譚靜怡，李保軍，寇曉波（兵器工業(yè)衛(wèi)生研究所，西安 710065）

系統(tǒng)安全評(píng)價(jià)方法及其在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用

譚靜怡，李保軍，寇曉波
（兵器工業(yè)衛(wèi)生研究所，西安 710065）

系統(tǒng)安全評(píng)價(jià)是確保系統(tǒng)安全性的一種重要手段?，F(xiàn)階段，作為信息時(shí)代的產(chǎn)物，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建立應(yīng)具備科學(xué)性、有效性，在滿足人們工作、生活需求的同時(shí)，也必須確保其安全性。為此，必須建立計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)體系。安全評(píng)價(jià)在國外也稱風(fēng)險(xiǎn)評(píng)價(jià)或危險(xiǎn)評(píng)價(jià)。安全評(píng)價(jià)不僅需要安全評(píng)價(jià)理論作支撐，而且需要理論和實(shí)際經(jīng)驗(yàn)相結(jié)合，兩者不可或缺。本文就針對(duì)系統(tǒng)安全評(píng)價(jià)方法及其在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用進(jìn)行簡單分析，以供參考。

系統(tǒng)安全評(píng)價(jià)方法；計(jì)算機(jī)網(wǎng)絡(luò)；應(yīng)用

DOI：10.16640/j.cnki.37-1222/t.2016.16.113

就針對(duì)于目前的實(shí)際情況來看，隨著時(shí)代的進(jìn)步與發(fā)展，計(jì)算機(jī)已經(jīng)逐漸轉(zhuǎn)變成人們?nèi)粘Ｉ钪斜夭豢扇钡囊徊糠?，但是，一些不法分子利用?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)入侵用戶計(jì)算機(jī)，不僅危害用戶個(gè)人隱私，甚至危害國家安全。因此，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全成為人們亟待解決的問題。簡單來說，我們所說的安全評(píng)價(jià)，主要就是指以實(shí)現(xiàn)工程、系統(tǒng)安全為目的，通過安全系統(tǒng)工程原理和方法的應(yīng)用，辨識(shí)、分析工程、系統(tǒng)中存在的危險(xiǎn)和有害因素，并對(duì)工程、系統(tǒng)發(fā)生事故和職業(yè)危害的可能性、嚴(yán)重程度進(jìn)行判斷，以此為防范措施的制定和決策的管理提供科學(xué)依據(jù)。

1　系統(tǒng)安全評(píng)價(jià)方法的基本概述

1.1安全評(píng)價(jià)的目的

首先，從本質(zhì)上來講，進(jìn)行安全評(píng)價(jià)最主要的目的，就是對(duì)計(jì)劃、設(shè)計(jì)、制造和運(yùn)行等全過程中的安全技術(shù)和安全管理問題進(jìn)行考慮，并將生產(chǎn)過程中潛在的、固有的危險(xiǎn)因素找出，從而實(shí)現(xiàn)全過程安全控制，提高系統(tǒng)本質(zhì)安全化程度的目的［1］。其次，是為了定性或定量預(yù)測事故，得出系統(tǒng)安全的最優(yōu)方案，從而為決策提供依據(jù)。最后，是為了通過評(píng)價(jià)設(shè)備、設(shè)施或系統(tǒng)在生產(chǎn)過程中的安全性是否符合相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范相關(guān)規(guī)定，從中找出存在的問題和不足，從而為實(shí)現(xiàn)安全技術(shù)和安全管理的標(biāo)準(zhǔn)化和科學(xué)化提供條件。

1.2安全評(píng)價(jià)的作用

第一，有利于政府安全監(jiān)督管理部門宏觀控制企業(yè)安全生產(chǎn)。第二，有利于選擇合理的安全投資，使安全投入和可能減少的負(fù)效益達(dá)到合理的平衡。第三，有利于提高企業(yè)的安全管理水平。安全評(píng)價(jià)可以對(duì)系統(tǒng)的危險(xiǎn)性進(jìn)行識(shí)別，對(duì)企業(yè)的安全狀況進(jìn)行分析，對(duì)系統(tǒng)和各部分的危險(xiǎn)程度和安全管理狀況進(jìn)行全面評(píng)價(jià)，從而使企業(yè)達(dá)到安全的規(guī)定要求。第四，有利于增強(qiáng)企業(yè)對(duì)災(zāi)害事故的應(yīng)變能力，降低事故或重大惡性事故發(fā)生的次數(shù)。第五，有利于保險(xiǎn)公司對(duì)企業(yè)實(shí)行風(fēng)險(xiǎn)管理［2］。

1.3安全評(píng)價(jià)的特點(diǎn)

首先，安全評(píng)價(jià)是以事先分析和消除危險(xiǎn)為目的進(jìn)行活動(dòng)，具有預(yù)測性。其次，安全評(píng)價(jià)具有以表示危險(xiǎn)程度為主要指標(biāo)的特點(diǎn)，可以在早期設(shè)計(jì)階段將危險(xiǎn)降到最小化。最后，安全評(píng)價(jià)對(duì)技術(shù)工程的制約不完全依賴既定的規(guī)程及標(biāo)準(zhǔn)，而是預(yù)測技術(shù)工程可能產(chǎn)生的損失或傷害，并采取相應(yīng)的措施，從而避免損失、傷害的發(fā)生。

2　系統(tǒng)安全評(píng)價(jià)方法在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用

2.1計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)問題

（1）缺乏規(guī)范化標(biāo)準(zhǔn)。按照計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全維護(hù)管理規(guī)定中的要求，必須要明確責(zé)任，將安全評(píng)價(jià)的任務(wù)、責(zé)任、過程以及程序制定規(guī)范的標(biāo)準(zhǔn)進(jìn)行統(tǒng)一，并將其落到實(shí)處。否則，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)工作的效果就會(huì)受限于各部門和個(gè)人的認(rèn)識(shí)，從而導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)程度參差不齊現(xiàn)象的產(chǎn)生，從而難以達(dá)到維護(hù)管理規(guī)定中的要求。

（2）缺乏專業(yè)化人才。根據(jù)相關(guān)調(diào)查顯示：在我國，嚴(yán)重缺乏有能力的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的專業(yè)技術(shù)和管理人才，被評(píng)企業(yè)更是缺乏有能力進(jìn)行配合的人員。對(duì)于一些已開始進(jìn)行信息系統(tǒng)安全評(píng)價(jià)的企業(yè)，基本上是骨干成員邊學(xué)習(xí)邊培養(yǎng)業(yè)務(wù)人員，邊進(jìn)行安全評(píng)價(jià)。

（3）缺乏科學(xué)化評(píng)價(jià)。在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)中，常出現(xiàn)評(píng)價(jià)方和被評(píng)企業(yè)雙方不滿意的情況。如今，在實(shí)施安全評(píng)價(jià)工作中，被評(píng)企業(yè)的實(shí)際配合存在不足之處，限制較多，使評(píng)價(jià)方很難了解企業(yè)的業(yè)務(wù)特點(diǎn)和管理要求。同時(shí)，一些企業(yè)的安全評(píng)價(jià)工作沒有與計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的生命周期和安全建設(shè)相聯(lián)系，只是為了安全評(píng)價(jià)而評(píng)價(jià)，從而造成安全評(píng)價(jià)的結(jié)果缺乏嚴(yán)肅的認(rèn)可。另外，安全評(píng)價(jià)后，如果沒有針對(duì)評(píng)價(jià)的結(jié)果采取相應(yīng)的措施，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全狀況就無法得到實(shí)質(zhì)性的改善。

2.2計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)策略

（1）完善系統(tǒng)安全評(píng)價(jià)機(jī)制。第一，根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)保護(hù)的要求，提出組織計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的工作，對(duì)其過程、任務(wù)和程序進(jìn)行規(guī)范，對(duì)使用者、建設(shè)者、運(yùn)行者、管理者、共享信息和業(yè)務(wù)系統(tǒng)者以及主管部門等各方的職責(zé)進(jìn)行明確。第二，對(duì)涉及組織電子政務(wù)、國防系統(tǒng)等重要信息系統(tǒng)開展安全評(píng)價(jià)活動(dòng)，分析其風(fēng)險(xiǎn)，深入研究其分級(jí)保護(hù)策略，制定安全評(píng)價(jià)策略。通過開展安全評(píng)價(jià)活動(dòng)，總結(jié)經(jīng)驗(yàn)教訓(xùn)加以推廣，采取有效的安全措施，確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)行，從而提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全性。

（2）強(qiáng)化人才隊(duì)伍培養(yǎng)建設(shè)。通過培養(yǎng)多層次計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)專業(yè)隊(duì)伍，對(duì)組織計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)服務(wù)的資質(zhì)認(rèn)證和行為規(guī)范進(jìn)行完善，以有效提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的服務(wù)水平。第四，通過加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)核心技術(shù)的研究，可以提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的競爭力。通過建設(shè)完善的法律法規(guī)和標(biāo)準(zhǔn)體系，重視安全評(píng)價(jià)相關(guān)信息的收集、分析和利用，從而使計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)管理更加規(guī)范化，最終確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全。

（3）進(jìn)行科學(xué)合理的評(píng)價(jià)。掌握計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的狀況，根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)保護(hù)的要求，建立重點(diǎn)安全評(píng)價(jià)監(jiān)管和督察體系以及各部門的全評(píng)價(jià)工作指導(dǎo)機(jī)構(gòu)，對(duì)組織安全評(píng)價(jià)工作的管理和部門的協(xié)調(diào)機(jī)制進(jìn)行建立和完善，從而有效促進(jìn)相關(guān)資源的管理和共享，提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的水平。

3　結(jié)語

總而言之，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)是安全防御過程中的重要技術(shù)，是以計(jì)算機(jī)系統(tǒng)安全為目的，采用科學(xué)合理的方法和程序?qū)τ?jì)算機(jī)系統(tǒng)中的危險(xiǎn)因素進(jìn)行定性和定量分析。這樣可以針對(duì)存在的問題采取相應(yīng)的安全措施，從而提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全性，以確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)行。

［1］黃麗民.計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)方法研究［D］.山東大學(xué)，2015.