序言:寫(xiě)作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁��,我們?yōu)槟x了8篇的安全信息評(píng)估樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀��。
第1篇
(內(nèi)蒙古師范大學(xué) 餐飲管理學(xué)院��,內(nèi)蒙古 呼和浩特 011517)
摘 要:近年來(lái)食品安全事件頻發(fā)��,食品安全問(wèn)題已經(jīng)成為廣大群眾最關(guān)心的話題��,食品的安全監(jiān)管也無(wú)疑成為社會(huì)關(guān)注的焦點(diǎn)��。本文正是以餐飲安全監(jiān)管評(píng)估體系為切入口��,科學(xué)地分析了我國(guó)餐飲安全監(jiān)管評(píng)估體系面臨的主要問(wèn)題��,餐飲安全監(jiān)管評(píng)估體系創(chuàng)新的主要方面��,以及餐飲安全監(jiān)管評(píng)估體系創(chuàng)新的實(shí)踐��,最終為餐飲安全監(jiān)管評(píng)估體系提出了創(chuàng)新思路��。
關(guān)鍵詞 :食品安全��;監(jiān)管評(píng)估��;創(chuàng)新
中圖分類號(hào):R155文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1673-260X(2015)03-0194-02
1 餐飲安全監(jiān)管評(píng)估體系面臨的主要矛盾和問(wèn)題
1.1 餐飲企業(yè)數(shù)目多��、分布分散��、監(jiān)管難度大
隨著我國(guó)經(jīng)濟(jì)社會(huì)的快速發(fā)展��,人們的生活水平不斷提高��,城鎮(zhèn)化水平不斷加大��,越來(lái)越多的人到餐館里就餐��,因此餐館行業(yè)不斷發(fā)展壯大��。進(jìn)行國(guó)家注冊(cè)的餐飲行業(yè)越來(lái)越多��,這就出現(xiàn)了各式各樣的餐飲企業(yè)��,冷熱飲��、大排檔��、食堂��、農(nóng)家餐��、夜宵等��,形成了形式多樣��、種類繁多的餐飲市場(chǎng)發(fā)展新局面��。在為人們的選擇提供了更多的便利的同時(shí)��,也提升了消費(fèi)者的消費(fèi)水平。
然而事物都具有雙面性��,由于餐飲企業(yè)多以城市的中心地帶及人流量較大的商業(yè)中心或景點(diǎn)為聚居點(diǎn)��,同時(shí)又星羅棋布地分布于城市空間��,餐飲企業(yè)的蓬勃發(fā)展也給食品安全部門對(duì)餐飲行業(yè)的監(jiān)管帶來(lái)了巨大的困難��。
1.2 餐飲設(shè)施��、器械簡(jiǎn)陋陳舊
由于我國(guó)餐飲行業(yè)的發(fā)展起步比較晚��,再加上對(duì)餐飲行業(yè)的管理還存在著不足��,一些中小餐飲企業(yè)特別是一些小攤小販��,多利用陳舊的設(shè)備��、設(shè)施進(jìn)行“創(chuàng)業(yè)”��。他們的經(jīng)營(yíng)場(chǎng)所多為一些老舊的房屋或臨時(shí)搭建的露天篷��,這樣的餐飲環(huán)境不僅衛(wèi)生條件差��,餐飲食品的衛(wèi)生安全也難以得到保障��。當(dāng)出現(xiàn)一些高峰期時(shí)��,就餐的人很多��,一些碗筷用別人吃過(guò)的��,簡(jiǎn)簡(jiǎn)單單用水沖洗一下即可��,用的水也是自來(lái)水��,甚至水的渠道也很不明��,這也是我國(guó)傳染病傳播的主要途徑��。即使一些餐飲企業(yè)配備了保鮮��、保潔��、消毒等器具��,也只能成為餐飲企業(yè)的裝飾品��,因?yàn)樗鼈儍H僅是擺設(shè)��,從來(lái)不用��,僅僅是告訴顧客放心食用,豈不知這也算對(duì)顧客的欺騙��。大多數(shù)餐飲企業(yè)根本沒(méi)有專門的原料的加工��、清洗��、刀切��、貯存��、烹飪��、售出等的獨(dú)立空間��,全在同一單間中操作��,質(zhì)量安全無(wú)法保證��。
1.3 人們對(duì)食品安全的認(rèn)識(shí)及意識(shí)缺乏
大多數(shù)餐飲行業(yè)的工作人員素質(zhì)較低��,缺乏職業(yè)道德��,它們僅僅對(duì)于利潤(rùn)、工資感興趣��,甚至為了賺錢使用一些危害性食料��,包括使用地溝油和廉價(jià)的食材等,給食用者造成了一定的危害��。此外��,這些人的食品安全法律意識(shí)淡薄��,僅僅憑借經(jīng)驗(yàn)進(jìn)行經(jīng)營(yíng)��,無(wú)法真正養(yǎng)成良好的衛(wèi)生習(xí)慣��。大部分小型餐飲行業(yè)的工作人員穿著隨便��,沒(méi)有統(tǒng)一的服裝��,并且沒(méi)有行之有效的規(guī)章進(jìn)行管理��,在原料采購(gòu)時(shí)不索要發(fā)票��,也不進(jìn)行臺(tái)賬記錄��,食品加工過(guò)程中也不注意生與熟的安放��,也不考慮食品之間的交叉感染��。綜上所述��,人們對(duì)食品安全的認(rèn)識(shí)不足及意識(shí)缺乏��,給食品衛(wèi)生安全及監(jiān)管帶來(lái)了困難��。
2 餐飲安全監(jiān)管評(píng)估體系創(chuàng)新的主要工作
2.1 探索創(chuàng)新宣傳教育機(jī)制
宣傳教育機(jī)制始終是餐飲安全監(jiān)管評(píng)估體系創(chuàng)新工作的基礎(chǔ)��,要通過(guò)多方位��、多角度��、立體式的方式進(jìn)行宣傳教育��,充分利用媒體和網(wǎng)站��,包括電視臺(tái)��、廣播��、報(bào)紙��、網(wǎng)絡(luò)等��,對(duì)食品安全進(jìn)行大力宣傳,也可以采取現(xiàn)場(chǎng)咨詢��、專家講演��、宣傳下鄉(xiāng)等手段��,深入宣傳我國(guó)食品衛(wèi)生安全方面的法律法規(guī)��,對(duì)群眾進(jìn)行深刻教育��,增強(qiáng)他們的食品安全意識(shí)��,讓他們認(rèn)識(shí)到食品安全的重要性��,自覺(jué)抵制一切危害自身安全的食品問(wèn)題��。最終讓人民群眾成為遏制食品安全問(wèn)題的主力軍��,堅(jiān)決抵制無(wú)食品安全保證的餐飲企業(yè)��,讓他們?cè)谏鐣?huì)中無(wú)法立足��,努力營(yíng)造出人人對(duì)健康負(fù)責(zé)的食品安全氣氛��。此外��,還要對(duì)餐飲人員進(jìn)行培訓(xùn)教育,讓他們懂得我國(guó)的食品安全法規(guī)��,自覺(jué)產(chǎn)生安全責(zé)任意識(shí)��,使之能夠安全負(fù)責(zé)地做好餐飲管理工作��,最終提升餐飲行業(yè)人員的整體素質(zhì)��,為餐飲安全監(jiān)管評(píng)估體系創(chuàng)新打下堅(jiān)實(shí)基礎(chǔ)��。
2.2 探索創(chuàng)新工作推進(jìn)機(jī)制
探索創(chuàng)新工作推進(jìn)機(jī)制能夠有效地推進(jìn)餐飲安全監(jiān)管評(píng)估體系的創(chuàng)新��。通過(guò)打開(kāi)餐飲安全信息共享的通道��,積極構(gòu)建資源共享的平臺(tái)��,保證各方的橫向聯(lián)動(dòng)��,密切各部門的溝通和協(xié)作��。通過(guò)加大對(duì)食品行業(yè)的監(jiān)督打擊力度��,形成監(jiān)督打擊合力��,最終形成強(qiáng)大的監(jiān)督管理局面��。
此外��,還可以利用網(wǎng)絡(luò)進(jìn)行食品安全監(jiān)督��,通過(guò)對(duì)網(wǎng)絡(luò)的健全完善��,把網(wǎng)絡(luò)打造成為食品安全監(jiān)督的“順風(fēng)耳”��,使之成為治理食品安全的重要手段��。同時(shí),要加強(qiáng)群眾監(jiān)督的作用,切實(shí)對(duì)餐飲行業(yè)進(jìn)行監(jiān)督指導(dǎo)��,增加他們的誠(chéng)信意識(shí),使其遵守餐飲行業(yè)的法律法規(guī)觀念��,打造一個(gè)好的餐飲行業(yè)形象��。
2.3 探索創(chuàng)新基礎(chǔ)保障機(jī)制
把培養(yǎng)監(jiān)督餐飲行業(yè)安全的人才隊(duì)伍��,作為未來(lái)工作的重中之重��,把行政監(jiān)管與技術(shù)監(jiān)督的工作落到實(shí)處��。同時(shí)��,對(duì)餐飲行業(yè)監(jiān)督機(jī)構(gòu)進(jìn)行改革,優(yōu)化人才隊(duì)伍��,灌輸監(jiān)督管理的新鮮概念��,提升他們執(zhí)行力��,不斷補(bǔ)充后備人才隊(duì)伍��,提升餐飲監(jiān)管系統(tǒng)的綜合能力和執(zhí)行水平��,為餐飲安全提供強(qiáng)大保證��。
同時(shí)也要積極引用科學(xué)技術(shù)��,利用高科技設(shè)備和手段��,行之有效地參與餐飲行業(yè)安全監(jiān)督檢查��,做到檢查嚴(yán)格��、監(jiān)管有效��、執(zhí)法合理��、獎(jiǎng)懲分明��,為全力做好搭建餐飲安全監(jiān)管評(píng)估體系的創(chuàng)新打下堅(jiān)實(shí)基礎(chǔ)��。
3 餐飲安全監(jiān)管評(píng)估體系創(chuàng)新的實(shí)踐
3.1 探索創(chuàng)新綜合懲處機(jī)制
3.1.1 建立能力評(píng)價(jià)機(jī)制
我國(guó)頒布的《食品安全法實(shí)施條例》明確說(shuō)明:地方行政管理人員要為餐飲行業(yè)安全監(jiān)督管理的能力建設(shè)提供強(qiáng)有力的保障��。目前��,我國(guó)的餐飲行業(yè)的設(shè)施設(shè)備都比較落后��,基礎(chǔ)比較薄弱��。他們面臨的主要困難是缺乏安全管理能力的人才��,缺乏用于檢查的設(shè)備設(shè)施��,我們都知道要做好餐飲行業(yè)的安全檢查��,就必須有先進(jìn)的檢查設(shè)備��,而要想扭轉(zhuǎn)以上問(wèn)題��,就是要加大經(jīng)費(fèi)的投入��,而缺乏經(jīng)費(fèi)也是餐飲安全監(jiān)管的困難之一��。
目前國(guó)家已經(jīng)啟動(dòng)了對(duì)餐飲安全監(jiān)管的力建設(shè)標(biāo)準(zhǔn)項(xiàng)目��,對(duì)餐飲安全檢查設(shè)備提出了基本標(biāo)準(zhǔn),并加大了對(duì)餐飲安全監(jiān)管設(shè)備的支持力度��,這為我國(guó)餐飲企業(yè)向更好的方向發(fā)展提供了良好條件��。今后監(jiān)管負(fù)責(zé)人將逐級(jí)地對(duì)監(jiān)管能力進(jìn)行上報(bào)��,對(duì)監(jiān)管能力不合格者進(jìn)行嚴(yán)格檢查��。
3.1.2 實(shí)行信用獎(jiǎng)懲機(jī)制及典型示范機(jī)制
對(duì)于我們國(guó)家來(lái)講��,信用是稀有且珍貴的資源��。如何健全和完善科學(xué)的餐飲企業(yè)信用評(píng)價(jià)機(jī)制��,是確保我們國(guó)家餐飲行業(yè)安全的當(dāng)務(wù)之急��。
首先通過(guò)網(wǎng)絡(luò)對(duì)各類餐館開(kāi)展網(wǎng)絡(luò)信用征集并系統(tǒng)地統(tǒng)計(jì)起來(lái)��,然后對(duì)它們進(jìn)行科學(xué)的評(píng)級(jí)��,對(duì)于一些非常差的企業(yè)進(jìn)行警告并予以懲處��,并督促它們進(jìn)行整改��,同時(shí)還要對(duì)餐飲企業(yè)進(jìn)行網(wǎng)絡(luò)披露��,保證廣大群眾能全面地對(duì)餐飲企業(yè)信用狀況進(jìn)行客觀��、全面的認(rèn)識(shí)��。這樣消費(fèi)者既可以合理地選擇餐館用餐��,也有助于對(duì)餐飲安全的監(jiān)管��,更能提高餐飲企業(yè)的自律性��。
我國(guó)現(xiàn)在餐飲行業(yè)的集成化��、產(chǎn)業(yè)化還不高��,面臨著嚴(yán)重的散��、低等狀況��。因此要改變以上狀況��,就必須采取措施進(jìn)行重點(diǎn)突破��,采取餐館示范工程��,推動(dòng)餐飲安全工作,使其成為示范的培育基地��,充分發(fā)揮示范及引領(lǐng)作用��,并成為餐飲安全監(jiān)管評(píng)估重要指標(biāo)��。
3.1.3 努力推進(jìn)責(zé)任追究機(jī)制
沒(méi)有責(zé)任就沒(méi)有工作的動(dòng)力��,對(duì)于餐飲安全監(jiān)管來(lái)講��,責(zé)任尤為重要��?�!秶?guó)家食品安全法》已經(jīng)明文規(guī)定��,地方政府對(duì)食品安全要負(fù)總責(zé)��,監(jiān)管部門自身責(zé)任如果沒(méi)有履行��,也要受到處罰��,餐飲企業(yè)是安全事故的第一責(zé)任人?�,F(xiàn)在我國(guó)餐飲安全管理受到多種因素的制約��,責(zé)任制并沒(méi)有完全的落實(shí)��。所以��,必須根據(jù)現(xiàn)實(shí)狀況重新對(duì)責(zé)任進(jìn)行細(xì)化��、具體的劃分��,保證管理責(zé)任與責(zé)任人匹配��,保證餐飲安全問(wèn)題必有人處理��,徹底根斷餐飲安全責(zé)任人存在的僥幸心理��。近年來(lái)國(guó)家推行責(zé)任人約談制度��,對(duì)于餐飲安全監(jiān)管評(píng)估體系的建立和完善將起到一定的促進(jìn)作用��。
3.2 探索創(chuàng)新動(dòng)態(tài)監(jiān)管機(jī)制
3.2.1 積極建構(gòu)溝通協(xié)作機(jī)制
要做好食品安全監(jiān)管工作��,就必須三位一體地對(duì)食品安全進(jìn)行把關(guān)��,這樣才能從根處做到食品安全��。目前��,我國(guó)的食品安全工作明顯沒(méi)有做到以上要求,與餐飲食品安全監(jiān)管相關(guān)的工商��、衛(wèi)生��、防疫等相關(guān)部門很難一起對(duì)食品安全進(jìn)行協(xié)調(diào)��,因此落實(shí)協(xié)調(diào)機(jī)制也無(wú)從談起��,更不用說(shuō)健全和完善��。同時(shí)��,由于管理部門各自職責(zé)不同��,信息達(dá)不到共享��,導(dǎo)致無(wú)法形成食品安全的監(jiān)督合力��。
此外��,我國(guó)的食品監(jiān)管工作仍存在管理力度不夠��、效果差等實(shí)際情況��。目前��,我國(guó)政府對(duì)社會(huì)餐飲行業(yè)監(jiān)管力度還不夠��,與其他國(guó)家相比資金的投入還相對(duì)較少��,食品安全監(jiān)管人員明顯不足��,監(jiān)管的手段也相對(duì)單一��。因此��,在食品安全監(jiān)管上出現(xiàn)的漏洞比較多��,也影響了監(jiān)管工作的效果��。
3.2.2 堅(jiān)定實(shí)施分級(jí)監(jiān)管機(jī)制及社會(huì)參與機(jī)制
近些年我國(guó)餐飲行業(yè)迅速發(fā)展��,但是由于各地發(fā)展水平不同��,也出現(xiàn)了餐飲行業(yè)區(qū)域差異性問(wèn)題��。因此要根據(jù)我們國(guó)家的基本國(guó)情實(shí)施分級(jí)監(jiān)管機(jī)制��,推行分類監(jiān)管制度與誠(chéng)信制度��,并使它們有機(jī)結(jié)合��,有助于餐飲行業(yè)的自我約束、自我提高��。同時(shí)還要充分利用社會(huì)資源��,加大餐飲安全監(jiān)管力量��,提高廣大人民群眾對(duì)食品安全的認(rèn)識(shí)��,并使廣大人民群眾積極參與到食品安全的監(jiān)督工作中��,形成一種人人對(duì)餐飲安全有責(zé)的氣氛��。堅(jiān)定實(shí)施分級(jí)監(jiān)管機(jī)制及社會(huì)參與機(jī)制��,把政策落到實(shí)處��,做到我國(guó)餐飲的真正安全��,餐飲安全管理人員必須負(fù)起責(zé)任��。
4 總結(jié)
食品安全關(guān)乎千家萬(wàn)戶��,保證食品安全不僅是國(guó)家的責(zé)任��,也是我們每個(gè)人義不容辭的責(zé)任��。當(dāng)今世界食品安全事件并不少見(jiàn)��,也得到了各國(guó)的重視��,我國(guó)食品安全部門也加大了食品安全的檢查力度��,發(fā)現(xiàn)質(zhì)量安全問(wèn)題絕不手軟��,對(duì)社會(huì)上一些危害極大的食品事故企業(yè)��,不僅僅對(duì)相關(guān)責(zé)任人依法追究刑事責(zé)任��,同時(shí)也對(duì)企業(yè)加大懲罰力度��。因此��,近年來(lái)由于國(guó)家的高壓檢查��,食品安全事件的發(fā)生頻率得到了有效控制��。同時(shí)也呼吁我們每個(gè)公民都要積極的對(duì)食品安全問(wèn)題進(jìn)行監(jiān)督��。
參考文獻(xiàn):
(1)徐景和��。積極推動(dòng)餐飲安全監(jiān)管機(jī)制創(chuàng)新[J]��。中國(guó)食品藥品監(jiān)管,2011(08):16-18.
(2)邊振甲��?�?茖W(xué)探索餐飲安全監(jiān)管新思路[J]��。行政管理改革��,2011(09):27-30.
(3)徐晗��。湖南省餐飲服務(wù)食品安全監(jiān)管體系建設(shè)狀況分析[D]��。中南大學(xué)��,2012.
第2篇
信息技術(shù)以及信息產(chǎn)業(yè)的飛速發(fā)展��,給檔案管理信息化建設(shè)帶來(lái)了機(jī)會(huì)��,同時(shí)也給其帶來(lái)了巨大的沖擊和新的挑戰(zhàn)��。信息系統(tǒng)自身所處的網(wǎng)絡(luò)環(huán)境的特點(diǎn)以及信息系統(tǒng)自身的局限性會(huì)導(dǎo)致信息系統(tǒng)的發(fā)展過(guò)程中會(huì)受到一些因素的影響��。而且��,在使用的過(guò)程中也會(huì)遇到一些認(rèn)為破壞或者是木馬等方面的破壞。所以��,檔案管理信息化的過(guò)程中會(huì)遇到一些信息安全隱患��,這嚴(yán)重影響信息的安全可靠性��。但是��,隨著時(shí)代的快速發(fā)展��,人們?cè)诓粩嗟奶剿骱脱芯糠乐剐畔⑾到y(tǒng)遭受到破壞的措施��,而且在殺毒軟件和入侵檢測(cè)技術(shù)方面獲得了很大的成就��。雖然這些檢測(cè)手段的使用在一定程度上可以防止惡意程序?qū)π畔⑾到y(tǒng)的破壞��,但是并沒(méi)有從根本上解決檔案信息系統(tǒng)的安全問(wèn)題��。因?yàn)殡S著信息技術(shù)的發(fā)展��,信息系統(tǒng)受到的威脅也在逐漸向著多樣化的趨勢(shì)發(fā)展變化��,而且更加的隱蔽化��,對(duì)于信息系統(tǒng)的破壞性越來(lái)越大��。隨著信息技術(shù)的廣泛使用��,信息安全的內(nèi)涵也在不斷的豐富��,已經(jīng)不再是最開(kāi)始的單單對(duì)信息保密��,而是向著保證信息的完整性��、準(zhǔn)確性方向發(fā)展��,使檔案信息變得更加的實(shí)用而且具有不可否認(rèn)性��。進(jìn)而實(shí)現(xiàn)多方面的防控實(shí)施技術(shù)��。
二��、檔案管理信息化中安全風(fēng)險(xiǎn)評(píng)估的作用
人們?cè)谶M(jìn)行檔案信息管理的過(guò)程中受到認(rèn)識(shí)能力以及實(shí)踐能力的限制��,不能夠保證信息管理的完全安全性��,所以檔案信息管理系統(tǒng)在一定程度上存在著脆弱性��,這種情況導(dǎo)致在使用檔案信息的過(guò)程中面臨著一些人為或者是自然條件的破壞��,所以檔案信息管理存在安全風(fēng)險(xiǎn)具有必然性��。因此,對(duì)檔案信息管理進(jìn)行安全風(fēng)險(xiǎn)評(píng)估具有重要的意義��,信息安全建設(shè)的前提是��,基于對(duì)綜合成本以及效益的考慮��,采取有效的安全方法對(duì)風(fēng)險(xiǎn)進(jìn)行控制��,保證殘余風(fēng)險(xiǎn)降低在最小的程度��。因?yàn)?�,人們追求?shí)際的信息系統(tǒng)的安全��,是指對(duì)信息系統(tǒng)實(shí)施了風(fēng)險(xiǎn)控制之后��,接受殘余風(fēng)險(xiǎn)的存在��,但是殘余風(fēng)險(xiǎn)應(yīng)該控制在最小的程度��。所以��,要保證檔案信息系統(tǒng)的安全可靠性��,就應(yīng)該實(shí)施全面��、系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估��,將安全風(fēng)險(xiǎn)評(píng)估的思想以及觀念貫穿到整個(gè)信息管理的過(guò)程中��。通常情況下��,信息安全風(fēng)險(xiǎn)主要指的是在整個(gè)信息管理的過(guò)程中��,信息的安全屬性所面臨的危害發(fā)生的可能性��。產(chǎn)生這種可能性的原因是系統(tǒng)脆弱性��、人為因素或者是其他的因素造成的威脅��。用來(lái)衡量安全事件發(fā)生的概率以及造成的影響的指標(biāo)主要有兩種��。然而��,危害的程度并不只取決于安全事件發(fā)展的概率��,還與其造成的后果的嚴(yán)重性的大小有著直接的關(guān)系��。安全風(fēng)險(xiǎn)評(píng)估具有很多的特點(diǎn)��。首先��,它具有決策支持性��,這個(gè)特點(diǎn)在整個(gè)安全風(fēng)險(xiǎn)評(píng)估周期中都存在��,只是內(nèi)容不相同��,因?yàn)榘踩u(píng)估的真正目的是供給安全管理支持以及服務(wù)的��。在系統(tǒng)生命周期中都存在著安全隱患��,所以整個(gè)生命周期中都離不開(kāi)安全風(fēng)險(xiǎn)評(píng)估��。其次��,比較分析性��,這個(gè)特點(diǎn)主要體現(xiàn)在對(duì)安全管理和運(yùn)營(yíng)的不同的方案能夠進(jìn)行有效的比較以及分析��;能夠?qū)Σ煌尘扒闆r下使用的科學(xué)技術(shù)以及資金投入進(jìn)行比較分析��;還能夠?qū)Ξa(chǎn)生的結(jié)果進(jìn)行有效的比較分析��。最后��,前提假設(shè)性��,對(duì)檔案信息進(jìn)行管理的過(guò)程中所使用的風(fēng)險(xiǎn)評(píng)估會(huì)涉及到各種評(píng)估數(shù)據(jù)��,這些數(shù)據(jù)能夠被分為兩種��。其中一種數(shù)據(jù)的功能是對(duì)檔案信息實(shí)際情況的描述��,通過(guò)這些數(shù)據(jù)就可以了解整個(gè)檔案管理信息中的情況��;另一種數(shù)據(jù)是指預(yù)測(cè)數(shù)據(jù)��,主要是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的��,因?yàn)樵谛畔⒐芾淼恼麄€(gè)過(guò)程中��,都要對(duì)一些未知的情況進(jìn)行事先的預(yù)測(cè)��,然后做出必要的假設(shè)��,得出相關(guān)的預(yù)測(cè)數(shù)據(jù)��,再根據(jù)這些預(yù)測(cè)數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估��。
三��、檔案管理不同階段
進(jìn)行不同的風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)的開(kāi)發(fā)涉及到很多的模型��,而且隨著科學(xué)技術(shù)的快速發(fā)展,各種模型都在不斷的升級(jí)��。從最早期的線性模型到螺旋式模型再到后來(lái)的并發(fā)式的模型��,這些系統(tǒng)模型的開(kāi)發(fā)都是為了滿足不同的系統(tǒng)需求��。然而��,風(fēng)險(xiǎn)評(píng)估卻存在于整個(gè)信息系統(tǒng)的生命周期中��,但是由于信息系統(tǒng)的生命周期中有很多的階段��,而且每一個(gè)階段活動(dòng)的內(nèi)容都有所差別��,因此信息管理的安全目標(biāo)以及對(duì)安全風(fēng)險(xiǎn)評(píng)估的要求也是不同的��。
(一)對(duì)于分析階段的風(fēng)險(xiǎn)評(píng)估��。其真正的目的是為了實(shí)現(xiàn)規(guī)劃中的檔案信息系統(tǒng)安全風(fēng)險(xiǎn)的獲得��,這樣才能夠根據(jù)獲得的信息來(lái)滿足安全建設(shè)的具體需求��。分析階段的風(fēng)險(xiǎn)評(píng)估的重點(diǎn)是抓住系統(tǒng)初期的安全風(fēng)險(xiǎn)評(píng)估��,從而有效的滿足對(duì)安全性的需求��,然后從宏觀的角度來(lái)分析和評(píng)估檔案信息管理系統(tǒng)中可能存在的危險(xiǎn)因素��。
(二)設(shè)計(jì)階段的安全風(fēng)險(xiǎn)評(píng)估��。這個(gè)階段涉及到的安全目標(biāo)比較多��,所以能夠有效的確定安全目標(biāo)具有重要的意義��。應(yīng)該采取有效的措施��,通過(guò)安全風(fēng)險(xiǎn)評(píng)估��,保證檔案信息管理系統(tǒng)中安全目標(biāo)的明確��。
(三)集成實(shí)現(xiàn)階段��。這個(gè)階段的主要目的是要驗(yàn)證系統(tǒng)安全要求的實(shí)現(xiàn)效果與符合性是否一致��,所以��,應(yīng)該通過(guò)有效的風(fēng)險(xiǎn)評(píng)估對(duì)其進(jìn)行驗(yàn)證��。需要注意的是��,在進(jìn)行資產(chǎn)評(píng)估的時(shí)候��,如果在分析階段以及設(shè)計(jì)階段已經(jīng)對(duì)資產(chǎn)進(jìn)行了評(píng)估,那么在這個(gè)階段就不需要再重新做資產(chǎn)評(píng)估的工作��,防止重復(fù)性工作的發(fā)生��。所以��,可以直接用前兩個(gè)階段得出的資產(chǎn)評(píng)估的結(jié)果��,但是如果在分析階段和設(shè)計(jì)階段都沒(méi)有進(jìn)行資產(chǎn)評(píng)估��,則需要在此階段先進(jìn)行這項(xiàng)工作��。威脅評(píng)估依然著重威脅環(huán)境��,而且要對(duì)真實(shí)環(huán)境中的具體威脅進(jìn)行有效的分析��。除此之外��,還應(yīng)該對(duì)檔案信息管理系統(tǒng)進(jìn)行實(shí)際環(huán)境的脆弱性的有效分析��,重點(diǎn)放在信息的運(yùn)行環(huán)境以及管理環(huán)境中的脆弱性的分析��。
(四)運(yùn)行維護(hù)階段��。對(duì)檔案管理系統(tǒng)不斷的進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估��,從而確保系統(tǒng)的安全��、可靠性��,這樣才能夠保證檔案管理系統(tǒng)在整個(gè)生命周期中都處于安全的環(huán)境��。
四��、檔案信息安全風(fēng)險(xiǎn)評(píng)估存在的不足
我國(guó)在檔案信息安全風(fēng)險(xiǎn)評(píng)估方面已經(jīng)取得了很大的成就��,積累了一些寶貴的經(jīng)驗(yàn)��。但是��,由于我國(guó)檔案信息安全風(fēng)險(xiǎn)評(píng)估工作起步晚��,還存在一些不足之處��,主要表現(xiàn)在以下幾點(diǎn)��。
(一)管理層對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估缺乏一定的重視��,而且缺少一些專業(yè)評(píng)估技術(shù)人員��。當(dāng)前評(píng)估技術(shù)人員的專業(yè)技能不高也是現(xiàn)階段存在的問(wèn)題。所以��,應(yīng)該對(duì)評(píng)估人員進(jìn)行定期的培訓(xùn)��,提高他們的專業(yè)技能��,保證風(fēng)險(xiǎn)評(píng)估工作有效的進(jìn)行��,同時(shí)還應(yīng)該采取有效的措施來(lái)提高工作人員對(duì)于風(fēng)險(xiǎn)評(píng)估的重視��,是檔案管理信息化環(huán)境處于安全的運(yùn)行環(huán)境中��。
(二)風(fēng)險(xiǎn)評(píng)估的工作流程還不夠完善��,而且一些風(fēng)險(xiǎn)技術(shù)標(biāo)準(zhǔn)也需要進(jìn)一步的更新��。檔案信息化管理的風(fēng)險(xiǎn)評(píng)估��,不僅僅是一個(gè)管理的過(guò)程��,也是一個(gè)技術(shù)性的過(guò)程��,所以應(yīng)該根據(jù)實(shí)際情況來(lái)科學(xué)合理地制定工作流程和技術(shù)標(biāo)準(zhǔn)��。如果所有的環(huán)境和情況都套用一種工作流程和一個(gè)技術(shù)標(biāo)準(zhǔn)��,就會(huì)導(dǎo)致不匹配現(xiàn)象的出現(xiàn)��,不僅影響風(fēng)險(xiǎn)評(píng)估的效果��,而且在一定程度上還影響信息系統(tǒng)的安全性��。
(三)評(píng)估工具的發(fā)展比較滯后��,隨著科學(xué)技術(shù)的快速發(fā)展��,信息安全漏洞會(huì)逐漸顯露出來(lái)��,所以對(duì)信息系統(tǒng)的威脅逐漸增加��。應(yīng)該采用先進(jìn)的評(píng)估工具對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估��,從而滿足檔案管理信息化的需求��。
五��、結(jié)語(yǔ)
第3篇
從企業(yè)內(nèi)部業(yè)務(wù)出發(fā),優(yōu)化信息安全風(fēng)險(xiǎn)評(píng)估基本模型���,設(shè)計(jì)了一個(gè)企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估實(shí)施模型,并深入分析了該模型的內(nèi)容�,使其適用于企業(yè)依托自身力量來(lái)有效開(kāi)展自評(píng)估活動(dòng),從而提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力。
關(guān)鍵詞:
信息安全��;自評(píng)估����;風(fēng)險(xiǎn)評(píng)估;模型設(shè)計(jì)
企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估主要有2種模式��,即他評(píng)估和自評(píng)估��。相比較而言�����,自評(píng)估展現(xiàn)出越來(lái)越多的優(yōu)點(diǎn)�����,比如外部依賴性小���、投入費(fèi)用低����、評(píng)估周期短��、次生風(fēng)險(xiǎn)低和可以提高內(nèi)部安全意識(shí)等。除此之外��,信息安全風(fēng)險(xiǎn)的動(dòng)態(tài)化決定信息安全評(píng)估工作應(yīng)是長(zhǎng)期持續(xù)的��,大部分的內(nèi)部信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容企業(yè)可采用自評(píng)估方式來(lái)完成���。但信息安全風(fēng)險(xiǎn)評(píng)估的專業(yè)性、技術(shù)性��、標(biāo)準(zhǔn)性比較高���,企業(yè)難以掌握復(fù)雜的評(píng)估技術(shù)和方法��。本文以企業(yè)業(yè)務(wù)為出發(fā)點(diǎn)�����,對(duì)信息安全風(fēng)險(xiǎn)評(píng)估基本模型進(jìn)行優(yōu)化��,設(shè)計(jì)了一個(gè)更適用于企業(yè)依托自身力量來(lái)有效開(kāi)展自評(píng)估的實(shí)施模型����,以提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力���。
1信息安全風(fēng)險(xiǎn)評(píng)估基本模型
對(duì)風(fēng)險(xiǎn)評(píng)估模型的研究一直是信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的研究熱點(diǎn)之一��。風(fēng)險(xiǎn)評(píng)估基本模型是一種基于資產(chǎn)��、威脅和脆弱性的信息安全風(fēng)險(xiǎn)評(píng)估模型�。其中,資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)���,估價(jià)準(zhǔn)則依賴于對(duì)其影響范圍的分析�;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性和威脅嚴(yán)重程度的評(píng)估�;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估,也是對(duì)資產(chǎn)被威脅��、利用成功的可能性的評(píng)估���。信息安全風(fēng)險(xiǎn)評(píng)估基本模型的評(píng)估過(guò)程就是對(duì)資產(chǎn)信息���、威脅信息和脆弱性信息進(jìn)行綜合分析評(píng)估并且生成風(fēng)險(xiǎn)信息的過(guò)程,包含確定評(píng)估范圍��、資產(chǎn)識(shí)別階段���、安全威脅/脆弱性評(píng)估��、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理等階段��?��;谛畔踩L(fēng)險(xiǎn)評(píng)估基本模型��,很多學(xué)者從不同角度和目的做了優(yōu)化和完善��。但是,信息安全風(fēng)險(xiǎn)評(píng)估模型的研究還處于探索和完善階段����,已有的研究存在一些缺陷,主要表現(xiàn)為以下3點(diǎn):①缺乏對(duì)評(píng)估內(nèi)容的逐層細(xì)化���,難以評(píng)價(jià)和量化各要素��,可操作性比較差���;②缺乏對(duì)風(fēng)險(xiǎn)評(píng)估基本要素屬性的綜合思考,難以體現(xiàn)評(píng)估要素與企業(yè)業(yè)務(wù)的關(guān)系�;③大部分模型比較復(fù)雜,評(píng)估方法和流程操作起來(lái)費(fèi)時(shí)費(fèi)力���,企業(yè)難以采用��。
2基于基本模型的企業(yè)信息安全自評(píng)估模型
針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估模型的不足���,本文綜合考慮企業(yè)自身的業(yè)務(wù)和內(nèi)部約束條件��,在基本模型和相關(guān)研究成果的基礎(chǔ)上�,提出更加簡(jiǎn)單��、有效的企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型�����。本文認(rèn)為��,企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型應(yīng)遵循自主����、簡(jiǎn)單、規(guī)范性�����、可行性和可擴(kuò)展性的原則���,基本思路是從企業(yè)業(yè)務(wù)出發(fā)���,多角度研究自評(píng)估模型中資產(chǎn)���、威脅、脆弱性的關(guān)系和指標(biāo)����,應(yīng)用相關(guān)統(tǒng)計(jì)分析方法統(tǒng)計(jì),運(yùn)用層次分析法(AHP)評(píng)價(jià)�����、量化相關(guān)要素和風(fēng)險(xiǎn)�����,最終構(gòu)建一個(gè)科學(xué)����、合理��、可操作的企業(yè)自評(píng)估模型�����。在此過(guò)程中,需要解決3方面的問(wèn)題:①明確評(píng)估的對(duì)象���、內(nèi)容和流程����;②構(gòu)建評(píng)價(jià)方法�����,統(tǒng)一評(píng)估和度量風(fēng)險(xiǎn)基本要素���;③統(tǒng)一不同層面�����、角度的評(píng)估結(jié)果����。
2.1基于AHP的信息安全風(fēng)險(xiǎn)要素度量方法
AHP(AnalyticHierarchyProcess���,層次分析法)是一種定性分析與定量分析相結(jié)合的多目標(biāo)決策分析方法�����,其基本步驟是:①分析問(wèn)題����,建立遞階結(jié)構(gòu)(評(píng)價(jià)模型);②構(gòu)造比較判斷矩陣�����;③層次單排序��;④一致性檢驗(yàn)�;⑤層次總排序與一致性檢驗(yàn);⑥選擇最優(yōu)的解決方案��。資產(chǎn)��、威脅�����、脆弱性作為信息安全風(fēng)險(xiǎn)自評(píng)估模型的3個(gè)基本要素����,需要分別識(shí)別和分析,并提煉出各自的評(píng)價(jià)指標(biāo)��。本文結(jié)合已有的理論和實(shí)踐成果��,從自主性��、簡(jiǎn)單性��、可行性和科學(xué)性原則出發(fā)��,基于相關(guān)標(biāo)準(zhǔn)��、企業(yè)環(huán)境和企業(yè)業(yè)務(wù)影響分析��,提出信息資產(chǎn)的評(píng)價(jià)因素應(yīng)包含經(jīng)濟(jì)��、名譽(yù)��、法律法規(guī)��、業(yè)務(wù)運(yùn)營(yíng)��、社會(huì)秩序��、商業(yè)利益和個(gè)人利益,等等��,威脅可能性評(píng)價(jià)指標(biāo)應(yīng)包含威脅攻擊力��、威脅動(dòng)機(jī)��、資產(chǎn)誘因和威脅頻率等��,脆弱性嚴(yán)重程度賦值的評(píng)價(jià)因素應(yīng)包含可用性��、機(jī)密性和完整性��。根據(jù)資產(chǎn)受到損害時(shí)對(duì)其評(píng)價(jià)因素帶來(lái)的損失為資產(chǎn)價(jià)值賦值(比如從1~4取值)��,數(shù)值越大��,表明資產(chǎn)價(jià)值越高��。得到各評(píng)價(jià)因素的綜合分值后��,分值最大的為該資產(chǎn)的價(jià)值��,即資產(chǎn)價(jià)值為A=max(i)��。根據(jù)威脅評(píng)價(jià)指標(biāo)和脆弱性評(píng)價(jià)因素��,利用AHP方法建立威脅��、脆弱性評(píng)價(jià)體系��,體系由目標(biāo)層��、準(zhǔn)則層和指標(biāo)層(方案層)構(gòu)成��。為了方便對(duì)不同威脅發(fā)生可能性概率��、不同脆弱性的嚴(yán)重程度進(jìn)行類比��、度量��,使用統(tǒng)一的度量標(biāo)準(zhǔn)��,采用相對(duì)等級(jí)的方式處理評(píng)價(jià)結(jié)果(比如從1~4取值)��,數(shù)值越大��,威脅發(fā)生的可能性越高��,帶來(lái)的損害越大��。通過(guò)AHP用數(shù)量形式表達(dá)和處理個(gè)人主觀判斷結(jié)果��,采用專家和團(tuán)隊(duì)評(píng)分進(jìn)一步比較各要素的重要性,并做一致性檢驗(yàn)��,最終確定各要素的值��。
2.2企業(yè)信息安全自評(píng)估風(fēng)險(xiǎn)計(jì)算
在對(duì)資產(chǎn)價(jià)值��、威脅��、脆弱性分析和量化后��,還要確定各要素之間的組合方式和具體的計(jì)算方法��?�!缎畔踩L(fēng)險(xiǎn)評(píng)估規(guī)范》(2007)對(duì)風(fēng)險(xiǎn)值的計(jì)算提出了如下函數(shù):風(fēng)險(xiǎn)值=R(A��,T��,V)=R(L(T��,V)��,F(xiàn)(Ia��,Va)).(1)式(1)中:R為安全風(fēng)險(xiǎn)計(jì)算函數(shù)��;A為資產(chǎn);T為威脅��;V為脆弱性��;L為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性��;F為安全事件發(fā)生后造成的損失��;Ia為安全事件所作用的資產(chǎn)價(jià)值�;Va為脆弱性嚴(yán)重程度�。信息安全風(fēng)險(xiǎn)值的計(jì)算方法主要有矩陣法、相乘法和預(yù)先價(jià)值矩陣查表法等���,并且可以將多種方法結(jié)合使用��。因?yàn)橄喑朔ú僮骱?jiǎn)單�,所以����,在風(fēng)險(xiǎn)分析中的應(yīng)用比較廣泛。該方法是一種定量的計(jì)算方法����,主要思路是利用2個(gè)相關(guān)要素值的乘積計(jì)算出結(jié)果要素的值�����。按照簡(jiǎn)單性��、科學(xué)性原則�����,對(duì)于企業(yè)自評(píng)估��,本文認(rèn)為���,相乘法比較適合企業(yè)使用,但不限于該方法����。根據(jù)相乘法,企業(yè)信息安全風(fēng)險(xiǎn)值的計(jì)算過(guò)程是:①計(jì)算威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性�����,即L=L(T���,V)=T×V���;②計(jì)算安全事件發(fā)生后造成的損失�����,即F=F(Ia,Va)=Ia×Va�;③計(jì)算風(fēng)險(xiǎn)值,即R=R(L��,F(xiàn))=L×F.
2.3企業(yè)信息安全自評(píng)估模型和流程設(shè)計(jì)
企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估的基本目的是依據(jù)企業(yè)自身業(yè)務(wù)�����,識(shí)別出信息系統(tǒng)中存在的主要安全風(fēng)險(xiǎn)��,并排列優(yōu)先級(jí)��,為風(fēng)險(xiǎn)信息計(jì)算提供數(shù)據(jù)支撐��,進(jìn)而為提出風(fēng)險(xiǎn)應(yīng)對(duì)措施提供建議���?����;谏鲜龇椒?�,本文提出了企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型���,如圖1所示���。企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型的實(shí)施分為范圍確定、資產(chǎn)識(shí)別與量化�、威脅分析、脆弱性分析��、風(fēng)險(xiǎn)分析與計(jì)算�、風(fēng)險(xiǎn)應(yīng)對(duì)建議6個(gè)階段,每個(gè)階段的具體任務(wù)如圖2所示�����。本文提出的自評(píng)估模型綜合了企業(yè)自評(píng)估的約束條件���、風(fēng)險(xiǎn)評(píng)估的基本原理��、關(guān)鍵環(huán)節(jié)與流程����、基本要素度量等,具有以下5個(gè)特點(diǎn):①模型提供了統(tǒng)一的資產(chǎn)���、威脅��、脆弱性3個(gè)基本要素的度量和評(píng)價(jià)方法���,依據(jù)模型中的評(píng)價(jià)指標(biāo)可以進(jìn)行量化和排序。②模型將企業(yè)業(yè)務(wù)與風(fēng)險(xiǎn)評(píng)估結(jié)合起來(lái)����,體現(xiàn)了IT服務(wù)企業(yè)��、服務(wù)業(yè)務(wù)的理念�����,在一定程度上反映出了信息安全風(fēng)險(xiǎn)評(píng)估對(duì)業(yè)務(wù)的影響程度和對(duì)企業(yè)的價(jià)值��。③模型滿足信息安全的動(dòng)態(tài)性要求���,適應(yīng)企業(yè)業(yè)務(wù)不斷發(fā)展和調(diào)整的需要��。當(dāng)業(yè)務(wù)調(diào)整時(shí)����,企業(yè)僅需分析業(yè)務(wù)信息流,識(shí)別出相關(guān)資產(chǎn)��、威脅和脆弱性等�����。④模型滿足信息安全的持續(xù)性要求�,企業(yè)可建立相關(guān)制度,將自評(píng)估設(shè)立為日常性工作����。當(dāng)業(yè)務(wù)無(wú)法調(diào)整時(shí),自評(píng)估活動(dòng)僅需識(shí)別和分析新的脆弱性和威脅信息��,從而節(jié)省大量資源�����。⑤模型具有較強(qiáng)的適應(yīng)性�����,適用于不同類型的企業(yè),企業(yè)可根據(jù)實(shí)際情況裁減和優(yōu)化���,根據(jù)各自的偏好選擇風(fēng)險(xiǎn)計(jì)算方法�。
3結(jié)束語(yǔ)
第4篇
關(guān)鍵詞:信息安全��;風(fēng)險(xiǎn)評(píng)估�;脆弱性;威脅
1.引言
隨著信息技術(shù)的飛速發(fā)展����,關(guān)系國(guó)計(jì)民生的關(guān)鍵信息資源的規(guī)模越來(lái)越大,信息系統(tǒng)的復(fù)雜程度越來(lái)越高�����,保障信息資源�����、信息系統(tǒng)的安全是國(guó)民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要�。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度����,運(yùn)用科學(xué)的分析方法和手段,系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度��,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施��,以防范和化解風(fēng)險(xiǎn)���,或者將殘余風(fēng)險(xiǎn)控制在可接受的水平���,從而最大限度地保障網(wǎng)絡(luò)與信息安全。
2��、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析
“網(wǎng)絡(luò)信息的安全”從狹義的字面上來(lái)講就是網(wǎng)絡(luò)上各種信息的安全�����,而從廣義的角度考慮���,還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件���、軟件、數(shù)據(jù)以及數(shù)據(jù)處理�、存儲(chǔ)�、傳輸?shù)仁褂眠^(guò)程的安全��。
網(wǎng)絡(luò)信息安全具有如下6個(gè)特征:(1)保密性�。即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w��。(2)完整性���。即信息未經(jīng)授權(quán)不能被修改�����、破壞���。(3)可用性。即能保證合法的用戶正常訪問(wèn)相關(guān)的信息���。(4)可控性���。即信息的內(nèi)容及傳播過(guò)程能夠被有效地合法控制��。
(5)可審查性���。即信息的使用過(guò)程都有相關(guān)的記錄可供事后查詢核對(duì)��。網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛����,根據(jù)不同的分類方法可以有多種不同的分類。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問(wèn)題的復(fù)雜性���。
而通過(guò)有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析��,就能夠?yàn)榇藦?fù)雜問(wèn)題的解決找到一個(gè)考慮問(wèn)題的立足點(diǎn)���,能夠?qū)?fù)雜的問(wèn)題量化,同時(shí)���,也為能通過(guò)其他方法如人工智能網(wǎng)絡(luò)方法解決問(wèn)題提供依據(jù)和基礎(chǔ)����。
網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類:(1)自然界因素���,如地震��、火災(zāi)�、風(fēng)災(zāi)���、水災(zāi)����、雷電等;(2)社會(huì)因素���,主要是人類社會(huì)的各種活動(dòng)��,如暴力��、戰(zhàn)爭(zhēng)���、盜竊等;(3)網(wǎng)絡(luò)硬件的因素�,如機(jī)房包括交換機(jī)、路由器��、服務(wù)器等受電力�����、溫度�����、濕度�����、灰塵���、電磁干擾等影響��;(4)軟件的因素���,包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)���、各種服務(wù)器的數(shù)據(jù)庫(kù)配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件����、防火墻���、工具軟件等�;(5)人為的因素��,主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來(lái)的影響因素���,如操作失誤���、數(shù)據(jù)泄露��、惡意代碼��、拒絕服務(wù)�、騙取口令���、木馬攻擊等�;(6)其他因素���,包括政府職能部門的監(jiān)管因素�、有關(guān)部門對(duì)相關(guān)法律法規(guī)立法因素��、教育部門對(duì)相關(guān)知識(shí)的培訓(xùn)因素��、宣傳部門對(duì)相關(guān)安全內(nèi)容的宣傳因素等���。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響�����。
3��、安全風(fēng)險(xiǎn)評(píng)估方法
3.1定制個(gè)性化的評(píng)估方法
雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程�����,但在實(shí)踐過(guò)程中����,不應(yīng)只是這些方法的套用和拷貝��,而是以他們作為參考�,根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力,進(jìn)行“基因”重組��,定制個(gè)性化的評(píng)估方法�����,使得評(píng)估服務(wù)具有可裁剪性和靈活性��。評(píng)估種類一般有整體評(píng)估��、IT安全評(píng)估、滲透測(cè)試��、邊界評(píng)估���、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估����、脆弱性掃描����、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等��。
3.2安全整體框架的設(shè)計(jì)
風(fēng)險(xiǎn)評(píng)估的目的��,不僅在于明確風(fēng)險(xiǎn)�����,更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)�。作為評(píng)估直接輸出,用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架���。但是由于不同企業(yè)環(huán)境差異�����、需求差異����,加上在操作層面可參考的模板很少,使得整體框架應(yīng)用較少���。但是,企業(yè)至少應(yīng)該完成近期1~2年內(nèi)框架���,這樣才能做到有律可依����。
3.3多用戶決策評(píng)估
不同層面的用戶能看到不同的問(wèn)題�����,要全面了解風(fēng)險(xiǎn)���,必須進(jìn)行多用戶溝通評(píng)估�。將評(píng)估過(guò)程作為多用戶“決策”過(guò)程���,對(duì)于了解風(fēng)險(xiǎn)����、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)��、落實(shí)行動(dòng)�����,具有極大的意義����。事實(shí)證明,多用戶參與的效果非常明顯���。多用戶“決策”評(píng)估���,也需要一個(gè)具體的流程和方法。
3.4敏感性分析
由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)�����,使得風(fēng)險(xiǎn)越來(lái)越隱蔽��。要提高評(píng)估效果,必須進(jìn)行深入關(guān)聯(lián)分析����,比如對(duì)一個(gè)老漏洞,不是簡(jiǎn)單地分析它的影響和解決措施���,而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞�,找出病“根”��,開(kāi)出有效的“處方”��。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫(kù)支撐���,同時(shí)要求評(píng)估者具有敏銳的分析能力。
3.5評(píng)估結(jié)果管理
安全風(fēng)險(xiǎn)評(píng)估的輸出�����,不應(yīng)是文檔的堆砌���,而是一套能夠進(jìn)行記錄��、管理的系統(tǒng)��。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng)�����,但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)���。企業(yè)需要這樣的評(píng)估管理系統(tǒng)���,使用它來(lái)指導(dǎo)評(píng)估過(guò)程,管理評(píng)估結(jié)果�,以便在管理層面提高評(píng)估效果。
4�����、風(fēng)險(xiǎn)評(píng)估的過(guò)程
4.1前期準(zhǔn)備階段
主要任務(wù)是明確評(píng)估目標(biāo)���,確定評(píng)估所涉及的業(yè)務(wù)范圍��,簽署相關(guān)合同及協(xié)議����,接收被評(píng)估對(duì)象已存在的相關(guān)資料�����。展開(kāi)對(duì)被評(píng)估對(duì)象的調(diào)查研究工作。
4.2中期現(xiàn)場(chǎng)階段
編寫(xiě)測(cè)評(píng)方案����,準(zhǔn)備現(xiàn)場(chǎng)測(cè)試表、管理問(wèn)卷�,展開(kāi)現(xiàn)場(chǎng)階段的測(cè)試和調(diào)查研究階段。
4.3后期評(píng)估階段
撰寫(xiě)系統(tǒng)測(cè)試報(bào)告���。進(jìn)行補(bǔ)充調(diào)查研究����,評(píng)估組依據(jù)系統(tǒng)測(cè)試報(bào)告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告���。
5.風(fēng)險(xiǎn)評(píng)估的錯(cuò)誤理解
(1)
不能把最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告認(rèn)為是結(jié)果唯一。
(2)不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)所有的安全問(wèn)題�。
(3)
不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以一勞永逸的解決安全問(wèn)題。
(4)不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是漏洞掃描��。
(5)不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是IT部門的工作���,與其它部門無(wú)關(guān)��。
(6)
不能認(rèn)為風(fēng)險(xiǎn)評(píng)估是對(duì)所有信息資產(chǎn)都進(jìn)行評(píng)估��。
第5篇
關(guān)鍵詞:電子商務(wù)����;信息安全;風(fēng)險(xiǎn)評(píng)估���;對(duì)策
基金項(xiàng)目:鄭州科技學(xué)院大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目:電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)及應(yīng)用(編號(hào):DCY2019007)
1.引言
電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ)����,以商城消費(fèi)者產(chǎn)品物流為構(gòu)成要素進(jìn)行的電子商務(wù)活動(dòng)�����。當(dāng)電子商務(wù)相關(guān)部門或人員在進(jìn)行項(xiàng)目開(kāi)發(fā)時(shí)�,擁有一套信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)可以幫助其采用科學(xué)合理的方法對(duì)潛在威脅進(jìn)行分析并保證經(jīng)濟(jì)系統(tǒng)的安全。所以將信息安全技術(shù)與現(xiàn)代化新興技術(shù)結(jié)合����,將為我們打造一個(gè)更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。
2.電子商務(wù)系統(tǒng)中存在的信息安全問(wèn)題及現(xiàn)狀
一般來(lái)說(shuō)�,電子商務(wù)的信息安全是指在電子商務(wù)交易的過(guò)程中雙方使用各種技術(shù)和法律手段等確保交易不會(huì)因?yàn)橐馔猓瑦阂饣蛘吲哆@些不利要求而受到損害的信息安全。在21世紀(jì)初葉��,我國(guó)金融系統(tǒng)中的計(jì)算機(jī)犯罪率一直在不斷地增加�����,我國(guó)金融網(wǎng)絡(luò)信息安全形勢(shì)非常嚴(yán)峻�����,需要加強(qiáng)改善���。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問(wèn)題做一個(gè)簡(jiǎn)要介紹��,主要涉及以下幾個(gè)方面:
(1)由于編寫(xiě)的電子商務(wù)系統(tǒng)軟件可以使用不同的形式��,因此在實(shí)際應(yīng)用過(guò)程中難以避免的會(huì)留下安全漏洞�����。例如���,網(wǎng)絡(luò)操作系統(tǒng)本身會(huì)存在一些安全問(wèn)題��,例如非法訪問(wèn)I/0,這些不完全的調(diào)解和混亂的訪問(wèn)控制會(huì)造成數(shù)據(jù)庫(kù)安全漏洞�,而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開(kāi)始設(shè)計(jì)之前就沒(méi)有考慮TCP/IP通信協(xié)議的安全性,這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞���。此外信息共享處理帶來(lái)也存在風(fēng)險(xiǎn)��。在信息的傳遞過(guò)程中��,需要不斷地對(duì)信息源進(jìn)行加工和重現(xiàn)�����,截取有用信息��,不可避免會(huì)出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險(xiǎn)���。尤其是在當(dāng)下“社交+商務(wù)”的模式下,一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬(wàn)次或者更多�,一旦在信息轉(zhuǎn)載中出現(xiàn)誤差,影響非常大��,風(fēng)險(xiǎn)應(yīng)當(dāng)給予重視�����。
(2)隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,計(jì)算機(jī)病毒帶來(lái)的問(wèn)題越來(lái)越廣泛����,壓縮文件,電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑����,因?yàn)檫@些病毒的種類非常多樣化,破壞性極強(qiáng)��,使得計(jì)算機(jī)病毒的傳播速度大大加快了��。近年來(lái)��,新病毒種類的數(shù)量迅速增加��,互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介����。這些病毒可以通過(guò)網(wǎng)絡(luò)大量傳播任何粗心大意都會(huì)造成無(wú)法彌補(bǔ)的經(jīng)濟(jì)損失。此外還有信息傳遞過(guò)程所帶來(lái)的風(fēng)險(xiǎn)��。信息是一種重要的資源�,良好的流動(dòng)性能實(shí)現(xiàn)信息價(jià)值的最大化,但是在信息的傳遞過(guò)程中需要經(jīng)過(guò)許多路徑�,而在這過(guò)程中往往存在一些不安全因素�,給信息安全帶來(lái)一定的風(fēng)險(xiǎn)����。
(3)當(dāng)前的黑客攻擊��,除了計(jì)算機(jī)病毒的傳播外���,黑容的惡意行為也越來(lái)越猖狂�����。特洛伊木馬使黑容可以使用計(jì)算機(jī)病毒從而變得更加有目的性��,使得計(jì)算機(jī)記錄的登錄信息被特洛伊木馬程序惡意篡改���,導(dǎo)致很多重要信息、文件�����,甚至是金錢被盜��。
(4)由人為因素造成的電子商務(wù)公司的安全問(wèn)題�,大部分保密工作是通過(guò)員工的操作來(lái)進(jìn)行的��,這就需要員工具有很好的保密性�,責(zé)任心和責(zé)任感等道德素質(zhì)��。如果員工的責(zé)任心不強(qiáng)��,態(tài)度不正確���,就容易被別人利用����,讓無(wú)關(guān)人員隨意進(jìn)出房間或向他人泄露機(jī)密信息�,可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德�����,可能會(huì)非法超出授權(quán)范圍更改或刪除他人的信息�����,而且還可以利用所學(xué)專業(yè)知識(shí)和工作位置來(lái)竊取用戶密碼和標(biāo)識(shí)符���,進(jìn)行非法出售��。
3.電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估存在的問(wèn)題
經(jīng)過(guò)大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估是當(dāng)前科研工作中噬待解決的問(wèn)題�。目前,國(guó)內(nèi)也有一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用�,但是這些研究都只是簡(jiǎn)單的分析����,包括常用的具有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估工具。評(píng)估矩陣��,問(wèn)卷�����,風(fēng)險(xiǎn)評(píng)估矩陣與問(wèn)卷方法��,專家系統(tǒng)相結(jié)合���。對(duì)于更深層次的探究還需進(jìn)一步努力��。此外����,網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法���,時(shí)間序列模型���,決策樹(shù)方法和回歸模型進(jìn)行����。風(fēng)險(xiǎn)評(píng)估方法���,定性分析主要包括邏輯分析���,Delphi方法,因子分析方法��,歷史比較方法等���。其中��,定量和定性評(píng)估方法相結(jié)合�����,是由模糊層次分析法���,基于D-S證據(jù)理論等的評(píng)估方法組成���。同時(shí)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估還存在一定問(wèn)題,例如隨著網(wǎng)絡(luò)的發(fā)展��,我國(guó)從開(kāi)始的2G邁向4G現(xiàn)在又率先進(jìn)入5G時(shí)代���。其中也出現(xiàn)了各種問(wèn)題����,網(wǎng)民數(shù)量的增加需要迫切提高他們對(duì)信息安全的警惕意識(shí)���。
3.1欠缺對(duì)電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)
當(dāng)前,許多相關(guān)人員對(duì)電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識(shí)�,缺少信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)。因此他們沒(méi)有重視信息安全風(fēng)險(xiǎn)評(píng)估的重要性���,其原因如下��。第一�,公司或單位的風(fēng)險(xiǎn)評(píng)估尚未通過(guò)標(biāo)準(zhǔn)檢驗(yàn)��,培訓(xùn)標(biāo)準(zhǔn)���,信息安全風(fēng)險(xiǎn)評(píng)估工作的研究尚未得到系統(tǒng)的相關(guān)理論��,方法和技術(shù)工具��,這是由于一些信息安全評(píng)估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對(duì)信息評(píng)估風(fēng)險(xiǎn)評(píng)估的重要性的認(rèn)識(shí)不足��,因此自然而然不將此類風(fēng)險(xiǎn)評(píng)估工作包括在當(dāng)前的信息安全系統(tǒng)框架中���。第二��,盡管有許多部門將信息安全工作置于地位重要��,但受到人力���、物力,財(cái)力等方面的限制��,社會(huì)制度的制約��,政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作無(wú)法得到應(yīng)有的重視����。
3.2缺乏信息安全風(fēng)險(xiǎn)評(píng)估方面的專業(yè)技術(shù)人才
首先,信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求非常高,它要求員工具有很高的技術(shù)水平��,現(xiàn)在很多公司都將通用信息用作風(fēng)險(xiǎn)評(píng)估技術(shù)人員�。其次,信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性��,專業(yè)性于一體的工作���,不僅涉及公司的所有業(yè)務(wù)信息����,也涉及人力��,物力和財(cái)力的方方面面���,因此需要各部門之間相互配合,現(xiàn)在大多數(shù)公司僅依靠信息部門�,獨(dú)立的參與信息安全風(fēng)險(xiǎn)評(píng)估毫無(wú)爭(zhēng)議他們要想完成信息安全風(fēng)險(xiǎn)評(píng)估工作是非常艱難的。綜上所述�����,培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估專業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向�����。
3.3風(fēng)險(xiǎn)評(píng)估工具相對(duì)缺乏
當(dāng)前,除專家系統(tǒng)外�����,其他分析工具相對(duì)來(lái)說(shuō)都比較簡(jiǎn)易����,除此之外還缺乏實(shí)用的理論基礎(chǔ)。此外�,這種信息風(fēng)險(xiǎn)評(píng)估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀。表明國(guó)內(nèi)和外部失衡��,在中國(guó)相對(duì)落后����。可見(jiàn)解決信息安全問(wèn)題的關(guān)鍵在于有成熟的風(fēng)險(xiǎn)評(píng)估工具���。
4.防范電子商務(wù)信息安全及風(fēng)險(xiǎn)的建議
4.1增強(qiáng)電子商務(wù)信息安全和風(fēng)險(xiǎn)評(píng)估的意識(shí)
大多數(shù)信息的傳輸和處理���,與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務(wù)���,人員的個(gè)人因素�����,管理因素和環(huán)境存在風(fēng)險(xiǎn)����。主要包括人員的技術(shù)能力,監(jiān)控管理���,安全性���。特別需要做好監(jiān)督審計(jì)公司的工作,確保信息安全風(fēng)險(xiǎn)管理融入實(shí)踐���,充分發(fā)揮內(nèi)部監(jiān)督作用���,促進(jìn)社會(huì)責(zé)任認(rèn)可和實(shí)施信息安全風(fēng)險(xiǎn)管理工作��。電子商務(wù)公司必須對(duì)工人進(jìn)行必要的信息安全知識(shí)教育培訓(xùn)�,了解與之相關(guān)的法律法規(guī),做好對(duì)客戶關(guān)鍵信息的隱秘保護(hù)��。不隨意查看和泄露客戶購(gòu)買信息。
企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時(shí)信息的機(jī)密性和完整性��,加強(qiáng)密鑰管理����,提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力,采取措施避免越權(quán)或?yàn)E用�����,消除用戶在交易中的風(fēng)險(xiǎn)��。在信息安全風(fēng)險(xiǎn)控制中必須由內(nèi)到外地保護(hù)內(nèi)部系統(tǒng)環(huán)境��、網(wǎng)絡(luò)邊界�、骨干網(wǎng)安全。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng)��,并提供全面的安全保障�����。運(yùn)用端到端策略���。對(duì)于移動(dòng)電子商務(wù)中用戶終端設(shè)備種類繁多��,安全環(huán)境復(fù)雜難以控制的問(wèn)題��,必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定�����。通過(guò)人臉識(shí)別���、指紋識(shí)別等技術(shù)有效提高用戶訪問(wèn)身份鑒別能力��,極大地提高賬戶的安全性�,確保數(shù)據(jù)傳輸?shù)陌踩?�,確保交易的真實(shí)有效��。
4.2提供專業(yè)的技術(shù)培訓(xùn)����,提高專業(yè)人員的技能
認(rèn)真選擇第三方合作伙伴,增強(qiáng)信息管理水平�����,加強(qiáng)績(jī)效監(jiān)督管理���。樹(shù)立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障,培養(yǎng)員工信息安全意識(shí)�,創(chuàng)造良好信息安全工作氛圍,加強(qiáng)信息安全專業(yè)技術(shù)人員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí)和能力��,通過(guò)大量的實(shí)驗(yàn)發(fā)現(xiàn)可以通過(guò)下列方法培訓(xùn)相關(guān)人員:第一��,定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作����,將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對(duì)信息安全的意識(shí)彌補(bǔ)存在的缺陷���。第二���,對(duì)信息安全部門的員工進(jìn)行專門的技術(shù)培訓(xùn)和指導(dǎo),可通過(guò)模擬分析來(lái)提升技術(shù)���;第三��,公司應(yīng)增加對(duì)技術(shù)資源的投入��,聘請(qǐng)經(jīng)驗(yàn)豐富的專家學(xué)者組成第三方評(píng)估機(jī)構(gòu)�����,引進(jìn)風(fēng)險(xiǎn)評(píng)估設(shè)備���。以備不時(shí)之需�;第四�,公司應(yīng)對(duì)技術(shù)人員進(jìn)行標(biāo)準(zhǔn)化認(rèn)證培訓(xùn),執(zhí)行職業(yè)資格準(zhǔn)入制度��,提高技術(shù)人員的門檻����,納入信息安全風(fēng)險(xiǎn)評(píng)估,技術(shù)人員的全面質(zhì)量保證評(píng)估�����。以上這些方法只是單純就培訓(xùn)方式對(duì)于具體的實(shí)施以及可能遇到的問(wèn)題依然需要研究�����。
4.3提升對(duì)信息安全防范技術(shù)的研究和應(yīng)用
為移動(dòng)數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密以防止泄漏�,采用不同的加密方法來(lái)保護(hù)數(shù)據(jù)安全,進(jìn)行身份認(rèn)證��,數(shù)據(jù)恢復(fù),數(shù)據(jù)加密存儲(chǔ)��,物理隔離���,防火墻,網(wǎng)絡(luò)����,網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)入侵檢測(cè)���,網(wǎng)絡(luò)漏洞掃描��,網(wǎng)絡(luò)設(shè)備備份��,網(wǎng)絡(luò)管理���,專線,實(shí)現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段��,從而提高數(shù)據(jù)庫(kù)的安全性��。同時(shí)提高認(rèn)識(shí)到物理設(shè)施的重要性����,定期維護(hù)物理設(shè)施��。為了監(jiān)測(cè)信息安全和實(shí)施評(píng)估系統(tǒng)�,我們要保證基本硬件和芯片的獨(dú)立在建立獨(dú)立于信息安全的評(píng)估體系中���,國(guó)內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究���,建立創(chuàng)新的電子商務(wù)信息安全與評(píng)估體系。
第6篇
風(fēng)險(xiǎn)評(píng)估是一項(xiàng)周期性工作��,是進(jìn)行風(fēng)險(xiǎn)管理��。由于風(fēng)險(xiǎn)評(píng)估的結(jié)果將直接影響到信息系統(tǒng)防護(hù)措施的選擇��,從而在一定程度上決定了風(fēng)險(xiǎn)管理的成效���。風(fēng)險(xiǎn)評(píng)估可以概括為:①風(fēng)險(xiǎn)評(píng)估是一個(gè)技術(shù)與管理的過(guò)程���。②風(fēng)險(xiǎn)評(píng)估是根據(jù)威脅、脆弱性判斷系統(tǒng)風(fēng)險(xiǎn)的過(guò)程���。③風(fēng)險(xiǎn)評(píng)估貫穿于系統(tǒng)建設(shè)生命周期的各階段��。
2.信息安全風(fēng)險(xiǎn)評(píng)估方法
(1)安全風(fēng)險(xiǎn)評(píng)估���。為確定這種可能性��,需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性��。影響是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來(lái)確定的。風(fēng)險(xiǎn)評(píng)估以現(xiàn)實(shí)系統(tǒng)安全為目的���,按照科學(xué)的程序和方法���,對(duì)系統(tǒng)中的危險(xiǎn)要素進(jìn)行充分的定性、定量分析��,并作出綜合評(píng)價(jià)���,以便針對(duì)存在的問(wèn)題�,根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟(jì)條件����,提出有效的安全措施,消除危險(xiǎn)或?qū)⑽kU(xiǎn)降到最低程度����。即:風(fēng)險(xiǎn)評(píng)估是對(duì)系統(tǒng)存在的固有和潛在危險(xiǎn)及風(fēng)險(xiǎn)性進(jìn)行定性和定量分析�����,得出系統(tǒng)發(fā)送危險(xiǎn)的可能性和程度評(píng)價(jià)�,以尋求最低的事故率�����、最少的損失和最優(yōu)的安全投資效益��。(2)風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容�。①技術(shù)層面。評(píng)估和分析網(wǎng)絡(luò)和主機(jī)上存在的安全技術(shù)風(fēng)險(xiǎn)�,包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備�����、主機(jī)系統(tǒng)��、操作系統(tǒng)��、數(shù)據(jù)庫(kù)�����、應(yīng)用系統(tǒng)等軟、硬件設(shè)備�。②管理層面。從本單位的工作性質(zhì)���、人員組成��、組織結(jié)構(gòu)�、管理制度���、網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障措施及其他運(yùn)行管理規(guī)范等角度,分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷���。(3)風(fēng)險(xiǎn)評(píng)估方法���。①技術(shù)評(píng)估和整體評(píng)估。技術(shù)評(píng)估是指對(duì)組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)���、及時(shí)地檢查�,包括對(duì)組織內(nèi)部計(jì)算環(huán)境的安全性及對(duì)內(nèi)外攻擊脆弱性的完整性攻擊����。整體風(fēng)險(xiǎn)評(píng)估擴(kuò)展了上述技術(shù)評(píng)估的范圍���,著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn),包括內(nèi)部和外部的風(fēng)險(xiǎn)源��、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)����。②定性評(píng)估和定量評(píng)估。定性分析方法是使用最廣泛的風(fēng)險(xiǎn)分析方法�。根據(jù)組織本身歷史事件的統(tǒng)計(jì)記錄等方法確定資產(chǎn)的價(jià)值權(quán)重,威脅發(fā)生的可能性以及如將其賦值為“極低�����、低�、中、高����、極高”。③基于知識(shí)的評(píng)估和基于模型的評(píng)估�����。基于知識(shí)的風(fēng)險(xiǎn)評(píng)估方法主要依靠經(jīng)驗(yàn)進(jìn)行���。經(jīng)驗(yàn)從安全專家處獲取并憑此來(lái)解決相似場(chǎng)景的風(fēng)險(xiǎn)評(píng)估問(wèn)題�。該方法的優(yōu)越性在于能直接提供推薦的保護(hù)措施�����、結(jié)構(gòu)框架和實(shí)施計(jì)劃��。(4)信息安全風(fēng)險(xiǎn)的計(jì)算���。①計(jì)算安全事件發(fā)生的可能性��。根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況,計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性��。具體評(píng)估中�����,應(yīng)綜合攻擊者技術(shù)能力���、脆弱性被利用的難易程度�、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。②計(jì)算安全事件發(fā)生后的損失�。根據(jù)資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度,計(jì)算安全事件一旦發(fā)生后的損失���。部分安全事件損失的發(fā)生不僅針對(duì)該資產(chǎn)本身����,還可能影響業(yè)務(wù)的連續(xù)性�����;不同安全事件的發(fā)生對(duì)組織造成的影響也不一樣�。③計(jì)算風(fēng)險(xiǎn)值。根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失計(jì)算風(fēng)險(xiǎn)值�。
3.風(fēng)險(xiǎn)評(píng)估模型選擇
參考多個(gè)國(guó)際風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),建立了由安全風(fēng)險(xiǎn)管理流程模型�、安全風(fēng)險(xiǎn)關(guān)系模型和安全風(fēng)險(xiǎn)計(jì)算模型共同組成的安全風(fēng)險(xiǎn)模型(見(jiàn)圖1)。(1)安全風(fēng)險(xiǎn)管理過(guò)程模型���。①風(fēng)險(xiǎn)評(píng)估過(guò)程���。信息安全評(píng)估包括技術(shù)評(píng)估和管理評(píng)估。②安全風(fēng)險(xiǎn)報(bào)告��。提交安全風(fēng)險(xiǎn)報(bào)告,獲知安全風(fēng)險(xiǎn)狀況是安全評(píng)估的主要目標(biāo)�����。③風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)�����。根據(jù)單位安全風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估的結(jié)果�,建立本單位的風(fēng)險(xiǎn)管理系統(tǒng),將風(fēng)險(xiǎn)評(píng)估結(jié)果入庫(kù)保存���,為安全管理和問(wèn)題追蹤提供數(shù)據(jù)基礎(chǔ)��。④安全需求分析���。根據(jù)本單位安全風(fēng)險(xiǎn)評(píng)估報(bào)告,確定有效安全需求��。⑤安全建議�。依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果���,提出相關(guān)建議����,協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu),結(jié)合組織本地��、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu)�,為制定完整動(dòng)態(tài)的安全解決方案提供參考。⑥風(fēng)險(xiǎn)控制��。根據(jù)安全風(fēng)險(xiǎn)報(bào)告�����,結(jié)合單位特點(diǎn)�����,針對(duì)面對(duì)的安全風(fēng)險(xiǎn)����,分析將面對(duì)的安全影響,提供相應(yīng)的風(fēng)險(xiǎn)控制建議�。⑦監(jiān)控審核。風(fēng)險(xiǎn)管理過(guò)程中每一個(gè)步驟都需要進(jìn)行監(jiān)控和審核程序���,保證整個(gè)評(píng)估過(guò)程規(guī)范�、安全、可信���。⑧溝通�、咨詢與文檔管理���。整個(gè)風(fēng)險(xiǎn)管理過(guò)程的溝通�����、咨詢是保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目成功實(shí)施的關(guān)鍵因素���。(2)安全風(fēng)險(xiǎn)關(guān)系模型。安全風(fēng)險(xiǎn)關(guān)系模型以風(fēng)險(xiǎn)為中心����,形象地描述了面臨的風(fēng)險(xiǎn)、弱點(diǎn)�、威脅及其相應(yīng)的資產(chǎn)價(jià)值、防護(hù)需求�、保護(hù)措施等動(dòng)態(tài)循環(huán)的復(fù)雜關(guān)系。(3)安全風(fēng)險(xiǎn)計(jì)算模型����。安全風(fēng)險(xiǎn)計(jì)算模型中詳細(xì)、具體地提供了風(fēng)險(xiǎn)計(jì)算的方法��,通過(guò)威脅級(jí)別���、威脅發(fā)生的概率及風(fēng)險(xiǎn)評(píng)估矩陣得出安全風(fēng)險(xiǎn)���。
4.結(jié)語(yǔ)
第7篇
關(guān)鍵詞:鐵路信號(hào) 信號(hào)系統(tǒng) 安全評(píng)估
隨著中國(guó)鐵路近幾年來(lái)的快速發(fā)展,特別是客運(yùn)專線的開(kāi)通、鐵路系統(tǒng)的大面積提速,對(duì)鐵路信號(hào)體系的安全需求也是逐年增高����。一套完整的安全評(píng)估體系不但在技術(shù)的層面上促進(jìn)鐵路安全性能,同時(shí)在法律層面上分擔(dān)了政治和商業(yè)風(fēng)險(xiǎn)。如何構(gòu)建具有中國(guó)特色的,覆蓋率高的��、可靠性高的,立體化的鐵路信號(hào)系統(tǒng)的安全評(píng)估體系,來(lái)確保運(yùn)輸?shù)陌踩?是當(dāng)今一個(gè)艱巨而緊迫的問(wèn)題����。
一、安全評(píng)估的基本概念和相關(guān)的法律規(guī)定
安全評(píng)估是一種對(duì)于保證預(yù)期的鐵路工程項(xiàng)目被準(zhǔn)確定義和實(shí)施起到輔助作用,避免疏忽或過(guò)失的通行做法���。安全評(píng)估機(jī)構(gòu)(ISA)監(jiān)督工程項(xiàng)目的對(duì)于安全的管理活動(dòng),能夠降低鐵路運(yùn)營(yíng)的安全風(fēng)險(xiǎn),減少鐵路工程實(shí)施項(xiàng)目的安全風(fēng)險(xiǎn),對(duì)系統(tǒng)的安全性能做出保證,降低安全授權(quán)機(jī)構(gòu)進(jìn)行安全審批的風(fēng)險(xiǎn)��。
我國(guó)與鐵路相關(guān)的基本法有《鐵路法》���、《鐵路運(yùn)輸安全保護(hù)條例》等���。根據(jù)標(biāo)準(zhǔn)法派生出的許多基本法規(guī)如《鐵路技術(shù)管理規(guī)程》、《信號(hào)維護(hù)規(guī)則》等都規(guī)范了信號(hào)設(shè)備的開(kāi)發(fā)���、應(yīng)用等,并且制定了一系列的技術(shù)條件和技術(shù)標(biāo)準(zhǔn),來(lái)確保鐵路信號(hào)設(shè)備的安全��。
二��、對(duì)鐵路信號(hào)系統(tǒng)進(jìn)行安全評(píng)估的意義
隨著經(jīng)濟(jì)的發(fā)展和列車的大面積提速,對(duì)運(yùn)行安全方面提出了更高的要求��?���?v觀古今鐵路的運(yùn)輸安全與旅客生命財(cái)產(chǎn)是密不可分的,作為國(guó)家重大生命線工程��。在鐵路信號(hào)的可行性研究���、設(shè)備設(shè)計(jì)�、鐵路施工以及驗(yàn)收和運(yùn)營(yíng)時(shí)存在的任何安全隱患,都會(huì)導(dǎo)致國(guó)家和人民的生命財(cái)產(chǎn)安全受到損害�。因此,鐵路信號(hào)系統(tǒng)安全評(píng)估將是也是建設(shè)和諧鐵路的主要手段,實(shí)現(xiàn)鐵路運(yùn)輸安全和預(yù)防相結(jié)合的的具體體現(xiàn)。
三���、我國(guó)鐵路信號(hào)系統(tǒng)安全評(píng)估體系現(xiàn)狀
一直以來(lái),我國(guó)一直將安全評(píng)估體系的建設(shè)放在首位,特別在鐵路信號(hào)系統(tǒng)的研發(fā)�、批量運(yùn)用和工程建設(shè)中。并滿足和國(guó)際接軌的需要,對(duì)系統(tǒng)設(shè)備的一些環(huán)境條件以及安全性指標(biāo)等方面做出了更高的要求,建立了成熟�����、完善的信號(hào)系統(tǒng)設(shè)備��。致力于研究安全評(píng)估管理體系,來(lái)更好的保證鐵路運(yùn)輸?shù)陌踩?��。特別是在鐵路大面積提速之后,鐵道部更是將安全評(píng)估技術(shù)作為重點(diǎn)的研究?jī)?nèi)容,并且投入了大量的資金和人力物力,來(lái)不斷完善。
1���、一方面不斷完善信號(hào)安全評(píng)估系統(tǒng)體系相關(guān)的規(guī)章制度,并且建立了信號(hào)安全動(dòng)態(tài)評(píng)估技術(shù)標(biāo)準(zhǔn)等等��。這些法律法規(guī)的建立為信號(hào)安全評(píng)估工作有序���、深入的開(kāi)展提供了有力的科學(xué)、法律環(huán)境���。
2���、目前鐵路部門使用的信號(hào)安全評(píng)估體系本身具有的可靠性��、可維護(hù)性�����、可用性�����、安全性等等,性能也在逐漸增強(qiáng),功能也在逐步的完善,但對(duì)于鐵路的大面積提速后,實(shí)現(xiàn)我國(guó)鐵路其它線路多種列控設(shè)備的評(píng)估的需要還是具有一定的差距��。
3���、隨著安全評(píng)估系統(tǒng)的的推廣使用,各鐵路局相關(guān)部門和人員對(duì)信號(hào)安全評(píng)估的重要性的認(rèn)識(shí)逐步深入,認(rèn)識(shí)到了評(píng)估系統(tǒng)發(fā)揮的重要作用。信號(hào)評(píng)估系統(tǒng)已經(jīng)被廣為接受,鐵道的各類專職部門��、專職人員開(kāi)展信號(hào)的評(píng)估工作,為信號(hào)安全評(píng)估的進(jìn)一步的發(fā)展打下堅(jiān)定的基礎(chǔ)�����。
四�����、鐵路信號(hào)系統(tǒng)安全評(píng)估的方法研究
1���、預(yù)先危險(xiǎn)性分析法
在鐵路項(xiàng)目的施工之前,為保證系統(tǒng)安全,采用PHA(預(yù)先危險(xiǎn)性分析法)對(duì)鐵路信號(hào)系統(tǒng)進(jìn)行最初步的分析,對(duì)系統(tǒng)中明顯存在的危險(xiǎn)性類別和導(dǎo)致事故的后果進(jìn)行初步分析,包括對(duì)系統(tǒng)設(shè)計(jì)��、實(shí)驗(yàn)���、生產(chǎn)施工等存在各項(xiàng)指標(biāo)進(jìn)行分析,以確定系統(tǒng)存在的潛在的隱患和危險(xiǎn)等級(jí),來(lái)防止危險(xiǎn)發(fā)展成為故障����。PHA大致可以識(shí)別出與系統(tǒng)密切相關(guān)的主要危險(xiǎn),分析出其產(chǎn)生的原因,預(yù)測(cè)假使事故發(fā)生導(dǎo)致的影響,預(yù)測(cè)出危險(xiǎn)的等級(jí),并及時(shí)的提出行之有效的方法來(lái)避免的安全隱患���。PHA通常用于項(xiàng)目的初級(jí)的階段,特別對(duì)潛在的危險(xiǎn)了解相對(duì)較少,并且無(wú)法憑經(jīng)驗(yàn)去判斷的項(xiàng)目,或者應(yīng)用在設(shè)備裝置的開(kāi)發(fā)研究階段都可以很好的應(yīng)用。
2���、專家評(píng)估法
專家評(píng)估法包括有表決法����、評(píng)分法���、安全檢查表法等等,各種使用最多的是SCL(安全檢查表)法��。SCL方法采用的主要形式是預(yù)先把檢查對(duì)象進(jìn)行分解,將一個(gè)大的系統(tǒng)切割成若干子系統(tǒng),逐項(xiàng)檢查項(xiàng)目列表的各項(xiàng)指標(biāo),采用的是提問(wèn)或者進(jìn)行打分的方式�。來(lái)查找系統(tǒng)中各類的元件���、零部件�����、設(shè)備設(shè)施�、物料工件、操作人員���、管理和組織中的危險(xiǎn)有害的因素,并具體進(jìn)行分析,提出對(duì)安全隱患的整改的建議和具體措施�。
3�����、事件樹(shù)分析法
故障是重要設(shè)備出現(xiàn)了非正常使用狀態(tài)或者操作的不當(dāng)引發(fā)的異常結(jié)果���。而ETA(事件樹(shù)分析法)是用來(lái)分析普通設(shè)備故障或由初始事件導(dǎo)致故障的發(fā)生的可能性�����。EAT可以提供用于記錄故障的后果的系統(tǒng)性的方法,并且能夠確定事件的后果和初始事件之間的聯(lián)系�����。EAT適用于那些會(huì)產(chǎn)生不同后果的初始事件,強(qiáng)調(diào)的此故障可能發(fā)生的最初原因和初始事件可能對(duì)事件后果產(chǎn)生的影響����。每一個(gè)獨(dú)立的故障序列都由事件樹(shù)的每一個(gè)分支來(lái)表示。而對(duì)于一個(gè)初始的事件來(lái)說(shuō),每一個(gè)獨(dú)立序列都明確地界定了安全功能之間的相互聯(lián)系�。
4、故障樹(shù)分析法
FTA(故障樹(shù)分析)是一種安全的分析評(píng)價(jià)和進(jìn)行故障預(yù)測(cè)的一種先進(jìn)的方法,它不僅僅能夠分析出故障產(chǎn)生的直接原因,并且能進(jìn)一步發(fā)掘出故障存在的潛在因素���。FTA能應(yīng)用于各種系統(tǒng),對(duì)其具有的危險(xiǎn)性進(jìn)行識(shí)別評(píng)價(jià),能夠定性定量的進(jìn)行分析���。并且故障樹(shù)具有簡(jiǎn)潔、具體化等特點(diǎn),與事件樹(shù)采用的歸納法分析不同,故障樹(shù)分析使用演繹法���。因此,FTA可以應(yīng)用于工程或設(shè)備的設(shè)計(jì)階段,用故障查詢等操作方法,都能對(duì)其安全性作出具體的評(píng)價(jià)提高了系統(tǒng)工程方法研究安全問(wèn)題的系統(tǒng)性、準(zhǔn)確性和預(yù)測(cè)性����。
5、故障模式和影響分析法
由于鐵路系統(tǒng)可以劃分成若干的元件��、設(shè)備��、子系統(tǒng)等評(píng)估單元,因此可以采用FMEA(故障模式和影響分析法),按照實(shí)際需要來(lái)將大的系統(tǒng)進(jìn)行分割成為小的元件或者子系統(tǒng)等,分析每個(gè)部分可能發(fā)生的事故的模式及其產(chǎn)生的影響程度,提出并且采取相應(yīng)的對(duì)策,來(lái)提高信號(hào)系統(tǒng)的安全性和可靠性�����。
當(dāng)然鐵路安全評(píng)估方法還有很多,包括模糊數(shù)學(xué)法、灰色聚類法��、數(shù)值分析���、��、人工神經(jīng)網(wǎng)絡(luò)等等的方式都可以提高對(duì)鐵路信號(hào)系統(tǒng)的安全評(píng)估,保證鐵路運(yùn)輸?shù)陌踩?/p>
五��、前景展望
隨著經(jīng)濟(jì)的不斷發(fā)展,我國(guó)要實(shí)現(xiàn)實(shí)現(xiàn)鐵路現(xiàn)代化����、智能化,使運(yùn)輸能力滿足經(jīng)濟(jì)發(fā)展的需求,鐵路信號(hào)安全系統(tǒng)就必須達(dá)到世界發(fā)達(dá)國(guó)家的水平��。鐵路信號(hào)系統(tǒng)的安全評(píng)估應(yīng)該更具有可靠性�、可用性、安全性�、性能良好、數(shù)據(jù)處理智能化��、結(jié)構(gòu)形式開(kāi)放�����、并與其它監(jiān)測(cè)系統(tǒng)能夠數(shù)據(jù)融合、進(jìn)行綜合處理等特點(diǎn)����。因此我國(guó)鐵路發(fā)展必須博采眾長(zhǎng),建立一套自主的知識(shí)產(chǎn)權(quán)和鐵路信號(hào)系統(tǒng)安全評(píng)估體系,來(lái)保證鐵路信號(hào)系統(tǒng)安全評(píng)估體系能夠更加有效的為行車的安全護(hù)航,并使之逐步得到國(guó)際的認(rèn)可。揚(yáng)長(zhǎng)避短,不斷的繼承與創(chuàng)新,鐵路信號(hào)系統(tǒng)的安全評(píng)估體系的的發(fā)展一定會(huì)取更大的成果�。
參考文獻(xiàn):
[1]李開(kāi)成.國(guó)外鐵路通信信號(hào)新技術(shù)縱覽[M].中國(guó)鐵道出版社,2005.
第8篇
關(guān)鍵詞:多屬性群決策;熵權(quán)法��;TOPSIS���;信息安全��;風(fēng)險(xiǎn)評(píng)估
一��、 引言
從20世紀(jì)90年代后期起���,我國(guó)信息化建設(shè)得到飛速發(fā)展�,金融、電力���、能源���、交通等各種網(wǎng)絡(luò)及信息系統(tǒng)成為了國(guó)家非常重要的基礎(chǔ)設(shè)施。隨著信息化應(yīng)用的逐漸深入,越來(lái)越多領(lǐng)域的業(yè)務(wù)實(shí)施依賴于網(wǎng)絡(luò)及相應(yīng)信息系統(tǒng)的穩(wěn)定而可靠的運(yùn)行���,因此�����,有效保障國(guó)家重要信息系統(tǒng)的安全���,加強(qiáng)信息安全風(fēng)險(xiǎn)管理成為國(guó)家政治穩(wěn)定、社會(huì)安定��、經(jīng)濟(jì)有序運(yùn)行的全局性問(wèn)題�����。
信息安全風(fēng)險(xiǎn)評(píng)估方法主要分為定性評(píng)估方法�、定量評(píng)估方法和定性與定量相結(jié)合的評(píng)估方法三大類。定性評(píng)估方法的優(yōu)點(diǎn)是使評(píng)估的結(jié)論更全面�、深刻;缺點(diǎn)是主觀性很強(qiáng)�����,對(duì)評(píng)估者本身的要求高�����。典型的定性評(píng)估方法有:因素分析法、邏輯分析法��、歷史比較法�、德?tīng)栰撤ǖ取6康脑u(píng)估方法是運(yùn)用相應(yīng)的數(shù)量指標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估��。其優(yōu)點(diǎn)是用直觀數(shù)據(jù)來(lái)表述評(píng)估結(jié)果�,非常清晰,缺點(diǎn)是量化過(guò)程中容易將本來(lái)復(fù)雜的事物簡(jiǎn)單化�。典型的定量分析方法有:聚類分析法、時(shí)序模型��、回歸模型等��。定性與定量相結(jié)合的評(píng)估方法就是將定性分析方法和定量分析方法這兩種方法有機(jī)結(jié)合起來(lái)���,做到彼此之間揚(yáng)長(zhǎng)避短����,使評(píng)估結(jié)果更加客觀�����、公正�。
本文針對(duì)風(fēng)險(xiǎn)評(píng)估主觀性強(qiáng),要素眾多��,各因素較難量化等特殊性��,將多屬性群決策方法引入到風(fēng)險(xiǎn)評(píng)估當(dāng)中����。多屬性決策方法能夠較有效解決多屬性問(wèn)題中權(quán)重未知的難題,而群決策方法能較好地綜合專家���、評(píng)估方���、被評(píng)估方以及其他相關(guān)人員的評(píng)估意見(jiàn)。該方法可解決風(fēng)險(xiǎn)評(píng)估中評(píng)估要素屬性的權(quán)重賦值問(wèn)題���,同時(shí)群決策理論的引入可提高風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和客觀性��。本文用熵權(quán)法來(lái)確定屬性權(quán)重���,用TOPSIS作為評(píng)價(jià)模型,對(duì)風(fēng)險(xiǎn)集進(jìn)行排序選擇��,并運(yùn)用實(shí)例來(lái)進(jìn)行驗(yàn)證分析。
二��、 相關(guān)理論研究
1. 信息安全風(fēng)險(xiǎn)分析原理����。信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)信息安全相關(guān)的技術(shù)和管理標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理����、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性進(jìn)行評(píng)價(jià)的過(guò)程��。它要對(duì)組織資產(chǎn)面臨的威脅進(jìn)行評(píng)估以及確定威脅利用脆弱性導(dǎo)致安全事件的可能性���,并結(jié)合相應(yīng)安全事件所涉及的資產(chǎn)價(jià)值來(lái)判定當(dāng)安全事件發(fā)生時(shí)對(duì)組織會(huì)造成的影響�����。文獻(xiàn)中提出了一種改進(jìn)的風(fēng)險(xiǎn)分析流程及原理��,該模型對(duì)風(fēng)險(xiǎn)分析基本流程的屬性進(jìn)行了細(xì)分��,如圖1所示�����。
根據(jù)上述原理�����,總結(jié)出信息安全風(fēng)險(xiǎn)評(píng)估的基本步驟���,可以描述如下: (1)首先調(diào)查組織的相關(guān)業(yè)務(wù),分析識(shí)別出組織需要保護(hù)的重要資產(chǎn)����,以及資產(chǎn)本身存在的脆弱性、面臨的威脅�,形成風(fēng)險(xiǎn)集。(2)組織各領(lǐng)域?qū)<覍?duì)風(fēng)險(xiǎn)集中各屬性進(jìn)行評(píng)估并賦權(quán)值�����,得到每個(gè)風(fēng)險(xiǎn)的屬性值����。(3)通過(guò)一定的算法對(duì)所有屬性進(jìn)行綜合分析,得到最后的結(jié)果���,進(jìn)一步推算出組織面臨的風(fēng)險(xiǎn)值��。
2. 多屬性群決策理論�����。多屬性群決策����,是指決策主體是群體的多屬性決策。多屬性決策是利用已有的決策信息����,通過(guò)一定的方式對(duì)一組(這一組是有限個(gè))備擇方案進(jìn)行排序并選擇,群決策是多個(gè)決策者根據(jù)自己的專業(yè)水平�����、知識(shí)面��、經(jīng)驗(yàn)和綜合能力等對(duì)方案的重要性程度進(jìn)行評(píng)價(jià)�。在多屬性群決策過(guò)程中,需要事先確定各專家權(quán)重和屬性權(quán)重���,再通過(guò)不同集結(jié)算法計(jì)算各方案的綜合屬性值�����,從而對(duì)方案進(jìn)行評(píng)價(jià)或擇優(yōu)�。
3. 熵權(quán)法原理。香農(nóng)在1948年將熵的概念應(yīng)用到信息領(lǐng)域用來(lái)表示信源的不確定性��,根據(jù)熵的思想�����,人們?cè)跊Q策中獲取信息的數(shù)量和質(zhì)量是提高決策精度和可靠性的重要因素���。而熵在應(yīng)用于不同決策過(guò)程的評(píng)價(jià)時(shí)是一個(gè)很理想的方法。熵權(quán)法是確定多屬性決策問(wèn)題中各屬性權(quán)系數(shù)的一種有效方法�。它是利用決策矩陣和各指標(biāo)的輸出熵來(lái)確定各指標(biāo)的權(quán)系數(shù)。
試考慮一個(gè)評(píng)估問(wèn)題��,它有m個(gè)待評(píng)估方案�,n個(gè)評(píng)估屬性,(簡(jiǎn)稱m��,n評(píng)估問(wèn)題)�。先將評(píng)估對(duì)象的實(shí)際狀況可以得到初始的決策矩陣R′=(′ij)m×n,′ij為第i個(gè)對(duì)象在第j個(gè)指標(biāo)上的狀態(tài)��,對(duì)R′進(jìn)行標(biāo)準(zhǔn)化處理�,得到標(biāo)準(zhǔn)狀態(tài)矩陣:R=(ij)m×n����,用M={1�����,2��,…�,m}表示方案的下標(biāo)集,用 N={1�����,2����,…,n}表示屬性的下標(biāo)集��,以下同�。其中,當(dāng)評(píng)估屬性取值越大越好��,即為效益型數(shù)據(jù)時(shí):
ij=(1)
當(dāng)評(píng)估屬性取值越小越好,即為成本型數(shù)據(jù)時(shí):
ij=(2)
(1)評(píng)估屬性的熵:
Hj=-kij×lnij j∈N(3)
其中ij=ij/ij k=1/lnm���,并假定�����,當(dāng)ij=0時(shí)��,ijlnij=0�,Hj越大��,事件的不確定性越大���,Hj越小,事件的不確定性越小�。
(2)評(píng)估屬性的熵權(quán):在(m,n)評(píng)估問(wèn)題中�����,第j個(gè)評(píng)估屬性的熵權(quán)j定義為:
j=(1-Hj)/(n-Hj)���,j∈N��,顯然0j1且j=1
3. TOPSIS方法�。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一種逼近理想解的排序方法,適用于多屬性決策中方案的排序和優(yōu)選問(wèn)題�,它的基本原理描述如下:(1)界定理想解和負(fù)理想解,(2)以各方案與“理想解”和“負(fù)理想解”的歐氏距離作為排序標(biāo)準(zhǔn)�����,尋找距“理想解”的歐氏距離最小�,(3)距“負(fù)理想解”的歐氏距離最大的方案作為最優(yōu)方案。理想解是一個(gè)方案集中虛擬的最佳方案�,它的每個(gè)屬性值都是決策矩陣中該屬性的最好的值;而負(fù)理想解則是虛擬的最差方案�,它的每個(gè)屬性值都是決策矩陣中該屬性的最差的值。最優(yōu)方案是通過(guò)需要評(píng)估的方案與理想解和負(fù)理想解之間的歐氏距離構(gòu)造的接近度指標(biāo)來(lái)進(jìn)行判斷的��。假設(shè)決策矩陣R=(ij)m×n已進(jìn)行過(guò)標(biāo)準(zhǔn)化處理��。具體步驟如下:
(1)構(gòu)造加權(quán)標(biāo)準(zhǔn)狀態(tài)矩陣X=(xij)�,其中:xij=j×ij,i∈M���;j∈N�����,j為第j個(gè)屬性的權(quán)重����;xij為標(biāo)準(zhǔn)狀態(tài)矩陣的元素。
(2)確定理想解x+和負(fù)理想解x-����。設(shè)理想解x+的第j個(gè)屬性值為x+j,負(fù)理想解x-的第j個(gè)屬性值位x-j��,則
x+j={xij|j∈J1))����,xij|j∈J2)}
x-j={xij|j∈J1)),xij|j∈J2)}
J1為效益型指標(biāo)�,J2為成本型指標(biāo)����。
(3)計(jì)算各方案到理想解的Euclid距離di+與負(fù)理想解的距離di-
di+=;di-=�;i∈M
(4)計(jì)算各方案的接近度C+i,并按照其大小排列方案的優(yōu)劣次序���。其中
C+i=��,i∈M
三��、 基于TOPSIS的多屬性群決策信息安全風(fēng)險(xiǎn)評(píng)估模型
1. 方法的采用�。本文將基于TOPSIS的多屬性群決策方法應(yīng)用于信息安全風(fēng)險(xiǎn)評(píng)估中,有以下幾點(diǎn)考慮:
(1)組織成本問(wèn)題�����。組織需要對(duì)分析出來(lái)的風(fēng)險(xiǎn)嚴(yán)重程度進(jìn)行排序比較�,從而利用有限的成本將風(fēng)險(xiǎn)控制到適當(dāng)范圍內(nèi)。因此�,組織可以將被評(píng)估方所面臨的風(fēng)險(xiǎn)集,看作是決策問(wèn)題中的方案集���,決策目的就是要衡量各風(fēng)險(xiǎn)值的大小及其排序����,從中找出最需要控制的風(fēng)險(xiǎn)���。
(2)風(fēng)險(xiǎn)評(píng)估中的復(fù)雜性問(wèn)題���。風(fēng)險(xiǎn)評(píng)估的復(fù)雜性,適合用多屬性群決策方法來(lái)解決��。如圖1所示,信息安全風(fēng)險(xiǎn)評(píng)估中涉及多個(gè)評(píng)估指標(biāo)����,通過(guò)評(píng)估指標(biāo)u1,u2�,…,u7的取值來(lái)計(jì)算風(fēng)險(xiǎn)值z(mì)����。風(fēng)險(xiǎn)值z(mì)的計(jì)算適用于多屬性決策的方法。而由于風(fēng)險(xiǎn)評(píng)估的復(fù)雜性和主觀依賴性決定了風(fēng)險(xiǎn)評(píng)估需要綜合多人的智慧�,因此風(fēng)險(xiǎn)評(píng)估的決策者在各方面優(yōu)勢(shì)互補(bǔ),實(shí)現(xiàn)群決策的優(yōu)勢(shì)�。
2. 評(píng)估過(guò)程。
(1)構(gòu)造決策矩陣��,并將決策矩陣標(biāo)準(zhǔn)化為R=(ij)m×n�,由于風(fēng)險(xiǎn)評(píng)估屬性都是成本型屬性,所以用公式(2)標(biāo)準(zhǔn)化����。
(2)專家dk權(quán)重的確定���。為確定專家權(quán)重���,由風(fēng)險(xiǎn)評(píng)估負(fù)責(zé)人構(gòu)造專家判斷矩陣����,假設(shè)共有r個(gè)專家�����,Eij表示第i位專家對(duì)第j專家的相對(duì)重要性����,利用Saaty(1980)給出了屬性間相對(duì)重要性等級(jí)表,計(jì)算判斷矩陣的特征向量��,即可得到專家的主觀權(quán)重:=(1��,2�,3,…����,r)。
(3)指標(biāo)權(quán)重的確定��。指標(biāo)權(quán)重由熵權(quán)法確定����,得到專家dk各指標(biāo)權(quán)重(k)=(1(k)����,2(k)�,3(k),…��,n(k))�。
(4)利用屬性權(quán)重對(duì)決策矩陣R(k)進(jìn)行加權(quán),得到屬性加權(quán)規(guī)范化決策矩陣X(k)=(xij(k))m×n�����,其中����,xij(k)=ij(k)·j(k),i∈M�;j∈N。
(5)利用加權(quán)算術(shù)平均(WAA)算子將不同決策者的加權(quán)規(guī)范矩陣X(k)集結(jié)合成�,得到綜合加權(quán)規(guī)范化矩陣X=(xij)m×n,其中xij=xij(k)k�。
(6)在綜合加權(quán)規(guī)范化矩陣X=(xij)m×n中尋找理想解x+=(x1+���,x2+����,…,xn+) 和負(fù)理想解x-=(x1-�,x2-,…��,xn-)����, 因?yàn)轱L(fēng)險(xiǎn)評(píng)估屬性類型為成本型,故x+j=xij��,x-j=xij�,j∈N。
(7)計(jì)算各風(fēng)險(xiǎn)集分別與正理想解的Euclid距離di+和di-��。
(8)計(jì)算各風(fēng)險(xiǎn)集的接近度C+i����,按照C+i的降序排列風(fēng)險(xiǎn)集的大小順序。
四��、 實(shí)例分析
1. 假設(shè)條件����。為了計(jì)算上的方便���,本文作以下假設(shè):
(1)假設(shè)共有兩個(gè)資產(chǎn),資產(chǎn)A1����,A2。
(2)資產(chǎn)A1面臨2個(gè)主要威脅T1和T2����,資產(chǎn)A2面臨1個(gè)主要威脅T3。
(3)威脅T1可以利用資產(chǎn)A1存在的1個(gè)脆弱性V1����,分別形成風(fēng)險(xiǎn)X1(A1,V1����,T1);威脅T2可以利用資產(chǎn)A1存在的1個(gè)脆弱性V2����,形成風(fēng)險(xiǎn)X2(A1,V2,T2)����;威脅T3可以利用資產(chǎn)A2存在的1個(gè)脆弱性V3�,形成風(fēng)險(xiǎn)X3(A2,V3����,T3)。以上假設(shè)條件參照文獻(xiàn)“7”�。
(4)參與風(fēng)險(xiǎn)評(píng)估的人員來(lái)自不同領(lǐng)域的專家3名,分別是行業(yè)專家d1���,評(píng)估人員d2和組織管理者d3�,系統(tǒng)所面臨的風(fēng)險(xiǎn)已知���,分別是X1��,X2�,X3���。
2. 信息安全風(fēng)險(xiǎn)評(píng)估��。
(1)構(gòu)造決策矩陣�����。如表1�,決策屬性為u1,u2��,…���,u7���,決策者d1,d2��,d3依據(jù)這些指標(biāo)對(duì)三個(gè)風(fēng)險(xiǎn)X1��,X2����,X3進(jìn)行評(píng)估給出的風(fēng)險(xiǎn)值(范圍從1~5)。
(2)決策矩陣規(guī)范化����,由于上述數(shù)值屬成本型�,用公式(2)進(jìn)行標(biāo)準(zhǔn)化����。
(3)專家權(quán)重的確定,評(píng)估負(fù)責(zé)人給出3個(gè)專家的判斷矩陣��。
計(jì)算出各專家權(quán)重=(0.717�,0.201��,0.082)�����,最大特征值為3.054 2����,C.I=0.027,R.I=0.58�,C.R=0.0470.1,判斷矩陣滿足一致性檢驗(yàn)�����。
(3)指標(biāo)權(quán)重的確定
w1=(0.193��,0.090,0.152�,0.028,0.255�����,0.090�,0.193)
w2=(0.024,0.312�,0.024,0.223�����,0.024����,0.168,0.223)
w3=(0.024�,0.024,0.312����,0.168,0.168����,0.223���,0.079)
(4)得到綜合加權(quán)規(guī)范矩陣X
X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026
(5)求出理想解x+=(0.002,0.017�,0.063,0.013��,0.006�,0.045,0.026) 負(fù)理想解x-=(0.072���,0.080,0.084��,0.039����,0.146,0.101�,0.107)。
(6)計(jì)算d+i�、d-i和C+i及對(duì)結(jié)果排序,見(jiàn)表5��。
從排序結(jié)果可以看出,風(fēng)險(xiǎn)大小依次為X3X2X1�����,因此��,組織要按此順序根據(jù)企業(yè)的經(jīng)濟(jì)實(shí)力加強(qiáng)風(fēng)險(xiǎn)控制�����。與參考文獻(xiàn)“8”中的風(fēng)險(xiǎn)計(jì)算方法比較����,提高了風(fēng)險(xiǎn)計(jì)算的準(zhǔn)確性。
五����、 結(jié)論
通過(guò)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估特點(diǎn)分析,將多屬性群決策用于信息安全風(fēng)險(xiǎn)評(píng)估當(dāng)中�����,多屬性群決策中最重要的就是權(quán)重的確定�����,本文對(duì)專家權(quán)重采用兩兩成對(duì)比較矩陣來(lái)獲得,對(duì)屬性權(quán)重采用熵權(quán)法來(lái)確定��,最后采用TOPSIS方法進(jìn)行結(jié)果的排序和選擇�����。這種方法可以從一定程度上消除專家主觀因素的影響��,提高信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性�����,為信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估提供一種研究新思路�。
參考文獻(xiàn):
1.趙亮.信息系統(tǒng)安全評(píng)估理論及其群決策方法研究.上海交通大學(xué)博士論文,2011.
2.中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范��,2007.
3.陳曉軍.多屬性決策方法及其在供應(yīng)商選擇上的應(yīng)用研究.合肥工業(yè)大學(xué)碩士論文�,2008.
4.周輝仁�,鄭丕諤,秦萬(wàn)峰等.基于熵權(quán)與離差最大化的多屬性群決策方法.軟科學(xué)��,2008��,22(3).
5.管述學(xué)��,莊宇.熵權(quán)TOPSIS模型在商業(yè)銀行信用風(fēng)險(xiǎn)評(píng)估中的應(yīng)用.情報(bào)雜志,2008�,(12).
6.郭凱紅,李文立.權(quán)重信息未知情況下的多屬性群決策方法及其拓展.中國(guó)管理科學(xué)��,2011��,19(5).
7.唐作其�,陳選文等.多屬性群決策理論信息安全風(fēng)險(xiǎn)評(píng)估方法研究.計(jì)算機(jī)工程與應(yīng)用,2011���,47(15).
8. 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范.北京:中國(guó)標(biāo)準(zhǔn)出版社�,2007.
基金項(xiàng)目:國(guó)家自然科學(xué)基金資助項(xiàng)目(項(xiàng)目號(hào):60970143����,70872120);教育部科學(xué)技術(shù)研究基金資助重點(diǎn)項(xiàng)目(項(xiàng)目號(hào):109016)�。
