信息资产的安全属性范文第1篇

关键词：网络安全；风险评估；模糊综合评价

0 前言

网络安全正逐渐成为一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。安全风险评估是建立网络防护系统，实施风险管理程序所开展的一项基础性工作。

然而，现有的评估方法在科学性、合理性方面存在一定欠缺。例如：评审法要求严格按照BS7799标准，缺乏实际可操作性；漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估；层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题，本文拟引用一种定性与定量相结合，综合化程度较高的评标方法――模糊综合评价法。

模糊综合评价法可根据多因素对事物进行评价，是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法，它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化，很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。

1 关于风险评估的几个重要概念

按照ITSEC的定义对本文涉及的重要概念加以解释：

风险(Risk)：威胁主体利用资产的漏洞对其造成损失或破坏的可能性。

威胁(Threat)：导致对系统或组织有害的，未预料的事件发生的可能性。

漏洞(Vulnerabmty)：指的是可以被威胁利用的系统缺陷，能够增加系统被攻击的可能性。

资产(Asset)：资产是属于某个组织的有价值的信息或者资源，本文指的是与评估对象信息处理有关的信息和信息载体。

2 网络安全风险评估模型

2.1 网络安全风险评估中的评估要素

从风险评估的角度看，信息资产的脆弱性和威胁的严重性相结合，可以获得威胁产生时实际造成损害的成功率，将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。

可见，信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看，这三者也构成了逻辑上不可分割的有机整体：①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念；②根据IS0-13335的定义，安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险，从而达到降低安全风险的目的；③根据IS0-13335的观点，漏洞是和资产相联系的。漏洞可能为威胁所利用，从而导致对信息系统或者业务对象的损害。同样，也可以通过弥补安全漏洞的方法来降低安全风险。

从以上分析可以看出，安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害，因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。

即风险R＝f(z，t，v)。其中：z为资产的价值，v为网络的脆弱性等级，t为对网络的威胁评估等级。

2.2 资产评估

资产评估是风险评估过程的重要因素，主要是针对与企业运作有关的安全资产。通过对这些资产的评估，根据组织的安全需求，筛选出重要的资产，即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估，针对有形资产；另一方面是资产的重要性评估，主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供：①企业内部重要资产信息的管理；②重要资产的价值评估；③资产对企业运作的重要性评估；④确定漏洞扫描器的分布。

2.3 威胁评估

安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有：IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段，一方面可以了解组织信息安全的环境，另一方面同时对安全威胁进行半定量赋值，分别表示强度不同的安全威胁。

威胁评估大致来说包括：①确定相对重要的财产，以及其价值等安全要求；②明确每种类型资产的薄弱环节，确定可能存在的威胁类型；③分析利用这些薄弱环节进行某种威胁的可能性；④对每种可能存在的威胁具体分析造成损坏的能力；⑤估计每种攻击的代价；⑥估算出可能的应付措施的费用。

2.4 脆弱性评估

安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。

通过对资产所提供的服务进行漏洞扫描得到的结果，我们可以分析出此设备提供的所有服务的风险状况，进而得出不同服务的风险值。然后根据不同服务在资产中的权重，结合该服务的风险级别，可以最后得到资产的漏洞风险值。

3 评估方法

3.1传统的评估方法

关于安全风险评估的最直接的评估模型就是，以一个简单的类数学模型来计算风险。即：风险＝威胁+脆弱+资产影响

但是，逻辑与计算需要乘积而不是和的数学模型。即：风险＝威胁x脆弱x资产影响

3.2 模糊数学评估方法

然而，为了计算风险，必须计量各单独组成要素（威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线，界限两边截然分为两个级别。同时，因为风险要素的赋值是离散的，而非连续的，所以对于风险要素的确定和评估本身也有很大的主观性和不精确性，因此运用以上评估算法，最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析，能较好地解决评估的模糊性，也在一定程度上解决了从定性到定量的难题。在风险评估中，出现误差是很普遍的现象。风险评估误差的存在，增加了评估工作的复杂性，如何把握和处理评估误差，是评估工作的难点之一。

在本评估模型中，借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果，又能充分考虑到影响评估的各因素的精度及其他一些因素，尽量消除因为评估的主观性和离散数据所带来的偏差。

（1）确定隶属函数。

在模糊理论中，运用隶属度来刻画客观事物中大量的模糊界限，而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时，当U值等于49时为低风险，等于51时就成了中等风险。

此时如运用模糊概念，用隶属度来刻画这条分界线就好得多。比如，当U值等于50时，隶属低风险的程度为60％，隶属中等风险的程度为40％。

为了确定模糊运算，需要为每一个评估因子确定一种隶属函数。如对于资产因子，考虑到由于资产级别定义时的离散性和不精确性，致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产（如3级资产)的可能性，可定义如下的资产隶属函数体现这一因素：当资产级别为3时，资产隶属于二级风险级别的程度为10％，隶属于三级风险级别的程度为80％，属于四级风险级别的程度为10％。

威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。

（2）建立关系模糊矩阵。

对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合，则U＝(资产，漏洞，威胁)；取V为风险级别的集合，针对我们的评估系统，则V＝(低，较低，中，较高，高)。对U上的每个单项指标进行评价，通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如，漏洞因子有一组实测值，就可以分别求出属于各个风险级别的隶属度，得出一组五个数。同样资产，威胁因子也可以得出一组数，组成一个5×3模糊矩阵，记为关系模糊矩阵R。

（3）权重模糊矩阵。

一般来说，风险级别比较高的因子对于综合风险的影响也是最大的。换句话说，高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视，即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵，记为权重模糊矩阵B，则B＝(β1,β2,β3)。

（4）模糊综合评价算法。

进行单项评价并配以权重后，可以得到两个模糊矩阵，即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为：Y＝B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵：Y＝(y1，y2,y3，y4，y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样，最后将得到一个模糊评估形式的结果，当然也可以对这个结果进行量化。比如我们可以定义N＝1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。

4 网络安全风险评估示例

以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。

在评估模型中，我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产，我们进行了资产评估、威胁评估和漏洞评估，得到的风险级别分别为：4、2、2。

那么根据隶属函数的定义，各个因子隶属于各个风险级别的隶属度为：

如果要进行量化，那么最后的评估风险值为：PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04＝2.8。因此此时该资产的安全风险值为2.8。

参考文献

［1］郭仲伟.风险分析与决策［M］.北京：机械工业出版社，1987.

［2］韩立岩，汪培庄.应用模糊数学［M］.北京：首都经济贸易大学出版社，1998.

［3］徐小琳，龚向阳.网络安全评估软件综述［J］.网络信息安全，2001.

信息资产的安全属性范文第2篇

关键词：地下金属矿山；智能化开采；综合技术

中图分类号：TD853 文献标识码：A 文章编号：1671-2064（2017）09-0178-02

随着我国对矿产资源的不断开发，矿山开采逐步由浅地层开采转为深部开采，传统采矿方式面临着成本高、生产作业危险性高等问题，新型智能化矿产资源开采综合技术的探索，是现代社会发展资源结构逐步拓展与优化的必然性趋势，结合现代地下金属矿山智能化开采技术的概述，积极探索实现地下金属矿山绿色、安全、可持续开采的有效途径。

1 智能化开采综合技术概述

1.1 智能化开采综合结构概述

智能化开采综合技术的拓展，是基于传统采矿技术的基础上，结合计算机自动化系统，综合定位系统等多种现代智能管理系统，实现现代技术资源的综合性整合应用，依据现代金属矿山的采矿工艺，智能化开采综合技术的结构主要包括：信息采集系统、信息交互管理系统以及智能化系统三部分[1]。信息采集与综合通信系统在计算机虚拟平台下实现矿山数字化管理，从而达到数字化与全部开采过程相关的信息资源综合性收集整理；其次，综合智能化开采技术的实现也借助GIS系统建立矿井综合信息管理平台，实现金属矿山信息的信息化、集成化管理，通过GIS系统一方面建立以数据库为中心和基础的信息管理新平台；另一方面，实现内外部信息、功能系统以及过程管理系统的有效集成；最后，人员追踪定位、矿体模型更新、生产自动调度、自动采掘、自动运输、生产环境地下监测与控制、设备监测与监控维护等都达到智能化管理，最终实现矿山多个开采环节的智能化应用[2]。

1.2 智能化开采综合技术实施因素

结合以上对地下金属矿山智能化开采综合技术基本结构的概述，对影响地下金属矿山智能化开采的影响因素总结，主要包括：其一，网络计算机平台的综合性应用，计算机虚拟平台和综合资源的应用是实现智能化开采的必然基础；其二，双向性网络通信技术和通讯渠道的建立，例如：金属矿山资源的综合运用必须具有良好的信息交互平台，保障地下矿产资源开采的信息准确性，确保开采技术应用的准确实现；其三，地下金属矿山智能化开采综合技术资源的综合性实现，必须配备有相应的智能装备以及对应的自动控制技术，将收集的信息和技术人员的操作切实转化为现实生产力。结合以上对地下金属矿山智能化开采综合技术的分析可知，快速准确的信息、稳定可靠的通信网络以及智能装备在矿山的应用等因素缺一不可。

2 地下金属矿山智能化开采综合技术实施的原则

地下金属矿山智能化开采必须以保障生产安全为第一原则，以提高生产效率、保证产品质量、改善劳动条件、提高经济效益为目的，采用行之有效、质量可靠的先进技术和设备。此外，在实施地下金属矿山智能开采应同时遵循以下原则：（1）经济实用性原则。在设计智能化开采系统的时候，要仔细分析矿山的各个采矿工段是否具备采用智能化方式进行开采的条件，要针对不同的采矿环境采用人工采矿或智能采矿的方式，在确保安全的情况下，寻找最佳经济效益的方案。（2）整体性原则。智能化开采是多个开采环节的有机结合，信息采集监控、信息交互、智能设备远程控制等等组件单独使用都不能有效发挥智能化开采的功能，必须保障智能化开采各个环节的能够有效衔接，相互配合，整体联动。（3）开放性原则。随着现代智能化技术开发的发展与更新，软件、通信手段、智能装备等产品更新换代速度非常快，在实施智能化开采时必须要考虑今后的改进扩充，要预留出接口进行扩充以帮助系统不断的完善和进步。

3 地下金属矿山智能化开采综合技术的实施

3.1 金属资源综合评估

地下金属矿山资源智能化C合评估技术的实施基础，是基于现代采矿技术应用的基础上，结合GIS技术，三维可视技术以及计算机辅助模型，对地下金属矿产资源开采进行全面的信息扫描，并对地下资源进行全面的信息分析，新型智能化平台的应用实现了地下矿井资源的综合评估[3]。例如：GIS技术可以获取矿山地质结构和矿石分布情况；三维可视技术和计算机辅助模型能够建立地下矿井三维仿真虚拟模型，从而大大提升了地下金属矿产资源开采的效率，减少矿产开采的前期投资和运输损耗。

3.2 金属矿山资源信息收集

金属矿山资源信息收集也是智能化信息开采的主要分支，智能化开采系统可以将矿产开采的检测、控制以及调度等分散的矿产开采步骤结合为一体，通过计算机网络平台的系统性操作，保障现代地下金属开采的地上信息控制与地下同步。例如：金属矿山开采的传感器通过雷达，激光，热传导等技术将地下金属矿山的开采情况进行综合性分析，并实现金属矿山开采信息的及时性传达；同时建立金属矿山数据监测网络虚拟信息平台，从而保障金属矿山的开采信息传输收集的稳定性[4]。

3.3 金属开采通信结构

地下金属矿山开采的信息通讯是智能化综合开采技术实现的重要部分，结合我国现代地下金属矿山开采的技术结构主要包括综合性信息传输、通信接收方案以及综合通讯网络结构。综合性信息传输是地上人员获得地下信息的重要途径，主要包括地下金属矿山中视频、图像等信息资源的传输；而通信接收方案主要通过现代通信的数字信号保障矿产开采中信息资源的交互，保障矿产开采过程中的信息的内部接收以及外部传输的稳定性，例如：地下金属矿山开采中普遍采用普通有线通信信息传输以及无线信息传输的方式；综合通讯网络结构是基于现代网络传输中以太网为基础的信息交流平台，主要包括建立信息管理系统，网络服务器，终端接收网络信息的传输平台等。及时可靠的信息交互系统在地下金属矿山的建立，能够及时地监测井下状况，同时为地上操作人员提供操作依据，有效减少了盲目性开采，避免了安全生产事故的发生[5]。

3.4 智能化开采

地下金属矿山智能化开采技术的最终目的是实现资源的合理性开采。一方面，智能化系统开采技术可以实现地下金属矿山开采的人工管理和设备管理的智能化发展，例如：为了建立完善的地下金属矿山开采信息系统，计算机系统对开采的人工信息和设备信息进行标号信息存储，同时建立定位跟踪系统，当人工进行地下金属矿山进行采矿作业时，地上信息系统能够准确的定位人员和设备的地理位置，最大限度的保障了地下金属矿山开采人员的安全性；另一发面，地下金属矿山开采智能化的实现需要智能装备及其远程控制技术，例如：采矿技术人员通过地面上的技术操作，控制地下井矿中的凿岩车、铲运车等装备完成自动作业，自动化操作技术可以在地下金属矿产开采难度较大的工段进行作业，提升了金属矿产资源开采的效率，减少金属开采中的损失，同时也保障了地下金属矿山开采的安全性。

4 结语

地下金属矿山智能化开采技术的发展，是现代资源高效综合利用的开发趋势，结合现代智能化开采技术，通过金属矿山的信息采集，信息集成管理以及智能化开采，实现现代金属矿山采矿技术的逐步创新升级发展。

参考文献

[1]郑明贵，蔡嗣经.地下开采金属矿山扩建合理规模智能化系统[J].系统工程理论与实践，2008（12）：133-139.

[2]冯兴隆，贾明涛，王李管，宋明军，尚晓明.地下金属矿山开采技术发展趋势[J].中国钼业，2008（02）：9-13.

[3]王新乔，侯志明，侯志超.地下金属矿山开采中连续开采关键技术的应用探讨[J].山东工业技术，2016（06）：86.

信息资产的安全属性范文第3篇

一、产权与会计

产权是指针对特定财产的权利束，具体包括财产的归属权、占有权、支配权和使用权等。产权与会计的研究在我国正受到越来越多的关注。产权会计研究源自产权与会计的渊源。任何时期的会计都建立在一定产权关系上，任何一种会计都要维护特定的产权制度。在企业主制产权结构下，会计只有简单的核算和反映功能，其目标是向业主提供所需的信息，能够反映资金来龙去脉的复式记账法也在这一时期产生；在合伙制产权结构下，保护和协调各产权主体利益的需要促使会计将企业视为独立于合伙人的经济实体从而产生了会计主体概念，为避免短期行为形成了持续经营概念，另外还确立了旨在保护业主产权利益的业主权益会计理论；在股权转让受限制的有限责任公司制产权结构下，形成了资本保全观及企业实体会计理论；而在股权可自由转让的股份有限公司制的集体产权结构下，会计目标从向管理当局提供信息转而向投资者提供决策有用信息。

产权理论可用于解释会计并解决具体的会计问题，从而极大推动了会计理论和实务的发展。本文对产权基础会计的探讨，就是为了解决会计国际化及会计信息披露过程中的具体问题。由于产权是会计的理论基石，因此解决具体产权基础下的会计问题在理论上存在两种途径：在现有产权的框架内局部调整解决会计问题；通过改变产权制度安排来解决现有会计问题。本文采用了后一种思路。在现有产权制度安排下，会计信息是一种公共物品，而笔者认为，会计信息的公共物品特性正是会计陷入困境的根本原因，通过会计回归与会计外部化构想下的俱乐部制度安排可改变会计信息的公共物品性质，从而解决会计目前面临的诸多问题。

二、会计信息是不是公共物品

会计信息是不是公共物品？对会计管制及强制性信息披露的支持者来说，答案是肯定的，正是由于会计信息的公共物品特性才产生了管制会计的需求。然而，会计信息的公共产权极易导致灾难，根本性地破坏会计秩序，我国和美国出现的会计危机正是这一灾难的有力证据。要化解会计目前的困境，就必须重新审视会计信息的公共物品性质。笔者认为，会计信息不是天然的公共物品，通过改变制度安排就可以改变会计信息的公共物品属性。

首先，在现有制度安排下，会计信息最多只是混合物品或准公共物品而不是纯公共物品。在公共选择理论中，物品依共享程度可分为三类：完全不具有竞争性和排他性的纯公共物品；具有完全竞争性和排他性的私人物品；具有不完全竞争性和排他性的混合物品或准公共物品。因性质不同导致提供这三类物品的方式和途径也不相同：私人物品属私人产权由市场提供，纯公共物品属公共产权只能由政府提供，而混合物品既可由政府提供也可由市场提供。如果将会计信息视为公共物品，那么会计信息的提供就只有依赖政府，而事实上会计信息由上市公司自愿披露和政府强制披露提供，在该意义上现有制度安排下的会计信息是准公共物品。

其次，从产权制度的发展历程来看，公共物品性质并不是会计信息的天然和本质属性。企业主制和合伙制产权结构下，由于经营权和所有权尚未分离，会计信息产权属于所有者，此时会计信息是私人物品；有限责任公司制产权结构下，由于经营权和所有权分离，会计信息的私人性质也有所变化，但由于此时的产权还只是简单的、小范围的个人产权集合形式，会计信息还只是俱乐部产品；股份有限责任公司制的集体产权结构下，经营权和所有权在更广泛、更复杂的层面上分离，使会计信息最终成为我们所指的准公共物品。

最后，不同的制度安排可改变会计信息的公共物品性质。公共物品性质并不是会计信息的天然和本质属性，这为通过不同的制度安排改变会计信息的公共物品性质提供了理论依据。产权制度未建立健全时，土地显然也是公共物品。由此可见，公共物品特性并非产品的内在属性而与社会的制度选择有关，改变制度安排完全可以改变会计信息的产权关系。

三、会计回归与会计外部化

要确立会计秩序就必须重新安排会计信息的产权归属。通过改变制度安排可以改变会计信息的物品属性并最终解决会计难题，而这种制度安排就是会计回归与会计外部化的设想。外部性是新制度经济学中极为重要的概念，指那些不需为之支付费用的收益或未获赔偿的损失。外部性实际上是私人成本与社会成本、私人收益与社会收益不一致所造成的私人净收益不等于社会净收益的情况，包括外部不经济和外部经济。当私人净收益明显低于社会净收益时就产生了外部经济，这会使行为人产生弱激励甚至负激励从而不断降低自己的努力程度以减轻自己的损失，另一方面又会使受益人形成不付成本而能享受他人劳动成果的偷懒习惯。反之，则产生了外部不经济，这会促使行为人产生损人利己的激励进而造成更大的经济福利损失，同时又会让受害者更加不满而降低工作效率。如果私人净收益与社会净收益相等，外部性就不存在了，此时行为人因享有所有收益而得到了最大的激励，同时因承担所有成本而得到了最有力的约束，并最终引导行为人和相对人的博弈趋于均衡。然而，任何制度安排都或多或少地存在外部性，产权的界定就是外部性的内在化过程。

用外部性来解释现行会计信息产权的制度安排，能清楚地看到它的外部经济。现有制度安排下，企业是行为人即会计信息的供给方，而投资者是受益者即会计信息的需求方。由于会计信息的准公共物品性质使企业承担了所有成本，而投资者享有了绝大部分收益，从而形成了显著的外部经济。因此，企业为了最小化自己的损失就会降低自己的努力程度选择披露或虚假披露会计信息，而投资者为了最大化自己的收益就会贪得无厌， 并最终使会计沦为会计信息需求的奴隶。更甚之，现有制度安排中，政府的强制性披露及会计信息的审计制度更加剧了这种外部经济，它使企业在承担了审计成本和披露更多信息的强制性义务的同时，又使投资者的贪婪需求更加合理化、合法化。更何况强制性信息披露本身就存在度的约束，因为它是会计信息供给与需求相符合、兼顾效率与公平及制度性边界规定的结果。

为尽可能减弱这种外部经济带来的负面影响，就必须根本改变会计信息产权的制度安排。笔者设计的制度安排要点是：1企业有偿或无偿地将原始会计信息提供给俱乐部；2由政府或者权威民间机构组成的类似于会计中介的俱乐部负责核心会计软件的开发与维护；3投资者自发地加入俱乐部并以缴纳会费的方式获取终极会计信息；4外部审计对原始会计信息及核心会计软件进行鉴证。

这种制度安排的优点比较明显：会计信息使用者按需“量体裁衣”地加工与处理信息，满足了未来会计报告对信息及时性、多样性及相关性等的要求，会计信息的有偿使用使会计信息的产权更加明晰。企业可有偿向俱乐部提供原始会计信息以弥补会计成本，且由于外部经济的减弱促使会计产生了天然的对企业的有效激励和约束，从而降低了企业因会计造假带来的社会成本及预防会计造假带来的审计监督成本。投资者需要向俱乐部缴纳会费才能获得有用的会计信息，因为要承担成本，自然就会理性地消费会计信息。这样，上文所提到的所有问题都可加以解决。

四、会计信息产权的组织形式：俱乐部模式

会计回归与会计外部化这种制度安排可通过俱乐部形式得以实施，并最终影响到会计信息的产权界定，这类似于具有公益性质的休闲书吧。假如你是个很爱看书的人，你就会自发地加入俱乐部。而俱乐部里的书可通过有关人员赞助或购买获得，俱乐部只需向看书人收取刚可弥补买书及俱乐部运行成本的会费，就组成了标准的非盈利俱乐部。会计信息产权的俱乐部组织模式和休闲书吧的性质相同，是由第三方的政府或职业权威机构负责的会计中介机构。它一方面向企业支付价款获得原始会计信息，另一方面向投资者收取会费并提供所需的终极会计信息。笔者从以下四个方面详细介绍俱乐部的具体运作：

1.企业。企业是原始会计信息的供给方，以有偿提供和无偿提供两种方式向俱乐部提供原始会计信息。无偿提供即企业的自愿披露，其成本由企业在自愿披露动机中所享受到的满足自动弥补；有偿提供是指企业转让原始会计信息产权所收取的价款，可用于弥补会计信息成本及因信息披露所带来的负面影响，从而能给企业足够的激励使之在激励的引导下自觉地披露信息。在新的制度安排中，无偿提供方式没有变化，但有偿提供却取代了强制性信息披露成为会计信息供给的有力补充。区别在于：有偿提供是内在的经济指令，而强制性信息披露是外在的行政指令。

2.投资者。投资者是终极会计信息的需求方也是俱乐部的客户，向俱乐部缴纳会费享有终极会计信息的产权。向会员投资者收费的前提条件是投资者能自发地加入俱乐部。而投资者能否自发地加入俱乐部的关键在于收费的高低。一方面，它不仅要远小于投资者从会计信息消费中可获取的收益，而且要小于或者等于投资者在原有制度安排下免费享有会计信息的成本（即投资者在过量甚至错误的会计信息中鉴别出有用会计信息的成本）；另一方面，它又必须大到足以有效约束投资者对会计信息消费的非理性与无节制。在两者所限定的领域内再依据俱乐部会员数量、原始会计信息的购置成本、俱乐部运行成本及政府拨款的多少确定合理的收费标准。

3.俱乐部。俱乐部是非盈利的第三方机构。其收益来自会员投资者的会费及政府拨款，政府拨款主要来自投资者的税负，一般在俱乐部初期开发核心会计软件或会员投资者数量不够时支付。其成本主要来自三方面：俱乐部运行成本；会计软件的开发和维护成本；原始会计信息的购买成本。俱乐部必须保持收支平衡。

4.外部审计。外部审计只对原始会计信息和会计软件的有效性及合理性进行鉴证，节约了大量的监督成本。

关于会计信息产权的归属问题，笔者认为，会计信息产权界定首先是一种制度安排，所以将原始会计信息视为私人物品界定给了企业，而将终极会计信息作为俱乐部物品界定给了所有会员投资者；反过来，通过观察会计信息产权安排能否实现制度的目的，也可以判断制度安排的有效性。制度的作用之一是能使复杂的人际交往更容易理解和可以预见，避免人们超负荷识别和产生原生焦虑，并形成有效的秩序。会计回归与会计外部化的制度安排所形成的会计信息产权完全可以满足制度的目的。

信息资产的安全属性范文第4篇

「关键词产权；外部性；俱乐部；制度

本文对产权基础会计及其俱乐部形式的探讨，是为了解决会计国际化及会计信息披露过程中的具体问题。由于产权与会计关系密切甚至可以说是会计的理论基石，因此解决具体产权基础下的会计问题在理论上存在两种途径：一是在现有产权的框架内局部调整解决会计问题；二是通过改变产权制度安排来解决现有会计问题。本文采用了后一种思路：在现有产权制度安排下会计信息是一种公共物品，而我们认为会计信息的公共物品特性正是会计陷入困境的根本原因，因此有必要通过会计回归与会计外部化构想下的俱乐部制度安排来改变会计信息的公共物品性质，从而使会计目前面临的诸多问题迎刃而解。

一、产权与会计

产权（property rights）是指针对特定财产的一组（a bundle）权利束，具体包括财产的归属权、占有权、支配权和使用权等。迄今为止，人类社会发展史上出现过多种产权模式，包括原始社会初期的非排他性公有产权、农业社会的排他性的公有产权即集体产权（Collective Property rights）、工业社会的个人私有产权和排他性国有产权等。由于不同的资源要求不同的产权形式，各种产权形式会同时存在于某一社会，但在不同时期和不同地区占主导地位的产权形式却有所不同。

产权会计研究在我国的兴起与发展并非毫无理由，而源自产权与会计的渊源。现代会计理论和实务的发展与现代企业产权制度的变迁密不可分，现代企业产权制度的变迁直接决定着现代会计理论和实务的发展及其趋势。任何时期的会计都建立在一定产权关系上，任何一种会计都要维护特定的产权制度（田儒昆，2000）。谭劲松（2000）还进一步分析了四种不同的产权制度对会计的促进作用：（1）企业主制产权下，会计只有简单的核算和反映功能，其目标是向业主提供所需的信息，能够反映资金来龙去脉的复式记账法也在这一时期产生；（2）合伙制产权结构下，保护和协调各产权主体利益的需要促使会计将企业视为独立于合伙人的经济实体从而产生了会计主体概念，为避免短期行为形成了持续经营概念，另外还确立了旨在保护业主产权利益的业主权益会计理论；（3）股权转让受限制的有限责任公司制产权结构下，形成了资本保全观及企业实体会计理论；（4）股权可自由转让的股份有限公司制这种典型的集体产权结构下，会计目标从向管理当局提供信息转而向投资者提供决策有用信息。

产权理论可用于解释会计理论并解决具体的会计问题，从而极大推动了会计理论和实务的发展。随着产权交易社会化程度越来越高，现代会计发展中的产权会计思想必将日趋成熟。研究产权会计的重要意义在于（郭道扬，1999）：（1）产权会计思想统一了对企业财务责任与会计责任的认识，统一了对企业财务工作与会计工作的处理；（2）产权会计思想支配着企业管理组织制度的改革；（3）影响着会计准则的制定与修订工作；（4）影响到财务与会计理论研究工作并将其推动到深层次研究阶段；（5）产权会计思想深刻地影响到财务会计报表的披露及其审计；（6）产权会计思想直接影响到企业的形象、竞争能力及其发展前途等等。产权与会计的这种紧密联系正是本文得以成文的基础。

二、对会计信息公共物品性质的再认识

会计信息是公共物品吗？对会计管制及强制性信息披露的支持者来说，这根本不成问题，在他们看来正是由于会计信息的公共物品特性才产生了管制会计的需求。在当前会计域秩序混乱的情况下，会计信息是公共物品的论断更得到了会计人士的认可，且被视为会计域秩序混乱的一个当然借口。公共物品最主要的特点是非排他性和非竞争性，即一个人消费不会影响其它人消费的数量和质量或者说增加消费者不会增加成本。在现有产权条件下，会计信息一经披露，所有现在和潜在的投资者都能无成本的共享，由此看来会计信息显然是公共物品，而会计信息产权也显然是公共产权。会计信息的公共产权极容易导致公地灾难（tragedy of the commons），根本性的破坏会计域秩序，我国和美国出现的会计危机正是这一灾难的有力证据。要化解会计目前的困境，就必须重新审视会计信息的公共物品性质。我们之所以对会计信息的公共物品性质产生疑问是基于一些很矛盾的会计现象：为什么上市公司披露的会计信息是公共物品而据此建立的数据库却是私人物品？为什么投资者从会计信息中受益而由上市公司承担成本？对这些问题的思索使我们对会计信息是公共物品的论断产生怀疑，进而对引起会计信息产权扭曲的制度安排也有所疑虑。那么会计信息是公共物品吗？我们的结论是，会计信息并不是天然的公共物品，改变制度安排就可以改变会计信息的物品属性。

首先，在现有制度安排下，会计信息最多只是混合物品或准公共物品而不是纯公共物品。在公共选择理论中，物品依共享程度可分为三类：完全不具有竞争性和排他性的纯公共物品、具有完全竞争性和排他性的私人物品、具有不完全竞争性和排他性的混合物品或准公共物品。因性质不同提供这三类物品的方式和途径也不相同，私人物品属私人产权由市场提供，纯公共物品属公共产权只能由政府提供，而混合物品兼有公共物品和私人物品的双重性质既可由政府提供也可由市场提供。如果将会计信息视为公共物品，那么会计信息的提供就只有依赖政府，而事实上会计信息由上市公司自愿披露和政府强制披露提供，在该意义上现有制度安排下的会计信息是准公共物品。

其次，从产权制度的发展历程来看，公共物品性质并不是会计信息的天然和本质属性。企业主制和合伙制产权下，由于经营权和所有权尚未分立，会计信息产权属于所有者自己，此时会计信息是私人物品；股权转让受限制的有限责任公司制产权结构下，由于经营权和所有权的分立，会计信息的私人性质也有所变化，但由于此时的产权还只是简单的、小范围的个人产权集合形式，会计信息还只是俱乐部产品；股权可自由转让的股份有限公司制这种典型的集体产权结构下，经营权和所有权在更广泛更复杂的层面上分离，也使会计信息最终成为我们所指的准公共物品。

最后，不同的制度安排可改变会计信息的公共物品性质。公共物品性质并不是会计信息的天然和本质属性，为我们通过不同的制度安排改变会计信息的公共物品性质提供了理论依据。在产权制度尚未建立健全的时候，土地显然也是公共物品。就拿经济学里公共物品的经典例子“灯塔”来说，科斯也发现英国当时的灯塔在私人收费上并不存在任何问题（Coase，1974）。由此可见，公共物品特性并非产品的内在属性而与社会的制度选择有关（Varain，1998），改变制度安排完全可以改变会计信息的产权关系。

三、新的制度安排：会计回归与会计外部化

上述分析表明，会计信息的公共物品性质是会计域秩序混乱的主要原因，要确立会计域秩序就必须重新安排会计信息的产权归属。同时公共物品性质并非会计信息的天然和本质的属性，可以改变制度安排从而改变会计信息的物品属性并最终解决会计难题，而这种制度安排就是我们关于会计回归与会计外部化的设想。

外部性（externality）是新制度经济学中极为重要的概念，是指那些无需支付费用的收益或未获赔偿的损失。外部性实际上是私人成本与社会成本、私人收益与社会收益不一致所造成的私人净收益不等于社会净收益的情况，包括外部不经济和外部经济。当私人净收益明显少于社会净收益时就产生了外部经济，这会使行为人产生弱激励甚至负激励从而不断降低自己的努力水平以减轻自己的损失，另一方面又会使受益人形成不付成本而能享受他人劳动成果的偷懒（shirking）习惯。相反，当私人净收益大于社会净收益的时候就产生了外部不经济，这会促使行为人产生损人利己的激励进而造成更大的经济福利损失，同时又会让受害者更加不满而降低工作效率。如果私人净收益与社会净收益相等，外部性就不存在了，此时行为人因享有所有收益而得到了最大的激励，同时因承担所有成本而得到了最有力的约束，并最终引导行为人和相对人的博弈趋于均衡。然而任何制度安排或多或少的存在外部性，产权的界定就是外部性的内在化过程。产权为人们提供了将外部性内在化的激励，并帮助人们形成在与他人交易时的合理预期（谢德仁，2001）。

信息资产的安全属性范文第5篇

1.1系统组件本身的脆弱性

由于国家电网经营发展属于民生大计问题，产业发展涉及到输变电生产、电力项目建设、工程项目维修、用电销售等诸多经营业务内容。因此，电力系统自动化通信技术视角下的技术定位相对较广，在信息系统设计、生产、组装环节中也就必然存在一定安全隐患问题。比如，第一点则属于系统硬件故障隐患问题，和信息系统设计初期阶段存在隐患有主要关系。第二点软件系统自有的安全隐患问题，这类安全隐患一般多来源于电力通信自动化技术领域下的平台软件，在平台设计开发阶段存在一定技术遗留问题。第三，基于TCP/IP协议栈的定义内容在网络应用设计之初时就留下了兼容性技术漏洞，使得网络安全隐患加剧。

1.2自然威胁

这类隐患性问题多以电力通信网络安全下的不可抗力事件发生为主，比如网络信息系统如果遭受自然雷击，或者是工作站突发性发生火灾，抑或通信系统遭受自然外力破坏，如地震、覆冰、风偏等。此外，这些自然不可抗事件发生一般不以人为意志为转移，会使得国家电网造成不可避免的经济资产损失。

1.3人为意外因素

通常指人为因素下的设计失误、技术系统操作异常、不规范使用信息系统等造成的安全隐患问题。此外，这类隐患问题出现一般并非人为主观意识上故意造成安全问题，而属于人为以外因素所致的安全隐患问题。

1.4人为恶意因素

同样，人为因素也包含恶意、蓄意、故意行为造就的网络信息安全事故问题。伴随这种恶意行为发生，可能会存在蓄意篡改重要数据，或者偷盗重要信息资源，或者更改代码种植木马信息等，以通过恶劣、低俗的网络黑客行为谋取私利。

2电力自动化通信技术下的网络结构分析

国家电网系统下信息网络结构一般由核心局域网，地方部门的局域网，以及区域通信渠道网络互联所组成；从应用功能角度又可划分为供生产、制造所用的SCADA/EMS系统，以及供电经营相关的MIS系统。

2.1SCADA/EMS系统

主要适用于变电网工作站、发电厂等电力供给、送电单位生产所用。并且该系统作用主要是进行监控、处理、评估及分析等；同时，其基本功能板块划分为数据采集、能源分析、信息存储、实时监控等。

2.2MIS系统（信息业务网）

该系统平台主要对网络信息化相关商务活动进行服务，同时其系统平台主要包括办公自动化、用户供电信息查询、信息统计管控、人资建设、以及安全生产等子系统板块。此外，MIS系统可对电力企业的直属上下级单位予以联网交互，包括地区间供电企业售电业务下的重要客户数据交互等。与之同时，MIS系统平台下已经由过去单一的EMS模式逐步转化为了当前的自动化DMS、TMR、调度管理、及雷电监测等多种方式应用拓展，可以会说在信息资源优化及调整上更为专业。而MIS系统主要应用于电力产业经营业务相关的组织活动方面，比如财务管理、物资置办、用电检查、安全监控、信息查询等多个方面。包括在MIS平台使用时也能够配套www、mail等板块予以实践应用，并且其属于IP网络传输，组网方式现如今也能够实现千兆以太网，同时网络结构取用于同级网络分层，每层又分为子网与链路层予以连接。

3电力自动化通信技术中的信息安全构建思路

3.1健全安全防范机制

国家电网下电力企业通信技术平台下的各个管理单元众多，在网络信息安全中制定必要的安全防范机制非常重要。因此，在安全机制构建过程中，需要保障安全机制具有严谨的逻辑性，要能结合电力企业自身需求情况，确认出重点网络防范区域与划分出普通网络访问区域。比如，对于一般性网络访问区域，需要设置具备一定开放性的访问权限；而重点网络防范区则需要严格限制普通权限客户登录，设立较高安全级别权限，以此才能对安全数据、资源信息、QA系统运营进行重点安全监督。

3.2完善信息网络设备管理机制

信息设备管理主要以电网系统下信息安全设备管理作为研究载体，强调设备管理综合效率最大化提升。基于此，设备管理机制中要配套使用促进人员职能发挥的激烈奖惩机制，以此来提升其责任意识和凝聚归属感，激发人员信息安全运维作业的人员主观能动性。此外，设备管理工作开展从基本规划、设计研发、平台选型、配件采购、安装组建、故障维修、定期养护、技术更新、设施技改等方面进行组织管理，以此才能确保信息网络设备及使用软件平台的可靠性与实用性。

3.3强化电力系统信息安全技术

为了充分保障信息网络安全，对于信息网络的安全技术研究而言则非常重要。一般当前通信网络安全技术主要有：防火墙、身份鉴别与验证、信息资源加密手段应用等。因此，第一，强化防火墙网络管理是必然的安全防控手段，特别是防火墙这种具备保护屏障作用的内、外网安全服务通道。所以，防火墙优化设计时要重点考虑其接口连接问题的同时，配套做好网络漏洞修复。第二，身份鉴别与验证，则要重点控公司内、外网的数据监控，人员操作日志，控制权限访问等，以便于公司内部网络安全软件开发时可提供必要信息资源依据。第三，对于信息加密手段应用，则要重点考虑口令卡、智能卡、以及密钥安全形手段的配套使用。同时，信息加密还可以结合企业自身条件，配套使用DES/RAS等密码技术应用，以避免未经授权时可有效控制非访访问获得数据等，防范重要数据泄漏。

4结束语