决策理论在信息安全风险管理中的应用(通用11篇)
决策理论在信息安全风险管理中的应用
信息安全是近年兴起的一个新兴的领域,对于一个组织来说,信息安全需要的是保障企业信息的机密性、完整性和可用性三项安全属性,控制由于信息安全属性被破坏对企业产生的风险.如何选择适当的措施实现风险控制目标,是组织实现风险管理面临的首要问题.从管理学的角度来看,上述的问题可以看作是决策的.问题,本文将根据决策理论,根据信息安全风险管理的特点提出解决上述问题的一种思路.
作 者:许培俊 作者单位:上海市公安局科技处刊 名:信息网络安全英文刊名:NETINFO SECURITY年,卷(期):“”(10)分类号:F2关键词:
关键词:D-S证据理论,信息网络系统,信任管理决策,信任度评价
随着网络攻击呈现出智能化、系统化、综合化的趋势, 新的破坏和攻击方式不断涌现, 造成当前的安全系统规则膨胀, 误报率增多, 安全投入不断增加, 网络可信度逐渐降低, 信任管理决策复杂甚至无法实施, 网络系统服务的安全可信性难以保障。对信息网络系统可信度进行有效评价, 可以为网络系统在各种环境下的信任服务性能提供预报, 为科学合理地信任管理决策提供参考, 对于改进和加强信息网络系统信任管理决策研究具有重要的意义。
Blaze等[1]首先提出了信任管理的概念, 并以概率作为实体可信度的度量, 以主体对客体完成任务的期望为基础, 根据肯定与否定经验计算出实体完成任务的概率, 并以此概率作为客体可信度的评价, 给出了信任管理推导规则和可信度计算方法。JØsang等[2]提出基于主观逻辑的可信度评估模型, 引入了证据空间和观念空间的概念来描述和度量信任关系, 并定义了一组主观逻辑运算符用于可信度的推导和综合计算。Beth等[3]引入了经验的概念来表述和评价可信度, 给出了由经验推荐所引出的可信度推导公式。研究可信度表示和评估方法的成果还有不少[4,5], 然而, 文献[6]指出目前这些研究成果评价标准模糊, 多样本度量缺乏融合, 没有给信任管理决策提供有效的依据。本文引入德尔菲法 (Delphi) 研究确立了科学实用的信息网络系统可信度评价指标体系, 并且为了克服可信度评价问题的人为偏好、认知能力、多样本度量不一致等等诸多不确定性因素的影响, 提出了基于D-S证据理论的评价方法, 并用实例进行验证, 更合理有效地进行了信息网络系统可信度评价, 为信任管理提供了较为可靠、合理的依据。
一、信息网络系统可信度评价指标体系
目前, 对信息网络系统可信度评价指标的研究尚处于起步阶段, 相关文献较少, 缺乏统一规范, 存在对指标的描述片面、过于简单、不全面实用等问题。本文在确定可信度评价指标体系时, 采用的是科学实用的德尔菲 (Delphi) 法。首先, 通过对大量非技术性的无法定量分析的要素作出概率估算, 再经系统分析, 初步拟定评价指标;然后, 综合各位专家的经验与主观判断, 对各指标的重要度进行评价;最后, 发挥信息反馈和信息控制的作用, 使分散的评价意见逐次收敛到协调一致的结果上, 得出信息网络系统可信度评价指标体系, 如表1所示。
二、D-S证据理论概述
Dempster-Shafer (D-S) 证据理论[7]能有效处理不确定和不知道的信息, 应用领域较为广泛。
定义1设U是识别框架, 如果函数→[0, 1] (2U为U的幂集) , 满足:
称m为识别框架U上的基本可信度函数称为A的基本可信度。
定义2设U是识别框架, 如果函数为U上对应于m的可信度函数, 且满足
那么称函数Bel为U上的可信度函数。
定义3表示关于U的补集, 则称由所定义的函数为似然函数。
定义4由f (A) 来衡量A的不确定性, 其定义如下:
其中分别表示A和U所含元素个数, 不难看出, 。
定义5设m1, m2, …, mq为同一辨识框U上的q个独立证据的基本可信度分配值, 焦元分别为A1, A2, …, Aq, 则合成后的信任数的基本可信度分配值由式 (2) 确定。在有多证据存在的情况下, D-S合成法则形式化定义为
其中, 为归一化因子, 0≤Q≤1, 若所有交集均为空集, 则出现证据不能组合, 或称证据矛盾。
三、基于证据理论信息网络系统可信度评价
3.1确定评价指标。
本文先抽取4个参数参与运算, 分别为:可靠性、可用性、机密性、完整性。这样确定了信息网络系统可信度的评价指标体系:V={可靠性 (V1) , 可用性 (V2) , 机密性 (V3) , 完整性 (V4) }。根据每次评价涉及到的信息网络系统的具体情况及可信度评价的具体要求, 可以相应调整评价的指标体系。
3.2建立评语集。
在应用证据理论对信息网络系统可信度进行评价之前, 要建立适合的评语集, 即证据理论的辨识框。评语集划分得越细, 评价结果就越准确, 但其评价过程也随之变得复杂、繁琐、不容易掌握。结合实际, 本文把评价等级分为5级, 即评语集可定义为A={很高 (A1) , 高 (A2) , 中 (A3) , 低 (A4) , 很低 (A5) }, 则P (A) ={P (A1) , P (A2) , P (A3) , P (A4) , P (A5) }为模型评语集给出的模糊评估值, P (Ai) (i=1, 2, …5) 为对应模糊评语Ai的评估值, 取其范围在0≤P (Ai) ≤1。
3.3确定专家组
假定有k位专家参加评审, 专家集合表示为:其中Ej表示第j位专家;专家权重集合表示为μ= (μ1, μ2, …, μj) , 其中, μj表示第j位专家的权重, 且满足
假定在k位专家中, 权重最高的专家其评判结果的准确性最高, 其他专家评判不准确的相对程度除了与其自身的经验、偏好有关外, 还与其最高权威知识的相对差异有关。则专家Ej评判的相对准确度为
其中是反映专家经验、偏好的系数, 一般取
3.4构造mass函数
根据定义1构造mass函数。专家Ej对指标Vi的评价工作的mass函数为
3.5利用D-S合成规则合成。
借助D-S证据理论中的合成规则可从多角度综合多方面的证据, 用对同一问题进行信息融合的数学手段, 使得评价问题判断更理性、可靠。
将专家Ej对信息网络系统每个评价指标的mass函数分别记为, 利用 (2) 式进行合成得到专家Ej对信息网络系统可信度的mass函数记为mj, 利用 (3) 式对其进行修正, 得到修正后的mass函数记为。
k位专家对信息网络系统可信度进行修正后的mass函数可分别记为:。再用 (2) 式对其进行合成得:即为评价组专家对该工作做的最终评价结果。
四、例证
某组织请来4位专家E={E1, E2, E3, E4}, 将对某单位的信息网络系统可信度进行评价, 为下一步信任管理决策的制定和实施提供参考。评语集为A={很高 (A1) , 高 (A2) , 中 (A3) , 低 (A4) , 很低 (A5) }, 评价的指标体系为V={可靠性 (V1) , 可用性 (V2) , 机密性 (V3) , 完整性 (V4) }。组织给出5位专家的权重为μ= (0.27, 0.23, 0.24, 0.26) , 并给出反映专家经验、主观偏好的系数λ=0.92。
(1) 专家E1通过对信息网络系统的可靠性、可用性、机密性、完整性等各指标的评价以及以往的经验, 得到一组证据, 其在识别框架U上产生的基本可信度分配函数见表2
(2) 对上述函数用 (2) 式与D-S合成公式进行合成得到专家E1对信息网络系统可信度所处状态的基本分配函数m1= (0, 0.773, 0.227, 0, 0) 。
(3) 同理, 将专家E2, E3, E4对信息网络系统可信度指标的基本分配函数分别进行合成得到的可信度所处状态的基本分配函数为
(4) 根据给定的专家权重μ= (0.27, 0.23, 0.24, 0.26) 及偏好系数λ=0.92, 分别对m1, m2, m3, m4进行修正, 得到如下函数:
(5) 对上述函数进行合成, 得到mx={0.5017 (很高) , 0.3905 (高) , 0.0984 (中) , 0.0017 (低) , 0.0005 (很低) }, 可以得出该单位的信息网络系统可信度以0.5017属于“很高”、以0.3905属于“高”、以0.0984属于“中”、以0.017属于“低”、以0.0005属于“很低”, 由此可得出在信任管理过程中该单位信息网络系统的可信度为“很高”。
五、结束语
信任管理决策是保障信息网络系统服务安全可信的重点问题。本文采用证据理论的信息网络系统可信度评价方法, 通过建立识别框架、确定基本可信度分配函数, 把网络系统可信度评价指标定量化, 再根据各指标的状态以及评判组专家的评价结果按D-S合成公式进行合成, 最终得到信任管理决策所要掌握的信息网络系统可信度等级。实例证明, 该评价方法减少了诸多不确定性因素的影响, 得出了客观合理的系统可信度评价结果, 为信息网络系统信任管理决策提供了准确可靠的依据, 具有一定的可行性和有效性。
参考文献
[1]BLAZE M, FEIGENBAUM J, IOANNIDIS J, ed a1.RFC2704:The KeyNote Trust Management System Version 2[EB/OL].[2005-02-16].http://www.Cnpaf.net/class/Rfcen/200502/3756_2.htm1.
[2]J SANG A.Trust-based decision making for electronictransactions[C]//YNGSTROM L, et a1.Proc of the 4th NordicWorkshop on Secure Computer Systems.Kista:Stockholm UniversityPress, 1999:1-21.
[3]BETH T, BORCHERDING M, KLEIN B.Valuation of trust inopen network[C]∥Gellman D.Proceedings of European Symposium onResearch in Security.Brighton:Springer-Verlag, 1994:3-18.
[4]张艳群, 张辰.基于模糊理论的信任度评估模型[J].计算机工程与设计, 2007, 28 (3) :532-534.
[5]唐文, 陈钟.基于模糊集合理论的主观信任管理模型[J].软件学报, 2003, 14 (8) :1401—1408.
[6]沈昌祥, 张焕国, 冯登国, 等.信息安全综述[J].中国科学 (E辑) :信息科学, 2007, 37 (2) :129-150.
[7]段新生.证据理论与决策、人工智能[M].北京:中国人民大学出版社, 1993.
[关键词] 实物期权 人工智能 管理控制
一、引言
长期以来对企业价值评估的经典方法是折现现金流(DCF)法,但是DCF法存在很大的问题:首先,用DCF方法进行估价的前提假设是企业持续稳定经营,未来现金流可预期。该方法隐含了两个不切实际的假设,即企业决策不能延迟而且只能选择投资或不投资,同时项目在未来不会作任何调整。该方法忽略了许多重要的现实影响因素,因而在评价具有经营灵活性或战略成长性的项目时,会低估项目价值,甚至导致错误的决策。其次,DCF法只能估算现有业务未来所产生的现金流价值,而忽略了企业潜在的投资机会可能在未来带来的收益,也忽略了管理者通过灵活地把握各种投资机会所能给企业带来的增值。
实物期权的概念最初是由Myers(1977)提出的,他指出一个投资方案的现金流量,来自于目前所拥有资产的使用,再加上一个对未来投资机会的选择权。当企业面对不确定作出初始投资时,不仅给企业直接带来现金流,而且赋予企业对有价值的“增长机会”进一步投资的权利。如等到项目有了更好的预期回报,或是不确定性降低到一定水平以后再投资,而不必在一开始就投资,这种“等待”也会增加项目的价值。实物期权理论认识到了商业行为灵活性的重要性,特别在现代商业环境下,管理者拥有更大的控制权力,企业经营前景也变得越来越不确定,因此对实物期权的研究也就变得更加重要了。
二、研究实物期权需要考虑的几个因素
为了准确地运用实物期权理论评价投资项目,就必须实际地考虑决策过程中所遇到的各种情况,有针对性地调整期权定价公式。以下几点是需要特别加以考虑的:
1.注意价值漏损和信息成本的影响
价值漏损出现的原因是标的资产的持有者能获得来自标的资产所带来的便利收益。比如股利,专利权收入,储存成本,以及其他暗含的便利收益。在发生价值漏损的时候,实物资产的价值会相应地改变。这时需要根据标的资产的价值漏损,对实物期权定价模型做出相应的调整。通常,将价值漏损设为标的资产不变的百分比,这样处理通常相对简单,而且有效。期权定价基于市场的完全性与有效性,它假设市场是完全的,投资者能获得所需的全部信息。但管理者为了获取所需的信息,必须付出一定的成本,这需要在预期收益项中加以调整得以反映。
2.管理者的信息认知和管理控制能力
标准的“等等看看(wait and see)”这类研究实物期权的方法,考虑了管理者的管理灵活性,但忽略了管理者的信息认知和管理控制的能力——管理者具备认知信息的能力,他们会主动去收集有关项目的信息,进行市场调研,以及做一些研发实验等。这些行为能够降低项目的不确定性,在进行不可逆投资之前提供许多有价值的信息。其次,公司也可以直接采取行动增加项目的价值,如做广告以增加产品的销量,或是改良产品的品质或增加一些产品的功能。要反映管理者这种积极的控制能力,就需要引入控制变量,在有成本的管理控制环境下,来对实物期权进行估值。
这里需要特别注意的是,期权是项目不确定性(波动率)的增函数。既然管理者的信息认知行为会降低项目的不确定性,这又可能降低项目的期权价值,为什么管理者還要这样做呢?Martzoukos(2001)通过数值分析说明,管理者会选取适宜时机去认知信息,通过提高决策信息的质量,降低将来犯潜在错误的成本,以使得企业能够做出最优决策。
3.引入“顺序期权”
在大多数场合,各种实物期权存在一定的相关性,这种相关性不仅表现在多个投资项目之间的相互关联,而且同一项目内部各子项目之间也前后相关。通常,投资者进行投资时,不是一次性的完全投资,而是分阶段、有顺序地投资。当管理者获得与投资项目相关的信息时,就会重新评价投资项目的价值,并据此决定继续追加投资或撤回投资。其次,后续投资通常与前期所实施的管理控制相关,只有进行了前期投资,才有后续投资的机会。通过前期所收集的相关信息,可以为后续投资提供决策参考。再次,管理者可以通过比较不同投资路径下的投资项目的价值,以选择最优的实施路径。这种阶段性投资的相关性,通过引入路径依赖的思想,可以较好地拟合实际情况。
4.考虑随机事件对项目价值的影响
在标准的实物期权文献中,都假设资产的价值变化遵循几何布朗运动。但是当一些重大信息出现时(政治、疾病问题等),标的资产的价格会发生不连续地变动,即跳跃。默顿指出,标的股票的收益是由“标准几何布朗运动”引起的连续变动和"泊松过程”引起的跳跃共同作用的结果。基于这种考虑,默顿(1976)建立了跳一扩散模型,并给出了在这种模型下欧式看涨期权的定价公式。这时,就需要引入非连续的随机变量,比如泊松过程,来拟合项目价值的实际变化过程。
5.注意期权执行价格的动态变化
通常,我们假定在执行期权时都具有一个确定的执行价格。在市场环境相对稳定时,投资额变化不大,假定一个不变的执行价格具有可行性。但是,对某些投资额起伏很大的投资项目,就需要实事求是地分析投资额变化的特性(变化的期权执行价格),这样才能更准确地评价项目的价值。
6.利用博弈论的方法分析实物期权
实物期权的持有者在行权时,可能并不拥有购买标的资产的独占权利,竞争者可能会提前执行期权。因此,在公司的投资决策过程中,同样也不能忽略竞争对手的存在,需要通过竞争对手所传递出的信息,做出相应的决策。对于这些不确定的问题,需要引入博弈论来分析实物期权。Junichi Imai(2004)利用博弈论分析了管理灵活性和竞争相互作用情形下的两阶段实物期权估值问题。Novy(2004)研究了公司在竞争和不确定环境下的最优投资决策问题。他们的研究成果表明,通过引入博弈论能很好地拟合竞争者之间的动态博弈行为,以此更加准确地拟合实际决策过程。
7.人工智能与期权定价相结合
在解决实物期权的定价问题时,只有极少数的模型存在分析解,多数时候只能依靠模拟仿真得到近似的数值解。这些模拟方法的计算需要耗用大量的时间,对于某些实时决策,这些方法就不能很好地满足要求。对于实物期权这类不确定的非线性预测问题,人工智能方法具有较大的优越性。Lajbcygier(1999)研究了利用人工神经网络方法,来对金融衍生产品进行定价。Msrtzoukos(2001)研究了具有隐含合同性质的客户化期权的定价问题。他的研究结果表明,这一方法能很好地满足银行等金融机构的实时决策需求,在计算结果的准确性方面,也能达到令人满意的地步。
三、实物期权在实际运用中需要注意的几个问题
当实物期权越来越多地被用于分析实物投资时,在以下几个方面应加以注意:
1.关注实物期权分析的逻辑和目的
实物期权分析的根本逻辑是金融期权定价技术在新领域的“转换”而不是“外延”,避免在尚未仔细分析实物投资特性的前提下,直接将金融期权定价公式用于实物投资分析。
2.关注实物期权分析与组织管理之间的结合
投资者运用实物期权思想可能会接受短期看似非盈利的项目,如何在组织制度上防范道德风险、保证企业对风险的控制也是一个需要注意的问题。
3.模型的复杂性与实用性相结合
具体的实物期权估价问题,往往涉及复杂的分析过程。对于太复杂的模型,通常不能被管理者所接受,而且在模型的实现上也会带来极大困难。而实物期权分析的目的只是指引决策者选择最优策略,关注基于实物期权的整体决策制定过程,而不像金融期权需要“精确”的价格。为此,管理者就需要在模型的复杂性与实用性之间进行权衡。
四、结束语
实物期权理论是基于金融期权而发展起来的评价方法,国内学者对实物期权理论的研究还不太深入,而将实物期权理论与复杂的决策过程相结合的定量研究文章更是少见。实物期权也不存在固定的分析框架,对于不同的项目,会涉及许多不同的需要考虑的决策因素,这就需要根据每一个具体的投资项目,调整实物期权的定价公式,以求计算出更准确的项目价值。
参考文献:
[1]杨春鹏:实物期权及其运用[F]. 上海:复旦大学出版社,2003
[2]Yuri Kifer. Game options[J].Finance and Stochastics. 2000, pp. 443-463
[3]Martzoukos. Real Options with Incomplete Information and Multi-Dimensional Random Controls[J].working paper.2000
钢铁厂安全信息技术应是集分析、预防、监控、应急全方位、一体化的系统工程。尤其应注重预防和应急处理模块,转被动为主动,充分的将计算机管理与安全生产管理紧密融合,有效地管理控制钢铁厂安全工作,保障高炉的安全有效建设。
我国钢铁“十一五”安全生产规划中指出,我国目前的钢铁安全状况与部分发达国家有较大的距离,技术装备水平普遍不足,急待增强钢铁厂安全生产的技术支撑保障能力。大力建设钢铁厂安全生产的管理信息系统就是规划中的一个重要部分。钢铁企业的信息化有两个大模块构成:一是安全生产信息化;二是管理信息化。
近年来我国钢铁厂发生多起事故,工人安全急需得到切实有效的保障,这也是建设和谐社会的内在要求。与此相对的是,美、德等产钢大国安全事故却并不多见,究其原因,除严格的法律、监管制度约束以外,信息技术、自动化设备的大量应用是其实现安全生产的重要因素。从信息化出发,加强安全技术能力,也是我国钢铁企业实现安全的必由之路。我国已把“钢铁自动化安全生产监测监控和管理系统与标准体系研究”列为重大专项,已经组织研究开发及产业化,以推动我国钢铁行业信息技术的应用,为钢铁安全做好技术支撑。
1我国钢铁企业当前特点
1钢铁企业安全管理信息技术建设目标和原则
作为未来“数字钢铁厂”的一个子系统,安全管理信息系统是钢铁企业持续发展的基础,与高炉地理、生产、物流等子系统类似,其主要内容是安全信息的采集、信息的传输、信息的处理、信息的应用与集成。实时、准确、全面的安全信息管理和响应是生产安全管理的核心。钢厂安全管理信息系统应是集分析、预防、监控、应急全方位、一体化的系统工程。尤其应注重预防和应急处理模块,转被动为主动,利用通信、计算机、自动化等多项技术的紧密融合,有效地管理控制钢厂安全工作,保障钢厂的安全有效建设;同时,系统设计要本着先进性、投资保护、开放性、可扩充性、可维护性的原则,根据目前业务实际,并充分考虑今后业务发展需要,针对企业实际情况具体实施。
2钢铁企业安全管理信息技术的主要构成目前,各软件和系统集成商开发的系统千差万别,但从信息设施的种类来划分,可以分为检测、监控、通讯、信息管理四大部分。从市场主流来看,功能模块大同小异,整个系统可分为以下几个模块:
1)安全信息收集。安全信息收集主要是由安全岗(网)员在安全检查过程中对收集到的安全信息录入到计算机中。本模块主要包括安全信息录入、对安全隐患的处理意见、领导审批意见、对安全隐患处理落实情况和安全信息的综合查询等功能。
2)交接班管理。交接班信息管理模块用于安检人员处理交接班过程中的问题记录与移交。记录本班生产过程中发生的问题/隐患、“三违”人员、挂停止作业牌、伤亡事故、非伤亡事故及相关人员的信息,当班次交接时,浏览上班次发现未解决的问题和还没有检查到的检查控制点信息并确认,为本班次的跟班安检人员下井检查提供指导,以明确责任,为系统跟踪安全监控人员工作是否到位提供依据。
3)安全规章制度。该模块是钢厂各种安全规章制度的汇总,供有关人员查询、学习和参考。钢厂安全规章制度,是钢厂安全生产的依据,是由一件件血的教训而写成的,它在钢铁企业安全生产过程中起到了重要作用。
4)防治病毒入侵、传播。大力学习计算机病毒防治知识,有效防止计算机病毒的传播。计算机病毒是由计算机语言编写的计算机程序指令。计算机病毒的发生可导致计算机系统崩溃、文件丢失、设备损坏。计算机病毒的传播方式主要有文件复制、接收发送邮件、下载文件等,计算机病毒的传播工具有磁盘、优盘、移动硬盘、光盘等。
5)安全综合报表管理。安全综合报表是安全信息的汇总,可以对钢厂安全情况进行综合分析,通过日报和月报的形式提交给各级领导审核,使各级领导能及时的了解总体安全情况,为领导分析和掌握安全管理状况提供了真实可靠的依据。
6)钢铁企业事故管理。正确地记录钢厂所发生的安全事故,并查明事故的原因,记录事故的综合分析和处理情况。真实地记录发生的安全事故,可接受事故教训,起到安全警示作用,并作为该部门安全情况评比的依据。
7)安全技术措施管理。本模块包括安全技术措施制定、安全技术措施审核和审批。从技术角度出发,对于钢铁企业各种类别的工程制定安全措施。审批后发布执行,记录措施的执行情况,并对安全措施进行月度的复审,确保安全措施的可行性。
8)安全标志管理。为了引起人们对不安全因素的注意,预防事故的发生,需要在各有关场合作出醒目标志,在矿内部安装的安全标志也是不容忽视的。安全标志是由安全色、几何图形和图形符号构成,用以表达特定的安全信息,安全标志分为禁止标志、警告标志、指令标志、提示标志四类,对安全标志要定期检查和维护。本模块记录全矿安全标志的安装地点、内容和使用情况,并备有安全标志的基本知识。
9)安全生产考评奖惩。为了加强职工的安全意识,对各部门和个人安全生产情况要定考评和奖惩。本模块是对各部门和个人奖惩情况的评比和记录,当某个部门连续评比不合格后,系统发出警告,并通知有关领导和部门,对该部门进行处罚。
1O)人员定位查询。可查询到某人员当前是否下井及在某一时间段的下井记录。此外,部分模块还可以和其他矿井信息技术结合使用。以上面介绍的人员状态查询模块为例,除可单独应用外,还可以和跟踪定位系统配合使用。目前通讯技术和计算机技术为一体的炉前人员定位系统,可在任何联网地方监控人员数量、身份和炉前工作位置,是打击超能力生产,超人员人井的有效的高科技手段。在突发情况下,监控计算机上还可立即查询事故现场的人员位置分布情况、被困人员数量、为事故抢险提供科学依据。
4有待解决的问题
1)通过各类传感器所采集的数据信息,由计算机进行分析、处理,可以实现对高炉通风、温度、湿度、打泥压力、鱼雷罐位置等进行有效监控,有力的解决人工监测不及时、不到位、不准确、凭感觉的弊端,用准确的数据反映安全生产中的各种安全隐患因数,使得安全生产管理变得科学、可靠,使“预防为主”的安全生产方针真正落到实处。
2)信息共享和互通。目前钢铁厂安全信息系统在信息共享和互通互联方面还有很多不足,“信息孤岛”还大量存在。由于供应商众多,应用系统五花八门,设备也是型号多样,极不统一。监测系统、控制系统和管理系统还不能有效实现联动,满足实际需求,由于不能信息共享,信息的价值大打折扣,对集中管理、决策不能提供有效的支持。
3)重建设更要重使用维护。安全管理信息系统和其他产品一样,在使用的过程中难免会出现各种问题,但由于生产安全直接关系到高炉职工生命安全,所以尤其应加强注意。各钢铁企业应建立相应的维护管理制度,确保系统时刻处于正
常工作状态,一旦发生险情,能即时采取措施,充分发挥安全信息系统应有的功能和作用。
总之,只有把计算机安全管理放在安全生产的首要位置,加强计算机的安全管理意识,把计算机安全管理真正落到实处,那么,钢厂的计算机安全监控才有保证,“安全第一,预防为主”的安全生产方针才能真正实现。
参考文献:
摘要:日常经济管理工作中,企业常常会遇到大量的数据需要处理。本文根据管理运筹学的理论,将民机客服经济管理工作中涉及网点覆盖和运输费用的最优化决策问题,用计算机技术来构建计算模型进行最优化求解分析应用。
关键词:最优化问题;规划求解;经济管理
一、最优化决策问题数学模型与方法
在经济管理工作中经常会遇到求最大值或最小值的问题,如怎样在几个地区合理安排选址建设成本最低,怎样安排路线才能使运输费用最省,怎样安排产品产量能使利润最大或成本最小等,这些都属于管理工作中最优化典型案例。最优化问题是管理运筹学的一个重要分支,其源于第二次世界大战期间军队解决后勤供应问题的研究,其中数学规划经过多年的不断探索和研究,已成为一种用于求解最优化问题的重要方法,在几乎所有的工业、商业等领域有着广泛的应用。
(一)最优化问题的概念
最优化问题就是在给定条件下寻找最佳方案的问题。最佳含义有各种各样:成本最小、利益最大、利润最多、距离最短、时间最少、空间最小等,即在资源给定时寻找最好的目标,或在目标确定下使用最少的资源。生产、经营和管理中几乎所有问题都可认为是最优定价问题、例如选址问题、运输问题、资金管理问题、经济订货量问题等。
(二)最优化问题分类
最优化问题根据有无约束条件可以分为无约束条件的最优化问题和有约束条件的最优化问题。无约束条件的最优化问题就是在资源无限的情况下求解最佳目标,而有约束条件的最优化问题则是在资源限定的情况下求解最佳目标。无约束条件的最优化问题是有约束条件的最优化问题的特例。现实情况下,一般都是有资源限制的,所以大部分最优化问题都是有约束条件的最优化问题。
(三)最优化问题数学模型
最优化问题可以用规范的数学形式来表示。假设问题中的决策变量为x1、x2、…xn,目标变量为y,目标变量与决策变量之间有函数关系y=f(x1、x2、…xn)。约束条件可以表示为一组等式或不等式:s1(x1、x2、…xn)0,s2(x1、x2、…xn)0,sm(x1、x2、…xn)0。则最优化问题可表示为如下的数学形式:Max:y=f(x1、x2、…xn)St:s1(x1、x2、…xn)0s2(x1、x2、…xn)0...sm(x1、x2、…xn)0对于最小值问题,可以转化为等价的最大值问题。如果约束条件是“”,可以对约束条件左右两边都乘上“-1”,转化为等价的“”。约束条件也可以是“=”运算符形式。决策变量x1、x2、。。。。。。xn的每一个取值组合都称为目标变量y的一个解,满足约束条件的解称为可行解,使目标函数达到最大值或最小值的解称为最优解。有些问题可以找到真正的最优解,有些问题只能找到局部范围的最优解,称为局部最优解。
(四)最优化问题求解方法
对于最优化问题,如果问题比较简单(无约束条件、决策变量较少等),可推导出最优解的计算公式直接求出最优解。不过这种方法只能处理简单的最优化问题,当约束条件和决策变量较多时,就可借助计算机强大运算功能求解最优化问题。借助计算机软件,对最优化问题可用“规划求解”工具进行求解,这种解法要求先在Excel中建立问题的决策计算模型。
(五)Excel软件“规划求解”工具的介绍
Excel软件的“规划求解”工具是解决最优化决策问题重要方法。使用中,点击Excel软件“数据”中“规划求解”,打开“规划求解”工具,在“规划求解”参数对话框中设置目标单元格(目标变量)和可变单元格(决策变量),设置目标单元格的目标值(最大、最小或者某一特定值),添加约束条件,另外也可设置一些附加参数。按“求解”按钮,“规划求解”工具就根据参数设置寻求最优解。“规划求解”工具方法的特点:(1)使用方便,操作简单;(2)可求解最多200个决策变量的规划问题;(3)模型中其他参数发生变化时,不能自动计算出新的最优解,必须重新运算该工具再求解一次。
二、计算机技术在民机客服经济管理中应用分析
(一)址问题
1、民机客服网点建立的意义。客服公司在中国商飞公司领导下,从有利于大型客机和新支线飞机项目成功和商业成功出发,遵循民用飞机发展的客观规律,建立国际一流航空客户服务体系,建立全球客户服务网点,形成大型客机和新支线飞机国内外两个市场的客户服务能力,保障国家大型客机和支线飞机重大专项的顺利实施。公司根据两个系列型号飞机的国内外市场发展情况,适时在国内外建立区域性服务网点机构,在全球形成完善民机客户服务网络,为客户提供客户培训、航材支援、工程技术服务、技术出版物、市场与客户支援、网络与数字化服务等内容的民机客服业务。民机客户服务网点的布局,不仅要结合当地政治、经济、文化等因素,还要考虑未来机队规模、合作模式、建设成本等因素,因此民机客户服务网点地址的选定,经济性考量是其中非常关键的一个环节。客服网点选址综合考虑因素很多,本文通过运用Excel软件的“规划求解”工具,构造客服网点选址计算模型,以地区覆盖及建设费用两个方面为考量点,分析解决客服网点选址最优化问题。2、客服网点的最优化应用分析。我们假设客服公司要在全球范围内建立客户服务网点,由于每个服务网点的覆盖范围是有限的,要使全球范围都能享受到中国商飞的客户服务当然客服网点建得越多越好,但是每个服务网点的建设又都是有建设成本的。因此客服公司就要进行决策,怎样合理布局建设客服网点才能使全球民机客户既能享受到民机客户服务项目,又能使中国商飞整个民机客服网点的整个建设费用最低。假定在客服公司未来客服网点规划中,准备在亚洲、非洲、欧洲、美洲4个洲中挑选出4个城市来建立客户服务网点,覆盖这4个洲的`民机客服。这4个城市位置的覆盖范围与建设费用如下表所示(一个城市所在的列与一个洲所在的行的交叉点处有数字“1”,表明该城市建设服务网点可以覆盖对应的洲)。我们可以构造一个模型,用“规划求解”工具确定一种网点建设方案,使得既能将4大洲都加以覆盖又能使建设总费用达到最小。第一步,建立民机客服网点的选址规划模型。根据现有条件,构造计算模型(见图1.1),在其中放“1”表示对应位置应建立客服网点,放“0”表示不建立网点;求解的最优解就是要保证每个洲至少有一次覆盖次数前提下,所选的网点建设方案能使总费用最低,并在相应单元格内(G3:G6和C9)输入计算表达式。第二步,使用“规划求解”工具,求出建立客服网点总费用最小值。在Excel软件中点击“数据”中“规划求解”,打开“规划求解”工具。根据建模分析,设置参数,定义目标单元格“C9”,其值为最小值;可变单元格为“C8:F8”;约束条件为:所选择网点对每个洲覆盖次数至少一次(G3:G61),选择方案的取值为1或0(C8:F8=二进制)。点击“求解”按钮,求解结果如图1.3所示,表明在城市2和城市4建立民机客服网点是能使总建设费用最低的最优方案,建设总费用为400万元;并且城市2和城市4两个城市就同时满足覆盖亚、非、欧、美四大洲。
三、总结
最优化决策问题在各行各业都有广泛的应用,借助计算机技术在数据最优化决策方面的功能优势,除以上介绍的应用研究外,还可以解决资金管理、生产管理等大量企业经营决策管理方面的问题。只要积极学习和掌握计算机信息技术,深入挖掘身边现有计算机软件的强大功能,不仅可以提升工作效率和解决实际问题,而且可以节省大量资金用于寻求和借助外界帮助。
参考文献:
复杂系统综合评价的理论框架及其在水安全评价中的应用
摘要:复杂系统综合评价是当前复杂性科学研究的重要内容,是认识和管理系统的重要措施,它具有诸多不确定性,尚缺乏具有系统性和可操作性的理论框架.从方法论的角度提出了处理一般复杂系统综合评价问题的`7个步骤,就是依次确定评价对象集生成函数、评价指标集生成函数、评价指标测度函数、定性指标定量化函数、指标一致无量纲化函数、指标权重函数和综合评价指标函数这7个函数,它们组成了复杂系统综合评价的理论框架.合理选取或构造这7个函数的不同形式,就可构建合适的综合评价模型,据此提出了5类水安全评价的应用模型.应用结果说明:构建综合评价模型的最重要工作依次是确定综合评价指标函数、指标权重函数和评价指标集生成函数;实现综合评价的理论框架功能最强的综合评价方法依次是组合评价方法、决策分析评价方法和层次分析方法,相似评价方法、模式识别评价方法或投影寻踪评价方法须与其它方法联合应用才能构造完整的评价模型.图1,表1,参42.作 者:金菊良 魏一鸣 周玉良 JIN Ju-liang WEI Yi-ming ZHOU Yu-liang 作者单位:金菊良,JIN Ju-liang(合肥工业大学,土木与水利工程学院,安徽,合肥,230009)魏一鸣,WEI Yi-ming(中国科学院科技政策与管理科学研究所,北京,100080)
周玉良,ZHOU Yu-liang(河海大学,水问题研究所,江苏,南京,210098)
期 刊:农业系统科学与综合研究 ISTIC Journal:SYSTEM SCIENCES AND COMPREHENSIVE STUDIES IN AGRICULTURE 年,卷(期):2008, 24(4) 分类号:X913.4 F323.123 关键词:复杂性科学 复杂系统 综合评价 理论框架 方法论 水安全评价关键词:信息安全,事故致因理论,信息安全事件
0 引言
随着信息安全技术的日新月异, 计算机病毒、恶意攻击、基础设施配置不齐、不可抗力等原因导致的信息安全事件屡有发生, 信息安全日益成为影响国家安全、公共利益和社会稳定的重要因素。为加强信息安全防范意识, 提高信息安全事件处置能力, 能够对信息安全监管工作的完善起到作用, 需要对已发生的信息安全事件进行分类统计, 本文建立了信息安全事故致因分析理论和事故致因分析模型, 以满足实际工作的需要。
1 信息安全事故致因分析的发展及理论构建
1.1 信息安全事故致因分析的发展
事故致因理论早起的核心是将发生的事件原因分为两个方面:一方面是人的不安全行为;另一方面是物的不安全状态。随着事故致因理论的不断发展, 这种只从人和物两个方面分析原因对信息安全事件的再次发生没有针对性。对信息安全事件分析时应不局限于人和物两方面, 扩展到多个角度, 进行综合分析, 这些角度包括:人的因素、物的因素、环境的因素、管理的因素等等。
信息安全事故致因综合分析法分析的角度更广泛, 分析的事件因素更全面, 提高了事件分析的准确性和科学性, 根据分析可以有针对性的预防信息安全事件。为了有针对性的预防信息安全事件的发生, 在此基础上建立适应新形势的信息安全事故致因理论。
1.2 信息安全事故致因分析理论的构建
随着社会和经济的发展, 国家加强了信息安全监管, 从不同角度找出信息安全事件的各种原因, 仔细分析这些原因之间的因果关系以及层次关系, 最终找出导致事件发生的原因, 尤其是那些导致事件频发的最根本原因对信息安全事件预防、事件发生后应急响应以及信息安全监管至关重要。本文运用实证研究, 对两起信息安全事件进行深入分析, 找出其中的规律, 构建出适应与现阶段信息安全事故致因理论, 分析结果如表1所示。
案例一:1998年9月, 郝景龙、郝景文两兄弟通过在工行储蓄所安装遥控发射装置, 侵入银行电脑系统, 非法存入72万元, 取走26万元。这是被我国法学界称为98年中国十大罪案之一的全国首例利用计算机网络盗窃银行巨款的案件。
案例二:熊猫烧香是一种经过多次变种的蠕虫病毒变种, 2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写, 2007年1月初肆虐网络, 它主要通过下载的档案传染。对计算机程序、系统破坏严重。
从表1的分析结果中进行分析和总结归纳后能够得出以下三点:
第一、从上表的分析可以得出大部分信息安全事件的主要原因是由人的因素、物的因素、环境的因素和管理的因素引起的, 或者是由其中的两、三个因素引起的, 或者是四种因素共同引起。如表中所示, 江苏扬州金融盗窃案的主要原因就是人的因素 (犯罪者道德意识不正确) 、物的因素 (利用计算机系统存在的缺陷) 和环境的因素 (在工行储蓄所安装遥控发射装置) 和管理的因素 (登录访问控制不严) 这四方面的因素共同构成的。
第二、在信息安全的中人、物、环境和管理的不安全都是由其缺陷所致。人的不安全行为主要由其自身的缺陷导致, 比如:信息安全意识淡薄、个人素质低、抱有侥幸心理和冒险心理、专业技能差等, 这样的员工在日常工作中往往会发生一些不安全行为, 成为信息安全事件发生的导火索。
熊猫烧香的原因中人的缺陷表现在编制者没有意识到病毒在网络上的传播性快、广, 网民的网络安全意识不强, 对网络安全的了解不多;物的缺陷表现在是一个感染型的蠕虫病毒, 它能感染系统中exe, com, pif, src, html, asp等文件, 它还能中止大量的反病毒软件进程;环境的缺陷表现病毒编制者和网民的作业环境无法受到可控;管理的缺陷表现在信息安全监管部门监督和管理不到位, 未及时发现病毒。这些因素共同作用导致病毒肆虐网络。
因此, 在日常工作中, 最根本的原因是人、物、环境和管理的缺陷。这四方面的缺陷最终导致环境的不安全性、人的不安全行为和物的不安全状态。
第三、经过仔细分析, 在日常工作中, 人、物、环境、管理的缺陷不是天然形成的, 而是由于相关的信息安全监管单位和政府部门对信息安全事件的监管不到位, 处罚不严厉, 导致了一些违法、违规开发应用程序长期存在, 最终导致信息安全事件的发生。因此信息安全事件发生的最根本原因是管理的缺陷, 或者称管理缺陷。
综上所述, 在现阶段信息安全的事故致因理论是信息安全事件管理缺陷造成的。管理缺陷导致了人、物、环境等方面的缺陷, 进而导致了人、物、环境的不安全性, 最终会导致信息安全事件的发生, 造成信息安全事件时有发生, 公众受到损失。
2 信息安全事故致因分析模型的建立及其分析
2.1 信息安全事故致因分析模型的建立
根据上述典型信息安全事件的深入研究和分析, 找到了其最本质的原因是管理缺陷。在此基础上, 设计现阶段信息安全事故致因理论模型, 对信息安全事件进行分析, 如图1所示。
从图1所示的模型中可以直观明了的看出各种因素间的关系, 信息安全事件发生时的各种因素组合。日常工作中的管理缺陷, 会导致人、物、环境的缺陷, 人的缺陷会产生人的不安全行为;物的缺陷会引起物的不安全状态;环境的缺陷会产生不安全的环境。物的不安全状态和环境的不安全性加上人的不安全行为必然导致信息安全事件的发生。同时在日常工作中, 信息安全事件的处理中管理的重要性越来越明显, 管理的缺陷可以导致人、物、环境的不安全性, 人、物、环境的不安全性也能导致管理的缺陷, 管理缺陷也会产生错误的管理, 这样很容易导致信息安全事件的发生。因此, 及时、有效、安全的管理可以有效避免信息安全事件的发生, 保障公众安全。
如图1所示的模型中有人的因素、物的因素、环境的因素、管理的因素, 但并不是说任何一起信息安全事件都要从这些方面进行分析, 找其原因, 有的事件原因只是其中一个因素、或者两个因素、或者三个因素共同作用的结果。因此在运用该模型进行信息安全事件分析的过程中灵活运用, 不拘泥于一种形式。
2.2 信息安全事故致因分析模型的分析
为了能够全面深入的分析信息安全事件, 对预防事件的发生, 加强信息安全监管起到作用, 接下来将对可能引发信息安全事件的各个因素进行界定。本文建立的信息安全事故致因理论模型中指出信息安全管理缺陷是导致信息安全事件的最根本原因, 管理一般分为两个方面的管理, 外部管理和内部管理。
外部安全管理是信息安全监管的各部门对信息安全各行业进行的各种监督和管理活动。外部管理的目的是由信息安全监管部门对信息安全各行业进行安全监督, 对其进行监督, 使信息安全各行业做好信息安全管理工作, 达到预防发生信息安全事件, 保障公众安全。
内部管理是信息安全各行业内部的管理, 目的是通过做好信息安全管理工作, 保证员工的利益不受损失。在生产经营过程中自身的信息安全全面负责, 是做好信息安全管理的核心环节, 起到关键的作用。包括:第一, 建立完善的信息安全责任制, 明确各级领导和员工的信息安全责任;第二, 按照国家的有关规定, 对信息系统所涉及的软、硬件、基础设施等进行有效投入, 并且定期进行检查, 保障信息系统有效运行;第三, 按照国家和地方的法律、法规制定和完善各项管理规程, 规章制度;第四, 对员工做好信息安全培训工作, 提高员工的信息安全意识;第五, 发生信息安全事件后要及时上报国家各级机关, 并且积极做好应急响应;第六, 不断完善各级管理组织机构, 尤其是信息安全管理组织;第七, 定期进行内部信息安全检查, 对于检查出的各类信息安全隐患要及时整改。信息安全各行业内部管理缺陷表现在上述七个方面。
3 结束语
通过分析和归纳, 论文建立了信息安全事故致因理论及模型, 并详细的界定和阐述了有可能引发信息安全事件的各个要素。然而一个理论及模型的最终价值在于其能否能够对实践进行指导, 并提高实践的效率。因此, 信息安全事故致因理论及模型的价值应在于其能够为信息安全事件的预测预防以及已经发生事件的调查分析提供理论和实际意义上的指导, 提高信息安全管理工作效率, 从而能够有效预防信息安全事件的发生, 保障公众安全。
参考文献
[1]毛海峰.现代安全管理理论与实务[M].北京:首都经济贸易大学出版社, 2000年.29-32.
[2]中华人民共和国计算机信息系统安全保护条例 (1994年2月18日中华人民共和国国务院令147号发布) [DB/OL].http://www.mps.gov.cn/cenweb/brjlCenweb/jsp/common/.article.jsp?infoid=ABC00000000000023006.
[3]公安部等四部委办.信息安全等级保护管理办法 (公通字[2007]43号) [DB/OL].http://www.cspec.gov.cn/Upload/webnews/20070912_104716_765_158_等级保护管理办法070626 (印刷稿) .doc.
[4]陈宝智.安全原理:第2版[M].北京:冶金工业出版社, 2002.
[5]张齐尧.煤矿安全管理学:第1版[M].成都:成都科技大学出版社, 1994.
【关键词】信息安全;网络;解决方法
【中图分类号】TN915.08 【文献标识码】A 【文章编号】1672-5158(2012)09-0368-02
1、信息安全的概述
在国际信息化的背景之下,计算机网络发展得越来越快,各行各业都离不开计算机。然而,计算机的安全问题也越来越凸显。据统计,我国每年因为计算机安全隐患问题带来的损失高达数亿人民币,其中,这些问题有外部的威胁,比如蠕虫、病毒、hacker、以及网络欺诈等,当然,也有一些原因是内部员工的违规操作或者恶意破坏带来的。在这种时代背景下,原本只有学术界关心的“信息安全”也逐渐被我们所熟知。
什么是信息安全呢?不同的人有不同的见解。国内的一些专家是这样定义信息安全:“信息安全的保密内容分为以下四个方面:实体安全、数据安全、管理安全以及运行安全”。我国计算机系统安全专用产品分类所定义的信息安全是:“涉及实体安全、信息安全以及运行安全三个方面”。我国相关立法也对信息安全下了定义:“能够保障计算机以及相关的设备、设施的运行环境的安全,以确保计算机中的数据、信息、功能的正常,以维护计算机信息系统的安全”。
虽然信息安全的定义不同,但是它的目的都是保护计算机不受一些外部或者内部的威胁从而保障数据及信息的完整性以及保密性。
2、信息安全的策略与实现
从本质上来讲,信息安全指的是网络上的信息安全,是指网络系统的硬件、软件以及系统中的数据不受偶然的或者恶意的破坏、更改以及外泄,系统能够正常、稳定得运行。如何保护计算机中的重要数据不遭到破坏或者其他的恶意行为是我们目前必须解决的一个问题。
2.1 计算机网络存在的安全问题
经调查与研究表明,我们将计算机网络中存在的一些安全问题分为以下五种:网络硬件设备与线路的问题,网络系统与软件的问题,系统管理员的安全意识问题,网络环境的安全问题以及internet中存在的安全隐患等。因此,我们必须采取一些安全策略来保护计算机的数据保密性与完整性。
2.2 安全策略
所谓安全策略,指的是在某个特定环境内,为保证系统的安全所必须遵守的规则。网络安全是否能够实现,不仅仅需要采用先进的技术,严格的安全管理、法律约束和安全教育也是一个必不可少的条件。
完整性
完整性指的是整个防御系统的完整性。一个好的安全策略通常是很多种方法综合的结果。单一的安全产品往往处理问题的能力各种长短。因此,从安全的角度来看,如果我们将不同安全产品相结合,做到扬长避短,那么就能够提高系统的安全性,也完善了安全产品处理问题的能力。
经济性
经济性指的是根据保护对象的价值,确定安全性策略。例如,只是保护对象只是员工的资料,属于内部公开数据,那么我们就不需要采取安全性非常高的策略来保护这些数据,否则,成本过高,而且资源浪费。我们指定的安全策略要使得系统的安全和投资达到均衡才可。
动态性
随着网络的发展以及入侵攻击技术的发展,信息安全成为了一个动态的过程。一个单机版的安全产品根本不能适应网络安全的需要。所以,所采用的安全产品必须能够及时的更新数据库,这样才能够保证系统的安全性。
专业性
如果有hacker对公司系统进行攻击,那么我们不仅需要选用一些安全的产品来防御,同时,也要具备一些专业的人才来保护公司系统。
司管理性
因为我国的很多企业有自己独特的管理方式,所以安全系统的部署也要适合该管理体系。
2.3 信息安全技术
我们将信息安全技术分为三种,第一种是信息确认技术,第二是密钥安全技术,最后一种是病毒防范技术。接下来,我们详细介绍这三种技术。
信息确认技术:这种技术是最常见的信息安全技术。通常情况下,安全系统的建立依赖于系统和用户之间的互相信任关系。目前,常用的确认方式有两种,一种是第三方信任,另一种是系统和用户之间直接信任,防止数据或信息被破坏或者窃取。可靠的信息确认技术应该具有的功能如下:首先,如果具有合法身份的用户可以校验接收到的信息是否真实,并且知道信息是谁发送的;第二,发送信息的用户必须是合法用户,任何人都不能顶替冒充;第三,假如出现异常情况,认证系统能够自动处理。如今,由于信息确认技术已经成熟,例如信息认证,用户认证以及密钥认证等都为信息安全提供了安全保障。
密钥安全技术:密钥安全类似密码,使用密钥系统对身份进行认证。现如今,密钥已经逐渐成为信息安全中最基础的技术手段,我们常用的密钥安全技术有对称加密和非对称加密。如果数据量非常大的时,我们使用对称加密提高效率,否则我们采用非对称加密提高保密性。
病毒防范技术:我们常说的病毒其实就是一种在计算机内部可以传染和侵害计算机系统的一个程序。我们应该对病毒的危害提高防范心理,必须做到所有的软件都要经过安全产品进行审查之后才能使用;定时的对数据库进行更新,防止各种病毒的入侵。
3、提高网络安全性的几点建议
目前,计算机网络中最大的安全隐患就是计算机病毒的攻击,因为病毒具有传染性、潜伏性、可触发性、隐蔽性等特点。一旦计算机中病毒之后,后果不堪设想。假如是中病毒的是普通用户,有可能被窃取的是银行卡密码等保密信息,假如受害者是一个企业的话,企业内部的商业机密万一被窃取,可能带来公司倒闭、员工下岗等严重后果。因此,我们应该有效地避免病毒的攻击,保护计算机网络的安全,降低病毒对网络和计算机带来的破坏。
(1)加强网络管理。我们应该将计算机的安全性高度重视起来。首先,企业应该制定一些相关的网络管理制度,规范操作。其二,严重杜绝内网违反规定与外网相连,禁止无线网卡等一些上网方式与外网相连。第三,必须对网络进行监控,包括路由器、防火墙等,还需要某些监控产品能够定时记录每天的网络访问日志,保证能够及早的发现病毒入侵以及病毒入侵的来源。第四,要有专人定时更新病毒库,将内网和外网的客户端严格的区分开来。最后,要责任明确,责任到人。通过对网络进行监控,能够查出病毒来源以及及时的消除安全隐患。
(2)数字签名:是否能够识别终端用户的身份,这对于计算机网络的安全与否极其重要。如今,数字签名是数据传输过程中是一个常用的确认身份的手段,通过数字签名技术,能够判断发送方的身份是真实的,还是假冒的。在数字签名技术中,数字加密技术是最核心的技术。就目前情况来看,一般传输数据在传输之前先采用私钥为数据进行加密,然后将加密的数据传输给接收方,接收方利用公开密钥来对数据进行解密,从而得到数据。事实上,数字签名并没有解决如何有效的对数据进行加密的问题,因为任何人都可以用公开密钥来解密,所以我建议应该讲私钥和公钥配合从而更好的保障网络的安全。
(3)采用系统容灾策略:所谓系统容灾就是为计算机系统提供一个能够应付多种灾难的环境。假设计算机遭受火灾、地震等一些自然灾害或者其他外部威胁类似病毒、蠕虫、黑客等人为灾难时,容灾策略能够保证数据的完整性。目前,市面上有各种各样的系统容灾技术产品,总体来看,系统容灾分为两种,一种是在线式容灾,另一种是数据备份容灾,这种也叫离线式容灾。后者的缺点就是实时性比较差,恢复数据时速度比较慢,存储介质的安全性也不好,尽管如此,它在系统中也是非常重要的,它是数据保护的最后屏障。而在线式容灾的实时性比较好,恢复数据速度很快,将主机的存储介质—个放在异地主机上,另—个放在本地主机上,再通过IP地址将两者联系起来便构成了整个数据容灾系统。
4.总结
刘彤( tong.liu@263.net ) 裘正定[1]
摘要:随着多媒体技术和网络技术的飞速发展和广泛应用,对图像、音频、视频等多媒体内容的保护成为迫切需要的问题。数字水印技术作为版权保护和安全认证的有力工具,已得到了广泛的关注和发展。本文简要介绍了数字水印技术的原理,并基于该技术提出在WWW上的应用的版权认证方案。
关键词:数字水印 多媒体信息安全 版权保护 认证
1.引言
随着信息技术和计算机网络的飞速发展,数字式多媒体信息(图象、文本、音频、视频)的存储、复制与传播变得非常方便。人们不但可以通过互联网络和CD-ROM方便快捷地获得多媒体信息,还可以得到与原始数据完全相同的复制品。但是由此引发的盗版问题和版权纷争已成为日益严重的社会问题。据美国唱片行业协会(RIAA)估计,全世界每年因盗版而造成的经济损失高达50亿美元。美国电影行业协会(MPAA)则估计,盗版使美国电影业的年收入减少了25亿美元。因此,对多媒体内容的版权保护已成为亟待解决的问题。
目前的版权保护系统广泛采用对网络资源的访问控制机制,它通过本地网或广域网控制某些IP地址或
终端的连接,限制某些用户的访问权限,从而有效地防止非法用户对计算机系统的访问。但是如果用户以合法账号得到多媒体信息,再对数据进行非法复制和传播,则安全访问控制机制就无能为力了。
传统的加密方法对多媒体内容的保护和完整性认证也具有一定的局限性。首先,加密方法只用在通信的信道中,一旦被解密,则信息就完全变成明文;另外,密码学中的完整性认证是通过数字签名方式实现的,它并不是直接嵌到多媒体信息之中,因此无法察觉信息在经过加密系统之后的再次传播与内容的改变。这样,数字水印技术作为加密技术的补充,在多媒体信息的版权保护与完整性认证方面得到了迅猛的发展。
2.数字水印技术的.基本原理
数字水印技术是通过一定的算法将一些标志性信息直接嵌到多媒体内容当中,但不影响原内容的价值和使用,并且不能被人的知觉系统觉察或注意到。水印信息可以是作者的序列号、公司标志、有特殊意义的文本等,可用来识别文件、图像或音乐制品的来源、版本、原作者、拥有者、发行人、合法使用人对数字产品的拥有权。与加密技术不同,数字水印技术并不能阻止盗版活动的发生,但它可以判别对象是否受到保护,监视被保护数据的传播、真伪鉴别和非法拷贝、解决版权纠纷并为法庭提供证据。为了给攻击者增加去除水印的难度,目前大多数水印制作方案都采用密码学中的加密(包括公开密钥、私有密钥)体系来加强,在水印的嵌入、提取时采用一种密钥,甚至几种密钥联合使用。水印的嵌入和提取方法如图1,图2
所示。
一、当前高校教学管理引入与践行激励理论的必要性
首先,高校教学管理陈旧与落后的理念呼唤激励理论的介入。管理理念在整个高校的管理过程中起着支配与主导的作用,决定着管理的效果与质量的好坏。随着经济全球化不断发展,以人为本的管理理念已经慢慢地成为了管理领域主要的管理方式,被很多管理者所认同和采用。但是,由于高校的管理长期受到传统的管理理念———经验管理以及行政管理的影响,使得管理者与被管理者之间界限分明,不能充分发挥和调动教师的主体地位,实现教师参与教学管理的共赢局面。对于当前高校教学管理理念落后所造成的不足,激励理论具有天然的修补性。它是在信息技术快速发展条件下诞生和发展的,能够妥善应对信息时代给高校管理工作带来的各种挑战。激励理论名为“激励”,暗含其是一种能够调动主体积极性的理论。而当下正是“以人为本”的时代,激励理论作为一种对个人主体性尊重的理论,作为一种弘扬人性的理论,能够充分调动人们在高校教学管理工作中的积极主动性,进而为解决当前教学管理中存在问题提供保障。其次,过于注重行政化管理的高校教学管理模式呼唤激励理论对实践的指导。一些高校教学管理的行政化色彩浓厚。主要体现在:教学管理的过程中行政指令过强,教师参与管理的程度低;在教学方式与方法的管理上,过于强调整齐划一,缺乏灵活性;在教学管理过程中注重采用从上而下的监管方式,而对激发教师内在动力的激励与奖励措施则较轻视。高校教学管理工作浓厚的行政化色彩,不利于提高学校教学管理工作的实效,使高校广大教师的高效教学大打折扣。而激励理论作为一种彰显个人权益、倡导满足个CHINAADULTEDUCATION/8中国成人教育人需求的理论,对于调动人们在教学管理工作的积极主动性,提高教学服务工作质量都具有重要意义。最后,激励理论可以解决目前高校教学管理考核中存在的很多问题,比如考核内容的选择、方式方法的选择、学术与教学的平衡等。其中,最后一点尤为严重。部分高校教学管理过程对行政的管理重于对学术科研的管理,这是高校管理的失衡体现。这种失衡导致教学受轻视,科研成绩被过于强调夸大。在政策的不合理倾斜下,很多高校教师为了完成科研而忽视了教学,同时,高校对教师的绩效考核过于简单容易,高校学生普遍“入口困难出口容易”的危象不仅让摆托高考压力的大学生过于放松,也导致教师没有教学的压力,疏于对教学任务以及重难点的钻研。作为一种以倡导满足个人更高层次需要为基础的理论,激励理论对于平衡教学管理工作、引导教师妥善处理教学与科研工作之间的关系等具有重要价值。
二、激励理论指导高校教学管理工作的具体措施
(一)以人为本:树立现代化的高校教学与管理理念
人本主义的管理思想是一种具有现代管理理念的思想,它的核心是强调人的重要性,以人为中心,以科学的激励机制为基础,充分激励和调动被管理者的工作积极性与创造性,为“人”创造良好的发展环境,从而有效地提高了管理效率,达到工作目标。首先,高校教学管理应有一个最高理想与最高理念,那就是教职员工第一。把“人”即“教职员工”的`地位提高到组织活动以及决定高校存亡的重要战略地位上。这种思想与学生至上的管理理念相反,它超越了学生至上的管理思想。在激励理论以人为本的理念指导下,高校教学管理具有前瞻性,激励教职员工通过学习和自身的内在需求的外化,具备一定的能力,才能实现学生至上。其次,激励原则是高校教学管理人本管理的主要手段,在经济时代要充分发挥和调动人的工作动能,必须建立适当的激励机制,激励制度也是以人为本管理理念的主要管理方式。最后,对教职员工需求的满足是以人为本管理理念的出发点与归宿。一方面要关心教职员工对于物质的需求,为他们创造良好的工作环境,增加教职员工的收入;另一方面要关心教职员工的精神需求以及身心健康情况,尊重教职员工,与教职员工平等交流,在管理中以实现和满足教职员工的一切要求为出发点和目标。高校教学管理在践行以人为本的管理理念过程中,应该以促进和满足教师的需求、发展为出发点与归宿,将教师放在教学管理的重要地位,因此高校管理工作要树立这样的思想:要使学生得到发展与成长,应该让教师得到发展与提高;要挖掘学生的创造力与智慧,要激发教师的创造力与智慧。高校应该转化管理的对象与重点,将管理事务转化为管理人,学校的任何政策制度以及措施的制定都应该以人本管理为主导思想,而且在实行以人为本的管理理念过程中应该在高校从上至下在教学管理的方方面面体现人本情怀。
(二)刚柔相济:建立柔性与刚性结合的教学管理机制
柔性管理是一种以人为本的管理理念,管理的主要手段是“控制”。这种控制是以满足和顺应人的心理为基础的,引导教职员工从内向外地自发积极主动工作,而不是通过硬性的制度与政策来实现目标。高校教师具有较高的知识水平,对事物有着成熟与独到的见解,他们思维活跃,对管理更倾向于以理服人,柔性管理的理念与高校教师的心理以及劳动特点相吻合。因此,高校应该重视对教师柔性化的管理,对教师的管理中融进关爱之情。这样才能提高管理效率,以理服人,以德服人,走长远发展的管理之路。
(三)“教”“研”平衡:处理好教学与科学研究之间的关系
首先,高校应该坚持教学为主导,科研为教学服务的原则。科研要完成效益转化,以研促教,以教促研,用科研完成教学效率的提高,在教学的过程中渗透科研,将科学研究的过程搬到课堂,将二者有效结合,使其成为一个统一的过程。一方面,教学过程中,尤其是师生在进行讨论的时候展开科研;另一方面,教师和学生要善于将科研的思维与态度运用在教学中,使课堂充满探索与发现的特征,这样可以促进教师与学生双方共同的发展与进步。
(四)全面科学:建立和健全教学工作的考核与评价体制
引言
随着计算机技术和互联网技术不断发展,办公方式由传统方式向无纸化办公转变。网络信息技术逐渐在管理中发挥重要作用,从经济发展的趋势来看,电子信息技术在单位中应用已经成为一种必然趋势。信息化办公提升单位办公效率,降低办公成本,与此同时也带来一些安全问题,事业单位在发展过程中必须重视相关问题可能带来的影响。本文就电子信息技术在单位安全管理中的应用展开探究。
网络技术的发展和计算机的普及使得信息的处理变得更加高效,各项信息能够准确及时被储存到计算机中,并对其进行相应的处理,为单位的运转提供有效的决策支持,在此基础上信息化应运而生。信息化是对信息的整合,并在此基础上建立新的单位运行模式,加强各部门间的联系,促进信息的有效流通,为单位的高效运转奠定坚实的基础。信息处理过程中往往会遇到安全性问题,严重的话可能对单位造成毁灭性的打击,基于此必须提升单位安全管理,合理运用电子信息技术,为单位发展提供保障。
1、电子信息技术简介
电子信息技术主要指使用通信手段进行信息存储、传递、处理的一种现代化技术,其主要包含识别感应测试技术、信息传递技术、信息处理和再生技术、信息使用技术。识别感应测试技术主要指主要实现数据信息的收集,在此基础上对数据信息进行识别分析,检测其可靠性及实用性,并作出相应判断。该种技术一般被统称为感应技术,主要用于提升人们对信感受能力。信息传递技术主要功能是实现信息快速、安全、可靠转移。信息处理及再生技术主要指从对收集到的信息进行解读、压缩、重新编码、加密等一系列处理方式,是指在原始基础数据上成为一种更深层次的数据信息。信息使用技术主要指信息控制以及信息显示。科学技术不断进步使得现代电子信息技术逐渐成为一门综合性科学技术,在企事业单位安全管理中变得不可或缺,引领企事业单位管理模式变革。
2、电子信息技术在单位内部应用中存在的问题
2.1防范意识薄弱。目前,信息化管理模式已经成为各单位内部工作及管理重要方式,为单位工作带来诸多便利。与此同时也为单位带来较多安全性问题。单位内部员工在进行信息工作是安全意识不够,无法意识到单位信息安全问题可能造成严重后果,因此在工作中不懂得的如何防范信息安全。一些员工认为单位信息安全仅仅是IT部门的事,与其他部门无关。单位信息在处理过程中针对性及操作性存在一定不足,未按照规定的规章制度展开,单位内部整体信息安全防范意识薄弱。
2.2病毒传播。计算机病毒一致是困扰单位信息安全的重要因素,当前互联网上充满各种计算机病毒,企事业单位日常运行过程中由于工作需要难免会接触到网络,因此一些员工往往在不经意间引进计算机病毒。计算机一旦收到病毒攻击可能导致整个单位内部局域网瘫痪,单位重要机密信息被泄露或篡改。如在用户不知情情况下引入木马病毒,该病毒将会在单位局域网内大量復制,最终实现对单位计算机系统控制,远程黑客可通过木马实施单位局域网调度运行。
2.3存在信息安全漏洞。电子信息技术在当前形势下展现出良好发展前景,就目前阶段而言,电子信息技术在管理应用方面仍旧存在一定不足,尤其是信息安全漏洞问题较为常见。单位管理中若未及时对一些漏洞进行修补可能造成单位整个防御系统无法被有效发挥防御作用,外界黑客乘虚而入,危害单位信息安全。目前市场竞争日益激烈,各种竞争手段层出不清,市场上一些竞争对手为获得高额利润不惜以非法手段谋取竞争对手相关信息,一旦遭遇黑客攻击并得手,对单位而言其打击程度可能是毁灭性的。另外单位内部员工可能由于个人原因非法泄露单位信息导致单位管理数据丢失,影响企事业单位正常运营,甚至造成难以估量的经济损失。
3、提高电子信息技术单位安全管理应用测量
3.1提高单位防火墙设计。单位防盗系统是阻挡外来入侵的第一道屏障,其他一切手段都是建立在这个系统基础上,因此必须打好坚实的基础。当前最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为代理服务防火墙和包过滤技术防火墙。防火墙的如同筛子一样,会选择性的让数据信息通过或不通过,即选择性的让人员进入局域网内部,只有取得授权的人才允许通过,其他人则被当作黑客挡在门外。单位可对防火墙进行重新设定,并为员工制定相应编号,只有员工自己知道登入方法,同一编号仅能同时被一人使用,这样极大的保证了局域网信息的安全。
3.2提高员工对信息安全认识度。单位制定的各种限制因素只能在表面上约束员工的行为,加强员工的思想认识能够在根源杜绝舞弊现象,增加员工安全意识。通过提高员工的认识让员工明白单位信息化环境并不是为舞弊提供支持,而是为了促进单位发展。单位需要制定有效的员工培训计划,定期对员工进行思想培训,首先改变员工的不良思想,端正工作态度。其次锻炼员工保护信息的能力,不仅在思想上认识,还要在业务上熟练掌握。此外为防止信息泄露可在进行单位内部管理中需要建立有效的管理规章制度,例如建立上机时间安排表、实名上机制度、上机操作规章等,将单位工作人员的上机时间及上机操作实名制记录下来,会计信息系统中数据变更后系统会自动发出邮件提醒公司几位高管。此外员工还需要严格保管自己的密码,定期更改自己的上机密码,避免密码泄露被别人利用导致责任纠缠不清的状况。条件允许的话可以实行定期轮岗制,加强会计信息化后的岗位控制。
3.3预防恶意攻击。黑客都具有高超的计算机网络技术以及编程技术,主动攻击过程中会充分利用系统管理上的漏洞,通过一些专业操作并利用公共服务器的漏洞使得黑客能够轻松骗过防护软件的检验,得到相关口令并自由操作局域网中的文件。其次在进入单位内部系统后黑客可通过编程技术伪造身份展开各项信息技术操作。单位内可采用Web页面保护技术、安全评估技术、防火墙技术、入侵检测技术等,形成几道防护措施,即使某一道放于被黑客利用漏洞攻破,后面还会有好几道防御系统,此外可将这些防御系统结合密码口令及身份识别系统,最大限度保证单位局域网系统安全性。
结束语
【决策理论在信息安全风险管理中的应用】推荐阅读:
隐喻认知理论在英语教学中的应用07-27
领导科学与管理决策07-17
重大投资决策管理办法05-23
应用翻译理论07-03
学习理论及其教学应用06-16
经济学理论的应用05-30
议事决策规则07-01
营销决策07-01
决策失误的原因07-07
