部隊信息安全

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇部隊信息安全范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

部隊信息安全范文第1篇

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；等級保護(hù)

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 14-0000-02

The Public Security Frontier Forces Information Security Construction Discussion

Jiang Haijun

(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)

Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.

Keywords:Network information security;Level protection

隨著科學(xué)技術(shù)和邊防部隊勤務(wù)工作的深入發(fā)展，信息化建設(shè)已成為提高邊防執(zhí)法水平的有力途徑，全國邊防部隊近年來已基本實現(xiàn)信息資源網(wǎng)絡(luò)化。但是，緊隨信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸凸出，給邊防部隊管理工作帶來了新的挑戰(zhàn)，筆者結(jié)合邊防部隊當(dāng)前網(wǎng)絡(luò)安全工作實際，就如何構(gòu)建全方位的網(wǎng)絡(luò)安全管理體系略陳管見。

一、影響邊防部隊信息網(wǎng)絡(luò)安全的主要因素分析

（一）物理層的安全問題。構(gòu)成網(wǎng)絡(luò)的一些計算機(jī)設(shè)備主要包括各種服務(wù)器、計算機(jī)、路由器、交換機(jī)、集線器等硬件實體和通信鏈路，這些設(shè)備分向在各種不同的地方，管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起網(wǎng)絡(luò)的癱瘓。物理安全是制定區(qū)域網(wǎng)安全解決方案時首先應(yīng)考慮的問題。

（二）計算機(jī)病毒或木馬的危害。計算機(jī)病毒影響計算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響網(wǎng)絡(luò)安全的豐要因素。新型的木馬和病毒的界限越來越模糊，木馬往往借助病毒強(qiáng)大的繁殖功能使其傳播更加廣泛。

（三）黑客的威脅和攻擊。現(xiàn)在各類打著安全培訓(xùn)旗號的黑客網(wǎng)站不勝枚舉，大量的由淺到深的視頻教程，豐富的黑客軟件使得攻擊變得越來越容易，攻擊者的年齡也呈現(xiàn)低齡化，攻擊越演越烈。黑客入侵的常用手法有：系統(tǒng)溢出、端口監(jiān)聽、端口掃描、密碼破解、腳本滲透等。

二、邊防部隊信息網(wǎng)絡(luò)安全的特征分析

（一）網(wǎng)絡(luò)安全管理范圍不斷擴(kuò)大。從工作點來看，網(wǎng)絡(luò)覆蓋范圍已從機(jī)關(guān)直接深入到基層一線，從機(jī)關(guān)辦公大樓到沿邊沿海的邊檢站、派出所。凡是有網(wǎng)絡(luò)接入點的地方，無論是物理線路還是無線上網(wǎng)點都必須進(jìn)行網(wǎng)絡(luò)安全管理，點多線長，情況復(fù)雜；從工作環(huán)節(jié)來看，從設(shè)備的選購、網(wǎng)絡(luò)的組建、專線的租用到日常網(wǎng)絡(luò)應(yīng)用，從設(shè)備維護(hù)保養(yǎng)、設(shè)備出入庫到送修和報廢，無一不涉及到網(wǎng)絡(luò)信息安全，網(wǎng)絡(luò)安全已滲透到工作的每一個環(huán)節(jié)。如：某單位被通報發(fā)現(xiàn)違規(guī)事件，經(jīng)調(diào)查，結(jié)果是有人將手機(jī)接上公安網(wǎng)計算機(jī)充電，而該手機(jī)正在無線上網(wǎng)。

（二）安全管理對象類型復(fù)雜多樣。目前，公安信息網(wǎng)、互聯(lián)網(wǎng)、業(yè)務(wù)專網(wǎng)、機(jī)要專網(wǎng)在日常工作中頻繁使用，成為管理的難點。同時，公安網(wǎng)上各類使用中的網(wǎng)絡(luò)安全管理軟件系統(tǒng)應(yīng)用有待深化，一些網(wǎng)絡(luò)管理軟件使用功能僅停留在表層，未能成為得力工具。

（三）網(wǎng)絡(luò)安全問題不斷翻新。目前互聯(lián)網(wǎng)、公安網(wǎng)、業(yè)務(wù)網(wǎng)、網(wǎng)四種網(wǎng)絡(luò)必須物理隔離，禁止交叉使用移動存儲介質(zhì)，但四種網(wǎng)絡(luò)的信息資源在一定范圍內(nèi)卻必須共享交流。曾經(jīng)出現(xiàn)過這種情況，某單位人員在互聯(lián)網(wǎng)上建立論壇，發(fā)表不健康言論，觸犯邊防部隊管理條例。究其原因，是因為我們的網(wǎng)絡(luò)安全工作一直以來是局限在公安網(wǎng)內(nèi)部，尚未隨著網(wǎng)絡(luò)應(yīng)用發(fā)展趨勢擴(kuò)展到互聯(lián)網(wǎng)的管理上。

三、邊防部隊信息網(wǎng)絡(luò)安全的技術(shù)分析

網(wǎng)絡(luò)安全產(chǎn)品的自身安全的防護(hù)技術(shù)網(wǎng)絡(luò)安全設(shè)備安全防護(hù)的關(guān)鍵，一個自身不安全的設(shè)備不僅不能保護(hù)被保護(hù)的網(wǎng)絡(luò)而且一旦被入侵，反而會變?yōu)槿肭终哌M(jìn)一步入侵的平臺。

（一）虛擬網(wǎng)技術(shù)。虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。

（二）防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。雖然防火墻是保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

（三）病毒防護(hù)技術(shù)。病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。在防火墻、服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。

（四）入侵檢測技術(shù)。利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠。需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊（agent），分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案；在需要監(jiān)視的網(wǎng)絡(luò)路徑上，放置監(jiān)視模塊（sensor），分別向管理服務(wù)器報告及上傳證據(jù)，提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。

四、邊防部隊信息網(wǎng)絡(luò)安全管理體系的對策

網(wǎng)絡(luò)安全是一個范圍相對較大的概念，根據(jù)具體的實際情況組成不同安全管控層次或等級的網(wǎng)絡(luò)系統(tǒng)，既是網(wǎng)絡(luò)實際發(fā)展應(yīng)用的趨勢，更是網(wǎng)絡(luò)現(xiàn)實應(yīng)用的一種必然。

（一）提高多層次的技術(shù)防范措施。按照網(wǎng)絡(luò)實際應(yīng)用中出現(xiàn)故障的原因和現(xiàn)象，參考網(wǎng)絡(luò)的結(jié)構(gòu)層次，我們可以把網(wǎng)絡(luò)安全工作的對象分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全，不同層次反映不同的安全問題，采取不同的防范重點：一是確保物理環(huán)境的安全性。包括通信線路的安全、物理設(shè)備的安全、機(jī)房的安全等。在內(nèi)網(wǎng)、外網(wǎng)共存的環(huán)境中，可以使用不同顏色的網(wǎng)線、網(wǎng)口標(biāo)記、網(wǎng)口吊牌來標(biāo)記區(qū)分不同的網(wǎng)絡(luò)，如灰色的公安網(wǎng)專用，紅色的互聯(lián)網(wǎng)專用，黃色的網(wǎng)專用。二是確保軟硬件設(shè)備安全性。必須預(yù)備一定的備用設(shè)備，并定期備份重要網(wǎng)絡(luò)設(shè)備設(shè)置。對待報廢的各類存儲類配件，一定要進(jìn)行消磁處理，確保信息安全。三是提供良好的設(shè)備運(yùn)行環(huán)境機(jī)房要有嚴(yán)格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施，并且有單獨的電源供電系統(tǒng)；安裝有計算機(jī)的辦公室要有防塵、防火、防潮、防泄密等措施，電源要符合計算機(jī)工作要求。四是完善操作系統(tǒng)的安全性必須設(shè)置系統(tǒng)自動升級系統(tǒng)補(bǔ)丁。五是加強(qiáng)密碼的管理。存取網(wǎng)絡(luò)上的任何數(shù)據(jù)皆須通過密碼登錄。同時設(shè)制復(fù)雜的計算機(jī)開機(jī)密碼、系統(tǒng)密碼和屏保密碼。

（二）建立嚴(yán)格的網(wǎng)絡(luò)安全管理制度。嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。我們應(yīng)通過制度規(guī)范協(xié)調(diào)網(wǎng)絡(luò)安全的組織、制度建設(shè)、安全規(guī)劃、應(yīng)急計劃，筑起網(wǎng)絡(luò)安全的第一道防線。

（三）合理開放其它類型的網(wǎng)絡(luò)應(yīng)用。目前，很多單位都建立了警營網(wǎng)吧，給官兵提供良好的學(xué)習(xí)娛樂平臺，這種情況下就必須把互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全工作納入安全工作范圍，采取多種方法，規(guī)范和引導(dǎo)官兵進(jìn)行互聯(lián)網(wǎng)的應(yīng)用，合理開放所需的應(yīng)用功能，有效控制不合理的功能應(yīng)用。目前，邊防部隊的信息網(wǎng)絡(luò)安全技術(shù)的研究仍處于起步階段，有大量的工作需要我們?nèi)ヌ剿骱烷_發(fā)。公安部已在全國范圍內(nèi)大力推進(jìn)信息網(wǎng)絡(luò)安全工作，相信在大家的共同努力下，邊防部隊將建立起一套完整的網(wǎng)絡(luò)安全體系，確保信息網(wǎng)絡(luò)的安全，推動邊防部隊信息化高度發(fā)展。

五、結(jié)論

網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)完成后，將實現(xiàn)信息系統(tǒng)等級保護(hù)中有關(guān)數(shù)據(jù)安全保護(hù)的基本要求和目標(biāo)，尤其是應(yīng)用密碼技術(shù)和手段對信息系統(tǒng)內(nèi)部的數(shù)據(jù)進(jìn)行透明加密保護(hù)。網(wǎng)絡(luò)信息安全系統(tǒng)還為單位內(nèi)部機(jī)密電子文檔的管理提供了一套有效的管理辦法，為電子文檔的泄密提供了追查依據(jù)，解決了信息系統(tǒng)使用方便性和安全共享可控制的難點，為部隊深化信息化建設(shè)提供技術(shù)保障。網(wǎng)絡(luò)信息安全系統(tǒng)能夠有效提高單位的數(shù)據(jù)安全保護(hù)等級，與其他信息系統(tǒng)模塊協(xié)調(diào)工作，實現(xiàn)了資源的整合和系統(tǒng)的融合，形成一個更加安全、高效、可控、完善的信息系統(tǒng)風(fēng)險監(jiān)控與等級保護(hù)平臺，提高了部隊內(nèi)部核心數(shù)據(jù)，特別是對內(nèi)部敏感電子文檔的安全管理，隨著系統(tǒng)的不斷完善和擴(kuò)大，將對部隊內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)的安全保護(hù)發(fā)揮更大作用。

參考文獻(xiàn)：

部隊信息安全范文第2篇

【關(guān)鍵詞】軍隊；內(nèi)控網(wǎng)；信息風(fēng)險；防御

【中圖分類號】TN711 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158（2012）09-0150-01

信息網(wǎng)絡(luò)是我國從事軍事研究工程的重要平臺，網(wǎng)絡(luò)不僅提供了廣闊的資源搜尋空間，還能完成一些高難度的計算處理工作，為軍事科研提供了很大的幫助。近年來軍隊逐漸引用內(nèi)控網(wǎng)絡(luò)，用以完成各種高難度的數(shù)據(jù)處理操作，保證數(shù)據(jù)信號的穩(wěn)定傳輸。但由于內(nèi)控網(wǎng)絡(luò)的局限性，信息傳輸流程依舊面臨著多方面的安全風(fēng)險，及時采取針對性措施進(jìn)行防御，可保障軍事網(wǎng)絡(luò)的安全性。

一、部隊內(nèi)控網(wǎng)傳輸?shù)娘L(fēng)險隱患

軍隊是國防事業(yè)的核心組成，軍隊信息化改造標(biāo)志著我國軍事科技發(fā)展的新方向。內(nèi)控網(wǎng)絡(luò)布置于軍事基地，能夠為科技研究工程提供虛擬化平臺，用以完成各項成果的模擬演練，為實戰(zhàn)訓(xùn)練提供科學(xué)的指導(dǎo)。由于軍事科技水平有限，我國部隊內(nèi)控網(wǎng)絡(luò)在防御功能上還存在缺陷，尤其是信息傳輸流程相對復(fù)雜，造成整個傳輸流程面臨諸多風(fēng)險。

1、中斷風(fēng)險。計算機(jī)網(wǎng)絡(luò)是軍事基地信息傳輸?shù)闹饕脚_，通過局域網(wǎng)可以實現(xiàn)多項信息的輸送，保持軍事科研的穩(wěn)定性。由于網(wǎng)絡(luò)信息的內(nèi)容、形式、數(shù)量等多種多樣，信息傳輸階段易發(fā)生中斷現(xiàn)象，即整條網(wǎng)絡(luò)在正常狀態(tài)下失去連接信號，信道內(nèi)正在執(zhí)行的傳輸命令被終止。這種情況多數(shù)是由于周圍磁場環(huán)境所致，阻礙了數(shù)據(jù)信號的穩(wěn)定傳輸。

2、竊取風(fēng)險。軍事科技事關(guān)一個國家的安防能力，世界各國都在加強(qiáng)軍事體系建設(shè)，增強(qiáng)本國軍事力量以抵制外來侵略。為了掌握對方的軍事動態(tài)，黑客開始應(yīng)用惡意攻擊的方式擾亂網(wǎng)絡(luò)，使軍事信息在傳輸時被竊取Ⅲ。這主要是由于國家與國家之間的軍事競爭，不得不采取非法手段捕獲信息，以保證實際戰(zhàn)斗中掌握軍事信息，信息傳輸面臨著竊取的風(fēng)險。

3、操作風(fēng)險。操作風(fēng)險是人為失誤引起的風(fēng)險，研究人員在制定信息傳輸方案時，沒有考慮數(shù)據(jù)信號的特點，編制的程序方案不符合信息的要求。網(wǎng)絡(luò)操作時，應(yīng)設(shè)備操控失誤而產(chǎn)生不利影響，破壞了數(shù)據(jù)信息的完整性。如：計算機(jī)服務(wù)器與數(shù)據(jù)庫之間，調(diào)用數(shù)據(jù)庫的信息內(nèi)容時，未結(jié)合服務(wù)器的功能模塊，使其處于超荷載狀態(tài)而發(fā)生故障。

二、信息傳輸風(fēng)險防御的核心系統(tǒng)

根據(jù)部隊內(nèi)控網(wǎng)信息傳輸存在的安全風(fēng)險，必須要設(shè)計切實可行的安全防御系統(tǒng)，這樣才能保證信息內(nèi)容的高效傳輸，宏觀地指揮軍隊完成各種演練、模擬、改造等任務(wù)，建立現(xiàn)代化的軍事基地。防范信息傳輸風(fēng)險，需采用融入高科技的防御系統(tǒng)，為傳輸過程提供安全可靠的運(yùn)行環(huán)境。

1、數(shù)字系統(tǒng)。內(nèi)控網(wǎng)絡(luò)自動監(jiān)控需要掌握詳細(xì)地數(shù)據(jù)運(yùn)行狀況，從宏觀上控制軍事基地區(qū)域的整體動態(tài)，這樣才能保證傳輸網(wǎng)絡(luò)控制功能的發(fā)揮。數(shù)字系統(tǒng)是現(xiàn)代軍事科技的重要組成，其通過數(shù)字信號之間的轉(zhuǎn)換，形成多方向的數(shù)據(jù)層面。使圖像經(jīng)過處理后變化為數(shù)字信號，在短時間內(nèi)完成信號的傳遞，保護(hù)了軍事數(shù)據(jù)傳輸?shù)陌踩?/p>

2、報警系統(tǒng)。為計算機(jī)網(wǎng)絡(luò)設(shè)計報警模塊，其核心功能是監(jiān)控、報警，從兩個方面保障部隊內(nèi)網(wǎng)運(yùn)行的安全性。如：報警系統(tǒng)先感應(yīng)到部隊內(nèi)控網(wǎng)的異常信號，再及時將情況反饋給管理中心，提醒軍區(qū)管理人員采取必要的處理措施。報警系統(tǒng)安裝于監(jiān)控管理中心，在接收到異常信號后，第一時間作出報警動作，提醒指揮中心人員對網(wǎng)絡(luò)進(jìn)行檢查。

3、語音系統(tǒng)。在小范圍內(nèi)建立對講系統(tǒng)，實現(xiàn)了軍事指揮中心的語音信號傳輸。不僅方便了各種軍事信號的定點交換，也使軍事科研人員的交流更加快捷。如：監(jiān)控中心人員通過計算機(jī)平臺監(jiān)控軍隊調(diào)度的實況，當(dāng)發(fā)現(xiàn)一些安全隱患或故障問題之后，可用對講系統(tǒng)及時地匯報情況。對講系統(tǒng)相比網(wǎng)絡(luò)傳輸，語音信息的傳遞速度更快。

三、軍事網(wǎng)絡(luò)信息安全傳輸?shù)牧鞒?/p>

局域網(wǎng)運(yùn)用于軍事基地信息傳輸，有助于小范圍數(shù)據(jù)資源的高效利用，保障了信號傳遞的及時性。當(dāng)前，我國正處于嚴(yán)峻的軍事格局，尤其是在保衛(wèi)國家獨立與方面，國防軍隊具有極為核心的作用，搞好信息化軍事建設(shè)也是黨和國家高度重視的。為了避免信息傳輸安全風(fēng)險的發(fā)生，科技研究人員需結(jié)合部隊建設(shè)的要求，設(shè)計出安全、穩(wěn)定、持久的信息傳輸流程。

1、收集環(huán)節(jié)。收集輸電信號是信息傳輸?shù)幕疽螅脭?shù)字化采集方案，避免人工采集中出現(xiàn)的失誤。高科技軍事系統(tǒng)要求對經(jīng)過處理的信號進(jìn)行采集、A/D轉(zhuǎn)換和記錄，再交由計算機(jī)處理平臺加以調(diào)控，捕捉到與軍事設(shè)備、傳感線路等相符的數(shù)字信號，指導(dǎo)軍隊控制中心實施安防操作。

2、分析環(huán)節(jié)。接收到傳輸信息后，還需進(jìn)一步分析、識別、歸納，才能掌握數(shù)據(jù)信息的內(nèi)容。軍用網(wǎng)絡(luò)信息分析的流程：將采集到的信號傳送到后續(xù)單元，對所采集到的數(shù)據(jù)進(jìn)行處理和分析，對歷史數(shù)據(jù)和當(dāng)前數(shù)據(jù)分析、比較，最終判斷信息是否安全。經(jīng)過這一處理流程，值班人員可系統(tǒng)地掌握輸電設(shè)備的作業(yè)情況。

3、傳輸環(huán)節(jié)。前期準(zhǔn)備工作完成，部隊內(nèi)網(wǎng)便可以對信息進(jìn)行分配傳輸，按照各個站點的具置定點傳送。信息傳輸過程應(yīng)當(dāng)添加必要的檢測措施，綜合l生地檢測待傳輸內(nèi)容是否安全可靠。如：計算機(jī)輸出端口采用數(shù)字過濾器，檢測將要傳輸信息內(nèi)容的安全情況；站點接收端應(yīng)重新過濾接收到的信息，以免擾亂內(nèi)網(wǎng)秩序。

部隊信息安全范文第3篇

關(guān)鍵詞：分布式；信息安全；規(guī)劃；方案

中圖分類號：TP309.2文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場研究機(jī)構(gòu)Gartner 研究報告稱，很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主，因此他們對安全技術(shù)和服務(wù)的選擇和使用仍停留在一個相對較低的水平。尤其對于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言，因為信息安全需求和部署相對更加復(fù)雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標(biāo)

2.1 總體規(guī)劃原則

對于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風(fēng)險；突出重點，分級保護(hù)；統(tǒng)籌安排，分步實施；分級管理，責(zé)任到崗；資源優(yōu)化，注重效益。

這個原則的制定主要是根據(jù)分布式企業(yè)的實際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標(biāo)

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點可以不同，但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護(hù)上，下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的，而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標(biāo)展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標(biāo)

組織建設(shè)是信息安全建設(shè)的基本保證，信息安全組織的目標(biāo)是：

1）完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構(gòu)，達(dá)到國際國內(nèi)標(biāo)準(zhǔn)的要求；

2）打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對外可以向社會提供高品質(zhì)的安全服務(wù)；

3）建設(shè)一個 “信息安全運(yùn)維中心（SOC）”，能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng)，能夠?qū)ν馓峁┌踩?wù)平臺。

3.2 組織規(guī)劃實施

對于組織規(guī)劃這個方面，是屬于一個企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實現(xiàn)，其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對于分布式企業(yè)而言，需要主導(dǎo)部門從上層著手，建章立制，強(qiáng)化安全教育，加大基礎(chǔ)人力、財力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標(biāo)

信息安全管理規(guī)劃的目標(biāo)是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標(biāo)，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓(xùn)體系，一套信息安全風(fēng)險監(jiān)管機(jī)制，一套信息安全績效考核指標(biāo)。“七套信息安全軟措施”關(guān)系如圖1所示。

4.2 信息安全管理設(shè)計

基于對管理目標(biāo)的分析，信息安全管理的原則以風(fēng)險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風(fēng)險、保護(hù)措施組成。

4.2.1 信息安全等級劃分指標(biāo)

信息安全等級保護(hù)是國家在國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關(guān)于保護(hù)對象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求，在信息安全規(guī)范方面，根據(jù)調(diào)查，建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中，安全管理規(guī)范主要針對人員、團(tuán)隊、制度和資源管理提供參照性準(zhǔn)則；信息安全技術(shù)規(guī)范主要針對安全設(shè)計、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應(yīng)遵循的信息安全程序，其目的是減少安全隱患，降低風(fēng)險。

4.2.6 信息安全績效考核指標(biāo)

信息安全績效考核指標(biāo)是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價依據(jù)，其目的是增強(qiáng)信息安全責(zé)任意識，提高信息安全工作質(zhì)量。

4.2.7 信息安全監(jiān)管機(jī)制

信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險的識別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險的控制，做到“安全第一，預(yù)防為主”。

4.2.8 信息安全教育培訓(xùn)體系

其主要目的加強(qiáng)的信息安全人才隊伍的建設(shè)，提高企業(yè)人員的信息安全意識和技能，增強(qiáng)企業(yè)信息安全能力。

5 信息安全技術(shù)規(guī)劃

5.1 技術(shù)規(guī)劃目標(biāo)

信息安全技術(shù)規(guī)劃目標(biāo)簡言之是：給業(yè)務(wù)運(yùn)營提供信息安全環(huán)境，為企業(yè)轉(zhuǎn)型提供契機(jī)，構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下：

1）打造信息安全基礎(chǔ)環(huán)境，調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施，建立安全專網(wǎng)，設(shè)置兩個中心（信息安全運(yùn)維中心、災(zāi)備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計、應(yīng)急響應(yīng)、安全服務(wù)、安全測試、安全培訓(xùn)等功能，實現(xiàn)的集中安全管理控制，快速安全事件響應(yīng)，高可信的安全防護(hù)，拓展企業(yè)業(yè)務(wù)，開辟信息安全服務(wù)新領(lǐng)域。

5.2 信息安全運(yùn)維中心(SOC)

SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施，提供信息安全中心技術(shù)人員的辦公場所，提供“7×24”小時連續(xù)不斷的安全應(yīng)用服務(wù),提供實時監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級等業(yè)務(wù)，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外，SOC 的技術(shù)性工作還要做以下幾個方面：

1）硬件基礎(chǔ)建設(shè)，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎(chǔ)建設(shè)，包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關(guān)系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系

5.3 信息安全綜合測試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)，為了保障安全，必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患。基于此，綜合測試環(huán)境建設(shè)的內(nèi)容包括：安全測試網(wǎng)絡(luò)；測試系統(tǒng)設(shè)備；安全測試工具；安全測試分析系統(tǒng)；安全測試知識庫。

其中，安全測試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實的帶寬；測試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應(yīng)急恢復(fù)類、管理類等，并提供使用說明、漏洞掃描、應(yīng)用安全分析；安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能；安全知識庫包含以下內(nèi)容：漏洞知識庫，補(bǔ)丁信息庫，安全標(biāo)準(zhǔn)知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產(chǎn)品知識庫，安全概念和術(shù)語知識庫。

5.4 安全平臺建設(shè)規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設(shè)計如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實現(xiàn)資產(chǎn)保護(hù)，以安全管理來約束組織的行為，以技術(shù)手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機(jī)制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認(rèn)證授權(quán)；信息安全防護(hù)；信息安全監(jiān)控；信息安全測試；信息安全審核；信息安全應(yīng)急響應(yīng)；信息安全教育培訓(xùn)；信息安全服務(wù)。

6 信息安全服務(wù)業(yè)務(wù)規(guī)劃

6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)

信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡言之是：以信息安全服務(wù)為切入點，充分發(fā)揮企業(yè)優(yōu)勢資源，引領(lǐng)信息安全市場，為企業(yè)轉(zhuǎn)型創(chuàng)造時機(jī)。具體目標(biāo)如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運(yùn)維產(chǎn)品；5）推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。

6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計

服務(wù)業(yè)務(wù)規(guī)劃主要針對具體業(yè)務(wù)而言，在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例：

1）信息安全咨詢類產(chǎn)品，其服務(wù)功能主要有：信息安全風(fēng)險評估；信息安全規(guī)劃設(shè)計；信息安全產(chǎn)品顧問。

2）信息安全教育培訓(xùn)類產(chǎn)品，其服務(wù)功能主要有：提供信息安全操作環(huán)境；提供信息安全知識教育；提供信息安全運(yùn)維教育。

3）家庭類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：推出“家庭綠色上網(wǎng)”安全服務(wù)；家庭上網(wǎng)防病毒服務(wù)；家庭上網(wǎng)機(jī)器安全檢查服務(wù)；家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。

4）企業(yè)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：企業(yè)安全上網(wǎng)控制服務(wù)；企業(yè)安全專網(wǎng)服務(wù)；安全信息通告；企業(yè)運(yùn)維服務(wù)。

5）容災(zāi)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)；面向政府信息系統(tǒng)災(zāi)備服務(wù)；面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)；面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。

7 結(jié)束語

通過結(jié)合分布式企業(yè)的具體實際，按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn)，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo)，按照組織、管理和技術(shù)三個方面提出了具體的實現(xiàn)與設(shè)計規(guī)范原則。最后，依據(jù)服務(wù)規(guī)劃目標(biāo)，提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計實例。

參考文獻(xiàn)：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡(luò)動態(tài)安全體系模型綜述[J].計算機(jī)應(yīng)用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術(shù)安全評估的系列標(biāo)準(zhǔn)[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標(biāo)準(zhǔn)[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運(yùn)營商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.

部隊信息安全范文第4篇

[關(guān)鍵詞]農(nóng)產(chǎn)品質(zhì)量安全問題；信息不對稱；對策

[中圖分類號] F326［文獻(xiàn)標(biāo)識碼］ A

[文章編號] 1673－0461（2008）04－0031－03

基金項目：本文是國家863計劃項目“主要農(nóng)產(chǎn)品質(zhì)量全程跟蹤與溯源技術(shù)研究與應(yīng)用”（2006AA10Z265）的階段性研究成果。

一、農(nóng)產(chǎn)品質(zhì)量安全問題中的信息不對稱分析

1.消費者和生產(chǎn)者之間及生產(chǎn)者和生產(chǎn)者之間的博弈分析

（1）消費者和生產(chǎn)者之間博弈的策略矩陣

假定市場中只有兩類農(nóng)產(chǎn)品生產(chǎn)主體：A企業(yè)只生產(chǎn)符合一定標(biāo)準(zhǔn)的優(yōu)質(zhì)安全農(nóng)產(chǎn)品，B企業(yè)只生產(chǎn)質(zhì)量較低的普通農(nóng)產(chǎn)品。設(shè)農(nóng)產(chǎn)品生產(chǎn)企業(yè)的利潤為π，產(chǎn)品銷售量為Q，銷售價格為P，單位成本為C，則企業(yè)的利潤模型為π=PQ-QC，再設(shè)πA為A企業(yè)所獲利潤，πB為B企業(yè)所獲利潤，PA為市場中優(yōu)質(zhì)安全農(nóng)產(chǎn)品的價格，PB為普通農(nóng)產(chǎn)品的價格。UA為消費者消費優(yōu)質(zhì)安全農(nóng)產(chǎn)品所獲得的效用，UB為消費者消費普通農(nóng)產(chǎn)品所獲得的效用。則消費者和生產(chǎn)者之間博弈的策略矩陣如表1所示。

經(jīng)過如此反復(fù)地連續(xù)動態(tài)博弈，直至整個市場被普通農(nóng)產(chǎn)品甚至是劣質(zhì)農(nóng)產(chǎn)品所取代。正是由于農(nóng)產(chǎn)品市場中的這種“檸檬效應(yīng)”，會降低消費者對優(yōu)質(zhì)安全農(nóng)產(chǎn)品的預(yù)期，可能出現(xiàn)πA

（2）生產(chǎn)者之間博弈的策略矩陣

現(xiàn)在假定市場上只有兩個企業(yè)，既C企業(yè)和D企業(yè)，且均追求利潤最大化。若市場上兩個企業(yè)均提供高質(zhì)量的農(nóng)產(chǎn)品，在完全競爭條件下，市場價格為PCg=PDg=10，產(chǎn)量QCg=QDg=1/2Q，假設(shè)兩個企業(yè)生產(chǎn)邊際成本均為0，每個企業(yè)生產(chǎn)高質(zhì)量農(nóng)產(chǎn)品收益分別為10×1/2Q=5Q。若市場上兩企業(yè)均提供較低質(zhì)量的普通農(nóng)產(chǎn)品，則市場價格為PCn=PDn=5，產(chǎn)量QCn=QDn=1/2Q，則兩企業(yè)的收益均為5×1/2Q=2.5Q。

①若市場信息是完全的，則A、B兩個企業(yè)博弈矩陣如表2所示。

②若A企業(yè)生產(chǎn)高質(zhì)量農(nóng)產(chǎn)品，B企業(yè)提供的是普通農(nóng)產(chǎn)品，由于“檸檬市場”效應(yīng)，消費者認(rèn)為市場中高質(zhì)量農(nóng)產(chǎn)品的數(shù)量只占50%，則對整個市場的農(nóng)產(chǎn)品按平均價格(1/2×10+1/2×5=7.5)來購買。在此前提下，表2所示的收益矩陣會發(fā)生改變。

如表3所示，當(dāng)農(nóng)產(chǎn)品的“檸檬市場”存在時，提供高質(zhì)量農(nóng)產(chǎn)品的企業(yè)收益反而下降，由5Q跌為3.75Q，而生產(chǎn)普通農(nóng)產(chǎn)品的企業(yè)反而占盡“外部性”便宜，收益由該得的2.5Q升至為3.75Q，更加刺激了普通農(nóng)產(chǎn)品的供應(yīng)，從而抑制了高質(zhì)量農(nóng)產(chǎn)品的生產(chǎn)。經(jīng)過數(shù)輪市場選擇，不管是C企業(yè)還是D企業(yè)，其最優(yōu)戰(zhàn)略都是(不生產(chǎn)，不生產(chǎn))，博弈雙方陷入了“囚陡困境”。C、D兩個企業(yè)的這種“囚陡困境”選擇，不僅降低了雙方企業(yè)的總收益，而且降低了整個社會的福利。所以，這一解是不穩(wěn)定的，更非帕累托最優(yōu)。

二、農(nóng)產(chǎn)品質(zhì)量安全問題的影響

農(nóng)產(chǎn)品在人類生產(chǎn)生活中居于特殊地位, 由其引發(fā)的有害效應(yīng)對社會和經(jīng)濟(jì)的影響將是全方位的。從市場供給與需求的角度看, 涉及到的利益主體有廣義的生產(chǎn)者(供給方) 、消費者(需求方)、政府(市場管理方) 三方面。

1.消費者的健康損害、收入損失及偏好改變

獲得安全、營養(yǎng)和健康的農(nóng)產(chǎn)品是每一個消費者的最基本的權(quán)益。農(nóng)產(chǎn)品質(zhì)量安全問題的發(fā)生首先損害的是消費者的生命和健康，尤其是這種損害具有不可逆性，更可能導(dǎo)致潛在的死亡和疾病總數(shù)的增加。此外，消費者會因食源性疾患遭受收入損失。這種損失可能包括醫(yī)療費、誤工費及其他一些機(jī)會收益。據(jù)有關(guān)專家估計，我國每年食物中毒人數(shù)至少在20～40 萬人。由此推算出的經(jīng)濟(jì)損失可以想像，這種相對收入損失更可能使貧窮者的經(jīng)濟(jì)陷入惡性循環(huán)狀態(tài)。

隨著收入水平的提高，消費者對質(zhì)量安全性高的農(nóng)產(chǎn)品有強(qiáng)烈的偏好，因此愿意支付更高的價錢。問題是信息的不對稱與供給者的機(jī)會主義行為妨礙了消費者的選擇。因此，改善信息的供給，規(guī)范市場秩序是促使消費者改變偏好的前提，也是利用市場機(jī)制進(jìn)行農(nóng)產(chǎn)品安全管理的機(jī)理所在。

2.生產(chǎn)者損失及行為改變

提高農(nóng)產(chǎn)品安全性會影響生產(chǎn)經(jīng)營成本，進(jìn)而削弱產(chǎn)品價格競爭力。對利潤最大化的追求增加了其采取機(jī)會主義行為的可能性，他們有兩種可能的選擇：一是通過降低農(nóng)產(chǎn)品質(zhì)量以降低成本；二是通過加強(qiáng)生產(chǎn)管理、營銷工作以實現(xiàn)產(chǎn)品差別化，通過優(yōu)質(zhì)優(yōu)價機(jī)制實現(xiàn)利潤目標(biāo)。如果市場上劣質(zhì)農(nóng)產(chǎn)品與安全性高的農(nóng)產(chǎn)品魚目混珠，而消費者又無法作出有效辨別，提高農(nóng)產(chǎn)品安全性的成本不能在銷售時得到消費者認(rèn)可并支付，就會降低生產(chǎn)者提高農(nóng)產(chǎn)品質(zhì)量安全的積極性。

3.政府規(guī)制的成本

保障公民的農(nóng)產(chǎn)品供給安全、營養(yǎng)、健康是政府公共管理的責(zé)任。然而，政府對市場進(jìn)行規(guī)制是有經(jīng)濟(jì)成本的，一部分體現(xiàn)在政府預(yù)算中的公共管理支出部分，另一部分則是政策作用于生產(chǎn)者導(dǎo)致的生產(chǎn)成本的提高部分。管理成本可以通過預(yù)算調(diào)節(jié)來解決, 而生產(chǎn)成本只能通過消費者付費來解決。因此，要實現(xiàn)農(nóng)產(chǎn)品質(zhì)量安全的有效供給，就必須提高供給者的積極性，使供給方的改善質(zhì)量安全的努力通過消費者支付意愿的表達(dá)為需求方承認(rèn)。這里關(guān)鍵是政府通過行政機(jī)制最大限度地為消費者提供獲取相關(guān)信息的保障，限制企業(yè)采取機(jī)會主義行為，以維護(hù)市場公正。

三、解決農(nóng)產(chǎn)品質(zhì)量安全問題的經(jīng)濟(jì)理論探討

通過前文論述而知，農(nóng)產(chǎn)品買賣雙方信息不對稱造成了買方的逆向選擇，逆向選擇對農(nóng)產(chǎn)品生產(chǎn)起著“質(zhì)量促退加速器”的作用。買方對農(nóng)產(chǎn)品質(zhì)量難以判斷這一事實，是導(dǎo)致“質(zhì)量促退加速器”啟動的根本原因。因此，利用市場機(jī)制解決農(nóng)產(chǎn)品質(zhì)量安全問題的關(guān)鍵是解決消費者信息缺失的問題，克服供給者的機(jī)會主義傾向，這有賴于強(qiáng)化農(nóng)產(chǎn)品市場中的“正的”信號顯示以消除農(nóng)產(chǎn)品質(zhì)量信息的不對稱。如何達(dá)到此目的，主要面臨兩個問題：一是如何用最小的代價來識別農(nóng)產(chǎn)品質(zhì)量安全中的信用信息，這是交易成本問題；二是誰來促進(jìn)市場信息的流動，這是市場中介問題。本文試圖從以下幾個方面來對此作些探討：

1.以合理的價格依存機(jī)制保障農(nóng)產(chǎn)品的優(yōu)質(zhì)優(yōu)價

質(zhì)優(yōu)產(chǎn)品必須得到一個合理的價格才能使期望的經(jīng)濟(jì)利益得以實現(xiàn)，這要求不同質(zhì)量類別的產(chǎn)品之間要有合理的價格依存機(jī)制。如果利潤用π表示，價格用P表示，成本用C表示，有機(jī)農(nóng)產(chǎn)品用1表示， 綠色農(nóng)產(chǎn)品用2表示，無公害農(nóng)產(chǎn)品用3表示，普通農(nóng)產(chǎn)品用4表示，要想增加有機(jī)農(nóng)產(chǎn)品等優(yōu)質(zhì)品的比例，必須使得π1>π2 >π3>π4。一般來說，產(chǎn)品的品質(zhì)越好，花費的成本也就越高，所以會有C1>C2>C3>C4。因此，為了保持合理的投資利潤率，某種質(zhì)量產(chǎn)品價格的決定不但要考慮到生產(chǎn)該種產(chǎn)品的成本、利潤，而且還要考慮到其他質(zhì)量級別的價格水平，P1、P2、P3、P4之間的價格比例會影響生產(chǎn)者對下一個生產(chǎn)過程的決策選擇。只有保障π1>π2 >π3>π4時，農(nóng)產(chǎn)品平均質(zhì)量升級的利益誘導(dǎo)機(jī)制才會有效。

2.以商業(yè)信用為產(chǎn)品質(zhì)量提供擔(dān)保

當(dāng)質(zhì)量信息真假難辨時，商業(yè)信用就成為市場上最稀缺的商品。根據(jù)經(jīng)驗觀察，以商業(yè)信用為產(chǎn)品質(zhì)量提供擔(dān)保可以是質(zhì)優(yōu)產(chǎn)品賣方采取的有效行為。

商業(yè)信用是區(qū)分不同質(zhì)量產(chǎn)品的有效信息。一般說來，資產(chǎn)是生產(chǎn)者過去長期經(jīng)營的結(jié)果，也是未來繼續(xù)經(jīng)營的投資，所謂“有恒產(chǎn)者有恒心”，資產(chǎn)規(guī)模大，往往可看作生產(chǎn)者長期經(jīng)營的表示，一定程度上資產(chǎn)可以代表信用；廣告宣傳的花費，是生產(chǎn)者的沉沒成本，并不增加商品的功能，只能通過擴(kuò)大銷售量收回，銷售量的擴(kuò)大是商品被社會廣泛認(rèn)同的結(jié)果；固定的銷售地點，便于消費者多次購買，一般認(rèn)為重復(fù)博弈中，會有長期利益對短期利益的制約，有利于買賣雙方的守信；商標(biāo)注冊的目的是便于買方識別商品，敢于與眾不同的商品是好商品；生產(chǎn)者個人資料的公布，使生產(chǎn)者的質(zhì)保承諾便于兌現(xiàn)，表示生產(chǎn)者愿意為產(chǎn)品質(zhì)量承擔(dān)損失和風(fēng)險；愿意開放生產(chǎn)過程增加了質(zhì)量信息的透明度，是生產(chǎn)者贏得社會信任的表示。如果賣方主動在市場向買方傳遞這類信息，是其擁有良好的個人信用的表示，信譽(yù)好的生產(chǎn)者希望消費者記住這些信息，通過這些信息把商品突出出來。

因此我們認(rèn)為賣方的資產(chǎn)K、固定的銷售地點P、廣告宣傳A、產(chǎn)品是否有商標(biāo)M、賣方向市場提供的個人信息G，共同構(gòu)成了賣方的信用函數(shù)U：

U (X)=F(K，P，A ，M ，G)

根據(jù)以上模型，應(yīng)用一定的數(shù)學(xué)方法對各個自變量進(jìn)行賦值處理，可計算出不同生產(chǎn)者的U(x)值，就能對優(yōu)質(zhì)品生產(chǎn)者進(jìn)行成功的信號分離。為保證社會上對優(yōu)質(zhì)品的需求，還需要設(shè)計一個與生產(chǎn)者商業(yè)信用相關(guān)的、以經(jīng)濟(jì)利益為誘導(dǎo)的激勵約束機(jī)制，使商業(yè)信用好的生產(chǎn)者的守信行為符合經(jīng)濟(jì)理性原則，使良好的商業(yè)信用能長期保持下去[2]。

3.以農(nóng)產(chǎn)品認(rèn)證體系改善信息傳遞機(jī)制

在理性有限的前提下，買方不可能具備所有商品的知識。因此，在信息不完全的市場上，消費者做出購買決策之前，必然伴隨一系列搜尋過程。由此發(fā)生的搜尋成本(或信息成本)就是消費者支付產(chǎn)品價格之外不得不支付的交易費用。交易費用越高，則消費者購買行為的效率越低。從買方的立場上看，與其花很多時間和精力去了解農(nóng)產(chǎn)品質(zhì)量安全方面的專業(yè)知識，不如找到一種權(quán)威的和更易辨識的替代信息。認(rèn)證制度所提供的，恰恰就是這種替代信息。

認(rèn)證活動的本質(zhì)在于認(rèn)證機(jī)構(gòu)以自身的無形資產(chǎn)(信用)作為抵押，為被認(rèn)證產(chǎn)品進(jìn)行擔(dān)保，從而使信息交換更加順暢，促進(jìn)了市場信息的有效轉(zhuǎn)化。從信息經(jīng)濟(jì)學(xué)的角度看，認(rèn)證的信用機(jī)制作為傳遞產(chǎn)品質(zhì)量信息的輔助手段，能夠有效解決信息不對稱的問題，降低市場信息交換成本，是一種節(jié)約交易費用的制度安排。因此，從消費者的利益出發(fā)，任何強(qiáng)制性認(rèn)證和自愿性認(rèn)證都可以提供必要的農(nóng)產(chǎn)品信息，因而都是有價值的。對于那些與人身安全直接相關(guān)的農(nóng)產(chǎn)品質(zhì)量信息來說，消費者甚至更贊同強(qiáng)制性認(rèn)證制度[3]。在當(dāng)今這樣復(fù)雜的市場體系中，消費者和生產(chǎn)者之間難以建立起交互信用關(guān)系，因此，借助認(rèn)證機(jī)構(gòu)的信用中介功能不失為一種實現(xiàn)信息有效傳遞的手段。

4.以政府規(guī)制影響消費者以及生產(chǎn)者的行為

從理論上講, 只要降低消費者獲得農(nóng)產(chǎn)品質(zhì)量信息的成本，就能有效約束“敗德行為”和正確表達(dá)消費者偏好。但在實際中，任何單個消費者全面獲得這些信息的成本(包括搜尋信息的成本和驗證其真實性的成本) 是極其高昂的，這時政府的介入，發(fā)揮其公共服務(wù)職能成為必需。政府通過制定生產(chǎn)標(biāo)準(zhǔn)規(guī)范以及市場秩序管理等可以限制供給者的機(jī)會主義行為, 認(rèn)證體系作為一種為消費者提供低成本農(nóng)產(chǎn)品質(zhì)量安全信息的途徑也需要政府的嚴(yán)格規(guī)范。政府進(jìn)行規(guī)制的基本原理，就是基于農(nóng)產(chǎn)品質(zhì)量安全具有外部性。政府通過行政手段促進(jìn)農(nóng)產(chǎn)品質(zhì)量安全信息的傳遞可以影響消費者以及生產(chǎn)者的行為, 以達(dá)到最大限度地改善市場環(huán)境、提高市場效率的目的。

[參考文獻(xiàn)]

[1]王艷霞.農(nóng)產(chǎn)品質(zhì)量管理的信息經(jīng)濟(jì)學(xué)分析[J].經(jīng)濟(jì)問題,2004,(9).

[2]徐金海.農(nóng)產(chǎn)品市場中的“檸檬問題”及其解決思路[J].當(dāng)代經(jīng)濟(jì)研究,2002,(8).

[3]王曉霞.農(nóng)產(chǎn)品認(rèn)證制度的經(jīng)濟(jì)學(xué)分析[J]. 世界標(biāo)準(zhǔn)化與質(zhì)量管理，2006,(9).

A Study of Information Asymmetry in Quality Safety Problems of Agricultural Products and the Countermeasure

Wu Xiuli1，LI Shuchao1，Zheng Guosheng1，Yang Xinting2

(1.Qingdao Agricultural University,Qingdao266109,China;2.National Engineering Research Center for Information Technology in Agriculture, Beijing100097,China)

部隊信息安全范文第5篇

Key words： Internet information security；TF-IDF model；KNN algorithm；industry distribution

中圖分類號：TP399 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-4311（2015）20-0050-04

0 引言

隨著互聯(lián)網(wǎng)的迅速發(fā)展和普及，企業(yè)的信息化建設(shè)的步伐也在不斷地加快。從外部環(huán)境來看，由于市場范圍不斷擴(kuò)大，科技競爭、營銷競爭、市場和人才的爭奪日益激烈，對企業(yè)形成了強(qiáng)大的壓力。依托互聯(lián)網(wǎng)及信息資源，采用信息技術(shù)來實現(xiàn)信息化，是企業(yè)保持競爭優(yōu)勢的有力措施。從企業(yè)內(nèi)部來看，為適應(yīng)外部競爭環(huán)境，企業(yè)內(nèi)部結(jié)構(gòu)、業(yè)務(wù)流程、管理方式以及商業(yè)模式都需不斷調(diào)整、重組、變革。企業(yè)與互聯(lián)網(wǎng)結(jié)合進(jìn)行信息化建設(shè)，在引入新技術(shù)的同時，能夠提高企業(yè)的應(yīng)變能力、創(chuàng)新能力和競爭能力[1]。

同時，企業(yè)通過互聯(lián)網(wǎng)可以快速了解市場信息，掌握市場動態(tài)，傳遞和交換商業(yè)信息，進(jìn)而提高工作效率，節(jié)省成本，企業(yè)的信息化建設(shè)在市場競爭中具有重要的戰(zhàn)略地位[2]。

關(guān)于企業(yè)網(wǎng)絡(luò)信息安全的研究多集中于網(wǎng)絡(luò)威脅的檢測和具體的方法技術(shù)，或者從安全管理制度入手，協(xié)調(diào)企業(yè)內(nèi)部管理機(jī)制，建立信息安全管理模型[4]。也有學(xué)者從技術(shù)、管理和資源角度出發(fā)，考慮信息安全體系的構(gòu)建原則，或者針對具體的安全問題，提出具有創(chuàng)見性的解決或操作方案[5]。這些都是從企業(yè)建設(shè)的角度，來分析企業(yè)信息安全問題，企業(yè)個體層面的研究較多。

而從宏觀上來看，不同行業(yè)面臨的信息安全問題也會有所區(qū)別，如何明確不同行業(yè)的信息安全威脅程度，并出臺相應(yīng)政策改善信息安全狀況，是相關(guān)政策制定者亟需考慮的問題。

從行業(yè)分布來看企業(yè)的信息安全狀況，能夠給企業(yè)帶來戰(zhàn)略性的指導(dǎo)，通過明確信息安全威脅程度，可以有針對性地制定信息安全投入策略，優(yōu)化企業(yè)管理資源配置[6]。

此外，信息安全的行業(yè)分布特征可以從整體上反映我國的信息安全體系建設(shè)的狀況，進(jìn)而通過加強(qiáng)對不同行業(yè)的引導(dǎo)，探索保護(hù)企業(yè)信息安全的有效途徑，來完善相應(yīng)的法律法規(guī)制度。

網(wǎng)絡(luò)信息安全事件中，絕大多數(shù)是由黑客行為造成的，在易受黑客攻擊的行業(yè)中，依然有部分企業(yè)完全忽視了信息安全的重要性。

本文從探究不同行業(yè)的網(wǎng)絡(luò)信息安全威脅的角度出發(fā)，以某知名黑客論壇搜集到的300多萬條黑客攻擊數(shù)據(jù)為基礎(chǔ)，旨在通過實證研究得出不同行業(yè)的網(wǎng)絡(luò)信息安全威脅程度，為相關(guān)部門制定信息安全政策提供支持，同時為不同的行業(yè)區(qū)分不同的信息安全等級，有針對性地實施信息安全保護(hù)措施。

1 入侵行為樣本數(shù)據(jù)采集及預(yù)處理

本文所采用的數(shù)據(jù)來自于某知名黑客論壇，該論壇收錄了大量的網(wǎng)站入侵?jǐn)?shù)據(jù)，每條數(shù)據(jù)由黑客攻擊者本身上傳，并提供相應(yīng)的證據(jù)證實該行為的真實性，該論壇的工作人員會對提交的信息進(jìn)行審核，確認(rèn)其真實性后才會在網(wǎng)站社區(qū)進(jìn)行。數(shù)據(jù)的采集以網(wǎng)絡(luò)爬蟲（Web Crawler）抓取的方式進(jìn)行，主要抓取被攻擊網(wǎng)站的中文標(biāo)題和中文關(guān)鍵字，便于后續(xù)的數(shù)據(jù)處理和分析。

從該網(wǎng)站采集的數(shù)據(jù)文字信息雜亂無規(guī)律，且數(shù)據(jù)量大，其中大部分為無效數(shù)據(jù)。由于無效數(shù)據(jù)擴(kuò)大了樣本容量，不具有分析價值，在對數(shù)據(jù)的冗余統(tǒng)計上，會使結(jié)果造成很大的偏差。為了使分析結(jié)果更加準(zhǔn)確，我們通過編寫相應(yīng)的程序代碼，對初始數(shù)據(jù)進(jìn)行預(yù)處理，包括外文字符的處理、半角及全角轉(zhuǎn)換、漢字編碼轉(zhuǎn)換以及無效數(shù)據(jù)的清除等工作。清除無效數(shù)據(jù)主要包括去除無明顯含義的字詞、空白字符和特殊符號。我們收集到的數(shù)據(jù)總量為3445153條，經(jīng)過篩選和預(yù)處理，有效數(shù)據(jù)為725550條。

《財富中國》曾經(jīng)根據(jù)發(fā)達(dá)國家的行業(yè)界定與行業(yè)演變規(guī)則，對中國的行業(yè)進(jìn)行了新的分類，本文參考它的分類標(biāo)準(zhǔn)，將細(xì)分的行業(yè)歸結(jié)到新的行業(yè)大類中。由于分析的數(shù)據(jù)量比較大，我們采用文本分類算法對數(shù)據(jù)進(jìn)行分類，先由算法學(xué)習(xí)訓(xùn)練數(shù)據(jù)集的分類標(biāo)準(zhǔn)，再批量完成對其他數(shù)據(jù)的分類。從有效數(shù)據(jù)中隨機(jī)選取10000條不同的數(shù)據(jù)進(jìn)行人工分類作為訓(xùn)練數(shù)據(jù)集，通過每條數(shù)據(jù)的關(guān)鍵字和句子描述的意義判斷它屬于哪個具體的行業(yè)。

2 網(wǎng)絡(luò)信息安全數(shù)據(jù)分析

由于每一條有效數(shù)據(jù)代表著一次黑客攻擊或者信息安全事件，得出每條數(shù)據(jù)的行業(yè)分類，就能看出整體的網(wǎng)絡(luò)信息安全事件的行業(yè)分布情況。本文根據(jù)現(xiàn)有數(shù)據(jù)選擇能夠代表每個行業(yè)的關(guān)鍵字集合，即行業(yè)特征值，再結(jié)合訓(xùn)練數(shù)據(jù)集（人工分類數(shù)據(jù)集），以及KNN分類算法，對數(shù)據(jù)進(jìn)行自動分類。

在數(shù)據(jù)分類過程中，對于行業(yè)特征值的選擇遵循兩個原則，一是關(guān)鍵字要具有代表性，不僅在語義上能表明這個行業(yè)，還要在分析的樣本數(shù)據(jù)中，與其他行業(yè)具有一定的區(qū)分度；二是與其他行業(yè)關(guān)鍵字之間互斥，盡量避免與其他行業(yè)的分類詞相關(guān)聯(lián)，并且在其他行業(yè)數(shù)據(jù)中出現(xiàn)的次數(shù)比較少。為了更有效地選取行業(yè)特征值，我們采用TF-IDF模型來確定。

獲得數(shù)據(jù)中每個行業(yè)的特征值之后，我們采用KNN算法對數(shù)據(jù)進(jìn)行分類。由于KNN算法是非參數(shù)算法，只需要提供已經(jīng)按照規(guī)則分類好的訓(xùn)練數(shù)據(jù)集，和分類屬性的特征值，KNN算法便可以通過學(xué)習(xí)來進(jìn)行新的分類。此外，KNN算法分類效果較為準(zhǔn)確，雖然需要比對訓(xùn)練數(shù)據(jù)集，但由于本訓(xùn)練集的內(nèi)容是單條數(shù)據(jù)，可以克服KNN運(yùn)算時空開銷大的弊端[7]。

2.1 TF-IDF模型選取行業(yè)特征值

在本研究中，TF-IDF模型的主要作用是用來尋找能夠有效代表某一行業(yè)的名詞，即行業(yè)特征值。一個名詞在某一行業(yè)的文本中出現(xiàn)的頻率越高，而在所有的文本中出現(xiàn)的越少，則區(qū)分其他行業(yè)的效用越大，相應(yīng)的TF-IDF值就越大[8]。TF-IDF值的計算是基于10000條樣本數(shù)據(jù)進(jìn)行的。其公式為：

TF-IDF=TF×IDF=■×log■

其中：TF：該名詞在某一行業(yè)文本中的詞頻；n：該名詞在某一行業(yè)文本中出現(xiàn)的次數(shù)；N：行業(yè)文本中名詞的總數(shù)；IDF：逆向文本頻率，即所有文本數(shù)與包含該關(guān)鍵字文本數(shù)的商的對數(shù)；W：所有文本數(shù)，在樣本數(shù)據(jù)中，值為10000；d：包含該關(guān)鍵字的文本數(shù)。

TF-IDF模型能夠減少模糊匹配和互斥性差對分類造成的影響，較好地體現(xiàn)了行業(yè)特征值對行業(yè)的代表性，以及行業(yè)特征值對于分類結(jié)果的互斥性[9]。

①獲取關(guān)鍵字的TF值。

TF-IDF模型使用人工分類的數(shù)據(jù)（訓(xùn)練數(shù)據(jù)集）來獲取行業(yè)特征值，在得到某一行業(yè)的行業(yè)特征值之前，我們將候選的名詞稱為關(guān)鍵字。由于篇幅有限，這里只以信息相關(guān)行業(yè)為例介紹如何通過TF-IDF模型選擇關(guān)鍵字，并優(yōu)化形成行業(yè)特征值的過程。首先通過編寫程序?qū)Α靶畔⑾嚓P(guān)行業(yè)”樣本數(shù)據(jù)進(jìn)行分詞并標(biāo)注詞性，隨后選取名詞作為關(guān)鍵字，統(tǒng)計詞頻獲得TF值。

②計算IDF值，并獲得TF-IDF值。

經(jīng)過分詞后會產(chǎn)生很多與信息相關(guān)行業(yè)無關(guān)的名詞，這些名詞并不都能代表信息相關(guān)行業(yè)。我們從上述列表中依次挑選出可以代表信息相關(guān)行業(yè)的關(guān)鍵字，并在10000條樣本數(shù)據(jù)中搜索包含該關(guān)鍵字的數(shù)據(jù)條數(shù)，即模型中的d。依據(jù)TF-IDF模型公式計算出IDF值，然后將TF值與IDF值相乘獲得TF-IDF值。

③基于TF-IDF模型獲取行業(yè)特征值集合。

TF-IDF值計算出來后，根據(jù)大小排列，我們可以很好地了解哪些關(guān)鍵字最能代表信息相關(guān)行業(yè)，并能進(jìn)一步明確行業(yè)特征值集合。設(shè)信息相關(guān)行業(yè)的行業(yè)特征值集合為M{n1，n2，n3…}，ni表示集合中的關(guān)鍵字，依據(jù)TF-IDF值列表，由高到低依次向該集合中添加一個關(guān)鍵字，并以M集合中的關(guān)鍵字作為查詢條件，獲得數(shù)據(jù)條數(shù)。該過程是一個動態(tài)的優(yōu)化過程，每添加一個關(guān)鍵字，搜索的數(shù)據(jù)條數(shù)都會改變，與人工分類的結(jié)果越接近我們認(rèn)為分類效果越好。

我們設(shè)置參數(shù)偏離度De來衡量優(yōu)化性能，De的計算公式為：

De=■=■

其中：De：用來衡量與人工分類偏離程度，值越小，表明分類效果越好；R：經(jīng)過TF-IDF模型優(yōu)化后的分類方案所得出的行業(yè)百分比；s：用行業(yè)特征值集合查詢的數(shù)據(jù)條數(shù)；S：樣本數(shù)據(jù)總條數(shù)，為10000；P：人工分類的行業(yè)百分比，信息相關(guān)行業(yè)P值為19.01%。

2.2 應(yīng)用KNN算法進(jìn)行數(shù)據(jù)分類

由于KNN算法能夠?qū)W習(xí)訓(xùn)練數(shù)據(jù)集的分類標(biāo)準(zhǔn)，且具有分類精度高、穩(wěn)定性強(qiáng)的特點[10]，本文采用KNN算法實現(xiàn)文本的自動分類。KNN算法分類過程涉及到特征值的選取和相似度的計算，特征值即在TF-IDF模型優(yōu)化的過程中選出的行業(yè)特征值集合。語義相似度采用夾角余弦函數(shù)進(jìn)行計算，兩個文本向量在空間中的夾角越小，余弦值越大，表示其語義相似度越大，反之亦然。KNN的決策過程如下：

C=argmax■（score（ ■，c■））

=argmax■■Sim（ ■，■）δ（■，c■）

其中KNN（■）表示文檔的k個鄰域，δ（■，c■）含義如下：

δ（■，c■）=1 ■∈c■0 ■？埸c■）

c■表示不同的行業(yè)分類；■表示待分類的文本向量；■表示K個鄰域中的第j個已確定行業(yè)分類的行業(yè)特征向量；Sim（■，■）表示待分類文本向量與已確定分類文本向量的相似度。

2.3 數(shù)據(jù)分類結(jié)果

依據(jù)KNN算法分類思想，結(jié)合自然語言處理開源工具包（FudanNLP），編寫相應(yīng)的程序代碼，實現(xiàn)KNN分類器的算法分類。FudanNLP運(yùn)行環(huán)境為聯(lián)想Z460筆記本電腦，6G內(nèi)存，酷睿i3處理器，2.53GHz。全部的有效數(shù)據(jù)經(jīng)過KNN分類器運(yùn)算的分類結(jié)果如表1所示，信息相關(guān)行業(yè)、專業(yè)服務(wù)、教育、旅游休閑均超過了5%，其中信息相關(guān)行業(yè)逼近20%，是網(wǎng)絡(luò)信息安全問題出現(xiàn)最多的行業(yè)。其次，建筑建材、醫(yī)藥衛(wèi)生、文化超過了3%，企業(yè)的網(wǎng)絡(luò)信息安全問題仍然嚴(yán)峻。其他行業(yè)占比比較低，交通運(yùn)輸和制造業(yè)相對較高。

3 行業(yè)分類結(jié)果分析與建議

根據(jù)分類結(jié)果，我們對不同行業(yè)所面臨的網(wǎng)絡(luò)信息安全威脅進(jìn)行了等級劃分，如圖1所示。在本研究數(shù)據(jù)中，網(wǎng)絡(luò)信息安全問題占比5%以下的行業(yè)，網(wǎng)絡(luò)信息安全威脅程度較低；占比5%-15%的行業(yè)，網(wǎng)絡(luò)信息安全威脅程度適中；占比5%-15%的行業(yè)，網(wǎng)絡(luò)信息安全威脅程度較高。

3.1 建立信息安全管理體系框架

英國標(biāo)準(zhǔn)協(xié)會（SBI）于1959年制定了信息安全管理體系標(biāo)準(zhǔn)，并于1999年進(jìn)行了修訂改版，2000年12月經(jīng)包括中國在內(nèi)的國際標(biāo)準(zhǔn)組織成員國投票表決，正式轉(zhuǎn)化成國際標(biāo)準(zhǔn)。信息安全管理體系框架（ISMS）的建立，對保護(hù)企業(yè)信息資產(chǎn)安全，建立良好的市場秩序，提升企業(yè)的綜合競爭力，有著重要意義。這是一個龐大的系統(tǒng)工程，必須依賴政府自上而下的頂層設(shè)計，來構(gòu)建新的治理體系[11]。該框架應(yīng)對信息安全的管理目標(biāo)、管理主體與客體及管理工具，進(jìn)行詳細(xì)的闡述與界定，對不同的行業(yè)應(yīng)有不同的要求，根據(jù)行業(yè)信息安全威脅程度，來實施信息安全保護(hù)及等級評估的具體措施。

目前，我國政府以及各行各業(yè)已經(jīng)認(rèn)識到了信息安全的重要性，國務(wù)院辦公廳先后頒布了一系列相關(guān)政策，直接引導(dǎo)推進(jìn)信息安全系統(tǒng)的應(yīng)用和發(fā)展。

此外，政府相關(guān)部門應(yīng)對信息基礎(chǔ)設(shè)施加以整合，集中網(wǎng)絡(luò)信息安全的領(lǐng)導(dǎo)權(quán)和統(tǒng)一諸如加密標(biāo)準(zhǔn)、認(rèn)證標(biāo)準(zhǔn)、數(shù)字簽名標(biāo)準(zhǔn)等信息安全產(chǎn)業(yè)標(biāo)準(zhǔn)，通過加強(qiáng)跨區(qū)域、跨部門的系統(tǒng)互聯(lián)來實現(xiàn)網(wǎng)絡(luò)信息安全。

同時，各行業(yè)信息安全管理框架應(yīng)由各機(jī)構(gòu)根據(jù)自身的實際狀況搭建，制定適合企業(yè)自身業(yè)務(wù)發(fā)展的信息安全管理框架。

3.2 信息相關(guān)行業(yè)

由統(tǒng)計結(jié)果可以看出，信息相關(guān)行業(yè)中的企業(yè)更容易出現(xiàn)網(wǎng)絡(luò)信息安全問題，占比接近20%，這和信息相關(guān)行業(yè)本身的性質(zhì)有關(guān)。

首先，信息相關(guān)行業(yè)以互聯(lián)網(wǎng)企業(yè)居多，與網(wǎng)絡(luò)有更強(qiáng)的粘滯性，大部分的業(yè)務(wù)都需要通過網(wǎng)絡(luò)來完成，網(wǎng)絡(luò)中存在大量的信息安全威脅，對直接暴露在復(fù)雜網(wǎng)絡(luò)環(huán)境中的服務(wù)器、主機(jī)終端等硬件設(shè)施，和處理企業(yè)事務(wù)的軟件，具有較強(qiáng)的破壞性。

比如2014年9月，美國家得寶公司確認(rèn)其支付系統(tǒng)遭到網(wǎng)絡(luò)攻擊，將近有5600萬張銀行卡的信息被盜。其次，部分企業(yè)自身的防范意識不足，防范措施不完善，無法適應(yīng)較高的信息安全要求，尤其缺乏專業(yè)的信息安全管理人員，導(dǎo)致信息安全事件頻發(fā)。

此外，國內(nèi)信息相關(guān)行業(yè)的安全體系并沒有完全建立起來，無法對企業(yè)形成有力的督促效應(yīng)和政策約束，大部分企業(yè)忽視了在信息安全方面的投入，沒有上升到企業(yè)戰(zhàn)略的高度。

信息相關(guān)行業(yè)中的企業(yè)應(yīng)明確自身承受著較高的網(wǎng)絡(luò)信息安全威脅，首先應(yīng)加大在信息安全方面的資源投入，一是增加物理防護(hù)，增加服務(wù)器，運(yùn)行防火墻等軟件，或者開辟網(wǎng)絡(luò)專線；二是增加軟件防護(hù)，安裝企業(yè)級的殺毒軟件，對網(wǎng)絡(luò)安全狀況進(jìn)行及時的監(jiān)控，并排除威脅。其次，設(shè)立嚴(yán)格的信息安全保障制度，保證業(yè)務(wù)的正常開展，從而減少信息泄露或企業(yè)業(yè)務(wù)中斷的風(fēng)險，獲得商業(yè)競爭優(yōu)勢。

同時，國家信息安全相關(guān)部門可以對信息相關(guān)行業(yè)中的企業(yè)設(shè)置信息安全建設(shè)綠色通道，鼓勵他們積極完善自身的信息安全防護(hù)機(jī)制，必要時設(shè)立審查制度，定期對企業(yè)的信息安全建設(shè)情況進(jìn)行審查并進(jìn)行評級，確保相關(guān)政策有效落實。

3.3 專業(yè)服務(wù)、教育和旅游休閑行業(yè)

專業(yè)服務(wù)、教育和旅游休閑的信息安全事件均超過了5%，表明在這三個領(lǐng)域仍然存在著較高的網(wǎng)絡(luò)信息安全威脅。服務(wù)行業(yè)包括廣告、維修、設(shè)計、通信等，從行業(yè)特征來看，他們在互聯(lián)網(wǎng)安全的投入中并不會占整體投入的太多比例，網(wǎng)絡(luò)安全受到威脅，不會對他們的業(yè)務(wù)帶來顯著的影響。

相對于信息相關(guān)行業(yè)，專業(yè)服務(wù)、教育和旅游休閑的企業(yè)信息安全問題，更多的是來源于網(wǎng)絡(luò)安全基礎(chǔ)設(shè)備的不足，由于網(wǎng)絡(luò)連接不涉及核心業(yè)務(wù)，大部分企業(yè)忽視了硬件設(shè)備的采購以及防護(hù)體系的建立，企業(yè)信息遭到竊取和泄露在所難免。

這一問題在教育行業(yè)尤為突出，一些高校為了減少網(wǎng)絡(luò)建設(shè)投入，同時也為了給學(xué)生提供技術(shù)鍛煉平臺，直接將門戶網(wǎng)站和非關(guān)鍵系統(tǒng)的建設(shè)與維護(hù)交給了學(xué)生團(tuán)體，由于缺乏經(jīng)驗的積累和相關(guān)核心安全技術(shù)，部分高校網(wǎng)站的脆弱性可見一斑。

旅游休閑類服務(wù)型企業(yè)，通常會通過在線交易開展業(yè)務(wù)，比如預(yù)定付款、網(wǎng)絡(luò)游戲充值等等，更容易成為不法分子的攻擊目標(biāo)，信息安全事件也時有發(fā)生。2014年10月，摩根大通銀行網(wǎng)絡(luò)數(shù)據(jù)庫遭竊，其承認(rèn)7600萬家庭和700萬小企業(yè)的相關(guān)信息被泄露。

該行業(yè)中的企業(yè)由于自身業(yè)務(wù)的限制，往往缺乏相應(yīng)的信息安全應(yīng)急機(jī)制和處理方案，更沒有針對自身信息系統(tǒng)的安全管理措施。這種情況下，企業(yè)應(yīng)加強(qiáng)尋求對外合作，讓更專業(yè)的第三方機(jī)構(gòu)負(fù)責(zé)信息系統(tǒng)的實施與維護(hù)，簽訂服務(wù)水平協(xié)議，并提供信息安全保障。

此外，盡量減少經(jīng)濟(jì)利益的網(wǎng)上流通，加大審查力度，網(wǎng)上支付、在線交易等要進(jìn)行嚴(yán)格的審批，沒有足夠安全保障的企業(yè)，不能提供此項服務(wù)；同時也要對現(xiàn)有的線上支付方式進(jìn)行檢查，具有潛在安全隱患的要及時進(jìn)行警告和撤銷，并轉(zhuǎn)換為線下支付。

3.4 其他行業(yè)

建筑建材、文化、醫(yī)藥衛(wèi)生、機(jī)構(gòu)組織、交通運(yùn)輸、制造業(yè)等行業(yè)中的信息安全事件均超過了1%，其余行業(yè)的信息安全威脅較低。這類行業(yè)較少利用網(wǎng)絡(luò)來開展業(yè)務(wù)，因此企業(yè)信息泄露的風(fēng)險普遍較低，發(fā)生信息安全事件的可能性不高。

盡管如此，每年仍然會有相當(dāng)規(guī)模的網(wǎng)絡(luò)惡意攻擊，導(dǎo)致部分企業(yè)服務(wù)器癱瘓，無法進(jìn)行工作。這類安全事件主要由黑客造成，多半是為了展示能力、炫耀技術(shù)或者娛樂，并非僅僅是為了獲得企業(yè)的商業(yè)機(jī)密信息。

此外，企業(yè)內(nèi)部人員疏于管理，信息安全意識不強(qiáng)，通過文件傳遞、口頭傳播或者交流聊天都有可能泄露企業(yè)私密信息。值得關(guān)注的是，金融和軍事類企業(yè)網(wǎng)絡(luò)信息安全威脅較低，主要是因為它們具有嚴(yán)格的內(nèi)部管理制度，員工的信息安全意識，紀(jì)律性較強(qiáng)。

其次，它們在物理防護(hù)和軟件防護(hù)上都做的比較完善，軍事類企業(yè)和組織甚至開辟專用網(wǎng)絡(luò)鏈路來保證信息安全。這些行業(yè)中的企業(yè)在日常運(yùn)作的過程中，所受信息安全威脅較低，應(yīng)主要完善內(nèi)部的制度建設(shè)，加強(qiáng)員工的信息安全意識的培養(yǎng)，做到人員管理安全。同時，建立完備的危機(jī)應(yīng)急機(jī)制十分必要，當(dāng)網(wǎng)絡(luò)信息安全事件發(fā)生時，企業(yè)能夠從容應(yīng)對。

4 結(jié)束語

網(wǎng)絡(luò)信息安全威脅是現(xiàn)代企業(yè)都有可能面對的問題，通過互聯(lián)網(wǎng)等現(xiàn)代信息技術(shù)開展業(yè)務(wù)是企業(yè)發(fā)展過程中的必然趨勢。