引言：易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐，為您精心挑選了九篇系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時(shí)聯(lián)系我們的客服老師。

第1篇

【關(guān)鍵詞】電力系統(tǒng) 安全風(fēng)險(xiǎn)評(píng)估 分析

隨著我國(guó)電力系統(tǒng)規(guī)模的擴(kuò)大，可能引發(fā)大面積停電的因素也不斷增多，因此在全面考慮各種因素的基礎(chǔ)上對(duì)復(fù)雜電力系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的需求更加迫切。因此，在加強(qiáng)電力系統(tǒng)安全穩(wěn)定控制研究的同時(shí)，也必須注重對(duì)電力系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估分析，以使相關(guān)人員可以及時(shí)地了解整個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)，從而有針對(duì)性地提出防范對(duì)策。

1 電力系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的指標(biāo)體系

電力系統(tǒng)運(yùn)行的安全性，是指在突發(fā)性故障引起的擾動(dòng)下，系統(tǒng)保證避免發(fā)生嚴(yán)重供電中斷的能力。電力系統(tǒng)復(fù)雜，需要構(gòu)建一定的風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。風(fēng)險(xiǎn)評(píng)估指標(biāo)是風(fēng)險(xiǎn)評(píng)估的關(guān)鍵，只有建立科學(xué)、合理、實(shí)用的評(píng)估指標(biāo)體系，才能對(duì)電力系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行客觀、準(zhǔn)確的評(píng)估，評(píng)估結(jié)果才具有實(shí)際指導(dǎo)意義。電力系統(tǒng)的安全性評(píng)估研究主要有 3 類方法，即確定性評(píng)估、概率評(píng)估、風(fēng)險(xiǎn)評(píng)估。電力系統(tǒng)由大量的發(fā)電機(jī)、變壓器、母線、架空輸電線路、斷路器、隔離開關(guān)負(fù)荷等元件組成。設(shè)備停運(yùn)是系統(tǒng)失效的根本原因，系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)首要工作就是要確定元件的停運(yùn)模型。

由于風(fēng)險(xiǎn)按每一個(gè)元件、每一起事故和每一類安全性問(wèn)題進(jìn)行計(jì)算，因此可以將對(duì)系統(tǒng)的整體風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行分解，分解為對(duì)各類安全性問(wèn)題的評(píng)估，并分類計(jì)算風(fēng)險(xiǎn)指標(biāo)值，來(lái)反映系統(tǒng)安全問(wèn)題的不同方面。在本文中定義了四類安全性問(wèn)題，分別是過(guò)負(fù)荷風(fēng)險(xiǎn)、低電壓風(fēng)險(xiǎn)、電壓崩潰風(fēng)險(xiǎn)和功角失穩(wěn)風(fēng)險(xiǎn)。根據(jù)這些風(fēng)險(xiǎn)建立一套具有科學(xué)性、實(shí)用性、完整性的安全風(fēng)險(xiǎn)評(píng)估體系。該體系包含了結(jié)構(gòu)、技術(shù)、設(shè)備三大方面的風(fēng)險(xiǎn)指標(biāo)。

2 基于狀態(tài)檢修的電力系統(tǒng)故障概率模型

本文基于狀態(tài)評(píng)估推算設(shè)備故障率的方法，在此基礎(chǔ)上，按各狀態(tài)量對(duì)線路安全運(yùn)行影響程度的輕重進(jìn)行權(quán)重，通過(guò)對(duì)歷史數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和當(dāng)前設(shè)備進(jìn)行評(píng)分以及權(quán)重系數(shù)建立了系統(tǒng)元件狀態(tài)量評(píng)價(jià)表，從而對(duì)電力系統(tǒng)線路元件故障率進(jìn)行評(píng)價(jià)。并依據(jù)2008年初國(guó)家電網(wǎng)公司頒布了《輸變電設(shè)備狀態(tài)檢修試驗(yàn)規(guī)程》和相關(guān)設(shè)備的狀態(tài)評(píng)價(jià)導(dǎo)則，該導(dǎo)則為輸變電一次設(shè)備的狀態(tài)量擬定了扣分標(biāo)準(zhǔn)。具體的基于狀態(tài)檢修的電力系統(tǒng)故障概率模型如下：

研究表明，設(shè)備狀態(tài)評(píng)分與故障率之間存在如式（2-1）所示的指數(shù)關(guān)系：

P = Ke- （2-1）

式中：I ：設(shè)備狀態(tài)評(píng)分值，即通過(guò)設(shè)備狀態(tài)評(píng)價(jià)導(dǎo)則獲得的狀態(tài)評(píng)價(jià)得分；

K：比例系數(shù)；

C：曲率系數(shù)；

p：平均故障率，其取值范圍O～1。

由上式可見，狀態(tài)評(píng)分的數(shù)值越大，設(shè)備故障率也就越高。

關(guān)于公式（2-1）中K、C值的求取，需根據(jù)各電力企業(yè)所轄電網(wǎng)的線路元件狀

態(tài)和平均故障率進(jìn)行統(tǒng)計(jì)計(jì)算，求得適合于該區(qū)域電網(wǎng)的K、C值，統(tǒng)計(jì)計(jì)算方法如下：

根據(jù)收集數(shù)據(jù)的統(tǒng)計(jì)，可以由年故障線路元件數(shù)與線路元件總數(shù)得出線路元件的年故障發(fā)生率，即

P= x 100% （2-2）

式中：n：故障線路元件數(shù)；

N：線路元件總數(shù)。

基于歷史統(tǒng)計(jì)數(shù)據(jù)的最小二乘擬合公式為：

P= x 100% （2-3）

式中：p：線路元件的年故障發(fā)生概率；C ×I

Ni：某一分類的線路元件數(shù)；

N：線路元件總數(shù)；i為線路元件的分類，i=1～4；

I ：根據(jù)i的分類按照對(duì)應(yīng)于I 分值上下限的平均值代入。

只要獲得某地區(qū)電網(wǎng)2年及以上的線路元件故障率p的統(tǒng)計(jì)數(shù)據(jù)及線路元件狀態(tài)評(píng)分I ，就可以通過(guò)反演計(jì)算獲取適合于該區(qū)域電網(wǎng)的比例系數(shù)K和曲率系數(shù)C。

3電力系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估分析

電力系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估分析首先要根據(jù)上文構(gòu)建的指標(biāo)體系和電力系統(tǒng)模型來(lái)計(jì)算和分析。具體操作包括風(fēng)險(xiǎn)指標(biāo)計(jì)算和系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估分析。

在計(jì)算流程中，如下圖1。

圖1 風(fēng)險(xiǎn)指標(biāo)計(jì)算流程圖

首先確立初始計(jì)算條件以及研究對(duì)象，包含所有需要計(jì)算的可能發(fā)生故障的元件；利用已知?dú)v史數(shù)據(jù)計(jì)算目標(biāo)集內(nèi)每個(gè)故障發(fā)生的概率。對(duì)于設(shè)備停運(yùn)故障，計(jì)算每個(gè)故障發(fā)生。后系統(tǒng)的潮流分布情況，從潮流結(jié)果中運(yùn)用有效數(shù)據(jù)按照上面所建立的模型計(jì)算過(guò)負(fù)荷風(fēng)險(xiǎn)指標(biāo)、低電壓風(fēng)險(xiǎn)指標(biāo)。對(duì)于電壓崩潰指標(biāo)中的有功裕度值，計(jì)算的是所研究區(qū)域中所有負(fù)荷同時(shí)按一定比例增長(zhǎng)的結(jié)果；其中負(fù)荷增長(zhǎng)過(guò)程中，設(shè)負(fù)荷功率因數(shù)不變。功角失穩(wěn)指標(biāo)只計(jì)算線路兩端發(fā)生短路故障的情況。求出每個(gè)故障下的各種風(fēng)險(xiǎn)指標(biāo)。最后，當(dāng)集內(nèi)的所有故障全部計(jì)算完后，通過(guò)風(fēng)險(xiǎn)指標(biāo)的整合對(duì)系統(tǒng)安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估分析。

4 結(jié)語(yǔ)

本文首先提出了一套電力系統(tǒng)風(fēng)險(xiǎn)評(píng)估的評(píng)價(jià)指標(biāo)體系，針對(duì)狀態(tài)檢修電力系統(tǒng)風(fēng)險(xiǎn)評(píng)估的量化需求，提出了一套的概率模型。最后，給出該評(píng)價(jià)指標(biāo)計(jì)算路徑和評(píng)價(jià)方法流程在電力系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用的步驟，可為電力人員提供借鑒與參考作用。但電力系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估通常是在政府的監(jiān)管下進(jìn)行的，因此評(píng)估體系必須符合便于政府監(jiān)管部門開展評(píng)估工作的原則。

參考文獻(xiàn)：

[1]陳亦平，洪軍.巴西“11.10”大停電原因分析及對(duì)我國(guó)南方電網(wǎng)的啟示[J].電網(wǎng)技術(shù)，2010，34（5）： 77-82.

第2篇

通過(guò)對(duì)以上信息系統(tǒng)安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和研究成果的分析，信息系統(tǒng)安全風(fēng)險(xiǎn)的影響因素應(yīng)包含以下幾個(gè)方面【1-8】。（1）物理環(huán)境安全性：主要是指信息系統(tǒng)的硬件部分的可靠性。信息系統(tǒng)安全首要問(wèn)題是必須保證計(jì)算機(jī)硬件的可靠性。信息都是以ASCII碼的形式存儲(chǔ)在計(jì)算機(jī)上面的，一旦計(jì)算機(jī)物理硬件出現(xiàn)問(wèn)題，很多信息將會(huì)丟失，所以必須保證信息系統(tǒng)存儲(chǔ)硬件的可靠性，同時(shí)，計(jì)算機(jī)硬件對(duì)設(shè)備存放的環(huán)境也很重要，必須保持計(jì)算機(jī)周圍的散熱和通風(fēng)效果較好，減少機(jī)房灰塵，這樣能有效保證計(jì)算機(jī)設(shè)備的壽命和安全，減少計(jì)算機(jī)等硬件設(shè)備的損壞機(jī)率。（2）網(wǎng)絡(luò)運(yùn)行安全性：主要是信息系統(tǒng)在進(jìn)行收集、儲(chǔ)存、整理和發(fā)掘過(guò)程中的信息保存和傳輸?shù)陌踩浴Ｐ畔⑾到y(tǒng)的正常運(yùn)行和信息的存儲(chǔ)與挖掘是需要在信息系統(tǒng)之間進(jìn)行的，這就必須保證信息的安全和傳輸網(wǎng)絡(luò)的可靠。為了避免信息損失或丟失，應(yīng)該做好信息的及時(shí)備份；其次是應(yīng)該做好防毒工作，如今的病毒隱藏越來(lái)越深，對(duì)數(shù)據(jù)的破壞程度也越來(lái)越嚴(yán)重，所以必須做好病毒防范措施；再次就是保證信息系統(tǒng)在信息傳輸過(guò)程中的網(wǎng)絡(luò)通信協(xié)議安全，這樣能避免信息數(shù)據(jù)被其他人截獲和利用。所以，做好網(wǎng)絡(luò)運(yùn)行安全措施，是避免信息系統(tǒng)安全風(fēng)險(xiǎn)的有效措施。（3）信息保密狀況：主要是對(duì)信息系統(tǒng)使用過(guò)程中的保密措施。要做到信息不被其他人盜取和利用，必須做好信息數(shù)據(jù)的保密工作，應(yīng)該根據(jù)不同職位級(jí)別制定不同的信息使用和訪問(wèn)權(quán)限，不僅要有專用的使用者身份鑒別、訪問(wèn)控制等，還必須進(jìn)行電磁泄密防護(hù)，做好抗抵賴性和入侵檢測(cè)，保證信息系統(tǒng)的信息數(shù)據(jù)的保密工作，有效降低信息系統(tǒng)的安全風(fēng)險(xiǎn)。（4）安全管理能力：信息系統(tǒng)中信息的收集和管理都是有管理人員參與的，基于人性的不確定性和功利性，信息數(shù)據(jù)很容易被泄密，所以必須加強(qiáng)管理層的保密工作和安全防范意識(shí)。在對(duì)信息數(shù)據(jù)進(jìn)行管理的時(shí)候，必須建立專人專責(zé)的管理制度，對(duì)管理人員加強(qiáng)安全保密意識(shí)的培養(yǎng)，同時(shí)對(duì)于信息系統(tǒng)的不同級(jí)別的密碼和密匙要分開管理，將信息系統(tǒng)的安全威脅系數(shù)降到最低。（5）威脅對(duì)抗能力：隨著黑客數(shù)量的逐漸增加，黑客已經(jīng)滲透到各行各業(yè)，一些企業(yè)或組織的信息系統(tǒng)的機(jī)密數(shù)據(jù)從而成為黑客的攻擊對(duì)象，這就要求信息系統(tǒng)構(gòu)建中必須具有較好的威脅對(duì)抗能力，不僅能有效將黑客攻擊抵擋在信息系統(tǒng)之外，還應(yīng)該具有攻擊追蹤和反饋能力，對(duì)威脅來(lái)源進(jìn)行分析，為尋找威脅提供有用信息。通過(guò)以上的分析可以看出，在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)的時(shí)候，主要是從物理環(huán)境安全性、網(wǎng)絡(luò)運(yùn)行安全性、信息保密狀況、安全管理能力、威脅對(duì)抗能力五個(gè)方面來(lái)進(jìn)行評(píng)價(jià)最為合適。

2評(píng)價(jià)標(biāo)度的選擇與評(píng)價(jià)方法研究

2.1評(píng)價(jià)標(biāo)度的選擇問(wèn)題研究

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程中，通過(guò)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)的分析可以看出，這些指標(biāo)都是很難定量計(jì)算的，同時(shí)在對(duì)信息風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程中存在一定的不確定性和模糊性，故在對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)度的選擇過(guò)程中，應(yīng)該選擇不確定性評(píng)價(jià)標(biāo)度。基于不確定性評(píng)價(jià)指標(biāo)，在評(píng)價(jià)的時(shí)候，基于人的意識(shí)的模糊性和直觀性，專家更習(xí)慣于給出諸如“好”、“很好”之類的語(yǔ)言評(píng)價(jià)標(biāo)度【9】，綜合考慮以上因素，在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程中，選擇評(píng)價(jià)標(biāo)度為語(yǔ)言評(píng)價(jià)標(biāo)度，并將語(yǔ)言標(biāo)度和模糊數(shù)對(duì)應(yīng)，形成模糊語(yǔ)言評(píng)價(jià)標(biāo)度。在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)的時(shí)候，因?yàn)樽陨韺I(yè)知識(shí)的有限性或是進(jìn)行實(shí)際調(diào)查中存在的不確定性因素，參與評(píng)價(jià)的專家往往不可能對(duì)所評(píng)價(jià)組織或企業(yè)的信息系統(tǒng)安全風(fēng)險(xiǎn)管理情況完全了解，這樣，專家所給出的評(píng)價(jià)信息就存在一定的不可靠性，為了能使得最終的評(píng)價(jià)結(jié)果更為科學(xué)、可信，最好的解決方法就是專家在給出評(píng)價(jià)值的同時(shí)也將其對(duì)該方面了解知識(shí)的程度也標(biāo)注出來(lái)，這樣的結(jié)果更為科學(xué)，決策者在獲得評(píng)價(jià)結(jié)果的同時(shí)還能明白專家是在掌握多少知識(shí)的情況下給出的評(píng)價(jià)。考慮到灰色系統(tǒng)中的灰度主要用來(lái)反映信息未知量的多少【10】，對(duì)于灰度為0則認(rèn)為專家給出的評(píng)價(jià)信息是在完全掌握信息量的情況下給出的，如果灰度為1，則認(rèn)為專家給出的評(píng)價(jià)值是在專家沒(méi)有掌握任何信息量的情況下給出的，因此，在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程中，應(yīng)該將反應(yīng)專家掌握信息量多少的灰度引入評(píng)價(jià)標(biāo)度中。綜合以上分析，在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)度的選擇上，應(yīng)該選擇由模糊數(shù)和灰度構(gòu)成的有序?qū)?S,G)作為評(píng)價(jià)標(biāo)度，其中S表示語(yǔ)言評(píng)價(jià)標(biāo)度，其對(duì)應(yīng)一個(gè)確定的模糊數(shù)，G代表掌握信息量多少的灰度，其中G∈[0,1]。

2.2基于模糊灰度的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)方法研究

在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程中，為了避免單一決策者的評(píng)價(jià)帶有個(gè)人偏見，一般采用的是聘請(qǐng)不同方面的專家構(gòu)成評(píng)審團(tuán)隊(duì)來(lái)對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，設(shè)最終聘請(qǐng)K個(gè)專家對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，評(píng)價(jià)標(biāo)度選擇以前文討論所得的模糊灰度評(píng)價(jià)標(biāo)度，其中語(yǔ)言標(biāo)度與模糊數(shù)的對(duì)應(yīng)關(guān)系如表1。在給出評(píng)價(jià)矩陣后，考慮到每個(gè)專家的重要性不同，且每個(gè)指標(biāo)的重要性不同，所以還需要確定出專家的權(quán)重和評(píng)價(jià)指標(biāo)的權(quán)重，在確定指標(biāo)權(quán)重和專家權(quán)重時(shí)，考慮到模糊數(shù)不便于計(jì)算和比較，故利用下式將模糊數(shù)(al,am,ar)轉(zhuǎn)換成便于比較的實(shí)數(shù)。

3實(shí)證研究

顧客知識(shí)信息不僅能為企業(yè)的產(chǎn)品創(chuàng)新和研發(fā)給出指導(dǎo)方向，還是企業(yè)產(chǎn)品營(yíng)銷中分析顧客群的有效知識(shí)。很多企業(yè)從顧客知識(shí)的管理和挖掘中獲得較大利益，因此，基于顧客知識(shí)信息的信息系統(tǒng)對(duì)企業(yè)的可持續(xù)發(fā)展具有重要作用。其信息系統(tǒng)的安全風(fēng)險(xiǎn)問(wèn)題是企業(yè)必須注重的，定期的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)是大型企業(yè)進(jìn)行信息系統(tǒng)管理中必不可少的一步。某大型企業(yè)為了掌握其客戶管理信息系統(tǒng)安全風(fēng)險(xiǎn)的現(xiàn)狀，聘請(qǐng)6位專家對(duì)該企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，采用模糊灰度評(píng)價(jià)標(biāo)度，得到語(yǔ)言評(píng)價(jià)矩陣如表3所示。通過(guò)最大隸屬度原則，可以看出，在對(duì)該企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理的評(píng)價(jià)中，說(shuō)明該企業(yè)在對(duì)企業(yè)安全風(fēng)險(xiǎn)管理上做的“較好”，且該綜合評(píng)價(jià)信息是在群體平均信息掌握量為0.2568的情況下給出的。綜合這些信息得到該企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的綜合評(píng)價(jià)結(jié)論。（1）通過(guò)群組專家在對(duì)企業(yè)信息系統(tǒng)進(jìn)行調(diào)查分析，在較充分掌握信息系統(tǒng)運(yùn)行情況和管理信息的情況下，對(duì)企業(yè)的信息系統(tǒng)安全風(fēng)險(xiǎn)做出的最終評(píng)價(jià)結(jié)果為：該企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理方面做的“較好”。（2）通過(guò)對(duì)該企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果可以看出，該企業(yè)信息安全風(fēng)險(xiǎn)的管理方面還存在一定的提升空間，但是考慮到評(píng)審團(tuán)隊(duì)對(duì)該評(píng)價(jià)結(jié)果不是在完全掌握企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理的情況下做出的，所以可能存在一定的偏差，但是該偏差是較小的，作為最終的決策者，對(duì)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)更為了解，可以通過(guò)對(duì)群組專家評(píng)價(jià)結(jié)果的借鑒來(lái)對(duì)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理和預(yù)防方面做出科學(xué)的決策。

4信息系統(tǒng)安全風(fēng)險(xiǎn)防范對(duì)策

信息系統(tǒng)安全風(fēng)險(xiǎn)的主要影響因素為物理環(huán)境安全性、網(wǎng)絡(luò)運(yùn)行安全性、信息保密狀況、安全管理能力、威脅對(duì)抗能力五個(gè)方面。為了保證信息系統(tǒng)的有效運(yùn)行，防止信息系統(tǒng)被破壞，應(yīng)該做好如下幾個(gè)方面：（1）建立健全信息系統(tǒng)安全風(fēng)險(xiǎn)防護(hù)框架。主要是針對(duì)企業(yè)信息系統(tǒng)構(gòu)建的實(shí)際情況，及信息系統(tǒng)的需求和使用情況，根據(jù)不同使用權(quán)限和安全強(qiáng)度進(jìn)行分層、分區(qū)授權(quán)和管理，對(duì)信息系統(tǒng)的實(shí)時(shí)控制區(qū)等關(guān)鍵區(qū)進(jìn)行重點(diǎn)防護(hù)和監(jiān)測(cè)。（2）加強(qiáng)信息安全專業(yè)技術(shù)的應(yīng)用。主要是在對(duì)信息系統(tǒng)安全管理過(guò)程中，加強(qiáng)利用專業(yè)信息安全技術(shù)進(jìn)行安全保密，如引入最新的身份認(rèn)證系統(tǒng)進(jìn)行操作和使用者的訪問(wèn)權(quán)限監(jiān)測(cè)，對(duì)于接入網(wǎng)絡(luò)的系統(tǒng)要設(shè)置防火墻，防止計(jì)算機(jī)病毒或其他威脅的入侵，并對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)檢測(cè)和系統(tǒng)日志審計(jì)，監(jiān)測(cè)是否有非法活動(dòng)，及時(shí)發(fā)現(xiàn)問(wèn)題并解決問(wèn)題，保證信息系統(tǒng)的正常運(yùn)行。（3）完善信息系統(tǒng)管理制度。很多信息系統(tǒng)更多的是人為因素造成的，而且人為因素導(dǎo)致的風(fēng)險(xiǎn)還具有隱蔽性，所以要加強(qiáng)對(duì)信息系統(tǒng)管理制度的建立和完善，建立嚴(yán)格的信息系統(tǒng)管理和使用制度，明確各管理人員的職責(zé)分工，要對(duì)管理人員和使用人員進(jìn)行定期的保密培訓(xùn)和專業(yè)技術(shù)培訓(xùn)，避免錯(cuò)誤操作，對(duì)信息系統(tǒng)進(jìn)行有效的保護(hù)。

5結(jié)語(yǔ)

第3篇

[關(guān)鍵詞] 基礎(chǔ)地理；信息系統(tǒng)；安全；風(fēng)險(xiǎn)評(píng)估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082

[中圖分類號(hào)] TP315 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2015）21- 0155- 03

1 引 言

風(fēng)險(xiǎn)是以一定的發(fā)生概率的潛在危機(jī)形式存在的可能性，而不是已經(jīng)存在的客觀結(jié)果或既定事實(shí)。風(fēng)險(xiǎn)管理是通過(guò)對(duì)風(fēng)險(xiǎn)的識(shí)別、衡量和控制，以最小的成本將風(fēng)險(xiǎn)導(dǎo)致的各種損失結(jié)果減少到最小的管理方法。隨著信息化向縱深發(fā)展，基礎(chǔ)地理信息系統(tǒng)被廣泛應(yīng)用，但信息安全方面的威脅也大大增加，具體到市縣級(jí)基礎(chǔ)地理信息系統(tǒng)中存在各類風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)有著自身的特點(diǎn)，對(duì)系統(tǒng)的影響也隨著不同階段而不同。其中信息安全風(fēng)險(xiǎn)是指系統(tǒng)本身的脆弱性在來(lái)自環(huán)境的威脅下而產(chǎn)生的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)會(huì)對(duì)信息系統(tǒng)核心資產(chǎn)的安全性、完整性和可用性造成破壞。對(duì)測(cè)繪行業(yè)信息安全風(fēng)險(xiǎn)的評(píng)估是進(jìn)行有效風(fēng)險(xiǎn)管理的基礎(chǔ)，是對(duì)風(fēng)險(xiǎn)計(jì)劃和風(fēng)險(xiǎn)控制過(guò)程的有力支撐，而如何識(shí)別和度量風(fēng)險(xiǎn)成為一個(gè)難題，目前測(cè)繪地理信息行業(yè)沒(méi)有一個(gè)行業(yè)性安全評(píng)估類或者安全管理類規(guī)范標(biāo)準(zhǔn)，通用安全評(píng)估規(guī)范在很多方面對(duì)于測(cè)繪地理信息系統(tǒng)復(fù)雜性和行業(yè)特點(diǎn)缺乏適用性，往往較難落地，為此提出市縣級(jí)國(guó)土資源基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究。

2 國(guó)內(nèi)外信息安全風(fēng)險(xiǎn)評(píng)估的研究現(xiàn)狀

信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)歷了很長(zhǎng)一段的發(fā)展時(shí)期。風(fēng)險(xiǎn)評(píng)估的重點(diǎn)也由最初簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作，逐漸過(guò)渡到技術(shù)與管理相結(jié)合的科學(xué)方法。由于信息安全問(wèn)題的突出重要性，以及發(fā)生安全問(wèn)題的后果嚴(yán)重性，目前評(píng)估工作已經(jīng)得到重視和開展。國(guó)內(nèi)外很多學(xué)者都在積極投身于信息安全的研究，期望找到保護(hù)信息安全的盔甲。美國(guó)在信息安全風(fēng)險(xiǎn)管理領(lǐng)域的研究與應(yīng)用獨(dú)占鰲頭，政府控管體制健全，己經(jīng)形成了較為完整的風(fēng)險(xiǎn)分析、評(píng)估、監(jiān)督、檢查問(wèn)責(zé)的工作機(jī)制。DOD作為風(fēng)險(xiǎn)評(píng)估的領(lǐng)路者，1970年就已對(duì)當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端作了第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估； 1999年，美國(guó)總審計(jì)局在總結(jié)實(shí)踐的基礎(chǔ)上，出版了相關(guān)文檔，指導(dǎo)美國(guó)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估；2001年美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)（NIST）推出SP800系列的特別報(bào)告中也涉及到風(fēng)險(xiǎn)評(píng)估的內(nèi)容；歐洲各國(guó)對(duì)信息安全風(fēng)險(xiǎn)一直采取“趨利避害”的安全策略，于2001-2003年完成了安全關(guān)鍵系統(tǒng)的風(fēng)險(xiǎn)分析平臺(tái)項(xiàng)目CORAS，被譽(yù)為歐洲經(jīng)典。我國(guó)信息安全評(píng)估起步較晚，2003年7月，國(guó)信辦信息安全風(fēng)險(xiǎn)評(píng)估課題組啟動(dòng)了信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)的編制工作；8月，信息安全評(píng)估課題組對(duì)我國(guó)信息安全工作的現(xiàn)狀進(jìn)行了調(diào)研，完成了相關(guān)的評(píng)估報(bào)告，總結(jié)了風(fēng)險(xiǎn)評(píng)估是信息安全的基礎(chǔ)性工作；2004年3月國(guó)家《信息安全風(fēng)險(xiǎn)評(píng)估指南》與《信息安全風(fēng)險(xiǎn)管理指南》的征求意見稿；2005年2月至9月，開始了國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作；2007年7月我國(guó)頒布了《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984一2007）并于2007年11月1日實(shí)施；2008年4月22日，在國(guó)家信息中心召開了《信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》預(yù)制標(biāo)準(zhǔn)第二次研討會(huì)，此次會(huì)議主要就標(biāo)準(zhǔn)工作組制定的《實(shí)施指南》目錄框架進(jìn)行了詳細(xì)研究與討論，《信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》作為GB/T 20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》和《信息安全風(fēng)險(xiǎn)管理規(guī)范》之后又一技術(shù)性研究課題，將充實(shí)信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理具體實(shí)施工作。

3 市縣級(jí)基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究方法和手段

3.1 市縣級(jí)基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究方法

市縣級(jí)基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究通過(guò)綜合分析評(píng)估后的資產(chǎn)信息、威脅信息、脆弱性信息，最終生成風(fēng)險(xiǎn)信息。資產(chǎn)的評(píng)估主要從保密性、完整性、可用性三方面的安全屬性進(jìn)行影響分析，從資產(chǎn)的相對(duì)價(jià)值中體現(xiàn)了威脅的嚴(yán)重程度；威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估；脆弱性的評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估；具體如下：

（1）資產(chǎn)評(píng)估。資產(chǎn)評(píng)估的主要工作就是對(duì)市、縣、鄉(xiāng)三級(jí)基礎(chǔ)地理信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估范圍內(nèi)的資產(chǎn)進(jìn)行識(shí)別，確定所有的評(píng)估對(duì)象，然后根據(jù)評(píng)估的資產(chǎn)在業(yè)務(wù)和應(yīng)用流程中的作用對(duì)資產(chǎn)進(jìn)行分析，識(shí)別出其關(guān)鍵資產(chǎn)并進(jìn)行重要程度賦值。根據(jù)資產(chǎn)評(píng)估報(bào)告的結(jié)果，可以清晰的分析出市、縣、鄉(xiāng)三級(jí)基礎(chǔ)地理信息系統(tǒng)中各主要業(yè)務(wù)的重要性，以及各業(yè)務(wù)中各種類別的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的重要程度，從而得出信息系統(tǒng)的安全等級(jí)。同時(shí)，可以明確各業(yè)務(wù)系統(tǒng)的關(guān)鍵資產(chǎn)，確定安全評(píng)估和保護(hù)的重點(diǎn)對(duì)象。

在此基礎(chǔ)上，建立針對(duì)市、縣、鄉(xiāng)三級(jí)基礎(chǔ)地理信息系統(tǒng)中的資產(chǎn)配置庫(kù)，對(duì)資產(chǎn)的名稱、類型、屬性以及相互關(guān)系、安全級(jí)別、責(zé)任主體等信息進(jìn)行描述。

（2）威脅評(píng)估。威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。威脅識(shí)別的任務(wù)主要是識(shí)別可能的威脅主體（威脅源）、威脅途徑和威脅方式，威脅主體是指可能會(huì)對(duì)信息資產(chǎn)造成威脅的主體對(duì)象，威脅方式是指威脅主體利用脆弱性的威脅形式，威脅主體會(huì)采用威脅方法利用資產(chǎn)存在的脆弱性對(duì)資產(chǎn)進(jìn)行破壞。

在此基礎(chǔ)上，充分調(diào)研，分析現(xiàn)有記錄、安全事件、日志及各類告警信息，整理本行業(yè)信息系統(tǒng)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)及管理方面面臨的安全威脅，形成風(fēng)險(xiǎn)點(diǎn)列表。

（3）脆弱性評(píng)估。脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點(diǎn)，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個(gè)方面，這些都可能被各種安全威脅利用來(lái)侵害一個(gè)組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。

通過(guò)研究，將建立本行業(yè)的涉及主要終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)及應(yīng)用等主要系統(tǒng)的基線庫(kù)，從而為脆弱性檢測(cè)在“安全配置”方面提供指標(biāo)支撐。

（4）綜合風(fēng)險(xiǎn)評(píng)估及計(jì)算方法。風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。在風(fēng)險(xiǎn)評(píng)估模型中，主要包含信息資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值，脆弱性的屬性是脆弱性被威脅利用后對(duì)資產(chǎn)帶來(lái)的影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性，風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)發(fā)生的后果。

綜合風(fēng)險(xiǎn)計(jì)算方法：根據(jù)風(fēng)險(xiǎn)計(jì)算公式R= f（A，V，T）=f（Ia，L（Va，T）），即：風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅可能性×弱點(diǎn)嚴(yán)重性，下表是綜合風(fēng)險(xiǎn)分析的舉例：

注：R表示風(fēng)險(xiǎn)；A表示資產(chǎn)；V表示脆弱性；T表示威脅；Ia表示資產(chǎn)發(fā)生安全事件后對(duì)組織業(yè)務(wù)的影響（也稱為資產(chǎn)的重要程度）；Va表示某一資產(chǎn)本身的脆弱性，L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。

風(fēng)險(xiǎn)的級(jí)別劃分為5級(jí)（見表1），等級(jí)越高，風(fēng)險(xiǎn)越高。

各信息系統(tǒng)風(fēng)險(xiǎn)值計(jì)算及總體風(fēng)險(xiǎn)計(jì)算則按照風(fēng)險(xiǎn)的不同級(jí)別和各級(jí)別風(fēng)險(xiǎn)的個(gè)數(shù)進(jìn)行加權(quán)計(jì)算，具體的加權(quán)計(jì)算方法如下。

風(fēng)險(xiǎn)級(jí)別權(quán)重分配：

極高風(fēng)險(xiǎn) 30%

高風(fēng)險(xiǎn) 25%

中風(fēng)險(xiǎn) 20%

低風(fēng)險(xiǎn) 15%

很低風(fēng)險(xiǎn) 10%

各級(jí)別風(fēng)險(xiǎn)個(gè)數(shù)對(duì)應(yīng)關(guān)系（即各級(jí)別風(fēng)險(xiǎn)相對(duì)于很低風(fēng)險(xiǎn)的個(gè)數(shù)換算）：

極高風(fēng)險(xiǎn) 16

高風(fēng)險(xiǎn) 8

中風(fēng)險(xiǎn) 4

低風(fēng)險(xiǎn) 2

很低風(fēng)險(xiǎn) 1

風(fēng)險(xiǎn)計(jì)算公式R’=K（av，p，n）=av×p×n，其中，av代表各級(jí)別風(fēng)險(xiǎn)求平均后總和，p代表相應(yīng)的風(fēng)險(xiǎn)級(jí)別權(quán)重，n代表相應(yīng)的風(fēng)險(xiǎn)個(gè)數(shù)權(quán)重。

總體風(fēng)險(xiǎn)值=R’（極高）+ R’（高） + R’（中） + R’（低） + R’（很低）

3.2 市縣級(jí)基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究的手段

（1）專家分析。對(duì)于已有的安全管理制度和策略，由經(jīng)驗(yàn)豐富的安全專家進(jìn)行管理方面的風(fēng)險(xiǎn)分析，結(jié)合江蘇省基礎(chǔ)地理信息系統(tǒng)安全建設(shè)現(xiàn)狀，指出當(dāng)前安全規(guī)劃和安全管理制度存在的不足，并給出安全建議。

（2）工具檢測(cè)。采用成熟的掃描或檢測(cè)工具，對(duì)于網(wǎng)絡(luò)中的服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進(jìn)行掃描評(píng)估；為了充分了解各業(yè)務(wù)系統(tǒng)當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀及其安全威脅，因此需要利用基于各種評(píng)估側(cè)面的評(píng)估工具對(duì)評(píng)估對(duì)象進(jìn)行掃描評(píng)估，對(duì)象包括各類主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等，掃描評(píng)估的結(jié)果將作為整個(gè)評(píng)估內(nèi)容的一個(gè)重要參考依據(jù)。

（3）基線評(píng)估。采用基線風(fēng)險(xiǎn)評(píng)估，根據(jù)本行業(yè)的實(shí)際情況，對(duì)信息系統(tǒng)進(jìn)行安全基線檢查，拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出其中的差距，得出基本的安全需求，通過(guò)選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來(lái)消減和控制風(fēng)險(xiǎn)。所謂的安全基線，是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。

（4）人工評(píng)估。工具掃描因?yàn)槠涔潭ǖ哪０澹m用的范圍，特定的運(yùn)行環(huán)境，以及它的缺乏智能性等諸多因素，因而有著很大的局限性；而人工評(píng)估與工具掃描相結(jié)合，可以完成許多工具所無(wú)法完成的事情，從而得出全面的、客觀的評(píng)估結(jié)果。人工檢測(cè)評(píng)估主要是依靠具有豐富經(jīng)驗(yàn)的安全專家在各服務(wù)項(xiàng)目中通過(guò)針對(duì)不同的評(píng)估對(duì)象采用顧問(wèn)訪談，業(yè)務(wù)流程了解等方式，對(duì)評(píng)估對(duì)象進(jìn)行全面的評(píng)估。

（5）滲透測(cè)試。在整個(gè)風(fēng)險(xiǎn)評(píng)估的過(guò)程中，結(jié)合外部滲透測(cè)試的方式發(fā)現(xiàn)系統(tǒng)中可能面臨的安全威脅和已經(jīng)存在的系統(tǒng)脆弱性。

第4篇

【關(guān)鍵詞】系統(tǒng)安全工程；信息系統(tǒng)；風(fēng)險(xiǎn)

引言

隨著科學(xué)技術(shù)的快速發(fā)展，信息系統(tǒng)安全問(wèn)題也越來(lái)越常見，如何采取有效措施預(yù)防并減少信息系統(tǒng)風(fēng)險(xiǎn)已經(jīng)逐漸成為信息安全研究的關(guān)鍵。對(duì)于信息系統(tǒng)安全，可以采用風(fēng)險(xiǎn)大小進(jìn)行度量，同對(duì)信息在保密性、完整性等多個(gè)方面所受到的威脅，可以對(duì)安全威脅進(jìn)行有效控制。需要注意的是，為了保障信息安全，不僅需要依靠安全技術(shù)和產(chǎn)品，而且還需要信息系統(tǒng)安全工程的支持。通過(guò)構(gòu)建系統(tǒng)安全工程能力成熟模型，對(duì)影響信息系統(tǒng)的各個(gè)安全要素進(jìn)行分析，并對(duì)風(fēng)險(xiǎn)因素發(fā)生的可能性進(jìn)行評(píng)價(jià)分析，能夠保證信息安全管理決策的客觀性和合理性。

1我國(guó)礦山生產(chǎn)安全現(xiàn)狀

近年來(lái)，隨著國(guó)家的重視與社會(huì)的關(guān)注，礦山的百萬(wàn)噸死亡率以及前人死亡率有所下降，但是礦山的安全工程還是存在一定的問(wèn)題，就目前看來(lái)，其主要存在以下問(wèn)題：①我國(guó)大多數(shù)的礦山都缺乏統(tǒng)一持續(xù)的安全戰(zhàn)略規(guī)劃目標(biāo)，我國(guó)大型的礦山企業(yè)都是國(guó)有企業(yè)，其在生產(chǎn)的過(guò)程中都十分重視礦產(chǎn)的安全管理，十分重視企業(yè)生產(chǎn)安全。但是其在生產(chǎn)的過(guò)程中同樣需要面臨著市場(chǎng)競(jìng)爭(zhēng)帶來(lái)的壓力，對(duì)于礦山生產(chǎn)的風(fēng)險(xiǎn)性以及隨機(jī)性沒(méi)有充分的把握，難以從根本上提升礦山的安全性；②我國(guó)礦產(chǎn)開采缺乏完善的安全理念，盡管大多數(shù)的礦產(chǎn)企業(yè)在開采時(shí)都確立了安全生產(chǎn)理念，但是這些理念僅僅概況成了幾句口號(hào)，并沒(méi)有得到徹底的落實(shí)，這樣一來(lái)無(wú)法有效的確保礦山安全管理的質(zhì)量；③我國(guó)礦山開采安全程度較低，尤其是一些小型礦產(chǎn)，基本沒(méi)有安全設(shè)施，采用的甚至是一些落后的工藝設(shè)備。為了有效的判斷礦山生產(chǎn)過(guò)程中的風(fēng)險(xiǎn)，需要建立完善的風(fēng)險(xiǎn)評(píng)估模型，下面簡(jiǎn)單的介紹系統(tǒng)安全工程能力成熟模型，以及其在風(fēng)險(xiǎn)評(píng)估中的作用。

2系統(tǒng)安全工程能力成熟模型概述

系統(tǒng)安全工程能力指的是系統(tǒng)在實(shí)際應(yīng)用中，能夠達(dá)到的安全性指標(biāo)的能力，通過(guò)改善系統(tǒng)工程的過(guò)程安全能力，能夠使系統(tǒng)工程變得更加成熟。在系統(tǒng)安全工程能力成熟模型的構(gòu)建過(guò)程，需要完善的、成熟的、可度量的安全工程。在系統(tǒng)安全工程下，所有工程活動(dòng)都有明確的定義，并且對(duì)于所有工程活動(dòng)，都可以進(jìn)行有效的測(cè)量、管理和控制。系統(tǒng)安全工程能力成熟度模型主要是由兩個(gè)部分所組成的，包括“過(guò)程域”和“能力”。其中，過(guò)程域指的是在完成一個(gè)子任務(wù)過(guò)程中，所需要完成的一系列工程實(shí)踐，過(guò)程域指又可以被分為三個(gè)部分，即工程過(guò)程域、組織過(guò)程域和項(xiàng)目過(guò)程域。其中，組織過(guò)程域和項(xiàng)目過(guò)程域與系統(tǒng)安全沒(méi)有直接關(guān)聯(lián)，因此，二者不是模型的組成部分。模型為每個(gè)過(guò)程域均定義了一組確定的基本實(shí)踐（BP），在子任務(wù)的完成過(guò)程中，每個(gè)基本實(shí)踐都必不可少。另外，能力維指的是實(shí)踐代表過(guò)程管理和制度化能力，其又可以被稱為通用實(shí)踐（GP）。通用實(shí)踐的主要作用是對(duì)每個(gè)級(jí)別的共同特性（CF）進(jìn)行描述，即每個(gè)級(jí)別的判定反映為一組共同特性。通用實(shí)踐是應(yīng)用于所有過(guò)程的活動(dòng)，通用實(shí)踐的重點(diǎn)是對(duì)過(guò)程進(jìn)行度量和管理。應(yīng)用通用實(shí)踐描述共同特性的邏輯區(qū)域可以被被劃分5個(gè)能力級(jí)別，

3信息系統(tǒng)風(fēng)險(xiǎn)的特征

信息系統(tǒng)的投資比較大，建設(shè)周期長(zhǎng)，影響因素較多，因此，信息系統(tǒng)所面臨的風(fēng)險(xiǎn)種類也比較多，并且不同風(fēng)險(xiǎn)之間的關(guān)系錯(cuò)綜復(fù)雜。通過(guò)對(duì)大中型信息系統(tǒng)進(jìn)行調(diào)查分析發(fā)現(xiàn)，信息系統(tǒng)風(fēng)險(xiǎn)的特征主要體現(xiàn)在以下幾點(diǎn)：客觀性和不確定性。在信息系統(tǒng)的實(shí)際應(yīng)用中，信息系統(tǒng)風(fēng)險(xiǎn)客觀存在，因此，在整個(gè)信息系統(tǒng)生命周期中，風(fēng)險(xiǎn)因素?zé)o處不在，但是有具有明顯的不確定特征，風(fēng)險(xiǎn)事件的客觀體現(xiàn)指的是隨著客觀條件的變化，所造成的不確定性。在信息系統(tǒng)的實(shí)際運(yùn)行過(guò)程中，各類不確定因素的伴隨物即為信息系統(tǒng)風(fēng)險(xiǎn)。多層次性和多樣性。信息系統(tǒng)風(fēng)險(xiǎn)包包括多種層次風(fēng)險(xiǎn)，包括物理安全風(fēng)險(xiǎn)、邏輯安全風(fēng)險(xiǎn)等等，其中，物理安全風(fēng)險(xiǎn)是由周界控制、區(qū)域訪問(wèn)控制以及區(qū)內(nèi)設(shè)施安全等所組成的，安全管理內(nèi)容包括人員管理、系統(tǒng)管理、應(yīng)急管理等，信息系統(tǒng)風(fēng)險(xiǎn)的種類也具有可變性和動(dòng)態(tài)性特征，隨著信息技術(shù)的發(fā)展，信息系統(tǒng)風(fēng)險(xiǎn)也逐漸呈動(dòng)態(tài)性和可變性特征。在信息系統(tǒng)實(shí)際運(yùn)行過(guò)程中，對(duì)于有些風(fēng)險(xiǎn)因素，由于采取了有效措施，因此風(fēng)險(xiǎn)得以消除，而對(duì)于有些風(fēng)險(xiǎn)因素，由于沒(méi)有采取有效的消除措施，因此風(fēng)險(xiǎn)逐漸成為主要風(fēng)險(xiǎn)。可測(cè)性。系統(tǒng)安全風(fēng)險(xiǎn)的本質(zhì)是不確定性，在各類風(fēng)險(xiǎn)因素中，任何風(fēng)險(xiǎn)的發(fā)生都是多個(gè)風(fēng)險(xiǎn)因素共同作用所造成的，也有個(gè)別風(fēng)險(xiǎn)因素的發(fā)生是偶然事件，但是，通過(guò)對(duì)大量風(fēng)險(xiǎn)發(fā)生事件進(jìn)行統(tǒng)計(jì)和分析發(fā)現(xiàn)，風(fēng)險(xiǎn)時(shí)間的發(fā)生具有一定的運(yùn)動(dòng)規(guī)律。對(duì)于風(fēng)險(xiǎn)時(shí)間的發(fā)生概率以及其所造成，可以采用多種風(fēng)險(xiǎn)分析方式進(jìn)行計(jì)算，并對(duì)可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)分析，從而為防范決策提供重要依據(jù)。由于信息系統(tǒng)風(fēng)險(xiǎn)具有多層次以及多樣性特征，因此，安全防范難度較大，對(duì)此，一般采用防火墻技術(shù)進(jìn)行安全管理。另外，由于信息系統(tǒng)風(fēng)險(xiǎn)具有多層次以及動(dòng)態(tài)性特征，因此，很難構(gòu)建覆蓋全部安全問(wèn)題的安全防控體系，綜合考慮安全投入成本以及被保護(hù)資產(chǎn)價(jià)值，必須構(gòu)建合適的安全準(zhǔn)則。通過(guò)上述分析可見，信息系統(tǒng)風(fēng)險(xiǎn)復(fù)雜程度比較高，并且系統(tǒng)風(fēng)險(xiǎn)的涉及面比較廣泛，因此，在信息系統(tǒng)整個(gè)生命周期中，都必須加強(qiáng)風(fēng)險(xiǎn)評(píng)估和管理，對(duì)此，應(yīng)該在模型的指導(dǎo)下來(lái)保證信SSE-CMM息系統(tǒng)的安全。

4信息風(fēng)險(xiǎn)評(píng)估模型

信息風(fēng)險(xiǎn)評(píng)估的過(guò)程指的是，對(duì)信息系統(tǒng)資產(chǎn)所面對(duì)的各類風(fēng)險(xiǎn)因素進(jìn)行分析，并對(duì)安全控制措施進(jìn)行研究，從而準(zhǔn)確識(shí)別系統(tǒng)風(fēng)險(xiǎn)因素，并對(duì)各類風(fēng)險(xiǎn)因素進(jìn)行評(píng)價(jià)。從系統(tǒng)風(fēng)險(xiǎn)管理角度出發(fā)，系統(tǒng)風(fēng)險(xiǎn)管理過(guò)程值得是對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行控制、降低以及消除的過(guò)程，在此過(guò)程中，需要對(duì)網(wǎng)絡(luò)與信息系統(tǒng)中所面臨的風(fēng)險(xiǎn)因素進(jìn)行準(zhǔn)確識(shí)別，并采取有效的控制措施。在對(duì)安全事件進(jìn)行評(píng)估過(guò)程中，如果發(fā)現(xiàn)風(fēng)險(xiǎn)因素可能會(huì)產(chǎn)生的危害事件，則應(yīng)該立即提出相應(yīng)的低于威脅防護(hù)措施，對(duì)安全風(fēng)險(xiǎn)進(jìn)行化解，或者采取有效的防范措施，將信息安全風(fēng)險(xiǎn)控制在一定范圍內(nèi)，從而有效保障網(wǎng)絡(luò)安全以及信息安全。在進(jìn)行信息風(fēng)險(xiǎn)評(píng)估過(guò)程中，需要注意以下幾點(diǎn)：①準(zhǔn)確識(shí)別被評(píng)估信息資產(chǎn)，并對(duì)其估價(jià)；②對(duì)網(wǎng)絡(luò)弱點(diǎn)進(jìn)行檢測(cè)，評(píng)估資產(chǎn)脆弱性；③獲取系統(tǒng)各對(duì)象信息，并詳細(xì)列出資產(chǎn)威脅；④識(shí)別當(dāng)前安全控制；⑤綜合考慮脆弱性和威脅的嚴(yán)重程度，對(duì)資產(chǎn)的重要性進(jìn)行計(jì)算分析。風(fēng)險(xiǎn)事件因素對(duì)于信息系統(tǒng)的影響程度具有模糊性特征，因此，對(duì)于安全風(fēng)險(xiǎn)，可以將其描述為關(guān)于威脅和這種威脅后果的一個(gè)函數(shù)，通過(guò)對(duì)其進(jìn)行定量分析，能夠估算出風(fēng)險(xiǎn)時(shí)間發(fā)生后對(duì)于系統(tǒng)安全性的影響程度，同時(shí)還能夠?qū)?fù)雜的思維決策過(guò)程模型化、數(shù)量化。系統(tǒng)所有者在系統(tǒng)的實(shí)際應(yīng)用過(guò)程中，可以結(jié)合項(xiàng)目實(shí)際情況，在資產(chǎn)風(fēng)險(xiǎn)評(píng)估過(guò)程中，對(duì)資產(chǎn)、威脅和脆弱性等各因素所占權(quán)重進(jìn)行計(jì)算，并賦予其相應(yīng)的權(quán)向量：A=（r1，r2，r3，…，ri），其中，其中ri指的是判斷矩陣相應(yīng)因素。aij=rij/nk=1Σrkj（i=1，2，…，n）（1）由公式（1）再按行求和：c軃i=nj=1Σrkj（i=1，2，…，n）（2）通過(guò)公式（2）可得：ci=c軃ini=1Σc軃i（i=1，2，…，n）（3）其中，c指的是所求的特征向量，具體而言其指的是對(duì)應(yīng)i個(gè)因素的相對(duì)重要程度，即權(quán)重系數(shù)，如果c越高，則說(shuō)明風(fēng)險(xiǎn)越大，系統(tǒng)安全工程的安全程度比較低。因此，可以根據(jù)以上公式，計(jì)算出風(fēng)險(xiǎn)評(píng)估量化分析結(jié)果，并對(duì)系統(tǒng)中的各類風(fēng)險(xiǎn)因素進(jìn)行建模分析，從而計(jì)算得出各類風(fēng)險(xiǎn)權(quán)重，并以此為依據(jù)，對(duì)信息風(fēng)險(xiǎn)評(píng)估以及系統(tǒng)安全策略的制定提供重要的參考依據(jù)。

5結(jié)語(yǔ)

綜上所述，在信息系統(tǒng)的建設(shè)過(guò)程中，加強(qiáng)安全工程管理至關(guān)重要，現(xiàn)如今已經(jīng)逐漸引起社會(huì)各界的廣泛關(guān)注，而我國(guó)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估研究起步比較晚，定量評(píng)估模型依然處于探索階段。為了有效保障保障信息系統(tǒng)的安全性，應(yīng)該采用SSE-CMM模型作為安全指導(dǎo)思想，通過(guò)對(duì)風(fēng)險(xiǎn)因素進(jìn)行全過(guò)程、全方位的分析，能夠有效解決信息系統(tǒng)安全的動(dòng)態(tài)性和廣泛性問(wèn)題。本文主要對(duì)SSE-CMM模型進(jìn)行了詳細(xì)分析，SSE-CMM模型屬于理論指導(dǎo)模型，可以用在信息系統(tǒng)的效益分析、系統(tǒng)可靠性分析等方面，所以具有較大的推廣價(jià)值，但是需要注意的是，在其實(shí)際應(yīng)用中，還應(yīng)該綜合考慮不同性質(zhì)的信息系統(tǒng)，采取不同的實(shí)施方案。

參考文獻(xiàn)

[1]吳峰，賁可榮.系統(tǒng)安全測(cè)試能力成熟度模型框架研究[J].計(jì)算機(jī)與數(shù)字工程，2011，39（2）：128~132.

[2]李燦，周春雷，華斌，等.信息系統(tǒng)應(yīng)用成熟度評(píng)價(jià)模型[J].華東電力，2014，42（11）：2428~2431.

第5篇

【關(guān)鍵詞】電力企業(yè)；信息安全；風(fēng)險(xiǎn)防御

和諧社會(huì)的發(fā)展是政治、經(jīng)濟(jì)、文化、社會(huì)和生態(tài)多方面合力的結(jié)果，科技的進(jìn)步使得電力企業(yè)意識(shí)到亟需盡快的對(duì)電力系統(tǒng)進(jìn)行革新，從計(jì)劃經(jīng)濟(jì)到市場(chǎng)經(jīng)濟(jì)體制的改革中，電力企業(yè)為了適應(yīng)這樣的變化，加強(qiáng)了對(duì)管理體制的合理改變和生產(chǎn)效率的大步提高，拉開了電力系統(tǒng)改革的序幕。安全的信息網(wǎng)絡(luò)系統(tǒng)的構(gòu)建是電力企業(yè)發(fā)展改革過(guò)程中至關(guān)重要的一個(gè)環(huán)節(jié)，有效的將電力企業(yè)的信息安全系統(tǒng)與其管理和考核進(jìn)行有機(jī)結(jié)合，更好的服務(wù)于電力企業(yè)的生產(chǎn)、經(jīng)營(yíng)和管理，電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與防御也就成為了電力企業(yè)在經(jīng)濟(jì)全球化進(jìn)程中亟待重視的問(wèn)題所在。

1 電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

1.1 企業(yè)規(guī)模發(fā)展迅速，信息網(wǎng)絡(luò)安全意識(shí)淡薄

電力資源是我們社會(huì)生活中必不可少的一部分，電力企業(yè)在相對(duì)壟斷的情況下，發(fā)展極其迅速，但在這樣的過(guò)程中，我們可以看到，大多數(shù)電力企業(yè)僅僅對(duì)基礎(chǔ)設(shè)施和簡(jiǎn)單的網(wǎng)絡(luò)構(gòu)建有著重視力度，卻沒(méi)有對(duì)安全信息系統(tǒng)的風(fēng)險(xiǎn)認(rèn)識(shí)足夠，這種情況下必然產(chǎn)生了諸如網(wǎng)絡(luò)安全防御意識(shí)差，對(duì)網(wǎng)絡(luò)信息安全防范的資金投入不足等不良情況的出現(xiàn)。企業(yè)規(guī)模越來(lái)越大，對(duì)企業(yè)安全信息系統(tǒng)的維護(hù)資金投入?yún)s并不高，網(wǎng)絡(luò)安全技術(shù)沒(méi)能及時(shí)加強(qiáng)，電力企業(yè)也就不能很好的抵御網(wǎng)絡(luò)風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)入侵也顯得無(wú)所適從。

1.2 信息化安全資金投入少，管理機(jī)制有待完善

電力企業(yè)對(duì)安全信息網(wǎng)絡(luò)的建設(shè)的重視并不充分，有些電力企業(yè)在管理過(guò)程中對(duì)信息管理部門完全忽視，只是將企業(yè)的網(wǎng)絡(luò)信息安全的管理安排給幾個(gè)技術(shù)員或掛靠到生產(chǎn)技術(shù)部門，電力企業(yè)作為高盈利企業(yè)卻對(duì)信息安全資金投入并不充分，信息化管理制度也很不健全。電力企業(yè)安全信息機(jī)制的構(gòu)建是個(gè)長(zhǎng)期的系統(tǒng)工程，我們必須注意到構(gòu)建專門的信息化部門的重要性，才能在激烈的市場(chǎng)競(jìng)爭(zhēng)中使得電力企業(yè)更好的滿足其發(fā)展體制對(duì)信息化管理的需求。

2 電力企業(yè)安全信息系統(tǒng)的主要問(wèn)題

2.1 信息安全化管理未分區(qū)

國(guó)家電力管理委員會(huì)出臺(tái)的5號(hào)規(guī)定，對(duì)電網(wǎng)企業(yè)、發(fā)電企業(yè)、供電企業(yè)等電力相關(guān)企業(yè)做出了有關(guān)其信息安全網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)構(gòu)建的明確規(guī)定，將這些企業(yè)的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)系統(tǒng)大致分為了管理信息的部分以及生產(chǎn)控制的區(qū)域。信息管理區(qū)域可以依托各個(gè)企業(yè)不同的經(jīng)營(yíng)管理模式對(duì)安全區(qū)進(jìn)行劃分，而生產(chǎn)控制區(qū)域一般來(lái)說(shuō)應(yīng)該由可控制區(qū)和非可控區(qū)兩大部分構(gòu)成。在這樣兩個(gè)大的區(qū)域之間，電力企業(yè)必須在國(guó)家電力監(jiān)測(cè)認(rèn)定部門的監(jiān)督下安裝電力生產(chǎn)專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個(gè)標(biāo)準(zhǔn)對(duì)電力企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理，就經(jīng)常會(huì)出現(xiàn)企業(yè)管理信息大區(qū)部分網(wǎng)絡(luò)直接可以對(duì)生產(chǎn)控制區(qū)域的數(shù)據(jù)進(jìn)行訪問(wèn)，出現(xiàn)網(wǎng)絡(luò)安全事件，影響電力企業(yè)的安全生產(chǎn)和發(fā)展。

2.2 網(wǎng)絡(luò)端口接點(diǎn)存在風(fēng)險(xiǎn)

互聯(lián)網(wǎng)技術(shù)的革新的步伐越來(lái)越快，企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)卻并不牢靠，在部分環(huán)節(jié)仍然十分脆弱，在電力企業(yè)的信息安全網(wǎng)絡(luò)建設(shè)中， Web程序漏洞、系統(tǒng)漏洞不斷出現(xiàn)，對(duì)病毒的侵入無(wú)力抵抗，為黑客、病毒制造者提供了入侵的機(jī)會(huì)，這些信息安全威脅的發(fā)生可能會(huì)引起電力企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的癱瘓和網(wǎng)絡(luò)故障，為企業(yè)造成了這些安全威脅使得企業(yè)利益造成了巨大的損失。在最近的一項(xiàng)調(diào)查數(shù)據(jù)中顯示，電力企業(yè)中遭受到的網(wǎng)絡(luò)安全信息系統(tǒng)威脅中約有70%是由于網(wǎng)絡(luò)系統(tǒng)內(nèi)部的危險(xiǎn)侵襲。這種危害的可能發(fā)現(xiàn)于諸多方面：對(duì)于敏感數(shù)據(jù)的濫用，對(duì)于內(nèi)部員工的信息監(jiān)管不力使得信息泄露都提升了企業(yè)的運(yùn)行風(fēng)險(xiǎn)。

2.3 互聯(lián)網(wǎng)病毒的侵害

從口語(yǔ)傳播時(shí)代到印刷傳播時(shí)代，直至現(xiàn)在的網(wǎng)絡(luò)傳播時(shí)代，互聯(lián)網(wǎng)的高速發(fā)展使得網(wǎng)絡(luò)病毒也迅速得以傳播和擴(kuò)散。諸多的電力企業(yè)網(wǎng)絡(luò)內(nèi)外相連，覆蓋范圍相當(dāng)廣泛，網(wǎng)絡(luò)病毒經(jīng)常可以有機(jī)可乘，牽一發(fā)而動(dòng)全身，從一臺(tái)電腦的病毒侵害到整個(gè)電力網(wǎng)絡(luò)系統(tǒng)，造成網(wǎng)絡(luò)通信的阻塞，使得整個(gè)系統(tǒng)中的文件和關(guān)鍵數(shù)據(jù)得不到完整的保存，造成不可預(yù)計(jì)的后果。

2.4 信息安全人員防范意識(shí)較低

電力企業(yè)信息防范人員對(duì)信息安全應(yīng)用系統(tǒng)的管理是保障信息網(wǎng)絡(luò)安全系統(tǒng)的重要一部分。數(shù)據(jù)庫(kù)操作系統(tǒng)的規(guī)劃和防范都離不開信息安全人員的有力防范，但在如今的電力企業(yè)信息安全系統(tǒng)的管理過(guò)程中，相關(guān)人員防范意識(shí)低下的情況屢屢發(fā)生，由此引發(fā)的網(wǎng)絡(luò)安全漏洞泄露了電力企業(yè)機(jī)密信息，造成了很大的安全隱患，使企業(yè)遭受安全沖擊。用戶的網(wǎng)絡(luò)安全防范意識(shí)低下是現(xiàn)如今網(wǎng)絡(luò)安全的通病，大多數(shù)的用戶都認(rèn)為網(wǎng)絡(luò)自身有著一定的自我安全防范意識(shí)，對(duì)電腦提示的病毒預(yù)警視而不見，電力企業(yè)中也沒(méi)有很好的避免這一點(diǎn)，部分工作人員重技術(shù)輕管理，網(wǎng)絡(luò)安全信息管理機(jī)制的不完善，也給企業(yè)的網(wǎng)絡(luò)帶來(lái)了十分大的管理風(fēng)險(xiǎn)，這就迫切的要求應(yīng)該對(duì)網(wǎng)絡(luò)的安全機(jī)制進(jìn)行完善，也應(yīng)該主動(dòng)自高工作人員自身的安全防范意識(shí)。

3 電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)防御

3.1 防火墻技術(shù)的運(yùn)用

防火墻技術(shù)是現(xiàn)今社會(huì)經(jīng)常用于互聯(lián)網(wǎng)風(fēng)險(xiǎn)防御的重要手段之一，多用于將可信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間相隔開來(lái)。電力企業(yè)的生產(chǎn)經(jīng)營(yíng)和管理的過(guò)程中的運(yùn)行調(diào)度中都應(yīng)該加強(qiáng)在安全檢查中對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的關(guān)注，限制對(duì)含帶危險(xiǎn)信息的領(lǐng)域的訪問(wèn)。電力企業(yè)在生產(chǎn)經(jīng)營(yíng)、分散控制和運(yùn)行調(diào)度的過(guò)程中對(duì)防火墻技術(shù)的運(yùn)用有效的將信息的采集、整合和應(yīng)用都限制在可掌控的范圍內(nèi)，在不同的權(quán)限內(nèi)最大限度的合理的運(yùn)用著相關(guān)資源。

3.2 網(wǎng)絡(luò)病毒侵襲的防護(hù)

電力企業(yè)關(guān)系著國(guó)家重要電力資源的開發(fā)和應(yīng)用，為了保護(hù)電力資源的安全，必須要從內(nèi)到外的構(gòu)建起全方位的網(wǎng)絡(luò)病毒防侵害系統(tǒng)，更好的對(duì)來(lái)自于各個(gè)方面的病毒信息進(jìn)行防護(hù)。只有提高了企業(yè)的整體安全性，在互聯(lián)網(wǎng)和周邊的局域網(wǎng)內(nèi)都安裝好防病毒侵襲的安全網(wǎng)關(guān)和內(nèi)置的病毒防護(hù)軟件，才能使得電力企業(yè)免受網(wǎng)絡(luò)病毒的侵襲，各個(gè)方面的數(shù)據(jù)得以安全與穩(wěn)定的保存。

在電力企業(yè)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)中，對(duì)接入點(diǎn)客戶的安全策略檢測(cè)和身份認(rèn)證都是必不可少的，若不能通過(guò)檢測(cè)的用戶應(yīng)該被嚴(yán)令禁止在網(wǎng)絡(luò)之外進(jìn)行隔離。無(wú)論是無(wú)線用戶還是有限用戶，都將面對(duì)互聯(lián)網(wǎng)訪問(wèn)客戶端從驗(yàn)證、授權(quán)到阻止未授權(quán)的計(jì)算機(jī)網(wǎng)絡(luò)資源的過(guò)程，只有在一系列的檢測(cè)中得到審核通過(guò)才可以拿到進(jìn)入內(nèi)部網(wǎng)絡(luò)的通行證，網(wǎng)絡(luò)病毒越來(lái)越厲害，愈發(fā)侵入性越強(qiáng)，對(duì)此，電力企業(yè)對(duì)客戶端主機(jī)應(yīng)該進(jìn)行更加嚴(yán)密的考察，不間斷的對(duì)病毒特征信息庫(kù)進(jìn)行更新，維護(hù)好網(wǎng)絡(luò)的完整和安全性。

3.3 虛擬網(wǎng)的數(shù)據(jù)備份技術(shù)

互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)置，加之很好的利用交換機(jī)、路由器等功能設(shè)置，可以使網(wǎng)絡(luò)管理員將任何一個(gè)相關(guān)局域網(wǎng)內(nèi)的一些網(wǎng)段結(jié)合起來(lái)，組成一個(gè)局域網(wǎng)。在這個(gè)局域網(wǎng)里的信息傳遞速度更加迅速，傳播速度的加快使得網(wǎng)絡(luò)信息安全生產(chǎn)過(guò)程中的管理效率得到提高，使得電力企業(yè)的數(shù)據(jù)被竊聽的可能性不斷的降低。與此同時(shí)，現(xiàn)在電力企業(yè)在大多數(shù)情況下都會(huì)對(duì)重要的資料進(jìn)行數(shù)據(jù)庫(kù)的備份工作，這樣構(gòu)建起對(duì)電力企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)急預(yù)案，可以在出現(xiàn)網(wǎng)絡(luò)侵襲時(shí)及時(shí)的對(duì)關(guān)鍵業(yè)務(wù)和應(yīng)用程序進(jìn)行保護(hù)，確保核心數(shù)據(jù)系統(tǒng)在出現(xiàn)損害時(shí)，企業(yè)核心安全得到保護(hù)。

3.4 終端設(shè)備的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

可采用基于網(wǎng)關(guān)認(rèn)證的硬件控制技術(shù)，實(shí)現(xiàn)對(duì)通過(guò)無(wú)線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)、wifi網(wǎng)絡(luò)等方式連接的設(shè)備進(jìn)行接入控制。同時(shí)，采用“報(bào)備重定向+注冊(cè)重定向”的雙重認(rèn)證保護(hù)技術(shù)，對(duì)非法接入的終端設(shè)備進(jìn)行強(qiáng)制重定向安全檢查。對(duì)不符合安全等級(jí)要求的終端設(shè)備，可根據(jù)系統(tǒng)策略限制用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問(wèn)限制在隔離區(qū)。

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)應(yīng)以細(xì)致、準(zhǔn)確、迅速為原則，對(duì)網(wǎng)絡(luò)資源訪問(wèn)進(jìn)行控制，尤其是一些核心的網(wǎng)絡(luò)應(yīng)用，包括C/S、B/S以及服務(wù)器應(yīng)用；以精益化的客戶端聯(lián)動(dòng)管理為核心，基于多種授權(quán)方式，包括單用戶授權(quán)、用戶組授權(quán)、白名單授權(quán)等方式，實(shí)現(xiàn)對(duì)未受控客戶端實(shí)施不同用戶級(jí)別的可靠便捷的接入控制。

4 結(jié)論

電力企業(yè)的安全信息系統(tǒng)是電力企業(yè)信息化管理的重要內(nèi)容之一，有效的對(duì)電力企業(yè)安全信息系統(tǒng)將要面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估并且提出切實(shí)可行的防御措施，是保障電力企業(yè)現(xiàn)代化管理的有力手段。隨著近些年來(lái)互聯(lián)網(wǎng)技術(shù)的增強(qiáng)，電力企業(yè)的安全系統(tǒng)構(gòu)建也愈發(fā)的完善，為電力企業(yè)的良性循環(huán)運(yùn)行提供了必要的技術(shù)支持和保障，因此，我們應(yīng)該重視對(duì)互聯(lián)網(wǎng)信息的保護(hù)，防御病毒的侵害，為為電力企業(yè)的安全信息系統(tǒng)的正常運(yùn)行營(yíng)造起安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]陳偉.電力系統(tǒng)網(wǎng)絡(luò)安全體系研究[J].電力系統(tǒng)通信，2008（01）.

[2]牟奕欣.關(guān)于電力系統(tǒng)的網(wǎng)絡(luò)安全的探討[J].中國(guó)經(jīng)貿(mào)，2010（14）.

第6篇

關(guān)鍵詞：電力安全；施工；安全管理；應(yīng)用；

中圖分類號(hào)：V351.31 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-3520（2014）-04-00233-01

前言：隨著電力企業(yè)的不斷發(fā)展，安全生產(chǎn)已經(jīng)成為電力企業(yè)長(zhǎng)足發(fā)展、基業(yè)長(zhǎng)青的重要保障。我國(guó)的電力安全管理從最初的事后管理和缺陷管理逐步走向安全風(fēng)險(xiǎn)管理，發(fā)生了質(zhì)的飛躍。安全生產(chǎn)管理將電力生產(chǎn)過(guò)程中的安全隱患及時(shí)的消除，起到了防患于未然的作用。文章中筆者從電力安全風(fēng)險(xiǎn)管理措施進(jìn)行了簡(jiǎn)要的介紹，對(duì)電力安全生產(chǎn)工作的順利展開具有重要的意義，確保電力安全生產(chǎn)的可靠性和經(jīng)濟(jì)性以及社會(huì)性。

一、電力安全風(fēng)險(xiǎn)等級(jí)簡(jiǎn)介

電力安全等級(jí)管理的事后管理、缺陷管理以及風(fēng)險(xiǎn)管理的理論基礎(chǔ)是事故理論、危險(xiǎn)理論以及風(fēng)險(xiǎn)理論。在長(zhǎng)期的工作和事故研究過(guò)程中發(fā)現(xiàn)電力安全事故發(fā)生的瞬間包括了人和物的不安全狀態(tài)。研究結(jié)果表明為了防止電力安全事故的發(fā)生應(yīng)該從人和物兩個(gè)方面入手，可以從安全風(fēng)險(xiǎn)評(píng)估來(lái)進(jìn)行電力風(fēng)險(xiǎn)等級(jí)的評(píng)價(jià)。

二、電力工程施工安全組織措施

（一）電力工程施工現(xiàn)場(chǎng)安全電力的組織措施。1、為了保證電力工程施工現(xiàn)場(chǎng)的安全管理，施工單位應(yīng)做好組織措施。首先，應(yīng)該建立一個(gè)組織結(jié)構(gòu)，并且配備專職的安全工程師進(jìn)行施工現(xiàn)場(chǎng)的安全管理，并且應(yīng)明確職責(zé)范圍，有效保證安全管理質(zhì)量。第二，建設(shè)單位應(yīng)該建立一個(gè)專職的安全機(jī)構(gòu)，來(lái)檢查和督促施工單位進(jìn)行安全生產(chǎn)；第三，監(jiān)理單位應(yīng)該督促施工單位建立健全安全責(zé)任制度和群防群治制度，并且應(yīng)該按時(shí)檢查專職安全人員的工作情況；第四，相關(guān)單位有權(quán)建議調(diào)離不稱職的安全觀管理人員，并幫助施工單位聘任合格的安全管理人員，進(jìn)一步保證施工現(xiàn)場(chǎng)的安全。2、在進(jìn)行施工現(xiàn)場(chǎng)的安全管理時(shí)首先應(yīng)該設(shè)定合理的安全控制目標(biāo)。然后從目標(biāo)的確定到目標(biāo)的開展以及目標(biāo)的完成三個(gè)方面來(lái)進(jìn)行。為了進(jìn)一步加大施工現(xiàn)場(chǎng)的安全管理力度，應(yīng)定期組織相關(guān)人員開展現(xiàn)場(chǎng)文明、安全例會(huì)，并且要做好會(huì)議記錄，并以書面形式上交給項(xiàng)目參與方，來(lái)加強(qiáng)現(xiàn)場(chǎng)管理的水平，提高施工現(xiàn)場(chǎng)的安全管理質(zhì)量。可以通過(guò)明確安全管理職責(zé)，加強(qiáng)安全管理手段以及制定施工安全應(yīng)急預(yù)案等來(lái)進(jìn)行安全管理。通過(guò)落實(shí)安全生產(chǎn)責(zé)任制，制定合理的獎(jiǎng)懲制度，定期不定期的組織安全檢查，并對(duì)安全管理人員進(jìn)行績(jī)效考核。除此之外，還應(yīng)加大對(duì)施工現(xiàn)場(chǎng)安全管理的力度，嚴(yán)懲違章作業(yè)行為。再次，安全管理的原則應(yīng)該是預(yù)防為主，因此應(yīng)做好安全應(yīng)急預(yù)案，來(lái)盡量減小發(fā)生安全事故時(shí)的損失。3、要保證施工現(xiàn)場(chǎng)安全監(jiān)理工作的有效性，就應(yīng)建立健全安全管理制度。通過(guò)安全管理制度來(lái)推動(dòng)施工安全管理的順利開展，為項(xiàng)目的安全提供保障。為了確保電力工程施工現(xiàn)場(chǎng)的安全得到有效控制，要加強(qiáng)對(duì)工程安全管理的重視程度，并落實(shí)責(zé)任制度。這就要求全面落實(shí)責(zé)任制度，對(duì)施工工程中出現(xiàn)的質(zhì)量問(wèn)題層層的落實(shí)下去。只有建立嚴(yán)格的責(zé)任制度并將其落實(shí)，才能有效的控制電力工程施工現(xiàn)場(chǎng)的安全。

（二）施工現(xiàn)場(chǎng)安全管理的技術(shù)措施。技術(shù)措施是進(jìn)行施工現(xiàn)場(chǎng)安全管理的一個(gè)重要手段。為了保證施工現(xiàn)場(chǎng)安全，監(jiān)理單位應(yīng)該全力配合承包單位根據(jù)具體的施工技術(shù)、施工工藝制定合理的安全技術(shù)措施，并嚴(yán)格審查施工方案以及施工組織設(shè)計(jì)的安全性和可行性。除此之外，為了更好的保證施工現(xiàn)場(chǎng)的安全，監(jiān)理單位應(yīng)協(xié)助承包單位嚴(yán)格按照安全技術(shù)規(guī)程和標(biāo)準(zhǔn)進(jìn)行施工。

（三）安全風(fēng)險(xiǎn)等級(jí)評(píng)估管理系統(tǒng)設(shè)計(jì)的內(nèi)容。第一，系統(tǒng)設(shè)計(jì)的內(nèi)容之一就是生產(chǎn)環(huán)境的設(shè)計(jì)。在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)需要對(duì)可能造成安全風(fēng)險(xiǎn)的環(huán)境進(jìn)行評(píng)估，比如說(shuō)不合理的電力設(shè)施的結(jié)構(gòu)設(shè)計(jì)、不正確的電力控制機(jī)構(gòu)的狀態(tài)等都可能造成電力生產(chǎn)人員的安全事故，并對(duì)電力生產(chǎn)環(huán)境的現(xiàn)場(chǎng)以及操作過(guò)程中的安全防范措施進(jìn)行有效的評(píng)估。第二，需要對(duì)機(jī)具以及防護(hù)部分進(jìn)行設(shè)計(jì)。這就要求安全風(fēng)險(xiǎn)等級(jí)評(píng)估管理系統(tǒng)對(duì)生產(chǎn)使用的機(jī)具以及防護(hù)措施的性能、保管、管理、配備以及使用等可能造成生產(chǎn)人員安全事故的方面進(jìn)行有效的評(píng)估。第三，對(duì)電力施工生產(chǎn)現(xiàn)場(chǎng)進(jìn)行管理，要求從生產(chǎn)人員的操作以及施工現(xiàn)場(chǎng)的安全管理措施、規(guī)章制度以及安全事故的應(yīng)急措施等方面進(jìn)行有效的評(píng)估。可以從以下四個(gè)方面進(jìn)行：（1）為了保證電力工程施工安全降低風(fēng)險(xiǎn)，應(yīng)做好組織措施。首先，應(yīng)該建立一個(gè)組織結(jié)構(gòu)；第二，應(yīng)該建立一個(gè)專職的安全機(jī)構(gòu)，來(lái)降低電力工程施工安全風(fēng)險(xiǎn)；第三，施工單位建立健全安全責(zé)任制度和群防群治制度，并且應(yīng)該按時(shí)檢查專職安全人員的工作情況。（2）電力施工工程安全風(fēng)險(xiǎn)管理時(shí)首先應(yīng)該設(shè)定合理的安全控制目標(biāo)。然后從目標(biāo)的確定到目標(biāo)的開展以及目標(biāo)的完成三個(gè)方面來(lái)進(jìn)行。為了進(jìn)一步降低施工風(fēng)險(xiǎn)，應(yīng)定期組織相關(guān)人員開展現(xiàn)場(chǎng)文明、安全例會(huì)，可以通過(guò)明確安全管理職責(zé)，加強(qiáng)安全管理手段以及制定施工安全應(yīng)急預(yù)案等來(lái)進(jìn)行安全管理。通過(guò)落實(shí)安全生產(chǎn)責(zé)任制，制定合理的獎(jiǎng)懲制度，定期不定期的組織安全檢查，并對(duì)安全管理人員進(jìn)行績(jī)效考核。（3）在進(jìn)行電力工程施工現(xiàn)場(chǎng)安全管理工作，建立健全安全管理制度。通過(guò)安全管理制度來(lái)推動(dòng)施工安全管理的順利開展，為項(xiàng)目的安全提供保障。為了確保電力工程施工現(xiàn)場(chǎng)的安全得到有效控制，領(lǐng)導(dǎo)要加強(qiáng)對(duì)工程安全管理的重視程度，并落實(shí)責(zé)任制度。

三、結(jié)束語(yǔ)：

文章中筆者結(jié)合多年的工作經(jīng)驗(yàn)對(duì)電力安全風(fēng)險(xiǎn)等級(jí)及電力施工安全管理進(jìn)行了分析和探討，通過(guò)安全風(fēng)險(xiǎn)等級(jí)評(píng)估系統(tǒng)的建立對(duì)電力安全事故進(jìn)行有效的控制，并進(jìn)行事前的防范和事后控制。風(fēng)險(xiǎn)等級(jí)評(píng)估管理系統(tǒng)的應(yīng)用可以實(shí)現(xiàn)電力安全的全面管理，提高安全風(fēng)險(xiǎn)管理的可靠性和安全性，并達(dá)到未雨綢繆的效果。

參考文獻(xiàn)：

【1】關(guān)宇. 電力安全管理中的問(wèn)題以及風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)[J]. 科技創(chuàng)新與應(yīng)用，2013，27：167.

【2】武彬，張玉清，毛劍. 信息安全風(fēng)險(xiǎn)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程，2007，21：134-136+139.

第7篇

 

信息產(chǎn)業(yè)的迅猛發(fā)展，使得信息化技術(shù)成為社會(huì)發(fā)展的必要組成部分，信息化技術(shù)為國(guó)民經(jīng)濟(jì)的發(fā)展注入了新鮮的活力，更加速了國(guó)名經(jīng)濟(jì)的發(fā)展和人民生活水平的提高。當(dāng)然，人們?cè)谙硎苄畔⒓夹g(shù)帶來(lái)的巨大便利時(shí)，也面臨著各種信息安全問(wèn)題帶來(lái)的威脅。這種信息安全事件帶來(lái)的影響是惡劣的，它將造成巨大的財(cái)產(chǎn)損失和信息系統(tǒng)的損害。因此，信息系統(tǒng)的安全問(wèn)題不得不引起社會(huì)和民眾的關(guān)注，完善信息系統(tǒng)的安全性，加強(qiáng)信息安全的風(fēng)險(xiǎn)評(píng)估成為亟待解決的問(wèn)題。

 

1 信息安全風(fēng)險(xiǎn)評(píng)估概述及必要性

 

1.1 信息安全風(fēng)險(xiǎn)評(píng)估概述

 

首先，信息安全風(fēng)險(xiǎn)，主要是指人為或自然的利用信息系統(tǒng)脆弱性操作威脅信息系統(tǒng)，以導(dǎo)致信息系統(tǒng)發(fā)生安全事件或造成一定消極影響的可能。而信息安全風(fēng)險(xiǎn)評(píng)估簡(jiǎn)單的理解，就是以減少信息安全風(fēng)險(xiǎn)為目的通過(guò)科學(xué)處理信息系統(tǒng)的方法對(duì)信息系統(tǒng)的保密性、完整性進(jìn)行評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估工作是一項(xiàng)保證信息系統(tǒng)相對(duì)安全的重要工作，必須科學(xué)的對(duì)信息系統(tǒng)的生命周期進(jìn)行評(píng)估，最大限度的保障網(wǎng)絡(luò)和信息的安全。

 

1.2 信息安全風(fēng)險(xiǎn)評(píng)估的必要性

 

信息安全評(píng)估是為了更好的保障信息系統(tǒng)的安全，以確保對(duì)信息化技術(shù)的正常使用。信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全管理的必要和關(guān)鍵的環(huán)節(jié)，因?yàn)樾畔⑾到y(tǒng)的安全管理必須建立在科學(xué)的風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上，科學(xué)的風(fēng)險(xiǎn)評(píng)估有利于正確判斷信息系統(tǒng)的安全風(fēng)險(xiǎn)問(wèn)題，提供風(fēng)險(xiǎn)問(wèn)題的及時(shí)解決方案。

 

2 信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程及方法

 

信息安全風(fēng)險(xiǎn)的評(píng)估過(guò)程極其復(fù)雜和規(guī)范。為了加強(qiáng)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開展，這里有必要對(duì)風(fēng)險(xiǎn)評(píng)估的過(guò)程和方法給予提示和借鑒。風(fēng)險(xiǎn)評(píng)估的過(guò)程要求完整而準(zhǔn)確。具體有如下步驟：

 

1)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備工作，即要確定信息系統(tǒng)資產(chǎn)，包含范圍、價(jià)值、評(píng)估團(tuán)隊(duì)、評(píng)估依據(jù)和方法等方面。要明確好這些資產(chǎn)信息，做好識(shí)別。2)對(duì)資產(chǎn)的脆弱性及威脅的識(shí)別工作，這是由于信息系統(tǒng)存在脆弱性的特點(diǎn)，所以要周密分析信息系統(tǒng)的脆弱點(diǎn)，統(tǒng)計(jì)分析信息系統(tǒng)發(fā)生威脅事件的可能性以及可能造成的損失。3)安全風(fēng)險(xiǎn)分析，這是較為重要的環(huán)節(jié)。主要是采用方法與工具確定威脅利用信息系統(tǒng)脆弱性導(dǎo)致安全事件發(fā)生的可能性，便于決策的提出。4)制定安全控制措施，主要有針對(duì)性的制定出控制威脅發(fā)生的措施，并確認(rèn)措施的有效性，最大限度的降低安全風(fēng)險(xiǎn)，確保信息系統(tǒng)的安全。5)措施實(shí)施的階段，主要是在有效監(jiān)督下實(shí)施安全措施，并及時(shí)發(fā)現(xiàn)問(wèn)題和改正。

 

對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估的方法，國(guó)內(nèi)外進(jìn)行了很多不同的方法嘗試。方法一般都遵循風(fēng)險(xiǎn)評(píng)估的流程，只是在手段和計(jì)算方法上有差異，但是分別都有一定的評(píng)估效果。主要采用：定性評(píng)估、定量評(píng)估、以及定性與定量相結(jié)合的評(píng)估，最后的方法是一個(gè)互補(bǔ)的評(píng)估方式，能達(dá)到評(píng)估的最佳效果。

 

3 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展現(xiàn)狀

 

較美國(guó)等西方國(guó)家關(guān)于信息安全系統(tǒng)風(fēng)險(xiǎn)評(píng)估的發(fā)展歷史和技術(shù)研究，我國(guó)起步比較晚且落后于發(fā)達(dá)國(guó)家。但近年來(lái)，隨著社會(huì)各界對(duì)信息系統(tǒng)安全的重視，我國(guó)開始在信息系統(tǒng)安全管理工作上加大力度，并把信息系統(tǒng)的安全評(píng)估工作放在重要的位置，不斷創(chuàng)新研究，取得了高效成果。但是，就我國(guó)目前的信息安全風(fēng)險(xiǎn)評(píng)估工作看來(lái)，還存在諸多問(wèn)題。

 

1)我國(guó)部分企業(yè)、組織和部門對(duì)于信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估沒(méi)有引起絕對(duì)的重視，沒(méi)有大力普及風(fēng)險(xiǎn)評(píng)估工作。由于領(lǐng)導(dǎo)者及員工的信息安全防范意識(shí)不強(qiáng)以及自身素質(zhì)水平的影響，導(dǎo)致對(duì)風(fēng)險(xiǎn)評(píng)估的流程及必要性都不了解，就不太重視對(duì)企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作。

 

2)我國(guó)缺乏信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的規(guī)范化標(biāo)準(zhǔn)。我國(guó)目前的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的開展，大部分依靠參考國(guó)際標(biāo)準(zhǔn)提供服務(wù)，只注重效仿，而缺乏對(duì)我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)的實(shí)際狀況的研究，沒(méi)有針對(duì)性，得不到應(yīng)有的效果。

 

3)我國(guó)缺乏行之有效的理論和技術(shù)，也缺乏實(shí)踐的經(jīng)驗(yàn)。由于科技水平的相對(duì)落后，對(duì)于信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估缺乏合適的理論、方法、技術(shù)等。我國(guó)僅依靠深化研究IT技術(shù)共性風(fēng)險(xiǎn)，而沒(méi)有針對(duì)性的行業(yè)信息個(gè)性風(fēng)險(xiǎn)評(píng)估，這是沒(méi)有聯(lián)系實(shí)際的舉措，是不能真正將信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估落實(shí)到位的。

 

4)在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)的額評(píng)估中角色的責(zé)任不明確。這應(yīng)該歸咎于領(lǐng)導(dǎo)的和員工的不符責(zé)任及素質(zhì)水平的落后。對(duì)風(fēng)險(xiǎn)評(píng)估理論缺乏，那么就會(huì)導(dǎo)致參與評(píng)估工作領(lǐng)導(dǎo)和員工角色不明確，領(lǐng)導(dǎo)對(duì)評(píng)估工作的指導(dǎo)角色以及責(zé)任不明確，員工則對(duì)評(píng)估工作流程方法不理解，都大大降低了風(fēng)險(xiǎn)評(píng)估的工作效率。

 

以上種種關(guān)于信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀問(wèn)題反映出我國(guó)在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的工作還缺乏很多理論和實(shí)踐的指導(dǎo)。我國(guó)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的開展力度還遠(yuǎn)不夠，那些在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的成果還遠(yuǎn)遠(yuǎn)達(dá)不到評(píng)估工作的標(biāo)準(zhǔn)。

 

4 強(qiáng)化信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策

 

4.1 加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的重視

 

信息化技術(shù)對(duì)于每一個(gè)企事業(yè)單位都是至關(guān)重要的，企業(yè)在對(duì)工作任務(wù)的執(zhí)行和管理中都必須用到信息化技術(shù)，因此，保證信息系統(tǒng)的安全性對(duì)于企業(yè)的發(fā)展至關(guān)重要。企業(yè)、組織和部門要加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的重視，強(qiáng)化風(fēng)險(xiǎn)意識(shí)，將信息安全風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)長(zhǎng)期的工作來(lái)開展。

 

4.2 完善我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的規(guī)范化標(biāo)準(zhǔn)

 

上文中指出我國(guó)目前的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作大部分依靠國(guó)際標(biāo)準(zhǔn)在進(jìn)行，國(guó)內(nèi)沒(méi)有一個(gè)統(tǒng)一的評(píng)估標(biāo)準(zhǔn)。因此，我國(guó)應(yīng)該根據(jù)企業(yè)各種標(biāo)準(zhǔn)的側(cè)重點(diǎn)，自主創(chuàng)新研究，創(chuàng)造出自己的標(biāo)準(zhǔn)技術(shù)體系，而不再一味的去效仿他國(guó)。只有這樣，我國(guó)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估才能得到迅猛的提高與發(fā)展，才能保證國(guó)家信息化的安全。

 

4.3 加強(qiáng)對(duì)評(píng)估專業(yè)人才的培養(yǎng)

 

信息化技術(shù)是一項(xiàng)非常專業(yè)的技術(shù)，只有擁有專業(yè)知識(shí)和技能的高科技人才才能控制和把握。信息安全風(fēng)險(xiǎn)的評(píng)估工作上則更需要擁有專業(yè)技能和業(yè)務(wù)水平的人才，他們必須對(duì)信息化技術(shù)相當(dāng)了解和精通，對(duì)風(fēng)險(xiǎn)評(píng)估的方法、手段、模型、流程必須熟練。因此，企事業(yè)單位要加強(qiáng)對(duì)專業(yè)人才的培養(yǎng)，定期進(jìn)行業(yè)務(wù)技能培訓(xùn)，鼓勵(lì)人才的自主學(xué)習(xí)，不斷提高自身的能力，為確保企業(yè)信息安全評(píng)估工作的高效發(fā)展及信息安全貢獻(xiàn)力量。

 

4.4 加強(qiáng)科技創(chuàng)新，增強(qiáng)評(píng)估的可操作性

 

我國(guó)的科技水平較西方國(guó)家有很大的差距，因此在對(duì)信息安全風(fēng)險(xiǎn)的評(píng)估工作中，也存在理論和技術(shù)上的差距。我國(guó)應(yīng)該不斷的加強(qiáng)科研力度，在理論和技術(shù)上加以完善，在評(píng)估工具上改進(jìn)，以確保評(píng)估工作的高效開展。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是一個(gè)過(guò)程體系，必須抓好每一環(huán)節(jié)的技術(shù)性，在依據(jù)實(shí)際狀況下進(jìn)行風(fēng)險(xiǎn)評(píng)估。

 

4.5 明確評(píng)估工作的職責(zé)劃分

 

信息安全風(fēng)險(xiǎn)評(píng)估工作是復(fù)雜的，每一個(gè)流程都需要投入一定的人力、物力和財(cái)力。針對(duì)人力這一方面，企業(yè)單位應(yīng)該明確劃分評(píng)估工作人員的職責(zé)范圍，管理者要發(fā)揮好領(lǐng)導(dǎo)監(jiān)督作用，有效指導(dǎo)評(píng)估工作的開展，員工則有效發(fā)揮自身的作用和能力。進(jìn)而在每一環(huán)節(jié)工作人員共同協(xié)作下，完成評(píng)估工作的各項(xiàng)流程，并達(dá)到預(yù)期的成效。

 

5 結(jié)束語(yǔ)

 

隨著我國(guó)信息技術(shù)水平不斷的進(jìn)步和提高，信息安全工作成為一項(xiàng)必須引起高度重視的工作之一。在當(dāng)前我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估還不夠全面和科學(xué)的情況下，我國(guó)應(yīng)該加強(qiáng)科技創(chuàng)新，依靠科學(xué)有效的管理以及綜合規(guī)范的保障手段，在借鑒西方國(guó)家先進(jìn)理論和技術(shù)的同時(shí)結(jié)合我國(guó)企業(yè)單位信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)際現(xiàn)狀，有針對(duì)性的實(shí)施有效方法，確保信息系統(tǒng)的安全性，進(jìn)而保證我國(guó)信息化的安全發(fā)展。

第8篇

根據(jù)以往學(xué)者研究及實(shí)踐表明，對(duì)計(jì)算機(jī)信息安全保障的工作可歸納為安全管理、安全組織以及安全技術(shù)等三方面的體系建設(shè)。而確保其保障工作的順利展開需以信息安全的風(fēng)險(xiǎn)評(píng)估作為核心內(nèi)容。因此對(duì)風(fēng)險(xiǎn)評(píng)估的作用主要體現(xiàn)在：首先，信息安全保障需以風(fēng)險(xiǎn)評(píng)估作為基礎(chǔ)。對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估過(guò)程多集中在對(duì)系統(tǒng)所面臨的安全性、可靠性等方面的風(fēng)險(xiǎn)，并在此基礎(chǔ)上做出相應(yīng)的防范、控制、轉(zhuǎn)移以及分散等策略。其次，信息安全風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)評(píng)估是重要環(huán)節(jié)。從《信息安全管理系統(tǒng)要求》中不難發(fā)現(xiàn)，對(duì)ISMS的建立、實(shí)施以及維護(hù)等方面都應(yīng)充分發(fā)揮風(fēng)險(xiǎn)評(píng)估的作用。最后，風(fēng)險(xiǎn)評(píng)估的核查作用。驗(yàn)收信息系統(tǒng)設(shè)計(jì)安裝等是否滿足安全標(biāo)準(zhǔn)時(shí)，風(fēng)險(xiǎn)評(píng)估可提供具體的數(shù)據(jù)參考。同時(shí)在維護(hù)信息系統(tǒng)貴過(guò)程中，通過(guò)風(fēng)險(xiǎn)評(píng)估也可將系統(tǒng)對(duì)環(huán)境變化的適應(yīng)能力以及相關(guān)的安全措施進(jìn)行核查。若出現(xiàn)信息系統(tǒng)出現(xiàn)故障問(wèn)題時(shí)，風(fēng)險(xiǎn)評(píng)估又可對(duì)其中的風(fēng)險(xiǎn)作出分析并采取相應(yīng)的技術(shù)或管理措施。

二、計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估方法分析

（一）以定性與定量為主的評(píng)估方法。

計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法中應(yīng)用較為廣泛的主要為定性評(píng)估方式，其分析內(nèi)容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進(jìn)行表示如高值、中值以及低值等。但這種方式無(wú)法將風(fēng)險(xiǎn)的大小作出正確判斷。另外定量分析方法對(duì)威脅事件發(fā)生的可能性與其所造成的損失評(píng)估時(shí)，首先會(huì)對(duì)特定資產(chǎn)價(jià)值進(jìn)行分析，再以客觀數(shù)據(jù)為依據(jù)對(duì)威脅頻率進(jìn)行計(jì)算，當(dāng)完成威脅影響系數(shù)的計(jì)算后，便將三者綜合分析，最終推出計(jì)算風(fēng)險(xiǎn)的等級(jí)。

（二）以知識(shí)和模型為基礎(chǔ)的風(fēng)險(xiǎn)評(píng)估。

以知識(shí)為基礎(chǔ)的風(fēng)險(xiǎn)評(píng)估通常會(huì)根據(jù)安全專家的評(píng)估經(jīng)驗(yàn)為依據(jù)，優(yōu)勢(shì)在于風(fēng)險(xiǎn)評(píng)估的結(jié)構(gòu)框架、實(shí)施計(jì)劃以及保護(hù)措施可被提供，對(duì)較為相似的機(jī)構(gòu)可直接利用以往的保護(hù)措施等便可實(shí)現(xiàn)機(jī)構(gòu)安全風(fēng)險(xiǎn)的降低。另外以模型為基礎(chǔ)的評(píng)估方式可將計(jì)算機(jī)信息系統(tǒng)自身的風(fēng)險(xiǎn)及其與外部環(huán)境交互過(guò)程中存在的不利因素等進(jìn)行分析，以此實(shí)現(xiàn)對(duì)系統(tǒng)安全風(fēng)險(xiǎn)的定性評(píng)估。

（三）動(dòng)態(tài)評(píng)估與分析方式。

計(jì)算信息系統(tǒng)風(fēng)險(xiǎn)管理實(shí)際又可理解為信息安全管理的具體過(guò)程，一般會(huì)將信息安全方針的制定、風(fēng)險(xiǎn)的評(píng)估與控制、控制方式的選擇等內(nèi)容包含在內(nèi)。整個(gè)評(píng)估與分析方式具有一定的動(dòng)態(tài)特征，以PDCA為典型代表，其計(jì)劃、實(shí)施、檢查以及改進(jìn)實(shí)現(xiàn)了對(duì)風(fēng)險(xiǎn)的動(dòng)態(tài)管理。

（四）典型風(fēng)險(xiǎn)評(píng)估與差距分析方法分析。

典型風(fēng)險(xiǎn)評(píng)估主要包括FTA、FMECA、Hazop等方法，對(duì)計(jì)算機(jī)信息系統(tǒng)設(shè)計(jì)中潛在的故障與薄弱之處，都可提出相應(yīng)的解決措施，以FTA故障樹分析為典型代表，在分析家算計(jì)信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識(shí)別、判斷以及具體分析的方式對(duì)系統(tǒng)的安全要求與當(dāng)前的系統(tǒng)現(xiàn)狀存在的差距進(jìn)行系統(tǒng)風(fēng)險(xiǎn)的確定，存在的差距越大則證明存在的風(fēng)險(xiǎn)越大。

三、結(jié)論

第9篇

1.1需求分析

通過(guò)德爾菲法、訪談法、SWOT分析等風(fēng)險(xiǎn)管理技術(shù)，向?qū)W院各職能部門和其它渠道收集風(fēng)險(xiǎn)信息，分類總結(jié)，然后列出風(fēng)險(xiǎn)系統(tǒng)開發(fā)的大功能模塊，每個(gè)大功能模塊有哪些小功能模塊；描述實(shí)現(xiàn)具體模塊所涉及到的主要算法、數(shù)據(jù)結(jié)構(gòu)、類的層次結(jié)構(gòu)及調(diào)用關(guān)系，需要說(shuō)明軟件系統(tǒng)各個(gè)層次中每個(gè)模塊或子程序的設(shè)計(jì)考慮，以便進(jìn)行編碼測(cè)試。系統(tǒng)平臺(tái)可以實(shí)現(xiàn)以下功能：自動(dòng)輸出風(fēng)險(xiǎn)評(píng)估報(bào)告和建議報(bào)告，有效監(jiān)控預(yù)防風(fēng)險(xiǎn)；對(duì)風(fēng)險(xiǎn)進(jìn)行定量分析，實(shí)現(xiàn)以圖表直觀形式輸出顯示，并展示相應(yīng)的數(shù)據(jù)指標(biāo)；用戶以個(gè)人賬戶或部門賬戶，登錄到風(fēng)險(xiǎn)評(píng)估輸入列表，選擇相應(yīng)的職能部門、行業(yè)類型、風(fēng)險(xiǎn)級(jí)別指標(biāo)、以問(wèn)答的形式選擇相應(yīng)的內(nèi)置風(fēng)險(xiǎn)條目，根據(jù)登陸權(quán)限，可自擬增加、刪除風(fēng)險(xiǎn)條目；可實(shí)現(xiàn)日常工作重要環(huán)節(jié)和重點(diǎn)風(fēng)險(xiǎn)過(guò)程的時(shí)間提醒功能，通過(guò)手機(jī)短信或網(wǎng)頁(yè)提示窗提示等手段，提醒重點(diǎn)工作的正常開展，防范工作疏忽引起的風(fēng)險(xiǎn)；風(fēng)險(xiǎn)級(jí)別指標(biāo)制定，可參考相應(yīng)的國(guó)家或行業(yè)標(biāo)準(zhǔn)，也可自擬；系統(tǒng)平臺(tái)內(nèi)有評(píng)估標(biāo)準(zhǔn)，根據(jù)評(píng)估標(biāo)準(zhǔn)設(shè)計(jì)評(píng)估模型，利用評(píng)估模型對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行評(píng)估，得出評(píng)估結(jié)果供風(fēng)險(xiǎn)決策者參考；校領(lǐng)導(dǎo)和各職能部門負(fù)責(zé)人可根據(jù)管理權(quán)限查詢相應(yīng)的風(fēng)險(xiǎn)數(shù)據(jù)；B/S架構(gòu)，實(shí)現(xiàn)新聞即時(shí)，可及時(shí)更新各高校風(fēng)險(xiǎn)管理中的經(jīng)驗(yàn)交流文章、理論知識(shí)。

1.2程序編碼實(shí)現(xiàn)

開始具體的編寫程序工作，分別實(shí)現(xiàn)各模塊的功能，從而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的功能、性能、接口、界面等方面的要求；開發(fā)過(guò)程中，邊開發(fā)邊測(cè)試，系統(tǒng)完工后，通過(guò)內(nèi)部外部測(cè)試、模塊測(cè)試、整體聯(lián)調(diào)等測(cè)試方法，驗(yàn)證系統(tǒng)的整體穩(wěn)定性，不斷完善。

1.3具體應(yīng)用

軟件開發(fā)完成，做成相關(guān)的技術(shù)文檔，系統(tǒng)上線；在具體應(yīng)用中發(fā)現(xiàn)問(wèn)題及時(shí)登記到問(wèn)題記錄冊(cè)，反饋到開發(fā)人員，為以后的系統(tǒng)平臺(tái)升級(jí)提供依據(jù)。

2平臺(tái)功能模塊

信息安全風(fēng)險(xiǎn)評(píng)估平臺(tái)的開發(fā)環(huán)境為/MSSQL，基于SOA軟件系統(tǒng)架構(gòu)解決學(xué)院各信息系統(tǒng)集成，通過(guò)PDCA循環(huán)模型具體實(shí)施。信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)平臺(tái)建設(shè)主要包括評(píng)估公告、用戶管理、指標(biāo)設(shè)置、綜合評(píng)估、綜合查詢、報(bào)表系統(tǒng)，數(shù)據(jù)導(dǎo)出七大模塊。

2.1評(píng)估公告模塊

評(píng)估公告模塊實(shí)現(xiàn)新聞即時(shí)，可及時(shí)更新各高校風(fēng)險(xiǎn)管理中的經(jīng)驗(yàn)交流文章、理論知識(shí)；可實(shí)現(xiàn)日常工作重要環(huán)節(jié)和重點(diǎn)風(fēng)險(xiǎn)過(guò)程的時(shí)間提醒功能，提醒重點(diǎn)工作的正常開展，防范工作疏忽引起的信息系統(tǒng)風(fēng)險(xiǎn)。

2.2用戶管理模塊

用戶管理模塊的功能是管理用戶信息，主要包括用戶的用戶名、密碼和權(quán)限，同時(shí)支持顯示所有注冊(cè)用戶信息和刪除用戶功能；模塊可以添加系統(tǒng)管理員、評(píng)估人和評(píng)估單位，評(píng)估人員可以設(shè)置不同的權(quán)限，限制評(píng)估范圍；用戶以個(gè)人賬戶或部門賬戶，登錄到風(fēng)險(xiǎn)評(píng)估輸入列表，選擇相應(yīng)的職能部門、行業(yè)類型、風(fēng)險(xiǎn)級(jí)別指標(biāo)、以問(wèn)答的形式選擇相應(yīng)的內(nèi)置風(fēng)險(xiǎn)條目；不同的用戶登錄系統(tǒng)顯示的模塊不一樣，根據(jù)登陸權(quán)限，可自擬增加、刪除風(fēng)險(xiǎn)條目。

3.3指標(biāo)設(shè)置模塊

指標(biāo)設(shè)置模塊主要是依據(jù)國(guó)家有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)，實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的指標(biāo)體系設(shè)置，劃分兩級(jí)指標(biāo)細(xì)化評(píng)估體系，一級(jí)指標(biāo)劃分為信息資產(chǎn)、威脅性、脆弱性，二級(jí)指標(biāo)從硬件、軟件、風(fēng)險(xiǎn)識(shí)別等細(xì)化指標(biāo)體系；實(shí)現(xiàn)指標(biāo)庫(kù)的設(shè)置，可以分配不同的被評(píng)估單位相應(yīng)的評(píng)價(jià)指標(biāo)。

2.4綜合評(píng)估模塊

綜合評(píng)估模塊包括評(píng)估列表、評(píng)估歷史。評(píng)估列表顯示所有被評(píng)估單位，某一單位用戶登錄以后，系統(tǒng)自動(dòng)調(diào)用相應(yīng)的指標(biāo)庫(kù)，回答相應(yīng)的信息系統(tǒng)安全問(wèn)題，系統(tǒng)自動(dòng)給出指標(biāo)分?jǐn)?shù)；評(píng)估歷史是不同的賬戶登錄，顯示的列表不同，管理員能查詢所有的用戶評(píng)估歷史，單位用戶只能查詢本系部的評(píng)估歷史。

2.5綜合查詢模塊

綜合查詢模塊實(shí)現(xiàn)不同單位評(píng)估次數(shù)、評(píng)估成績(jī)、各評(píng)估對(duì)象不同時(shí)間段等的評(píng)估查詢。

2.6報(bào)表系統(tǒng)模塊

報(bào)表模塊實(shí)現(xiàn)了不同單位評(píng)估次數(shù)、評(píng)估成績(jī)、各評(píng)估對(duì)象的柱狀圖的形式直觀展示。

2.7數(shù)據(jù)導(dǎo)出模塊

數(shù)據(jù)導(dǎo)出模塊實(shí)現(xiàn)了評(píng)估單位當(dāng)前總成績(jī)或歷史評(píng)估成績(jī)的數(shù)據(jù)導(dǎo)出功能，支持PDF、Word、Excel文檔格式。

3系統(tǒng)評(píng)估操作流程

系統(tǒng)管理員首先在系統(tǒng)后臺(tái)對(duì)不同的用戶設(shè)置相應(yīng)的評(píng)估指標(biāo)庫(kù)；用戶通過(guò)用戶名和密碼登錄系統(tǒng)后臺(tái)；登錄成功后系統(tǒng)會(huì)自動(dòng)調(diào)用相應(yīng)的評(píng)價(jià)指標(biāo)，用戶回答相應(yīng)的問(wèn)題；回答結(jié)束后，用戶點(diǎn)擊提交，系統(tǒng)自動(dòng)給出相應(yīng)的評(píng)估分值；用戶打印或存儲(chǔ)評(píng)估數(shù)據(jù)報(bào)告。

4平臺(tái)應(yīng)用效果

4.1為我國(guó)高校的信息系統(tǒng)風(fēng)險(xiǎn)預(yù)防和應(yīng)急處理提供建設(shè)性的意見

目前關(guān)于我國(guó)高校風(fēng)險(xiǎn)評(píng)估研究的大多停留在某些具體領(lǐng)域，主要是對(duì)宏觀風(fēng)險(xiǎn)管理和財(cái)務(wù)風(fēng)險(xiǎn)狀況進(jìn)行探討，對(duì)信息系統(tǒng)安全的研究較少。信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)平臺(tái)對(duì)高校信息安全風(fēng)險(xiǎn)進(jìn)行定量分析評(píng)估，為我國(guó)高校信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了一個(gè)重要平臺(tái)，為高校的信息系統(tǒng)風(fēng)險(xiǎn)預(yù)防和應(yīng)急處理提供一些建設(shè)性的意見。

4.2為高校各級(jí)信息系統(tǒng)管理者提供了處理信息系統(tǒng)

風(fēng)險(xiǎn)的決策依據(jù)系統(tǒng)實(shí)現(xiàn)各級(jí)信息系統(tǒng)管理者可實(shí)時(shí)查詢部門風(fēng)險(xiǎn)評(píng)估，針對(duì)高校日常管理中可能面臨的各類信息系統(tǒng)安全風(fēng)險(xiǎn)、建議應(yīng)對(duì)措施、突發(fā)事件、應(yīng)急預(yù)案、法律法規(guī)等相關(guān)風(fēng)險(xiǎn)管理文檔查詢，為科學(xué)決策提供依據(jù)。

4.3信息系統(tǒng)安全風(fēng)險(xiǎn)處理更迅速

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估平臺(tái)與學(xué)院網(wǎng)絡(luò)安全教育平臺(tái)、運(yùn)維網(wǎng)站數(shù)據(jù)整合，當(dāng)網(wǎng)絡(luò)遭受攻擊、病毒肆虐時(shí)，能第一時(shí)間獲得相關(guān)信息，為快速解決信息系統(tǒng)安全風(fēng)險(xiǎn)創(chuàng)造了條件。

4.4提高了全校師生網(wǎng)絡(luò)安全防范和參與意識(shí)

通過(guò)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估平臺(tái)，全院師生提高了網(wǎng)絡(luò)安全防范和參與意識(shí)，為河南牧業(yè)經(jīng)濟(jì)學(xué)院網(wǎng)絡(luò)信息化建設(shè)出謀劃策，促進(jìn)學(xué)校領(lǐng)導(dǎo)和有關(guān)職能部門制定和完善網(wǎng)絡(luò)有關(guān)管理制度。

4.5規(guī)范了全校師生的上網(wǎng)行為，減少了網(wǎng)絡(luò)攻擊

全校師生通過(guò)平臺(tái)了解學(xué)校網(wǎng)絡(luò)管理相關(guān)制度和管理方式，認(rèn)識(shí)到自己的上網(wǎng)行為在學(xué)校監(jiān)督管理中，從而自覺規(guī)范自身的上網(wǎng)行為。平臺(tái)為引導(dǎo)師生正確使用網(wǎng)絡(luò)、規(guī)避風(fēng)險(xiǎn)，保障校園網(wǎng)網(wǎng)絡(luò)良好正常運(yùn)轉(zhuǎn)起到了積極的作用。通過(guò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的漏洞查找，各系部加強(qiáng)了網(wǎng)絡(luò)安全知識(shí)普及、全員參與、相關(guān)規(guī)章制度的約束，一直困擾我院網(wǎng)管人員的網(wǎng)絡(luò)非法攻擊，特別是破壞后果更難預(yù)測(cè)的內(nèi)部網(wǎng)絡(luò)攻擊得到了有效的遏制。

5結(jié)束語(yǔ)