馮春林

(安徽商貿(mào)職業(yè)技術(shù)學(xué)院，安徽 蕪湖 241003)

國內(nèi)外企業(yè)信息安全評(píng)價(jià)研究述評(píng)

馮春林

(安徽商貿(mào)職業(yè)技術(shù)學(xué)院，安徽 蕪湖 241003)

企業(yè)信息安全評(píng)價(jià)是企業(yè)信息安全管理的重要內(nèi)容，企業(yè)通過信息安全評(píng)價(jià)，能對(duì)企業(yè)自身信息安全系統(tǒng)進(jìn)行檢測和度量，能提升企業(yè)信息安全管理水平。文章通過梳理國內(nèi)外企業(yè)信息安全評(píng)價(jià)研究成果，厘清企業(yè)信息安全評(píng)價(jià)研究的主要內(nèi)容。

企業(yè)信息安全；評(píng)價(jià)；述評(píng)

企業(yè)信息安全評(píng)價(jià)問題是信息安全領(lǐng)域的前沿課題，我國《2006-2020年國家信息化發(fā)展戰(zhàn)略》指出，當(dāng)前企業(yè)信息安全事故頻發(fā)的主要原因在于信息安全意識(shí)薄弱和信息安全水平低下。為此需要積極跟蹤、研究和掌握國際信息安全領(lǐng)域的先進(jìn)理論、前沿技術(shù)和發(fā)展動(dòng)態(tài)。本文通過對(duì)國內(nèi)外企業(yè)信息安全評(píng)價(jià)研究的梳理，一方面在學(xué)術(shù)上厘清企業(yè)信息安全領(lǐng)域相關(guān)研究成果，為后續(xù)研究提供參考；另一方面為企業(yè)界選擇企業(yè)信息安全評(píng)價(jià)指標(biāo)與評(píng)價(jià)方法，對(duì)自身信息安全系統(tǒng)進(jìn)行及時(shí)、動(dòng)態(tài)和客觀的評(píng)價(jià)提供理論依據(jù)。

一、國外企業(yè)信息安全評(píng)價(jià)研究進(jìn)展

(一)國外企業(yè)信息安全評(píng)價(jià)理論研究

在社會(huì)信息安全環(huán)境不斷變化的情況下，企業(yè)需要對(duì)信息管理系統(tǒng)中存在的威脅，運(yùn)用系統(tǒng)的方法進(jìn)行定性分析與定量測度，以提升和改善企業(yè)信息安全水平。國外關(guān)于企業(yè)信息安全評(píng)價(jià)研究可以追溯到本世紀(jì)初，Rayford Vaughn研究了企業(yè)信息安全評(píng)價(jià)的定義和內(nèi)涵。[1]Edward Humphreys通過分析公司治理和風(fēng)險(xiǎn)管理中存在的問題，提出了企業(yè)信息安全管理的評(píng)價(jià)標(biāo)準(zhǔn)。[2]Peggy Chaudhry等研究發(fā)現(xiàn)，信息安全策略、員工信息安全意識(shí)、企業(yè)高層的支持以及訪問控制是一個(gè)企業(yè)內(nèi)部建立信息安全系統(tǒng)的關(guān)鍵要素，企業(yè)需要整合關(guān)鍵四要素對(duì)信息安全系統(tǒng)進(jìn)行評(píng)價(jià)。[3]Zahoor Soomro等從企業(yè)管理活動(dòng)的角度研究發(fā)現(xiàn)，管理的許多活動(dòng)，特別是發(fā)展和信息安全政策的執(zhí)行意識(shí)、有效的培訓(xùn)、企業(yè)信息架構(gòu)、IT基礎(chǔ)設(shè)施管理、業(yè)務(wù)和IT的一致性以及人力資源管理對(duì)信息安全管理的質(zhì)量有顯著的影響。[4]

(二)國外企業(yè)信息安全評(píng)價(jià)模型與方法

國外學(xué)者對(duì)企業(yè)信息安全的評(píng)價(jià)主要集中在以管理體系整體為研究對(duì)象，多數(shù)采取貝葉斯網(wǎng)絡(luò)、層次分析法、Markov法、神經(jīng)網(wǎng)絡(luò)、決策樹法等方法構(gòu)建相關(guān)研究模型，并取得了豐富的成果。Ann Majchrzak和Sirkka Jarvenpaa構(gòu)建一個(gè)以知識(shí)員工為中心的信息安全模型，并對(duì)跨企業(yè)組織的信息安全與信息分享進(jìn)行深入分析。[5]Lu Xin和Zhi Ma釆用了模糊綜合評(píng)價(jià)法對(duì)企業(yè)信息安全進(jìn)行了深入分析。[6]Jason Bellon等研究提出企業(yè)信息安全評(píng)價(jià)的具體執(zhí)行方案與實(shí)施方法。[7]Chien-Cheng Huang等采用平衡計(jì)分卡、層次分析法，對(duì)企業(yè)信息安全進(jìn)行了評(píng)價(jià)。[8]Peggy Chaudhry等采用案例研究方法，構(gòu)建了企業(yè)信息安全EIS評(píng)價(jià)模型。[9]

二、國內(nèi)企業(yè)信息安全評(píng)價(jià)研究進(jìn)展

(一)國內(nèi)企業(yè)信息安全評(píng)價(jià)內(nèi)涵及研究框架

隨著國內(nèi)對(duì)信息安全問題愈加關(guān)注，國內(nèi)學(xué)者對(duì)信息安全評(píng)價(jià)內(nèi)涵認(rèn)識(shí)也在不斷發(fā)展。目前，關(guān)于企業(yè)信息安全評(píng)價(jià)內(nèi)涵沒有統(tǒng)一的定義，基本共識(shí)是在社會(huì)信息環(huán)境不斷變化的情況下，企業(yè)需要依據(jù)科學(xué)合理的程序，對(duì)影響企業(yè)信息安全的關(guān)鍵因素進(jìn)行綜合考慮，確立各因素所占的權(quán)重，以系統(tǒng)工程的方法對(duì)企業(yè)信息安全系統(tǒng)進(jìn)行檢測和度量，為制定預(yù)防和保護(hù)信息安全的措施提供科學(xué)的依據(jù)，以達(dá)到改善企業(yè)信息安全水平的目的。國內(nèi)企業(yè)信息安全評(píng)價(jià)研究對(duì)象是企業(yè)整體，內(nèi)容主要是研究方法和評(píng)價(jià)指標(biāo)體系，為此，國內(nèi)學(xué)者構(gòu)建“影響因素+指標(biāo)+模型”研究框架，選擇多個(gè)研究角度，在多個(gè)領(lǐng)域開展研究，并取得了一定研究成果。

(二)國內(nèi)企業(yè)信息安全評(píng)價(jià)模型與方法

通過對(duì)已有文獻(xiàn)梳理發(fā)現(xiàn)，通過多因素構(gòu)建綜合指標(biāo)評(píng)價(jià)研究模型最受學(xué)者歡迎，相應(yīng)成果也最多。魏忠利用綜合集成的理論方法，提出集合定性和定量分析的系統(tǒng)性綜合評(píng)估模型。[10]許冰等利用ASP排除信息安全評(píng)價(jià)個(gè)人因素的干擾，實(shí)現(xiàn)企業(yè)信息安全評(píng)價(jià)。[11]呂欣研究了四維信息保障(IA)體系，構(gòu)建了包含系統(tǒng)信息保障成熟度指數(shù)和基礎(chǔ)支撐成熟度指數(shù)的評(píng)價(jià)模型。[12]范紅等綜合應(yīng)用風(fēng)險(xiǎn)評(píng)估的方法實(shí)施企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)價(jià)并進(jìn)行了實(shí)例分析。[13]楊繼華和許春香以GB 17859-1999信息安全標(biāo)準(zhǔn)為依據(jù)建立指標(biāo)體系利用和灰色關(guān)聯(lián)度法建立企業(yè)信息安全評(píng)價(jià)模型。[14]李捷娜依據(jù)證據(jù)理論提出了一種信息安全的度量方法，并給出了具體的度量步驟。[15]程建華和靖繼鵬采用AHP方法建立了指標(biāo)體系，用不確定性推理方法D-S證據(jù)理論整合得出綜合評(píng)價(jià)結(jié)果。[16]毛成功提出了以物理層面、系統(tǒng)層面、信息層面和管理層面為準(zhǔn)則的包括二十項(xiàng)單個(gè)指標(biāo)的評(píng)價(jià)指標(biāo)體系。[17]吳志軍和楊義先從企業(yè)的戰(zhàn)略目標(biāo)、管理對(duì)策、技術(shù)方法等層面出發(fā)，提出了以安全基線政策為核心內(nèi)容的評(píng)價(jià)模型。[18]王爽英根據(jù)安全信息人才、安全信息機(jī)構(gòu)與信息設(shè)施和信息活動(dòng)能力三個(gè)方面建立企業(yè)安全信息能力評(píng)價(jià)指標(biāo)體系。[19]黃啟發(fā)和宋彪研究影響企業(yè)信息安全的技術(shù)、管理、制度和監(jiān)管4個(gè)因素及其相互關(guān)系，提出企業(yè)信息安全綜合評(píng)價(jià)模。[20]宋杰鯤通過整合加工傳統(tǒng)GB T20984-2007標(biāo)準(zhǔn)中5種資產(chǎn)類型，構(gòu)建信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。[21]張志清等采用基于熵和多維屬性的方法，建立多維屬性的動(dòng)態(tài)指標(biāo)評(píng)價(jià)體系.并利用這些屬性來完成對(duì)信息系統(tǒng)安全的最終評(píng)估。[22]

在網(wǎng)絡(luò)技術(shù)日益成熟的環(huán)境下，企業(yè)信息安全面臨更為復(fù)雜和嚴(yán)峻的形勢，為此，宋明磊等認(rèn)為國家出臺(tái)網(wǎng)絡(luò)安全審查制度顯得尤為重要。[23]郭振民等研究了基于網(wǎng)絡(luò)環(huán)境的企業(yè)信息安全評(píng)價(jià)指標(biāo)體系與模型。[24]近年來，隨著大數(shù)據(jù)的廣泛運(yùn)用并彰顯出巨大的經(jīng)濟(jì)價(jià)值，大數(shù)據(jù)背景下的企業(yè)信息全評(píng)價(jià)研究開始得到重視。湯森森研究了大數(shù)據(jù)背景下企業(yè)信息安全評(píng)價(jià)指標(biāo)體系構(gòu)建的原則，并構(gòu)建了評(píng)價(jià)指標(biāo)體系。[25]尹淋雨研究了大數(shù)據(jù)環(huán)境下，結(jié)合影響企業(yè)信息安全的因素，并根據(jù)AHP模糊綜合評(píng)價(jià)法，構(gòu)建了綜合評(píng)價(jià)模型。[26]

企業(yè)信息安全評(píng)價(jià)在指導(dǎo)實(shí)踐應(yīng)用上，國內(nèi)學(xué)者結(jié)合行業(yè)企業(yè)特點(diǎn)不斷進(jìn)行研究嘗試。王劍等從戰(zhàn)略、技術(shù)、管理和工程四個(gè)方面對(duì)航空信息系統(tǒng)安全保障體系進(jìn)行了評(píng)價(jià)。[27]楊慧娟以中國科學(xué)院ARP系統(tǒng)為研究對(duì)象，構(gòu)建模糊綜合評(píng)價(jià)模型，評(píng)估了科研機(jī)構(gòu)的信息安全狀況。[28]徐暉等將廣東電網(wǎng)的信息安全日常工作和年度工作作為一級(jí)評(píng)價(jià)指標(biāo)，對(duì)其信息安全水平進(jìn)行評(píng)估。[29]

三、國內(nèi)企業(yè)信息安全評(píng)價(jià)研究存在的不足

(一)理論創(chuàng)新研究不足

企業(yè)信息安全評(píng)價(jià)是企業(yè)信息安全管理的前沿課題。國外在企業(yè)信息安全評(píng)價(jià)理論研究上起步早，也取得了一定成果，研究對(duì)象涉及多個(gè)行業(yè)企業(yè)。在研究方法上，多數(shù)采用構(gòu)建研究模型，開展定性與個(gè)案研究，研究成果具有學(xué)術(shù)價(jià)值和實(shí)踐指導(dǎo)價(jià)值。而國內(nèi)關(guān)于企業(yè)信息安全評(píng)價(jià)的理論研究匱乏。截止2016年11月28日，通過數(shù)據(jù)庫檢索系統(tǒng)檢索發(fā)現(xiàn)，國內(nèi)關(guān)于企業(yè)信息安全的文獻(xiàn)只有寥寥數(shù)篇，已有研究成果也主要體現(xiàn)在“企業(yè)信息安全”的研究范疇里，且現(xiàn)有研究框架是基于實(shí)業(yè)界的實(shí)踐總結(jié)。在網(wǎng)絡(luò)環(huán)境和大數(shù)據(jù)環(huán)境下，企業(yè)信息安全評(píng)價(jià)的理論研究期待更多創(chuàng)新。

(二)評(píng)價(jià)指標(biāo)體系不完備

現(xiàn)有企業(yè)信息安全評(píng)價(jià)研究主要聚焦于企業(yè)信息安全風(fēng)險(xiǎn)研究，側(cè)重于信息安全威脅的角度。在企業(yè)信息化快速發(fā)展的環(huán)境下，特別是互聯(lián)網(wǎng)快速發(fā)展的時(shí)代背景下，企業(yè)信息安全評(píng)價(jià)因素與評(píng)價(jià)指標(biāo)體系需要結(jié)合時(shí)代特征，需要考慮企業(yè)信息安全評(píng)價(jià)等級(jí)，不能忽視從企業(yè)信息安全與企業(yè)信息化發(fā)展相適應(yīng)的角度對(duì)企業(yè)信息安全進(jìn)行評(píng)價(jià)。

(三)研究廣度與深度不夠

國內(nèi)學(xué)者對(duì)企業(yè)信息安全評(píng)價(jià)做了有益研究，研究內(nèi)容主要集中在企業(yè)信息安全評(píng)價(jià)指標(biāo)體系與模型構(gòu)建方面，研究成果主要提供了一種研究框架，側(cè)重概念或者理論層面的居多。另外，因部分研究成果主要體現(xiàn)在碩博論文上，所以國內(nèi)企業(yè)信息安全評(píng)價(jià)課題研究無論是廣度上還是深度上都有待進(jìn)一步拓展。

(四)實(shí)踐應(yīng)用研究匱乏

國外學(xué)者十分重視企業(yè)信息安全評(píng)價(jià)實(shí)踐應(yīng)用研究，相關(guān)研究已經(jīng)深入到企業(yè)或組織內(nèi)部要素，取得了一定成果。國內(nèi)企業(yè)信息安全實(shí)踐應(yīng)用研究存在一定不足，比如在結(jié)合某一具體企業(yè)實(shí)際進(jìn)行信息安全評(píng)價(jià)時(shí)，存在大量人為主觀因素以及信息不確定的干擾，并且由于對(duì)評(píng)價(jià)指標(biāo)間相關(guān)性考慮不周全，導(dǎo)致評(píng)價(jià)模型缺乏實(shí)時(shí)監(jiān)控功能。另外，國內(nèi)外企業(yè)信息安全評(píng)價(jià)實(shí)踐應(yīng)用研究主要聚焦于某行業(yè)企業(yè)個(gè)案研究，不同企業(yè)之間信息安全評(píng)價(jià)共性研究較少，相關(guān)研究方興未艾，而不同行業(yè)企業(yè)間信息安全評(píng)價(jià)的比較研究更是空白。

四、總結(jié)與建議

上文梳理了國內(nèi)外企業(yè)信息安全評(píng)價(jià)相關(guān)文獻(xiàn)，重點(diǎn)分析了國內(nèi)企業(yè)信息安全評(píng)價(jià)存在的不足。為此，筆者提出如下建議：

(一)加強(qiáng)對(duì)國外研究成果的研究與借鑒

需要學(xué)習(xí)與掌握國外關(guān)于企業(yè)信息安全管理與信息安全評(píng)價(jià)的最新研究成果，學(xué)習(xí)國外最新的企業(yè)信息安全評(píng)價(jià)理論與評(píng)價(jià)模型。借鑒國外的研究成果，結(jié)合國內(nèi)實(shí)際開展深入研究。國內(nèi)外學(xué)者之間需要加強(qiáng)相互交流，對(duì)企業(yè)信息安全評(píng)價(jià)的定義、模型及評(píng)價(jià)指標(biāo)進(jìn)行研究與探討，尋求共識(shí)。

(二)鞏固已有研究成果，拓展研究空間

目前國內(nèi)關(guān)于企業(yè)信息安全管理研究比較淺顯且狹窄，需要特別關(guān)注的是國外企業(yè)信息安全評(píng)價(jià)研究已經(jīng)深入到企業(yè)內(nèi)部，涉及人員、組織、網(wǎng)絡(luò)、制度、管理等要素。國內(nèi)學(xué)者需要一方面對(duì)現(xiàn)有研究成果進(jìn)行再研究、再創(chuàng)新；另一方面需要對(duì)沒有涉及的相關(guān)領(lǐng)域進(jìn)行研究與創(chuàng)新，例如對(duì)企業(yè)信息安全等級(jí)評(píng)價(jià)以及對(duì)企業(yè)信息安全預(yù)警評(píng)價(jià)等進(jìn)行研究。

(三)開展企業(yè)信息安全評(píng)價(jià)實(shí)踐應(yīng)用研究

企業(yè)信息安全評(píng)價(jià)研究不能脫離我國企業(yè)信息安全評(píng)價(jià)管理實(shí)踐。目前，一方面需要將企業(yè)信息安全評(píng)價(jià)研究成果應(yīng)用于企業(yè)實(shí)踐，用已有理論指導(dǎo)實(shí)踐；另一方面需要在實(shí)踐過程中記錄與總結(jié)，完善企業(yè)信息安全評(píng)價(jià)模型，構(gòu)建操作性強(qiáng)的評(píng)價(jià)指標(biāo)體系，把提出的理論應(yīng)用到實(shí)踐中去，切實(shí)提升企業(yè)信息安全評(píng)價(jià)能力。

[1] Rayford B. Vaughn，Ronda Henning，Ambareen Siraj.Information Assurance Measures and Metrics-State of Practice and Proposed Taxonomy[C].Hawaii：The 36thInternational Conference on System Sciences，2003.

[2]Edward Humphreys.Information Security Management Standards：Compliance Govermance and Risk Management[J].Information Security Technical Report，2008，(4).

[3]Peggy Chaudhry，Sohail Chaudhry，Ronald Reese.Developing a Model for Enterprise Information Systems Security[J].Economics，Management and Financial Markets，2012，(4).

[4]Zahoor Ahmed Soomro，Mahmood Hussain Shah，Javed Ahmed.Information Security Management Needs More Holistic Approach：A Literature Review[J].International Journal of Information Management，2016，(2).

[5]Ann Majchrzak，Sirkka Jarvenpaa.Information Security in Cross-enterprise Collaborative Knowledge Work[J].Emergence Complexity & Organization，2004，(4).

[6]Xin Lu， Ma Zhi.Information Assurance Evaluation for Network Information Systems[C]. Guangzhou：International Conference on Computational and Information Science(CIS)，2006.

[7]Jason Bellone，Segolene de Basquiat，Juan Rodriguez.Reaching Escape Velocity：a Practiced Approach to Information Security Management System Implementation[J].Information Management and Computer Security，2008，(1).

[8]Chien-Cheng Huang，Kwo-Jean Farn，F(xiàn)rank Yeong-Sung Lin.A Study on Information Security Management with Personal Data Protection[C].Athens：IEEE 17thInternational Conference on Parallel and Distributed Systems，2011.

[9]Peggy Chaudhry,Sohail Chaudhry,Kevin Clark,Darryl Jones.Enterprise Information Systems Security：A Case Study in the Banking Sector[C].Belgium：6thIFIP WG 8.9 Working Conference，2012.

[10]魏忠.從定性到定量的系統(tǒng)性信息安全綜合集成評(píng)估體系[J].系統(tǒng)工程理論方法應(yīng)用，2004，(5).

[11]許冰，李磊，錢省三.利用ASP實(shí)現(xiàn)企業(yè)信息安全評(píng)價(jià)[J].計(jì)算機(jī)工程與應(yīng)用，2005，(25).

[12]呂欣.信息系統(tǒng)安全保障理論與評(píng)價(jià)指標(biāo)體系[J].微電子學(xué)與計(jì)算機(jī)，2006，(10).

[13]范紅，馮登國，吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法和應(yīng)用[M].北京：清華大學(xué)出版社，2006.

[14]楊繼華，許春香.信息安全多層次綜合量化評(píng)價(jià)模型研究[J].情報(bào)雜志，2006，(9).

[15]李捷娜.信息安全度量研究[D].哈爾濱理工大學(xué)，2007.

[16]程建華，靖繼鵬.信息安全風(fēng)險(xiǎn)綜合評(píng)價(jià)指標(biāo)體系構(gòu)建和評(píng)價(jià)方法[J].現(xiàn)代情報(bào)，2008，(5).

[17]毛成功.電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)的綜合評(píng)價(jià)[[J].信息安全，2010，(7).

[18]吳志軍，楊義先.信息安全保障評(píng)價(jià)指標(biāo)體系的研究[J].計(jì)算機(jī)科學(xué)，2010，(7).

[19]王爽英.企業(yè)安全信息能力評(píng)價(jià)指標(biāo)體系的研究[J].企業(yè)技術(shù)開發(fā)(學(xué)術(shù)版)，2013，(10).

[20]黃啟發(fā)，宋彪.基于協(xié)同學(xué)的企業(yè)信息安全綜合評(píng)價(jià)模型[J].現(xiàn)代情報(bào)，2012，(8).

[21]宋杰鯤，張麗波.基于三角模糊熵的信息安全風(fēng)險(xiǎn)評(píng)估研究[J].情報(bào)理論與實(shí)踐，2013，(8).

[22]張志清，李明.基于動(dòng)態(tài)指標(biāo)的信息系統(tǒng)安全評(píng)價(jià)研究[J].物流技術(shù)，2014，(3).

[23]宋明磊，張燕婷.探析我國出臺(tái)網(wǎng)絡(luò)安全審查制度的價(jià)值[J].哈爾濱學(xué)院學(xué)報(bào)，2016，(11).

[24]郭振民，胡學(xué)龍，姜會(huì)亮.網(wǎng)絡(luò)與信息系統(tǒng)安全性評(píng)估及其指標(biāo)體系的研究[J].現(xiàn)代電子技術(shù)，2003，(9).

[25]湯淼淼.大數(shù)據(jù)背景下的企業(yè)信息安全評(píng)價(jià)及對(duì)策研究[D].大連海事大學(xué)，2015.

[26]尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評(píng)價(jià)模型研究[D].安徽財(cái)經(jīng)大學(xué)，2015.

[27]王劍，彭越，吳志軍.航空信息系統(tǒng)安全評(píng)價(jià)指標(biāo)體系[J].信息安全與通信保密，2008，(1).

[28]楊慧娟.科研機(jī)構(gòu)信息系統(tǒng)的信息安全管理評(píng)價(jià)方法研究[D].北京交通大學(xué)，2009.

[29]徐暉，王甜，魏理豪，等.廣東電網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)及其指標(biāo)體系的研究[J].電力信息與通信技術(shù)，2010，(8).

責(zé)任編輯：思 動(dòng)

ReviewontheSummarizingStudiesontheInformationSafetyEvaluationofEnterprises

FENG Chun-lin

(Anhui Business Vocational Technical College，Wuhu 241003，China)

The evaluation of the enterprise information safety is a vital content for the management of information safety. With the evaluation of information safety，the safety system can be checked and measured and hence the management efficiency can be improved. By reviewing the research findings of the information safety evaluation，the main contents of these studies are summarized.

the enterprise information safety；evaluation；review

F273.1

A

10.3969/j.issn.1004-5856.2017.10.008

2016-12-12

安徽省高等學(xué)校自然科學(xué)研究重點(diǎn)項(xiàng)目，項(xiàng)目編號(hào)：KJ2016A255；安徽省高等學(xué)校人文社會(huì)科學(xué)研究重點(diǎn)項(xiàng)目，項(xiàng)目編號(hào)：SK2016A035；安徽省質(zhì)量工程項(xiàng)目，項(xiàng)目編號(hào)：2014jxtd088。

馮春林(1972-)，男，安徽蕪湖人，副教授，碩士，主要從事信息安全管理研究。

1004—5856(2017)10—0032—04