安全工程的论文

安全工程的论文(2)

时间：2021-08-31

2系统安全工程能力成熟模型概述

　　系统安全工程能力指的是系统在实际应用中，能够达到的安全性指标的能力，通过改善系统工程的过程安全能力，能够使系统工程变得更加成熟。在系统安全工程能力成熟模型的构建过程，需要完善的、成熟的、可度量的安全工程。在系统安全工程下，所有工程活动都有明确的定义，并且对于所有工程活动，都可以进行有效的测量、管理和控制。系统安全工程能力成熟度模型主要是由两个部分所组成的，包括“过程域”和“能力”。其中，过程域指的是在完成一个子任务过程中，所需要完成的一系列工程实践，过程域指又可以被分为三个部分，即工程过程域、组织过程域和项目过程域。其中，组织过程域和项目过程域与系统安全没有直接关联，因此，二者不是模型的组成部分。模型为每个过程域均定义了一组确定的基本实践（BP），在子任务的完成过程中，每个基本实践都必不可少。另外，能力维指的是实践代表过程管理和制度化能力，其又可以被称为通用实践（GP）。通用实践的主要作用是对每个级别的共同特性（CF）进行描述，即每个级别的判定反映为一组共同特性。通用实践是应用于所有过程的活动，通用实践的重点是对过程进行度量和管理。应用通用实践描述共同特性的逻辑区域可以被被划分5个能力级别，

3信息系统风险的特征

　　信息系统的投资比较大，建设周期长，影响因素较多，因此，信息系统所面临的风险种类也比较多，并且不同风险之间的关系错综复杂。通过对大中型信息系统进行调查分析发现，信息系统风险的特征主要体现在以下几点：客观性和不确定性。在信息系统的实际应用中，信息系统风险客观存在，因此，在整个信息系统生命周期中，风险因素无处不在，但是有具有明显的不确定特征，风险事件的客观体现指的是随着客观条件的变化，所造成的不确定性。在信息系统的实际运行过程中，各类不确定因素的伴随物即为信息系统风险。多层次性和多样性。信息系统风险包包括多种层次风险，包括物理安全风险、逻辑安全风险等等，其中，物理安全风险是由周界控制、区域访问控制以及区内设施安全等所组成的，安全管理内容包括人员管理、系统管理、应急管理等，信息系统风险的种类也具有可变性和动态性特征，随着信息技术的`发展，信息系统风险也逐渐呈动态性和可变性特征。

　　在信息系统实际运行过程中，对于有些风险因素，由于采取了有效措施，因此风险得以消除，而对于有些风险因素，由于没有采取有效的消除措施，因此风险逐渐成为主要风险。可测性。系统安全风险的本质是不确定性，在各类风险因素中，任何风险的发生都是多个风险因素共同作用所造成的，也有个别风险因素的发生是偶然事件，但是，通过对大量风险发生事件进行统计和分析发现，风险时间的发生具有一定的运动规律。对于风险时间的发生概率以及其所造成，可以采用多种风险分析方式进行计算，并对可能发生的风险进行预测分析，从而为防范决策提供重要依据。由于信息系统风险具有多层次以及多样性特征，因此，安全防范难度较大，对此，一般采用防火墙技术进行安全管理。另外，由于信息系统风险具有多层次以及动态性特征，因此，很难构建覆盖全部安全问题的安全防控体系，综合考虑安全投入成本以及被保护资产价值，必须构建合适的安全准则。通过上述分析可见，信息系统风险复杂程度比较高，并且系统风险的涉及面比较广泛，因此，在信息系统整个生命周期中，都必须加强风险评估和管理，对此，应该在模型的指导下来保证信SSE-CMM息系统的安全。

4信息风险评估模型

　　信息风险评估的过程指的是，对信息系统资产所面对的各类风险因素进行分析，并对安全控制措施进行研究，从而准确识别系统风险因素，并对各类风险因素进行评价。从系统风险管理角度出发，系统风险管理过程值得是对信息系统安全风险进行控制、降低以及消除的过程，在此过程中，需要对网络与信息系统中所面临的风险因素进行准确识别，并采取有效的控制措施。在对安全事件进行评估过程中，如果发现风险因素可能会产生的危害事件，则应该立即提出相应的低于威胁防护措施，对安全风险进行化解，或者采取有效的防范措施，将信息安全风险控制在一定范围内，从而有效保障网络安全以及信息安全。

　　在进行信息风险评估过程中，需要注意以下几点：①准确识别被评估信息资产，并对其估价；②对网络弱点进行检测，评估资产脆弱性；③获取系统各对象信息，并详细列出资产威胁；④识别当前安全控制；⑤综合考虑脆弱性和威胁的严重程度，对资产的重要性进行计算分析。风险事件因素对于信息系统的影响程度具有模糊性特征，因此，对于安全风险，可以将其描述为关于威胁和这种威胁后果的一个函数，通过对其进行定量分析，能够估算出风险时间发生后对于系统安全性的影响程度，同时还能够将将复杂的思维决策过程模型化、数量化。系统所有者在系统的实际应用过程中，可以结合项目实际情况，在资产风险评估过程中，对资产、威胁和脆弱性等各因素所占权重进行计算，并赋予其相应的权向量：A=（r1，r2，r3，…，ri），其中，其中ri指的是判断矩阵相应因素。aij=rij/nk=1Σrkj（i=1，2，…，n）（1）由公式（1）再按行求和：c軃i=nj=1Σrkj（i=1，2，…，n）（2）通过公式（2）可得：ci=c軃ini=1Σc軃i（i=1，2，…，n）（3）其中，c指的是所求的特征向量，具体而言其指的是对应i个因素的相对重要程度，即权重系数，如果c越高，则说明风险越大，系统安全工程的安全程度比较低。因此，可以根据以上公式，计算出风险评估量化分析结果，并对系统中的各类风险因素进行建模分析，从而计算得出各类风险权重，并以此为依据，对信息风险评估以及系统安全策略的制定提供重要的参考依据。

5结语

　　综上所述，在信息系统的建设过程中，加强安全工程管理至关重要，现如今已经逐渐引起社会各界的广泛关注，而我国信息系统风险评估研究起步比较晚，定量评估模型依然处于探索阶段。为了有效保障保障信息系统的安全性，应该采用SSE-CMM模型作为安全指导思想，通过对风险因素进行全过程、全方位的分析，能够有效解决信息系统安全的动态性和广泛性问题。本文主要对SSE-CMM模型进行了详细分析，SSE-CMM模型属于理论指导模型，可以用在信息系统的效益分析、系统可靠性分析等方面，所以具有较大的推广价值，但是需要注意的是，在其实际应用中，还应该综合考虑不同性质的信息系统，采取不同的实施方案。参考文献

　　[1]吴峰，贲可荣.系统安全测试能力成熟度模型框架研究[J].计算机与数字工程，2011，39（2）：128~132.

　　[2]李灿，周春雷，华斌，等.信息系统应用成熟度评价模型[J].华东电力，2014，42（11）：2428~2431.

　　[3]陈登伟，张永亮，赵广超，等.基于信息系统的指控能力成熟度研究[J].装备学院学报，2016，27（5）：94~99.

【安全工程的论文】相关文章：