上世紀(jì)九十年代以來，嘉興電力局逐步建立了辦公自動化（OA）、SAP系統(tǒng)、營銷管理、95598客戶服務(wù)、負荷管理、PI數(shù)據(jù)庫等諸多信息系統(tǒng)，企業(yè)信息化在安全生產(chǎn)、經(jīng)營管理、優(yōu)質(zhì)服務(wù)中發(fā)揮了極其重要的作用。與此同時，信息安全的籬笆墻也越扎越緊，有效地防范了外部的攻擊和內(nèi)部管理失控帶來的種種威脅。嘉興電力局先后被中電聯(lián)授予“信息化先進單位”、“信息化標(biāo)桿企業(yè)”等光榮稱號。**年貫徹ISO/IEC27001：**信息安全管理標(biāo)準(zhǔn)，獲得了挪威船級社DNV公司認證證書。

一、運用系統(tǒng)的思想和方法，查找信息安全管理的“短扳”

隨著企業(yè)信息化的快速發(fā)展，信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理一些傳統(tǒng)做法，沒有體現(xiàn)信息化特點和要求，越來越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革；管理不夠全面。以往只考慮硬件、軟件，忽視了人、數(shù)據(jù)和文檔、服務(wù)、無形資產(chǎn)等重要對象，對外來人員也缺乏有效的識別管理；管理制度不夠系統(tǒng)。以前雖然制訂了較多的制度和標(biāo)準(zhǔn)，當(dāng)信息化發(fā)展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會產(chǎn)生安全管理的盲區(qū)，有些制度內(nèi)容重復(fù)、交叉、不一致，有些制度不切實際，往往束之高閣；風(fēng)險評估不夠科學(xué)。以往的信息風(fēng)險評估不夠系統(tǒng)，主觀性過強，缺乏綜合平衡，抓不住重點，或過度保護，或產(chǎn)生管理死角，事后控制多，事前預(yù)控少，不能涵蓋信息系統(tǒng)的生命周期。

上述情形是企業(yè)在信息化建設(shè)中普遍感覺到的問題。隨著科學(xué)技術(shù)的進步，企業(yè)信息運行管理模式也發(fā)生了巨大的變化，為企業(yè)采用先進管理方式、建立信息安全管理體系打下了扎實的基礎(chǔ)。為此，嘉興電力局根據(jù)國際上信息安全管理的最佳實踐，結(jié)合供電企業(yè)的實際，從信息安全風(fēng)險評估管理入手，貫徹ISO/IEC27001：**信息安全管理標(biāo)準(zhǔn)，建立了信息安全管理體系。通過體系有效運作，達到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。

二、從資產(chǎn)識別入手，搞好信息安全風(fēng)險評估

按《信息安全風(fēng)險評估控制程序》，對所有的資產(chǎn)進行了列表識別，并識別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值。在風(fēng)險評估中，共識別資產(chǎn)2810項，其中確定的重要資產(chǎn)總數(shù)為312項，形成了《重要資產(chǎn)清單》。

摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險評估和加固的實踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險、弱點、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統(tǒng)和信息，防止其因為偶然或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險評估和加固的實踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險、弱點、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統(tǒng)和信息，防止其因為偶然或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險評估和加固的實踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險、弱點、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統(tǒng)和信息，防止其因為偶然或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

摘要：隨著信息時代的到來，信息安全已經(jīng)融入電力企業(yè)生產(chǎn)經(jīng)營活動的方方面面。本文主要針對電力企業(yè)信息安全管理中存在的問題展開分析，指出電力企業(yè)目前在信息安全管理以及信息安全體系中存在的風(fēng)險，并相應(yīng)地制定了高效的信息安全管理措施，以促進信息安全管理問題的解決，并推進電力企業(yè)信息安全管理水平的提升。

關(guān)鍵詞：電力信息；安全現(xiàn)狀；改善策略

電力系統(tǒng)是一個涉及了繼電保護、電網(wǎng)調(diào)度自動化、配電網(wǎng)自動化等方面的大型系統(tǒng)工程。在電力企業(yè)快速發(fā)展的背景之下，信息安全問題與電力企業(yè)生產(chǎn)經(jīng)營活動存在緊密的聯(lián)系，直接影響著電力企業(yè)能否進行安全生產(chǎn)。

1電力企業(yè)存在的主要信息安全管理風(fēng)險

1.1信息安全體系層面。（1）信息網(wǎng)絡(luò)結(jié)構(gòu)與邊界風(fēng)險。從信息網(wǎng)絡(luò)結(jié)構(gòu)方面來看，電力企業(yè)面臨著核心交換機選型缺乏合理性這一問題，比如，核心交換機屬于一臺二層交換機，只有充分利用系統(tǒng)才能夠有效地解決網(wǎng)絡(luò)安全問題。除此之外，絕大部分的電力企業(yè)會采用多種形式連接互聯(lián)網(wǎng)，但是不同的安全域間的網(wǎng)絡(luò)連接并未采取任何的訪問控制措施，導(dǎo)致互聯(lián)網(wǎng)訪問的過程中會面臨掃描攻擊、非法侵入以及DOS攻擊等各種問題。（2）病毒侵害與網(wǎng)絡(luò)攻擊。隨著電子郵件系統(tǒng)運用范圍地擴大，加快了計算機病毒擴散的速度，各種病毒會通過網(wǎng)絡(luò)進行傳播，越來越多的電力企業(yè)網(wǎng)絡(luò)面臨著計算機病毒入侵的安全風(fēng)險?，F(xiàn)在的網(wǎng)絡(luò)攻擊手法結(jié)合了許多技術(shù)，多數(shù)電力企業(yè)雖然安裝了防病毒軟件，但是這些軟件僅僅起到病毒查殺的作用，無法阻止病毒傳播。針對網(wǎng)絡(luò)中傳播的蠕蟲，雖然入侵檢測系統(tǒng)可以檢查出來，但是無法對蠕蟲進行徹底地清除。此外，運用補丁管理雖然可以避免蠕蟲的感染，但是同樣無法實現(xiàn)對蠕蟲的查殺。除此之外，在現(xiàn)階段，企業(yè)各個安全產(chǎn)品大多是獨立工作，不能對病毒進行系統(tǒng)化地查殺。（3）系統(tǒng)安全風(fēng)險。就系統(tǒng)安全風(fēng)險內(nèi)容來看，它具體指的是下面幾點內(nèi)容：第一，操作系統(tǒng)風(fēng)險；第二，數(shù)據(jù)庫系統(tǒng)風(fēng)險，第三，各類運用系統(tǒng)風(fēng)險。在現(xiàn)階段，許多電力企業(yè)將Windows操作系統(tǒng)作為主要的操作系統(tǒng)，然而任何操作系統(tǒng)都不可避免地存在漏洞，漏洞會給入侵者提供可乘之機，一旦入侵者掌握了管理員權(quán)限，必然會對網(wǎng)絡(luò)系統(tǒng)進行攻擊。1.2信息安全管理層面。（1）信息安全管理措施落實不到位。由于資金不足，許多的電力企業(yè)不能及時替換陳舊的操作系統(tǒng)和郵件程序，而入侵者極容易利用內(nèi)部網(wǎng)絡(luò)的缺陷來進行攻擊。此外，由于企業(yè)的管理人員網(wǎng)絡(luò)安全意識淡薄，就會忽視同步升級用戶系統(tǒng)。另外，部分電力企業(yè)使用開放程度過高的操作系統(tǒng)，由于安全級別低下，加上未采取任何安全措施，就無法實現(xiàn)對黑客與信息炸彈地有效抵御。（2）企業(yè)信息管理革新滯后于技術(shù)發(fā)展。近些年，我國的信息技術(shù)快速發(fā)展，但是電力企業(yè)的管理水平一直沒有得到提升，雖然部分企業(yè)采用了最新的業(yè)務(wù)系統(tǒng)以及管理系統(tǒng)，但是并未及時更新管理模式，以至于無法充分發(fā)揮出信息系統(tǒng)的價值。信息安全工作是一項兼具復(fù)雜性與系統(tǒng)性的工作，對工作人員的專業(yè)水平有著較高的要求，所涉及的知識面十分的廣泛。很顯然，現(xiàn)階段的技術(shù)人員無法滿足新時期電力企業(yè)對信息安全管理工作的要求。（3）工作人員安全意識十分淡薄。目前，許多工作人員不能夠認識到網(wǎng)絡(luò)信息安全的重要性，沒有拿出足夠的時間與精力投入到網(wǎng)絡(luò)信息安全的學(xué)習(xí)之中。此外，大多數(shù)電力企業(yè)的安全意識淡薄，忽視安全領(lǐng)域的投入，以至于網(wǎng)絡(luò)信息安全長時間處于封堵漏涮狀態(tài)。與此同時，絕大部分工作人員缺乏良好的安全意識，對于共用口令、企業(yè)內(nèi)部信息傳播以及復(fù)制等涉及的安全問題了解不夠，給了黑客攻擊可乘之機，導(dǎo)致經(jīng)常出現(xiàn)信息泄露問題，最終影響了企業(yè)網(wǎng)絡(luò)信息的安全性。

2電力企業(yè)信息安全管理對策

編者按：本論文主要從信息是軟件企業(yè)的重要資源；保護企業(yè)信息的安全，建立實施信息安全管理體系是非常有效的途徑等進行講述，包括了網(wǎng)絡(luò)共享與惡意代碼防控、信息化建設(shè)超速與安全規(guī)范不協(xié)調(diào)、信息產(chǎn)品國外引進與安全自主控制、IT產(chǎn)品單一性和大規(guī)模攻擊問題、IT產(chǎn)品類型繁多和安全管理滯后矛盾、IT系統(tǒng)復(fù)雜性和漏洞管理、攻擊突發(fā)性和防范響應(yīng)滯后、口令安全設(shè)置和口令易記性難題等，具體資料請見：

論文摘要：隨著軟件行業(yè)特別是軟件外包行業(yè)在國內(nèi)的蓬勃發(fā)展，如何保證自身的信息安全成了擺在軟件企業(yè)面前的重要課題。文章通過對軟件企業(yè)現(xiàn)有信息安全問題的分析，提出了采用信息安全體系建設(shè)系統(tǒng)解決信息安全問題，著重闡述了信息安全風(fēng)險管理的原理和方法在軟件行業(yè)中的應(yīng)用。

論文關(guān)鍵詞：軟件企業(yè)；信息安全；風(fēng)險管理

隨著國家大力推動軟件外包行業(yè)和IT行業(yè)的發(fā)展，軟件企業(yè)發(fā)展呈現(xiàn)良好態(tài)勢，在自身業(yè)務(wù)發(fā)展壯大的同時，軟件企業(yè)信息安全重要性日益凸顯?；ヂ?lián)網(wǎng)和IT技術(shù)的普及，使得應(yīng)用信息突破了時間和空間上的障礙，信息的價值在不斷提高。但與此同時，網(wǎng)頁篡改、計算機病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時有發(fā)生。據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2007年5月～2008年5月間，有62．7％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中，感染計算機病毒、蠕蟲和木馬程序的安全事件為85．5％，遭到端口掃描或網(wǎng)絡(luò)攻擊的占31．4％，垃圾郵件占25．4％。

信息是軟件企業(yè)的重要資源，是非常重要的“無形財富”，分析當(dāng)前的信息安全問題，有如下典型的信息安全問題急需解決。

(1)網(wǎng)絡(luò)共享與惡意代碼防控。

摘要：近年來，國內(nèi)外對信息安全的重視提到了一個新的高度，各個行業(yè)領(lǐng)域都展開了針對信息安全的網(wǎng)絡(luò)攻防演練，對信息安全管理又提出了很多新的要求。本文分析了在企業(yè)中對信息安全的管理，總結(jié)了問題與原因，提出了解決方案。

關(guān)鍵詞：信息安全管理；信息安全體系；網(wǎng)絡(luò)安全

1信息安全管理的重要性

信息安全問題是企業(yè)在管理中遇到的最新的問題，信息是數(shù)字的載體，現(xiàn)代化辦公都是利用各種信息來提高工作效率。而如何在提高效率的同時不僅要保障信息系統(tǒng)中各種數(shù)據(jù)的安全、還要保證數(shù)據(jù)的正確性、完整性、持續(xù)性、穩(wěn)定性等，成為非常重要的問題。從國家層面上來說也是很重視，已相繼出臺網(wǎng)絡(luò)安全方面的法律法規(guī)，2019年又修訂了信息系統(tǒng)安全等級保護的基本要求。信息安全主要指信息數(shù)據(jù)安全、信息設(shè)備安全、系統(tǒng)軟件安全等在內(nèi)的企業(yè)信息安全。一個大型企業(yè)的信息安全性不足的話，很容易造成機密信息泄露，文件和重要圖紙遭受竊取或破壞，甚至重要的系統(tǒng)被黑客攻破導(dǎo)致企業(yè)正常的辦公和生產(chǎn)癱瘓。特別是國企有工控系統(tǒng)的，如果被攻破會導(dǎo)致數(shù)控機床失控或人員受傷。因此為了避免以上情況的出現(xiàn)，必須做好企業(yè)的信息安全管理。企業(yè)信息安全是否得到正確的管理，主要通過以下幾個方面來判斷：第一，完整性和正確性。要求信息數(shù)據(jù)在處理和傳輸過程中沒有遭到破壞或惡意修改。第二，保密性或隱私性。是指在信息數(shù)據(jù)不會泄露給沒有授權(quán)的個人或組織。第三，持續(xù)可用性。信息系統(tǒng)或網(wǎng)絡(luò)在被攻擊時，可迅速的恢復(fù)網(wǎng)絡(luò)使用和數(shù)據(jù)的持續(xù)可用，滿足企業(yè)業(yè)務(wù)要求。第四，可控制。企業(yè)必須有強制手段對網(wǎng)絡(luò)信息進行監(jiān)控，有可查日志，從而在信息系統(tǒng)出現(xiàn)問題時可馬上進行數(shù)據(jù)恢復(fù)，避免不必要的損失。

2分析信息安全隱患

2.1漏洞。漏洞包含兩個方面：操作系統(tǒng)漏洞和開發(fā)的信息平臺系統(tǒng)漏洞。計算機操作系統(tǒng)或服務(wù)器的操作系統(tǒng)本身就有很多漏洞，所以就需要不斷地更新補丁，但是常用端口還是有可以利用的漏洞，例如：9699、8080端口等，特別是遠程端口經(jīng)常被利用或攻擊。而在信息系統(tǒng)中存在漏洞就更多，開發(fā)軟件中為了功能的便捷往往都會忽視網(wǎng)絡(luò)信息安全問題，造成系統(tǒng)中的數(shù)據(jù)很多都沒有基礎(chǔ)保護，如果用的完全是軟件開發(fā)公司的系統(tǒng)，更是有很多漏洞，而往往這些漏洞都是難以彌補的。2.2病毒。計算機病毒或網(wǎng)絡(luò)病毒，首先都是各種數(shù)據(jù)代碼組成并會傳播的，往往一臺有或者一個網(wǎng)端上有就會影響到整個網(wǎng)絡(luò)，不僅破壞系統(tǒng)運行還能損毀數(shù)據(jù)；其次病毒有多樣的表現(xiàn)形式，并具有潛伏隱蔽性，而且還能升級，例如近年代表性的“勒索病毒”。病毒除了通過網(wǎng)絡(luò)傳播，最主要的傳播還是在介質(zhì)上，特別是U盤。因此防病毒，不僅要依靠防病毒軟件，還要有對介質(zhì)、網(wǎng)絡(luò)隔離、數(shù)據(jù)傳輸?shù)冗M行嚴(yán)密的管理來控制。2.3環(huán)境和人為因素。網(wǎng)絡(luò)環(huán)境是信息安全保障的基礎(chǔ)，企業(yè)要加強基礎(chǔ)設(shè)施的投入，加強物理安全設(shè)備的管理。有些自然因素是無法避免的，例如雷電、防火、防水等。這些引發(fā)的災(zāi)害造成的信息安全事件，很容易影響網(wǎng)絡(luò)信息安全。在網(wǎng)絡(luò)環(huán)境中人絕對是關(guān)鍵因素，規(guī)范人的信息安全管理非常重要[1]。無論是信息安全的基礎(chǔ)設(shè)施如何，無論技術(shù)手段如何，也無論是惡意行為還是失誤操作，人都是信息安全事件發(fā)生的因素。企業(yè)員工對于網(wǎng)絡(luò)信息安全保護意識很薄弱，而專業(yè)的網(wǎng)絡(luò)技術(shù)人員在企事業(yè)中也很缺乏，而專職的信息安全管理人才更是少之又少。

1城市燃氣信息化建設(shè)探索

1．1地理信息系統(tǒng)及數(shù)據(jù)采集與監(jiān)控系統(tǒng)

在燃氣企業(yè)中應(yīng)用GIS系統(tǒng)，既能對燃氣管線進行電子化圖檔管理，也能實時監(jiān)控天然氣管網(wǎng)規(guī)劃、搶修等情況。GIS通過將現(xiàn)有的管網(wǎng)及周邊地理狀況、管線、設(shè)備等信息，集成為管線集輸?shù)木C合信息，然后，實時傳輸和展現(xiàn)給燃氣企業(yè)相關(guān)管理人員，從而為燃氣管線運行、設(shè)備維護和安全管理，提供全面、準(zhǔn)確的參考依據(jù)。

1．1．1．?dāng)?shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)

SCADA系統(tǒng)是燃氣管道應(yīng)急系統(tǒng)的重要組成部分，是一項集實時工控與調(diào)度信息管理為一體的大型的計算機應(yīng)用系統(tǒng)?？梢赃h程監(jiān)控與管理各門站、調(diào)壓站等站點，確保燃氣系統(tǒng)運行高效、安全、經(jīng)濟運行。

1．2事故處理方案決策優(yōu)化與管網(wǎng)風(fēng)險評價

編者按：本論文主要從網(wǎng)絡(luò)共享與惡意代碼防控；信息化建設(shè)超速與安全規(guī)范不協(xié)調(diào)；信息產(chǎn)品國外引進與安全自主控制；IT產(chǎn)品單一性和大規(guī)模攻擊問題等進行講述，包括了IT產(chǎn)品類型繁多和安全管理滯后矛盾、IT系統(tǒng)復(fù)雜性和漏洞管理、攻擊突發(fā)性和防范響應(yīng)滯后、口令安全設(shè)置和口令易記性難題等，具體資料請見：

論文摘要：隨著軟件行業(yè)特別是軟件外包行業(yè)在國內(nèi)的蓬勃發(fā)展，如何保證自身的信息安全成了擺在軟件企業(yè)面前的重要課題。文章通過對軟件企業(yè)現(xiàn)有信息安全問題的分析，提出了采用信息安全體系建設(shè)系統(tǒng)解決信息安全問題，著重闡述了信息安全風(fēng)險管理的原理和方法在軟件行業(yè)中的應(yīng)用。

論文關(guān)鍵詞：軟件企業(yè)；信息安全；風(fēng)險管理

隨著國家大力推動軟件外包行業(yè)和IT行業(yè)的發(fā)展，軟件企業(yè)發(fā)展呈現(xiàn)良好態(tài)勢，在自身業(yè)務(wù)發(fā)展壯大的同時，軟件企業(yè)信息安全重要性日益凸顯?；ヂ?lián)網(wǎng)和IT技術(shù)的普及，使得應(yīng)用信息突破了時間和空間上的障礙，信息的價值在不斷提高。但與此同時，網(wǎng)頁篡改、計算機病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時有發(fā)生。據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2007年5月～2008年5月間，有62．7％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中，感染計算機病毒、蠕蟲和木馬程序的安全事件為85．5％，遭到端口掃描或網(wǎng)絡(luò)攻擊的占31．4％，垃圾郵件占25．4％。

信息是軟件企業(yè)的重要資源，是非常重要的“無形財富”，分析當(dāng)前的信息安全問題，有如下典型的信息安全問題急需解決。

(1)網(wǎng)絡(luò)共享與惡意代碼防控。

1高校信息安全風(fēng)險評估現(xiàn)狀分析

我國的信息安全標(biāo)準(zhǔn)化制定工作比歐美國家起步晚。全國信息化標(biāo)準(zhǔn)制定委員會及其下屬的信息安全技術(shù)委員會開展了我國信息安全標(biāo)準(zhǔn)方面工作，完成了許多安全技術(shù)標(biāo)準(zhǔn)的制定，如GB／T18336、GB17859等。在信息系統(tǒng)的安全管理方面，我國目前在BS7799和ISO17799及CC標(biāo)準(zhǔn)基礎(chǔ)上完成了相關(guān)的標(biāo)準(zhǔn)修訂，我國信息安全標(biāo)準(zhǔn)體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇，信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注，如今國內(nèi)高校已經(jīng)加強關(guān)于信息安全管理方面的研究與實踐。

2高校信息安全風(fēng)險評估模型

2.1信息安全風(fēng)險評估流程

[2]在實施信息安全風(fēng)險評估時，河南牧業(yè)經(jīng)濟學(xué)院成立了信息安全風(fēng)險評估小組，由主抓信息安全的副校長擔(dān)任組長，各個相關(guān)單位和部門的代表為成員，各自負責(zé)與本系部相關(guān)的風(fēng)險評估事務(wù)。評估小組及相關(guān)人員在風(fēng)險評估前接受培訓(xùn)，熟悉運作的流程、理解信息安全管理基本知識，掌握風(fēng)險評估的方法和技巧。學(xué)院的風(fēng)險評估活動包括以下6方面：建立風(fēng)險評估準(zhǔn)則。建立評估小組，前期調(diào)研了解安全需求，確定適用的表格和調(diào)查問卷等，制定項目計劃，組織人員培訓(xùn)，依據(jù)國家標(biāo)準(zhǔn)確定各項安全評估指標(biāo)，建立風(fēng)險評估準(zhǔn)則。資產(chǎn)識別。學(xué)院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標(biāo)識。威脅識別。識別網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、人為錯誤等各種信息威脅，衡量威脅的可發(fā)性與來源。脆弱性識別。識別各類信息資產(chǎn)、各控制流程與管理中的弱點。風(fēng)險識別。進行風(fēng)險場景描述，依據(jù)國家標(biāo)準(zhǔn)劃分風(fēng)險等級評價風(fēng)險，編寫河南牧業(yè)經(jīng)濟學(xué)院信息安全風(fēng)險評估報告。風(fēng)險控制。推薦、評估并確定控制目標(biāo)和控制，編制風(fēng)險處理計劃。學(xué)院信息安全風(fēng)險評估流程圖如圖1所示：

2.2基于PDCA循環(huán)的信息安全風(fēng)險評估模型