□ 李 霄

軍工單位防護(hù)目標(biāo)安全風(fēng)險(xiǎn)評(píng)估方法初探

□ 李 霄

隨著我國經(jīng)濟(jì)的高速發(fā)展，社會(huì)矛盾不斷涌現(xiàn)，同時(shí)受國際恐怖勢(shì)力的影響，全社會(huì)愈來愈重視自身的安全環(huán)境建設(shè)。近年來，我國安全防范工程建設(shè)需求迅猛增長。

軍工行業(yè)安全防范工程建設(shè)自“十一五”以來，在國家的大力支持下取得了快速發(fā)展，軍工單位安全防范系統(tǒng)基本建成，對(duì)保障軍工單位科研生產(chǎn)活動(dòng)順利開展，保護(hù)國家秘密安全方面發(fā)揮著重要作用。

軍工單位防護(hù)目標(biāo)風(fēng)險(xiǎn)評(píng)估是安全風(fēng)險(xiǎn)管理的重要組成部分，依據(jù)國家法律法規(guī)和技術(shù)規(guī)范標(biāo)準(zhǔn)，結(jié)合軍工企業(yè)運(yùn)營管理要求、周邊環(huán)境發(fā)展事態(tài)變化，做出系統(tǒng)適用性評(píng)估，可為安全風(fēng)險(xiǎn)管理決策和有效的應(yīng)急響應(yīng)提供依據(jù)。

軍工行業(yè)作為國家戰(zhàn)略性產(chǎn)業(yè)，涉及核、航天、航空、船舶、兵器、電子等6大行業(yè)，與其他民用行業(yè)不同，軍工行業(yè)除面臨社會(huì)治安性常規(guī)安全威脅以外，還存在境外敵對(duì)勢(shì)力和境外情報(bào)機(jī)構(gòu)發(fā)起的對(duì)我重點(diǎn)武器型號(hào)等以竊密為目的的非常規(guī)性威脅。

借鑒國外風(fēng)險(xiǎn)評(píng)估領(lǐng)域的標(biāo)準(zhǔn)和經(jīng)驗(yàn)，結(jié)合我國現(xiàn)行的安全保密法規(guī)標(biāo)準(zhǔn)及軍工行業(yè)特點(diǎn)，以及軍品科研生產(chǎn)試驗(yàn)任務(wù)基本情況，綜合考慮對(duì)軍工單位安全防范、安全保密構(gòu)成影響和損失的各種因素，圍繞軍工單位防護(hù)目標(biāo)，開展對(duì)軍工單位防護(hù)目標(biāo)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估工作。

圖1 風(fēng)險(xiǎn)構(gòu)成關(guān)系示意圖

評(píng)估的主要目標(biāo)

通過對(duì)威脅源和薄弱點(diǎn)的分析，識(shí)別目標(biāo)存在的風(fēng)險(xiǎn)。如具有保密屬性的防護(hù)目標(biāo)可能存在竊聽、竊視、電磁干擾等風(fēng)險(xiǎn)，具有保衛(wèi)屬性的防護(hù)目標(biāo)存在偷竊、侵占、縱火、意外突發(fā)事件以及炸彈及恐怖襲擊等風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估工作通過查找目標(biāo)安全控制的失缺，提出安全防范系統(tǒng)建設(shè)改善、調(diào)整方案，以及為安全風(fēng)險(xiǎn)管理決策提出建議。

防護(hù)目標(biāo)所面臨的風(fēng)險(xiǎn)取決于目標(biāo)遭受損失的可能性及其資產(chǎn)損失后果，它與目標(biāo)特征、針對(duì)目標(biāo)的威脅及防護(hù)目標(biāo)的弱點(diǎn)3個(gè)因素相關(guān)。風(fēng)險(xiǎn)構(gòu)成關(guān)系如圖1所示。

由圖1所示，資產(chǎn)、威脅和弱點(diǎn)是構(gòu)成風(fēng)險(xiǎn)要素的因子，它們?nèi)咧g的關(guān)系如圖2所示。

圖2 資產(chǎn)、威脅和弱點(diǎn)關(guān)系示意圖

評(píng)估的主要內(nèi)容

效能評(píng)估：系統(tǒng)效能評(píng)估是對(duì)預(yù)測(cè)的安全防范系統(tǒng)能夠滿足軍工單位安全風(fēng)險(xiǎn)管理程度的量度確認(rèn)，是系統(tǒng)綜合性能的反應(yīng)，是系統(tǒng)整體屬性。效能評(píng)估就是要對(duì)系統(tǒng)進(jìn)行綜合分析，把系統(tǒng)的各項(xiàng)性能與任務(wù)要求綜合比較，最終得到表示系統(tǒng)的優(yōu)劣程度的結(jié)果。安全防范系統(tǒng)的效能，可以分為實(shí)體系統(tǒng)、技術(shù)系統(tǒng)、人員安保系統(tǒng)的自身效能和應(yīng)用效能。這種效能更強(qiáng)調(diào)系統(tǒng)本身的完備性。

性能評(píng)估：系統(tǒng)性能評(píng)估是對(duì)系統(tǒng)的各單項(xiàng)指標(biāo)體系的評(píng)估，與效能評(píng)估相比，系統(tǒng)性能是絕對(duì)的，而效能是相對(duì)的，效能更強(qiáng)調(diào)各子系統(tǒng)與人防、技防、物防等整體安全防范體系的共同作用。

經(jīng)濟(jì)評(píng)估：經(jīng)濟(jì)評(píng)估主要從安全防范工程建設(shè)投資效益的角度考慮，通過對(duì)資產(chǎn)賦值以及威脅和弱點(diǎn)評(píng)估，評(píng)價(jià)特定威脅作用下對(duì)特定資產(chǎn)所造成的影響，并計(jì)算系統(tǒng)的投入和預(yù)期達(dá)到的控制目標(biāo)的經(jīng)濟(jì)效益。

圖3 風(fēng)險(xiǎn)評(píng)價(jià)流程圖

評(píng)估的主要對(duì)象

（一）實(shí)體防護(hù)設(shè)備設(shè)施。例如防盜門窗、保險(xiǎn)柜（箱）、防護(hù)欄（網(wǎng)）；建筑實(shí)體防御結(jié)構(gòu)設(shè)施、防御緩沖區(qū)域及設(shè)施、建筑防爆材料。

（二）技術(shù)防范系統(tǒng)。例如視頻監(jiān)控、入侵報(bào)警、出入口控制、訪客管理、電子巡查、車輛管理、備用電源等系統(tǒng)。

（三）綜合管理能力。例如為保障安全系統(tǒng)運(yùn)行所投入的人員配置、管理模式、規(guī)章制度、應(yīng)急響應(yīng)、培訓(xùn)演習(xí)等。

（四）內(nèi)外威脅源。例如周邊環(huán)境、社會(huì)人員、內(nèi)部人員等。

評(píng)估的主要方法

目前國外對(duì)安全防范系統(tǒng)風(fēng)險(xiǎn)評(píng)估的研究已非常成熟，而我國尚處在起步摸索階段，軍工行業(yè)也處于圍繞國外先進(jìn)經(jīng)驗(yàn)和做法開展理論研究階段。按照評(píng)估的具體目標(biāo)任務(wù)，可采用多種操作方法交叉進(jìn)行，這里介紹兩種方法開展評(píng)估工作——經(jīng)驗(yàn)分析法、模型分析法。無論采用何種方法，共同的目標(biāo)都是找出安全防范系統(tǒng)及管理與目前安全水平、組織安全需求之間的差距和漏洞及薄弱點(diǎn)。

（一）經(jīng)驗(yàn)分析法：經(jīng)驗(yàn)分析法是基于評(píng)估人員所掌握的基本知識(shí)和理論水平，以當(dāng)前國家相關(guān)的法律法規(guī)、技術(shù)規(guī)范標(biāo)準(zhǔn)為基準(zhǔn)，結(jié)合國內(nèi)外的案例及處置經(jīng)驗(yàn)，運(yùn)用所掌握的技術(shù)應(yīng)用發(fā)展?fàn)顩r，選擇信息收集和分析評(píng)估的一種方法。它具有組織實(shí)施簡單、節(jié)省時(shí)間和資源的優(yōu)點(diǎn)，特別適用于定性結(jié)論，但往往主觀成分較高，易受評(píng)估人員的經(jīng)驗(yàn)和能力水平的限制。

（二）模型分析法：模型分析是基于定制好的風(fēng)險(xiǎn)計(jì)算公式，通過將風(fēng)險(xiǎn)分析中的威脅發(fā)生概率、資產(chǎn)價(jià)值等因素進(jìn)行賦值后計(jì)算，計(jì)算結(jié)果反映出系統(tǒng)的風(fēng)險(xiǎn)值。這種評(píng)估方法優(yōu)點(diǎn)在于：提高了對(duì)安全分析評(píng)估描述的精確性，改善了分析評(píng)價(jià)結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，克服由于評(píng)估人員經(jīng)驗(yàn)和知識(shí)的不足造成的偏差。

評(píng)估的步驟

軍工單位防護(hù)目標(biāo)風(fēng)險(xiǎn)評(píng)價(jià)的流程如圖3所示：

防護(hù)目標(biāo)的風(fēng)險(xiǎn)評(píng)估工作，是在各項(xiàng)安全管理和措施的正常運(yùn)行下，利用評(píng)估技術(shù)、方法，對(duì)防護(hù)目標(biāo)開展綜合分析、判別識(shí)別威脅源和威脅程度，從而做出有效的對(duì)策。

第一步：系統(tǒng)描述。這是明確評(píng)估工作任務(wù)的基本描述，是對(duì)評(píng)估工作的范圍及在該范圍內(nèi)的系統(tǒng)相關(guān)信息的簡要描述，為下一步評(píng)估方案的制定提供條件。

第二步：確定評(píng)估方案。這一步的工作是對(duì)整體評(píng)估方案與計(jì)劃的策劃編制，它主要明確有效信息收集和分析評(píng)價(jià)方法，制定評(píng)估的基本原則，編制組織，實(shí)施計(jì)劃。

第三步：威脅、脆弱性分析。

本步驟的目標(biāo)是通過對(duì)威脅和脆弱性分析、完成檢查清單表格，結(jié)合相關(guān)文件、控制措施的落實(shí)檢查、現(xiàn)場勘察、人員質(zhì)詢等多種手段辨識(shí)出不安全事件的因素，并整理分類，為下一步分析評(píng)估提供更多的信息。此步驟是影響評(píng)估效果的關(guān)鍵。

第四步：分析與評(píng)估。這個(gè)階段是在獲取威脅源和脆弱點(diǎn)的基礎(chǔ)上，從對(duì)威脅源的動(dòng)機(jī)、脆弱點(diǎn)的狀態(tài)、當(dāng)前各項(xiàng)有效控制措施的效果進(jìn)行分析，判定威脅和潛在脆弱點(diǎn)的可能性和影響程度，并做等級(jí)與程度的指標(biāo)描述。必要時(shí)通過情景假定和模擬，進(jìn)一步說明和印證。

第五步：評(píng)估結(jié)論闡述。這個(gè)階段運(yùn)用分析評(píng)估的指標(biāo)和結(jié)論，提出降低或避免已辨識(shí)威脅和脆弱點(diǎn)的控制措施和建議。它的提出要充分考慮有關(guān)法律法規(guī)，組織方針策略，安全防范控制措施的有效性、安全性和可靠性，評(píng)估單位承受的基本條件等。安全防范控制措施的建議，也應(yīng)按照優(yōu)先等級(jí)進(jìn)行排列選擇。最后的結(jié)果形成評(píng)估報(bào)告文件，為委托單位的管理者在制定防護(hù)目標(biāo)安全風(fēng)險(xiǎn)管理方針、程序、預(yù)算、系統(tǒng)運(yùn)作管理的調(diào)整或更改方面提供決策依據(jù)。（國防科工局軍工保密資格審查認(rèn)證中心）