前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安檢員實(shí)習(xí)心得范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

安檢員實(shí)習(xí)心得范文第1篇

一、信息時(shí)代檔案人員必備的素質(zhì)

所謂素質(zhì)是指人們通過(guò)學(xué)習(xí)、訓(xùn)練和內(nèi)化過(guò)程而形成的相對(duì)穩(wěn)定的、內(nèi)在的、人的整體質(zhì)量水平。從某種意義上說(shuō)，素質(zhì)就是具有復(fù)雜結(jié)構(gòu)的身心各方面的能力及品質(zhì)特征的總和。檔案人員從事的雖然是一項(xiàng)業(yè)務(wù)性強(qiáng)而又極其平凡的服務(wù)性工作，但就其深遠(yuǎn)意義來(lái)說(shuō)它又是一項(xiàng)功在當(dāng)代、利在千秋的偉大事業(yè)。隨著信息化、網(wǎng)絡(luò)化的發(fā)展，檔案人員只有不斷提高自身的素質(zhì)，特別是信息素質(zhì)，才能適應(yīng)信息社會(huì)的需求。那么，信息時(shí)代的檔案人員應(yīng)當(dāng)具備怎樣的素質(zhì)呢?筆者認(rèn)為有以下幾個(gè)方面。

1．檔案人員的信息素質(zhì)

在信息時(shí)代，檔案人員首先應(yīng)具有信息素質(zhì)。信息素質(zhì)作為人的整體素質(zhì)的重要組成部分，它是人們?cè)谛畔⑸鐣?huì)生存的基本條件之一，也是人們?cè)谛畔r(shí)代必須具備的能力。這一概念最早出自于美國(guó)信息產(chǎn)業(yè)協(xié)會(huì)主席波爾(PaulZurkouski)在1974年向全美圖書館學(xué)與信息學(xué)委員會(huì)提交的一份報(bào)告中，并被概括為“利用大量的信息工具及主要信息源使問(wèn)題得到解決的技術(shù)和技能?！贝撕螅@一概念不斷得到發(fā)展。1997年，紐約州立大學(xué)圖書館館長(zhǎng)將信息素質(zhì)定義為：“能清楚地認(rèn)識(shí)到何時(shí)需要信息，并能確定、評(píng)價(jià)、有效利用信息以及有利用各種形式交流信息的能力?！惫P者認(rèn)為，信息素質(zhì)是人們對(duì)信息與信息活動(dòng)的認(rèn)知能力和對(duì)信息綜合利用能力的一種體現(xiàn)。它是信息社會(huì)的人，特別是信息人員(圖書館員、檔案館員等)的基本能力。固然傳統(tǒng)檔案館員也需要具有很好的信息素質(zhì)，但是在信息時(shí)代，數(shù)字檔案館人員與傳統(tǒng)相比，其所具有的信息素質(zhì)在內(nèi)容上和程度上都有很大的不同。從內(nèi)涵上講，現(xiàn)代檔案人員的信息素質(zhì)應(yīng)包括三個(gè)方面：信息意識(shí)、信息道德和信息能力。

(1)信息意識(shí)

良好的信息意識(shí)是具有較高的信息素質(zhì)的前提，同時(shí)也是信息資源開(kāi)發(fā)和利用的強(qiáng)大動(dòng)力。檔案館是各類文獻(xiàn)信息的集中保管基地，檔案人員擔(dān)負(fù)著準(zhǔn)確、快速地收集檔案信息，有效地提供檔案信息的重要職責(zé)，因此要求檔案人員必須具有強(qiáng)烈的信息意識(shí)。檔案人員的信息意識(shí)應(yīng)包括兩層涵義：Bp一般意義上的信息意識(shí)和特殊的檔案信息意識(shí)。一般意義的信息意識(shí)是指人對(duì)信息的敏感程度，是人們對(duì)自然界和社會(huì)各種現(xiàn)象、行為、理論觀點(diǎn)等從信息角度的理解、感受和評(píng)介。它是特殊的檔案信息意識(shí)的基礎(chǔ)。檔案人員的檔案信息意識(shí)是指其對(duì)檔案的信息屬性、對(duì)檔案信息組織、開(kāi)發(fā)、傳播、利用的一種內(nèi)在的、專注的心理傾向。這種信息意識(shí)具體表現(xiàn)在：

a．充分認(rèn)識(shí)到信息的重要性，認(rèn)識(shí)到有價(jià)值的信息可以在生活和工作中起到非常重要的作用，有時(shí)甚至是決定性的作用。檔案信息是社會(huì)的寶貴資源和財(cái)富，應(yīng)當(dāng)并且能夠在社會(huì)上流通，而且應(yīng)當(dāng)認(rèn)識(shí)到，檔案工作者在信息社會(huì)發(fā)揮著重要的作用．肩負(fù)著傳播檔案信息為大眾服務(wù)的重任。

b．對(duì)信息具有分析鑒別能力。一是對(duì)所接觸的信息，能判斷出屬于哪種類型，產(chǎn)生于哪個(gè)領(lǐng)域，主要服務(wù)對(duì)象是誰(shuí)。二是能判斷出此信息是否有價(jià)值，并能估測(cè)出價(jià)值大小。

c．充分認(rèn)識(shí)到信息社會(huì)信息量的膨脹程度以及信息流動(dòng)速度和更新速度的快捷性。

(2)信息道德

信息道德習(xí)慣上也稱為信息品德，從廣義上講，信息道德是指在整個(gè)信息化活動(dòng)中調(diào)節(jié)信息創(chuàng)造者、信息傳播者、信息使用者之間相互關(guān)系的行為規(guī)范的總和。作為檔案信息管理者，其信息道德又有其特定具體的內(nèi)涵，它與職業(yè)道德密切相連，可以說(shuō)是職業(yè)道德在信息社會(huì)的拓展與延伸。檔案人員的信息道德，就是指檔案工作者在檔案信息的管理、開(kāi)發(fā)、傳遞和利用服務(wù)等活動(dòng)中，其思想與行為所應(yīng)遵循的信息規(guī)范和倫理準(zhǔn)則。檔案人員在工作中，應(yīng)該兢兢業(yè)業(yè)地為用戶服務(wù)。及時(shí)、全面地向用戶提供信息。這里除了一般的職業(yè)道德問(wèn)題外，還需特別指出的是關(guān)于知識(shí)產(chǎn)權(quán)的保護(hù)問(wèn)題，由于在網(wǎng)絡(luò)環(huán)境下，往往缺乏社會(huì)有關(guān)機(jī)構(gòu)的監(jiān)督和管理，而且數(shù)字檔案館本身也要進(jìn)行檔案信息的數(shù)字化工作，所以這個(gè)問(wèn)題在信息時(shí)代就顯得重要、復(fù)雜和敏感。

(3)信息能力

這主要是指檔案人員獲取、鑒別、組織和開(kāi)發(fā)檔案信息的能力。

a．對(duì)檔案信息的獲取能力。在信息社會(huì)，由于數(shù)字信息產(chǎn)生和傳播的特點(diǎn)，信息的密集程度，信息分布的復(fù)雜程度以及更新程度都是工業(yè)社會(huì)不可比擬的。所以檔案人員必須熟悉各個(gè)數(shù)字館藏的內(nèi)容及查找方式、各種商業(yè)數(shù)據(jù)庫(kù)的內(nèi)容以及獲取方式，各種搜索引擎的有效利用等等，及時(shí)收集各類檔案信息，以豐富館藏。

b、鑒別檔案信息的能力。這是檔案人員的一項(xiàng)基本信息素質(zhì)。對(duì)檔案信息的鑒別包括對(duì)其原始性、真實(shí)性的判別和檔案價(jià)值的評(píng)估。確定檔案信息的真?zhèn)危且豁?xiàng)十分重要的工作，特別是在信息社會(huì)．產(chǎn)生了大量的電子文件和數(shù)字檔案，其真實(shí)性的判定就更為重要，難度也更大。這就需要有比較專業(yè)的信息鑒別能力。對(duì)檔案信息價(jià)值的評(píng)估和鑒定，區(qū)分其價(jià)值的大小，是在確定了真實(shí)性后的又一個(gè)重要工作，是檔案信息開(kāi)發(fā)利用的基礎(chǔ)。

c．檔案信息的組織開(kāi)發(fā)能力。檔案信息組織開(kāi)發(fā)己成為信息時(shí)代檔案工作的核心內(nèi)容，各類檔案信息必須按照一定的方式進(jìn)行組織整理，形成各種專題數(shù)據(jù)庫(kù)，并能根據(jù)用戶需求對(duì)信息進(jìn)行深層次的開(kāi)發(fā)，形成二次文獻(xiàn)、三次文獻(xiàn)等。而檔案信息開(kāi)發(fā)的深度和廣度，以及檔案信息開(kāi)發(fā)的時(shí)效性，則依賴于檔案人員的信息開(kāi)發(fā)能力。組織開(kāi)發(fā)能力決定著檔案服務(wù)的質(zhì)量和社會(huì)用戶的檔案信息利用程度，影響著檔案事業(yè)的發(fā)展進(jìn)程。要求檔案人員有一種對(duì)檔案信息的職業(yè)敏感性，能及時(shí)了解用戶的需求熱點(diǎn)，有效地組織檔案信息并向社會(huì)傳播。因此．檔案信息組織開(kāi)發(fā)能力是檔案人員信息能力中最主要、最核心的內(nèi)容，居于信息能力的最高層次，是具有創(chuàng)新性質(zhì)的能力。

2、其他各項(xiàng)基本素質(zhì)

這些基本素質(zhì)是對(duì)傳統(tǒng)檔案人員素質(zhì)的繼承，也是形成和提高檔案人員自身信息素質(zhì)的基礎(chǔ)，涉及的范圍較廣，包括政治素質(zhì)、業(yè)務(wù)素質(zhì)、心理素質(zhì)、身體素質(zhì)等等，這與傳統(tǒng)檔案人員的素質(zhì)要求大致相同，在此不作贅述。下面主要強(qiáng)調(diào)一下在信息社會(huì)必需的幾項(xiàng)基本素質(zhì)。

(1)掌握檔案專業(yè)基礎(chǔ)理論與方法

作為一名檔案工作者，首先必須掌握檔案專業(yè)知識(shí)，了解檔案信息的收集、整理到利用的全套理論與方法，并能將這些檔案學(xué)理論與現(xiàn)代信息技術(shù)相結(jié)合。

(2)掌握現(xiàn)代信息技術(shù)

21世紀(jì)是信息高速發(fā)展的時(shí)代，現(xiàn)代檔案信息管理與傳統(tǒng)上有很大的不同，需要既懂檔案學(xué)又掌握了先進(jìn)的信息技術(shù)的“復(fù)合型”人才方可勝任。這里的“現(xiàn)代信息技術(shù)”主要是指計(jì)算機(jī)網(wǎng)絡(luò)與通訊技術(shù)、聲像技術(shù)、多媒體技術(shù)、數(shù)據(jù)庫(kù)技術(shù)、數(shù)據(jù)存取技術(shù)、人工智能技術(shù)等。信息數(shù)字化和網(wǎng)絡(luò)化為用戶提供了在更大范圍內(nèi)查閱信息的機(jī)會(huì)，但同時(shí)也把用戶帶入了一個(gè)陌生的數(shù)字信息海洋，這就要求檔案人員能盡快地適應(yīng)信息環(huán)境，能根據(jù)用戶需求及時(shí)通過(guò)網(wǎng)絡(luò)系統(tǒng)快捷地獲取檔案信息，并把分散的片斷信息組合整理出新信息提供給用戶，成為用戶信賴的咨詢員。

(3)較好的外語(yǔ)能力

隨著國(guó)際交往的加強(qiáng)，熟練地掌握一種外語(yǔ)已成為迫切需要的工作能力。一是因?yàn)闄n案館是對(duì)外交往的窗口；二是檔案館的職能也要求館員外語(yǔ)能力必須加強(qiáng)，這不僅是因?yàn)橥馕男畔⒃陴^藏中占有重要比例，而且隨著網(wǎng)絡(luò)化程度的加強(qiáng)、聯(lián)機(jī)檢索的需要、資源共享的擴(kuò)大，檔案人員只有熟練掌握一門以上的外語(yǔ)知識(shí)才能更好地為用戶服務(wù)。

(4)具有豐富的科學(xué)知識(shí)和科學(xué)管理能力

檔案專業(yè)人員，除具備檔案專業(yè)知識(shí)外，還應(yīng)具有比較全面、系統(tǒng)的文化、理論、科學(xué)技術(shù)知識(shí)，才能更好地勝任自己的工作。

檔案信息管理是一項(xiàng)實(shí)踐性很強(qiáng)的工作，檔案管理、流通借閱、藏用關(guān)系等都是檔案工作中值得研究學(xué)習(xí)和實(shí)踐的問(wèn)題。一個(gè)好的檔案館員不僅要掌握檔案館的管理知識(shí)、運(yùn)行規(guī)律，還要了解各業(yè)務(wù)部門之間的內(nèi)在聯(lián)系。

二、目前檔案人員的素質(zhì)現(xiàn)狀及培養(yǎng)途徑

在信息社會(huì)，檔案作為一種“原生信息”或“信息資源”，其重要意義不言而喻。無(wú)論是發(fā)達(dá)國(guó)家還是發(fā)展中國(guó)家，都在積極地發(fā)展其檔案事業(yè)。而是否擁有充足的、高素質(zhì)的人才資源已成為檔案事業(yè)能否持續(xù)發(fā)展的關(guān)鍵所在，人才資源的開(kāi)發(fā)必然涉及到檔案專業(yè)的教育培訓(xùn)問(wèn)題。

1、檔案人員的知識(shí)結(jié)構(gòu)狀況

近二十年來(lái)，隨著檔案學(xué)教育的發(fā)展，檔案專業(yè)人員的素質(zhì)有了明顯的提高。接受檔案專業(yè)教育的人占總檔案人員的60％以上，而且教育程度也呈上升趨勢(shì)。大中專教育已不再是培訓(xùn)的主體，而是轉(zhuǎn)向本科生教育，國(guó)家也加大了檔案專業(yè)教育的投人力度。但問(wèn)題在于，一是檔案專業(yè)人員的總體教育程度不高。據(jù)統(tǒng)計(jì)，從業(yè)人員中，大部分只接受過(guò)?？苹蛟诼毝唐谂嘤?xùn)，具有本科學(xué)歷的約占5％，有研究生學(xué)歷的更是寥寥無(wú)幾，僅占0．5％左右。仍有不足4o％的檔案人員未接受過(guò)任何專業(yè)訓(xùn)練，并且年齡大都在35歲至5O歲之間，這些人很難勝任信息時(shí)代的檔案工作。這是一個(gè)十分嚴(yán)峻的現(xiàn)實(shí)，解決這個(gè)問(wèn)題是中國(guó)檔案教育最迫切的任務(wù)。二是檔案專業(yè)教育尚未走出傳統(tǒng)的桎梏。首先是專業(yè)設(shè)置過(guò)窄，培養(yǎng)目標(biāo)過(guò)專，為檔案館(室)機(jī)構(gòu)外殼所束縛；再者，課程設(shè)置不合理，未能反映出信息社會(huì)發(fā)展的趨勢(shì)，學(xué)生知識(shí)面狹窄，且缺乏必要的實(shí)踐技能；三是在職教育以“針對(duì)性教育”為模式，培訓(xùn)不系統(tǒng)，檔案人員信息素質(zhì)問(wèn)題未能從根本上解決。

2、提高檔案人員自身素質(zhì)的途徑

以學(xué)校專業(yè)教育為主體，大力發(fā)展在職繼續(xù)教育，以全面提高檔案人員的素質(zhì)，具體地說(shuō)應(yīng)從以下幾個(gè)方面進(jìn)行。

(1)完善檔案專業(yè)的教育體制，發(fā)展本科教育，積極探索研究生教育，在教育方針上堅(jiān)持“大檔案學(xué)”的觀念，既把檔案學(xué)放到信息學(xué)和管理學(xué)的大系統(tǒng)中，而不要只局限于檔案學(xué)。在課程設(shè)置上要增加現(xiàn)代信息技術(shù)的內(nèi)容，從而擴(kuò)大學(xué)生的知識(shí)面和綜合能力，其中著重培養(yǎng)其信息素質(zhì)。使未來(lái)的檔案工作者成為具備良好的信息能力、合理的知識(shí)結(jié)構(gòu)、掌握現(xiàn)代信息技術(shù)的高素質(zhì)“通才”。

(2)對(duì)在職人員開(kāi)展“多元化、全方位”的在職繼續(xù)教育模式?？梢詮囊韵聨讉€(gè)方面著手：首先，檔案館可以在經(jīng)費(fèi)允許的惰況下有計(jì)劃地組織培訓(xùn)，使檔案館員能夠盡可能多地掌握新知識(shí)、新技能，提高其業(yè)務(wù)素質(zhì)。另一方面，可聘請(qǐng)信息專業(yè)教授、專家有針對(duì)性地舉辦一些專題講座。為促使檔案館員自覺(jué)地學(xué)習(xí)新的技能，還可將計(jì)算機(jī)、信息網(wǎng)絡(luò)技能的考核與館員的提拔、使用、晉級(jí)、聘任等掛鉤，并使其制度化，以此調(diào)動(dòng)檔案人員參加繼續(xù)教育的積極性。

(3)培養(yǎng)自學(xué)能力

安檢員實(shí)習(xí)心得范文第2篇

關(guān)鍵詞:檔案館 信息集成 檔案信息資源 建設(shè)體系

檔案信息集成服務(wù)，亦可稱為檔案信息資源集成式服務(wù)，或是“一站式”服務(wù)，即將信息集成服務(wù)理念應(yīng)用于檔案信息資源建設(shè)中，在數(shù)字網(wǎng)絡(luò)環(huán)境下，通過(guò)對(duì)檔案信息服務(wù)各要素進(jìn)行集成與動(dòng)態(tài)的整合，構(gòu)建優(yōu)化的檔案館信息資源建設(shè)與服務(wù)體系，使用戶需求實(shí)現(xiàn)最大的滿足。在檔案館信息資源集成建設(shè)過(guò)程中，對(duì)用戶、檔案資源、信息技術(shù)、檔案館功能和外部環(huán)境進(jìn)行集成優(yōu)化，以用戶需求集成為中心，以館藏檔案信息資源集成為基礎(chǔ)，以信息技術(shù)集成為驅(qū)動(dòng)，以環(huán)境集成為依托，以檔案館功能集成為過(guò)程，動(dòng)態(tài)地構(gòu)建檔案信息資源服務(wù)體系。

一、用戶需求集成

檔案館信息資源建設(shè)要明確以用戶為中心的服務(wù)核心，用“以人為本”作為判斷標(biāo)準(zhǔn)，審視檔案工作的方向、重點(diǎn)和成效，審視檔案館基礎(chǔ)設(shè)施和信息服務(wù)能力建設(shè)。

1.用戶的管理

用戶需求集成首先需要對(duì)用戶的含義進(jìn)行界定。以用戶為中心不能只考慮到當(dāng)前的用戶，此“用戶”應(yīng)是大范圍的、包含未來(lái)的，檔案工作的遠(yuǎn)瞻性也要求檔案信息資源共享應(yīng)以歷史大局的需求為導(dǎo)向，為整個(gè)歷史的發(fā)展進(jìn)程提供服務(wù)。故而在集成整合檔案信息資源時(shí)要考慮檔案資源的長(zhǎng)遠(yuǎn)價(jià)值，對(duì)潛在的、長(zhǎng)期的用戶進(jìn)行預(yù)測(cè)，對(duì)用戶信息進(jìn)行集成管理。

2.需求的集成

用戶需求集成管理是檔案信息資源建設(shè)“以人為本”思想模式的一個(gè)重要表現(xiàn)。要推進(jìn)檔案館信息資源建設(shè)，便要了解用戶，需要對(duì)用戶需求狀態(tài)進(jìn)行跟蹤，建立并維護(hù)與用戶達(dá)成的契約，建立對(duì)用戶需求的可測(cè)試標(biāo)準(zhǔn)體系等?？山梃b圖書館建立一個(gè)專門的信息服務(wù)咨詢臺(tái)或是虛擬檔案信息咨詢服務(wù)中心，直接與用戶接觸，向用戶提供館內(nèi)的資源和服務(wù)的基本信息，協(xié)調(diào)不同的服務(wù)機(jī)構(gòu)滿足用戶的需求，或設(shè)立專門的部門與人員，分析較復(fù)雜的用戶需求。建立用戶需求管理部門，制定明確的服務(wù)協(xié)定和完善的服務(wù)規(guī)范，暢通讀者信息反饋渠道。①

二、館藏檔案信息資源集成

館藏檔案信息資源集成是檔案館信息服務(wù)建設(shè)的物質(zhì)基礎(chǔ)。學(xué)者畢建新、張照余曾從標(biāo)準(zhǔn)、技術(shù)和組織管理層面對(duì)檔案信息資源集成進(jìn)行了闡述，②筆者認(rèn)為檔案信息資源共享之資源集成最基本的內(nèi)容是檔案信息資源的集成。

1.資源的有效

“有效”的資源是檔案信息資源集成整合的第一步。檔案信息資源集成整合時(shí)不僅要講究數(shù)量上的“合”，更要注重質(zhì)量上的“合”，要保證對(duì)公眾提供的檔案信息資源都是有實(shí)用價(jià)值的，要保證整合時(shí)檔案信息資源的可用性與可開(kāi)放性。故要做到以下兩點(diǎn):一要及時(shí)對(duì)館藏檔案進(jìn)行解密降密，保證可開(kāi)放檔案資源的內(nèi)容與范圍更新。 二要緊隨時(shí)代特征和社會(huì)民生潮流，篩選符合當(dāng)代社會(huì)需求與時(shí)代主題的檔案資源，繼而進(jìn)一步挖掘檔案知識(shí)內(nèi)涵，豐富檔案內(nèi)容，實(shí)現(xiàn)檔案信息資源有效共享。

2.集成的有效

手段的有效是檔案信息資源有效集成的重要步驟。在進(jìn)行館藏資源結(jié)構(gòu)調(diào)整時(shí)，不能盲目地、不切實(shí)際地強(qiáng)調(diào)館藏檔案結(jié)構(gòu)上的完整，因?yàn)閺娜珖?guó)檔案館藏分布實(shí)際來(lái)看，即使是綜合檔案館內(nèi)的館藏檔案也不可能是真正的綜合，這是由我國(guó)特殊的政治體制以及檔案事業(yè)體制決定的，如城建檔案館與綜合檔案館之間的矛盾等。在整合檔案信息資源時(shí)要分析社會(huì)對(duì)檔案信息的需求，分析信息用戶的特征，繼而針對(duì)性地整合優(yōu)化館藏檔案信息資源，一要豐富和優(yōu)化館藏內(nèi)容和結(jié)構(gòu)，建構(gòu)平民化的檔案館藏;二要加強(qiáng)特色館藏的建設(shè)，并通過(guò)一系列專題服務(wù)形式進(jìn)行開(kāi)發(fā)利用的工作，以實(shí)現(xiàn)多元一體化的服務(wù)模式。

三、信息技術(shù)集成

信息技術(shù)集成要敢用、善用新技術(shù)，利用網(wǎng)絡(luò)技術(shù)構(gòu)建一個(gè)虛擬環(huán)境，營(yíng)造一個(gè)虛擬共享平臺(tái)。在這個(gè)數(shù)字環(huán)境中，用戶通過(guò)各種功能界面，通過(guò)安裝網(wǎng)絡(luò)搜索引擎，獲取電子檔案資源及其他信息資源。然而對(duì)各種信息技術(shù)，也不能盲目地應(yīng)用。

1.敢用新技術(shù)

檔案界在談到現(xiàn)在網(wǎng)絡(luò)技術(shù)對(duì)檔案工作的運(yùn)用時(shí)多用“新”這個(gè)字眼。實(shí)際上這個(gè)“新”只是相對(duì)于檔案工作的傳統(tǒng)手段而言的，而這些媒體、網(wǎng)絡(luò)、計(jì)算機(jī)技術(shù)在計(jì)算機(jī)行業(yè)、其他學(xué)科領(lǐng)域以至圖書館學(xué)領(lǐng)域都早已被運(yùn)用。面對(duì)現(xiàn)在科技的發(fā)展及社會(huì)發(fā)展的壓力，檔案學(xué)科需要這些網(wǎng)絡(luò)通信技術(shù)來(lái)提升自己的工作效率，故面對(duì)這些“新”技術(shù)，我們要敢于去利用，去構(gòu)建檔案信息資源的共享場(chǎng)所，拓展檔案工作的空間。

2.善用信息技術(shù)

檔案信息資源開(kāi)發(fā)利用離不開(kāi)網(wǎng)絡(luò)技術(shù)的驅(qū)動(dòng)，善用信息技術(shù)要用集成的思想管理這些信息技術(shù)，包括技術(shù)集成與檔案網(wǎng)站集成。信息技術(shù)集成指除了擁有獲取電子資源的軟件外，還應(yīng)安裝各種軟件，提供一致、快捷的用戶界面和簡(jiǎn)明詳細(xì)的電子版使用指南。在充分利用數(shù)字檔案館資源的基礎(chǔ)上，加強(qiáng)一站式搜索引擎、知識(shí)導(dǎo)航、虛擬參考咨詢、虛擬社區(qū)檔案、專題論壇、培訓(xùn)課程與預(yù)約系統(tǒng)等內(nèi)容的建設(shè)。③檔案網(wǎng)站集成指檔案館要在《全國(guó)檔案信息化建設(shè)實(shí)施綱要》的指導(dǎo)下，加強(qiáng)自身的信息化建設(shè)，實(shí)現(xiàn)政府上網(wǎng)工程，進(jìn)一步在總體上加強(qiáng)館際間的網(wǎng)絡(luò)建設(shè)，實(shí)現(xiàn)彼此間的聯(lián)網(wǎng)工作，從而實(shí)現(xiàn)彼此間檔案信息資源的共享。目前，全國(guó)基于互聯(lián)網(wǎng)的檔案網(wǎng)站已逾千個(gè)，且都直接或間接地鏈接在一起，供登錄者了解館藏范圍，檢索檔案文件的目錄信息。這種方式被稱為“網(wǎng)站集群”。④

四、服務(wù)環(huán)境集成

服務(wù)環(huán)境集成即要把檔案信息資源建設(shè)放入社會(huì)各種環(huán)境中，對(duì)各個(gè)環(huán)境綜合分析，獲取檔案信息資源建設(shè)的有利因素，進(jìn)而采取相應(yīng)措施，聯(lián)合其他外部環(huán)境力量共同推進(jìn)檔案館的信息服務(wù)建設(shè)。

1.環(huán)境的集合

在信息化及檔案信息化這一大時(shí)代背景下，檔案信息資源集成建設(shè)面臨著各種外部環(huán)境。一是近年來(lái)政務(wù)信息環(huán)境的形成為檔案信息資源共享建設(shè)提供了客觀的條件。二是國(guó)家法制法規(guī)如《中華人民共和國(guó)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《互聯(lián)網(wǎng)電子公告服務(wù)管理暫行規(guī)定》等的逐漸建立為檔案信息資源集成建設(shè)提供政策環(huán)境。三是國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷改善以及數(shù)字化技術(shù)、數(shù)據(jù)庫(kù)技術(shù)、網(wǎng)絡(luò)通信技術(shù)、多媒體和超文本等技術(shù)的發(fā)展為檔案信息資源集成建設(shè)提供了技術(shù)支撐環(huán)境。

2.協(xié)同共建

我國(guó)檔案館信息資源集成建設(shè)的要素和措施紛繁復(fù)雜，既包含檔案工作的專業(yè)范圍，又涉及了管理學(xué)、計(jì)算機(jī)技術(shù)等領(lǐng)域，實(shí)際操作時(shí)須把這些因素緊密結(jié)合起來(lái)考慮。不僅要認(rèn)識(shí)到這些措施的重要作用，還要弄清楚它們之間的關(guān)系，使其能夠和諧共處，共同發(fā)揮作用。

2008年5月1日《政府信息公開(kāi)條例》的正式實(shí)施，為綜合檔案館向公共檔案館轉(zhuǎn)型提供了一個(gè)良好的契機(jī)。檔案部門參與了政府信息公開(kāi)工作，成為政府部門公開(kāi)政府信息的場(chǎng)所，拓展了檔案服務(wù)工作的領(lǐng)域。檔案館借此機(jī)遇向公共檔案館轉(zhuǎn)型，更加突出其服務(wù)性、公共性和開(kāi)放性，更加體現(xiàn)出檔案部門所應(yīng)該具有的文化價(jià)值。因而我們應(yīng)借此時(shí)機(jī)，發(fā)揮協(xié)同理念的思想內(nèi)涵，加強(qiáng)與政府部門的合作，共同做好政府信息的公開(kāi)，服務(wù)社會(huì)。同時(shí)，社會(huì)用戶也是檔案館信息資源集成建設(shè)體系中的重要部分。要以人為本，從用戶需求出發(fā)，以豐富的檔案信息資源滿足用戶的需求。并建立用戶反饋機(jī)制，對(duì)檔案館的服務(wù)質(zhì)量進(jìn)行評(píng)價(jià)，形成檔案館與用戶的互動(dòng)，最終在檔案館信息資源集成建設(shè)這一動(dòng)態(tài)服務(wù)環(huán)境中，檔案館、政府部門與社會(huì)用戶三者協(xié)同合作，共建共享，共同推動(dòng)檔案館工作向前發(fā)展。

五、檔案館功能集成

功能集成是信息共享空間理念⑤的理論基礎(chǔ)之一，它是一種使相關(guān)多元信息有機(jī)融合并優(yōu)化使用的理念。國(guó)內(nèi)相關(guān)公共檔案館建設(shè)也應(yīng)用了功能集成的理念，且取得了一定的成效。如2004年4月建成的上海市檔案館外灘新館便是集決策參考、展覽教育、社會(huì)課堂、咨詢利用、信息集聚和傳播、市場(chǎng)服務(wù)、學(xué)術(shù)交流、文化休閑等功能為一體的一種新的服務(wù)窗口。

現(xiàn)要將檔案館信息資源建設(shè)看成一個(gè)功能集成的過(guò)程，將檔案館的各種功能，如檔案保管、檔案研究、存史資政、展覽教育、社會(huì)課堂、咨詢利用、信息集聚和傳播、市場(chǎng)服務(wù)、學(xué)術(shù)交流、文化休閑等，通過(guò)依托整合的檔案資源基礎(chǔ)，先進(jìn)的技術(shù)驅(qū)動(dòng)，優(yōu)化構(gòu)建檔案館的服務(wù)模式與體系。通過(guò)功能集成，實(shí)現(xiàn)檔案館的集成化“一站式”，將信息開(kāi)放存取環(huán)境中的檔案信息資源系統(tǒng)與服務(wù)體系進(jìn)行無(wú)縫式鏈接，實(shí)現(xiàn)檔案管理與利用工作“管理無(wú)縫隙，服務(wù)無(wú)邊界”的新要求。

注釋:

①⑤任樹懷，盛興軍.信息共享空間理論模型建構(gòu)與動(dòng)力機(jī)制研究[J].中國(guó)圖書館學(xué)報(bào)，2008(4):34-40.

安檢員實(shí)習(xí)心得范文第3篇

1.高職院校檔案管理信息化建設(shè)的重要意義

1.1更利于對(duì)于檔案紙質(zhì)的保護(hù)

作為高職院校來(lái)講，通常會(huì)有用成千上萬(wàn)的學(xué)生和工作人員，需要進(jìn)行管理的檔案無(wú)疑是一個(gè)龐大的數(shù)目。同時(shí)，這些檔案資料對(duì)于學(xué)生和學(xué)校來(lái)說(shuō)都有著極其重要的意義。伴著社會(huì)和經(jīng)濟(jì)的不斷發(fā)展，學(xué)校的規(guī)模也在不斷進(jìn)行擴(kuò)大，但是，單純憑借手工操作對(duì)重要檔案資料進(jìn)行管理，仍然會(huì)出現(xiàn)重要檔案出現(xiàn)丟失或者是損壞的現(xiàn)象，這種情況是無(wú)法避免的；平時(shí)資料還會(huì)經(jīng)常被查閱，同然也會(huì)帶來(lái)一定程度的破壞，甚至是丟失。如果選用計(jì)算機(jī)進(jìn)行管理，上述現(xiàn)象就不會(huì)再出現(xiàn)。其次，檔案資料進(jìn)行信息化管理之后，使用起來(lái)也會(huì)更加便捷。

1.2有利于管理人員工作效率提高

當(dāng)今的時(shí)代是一個(gè)追求效率的時(shí)代，原來(lái)的高職院校檔案管理中，紙質(zhì)檔案無(wú)法形成信息網(wǎng)，借閱的時(shí)候都需要工作人員利用手工進(jìn)行操作，不僅浪費(fèi)時(shí)間、浪費(fèi)精力還容易出現(xiàn)差錯(cuò)，并且在對(duì)檔案進(jìn)行管理和統(tǒng)計(jì)的時(shí)候同樣出現(xiàn)了諸多不便，工作效率被大大降低。實(shí)施信息化管理之后，檔案的管理就可以呈現(xiàn)出自動(dòng)化、實(shí)時(shí)化以及網(wǎng)絡(luò)化的特征。檔案進(jìn)行記錄之后，可以反復(fù)進(jìn)行記錄，更加易于保存，也容易進(jìn)行修改，還可以借助網(wǎng)絡(luò)來(lái)進(jìn)行傳送，這樣檔案的使用率就被大大提高起來(lái)。

2.推進(jìn)高職院校檔案信息化建設(shè)的對(duì)策

2.1轉(zhuǎn)變傳統(tǒng)管理模式，提升綜合服務(wù)水平

檔案真正的價(jià)值在于利用，高職院校檔案信息管理部門應(yīng)當(dāng)轉(zhuǎn)變管理觀念，徹底摒棄傳統(tǒng)的重藏輕用的管理模式，注重檔案價(jià)值的開(kāi)發(fā)與利用；要加強(qiáng)現(xiàn)代化信息技術(shù)的應(yīng)用，以實(shí)現(xiàn)檔案信息資源的共享，進(jìn)而促進(jìn)工作質(zhì)量和服務(wù)水平的提高；要從以往的“你求我供”的被動(dòng)服務(wù)方式轉(zhuǎn)變?yōu)榫W(wǎng)上主動(dòng)提供的服務(wù)方式，以便在當(dāng)前的網(wǎng)絡(luò)環(huán)境中，促進(jìn)管理和檔案業(yè)務(wù)工作自動(dòng)化的真正實(shí)現(xiàn)。

高職院校檔案信息化建設(shè)過(guò)程中，一方面要對(duì)檔案進(jìn)行深加工，積極主動(dòng)地對(duì)檔案管理的信息進(jìn)行組織、開(kāi)發(fā)、管理、利用；另一方面，強(qiáng)化檔案信息的傳播，要依托校園網(wǎng)建立檔案信息網(wǎng)站，把檔案信息公布給廣大師生；同時(shí)，在網(wǎng)頁(yè)中設(shè)置目錄查詢、機(jī)構(gòu)簡(jiǎn)介、政策法規(guī)和業(yè)務(wù)規(guī)范等諸多欄目，引導(dǎo)用戶正確使用檔案信息，構(gòu)建新型的檔案信息服務(wù)模式。

2.2利用現(xiàn)有設(shè)施設(shè)備，不斷提高建設(shè)質(zhì)量

提升檔案信息化技術(shù)水平。由于高職院校用于檔案信息化的經(jīng)費(fèi)偏于緊張，要配備充足、先進(jìn)的檔案信息管理設(shè)施設(shè)備目前還不易做到，檔案管理人員應(yīng)結(jié)合實(shí)際，在配備必不可少的信息設(shè)備的同時(shí)，充分挖掘和利用學(xué)校現(xiàn)有信息人才和設(shè)施設(shè)備資源，為檔案信息化建設(shè)所用?？衫矛F(xiàn)有掃描儀、照相機(jī)、微縮膠卷、光盤、硬盤等，對(duì)重要檔案進(jìn)行鑒定、掃描、整理、保存，通過(guò)閱讀器等存儲(chǔ)、利用，并爭(zhēng)取異地備份保存，加強(qiáng)安全管理。要抓好教學(xué)、科研、學(xué)生、人力資源管理等工作的建檔、歸檔，利用辦公自動(dòng)化和信息公開(kāi)平臺(tái)，在各部門建立信息資源體系和查詢系統(tǒng)，逐步實(shí)現(xiàn)辦公自動(dòng)化與檔案信息化建設(shè)的統(tǒng)一。要注重信息共享，在保密原則下，實(shí)現(xiàn)局域網(wǎng)內(nèi)信息共享。還要加強(qiáng)檔案管理的科研工作，科研先行，資源共享，提升信息化建設(shè)質(zhì)量。

2.3 學(xué)習(xí)借鑒先進(jìn)經(jīng)驗(yàn)，更新自身服務(wù)理念

信息時(shí)代檔案專業(yè)實(shí)踐的發(fā)展領(lǐng)域已經(jīng)明顯跨越了檔案館室的界限，檔案管理人員也從檔案實(shí)體保管員轉(zhuǎn)變?yōu)闄n案知識(shí)管理者、檔案信息提供者和決策咨詢者，角色的轉(zhuǎn)變伴隨著觀念的更新和管理的創(chuàng)新。信息化建設(shè)要求高職院校檔案管理人員必須走出傳統(tǒng)模式，學(xué)習(xí)國(guó)內(nèi)外檔案管理信息化建設(shè)的先進(jìn)理念和管理方法，轉(zhuǎn)變服務(wù)觀念，變被動(dòng)為主動(dòng)，利用信息技術(shù)，做好檔案信息的綜合分析，及時(shí)準(zhǔn)確地為相關(guān)部門提供有價(jià)值的信息，為正確解決問(wèn)題提供第一手資料，把資料庫(kù)存變成信息資源庫(kù)，把沉寂的“死檔案”變成有價(jià)值的“活”知識(shí)。在檔案信息利用服務(wù)工作中要以人為本，從用戶角度出發(fā)進(jìn)行檔案信息化建設(shè)和管理，營(yíng)造一個(gè)方便、高效、輕松的檔案信息利用環(huán)境，使檔案館（室）成為一個(gè)人們?cè)敢馊?、喜歡去且去有所獲的信息資料庫(kù)，切實(shí)為師生員工服務(wù)，促進(jìn)學(xué)校教學(xué)、科研、管理等工作的發(fā)展。

2.4加快完善數(shù)字檔案，建設(shè)高質(zhì)量數(shù)據(jù)庫(kù)

檔案信息資源建設(shè)是信息化建設(shè)的基礎(chǔ)和核心。在數(shù)字化檔案硬件架構(gòu)建設(shè)完成之后，應(yīng)按照《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》，將原有館藏傳統(tǒng)載體檔案，通過(guò)掃描、加工和處理，進(jìn)行數(shù)字化轉(zhuǎn)換，形成規(guī)范化、系列化的文字、聲像等檔案數(shù)據(jù)。將這些數(shù)據(jù)統(tǒng)一存入資源庫(kù)，通過(guò)對(duì)數(shù)據(jù)庫(kù)的完善來(lái)完成檔案數(shù)字化進(jìn)程。對(duì)于日后產(chǎn)生的新檔案，要求直接保存為數(shù)字格式，并且定期按照一定的順序存入數(shù)據(jù)庫(kù)。在檔案數(shù)字化建設(shè)過(guò)程中，還要同時(shí)做好自身館藏檔案機(jī)讀目錄建設(shè)，以方便對(duì)檔案的管理和應(yīng)用。用戶可以根據(jù)所需檔案的關(guān)鍵詞對(duì)檔案進(jìn)行檢索和調(diào)用，既節(jié)約了時(shí)間和精力，也降低了?n案管理部門工作的復(fù)雜程度。

安檢員實(shí)習(xí)心得范文第4篇

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個(gè)典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫(kù)、身份認(rèn)證平臺(tái)、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個(gè)龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護(hù)一個(gè)良好的信息安全管理體系是一項(xiàng)非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險(xiǎn)評(píng)估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過(guò)識(shí)別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評(píng)估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對(duì)組織造成的影響。對(duì)數(shù)字校園進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估有助于及時(shí)發(fā)現(xiàn)和解決存在的信息安全問(wèn)題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個(gè)良好的信息安全管理體系奠定堅(jiān)實(shí)基礎(chǔ)。

二、評(píng)估標(biāo)準(zhǔn)

由于信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性作用，包括我國(guó)在內(nèi)的信息化程度較高的國(guó)家以及相關(guān)國(guó)際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001：2005）、美國(guó)NIST制定的SP800系列標(biāo)準(zhǔn)、美國(guó)CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開(kāi)發(fā)的OCTAVE2.0以及我國(guó)制定的《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式，作為一種全球性的信息安全管理國(guó)際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動(dòng)，同時(shí)也為評(píng)估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒(méi)有制定明確的信息安全風(fēng)險(xiǎn)評(píng)估流程，組織可以自行選擇適合自身特點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開(kāi)展，我國(guó)于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007），這是我國(guó)自主研究和制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致，但對(duì)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程進(jìn)行了細(xì)化，使得更加適合我國(guó)企業(yè)或者組織的信息安全風(fēng)險(xiǎn)評(píng)估工作開(kāi)展。

三、評(píng)估流程

《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）等標(biāo)準(zhǔn)為風(fēng)險(xiǎn)評(píng)估提供了方法論和流程，為風(fēng)險(xiǎn)評(píng)估各個(gè)階段的工作制定了規(guī)范，但標(biāo)準(zhǔn)沒(méi)有規(guī)定風(fēng)險(xiǎn)評(píng)估實(shí)施的具體模型和方法，由風(fēng)險(xiǎn)評(píng)估實(shí)施者根據(jù)業(yè)務(wù)特點(diǎn)和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點(diǎn)，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場(chǎng)景理論和通用弱點(diǎn)評(píng)價(jià)體系（CVSS）等風(fēng)險(xiǎn)評(píng)估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估首先在充分識(shí)別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)，然后根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算得出信息資產(chǎn)的風(fēng)險(xiǎn)值分布表。數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的詳細(xì)流程如下：

（1）資產(chǎn)識(shí)別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對(duì)數(shù)字校園的信息資產(chǎn)進(jìn)行識(shí)別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實(shí)際價(jià)格，更重要的是要考慮資產(chǎn)對(duì)組織的信息安全重要程度，即信息資產(chǎn)的機(jī)密性、完整性和可用性在受到損害后對(duì)組織造成的損害程度，預(yù)計(jì)損害程度越高則賦值越高。

在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級(jí)后，需要經(jīng)過(guò)綜合評(píng)定得出資產(chǎn)等級(jí)。綜合評(píng)定方法一般有兩種：一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個(gè)屬性確定資產(chǎn)等級(jí)；還有一種方法是對(duì)資產(chǎn)機(jī)密性、完整性和可用性三個(gè)賦值進(jìn)行加權(quán)計(jì)算，通常采用的加權(quán)計(jì)算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點(diǎn)確定。

設(shè)資產(chǎn)的機(jī)密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級(jí)值為，則

相加法的計(jì)算公式為v=f（x，y，z）=ax+by+cz，其中a+b+c=1（1）

（2）威脅識(shí)別：威脅分為實(shí)際威脅和潛在威脅，實(shí)際威脅識(shí)別需要通過(guò)訪談和專業(yè)檢測(cè)工具，并通過(guò)分析入侵檢測(cè)系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對(duì)實(shí)際發(fā)生的威脅進(jìn)行識(shí)別和分類。潛在威脅識(shí)別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計(jì)數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點(diǎn)對(duì)潛在可能發(fā)生的威脅進(jìn)行充分識(shí)別和分類。

（3）脆弱性識(shí)別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因?yàn)椴缓侠砘蛭凑_實(shí)施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過(guò)專業(yè)的漏洞檢測(cè)軟件進(jìn)行檢測(cè)，然后通過(guò)安裝補(bǔ)丁程序消除。而管理制度造成的隱患需要進(jìn)行充分識(shí)別，包括對(duì)已有的控制措施的有效性也一并識(shí)別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨(dú)對(duì)威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險(xiǎn)分析計(jì)算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場(chǎng)景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)。

（5）風(fēng)險(xiǎn)值計(jì)算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險(xiǎn)計(jì)算方法計(jì)算每個(gè)“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險(xiǎn)值，并最終得到整個(gè)數(shù)字校園的風(fēng)險(xiǎn)值分布表，并依據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則，確認(rèn)可接受和不可接受的風(fēng)險(xiǎn)。

四、評(píng)估實(shí)例

本文以筆者所在高職院校的數(shù)字校園作為研究對(duì)象實(shí)例，利用前面所述的信息安全風(fēng)險(xiǎn)評(píng)估流程對(duì)該實(shí)例對(duì)象進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

1.資產(chǎn)識(shí)別與評(píng)估

數(shù)字校園的資產(chǎn)識(shí)別與評(píng)估包括資產(chǎn)識(shí)別和資產(chǎn)價(jià)值計(jì)算。

（1）資產(chǎn)識(shí)別

信息安全風(fēng)險(xiǎn)評(píng)估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識(shí)別小組，小組通過(guò)現(xiàn)場(chǎng)清查、問(wèn)卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個(gè)業(yè)務(wù)系統(tǒng)的工作流程，詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件（如服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫(kù)、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊(cè)、工作日志等）、人員和服務(wù)等。為了對(duì)資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理，識(shí)別小組對(duì)各個(gè)資產(chǎn)進(jìn)行了編碼，便于標(biāo)準(zhǔn)化和精確化管理。

（2）資產(chǎn)價(jià)值計(jì)算

獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后，資產(chǎn)識(shí)別小 組召開(kāi)座談會(huì)確定每個(gè)信息資產(chǎn)的價(jià)值，即對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值，三性的賦值為1～5的整數(shù)，1代表對(duì)組織造成的影響或損失最低，5代表對(duì)組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點(diǎn)，采用相加法確定資產(chǎn)的價(jià)值。該數(shù)字校園的軟件類資產(chǎn)計(jì)算樣例表如下表1所示。

由于資產(chǎn)價(jià)值的計(jì)算結(jié)果為1～5之間的實(shí)數(shù)，為了與資產(chǎn)的機(jī)密性、完整性、可用性賦值相對(duì)應(yīng)，需要對(duì)資產(chǎn)價(jià)值的計(jì)算結(jié)果歸整，歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級(jí)結(jié)果如表1所示。

因?yàn)閿?shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點(diǎn)防范，不重要的可以不用考慮或者減少投入。在識(shí)別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點(diǎn)關(guān)注。不同的組織對(duì)關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同，本文將資產(chǎn)等級(jí)值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識(shí)別清單中予以注明，如表1所示。

2.威脅和脆弱性識(shí)別與評(píng)估

數(shù)字校園與其他計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時(shí)數(shù)字校園作為一種在校園內(nèi)部運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點(diǎn)。任何威脅總是通過(guò)某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過(guò)破壞資產(chǎn)的一個(gè)或多個(gè)安全屬性而產(chǎn)生信息安全風(fēng)險(xiǎn)，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅可能作用于多項(xiàng)資產(chǎn)。威脅的識(shí)別方法是在資產(chǎn)識(shí)別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點(diǎn)，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個(gè)方面對(duì)資產(chǎn)面臨的威脅進(jìn)行識(shí)別。在分析數(shù)字校園實(shí)際發(fā)生的網(wǎng)絡(luò)威脅時(shí)，需要檢查入侵檢測(cè)系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點(diǎn)。數(shù)字校園的脆弱性是數(shù)字校園在開(kāi)發(fā)、部署、運(yùn)維等過(guò)程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對(duì)數(shù)字校園的資產(chǎn)造成損害，進(jìn)而對(duì)數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計(jì)缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識(shí)別主要采用問(wèn)卷調(diào)查、工具檢測(cè)、人工檢查、文檔查閱、滲透性測(cè)試等方法。因?yàn)榇蟛糠旨夹g(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測(cè)工具檢測(cè)脆弱性，可以獲得較高的檢測(cè)效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對(duì)數(shù)字校園進(jìn)行技術(shù)脆弱性識(shí)別和評(píng)估。

管理脆弱性識(shí)別的主要內(nèi)容就是對(duì)數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識(shí)別與確認(rèn)，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無(wú)效的安全控制措施會(huì)提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實(shí)施、運(yùn)行和維護(hù)等過(guò)程同步建設(shè)與完善，具有較強(qiáng)的針對(duì)性，識(shí)別比較容易。管理和操作控制措施識(shí)別需要對(duì)照ISO27001標(biāo)準(zhǔn)的《信息安全實(shí)用規(guī)則指南》或NIST的《最佳安全實(shí)踐相關(guān)手冊(cè)》制訂的表格進(jìn)行，避免遺漏。

3.風(fēng)險(xiǎn)計(jì)算

完成數(shù)字校園的資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有控制措施識(shí)別任務(wù)后，進(jìn)入風(fēng)險(xiǎn)計(jì)算階段。

對(duì)于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場(chǎng)景”方法進(jìn)行風(fēng)險(xiǎn)分析。“構(gòu)建威脅場(chǎng)景”方法基于“具體問(wèn)題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評(píng)價(jià)威脅導(dǎo)致風(fēng)險(xiǎn)計(jì)算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求進(jìn)行風(fēng)險(xiǎn)計(jì)算。為了便于計(jì)算，需要將前面各個(gè)階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因?yàn)樵趯?duì)脆弱性賦值的時(shí)候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

本文采用的風(fēng)險(xiǎn)計(jì)算方法為《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中推薦的矩陣法，風(fēng)險(xiǎn)值計(jì)算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險(xiǎn)計(jì)算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計(jì)算安全事件可能性值；

（b）對(duì)照《安全事件可能性等級(jí)劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級(jí)值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計(jì)算安全事件損失值；

（d）對(duì)照《安全事件損失等級(jí)劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級(jí)值；

（e）根據(jù)安全事件可能性等級(jí)值和安全事件損失等級(jí)值，查詢《風(fēng)險(xiǎn)矩陣》計(jì)算安全事件風(fēng)險(xiǎn)值；

（f）對(duì)照《風(fēng)險(xiǎn)等級(jí)劃分矩陣》將安全事件風(fēng)險(xiǎn)值轉(zhuǎn)換為安全事件風(fēng)險(xiǎn)等級(jí)值。

所有等級(jí)值均采用五級(jí)制，1級(jí)最低，5級(jí)最高。

五、結(jié)束語(yǔ)

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險(xiǎn)評(píng)估是保證數(shù)字校園安全穩(wěn)定的一項(xiàng)基礎(chǔ)性工作。本文的信息安全風(fēng)險(xiǎn)評(píng)估方法依據(jù)國(guó)家標(biāo)準(zhǔn)，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險(xiǎn)評(píng)估的有效性和科學(xué)性，使得風(fēng)險(xiǎn)評(píng)估結(jié)果能對(duì)后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

參考文獻(xiàn)：

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國(guó)教育信息化，2010（4）.

安檢員實(shí)習(xí)心得范文第5篇

要：本文依據(jù)我國(guó)制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和國(guó)際有關(guān)標(biāo)準(zhǔn)，研究和設(shè)計(jì)針對(duì)數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估流程和框架，并利用該流程針對(duì)實(shí)際的數(shù)字校園對(duì)象進(jìn)行實(shí)例驗(yàn)證，風(fēng)險(xiǎn)評(píng)估結(jié)果驗(yàn)證了該流程的合理性和可行性。

關(guān)鍵詞：數(shù)字校園；風(fēng)險(xiǎn)評(píng)估；信息安全

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：B 文章編號(hào)：1673-8454（2012）23-0030-04

一、引言

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個(gè)典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫(kù)、身份認(rèn)證平臺(tái)、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個(gè)龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護(hù)一個(gè)良好的信息安全管理體系是一項(xiàng)非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險(xiǎn)評(píng)估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過(guò)識(shí)別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評(píng)估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對(duì)組織造成的影響。對(duì)數(shù)字校園進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估有助于及時(shí)發(fā)現(xiàn)和解決存在的信息安全問(wèn)題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個(gè)良好的信息安全管理體系奠定堅(jiān)實(shí)基礎(chǔ)。

二、評(píng)估標(biāo)準(zhǔn)

由于信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性作用，包括我國(guó)在內(nèi)的信息化程度較高的國(guó)家以及相關(guān)國(guó)際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001：2005）、美國(guó)NIST制定的SP800系列標(biāo)準(zhǔn)、美國(guó)CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開(kāi)發(fā)的OCTAVE2.0以及我國(guó)制定的《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式，作為一種全球性的信息安全管理國(guó)際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動(dòng)，同時(shí)也為評(píng)估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒(méi)有制定明確的信息安全風(fēng)險(xiǎn)評(píng)估流程，組織可以自行選擇適合自身特點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開(kāi)展，我國(guó)于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007），這是我國(guó)自主研究和制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致，但對(duì)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程進(jìn)行了細(xì)化，使得更加適合我國(guó)企業(yè)或者組織的信息安全風(fēng)險(xiǎn)評(píng)估工作開(kāi)展。

三、評(píng)估流程

《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）等標(biāo)準(zhǔn)為風(fēng)險(xiǎn)評(píng)估提供了方法論和流程，為風(fēng)險(xiǎn)評(píng)估各個(gè)階段的工作制定了規(guī)范，但標(biāo)準(zhǔn)沒(méi)有規(guī)定風(fēng)險(xiǎn)評(píng)估實(shí)施的具體模型和方法，由風(fēng)險(xiǎn)評(píng)估實(shí)施者根據(jù)業(yè)務(wù)特點(diǎn)和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點(diǎn)，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場(chǎng)景理論和通用弱點(diǎn)評(píng)價(jià)體系（CVSS）等風(fēng)險(xiǎn)評(píng)估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估首先在充分識(shí)別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)，然后根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算得出信息資產(chǎn)的風(fēng)險(xiǎn)值分布表。數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的詳細(xì)流程如下：

（1）資產(chǎn)識(shí)別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對(duì)數(shù)字校園的信息資產(chǎn)進(jìn)行識(shí)別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實(shí)際價(jià)格，更重要的是要考慮資產(chǎn)對(duì)組織的信息安全重要程度，即信息資產(chǎn)的機(jī)密性、完整性和可用性在受到損害后對(duì)組織造成的損害程度，預(yù)計(jì)損害程度越高則賦值越高。

在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級(jí)后，需要經(jīng)過(guò)綜合評(píng)定得出資產(chǎn)等級(jí)。綜合評(píng)定方法一般有兩種：一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個(gè)屬性確定資產(chǎn)等級(jí)；還有一種方法是對(duì)資產(chǎn)機(jī)密性、完整性和可用性三個(gè)賦值進(jìn)行加權(quán)計(jì)算，通常采用的加權(quán)計(jì)算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點(diǎn)確定。

設(shè)資產(chǎn)的機(jī)密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級(jí)值為，則

相加法的計(jì)算公式為v=f（x，y，z）=ax+by+cz，其中a+b+c=1（1）

（2）威脅識(shí)別：威脅分為實(shí)際威脅和潛在威脅，實(shí)際威脅識(shí)別需要通過(guò)訪談和專業(yè)檢測(cè)工具，并通過(guò)分析入侵檢測(cè)系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對(duì)實(shí)際發(fā)生的威脅進(jìn)行識(shí)別和分類。潛在威脅識(shí)別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計(jì)數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點(diǎn)對(duì)潛在可能發(fā)生的威脅進(jìn)行充分識(shí)別和分類。

（3）脆弱性識(shí)別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因?yàn)椴缓侠砘蛭凑_實(shí)施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過(guò)專業(yè)的漏洞檢測(cè)軟件進(jìn)行檢測(cè)，然后通過(guò)安裝補(bǔ)丁程序消除。而管理制度造成的隱患需要進(jìn)行充分識(shí)別，包括對(duì)已有的控制措施的有效性也一并識(shí)別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨(dú)對(duì)威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險(xiǎn)分析計(jì)算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場(chǎng)景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)。

（5）風(fēng)險(xiǎn)值計(jì)算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險(xiǎn)計(jì)算方法計(jì)算每個(gè)“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險(xiǎn)值，并最終得到整個(gè)數(shù)字校園的風(fēng)險(xiǎn)值分布表，并依據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則，確認(rèn)可接受和不可接受的風(fēng)險(xiǎn)。

四、評(píng)估實(shí)例

本文以筆者所在高職院校的數(shù)字校園作為研究對(duì)象實(shí)例，利用前面所述的信息安全風(fēng)險(xiǎn)評(píng)估流程對(duì)該實(shí)例對(duì)象進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

1.資產(chǎn)識(shí)別與評(píng)估

數(shù)字校園的資產(chǎn)識(shí)別與評(píng)估包括資產(chǎn)識(shí)別和資產(chǎn)價(jià)值計(jì)算。

（1）資產(chǎn)識(shí)別

信息安全風(fēng)險(xiǎn)評(píng)估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識(shí)別小組，小組通過(guò)現(xiàn)場(chǎng)清查、問(wèn)卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個(gè)業(yè)務(wù)系統(tǒng)的工作流程，詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件（如服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫(kù)、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊(cè)、工作日志等）、人員和服務(wù)等。為了對(duì)資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理，識(shí)別小組對(duì)各個(gè)資產(chǎn)進(jìn)行了編碼，便于標(biāo)準(zhǔn)化和精確化管理。

（2）資產(chǎn)價(jià)值計(jì)算

獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后，資產(chǎn)識(shí)別小組召開(kāi)座談會(huì)確定每個(gè)信息資產(chǎn)的價(jià)值，即對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值，三性的賦值為1～5的整數(shù)，1代表對(duì)組織造成的影響或損失最低，5代表對(duì)組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點(diǎn)，采用相加法確定資產(chǎn)的價(jià)值。該數(shù)字校園的軟件類資產(chǎn)計(jì)算樣例表如下表1所示。

由于資產(chǎn)價(jià)值的計(jì)算結(jié)果為1～5之間的實(shí)數(shù)，為了與資產(chǎn)的機(jī)密性、完整性、可用性賦值相對(duì)應(yīng)，需要對(duì)資產(chǎn)價(jià)值的計(jì)算結(jié)果歸整，歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級(jí)結(jié)果如表1所示。

因?yàn)閿?shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點(diǎn)防范，不重要的可以不用考慮或者減少投入。在識(shí)別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點(diǎn)關(guān)注。不同的組織對(duì)關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同，本文將資產(chǎn)等級(jí)值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識(shí)別清單中予以注明，如表1所示。

2.威脅和脆弱性識(shí)別與評(píng)估

數(shù)字校園與其他計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時(shí)數(shù)字校園作為一種在校園內(nèi)部運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點(diǎn)。任何威脅總是通過(guò)某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過(guò)破壞資產(chǎn)的一個(gè)或多個(gè)安全屬性而產(chǎn)生信息安全風(fēng)險(xiǎn)，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅可能作用于多項(xiàng)資產(chǎn)。威脅的識(shí)別方法是在資產(chǎn)識(shí)別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點(diǎn)，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個(gè)方面對(duì)資產(chǎn)面臨的威脅進(jìn)行識(shí)別。在分析數(shù)字校園實(shí)際發(fā)生的網(wǎng)絡(luò)威脅時(shí)，需要檢查入侵檢測(cè)系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點(diǎn)。數(shù)字校園的脆弱性是數(shù)字校園在開(kāi)發(fā)、部署、運(yùn)維等過(guò)程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對(duì)數(shù)字校園的資產(chǎn)造成損害，進(jìn)而對(duì)數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計(jì)缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識(shí)別主要采用問(wèn)卷調(diào)查、工具檢測(cè)、人工檢查、文檔查閱、滲透性測(cè)試等方法。因?yàn)榇蟛糠旨夹g(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測(cè)工具檢測(cè)脆弱性，可以獲得較高的檢測(cè)效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對(duì)數(shù)字校園進(jìn)行技術(shù)脆弱性識(shí)別和評(píng)估。

管理脆弱性識(shí)別的主要內(nèi)容就是對(duì)數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識(shí)別與確認(rèn)，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無(wú)效的安全控制措施會(huì)提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實(shí)施、運(yùn)行和維護(hù)等過(guò)程同步建設(shè)與完善，具有較強(qiáng)的針對(duì)性，識(shí)別比較容易。管理和操作控制措施識(shí)別需要對(duì)照ISO27001標(biāo)準(zhǔn)的《信息安全實(shí)用規(guī)則指南》或NIST的《最佳安全實(shí)踐相關(guān)手冊(cè)》制訂的表格進(jìn)行，避免遺漏。

3.風(fēng)險(xiǎn)計(jì)算

完成數(shù)字校園的資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有控制措施識(shí)別任務(wù)后，進(jìn)入風(fēng)險(xiǎn)計(jì)算階段。

對(duì)于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場(chǎng)景”方法進(jìn)行風(fēng)險(xiǎn)分析。“構(gòu)建威脅場(chǎng)景”方法基于“具體問(wèn)題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評(píng)價(jià)威脅導(dǎo)致風(fēng)險(xiǎn)計(jì)算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求進(jìn)行風(fēng)險(xiǎn)計(jì)算。為了便于計(jì)算，需要將前面各個(gè)階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因?yàn)樵趯?duì)脆弱性賦值的時(shí)候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

本文采用的風(fēng)險(xiǎn)計(jì)算方法為《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中推薦的矩陣法，風(fēng)險(xiǎn)值計(jì)算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險(xiǎn)計(jì)算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計(jì)算安全事件可能性值；

（b）對(duì)照《安全事件可能性等級(jí)劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級(jí)值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計(jì)算安全事件損失值；

（d）對(duì)照《安全事件損失等級(jí)劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級(jí)值；

（e）根據(jù)安全事件可能性等級(jí)值和安全事件損失等級(jí)值，查詢《風(fēng)險(xiǎn)矩陣》計(jì)算安全事件風(fēng)險(xiǎn)值；

（f）對(duì)照《風(fēng)險(xiǎn)等級(jí)劃分矩陣》將安全事件風(fēng)險(xiǎn)值轉(zhuǎn)換為安全事件風(fēng)險(xiǎn)等級(jí)值。

所有等級(jí)值均采用五級(jí)制，1級(jí)最低，5級(jí)最高。

五、結(jié)束語(yǔ)

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險(xiǎn)評(píng)估是保證數(shù)字校園安全穩(wěn)定的一項(xiàng)基礎(chǔ)性工作。本文的信息安全風(fēng)險(xiǎn)評(píng)估方法依據(jù)國(guó)家標(biāo)準(zhǔn)，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險(xiǎn)評(píng)估的有效性和科學(xué)性，使得風(fēng)險(xiǎn)評(píng)估結(jié)果能對(duì)后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

參考文獻(xiàn)：

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國(guó)教育信息化，2010（4）.