信息资产的安全属性精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息资产的安全属性主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息资产的安全属性范文

关键词：网络安全；风险评估；模糊综合评价

0 前言

网络安全正逐渐成为一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。安全风险评估是建立网络防护系统，实施风险管理程序所开展的一项基础性工作。

然而，现有的评估方法在科学性、合理性方面存在一定欠缺。例如：评审法要求严格按照bs7799标准，缺乏实际可操作性；漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估；层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题，本文拟引用一种定性与定量相结合，综合化程度较高的评标方法——模糊综合评价法。

模糊综合评价法可根据多因素对事物进行评价，是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法，它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化，很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。

1 关于风险评估的几个重要概念

按照itsec的定义对本文涉及的重要概念加以解释：

风险(risk)：威胁主体利用资产的漏洞对其造成损失或破坏的可能性。

威胁(threat)：导致对系统或组织有害的，未预料的事件发生的可能性。

漏洞(vulnerabmty)：指的是可以被威胁利用的系统缺陷，能够增加系统被攻击的可能性。

资产(asset)：资产是属于某个组织的有价值的信息或者资源，本文指的是与评估对象信息处理有关的信息和信息载体。

2 网络安全风险评估模型

2.1 网络安全风险评估中的评估要素

从风险评估的角度看，信息资产的脆弱性和威胁的严重性相结合，可以获得威胁产生时实际造成损害的成功率，将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。

可见，信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看，这三者也构成了逻辑上不可分割的有机整体：①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念；②根据is0-13335的定义，安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险，从而达到降低安全风险的目的；③根据is0-13335的观点，漏洞是和资产相联系的。漏洞可能为威胁所利用，从而导致对信息系统或者业务对象的损害。同样，也可以通过弥补安全漏洞的方法来降低安全风险。

从以上分析可以看出，安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害，因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。

即风险r＝f(z，t，v)。其中：z为资产的价值，v为网络的脆弱性等级，t为对网络的威胁评估等级。

2.2 资产评估

资产评估是风险评估过程的重要因素，主要是针对与企业运作有关的安全资产。通过对这些资产的评估，根据组织的安全需求，筛选出重要的资产，即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估，针对有形资产；另一方面是资产的重要性评估，主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供：①企业内部重要资产信息的管理；②重要资产的价值评估；③资产对企业运作的重要性评估；④确定漏洞扫描器的分布。

2.3 威胁评估

安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有：ids取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段，一方面可以了解组织信息安全的环境，另一方面同时对安全威胁进行半定量赋值，分别表示强度不同的安全威胁。

威胁评估大致来说包括：①确定相对重要的财产，以及其价值等安全要求；②明确每种类型资产的薄弱环节，确定可能存在的威胁类型；③分析利用这些薄弱环节进行某种威胁的可能性；④对每种可能存在的威胁具体分析造成损坏的能力；⑤估计每种攻击的代价；⑥估算出可能的应付措施的费用。

2.4 脆弱性评估

安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。

通过对资产所提供的服务进行漏洞扫描得到的结果，我们可以分析出此设备提供的所有服务的风险状况，进而得出不同服务的风险值。然后根据不同服务在资产中的权重，结合该服务的风险级别，可以最后得到资产的漏洞风险值。

3 评估方法

3.1传统的评估方法

关于安全风险评估的最直接的评估模型就是，以一个简单的类数学模型来计算风险。即：风险＝威胁+脆弱+资产影响

但是，逻辑与计算需要乘积而不是和的数学模型。即：风险＝威胁x脆弱x资产影响

3.2 模糊数学评估方法

然而，为了计算风险，必须计量各单独组成要素（威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线，界限两边截然分为两个级别。同时，因为风险要素的赋值是离散的，而非连续的，所以对于风险要素的确定和评估本身也有很大的主观性和不精确性，因此运用以上评估算法，最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析，能较好地解决评估的模糊性，也在一定程度上解决了从定性到定量的难题。在风险评估中，出现误差是很普遍的现象。风险评估误差的存在，增加了评估工作的复杂性，如何把握和处理评估误差，是评估工作的难点之一。

在本评估模型中，借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果，又能充分考虑到影响评估的各因素的精度及其他一些因素，尽量消除因为评估的主观性和离散数据所带来的偏差。

（1）确定隶属函数。

在模糊理论中，运用隶属度来刻画客观事物中大量的模糊界限，而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时，当u值等于49时为低风险，等于51时就成了中等风险。

此时如运用模糊概念，用隶属度来刻画这条分界线就好得多。比如，当u值等于50时，隶属低风险的程度为60％，隶属中等风险的程度为40％。

为了确定模糊运算，需要为每一个评估因子确定一种隶属函数。如对于资产因子，考虑到由于资产级别定义时的离散性和不精确性，致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产（如3级资产)的可能性，可定义如下的资产隶属函数体现这一因素：当资产级别为3时，资产隶属于二级风险级别的程度为10％，隶属于三级风险级别的程度为80％，属于四级风险级别的程度为10％。

威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。

（2）建立关系模糊矩阵。

对各单项指标(评估因子)分别进行评价。可取u为各单项指标的集合，则u＝(资产，漏洞，威胁)；取v为风险级别的集合，针对我们的评估系统，则v＝(低，较低，中，较高，高)。对u上的每个单项指标进行评价，通过各自的隶属函数分别求出各单项指标对于v上五个风险级别的隶属度。例如，漏洞因子有一组实测值，就可以分别求出属于各个风险级别的隶属度，得出一组五个数。同样资产，威胁因子也可以得出一组数，组成一个5×3模糊矩阵，记为关系模糊矩阵r。

（3）权重模糊矩阵。

一般来说，风险级别比较高的因子对于综合风险的影响也是最大的。换句话说，高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视，即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵，记为权重模糊矩阵b，则b＝(β1,β2,β3)。

（4）模糊综合评价算法。

进行单项评价并配以权重后，可以得到两个模糊矩阵，即权重模糊矩阵b和关系模糊矩阵r。则模糊综合评价模型为：y＝b x r。其中y为模糊综合评估结果。y应该为一个1x 5的矩阵：y＝(y1，y2,y3，y4，y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样，最后将得到一个模糊评估形式的结果，当然也可以对这个结果进行量化。比如我们可以定义n＝1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。

4 网络安全风险评估示例

以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。

在评估模型中，我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产，我们进行了资产评估、威胁评估和漏洞评估，得到的风险级别分别为：4、2、2。

那么根据隶属函数的定义，各个因子隶属于各个风险级别的隶属度为：

如果要进行量化，那么最后的评估风险值为：pi= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04＝2.8。因此此时该资产的安全风险值为2.8。

参考文献

［1］郭仲伟.风险分析与决策［m］.北京：机械工业出版社，1987.

［2］韩立岩，汪培庄.应用模糊数学［m］.北京：首都经济贸易大学出版社，1998.

［3］徐小琳，龚向阳.网络安全评估软件综述［j］.网络信息安全，2001.

第2篇：信息资产的安全属性范文

关键词：信息安全风险评估风险分析

一、前言

电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行，该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行，因此电力信息网络的安全保障工作刻不容缓[1，2]。风险评估具体的评估方法从早期简单的纯技术操作，逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法，充分体现以资产为出发点，以威胁为触发，以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。

二、信息安全风险评估

在我国，风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段，国信办制定的标准草案《信息安全风险评估指南》[4]（简称《指南》）得到了较好地实践。本文设计的工具是基于《指南》的，涉及内容包括：

（一）风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。

（二）风险分析原理。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

（三）风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。

三、电力信息网风险评估辅助系统设计与实现

本文设计的信息安全风险评估辅助系统是基于《指南》的标准，设计阶段参考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构，是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍：

（一）评估管理端。评估管理端控制风险评估的进度，综合管理系统评估端的评估结果。具体表现在：开启评估任务；分配风险评估专家；对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认，对多个专家的评估数据进行综合，得到综合评估结果。

（二）系统评估端。系统评估端由多个专家操作，同时开展评估。系统评估端要经历如下阶段：a.准备阶段：评估系统中CIA的相对重要性；b.资产识别阶段；c.威胁识别阶段；d.脆弱性识别阶段；e.已有控制措施识别阶段；f.风险分析阶段；g.控制措施选择阶段。在完成了风险评估的所有阶段之后，和评估管理端一样，可以浏览、导出、打印评估的结果—风险评估报表系列。

（三）信息库管理端。信息库管理端由资产管理，威胁管理，脆弱点管理，控制措施管理四部分组成。具体功能是：对资产大类、小类进行管理；对威胁列表进行管理；对脆弱点大类、列表进行管理；对控制措施列表进行管理。

（四）知识库管理端。知识库的管理分为系统CIA问卷管理，脆弱点问卷管理，威胁问卷管理，资产属性问卷管理，控制措施问卷管理，控制措施损益问卷管理六部分。

四、总结

信息安全风险评估是一个新兴的领域，本文在介绍了信息安全风险评估研究意义的基础之上，详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别，分析出已有控制措施的实施效果，为风险处理计划提供依据。

参考文献：

[1]Huisheng Gao,Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.

[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.

[3]左晓栋等.对信息安全风险评估中几个重要问题的认识[J].计算机安全,2004,7:64-66

第3篇：信息资产的安全属性范文

【 关键词 】 可信网络空间；信息安全；措施建议

【 中图分类号 】 O242； F830.9 【 文献标识码 】 A

Suggestions on Constructing Reliable Cyber Space in China

Feng Wei Wang Chuang

（CCID Think tank， China Center of Information Industry Development Beijing 100846）

【 Abstract 】 With the development of mobile Internet and Internet of Things， cyberspace is not only the communication tools among people， but also the communication tools among people and objects.. Cyberspace has become a global social platform， which is deemed as the “second living space” of human. Meanwhile， cyberspace security events has increasingly emerged， which constraint the development of cyberspace. A reliable and trusted cyberspace is of great significance of China’s economic and social development. It is necessary to carry out research on the construction strategies of cyberspace in China， in order to solve problems and challenges faced by cyberspace in China.

【 Keywords 】 reliable cyberspace； information security； suggestions

1 可信网络空间及其特性

可信网络空间是指一个网络主体彼此信任、信息的安全性和真实性值得信赖、仲裁结果令人信服的网络空间。其中，电子认证服务是连接网络主体与应用提供商的桥梁，是构建可信网络空间的核心环节，也是主体注册、信息存储、信息传输、信息提取、网络举证、网络仲裁等构建可信网络空间的其他环节的基础。

可信网络空间主要包括五个特性。

主体身份的“真实性”，即网络行为主体的身份真实可靠，如果是匿名或假名主体，必须确保通过一定的方式可以核实其真实身份。

主体属性的“可靠性”，即网络行为主体的年龄、性别、职务等属性信息是可靠的、值得信赖的。

信息内容的“保密性”，即网络信息不被泄露给非授权的用户、实体或过程，或供其利用。

信息内容的“完整性”，即网络信息在存储或传输过程中保持不被删除、修改、伪造、乱序、重放、插入等行为偶然或蓄意地破坏和篡改。

主体行为的“可追溯性”，即在适当的时间，采用合适的方式标识网络行为的主体、发生时间及状态，为网络仲裁提供依据。

可信网络空间国家战略就是要从政策、法律法规、组织机构、产业、基础设施、技术、人才等多个方面，确保我国网络空间满足上述五个特性。

2 构建我国可信网络空间存在的问题

2.1 网络空间产生诸多新威胁

网络空间的出现带来了快速而巨大的变革，同时也带来了新的威胁。近年来，全球信息安全安全保障和风险防范难度持续加大，具体包括：黑客行为组织化；恶意攻击更具目标性，高级可持续性攻击增多；出现了政府部门支持的攻击、发起的攻击；物联网、云计算、移动互联网等新技术应用带来新问题；重要信息系统和工业控制系统的安全状况面临挑战等。

2.2 可信网络空间核心产业不能满足可信网络空间需求

电子认证服务产业是可信网络空间的核心产业，其在快速发展的同时也存在着诸多问题。

第一，针对电子认证服务（CA）机构的商业保险等公共服务尚未发展起来。CA机构对其发放的数字证书给用户造成的损失进行赔付，是数字证书提供优质服务的保证，但目前保险行业还缺少相应保险属种。

第二，数字证书在服务器认证、移动电子商务等高端应用相对落后。截至2011年底我国有约230万个网站，但仅使用2万余张服务器证书，99%以上的网站没有使用服务器证书。在2万余张证书中，国外机构签发3510张，虽然只占我国证书总量的17.2%，但都应用于证券、银行、保险、其他金融类服务、电子商务行业等关系国计民生的领域存在安全隐患。

2.3 可信网络空间相关技术相对滞后

第一，国产密码算法尚不能满足需求。出于国家安全的考虑，作为重要基础设施的PKI系统将不能依赖于美国及其他国家密码算法产品的出口，必须加快国产密码算法技术产品的研发和生产，全面形成自有知识产权的系列密码算法。第二，相对于移动互联网、云计算、物联网等新兴领域日益扩大的需求，新技术领域可信技术开发仍存在较大差距。

2.4 可信网络空间的专业人才队伍不能满足需求

构建可信网络空间，归根结底要靠“人”去实施。目前可信网络空间专业人才严重不足，不能满足构建我国可信网络空间的需求。尤其缺少既懂技术又有经营管理经验的复合型人才，当务之急是要加快这类人才的培养。

3 构建我国可信网络空间的战略举措

3.1 构建我国可信网络空间的战略思路

构建我国可信网络空间应坚持的战略思路是：坚持政府引导、市场运作、各方参与的原则，坚持制度创新和研发创新相结合，推动部门、机构、区域、国家间广泛合作，兼顾解决方案可用性、安全可靠性、可互操作性和经济性，充分利用现有的电子认证服务业资源，把电子认证业作为可信网络空间的核心和基础环节，加快电子认证服务产业链建设、推动电子认证服务在电子商务、电子政务等领域的应用，逐步实现对实体身份、属性的认证，以及主体行为核查和追溯，建立网络空间身份认证、属性认证、信息保护、授权管理和责任认定机制，推动建立互信、互认、安全、公正的可信网络空间。

3.2 构建我国可信网络空间的战略目标

构建我国可信网络空间应实现的目标是：建立基于数字证书的可信网络生态体系，进一步推动各网络主体在网络空间中建立可靠的信任关系，有效规避各种网络风险和安全威胁，营造互信、互认、安全、公正的网络环境。

如图1所示，可信网络生态体系是一种信任机制，利用这种机制，政府、组织和个人能够在虚拟和自由的网络空间中建立起可靠的信任关系，充分相信对方，形成互信、互认、安全、公正的网络氛围。

3.3 可信网络生态体系应用模式示例

如图2所示，在参与在线业务之前，可信网络生态体系中的网络主体可从身份提供商处获得一个匿名或者可唯一标识身份的身份凭据。身份提供商将验证主体的物理身份，并确保数字身份准确地反应了真实的网络主体。随后，身份提供商将主体的身份凭据与主体的数字身份联系到一起。

在图3中，网络主体直接向依赖方展示其身份凭据和属性，以获得业务授权。网络主体利用隐私增强技术，使向依赖方提供的信息量最小化。接下来，在无需身份提供商及属性提供商知悉该主体正在进行当前业务的前提下，依赖方可以验证该主体的身份凭据和属性。网络主体可能向依赖方提供属性值（例如“我的生日是1974年3月31日”），或者是经过验证的属性声明（例如“我的年龄大于21岁”）。依赖方可以鉴别该凭据和属性是否来自于可靠的提供商，以及该凭据和属性是否仍具有时效性。同样，通过检查依赖方是否拥有可以证明其遵守可信网络生态体系规则的可信标记，网络主体能够更加明智地选择依赖方。当个体在线获取依赖方的服务时，可信标记可通过电子方式得以验证。

4 构建我国可信网络空间的措施建议

以电子认证服务为核心的网络信任体系建设，为构建可信网络生态体系奠定了坚实的政策、法律法规、组织机构、产业、基础设施、技术和人才基础，但是可信网络生态体系的实现仍需开展大量的工作。

4.1 完善可信网络空间相关法律体系和标准规范

建议完善可信网络空间法律体系，健全《刑法》、《公司法》、《合同法》等相关法律法规，明确网络犯罪行为的认定和处罚、实现对虚拟财产、虚拟身份、网上交易等网络资源和行为的法律保护，并针对电子商务、网络隐私保护、网络信息安全保护的特殊需要，探索网络空间单独立法的必要性和可行性。完善网络身份管理、网络属性管理、网络权限管理、网络行为/内容认定相关标准规范，建立涵盖环境、系统、流程、内容的身份/权限证书签发和应用标准体系。

4.2 建立结构合理的证书策略体系

建议逐步推出可信网络空间个人、法人、设备等所有网络主体的证书分类策略，确保在可信网络空间中针对所有网络行为能够追溯出其所对应的网络主体。根据应用需要进行证书分级，建立完善的（身份）证书分类分级策略体系。

4.3 加强可信技术产品研发和创新

建议推动电子签名与认证基础技术产品的国产化，完成加密机、数字证书认证系统、数字证书介质、数字证书应用系统的升级换代，全面支持国产密码算法，大力提升国产密码算法产品的效率、稳定性和可靠性。加快国产可信安全操作系统、可信安全整机，以及可信安全芯片、可信BIOS等关键零部件的成熟化进程，鼓励重点领域的关键基础设施、信息系统采用国产可信计算产品和安全解决方案。

4.4 推动可信网站评价体系建设

建议制定合理的网站可信评价指标体系框架，明确网站可信展示指标、网站可信认证指标在网站可信评价指标体系中的地位以及它们之间的关系。明确网站可信认证指标，通过权威备案信息比对和服务器数字证书验证两种方法对网站进行可信评价，引入第三方机构参与评价，确保评价的公信力。

4.5 加快专门人才队伍建设

建议在教育机构中设立相关专业课程，进行专业培训，还要建立企业和高校联合培养机制，建立人才实训基地，大力培养行业紧缺人才。充分发挥行业组织等公共服务机构作用，开展行业专业技能培训，针对入侵检测、日志管理等专业内容，开展大规模的培训和认证。建立人才选拔机制，从现有的人员中选拔具有相关知识技能的人才，以应对专业人才缺乏的现状。

4.6 加大资金保障力度

可信网络空间建设需要持续大规模的资金投入。建议加大在技术研发和创新方面的资金支持力度，形成以政府投入为引导、企业投入为主体、其他投入为补充的长效投融资机制。建议将贯彻落实构建可信网络空间的资金纳入各级政府财政预算予以保障。建议拓展投融资渠道，鼓励和引导风险投资、民营资本投入到可信网络空间建设中来，为可信网络空间建设提供更为坚实的资金保障。

4.7 加强国际交流与合作

网络空间中国与国的边界日益模糊，构造可信网络空间已经成为跨越国界的世界性课题。推动可信网络空间建设不能闭门造车，应加强国际交流与合作，借鉴国际上的先进经验。建议加强国际交流与合作，积极参加国际社会有关可信网络空间的讨论，参与制订相关国际规则，规范信息和网络空间行为，推动数字证书等可信网络技术手段的跨境互认，提高我国在可信网络空间建设上的国际话语权。

参考文献

[1] 宁家骏.创建可信绿色网络空间.计算机安全，2005年 第4期.

[2] 中国电子信息产业发展研究院.中国电子认证服务业发展蓝皮书（2012）.中央文献出版社，2012年10月.

[3] 中华人民共和国第十届全国人民代表大会常务委员会.电子签名法.2004年8月.

[4] 网络空间可信身份国家战略――增强在线选择性、有效性、安全性与隐私保护.美国白宫，2011年4月.

基金项目：

本课题得到国家高技术研究发展计划（863计划）No.2012AA01A403支持。

作者简介：

第4篇：信息资产的安全属性范文

在融合中自检

面对两化深度融合的新要求，五矿集团认为想要解决现有问题，必须从解决企业信息化的基本需求人手，将问题逐一攻克。首先，矿业企业的信息化建设还需要解决行业特殊性的问题，如矿产品的成本核算、矿产品的库存管理、矿产品的以质计价等。作为一家以进出口贸易起家的大型国有企业，五矿集团成功转型为产融结合、上下游一体化的综合性金属矿产集团。通过实施SAP ERP和SAP GTM（全球贸易管理），五矿集团整合业务与信息系统，建立集团公司风险管控平台，支持运营与管理持续优化，以统一的决策支持平台实现集团业务的协同和创新发展，为五矿集团的国际化运作和长远发展打下了坚实的基础，帮助五矿集团在全球金属矿业新一轮洗牌中始终具有快速反应能力和最佳运营效率，引领金属矿业的可持续发展。

闫晓青回忆，五矿集团建成的信息化平台系统，自运行以来取得了显著成效，并成为提高企业竞争力的有力武器，是五矿实现国际化运作的突破口。两化融合解决的不仅仅是企业信息化向更深更高层次发展的问题，同时也是企业认清自身信息化水平的机会。

随着五矿业务规模的增长和发展，以及信息化建设的推进，系统互联互通和信息共享已成为制约集团信息化建设健康有序发展的瓶颈。加快信息标准化进程，成为推进集团公司信息化建设的战略要求，同时也是企业实现两化融合发展目标的必经之路。

在此基础上，五矿架设了企业内部的信息港，信息港以先进的TRS采编发及全文检索系统为内核的企业内部综合信息交流、展示平台。涵盖有色金属、黑色金属、非金属矿产品的国际、国内市场信息，并提供相关业务的各类历史数据、市场分析，五矿信息港还提供了内容广泛的行业新闻、及时的新闻报道、金融信息、国家政策法规等宏观信息。随着集团公司的发展和信息化建设步伐的加快，保障集团公司核心信息资产的安全成为一项重要的战略任务。

为保证信息港的正常运行，五矿集团启动《信息安全规划》项目，遵循整体规划、分步实施、分工协作的工作思路，以风险分析为基础，以国际信息安全标准B$7799为依据，根据五矿业务发展趋势、行业环境、技术发展状况和资源准备度等多方面因素，对五矿集团公司的组织、信息系统和基础设施架构进行了认真研究和规划，在组织、政策、技术防护、日常运作监控管理等几个方面构建信息安全保障体系，建立以管理为核心，以技术为支撑的信息安全体系架构。

按照信息安全规划的要求，集团公司建立分层分级、协同合作的组织体系，由集团公司保密委员会履行信息安全工作管理职责，在集团公司保密委员会下设立专门的信息安全管理小组，作为集团信息安全工作管理机构，负责信息安全工作整体策划、统筹和推进工作；在各二级单位下设保密工作组，协助相关信息安全工作开展。

为有效保护集团公司核心信息资产，制定了资产分类指导办法，并在集团应用体系的建设中，依据信息资产的重要程度和业务特点划分安全级别，采取不同的保护措施，包括根据等级明确不同的授权审批流程、采取不同力度的身份标识和鉴别力度、分级部署用户对资源的安全访问策略等等。通过贯彻和落实信息资产分类指导办法，对信息资产实行等级保护，实现了集中资源优先保护核心信息资产，切实保证核心信息资产的保密性、完整性和可用性。

在深化中冲刺

2011年，五矿通过采用神州数码serviceJet-MC2运营管理中心解决方案，对自身的IT服务流程、IT资产管理流程、IT管理制度进行了统一梳理，打造起一个入口、一个平台、一套流程的“三个一”高效服务管理体系。通过项目的实施，五矿集团IT管理效率和客户满意度大幅提升，成为五矿集团推进战略转型和实施管理变革的重要支撑。

促进两化融合不是发展“工业的第二产业”，而是要立足工业本身，实现包括技术、营销模式和资源利用在内的一系列创新；提升包括成本、质量、品牌和服务在内的一揽子工作效率；实现节能减排，形成循环经济和可持续发展。2012年五矿集团决定采用SAP ERP、SAP BusinessObjects解决方案和SAP MaxAttention支持服务，将应用从总部财务和贸易的应用推广到采矿冶炼，以应对严峻的国际金属矿业市场竞争，深化两化融合发展。

闫晓青介绍，目前五矿集团现有ERP系统已经成功升级到最新增强包EHP 6版本（Enhancement Package 6），在功能和平台架构上更好地支持了业务发展。

建立统一的财务报表查询平台，通过财务库存分析，实现财务及业务的一体化。

第5篇：信息资产的安全属性范文

探讨实施房屋权属档案数字化管理的必要性、房屋权属档案数字化管理模式的原则、房屋权属档案数字化管理模式的具体实施方案。

关键词：

房屋权属档案；数字化；管理模式

房屋权属档案的保存管理对于房产管理具有重要的意义，当地房产管理部门要依靠房屋权属档案来开展房产的登记、测绘、调查、房产转移和房屋变更等工作。然而，面对纷繁复杂的房屋权属档案，以及产生的越来越多的房屋权属问题，传统的手动档案管理模式已经无法适应现代社会的需求，房屋权属档案的数字化管理模式由此应运而生。但是，数字化管理需要工作人员在工作过程中不断总结经验，结合纸质管理，一同做好房屋权属档案的管理工作。

1对房屋权属档案进行数字化管理的必要性

1.1房屋权属档案的数量需求

随着城市化进程的加快，房地产产业也在日益扩大，一个城市不仅要建造房屋，政府还要落实道路改建、城市规划、房屋拆迁及建造大型工程，等等。这些工程的实施，会牵涉到许多房屋权属问题，这时，纸质管理模式就会暴露出工作效率低下、出错率高和资源难以共享等缺点，因而，面对浩如烟海的数据，必须有一套系统、完整的数字化管理模式来实现管理数据资源共享的目的，提高管理的准确度和工作效率。

1.2可以方便快速查阅

房产交易的投资双方都希望及时迅速地掌握房地产产权信息，因为投资所涉及的款项数额巨大，专业性较强，波及范围较广，如果获取信息时不够及时准确，对于交易双方的损失都是巨大的。如在房产销售的时候，销售商希望尽可能全面、迅速地掌握附近楼盘的销售情况，以此来调整市场策略，从而提升其销售量。

1.3数字化管理模式的功能优势

纸质管理模式落后低效，但是，许多珍贵的原始资料和一些复杂情况都是在纸质管理模式时代保存下来的。与之相比，数字化管理模式更适应时展的需求，具有其特有的功能优势。首先，能把大量的数据系统化，便于共享资源信息。再者，还衍生了一些新功能，例如预测报警功能。实现了高度信息共享，而且数据较及时全面，因而，决策者通过对这些数据分析来预测房地产的发展前景，从而做出有利于企业发展的决策。

2房屋权属档案数字化管理模式的原则

2.1实用性原则

在安装数字化系统时，首先要安装稳定的、和房产运行系统相兼容的技术设备，以最大的限度去满足房产管理部门现在和未来发展的需求，保证系统长久、稳定地运行。

2.2安全性原则

安全性是指档案的保密性能。数字化管理能够实现资源共享，却不可避免地导致信息处于一个公共环境里，很难保证其安全。正如电脑会被黑客入侵一样，如果有些机密档案数据泄露，对于房产公司的信誉和经济效益都会带来难以估量的损失。

2.3真实性原则

真实性是指所记载的数据必须真实可靠，不能随意更改。真实性原则是数字化管理模式的基本原则，也是纸质管理模式的基本原则。为了一己之私，随意更改房屋权属档案，不仅会对产权所有者造成伤害，也会损害国家和政府的信誉。

3房屋权属档案数字化管理模式的具体实施方案

3.1谨慎选择数据库

目前，最先进的存储系统就是全光纤架构的SAN存储系统，不仅能确保系统的高能和可靠，针对产权电子档案极高的安全性要求，除了要有这样高能的存储系统外，还要建立一个完善的光盘备份和恢复系统，以免数据丢失或被盗。与此同时，为该备份恢复系统配备高度的自动化管理系统，实现对其高度的自动化控制。最后，要及时更新数据库，因此，要建立完善的动态更新机制，确保资源的有效性。

3.2加强人员培训工作

对档案管理人员的培训包括两种：一种是让其熟悉所选择的数据存储系统的操作技术，不断提高其专业技术水平。另一种是有针对性的培训，即将管理人员划分为记录员、扫描员、核查员和备份员等，让他们熟悉自己的职责范围，学会合作，从而不断提高数字化管理的工作效率。

3.3数据的录入、扫描、备份和审核人员的选择

数据的录入者必须是具有高度责任心以及打字速度较快的人，具有高度的责任心，才不会在录入数据的过程中粗心大意，因为其打字速度较快，能够胜任这份高强度的工作。数据扫描人员也需要秉承着高度负责的精神，在扫描过程中不能漏扫，随意删改扫描数据，以免对房屋权属所有者造成难以挽回的损失。数据备份人员的工作不单单是备份，还包括对前两位工作的再度审核，确保信息无错漏，才能为其做好备份。最后是对所有数据进行审核，审核人员必须锱铢必较，兢兢业业，审核时要全方位核对各类信息，不能应付了事。

3.4开放式管理

开放式管理包括两方面内容：第一，权利人能够查看自己的档案，即房产登记机关不能阻止单位或个人查看自己的权属登记信息。第二，权利人能够随意变更自己的房产权属信息，因为信息的所有者是该单位或个人，因此，对自己房产权属信息的更改是理所当然的事情，相关部门不能阻止。

4结语

随着时代的发展，房屋权属档案的管理必须依赖数字化存储备份恢复系统，纷繁复杂的市场和权属档案，需要更精细化的管理，以实现资源的共享。因此，有关部门要加强对存储备份恢复系统的管理、对工作人员的筛选和培训，确保其工作的专业性以及认真负责的工作态度。还要注意信息的开放式管理，同时，注意信息的真实可靠和安全性，避免数据丢失、被盗。

作者：裴亚艳 单位：吉林省公主岭市房屋产权管理中心

参考文献：

第6篇：信息资产的安全属性范文

关键词：安全风险 模糊AHP算法 无线通信链路

中图分类号：V249.1 文献标识码：A 文章编号：1007-9416（2013）10-0196-03

随着信息技术的发展与信息网络系统的广泛应用，信息网络系统的安全变得尤为重要。信息系统安全风险评估作为信息安全管理工作中的重要组成部分和基础性工作，是掌握信息系统安全状况，合理建立信息安全保障措施的重要手段。无线通信链路因具有开放性，使得攻击者进行监听、篡改、伪造等非授权访问成为可能，对无线通信链路进行安全风险评估，可以为无线通信系统安全防护措施的选择提供参考。

现有的文献中，文献[1]通过确定资产价值并利用公式法对通信网单个资产威胁类风险值进行了研究；文献[2]提出了利用层次分析法对战术通信网进行威胁评估的办法。但很少有文献将无线通信链路安全风险作为具体的评估对象进行研究，大多使用单一的AHP算法进行风险评估，评估结果具有很强的主观性，且缺少有效的风险等级计算方法。针对上述问题，本文结合实际工程背景，将无线通信链路安全风险作为具体的评估对象，通过对无线通信链路进行安全性分析，构建了无线通信链路安全风险评估指标体系，采用模糊AHP算法实现对资产、威胁、脆弱性的综合评估，最后利用矩阵法完成风险值的计算。

1 模糊AHP法原理

1.1 AHP法

AHP（analytic hierarchy process，层次分析法）是美国运筹学家T L Saaty教授提出的一种简便灵活而又实用的多准则决策方法，它是一种定性和定量相结合的多目标决策方法。其主要步骤为：

Step1：构造递阶层次结构。

Step2：构造判断矩阵。根据1-9比例标度[3]对同一层次的各元素相对上一层次中某一准则的重要性进行两两比较，构造比较判断矩阵A。

Step3：计算判断矩阵特征向量和最大特征值。判断矩阵特征向量W的计算一般采用方根法进行，其公式为：

（1）

特征向量W=[w1，w2，…，wn]T。最大特征值公式为：

（2）

其中，A为判断矩阵，（AW）i为AW的第i个元素。

Step4：判断矩阵一致性检验。

首先，计算一致性指标CI

（3）

然后，从平均随机一致性指标表中查出相对应的RI，对于1-9阶判断矩阵，RI值如下表所示：

最后，计算一致性比例CR。

（4）

当CR

层次分析法对于解决多层次、多目标的大系统优化问题行之有效，但它也存在着一定的局限性，主要表现在：衡量相邻两个指标重要性的标度值一般采取专家打分法确定，具有一定的主观性；在综合指标的合成中，局限于线形加权的情形，且层次分析法得出的权值虽然以精确量的形式给出，但是其本身具有模糊性[4]。因此，本文将模糊评价法与层次分析法结合，可降低构造判断矩阵的主观性。

1.2 模糊综合评价法

模糊综合评判法是对多种属性的事物，或者说其总体优劣受多种因素影响的事物，做出一个能合理地综合这些属性或因素的总体评判。其具体步骤是[4]：

Step1：构造指标因素集和评判集。因素集记为U={u1，…，un}，评判集记为V={v1，…，vn}。

Step2：进行单因素评判，确定模糊关系矩阵R。

模糊关系矩阵为：

（5）

其中，rij为U中因素ui对V中等级vj的隶属关系。

Step3：多因素模糊综合评判。先从最低层属性指标层开始，以子目标属性指标权值向量Ai和单因素模糊评价矩阵尺 进行模糊矩阵合并运算，得到子目标的综合评价向量，即Bi=Wi*Ri，从而得到单因素模糊评价矩阵，再依层次往上评价，直到最高层，得出总目标层的综合评价结果。

Step4：分析处理并综合评价。对模糊综合评判结果Bi做分析处理，再根据最大隶属度原则即可得出综合。

2 无线通信链路安全风险指标体系设计

安全风险评估包括3个要素，即：资产、威胁和脆弱性[5]。以无线通信链路为例，整个链路可以看作一个单一资产，其安全风险评估则是基于整条通信链路实施。因此，我们重点分析无线通信链路的威胁及脆弱性。

机密性、完整性和可用性是评价资产的三个安全属性，资产的识别就是通过分析统计信息系统的各种类型资产及资产信息，确定资产的机密性、完整性和可用性。无线通信链路中的典型资产包括编解码器、加密机、调制解调器、发射机、接收机等硬件设备以及相关的应用软件。任何一个资产受到威胁都将对整个通信链路造成严重的损失。资产按其重要性分为5个等级，由高到低依次用数字5-1表示[5]。本文将整个链路结构定义为一个组合的资产，安全风险评估也是基于整条通信链路实施。无线通信链路资产递阶层次结构如图1所示。

威胁按表现形式来分包括三个方面：技术威胁、人员威胁和环境威胁。通过调研，无线通信链路中技术威胁有：物理攻击、干扰、篡改、监听；人员威胁有：无恶意人员误操作、恶意人员误操作；环境威胁有：恶劣环境、设备故障。威胁发生可能性分为5个等级，由高到低依次用数字5-1表示[5]，其递阶层次结构如图2所示。

脆弱性一般为三大类，即技术类脆弱性、管理类脆弱性、操作类脆弱性。经问卷调查、文档查阅、人侵检测、渗透测试等方法可识别脆弱性。无线通信链路存在的技术类脆弱性有：加密算法简单、缺乏防病毒措施；管理类脆弱性有：管理制度不健全、电磁环境复杂、设备老化；操作类脆弱性有：设备配置不当、工作人员业务不熟练。脆弱性发生可能性同样分为5个等级，由高到低依次用数字5-1表示[5]，其递阶层次结构如图3所示。

3 基于模糊AHP法安全风险评估

3.1 AHP法计算权值

以资产评估为例，根据图1中各评估要素及其相互关系，通过专家赋值建立各级判断矩阵并采用方根法分别计算个体排序向量、最大特征值λmax和一致性比例CR。各判断矩阵的计算结果如表1-表4所示，通过计算可知，各判断矩阵中CR均小于0.1，一致性检验通过。

3.2 模糊综合评判

根据资产价值指标结构，准则层相对于总目标的权重仍采用传统的AHP方法计算，第三层各指标因素相对于准则层的权重由于关系比较复杂而采用模糊综合评判方法，应用模糊数学模型进行综合评价，步骤如下：

将各指标因素的评语分为5个等级，分别为：很高、高、中、低、很低，通过专家评价的方式，邀请10名专家根据确定的评语级对各指标予以隶属度评价，可以确定一个从因素集到评价集的模糊关系矩阵。从而得出对应的机密性、完整性、可用性模糊关系矩阵为：

由Bi=Wi·Ri得模糊综合评价矩阵如下：

B1=W1·R1=（0.4234，0.333，0.1853，0.0365，0.0218）；

B2=W2·R2=（0.5896，0.2487，0.1029，0.0402，0.0186）；

B3=W3·R3=（0.2886，0.3801，0.267，0.0365，0.0278）。

根据最大隶属度原则，机密性、完整性、可用性综合评判等级分别为：5、5、4。

3.3 确定资产价值

由资产机密性、完整性、可用性综合评判等级及三者相对权重可得资产价值为：

A=W·（5，5，4）T=（0.311，0.196，0.493）·（5，5，4）T=4.507>4.5

参照资产重要性等级表可知，该资产价值等级为5。

3.4 威胁及脆弱性评估

参照前文资产评估方法，经计算可知，该链路威胁等级综合赋值为3，脆弱性严重程度综合赋值为3。

4 风险等级计算

本文采用矩阵法[5]计算风险值。步骤如下：

Step1：计算安全事件发生可能性等级。

首先，构建安全事件发生可能性矩阵如表5所示，A表示威胁发生频率，B表示脆弱性严重程度。

然后，根据经评估得到的该通信链路脆弱性的严重程度以及威胁发生的频率，由表对照得出安全事件可能性数值为12。最后，根据下表可得安全事件发生可能性等级为3。

Step2：计算安全事件损失等级。

首先，构建安全事件损失矩阵如表7所示，C表示资产价值。

然后，根据经评估得到的脆弱性严重程度以及资产价值，由表对照可以得出安全事件损失数值为16，再由根据下表得出安全事件损失等级为4。

Step3：计算安全事件风险值。

构建风险矩阵如表9所示，D表示损失等级，E表示可能性等级。

根据前两步计算出的安全事件发生的可能性等级以及所造成的损失等级，由上表对照得出安全事件风险数值为16，再根据下表可判断得出该系统无线通信链路安全风险等级为3，即中度风险值。

通过威胁和脆弱性评估过程可知，该链路存在的主要风险是电磁环境复杂引起的干扰威胁和加密算法简单引起的非授权访问，我们可以通过增加抗干扰手段和更换复杂加密算法的方式降低安全风险。

5 结语

文章在详细分析无线通信链路安全性的基础上构建了一套安全风险评估的指标体系，并运用模糊综合评价与AHP相结合的算法全面综合地评估了无线通信链路资产、威胁、脆弱性等级，最终通过矩阵法计算得出安全风险值。评估方法思路清晰、结果准确、可操作性强、便于推广，为今后各类通信网安全风险评估提供了参考。

参考文献

[1]李振富，韩彬霞，李晓鹏，鲍池.基于AHP的通信网风险评估[J].现代电子技术，2011.34（19）：111-113.

[2]宋国春，刘忠，黄金才.AHP方法的敌地域通信网通信链路威胁评估[J].火力与指挥控制，2008.33（2）：16-20.

[3]孙宏才，田平，王莲芬.层次分析法引论[M].北京：国防工业出版社，2011.

[4]王程，王睿，齐博会.基于模糊AHP法的机载指控系统效能评估[J].指挥控制与仿真，2008.30（6）：65.

第7篇：信息资产的安全属性范文

关键词：信息安全管理；信息资产；模型；推广方案

中图分类号：TP309 文献标识码：A 文章编号：1674-7712 （2013） 02-0175-01

所谓的信息安全就是指信息的可用性、完整性、安全性以及保密性。信息安全管理主要是指组织为了确保信息的安全而进行的控制、领导、组织、计划的相关过程。随着企业的飞速发展以及信息技术的不断完善，各类企业的信息化程度也在不断地提高，信息安全已经成为了企业发展过程中的核心内容之一。

一、企业信息安全管理的现状

目前，绝大部分企业在发展的过程中已经开始对企业的信息安全工作制定出了一系列的管理措施，不过，企业在对那些信息进行安全管理的过程中，基本上是部署或购买信息安全产品。而这些产品基本上是为了达到某项安全功能而研发生产的、针对性较强的硬件或软件产品。当前市场上所出售的信息安全产品主要有四个层次：系统安全设备、网络安全设备、终端安全设备、基础安全设备。

企业通过这些信息安全产品虽然在某些方面具有一定的安全效果，不过企业自身的信息安全度仍没有得到提高。所谓的企业信息安全管理就是指针对当前企业所面临的信息失控、恶意软件、人为因素等复杂环境给予相应的防护，确保企业的信息系统以及相关信息不会被非授权使用、访问、中断或修改。这样做的目的主要是对企业的信息安全进行适当的保护，并确保其具有可用性、真实性、完整性以及保密性。就目前的情况而言，绝大部分企业的信息安全管理存在下列问题：（1）缺乏足够的安全防护意识，员工的信息安全教育力度较为薄弱；（2）管理过程中对于人为因素的管理较为缺乏；（3）只重视技术而忽略了管理；（4）缺乏系统性的管理方案；（5）缺乏专业的信息安全管理人员。

二、企业信息资产的安全管理方式

一般情况下，企业的信息资产具有以下三个重要属性：即可用性、完整性以及保密性。在对企业的信息进行管理的过程中，这三者缺一不可。在企业发展的不同时期以及不同阶段，这三者的属性以及地位也大不相同。对于绝大部分企业而言，对企业信息进行安全管理的主要目的就是确保企业的信息资产具有较好的保密性，因此，信息的可用性以及完整性在信息安全管理过程中基本上就成为了附属品。由此可见，对于绝大多数企业来说，信息的保密性更为重要。

由于企业的信息安全管理活动通常会涉及到企业的所有员工以及各个管理阶层，因此，企业在开展此项活动的过程中，一定要注重全员参与的重要性，让企业的各项工作以及每个员工都对企业的信息安全引起高度重视，并将企业的信息安全管理与企业文化融为一体，以便于从根本上实现企业的信息安全管理目标。不过对于绝大部分企业而言，经济指标才是员工以及管理层关注的重点内容，而信息安全管理需要投入大量的人力、物力以及财力方能实现，因此，这对于大部分企业来说其操作性相对较低。由此可见，在对企业的信息安全进行管理的过程中，一定要尽最大可能确保信息安全管理的简洁性。

三、企业在进行信息安全管理时所涵盖的具体内容

目前，信息安全管理过程中的内容经简化和提炼后主要有“执行力”、“堵”、“护”，在不同企业或同一企业发展过程中的不同阶段，信息安全管理的计划实施先后顺序以及侧重点也会有所不同。对于企业的普通员工以及管理人员而言，通过简单地宣传教育就很容易让他们牢记“执行力”、“堵”、“护”，而对于专业的信息安全管理人员则必须从以下几个方面着手。

（一）构建与企业文化相符合的安全体系

企业在构建信息安全管理体系的过程中，它与企业文化的适应程度有着十分密切的联系，不同的企业有着不同的企业文化，因此，在进行信息安全管理的过程中，其管理思路以及管理方法也会大不相同。一些执行力较强的单位，通常会采用强制手段来进行管理，且管理的效果相对较好，而对于执行力相对较差的单位，通过制定出科学合理的管理方法，并加以相应的监控管理、审计以及技术支持也会取得相对较好的效果。

（二）对信息传递渠道进行严格的管理

企业在对信息资产进行安全管理时，一定要强化对信息传递渠道的管理，对信息资产的各个传输渠道进行严格的分析，严禁出现非授权或授权范围外的传递或访问。在此过程中，“堵”的核心内容就是人员的安全管理，这主要是因为企业的信息资产都是通过人来进行控制、管理的。在所有的信息安全管理过程中，对人的管理难度最大，因此，在开展信息安全管理活动时，一定要对员工的调动以及离职情况进行严格的审计，以此来防止信息资产的不合理传递。

（三）核心信息资产的保护

所谓的核心信息资产的保护主要是指对企业的核心信息资产进行科学有效的保护，这对于企业的发展有着至关重要的作用，同时它还是企业进行信息资产安全管理的有效手段。由于企业的资源具有一定的有限性，因此，企业的信息安全也具有一定的相对性，基于此，在对企业的信息资产进行安全管理的过程中，对核心信息资产进行保护就显得尤为重要了。所谓的核心信息资产就是指一旦泄露就有可能对企业造成严重的损失，或者是价值相对较高的信息。

四、结束语

随着市场经济的不断发展以及信息技术的日渐完善，企业在发展过程中的信息资产保护所面临的形式也变得越来越严峻。为此，企业在发展的过程中，一定要根据自身的实际情况，建立相应的管理体系，并将其纳入企业的风险管理中，尽量降低信息泄露对企业发展所造成的影响。

参考文献：

[1]齐峰.COBIT在企业信息安全管理中的应用实践[J].计算机应用与软件，2009，26（10）：282-285.

[2]伏原.网络信息安全管理在电力企业中的应用[J].中华民居，2011，（8）：385-386.

[3]孟洁.国有企业中的信息安全管理和应用[J].科技信息，2012，（2）：252.

第8篇：信息资产的安全属性范文

关键词：信息资料 泄露 控制

随处可见的统计信息，尤其是网络时代，统计信息泄露的速度和铺盖面更广，统计信息从收集的原始资料开始，在传输的各个环节都被泄露的危险，信息泄露体例也变的多种多样，那么如何对统计信息资料进行有效的管理，防止统计资料的泄露呢？

一、统计信息资料泄露概念

统计泄露是指统计部门在为社会提供的统计信息资料中，不泄露任一单个个体 （如个人、企事业单位等 ）的资料。这里有两层意思 ，一层是统计泄露的问题，另一层是控制方法的问题 ，两者是密不可分的。

众所周知，统计部门对外公布的资料，基本上来说有两种，即汇总 （综合 ）资料和微观资料 （调查单位原始资料 ）。事实上 ，原始数据是汇总数据的原材料，在计算机大规模使用以前 ，实际上我们只把它用来汇总制表 ，然后向社会提供汇总数据。现在，由于计算机现代化技术的应用 ，使原始数据的提供变成了现实，我们也在不知不觉中以某种形式向社会提供了这方面的服务。由于原始数据泄露的危险性大大高于汇总数据，所以 ，人们对统计泄露控制的需求日益增加。

统计机构的目标是为社会提供丰富的统计资料，在提高数据质量和详细程度的同时，也增加了单个个体资料泄露的危险性。这种泄露当然不是统计产品本身的意图，而是由于社会获取资料的权力与单个个体资料需要保密的权力之间的差距造成的。因此，简单的说，统计泄露控制的最大目标就是在有效的保护单个个体资料（使人们认不出资料属于哪个个体）的前提下，为社会提供尽可能多的信息（但不应损害数据的完整性、准确性和可用性）

二、目前统计信息资料泄露的现状

进入信息时代，信息成为一项重要资产。以网络为载体，以信息资产为核心的新经济革新了传统的资产运营模式。信息资产蕴涵的价值随着技术的进步不断得到提升。企业需要把信息看作一种战略资源，将其作为资产要素进行有效监管，其中包括了对信息本身、信息技术及设备、从事信息活动的组织和人员的有效管理。

目前，个人信息泄露问题非常严重，个人信息泄露危害无处不在。刚拿到新房钥匙就有人上门推销装修、保单刚要到期就有人向你推销保险、刚打完股票咨询电话众多股票公司的服务电话就蜂拥而至、刚从电视购物买了东西就有很多公司打来新产品的推销电话。包括姓名、职业、电话、家庭住址等在内的个人信息资料不经意就会被公然暴露在世人面前。一家门户网站曾做过一次有关个人信息泄露的调查，结果显示，90%的网友遭遇过个人信息泄露。现在更是出现了明码标价售卖个人信息的情况，在某些网站只需输入搜索的人名，就可以立即查到此人的信息，甚至包括家庭电话、手机号码、工作单位、婚姻状况、犯罪记录、银行借贷记录、个人财产记录等个人重要信息。如“100元出售当地30万车主电话、地址等详细信息”、“孕产妇信息一元一条”之类的信息，也频繁在网上出现。更为严重的是，这些泄露出去的信息往往被犯罪分子利用。目前，利用个人信息进行敲诈、诈骗的案件已成高发态势，防不胜防。信息化在提高企业管理效率的同时，也使企业同时承受着巨大的信息安全的风险。全球平均20秒就发生一次计算机病毒入侵；互联网上的防火墙约25%被攻破；窃取商业信息的事件平均以每月260%的速度增加；约70%的网络主管报告了因机密信息泄露而受损失。而病毒的泛滥，更让国内众多企业蒙受了巨额的经济损失。因此，加强信息安全建设，已成为目前国内外企业迫在眉睫的大事。

三、统计信息资料泄露的危害

首先给犯罪分子以可乘之机，我国社会的不断发展，个人信息使用频率不断增加，伴随着这种趋势，个人信息受到侵犯的情况也已呈蔓延之势，给人们的工作和生活带来了极大的影响。目前，利用个人信息进行敲诈、诈骗的案件已成高发态势，防不胜防。2012年10月31日江苏一起诈骗案，5个月竟然拨打7000个电话，骗了22名受害人。

其次造成公民对调查机构的信任危机，作为一名统计人员，我有切身体会，2010年的人口普查，按照上级统计要求必须进入每家每户，取得填写个人资料，然而当我们带着工作证挨家挨户去敲住户的门时，遇到的各种状况，让我终身难忘记，有的不开门，有的即使开门了也不给进屋，甚至进屋后还冷着脸，好像我们就是小偷，就是来窃取他们的个人资料似的，还有的说着难听的话，这就是对我们公共调查机构产生了一种信任危机，担心我们把取得的资料给他们泄露出去，给他们带来骚扰、损失或伤害。

四、统计信息资料泄露的控制方法

1、对外时采取的保护措施

首先对原始资料的保护，在对原始资料对外进行公布的时候，要对原始资料进行必要的修改，确保对外公布的安全性，对原始数据的保护有以下几种方法a、隐名法。即在原始数据之前，从文件中删除直接表识变量，如姓名、地址、电话等。b、抽样法。由于是从普查对象中随机抽选的一个样本，所以就无法确定某记录是否属于某个特定的个体。c、全局重编码。把原始数据资料中的变量按新的变量重新分组，由于它包含的资料没有原始数据那么详细，因而也起到了避免泄露数据的作用。d、局部隐藏。这种方法指导数据资料中的相关记录进行处理，而不对全部记录进行替换，这种方法实用任何变量。e、取消极端数据。为了避免数据资料，在公布是把这些极端数据从原始资料中删除。

其次就是对汇总的数据资料的保护a、“单元隐藏”法。这是一种最常用的方法，就是简单地把不公布的单元的值从表中隐藏掉，这种方法应注意的一个问题是，尽可能避免数据用户通过表中的相关数据计算或估算出个体资料。b、重新设计汇总表。除了隐藏单元的数据外，人们还可以考虑重新设计汇总表，如行合并、列合并等。c、改变分组的范围。这种泄露控制的目标，是通过改变分组的范围来避免统计资料的泄露。d、近似数。这种方法主要是通过对结果进行干扰，以达到对出现频数较小的数据单元进行保护的目的，这种方法的基本指导思想是：先确定取舍的基数，然后再找该数的最大整数倍数，最后再按照一定的“近似规则”对余数进行取舍。

2、在数据存储方面，采用可靠的存储介质

现代科技发展，信息技术产业盛行，很多病毒的发明严重威胁着计算机的安全，导致信息泄露，计算机网络安全信息管理很有必要。由于不同的存储方式的安全性不同，可以选择保密性好的数据库文件，而且在相应数据库管理系统中能够实现强大的数据操作系统；其次选用安全性能好的存储介质，切实做到网络信息安全防护，才能有利的实现健康的计算机网络安全环境，有效的防止统计信息泄露。

3、建立统计信息保护的网络系统工程，减少中间环节

加强统计网络信息传递的安全因素。首先，对信息共享的过程进行监控。在施行信息交流和共享过程的同时，应加强信息交流和共享数据的动态控制；其次，加强防火墙建设，免遭网络信息集成中的信息系统遭受外部黑客人侵的危险。统计信息的泄露很大一部分是网络安全问题带来的，以目前网络信息维护防范的现状，加强信息安全管理就要从计算机安全技术上着手，对计算机系统的安全信息漏洞加以检测、修补、分析，同时根据监测分析的结果制定有针对性的完善防护措施方案；构建安全系统体系即建立起有针对性的系统安全防火墙、网络杀毒防护软件、入侵检测扫描系统等防护安全体系。严格按照安全管理制度的要求加以规范，同时要加强安全防护意识。目前许多资料的上报都是采用网上直报系统，网上直报系统提供了一个灵活、规范的数据采集和处理平台，大大减少中间环节，降低泄露的几率，

4、加大统计信息泄露刑事处罚力度，加强学习教育，专人保管

统计信息的泄露除了计算机的安全隐患外，人为因素不可忽视，统计人员的责任心不强，导致信息泄露的例子不在少数，对于这些人为因素造成的统计信息泄露，统计部门应该经常组织学习，提高对职业道德重要性的认识，加强统计人员的保密意识，增强统计人员的责任心，同时加大对统计信息泄露的刑事处罚力度。一是对信息资料的泄露者，除按法律规定处罚外，还要利用公众舆论对不注重职业道德的统计人员进行谴责，利用大会小会，讲人不讲事，使其他统计人员从中汲取教训。二是坚持诚信用人的原则。对那些俯首贴耳，弄虚作假，不关心群众的统计人员，坚决不聘用在统计岗位，即使专业能力再强，缺少职业道德也是如此。三是尽快建立完善的市场退出机制。对那些不遵守行业守则，不守信用，泄露个人资料严重者，将驱逐出统计行业。

5、建立统计信息保密制度

（1）对属于根据秘密的统计资料，应该标明密级。（2）在属于国家秘密的统计资料刊物和文件的制作、收发、传递、摘抄、保存和销毁，应严格审批手续，并形成一套制度。（3）不准在私人交往和通信中泄露属于国家秘密的统计资料。（4）属于私人、家庭的单项调查资料，非经本人同意，不得泄露，这里的单项资料是指统计部门收集的反映个人及家庭情况的原始登记材料，这样不仅有利于保护被调查者的合法权益，而且有利于消除被调查者的后顾之忧，增进被调查者对调查者的信任感，使他们能够如实的提供统计资料。

6、建立健全的防止统计信息泄露监督体系

统计监督体系的构建包括内部监督、社会监督的监督体系，内部监督包括要加强对调查项目的管理，取得的统计信息资料进行监督，确保从源头上控制统计信息泄露，降低传输过程中的泄露；社会监督包括通过热线电话、电子邮件和官方网站3种途径受理市民反映统计信息泄露问题，或者聘请社会业务监督员，定期召开座谈会的形式，加大社会监督力度。

监督作为一种权利，常常与利益相伴，即监督与奖惩是紧密联系在一起的，没有有效的奖惩结构，监督作用和效力就随之削弱。当前违法成本较低，很大程度上影响了统计监督效力的发挥本末错位——重视监督检查，忽视制度建设。

改革开放以来，我国统计行业也得到了蓬勃的发展，统计工作取得了巨大的进步，统计是一个信息系统，它的目标是向统计信息使用者提供决策有用的信息，从而充分发挥统计信息资料的作用，切实控制统计信息资料的泄露。

参考文献：

[1]任志勇，张洪毅，孟祥鑫.网络信息安全技术的发展[J].信息与电脑（理论版）， 2009；8

[2]高波. 基于网络信息安全技术的探讨[J].科技资讯，2009；14

[3]梁方明，李海洋.网络信息安全分析与研究方向[J]. 中小企业管理与科技（上旬刊），2009；5

[4]羊兴.网络信息安全技术及其应用[J].科技创新导报，2009；24

[5]赵秦.计算机网络信息安全技术研究[J].中国新技术新产品， 2009；14

[6]石书红.信息安全技术浅析[J].电脑编程技巧与维护，2009；06

第9篇：信息资产的安全属性范文

参照信息安全风险评估规范等标准来说，信息设备信息安全风险包含三个要素，即脆弱性、威胁和资产，每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。具体风险分析原理图如图1所示。从图1中可以发现，信息设备所面临的信息安全风险并非某种单一来源的安全威胁，而是三种要素互相影响、互相关联的某种动态的平衡关系，而信息设备的风险管理本质上讲是对这三种要素造成的安全风险程度的可控管理。

2信息设备全生命周期风险管理

信息设备全生命周期风险管理包括信息设备规划设计阶段、部署阶段、测试阶段、运行阶段和废弃阶段，每个阶段的内容如图2所示。规划设计阶段应能够描述信息系统建成后对现有模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的目标。这个阶段,风险威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。部署阶段是根据规划设计阶段分析的威胁和制定的安全措施,在设备部署阶段应进行质量控制。测试阶段是对已经部署完成的信息设备结合前期规划设计方案的要求对采购来的信息设备进行全面的测试，包括基础测试、功能性测试及安全性测试等。运行阶段让信息设备稳定运行并起到其应有的功能。该阶段应做好设备监控、脆弱性发现、设备异常报警、信息设备日志搜集和分析等工作。废弃阶段存在的风险包括未对残留信息进行适当处理、未对系统组件进行合理的丢弃或更换或未关闭相关连接，对于变更的系统，还可能存在新的信息安全风险，因为其可能替换了新的系统组件等。

3信息设备风险管理体系

传统的信息安全管理体系主要依据ISO27001相关标准搭建,ISO27001标准采用基于风险评估的信息安全风险管理，具体采用了PDCA模型过程方法来全面、系统、持续的改进组织的信息安全管理。ISO27001采用的PDCA模型不仅适用于传统信息安全管理，同时也适用于信息设备的安全风险管理。

3.1总体思路

信息设备风险管理总体借鉴PDCA管理模型的相关理念，将信息安全设计方案制定、各阶段的信息安全风险管理实施、各阶段信息安全管理检查、信息安全管理改进，形成一套有效的安全风险管理防护方法，对信息设备进行不同时间阶段、不同维度、不同重点的管理，有效防范和控制信息安全风险，增强信息安全体系的检测能力、保护能力，为用户开展风险管理提供全方位的管理思路。

3.2风险管理模型

融合传统风险管理的PDCA模型，将传统风险管理中动态模型的思路加以延续，增强信息设备状态的动态特性，主要分为四部分：管理规划、管理实施、管理检查、管理改进。管理规划：决策层要明确政策、目标、策略、计划，形成具体的管理规划，明确组织风险管理的整体目标和方向，确定对信息设备进行风险管理所要达到的目的和状态，从而防止后续制定的风险管理规范和组织与已有的战略决策、制度、规范等相违背而导致不可执行的问题。管理实施：管理层在深入领会和遵照管理规划的指示后深入研究信息设备各阶段所面临的信息安全风险，对信息设备各环节制定详细的风险管理实施规范和标准，以便具体的业务部门、人员等能严格按照管理规划的计划和要求来实施风险管理规范。管理检查：管理检查作为监督信息风险管理实施效果的主要手段之一，需要确保管理检查手段的全面性、科学性、客观性，需要覆盖各个管理阶段，客观而高效的评价风险管理实施效果。管理改进：通过归纳总结前阶段管理检查的工作成果，结合信息设备各阶段在实施信息风险管理中碰到的各类问题，从管理规划、管理实施、管理检查等各阶段提出信息风险管理改进意见，从而持续的改进信息设备各阶段的安全风险管理体系。

3.3风险管理体系的构建

根据安全风险的特点、信息安全三个关键要素以及信息设备各阶段的特点，我们应明确安全风险的几个控制手段，然后有计划的加强整个信息设备安全风险管理体系的建设，才有可能最终有效控制信息安全设备风险。首先，根据企业所处的环境，全面准确的评估安全风险，并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御各种威胁，最终主动降低安全风险。要实现对安全风险的管理和控制，需要实现完整的风险管理流程，具体为发现安全风险，即通过有效的手段确定安全风险的资产和区域、定位安全风险存在的区域、评估安全风险，准确高效的评估安全风险，了解安全风险的大小和实质、强制措施降低风险，通过管理或强制等安全手段，主动降低安全风险、安全防御通过各类系统、网络安全设备、防御各类安全威胁、安全问题修补，主动修补存在的各类安全漏洞，全面降低安全风险。以上是完整的信息设备安全风险管理流程，对整个信息设备安全风险的管理和控制，这些步骤缺一不可，同时，风险管理流程还应根据企业的具体情况，有不同的实现方式。其次，实现信息设备风险管理的详细步骤包括：确定信息安全标准和方针、统计信息设备资产，进行资产识别、检测信息设备资产存在的安全漏洞、了解潜在的威胁、分析存在的安全风险、通过各种手段如安全防护产品来降低已有的安全风险、对信息设备评估安全效果和影响、对已有信息设备安全策略进行对比及改进。最后，实现完善的信息设备安全风险管理，还需要有计划的完善自身的安全风险管理体系，制定相应的整体安全策略。建立全面的资产管理和风险管理体系，整合现有的安全设备和手段，形成信息设备成熟完备的动态安全风险管理体系。

4结束语