前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇部隊信息安全范文，相信會為您的寫作帶來幫助，發(fā)現更多的寫作思路和靈感。

部隊信息安全范文第1篇

關鍵詞：網絡信息安全；等級保護

中圖分類號：TP311 文獻標識碼：A文章編號：1007-9599 (2011) 14-0000-02

The Public Security Frontier Forces Information Security Construction Discussion

Jiang Haijun

(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)

Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.

Keywords:Network information security;Level protection

隨著科學技術和邊防部隊勤務工作的深入發(fā)展，信息化建設已成為提高邊防執(zhí)法水平的有力途徑，全國邊防部隊近年來已基本實現信息資源網絡化。但是，緊隨信息化發(fā)展而來的網絡安全問題日漸凸出，給邊防部隊管理工作帶來了新的挑戰(zhàn)，筆者結合邊防部隊當前網絡安全工作實際，就如何構建全方位的網絡安全管理體系略陳管見。

一、影響邊防部隊信息網絡安全的主要因素分析

（一）物理層的安全問題。構成網絡的一些計算機設備主要包括各種服務器、計算機、路由器、交換機、集線器等硬件實體和通信鏈路，這些設備分向在各種不同的地方，管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起網絡的癱瘓。物理安全是制定區(qū)域網安全解決方案時首先應考慮的問題。

（二）計算機病毒或木馬的危害。計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓，是影響網絡安全的豐要因素。新型的木馬和病毒的界限越來越模糊，木馬往往借助病毒強大的繁殖功能使其傳播更加廣泛。

（三）黑客的威脅和攻擊?，F在各類打著安全培訓旗號的黑客網站不勝枚舉，大量的由淺到深的視頻教程，豐富的黑客軟件使得攻擊變得越來越容易，攻擊者的年齡也呈現低齡化，攻擊越演越烈。黑客入侵的常用手法有：系統溢出、端口監(jiān)聽、端口掃描、密碼破解、腳本滲透等。

二、邊防部隊信息網絡安全的特征分析

（一）網絡安全管理范圍不斷擴大。從工作點來看，網絡覆蓋范圍已從機關直接深入到基層一線，從機關辦公大樓到沿邊沿海的邊檢站、派出所。凡是有網絡接入點的地方，無論是物理線路還是無線上網點都必須進行網絡安全管理，點多線長，情況復雜；從工作環(huán)節(jié)來看，從設備的選購、網絡的組建、專線的租用到日常網絡應用，從設備維護保養(yǎng)、設備出入庫到送修和報廢，無一不涉及到網絡信息安全，網絡安全已滲透到工作的每一個環(huán)節(jié)。如：某單位被通報發(fā)現違規(guī)事件，經調查，結果是有人將手機接上公安網計算機充電，而該手機正在無線上網。

（二）安全管理對象類型復雜多樣。目前，公安信息網、互聯網、業(yè)務專網、機要專網在日常工作中頻繁使用，成為管理的難點。同時，公安網上各類使用中的網絡安全管理軟件系統應用有待深化，一些網絡管理軟件使用功能僅停留在表層，未能成為得力工具。

（三）網絡安全問題不斷翻新。目前互聯網、公安網、業(yè)務網、網四種網絡必須物理隔離，禁止交叉使用移動存儲介質，但四種網絡的信息資源在一定范圍內卻必須共享交流。曾經出現過這種情況，某單位人員在互聯網上建立論壇，發(fā)表不健康言論，觸犯邊防部隊管理條例。究其原因，是因為我們的網絡安全工作一直以來是局限在公安網內部，尚未隨著網絡應用發(fā)展趨勢擴展到互聯網的管理上。

三、邊防部隊信息網絡安全的技術分析

網絡安全產品的自身安全的防護技術網絡安全設備安全防護的關鍵，一個自身不安全的設備不僅不能保護被保護的網絡而且一旦被入侵，反而會變?yōu)槿肭终哌M一步入侵的平臺。

（一）虛擬網技術。虛擬網技術主要基于近年發(fā)展的局域網交換技術（ATM和以太網交換）。交換技術將傳統的基于廣播的局域網技術發(fā)展為面向連接的技術。因此，網管系統有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。

（二）防火墻技術。網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。雖然防火墻是保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

（三）病毒防護技術。病毒歷來是信息系統安全的主要問題之一。由于網絡的廣泛互聯，病毒的傳播途徑和速度大大加快。在防火墻、服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。

（四）入侵檢測技術。利用防火墻技術，經過仔細的配置，通常能夠在內外網之間提供安全的網絡保護，降低了網絡安全風險。但是，僅僅使用防火墻、網絡安全還遠遠不夠。需要監(jiān)視的服務器上安裝監(jiān)視模塊（agent），分別向管理服務器報告及上傳證據，提供跨平臺的入侵監(jiān)視解決方案；在需要監(jiān)視的網絡路徑上，放置監(jiān)視模塊（sensor），分別向管理服務器報告及上傳證據，提供跨網絡的入侵監(jiān)視解決方案。

四、邊防部隊信息網絡安全管理體系的對策

網絡安全是一個范圍相對較大的概念，根據具體的實際情況組成不同安全管控層次或等級的網絡系統，既是網絡實際發(fā)展應用的趨勢，更是網絡現實應用的一種必然。

（一）提高多層次的技術防范措施。按照網絡實際應用中出現故障的原因和現象，參考網絡的結構層次，我們可以把網絡安全工作的對象分為物理層安全、系統層安全、網絡層安全和應用層安全，不同層次反映不同的安全問題，采取不同的防范重點：一是確保物理環(huán)境的安全性。包括通信線路的安全、物理設備的安全、機房的安全等。在內網、外網共存的環(huán)境中，可以使用不同顏色的網線、網口標記、網口吊牌來標記區(qū)分不同的網絡，如灰色的公安網專用，紅色的互聯網專用，黃色的網專用。二是確保軟硬件設備安全性。必須預備一定的備用設備，并定期備份重要網絡設備設置。對待報廢的各類存儲類配件，一定要進行消磁處理，確保信息安全。三是提供良好的設備運行環(huán)境機房要有嚴格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施，并且有單獨的電源供電系統；安裝有計算機的辦公室要有防塵、防火、防潮、防泄密等措施，電源要符合計算機工作要求。四是完善操作系統的安全性必須設置系統自動升級系統補丁。五是加強密碼的管理。存取網絡上的任何數據皆須通過密碼登錄。同時設制復雜的計算機開機密碼、系統密碼和屏保密碼。

（二）建立嚴格的網絡安全管理制度。嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。我們應通過制度規(guī)范協調網絡安全的組織、制度建設、安全規(guī)劃、應急計劃，筑起網絡安全的第一道防線。

（三）合理開放其它類型的網絡應用。目前，很多單位都建立了警營網吧，給官兵提供良好的學習娛樂平臺，這種情況下就必須把互聯網的網絡安全工作納入安全工作范圍，采取多種方法，規(guī)范和引導官兵進行互聯網的應用，合理開放所需的應用功能，有效控制不合理的功能應用。目前，邊防部隊的信息網絡安全技術的研究仍處于起步階段，有大量的工作需要我們去探索和開發(fā)。公安部已在全國范圍內大力推進信息網絡安全工作，相信在大家的共同努力下，邊防部隊將建立起一套完整的網絡安全體系，確保信息網絡的安全，推動邊防部隊信息化高度發(fā)展。

五、結論

網絡信息安全系統建設完成后，將實現信息系統等級保護中有關數據安全保護的基本要求和目標，尤其是應用密碼技術和手段對信息系統內部的數據進行透明加密保護。網絡信息安全系統還為單位內部機密電子文檔的管理提供了一套有效的管理辦法，為電子文檔的泄密提供了追查依據，解決了信息系統使用方便性和安全共享可控制的難點，為部隊深化信息化建設提供技術保障。網絡信息安全系統能夠有效提高單位的數據安全保護等級，與其他信息系統模塊協調工作，實現了資源的整合和系統的融合，形成一個更加安全、高效、可控、完善的信息系統風險監(jiān)控與等級保護平臺，提高了部隊內部核心數據，特別是對內部敏感電子文檔的安全管理，隨著系統的不斷完善和擴大，將對部隊內部網絡和信息系統的安全保護發(fā)揮更大作用。

參考文獻：

部隊信息安全范文第2篇

【關鍵詞】軍隊；內控網；信息風險；防御

【中圖分類號】TN711 【文獻標識碼】A 【文章編號】1672-5158（2012）09-0150-01

信息網絡是我國從事軍事研究工程的重要平臺，網絡不僅提供了廣闊的資源搜尋空間，還能完成一些高難度的計算處理工作，為軍事科研提供了很大的幫助。近年來軍隊逐漸引用內控網絡，用以完成各種高難度的數據處理操作，保證數據信號的穩(wěn)定傳輸。但由于內控網絡的局限性，信息傳輸流程依舊面臨著多方面的安全風險，及時采取針對性措施進行防御，可保障軍事網絡的安全性。

一、部隊內控網傳輸的風險隱患

軍隊是國防事業(yè)的核心組成，軍隊信息化改造標志著我國軍事科技發(fā)展的新方向。內控網絡布置于軍事基地，能夠為科技研究工程提供虛擬化平臺，用以完成各項成果的模擬演練，為實戰(zhàn)訓練提供科學的指導。由于軍事科技水平有限，我國部隊內控網絡在防御功能上還存在缺陷，尤其是信息傳輸流程相對復雜，造成整個傳輸流程面臨諸多風險。

1、中斷風險。計算機網絡是軍事基地信息傳輸的主要平臺，通過局域網可以實現多項信息的輸送，保持軍事科研的穩(wěn)定性。由于網絡信息的內容、形式、數量等多種多樣，信息傳輸階段易發(fā)生中斷現象，即整條網絡在正常狀態(tài)下失去連接信號，信道內正在執(zhí)行的傳輸命令被終止。這種情況多數是由于周圍磁場環(huán)境所致，阻礙了數據信號的穩(wěn)定傳輸。

2、竊取風險。軍事科技事關一個國家的安防能力，世界各國都在加強軍事體系建設，增強本國軍事力量以抵制外來侵略。為了掌握對方的軍事動態(tài)，黑客開始應用惡意攻擊的方式擾亂網絡，使軍事信息在傳輸時被竊取Ⅲ。這主要是由于國家與國家之間的軍事競爭，不得不采取非法手段捕獲信息，以保證實際戰(zhàn)斗中掌握軍事信息，信息傳輸面臨著竊取的風險。

3、操作風險。操作風險是人為失誤引起的風險，研究人員在制定信息傳輸方案時，沒有考慮數據信號的特點，編制的程序方案不符合信息的要求。網絡操作時，應設備操控失誤而產生不利影響，破壞了數據信息的完整性。如：計算機服務器與數據庫之間，調用數據庫的信息內容時，未結合服務器的功能模塊，使其處于超荷載狀態(tài)而發(fā)生故障。

二、信息傳輸風險防御的核心系統

根據部隊內控網信息傳輸存在的安全風險，必須要設計切實可行的安全防御系統，這樣才能保證信息內容的高效傳輸，宏觀地指揮軍隊完成各種演練、模擬、改造等任務，建立現代化的軍事基地。防范信息傳輸風險，需采用融入高科技的防御系統，為傳輸過程提供安全可靠的運行環(huán)境。

1、數字系統。內控網絡自動監(jiān)控需要掌握詳細地數據運行狀況，從宏觀上控制軍事基地區(qū)域的整體動態(tài)，這樣才能保證傳輸網絡控制功能的發(fā)揮。數字系統是現代軍事科技的重要組成，其通過數字信號之間的轉換，形成多方向的數據層面。使圖像經過處理后變化為數字信號，在短時間內完成信號的傳遞，保護了軍事數據傳輸的安全。

2、報警系統。為計算機網絡設計報警模塊，其核心功能是監(jiān)控、報警，從兩個方面保障部隊內網運行的安全性。如：報警系統先感應到部隊內控網的異常信號，再及時將情況反饋給管理中心，提醒軍區(qū)管理人員采取必要的處理措施。報警系統安裝于監(jiān)控管理中心，在接收到異常信號后，第一時間作出報警動作，提醒指揮中心人員對網絡進行檢查。

3、語音系統。在小范圍內建立對講系統，實現了軍事指揮中心的語音信號傳輸。不僅方便了各種軍事信號的定點交換，也使軍事科研人員的交流更加快捷。如：監(jiān)控中心人員通過計算機平臺監(jiān)控軍隊調度的實況，當發(fā)現一些安全隱患或故障問題之后，可用對講系統及時地匯報情況。對講系統相比網絡傳輸，語音信息的傳遞速度更快。

三、軍事網絡信息安全傳輸的流程

局域網運用于軍事基地信息傳輸，有助于小范圍數據資源的高效利用，保障了信號傳遞的及時性。當前，我國正處于嚴峻的軍事格局，尤其是在保衛(wèi)國家獨立與方面，國防軍隊具有極為核心的作用，搞好信息化軍事建設也是黨和國家高度重視的。為了避免信息傳輸安全風險的發(fā)生，科技研究人員需結合部隊建設的要求，設計出安全、穩(wěn)定、持久的信息傳輸流程。

1、收集環(huán)節(jié)。收集輸電信號是信息傳輸的基本要求，引用數字化采集方案，避免人工采集中出現的失誤。高科技軍事系統要求對經過處理的信號進行采集、A/D轉換和記錄，再交由計算機處理平臺加以調控，捕捉到與軍事設備、傳感線路等相符的數字信號，指導軍隊控制中心實施安防操作。

2、分析環(huán)節(jié)。接收到傳輸信息后，還需進一步分析、識別、歸納，才能掌握數據信息的內容。軍用網絡信息分析的流程：將采集到的信號傳送到后續(xù)單元，對所采集到的數據進行處理和分析，對歷史數據和當前數據分析、比較，最終判斷信息是否安全。經過這一處理流程，值班人員可系統地掌握輸電設備的作業(yè)情況。

3、傳輸環(huán)節(jié)。前期準備工作完成，部隊內網便可以對信息進行分配傳輸，按照各個站點的具置定點傳送。信息傳輸過程應當添加必要的檢測措施，綜合l生地檢測待傳輸內容是否安全可靠。如：計算機輸出端口采用數字過濾器，檢測將要傳輸信息內容的安全情況；站點接收端應重新過濾接收到的信息，以免擾亂內網秩序。

部隊信息安全范文第3篇

關鍵詞：分布式；信息安全；規(guī)劃；方案

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據來自eWeek 的消息，市場研究機構Gartner 研究報告稱，很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務的壓力為主，因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業(yè)而言，因為信息安全需求和部署相對更加復雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標

2.1 總體規(guī)劃原則

對于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風險；突出重點，分級保護；統籌安排，分步實施；分級管理，責任到崗；資源優(yōu)化，注重效益。

這個原則的制定主要是根據分布式企業(yè)的實際機構構成情況、人員素質情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標

信息系統安全規(guī)劃的方法可以不同、側重點可以不同，但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規(guī)劃的最終效果應該體現在對信息系統與信息資源的安全保護上，下面將分別對組織規(guī)劃、管理規(guī)劃和技術規(guī)劃分別進行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實施起到保駕護航的作用。信息系統安全規(guī)劃的目標應該與企業(yè)信息化的目標是一致的，而且應該比企業(yè)信息化的目標更具體明確、更貼近安全。信息系統安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標

組織建設是信息安全建設的基本保證，信息安全組織的目標是：

1）完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構，達到國際國內標準的要求；

2）打造一支具有專業(yè)水準的、過硬本領的信息安全隊伍。對內可以保障企業(yè)內部網安全，對外可以向社會提供高品質的安全服務；

3）建設一個 “信息安全運維中心（SOC）”，能夠滿足當前和未來的業(yè)務發(fā)展及信息安全組織運轉的支撐系統，能夠對外提供安全服務平臺。

3.2 組織規(guī)劃實施

對于組織規(guī)劃這個方面，是屬于一個企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實現，其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業(yè)而言，需要主導部門從上層著手，建章立制，強化安全教育，加大基礎人力、財力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標

信息安全管理規(guī)劃的目標是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓體系，一套信息安全風險監(jiān)管機制，一套信息安全績效考核指標?！捌咛仔畔踩洿胧标P系如圖1所示。

4.2 信息安全管理設計

基于對管理目標的分析，信息安全管理的原則以風險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。

4.2.1 信息安全等級劃分指標

信息安全等級保護是國家在國民經濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關于信息安全工作應達到的要求，在信息安全規(guī)范方面，根據調查，建立信息安全管理規(guī)范、信息安全技術規(guī)范。其中，安全管理規(guī)范主要針對人員、團隊、制度和資源管理提供參照性準則；信息安全技術規(guī)范主要針對安全設計、施工、維護和操作提供技術性指導建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應遵循的信息安全程序，其目的是減少安全隱患，降低風險。

4.2.6 信息安全績效考核指標

信息安全績效考核指標是指針對信息安全工作的質量和態(tài)度而給出的評價依據，其目的是增強信息安全責任意識，提高信息安全工作質量。

4.2.7 信息安全監(jiān)管機制

信息安全監(jiān)管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制，做到“安全第一，預防為主”。

4.2.8 信息安全教育培訓體系

其主要目的加強的信息安全人才隊伍的建設，提高企業(yè)人員的信息安全意識和技能，增強企業(yè)信息安全能力。

5 信息安全技術規(guī)劃

5.1 技術規(guī)劃目標

信息安全技術規(guī)劃目標簡言之是：給業(yè)務運營提供信息安全環(huán)境，為企業(yè)轉型提供契機，構建信息安全服務支撐系統。具體目標如下：

1）打造信息安全基礎環(huán)境，調整和優(yōu)化IT基礎設施，建立安全專網，設置兩個中心（信息安全運維中心、災備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監(jiān)控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能，實現的集中安全管理控制，快速安全事件響應，高可信的安全防護，拓展企業(yè)業(yè)務，開辟信息安全服務新領域。

5.2 信息安全運維中心(SOC)

SOC 是信息安全體系建設的基礎性工作，SOC 承載用于監(jiān)控第一生產網的安全專網核心基礎設施，提供信息安全中心技術人員的辦公場所，提供“7×24”小時連續(xù)不斷的安全應用服務,提供實時監(jiān)控、遠程入侵發(fā)現、事件響應、安全更新與升級等業(yè)務，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外，SOC 的技術性工作還要做以下幾個方面：

1）硬件基礎建設，主要內容是SOC 的選址、布局、布線、系統集成，實現SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎建設，包括SSS 系統、機房監(jiān)控子系統、功能小組及中心組劃分。

圖1 信息安全軟措施關系

圖2 信息安全總體框架

圖3 資產、組織、管理和安全措施的關系

5.3 信息安全綜合測試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產品和應用系統，為了保障安全，必須對這些IT 系統和產品做入網前安全檢查，消除安全隱患?；诖耍C合測試環(huán)境建設的內容包括：安全測試網絡；測試系統設備；安全測試工具；安全測試分析系統；安全測試知識庫。

其中，安全測試網絡要求能夠模擬企業(yè)網絡真實的帶寬；測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等，并提供使用說明、漏洞掃描、應用安全分析；安全測試分析系統能夠提供統計分析、圖表展現功能；安全知識庫包含以下內容：漏洞知識庫，補丁信息庫，安全標準知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產品知識庫，安全概念和術語知識庫。

5.4 安全平臺建設規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設計如圖2所示。

主要目的，以資產為核心，通過安全組織實現資產保護，以安全管理來約束組織的行為，以技術手段輔助安全管理。其中，資產、組織、管理、安全措施的關系如圖3所示，核心為資產，圍繞資產是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認證授權；信息安全防護；信息安全監(jiān)控；信息安全測試；信息安全審核；信息安全應急響應；信息安全教育培訓；信息安全服務。

6 信息安全服務業(yè)務規(guī)劃

6.1 服務業(yè)務規(guī)劃目標

信息安全服務業(yè)務規(guī)劃目標簡言之是：以信息安全服務為切入點，充分發(fā)揮企業(yè)優(yōu)勢資源，引領信息安全市場，為企業(yè)轉型創(chuàng)造時機。具體目標如下：

1）推出面向客戶安全（檢查、教育、配置）產品；2）推出面向大型企業(yè)的信息安全咨詢產品；3）推出面向家庭安全上網產品；4）推出面向企業(yè)安全運維產品；5）推出面向企業(yè)災害恢復產品。

6.2 服務業(yè)務規(guī)劃設計

服務業(yè)務規(guī)劃主要針對具體業(yè)務而言，在此列舉信息類分布式企業(yè)業(yè)務作為示例：

1）信息安全咨詢類產品，其服務功能主要有：信息安全風險評估；信息安全規(guī)劃設計；信息安全產品顧問。

2）信息安全教育培訓類產品，其服務功能主要有：提供信息安全操作環(huán)境；提供信息安全知識教育；提供信息安全運維教育。

3）家庭類安全服務產品，其服務功能主要有：推出“家庭綠色上網”安全服務；家庭上網防病毒服務；家庭上網機器安全檢查服務；家庭上網機數據備份服務。

4）企業(yè)類安全服務產品，其服務功能主要有：企業(yè)安全上網控制服務；企業(yè)安全專網服務；安全信息通告；企業(yè)運維服務。

5）容災類安全服務產品，其服務功能主要有：面向政府數據災備服務；面向政府信息系統災備服務；面向企業(yè)數據災備服務；面向企業(yè)信息系統災備服務。

7 結束語

通過結合分布式企業(yè)的具體實際，按照信息安全體系結構相關標準，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標。并依據次原則與目標，按照組織、管理和技術三個方面提出了具體的實現與設計規(guī)范原則。最后，依據服務規(guī)劃目標，提出了信息類分布式企業(yè)的信息安全服務規(guī)劃設計實例。

參考文獻：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網絡安全技術與應用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報，2006,23,(1):25～28.

[4] 張慶華. 信息網絡動態(tài)安全體系模型綜述[J].計算機應用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術安全評估的系列標準[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標準[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.

部隊信息安全范文第4篇

[關鍵詞]農產品質量安全問題；信息不對稱；對策

[中圖分類號] F326［文獻標識碼］ A

[文章編號] 1673－0461（2008）04－0031－03

基金項目：本文是國家863計劃項目“主要農產品質量全程跟蹤與溯源技術研究與應用”（2006AA10Z265）的階段性研究成果。

一、農產品質量安全問題中的信息不對稱分析

1.消費者和生產者之間及生產者和生產者之間的博弈分析

（1）消費者和生產者之間博弈的策略矩陣

假定市場中只有兩類農產品生產主體：A企業(yè)只生產符合一定標準的優(yōu)質安全農產品，B企業(yè)只生產質量較低的普通農產品。設農產品生產企業(yè)的利潤為π，產品銷售量為Q，銷售價格為P，單位成本為C，則企業(yè)的利潤模型為π=PQ-QC，再設πA為A企業(yè)所獲利潤，πB為B企業(yè)所獲利潤，PA為市場中優(yōu)質安全農產品的價格，PB為普通農產品的價格。UA為消費者消費優(yōu)質安全農產品所獲得的效用，UB為消費者消費普通農產品所獲得的效用。則消費者和生產者之間博弈的策略矩陣如表1所示。

經過如此反復地連續(xù)動態(tài)博弈，直至整個市場被普通農產品甚至是劣質農產品所取代。正是由于農產品市場中的這種“檸檬效應”，會降低消費者對優(yōu)質安全農產品的預期，可能出現πA

（2）生產者之間博弈的策略矩陣

現在假定市場上只有兩個企業(yè)，既C企業(yè)和D企業(yè)，且均追求利潤最大化。若市場上兩個企業(yè)均提供高質量的農產品，在完全競爭條件下，市場價格為PCg=PDg=10，產量QCg=QDg=1/2Q，假設兩個企業(yè)生產邊際成本均為0，每個企業(yè)生產高質量農產品收益分別為10×1/2Q=5Q。若市場上兩企業(yè)均提供較低質量的普通農產品，則市場價格為PCn=PDn=5，產量QCn=QDn=1/2Q，則兩企業(yè)的收益均為5×1/2Q=2.5Q。

①若市場信息是完全的，則A、B兩個企業(yè)博弈矩陣如表2所示。

②若A企業(yè)生產高質量農產品，B企業(yè)提供的是普通農產品，由于“檸檬市場”效應，消費者認為市場中高質量農產品的數量只占50%，則對整個市場的農產品按平均價格(1/2×10+1/2×5=7.5)來購買。在此前提下，表2所示的收益矩陣會發(fā)生改變。

如表3所示，當農產品的“檸檬市場”存在時，提供高質量農產品的企業(yè)收益反而下降，由5Q跌為3.75Q，而生產普通農產品的企業(yè)反而占盡“外部性”便宜，收益由該得的2.5Q升至為3.75Q，更加刺激了普通農產品的供應，從而抑制了高質量農產品的生產。經過數輪市場選擇，不管是C企業(yè)還是D企業(yè)，其最優(yōu)戰(zhàn)略都是(不生產，不生產)，博弈雙方陷入了“囚陡困境”。C、D兩個企業(yè)的這種“囚陡困境”選擇，不僅降低了雙方企業(yè)的總收益，而且降低了整個社會的福利。所以，這一解是不穩(wěn)定的，更非帕累托最優(yōu)。

二、農產品質量安全問題的影響

農產品在人類生產生活中居于特殊地位, 由其引發(fā)的有害效應對社會和經濟的影響將是全方位的。從市場供給與需求的角度看, 涉及到的利益主體有廣義的生產者(供給方) 、消費者(需求方)、政府(市場管理方) 三方面。

1.消費者的健康損害、收入損失及偏好改變

獲得安全、營養(yǎng)和健康的農產品是每一個消費者的最基本的權益。農產品質量安全問題的發(fā)生首先損害的是消費者的生命和健康，尤其是這種損害具有不可逆性，更可能導致潛在的死亡和疾病總數的增加。此外，消費者會因食源性疾患遭受收入損失。這種損失可能包括醫(yī)療費、誤工費及其他一些機會收益。據有關專家估計，我國每年食物中毒人數至少在20～40 萬人。由此推算出的經濟損失可以想像，這種相對收入損失更可能使貧窮者的經濟陷入惡性循環(huán)狀態(tài)。

隨著收入水平的提高，消費者對質量安全性高的農產品有強烈的偏好，因此愿意支付更高的價錢。問題是信息的不對稱與供給者的機會主義行為妨礙了消費者的選擇。因此，改善信息的供給，規(guī)范市場秩序是促使消費者改變偏好的前提，也是利用市場機制進行農產品安全管理的機理所在。

2.生產者損失及行為改變

提高農產品安全性會影響生產經營成本，進而削弱產品價格競爭力。對利潤最大化的追求增加了其采取機會主義行為的可能性，他們有兩種可能的選擇：一是通過降低農產品質量以降低成本；二是通過加強生產管理、營銷工作以實現產品差別化，通過優(yōu)質優(yōu)價機制實現利潤目標。如果市場上劣質農產品與安全性高的農產品魚目混珠，而消費者又無法作出有效辨別，提高農產品安全性的成本不能在銷售時得到消費者認可并支付，就會降低生產者提高農產品質量安全的積極性。

3.政府規(guī)制的成本

保障公民的農產品供給安全、營養(yǎng)、健康是政府公共管理的責任。然而，政府對市場進行規(guī)制是有經濟成本的，一部分體現在政府預算中的公共管理支出部分，另一部分則是政策作用于生產者導致的生產成本的提高部分。管理成本可以通過預算調節(jié)來解決, 而生產成本只能通過消費者付費來解決。因此，要實現農產品質量安全的有效供給，就必須提高供給者的積極性，使供給方的改善質量安全的努力通過消費者支付意愿的表達為需求方承認。這里關鍵是政府通過行政機制最大限度地為消費者提供獲取相關信息的保障，限制企業(yè)采取機會主義行為，以維護市場公正。

三、解決農產品質量安全問題的經濟理論探討

通過前文論述而知，農產品買賣雙方信息不對稱造成了買方的逆向選擇，逆向選擇對農產品生產起著“質量促退加速器”的作用。買方對農產品質量難以判斷這一事實，是導致“質量促退加速器”啟動的根本原因。因此，利用市場機制解決農產品質量安全問題的關鍵是解決消費者信息缺失的問題，克服供給者的機會主義傾向，這有賴于強化農產品市場中的“正的”信號顯示以消除農產品質量信息的不對稱。如何達到此目的，主要面臨兩個問題：一是如何用最小的代價來識別農產品質量安全中的信用信息，這是交易成本問題；二是誰來促進市場信息的流動，這是市場中介問題。本文試圖從以下幾個方面來對此作些探討：

1.以合理的價格依存機制保障農產品的優(yōu)質優(yōu)價

質優(yōu)產品必須得到一個合理的價格才能使期望的經濟利益得以實現，這要求不同質量類別的產品之間要有合理的價格依存機制。如果利潤用π表示，價格用P表示，成本用C表示，有機農產品用1表示， 綠色農產品用2表示，無公害農產品用3表示，普通農產品用4表示，要想增加有機農產品等優(yōu)質品的比例，必須使得π1>π2 >π3>π4。一般來說，產品的品質越好，花費的成本也就越高，所以會有C1>C2>C3>C4。因此，為了保持合理的投資利潤率，某種質量產品價格的決定不但要考慮到生產該種產品的成本、利潤，而且還要考慮到其他質量級別的價格水平，P1、P2、P3、P4之間的價格比例會影響生產者對下一個生產過程的決策選擇。只有保障π1>π2 >π3>π4時，農產品平均質量升級的利益誘導機制才會有效。

2.以商業(yè)信用為產品質量提供擔保

當質量信息真假難辨時，商業(yè)信用就成為市場上最稀缺的商品。根據經驗觀察，以商業(yè)信用為產品質量提供擔?？梢允琴|優(yōu)產品賣方采取的有效行為。

商業(yè)信用是區(qū)分不同質量產品的有效信息。一般說來，資產是生產者過去長期經營的結果，也是未來繼續(xù)經營的投資，所謂“有恒產者有恒心”，資產規(guī)模大，往往可看作生產者長期經營的表示，一定程度上資產可以代表信用；廣告宣傳的花費，是生產者的沉沒成本，并不增加商品的功能，只能通過擴大銷售量收回，銷售量的擴大是商品被社會廣泛認同的結果；固定的銷售地點，便于消費者多次購買，一般認為重復博弈中，會有長期利益對短期利益的制約，有利于買賣雙方的守信；商標注冊的目的是便于買方識別商品，敢于與眾不同的商品是好商品；生產者個人資料的公布，使生產者的質保承諾便于兌現，表示生產者愿意為產品質量承擔損失和風險；愿意開放生產過程增加了質量信息的透明度，是生產者贏得社會信任的表示。如果賣方主動在市場向買方傳遞這類信息，是其擁有良好的個人信用的表示，信譽好的生產者希望消費者記住這些信息，通過這些信息把商品突出出來。

因此我們認為賣方的資產K、固定的銷售地點P、廣告宣傳A、產品是否有商標M、賣方向市場提供的個人信息G，共同構成了賣方的信用函數U：

U (X)=F(K，P，A ，M ，G)

根據以上模型，應用一定的數學方法對各個自變量進行賦值處理，可計算出不同生產者的U(x)值，就能對優(yōu)質品生產者進行成功的信號分離。為保證社會上對優(yōu)質品的需求，還需要設計一個與生產者商業(yè)信用相關的、以經濟利益為誘導的激勵約束機制，使商業(yè)信用好的生產者的守信行為符合經濟理性原則，使良好的商業(yè)信用能長期保持下去[2]。

3.以農產品認證體系改善信息傳遞機制

在理性有限的前提下，買方不可能具備所有商品的知識。因此，在信息不完全的市場上，消費者做出購買決策之前，必然伴隨一系列搜尋過程。由此發(fā)生的搜尋成本(或信息成本)就是消費者支付產品價格之外不得不支付的交易費用。交易費用越高，則消費者購買行為的效率越低。從買方的立場上看，與其花很多時間和精力去了解農產品質量安全方面的專業(yè)知識，不如找到一種權威的和更易辨識的替代信息。認證制度所提供的，恰恰就是這種替代信息。

認證活動的本質在于認證機構以自身的無形資產(信用)作為抵押，為被認證產品進行擔保，從而使信息交換更加順暢，促進了市場信息的有效轉化。從信息經濟學的角度看，認證的信用機制作為傳遞產品質量信息的輔助手段，能夠有效解決信息不對稱的問題，降低市場信息交換成本，是一種節(jié)約交易費用的制度安排。因此，從消費者的利益出發(fā)，任何強制性認證和自愿性認證都可以提供必要的農產品信息，因而都是有價值的。對于那些與人身安全直接相關的農產品質量信息來說，消費者甚至更贊同強制性認證制度[3]。在當今這樣復雜的市場體系中，消費者和生產者之間難以建立起交互信用關系，因此，借助認證機構的信用中介功能不失為一種實現信息有效傳遞的手段。

4.以政府規(guī)制影響消費者以及生產者的行為

從理論上講, 只要降低消費者獲得農產品質量信息的成本，就能有效約束“敗德行為”和正確表達消費者偏好。但在實際中，任何單個消費者全面獲得這些信息的成本(包括搜尋信息的成本和驗證其真實性的成本) 是極其高昂的，這時政府的介入，發(fā)揮其公共服務職能成為必需。政府通過制定生產標準規(guī)范以及市場秩序管理等可以限制供給者的機會主義行為, 認證體系作為一種為消費者提供低成本農產品質量安全信息的途徑也需要政府的嚴格規(guī)范。政府進行規(guī)制的基本原理，就是基于農產品質量安全具有外部性。政府通過行政手段促進農產品質量安全信息的傳遞可以影響消費者以及生產者的行為, 以達到最大限度地改善市場環(huán)境、提高市場效率的目的。

[參考文獻]

[1]王艷霞.農產品質量管理的信息經濟學分析[J].經濟問題,2004,(9).

[2]徐金海.農產品市場中的“檸檬問題”及其解決思路[J].當代經濟研究,2002,(8).

[3]王曉霞.農產品認證制度的經濟學分析[J]. 世界標準化與質量管理，2006,(9).

A Study of Information Asymmetry in Quality Safety Problems of Agricultural Products and the Countermeasure

Wu Xiuli1，LI Shuchao1，Zheng Guosheng1，Yang Xinting2

(1.Qingdao Agricultural University,Qingdao266109,China;2.National Engineering Research Center for Information Technology in Agriculture, Beijing100097,China)

部隊信息安全范文第5篇

Key words： Internet information security；TF-IDF model；KNN algorithm；industry distribution

中圖分類號：TP399 文獻標識碼：A 文章編號：1006-4311（2015）20-0050-04

0 引言

隨著互聯網的迅速發(fā)展和普及，企業(yè)的信息化建設的步伐也在不斷地加快。從外部環(huán)境來看，由于市場范圍不斷擴大，科技競爭、營銷競爭、市場和人才的爭奪日益激烈，對企業(yè)形成了強大的壓力。依托互聯網及信息資源，采用信息技術來實現信息化，是企業(yè)保持競爭優(yōu)勢的有力措施。從企業(yè)內部來看，為適應外部競爭環(huán)境，企業(yè)內部結構、業(yè)務流程、管理方式以及商業(yè)模式都需不斷調整、重組、變革。企業(yè)與互聯網結合進行信息化建設，在引入新技術的同時，能夠提高企業(yè)的應變能力、創(chuàng)新能力和競爭能力[1]。

同時，企業(yè)通過互聯網可以快速了解市場信息，掌握市場動態(tài)，傳遞和交換商業(yè)信息，進而提高工作效率，節(jié)省成本，企業(yè)的信息化建設在市場競爭中具有重要的戰(zhàn)略地位[2]。

關于企業(yè)網絡信息安全的研究多集中于網絡威脅的檢測和具體的方法技術，或者從安全管理制度入手，協調企業(yè)內部管理機制，建立信息安全管理模型[4]。也有學者從技術、管理和資源角度出發(fā)，考慮信息安全體系的構建原則，或者針對具體的安全問題，提出具有創(chuàng)見性的解決或操作方案[5]。這些都是從企業(yè)建設的角度，來分析企業(yè)信息安全問題，企業(yè)個體層面的研究較多。

而從宏觀上來看，不同行業(yè)面臨的信息安全問題也會有所區(qū)別，如何明確不同行業(yè)的信息安全威脅程度，并出臺相應政策改善信息安全狀況，是相關政策制定者亟需考慮的問題。

從行業(yè)分布來看企業(yè)的信息安全狀況，能夠給企業(yè)帶來戰(zhàn)略性的指導，通過明確信息安全威脅程度，可以有針對性地制定信息安全投入策略，優(yōu)化企業(yè)管理資源配置[6]。

此外，信息安全的行業(yè)分布特征可以從整體上反映我國的信息安全體系建設的狀況，進而通過加強對不同行業(yè)的引導，探索保護企業(yè)信息安全的有效途徑，來完善相應的法律法規(guī)制度。

網絡信息安全事件中，絕大多數是由黑客行為造成的，在易受黑客攻擊的行業(yè)中，依然有部分企業(yè)完全忽視了信息安全的重要性。

本文從探究不同行業(yè)的網絡信息安全威脅的角度出發(fā)，以某知名黑客論壇搜集到的300多萬條黑客攻擊數據為基礎，旨在通過實證研究得出不同行業(yè)的網絡信息安全威脅程度，為相關部門制定信息安全政策提供支持，同時為不同的行業(yè)區(qū)分不同的信息安全等級，有針對性地實施信息安全保護措施。

1 入侵行為樣本數據采集及預處理

本文所采用的數據來自于某知名黑客論壇，該論壇收錄了大量的網站入侵數據，每條數據由黑客攻擊者本身上傳，并提供相應的證據證實該行為的真實性，該論壇的工作人員會對提交的信息進行審核，確認其真實性后才會在網站社區(qū)進行。數據的采集以網絡爬蟲（Web Crawler）抓取的方式進行，主要抓取被攻擊網站的中文標題和中文關鍵字，便于后續(xù)的數據處理和分析。

從該網站采集的數據文字信息雜亂無規(guī)律，且數據量大，其中大部分為無效數據。由于無效數據擴大了樣本容量，不具有分析價值，在對數據的冗余統計上，會使結果造成很大的偏差。為了使分析結果更加準確，我們通過編寫相應的程序代碼，對初始數據進行預處理，包括外文字符的處理、半角及全角轉換、漢字編碼轉換以及無效數據的清除等工作。清除無效數據主要包括去除無明顯含義的字詞、空白字符和特殊符號。我們收集到的數據總量為3445153條，經過篩選和預處理，有效數據為725550條。

《財富中國》曾經根據發(fā)達國家的行業(yè)界定與行業(yè)演變規(guī)則，對中國的行業(yè)進行了新的分類，本文參考它的分類標準，將細分的行業(yè)歸結到新的行業(yè)大類中。由于分析的數據量比較大，我們采用文本分類算法對數據進行分類，先由算法學習訓練數據集的分類標準，再批量完成對其他數據的分類。從有效數據中隨機選取10000條不同的數據進行人工分類作為訓練數據集，通過每條數據的關鍵字和句子描述的意義判斷它屬于哪個具體的行業(yè)。

2 網絡信息安全數據分析

由于每一條有效數據代表著一次黑客攻擊或者信息安全事件，得出每條數據的行業(yè)分類，就能看出整體的網絡信息安全事件的行業(yè)分布情況。本文根據現有數據選擇能夠代表每個行業(yè)的關鍵字集合，即行業(yè)特征值，再結合訓練數據集（人工分類數據集），以及KNN分類算法，對數據進行自動分類。

在數據分類過程中，對于行業(yè)特征值的選擇遵循兩個原則，一是關鍵字要具有代表性，不僅在語義上能表明這個行業(yè)，還要在分析的樣本數據中，與其他行業(yè)具有一定的區(qū)分度；二是與其他行業(yè)關鍵字之間互斥，盡量避免與其他行業(yè)的分類詞相關聯，并且在其他行業(yè)數據中出現的次數比較少。為了更有效地選取行業(yè)特征值，我們采用TF-IDF模型來確定。

獲得數據中每個行業(yè)的特征值之后，我們采用KNN算法對數據進行分類。由于KNN算法是非參數算法，只需要提供已經按照規(guī)則分類好的訓練數據集，和分類屬性的特征值，KNN算法便可以通過學習來進行新的分類。此外，KNN算法分類效果較為準確，雖然需要比對訓練數據集，但由于本訓練集的內容是單條數據，可以克服KNN運算時空開銷大的弊端[7]。

2.1 TF-IDF模型選取行業(yè)特征值

在本研究中，TF-IDF模型的主要作用是用來尋找能夠有效代表某一行業(yè)的名詞，即行業(yè)特征值。一個名詞在某一行業(yè)的文本中出現的頻率越高，而在所有的文本中出現的越少，則區(qū)分其他行業(yè)的效用越大，相應的TF-IDF值就越大[8]。TF-IDF值的計算是基于10000條樣本數據進行的。其公式為：

TF-IDF=TF×IDF=■×log■

其中：TF：該名詞在某一行業(yè)文本中的詞頻；n：該名詞在某一行業(yè)文本中出現的次數；N：行業(yè)文本中名詞的總數；IDF：逆向文本頻率，即所有文本數與包含該關鍵字文本數的商的對數；W：所有文本數，在樣本數據中，值為10000；d：包含該關鍵字的文本數。

TF-IDF模型能夠減少模糊匹配和互斥性差對分類造成的影響，較好地體現了行業(yè)特征值對行業(yè)的代表性，以及行業(yè)特征值對于分類結果的互斥性[9]。

①獲取關鍵字的TF值。

TF-IDF模型使用人工分類的數據（訓練數據集）來獲取行業(yè)特征值，在得到某一行業(yè)的行業(yè)特征值之前，我們將候選的名詞稱為關鍵字。由于篇幅有限，這里只以信息相關行業(yè)為例介紹如何通過TF-IDF模型選擇關鍵字，并優(yōu)化形成行業(yè)特征值的過程。首先通過編寫程序對“信息相關行業(yè)”樣本數據進行分詞并標注詞性，隨后選取名詞作為關鍵字，統計詞頻獲得TF值。

②計算IDF值，并獲得TF-IDF值。

經過分詞后會產生很多與信息相關行業(yè)無關的名詞，這些名詞并不都能代表信息相關行業(yè)。我們從上述列表中依次挑選出可以代表信息相關行業(yè)的關鍵字，并在10000條樣本數據中搜索包含該關鍵字的數據條數，即模型中的d。依據TF-IDF模型公式計算出IDF值，然后將TF值與IDF值相乘獲得TF-IDF值。

③基于TF-IDF模型獲取行業(yè)特征值集合。

TF-IDF值計算出來后，根據大小排列，我們可以很好地了解哪些關鍵字最能代表信息相關行業(yè)，并能進一步明確行業(yè)特征值集合。設信息相關行業(yè)的行業(yè)特征值集合為M{n1，n2，n3…}，ni表示集合中的關鍵字，依據TF-IDF值列表，由高到低依次向該集合中添加一個關鍵字，并以M集合中的關鍵字作為查詢條件，獲得數據條數。該過程是一個動態(tài)的優(yōu)化過程，每添加一個關鍵字，搜索的數據條數都會改變，與人工分類的結果越接近我們認為分類效果越好。

我們設置參數偏離度De來衡量優(yōu)化性能，De的計算公式為：

De=■=■

其中：De：用來衡量與人工分類偏離程度，值越小，表明分類效果越好；R：經過TF-IDF模型優(yōu)化后的分類方案所得出的行業(yè)百分比；s：用行業(yè)特征值集合查詢的數據條數；S：樣本數據總條數，為10000；P：人工分類的行業(yè)百分比，信息相關行業(yè)P值為19.01%。

2.2 應用KNN算法進行數據分類

由于KNN算法能夠學習訓練數據集的分類標準，且具有分類精度高、穩(wěn)定性強的特點[10]，本文采用KNN算法實現文本的自動分類。KNN算法分類過程涉及到特征值的選取和相似度的計算，特征值即在TF-IDF模型優(yōu)化的過程中選出的行業(yè)特征值集合。語義相似度采用夾角余弦函數進行計算，兩個文本向量在空間中的夾角越小，余弦值越大，表示其語義相似度越大，反之亦然。KNN的決策過程如下：

C=argmax■（score（ ■，c■））

=argmax■■Sim（ ■，■）δ（■，c■）

其中KNN（■）表示文檔的k個鄰域，δ（■，c■）含義如下：

δ（■，c■）=1 ■∈c■0 ■？埸c■）

c■表示不同的行業(yè)分類；■表示待分類的文本向量；■表示K個鄰域中的第j個已確定行業(yè)分類的行業(yè)特征向量；Sim（■，■）表示待分類文本向量與已確定分類文本向量的相似度。

2.3 數據分類結果

依據KNN算法分類思想，結合自然語言處理開源工具包（FudanNLP），編寫相應的程序代碼，實現KNN分類器的算法分類。FudanNLP運行環(huán)境為聯想Z460筆記本電腦，6G內存，酷睿i3處理器，2.53GHz。全部的有效數據經過KNN分類器運算的分類結果如表1所示，信息相關行業(yè)、專業(yè)服務、教育、旅游休閑均超過了5%，其中信息相關行業(yè)逼近20%，是網絡信息安全問題出現最多的行業(yè)。其次，建筑建材、醫(yī)藥衛(wèi)生、文化超過了3%，企業(yè)的網絡信息安全問題仍然嚴峻。其他行業(yè)占比比較低，交通運輸和制造業(yè)相對較高。

3 行業(yè)分類結果分析與建議

根據分類結果，我們對不同行業(yè)所面臨的網絡信息安全威脅進行了等級劃分，如圖1所示。在本研究數據中，網絡信息安全問題占比5%以下的行業(yè)，網絡信息安全威脅程度較低；占比5%-15%的行業(yè)，網絡信息安全威脅程度適中；占比5%-15%的行業(yè)，網絡信息安全威脅程度較高。

3.1 建立信息安全管理體系框架

英國標準協會（SBI）于1959年制定了信息安全管理體系標準，并于1999年進行了修訂改版，2000年12月經包括中國在內的國際標準組織成員國投票表決，正式轉化成國際標準。信息安全管理體系框架（ISMS）的建立，對保護企業(yè)信息資產安全，建立良好的市場秩序，提升企業(yè)的綜合競爭力，有著重要意義。這是一個龐大的系統工程，必須依賴政府自上而下的頂層設計，來構建新的治理體系[11]。該框架應對信息安全的管理目標、管理主體與客體及管理工具，進行詳細的闡述與界定，對不同的行業(yè)應有不同的要求，根據行業(yè)信息安全威脅程度，來實施信息安全保護及等級評估的具體措施。

目前，我國政府以及各行各業(yè)已經認識到了信息安全的重要性，國務院辦公廳先后頒布了一系列相關政策，直接引導推進信息安全系統的應用和發(fā)展。

此外，政府相關部門應對信息基礎設施加以整合，集中網絡信息安全的領導權和統一諸如加密標準、認證標準、數字簽名標準等信息安全產業(yè)標準，通過加強跨區(qū)域、跨部門的系統互聯來實現網絡信息安全。

同時，各行業(yè)信息安全管理框架應由各機構根據自身的實際狀況搭建，制定適合企業(yè)自身業(yè)務發(fā)展的信息安全管理框架。

3.2 信息相關行業(yè)

由統計結果可以看出，信息相關行業(yè)中的企業(yè)更容易出現網絡信息安全問題，占比接近20%，這和信息相關行業(yè)本身的性質有關。

首先，信息相關行業(yè)以互聯網企業(yè)居多，與網絡有更強的粘滯性，大部分的業(yè)務都需要通過網絡來完成，網絡中存在大量的信息安全威脅，對直接暴露在復雜網絡環(huán)境中的服務器、主機終端等硬件設施，和處理企業(yè)事務的軟件，具有較強的破壞性。

比如2014年9月，美國家得寶公司確認其支付系統遭到網絡攻擊，將近有5600萬張銀行卡的信息被盜。其次，部分企業(yè)自身的防范意識不足，防范措施不完善，無法適應較高的信息安全要求，尤其缺乏專業(yè)的信息安全管理人員，導致信息安全事件頻發(fā)。

此外，國內信息相關行業(yè)的安全體系并沒有完全建立起來，無法對企業(yè)形成有力的督促效應和政策約束，大部分企業(yè)忽視了在信息安全方面的投入，沒有上升到企業(yè)戰(zhàn)略的高度。

信息相關行業(yè)中的企業(yè)應明確自身承受著較高的網絡信息安全威脅，首先應加大在信息安全方面的資源投入，一是增加物理防護，增加服務器，運行防火墻等軟件，或者開辟網絡專線；二是增加軟件防護，安裝企業(yè)級的殺毒軟件，對網絡安全狀況進行及時的監(jiān)控，并排除威脅。其次，設立嚴格的信息安全保障制度，保證業(yè)務的正常開展，從而減少信息泄露或企業(yè)業(yè)務中斷的風險，獲得商業(yè)競爭優(yōu)勢。

同時，國家信息安全相關部門可以對信息相關行業(yè)中的企業(yè)設置信息安全建設綠色通道，鼓勵他們積極完善自身的信息安全防護機制，必要時設立審查制度，定期對企業(yè)的信息安全建設情況進行審查并進行評級，確保相關政策有效落實。

3.3 專業(yè)服務、教育和旅游休閑行業(yè)

專業(yè)服務、教育和旅游休閑的信息安全事件均超過了5%，表明在這三個領域仍然存在著較高的網絡信息安全威脅。服務行業(yè)包括廣告、維修、設計、通信等，從行業(yè)特征來看，他們在互聯網安全的投入中并不會占整體投入的太多比例，網絡安全受到威脅，不會對他們的業(yè)務帶來顯著的影響。

相對于信息相關行業(yè)，專業(yè)服務、教育和旅游休閑的企業(yè)信息安全問題，更多的是來源于網絡安全基礎設備的不足，由于網絡連接不涉及核心業(yè)務，大部分企業(yè)忽視了硬件設備的采購以及防護體系的建立，企業(yè)信息遭到竊取和泄露在所難免。

這一問題在教育行業(yè)尤為突出，一些高校為了減少網絡建設投入，同時也為了給學生提供技術鍛煉平臺，直接將門戶網站和非關鍵系統的建設與維護交給了學生團體，由于缺乏經驗的積累和相關核心安全技術，部分高校網站的脆弱性可見一斑。

旅游休閑類服務型企業(yè)，通常會通過在線交易開展業(yè)務，比如預定付款、網絡游戲充值等等，更容易成為不法分子的攻擊目標，信息安全事件也時有發(fā)生。2014年10月，摩根大通銀行網絡數據庫遭竊，其承認7600萬家庭和700萬小企業(yè)的相關信息被泄露。

該行業(yè)中的企業(yè)由于自身業(yè)務的限制，往往缺乏相應的信息安全應急機制和處理方案，更沒有針對自身信息系統的安全管理措施。這種情況下，企業(yè)應加強尋求對外合作，讓更專業(yè)的第三方機構負責信息系統的實施與維護，簽訂服務水平協議，并提供信息安全保障。

此外，盡量減少經濟利益的網上流通，加大審查力度，網上支付、在線交易等要進行嚴格的審批，沒有足夠安全保障的企業(yè)，不能提供此項服務；同時也要對現有的線上支付方式進行檢查，具有潛在安全隱患的要及時進行警告和撤銷，并轉換為線下支付。

3.4 其他行業(yè)

建筑建材、文化、醫(yī)藥衛(wèi)生、機構組織、交通運輸、制造業(yè)等行業(yè)中的信息安全事件均超過了1%，其余行業(yè)的信息安全威脅較低。這類行業(yè)較少利用網絡來開展業(yè)務，因此企業(yè)信息泄露的風險普遍較低，發(fā)生信息安全事件的可能性不高。

盡管如此，每年仍然會有相當規(guī)模的網絡惡意攻擊，導致部分企業(yè)服務器癱瘓，無法進行工作。這類安全事件主要由黑客造成，多半是為了展示能力、炫耀技術或者娛樂，并非僅僅是為了獲得企業(yè)的商業(yè)機密信息。

此外，企業(yè)內部人員疏于管理，信息安全意識不強，通過文件傳遞、口頭傳播或者交流聊天都有可能泄露企業(yè)私密信息。值得關注的是，金融和軍事類企業(yè)網絡信息安全威脅較低，主要是因為它們具有嚴格的內部管理制度，員工的信息安全意識，紀律性較強。

其次，它們在物理防護和軟件防護上都做的比較完善，軍事類企業(yè)和組織甚至開辟專用網絡鏈路來保證信息安全。這些行業(yè)中的企業(yè)在日常運作的過程中，所受信息安全威脅較低，應主要完善內部的制度建設，加強員工的信息安全意識的培養(yǎng)，做到人員管理安全。同時，建立完備的危機應急機制十分必要，當網絡信息安全事件發(fā)生時，企業(yè)能夠從容應對。

4 結束語

網絡信息安全威脅是現代企業(yè)都有可能面對的問題，通過互聯網等現代信息技術開展業(yè)務是企業(yè)發(fā)展過程中的必然趨勢。