系統(tǒng)安全評價方法及其在計算機網(wǎng)絡(luò)中的應(yīng)用

譚靜怡，李保軍，寇曉波（兵器工業(yè)衛(wèi)生研究所，西安 710065）

系統(tǒng)安全評價方法及其在計算機網(wǎng)絡(luò)中的應(yīng)用

譚靜怡，李保軍，寇曉波
（兵器工業(yè)衛(wèi)生研究所，西安 710065）

系統(tǒng)安全評價是確保系統(tǒng)安全性的一種重要手段?，F(xiàn)階段，作為信息時代的產(chǎn)物，計算機網(wǎng)絡(luò)系統(tǒng)建立應(yīng)具備科學(xué)性、有效性，在滿足人們工作、生活需求的同時，也必須確保其安全性。為此，必須建立計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價體系。安全評價在國外也稱風(fēng)險評價或危險評價。安全評價不僅需要安全評價理論作支撐，而且需要理論和實際經(jīng)驗相結(jié)合，兩者不可或缺。本文就針對系統(tǒng)安全評價方法及其在計算機網(wǎng)絡(luò)中的應(yīng)用進行簡單分析，以供參考。

系統(tǒng)安全評價方法；計算機網(wǎng)絡(luò)；應(yīng)用

DOI：10.16640/j.cnki.37-1222/t.2016.16.113

就針對于目前的實際情況來看，隨著時代的進步與發(fā)展，計算機已經(jīng)逐漸轉(zhuǎn)變成人們?nèi)粘Ｉ钪斜夭豢扇钡囊徊糠郑?，一些不法分子利用計算機網(wǎng)絡(luò)系統(tǒng)入侵用戶計算機，不僅危害用戶個人隱私，甚至危害國家安全。因此，計算機網(wǎng)絡(luò)信息系統(tǒng)安全成為人們亟待解決的問題。簡單來說，我們所說的安全評價，主要就是指以實現(xiàn)工程、系統(tǒng)安全為目的，通過安全系統(tǒng)工程原理和方法的應(yīng)用，辨識、分析工程、系統(tǒng)中存在的危險和有害因素，并對工程、系統(tǒng)發(fā)生事故和職業(yè)危害的可能性、嚴(yán)重程度進行判斷，以此為防范措施的制定和決策的管理提供科學(xué)依據(jù)。

1　系統(tǒng)安全評價方法的基本概述

1.1安全評價的目的

首先，從本質(zhì)上來講，進行安全評價最主要的目的，就是對計劃、設(shè)計、制造和運行等全過程中的安全技術(shù)和安全管理問題進行考慮，并將生產(chǎn)過程中潛在的、固有的危險因素找出，從而實現(xiàn)全過程安全控制，提高系統(tǒng)本質(zhì)安全化程度的目的［1］。其次，是為了定性或定量預(yù)測事故，得出系統(tǒng)安全的最優(yōu)方案，從而為決策提供依據(jù)。最后，是為了通過評價設(shè)備、設(shè)施或系統(tǒng)在生產(chǎn)過程中的安全性是否符合相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范相關(guān)規(guī)定，從中找出存在的問題和不足，從而為實現(xiàn)安全技術(shù)和安全管理的標(biāo)準(zhǔn)化和科學(xué)化提供條件。

1.2安全評價的作用

第一，有利于政府安全監(jiān)督管理部門宏觀控制企業(yè)安全生產(chǎn)。第二，有利于選擇合理的安全投資，使安全投入和可能減少的負(fù)效益達到合理的平衡。第三，有利于提高企業(yè)的安全管理水平。安全評價可以對系統(tǒng)的危險性進行識別，對企業(yè)的安全狀況進行分析，對系統(tǒng)和各部分的危險程度和安全管理狀況進行全面評價，從而使企業(yè)達到安全的規(guī)定要求。第四，有利于增強企業(yè)對災(zāi)害事故的應(yīng)變能力，降低事故或重大惡性事故發(fā)生的次數(shù)。第五，有利于保險公司對企業(yè)實行風(fēng)險管理［2］。

1.3安全評價的特點

首先，安全評價是以事先分析和消除危險為目的進行活動，具有預(yù)測性。其次，安全評價具有以表示危險程度為主要指標(biāo)的特點，可以在早期設(shè)計階段將危險降到最小化。最后，安全評價對技術(shù)工程的制約不完全依賴既定的規(guī)程及標(biāo)準(zhǔn)，而是預(yù)測技術(shù)工程可能產(chǎn)生的損失或傷害，并采取相應(yīng)的措施，從而避免損失、傷害的發(fā)生。

2　系統(tǒng)安全評價方法在計算機網(wǎng)絡(luò)中的應(yīng)用

2.1計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價問題

（1）缺乏規(guī)范化標(biāo)準(zhǔn)。按照計算機網(wǎng)絡(luò)信息系統(tǒng)安全維護管理規(guī)定中的要求，必須要明確責(zé)任，將安全評價的任務(wù)、責(zé)任、過程以及程序制定規(guī)范的標(biāo)準(zhǔn)進行統(tǒng)一，并將其落到實處。否則，計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價工作的效果就會受限于各部門和個人的認(rèn)識，從而導(dǎo)致計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價程度參差不齊現(xiàn)象的產(chǎn)生，從而難以達到維護管理規(guī)定中的要求。

（2）缺乏專業(yè)化人才。根據(jù)相關(guān)調(diào)查顯示：在我國，嚴(yán)重缺乏有能力的計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價的專業(yè)技術(shù)和管理人才，被評企業(yè)更是缺乏有能力進行配合的人員。對于一些已開始進行信息系統(tǒng)安全評價的企業(yè)，基本上是骨干成員邊學(xué)習(xí)邊培養(yǎng)業(yè)務(wù)人員，邊進行安全評價。

（3）缺乏科學(xué)化評價。在計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價中，常出現(xiàn)評價方和被評企業(yè)雙方不滿意的情況。如今，在實施安全評價工作中，被評企業(yè)的實際配合存在不足之處，限制較多，使評價方很難了解企業(yè)的業(yè)務(wù)特點和管理要求。同時，一些企業(yè)的安全評價工作沒有與計算機網(wǎng)絡(luò)信息系統(tǒng)的生命周期和安全建設(shè)相聯(lián)系，只是為了安全評價而評價，從而造成安全評價的結(jié)果缺乏嚴(yán)肅的認(rèn)可。另外，安全評價后，如果沒有針對評價的結(jié)果采取相應(yīng)的措施，計算機網(wǎng)絡(luò)信息系統(tǒng)的安全狀況就無法得到實質(zhì)性的改善。

2.2計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價策略

（1）完善系統(tǒng)安全評價機制。第一，根據(jù)計算機網(wǎng)絡(luò)信息系統(tǒng)安全等級保護的要求，提出組織計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價的工作，對其過程、任務(wù)和程序進行規(guī)范，對使用者、建設(shè)者、運行者、管理者、共享信息和業(yè)務(wù)系統(tǒng)者以及主管部門等各方的職責(zé)進行明確。第二，對涉及組織電子政務(wù)、國防系統(tǒng)等重要信息系統(tǒng)開展安全評價活動，分析其風(fēng)險，深入研究其分級保護策略，制定安全評價策略。通過開展安全評價活動，總結(jié)經(jīng)驗教訓(xùn)加以推廣，采取有效的安全措施，確保計算機網(wǎng)絡(luò)信息系統(tǒng)的正常運行，從而提高計算機網(wǎng)絡(luò)信息系統(tǒng)的安全性。

（2）強化人才隊伍培養(yǎng)建設(shè)。通過培養(yǎng)多層次計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價專業(yè)隊伍，對組織計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價服務(wù)的資質(zhì)認(rèn)證和行為規(guī)范進行完善，以有效提高計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價的服務(wù)水平。第四，通過加強對計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價核心技術(shù)的研究，可以提高計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價的競爭力。通過建設(shè)完善的法律法規(guī)和標(biāo)準(zhǔn)體系，重視安全評價相關(guān)信息的收集、分析和利用，從而使計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價管理更加規(guī)范化，最終確保計算機網(wǎng)絡(luò)信息系統(tǒng)的安全。

（3）進行科學(xué)合理的評價。掌握計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價的狀況，根據(jù)計算機網(wǎng)絡(luò)信息系統(tǒng)安全等級保護的要求，建立重點安全評價監(jiān)管和督察體系以及各部門的全評價工作指導(dǎo)機構(gòu)，對組織安全評價工作的管理和部門的協(xié)調(diào)機制進行建立和完善，從而有效促進相關(guān)資源的管理和共享，提高計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價的水平。

3　結(jié)語

總而言之，計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價是安全防御過程中的重要技術(shù)，是以計算機系統(tǒng)安全為目的，采用科學(xué)合理的方法和程序?qū)τ嬎銠C系統(tǒng)中的危險因素進行定性和定量分析。這樣可以針對存在的問題采取相應(yīng)的安全措施，從而提高計算機網(wǎng)絡(luò)信息系統(tǒng)的安全性，以確保計算機網(wǎng)絡(luò)信息系統(tǒng)的正常運行。

［1］黃麗民.計算機網(wǎng)絡(luò)信息系統(tǒng)安全評價方法研究［D］.山東大學(xué)，2015.