●王艷瑋，陳 恒（陜西師范大學(xué) 國(guó)際商學(xué)院，西安 710062）

1 引言

信息技術(shù)在給組織帶來(lái)益處的同時(shí)，也面臨著各種各樣的威脅，在信息安全管理不完善的情況下，頻繁發(fā)生的各種信息安全事件，將給組織和社會(huì)帶來(lái)巨大的損失。對(duì)于信息安全問(wèn)題，目前業(yè)界已經(jīng)形成了一個(gè)共識(shí)：信息安全問(wèn)題是一個(gè)動(dòng)態(tài)的、整體的、持續(xù)性的問(wèn)題。[1]因此只有通過(guò)周期性持續(xù)的信息安全管理活動(dòng)才能夠有效地降低組織的信息安全風(fēng)險(xiǎn)。

信息安全管理的首要工作是信息安全風(fēng)險(xiǎn)評(píng)估，信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)面對(duì)復(fù)雜系統(tǒng)的綜合評(píng)估工作，它貫穿于信息系統(tǒng)的整個(gè)生命周期。

信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)是信息資產(chǎn)識(shí)別，脆弱性及威脅識(shí)別都是以資產(chǎn)識(shí)別為基礎(chǔ)的。信息資產(chǎn)識(shí)別的主要目標(biāo)是得到對(duì)組織有價(jià)值的資產(chǎn)明細(xì)，也就是得到需要首先和重點(diǎn)保護(hù)的資產(chǎn)。資產(chǎn)識(shí)別的過(guò)程一般經(jīng)歷4個(gè)步驟：資產(chǎn)分類(lèi)—資產(chǎn)信息收集—資產(chǎn)對(duì)象識(shí)別—資產(chǎn)賦值。[2]

目前流行的資產(chǎn)識(shí)別方法有兩種：一種是吳亞非在《信息安全風(fēng)險(xiǎn)評(píng)估》中提到國(guó)外有一種按照經(jīng)濟(jì)價(jià)值大小的資產(chǎn)識(shí)別方法。[2]第二種是傅鵬、劉嘉偉在《基于業(yè)務(wù)的信息資產(chǎn)識(shí)別方法》中提到的按照業(yè)務(wù)的資產(chǎn)識(shí)別方法。[3]

基于經(jīng)濟(jì)價(jià)值大小的資產(chǎn)識(shí)別在保護(hù)組織主觀經(jīng)濟(jì)利益方面具有一定的意義，但是該方法忽略了資產(chǎn)對(duì)安全的需求。例如有的資產(chǎn)購(gòu)買(mǎi)經(jīng)濟(jì)價(jià)值高，但是對(duì)業(yè)務(wù)安全的價(jià)值卻非常低，如果僅僅依據(jù)經(jīng)濟(jì)價(jià)值大小來(lái)對(duì)資產(chǎn)進(jìn)行識(shí)別，將會(huì)忽略該項(xiàng)資產(chǎn)的安全需求，因而會(huì)給組織業(yè)務(wù)留下安全隱患。所以基于經(jīng)濟(jì)價(jià)值的信息資產(chǎn)識(shí)別方式存在缺陷。

基于業(yè)務(wù)的信息資產(chǎn)識(shí)別在資產(chǎn)識(shí)別方面不失為一種好方法，但是這種方法過(guò)分強(qiáng)調(diào)識(shí)別核心業(yè)務(wù)資產(chǎn)的重要性，而忽視非關(guān)鍵業(yè)務(wù)資產(chǎn)。[4]這種識(shí)別方法要求我們必須承認(rèn)一個(gè)假設(shè)前提，那就是只有核心業(yè)務(wù)所流經(jīng)的資產(chǎn)對(duì)組織才是有價(jià)值的。此方法的不足之處是過(guò)分看重核心業(yè)務(wù)的信息資產(chǎn)對(duì)組織的重要性，這就否認(rèn)了非關(guān)鍵業(yè)務(wù)存在關(guān)鍵信息資產(chǎn)的可能性，因此會(huì)導(dǎo)致將某項(xiàng)信息資產(chǎn)的3個(gè)安全屬性中某一安全屬性弱化的可能。例如在國(guó)家保密單位，對(duì)每項(xiàng)信息資產(chǎn)的保密性要求都很高，但如果按照基于業(yè)務(wù)的資產(chǎn)識(shí)別方法，就很有可能忽略這一點(diǎn)，所以這種資產(chǎn)識(shí)別方法并不完善。因此，出于以上資產(chǎn)識(shí)別方法的缺陷，本文提出基于業(yè)務(wù)流程的信息資產(chǎn)識(shí)別方法。

2 基于業(yè)務(wù)流程的信息資產(chǎn)識(shí)別及其重要性確定

2.1 信息資產(chǎn)識(shí)別

基于業(yè)務(wù)流程的信息資產(chǎn)識(shí)別始終堅(jiān)持業(yè)務(wù)流程—資產(chǎn)分類(lèi)—資產(chǎn)識(shí)別—資產(chǎn)賦值的過(guò)程，將業(yè)務(wù)流程貫穿于整個(gè)信息資產(chǎn)識(shí)別的過(guò)程中。

業(yè)務(wù)流程是指完成企業(yè)某一目標(biāo)（或任務(wù)）而進(jìn)行的一系列邏輯相關(guān)的活動(dòng)或作業(yè)集合。業(yè)務(wù)流程具有如下特點(diǎn)：

（1）組織活動(dòng)與活動(dòng)的各種關(guān)系構(gòu)成了業(yè)務(wù)流程的過(guò)程。（2）過(guò)程對(duì)輸入進(jìn)行整理、合并、精簡(jiǎn)等加工處理，一般會(huì)增加輸入的價(jià)值，從而產(chǎn)生對(duì)接受者更有價(jià)值的輸出。

GB/T20984-2007中，按照表現(xiàn)形式，信息資產(chǎn)主要分為5種：數(shù)據(jù)、軟件、硬件、服務(wù)、人員。[5]進(jìn)一步分析發(fā)現(xiàn)，硬件和軟件本身并不具備明確的信息價(jià)值，它們實(shí)質(zhì)上是信息傳遞和信息處理的載體，同時(shí)也是對(duì)外服務(wù)的基礎(chǔ)；而人員比較特殊，他既是信息的載體，同時(shí)也是業(yè)務(wù)的執(zhí)行者。因此，在業(yè)務(wù)活動(dòng)中，硬件、軟件、人員是服務(wù)與數(shù)據(jù)的支撐者，數(shù)據(jù)和服務(wù)是信息安全保障的核心。

在業(yè)務(wù)流程中，一般而言，數(shù)據(jù)經(jīng)過(guò)多個(gè)業(yè)務(wù)過(guò)程的處理后，會(huì)更加有價(jià)值。所以數(shù)據(jù)與軟件、硬件和人員相比，明顯的特點(diǎn)就是數(shù)據(jù)具有流動(dòng)性，其所在的物理位置會(huì)隨著相關(guān)業(yè)務(wù)過(guò)程而變動(dòng)；而軟件、硬件、人員由于沒(méi)有進(jìn)一步的處理過(guò)程，且其物理位置相對(duì)固定。因此，本文將信息資產(chǎn)劃分為位置固定資產(chǎn)與位置變動(dòng)資產(chǎn)：

（1） 位置固定資產(chǎn)包括：計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、傳輸介質(zhì)、存儲(chǔ)設(shè)備、保障設(shè)備、安全保障設(shè)備、應(yīng)用軟件、系統(tǒng)軟件、網(wǎng)絡(luò)通信協(xié)議軟件，人員等。（2）位置變動(dòng)資產(chǎn)包括：業(yè)務(wù)信息、用戶(hù)信息、各種數(shù)據(jù)資料、系統(tǒng)文檔等。

對(duì)位置變動(dòng)資產(chǎn)的識(shí)別可以在業(yè)務(wù)流程的初始階段來(lái)進(jìn)行，而對(duì)位置固定資產(chǎn)的識(shí)別，則需要在業(yè)務(wù)過(guò)程的每個(gè)業(yè)務(wù)節(jié)點(diǎn)逐一識(shí)別（一個(gè)業(yè)務(wù)過(guò)程至少包含一個(gè)業(yè)務(wù)節(jié)點(diǎn)），且在業(yè)務(wù)節(jié)點(diǎn)所屬的業(yè)務(wù)過(guò)程將形成不同的位置固定資產(chǎn)集合，如圖所示：

圖 業(yè)務(wù)流程中的位置固定資產(chǎn)和位置變動(dòng)資產(chǎn)

業(yè)務(wù)流程有兩個(gè)核心活動(dòng)，即業(yè)務(wù)數(shù)據(jù)的處理以及業(yè)務(wù)服務(wù)的提供，因此在資產(chǎn)保護(hù)時(shí)，數(shù)據(jù)與服務(wù)是需要保護(hù)的核心資產(chǎn)。

2.2 信息資產(chǎn)重要性確定

在業(yè)務(wù)活動(dòng)中，一個(gè)完整的業(yè)務(wù)流程是由多個(gè)業(yè)務(wù)過(guò)程所構(gòu)成；一個(gè)業(yè)務(wù)過(guò)程至少包含一個(gè)業(yè)務(wù)節(jié)點(diǎn)，信息資產(chǎn)存在于業(yè)務(wù)節(jié)點(diǎn)中且是支撐業(yè)務(wù)活動(dòng)的主體，因此需要對(duì)信息資產(chǎn)進(jìn)行保護(hù)，而資產(chǎn)的重要性識(shí)別和確認(rèn)是信息資產(chǎn)保護(hù)的基礎(chǔ)。

基于業(yè)務(wù)流程的信息資產(chǎn)重要性確定方法是在將信息資產(chǎn)劃分為位置固定資產(chǎn)與位置變動(dòng)資產(chǎn)的基礎(chǔ)上，按照位置固定資產(chǎn)在業(yè)務(wù)流程中支撐的活動(dòng)受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度來(lái)映射位置固定資產(chǎn)的重要性；對(duì)位置變動(dòng)資產(chǎn)的重要性確定則是通過(guò)位置變動(dòng)資產(chǎn)（數(shù)據(jù)信息）經(jīng)過(guò)多個(gè)業(yè)務(wù)過(guò)程的流動(dòng)增值后在CIA3個(gè)安全屬性被破壞后對(duì)完成業(yè)務(wù)目標(biāo)的最大影響值來(lái)確定。據(jù)此就分類(lèi)確定了每個(gè)信息資產(chǎn)在業(yè)務(wù)中的重要性等級(jí)。

2.3 位置固定資產(chǎn)重要性確定

業(yè)務(wù)流程中，位置固定資產(chǎn)參與了多項(xiàng)活動(dòng)，包括處理位置變動(dòng)資產(chǎn)（數(shù)據(jù)信息）、支撐業(yè)務(wù)的對(duì)內(nèi)及對(duì)外的服務(wù)活動(dòng)和支撐業(yè)務(wù)過(guò)程的順利進(jìn)行。因此對(duì)位置固定資產(chǎn)的重要性確定需要綜合三方面指標(biāo)：（1）位置固定資產(chǎn)所支撐的業(yè)務(wù)過(guò)程受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度；（2）位置固定資產(chǎn)在業(yè)務(wù)過(guò)程中所承載的位置變動(dòng)資產(chǎn)受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度；（3）位置固定資產(chǎn)所支撐的服務(wù)受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度。取這3項(xiàng)影響程度指標(biāo)最高者為位置固定資產(chǎn)的重要性等級(jí)。對(duì)完成業(yè)務(wù)目標(biāo)的影響可以依據(jù)影響程度不同劃分為：可忽略、輕微、中等、嚴(yán)重、非常嚴(yán)重5個(gè)等級(jí)，并將其定量為數(shù)值（1、2、3、4、5） 數(shù)值越大代表對(duì)完成業(yè)務(wù)目標(biāo)的影響程度越高。

假設(shè)某組織有多項(xiàng)業(yè)務(wù)其中一項(xiàng)業(yè)務(wù)為B1，我們?cè)贐1的業(yè)務(wù)節(jié)點(diǎn)識(shí)別出的位置固定資產(chǎn)為（a1a2……an）；在業(yè)務(wù)流程的初始階段識(shí)別出的位置變動(dòng)資產(chǎn)為（c1c2……cn），并且該項(xiàng)業(yè)務(wù)有X個(gè)過(guò)程如（圖1）所示，依此就可以確定各項(xiàng)位置固定資產(chǎn)所屬的業(yè)務(wù)過(guò)程。假設(shè)識(shí)別出在不同的業(yè)務(wù)過(guò)程所形成的位置固定資產(chǎn)集合為（a1a2）、（a3a4a5）……（an-2an-1an）。一個(gè)業(yè)務(wù)過(guò)程的順利完成必須依靠位置固定資產(chǎn)集合中所有資產(chǎn)的共同協(xié)作才能夠?qū)崿F(xiàn)，因此在業(yè)務(wù)過(guò)程中位置固定資產(chǎn)的重要性相同，那么當(dāng)業(yè)務(wù)過(guò)程受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度就可以映射到支撐業(yè)務(wù)過(guò)程的位置固定資產(chǎn)集合的重要性中，影響程度越大則資產(chǎn)的重要性越高。假設(shè)我們確定了業(yè)務(wù)B1中各項(xiàng)業(yè)務(wù)過(guò)程受到破壞后對(duì)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的影響程度，并將其映射到位置固定資產(chǎn)集合的重要性中。見(jiàn)表1。

表1 位置固定資產(chǎn)集合重要性識(shí)別表

根據(jù)圖1所示的業(yè)務(wù)流程模型，將位置變動(dòng)資產(chǎn)從初始階段輸入到業(yè)務(wù)過(guò)程中直到整個(gè)業(yè)務(wù)流程的結(jié)束，位置變動(dòng)資產(chǎn)經(jīng)過(guò)多個(gè)業(yè)務(wù)過(guò)程的處理價(jià)值會(huì)增值到最大。按照位置變動(dòng)資產(chǎn)流動(dòng)增值的特點(diǎn)可以推導(dǎo)出在不同的業(yè)務(wù)過(guò)程，位置變動(dòng)資產(chǎn)的價(jià)值是不同的，因此在各個(gè)業(yè)務(wù)過(guò)程中，位置固定資產(chǎn)承載的位置變動(dòng)資產(chǎn)受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度也是不同的。假設(shè)我們確定了業(yè)務(wù)B1中所有位置變動(dòng)資產(chǎn)在不同業(yè)務(wù)過(guò)程受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度，并將其映射到位置固定資產(chǎn)的重要性中。我們?nèi)∥恢霉潭ㄙY產(chǎn)所承載的多個(gè)位置變動(dòng)資產(chǎn)在受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度中最高值為其重要性等級(jí)。見(jiàn)表2。

表2 位置變動(dòng)資產(chǎn)映射位置固定資產(chǎn)重要性列表

在圖1中，對(duì)服務(wù)的識(shí)別可以依據(jù)業(yè)務(wù)流程的層次性，逐步分析出面向內(nèi)外的服務(wù)類(lèi)別及數(shù)量，據(jù)此即可確定出支撐服務(wù)的各項(xiàng)位置固定資產(chǎn)。

如果我們依據(jù)服務(wù)受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度判斷出業(yè)務(wù)B1中各項(xiàng)服務(wù)的重要性等級(jí)為：S1＞S2＞……Sn,那么支撐各項(xiàng)服務(wù)的位置固定資產(chǎn)的重要性依此就可以確定，且支撐同一服務(wù)的位置固定資產(chǎn)重要性是一樣的。

假設(shè)按照服務(wù)受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度劃分出業(yè)務(wù)B1中位置固定資產(chǎn)的重要性為：（a1a3）＜（a2a4a5a6）＜……（an-3an-2an-1an)，為了清晰描述重要性等級(jí)，可以將識(shí)別出的位置固定資產(chǎn)集合按照對(duì)完成業(yè)務(wù)目標(biāo)的不同影響程度定量為1—5之間，數(shù)量級(jí)越高代表位置固定資產(chǎn)越重要。

上文中，我們先后確定了以下3項(xiàng)指標(biāo)：（1） 業(yè)務(wù)過(guò)程受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度所映射的位置固定資產(chǎn)的重要性；（2）位置變動(dòng)資產(chǎn)在業(yè)務(wù)過(guò)程中受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度所映射的位置固定資產(chǎn)的重要性；（3）服務(wù)受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度所映射的位置固定資產(chǎn)重要性，取這3項(xiàng)中重要性等級(jí)數(shù)量指標(biāo)最高者作為業(yè)務(wù)中位置固定資產(chǎn)重要性識(shí)別的依據(jù)。假設(shè)我們確定了業(yè)務(wù)B1中位置固定資產(chǎn)的各項(xiàng)重要性指標(biāo)，列表3如下：

表3 位置固定資產(chǎn)重要性列表

通過(guò)確定位置固定資產(chǎn)在該項(xiàng)業(yè)務(wù)中的重要性等級(jí)后，就可以明細(xì)各項(xiàng)位置固定資產(chǎn)在該業(yè)務(wù)中的重要性排序，可以為資產(chǎn)的保護(hù)與風(fēng)險(xiǎn)評(píng)估建立一個(gè)優(yōu)先順序檔案。同樣也可以用該方法對(duì)其他業(yè)務(wù)的位置固定資產(chǎn)進(jìn)行重要性確定。

2.4 位置變動(dòng)資產(chǎn)重要性確定

業(yè)務(wù)流程中，位置變動(dòng)資產(chǎn)的重要性確定需要結(jié)合業(yè)務(wù)流程的層次性，按照位置變動(dòng)資產(chǎn)經(jīng)過(guò)若干業(yè)務(wù)過(guò)程的流動(dòng)增值后在CIA3個(gè)安全屬性值中最大的值來(lái)確定。對(duì) CIA 3個(gè)安全屬性值的分級(jí)，可以依據(jù)這3項(xiàng)安全屬性受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度，劃分為可忽略、輕微、中等、嚴(yán)重、非常嚴(yán)重5個(gè)等級(jí)，并將其定量為數(shù)值（1、2、3、4、5），數(shù)值越高代表該項(xiàng)安全屬性越重要。我們不妨假設(shè)業(yè)務(wù)B1的各項(xiàng)位置變動(dòng)資產(chǎn)（C1C2…Cn）在完全增值后其CIA3個(gè)安全屬性值的重要性取值如表4所示。

通過(guò)文中對(duì)信息資產(chǎn)的重要性（價(jià)值）確定，我們就獲得一個(gè)具體詳細(xì)的信息資產(chǎn)重要性排序列表。該方法為組織管理者進(jìn)行資源優(yōu)化配置提供了一個(gè)可靠的依據(jù)，同時(shí)也為后續(xù)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)提供了一個(gè)科學(xué)準(zhǔn)確的資產(chǎn)識(shí)別及價(jià)值確定過(guò)程。

表4 位置變動(dòng)資產(chǎn)重要性列表

3 實(shí)例研究

依據(jù)文中基于業(yè)務(wù)流程的信息資產(chǎn)識(shí)別及其價(jià)值確定方法，我們對(duì)某銀行的信息系統(tǒng)所涉及的資產(chǎn)范圍進(jìn)行了劃分，并確定出支撐該銀行各項(xiàng)業(yè)務(wù)的信息資產(chǎn)。我們以其中一項(xiàng)業(yè)務(wù)用以說(shuō)明，并把這項(xiàng)業(yè)務(wù)命名為業(yè)務(wù)A且該業(yè)務(wù)有3個(gè)業(yè)務(wù)過(guò)程。

在該業(yè)務(wù)的業(yè)務(wù)流程初始階段識(shí)別的位置變動(dòng)資產(chǎn)有：用戶(hù)信息和業(yè)務(wù)數(shù)據(jù)；識(shí)別出面向內(nèi)外部服務(wù)有：內(nèi)部文件流轉(zhuǎn)服務(wù)、操作系統(tǒng)服務(wù)和客戶(hù)呼叫服務(wù)，并確定服務(wù)受到破壞后對(duì)完成業(yè)務(wù)目標(biāo)的影響程度的量化值為（1、3、4）。同時(shí)，通過(guò)位置變動(dòng)資產(chǎn)（數(shù)據(jù)）與服務(wù)在業(yè)務(wù)節(jié)點(diǎn)識(shí)別出的位置固定資產(chǎn)有：PC-1、PC-2、掃描儀、服務(wù)器1、財(cái)務(wù)軟件、移動(dòng)硬盤(pán)、服務(wù)人員、語(yǔ)音服務(wù)器、錄音服務(wù)器和人工坐席3臺(tái)。識(shí)別資產(chǎn)后，我們通過(guò)對(duì)該銀行的業(yè)務(wù)領(lǐng)導(dǎo)與信息安全專(zhuān)家進(jìn)行咨詢(xún)，確定了位置變動(dòng)資產(chǎn)在完全增值后的CIA取值以及各項(xiàng)位置固定資產(chǎn)在業(yè)務(wù)流程中所支撐的服務(wù)、承載位置變動(dòng)資產(chǎn)、支撐的業(yè)務(wù)過(guò)程受到破壞后對(duì)業(yè)務(wù)目標(biāo)的影響程度。

綜合以上信息我們確定了某銀行的業(yè)務(wù)A所屬的位置固定資產(chǎn)與位置變動(dòng)資產(chǎn)的重要性等級(jí)及重要性排序，列表5、表6如下：

表5 業(yè)務(wù)A的位置固定資產(chǎn)重要性列表

表6 業(yè)務(wù)A的位置變動(dòng)資產(chǎn)重要性列表

在完成了對(duì)業(yè)務(wù)A的信息資產(chǎn)重要性確定后，我們就明確了該項(xiàng)業(yè)務(wù)的所有資產(chǎn)的重要等級(jí)及排序。同樣，按照此方法可以對(duì)其他3項(xiàng)業(yè)務(wù)的信息資產(chǎn)進(jìn)行識(shí)別并確定其重要性。這樣可以為銀行的業(yè)務(wù)系統(tǒng)涉及的所有信息資產(chǎn)建立資產(chǎn)及其重要性檔案，為組織進(jìn)行資產(chǎn)管理和風(fēng)險(xiǎn)評(píng)估提供全面可靠的資產(chǎn)數(shù)據(jù)。

4 結(jié)束語(yǔ)

目前對(duì)信息資產(chǎn)的價(jià)值還沒(méi)有統(tǒng)一的量化標(biāo)準(zhǔn)。文中提出基于業(yè)務(wù)流程的信息資產(chǎn)識(shí)別及重要性（價(jià)值）的確定方法，為資產(chǎn)識(shí)別和價(jià)值確定提供了一套完整準(zhǔn)確的方法。該方法在實(shí)際工作中具有良好的系統(tǒng)性和實(shí)用性，為后續(xù)的風(fēng)險(xiǎn)評(píng)估和信息安全防護(hù)的實(shí)施提供準(zhǔn)確的基礎(chǔ)數(shù)據(jù)。

[1] MichaelE Whitman,Herbert J Mattord Principles of in for mation Security[M].Thom Leaming，2003.

[2] 吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京：清華大學(xué)出版社，2007：58互59.

[3] 傅鵬，劉嘉偉.基于業(yè)務(wù)的信息資產(chǎn)識(shí)別方法[J].通信技術(shù)，2007（12）：238互240.

[4] 范建華，薛巖龍.基于層面劃分的信息資產(chǎn)識(shí)別方法 [J/OL].標(biāo)準(zhǔn)科學(xué)，2009（9）：48互64.[2010互07互12].http://dlib.edu.cnkinet/kns50/scdbsea-rch/cdbindexaspx.

[5] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T20984互2007.信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].2007互06互14發(fā)布，2007互11互01實(shí)施。