APP下载

基于AHP 法的公安机关计算机信息安全风险评估研究

2023-03-14贵州中医药大学贵州贵阳550025

贵州警察学院学报 2023年1期
关键词:公安机关信息安全矩阵

王 雳,陈 瑶(贵州中医药大学,贵州 贵阳 550025)

风险评估是预防重大事故、案件的重要环节,有效的风险评估体系能帮助人们识别技术上的缺陷,发现危险事件可能会导致的伤害,然后采取适当的预防和补救措施,防止事故发生,或尽量减少影响。“信息安全风险评估是信息安全保障的基础性工作,是明确安全需求、确定保障重点的科学方法和手段,是科学地进行信息安全建设和管理的重要保证”[1]。近年来,公安机关信息化建设实现了跨越式进步,计算机网络技术在各级公安机关的应用日趋广泛。但从整体情况看,公安机关计算机信息安全还存在诸多问题,安全建设明显滞后于系统建设,民辅警信息安全意识淡薄,缺乏警惕性和防范意识;信息安全标准缺少立法,没有针对公安机关的执行标准;风险评估方法过于单一,不能充分利用结果来规避风险。正确评估信息安全风险,积极应对各类安全挑战是当前公安机关信息化建设面临的现实问题,亟待研究解决。

一、计算机信息安全风险评估概述

计算机信息安全风险评估,就是“从风险管理角度,运用科学的方法和手段,系统地分析网络与计算机信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据”[2]。

(一)公安机关开展计算机信息安全风险评估研究的重要意义

习近平出席全国网络安全和信息化工作会议时指出,“要加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。”[3]。公安机关开展计算机信息安全风险评估工作,既是落实总书记重要指示的具体体现,也是完成好执勤执法、打击犯罪,确保公安机关自身安全发展的需要。

1.开展计算机信息安全风险评估是公安机关的客观要求

当前公安机关早已实现了“文件网上传,案件网上办,考核网上评”,信息化建设实现了纵向到底、横向到边、高度集成、警种互联、信息共享的目标,各项基础业务工作一刻也离不开计算机信息系统的支持。可以说,信息技术越先进,信息化程度越高,信息安全风险问题就越突出。①参见《2006 年到2020 年中国国家信息发展战略》http://www.gov.cn/govweb/ztzl/2005-11/17/content_101955.htm,访问时间为2022 年4 月11 日。只有树立防患于未然的意识,时刻筑牢信息安全风险管理理念,适时开展计算机信息安全风险评估,明确计算机信息系统可能存在的主要安全风险因素,查漏补缺,才能及时应对计算机信息安全可能出现的各类风险问题,确保公安机关本职工作的顺利完成。

2.开展计算机信息安全风险评估是公安机关的迫切需要

在信息化社会里,“没有信息安全的保障,国家就没有安全的屏障,信息安全的重要性怎么强调也不过分”[4]。随着国际形势风云变幻,敌对势力从未放弃对我国的渗透、策反与攻击,而公安民警需要直接面对违法犯罪分子,时刻面临着各种诱惑与陷阱,这给计算机信息安全工作敲响了警钟。近年来,各地各级公安机关发生的多起失泄密案件,大都与计算机信息安全风险管理有关。安全隐患是产生失泄密的根本原因,隐患少,则安全风险就小;风险小,发生失泄密的可能性就越低。

3.开展计算机信息安全风险评估是公安机关的重要工作

从各地各级公安机关计算机信息安全管理工作实际情况来看,管理工作主要是围绕预防、发现、分析和解决问题展开的。但是当前公安机关在开展计算机信息安全风险评估工作的方法和程序上仍然存在一些不科学的现象,特别是在科学预测和规避安全风险方面还是空白。把计算机信息安全风险评估纳入信息安全管理工作实践,运用科学的方法指导推动管理工作健康发展,这不仅是对传统工作方法的升华,也是对计算机信息安全管理工作内容的创新。从计算机信息安全管理工作发展需要上看,运用科学的方法分析计算机信息安全管理工作面临的各类风险,将是一项重要工作。

(二)计算机信息安全风险评估的研究内容

“信息安全风险是指由于资产的重要性、人为或自然的威胁以及利用信息系统及其管理体系的脆弱性,导致安全事件发生所造成的影响”①参见张晓军,等,著:《军队安全风险评估研究》,海潮出版社2010 年版,第21 页。。由此,研究计算机信息安全风险评估问题,就是研究其资产、威胁、脆弱性3 个因素之间的相互联系与相互影响。其计算原理可描述为:

② 参见2007 年中华人民共和国国家标准《GB/T 20984-2007 信息安全技术信息安全风险评估规范》。

其中,R 表示风险值,A 表示资源值,T 表示资源映射的威胁值,V 表示资源的隐患值,x表示威胁数量。

1.资产识别

国标GB/T 20984-2007 指出“资产的价值应根据资产的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)(CIA)3 个属性通过综合评定得出资产的重要性等级。在进行综合评定时,根据实际需要既可以选择资产CIA 3 个属性中最重要的那个属性的赋值作为资产的最终赋值,也可以将资产CIA 3 个属性的赋值进行加权计算得到最终资产的赋值”。在对信息资产进行具体赋值的过程中,“通常采用半定量的方法,即对资产的保密性、完整性和可用性根据资产的具体情况赋以一个能体现相对比较的值,代表了对资产保密性、完整性和可用性的要求程度”[5]。

2.威胁识别

“威胁是通过组织的资产引起不期望事件进而造成损害的一种潜在的可能性”[6]。威胁评估就是对信息资产可能受到的危害进行评估。可通过问卷调查、入侵检测、文档审阅、以及人工分析进行识别。威胁值可以根据以往的安全事件发生频率进行统计,或者根据专家的经验分析并进行定量化或半定量化计算获得。

3.脆弱性识别

在信息安全领域中,我们将“会潜在妨害安全并对系统造成破坏的环境或者事件”[7]定义为系统的威胁。脆弱性的识别可以通过工具扫描、渗透测试、人工分析、安全审计、策略文档分析等方式获取。国标GB/T 20984-2007 指出“可以根据脆弱性的严重程度或被利用的程度采用等级方式对脆弱性进行赋值,不同的等级赋值就代表脆弱性的严重程度”③参见2007 年中华人民共和国国家标准《GB/T 20984-2007 信息安全技术信息安全风险评估规范》。。

二、当前公安机关计算机信息安全风险评估存在的问题

目前各地公安机关均使用公安信息网络开展日常工作办公,但是公安信息网作为一个多警种共用内部局域网,虽然建有涉密信息通道,但由于使用者众多,安全管理规定落实不到位,一机两用、内网外联、使用含有涉密信息的存储介质连接互联网的现象仍屡禁不止。再加之相关技术人才、法规法律缺失等客观原因的存在,公安机关计算机信息安全问题不容小觑。

(一)各级对计算机信息安全风险评估工作缺乏正确的认识

近年来各级都较为重视安全稳定工作,但对如何正确认识安全风险、如何评价和规避安全风险并不是非常清楚,具体表现为:一是不会进行风险评估。许多单位对计算机信息安全风险评估存在错误的认识,简单地把安全风险评估当作是自查自纠工作,重经验而轻科学、重检查而轻评估、重“补牢”而轻“防狼”,这些已经严重阻碍了日常管理工作的科学发展。个别领导甚至认为只要电脑安装了防病毒软件和防火墙等安全产品,并且定期升级就算是做好了预防工作,对计算机信息安全事件或事故可能引发的危害和造成的后果认识不清、敏感不够、警惕不高。二是不知如何规避风险。有的单位开展计算机信息安全风险评估,虽然开展了风险排查,但不能根据评估结果采取相应的安全措施,实际只是完成了“测”,未从系统层面上开展“评”。每个单位都有着各自单位特有的计算机信息安全环境,作为计算机网络的维护者、信息安全的管理者,不仅要具备识别、发现、预测风险的能力,更要掌握处理与规避风险的能力,将理论与实践结合,从日常管理入手,着眼保密制度的落实,切实从源头规避风险。三是风险评估流于形式。个别单位工作作风浮夸,在落实上级部署开展的风险评估工作中,往往是用会议传达、台账记录来体现工作,具体制度落实不到实处,把风险评估工作完全架空,往往是在不知情的情况下便将存有保密信息的存储介质连入因特网,造成泄密。

(二)公安机关现有法规制度不能适应计算机信息风险评估的发展需要

当前,公安机关计算机信息安全风险评估工作仍处于起步阶段,尤其在立法方面存在较大的滞后,虽然公安部和相关职能部门也曾制定过一系列有关计算机信息安全的制度规定,但总体不能适应当前计算机信息发展的需要,主要表现在:一是缺少完善的行政管理体系。公安机关各级虽然都建立了信息化处室,专门负责监督、检测、指导计算机信息安全保护工作,但由于现有职能部门规模小、队伍分散、计算机信息安全保障技术手段落后、网络与计算机信息系统安全评估能力不足、信息安全测试认证水平低等原因,造成的服务水平不高、协同不力等问题十分突出,很难应对日益繁重的计算机信息安全保障任务。二是计算机信息安全风险评估标准不完善。计算机信息安全风险评估不仅是一个具体的产品或工具,更是一个过程、一个体系。完善的计算机信息安全风险评估体系应包括相应的组织架构与标准体系。目前涉及到公安机关计算机信息安全风险评估方面的法规制度基本处于空白,从国内整体情况来看,也还缺乏具有自主知识产权、比较系统的计算机信息系统安全评估标准。而现有的涉及到计算机信息安全的相关规定的侧重点不同,对公安机关计算机信息的特点针对性不强,且相关法规层次偏低,立法偏于概括,对风险评估的参考意义不大。

(三)公安机关信息化安全建设的滞后给计算机信息安全风险评估工作带来被动

近年来,计算机网络技术在公安机关的应用日趋成熟,但安全建设明显滞后于系统建设,主要体现在人才队伍建设和技术建设。信息安全领域的竞争,说到底是人才的竞争,公安机关计算机信息专业人才的匮乏集中反映在对相关人才的培养、管理等问题上。当前公安院校还未建立专门培养信息安全高级人才的专业,相关的人才培养仅靠对在职人员开展技术培训,但培训的力度和范围远远不能满足公安队伍的需要。在技术上,我国警用通讯设备开发速度远远落后于网络应用开发和信息化建设步伐。

三、基于AHP 法的公安机关计算机信息安全风险评估的设想

(一)AHP 法概述

层次分析法(Analytic Hierarchy Process,简称AHP 法)是美国运筹学家T.L.萨蒂教授于20世纪70 年代提出的一种多目标决策分析方法。“该方法最早用于美国国防部研究课题——根据各个工业部门对国家福利的贡献大小而进行电力分配。1982 年被引入到我国以后,以其定性与定量相结合处理各种决策因素的特点,以及其系统灵活简洁的优点,迅速地在我国社会经济各个领域”①参见层次分析法(运筹学理论)百度百科。http://baike.baidu.com/link?url=1Vtu3aPpwYLbQmRxzbnT6-jnHc8SW_s8qs7t4pKx3wN8UGf_xHWRkWKcPMxaLa_Y1Py4XKW_iC1kw385g38AN3C8_5-KL8m8xlPpgzTHEES,访问时间为2022年4 月11 日。,如工程计划、资源分配、性能评价、方案排序、城市规划、科研评价等,得到了广泛的重视和应用。

AHP 法的特点是能够在定量信息少的情况下,依靠决策者在本领域丰富的经验,发掘出复杂的决策问题的本质核心,厘清各项影响因素的内在关系,将决策的过程数学化,从而为多目标、多准则或无结构特性的复杂决策问题提供简便的决策方法,是一种适用于难以完全定量的系统做出合理决策的模型和方法。

(二)AHP 法的步骤和方法

AHP 法的基本原理是将复杂问题的多个组成因素权重的整体判断转变为对这些因素进行两两比较然后再转为对这些因素的整体权重进行排序判断,最后确立各因素的权重,是一个分解、判断和综合的过程。AHP 法的基本思路和人们处理一个较复杂的决策问题的基本思路、判断过程大致是相同的。具体操作步骤如下:

1.建立层次结构模型

目标层处于层次分析法的最高层,是决策的主要目的和要解决的问题,通常只有一个总目标。决策需要考虑的因素、决策的准则,为中间层又叫准则层。层次分析法的最底层为方案层,表示决策时的若干个备选方案。AHP 法所要解决的问题是准则层对于目标层的相对权重问题,按此相对权重可以对方案层中的各种备选方案进行排序,从而在不同的方案中做出决策或形成选择的标准(见图1)。

图1 层次结构图

2.构建判断矩阵

通过把准则层的因素两两相互比较,得出比例系数,然后构成判断矩阵。AHP 法在对评估指标的相对重要程度进行测量时,引入了9分位的相对重要的比例标度(见表1)。

表1 Saaty1-9 级判断矩阵标准度①参见萨蒂教授1980 年著,由麦格劳-希尔教育公司出版的《层次分析法》。

3.层次单排序

同一层次因素对于上一层因素某一因素相对重要性的排序权值,这一过程称为层次单排序。共分以下几个步骤:

步骤一:将矩阵A 的每一列向量归一化,其公式为:

步骤二:对按列归一化的判断矩阵,再按行求和,其公式为:

则W=(W1,W2,W3,...,Wn)T即为判断矩阵的特征向量。

4.一致性检验

一致性检验是为了检验各因素重要程度之间的协调性,避免出现甲比乙重要,乙比丙重要,而丙又比甲重要这样的矛盾情况出现。检验的公式为:

其中,CR是判断矩阵的随机一致性比率;CI是判断矩阵的一般一致性指标;

其中,n表示比较判断矩阵阶数,λmax为判断矩阵的最大特征根,其计算公式为:

其中(AW)i代表向量AW的第i 个元素。

R I是判断矩阵的平均随机一致性指标,1~10 阶判断矩阵的R I值(见表2)。

表2 1-10 阶平均随机一致性指标值表①参见萨蒂教授1980 年著,由麦格劳-希尔教育公司出版的《层次分析法》。

若CR<0.10(或CI=0.00)时,说明判断矩阵具有满意的一致性,其权重比例分配合理;否则,需调整判断矩阵。CR的值越小,判断矩阵一致性越好。

5.层次总排序

层次总排序是指计算准则层最底层因素相对于最高目标层重要性的排序权重,即各因素的绝对权重系数。层次总排序需要从上到下逐层按顺序计算,对于最高层下面的第2 层,其层次单排序即为总排序。设上一层次A层包含A1,A2,...,Am共m个因素,它们的层次总排序权重分别为a1,a2,...,am,又设其下一层次B 层包含n个因素,它们关于Ai的层次单排序权重分别为B1j,B2j,...,Bnj。则B 层中各因素层次总排序权重按如下公式计算:

按照此法计算出最底层各因素的权重比,并检验其一致性,然后进行总排序。

6.计算风险值

风险值是综合体现一个单位或系统计算机信息安全情况的定量指标,通过上述计算方法后,可确定最底层各因素或指标相对于目标层的权重比,专家组仍需根据实际情况对各因素的实际安全情况进行综合打分。综合评分可用十分制也可用百分制,但各因素的分数必须在一个评分标准下进行。本文统一使用百分制评分标准以便于计算(见表3)。

表3 底层各因素综合评分标准

经过综合打分后,按下式进行总风险值的计算:

式中,T为某计算机信息安全风险值,Wj为层次总排序后最底层第j个因素或指标的权重比,Dj为专家对最底层第j个因素的综合评分。

(三)AHP 法用于公安机关计算机信息安全风险评估的注意事项

1.公安机关计算机信息系统是一个覆盖全国,使用人数众多,使用层次复杂、风险因素巨大的超复杂系统。在目前的水平上,要用一种方法对这一系统的整体风险进行准确评估,应该是不可能完成的任务。因此,后文选择公安机关管理的一个层级——区公安分局作为评估的试点,主要是因为区分局既是公安机关计算机信息系统的使用者,又是维护者。区分局机关不同于市局、省厅甚至公安部,不需过多考虑政策、规划、开发建设层面的问题;也不同于派出所、职能大队等部门,区分局机关计算机信息安全风险相对较为复杂,有一定的样本意义。又由于区分局机关的工作性质更多在日常管理和业务工作,在构建AHP 层次结构模型时,影响因素大都为日常管理、工作中的风险点。因此,构建基于AHP 的区公安分局机关计算机信息安全风险评估模型,如果方案可行、效果明显,只需调整评估的准则、方案层级,确定风险的侧重,这一理论过程可以泛化为丰富的实践形式。

2.AHP 法是基于有限数据和经验进行的定量分析方法,这就要求模型的建构者要对评估对象十分熟悉,否则多数风险影响因素的权重无法进行比较确定,这是AHP 法的一个明显不足,当然,这一不足也决定了不同的决策者只能在自己熟悉的领域和层次进行使用AHP 决策。

3.由于在公安机关计算机信息安全工作是混杂于大量的业务工作、日常管理工作之中的,没有明确的可供选择的几种方案。作者曾查阅国内资料,到目前为止,只有个别学者提出可应用AHP 法对计算机信息系统安全风险进行评估,但并没有具体的理论建模和过程。作者选择建立基于AHP 法的区公安分局计算机信息安全风险评估模型,其意义在于可以进行不同单位的风险评估、比较,以结果的差异,归固为风险点的异同;同一个单位在不同阶段与时期进行评估,比较结果,给出针对性较强的风险提示建议。

四、构建公安机关计算机信息安全风险评估模型

根据上述设想,现选用某区公安分局计算机信息安全风险评估举一实例。该分局为副处级建制,分局为该大区公安分局的指挥机构。该分局使用基于公安网的一体化信息平台开展日常的文件流转工作,下设警务指挥处、政纪室各一个,配有连接公安网的电脑32 台,不连接任何网络的涉密计算机2 台,连接互联网的计算机8 台。同时该分局2 楼设有公安网专用机房1 间,摆放有公安网网络服务器、交换机1台,大型不间断电源1 台,交换机1 台,避雷、消防设备若干。该分局有1 名民警负责该分局计算机保密工作,同时配有1 名辅警协助专职民警开展计算机的日常维护工作。此次评估工作由市局科信处副处长及4 名科信处民警组成的5 人专家组负责。

(一)建立层次结构模型

由公式1.1 以及资产、威胁、脆弱性的识别内容可知,计算机信息安全风险分析有3 个要素需要识别,而每个要素又包括很多子要素。根据指标的分类,绘制出层次结构模型(见图2)。

图2 前两级指标体系图

专家组根据该分局机关实际情况,对影响分局机关计算机信息安全的资产、威胁、脆弱性进行识别,上述因素可进一步细化为:

1.P1保密性

(1)应用平台的可靠性,如一体化信息平台的抗入侵性;

(2)合法使用者对计算机的唯一性,如开机密码的复杂程度、是否只有使用者本人知道密码;

(3)信息系统网络边界,如一机两用的落实情况。

2.P2完整性

(1)硬件的完整性,包括网络设备(如路由器、网关、交换机等),计算机设备(如大型机、小型机、服务器、台式计算机、便携计算机等),保障设备(如不间断电源、变电设备等、消防设施、防盗设施等),安全保障设备(如防火墙、入侵检测系统、身份鉴别等);

(2)各种数据资料的完整性,包括源代码、数据库、系统文档、代码的操作管理、报表、用户手册、各类文件的文件。

3.P3可用性

(1)机房环境与机房监控;

(2)各类办公系统软件的正常运行。

4.P4环境因素

通信线路故障、火灾、电磁干扰、鼠害、潮湿、停电等情况发生的概率。

5.P5人为因素

(1)恶意人员(如内部人员被策反,对信息系统进行恶意破坏、攻击;内部人员为了满足个人利益盗窃机密信息;敌对势力利用信息系统的脆弱性对网络或系统进行破坏等情况发生的概率);

(2)非恶意人员(如内部人员由于缺少责任感,违规操作计算机而导致信息丢失;内部人员由于缺乏专业知识、不具备岗位技能要求而导致信息系统故障或被攻击)。

6.P6技术脆弱性

(1)物理环境(如从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理);

(2)网络结构(如网络结构设计、边界保护、外部访问控制、内部访问控制、网络设备安全配置);

(3)系统软件(如补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理);

(4)应用系统(如安全协议、数据完整性、访问控制、通信、认证机制)。

7.P7管理脆弱性

(1)组织管理(如安全策略、管理人员素质能力、组织安全、资产控制、人员岗位的符合性);

(2)技术管理(如物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性)。

(二)构建判断矩阵

基于上述的层次结构模型,对该分局计算机信息安全体系准则层的各因素指标进行两两比较。专家组根据表4.1 所示的指标体系,对判断矩阵各因素指标比例值进行赋值,求取比值的平均值构造判断矩阵。

表4.1 A-G 的判断矩阵

(三)层次单排序与一致性的检验

此处由于篇幅原因,仅以A-P6矩阵为例,列出详细计算过程:

CR<0.10,可以接受判断矩阵的一致性。

综上可得:

表4.2 A-C1 的判断矩阵

表4.3 A-C2 的判断矩阵

表4.4 A-C3 的判断矩阵

表4.5 A-P1 的判断矩阵

表4.6 A-P2 的判断矩阵

表4.7 A-P3 的判断矩阵

表4.8 A-P4 的判断矩阵

表4.9 A-P5 的判断矩阵

表4.10 A-P6 的判断矩阵

表4.11 A-P7 的判断矩阵

由上述表格可知,各矩阵CR<0.1(或CR=0),说明均通过一致性检验。

(四)层次总排序

由公式3-7:对最底层各因素进行层次总排序:

表4.12 层次总排序表

(五)计算风险值与结果分析

专家组根据《公安计算机信息系统安全保护规定》的相关要求,结合实际情况对该分局计算机信息安全工作进行打分,求取平均值后得到对该模型底层各因素的综合评分(见表4.13)。

表4.13 各因素综合评分表

综上可得:

该分局机关计算机信息安全风险值为81.57,其安全风险评估等级为“中等”。从权重分析来看,各类办公系统软件的正常运行对计算机信息安全总队风险的影响最大,说明确保计算机信息的完整性是目前公安机关计算机信息安全工作的基础工作;恶意人员的影响排在第二位,也反映出了当前公安机关信息保密工作所面临的严峻形势;排在第三位的是合法使用者对计算机的唯一性,这与公安机关民警、辅警安全保密意识不够强的现状是相符的。从计算结果来看,该分局机关落实合法使用者对计算机的唯一性还存在较大的不足,应采取切实有效的措施来规避,降低,转移风险。同时该分局在保密工作的组织管理上也存在一定问题。

专家组根据该分局机关评估情况,提出规避、降低风险对策,并根据紧急程度将对应措施分为非常紧急、紧急和一般三个等级(见表4.14)。

表4.14 专家组规避措施建议汇总表

五、基于AHP 法的公安机关计算机信息安全风险评估的应用、启发、前景

(一)应用

本研究中所建立的公安机关计算机信息风险评估模型,在实际应用中可以考虑以下4 个方面展开:

1.对公安机关各建制单位计算机系统风险进行定期评估,比如可根据影响因素的变化情况,选定一个月,或一个季度,或半年,开展一次评估,通过前后总风险值,判定风险的增减,检验风险控制的效果。

2.对公安机关一定范围内(如一个市公安局内)的所有相同建制单位(如派出所),同期进行评估,通过前后总风险值,判定各单位计算机信息安全风险排名,以确定整改的重点单位,并总结出成功的经验,以资借鉴。

3.不论是对同一个单位不同时期的评估,还是同时期对不同单位的评估,通过对评估结果的归固分析,均能得出准确的风险点提示及针对性较强的风险防范对策,提高风险防控能力。同时,评估本身也是防范风险的演练和对民警、辅警防范风险的教育,可以做到警钟长鸣。

4.以本模型为参照,结合公安机关不同层级、不同工作重点的实际,建立其它的风险评估模型,多种模型、多层次、多角度应用,达到提高公安机关计算机信息安全风险防范的整体水平。

(二)启发

为了实现以上的应用,公安机关在现有工作体系中至少应当补充以下三个方面内容:

1.要建立专门的小组,或者专人负责计算机信息安全防范、评估工作。区县级公安机关及以下可兼职,市一级以上公安机关则可考虑安排专门人员。

2.尽管公安机关计算机信息安全的有关法规、条令,至少需省公安厅甚至更高级别的机关制定,但每个层级的基层单位均可根据实际情况对风险评估、研判、规避等相关工作提出要求,不断完善安全管理,形成稳定的工作流程,确保工作落到实处。

3.要设计统一格式的表格、日志簿等,对计算机信息安全方面的信息及时、准确、规范地记载,以保证建模的合理性和评估结果的充分可比较。还要对每一次评估的资料留档,并认真分析,以研判风险程度,提出有效的防范对策。

(三)前景

以科学、系统的方法评估公安机关计算机信息安全风险,在本研究中仅仅是一个尝试,在未来不仅是改进各项工作的重要方向,可能还会成为一个专门的领域。以本文采用AHP 法为例,在评估模型成熟后,特别是评估流程规范后,可以开发专门的软件进行计算机信息安全风险评估建模和日常评估,在现有的公安一体化信息平台上自动显示安全风险提示,随着形势的发展,软件可以随之更新、升级。

猜你喜欢

公安机关信息安全矩阵
衡阳市公安机关党员风采剪影
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
公安机关处置家庭暴力案件的实证研究
高校信息安全防护
对已经移送公安机关案件的当事人做出罚款的行为是否涉嫌渎职犯罪?
公安机关刑事案件侦查中的假说、推理和证据
初等行变换与初等列变换并用求逆矩阵
保护个人信息安全刻不容缓
矩阵