论文部分内容阅读
【摘要】近年来,以故宫为代表的文物系统博物馆被盗案件频繁发生,引起了社会的广泛关注。文物安全与文保单位的安全防范措施密切相关,而现行的安全防范标准是制定防范要求的依据,GA27-2002是文物系统博物馆安全防范遵循的主要标准。本文以攻击树分析方法对标准进行研究,通过解析标准条文,结合具体案例,分析标准存在的问题,为标准优化改进提出合理建议,加强标准对文博安防建设的规范性和针对性。
【关键词】攻击树;标准;安全防范;有效性分析随着文物品价值的不断攀升,文物盗窃等犯罪活动发展猖獗,让我国文化瑰宝蒙受巨大损失。作为文物品陈列的重要场所,博物馆的安全防范必须严格按照相关标准配备落实。党的十八大召开后,新一届政府发布了《国务院办公厅关于实施〈国务院机构改革和职能转变方案〉任务分工的通知》,其中在2013至2015连续三年的工作任务中,将加强技术标准体系建设的要求提上日程,反映出党和国家对标准化工作格外重视[1]。
GA27-2002《文物系统博物馆风险等级和安全防护级别的规定》是针对以博物馆为代表的文物保护部门采用的公共安全行业规范。在十多年的施行过程中,标准的防范效果面对复杂多变的犯罪手段仍显不足。就标准研究而言,大多数文献均为参与制定的专家就修订原因的技术说明,很少呈现了研究过程。本次采用风险分析中常用的攻击树分析方法,能从防范的角度对标准的防范效力进行有效评估,并提出修改建议。
一、基于案例的攻击树模型构建
(一)攻击树分析概念及特点
ATA(Attack Tree Analysis)攻击树分析最早是由Bruce Schneier于1999年12月在一篇阐述风险分析问题的文章中提出,他主张从攻击者角度描述系统安全威胁,绘制树形结构图,将树的根节点作为本次攻击的终极目标,其他节点称为叶节点,各节点之间按逻辑门连接,形成攻击路径,后逐渐被用于系统安全威胁分析[2]。
攻击树以攻击形式描述和建模,具有简洁明快、结构化、可重用等优势,结构逻辑简单之中透着极强的拓展性,很容易在逻辑规则下实现新的子攻击模式添加与删除。这种形式化的模型对于发现和分析防范弱点和漏洞,评价犯罪成本和成功率有参考价值[3]。目前,ATA模型应用领域广,主要用于风险和效能评估领域,多见于信息、安全管理等应用,在基础型风险分析中越来越多的受到青睐。(二)案例收集与整理
本次案件整理采用“广搜集,细筛选,精归纳,详罗列”的思路,通过查找新闻报道的近十年文物系统博物馆安全事故典型案件,按照案件发生的时间、地点、安防措施等信息进行了统计汇总,形成了案件解析表,详见表1。
基于上述案件的研究,可以将文博案件的特征和犯罪手段通过树形图呈现出来。ATA模型中充分考虑了案例分析的成果,对分析出的主要案发区域展厅和展柜列出了两条攻击路径,对作案手段中常用的撬锁、凿墙等方式也在攻击路径中不同层次有所体现。同时,技防设备中安全漏洞,以及人防中对值班工作人员的文物安全职责等内容,均在模型中有所体现,由此绘制ATA模型,见图1。二、GA27-2002防范路径解析
(一)GA27-2002安全防范措施解析
在GA27-2002标准中的第4至6章对文物系统博物馆的风险等级、防护级别和安全防范系统技术要求进行了详尽的阐述,也是标准中与防范措施有关的内容体现。现按照三级安全防范系统划分,从人、物、技角度,对标准中的防范措施规定进行解析。三级防范系统中,人防设有报警值班员、保安巡逻员和设备维护员,物防设有实体防护,技防设计了室内周界报警、复合探测、声音/图像复核装置、电视监控、紧急报警、电话对讲、报警控制器等。相比而言,二级防范系统里把人防中报警值班员换为了监控中心人员,提高了应急能力,物防添加藏品贮存柜和栅栏、围墙,技防中新增出入口控制、紧急报警、室内周界和地下振动报警等装置。一级防范系统集成上述优点,在二级基础上,在物防中增加防护栅栏、防弹(爆)玻璃、保险柜和防盗安全门,技防中新设电话对讲和不间断电源等装置。
在安全防范措施解析过程中,充分考虑了案例分析中列出的突出问题,从物防、技防和人防三方面分开解析标准条文。同时,综合ATA模型中列出的攻击路径,在标准分析时考虑了条文内容在切断攻击路径中的效力和作用。
(二)GA27-2002防范路径标注
根据ATA攻击模型,结合之前标准内容对具体防范措施描述的研究,现以具体标注的方式,将标准中具体的防范措施条文逐条与每个ATA攻击路径对应,并在切断出以符号标识。由于纸张篇幅有限,采取将原有ATA模型图拆解的方式,逐个进行攻击路径标注,可以得到结果图见图2至4。
图2中,实体防护有关的物防措施能切断从“砸碎-展柜”路径,图3中,报警装置有关的技防措施能切断“撬锁-展厅”路径,报警系统等技防措施能切断 “凿墙-展厅”的路径,及“切断电源-监控设备”的路径,对工作人员通道的技术防范措施能对“威胁-值班员”路径切断,起到良好的防范作用。结合以上三个攻击路径标识图,我们不难看出标准中防范措施在抵御攻击路径中起到了积极的作用,具有很强的实践指导意义。
(三)GA27-2002防范状况分析
在图中的切断路径中,同一切口有多个条文的多种措施防范。由于这些措施都能对防范路径起到作用,如果措施均采用,可以认为切断了多次。所以,“砸碎-展柜 ”路径共切断5次,“撬锁-展厅”共切断4次,“凿墙-展厅”共切断3次,“切断电源-监控设备”共1次,“威胁-值班员”共1次,总计14次。从整个ATA攻击模型和上述标准对攻击路径的切断状况看,首先,容易发现标准对安放文物的展柜以及整个展厅的周界的防范力度要求较高,这些与文物摆放直接相关的位置被要求“严加看守”。与此同时,标准中对于支撑整个技防系统的电力保障等方面的管理要求甚少。同样,对作为人防的主要力量的值班人员的管理和保护措施也很少。三、GA27-2002标准防范措施有效性评价 对标准的有效性评估采用文字评述的方式,主要包括以下几方面:首先,要描述对标准的认识,如设计依据、风险区分和防范措施等;其次,对标准与ATA攻击模型合成的结果进行描述,如对应程度,冗余数量、未见对应项数量等;最后,可以通过为对应数量与措施总数量的比值客观描述标准的有效性。本次评价采用防范冗余、防范不对称分析为基础,进行了防范措施的有效性分析。
(一)防范冗余分析
标准的防范冗余是指标准在与ATA攻击模型碰撞过程中,一条路径被多次切断。冗余源于同类型不同措施同时作用于一条攻击路径,也可能是为形成防范体系,由不同类型的防范措施形成了不同的安防子系统[5]。从ATA攻击模型来说,标准对文物摆放的位置周围设计的防范手段多,比如对试图暴力破坏展台表面,从展厅周界面入手的犯罪行为都有较多体现。
(二)防范不对称分析
防范的不对称是指标准中罗列的条文未能与攻击路径对应,或者攻击路径没有被标准中防范措施切断。从ATA攻击模型来说,标准体现出大量不对称。比如,攻击路径中对文物展柜的锁的维护,对展厅的监控设备的维护,对馆内值班保安人员的安全等内容缺乏标准与之对应,都是防范不对称的表现。
(三)防范措施有效性分析
博物馆的安防系统离不开实体防范和技术防范。实体防范是基础,包含围墙、通道、门、窗、展柜的防护。安防设计时,应尽可能把防护做实做牢,让犯罪分子进不来、拿不走或者很难实施。展柜的玻璃和中央控制室的实体防护都很重要。此外,技术防范系统也提升防范力度的有效手段。从安防监控系统需求来看,整个技术防范系统应包括音视频监控子系统、防入侵报警子系统、人员巡更子系统、门禁管理子系统、中心控制子系统、供电子系统等,在防范过程中能各司其职,协同配合。
GA27-2002是文物系统博物馆风险等级和防护级别确定,安全防范系统设计的重要依据,它提出了具体评定不同级别博物馆的风险等级的方法,并规定了合理有效的防护级别,同时,在安全防范系统设计上提出了很完备、详实、全面的设计细节和施工要素,总体而言,是一份具有很强说服力和权威性的标准[6]。
四、结语
博物馆的安全防范系统应具备防范入侵、盗窃、抢劫、破坏等犯罪行为的功能。要为打击刑事犯罪创造条件,起到提前预警、争取处警时间、延缓非法活以及缩小被破坏范围的作用。通过本次研究,对GA27-2002标准的效力和不足进行了分析和评价,这些基于案件事实的分析,有一定的理论指导和实践经验支撑,总体而言,有较强的说服力和启发性。
参考文献:
[1]国务院办公厅.<国务院机构改革和职能转变方案>任务分工通知[EB/OL].http://china.huanqiu.com/politics/2013-03/3777760.html,2013-03-29.
[2]B.Schneier.Attack trees:Modeling Security Threats[J].Dr.Dobb’s Journal,1999,24(12):21-29.
[3]江荣.操作系统内存保护威胁模型研究[D].国防科学技术大学,2011.
[4]GA27-2002.文物系统博物馆风险等级和安全防护级别的规定[Z].2002.
[5]陈朝武.<城市联网报警系统通用技术要求>主要内容诠释[J].中国安防,2007(4):50-55.
[6]汪捷.安全防范系统风险评估体系及其应用[J].中国安防产品信息,2006(2):56-58.
【关键词】攻击树;标准;安全防范;有效性分析随着文物品价值的不断攀升,文物盗窃等犯罪活动发展猖獗,让我国文化瑰宝蒙受巨大损失。作为文物品陈列的重要场所,博物馆的安全防范必须严格按照相关标准配备落实。党的十八大召开后,新一届政府发布了《国务院办公厅关于实施〈国务院机构改革和职能转变方案〉任务分工的通知》,其中在2013至2015连续三年的工作任务中,将加强技术标准体系建设的要求提上日程,反映出党和国家对标准化工作格外重视[1]。
GA27-2002《文物系统博物馆风险等级和安全防护级别的规定》是针对以博物馆为代表的文物保护部门采用的公共安全行业规范。在十多年的施行过程中,标准的防范效果面对复杂多变的犯罪手段仍显不足。就标准研究而言,大多数文献均为参与制定的专家就修订原因的技术说明,很少呈现了研究过程。本次采用风险分析中常用的攻击树分析方法,能从防范的角度对标准的防范效力进行有效评估,并提出修改建议。
一、基于案例的攻击树模型构建
(一)攻击树分析概念及特点
ATA(Attack Tree Analysis)攻击树分析最早是由Bruce Schneier于1999年12月在一篇阐述风险分析问题的文章中提出,他主张从攻击者角度描述系统安全威胁,绘制树形结构图,将树的根节点作为本次攻击的终极目标,其他节点称为叶节点,各节点之间按逻辑门连接,形成攻击路径,后逐渐被用于系统安全威胁分析[2]。
攻击树以攻击形式描述和建模,具有简洁明快、结构化、可重用等优势,结构逻辑简单之中透着极强的拓展性,很容易在逻辑规则下实现新的子攻击模式添加与删除。这种形式化的模型对于发现和分析防范弱点和漏洞,评价犯罪成本和成功率有参考价值[3]。目前,ATA模型应用领域广,主要用于风险和效能评估领域,多见于信息、安全管理等应用,在基础型风险分析中越来越多的受到青睐。(二)案例收集与整理
本次案件整理采用“广搜集,细筛选,精归纳,详罗列”的思路,通过查找新闻报道的近十年文物系统博物馆安全事故典型案件,按照案件发生的时间、地点、安防措施等信息进行了统计汇总,形成了案件解析表,详见表1。
基于上述案件的研究,可以将文博案件的特征和犯罪手段通过树形图呈现出来。ATA模型中充分考虑了案例分析的成果,对分析出的主要案发区域展厅和展柜列出了两条攻击路径,对作案手段中常用的撬锁、凿墙等方式也在攻击路径中不同层次有所体现。同时,技防设备中安全漏洞,以及人防中对值班工作人员的文物安全职责等内容,均在模型中有所体现,由此绘制ATA模型,见图1。二、GA27-2002防范路径解析
(一)GA27-2002安全防范措施解析
在GA27-2002标准中的第4至6章对文物系统博物馆的风险等级、防护级别和安全防范系统技术要求进行了详尽的阐述,也是标准中与防范措施有关的内容体现。现按照三级安全防范系统划分,从人、物、技角度,对标准中的防范措施规定进行解析。三级防范系统中,人防设有报警值班员、保安巡逻员和设备维护员,物防设有实体防护,技防设计了室内周界报警、复合探测、声音/图像复核装置、电视监控、紧急报警、电话对讲、报警控制器等。相比而言,二级防范系统里把人防中报警值班员换为了监控中心人员,提高了应急能力,物防添加藏品贮存柜和栅栏、围墙,技防中新增出入口控制、紧急报警、室内周界和地下振动报警等装置。一级防范系统集成上述优点,在二级基础上,在物防中增加防护栅栏、防弹(爆)玻璃、保险柜和防盗安全门,技防中新设电话对讲和不间断电源等装置。
在安全防范措施解析过程中,充分考虑了案例分析中列出的突出问题,从物防、技防和人防三方面分开解析标准条文。同时,综合ATA模型中列出的攻击路径,在标准分析时考虑了条文内容在切断攻击路径中的效力和作用。
(二)GA27-2002防范路径标注
根据ATA攻击模型,结合之前标准内容对具体防范措施描述的研究,现以具体标注的方式,将标准中具体的防范措施条文逐条与每个ATA攻击路径对应,并在切断出以符号标识。由于纸张篇幅有限,采取将原有ATA模型图拆解的方式,逐个进行攻击路径标注,可以得到结果图见图2至4。
图2中,实体防护有关的物防措施能切断从“砸碎-展柜”路径,图3中,报警装置有关的技防措施能切断“撬锁-展厅”路径,报警系统等技防措施能切断 “凿墙-展厅”的路径,及“切断电源-监控设备”的路径,对工作人员通道的技术防范措施能对“威胁-值班员”路径切断,起到良好的防范作用。结合以上三个攻击路径标识图,我们不难看出标准中防范措施在抵御攻击路径中起到了积极的作用,具有很强的实践指导意义。
(三)GA27-2002防范状况分析
在图中的切断路径中,同一切口有多个条文的多种措施防范。由于这些措施都能对防范路径起到作用,如果措施均采用,可以认为切断了多次。所以,“砸碎-展柜 ”路径共切断5次,“撬锁-展厅”共切断4次,“凿墙-展厅”共切断3次,“切断电源-监控设备”共1次,“威胁-值班员”共1次,总计14次。从整个ATA攻击模型和上述标准对攻击路径的切断状况看,首先,容易发现标准对安放文物的展柜以及整个展厅的周界的防范力度要求较高,这些与文物摆放直接相关的位置被要求“严加看守”。与此同时,标准中对于支撑整个技防系统的电力保障等方面的管理要求甚少。同样,对作为人防的主要力量的值班人员的管理和保护措施也很少。三、GA27-2002标准防范措施有效性评价 对标准的有效性评估采用文字评述的方式,主要包括以下几方面:首先,要描述对标准的认识,如设计依据、风险区分和防范措施等;其次,对标准与ATA攻击模型合成的结果进行描述,如对应程度,冗余数量、未见对应项数量等;最后,可以通过为对应数量与措施总数量的比值客观描述标准的有效性。本次评价采用防范冗余、防范不对称分析为基础,进行了防范措施的有效性分析。
(一)防范冗余分析
标准的防范冗余是指标准在与ATA攻击模型碰撞过程中,一条路径被多次切断。冗余源于同类型不同措施同时作用于一条攻击路径,也可能是为形成防范体系,由不同类型的防范措施形成了不同的安防子系统[5]。从ATA攻击模型来说,标准对文物摆放的位置周围设计的防范手段多,比如对试图暴力破坏展台表面,从展厅周界面入手的犯罪行为都有较多体现。
(二)防范不对称分析
防范的不对称是指标准中罗列的条文未能与攻击路径对应,或者攻击路径没有被标准中防范措施切断。从ATA攻击模型来说,标准体现出大量不对称。比如,攻击路径中对文物展柜的锁的维护,对展厅的监控设备的维护,对馆内值班保安人员的安全等内容缺乏标准与之对应,都是防范不对称的表现。
(三)防范措施有效性分析
博物馆的安防系统离不开实体防范和技术防范。实体防范是基础,包含围墙、通道、门、窗、展柜的防护。安防设计时,应尽可能把防护做实做牢,让犯罪分子进不来、拿不走或者很难实施。展柜的玻璃和中央控制室的实体防护都很重要。此外,技术防范系统也提升防范力度的有效手段。从安防监控系统需求来看,整个技术防范系统应包括音视频监控子系统、防入侵报警子系统、人员巡更子系统、门禁管理子系统、中心控制子系统、供电子系统等,在防范过程中能各司其职,协同配合。
GA27-2002是文物系统博物馆风险等级和防护级别确定,安全防范系统设计的重要依据,它提出了具体评定不同级别博物馆的风险等级的方法,并规定了合理有效的防护级别,同时,在安全防范系统设计上提出了很完备、详实、全面的设计细节和施工要素,总体而言,是一份具有很强说服力和权威性的标准[6]。
四、结语
博物馆的安全防范系统应具备防范入侵、盗窃、抢劫、破坏等犯罪行为的功能。要为打击刑事犯罪创造条件,起到提前预警、争取处警时间、延缓非法活以及缩小被破坏范围的作用。通过本次研究,对GA27-2002标准的效力和不足进行了分析和评价,这些基于案件事实的分析,有一定的理论指导和实践经验支撑,总体而言,有较强的说服力和启发性。
参考文献:
[1]国务院办公厅.<国务院机构改革和职能转变方案>任务分工通知[EB/OL].http://china.huanqiu.com/politics/2013-03/3777760.html,2013-03-29.
[2]B.Schneier.Attack trees:Modeling Security Threats[J].Dr.Dobb’s Journal,1999,24(12):21-29.
[3]江荣.操作系统内存保护威胁模型研究[D].国防科学技术大学,2011.
[4]GA27-2002.文物系统博物馆风险等级和安全防护级别的规定[Z].2002.
[5]陈朝武.<城市联网报警系统通用技术要求>主要内容诠释[J].中国安防,2007(4):50-55.
[6]汪捷.安全防范系统风险评估体系及其应用[J].中国安防产品信息,2006(2):56-58.