序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的安全信息評估樣本���,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀���。
第1篇
(內(nèi)蒙古師范大學(xué) 餐飲管理學(xué)院,內(nèi)蒙古 呼和浩特 011517)
摘 要:近年來食品安全事件頻發(fā)���,食品安全問題已經(jīng)成為廣大群眾最關(guān)心的話題,食品的安全監(jiān)管也無疑成為社會關(guān)注的焦點��。本文正是以餐飲安全監(jiān)管評估體系為切入口�����,科學(xué)地分析了我國餐飲安全監(jiān)管評估體系面臨的主要問題�����,餐飲安全監(jiān)管評估體系創(chuàng)新的主要方面�,以及餐飲安全監(jiān)管評估體系創(chuàng)新的實踐,最終為餐飲安全監(jiān)管評估體系提出了創(chuàng)新思路�。
關(guān)鍵詞 :食品安全����;監(jiān)管評估���;創(chuàng)新
中圖分類號:R155文獻標(biāo)識碼:A文章編號:1673-260X(2015)03-0194-02
1 餐飲安全監(jiān)管評估體系面臨的主要矛盾和問題
1.1 餐飲企業(yè)數(shù)目多����、分布分散、監(jiān)管難度大
隨著我國經(jīng)濟社會的快速發(fā)展����,人們的生活水平不斷提高����,城鎮(zhèn)化水平不斷加大,越來越多的人到餐館里就餐�����,因此餐館行業(yè)不斷發(fā)展壯大�。進行國家注冊的餐飲行業(yè)越來越多,這就出現(xiàn)了各式各樣的餐飲企業(yè)�����,冷熱飲�、大排檔、食堂���、農(nóng)家餐��、夜宵等����,形成了形式多樣����、種類繁多的餐飲市場發(fā)展新局面。在為人們的選擇提供了更多的便利的同時,也提升了消費者的消費水平�。
然而事物都具有雙面性����,由于餐飲企業(yè)多以城市的中心地帶及人流量較大的商業(yè)中心或景點為聚居點����,同時又星羅棋布地分布于城市空間,餐飲企業(yè)的蓬勃發(fā)展也給食品安全部門對餐飲行業(yè)的監(jiān)管帶來了巨大的困難。
1.2 餐飲設(shè)施、器械簡陋陳舊
由于我國餐飲行業(yè)的發(fā)展起步比較晚,再加上對餐飲行業(yè)的管理還存在著不足��,一些中小餐飲企業(yè)特別是一些小攤小販����,多利用陳舊的設(shè)備、設(shè)施進行“創(chuàng)業(yè)”。他們的經(jīng)營場所多為一些老舊的房屋或臨時搭建的露天篷,這樣的餐飲環(huán)境不僅衛(wèi)生條件差���,餐飲食品的衛(wèi)生安全也難以得到保障。當(dāng)出現(xiàn)一些高峰期時,就餐的人很多��,一些碗筷用別人吃過的���,簡簡單單用水沖洗一下即可���,用的水也是自來水��,甚至水的渠道也很不明��,這也是我國傳染病傳播的主要途徑�����。即使一些餐飲企業(yè)配備了保鮮�、保潔����、消毒等器具,也只能成為餐飲企業(yè)的裝飾品��,因為它們僅僅是擺設(shè)���,從來不用�����,僅僅是告訴顧客放心食用���,豈不知這也算對顧客的欺騙�。大多數(shù)餐飲企業(yè)根本沒有專門的原料的加工��、清洗��、刀切��、貯存、烹飪�����、售出等的獨立空間�,全在同一單間中操作,質(zhì)量安全無法保證。
1.3 人們對食品安全的認識及意識缺乏
大多數(shù)餐飲行業(yè)的工作人員素質(zhì)較低����,缺乏職業(yè)道德,它們僅僅對于利潤���、工資感興趣,甚至為了賺錢使用一些危害性食料����,包括使用地溝油和廉價的食材等�,給食用者造成了一定的危害�。此外,這些人的食品安全法律意識淡薄����,僅僅憑借經(jīng)驗進行經(jīng)營��,無法真正養(yǎng)成良好的衛(wèi)生習(xí)慣。大部分小型餐飲行業(yè)的工作人員穿著隨便��,沒有統(tǒng)一的服裝�����,并且沒有行之有效的規(guī)章進行管理�����,在原料采購時不索要發(fā)票,也不進行臺賬記錄�,食品加工過程中也不注意生與熟的安放�,也不考慮食品之間的交叉感染����。綜上所述,人們對食品安全的認識不足及意識缺乏�����,給食品衛(wèi)生安全及監(jiān)管帶來了困難����。
2 餐飲安全監(jiān)管評估體系創(chuàng)新的主要工作
2.1 探索創(chuàng)新宣傳教育機制
宣傳教育機制始終是餐飲安全監(jiān)管評估體系創(chuàng)新工作的基礎(chǔ)��,要通過多方位��、多角度、立體式的方式進行宣傳教育,充分利用媒體和網(wǎng)站����,包括電視臺��、廣播、報紙、網(wǎng)絡(luò)等�����,對食品安全進行大力宣傳�����,也可以采取現(xiàn)場咨詢��、專家講演、宣傳下鄉(xiāng)等手段�����,深入宣傳我國食品衛(wèi)生安全方面的法律法規(guī)���,對群眾進行深刻教育,增強他們的食品安全意識�,讓他們認識到食品安全的重要性���,自覺抵制一切危害自身安全的食品問題。最終讓人民群眾成為遏制食品安全問題的主力軍,堅決抵制無食品安全保證的餐飲企業(yè)�����,讓他們在社會中無法立足�,努力營造出人人對健康負責(zé)的食品安全氣氛。此外,還要對餐飲人員進行培訓(xùn)教育,讓他們懂得我國的食品安全法規(guī)�����,自覺產(chǎn)生安全責(zé)任意識��,使之能夠安全負責(zé)地做好餐飲管理工作����,最終提升餐飲行業(yè)人員的整體素質(zhì)��,為餐飲安全監(jiān)管評估體系創(chuàng)新打下堅實基礎(chǔ)���。
2.2 探索創(chuàng)新工作推進機制
探索創(chuàng)新工作推進機制能夠有效地推進餐飲安全監(jiān)管評估體系的創(chuàng)新���。通過打開餐飲安全信息共享的通道����,積極構(gòu)建資源共享的平臺��,保證各方的橫向聯(lián)動�����,密切各部門的溝通和協(xié)作。通過加大對食品行業(yè)的監(jiān)督打擊力度,形成監(jiān)督打擊合力�,最終形成強大的監(jiān)督管理局面���。
此外,還可以利用網(wǎng)絡(luò)進行食品安全監(jiān)督��,通過對網(wǎng)絡(luò)的健全完善�����,把網(wǎng)絡(luò)打造成為食品安全監(jiān)督的“順風(fēng)耳”�,使之成為治理食品安全的重要手段�����。同時��,要加強群眾監(jiān)督的作用,切實對餐飲行業(yè)進行監(jiān)督指導(dǎo)�,增加他們的誠信意識�,使其遵守餐飲行業(yè)的法律法規(guī)觀念����,打造一個好的餐飲行業(yè)形象。
2.3 探索創(chuàng)新基礎(chǔ)保障機制
把培養(yǎng)監(jiān)督餐飲行業(yè)安全的人才隊伍���,作為未來工作的重中之重���,把行政監(jiān)管與技術(shù)監(jiān)督的工作落到實處。同時��,對餐飲行業(yè)監(jiān)督機構(gòu)進行改革����,優(yōu)化人才隊伍,灌輸監(jiān)督管理的新鮮概念����,提升他們執(zhí)行力���,不斷補充后備人才隊伍��,提升餐飲監(jiān)管系統(tǒng)的綜合能力和執(zhí)行水平,為餐飲安全提供強大保證。
同時也要積極引用科學(xué)技術(shù)��,利用高科技設(shè)備和手段,行之有效地參與餐飲行業(yè)安全監(jiān)督檢查,做到檢查嚴(yán)格���、監(jiān)管有效、執(zhí)法合理、獎懲分明,為全力做好搭建餐飲安全監(jiān)管評估體系的創(chuàng)新打下堅實基礎(chǔ)。
3 餐飲安全監(jiān)管評估體系創(chuàng)新的實踐
3.1 探索創(chuàng)新綜合懲處機制
3.1.1 建立能力評價機制
我國頒布的《食品安全法實施條例》明確說明:地方行政管理人員要為餐飲行業(yè)安全監(jiān)督管理的能力建設(shè)提供強有力的保障��。目前��,我國的餐飲行業(yè)的設(shè)施設(shè)備都比較落后�,基礎(chǔ)比較薄弱����。他們面臨的主要困難是缺乏安全管理能力的人才,缺乏用于檢查的設(shè)備設(shè)施,我們都知道要做好餐飲行業(yè)的安全檢查���,就必須有先進的檢查設(shè)備,而要想扭轉(zhuǎn)以上問題,就是要加大經(jīng)費的投入,而缺乏經(jīng)費也是餐飲安全監(jiān)管的困難之一��。
目前國家已經(jīng)啟動了對餐飲安全監(jiān)管的力建設(shè)標(biāo)準(zhǔn)項目�,對餐飲安全檢查設(shè)備提出了基本標(biāo)準(zhǔn),并加大了對餐飲安全監(jiān)管設(shè)備的支持力度,這為我國餐飲企業(yè)向更好的方向發(fā)展提供了良好條件��。今后監(jiān)管負責(zé)人將逐級地對監(jiān)管能力進行上報����,對監(jiān)管能力不合格者進行嚴(yán)格檢查。
3.1.2 實行信用獎懲機制及典型示范機制
對于我們國家來講,信用是稀有且珍貴的資源�����。如何健全和完善科學(xué)的餐飲企業(yè)信用評價機制�,是確保我們國家餐飲行業(yè)安全的當(dāng)務(wù)之急。
首先通過網(wǎng)絡(luò)對各類餐館開展網(wǎng)絡(luò)信用征集并系統(tǒng)地統(tǒng)計起來,然后對它們進行科學(xué)的評級,對于一些非常差的企業(yè)進行警告并予以懲處�����,并督促它們進行整改��,同時還要對餐飲企業(yè)進行網(wǎng)絡(luò)披露,保證廣大群眾能全面地對餐飲企業(yè)信用狀況進行客觀�����、全面的認識。這樣消費者既可以合理地選擇餐館用餐,也有助于對餐飲安全的監(jiān)管,更能提高餐飲企業(yè)的自律性。
我國現(xiàn)在餐飲行業(yè)的集成化���、產(chǎn)業(yè)化還不高,面臨著嚴(yán)重的散、低等狀況��。因此要改變以上狀況�����,就必須采取措施進行重點突破���,采取餐館示范工程��,推動餐飲安全工作,使其成為示范的培育基地,充分發(fā)揮示范及引領(lǐng)作用,并成為餐飲安全監(jiān)管評估重要指標(biāo)�。
3.1.3 努力推進責(zé)任追究機制
沒有責(zé)任就沒有工作的動力����,對于餐飲安全監(jiān)管來講,責(zé)任尤為重要?�!秶沂称钒踩ā芬呀?jīng)明文規(guī)定,地方政府對食品安全要負總責(zé)���,監(jiān)管部門自身責(zé)任如果沒有履行,也要受到處罰���,餐飲企業(yè)是安全事故的第一責(zé)任人?�,F(xiàn)在我國餐飲安全管理受到多種因素的制約���,責(zé)任制并沒有完全的落實�����。所以,必須根據(jù)現(xiàn)實狀況重新對責(zé)任進行細化、具體的劃分,保證管理責(zé)任與責(zé)任人匹配�����,保證餐飲安全問題必有人處理�,徹底根斷餐飲安全責(zé)任人存在的僥幸心理��。近年來國家推行責(zé)任人約談制度���,對于餐飲安全監(jiān)管評估體系的建立和完善將起到一定的促進作用。
3.2 探索創(chuàng)新動態(tài)監(jiān)管機制
3.2.1 積極建構(gòu)溝通協(xié)作機制
要做好食品安全監(jiān)管工作�,就必須三位一體地對食品安全進行把關(guān),這樣才能從根處做到食品安全�����。目前�,我國的食品安全工作明顯沒有做到以上要求�,與餐飲食品安全監(jiān)管相關(guān)的工商���、衛(wèi)生�、防疫等相關(guān)部門很難一起對食品安全進行協(xié)調(diào)��,因此落實協(xié)調(diào)機制也無從談起�����,更不用說健全和完善�。同時��,由于管理部門各自職責(zé)不同����,信息達不到共享���,導(dǎo)致無法形成食品安全的監(jiān)督合力���。
此外�,我國的食品監(jiān)管工作仍存在管理力度不夠、效果差等實際情況���。目前��,我國政府對社會餐飲行業(yè)監(jiān)管力度還不夠����,與其他國家相比資金的投入還相對較少�,食品安全監(jiān)管人員明顯不足,監(jiān)管的手段也相對單一����。因此�����,在食品安全監(jiān)管上出現(xiàn)的漏洞比較多,也影響了監(jiān)管工作的效果。
3.2.2 堅定實施分級監(jiān)管機制及社會參與機制
近些年我國餐飲行業(yè)迅速發(fā)展�,但是由于各地發(fā)展水平不同����,也出現(xiàn)了餐飲行業(yè)區(qū)域差異性問題���。因此要根據(jù)我們國家的基本國情實施分級監(jiān)管機制���,推行分類監(jiān)管制度與誠信制度��,并使它們有機結(jié)合����,有助于餐飲行業(yè)的自我約束��、自我提高。同時還要充分利用社會資源�����,加大餐飲安全監(jiān)管力量,提高廣大人民群眾對食品安全的認識,并使廣大人民群眾積極參與到食品安全的監(jiān)督工作中,形成一種人人對餐飲安全有責(zé)的氣氛。堅定實施分級監(jiān)管機制及社會參與機制,把政策落到實處�����,做到我國餐飲的真正安全��,餐飲安全管理人員必須負起責(zé)任�。
4 總結(jié)
食品安全關(guān)乎千家萬戶��,保證食品安全不僅是國家的責(zé)任��,也是我們每個人義不容辭的責(zé)任。當(dāng)今世界食品安全事件并不少見,也得到了各國的重視,我國食品安全部門也加大了食品安全的檢查力度�����,發(fā)現(xiàn)質(zhì)量安全問題絕不手軟�,對社會上一些危害極大的食品事故企業(yè),不僅僅對相關(guān)責(zé)任人依法追究刑事責(zé)任,同時也對企業(yè)加大懲罰力度����。因此��,近年來由于國家的高壓檢查,食品安全事件的發(fā)生頻率得到了有效控制。同時也呼吁我們每個公民都要積極的對食品安全問題進行監(jiān)督。
參考文獻:
(1)徐景和���。積極推動餐飲安全監(jiān)管機制創(chuàng)新[J]。中國食品藥品監(jiān)管��,2011(08):16-18.
(2)邊振甲�。科學(xué)探索餐飲安全監(jiān)管新思路[J]�����。行政管理改革�,2011(09):27-30.
(3)徐晗��。湖南省餐飲服務(wù)食品安全監(jiān)管體系建設(shè)狀況分析[D]����。中南大學(xué)���,2012.
第2篇
信息技術(shù)以及信息產(chǎn)業(yè)的飛速發(fā)展���,給檔案管理信息化建設(shè)帶來了機會�����,同時也給其帶來了巨大的沖擊和新的挑戰(zhàn)�����。信息系統(tǒng)自身所處的網(wǎng)絡(luò)環(huán)境的特點以及信息系統(tǒng)自身的局限性會導(dǎo)致信息系統(tǒng)的發(fā)展過程中會受到一些因素的影響。而且�,在使用的過程中也會遇到一些認為破壞或者是木馬等方面的破壞����。所以���,檔案管理信息化的過程中會遇到一些信息安全隱患��,這嚴(yán)重影響信息的安全可靠性��。但是,隨著時代的快速發(fā)展�����,人們在不斷的探索和研究防止信息系統(tǒng)遭受到破壞的措施��,而且在殺毒軟件和入侵檢測技術(shù)方面獲得了很大的成就�����。雖然這些檢測手段的使用在一定程度上可以防止惡意程序?qū)π畔⑾到y(tǒng)的破壞�,但是并沒有從根本上解決檔案信息系統(tǒng)的安全問題�����。因為隨著信息技術(shù)的發(fā)展�����,信息系統(tǒng)受到的威脅也在逐漸向著多樣化的趨勢發(fā)展變化����,而且更加的隱蔽化�����,對于信息系統(tǒng)的破壞性越來越大����。隨著信息技術(shù)的廣泛使用��,信息安全的內(nèi)涵也在不斷的豐富�����,已經(jīng)不再是最開始的單單對信息保密,而是向著保證信息的完整性�、準(zhǔn)確性方向發(fā)展,使檔案信息變得更加的實用而且具有不可否認性。進而實現(xiàn)多方面的防控實施技術(shù)�����。
二���、檔案管理信息化中安全風(fēng)險評估的作用
人們在進行檔案信息管理的過程中受到認識能力以及實踐能力的限制����,不能夠保證信息管理的完全安全性,所以檔案信息管理系統(tǒng)在一定程度上存在著脆弱性,這種情況導(dǎo)致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞�����,所以檔案信息管理存在安全風(fēng)險具有必然性��。因此�����,對檔案信息管理進行安全風(fēng)險評估具有重要的意義,信息安全建設(shè)的前提是,基于對綜合成本以及效益的考慮�,采取有效的安全方法對風(fēng)險進行控制�����,保證殘余風(fēng)險降低在最小的程度。因為,人們追求實際的信息系統(tǒng)的安全����,是指對信息系統(tǒng)實施了風(fēng)險控制之后����,接受殘余風(fēng)險的存在�,但是殘余風(fēng)險應(yīng)該控制在最小的程度����。所以,要保證檔案信息系統(tǒng)的安全可靠性���,就應(yīng)該實施全面、系統(tǒng)的安全風(fēng)險評估�,將安全風(fēng)險評估的思想以及觀念貫穿到整個信息管理的過程中��。通常情況下,信息安全風(fēng)險主要指的是在整個信息管理的過程中�,信息的安全屬性所面臨的危害發(fā)生的可能性�����。產(chǎn)生這種可能性的原因是系統(tǒng)脆弱性、人為因素或者是其他的因素造成的威脅�。用來衡量安全事件發(fā)生的概率以及造成的影響的指標(biāo)主要有兩種�����。然而���,危害的程度并不只取決于安全事件發(fā)展的概率�����,還與其造成的后果的嚴(yán)重性的大小有著直接的關(guān)系。安全風(fēng)險評估具有很多的特點。首先�,它具有決策支持性�����,這個特點在整個安全風(fēng)險評估周期中都存在,只是內(nèi)容不相同,因為安全評估的真正目的是供給安全管理支持以及服務(wù)的。在系統(tǒng)生命周期中都存在著安全隱患,所以整個生命周期中都離不開安全風(fēng)險評估����。其次�,比較分析性,這個特點主要體現(xiàn)在對安全管理和運營的不同的方案能夠進行有效的比較以及分析��;能夠?qū)Σ煌尘扒闆r下使用的科學(xué)技術(shù)以及資金投入進行比較分析;還能夠?qū)Ξa(chǎn)生的結(jié)果進行有效的比較分析����。最后,前提假設(shè)性����,對檔案信息進行管理的過程中所使用的風(fēng)險評估會涉及到各種評估數(shù)據(jù)���,這些數(shù)據(jù)能夠被分為兩種�。其中一種數(shù)據(jù)的功能是對檔案信息實際情況的描述���,通過這些數(shù)據(jù)就可以了解整個檔案管理信息中的情況��;另一種數(shù)據(jù)是指預(yù)測數(shù)據(jù)�,主要是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的,因為在信息管理的整個過程中,都要對一些未知的情況進行事先的預(yù)測,然后做出必要的假設(shè)����,得出相關(guān)的預(yù)測數(shù)據(jù)��,再根據(jù)這些預(yù)測數(shù)據(jù)對系統(tǒng)進行風(fēng)險評估�。
三、檔案管理不同階段
進行不同的風(fēng)險評估信息系統(tǒng)的開發(fā)涉及到很多的模型�����,而且隨著科學(xué)技術(shù)的快速發(fā)展,各種模型都在不斷的升級。從最早期的線性模型到螺旋式模型再到后來的并發(fā)式的模型�,這些系統(tǒng)模型的開發(fā)都是為了滿足不同的系統(tǒng)需求��。然而��,風(fēng)險評估卻存在于整個信息系統(tǒng)的生命周期中�����,但是由于信息系統(tǒng)的生命周期中有很多的階段����,而且每一個階段活動的內(nèi)容都有所差別�����,因此信息管理的安全目標(biāo)以及對安全風(fēng)險評估的要求也是不同的。
(一)對于分析階段的風(fēng)險評估。其真正的目的是為了實現(xiàn)規(guī)劃中的檔案信息系統(tǒng)安全風(fēng)險的獲得�,這樣才能夠根據(jù)獲得的信息來滿足安全建設(shè)的具體需求���。分析階段的風(fēng)險評估的重點是抓住系統(tǒng)初期的安全風(fēng)險評估����,從而有效的滿足對安全性的需求,然后從宏觀的角度來分析和評估檔案信息管理系統(tǒng)中可能存在的危險因素�����。
(二)設(shè)計階段的安全風(fēng)險評估�。這個階段涉及到的安全目標(biāo)比較多��,所以能夠有效的確定安全目標(biāo)具有重要的意義。應(yīng)該采取有效的措施��,通過安全風(fēng)險評估��,保證檔案信息管理系統(tǒng)中安全目標(biāo)的明確��。
(三)集成實現(xiàn)階段��。這個階段的主要目的是要驗證系統(tǒng)安全要求的實現(xiàn)效果與符合性是否一致,所以���,應(yīng)該通過有效的風(fēng)險評估對其進行驗證����。需要注意的是���,在進行資產(chǎn)評估的時候���,如果在分析階段以及設(shè)計階段已經(jīng)對資產(chǎn)進行了評估�����,那么在這個階段就不需要再重新做資產(chǎn)評估的工作,防止重復(fù)性工作的發(fā)生。所以,可以直接用前兩個階段得出的資產(chǎn)評估的結(jié)果,但是如果在分析階段和設(shè)計階段都沒有進行資產(chǎn)評估,則需要在此階段先進行這項工作。威脅評估依然著重威脅環(huán)境,而且要對真實環(huán)境中的具體威脅進行有效的分析�。除此之外���,還應(yīng)該對檔案信息管理系統(tǒng)進行實際環(huán)境的脆弱性的有效分析�����,重點放在信息的運行環(huán)境以及管理環(huán)境中的脆弱性的分析���。
(四)運行維護階段����。對檔案管理系統(tǒng)不斷的進行有效的風(fēng)險評估���,從而確保系統(tǒng)的安全�����、可靠性,這樣才能夠保證檔案管理系統(tǒng)在整個生命周期中都處于安全的環(huán)境。
四、檔案信息安全風(fēng)險評估存在的不足
我國在檔案信息安全風(fēng)險評估方面已經(jīng)取得了很大的成就,積累了一些寶貴的經(jīng)驗��。但是,由于我國檔案信息安全風(fēng)險評估工作起步晚,還存在一些不足之處���,主要表現(xiàn)在以下幾點��。
(一)管理層對于信息安全風(fēng)險評估缺乏一定的重視�,而且缺少一些專業(yè)評估技術(shù)人員����。當(dāng)前評估技術(shù)人員的專業(yè)技能不高也是現(xiàn)階段存在的問題。所以���,應(yīng)該對評估人員進行定期的培訓(xùn)���,提高他們的專業(yè)技能�����,保證風(fēng)險評估工作有效的進行�����,同時還應(yīng)該采取有效的措施來提高工作人員對于風(fēng)險評估的重視,是檔案管理信息化環(huán)境處于安全的運行環(huán)境中�。
(二)風(fēng)險評估的工作流程還不夠完善����,而且一些風(fēng)險技術(shù)標(biāo)準(zhǔn)也需要進一步的更新。檔案信息化管理的風(fēng)險評估�����,不僅僅是一個管理的過程����,也是一個技術(shù)性的過程,所以應(yīng)該根據(jù)實際情況來科學(xué)合理地制定工作流程和技術(shù)標(biāo)準(zhǔn)�。如果所有的環(huán)境和情況都套用一種工作流程和一個技術(shù)標(biāo)準(zhǔn)����,就會導(dǎo)致不匹配現(xiàn)象的出現(xiàn),不僅影響風(fēng)險評估的效果,而且在一定程度上還影響信息系統(tǒng)的安全性����。
(三)評估工具的發(fā)展比較滯后,隨著科學(xué)技術(shù)的快速發(fā)展,信息安全漏洞會逐漸顯露出來��,所以對信息系統(tǒng)的威脅逐漸增加��。應(yīng)該采用先進的評估工具對其進行風(fēng)險評估���,從而滿足檔案管理信息化的需求�����。
五�����、結(jié)語
第3篇
從企業(yè)內(nèi)部業(yè)務(wù)出發(fā)�����,優(yōu)化信息安全風(fēng)險評估基本模型,設(shè)計了一個企業(yè)信息安全風(fēng)險自評估實施模型�,并深入分析了該模型的內(nèi)容����,使其適用于企業(yè)依托自身力量來有效開展自評估活動�����,從而提高企業(yè)信息安全風(fēng)險防護能力�����。
關(guān)鍵詞:
信息安全;自評估;風(fēng)險評估����;模型設(shè)計
企業(yè)信息安全風(fēng)險評估主要有2種模式��,即他評估和自評估。相比較而言,自評估展現(xiàn)出越來越多的優(yōu)點����,比如外部依賴性小��、投入費用低、評估周期短�、次生風(fēng)險低和可以提高內(nèi)部安全意識等。除此之外�����,信息安全風(fēng)險的動態(tài)化決定信息安全評估工作應(yīng)是長期持續(xù)的,大部分的內(nèi)部信息安全風(fēng)險評估內(nèi)容企業(yè)可采用自評估方式來完成�。但信息安全風(fēng)險評估的專業(yè)性、技術(shù)性���、標(biāo)準(zhǔn)性比較高,企業(yè)難以掌握復(fù)雜的評估技術(shù)和方法��。本文以企業(yè)業(yè)務(wù)為出發(fā)點��,對信息安全風(fēng)險評估基本模型進行優(yōu)化,設(shè)計了一個更適用于企業(yè)依托自身力量來有效開展自評估的實施模型����,以提高企業(yè)信息安全風(fēng)險防護能力。
1信息安全風(fēng)險評估基本模型
對風(fēng)險評估模型的研究一直是信息安全風(fēng)險評估領(lǐng)域的研究熱點之一。風(fēng)險評估基本模型是一種基于資產(chǎn)��、威脅和脆弱性的信息安全風(fēng)險評估模型。其中,資產(chǎn)的評估主要是對資產(chǎn)進行相對估價,估價準(zhǔn)則依賴于對其影響范圍的分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性和威脅嚴(yán)重程度的評估�;脆弱性評估是對資產(chǎn)脆弱程度的評估����,也是對資產(chǎn)被威脅、利用成功的可能性的評估。信息安全風(fēng)險評估基本模型的評估過程就是對資產(chǎn)信息、威脅信息和脆弱性信息進行綜合分析評估并且生成風(fēng)險信息的過程�,包含確定評估范圍�����、資產(chǎn)識別階段、安全威脅/脆弱性評估�、風(fēng)險分析和風(fēng)險管理等階段��?;谛畔踩L(fēng)險評估基本模型,很多學(xué)者從不同角度和目的做了優(yōu)化和完善。但是���,信息安全風(fēng)險評估模型的研究還處于探索和完善階段��,已有的研究存在一些缺陷�����,主要表現(xiàn)為以下3點:①缺乏對評估內(nèi)容的逐層細化,難以評價和量化各要素,可操作性比較差�����;②缺乏對風(fēng)險評估基本要素屬性的綜合思考��,難以體現(xiàn)評估要素與企業(yè)業(yè)務(wù)的關(guān)系���;③大部分模型比較復(fù)雜����,評估方法和流程操作起來費時費力,企業(yè)難以采用�。
2基于基本模型的企業(yè)信息安全自評估模型
針對信息安全風(fēng)險評估模型的不足,本文綜合考慮企業(yè)自身的業(yè)務(wù)和內(nèi)部約束條件�����,在基本模型和相關(guān)研究成果的基礎(chǔ)上,提出更加簡單���、有效的企業(yè)信息安全風(fēng)險自評估模型。本文認為�����,企業(yè)信息安全風(fēng)險自評估模型應(yīng)遵循自主��、簡單��、規(guī)范性、可行性和可擴展性的原則�,基本思路是從企業(yè)業(yè)務(wù)出發(fā)�,多角度研究自評估模型中資產(chǎn)�����、威脅、脆弱性的關(guān)系和指標(biāo)���,應(yīng)用相關(guān)統(tǒng)計分析方法統(tǒng)計����,運用層次分析法(AHP)評價�、量化相關(guān)要素和風(fēng)險����,最終構(gòu)建一個科學(xué)��、合理、可操作的企業(yè)自評估模型。在此過程中,需要解決3方面的問題:①明確評估的對象�、內(nèi)容和流程�����;②構(gòu)建評價方法���,統(tǒng)一評估和度量風(fēng)險基本要素�;③統(tǒng)一不同層面、角度的評估結(jié)果。
2.1基于AHP的信息安全風(fēng)險要素度量方法
AHP(AnalyticHierarchyProcess���,層次分析法)是一種定性分析與定量分析相結(jié)合的多目標(biāo)決策分析方法,其基本步驟是:①分析問題,建立遞階結(jié)構(gòu)(評價模型);②構(gòu)造比較判斷矩陣�;③層次單排序;④一致性檢驗���;⑤層次總排序與一致性檢驗����;⑥選擇最優(yōu)的解決方案��。資產(chǎn)����、威脅、脆弱性作為信息安全風(fēng)險自評估模型的3個基本要素,需要分別識別和分析���,并提煉出各自的評價指標(biāo)。本文結(jié)合已有的理論和實踐成果��,從自主性���、簡單性��、可行性和科學(xué)性原則出發(fā)�����,基于相關(guān)標(biāo)準(zhǔn)�、企業(yè)環(huán)境和企業(yè)業(yè)務(wù)影響分析,提出信息資產(chǎn)的評價因素應(yīng)包含經(jīng)濟�����、名譽、法律法規(guī)��、業(yè)務(wù)運營��、社會秩序��、商業(yè)利益和個人利益����,等等��,威脅可能性評價指標(biāo)應(yīng)包含威脅攻擊力、威脅動機���、資產(chǎn)誘因和威脅頻率等�,脆弱性嚴(yán)重程度賦值的評價因素應(yīng)包含可用性、機密性和完整性��。根據(jù)資產(chǎn)受到損害時對其評價因素帶來的損失為資產(chǎn)價值賦值(比如從1~4取值)����,數(shù)值越大,表明資產(chǎn)價值越高�。得到各評價因素的綜合分值后�����,分值最大的為該資產(chǎn)的價值����,即資產(chǎn)價值為A=max(i)。根據(jù)威脅評價指標(biāo)和脆弱性評價因素����,利用AHP方法建立威脅、脆弱性評價體系����,體系由目標(biāo)層����、準(zhǔn)則層和指標(biāo)層(方案層)構(gòu)成��。為了方便對不同威脅發(fā)生可能性概率���、不同脆弱性的嚴(yán)重程度進行類比、度量,使用統(tǒng)一的度量標(biāo)準(zhǔn),采用相對等級的方式處理評價結(jié)果(比如從1~4取值),數(shù)值越大����,威脅發(fā)生的可能性越高,帶來的損害越大。通過AHP用數(shù)量形式表達和處理個人主觀判斷結(jié)果,采用專家和團隊評分進一步比較各要素的重要性����,并做一致性檢驗,最終確定各要素的值。
2.2企業(yè)信息安全自評估風(fēng)險計算
在對資產(chǎn)價值����、威脅、脆弱性分析和量化后,還要確定各要素之間的組合方式和具體的計算方法?��!缎畔踩L(fēng)險評估規(guī)范》(2007)對風(fēng)險值的計算提出了如下函數(shù):風(fēng)險值=R(A���,T����,V)=R(L(T,V)��,F(xiàn)(Ia,Va)).(1)式(1)中:R為安全風(fēng)險計算函數(shù)��;A為資產(chǎn)���;T為威脅����;V為脆弱性�;L為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性��;F為安全事件發(fā)生后造成的損失�����;Ia為安全事件所作用的資產(chǎn)價值�����;Va為脆弱性嚴(yán)重程度。信息安全風(fēng)險值的計算方法主要有矩陣法���、相乘法和預(yù)先價值矩陣查表法等,并且可以將多種方法結(jié)合使用�����。因為相乘法操作簡單,所以�����,在風(fēng)險分析中的應(yīng)用比較廣泛。該方法是一種定量的計算方法�,主要思路是利用2個相關(guān)要素值的乘積計算出結(jié)果要素的值����。按照簡單性、科學(xué)性原則�����,對于企業(yè)自評估�����,本文認為���,相乘法比較適合企業(yè)使用�,但不限于該方法�。根據(jù)相乘法���,企業(yè)信息安全風(fēng)險值的計算過程是:①計算威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性����,即L=L(T�����,V)=T×V;②計算安全事件發(fā)生后造成的損失���,即F=F(Ia,Va)=Ia×Va����;③計算風(fēng)險值����,即R=R(L,F(xiàn))=L×F.
2.3企業(yè)信息安全自評估模型和流程設(shè)計
企業(yè)信息安全風(fēng)險自評估的基本目的是依據(jù)企業(yè)自身業(yè)務(wù),識別出信息系統(tǒng)中存在的主要安全風(fēng)險,并排列優(yōu)先級�����,為風(fēng)險信息計算提供數(shù)據(jù)支撐�,進而為提出風(fēng)險應(yīng)對措施提供建議�。基于上述方法,本文提出了企業(yè)信息安全風(fēng)險自評估模型,如圖1所示����。企業(yè)信息安全風(fēng)險自評估模型的實施分為范圍確定����、資產(chǎn)識別與量化��、威脅分析��、脆弱性分析���、風(fēng)險分析與計算�����、風(fēng)險應(yīng)對建議6個階段�,每個階段的具體任務(wù)如圖2所示��。本文提出的自評估模型綜合了企業(yè)自評估的約束條件�����、風(fēng)險評估的基本原理��、關(guān)鍵環(huán)節(jié)與流程����、基本要素度量等�����,具有以下5個特點:①模型提供了統(tǒng)一的資產(chǎn)、威脅��、脆弱性3個基本要素的度量和評價方法,依據(jù)模型中的評價指標(biāo)可以進行量化和排序���。②模型將企業(yè)業(yè)務(wù)與風(fēng)險評估結(jié)合起來����,體現(xiàn)了IT服務(wù)企業(yè)�、服務(wù)業(yè)務(wù)的理念�,在一定程度上反映出了信息安全風(fēng)險評估對業(yè)務(wù)的影響程度和對企業(yè)的價值�����。③模型滿足信息安全的動態(tài)性要求��,適應(yīng)企業(yè)業(yè)務(wù)不斷發(fā)展和調(diào)整的需要。當(dāng)業(yè)務(wù)調(diào)整時,企業(yè)僅需分析業(yè)務(wù)信息流����,識別出相關(guān)資產(chǎn)、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求�,企業(yè)可建立相關(guān)制度���,將自評估設(shè)立為日常性工作�。當(dāng)業(yè)務(wù)無法調(diào)整時,自評估活動僅需識別和分析新的脆弱性和威脅信息,從而節(jié)省大量資源�。⑤模型具有較強的適應(yīng)性,適用于不同類型的企業(yè),企業(yè)可根據(jù)實際情況裁減和優(yōu)化,根據(jù)各自的偏好選擇風(fēng)險計算方法����。
3結(jié)束語
第4篇
關(guān)鍵詞:信息安全����;風(fēng)險評估;脆弱性�;威脅
1.引言
隨著信息技術(shù)的飛速發(fā)展���,關(guān)系國計民生的關(guān)鍵信息資源的規(guī)模越來越大,信息系統(tǒng)的復(fù)雜程度越來越高,保障信息資源�、信息系統(tǒng)的安全是國民經(jīng)濟發(fā)展和信息化建設(shè)的需要�。信息安全風(fēng)險評估就是從風(fēng)險管理角度��,運用科學(xué)的分析方法和手段����,系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施��,以防范和化解風(fēng)險,或者將殘余風(fēng)險控制在可接受的水平����,從而最大限度地保障網(wǎng)絡(luò)與信息安全。
2、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析
“網(wǎng)絡(luò)信息的安全”從狹義的字面上來講就是網(wǎng)絡(luò)上各種信息的安全��,而從廣義的角度考慮���,還包括整個網(wǎng)絡(luò)系統(tǒng)的硬件�、軟件��、數(shù)據(jù)以及數(shù)據(jù)處理、存儲���、傳輸?shù)仁褂眠^程的安全�。
網(wǎng)絡(luò)信息安全具有如下6個特征:(1)保密性���。即信息不泄露給非授權(quán)的個人或?qū)嶓w����。(2)完整性。即信息未經(jīng)授權(quán)不能被修改�����、破壞�����。(3)可用性�����。即能保證合法的用戶正常訪問相關(guān)的信息。(4)可控性����。即信息的內(nèi)容及傳播過程能夠被有效地合法控制。
(5)可審查性��。即信息的使用過程都有相關(guān)的記錄可供事后查詢核對。網(wǎng)絡(luò)信息安全的研究內(nèi)容非常廣泛��,根據(jù)不同的分類方法可以有多種不同的分類。研究內(nèi)容的廣泛性決定了實現(xiàn)網(wǎng)絡(luò)信息安全問題的復(fù)雜性��。
而通過有效的網(wǎng)絡(luò)信息安全風(fēng)險因素分析���,就能夠為此復(fù)雜問題的解決找到一個考慮問題的立足點��,能夠?qū)?fù)雜的問題量化�,同時,也為能通過其他方法如人工智能網(wǎng)絡(luò)方法解決問題提供依據(jù)和基礎(chǔ)�。
網(wǎng)絡(luò)信息安全的風(fēng)險因素主要有以下6大類:(1)自然界因素,如地震�����、火災(zāi)�����、風(fēng)災(zāi)�、水災(zāi)�、雷電等����;(2)社會因素��,主要是人類社會的各種活動,如暴力、戰(zhàn)爭�、盜竊等����;(3)網(wǎng)絡(luò)硬件的因素�,如機房包括交換機、路由器、服務(wù)器等受電力���、溫度�����、濕度、灰塵、電磁干擾等影響�����;(4)軟件的因素�����,包括機房設(shè)備的管理軟件��、機房服務(wù)器與用戶計算機的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件���、防火墻、工具軟件等����;(5)人為的因素,主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來的影響因素�,如操作失誤�����、數(shù)據(jù)泄露、惡意代碼���、拒絕服務(wù)����、騙取口令�����、木馬攻擊等;(6)其他因素�����,包括政府職能部門的監(jiān)管因素��、有關(guān)部門對相關(guān)法律法規(guī)立法因素、教育部門對相關(guān)知識的培訓(xùn)因素、宣傳部門對相關(guān)安全內(nèi)容的宣傳因素等�。這些因素對于網(wǎng)絡(luò)信息安全均會產(chǎn)生直接或者間接的影響�����。
3����、安全風(fēng)險評估方法
3.1定制個性化的評估方法
雖然已經(jīng)有許多標(biāo)準(zhǔn)評估方法和流程����,但在實踐過程中���,不應(yīng)只是這些方法的套用和拷貝�����,而是以他們作為參考�����,根據(jù)企業(yè)的特點及安全風(fēng)險評估的能力,進行“基因”重組,定制個性化的評估方法���,使得評估服務(wù)具有可裁剪性和靈活性�����。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估���、網(wǎng)絡(luò)結(jié)構(gòu)評估、脆弱性掃描����、策略評估����、應(yīng)用風(fēng)險評估等��。
3.2安全整體框架的設(shè)計
風(fēng)險評估的目的�����,不僅在于明確風(fēng)險��,更重要的是為管理風(fēng)險提供基礎(chǔ)和依據(jù)��。作為評估直接輸出��,用于進行風(fēng)險管理的安全整體框架����。但是由于不同企業(yè)環(huán)境差異、需求差異���,加上在操作層面可參考的模板很少,使得整體框架應(yīng)用較少����。但是�,企業(yè)至少應(yīng)該完成近期1~2年內(nèi)框架�,這樣才能做到有律可依����。
3.3多用戶決策評估
不同層面的用戶能看到不同的問題�,要全面了解風(fēng)險,必須進行多用戶溝通評估����。將評估過程作為多用戶“決策”過程��,對于了解風(fēng)險���、理解風(fēng)險、管理風(fēng)險��、落實行動����,具有極大的意義���。事實證明,多用戶參與的效果非常明顯。多用戶“決策”評估����,也需要一個具體的流程和方法����。
3.4敏感性分析
由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)����,使得風(fēng)險越來越隱蔽�。要提高評估效果,必須進行深入關(guān)聯(lián)分析�����,比如對一個老漏洞��,不是簡單地分析它的影響和解決措施,而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞�����,找出病“根”��,開出有效的“處方”。這需要強大的評估經(jīng)驗知識庫支撐,同時要求評估者具有敏銳的分析能力。
3.5評估結(jié)果管理
安全風(fēng)險評估的輸出�����,不應(yīng)是文檔的堆砌��,而是一套能夠進行記錄���、管理的系統(tǒng)�。它可能不是一個完整的風(fēng)險管理系統(tǒng),但至少是一個非常重要的可管理的風(fēng)險表述系統(tǒng)。企業(yè)需要這樣的評估管理系統(tǒng)��,使用它來指導(dǎo)評估過程,管理評估結(jié)果,以便在管理層面提高評估效果�。
4����、風(fēng)險評估的過程
4.1前期準(zhǔn)備階段
主要任務(wù)是明確評估目標(biāo)����,確定評估所涉及的業(yè)務(wù)范圍�,簽署相關(guān)合同及協(xié)議,接收被評估對象已存在的相關(guān)資料���。展開對被評估對象的調(diào)查研究工作���。
4.2中期現(xiàn)場階段
編寫測評方案�,準(zhǔn)備現(xiàn)場測試表��、管理問卷����,展開現(xiàn)場階段的測試和調(diào)查研究階段�。
4.3后期評估階段
撰寫系統(tǒng)測試報告。進行補充調(diào)查研究�����,評估組依據(jù)系統(tǒng)測試報告和補充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險評估報告�����。
5.風(fēng)險評估的錯誤理解
(1)
不能把最終的系統(tǒng)風(fēng)險評估報告認為是結(jié)果唯一���。
(2)不能認為風(fēng)險評估可以發(fā)現(xiàn)所有的安全問題�。
(3)
不能認為風(fēng)險評估可以一勞永逸的解決安全問題��。
(4)不能認為風(fēng)險評估就是漏洞掃描。
(5)不能認為風(fēng)險評估就是IT部門的工作�����,與其它部門無關(guān)����。
(6)
不能認為風(fēng)險評估是對所有信息資產(chǎn)都進行評估���。
第5篇
關(guān)鍵詞:電子商務(wù)�;信息安全��;風(fēng)險評估��;對策
基金項目:鄭州科技學(xué)院大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計劃項目:電子商務(wù)信息安全風(fēng)險評估關(guān)鍵技術(shù)及應(yīng)用(編號:DCY2019007)
1.引言
電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ)���,以商城消費者產(chǎn)品物流為構(gòu)成要素進行的電子商務(wù)活動��。當(dāng)電子商務(wù)相關(guān)部門或人員在進行項目開發(fā)時,擁有一套信息安全風(fēng)險評估系統(tǒng)可以幫助其采用科學(xué)合理的方法對潛在威脅進行分析并保證經(jīng)濟系統(tǒng)的安全。所以將信息安全技術(shù)與現(xiàn)代化新興技術(shù)結(jié)合�,將為我們打造一個更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境�����。
2.電子商務(wù)系統(tǒng)中存在的信息安全問題及現(xiàn)狀
一般來說,電子商務(wù)的信息安全是指在電子商務(wù)交易的過程中雙方使用各種技術(shù)和法律手段等確保交易不會因為意外�����,惡意或者披露這些不利要求而受到損害的信息安全�����。在21世紀(jì)初葉�����,我國金融系統(tǒng)中的計算機犯罪率一直在不斷地增加�,我國金融網(wǎng)絡(luò)信息安全形勢非常嚴(yán)峻,需要加強改善�����。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問題做一個簡要介紹��,主要涉及以下幾個方面:
(1)由于編寫的電子商務(wù)系統(tǒng)軟件可以使用不同的形式���,因此在實際應(yīng)用過程中難以避免的會留下安全漏洞�。例如,網(wǎng)絡(luò)操作系統(tǒng)本身會存在一些安全問題���,例如非法訪問I/0�,這些不完全的調(diào)解和混亂的訪問控制會造成數(shù)據(jù)庫安全漏洞����,而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開始設(shè)計之前就沒有考慮TCP/IP通信協(xié)議的安全性�,這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞���。此外信息共享處理帶來也存在風(fēng)險�。在信息的傳遞過程中�����,需要不斷地對信息源進行加工和重現(xiàn)�����,截取有用信息,不可避免會出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險。尤其是在當(dāng)下“社交+商務(wù)”的模式下,一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬次或者更多�,一旦在信息轉(zhuǎn)載中出現(xiàn)誤差����,影響非常大,風(fēng)險應(yīng)當(dāng)給予重視���。
(2)隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,計算機病毒帶來的問題越來越廣泛��,壓縮文件����,電子郵件已經(jīng)成為計算機病毒傳播的主要途徑�����,因為這些病毒的種類非常多樣化�,破壞性極強����,使得計算機病毒的傳播速度大大加快了��。近年來�,新病毒種類的數(shù)量迅速增加���,互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介����。這些病毒可以通過網(wǎng)絡(luò)大量傳播任何粗心大意都會造成無法彌補的經(jīng)濟損失���。此外還有信息傳遞過程所帶來的風(fēng)險�����。信息是一種重要的資源����,良好的流動性能實現(xiàn)信息價值的最大化,但是在信息的傳遞過程中需要經(jīng)過許多路徑�����,而在這過程中往往存在一些不安全因素����,給信息安全帶來一定的風(fēng)險。
(3)當(dāng)前的黑客攻擊���,除了計算機病毒的傳播外,黑容的惡意行為也越來越猖狂�。特洛伊木馬使黑容可以使用計算機病毒從而變得更加有目的性����,使得計算機記錄的登錄信息被特洛伊木馬程序惡意篡改����,導(dǎo)致很多重要信息、文件,甚至是金錢被盜。
(4)由人為因素造成的電子商務(wù)公司的安全問題���,大部分保密工作是通過員工的操作來進行的��,這就需要員工具有很好的保密性����,責(zé)任心和責(zé)任感等道德素質(zhì)。如果員工的責(zé)任心不強�,態(tài)度不正確�����,就容易被別人利用����,讓無關(guān)人員隨意進出房間或向他人泄露機密信息,可以讓罪犯廢除重要信息�。如果工作人員缺乏良好的職業(yè)道德�,可能會非法超出授權(quán)范圍更改或刪除他人的信息,而且還可以利用所學(xué)專業(yè)知識和工作位置來竊取用戶密碼和標(biāo)識符�����,進行非法出售。
3.電子商務(wù)信息安全風(fēng)險評估存在的問題
經(jīng)過大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對信息安全風(fēng)險評估是當(dāng)前科研工作中噬待解決的問題。目前�,國內(nèi)也有一些關(guān)于信息安全風(fēng)險評估的研究和應(yīng)用���,但是這些研究都只是簡單的分析�����,包括常用的具有風(fēng)險的風(fēng)險評估工具����。評估矩陣�����,問卷,風(fēng)險評估矩陣與問卷方法�����,專家系統(tǒng)相結(jié)合�。對于更深層次的探究還需進一步努力���。此外,網(wǎng)絡(luò)信息安全風(fēng)險評估方法常用定量因子分析方法,時間序列模型���,決策樹方法和回歸模型進行��。風(fēng)險評估方法,定性分析主要包括邏輯分析���,Delphi方法���,因子分析方法�����,歷史比較方法等�。其中,定量和定性評估方法相結(jié)合,是由模糊層次分析法�,基于D-S證據(jù)理論等的評估方法組成���。同時網(wǎng)絡(luò)信息安全風(fēng)險評估還存在一定問題�����,例如隨著網(wǎng)絡(luò)的發(fā)展���,我國從開始的2G邁向4G現(xiàn)在又率先進入5G時代�����。其中也出現(xiàn)了各種問題,網(wǎng)民數(shù)量的增加需要迫切提高他們對信息安全的警惕意識���。
3.1欠缺對電子商務(wù)信息安全風(fēng)險評估的認識
當(dāng)前,許多相關(guān)人員對電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識�,缺少信息安全風(fēng)險評估經(jīng)驗�����。因此他們沒有重視信息安全風(fēng)險評估的重要性�����,其原因如下。第一���,公司或單位的風(fēng)險評估尚未通過標(biāo)準(zhǔn)檢驗,培訓(xùn)標(biāo)準(zhǔn)�,信息安全風(fēng)險評估工作的研究尚未得到系統(tǒng)的相關(guān)理論�����,方法和技術(shù)工具��,這是由于一些信息安全評估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對信息評估風(fēng)險評估的重要性的認識不足��,因此自然而然不將此類風(fēng)險評估工作包括在當(dāng)前的信息安全系統(tǒng)框架中���。第二�,盡管有許多部門將信息安全工作置于地位重要,但受到人力��、物力,財力等方面的限制�,社會制度的制約,政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險評估工作無法得到應(yīng)有的重視���。
3.2缺乏信息安全風(fēng)險評估方面的專業(yè)技術(shù)人才
首先��,信息安全風(fēng)險評估的技術(shù)內(nèi)容要求非常高,它要求員工具有很高的技術(shù)水平���,現(xiàn)在很多公司都將通用信息用作風(fēng)險評估技術(shù)人員����。其次�����,信息安全風(fēng)險評估是一項集綜合性,專業(yè)性于一體的工作�����,不僅涉及公司的所有業(yè)務(wù)信息,也涉及人力,物力和財力的方方面面��,因此需要各部門之間相互配合,現(xiàn)在大多數(shù)公司僅依靠信息部門,獨立的參與信息安全風(fēng)險評估毫無爭議他們要想完成信息安全風(fēng)險評估工作是非常艱難的��。綜上所述,培養(yǎng)信息安全風(fēng)險評估專業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向。
3.3風(fēng)險評估工具相對缺乏
當(dāng)前�,除專家系統(tǒng)外,其他分析工具相對來說都比較簡易��,除此之外還缺乏實用的理論基礎(chǔ)���。此外���,這種信息風(fēng)險評估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀��。表明國內(nèi)和外部失衡,在中國相對落后。可見解決信息安全問題的關(guān)鍵在于有成熟的風(fēng)險評估工具��。
4.防范電子商務(wù)信息安全及風(fēng)險的建議
4.1增強電子商務(wù)信息安全和風(fēng)險評估的意識
大多數(shù)信息的傳輸和處理����,與人是密不可分的�����。特別是掌握人員的重要信息和核心業(yè)務(wù),人員的個人因素�,管理因素和環(huán)境存在風(fēng)險�。主要包括人員的技術(shù)能力�����,監(jiān)控管理,安全性���。特別需要做好監(jiān)督審計公司的工作���,確保信息安全風(fēng)險管理融入實踐��,充分發(fā)揮內(nèi)部監(jiān)督作用���,促進社會責(zé)任認可和實施信息安全風(fēng)險管理工作�。電子商務(wù)公司必須對工人進行必要的信息安全知識教育培訓(xùn)���,了解與之相關(guān)的法律法規(guī)��,做好對客戶關(guān)鍵信息的隱秘保護。不隨意查看和泄露客戶購買信息���。
企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時信息的機密性和完整性��,加強密鑰管理,提高應(yīng)對網(wǎng)絡(luò)攻擊能力���,采取措施避免越權(quán)或濫用,消除用戶在交易中的風(fēng)險���。在信息安全風(fēng)險控制中必須由內(nèi)到外地保護內(nèi)部系統(tǒng)環(huán)境�����、網(wǎng)絡(luò)邊界、骨干網(wǎng)安全��。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng)��,并提供全面的安全保障����。運用端到端策略。對于移動電子商務(wù)中用戶終端設(shè)備種類繁多���,安全環(huán)境復(fù)雜難以控制的問題���,必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定��。通過人臉識別�、指紋識別等技術(shù)有效提高用戶訪問身份鑒別能力,極大地提高賬戶的安全性,確保數(shù)據(jù)傳輸?shù)陌踩?��,確保交易的真實有效。
4.2提供專業(yè)的技術(shù)培訓(xùn),提高專業(yè)人員的技能
認真選擇第三方合作伙伴,增強信息管理水平,加強績效監(jiān)督管理����。樹立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障,培養(yǎng)員工信息安全意識,創(chuàng)造良好信息安全工作氛圍�,加強信息安全專業(yè)技術(shù)人員對信息安全風(fēng)險評估的意識和能力���,通過大量的實驗發(fā)現(xiàn)可以通過下列方法培訓(xùn)相關(guān)人員:第一�����,定期開展信息安全風(fēng)險評估工作��,將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對信息安全的意識彌補存在的缺陷。第二,對信息安全部門的員工進行專門的技術(shù)培訓(xùn)和指導(dǎo),可通過模擬分析來提升技術(shù)��;第三�,公司應(yīng)增加對技術(shù)資源的投入��,聘請經(jīng)驗豐富的專家學(xué)者組成第三方評估機構(gòu),引進風(fēng)險評估設(shè)備�。以備不時之需;第四����,公司應(yīng)對技術(shù)人員進行標(biāo)準(zhǔn)化認證培訓(xùn)���,執(zhí)行職業(yè)資格準(zhǔn)入制度,提高技術(shù)人員的門檻���,納入信息安全風(fēng)險評估��,技術(shù)人員的全面質(zhì)量保證評估�����。以上這些方法只是單純就培訓(xùn)方式對于具體的實施以及可能遇到的問題依然需要研究��。
4.3提升對信息安全防范技術(shù)的研究和應(yīng)用
為移動數(shù)據(jù)庫存儲的數(shù)據(jù)進行加密以防止泄漏�,采用不同的加密方法來保護數(shù)據(jù)安全���,進行身份認證�����,數(shù)據(jù)恢復(fù),數(shù)據(jù)加密存儲,物理隔離����,防火墻����,網(wǎng)絡(luò),網(wǎng)絡(luò)設(shè)備��,網(wǎng)絡(luò)入侵檢測���,網(wǎng)絡(luò)漏洞掃描�����,網(wǎng)絡(luò)設(shè)備備份���,網(wǎng)絡(luò)管理����,專線,實現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段��,從而提高數(shù)據(jù)庫的安全性。同時提高認識到物理設(shè)施的重要性���,定期維護物理設(shè)施����。為了監(jiān)測信息安全和實施評估系統(tǒng)���,我們要保證基本硬件和芯片的獨立在建立獨立于信息安全的評估體系中,國內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究����,建立創(chuàng)新的電子商務(wù)信息安全與評估體系����。
第6篇
風(fēng)險評估是一項周期性工作,是進行風(fēng)險管理����。由于風(fēng)險評估的結(jié)果將直接影響到信息系統(tǒng)防護措施的選擇,從而在一定程度上決定了風(fēng)險管理的成效�。風(fēng)險評估可以概括為:①風(fēng)險評估是一個技術(shù)與管理的過程�。②風(fēng)險評估是根據(jù)威脅、脆弱性判斷系統(tǒng)風(fēng)險的過程��。③風(fēng)險評估貫穿于系統(tǒng)建設(shè)生命周期的各階段�����。
2.信息安全風(fēng)險評估方法
(1)安全風(fēng)險評估。為確定這種可能性�����,需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性���。影響是按照系統(tǒng)在單位任務(wù)實施中的重要程度來確定的�����。風(fēng)險評估以現(xiàn)實系統(tǒng)安全為目的�,按照科學(xué)的程序和方法�,對系統(tǒng)中的危險要素進行充分的定性、定量分析,并作出綜合評價,以便針對存在的問題��,根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟條件����,提出有效的安全措施,消除危險或?qū)⑽kU降到最低程度����。即:風(fēng)險評估是對系統(tǒng)存在的固有和潛在危險及風(fēng)險性進行定性和定量分析���,得出系統(tǒng)發(fā)送危險的可能性和程度評價���,以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益���。(2)風(fēng)險評估的主要內(nèi)容。①技術(shù)層面��。評估和分析網(wǎng)絡(luò)和主機上存在的安全技術(shù)風(fēng)險��,包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備�����、主機系統(tǒng)�、操作系統(tǒng)、數(shù)據(jù)庫��、應(yīng)用系統(tǒng)等軟�����、硬件設(shè)備����。②管理層面����。從本單位的工作性質(zhì)���、人員組成���、組織結(jié)構(gòu)、管理制度�、網(wǎng)絡(luò)系統(tǒng)運行保障措施及其他運行管理規(guī)范等角度�,分析業(yè)務(wù)運作和管理方面存在的安全缺陷�。(3)風(fēng)險評估方法�。①技術(shù)評估和整體評估�����。技術(shù)評估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)��、及時地檢查��,包括對組織內(nèi)部計算環(huán)境的安全性及對內(nèi)外攻擊脆弱性的完整性攻擊。整體風(fēng)險評估擴展了上述技術(shù)評估的范圍�����,著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險,包括內(nèi)部和外部的風(fēng)險源�����、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險。②定性評估和定量評估。定性分析方法是使用最廣泛的風(fēng)險分析方法��。根據(jù)組織本身歷史事件的統(tǒng)計記錄等方法確定資產(chǎn)的價值權(quán)重,威脅發(fā)生的可能性以及如將其賦值為“極低、低����、中�����、高、極高”。③基于知識的評估和基于模型的評估?��;谥R的風(fēng)險評估方法主要依靠經(jīng)驗進行。經(jīng)驗從安全專家處獲取并憑此來解決相似場景的風(fēng)險評估問題。該方法的優(yōu)越性在于能直接提供推薦的保護措施���、結(jié)構(gòu)框架和實施計劃。(4)信息安全風(fēng)險的計算����。①計算安全事件發(fā)生的可能性���。根據(jù)威脅出現(xiàn)頻率及弱點的狀況��,計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評估中,應(yīng)綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度�、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性��。②計算安全事件發(fā)生后的損失。根據(jù)資產(chǎn)價值及脆弱性的嚴(yán)重程度���,計算安全事件一旦發(fā)生后的損失���。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身����,還可能影響業(yè)務(wù)的連續(xù)性��;不同安全事件的發(fā)生對組織造成的影響也不一樣。③計算風(fēng)險值��。根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失計算風(fēng)險值����。
3.風(fēng)險評估模型選擇
參考多個國際風(fēng)險評估標(biāo)準(zhǔn),建立了由安全風(fēng)險管理流程模型���、安全風(fēng)險關(guān)系模型和安全風(fēng)險計算模型共同組成的安全風(fēng)險模型(見圖1)�����。(1)安全風(fēng)險管理過程模型���。①風(fēng)險評估過程��。信息安全評估包括技術(shù)評估和管理評估。②安全風(fēng)險報告���。提交安全風(fēng)險報告����,獲知安全風(fēng)險狀況是安全評估的主要目標(biāo)。③風(fēng)險評估管理系統(tǒng)����。根據(jù)單位安全風(fēng)險分析與風(fēng)險評估的結(jié)果���,建立本單位的風(fēng)險管理系統(tǒng)��,將風(fēng)險評估結(jié)果入庫保存,為安全管理和問題追蹤提供數(shù)據(jù)基礎(chǔ)����。④安全需求分析���。根據(jù)本單位安全風(fēng)險評估報告�,確定有效安全需求。⑤安全建議。依據(jù)風(fēng)險評估結(jié)果�,提出相關(guān)建議,協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu),結(jié)合組織本地、遠程網(wǎng)絡(luò)架構(gòu)����,為制定完整動態(tài)的安全解決方案提供參考����。⑥風(fēng)險控制。根據(jù)安全風(fēng)險報告,結(jié)合單位特點,針對面對的安全風(fēng)險,分析將面對的安全影響,提供相應(yīng)的風(fēng)險控制建議。⑦監(jiān)控審核���。風(fēng)險管理過程中每一個步驟都需要進行監(jiān)控和審核程序,保證整個評估過程規(guī)范、安全���、可信。⑧溝通、咨詢與文檔管理�。整個風(fēng)險管理過程的溝通���、咨詢是保證風(fēng)險評估項目成功實施的關(guān)鍵因素�����。(2)安全風(fēng)險關(guān)系模型���。安全風(fēng)險關(guān)系模型以風(fēng)險為中心�����,形象地描述了面臨的風(fēng)險��、弱點�、威脅及其相應(yīng)的資產(chǎn)價值、防護需求����、保護措施等動態(tài)循環(huán)的復(fù)雜關(guān)系。(3)安全風(fēng)險計算模型��。安全風(fēng)險計算模型中詳細���、具體地提供了風(fēng)險計算的方法���,通過威脅級別、威脅發(fā)生的概率及風(fēng)險評估矩陣得出安全風(fēng)險�。
4.結(jié)語
第7篇
關(guān)鍵詞:鐵路信號 信號系統(tǒng) 安全評估
隨著中國鐵路近幾年來的快速發(fā)展,特別是客運專線的開通�����、鐵路系統(tǒng)的大面積提速,對鐵路信號體系的安全需求也是逐年增高。一套完整的安全評估體系不但在技術(shù)的層面上促進鐵路安全性能,同時在法律層面上分擔(dān)了政治和商業(yè)風(fēng)險。如何構(gòu)建具有中國特色的,覆蓋率高的���、可靠性高的,立體化的鐵路信號系統(tǒng)的安全評估體系,來確保運輸?shù)陌踩?是當(dāng)今一個艱巨而緊迫的問題��。
一��、安全評估的基本概念和相關(guān)的法律規(guī)定
安全評估是一種對于保證預(yù)期的鐵路工程項目被準(zhǔn)確定義和實施起到輔助作用,避免疏忽或過失的通行做法�����。安全評估機構(gòu)(ISA)監(jiān)督工程項目的對于安全的管理活動,能夠降低鐵路運營的安全風(fēng)險,減少鐵路工程實施項目的安全風(fēng)險,對系統(tǒng)的安全性能做出保證,降低安全授權(quán)機構(gòu)進行安全審批的風(fēng)險�����。
我國與鐵路相關(guān)的基本法有《鐵路法》��、《鐵路運輸安全保護條例》等。根據(jù)標(biāo)準(zhǔn)法派生出的許多基本法規(guī)如《鐵路技術(shù)管理規(guī)程》����、《信號維護規(guī)則》等都規(guī)范了信號設(shè)備的開發(fā)、應(yīng)用等,并且制定了一系列的技術(shù)條件和技術(shù)標(biāo)準(zhǔn),來確保鐵路信號設(shè)備的安全�。
二�、對鐵路信號系統(tǒng)進行安全評估的意義
隨著經(jīng)濟的發(fā)展和列車的大面積提速,對運行安全方面提出了更高的要求?��?v觀古今鐵路的運輸安全與旅客生命財產(chǎn)是密不可分的,作為國家重大生命線工程。在鐵路信號的可行性研究�、設(shè)備設(shè)計����、鐵路施工以及驗收和運營時存在的任何安全隱患,都會導(dǎo)致國家和人民的生命財產(chǎn)安全受到損害。因此,鐵路信號系統(tǒng)安全評估將是也是建設(shè)和諧鐵路的主要手段,實現(xiàn)鐵路運輸安全和預(yù)防相結(jié)合的的具體體現(xiàn)�。
三��、我國鐵路信號系統(tǒng)安全評估體系現(xiàn)狀
一直以來,我國一直將安全評估體系的建設(shè)放在首位,特別在鐵路信號系統(tǒng)的研發(fā)���、批量運用和工程建設(shè)中�。并滿足和國際接軌的需要,對系統(tǒng)設(shè)備的一些環(huán)境條件以及安全性指標(biāo)等方面做出了更高的要求,建立了成熟、完善的信號系統(tǒng)設(shè)備����。致力于研究安全評估管理體系,來更好的保證鐵路運輸?shù)陌踩?����。特別是在鐵路大面積提速之后,鐵道部更是將安全評估技術(shù)作為重點的研究內(nèi)容,并且投入了大量的資金和人力物力,來不斷完善。
1�、一方面不斷完善信號安全評估系統(tǒng)體系相關(guān)的規(guī)章制度,并且建立了信號安全動態(tài)評估技術(shù)標(biāo)準(zhǔn)等等���。這些法律法規(guī)的建立為信號安全評估工作有序����、深入的開展提供了有力的科學(xué)���、法律環(huán)境。
2��、目前鐵路部門使用的信號安全評估體系本身具有的可靠性��、可維護性、可用性�、安全性等等,性能也在逐漸增強,功能也在逐步的完善,但對于鐵路的大面積提速后,實現(xiàn)我國鐵路其它線路多種列控設(shè)備的評估的需要還是具有一定的差距�。
3��、隨著安全評估系統(tǒng)的的推廣使用,各鐵路局相關(guān)部門和人員對信號安全評估的重要性的認識逐步深入,認識到了評估系統(tǒng)發(fā)揮的重要作用���。信號評估系統(tǒng)已經(jīng)被廣為接受,鐵道的各類專職部門、專職人員開展信號的評估工作,為信號安全評估的進一步的發(fā)展打下堅定的基礎(chǔ)。
四��、鐵路信號系統(tǒng)安全評估的方法研究
1�、預(yù)先危險性分析法
在鐵路項目的施工之前,為保證系統(tǒng)安全,采用PHA(預(yù)先危險性分析法)對鐵路信號系統(tǒng)進行最初步的分析,對系統(tǒng)中明顯存在的危險性類別和導(dǎo)致事故的后果進行初步分析,包括對系統(tǒng)設(shè)計、實驗�、生產(chǎn)施工等存在各項指標(biāo)進行分析,以確定系統(tǒng)存在的潛在的隱患和危險等級,來防止危險發(fā)展成為故障��。PHA大致可以識別出與系統(tǒng)密切相關(guān)的主要危險,分析出其產(chǎn)生的原因,預(yù)測假使事故發(fā)生導(dǎo)致的影響,預(yù)測出危險的等級,并及時的提出行之有效的方法來避免的安全隱患。PHA通常用于項目的初級的階段,特別對潛在的危險了解相對較少,并且無法憑經(jīng)驗去判斷的項目,或者應(yīng)用在設(shè)備裝置的開發(fā)研究階段都可以很好的應(yīng)用��。
2����、專家評估法
專家評估法包括有表決法、評分法����、安全檢查表法等等,各種使用最多的是SCL(安全檢查表)法。SCL方法采用的主要形式是預(yù)先把檢查對象進行分解,將一個大的系統(tǒng)切割成若干子系統(tǒng),逐項檢查項目列表的各項指標(biāo),采用的是提問或者進行打分的方式�。來查找系統(tǒng)中各類的元件�����、零部件、設(shè)備設(shè)施���、物料工件、操作人員���、管理和組織中的危險有害的因素,并具體進行分析,提出對安全隱患的整改的建議和具體措施�。
3、事件樹分析法
故障是重要設(shè)備出現(xiàn)了非正常使用狀態(tài)或者操作的不當(dāng)引發(fā)的異常結(jié)果�。而ETA(事件樹分析法)是用來分析普通設(shè)備故障或由初始事件導(dǎo)致故障的發(fā)生的可能性。EAT可以提供用于記錄故障的后果的系統(tǒng)性的方法,并且能夠確定事件的后果和初始事件之間的聯(lián)系���。EAT適用于那些會產(chǎn)生不同后果的初始事件,強調(diào)的此故障可能發(fā)生的最初原因和初始事件可能對事件后果產(chǎn)生的影響����。每一個獨立的故障序列都由事件樹的每一個分支來表示����。而對于一個初始的事件來說,每一個獨立序列都明確地界定了安全功能之間的相互聯(lián)系���。
4���、故障樹分析法
FTA(故障樹分析)是一種安全的分析評價和進行故障預(yù)測的一種先進的方法,它不僅僅能夠分析出故障產(chǎn)生的直接原因,并且能進一步發(fā)掘出故障存在的潛在因素��。FTA能應(yīng)用于各種系統(tǒng),對其具有的危險性進行識別評價,能夠定性定量的進行分析。并且故障樹具有簡潔���、具體化等特點,與事件樹采用的歸納法分析不同,故障樹分析使用演繹法��。因此,FTA可以應(yīng)用于工程或設(shè)備的設(shè)計階段,用故障查詢等操作方法,都能對其安全性作出具體的評價提高了系統(tǒng)工程方法研究安全問題的系統(tǒng)性、準(zhǔn)確性和預(yù)測性��。
5、故障模式和影響分析法
由于鐵路系統(tǒng)可以劃分成若干的元件��、設(shè)備��、子系統(tǒng)等評估單元,因此可以采用FMEA(故障模式和影響分析法),按照實際需要來將大的系統(tǒng)進行分割成為小的元件或者子系統(tǒng)等,分析每個部分可能發(fā)生的事故的模式及其產(chǎn)生的影響程度,提出并且采取相應(yīng)的對策,來提高信號系統(tǒng)的安全性和可靠性���。
當(dāng)然鐵路安全評估方法還有很多,包括模糊數(shù)學(xué)法����、灰色聚類法�����、數(shù)值分析、、人工神經(jīng)網(wǎng)絡(luò)等等的方式都可以提高對鐵路信號系統(tǒng)的安全評估,保證鐵路運輸?shù)陌踩?/p>
五�����、前景展望
隨著經(jīng)濟的不斷發(fā)展,我國要實現(xiàn)實現(xiàn)鐵路現(xiàn)代化、智能化,使運輸能力滿足經(jīng)濟發(fā)展的需求,鐵路信號安全系統(tǒng)就必須達到世界發(fā)達國家的水平。鐵路信號系統(tǒng)的安全評估應(yīng)該更具有可靠性、可用性、安全性�、性能良好��、數(shù)據(jù)處理智能化�、結(jié)構(gòu)形式開放���、并與其它監(jiān)測系統(tǒng)能夠數(shù)據(jù)融合�����、進行綜合處理等特點。因此我國鐵路發(fā)展必須博采眾長,建立一套自主的知識產(chǎn)權(quán)和鐵路信號系統(tǒng)安全評估體系,來保證鐵路信號系統(tǒng)安全評估體系能夠更加有效的為行車的安全護航,并使之逐步得到國際的認可。揚長避短,不斷的繼承與創(chuàng)新,鐵路信號系統(tǒng)的安全評估體系的的發(fā)展一定會取更大的成果。
參考文獻:
[1]李開成.國外鐵路通信信號新技術(shù)縱覽[M].中國鐵道出版社,2005.
第8篇
關(guān)鍵詞:多屬性群決策;熵權(quán)法;TOPSIS;信息安全�����;風(fēng)險評估
一�、 引言
從20世紀(jì)90年代后期起,我國信息化建設(shè)得到飛速發(fā)展,金融��、電力��、能源���、交通等各種網(wǎng)絡(luò)及信息系統(tǒng)成為了國家非常重要的基礎(chǔ)設(shè)施�����。隨著信息化應(yīng)用的逐漸深入,越來越多領(lǐng)域的業(yè)務(wù)實施依賴于網(wǎng)絡(luò)及相應(yīng)信息系統(tǒng)的穩(wěn)定而可靠的運行���,因此�����,有效保障國家重要信息系統(tǒng)的安全�,加強信息安全風(fēng)險管理成為國家政治穩(wěn)定、社會安定����、經(jīng)濟有序運行的全局性問題�。
信息安全風(fēng)險評估方法主要分為定性評估方法、定量評估方法和定性與定量相結(jié)合的評估方法三大類����。定性評估方法的優(yōu)點是使評估的結(jié)論更全面���、深刻;缺點是主觀性很強���,對評估者本身的要求高。典型的定性評估方法有:因素分析法��、邏輯分析法�����、歷史比較法、德爾斐法等。定量的評估方法是運用相應(yīng)的數(shù)量指標(biāo)來對風(fēng)險進行評估。其優(yōu)點是用直觀數(shù)據(jù)來表述評估結(jié)果,非常清晰���,缺點是量化過程中容易將本來復(fù)雜的事物簡單化。典型的定量分析方法有:聚類分析法����、時序模型、回歸模型等�。定性與定量相結(jié)合的評估方法就是將定性分析方法和定量分析方法這兩種方法有機結(jié)合起來�����,做到彼此之間揚長避短�,使評估結(jié)果更加客觀�、公正。
本文針對風(fēng)險評估主觀性強����,要素眾多���,各因素較難量化等特殊性����,將多屬性群決策方法引入到風(fēng)險評估當(dāng)中���。多屬性決策方法能夠較有效解決多屬性問題中權(quán)重未知的難題�����,而群決策方法能較好地綜合專家�、評估方�����、被評估方以及其他相關(guān)人員的評估意見��。該方法可解決風(fēng)險評估中評估要素屬性的權(quán)重賦值問題,同時群決策理論的引入可提高風(fēng)險評估的準(zhǔn)確性和客觀性�����。本文用熵權(quán)法來確定屬性權(quán)重,用TOPSIS作為評價模型�����,對風(fēng)險集進行排序選擇�����,并運用實例來進行驗證分析��。
二���、 相關(guān)理論研究
1. 信息安全風(fēng)險分析原理���。信息安全風(fēng)險評估是指依據(jù)信息安全相關(guān)的技術(shù)和管理標(biāo)準(zhǔn)����,對信息系統(tǒng)及由其處理���、傳輸和存儲的信息的保密性�、完整性和可用性進行評價的過程。它要對組織資產(chǎn)面臨的威脅進行評估以及確定威脅利用脆弱性導(dǎo)致安全事件的可能性�����,并結(jié)合相應(yīng)安全事件所涉及的資產(chǎn)價值來判定當(dāng)安全事件發(fā)生時對組織會造成的影響���。文獻中提出了一種改進的風(fēng)險分析流程及原理�,該模型對風(fēng)險分析基本流程的屬性進行了細分,如圖1所示�。
根據(jù)上述原理����,總結(jié)出信息安全風(fēng)險評估的基本步驟,可以描述如下: (1)首先調(diào)查組織的相關(guān)業(yè)務(wù)��,分析識別出組織需要保護的重要資產(chǎn)����,以及資產(chǎn)本身存在的脆弱性��、面臨的威脅,形成風(fēng)險集�����。(2)組織各領(lǐng)域?qū)<覍︼L(fēng)險集中各屬性進行評估并賦權(quán)值�����,得到每個風(fēng)險的屬性值。(3)通過一定的算法對所有屬性進行綜合分析����,得到最后的結(jié)果���,進一步推算出組織面臨的風(fēng)險值�。
2. 多屬性群決策理論���。多屬性群決策����,是指決策主體是群體的多屬性決策����。多屬性決策是利用已有的決策信息���,通過一定的方式對一組(這一組是有限個)備擇方案進行排序并選擇��,群決策是多個決策者根據(jù)自己的專業(yè)水平��、知識面、經(jīng)驗和綜合能力等對方案的重要性程度進行評價�����。在多屬性群決策過程中�,需要事先確定各專家權(quán)重和屬性權(quán)重,再通過不同集結(jié)算法計算各方案的綜合屬性值�����,從而對方案進行評價或擇優(yōu)��。
3. 熵權(quán)法原理。香農(nóng)在1948年將熵的概念應(yīng)用到信息領(lǐng)域用來表示信源的不確定性,根據(jù)熵的思想,人們在決策中獲取信息的數(shù)量和質(zhì)量是提高決策精度和可靠性的重要因素����。而熵在應(yīng)用于不同決策過程的評價時是一個很理想的方法。熵權(quán)法是確定多屬性決策問題中各屬性權(quán)系數(shù)的一種有效方法�。它是利用決策矩陣和各指標(biāo)的輸出熵來確定各指標(biāo)的權(quán)系數(shù)��。
試考慮一個評估問題,它有m個待評估方案����,n個評估屬性,(簡稱m,n評估問題)����。先將評估對象的實際狀況可以得到初始的決策矩陣R′=(′ij)m×n�,′ij為第i個對象在第j個指標(biāo)上的狀態(tài)��,對R′進行標(biāo)準(zhǔn)化處理,得到標(biāo)準(zhǔn)狀態(tài)矩陣:R=(ij)m×n��,用M={1���,2���,…��,m}表示方案的下標(biāo)集,用 N={1���,2�,…,n}表示屬性的下標(biāo)集�����,以下同�。其中,當(dāng)評估屬性取值越大越好��,即為效益型數(shù)據(jù)時:
ij=(1)
當(dāng)評估屬性取值越小越好���,即為成本型數(shù)據(jù)時:
ij=(2)
(1)評估屬性的熵:
Hj=-kij×lnij j∈N(3)
其中ij=ij/ij k=1/lnm,并假定�,當(dāng)ij=0時���,ijlnij=0�,Hj越大����,事件的不確定性越大,Hj越小��,事件的不確定性越小�。
(2)評估屬性的熵權(quán):在(m���,n)評估問題中,第j個評估屬性的熵權(quán)j定義為:
j=(1-Hj)/(n-Hj)�����,j∈N�����,顯然0j1且j=1
3. TOPSIS方法�����。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一種逼近理想解的排序方法,適用于多屬性決策中方案的排序和優(yōu)選問題��,它的基本原理描述如下:(1)界定理想解和負理想解����,(2)以各方案與“理想解”和“負理想解”的歐氏距離作為排序標(biāo)準(zhǔn)��,尋找距“理想解”的歐氏距離最小��,(3)距“負理想解”的歐氏距離最大的方案作為最優(yōu)方案。理想解是一個方案集中虛擬的最佳方案,它的每個屬性值都是決策矩陣中該屬性的最好的值��;而負理想解則是虛擬的最差方案�����,它的每個屬性值都是決策矩陣中該屬性的最差的值。最優(yōu)方案是通過需要評估的方案與理想解和負理想解之間的歐氏距離構(gòu)造的接近度指標(biāo)來進行判斷的。假設(shè)決策矩陣R=(ij)m×n已進行過標(biāo)準(zhǔn)化處理�����。具體步驟如下:
(1)構(gòu)造加權(quán)標(biāo)準(zhǔn)狀態(tài)矩陣X=(xij)����,其中:xij=j×ij���,i∈M;j∈N,j為第j個屬性的權(quán)重����;xij為標(biāo)準(zhǔn)狀態(tài)矩陣的元素。
(2)確定理想解x+和負理想解x-。設(shè)理想解x+的第j個屬性值為x+j,負理想解x-的第j個屬性值位x-j,則
x+j={xij|j∈J1)),xij|j∈J2)}
x-j={xij|j∈J1))����,xij|j∈J2)}
J1為效益型指標(biāo)��,J2為成本型指標(biāo)�����。
(3)計算各方案到理想解的Euclid距離di+與負理想解的距離di-
di+=����;di-=;i∈M
(4)計算各方案的接近度C+i����,并按照其大小排列方案的優(yōu)劣次序����。其中
C+i=�����,i∈M
三��、 基于TOPSIS的多屬性群決策信息安全風(fēng)險評估模型
1. 方法的采用。本文將基于TOPSIS的多屬性群決策方法應(yīng)用于信息安全風(fēng)險評估中�����,有以下幾點考慮:
(1)組織成本問題。組織需要對分析出來的風(fēng)險嚴(yán)重程度進行排序比較��,從而利用有限的成本將風(fēng)險控制到適當(dāng)范圍內(nèi)����。因此,組織可以將被評估方所面臨的風(fēng)險集���,看作是決策問題中的方案集,決策目的就是要衡量各風(fēng)險值的大小及其排序����,從中找出最需要控制的風(fēng)險。
(2)風(fēng)險評估中的復(fù)雜性問題�。風(fēng)險評估的復(fù)雜性��,適合用多屬性群決策方法來解決。如圖1所示���,信息安全風(fēng)險評估中涉及多個評估指標(biāo),通過評估指標(biāo)u1����,u2�,…,u7的取值來計算風(fēng)險值z���。風(fēng)險值z的計算適用于多屬性決策的方法。而由于風(fēng)險評估的復(fù)雜性和主觀依賴性決定了風(fēng)險評估需要綜合多人的智慧���,因此風(fēng)險評估的決策者在各方面優(yōu)勢互補,實現(xiàn)群決策的優(yōu)勢����。
2. 評估過程。
(1)構(gòu)造決策矩陣�,并將決策矩陣標(biāo)準(zhǔn)化為R=(ij)m×n����,由于風(fēng)險評估屬性都是成本型屬性��,所以用公式(2)標(biāo)準(zhǔn)化��。
(2)專家dk權(quán)重的確定。為確定專家權(quán)重,由風(fēng)險評估負責(zé)人構(gòu)造專家判斷矩陣�����,假設(shè)共有r個專家�,Eij表示第i位專家對第j專家的相對重要性��,利用Saaty(1980)給出了屬性間相對重要性等級表����,計算判斷矩陣的特征向量�,即可得到專家的主觀權(quán)重:=(1����,2���,3,…�,r)�。
(3)指標(biāo)權(quán)重的確定���。指標(biāo)權(quán)重由熵權(quán)法確定����,得到專家dk各指標(biāo)權(quán)重(k)=(1(k)����,2(k),3(k),…,n(k))�。
(4)利用屬性權(quán)重對決策矩陣R(k)進行加權(quán),得到屬性加權(quán)規(guī)范化決策矩陣X(k)=(xij(k))m×n�����,其中��,xij(k)=ij(k)·j(k)�,i∈M�����;j∈N���。
(5)利用加權(quán)算術(shù)平均(WAA)算子將不同決策者的加權(quán)規(guī)范矩陣X(k)集結(jié)合成�,得到綜合加權(quán)規(guī)范化矩陣X=(xij)m×n,其中xij=xij(k)k。
(6)在綜合加權(quán)規(guī)范化矩陣X=(xij)m×n中尋找理想解x+=(x1+�,x2+��,…�����,xn+) 和負理想解x-=(x1-,x2-����,…�,xn-)���, 因為風(fēng)險評估屬性類型為成本型,故x+j=xij�,x-j=xij,j∈N�。
(7)計算各風(fēng)險集分別與正理想解的Euclid距離di+和di-����。
(8)計算各風(fēng)險集的接近度C+i�����,按照C+i的降序排列風(fēng)險集的大小順序����。
四����、 實例分析
1. 假設(shè)條件�。為了計算上的方便�����,本文作以下假設(shè):
(1)假設(shè)共有兩個資產(chǎn)���,資產(chǎn)A1�����,A2。
(2)資產(chǎn)A1面臨2個主要威脅T1和T2���,資產(chǎn)A2面臨1個主要威脅T3。
(3)威脅T1可以利用資產(chǎn)A1存在的1個脆弱性V1���,分別形成風(fēng)險X1(A1�����,V1,T1);威脅T2可以利用資產(chǎn)A1存在的1個脆弱性V2,形成風(fēng)險X2(A1���,V2,T2)����;威脅T3可以利用資產(chǎn)A2存在的1個脆弱性V3�����,形成風(fēng)險X3(A2,V3����,T3)。以上假設(shè)條件參照文獻“7”���。
(4)參與風(fēng)險評估的人員來自不同領(lǐng)域的專家3名,分別是行業(yè)專家d1,評估人員d2和組織管理者d3,系統(tǒng)所面臨的風(fēng)險已知�,分別是X1,X2,X3。
2. 信息安全風(fēng)險評估�。
(1)構(gòu)造決策矩陣����。如表1����,決策屬性為u1,u2,…�����,u7��,決策者d1,d2��,d3依據(jù)這些指標(biāo)對三個風(fēng)險X1���,X2���,X3進行評估給出的風(fēng)險值(范圍從1~5)���。
(2)決策矩陣規(guī)范化���,由于上述數(shù)值屬成本型����,用公式(2)進行標(biāo)準(zhǔn)化。
(3)專家權(quán)重的確定�����,評估負責(zé)人給出3個專家的判斷矩陣���。
計算出各專家權(quán)重=(0.717�����,0.201��,0.082),最大特征值為3.054 2��,C.I=0.027�,R.I=0.58,C.R=0.0470.1����,判斷矩陣滿足一致性檢驗�����。
(3)指標(biāo)權(quán)重的確定
w1=(0.193,0.090��,0.152,0.028�,0.255��,0.090,0.193)
w2=(0.024�,0.312���,0.024���,0.223����,0.024,0.168�,0.223)
w3=(0.024,0.024�����,0.312����,0.168����,0.168��,0.223�,0.079)
(4)得到綜合加權(quán)規(guī)范矩陣X
X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026
(5)求出理想解x+=(0.002���,0.017,0.063,0.013��,0.006����,0.045,0.026) 負理想解x-=(0.072����,0.080���,0.084���,0.039,0.146,0.101,0.107)����。
(6)計算d+i���、d-i和C+i及對結(jié)果排序�,見表5。
從排序結(jié)果可以看出���,風(fēng)險大小依次為X3X2X1�,因此,組織要按此順序根據(jù)企業(yè)的經(jīng)濟實力加強風(fēng)險控制。與參考文獻“8”中的風(fēng)險計算方法比較,提高了風(fēng)險計算的準(zhǔn)確性。
五��、 結(jié)論
通過對信息安全風(fēng)險評估特點分析,將多屬性群決策用于信息安全風(fēng)險評估當(dāng)中�����,多屬性群決策中最重要的就是權(quán)重的確定�����,本文對專家權(quán)重采用兩兩成對比較矩陣來獲得�,對屬性權(quán)重采用熵權(quán)法來確定�,最后采用TOPSIS方法進行結(jié)果的排序和選擇。這種方法可以從一定程度上消除專家主觀因素的影響����,提高信息安全風(fēng)險評估的準(zhǔn)確性,為信息系統(tǒng)安全風(fēng)險評估提供一種研究新思路。
參考文獻:
1.趙亮.信息系統(tǒng)安全評估理論及其群決策方法研究.上海交通大學(xué)博士論文����,2011.
2.中國國家標(biāo)準(zhǔn)化管理委員會.GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范�,2007.
3.陳曉軍.多屬性決策方法及其在供應(yīng)商選擇上的應(yīng)用研究.合肥工業(yè)大學(xué)碩士論文��,2008.
4.周輝仁��,鄭丕諤�����,秦萬峰等.基于熵權(quán)與離差最大化的多屬性群決策方法.軟科學(xué),2008�,22(3).
5.管述學(xué)����,莊宇.熵權(quán)TOPSIS模型在商業(yè)銀行信用風(fēng)險評估中的應(yīng)用.情報雜志���,2008�����,(12).
6.郭凱紅�,李文立.權(quán)重信息未知情況下的多屬性群決策方法及其拓展.中國管理科學(xué),2011�����,19(5).
7.唐作其,陳選文等.多屬性群決策理論信息安全風(fēng)險評估方法研究.計算機工程與應(yīng)用����,2011���,47(15).
8. 中國國家標(biāo)準(zhǔn)化管理委員會.GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范.北京:中國標(biāo)準(zhǔn)出版社,2007.
基金項目:國家自然科學(xué)基金資助項目(項目號:60970143���,70872120)��;教育部科學(xué)技術(shù)研究基金資助重點項目(項目號:109016)。
