公務(wù)員期刊網(wǎng) 論文中心 正文

安全工程成熟模型信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了安全工程成熟模型信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

安全工程成熟模型信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

【摘要】近年來(lái),信息技術(shù)發(fā)展迅速,很多信息安全產(chǎn)品逐漸涌現(xiàn),并共同構(gòu)建出完善的信息系統(tǒng)安全防御體系,與此同時(shí),社會(huì)各界也逐漸意識(shí)到加強(qiáng)信息系統(tǒng)安全管理的重要性,信息系統(tǒng)安全的復(fù)雜程度比較高,涉及信息系統(tǒng)開發(fā)、操作、管理等多個(gè)方面,在系統(tǒng)安全管理中,需要將系統(tǒng)工程理論和方法作為指導(dǎo)。對(duì)此,本文首先對(duì)系統(tǒng)安全工程能力成熟模型進(jìn)行了介紹,然后對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的特征進(jìn)行了分析,并對(duì)信息風(fēng)險(xiǎn)評(píng)估模型進(jìn)行了詳細(xì)介紹。

【關(guān)鍵詞】系統(tǒng)安全工程;信息系統(tǒng);風(fēng)險(xiǎn)

引言

隨著科學(xué)技術(shù)的快速發(fā)展,信息系統(tǒng)安全問(wèn)題也越來(lái)越常見,如何采取有效措施預(yù)防并減少信息系統(tǒng)風(fēng)險(xiǎn)已經(jīng)逐漸成為信息安全研究的關(guān)鍵。對(duì)于信息系統(tǒng)安全,可以采用風(fēng)險(xiǎn)大小進(jìn)行度量,同對(duì)信息在保密性、完整性等多個(gè)方面所受到的威脅,可以對(duì)安全威脅進(jìn)行有效控制。需要注意的是,為了保障信息安全,不僅需要依靠安全技術(shù)和產(chǎn)品,而且還需要信息系統(tǒng)安全工程的支持。通過(guò)構(gòu)建系統(tǒng)安全工程能力成熟模型,對(duì)影響信息系統(tǒng)的各個(gè)安全要素進(jìn)行分析,并對(duì)風(fēng)險(xiǎn)因素發(fā)生的可能性進(jìn)行評(píng)價(jià)分析,能夠保證信息安全管理決策的客觀性和合理性。

1我國(guó)礦山生產(chǎn)安全現(xiàn)狀

近年來(lái),隨著國(guó)家的重視與社會(huì)的關(guān)注,礦山的百萬(wàn)噸死亡率以及前人死亡率有所下降,但是礦山的安全工程還是存在一定的問(wèn)題,就目前看來(lái),其主要存在以下問(wèn)題:①我國(guó)大多數(shù)的礦山都缺乏統(tǒng)一持續(xù)的安全戰(zhàn)略規(guī)劃目標(biāo),我國(guó)大型的礦山企業(yè)都是國(guó)有企業(yè),其在生產(chǎn)的過(guò)程中都十分重視礦產(chǎn)的安全管理,十分重視企業(yè)生產(chǎn)安全。但是其在生產(chǎn)的過(guò)程中同樣需要面臨著市場(chǎng)競(jìng)爭(zhēng)帶來(lái)的壓力,對(duì)于礦山生產(chǎn)的風(fēng)險(xiǎn)性以及隨機(jī)性沒(méi)有充分的把握,難以從根本上提升礦山的安全性;②我國(guó)礦產(chǎn)開采缺乏完善的安全理念,盡管大多數(shù)的礦產(chǎn)企業(yè)在開采時(shí)都確立了安全生產(chǎn)理念,但是這些理念僅僅概況成了幾句口號(hào),并沒(méi)有得到徹底的落實(shí),這樣一來(lái)無(wú)法有效的確保礦山安全管理的質(zhì)量;③我國(guó)礦山開采安全程度較低,尤其是一些小型礦產(chǎn),基本沒(méi)有安全設(shè)施,采用的甚至是一些落后的工藝設(shè)備。為了有效的判斷礦山生產(chǎn)過(guò)程中的風(fēng)險(xiǎn),需要建立完善的風(fēng)險(xiǎn)評(píng)估模型,下面簡(jiǎn)單的介紹系統(tǒng)安全工程能力成熟模型,以及其在風(fēng)險(xiǎn)評(píng)估中的作用。

2系統(tǒng)安全工程能力成熟模型概述

系統(tǒng)安全工程能力指的是系統(tǒng)在實(shí)際應(yīng)用中,能夠達(dá)到的安全性指標(biāo)的能力,通過(guò)改善系統(tǒng)工程的過(guò)程安全能力,能夠使系統(tǒng)工程變得更加成熟。在系統(tǒng)安全工程能力成熟模型的構(gòu)建過(guò)程,需要完善的、成熟的、可度量的安全工程。在系統(tǒng)安全工程下,所有工程活動(dòng)都有明確的定義,并且對(duì)于所有工程活動(dòng),都可以進(jìn)行有效的測(cè)量、管理和控制。系統(tǒng)安全工程能力成熟度模型主要是由兩個(gè)部分所組成的,包括“過(guò)程域”和“能力”。其中,過(guò)程域指的是在完成一個(gè)子任務(wù)過(guò)程中,所需要完成的一系列工程實(shí)踐,過(guò)程域指又可以被分為三個(gè)部分,即工程過(guò)程域、組織過(guò)程域和項(xiàng)目過(guò)程域。其中,組織過(guò)程域和項(xiàng)目過(guò)程域與系統(tǒng)安全沒(méi)有直接關(guān)聯(lián),因此,二者不是模型的組成部分。模型為每個(gè)過(guò)程域均定義了一組確定的基本實(shí)踐(BP),在子任務(wù)的完成過(guò)程中,每個(gè)基本實(shí)踐都必不可少。另外,能力維指的是實(shí)踐代表過(guò)程管理和制度化能力,其又可以被稱為通用實(shí)踐(GP)。通用實(shí)踐的主要作用是對(duì)每個(gè)級(jí)別的共同特性(CF)進(jìn)行描述,即每個(gè)級(jí)別的判定反映為一組共同特性。通用實(shí)踐是應(yīng)用于所有過(guò)程的活動(dòng),通用實(shí)踐的重點(diǎn)是對(duì)過(guò)程進(jìn)行度量和管理。應(yīng)用通用實(shí)踐描述共同特性的邏輯區(qū)域可以被被劃分5個(gè)能力級(jí)別,

3信息系統(tǒng)風(fēng)險(xiǎn)的特征

信息系統(tǒng)的投資比較大,建設(shè)周期長(zhǎng),影響因素較多,因此,信息系統(tǒng)所面臨的風(fēng)險(xiǎn)種類也比較多,并且不同風(fēng)險(xiǎn)之間的關(guān)系錯(cuò)綜復(fù)雜。通過(guò)對(duì)大中型信息系統(tǒng)進(jìn)行調(diào)查分析發(fā)現(xiàn),信息系統(tǒng)風(fēng)險(xiǎn)的特征主要體現(xiàn)在以下幾點(diǎn):客觀性和不確定性。在信息系統(tǒng)的實(shí)際應(yīng)用中,信息系統(tǒng)風(fēng)險(xiǎn)客觀存在,因此,在整個(gè)信息系統(tǒng)生命周期中,風(fēng)險(xiǎn)因素?zé)o處不在,但是有具有明顯的不確定特征,風(fēng)險(xiǎn)事件的客觀體現(xiàn)指的是隨著客觀條件的變化,所造成的不確定性。在信息系統(tǒng)的實(shí)際運(yùn)行過(guò)程中,各類不確定因素的伴隨物即為信息系統(tǒng)風(fēng)險(xiǎn)。多層次性和多樣性。信息系統(tǒng)風(fēng)險(xiǎn)包包括多種層次風(fēng)險(xiǎn),包括物理安全風(fēng)險(xiǎn)、邏輯安全風(fēng)險(xiǎn)等等,其中,物理安全風(fēng)險(xiǎn)是由周界控制、區(qū)域訪問(wèn)控制以及區(qū)內(nèi)設(shè)施安全等所組成的,安全管理內(nèi)容包括人員管理、系統(tǒng)管理、應(yīng)急管理等,信息系統(tǒng)風(fēng)險(xiǎn)的種類也具有可變性和動(dòng)態(tài)性特征,隨著信息技術(shù)的發(fā)展,信息系統(tǒng)風(fēng)險(xiǎn)也逐漸呈動(dòng)態(tài)性和可變性特征。在信息系統(tǒng)實(shí)際運(yùn)行過(guò)程中,對(duì)于有些風(fēng)險(xiǎn)因素,由于采取了有效措施,因此風(fēng)險(xiǎn)得以消除,而對(duì)于有些風(fēng)險(xiǎn)因素,由于沒(méi)有采取有效的消除措施,因此風(fēng)險(xiǎn)逐漸成為主要風(fēng)險(xiǎn)??蓽y(cè)性。系統(tǒng)安全風(fēng)險(xiǎn)的本質(zhì)是不確定性,在各類風(fēng)險(xiǎn)因素中,任何風(fēng)險(xiǎn)的發(fā)生都是多個(gè)風(fēng)險(xiǎn)因素共同作用所造成的,也有個(gè)別風(fēng)險(xiǎn)因素的發(fā)生是偶然事件,但是,通過(guò)對(duì)大量風(fēng)險(xiǎn)發(fā)生事件進(jìn)行統(tǒng)計(jì)和分析發(fā)現(xiàn),風(fēng)險(xiǎn)時(shí)間的發(fā)生具有一定的運(yùn)動(dòng)規(guī)律。對(duì)于風(fēng)險(xiǎn)時(shí)間的發(fā)生概率以及其所造成,可以采用多種風(fēng)險(xiǎn)分析方式進(jìn)行計(jì)算,并對(duì)可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)分析,從而為防范決策提供重要依據(jù)。由于信息系統(tǒng)風(fēng)險(xiǎn)具有多層次以及多樣性特征,因此,安全防范難度較大,對(duì)此,一般采用防火墻技術(shù)進(jìn)行安全管理。另外,由于信息系統(tǒng)風(fēng)險(xiǎn)具有多層次以及動(dòng)態(tài)性特征,因此,很難構(gòu)建覆蓋全部安全問(wèn)題的安全防控體系,綜合考慮安全投入成本以及被保護(hù)資產(chǎn)價(jià)值,必須構(gòu)建合適的安全準(zhǔn)則。通過(guò)上述分析可見,信息系統(tǒng)風(fēng)險(xiǎn)復(fù)雜程度比較高,并且系統(tǒng)風(fēng)險(xiǎn)的涉及面比較廣泛,因此,在信息系統(tǒng)整個(gè)生命周期中,都必須加強(qiáng)風(fēng)險(xiǎn)評(píng)估和管理,對(duì)此,應(yīng)該在模型的指導(dǎo)下來(lái)保證信SSE-CMM息系統(tǒng)的安全。

4信息風(fēng)險(xiǎn)評(píng)估模型

信息風(fēng)險(xiǎn)評(píng)估的過(guò)程指的是,對(duì)信息系統(tǒng)資產(chǎn)所面對(duì)的各類風(fēng)險(xiǎn)因素進(jìn)行分析,并對(duì)安全控制措施進(jìn)行研究,從而準(zhǔn)確識(shí)別系統(tǒng)風(fēng)險(xiǎn)因素,并對(duì)各類風(fēng)險(xiǎn)因素進(jìn)行評(píng)價(jià)。從系統(tǒng)風(fēng)險(xiǎn)管理角度出發(fā),系統(tǒng)風(fēng)險(xiǎn)管理過(guò)程值得是對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行控制、降低以及消除的過(guò)程,在此過(guò)程中,需要對(duì)網(wǎng)絡(luò)與信息系統(tǒng)中所面臨的風(fēng)險(xiǎn)因素進(jìn)行準(zhǔn)確識(shí)別,并采取有效的控制措施。在對(duì)安全事件進(jìn)行評(píng)估過(guò)程中,如果發(fā)現(xiàn)風(fēng)險(xiǎn)因素可能會(huì)產(chǎn)生的危害事件,則應(yīng)該立即提出相應(yīng)的低于威脅防護(hù)措施,對(duì)安全風(fēng)險(xiǎn)進(jìn)行化解,或者采取有效的防范措施,將信息安全風(fēng)險(xiǎn)控制在一定范圍內(nèi),從而有效保障網(wǎng)絡(luò)安全以及信息安全。在進(jìn)行信息風(fēng)險(xiǎn)評(píng)估過(guò)程中,需要注意以下幾點(diǎn):①準(zhǔn)確識(shí)別被評(píng)估信息資產(chǎn),并對(duì)其估價(jià);②對(duì)網(wǎng)絡(luò)弱點(diǎn)進(jìn)行檢測(cè),評(píng)估資產(chǎn)脆弱性;③獲取系統(tǒng)各對(duì)象信息,并詳細(xì)列出資產(chǎn)威脅;④識(shí)別當(dāng)前安全控制;⑤綜合考慮脆弱性和威脅的嚴(yán)重程度,對(duì)資產(chǎn)的重要性進(jìn)行計(jì)算分析。風(fēng)險(xiǎn)事件因素對(duì)于信息系統(tǒng)的影響程度具有模糊性特征,因此,對(duì)于安全風(fēng)險(xiǎn),可以將其描述為關(guān)于威脅和這種威脅后果的一個(gè)函數(shù),通過(guò)對(duì)其進(jìn)行定量分析,能夠估算出風(fēng)險(xiǎn)時(shí)間發(fā)生后對(duì)于系統(tǒng)安全性的影響程度,同時(shí)還能夠?qū)?fù)雜的思維決策過(guò)程模型化、數(shù)量化。系統(tǒng)所有者在系統(tǒng)的實(shí)際應(yīng)用過(guò)程中,可以結(jié)合項(xiàng)目實(shí)際情況,在資產(chǎn)風(fēng)險(xiǎn)評(píng)估過(guò)程中,對(duì)資產(chǎn)、威脅和脆弱性等各因素所占權(quán)重進(jìn)行計(jì)算,并賦予其相應(yīng)的權(quán)向量:A=(r1,r2,r3,…,ri),其中,其中ri指的是判斷矩陣相應(yīng)因素。aij=rij/nk=1Σrkj(i=1,2,…,n)(1)由公式(1)再按行求和:c軃i=nj=1Σrkj(i=1,2,…,n)(2)通過(guò)公式(2)可得:ci=c軃ini=1Σc軃i(i=1,2,…,n)(3)其中,c指的是所求的特征向量,具體而言其指的是對(duì)應(yīng)i個(gè)因素的相對(duì)重要程度,即權(quán)重系數(shù),如果c越高,則說(shuō)明風(fēng)險(xiǎn)越大,系統(tǒng)安全工程的安全程度比較低。因此,可以根據(jù)以上公式,計(jì)算出風(fēng)險(xiǎn)評(píng)估量化分析結(jié)果,并對(duì)系統(tǒng)中的各類風(fēng)險(xiǎn)因素進(jìn)行建模分析,從而計(jì)算得出各類風(fēng)險(xiǎn)權(quán)重,并以此為依據(jù),對(duì)信息風(fēng)險(xiǎn)評(píng)估以及系統(tǒng)安全策略的制定提供重要的參考依據(jù)。

5結(jié)語(yǔ)

綜上所述,在信息系統(tǒng)的建設(shè)過(guò)程中,加強(qiáng)安全工程管理至關(guān)重要,現(xiàn)如今已經(jīng)逐漸引起社會(huì)各界的廣泛關(guān)注,而我國(guó)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估研究起步比較晚,定量評(píng)估模型依然處于探索階段。為了有效保障保障信息系統(tǒng)的安全性,應(yīng)該采用SSE-CMM模型作為安全指導(dǎo)思想,通過(guò)對(duì)風(fēng)險(xiǎn)因素進(jìn)行全過(guò)程、全方位的分析,能夠有效解決信息系統(tǒng)安全的動(dòng)態(tài)性和廣泛性問(wèn)題。本文主要對(duì)SSE-CMM模型進(jìn)行了詳細(xì)分析,SSE-CMM模型屬于理論指導(dǎo)模型,可以用在信息系統(tǒng)的效益分析、系統(tǒng)可靠性分析等方面,所以具有較大的推廣價(jià)值,但是需要注意的是,在其實(shí)際應(yīng)用中,還應(yīng)該綜合考慮不同性質(zhì)的信息系統(tǒng),采取不同的實(shí)施方案。

參考文獻(xiàn)

[1]吳峰,賁可榮.系統(tǒng)安全測(cè)試能力成熟度模型框架研究[J].計(jì)算機(jī)與數(shù)字工程,2011,39(2):128~132.

[2]李燦,周春雷,華斌,等.信息系統(tǒng)應(yīng)用成熟度評(píng)價(jià)模型[J].華東電力,2014,42(11):2428~2431.

[3]陳登偉,張永亮,趙廣超,等.基于信息系統(tǒng)的指控能力成熟度研究[J].裝備學(xué)院學(xué)報(bào),2016,27(5):94~99.

作者:陸秀平 顧燕燕 單位:貴州煤礦礦用安全產(chǎn)品檢驗(yàn)中心 貴州安科勞動(dòng)保護(hù)技術(shù)有限責(zé)任公司