)-缺陷審核-缺陷審定-消缺安排-消缺匯報(bào)-缺陷驗(yàn)收。補(bǔ)錄缺陷一般為危機(jī)缺陷發(fā)生在晚上或非工作日，缺陷審核人和審定人不在上班時(shí)間，無(wú)法使流程正常流轉(zhuǎn)，缺陷填報(bào)時(shí)在“是否補(bǔ)錄數(shù)據(jù)”字段中選擇“是”，然后提交給現(xiàn)場(chǎng)實(shí)際消缺人員（工作負(fù)責(zé)人），由消缺人員人進(jìn)行消缺匯報(bào)，并在匯報(bào)頁(yè)面?zhèn)渥谧⒚颉?/p>

缺陷填報(bào)時(shí)，將缺陷的現(xiàn)象、缺陷部位、發(fā)現(xiàn)人、發(fā)現(xiàn)時(shí)間、缺陷類型描述清楚。

缺陷審核環(huán)節(jié)必須嚴(yán)把審核關(guān)，確保缺陷填報(bào)數(shù)據(jù)準(zhǔn)確缺陷審核一旦提交，就無(wú)法退回。

在缺陷審定環(huán)節(jié)的審定意見一般應(yīng)為“請(qǐng)XX單位處理”，也可加上一些有助于消缺的意見。

在消缺安排環(huán)節(jié)的安排意見一般應(yīng)為“請(qǐng)相關(guān)負(fù)責(zé)人現(xiàn)場(chǎng)處理”（一般、嚴(yán)重缺陷）或“請(qǐng)相關(guān)負(fù)責(zé)人馬上到現(xiàn)場(chǎng)處理”（危急缺陷）。

在消缺匯報(bào)環(huán)節(jié)，填寫消缺時(shí)間、缺陷處理情況、故障部位及原因，若有遺留問題，在備注中說(shuō)明。如果處理的是一個(gè)危急缺陷，則應(yīng)由消缺匯報(bào)人員在“備注”欄里注明：此缺陷已報(bào)生技部審批，并由XX部門安排消缺。

在消缺驗(yàn)收環(huán)節(jié)驗(yàn)收意見欄里一般應(yīng)為“驗(yàn)收合格，可以投運(yùn)”，在“消缺結(jié)果”里選擇“已消缺”。

2.4 設(shè)備檢修 傳統(tǒng)的繼電保護(hù)設(shè)備檢修管理一般采用紙質(zhì)記賬的記錄方式，如果遺漏則無(wú)法記錄。生產(chǎn)管理系統(tǒng)基于ORACLE電子商務(wù)套件的質(zhì)量管理功能，通過定義收集計(jì)劃、收集要素來(lái)建立各類設(shè)備的檢修項(xiàng)目、可以在系統(tǒng)中按照設(shè)備的型號(hào)、校驗(yàn)項(xiàng)目靈活定義檢修流程，同時(shí)上傳檢修、試驗(yàn)結(jié)果，同時(shí)在設(shè)備OMS模塊記錄校驗(yàn)時(shí)間，進(jìn)而計(jì)算下次檢驗(yàn)的時(shí)間。

班組設(shè)備管理員應(yīng)在新建、改擴(kuò)建設(shè)備投運(yùn)，設(shè)備臺(tái)帳錄入系統(tǒng)前，完成資產(chǎn)活動(dòng)與設(shè)備臺(tái)帳的關(guān)聯(lián)，因大修或者技改重新錄入后的設(shè)備，應(yīng)由班組設(shè)備管理員重新進(jìn)行資產(chǎn)活動(dòng)關(guān)聯(lián)。

通過創(chuàng)建保護(hù)校驗(yàn)工單，現(xiàn)場(chǎng)填寫校驗(yàn)數(shù)據(jù)，回傳二次標(biāo)準(zhǔn)化作業(yè)報(bào)告，完成保護(hù)校驗(yàn)工單，完成二次標(biāo)準(zhǔn)化作業(yè)報(bào)告審批流程等環(huán)節(jié)將繼電保護(hù)檢修業(yè)務(wù)進(jìn)行了統(tǒng)一規(guī)范化管理。

3 結(jié)論

生產(chǎn)管理系統(tǒng)在繼電保護(hù)運(yùn)行管理中克服了當(dāng)前管理模式中的諸多弊端，并對(duì)各種信息進(jìn)行了合理配置，進(jìn)一步提高了繼電保護(hù)運(yùn)行、檢修及管理水平，保障了電網(wǎng)的安全穩(wěn)定運(yùn)行。生產(chǎn)管理系統(tǒng)在冀北電力公司全網(wǎng)的運(yùn)行經(jīng)驗(yàn)表明，該系統(tǒng)在設(shè)備運(yùn)行管理、檢修管理、缺陷管理及設(shè)備的全壽命管理中取得了預(yù)期效果，為電網(wǎng)實(shí)現(xiàn)精細(xì)化管理奠定了堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)：

[1]Q/GDW 683-2011，資產(chǎn)全壽命周期管理規(guī)范[S].

[2]Q/BEHV 35851-2009，數(shù)字化電網(wǎng)生產(chǎn)管理系統(tǒng)使用管理標(biāo)準(zhǔn)[S].

[3]許志華，蔡澤祥，劉德志，等.面向設(shè)備的二次系統(tǒng)設(shè)備管理系統(tǒng)[J].電力自動(dòng)化設(shè)備，2004，24（6）：34，36.

第8篇：信息資產(chǎn)的安全屬性范文

關(guān)鍵詞：財(cái)政信息；信息安全；身份認(rèn)證；數(shù)字證書

中圖分類號(hào)：TP311.52

財(cái)政業(yè)務(wù)系統(tǒng)多為涉及面廣、多個(gè)部門協(xié)作、關(guān)鍵業(yè)務(wù)操作多、處理數(shù)據(jù)多的特點(diǎn)，對(duì)應(yīng)用安全保障有很高的要求；現(xiàn)有應(yīng)用系統(tǒng)主要通過“用戶名+口令” 進(jìn)行用戶身份識(shí)別和訪問控制，安全級(jí)別較低；現(xiàn)有應(yīng)用系統(tǒng)各自的身份識(shí)別和訪問控制機(jī)制彼此獨(dú)立、重復(fù)設(shè)置、重復(fù)開發(fā)，增加了安全隱患，也增加了管理成本和用戶負(fù)擔(dān)；缺乏電子單據(jù)和數(shù)據(jù)數(shù)字簽名、時(shí)間戳、責(zé)任認(rèn)定等安全功能，業(yè)務(wù)無(wú)紙化無(wú)法推進(jìn)；整體上缺失統(tǒng)一的標(biāo)準(zhǔn)和技術(shù)手段，很難適應(yīng)財(cái)政信息化的發(fā)展。本文就財(cái)政信息系統(tǒng)特點(diǎn)及現(xiàn)狀，介紹和討論財(cái)政身份認(rèn)證與授權(quán)管理的解決方案與建設(shè)，達(dá)到保障財(cái)政業(yè)務(wù)安全應(yīng)用的目的。

1 信息安全簡(jiǎn)介

信息安全是研究在特定的應(yīng)用環(huán)境下，依據(jù)特定的安全策越，對(duì)信息及其系統(tǒng)實(shí)施防護(hù)、檢測(cè)和恢復(fù)的科學(xué)。

信息安全主要體現(xiàn)在以下三個(gè)方面：一是保密性。保密性是指確保信息資料，特別是重要的信息資料，不流失，不被非本部門人員非法盜用。二是完整性。所謂信息資料的完整性，是指信息資料不丟失、不少缺。三是可用性?？捎眯允侵府?dāng)需要某一信息資料時(shí)，可馬上拿得到。比如采取一定的措施，防止因某一資料員不在場(chǎng)或其它例外情況下，因?yàn)槟貌坏剿璧馁Y料而導(dǎo)致停工或錯(cuò)失商機(jī)等。

信息安全的四個(gè)要素如下圖：

圖1

信息系統(tǒng)組成包括人員、系統(tǒng)、資產(chǎn)（終端、數(shù)據(jù)等）、網(wǎng)絡(luò)、流程、其他設(shè)備等。通過對(duì)信息系統(tǒng)安全分析我們得知“人員”是最不穩(wěn)定因素，是最大的邊界?！百Y產(chǎn)”是最被關(guān)注的因素。其他因素都是以上兩個(gè)因素的間接受害者。

因此信息安全的重點(diǎn)就是管理好人、保護(hù)好人到數(shù)據(jù)的路徑。

身份認(rèn)證與授權(quán)管理系統(tǒng)是信息安全的重要組成部分。身份認(rèn)證是應(yīng)用系統(tǒng)判斷用戶是否合法的重要手段，也是應(yīng)用系統(tǒng)的第一道安全防護(hù)。

2 財(cái)政應(yīng)用系統(tǒng)現(xiàn)狀及安全需求

省地市財(cái)政大平臺(tái)系統(tǒng)（以下簡(jiǎn)稱Portal）是各地市財(cái)政業(yè)務(wù)專網(wǎng)應(yīng)用的統(tǒng)一登錄入口，它實(shí)現(xiàn)了各接入應(yīng)用系統(tǒng)的單點(diǎn)登錄，主要涉及的系統(tǒng)有地方國(guó)庫(kù)支付、總賬、工資統(tǒng)發(fā)等。該系統(tǒng)采用B/S結(jié)構(gòu)設(shè)計(jì)，WEB服務(wù)器為Weblogic8.16，，采用JAVA技術(shù)，后臺(tái)數(shù)據(jù)庫(kù)采用Oracle10g。

目前，系統(tǒng)采用“用戶名+密碼”的身份認(rèn)證方式，用戶通過訪問Portal的登錄認(rèn)證主頁(yè)，輸入用戶的合法“用戶名”及對(duì)應(yīng)“密碼”后，系統(tǒng)連接數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證，驗(yàn)證通過后，系統(tǒng)允許用戶登錄并進(jìn)入Portal首頁(yè)，在Portal首頁(yè)內(nèi)顯示管理員授權(quán)給用戶的應(yīng)用系統(tǒng)列表和應(yīng)用中的待辦事宜等信息，用戶根據(jù)自己的權(quán)限可以進(jìn)行相應(yīng)業(yè)務(wù)操作。因“用戶名+密碼”的身份認(rèn)證方式很容易因密碼泄漏、網(wǎng)絡(luò)竊聽等原因造成身份冒充，存在較大的安全隱患，因此亟需建立起合理、安全的強(qiáng)身份認(rèn)證機(jī)制，用于保障合法用戶的權(quán)益。

3 解決方案及實(shí)現(xiàn)

通過對(duì)財(cái)政業(yè)務(wù)系統(tǒng)和安全需求的分析，提出了實(shí)名制U盾+平臺(tái)密碼+U盾密碼+安全審計(jì)多維一體的解決方案，以實(shí)現(xiàn)身份認(rèn)證和授權(quán)管理，實(shí)現(xiàn)信息安全支撐平臺(tái)。第一：給平臺(tái)系統(tǒng)的所有用戶發(fā)放財(cái)政業(yè)務(wù)專網(wǎng)CA證書；第二：對(duì)原有平臺(tái)系統(tǒng)的身份認(rèn)證模塊進(jìn)行改造，在原來(lái)的“用戶名+密碼”的基礎(chǔ)上，增加證書認(rèn)證方式；第三：在用戶屬性管理系統(tǒng)中添加“PID”屬性，用以綁定用戶證書與其平臺(tái)身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；證書的合法性由身份認(rèn)證網(wǎng)關(guān)進(jìn)行校驗(yàn)，檢驗(yàn)完成后將認(rèn)證結(jié)果及身份信息（PID）返回給平臺(tái)，平臺(tái)根據(jù)此結(jié)果做進(jìn)一步的業(yè)務(wù)處理。

3.1 系統(tǒng)整體架構(gòu)

圖2

3.2 網(wǎng)絡(luò)拓?fù)?/p>

圖3

省地市級(jí)財(cái)政身份認(rèn)證與授權(quán)管理系統(tǒng)部署在地市級(jí)財(cái)政部門，在地市級(jí)財(cái)政的業(yè)務(wù)專網(wǎng)內(nèi)建設(shè)一個(gè)獨(dú)立的局域網(wǎng)，通過防火墻從網(wǎng)絡(luò)、協(xié)議及應(yīng)用各層次上將此局域網(wǎng)與財(cái)政業(yè)務(wù)網(wǎng)絡(luò)保持隔離，用于部署安全審計(jì)查詢系統(tǒng)、身份認(rèn)證系統(tǒng)從LDAP和用戶屬性管理系統(tǒng)，而直接面向應(yīng)用的身份認(rèn)證網(wǎng)關(guān)、簽名服務(wù)器、時(shí)間戳服務(wù)器，以及提供證書管理的LRA則部署在地市級(jí)財(cái)政的業(yè)務(wù)專網(wǎng)中。

3.3 功能模塊

建設(shè)中需要重點(diǎn)保證證書發(fā)放、身份認(rèn)證、數(shù)字簽名、時(shí)間戳、應(yīng)用級(jí)訪問控制及安全審計(jì)查詢功能即可，為此相對(duì)省級(jí)財(cái)政的功能模塊相比較，減少了授權(quán)管理模塊的權(quán)限管理系統(tǒng)，并且省級(jí)財(cái)政身份認(rèn)證模塊中的發(fā)證模塊為證書注冊(cè)中心（RA），而地市級(jí)財(cái)政部門建設(shè)的LRA系統(tǒng)。為此，財(cái)政身份認(rèn)證與授權(quán)管理系統(tǒng)模塊組成如下圖：

圖4

3.4 身份認(rèn)證與授權(quán)管理系統(tǒng)建設(shè)

按照財(cái)政身份認(rèn)證與授權(quán)管理系統(tǒng)建設(shè)的要求，省地市級(jí)財(cái)政身份認(rèn)證與授權(quán)管理系統(tǒng)單獨(dú)部署在獨(dú)立的局域網(wǎng)中，并通過防火墻將局域網(wǎng)與地市級(jí)財(cái)政的業(yè)務(wù)專網(wǎng)的公共區(qū)域邏輯隔離，配置一定的安全策略向外提供訪問服務(wù)。

地市級(jí)財(cái)政身份認(rèn)證系統(tǒng)與授權(quán)管理系統(tǒng)的部署主要是身份認(rèn)證模塊、授權(quán)管理模塊、安全審計(jì)模塊及應(yīng)用安全組件四個(gè)部分的安裝配置，身份認(rèn)證模塊包括：LRA系統(tǒng)和身份認(rèn)證從LDAP；授權(quán)管理模塊主要是用戶屬性管理系統(tǒng)；安全審計(jì)模塊指安全審計(jì)查詢系統(tǒng)；應(yīng)用安全組件指身份認(rèn)證網(wǎng)關(guān)、簽名服務(wù)器及時(shí)間戳服務(wù)器。

3.4.1 系統(tǒng)流程

圖5

3.4.2 系統(tǒng)效果展示

應(yīng)用接入的大平臺(tái)登錄效果展現(xiàn)平臺(tái)構(gòu)建統(tǒng)一的認(rèn)證門戶，用戶需要使用USB-KEY登錄認(rèn)證成功后才能進(jìn)入，主要作為各應(yīng)用系統(tǒng)的統(tǒng)一訪問入口和平臺(tái)管理的入口。

圖6

4 結(jié)束語(yǔ)

通過財(cái)政身份認(rèn)證與授權(quán)管理系統(tǒng)設(shè)計(jì)及建設(shè)，將由原來(lái)的“用戶名+密碼”方式變?yōu)樽C書認(rèn)證方式，而數(shù)字證書的高強(qiáng)度身份認(rèn)證，將有效地防止身份冒充；身份認(rèn)證模塊從原系統(tǒng)中剝離，業(yè)務(wù)邏輯更加清晰，安全級(jí)別也得到了提升；通過用戶屬性管理管理中PID屬性值的傳遞，無(wú)縫地實(shí)現(xiàn)了證書的入門級(jí)訪問控制。統(tǒng)一對(duì)實(shí)體進(jìn)行身份和權(quán)限管理，奠定實(shí)名制管理的基礎(chǔ)。提供獨(dú)立的高強(qiáng)度的認(rèn)證手段給各個(gè)層面使用。提供一種電子簽名法保護(hù)的數(shù)據(jù)保護(hù)和司法取證手段。提供一個(gè)統(tǒng)一的時(shí)間基準(zhǔn)，奠定定位基礎(chǔ)。建立了一套完整的配套標(biāo)準(zhǔn)和規(guī)范便于財(cái)政信息化整體推進(jìn)。

參考文獻(xiàn)：

[1]馬建峰，沈玉龍.信息安全[M].西安：西安電子科技大學(xué)出版社，2013.

[2]斯坦普（美）信息安全原理與實(shí)踐（第2版）[M].北京：清華大學(xué)出版社，2013.

[3]薛天龍.數(shù)字證書原理及應(yīng)用[M].北京：中國(guó)標(biāo)準(zhǔn)出版社，2014.

[4]http：//.cn/tplt/index_164.jsp[OL].

第9篇：信息資產(chǎn)的安全屬性范文

［關(guān)鍵詞］會(huì)計(jì)計(jì)量屬性公允價(jià)值

公允價(jià)值在我國(guó)的經(jīng)歷則可謂一波三折。1999年開始實(shí)施的“債務(wù)重組”和“非貨幣易”準(zhǔn)則是公允價(jià)值在我國(guó)的最早運(yùn)用，因遭到了不健康市場(chǎng)環(huán)境和不成熟發(fā)展階段的制約，公允價(jià)值卻成了調(diào)節(jié)利潤(rùn)工具?；诖?，財(cái)政部不得不在2001年1月的準(zhǔn)則修訂稿中，采取了最為謹(jǐn)慎保守的態(tài)度，盡量減少公允價(jià)值的使用范圍。在債務(wù)重組中只有債權(quán)人在收到用于償債的多項(xiàng)非現(xiàn)金資產(chǎn)時(shí)，按各項(xiàng)非現(xiàn)金資產(chǎn)的公允價(jià)值占全部非現(xiàn)金資產(chǎn)公允價(jià)值的比例對(duì)其重組債權(quán)的賬面價(jià)值進(jìn)行分配；在非貨幣易收到補(bǔ)價(jià)的情況下，按補(bǔ)價(jià)占換出資產(chǎn)公允價(jià)值的比例來(lái)計(jì)算換入資產(chǎn)的入賬價(jià)值和應(yīng)確認(rèn)的收益。但隨著我國(guó)經(jīng)濟(jì)形勢(shì)的發(fā)展及與國(guó)際會(huì)計(jì)慣例的并軌， 2004年7月宣布將重新采用公允價(jià)值，并于今年2月剛剛修訂的“企業(yè)會(huì)計(jì)準(zhǔn)則――基本準(zhǔn)則”中明確將公允價(jià)值列為會(huì)計(jì)計(jì)量屬性之一。除在債務(wù)重組及非貨幣易中采用公允價(jià)值外，在資產(chǎn)減值、金融工具、房地產(chǎn)等方面均運(yùn)用了公允價(jià)值。

一、新準(zhǔn)則運(yùn)用公允價(jià)值的必要性

1.不斷發(fā)展的經(jīng)濟(jì)形勢(shì)需要

隨著知識(shí)經(jīng)濟(jì)時(shí)代的到來(lái)，企業(yè)競(jìng)爭(zhēng)日趨激烈，資本市場(chǎng)日益發(fā)展，風(fēng)險(xiǎn)和不確定性加大，無(wú)形資產(chǎn)、金融衍生工具等軟資產(chǎn)大量涌現(xiàn)，特別是金融衍生工具，如 “期貨”、 “期權(quán)”、“遠(yuǎn)期合約”、“互換”等的出現(xiàn)，使公允價(jià)值――這一新會(huì)計(jì)計(jì)量屬性的運(yùn)用成為必然。因?yàn)樵谶@些衍生金融工具中有些金融工具只產(chǎn)生合約的權(quán)利或義務(wù)，而交易和事項(xiàng)尚未發(fā)生。但從法律的角度看，由于簽約雙方之間的報(bào)酬與風(fēng)險(xiǎn)已開始轉(zhuǎn)移，此時(shí)盡管雙方的權(quán)利和義務(wù)尚未完全實(shí)際履行，但為了使會(huì)計(jì)信息的使用者能正確地進(jìn)行經(jīng)營(yíng)決策，會(huì)計(jì)上也要求對(duì)其進(jìn)行確認(rèn)、計(jì)量。因?yàn)榇藭r(shí)簽約雙方的權(quán)利、義務(wù)尚未執(zhí)行，業(yè)務(wù)尚未發(fā)生，此時(shí)不可能有歷史成本(因?yàn)闅v史成本是已發(fā)生業(yè)務(wù)的實(shí)際價(jià)值)，因此會(huì)計(jì)就不能對(duì)該業(yè)務(wù)進(jìn)行計(jì)量、反映。而采用公允價(jià)值屬性計(jì)量卻能很好地解決這個(gè)問題，因?yàn)楣蕛r(jià)值是理智雙方在無(wú)干擾情況下，自愿進(jìn)行交換的價(jià)值，其價(jià)值的確定并不取決于業(yè)務(wù)是否發(fā)生，只要雙方同意就會(huì)有一個(gè)價(jià)值。因此會(huì)計(jì)在任何時(shí)候都可以按公允價(jià)值對(duì)衍生金融工具產(chǎn)生的權(quán)利、義務(wù)進(jìn)行計(jì)量、反映，并向信息使用者提供信息。

2.滿足會(huì)計(jì)信息質(zhì)量要求

按照美國(guó)財(cái)務(wù)會(huì)計(jì)概念公告的提法，財(cái)務(wù)會(huì)計(jì)的目的在于“為現(xiàn)在或潛在的投資者、信貸者以及其他用戶提供有用的信息”，而“會(huì)計(jì)信息要于決策有用，要具備兩種主要的質(zhì)量，即相關(guān)性和可靠性”。相對(duì)于歷史成本，公允價(jià)值更多地反映了市場(chǎng)對(duì)企業(yè)資產(chǎn)或整體價(jià)值的評(píng)價(jià)，更具有相關(guān)性；企業(yè)在涉及到金融工具等新產(chǎn)品時(shí)，公允價(jià)值能反映市場(chǎng)對(duì)直接或間接地隱含在金融工具中的未來(lái)現(xiàn)金流量?jī)衄F(xiàn)值的估計(jì)，有助于會(huì)計(jì)信息的使用者對(duì)未來(lái)作出合理的預(yù)測(cè)，并有利于驗(yàn)證其以前所作預(yù)測(cè)的合理性，更具有可靠性。公允價(jià)值的本質(zhì)是真實(shí)與公允并存，是市場(chǎng)的無(wú)偏定價(jià)，同一會(huì)計(jì)主體各個(gè)會(huì)計(jì)期間以及不同會(huì)計(jì)主體之間，計(jì)量技術(shù)往往是一致的，這使得會(huì)計(jì)信息的可比性、一致性、及時(shí)性也大大增強(qiáng)；在企業(yè)會(huì)計(jì)準(zhǔn)則第8號(hào)―資產(chǎn)減值中規(guī)定，企業(yè)在資產(chǎn)負(fù)債表日若資產(chǎn)存在減值跡象的，應(yīng)當(dāng)根據(jù)資產(chǎn)的公允價(jià)值等估計(jì)其可收回金額，資產(chǎn)的可收回金額低于其賬面價(jià)值的計(jì)提相應(yīng)的減值準(zhǔn)備，使謹(jǐn)慎性原則更趨合理。

3.打破歷史成本的局限性

通貨膨脹和知識(shí)經(jīng)濟(jì)的出現(xiàn)，使得傳統(tǒng)的會(huì)計(jì)計(jì)量模式受到致命的打擊。在通貨膨脹的情況下以名義貨幣為計(jì)量單位，以歷史成本為計(jì)量屬性，既不能反映由于通貨膨脹引起的一般物價(jià)變動(dòng)，也不能反映計(jì)量對(duì)象的個(gè)別價(jià)值變動(dòng)。在知識(shí)經(jīng)濟(jì)時(shí)代，商譽(yù)、技術(shù)、人力資源、衍生金融工具等，根本無(wú)歷史成本可循。另外在計(jì)算企業(yè)的盈利能力時(shí)，傳統(tǒng)的計(jì)量模式下，計(jì)算收益的收入是按現(xiàn)行市價(jià)計(jì)量的，而計(jì)算收益的成本、費(fèi)用，則是按歷史成本計(jì)量的。很明顯，這兩者之間的差額即收益由兩部分構(gòu)成。一部分是勞動(dòng)者創(chuàng)造的純利潤(rùn)，另一部分則是由經(jīng)濟(jì)因素影響形成的價(jià)格差，從而出現(xiàn)虛利實(shí)分的現(xiàn)象。并且在歷史成本下，存貨計(jì)價(jià)、固定資產(chǎn)折舊、間接費(fèi)用的分配、所得稅會(huì)計(jì)處理等，都存在著多種方法可供選擇，損益計(jì)算幾乎可以任意調(diào)節(jié)。但如果企業(yè)計(jì)算收益的成本、費(fèi)用是按公允價(jià)值計(jì)量，則上述現(xiàn)象就可得到很好的解決。

4.有利于企業(yè)的資本保全

資本是指企業(yè)的實(shí)物生產(chǎn)能力或經(jīng)營(yíng)能力或取得這些能力所需的資金或資源。資本保全是指企業(yè)在開始營(yíng)業(yè)到清算為止的全過程中,必須保證資本的安全與完整，它要求企業(yè)在生產(chǎn)經(jīng)營(yíng)過程中，成本補(bǔ)償和利潤(rùn)分配要保持資本的完整性，保證權(quán)益不受侵蝕。企業(yè)在生產(chǎn)過程中會(huì)耗費(fèi)生產(chǎn)能力或資源，同時(shí)為了進(jìn)行再生產(chǎn)，又必須購(gòu)回這些生產(chǎn)能力，只有這樣簡(jiǎn)單再生產(chǎn)才能維護(hù)，擴(kuò)大再生產(chǎn)才有基礎(chǔ)。但企業(yè)耗費(fèi)的生產(chǎn)能力如采用歷史成本計(jì)量，則計(jì)量得出的金額，在物價(jià)上漲的經(jīng)濟(jì)環(huán)境中，將購(gòu)不回原來(lái)相應(yīng)規(guī)模的生產(chǎn)能力，企業(yè)的生產(chǎn)只能在萎縮的狀態(tài)下進(jìn)行。而企業(yè)對(duì)其耗費(fèi)的生產(chǎn)能力若采用公允價(jià)值計(jì)量，此時(shí)不管是何時(shí)耗費(fèi)的生產(chǎn)能力，一律按現(xiàn)行市價(jià)或現(xiàn)金流量現(xiàn)值計(jì)量，則即使是在物價(jià)上漲的條件下，計(jì)量得出的金額也可在現(xiàn)時(shí)情況下購(gòu)回原來(lái)相應(yīng)規(guī)模的生產(chǎn)能力，這樣企業(yè)的資本才能保全，企業(yè)的生產(chǎn)才得以在正常狀態(tài)下進(jìn)行。此外，對(duì)于企業(yè)的商品來(lái)說(shuō)，從其本質(zhì)來(lái)看，其價(jià)值不是一個(gè)定數(shù)（歷史成本），而是一個(gè)變數(shù)，會(huì)隨著市場(chǎng)環(huán)境的變化而發(fā)生變動(dòng)，因此只有采用公允價(jià)值計(jì)量，才符合資本保全的理論。

二、運(yùn)用公允價(jià)值面臨的問題及對(duì)策

問題一：認(rèn)為公允價(jià)值計(jì)量技術(shù)較難掌握，涉及許多估計(jì)，誤差較大，因而造成信息可靠性降低。首先需說(shuō)明的是，公允價(jià)值確實(shí)不能提供絕對(duì)可靠的會(huì)計(jì)信息，任何信息系統(tǒng)都無(wú)法提供絕對(duì)可靠、一致的信息。國(guó)際會(huì)計(jì)準(zhǔn)則委員會(huì)在《編制財(cái)務(wù)報(bào)表框架》中提到：成本或價(jià)值在許多情況下都需要估計(jì)，合理的估計(jì)是報(bào)表編制工作的一部分，這并不會(huì)貶低其可靠性。歷史成本計(jì)量固然有資料容易取得、可驗(yàn)證性的特點(diǎn)，但是按歷史成本計(jì)量得出的會(huì)計(jì)信息卻不能隨著經(jīng)濟(jì)環(huán)境的變化和經(jīng)濟(jì)因素的影響而變化，信息使用者在使用這些信息對(duì)現(xiàn)在和未來(lái)的經(jīng)營(yíng)活動(dòng)進(jìn)行決策時(shí)，這些按歷史成本計(jì)量得出的信息就有可能由于其“不相關(guān)”、“沒有參考價(jià)值”變得 “不可靠”。相反，公允價(jià)值計(jì)量雖然有數(shù)據(jù)、資料不易取得，計(jì)量過程有時(shí)需主觀估計(jì)的缺點(diǎn)，但是由于公允價(jià)值是現(xiàn)行市價(jià)或未來(lái)現(xiàn)金流量現(xiàn)值等，按公允價(jià)值計(jì)量得出的會(huì)計(jì)信息能夠隨著經(jīng)濟(jì)環(huán)境的變化和經(jīng)濟(jì)因素的影響而變化，信息使用者在對(duì)現(xiàn)在和未來(lái)進(jìn)行經(jīng)營(yíng)決策而使用這些信息時(shí)，這些信息是“相關(guān)的”、“有用的”因而也是“可靠的”。針對(duì)廣泛運(yùn)用公允價(jià)值帶來(lái)操作上的難度，會(huì)計(jì)界提出財(cái)政部包括相應(yīng)的監(jiān)管部門應(yīng)盡快制定并公布一個(gè)具體指南，對(duì)于公允價(jià)值的定性和定量給予一個(gè)明確標(biāo)準(zhǔn)，使公允價(jià)值這個(gè)標(biāo)準(zhǔn)不會(huì)出現(xiàn)太大的差異。

問題二：認(rèn)為公允價(jià)值會(huì)導(dǎo)致利潤(rùn)操縱，造成會(huì)計(jì)信息失真和欺詐。我國(guó)在起初運(yùn)用公允價(jià)值時(shí)，因遭到了不健康市場(chǎng)環(huán)境和不成熟發(fā)展階段的制約，有些上市公司確實(shí)利用公允價(jià)值操縱利潤(rùn)，損害了投資者的利益。但事實(shí)是，公允價(jià)值要想成為利潤(rùn)操縱的工具需要同時(shí)具備三個(gè)要素：一是上市公司管理層蓄意造假；二是會(huì)計(jì)、審計(jì)人員失去職業(yè)道德；三是證券市場(chǎng)監(jiān)管失靈。事實(shí)上具備了這三個(gè)要素，任何制度也不能有效發(fā)揮防護(hù)作用，再好的準(zhǔn)則也無(wú)能為力。即問題不再于公允價(jià)值本身的問題而在于政策的執(zhí)行運(yùn)用，公允價(jià)值是操縱利潤(rùn)的手段而不是根源、只有消除根源才能杜絕利潤(rùn)操縱，這是公允價(jià)值能合理使用的一個(gè)必要前提。公允價(jià)值作為一項(xiàng)技術(shù)，既可以用來(lái)提高財(cái)務(wù)信息的質(zhì)量，也可以用來(lái)扭曲會(huì)計(jì)信息，作好作壞取決于企業(yè)管理層的道德素質(zhì)和社會(huì)誠(chéng)信水平。另外于國(guó)際財(cái)務(wù)報(bào)告準(zhǔn)則相比，我國(guó)新企業(yè)會(huì)計(jì)準(zhǔn)則體系充分地考慮了我國(guó)國(guó)情，對(duì)公允價(jià)值做了審慎的改進(jìn)。比如在投資性房地產(chǎn)準(zhǔn)則中，就明確規(guī)定了投資性房地產(chǎn)所在地要有活躍的房地產(chǎn)交易市場(chǎng)，企業(yè)能夠從房地產(chǎn)市場(chǎng)上取得同類或類似房地產(chǎn)的市場(chǎng)價(jià)格和其他相關(guān)信息，能對(duì)公允價(jià)值作出合理的估計(jì)，才可以運(yùn)用公允價(jià)值計(jì)量屬性。可見嚴(yán)格地按照準(zhǔn)則實(shí)施，公允價(jià)值在我國(guó)就會(huì)真的做到公允。

問題三：我國(guó)經(jīng)濟(jì)發(fā)展的市場(chǎng)化程度較低，會(huì)計(jì)人員素質(zhì)不高，會(huì)計(jì)電算化水平以及相關(guān)的信息處理能力較低等，限制了公允價(jià)值的大范圍的推廣與運(yùn)用。很顯然，這些問題在目前我國(guó)經(jīng)濟(jì)發(fā)展中確實(shí)存在。但是我們不能因噎廢食，相信隨著經(jīng)濟(jì)環(huán)境的逐步改善，計(jì)算機(jī)技術(shù)突飛猛進(jìn)的發(fā)展，理財(cái)學(xué)各種計(jì)量模型研究的日臻完善，會(huì)計(jì)人員業(yè)務(wù)素質(zhì)的進(jìn)一步提高，公允價(jià)值計(jì)量的“可靠性”、“可操作性”，一定會(huì)取得長(zhǎng)足進(jìn)步，會(huì)計(jì)各要素按公允價(jià)值計(jì)量的方法必將得到普遍的推廣。

再者，公允價(jià)值計(jì)量全面付諸實(shí)施之前，還存在著一系列重大問題：一是公允價(jià)值計(jì)量是否只適用于房地產(chǎn)投資及證券投資的計(jì)量，而不適用于相關(guān)負(fù)債的計(jì)量，如果這樣，那么它對(duì)那些嚴(yán)重依賴舉債經(jīng)營(yíng)且擁有許多房地產(chǎn)投資及證券投資的企業(yè)意味著什么；二是有關(guān)公允價(jià)值計(jì)量是否僅適用于金融機(jī)構(gòu)，如果這樣，那么對(duì)于部分參與金融業(yè)務(wù)的多元化經(jīng)營(yíng)企業(yè)，其財(cái)務(wù)報(bào)告到底是以歷史成本為基礎(chǔ)，還是以公允價(jià)值為基礎(chǔ)，三是由于公允價(jià)值發(fā)生變化而引起的差額是通過損益表反映，還是反映在資產(chǎn)負(fù)債表的所有者權(quán)益里等。這些問題都亟待會(huì)計(jì)理論界進(jìn)行研究和解決。

總之，公允價(jià)值的運(yùn)用雖然具有很大的必要性，但現(xiàn)階段不可能、也不應(yīng)將所有的會(huì)計(jì)要素都按公允價(jià)值進(jìn)行計(jì)量，而應(yīng)采用多種計(jì)量屬性并存的做法，即在歷史成本計(jì)量屬性的基礎(chǔ)上，盡量采用公允價(jià)值，以求得會(huì)計(jì)信息有用、相關(guān)、可靠。并且在經(jīng)濟(jì)形勢(shì)的不斷發(fā)展和經(jīng)濟(jì)環(huán)境逐漸完善的過程中，公允價(jià)值的運(yùn)用還存在著這樣或那樣的問題，但會(huì)計(jì)由歷史成本計(jì)量向公允價(jià)值計(jì)量過渡已成為必然。相信通過會(huì)計(jì)界同仁的不斷探索，公允價(jià)值計(jì)量的理論將日臻完善，會(huì)計(jì)按公允價(jià)值進(jìn)行計(jì)量必將得到普遍的推廣。

參考文獻(xiàn)：

[1]謝詩(shī)芬:公允價(jià)值會(huì)計(jì)問題縱橫談.時(shí)代財(cái)會(huì),2003（2）

[2]盧永華楊曉軍:公允價(jià)值計(jì)量屬性研究.會(huì)計(jì)研究，2000(4）

[3]財(cái)政部:企業(yè)會(huì)計(jì)準(zhǔn)則―基本準(zhǔn)則.2006