張純朋

(中海油能源發(fā)展股份有限公司工程技術(shù)分公司物資裝備部,天津 300452）

風(fēng)險管理在船舶安全管理信息系統(tǒng)中的應(yīng)用

張純朋

(中海油能源發(fā)展股份有限公司工程技術(shù)分公司物資裝備部,天津 300452）

隨著信息技術(shù)的發(fā)展，尤其是網(wǎng)絡(luò)的普及，信息系統(tǒng)的安全問題開始引起人們的注意。本文就風(fēng)險管理通用框架RMCF在船舶安全管理信息系統(tǒng)中的應(yīng)用進(jìn)行了探討。

風(fēng)險管理；船舶；安全管理；信息系統(tǒng)

0 引言

隨著船舶航運的不斷發(fā)展，為我國的經(jīng)濟貿(mào)易做出了巨大貢獻(xiàn)，船舶的安全管理問題尤其重要。根據(jù)《國際安全管理規(guī)則》，為保證船舶航行時的安全避免各類海上事故，企業(yè)應(yīng)該建立船舶安全管理體系。近年來，隨著信息技術(shù)的發(fā)展，國內(nèi)外相繼開發(fā)和應(yīng)用了各類船舶安全管理信息系統(tǒng)。

船舶行業(yè)是一個龐大的系統(tǒng)，工作環(huán)境復(fù)雜多變，因此船舶安全信息的管理開始出現(xiàn)越來越多的大規(guī)模復(fù)雜應(yīng)用，這些大規(guī)模應(yīng)用系統(tǒng)的重要特點之一是所處理的信息屬于大數(shù)據(jù)范圍。與此同時，保障船舶企業(yè)的安全運營是頭等大事，對企業(yè)的保密工作有一定的要求，因此其信息安全系統(tǒng)的重要性不言而喻。如果信息系統(tǒng)被外部侵入，不僅涉及到企業(yè)的組織信息會被泄漏，更會對船舶企業(yè)的日常業(yè)務(wù)運營造成嚴(yán)重影響。一方面造成經(jīng)濟損失，另一方面也會損害企業(yè)形象。因此，必須加強針對船舶企業(yè)的信息系統(tǒng)風(fēng)險管理。

1 船舶安全管理信息系統(tǒng)結(jié)構(gòu)

一般來說，船舶安全管理信息系統(tǒng)的功能結(jié)構(gòu)由安全監(jiān)察、船舶管理、應(yīng)急方案、海事管理、船舶消防、特種作業(yè)、船舶安保、證書管理、防污染、體系文件等組成。體系結(jié)構(gòu)一般由船基安全管理信息系統(tǒng)、岸基安全管理信息系統(tǒng)、海事衛(wèi)星、地面站等部分構(gòu)成。基于系統(tǒng)平臺的船舶安全管理信息系統(tǒng)開發(fā)模型如圖1。

圖1 系統(tǒng)平臺的開發(fā)模型結(jié)構(gòu)

其特點是：

（1）一套核心的應(yīng)用程序編程界面，均為標(biāo)準(zhǔn)的模塊化組件。

（2）使用EJB Server作為組件的部署環(huán)境。

（3）一套核心的API，覆蓋了大部分計算需要的服務(wù)。

2 船舶安全管理信息系統(tǒng)關(guān)鍵技術(shù)

對于船舶行業(yè)的的安全管理信息系統(tǒng)來說，需要處理的數(shù)據(jù)量十分龐大。所以如何設(shè)計數(shù)據(jù)存儲結(jié)構(gòu)，提高船舶安全信息查詢的效率等問題是關(guān)鍵。

（1）系統(tǒng)的可擴展性技術(shù)研究。船舶安全管理信息系統(tǒng)結(jié)構(gòu)和功能應(yīng)該易于擴展。其中的技術(shù)難點有：如何在信息來源增減時，系統(tǒng)自動掃描數(shù)據(jù)源并合理進(jìn)行分配；如何在系統(tǒng)硬件接口或節(jié)點有數(shù)量增減時，系統(tǒng)對擴展后的功能進(jìn)行自動調(diào)整。

（2）數(shù)據(jù)查詢算法。目前，船舶安全管理信息系統(tǒng)普遍采用磁盤操作設(shè)計，來處理實時圖像、天氣信息、路線查詢等信息的查詢。這些信息隨時間不斷積累達(dá)到一定數(shù)量級（如超過TB數(shù)量級）時，數(shù)據(jù)庫對數(shù)據(jù)的處理效率極有可能隨著數(shù)據(jù)量的增加而下降。目前基于磁盤操作設(shè)計的應(yīng)用廣泛的算法，并不能處理大數(shù)據(jù)。因此，有必要研究新的智能算法，即調(diào)整算法基率。

（3）優(yōu)化數(shù)據(jù)的并行查詢算法。如果采用多級存儲查詢算法，設(shè)計需要考慮到第三級存儲設(shè)備的輸入/輸出特性，同時還要意識到不同級存儲設(shè)備的性能差異。

3 信息安全風(fēng)險管理

信息安全管理是針對信息系統(tǒng)的一個新課題。針對信息系統(tǒng)進(jìn)行綜合性的架構(gòu)設(shè)計，技術(shù)實現(xiàn)和操作實現(xiàn)，是目前業(yè)界普遍接受的實現(xiàn)信息系統(tǒng)安全的手段。但是，由于大型信息系統(tǒng)的結(jié)構(gòu)較為繁復(fù)，安全問題的發(fā)生具有突發(fā)性和不可預(yù)知性。也就是說，由于針對信息安全無法全面制定各類預(yù)防性措施，使得信息系統(tǒng)安全管理存在著一定的難度。因此，系統(tǒng)維護人員在制定信息安全防范措施時，遇到的是一個在有限條件下進(jìn)行最優(yōu)決策的問題。既不能因過度防范導(dǎo)致企業(yè)資源（如人力、財力和物力）的浪費，不能因過度防范導(dǎo)致信息系統(tǒng)性能的低下，又不能因忽略了必要的防范造成信息系統(tǒng)安全性失效。所以，信息系統(tǒng)信息安全防范策略是一個效用問題，要充分考慮技術(shù)經(jīng)濟指標(biāo)、可靠性指標(biāo)和實際操作層來設(shè)計信息系統(tǒng)的安全管理策略。

風(fēng)險管理是針對安全風(fēng)險進(jìn)行辨識、評價、診斷、反饋、控制的閉環(huán)過程。對于信息系統(tǒng)來說，具體包括系統(tǒng)安全風(fēng)險識別、風(fēng)險來源分析、風(fēng)險影響因素的診斷、安全措施的制定、風(fēng)險控制手段效果評估等方面。從本質(zhì)上講，風(fēng)險管理是通過一系列風(fēng)控評價、決策、實現(xiàn)，最大程度的降低信息系統(tǒng)的安全風(fēng)險。

4 RMCF通用框架在船舶安全管理信息系統(tǒng)中的應(yīng)用

RMCF通用框架即風(fēng)險管理通用框架，由美國國家標(biāo)準(zhǔn)局和國家計算機安全中心在20世紀(jì)80年底提出，至今仍然適用，如圖2所示。

圖2 信息安全風(fēng)險管理通用框架RMCF

在船舶安全管理信息系統(tǒng)中，我們定義RMCF包含需求、資產(chǎn)、關(guān)注點、威脅、安全措施、脆弱性、后果七個基本元素，以及資產(chǎn)值、安全措施有效性以及后果嚴(yán)重性三個相關(guān)元素。然后以一個循環(huán)的過程對上述各個元素進(jìn)行評估，具體步驟如下：

（1）識別安全需求。要考慮船舶企業(yè)資產(chǎn)、系統(tǒng)安全水平、安措施的效率、信息系統(tǒng)的脆弱性等要素。

（2）進(jìn)入分析過程。威脅分析，包括對每個船舶信息的可能威脅進(jìn)行考察；脆弱性分析，則審查可能使對某個船舶信息的攻擊成功實施的安全弱點；情景分析需要對信息、安全屬性、威脅和脆弱性進(jìn)行詳細(xì)評估，以生成所有可能的安全遭受損害的情景。

（3）這些情景被用于后續(xù)的風(fēng)險度量階段，以評估相關(guān)的后果并估計風(fēng)險的大小。

（4）接受性測試將所測量的特定船舶信息的風(fēng)險與已確定的安全需求進(jìn)行比較。

（5）進(jìn)行安全措施選擇決策以減小測量出的風(fēng)險值與可接受的風(fēng)險值之間的差距。當(dāng)新的安全措旄實施后，整個評估過程繼續(xù)重復(fù)，以測量各個資產(chǎn)在新環(huán)境下的新的風(fēng)險值．然后運用計算出的新的風(fēng)險值以及安全措施費用。對各項安全措施進(jìn)行費效分析。

[1] 沈忠，鄭士君，韓成敏，等. 船岸一體化管理平臺設(shè)計[J]. 機電設(shè)備， 2006, 27(1): 36~38.

[2] 鄭士君，褚建新，應(yīng)力，等.船舶安全與技術(shù)管理系統(tǒng)設(shè)計與分析[J]. 航海技術(shù)， 2001(5): 55~57.

[3] 閡京華，王曉東，邵忠?guī)h，等. 信息系統(tǒng)安全風(fēng)險的概念模型和評估模型 [ J] . 網(wǎng) 絡(luò) 安全技術(shù)與應(yīng)用，2004,4 2(9):59~60.

[4] 姜力東. 安全管理平臺之我見[J]. 中國計算機報網(wǎng)絡(luò)與通信，2002,25(9):25~28.

U676

B

1671-0711（2016）07（上）-0021-02