譚靜怡,李保軍,寇曉波(兵器工業(yè)衛(wèi)生研究所,西安 710065)
系統(tǒng)安全評(píng)價(jià)方法及其在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用
譚靜怡,李保軍,寇曉波
(兵器工業(yè)衛(wèi)生研究所,西安 710065)
系統(tǒng)安全評(píng)價(jià)是確保系統(tǒng)安全性的一種重要手段?,F(xiàn)階段,作為信息時(shí)代的產(chǎn)物,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建立應(yīng)具備科學(xué)性、有效性,在滿足人們工作、生活需求的同時(shí),也必須確保其安全性。為此,必須建立計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)體系。安全評(píng)價(jià)在國外也稱風(fēng)險(xiǎn)評(píng)價(jià)或危險(xiǎn)評(píng)價(jià)。安全評(píng)價(jià)不僅需要安全評(píng)價(jià)理論作支撐,而且需要理論和實(shí)際經(jīng)驗(yàn)相結(jié)合,兩者不可或缺。本文就針對(duì)系統(tǒng)安全評(píng)價(jià)方法及其在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用進(jìn)行簡單分析,以供參考。
系統(tǒng)安全評(píng)價(jià)方法;計(jì)算機(jī)網(wǎng)絡(luò);應(yīng)用
DOI:10.16640/j.cnki.37-1222/t.2016.16.113
就針對(duì)于目前的實(shí)際情況來看,隨著時(shí)代的進(jìn)步與發(fā)展,計(jì)算機(jī)已經(jīng)逐漸轉(zhuǎn)變成人們?nèi)粘I钪斜夭豢扇钡囊徊糠?,但是,一些不法分子利用?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)入侵用戶計(jì)算機(jī),不僅危害用戶個(gè)人隱私,甚至危害國家安全。因此,計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全成為人們亟待解決的問題。簡單來說,我們所說的安全評(píng)價(jià),主要就是指以實(shí)現(xiàn)工程、系統(tǒng)安全為目的,通過安全系統(tǒng)工程原理和方法的應(yīng)用,辨識(shí)、分析工程、系統(tǒng)中存在的危險(xiǎn)和有害因素,并對(duì)工程、系統(tǒng)發(fā)生事故和職業(yè)危害的可能性、嚴(yán)重程度進(jìn)行判斷,以此為防范措施的制定和決策的管理提供科學(xué)依據(jù)。
1.1安全評(píng)價(jià)的目的
首先,從本質(zhì)上來講,進(jìn)行安全評(píng)價(jià)最主要的目的,就是對(duì)計(jì)劃、設(shè)計(jì)、制造和運(yùn)行等全過程中的安全技術(shù)和安全管理問題進(jìn)行考慮,并將生產(chǎn)過程中潛在的、固有的危險(xiǎn)因素找出,從而實(shí)現(xiàn)全過程安全控制,提高系統(tǒng)本質(zhì)安全化程度的目的[1]。其次,是為了定性或定量預(yù)測事故,得出系統(tǒng)安全的最優(yōu)方案,從而為決策提供依據(jù)。最后,是為了通過評(píng)價(jià)設(shè)備、設(shè)施或系統(tǒng)在生產(chǎn)過程中的安全性是否符合相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范相關(guān)規(guī)定,從中找出存在的問題和不足,從而為實(shí)現(xiàn)安全技術(shù)和安全管理的標(biāo)準(zhǔn)化和科學(xué)化提供條件。
1.2安全評(píng)價(jià)的作用
第一,有利于政府安全監(jiān)督管理部門宏觀控制企業(yè)安全生產(chǎn)。第二,有利于選擇合理的安全投資,使安全投入和可能減少的負(fù)效益達(dá)到合理的平衡。第三,有利于提高企業(yè)的安全管理水平。安全評(píng)價(jià)可以對(duì)系統(tǒng)的危險(xiǎn)性進(jìn)行識(shí)別,對(duì)企業(yè)的安全狀況進(jìn)行分析,對(duì)系統(tǒng)和各部分的危險(xiǎn)程度和安全管理狀況進(jìn)行全面評(píng)價(jià),從而使企業(yè)達(dá)到安全的規(guī)定要求。第四,有利于增強(qiáng)企業(yè)對(duì)災(zāi)害事故的應(yīng)變能力,降低事故或重大惡性事故發(fā)生的次數(shù)。第五,有利于保險(xiǎn)公司對(duì)企業(yè)實(shí)行風(fēng)險(xiǎn)管理[2]。
1.3安全評(píng)價(jià)的特點(diǎn)
首先,安全評(píng)價(jià)是以事先分析和消除危險(xiǎn)為目的進(jìn)行活動(dòng),具有預(yù)測性。其次,安全評(píng)價(jià)具有以表示危險(xiǎn)程度為主要指標(biāo)的特點(diǎn),可以在早期設(shè)計(jì)階段將危險(xiǎn)降到最小化。最后,安全評(píng)價(jià)對(duì)技術(shù)工程的制約不完全依賴既定的規(guī)程及標(biāo)準(zhǔn),而是預(yù)測技術(shù)工程可能產(chǎn)生的損失或傷害,并采取相應(yīng)的措施,從而避免損失、傷害的發(fā)生。
2.1計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)問題
(1)缺乏規(guī)范化標(biāo)準(zhǔn)。按照計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全維護(hù)管理規(guī)定中的要求,必須要明確責(zé)任,將安全評(píng)價(jià)的任務(wù)、責(zé)任、過程以及程序制定規(guī)范的標(biāo)準(zhǔn)進(jìn)行統(tǒng)一,并將其落到實(shí)處。否則,計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)工作的效果就會(huì)受限于各部門和個(gè)人的認(rèn)識(shí),從而導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)程度參差不齊現(xiàn)象的產(chǎn)生,從而難以達(dá)到維護(hù)管理規(guī)定中的要求。
(2)缺乏專業(yè)化人才。根據(jù)相關(guān)調(diào)查顯示:在我國,嚴(yán)重缺乏有能力的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的專業(yè)技術(shù)和管理人才,被評(píng)企業(yè)更是缺乏有能力進(jìn)行配合的人員。對(duì)于一些已開始進(jìn)行信息系統(tǒng)安全評(píng)價(jià)的企業(yè),基本上是骨干成員邊學(xué)習(xí)邊培養(yǎng)業(yè)務(wù)人員,邊進(jìn)行安全評(píng)價(jià)。
(3)缺乏科學(xué)化評(píng)價(jià)。在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)中,常出現(xiàn)評(píng)價(jià)方和被評(píng)企業(yè)雙方不滿意的情況。如今,在實(shí)施安全評(píng)價(jià)工作中,被評(píng)企業(yè)的實(shí)際配合存在不足之處,限制較多,使評(píng)價(jià)方很難了解企業(yè)的業(yè)務(wù)特點(diǎn)和管理要求。同時(shí),一些企業(yè)的安全評(píng)價(jià)工作沒有與計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的生命周期和安全建設(shè)相聯(lián)系,只是為了安全評(píng)價(jià)而評(píng)價(jià),從而造成安全評(píng)價(jià)的結(jié)果缺乏嚴(yán)肅的認(rèn)可。另外,安全評(píng)價(jià)后,如果沒有針對(duì)評(píng)價(jià)的結(jié)果采取相應(yīng)的措施,計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全狀況就無法得到實(shí)質(zhì)性的改善。
2.2計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)策略
(1)完善系統(tǒng)安全評(píng)價(jià)機(jī)制。第一,根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)保護(hù)的要求,提出組織計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的工作,對(duì)其過程、任務(wù)和程序進(jìn)行規(guī)范,對(duì)使用者、建設(shè)者、運(yùn)行者、管理者、共享信息和業(yè)務(wù)系統(tǒng)者以及主管部門等各方的職責(zé)進(jìn)行明確。第二,對(duì)涉及組織電子政務(wù)、國防系統(tǒng)等重要信息系統(tǒng)開展安全評(píng)價(jià)活動(dòng),分析其風(fēng)險(xiǎn),深入研究其分級(jí)保護(hù)策略,制定安全評(píng)價(jià)策略。通過開展安全評(píng)價(jià)活動(dòng),總結(jié)經(jīng)驗(yàn)教訓(xùn)加以推廣,采取有效的安全措施,確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)行,從而提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全性。
(2)強(qiáng)化人才隊(duì)伍培養(yǎng)建設(shè)。通過培養(yǎng)多層次計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)專業(yè)隊(duì)伍,對(duì)組織計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)服務(wù)的資質(zhì)認(rèn)證和行為規(guī)范進(jìn)行完善,以有效提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的服務(wù)水平。第四,通過加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)核心技術(shù)的研究,可以提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的競爭力。通過建設(shè)完善的法律法規(guī)和標(biāo)準(zhǔn)體系,重視安全評(píng)價(jià)相關(guān)信息的收集、分析和利用,從而使計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)管理更加規(guī)范化,最終確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全。
(3)進(jìn)行科學(xué)合理的評(píng)價(jià)。掌握計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的狀況,根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)保護(hù)的要求,建立重點(diǎn)安全評(píng)價(jià)監(jiān)管和督察體系以及各部門的全評(píng)價(jià)工作指導(dǎo)機(jī)構(gòu),對(duì)組織安全評(píng)價(jià)工作的管理和部門的協(xié)調(diào)機(jī)制進(jìn)行建立和完善,從而有效促進(jìn)相關(guān)資源的管理和共享,提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)的水平。
總而言之,計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)是安全防御過程中的重要技術(shù),是以計(jì)算機(jī)系統(tǒng)安全為目的,采用科學(xué)合理的方法和程序?qū)τ?jì)算機(jī)系統(tǒng)中的危險(xiǎn)因素進(jìn)行定性和定量分析。這樣可以針對(duì)存在的問題采取相應(yīng)的安全措施,從而提高計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全性,以確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)行。
[1]黃麗民.計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)方法研究[D].山東大學(xué),2015.