信息資產的安全屬性精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息資產的安全屬性主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息資產的安全屬性范文
論文關鍵詞:信息安全 風險評估 風險分析
論文摘要:本文設計的信息安全風險評估輔助系統是一個多專家評估系統,主要模塊分為風險評估管理端、系統評估端、信息庫管理端和知識庫管理端,嚴格按照《指南》的風險評估流程進行評估,使評估結果更全面更客觀。
一、前言
電力系統越來越依賴電力信息網絡來保障其安全、可靠、高效的運行,該數據信息網絡出現的任何信息安全方面的問題都可能波及電力系統的安全、穩定、經濟運行,因此電力信息網絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現以資產為出發點,以威脅為觸發,以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經完成了調查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內容包括:
(一)風險要素關系。圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網風險評估輔助系統設計與實現
本文設計的信息安全風險評估輔助系統是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統評估端的評估結果。具體表現在:開啟評估任務;分配風險評估專家;對準備階段、資產識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數據進行綜合,得到綜合評估結果。
(二)系統評估端。系統評估端由多個專家操作,同時開展評估。系統評估端要經歷如下階段:a.準備階段:評估系統中CIA的相對重要性;b.資產識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果—風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統主要部分的功能描述。測試結果表明系統能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據。
參考文獻
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66
第2篇:信息資產的安全屬性范文
關鍵詞:信息安全安全屬性安全建設
我國信息化安全建設任務非常艱巨,主要包括各種業務的社會公網、行業專網、互聯網等信息基礎設施運營、管理和服務的安全自主保障、安全監管、安全應急和打擊信息犯罪為核心的威懾體系的建設,其內容包括網絡系統安全建設、領域和企業的業務信息化安全建設、網絡內容與行為的安全建設和用戶關注的網絡安全建設等方面。這些安全建設對于不同的領域和領導層面關注的內容、對象和程度各不相同。網絡信息安全是一個完整的、系統的概念。它既是一個理論問題,同時又是一個工程實踐問題。由于互聯網的開發性、復雜性和多樣性,使得網絡安全系統需要有一個完整的、嚴謹的體系結構來保證網絡中信息的安全。
1 信息安全的定義及目標
信息的定義,從廣義上講,信息是任何一個事物的運動狀態以及運動狀態形式的變化,它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術安全管理指南》定義:信息是通過在數據上施加某此約定而賦予這此數據的特殊含義。信息是無形的,借助于信息媒體以多種形式存在和傳播,同時。信息也是一種重要資產,具有價值,需要保護。信息安全的目標是信息資產被泄露意味著保密性受到影響,被更改意味著完整性受到影響,被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。信息安全的保護對象包括了計算機硬件、軟件和數據。就本質而言,信息安全所針對的均是“信息”這種資源的“安全”,對信息安全的理解應從信息化背景出發,最終落實在信息的安全屬性上。
2 構建網絡信息化安全的意義
能否有效地保護信息資源,保護信息化進程健康、有序、可持續發展,直接關乎國家安危,關乎民族興亡,是國家、民族的頭等大事。沒有信息安全,就沒有真正意義上的政治安全,就沒有穩固的經濟安全和軍事安全,更沒有完整意義上的國家安全。信息安全是信息技術發展過程之中提出的課題,在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的,它只是服務于信息化的一種手段,其針對的是信息化這種戰略資源的安全,其主旨在于為信息化保駕護航。
3 網絡信息化的安全屬性
信息安全的概念與信息的本質屬性有著必然的聯系,它是信息的本質屬性所體現的安全意義。說安全屬性研究首先要從安全定義講起,安全定義分很多的層次,為什么分層次,我們隨著它的演變來看的,信息安全最初目標,叫數據安全,它關心的是數據自身,所以是一個狹義的數據安全,是保護信息自身的安全。
3.1 保密性(Confidentiality)
在傳統信息環境中,普通人通過郵政系統發信件時,為了個人隱私要裝上信封。可是到了信息化時代,信息在網上傳播時,如果沒有這個“信封”,那么所有的信息都是“明信片”,不再有秘密可言,這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權的用戶、實體或進程,或被其利用的特性。保密性不但包括信息內容的保密,還包括信息狀態的保密。
3.2 完整性(Integrality)
完整性是指信息未經授權不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同,機密性要求信息不被泄露給未授權的人,而完整性則要求信息不致受到各種原因的破壞。
3.3 易用性(Availability)
易用性是信息可被授權實體訪問并按需求使用的特性。在授權用戶或實體需要信息服務時,信息服務應該可以使用,或者是信息系統部分受損或需要降級使用時,仍能為授權用戶提供有效服務。易用性一般用系統正常使用時間和整個工作時間之比來度量。
4 構建網絡信息化安全管理體系
在面向網絡信息的安全系統中,安全管理是應得到高度重視的。這是因為,據相關部門統計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%是由火災、水災等自然災害引起的,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員攻擊造成的。簡單歸類,屬于管理方面的原因比重高達70%以上,這正應了人們常說的“三分技術,七分管理”的箋言。因此,解決網絡與信息安全問題,不僅應從技術方面著手,更應加強網絡住所的管理工作。
好的網絡信息化安全管理體現在以下幾個方面:在組織內部建立全面的信息安全管理體系,強調信息安全是一個管理過程,而非技術過程;強調信息保密性、完整性、易用性三者在關鍵流程中運用的平衡;把信息提高到組織資產的高度,強調對組織信息資產進行價值及影響評估,對信息資產的脆弱性及其面臨的威脅進行分析,運用風險評估、風險管理手段管理信息安全,使組織風險降低到可接受的水平;從法律和最好的實踐經驗角度,實施全面的控制措施,使組織信息安全威脅的方方面面置于嚴密控制之下;強調領導在信息安全管理中的作用;強調信息安全方針在管理體系中的作用;強調對信息技術及工具的實時和有效管理;強調組織運作的連續性及業務連續性的管理;強調信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程;信息安全應該是一個以“價值”為基礎的過程,即信息安全管理應是一個有附加價值,并講究投入產出比的過程。
5 關注信息化安全服務的綜合性、高技術性和對策性特點
信息安全產業有其鮮明的特點,雖然產生于信息化和信息系統,依然與通常的IT服務有許多區別。信息化安全的基本特征是服務性的。這種服務性與一般軟件的服務性是不同的。一般應用系統或產品的服務主要是維護和培訓,通常服務是非對策性的、非動態的和比較固定的。信息化安全服務是對策性的、動態性的、不斷產生新內容的和似乎永遠不能成熟等特性。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產品和系統,其服務的綜合性和復雜性是顯而易見的。信息化安全服務是最高技術的服務,無論從設計角度和使用的角度都要求深入、熟練和非常專業。我們可以驕傲地說,信息化安全服務是世界上最偉大的服務業,也是最困難的服務業。信息化安全服務的復雜性、高成本特性要求信息化安全企業必須在安全服務的遠程化和化的推進方面做出不懈努力,不斷降低服務成本。
6 結語
網絡信息安全不僅僅是一個純技術層面的問題,單靠技術因素不足以保證網絡中信息的安全。網絡信息安全還涉及到法律、管理、標準等多方面的問題。因此,信息安全是一個相當復雜的問題,只有協調好這些體系之間的關系,才能有效保證系統的安全。
參考文獻
第3篇:信息資產的安全屬性范文
隨著信息化的不斷推進,信息設備的使用也變得越來越廣泛,越來越多單位的主營業務系統開始基于信息設備來構建,鑒于此,信息設備及信息系統是否能持續穩定的運行以及承載在這些信息設備之上的數據是否安全成為關注的熱點問題。目前信息數據的主要載體便是各種類型的信息設備,所以對信息設備的信息安全防護即是對其包含的信息數據的安全防護。隨著信息設備所面臨的越來越嚴峻的信息安全威脅,如何做好信息設備的風險管理工作是一個值得深入探討的課題。
2信息設備風險管理
2.1信息設備的風險概述
參照信息安全風險評估規范等標準來說,信息設備信息安全風險包含三個要素,即脆弱性、威脅和資產,每個要素有各自的屬性,資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。信息設備所面臨的信息安全風險并非某種單一來源的安全威脅,而是三種要素互相影響、互相關聯的某種動態的平衡關系,而信息設備的風險管理本質上講是對這三種要素造成的安全風險程度的可控管理。
2.2信息設備全生命周期風險管理
信息設備全生命周期風險管理包括信息設備規劃設計階段、部署階段、測試階段、運行階段和廢棄階段。規劃設計階段應能夠描述信息系統建成后對現有模式的作用,包括技術、管理等方面,并根據其作用確定系統建設應達到的目標。這個階段,風險威脅應根據未來系統的應用對象、應用環境、業務狀況、操作要求等方面進行分析。部署階段是根據規劃設計階段分析的威脅和制定的安全措施,在設備部署階段應進行質量控制。測試階段是對已經部署完成的信息設備結合前期規劃設計方案的要求對采購來的信息設備進行全面的測試,包括基礎測試、功能性測試及安全性測試等。運行階段讓信息設備穩定運行并起到其應有的功能。該階段應做好設備監控、脆弱性發現、設備異常報警、信息設備日志搜集和分析等工作。廢棄階段存在的風險包括未對殘留信息進行適當處理、未對系統組件進行合理的丟棄或更換或未關閉相關連接,對于變更的系統,還可能存在新的信息安全風險,因為其可能替換了新的系統組件等。
2.3信息設備風險管理體系
傳統的信息安全管理體系主要依據ISO27001相關標準搭建,ISO27001標準采用基于風險評估的信息安全風險管理,具體采用了PDCA模型過程方法來全面、系統、持續的改進組織的信息安全管理。ISO27001采用的PDCA模型不僅適用于傳統信息安全管理,同時也適用于信息設備的安全風險管理。
2.3.1總體思路
信息設備風險管理總體借鑒PDCA管理模型的相關理念,將信息安全設計方案制定、各階段的信息安全風險管理實施、各階段信息安全管理檢查、信息安全管理改進,形成一套有效的安全風險管理防護方法,對信息設備進行不同時間階段、不同維度、不同重點的管理,有效防范和控制信息安全風險,增強信息安全體系的檢測能力、保護能力,為用戶開展風險管理提供全方位的管理思路。
2.3.2風險管理模型
融合傳統風險管理的PDCA模型,將傳統風險管理中動態模型的思路加以延續,增強信息設備狀態的動態特性,主要分為四部分:管理規劃、管理實施、管理檢查、管理改進。管理規劃:決策層要明確政策、目標、策略、計劃,形成具體的管理規劃,明確組織風險管理的整體目標和方向,確定對信息設備進行風險管理所要達到的目的和狀態,從而防止后續制定的風險管理規范和組織與已有的戰略決策、制度、規范等相違背而導致不可執行的問題。管理實施:管理層在深入領會和遵照管理規劃的指示后深入研究信息設備各階段所面臨的信息安全風險,對信息設備各環節制定詳細的風險管理實施規范和標準,以便具體的業務部門、人員等能嚴格按照管理規劃的計劃和要求來實施風險管理規范。管理檢查:管理檢查作為監督信息風險管理實施效果的主要手段之一,需要確保管理檢查手段的全面性、科學性、客觀性,需要覆蓋各個管理階段,客觀而高效的評價風險管理實施效果。管理改進:通過歸納總結前階段管理檢查的工作成果,結合信息設備各階段在實施信息風險管理中碰到的各類問題,從管理規劃、管理實施、管理檢查等各階段提出信息風險管理改進意見,從而持續的改進信息設備各階段的安全風險管理體系。
2.3.3風險管理體系的構建
根據安全風險的特點、信息安全三個關鍵要素以及信息設備各階段的特點,我們應明確安全風險的幾個控制手段,然后有計劃的加強整個信息設備安全風險管理體系的建設,才有可能最終有效控制信息安全設備風險。首先,根據企業所處的環境,全面準確的評估安全風險,并根據安全風險的狀況結合系統、網絡層面的安全防御手段有效抵御各種威脅,最終主動降低安全風險。要實現對安全風險的管理和控制,需要實現完整的風險管理流程,具體為發現安全風險,即通過有效的手段確定安全風險的資產和區域、定位安全風險存在的區域、評估安全風險,準確高效的評估安全風險,了解安全風險的大小和實質、強制措施降低風險,通過管理或強制等安全手段,主動降低安全風險、安全防御通過各類系統、網絡安全設備、防御各類安全威脅、安全問題修補,主動修補存在的各類安全漏洞,全面降低安全風險。以上是完整的信息設備安全風險管理流程,對整個信息設備安全風險的管理和控制,這些步驟缺一不可,同時,風險管理流程還應根據企業的具體情況,有不同的實現方式。其次,實現信息設備風險管理的詳細步驟包括:確定信息安全標準和方針、統計信息設備資產,進行資產識別、檢測信息設備資產存在的安全漏洞、了解潛在的威脅、分析存在的安全風險、通過各種手段如安全防護產品來降低已有的安全風險、對信息設備評估安全效果和影響、對已有信息設備安全策略進行對比及改進。最后,實現完善的信息設備安全風險管理,還需要有計劃的完善自身的安全風險管理體系,制定相應的整體安全策略。建立全面的資產管理和風險管理體系,整合現有的安全設備和手段,形成信息設備成熟完備的動態安全風險管理體系。
3結束語
第4篇:信息資產的安全屬性范文
數字校園是以校園網為背景的集教學、管理和服務為一體的一種新型的數字化工作、學習和生活環境。一個典型的數字校園包括各種常用網絡服務、共享數據庫、身份認證平臺、各種業務管理系統和信息門戶網站等[1]。數字校園作為一個龐大復雜的信息系統,構建和維護一個良好的信息安全管理體系是一項非常重要的基礎管理工作。
信息安全風險評估是構建和維護信息安全管理體系的基礎和關鍵環節,它通過識別組織的重要信息資產、資產面臨的威脅以及資產自身的脆弱性,評估外部威脅利用資產的脆弱性導致安全事件發生的可能性,判斷安全事件發生后對組織造成的影響。對數字校園進行信息安全風險評估有助于及時發現和解決存在的信息安全問題,保證數字校園的業務連續性,并為構建一個良好的信息安全管理體系奠定堅實基礎。
二、評估標準
由于信息安全風險評估的基礎性作用,包括我國在內的信息化程度較高的國家以及相關國際組織都非常重視相關標準和方法的研究。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協調中心開發的OCTAVE2.0以及我國制定的《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)。
ISO/IEC27001系列標準于2005年10月15日正式,作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動,同時也為評估組織的信息安全管理水平提供依據。但是ISO27001系列標準沒有制定明確的信息安全風險評估流程,組織可以自行選擇適合自身特點的信息安全風險評估方法,如OCTAVE2.0等[2][3]。
為了指導我國信息安全風險評估工作的開展,我國于2007年11月正式頒布了《信息安全技術——信息安全風險評估規范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風險評估標準,該標準與ISO27001系列標準思想一致,但對信息安全風險評估過程進行了細化,使得更加適合我國企業或者組織的信息安全風險評估工作開展。
三、評估流程
《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)等標準為風險評估提供了方法論和流程,為風險評估各個階段的工作制定了規范,但標準沒有規定風險評估實施的具體模型和方法,由風險評估實施者根據業務特點和組織要求自行決定。本文根據數字校園的業務流程和所屬資產的特點,參考模糊數學、OCTAVE的構建威脅場景理論和通用弱點評價體系(CVSS)等風險評估技術,提出了數字校園信息安全風險評估的具體流程和整體框架,如圖1所示。
據圖1可知,數字校園的信息安全風險評估首先在充分識別數字校園的信息資產、資產面臨的威脅以及可被威脅利用的資產脆弱性的基礎上,確定資產價值、威脅等級和脆弱性等級,然后根據風險矩陣計算得出信息資產的風險值分布表。數字校園信息安全風險評估的詳細流程如下:
(1)資產識別:根據數字校園的業務流程,從硬件、軟件、電子數據、紙質文檔、人員和服務等方面對數字校園的信息資產進行識別,得到資產清單。資產的賦值要考慮資產本身的實際價格,更重要的是要考慮資產對組織的信息安全重要程度,即信息資產的機密性、完整性和可用性在受到損害后對組織造成的損害程度,預計損害程度越高則賦值越高。
在確定了資產的機密性、完整性和可用性的賦值等級后,需要經過綜合評定得出資產等級。綜合評定方法一般有兩種:一種方法是選取資產機密性、完整性和可用性中最為重要的一個屬性確定資產等級;還有一種方法是對資產機密性、完整性和可用性三個賦值進行加權計算,通常采用的加權計算公式有相加法和相乘法,由組織根據業務特點確定。
設資產的機密性賦值為,完整性賦值為,可用性賦值為,資產等級值為,則
相加法的計算公式為v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅,實際威脅識別需要通過訪談和專業檢測工具,并通過分析入侵檢測系統日志、服務器日志、防火墻日志等記錄對實際發生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統計數據,并結合組織業務特點對潛在可能發生的威脅進行充分識別和分類。
(3)脆弱性識別:脆弱性是資產的固有屬性,既有信息資產本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統的漏洞可以通過專業的漏洞檢測軟件進行檢測,然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別,包括對已有的控制措施的有效性也一并識別。
(4)威脅—脆弱性關聯:為了避免單獨對威脅和脆弱性進行賦值從而造成風險分析計算結果出現偏差,需要按照OCTAVE中的構建威脅場景方法將“資產-威脅-脆弱性-已有安全控制措施”進行關聯。
(5)風險值計算:在資產、威脅、脆弱性賦值基礎上,利用風險計算方法計算每個“資產-威脅-脆弱性”相關聯的風險值,并最終得到整個數字校園的風險值分布表,并依據風險接受準則,確認可接受和不可接受的風險。
四、評估實例
本文以筆者所在高職院校的數字校園作為研究對象實例,利用前面所述的信息安全風險評估流程對該實例對象進行信息安全風險評估。
1.資產識別與評估
數字校園的資產識別與評估包括資產識別和資產價值計算。
(1)資產識別
信息安全風險評估專家、數字校園管理技術人員和數字校園使用部門代表共同組成數字校園信息資產識別小組,小組通過現場清查、問卷調查、查看記錄和人員訪談等方式,按照數字校園各個業務系統的工作流程,詳細地列出數字校園的信息資產清單。這些信息資產從類別上可以分為硬件(如服務器、存儲設備、網絡設備等)、軟件(OA系統、郵件系統、網站等)、電子數據(各種數據庫、各種電子文檔等)、紙質文檔(系統使用手冊、工作日志等)、人員和服務等。為了對資產進行標準化管理,識別小組對各個資產進行了編碼,便于標準化和精確化管理。
(2)資產價值計算
獲得數字校園的信息資產詳細列表后,資產識別小 組召開座談會確定每個信息資產的價值,即對資產的機密性、完整性、可用性進行賦值,三性的賦值為1~5的整數,1代表對組織造成的影響或損失最低,5代表對組織造成的影響或損失最高。確定資產的信息安全屬性賦值后,結合該數字校園的特點,采用相加法確定資產的價值。該數字校園的軟件類資產計算樣例表如下表1所示。
由于資產價值的計算結果為1~5之間的實數,為了與資產的機密性、完整性、可用性賦值相對應,需要對資產價值的計算結果歸整,歸整后的數字校園軟件類資產的資產等級結果如表1所示。
因為數字校園的所有信息資產總數龐大,其中有些很重要,有些不重要,重要的需要特別關注重點防范,不重要的可以不用考慮或者減少投入。在識別出所有資產后,還需要列出所有的關鍵信息資產,在以后的日常管理中重點關注。不同的組織對關鍵資產的判斷標準不完全相同,本文將資產等級值在4以上(包括4)的資產列為關鍵信息資產,并在資產識別清單中予以注明,如表1所示。
2.威脅和脆弱性識別與評估
數字校園與其他計算機網絡信息系統一樣面臨著各種各樣的威脅,同時數字校園作為一種在校園內部運行的網絡信息系統面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產之上,通過破壞資產的一個或多個安全屬性而產生信息安全風險,即任何威脅都是與資產相關聯的,一項資產可能面臨多個威脅,一個威脅可能作用于多項資產。威脅的識別方法是在資產識別階段形成的資產清單基礎上,以關鍵資產為重點,從系統威脅、自然威脅、環境威脅和人員威脅四個方面對資產面臨的威脅進行識別。在分析數字校園實際發生的網絡威脅時,需要檢查入侵檢測系統、服務器日志文件等記錄的數據。
脆弱性是指資產中可能被威脅所利用的弱點。數字校園的脆弱性是數字校園在開發、部署、運維等過程中由于技術不成熟或管理不完善產生的一種缺陷。它如果被相關威脅利用就有可能對數字校園的資產造成損害,進而對數字校園造成損失。數字校園的脆弱性可以分為技術脆弱性和管理脆弱性兩種。技術脆弱性主要包括操作系統漏洞、網絡協議漏洞、應用系統漏洞、數據庫漏洞、中間件漏洞以及網絡中心機房物理環境設計缺陷等等。管理脆弱性主要由技術管理與組織管理措施不完善或執行不到位造成。
技術脆弱性的識別主要采用問卷調查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術脆弱性與軟件漏洞有關,因此使用漏洞檢測工具檢測脆弱性,可以獲得較高的檢測效率。本文采用啟明星辰公司研發的天鏡脆弱性掃描與管理系統對數字校園進行技術脆弱性識別和評估。
管理脆弱性識別的主要內容就是對數字校園現有的安全控制措施進行識別與確認,有效的安全控制措施可以降低安全事件發生的可能性,無效的安全控制措施會提高安全事件發生的可能性。安全控制措施大致分為技術控制措施、管理和操作控制措施兩大類。技術控制措施隨著數字校園的建立、實施、運行和維護等過程同步建設與完善,具有較強的針對性,識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規則指南》或NIST的《最佳安全實踐相關手冊》制訂的表格進行,避免遺漏。
3.風險計算
完成數字校園的資產識別、威脅識別、脆弱性識別和已有控制措施識別任務后,進入風險計算階段。
對于像數字校園這類復雜的網絡信息系統,需要采用OCTAVE標準提供的“構建威脅場景”方法進行風險分析。“構建威脅場景”方法基于“具體問題、具體分析”的原則,理清“資產-威脅-脆弱性-已有控制措施”的內在聯系,避免了孤立地評價威脅導致風險計算結果出現偏差的局面。表2反映了數字校園圖書館管理系統的資產、威脅、脆弱性、已有控制措施的映射示例。
將“資產—威脅—脆弱性—已有控制措施”進行映射后,就可以按照GB/T20984-2007《信息安全風險評估規范》要求進行風險計算。為了便于計算,需要將前面各個階段獲得資產、威脅、脆弱性賦值與表3所示的“資產—威脅—脆弱性—已有控制措施”映射表合并,因為在對脆弱性賦值的時候已經考慮了已有控制措施的有效性,因此可以將已有控制措施去掉。
本文采用的風險計算方法為《信息安全風險評估規范》中推薦的矩陣法,風險值計算公式為:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。
風險計算的具體步驟是:
(a)根據威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計算安全事件可能性值;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉換為安全事件可能性等級值;
(c)根據資產賦值和脆弱性賦值,查詢《安全事件損失矩陣》計算安全事件損失值;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉換為安全事件損失等級值;
(e)根據安全事件可能性等級值和安全事件損失等級值,查詢《風險矩陣》計算安全事件風險值;
(f)對照《風險等級劃分矩陣》將安全事件風險值轉換為安全事件風險等級值。
所有等級值均采用五級制,1級最低,5級最高。
五、結束語
數字校園是現代高校信息化的重要基礎設施,數字校園的安全穩定直接關系到校園的安全穩定,而風險評估是保證數字校園安全穩定的一項基礎性工作。本文的信息安全風險評估方法依據國家標準,采用定性和定量相結合的方式,保證了信息安全風險評估的有效性和科學性,使得風險評估結果能對后續建立數字校園的信息安全管理體系起到指導作用。
參考文獻:
[1]宋玉賢.高職院校數字化校園建設的策略研究[J].中國教育信息化,2010(4).
第5篇:信息資產的安全屬性范文
隨著科學技術的不斷提高,人們應用科學技術的水平和應用的領域也在不斷的擴展,尤其是網絡技術的應用是最為廣泛的,在企業的會計報告模式中的應用為企業打來了很多的便利,比如工作軟件的使用等,為企業的數據的集中采集和處理都帶去了很大的便利,這也是網絡技術在會計報告模式中的應用,但是在應用于會計報告模式的同時還會有一些挑戰需要企業去解決,比如對企業會計計量方式的選擇等,因此,網絡環境下的會計報告模式在應用的同時也需要進行一定的改革。
二、網絡模式下的會計報告模式遇到的挑戰
1.會計報告中計量方式的忽視
會計報告模式需要考慮的問題就是要采用什么樣的屬性來進行核算,其中有歷史成本和現值這兩種的計量屬性。歷史成本就是對過去獲取資產時采用的價值進行核算,而現值就是對資產未來的價值核算。
而很多的企業使用的是歷史成本的屬性來進行核算,卻很少使用現值的計量屬性,而歷史成本的核算屬性主要是對企業過去的資產進行一定的核算,只能反應過去企業的資產價值,而無法估計未來的資產價值,而現值的計量屬性就是對企業未來的價值進行一定的評估,這樣的計量屬性對企業未來的發展能有一定的預測功能,而企業的發展靠的不僅是過去的資產價值,還有未來的資產價值評估,而很多的企業都不會注意到使用現值的計量方式,忽視會計報告中計量方式的改革。這就使得企業的會計報告可能會有些片面,沒有一定的前景展望,進而對企業的發展有一定的影響。
2.不會利用多種網絡技術進行一定的企業未來規劃
現今的企業的會計報告之中,所做的就是對過去資產的核算與評估,利用的網絡技術只是簡單的辦公軟件,簡單的表格圖表,而對企業未來的價值聘雇沒有一定有力可靠的評估,這就使得企業的未來價值不明確。進而影響企業的未來發展。
在企業耳釘發展之中只有對企業未來的價值有一個很好的評估才能夠長久地發展下去。而在現代的科技社會中,如果不能運用多種的網絡技術進行會計報告模式的提升,對企業的價值進行一定的評估那就可能就會被社會淘汰,這是個快速發展的社會也是個優勝劣汰的社會,因此在如今的社會中,使用多種網絡技術進行企業價值評估,未來的規劃是一個大的挑戰。
三、企業在網絡環境下的會計報告模式中應對挑戰的對策
會計報告模式的計量方式方面要采用現值的計量核算方式,結合歷史成本的計量方式,在總結計量企業過去的資產價值的同時對未來的價值進行一定的估計,對企業未來的發展有一定的規劃。
加強與客戶的交流。在以往的會計報告中,客戶基本與企業沒有什么交流,這樣客戶的要求企業不會知道,而企業的會計報告的生成過程之中出現的問題等等客戶也不會知道,這就使得雙方沒有互動性,而我們應該在會計報告中采用人機對話,使得財務信息的獲取過程具有交互性,滿足了用戶多樣化和個性化的需求,這樣的方式可以使得客戶和企業有一定的交流,進而有所反饋,將客戶的意見反饋給企業,進而對企業的寬口徑報告的生成有一定的幫助,而客戶也會對企業的會計報告的生成有一定的了解,進而可以達成客戶與企業互利雙贏的局面。
上述的方法能夠有效的迎接網絡環境下的會計報告模式遇到的挑戰,進而為企業的發展帶來美好的愿景。
四、網絡環境下的會計報告模式的優點
會計數據生成快速,信息集中而且能夠得到安全的保存。在會計報告的生成過程中,使用一定的辦公軟件而已將多而雜的數據集中起來,列表畫圖,這為數據的集中提供了很大的便利。會計報告中肯定有很多的數據,有的還對數據進行一定的分析,那么如果人工對數據的記錄與分析就很容易出錯,而且有的錯誤修改起來十分地麻煩,而運用一定的網絡技術就可以將數據重復的利用,很好的保存下來,方便員工對數據吉祥鳥記錄和處理,做出圖表進行分析,而且還能為可能會發生的錯誤提供解決的基礎,大大方便了會計報告的生成,也能使得會計數據很安全的保存下來,為后續的工作提供便利。這樣做不僅可以提高工作的效率,還能提高較高的準確率。
第6篇:信息資產的安全屬性范文
關鍵詞:大數據時代;電氣工程;大數據技術;應用情況
當下,國家電網等相關公司都進一步加強了對于大數據技術等方面的重視。早在2013年,相關單位就建立了大數據技術方面的團隊。逐漸加強了團隊之間的合作,包括國內的各種研究機構等,也都實行了廣泛的交流,并且對技術做了跟蹤研究,這樣就需要對配電網絡的情況,進行進一步的監測和相應的分析,有效提升電力與氣象等方面的應用,并通過智能電網來對智慧城市的發展做支撐。通過使用計算機云計算技術,也就是計算機技術和網絡技術的結合,從而充分發揮出相應的優勢,逐漸地構成了新型的信息化計算方式,目前其能夠廣泛應用于市場主要有以下幾個優勢:可靠性高、使用靈活、延展性高等。
1云計算的基本概述
云計算(cloudcomputing)屬于網狀式的分布性計算法的一種,主要借助網絡云端將大量數據穿入,利用計算公式和程序對其分解梳理,隨之借助多部服務器系統傳達并處理小程序將結果反饋給使用人員。互聯網計算方式的建立綜合了軟件、硬件的信息資源,加大各個電器工程對于信息化技術的使用力度。使用過程中不斷提升系統更新頻率,這對目前諸多三甲醫院客戶所使用的計算機云計算系統而言更能穩定治療安全性,且用戶使用時可隨時共享信息至終端設備,不用詳細了解其構成知識且操作便捷。
2大數據技術應用于電氣工程的意義
近幾年,互聯網和物聯網都得到了越來越廣泛的應用,特別是在建設電氣工程時,應用大數據技術的優勢就是能夠更加及時、準確地獲得相關的信息資料。由于很多行業在工作中介入了云計算工作模式獲得了較高的收益,因此已經成為很多人的重點研究方向,望其能夠在各個行業中得到成熟運用。尤其在電力行業,不僅能加強業務能力以使信息化建設進程加快,而且可不斷完善管理水平,讓電力管理機構管理水準更進一步,贏得經濟收益、口碑、管理效益。另外,大數據的相關技術也有著速度快、時效高的特點,例如在進行搜索信息的時候,通常需要有幾分鐘之后,才能夠查詢到用戶的相關信息,而應用個性化的推薦算法,能夠盡量的滿足相關的要求,實現實時推薦,這也與電氣工程的建設和發展的要求相符合。另外,需要支出單是大數據中的相關數據,需要做到在線易得,尤其是基于互聯網高速發展的背景下。例如,在建立電氣工程時,因為相關的信息需求比較大,還需要做到及時準確等,因此對于工程項目的數據建設來說,一定要和相關的數據同時在線,這樣能夠更好地實現數據的共享與應用。
3大數據技術在應用時存在的問題
目前,在進行大數據的應用的時候,還存在著部分問題,所以亟待完善。主要的問題就是在大數據應用方面的資金投入比較少,而且相關的大數據技術方面的人才并不是特別多,這樣就阻礙了大數據整體的發展。將電氣工程線路中出現的過載管理作為主要的例子,其相應的問題表現就包括有過多的配電線路,整體分布比較廣泛,而且相應的變化比較快,具備負載特性差異。另外,在管理上具有較大難度,也存在著部分線路重過載的情況,特別是在夏、冬季節會對線路安全和可靠供電造成嚴重影響,如果沒有及時對線路重過載的情況進行有效的分析,則沒有辦法實現配網工程立項,也不能提供相對精準的參考。所以整體線路的工作情況都需要依賴工作人員自身的經驗,這樣就不能做到信息的精準和預控。另外,雖然應用了大數據進行信息數據處理,但是存在著安全隱私方面的問題,其中比較突出的就是對于個人的行蹤進行鎖定,不能夠很好保障人身安全。因此,針對大數據中存在的安全方面的問題一定要加強重視。
4大數據技術在電氣工程中的應用措施
4.1做好大數據技術應用于電網調度。為了能夠更好的實現電氣工程的整體的調度工作,其最主要的目的就是能夠進行電網的調度,與此同時,還要做好整個電氣自動化系統的調控。另外,在施行系統的自動化設計方面,其主要的目的就是能夠對電網在運行的時候實施經濟上的調度,同樣的還要能夠使電網更加穩定的運行。還有就是對于電力生產中產生的數據能夠進行分析,并且針對整個系統中的負荷情況進行自動的預測。之后就是針對顯示出的部分數據,充分的排查系統中存在的故障點,避免時間與監理的浪費。4.2建立配網資產管理的大數據平臺。因為配網所具備的屬性與種類比較多,因此,針對不同屬性的配網工作,一定要保證能夠做好資產管理工作,主要是因為它能夠實現配網的自動、經濟與穩定,這些都是保證配網能夠正常、安全運行的一項非常重要的基礎。另外,針對也要積極的堆現代的計算機技術進行應用,還要積極的建立配網資產管理的大數據平臺。這樣才能夠基于資產管理的整體的數據平臺,來進行資產的存量和增量。提升相應情況的一致性和真實性,另外,在這個平臺上也要能夠將配電網的每個設備充分的體現出來,包括相關的要素,而針對不同屬性的微觀狀況的差異,也需要對整個配電網相應的能力來進行衡量。其中主要就是經濟的狀態,其功率與符合的情況,是否處于安全水平,相應的承載能力情況,有沒有發生故障的可能,以及使用壽命。4.3做好配網資產平臺中的各種類型傳感器的連接。在應用配網的比較關鍵的節點的時候,一定要配置好各種傳感器和操作器。與此同時,還要積極的采集配網資產所具備的各項傳輸的能量情況,以及各種參數情況,這樣才能夠保證配網資產實體的結合,也能夠形成比較完善的參數體系。而針對傳感器中采集與應用到的相關數據,需要保證相關的操作器的相關數據可以實現永久的保存,保證資產屬性能夠更加的完善,并保證其可以和電氣的參數歷史實現完美的統一,也能夠更加充分的清楚配網的狀態,再根據歷史數據進行評價。對于各類決策和設計的正確性進行隨時的檢驗,這樣能夠提升預測依據的準確性。另外,需要做到的就是對實現配網的整個資產屬性以及電氣的數據情況實行分析,保證可以實現整個項目的安全,節約成本,增長使用壽命,并進行統一的優化,保證做好配網擴張以及配網組合的工作。4.4根據配網的資產是否完整來做好配網的準確擴張。目前,在進行配網資產的統計方面,存在著比較多的用戶數量,所以在添加配網資產的時候,需要預先做好的工作就是進行相關的設計,這樣才能夠實現配網資產管理平臺工作順利進行。并且在對相應的數據做好調整和完善,再進行相關的預測和設計。而且在進行配網資產的平臺上,也需要保證對整個配網進行更加完整的設計,還要做好評估和檢驗工作,與此同時,需要保證其能夠滿足其在電參數和配網的承載的工作。進一步提升整個配網的合理性。而通常在進行配網連接的時候,都需要進行合理的操作和保護,這樣才能夠進一步滿足預期的效果。
5結語
綜上所述,隨著電氣工程的不斷發展,進一步加快了我國社會主義建設與發展的腳步。目前大數據技術應用于電氣工程面臨著全新的機遇,當然也存在著許多的挑戰和困難,因此,需要加強對系統的規劃。在處理大數據時,常常會應用云計算,這存在安全隱私方面的問題。所以需要進一步提升云計算的安全性,并將其應用在電氣工程中,這樣才可以更好地實現電氣工程建設事業的可持續發展。
參考文獻:
[1]陸汝華,李亞蘭,文波,等.教育大數據中大學生幸福感影響因素的提取模型[J].電腦與信息技術,2020,28(3):57-59.
[2]付現立.基于大數據技術的鐵路安全管理研究[J].建筑工程技術與設計,2018,(21):1620.
[3]熊同強.電氣火災預報系統大數據處理與應用淺析[J].當代教育實踐與教學研究(電子刊),2017,(7):513.
[4]汪威為,陳超洋.智能電網背景下的大數據處理與短期負荷預測綜述[J].無線互聯科技,2019,16(5):3-5.
[5]王逸飛,張行,何迪,等.基于大數據平臺的電網防災調度系統功能設計與系統架構[J].電網技術,2016,40(10):3213-3219.
[6]魏利峰,紀建偉,王曉斌.云環境中web信息抓取技術的研究及應用[J].電子設計工程,2016,24(4):29-31.
第7篇:信息資產的安全屬性范文
Abstract: Relay protection equipment management is the core business of relay protection maintenance work. We establish module of relaying protection equipment account information management, of relaying protection service management, and of relaying protection defect management, and build improved equipment information model in relaying protection service, in order to gradually realize the whole life cycle of equipment asset management, optimize the relay protection maintenance, thus achieve the real meaning of relay protection state overhaul, realize the comprehensive, all-round, the whole process, the unity of the lean management.
關鍵詞: 生產管理系統;繼電保護;設備;檢修
Key words: production management system;relay protection;equipment;maintenance
中圖分類號:TM774 文獻標識碼:A 文章編號:1006-4311(2013)27-0196-02
0 引言
設備是資產管理的核心,隨著我國電網的飛速發展,電網設備的規模越來越大,數量大幅度增加,為適應“集約化發展、精益化管理”的管理要求,需要在原來的資產管理模式中引入新的理念,運用新的技術。
繼電保護設備臺賬信息是指繼電保護裝置自身的固有信息及檢修信息,包含日常檢修工作中所涉及的各種技術參數及檢修統計數據,它們具有類型多、量大、面廣等特點。目前,繼電保護設備臺賬信息管理都是整合設備信息、檢修記錄、缺陷信息等信息,及時將臺帳信息錄入生產管理系統實現臺帳管理信息化,為繼電保護檢修班組的設備運行維護和專業管理決策提供有力的理論依據。
1 生產管理系統簡介與管理范疇
冀北電力有限公司開發設計的生產管理系統主要應用EAM系統,同時ERP作為EAM的輔助系統負責設備的投入及退役。EAM是英文Enterprise Asset Management的縮寫,即企業資產管理,是一種微機化的資產管理和維護系統。作為一個閉環管理系統,EAM可分為設備信息、缺陷管理、檢修計劃、校驗報告等多模塊(如圖1)。它帶給企業的最大好處是科學地規范了設備的管理,讓單靠“人腦”的管理,轉化為高度集成可以資源共享的信息化管理。EAM的核心理念所在就是根據大量歷史信息和后期積累的數據信息,在統計和分析的基礎上對設備進行管理。設備運轉的時間越長,數據越多,規律性的東西也就越多,提供的有效信息就越多,EAM系統就是利用設備資產的這些準確數據,通過信息化手段,合理安排維修計劃及相關資源與活動。
2 生產管理系統流程管理
生產管理系統中繼電保護數據信息分為靜態數據和動態數據兩種。靜態數據是繼電保護設備自身的固有數據,如繼電保護裝置的生產廠家、出廠日期等信息。動態數據指繼電保護檢修班組在生產工作過程中產生的有關繼電保護設備運行情況的數據,如對繼電保護設備進行檢修產生的檢修記錄,處理缺陷產生消缺記錄及對繼電保護裝置版本升級產生的新的版本等數據。這些數據反映了繼電保護設備的物理信息及檢修過程中動態數據對物理數據的影響。
生產管理系統中的數據信息是依附設備屬性存在的,將缺陷管理流程、檢修管理流程、 校驗報告、檢修計劃流程等與具體的繼電保護設備對應,以繼電保護設備作為EAM體系的核心和基礎,隨時查詢靜態數據及動態數據。
2.1 設備臺賬
2.1.1 設備分類 按照生產管理系統繼電保護設備功能位置分類,逐級分為所屬局、設施大類、變電站、電壓等級、間隔、設備大類等功能位置。保護類型又分為安全自動裝置、保護故障信息站、保護屏、保護通道設備、保護通訊接口裝置、保護信息管理機、保護裝置、輔助裝置、復合電壓閉鎖裝置、規約轉換器、繼電器、失靈啟動及三相不一致裝置、收發訊機等。
單間隔設備放在該間隔下,與所對應的一次設備并列。公共單元(如母線保護、故障錄波器等)及一個屏內有兩個及以上間隔的保護設備放在命名為“空”的間隔下。
2.1.2 臺賬屬性 繼電保護設備臺賬分為保護屏、繼電保護裝置及安全自動裝置臺賬。設備屬性是二次設備臺賬的基本組成部分,它反映了設備的基本信息。
繼電保護設備臺賬屬性分為公有屬性和私有屬性兩部分。公有屬性是包含資產名稱、調度編號、是否GIS、相別、電壓等級、規格型號、生產廠家、出廠序號、出廠日期、投運日期、購置價值、生產廠家性質等設備的固有信息。私有屬性是包含保護功能、保護類別、調度歸屬、一次設備電壓等級、交流額定電流、交流額定電壓、直流額定電壓、定值單、保護版本、校驗碼、程序形成時間及調度OMS信息等裝置的特殊信息。
2.2 檢修計劃
2.2.1 角色設置 檢修計劃管理模塊配置工區檢修計劃員和公司檢修計劃員。由工區檢修計劃員根據工作需要擬定計劃,再由公司檢修計劃員平衡、發放。檢修計劃分為月度檢修計劃和日停電計劃。
2.2.2 管理流程 工區檢修計劃員月末直接從系統中擬定下月停電檢修計劃,并上報給公司檢修計劃員。在“工區計劃員工作臺”完成每月計劃上報并經公司計劃員完成月計劃后,還需要從“日停電申請”里將上報的日停電申請計劃再提交上報一次,方可自動根據每月停電計劃自動生成每日檢修計劃。
針對同一變電站內不同的設備同時停電的情況,應作為一個停電計劃進行上報。公司檢修計劃員平衡、發放計劃,并確保在設備停電前一天從系統中完成批復操作。各班組工作負責人根據發放或者批復后的計劃及時從“部門檢修計劃”或者“日檢修計劃”創里建班組作業子工單,必須在本次檢修工作完成之前創建。
2.3 缺陷管理
2.3.1 角色設置 生產管理信息系統中,設置操作人員,分別為變電運行人員、缺陷審核人員、缺陷審定人員、消缺安排人員及消缺人以不同用戶的身份設置相應的權限。缺陷審核人一般為變電運行主管,缺陷審定人一般為生技部門主管,消缺安排人一般為檢修部門主管主任或專業技術主管。
2.3.2 設備選定 繼電保護專業缺陷一般選擇繼電保護裝置,如確認無法選擇到保護裝置,則可選擇保護屏柜。若確認為屏柜自身的缺陷,選擇該屏柜;若確認繼電保護設備對應的一次設備,則選擇一次設備。
設備資產發生的所有記錄均必須圍繞設備展開,因此在進行缺陷填報選擇"資產名稱"時,應選擇“XX設備”,不允許選擇“XX設備位置、一次設備、XX間隔”等。
2.3.3 流程管理 缺陷管理流程可分為兩種:一種為正常缺陷流程,一種為補錄缺陷流程。正常缺陷流程一般設置各6個環節:缺陷填報-缺陷審核-缺陷審定-消缺安排-消缺匯報-缺陷驗收。補錄缺陷一般為危機缺陷發生在晚上或非工作日,缺陷審核人和審定人不在上班時間,無法使流程正常流轉,缺陷填報時在“是否補錄數據”字段中選擇“是”,然后提交給現場實際消缺人員(工作負責人),由消缺人員人進行消缺匯報,并在匯報頁面備注欄注名原因。
缺陷填報時,將缺陷的現象、缺陷部位、發現人、發現時間、缺陷類型描述清楚。
缺陷審核環節必須嚴把審核關,確保缺陷填報數據準確缺陷審核一旦提交,就無法退回。
在缺陷審定環節的審定意見一般應為“請XX單位處理”,也可加上一些有助于消缺的意見。
在消缺安排環節的安排意見一般應為“請相關負責人現場處理”(一般、嚴重缺陷)或“請相關負責人馬上到現場處理”(危急缺陷)。
在消缺匯報環節,填寫消缺時間、缺陷處理情況、故障部位及原因,若有遺留問題,在備注中說明。如果處理的是一個危急缺陷,則應由消缺匯報人員在“備注”欄里注明:此缺陷已報生技部審批,并由XX部門安排消缺。
在消缺驗收環節驗收意見欄里一般應為“驗收合格,可以投運”,在“消缺結果”里選擇“已消缺”。
2.4 設備檢修 傳統的繼電保護設備檢修管理一般采用紙質記賬的記錄方式,如果遺漏則無法記錄。生產管理系統基于ORACLE電子商務套件的質量管理功能,通過定義收集計劃、收集要素來建立各類設備的檢修項目、可以在系統中按照設備的型號、校驗項目靈活定義檢修流程,同時上傳檢修、試驗結果,同時在設備OMS模塊記錄校驗時間,進而計算下次檢驗的時間。
班組設備管理員應在新建、改擴建設備投運,設備臺帳錄入系統前,完成資產活動與設備臺帳的關聯,因大修或者技改重新錄入后的設備,應由班組設備管理員重新進行資產活動關聯。
通過創建保護校驗工單,現場填寫校驗數據,回傳二次標準化作業報告,完成保護校驗工單,完成二次標準化作業報告審批流程等環節將繼電保護檢修業務進行了統一規范化管理。
3 結論
生產管理系統在繼電保護運行管理中克服了當前管理模式中的諸多弊端,并對各種信息進行了合理配置,進一步提高了繼電保護運行、檢修及管理水平,保障了電網的安全穩定運行。生產管理系統在冀北電力公司全網的運行經驗表明,該系統在設備運行管理、檢修管理、缺陷管理及設備的全壽命管理中取得了預期效果,為電網實現精細化管理奠定了堅實的基礎。
參考文獻:
[1]Q/GDW 683-2011,資產全壽命周期管理規范[S].
[2]Q/BEHV 35851-2009,數字化電網生產管理系統使用管理標準[S].
[3]許志華,蔡澤祥,劉德志,等.面向設備的二次系統設備管理系統[J].電力自動化設備,2004,24(6):34,36.
第8篇:信息資產的安全屬性范文
關鍵詞:財政信息;信息安全;身份認證;數字證書
中圖分類號:TP311.52
財政業務系統多為涉及面廣、多個部門協作、關鍵業務操作多、處理數據多的特點,對應用安全保障有很高的要求;現有應用系統主要通過“用戶名+口令” 進行用戶身份識別和訪問控制,安全級別較低;現有應用系統各自的身份識別和訪問控制機制彼此獨立、重復設置、重復開發,增加了安全隱患,也增加了管理成本和用戶負擔;缺乏電子單據和數據數字簽名、時間戳、責任認定等安全功能,業務無紙化無法推進;整體上缺失統一的標準和技術手段,很難適應財政信息化的發展。本文就財政信息系統特點及現狀,介紹和討論財政身份認證與授權管理的解決方案與建設,達到保障財政業務安全應用的目的。
1 信息安全簡介
信息安全是研究在特定的應用環境下,依據特定的安全策越,對信息及其系統實施防護、檢測和恢復的科學。
信息安全主要體現在以下三個方面:一是保密性。保密性是指確保信息資料,特別是重要的信息資料,不流失,不被非本部門人員非法盜用。二是完整性。所謂信息資料的完整性,是指信息資料不丟失、不少缺。三是可用性。可用性是指當需要某一信息資料時,可馬上拿得到。比如采取一定的措施,防止因某一資料員不在場或其它例外情況下,因為拿不到所需的資料而導致停工或錯失商機等。
信息安全的四個要素如下圖:
圖1
信息系統組成包括人員、系統、資產(終端、數據等)、網絡、流程、其他設備等。通過對信息系統安全分析我們得知“人員”是最不穩定因素,是最大的邊界。“資產”是最被關注的因素。其他因素都是以上兩個因素的間接受害者。
因此信息安全的重點就是管理好人、保護好人到數據的路徑。
身份認證與授權管理系統是信息安全的重要組成部分。身份認證是應用系統判斷用戶是否合法的重要手段,也是應用系統的第一道安全防護。
2 財政應用系統現狀及安全需求
省地市財政大平臺系統(以下簡稱Portal)是各地市財政業務專網應用的統一登錄入口,它實現了各接入應用系統的單點登錄,主要涉及的系統有地方國庫支付、總賬、工資統發等。該系統采用B/S結構設計,WEB服務器為Weblogic8.16,,采用JAVA技術,后臺數據庫采用Oracle10g。
目前,系統采用“用戶名+密碼”的身份認證方式,用戶通過訪問Portal的登錄認證主頁,輸入用戶的合法“用戶名”及對應“密碼”后,系統連接數據庫進行驗證,驗證通過后,系統允許用戶登錄并進入Portal首頁,在Portal首頁內顯示管理員授權給用戶的應用系統列表和應用中的待辦事宜等信息,用戶根據自己的權限可以進行相應業務操作。因“用戶名+密碼”的身份認證方式很容易因密碼泄漏、網絡竊聽等原因造成身份冒充,存在較大的安全隱患,因此亟需建立起合理、安全的強身份認證機制,用于保障合法用戶的權益。
3 解決方案及實現
通過對財政業務系統和安全需求的分析,提出了實名制U盾+平臺密碼+U盾密碼+安全審計多維一體的解決方案,以實現身份認證和授權管理,實現信息安全支撐平臺。第一:給平臺系統的所有用戶發放財政業務專網CA證書;第二:對原有平臺系統的身份認證模塊進行改造,在原來的“用戶名+密碼”的基礎上,增加證書認證方式;第三:在用戶屬性管理系統中添加“PID”屬性,用以綁定用戶證書與其平臺身份標識的對應關系;證書的合法性由身份認證網關進行校驗,檢驗完成后將認證結果及身份信息(PID)返回給平臺,平臺根據此結果做進一步的業務處理。
3.1 系統整體架構
圖2
3.2 網絡拓撲
圖3
省地市級財政身份認證與授權管理系統部署在地市級財政部門,在地市級財政的業務專網內建設一個獨立的局域網,通過防火墻從網絡、協議及應用各層次上將此局域網與財政業務網絡保持隔離,用于部署安全審計查詢系統、身份認證系統從LDAP和用戶屬性管理系統,而直接面向應用的身份認證網關、簽名服務器、時間戳服務器,以及提供證書管理的LRA則部署在地市級財政的業務專網中。
3.3 功能模塊
建設中需要重點保證證書發放、身份認證、數字簽名、時間戳、應用級訪問控制及安全審計查詢功能即可,為此相對省級財政的功能模塊相比較,減少了授權管理模塊的權限管理系統,并且省級財政身份認證模塊中的發證模塊為證書注冊中心(RA),而地市級財政部門建設的LRA系統。為此,財政身份認證與授權管理系統模塊組成如下圖:
圖4
3.4 身份認證與授權管理系統建設
按照財政身份認證與授權管理系統建設的要求,省地市級財政身份認證與授權管理系統單獨部署在獨立的局域網中,并通過防火墻將局域網與地市級財政的業務專網的公共區域邏輯隔離,配置一定的安全策略向外提供訪問服務。
地市級財政身份認證系統與授權管理系統的部署主要是身份認證模塊、授權管理模塊、安全審計模塊及應用安全組件四個部分的安裝配置,身份認證模塊包括:LRA系統和身份認證從LDAP;授權管理模塊主要是用戶屬性管理系統;安全審計模塊指安全審計查詢系統;應用安全組件指身份認證網關、簽名服務器及時間戳服務器。
3.4.1 系統流程
圖5
3.4.2 系統效果展示
應用接入的大平臺登錄效果展現平臺構建統一的認證門戶,用戶需要使用USB-KEY登錄認證成功后才能進入,主要作為各應用系統的統一訪問入口和平臺管理的入口。
圖6
4 結束語
通過財政身份認證與授權管理系統設計及建設,將由原來的“用戶名+密碼”方式變為證書認證方式,而數字證書的高強度身份認證,將有效地防止身份冒充;身份認證模塊從原系統中剝離,業務邏輯更加清晰,安全級別也得到了提升;通過用戶屬性管理管理中PID屬性值的傳遞,無縫地實現了證書的入門級訪問控制。統一對實體進行身份和權限管理,奠定實名制管理的基礎。提供獨立的高強度的認證手段給各個層面使用。提供一種電子簽名法保護的數據保護和司法取證手段。提供一個統一的時間基準,奠定定位基礎。建立了一套完整的配套標準和規范便于財政信息化整體推進。
參考文獻:
[1]馬建峰,沈玉龍.信息安全[M].西安:西安電子科技大學出版社,2013.
[2]斯坦普(美)信息安全原理與實踐(第2版)[M].北京:清華大學出版社,2013.
[3]薛天龍.數字證書原理及應用[M].北京:中國標準出版社,2014.
[4]http://.cn/tplt/index_164.jsp[OL].
第9篇:信息資產的安全屬性范文
[關鍵詞]會計計量屬性公允價值
公允價值在我國的經歷則可謂一波三折。1999年開始實施的“債務重組”和“非貨幣易”準則是公允價值在我國的最早運用,因遭到了不健康市場環境和不成熟發展階段的制約,公允價值卻成了調節利潤工具。基于此,財政部不得不在2001年1月的準則修訂稿中,采取了最為謹慎保守的態度,盡量減少公允價值的使用范圍。在債務重組中只有債權人在收到用于償債的多項非現金資產時,按各項非現金資產的公允價值占全部非現金資產公允價值的比例對其重組債權的賬面價值進行分配;在非貨幣易收到補價的情況下,按補價占換出資產公允價值的比例來計算換入資產的入賬價值和應確認的收益。但隨著我國經濟形勢的發展及與國際會計慣例的并軌, 2004年7月宣布將重新采用公允價值,并于今年2月剛剛修訂的“企業會計準則――基本準則”中明確將公允價值列為會計計量屬性之一。除在債務重組及非貨幣易中采用公允價值外,在資產減值、金融工具、房地產等方面均運用了公允價值。
一、新準則運用公允價值的必要性
1.不斷發展的經濟形勢需要
隨著知識經濟時代的到來,企業競爭日趨激烈,資本市場日益發展,風險和不確定性加大,無形資產、金融衍生工具等軟資產大量涌現,特別是金融衍生工具,如 “期貨”、 “期權”、“遠期合約”、“互換”等的出現,使公允價值――這一新會計計量屬性的運用成為必然。因為在這些衍生金融工具中有些金融工具只產生合約的權利或義務,而交易和事項尚未發生。但從法律的角度看,由于簽約雙方之間的報酬與風險已開始轉移,此時盡管雙方的權利和義務尚未完全實際履行,但為了使會計信息的使用者能正確地進行經營決策,會計上也要求對其進行確認、計量。因為此時簽約雙方的權利、義務尚未執行,業務尚未發生,此時不可能有歷史成本(因為歷史成本是已發生業務的實際價值),因此會計就不能對該業務進行計量、反映。而采用公允價值屬性計量卻能很好地解決這個問題,因為公允價值是理智雙方在無干擾情況下,自愿進行交換的價值,其價值的確定并不取決于業務是否發生,只要雙方同意就會有一個價值。因此會計在任何時候都可以按公允價值對衍生金融工具產生的權利、義務進行計量、反映,并向信息使用者提供信息。
2.滿足會計信息質量要求
按照美國財務會計概念公告的提法,財務會計的目的在于“為現在或潛在的投資者、信貸者以及其他用戶提供有用的信息”,而“會計信息要于決策有用,要具備兩種主要的質量,即相關性和可靠性”。相對于歷史成本,公允價值更多地反映了市場對企業資產或整體價值的評價,更具有相關性;企業在涉及到金融工具等新產品時,公允價值能反映市場對直接或間接地隱含在金融工具中的未來現金流量凈現值的估計,有助于會計信息的使用者對未來作出合理的預測,并有利于驗證其以前所作預測的合理性,更具有可靠性。公允價值的本質是真實與公允并存,是市場的無偏定價,同一會計主體各個會計期間以及不同會計主體之間,計量技術往往是一致的,這使得會計信息的可比性、一致性、及時性也大大增強;在企業會計準則第8號―資產減值中規定,企業在資產負債表日若資產存在減值跡象的,應當根據資產的公允價值等估計其可收回金額,資產的可收回金額低于其賬面價值的計提相應的減值準備,使謹慎性原則更趨合理。
3.打破歷史成本的局限性
通貨膨脹和知識經濟的出現,使得傳統的會計計量模式受到致命的打擊。在通貨膨脹的情況下以名義貨幣為計量單位,以歷史成本為計量屬性,既不能反映由于通貨膨脹引起的一般物價變動,也不能反映計量對象的個別價值變動。在知識經濟時代,商譽、技術、人力資源、衍生金融工具等,根本無歷史成本可循。另外在計算企業的盈利能力時,傳統的計量模式下,計算收益的收入是按現行市價計量的,而計算收益的成本、費用,則是按歷史成本計量的。很明顯,這兩者之間的差額即收益由兩部分構成。一部分是勞動者創造的純利潤,另一部分則是由經濟因素影響形成的價格差,從而出現虛利實分的現象。并且在歷史成本下,存貨計價、固定資產折舊、間接費用的分配、所得稅會計處理等,都存在著多種方法可供選擇,損益計算幾乎可以任意調節。但如果企業計算收益的成本、費用是按公允價值計量,則上述現象就可得到很好的解決。
4.有利于企業的資本保全
資本是指企業的實物生產能力或經營能力或取得這些能力所需的資金或資源。資本保全是指企業在開始營業到清算為止的全過程中,必須保證資本的安全與完整,它要求企業在生產經營過程中,成本補償和利潤分配要保持資本的完整性,保證權益不受侵蝕。企業在生產過程中會耗費生產能力或資源,同時為了進行再生產,又必須購回這些生產能力,只有這樣簡單再生產才能維護,擴大再生產才有基礎。但企業耗費的生產能力如采用歷史成本計量,則計量得出的金額,在物價上漲的經濟環境中,將購不回原來相應規模的生產能力,企業的生產只能在萎縮的狀態下進行。而企業對其耗費的生產能力若采用公允價值計量,此時不管是何時耗費的生產能力,一律按現行市價或現金流量現值計量,則即使是在物價上漲的條件下,計量得出的金額也可在現時情況下購回原來相應規模的生產能力,這樣企業的資本才能保全,企業的生產才得以在正常狀態下進行。此外,對于企業的商品來說,從其本質來看,其價值不是一個定數(歷史成本),而是一個變數,會隨著市場環境的變化而發生變動,因此只有采用公允價值計量,才符合資本保全的理論。
二、運用公允價值面臨的問題及對策
問題一:認為公允價值計量技術較難掌握,涉及許多估計,誤差較大,因而造成信息可靠性降低。首先需說明的是,公允價值確實不能提供絕對可靠的會計信息,任何信息系統都無法提供絕對可靠、一致的信息。國際會計準則委員會在《編制財務報表框架》中提到:成本或價值在許多情況下都需要估計,合理的估計是報表編制工作的一部分,這并不會貶低其可靠性。歷史成本計量固然有資料容易取得、可驗證性的特點,但是按歷史成本計量得出的會計信息卻不能隨著經濟環境的變化和經濟因素的影響而變化,信息使用者在使用這些信息對現在和未來的經營活動進行決策時,這些按歷史成本計量得出的信息就有可能由于其“不相關”、“沒有參考價值”變得 “不可靠”。相反,公允價值計量雖然有數據、資料不易取得,計量過程有時需主觀估計的缺點,但是由于公允價值是現行市價或未來現金流量現值等,按公允價值計量得出的會計信息能夠隨著經濟環境的變化和經濟因素的影響而變化,信息使用者在對現在和未來進行經營決策而使用這些信息時,這些信息是“相關的”、“有用的”因而也是“可靠的”。針對廣泛運用公允價值帶來操作上的難度,會計界提出財政部包括相應的監管部門應盡快制定并公布一個具體指南,對于公允價值的定性和定量給予一個明確標準,使公允價值這個標準不會出現太大的差異。
問題二:認為公允價值會導致利潤操縱,造成會計信息失真和欺詐。我國在起初運用公允價值時,因遭到了不健康市場環境和不成熟發展階段的制約,有些上市公司確實利用公允價值操縱利潤,損害了投資者的利益。但事實是,公允價值要想成為利潤操縱的工具需要同時具備三個要素:一是上市公司管理層蓄意造假;二是會計、審計人員失去職業道德;三是證券市場監管失靈。事實上具備了這三個要素,任何制度也不能有效發揮防護作用,再好的準則也無能為力。即問題不再于公允價值本身的問題而在于政策的執行運用,公允價值是操縱利潤的手段而不是根源、只有消除根源才能杜絕利潤操縱,這是公允價值能合理使用的一個必要前提。公允價值作為一項技術,既可以用來提高財務信息的質量,也可以用來扭曲會計信息,作好作壞取決于企業管理層的道德素質和社會誠信水平。另外于國際財務報告準則相比,我國新企業會計準則體系充分地考慮了我國國情,對公允價值做了審慎的改進。比如在投資性房地產準則中,就明確規定了投資性房地產所在地要有活躍的房地產交易市場,企業能夠從房地產市場上取得同類或類似房地產的市場價格和其他相關信息,能對公允價值作出合理的估計,才可以運用公允價值計量屬性。可見嚴格地按照準則實施,公允價值在我國就會真的做到公允。
問題三:我國經濟發展的市場化程度較低,會計人員素質不高,會計電算化水平以及相關的信息處理能力較低等,限制了公允價值的大范圍的推廣與運用。很顯然,這些問題在目前我國經濟發展中確實存在。但是我們不能因噎廢食,相信隨著經濟環境的逐步改善,計算機技術突飛猛進的發展,理財學各種計量模型研究的日臻完善,會計人員業務素質的進一步提高,公允價值計量的“可靠性”、“可操作性”,一定會取得長足進步,會計各要素按公允價值計量的方法必將得到普遍的推廣。
再者,公允價值計量全面付諸實施之前,還存在著一系列重大問題:一是公允價值計量是否只適用于房地產投資及證券投資的計量,而不適用于相關負債的計量,如果這樣,那么它對那些嚴重依賴舉債經營且擁有許多房地產投資及證券投資的企業意味著什么;二是有關公允價值計量是否僅適用于金融機構,如果這樣,那么對于部分參與金融業務的多元化經營企業,其財務報告到底是以歷史成本為基礎,還是以公允價值為基礎,三是由于公允價值發生變化而引起的差額是通過損益表反映,還是反映在資產負債表的所有者權益里等。這些問題都亟待會計理論界進行研究和解決。
總之,公允價值的運用雖然具有很大的必要性,但現階段不可能、也不應將所有的會計要素都按公允價值進行計量,而應采用多種計量屬性并存的做法,即在歷史成本計量屬性的基礎上,盡量采用公允價值,以求得會計信息有用、相關、可靠。并且在經濟形勢的不斷發展和經濟環境逐漸完善的過程中,公允價值的運用還存在著這樣或那樣的問題,但會計由歷史成本計量向公允價值計量過渡已成為必然。相信通過會計界同仁的不斷探索,公允價值計量的理論將日臻完善,會計按公允價值進行計量必將得到普遍的推廣。
參考文獻:
[1]謝詩芬:公允價值會計問題縱橫談.時代財會,2003(2)
[2]盧永華楊曉軍:公允價值計量屬性研究.會計研究,2000(4)
[3]財政部:企業會計準則―基本準則.2006
