每个大的单元根据国家规范和相关标准分别包含不同的内容;设计制造评估单元主要依据《特种设备安全监察条例》、《电梯制造与安装安全规范》(GB7588-2003)、《电梯技术条件》(GB/T10058-2009)、《电梯试验方法》(GB/T10059-2009)等国家规范,参考世界发达国家现行的标准,对企业的资质、技术水平、管理能力等进行理论分析;安装调试评估单元主要依据《电梯安装验收规范》(GB/T10060-2011)、《电梯工程施工质量验收规范》(GB50310-2002)等国家规范,进行风险分析;使用管理与维护保养评估单元依据《电梯监督检验和定期检验规则—曳引与强制驱动电梯》(TSGT7001-2009)、《电梯使用管理与维护保养规则》(TSGT5001-2009)、《电梯、自动扶梯和自动人行道维修规范》(GB/T18775-2009)、《提高在用电梯安全性的规范》(GB24804-2009)等国家规范,分别进行曳引能力评估、制动能力评估、限速器一安全钳可靠性评估、电梯控制系统评估、轿层门与层站评估、主要零部件与安全装置评估、能耗评估、运行性能评估等;其目的就是对电梯运行系统中存在的危险因素进行辨识和分析。寻找与事故发生有关的原因、条件和规律,由此可辨识出电梯各个环节中导致事故发生的有关危险源;当条件发生变化时应重新进行评估。
风险响应策略
风险响应是对预测可能发生的风险采取的策略,常用的对策包括风险规避、减轻、自留、转移、投保等,要有完善的风险管理计划。计划一般要包括以下几个方面(1)管理目标(2)管理范围(3)管理方法及依据(4)风险等级(5)管理职责及权限(6)风险跟踪(7)资源预算。针对电梯行业来讲,掌握好国家的政策和行业动态,运用新技术、新标准,本着节能、环保、安全、降低电梯成本,在研发设计时期,要搞好市场调研,满足不同的消费群体的需求;在运输过程中,对不可控制的意外风险,采取向保险公司投保进行风险转移;在安装维护阶段,要求施工人员要经过专业知识培训并考核合格,持证上岗;上岗前要进行三级安全教育,进入现场要遵守公司的安全规章制度,对使用的电动工具要定期安全检查,做好现场的安全防护,公司不定期进行自检和专检,督促落实好各项制度。
风险控制措施
根据对危险源的识别,评估危险源造成的风险,确定风险等级,制定出不同风险水平的控制措施计划表。一般风险等级划分为五个等级,可忽略风险、可容许风险、中度风险、重大风险、不容许风险。
针对不同危险源采取相应降低风险的措施,将技术管理和程序控制有机结合起来,尽可能利用技术进步来改善安全控制措施;制定可行、有效、成本效益最佳的应急方案;提高各类设施的可靠性,增加安全系数,减少故障,设置安全监控系统,改善作业环境;加强员工培训,克服不良习惯,严格按章办事,帮助其保持良好的生理和心理状态。电梯安装过程中存在高处坠落、摔伤、触电、物体打击等风险,制定出相应的防范措施,进行安全交底和技术交底,按规定搭设脚手架并加装防护网,预留的洞口和厅门口按要求进行封堵并张贴安全警示标志。电梯每天在不停的运转,由于设备部件不断磨损,电气元件老化等原因,电梯不可避免的出现一些故障,有可能发生如停梯、关人、冲顶、蹲底等风险;因此在维修保养过程中,要严格按照国家规范,每半月进行一次清洁、、调整、检查,确保电梯各项性能满足使用要求。
结语
1.等级保护
1)主要内容
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
2)优点
等级保护适用于宏观层面,是一种大范围“基线安全”,适用于行业主管部门对信息安全的总体把握与监控。
3)缺点
具体到某个组织的信息安全保护而言,等级保护的粒度划分较粗,在满足组织对信息安全的精细控制要求方面还存在不足。因此,在满足监管部门的等级保护要求之后,组织还可进一步把等级细化到各种层次的安全域,直至对一个个的信息资产进行有效管理。
2.信息安全管理体系(ISMS)
1)主要内容
类似于质量之于ISO9000,ISMS是组织为提高信息安全管理水平,按照ISO27001的要求,在整体或特定范围内监理的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
2)优点
ISMS涉及了信息安全的11个领域,133个控制措施,基本涵盖了信息安全的方方面面,适用于各种类型的组织用来建立一个总体的安全控制框架;ISMS更注重于把“安全管理”当作一种制度来建设,通过建立统一的方针、策略,以及规范化安全规则,使ISMS实施主体能有效地识别风险,持续不断地采取管控措施,以把风险降低到组织可接受的程度。
3)缺点
它只是描述了建立ISMS的思想、框架,但对如何建立ISMS并没有一个详细明确的定义,也没有描述ISMS的最终形态;没有确定建立信息安全体系的具体方法与技术。因此,ISMS对实施者来说留下来很大的可操作空间,不同的组织和不同实施着对ISMS标准的把握可能差别很大,ISMS总体水平也会有高下之分。
3.风险评估
1)主要内容
风险评估是获知组织当前风险水平的一种手段,在金融、电子商务等许多领域都是有风险及风险评估需求的存在。当风险评估应用于IT安全领域时,就是对信息安全的风险评估。
2)优点
风险评估从早起简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用ISO17799、OCTAVE、NISTSP800、NISTP800-26、NISTSP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。原国信办2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准测,对规范我国信息安全风险评估的做法具有很好的指导意义。
3)缺点
《信息安全风险评估指南》所确定的风险评估方法还只是一个整理的方法论,具体到一个特定的单位,要对其中的风险进行准确地识别与量化仍热是一件困难的事情,在很大程度上要取决于评估者的经验。
【关键词】信息安全;等级保护;风险评估;层次分析法
LevelProtectionRiskAssessmentModelforResearch
ZhaoYun
(TheThirdResearchInstituteofMinistryofPublicSecurityShanghai200031)
【Abstract】Thisarticleinviewoftheinformationsystemriskassessmentaresusceptibletotheinfluenceofsubjectivefactors,someproblemssuchasvaguenessanduncertainty,anewriskassessmentmodelisputforward.Byestablishinghierarchicalevaluationsystembasedonthelevelofprotection,andusingtheevaluationmethodbasedonanalytichierarchyprocess(AHP)thatexistintheprocessevaluationfuzzyvalue,finallyquantitativeevaluationresults.Theempiricalresultsshowthatthemodelcanreducethefuzzinessanduncertaintyinriskassessmentcanbettersolvepracticaldifficultiesandproblemsofinformationsystemriskassessment.
【Keywords】informationsecurity;gradeprotection;riskevaluation;analytichierarchyprocess
1引言
随着计算机网络的广泛使用和网络中承载的信息量的加速增长,系统安全重要性正在世界范围内不断地扩大。近些年来,我国改革开放和信息化建设步伐不断加快,各行业都建立了自己的信息系统以支持相关业务的开展,这些系统的运行状况在各个层面不同程度地影响着企业或行业乃至整个社会的发展。因此,对于信息系统的等级保护工作也变得越发重要。信息安全等级保护是指对国家安全、法人和其它组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置等,在系统的建设过程中,我们总是关心系统所面临的安全风险,基于上述原因,如何评价一个信息系统项目就成了非常重要的课题。目前的评价方法,国内不是很成熟。本文通过对信息系统评估方法的理论研究,对已有的评价方法进行了改进,最终得到一个优化的指标体系。
2发展历程
由于计算机信息网络安全的脆弱性和现实网络环境的复杂性,时刻给信息系统的正常运行带来威胁,为此国家公安部、保密局、国家密码管理局、国务院信息化领导小组于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》。根据文件精神和等级划分的原则,重要信息系统构筑需要达到三级或以上防护要求,以等级保护三级系统为例,其防护要求分类如图1所示。
从图1可以看出,目前等级保护风险评估主要分为技术要求和管理要求两大部分,技术要求从物理安全、网络安全、主机安全、应用安全和数据安全五个方面来评价;管理要求从安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个角度进行分析。通过对目前多个测评机构测评方法的分析研究,发现传统的风险评估方法比较简单,各项指标和分项指标的实际情况仅由符合、部分符合和不符合三种评价结果构成。这种评价方法无法区分各个测评项对整个信息系统影响的重要程度,另外,对整个信息系统的风险评估也仅仅由简单的统计不符合率来体现,无法客观有效地反应系统的真实情况。
3信息系统风险评估
信息安全风险评估规范中明确了信息系统风险评估的基本工作形式是自评估与检查评估。信息系统风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。根据国家有关管理规定,基础性、重要的信息系统采用等级保护标准进行建设和测评。信息系统使用单位应该结合自身单位信息系统的具体情况,依照国家标准,开展风险评估工作。目前,信息系统的复杂性和多样性给风险评估带来了很大困难,评估工作多是由测评单位的测评人员根据定性的评价指标进行评估,在结果的判定上很难量化。因此,最终的评估结果易受主观因素的影响,每个人对结果的评价可能不完全一样;具有模糊性和不确定性。
信息系统风险评估以信息系统的各个方面为对象,建立在对信息系统进行评价的基础上,目前国内外在风险分析领域常用的三种方法:参数统计方法、非参数统计方法和神经网络方法。应用于信息系统风险评估模型中的常用统计模型包括基于判别分析的信用评价模型、Bayes风险分析的信用评价模型、Logistic回归模型的信用评价模型、模糊聚类方法的信用评价模型和神经网络(如径向基函数网络、概率神经网络、自组织神经网络等)的信用评价模型[2],Fu等运用层次分析法(AHP)和模糊综合评价法(FCE),建立风险评估的量化模式[3];Huang等以灰色评估模型为基础,在权重的选择过程中引入模糊层次分析法,弱化了评价的主观性[4];Gao等人应用灰色关联决策算法,给出了评估值缺失的先验估计,能够有效地处理参数评估值的不确定性问题[5]。
信息系统评价指标体系的构建对信息系统安全指数进行客观合理的测度,其基础是建立一个客观科学的指标体系。本文通过对信息系统等级保护测评过程客观科学的分析以及查阅文献,构建出信息系统安全指数体系,如表1所示。
等级保护风险评估模型建立在等级保护体系的基础上,运用综合评价法,建立评价模型,建立如下的评价参数:
假设风险评估目标指数为U,U的取值和U1技术要求和U2管理要求相关:
U={U1,U2}={技术要求,管理要求}
进一步分析后,得到以下关系:
U1={U11,U12,U13,U14,U15}={物理安全、网络安全、主机安全、应用安全、数据安全}
U2={U21,U22,U23,U24,U25}={安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理}
将U11至U22进一步拆解后,得到以下关系:
U11={U111,U112,U113,U114,U115,U116,U117,U118,U119,U1110}={物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护}
U12={U121,U122,U123,U124,U125,U126,U127}={结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护}
U13={U131,U132,U133,U134,U135,U136}={身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制}
……
由于三级指标的数目过多,在本文中就不一一列举了,可以参照相关材料完成上述关系式。
4等级保护风险评估模型
层次分析法(TheAnalyticHierarchyProcess)简称AHP,20世纪70年代中期由美国运筹学家托马斯·塞蒂(T.L.Saaty)正式提出。它是一种定性和定量相结合的、系统化、层次化的分析方法。层次分析法将决策问题按总目标、各层子目标、评价准则直至具体的备选方案的顺序分解为不同的层次结构,然后用求解判断矩阵特征向量的办法,求得每一层次的各元素对上一层次某元素的优先权重,最后再用加权和的方法递阶归并各备选方案对总目标的最终权重,此最终权重最大者即为最优方案。层次分析法比较适合于具有分层交错评价指标的目标系统且目标值又难于定量描述的决策问题。其用法是构造判断矩阵,求出最大特征值及其所对应的特征向量w,归一化后,即为某一层次指标对于上一层次相关指标的相对重要性权值。
运用层次分析法建模,按四个步骤进行。
1)建立递阶层次结构模型。应用AHP分析决策问题时,首先要把问题条理化、层次化,构造出一个有层次的结构模型。在这个模型下,复杂问题被分解为元素的组成部分。这些元素又按其属性及关系形成若干层次。上一层次的元素作为准则对下一层次有关元素起支配作用。
2)构造出各层次中的所有判断矩阵。层次结构反映了因素之间的关系,但准则层中的各准则在目标衡量中所占的比重并不一定相同,在决策者的心目中,它们各占有一定的比例。在确定影响某些因素的诸因子在该因素中所占的比重时,遇到的主要困难是这些比重常常不易定量化。此外,当影响某些因素的因子较多时,直接考虑各因子对该因素有多大程度的影响时,常常会因考虑不周全、顾此失彼而使决策者提出与其实际重要性程度不相一致的数据,甚至有可能提出一组隐含矛盾的数据。层次分析法通过各指标相对于上级指标重要性的两两比较,构造判断矩阵,可以有效避免上述问题。
3)指标体系建立及权重计算
在对信息系统建设及使用效果进行评估时,底层相对于上一层指标可能有很多个。此时运用层次分析法对底层指标构建的判断矩阵会比较复杂,很难满足一致性。所以,本文对一般的信息系统构建了一个三层的指标体系。其中一级指标2个,二级指标10个,三级指标74个。在进行权重计算时,考虑到三级指标数量过多,如果逐一的讨论其权重指标会显得比较繁琐,并且其相互之间重要关系不易比较,故只计算一、二级指标在整个指标体系中的权重,三级指标权重取他们对二级指标的平均值。也正是因为三级指标数量繁多,并且其重要性可通过二级指标的权重所体现,所以并不会对评估结果有较大的影响。
对信息系统权重评分,主要通过三类人员评分,包括信息系统使用人员、测评人员及专家,接下来分析权重确定方法及过程,本文采用发放调查表的方式,通过三种人员对信息系统的指标权重进行分项打分,然后进行分类汇总计算权重,具体的办法如下:
信息系统使用人员评分步骤如下:首先制作调查表。信息系统使用人员评分主要通过发放调查表的方式。调查表的内容应该包括指标体系中所有的三级指标。接下来填报调查表。为了保证信息收集的全面客观性,应由系统的多类用户填写,例如业务人员、系统管理人员、部门领导等。并且每一类人员也应当由多人填写多份,这样才可保证搜集的信息全面而真实。然后确定三级指标权重得分。通过调查表的填写及调查表中每个选项对应的分值,可以得到信息系统使用人员、测评人员及专家对信息系统每个三级指标的权重得分。最后计算二级指标得分。对每个二级指标下的三级指标得分求平均分,即得到日常使用人员对信息系统每个二级指标的得分。
信息系统测评人员打分方式:测评人员可以从许多技术角度考虑整个信息系统建设及使用效果。测评人员虽然并不一定能很熟练地操作整个信息系统,并且对业务工作也不一定完全了解,但其可以从许多技术角度考虑整个信息系统建设及使用效果。所以测评人员只需对信息系统的三级指标进行直接评分。测评人员主要通过查阅原始文档、座谈、实地调研并结合自身的操作使用,对信息系统的三级指标直接打分。为了使评估结果更具有代表性,本文建议由多名测评人员参与评分,最后取多名测评人员的平均分为各三级指标的最终得分。
专家评分方式:专家往往不会过多地考虑信息系统具体的细节问题,而能够宏观考虑整个信息系统的建设及使用情况。所以专家只需对信息系统的二级指标进行直接评分,一方面避免了其对许多细节问题的填报困难,另一方面也可以包含指标体系中无法体现的主观因素对信息系统的影响。专家主要通过查阅原始文档、座谈,并结合自身的使用情况,对信息系统的二级指标直接打分。为了使评估结果更具有代表性,本文建议由多名专家参与评分,最后取多名专家的平均分为各二级指标的得分。
在得到信息系统使用人员、测评人员及专家对信息系统各指标的权重打分之后,需要对该三类人员的评分结果进行汇总。
首先,计算最终的三级指标得分。由于不同的信息系统,系统使用人员、测评人员及专家三类评分人员的评分结果重要性不同,所以需要对其赋予一定权重。由于系统使用人员是系统的真实使用者,具有最直接、最真实的使用体验,其评价结果也最为可靠,因此,本文推荐系统使用人员评分权重为0.5;测评人员对系统的使用频率一般没有用户的使用频率高,且只关心部分功能,但由于测评人员更具有全局观,往往能得到比较广泛的、多方面的该系统的建设效果的信息,因此,本文推荐测评人员评分权重为0.15;专家是信息技术领域的专业人员,一般为外请,虽然不是直接使用者,但具有丰富的专业知识,因此,本文推荐专家评分权重为0.15。
接下来,计算各指标最终权重得分=该系统使用人员评分×0.5+测评人员评分×0.35+专家评分×0.15。
然后,计算权重得分:该级指标下各下一级指标得分相加求和,再对结果进行归一化。
最后,计算系统的风险评估得分:该系统各级指标得分分别与该指标的权重相乘,再将结果相加,即得到该系统的风险评估得分。
为了简化评分结果,将三级权重的评价结果值省略,仅列出一、二级权重的得分结果如表2所示。
4)权重调整
建立了风险指标权重表后,我们通过实际的系统为例,验证以上权重的准确性。我们选取8个系统的风险等级测评结果,使用上述的指标权重对风险评估结果进行验证,将8个系统按照上述测评方法分项计算其得分,得到8个系统的风险评估得分,如表3所示。
我们将以上结果与我们使用传统方法对系统的测评结果做出比照,发现其中序号8系统的风险评估得分比实际情况有偏差,由此分析原因。对以上的权重分配进行调整,调整后的结果如表4所示。
按照调整后的权重结果从新计算序号8系统的风险评估得分,发现与实际情况较为吻合,因此确定该指标权重分配结果较之前的结果更加准确。在具体的测评过程中,需要根据系统的具体情况调整以上的权重,根据具体的业务需要,对上述权重进行多轮的讨论研究,最终确定各权重取值。系统的测评结果会更加客观,更能真实的反应出系统的实际情况。
5)评估过程
按照以上的方法,我们总结等级保护系统评估过程如图2所示。
5结束语
本文主要提供了一套完整的信息系统建设及使用效果评估方法。通过运用层次分析法构建指标体系及计算权重,结合日常使用人员、领导及专家三类人员评分,可以很好地对单个或者多个信息系统的建设及使用效果进行评分。目前通过对3家企业的信息系统评估,证明采用该指标体系和评分办法,收到了良好的效果。不仅如此,本指标体系和评估方法也为今后信息系统评估类软件的开发提供了良好的理论基础。
参考文献
[1]公安部.信息安全等级保护管理办法(试行).2006.
[2]庞素琳.信用评价与股市预测模型研究及应用:统计学、神经网络与支持向量机方法[M].北京:科学出版社,2O05.
[3]FUS,ZHOUHJ.TheinformationsecurityriskassessmentbasedonAHPandfuzzycomprehensiveevaluation[c]//InternationalConferenceOnRiskManagement&EngineeringManagement.Beijing.IEEE,2008:404—409.
[4]黄剑雄,丁建立.基于模糊分析的信息系统风险灰色评估模型[J].计算机工程与设计,2012,33(4):1285—1289.
[5]高阳,罗军舟.基于灰色关联决策算法的信息安全风险评估方法[J].东南大学学报(自然科学版),2009,39(2):225—229.
[6]刘向升,王刚.信息系统的风险评估方法研究[J].网络安全与技术,2006(11).
[7]KANGHai—gui,ZHAIGeng-jun,LIUXiang-bin.Structurefuzzyoptimumdesignofoffshorejacketplatforms[C]//ISPOE一2001.Stavaiger,Nonway:[s.n.].2001:114—118.
[8]朱继锋,赵英杰,杨贺,张升波.等级保护思想的演化[J].学术研究,2O11,7O-73.
基金项目:
由适用于重要信息系统的产品安全性检验平台项目(编号:C13383)支持。
作者简介;