陳多思+盧挺

[提要] FMEA風(fēng)險(xiǎn)評(píng)估方法是通過(guò)資產(chǎn)價(jià)值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）四個(gè)參數(shù)，通過(guò)數(shù)學(xué)方法計(jì)算得到風(fēng)險(xiǎn)值（RPN），相對(duì)于目前國(guó)際通用的傳統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方法ISO13335，F(xiàn)MEA的方法增加了失效影響（E）這一新的參數(shù)，可以更準(zhǔn)確的反映風(fēng)險(xiǎn)大小。

關(guān)鍵詞：風(fēng)險(xiǎn)評(píng)估；FMEA；資產(chǎn)價(jià)值；威脅；脆弱性；失效影響；風(fēng)險(xiǎn)值

中圖分類號(hào)：C93 文獻(xiàn)標(biāo)識(shí)碼：A

原標(biāo)題：FMEA信息安全風(fēng)險(xiǎn)評(píng)估模型在檢驗(yàn)檢疫系統(tǒng)內(nèi)的應(yīng)用

收錄日期：2014年8月26日

一、背景

1998年3月，成立了中華人民共和國(guó)出入境檢驗(yàn)檢疫局（國(guó)家進(jìn)出口商品檢驗(yàn)局、原農(nóng)業(yè)部動(dòng)植物檢疫局和原衛(wèi)生部檢疫局合并組建）。出入境檢驗(yàn)檢疫機(jī)構(gòu)全面推行“一次報(bào)驗(yàn)、一次取樣、一次檢驗(yàn)檢疫、一次衛(wèi)生除害處理、一次收費(fèi)、一次簽證放行”六個(gè)一的管理模式，對(duì)外簡(jiǎn)化辦事手續(xù)，避免政出多門、提高工作效率、方便外貿(mào)進(jìn)出口、降低收費(fèi)、減輕企業(yè)負(fù)擔(dān)、強(qiáng)化依法把關(guān)力度、促進(jìn)外貿(mào)經(jīng)濟(jì)健康發(fā)展具有十分重要的意義。

信息化工作是檢驗(yàn)檢疫業(yè)務(wù)中一項(xiàng)重要的基礎(chǔ)性工作，信息技術(shù)的應(yīng)用提高了檢驗(yàn)檢疫把關(guān)服務(wù)能力，為全面履行檢驗(yàn)檢疫職能提供了強(qiáng)有力的技術(shù)支撐和科技保障。在實(shí)際工作中，我們看到大量信息技術(shù)被應(yīng)用在檢驗(yàn)檢疫業(yè)務(wù)中，如 “預(yù)警信息管理系統(tǒng)助力醫(yī)學(xué)媒介生物監(jiān)測(cè)鑒定”、“體溫篩查系統(tǒng)助力旅客通關(guān)”、“視頻監(jiān)控系統(tǒng)助力口岸防控”、“射頻RAID技術(shù)助力進(jìn)出口貨物檢驗(yàn)檢疫跟蹤”成為推動(dòng)檢驗(yàn)檢疫服務(wù)水平與業(yè)務(wù)高效、創(chuàng)新的重要手段。而在檢驗(yàn)檢疫系統(tǒng)的內(nèi)部管理中，“CIQ2000系統(tǒng)數(shù)據(jù)大集中”、“視頻會(huì)議系統(tǒng)全覆蓋”、“業(yè)務(wù)無(wú)紙化流轉(zhuǎn)”、“政務(wù)網(wǎng)站大整合”等，成為提升檢驗(yàn)檢疫工作質(zhì)量和工作效率強(qiáng)有力的助推器。

隨著檢驗(yàn)檢疫業(yè)務(wù)（以下簡(jiǎn)稱“CIQ”業(yè)務(wù)）對(duì)信息系統(tǒng)依賴程度的日益增強(qiáng)，信息安全問(wèn)題受到普遍關(guān)注。運(yùn)用風(fēng)險(xiǎn)評(píng)估去識(shí)別安全風(fēng)險(xiǎn)，解決信息安全問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用。

信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。

信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，要貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段，是信息安全管理體系與信息安全等級(jí)保護(hù)制度建設(shè)的重要科學(xué)方法之一。

二、風(fēng)險(xiǎn)評(píng)估介紹

目前最普遍使用的信息安全風(fēng)險(xiǎn)評(píng)估方法就是風(fēng)險(xiǎn)評(píng)估的國(guó)際標(biāo)準(zhǔn)ISO13335：2005，該標(biāo)準(zhǔn)已被等同轉(zhuǎn)化為中國(guó)國(guó)家標(biāo)準(zhǔn)《GB/T 20984：2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（簡(jiǎn)稱《國(guó)標(biāo)GB/T 20984》）。其中，關(guān)于風(fēng)險(xiǎn)大小的決定性因素的描述如下：1、業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越小；2、資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；3、風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大；4、資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大；5、脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)。

對(duì)以上內(nèi)容進(jìn)行歸納，總結(jié)出風(fēng)險(xiǎn)分析的原理如圖1所示。（圖1）即，風(fēng)險(xiǎn)的大小是由風(fēng)險(xiǎn)的可能性和嚴(yán)重性決定的，威脅頻率和脆弱性決定風(fēng)險(xiǎn)的可能性（L），資產(chǎn)價(jià)值和脆弱性決定了風(fēng)險(xiǎn)的嚴(yán)重性（F），通過(guò)識(shí)別資產(chǎn)價(jià)值（A）、威脅（T）和資產(chǎn)脆弱性（V）就可以計(jì)算出該資產(chǎn)的風(fēng)險(xiǎn)值。

因此，風(fēng)險(xiǎn)分析的主要內(nèi)容就是：1、對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；2、對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；3、對(duì)脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；4、根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；5、根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失；6、根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。

風(fēng)險(xiǎn)值=R（V，P，W）=R（O（P，W），S （V，W））。（為了與后文統(tǒng)一，在公式中用V、P、W、O、S替換了《GB/T 20984》561章節(jié)原文中的對(duì)應(yīng)字母符號(hào)）

其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；V表示資產(chǎn)價(jià)值；P表示威脅頻率；W表示脆弱性；O表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；S表示安全事件發(fā)生后造成的損失。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：

（一）計(jì)算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件的可能性=L（威脅出現(xiàn)頻率，脆弱性）=O （P，W）。

在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問(wèn)時(shí)間、設(shè)計(jì)和操作知識(shí)公開(kāi)程度等）、資產(chǎn)吸引力等因素來(lái)判斷安全事件發(fā)生的可能性。

（二）計(jì)算安全事件發(fā)生后造成的損失。根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后所造成的損失，即：安全事件造成的損失=F（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度）=S （V，W）。

部分安全事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對(duì)組織的影響也是不一樣的。在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。

部分安全事件造成的損失的判斷還應(yīng)參照安全事件發(fā)生可能性的結(jié)果，對(duì)發(fā)生可能性極小的安全事件，如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計(jì)算其損失。

（三）計(jì)算風(fēng)險(xiǎn)值。根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失，計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值=R（安全事件的可能性，安全事件造成的損失）=R（O （P，W），S （V，W））。

評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。矩陣法通過(guò)構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。

三、什么是FMEA風(fēng)險(xiǎn)評(píng)估方法

（一）FMEA的起源和背景。國(guó)際標(biāo)準(zhǔn)化組織（ISO）于2002年3月公布了一項(xiàng)行業(yè)性的質(zhì)量體系要求，它的全名是“質(zhì)量管理體系—汽車行業(yè)生產(chǎn)件與相關(guān)服務(wù)件的組織實(shí)施ISO9001：2000的特殊要求”，英文為ISO/TS16949。標(biāo)準(zhǔn)中提供了實(shí)施必需的五大工具以保障體系的有效落地，它們分別是：產(chǎn)品質(zhì)量先期策劃（APQP）、測(cè)量系統(tǒng)分析（MSA）、統(tǒng)計(jì)過(guò)程控制（SPC）、生產(chǎn)件批準(zhǔn)（PPAP）和潛在失效模式與后果分析（FMEA）。

潛在失效模式與后果分析（FMEA），又稱為失效模式與影響后果分析、失效模式與效應(yīng)分析、故障模式與后果分析或故障模式與效應(yīng)分析等，是一種操作規(guī)程，旨在對(duì)系統(tǒng)范圍內(nèi)潛在的失效模式加以分析，以便按照嚴(yán)重程度加以分類，或者確定失效對(duì)于該系統(tǒng)的影響。FMEA廣泛應(yīng)用于制造行業(yè)產(chǎn)品生命周期、質(zhì)量控制、風(fēng)險(xiǎn)分析等的各個(gè)階段；而且FMEA在服務(wù)行業(yè)的應(yīng)用也在日益增多。失效原因是指業(yè)務(wù)服務(wù)、產(chǎn)品加工處理、設(shè)計(jì)過(guò)程中或項(xiàng)目/物品/信息資產(chǎn)項(xiàng)、本身存在的任何錯(cuò)誤或缺陷，尤其是那些將會(huì)對(duì)業(yè)務(wù)保障（或具體消費(fèi)者）造成影響的錯(cuò)誤或缺陷；失效原因可分為潛在的和實(shí)際的。影響分析指的是對(duì)于這些失效之處的調(diào)查研究。

FMEA是一種過(guò)程評(píng)價(jià)工具，于1950年起源于美國(guó)軍方和宇航局，它是通過(guò)逐一分析過(guò)程中的各種組成因素，找出潛在的失效模式，分析可能產(chǎn)生的后果，并評(píng)估其風(fēng)險(xiǎn)，從而提前采取措施，以減少失效后的損失，降低發(fā)生的幾率，所以在本文中引入FMEA的分析方法來(lái)解決傳統(tǒng)風(fēng)險(xiǎn)評(píng)估方法中存在的一些缺陷。

（二）FMEA風(fēng)險(xiǎn)評(píng)估的原理。雖然ISO13335是目前全球使用最廣泛的信息安全風(fēng)險(xiǎn)評(píng)估方法論，但是由于這份標(biāo)準(zhǔn)是2005年制定的，至今已有十余個(gè)年頭。而這十年是信息技術(shù)蓬勃發(fā)展的十年，大量新的技術(shù)手段涌現(xiàn)并被人們使用。大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等等這些新技術(shù)在帶來(lái)技術(shù)革新和應(yīng)用便利的同時(shí)，也帶來(lái)了新的安全隱患。我們需要關(guān)注的風(fēng)險(xiǎn)除了資產(chǎn)本身的風(fēng)險(xiǎn)之外，還需要關(guān)注資產(chǎn)失效后的影響衍生出的風(fēng)險(xiǎn)，而傳統(tǒng)方法在這一領(lǐng)域又難以有效地準(zhǔn)確評(píng)價(jià)出風(fēng)險(xiǎn)的大小，因此我們需要一種能夠更準(zhǔn)確反映風(fēng)險(xiǎn)大小的評(píng)估方法。

對(duì)于風(fēng)險(xiǎn)值大小，我們還是遵循原有的規(guī)律，即嚴(yán)重性越高的風(fēng)險(xiǎn)越高；可能性越大的風(fēng)險(xiǎn)越高，即風(fēng)險(xiǎn)與嚴(yán)重性和可能性成正比。如圖2所示。（圖2）

在測(cè)量風(fēng)險(xiǎn)的嚴(yán)重性和可能性方面，相對(duì)于ISO13335：2005，我們多引入了一個(gè)參數(shù)，失效模式的影響（E），這個(gè)參數(shù)可能會(huì)影響到風(fēng)險(xiǎn)的嚴(yán)重性。因此，F(xiàn)MEA的風(fēng)險(xiǎn)評(píng)估方法論可以總結(jié)為：1、所有資產(chǎn)自身都有一定的脆弱性；2、威脅利用了資產(chǎn)的脆弱性導(dǎo)致了資產(chǎn)的失效；3、由于資產(chǎn)的失效而產(chǎn)生了風(fēng)險(xiǎn)；4、不同失效的程度導(dǎo)致風(fēng)險(xiǎn)的嚴(yán)重程度不同；5、資產(chǎn)價(jià)值和資產(chǎn)失效程度影響風(fēng)險(xiǎn)的嚴(yán)重性；6、威脅的頻率和弱點(diǎn)被利用的難易程度影響風(fēng)險(xiǎn)的可能性；7、嚴(yán)重性和可能性決定了最終的風(fēng)險(xiǎn)值。

對(duì)已上內(nèi)容進(jìn)行歸納，總結(jié)出風(fēng)險(xiǎn)分析的原理如圖3所示。（圖3）

四、FMEA風(fēng)險(xiǎn)評(píng)估在CIQ的應(yīng)用

FMEA風(fēng)險(xiǎn)評(píng)估方法自2008年首次被開(kāi)發(fā)在信息安全管理體系中應(yīng)用并于2009年通過(guò)國(guó)際第三方權(quán)威審核機(jī)構(gòu)的ISO27001認(rèn)證，經(jīng)過(guò)多年的修訂和持續(xù)研發(fā)，目前在中國(guó)檢驗(yàn)檢疫系統(tǒng)內(nèi)已經(jīng)有常州出入境檢驗(yàn)檢疫局、蘇州出入境檢驗(yàn)檢疫局、江陰出入境檢驗(yàn)檢疫局等分支局在使用，跟檢驗(yàn)檢疫業(yè)務(wù)有關(guān)聯(lián)性的海關(guān)、口岸等相關(guān)單位也有部分落地的案例。

（一）失效影響的賦值。FMEA風(fēng)險(xiǎn)評(píng)估方法的核心是引入了“失效模式的影響（E）”這一評(píng)估參數(shù)使得得到的風(fēng)險(xiǎn)值更加準(zhǔn)確。如何對(duì)“失效模式的影響（E）”進(jìn)行賦值，就是FMEA風(fēng)險(xiǎn)評(píng)估方法用于實(shí)際風(fēng)險(xiǎn)值計(jì)算的關(guān)鍵。

在《國(guó)標(biāo)GB/T 20984》中將風(fēng)險(xiǎn)評(píng)估的所有參數(shù)（資產(chǎn)保密性、資產(chǎn)完整性、資產(chǎn)可用性、資產(chǎn)等級(jí)、威脅頻率、脆弱性）均分為5個(gè)級(jí)別進(jìn)行賦值，1級(jí)最低，5級(jí)最高。因?yàn)樵谟?jì)算風(fēng)險(xiǎn)值時(shí)也需要用到以上參數(shù)，為了保持與《國(guó)標(biāo)GB/T 20984》的兼容性，我們將“失效模式的影響（E）”也同樣分為5個(gè)級(jí)別，如表1所示。（表1）

為了方便應(yīng)用，我們將這五個(gè)級(jí)別分別對(duì)應(yīng)為下列五種失效程度，如表2所示。（表2）

（二）FMEA風(fēng)險(xiǎn)計(jì)算的原理。FMEA風(fēng)險(xiǎn)計(jì)算是通過(guò)資產(chǎn)價(jià)值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）四個(gè)參數(shù)通過(guò)數(shù)學(xué)方法計(jì)算得到風(fēng)險(xiǎn)值（RPN）。

1、建立FMEA風(fēng)險(xiǎn)計(jì)算的數(shù)學(xué)模型首先要滿足參數(shù)對(duì)風(fēng)險(xiǎn)值影響的方向：

（1）因?yàn)橘Y產(chǎn)價(jià)值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對(duì)最終的風(fēng)險(xiǎn)值（RPN）為正向影響，所以V、E、P、W的數(shù)值與RPN數(shù)值成正比。

（2）V、E、P、W四個(gè)參數(shù)都大的風(fēng)險(xiǎn)值必然大，即：若V1>V2；E1>E2；P1>P2；W1>W2，則RPN（V1、E1、P1、W1）>RPN（V2、E2、P2、W2）。

（3）若任意三個(gè)參數(shù)相同，第四個(gè)參數(shù)大的風(fēng)險(xiǎn)值大，即：若V1>V2，則RPN（V1、E1、P1、W1）>RPN（V2、E1、P1、W1）；若E1>E2，則RPN（V1、E1、P1、W1）>RPN（V1、E2、P1、W1）；若P1>P2，則RPN（V1、E1、P1、W1）>RPN（V1、E1、P2、W1）；若W1>W2，則RPN（V1、E1、P1、W1）>RPN（V1、E1、P1、W2）。

2、為了準(zhǔn)確評(píng)價(jià)數(shù)學(xué)模型的有效性，應(yīng)將模型計(jì)算值的影響因素減至最少，提供一個(gè)不受權(quán)重等因素影響的純凈模型，以便于及時(shí)調(diào)整。

（1）風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù)，資產(chǎn)價(jià)值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對(duì)最終的風(fēng)險(xiǎn)值（RPN）的影響應(yīng)該是相同的，即：RPN（V、E、P、W）=RPN（2、3、3、2）=RPN（2、2、3、3）=RPN（3、2、2、3）=RPN（3、3、2、2）。

（2）風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù)，資產(chǎn)價(jià)值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）的增幅對(duì)最終的風(fēng)險(xiǎn)值（RPN）的影響應(yīng)該是相同的，即：RPN（V1、E1、P1、W1）-RPN（V2、E2、P2、W2）=RPN（5、5、5、5）-RPN（4、4、4、4）=RPN（4、4、4、4）-RPN（3、3、3、3）=RPN（3、3、3、3）-RPN（2、2、2、2）=RPN（2、2、2、2）-RPN（1、1、1、1）。

（3）在純凈風(fēng)險(xiǎn)模型計(jì)算結(jié)果的基礎(chǔ)上，通過(guò)對(duì)比風(fēng)險(xiǎn)計(jì)算結(jié)果和實(shí)際風(fēng)險(xiǎn)差距，對(duì)風(fēng)險(xiǎn)分析的各個(gè)維度權(quán)重進(jìn)行調(diào)整。

（三）FMEA風(fēng)險(xiǎn)計(jì)算公式。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在保密性、完整性、可用性這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性，以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。

風(fēng)險(xiǎn)計(jì)算方法：1、保密性、完整性和可用性決定資產(chǎn)價(jià)值：（1）保密性越高，資產(chǎn)價(jià)值越大；（2）完整性越高，資產(chǎn)價(jià)值越大；（3）可用性越高，資產(chǎn)價(jià)值越大。2、資產(chǎn)價(jià)值、資產(chǎn)失效程度決定風(fēng)險(xiǎn)嚴(yán)重性。3、威脅頻率和資產(chǎn)脆弱性決定風(fēng)險(xiǎn)可能性。4、風(fēng)險(xiǎn)嚴(yán)重性與風(fēng)險(xiǎn)可能性決定風(fēng)險(xiǎn)值：（1）資產(chǎn)價(jià)值越高，資產(chǎn)失效后風(fēng)險(xiǎn)越大；（2）資產(chǎn)失效越嚴(yán)重則風(fēng)險(xiǎn)越大；（3）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大；（4）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大。

風(fēng)險(xiǎn)計(jì)算公式：

資產(chǎn)價(jià)值V=

嚴(yán)重性S=

可能性O(shè)=

風(fēng)險(xiǎn)值RPN=

RPN=

其中，C、I、A、E、P、W是風(fēng)險(xiǎn)值RPN的計(jì)算參數(shù)，x、y、z、m、n、i、j、α、β是以上計(jì)算參數(shù)的權(quán)重。

假設(shè)權(quán)重系數(shù)全部為1的情況下，風(fēng)險(xiǎn)計(jì)算公式為：

RPN=

若在風(fēng)險(xiǎn)分析中，我們更側(cè)重于某項(xiàng)參數(shù)對(duì)風(fēng)險(xiǎn)值的影響，則可以調(diào)整該參數(shù)的權(quán)重值，如我們將權(quán)重參數(shù)設(shè)置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1，則表示失效影響（E）對(duì)風(fēng)險(xiǎn)值的影響更大，我們優(yōu)先降低失效影響，可以更高效控制風(fēng)險(xiǎn)。

（四）FMEA風(fēng)險(xiǎn)評(píng)估在CIQ的應(yīng)用成果。2012年末，常州出入境檢驗(yàn)檢疫局順利通過(guò)中國(guó)信息安全認(rèn)證中心（簡(jiǎn)稱ISCCC）的ISO27001信息安全管理體系現(xiàn)場(chǎng)審核，成為國(guó)內(nèi)首家實(shí)施信息安全管理體系并通過(guò)ISO27001認(rèn)證的政府機(jī)構(gòu)。2012年中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)（簡(jiǎn)稱CNAS）信息安全認(rèn)證專業(yè)委員會(huì)年會(huì)上，該項(xiàng)目被選為推薦案例，并受邀出席會(huì)議現(xiàn)場(chǎng)介紹體系建設(shè)、推廣的成功經(jīng)驗(yàn)，其中FMEA風(fēng)險(xiǎn)評(píng)估法作為該項(xiàng)目的重要?jiǎng)?chuàng)新點(diǎn)，受到與會(huì)專家的特別關(guān)注，并受到與會(huì)專家的一致好評(píng)。通過(guò)對(duì)FMEA風(fēng)險(xiǎn)評(píng)估方法論的原理和分析模型的詳細(xì)介紹，經(jīng)與會(huì)專家論證，均認(rèn)可該方法的先進(jìn)性已經(jīng)超越了ISO13335：2005（國(guó)標(biāo)GB/T 20984：2007），在全球信息安全風(fēng)險(xiǎn)評(píng)估方法論的理論研究和實(shí)踐中處于領(lǐng)先水平。

五、結(jié)束語(yǔ)

隨著中國(guó)加入世貿(mào)組織，對(duì)外貿(mào)易和活動(dòng)日益頻繁，出入境檢驗(yàn)檢疫業(yè)務(wù)量激增，對(duì)信息系統(tǒng)的依賴程度也越來(lái)越大，因此對(duì)信息安全的要求也逐年提高，風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)，其重要性不言而喻。本文系統(tǒng)地闡述了作者在信息安全風(fēng)險(xiǎn)管理領(lǐng)域的研究成果及在檢驗(yàn)檢疫系統(tǒng)內(nèi)單位的實(shí)施經(jīng)驗(yàn)，對(duì)檢驗(yàn)檢疫系統(tǒng)內(nèi)其他單位在信息安全風(fēng)險(xiǎn)評(píng)估方面工作具有很好的參考性。

本文在研究的深度上還有待進(jìn)一步挖掘。特別是對(duì)于如何得到“失效模式的影響（E）”這一參數(shù)的精確值，作者設(shè)想可以從對(duì)“失效時(shí)間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復(fù)能力”等方面進(jìn)行分析，通過(guò)一個(gè)數(shù)學(xué)模型計(jì)算得到以上失效因素對(duì)最終“失效模式的影響（E）”變化的影響，以便于分析結(jié)果更精準(zhǔn)。

主要參考文獻(xiàn)：

[1]嵇國(guó)光，王大禹，嚴(yán)慶峰ISO＼TS16949五大核心工具應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社，2010111

[2]孫遠(yuǎn)志，吳文忠檢驗(yàn)檢疫風(fēng)險(xiǎn)管理研究中國(guó)計(jì)量出版社，201411

[3]GB7826-87系統(tǒng)可靠性分析技術(shù)，失效模式和效應(yīng)分析（FMEA）程序

[4]GB/T 20984-2007信息安全技術(shù)、信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范中國(guó)標(biāo)準(zhǔn)出版社，200781

[5]GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求中國(guó)標(biāo)準(zhǔn)出版社，200862

[6]李宗，華菊對(duì)檢驗(yàn)檢疫風(fēng)險(xiǎn)防范管理的認(rèn)識(shí)中國(guó)檢驗(yàn)檢疫，20113

2、為了準(zhǔn)確評(píng)價(jià)數(shù)學(xué)模型的有效性，應(yīng)將模型計(jì)算值的影響因素減至最少，提供一個(gè)不受權(quán)重等因素影響的純凈模型，以便于及時(shí)調(diào)整。

（1）風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù)，資產(chǎn)價(jià)值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對(duì)最終的風(fēng)險(xiǎn)值（RPN）的影響應(yīng)該是相同的，即：RPN（V、E、P、W）=RPN（2、3、3、2）=RPN（2、2、3、3）=RPN（3、2、2、3）=RPN（3、3、2、2）。

（2）風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù)，資產(chǎn)價(jià)值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）的增幅對(duì)最終的風(fēng)險(xiǎn)值（RPN）的影響應(yīng)該是相同的，即：RPN（V1、E1、P1、W1）-RPN（V2、E2、P2、W2）=RPN（5、5、5、5）-RPN（4、4、4、4）=RPN（4、4、4、4）-RPN（3、3、3、3）=RPN（3、3、3、3）-RPN（2、2、2、2）=RPN（2、2、2、2）-RPN（1、1、1、1）。

（3）在純凈風(fēng)險(xiǎn)模型計(jì)算結(jié)果的基礎(chǔ)上，通過(guò)對(duì)比風(fēng)險(xiǎn)計(jì)算結(jié)果和實(shí)際風(fēng)險(xiǎn)差距，對(duì)風(fēng)險(xiǎn)分析的各個(gè)維度權(quán)重進(jìn)行調(diào)整。

（三）FMEA風(fēng)險(xiǎn)計(jì)算公式。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在保密性、完整性、可用性這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性，以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。

風(fēng)險(xiǎn)計(jì)算方法：1、保密性、完整性和可用性決定資產(chǎn)價(jià)值：（1）保密性越高，資產(chǎn)價(jià)值越大；（2）完整性越高，資產(chǎn)價(jià)值越大；（3）可用性越高，資產(chǎn)價(jià)值越大。2、資產(chǎn)價(jià)值、資產(chǎn)失效程度決定風(fēng)險(xiǎn)嚴(yán)重性。3、威脅頻率和資產(chǎn)脆弱性決定風(fēng)險(xiǎn)可能性。4、風(fēng)險(xiǎn)嚴(yán)重性與風(fēng)險(xiǎn)可能性決定風(fēng)險(xiǎn)值：（1）資產(chǎn)價(jià)值越高，資產(chǎn)失效后風(fēng)險(xiǎn)越大；（2）資產(chǎn)失效越嚴(yán)重則風(fēng)險(xiǎn)越大；（3）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大；（4）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大。

風(fēng)險(xiǎn)計(jì)算公式：

資產(chǎn)價(jià)值V=

嚴(yán)重性S=

可能性O(shè)=

風(fēng)險(xiǎn)值RPN=

RPN=

其中，C、I、A、E、P、W是風(fēng)險(xiǎn)值RPN的計(jì)算參數(shù)，x、y、z、m、n、i、j、α、β是以上計(jì)算參數(shù)的權(quán)重。

假設(shè)權(quán)重系數(shù)全部為1的情況下，風(fēng)險(xiǎn)計(jì)算公式為：

RPN=

若在風(fēng)險(xiǎn)分析中，我們更側(cè)重于某項(xiàng)參數(shù)對(duì)風(fēng)險(xiǎn)值的影響，則可以調(diào)整該參數(shù)的權(quán)重值，如我們將權(quán)重參數(shù)設(shè)置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1，則表示失效影響（E）對(duì)風(fēng)險(xiǎn)值的影響更大，我們優(yōu)先降低失效影響，可以更高效控制風(fēng)險(xiǎn)。

（四）FMEA風(fēng)險(xiǎn)評(píng)估在CIQ的應(yīng)用成果。2012年末，常州出入境檢驗(yàn)檢疫局順利通過(guò)中國(guó)信息安全認(rèn)證中心（簡(jiǎn)稱ISCCC）的ISO27001信息安全管理體系現(xiàn)場(chǎng)審核，成為國(guó)內(nèi)首家實(shí)施信息安全管理體系并通過(guò)ISO27001認(rèn)證的政府機(jī)構(gòu)。2012年中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)（簡(jiǎn)稱CNAS）信息安全認(rèn)證專業(yè)委員會(huì)年會(huì)上，該項(xiàng)目被選為推薦案例，并受邀出席會(huì)議現(xiàn)場(chǎng)介紹體系建設(shè)、推廣的成功經(jīng)驗(yàn)，其中FMEA風(fēng)險(xiǎn)評(píng)估法作為該項(xiàng)目的重要?jiǎng)?chuàng)新點(diǎn)，受到與會(huì)專家的特別關(guān)注，并受到與會(huì)專家的一致好評(píng)。通過(guò)對(duì)FMEA風(fēng)險(xiǎn)評(píng)估方法論的原理和分析模型的詳細(xì)介紹，經(jīng)與會(huì)專家論證，均認(rèn)可該方法的先進(jìn)性已經(jīng)超越了ISO13335：2005（國(guó)標(biāo)GB/T 20984：2007），在全球信息安全風(fēng)險(xiǎn)評(píng)估方法論的理論研究和實(shí)踐中處于領(lǐng)先水平。

五、結(jié)束語(yǔ)

隨著中國(guó)加入世貿(mào)組織，對(duì)外貿(mào)易和活動(dòng)日益頻繁，出入境檢驗(yàn)檢疫業(yè)務(wù)量激增，對(duì)信息系統(tǒng)的依賴程度也越來(lái)越大，因此對(duì)信息安全的要求也逐年提高，風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)，其重要性不言而喻。本文系統(tǒng)地闡述了作者在信息安全風(fēng)險(xiǎn)管理領(lǐng)域的研究成果及在檢驗(yàn)檢疫系統(tǒng)內(nèi)單位的實(shí)施經(jīng)驗(yàn)，對(duì)檢驗(yàn)檢疫系統(tǒng)內(nèi)其他單位在信息安全風(fēng)險(xiǎn)評(píng)估方面工作具有很好的參考性。

本文在研究的深度上還有待進(jìn)一步挖掘。特別是對(duì)于如何得到“失效模式的影響（E）”這一參數(shù)的精確值，作者設(shè)想可以從對(duì)“失效時(shí)間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復(fù)能力”等方面進(jìn)行分析，通過(guò)一個(gè)數(shù)學(xué)模型計(jì)算得到以上失效因素對(duì)最終“失效模式的影響（E）”變化的影響，以便于分析結(jié)果更精準(zhǔn)。

主要參考文獻(xiàn)：

[1]嵇國(guó)光，王大禹，嚴(yán)慶峰ISO＼TS16949五大核心工具應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社，2010111

[2]孫遠(yuǎn)志，吳文忠檢驗(yàn)檢疫風(fēng)險(xiǎn)管理研究中國(guó)計(jì)量出版社，201411

[3]GB7826-87系統(tǒng)可靠性分析技術(shù)，失效模式和效應(yīng)分析（FMEA）程序

[4]GB/T 20984-2007信息安全技術(shù)、信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范中國(guó)標(biāo)準(zhǔn)出版社，200781

[5]GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求中國(guó)標(biāo)準(zhǔn)出版社，200862

[6]李宗，華菊對(duì)檢驗(yàn)檢疫風(fēng)險(xiǎn)防范管理的認(rèn)識(shí)中國(guó)檢驗(yàn)檢疫，20113

2、為了準(zhǔn)確評(píng)價(jià)數(shù)學(xué)模型的有效性，應(yīng)將模型計(jì)算值的影響因素減至最少，提供一個(gè)不受權(quán)重等因素影響的純凈模型，以便于及時(shí)調(diào)整。

（1）風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù)，資產(chǎn)價(jià)值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對(duì)最終的風(fēng)險(xiǎn)值（RPN）的影響應(yīng)該是相同的，即：RPN（V、E、P、W）=RPN（2、3、3、2）=RPN（2、2、3、3）=RPN（3、2、2、3）=RPN（3、3、2、2）。

（2）風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù)，資產(chǎn)價(jià)值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）的增幅對(duì)最終的風(fēng)險(xiǎn)值（RPN）的影響應(yīng)該是相同的，即：RPN（V1、E1、P1、W1）-RPN（V2、E2、P2、W2）=RPN（5、5、5、5）-RPN（4、4、4、4）=RPN（4、4、4、4）-RPN（3、3、3、3）=RPN（3、3、3、3）-RPN（2、2、2、2）=RPN（2、2、2、2）-RPN（1、1、1、1）。

（3）在純凈風(fēng)險(xiǎn)模型計(jì)算結(jié)果的基礎(chǔ)上，通過(guò)對(duì)比風(fēng)險(xiǎn)計(jì)算結(jié)果和實(shí)際風(fēng)險(xiǎn)差距，對(duì)風(fēng)險(xiǎn)分析的各個(gè)維度權(quán)重進(jìn)行調(diào)整。

（三）FMEA風(fēng)險(xiǎn)計(jì)算公式。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在保密性、完整性、可用性這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性，以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。

風(fēng)險(xiǎn)計(jì)算方法：1、保密性、完整性和可用性決定資產(chǎn)價(jià)值：（1）保密性越高，資產(chǎn)價(jià)值越大；（2）完整性越高，資產(chǎn)價(jià)值越大；（3）可用性越高，資產(chǎn)價(jià)值越大。2、資產(chǎn)價(jià)值、資產(chǎn)失效程度決定風(fēng)險(xiǎn)嚴(yán)重性。3、威脅頻率和資產(chǎn)脆弱性決定風(fēng)險(xiǎn)可能性。4、風(fēng)險(xiǎn)嚴(yán)重性與風(fēng)險(xiǎn)可能性決定風(fēng)險(xiǎn)值：（1）資產(chǎn)價(jià)值越高，資產(chǎn)失效后風(fēng)險(xiǎn)越大；（2）資產(chǎn)失效越嚴(yán)重則風(fēng)險(xiǎn)越大；（3）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大；（4）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大。

風(fēng)險(xiǎn)計(jì)算公式：

資產(chǎn)價(jià)值V=

嚴(yán)重性S=

可能性O(shè)=

風(fēng)險(xiǎn)值RPN=

RPN=

其中，C、I、A、E、P、W是風(fēng)險(xiǎn)值RPN的計(jì)算參數(shù)，x、y、z、m、n、i、j、α、β是以上計(jì)算參數(shù)的權(quán)重。

假設(shè)權(quán)重系數(shù)全部為1的情況下，風(fēng)險(xiǎn)計(jì)算公式為：

RPN=

若在風(fēng)險(xiǎn)分析中，我們更側(cè)重于某項(xiàng)參數(shù)對(duì)風(fēng)險(xiǎn)值的影響，則可以調(diào)整該參數(shù)的權(quán)重值，如我們將權(quán)重參數(shù)設(shè)置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1，則表示失效影響（E）對(duì)風(fēng)險(xiǎn)值的影響更大，我們優(yōu)先降低失效影響，可以更高效控制風(fēng)險(xiǎn)。

（四）FMEA風(fēng)險(xiǎn)評(píng)估在CIQ的應(yīng)用成果。2012年末，常州出入境檢驗(yàn)檢疫局順利通過(guò)中國(guó)信息安全認(rèn)證中心（簡(jiǎn)稱ISCCC）的ISO27001信息安全管理體系現(xiàn)場(chǎng)審核，成為國(guó)內(nèi)首家實(shí)施信息安全管理體系并通過(guò)ISO27001認(rèn)證的政府機(jī)構(gòu)。2012年中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)（簡(jiǎn)稱CNAS）信息安全認(rèn)證專業(yè)委員會(huì)年會(huì)上，該項(xiàng)目被選為推薦案例，并受邀出席會(huì)議現(xiàn)場(chǎng)介紹體系建設(shè)、推廣的成功經(jīng)驗(yàn)，其中FMEA風(fēng)險(xiǎn)評(píng)估法作為該項(xiàng)目的重要?jiǎng)?chuàng)新點(diǎn)，受到與會(huì)專家的特別關(guān)注，并受到與會(huì)專家的一致好評(píng)。通過(guò)對(duì)FMEA風(fēng)險(xiǎn)評(píng)估方法論的原理和分析模型的詳細(xì)介紹，經(jīng)與會(huì)專家論證，均認(rèn)可該方法的先進(jìn)性已經(jīng)超越了ISO13335：2005（國(guó)標(biāo)GB/T 20984：2007），在全球信息安全風(fēng)險(xiǎn)評(píng)估方法論的理論研究和實(shí)踐中處于領(lǐng)先水平。

五、結(jié)束語(yǔ)

隨著中國(guó)加入世貿(mào)組織，對(duì)外貿(mào)易和活動(dòng)日益頻繁，出入境檢驗(yàn)檢疫業(yè)務(wù)量激增，對(duì)信息系統(tǒng)的依賴程度也越來(lái)越大，因此對(duì)信息安全的要求也逐年提高，風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)，其重要性不言而喻。本文系統(tǒng)地闡述了作者在信息安全風(fēng)險(xiǎn)管理領(lǐng)域的研究成果及在檢驗(yàn)檢疫系統(tǒng)內(nèi)單位的實(shí)施經(jīng)驗(yàn)，對(duì)檢驗(yàn)檢疫系統(tǒng)內(nèi)其他單位在信息安全風(fēng)險(xiǎn)評(píng)估方面工作具有很好的參考性。

本文在研究的深度上還有待進(jìn)一步挖掘。特別是對(duì)于如何得到“失效模式的影響（E）”這一參數(shù)的精確值，作者設(shè)想可以從對(duì)“失效時(shí)間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復(fù)能力”等方面進(jìn)行分析，通過(guò)一個(gè)數(shù)學(xué)模型計(jì)算得到以上失效因素對(duì)最終“失效模式的影響（E）”變化的影響，以便于分析結(jié)果更精準(zhǔn)。

主要參考文獻(xiàn)：

[1]嵇國(guó)光，王大禹，嚴(yán)慶峰ISO＼TS16949五大核心工具應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社，2010111

[2]孫遠(yuǎn)志，吳文忠檢驗(yàn)檢疫風(fēng)險(xiǎn)管理研究中國(guó)計(jì)量出版社，201411

[3]GB7826-87系統(tǒng)可靠性分析技術(shù)，失效模式和效應(yīng)分析（FMEA）程序

[4]GB/T 20984-2007信息安全技術(shù)、信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范中國(guó)標(biāo)準(zhǔn)出版社，200781

[5]GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求中國(guó)標(biāo)準(zhǔn)出版社，200862

[6]李宗，華菊對(duì)檢驗(yàn)檢疫風(fēng)險(xiǎn)防范管理的認(rèn)識(shí)中國(guó)檢驗(yàn)檢疫，20113