序言：寫作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁，我們?yōu)槟x了8篇的安全信息評(píng)估樣本，期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)，請(qǐng)盡情閱讀。

第1篇

（內(nèi)蒙古師范大學(xué) 餐飲管理學(xué)院，內(nèi)蒙古 呼和浩特 011517）

摘 要：近年來(lái)食品安全事件頻發(fā)，食品安全問(wèn)題已經(jīng)成為廣大群眾最關(guān)心的話題，食品的安全監(jiān)管也無(wú)疑成為社會(huì)關(guān)注的焦點(diǎn)。本文正是以餐飲安全監(jiān)管評(píng)估體系為切入口，科學(xué)地分析了我國(guó)餐飲安全監(jiān)管評(píng)估體系面臨的主要問(wèn)題，餐飲安全監(jiān)管評(píng)估體系創(chuàng)新的主要方面，以及餐飲安全監(jiān)管評(píng)估體系創(chuàng)新的實(shí)踐，最終為餐飲安全監(jiān)管評(píng)估體系提出了創(chuàng)新思路。

關(guān)鍵詞 ：食品安全；監(jiān)管評(píng)估；創(chuàng)新

中圖分類號(hào)：R155文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1673-260X（2015）03-0194-02

1 餐飲安全監(jiān)管評(píng)估體系面臨的主要矛盾和問(wèn)題

1.1 餐飲企業(yè)數(shù)目多、分布分散、監(jiān)管難度大

隨著我國(guó)經(jīng)濟(jì)社會(huì)的快速發(fā)展，人們的生活水平不斷提高，城鎮(zhèn)化水平不斷加大，越來(lái)越多的人到餐館里就餐，因此餐館行業(yè)不斷發(fā)展壯大。進(jìn)行國(guó)家注冊(cè)的餐飲行業(yè)越來(lái)越多，這就出現(xiàn)了各式各樣的餐飲企業(yè)，冷熱飲、大排檔、食堂、農(nóng)家餐、夜宵等，形成了形式多樣、種類繁多的餐飲市場(chǎng)發(fā)展新局面。在為人們的選擇提供了更多的便利的同時(shí)，也提升了消費(fèi)者的消費(fèi)水平。

然而事物都具有雙面性，由于餐飲企業(yè)多以城市的中心地帶及人流量較大的商業(yè)中心或景點(diǎn)為聚居點(diǎn)，同時(shí)又星羅棋布地分布于城市空間，餐飲企業(yè)的蓬勃發(fā)展也給食品安全部門對(duì)餐飲行業(yè)的監(jiān)管帶來(lái)了巨大的困難。

1.2 餐飲設(shè)施、器械簡(jiǎn)陋陳舊

由于我國(guó)餐飲行業(yè)的發(fā)展起步比較晚，再加上對(duì)餐飲行業(yè)的管理還存在著不足，一些中小餐飲企業(yè)特別是一些小攤小販，多利用陳舊的設(shè)備、設(shè)施進(jìn)行“創(chuàng)業(yè)”。他們的經(jīng)營(yíng)場(chǎng)所多為一些老舊的房屋或臨時(shí)搭建的露天篷，這樣的餐飲環(huán)境不僅衛(wèi)生條件差，餐飲食品的衛(wèi)生安全也難以得到保障。當(dāng)出現(xiàn)一些高峰期時(shí)，就餐的人很多，一些碗筷用別人吃過(guò)的，簡(jiǎn)簡(jiǎn)單單用水沖洗一下即可，用的水也是自來(lái)水，甚至水的渠道也很不明，這也是我國(guó)傳染病傳播的主要途徑。即使一些餐飲企業(yè)配備了保鮮、保潔、消毒等器具，也只能成為餐飲企業(yè)的裝飾品，因?yàn)樗鼈儍H僅是擺設(shè)，從來(lái)不用，僅僅是告訴顧客放心食用，豈不知這也算對(duì)顧客的欺騙。大多數(shù)餐飲企業(yè)根本沒(méi)有專門的原料的加工、清洗、刀切、貯存、烹飪、售出等的獨(dú)立空間，全在同一單間中操作，質(zhì)量安全無(wú)法保證。

1.3 人們對(duì)食品安全的認(rèn)識(shí)及意識(shí)缺乏

大多數(shù)餐飲行業(yè)的工作人員素質(zhì)較低，缺乏職業(yè)道德，它們僅僅對(duì)于利潤(rùn)、工資感興趣，甚至為了賺錢使用一些危害性食料，包括使用地溝油和廉價(jià)的食材等，給食用者造成了一定的危害。此外，這些人的食品安全法律意識(shí)淡薄，僅僅憑借經(jīng)驗(yàn)進(jìn)行經(jīng)營(yíng)，無(wú)法真正養(yǎng)成良好的衛(wèi)生習(xí)慣。大部分小型餐飲行業(yè)的工作人員穿著隨便，沒(méi)有統(tǒng)一的服裝，并且沒(méi)有行之有效的規(guī)章進(jìn)行管理，在原料采購(gòu)時(shí)不索要發(fā)票，也不進(jìn)行臺(tái)賬記錄，食品加工過(guò)程中也不注意生與熟的安放，也不考慮食品之間的交叉感染。綜上所述，人們對(duì)食品安全的認(rèn)識(shí)不足及意識(shí)缺乏，給食品衛(wèi)生安全及監(jiān)管帶來(lái)了困難。

2 餐飲安全監(jiān)管評(píng)估體系創(chuàng)新的主要工作

2.1 探索創(chuàng)新宣傳教育機(jī)制

宣傳教育機(jī)制始終是餐飲安全監(jiān)管評(píng)估體系創(chuàng)新工作的基礎(chǔ)，要通過(guò)多方位、多角度、立體式的方式進(jìn)行宣傳教育，充分利用媒體和網(wǎng)站，包括電視臺(tái)、廣播、報(bào)紙、網(wǎng)絡(luò)等，對(duì)食品安全進(jìn)行大力宣傳，也可以采取現(xiàn)場(chǎng)咨詢、專家講演、宣傳下鄉(xiāng)等手段，深入宣傳我國(guó)食品衛(wèi)生安全方面的法律法規(guī)，對(duì)群眾進(jìn)行深刻教育，增強(qiáng)他們的食品安全意識(shí)，讓他們認(rèn)識(shí)到食品安全的重要性，自覺(jué)抵制一切危害自身安全的食品問(wèn)題。最終讓人民群眾成為遏制食品安全問(wèn)題的主力軍，堅(jiān)決抵制無(wú)食品安全保證的餐飲企業(yè)，讓他們?cè)谏鐣?huì)中無(wú)法立足，努力營(yíng)造出人人對(duì)健康負(fù)責(zé)的食品安全氣氛。此外，還要對(duì)餐飲人員進(jìn)行培訓(xùn)教育，讓他們懂得我國(guó)的食品安全法規(guī)，自覺(jué)產(chǎn)生安全責(zé)任意識(shí)，使之能夠安全負(fù)責(zé)地做好餐飲管理工作，最終提升餐飲行業(yè)人員的整體素質(zhì)，為餐飲安全監(jiān)管評(píng)估體系創(chuàng)新打下堅(jiān)實(shí)基礎(chǔ)。

2.2 探索創(chuàng)新工作推進(jìn)機(jī)制

探索創(chuàng)新工作推進(jìn)機(jī)制能夠有效地推進(jìn)餐飲安全監(jiān)管評(píng)估體系的創(chuàng)新。通過(guò)打開(kāi)餐飲安全信息共享的通道，積極構(gòu)建資源共享的平臺(tái)，保證各方的橫向聯(lián)動(dòng)，密切各部門的溝通和協(xié)作。通過(guò)加大對(duì)食品行業(yè)的監(jiān)督打擊力度，形成監(jiān)督打擊合力，最終形成強(qiáng)大的監(jiān)督管理局面。

此外，還可以利用網(wǎng)絡(luò)進(jìn)行食品安全監(jiān)督，通過(guò)對(duì)網(wǎng)絡(luò)的健全完善，把網(wǎng)絡(luò)打造成為食品安全監(jiān)督的“順風(fēng)耳”，使之成為治理食品安全的重要手段。同時(shí)，要加強(qiáng)群眾監(jiān)督的作用，切實(shí)對(duì)餐飲行業(yè)進(jìn)行監(jiān)督指導(dǎo)，增加他們的誠(chéng)信意識(shí)，使其遵守餐飲行業(yè)的法律法規(guī)觀念，打造一個(gè)好的餐飲行業(yè)形象。

2.3 探索創(chuàng)新基礎(chǔ)保障機(jī)制

把培養(yǎng)監(jiān)督餐飲行業(yè)安全的人才隊(duì)伍，作為未來(lái)工作的重中之重，把行政監(jiān)管與技術(shù)監(jiān)督的工作落到實(shí)處。同時(shí)，對(duì)餐飲行業(yè)監(jiān)督機(jī)構(gòu)進(jìn)行改革，優(yōu)化人才隊(duì)伍，灌輸監(jiān)督管理的新鮮概念，提升他們執(zhí)行力，不斷補(bǔ)充后備人才隊(duì)伍，提升餐飲監(jiān)管系統(tǒng)的綜合能力和執(zhí)行水平，為餐飲安全提供強(qiáng)大保證。

同時(shí)也要積極引用科學(xué)技術(shù)，利用高科技設(shè)備和手段，行之有效地參與餐飲行業(yè)安全監(jiān)督檢查，做到檢查嚴(yán)格、監(jiān)管有效、執(zhí)法合理、獎(jiǎng)懲分明，為全力做好搭建餐飲安全監(jiān)管評(píng)估體系的創(chuàng)新打下堅(jiān)實(shí)基礎(chǔ)。

3 餐飲安全監(jiān)管評(píng)估體系創(chuàng)新的實(shí)踐

3.1 探索創(chuàng)新綜合懲處機(jī)制

3.1.1 建立能力評(píng)價(jià)機(jī)制

我國(guó)頒布的《食品安全法實(shí)施條例》明確說(shuō)明：地方行政管理人員要為餐飲行業(yè)安全監(jiān)督管理的能力建設(shè)提供強(qiáng)有力的保障。目前，我國(guó)的餐飲行業(yè)的設(shè)施設(shè)備都比較落后，基礎(chǔ)比較薄弱。他們面臨的主要困難是缺乏安全管理能力的人才，缺乏用于檢查的設(shè)備設(shè)施，我們都知道要做好餐飲行業(yè)的安全檢查，就必須有先進(jìn)的檢查設(shè)備，而要想扭轉(zhuǎn)以上問(wèn)題，就是要加大經(jīng)費(fèi)的投入，而缺乏經(jīng)費(fèi)也是餐飲安全監(jiān)管的困難之一。

目前國(guó)家已經(jīng)啟動(dòng)了對(duì)餐飲安全監(jiān)管的力建設(shè)標(biāo)準(zhǔn)項(xiàng)目，對(duì)餐飲安全檢查設(shè)備提出了基本標(biāo)準(zhǔn)，并加大了對(duì)餐飲安全監(jiān)管設(shè)備的支持力度，這為我國(guó)餐飲企業(yè)向更好的方向發(fā)展提供了良好條件。今后監(jiān)管負(fù)責(zé)人將逐級(jí)地對(duì)監(jiān)管能力進(jìn)行上報(bào)，對(duì)監(jiān)管能力不合格者進(jìn)行嚴(yán)格檢查。

3.1.2 實(shí)行信用獎(jiǎng)懲機(jī)制及典型示范機(jī)制

對(duì)于我們國(guó)家來(lái)講，信用是稀有且珍貴的資源。如何健全和完善科學(xué)的餐飲企業(yè)信用評(píng)價(jià)機(jī)制，是確保我們國(guó)家餐飲行業(yè)安全的當(dāng)務(wù)之急。

首先通過(guò)網(wǎng)絡(luò)對(duì)各類餐館開(kāi)展網(wǎng)絡(luò)信用征集并系統(tǒng)地統(tǒng)計(jì)起來(lái)，然后對(duì)它們進(jìn)行科學(xué)的評(píng)級(jí)，對(duì)于一些非常差的企業(yè)進(jìn)行警告并予以懲處，并督促它們進(jìn)行整改，同時(shí)還要對(duì)餐飲企業(yè)進(jìn)行網(wǎng)絡(luò)披露，保證廣大群眾能全面地對(duì)餐飲企業(yè)信用狀況進(jìn)行客觀、全面的認(rèn)識(shí)。這樣消費(fèi)者既可以合理地選擇餐館用餐，也有助于對(duì)餐飲安全的監(jiān)管，更能提高餐飲企業(yè)的自律性。

我國(guó)現(xiàn)在餐飲行業(yè)的集成化、產(chǎn)業(yè)化還不高，面臨著嚴(yán)重的散、低等狀況。因此要改變以上狀況，就必須采取措施進(jìn)行重點(diǎn)突破，采取餐館示范工程，推動(dòng)餐飲安全工作，使其成為示范的培育基地，充分發(fā)揮示范及引領(lǐng)作用，并成為餐飲安全監(jiān)管評(píng)估重要指標(biāo)。

3.1.3 努力推進(jìn)責(zé)任追究機(jī)制

沒(méi)有責(zé)任就沒(méi)有工作的動(dòng)力，對(duì)于餐飲安全監(jiān)管來(lái)講，責(zé)任尤為重要?！秶?guó)家食品安全法》已經(jīng)明文規(guī)定，地方政府對(duì)食品安全要負(fù)總責(zé)，監(jiān)管部門自身責(zé)任如果沒(méi)有履行，也要受到處罰，餐飲企業(yè)是安全事故的第一責(zé)任人?，F(xiàn)在我國(guó)餐飲安全管理受到多種因素的制約，責(zé)任制并沒(méi)有完全的落實(shí)。所以，必須根據(jù)現(xiàn)實(shí)狀況重新對(duì)責(zé)任進(jìn)行細(xì)化、具體的劃分，保證管理責(zé)任與責(zé)任人匹配，保證餐飲安全問(wèn)題必有人處理，徹底根斷餐飲安全責(zé)任人存在的僥幸心理。近年來(lái)國(guó)家推行責(zé)任人約談制度，對(duì)于餐飲安全監(jiān)管評(píng)估體系的建立和完善將起到一定的促進(jìn)作用。

3.2 探索創(chuàng)新動(dòng)態(tài)監(jiān)管機(jī)制

3.2.1 積極建構(gòu)溝通協(xié)作機(jī)制

要做好食品安全監(jiān)管工作，就必須三位一體地對(duì)食品安全進(jìn)行把關(guān)，這樣才能從根處做到食品安全。目前，我國(guó)的食品安全工作明顯沒(méi)有做到以上要求，與餐飲食品安全監(jiān)管相關(guān)的工商、衛(wèi)生、防疫等相關(guān)部門很難一起對(duì)食品安全進(jìn)行協(xié)調(diào)，因此落實(shí)協(xié)調(diào)機(jī)制也無(wú)從談起，更不用說(shuō)健全和完善。同時(shí)，由于管理部門各自職責(zé)不同，信息達(dá)不到共享，導(dǎo)致無(wú)法形成食品安全的監(jiān)督合力。

此外，我國(guó)的食品監(jiān)管工作仍存在管理力度不夠、效果差等實(shí)際情況。目前，我國(guó)政府對(duì)社會(huì)餐飲行業(yè)監(jiān)管力度還不夠，與其他國(guó)家相比資金的投入還相對(duì)較少，食品安全監(jiān)管人員明顯不足，監(jiān)管的手段也相對(duì)單一。因此，在食品安全監(jiān)管上出現(xiàn)的漏洞比較多，也影響了監(jiān)管工作的效果。

3.2.2 堅(jiān)定實(shí)施分級(jí)監(jiān)管機(jī)制及社會(huì)參與機(jī)制

近些年我國(guó)餐飲行業(yè)迅速發(fā)展，但是由于各地發(fā)展水平不同，也出現(xiàn)了餐飲行業(yè)區(qū)域差異性問(wèn)題。因此要根據(jù)我們國(guó)家的基本國(guó)情實(shí)施分級(jí)監(jiān)管機(jī)制，推行分類監(jiān)管制度與誠(chéng)信制度，并使它們有機(jī)結(jié)合，有助于餐飲行業(yè)的自我約束、自我提高。同時(shí)還要充分利用社會(huì)資源，加大餐飲安全監(jiān)管力量，提高廣大人民群眾對(duì)食品安全的認(rèn)識(shí)，并使廣大人民群眾積極參與到食品安全的監(jiān)督工作中，形成一種人人對(duì)餐飲安全有責(zé)的氣氛。堅(jiān)定實(shí)施分級(jí)監(jiān)管機(jī)制及社會(huì)參與機(jī)制，把政策落到實(shí)處，做到我國(guó)餐飲的真正安全，餐飲安全管理人員必須負(fù)起責(zé)任。

4 總結(jié)

食品安全關(guān)乎千家萬(wàn)戶，保證食品安全不僅是國(guó)家的責(zé)任，也是我們每個(gè)人義不容辭的責(zé)任。當(dāng)今世界食品安全事件并不少見(jiàn)，也得到了各國(guó)的重視，我國(guó)食品安全部門也加大了食品安全的檢查力度，發(fā)現(xiàn)質(zhì)量安全問(wèn)題絕不手軟，對(duì)社會(huì)上一些危害極大的食品事故企業(yè)，不僅僅對(duì)相關(guān)責(zé)任人依法追究刑事責(zé)任，同時(shí)也對(duì)企業(yè)加大懲罰力度。因此，近年來(lái)由于國(guó)家的高壓檢查，食品安全事件的發(fā)生頻率得到了有效控制。同時(shí)也呼吁我們每個(gè)公民都要積極的對(duì)食品安全問(wèn)題進(jìn)行監(jiān)督。

參考文獻(xiàn)：

（1）徐景和。積極推動(dòng)餐飲安全監(jiān)管機(jī)制創(chuàng)新[J]。中國(guó)食品藥品監(jiān)管，2011（08）：16-18.

（2）邊振甲?？茖W(xué)探索餐飲安全監(jiān)管新思路[J]。行政管理改革，2011（09）：27-30.

（3）徐晗。湖南省餐飲服務(wù)食品安全監(jiān)管體系建設(shè)狀況分析[D]。中南大學(xué)，2012.

第2篇

信息技術(shù)以及信息產(chǎn)業(yè)的飛速發(fā)展，給檔案管理信息化建設(shè)帶來(lái)了機(jī)會(huì)，同時(shí)也給其帶來(lái)了巨大的沖擊和新的挑戰(zhàn)。信息系統(tǒng)自身所處的網(wǎng)絡(luò)環(huán)境的特點(diǎn)以及信息系統(tǒng)自身的局限性會(huì)導(dǎo)致信息系統(tǒng)的發(fā)展過(guò)程中會(huì)受到一些因素的影響。而且，在使用的過(guò)程中也會(huì)遇到一些認(rèn)為破壞或者是木馬等方面的破壞。所以，檔案管理信息化的過(guò)程中會(huì)遇到一些信息安全隱患，這嚴(yán)重影響信息的安全可靠性。但是，隨著時(shí)代的快速發(fā)展，人們?cè)诓粩嗟奶剿骱脱芯糠乐剐畔⑾到y(tǒng)遭受到破壞的措施，而且在殺毒軟件和入侵檢測(cè)技術(shù)方面獲得了很大的成就。雖然這些檢測(cè)手段的使用在一定程度上可以防止惡意程序?qū)π畔⑾到y(tǒng)的破壞，但是并沒(méi)有從根本上解決檔案信息系統(tǒng)的安全問(wèn)題。因?yàn)殡S著信息技術(shù)的發(fā)展，信息系統(tǒng)受到的威脅也在逐漸向著多樣化的趨勢(shì)發(fā)展變化，而且更加的隱蔽化，對(duì)于信息系統(tǒng)的破壞性越來(lái)越大。隨著信息技術(shù)的廣泛使用，信息安全的內(nèi)涵也在不斷的豐富，已經(jīng)不再是最開(kāi)始的單單對(duì)信息保密，而是向著保證信息的完整性、準(zhǔn)確性方向發(fā)展，使檔案信息變得更加的實(shí)用而且具有不可否認(rèn)性。進(jìn)而實(shí)現(xiàn)多方面的防控實(shí)施技術(shù)。

二、檔案管理信息化中安全風(fēng)險(xiǎn)評(píng)估的作用

人們?cè)谶M(jìn)行檔案信息管理的過(guò)程中受到認(rèn)識(shí)能力以及實(shí)踐能力的限制，不能夠保證信息管理的完全安全性，所以檔案信息管理系統(tǒng)在一定程度上存在著脆弱性，這種情況導(dǎo)致在使用檔案信息的過(guò)程中面臨著一些人為或者是自然條件的破壞，所以檔案信息管理存在安全風(fēng)險(xiǎn)具有必然性。因此，對(duì)檔案信息管理進(jìn)行安全風(fēng)險(xiǎn)評(píng)估具有重要的意義，信息安全建設(shè)的前提是，基于對(duì)綜合成本以及效益的考慮，采取有效的安全方法對(duì)風(fēng)險(xiǎn)進(jìn)行控制，保證殘余風(fēng)險(xiǎn)降低在最小的程度。因?yàn)?，人們追求?shí)際的信息系統(tǒng)的安全，是指對(duì)信息系統(tǒng)實(shí)施了風(fēng)險(xiǎn)控制之后，接受殘余風(fēng)險(xiǎn)的存在，但是殘余風(fēng)險(xiǎn)應(yīng)該控制在最小的程度。所以，要保證檔案信息系統(tǒng)的安全可靠性，就應(yīng)該實(shí)施全面、系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，將安全風(fēng)險(xiǎn)評(píng)估的思想以及觀念貫穿到整個(gè)信息管理的過(guò)程中。通常情況下，信息安全風(fēng)險(xiǎn)主要指的是在整個(gè)信息管理的過(guò)程中，信息的安全屬性所面臨的危害發(fā)生的可能性。產(chǎn)生這種可能性的原因是系統(tǒng)脆弱性、人為因素或者是其他的因素造成的威脅。用來(lái)衡量安全事件發(fā)生的概率以及造成的影響的指標(biāo)主要有兩種。然而，危害的程度并不只取決于安全事件發(fā)展的概率，還與其造成的后果的嚴(yán)重性的大小有著直接的關(guān)系。安全風(fēng)險(xiǎn)評(píng)估具有很多的特點(diǎn)。首先，它具有決策支持性，這個(gè)特點(diǎn)在整個(gè)安全風(fēng)險(xiǎn)評(píng)估周期中都存在，只是內(nèi)容不相同，因?yàn)榘踩u(píng)估的真正目的是供給安全管理支持以及服務(wù)的。在系統(tǒng)生命周期中都存在著安全隱患，所以整個(gè)生命周期中都離不開(kāi)安全風(fēng)險(xiǎn)評(píng)估。其次，比較分析性，這個(gè)特點(diǎn)主要體現(xiàn)在對(duì)安全管理和運(yùn)營(yíng)的不同的方案能夠進(jìn)行有效的比較以及分析；能夠?qū)Σ煌尘扒闆r下使用的科學(xué)技術(shù)以及資金投入進(jìn)行比較分析；還能夠?qū)Ξa(chǎn)生的結(jié)果進(jìn)行有效的比較分析。最后，前提假設(shè)性，對(duì)檔案信息進(jìn)行管理的過(guò)程中所使用的風(fēng)險(xiǎn)評(píng)估會(huì)涉及到各種評(píng)估數(shù)據(jù)，這些數(shù)據(jù)能夠被分為兩種。其中一種數(shù)據(jù)的功能是對(duì)檔案信息實(shí)際情況的描述，通過(guò)這些數(shù)據(jù)就可以了解整個(gè)檔案管理信息中的情況；另一種數(shù)據(jù)是指預(yù)測(cè)數(shù)據(jù)，主要是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的，因?yàn)樵谛畔⒐芾淼恼麄€(gè)過(guò)程中，都要對(duì)一些未知的情況進(jìn)行事先的預(yù)測(cè)，然后做出必要的假設(shè)，得出相關(guān)的預(yù)測(cè)數(shù)據(jù)，再根據(jù)這些預(yù)測(cè)數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

三、檔案管理不同階段

進(jìn)行不同的風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)的開(kāi)發(fā)涉及到很多的模型，而且隨著科學(xué)技術(shù)的快速發(fā)展，各種模型都在不斷的升級(jí)。從最早期的線性模型到螺旋式模型再到后來(lái)的并發(fā)式的模型，這些系統(tǒng)模型的開(kāi)發(fā)都是為了滿足不同的系統(tǒng)需求。然而，風(fēng)險(xiǎn)評(píng)估卻存在于整個(gè)信息系統(tǒng)的生命周期中，但是由于信息系統(tǒng)的生命周期中有很多的階段，而且每一個(gè)階段活動(dòng)的內(nèi)容都有所差別，因此信息管理的安全目標(biāo)以及對(duì)安全風(fēng)險(xiǎn)評(píng)估的要求也是不同的。

（一）對(duì)于分析階段的風(fēng)險(xiǎn)評(píng)估。其真正的目的是為了實(shí)現(xiàn)規(guī)劃中的檔案信息系統(tǒng)安全風(fēng)險(xiǎn)的獲得，這樣才能夠根據(jù)獲得的信息來(lái)滿足安全建設(shè)的具體需求。分析階段的風(fēng)險(xiǎn)評(píng)估的重點(diǎn)是抓住系統(tǒng)初期的安全風(fēng)險(xiǎn)評(píng)估，從而有效的滿足對(duì)安全性的需求，然后從宏觀的角度來(lái)分析和評(píng)估檔案信息管理系統(tǒng)中可能存在的危險(xiǎn)因素。

（二）設(shè)計(jì)階段的安全風(fēng)險(xiǎn)評(píng)估。這個(gè)階段涉及到的安全目標(biāo)比較多，所以能夠有效的確定安全目標(biāo)具有重要的意義。應(yīng)該采取有效的措施，通過(guò)安全風(fēng)險(xiǎn)評(píng)估，保證檔案信息管理系統(tǒng)中安全目標(biāo)的明確。

（三）集成實(shí)現(xiàn)階段。這個(gè)階段的主要目的是要驗(yàn)證系統(tǒng)安全要求的實(shí)現(xiàn)效果與符合性是否一致，所以，應(yīng)該通過(guò)有效的風(fēng)險(xiǎn)評(píng)估對(duì)其進(jìn)行驗(yàn)證。需要注意的是，在進(jìn)行資產(chǎn)評(píng)估的時(shí)候，如果在分析階段以及設(shè)計(jì)階段已經(jīng)對(duì)資產(chǎn)進(jìn)行了評(píng)估，那么在這個(gè)階段就不需要再重新做資產(chǎn)評(píng)估的工作，防止重復(fù)性工作的發(fā)生。所以，可以直接用前兩個(gè)階段得出的資產(chǎn)評(píng)估的結(jié)果，但是如果在分析階段和設(shè)計(jì)階段都沒(méi)有進(jìn)行資產(chǎn)評(píng)估，則需要在此階段先進(jìn)行這項(xiàng)工作。威脅評(píng)估依然著重威脅環(huán)境，而且要對(duì)真實(shí)環(huán)境中的具體威脅進(jìn)行有效的分析。除此之外，還應(yīng)該對(duì)檔案信息管理系統(tǒng)進(jìn)行實(shí)際環(huán)境的脆弱性的有效分析，重點(diǎn)放在信息的運(yùn)行環(huán)境以及管理環(huán)境中的脆弱性的分析。

（四）運(yùn)行維護(hù)階段。對(duì)檔案管理系統(tǒng)不斷的進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估，從而確保系統(tǒng)的安全、可靠性，這樣才能夠保證檔案管理系統(tǒng)在整個(gè)生命周期中都處于安全的環(huán)境。

四、檔案信息安全風(fēng)險(xiǎn)評(píng)估存在的不足

我國(guó)在檔案信息安全風(fēng)險(xiǎn)評(píng)估方面已經(jīng)取得了很大的成就，積累了一些寶貴的經(jīng)驗(yàn)。但是，由于我國(guó)檔案信息安全風(fēng)險(xiǎn)評(píng)估工作起步晚，還存在一些不足之處，主要表現(xiàn)在以下幾點(diǎn)。

（一）管理層對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估缺乏一定的重視，而且缺少一些專業(yè)評(píng)估技術(shù)人員。當(dāng)前評(píng)估技術(shù)人員的專業(yè)技能不高也是現(xiàn)階段存在的問(wèn)題。所以，應(yīng)該對(duì)評(píng)估人員進(jìn)行定期的培訓(xùn)，提高他們的專業(yè)技能，保證風(fēng)險(xiǎn)評(píng)估工作有效的進(jìn)行，同時(shí)還應(yīng)該采取有效的措施來(lái)提高工作人員對(duì)于風(fēng)險(xiǎn)評(píng)估的重視，是檔案管理信息化環(huán)境處于安全的運(yùn)行環(huán)境中。

（二）風(fēng)險(xiǎn)評(píng)估的工作流程還不夠完善，而且一些風(fēng)險(xiǎn)技術(shù)標(biāo)準(zhǔn)也需要進(jìn)一步的更新。檔案信息化管理的風(fēng)險(xiǎn)評(píng)估，不僅僅是一個(gè)管理的過(guò)程，也是一個(gè)技術(shù)性的過(guò)程，所以應(yīng)該根據(jù)實(shí)際情況來(lái)科學(xué)合理地制定工作流程和技術(shù)標(biāo)準(zhǔn)。如果所有的環(huán)境和情況都套用一種工作流程和一個(gè)技術(shù)標(biāo)準(zhǔn)，就會(huì)導(dǎo)致不匹配現(xiàn)象的出現(xiàn)，不僅影響風(fēng)險(xiǎn)評(píng)估的效果，而且在一定程度上還影響信息系統(tǒng)的安全性。

（三）評(píng)估工具的發(fā)展比較滯后，隨著科學(xué)技術(shù)的快速發(fā)展，信息安全漏洞會(huì)逐漸顯露出來(lái)，所以對(duì)信息系統(tǒng)的威脅逐漸增加。應(yīng)該采用先進(jìn)的評(píng)估工具對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，從而滿足檔案管理信息化的需求。

五、結(jié)語(yǔ)

第3篇

從企業(yè)內(nèi)部業(yè)務(wù)出發(fā)，優(yōu)化信息安全風(fēng)險(xiǎn)評(píng)估基本模型，設(shè)計(jì)了一個(gè)企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估實(shí)施模型，并深入分析了該模型的內(nèi)容，使其適用于企業(yè)依托自身力量來(lái)有效開(kāi)展自評(píng)估活動(dòng)，從而提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力。

關(guān)鍵詞：

信息安全；自評(píng)估；風(fēng)險(xiǎn)評(píng)估；模型設(shè)計(jì)

企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估主要有2種模式，即他評(píng)估和自評(píng)估。相比較而言，自評(píng)估展現(xiàn)出越來(lái)越多的優(yōu)點(diǎn)，比如外部依賴性小、投入費(fèi)用低、評(píng)估周期短、次生風(fēng)險(xiǎn)低和可以提高內(nèi)部安全意識(shí)等。除此之外，信息安全風(fēng)險(xiǎn)的動(dòng)態(tài)化決定信息安全評(píng)估工作應(yīng)是長(zhǎng)期持續(xù)的，大部分的內(nèi)部信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容企業(yè)可采用自評(píng)估方式來(lái)完成。但信息安全風(fēng)險(xiǎn)評(píng)估的專業(yè)性、技術(shù)性、標(biāo)準(zhǔn)性比較高，企業(yè)難以掌握復(fù)雜的評(píng)估技術(shù)和方法。本文以企業(yè)業(yè)務(wù)為出發(fā)點(diǎn)，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估基本模型進(jìn)行優(yōu)化，設(shè)計(jì)了一個(gè)更適用于企業(yè)依托自身力量來(lái)有效開(kāi)展自評(píng)估的實(shí)施模型，以提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力。

1信息安全風(fēng)險(xiǎn)評(píng)估基本模型

對(duì)風(fēng)險(xiǎn)評(píng)估模型的研究一直是信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的研究熱點(diǎn)之一。風(fēng)險(xiǎn)評(píng)估基本模型是一種基于資產(chǎn)、威脅和脆弱性的信息安全風(fēng)險(xiǎn)評(píng)估模型。其中，資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)，估價(jià)準(zhǔn)則依賴于對(duì)其影響范圍的分析；威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性和威脅嚴(yán)重程度的評(píng)估；脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估，也是對(duì)資產(chǎn)被威脅、利用成功的可能性的評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估基本模型的評(píng)估過(guò)程就是對(duì)資產(chǎn)信息、威脅信息和脆弱性信息進(jìn)行綜合分析評(píng)估并且生成風(fēng)險(xiǎn)信息的過(guò)程，包含確定評(píng)估范圍、資產(chǎn)識(shí)別階段、安全威脅/脆弱性評(píng)估、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理等階段?；谛畔踩L(fēng)險(xiǎn)評(píng)估基本模型，很多學(xué)者從不同角度和目的做了優(yōu)化和完善。但是，信息安全風(fēng)險(xiǎn)評(píng)估模型的研究還處于探索和完善階段，已有的研究存在一些缺陷，主要表現(xiàn)為以下3點(diǎn)：①缺乏對(duì)評(píng)估內(nèi)容的逐層細(xì)化，難以評(píng)價(jià)和量化各要素，可操作性比較差；②缺乏對(duì)風(fēng)險(xiǎn)評(píng)估基本要素屬性的綜合思考，難以體現(xiàn)評(píng)估要素與企業(yè)業(yè)務(wù)的關(guān)系；③大部分模型比較復(fù)雜，評(píng)估方法和流程操作起來(lái)費(fèi)時(shí)費(fèi)力，企業(yè)難以采用。

2基于基本模型的企業(yè)信息安全自評(píng)估模型

針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估模型的不足，本文綜合考慮企業(yè)自身的業(yè)務(wù)和內(nèi)部約束條件，在基本模型和相關(guān)研究成果的基礎(chǔ)上，提出更加簡(jiǎn)單、有效的企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型。本文認(rèn)為，企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型應(yīng)遵循自主、簡(jiǎn)單、規(guī)范性、可行性和可擴(kuò)展性的原則，基本思路是從企業(yè)業(yè)務(wù)出發(fā)，多角度研究自評(píng)估模型中資產(chǎn)、威脅、脆弱性的關(guān)系和指標(biāo)，應(yīng)用相關(guān)統(tǒng)計(jì)分析方法統(tǒng)計(jì)，運(yùn)用層次分析法（AHP）評(píng)價(jià)、量化相關(guān)要素和風(fēng)險(xiǎn)，最終構(gòu)建一個(gè)科學(xué)、合理、可操作的企業(yè)自評(píng)估模型。在此過(guò)程中，需要解決3方面的問(wèn)題：①明確評(píng)估的對(duì)象、內(nèi)容和流程；②構(gòu)建評(píng)價(jià)方法，統(tǒng)一評(píng)估和度量風(fēng)險(xiǎn)基本要素；③統(tǒng)一不同層面、角度的評(píng)估結(jié)果。

2.1基于AHP的信息安全風(fēng)險(xiǎn)要素度量方法

AHP（AnalyticHierarchyProcess，層次分析法）是一種定性分析與定量分析相結(jié)合的多目標(biāo)決策分析方法，其基本步驟是：①分析問(wèn)題，建立遞階結(jié)構(gòu)（評(píng)價(jià)模型）；②構(gòu)造比較判斷矩陣；③層次單排序；④一致性檢驗(yàn)；⑤層次總排序與一致性檢驗(yàn)；⑥選擇最優(yōu)的解決方案。資產(chǎn)、威脅、脆弱性作為信息安全風(fēng)險(xiǎn)自評(píng)估模型的3個(gè)基本要素，需要分別識(shí)別和分析，并提煉出各自的評(píng)價(jià)指標(biāo)。本文結(jié)合已有的理論和實(shí)踐成果，從自主性、簡(jiǎn)單性、可行性和科學(xué)性原則出發(fā)，基于相關(guān)標(biāo)準(zhǔn)、企業(yè)環(huán)境和企業(yè)業(yè)務(wù)影響分析，提出信息資產(chǎn)的評(píng)價(jià)因素應(yīng)包含經(jīng)濟(jì)、名譽(yù)、法律法規(guī)、業(yè)務(wù)運(yùn)營(yíng)、社會(huì)秩序、商業(yè)利益和個(gè)人利益，等等，威脅可能性評(píng)價(jià)指標(biāo)應(yīng)包含威脅攻擊力、威脅動(dòng)機(jī)、資產(chǎn)誘因和威脅頻率等，脆弱性嚴(yán)重程度賦值的評(píng)價(jià)因素應(yīng)包含可用性、機(jī)密性和完整性。根據(jù)資產(chǎn)受到損害時(shí)對(duì)其評(píng)價(jià)因素帶來(lái)的損失為資產(chǎn)價(jià)值賦值（比如從1～4取值），數(shù)值越大，表明資產(chǎn)價(jià)值越高。得到各評(píng)價(jià)因素的綜合分值后，分值最大的為該資產(chǎn)的價(jià)值，即資產(chǎn)價(jià)值為A＝max（i）。根據(jù)威脅評(píng)價(jià)指標(biāo)和脆弱性評(píng)價(jià)因素，利用AHP方法建立威脅、脆弱性評(píng)價(jià)體系，體系由目標(biāo)層、準(zhǔn)則層和指標(biāo)層（方案層）構(gòu)成。為了方便對(duì)不同威脅發(fā)生可能性概率、不同脆弱性的嚴(yán)重程度進(jìn)行類比、度量，使用統(tǒng)一的度量標(biāo)準(zhǔn)，采用相對(duì)等級(jí)的方式處理評(píng)價(jià)結(jié)果（比如從1～4取值），數(shù)值越大，威脅發(fā)生的可能性越高，帶來(lái)的損害越大。通過(guò)AHP用數(shù)量形式表達(dá)和處理個(gè)人主觀判斷結(jié)果，采用專家和團(tuán)隊(duì)評(píng)分進(jìn)一步比較各要素的重要性，并做一致性檢驗(yàn)，最終確定各要素的值。

2.2企業(yè)信息安全自評(píng)估風(fēng)險(xiǎn)計(jì)算

在對(duì)資產(chǎn)價(jià)值、威脅、脆弱性分析和量化后，還要確定各要素之間的組合方式和具體的計(jì)算方法?！缎畔踩L(fēng)險(xiǎn)評(píng)估規(guī)范》（2007）對(duì)風(fēng)險(xiǎn)值的計(jì)算提出了如下函數(shù)：風(fēng)險(xiǎn)值＝R（A，T，V）＝R（L（T，V），F(xiàn)（Ia，Va））.（1）式（1）中：R為安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A為資產(chǎn)；T為威脅；V為脆弱性；L為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F為安全事件發(fā)生后造成的損失；Ia為安全事件所作用的資產(chǎn)價(jià)值；Va為脆弱性嚴(yán)重程度。信息安全風(fēng)險(xiǎn)值的計(jì)算方法主要有矩陣法、相乘法和預(yù)先價(jià)值矩陣查表法等，并且可以將多種方法結(jié)合使用。因?yàn)橄喑朔ú僮骱?jiǎn)單，所以，在風(fēng)險(xiǎn)分析中的應(yīng)用比較廣泛。該方法是一種定量的計(jì)算方法，主要思路是利用2個(gè)相關(guān)要素值的乘積計(jì)算出結(jié)果要素的值。按照簡(jiǎn)單性、科學(xué)性原則，對(duì)于企業(yè)自評(píng)估，本文認(rèn)為，相乘法比較適合企業(yè)使用，但不限于該方法。根據(jù)相乘法，企業(yè)信息安全風(fēng)險(xiǎn)值的計(jì)算過(guò)程是：①計(jì)算威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性，即L＝L（T，V）＝T×V；②計(jì)算安全事件發(fā)生后造成的損失，即F＝F（Ia，Va）＝Ia×Va；③計(jì)算風(fēng)險(xiǎn)值，即R＝R（L，F(xiàn)）＝L×F.

2.3企業(yè)信息安全自評(píng)估模型和流程設(shè)計(jì)

企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估的基本目的是依據(jù)企業(yè)自身業(yè)務(wù)，識(shí)別出信息系統(tǒng)中存在的主要安全風(fēng)險(xiǎn)，并排列優(yōu)先級(jí)，為風(fēng)險(xiǎn)信息計(jì)算提供數(shù)據(jù)支撐，進(jìn)而為提出風(fēng)險(xiǎn)應(yīng)對(duì)措施提供建議。基于上述方法，本文提出了企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型，如圖1所示。企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型的實(shí)施分為范圍確定、資產(chǎn)識(shí)別與量化、威脅分析、脆弱性分析、風(fēng)險(xiǎn)分析與計(jì)算、風(fēng)險(xiǎn)應(yīng)對(duì)建議6個(gè)階段，每個(gè)階段的具體任務(wù)如圖2所示。本文提出的自評(píng)估模型綜合了企業(yè)自評(píng)估的約束條件、風(fēng)險(xiǎn)評(píng)估的基本原理、關(guān)鍵環(huán)節(jié)與流程、基本要素度量等，具有以下5個(gè)特點(diǎn)：①模型提供了統(tǒng)一的資產(chǎn)、威脅、脆弱性3個(gè)基本要素的度量和評(píng)價(jià)方法，依據(jù)模型中的評(píng)價(jià)指標(biāo)可以進(jìn)行量化和排序。②模型將企業(yè)業(yè)務(wù)與風(fēng)險(xiǎn)評(píng)估結(jié)合起來(lái)，體現(xiàn)了IT服務(wù)企業(yè)、服務(wù)業(yè)務(wù)的理念，在一定程度上反映出了信息安全風(fēng)險(xiǎn)評(píng)估對(duì)業(yè)務(wù)的影響程度和對(duì)企業(yè)的價(jià)值。③模型滿足信息安全的動(dòng)態(tài)性要求，適應(yīng)企業(yè)業(yè)務(wù)不斷發(fā)展和調(diào)整的需要。當(dāng)業(yè)務(wù)調(diào)整時(shí)，企業(yè)僅需分析業(yè)務(wù)信息流，識(shí)別出相關(guān)資產(chǎn)、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求，企業(yè)可建立相關(guān)制度，將自評(píng)估設(shè)立為日常性工作。當(dāng)業(yè)務(wù)無(wú)法調(diào)整時(shí)，自評(píng)估活動(dòng)僅需識(shí)別和分析新的脆弱性和威脅信息，從而節(jié)省大量資源。⑤模型具有較強(qiáng)的適應(yīng)性，適用于不同類型的企業(yè)，企業(yè)可根據(jù)實(shí)際情況裁減和優(yōu)化，根據(jù)各自的偏好選擇風(fēng)險(xiǎn)計(jì)算方法。

3結(jié)束語(yǔ)

第4篇

【關(guān)鍵詞】電力系統(tǒng)；信息安全；風(fēng)險(xiǎn)；策略

電力系統(tǒng)中信息安全是企業(yè)獲得經(jīng)濟(jì)效益的前提，對(duì)于電力系統(tǒng)來(lái)說(shuō)更是如此。電力系統(tǒng)的信息安全，直接關(guān)乎到整個(gè)企業(yè)的前途和命運(yùn)。近年來(lái)，隨著我國(guó)經(jīng)濟(jì)的進(jìn)一步的發(fā)展，對(duì)于電力的需求也越來(lái)越大，所以在電力的生產(chǎn)過(guò)程當(dāng)中信息安全管理就越來(lái)越重要。長(zhǎng)期以來(lái)，我國(guó)的電力系統(tǒng)對(duì)于電力系統(tǒng)的安全管理就非常的重視，但是，從目前情況來(lái)看，信息安全管理的水平還遠(yuǎn)遠(yuǎn)的達(dá)不到我國(guó)電網(wǎng)所要求的水平。所以加強(qiáng)電力信息安全管理已是勢(shì)在必行。本文主要從目前我國(guó)電力系統(tǒng)的信息安全管理當(dāng)中存在的風(fēng)險(xiǎn)入手，對(duì)癥下藥，提出切實(shí)可行的對(duì)策，促進(jìn)我國(guó)電力系統(tǒng)的發(fā)展。

1 電力系統(tǒng)生產(chǎn)過(guò)程中信息安全存在的風(fēng)險(xiǎn)

信息安全是整個(gè)電力系統(tǒng)信息管理的主題，它不僅關(guān)系到企業(yè)的社會(huì)信譽(yù)和經(jīng)濟(jì)效益，更關(guān)系到廣大人民群眾的生產(chǎn)生活和國(guó)民經(jīng)濟(jì)的良好健康發(fā)展，我國(guó)的電力系統(tǒng)對(duì)于電力信息安全管理一直較為重視，從目前的情況來(lái)看，我國(guó)的電力系統(tǒng)當(dāng)中還存在著很多信息安全的風(fēng)險(xiǎn)，其主要表現(xiàn)在以下幾個(gè)方面：第一，電力系統(tǒng)當(dāng)中從領(lǐng)導(dǎo)到員工缺乏基本的信息安全責(zé)任意識(shí)。在很多的電力系統(tǒng)當(dāng)中，存在著領(lǐng)導(dǎo)表面上對(duì)于生產(chǎn)的信息安全管理工作十分重視，所以必須認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估的重要性。但是，這些領(lǐng)導(dǎo)并沒(méi)有身體力行去電力系統(tǒng)的第一線進(jìn)行實(shí)地的檢查、監(jiān)督，對(duì)于生產(chǎn)工作的存在信息安全問(wèn)題并不了解。同時(shí)對(duì)于整個(gè)信息安全管理工作并沒(méi)有進(jìn)行實(shí)際的資金投入或是資金投入較少，導(dǎo)致信息安全管理工作困難重重。第二，由于電力系統(tǒng)涉及的范圍廣、單位多，這就造成了在進(jìn)行信息安全安全管理工作的過(guò)程當(dāng)中協(xié)調(diào)難度大，一部分的基層領(lǐng)導(dǎo)對(duì)于信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)存在著偏差，對(duì)于信息安全管理工作不熱心，就造成了信息安全管理的真空地帶。第三，在進(jìn)行信息安全管理的過(guò)程當(dāng)中，監(jiān)管人員對(duì)于信息管理操縱者的習(xí)慣性違章行為采取睜一只眼閉一只眼的做法，在出現(xiàn)信息安全事故之后對(duì)于事故責(zé)任人的處罰不嚴(yán)格，姑息養(yǎng)奸，不能起到有效的警示作用，導(dǎo)致信息安全事故頻發(fā)。

2 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估策略

2.1 要制定科學(xué)合理的信息安全管理方案

作為供電部門，應(yīng)該對(duì)用戶用電情況負(fù)責(zé)。供電部門應(yīng)該根據(jù)不同的客戶的需要，然后制定出滿足用戶用電需求的方案，通過(guò)制定規(guī)范的方案，使用戶在用電的時(shí)候能夠合理的進(jìn)行安排，然而，擺在眼前的問(wèn)題主要是由于用電用戶造成的，供電部門在了解一些用戶用電出現(xiàn)問(wèn)題的時(shí)候，他們給予了及時(shí)解決的辦法，供電部門幫助用戶把電路接好，但是接好后的電路被一些用戶進(jìn)行改動(dòng)了，改動(dòng)后的線路出現(xiàn)了供電線路互相混淆和交叉的現(xiàn)象，這樣給用戶用電帶來(lái)了安全隱患。因此用電監(jiān)察管理部門應(yīng)該對(duì)用戶用電線路進(jìn)行延伸的問(wèn)題給予制止，避免不安全的事故發(fā)生。字監(jiān)察的過(guò)程要要對(duì)電氣設(shè)備的開(kāi)關(guān)、線路，以及保險(xiǎn)絲供電過(guò)程中的容量，不能夠超過(guò)其主要的負(fù)荷能力。只有用電監(jiān)察管理部門做好信息安全管理工作，在日常的生活中要做到嚴(yán)格要求自己，同時(shí)還要對(duì)用戶的用電情況進(jìn)行了解并且掌握，還要找出出現(xiàn)不安全事故的原因，針對(duì)事故出現(xiàn)的原因，對(duì)電氣信息設(shè)備進(jìn)行及時(shí)的維修。

2.2 堅(jiān)持創(chuàng)新，提高信息管理水平

隨著我國(guó)經(jīng)濟(jì)的不斷發(fā)展，電力系統(tǒng)的生產(chǎn)安全管理也應(yīng)該與時(shí)俱進(jìn)，開(kāi)拓創(chuàng)新，以此來(lái)適應(yīng)市場(chǎng)經(jīng)濟(jì)下的電力系統(tǒng)的發(fā)展。從目前情況來(lái)看，我國(guó)的電力系統(tǒng)的安全管理制度，明顯處在一個(gè)落后的狀態(tài)，所以對(duì)于管理制度的創(chuàng)新已經(jīng)是勢(shì)在必行。第一，要對(duì)現(xiàn)行的管理制度進(jìn)行理論上的創(chuàng)新，要樹立一個(gè)和市場(chǎng)經(jīng)濟(jì)體制下的電力系統(tǒng)的發(fā)展相適應(yīng)的管理理念。第二，要進(jìn)行制度上的創(chuàng)新，制度創(chuàng)新主要是指通過(guò)創(chuàng)設(shè)新的、更能有效激勵(lì)人們行為的制度、規(guī)范體系來(lái)實(shí)現(xiàn)社會(huì)的持續(xù)發(fā)展和變革的創(chuàng)新。針對(duì)于電力系統(tǒng)的信息安全管理來(lái)說(shuō)就是，重新制定更有利于電力系統(tǒng)發(fā)展的規(guī)章制度，來(lái)確保電力系統(tǒng)的安全進(jìn)行，從而達(dá)到企業(yè)的經(jīng)濟(jì)和社會(huì)效益的最大化。第三，還要加強(qiáng)地理企業(yè)內(nèi)部的機(jī)制創(chuàng)新，機(jī)制創(chuàng)新主要是體現(xiàn)在深化企業(yè)的內(nèi)部改革，開(kāi)展多層次的員工培訓(xùn)，提高員工的整體素質(zhì)，以便于員工能夠更好的適應(yīng)電力系統(tǒng)的信息安全管理。第四，科學(xué)技術(shù)是第一生產(chǎn)力，所以必須要時(shí)刻堅(jiān)持科技的創(chuàng)新，在管理的過(guò)程當(dāng)中，要大力的發(fā)揮高新技術(shù)在信息管理過(guò)程當(dāng)中的應(yīng)用，完善企業(yè)的信息化建設(shè)，更好的為電力系統(tǒng)的信息安全管理服務(wù)。

2.3 加強(qiáng)信息設(shè)備管理，建立巡查制度

在電力系統(tǒng)的過(guò)程當(dāng)中由于信息設(shè)備的陳舊老化和突發(fā)問(wèn)題引起的安全事故十分普遍，針對(duì)于此，就必須要加強(qiáng)信息設(shè)備的管理。第一，在產(chǎn)品的選擇過(guò)程當(dāng)中，要嚴(yán)格的根據(jù)當(dāng)?shù)氐膶?shí)際情況，選擇與之相適應(yīng)的產(chǎn)品，同時(shí)要把好產(chǎn)品質(zhì)量關(guān)。第二，必須要嚴(yán)格的執(zhí)行報(bào)廢的制度，就目前來(lái)說(shuō)，我國(guó)大部分農(nóng)村的配電設(shè)備使用年限過(guò)長(zhǎng)而在超期服役現(xiàn)象十分的普遍，這對(duì)于整個(gè)電力系統(tǒng)的安全來(lái)說(shuō)是一個(gè)十分巨大的隱患，所以必須要嚴(yán)格的執(zhí)行報(bào)廢制度，對(duì)于達(dá)到使用年限的設(shè)備要及時(shí)的進(jìn)行更換，以免出現(xiàn)問(wèn)題。同時(shí)，對(duì)換下的設(shè)備，也要嚴(yán)格控制，防止其流出成為其它單位的隱患。第三，要建立定期的巡查制度，建立巡查制度的主要目的是在于更好的保證能夠時(shí)刻了解設(shè)備的現(xiàn)狀，以便于在設(shè)備出現(xiàn)問(wèn)題時(shí)，能夠在最短的時(shí)間之內(nèi)給予檢修和更換，盡最大可能的減少損失。

2.4 深入開(kāi)展反違章活動(dòng)

在具體的電力系統(tǒng)信息安全管理過(guò)程當(dāng)中，一線的工作人員的習(xí)慣性違章，是引發(fā)安全事故的最主要的原因。工作人員的習(xí)慣性違章主要包括違章操作、違反勞動(dòng)紀(jì)律和違章指揮。習(xí)慣性違章具體體現(xiàn)在臨時(shí)性的作業(yè)當(dāng)中配電工作人員進(jìn)行無(wú)票操作，在操作的過(guò)程當(dāng)中，因?yàn)槲丛顚懶蘩砥倍M(jìn)行修理，導(dǎo)致配電工作人員或群眾出現(xiàn)人身觸電的事故發(fā)生。工作人員的習(xí)慣性違章主要是由于管理人員的管理不到位和員工的安全意識(shí)較差造成的，所以針對(duì)于習(xí)慣性違章現(xiàn)象，一是要從領(lǐng)導(dǎo)到基層的安全管理人員嚴(yán)格按照生產(chǎn)管理的規(guī)章制度進(jìn)行操作和管理，對(duì)于出現(xiàn)違章的員工一定要按規(guī)定進(jìn)行處理，絕不姑息養(yǎng)奸。二是要樹立員工安全意識(shí)，徹底杜絕因?yàn)橐痪€員工自身原因而引發(fā)的信息安全事故。

3 結(jié)語(yǔ)

信息管理工作不是一成不變的，而是一項(xiàng)長(zhǎng)期的與時(shí)俱進(jìn)的工作。只有在電力系統(tǒng)發(fā)展的過(guò)程當(dāng)中，不斷對(duì)對(duì)電力系統(tǒng)的信息安全管理制度進(jìn)行改革和創(chuàng)新，使之更好的適應(yīng)社會(huì)的發(fā)展，最終實(shí)現(xiàn)安全管理制度的規(guī)范化和標(biāo)準(zhǔn)化。針對(duì)于目前我國(guó)電力系統(tǒng)當(dāng)中信息安全存在的風(fēng)險(xiǎn)，必須要把改革創(chuàng)新管理制度和加大監(jiān)察力度統(tǒng)一進(jìn)行，嚴(yán)格的執(zhí)行信息安全的獎(jiǎng)懲規(guī)定，深入開(kāi)展反違章工作，確保我國(guó)電力信息管理的各項(xiàng)工作能夠落到實(shí)處。

參考文獻(xiàn)：

[1]孟慶臣.試論如何加強(qiáng)電力系統(tǒng)信息管理[J].時(shí)代報(bào)告（學(xué)術(shù)版）.2011（25）.

第5篇

關(guān)鍵詞：電子商務(wù)；信息安全；風(fēng)險(xiǎn)評(píng)估；對(duì)策

基金項(xiàng)目：鄭州科技學(xué)院大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目：電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)及應(yīng)用（編號(hào)：DCY2019007）

1.引言

電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ)，以商城消費(fèi)者產(chǎn)品物流為構(gòu)成要素進(jìn)行的電子商務(wù)活動(dòng)。當(dāng)電子商務(wù)相關(guān)部門或人員在進(jìn)行項(xiàng)目開(kāi)發(fā)時(shí)，擁有一套信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)可以幫助其采用科學(xué)合理的方法對(duì)潛在威脅進(jìn)行分析并保證經(jīng)濟(jì)系統(tǒng)的安全。所以將信息安全技術(shù)與現(xiàn)代化新興技術(shù)結(jié)合，將為我們打造一個(gè)更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。

2.電子商務(wù)系統(tǒng)中存在的信息安全問(wèn)題及現(xiàn)狀

一般來(lái)說(shuō)，電子商務(wù)的信息安全是指在電子商務(wù)交易的過(guò)程中雙方使用各種技術(shù)和法律手段等確保交易不會(huì)因?yàn)橐馔猓瑦阂饣蛘吲哆@些不利要求而受到損害的信息安全。在21世紀(jì)初葉，我國(guó)金融系統(tǒng)中的計(jì)算機(jī)犯罪率一直在不斷地增加，我國(guó)金融網(wǎng)絡(luò)信息安全形勢(shì)非常嚴(yán)峻，需要加強(qiáng)改善。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問(wèn)題做一個(gè)簡(jiǎn)要介紹，主要涉及以下幾個(gè)方面：

（1）由于編寫的電子商務(wù)系統(tǒng)軟件可以使用不同的形式，因此在實(shí)際應(yīng)用過(guò)程中難以避免的會(huì)留下安全漏洞。例如，網(wǎng)絡(luò)操作系統(tǒng)本身會(huì)存在一些安全問(wèn)題，例如非法訪問(wèn)I/0，這些不完全的調(diào)解和混亂的訪問(wèn)控制會(huì)造成數(shù)據(jù)庫(kù)安全漏洞，而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開(kāi)始設(shè)計(jì)之前就沒(méi)有考慮TCP/IP通信協(xié)議的安全性，這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來(lái)也存在風(fēng)險(xiǎn)。在信息的傳遞過(guò)程中，需要不斷地對(duì)信息源進(jìn)行加工和重現(xiàn)，截取有用信息，不可避免會(huì)出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險(xiǎn)。尤其是在當(dāng)下“社交+商務(wù)”的模式下，一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬(wàn)次或者更多，一旦在信息轉(zhuǎn)載中出現(xiàn)誤差，影響非常大，風(fēng)險(xiǎn)應(yīng)當(dāng)給予重視。

（2）隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，計(jì)算機(jī)病毒帶來(lái)的問(wèn)題越來(lái)越廣泛，壓縮文件，電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑，因?yàn)檫@些病毒的種類非常多樣化，破壞性極強(qiáng)，使得計(jì)算機(jī)病毒的傳播速度大大加快了。近年來(lái)，新病毒種類的數(shù)量迅速增加，互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介。這些病毒可以通過(guò)網(wǎng)絡(luò)大量傳播任何粗心大意都會(huì)造成無(wú)法彌補(bǔ)的經(jīng)濟(jì)損失。此外還有信息傳遞過(guò)程所帶來(lái)的風(fēng)險(xiǎn)。信息是一種重要的資源，良好的流動(dòng)性能實(shí)現(xiàn)信息價(jià)值的最大化，但是在信息的傳遞過(guò)程中需要經(jīng)過(guò)許多路徑，而在這過(guò)程中往往存在一些不安全因素，給信息安全帶來(lái)一定的風(fēng)險(xiǎn)。

（3）當(dāng)前的黑客攻擊，除了計(jì)算機(jī)病毒的傳播外，黑容的惡意行為也越來(lái)越猖狂。特洛伊木馬使黑容可以使用計(jì)算機(jī)病毒從而變得更加有目的性，使得計(jì)算機(jī)記錄的登錄信息被特洛伊木馬程序惡意篡改，導(dǎo)致很多重要信息、文件，甚至是金錢被盜。

（4）由人為因素造成的電子商務(wù)公司的安全問(wèn)題，大部分保密工作是通過(guò)員工的操作來(lái)進(jìn)行的，這就需要員工具有很好的保密性，責(zé)任心和責(zé)任感等道德素質(zhì)。如果員工的責(zé)任心不強(qiáng)，態(tài)度不正確，就容易被別人利用，讓無(wú)關(guān)人員隨意進(jìn)出房間或向他人泄露機(jī)密信息，可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德，可能會(huì)非法超出授權(quán)范圍更改或刪除他人的信息，而且還可以利用所學(xué)專業(yè)知識(shí)和工作位置來(lái)竊取用戶密碼和標(biāo)識(shí)符，進(jìn)行非法出售。

3.電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估存在的問(wèn)題

經(jīng)過(guò)大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估是當(dāng)前科研工作中噬待解決的問(wèn)題。目前，國(guó)內(nèi)也有一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用，但是這些研究都只是簡(jiǎn)單的分析，包括常用的具有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估工具。評(píng)估矩陣，問(wèn)卷，風(fēng)險(xiǎn)評(píng)估矩陣與問(wèn)卷方法，專家系統(tǒng)相結(jié)合。對(duì)于更深層次的探究還需進(jìn)一步努力。此外，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法，時(shí)間序列模型，決策樹方法和回歸模型進(jìn)行。風(fēng)險(xiǎn)評(píng)估方法，定性分析主要包括邏輯分析，Delphi方法，因子分析方法，歷史比較方法等。其中，定量和定性評(píng)估方法相結(jié)合，是由模糊層次分析法，基于D-S證據(jù)理論等的評(píng)估方法組成。同時(shí)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估還存在一定問(wèn)題，例如隨著網(wǎng)絡(luò)的發(fā)展，我國(guó)從開(kāi)始的2G邁向4G現(xiàn)在又率先進(jìn)入5G時(shí)代。其中也出現(xiàn)了各種問(wèn)題，網(wǎng)民數(shù)量的增加需要迫切提高他們對(duì)信息安全的警惕意識(shí)。

3.1欠缺對(duì)電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)

當(dāng)前，許多相關(guān)人員對(duì)電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識(shí)，缺少信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)。因此他們沒(méi)有重視信息安全風(fēng)險(xiǎn)評(píng)估的重要性，其原因如下。第一，公司或單位的風(fēng)險(xiǎn)評(píng)估尚未通過(guò)標(biāo)準(zhǔn)檢驗(yàn)，培訓(xùn)標(biāo)準(zhǔn)，信息安全風(fēng)險(xiǎn)評(píng)估工作的研究尚未得到系統(tǒng)的相關(guān)理論，方法和技術(shù)工具，這是由于一些信息安全評(píng)估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對(duì)信息評(píng)估風(fēng)險(xiǎn)評(píng)估的重要性的認(rèn)識(shí)不足，因此自然而然不將此類風(fēng)險(xiǎn)評(píng)估工作包括在當(dāng)前的信息安全系統(tǒng)框架中。第二，盡管有許多部門將信息安全工作置于地位重要，但受到人力、物力，財(cái)力等方面的限制，社會(huì)制度的制約，政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作無(wú)法得到應(yīng)有的重視。

3.2缺乏信息安全風(fēng)險(xiǎn)評(píng)估方面的專業(yè)技術(shù)人才

首先，信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求非常高，它要求員工具有很高的技術(shù)水平，現(xiàn)在很多公司都將通用信息用作風(fēng)險(xiǎn)評(píng)估技術(shù)人員。其次，信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性，專業(yè)性于一體的工作，不僅涉及公司的所有業(yè)務(wù)信息，也涉及人力，物力和財(cái)力的方方面面，因此需要各部門之間相互配合，現(xiàn)在大多數(shù)公司僅依靠信息部門，獨(dú)立的參與信息安全風(fēng)險(xiǎn)評(píng)估毫無(wú)爭(zhēng)議他們要想完成信息安全風(fēng)險(xiǎn)評(píng)估工作是非常艱難的。綜上所述，培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估專業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向。

3.3風(fēng)險(xiǎn)評(píng)估工具相對(duì)缺乏

當(dāng)前，除專家系統(tǒng)外，其他分析工具相對(duì)來(lái)說(shuō)都比較簡(jiǎn)易，除此之外還缺乏實(shí)用的理論基礎(chǔ)。此外，這種信息風(fēng)險(xiǎn)評(píng)估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀。表明國(guó)內(nèi)和外部失衡，在中國(guó)相對(duì)落后?？梢?jiàn)解決信息安全問(wèn)題的關(guān)鍵在于有成熟的風(fēng)險(xiǎn)評(píng)估工具。

4.防范電子商務(wù)信息安全及風(fēng)險(xiǎn)的建議

4.1增強(qiáng)電子商務(wù)信息安全和風(fēng)險(xiǎn)評(píng)估的意識(shí)

大多數(shù)信息的傳輸和處理，與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務(wù)，人員的個(gè)人因素，管理因素和環(huán)境存在風(fēng)險(xiǎn)。主要包括人員的技術(shù)能力，監(jiān)控管理，安全性。特別需要做好監(jiān)督審計(jì)公司的工作，確保信息安全風(fēng)險(xiǎn)管理融入實(shí)踐，充分發(fā)揮內(nèi)部監(jiān)督作用，促進(jìn)社會(huì)責(zé)任認(rèn)可和實(shí)施信息安全風(fēng)險(xiǎn)管理工作。電子商務(wù)公司必須對(duì)工人進(jìn)行必要的信息安全知識(shí)教育培訓(xùn)，了解與之相關(guān)的法律法規(guī)，做好對(duì)客戶關(guān)鍵信息的隱秘保護(hù)。不隨意查看和泄露客戶購(gòu)買信息。

企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時(shí)信息的機(jī)密性和完整性，加強(qiáng)密鑰管理，提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力，采取措施避免越權(quán)或?yàn)E用，消除用戶在交易中的風(fēng)險(xiǎn)。在信息安全風(fēng)險(xiǎn)控制中必須由內(nèi)到外地保護(hù)內(nèi)部系統(tǒng)環(huán)境、網(wǎng)絡(luò)邊界、骨干網(wǎng)安全。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng)，并提供全面的安全保障。運(yùn)用端到端策略。對(duì)于移動(dòng)電子商務(wù)中用戶終端設(shè)備種類繁多，安全環(huán)境復(fù)雜難以控制的問(wèn)題，必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過(guò)人臉識(shí)別、指紋識(shí)別等技術(shù)有效提高用戶訪問(wèn)身份鑒別能力，極大地提高賬戶的安全性，確保數(shù)據(jù)傳輸?shù)陌踩裕_保交易的真實(shí)有效。

4.2提供專業(yè)的技術(shù)培訓(xùn)，提高專業(yè)人員的技能

認(rèn)真選擇第三方合作伙伴，增強(qiáng)信息管理水平，加強(qiáng)績(jī)效監(jiān)督管理。樹立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障，培養(yǎng)員工信息安全意識(shí)，創(chuàng)造良好信息安全工作氛圍，加強(qiáng)信息安全專業(yè)技術(shù)人員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí)和能力，通過(guò)大量的實(shí)驗(yàn)發(fā)現(xiàn)可以通過(guò)下列方法培訓(xùn)相關(guān)人員：第一，定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對(duì)信息安全的意識(shí)彌補(bǔ)存在的缺陷。第二，對(duì)信息安全部門的員工進(jìn)行專門的技術(shù)培訓(xùn)和指導(dǎo)，可通過(guò)模擬分析來(lái)提升技術(shù)；第三，公司應(yīng)增加對(duì)技術(shù)資源的投入，聘請(qǐng)經(jīng)驗(yàn)豐富的專家學(xué)者組成第三方評(píng)估機(jī)構(gòu)，引進(jìn)風(fēng)險(xiǎn)評(píng)估設(shè)備。以備不時(shí)之需；第四，公司應(yīng)對(duì)技術(shù)人員進(jìn)行標(biāo)準(zhǔn)化認(rèn)證培訓(xùn)，執(zhí)行職業(yè)資格準(zhǔn)入制度，提高技術(shù)人員的門檻，納入信息安全風(fēng)險(xiǎn)評(píng)估，技術(shù)人員的全面質(zhì)量保證評(píng)估。以上這些方法只是單純就培訓(xùn)方式對(duì)于具體的實(shí)施以及可能遇到的問(wèn)題依然需要研究。

4.3提升對(duì)信息安全防范技術(shù)的研究和應(yīng)用

為移動(dòng)數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密以防止泄漏，采用不同的加密方法來(lái)保護(hù)數(shù)據(jù)安全，進(jìn)行身份認(rèn)證，數(shù)據(jù)恢復(fù)，數(shù)據(jù)加密存儲(chǔ)，物理隔離，防火墻，網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)入侵檢測(cè)，網(wǎng)絡(luò)漏洞掃描，網(wǎng)絡(luò)設(shè)備備份，網(wǎng)絡(luò)管理，專線，實(shí)現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段，從而提高數(shù)據(jù)庫(kù)的安全性。同時(shí)提高認(rèn)識(shí)到物理設(shè)施的重要性，定期維護(hù)物理設(shè)施。為了監(jiān)測(cè)信息安全和實(shí)施評(píng)估系統(tǒng)，我們要保證基本硬件和芯片的獨(dú)立在建立獨(dú)立于信息安全的評(píng)估體系中，國(guó)內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究，建立創(chuàng)新的電子商務(wù)信息安全與評(píng)估體系。

第6篇

網(wǎng)絡(luò)系統(tǒng)所存在的安全風(fēng)險(xiǎn)主要包括：資產(chǎn)、威脅以及脆弱性。安全風(fēng)險(xiǎn)主要體現(xiàn)的是一種潛在的，沒(méi)有發(fā)生的狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估在網(wǎng)絡(luò)安全管理技術(shù)中具有重要的作用，其工作原理就是利用多種方法對(duì)網(wǎng)絡(luò)系統(tǒng)可能存在的安全漏洞進(jìn)行檢測(cè)，然后根據(jù)檢測(cè)的結(jié)果分析原因，進(jìn)而提供解決的建議。目前對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估主要采取以下幾種方法：一是基于安全標(biāo)準(zhǔn)的評(píng)估方法；二是基于財(cái)產(chǎn)價(jià)值的評(píng)估方法，其主要是將風(fēng)險(xiǎn)看做一種量化風(fēng)險(xiǎn)，考慮風(fēng)險(xiǎn)存在所造成的各種損失；三是基于漏洞檢測(cè)的評(píng)估方法。信息系統(tǒng)的安全隨著檢測(cè)技術(shù)的不斷發(fā)展，其會(huì)逐漸的被公布出來(lái)進(jìn)而使相關(guān)人員對(duì)系統(tǒng)進(jìn)行檢測(cè)，以此發(fā)現(xiàn)其存在，并且給予解決；四是給予安全模型的評(píng)估方法。隨著人們安全意識(shí)的提高，信息系統(tǒng)的開(kāi)發(fā)者會(huì)開(kāi)發(fā)出針對(duì)不同安全風(fēng)險(xiǎn)的模型，這些模型可以為提升系統(tǒng)的安全性和結(jié)構(gòu)性提供準(zhǔn)確的數(shù)據(jù)參考依據(jù)。

2基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的構(gòu)建

信息融合通俗的說(shuō)法就是數(shù)據(jù)融合，信息融合的關(guān)鍵問(wèn)題就是提出一種方法，對(duì)來(lái)自于相同系統(tǒng)或者不同特征模式的多源檢測(cè)信息進(jìn)行互補(bǔ)集成，從而獲得當(dāng)前系統(tǒng)狀態(tài)的判斷，并且對(duì)系統(tǒng)進(jìn)行未來(lái)預(yù)測(cè)，制訂出相應(yīng)的策略保障。

2．1當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型面臨的突出問(wèn)題

當(dāng)前對(duì)現(xiàn)存的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的分析發(fā)現(xiàn)其主要存在以下兩個(gè)問(wèn)題：首先是系統(tǒng)狀態(tài)空間爆炸問(wèn)題。信息系統(tǒng)的狀態(tài)是由不同的信息所組成的，這些信息在應(yīng)用網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型方法進(jìn)行檢測(cè)的過(guò)程中，這些信息在空間中的儲(chǔ)存量會(huì)快速的增加，進(jìn)而導(dǎo)致使用空間的縮小，影響模型的運(yùn)行速度；其次，當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估模型主要的精力是放在對(duì)漏洞的探測(cè)和發(fā)現(xiàn)上，對(duì)于發(fā)現(xiàn)的漏洞應(yīng)該如何進(jìn)行安全級(jí)別的評(píng)估還比較少，而且這種模型評(píng)估主要是依據(jù)人為因素的比較大，必須根據(jù)專家經(jīng)驗(yàn)對(duì)相關(guān)系統(tǒng)的安全問(wèn)題進(jìn)行評(píng)估，評(píng)估的結(jié)果不會(huì)隨著時(shí)間、地點(diǎn)的變化而變化，結(jié)果導(dǎo)致評(píng)估的風(fēng)險(xiǎn)不能真實(shí)的反映系統(tǒng)的內(nèi)部狀態(tài)。而且當(dāng)前市場(chǎng)中所存在的安全評(píng)估產(chǎn)品質(zhì)量不高，導(dǎo)致評(píng)估的結(jié)果也存在很大的問(wèn)題。結(jié)合當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的現(xiàn)存問(wèn)題，我們應(yīng)該充分認(rèn)識(shí)到系統(tǒng)本身有關(guān)參數(shù)以及實(shí)際運(yùn)行數(shù)據(jù)的缺陷，通過(guò)融合技術(shù)將這些問(wèn)題給予解決，然后建立一個(gè)基于信息融合技術(shù)安全評(píng)估的模型。

2．2基于信息融合的網(wǎng)絡(luò)安全評(píng)估模型

根據(jù)上述的問(wèn)題，本文提出一個(gè)利用數(shù)據(jù)融合中心對(duì)網(wǎng)絡(luò)安全事件進(jìn)行數(shù)據(jù)綜合、分析和數(shù)據(jù)融合的網(wǎng)絡(luò)安全評(píng)估模型。具體設(shè)計(jì)模型見(jiàn)圖1：

（1）信息收集模塊。信息收集模塊就是形成漏洞數(shù)據(jù)庫(kù)，其主要是根據(jù)網(wǎng)絡(luò)專家對(duì)網(wǎng)絡(luò)系統(tǒng)的分析以及相關(guān)實(shí)驗(yàn)人員對(duì)網(wǎng)絡(luò)系統(tǒng)的安全配置管理的經(jīng)驗(yàn)，構(gòu)建一套相對(duì)標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)，然后進(jìn)行相應(yīng)的匹配規(guī)則，以此根據(jù)系統(tǒng)進(jìn)行自動(dòng)漏洞的掃描工作，根據(jù)漏洞數(shù)據(jù)系統(tǒng)對(duì)網(wǎng)絡(luò)完全系統(tǒng)進(jìn)行處理?？梢哉f(shuō)漏洞系統(tǒng)的完整與否決定著網(wǎng)絡(luò)系統(tǒng)的安全程度。比如如果網(wǎng)絡(luò)漏洞數(shù)據(jù)庫(kù)存在缺陷，那么其就不能準(zhǔn)確的掃描出系統(tǒng)中的相關(guān)漏洞，這樣對(duì)網(wǎng)絡(luò)系統(tǒng)而言是一種巨大的安全隱患。因此在信息模塊建設(shè)過(guò)程中，一定要針對(duì)不同的網(wǎng)絡(luò)安全隱患構(gòu)建相應(yīng)的漏洞文件數(shù)據(jù)庫(kù)，同時(shí)還要保證漏洞庫(kù)內(nèi)的文件符合系統(tǒng)安全性能的要求。

（2）信息融合模塊。針對(duì)目前市場(chǎng)中所存在的收集信息產(chǎn)品之間的相互轉(zhuǎn)化局限問(wèn)題，需要將信息接收系統(tǒng)轉(zhuǎn)化為一種通用的格式，以此實(shí)現(xiàn)對(duì)信息的統(tǒng)一接收，實(shí)現(xiàn)對(duì)原始信息的過(guò)濾機(jī)篩選。其具體的操作流程是：首先是數(shù)據(jù)預(yù)處理。由于網(wǎng)絡(luò)系統(tǒng)的信息數(shù)量很多，為了對(duì)網(wǎng)路安全進(jìn)行分析，前提就是要對(duì)眾多的信息進(jìn)行分類管理，建立漏洞關(guān)聯(lián)庫(kù)；其次是初級(jí)融合部分將預(yù)處理傳來(lái)的數(shù)據(jù)進(jìn)行分類處理，并且利用不同的關(guān)聯(lián)方法進(jìn)行處理，然后將處理的信息傳給下一級(jí)別的數(shù)據(jù)進(jìn)行融合處理；最后決策融合。決策融合是綜合所有的規(guī)則以及推理方法，對(duì)系統(tǒng)信息進(jìn)行綜合的處理之后，得出所需要的信息的策略。經(jīng)過(guò)融合的信息在處理之后，實(shí)現(xiàn)了信息之間由相互獨(dú)立到具有相互間關(guān)聯(lián)的數(shù)據(jù)。聯(lián)動(dòng)控制根據(jù)融合后的數(shù)據(jù)查找策略庫(kù)中相匹配的策略規(guī)則，如果某條規(guī)則的條件組與當(dāng)前的數(shù)據(jù)匹配，即執(zhí)行聯(lián)動(dòng)響應(yīng)模塊。

（3）人機(jī)界面。人機(jī)界面是實(shí)現(xiàn)網(wǎng)路拓?fù)渥詣?dòng)探測(cè)，實(shí)現(xiàn)智能安全評(píng)估的重要形式。人機(jī)界面主要是為系統(tǒng)安全評(píng)估的信息交流提供重要的載體，比如對(duì)于網(wǎng)路數(shù)據(jù)信息的錄入，以及給相關(guān)用戶提供信息查詢等都需要通過(guò)人機(jī)界面環(huán)節(jié)實(shí)現(xiàn)。人機(jī)界面安全評(píng)估主要包括對(duì)網(wǎng)絡(luò)系統(tǒng)安全評(píng)估結(jié)果以及相關(guān)解決策略的顯示。通過(guò)人機(jī)界面可以大大降低相關(guān)網(wǎng)絡(luò)管理人員的工作量，提高對(duì)網(wǎng)絡(luò)安全隱患的動(dòng)態(tài)監(jiān)測(cè)。

3信息融合技術(shù)在模型中的層次結(jié)構(gòu)

本文設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)安全評(píng)估模型主要是利用漏洞掃描儀對(duì)系統(tǒng)漏洞進(jìn)行過(guò)濾、篩選，進(jìn)而建立漏洞數(shù)據(jù)庫(kù)的方式對(duì)相關(guān)系統(tǒng)漏洞進(jìn)行管理分析。因此我們將信息融合的結(jié)構(gòu)分為3層：數(shù)據(jù)層、信息層和知識(shí)層，分別對(duì)各個(gè)數(shù)據(jù)庫(kù)的創(chuàng)建方法和過(guò)程進(jìn)行詳細(xì)的闡述。

3．1數(shù)據(jù)層融合

漏洞數(shù)據(jù)庫(kù)是描述網(wǎng)絡(luò)系統(tǒng)狀態(tài)的有效信息，基于對(duì)當(dāng)前系統(tǒng)知識(shí)的理解，我們可以準(zhǔn)確的對(duì)系統(tǒng)的狀態(tài)進(jìn)行判斷，然后判定信息系統(tǒng)的漏洞，從而形成對(duì)階段網(wǎng)絡(luò)的攻擊模型：一是漏洞非量化屬性的提取，其主要包括：漏洞的標(biāo)識(shí)號(hào)、CVE、操作系統(tǒng)及其版本等；二是漏洞的量化性屬性的提取，其主要是提取系統(tǒng)的安全屬性。

3．2信息層融合

信息層融合主要是將多個(gè)系統(tǒng)的信息資源進(jìn)行整合，以此體現(xiàn)出傳感器提取數(shù)據(jù)所具備的的代表性，因此信息層融合的數(shù)據(jù)庫(kù)主要是：一是漏洞關(guān)聯(lián)庫(kù)的建立。網(wǎng)絡(luò)安全隱患的發(fā)生主要是外部侵入者利用系統(tǒng)的漏洞進(jìn)行攻擊，由此可見(jiàn)漏洞之間存在關(guān)聯(lián)性，因此為提高網(wǎng)絡(luò)系統(tǒng)的安全性，就必須要對(duì)漏洞的關(guān)聯(lián)性進(jìn)行分析，根據(jù)漏洞的關(guān)聯(lián)性開(kāi)展網(wǎng)絡(luò)安全評(píng)估模型的構(gòu)建；二是建立動(dòng)態(tài)數(shù)據(jù)庫(kù)。動(dòng)態(tài)數(shù)據(jù)庫(kù)主要是根據(jù)對(duì)歷史態(tài)勢(shì)信息的分析，找出未來(lái)網(wǎng)絡(luò)安全的發(fā)展態(tài)勢(shì)，以此更好地分析網(wǎng)路安全態(tài)勢(shì)評(píng)估模型。

3．3知識(shí)層融合

第7篇

關(guān)鍵詞:鐵路信號(hào) 信號(hào)系統(tǒng) 安全評(píng)估

隨著中國(guó)鐵路近幾年來(lái)的快速發(fā)展,特別是客運(yùn)專線的開(kāi)通、鐵路系統(tǒng)的大面積提速,對(duì)鐵路信號(hào)體系的安全需求也是逐年增高。一套完整的安全評(píng)估體系不但在技術(shù)的層面上促進(jìn)鐵路安全性能,同時(shí)在法律層面上分擔(dān)了政治和商業(yè)風(fēng)險(xiǎn)。如何構(gòu)建具有中國(guó)特色的,覆蓋率高的、可靠性高的,立體化的鐵路信號(hào)系統(tǒng)的安全評(píng)估體系,來(lái)確保運(yùn)輸?shù)陌踩?是當(dāng)今一個(gè)艱巨而緊迫的問(wèn)題。

一、安全評(píng)估的基本概念和相關(guān)的法律規(guī)定

安全評(píng)估是一種對(duì)于保證預(yù)期的鐵路工程項(xiàng)目被準(zhǔn)確定義和實(shí)施起到輔助作用,避免疏忽或過(guò)失的通行做法。安全評(píng)估機(jī)構(gòu)(ISA)監(jiān)督工程項(xiàng)目的對(duì)于安全的管理活動(dòng),能夠降低鐵路運(yùn)營(yíng)的安全風(fēng)險(xiǎn),減少鐵路工程實(shí)施項(xiàng)目的安全風(fēng)險(xiǎn),對(duì)系統(tǒng)的安全性能做出保證,降低安全授權(quán)機(jī)構(gòu)進(jìn)行安全審批的風(fēng)險(xiǎn)。

我國(guó)與鐵路相關(guān)的基本法有《鐵路法》、《鐵路運(yùn)輸安全保護(hù)條例》等。根據(jù)標(biāo)準(zhǔn)法派生出的許多基本法規(guī)如《鐵路技術(shù)管理規(guī)程》、《信號(hào)維護(hù)規(guī)則》等都規(guī)范了信號(hào)設(shè)備的開(kāi)發(fā)、應(yīng)用等,并且制定了一系列的技術(shù)條件和技術(shù)標(biāo)準(zhǔn),來(lái)確保鐵路信號(hào)設(shè)備的安全。

二、對(duì)鐵路信號(hào)系統(tǒng)進(jìn)行安全評(píng)估的意義

隨著經(jīng)濟(jì)的發(fā)展和列車的大面積提速,對(duì)運(yùn)行安全方面提出了更高的要求?？v觀古今鐵路的運(yùn)輸安全與旅客生命財(cái)產(chǎn)是密不可分的,作為國(guó)家重大生命線工程。在鐵路信號(hào)的可行性研究、設(shè)備設(shè)計(jì)、鐵路施工以及驗(yàn)收和運(yùn)營(yíng)時(shí)存在的任何安全隱患,都會(huì)導(dǎo)致國(guó)家和人民的生命財(cái)產(chǎn)安全受到損害。因此,鐵路信號(hào)系統(tǒng)安全評(píng)估將是也是建設(shè)和諧鐵路的主要手段,實(shí)現(xiàn)鐵路運(yùn)輸安全和預(yù)防相結(jié)合的的具體體現(xiàn)。

三、我國(guó)鐵路信號(hào)系統(tǒng)安全評(píng)估體系現(xiàn)狀

一直以來(lái),我國(guó)一直將安全評(píng)估體系的建設(shè)放在首位,特別在鐵路信號(hào)系統(tǒng)的研發(fā)、批量運(yùn)用和工程建設(shè)中。并滿足和國(guó)際接軌的需要,對(duì)系統(tǒng)設(shè)備的一些環(huán)境條件以及安全性指標(biāo)等方面做出了更高的要求,建立了成熟、完善的信號(hào)系統(tǒng)設(shè)備。致力于研究安全評(píng)估管理體系,來(lái)更好的保證鐵路運(yùn)輸?shù)陌踩?。特別是在鐵路大面積提速之后,鐵道部更是將安全評(píng)估技術(shù)作為重點(diǎn)的研究?jī)?nèi)容,并且投入了大量的資金和人力物力,來(lái)不斷完善。

1、一方面不斷完善信號(hào)安全評(píng)估系統(tǒng)體系相關(guān)的規(guī)章制度,并且建立了信號(hào)安全動(dòng)態(tài)評(píng)估技術(shù)標(biāo)準(zhǔn)等等。這些法律法規(guī)的建立為信號(hào)安全評(píng)估工作有序、深入的開(kāi)展提供了有力的科學(xué)、法律環(huán)境。

2、目前鐵路部門使用的信號(hào)安全評(píng)估體系本身具有的可靠性、可維護(hù)性、可用性、安全性等等,性能也在逐漸增強(qiáng),功能也在逐步的完善,但對(duì)于鐵路的大面積提速后,實(shí)現(xiàn)我國(guó)鐵路其它線路多種列控設(shè)備的評(píng)估的需要還是具有一定的差距。

3、隨著安全評(píng)估系統(tǒng)的的推廣使用,各鐵路局相關(guān)部門和人員對(duì)信號(hào)安全評(píng)估的重要性的認(rèn)識(shí)逐步深入,認(rèn)識(shí)到了評(píng)估系統(tǒng)發(fā)揮的重要作用。信號(hào)評(píng)估系統(tǒng)已經(jīng)被廣為接受,鐵道的各類專職部門、專職人員開(kāi)展信號(hào)的評(píng)估工作,為信號(hào)安全評(píng)估的進(jìn)一步的發(fā)展打下堅(jiān)定的基礎(chǔ)。

四、鐵路信號(hào)系統(tǒng)安全評(píng)估的方法研究

1、預(yù)先危險(xiǎn)性分析法

在鐵路項(xiàng)目的施工之前,為保證系統(tǒng)安全,采用PHA(預(yù)先危險(xiǎn)性分析法)對(duì)鐵路信號(hào)系統(tǒng)進(jìn)行最初步的分析,對(duì)系統(tǒng)中明顯存在的危險(xiǎn)性類別和導(dǎo)致事故的后果進(jìn)行初步分析,包括對(duì)系統(tǒng)設(shè)計(jì)、實(shí)驗(yàn)、生產(chǎn)施工等存在各項(xiàng)指標(biāo)進(jìn)行分析,以確定系統(tǒng)存在的潛在的隱患和危險(xiǎn)等級(jí),來(lái)防止危險(xiǎn)發(fā)展成為故障。PHA大致可以識(shí)別出與系統(tǒng)密切相關(guān)的主要危險(xiǎn),分析出其產(chǎn)生的原因,預(yù)測(cè)假使事故發(fā)生導(dǎo)致的影響,預(yù)測(cè)出危險(xiǎn)的等級(jí),并及時(shí)的提出行之有效的方法來(lái)避免的安全隱患。PHA通常用于項(xiàng)目的初級(jí)的階段,特別對(duì)潛在的危險(xiǎn)了解相對(duì)較少,并且無(wú)法憑經(jīng)驗(yàn)去判斷的項(xiàng)目,或者應(yīng)用在設(shè)備裝置的開(kāi)發(fā)研究階段都可以很好的應(yīng)用。

2、專家評(píng)估法

專家評(píng)估法包括有表決法、評(píng)分法、安全檢查表法等等,各種使用最多的是SCL(安全檢查表)法。SCL方法采用的主要形式是預(yù)先把檢查對(duì)象進(jìn)行分解,將一個(gè)大的系統(tǒng)切割成若干子系統(tǒng),逐項(xiàng)檢查項(xiàng)目列表的各項(xiàng)指標(biāo),采用的是提問(wèn)或者進(jìn)行打分的方式。來(lái)查找系統(tǒng)中各類的元件、零部件、設(shè)備設(shè)施、物料工件、操作人員、管理和組織中的危險(xiǎn)有害的因素,并具體進(jìn)行分析,提出對(duì)安全隱患的整改的建議和具體措施。

3、事件樹分析法

故障是重要設(shè)備出現(xiàn)了非正常使用狀態(tài)或者操作的不當(dāng)引發(fā)的異常結(jié)果。而ETA(事件樹分析法)是用來(lái)分析普通設(shè)備故障或由初始事件導(dǎo)致故障的發(fā)生的可能性。EAT可以提供用于記錄故障的后果的系統(tǒng)性的方法,并且能夠確定事件的后果和初始事件之間的聯(lián)系。EAT適用于那些會(huì)產(chǎn)生不同后果的初始事件,強(qiáng)調(diào)的此故障可能發(fā)生的最初原因和初始事件可能對(duì)事件后果產(chǎn)生的影響。每一個(gè)獨(dú)立的故障序列都由事件樹的每一個(gè)分支來(lái)表示。而對(duì)于一個(gè)初始的事件來(lái)說(shuō),每一個(gè)獨(dú)立序列都明確地界定了安全功能之間的相互聯(lián)系。

4、故障樹分析法

FTA(故障樹分析)是一種安全的分析評(píng)價(jià)和進(jìn)行故障預(yù)測(cè)的一種先進(jìn)的方法,它不僅僅能夠分析出故障產(chǎn)生的直接原因,并且能進(jìn)一步發(fā)掘出故障存在的潛在因素。FTA能應(yīng)用于各種系統(tǒng),對(duì)其具有的危險(xiǎn)性進(jìn)行識(shí)別評(píng)價(jià),能夠定性定量的進(jìn)行分析。并且故障樹具有簡(jiǎn)潔、具體化等特點(diǎn),與事件樹采用的歸納法分析不同,故障樹分析使用演繹法。因此,FTA可以應(yīng)用于工程或設(shè)備的設(shè)計(jì)階段,用故障查詢等操作方法,都能對(duì)其安全性作出具體的評(píng)價(jià)提高了系統(tǒng)工程方法研究安全問(wèn)題的系統(tǒng)性、準(zhǔn)確性和預(yù)測(cè)性。

5、故障模式和影響分析法

由于鐵路系統(tǒng)可以劃分成若干的元件、設(shè)備、子系統(tǒng)等評(píng)估單元,因此可以采用FMEA(故障模式和影響分析法),按照實(shí)際需要來(lái)將大的系統(tǒng)進(jìn)行分割成為小的元件或者子系統(tǒng)等,分析每個(gè)部分可能發(fā)生的事故的模式及其產(chǎn)生的影響程度,提出并且采取相應(yīng)的對(duì)策,來(lái)提高信號(hào)系統(tǒng)的安全性和可靠性。

當(dāng)然鐵路安全評(píng)估方法還有很多,包括模糊數(shù)學(xué)法、灰色聚類法、數(shù)值分析、、人工神經(jīng)網(wǎng)絡(luò)等等的方式都可以提高對(duì)鐵路信號(hào)系統(tǒng)的安全評(píng)估,保證鐵路運(yùn)輸?shù)陌踩?/p>

五、前景展望

隨著經(jīng)濟(jì)的不斷發(fā)展,我國(guó)要實(shí)現(xiàn)實(shí)現(xiàn)鐵路現(xiàn)代化、智能化,使運(yùn)輸能力滿足經(jīng)濟(jì)發(fā)展的需求,鐵路信號(hào)安全系統(tǒng)就必須達(dá)到世界發(fā)達(dá)國(guó)家的水平。鐵路信號(hào)系統(tǒng)的安全評(píng)估應(yīng)該更具有可靠性、可用性、安全性、性能良好、數(shù)據(jù)處理智能化、結(jié)構(gòu)形式開(kāi)放、并與其它監(jiān)測(cè)系統(tǒng)能夠數(shù)據(jù)融合、進(jìn)行綜合處理等特點(diǎn)。因此我國(guó)鐵路發(fā)展必須博采眾長(zhǎng),建立一套自主的知識(shí)產(chǎn)權(quán)和鐵路信號(hào)系統(tǒng)安全評(píng)估體系,來(lái)保證鐵路信號(hào)系統(tǒng)安全評(píng)估體系能夠更加有效的為行車的安全護(hù)航,并使之逐步得到國(guó)際的認(rèn)可。揚(yáng)長(zhǎng)避短,不斷的繼承與創(chuàng)新,鐵路信號(hào)系統(tǒng)的安全評(píng)估體系的的發(fā)展一定會(huì)取更大的成果。

參考文獻(xiàn):

[1]李開(kāi)成.國(guó)外鐵路通信信號(hào)新技術(shù)縱覽[M].中國(guó)鐵道出版社,2005.

第8篇

要：本文依據(jù)我國(guó)制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和國(guó)際有關(guān)標(biāo)準(zhǔn)，研究和設(shè)計(jì)針對(duì)數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估流程和框架，并利用該流程針對(duì)實(shí)際的數(shù)字校園對(duì)象進(jìn)行實(shí)例驗(yàn)證，風(fēng)險(xiǎn)評(píng)估結(jié)果驗(yàn)證了該流程的合理性和可行性。

關(guān)鍵詞：數(shù)字校園；風(fēng)險(xiǎn)評(píng)估；信息安全

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：B 文章編號(hào)：1673-8454（2012）23-0030-04

一、引言

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個(gè)典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫(kù)、身份認(rèn)證平臺(tái)、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個(gè)龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護(hù)一個(gè)良好的信息安全管理體系是一項(xiàng)非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險(xiǎn)評(píng)估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過(guò)識(shí)別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評(píng)估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對(duì)組織造成的影響。對(duì)數(shù)字校園進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估有助于及時(shí)發(fā)現(xiàn)和解決存在的信息安全問(wèn)題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個(gè)良好的信息安全管理體系奠定堅(jiān)實(shí)基礎(chǔ)。

二、評(píng)估標(biāo)準(zhǔn)

由于信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性作用，包括我國(guó)在內(nèi)的信息化程度較高的國(guó)家以及相關(guān)國(guó)際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001：2005）、美國(guó)NIST制定的SP800系列標(biāo)準(zhǔn)、美國(guó)CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開(kāi)發(fā)的OCTAVE2.0以及我國(guó)制定的《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式，作為一種全球性的信息安全管理國(guó)際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動(dòng)，同時(shí)也為評(píng)估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒(méi)有制定明確的信息安全風(fēng)險(xiǎn)評(píng)估流程，組織可以自行選擇適合自身特點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開(kāi)展，我國(guó)于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007），這是我國(guó)自主研究和制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致，但對(duì)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程進(jìn)行了細(xì)化，使得更加適合我國(guó)企業(yè)或者組織的信息安全風(fēng)險(xiǎn)評(píng)估工作開(kāi)展。

三、評(píng)估流程

《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）等標(biāo)準(zhǔn)為風(fēng)險(xiǎn)評(píng)估提供了方法論和流程，為風(fēng)險(xiǎn)評(píng)估各個(gè)階段的工作制定了規(guī)范，但標(biāo)準(zhǔn)沒(méi)有規(guī)定風(fēng)險(xiǎn)評(píng)估實(shí)施的具體模型和方法，由風(fēng)險(xiǎn)評(píng)估實(shí)施者根據(jù)業(yè)務(wù)特點(diǎn)和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點(diǎn)，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場(chǎng)景理論和通用弱點(diǎn)評(píng)價(jià)體系（CVSS）等風(fēng)險(xiǎn)評(píng)估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估首先在充分識(shí)別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)，然后根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算得出信息資產(chǎn)的風(fēng)險(xiǎn)值分布表。數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的詳細(xì)流程如下：

（1）資產(chǎn)識(shí)別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對(duì)數(shù)字校園的信息資產(chǎn)進(jìn)行識(shí)別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實(shí)際價(jià)格，更重要的是要考慮資產(chǎn)對(duì)組織的信息安全重要程度，即信息資產(chǎn)的機(jī)密性、完整性和可用性在受到損害后對(duì)組織造成的損害程度，預(yù)計(jì)損害程度越高則賦值越高。

在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級(jí)后，需要經(jīng)過(guò)綜合評(píng)定得出資產(chǎn)等級(jí)。綜合評(píng)定方法一般有兩種：一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個(gè)屬性確定資產(chǎn)等級(jí)；還有一種方法是對(duì)資產(chǎn)機(jī)密性、完整性和可用性三個(gè)賦值進(jìn)行加權(quán)計(jì)算，通常采用的加權(quán)計(jì)算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點(diǎn)確定。

設(shè)資產(chǎn)的機(jī)密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級(jí)值為，則

相加法的計(jì)算公式為v=f（x，y，z）=ax+by+cz，其中a+b+c=1（1）

（2）威脅識(shí)別：威脅分為實(shí)際威脅和潛在威脅，實(shí)際威脅識(shí)別需要通過(guò)訪談和專業(yè)檢測(cè)工具，并通過(guò)分析入侵檢測(cè)系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對(duì)實(shí)際發(fā)生的威脅進(jìn)行識(shí)別和分類。潛在威脅識(shí)別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計(jì)數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點(diǎn)對(duì)潛在可能發(fā)生的威脅進(jìn)行充分識(shí)別和分類。

（3）脆弱性識(shí)別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因?yàn)椴缓侠砘蛭凑_實(shí)施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過(guò)專業(yè)的漏洞檢測(cè)軟件進(jìn)行檢測(cè)，然后通過(guò)安裝補(bǔ)丁程序消除。而管理制度造成的隱患需要進(jìn)行充分識(shí)別，包括對(duì)已有的控制措施的有效性也一并識(shí)別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨(dú)對(duì)威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險(xiǎn)分析計(jì)算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場(chǎng)景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)。

（5）風(fēng)險(xiǎn)值計(jì)算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險(xiǎn)計(jì)算方法計(jì)算每個(gè)“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險(xiǎn)值，并最終得到整個(gè)數(shù)字校園的風(fēng)險(xiǎn)值分布表，并依據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則，確認(rèn)可接受和不可接受的風(fēng)險(xiǎn)。

四、評(píng)估實(shí)例

本文以筆者所在高職院校的數(shù)字校園作為研究對(duì)象實(shí)例，利用前面所述的信息安全風(fēng)險(xiǎn)評(píng)估流程對(duì)該實(shí)例對(duì)象進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

1.資產(chǎn)識(shí)別與評(píng)估

數(shù)字校園的資產(chǎn)識(shí)別與評(píng)估包括資產(chǎn)識(shí)別和資產(chǎn)價(jià)值計(jì)算。

（1）資產(chǎn)識(shí)別

信息安全風(fēng)險(xiǎn)評(píng)估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識(shí)別小組，小組通過(guò)現(xiàn)場(chǎng)清查、問(wèn)卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個(gè)業(yè)務(wù)系統(tǒng)的工作流程，詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件（如服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫(kù)、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊(cè)、工作日志等）、人員和服務(wù)等。為了對(duì)資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理，識(shí)別小組對(duì)各個(gè)資產(chǎn)進(jìn)行了編碼，便于標(biāo)準(zhǔn)化和精確化管理。

（2）資產(chǎn)價(jià)值計(jì)算

獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后，資產(chǎn)識(shí)別小組召開(kāi)座談會(huì)確定每個(gè)信息資產(chǎn)的價(jià)值，即對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值，三性的賦值為1～5的整數(shù)，1代表對(duì)組織造成的影響或損失最低，5代表對(duì)組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點(diǎn)，采用相加法確定資產(chǎn)的價(jià)值。該數(shù)字校園的軟件類資產(chǎn)計(jì)算樣例表如下表1所示。

由于資產(chǎn)價(jià)值的計(jì)算結(jié)果為1～5之間的實(shí)數(shù)，為了與資產(chǎn)的機(jī)密性、完整性、可用性賦值相對(duì)應(yīng)，需要對(duì)資產(chǎn)價(jià)值的計(jì)算結(jié)果歸整，歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級(jí)結(jié)果如表1所示。

因?yàn)閿?shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點(diǎn)防范，不重要的可以不用考慮或者減少投入。在識(shí)別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點(diǎn)關(guān)注。不同的組織對(duì)關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同，本文將資產(chǎn)等級(jí)值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識(shí)別清單中予以注明，如表1所示。

2.威脅和脆弱性識(shí)別與評(píng)估

數(shù)字校園與其他計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時(shí)數(shù)字校園作為一種在校園內(nèi)部運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點(diǎn)。任何威脅總是通過(guò)某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過(guò)破壞資產(chǎn)的一個(gè)或多個(gè)安全屬性而產(chǎn)生信息安全風(fēng)險(xiǎn)，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅可能作用于多項(xiàng)資產(chǎn)。威脅的識(shí)別方法是在資產(chǎn)識(shí)別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點(diǎn)，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個(gè)方面對(duì)資產(chǎn)面臨的威脅進(jìn)行識(shí)別。在分析數(shù)字校園實(shí)際發(fā)生的網(wǎng)絡(luò)威脅時(shí)，需要檢查入侵檢測(cè)系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點(diǎn)。數(shù)字校園的脆弱性是數(shù)字校園在開(kāi)發(fā)、部署、運(yùn)維等過(guò)程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對(duì)數(shù)字校園的資產(chǎn)造成損害，進(jìn)而對(duì)數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計(jì)缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識(shí)別主要采用問(wèn)卷調(diào)查、工具檢測(cè)、人工檢查、文檔查閱、滲透性測(cè)試等方法。因?yàn)榇蟛糠旨夹g(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測(cè)工具檢測(cè)脆弱性，可以獲得較高的檢測(cè)效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對(duì)數(shù)字校園進(jìn)行技術(shù)脆弱性識(shí)別和評(píng)估。

管理脆弱性識(shí)別的主要內(nèi)容就是對(duì)數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識(shí)別與確認(rèn)，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無(wú)效的安全控制措施會(huì)提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實(shí)施、運(yùn)行和維護(hù)等過(guò)程同步建設(shè)與完善，具有較強(qiáng)的針對(duì)性，識(shí)別比較容易。管理和操作控制措施識(shí)別需要對(duì)照ISO27001標(biāo)準(zhǔn)的《信息安全實(shí)用規(guī)則指南》或NIST的《最佳安全實(shí)踐相關(guān)手冊(cè)》制訂的表格進(jìn)行，避免遺漏。

3.風(fēng)險(xiǎn)計(jì)算

完成數(shù)字校園的資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有控制措施識(shí)別任務(wù)后，進(jìn)入風(fēng)險(xiǎn)計(jì)算階段。

對(duì)于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場(chǎng)景”方法進(jìn)行風(fēng)險(xiǎn)分析。“構(gòu)建威脅場(chǎng)景”方法基于“具體問(wèn)題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評(píng)價(jià)威脅導(dǎo)致風(fēng)險(xiǎn)計(jì)算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求進(jìn)行風(fēng)險(xiǎn)計(jì)算。為了便于計(jì)算，需要將前面各個(gè)階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因?yàn)樵趯?duì)脆弱性賦值的時(shí)候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

本文采用的風(fēng)險(xiǎn)計(jì)算方法為《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中推薦的矩陣法，風(fēng)險(xiǎn)值計(jì)算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險(xiǎn)計(jì)算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計(jì)算安全事件可能性值；

（b）對(duì)照《安全事件可能性等級(jí)劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級(jí)值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計(jì)算安全事件損失值；

（d）對(duì)照《安全事件損失等級(jí)劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級(jí)值；

（e）根據(jù)安全事件可能性等級(jí)值和安全事件損失等級(jí)值，查詢《風(fēng)險(xiǎn)矩陣》計(jì)算安全事件風(fēng)險(xiǎn)值；

（f）對(duì)照《風(fēng)險(xiǎn)等級(jí)劃分矩陣》將安全事件風(fēng)險(xiǎn)值轉(zhuǎn)換為安全事件風(fēng)險(xiǎn)等級(jí)值。

所有等級(jí)值均采用五級(jí)制，1級(jí)最低，5級(jí)最高。

五、結(jié)束語(yǔ)

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險(xiǎn)評(píng)估是保證數(shù)字校園安全穩(wěn)定的一項(xiàng)基礎(chǔ)性工作。本文的信息安全風(fēng)險(xiǎn)評(píng)估方法依據(jù)國(guó)家標(biāo)準(zhǔn)，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險(xiǎn)評(píng)估的有效性和科學(xué)性，使得風(fēng)險(xiǎn)評(píng)估結(jié)果能對(duì)后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

參考文獻(xiàn)：

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國(guó)教育信息化，2010（4）.