时间:2023-06-13 16:27:39
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇安全风险评估方法范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
中图分类号:TP309文献标识码: A 文章编号:1007-9599 (2010) 11-0000-01
Information System Security Risk Assessment Methods StudyChen Liandong1,Lv Chunmei2
(1.Hebei Electric Power Research Institute,Shijiazhuang050000,China;2.North China Electric Power University,Baoding071003,China)
Abstract:The scientific risk assessment is essential to the protection of information systems security,the paper on information security risk management has been introduced,and the variety of risk assessment methods are analyzed and compared.
Keywords:Risk assessment;Information security;Assessment techniques
随着计算机技术的发展,网络攻击、病毒破坏、电脑黑客等信息窃取和破坏事件越来越多,信息安全问题日益突出,因此进行信息系统安全管理具有重要意义。风险评估是信息安全管理的依据,信息系统进行科学的风险分析和评估,发现系统存在问题,对于保护和管理信息系统至关重要。
一、信息安全技术风险管理
信息安全是保护信息系统抵御各种威胁的侵害,确保业务保密性和连续性,使系统遭受风险最小化[1]。信息系统安全包括安全管理技术、风险评估、策略标准以及实施控制等多方面的内容。信息安全管理体系(Information Security Management System,ISMS)是信息系统管理体系的一个部分,包括建立、实施、操作、监测、复查、维护和改进信息安全等一系列的管理活动,涉及策略准则、计划目标、人员责任、过程和方法等诸多因素[1]。ISO27001是英国标准协会的关于建立和维护信息安全管理体系的标准。ISO27001要求建立ISMS框架过程为:确定管理体系范围,制定安全策略,明确管理责任,通过风险评估确定信息安全控制目标和控制方式[2]。当信息管理体系建立起来,则可以循环实施、维护和持续改进ISMS,保持体系运作的有效性。
二、风险评估方法概述
风险评估能够检测系统面临的威胁、潜在的安全漏洞和脆弱性,针对性地提出防护和整改措施,保障系统安全。完整的风险评估过程包括:前期调研,了解需求;制定项目计划,明确范围,确定各项评估指标体系,成立评估小组;识别并评估信息资产;估算威胁发生的可能性;识别脆弱点及其严重成度;进行风险描述,计算风险值,划分风险等级,得出评估分析报告;制定风险控制方法,进行风险处理。
风险计算描述如下:Risk=R(A,T,V)
其中R是安全评估风险函数,A是资产,T是威胁,V是脆弱性。由此公式可以计算风险值,估计信息系统的安全等级,以及风险对系统的破坏程度或者可能造成的损失程度。下面从不同的角度分析风险评估,得到划分如下。
(一)基于技术评估和基于整体评估
基于技术评估是指对信息系统现有的技术水平进行评估,包括信息安全人员技术水平、网络防护技术、信息系统抗攻击能力等方面进行评估。基于整体评估是从信息系统整体分析,确定信息系统所属等级,参照等级保护划分规则,在对系统定级的基础上进行风险评估。
(二)基于知识分析和基于模型分析
基于知识分析的风险评估方法是依靠评估者经验进行,采用获取专家评估经验,对评估指标因素进行分析,评估信息系统安全。基于模型分析的评估方法采用建模的方法,分析系统内部以及和外部交互时可能产生的危险因素,从而完成资产、威胁和脆弱性的分析。
(三)定性评估、定量评估和综合评估
定性评估是指对评估对象各个因素进行相应价值的判断。需要评估者对评估对象进行定性描述,如只关注威胁事件带来的损失,忽略了威胁发生的概率,因此得出的评估结果主观性强,具有数量化水平低等特点。定量评估主要分析资产的价值,威胁发生概率和脆弱点存在的可能性,用量化的数据进行表示,但是量化数据具有不精确特点。综合评估方法采用定量和定性结合的方法,通常是先进行总体性质的确定,然后进行定量分析,在量化基础上再进行定性分析。
三、典型评估方法比较
下面列出几种典型风险评估方法,有故障树分析、事件树分析等,趋于定性分析,BP神经网络、风险评审技术方法趋于定量分析,还有一些综合评估方法,如层次分析法[3]。
(一)故障树分析:通过对可能造成系统危险的各种初始因素进行分析,画出故障树,计算整体风险发生概率。特点是简明形象,逻辑关系复杂,适用于找出各种实效事件之间的关系。
(二)事件树分析:是一种逻辑演绎法,它在给定的一个初因事件的前提下分析此事件可能导致的各种事件序列的结果,可用于找出一种实效引起的后果或各种不同的后果,提高业务影响分析的全面性和系统性。
(三)BP神经网络:是一种按误差逆向传播算法训练的多层前馈网络,具有自学习能力,能够实现输入和输出之间的复杂非线性关系。缺点是风险因素的权值确定较难,优点是有自学能力,问题抽象化,适用于事故预测和方案择优。
(四)风险评审技术方法:通过模拟实际系统研制时间、费用及性能分布,针对不同条件对信息系统的风险进行预测,需多次访问,数据准确性要求高。
(五)层次分析法:是一种多指标综合评价方法。首先将相互关联、相互制约的因素按它们之间的隶属关系排成若干层次,再利用数学方法,对各因素层排序,最后对排序结果进行分析。特点是减少了主观因素中的影响,需求解判断矩阵的最大特征根以及对应的特征向量。适用于为决策者提供定量形式的决策依据。
四、结束语
本文介绍了信息系统安全管理,分析风险评估的流程,对风险评估方法整体从不同角度的进行划分,其中对几种典型的评估方法进行了比较和分析。风险评估对于信息安全管理具有重要的意义,相信以后还会出现新的,更加科学的风险评估方法。
参考文献:
引言
某云服务平台是以云分布式计算系统为基础,面向全省打造的云服务平台,实现大数据资源开放、互通、共享。该平台的建设和应用将为实现数据应用、衍生产业提供强有力的支撑。该平台将搭建电子政务云、工业云、电子商务云、智能交通云、智慧旅游云、食品安全云、环保云等,称为“N朵云工程”。从该云平台的总体规划化上看,包括了公有云、私有云、混合云以及社区云,应用场景和应用结构较为复杂。另一方面,随着信息化建设的进一步深入,将有更多业务纳入该云平台中,故而信息安全保障工作是一项至关重要的工作。如果一旦形成数据窃取、非法入侵、数据丢失等问题,将必将产生重大后果,并酿成重大事故。
1云安全保障工作重点
首先,我们基于云分布式计算系统的体系结构分析该云平台的逻辑结构。我们可以将云分布式计算系统及其管理的云基础计算资源及云基础存储资源看成该云平台的基础层,“N朵云工程”的云应用及云服务、云平台门户是构建在基础层之上的应用层。同时还有云资源权限控制体系及云管理保障服务体系作为十分重要的保障体系。根据以上分析,可以看出,从信息安全的角度上讲,信息安全保障工作应从云基础安全、云平台的云应用及云服务安全、云应用及云服务建设的标准化和规范化、云资源权限控制体系的安全保障、管理保障服务体系可靠有效等方面进行分析。(1)针对云基础安全方面,依据相关云分布式计算系统的安全白皮书的相关内容,安全保障重点在于基础资源的可用性检查及故障修复、云操作系统的补丁安装及版本升级、云平台的边界安全、接入安全、云基础平台建设过程监理、云分布式计算系统运维服务支持等方面。(2)针对该云平台云应用及云服务安全方面,需对基于云基础平台开发的应用的权限管理、应用漏洞扫描、公有云、私有云、混合云以及社区云的合理使用等内容进行评估分析。(3)针对云资源权限控制体系的安全保障方面,基于相关云分布式计算系统的安全白皮书的相关内容进行分析,可看出系统安全性主要通过其复杂的云资源权限控制模块完成,因此针对云资源权限控制模块的用户及其权限管理是至关重要的,重中之重是对其配置的云资源权限规则的审计和检查。(4)针对云应用及云服务建设的标准化和规范化方面,需在应用设计开发过程中,严格审计开发单位的设计思路、开发过程、开发规范性检查,并在应用及服务上线前,引入第三方测试,确保开发过程中严格按照云分布式计算系统的开发作业标准进行,无严重性漏洞,特别是权限控制和数据管理。(5)针对系统可用性方面,应严格监控出口带宽及流量消耗问题、系统故障影响范围分析、系统故障排除周期分析等内容。(6)针对信息安全保障制度建设方面,应以云分布式计算系统的基本保障要求及云平台自身的信息安全保障要求,构建包括人员管理制度、开发团队管理制度、运维管理制度、基础配套管理制度、机房管理制度、云服务及应用开发规范、数据应用及交换申请评估制度、云服务及应用完备性测试管理制度、安全事件应急指挥制度等在内的多项规章制度建设制度。并针对每项制度的执行情况做定期监督检查。综上所述,云基础平台安全检查及审计、云平台应用及服务、云应用及云服务上线前审查及测试、云资源权限控制体系的管理、信息安全保障制度建设及监督检查是该云平台信息安全保障工作的重点。
2云安全风险评估方法
依据以上分析,可得出云平台的信息安全评估方法。依据IT基础资源管理软件、云操作系统的实时监控工具等手段对云基础设施进行实时监控,并建立应急指挥体系,发现问题及时排除。由于该云平台的“N朵云工程”的云应用及云服务均是基于云分布式计算系统完成的,首先定期对云基础操作系统进行全面检查及防护,这也是评估工作的重点内容。按照地方政府对该云平台的基本要求,对各类数据资源及计算资源的分配权限及配置规则进行评估检查,确保最小化授权机制,严防因权限控制规则设置不当而产生的数据泄露、乱用、非正常改变等问题。针对基于云分布式计算系统开发的相关云应用及云服务的程序漏洞、管理口令、运维窗口、系统升级流程、数据修改及销毁过程等进行全面的审计和安全评估。对新开发上线的云应用及云服务进行系统测评评估,确保通过评估的系统可上线,未过评估的应用及服务杜绝其部署到正式环境中,特别是权限控制不严格的、有故有可被黑客利用的漏洞的程序。简单可视的自动化配置方法,降低虚拟化网络安全管理的技术复杂度,屏蔽虚拟化网络内部技术细节;软件定义的安全检测边界,提供灵活、高效的网络安全管理方法;无间断的安全服务,无需人工干预的自主安全策略跟随迁移,适应虚拟化动态扩展、自主迁移等拓扑多变的特性。
3云应用上线测试
云应用上线前需要基于云分布式计算系统进行性能与安全测试。服务商提供多种平台和多种浏览器的平台,一般的用户在本地用Selenium把自动化测试脚本编写好,然后上传到云平台,然后就可以在他们的平台上运行测试脚本。云测试提供一整套测试环境,测试人员利用虚拟桌面等手段登录到该测试环境,就可以立即展开测试。以现在的虚拟化技术,在测试人员指定硬件配置、软件栈(操作系统、中间件、工具软件)、网络拓扑后,创建一套新的测试环境只需几个小时。如果测试人员可以接受已创建好的标准测试环境,那么他可以立即登录。提供专业知识的服务。这些知识可以通过测试用例、测试数据、自动测试服务等形式提供。例如,许多应用需要读取文件,云测试可以提供针对文件读取的模糊测试。测试人员将被测试的应用程序提交给云,云将其部署到多台测试机上。在每一台测试上,应用程序要读取海量的文件,每一个文件都是特意构造的攻击文件。一旦栈溢出、堆溢出等问题被发现,将立即保存应用程序的内存映像。一段时间后,测试人员将获得云测试返回的测试结果,暨一份详细的分析报告和一大堆内存映像文件。测试类型包括了:兼容测试、性能测试、功能测试、安全测试。
4结束语
本文通过以上各方面,以某云平台为例阐述了云平台信息安全保障及评估方法的基本研究思路和工作内容。要提升云平台的安全保障能力,需从组织安全管理、合规安全管理、数据安全管理、访问控制管理、人员安全管理、物理安全管理、基础安全管理、系统开发及维护管理、灾难恢复及业务连续性管理等方面综合考虑,以云平台及其应用安全为我们研究的最终目标。
参考文献:
[1]桑子华,喻爱惠.基于XenApp技术的区域性教育资源云平台安全布署.湖南师范大学自然科学学报,2016.
中图分类号:F062.5 文献标识码:A 文章编号:1009-914X(2013)06-0100-02
随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用,部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念,并开展了ERP、MES2~PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密,是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。
一、风险评估在信息安全管理体系中的作用
信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是ISMS(Information Security Management System,信息安全管理体系)中的一部分。风险管理是一个建立在计划(Plan)、实施(D0)、检查(Check)、改进(Action)的过程中持续改进和完善的过程。风险评估是对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。
二、信息系统安全风险评估常用方法
风险评估过程中有多种方法,包括基于知识(Knowledge based)的分析方法、基于模型(Model based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各种方法的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
1、基于知识的分析方法
在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握,另外评估信息的采集也极其重要,可采用一些辅的自动化工具,包括扫描工具和入侵检测系统等,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的报告。
2、定量分析方法
定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。
3、定性分析方法
定性分析方法是目前采用较为广泛的一种方法,它具有很强的主观性,需要凭借分析者的经验和直觉,或国家的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样,包括讨论、检查列表、问卷、调查等。
4、几种评估方法的比较
采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,最终达到消减和控制风险的目的。
理论上定量分析能对安全风险进行准确的分级,但前提是可供参考的数据指标是准确的,事实上随着信息系统日益复杂多变,定量分析所依据的数据的可靠性也很难保证,且数据统计缺乏长期性,计算过程又极易出错,给分析带来了很大困难,因此目前采用定量分析或者纯定量分析方法的比较少。
定性分析操作起来相对容易,但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求,定量分析方法也不方便于后期系统改进与提高。
本文结合以上几种分析方法的特点和不足,在确定评估对象的基础上建立了一种基于知识的定性分析方法,并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。
三、全生命周期的信息系统安全风险评估
由于信息系统生命周期的各阶段的安全防范目的不同,同时不同信息系统所依据的国家标准和要求不一样,使风险评估的目的和方法也不相同,因此每个阶段进行的风险评估的作用也不同。
信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下:
第一阶段为规划与设计阶段,本阶段提出信息系统的目的、需求、规模和安全要求,如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。
第二阶段是工程实施阶段,本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否满足要求,并考察系统运行的环境是否是预期设计,有关风险的一系列决策必须在系统运行之前做出。
第三阶段是运行和维护阶段,本阶段的特征是信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境中做出重大变更时,要对其进行风险评估活动,了解各种安全设备实际的安全防范效果是否有满足安全目标的要求;了解安全防范策略是否切合实际,是否被全面执行;当信息系统因某种原因做出硬件或软件调整后,分析原本的安全措施是否依然有效。
第四阶段是系统报废阶段,可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备,确实已经不能被任何方式所恢复。当要报废或者替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的报废处置,且残留信息也恰当地进行了处理,并且要确保信息系统的更新换代能以一个安全和系统化的方式完成。对于是信息系统的报废处理时,应按照国家相关保密要求进行处理和报废。
四、基于评估对象,知识定性分析的风险评估方法
1、评估方法的总体描述
在信息系统的生命周期中存在四个不同阶段的风险评估过程,其中运行和维护阶段的信息系统风险评估是持续时间最长、评估次数最多的阶段,在本阶段进行安全风险评估,首先应确定评估的具体对象,也就是限制评估的具体物理和技术范围。在信息系统当中,评估对象是与信息系统中的软硬件组成部分相对应的。例如,信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备和产品或应用程序、物理安全保障设备、以及维护管理和使用信息系统的人,这些都构成独立的评估对象,在评估的过程中按照对象依次进行检查、分析和评估。通常将整个计算机信息系统分为七个主要的评估对象:(1)信息安全风险评估;(2)业务流程安全风险评估;(3)网络安全风险评估;(4)通信安全风险评估;(5)无线安全风险评估;(6)物理安全风险评估;(7)使用和管理人员的风险评估。
在对每个对象进行评估时,采用基于知识分析的方法,针对互联网采用等级保护的标准进行合理分析,对于军工企业存在大量的信息系统,采用依据国家相关保密标准进行基线分析,同时在分析的过程中结合定性分析的原则,按照“安全两难定律”、“木桶原理”、“2/8法则”进行定性分析,同时在分析的过程中,设置一些“一票否决项”。对不同的评估对象,按照信息存储的重要程度和数量将对象划分为“高”、“中”、“低”三级,集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用,保障系统在关键防护要求上得到落实,提高信息系统的鲁棒性。
2、基于知识的定性分析
军工企业大多数信息系统为信息系统,在信息系统基于知识分析时,重点从以下方面进行分析:物理隔离、边界控制、身份鉴别、信息流向、违规接入、电磁泄漏、动态变更管理、重点人员的管理等。由于重要的信息大多在应用系统中存在,因此针对服务器和用户终端的风险分析时采用2/8法则进行分析,着重保障服务器和应用系统的安全。在风险评估中以信息系统中的应用系统为关注焦点,分析组织内的纵深防御策略和持续改进的能力,判别技术和管理结合的程度和有效性并且风险评估的思想贯穿于应用的整个生命周期,对信息系统进行全面有效的系统评估。在评估过程中根据运行环境和使用人群,判别技术措施和管理措施互补性,及时调整技术和管理措施的合理性。在技术上无法实现的环节,应特别加强分析管理措施的制定和落实是否到位和存在隐患。
中图分类号:TN918.82 文献标识码:A 文章编号:1007-9416(2016)04-0000-0
对于网络安全而言,其中包括多个层面的内容与衡量,并且构成一个立体的系统,因此对于网络安全的衡量,必然也应当实现体系化,唯有如此才能有的放矢地面向网络安全体系的建设展开加强工作。
1 网络安全评估技术的发展
纵观网络安全评估技术体系多年的发展,可以发现有如下几个主要的趋势不容忽视。
首先实现了从手工评估向自动评估的转变。最初的网络安全信息搜索工作,在网络出现的前期,还主要依赖手工完成。1993年出现了第一个扫描程序SATAN,大大提升了搜寻恶意入侵的时间周期。在网络发展初期,网络安全防范能力以及安全评估水平都相对有限的环境下,只能面向局部展开安全评估工作。所谓单机评估,即面向本地系统的安全扫描,重点针对系统的一些配置文件、日志文件和用户口令等信息;而分布式评估则更多从入侵检测的角度出发展开工作,同时运行于多个主机环境,主要面向主机的开放端口、开放服务展开工作。
在这样的发展趋势之下,网络安全评估方法也逐步成熟。常见的网络安全评估方法可以分为三类,即基于量化的网络安全评估方法、基于规则的网络安全评估方法以及基于模型的网络安全评估方法。在基于量化的网络安全评估方法体系中,贝叶斯安全评估法是相对较为常见的方法,其根本原理是利用贝叶斯网络条件独立和因果推理的特点来实现对于网络安全评估指标等相关方面展开贝叶斯网建模,进一步通过大量样本,减少先验主观偏见,形成对于网络安全等级的量化评估。而后者则在目前发展成为一种应用基于插件的网络扫描工具。最后,基于模型的网络安全评估方法体系之下,主要包括基于目标的脆弱性检测,以及基于状态转移图和攻击图的监测三种。其中基于目标脆弱性检测在发现Unix主机脆弱性方面表现良好,而状态转移图则是将网络环境中的每一次攻击都视为一系列状态转移,依据既往供给案例来实现对于目标网络的匹配,从而实现对网络安全的评估工作。基于攻击图的安全评估,则是利用网络环境中的脆弱点对攻击状况展开模型的建立,最终形成一个评估网络整体环境安全水平的综合参数。
2 无线网络的安全评估工作浅析
虽然面向网络的安全评估工作,经过多年的发展已经具有一定规模,并且不同方法也各自形成体系,但是通信领域中,相关技术的进步,仍然从各个方面成为推动安全风险评估进步的重要力量。尤其是在当前移动通信迅速发展的环境中更是如此。
无线通信环境本身固有的工作特征,以及对应于无线工作体系上的标准不完备等问题,都从一定层面上加剧了无线通信系统的安全问题。面对非授权接入和非法使用等攻击手段的时候,如何切实了解到网络整体环境的安全水平,获取到更多无线网络环境中的安全薄弱环节,必然成为当前无线网络安全关注的重点。
总体来看,无线局域网面对的安全风险包括恶意入侵、非法AP、未经授权使用服务、地址欺骗和会话拦截、流量分析与流量侦听、高级入侵六个方面,因此既有的安全评估工作体系,也必然需要面向无线环境给出具有更强可行性的安全评估方案。随着国内外相关研究的不断深入,诸多边缘学科随之兴起,面向无线网络的安全评估方法也日益兴盛,而在这样的环境之下,灰色模糊安全评估模型呈现出一定的生命力。
以此种方法作为出发点,无线网络安全评估主要包括评估指标体系建立、综合评估模型建立和仿真实验三个方面的主要任务,本文仅从思想的角度对于模型建立的相关框架展开讨论。
从当前无线网络的安全属性角度考虑,相关指标体系可以从机密性、完整性、可用性、可靠性以及攻击状态几个角度展开重点分析。
其中机密性,即指网络环境中的信息不会被非授权用户所获取到的特征,具体而言,可以从获取到的数据的信息总量、身份诈骗的先验成功率以及相关特征,以及数据传输受到攻击以及发现攻击整个工作过程的实时性特征几个方面,考虑建立起对应的能够实现网络安全评估的数据指标。而完整性,则是关注数据在传输过程中,不会遭受来自于未授权用户的篡改以及删除等操作,确保数据完整送达到目的端。对于完整性方面的考察重点,应当聚集与篡改数据的信息总量以及数据信息丢弃比例两个方面,综合总体传输信息量和丢失以及破坏状态,来对网络安全体系中的完整性状态作出综合的评估。
可靠性,是指网络环境中传输的信息能够在规定的时间内,在预定的条件下完成相应的功能的反映。对应在当前网络信息环境中,对于可靠性的测度包括抗毁性、生存性以及有效性三种,其中抗毁性即信息系统在遭受外界侵害的时候所表现出来的可靠性;生存性和有效性则重点反映网络在遭受某些侵袭的情况下仍然能够提供相应服务的能力,是网络强壮型的一种体现,但生存性更多注重遭受到内因或者意外的时候所体现出来的能力,有效性更多关注外因影响。可用性则是只网络服务以及整个相关系统的诸多功能,对用户有效,确保授权用户可以在允许的时间内获取到对应的服务。最后攻击状态因素,即包括攻击消耗时间、攻击成本以及网络攻击目标的等级在内的整个体系。
3 结语
网络安全评估工作,对于帮助实现更为完善和健康的无线系统有着积极意义。只有建立起具有一定针对性的安全评估体系,才能有效发现整个网络环境中存在的不足之处,也才能切实推动网络自身的成熟与发展。
参考文献
[1]马涛,单洪.无线局域网安全量化评估方法与系统设计研究[J].计算机应用,2008,28(2).
1.企业信息安全评估的内容
企业在运行中会产生大量的运营数据,这些数据既有日常办公方面的数据,也有涉及企业生产和研发方面的数据。随着企业规模的扩大,对这些信息的管理大都是建立在一定的信息管理系统基础上的,如ERP资源管理系统、MES系统等。这些管理系统管理的内容包含了企业运行中的各类信息,就涉及到如何保障系统运行中信息安全的问题。不同的信息管理模式会伴随不同的信息泄露风险,因此需要对企业的信息管理风险程度进行评估,在此基础上寻找弥补信息安全隐患的策略。对企业信息安全的评估主要有以下几个方面的内容。
1.1 评估企业的管理制度
企业管理制度是企业有序运行的基础,企业的信息安全也和此密切相关。很多企业信息外泄的案例都和企业管理制度漏洞直接联系。因此在评估企业信息安全时企业的管理制度是必要的环节之一。在这个层面上评估企业信息安全主要是评估以下几类基本的管理制度。①企业信息系统的使用制度;②企业信息系统的维护制度;③企业信息系统操作人员培训制度;④系统设备和文件管理制度。
1.2 企业信息系统计算机安全评估
实践表明大量的企业信息外泄都和计算机系统的安全漏洞有关系,因此对企业信息系统的安全评估是必不可少的环节。这类问题的评估需要专业计算机人员来进行,弥补系统安全漏洞是保障企业信息安全的重要手段。定期或不定期的对企业信息系统的运行日志和统计资料进行检查是一种行之有效的方法。
2.企业信息安全风险定量评估方法
对上述几类评估内容的定量估计是衡量企业信息安全的量化手段,其衡量得出的数值就是企业信息安全的风险值或安全程度指标。企业信息安全的定量风险评估考虑因素主要有三个:资产价值、威胁和脆弱性。在定量评估中这三类因素都需要用定量数据采集的方式来进行合成计算,安全风险的数学表达式为:。其中为风险指标,表示企业资产指标,为代表威胁,为脆弱性指标。上述三类因素的基础数据都需要从实践中通过调研和测试来获得。
2.1 企业信息安全估价的描述方法
企业的资产既包括有形的资产,也包括无形的资源,表现形式也从机械设备到软件文档等多种多样。企业信息安全又有其特殊性。企业信息安全的安全属性估价需要从资产的保密性、完整性和可用性三个方面来展开评估。由于企业各类资产的形式各异,资产的安全级别无法用通用的量化标准来记性评估,因此采用的方法为定性的CIA模糊集合方式来描述,如“资产安全级别”={“很高”、“高”、“中等”、“低”、“较低”}等模糊语言来描述,对应的论域为{5、4、3、2、1}。企业信息安全安全的保密性、完整性和可用性三个方面的属性都可以用上述模糊语言来定性描述,综合上述三类安全属性的公式为:。上式中分别为企业信息安全的保密性、完整性和可用性的赋值,取值为1,2…5,为综合评定指标。笔者这里提供一些评价指标的选取标准:
(1)信息保密性的评定标准
①很高:这类级别的企业信息包含企业的核心关键决策信息,信息泄漏将严重影响企业的利益;②高:这类级别的企业信息泄露会对到企业经济效益造成明显损害;③中等:企业的一般性的经营、决策信息,泄露对企业不利;④低:这类企业信息一般指企业内部部门的局部信息;⑤较低:企业可对外界公布的信息类型。
(2)信息完整性的评定标准
①很高:这类级别的企业信息包含企业的核心关键决策信息,其完整性直接决定企业的业务完整性,一旦缺失就无法弥补;②高:这类信息修改必须经过高层授权,一旦缺失将严重影响业务,一旦缺失弥补难度很大;③中等:企业的一般性的经营、决策信息,其修改需授权,缺失后可弥补;④低:这类企业信息一般指企业内部部门的局部信息,缺失后对企业运行影响较小,易于弥补;⑤较低:企业可对外界公布的信息类型,缺失后对企业运行无明显影响。
(3)信息可用性的评定标准
①很高:这类信息具有最重要的实用性,企业的运作必须依照运行的信息类型;②高:这类信息的可用性价值较高,企业运作对其依赖性较高;③中等:这类信息属于可部分不可用的类型,部分不可用不影响企业的正常运作;④低:这类企业信息一般指企业内部部门的局部信息,信息不可用不会造成明显影响;⑤较低:这类信息使用性不高,信息不可用的影响可以忽略。
2.2 企业信息安全威胁程度的量化方法
企业信息安全的威胁通常定义为潜在的破坏性因素或突发事件。威胁是客观存在的,既可能来自于系统的用户(合法用户或非法入侵)操作,也可能来自于系统的物理组件的损坏。这两类威胁中最大也最常见的是系统用户在操作方面的失误、非法用户利用系统漏洞来窃取企业机密信息,以及计算机病毒对信息系统的侵袭等。但这些事件都不易量化,在做风险评估时需要依赖专家经验,对各种潜在的威胁因素给出一定的概率值,对各类威胁因素可按照和上节类似的方法,用形如:“威胁程度”={“很高”、“高”、“中等”、“低”、“较低”}等模糊集合来表达,对应于相应的论域{5、4、3、2、1}。建议评定标准如下:①很高:风险事件发生的频率很高,或对企业信息安全具有明显的威胁,但又很难避免的情形;②高:风险事件发生的可能性较大或有发生先例;③中等:风险事件有可能发生,但尚未实际发生过的情形;④较低:风险事件发生的可能性较小,通常情况下不会发生;⑤很低:几乎不可能发生的风险事件类型;
2.3 信息系统脆弱性的量化方法
信息系统脆弱性的评估和系统面临的威胁是紧密相关的,所有的实际威胁都是利用系统安全的薄弱环节来发挥破坏性作用的,因此信息系统的脆弱性和威胁存点对点或单点对多点的关系。为便于计算,也采用和衡量系统威胁程度时相同的表示方法,“系统脆弱性”={“很高”、“高”、“中等”、“低”、“较低”},对应于相应的论域{5、4、3、2、1}。建议评定标准为:①很高:这类评定往往要基于企业信息系统存在明显而易于攻击的技术漏洞或者是管理规范上的缺陷,极易被非法使用的情形;②高:企业信息系统存在一定的技术漏洞或管理规范上的缺陷,容易被攻击和利用;③中等:企业信息系统存在不易被发现(下转第125页)(上接第121页)的技术漏洞,或必须经过人为非法操作才能被攻击的管理规范上的漏洞;④低:企业信息系统不存在明显的技术漏洞,或企业信息管理制度较为完善,不易被攻击利用;⑤较低:企业信息系统技术较为完善,管理制度也较为合理,被攻击点可能性很小。
2.4 信息安全的风险计算
按照风险的定义,风险包括风险事件发生的可能性和相应的后果。在企业信息系统中,各组成部分发生风险事件后的后果是不一样的,其严重程度也存在差异。因此在风险计算时需要明确两个方面的内容,一是风险的计算方式,二是对风险计算量化数值的评价。各因素风险值的计算按:来计算,即按资产价值、资产脆弱性和资产面临的威胁性的乘积来衡量某种信息资产的风险值。上述几类因素的取值按照评价论域中的取值来作为乘积因子。在计算出风险值之后,还需要建立起以风险值为基础的风险评价体系。
由前文的分析可见,风险的定量估计是一个由三类风险因素的线性乘积得出的。每一类信息的最高等级论域数值为5,最低为1,因此组合情况下风险值的最高值为125,最低值为1。由此可建立其与之对应的风险定量评价体系。笔者建议采用与之对应的5级评定方式:①很高:风险值估计范围在100~125之间,表明企业信息系统存在很高的安全风险,发生信息泄露的可能性非常高;②高:风险估计值在75~100之间,表明企业信息系统存在较大的安全风险,发生信息泄露的可能性较大;③中等:风险估计值在50~75之间,企业信息系统的安全风险一般,经过审查后能够避免风险事件;④低:风险估计值在25~50之间,企业信息系统发生信息泄露的可能性很小;⑤很低:风险估计值在0~25之间,企业信息系统比较安全,但需要定期维护。
3.结语
企业信息系统安全管理关系到企业的内部运营数据的安全,是需要引起高度重视的问题。本文将企业信息安全评估中几类常用的信息类型进行了风险量化评估,给出了以线性乘积为基础的风险量化方法,最后给出了分等级的企业信息安全综合评定。
参考文献
[1]沈昌样.关于强化信息安全保障体系的思考[J].信息安全与通信保密,2009,06.
1.引言
自IBM于2009提出“智慧地球”理念以来,国内外已经有众多城市以网络为基础,打造数字化、泛在互联的新型智慧型城市。在智慧城市的建设和研究过程中,将新兴的物联网、云计算、超级计算,以及基础通信网络、软件服务化、数据共享、整合、挖掘与分析等技术全面应用。同时也对信息安全带来了全角度的冲击。
建设智慧城市必将面临各种风险,本文主要研究和讨论智慧城市工程信息系统的风险和评估方法。并且为建设智慧城市信息安全提供设计思路。
目前信息安全风险评估的方法主要有层次分析法[1]、神经网络方法[2]和模糊理论[3]等;信息安全要求是通过对安全风险的系统评估予以识别的[4]。风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。
2.建设智慧城市面临的信息安全风险
2.1 智慧城市信息系统的基本结构
智慧城市主要由三部分组成,底层为基础设施平台,主要包括互联网络和感知网络;数据共享平台主要包括基础信息资源库,例如人口信息、地理信息等;应用服务平台是面向公众、企业及政府的综合服务门户平台。
2.2 智慧城市面临的信息安全风险
信息安全风险是认为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响[5]。如表1所示,智慧城市面临的信息安全风险主要有物理破坏、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等风险。智慧城市服务面广、影响广泛,面对大众,其持续服务能力和流畅服务能力直接关系到智慧城市建设的成败。而这两个服务能力又取决于管理者和建设者对以上风险的认知和处理程度。
3.信息安全风险识别
信息安全风险识别的基本依据就是客观世界的因果关联性和可认识性[5]。在建设智慧城市的过程中,信息系统必将面临各种安全风险。明确识别风险,评估风险,并合理的管理风险,是参与智慧城市项目建设中每个人的责任和义务。
风险识别主要有两种方法,一种是从主观信息源出发的识别方法。主要利用头脑风暴法,德尔菲方法(Delphi method)和情景分析法(Scenarios analysis)。前两种方法在我国使用的较多,情景分析法是一种定性预测方法,对预测对象可能出现的情况或引起的后果做出预测的方法,操作过程复杂,目前在我国的具体应用较少。另外一种风险识别的方法是从客观信息源出发的识别方法。主要利用核对表法、流程图法、数据或结果实验法、工作结构分解分析法和财务报表法等。
信息安全风险管理是识别并评估风险、将风险降低至可接受级别、执行适当机制来维护这种级别的过程。没有绝对安全的环境,每种环境都会存在某种程度的脆弱性,都会面临一定的威胁。问题的关键在于识别威胁,估计它们实际发生的可能性以及可能造成的破坏,并采取恰当的措施将系统环境的总体风险降低至组织机构认为可以接受的级别。
4.终端面临安全风险
用户访问智慧城市信息数据的终端虽然不属于智能城市建设的范畴,但面对大量的用户终端,智慧城市工程相关管理和技术人员必须要考虑智慧城市系统对用户终端的影响。
根据CATR 2013年3月4日的研究数据显示,预计2013年中国3G用户将增长1.5-1.8亿户,用户规模突破3亿户。也就是说会有很大量用户通过3G智能终端获取信息。智慧城市的信息数据,也将通过3G移动互联网送至用户的智能手机上。会存在黑客利用智慧城市信息服务平台攻击用户智能终端的情况。
另外一部分用户将使用个人计算机机通过互联网访问智慧城市信息数据。同样黑客也有机会利用智慧城市信息服务平台攻击用户的个人计算机。
最后,由于智能电视、网络机顶盒的出现,还将会有部分用户通过电视机访问智慧城市的信息数据,黑客也有攻击智能电视机网络机顶盒等电视机接入设备。
智慧城市工程的建设,要应对网络犯罪和黑客攻击,维护移动互联网安全,需要将移动网络、后台服务以及个体终端结合起来,从全局角度提出一个完整的综合性解决方案,这就对普通用户、移动运营商、网络安全供应商、手机制造商、第三方软件开发商以及网络信息提供商都提出了更高的要求。同时,还需要政府监管部门完善响应的监管体系,加强相关法律法规的建设。
5.信息安全风险评估
信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及其由处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,并提出有针对性的抵御威胁的防护对策和整改措施。进行信息安全风险评估,就是要防范和化解信息安全风险,或者将风险控制在可接受的水平,从而为最大限度的保障网络和信息安全提供科学依据。[6]
通过风险评估后,就可以针对信息系统中的高危风险进行风险管理。风险评估目前主要有定量风险分析方法和定性风险分析方法。国内外研究人员又在此基础上提出了层次分析法(AHP),故障树分析法和基于模糊数学的分析方法。另外就是基于科研机构颁布的标准或指南的信息安全风险评估方法,比较传统的方法有BS7799标准、CC标准、ISO13335信息和通信技术安全管理指南和NIST相关标准等。这些标准或指南对信息安全风险评估具有很好的指导作用,且大多数是基于定性的风险评估,对评估者的能力要求高,评估具有很大的主观性。
对于智慧城市工程的信息系统,可以采用多种不同的方法对信息系统进行综合风险评估,将不同风险评估方法得出的结果系统分析,实施全方位、多角度的风险管理。只有通过对信息系统的安全风险评估才能对智慧城市工程存在的风险进行合理、科学和有效的管理。
6.结束语
在建设智慧城市工程的过程中,信息安全风险评估以及风险管理势在必行。在规划设计阶段根据实际投资和项目情况,以国家相关标准为基础进行规划设计,并参照《信息系统安全等级保护基本要求》(GB/T22239-2008)对信息系统进行安全保护。正确识别和评估安全风险要始终贯穿到工程项目建设的每一个环节中。在项目建设初期从多角度、全方位识别风险,不留风险盲区;在项目建设过程中,通过风险评估的结论,将风险降低到可以接受的程度;在后期的使用维护过程中,始终使用PDCA方法,不断的去识别、评估和降低安全风险。动态将风险识别和风险评估方法贯彻到智慧城市工程的每一个阶段,确保实现安全可靠的智慧型政府、智慧型民生和智慧型产业。
参考文献
[1]王奕,费洪晓,蒋蘋.FAHP方法在信息安全风险评估中的研究[J].计算机工程与科学,2006,28(9):4-6.
[2]赵冬梅,刘海峰,刘晨光.基于BP神经网络的信息安全风险评估[J].计算机工程与应用,2007,43(1):139-141.
[3]陈光,匡光华.信息安全风险评估的模糊多准则决策方法[J].信息安全域通信保密,2006,7:23-25.
[4]信息安全管理实施指南(ISO17799:2005C).
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6402-04
目前,信息安全是非常重要的,在各单位和部门进行的信息系统安全风险评估实践中,必须全面考虑各种涉及安全风险因素的影响。由于系统本身的复杂性,其风险因素涉及面广,且存在着诸多具有模糊性和不确定性的影响因素;同时有关风险因素影响的历史数据也非常有限,很难利用概率统计方法来量化风险。[1]因此,信息系统的安全风险评估,往往需要依靠有关专家的判断来进行。对于上述问题,模糊综合评判法是一种行之有效的解决方法。模糊综合判断法是建立在模糊数学理论基础上的一种风险评估方法,其应用模糊关系进行的合成原理,对一切边界不清、不易定量等描述的风险因素采取定量化方法,然后对系统的安全风险进行综合评估。
在应用模糊综合评判法对信息系统进行风险评估时,其关键问题是各风险因素的权重如何分配。对于采用传统的方法对风险因素赋值,忽略了专家主观判断的不确定性和模糊性,难以对一致性和矩阵性差异的判断,而且一致性检验还缺少科学依据等问题。
本文针对传统方法的不足问题,对信息系统每一层风险因素使用了模糊一致判断矩阵来表示。用模糊一致矩阵中的排序方法求解各风险因素的权重。[2]在此基础上运用多级模糊综合评判法来对信息系统的安全风险进行综合评估,得出系统的安全风险等级。
1 建立评估指标体系的层次结构模型
信息系统安全风险评估涉及很多因素,为了能够深入分析问题,需要对影响评估结果的风险因素进行整体分析和评估。因次,需建立按照一定层次结构的体现指标体系的结构模型,如图1所示。建立是层次结构模型可以对信息系统的评估指标进行深入的分析,结构模型主要包括目标层、准则层和指标层三个层次关系,各层之间存在一定的关系,其中,目标层是最高层,代表是风险评估的总体目标,中间层是准则层,主要设定对系统进行风险评估的准则,对风险评估的总目标进行分解,然后获得若干个准则,并用多个元素分别表示。为了能更准确的表示,在准则层可以在划分子准则层。指标层处在于最底层,是进行系统安全风险评估的具体评估指标,表示影响目标实现的各种因素,如指标不能完全表达意思,可以继续划分子层,称为二级评估指标,风险指标体系如图2所示。
2 模糊一致判断矩阵的构造和排序
定义1:若模糊矩阵R=[(rij)nxn]能够满足条件:[rij]+[rji]=1,i,j=1,2,...,n,则称R为模糊互补矩阵。
定义2 :若模糊互补矩阵R=[(rij)nxn]能够满足条件:[rij=rik-rjk+0.5,i,j,k=1,2…,n],则称R为模糊一致矩阵。
模糊一致矩阵的性质有如下三点:
3)如果R满足中分传递性,即当[λ≥0.5]时,若[rij] [≥λ], [rjk] [≥λ],则有[rik] [≥λ];当
[λ≤] 0.5时,若[rij] [≤λ], [rjk] [≤λ],则有[rik] [≤λ]。
根据模糊一致矩阵的性质,得出了人们的决策思维的习惯,对其合理性解释如下:
1)[rij]是元素[i]与[j]相对重要性的度量,如果[rij]越大,那么元素[i]与[j]越重要,[rij] >0.5
表示[i]比[j]重要;反之,[rij]
2)[rij]表示元素[i]比[j]重要的隶属度,那么1-rij表示[i]不比[j]重要的隶属度,即[j]比[i]重
要的隶属度,即[rji]=1-[rij],R是模糊互补矩阵。
3)如果元素[i]与[j]相比较,前者比后者重要,同时元素[j]比k也重要,则元素[i]一定比元素k重要;反之,如果元素[i]不比[j]重要,且元素[j]不比k重要,那么元素[i]一定不比元素k重要。
另外,模糊一致矩阵的构造采用“0.1~0.9”标度法,使得模糊判断矩阵的一致性也基本反映出人类思维的一致性,即可以反映人在判断过程中存在的不确定性和模糊性。[3]由此可见,模糊一致矩阵符合人类的思维特征,与人类对复杂决策问题的思维、判断过程是一致的,通过构造模糊一致矩阵可以在一定程度上反映群体专家判断的模糊性。
在决策者进行模糊判断的时候,构造的判断矩阵通常是模糊互补矩阵而不是模糊一致矩阵,由模糊互补矩阵构造模糊一致矩阵的方法如下:
对模糊互补判断矩阵R=[(fij)nxn]按行求和,记为[ri=j=1nfij,(i=1,2…,n)],对其进行以下数学变换:
[rij=ri-rj2n+0.5] (1)
则由此建立的矩阵R=[(rij)nxn]是模糊一致矩阵。
模糊一致矩阵排序的方法由式(2) 给出,若模糊矩阵R=(rij)nxn是模糊一致矩阵,那么排序值可由公式2计算:
[wi=1n-12α+1nαj=1nrij] (2)
在上式中 满足:[α]≥ [n-12],且当[α]越大时,权重之间的差异越小;[α]越小,权重之间的差异则越大;当[α]=[n-12] 时,权重之间的差异达到最大。
由上可知,可以利用对参数[α]的不同取值来进行权重结果的灵敏度分析,有助于决策者做出正确的权重判断。
如若邀请n位专家(视具体情况而定)对信息系统进行安全风险评估。主要分为以下几个步骤,第一,采用相互比较法构造判断矩阵[Α′]。第二,使用0.1-0.9标度法(见表1)来表示两元素比较的值,从而可以判断矩阵的元素取值范围是0.1,0.2,…,0.9。判断矩阵[A′=(aij)nxn],其元素值[aij]反映了专家对各风险因素相对重要性的认识。
3 多级模糊综合判断
1)确定因素集U和评语集V
信息系统安全风险评估的层次结构模型建立后,因素集U就确定了。评语集的确定要根据实际需要而定,一般将评语等级划分为3-7级,如采用很危险、危险、中等、安全、很安全。
2)单因素模糊判断,确定评判矩阵R
单因素模糊评判是对单个因素[ui] (i=1,2,...,n)的评判,得到V上的模糊集[Ri=(ri1,ri2,…rim)],其中[rij]对评语集中的元素[vj]的隶属度。单因素模糊评判是为了确定因素集U中各因素在评语集V中的隶属度,建立一个从U到V的模糊关系,从而导出隶属度矩阵R=[(rij)nxm]。
3)模糊综合评判
初级模糊评判主要是对U上权重集W=(W1,W2,...WK)和评判矩阵R的合成,评判结果通常用B表示。
[B=w?R=(w1,w2,…,wk)?r11r21?rk1r12r22?rk2……?…r1mr2m?rkm=(b1,b2,…,bm)] (4)
其中,“。”为模糊合成算子,为综合考虑个评估因素的影响并保留单因素评估的全部信息,对模糊合成算子采用M(·,)算子。当权重集和隶属度均具有归一性时M(·,)即为矩阵乘法运算,并且此时B也是归一化的。
多级模糊综合评判:对于多层次系统而言,需要从最底层开始评判,并将每层的评判结果作为上层的输入,组成上层的评判矩阵,直到最高层的评判结束。二级模糊综合评判如图3所示。
4 评估结果的判定
利用多级模糊综合评判得到的最终向量B对评估结果作出判定,在判断准则使用情况基本分为两种:最大隶属度准则和加权平均准则。
最大隶属度准则:取评估结果中最大隶属度所对应的安全等级作为系统安全风险评估的最终结果。
加权平均准则:根据实际情况对评估结果向量惊醒等级赋值,即赋予不同等级评语vj规定值[βj],以隶属度[bj]为权数,被评估信息系统的风险综合评分值为:
结合表3安全风险隶属等级划分标准,即可判定信息系统当前的安全风险等级,
5 结论
本文针对信息系统安全风险评估中因素多、难度大等问题,在引入模糊一致判断矩阵方法的基础上运用了多级模糊综合评判法,对信息系统安全风险进行了综合评估,得到了科学的、合理的安全风险等级,从而为管理员实施安全管理控制策略提供科学的依据。
参考文献:
[1] 李鹤田,刘云,何德全.信息系统安全风险评估研究综述[J].中国安全科学学报,2006,16(1):108-113.
Pick to:
With the rapid development of traffic infrastructure construction in our country, road and bridge tunnel has become an important part of highway construction projects, road and bridge tunnel safety risk management is particularly important. Because the tunnel project has the construction is difficult and long construction period, large investment, many characteristics such as complexity of geological factors, making the entire bridge tunnel project construction process is full of a lot of uncertain risk factors, so in highway tunnel construction process may occur at any time the security risk of accident, necessary safety risk assessment and control measures can help to improve and to improve the quality of the construction technology and safety management, reduce the construction safety risk to the degree of control.
Key words: road and bridge tunnel; Safe construction; Risk assessment; Risk control
中图分类号:TU99 文献标识码:A
根据《公路桥梁、隧道安全评估指南》、《桥梁隧道设计施工有关标准补充规定》及《公路隧道作业要点手册》的有关内容、及实施性施工组织设计,笔者结合目前路桥隧道工程安全风险评估的现状,分析了针对隧道工程安全风险评估所颁布的指南、管理办法等相关制度文件,并总结了保证评估结果客观性的过程控制方法以及践行安全风险评估技术宗旨的方式,通过对目前风险评估过程中存在问题的剖析,本文提出了解决问题的思路,以促使评估成果满足安全风险评估技术针对性、客观性的要求。
隧道工程风险分级和接受准则。
(1)、事故发生概率的等级分成四级,见下表
注:a.当概率值难以取得时,可用频率代替概率。
b.中心值代表所给区间的对数平均值。
(2)、然后对事故发生后果进行人员伤亡和经济损失的等级分析(表格这里就不一一画出了):一是人员伤亡等级标准,二是直接经济损失等级标准(其中不含恢复重建的费用)。
(3)、环境影响等级标准
注:“临时的”意思是在隧道工程施工工期内可以改变好环境;“长期的”意思是在施工工期以内不能改变好环境,但不是永久的,在以后的时间里可以改变的;“永久的”含义为不可逆转或不可恢复的。
(4)、专项风险等级标准
根据事故发生的概率和后果等级,将风险等级分为四级:极高(Ⅳ级)、高度(Ⅲ级)、中度(Ⅱ级)和低度(Ⅰ级)。
风险接受准则与采取的风险处理措施
我们可以将风险分为四个等级:低、中、高、极高。并且根据等级设计相应的接受准则:可忽略、可接受、不期望、不可接受。然后我们再根据接受准则设计出相应处理措施和监测措施等。做好相应的技术准备,在后面的施工中根据风险接受准则与采取的风险处理措施的规定,针对不同的风险事件、结合现场的实际情况拟采取相应的技术对策。并且随着施工的进行,我们要不断的测定安全风险等级,随时改变风险处理措施,做到紧张有序地施工,确保万无一失。
在进行路桥隧道工程中,我们必须成立工程风险评估与管理小组组长、副组长及小组成员必须分好工(组长:负责安全评估与管理工作的领导工作。制定施工阶段风险评估工作实施细则。副组长:根据分组的情况开展本组的管理工作,并向组长负责。成员:在组长及副组长的领导下,开展安全评估与管理工作,成立抢险小组,并落实各项具体措施;与项目部其它相关部门紧密联系,共同抓落实,从人、财、物各方面给予安全评估与管理工作切实的保障。),并且设立安全评估与管理小组办公室(日常工作由项目部安全部负责),设立值班电话等。
4、总结
由于采用了相应的风险对策措施,加强施工过程中风险动态管理,隧道施工的风险会相应地降低,但不可能完全消除,结合初始风险评估结果和制定的对策措施,对隧道残留风险进行评估。根据施工的进展对实行动态跟踪管理,定期反馈,发现问题及时与相关单位进行沟通,不断完善处理措施。项目部领导小组将根据审批后的风险评估方案进行日常工作的实施,有效的开展工程安全风险评估和管理工作,深入现场调查研究,制定合理安全保障措施,确保安全、按期完成路桥隧道工程的施工任务。
这仅是风险管理与控制的开始。在下一步的施工过程中还要加强监控,对风险做好动态管理,从而达到控制风险、减少损失、确保施工安全目的。
参考资料
[1]钱七虎,戎晓力.中国地下工程安全风险管理的现状、问题及相关建议[J]. 岩石力学与工程学报,2008,27( 4) : 649-655
随着社会经济快速发展,信息传递无论是速度还是容量均不断创造新的高度。信息传递方式与人们的生活、工作、学习息息相关。信息产业发展蒸蒸日上,建立在信息技术基础上的信息系统存在一定风险,易受到黑客攻击,且信息系统充斥各种病毒,系统运行过程存在一定风险。基于此必须做好信息系统安全建设,进行安全风险评估,奠定安全基础。
1 风险评估概述
互联网快速发展极大提高人们的生活、工作、学习效率,与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取,信息传递过程中仍旧可能出现信息被第三方截取情况,信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式,但也带来一系列安全隐患。
从信息安全角度而言,风险评估就是对信息系统自身存在的的种种弱点进行分析,判断可能存在的威胁、可能造成的影响等。综合风险可能性,便于更好展开风险管理。风险评估是研究信息安全的重要途径之一,属于组织信息安全管理体系策划过程。
风险评估主要内容包括:识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂,因此信息系统安全风险评估是一项综合性工作,其组织架构较为繁杂,主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。
20世纪八十年代,以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚,至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视,为其快速发展奠定坚实基础。
网络环境虽然带来无穷便利,却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起,人们生活在同一信息系统下总是希望自身隐私得到保护,因此在建设信息系统是必须做好信息安全风险评估,规避信息系统存在的各种风险,提高信息系统安全性,让人们生活在安全信息环境中。
2 信息安全风险评估方法
网络的出现对人们的生活和思维方式带来极大变革,信息交流更加方便,资源共享程度无限扩大,但是网络是一个较为开放的系统,对进入网络系统的人并未有一定约束,因此必然导致安全隐患的出现。随着信息系统建设不断深入,信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性,降低安全隐患,让人们在安全的信息环境下生活和工作。
2.1 定性评估方法
定性评估是信息安全风险评估使用最频繁的方法,此法基于评估者通过特有评估方法,总结经验、历史等无法量化 因素对系统风险进行综合评估,从而得出评估结果。该中方法更注重安全风险可能导致的后果,忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理,因此其评估结果本身就存在一定不确定性,此种评估方法适用于各项数据收集不充分情况。
定性评估虽然在概率上无法保障,但可挖掘出一些较为深刻的思想,其结论主观性较强,可预判断一些主观性结论。基于此需要评估人员具较高职业素养,不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。
德尔菲法是定性评估中较为常见评估方法之一,经过多轮征询,将专家的意见进行归结,总结专家预测趋势,从而做出评估,预测未来市场发展趋势,得出预测结论。从本质上来说,德尔菲法是一种匿名预测函询法,其流程为:征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素,促进预测符合实际。
2.2 定量评估方法
定量评估与定性评估是相互对立的,此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据,且需保证数据准确性,之后利用数学方法建立模型,验证各种过程从而得出结论。定量评估需要准备充足资料,是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足,更具备客观性。定量评估可将复杂评估过程量化,但该种方法需要建立在准确数据基础上。定量评估方法主观性不足,其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。
故障树评估法采用逻辑思维进行风险评估,其特点是直观明了,思路清晰。是一种演绎逻辑推理方法,其推理过程由果及因,即在推理中由结果推到原因,主要运用于风险预测阶段,得出风险发生具体概率,并以此为基础得出风险控制方法。
2.3 定性评估与定量评结合综合评价方法
由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强,客观性不足。定量评估主观性不足,客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本,建立在评估者资质基础上。定量评估运用数学方法展开工作,预测结果较为准确,逻辑性较强,但成本较高。从本质上来看,定性为定量的依据,定量是对定性的具体化,因此只有将二者结合起来才能实现最佳评估效果。
3 信息安全风险评估过程
信息安全风险评估建立在一定评估标准基础上,评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持,在此基础上展开全面风险评估,结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性,这就要求评估过程中需建立正确评估方法,克服评估过程存在的不足,从而取得最佳结果。
4 结束语
当今信息系统不断发展完善,为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法,实际评估中应该结合实际情况选择合适方法,提高信息安全风险评估结果准确性,为建立安全信息环境奠定坚实基础。
参考文献
[1]应力.信息安全风险评估标准与方法综述[J].上海标准化,2014(05):34-39.
[2]张玉清.信息安全风险评估综述[J].通信学报,2015(02):45-53.
目前雷电灾害风险评估的方法大致可以分为三类:单体建(构)筑物雷击评估方法、区域雷击评估方法、区域雷击易损性评估方法,后两者亦可归为区域评估方法。单体建(构)筑物评估方法是针对单个建筑的雷击风险评估,评估建筑物或其内部电子信息系统遭受雷击损害的风险。在国外主要依据IEC61662、IEC62305-2、ITU-TK.39等标准进行评估,国内主要依据GB/T21714.2-2008及特定对象的评估标准GB50343《建筑物电子信息系统防雷技术规范》、QX3-2000《气象信息系统雷击电磁脉冲防护规范》等[2~3]。此方法是最早应用的雷电风险评估方法,比较成熟,适用于小型项目或项目建筑单体数不多时,能定量的评估单体建筑的雷击风险,对于大型项目不能科学的评估整体的风险等级和分布。区域雷电风险评估方法是对整个项目区域的雷电风险等级进行确认(如湖南省防雷中心开发的区域评估方法)或者对整个项目区域中每个子区域的雷电风险等级进行确认(如江苏、上海等地的区域评估方法),该方法有利于对整个项目进行整体把握及确认项目的重点防护区域,这样能更科学、更合理的统筹区域雷电灾害的防御,因而此方法能应用于大型项目的雷电灾害风险评估,当然这种方法属于定性的分析,是近几年才研究开发的,还处于探索改进阶段。区域雷击易损性评估方法是选取地区(市或县)的雷暴日数、雷电灾害频度、生命易损模数及经济易损模数等作为雷电风险指标,运用层次分析法来计算各个地区的雷击易损度,最后形成某个省或某个市的雷电风险区划图,为区域防灾减灾提供科学依据。此方法适用于省份或地级市的区域雷电风险划分。
1.2评估数学原理
单体建(构)筑物的评估是依据风险计算公式R=N·P·L进行定量计算分析,其中R是风险值,N是年危险事件次数,P是损害概率,L是损失率。区域雷电风险评估是运用模糊数学确定风险指标的隶属度,运用层次分析法确定风险指标的权重,风险计算公式为:R=Knj=1ΣQj×Gj,式中:K是修正指标;Qj是风险指标的权重;Gj是风险的隶属度。当然也有运用其他一些统计学的方法进行风险划分和归类[9]。
1.3评估方法的评价和建议
目前雷电灾害风险评估方法主要是以上三种,在实际业务当中因为针对的是具体项目,因而采用的是前两种评估方法。单体建筑风险评估和区域雷电风险评估各有各的优缺点和适用范围,针对目前各省份风险评估方法运用的实际情况,为了更好的评估项目雷电风险,提出更具实际指导意义的雷电防护措施,笔者认为在实际的雷电风险评估业务当中:①应当注重区域风险评估和单体建筑风险评估相结合、定性与定量相结合,通过区域风险评估可以给出项目的整体雷电风险等级或者区域中的防护重点子区域,再利用单体建筑风险评估可以进一步计算出项目风险等级高的区域或子区域中单体建筑的具体风险大小,依据这些计算结果提出的雷电防护措施将更具指导性意义;②应根据项目的特点选择合理的评估方法,因为有些行业已出台自己行业的风险评估方法,这时我们就应当结合行业评估标准进行评估;③目前的雷电风险评估业务基本上是方案评估,而风险评估分为预评估、方案评估及现状评估,由于随着项目的运营,项目的一些特性会发生变化,如项目的建筑特性、内存物、内部系统等等,这些变化会导致项目雷电风险值的变化,因而可以开展项目的雷击现状风险评估。当然以上只是个人的观点,纯粹从雷电风险评估业务发展方向而言,而雷电风险评估业务的发展还有赖于国家的相关政策。
2应用实例
2.1项目概况
湘西自治州公安局交警大队建设的麻栗场考试中心是我州较为大型的公共建设项目,总面积约为182772.5m2,占地200多亩,其中分为小车考试场地、大车桩考区、大车场内考试区、科目三发车区、停车区、模拟高速考区、监控候考大楼、考试业务用房、绿化区,考场内共分布77处摄像头。整个项目人员是一个密集区域,设备又是另一个密集区域,区域性特征十分明显。以前开展雷电灾害风险评估大部分是以计算保护建筑物及其内部人员设备为基础,而该项目不但需要保护建筑物内人员和设备,还需要保护建筑物外空旷场地的人员和设备的安全。
2.2评估方法和技术路线
由于该项目所涉及的区域面积大,并且仪器设备多(建筑相对少),根据前面对几种风险评估方法的探讨,选择区域雷电风险评估的方法进行评估。将整个项目分为六个区域,区域一:考试业务用房、监控候考大楼、停车区、发车区;区域二:小车考试区;区域三:大车桩考区;区域四:大车场内考试区;区域五:模拟高速公路考区、进出道路;区域六:绿化区。根据灾害的理论分析,灾害的发生是由致灾环境的危险性和承灾体的易损性及脆弱性决定的,具体到雷电,雷击风险是指人身和财产容易受到雷电伤害或破坏的程度,它直接反映了人身和财产在遭受雷电袭击时的脆弱性。就考试中心而言,其致灾因子是雷电,承灾体是处于地面上的人和物体,因而主要从人身安全和经济价值两方面来进行雷击风险的考虑,根据具体情况把区域内的主要风险划分为两类:R1人员伤亡损失风险、R2建筑物遭受雷击损失风险。区域性的雷击风险评估是对区域内各个子区域中各个风险类别的危险程度、可能造成的损失程度做出的预测性评价,在对考试中心进行雷击风险评估时,我们根据具体的情况选取四个主要的评估指标:G1气象指标、G2地物环境指标、G3承灾体的风险指标和K评估修正指标。其中,前两项指标着重于考虑雷电发生频率和雷击风险概率,反映致灾因子的时空分布情况,后两项指标主要表征致灾体(人和建筑物)的易损情况和建筑物本身的抗灾能力对雷击风险的影响。首先,对应于上述四个主要的评估指标,通过分别分析各个指标不同的影响因子,达到对四个主要指标评价的目的;然后,根据四个主要评估指标的评估结果,按照R1和R2两种风险类别,根据风险评估计算模型()计算出各自的风险值(总的风险值R=R1×QR1+R2×QR2),从而得出各个区域的雷击风险情况;最后,根据风险等级划分指标,对各个区域的风险进行等级划分,确定整个考试中心区的风险区划。
2.3评估结果
通过以上评估方法和技术路线分别估算出每个分区的风险值R,根据风险值R的大小,判断每个分区不同风险程度,可得以下区域色斑图。红色(区域一):极高风险区;黄色(区域二、三、四、五):高风险区;蓝色(区域六):中风险区。由图1可知:区域一为极高风险区,发生雷击后该区域所造成的人员伤亡以及经济损失概率最大,该区域内监控候考大楼、考试业务用房应按二类防雷建筑物来设计防直击雷保护措施,单栋按B级进行建筑物内电子信息系统的防雷;停车区、发车区属于露天人员密集场所,应重点考虑采取防直击雷等防护措施。区域二、三、四、五为高风险区,发生雷击后该区域所造成的人员伤亡以及经济损失仅次于区域一、使用性质均为考试考场和人员出入通道等,露天电子设备较多,人员走动密度较小,并且人员基本处于车内(较安全),故应以防护场地内的电子设备为重点,按实际设备情况具体设计相应的防雷保护措施。区域五内人员进出道路口有一门卫值班室,应考虑防直击雷以及防雷电感应等保护措施。其他道路因人员密度分布情况不详,建设方因根据实际投入使用后的情况,有针对性的采取相应的防雷保护措施。区域六为中风险区,发生雷击后该区域所造成的人员伤亡以及经济损失概率最小,该区域为项目区域内电子设备少,人员走动密度最小场地。