系統安全評價方法及其在計算機網絡中的應用

譚靜怡，李保軍，寇曉波（兵器工業衛生研究所，西安 710065）

系統安全評價方法及其在計算機網絡中的應用

譚靜怡，李保軍，寇曉波
（兵器工業衛生研究所，西安 710065）

系統安全評價是確保系統安全性的一種重要手段。現階段，作為信息時代的產物，計算機網絡系統建立應具備科學性、有效性，在滿足人們工作、生活需求的同時，也必須確保其安全性。為此，必須建立計算機網絡信息系統安全評價體系。安全評價在國外也稱風險評價或危險評價。安全評價不僅需要安全評價理論作支撐，而且需要理論和實際經驗相結合，兩者不可或缺。本文就針對系統安全評價方法及其在計算機網絡中的應用進行簡單分析，以供參考。

系統安全評價方法；計算機網絡；應用

DOI：10.16640/j.cnki.37-1222/t.2016.16.113

就針對于目前的實際情況來看，隨著時代的進步與發展，計算機已經逐漸轉變成人們日常生活中必不可缺的一部分，但是，一些不法分子利用計算機網絡系統入侵用戶計算機，不僅危害用戶個人隱私，甚至危害國家安全。因此，計算機網絡信息系統安全成為人們亟待解決的問題。簡單來說，我們所說的安全評價，主要就是指以實現工程、系統安全為目的，通過安全系統工程原理和方法的應用，辨識、分析工程、系統中存在的危險和有害因素，并對工程、系統發生事故和職業危害的可能性、嚴重程度進行判斷，以此為防范措施的制定和決策的管理提供科學依據。

1　系統安全評價方法的基本概述

1.1安全評價的目的

首先，從本質上來講，進行安全評價最主要的目的，就是對計劃、設計、制造和運行等全過程中的安全技術和安全管理問題進行考慮，并將生產過程中潛在的、固有的危險因素找出，從而實現全過程安全控制，提高系統本質安全化程度的目的［1］。其次，是為了定性或定量預測事故，得出系統安全的最優方案，從而為決策提供依據。最后，是為了通過評價設備、設施或系統在生產過程中的安全性是否符合相關技術標準及規范相關規定，從中找出存在的問題和不足，從而為實現安全技術和安全管理的標準化和科學化提供條件。

1.2安全評價的作用

第一，有利于政府安全監督管理部門宏觀控制企業安全生產。第二，有利于選擇合理的安全投資，使安全投入和可能減少的負效益達到合理的平衡。第三，有利于提高企業的安全管理水平。安全評價可以對系統的危險性進行識別，對企業的安全狀況進行分析，對系統和各部分的危險程度和安全管理狀況進行全面評價，從而使企業達到安全的規定要求。第四，有利于增強企業對災害事故的應變能力，降低事故或重大惡性事故發生的次數。第五，有利于保險公司對企業實行風險管理［2］。

1.3安全評價的特點

首先，安全評價是以事先分析和消除危險為目的進行活動，具有預測性。其次，安全評價具有以表示危險程度為主要指標的特點，可以在早期設計階段將危險降到最小化。最后，安全評價對技術工程的制約不完全依賴既定的規程及標準，而是預測技術工程可能產生的損失或傷害，并采取相應的措施，從而避免損失、傷害的發生。

2　系統安全評價方法在計算機網絡中的應用

2.1計算機網絡信息系統安全評價問題

（1）缺乏規范化標準。按照計算機網絡信息系統安全維護管理規定中的要求，必須要明確責任，將安全評價的任務、責任、過程以及程序制定規范的標準進行統一，并將其落到實處。否則，計算機網絡信息系統安全評價工作的效果就會受限于各部門和個人的認識，從而導致計算機網絡信息系統安全評價程度參差不齊現象的產生，從而難以達到維護管理規定中的要求。

（2）缺乏專業化人才。根據相關調查顯示：在我國，嚴重缺乏有能力的計算機網絡信息系統安全評價的專業技術和管理人才，被評企業更是缺乏有能力進行配合的人員。對于一些已開始進行信息系統安全評價的企業，基本上是骨干成員邊學習邊培養業務人員，邊進行安全評價。

（3）缺乏科學化評價。在計算機網絡信息系統安全評價中，常出現評價方和被評企業雙方不滿意的情況。如今，在實施安全評價工作中，被評企業的實際配合存在不足之處，限制較多，使評價方很難了解企業的業務特點和管理要求。同時，一些企業的安全評價工作沒有與計算機網絡信息系統的生命周期和安全建設相聯系，只是為了安全評價而評價，從而造成安全評價的結果缺乏嚴肅的認可。另外，安全評價后，如果沒有針對評價的結果采取相應的措施，計算機網絡信息系統的安全狀況就無法得到實質性的改善。

2.2計算機網絡信息系統安全評價策略

（1）完善系統安全評價機制。第一，根據計算機網絡信息系統安全等級保護的要求，提出組織計算機網絡信息系統安全評價的工作，對其過程、任務和程序進行規范，對使用者、建設者、運行者、管理者、共享信息和業務系統者以及主管部門等各方的職責進行明確。第二，對涉及組織電子政務、國防系統等重要信息系統開展安全評價活動，分析其風險，深入研究其分級保護策略，制定安全評價策略。通過開展安全評價活動，總結經驗教訓加以推廣，采取有效的安全措施，確保計算機網絡信息系統的正常運行，從而提高計算機網絡信息系統的安全性。

（2）強化人才隊伍培養建設。通過培養多層次計算機網絡信息系統安全評價專業隊伍，對組織計算機網絡信息系統安全評價服務的資質認證和行為規范進行完善，以有效提高計算機網絡信息系統安全評價的服務水平。第四，通過加強對計算機網絡信息系統安全評價核心技術的研究，可以提高計算機網絡信息系統安全評價的競爭力。通過建設完善的法律法規和標準體系，重視安全評價相關信息的收集、分析和利用，從而使計算機網絡信息系統安全評價管理更加規范化，最終確保計算機網絡信息系統的安全。

（3）進行科學合理的評價。掌握計算機網絡信息系統安全評價的狀況，根據計算機網絡信息系統安全等級保護的要求，建立重點安全評價監管和督察體系以及各部門的全評價工作指導機構，對組織安全評價工作的管理和部門的協調機制進行建立和完善，從而有效促進相關資源的管理和共享，提高計算機網絡信息系統安全評價的水平。

3　結語

總而言之，計算機網絡信息系統安全評價是安全防御過程中的重要技術，是以計算機系統安全為目的，采用科學合理的方法和程序對計算機系統中的危險因素進行定性和定量分析。這樣可以針對存在的問題采取相應的安全措施，從而提高計算機網絡信息系統的安全性，以確保計算機網絡信息系統的正常運行。

［1］黃麗民.計算機網絡信息系統安全評價方法研究［D］.山東大學，2015.