信息系统安全中的行为和政策问题.docx

信息系统安全中的行为和政策问题 merrillwarkentin和robertwillison 欧洲信息系统杂志（2009）18，101-105.doi： 10.1057/ejis.2009.12现代全球经济﹑政治格局﹑技术基础设施与社会文化的发展都导致了组织中的日益增加的动态与混乱的环境，这支持了信息系统在商业﹑政府和其他领域的应用。因为我们的协会（经济﹑政策﹑军事﹑合法﹑社会）是日益全球化和内部链接的，由于我们更多的依赖于自动化的控制系统来为我们提供能源和服务，也因为我们建立了基于网络的机制来协调全球化互动，所以我们需要向我们的系统和进程介绍易损性弱点。越来越多的对网络空间的依赖扩大了我们的易损性—隔离不再是一个选项了。对于我们所依赖的信息系统，我们需要对它的各种各样的威胁进行理解和分析，与这种理解和分析的需要相比，之前所讲的现象在任何方面都不是那么要紧和富有挑战性了。 安全威胁有多种来源和成因。在loch等人的分类学中，信息系统的安全威胁被分类为四种因素—外部原因（人为因素和非人为因素）和内部原因（人为因素和非人为因素）。那些以工程和计算机科学为中心的研究主要是关于外部威胁的，现在已经有很多的人工制品被开发出来保护组织的边界（例如：入侵检测系统﹑防火墙﹑防恶意破坏软件等等）。在管理信息系统的研究传统中，一直都采取很大的努力来调查信息系统安全威胁中的人为犯罪，特别是针对那些在企业组织中的人（在防火墙后，就类似这样）。在loch等人的框架中，威胁的来源是以人的意图为特征的（目的性的vs偶然性的）。行为研究协会的许多关注是在信息系统安全政策上的，这些政策不被员工所服从。有些行为是基于目的的﹑有意的﹑恶意违规的（就像破坏活动﹑数据窃取﹑数据破坏等等），还有的行为是无意的和偶然的，包括忘记修改密码，在离开工作地之前没有下线，粗心地丢弃了一些敏感信息而不是将它粉碎。warkentin在1995年扩展了分类学来包括了低级的和高级的威胁，后者是一个有目的性的个体或者是一个寻找模糊弱点和造成巨大经济损失的组织，组织是通过坚持入侵来获得最大化长远效益，从而给经济带来严重损失。 那些来自于人们目的性行为的风险是相当危险的，尤其是在现在这样充满黑客﹑间谍﹑恐怖分子和犯罪团伙的世界，犯罪团伙是为了达到他们的目标，会合作起来全球袭击我们的信息资产。许多恶意的个体希望造成破坏和损失，为了政治原因或是军事目的，有的恶意个体会窃取贸易秘密和法人所有权信息，有的会窃取财政信息来实施诈骗，有的会是身份盗用者，除了这些还有一些其他的犯罪行为。另一种风险是由恶意软件的新级别引起的，这种新级别使得软件更隐蔽和更有效，能够使软件穿透最新的边界防护。这些风险包括病毒﹑蠕虫﹑木马程序﹑隐匿技术和分散的僵尸网络袭击。 但是，最大的威胁是内部威胁--组织中作为防火墙信用代理人的成员（im和baskerville，2005年；stantan等人，2005年；willison，2006年；willison和backhouse，2006年）。这个员工和其他委托人用有效的用户名和密码来定期地和组织内的信息财产相互作用。员工能够对信息系统的机密性﹑完整性和有效性造成损害，通过一些故意的行为（使员工不高兴或者进行间谍活动），或者他们可能会介绍风险性通过对安全政策的被动不服从﹑怠惰﹑马虎﹑低训练或者是缺少动力去有活力地保护完整性和一些敏感信息的私密性，这些敏感信息一般来自于组织和它的合作伙伴﹑委托人﹑顾客和其他。这被叫做“末端安全问题”（warkentin等人，2004年）因为个体员工是信息系统及其网络作业的末端。（我们有时会说最好的网络作业安全问题--最脆弱的连接—是在键盘与椅子之间。）内部的人经常会通过他们的终端直接接近整个网络工作，这样会造成一个主要的威胁。在50个国家开展的一个对近1400家公司进行的全球性调查中，研究者发现意识和个人问题保持了“最严峻的挑战是传递成功的信息安全主动权”（ernst和young，2008年）。尽管社会工程提供了对付黑客的最少的抵抗路径，在这项调查中只有19%的响应者是进行员工的社会工程测试，但是85%声明开展网络安全的定期测试。内部威胁被重复说明是对信息安全的最大威胁，但是在仓促中用不断增长经验的边界控制来保护边界的时候，这个威胁经常被忽略。加深对训练﹑雇佣人员的注重，促使员工安心地工作将产生很大的报酬给实行了这种策略的组织。 大量的方法和观点已经被用来调查企业的信息系统安全管理。这个特殊事件的焦点是集中在私人电脑用户﹑工作团体﹑或者组织和它的进程，之所以包括进程是因为它与信息系统安全的追求相关。组织特有地开发和实施一些计划﹑政策﹑协议和规程来保证信息资源的安全，伴随着用户训练项目和利用统治结构来宣传对安全政策和规程的服从（warkentin和johnston，2008年）。与这些努力相违背的是那些意图做一些电脑犯罪的不诚实的员工，这就像那些粗心的或是无动机的员工，因为一些突然的和粗心的操作而不能维持系统的安全。是什么原因让一些私人用户和团体来服从安全政策，而让另一些人突然地或者是有目的地违反安全规则和程序。什么激励因素和抑制条件是对保证服从或是对阻止类似于电脑犯罪﹑黑客﹑间谍或破坏活动等故意的行为是有效的。怎样才能够使服从安全政策和程序获得成功。不服从的原因是什么。在组织环境中有什么因素能够促使一个员工进行电脑犯罪。我们该怎样来理解这些违法者的犯罪行为。这些研究疑问促使我们来计划这个特殊的问题。 研究者调查了关于安全政策服从和不服从的多种前情，毫无疑问地，理论根据是熟悉的一个例子—技术采用模型﹑组织行为﹑社会影响等等。我们相信，尽管这些是（将会继续成为）了解个人动机的富有成效的领域，我们必须吸收新的探索计算机指令系统的道路。我们应该开扩我们的眼界和吸收新的理论基础和新的方法论途径。我们可以学习其他认知的和行为的科学，包括犯罪判断﹑教育﹑道德和其他。 服从问题很显然是跟那些诚实员工的行为有关，他们不管什么原因，可能或不可能遵守一个组织的安全政策。然而，我们不能忘记在组织环境中的信息系统安全，那就会有一个其他形式的行为值得我们考虑—违法者的行为。有趣的是，这个研究领域没有从信息系统安全协会获得太多关注。但是有焦点是关于违法者有潜力去打开未来研究的初始领域。传统地来说，信息系统安全对策被分成了四类，包括威慑﹑阻止﹑侦测与恢复（forcht，1994年；parker，1998年；straub和welke，1998年）。服从研究因此包括了试图去促进“阻止”的措施。员工行为导致密码使用将成为一个显著的例子。如果一个人服从或不服从政策，他或她的行为是与技术系统相联系的，这会造成“阻止”电脑滥用。然而，由于对违法者行为的关注，我们是有可能从这个控制领域移开的。但是这要依赖于运用适当的理论去应对适当的问题。因为这样的目标，信息系统安全研究者不必去重新改变方向。相异理论现有的体系使得我们对违法者的行为有所了解，不仅是在犯罪中，更重要的是在犯罪过程之前。如果这些“适当的”理论能够从中得到，那么就存在可能去进一步了解第二种行为形式和扩大安全保卫的范围，这种保卫范围将超越传统的威慑﹑阻止﹑侦测和恢复级别（straub和welke，1998年）。 最近的一篇论文（willison，2009）说明了这一点。尽管内部威胁的研究越来越多，目前存在一个缺乏对员工的不满情绪的问题的深入了解以及这在激发某种形式的计算机犯罪方面如何扮演了一个重要角色。为了解决这个问题，willison（2009）利用一套理论称为组织公平，它分析不同组织现象如何能够影响员工对公平的认知。有人认为，通过应用程序的这个理论，一个更好的理解提供了动态的不满情绪。这使得实施措施能够阻止形成，但也消散，预先存在的不满情绪。重要的是，人们的不满暂时解决之前，行为发生威慑通过。因此，通过应用程序的组织公平，这提供了组织可能扩大范围的安全措施。尽管公司可能采用在很大程度上控制来阻止员工计算机犯罪，为什么不减轻的不满情绪，从而阻止初始元素犯罪行为。在术语总额的安全威胁是减轻在管理系统安全，就必须确定组所有可能的威胁，然后应用一个公式（seewarkentin，1995），为每个产品summates威胁的伤害是预期，应该这种威胁发生，并且其发生的概率。例如，一个毁灭性的自然灾害可能会消灭一个数据中心，但其发生的几率在一个特定的位置可能较低，而不准确的数据条目的概率可能更高，但潜在的损失是很低的。重要的是，预期的值的总成本的一个恶意攻击从知情人可以有一个更大的金融冲击比无数次的行为、疏忽、遗漏或监督由善意的，但不够训练或很差的员工有热情。事实上，什么使刑事内幕威胁如此危险的是，这些个体犯罪在上下文的工作场所的环境提供他们目标训练和暴露在非常的技能和知识（知识的会计程序，知识的安全缺陷，资历和权威、计算机软件技能等）。这使他们能够执行他们的犯罪行为。帕克（1998）主张考虑网络罪犯来说，他们的技能、知识、资源、权力和动机。不诚实的员工经常有这些属性在丰度，当这样的一个威胁，在执行金融后果可能是毁灭性的。放置一个更大的研究强调罪犯会因此似乎是一项有价值的事业。所以越来越重视个人谁犯前款罪的，而不是对个人仅仅小幅违规，将会有更大的金融冲击。这是主要的动机分析法理学的增加净通过新眼镜的社会学和犯罪学研究，包括越轨行为的研究，组织公平研究、代理理论、心理学理论、组织行为、感知组织的支持，和其他理论和方法为研究人类行为。我们相信这个呼吁研究代表了对未来可行的议程。 这个特殊的问题包括六个文件，所有这些考虑信息系统安全之间的关系和行为的员工为执行这个函数。这种性质的研究是及时的，而嘴唇服务付费的重要性是安全、问题引发了对学术研究的质量在这个地区。siponen等。（2008年），例如，回顾了文献信息系统安全为1990-2004年期间，包括三个主要信息系统安全期刊和相关论文发现在前20信息系统期刊。覆盖1280篇论文和分析方面的理论、方法和主题，结果发人深省。理论的应用的一个关键元素被良好的研究，然而没有理论是在1043年的论文引用。按照方法用于实证研究，论文的比例，进行了现场研究（0.07%），调查（5.31%）、案例研究（2.65%），和行动研究（0.07%）被证明同样缺乏。最后，尽管需要考虑更多的社会方面的信息事业系统安全长期以来被公认，主题安全教育和安全意识只占两个和7个文件分别。这些数字告诉相比其他信息事业的成熟系统不同学科。一些信息系统的研究已经指出，作为一门学科的成熟，应用程序的理论和实证研究的数量会增（farhoomand1987;farhoomanddrury，1999;vessey等，2002）。这是伴随着移动从技术或更多的组织或管理焦点（culnan，1987;vessey等，2002）。同样的，然而，不能说对信息系统安全。 我们的第一篇文章，通过herath和rao，专注于问题的最终用户“遵守信息安全政策。更具体地说，他们进步和测试一个集成模型，利用通用威慑理论、保护动机理论、组织承诺和分解理论计划的行为。与312年员工调查从78年组织反应，研究探讨了打算遵守信息安全政策。作为一个为数不多的在这一领域的实证研究，提出影响未来的搜索关键学术研究和信息系统安全从业人员。 同样，myyry，siponen，pahnila，vartiainen，vance也检查合规，但是而不是关注意图，他们解决道德推理理论如何可能提供一些深入的违规行为的原因。因此，一个理论模型，解释了不符合道德推理和价值观的基础上提出了。基于道德发展理论的认知由kohlberg理论动机类型由施瓦茨，随后的火电厂模型很大程度上是由作者的实验研究结果。 carolhsu检测了财政组织中的成员怎样说明安全保证进程的实施，也就是英国标准7799的第二部分。通过用一个解释性的个案研究方法论，hsu吸收了框架分析的概念来鉴定管理者们对不同群体的解释，这些不同团体是类似于检定小组和其他的员工。通过这些解释，每个团体分派不同的含义给检定进程，检定进程可以影响到涉及相关安全操作的决定。hsu因此提出管理者首先需要认识到框架的不一致性，才能相对进行调整来保证一致性和获得全部的安全效益。 boss，kirsch，angermeier，shingler，andboss建立了一种模型来解释员工的信息安全预防行为。他们的发现是基于一个普查，在普查中有提到当个人察觉到安全政策是强制的，他们将会很主动的去做安全预防。而且，如果他们认为坚固的管理是在评估他们的行为，他们将会更加有可能去服从。他们还注意了情感淡漠和电脑自我效能是信息安全行为的重要决定因素。个别员工可能会对安全政策的遵守无视，但是与管理者沟通过后也许会改变他们的观点。此外，他们的研究说明了针对员工行为的奖励措施在安全环境下是不起作用的，就像它在其他领域中一样。 在我们下一篇文章中，我们提出了一个有趣的项目，是与安全鉴定中的密码使用有关的。zhang，luo，akkaladevi，andziegelmayer分析了从有经验认知的观点中来恢复多种密码的问题。在这项研究中，作者认识到用户经常危及密码的保密性来改善可记忆性。使用者控制的密码越多，就越难回想起来。原稿调查了干扰缓和措施对提高多样密码恢复的使用情况，并说明一系列的还原法可能会提高个人的回想认识过程。在我们最后的文章里，lee和larson通过对小型和中型企业（服务器信息块）高管们的调查了解了组织中抗恶意软件的使用。应用保护推动理论，作者调查了服务器信息块的高管们，然后证明了威胁和顶部评价成功地预测了他们对抗恶意软件的使用意图，这个意图直接导致了组织的采用。他们还决定了社会影响和采用决策中的预算问题。最后，卖主支持是对抗恶意软件采用的一个关键的促进因素，尤其是在信息技术集中的行业。 所以多样的原因﹑动机﹑抑制因子和政策服从因素和电脑犯罪在文章中被分析。这些因素的特征在于三个方面（1）与信仰和意图相关的安全和政策服从（包括道德和伦理原因），就像herath﹑rao﹑myyry﹑siponen﹑pahnila﹑vartiainen和vance分析的那样。（2）分析领悟与感觉属性，包括认识过程，就像hsu的论文和zhang﹑luo﹑akkaladevi和ziegelmayer的论文所分析的那样。（3）关注激励的影响（或者缺少这些），包括漠视﹑敬畏和信心特征，加上在boss﹑kirsch﹑angermeier﹑shingler﹑和boss的论文和lee和larson的论文中提到的应对行为。综合地说，手稿最精彩的部分提供了关于重要研究领域的一个有启发性的观点。 我们要谢谢很多的评论者，他们保证了严密的选拔过程，并且通过这三个阶段的修正来帮助我们找到改进每一份手稿的机会。因为这个过程，项目成果被极大的改进了。在这个过程中，我们还要感谢richardbaskerville的领导，感谢ejis员工的支持。 第二篇：201210--电力系统的信息安全问题信息安全：电力系统拿什么应急。 北极星电力信息化网2012-10-1911：12：09 在关系国计民生的电力行业，安全事件如同一把利刃，将系统割得七凌八落，严重影响了国计民生。虽然国家出台了一些相关保护法规，部分方案提供商也设计了相应的防护模型，但真正切实的应急响应系统仍有待出现。 电力安全事件预警 如某电力公司的门户网站被黑客非法篡改，在网页上用红色醒目字体留言：电价将在某日后上涨，而日后电费又没有涨价。这是一个典型的黑客攻击例子。究其原因在于当时没有网站备用系统，没有应急处理预案，网管员不能及时恢复网页。 又如，另一电力公司的邮件服务器由于其地市电力员工的邮件中继攻击而瘫痪；还有某电力公司内部员工出于某种目的进入电量计费系统数据库非法更改用电量等。这些安全事件在社会上造成了较大的影响，严重威胁到电网安全、稳定的运行。 笔者在做安全咨询时，经常有电力企业的员工问，单位已经部署了网络防病毒系统，自己也安装了客户端杀毒软件，但机器上还是经常感染病毒。后来，笔者发现他们杀毒软件的病毒库一直没有更新，还是最初安装时的病毒库。因为病毒种类在不断变化，只有在线或定期更新病毒库，经常查杀病毒，不打开来路不明的邮件及其附件，才能拒病毒于千里之外。 种种安全事件说明，电力的员工的安全意识还需要进一步提高。遵从法规 由于电力系统是关系到国计民生的基础设施，其信息安全问题已经受到国家、电力企业以及社会的高度重视。为了防范电脑黑客、病毒恶意代码等对电力系统的攻击侵害及由此引发的电力系统事故，保证系统的安全稳定运行，原国家经贸委在2002年发布了30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》。 该规定要求两类隔离。各电力监控系统必须与办公自动化系统（oa）或管理信息系统（mis）等电力软件实行有效（物理）隔离措施；电力调度数据专用网络必须与综合信息网络及因特网实行物理隔离。 此后，国家电网公司研究了电力系统安全防护的模型，并制定了电力系统信息安全防护总体框架，包含安全技术措施和安全管理制度。目前，正在建立电力信息化安全保障体系，安全应急响应就是其中的重要内容。 1进一步升华 作为该框架制定的参与者和推广者，笔者深切体会到电力系统应急响应体系建设的必要性和重要性。同时，笔者也认为该框架还需要进一步细化，各个单位需要根据自己业务系统的实际情况和特点，制定一套切实有效的应急响应体系。 解读应急响应 应急响应体系可以保障电力系统和数据的高可用性，为电力用户提供安全事件的流程化处理方法，提高事件处理效率，降低安全事件带来电力系统的资产损失，提高业务系统的安全水平和应用水平。 那么，什么是应急响应。电力行业的应急响应系统都受到哪些因素的影响。如何建设完善的应急响应体系。笔者想在这里谈谈自己的认识和见解。 所谓应急响应是指对监控到的危及电力系统安全的事件、行为、过程及时做出处理，以防危害进一步扩大。电力系统的运行涉及到调度中心、变电站、发电厂；发、输、配电系统一体化，系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。 电力系统的信息安全是一项涉及电网调度自动化、继电保护及安全控制装置、厂站自动化、配电网自动化、电力市场交易、生产管理、电力营销、办公自动化系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。 电网调度自动化、继电保护及安全控制装置、厂站自动化、配电网自动化、电力市场交易等系统属于监控系统，主要负责电力系统的生产控制业务；生产管理、电力营销、办公自动化等系统属于管理信息系统，主要负责电力系统的信息化管理。 监控系统的安全等级高于管理信息系统，实时生产系统的安全等级最高。电力系统的多样性决定了电力系统信息安全防护非常复杂，应急响应也非常复杂。 这就要求针对不同的系统，建立不同的电力系统安全事件应急体系和预案，用于保护、分析对系统资源的非法访问和网络攻击，并配备必要的应急设施，统一调度，进行经常性地演练，从而形成对重大安全事件（遭到自然灾害、黑客、病毒攻击和其他人为破坏等）的快速响应能力，最大限度地降低电力系统的风险。 揭开“龙骨”内幕 电力系统应急响应体系像只庞大的恐龙，只有探析到它的骨骼结构，才好构建完美的恐龙模型。 根据多年工作经验，笔者认为，电力系统应急响应体系的“骨骼”结构应如图1所示。即由技术体系和管理体系两部分组成。 2 技术充左膀 技术体系应该包括3方面内容。安全知识库、网络和系统监控、数据和系统备份。 安全知识库包括各电力应用的操作系统、数据库系统以及业务系统的漏洞、补丁、安全事件、解决方案、应急预案等。 从处理方法上来看，安全事件可以分为两类，一类是曾经发生过，并明确知道原因、后果和处理方法的安全事件。该类安全事件已经存在安全知识库中，如发生过的病毒、攻击入侵事件等。 另一类是安全知识库中没有的、没有立即解决措施的安全事件。如新出现的病毒、攻击入侵事件等。前者可以在网络和系统运行现场立即予以解决；后者可以先提出临时解决方案，然后经过安全专家发现问题的根源，找到最终解决方案后再存入知识库。安全知识库的作用是能迅速地对安全事件进行合理、科学地处理。 网络监控就是在电力网络的边界接口处安装基于网络的入侵检测和预警系统，提高对网络及设备自身安全漏洞和内外部攻击行为的检测、管理、监控和实时处理能力。 系统监控就是在电力系统内部局域网的关键服务器上部署基于主机的入侵检测和预警系统，在主机一级对业务系统进行监控，对异常的用户行为进行报警等处理，最大限度防止系统攻击、滥用及恶意篡改等安全事件的发生。 对于系统备份，笔者建议采用的策略应该是全备份和增量备份相结合的方式。这样做，既利用了全备份恢复简单的特点，又考虑了备份时间少的优点。 电力系统关键应用数据与应用系统的备份，确保了数据损坏、系统崩溃情况下快速恢复数据与系统的可用性，同时对实时控制系统、电力市场交易系统进行 3异地的数据与系统备份，可提供系统级容灾功能，保证在发生大规模灾难情况下，保持系统业务的连续性。 管理担右臂 电力系统应急响应的管理体系包括领导小组、工作小组，以及相应的管理制度、应急处理流程和应急预案的演练。 领导小组主要由各级电力企业管理层组成，目前基本上是各单位的一把手负责。 工作小组可以分为三个级别： 第一级是安全值班员，可以由网管中心值班人员兼任，主要负责7×24小时的安全事件监视，按照安全事件的处理指南和安全知识库处理已知的安全告警事件； 第二级是安全专家小组，由企事业单位内部的安全专家和网络和业务系统的专家组成，负责对第一级发现提交的未知安全事件进行分析判断，完成绝大多数安全事件的处理，对不能及时找到完整解决方案，需要在将该问题提交第三级以外，还必须及时找到临时解决方案； 第三级是电力系统安全实验室，负责针对重大安全隐患和网络攻击进行会诊，同时还负责撰写安全事件分析报告，提交安全策略和配置的变更建议。 对于第三级，在必要时可以借助电力行业的专业安全服务公司，利用它们的经验和对最新安全技术的跟踪研究进行解决。但在利用第三方资源时，应同他们签署保密协议，以避免引入新的安全风险。 至于第一级和第二级应急响应体系，因为涉及到详细的核心业务资源和流程，对于电力系统这样的国家基础设施单位，应该各自内部解决，自己培养一只既熟悉业务又精通信息安全的专家队伍，保证可以做到依靠自己的力量提出信息安全需求、规划和进行风险评估，优化企业的安全策略，总结安全事件和安全问题的处理经验，保证企业自己就能够处理大多数的安全事件。 应急预案演练包括计划安排、演练过程和效果详细记录、演练活动的评估报告和应急预案改进建议等。根据应急预案演练的计划安排确定时间，报单位领导小组批准实施。 应急预案演练的效果应当进行评估，评估报告应当对应急预案是否可操作、应急程序是否科学合理、应急资源是否迅速到位等，做出明确的结论，评估报告必须有明确的责任人。 对应急预案演练中存在的问题，应当提出改进意见。如果涉及应急预案演练正常进行的重大问题，应当承认演练没有取得成功，建议改进后重新进行演练。 4企业应当重视应急预案演练的评估报告，对存在的问题进行改进和调整。应急预案演练的基本要求是：对在线系统不造成影响；在主要网络或系统管理员、服务器、网络设备、操作系统发生变更和应用升级时要进行演练；演练前应填写工作单，并对应用软件及数据做离线备份；演练结束形成演练总结报告。 安全培训是对电力系统相关人员进行口令的安全设置、经常给系统打补丁等信息安全基本知识培训。同时，还要进行信息系统安全模型、标准和相关法律法规的培训，以及实际使用安全产品的工作原理、安装、使用、维护、故障处理和电力系统的安全知识库与应急预案等培训。通过培训，可以提高他们的安全意识、技术水平和管理水平，从而提高电力企业的整体安全水平。 响应流水线 当大家对应急响应体系有所认识之后，需要进一步了解的是当安全事件发生后，应急响应体系如何进行响应与处理。这就像突遇火灾，人们该按什么流程扑灭大火。 在电力系统，扑灭大火的流水过程如图2所示。 首先，第一级安全值班员对所监控到的安全事件进行分析，若该事件为已知告警事件，安全值班员自己从安全知识库中找到解决方案，并进行事件处理。 5若该事件不能与安全知识库的已知告警相匹配，或在确定时间内不能解决，进入第二级安全专家处理。第二级经过深入分析，根据安全事件对电力业务系统的影响程度，判定其优先级。 如果第二级及时发现了安全事件的根源，找到了解决方案，就执行该方案。事件处理完后应该及时更新安全知识库，并通知第一级和第三级，提高他们的技能水平。 如果在规定时间内，第二级安全专家也没有找到有效的解决方案，就提出临时解决方案，并通知请示应急响应领导小组。待批准后，与第一级安全值班员一起，执行该解决方案。 同时，第二级的安全专家把该安全问题提交给第三级电力系统安全实验室。第三级的安全实验室根据该安全问题的严重程度，对其进行模拟和测试，寻求解决该问题的最终解决方案。 找到最终解决方案后，需要更新安全知识库，同时对第二级安全专家和第一级安全值班员进行知识转移，对他们进行安全培训。 应急“随需而变” 由于信息技术日新月异，随着新的信息技术在电力系统中的应用以及电力网络结构的调整，原有的安全技术随时间的推移可能会降低其安全性。 新系统的应用扩大了安全防范的边界，这样就会产生新的安全漏洞、威胁和新的风险。 另外，受到人们认识水平的限制和电力系统应急响应的复杂性，电力系统应急响应体系中可能会留有安全隐患。 有鉴于此，应急响应系统应该随这些因素的变化而动态变化。只有成为动态的安全应急响应体系，才能发现和跟踪最新的安全风险。 所以，电力系统的安全应急响应体系建设应该是动态的，是一个长期持续的过程，贯穿于信息安全生命周期的全过程。 电力系统安全防护的实施模型 电力系统安全防护的实施模型由安全策略、安全风险评估、设计安全目标、选择实施安全解决方案、安全教育、安全监测和响应组成的综合体。 安全策略 它是电力企业信息安全工作的依据，是所有安全行为的准则。电力系统的总体安全策略是：分区防护、强化隔离。 6安全风险评估 它是针对电力系统网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与internet的连接等，确定网络及应用系统的安全边界，对电力系统网络的基础设施及应用系统进行全面的分析，并提出安全风险分析报告和改进建议书。 设计安全目标 它是根据安全风险评估的报告和建议，分析实现安全功能的优先级和投入成本，同时考虑到电力企业风险承受能力，设计出一个适用性的安全目标。 选择实施安全解决方案 选择满足安全需求的技术产品，并选择合适的安全服务商以取得最好的技术保障，然后制定合理的中长期安全实施计划，并按计划分期进行实施。 安全教育 它是保障安全目标得以实现的重要手段，其实施力度将直接关系到电力系统安全策略以及安全方案被理解的程度和执行的效果。 安全监测和响应 它是建立一套完整的安全监测机制和人员队伍，对动态变化的业务系统的安全状况作出准确的监控。安全监测的目标是要在最短的时间内，发现违规事件和攻击事件，并发出相应的报警通知和启动相应的应急响应措施，降低安全事件带来的资产损失。 电力系统安全防护的实施模型是一个循环的螺旋式上升过程，每一次循环都是对上一次的改进和提高，新出现的安全问题都将修正原来的安全策略及系统实施。 电力系统安全防护总体框架 电力系统安全防护总体框架包括安全服务体系、安全技术体系和安全管理体系。 安全服务体系 电力系统的安全服务体系包括安全评估及安全加固。安全评估包含网络评估、主机系统评估、应用系统评估，可以指导电力系统安全技术体系与管理体系的建设。 安全加固是根据安全评估的结果对网络设备、主机操作系统及应用系统进行安全增强，提升它们的安全级别。 安全技术体系 7技术体系是电力系统安全防护框架的重要组成部分，主要包括：综合安全防护、物理隔离、基于pki的安全防护等。 综合安全防护就是应用和实施一个基于多层次安全系统的全面信息安全策略，在各个层次上部署相关的安全产品，这增加了攻击者侵入所花费的时间、成本和所需要的资源，从而卓有成效地降低系统被攻击的危险，达到安全防护的目的。综合安全防护措施包括防病毒、防火墙、入侵检测、漏洞扫描等。物理隔离技术是利用专用硬件使两个网络在物理不连通的情况下实现数据安全传输和资源共享。电力实时控制系统与电力生产管理系统之间安采用电力专用物理隔离装置进行隔离，并严格限制数据的流向，这样就能保证电力实时生产系统的安全、稳定运行。 基于pki的安全防护就是利用公钥基础设施pki（publickeyinfrastructure）建立电力系统的网络信任机制，并通过数字证书的方式为每个合法的电力用户提供一个合法性身份的证明，pki从技术上解决了电力网络上身份认证、信息完整性和抗抵赖等安全问题。 安全管理体系 安全管理体系是电力系统安全防护的重要保障，可以保障技术体系的实施和安全策略的执行。主要包括：组织保证体系、安全技术规范、安全管理制度和安全培训机制。 8 第三篇：信息系统开发中的方法论问题探讨信息系统开发中的方法论问题探讨 考号：姓名：翟明华（内容摘要） 本文从技术方法论的概念出发，对信息系统开发中的方法论问题进行了比较研究，论述了技术方法论对指导信息系统开发过程重要意义，并探讨了其在开发实践中的实现技术。 （关键词）信息系统方法论系统开发 一、引言 自从六十年代美国ＩＢＭ公司的两位专家提出结构化设计方法以来，对推动信息系统建设起到了极其重要的作用。管理信息系统（ＭＩＳ）的开发过程一直被视为带有一种产品生命周期的含义，它由一系列活动的步骤组成，这些步骤导致软件的开发并逐步形成系统。结构化的方法即为可计划、可严格定义研制步骤的方法，因此，通常又把按这种方法进行系统开发的过程称为生命周期过程。 七十年代中期以来，结构化的系统研制方法在系统研制方法论中一直占主导地位。大多数的系统开发都是按生命周期过程进行的，但在实践中，人们逐渐发现，顺序任务流的思想过于理想化，与实际工作中的经验不相一致，且研制周期长;此外，对于生命周期过程中隐含的假设也提出了异议。因此，有必要对ＭＩＳ开发的方法予以重新审视，无论对教学和科研工作都具有现实意义。 二、方法及方法论的一般概念 所谓方法，在我们日常生活中是指解决思考、说话、行动等问题的门路、程序。思考问题，有思想方法；从事管理，有管理方法，解决工程问题，有技术方法，进行科学研究，又有科研方法。所以方法问题，范围广泛，无处不在。我们做任何事情，为了顺利达到预期目的，就必须考虑方法问题。人们在认识世界和改造世界的过程中，总要根据一定的目的为自己确定各式各样的任务。好的方法可以使我们事半功倍，不好的方法则有可能使我们寸步难行。 现代意义上理解的方法，是指从实践和理论两个方面把握现实，从而达到某种目的的途径、手段和方式的总和。或者说，方法是一切活动领域中的行为方式。科学方法，一种狭义的理解就是指科学研究活动的途径、手段和方式。也就是人们在科学研究活动领域中的行为方式。技术方法是指技术开发活动的途径、手段和方式，也就是人们在技术开发活动领域中的行为方式。 科学方法可以从不同的角度，按照不同的原则来进行分类，例如按照人的一般认识过程，可以分为两大类，一是实践性方法，包括获取感性材料的方法和检验理性认识的方法等。二是理论性方法，包括总结和概括文献资料，提出设想和假说，设计观察和实验的方法，加工感性经验材料、建立理论和表述理论体系的方法。从研究成果是否包含量的关系又可分为定1 性研究方法和定量研究方法。定性研究方法，是指获得关于研究对象的质的规定性的方法。它包括定性的比较、分类、类比、分析和综合、归纳和演绎等逻辑方法和历史方法等。定量研究方法，是指获得关于研究对象的量的特性的方法，它包括各种测量方法，定量实验方法和数学方法等。 按照科学方法的适用范围又可分为三类，一是适用于某些学科的特殊研究方法，如光谱分析方法、条件反射方法等，二是适用于各门自然科学的一般研究方法，如观察实验方法、假说方法、系统方法和数学方法等。第三是适用于自然科学，社会科学和思维科学的普遍研究方法，如归纳方法、演绎方法、矛盾分析方法等。 技术方法是各类技术研究和技术开发中所使用的普遍的共同方法，技术方法与科学方法具有许多共同性，所以技术方法的分类原则与科学方法大致相同，除了依照技术方法的普遍程度分为一般技术方法和专业技术方法外，按照技术开发过程的各个环节分类则是技术方法最常见到的分类方法。 对于工程技术问题，可划分为工程技术的规划方法，包括技术情报搜集方法、技术课题选择方法、技术预测方法、技术评估与评价方法、技术经济分析方法和技术决策方法等；工程技术的研究方法，即技术发明方法；工程技术的设计方法，如常规设计法、功能设计法、系统设计法和工效学设计法等；工程技术实验方法和新产品开发方法等。 科学方法和技术方法，虽然它们所研究的对象不同，但它们之间并没有明显的分界，这是因为人们变革自然的活动建立在对自然规律认识的基础上，科学认识是技术手段的前提，因此，从事自然科学基础研究的方法对技术研究和开发同样是适用的。例如许多科学方法，如观察实验方法、假说方法、逻辑方法、数学方法、系统方法等，不仅在科学研究中有着广泛的应用，而且在技术开发中也有着广泛的应用，只不过技术方法具有更强的实践性、社会性和综合性。 三、信息系统开发中的方法论问题 系统是指由相互联系、相互作用的若干要素构成的具有特定功能的有机整体。企业是一个系统。在企业中使用计算机进行综合管理，这是一个系统设计问题，采用什么方法进行设计，是每一个系统设计者在设计之前必须明确的问题。设计的指导思想是否正确，使用的方法是否得当，是影响设计质量的关键因素。从这个观点出发，对传统的某些设计方法进行评价，我们可发现有许多不足之处，例如： （一）以实现计算机化为中心的设计方法 这种方法具有相当的普遍性，系统化的目的是在企业中可以使用计算机的地方，用计算机取代传统方法，实现计算机化。由于这种方法的着眼点不是放在提高企业素质，解决企业中的关键问题上，因此往往以现行手工系统为基础，用计算机代替手工作业。其结果是对手工系统中的弊端分析不足，改进措施不利，很难取得理想的效果。 （二）以改进信息处理手段为中心的系统设计方法 这种方法的主要目的是提高信息处理的效率。但它并未涉及