信息資產(chǎn)的安全屬性精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息資產(chǎn)的安全屬性主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息資產(chǎn)的安全屬性范文

論文關(guān)鍵詞：信息安全　風(fēng)險評估　風(fēng)險分析

論文摘要：本文設(shè)計的信息安全風(fēng)險評估輔助系統(tǒng)是一個多專家評估系統(tǒng)，主要模塊分為風(fēng)險評估管理端、系統(tǒng)評估端、信息庫管理端和知識庫管理端，嚴格按照《指南》的風(fēng)險評估流程進行評估，使評估結(jié)果更全面更客觀。

一、前言

電力系統(tǒng)越來越依賴電力信息網(wǎng)絡(luò)來保障其安全、可靠、高效的運行，該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行，因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩[1，2]。風(fēng)險評估具體的評估方法從早期簡單的純技術(shù)操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點，以威脅為觸發(fā)，以技術(shù)、管理、運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型[3]。

二、信息安全風(fēng)險評估

在我國，風(fēng)險評估工作已經(jīng)完成了調(diào)查研究階段、標(biāo)準(zhǔn)草案編制階段和全國試點工作階段，國信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險評估指南》[4]（簡稱《指南》）得到了較好地實踐。本文設(shè)計的工具是基于《指南》的，涉及內(nèi)容包括：

（一）風(fēng)險要素關(guān)系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與基本要素相關(guān)的各類屬性。

（二）風(fēng)險分析原理。資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。

（三）風(fēng)險評估流程。包括風(fēng)險評估準(zhǔn)備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認、風(fēng)險分析、風(fēng)險消減[5]。

三、電力信息網(wǎng)風(fēng)險評估輔助系統(tǒng)設(shè)計與實現(xiàn)

本文設(shè)計的信息安全風(fēng)險評估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn)，設(shè)計階段參考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等風(fēng)險評估工具。系統(tǒng)采用C/S結(jié)構(gòu)，是一個多專家共同評估的風(fēng)險評估工具。分為知識庫管理端、信息庫管理端、系統(tǒng)評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風(fēng)險評估的主體。下面對系統(tǒng)各部分的功能模塊進行詳細介紹：

（一）評估管理端。評估管理端控制風(fēng)險評估的進度，綜合管理系統(tǒng)評估端的評估結(jié)果。具體表現(xiàn)在：開啟評估任務(wù)；分配風(fēng)險評估專家；對準(zhǔn)備階段、資產(chǎn)識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風(fēng)險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認，對多個專家的評估數(shù)據(jù)進行綜合，得到綜合評估結(jié)果。

（二）系統(tǒng)評估端。系統(tǒng)評估端由多個專家操作，同時開展評估。系統(tǒng)評估端要經(jīng)歷如下階段：a.準(zhǔn)備階段：評估系統(tǒng)中CIA的相對重要性；b.資產(chǎn)識別階段；c.威脅識別階段；d.脆弱性識別階段；e.已有控制措施識別階段；f.風(fēng)險分析階段；g.控制措施選擇階段。在完成了風(fēng)險評估的所有階段之后，和評估管理端一樣，可以瀏覽、導(dǎo)出、打印評估的結(jié)果—風(fēng)險評估報表系列。

（三）信息庫管理端。信息庫管理端由資產(chǎn)管理，威脅管理，脆弱點管理，控制措施管理四部分組成。具體功能是：對資產(chǎn)大類、小類進行管理；對威脅列表進行管理；對脆弱點大類、列表進行管理；對控制措施列表進行管理。

（四）知識庫管理端。知識庫的管理分為系統(tǒng)CIA問卷管理，脆弱點問卷管理，威脅問卷管理，資產(chǎn)屬性問卷管理，控制措施問卷管理，控制措施損益問卷管理六部分。

四、總結(jié)

信息安全風(fēng)險評估是一個新興的領(lǐng)域，本文在介紹了信息安全風(fēng)險評估研究意義的基礎(chǔ)之上，詳細闡述了信息安全風(fēng)險評估輔助工具的結(jié)構(gòu)設(shè)計和系統(tǒng)主要部分的功能描述。測試結(jié)果表明系統(tǒng)能對已有的控制措施進行識別，分析出已有控制措施的實施效果，為風(fēng)險處理計劃提供依據(jù)。

參考文獻

[1]Huisheng Gao，Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network，IEEE，2007.

[2]Masami Hasegawa，Toshiki Ogawa，Security Measures for the Manufacture and Control System，SICE Annual Conference 2007.

[3]左曉棟等.對信息安全風(fēng)險評估中幾個重要問題的認識[J].計算機安全，2004，7:64-66

第2篇：信息資產(chǎn)的安全屬性范文

關(guān)鍵詞：信息安全安全屬性安全建設(shè)

我國信息化安全建設(shè)任務(wù)非常艱巨，主要包括各種業(yè)務(wù)的社會公網(wǎng)、行業(yè)專網(wǎng)、互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施運營、管理和服務(wù)的安全自主保障、安全監(jiān)管、安全應(yīng)急和打擊信息犯罪為核心的威懾體系的建設(shè)，其內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)安全建設(shè)、領(lǐng)域和企業(yè)的業(yè)務(wù)信息化安全建設(shè)、網(wǎng)絡(luò)內(nèi)容與行為的安全建設(shè)和用戶關(guān)注的網(wǎng)絡(luò)安全建設(shè)等方面。這些安全建設(shè)對于不同的領(lǐng)域和領(lǐng)導(dǎo)層面關(guān)注的內(nèi)容、對象和程度各不相同。網(wǎng)絡(luò)信息安全是一個完整的、系統(tǒng)的概念。它既是一個理論問題，同時又是一個工程實踐問題。由于互聯(lián)網(wǎng)的開發(fā)性、復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全系統(tǒng)需要有一個完整的、嚴謹?shù)捏w系結(jié)構(gòu)來保證網(wǎng)絡(luò)中信息的安全。

1 信息安全的定義及目標(biāo)

信息的定義，從廣義上講，信息是任何一個事物的運動狀態(tài)以及運動狀態(tài)形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術(shù)安全管理指南》定義：信息是通過在數(shù)據(jù)上施加某此約定而賦予這此數(shù)據(jù)的特殊含義。信息是無形的，借助于信息媒體以多種形式存在和傳播，同時。信息也是一種重要資產(chǎn)，具有價值，需要保護。信息安全的目標(biāo)是信息資產(chǎn)被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標(biāo)。信息安全的保護對象包括了計算機硬件、軟件和數(shù)據(jù)。就本質(zhì)而言，信息安全所針對的均是“信息”這種資源的“安全”，對信息安全的理解應(yīng)從信息化背景出發(fā)，最終落實在信息的安全屬性上。

2 構(gòu)建網(wǎng)絡(luò)信息化安全的意義

能否有效地保護信息資源，保護信息化進程健康、有序、可持續(xù)發(fā)展，直接關(guān)乎國家安危，關(guān)乎民族興亡，是國家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩(wěn)固的經(jīng)濟安全和軍事安全，更沒有完整意義上的國家安全。信息安全是信息技術(shù)發(fā)展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的，它只是服務(wù)于信息化的一種手段，其針對的是信息化這種戰(zhàn)略資源的安全，其主旨在于為信息化保駕護航。

3 網(wǎng)絡(luò)信息化的安全屬性

信息安全的概念與信息的本質(zhì)屬性有著必然的聯(lián)系，它是信息的本質(zhì)屬性所體現(xiàn)的安全意義。說安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來看的，信息安全最初目標(biāo)，叫數(shù)據(jù)安全，它關(guān)心的是數(shù)據(jù)自身，所以是一個狹義的數(shù)據(jù)安全，是保護信息自身的安全。

3.1 保密性（Confidentiality）

在傳統(tǒng)信息環(huán)境中，普通人通過郵政系統(tǒng)發(fā)信件時，為了個人隱私要裝上信封?？墒堑搅诵畔⒒瘯r代，信息在網(wǎng)上傳播時，如果沒有這個“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權(quán)的用戶、實體或進程，或被其利用的特性。保密性不但包括信息內(nèi)容的保密，還包括信息狀態(tài)的保密。

3.2 完整性（Integrality）

完整性是指信息未經(jīng)授權(quán)不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同，機密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權(quán)實體訪問并按需求使用的特性。在授權(quán)用戶或?qū)嶓w需要信息服務(wù)時，信息服務(wù)應(yīng)該可以使用，或者是信息系統(tǒng)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務(wù)。易用性一般用系統(tǒng)正常使用時間和整個工作時間之比來度量。

4 構(gòu)建網(wǎng)絡(luò)信息化安全管理體系

在面向網(wǎng)絡(luò)信息的安全系統(tǒng)中，安全管理是應(yīng)得到高度重視的。這是因為，據(jù)相關(guān)部門統(tǒng)計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡單歸類，屬于管理方面的原因比重高達70％以上，這正應(yīng)了人們常說的“三分技術(shù)，七分管理”的箋言。因此，解決網(wǎng)絡(luò)與信息安全問題，不僅應(yīng)從技術(shù)方面著手，更應(yīng)加強網(wǎng)絡(luò)住所的管理工作。

好的網(wǎng)絡(luò)信息化安全管理體現(xiàn)在以下幾個方面：在組織內(nèi)部建立全面的信息安全管理體系，強調(diào)信息安全是一個管理過程，而非技術(shù)過程；強調(diào)信息保密性、完整性、易用性三者在關(guān)鍵流程中運用的平衡；把信息提高到組織資產(chǎn)的高度，強調(diào)對組織信息資產(chǎn)進行價值及影響評估，對信息資產(chǎn)的脆弱性及其面臨的威脅進行分析，運用風(fēng)險評估、風(fēng)險管理手段管理信息安全，使組織風(fēng)險降低到可接受的水平；從法律和最好的實踐經(jīng)驗角度，實施全面的控制措施，使組織信息安全威脅的方方面面置于嚴密控制之下；強調(diào)領(lǐng)導(dǎo)在信息安全管理中的作用；強調(diào)信息安全方針在管理體系中的作用；強調(diào)對信息技術(shù)及工具的實時和有效管理；強調(diào)組織運作的連續(xù)性及業(yè)務(wù)連續(xù)性的管理；強調(diào)信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程；信息安全應(yīng)該是一個以“價值”為基礎(chǔ)的過程，即信息安全管理應(yīng)是一個有附加價值，并講究投入產(chǎn)出比的過程。

5 關(guān)注信息化安全服務(wù)的綜合性、高技術(shù)性和對策性特點

信息安全產(chǎn)業(yè)有其鮮明的特點，雖然產(chǎn)生于信息化和信息系統(tǒng)，依然與通常的IT服務(wù)有許多區(qū)別。信息化安全的基本特征是服務(wù)性的。這種服務(wù)性與一般軟件的服務(wù)性是不同的。一般應(yīng)用系統(tǒng)或產(chǎn)品的服務(wù)主要是維護和培訓(xùn)，通常服務(wù)是非對策性的、非動態(tài)的和比較固定的。信息化安全服務(wù)是對策性的、動態(tài)性的、不斷產(chǎn)生新內(nèi)容的和似乎永遠不能成熟等特性。信息化安全服務(wù)范疇幾乎包括了整個信息化所包括的所有產(chǎn)品和系統(tǒng)，其服務(wù)的綜合性和復(fù)雜性是顯而易見的。信息化安全服務(wù)是最高技術(shù)的服務(wù)，無論從設(shè)計角度和使用的角度都要求深入、熟練和非常專業(yè)。我們可以驕傲地說，信息化安全服務(wù)是世界上最偉大的服務(wù)業(yè)，也是最困難的服務(wù)業(yè)。信息化安全服務(wù)的復(fù)雜性、高成本特性要求信息化安全企業(yè)必須在安全服務(wù)的遠程化和化的推進方面做出不懈努力，不斷降低服務(wù)成本。

6 結(jié)語

網(wǎng)絡(luò)信息安全不僅僅是一個純技術(shù)層面的問題，單靠技術(shù)因素不足以保證網(wǎng)絡(luò)中信息的安全。網(wǎng)絡(luò)信息安全還涉及到法律、管理、標(biāo)準(zhǔn)等多方面的問題。因此，信息安全是一個相當(dāng)復(fù)雜的問題，只有協(xié)調(diào)好這些體系之間的關(guān)系，才能有效保證系統(tǒng)的安全。

參考文獻

第3篇：信息資產(chǎn)的安全屬性范文

隨著信息化的不斷推進，信息設(shè)備的使用也變得越來越廣泛，越來越多單位的主營業(yè)務(wù)系統(tǒng)開始基于信息設(shè)備來構(gòu)建，鑒于此，信息設(shè)備及信息系統(tǒng)是否能持續(xù)穩(wěn)定的運行以及承載在這些信息設(shè)備之上的數(shù)據(jù)是否安全成為關(guān)注的熱點問題。目前信息數(shù)據(jù)的主要載體便是各種類型的信息設(shè)備，所以對信息設(shè)備的信息安全防護即是對其包含的信息數(shù)據(jù)的安全防護。隨著信息設(shè)備所面臨的越來越嚴峻的信息安全威脅，如何做好信息設(shè)備的風(fēng)險管理工作是一個值得深入探討的課題。

2信息設(shè)備風(fēng)險管理

2.1信息設(shè)備的風(fēng)險概述

參照信息安全風(fēng)險評估規(guī)范等標(biāo)準(zhǔn)來說，信息設(shè)備信息安全風(fēng)險包含三個要素，即脆弱性、威脅和資產(chǎn)，每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。信息設(shè)備所面臨的信息安全風(fēng)險并非某種單一來源的安全威脅，而是三種要素互相影響、互相關(guān)聯(lián)的某種動態(tài)的平衡關(guān)系，而信息設(shè)備的風(fēng)險管理本質(zhì)上講是對這三種要素造成的安全風(fēng)險程度的可控管理。

2.2信息設(shè)備全生命周期風(fēng)險管理

信息設(shè)備全生命周期風(fēng)險管理包括信息設(shè)備規(guī)劃設(shè)計階段、部署階段、測試階段、運行階段和廢棄階段。規(guī)劃設(shè)計階段應(yīng)能夠描述信息系統(tǒng)建成后對現(xiàn)有模式的作用,包括技術(shù)、管理等方面,并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達到的目標(biāo)。這個階段,風(fēng)險威脅應(yīng)根據(jù)未來系統(tǒng)的應(yīng)用對象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進行分析。部署階段是根據(jù)規(guī)劃設(shè)計階段分析的威脅和制定的安全措施,在設(shè)備部署階段應(yīng)進行質(zhì)量控制。測試階段是對已經(jīng)部署完成的信息設(shè)備結(jié)合前期規(guī)劃設(shè)計方案的要求對采購來的信息設(shè)備進行全面的測試，包括基礎(chǔ)測試、功能性測試及安全性測試等。運行階段讓信息設(shè)備穩(wěn)定運行并起到其應(yīng)有的功能。該階段應(yīng)做好設(shè)備監(jiān)控、脆弱性發(fā)現(xiàn)、設(shè)備異常報警、信息設(shè)備日志搜集和分析等工作。廢棄階段存在的風(fēng)險包括未對殘留信息進行適當(dāng)處理、未對系統(tǒng)組件進行合理的丟棄或更換或未關(guān)閉相關(guān)連接，對于變更的系統(tǒng)，還可能存在新的信息安全風(fēng)險，因為其可能替換了新的系統(tǒng)組件等。

2.3信息設(shè)備風(fēng)險管理體系

傳統(tǒng)的信息安全管理體系主要依據(jù)ISO27001相關(guān)標(biāo)準(zhǔn)搭建,ISO27001標(biāo)準(zhǔn)采用基于風(fēng)險評估的信息安全風(fēng)險管理，具體采用了PDCA模型過程方法來全面、系統(tǒng)、持續(xù)的改進組織的信息安全管理。ISO27001采用的PDCA模型不僅適用于傳統(tǒng)信息安全管理，同時也適用于信息設(shè)備的安全風(fēng)險管理。

2.3.1總體思路

信息設(shè)備風(fēng)險管理總體借鑒PDCA管理模型的相關(guān)理念，將信息安全設(shè)計方案制定、各階段的信息安全風(fēng)險管理實施、各階段信息安全管理檢查、信息安全管理改進，形成一套有效的安全風(fēng)險管理防護方法，對信息設(shè)備進行不同時間階段、不同維度、不同重點的管理，有效防范和控制信息安全風(fēng)險，增強信息安全體系的檢測能力、保護能力，為用戶開展風(fēng)險管理提供全方位的管理思路。

2.3.2風(fēng)險管理模型

融合傳統(tǒng)風(fēng)險管理的PDCA模型，將傳統(tǒng)風(fēng)險管理中動態(tài)模型的思路加以延續(xù)，增強信息設(shè)備狀態(tài)的動態(tài)特性，主要分為四部分：管理規(guī)劃、管理實施、管理檢查、管理改進。管理規(guī)劃：決策層要明確政策、目標(biāo)、策略、計劃，形成具體的管理規(guī)劃，明確組織風(fēng)險管理的整體目標(biāo)和方向，確定對信息設(shè)備進行風(fēng)險管理所要達到的目的和狀態(tài)，從而防止后續(xù)制定的風(fēng)險管理規(guī)范和組織與已有的戰(zhàn)略決策、制度、規(guī)范等相違背而導(dǎo)致不可執(zhí)行的問題。管理實施：管理層在深入領(lǐng)會和遵照管理規(guī)劃的指示后深入研究信息設(shè)備各階段所面臨的信息安全風(fēng)險，對信息設(shè)備各環(huán)節(jié)制定詳細的風(fēng)險管理實施規(guī)范和標(biāo)準(zhǔn)，以便具體的業(yè)務(wù)部門、人員等能嚴格按照管理規(guī)劃的計劃和要求來實施風(fēng)險管理規(guī)范。管理檢查：管理檢查作為監(jiān)督信息風(fēng)險管理實施效果的主要手段之一，需要確保管理檢查手段的全面性、科學(xué)性、客觀性，需要覆蓋各個管理階段，客觀而高效的評價風(fēng)險管理實施效果。管理改進：通過歸納總結(jié)前階段管理檢查的工作成果，結(jié)合信息設(shè)備各階段在實施信息風(fēng)險管理中碰到的各類問題，從管理規(guī)劃、管理實施、管理檢查等各階段提出信息風(fēng)險管理改進意見，從而持續(xù)的改進信息設(shè)備各階段的安全風(fēng)險管理體系。

2.3.3風(fēng)險管理體系的構(gòu)建

根據(jù)安全風(fēng)險的特點、信息安全三個關(guān)鍵要素以及信息設(shè)備各階段的特點，我們應(yīng)明確安全風(fēng)險的幾個控制手段，然后有計劃的加強整個信息設(shè)備安全風(fēng)險管理體系的建設(shè)，才有可能最終有效控制信息安全設(shè)備風(fēng)險。首先，根據(jù)企業(yè)所處的環(huán)境，全面準(zhǔn)確的評估安全風(fēng)險，并根據(jù)安全風(fēng)險的狀況結(jié)合系統(tǒng)、網(wǎng)絡(luò)層面的安全防御手段有效抵御各種威脅，最終主動降低安全風(fēng)險。要實現(xiàn)對安全風(fēng)險的管理和控制，需要實現(xiàn)完整的風(fēng)險管理流程，具體為發(fā)現(xiàn)安全風(fēng)險，即通過有效的手段確定安全風(fēng)險的資產(chǎn)和區(qū)域、定位安全風(fēng)險存在的區(qū)域、評估安全風(fēng)險，準(zhǔn)確高效的評估安全風(fēng)險，了解安全風(fēng)險的大小和實質(zhì)、強制措施降低風(fēng)險，通過管理或強制等安全手段，主動降低安全風(fēng)險、安全防御通過各類系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、防御各類安全威脅、安全問題修補，主動修補存在的各類安全漏洞，全面降低安全風(fēng)險。以上是完整的信息設(shè)備安全風(fēng)險管理流程，對整個信息設(shè)備安全風(fēng)險的管理和控制，這些步驟缺一不可，同時，風(fēng)險管理流程還應(yīng)根據(jù)企業(yè)的具體情況，有不同的實現(xiàn)方式。其次，實現(xiàn)信息設(shè)備風(fēng)險管理的詳細步驟包括：確定信息安全標(biāo)準(zhǔn)和方針、統(tǒng)計信息設(shè)備資產(chǎn)，進行資產(chǎn)識別、檢測信息設(shè)備資產(chǎn)存在的安全漏洞、了解潛在的威脅、分析存在的安全風(fēng)險、通過各種手段如安全防護產(chǎn)品來降低已有的安全風(fēng)險、對信息設(shè)備評估安全效果和影響、對已有信息設(shè)備安全策略進行對比及改進。最后，實現(xiàn)完善的信息設(shè)備安全風(fēng)險管理，還需要有計劃的完善自身的安全風(fēng)險管理體系，制定相應(yīng)的整體安全策略。建立全面的資產(chǎn)管理和風(fēng)險管理體系，整合現(xiàn)有的安全設(shè)備和手段，形成信息設(shè)備成熟完備的動態(tài)安全風(fēng)險管理體系。

3結(jié)束語

第4篇：信息資產(chǎn)的安全屬性范文

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫、身份認證平臺、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護一個良好的信息安全管理體系是一項非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險評估是構(gòu)建和維護信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過識別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對組織造成的影響。對數(shù)字校園進行信息安全風(fēng)險評估有助于及時發(fā)現(xiàn)和解決存在的信息安全問題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個良好的信息安全管理體系奠定堅實基礎(chǔ)。

二、評估標(biāo)準(zhǔn)

由于信息安全風(fēng)險評估的基礎(chǔ)性作用，包括我國在內(nèi)的信息化程度較高的國家以及相關(guān)國際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001：2005）、美國NIST制定的SP800系列標(biāo)準(zhǔn)、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式，作為一種全球性的信息安全管理國際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動，同時也為評估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒有制定明確的信息安全風(fēng)險評估流程，組織可以自行選擇適合自身特點的信息安全風(fēng)險評估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國信息安全風(fēng)險評估工作的開展，我國于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007），這是我國自主研究和制定的信息安全風(fēng)險評估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致，但對信息安全風(fēng)險評估過程進行了細化，使得更加適合我國企業(yè)或者組織的信息安全風(fēng)險評估工作開展。

三、評估流程

《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）等標(biāo)準(zhǔn)為風(fēng)險評估提供了方法論和流程，為風(fēng)險評估各個階段的工作制定了規(guī)范，但標(biāo)準(zhǔn)沒有規(guī)定風(fēng)險評估實施的具體模型和方法，由風(fēng)險評估實施者根據(jù)業(yè)務(wù)特點和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場景理論和通用弱點評價體系（CVSS）等風(fēng)險評估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險評估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險評估首先在充分識別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價值、威脅等級和脆弱性等級，然后根據(jù)風(fēng)險矩陣計算得出信息資產(chǎn)的風(fēng)險值分布表。數(shù)字校園信息安全風(fēng)險評估的詳細流程如下：

（1）資產(chǎn)識別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對數(shù)字校園的信息資產(chǎn)進行識別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實際價格，更重要的是要考慮資產(chǎn)對組織的信息安全重要程度，即信息資產(chǎn)的機密性、完整性和可用性在受到損害后對組織造成的損害程度，預(yù)計損害程度越高則賦值越高。

在確定了資產(chǎn)的機密性、完整性和可用性的賦值等級后，需要經(jīng)過綜合評定得出資產(chǎn)等級。綜合評定方法一般有兩種：一種方法是選取資產(chǎn)機密性、完整性和可用性中最為重要的一個屬性確定資產(chǎn)等級；還有一種方法是對資產(chǎn)機密性、完整性和可用性三個賦值進行加權(quán)計算，通常采用的加權(quán)計算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點確定。

設(shè)資產(chǎn)的機密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級值為，則

相加法的計算公式為v=f（x，y，z）=ax+by+cz，其中a+b+c=1（1）

（2）威脅識別：威脅分為實際威脅和潛在威脅，實際威脅識別需要通過訪談和專業(yè)檢測工具，并通過分析入侵檢測系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對實際發(fā)生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點對潛在可能發(fā)生的威脅進行充分識別和分類。

（3）脆弱性識別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測軟件進行檢測，然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別，包括對已有的控制措施的有效性也一并識別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨對威脅和脆弱性進行賦值從而造成風(fēng)險分析計算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進行關(guān)聯(lián)。

（5）風(fēng)險值計算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險計算方法計算每個“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險值，并最終得到整個數(shù)字校園的風(fēng)險值分布表，并依據(jù)風(fēng)險接受準(zhǔn)則，確認可接受和不可接受的風(fēng)險。

四、評估實例

本文以筆者所在高職院校的數(shù)字校園作為研究對象實例，利用前面所述的信息安全風(fēng)險評估流程對該實例對象進行信息安全風(fēng)險評估。

1.資產(chǎn)識別與評估

數(shù)字校園的資產(chǎn)識別與評估包括資產(chǎn)識別和資產(chǎn)價值計算。

（1）資產(chǎn)識別

信息安全風(fēng)險評估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識別小組，小組通過現(xiàn)場清查、問卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個業(yè)務(wù)系統(tǒng)的工作流程，詳細地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件（如服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊、工作日志等）、人員和服務(wù)等。為了對資產(chǎn)進行標(biāo)準(zhǔn)化管理，識別小組對各個資產(chǎn)進行了編碼，便于標(biāo)準(zhǔn)化和精確化管理。

（2）資產(chǎn)價值計算

獲得數(shù)字校園的信息資產(chǎn)詳細列表后，資產(chǎn)識別小 組召開座談會確定每個信息資產(chǎn)的價值，即對資產(chǎn)的機密性、完整性、可用性進行賦值，三性的賦值為1～5的整數(shù)，1代表對組織造成的影響或損失最低，5代表對組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點，采用相加法確定資產(chǎn)的價值。該數(shù)字校園的軟件類資產(chǎn)計算樣例表如下表1所示。

由于資產(chǎn)價值的計算結(jié)果為1～5之間的實數(shù)，為了與資產(chǎn)的機密性、完整性、可用性賦值相對應(yīng)，需要對資產(chǎn)價值的計算結(jié)果歸整，歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級結(jié)果如表1所示。

因為數(shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點防范，不重要的可以不用考慮或者減少投入。在識別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點關(guān)注。不同的組織對關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同，本文將資產(chǎn)等級值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識別清單中予以注明，如表1所示。

2.威脅和脆弱性識別與評估

數(shù)字校園與其他計算機網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時數(shù)字校園作為一種在校園內(nèi)部運行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過破壞資產(chǎn)的一個或多個安全屬性而產(chǎn)生信息安全風(fēng)險，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項資產(chǎn)可能面臨多個威脅，一個威脅可能作用于多項資產(chǎn)。威脅的識別方法是在資產(chǎn)識別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個方面對資產(chǎn)面臨的威脅進行識別。在分析數(shù)字校園實際發(fā)生的網(wǎng)絡(luò)威脅時，需要檢查入侵檢測系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署、運維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對數(shù)字校園的資產(chǎn)造成損害，進而對數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機房物理環(huán)境設(shè)計缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識別主要采用問卷調(diào)查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測工具檢測脆弱性，可以獲得較高的檢測效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對數(shù)字校園進行技術(shù)脆弱性識別和評估。

管理脆弱性識別的主要內(nèi)容就是對數(shù)字校園現(xiàn)有的安全控制措施進行識別與確認，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無效的安全控制措施會提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實施、運行和維護等過程同步建設(shè)與完善，具有較強的針對性，識別比較容易。管理和操作控制措施識別需要對照ISO27001標(biāo)準(zhǔn)的《信息安全實用規(guī)則指南》或NIST的《最佳安全實踐相關(guān)手冊》制訂的表格進行，避免遺漏。

3.風(fēng)險計算

完成數(shù)字校園的資產(chǎn)識別、威脅識別、脆弱性識別和已有控制措施識別任務(wù)后，進入風(fēng)險計算階段。

對于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場景”方法進行風(fēng)險分析。“構(gòu)建威脅場景”方法基于“具體問題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評價威脅導(dǎo)致風(fēng)險計算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》要求進行風(fēng)險計算。為了便于計算，需要將前面各個階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因為在對脆弱性賦值的時候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

本文采用的風(fēng)險計算方法為《信息安全風(fēng)險評估規(guī)范》中推薦的矩陣法，風(fēng)險值計算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險計算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計算安全事件可能性值；

（b）對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計算安全事件損失值；

（d）對照《安全事件損失等級劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級值；

（e）根據(jù)安全事件可能性等級值和安全事件損失等級值，查詢《風(fēng)險矩陣》計算安全事件風(fēng)險值；

（f）對照《風(fēng)險等級劃分矩陣》將安全事件風(fēng)險值轉(zhuǎn)換為安全事件風(fēng)險等級值。

所有等級值均采用五級制，1級最低，5級最高。

五、結(jié)束語

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險評估是保證數(shù)字校園安全穩(wěn)定的一項基礎(chǔ)性工作。本文的信息安全風(fēng)險評估方法依據(jù)國家標(biāo)準(zhǔn)，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險評估的有效性和科學(xué)性，使得風(fēng)險評估結(jié)果能對后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

參考文獻：

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國教育信息化，2010（4）.

第5篇：信息資產(chǎn)的安全屬性范文

隨著科學(xué)技術(shù)的不斷提高，人們應(yīng)用科學(xué)技術(shù)的水平和應(yīng)用的領(lǐng)域也在不斷的擴展，尤其是網(wǎng)絡(luò)技術(shù)的應(yīng)用是最為廣泛的，在企業(yè)的會計報告模式中的應(yīng)用為企業(yè)打來了很多的便利，比如工作軟件的使用等，為企業(yè)的數(shù)據(jù)的集中采集和處理都帶去了很大的便利，這也是網(wǎng)絡(luò)技術(shù)在會計報告模式中的應(yīng)用，但是在應(yīng)用于會計報告模式的同時還會有一些挑戰(zhàn)需要企業(yè)去解決，比如對企業(yè)會計計量方式的選擇等，因此，網(wǎng)絡(luò)環(huán)境下的會計報告模式在應(yīng)用的同時也需要進行一定的改革。

二、網(wǎng)絡(luò)模式下的會計報告模式遇到的挑戰(zhàn)

1.會計報告中計量方式的忽視

會計報告模式需要考慮的問題就是要采用什么樣的屬性來進行核算，其中有歷史成本和現(xiàn)值這兩種的計量屬性。歷史成本就是對過去獲取資產(chǎn)時采用的價值進行核算，而現(xiàn)值就是對資產(chǎn)未來的價值核算。

而很多的企業(yè)使用的是歷史成本的屬性來進行核算，卻很少使用現(xiàn)值的計量屬性，而歷史成本的核算屬性主要是對企業(yè)過去的資產(chǎn)進行一定的核算，只能反應(yīng)過去企業(yè)的資產(chǎn)價值，而無法估計未來的資產(chǎn)價值，而現(xiàn)值的計量屬性就是對企業(yè)未來的價值進行一定的評估，這樣的計量屬性對企業(yè)未來的發(fā)展能有一定的預(yù)測功能，而企業(yè)的發(fā)展靠的不僅是過去的資產(chǎn)價值，還有未來的資產(chǎn)價值評估，而很多的企業(yè)都不會注意到使用現(xiàn)值的計量方式，忽視會計報告中計量方式的改革。這就使得企業(yè)的會計報告可能會有些片面，沒有一定的前景展望，進而對企業(yè)的發(fā)展有一定的影響。

2.不會利用多種網(wǎng)絡(luò)技術(shù)進行一定的企業(yè)未來規(guī)劃

現(xiàn)今的企業(yè)的會計報告之中，所做的就是對過去資產(chǎn)的核算與評估，利用的網(wǎng)絡(luò)技術(shù)只是簡單的辦公軟件，簡單的表格圖表，而對企業(yè)未來的價值聘雇沒有一定有力可靠的評估，這就使得企業(yè)的未來價值不明確。進而影響企業(yè)的未來發(fā)展。

在企業(yè)耳釘發(fā)展之中只有對企業(yè)未來的價值有一個很好的評估才能夠長久地發(fā)展下去。而在現(xiàn)代的科技社會中，如果不能運用多種的網(wǎng)絡(luò)技術(shù)進行會計報告模式的提升，對企業(yè)的價值進行一定的評估那就可能就會被社會淘汰，這是個快速發(fā)展的社會也是個優(yōu)勝劣汰的社會，因此在如今的社會中，使用多種網(wǎng)絡(luò)技術(shù)進行企業(yè)價值評估，未來的規(guī)劃是一個大的挑戰(zhàn)。

三、企業(yè)在網(wǎng)絡(luò)環(huán)境下的會計報告模式中應(yīng)對挑戰(zhàn)的對策

會計報告模式的計量方式方面要采用現(xiàn)值的計量核算方式，結(jié)合歷史成本的計量方式，在總結(jié)計量企業(yè)過去的資產(chǎn)價值的同時對未來的價值進行一定的估計，對企業(yè)未來的發(fā)展有一定的規(guī)劃。

加強與客戶的交流。在以往的會計報告中，客戶基本與企業(yè)沒有什么交流，這樣客戶的要求企業(yè)不會知道，而企業(yè)的會計報告的生成過程之中出現(xiàn)的問題等等客戶也不會知道，這就使得雙方?jīng)]有互動性，而我們應(yīng)該在會計報告中采用人機對話，使得財務(wù)信息的獲取過程具有交互性，滿足了用戶多樣化和個性化的需求，這樣的方式可以使得客戶和企業(yè)有一定的交流，進而有所反饋，將客戶的意見反饋給企業(yè)，進而對企業(yè)的寬口徑報告的生成有一定的幫助，而客戶也會對企業(yè)的會計報告的生成有一定的了解，進而可以達成客戶與企業(yè)互利雙贏的局面。

上述的方法能夠有效的迎接網(wǎng)絡(luò)環(huán)境下的會計報告模式遇到的挑戰(zhàn)，進而為企業(yè)的發(fā)展帶來美好的愿景。

四、網(wǎng)絡(luò)環(huán)境下的會計報告模式的優(yōu)點

會計數(shù)據(jù)生成快速，信息集中而且能夠得到安全的保存。在會計報告的生成過程中，使用一定的辦公軟件而已將多而雜的數(shù)據(jù)集中起來，列表畫圖，這為數(shù)據(jù)的集中提供了很大的便利。會計報告中肯定有很多的數(shù)據(jù)，有的還對數(shù)據(jù)進行一定的分析，那么如果人工對數(shù)據(jù)的記錄與分析就很容易出錯，而且有的錯誤修改起來十分地麻煩，而運用一定的網(wǎng)絡(luò)技術(shù)就可以將數(shù)據(jù)重復(fù)的利用，很好的保存下來，方便員工對數(shù)據(jù)吉祥鳥記錄和處理，做出圖表進行分析，而且還能為可能會發(fā)生的錯誤提供解決的基礎(chǔ)，大大方便了會計報告的生成，也能使得會計數(shù)據(jù)很安全的保存下來，為后續(xù)的工作提供便利。這樣做不僅可以提高工作的效率，還能提高較高的準(zhǔn)確率。

第6篇：信息資產(chǎn)的安全屬性范文

關(guān)鍵詞：大數(shù)據(jù)時代；電氣工程；大數(shù)據(jù)技術(shù)；應(yīng)用情況

當(dāng)下，國家電網(wǎng)等相關(guān)公司都進一步加強了對于大數(shù)據(jù)技術(shù)等方面的重視。早在2013年，相關(guān)單位就建立了大數(shù)據(jù)技術(shù)方面的團隊。逐漸加強了團隊之間的合作，包括國內(nèi)的各種研究機構(gòu)等，也都實行了廣泛的交流，并且對技術(shù)做了跟蹤研究，這樣就需要對配電網(wǎng)絡(luò)的情況，進行進一步的監(jiān)測和相應(yīng)的分析，有效提升電力與氣象等方面的應(yīng)用，并通過智能電網(wǎng)來對智慧城市的發(fā)展做支撐。通過使用計算機云計算技術(shù)，也就是計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的結(jié)合，從而充分發(fā)揮出相應(yīng)的優(yōu)勢，逐漸地構(gòu)成了新型的信息化計算方式，目前其能夠廣泛應(yīng)用于市場主要有以下幾個優(yōu)勢：可靠性高、使用靈活、延展性高等。

1云計算的基本概述

云計算（cloudcomputing）屬于網(wǎng)狀式的分布性計算法的一種，主要借助網(wǎng)絡(luò)云端將大量數(shù)據(jù)穿入，利用計算公式和程序?qū)ζ浞纸馐崂?，隨之借助多部服務(wù)器系統(tǒng)傳達并處理小程序?qū)⒔Y(jié)果反饋給使用人員?；ヂ?lián)網(wǎng)計算方式的建立綜合了軟件、硬件的信息資源，加大各個電器工程對于信息化技術(shù)的使用力度。使用過程中不斷提升系統(tǒng)更新頻率，這對目前諸多三甲醫(yī)院客戶所使用的計算機云計算系統(tǒng)而言更能穩(wěn)定治療安全性，且用戶使用時可隨時共享信息至終端設(shè)備，不用詳細了解其構(gòu)成知識且操作便捷。

2大數(shù)據(jù)技術(shù)應(yīng)用于電氣工程的意義

近幾年，互聯(lián)網(wǎng)和物聯(lián)網(wǎng)都得到了越來越廣泛的應(yīng)用，特別是在建設(shè)電氣工程時，應(yīng)用大數(shù)據(jù)技術(shù)的優(yōu)勢就是能夠更加及時、準(zhǔn)確地獲得相關(guān)的信息資料。由于很多行業(yè)在工作中介入了云計算工作模式獲得了較高的收益，因此已經(jīng)成為很多人的重點研究方向，望其能夠在各個行業(yè)中得到成熟運用。尤其在電力行業(yè)，不僅能加強業(yè)務(wù)能力以使信息化建設(shè)進程加快，而且可不斷完善管理水平，讓電力管理機構(gòu)管理水準(zhǔn)更進一步，贏得經(jīng)濟收益、口碑、管理效益。另外，大數(shù)據(jù)的相關(guān)技術(shù)也有著速度快、時效高的特點，例如在進行搜索信息的時候，通常需要有幾分鐘之后，才能夠查詢到用戶的相關(guān)信息，而應(yīng)用個性化的推薦算法，能夠盡量的滿足相關(guān)的要求，實現(xiàn)實時推薦，這也與電氣工程的建設(shè)和發(fā)展的要求相符合。另外，需要支出單是大數(shù)據(jù)中的相關(guān)數(shù)據(jù)，需要做到在線易得，尤其是基于互聯(lián)網(wǎng)高速發(fā)展的背景下。例如，在建立電氣工程時，因為相關(guān)的信息需求比較大，還需要做到及時準(zhǔn)確等，因此對于工程項目的數(shù)據(jù)建設(shè)來說，一定要和相關(guān)的數(shù)據(jù)同時在線，這樣能夠更好地實現(xiàn)數(shù)據(jù)的共享與應(yīng)用。

3大數(shù)據(jù)技術(shù)在應(yīng)用時存在的問題

目前，在進行大數(shù)據(jù)的應(yīng)用的時候，還存在著部分問題，所以亟待完善。主要的問題就是在大數(shù)據(jù)應(yīng)用方面的資金投入比較少，而且相關(guān)的大數(shù)據(jù)技術(shù)方面的人才并不是特別多，這樣就阻礙了大數(shù)據(jù)整體的發(fā)展。將電氣工程線路中出現(xiàn)的過載管理作為主要的例子，其相應(yīng)的問題表現(xiàn)就包括有過多的配電線路，整體分布比較廣泛，而且相應(yīng)的變化比較快，具備負載特性差異。另外，在管理上具有較大難度，也存在著部分線路重過載的情況，特別是在夏、冬季節(jié)會對線路安全和可靠供電造成嚴重影響，如果沒有及時對線路重過載的情況進行有效的分析，則沒有辦法實現(xiàn)配網(wǎng)工程立項，也不能提供相對精準(zhǔn)的參考。所以整體線路的工作情況都需要依賴工作人員自身的經(jīng)驗，這樣就不能做到信息的精準(zhǔn)和預(yù)控。另外，雖然應(yīng)用了大數(shù)據(jù)進行信息數(shù)據(jù)處理，但是存在著安全隱私方面的問題，其中比較突出的就是對于個人的行蹤進行鎖定，不能夠很好保障人身安全。因此，針對大數(shù)據(jù)中存在的安全方面的問題一定要加強重視。

4大數(shù)據(jù)技術(shù)在電氣工程中的應(yīng)用措施

4.1做好大數(shù)據(jù)技術(shù)應(yīng)用于電網(wǎng)調(diào)度。為了能夠更好的實現(xiàn)電氣工程的整體的調(diào)度工作，其最主要的目的就是能夠進行電網(wǎng)的調(diào)度，與此同時，還要做好整個電氣自動化系統(tǒng)的調(diào)控。另外，在施行系統(tǒng)的自動化設(shè)計方面，其主要的目的就是能夠?qū)﹄娋W(wǎng)在運行的時候?qū)嵤┙?jīng)濟上的調(diào)度，同樣的還要能夠使電網(wǎng)更加穩(wěn)定的運行。還有就是對于電力生產(chǎn)中產(chǎn)生的數(shù)據(jù)能夠進行分析，并且針對整個系統(tǒng)中的負荷情況進行自動的預(yù)測。之后就是針對顯示出的部分數(shù)據(jù)，充分的排查系統(tǒng)中存在的故障點，避免時間與監(jiān)理的浪費。4.2建立配網(wǎng)資產(chǎn)管理的大數(shù)據(jù)平臺。因為配網(wǎng)所具備的屬性與種類比較多，因此，針對不同屬性的配網(wǎng)工作，一定要保證能夠做好資產(chǎn)管理工作，主要是因為它能夠?qū)崿F(xiàn)配網(wǎng)的自動、經(jīng)濟與穩(wěn)定，這些都是保證配網(wǎng)能夠正常、安全運行的一項非常重要的基礎(chǔ)。另外，針對也要積極的堆現(xiàn)代的計算機技術(shù)進行應(yīng)用，還要積極的建立配網(wǎng)資產(chǎn)管理的大數(shù)據(jù)平臺。這樣才能夠基于資產(chǎn)管理的整體的數(shù)據(jù)平臺，來進行資產(chǎn)的存量和增量。提升相應(yīng)情況的一致性和真實性，另外，在這個平臺上也要能夠?qū)⑴潆娋W(wǎng)的每個設(shè)備充分的體現(xiàn)出來，包括相關(guān)的要素，而針對不同屬性的微觀狀況的差異，也需要對整個配電網(wǎng)相應(yīng)的能力來進行衡量。其中主要就是經(jīng)濟的狀態(tài)，其功率與符合的情況，是否處于安全水平，相應(yīng)的承載能力情況，有沒有發(fā)生故障的可能，以及使用壽命。4.3做好配網(wǎng)資產(chǎn)平臺中的各種類型傳感器的連接。在應(yīng)用配網(wǎng)的比較關(guān)鍵的節(jié)點的時候，一定要配置好各種傳感器和操作器。與此同時，還要積極的采集配網(wǎng)資產(chǎn)所具備的各項傳輸?shù)哪芰壳闆r，以及各種參數(shù)情況，這樣才能夠保證配網(wǎng)資產(chǎn)實體的結(jié)合，也能夠形成比較完善的參數(shù)體系。而針對傳感器中采集與應(yīng)用到的相關(guān)數(shù)據(jù)，需要保證相關(guān)的操作器的相關(guān)數(shù)據(jù)可以實現(xiàn)永久的保存，保證資產(chǎn)屬性能夠更加的完善，并保證其可以和電氣的參數(shù)歷史實現(xiàn)完美的統(tǒng)一，也能夠更加充分的清楚配網(wǎng)的狀態(tài)，再根據(jù)歷史數(shù)據(jù)進行評價。對于各類決策和設(shè)計的正確性進行隨時的檢驗，這樣能夠提升預(yù)測依據(jù)的準(zhǔn)確性。另外，需要做到的就是對實現(xiàn)配網(wǎng)的整個資產(chǎn)屬性以及電氣的數(shù)據(jù)情況實行分析，保證可以實現(xiàn)整個項目的安全，節(jié)約成本，增長使用壽命，并進行統(tǒng)一的優(yōu)化，保證做好配網(wǎng)擴張以及配網(wǎng)組合的工作。4.4根據(jù)配網(wǎng)的資產(chǎn)是否完整來做好配網(wǎng)的準(zhǔn)確擴張。目前，在進行配網(wǎng)資產(chǎn)的統(tǒng)計方面，存在著比較多的用戶數(shù)量，所以在添加配網(wǎng)資產(chǎn)的時候，需要預(yù)先做好的工作就是進行相關(guān)的設(shè)計，這樣才能夠?qū)崿F(xiàn)配網(wǎng)資產(chǎn)管理平臺工作順利進行。并且在對相應(yīng)的數(shù)據(jù)做好調(diào)整和完善，再進行相關(guān)的預(yù)測和設(shè)計。而且在進行配網(wǎng)資產(chǎn)的平臺上，也需要保證對整個配網(wǎng)進行更加完整的設(shè)計，還要做好評估和檢驗工作，與此同時，需要保證其能夠滿足其在電參數(shù)和配網(wǎng)的承載的工作。進一步提升整個配網(wǎng)的合理性。而通常在進行配網(wǎng)連接的時候，都需要進行合理的操作和保護，這樣才能夠進一步滿足預(yù)期的效果。

5結(jié)語

綜上所述，隨著電氣工程的不斷發(fā)展，進一步加快了我國社會主義建設(shè)與發(fā)展的腳步。目前大數(shù)據(jù)技術(shù)應(yīng)用于電氣工程面臨著全新的機遇，當(dāng)然也存在著許多的挑戰(zhàn)和困難，因此，需要加強對系統(tǒng)的規(guī)劃。在處理大數(shù)據(jù)時，常常會應(yīng)用云計算，這存在安全隱私方面的問題。所以需要進一步提升云計算的安全性，并將其應(yīng)用在電氣工程中，這樣才可以更好地實現(xiàn)電氣工程建設(shè)事業(yè)的可持續(xù)發(fā)展。

參考文獻：

[1]陸汝華,李亞蘭,文波,等.教育大數(shù)據(jù)中大學(xué)生幸福感影響因素的提取模型[J].電腦與信息技術(shù),2020,28(3):57-59.

[2]付現(xiàn)立.基于大數(shù)據(jù)技術(shù)的鐵路安全管理研究[J].建筑工程技術(shù)與設(shè)計,2018,(21):1620.

[3]熊同強.電氣火災(zāi)預(yù)報系統(tǒng)大數(shù)據(jù)處理與應(yīng)用淺析[J].當(dāng)代教育實踐與教學(xué)研究（電子刊）,2017,(7):513.

[4]汪威為,陳超洋.智能電網(wǎng)背景下的大數(shù)據(jù)處理與短期負荷預(yù)測綜述[J].無線互聯(lián)科技,2019,16(5):3-5.

[5]王逸飛,張行,何迪,等.基于大數(shù)據(jù)平臺的電網(wǎng)防災(zāi)調(diào)度系統(tǒng)功能設(shè)計與系統(tǒng)架構(gòu)[J].電網(wǎng)技術(shù),2016,40(10):3213-3219.

[6]魏利峰,紀(jì)建偉,王曉斌.云環(huán)境中web信息抓取技術(shù)的研究及應(yīng)用[J].電子設(shè)計工程,2016,24(4):29-31.

第7篇：信息資產(chǎn)的安全屬性范文

Abstract： Relay protection equipment management is the core business of relay protection maintenance work. We establish module of relaying protection equipment account information management， of relaying protection service management， and of relaying protection defect management， and build improved equipment information model in relaying protection service， in order to gradually realize the whole life cycle of equipment asset management， optimize the relay protection maintenance， thus achieve the real meaning of relay protection state overhaul， realize the comprehensive， all-round， the whole process， the unity of the lean management.

關(guān)鍵詞： 生產(chǎn)管理系統(tǒng)；繼電保護；設(shè)備；檢修

Key words： production management system；relay protection；equipment；maintenance

中圖分類號：TM774 文獻標(biāo)識碼：A 文章編號：1006-4311（2013）27-0196-02

0 引言

設(shè)備是資產(chǎn)管理的核心，隨著我國電網(wǎng)的飛速發(fā)展，電網(wǎng)設(shè)備的規(guī)模越來越大，數(shù)量大幅度增加，為適應(yīng)“集約化發(fā)展、精益化管理”的管理要求，需要在原來的資產(chǎn)管理模式中引入新的理念，運用新的技術(shù)。

繼電保護設(shè)備臺賬信息是指繼電保護裝置自身的固有信息及檢修信息，包含日常檢修工作中所涉及的各種技術(shù)參數(shù)及檢修統(tǒng)計數(shù)據(jù)，它們具有類型多、量大、面廣等特點。目前，繼電保護設(shè)備臺賬信息管理都是整合設(shè)備信息、檢修記錄、缺陷信息等信息，及時將臺帳信息錄入生產(chǎn)管理系統(tǒng)實現(xiàn)臺帳管理信息化，為繼電保護檢修班組的設(shè)備運行維護和專業(yè)管理決策提供有力的理論依據(jù)。

1 生產(chǎn)管理系統(tǒng)簡介與管理范疇

冀北電力有限公司開發(fā)設(shè)計的生產(chǎn)管理系統(tǒng)主要應(yīng)用EAM系統(tǒng)，同時ERP作為EAM的輔助系統(tǒng)負責(zé)設(shè)備的投入及退役。EAM是英文Enterprise Asset Management的縮寫，即企業(yè)資產(chǎn)管理，是一種微機化的資產(chǎn)管理和維護系統(tǒng)。作為一個閉環(huán)管理系統(tǒng)，EAM可分為設(shè)備信息、缺陷管理、檢修計劃、校驗報告等多模塊（如圖1）。它帶給企業(yè)的最大好處是科學(xué)地規(guī)范了設(shè)備的管理，讓單靠“人腦”的管理，轉(zhuǎn)化為高度集成可以資源共享的信息化管理。EAM的核心理念所在就是根據(jù)大量歷史信息和后期積累的數(shù)據(jù)信息，在統(tǒng)計和分析的基礎(chǔ)上對設(shè)備進行管理。設(shè)備運轉(zhuǎn)的時間越長，數(shù)據(jù)越多，規(guī)律性的東西也就越多，提供的有效信息就越多，EAM系統(tǒng)就是利用設(shè)備資產(chǎn)的這些準(zhǔn)確數(shù)據(jù)，通過信息化手段，合理安排維修計劃及相關(guān)資源與活動。

2 生產(chǎn)管理系統(tǒng)流程管理

生產(chǎn)管理系統(tǒng)中繼電保護數(shù)據(jù)信息分為靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)兩種。靜態(tài)數(shù)據(jù)是繼電保護設(shè)備自身的固有數(shù)據(jù)，如繼電保護裝置的生產(chǎn)廠家、出廠日期等信息。動態(tài)數(shù)據(jù)指繼電保護檢修班組在生產(chǎn)工作過程中產(chǎn)生的有關(guān)繼電保護設(shè)備運行情況的數(shù)據(jù)，如對繼電保護設(shè)備進行檢修產(chǎn)生的檢修記錄，處理缺陷產(chǎn)生消缺記錄及對繼電保護裝置版本升級產(chǎn)生的新的版本等數(shù)據(jù)。這些數(shù)據(jù)反映了繼電保護設(shè)備的物理信息及檢修過程中動態(tài)數(shù)據(jù)對物理數(shù)據(jù)的影響。

生產(chǎn)管理系統(tǒng)中的數(shù)據(jù)信息是依附設(shè)備屬性存在的，將缺陷管理流程、檢修管理流程、 校驗報告、檢修計劃流程等與具體的繼電保護設(shè)備對應(yīng)，以繼電保護設(shè)備作為EAM體系的核心和基礎(chǔ)，隨時查詢靜態(tài)數(shù)據(jù)及動態(tài)數(shù)據(jù)。

2.1 設(shè)備臺賬

2.1.1 設(shè)備分類 按照生產(chǎn)管理系統(tǒng)繼電保護設(shè)備功能位置分類，逐級分為所屬局、設(shè)施大類、變電站、電壓等級、間隔、設(shè)備大類等功能位置。保護類型又分為安全自動裝置、保護故障信息站、保護屏、保護通道設(shè)備、保護通訊接口裝置、保護信息管理機、保護裝置、輔助裝置、復(fù)合電壓閉鎖裝置、規(guī)約轉(zhuǎn)換器、繼電器、失靈啟動及三相不一致裝置、收發(fā)訊機等。

單間隔設(shè)備放在該間隔下，與所對應(yīng)的一次設(shè)備并列。公共單元（如母線保護、故障錄波器等）及一個屏內(nèi)有兩個及以上間隔的保護設(shè)備放在命名為“空”的間隔下。

2.1.2 臺賬屬性 繼電保護設(shè)備臺賬分為保護屏、繼電保護裝置及安全自動裝置臺賬。設(shè)備屬性是二次設(shè)備臺賬的基本組成部分，它反映了設(shè)備的基本信息。

繼電保護設(shè)備臺賬屬性分為公有屬性和私有屬性兩部分。公有屬性是包含資產(chǎn)名稱、調(diào)度編號、是否GIS、相別、電壓等級、規(guī)格型號、生產(chǎn)廠家、出廠序號、出廠日期、投運日期、購置價值、生產(chǎn)廠家性質(zhì)等設(shè)備的固有信息。私有屬性是包含保護功能、保護類別、調(diào)度歸屬、一次設(shè)備電壓等級、交流額定電流、交流額定電壓、直流額定電壓、定值單、保護版本、校驗碼、程序形成時間及調(diào)度OMS信息等裝置的特殊信息。

2.2 檢修計劃

2.2.1 角色設(shè)置 檢修計劃管理模塊配置工區(qū)檢修計劃員和公司檢修計劃員。由工區(qū)檢修計劃員根據(jù)工作需要擬定計劃，再由公司檢修計劃員平衡、發(fā)放。檢修計劃分為月度檢修計劃和日停電計劃。

2.2.2 管理流程 工區(qū)檢修計劃員月末直接從系統(tǒng)中擬定下月停電檢修計劃，并上報給公司檢修計劃員。在“工區(qū)計劃員工作臺”完成每月計劃上報并經(jīng)公司計劃員完成月計劃后，還需要從“日停電申請”里將上報的日停電申請計劃再提交上報一次，方可自動根據(jù)每月停電計劃自動生成每日檢修計劃。

針對同一變電站內(nèi)不同的設(shè)備同時停電的情況，應(yīng)作為一個停電計劃進行上報。公司檢修計劃員平衡、發(fā)放計劃，并確保在設(shè)備停電前一天從系統(tǒng)中完成批復(fù)操作。各班組工作負責(zé)人根據(jù)發(fā)放或者批復(fù)后的計劃及時從“部門檢修計劃”或者“日檢修計劃”創(chuàng)里建班組作業(yè)子工單，必須在本次檢修工作完成之前創(chuàng)建。

2.3 缺陷管理

2.3.1 角色設(shè)置 生產(chǎn)管理信息系統(tǒng)中，設(shè)置操作人員，分別為變電運行人員、缺陷審核人員、缺陷審定人員、消缺安排人員及消缺人以不同用戶的身份設(shè)置相應(yīng)的權(quán)限。缺陷審核人一般為變電運行主管，缺陷審定人一般為生技部門主管，消缺安排人一般為檢修部門主管主任或?qū)I(yè)技術(shù)主管。

2.3.2 設(shè)備選定 繼電保護專業(yè)缺陷一般選擇繼電保護裝置，如確認無法選擇到保護裝置，則可選擇保護屏柜。若確認為屏柜自身的缺陷，選擇該屏柜；若確認繼電保護設(shè)備對應(yīng)的一次設(shè)備，則選擇一次設(shè)備。

設(shè)備資產(chǎn)發(fā)生的所有記錄均必須圍繞設(shè)備展開，因此在進行缺陷填報選擇"資產(chǎn)名稱"時，應(yīng)選擇“XX設(shè)備”，不允許選擇“XX設(shè)備位置、一次設(shè)備、XX間隔”等。

2.3.3 流程管理 缺陷管理流程可分為兩種：一種為正常缺陷流程，一種為補錄缺陷流程。正常缺陷流程一般設(shè)置各6個環(huán)節(jié)：缺陷填報-缺陷審核-缺陷審定-消缺安排-消缺匯報-缺陷驗收。補錄缺陷一般為危機缺陷發(fā)生在晚上或非工作日，缺陷審核人和審定人不在上班時間，無法使流程正常流轉(zhuǎn)，缺陷填報時在“是否補錄數(shù)據(jù)”字段中選擇“是”，然后提交給現(xiàn)場實際消缺人員（工作負責(zé)人），由消缺人員人進行消缺匯報，并在匯報頁面?zhèn)渥谧⒚颉?/p>

缺陷填報時，將缺陷的現(xiàn)象、缺陷部位、發(fā)現(xiàn)人、發(fā)現(xiàn)時間、缺陷類型描述清楚。

缺陷審核環(huán)節(jié)必須嚴把審核關(guān)，確保缺陷填報數(shù)據(jù)準(zhǔn)確缺陷審核一旦提交，就無法退回。

在缺陷審定環(huán)節(jié)的審定意見一般應(yīng)為“請XX單位處理”，也可加上一些有助于消缺的意見。

在消缺安排環(huán)節(jié)的安排意見一般應(yīng)為“請相關(guān)負責(zé)人現(xiàn)場處理”（一般、嚴重缺陷）或“請相關(guān)負責(zé)人馬上到現(xiàn)場處理”（危急缺陷）。

在消缺匯報環(huán)節(jié)，填寫消缺時間、缺陷處理情況、故障部位及原因，若有遺留問題，在備注中說明。如果處理的是一個危急缺陷，則應(yīng)由消缺匯報人員在“備注”欄里注明：此缺陷已報生技部審批，并由XX部門安排消缺。

在消缺驗收環(huán)節(jié)驗收意見欄里一般應(yīng)為“驗收合格，可以投運”，在“消缺結(jié)果”里選擇“已消缺”。

2.4 設(shè)備檢修 傳統(tǒng)的繼電保護設(shè)備檢修管理一般采用紙質(zhì)記賬的記錄方式，如果遺漏則無法記錄。生產(chǎn)管理系統(tǒng)基于ORACLE電子商務(wù)套件的質(zhì)量管理功能，通過定義收集計劃、收集要素來建立各類設(shè)備的檢修項目、可以在系統(tǒng)中按照設(shè)備的型號、校驗項目靈活定義檢修流程，同時上傳檢修、試驗結(jié)果，同時在設(shè)備OMS模塊記錄校驗時間，進而計算下次檢驗的時間。

班組設(shè)備管理員應(yīng)在新建、改擴建設(shè)備投運，設(shè)備臺帳錄入系統(tǒng)前，完成資產(chǎn)活動與設(shè)備臺帳的關(guān)聯(lián)，因大修或者技改重新錄入后的設(shè)備，應(yīng)由班組設(shè)備管理員重新進行資產(chǎn)活動關(guān)聯(lián)。

通過創(chuàng)建保護校驗工單，現(xiàn)場填寫校驗數(shù)據(jù)，回傳二次標(biāo)準(zhǔn)化作業(yè)報告，完成保護校驗工單，完成二次標(biāo)準(zhǔn)化作業(yè)報告審批流程等環(huán)節(jié)將繼電保護檢修業(yè)務(wù)進行了統(tǒng)一規(guī)范化管理。

3 結(jié)論

生產(chǎn)管理系統(tǒng)在繼電保護運行管理中克服了當(dāng)前管理模式中的諸多弊端，并對各種信息進行了合理配置，進一步提高了繼電保護運行、檢修及管理水平，保障了電網(wǎng)的安全穩(wěn)定運行。生產(chǎn)管理系統(tǒng)在冀北電力公司全網(wǎng)的運行經(jīng)驗表明，該系統(tǒng)在設(shè)備運行管理、檢修管理、缺陷管理及設(shè)備的全壽命管理中取得了預(yù)期效果，為電網(wǎng)實現(xiàn)精細化管理奠定了堅實的基礎(chǔ)。

參考文獻：

[1]Q/GDW 683-2011，資產(chǎn)全壽命周期管理規(guī)范[S].

[2]Q/BEHV 35851-2009，數(shù)字化電網(wǎng)生產(chǎn)管理系統(tǒng)使用管理標(biāo)準(zhǔn)[S].

[3]許志華，蔡澤祥，劉德志，等.面向設(shè)備的二次系統(tǒng)設(shè)備管理系統(tǒng)[J].電力自動化設(shè)備，2004，24（6）：34，36.

第8篇：信息資產(chǎn)的安全屬性范文

關(guān)鍵詞：財政信息；信息安全；身份認證；數(shù)字證書

中圖分類號：TP311.52

財政業(yè)務(wù)系統(tǒng)多為涉及面廣、多個部門協(xié)作、關(guān)鍵業(yè)務(wù)操作多、處理數(shù)據(jù)多的特點，對應(yīng)用安全保障有很高的要求；現(xiàn)有應(yīng)用系統(tǒng)主要通過“用戶名+口令” 進行用戶身份識別和訪問控制，安全級別較低；現(xiàn)有應(yīng)用系統(tǒng)各自的身份識別和訪問控制機制彼此獨立、重復(fù)設(shè)置、重復(fù)開發(fā)，增加了安全隱患，也增加了管理成本和用戶負擔(dān)；缺乏電子單據(jù)和數(shù)據(jù)數(shù)字簽名、時間戳、責(zé)任認定等安全功能，業(yè)務(wù)無紙化無法推進；整體上缺失統(tǒng)一的標(biāo)準(zhǔn)和技術(shù)手段，很難適應(yīng)財政信息化的發(fā)展。本文就財政信息系統(tǒng)特點及現(xiàn)狀，介紹和討論財政身份認證與授權(quán)管理的解決方案與建設(shè)，達到保障財政業(yè)務(wù)安全應(yīng)用的目的。

1 信息安全簡介

信息安全是研究在特定的應(yīng)用環(huán)境下，依據(jù)特定的安全策越，對信息及其系統(tǒng)實施防護、檢測和恢復(fù)的科學(xué)。

信息安全主要體現(xiàn)在以下三個方面：一是保密性。保密性是指確保信息資料，特別是重要的信息資料，不流失，不被非本部門人員非法盜用。二是完整性。所謂信息資料的完整性，是指信息資料不丟失、不少缺。三是可用性?？捎眯允侵府?dāng)需要某一信息資料時，可馬上拿得到。比如采取一定的措施，防止因某一資料員不在場或其它例外情況下，因為拿不到所需的資料而導(dǎo)致停工或錯失商機等。

信息安全的四個要素如下圖：

圖1

信息系統(tǒng)組成包括人員、系統(tǒng)、資產(chǎn)（終端、數(shù)據(jù)等）、網(wǎng)絡(luò)、流程、其他設(shè)備等。通過對信息系統(tǒng)安全分析我們得知“人員”是最不穩(wěn)定因素，是最大的邊界?！百Y產(chǎn)”是最被關(guān)注的因素。其他因素都是以上兩個因素的間接受害者。

因此信息安全的重點就是管理好人、保護好人到數(shù)據(jù)的路徑。

身份認證與授權(quán)管理系統(tǒng)是信息安全的重要組成部分。身份認證是應(yīng)用系統(tǒng)判斷用戶是否合法的重要手段，也是應(yīng)用系統(tǒng)的第一道安全防護。

2 財政應(yīng)用系統(tǒng)現(xiàn)狀及安全需求

省地市財政大平臺系統(tǒng)（以下簡稱Portal）是各地市財政業(yè)務(wù)專網(wǎng)應(yīng)用的統(tǒng)一登錄入口，它實現(xiàn)了各接入應(yīng)用系統(tǒng)的單點登錄，主要涉及的系統(tǒng)有地方國庫支付、總賬、工資統(tǒng)發(fā)等。該系統(tǒng)采用B/S結(jié)構(gòu)設(shè)計，WEB服務(wù)器為Weblogic8.16，，采用JAVA技術(shù)，后臺數(shù)據(jù)庫采用Oracle10g。

目前，系統(tǒng)采用“用戶名+密碼”的身份認證方式，用戶通過訪問Portal的登錄認證主頁，輸入用戶的合法“用戶名”及對應(yīng)“密碼”后，系統(tǒng)連接數(shù)據(jù)庫進行驗證，驗證通過后，系統(tǒng)允許用戶登錄并進入Portal首頁，在Portal首頁內(nèi)顯示管理員授權(quán)給用戶的應(yīng)用系統(tǒng)列表和應(yīng)用中的待辦事宜等信息，用戶根據(jù)自己的權(quán)限可以進行相應(yīng)業(yè)務(wù)操作。因“用戶名+密碼”的身份認證方式很容易因密碼泄漏、網(wǎng)絡(luò)竊聽等原因造成身份冒充，存在較大的安全隱患，因此亟需建立起合理、安全的強身份認證機制，用于保障合法用戶的權(quán)益。

3 解決方案及實現(xiàn)

通過對財政業(yè)務(wù)系統(tǒng)和安全需求的分析，提出了實名制U盾+平臺密碼+U盾密碼+安全審計多維一體的解決方案，以實現(xiàn)身份認證和授權(quán)管理，實現(xiàn)信息安全支撐平臺。第一：給平臺系統(tǒng)的所有用戶發(fā)放財政業(yè)務(wù)專網(wǎng)CA證書；第二：對原有平臺系統(tǒng)的身份認證模塊進行改造，在原來的“用戶名+密碼”的基礎(chǔ)上，增加證書認證方式；第三：在用戶屬性管理系統(tǒng)中添加“PID”屬性，用以綁定用戶證書與其平臺身份標(biāo)識的對應(yīng)關(guān)系；證書的合法性由身份認證網(wǎng)關(guān)進行校驗，檢驗完成后將認證結(jié)果及身份信息（PID）返回給平臺，平臺根據(jù)此結(jié)果做進一步的業(yè)務(wù)處理。

3.1 系統(tǒng)整體架構(gòu)

圖2

3.2 網(wǎng)絡(luò)拓撲

圖3

省地市級財政身份認證與授權(quán)管理系統(tǒng)部署在地市級財政部門，在地市級財政的業(yè)務(wù)專網(wǎng)內(nèi)建設(shè)一個獨立的局域網(wǎng)，通過防火墻從網(wǎng)絡(luò)、協(xié)議及應(yīng)用各層次上將此局域網(wǎng)與財政業(yè)務(wù)網(wǎng)絡(luò)保持隔離，用于部署安全審計查詢系統(tǒng)、身份認證系統(tǒng)從LDAP和用戶屬性管理系統(tǒng)，而直接面向應(yīng)用的身份認證網(wǎng)關(guān)、簽名服務(wù)器、時間戳服務(wù)器，以及提供證書管理的LRA則部署在地市級財政的業(yè)務(wù)專網(wǎng)中。

3.3 功能模塊

建設(shè)中需要重點保證證書發(fā)放、身份認證、數(shù)字簽名、時間戳、應(yīng)用級訪問控制及安全審計查詢功能即可，為此相對省級財政的功能模塊相比較，減少了授權(quán)管理模塊的權(quán)限管理系統(tǒng)，并且省級財政身份認證模塊中的發(fā)證模塊為證書注冊中心（RA），而地市級財政部門建設(shè)的LRA系統(tǒng)。為此，財政身份認證與授權(quán)管理系統(tǒng)模塊組成如下圖：

圖4

3.4 身份認證與授權(quán)管理系統(tǒng)建設(shè)

按照財政身份認證與授權(quán)管理系統(tǒng)建設(shè)的要求，省地市級財政身份認證與授權(quán)管理系統(tǒng)單獨部署在獨立的局域網(wǎng)中，并通過防火墻將局域網(wǎng)與地市級財政的業(yè)務(wù)專網(wǎng)的公共區(qū)域邏輯隔離，配置一定的安全策略向外提供訪問服務(wù)。

地市級財政身份認證系統(tǒng)與授權(quán)管理系統(tǒng)的部署主要是身份認證模塊、授權(quán)管理模塊、安全審計模塊及應(yīng)用安全組件四個部分的安裝配置，身份認證模塊包括：LRA系統(tǒng)和身份認證從LDAP；授權(quán)管理模塊主要是用戶屬性管理系統(tǒng)；安全審計模塊指安全審計查詢系統(tǒng)；應(yīng)用安全組件指身份認證網(wǎng)關(guān)、簽名服務(wù)器及時間戳服務(wù)器。

3.4.1 系統(tǒng)流程

圖5

3.4.2 系統(tǒng)效果展示

應(yīng)用接入的大平臺登錄效果展現(xiàn)平臺構(gòu)建統(tǒng)一的認證門戶，用戶需要使用USB-KEY登錄認證成功后才能進入，主要作為各應(yīng)用系統(tǒng)的統(tǒng)一訪問入口和平臺管理的入口。

圖6

4 結(jié)束語

通過財政身份認證與授權(quán)管理系統(tǒng)設(shè)計及建設(shè)，將由原來的“用戶名+密碼”方式變?yōu)樽C書認證方式，而數(shù)字證書的高強度身份認證，將有效地防止身份冒充；身份認證模塊從原系統(tǒng)中剝離，業(yè)務(wù)邏輯更加清晰，安全級別也得到了提升；通過用戶屬性管理管理中PID屬性值的傳遞，無縫地實現(xiàn)了證書的入門級訪問控制。統(tǒng)一對實體進行身份和權(quán)限管理，奠定實名制管理的基礎(chǔ)。提供獨立的高強度的認證手段給各個層面使用。提供一種電子簽名法保護的數(shù)據(jù)保護和司法取證手段。提供一個統(tǒng)一的時間基準(zhǔn)，奠定定位基礎(chǔ)。建立了一套完整的配套標(biāo)準(zhǔn)和規(guī)范便于財政信息化整體推進。

參考文獻：

[1]馬建峰，沈玉龍.信息安全[M].西安：西安電子科技大學(xué)出版社，2013.

[2]斯坦普（美）信息安全原理與實踐（第2版）[M].北京：清華大學(xué)出版社，2013.

[3]薛天龍.數(shù)字證書原理及應(yīng)用[M].北京：中國標(biāo)準(zhǔn)出版社，2014.

[4]http：//.cn/tplt/index_164.jsp[OL].

第9篇：信息資產(chǎn)的安全屬性范文

［關(guān)鍵詞］會計計量屬性公允價值

公允價值在我國的經(jīng)歷則可謂一波三折。1999年開始實施的“債務(wù)重組”和“非貨幣易”準(zhǔn)則是公允價值在我國的最早運用，因遭到了不健康市場環(huán)境和不成熟發(fā)展階段的制約，公允價值卻成了調(diào)節(jié)利潤工具?；诖?，財政部不得不在2001年1月的準(zhǔn)則修訂稿中，采取了最為謹慎保守的態(tài)度，盡量減少公允價值的使用范圍。在債務(wù)重組中只有債權(quán)人在收到用于償債的多項非現(xiàn)金資產(chǎn)時，按各項非現(xiàn)金資產(chǎn)的公允價值占全部非現(xiàn)金資產(chǎn)公允價值的比例對其重組債權(quán)的賬面價值進行分配；在非貨幣易收到補價的情況下，按補價占換出資產(chǎn)公允價值的比例來計算換入資產(chǎn)的入賬價值和應(yīng)確認的收益。但隨著我國經(jīng)濟形勢的發(fā)展及與國際會計慣例的并軌， 2004年7月宣布將重新采用公允價值，并于今年2月剛剛修訂的“企業(yè)會計準(zhǔn)則――基本準(zhǔn)則”中明確將公允價值列為會計計量屬性之一。除在債務(wù)重組及非貨幣易中采用公允價值外，在資產(chǎn)減值、金融工具、房地產(chǎn)等方面均運用了公允價值。

一、新準(zhǔn)則運用公允價值的必要性

1.不斷發(fā)展的經(jīng)濟形勢需要

隨著知識經(jīng)濟時代的到來，企業(yè)競爭日趨激烈，資本市場日益發(fā)展，風(fēng)險和不確定性加大，無形資產(chǎn)、金融衍生工具等軟資產(chǎn)大量涌現(xiàn)，特別是金融衍生工具，如 “期貨”、 “期權(quán)”、“遠期合約”、“互換”等的出現(xiàn)，使公允價值――這一新會計計量屬性的運用成為必然。因為在這些衍生金融工具中有些金融工具只產(chǎn)生合約的權(quán)利或義務(wù)，而交易和事項尚未發(fā)生。但從法律的角度看，由于簽約雙方之間的報酬與風(fēng)險已開始轉(zhuǎn)移，此時盡管雙方的權(quán)利和義務(wù)尚未完全實際履行，但為了使會計信息的使用者能正確地進行經(jīng)營決策，會計上也要求對其進行確認、計量。因為此時簽約雙方的權(quán)利、義務(wù)尚未執(zhí)行，業(yè)務(wù)尚未發(fā)生，此時不可能有歷史成本(因為歷史成本是已發(fā)生業(yè)務(wù)的實際價值)，因此會計就不能對該業(yè)務(wù)進行計量、反映。而采用公允價值屬性計量卻能很好地解決這個問題，因為公允價值是理智雙方在無干擾情況下，自愿進行交換的價值，其價值的確定并不取決于業(yè)務(wù)是否發(fā)生，只要雙方同意就會有一個價值。因此會計在任何時候都可以按公允價值對衍生金融工具產(chǎn)生的權(quán)利、義務(wù)進行計量、反映，并向信息使用者提供信息。

2.滿足會計信息質(zhì)量要求

按照美國財務(wù)會計概念公告的提法，財務(wù)會計的目的在于“為現(xiàn)在或潛在的投資者、信貸者以及其他用戶提供有用的信息”，而“會計信息要于決策有用，要具備兩種主要的質(zhì)量，即相關(guān)性和可靠性”。相對于歷史成本，公允價值更多地反映了市場對企業(yè)資產(chǎn)或整體價值的評價，更具有相關(guān)性；企業(yè)在涉及到金融工具等新產(chǎn)品時，公允價值能反映市場對直接或間接地隱含在金融工具中的未來現(xiàn)金流量凈現(xiàn)值的估計，有助于會計信息的使用者對未來作出合理的預(yù)測，并有利于驗證其以前所作預(yù)測的合理性，更具有可靠性。公允價值的本質(zhì)是真實與公允并存，是市場的無偏定價，同一會計主體各個會計期間以及不同會計主體之間，計量技術(shù)往往是一致的，這使得會計信息的可比性、一致性、及時性也大大增強；在企業(yè)會計準(zhǔn)則第8號―資產(chǎn)減值中規(guī)定，企業(yè)在資產(chǎn)負債表日若資產(chǎn)存在減值跡象的，應(yīng)當(dāng)根據(jù)資產(chǎn)的公允價值等估計其可收回金額，資產(chǎn)的可收回金額低于其賬面價值的計提相應(yīng)的減值準(zhǔn)備，使謹慎性原則更趨合理。

3.打破歷史成本的局限性

通貨膨脹和知識經(jīng)濟的出現(xiàn)，使得傳統(tǒng)的會計計量模式受到致命的打擊。在通貨膨脹的情況下以名義貨幣為計量單位，以歷史成本為計量屬性，既不能反映由于通貨膨脹引起的一般物價變動，也不能反映計量對象的個別價值變動。在知識經(jīng)濟時代，商譽、技術(shù)、人力資源、衍生金融工具等，根本無歷史成本可循。另外在計算企業(yè)的盈利能力時，傳統(tǒng)的計量模式下，計算收益的收入是按現(xiàn)行市價計量的，而計算收益的成本、費用，則是按歷史成本計量的。很明顯，這兩者之間的差額即收益由兩部分構(gòu)成。一部分是勞動者創(chuàng)造的純利潤，另一部分則是由經(jīng)濟因素影響形成的價格差，從而出現(xiàn)虛利實分的現(xiàn)象。并且在歷史成本下，存貨計價、固定資產(chǎn)折舊、間接費用的分配、所得稅會計處理等，都存在著多種方法可供選擇，損益計算幾乎可以任意調(diào)節(jié)。但如果企業(yè)計算收益的成本、費用是按公允價值計量，則上述現(xiàn)象就可得到很好的解決。

4.有利于企業(yè)的資本保全

資本是指企業(yè)的實物生產(chǎn)能力或經(jīng)營能力或取得這些能力所需的資金或資源。資本保全是指企業(yè)在開始營業(yè)到清算為止的全過程中,必須保證資本的安全與完整，它要求企業(yè)在生產(chǎn)經(jīng)營過程中，成本補償和利潤分配要保持資本的完整性，保證權(quán)益不受侵蝕。企業(yè)在生產(chǎn)過程中會耗費生產(chǎn)能力或資源，同時為了進行再生產(chǎn)，又必須購回這些生產(chǎn)能力，只有這樣簡單再生產(chǎn)才能維護，擴大再生產(chǎn)才有基礎(chǔ)。但企業(yè)耗費的生產(chǎn)能力如采用歷史成本計量，則計量得出的金額，在物價上漲的經(jīng)濟環(huán)境中，將購不回原來相應(yīng)規(guī)模的生產(chǎn)能力，企業(yè)的生產(chǎn)只能在萎縮的狀態(tài)下進行。而企業(yè)對其耗費的生產(chǎn)能力若采用公允價值計量，此時不管是何時耗費的生產(chǎn)能力，一律按現(xiàn)行市價或現(xiàn)金流量現(xiàn)值計量，則即使是在物價上漲的條件下，計量得出的金額也可在現(xiàn)時情況下購回原來相應(yīng)規(guī)模的生產(chǎn)能力，這樣企業(yè)的資本才能保全，企業(yè)的生產(chǎn)才得以在正常狀態(tài)下進行。此外，對于企業(yè)的商品來說，從其本質(zhì)來看，其價值不是一個定數(shù)（歷史成本），而是一個變數(shù)，會隨著市場環(huán)境的變化而發(fā)生變動，因此只有采用公允價值計量，才符合資本保全的理論。

二、運用公允價值面臨的問題及對策

問題一：認為公允價值計量技術(shù)較難掌握，涉及許多估計，誤差較大，因而造成信息可靠性降低。首先需說明的是，公允價值確實不能提供絕對可靠的會計信息，任何信息系統(tǒng)都無法提供絕對可靠、一致的信息。國際會計準(zhǔn)則委員會在《編制財務(wù)報表框架》中提到：成本或價值在許多情況下都需要估計，合理的估計是報表編制工作的一部分，這并不會貶低其可靠性。歷史成本計量固然有資料容易取得、可驗證性的特點，但是按歷史成本計量得出的會計信息卻不能隨著經(jīng)濟環(huán)境的變化和經(jīng)濟因素的影響而變化，信息使用者在使用這些信息對現(xiàn)在和未來的經(jīng)營活動進行決策時，這些按歷史成本計量得出的信息就有可能由于其“不相關(guān)”、“沒有參考價值”變得 “不可靠”。相反，公允價值計量雖然有數(shù)據(jù)、資料不易取得，計量過程有時需主觀估計的缺點，但是由于公允價值是現(xiàn)行市價或未來現(xiàn)金流量現(xiàn)值等，按公允價值計量得出的會計信息能夠隨著經(jīng)濟環(huán)境的變化和經(jīng)濟因素的影響而變化，信息使用者在對現(xiàn)在和未來進行經(jīng)營決策而使用這些信息時，這些信息是“相關(guān)的”、“有用的”因而也是“可靠的”。針對廣泛運用公允價值帶來操作上的難度，會計界提出財政部包括相應(yīng)的監(jiān)管部門應(yīng)盡快制定并公布一個具體指南，對于公允價值的定性和定量給予一個明確標(biāo)準(zhǔn)，使公允價值這個標(biāo)準(zhǔn)不會出現(xiàn)太大的差異。

問題二：認為公允價值會導(dǎo)致利潤操縱，造成會計信息失真和欺詐。我國在起初運用公允價值時，因遭到了不健康市場環(huán)境和不成熟發(fā)展階段的制約，有些上市公司確實利用公允價值操縱利潤，損害了投資者的利益。但事實是，公允價值要想成為利潤操縱的工具需要同時具備三個要素：一是上市公司管理層蓄意造假；二是會計、審計人員失去職業(yè)道德；三是證券市場監(jiān)管失靈。事實上具備了這三個要素，任何制度也不能有效發(fā)揮防護作用，再好的準(zhǔn)則也無能為力。即問題不再于公允價值本身的問題而在于政策的執(zhí)行運用，公允價值是操縱利潤的手段而不是根源、只有消除根源才能杜絕利潤操縱，這是公允價值能合理使用的一個必要前提。公允價值作為一項技術(shù)，既可以用來提高財務(wù)信息的質(zhì)量，也可以用來扭曲會計信息，作好作壞取決于企業(yè)管理層的道德素質(zhì)和社會誠信水平。另外于國際財務(wù)報告準(zhǔn)則相比，我國新企業(yè)會計準(zhǔn)則體系充分地考慮了我國國情，對公允價值做了審慎的改進。比如在投資性房地產(chǎn)準(zhǔn)則中，就明確規(guī)定了投資性房地產(chǎn)所在地要有活躍的房地產(chǎn)交易市場，企業(yè)能夠從房地產(chǎn)市場上取得同類或類似房地產(chǎn)的市場價格和其他相關(guān)信息，能對公允價值作出合理的估計，才可以運用公允價值計量屬性。可見嚴格地按照準(zhǔn)則實施，公允價值在我國就會真的做到公允。

問題三：我國經(jīng)濟發(fā)展的市場化程度較低，會計人員素質(zhì)不高，會計電算化水平以及相關(guān)的信息處理能力較低等，限制了公允價值的大范圍的推廣與運用。很顯然，這些問題在目前我國經(jīng)濟發(fā)展中確實存在。但是我們不能因噎廢食，相信隨著經(jīng)濟環(huán)境的逐步改善，計算機技術(shù)突飛猛進的發(fā)展，理財學(xué)各種計量模型研究的日臻完善，會計人員業(yè)務(wù)素質(zhì)的進一步提高，公允價值計量的“可靠性”、“可操作性”，一定會取得長足進步，會計各要素按公允價值計量的方法必將得到普遍的推廣。

再者，公允價值計量全面付諸實施之前，還存在著一系列重大問題：一是公允價值計量是否只適用于房地產(chǎn)投資及證券投資的計量，而不適用于相關(guān)負債的計量，如果這樣，那么它對那些嚴重依賴舉債經(jīng)營且擁有許多房地產(chǎn)投資及證券投資的企業(yè)意味著什么；二是有關(guān)公允價值計量是否僅適用于金融機構(gòu)，如果這樣，那么對于部分參與金融業(yè)務(wù)的多元化經(jīng)營企業(yè)，其財務(wù)報告到底是以歷史成本為基礎(chǔ)，還是以公允價值為基礎(chǔ)，三是由于公允價值發(fā)生變化而引起的差額是通過損益表反映，還是反映在資產(chǎn)負債表的所有者權(quán)益里等。這些問題都亟待會計理論界進行研究和解決。

總之，公允價值的運用雖然具有很大的必要性，但現(xiàn)階段不可能、也不應(yīng)將所有的會計要素都按公允價值進行計量，而應(yīng)采用多種計量屬性并存的做法，即在歷史成本計量屬性的基礎(chǔ)上，盡量采用公允價值，以求得會計信息有用、相關(guān)、可靠。并且在經(jīng)濟形勢的不斷發(fā)展和經(jīng)濟環(huán)境逐漸完善的過程中，公允價值的運用還存在著這樣或那樣的問題，但會計由歷史成本計量向公允價值計量過渡已成為必然。相信通過會計界同仁的不斷探索，公允價值計量的理論將日臻完善，會計按公允價值進行計量必將得到普遍的推廣。

參考文獻：

[1]謝詩芬:公允價值會計問題縱橫談.時代財會,2003（2）

[2]盧永華楊曉軍:公允價值計量屬性研究.會計研究，2000(4）

[3]財政部:企業(yè)會計準(zhǔn)則―基本準(zhǔn)則.2006