13、利用IRIS和CAIRIS识别铁路安全与人为因素问题

利用IRIS和CAIRIS识别铁路安全与人为因素问题

1. 安全与安保的关联及IRIS和CAIRIS简介

安全和安保问题会引发风险因素（损害发生的概率）以及系统的可靠性（对系统的信任和依赖）。如今，安全工程和安保工程领域正努力加强两个领域的联系。

以往的研究认为人为错误是网络安全和安全之间的交叉概念。人类可能因犯错（主动故障）或在系统中引入错误（潜在故障）而造成危害，人类意图是区分两者的因素。如果人类是善意的（非故意的），可能会因引发危险和事故而提醒安全工程师；如果是恶意的（故意的），则可能实施威胁并利用漏洞，危及系统安全，从而引发安全隐患。

Integrating Requirements and Information Security（IRIS）流程框架旨在理解与安全、可用性和软件工程相关的设计概念如何对齐。Computer Aided Integration of Requirements and Information Security（CAIRIS）平台则作为工具支持的范例，用于管理和分析应用IRIS流程时收集的设计数据。IRIS和CAIRIS已在多个实际案例中得到应用，包括为关键基础设施系统制定安全策略。

IRIS的核心概念通过UML类图展示。漏洞和威胁会导致潜在风险，威胁取决于攻击者的意图。这种意图有助于分析师确定攻击者执行或利用的任务和目标，从而以人为错误（主动故障）的形式确定人为因素问题。因此，尽管IRIS并非专门为安全设计，但它为整合安全、安保和人为因素提供了基础。

2. 基于IRIS框架的方法

基于IRIS框架设计了一种方法，利用安全和可用性工程方法更好地理解正在设计的铁路基础设施的安全影响，