FMEA信息安全風(fēng)險評估模型在檢驗檢疫系統(tǒng)內(nèi)的應(yīng)用

陳多思+盧挺

[提要] FMEA風(fēng)險評估方法是通過資產(chǎn)價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）四個參數(shù)，通過數(shù)學(xué)方法計算得到風(fēng)險值（RPN），相對于目前國際通用的傳統(tǒng)信息安全風(fēng)險評估方法ISO13335，F(xiàn)MEA的方法增加了失效影響（E）這一新的參數(shù)，可以更準(zhǔn)確的反映風(fēng)險大小。

關(guān)鍵詞：風(fēng)險評估；FMEA；資產(chǎn)價值；威脅；脆弱性；失效影響；風(fēng)險值

中圖分類號：C93 文獻標(biāo)識碼：A

原標(biāo)題：FMEA信息安全風(fēng)險評估模型在檢驗檢疫系統(tǒng)內(nèi)的應(yīng)用

收錄日期：2014年8月26日

一、背景

1998年3月，成立了中華人民共和國出入境檢驗檢疫局（國家進出口商品檢驗局、原農(nóng)業(yè)部動植物檢疫局和原衛(wèi)生部檢疫局合并組建）。出入境檢驗檢疫機構(gòu)全面推行“一次報驗、一次取樣、一次檢驗檢疫、一次衛(wèi)生除害處理、一次收費、一次簽證放行”六個一的管理模式，對外簡化辦事手續(xù)，避免政出多門、提高工作效率、方便外貿(mào)進出口、降低收費、減輕企業(yè)負擔(dān)、強化依法把關(guān)力度、促進外貿(mào)經(jīng)濟健康發(fā)展具有十分重要的意義。

信息化工作是檢驗檢疫業(yè)務(wù)中一項重要的基礎(chǔ)性工作，信息技術(shù)的應(yīng)用提高了檢驗檢疫把關(guān)服務(wù)能力，為全面履行檢驗檢疫職能提供了強有力的技術(shù)支撐和科技保障。在實際工作中，我們看到大量信息技術(shù)被應(yīng)用在檢驗檢疫業(yè)務(wù)中，如 “預(yù)警信息管理系統(tǒng)助力醫(yī)學(xué)媒介生物監(jiān)測鑒定”、“體溫篩查系統(tǒng)助力旅客通關(guān)”、“視頻監(jiān)控系統(tǒng)助力口岸防控”、“射頻RAID技術(shù)助力進出口貨物檢驗檢疫跟蹤”成為推動檢驗檢疫服務(wù)水平與業(yè)務(wù)高效、創(chuàng)新的重要手段。而在檢驗檢疫系統(tǒng)的內(nèi)部管理中，“CIQ2000系統(tǒng)數(shù)據(jù)大集中”、“視頻會議系統(tǒng)全覆蓋”、“業(yè)務(wù)無紙化流轉(zhuǎn)”、“政務(wù)網(wǎng)站大整合”等，成為提升檢驗檢疫工作質(zhì)量和工作效率強有力的助推器。

隨著檢驗檢疫業(yè)務(wù)（以下簡稱“CIQ”業(yè)務(wù)）對信息系統(tǒng)依賴程度的日益增強，信息安全問題受到普遍關(guān)注。運用風(fēng)險評估去識別安全風(fēng)險，解決信息安全問題得到了廣泛的認(rèn)識和應(yīng)用。

信息安全風(fēng)險評估就是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。

信息安全風(fēng)險評估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，要貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計、實施、運行維護以及廢棄各個階段，是信息安全管理體系與信息安全等級保護制度建設(shè)的重要科學(xué)方法之一。

二、風(fēng)險評估介紹

目前最普遍使用的信息安全風(fēng)險評估方法就是風(fēng)險評估的國際標(biāo)準(zhǔn)ISO13335：2005，該標(biāo)準(zhǔn)已被等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)《GB/T 20984：2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》（簡稱《國標(biāo)GB/T 20984》）。其中，關(guān)于風(fēng)險大小的決定性因素的描述如下：1、業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險越小；2、資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；3、風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大；4、資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的脆弱性越多則風(fēng)險越大；5、脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)。

對以上內(nèi)容進行歸納，總結(jié)出風(fēng)險分析的原理如圖1所示。（圖1）即，風(fēng)險的大小是由風(fēng)險的可能性和嚴(yán)重性決定的，威脅頻率和脆弱性決定風(fēng)險的可能性（L），資產(chǎn)價值和脆弱性決定了風(fēng)險的嚴(yán)重性（F），通過識別資產(chǎn)價值（A）、威脅（T）和資產(chǎn)脆弱性（V）就可以計算出該資產(chǎn)的風(fēng)險值。

因此，風(fēng)險分析的主要內(nèi)容就是：1、對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；2、對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；3、對脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；4、根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；5、根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失；6、根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。

風(fēng)險值=R（V，P，W）=R（O（P，W），S （V，W））。（為了與后文統(tǒng)一，在公式中用V、P、W、O、S替換了《GB/T 20984》561章節(jié)原文中的對應(yīng)字母符號）

其中，R表示安全風(fēng)險計算函數(shù)；V表示資產(chǎn)價值；P表示威脅頻率；W表示脆弱性；O表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；S表示安全事件發(fā)生后造成的損失。有以下三個關(guān)鍵計算環(huán)節(jié)：

（一）計算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件的可能性=L（威脅出現(xiàn)頻率，脆弱性）=O （P，W）。

在具體評估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時間、設(shè)計和操作知識公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。

（二）計算安全事件發(fā)生后造成的損失。根據(jù)資產(chǎn)價值及脆弱性嚴(yán)重程度，計算安全事件一旦發(fā)生后所造成的損失，即：安全事件造成的損失=F（資產(chǎn)價值，脆弱性嚴(yán)重程度）=S （V，W）。

部分安全事件的發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織的影響也是不一樣的。在計算某個安全事件的損失時，應(yīng)將對組織的影響也考慮在內(nèi)。

部分安全事件造成的損失的判斷還應(yīng)參照安全事件發(fā)生可能性的結(jié)果，對發(fā)生可能性極小的安全事件，如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計算其損失。

（三）計算風(fēng)險值。根據(jù)計算出的安全事件的可能性以及安全事件造成的損失，計算風(fēng)險值，即：風(fēng)險值=R（安全事件的可能性，安全事件造成的損失）=R（O （P，W），S （V，W））。

評估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險計算方法計算風(fēng)險值，如矩陣法或相乘法。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗函數(shù)，將安全事件的可能性與安全事件造成的損失進行運算得到風(fēng)險值。

三、什么是FMEA風(fēng)險評估方法

（一）FMEA的起源和背景。國際標(biāo)準(zhǔn)化組織（ISO）于2002年3月公布了一項行業(yè)性的質(zhì)量體系要求，它的全名是“質(zhì)量管理體系—汽車行業(yè)生產(chǎn)件與相關(guān)服務(wù)件的組織實施ISO9001：2000的特殊要求”，英文為ISO/TS16949。標(biāo)準(zhǔn)中提供了實施必需的五大工具以保障體系的有效落地，它們分別是：產(chǎn)品質(zhì)量先期策劃（APQP）、測量系統(tǒng)分析（MSA）、統(tǒng)計過程控制（SPC）、生產(chǎn)件批準(zhǔn)（PPAP）和潛在失效模式與后果分析（FMEA）。

潛在失效模式與后果分析（FMEA），又稱為失效模式與影響后果分析、失效模式與效應(yīng)分析、故障模式與后果分析或故障模式與效應(yīng)分析等，是一種操作規(guī)程，旨在對系統(tǒng)范圍內(nèi)潛在的失效模式加以分析，以便按照嚴(yán)重程度加以分類，或者確定失效對于該系統(tǒng)的影響。FMEA廣泛應(yīng)用于制造行業(yè)產(chǎn)品生命周期、質(zhì)量控制、風(fēng)險分析等的各個階段；而且FMEA在服務(wù)行業(yè)的應(yīng)用也在日益增多。失效原因是指業(yè)務(wù)服務(wù)、產(chǎn)品加工處理、設(shè)計過程中或項目/物品/信息資產(chǎn)項、本身存在的任何錯誤或缺陷，尤其是那些將會對業(yè)務(wù)保障（或具體消費者）造成影響的錯誤或缺陷；失效原因可分為潛在的和實際的。影響分析指的是對于這些失效之處的調(diào)查研究。

FMEA是一種過程評價工具，于1950年起源于美國軍方和宇航局，它是通過逐一分析過程中的各種組成因素，找出潛在的失效模式，分析可能產(chǎn)生的后果，并評估其風(fēng)險，從而提前采取措施，以減少失效后的損失，降低發(fā)生的幾率，所以在本文中引入FMEA的分析方法來解決傳統(tǒng)風(fēng)險評估方法中存在的一些缺陷。

（二）FMEA風(fēng)險評估的原理。雖然ISO13335是目前全球使用最廣泛的信息安全風(fēng)險評估方法論，但是由于這份標(biāo)準(zhǔn)是2005年制定的，至今已有十余個年頭。而這十年是信息技術(shù)蓬勃發(fā)展的十年，大量新的技術(shù)手段涌現(xiàn)并被人們使用。大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等等這些新技術(shù)在帶來技術(shù)革新和應(yīng)用便利的同時，也帶來了新的安全隱患。我們需要關(guān)注的風(fēng)險除了資產(chǎn)本身的風(fēng)險之外，還需要關(guān)注資產(chǎn)失效后的影響衍生出的風(fēng)險，而傳統(tǒng)方法在這一領(lǐng)域又難以有效地準(zhǔn)確評價出風(fēng)險的大小，因此我們需要一種能夠更準(zhǔn)確反映風(fēng)險大小的評估方法。

對于風(fēng)險值大小，我們還是遵循原有的規(guī)律，即嚴(yán)重性越高的風(fēng)險越高；可能性越大的風(fēng)險越高，即風(fēng)險與嚴(yán)重性和可能性成正比。如圖2所示。（圖2）

在測量風(fēng)險的嚴(yán)重性和可能性方面，相對于ISO13335：2005，我們多引入了一個參數(shù)，失效模式的影響（E），這個參數(shù)可能會影響到風(fēng)險的嚴(yán)重性。因此，F(xiàn)MEA的風(fēng)險評估方法論可以總結(jié)為：1、所有資產(chǎn)自身都有一定的脆弱性；2、威脅利用了資產(chǎn)的脆弱性導(dǎo)致了資產(chǎn)的失效；3、由于資產(chǎn)的失效而產(chǎn)生了風(fēng)險；4、不同失效的程度導(dǎo)致風(fēng)險的嚴(yán)重程度不同；5、資產(chǎn)價值和資產(chǎn)失效程度影響風(fēng)險的嚴(yán)重性；6、威脅的頻率和弱點被利用的難易程度影響風(fēng)險的可能性；7、嚴(yán)重性和可能性決定了最終的風(fēng)險值。

對已上內(nèi)容進行歸納，總結(jié)出風(fēng)險分析的原理如圖3所示。（圖3）

四、FMEA風(fēng)險評估在CIQ的應(yīng)用

FMEA風(fēng)險評估方法自2008年首次被開發(fā)在信息安全管理體系中應(yīng)用并于2009年通過國際第三方權(quán)威審核機構(gòu)的ISO27001認(rèn)證，經(jīng)過多年的修訂和持續(xù)研發(fā)，目前在中國檢驗檢疫系統(tǒng)內(nèi)已經(jīng)有常州出入境檢驗檢疫局、蘇州出入境檢驗檢疫局、江陰出入境檢驗檢疫局等分支局在使用，跟檢驗檢疫業(yè)務(wù)有關(guān)聯(lián)性的海關(guān)、口岸等相關(guān)單位也有部分落地的案例。

（一）失效影響的賦值。FMEA風(fēng)險評估方法的核心是引入了“失效模式的影響（E）”這一評估參數(shù)使得得到的風(fēng)險值更加準(zhǔn)確。如何對“失效模式的影響（E）”進行賦值，就是FMEA風(fēng)險評估方法用于實際風(fēng)險值計算的關(guān)鍵。

在《國標(biāo)GB/T 20984》中將風(fēng)險評估的所有參數(shù)（資產(chǎn)保密性、資產(chǎn)完整性、資產(chǎn)可用性、資產(chǎn)等級、威脅頻率、脆弱性）均分為5個級別進行賦值，1級最低，5級最高。因為在計算風(fēng)險值時也需要用到以上參數(shù)，為了保持與《國標(biāo)GB/T 20984》的兼容性，我們將“失效模式的影響（E）”也同樣分為5個級別，如表1所示。（表1）

為了方便應(yīng)用，我們將這五個級別分別對應(yīng)為下列五種失效程度，如表2所示。（表2）

（二）FMEA風(fēng)險計算的原理。FMEA風(fēng)險計算是通過資產(chǎn)價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）四個參數(shù)通過數(shù)學(xué)方法計算得到風(fēng)險值（RPN）。

1、建立FMEA風(fēng)險計算的數(shù)學(xué)模型首先要滿足參數(shù)對風(fēng)險值影響的方向：

（1）因為資產(chǎn)價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對最終的風(fēng)險值（RPN）為正向影響，所以V、E、P、W的數(shù)值與RPN數(shù)值成正比。

（2）V、E、P、W四個參數(shù)都大的風(fēng)險值必然大，即：若V1>V2；E1>E2；P1>P2；W1>W2，則RPN（V1、E1、P1、W1）>RPN（V2、E2、P2、W2）。

（3）若任意三個參數(shù)相同，第四個參數(shù)大的風(fēng)險值大，即：若V1>V2，則RPN（V1、E1、P1、W1）>RPN（V2、E1、P1、W1）；若E1>E2，則RPN（V1、E1、P1、W1）>RPN（V1、E2、P1、W1）；若P1>P2，則RPN（V1、E1、P1、W1）>RPN（V1、E1、P2、W1）；若W1>W2，則RPN（V1、E1、P1、W1）>RPN（V1、E1、P1、W2）。

2、為了準(zhǔn)確評價數(shù)學(xué)模型的有效性，應(yīng)將模型計算值的影響因素減至最少，提供一個不受權(quán)重等因素影響的純凈模型，以便于及時調(diào)整。

（1）風(fēng)險計算的四個參數(shù)，資產(chǎn)價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對最終的風(fēng)險值（RPN）的影響應(yīng)該是相同的，即：RPN（V、E、P、W）=RPN（2、3、3、2）=RPN（2、2、3、3）=RPN（3、2、2、3）=RPN（3、3、2、2）。

（2）風(fēng)險計算的四個參數(shù)，資產(chǎn)價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）的增幅對最終的風(fēng)險值（RPN）的影響應(yīng)該是相同的，即：RPN（V1、E1、P1、W1）-RPN（V2、E2、P2、W2）=RPN（5、5、5、5）-RPN（4、4、4、4）=RPN（4、4、4、4）-RPN（3、3、3、3）=RPN（3、3、3、3）-RPN（2、2、2、2）=RPN（2、2、2、2）-RPN（1、1、1、1）。

（3）在純凈風(fēng)險模型計算結(jié)果的基礎(chǔ)上，通過對比風(fēng)險計算結(jié)果和實際風(fēng)險差距，對風(fēng)險分析的各個維度權(quán)重進行調(diào)整。

（三）FMEA風(fēng)險計算公式。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在保密性、完整性、可用性這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性，以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。

風(fēng)險計算方法：1、保密性、完整性和可用性決定資產(chǎn)價值：（1）保密性越高，資產(chǎn)價值越大；（2）完整性越高，資產(chǎn)價值越大；（3）可用性越高，資產(chǎn)價值越大。2、資產(chǎn)價值、資產(chǎn)失效程度決定風(fēng)險嚴(yán)重性。3、威脅頻率和資產(chǎn)脆弱性決定風(fēng)險可能性。4、風(fēng)險嚴(yán)重性與風(fēng)險可能性決定風(fēng)險值：（1）資產(chǎn)價值越高，資產(chǎn)失效后風(fēng)險越大；（2）資產(chǎn)失效越嚴(yán)重則風(fēng)險越大；（3）風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大；（4）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的脆弱性越多則風(fēng)險越大。

風(fēng)險計算公式：

資產(chǎn)價值V=

嚴(yán)重性S=

可能性O(shè)=

風(fēng)險值RPN=

RPN=

其中，C、I、A、E、P、W是風(fēng)險值RPN的計算參數(shù)，x、y、z、m、n、i、j、α、β是以上計算參數(shù)的權(quán)重。

假設(shè)權(quán)重系數(shù)全部為1的情況下，風(fēng)險計算公式為：

RPN=

若在風(fēng)險分析中，我們更側(cè)重于某項參數(shù)對風(fēng)險值的影響，則可以調(diào)整該參數(shù)的權(quán)重值，如我們將權(quán)重參數(shù)設(shè)置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1，則表示失效影響（E）對風(fēng)險值的影響更大，我們優(yōu)先降低失效影響，可以更高效控制風(fēng)險。

（四）FMEA風(fēng)險評估在CIQ的應(yīng)用成果。2012年末，常州出入境檢驗檢疫局順利通過中國信息安全認(rèn)證中心（簡稱ISCCC）的ISO27001信息安全管理體系現(xiàn)場審核，成為國內(nèi)首家實施信息安全管理體系并通過ISO27001認(rèn)證的政府機構(gòu)。2012年中國合格評定國家認(rèn)可委員會（簡稱CNAS）信息安全認(rèn)證專業(yè)委員會年會上，該項目被選為推薦案例，并受邀出席會議現(xiàn)場介紹體系建設(shè)、推廣的成功經(jīng)驗，其中FMEA風(fēng)險評估法作為該項目的重要創(chuàng)新點，受到與會專家的特別關(guān)注，并受到與會專家的一致好評。通過對FMEA風(fēng)險評估方法論的原理和分析模型的詳細介紹，經(jīng)與會專家論證，均認(rèn)可該方法的先進性已經(jīng)超越了ISO13335：2005（國標(biāo)GB/T 20984：2007），在全球信息安全風(fēng)險評估方法論的理論研究和實踐中處于領(lǐng)先水平。

五、結(jié)束語

隨著中國加入世貿(mào)組織，對外貿(mào)易和活動日益頻繁，出入境檢驗檢疫業(yè)務(wù)量激增，對信息系統(tǒng)的依賴程度也越來越大，因此對信息安全的要求也逐年提高，風(fēng)險評估是信息安全管理的基礎(chǔ)，其重要性不言而喻。本文系統(tǒng)地闡述了作者在信息安全風(fēng)險管理領(lǐng)域的研究成果及在檢驗檢疫系統(tǒng)內(nèi)單位的實施經(jīng)驗，對檢驗檢疫系統(tǒng)內(nèi)其他單位在信息安全風(fēng)險評估方面工作具有很好的參考性。

本文在研究的深度上還有待進一步挖掘。特別是對于如何得到“失效模式的影響（E）”這一參數(shù)的精確值，作者設(shè)想可以從對“失效時間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復(fù)能力”等方面進行分析，通過一個數(shù)學(xué)模型計算得到以上失效因素對最終“失效模式的影響（E）”變化的影響，以便于分析結(jié)果更精準(zhǔn)。

主要參考文獻：

[1]嵇國光，王大禹，嚴(yán)慶峰ISO＼TS16949五大核心工具應(yīng)用手冊中國標(biāo)準(zhǔn)出版社，2010111

[2]孫遠志，吳文忠檢驗檢疫風(fēng)險管理研究中國計量出版社，201411

[3]GB7826-87系統(tǒng)可靠性分析技術(shù)，失效模式和效應(yīng)分析（FMEA）程序

[4]GB/T 20984-2007信息安全技術(shù)、信息安全風(fēng)險評估規(guī)范中國標(biāo)準(zhǔn)出版社，200781

[5]GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求中國標(biāo)準(zhǔn)出版社，200862

[6]李宗，華菊對檢驗檢疫風(fēng)險防范管理的認(rèn)識中國檢驗檢疫，20113

2、為了準(zhǔn)確評價數(shù)學(xué)模型的有效性，應(yīng)將模型計算值的影響因素減至最少，提供一個不受權(quán)重等因素影響的純凈模型，以便于及時調(diào)整。

（1）風(fēng)險計算的四個參數(shù)，資產(chǎn)價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對最終的風(fēng)險值（RPN）的影響應(yīng)該是相同的，即：RPN（V、E、P、W）=RPN（2、3、3、2）=RPN（2、2、3、3）=RPN（3、2、2、3）=RPN（3、3、2、2）。

（2）風(fēng)險計算的四個參數(shù)，資產(chǎn)價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）的增幅對最終的風(fēng)險值（RPN）的影響應(yīng)該是相同的，即：RPN（V1、E1、P1、W1）-RPN（V2、E2、P2、W2）=RPN（5、5、5、5）-RPN（4、4、4、4）=RPN（4、4、4、4）-RPN（3、3、3、3）=RPN（3、3、3、3）-RPN（2、2、2、2）=RPN（2、2、2、2）-RPN（1、1、1、1）。

（3）在純凈風(fēng)險模型計算結(jié)果的基礎(chǔ)上，通過對比風(fēng)險計算結(jié)果和實際風(fēng)險差距，對風(fēng)險分析的各個維度權(quán)重進行調(diào)整。

（三）FMEA風(fēng)險計算公式。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在保密性、完整性、可用性這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性，以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。

風(fēng)險計算方法：1、保密性、完整性和可用性決定資產(chǎn)價值：（1）保密性越高，資產(chǎn)價值越大；（2）完整性越高，資產(chǎn)價值越大；（3）可用性越高，資產(chǎn)價值越大。2、資產(chǎn)價值、資產(chǎn)失效程度決定風(fēng)險嚴(yán)重性。3、威脅頻率和資產(chǎn)脆弱性決定風(fēng)險可能性。4、風(fēng)險嚴(yán)重性與風(fēng)險可能性決定風(fēng)險值：（1）資產(chǎn)價值越高，資產(chǎn)失效后風(fēng)險越大；（2）資產(chǎn)失效越嚴(yán)重則風(fēng)險越大；（3）風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大；（4）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的脆弱性越多則風(fēng)險越大。

風(fēng)險計算公式：

資產(chǎn)價值V=

嚴(yán)重性S=

可能性O(shè)=

風(fēng)險值RPN=

RPN=

其中，C、I、A、E、P、W是風(fēng)險值RPN的計算參數(shù)，x、y、z、m、n、i、j、α、β是以上計算參數(shù)的權(quán)重。

假設(shè)權(quán)重系數(shù)全部為1的情況下，風(fēng)險計算公式為：

RPN=

若在風(fēng)險分析中，我們更側(cè)重于某項參數(shù)對風(fēng)險值的影響，則可以調(diào)整該參數(shù)的權(quán)重值，如我們將權(quán)重參數(shù)設(shè)置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1，則表示失效影響（E）對風(fēng)險值的影響更大，我們優(yōu)先降低失效影響，可以更高效控制風(fēng)險。

（四）FMEA風(fēng)險評估在CIQ的應(yīng)用成果。2012年末，常州出入境檢驗檢疫局順利通過中國信息安全認(rèn)證中心（簡稱ISCCC）的ISO27001信息安全管理體系現(xiàn)場審核，成為國內(nèi)首家實施信息安全管理體系并通過ISO27001認(rèn)證的政府機構(gòu)。2012年中國合格評定國家認(rèn)可委員會（簡稱CNAS）信息安全認(rèn)證專業(yè)委員會年會上，該項目被選為推薦案例，并受邀出席會議現(xiàn)場介紹體系建設(shè)、推廣的成功經(jīng)驗，其中FMEA風(fēng)險評估法作為該項目的重要創(chuàng)新點，受到與會專家的特別關(guān)注，并受到與會專家的一致好評。通過對FMEA風(fēng)險評估方法論的原理和分析模型的詳細介紹，經(jīng)與會專家論證，均認(rèn)可該方法的先進性已經(jīng)超越了ISO13335：2005（國標(biāo)GB/T 20984：2007），在全球信息安全風(fēng)險評估方法論的理論研究和實踐中處于領(lǐng)先水平。

五、結(jié)束語

隨著中國加入世貿(mào)組織，對外貿(mào)易和活動日益頻繁，出入境檢驗檢疫業(yè)務(wù)量激增，對信息系統(tǒng)的依賴程度也越來越大，因此對信息安全的要求也逐年提高，風(fēng)險評估是信息安全管理的基礎(chǔ)，其重要性不言而喻。本文系統(tǒng)地闡述了作者在信息安全風(fēng)險管理領(lǐng)域的研究成果及在檢驗檢疫系統(tǒng)內(nèi)單位的實施經(jīng)驗，對檢驗檢疫系統(tǒng)內(nèi)其他單位在信息安全風(fēng)險評估方面工作具有很好的參考性。

本文在研究的深度上還有待進一步挖掘。特別是對于如何得到“失效模式的影響（E）”這一參數(shù)的精確值，作者設(shè)想可以從對“失效時間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復(fù)能力”等方面進行分析，通過一個數(shù)學(xué)模型計算得到以上失效因素對最終“失效模式的影響（E）”變化的影響，以便于分析結(jié)果更精準(zhǔn)。

主要參考文獻：

[1]嵇國光，王大禹，嚴(yán)慶峰ISO＼TS16949五大核心工具應(yīng)用手冊中國標(biāo)準(zhǔn)出版社，2010111

[2]孫遠志，吳文忠檢驗檢疫風(fēng)險管理研究中國計量出版社，201411

[3]GB7826-87系統(tǒng)可靠性分析技術(shù)，失效模式和效應(yīng)分析（FMEA）程序

[4]GB/T 20984-2007信息安全技術(shù)、信息安全風(fēng)險評估規(guī)范中國標(biāo)準(zhǔn)出版社，200781

[5]GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求中國標(biāo)準(zhǔn)出版社，200862

[6]李宗，華菊對檢驗檢疫風(fēng)險防范管理的認(rèn)識中國檢驗檢疫，20113

2、為了準(zhǔn)確評價數(shù)學(xué)模型的有效性，應(yīng)將模型計算值的影響因素減至最少，提供一個不受權(quán)重等因素影響的純凈模型，以便于及時調(diào)整。

（1）風(fēng)險計算的四個參數(shù)，資產(chǎn)價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對最終的風(fēng)險值（RPN）的影響應(yīng)該是相同的，即：RPN（V、E、P、W）=RPN（2、3、3、2）=RPN（2、2、3、3）=RPN（3、2、2、3）=RPN（3、3、2、2）。

（2）風(fēng)險計算的四個參數(shù)，資產(chǎn)價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）的增幅對最終的風(fēng)險值（RPN）的影響應(yīng)該是相同的，即：RPN（V1、E1、P1、W1）-RPN（V2、E2、P2、W2）=RPN（5、5、5、5）-RPN（4、4、4、4）=RPN（4、4、4、4）-RPN（3、3、3、3）=RPN（3、3、3、3）-RPN（2、2、2、2）=RPN（2、2、2、2）-RPN（1、1、1、1）。

（3）在純凈風(fēng)險模型計算結(jié)果的基礎(chǔ)上，通過對比風(fēng)險計算結(jié)果和實際風(fēng)險差距，對風(fēng)險分析的各個維度權(quán)重進行調(diào)整。

（三）FMEA風(fēng)險計算公式。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在保密性、完整性、可用性這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性，以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。

風(fēng)險計算方法：1、保密性、完整性和可用性決定資產(chǎn)價值：（1）保密性越高，資產(chǎn)價值越大；（2）完整性越高，資產(chǎn)價值越大；（3）可用性越高，資產(chǎn)價值越大。2、資產(chǎn)價值、資產(chǎn)失效程度決定風(fēng)險嚴(yán)重性。3、威脅頻率和資產(chǎn)脆弱性決定風(fēng)險可能性。4、風(fēng)險嚴(yán)重性與風(fēng)險可能性決定風(fēng)險值：（1）資產(chǎn)價值越高，資產(chǎn)失效后風(fēng)險越大；（2）資產(chǎn)失效越嚴(yán)重則風(fēng)險越大；（3）風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大；（4）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的脆弱性越多則風(fēng)險越大。

風(fēng)險計算公式：

資產(chǎn)價值V=

嚴(yán)重性S=

可能性O(shè)=

風(fēng)險值RPN=

RPN=

其中，C、I、A、E、P、W是風(fēng)險值RPN的計算參數(shù)，x、y、z、m、n、i、j、α、β是以上計算參數(shù)的權(quán)重。

假設(shè)權(quán)重系數(shù)全部為1的情況下，風(fēng)險計算公式為：

RPN=

若在風(fēng)險分析中，我們更側(cè)重于某項參數(shù)對風(fēng)險值的影響，則可以調(diào)整該參數(shù)的權(quán)重值，如我們將權(quán)重參數(shù)設(shè)置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1，則表示失效影響（E）對風(fēng)險值的影響更大，我們優(yōu)先降低失效影響，可以更高效控制風(fēng)險。

（四）FMEA風(fēng)險評估在CIQ的應(yīng)用成果。2012年末，常州出入境檢驗檢疫局順利通過中國信息安全認(rèn)證中心（簡稱ISCCC）的ISO27001信息安全管理體系現(xiàn)場審核，成為國內(nèi)首家實施信息安全管理體系并通過ISO27001認(rèn)證的政府機構(gòu)。2012年中國合格評定國家認(rèn)可委員會（簡稱CNAS）信息安全認(rèn)證專業(yè)委員會年會上，該項目被選為推薦案例，并受邀出席會議現(xiàn)場介紹體系建設(shè)、推廣的成功經(jīng)驗，其中FMEA風(fēng)險評估法作為該項目的重要創(chuàng)新點，受到與會專家的特別關(guān)注，并受到與會專家的一致好評。通過對FMEA風(fēng)險評估方法論的原理和分析模型的詳細介紹，經(jīng)與會專家論證，均認(rèn)可該方法的先進性已經(jīng)超越了ISO13335：2005（國標(biāo)GB/T 20984：2007），在全球信息安全風(fēng)險評估方法論的理論研究和實踐中處于領(lǐng)先水平。

五、結(jié)束語

隨著中國加入世貿(mào)組織，對外貿(mào)易和活動日益頻繁，出入境檢驗檢疫業(yè)務(wù)量激增，對信息系統(tǒng)的依賴程度也越來越大，因此對信息安全的要求也逐年提高，風(fēng)險評估是信息安全管理的基礎(chǔ)，其重要性不言而喻。本文系統(tǒng)地闡述了作者在信息安全風(fēng)險管理領(lǐng)域的研究成果及在檢驗檢疫系統(tǒng)內(nèi)單位的實施經(jīng)驗，對檢驗檢疫系統(tǒng)內(nèi)其他單位在信息安全風(fēng)險評估方面工作具有很好的參考性。

本文在研究的深度上還有待進一步挖掘。特別是對于如何得到“失效模式的影響（E）”這一參數(shù)的精確值，作者設(shè)想可以從對“失效時間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復(fù)能力”等方面進行分析，通過一個數(shù)學(xué)模型計算得到以上失效因素對最終“失效模式的影響（E）”變化的影響，以便于分析結(jié)果更精準(zhǔn)。

主要參考文獻：

[1]嵇國光，王大禹，嚴(yán)慶峰ISO＼TS16949五大核心工具應(yīng)用手冊中國標(biāo)準(zhǔn)出版社，2010111

[2]孫遠志，吳文忠檢驗檢疫風(fēng)險管理研究中國計量出版社，201411

[3]GB7826-87系統(tǒng)可靠性分析技術(shù)，失效模式和效應(yīng)分析（FMEA）程序

[4]GB/T 20984-2007信息安全技術(shù)、信息安全風(fēng)險評估規(guī)范中國標(biāo)準(zhǔn)出版社，200781

[5]GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求中國標(biāo)準(zhǔn)出版社，200862

[6]李宗，華菊對檢驗檢疫風(fēng)險防范管理的認(rèn)識中國檢驗檢疫，20113