中国安全科学学报 ›› 2023, Vol. 33 ›› Issue (2): 38-47.doi: 10.16265/j.cnki.issn1003-3033.2023.02.0412
收稿日期:
2022-09-20
修回日期:
2022-12-10
出版日期:
2023-02-28
作者简介:
张冰鉴 (1998—),女,安徽六安人,硕士研究生,研究方向为信息安全管理。E-mail:zhangbj@stu.xjtu.edu.cn。 |
苏秦,教授
基金资助:
ZHANG Bingjian1,2,3(), SU Qin1,2,3, LIU Hailong1,2,3
Received:
2022-09-20
Revised:
2022-12-10
Published:
2023-02-28
摘要:
为明确云企业资源计划(ERP)不安全事件的人因失误因素,构建基于故障树分析-贝叶斯网络(FTA-BN)的人因失误分析模型,以避免单一方法的局限性。首先,对云ERP安全审计记录披露的不安全事件进行分类和追因分析,构建云ERP不安全事件故障树,并定量分析最小割集、结构重要度;然后,将故障树映射为BN结构,利用案例数据进行结构学习和参数学习得到最终的贝叶斯网络;最后,依托贝叶斯网络的敏感性分析辨识关键人因失误因素,凭借预测推理计算发生不安全事件的概率。研究结果表明:云ERP安全人因失误因素中工作不到位、培训不足、资源分配不足、管理流程存在问题、职责不清等因素在对应的事件域中应得到重点关注,以保障持续安全。
张冰鉴, 苏秦, 刘海龙. 基于FTA-BN的云ERP不安全事件的人因失误分析[J]. 中国安全科学学报, 2023, 33(2): 38-47.
ZHANG Bingjian, SU Qin, LIU Hailong. Human error analysis for unsafe events of cloud ERP based on FTA-BN[J]. China Safety Science Journal, 2023, 33(2): 38-47.
表3
人因失误因素的名称及描述
名称 | 中文描述 | 文献来源 | |
---|---|---|---|
缺乏责任心或对安全规程持有忽视、冷漠和抵抗的态度 | [ [ | ||
缺少对特定岗位角色、权限、责任的认识 | [ | ||
没有严格按照安全规程执行操作,如配置监督、防御措施等 | [ [ | ||
缺少员工安全实践的培训,导致“钓鱼攻击”等的发生 | [ | ||
名称 | 中文描述 | 文献来源 | |
管理层支持不够,在安全上投入的人力、物力、财力不足 | [ | ||
工作、组织与管理流程中的问题,包括授权流程、终止权限、资产返还、人员调配、沟通协调等 | [ | ||
工作难度高、责任重、任务多导致人员身心疲劳、压力爆棚,人员能力有限,无法及时保障云安全 | [ | ||
不具备岗位所需的技能和经验,无法应对系统故障或外部攻击 | [ | ||
缺少安全治理的措施、制度与政策;缺少对安全行为的奖励和对不安全行为的惩罚;没有安全氛围 | [ |
表6
设定人因失误因素各自状态后不安全事件发生的概率
不安全人因类型 | 不安全事件类型 | |||
---|---|---|---|---|
基础设施、设备与虚拟化管理 | 软件管理 | 数据资产管理 | 人员管理 | |
安全意识浅薄 | 8.57 | 47.26 | 26.21 | 11.46 |
职责不清 | 8.57 | 54.66 | 23.90 | 11.46 |
工作不到位 | 8.48 | 28.24 | 23.98 | 7.54 |
培训和教育不足 | 8.57 | 29.56 | 53.48 | 18.21 |
资源分配不足 | 75.02 | 28.52 | 22.51 | 11.46 |
管理流程的问题 | 8.57 | 28.52 | 22.51 | 41.04 |
任务复杂 | 8.57 | 28.52 | 22.51 | 68.66 |
技能、经验不足 | 11.14 | 36.30 | 25.84 | 21.85 |
安全文化环境匮乏 | 8.57 | 42.99 | 47.95 | 11.46 |
维护不当 | 100 | 29.57 | 22.89 | 11.88 |
应用程序和终端不安全 | 8.57 | 76.13 | 35.80 | 9.17 |
供应故障 | 8.61 | 86.73 | 24.24 | 12.91 |
病毒感染 | 8.82 | 81.81 | 26.23 | 11.62 |
系统崩溃 | 9.31 | 79.37 | 37.62 | 11.18 |
数据加密不当 | 8.48 | 29.72 | 88.75 | 14.81 |
数据存储不当 | 8.57 | 44.75 | 85.17 | 11.29 |
数据泄露篡改 | 9.29 | 50.09 | 80.25 | 10.62 |
没有尽责 | 8.57 | 28.94 | 35.01 | 95.54 |
资质能力 | 9.12 | 25.82 | 16.81 | 97.10 |
人员违规 | 8.50 | 51.35 | 35.48 | 8.47 |
人员差错 | 9.82 | 52.22 | 34.33 | 10.96 |
[1] |
国务院. “十四五”数字经济发展规划[EB/OL].(2022-01-12). http://www.gov.cn/zhengce/content/2022-01/12/content_ 5667817.htm
|
[2] |
工业和信息化部. 工业和信息化部关于印发《推动企业上云实施指南(2018—2020年)》的通知[EB/OL]. (2018-08-10). https://www.miit.gov.cn/jgsj/xxjsfzs/wjfb/art/2020/art_06a6a6a924ba46adb39735d90f61765d.html
|
[3] |
曾忠平. 信息安全人因风险研究进展综述[J]. 情报杂志, 2014, 33(4) : 6-11.
|
|
|
[4] |
Cloud Security Alliance. Top threats to cloud computing: egregious eleven[EB/OL].(2019-08-06). https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-egregious-eleven/
|
[5] |
doi: 10.1016/j.cose.2009.05.008 |
[6] |
|
[7] |
高原, 吴长安. 云计算下的信息安全问题研究[J]. 情报科学, 2015, 33(11):48-52.
|
|
|
[8] |
doi: 10.1016/j.cose.2009.04.006 |
[9] |
|
[10] |
王军武, 王梦雨, 刘登辉, 等. 基于HFACS-BN的地铁车站施工高处坠落可能性评价[J]. 中国安全科学学报, 2021, 31(6):90-98.
doi: 10.16265/j.cnki.issn 1003-3033.2021.06.012 |
doi: 10.16265/j.cnki.issn 1003-3033.2021.06.012 |
|
[11] |
许保光, 王蓓蓓, 池宏, 等. 基于贝叶斯网络的航空安全中不安全信息分析[J]. 中国管理科学, 2020, 28(12):118-128.
|
|
|
[12] |
潘丹, 李永周, 罗帆, 等. 飞行区外来物入侵安全风险致因FTA-BN模型[J]. 中国安全科学学报, 2021, 31(6):7-13.
doi: 10.16265/j.cnki.issn 1003-3033.2021.06.002 |
doi: 10.16265/j.cnki.issn 1003-3033.2021.06.002 |
|
[13] |
doi: 10.1016/j.ress.2011.03.012 |
[14] |
周志华. 机器学习[M]. 北京: 清华大学出版社, 2016:156-157.
|
[15] |
Cloud Security Alliance. CCM v4.0 implementation guidelines[EB/OL]. [2021-12-03]. https://cloudsecurityalliance.org/artifacts/ccm-v4-0-implementation-guidelines/
|
[16] |
ENISA. Cloud computing benefits, risks and recommendations for information security: cloud computing security risk assessment[EB/OL]. (2022-05-24). https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment
|
[17] |
doi: 10.1016/j.future.2010.12.006 |
[18] |
|
[19] |
姜茸, 马自飞, 李彤, 等. 云计算安全风险因素挖掘及应对策略[J]. 现代情报, 2015, 35(1):85-90.
doi: 10.3969/j.issn.1008-0821.2015.01.016 |
doi: 10.3969/j.issn.1008-0821.2015.01.016 |
|
[20] |
|
[21] |
周知, 吕美娇. 云服务中的数字学术信息资源安全风险防范[J]. 数字图书馆论坛, 2017(7):14-19.
|
|
|
[22] |
|
[23] |
|
[24] |
doi: 10.1016/j.cose.2006.02.008 |
[25] |
doi: 10.1016/j.cose.2006.11.004 |
[26] |
|
[27] |
doi: 10.1080/10658980701401959 |
[28] |
|
[29] |
|
[30] |
|
[1] | 李一可, 张洪海, 石宗北, 周锦伦. 基于N-K-FRAM的空中交通运行安全风险耦合机制[J]. 中国安全科学学报, 2024, 34(5): 175-185. |
[2] | 刘富鹏, 杨九, 吴世博, 徐立新. 基于FDHHFLTS-BN的海底管道泄漏失效风险定量分析[J]. 中国安全科学学报, 2024, 34(1): 166-170. |
[3] | 孙逸林, 郑小强, 刘险峰, 贺艳艳, 王冶. 基于AcciMap模型的燃气管道泄漏爆炸事故分析[J]. 中国安全科学学报, 2023, 33(7): 140-146. |
[4] | 吴海涛, 刘月, 杜彗敏. 小样本条件下地铁运营事故致因推理模型[J]. 中国安全科学学报, 2023, 33(3): 134-140. |
[5] | 付姗姗, 张悦, 席永涛, 翁金贤. 多因素耦合下长江口水域交通事故致因链分析[J]. 中国安全科学学报, 2023, 33(3): 60-67. |
[6] | 马港, 徐晓楠, 郭小芳, 张志珍, 徐子豪. 基于贝叶斯网络的电镀企业火灾事故情景推演[J]. 中国安全科学学报, 2023, 33(2): 202-208. |
[7] | 靳慧斌, 朱孟昌, 马明霞. 基于ACE-BN的通勤飞行事故/事件诱因分析[J]. 中国安全科学学报, 2023, 33(2): 96-102. |
[8] | 王金江, 关鹏婷, 陈卓, 葛伟凤, 鞠茜. 基于深度学习的检修作业过程风险智能预警[J]. 中国安全科学学报, 2023, 33(10): 16-22. |
[9] | 胡玉. 发电企业人因失误分析及其预防控制措施研究[J]. 中国安全科学学报, 2022, 32(S2): 19-25. |
[10] | 赵建伟, 谢磊, 杨洋, 胡昕源, 欧昌奎, 曾荣. 基于ISM-BN的内河船舶航行风险因素研究*[J]. 中国安全科学学报, 2022, 32(8): 37-44. |
[11] | 李响, 李消, 王松, 雷描描, 赖本涛. 铁路机务检修人员人因失误影响因素研究[J]. 中国安全科学学报, 2022, 32(6): 23-30. |
[12] | 刘嘉豪, 余杨, 张振兴, 余建星, 王巍巍, 傅一钦. 二维云模型和贝叶斯网络的立管风险评估方法[J]. 中国安全科学学报, 2022, 32(5): 147-154. |
[13] | 鲁义, 伍江乐, 邵淑珍, 施式亮, 周荣义, 王伟. 基于贝叶斯网络的危化品道路运输事故推理模型[J]. 中国安全科学学报, 2022, 32(3): 174-182. |
[14] | 杨越, 马博凯, 曹宇轩. 国外空管不安全事件中的人误风险分析[J]. 中国安全科学学报, 2022, 32(12): 38-45. |
[15] | 张燕, 尘兴邦, 李铭, 吴松, 佟瑞鹏. 复杂工业系统人因失误与人因可靠性知识结构与演化趋势[J]. 中国安全科学学报, 2022, 32(12): 46-52. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||