信息资产的安全属性
开篇:润墨网以专业的文秘视角,为您筛选了八篇信息资产的安全属性范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
信息资产的安全属性范文第1篇
中图分类号:TP393 文献标识码:A 文章编号:1003-9082(2014)04-0007-02
信息资产是指组织的信息系统、其提供的服务以及处理的数据。
一、信息资产分类
网络设备:
一台或一组互备的网络设备,包括网络设备中的硬件,IOS,配置文件数据及其提供的网络服务。包括路由器、交换机、RAS等,防火墙、IDS等安全设备除外。
服务器:一台或一组服务器,包括服务器硬件、运行于其上的OS、通用应用、服务,数据库、磁盘阵列等。
工作站:客户端用机、个人用机等。
安全设备:作为安全用途的硬件和软件,如:防火墙、IDS、AV等。
存储设备:提供存储用途的硬件和软件,如:磁盘阵列等。
业务系统:指组织为其应用而开发或购买的各类应用软件及其提供的业务服务。
二、资产识别过程
1.绘制拓扑图
资产识别的首要步骤是绘制拓扑图。在拓扑图中尽可能真实地描绘拓扑图。一般来说,拓扑图越详细,资产识别的精度也就越高。如果系统非常复杂,一张拓扑图很难描述清楚,则应采用多张拓扑图。
2.确定业务系统
绘制拓扑图以后,通过访谈等方式,确定业务系统,且识别业务系统的功能类型。
3.确定第一层保护对象框架
3.1根据业务的类型:比如是生产业务,管理支撑业务,还是办公业务等。
3.2根据业务的重要性:比如核心区域,非核心区域等。
4.确定第二层保护对象框架
三、信息资产估价
1.资产赋值概述
信息资产识别完成后,形成了一个信息资产的清单,但对于大型组织来说,信息资产数目十分庞大,所以需要确认资产的价值和重要性,重点保护关键的、重要的资产,并便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化,因此需要对资产进行估价。
2.信息资产估价方法
信息资产分别具有不同的安全属性,机密性、完整性和可用性分别反映了资产在三个不同方面的特性。在信息资产估价时,主要对资产的这三个安全属性分别赋予价值,以此反映出信息资产的价值。
机密性、完整性和可用性的定义如下:
保密性:确保只有经过授权的人才能访问信息;
完整性:保护信息和信息的处理方法准确而完整;
可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
3.半定量化的资产赋值
所有资产的机密性、完整性和可用性价值,均划分为5级。其中5代表资产安全性价值最高,1代表资产性价值最低。
4.资产赋值方法
采用5级标准,较好地反映了资产价值的差异,本文中提出了一套方法,通过将机密性、完整性和可用性的每个值分解为两个相乘的指标,而每个指标均分为三级。从而得出五级安全价值。
Xc(资产被暴露时与造成后果之间的关系)可分为下述三级:
直接产生后果:即当资产被暴露时,后果既已发生。例如,组织的商业秘密,要求密级的信息,这些信息一旦被暴露,后果随之发生,无法挽回。
容易产生后果:当资产被暴露时,后果非常容易发生。例如当操作系统的超级用户口令失密时,如果获知者无恶意,后果可能不会发生,但是如果获知者具有恶意,那么后果非常容易发生。
可能产生后果:当资产被暴露时,后果有可能会发生,但离后果发生仍存在一定距离。例如某客户端软件被盗用,在没有得到服务器验证口令之前,后果仍未造成。
Yc(后果对组织的损害程度)包括下述三种情况:严重损害,中等损害,轻度损害.
4.2完整性赋值
整体不可用:当资产不可用时,业务系统即不可用。例如,服务器当机,主干网络瘫痪等。
局部不可用:当资产不可用时,业务系统局部不可用。例如局部网络瘫痪,网络阻塞等。
个体不可用:当资产不可用时,业务系统的某个或某几个客户不可用,例如终端故障,客户机当机等。
Ya(该业务系统的关键性程度)包括下述三种情况:
核心业务系统;关键业务系统;一般业务系统。
5.赋值工作操作方法指南
5.1首先对各资产赋值
通过对各资产赋值,我们可以获得在同一个区域内核心资产。
5.2对保护对象框架赋值
信息资产的安全属性范文第2篇
文章编号:1005-913X(2015)12-0113-03
一、人民银行信息技术审计中风险导向内审模式的构建思路
随着信息化的迅猛发展,信息技术已经渗透到各个金融管理和服务领域。中央银行的业务工作对信息技术的依赖程度不断提高,信息安全和技术风险问题也日益受到关注,在人民银行系统全面开展信息技术审计应得到各部门的高度重视。信息技术审计是面对计算机信息系统的审计,其目标是通过对计算机信息系统资产所面临的威胁、脆弱性识别,以及管理和环境风险水平计算,来评估审计对象科技信息安全状态和存在的不足的流程,探索建立人民银行信息科技审计模型,发现和识别在科技信息系统的风险点和控制薄弱环节,提出有针对性的意见和建议,促进和维护计算机系统的合规性、安全性、可靠性及有效性。
二、人民银行信息技术审计风险评估指标体系构建
(一)资产重要性识别
资产是具有价值的信息或资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息科技审计中资产的价值不仅仅以资产的账面价格来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
通过对资产的机密性、完整性和可用性综合分析评定,可以对被审计资产的重要性给出一个评估结论。笔者将资产重要性划分为五级,级别越高表示资产重要性程度越高。具体见表1。
(二)资产威胁识别
威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和无意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。根据人民银行科技信息工作实际,根据表现形式,威胁主要分为以下几类。见表2。
判断威胁出现的频率是威胁识别的重要工作,审计人员应根据经验和(或)科技部门提供的有关的统计数据来进行判断。根据人民银行工作实践,判断依据主要包括以下三个方面。
1.以往安全事件报告中出现过的威胁及其频率的统计。
2.实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计。
3.近一两年来国际组织的对于整个社会或特定行业的威胁及其频率统计,以及的威胁预警。
威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。表3提供了威胁出现频率的一种赋值方法。
(三)资产脆弱性识别
脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别,弱点是资产本身存在的,如果没有相应的威胁发生,单纯的弱点本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即,威胁总是要利用资产的弱点才可能造成危害。
脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业等人员。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。具体识别内容见表4。
可以根据对资产损害程度、技术实现的难易程度、弱点流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性由于很多弱点反映的是同一方面的问题,应综合考虑这些弱点,最终确定这一方面的脆弱性严重程度。对某个资产,其技术脆弱性的严重程度受到组织的管理脆弱性的影响。因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。见表5。
(四)风险分析
审计人员在完成了资产识别、威胁识别、脆弱性识别,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。风险计算以下面的范式形式化加以说明:
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性; Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。有以下三个关键计算环节。
1.计算安全事件发生的可能性
根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:
安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V )
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)以及资产吸引力等因素来判断安全事件发生的可能性。
2.计算安全事件发生后的损失
根据资产重要程度及脆弱性严重程度,计算安全事件一旦发生后的损失,即:
安全事件的影响=F(资产重要程度,脆弱性严重程度)=F(Ia,Va )
部分安全事件的发生造成的影响不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
3.计算风险值
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:
风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va ))
具体计算方法可以采用风险矩阵测量法。
这种方法的特点是根据以上过程事先估算的资产价值、威胁等级和脆弱性等级赋值建立一个对应矩阵,预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。资产风险判别矩阵如表6所示。
对于每一资产的风险,都将考虑资产价值、威胁等级和脆弱性等级。例如,如果资产值为3,威胁等级为“高”,脆弱性为“低”。查表可知风险值为5。如果资产值为2,威胁为“低”,脆弱性为“高”,则风险值为4。由上表可以推知,风险矩阵会随着资产值的增加、威胁等级的增加和脆弱性等级的增加而扩大。
当一个资产是由若干个子资产构成时,可以先分别计算子资产所面临的风险,然后计算总值。例如:系统S有三种资产A1,A2,A3。并存在两种威胁:T1,T2。设资产A1的值为3,A2的值为2,A3的值为4。如果对于A1和T1,威胁发生的可能性为“低”,脆弱性带来的损失是“中”,则频率值为1(见表1)。则A1的风险为4。同样,设A2的威胁可能性为“中”,脆弱性带来损失为“高”,得风险值为6。对每种资产和相应威胁计算其总资产风险值。总系统分数ST=A1T + A2T + A3T。这样可以比较不同系统来建立优先权,并在同一系统内区分各资产。
(五)风险结果判定
风险等级划分为五级,等级越高,风险越高。审计人员应根据所采用的风险计算方法为每个等级设定风险值范围,并对所有风险计算结果进行等级处理,最终给予审计对象一个审计结果。见表7。
人民银行应当综合考虑风险控制成本与风险造成的影响,提出一个可接受风险阈值。对某些风险,如果评估值小于或等于可接受风险阈值,是可接受风险,可保持已有的安全措施;如果评估值大于可接受风险阈值,是不可接受风险,则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面,可以参照信息安全的相关标准实施。
在对于不可接受风险选择适当的安全措施后,为确保安全措施的有效性,可进行再审计,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
三、人民银行信息技术审计中应注意的问题
在信息技术审计中如何坚持风险导向审计是一个不断摸索、不断总结提高的过程。笔者认为,只有不断积累风险数据信息,持之以恒的加强人才培养,新旧审计模式互为补充,才能更进一步发挥好内部审计职能。因此,应注意以下几点。
(一)建立动态的风险信息数据库,为运用现代风险导向审计模式提供信息基础
由于内部审计时间资源有限,不可能对所有的监督内容和所有的环节进行全面监督,比较科学的办法是建立一个完整的审计风险模型,对造成审计风险的多种因素进行全面分析和评估,发现被审计单位内部控制中的薄弱环节,确定审计的重点和范围,从而制定更具有针对性的审计策略。
(二)新型审计模式的运用并不意味着旧审计模式的消亡
风险导向审计是在传统审计模式基础上发展起来的新型审计模式,立足于对被审计对象整体风险管理进行系统审查、分析和评价,并以此确定审计策略及审计计划。因此,必须注重新旧审计模式的有机结合。将风险导向审计理念融入传统审计模式,可以使传统审计项目内容得以扩展,审计更加灵活,更好地坚持全面审计、突出重点的原则。
(三)重视信息技术审计人才的培养,为风险导向审计提供智力支持
人民银行运用风险导向审计方法,不仅要求内部审计人员熟练掌握有关规章制度,还要求审计人员利用审计职业独特的判断力,在实际运用中对审计风险点加以判断。因此,复合型人才培养与储备是运用风险导向审计方法必不可少的前提条件。要通过各类后续教育及培训,进一步更新内部审计人员业务知识,提升专业胜任能力,逐步建立起具有现代知识素养和职业水平的内部审计干部队伍。
信息资产的安全属性范文第3篇
参照信息安全风险评估规范等标准来说,信息设备信息安全风险包含三个要素,即脆弱性、威胁和资产,每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。具体风险分析原理图如图1所示。从图1中可以发现,信息设备所面临的信息安全风险并非某种单一来源的安全威胁,而是三种要素互相影响、互相关联的某种动态的平衡关系,而信息设备的风险管理本质上讲是对这三种要素造成的安全风险程度的可控管理。
2信息设备全生命周期风险管理
信息设备全生命周期风险管理包括信息设备规划设计阶段、部署阶段、测试阶段、运行阶段和废弃阶段,每个阶段的内容如图2所示。规划设计阶段应能够描述信息系统建成后对现有模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的目标。这个阶段,风险威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。部署阶段是根据规划设计阶段分析的威胁和制定的安全措施,在设备部署阶段应进行质量控制。测试阶段是对已经部署完成的信息设备结合前期规划设计方案的要求对采购来的信息设备进行全面的测试,包括基础测试、功能性测试及安全性测试等。运行阶段让信息设备稳定运行并起到其应有的功能。该阶段应做好设备监控、脆弱性发现、设备异常报警、信息设备日志搜集和分析等工作。废弃阶段存在的风险包括未对残留信息进行适当处理、未对系统组件进行合理的丢弃或更换或未关闭相关连接,对于变更的系统,还可能存在新的信息安全风险,因为其可能替换了新的系统组件等。
3信息设备风险管理体系
传统的信息安全管理体系主要依据ISO27001相关标准搭建,ISO27001标准采用基于风险评估的信息安全风险管理,具体采用了PDCA模型过程方法来全面、系统、持续的改进组织的信息安全管理。ISO27001采用的PDCA模型不仅适用于传统信息安全管理,同时也适用于信息设备的安全风险管理。
3.1总体思路
信息设备风险管理总体借鉴PDCA管理模型的相关理念,将信息安全设计方案制定、各阶段的信息安全风险管理实施、各阶段信息安全管理检查、信息安全管理改进,形成一套有效的安全风险管理防护方法,对信息设备进行不同时间阶段、不同维度、不同重点的管理,有效防范和控制信息安全风险,增强信息安全体系的检测能力、保护能力,为用户开展风险管理提供全方位的管理思路。
3.2风险管理模型
融合传统风险管理的PDCA模型,将传统风险管理中动态模型的思路加以延续,增强信息设备状态的动态特性,主要分为四部分:管理规划、管理实施、管理检查、管理改进。管理规划:决策层要明确政策、目标、策略、计划,形成具体的管理规划,明确组织风险管理的整体目标和方向,确定对信息设备进行风险管理所要达到的目的和状态,从而防止后续制定的风险管理规范和组织与已有的战略决策、制度、规范等相违背而导致不可执行的问题。管理实施:管理层在深入领会和遵照管理规划的指示后深入研究信息设备各阶段所面临的信息安全风险,对信息设备各环节制定详细的风险管理实施规范和标准,以便具体的业务部门、人员等能严格按照管理规划的计划和要求来实施风险管理规范。管理检查:管理检查作为监督信息风险管理实施效果的主要手段之一,需要确保管理检查手段的全面性、科学性、客观性,需要覆盖各个管理阶段,客观而高效的评价风险管理实施效果。管理改进:通过归纳总结前阶段管理检查的工作成果,结合信息设备各阶段在实施信息风险管理中碰到的各类问题,从管理规划、管理实施、管理检查等各阶段提出信息风险管理改进意见,从而持续的改进信息设备各阶段的安全风险管理体系。
3.3风险管理体系的构建
根据安全风险的特点、信息安全三个关键要素以及信息设备各阶段的特点,我们应明确安全风险的几个控制手段,然后有计划的加强整个信息设备安全风险管理体系的建设,才有可能最终有效控制信息安全设备风险。首先,根据企业所处的环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御各种威胁,最终主动降低安全风险。要实现对安全风险的管理和控制,需要实现完整的风险管理流程,具体为发现安全风险,即通过有效的手段确定安全风险的资产和区域、定位安全风险存在的区域、评估安全风险,准确高效的评估安全风险,了解安全风险的大小和实质、强制措施降低风险,通过管理或强制等安全手段,主动降低安全风险、安全防御通过各类系统、网络安全设备、防御各类安全威胁、安全问题修补,主动修补存在的各类安全漏洞,全面降低安全风险。以上是完整的信息设备安全风险管理流程,对整个信息设备安全风险的管理和控制,这些步骤缺一不可,同时,风险管理流程还应根据企业的具体情况,有不同的实现方式。其次,实现信息设备风险管理的详细步骤包括:确定信息安全标准和方针、统计信息设备资产,进行资产识别、检测信息设备资产存在的安全漏洞、了解潜在的威胁、分析存在的安全风险、通过各种手段如安全防护产品来降低已有的安全风险、对信息设备评估安全效果和影响、对已有信息设备安全策略进行对比及改进。最后,实现完善的信息设备安全风险管理,还需要有计划的完善自身的安全风险管理体系,制定相应的整体安全策略。建立全面的资产管理和风险管理体系,整合现有的安全设备和手段,形成信息设备成熟完备的动态安全风险管理体系。
4结束语
信息资产的安全属性范文第4篇
要:本文依据我国制定的信息安全风险评估标准和国际有关标准,研究和设计针对数字校园的信息安全风险评估流程和框架,并利用该流程针对实际的数字校园对象进行实例验证,风险评估结果验证了该流程的合理性和可行性。
关键词:数字校园;风险评估;信息安全
中图分类号:TP309 文献标志码:B 文章编号:1673-8454(2012)23-0030-04
一、引言
数字校园是以校园网为背景的集教学、管理和服务为一体的一种新型的数字化工作、学习和生活环境。一个典型的数字校园包括各种常用网络服务、共享数据库、身份认证平台、各种业务管理系统和信息门户网站等[1]。数字校园作为一个庞大复杂的信息系统,构建和维护一个良好的信息安全管理体系是一项非常重要的基础管理工作。
信息安全风险评估是构建和维护信息安全管理体系的基础和关键环节,它通过识别组织的重要信息资产、资产面临的威胁以及资产自身的脆弱性,评估外部威胁利用资产的脆弱性导致安全事件发生的可能性,判断安全事件发生后对组织造成的影响。对数字校园进行信息安全风险评估有助于及时发现和解决存在的信息安全问题,保证数字校园的业务连续性,并为构建一个良好的信息安全管理体系奠定坚实基础。
二、评估标准
由于信息安全风险评估的基础性作用,包括我国在内的信息化程度较高的国家以及相关国际组织都非常重视相关标准和方法的研究。目前比较成熟的标准和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理体系要求》(ISO/IEC27001:2005)、美国NIST制定的SP800系列标准、美国CMU软件工程研究所下属的CERT协调中心开发的OCTAVE2.0以及我国制定的《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)。
ISO/IEC27001系列标准于2005年10月15日正式,作为一种全球性的信息安全管理国际标准适用于任何组织的信息安全管理活动,同时也为评估组织的信息安全管理水平提供依据。但是ISO27001系列标准没有制定明确的信息安全风险评估流程,组织可以自行选择适合自身特点的信息安全风险评估方法,如OCTAVE2.0等[2][3]。
为了指导我国信息安全风险评估工作的开展,我国于2007年11月正式颁布了《信息安全技术——信息安全风险评估规范》(GB/T20984-2007),这是我国自主研究和制定的信息安全风险评估标准,该标准与ISO27001系列标准思想一致,但对信息安全风险评估过程进行了细化,使得更加适合我国企业或者组织的信息安全风险评估工作开展。
三、评估流程
《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)等标准为风险评估提供了方法论和流程,为风险评估各个阶段的工作制定了规范,但标准没有规定风险评估实施的具体模型和方法,由风险评估实施者根据业务特点和组织要求自行决定。本文根据数字校园的业务流程和所属资产的特点,参考模糊数学、OCTAVE的构建威胁场景理论和通用弱点评价体系(CVSS)等风险评估技术,提出了数字校园信息安全风险评估的具体流程和整体框架,如图1所示。
据图1可知,数字校园的信息安全风险评估首先在充分识别数字校园的信息资产、资产面临的威胁以及可被威胁利用的资产脆弱性的基础上,确定资产价值、威胁等级和脆弱性等级,然后根据风险矩阵计算得出信息资产的风险值分布表。数字校园信息安全风险评估的详细流程如下:
(1)资产识别:根据数字校园的业务流程,从硬件、软件、电子数据、纸质文档、人员和服务等方面对数字校园的信息资产进行识别,得到资产清单。资产的赋值要考虑资产本身的实际价格,更重要的是要考虑资产对组织的信息安全重要程度,即信息资产的机密性、完整性和可用性在受到损害后对组织造成的损害程度,预计损害程度越高则赋值越高。
在确定了资产的机密性、完整性和可用性的赋值等级后,需要经过综合评定得出资产等级。综合评定方法一般有两种:一种方法是选取资产机密性、完整性和可用性中最为重要的一个属性确定资产等级;还有一种方法是对资产机密性、完整性和可用性三个赋值进行加权计算,通常采用的加权计算公式有相加法和相乘法,由组织根据业务特点确定。
设资产的机密性赋值为,完整性赋值为,可用性赋值为,资产等级值为,则
相加法的计算公式为v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威胁识别:威胁分为实际威胁和潜在威胁,实际威胁识别需要通过访谈和专业检测工具,并通过分析入侵检测系统日志、服务器日志、防火墙日志等记录对实际发生的威胁进行识别和分类。潜在威胁识别需要查询资料分析当前信息安全总体的威胁分析和统计数据,并结合组织业务特点对潜在可能发生的威胁进行充分识别和分类。
(3)脆弱性识别:脆弱性是资产的固有属性,既有信息资产本身存在的漏洞也有因为不合理或未正确实施的管理制度造成的隐患。软件系统的漏洞可以通过专业的漏洞检测软件进行检测,然后通过安装补丁程序消除。而管理制度造成的隐患需要进行充分识别,包括对已有的控制措施的有效性也一并识别。
(4)威胁—脆弱性关联:为了避免单独对威胁和脆弱性进行赋值从而造成风险分析计算结果出现偏差,需要按照OCTAVE中的构建威胁场景方法将“资产-威胁-脆弱性-已有安全控制措施”进行关联。
(5)风险值计算:在资产、威胁、脆弱性赋值基础上,利用风险计算方法计算每个“资产-威胁-脆弱性”相关联的风险值,并最终得到整个数字校园的风险值分布表,并依据风险接受准则,确认可接受和不可接受的风险。
四、评估实例
本文以笔者所在高职院校的数字校园作为研究对象实例,利用前面所述的信息安全风险评估流程对该实例对象进行信息安全风险评估。
1.资产识别与评估
数字校园的资产识别与评估包括资产识别和资产价值计算。
(1)资产识别
信息安全风险评估专家、数字校园管理技术人员和数字校园使用部门代表共同组成数字校园信息资产识别小组,小组通过现场清查、问卷调查、查看记录和人员访谈等方式,按照数字校园各个业务系统的工作流程,详细地列出数字校园的信息资产清单。这些信息资产从类别上可以分为硬件(如服务器、存储设备、网络设备等)、软件(OA系统、邮件系统、网站等)、电子数据(各种数据库、各种电子文档等)、纸质文档(系统使用手册、工作日志等)、人员和服务等。为了对资产进行标准化管理,识别小组对各个资产进行了编码,便于标准化和精确化管理。
(2)资产价值计算
获得数字校园的信息资产详细列表后,资产识别小组召开座谈会确定每个信息资产的价值,即对资产的机密性、完整性、可用性进行赋值,三性的赋值为1~5的整数,1代表对组织造成的影响或损失最低,5代表对组织造成的影响或损失最高。确定资产的信息安全属性赋值后,结合该数字校园的特点,采用相加法确定资产的价值。该数字校园的软件类资产计算样例表如下表1所示。
由于资产价值的计算结果为1~5之间的实数,为了与资产的机密性、完整性、可用性赋值相对应,需要对资产价值的计算结果归整,归整后的数字校园软件类资产的资产等级结果如表1所示。
因为数字校园的所有信息资产总数庞大,其中有些很重要,有些不重要,重要的需要特别关注重点防范,不重要的可以不用考虑或者减少投入。在识别出所有资产后,还需要列出所有的关键信息资产,在以后的日常管理中重点关注。不同的组织对关键资产的判断标准不完全相同,本文将资产等级值在4以上(包括4)的资产列为关键信息资产,并在资产识别清单中予以注明,如表1所示。
2.威胁和脆弱性识别与评估
数字校园与其他计算机网络信息系统一样面临着各种各样的威胁,同时数字校园作为一种在校园内部运行的网络信息系统面临的威胁的种类和分布有其自身特点。任何威胁总是通过某种具体的途径或方式作用到特定的信息资产之上,通过破坏资产的一个或多个安全属性而产生信息安全风险,即任何威胁都是与资产相关联的,一项资产可能面临多个威胁,一个威胁可能作用于多项资产。威胁的识别方法是在资产识别阶段形成的资产清单基础上,以关键资产为重点,从系统威胁、自然威胁、环境威胁和人员威胁四个方面对资产面临的威胁进行识别。在分析数字校园实际发生的网络威胁时,需要检查入侵检测系统、服务器日志文件等记录的数据。
脆弱性是指资产中可能被威胁所利用的弱点。数字校园的脆弱性是数字校园在开发、部署、运维等过程中由于技术不成熟或管理不完善产生的一种缺陷。它如果被相关威胁利用就有可能对数字校园的资产造成损害,进而对数字校园造成损失。数字校园的脆弱性可以分为技术脆弱性和管理脆弱性两种。技术脆弱性主要包括操作系统漏洞、网络协议漏洞、应用系统漏洞、数据库漏洞、中间件漏洞以及网络中心机房物理环境设计缺陷等等。管理脆弱性主要由技术管理与组织管理措施不完善或执行不到位造成。
技术脆弱性的识别主要采用问卷调查、工具检测、人工检查、文档查阅、渗透性测试等方法。因为大部分技术脆弱性与软件漏洞有关,因此使用漏洞检测工具检测脆弱性,可以获得较高的检测效率。本文采用启明星辰公司研发的天镜脆弱性扫描与管理系统对数字校园进行技术脆弱性识别和评估。
管理脆弱性识别的主要内容就是对数字校园现有的安全控制措施进行识别与确认,有效的安全控制措施可以降低安全事件发生的可能性,无效的安全控制措施会提高安全事件发生的可能性。安全控制措施大致分为技术控制措施、管理和操作控制措施两大类。技术控制措施随着数字校园的建立、实施、运行和维护等过程同步建设与完善,具有较强的针对性,识别比较容易。管理和操作控制措施识别需要对照ISO27001标准的《信息安全实用规则指南》或NIST的《最佳安全实践相关手册》制订的表格进行,避免遗漏。
3.风险计算
完成数字校园的资产识别、威胁识别、脆弱性识别和已有控制措施识别任务后,进入风险计算阶段。
对于像数字校园这类复杂的网络信息系统,需要采用OCTAVE标准提供的“构建威胁场景”方法进行风险分析。“构建威胁场景”方法基于“具体问题、具体分析”的原则,理清“资产-威胁-脆弱性-已有控制措施”的内在联系,避免了孤立地评价威胁导致风险计算结果出现偏差的局面。表2反映了数字校园图书馆管理系统的资产、威胁、脆弱性、已有控制措施的映射示例。
将“资产—威胁—脆弱性—已有控制措施”进行映射后,就可以按照GB/T20984-2007《信息安全风险评估规范》要求进行风险计算。为了便于计算,需要将前面各个阶段获得资产、威胁、脆弱性赋值与表3所示的“资产—威胁—脆弱性—已有控制措施”映射表合并,因为在对脆弱性赋值的时候已经考虑了已有控制措施的有效性,因此可以将已有控制措施去掉。
本文采用的风险计算方法为《信息安全风险评估规范》中推荐的矩阵法,风险值计算公式为:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
风险计算的具体步骤是:
(a)根据威胁赋值和脆弱性赋值,查询《安全事件可能性矩阵》计算安全事件可能性值;
(b)对照《安全事件可能性等级划分矩阵》将安全事件可能性值转换为安全事件可能性等级值;
(c)根据资产赋值和脆弱性赋值,查询《安全事件损失矩阵》计算安全事件损失值;
(d)对照《安全事件损失等级划分矩阵》将安全事件损失值转换为安全事件损失等级值;
(e)根据安全事件可能性等级值和安全事件损失等级值,查询《风险矩阵》计算安全事件风险值;
(f)对照《风险等级划分矩阵》将安全事件风险值转换为安全事件风险等级值。
所有等级值均采用五级制,1级最低,5级最高。
五、结束语
数字校园是现代高校信息化的重要基础设施,数字校园的安全稳定直接关系到校园的安全稳定,而风险评估是保证数字校园安全稳定的一项基础性工作。本文的信息安全风险评估方法依据国家标准,采用定性和定量相结合的方式,保证了信息安全风险评估的有效性和科学性,使得风险评估结果能对后续建立数字校园的信息安全管理体系起到指导作用。
参考文献:
[1]宋玉贤.高职院校数字化校园建设的策略研究[J].中国教育信息化,2010(4).
信息资产的安全属性范文第5篇
关键词:数据质量; 数据资产; 数据质量监测;量化指标;数据安全
中图分类号:TP181 文献标识码:A 文章编号:1009-3044(2016)30-0241-02
1 概述
电力行业作为国家基础产业也紧跟时代步伐,国网大力推广智能电网等相关科技项目。智能电网利用电力系统辅助人工管理,就会产生海量数据。海量数据的管理一直都是困扰企业化运作的一个很大问题。从海量数据中提取有效信息,跟数据质量息息相关,数据质量状况很大程度上会影响到大数据分析的结果,可以使其产生偏离,误导企业决策。
目前,国内外虽然提出了数据资产的理念,但没有具体的数据资产管理体系,所以未在实际中应用。近年,国网企业间通力合作开展各种方式完善的数据资产管理体系为基础,实现集约、有序的数据共享,规范数据从产生到共享应用的各个环节,有效度量企业数据质量,为大数据在企业中的应用提供有力保障。
2 数据质量现状
国内数据质量管理研究大多才刚刚起步,大多数企业数据质量管理还停留在具体操作层面,尚未形成完备的体系,未形成可操作的质量标准。通过对电网企业数据质量相关问题进行研究,其数据质量具有以下几个特点:
1)数据质量对象可以用若干个质量特性进行描述。质量属性是数据属性的扩展,与数据属性不同的是,质量属性描述了对象在数据质量方面的约束。
2)数据质量的元素是相对稳定的。但许多系统,包括一些专业领域都在试图定义局部的数据质量元素规范,以形成对数据质量的定量或非定量的衡量标准。
3)数据质量指标计算是复杂的。简单的算法可以使一个约束表达式来描述,如关系数据库中的约束定义已经非常完善,但其他方面的算法则需要进行更深入的研究。
3 关键技术
基于数据资产的数据质量监测跟传统数据质量模型息息相关,数据管理体系的建立是一个不断推进的过程,需要进行大量的方法研究和实践工作。涉及以下几个方面的技术:
1)数据资产全景展示技术:全景视图是以企业数据标准为基础、以各应用系统数据为来源,依据企业业务规划,梳理产生的企业数据资源的管理、业务、技术属性信息,以及相应的信息化描述和展现。
2)数据溯源建模技术:利用IPO模型,对指标的形成过程进行逐步回溯,形成指标的全局视图,对每一个指标的产生进行溯源,掌握所有与之相关的最初始的人工输入数据和自动采集数据。
3)数据资产质量监测技术:利用业务监测、技术监测两周方式对数据资产溯源全过程节点进行及时性、完整性、准确性、实效性、一致性和关联核查内容等几个方面进行监测。
4 数据质量监测指标体系构建
4.1指标构建理论依据
从整体角度对企业数据资源进行的全方位、多层次、动静结合的描述,即构建全景视图,包括数据资源的产生、加工、流转与使用关系,其核心是存储数据属性(S)和处理节点(P)。以回溯为手段,形成树状的数据溯源视图,实现数据的形成过程可控。根据数据资产溯源图从数据资产产生、加工、应用全过程节点发现业务系统运维管理中的薄弱环节,推动业务系统运维管理水平的提升。
4.2数据质量分析量化指标
首先建立企业数据资产台帐,其中包含数据资产台帐登记管理、数据资产台帐变更管理和数据资产台帐停用管理。通过对数据资产完成率、数据资产价值、数据资产可信度等维度对数据质量评估方法进行分析,建立基于数据资产的数据质量评估模型。
4.2.1 数据资产化完成率评估
数据资产化完成率是用于衡量数据资产台账属性和溯源图的完备程度,通过数据资产台账属性和溯源节点的完成率加权综合计算获到。数据资产台账属性的完成率是对各属性通过分类、加权之后获得;溯源完成率的计算通过对输入节点、处理节点、传输节点和存储节点四类节点完成率经过节点完成率评估模型加权之后获得。以下是各项指标计算方式如表1。
4.2.2 确定应用评估系数
数据资产应用评估系数是采用AHP法构建应用指标评价体系。层次分析模型是把复杂的问题分成若干个组成因素,并按支配关系分组形成层次结构。分析各因素的关系,建立递阶层次结构。计算合成权重,即全局权重。根据对数据资产价值应用及评估因素的分析,采用AHP方法,得到如表2所示的指标体系。
计算出各项应用评估指标权重之后,可以确定应用评估系数的计算模型,如下:
应用评估系数=∑(每一个应用评估指标权重*该指标评估因素的评分值)
4.2.3 数据资产可信度评估
分析影响数据资产可信度的因素,通过数学模型确定各影响因素所占比重,再综合各因素评估所得定量数据,得到数据资产可信度的最终度量数据。
首先利用层次分析模型,可信度量化模型的重点是确定各层次、各影响要素在模型中所占的比重,可以通过层次分析法来完成。建立可信度量化模型,可信度量化以层次分析模型中确定的各评估项目所占比重以及各评估项目实际得分为基础,通过加权计算得到最终的可信度得分。
1)汇总对数据资产生可信度的所有初始数据录入/采集点,每一个输入点根据输入方式不同,归类到三个大类中。各输入点的来源可信度根据所属类别运用层次分析法得出。形成该数据资产的所有输入点的来源可信度计算得出的平均值,即为该数据资产的来源可信度。
2)数据资产质量受到技术、业务、管理三方面的影响,这三方面的影响因素全部纳入到评估项目中。假设影响数据资产质量的因素共有m条,评估项目以i(i=0…m)编号,各评估项目所得分为,通过层次分析模型得到的各评估项目应占比重为,则该数据资产在完成率部分的可信度得分为的总和。
5 研究成果
根据数据资产的数据质量监测研究,结合当前较流行的数据与信息质量管理理论,提出面向企业的数据质量评估模型。定义企业级数据质量溯源图,完成数据质量溯源节点的信息定义,基于公司信息系统数据质量现状,提出适用的企业级数据质量评估分析方法,包含定义遵从、完整、准确、有效、精度、无重复、冗余、可访问、及时、明确、可用、适用等多种尺度。
6 总结
基于数据资产的数据质量研究所形成基于数据资产的数据质量评估分析方法、基于数据资产的数据质量监测方法、基于数据资产的数据质量监测工具,实现集约、有序的数据共享,规范数据从产生到共享应用的各个环节,提升企业数据质量,保障数据安全,支未笫据应用建设。
参考文献:
[1]Pipino L,Lee Y,Wang R.Data quality assessment [J].Communications of the ACM,2002,45(4):211-2182.
[2]李谦,白晓明.供电企业数据资产管理与数据化运营[J].华东电力,2014(3):487-490.
[3]卢二坡,黄炳艺.基于稳健MM估计的统计数据质量评估方法[J].统计研究,2010,27(12):16-22.
[4]黄心宇.数据质量评价模型的建立与实现[J].商场现代化,2008(8):396-397.
[5]袁满,张雪.一中基于规则的数据质量评价模型[J].计算机技术与发展,2013,23(3):81-89.
[6]MCAFEE A,BRYNJOLFSSON E.Big data:the management revolution[J].Harvard Business Review,2012,90(10):60-68.
信息资产的安全属性范文第6篇
关键词 资产管理 物联网 全寿命周期
中图分类号:TM93 文献标识码:A
国家电网公司于2009 年首次公布“智能电网”计划,随后又提出以“感、传、知”为特征的“物联网”技术研究规划,以提高电网运行管理水平。随着电网的建设与发展,电网资产管理建设与生产脱节、管理手段较为落后等问题日益凸显,难以满足电网高效生产与管理的要求,需要在电网发展中更有效、更全面地管理设备资产,而实现电网资产全寿命周期管理是电网发展的重要战略之一。
一、资产全寿命周期管理理念
全寿命周期管理,是指在规划阶段从设备、系统或项目的长期经济效益出发,全面考虑设备、系统或项目的规划、新购、安装、运维、更新直至报废的全过程。全寿命周期管理有利于提升设备的健康水平,进而提升电力企业的运营质量、安全水平和经济效益,同时也节约生产成本。
全寿命周期这种资产管理方式是基于现代电力系统分析的,在我国大力推行智能电网的背景下,对现有全寿命周期管理模式进一步改进或者探索的全新管理模式,进而获得更优化的管理模式。
二、基于物联网的资产全寿命周期管理理念
所谓“物联网”,就是物物相连的互联网。这有两层意思:第一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信。
基于物联网的资产全寿命周期管理,简而言之,就是利用物联网技术实现资产全寿命实时追踪。通过将设备信息电子化,将孤立的数据综合统一到系统中,为电网资产日常的运行、维护与管理提供了高效便捷的信息化手段,方便实现电网资产的全寿命周期管理和科学、安全、高效的信息化管理。
三、基于物联网的资产全寿命周期管理措施
(一)从规划购置源头开始追踪。
设备资产全寿命周期管理包括从设备规划到设备报废处理等各个环节。要真正解决电网资产管理问题,实现完整全寿命周期管理,就是对资产从规划购置源头开始进行实时追踪管理,从业务源头开始即建立设备的各种属性,在设备采购订单申请时,依据生产单位的需求在订单中注明各明细设备的功能、位置等属性,保证资产信息从源头保持的一致性。在设备全寿命周期管理中引入物联网技术,在设备上粘贴RFID标签,利用无线射频技术和传感网络自动统计和更新设备的相关信息,从设备新购、设备调拨、设备运维、设备报废及设备盘点等多个环节入手,根据自身发展情况,调整和定制符合电网资产管理特点的流程,实现设备的动态管理。
(二)可移动设备跟踪。
在移动设备(如汽车、大型机械等)上安装GPS全球定位系统,当有需要设备移出变电站时,先通过申请人申请,录入申请人信息、设备名称、编号、移出原因、移出时间及移出目的地点等信息并保存;设备通过变电站门禁时,首先由门禁系统对其RFID标签进行扫描,设备移出申请通过才有授权通过门禁,并更改设备信息,激活设备上的GPS定位系统,这样无论设备移动到何处都能通过定位系统确定其精确位置;设备返回时,扫描设备标签,确认设备正确,并更新设备信息。
(三)建立标准化缺陷库。
通过制订相关规约及操作规范,严格规范信息运维制度,遵守保障电业工作人员工作中安全的组织措施,改善设备的运维质量,确保设备安全可靠运行。同时,为实现对设备运行状态进行动态评估,对设备每次运维纪录进行分类归档,建立设备标准化缺陷库。每次对设备进行维护时,通过扫描设备RFID标签信息可以方便地查询到此设备的运维记录、配件更换信息、维护人以及设备运行状态,以达到缩短设备平均运维时间和提高设备可用率的效果。
(四)设备资产信息记录立体化和多样化。
目前,电网资产管理系统一般以表格或二维图形展示设备相关信息,工作人员无法直观地监控和管理变电站设备。基于物联网技术的设备管理系统以三维立体方式展示电力设备的各种信息,包含位置、参数和运行状态等,工作人员可以通过可视化界面,直观地了解设备信息并对设备进行远程操控,使设备管理工作简单、高效。
信息资产的安全属性范文第7篇
关键词:会计准则;历史成本;公允价值
中图分类号:F230 文献标识码:A 文章编号:1006-4117(2012)02-0125-02
国际会计准则委员会(IASC)认为,公允价值是指在公平交易中,熟悉情况的当事人自愿进行资产交换或债务清偿的金额。2008年以来,发端于美国的金融风暴席卷全球。不少著名金融机构破产倒闭,大量房产的公允价值严重偏离实际成本。于是,有人认为公允价值是导致金融危机的重要原因,在这一新形势下,有必要对会计计量属性问题进行认真探讨。
一、公允价值的发展与变迁
(一)1920年以前,历史成本占绝对统治地位
当时东西方一致奉行稳健原则,会计实务在稳健性原则的影响下只接受历史成本计量,人们认为会计的责任是真实地报告和反映企业的交易和事项,要求会计不偏不倚对信息作如实还原。
(二)20世纪70年代-90年代,多重计量属性确立的时期
20世纪70年代以后,企业规模扩大,资本集中趋势加强,全球化,通货膨胀,经济衰退等一大堆问题不断涌现。此外,传统会计偏重描述性,框架不健全,使得会计实务混乱,迫切需要建立新的理论框架。上世纪八十年代美国2000多家金融机构使用历史成本计量显示业绩良好,但在现实金融工具交易中濒临破产,表明历史成本计量属性运用确实存在问题。公允价值的出现恰恰将这些问题迎刃而解。人们开始探索一条混合计量的道路,从而确立以历史成本计量为主多重计量属性并存的局面。
(三)20世纪90年代后公允价值计量的发展时期
1990年9月,美国证券交易管理委员会主席理查德.C.布雷登首次提出应以公允价值作为金融工具的计量属性,公允价值会计由此产生。此后,美国、澳大利亚、英国等西方国家和国际组织致力于研究推广并运用公允价值计量属性和现值技术。
二、公允价值与历史成本比较分析
公允价值是一种全新的复合型会计计量属性,它并不是特指某一种计量属性,它可以表现为多种形式。公允价值由入帐价值、脱手价值(机会成本)、在用价值三部分组成。在活跃公开的市场中现行成本或历史成本可以作为入帐价值的基础,即历史成本是过去的公允价值,我们取得资产时历史成本是公允价值,随着时间流逝历史成本就不公允了,相对于公允价值,历史成本的具有以下特点:
(一)历史成本形成了相对完善的理论体系,历史成本是机器工业的产物,由于历史成本产生的时间较长,相比公允价值,业已形成相对完善的理论体系。
(二)历史成本具有客观性、确定性、可验证性、可操作性,历史成本不容易受个别企业恶意操纵,舞弊风险小具有客观性和确定性。只有历史成本能满足可验证性要求,因为它是实际交易价格,往往有原始凭证作为证明。另外,历史成本的数据现成取得方便,其运行成本最低,可操作性强。
(三)历史成本计量下信息质量可靠,历史成本所取得的数据具有唯一性,不存在其他可以替代的数据资料,根据这种具有唯一性的数据资料,会计计量的过程可重复执行,并能提供相同或相似的数据结果。只有历史成本计量基础所形成的信息才是最真实,而且是可以稽核的。[1]
公允价值是随着社会发展而产生的,相对于历史成本,公允价值的优点有:
1、收入与成本具有可比性,公允价值以现时或未来现金流入为基础计量,反映的是企业当前或今后一段时期的成本状况,而在确认计量收入时亦以现在或今后一段时期为考虑,故而实现了收入与成本在时间上较好的契合。
2、有利于科学决策,公允价值以现时或未来数据为依据,公司的股东往往关注的是企业未来的发展潜力和投资空间;此外,在币值变动时以公允价值为依据编制的财务报表提供的信息更相关可靠,更能反映企业真实的财务状况和经营成果,使报表使用者得出正确决策。
3、可以满足新兴资产负债的计量要求,在对一些特殊的资产或负债的计量上,按历史成本是无法进行的,而采用公允价值计量可以更好解决这个问题,例如对无形资产、金融衍生工具的计量等。
三、如何完善公允价值计量模式
我国对会计信息的质量要求更侧重于可靠性,强调稳健安全,一直规定以历史成本计量为主。财政部经过1998年、2001年和2006年的反复,适当引入了公允价值计量属性,但在适用仍旧要针对一些可控因素采取积极的对策,才能降低其带来的经济波动风险。
(一)规范评估措施
“世界上没有卖不出去的东西,只有定价不对的东西”。[2]定价需要综合个方面信息,运用科学的测算方法。无论是历史成本、公允价值还是其他的计量属性,都建立在估价准确的基础上。
1、制定规范的评估标准。财政部可以采集各国当前使用的评估标准,结合我国资产市场的特点,制定一套评估标准;评估机构可在遵循财政规范标准的前提下制定行业内评估的具体标准,同时反馈规范标准的执行效果,使其日臻完善;企业在对资产负债的估值过程中所运用的规范标准也可以提出建议。
2、设计严密的评估程序。此举能够降低评估过程中评估方与委托方串通的机会,减少差错,降低差错率,使评估公允可行。
3、探索科学的计算方法。通常情况下,资产的公允价值都以现值为基础,面向未来考虑折现率、各期现金流量和期间;历史成本以过去的支付为基础,基于过去,简单算数求和即可。但我认为,二者具有转换的可能性。根据行业性质的不同、资产性质不同,可以运用模型求出不同行业不同资产历史成本与公允价值转换的系数,以便于使用。
4、发展独立的评估中介机构。但是应该制定严格的执行标准,规范评估行为,防止由于估计失真提供虚假价格信息。同时注意提高评估机构的职业水准、独立性以及公信力。
(二)及时获取信息
定价要综合考虑个方面的信息,获取及时有效的信息是企业确定资产(或负债)交换(或清偿)价值的前提,必须投入大量成本,建立信息传递渠道的企业才能沙里淘金,找到第一手资料。
1、提供价格信息服务平台。政府部门应该勇于承担建立价格信息平台的责任,调动一切资源建立和完善信息服务平台;鼓励个人、企业创建公共信息服务网络资源;提倡企业借鉴官方信息,从而利用这些网络资源找到合理定价或近似定价。但其取决于信息技术的发展程度,网络覆盖率和信息共享程度。
2、建立企业内部信息联动机制。首先,企业要高度重视价格信息的搜集,专设情报搜集部门,且指定专人负责,对外部信息进行采集筛选。其次,健全企业内部成本管理,形成一个合理真实的成本记录以确定资产(或负债)交换(或清偿)时的价格。任何企业都不可能做赔本的买卖,一般情况下,这一价格是一个交易底线。再次,企业对采集筛选的信息实现内部共享,采用财务软件,疏通信息传递渠道。
(三)严格监管措施
1、强调企业会计行为的合法性,严格依照会计法律法规操作,尤其要规范关联方交易建立关联方交易档案,跟踪交易全过程,尤其关注交易双方的价格。定价的依据是重点监管内容。
2、营造会计信息诚信的社会环境,建立完善的企业及个人信用体系,健全各项会计法律制度,加强财务人员的相关培训,加大对违法违规人员和单位的惩处力度。
3、完善相关理论体系和细化具体应用指南。只有计量属性、产权理论、公司治理等一系列相关理论不断完善,不断细化具体应用指南以加强准则的操作性,才能完善价格形成机制,混合计量属性才能扬长避短发挥功效。
(四)发挥市场作用
1、拓展公开市场容量。目前在我国资产交易的二级市场上,交易的品种、容量有限,有很多资产找不到参考价格,也找不到类似资产或类似资产的参考价格。因此,应建立公开的交易市场并吸收众多交易品种,尤其要注重衍生金融工具的交易市场开发维护。
2、避免行政干预定价。在当前危机形势下,适当的行政干预有利于稳定市场,避免大起大落,避免引发恐慌带来连锁的危机反应。但是,既然价格是基于交易双方自愿、公平,博弈形成的,政府就没有理由把价格定死。
作者单位:湖南省女子监狱
作者简介:吴海燕,女,(1977-),湖南浏阳人,会计师,湖南服装厂会计负责人。
参考文献:
[1]陈国辉.会计理论研究[M].大连:东北财经大学出版社,2007.
[2]周家亮.浅谈公允价值运用[J].天津市财贸管理干部学院学报,2007,3:13-14.
[3]李一平.从不确定性看看会计计量属性的变迁[J].辽宁经济,2004,1:88-89.
[4]张春国.公允价值计量属性的几点思考[J].会计之友,2007,33:69-70.
信息资产的安全属性范文第8篇
关键词:轨道交通不动产;数据库
中图分类号:P208 文献标识码:A 文章编号:1001-828X(2014)010-000-01
一、数据库的功能
轨道交通不动产产权产籍数据库实现了对城市轨道交通不动产产籍资料的门类的全面梳理,将资料划分出14个大类共80多个小类;系统包含了查询、测量、管理、统计、分析、地图标注、二三维实体创建、通视分析等多功能的产权产籍管理平台。系统可以实现对海量、大范围连续空间数据进行高效存储和管理,数据库将海量分幅数据组织成逻辑上无缝的空间数据库,并保证在整个空间数据库范围内能进行快速的浏览及查询,实现了城市轨道交通不动产产籍管理的网络化、系统化与可视化。
二、数据库的构成
轨道交通不动产产权产籍数据库由档案管理子系统、二维地理信息子系统和三维地理信息系统三大部分构成。
1.档案管理子系统
档案管理子系统负责档案录入、档案入库审核、档案快速查询、档案高级查询、档案借阅及拷贝、档案空间定位、档案版本管理和维护管理。其中,档案录入包括数字档案上传、纸质档案物力存放位置登记、档案属性录入等,具备空间地理属性的档案,在录入时调用或集成二三维地理信息相关接口,录入其空间定位属性,使档案与其相应的空间位置或物体关联;档案入库审核旨在保证审核录入的档案的完整性和正确性等方面,合格后方可入库,否则重新上传;档案快速查询是指按照“线路”、“区域”、“区间”、“车站”、“类型”等快速查询相关资料的功能;档案高级查询是指按照不同字段组合的方式提供高级定制查询;档案借阅及拷贝是指具备相应权限的用户对查询结果在线查看、下载;档案空间定位是指快速定位到相应的二维或三维地图空间。
2.二维地理信息子系统
二维地理信息子系统负责实现地图显示、量算功能、高级(基本)空间查询、地图定位和输出、C/S数据管理编辑功能。其中,地图显示支持影像图和矢量图叠加显示;量算功能包括距离量算、面积量算;高级(基本)空间查询是指点、框、多边形、圆方式的选取查询,范围内的所有资产要素自动关联其他档案资料;地图定位和输出是根据空间查询到的空间要素的属性数据和关联的档案资料快速定位到图上相应的要素,高亮显示;C/S数据管理编辑功能是指地图要素编辑、图层数据批量处理、坐标系统转换。
3.三维地理信息系统
三维地理信息系统用于进行B/S应用和C/S应用。其中,B/S应用可以实现空间三维测量、信息查询、房屋资产管理、叠加二维地图、三维标注及其他三维拓展功能;C/S应用可以用于三维实体创建、通视分析。
三、数据库的优势
不动产产权产籍数据库应用于轨道交通不动产管理中,具有使用方便、安全性高、界面简洁、功能强大、扩展性强等优势。
1.使用方便
数据库已经基本具有信息查找图形化、不动产管理动态化的特点,并且易于掌握,一般工作人员经过短期培训过后便能轻松使用。基于Angeo二三维地理信息系统的构建使得在日常使用过程中可靠性与可操作性得到了保障,为轨道交通不动产管理工作提供了很大便利。
2.安全性高
数据库在设计中充分考虑到了不动产信息资料的安全性,比如设置了多种账户的管理或使用权限,分别对应系统日常管理与维护、电子信息整体管理、上传权限、下载权限、只读权限等,切实具备了不动产电子信息资料专人专管、指定客户群浏览等功能,同时对于储存与服务器中的文件进行加密,保护了服务器中存储的原始资料。
3.界面简洁
数据库系统的操作界面简便易用,以二维和三维地理信息图层为主,能实现随图查阅和管理相关信息。同时具备图层编辑功能,可以根据实际情况及时更新土地使用情况等。除此之外,测量长度(二维)、面积(二维)、高度(三维)、体积(三维)的功能控件也可以随时激活并使用。
4.功能强大
数据库系统除了具备以上所述各项功能之外,档案管理也是该系统的主要功能之一。将文件分成三类目录,便于日常查阅和管理。同时可以实现文档同地理图层的结合,能够通过单选、圈选等方式迅速查阅对应地块或地区的全部相关资料,解决了资料数目庞大、人工查询速度慢的问题,为轨道交通不动产日产管理提供了极大的帮助。
5.扩展性强
数据库系统是开放性的三维信息系统,不但能满足土地的管理,对轨道交通的房产、地下空间、桥下空间、资产等的位置、高度、深度、体积等都可直观地反应出来。
四、经济和社会效益
轨道交通不动产产权产籍数据库的开发及应用,是实现轨道交通不动产信息化管理的基础保障,能够带来较高的经济效益和社会效益。
1.实现资料存储的信息化和系统化
区别于传统的纸质档案的保存,数据库作为大型产权产籍资料储备系统,将大量轨道交通不动产涉及的政府文件、各条线路不动产所在区域、涉及区间、宗地情况、土地办理手续资料分类储存。
2.快速形成批量的数据分析表
轨道交通不动产涉及数据数量庞杂,利用产权产籍数据库,能够批量处理相关文件资料,为利用土地提供强有力的数据资料支撑。
3.提高可利用土地的经济效益
随着轨道交通的迅猛发展,涉及土地管理利用的情况会愈来愈多。数据库将为土地后期利用提供数据及相关资料,为土地一、二级开发打下良好的基础。
4.提高资产管理效率
利用数据库能够快速便捷的查询轨道交通不动产的数据资料,提高查询速度与管理效率。