我国高校信息安全风险评估论文

1搭建我国高校信息安全风险评估系统平台的技术步骤

1.1需求分析

通过德尔菲法、访谈法、SWOT分析等风险管理技术，向学院各职能部门和其它渠道收集风险信息，分类总结，然后列出风险系统开发的大功能模块，每个大功能模块有哪些小功能模块；描述实现具体模块所涉及到的主要算法、数据结构、类的层次结构及调用关系，需要说明软件系统各个层次中每个模块或子程序的设计考虑，以便进行编码测试。系统平台可以实现以下功能：自动输出风险评估报告和建议报告，有效监控预防风险；对风险进行定量分析，实现以图表直观形式输出显示，并展示相应的数据指标；用户以个人账户或部门账户，登录到风险评估输入列表，选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目，根据登陆权限，可自拟增加、删除风险条目；可实现日常工作重要环节和重点风险过程的时间提醒功能，通过手机短信或网页提示窗提示等手段，提醒重点工作的正常开展，防范工作疏忽引起的风险；风险级别指标制定，可参考相应的国家或行业标准，也可自拟；系统平台内有评估标准，根据评估标准设计评估模型，利用评估模型对风险评估报告进行评估，得出评估结果供风险决策者参考；校领导和各职能部门负责人可根据管理权限查询相应的风险数据；B/S架构，实现新闻即时，可及时更新各高校风险管理中的经验交流文章、理论知识。

1.2程序编码实现

开始具体的编写程序工作，分别实现各模块的功能，从而实现对目标系统的功能、性能、接口、界面等方面的要求；开发过程中，边开发边测试，系统完工后，通过内部外部测试、模块测试、整体联调等测试方法，验证系统的整体稳定性，不断完善。

1.3具体应用

软件开发完成，做成相关的技术文档，系统上线；在具体应用中发现问题及时登记到问题记录册，反馈到开发人员，为以后的系统平台升级提供依据。

2平台功能模块

信息安全风险评估平台的开发环境为/MSSQL，基于SOA软件系统架构解决学院各信息系统集成，通过PDCA循环模型具体实施。信息安全风险评估系统平台建设主要包括评估公告、用户管理、指标设置、综合评估、综合查询、报表系统，数据导出七大模块。

2.1评估公告模块

评估公告模块实现新闻即时，可及时更新各高校风险管理中的经验交流文章、理论知识；可实现日常工作重要环节和重点风险过程的时间提醒功能，提醒重点工作的正常开展，防范工作疏忽引起的信息系统风险。

2.2用户管理模块

用户管理模块的功能是管理用户信息，主要包括用户的用户名、密码和权限，同时支持显示所有注册用户信息和删除用户功能；模块可以添加系统管理员、评估人和评估单位，评估人员可以设置不同的权限，限制评估范围；用户以个人账户或部门账户，登录到风险评估输入列表，选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目；不同的用户登录系统显示的模块不一样，根据登陆权限，可自拟增加、删除风险条目。

3.3指标设置模块

指标设置模块主要是依据国家有关信息安全风险评估指标，实现信息系统风险评估的指标体系设置，划分两级指标细化评估体系，一级指标划分为信息资产、威胁性、脆弱性，二级指标从硬件、软件、风险识别等细化指标体系；实现指标库的设置，可以分配不同的被评估单位相应的评价指标。

2.4综合评估模块

综合评估模块包括评估列表、评估历史。评估列表显示所有被评估单位，某一单位用户登录以后，系统自动调用相应的指标库，回答相应的信息系统安全问题，系统自动给出指标分数；评估历史是不同的账户登录，显示的列表不同，管理员能查询所有的用户评估历史，单位用户只能查询本系部的评估历史。

2.5综合查询模块

综合查询模块实现不同单位评估次数、评估成绩、各评估对象不同时间段等的评估查询。

2.6报表系统模块

报表模块实现了不同单位评估次数、评估成绩、各评估对象的柱状图的形式直观展示。

2.7数据导出模块

数据导出模块实现了评估单位当前总成绩或历史评估成绩的数据导出功能，支持PDF、Word、Excel文档格式。

3系统评估操作流程

系统管理员首先在系统后台对不同的用户设置相应的评估指标库；用户通过用户名和密码登录系统后台；登录成功后系统会自动调用相应的评价指标，用户回答相应的问题；回答结束后，用户点击提交，系统自动给出相应的评估分值；用户打印或存储评估数据报告。

4平台应用效果

4.1为我国高校的信息系统风险预防和应急处理提供建设性的意见

目前关于我国高校风险评估研究的大多停留在某些具体领域，主要是对宏观风险管理和财务风险状况进行探讨，对信息系统安全的研究较少。信息安全风险评估系统平台对高校信息安全风险进行定量分析评估，为我国高校信息系统风险评估提供了一个重要平台，为高校的信息系统风险预防和应急处理提供一些建设性的意见。

4.2为高校各级信息系统管理者提供了处理信息系统

风险的决策依据系统实现各级信息系统管理者可实时查询部门风险评估，针对高校日常管理中可能面临的各类信息系统安全风险、建议应对措施、突发事件、应急预案、法律法规等相关风险管理文档查询，为科学决策提供依据。

4.3信息系统安全风险处理更迅速

信息系统安全风险评估平台与学院网络安全教育平台、运维网站数据整合，当网络遭受攻击、病毒肆虐时，能第一时间获得相关信息，为快速解决信息系统安全风险创造了条件。

4.4提高了全校师生网络安全防范和参与意识

通过信息系统安全风险评估平台，全院师生提高了网络安全防范和参与意识，为河南牧业经济学院网络信息化建设出谋划策，促进学校领导和有关职能部门制定和完善网络有关管理制度。

4.5规范了全校师生的上网行为，减少了网络攻击

全校师生通过平台了解学校网络管理相关制度和管理方式，认识到自己的上网行为在学校监督管理中，从而自觉规范自身的上网行为。平台为引导师生正确使用网络、规避风险，保障校园网网络良好正常运转起到了积极的作用。通过信息系统风险评估的漏洞查找，各系部加强了网络安全知识普及、全员参与、相关规章制度的约束，一直困扰我院网管人员的网络非法攻击，特别是破坏后果更难预测的内部网络攻击得到了有效的遏制。

5结束语

随着教育信息化的深入推进，高校信息安全风险评估平台已成为河南牧业经济学院网络信息化建设的重要组成部分，为营造一个安全、稳定、和谐的绿色校园网环境，进一步促进校园网络安全管理工作，提升网络管理和服务水平，在教育现代化的进程中日益发挥其作用。

作者:孔素真刘亚威单位:河南牧业经济学院信息工程系河南牧业经济学院数字化管理中心