風(fēng)險(xiǎn)管理在船舶安全管理信息系統(tǒng)中的應(yīng)用

張純朋

(中海油能源發(fā)展股份有限公司工程技術(shù)分公司物資裝備部,天津 300452）

風(fēng)險(xiǎn)管理在船舶安全管理信息系統(tǒng)中的應(yīng)用

張純朋

(中海油能源發(fā)展股份有限公司工程技術(shù)分公司物資裝備部,天津 300452）

隨著信息技術(shù)的發(fā)展，尤其是網(wǎng)絡(luò)的普及，信息系統(tǒng)的安全問題開始引起人們的注意。本文就風(fēng)險(xiǎn)管理通用框架RMCF在船舶安全管理信息系統(tǒng)中的應(yīng)用進(jìn)行了探討。

風(fēng)險(xiǎn)管理；船舶；安全管理；信息系統(tǒng)

0 引言

隨著船舶航運(yùn)的不斷發(fā)展，為我國的經(jīng)濟(jì)貿(mào)易做出了巨大貢獻(xiàn)，船舶的安全管理問題尤其重要。根據(jù)《國際安全管理規(guī)則》，為保證船舶航行時(shí)的安全避免各類海上事故，企業(yè)應(yīng)該建立船舶安全管理體系。近年來，隨著信息技術(shù)的發(fā)展，國內(nèi)外相繼開發(fā)和應(yīng)用了各類船舶安全管理信息系統(tǒng)。

船舶行業(yè)是一個(gè)龐大的系統(tǒng)，工作環(huán)境復(fù)雜多變，因此船舶安全信息的管理開始出現(xiàn)越來越多的大規(guī)模復(fù)雜應(yīng)用，這些大規(guī)模應(yīng)用系統(tǒng)的重要特點(diǎn)之一是所處理的信息屬于大數(shù)據(jù)范圍。與此同時(shí)，保障船舶企業(yè)的安全運(yùn)營是頭等大事，對(duì)企業(yè)的保密工作有一定的要求，因此其信息安全系統(tǒng)的重要性不言而喻。如果信息系統(tǒng)被外部侵入，不僅涉及到企業(yè)的組織信息會(huì)被泄漏，更會(huì)對(duì)船舶企業(yè)的日常業(yè)務(wù)運(yùn)營造成嚴(yán)重影響。一方面造成經(jīng)濟(jì)損失，另一方面也會(huì)損害企業(yè)形象。因此，必須加強(qiáng)針對(duì)船舶企業(yè)的信息系統(tǒng)風(fēng)險(xiǎn)管理。

1 船舶安全管理信息系統(tǒng)結(jié)構(gòu)

一般來說，船舶安全管理信息系統(tǒng)的功能結(jié)構(gòu)由安全監(jiān)察、船舶管理、應(yīng)急方案、海事管理、船舶消防、特種作業(yè)、船舶安保、證書管理、防污染、體系文件等組成。體系結(jié)構(gòu)一般由船基安全管理信息系統(tǒng)、岸基安全管理信息系統(tǒng)、海事衛(wèi)星、地面站等部分構(gòu)成。基于系統(tǒng)平臺(tái)的船舶安全管理信息系統(tǒng)開發(fā)模型如圖1。

圖1 系統(tǒng)平臺(tái)的開發(fā)模型結(jié)構(gòu)

其特點(diǎn)是：

（1）一套核心的應(yīng)用程序編程界面，均為標(biāo)準(zhǔn)的模塊化組件。

（2）使用EJB Server作為組件的部署環(huán)境。

（3）一套核心的API，覆蓋了大部分計(jì)算需要的服務(wù)。

2 船舶安全管理信息系統(tǒng)關(guān)鍵技術(shù)

對(duì)于船舶行業(yè)的的安全管理信息系統(tǒng)來說，需要處理的數(shù)據(jù)量十分龐大。所以如何設(shè)計(jì)數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)，提高船舶安全信息查詢的效率等問題是關(guān)鍵。

（1）系統(tǒng)的可擴(kuò)展性技術(shù)研究。船舶安全管理信息系統(tǒng)結(jié)構(gòu)和功能應(yīng)該易于擴(kuò)展。其中的技術(shù)難點(diǎn)有：如何在信息來源增減時(shí)，系統(tǒng)自動(dòng)掃描數(shù)據(jù)源并合理進(jìn)行分配；如何在系統(tǒng)硬件接口或節(jié)點(diǎn)有數(shù)量增減時(shí)，系統(tǒng)對(duì)擴(kuò)展后的功能進(jìn)行自動(dòng)調(diào)整。

（2）數(shù)據(jù)查詢算法。目前，船舶安全管理信息系統(tǒng)普遍采用磁盤操作設(shè)計(jì)，來處理實(shí)時(shí)圖像、天氣信息、路線查詢等信息的查詢。這些信息隨時(shí)間不斷積累達(dá)到一定數(shù)量級(jí)（如超過TB數(shù)量級(jí)）時(shí)，數(shù)據(jù)庫對(duì)數(shù)據(jù)的處理效率極有可能隨著數(shù)據(jù)量的增加而下降。目前基于磁盤操作設(shè)計(jì)的應(yīng)用廣泛的算法，并不能處理大數(shù)據(jù)。因此，有必要研究新的智能算法，即調(diào)整算法基率。

（3）優(yōu)化數(shù)據(jù)的并行查詢算法。如果采用多級(jí)存儲(chǔ)查詢算法，設(shè)計(jì)需要考慮到第三級(jí)存儲(chǔ)設(shè)備的輸入/輸出特性，同時(shí)還要意識(shí)到不同級(jí)存儲(chǔ)設(shè)備的性能差異。

3 信息安全風(fēng)險(xiǎn)管理

信息安全管理是針對(duì)信息系統(tǒng)的一個(gè)新課題。針對(duì)信息系統(tǒng)進(jìn)行綜合性的架構(gòu)設(shè)計(jì)，技術(shù)實(shí)現(xiàn)和操作實(shí)現(xiàn)，是目前業(yè)界普遍接受的實(shí)現(xiàn)信息系統(tǒng)安全的手段。但是，由于大型信息系統(tǒng)的結(jié)構(gòu)較為繁復(fù)，安全問題的發(fā)生具有突發(fā)性和不可預(yù)知性。也就是說，由于針對(duì)信息安全無法全面制定各類預(yù)防性措施，使得信息系統(tǒng)安全管理存在著一定的難度。因此，系統(tǒng)維護(hù)人員在制定信息安全防范措施時(shí)，遇到的是一個(gè)在有限條件下進(jìn)行最優(yōu)決策的問題。既不能因過度防范導(dǎo)致企業(yè)資源（如人力、財(cái)力和物力）的浪費(fèi)，不能因過度防范導(dǎo)致信息系統(tǒng)性能的低下，又不能因忽略了必要的防范造成信息系統(tǒng)安全性失效。所以，信息系統(tǒng)信息安全防范策略是一個(gè)效用問題，要充分考慮技術(shù)經(jīng)濟(jì)指標(biāo)、可靠性指標(biāo)和實(shí)際操作層來設(shè)計(jì)信息系統(tǒng)的安全管理策略。

風(fēng)險(xiǎn)管理是針對(duì)安全風(fēng)險(xiǎn)進(jìn)行辨識(shí)、評(píng)價(jià)、診斷、反饋、控制的閉環(huán)過程。對(duì)于信息系統(tǒng)來說，具體包括系統(tǒng)安全風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)來源分析、風(fēng)險(xiǎn)影響因素的診斷、安全措施的制定、風(fēng)險(xiǎn)控制手段效果評(píng)估等方面。從本質(zhì)上講，風(fēng)險(xiǎn)管理是通過一系列風(fēng)控評(píng)價(jià)、決策、實(shí)現(xiàn)，最大程度的降低信息系統(tǒng)的安全風(fēng)險(xiǎn)。

4 RMCF通用框架在船舶安全管理信息系統(tǒng)中的應(yīng)用

RMCF通用框架即風(fēng)險(xiǎn)管理通用框架，由美國國家標(biāo)準(zhǔn)局和國家計(jì)算機(jī)安全中心在20世紀(jì)80年底提出，至今仍然適用，如圖2所示。

圖2 信息安全風(fēng)險(xiǎn)管理通用框架RMCF

在船舶安全管理信息系統(tǒng)中，我們定義RMCF包含需求、資產(chǎn)、關(guān)注點(diǎn)、威脅、安全措施、脆弱性、后果七個(gè)基本元素，以及資產(chǎn)值、安全措施有效性以及后果嚴(yán)重性三個(gè)相關(guān)元素。然后以一個(gè)循環(huán)的過程對(duì)上述各個(gè)元素進(jìn)行評(píng)估，具體步驟如下：

（1）識(shí)別安全需求。要考慮船舶企業(yè)資產(chǎn)、系統(tǒng)安全水平、安措施的效率、信息系統(tǒng)的脆弱性等要素。

（2）進(jìn)入分析過程。威脅分析，包括對(duì)每個(gè)船舶信息的可能威脅進(jìn)行考察；脆弱性分析，則審查可能使對(duì)某個(gè)船舶信息的攻擊成功實(shí)施的安全弱點(diǎn)；情景分析需要對(duì)信息、安全屬性、威脅和脆弱性進(jìn)行詳細(xì)評(píng)估，以生成所有可能的安全遭受損害的情景。

（3）這些情景被用于后續(xù)的風(fēng)險(xiǎn)度量階段，以評(píng)估相關(guān)的后果并估計(jì)風(fēng)險(xiǎn)的大小。

（4）接受性測(cè)試將所測(cè)量的特定船舶信息的風(fēng)險(xiǎn)與已確定的安全需求進(jìn)行比較。

（5）進(jìn)行安全措施選擇決策以減小測(cè)量出的風(fēng)險(xiǎn)值與可接受的風(fēng)險(xiǎn)值之間的差距。當(dāng)新的安全措旄實(shí)施后，整個(gè)評(píng)估過程繼續(xù)重復(fù)，以測(cè)量各個(gè)資產(chǎn)在新環(huán)境下的新的風(fēng)險(xiǎn)值．然后運(yùn)用計(jì)算出的新的風(fēng)險(xiǎn)值以及安全措施費(fèi)用。對(duì)各項(xiàng)安全措施進(jìn)行費(fèi)效分析。

[1] 沈忠，鄭士君，韓成敏，等. 船岸一體化管理平臺(tái)設(shè)計(jì)[J]. 機(jī)電設(shè)備， 2006, 27(1): 36~38.

[2] 鄭士君，褚建新，應(yīng)力，等.船舶安全與技術(shù)管理系統(tǒng)設(shè)計(jì)與分析[J]. 航海技術(shù)， 2001(5): 55~57.

[3] 閡京華，王曉東，邵忠?guī)h，等. 信息系統(tǒng)安全風(fēng)險(xiǎn)的概念模型和評(píng)估模型 [ J] . 網(wǎng) 絡(luò) 安全技術(shù)與應(yīng)用，2004,4 2(9):59~60.

[4] 姜力東. 安全管理平臺(tái)之我見[J]. 中國計(jì)算機(jī)報(bào)網(wǎng)絡(luò)與通信，2002,25(9):25~28.

U676

B

1671-0711（2016）07（上）-0021-02