国内信息安全事件精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的国内信息安全事件主题范文，仅供参考，欢迎阅读并收藏。

第1篇：国内信息安全事件范文

关键词 信息安全 保密管理 产业发展 价值 管理对策

一、我国信息通信安全产业的快速发展

2010年全球信息安全市场规模达257亿美元，增长17%，并预估2017年可达到407亿美元。根据2014年信息服务产业年鉴，2014年我国整体信息安全市场规模达106亿元，较2013年增长13.24%，而2013年较2012年增长8.6%，世界规模为15.6%。我国在这一方面仍有增长空间，从信息安全服务及产品的增长速度来看，信息安全产品在2010年后，每年维持17%以上的稳定增长，内容安全及顾问服务于2014年增长率分别为14.86%及20.67%，仍维持高增长。增长的主要原因包括企业政策规范、企业缺乏信息安全人员与专业知识等带动顾问服务需求增长，又由于我国中小企业众多，中小企业资金、人才较为不足，在黑客行为多元以及混合式攻击手法层出不穷等，再加上零时差攻击时有出现以及对应产品多元化发展的趋势下，要达到快速又有效的信息安全防护，凭借单一企业的产品及信息人员往往有一定的困难，信息安全工作委外顾问服务能够比企业自行管理更能兼顾企业成本及安全，因而来自于顾问服务、委托服务等的增长力道将持续维持。

在外销方面，2014年信息服务年鉴可知，2014年外销规模约为250亿元，增长率为20.16%，较2013年大幅增长。这种增长的主要原因是我国内容安全相关信息安全产品市占率逐渐提升，且整合式威胁管理设备（UTM）逐获重视的缘故。相较世界对于信息安全需求的旺盛力量，我国目前外销增长高于世界平均，若能将该外销动能持续开发，不仅能提升我国信息安全整体防护能力，未来也将成为我国信息服务业中的明星产业。

二、维护信息通信安全的重要意义

在全球化信息社会中，信息科技与网络提供便利的现代生活，也急剧地取代人工操作成为企业经营与政府机关行政服务的工具，也是现代化国家与社会运作不可或缺的一环。有鉴于此，各国政府也将信息通信基础建设列为国家建设的根本，以及增进民生发展的基础。从国家层面来看，如果信息通信网络系统有所损害，轻者会导致个人生活食衣住行造成不便，重者则会使整个国家安全、政府运作、产业发展、国力强弱和民生发展等都会有重大影响。因此，信息通信安全重要性，已达到不容轻忽的地步。如何维护信息通信系统与网络传输过程的安全，都是企业及政府当前运营的重要课题之一。

为能提供安全及信赖的电子化组织运营服务，组织信息通信安全工作必须以全方位观念进行可持续推动，一般性的信息通信安全3E策略如下： 1）技术工程：利用防火墙系统、数字签章、加密技术等建构第一道防线。2）执行管理：落实信息安全管理政策、信息安全事件紧急处理机制、内外部计算机稽核制度、信息安全标准及规范、产品及系统质量检验机制等。3）教育倡导：强化安全警觉训练、信息安全倡导、人才培训、网络使用伦理等。

尽管当前多数组织的信息安全防护策略及应变机制已逐步建立，但是随着信息科技的普及应用，以及电子化组织与电子商务的使用日益深化，面对网络安全的威胁与风险，仍有必要对目前信息通信安全相关工作进行检讨评估，以强化企业或政府信息通信安全整体防护策略，而最为重要的就是保密管理措施的进一步创新。

三、强化信息安全层面保密管理的措施

（一）事前安全防护

（1）信息安全监控与防护。1）建立多重防护纵深的信息安全监控机制，构建信息通信安全防护管理平台，提供组织网络监控服务，以即早发现信息安全事件，降低信息安全风险。2）规划组织整体信息安全防护架构，构建组织信息安全防护措施。

（2）信息安全情搜与分析。1）搜集来自组织服务网、学术网络及因特网服务业者等网络攻击信息，分析新型黑客攻击手法与工具，掌握我国信息安全威胁趋势。2）研究尸网络议题，提升Botnet侦测分析能力：教育倡导具体策略化方式追踪大量Botnet资讯，掌握我国Botnet散布情况，降低我国Botnet数量。

（3）信息安全侦测及渗透测试。1）建立组织信息安全侦测及扫描能力，并进行内部侦测扫描，完成已知弱点的修复。2）对组织重要信息系统提供网站渗透测试服务及修补建议。

（4）信息安全认知与质量提升。1）建立组织信息安全检测与评鉴机制。参考国际信息通信安全相关标准，制定组织信息安全规范整体发展蓝图架构，发展组织信息安全相关规范及参考指引，并建立组织信息安全检测与评鉴机制。2）推动重点部门通过信息安全管理系统验证。为强化组织信息安全防护能力，提供安全及便捷的网络服务，强化内外部人员使用组织网络服务的信心，保护使用者隐私权益，推动信息安全等级A级与B级机关通过信息安全管理系统（ISMS）验证。3）提升员工信息安全知识与能力。为提升员工信息安全知识与能力，应办理信息安全技术讲习、信息安全资格培训、信息通信安全防护巡回研讨会等培训课程，并发展信息安全数字学习课程。为发掘校园优秀人才，办理“信息安全技能金盾奖”、“信息安全动画金像奖”等竞赛活动，并办理信息安全周系列活动，以提升全体员工信息安全认知。同时进行员工信息安全职能规划，依据其职务与角色，规划执行业务应具备的信息安全知识与技能，并建立员工信息安全能力评量制度。

（二）事中预警应变

（1）信息安全事件实时发现。通过信息通信安全监控平台进行信息安全事件监控作业，包括信息安全事件管理系统、整合性恶意程序监看、使用者端警示系统、蜜网与内部网络警示系统等。

（2）信息安全通报与应变。1）建立信息通信安全通报应变作业程序，协助组织处理及应变信息安全事件。2）构建信息安全信息分享与分析中心。整合信息安全相关情资，进行信息安全信息分享。

三是信息安全健诊服务。推动信息安全健诊评量架构与追踪管理机制，提供组织信息安全健诊服务，强化组织信息安全防护能量，掌握信息安全防护情形。

（三）事后复原鉴识

（1）事后系统回复。1）结合产学研资源与技术能力，建立组织信息通信安全区域联防运作机制，提供不同部门信息安全事件处理与咨询服务，并提升其信息通信安全防护能力。2）规划组织重要信息系统异地备援机制，以提升信息安全事件“事后”存活能力。

（2）信息安全事件鉴识。1）研究信息通信安全鉴识相关技术。2）协助并培训组织保密管理相关人员执行信息安全事件鉴识作业。

四、结语

信息通信安全工作是个长期的、无止境的攻防与挑战，然而信息通信安全工作范围广泛又专业，有待推动地方仍多，组织应持续强化信息通信安全防护工作，加强与产学研各界合作与交流，建立安全及可信赖的网络环境，促进信息科技的普及应用，提供内外部利益相关者安全及便捷的服务。

（作者单位为西安飞豹空港设备有限责任公司）

参考文献

第2篇：国内信息安全事件范文

为了确保奥运期间网络系统安全稳定的运行，必须保证国内外参与2008奥运盛事的广大用户安全畅通的移动信息服务，所以移动运营商需要在已有安全体系的基础上引入专业的安全服务，来增强有关网络承载平台、数据业务系统、业务支撑系统等方面的安全风险控制能力，以保证能够持续不断地发现系统安全风险，选择适当控制措施及时进行纠正。

日常安全服务

日常安全服务主要在非奥运赛时进行，服务的内容主要包括安全预警服务、安全系统评估/抽查、安全加固、安全巡检等服务。重点关注是在检查奥运有关系统的安全性，修补信息安全的短板，降低出现安全问题的可能性，并对可预见的安全问题进行适当的演练。具体步骤如下：

首先要通过从专业安全服务组织获取安全预警信息，为奥运有关系统的运维人员提供最新的安全动态、技术和定制的安全信息。具体包括实时安全漏洞通知、定期安全通告汇总、临时安全解决方案等。同时将这些信息与建设的网络安全预警系统进行结合，实时反映网络运行的安全状况，分析监控过程中不正常的网络参数或者业务流量，并进行同步响应。

其次要通过对奥运有关系统进行安全风险评估，以准确掌握各个系统的安全风险状况，为安全防护体系的建设提供客观依据。为了降低安全评估可能给有关系统带来的影响，建议对涉及的主机系统、网络设备、安全设备采用安全专家手工检查的方式进行，而终端设备的数量众多，重要性相对较低，可采用工具自动扫描的方式进行安全检查。同时，可以考虑对奥运直接提供服务的奥运产品系统进行全面的评估，对奥运有关系统的承载和运行支撑平台进行抽查。

再次，在安全评估/抽查以后可以采用修改安全配置、添加安全策略、更新系统补丁、建立安全防护措施等方式，进行安全风险点的修补和加固，以促使奥运相关系统的安全风险级别降低到安全水平。

由专业安全服务组织协助进行安全巡检工作，一方面对网络中的主机系统、业务系统、数据库系统进行基本的安全检查，发现是否有启动异常服务、非法访问等情况存在；另一方面对安全设备如防火墙、入侵检测、防病毒、动态口令认证等安全系统进行定期安全检查，核查安全策略，以起到防微杜渐的作用。

奥运会期间安全驻点服务

经过在奥运开赛之前的充分准备，奥运有关网络系统的安全建设业已完成，已经形成了较为完善的安全管控体系。在奥运会期间最重要的就是依据既定的策略使业务系统安全、稳定地运行，而不适合再进行安全建设的施工操作，需要尽可能少的进行网络架构、主机系统、安全控制措施等方面的调整。

针对这个阶段的安全防护特点，适合引入专业的安全驻点服务。安全驻点服务在现场提供奥运会期间全网系统的安全职守，主要内容包括：奥运相关系统运行状态安全检查、第三方维护人员安全指导、安全检测系统日志分析(比如入侵检测系统)、安全优化需求分析和方案提供、安全事件处理等，同时协助处理日常安全工作，加快响应时间，保证业务质量。

在安全驻点服务中的重要工作还包括对紧急安全事件的响应，这方面在下面进行介绍。

应急响应服务

应急响应服务是在奥运有关网络出现紧急安全问题的时候，由专业安全服务组织提供有效的预案流程、技术手段等综合措施，对已发生或可能发生的有重大危害的网络与信息安全事件进行响应，以尽量降低可能造成的损失，并使业务尽快恢复正常运转。

经过对奥运有关网络系统分析，可能会出现的安全事件主要有：网络速度缓慢、堵塞，重要业务系统出现资源占用异常升高，业务应用系统出现异常，重要业务系统出现异常进程、非法访问、爆发病毒等，重要系统出现启动或关机异常、系统崩溃，重要业务系统数据被篡改等。

在出现上述安全事件的时候，可以通过应急响应服务对疑似安全事件进行准确判定，对确认的安全事件进行处理和清除，以尽快恢复业务系统的运行，分析和追踪攻击源。

第3篇：国内信息安全事件范文

随着移动智能终端产品的普及，2016年将是移动互联网媒体快速发展的一年，国内门户网站也纷纷布局移动互联网业务，其中搜狐、网易、腾讯三家新闻客户端先后宣布用户数破亿。随着4G时代的到来，随着越来越多人加入App生活，2016年，中国智能手机用户必将翻倍增长，各App应用软件等将是社会公众的主要社交应用工具，而PC端相比将发展缓慢。据了解，大多数智能手机用户每天查看手机150次，约有40%的上网时间花在手机上，用户每天花在移动App上的时间约为127分钟，越来越多的人生活、工作开始和App息息相关。

在此形势下，浙江乾冠信息安全研究院（以下简称乾冠）依赖其核心产品睿眼外网安全监测预警平台展开需求调研和设计工作，自主研发出了“睿眼通”网络安全监测预警App系统软件。“睿眼通”给网站运维和管理人员带来了便利，他们只要动一动手指就能轻松了解整个网站的安全、性能、可用性等各项指数。针对突发的各类网站安全事件，用户可以及时处理并且得到及时的处理反馈。

虽然网络与信息安全的从业者越来越多，线上、线下的活动也越来越多，但真正面向信息安全从业人员的手机App信息安全软件还是很少。而“睿眼通”，是一款提供信息安全预警分析服务管理软件，让用户轻松“掌握”信息安全。简洁的界面、严谨的设计、直观的展示、人性化的操作，让信息安全离你只有一指的距离。

睿眼通App以信息安全行业实际需求为中心，纳入移动互联网的鲜活基因，给予信息安全从业人员最实用、最便捷，最贴心的使用体验，是睿眼通App的终极追求。

目前已开发出Android、iOS、Windows Phone版本。该App采用扁平模式设计，目前应用定位于内容浏览应用，为网站相关人员即时了解网站安全现状提供帮助，让用户能够随时随地接收到本网站的告警信息，网站的安全状况，以及发生网站安全事件的时候能够及时的处理。目前睿眼通主要包括告警管理、网站状态、运维管理、安全态势分析、安全决策管理、资讯、通讯录、安全管理、消息推送、设置，以及智能设置等功能。

同时，睿眼通App正着手于结合乾冠睿眼内网安全监测预警平台，为客户实现囊括内外网监测的信息安全App预警分析管理服务。

第4篇：国内信息安全事件范文

关键词：信息安全；计算机；安全

我国信息安全发展的大环境目前已日臻完善，成立了全国信息技术标准化技术委员会、国家计算机病毒应急处理协调中心等机构。另外，我国信息安全政策法规、标准制定也已经走入规范化进程。但信息安全是一个征途而不是一个目的地。新的技术，新的业务需求和新的安全威胁不断地改变环境。

由于计算机和国际互联网的飞速普及，中国目前已经成为炙手可热的黑客攻击目标。全球每天约有200万台PC机处于随时可能被攻击的失控状态，而其中有20%的PC机来自中国。据公安部对全国信息网络安全状况和计算机病毒疫情调查显示，我国信息网络安全事件发生比例为62.7%，计算机病毒感染率为85.5％，多次发生网络安全事件的比例为50％，多次感染病毒的比例为66.8％，可见，我国信息安全体系安全性何等脆弱。笔者通过对目前信息安全体系安全现状进行分析并初探解决对策，希望能对信息安全体系的发展有所作用。

一、信息安全存在的几大安全现状和威胁

第一，前期，微软对中国Winxp、office用户反盗版黑屏事件已炒得沸沸扬扬，但反思后可得知：计算机网络系统使用的软、硬件很大一部分是国外产品，我国电脑制造业对许多硬件核心部件的研发、生产能力很弱，关键部件完全处于受制于人的地位。并且对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。一旦发生重大情况，那些隐藏在电脑芯片和操作软件中的后门就有可能在某种秘密指令下激活，造成国内电脑网络、电信系统瘫痪。

第二，全社会的信息安全意识虽然有所提高，但将其提到实际日程中来的依然很少。国家计算机病毒应急处理协调中心进行的多次安全普查和评估中发现许多公司和企业，甚至敏感单位的计算机网络系统基本处于不设防状态。有的即使其网络系统已由专业的安全服务商为其制定了安全策略，但在一定时间后，由于在网络的使用中发现没有以前的方便，便私自更改安全策略，等一旦遭到攻击已是悔之晚矣。

第三，目前关于网络犯罪的法律还不健全。比如盗窃、删改他人系统信息属于犯罪行为，但仅仅是观看，既不进行破坏，也不谋取私利算不算犯罪？还比如网上有很多BBS，黑客在上边讨论软件漏洞、攻击手段等，这既可以说是技术研究，也可以说是提供攻击工具，这又算不算犯罪呢？国内很多网站在遭到攻击后损失惨重，为保证客户对其的信任，为名誉起见往往并不积极追究黑客的法律责任，这种“姑息养奸”的做法就进一步助长了黑客的嚣张气焰。

第四，信息安全人才培养体系虽已初步形成，但随着信息化进程加快和计算机的广泛应用，电子商务、电子政务和电子金融的发展，对信息安全专门人才的培养提出了更高要求，目前我国信息安全人才培养还远远不能满足需要。

第五，我国信息安全产业水平有待提高。一是安全应用需求不明，产业技术推动性、应用针对性不够，国内安全需求得不到很好满足；二是产品过度集中，低水平重复严重。三是核心技术仍然受到制约，产业化水平较低，产品安全质量令人担忧。

二、解决方案初探：

象火灾防范工作的防消结合一样，合理的信息安全系统需要满足两方面的要求，首先是要把计算机网络安全事件的发生率和损失可能性控制在可以接受的较低范围内，其次是要使信息安全事故可以得到及时处理。

1、信息安全基础设施的必要性

尽管安全产品不是万能的，配置各种安全产品并不能解决安全问题，但计算机网络系统需要一些基础的保护设施。任何安全措施都建立在一定软硬件环境基础下，有很多安全机制是操作系统和网络软件产品本身已经具备的，而也有很多安全功能是需要专门安全产品才能实现的。因此需要根据用户的实际网络环境和应用情况，决定配置那些安全产品。

2、信息安全专业服务的必要性

任何一种安全产品所能提供的服务都是有限的，也是不全面的，要有效发挥操作系统、应用软件和安全产品的安全功能，必须进行全面的检测、合理的配置和适当的优化，才能使整个安全系统良好地运转起来。而实现这些严密的安全措施需要第三方的专业信息安全人员的参与并发挥主要作用。鉴于未来网络威胁的严重性和信息战的可能性，建立主动性的信息安全防御体系已经成为先进国家的研究重点之一，而主动性安全防御体系中最重要的环节是一支专业化的信息安全服务力量。

三、结论：信息安全问题具有动态性，必须统筹兼顾，常抓不懈。

计算机网络系统软硬件和应用情况在不断更新。引入新设备、新软件和新的应用，都会带来新的安全问题。攻击技术每天都在发展，新的攻击机制不断出现，新的攻击机制决定了新病毒和新的黑客攻击手段会对原本已经比较安全的系统造成新的威胁。只有坚持对计算机网络系统进行有计划的，长期进行的评估和审计工作，才能保证最新的技术隐患会被及时识别和解决。如果不结合这些新的技术动态、人员动态和管理动态进行定期的安全性评估，原本搭建好的安全体系将处于不可控的状态。

参考文献：

[1] 徐国芹. 浅议如何建立企业信息安全体系架构[J]. 中国高新技术企业, 2009, (05) .

[2] 陈伟,向丽,刘爽,郭伟,谢明政. 企业信息安全体系架构[J]. 石油地球物理勘探, 2008, (S1) .

第5篇：国内信息安全事件范文

关键词：电力 信息安全

电力是国家国民经济的支柱产业 ，其安全 问题直接关系到各行各业的发展和人民的生活水平网络信息安全已成为影响电力安全生产的重大问题。 信息技术在电力企业的生产运行中发挥着重要作用，目前，企业已建立起庞大复杂的信息，计算机网络信息系统成为 企业日益重要的技术支持系统。信息安全所面临的风险同时渗透到电力企业生产和经营的各个方面。电力企业调度 数据 网和综合信息网在物理上实现隔离 ，在一定程度上保证 了调度 数据 网的安全运行 ，避免受到来自综合信息网的可能的攻击，然而，财务、营销、客户管理等系统的网络信息安全还相 当薄弱 。网络信息安全 已成为影 响电力安全生产的重大问

题 。

一电力信息安全的基础架构

电力信息化系统的构建是根据电力系统自身的特点决定的，电力信息安全是电力系统部门首要的任务 ，为了能够让电力信息安全发挥其作用 ，它的部署和构架必须服从电力系统的基本需要、电力信息的流向和安全等级和电力信息网络的结构的需要。

(一)结构电力信息流

电力信息安全体系是对电力基本业务能够顺利开展而设置的，它要确保电力信息安全。这就需要我们对电力业务信息流的结构有一个充分的认识。计算机等信息网络在电力生产 、经营、管理、科研方面有着非常广泛的应用，尤其在电网调度自动化 、管理信息化、电力市场系统等方面都有着广泛的应用，电力信息化的应用 ，让电力部门在安全生产、节能降

耗 、降低成本、缩短工期 、提高劳动生产率等方面取得了明显的社会效益和经济效益，同时也促进 了信息化管理体制的完善和健全。

(二)电力信息网络结构

通过对上面电力信息化的分析，我们呵以得出电力信息流逻辑结构相配合，我国在电力信息安全方面采取了专用网络和公共网络相结合的电力信息网络结构，有效地支撑了电力信息安全性。我们可以按照电力信息内容的重要性，采取不同的网络，同时在确保安全的前提下，我们可以让电力信息化的专用网络与互联网实现对接。

二、电力信息安全分析与对策

我们对电力信息安全的认识目前还只是停留在宏观层面。没有形成一个比较系统的应对措施 ，这就需要我们在应对电力信息安全方面要具有更安全、更清晰的认识 ，需要们掌握安全事件对信息系统的破坏程度，并且要掌握由信息安全事件可能引起的电力系统安全事件和破坏程度，同时要能够提出相应的具体安全分析和控制办法。

(一)预舫控制

预防控制必须以信息系统的中的监视为基础，以安全分析为手段，建立严格的预防监控机制，在这个过程中要善于发现监控的薄弱环节，防患于未然，要针对性地采取措施，尽量避免信息安全事件的发展 ，确保电力信息的安全。模糊方法是一种对系统宏观的控制，十分简单而易于掌握，为随机、非线性和不确定性系统的控制，提供了良好的途径。将人的操作经验用模糊关系来表示，通过模糊推理和决策方法，来对复杂过程对象进行有效控制。通常用“如果…，则…”的方式来表达在实际控制中的专家知识和经验，不依赖被控对象模型、鲁棒性较强的。模糊控制技术的应用非常广泛，与常规控制相比，模糊控制技术在提高模糊控制的控制品质，如：稳态误差、超调等问题，自身的学习能力还不完善，要求系统具有完备的知谈，这对工业智能系统的设计是困难的。如模糊变结构控制。自适应或自组织模糊控制，自适应神经网络控制，神经网络变结构控制等 ．另一方面包含了各种智能控制方法之间的交叉结合，对电力系统这样一个复杂的大系统来讲，综合智能控制更有巨大的应用潜力。现在，在电力系统中研究得较多的有神经网络专家系统的结， 专家系统与模糊控制的结合，神经刚络与模糊控制的结合，神经网络 、模糊控制与白适应控制的结合等方面。

(二)恢复控制

恢复控制机制主要针对那些可能发生的安全事故 采取的对措施，这就要我们预先设计和部署一些控制机制信息安全事件发生后，能够及时应对，尽快恢复电力信息化的基本功能。可以运用专家系统在电力系统中的应用范围很， ，包括电力系统处于警告状态或紧急状态的辨识 ，提供紧急处理 ，系统恢复控制，非常慢的状态转换分析 ，切负倚， 系统规划，电压无功控制．故障点的隔离，配电系统 自动化、调度员培训 ，电力系统的短期负荷预报，静态与动态安全分析等方面 虽然专家系统在电力系统中得到了广泛的应用，但仍存在一定的局限性 ，如难以模仿电力专家的创造性 ：只采用了浅层知识而缺乏功能理解的深层适应；缺乏有效的学习机构，对付新情况的能力有限；知识库的验证闲难 ；对复杂的问题缺少好的分析和组织工具等。因此，开发专家系统方面应注意专家系统的代价／效益分析方法问题 ，专家系统软件的有效性和试验问题 ，知识获取问题 ，专家系统与其他常规计具丰甘结合等问题。

(三)紧急控制

对电力信息安全管理过程中出现的安全严重程度进行有效的分列针对这些问题 ，设计出安全的应对措施．部署安全应对机制．在信息安伞突发事件来临时，能够及时 、准确地采取措施，立即触发相应的安全机制。尽可能把安全事件的影响控制在最小的范围内，以免造成更大的损失。综合智能控制重要的技术发展方向是智能集成化。一方面，可将多项智能技术相互结合于一体，不在单独运用，各取优势。如模糊技术和神经网络的结合，神经网络与模糊控制的结合，神经网络与专家系统的结合等 ，这些都在电力系统 自动化控制中研究的较多，如用神经网络与模糊逻辑 良好结合的技术基础，去处理同一系统内的问题 ，神经网络处理非结构化信息．模糊系统处理结构化的知识等。另～方面，自动化控制智能技术与传统的自适应控制的结合，如：神经网络、模糊控制与自适应控制的结合等。目前 ，国内已有控制专家已着手发展研究，既能有效处理模糊知识又能有效学习的模糊与神经网络集成技术 ，这必将为电力系统智能控制的发展提供新的途径。

(四)加强电力信息网安全教育

对于电力信息安全的控制一个重要的环节就是加强对员工的安全教育，让其深刻了解信息化网络安全的重要性，能够在 日常工作中把安全作为第一要务。为了落实安全教育 ，安全管理部门要对企业的各级管理人员、用户、技术人员进行安全培训 ．让每个员工都能够深入了解并严格执行企业的安全策略．在安全教育具体实施过程中我们 一 定要突出层次性和普遍性

第6篇：国内信息安全事件范文

(一)重庆烟草行业信息化现状

按照《重庆烟草行业“十二五”信息化总体规划》的部署，重庆烟草“智慧渝烟”应用平台于2012年正式上线，实现了“系统集成、资源整合、信息分享”的目标。“智慧渝烟”平台实现了“一个看板、两个空间、三类集成、五大中心”的功能集成(图2)。移动云平台是“智慧渝烟”在移动互联网端的扩展，基于智慧渝烟应用平台的云中心，构建移动管控平台，实现客户端五大应用(图3)，集成了移动OA、内网信息、数据看板、日程管理、企业邮箱、沟通协作、网盘、云笔记等功能。

(二)重庆烟草行业网络现状

重庆烟草行业建设了覆盖全市所有区县的广域网，中心机房设置在重庆市公司，在物流公司设置了灾备中心。主要链路有三条:VPN主链路和备用链路，ATM灾备链路。各单位一般又设置专线到基层业务单位，Internet互联网接入由各单位自行选择运营商接入。在管理手段上，行业要求各单位按照规定使用固定IP地址，部署了网络防病毒软件，投资更新了防火墙等网络安全设备，各单位网站不对互联网开放统一由智慧渝烟集成等措施。

二、可能存在的信息安全风险

从行业信息化及网络现状来看，行业对于信息安全的重视程度以及管理措施足够到位，多年来行业也未发生严重的信息安全事件。但自从“棱镜门”事件发生以来，国内信息安全形势面临前所未有的考验，从居安思危、防范未然的角度，笔者尝试分析行业依然可能存在的信息安全风险以供探索。

(一)因接入方式增多带来的风险

1．广域网层次过多监管复杂

行业广域网从市公司到区县分公司再到各下属站点，接入层次大多在三层以上，每层级之间主要通过运营商提供VPN连接。自主的安全防护主要是在市公司和区县公司的防火墙等设备。此网络连接方式的主要风险在于:第一，最下层的接入点只能借助区县公司的防火墙与互联网隔离，但若下层计算机被入侵或者设置被他人盗用则很难从内部监控中发现异常。内部员工如果访问非法网站、不合适的言论等行为也不易被发现和追查。第二，各层次间的VPN连接主要由运营商提供，对行业用户而言完全透明，但隐患却在于我们把安全防护完全交给了运营商，一旦对方发生安全事件也有可能会波及行业。

2．接入方式发生剧变

近年来，移动互联网的飞速发展造成智能手机等移动终端的上网需求激增，有些单位也部署了无线WI－FI以满足员工的需求。但同时因为无线网络不受特定场所限制的特性，安全风险随之而来:有些WI－FI热点密码过于简单甚至没有密码，造成单位外部的设备也进入了行业网络;WI－FI广播名称太暴露自身，可能会引起一些“黑客”的兴趣尝试破解接入口令;可能还存在一切员工使用360随身WI－FI之类设备来方便自身上网，但又忽略信息安全造成设备被其他人“蹭网”接入行业网络。以上风险都很难通过行业现有的网络安全设备进行监控和防范。

(二)使用不安全设备或者软件系统造成后门和漏洞的风险

“棱镜门”事件以来，被爆料受到美国“棱镜”监控的主要有10类信息:电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节。通过棱镜项目，美国安局甚至可以实时监控一个人正在进行的网络搜索内容。美国几大主要的IT公司微软、雅虎、谷歌、Facebook、YouTube、Skype、苹果都牵涉其中，硬件巨头英特尔和网络设备巨头思科也遭受严重怀疑。大量的软硬件后门、漏洞尚未被完全列出。再看行业内部虽然网络设备大量采用国产设备，但仅限于核心设备，各单位二层交换机、无线设备等尚未统一管理。而其他软硬件则更加依赖英特尔、微软、谷歌、苹果等巨头提供的设备以及服务。移动云平台的推广普及带来了大量苹果和谷歌设备的接入，这是以前行业网络中很少存在的。如何在普适性和安全性之间做出最好的抉择，是行业需要深思的问题。

(三)非统一的互联网接口带来的风险

目前行业各单位的互联网接口均为自行选择运营商接入。各单位的接入类型、带宽、服务都有区别，不同的运营商在互联网端的防护和审核方式也各有不同。真正在风险在于如果某个单位的互联网接入因为其自身或者运营商防护等级过低造成网络安全事件，则很有可能“城门失火，殃及池鱼”，造成影响其他单位甚至整个行业的信息安全事件。

(四)“智慧渝烟”平台集成应用可能造成数据泄露的风险

“智慧渝烟”平台极大地提高了员工的工作效率，但部分员工信息安全意识不到位，存在忘记退出登录、离开时不锁定电脑等习惯，造成“智慧渝烟”单点登录成为数据泄露的风险。如果一名关键岗位的员工因为没有退出“智慧渝烟”登录并锁定电脑而离开，被别有用心的人使用其计算机盗取行业各个系统中的行业机密，其损失将十分严重。

(五)操作系统陈旧带来的风险

2014年4月8日，微软公司正式停止了对于Windowsxp的技术服务。在中国使用人数最多的操作系统将不再会得到其开发者的更新，因而Windowsxp成了很多黑客团体心目中的“肥肉”，任何Windowsxp中尚未被发现及修复的漏洞都可能会成为被攻击入侵的目标。就笔者所在的单位来说，使用Windowsxp的计算机比例达60%以上，这些计算机都有可能成为黑客攻击的“肉鸡”或者数据泄露的后门。

(六)系统架构陈旧带来数据损坏的风险

行业开展信息化建设十多年来，通过各类使用的系统积累了大量的烟农、零售客户、烟叶种植、生产、销售、物流等环节的数据，大部分的系统都是基于传统的B\S或者C\S架构大量数据都保存在服务器上。随着技术的进步、每日海量数据要求系统具备极高的处理能力和吞吐量，从目前行业各大系统的用户体验看，诸如网络营销平台、财务系统已经存在高峰期操作卡顿、数据丢失等问题，同时单一的或者简单的镜像服务器在遭受严重网络攻击或者自然灾害时的抵抗力会比较弱容易造成数据损坏或者泄露等风险。

三、可供参考的解决思路

针对以上提到的安全隐患，本文提出一些粗浅的解决思路。首先需要明确一个概念:所谓的信息安全是相对的，不安全或者风险才是绝对的。要想实现最大程度的安全，绝对不是一套生硬的办法就能解决的，而是需要与时俱进、实时调整的。安全是人、流程和技术三合一体的产物，这三方面的因素都需要考虑，而针对目前情况可考虑采取的措施有以下几点。

(一)建立灵活的信息安全管理机制和严格的信息安全管理办法

首先，是机制问题。行业的信息安全管理机制尚比较传统，应对如今一日千里、瞬息万变的信息化动态可能已显反应不足。在如今人人都是信息设备的使用者的情况下，建立一套人人都能用好信息系统、理解信息风险、做到信息安全的机制才是重中之重。其次，是制度问题。随着信息安全日新月异的发展，行业的信息安全制度应与时俱进，突出“新”字，着重解决当前出现的新问题、新风险，至少应每年完成一次修订，根据当前面临的信息安全形势做到合理增减。同时，在制度执行上应严格，涉及安全的诸多项目应实行“一票否决制”，解决安全上的短板，重要的项目要与考核挂钩。最后，面对可能出现的信息风险，还应做好必要的应急演练，帮助员工明白遇到信息安全事件时第一时间该如何正确应对，以免出现手足无措甚至造成事件升级的情况。

(二)行业广域网的安全防范

针对广域网层次多涉及可能的入侵和盗用等问题，行业使用的基于包过滤的传统防火墙很难起到充分的防护作用，可考虑增加行为审计管理，网络安全审计设备具备针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督，预防、制止数据泄密。能满足用户对网络行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。配合防火墙既可以识别外部的非法入侵和内部的非常规操作，也可以防范和审查合法内部用户的非正常行为，确保不发生行业员工利用行业网络进行非法活动的事件，也增强了抵御因运营商VPN出现问题被波及的能力。针对如WI－FI等接入方式增多的问题，首先应充分尊重员工移动办公的合理诉求，利用移动云平台管控平台等系统加强后台管理。其次应在信息安全制度中规定好合规的WI－FI信号，尝试使用WI-FI准入登记系统，做好移动接入者的登记审核并针对移动终端做出相应的限制，如尽可能地减少写入权限、限制核心资源的访问等等。最后对于部分员工私自建立的WI－FI、上网共享等应禁止，防止不可预料的风险发生。

(三)提高国产网络设备的使用率减少“后门”等漏洞

目前如华为、中兴等国产网络设备在性能上完全可以替代美国的思科等设备，安全性更有保障，还具备更好的性价比。行业应适时建立网络设备准入制度将有监听后门的设备拒之门外。在使用微软、谷歌、苹果等在市场尚难替代的软硬件服务商的设备或服务时，应尽量关闭其不必要的功能。为预防可能发生的系统漏洞应做好网络监控和信息取证，在必要的时候用法律武器来保护自身权益。对于极其保密的信息，必要的时候甚至可以自主开发加密协议和程序，这样以来即是数据被盗取也增加了对方破解的难度减少行业产生损失的可能。

(四)建立统一的行业互联网接口

针对目前行业互联网出口不统一带来的各种风险，行业可考虑建立统一的互联网接口，方案有两种可参考:

1．取消行业各单位的互联网接口，由市公司统一接入。

其优点在于全行业互联网接口统一管理，市公司可以在网关处布置性能强大的防火墙和行为审计系统，全行业的上网行为可以得到规范统一的管理。只有一个互联网接口，受网络攻击的风险相对较小，即使遇到攻击也更容易应对。缺点是行业现有广域网负载会极大的增加以至于成为整个网络的瓶颈，需要较大投入进行升级改造同时日常网络费用开销也会增加。

2．依旧在各单位设置互联网接口，但是由行业统一确定运营商，并要求其按照集团客户的需求对各单位的互联网接口作统一的设置和安全部署。

其优点是网络不存在瓶颈，费用较方案1低廉。缺点是统一管理相对复杂，需要各单位网络管理人员配合管理，因为互联网接口更多，风险也相对方案1高一些。

(五)培养员工更高的信息安全意识和良好的工作习惯

安全是人、流程和技术三合一体的产物，这三方面的因素都需要考虑，但最关键的因素还是人。行业用户需要具备辨别不安全的应用以及了解一些针对设备的潜在的威胁，同时还应具备应对这些风险的能力。用户培训的建议:不要使用盗版或者破解的应用程序;不要与陌生人共享应用程序;设备当前不使用的功能应尽量关闭;离开计算机时应退出智慧渝烟系统并锁定计算机;及时更新计算机及移动设备的操作系统程序和安全程序。必要的场合行业可以考虑安装视频监控等设备防止行业办公计算机被他人非法使用及盗取信息。

(六)加快操作系统更新步伐和建立异地灾备中心

Windowsxp注定将很快结束其生命进程，行业也应该加快更新老旧操作系统的步伐。暂时还在使用xp的计算机应尽量不配备在关键岗位，应安装国内第三方支持更新补丁的安全软件。行业还应未雨绸缪，新一代的Windows8并未得到政府采购的许可，说明其系统安全可能存在隐患，需考虑将来采取Linux等其他操作系统的可能。加快异地灾备中心的建设，防止因为自然灾害等因素造成的数据丢失。

(七)利用新技术新方法建立更加完善的信息安全体系

第7篇：国内信息安全事件范文

(讯)信息安全行业是我国新经济的一朵金花，行业景气度持续向上。中国经济目前正处于三期叠加的特殊时期，新兴产业将成为经济增长的主要驱动力。信息安全产业是新兴产业的重要组成部分，关系国家安全，受到国家政策的大力扶持，是新经济的一朵金花。“棱镜门”等信息安全事件的持续发酵不仅加速了信息安全产品和服务进口替代的进程，同时使得政府和公众加强了对信息安全的重视程度，信息安全产品和服务的渗透率将不断提升，并逐渐具备信息消费中的必需消费品属性，行业景气度将持续向上，有望穿越经济周期实现行业增长。

万物互联是信息安全行业新的蓝海，进一步打开了行业未来的成长空间。万物互联是继计算机和互联网之后信息产业的第三次浪潮，目前已经解开序幕。信息安全在万物互联时代的重要性超过计算机单机时代和传统互联网时代，投资周期将有所提前，处于万物互联浪潮之巅。到2020年，保守估计万物互联将给国内信息安全产业带来6000亿的增量空间，是2013年国内信息安全产业总产值的50倍，再叠加上国内信息安全产业渗透率的提升带来的成长机会，国内信息安全市场规模至少具有60倍的成长空间，未来7年年均复合增速为80%；即使在最悲观的情况下，未来7年市场规模也将具有10倍的成长空间，年均复合增速为40%。

看好具有持有并购成长能力和互联网基因的国内信息安全公司。信息安全产业细分子领域众多，完全依靠内生成长效率较低，外延发展可以迅速的进入新的子领域，并实现优势互补，发挥协同效应，是信息安全厂商发展的首选，全球信息安全龙头赛门铁克通过持续并购发展壮大的经验为国内厂商提供了借鉴。在万物互联时代，家庭和个人客户市场将成为信息安全行业的巨大金矿，具有互联网基因的信息安全公司将是最大的受益者，奇虎360依靠互联网思维在国内杀毒软件市场的迅速崛起为国内信息安全厂商提供了参考。

投资策略:看好国内信息安全产业的长期投资价值，强烈推荐具有较强并购成长能力的卫士通、启明星辰以及具有互联网基因的绿盟科技、北信源。

风险提示：万物互联发展不达预期；IT巨头积极参与竞争；研发费用和人力成本大幅提升。 （来源：东兴证券）

第8篇：国内信息安全事件范文

在网络为人们的工作和生活不断带来诸多益处的同时，也不断给网络用户带来新的烦恼。全球的安全事件近几年的增长呈现爆发的态势，据Carnegie Mellon University 的调查数量显示已经报告的安全事件从2000年的2.1万起增加到2003年的13万起，而未报告的安全事件居估计数倍于已报告的安全事件。全球由于蠕虫病毒带来的经济损失大概是每年1800亿美元，另一方面病毒传播的速度和破坏力也急剧增强。2001年红色代码病毒的传染速率是1.8台主机/小时，感染2倍的PC需要37分钟，感染所有目标需要24小时，而到2003年SQL Slammer传染的速率是420台主机/小时，感染2倍的PC仅需要8.5秒，感染所的有目标仅需要30分钟。公安部2004年的全国网络安全状况暨计算机病毒疫情调查结果显示，中国计算机用户计算机病毒的感染率为87.9%，比去年增加了2%。

因此，信息技术越发达的地方，所面临的安全威胁也就越多。在中国，网络在各行各业已经得到广泛的运用，安全问题造就了一个巨大的市场，Symentec、趋势科技等传统的安全产品厂商不必说，国内外的网络设备厂商也非常重视这个肥沃的市场，纷纷推出自己的安全产品和解决方案。神州数码网络公司身为国内网络市场的重要力量，自然是不会对这块蛋糕视若无睹。经过几年的积累，神州数码在2004年的年初推出了其系列的网络软硬件产品，其中就有防火墙、IDS、身份认证等安全产品。并在其多年的安全、管理融合的网络理念基础上提出了D2SMP(分布式安全管理域策略)解决方案，倡导网络安全需要考虑外部和内部两个源头，采取分而治之的手段，有效地扼制安全问题。D2SMP方案首先在教育和政务等行业领域得到了实施和验证，经过近一年的检验，得到了市场的广泛认可。2004年12月，神州数码网络的DCFW-1800E千兆防火墙和DCBI-3000接入认证软件分别荣获了中国计算机报的“2004编辑选择奖”，D2SMP更是获得了中国电子信息产业发展研究院（CCID）颁发的“2004年中国教育行业解决方案用户满意品牌奖”。

神州数码网络的产品总监解云航认为，传统网络设备厂商涉足安全产品领域对广大的用户来是讲是非常有利的，网络规模不断扩张，使得安全问题更加难以防范，病毒和黑客技术不断产生新花样，让用户疲于应付。用户需求直接导致了市场的创新，传统的网络设备厂商与传统的安全厂商的区别在于，传统的安全厂商往往能引领病毒查杀和黑客攻击防止等安全技术的潮流，在查杀病毒或IDS、IPS等安全产品上具备技术优势，很好地解决了用户网络的局部安全问题，可以归纳成是安全“点”上的优势；而网络设备厂商依托丰富的网络技术积累和其自有的安全产品系列，不但在产品层次上能够体现安全特性，更重要的是根据用户的需求，在安全整合以及设备联动层面提供更加全面的安全解决方案，能给用户提供更加丰富和灵活的安全解决手段，将安全控制分布到网络的各个层次，减轻用户日益增加的安全压力。传统网络设备厂商不但能提供性能良好的安全产品，同时还能提供细致而周全的安全解决方案。这可以归纳成是安全“面”上的优势。

神州数码“内外兼顾”的动态可适应网络安全解决方案是以PPDR为参考模型，以D2SMP为理论基础，以神州数码网络入侵检测系统DCNIDS-1800为核心设备的网络安全解决方案。该方案由神州数码防火墙系统、神州数码网络入侵检测系统、神州数码安全接入与认证计费系统、802.1X交换机四部分组成，通过专用的安全协议联动，形成独具特色的网络安全整体解决方案。

第9篇：国内信息安全事件范文

关键词:信息安全;信息资产;风险评估;层次分析法

中图分类号:TP309文献标识码:A 文章编号:1009-3044(2010)19-5129-03

The Research for Information Security Risk Assessment Based on AHP Method

ZENG Li-mei, JIANG Wen-hao

(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)

Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.

Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)

计算机网络技术在当今社会迅猛发展并且得到广泛应用,使得各行各业对信息系统的依赖日益加深,信息技术几乎渗透到了社会生活的方方面面。信息系统及其所承载信息的安全问题日益突出,为了在安全风险的预防、减少、转移、补偿和分散等之间做出决策,需要对网络系统进行信息安全风险评估。

信息安全风险评估,是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程[1]。风险评估是提高系统安全性的关键环节,通过风险评估,了解系统的安全状况,将信息系统的风险控制在可接受的范围内。

1信息系统安全风险评估要素

1.1 风险评估的各要素

信息系统安全风险评估要素及其各要素间的关系如图l所示。

图1中,整个模型的核心是风险,资产、脆弱性和威胁是风险评估的基本要素。风险评估的工作围绕其基本要素展开 。

1.2 风险评估各要素之间的关系

风险评估基本要素之间存在以下关系:

资产是信息系统中需要保护的对象,资产完成业务战略。单位的业务战略越重要,对资产的依赖度越高,资产的价值就越大,资产的价值越大风险则越大。

风险是由威胁引起的,威胁越大风险就越大,并很有可能演变成安全事件。

脆弱性是资产中的弱点。威胁利用脆弱性,脆弱性越大风险就越大。

安全需求由资产的重要性和对风险的意识导出。安全措施可以抗击威胁,降低风险,减弱安全事件的不良影响。

风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,称为残余风险。残余风险可以接受,但应受到密切监视,因为它可能会在将来诱发新的安全事件[2]。

2 风险评估方法

目前国内外存在很多风险评估的方法,还没有统一的信息安全风险分析的方法。在风险评估过程中根据系统的实际情况,选择合适的风险评估方法。风险评估的方法概括起来可分为三大类:定性分析方法、定量分析方法、定性和定量相结合的分析方法。[3]

2.1定性分析方法

定性分析方法是一种典型的模糊分析方法,可以快捷的对资源、威胁、脆弱性进行系统评估。典型的定性分析方法有逻辑分析法、因素分析法、德尔斐法、历史比较法[4] 。

定性评估方法的优点是全面、深入,缺点是主观性太强,对评估者要求高。

2.2 定量分析方法

定量分析方法是在定性分析的逻辑基础上,通过对风险评估各要素的分析,为信息系统提供系统的分析手段。典型的定量分析方法有决策树法、回归模型、因子分析法。

定量分析方法的优点是直观、明显、客观、对比性强,缺点是简单化、模糊化、会造成误解和曲解。

2.3 定性和定量结合的综合评估方法

定量分析是定性分析的基础和前提,定性分析应该建立在定量分析的基础上才能揭示客观事物的内在规律。不能将定性分析方法与定量分析方割裂,而是将这两种方法融合起来,发挥各自的优势,采用综合分析评估方法。主要的综合分析方法有模糊综合评价方法、层次分析法、概率风险评估等。[5]

3 AHP方法

3.1 层次分析法简介

层次分析法(AHP)是美国运筹学家萨蒂(T.L.Saaty)于20世纪70年代初提出的一种定性与定量分析相结合的多准则决策分析方法,该方法简便、灵活又实用。

层次分析法的基本思想是在决策目标的要求下,将决策对象相对于决策标准的优劣状况进行两两比较,最终获得各个对象的总体优劣状况,从而为决策者提供定量形式的决策依据 [6] 。

3.2 系统分解,建立层次结构模型

层次模型的构造是运用分解法的思想,进行对象的系统分解。它的基本层次包括目标层、准则层、方案层三类。目的是建立系统的评估指标体系。层次结构如图2所示。

3.3 构造判断矩阵

判断矩阵的作用是同层次的两两元素之间的相对重要性进行比较。层次分析法采用1～9标度方法,对不同情况的评比给出数量标度,如表1所示。[7]

构造判断矩阵,判断矩阵A=(aij)n×n有如下性质:①aij>0;②当i≠j时,aji=1/aij;③当i=j时,aij=1。aij为i与j两因素相对权值的比值。

3.4 层次排序

步骤一:将A的每一列向量归一化。

步骤二:对按列归一化的判断矩阵,再按行求和。

步骤三:将向量归一化。

3.5 一致性检验

步骤一:计算判断矩阵的最大特征根。

式中(AW)i表示AW的第i个元素。

步骤二:计算一致性指标。

式中,λmax 表示比较判断矩阵的最大特征根,n表示比较判断矩阵阶数。

步骤三:计算一致性比率。

当 CR

平均随机一致性标度如表2所示。

4.评估方法实际应用

4.1 建立信息安全风险评估模型

为了突出风险评估的重点,对信息系统风险的评价指标进行适当的简化,建立某企业信息安全风险评估层次结构模型,如图3所示。

4.2 风险评估结果

根据图3各评估因素及其相互关系,建立两两比较判断矩阵,如表3、表4、表5、表6所示,用AHP方法求解一致性比率CR,判断矩阵是否具有满意一致性。

表3G-C的判断矩阵

表4C1-P的判断矩阵 表5C2-P的判断矩阵 表6C3-P的判断矩阵

以上结果CR均小于0.1,表明比较判断矩阵都满足一致性检验标准。由以上结果求的最终的总层次排序结果如表7所示。

5 结束语

在信息系统风险评估中,风险评估方法一直都是研究的关键点。本文采用层次分析法对风险评估的指标进行了分析,通过分析研究可得,层次分析法在风险评估和等级划分的实际应用中是一种行之有效、可操作性强的方法,可以很好的应用于信息安全风险评估。

参考文献:

[1] GB/T 20984-2007,信息安全技术信息安全风险评估规[S].中华人民共和国国家标准,2007.

[2] 向宏,傅鹏,詹榜华.信息安全测评与风险评估[M].北京:电子工业出版社,2009:319.

[3] 王伟,李春平,李建彬.信息系统风险评估方法的研究[J].计算机工程与设计,2007,28(14):3473-3474.

[4] 范红,冯登国,吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2006:49-50.

[5] 吴亚非,李友新,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007:101-109.