安檢員實習心得
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇安檢員實習心得范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
安檢員實習心得范文第1篇
一、信息時代檔案人員必備的素質
所謂素質是指人們通過學習、訓練和內化過程而形成的相對穩定的、內在的、人的整體質量水平。從某種意義上說,素質就是具有復雜結構的身心各方面的能力及品質特征的總和。檔案人員從事的雖然是一項業務性強而又極其平凡的服務性工作,但就其深遠意義來說它又是一項功在當代、利在千秋的偉大事業。隨著信息化、網絡化的發展,檔案人員只有不斷提高自身的素質,特別是信息素質,才能適應信息社會的需求。那么,信息時代的檔案人員應當具備怎樣的素質呢?筆者認為有以下幾個方面。
1.檔案人員的信息素質
在信息時代,檔案人員首先應具有信息素質。信息素質作為人的整體素質的重要組成部分,它是人們在信息社會生存的基本條件之一,也是人們在信息時代必須具備的能力。這一概念最早出自于美國信息產業協會主席波爾(PaulZurkouski)在1974年向全美圖書館學與信息學委員會提交的一份報告中,并被概括為“利用大量的信息工具及主要信息源使問題得到解決的技術和技能。”此后,這一概念不斷得到發展。1997年,紐約州立大學圖書館館長將信息素質定義為:“能清楚地認識到何時需要信息,并能確定、評價、有效利用信息以及有利用各種形式交流信息的能力。”筆者認為,信息素質是人們對信息與信息活動的認知能力和對信息綜合利用能力的一種體現。它是信息社會的人,特別是信息人員(圖書館員、檔案館員等)的基本能力。固然傳統檔案館員也需要具有很好的信息素質,但是在信息時代,數字檔案館人員與傳統相比,其所具有的信息素質在內容上和程度上都有很大的不同。從內涵上講,現代檔案人員的信息素質應包括三個方面:信息意識、信息道德和信息能力。
(1)信息意識
良好的信息意識是具有較高的信息素質的前提,同時也是信息資源開發和利用的強大動力。檔案館是各類文獻信息的集中保管基地,檔案人員擔負著準確、快速地收集檔案信息,有效地提供檔案信息的重要職責,因此要求檔案人員必須具有強烈的信息意識。檔案人員的信息意識應包括兩層涵義:Bp一般意義上的信息意識和特殊的檔案信息意識。一般意義的信息意識是指人對信息的敏感程度,是人們對自然界和社會各種現象、行為、理論觀點等從信息角度的理解、感受和評介。它是特殊的檔案信息意識的基礎。檔案人員的檔案信息意識是指其對檔案的信息屬性、對檔案信息組織、開發、傳播、利用的一種內在的、專注的心理傾向。這種信息意識具體表現在:
a.充分認識到信息的重要性,認識到有價值的信息可以在生活和工作中起到非常重要的作用,有時甚至是決定性的作用。檔案信息是社會的寶貴資源和財富,應當并且能夠在社會上流通,而且應當認識到,檔案工作者在信息社會發揮著重要的作用.肩負著傳播檔案信息為大眾服務的重任。
b.對信息具有分析鑒別能力。一是對所接觸的信息,能判斷出屬于哪種類型,產生于哪個領域,主要服務對象是誰。二是能判斷出此信息是否有價值,并能估測出價值大小。
c.充分認識到信息社會信息量的膨脹程度以及信息流動速度和更新速度的快捷性。
(2)信息道德
信息道德習慣上也稱為信息品德,從廣義上講,信息道德是指在整個信息化活動中調節信息創造者、信息傳播者、信息使用者之間相互關系的行為規范的總和。作為檔案信息管理者,其信息道德又有其特定具體的內涵,它與職業道德密切相連,可以說是職業道德在信息社會的拓展與延伸。檔案人員的信息道德,就是指檔案工作者在檔案信息的管理、開發、傳遞和利用服務等活動中,其思想與行為所應遵循的信息規范和倫理準則。檔案人員在工作中,應該兢兢業業地為用戶服務。及時、全面地向用戶提供信息。這里除了一般的職業道德問題外,還需特別指出的是關于知識產權的保護問題,由于在網絡環境下,往往缺乏社會有關機構的監督和管理,而且數字檔案館本身也要進行檔案信息的數字化工作,所以這個問題在信息時代就顯得重要、復雜和敏感。
(3)信息能力
這主要是指檔案人員獲取、鑒別、組織和開發檔案信息的能力。
a.對檔案信息的獲取能力。在信息社會,由于數字信息產生和傳播的特點,信息的密集程度,信息分布的復雜程度以及更新程度都是工業社會不可比擬的。所以檔案人員必須熟悉各個數字館藏的內容及查找方式、各種商業數據庫的內容以及獲取方式,各種搜索引擎的有效利用等等,及時收集各類檔案信息,以豐富館藏。
b、鑒別檔案信息的能力。這是檔案人員的一項基本信息素質。對檔案信息的鑒別包括對其原始性、真實性的判別和檔案價值的評估。確定檔案信息的真偽,是一項十分重要的工作,特別是在信息社會.產生了大量的電子文件和數字檔案,其真實性的判定就更為重要,難度也更大。這就需要有比較專業的信息鑒別能力。對檔案信息價值的評估和鑒定,區分其價值的大小,是在確定了真實性后的又一個重要工作,是檔案信息開發利用的基礎。
c.檔案信息的組織開發能力。檔案信息組織開發己成為信息時代檔案工作的核心內容,各類檔案信息必須按照一定的方式進行組織整理,形成各種專題數據庫,并能根據用戶需求對信息進行深層次的開發,形成二次文獻、三次文獻等。而檔案信息開發的深度和廣度,以及檔案信息開發的時效性,則依賴于檔案人員的信息開發能力。組織開發能力決定著檔案服務的質量和社會用戶的檔案信息利用程度,影響著檔案事業的發展進程。要求檔案人員有一種對檔案信息的職業敏感性,能及時了解用戶的需求熱點,有效地組織檔案信息并向社會傳播。因此.檔案信息組織開發能力是檔案人員信息能力中最主要、最核心的內容,居于信息能力的最高層次,是具有創新性質的能力。
2、其他各項基本素質
這些基本素質是對傳統檔案人員素質的繼承,也是形成和提高檔案人員自身信息素質的基礎,涉及的范圍較廣,包括政治素質、業務素質、心理素質、身體素質等等,這與傳統檔案人員的素質要求大致相同,在此不作贅述。下面主要強調一下在信息社會必需的幾項基本素質。
(1)掌握檔案專業基礎理論與方法
作為一名檔案工作者,首先必須掌握檔案專業知識,了解檔案信息的收集、整理到利用的全套理論與方法,并能將這些檔案學理論與現代信息技術相結合。
(2)掌握現代信息技術
21世紀是信息高速發展的時代,現代檔案信息管理與傳統上有很大的不同,需要既懂檔案學又掌握了先進的信息技術的“復合型”人才方可勝任。這里的“現代信息技術”主要是指計算機網絡與通訊技術、聲像技術、多媒體技術、數據庫技術、數據存取技術、人工智能技術等。信息數字化和網絡化為用戶提供了在更大范圍內查閱信息的機會,但同時也把用戶帶入了一個陌生的數字信息海洋,這就要求檔案人員能盡快地適應信息環境,能根據用戶需求及時通過網絡系統快捷地獲取檔案信息,并把分散的片斷信息組合整理出新信息提供給用戶,成為用戶信賴的咨詢員。
(3)較好的外語能力
隨著國際交往的加強,熟練地掌握一種外語已成為迫切需要的工作能力。一是因為檔案館是對外交往的窗口;二是檔案館的職能也要求館員外語能力必須加強,這不僅是因為外文信息在館藏中占有重要比例,而且隨著網絡化程度的加強、聯機檢索的需要、資源共享的擴大,檔案人員只有熟練掌握一門以上的外語知識才能更好地為用戶服務。
(4)具有豐富的科學知識和科學管理能力
檔案專業人員,除具備檔案專業知識外,還應具有比較全面、系統的文化、理論、科學技術知識,才能更好地勝任自己的工作。
檔案信息管理是一項實踐性很強的工作,檔案管理、流通借閱、藏用關系等都是檔案工作中值得研究學習和實踐的問題。一個好的檔案館員不僅要掌握檔案館的管理知識、運行規律,還要了解各業務部門之間的內在聯系。
二、目前檔案人員的素質現狀及培養途徑
在信息社會,檔案作為一種“原生信息”或“信息資源”,其重要意義不言而喻。無論是發達國家還是發展中國家,都在積極地發展其檔案事業。而是否擁有充足的、高素質的人才資源已成為檔案事業能否持續發展的關鍵所在,人才資源的開發必然涉及到檔案專業的教育培訓問題。
1、檔案人員的知識結構狀況
近二十年來,隨著檔案學教育的發展,檔案專業人員的素質有了明顯的提高。接受檔案專業教育的人占總檔案人員的60%以上,而且教育程度也呈上升趨勢。大中專教育已不再是培訓的主體,而是轉向本科生教育,國家也加大了檔案專業教育的投人力度。但問題在于,一是檔案專業人員的總體教育程度不高。據統計,從業人員中,大部分只接受過專科或在職短期培訓,具有本科學歷的約占5%,有研究生學歷的更是寥寥無幾,僅占0.5%左右。仍有不足4o%的檔案人員未接受過任何專業訓練,并且年齡大都在35歲至5O歲之間,這些人很難勝任信息時代的檔案工作。這是一個十分嚴峻的現實,解決這個問題是中國檔案教育最迫切的任務。二是檔案專業教育尚未走出傳統的桎梏。首先是專業設置過窄,培養目標過專,為檔案館(室)機構外殼所束縛;再者,課程設置不合理,未能反映出信息社會發展的趨勢,學生知識面狹窄,且缺乏必要的實踐技能;三是在職教育以“針對性教育”為模式,培訓不系統,檔案人員信息素質問題未能從根本上解決。
2、提高檔案人員自身素質的途徑
以學校專業教育為主體,大力發展在職繼續教育,以全面提高檔案人員的素質,具體地說應從以下幾個方面進行。
(1)完善檔案專業的教育體制,發展本科教育,積極探索研究生教育,在教育方針上堅持“大檔案學”的觀念,既把檔案學放到信息學和管理學的大系統中,而不要只局限于檔案學。在課程設置上要增加現代信息技術的內容,從而擴大學生的知識面和綜合能力,其中著重培養其信息素質。使未來的檔案工作者成為具備良好的信息能力、合理的知識結構、掌握現代信息技術的高素質“通才”。
(2)對在職人員開展“多元化、全方位”的在職繼續教育模式。可以從以下幾個方面著手:首先,檔案館可以在經費允許的惰況下有計劃地組織培訓,使檔案館員能夠盡可能多地掌握新知識、新技能,提高其業務素質。另一方面,可聘請信息專業教授、專家有針對性地舉辦一些專題講座。為促使檔案館員自覺地學習新的技能,還可將計算機、信息網絡技能的考核與館員的提拔、使用、晉級、聘任等掛鉤,并使其制度化,以此調動檔案人員參加繼續教育的積極性。
(3)培養自學能力
安檢員實習心得范文第2篇
關鍵詞:檔案館 信息集成 檔案信息資源 建設體系
檔案信息集成服務,亦可稱為檔案信息資源集成式服務,或是“一站式”服務,即將信息集成服務理念應用于檔案信息資源建設中,在數字網絡環境下,通過對檔案信息服務各要素進行集成與動態的整合,構建優化的檔案館信息資源建設與服務體系,使用戶需求實現最大的滿足。在檔案館信息資源集成建設過程中,對用戶、檔案資源、信息技術、檔案館功能和外部環境進行集成優化,以用戶需求集成為中心,以館藏檔案信息資源集成為基礎,以信息技術集成為驅動,以環境集成為依托,以檔案館功能集成為過程,動態地構建檔案信息資源服務體系。
一、用戶需求集成
檔案館信息資源建設要明確以用戶為中心的服務核心,用“以人為本”作為判斷標準,審視檔案工作的方向、重點和成效,審視檔案館基礎設施和信息服務能力建設。
1.用戶的管理
用戶需求集成首先需要對用戶的含義進行界定。以用戶為中心不能只考慮到當前的用戶,此“用戶”應是大范圍的、包含未來的,檔案工作的遠瞻性也要求檔案信息資源共享應以歷史大局的需求為導向,為整個歷史的發展進程提供服務。故而在集成整合檔案信息資源時要考慮檔案資源的長遠價值,對潛在的、長期的用戶進行預測,對用戶信息進行集成管理。
2.需求的集成
用戶需求集成管理是檔案信息資源建設“以人為本”思想模式的一個重要表現。要推進檔案館信息資源建設,便要了解用戶,需要對用戶需求狀態進行跟蹤,建立并維護與用戶達成的契約,建立對用戶需求的可測試標準體系等。可借鑒圖書館建立一個專門的信息服務咨詢臺或是虛擬檔案信息咨詢服務中心,直接與用戶接觸,向用戶提供館內的資源和服務的基本信息,協調不同的服務機構滿足用戶的需求,或設立專門的部門與人員,分析較復雜的用戶需求。建立用戶需求管理部門,制定明確的服務協定和完善的服務規范,暢通讀者信息反饋渠道。①
二、館藏檔案信息資源集成
館藏檔案信息資源集成是檔案館信息服務建設的物質基礎。學者畢建新、張照余曾從標準、技術和組織管理層面對檔案信息資源集成進行了闡述,②筆者認為檔案信息資源共享之資源集成最基本的內容是檔案信息資源的集成。
1.資源的有效
“有效”的資源是檔案信息資源集成整合的第一步。檔案信息資源集成整合時不僅要講究數量上的“合”,更要注重質量上的“合”,要保證對公眾提供的檔案信息資源都是有實用價值的,要保證整合時檔案信息資源的可用性與可開放性。故要做到以下兩點:一要及時對館藏檔案進行解密降密,保證可開放檔案資源的內容與范圍更新。 二要緊隨時代特征和社會民生潮流,篩選符合當代社會需求與時代主題的檔案資源,繼而進一步挖掘檔案知識內涵,豐富檔案內容,實現檔案信息資源有效共享。
2.集成的有效
手段的有效是檔案信息資源有效集成的重要步驟。在進行館藏資源結構調整時,不能盲目地、不切實際地強調館藏檔案結構上的完整,因為從全國檔案館藏分布實際來看,即使是綜合檔案館內的館藏檔案也不可能是真正的綜合,這是由我國特殊的政治體制以及檔案事業體制決定的,如城建檔案館與綜合檔案館之間的矛盾等。在整合檔案信息資源時要分析社會對檔案信息的需求,分析信息用戶的特征,繼而針對性地整合優化館藏檔案信息資源,一要豐富和優化館藏內容和結構,建構平民化的檔案館藏;二要加強特色館藏的建設,并通過一系列專題服務形式進行開發利用的工作,以實現多元一體化的服務模式。
三、信息技術集成
信息技術集成要敢用、善用新技術,利用網絡技術構建一個虛擬環境,營造一個虛擬共享平臺。在這個數字環境中,用戶通過各種功能界面,通過安裝網絡搜索引擎,獲取電子檔案資源及其他信息資源。然而對各種信息技術,也不能盲目地應用。
1.敢用新技術
檔案界在談到現在網絡技術對檔案工作的運用時多用“新”這個字眼。實際上這個“新”只是相對于檔案工作的傳統手段而言的,而這些媒體、網絡、計算機技術在計算機行業、其他學科領域以至圖書館學領域都早已被運用。面對現在科技的發展及社會發展的壓力,檔案學科需要這些網絡通信技術來提升自己的工作效率,故面對這些“新”技術,我們要敢于去利用,去構建檔案信息資源的共享場所,拓展檔案工作的空間。
2.善用信息技術
檔案信息資源開發利用離不開網絡技術的驅動,善用信息技術要用集成的思想管理這些信息技術,包括技術集成與檔案網站集成。信息技術集成指除了擁有獲取電子資源的軟件外,還應安裝各種軟件,提供一致、快捷的用戶界面和簡明詳細的電子版使用指南。在充分利用數字檔案館資源的基礎上,加強一站式搜索引擎、知識導航、虛擬參考咨詢、虛擬社區檔案、專題論壇、培訓課程與預約系統等內容的建設。③檔案網站集成指檔案館要在《全國檔案信息化建設實施綱要》的指導下,加強自身的信息化建設,實現政府上網工程,進一步在總體上加強館際間的網絡建設,實現彼此間的聯網工作,從而實現彼此間檔案信息資源的共享。目前,全國基于互聯網的檔案網站已逾千個,且都直接或間接地鏈接在一起,供登錄者了解館藏范圍,檢索檔案文件的目錄信息。這種方式被稱為“網站集群”。④
四、服務環境集成
服務環境集成即要把檔案信息資源建設放入社會各種環境中,對各個環境綜合分析,獲取檔案信息資源建設的有利因素,進而采取相應措施,聯合其他外部環境力量共同推進檔案館的信息服務建設。
1.環境的集合
在信息化及檔案信息化這一大時代背景下,檔案信息資源集成建設面臨著各種外部環境。一是近年來政務信息環境的形成為檔案信息資源共享建設提供了客觀的條件。二是國家法制法規如《中華人民共和國信息網絡國際聯網管理暫行規定》、《互聯網電子公告服務管理暫行規定》等的逐漸建立為檔案信息資源集成建設提供政策環境。三是國家網絡基礎設施的不斷改善以及數字化技術、數據庫技術、網絡通信技術、多媒體和超文本等技術的發展為檔案信息資源集成建設提供了技術支撐環境。
2.協同共建
我國檔案館信息資源集成建設的要素和措施紛繁復雜,既包含檔案工作的專業范圍,又涉及了管理學、計算機技術等領域,實際操作時須把這些因素緊密結合起來考慮。不僅要認識到這些措施的重要作用,還要弄清楚它們之間的關系,使其能夠和諧共處,共同發揮作用。
2008年5月1日《政府信息公開條例》的正式實施,為綜合檔案館向公共檔案館轉型提供了一個良好的契機。檔案部門參與了政府信息公開工作,成為政府部門公開政府信息的場所,拓展了檔案服務工作的領域。檔案館借此機遇向公共檔案館轉型,更加突出其服務性、公共性和開放性,更加體現出檔案部門所應該具有的文化價值。因而我們應借此時機,發揮協同理念的思想內涵,加強與政府部門的合作,共同做好政府信息的公開,服務社會。同時,社會用戶也是檔案館信息資源集成建設體系中的重要部分。要以人為本,從用戶需求出發,以豐富的檔案信息資源滿足用戶的需求。并建立用戶反饋機制,對檔案館的服務質量進行評價,形成檔案館與用戶的互動,最終在檔案館信息資源集成建設這一動態服務環境中,檔案館、政府部門與社會用戶三者協同合作,共建共享,共同推動檔案館工作向前發展。
五、檔案館功能集成
功能集成是信息共享空間理念⑤的理論基礎之一,它是一種使相關多元信息有機融合并優化使用的理念。國內相關公共檔案館建設也應用了功能集成的理念,且取得了一定的成效。如2004年4月建成的上海市檔案館外灘新館便是集決策參考、展覽教育、社會課堂、咨詢利用、信息集聚和傳播、市場服務、學術交流、文化休閑等功能為一體的一種新的服務窗口。
現要將檔案館信息資源建設看成一個功能集成的過程,將檔案館的各種功能,如檔案保管、檔案研究、存史資政、展覽教育、社會課堂、咨詢利用、信息集聚和傳播、市場服務、學術交流、文化休閑等,通過依托整合的檔案資源基礎,先進的技術驅動,優化構建檔案館的服務模式與體系。通過功能集成,實現檔案館的集成化“一站式”,將信息開放存取環境中的檔案信息資源系統與服務體系進行無縫式鏈接,實現檔案管理與利用工作“管理無縫隙,服務無邊界”的新要求。
注釋:
①⑤任樹懷,盛興軍.信息共享空間理論模型建構與動力機制研究[J].中國圖書館學報,2008(4):34-40.
安檢員實習心得范文第3篇
1.高職院校檔案管理信息化建設的重要意義
1.1更利于對于檔案紙質的保護
作為高職院校來講,通常會有用成千上萬的學生和工作人員,需要進行管理的檔案無疑是一個龐大的數目。同時,這些檔案資料對于學生和學校來說都有著極其重要的意義。伴著社會和經濟的不斷發展,學校的規模也在不斷進行擴大,但是,單純憑借手工操作對重要檔案資料進行管理,仍然會出現重要檔案出現丟失或者是損壞的現象,這種情況是無法避免的;平時資料還會經常被查閱,同然也會帶來一定程度的破壞,甚至是丟失。如果選用計算機進行管理,上述現象就不會再出現。其次,檔案資料進行信息化管理之后,使用起來也會更加便捷。
1.2有利于管理人員工作效率提高
當今的時代是一個追求效率的時代,原來的高職院校檔案管理中,紙質檔案無法形成信息網,借閱的時候都需要工作人員利用手工進行操作,不僅浪費時間、浪費精力還容易出現差錯,并且在對檔案進行管理和統計的時候同樣出現了諸多不便,工作效率被大大降低。實施信息化管理之后,檔案的管理就可以呈現出自動化、實時化以及網絡化的特征。檔案進行記錄之后,可以反復進行記錄,更加易于保存,也容易進行修改,還可以借助網絡來進行傳送,這樣檔案的使用率就被大大提高起來。
2.推進高職院校檔案信息化建設的對策
2.1轉變傳統管理模式,提升綜合服務水平
檔案真正的價值在于利用,高職院校檔案信息管理部門應當轉變管理觀念,徹底摒棄傳統的重藏輕用的管理模式,注重檔案價值的開發與利用;要加強現代化信息技術的應用,以實現檔案信息資源的共享,進而促進工作質量和服務水平的提高;要從以往的“你求我供”的被動服務方式轉變為網上主動提供的服務方式,以便在當前的網絡環境中,促進管理和檔案業務工作自動化的真正實現。
高職院校檔案信息化建設過程中,一方面要對檔案進行深加工,積極主動地對檔案管理的信息進行組織、開發、管理、利用;另一方面,強化檔案信息的傳播,要依托校園網建立檔案信息網站,把檔案信息公布給廣大師生;同時,在網頁中設置目錄查詢、機構簡介、政策法規和業務規范等諸多欄目,引導用戶正確使用檔案信息,構建新型的檔案信息服務模式。
2.2利用現有設施設備,不斷提高建設質量
提升檔案信息化技術水平。由于高職院校用于檔案信息化的經費偏于緊張,要配備充足、先進的檔案信息管理設施設備目前還不易做到,檔案管理人員應結合實際,在配備必不可少的信息設備的同時,充分挖掘和利用學校現有信息人才和設施設備資源,為檔案信息化建設所用。可利用現有掃描儀、照相機、微縮膠卷、光盤、硬盤等,對重要檔案進行鑒定、掃描、整理、保存,通過閱讀器等存儲、利用,并爭取異地備份保存,加強安全管理。要抓好教學、科研、學生、人力資源管理等工作的建檔、歸檔,利用辦公自動化和信息公開平臺,在各部門建立信息資源體系和查詢系統,逐步實現辦公自動化與檔案信息化建設的統一。要注重信息共享,在保密原則下,實現局域網內信息共享。還要加強檔案管理的科研工作,科研先行,資源共享,提升信息化建設質量。
2.3 學習借鑒先進經驗,更新自身服務理念
信息時代檔案專業實踐的發展領域已經明顯跨越了檔案館室的界限,檔案管理人員也從檔案實體保管員轉變為檔案知識管理者、檔案信息提供者和決策咨詢者,角色的轉變伴隨著觀念的更新和管理的創新。信息化建設要求高職院校檔案管理人員必須走出傳統模式,學習國內外檔案管理信息化建設的先進理念和管理方法,轉變服務觀念,變被動為主動,利用信息技術,做好檔案信息的綜合分析,及時準確地為相關部門提供有價值的信息,為正確解決問題提供第一手資料,把資料庫存變成信息資源庫,把沉寂的“死檔案”變成有價值的“活”知識。在檔案信息利用服務工作中要以人為本,從用戶角度出發進行檔案信息化建設和管理,營造一個方便、高效、輕松的檔案信息利用環境,使檔案館(室)成為一個人們愿意去、喜歡去且去有所獲的信息資料庫,切實為師生員工服務,促進學校教學、科研、管理等工作的發展。
2.4加快完善數字檔案,建設高質量數據庫
檔案信息資源建設是信息化建設的基礎和核心。在數字化檔案硬件架構建設完成之后,應按照《紙質檔案數字化技術規范》,將原有館藏傳統載體檔案,通過掃描、加工和處理,進行數字化轉換,形成規范化、系列化的文字、聲像等檔案數據。將這些數據統一存入資源庫,通過對數據庫的完善來完成檔案數字化進程。對于日后產生的新檔案,要求直接保存為數字格式,并且定期按照一定的順序存入數據庫。在檔案數字化建設過程中,還要同時做好自身館藏檔案機讀目錄建設,以方便對檔案的管理和應用。用戶可以根據所需檔案的關鍵詞對檔案進行檢索和調用,既節約了時間和精力,也降低了?n案管理部門工作的復雜程度。
安檢員實習心得范文第4篇
數字校園是以校園網為背景的集教學、管理和服務為一體的一種新型的數字化工作、學習和生活環境。一個典型的數字校園包括各種常用網絡服務、共享數據庫、身份認證平臺、各種業務管理系統和信息門戶網站等[1]。數字校園作為一個龐大復雜的信息系統,構建和維護一個良好的信息安全管理體系是一項非常重要的基礎管理工作。
信息安全風險評估是構建和維護信息安全管理體系的基礎和關鍵環節,它通過識別組織的重要信息資產、資產面臨的威脅以及資產自身的脆弱性,評估外部威脅利用資產的脆弱性導致安全事件發生的可能性,判斷安全事件發生后對組織造成的影響。對數字校園進行信息安全風險評估有助于及時發現和解決存在的信息安全問題,保證數字校園的業務連續性,并為構建一個良好的信息安全管理體系奠定堅實基礎。
二、評估標準
由于信息安全風險評估的基礎性作用,包括我國在內的信息化程度較高的國家以及相關國際組織都非常重視相關標準和方法的研究。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協調中心開發的OCTAVE2.0以及我國制定的《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)。
ISO/IEC27001系列標準于2005年10月15日正式,作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動,同時也為評估組織的信息安全管理水平提供依據。但是ISO27001系列標準沒有制定明確的信息安全風險評估流程,組織可以自行選擇適合自身特點的信息安全風險評估方法,如OCTAVE2.0等[2][3]。
為了指導我國信息安全風險評估工作的開展,我國于2007年11月正式頒布了《信息安全技術——信息安全風險評估規范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風險評估標準,該標準與ISO27001系列標準思想一致,但對信息安全風險評估過程進行了細化,使得更加適合我國企業或者組織的信息安全風險評估工作開展。
三、評估流程
《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)等標準為風險評估提供了方法論和流程,為風險評估各個階段的工作制定了規范,但標準沒有規定風險評估實施的具體模型和方法,由風險評估實施者根據業務特點和組織要求自行決定。本文根據數字校園的業務流程和所屬資產的特點,參考模糊數學、OCTAVE的構建威脅場景理論和通用弱點評價體系(CVSS)等風險評估技術,提出了數字校園信息安全風險評估的具體流程和整體框架,如圖1所示。
據圖1可知,數字校園的信息安全風險評估首先在充分識別數字校園的信息資產、資產面臨的威脅以及可被威脅利用的資產脆弱性的基礎上,確定資產價值、威脅等級和脆弱性等級,然后根據風險矩陣計算得出信息資產的風險值分布表。數字校園信息安全風險評估的詳細流程如下:
(1)資產識別:根據數字校園的業務流程,從硬件、軟件、電子數據、紙質文檔、人員和服務等方面對數字校園的信息資產進行識別,得到資產清單。資產的賦值要考慮資產本身的實際價格,更重要的是要考慮資產對組織的信息安全重要程度,即信息資產的機密性、完整性和可用性在受到損害后對組織造成的損害程度,預計損害程度越高則賦值越高。
在確定了資產的機密性、完整性和可用性的賦值等級后,需要經過綜合評定得出資產等級。綜合評定方法一般有兩種:一種方法是選取資產機密性、完整性和可用性中最為重要的一個屬性確定資產等級;還有一種方法是對資產機密性、完整性和可用性三個賦值進行加權計算,通常采用的加權計算公式有相加法和相乘法,由組織根據業務特點確定。
設資產的機密性賦值為,完整性賦值為,可用性賦值為,資產等級值為,則
相加法的計算公式為v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅,實際威脅識別需要通過訪談和專業檢測工具,并通過分析入侵檢測系統日志、服務器日志、防火墻日志等記錄對實際發生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統計數據,并結合組織業務特點對潛在可能發生的威脅進行充分識別和分類。
(3)脆弱性識別:脆弱性是資產的固有屬性,既有信息資產本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統的漏洞可以通過專業的漏洞檢測軟件進行檢測,然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別,包括對已有的控制措施的有效性也一并識別。
(4)威脅—脆弱性關聯:為了避免單獨對威脅和脆弱性進行賦值從而造成風險分析計算結果出現偏差,需要按照OCTAVE中的構建威脅場景方法將“資產-威脅-脆弱性-已有安全控制措施”進行關聯。
(5)風險值計算:在資產、威脅、脆弱性賦值基礎上,利用風險計算方法計算每個“資產-威脅-脆弱性”相關聯的風險值,并最終得到整個數字校園的風險值分布表,并依據風險接受準則,確認可接受和不可接受的風險。
四、評估實例
本文以筆者所在高職院校的數字校園作為研究對象實例,利用前面所述的信息安全風險評估流程對該實例對象進行信息安全風險評估。
1.資產識別與評估
數字校園的資產識別與評估包括資產識別和資產價值計算。
(1)資產識別
信息安全風險評估專家、數字校園管理技術人員和數字校園使用部門代表共同組成數字校園信息資產識別小組,小組通過現場清查、問卷調查、查看記錄和人員訪談等方式,按照數字校園各個業務系統的工作流程,詳細地列出數字校園的信息資產清單。這些信息資產從類別上可以分為硬件(如服務器、存儲設備、網絡設備等)、軟件(OA系統、郵件系統、網站等)、電子數據(各種數據庫、各種電子文檔等)、紙質文檔(系統使用手冊、工作日志等)、人員和服務等。為了對資產進行標準化管理,識別小組對各個資產進行了編碼,便于標準化和精確化管理。
(2)資產價值計算
獲得數字校園的信息資產詳細列表后,資產識別小 組召開座談會確定每個信息資產的價值,即對資產的機密性、完整性、可用性進行賦值,三性的賦值為1~5的整數,1代表對組織造成的影響或損失最低,5代表對組織造成的影響或損失最高。確定資產的信息安全屬性賦值后,結合該數字校園的特點,采用相加法確定資產的價值。該數字校園的軟件類資產計算樣例表如下表1所示。
由于資產價值的計算結果為1~5之間的實數,為了與資產的機密性、完整性、可用性賦值相對應,需要對資產價值的計算結果歸整,歸整后的數字校園軟件類資產的資產等級結果如表1所示。
因為數字校園的所有信息資產總數龐大,其中有些很重要,有些不重要,重要的需要特別關注重點防范,不重要的可以不用考慮或者減少投入。在識別出所有資產后,還需要列出所有的關鍵信息資產,在以后的日常管理中重點關注。不同的組織對關鍵資產的判斷標準不完全相同,本文將資產等級值在4以上(包括4)的資產列為關鍵信息資產,并在資產識別清單中予以注明,如表1所示。
2.威脅和脆弱性識別與評估
數字校園與其他計算機網絡信息系統一樣面臨著各種各樣的威脅,同時數字校園作為一種在校園內部運行的網絡信息系統面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產之上,通過破壞資產的一個或多個安全屬性而產生信息安全風險,即任何威脅都是與資產相關聯的,一項資產可能面臨多個威脅,一個威脅可能作用于多項資產。威脅的識別方法是在資產識別階段形成的資產清單基礎上,以關鍵資產為重點,從系統威脅、自然威脅、環境威脅和人員威脅四個方面對資產面臨的威脅進行識別。在分析數字校園實際發生的網絡威脅時,需要檢查入侵檢測系統、服務器日志文件等記錄的數據。
脆弱性是指資產中可能被威脅所利用的弱點。數字校園的脆弱性是數字校園在開發、部署、運維等過程中由于技術不成熟或管理不完善產生的一種缺陷。它如果被相關威脅利用就有可能對數字校園的資產造成損害,進而對數字校園造成損失。數字校園的脆弱性可以分為技術脆弱性和管理脆弱性兩種。技術脆弱性主要包括操作系統漏洞、網絡協議漏洞、應用系統漏洞、數據庫漏洞、中間件漏洞以及網絡中心機房物理環境設計缺陷等等。管理脆弱性主要由技術管理與組織管理措施不完善或執行不到位造成。
技術脆弱性的識別主要采用問卷調查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術脆弱性與軟件漏洞有關,因此使用漏洞檢測工具檢測脆弱性,可以獲得較高的檢測效率。本文采用啟明星辰公司研發的天鏡脆弱性掃描與管理系統對數字校園進行技術脆弱性識別和評估。
管理脆弱性識別的主要內容就是對數字校園現有的安全控制措施進行識別與確認,有效的安全控制措施可以降低安全事件發生的可能性,無效的安全控制措施會提高安全事件發生的可能性。安全控制措施大致分為技術控制措施、管理和操作控制措施兩大類。技術控制措施隨著數字校園的建立、實施、運行和維護等過程同步建設與完善,具有較強的針對性,識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規則指南》或NIST的《最佳安全實踐相關手冊》制訂的表格進行,避免遺漏。
3.風險計算
完成數字校園的資產識別、威脅識別、脆弱性識別和已有控制措施識別任務后,進入風險計算階段。
對于像數字校園這類復雜的網絡信息系統,需要采用OCTAVE標準提供的“構建威脅場景”方法進行風險分析。“構建威脅場景”方法基于“具體問題、具體分析”的原則,理清“資產-威脅-脆弱性-已有控制措施”的內在聯系,避免了孤立地評價威脅導致風險計算結果出現偏差的局面。表2反映了數字校園圖書館管理系統的資產、威脅、脆弱性、已有控制措施的映射示例。
將“資產—威脅—脆弱性—已有控制措施”進行映射后,就可以按照GB/T20984-2007《信息安全風險評估規范》要求進行風險計算。為了便于計算,需要將前面各個階段獲得資產、威脅、脆弱性賦值與表3所示的“資產—威脅—脆弱性—已有控制措施”映射表合并,因為在對脆弱性賦值的時候已經考慮了已有控制措施的有效性,因此可以將已有控制措施去掉。
本文采用的風險計算方法為《信息安全風險評估規范》中推薦的矩陣法,風險值計算公式為:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。
風險計算的具體步驟是:
(a)根據威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計算安全事件可能性值;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉換為安全事件可能性等級值;
(c)根據資產賦值和脆弱性賦值,查詢《安全事件損失矩陣》計算安全事件損失值;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉換為安全事件損失等級值;
(e)根據安全事件可能性等級值和安全事件損失等級值,查詢《風險矩陣》計算安全事件風險值;
(f)對照《風險等級劃分矩陣》將安全事件風險值轉換為安全事件風險等級值。
所有等級值均采用五級制,1級最低,5級最高。
五、結束語
數字校園是現代高校信息化的重要基礎設施,數字校園的安全穩定直接關系到校園的安全穩定,而風險評估是保證數字校園安全穩定的一項基礎性工作。本文的信息安全風險評估方法依據國家標準,采用定性和定量相結合的方式,保證了信息安全風險評估的有效性和科學性,使得風險評估結果能對后續建立數字校園的信息安全管理體系起到指導作用。
參考文獻:
[1]宋玉賢.高職院校數字化校園建設的策略研究[J].中國教育信息化,2010(4).
安檢員實習心得范文第5篇
要:本文依據我國制定的信息安全風險評估標準和國際有關標準,研究和設計針對數字校園的信息安全風險評估流程和框架,并利用該流程針對實際的數字校園對象進行實例驗證,風險評估結果驗證了該流程的合理性和可行性。
關鍵詞:數字校園;風險評估;信息安全
中圖分類號:TP309 文獻標志碼:B 文章編號:1673-8454(2012)23-0030-04
一、引言
數字校園是以校園網為背景的集教學、管理和服務為一體的一種新型的數字化工作、學習和生活環境。一個典型的數字校園包括各種常用網絡服務、共享數據庫、身份認證平臺、各種業務管理系統和信息門戶網站等[1]。數字校園作為一個龐大復雜的信息系統,構建和維護一個良好的信息安全管理體系是一項非常重要的基礎管理工作。
信息安全風險評估是構建和維護信息安全管理體系的基礎和關鍵環節,它通過識別組織的重要信息資產、資產面臨的威脅以及資產自身的脆弱性,評估外部威脅利用資產的脆弱性導致安全事件發生的可能性,判斷安全事件發生后對組織造成的影響。對數字校園進行信息安全風險評估有助于及時發現和解決存在的信息安全問題,保證數字校園的業務連續性,并為構建一個良好的信息安全管理體系奠定堅實基礎。
二、評估標準
由于信息安全風險評估的基礎性作用,包括我國在內的信息化程度較高的國家以及相關國際組織都非常重視相關標準和方法的研究。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協調中心開發的OCTAVE2.0以及我國制定的《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)。
ISO/IEC27001系列標準于2005年10月15日正式,作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動,同時也為評估組織的信息安全管理水平提供依據。但是ISO27001系列標準沒有制定明確的信息安全風險評估流程,組織可以自行選擇適合自身特點的信息安全風險評估方法,如OCTAVE2.0等[2][3]。
為了指導我國信息安全風險評估工作的開展,我國于2007年11月正式頒布了《信息安全技術——信息安全風險評估規范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風險評估標準,該標準與ISO27001系列標準思想一致,但對信息安全風險評估過程進行了細化,使得更加適合我國企業或者組織的信息安全風險評估工作開展。
三、評估流程
《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)等標準為風險評估提供了方法論和流程,為風險評估各個階段的工作制定了規范,但標準沒有規定風險評估實施的具體模型和方法,由風險評估實施者根據業務特點和組織要求自行決定。本文根據數字校園的業務流程和所屬資產的特點,參考模糊數學、OCTAVE的構建威脅場景理論和通用弱點評價體系(CVSS)等風險評估技術,提出了數字校園信息安全風險評估的具體流程和整體框架,如圖1所示。
據圖1可知,數字校園的信息安全風險評估首先在充分識別數字校園的信息資產、資產面臨的威脅以及可被威脅利用的資產脆弱性的基礎上,確定資產價值、威脅等級和脆弱性等級,然后根據風險矩陣計算得出信息資產的風險值分布表。數字校園信息安全風險評估的詳細流程如下:
(1)資產識別:根據數字校園的業務流程,從硬件、軟件、電子數據、紙質文檔、人員和服務等方面對數字校園的信息資產進行識別,得到資產清單。資產的賦值要考慮資產本身的實際價格,更重要的是要考慮資產對組織的信息安全重要程度,即信息資產的機密性、完整性和可用性在受到損害后對組織造成的損害程度,預計損害程度越高則賦值越高。
在確定了資產的機密性、完整性和可用性的賦值等級后,需要經過綜合評定得出資產等級。綜合評定方法一般有兩種:一種方法是選取資產機密性、完整性和可用性中最為重要的一個屬性確定資產等級;還有一種方法是對資產機密性、完整性和可用性三個賦值進行加權計算,通常采用的加權計算公式有相加法和相乘法,由組織根據業務特點確定。
設資產的機密性賦值為,完整性賦值為,可用性賦值為,資產等級值為,則
相加法的計算公式為v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅,實際威脅識別需要通過訪談和專業檢測工具,并通過分析入侵檢測系統日志、服務器日志、防火墻日志等記錄對實際發生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統計數據,并結合組織業務特點對潛在可能發生的威脅進行充分識別和分類。
(3)脆弱性識別:脆弱性是資產的固有屬性,既有信息資產本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統的漏洞可以通過專業的漏洞檢測軟件進行檢測,然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別,包括對已有的控制措施的有效性也一并識別。
(4)威脅—脆弱性關聯:為了避免單獨對威脅和脆弱性進行賦值從而造成風險分析計算結果出現偏差,需要按照OCTAVE中的構建威脅場景方法將“資產-威脅-脆弱性-已有安全控制措施”進行關聯。
(5)風險值計算:在資產、威脅、脆弱性賦值基礎上,利用風險計算方法計算每個“資產-威脅-脆弱性”相關聯的風險值,并最終得到整個數字校園的風險值分布表,并依據風險接受準則,確認可接受和不可接受的風險。
四、評估實例
本文以筆者所在高職院校的數字校園作為研究對象實例,利用前面所述的信息安全風險評估流程對該實例對象進行信息安全風險評估。
1.資產識別與評估
數字校園的資產識別與評估包括資產識別和資產價值計算。
(1)資產識別
信息安全風險評估專家、數字校園管理技術人員和數字校園使用部門代表共同組成數字校園信息資產識別小組,小組通過現場清查、問卷調查、查看記錄和人員訪談等方式,按照數字校園各個業務系統的工作流程,詳細地列出數字校園的信息資產清單。這些信息資產從類別上可以分為硬件(如服務器、存儲設備、網絡設備等)、軟件(OA系統、郵件系統、網站等)、電子數據(各種數據庫、各種電子文檔等)、紙質文檔(系統使用手冊、工作日志等)、人員和服務等。為了對資產進行標準化管理,識別小組對各個資產進行了編碼,便于標準化和精確化管理。
(2)資產價值計算
獲得數字校園的信息資產詳細列表后,資產識別小組召開座談會確定每個信息資產的價值,即對資產的機密性、完整性、可用性進行賦值,三性的賦值為1~5的整數,1代表對組織造成的影響或損失最低,5代表對組織造成的影響或損失最高。確定資產的信息安全屬性賦值后,結合該數字校園的特點,采用相加法確定資產的價值。該數字校園的軟件類資產計算樣例表如下表1所示。
由于資產價值的計算結果為1~5之間的實數,為了與資產的機密性、完整性、可用性賦值相對應,需要對資產價值的計算結果歸整,歸整后的數字校園軟件類資產的資產等級結果如表1所示。
因為數字校園的所有信息資產總數龐大,其中有些很重要,有些不重要,重要的需要特別關注重點防范,不重要的可以不用考慮或者減少投入。在識別出所有資產后,還需要列出所有的關鍵信息資產,在以后的日常管理中重點關注。不同的組織對關鍵資產的判斷標準不完全相同,本文將資產等級值在4以上(包括4)的資產列為關鍵信息資產,并在資產識別清單中予以注明,如表1所示。
2.威脅和脆弱性識別與評估
數字校園與其他計算機網絡信息系統一樣面臨著各種各樣的威脅,同時數字校園作為一種在校園內部運行的網絡信息系統面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產之上,通過破壞資產的一個或多個安全屬性而產生信息安全風險,即任何威脅都是與資產相關聯的,一項資產可能面臨多個威脅,一個威脅可能作用于多項資產。威脅的識別方法是在資產識別階段形成的資產清單基礎上,以關鍵資產為重點,從系統威脅、自然威脅、環境威脅和人員威脅四個方面對資產面臨的威脅進行識別。在分析數字校園實際發生的網絡威脅時,需要檢查入侵檢測系統、服務器日志文件等記錄的數據。
脆弱性是指資產中可能被威脅所利用的弱點。數字校園的脆弱性是數字校園在開發、部署、運維等過程中由于技術不成熟或管理不完善產生的一種缺陷。它如果被相關威脅利用就有可能對數字校園的資產造成損害,進而對數字校園造成損失。數字校園的脆弱性可以分為技術脆弱性和管理脆弱性兩種。技術脆弱性主要包括操作系統漏洞、網絡協議漏洞、應用系統漏洞、數據庫漏洞、中間件漏洞以及網絡中心機房物理環境設計缺陷等等。管理脆弱性主要由技術管理與組織管理措施不完善或執行不到位造成。
技術脆弱性的識別主要采用問卷調查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術脆弱性與軟件漏洞有關,因此使用漏洞檢測工具檢測脆弱性,可以獲得較高的檢測效率。本文采用啟明星辰公司研發的天鏡脆弱性掃描與管理系統對數字校園進行技術脆弱性識別和評估。
管理脆弱性識別的主要內容就是對數字校園現有的安全控制措施進行識別與確認,有效的安全控制措施可以降低安全事件發生的可能性,無效的安全控制措施會提高安全事件發生的可能性。安全控制措施大致分為技術控制措施、管理和操作控制措施兩大類。技術控制措施隨著數字校園的建立、實施、運行和維護等過程同步建設與完善,具有較強的針對性,識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規則指南》或NIST的《最佳安全實踐相關手冊》制訂的表格進行,避免遺漏。
3.風險計算
完成數字校園的資產識別、威脅識別、脆弱性識別和已有控制措施識別任務后,進入風險計算階段。
對于像數字校園這類復雜的網絡信息系統,需要采用OCTAVE標準提供的“構建威脅場景”方法進行風險分析。“構建威脅場景”方法基于“具體問題、具體分析”的原則,理清“資產-威脅-脆弱性-已有控制措施”的內在聯系,避免了孤立地評價威脅導致風險計算結果出現偏差的局面。表2反映了數字校園圖書館管理系統的資產、威脅、脆弱性、已有控制措施的映射示例。
將“資產—威脅—脆弱性—已有控制措施”進行映射后,就可以按照GB/T20984-2007《信息安全風險評估規范》要求進行風險計算。為了便于計算,需要將前面各個階段獲得資產、威脅、脆弱性賦值與表3所示的“資產—威脅—脆弱性—已有控制措施”映射表合并,因為在對脆弱性賦值的時候已經考慮了已有控制措施的有效性,因此可以將已有控制措施去掉。
本文采用的風險計算方法為《信息安全風險評估規范》中推薦的矩陣法,風險值計算公式為:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。
風險計算的具體步驟是:
(a)根據威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計算安全事件可能性值;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉換為安全事件可能性等級值;
(c)根據資產賦值和脆弱性賦值,查詢《安全事件損失矩陣》計算安全事件損失值;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉換為安全事件損失等級值;
(e)根據安全事件可能性等級值和安全事件損失等級值,查詢《風險矩陣》計算安全事件風險值;
(f)對照《風險等級劃分矩陣》將安全事件風險值轉換為安全事件風險等級值。
所有等級值均采用五級制,1級最低,5級最高。
五、結束語
數字校園是現代高校信息化的重要基礎設施,數字校園的安全穩定直接關系到校園的安全穩定,而風險評估是保證數字校園安全穩定的一項基礎性工作。本文的信息安全風險評估方法依據國家標準,采用定性和定量相結合的方式,保證了信息安全風險評估的有效性和科學性,使得風險評估結果能對后續建立數字校園的信息安全管理體系起到指導作用。
參考文獻:
[1]宋玉賢.高職院校數字化校園建設的策略研究[J].中國教育信息化,2010(4).
