安全监视装置、安全监视系统、安全监视方法

专利名称：安全监视装置、安全监视系统、安全监视方法
技术领域：
本发明涉及为了恰当地确保资产的安全而监视安全的程度的装置、系统、方法。
背景技术：
从以往，在企业等团体中，为了保护信息、金钱、设备、商品、人等资产，导入各种安全设备，构筑安全系统。而且，评价损坏资产的风险，实施采取适当的对策的风险管理。损坏资产的风险和保护资产的安全处于相反的关系，有时也代替风险，评价安全。
例如，作为保护信息资产的安全对策和评价该对策的安全评价装置，有以下的专利文献1和专利文献2中记载的。在专利文献1中，让用户选择构成系统的仪器和风险分析方法，从预先存储的数据库抽出选择的构成仪器中能发生的威胁和能对抗该威胁的安全方针，根据选择的风险分析手法，使用户输入与各威胁的发生可能性和损失的大小有关的信息，计算各威胁的风险，从该计算结果决定安全方针的优先级。然后，用列表显示安全方针和优先级，使用户输入该安全方针的实施的有无，合计实施状况，作为安全评价效果显示。在专利文献2中，根据预先存储的对策定义文件中表示的各对策的风险降低率，计算表示实施由用户选择的风险对策而引起的效果的对策充足率，显示。此外，根据对策定义文件中表示的各对策的风险降低率和成本、由表示用户输入的信息资产的经济价值的风险额，从风险额的大的信息资产按顺序选择最适合的安全对策。
特开2002-352062号公报[专利文献2]特开2002-24526号公报。

发明内容
在上述的以往的安全评价装置中，人有必要收集、决定、输入威胁的发生可能性或损失的大小和风险降低率等与风险有关的信息，只根据该输入内容，进行安全或风险的分析。可是，由于在日常的业务运营中当然会发生的物和人的移动或增减等变化，与风险有关的信息变化，人非常难以适应该变化，收集、决定、输入与风险有关的信息，所以很有可能输入偏离实际的与风险有关的信息。如果输入偏离实际的与风险有关的信息，则只根据该输入内容进行的安全或风险的分析等结果也偏离实际，即使输出该结果，也无法正确认识安全或风险的状态，无法采取适当的对策。
本发明解决所述的课题，其目的在于，提供正确认识安全或风险的状态，能采取适当的对策的安全监视装置、安全监视系统、安全监视方法。
本发明是一种安全监视装置，与安全设备连接，监视安全，具有实时监视和收集来自安全设备的信息的监视收集部件；根据由监视收集部件监视和收集的信息，分析和预测安全风险变动的分析预测部件；输出由分析预测部件分析和预测的结果的输出部件。“安全风险变动”是应该保护的资产的安全度或风险度的变动。
此外，本发明是一种安全监视系统，由安全设备、连接在该安全设备上的监视安全的安全监视装置构成，其中安全设备把设定的信息或检测的信息向安全监视装置发送，安全监视装置实时监视和收集来自安全设备的信息，根据该信息，分析和预测安全风险变动，输出该分析和预测的结果。
本发明是一种安全监视方法，监视与安全设备有关的安全，其中实时监视和收集来自安全设备的信息，根据该信息，分析和预测安全风险变动，输出该分析和预测的结果。
根据所述，用安全监视装置自动实时监视和收集来自安全设备的信息，根据该信息，分析和预测安全风险变动，输出该结果，所以与象以往的装置那样只根据由人输入的信息进行安全或风险的分析，输出结果相比，能使输出结果变为切合实际的。因此，从所述输出结果能正确认识日常的业务运营中的安全或风险的状态，能采取适当的对策。
此外，在本发明的一个实施形态中，在所述安全监视装置中，具有根据由分析预测部件分析和预测的结果，控制安全强度的控制部件。作为一个例子，控制部件使安全设备的设定参数、对于安全设备的访问资格、或者安全划分变化。“安全划分”是确保和监视安全的对象的范围，并不局限于空间的地方，也包含信息通信的范围。
如果按所述实施，就能用安全监视装置自动根据安全风险变动的分析和预测的结果，适当使安全强度变化，确给定的安全性。通过使安全设备的设定参数严格变化，能提高与安全设备的设定有关的安全强度。此外，通过严格限制对安全设备的访问资格，能提高与该安全设备的访问资格有关的安全强度。通过把安全划分扩大、阶层化，能提高该安全划分的安全强度。
此外，本发明的一个实施形态中，在所述安全监视装置中，监视收集部件监视和收集安全设备的设定状态和对安全设备的访问次数，分析预测部件根据该设定状态和访问次数，分析和预测安全风险变动。作为一个例子，分析预测部件根据所述设定状态，计算静态风险应对力，根据所述访问次数，计算动态风险应对力，根据静态风险应对力和动态风险应对力，计算综合风险应对力，根据该综合风险应对力，计算风险的发生频度。“风险应对力”是与风险对立的狭义的安全的程度，是通过由安全设备的导入而构筑的安全系统，从危害资产的威胁保护资产的程度。其中，通过安全设备的导入和设定，从威胁保护资产的程度是“静态风险应对力”，通过安全系统的运用状态、运用制度、使用者的道德，从威胁保护资产的程度是“动态风险应对力”。而且，从静态风险应对力和动态风险应对力计算出的是“综合风险应对力”。“风险的发生频度”是无法从威胁保护资产，风险发生的频度。
如果按所述实施，就能多方面地分析和预测安全风险变动，从输出的结果正确和详细地认识安全和风险的状态。此外，如果计算输出静态风险应对力、动态风险应对力、综合风险应对力、风险的发生频度，就能定量地认识这些状态，容易判断与它们的任意一个有关的怎样的对策是必要的，能迅速正确地采取必要的对策。
此外，本发明的一个实施形态中，在所述安全监视装置中，分析预测部件根据由监视收集部件监视和收集的信息、取得的资产价值，分析和预测安全风险变动。
如果按所述实施，就根据实时监视和收集的来自安全设备的信息，计算风险的发生频度，根据该发生频度和资产价值，计算风险，能正确并且定量地认识该风险的状态。
此外，本发明的一个实施形态中，在所述安全监视装置中，分析预测部件根据取得的资产数量和单位数量的资产价值，实时计算资产价值。
如果按所述实施，就能用安全监视装置自动计算资产价值，根据该资产价值、实时监视和收集的来自安全设备的信息，正确计算、输出风险。
此外，本发明的一个实施形态中，在所述安全监视装置中，监视收集部件实时监视和收集来自读取对资产所赋予的标识符的安全设备的读取信息，分析预测部件根据由监视收集部件实时监视和收集的所述读取信息，实时检测资产数量。
如果按所述实施，即使在日常的业务运营中产生资产的移动和增减等变化，也能实时检测资产的位置和数量。而且，根据位于监视对象的安全划分的现在的资产数量和单位数量的资产价值，正确计算现在的资产价值。
本发明的一个实施形态中，在所述安全监视装置中，在把监视对象的安全划分阶层化时，监视收集部件实时监视和收集来自位于各层的安全设备的信息，分析预测部件根据由监视收集部件监视和收集的信息，按各层计算风险应对力，根据各风险应对力，计算安全划分全体的风险应对力。
如果按所述实施，就能计算阶层化的安全划分全体的风险。此外，能正确并且定量地认识计算阶层化的安全划分的各层和全体的风险应对力和风险的状态，作为各层或全体，判断、采取必要的适当的对策。
根据本发明，用安全监视装置自动进行安全风险变动的实时的分析和预测，输出切合实际的结果，所以能正确认识日常的业务运营中的安全或风险的状态，能采取适当的对策。


下面简要说明附图。
图1是安全监视系统的结构图。
图2是表示安全监视处理的基本步骤的程序流程图。
图3是表示风险变动的分析和预测结果的一个例子的图。
图4是表示实施例1的安全状况的图。
图5是表示实施例1的安全监视处理的一部分的详细步骤的程序流程图。
图6是表示安全管理常数表的图。
图7是表示实施例1的安全风险变动的分析和预测结果的一个例子的图。
图8是表示实施例1的安全风险变动的分析和预测结果的一个例子的图。
图9是表示实施例1的安全风险变动的分析和预测结果的一个例子的图。
图10是表示实施例1的安全风险变动的分析和预测结果的一个例子的图。
图11是表示实施例1的安全风险变动的分析和预测结果的一个例子的图。
图12是表示实施例1的安全风险变动的分析和预测结果的一个例子的图。
图13是表示发生频度类表的图。
图14是表示安全对策候补表的图。
图15是表示实施例2的安全状况的图。
图16是表示实施例3的安全状况的图。
图17是表示实施例4的安全状况的图。
图18是表示实施例4的安全监视处理的一部分的详细步骤的程序流程图。
图19是表示实施例5的安全状况的图。
1-安全监视装置；2-安全管理装置；3-下级的安全设备；4-侵入检测装置；5-相机监视装置；6-进入退出控制装置；7-本人认证装置；8-访问控制装置；9-警报和通报装置；11-控制部；12-显示部；14-通信部；42a-玻璃传感器；42b-无源传感器；62、62a～62f-读卡器；62t-标签阅读器；63、63a～63c-电子锁；64-RFID标签；81-客户机；81b-PC；82-服务器；100-安全监视系统；A1-物体资产；A2-信息资产；R、Ra、Rb-房屋。
具体实施例方式
图1是表示本发明实施形态的安全监视系统100的结构的图。安全监视系统100为了监视保护企业中保有的信息、金钱、设备、商品、人等资产的安全，在企业中运用。安全监视系统100由安全监视装置1、上级的安全设备即安全管理装置2、下级的安全设备3构成。
安全监视装置1由个人计算机等构成。安全监视装置1设置在位于例如屋内的管理室等中。安全监视装置1与安全管理装置2电连接，通过安全管理装置2与安全设备3电连接。控制部11由CPU和相机等构成。显示部12由CRT或LCD等显示器构成。操作部13由鼠标和键盘构成。通信部14由调制解调器和公开的接口电路构成。读写部15由对公开的磁盘、光盘、或存储卡等信息记录媒体进行信息的读写的驱动器或读卡器构成。存储部16由存储器和硬盘构成。
在存储部16存储控制部11用于控制各部的各种程序和数据。其中，安全监视AP16a是监视安全，并且把安全或风险的状态“可视化”(在视觉上识别)的应用程序。安全监视DB16b是聚集安全监视AP16a的执行中登记和利用的信息的数据库。安全风险日志16c记录安全监视AP16a的执行中取得的与安全或风险有关的信息。安全设定日志16d记录安全监视AP16a的执行中变更的与安全有关的信息。控制部11执行安全监视AP16a，按照该安全监视AP16a，在显示部12上显示给定的信息，在安全监视DB16b中存储、登记用于监视由操作部13输入的安全的信息。此外，控制部11按照安全监视AP16a，象后面描述的那样监视安全。
安全管理装置2由个人电脑构成的客户机和服务器构成。安全管理装置2例如设置在位于屋内的管理室中。安全管理装置2与安全监视装置1以及下级的安全设备3中包含的多个装置4～9分别电连接。在图1中，只表示一台安全管理装置2，但是有时也与各装置4～9对应地设置多台。控制部21、显示部22、操作部23、通信部24、读写部25以及存储部26的结构与上述的控制部11、显示部12、操作部13、通信部14、读写部15以及存储部16同样。
在存储部26存储控制部11用于控制各部的各种程序和数据。其中，资产管理AP26a是用于管理保有的资产的应用程序。资产DB26b是聚集在资产管理AP26a的执行中登记的与资产有关的信息(例如名称、种类、数量、价值、保有的位置、分配的ID)的数据库。个人和ID管理AP26c是用于管理从业人员等个人、分配给该个人的ID的应用程序。个人和IDDB26d是聚集个人和ID管理AP26c的执行中登记的与个人的属性和ID有关的信息(例如，名字、所属、性别、经历、生物测定学信息、分配的ID)的数据库。
方针管理AP26e是用于管理制定的安全方针的应用程序。作为安全方针，有与安全划分或安全设备2、3等设备有关的决定、与人对于安全划分进入退出有关的决定、与对个人电脑等信息设备或数据库等信息资产的访问有关的决定。安全划分是确保和监视安全的对象的范围，并不局限于空间的地方的范围，也包含信息通信的范围。方针DB26f是聚集方针管理AP26e的执行中登记的与安全方针有关的信息(例如，安全划分的位置、安全设备2、3的位置、进入退出资格、访问资格)的数据库。相机26DB26g是聚集由下级的安全设备3的相机监视装置5拍摄的监视图像的数据库。事件DB26h是聚集与由下级的安全设备3的各装置4～9检测的事件有关的信息的数据库。此外，在存储部26中有用于管理下级的安全设备3的各装置4～9的程序。存储部26的各DB26b、26d、26f～26h中存储的信息在安全监视AP16a的执行中使用。
在下级的安全设备3中包含侵入检测装置4、相机监视装置5、进入退出控制装置6、本人认证装置7、访问控制装置8、警报和通报装置9等各种用于确保安全的多个装置。各装置4～9设置在想确保安全的现场。其中，侵入检测装置4由控制器41和传感器42构成。传感器42检测人的侵入或可侵入的异常状态。控制器41把传感器42的检测结果向安全管理装置2发送。相机监视装置5由控制器51和监视用的相机52构成。相机52拍摄现场的样子。控制器51把由相机52拍摄的图像向安全管理装置2发送。
进入退出控制装置6由控制器61、ID阅读器62和电子锁63等构成。
电子锁63把设置在现场的出入口的门上锁开锁。ID阅读器62是读取个人持有的非接触IC卡的记录媒体中记录的个人ID、或者在资产上附加的ID标签等记录媒体中记录的资产ID的装置。控制器61比对由ID阅读器62读取的个人ID、由安全管理装置2发送设定的进入退出资格者的ID，判定是否一致，根据该判定结果，控制电子锁63，允许或禁止从门的进入退出。此外，控制器61在进入退出日志61a中记录进入退出状况、ID阅读器62和电子锁63的动作状况、由ID阅读器62读取的ID等信息，向安全管理装置2发送。控制器61把由ID阅读器62读取的资产的ID向安全管理装置2发送。本人认证装置7由控制器71和生物阅读器72等构成。生物阅读器72是读取个人的指纹、手掌的静脉、虹彩、脸图像、或者声纹等生物测定学信息的装置。控制器71比对由生物阅读器72读取的生物测定学信息和由安全管理装置2发送设定的认证对象者的生物测定学信息，判定是否一致，根据该判定结果，进行是认证对象者本人的认证或不认证，向安全管理装置2输出。
访问控制装置8由客户机81和服务器82等构成。客户机81由个人使用的个人电脑构成。客户机81和服务器82由网络连接。客户机81比对为了访问该客户机81、该客户机81中存储的基本输入输出系统或应用程序或文件、服务器82、服务器82中存储的数据库或文件而输入的用户名、密码、ID等信息、和从安全管理装置2发送设定的访问资格者的用户名、密码、ID等信息，判定是否一致，根据该判定结果，允许或禁止向所述访问目标的访问。此外，客户机81在访问日志81a中记录向所述访问目标的访问状况、输入的用户名、密码、ID等信息，向安全管理装置2发送。警报和通报装置9由控制器91、警告器92、警告灯93等构成。控制器91接收来自安全管理装置2的指令，由警告器92或警告灯93发出警告，或者对保安员或安全负责人持有的未图示的终端装置发送通报。
图2是表示由安全监视装置1执行的安全监视管理的基本步骤的程序流程图。控制部11按照安全监视AP16a，执行安全监视管理。首先，控制部11设定监视安全的条件(步骤S1)。具体而言，例如，使用户由操作部13输入确定资产、安全划分、安全设备、风险的种类、时期等监视对象的信息，根据该输入信息，由控制部11确定条件。此外，例如预先列举监视对象，在安全监视DB16b中登记确定该监视对象的信息和监视顺序，根据该登记信息，由控制部11设定条件。
接着，根据监视条件，实时监视和收集来自安全设备2、3的安全信息或资产信息(步骤S2)。具体而言，控制部11通过通信部14向安全管理装置2发送使其发送与监视条件有关的关于安全的信息或关于资产的信息的指令。安全管理装置2的控制部21检索资产DB26b或方针DB26f，从该DB读出与监视条件有关的安全信息或资产信息，由通信部24向安全监视装置1发送。此外，控制部21检索资产DB26b或方针DB26f，确定与监视条件有关的安全设备3，对该安全设备3发送使其发送安全信息的指令。与监视条件有关的安全设备3的设定信息和安全设备3中的取得信息作为安全信息从安全设备3通过安全管理装置2向安全监视装置1发送。据此，能实时监视和收集来自安全设备2、3的安全信息。控制部11和通信部14构成本发明的监视收集部件的一个实施形态。
接着，控制部11根据监视和收集的安全信息、存储在安全监视DB16b中的信息，分析和预测安全风险变动，与预先设定的允许值比较，分析大小。计算的值作为现在的计算值，与计算日期时间一起记录到安全风险日志16c中。此外，如果在安全风险日志16c中记录关于同一监视对象的安全度或危险度的过去计算的值，按时间系列跟踪从该过去的计算值到现在的计算值，分析变化倾向，预测今后的推移。控制部11构成本发明的分析预测部件的一个实施形态。
接着，控制部11输出分析和预测的结果(步骤S4)。具体而言，把所述计算值和允许值图表化，在显示部12作为图像显示。据此，用户能实时认识安全或风险的状态。控制部11和显示部12构成本发明的输出部件的一个实施形态。此外，例如可以通过电子邮件向安全负责人发送表示所述结果的信息。
接着，控制部11根据分析和预测的结果、安全监视DB16b中存储的信息，判断和选择对策(步骤S5)。具体而言，控制部11比较上述的安全度或危险度的计算值和允许值，判断改变安全强度的对策的必要性。这里，如果计算值没超过允许值，控制部11就判断对策为不要。而如果计算值超过允许值，控制部11就判断对策为必要，从预先登记在安全监视DB16b中的对策候补中选择对策。而且，如果选择的对策是通过控制安全设备2、3，就能执行的自动对策，控制部11控制安全设备2、3，执行对策(步骤S6)，改变监视对象的安全强度。在显示部12上显示执行了对策，通知，在安全设定日志16d中记录该对策的内容和执行日期时间(步骤S7)。此外，判断对策为必要后，如果选择的对策是必须通过人手才能执行的手动对策，控制部11就在显示部12上显示应该执行该对策，通知，在安全设定日志16d中记录该对策的内容和通知日期时间(步骤S8)。然后，收到所述通知的安全负责人执行该对策，从而监视对象的安全强度变化。控制部11构成本发明的控制部件的一个实施形态。
接着，控制部11在步骤S9中，判断是否结束安全的监视。具体而言，如果用户通过操作部13输入结束监视的指示，就判断结束安全的监视(步骤S9YES)，结束处理。如果用户未输入结束监视的指示，就判断未结束安全的监视(步骤S9NO)，向步骤S2转移，继续进行以后的处理。此外，对时间或步骤S2～S9的处理的执行次数设置限制，判断是否结束安全的监视。在步骤S6中，在执行自动对策后继续进行处理时，该对策的结果由以后的步骤S2～S5表示，成为能认识。
图3是表示图2的步骤S4中输出的安全风险变动的分析和预测结果的一个例子的图。本图在安全监视装置1的显示部12显示。用圆表记表示的“破坏”或“个人信息泄露”是在某安全划分中有可能发生的风险的种类。风险的种类如右上所示，分类为“自然”、“设备事故”、“信息通信”、“犯罪”、“其它”等5个。横轴表示各风险的发生频度。风险的发生频度根据图2的步骤S2中监视和收集的安全信息计算，分类为“1”～“5”等5个类。纵轴是应该存在于某安全划分中的资产的价值，即表示由于各风险而受到损害时产生的损害额。根据步骤S2中监视和收集的资产信息，计算资产价值。各风险描画在发生频度和资产价值交叉的位置。从左上向右下斜着延伸的虚线是预先设定的允许值。在下方用纵线阴影表示的区域是风险容纳区。在左上用无阴影表示的区域是风险变迁区。在右上用横线阴影表示的区域是风险减轻/回避区。各风险位于允许值以下地实施对策。在图2的步骤S5中，自动判断对策的必要性，选择实施的对策，但是观察本图的安全负责人也认识风险的状态，判断对策的必要性，选择适当的对策实施。
以下列举具体例进行说明。图4是表示实施例1的安全状况的图。房屋R设置在企业的某事务所中。在房屋R中有应该保护的金钱、设备、或商品等物质资产A1。事务所的从业人员数是1000人。其中，具有对房屋R的进入退出资格的进入退出资格者数为100人。此外，进入退出资格者数中同意事务所中制定的有关安全的处理的章程的安全处理同意数为95人。作为向房屋R的侵入线路，有窗户W1、W2和门D。窗户W1、W2的玻璃窗总关闭上锁。在窗户W1设置检测该窗户W1的玻璃的破坏的玻璃传感器42a。在窗户W2的附近设置检测人从该窗户W2的侵入的无源传感器42b。两个传感器42a、42b的检测灵敏度现在设定为“1”。两个传感器42a、42b是图1的侵入检测装置4的传感器42的一个例子。即在房屋R，作为安全系统，导入由包含传感器42a、42b的侵入检测装置4和安全管理装置2构成的侵入管理系统。
门D总关闭，由电子锁63a上锁。在门D的内侧和外侧的附近设置从个人持有的未图示的非接触IC卡读取ID的读卡器62a、62b。电子锁63a和读卡器62a、62b是图1的进入退出控制装置6的电子锁63和ID读卡器62的一个例子。由读卡器62a、62b读取的ID如果与对房屋R的进入退出资格者的ID一致，电子锁63a就打开，打开门D，对房屋R变为能进入退出。基于读卡器62a、62b的非接触IC卡的ID认证水平(例如，读卡器62a、62b的通信灵敏度、ID的比对内容等的水平)设定为“2”。门D的总操作次数(即，电子锁63a的总动作时间)为1个月5000次。其中，门D的异常操作次数(即在电子锁63a发生异常的次数)为1个月100次。即在房屋R，作为安全系统，导入由包含读卡器62a、62b的进入退出控制装置6和安全管理装置2构成的进入退出管理系统。在门D的附近设置读取个人的指纹的生物阅读器72a。生物阅读器72a是图1的本人认证装置7的一个例子。即在房屋R，作为安全系统，导入由包含生物阅读器72a的本人认证装置7和安全管理装置2构成的本人认证系统。须指出的是，基于生物阅读器72a的本人认证现在不进行。
图5是表示实施例1的安全监视管理的详细步骤的程序流程图。本程序流程图表示图2的程序流程图的一部分处理的细节。即图5的步骤S2a～S2g表示图2的步骤S2的细节，图5的步骤S3a～S3m表示图2的步骤S3的细节，图5的步骤S5a～5f和S6b～S6e表示图2的步骤S5和S6的细节。图5的步骤S1、S4、S7、S8、S9分别与图2的同一符号的步骤相同。
为了监视位于图4的房屋R中的物体资产A1的安全，用安全监视装置1起动安全监视AP16a，通过操作部13输入监视条件。这里，作为安全划分，输入“房屋R”，作为风险的种类，输入“盗窃丢失”。控制部11把这些输入信息设定为监视条件(图2的步骤S1)，根据该监视条件，实时监视和收集来自安全设备2、3的安全信息和资产信息(步骤S2)。具体而言，在安全管理装置2的资产DB26b登记在房屋R中存在物体资产A1的信息、物体资产A1的资产价值的信息。因此，控制部11监视从安全管理装置2发来物体资产A1的资产价值的信息，收集该信息(图5的步骤S2g)。此外，也可以使用户输入物体资产A1的资产价值的信息。在安全管理装置2的个人和IDDB26d和方针DB26f分别登记能成为威胁的数量的从业人员数、对房屋R的进入退出资格者数、该进入退出资格者中的安全处理同意数的信息。因此，控制部11监视从安全管理装置2发来从业人员数、进入退出资格者数、安全处理同意数的信息，收集该信息(步骤S2d、S2f)。此外，在安全管理装置2的方针DB26f中登记在房屋R中最为安全设备3，设置侵入检测装置4的玻璃传感器42a和无源传感器42b、进入退出控制装置6的读卡器62a、62b的信息。因此，控制部11监视从侵入检测装置4通过安全管理装置2送来现在的各传感器42a、42b的灵敏度的信息，收集该信息(步骤S2a、S2b)。此外，控制部11监视从进入退出控制装置6通过安全管理装置2发来基于读卡器62a、62b的现在的非接触IC卡ID认证水平的信息，收集该信息(步骤S2c)。在进入退出控制装置6的进入退出日志61a记录到现在为止的门D的总操作次数和异常操作次数的信息。因此，控制部11监视从进入退出控制装置6通过安全管理装置2发来到现在为止的门D的总操作次数和异常操作次数的信息，收集该信息(步骤S2e)。
接着，控制部11根据监视和收集的所述的安全信息和资产信息、安全监视DB16b中存储的信息，分析和预测安全风险变动(图2步骤S3)。
具体而言，控制部11如下所述，分别定量地计算房屋R的静态风险应对力值、动态风险应对力值、综合风险应对力值、风险的发生频度、风险值，分析变化倾向，预测今后的推移。风险应对力是与风险对立的狭义的安全的程度，是通过由安全设备2、3的导入而构筑的进入退出管理等安全系统，从危害资产的威胁保护资产的程度。其中，通过安全设备2、3的导入和设定，从威胁保护资产的程度是静态风险应对力，通过安全系统的运用状态、运用制度、使用者的道德，从威胁保护资产的程度是动态风险应对力。而且，从静态风险应对力和动态风险应对力计算出的是综合风险应对力。风险的发生频度是无法从威胁保护资产，风险发生的频度。
在安全监视DB16b中登记图6所示的安全管理常数表的信息。安全管理常数表设置安全设备2～9，把通过以给定的设定工作，从威胁保护资产的程度即能确保的安全度作为“0～1”的数值即管理常数表示。管理常数越大，安全度越高。在图6中，只图示在以下的说明中必要的。如上所述，现在的无源传感器42b和玻璃传感器42a的灵敏度都是“1”，现在的非接触IC卡ID认证水平是“2”。因此，控制部11从安全管理常数表分别读出与现在的无源传感器42b的灵敏度“1”对应的管理常数“0.90”、与现在的玻璃传感器42a的灵敏度“1”对应的管理常数“0.90”、与现在的非接触IC卡ID认证水平“2”对应的管理常数“0.95”(图5的步骤S3a、S3b、S3c)。然后，从该管理常数按以下所述那样计算房屋R的静态风险应对力(S3d)。(房屋R的静态风险应对力＝(各侵入路线中的静态风险应对力)＝(基于门D的非接触IC卡ID认证的管理常数)×(基于窗户W1的玻璃传感器42a的管理常数×(基于窗户W2的无源传感器42b的管理常数)＝0.95×0.90×0.90＝0.77此外，控制部11分别由从业人员数、对房屋R的进入退出资格者数、门D的总操作次数、门D的异常操作次数、进入退出资格者中的安全处理同意数计算对房屋R的进入退出资格者比率、用于进入退出的正常操作率、进入退出资格者中的安全处理同意比率(步骤S3e、S3f、S3g)，因此，按以下描述的那样计算房屋R的动态风险应对力(步骤S3h)。
(对房屋R的进入退出资格者比率)＝(进入退出资格者数)/(从业人员数)＝100/1000＝0.1
(用于进入退出的正常操作率)＝(门D的总操作次数-门D的异常操作次数)/(门D的总操作次数)＝(5000-100)/5000＝0.98(进入退出资格者中的安全处理同意比率)＝(进入退出资格者中的安全处理同意数)/(进入退出资格者数)＝95/100＝0.95(房屋R的动态风险应对力)＝(组织的道德的资本)+(组织的道德的资本的剩余数)×(1-对房屋R的进入退出资格者比率)×(用于进入退出的正常操作率)×(进入退出资格者中的安全处理同意比率)＝0.1+0.9×(1-0.1)×0.98×0.95＝0.85在所述的计算式中，组织的道德的资本是原来确保的动态风险应对力。该组织的道德的资本预先制定为“0.1”，剩余数预先制定为“0.9”。此外，作为用于进入退出的正常操作率，只考虑门D的正常操作率是因为总关闭其他侵入路线的窗户W1、2，不进行开关操作，所以没必要考虑正常操作率。须指出的是，考虑正常操作率的侵入路线存在多个时，可以只把其中最低的正常操作率作为用于进入退出的正常操作率。
此外，控制部11从所述的静态风险应对力值和动态风险应对力值按以下所述那样计算房屋R的综合风险应对力(步骤S3i)。
(房屋R的综合风险应对力值)＝(房屋R的静态风险应对力值)×(房屋R的动态风险应对力值)＝0.77×0.85＝0.65此外，控制部11从所述综合风险应对力值按以下所述那样计算房屋R的物体资产A1的盗窃丢失的风险的发生频度(步骤S3j)。
(房屋R的物体资产A1的盗窃丢失的风险的发生频度)＝1-(房屋R的综合风险应对力值)＝1-0.65＝0.35控制部11从所述风险的发生频度、从安全管理装置2收集的物体资产A1的资产价值，按以下所述那样计算房屋R的物体资产A1的盗窃丢失的风险值(步骤S3k)。
(房屋R的物体资产A1的盗窃丢失的风险值)＝(房屋R的物体资产A1的盗窃丢失的风险的发生频度)×(物体资产A1的资产价值)＝0.35×(1亿日元)＝3500万日元如果按所述那样计算，控制部11就把所述各计算值作为现在的计算值，在安全风险日志16c中与计算日期时间一起记录。然后，控制部11把现在的计算值与预先设定的允许值比较，分析大小。此外，控制部11如果在安全风险日志16c中记录关于同一监视对象的安全度和危险度的过去计算的值，就按时间系列跟踪从过去的计算值到现在的计算值，分析变化方向，预测今后的推移。控制部11把分析和预测的结果图表化，输出(图2的步骤S4)。
图7～图12是表示实施例1的安全风险变动的分析和预测结果的一个例子的图。各图在安全监视装置1的显示部12上显示。图7是表示房屋R的静态风险应对力值的时间变化的图。图8是表示房屋R的动态风险应对力的时间变化的图。图9是表示房屋R的综合风险应对力值的时间变化的图。图10是表示房屋R的物体资产A1的盗窃丢失的风险的发生频度的时间变化的图。图11是表示房屋R的物体资产A1的盗窃丢失的风险值的时间变化的图。各图中表示的细实线分别是静态风险应对力值、动态风险应对力值、综合风险应对力值、风险的发生频度、风险值，虚线是各自的允许值。图8～图11所示的粗实线是细实线的一次近似线，双点划线是把该一次近似线向未来方向延伸的各值的预测线。从图7～图9，能在视觉上认识房屋R的物体资产A1的盗窃丢失的风险应对力即安全的变化状态。从图10和图11能在视觉上认识房屋R的物体资产A1的盗窃丢失的风险的变化状态。在图8～图11的左侧观察的各值的突发的变化的原因是可疑者向房屋R的侵入或房屋R的事故或门D的故障。在图8～图11的右侧观察的各值的倾向的变化的原因是物体资产A1的增加或从业人员的增加。从一次近似线和预测线能预测今后该倾向的变化继续。在图7～图9中，各风险应对力值分别为允许值以上时好。在图10和图11中，风险频度和风险值分别为允许值以下时好。
图12是表示房屋R的物体资产A1的盗窃丢失的风险的状态的图。本图的显示形式与所述的图3同样。R1～R3分别是某时刻的房屋R的物体资产A1的盗窃丢失的风险。风险的发生频度分类为“1”(1000年1次)～“5”(1年数次)等5类，变为容易认识。图13是用于把风险的发生频度分类为5个类的发生频度类表。发生频度类表的信息登记在安全监视DB16b中。例如，如果如上所述那样计算的风险的发生频度是0以上，低于0.1，就分类为1000年发生1次的类“1”。从图12能在视觉上认识对房屋R的物体资产A1的盗窃丢失风险的允许值的大小和变化。例如，在R1的时刻，风险的发生频度是“0.35”，物体资产A1的资产价值是“1亿日元”，风险为允许值以下。如果从R1的时刻，例如从业人员数增加，风险的发生频度上升，就象R2的时刻那样，风险超过允许值。
如果象所述那样输出分析和预测的结果，控制部11就根据该分析和预测的结果、存储在安全监视DB16b中的信息，判断和选择对策(图2的步骤S5和图5的步骤S5a)。例如，如上所述那样计算的静态风险应对力值和动态风险应对力值和综合风险应对力值都是允许值以上，并且风险的发生频度和风险值都是允许值以下时，控制部11判断改变房屋R的安全强度的对策为不要。而静态风险应对力值和动态风险应对力值和综合风险应对力值中的任意一个低于允许值时，或者预测为马上低于时，或者风险的发生频度和风险值中的任意一个超过允许值时或者预测为马上超过时，控制部11判断改变房屋R的安全强度的对策为必要，检索安全监视DB16b，选择对策。
在安全监视DB16b中登记图14所示的安全对策候补表的信息。安全对策候补表表示控制部11通过控制安全设备而能执行的自动对策的候补、必须由人手执行的手动对策的候补。例如，作为自动对策候补，有传感器灵敏度调整、认证水平调整、认证内容调整、访问资格调整、安全划分调整。认证内容调整是指除了卡ID认证，还进行基于生物测定学信息的本人认证，或者用一个手指的指纹信息到多个手指的指纹信息进行本人认证，变更认证内容。访问资格限制是把访问资格提供给开发科全员的人只是开发科的科长，限定提供访问资格的人，减少访问资格者数。访问资格不仅是对数据库进行数据的读出和写入的信息通信的访问资格，也包含对某场所进入或退出的进入退出资格。作为手动对策候补，有其他访问资格限制、其他安全划分调整、安全设备的增设、安全设备的修正和更换、资产移动、对策研究要求等。
控制部11提高房屋R的安全强度地从安全对策候补表抽出可实施的对策，符合房屋R的安全状况地具体设定。在房屋R，作为安全系统，导入包含无源传感器42b和玻璃传感器42a的侵入管理系统、包含读卡器62a、62b的进入退出管理系统、包含生物阅读器72a的本人认证系统。因此，作为自动对策，分别设定无源传感器42b的灵敏度调整(图5的步骤S5b)、玻璃传感器42a的灵敏度调整(图5的步骤S5c)、非接触IC卡的ID认证或基于指纹认证的本人认证的认证水平、认证内容的调整(步骤S5d)、向房屋R的进入退出资格者限制(步骤S5e)。作为手动对策，设定安全对策候补表中列举的其他对策(步骤S5f)。然后，控制部11按照所述计算值和允许值的差分的大小，选择一个或多个步骤S5b～S5f的对策。例如，如果差分微小，就只选择自动对策中的任意一个。此外，如果差分大到某程度，就选择自动对策的全部。此外，如果差分显著大，就选择手动对策。或者，考虑反复执行图2的步骤S2～S10，从自动对策一个一个按顺序选择进行。或者，在显示部12显示所述设定的对策，使用户通过操作部13选择。
在选择自动对策的无源传感器42b或玻璃传感器42a的灵敏度调整(步骤S5b、S5c)时，控制部11通过安全管理装置2控制侵入检测装置4，把传感器42a、42b的灵敏度从现在设定的“1”变更为更严格的“2”(步骤S6b、S6c)。此外，在选择非接触IC卡的ID认证或基于指纹信息的本人认证的认证水平、该认证内容的调整(步骤S5d)时，控制部11通过安全管理装置2控制进入退出控制装置6或本人认证装置7，在从门D对房屋R的进入退出时，进行非接触IC卡的ID认证和基于指纹信息的本人认证(步骤S6d)。这时，只在ID认证和本人认证双方实现时，打开电子锁63a，允许对房屋R的进入退出。此外，选择向房屋R的进入退出资格者限制(步骤S5e)时，控制部11控制安全管理装置2或进入退出控制装置6，更严格限定向房屋R的进入退出资格者，把进入退出资格者数从现在设定的“100人”减少到“10人”(步骤S6e)。如果按所述那样执行自动对策，则控制部11在显示部12显示执行了所述自动对策，通知，在安全设定日志16d中记录该对策的内容和执行日期时间(图2的步骤S7)。据此，安全负责人以后观察安全设定日志16d的记录内容，能认识自动执行的对策。
此外，选择手动对策的其他对策(图5的步骤S5f)时，控制部11在显示部12显示应该执行该对策，通知，在安全设定日志16d中记录该对策的内容和通知日期时间(图2的步骤S8)。然后，收到所述通知的安全负责人通过执行对策，监视对象的安全强度变化。
然后，控制部11在图2的步骤S9中，如上所述，如果判断结束安全的监视(步骤S9YES)，就结束处理，如果判断为不结束监视(步骤S9NO)，就向步骤S2转移，继续进行以后的处理。在继续进行处理时，剩下在步骤S4中在显示部12显示的分析和预测结果，如果在该显示中追加以后的分析和预测结果，就能从各风险应对力值、风险的发生频度、风险值的变化以实时并且按照时间系列认识安全或风险的状态。
如上所述，完全执行图5的步骤S6b～S6e的自动对策后，继续进行处理时，该对策的效果在以后的步骤S2～S5中立刻表现，变为能认识。即在下次的步骤S2中，控制部11实时监视和收集传感器42a、42b的灵敏度变化为“2”(图5的步骤S2a、S2b)。此外，除了非接触IC卡的ID认证水平为“2”，还实施基于指纹信息的本人认证，实时监视和收集该认证水平设定为“2”(步骤S2c)。此外，从业人员数从“1000人”未改变，但是实时监视和收集进入退出资格者数和该进入退出资格者中的安全处理同意数都变化为“10人”(步骤S2d、S2f)。门D的总操作次数和异常操作次数、物体资产A1的资产价值不变，所以实时监视和收集与上次相同的总操作次数“5000次/月”和异常操作次数“100次/月”和资产价值“1亿日元”(步骤S2e、S2g)。
然后，在下次的步骤S3中，控制部11分别定量地按以下那样计算房屋R的静态风险应对力值、动态风险应对力值、综合风险应对力值、风险的发生频度、风险值，分析和预测安全风险变动。须指出的是，在计算房屋R的静态风险应对力值时，传感器42a、42b的灵敏度都是“2”，卡ID认证和本人认证的水平都是“2”，所以从图6的安全管理常数表，与传感器42a、42b对应的管理常数变为“0.95”，与卡认证+本人认证对应的管理常数变为“0.99”。
(房屋R的静态风险应对力值)＝(门D的非接触IC卡的ID认证+基于指纹信息的本人认证的管理常数)×(基于窗户W1的玻璃传感器42a的管理常数)×(基于窗户W2的无源传感器42b的管理常数)＝0.99×0.95×0.95＝0.89。
(对房屋R的进入退出资格者比率)＝(进入退出资格者数)/(从业员数)＝10/1000＝0.01(用于进入退出的正常操作率)＝(门D的总操作次数-门D的异常操作次数)/(门D的总操作次数)＝(5000-100)/5000＝0.98(进入退出资格者中的安全处理同意比率)＝(进入退出资格者中的安全处理同意数)/(进入退出资格者数)＝10/10＝1.0(房屋R的动态风险应对力)＝(组织的道德的资本)+(组织的道德的资本的剩余数)×(1-对房屋R的进入退出资格者比率)×(用于进入退出的正常操作率)×(进入退出资格者中的安全处理同意比率)＝0.1+0.9×(1-0.01)×0.98×1.0＝0.97(房屋R的综合风险应对力值)＝(房屋R的静态风险应对力值)×(房屋R的动态风险应对力值)＝0.89×0.97＝0.86(房屋R的物体资产A1的盗窃丢失的风险的发生频度)＝1-(房屋R的综合风险应对力值)＝1-0.86＝0.14(房屋R的物体资产A1的盗窃丢失的风险值)＝(房屋R的物体资产A1的盗窃丢失的风险的发生频度)×(物体资产A1的资产价值)＝0.14×(1亿日元)＝1400万日元从所述的计算结果，能认识到各风险应对力值从对策前增加，风险的发生频度和风险值减少。此外，如果在图7～图12的各图中表示所述的计算值，就能在视觉上认识各值的变化。例如，房屋R的物体资产A1的盗窃丢失的风险的发生频度下降到“0.14”，所以从图13的发生频度类表，该发生频度类变为类“2”(100年1次)。此外，在图12中，类从R2位置向R3位置转变，能认识低于允许值。
如果根据以上，用安全监视装置1自动实时监视和收集来自安全设备2、3的信息，根据该信息，分析和预测安全变动，输出该结果，所以与象以往的装置那样只根据由人输入的信息，进行安全或风险的分析，输出结果相比，能使输出结果为切合实际的。因此，从所述输出结果，能正确认识日常的业务运营中的安全或风险的状态，能采取适当的对策。
此外，用安全监视装置1自动根据安全风险变动的分析和预测的结果，改变传感器41a、42b的灵敏度和进入退出控制装置6或本人认证装置7的认证水平和认证内容、或者用进入退出控制装置6允许进入退出的进入退出资格，所以能适当控制安全划分的房屋R的安全强度，能确保给定的安全性。通过严格改变传感器41a、42b的灵敏度和进入退出控制装置6或本人认证装置7的认证水平和认证内容，能提高静态风险应对力值。此外，通过严格限制进入退出资格，能提高动态风险应对力值。
此外，从由安全设备2、3实时监视和收集的安全信息，计算静态风险应对力值、动态风险应对力值、综合风险应对力值、风险的发生频度，输出，多方面地分析和预测安全风险变动，从输出的结果正确并且详细地认识安全或风险的状态。定量地认识所述各值，能容易判断与它们的任意一个有关的怎样的对策是必要的，能迅速正确地采取必要的对策。此外，从由所述风险的发生频度、安全设备2、3监视和收集的资产价值，表示风险，计算风险值，能正确并且定量地认识风险的状态。
图15是表示实施例2的安全状况的图。本实施例2的安全状况与图4所示的实施例1的不同点在于，对物体资产A1分别赋予记录固有的标识符即ID的无线式的RFID标签64，在设置门D的房屋R的侵入路线中设置从RFID标签64读取ID的标签阅读器62t。标签阅读器62t是图1的进入退出控制装置6的ID阅读器62的一个例子。各物体资产A1从有门D的侵入路线对房屋R进入退出时，标签阅读器62t从各物体资产A1的RFID标签64读取ID。然后，由标签阅读器62t读取的各物体资产A1的ID从进入退出控制装置6向图1的安全管理装置2发送，通过该管理装置2向安全监视装置1发送。
在安全管理装置2的资产DB26b中登记对各物体资产A1赋予的RFID标签64的ID的信息、各物体资产A1的单位数量(例如一个)的资产价值。因此，安全管理装置2的控制部21从来自进入退出控制装置6的各物体资产A1的ID的信息实时检测各物体资产A1的某位置，记录在资产DB26b中。安全监视装置1的控制部11实时监视和收集由标签阅读器62t读取的各物体资产A1的ID的信息、安全管理装置2的资产DB26b中存储的位于房屋R中的物体资产A1的ID和单位数量的资产价值的信息。然后，控制部11根据监视和收集的物体资产A1的ID的信息，实时检测位于房屋R中的物体资产A1的资产价值。此外，控制部11根据该资产数量和物体资产A1的单位数量的资产价值，实时计算位于房屋R中的物体资产A1的资产价值。物体资产A1的单位数量的资产价值的信息在所述以外，可以由用户输入。
如果按所述那样实施，则即使在日常的业务运营中发生物体资产A1的移动或增减等变化，也能用安全监视装置1自动实时检测该物体资产A1对房屋R的输出和位于房屋R中的数量，正确计算位于房屋R中的物体资产A1的现在的资产价值。而且，根据该资产价值、按所述那样实时监视和收集的来自安全设备2、3的安全信息，更正确地计算风险值，输出。
图16是表示实施例3的安全状况的图。本实施例3的安全状况和图4所示的实施例1的安全状况的不同点在于，房屋R设置在房屋Rb中，在房屋R中设置房屋Ra，在该房屋Ra中具有物体资产A1。即监视对象的安全划分阶层化。设置在各房屋Ra、Rb中的读卡器62c～62f、电子锁63b、63c和门Da、Db与设置在房屋R中的读卡器62a、62b、电子锁63a、门D是同样的。图1的安全监视装置1的控制部11实时监视和收集来自各房屋R、Ra、Rb中设置和导入的安全设备2、3的安全信息和资产信息。然后，控制部11根据该监视和收集的安全信息和资产信息，按各房屋R、Ra、Rb计算综合风险应对力值，根据各综合风险应对力值，计算安全划分R、Ra、Rb全体的综合风险应对力值。
向房屋R、Ra的进入退出由包含读卡器62a～62d和电子锁63a、63b的进入退出控制装置6和安全管理装置2管理，不管理向房屋Rb的进入退出，即门Db总能开关，向房屋Rb的进入退出成为自由时，由安全监视装置1监视的安全划分是房屋R、Ra，2阶层化。这时，安全监视装置1的控制部11按以下那样计算安全划分R、Ra全体的综合风险应对力值。须指出的是，房屋R的各风险应对力值引用实施例1中计算的值。此外，房屋Ra的静态风险应对力值和动态风险应对力值参考在实施例1中计算的值。
(房屋R的静态风险应对力值)＝0.77(房屋R的动态风险应对力值)＝0.85(房屋R的综合风险应对力值)＝(房屋R的静态风险应对力值)×(房屋R的动态风险应对力值)＝0.77×0.85＝0.65
(房屋Ra的静态风险应对力值)＝(基于门Da的非接触IC卡的ID认证的管理常数)＝(基于门D的非接触IC卡的ID认证的管理常数)＝0.95(房屋Ra的动态风险应对力值)＝(房屋R的动态风险应对力值)＝0.85(房屋Ra的综合风险应对力值)＝(房屋Ra的静态风险应对力值)×(房屋Ra的动态风险应对力值)＝0.95×0.85＝0.81(2阶层化的安全划分R、Ra全体的综合风险应对力值)＝(外侧的区域R的综合风险应对力值)+((1-外侧的区域R的综合风险应对力值)×内侧的区域Ra的综合风险应对力值)＝0.65+((1-0.65)×0.81)＝0.93从所述可知，房屋R、Ra的各自的综合风险应对力值为“0.65”和“0.81”，而2阶层化的安全划分R、Ra全体的综合风险应对力值提高到“0.93”。
向房屋R、Ra、Rb的进入退出由包含读卡器62a～62f和电子锁63a～63c的进入退出控制装置6和安全管理装置2管理时，由安全监视装置1监视的安全划分是房屋R、Ra、Rb，3阶层化。这时，安全监视装置1的控制部11按以下那样计算安全划分R、Ra、Rb全体的综合风险应对力值。
(房屋R的综合风险应对力值)＝0.65(房屋Ra的综合风险应对力值)＝0.81(房屋Rb的静态风险应对力值)＝(基于门Db的非接触IC卡的ID认证的管理常数)＝(基于门D的非接触IC卡的ID认证的管理常数)＝0.95(房屋Rb的动态风险应对力值)＝0.85(房屋Rb的综合风险应对力值)＝(房屋Rb的静态风险应对力值)×(房屋Ra的动态风险应对力值)＝0.95×0.85＝0.81(从房屋Rb观察的房屋R的综合风险应对力值)＝(外侧的区域Rb的综合风险应对力值)+((1-外侧的区域Rb的综合风险应对力值)×内侧的区域R的综合风险应对力值)＝0.81+((1-0.81)×0.65)＝0.93(2阶层化的安全划分R、Ra、Rb全体的综合风险应对力值)＝(外侧的区域R、Rb的合成综合风险应对力值)+((1-外侧的区域R、Rb的合成综合风险应对力值)×内侧的区域R的综合风险应对力值)＝0.93+((1-0.93)×0.81)＝0.99
从所述可知，房屋R、Ra、Rb的各自的综合风险应对力值为“0.65”、“0.81”，并且2阶层化的安全划分R、Ra全体的综合风险应对力值为“0.93”，而3阶层化的安全划分R、Ra、Rb全体的综合风险应对力值提高到“0.99”。
N阶层化的安全划分全体的综合风险应对力值能按以下那样计算。
(N阶层化的安全划分全体的综合风险应对力值)＝到第(N-1)阶层(最内侧的区域的外侧全体)的区域的合成综合风险应对力值+((1-到(N-1)阶层的区域的合成综合风险应对力值)×第N阶层(即最内侧)的区域的综合风险应对力值)安全监视装置1的控制部11在按所述那样计算的阶层化的安全划分全体的综合风险应对力值低于允许值时，除了改变所述传感器42a、42b的灵敏度和进入退出控制装置6或本人认证装置7的认证水平以及认证内容、或由进入退出控制装置6允许进入退出的进入退出资格以外，扩展安全划分，阶层化。据此，能提高安全划分的安全强度，确保给定的安全性。
如上所述，如果计算阶层化的安全划分全体的综合风险应对力值，就能从该综合风险应对力值更正确地计算阶层化的安全划分全体的风险的发生频度和风险值，输出。此外，能正确并且定量地认识阶层化的安全划分的各层和全体的综合风险应对力值和风险的状态，在各层或作为全体，判断、采取所必要的对策。
图17是表示实施例4的安全状况的图。个人电脑(以下称作“PC”)81b设置在企业的某事务所中。PC81b是图1的访问控制装置8的客户机81的一个例子，与服务器82用网络连接。能访问从PC81b向服务器82中存储的数据库(以下称作“DB”)82b下载，存储在该DB82b中的顾客的个人信息或者业务上的机密信息等信息资产A2。信息资产A2的个数在每天的业务运营中增加。PC81b比对为了对该PC81b中安装的基本输入输出系统或应用程序注册而输入的用户名、密码、ID等信息和由安全管理装置2设定的访问资格者的用户名、密码、ID等信息，判定是否一致，根据该判定结果，允许或者禁止注册和访问。服务器82比对为了对DB82b注册而对PC81b输入并且从PC81b发送的用户名、密码、ID等信息、由安全管理装置2设定的访问资格者的用户名、密码、ID等信息，判定是否一致，根据该判定结果，允许或者禁止注册和访问。PC81b具有向注册目标的注册以及访问状况、输入的用户名、密码、ID等信息的记录即访问日志81a(图1)。访问日志81a的记录内容从PC81b向安全管理装置2发送，通过该管理装置2向安全监视装置1发送。
具有向服务器82的DB82b的注册资格的注册资格者数是50人。其中，具有从PC81b向DB82b的注册资格的注册资格者数是2人。从PC81b向DB82b的注册资格者数中同意由事务所制定的关于安全的处理的章程的安全处理同意数为2人。向PC81b或从PC81b向DB82b注册的注册总操作次数是1个月100次。其中发生注册失败等异常的注册异常操作次数是1个月0.1次。现在向PC81b或从PC81b向DB82b的注册时，使用户输入用户名和密码，与访问资格者的用户名以及密码比对，设定为如果一致，就允许注册，如果不一致，就禁止注册。此外，设定为现在连接PC81b和服务器83的网络中，把数据加密通信。
图18是表示实施例4的安全监视处理的详细步骤的程序流程图。本程序流程图表示图2的程序流程图的一部分处理的细节。即图18的步骤S2h～S2p表示图2的步骤S2的细节，图18的步骤S3n～S3z表示2的步骤S3的细节，图18的步骤S5g～S5m和S6h～S6k表示图2的步骤S5和S6的细节。图18的步骤S1、S4、S7、S8、S9分别与图2的同一符号的步骤相同。
为了监视从图17的PC81b下载，位于能访问的DB82b中的信息资产A2，用户用安全监视装置1起动安全监视AP16a，通过操作部13输入监视条件。这里，作为资产，输入“信息资产A2”，作为安全设备，输入“PC81b”，作为风险的种类，输入“信息泄露”。此外，安全划分可以输入“全部可访问的PC”。如果输入监视条件，控制部11就把该输入信息设定为监视条件(图2的步骤S1)，根据该监视条件，实时监视和收集来自安全设备2、3的安全信息和资产信息(步骤S2)。具体而言，在安全管理装置2的资产DB26b登记服务器82的DB82b中存储着信息资产A2的信息、信息资产A2的一个(单位数量)的资产价值的信息。因此，控制部11监视从安全管理装置2发来信息资产A2的存储位置和单位数量的资产价值的信息，收集该信息(图18的步骤S2p)。此外，控制部11监视从服务器82通过安全管理装置2发来DB82b中登记的信息资产A2的个数的信息，收集该信息(图18的步骤S2o)。此外，在安全管理装置2的个人和IDDB26d和方针DB26f分别登记向DB82b的注册资格者数、从PC81b向DB82b的注册资格者数、该注册资格者数中的安全处理同意数的信息。因此，控制部11监视从安全管理装置2发来所述注册资格者数和安全处理同意数的信息，收集该信息(图18的步骤S2k、S2n)。此外，在安全管理装置2的方针DB26f中登记PC81b和DB82b的注册管理内容(即注册时的访问资格者的认证方法)、表示连接PC81b和服务器82的网络中的通信管理内容的信息。因此，控制部11监视从安全管理装置2发来现在的所述注册管理内容、表示网络中的通信管理内容的信息，收集该信息(图18的步骤S2h、S2i、S2j)。在PC81b的访问日志81a中记录到现在为止的向PC81b或从该PC81b向DB82b注册的注册总操作次数和注册异常操作次数的信息。因此，控制部11监视从PC81b通过安全管理装置2发来到现在为止的所述注册总操作次数和注册异常操作次数的信息，收集该信息(图18的步骤S2m)。
接着，控制部11根据监视和收集的所述安全信息和资产信息、安全监视DB16b中存储的信息，分析和预测安全风险变动(图2步骤S3)。如上所述，现在的向PC81b和DB82b的注册管理内容都是“用户名和密码的比对”，现在的网络上的通信管理内容是“通信数据的加密”。因此，控制部11从图6的安全管理常数表分别读出现在的向PC81b和DB82b的注册管理内容的“用户名以及密码的比对”所对应的管理常数“0.95”、现在的网络中的通信管理内容的“通信数据的加密”所对应的管理常数(图18的步骤S3n、S3o、S3p)。然后，从管理常数按以下那样计算从PC81b向DB82b的静态风险应对力值(步骤S3q)。
(从PC81b向DB82b的静态风险应对力值)＝(PC81b的静态风险应对力值)×(DB82b的静态风险应对力值)×(网络的静态风险应对力值)＝(向PC81b的注册管理常数)×(向DB82b的注册管理常数)×(基于网络的加密的管理常数)＝0.95×0.95×0.95＝0.86。
此外，控制部11从向DB82b的注册资格者数、从PC81b向DB82b的注册资格者数、向PC81b或从该PC81b向DB82b的注册总操作次数、注册异常操作次数、注册资格者的安全处理同意数，按以下那样分别计算从PC81b向DB82b的注册资格者比率、PC81b的注册正常操作率、注册资格者中的安全处理同意比率(步骤S3r、S3s、S3t)，然后按以下那样计算从PC81b向DB82b的动态风险应对力值(步骤S3u)。
(从PC81b向DB82b的注册资格者比率)＝(从PC81b向DB82b的注册资格者数)/(向DB82b的注册资格者数)＝2/50＝0.04(PC81b的注册正常操作率)＝(注册总操作次数-注册异常操作次数)/(注册总操作次数)＝(100-0.1)/100＝0.999(从PC81b向DB82b的注册资格者中的安全处理同意比率)＝(从PC81b向DB82b的注册资格者中的安全处理同意数)/(从PC81b向DB82b的注册资格者数)＝2/2＝1.0(从PC81b向DB82b的动态风险应对力值)＝(组织的道德的资本)+(组织的道德的资本的剩余数)×(1-从PC81b向DB82b的注册资格者比率)×(PC81b的注册正常操作率)×(从PC81b向DB82b的注册资格者中的安全处理同意比率)＝0.1+0.9×(1-0.04)×0.999×1.0＝0.96此外，控制部11从所述静态风险应对力值和动态风险应对力值按以下那样计算从PC81b向DB82b的综合风险应对力值(步骤S3v)，然后按以下那样计算能从PC81b访问的DB82b的信息资产A2的信息泄露的风险的发生频度(步骤S3w)。
(从PC81b向DB82b的综合风险应对力值)＝(从PC81b向DB82b的静态风险应对力值)×从PC81b向DB82b的动态风险应对力值)＝0.86×0.96＝0.83(能从PC81b访问的DB82b的信息资产A2的信息泄露的风险的发生频度)＝1-(从PC81b向DB82b的综合风险应对力值)＝1-0.83＝0.17此外，控制部11从信息资产A2的登记个数和单位数量的资产价值按以下那样计算信息资产A2的资产价值(步骤S3x)。
(信息资产A2的资产价值)＝(信息资产A2的登记个数)×(信息资产A2的单位数量的资产价值)＝(例如1万个)×(例如1万日元)＝1亿日元控制部11从所述风险的发生频度和信息资产A2的资产价值按以下那样计算能从PC81b访问的DB82b的信息资产A2的信息泄露的风险值)＝(能从PC81b访问的DB82b的信息资产A2的信息泄露的风险发生频度)×(信息资产A2的资产价值)＝0.17×1亿日元＝1700万日元如果按所述那样计算，控制部11就把所述各计算值作为现在的计算值，与计算日期时间一起在安全风险日志16c中记录。然后，控制部11把现在的计算值与预先设定的允许值比较分析，或者按时间系列跟踪从过去的计算值到现在的计算值，分析变化方向，或者预测今后的推移把分析和预测的结果图表化，输出(图2的步骤S4)。静态风险应对力值、动态风险应对力值、综合风险应对力值、风险的发生频度、风险值的分析和预测和图表化与图7～图12中说明的同样进行。此外，关于资产价值，也可以按时间系列图表化，输出。如果这样，就能实时并且正确地认识信息资产A2的增减状态。这里，省略图示的说明。
如果按所述那样输出分析和预测的结果，控制部11就根据该分析和预测的结果、安全监视DB16b中存储的信息，判断和选择对策(图2的步骤S5和图18的步骤S5g)。例如，在静态风险应对力值和动态风险应对力值和综合风险应对力值都是允许值以上，并且风险的发生频度和风险值都是允许值以下时，控制部11判断改变从PC81b向DB82b的信息资产A2的安全强度的对策为不要。而静态风险应对力值和动态风险应对力值和综合风险应对力值中的任意一个低于允许值时，或者预测为马上低于时，或者风险的发生频度和风险值中的任意一个超过允许值时或者预测为马上超过时，控制部11判断改变从PC81b向DB82b的信息资产A2的安全强度的对策为必要，检索图14的安全监视DB16b，选择对策。
控制部11提高从PC81b向DB82b的信息资产A2的安全强度地从安全对策候补表抽出可实施的对策，符合从PC81b向DB82b的信息资产A2的安全状况地具体设定。例如，作为自动对策，分别设定向PC81b或DB82b的注册管理内容调整(图18的步骤S5h、S5i)、网络的通信管理内容调整(步骤S5j)、从PC81b向DB82b的注册资格者限制(步骤S5k)。作为手动对策，设定在安全对策候补表中列举的其他对策(步骤S5m)。然后，控制部11按照所述计算值和允许值的差分的大小，选择一个或多个步骤S5h～S5m。
选择自动对策的向PC81b或DB82b的注册管理内容调整(步骤S5h、S5i)时，控制部11通过安全管理装置2控制PC81b或DB82b，把向PC81b或DB82b的注册管理内容从现在设定的“用户名和密码的比对”变更为更严格的“用户ID和密码的比对”(步骤S6h、S6i)。用连接在PC81b上的读卡器读取个人持有的IC卡中记录的ID，进行用户ID向PC81b的输入。此外，选择网络的通信管理内容调整(步骤S5j)时，控制部11通过安全管理装置2控制PC81b和DB82b，从现在设定的加密方式变更为更严格的其他加密方式(步骤S6j)。此外，选择从PC81b向DB82b的注册资格者限制(步骤S5k)时，控制部11控制安全管理装置2、PC81b或DB82b，更严格限定从PC81b向DB82b的注册资格者，使其减少(步骤S6k)。如果按所述那样执行自动对策，控制部11就在显示部12显示执行了所述自动对策，通知，在安全设定日志16d中记录该对策的内容和执行日期时间(图2的步骤S7)。
此外，现在手动对策的其他对策时(图18的步骤S5m)时，控制部11在显示部12显示应该执行该对策，通知，在安全设定日志16d中记录该对策的内容和通知日期时间(图2的步骤S8)。然后，控制部11在图2的步骤S9，如果判断为结束安全的监视(步骤S9YES)，就结束处理，如果判断为不结束监视(步骤S9NO)，就向步骤S2转移，继续进行以后的处理。
如上所述，由安全监视装置1自动实时监视和收集来自安全设备2、3的信息，根据该信息，能正确计算静态风险应对力值、动态风险应对力值、综合风险应对力值、资产价值、风险的发生频度、风险值。然后，分析和预测各值的变化状态，输出结果，所以能使该输出结果进一步切合实际。因此，从所述输出结果，能正确认识日常的业务运营中的安全或风险的状态，能采取适当的对策。
图19是表示实施例5的安全状况的图。房屋R的安全状况与图4所示的实施例1的安全状况同样。在房屋R中设置图17所示的实施例4的PC81b。能从PC81b访问的服务器82(图1)的DB82b的信息资产A2的安全状况与实施例4的安全状况同样。监视能从位于房屋R中的PC81b访问的信息资产A2的安全时，考虑从房屋R观察的PC81b的安全或风险的状态、从PC81b观察的DB82b的安全或风险的状态。即监视对象的安全划分被2阶层化，外侧的区域是房屋R，内侧的区域是PC81b到DB82b。这时，图1的安全监视装置1的控制部11实时监视和收集来自房屋R中设置和导入的安全设备2、3的安全信息、用于从PC81b向信息资产A2访问的来自安全设备2、3的安全信息、信息资产A2的资产信息。并且，，控制部11根据监视和收集的安全信息和资产信息，计算房屋R的综合的风险应对力值、和从PC81b向DB82b的综合的风险应对力值。进一步，控制部11根据监视和收集的安全信息和资产信息，计算房屋R中的信息资产A2的风险应对力值即阶层化的安全划分全体的风险应对力值。
具体而言，控制部11按以下那样计算房屋R中的信息资产A2的风险应对力值。须指出的是，房屋R的各风险应对力值引用实施例1中计算的值，从PC81b向DB82b的各风险应对力值引用实施例4中计算的值。
(房屋R的静态风险应对力值)＝0.77(房屋R的动态风险应对力值)＝0.85(房屋R的综合风险应对力值)＝0.65(从PC81b向DB82b的静态风险应对力值)＝0.86(从PC81b向DB82b的动态风险应对力值)＝0.96(从PC81b向DB82b的综合风险应对力值)＝0.83(房屋R的信息资产A2的风险应对力值)＝(外侧的区域R的综合风险应对力值)+((1-外侧的区域R的综合风险应对力值)×从内侧的区域PC81b向DB82b的综合风险应对力值)＝0.65+((1-0.65)×0.83)＝0.94由此，房屋R的综合的风险对应力值为“0.65”，相对于从PC81b向DB82b的综合的风险对应力值为“0.83”，房屋R中的信息资产A2的风险对应力值变为“0.94”。
如上所述，如果计算位于由房屋R和PC81b阶层化的安全划分中的风险应对力值，就从该风险应对力值能更正确计算阶层化的安全划分全体的信息资产A2的信息泄露的风险的发生频度和风险值，输出。此外，能正确并且定量地认识阶层化的安全划分的各层和全体的风险应对力值和风险的状态，在各层或作为全体，判断采取必要的适当的对策。
本发明在以上描述的实施形态以外，还能采用各种形态。例如，在以上的实施形态中，分别计算输出静态风险应对力、动态风险应对力、综合风险应对力、风险的发生频度、资产价值、风险值，但是也可以适当选择其中一个或2个以上，计算输出。
此外，在以上的实施例中，作为应该保护的资产，列举物体资产A1和信息资产A2，但是此外，也可以把从业人员等人作为资产，监视对人带来损害的灾害或事故等风险和保护人的设备或制度的安全。
此外，在以上的实施例中，作为安全划分，列举房屋R、Ra、Rb，但是此外，也可以把建筑物全体作为安全划分，监视位于该区域内的全部资产的安全。
在以上的实施例中，作为向信息资产A2的访问源，列举1台PC81b，但是此外，可以把多台PC作为向信息资产的访问源。这时，总监视与从各PC向信息资产的访问有关的安全，总监视与从其中风险应对力最差的PC向信息资产的访问有关的安全。
权利要求
1.一种安全监视装置，与安全设备连接，监视安全，其特征在于，包括监视收集部件，实时监视和收集来自安全设备的信息；分析预测部件，根据由所述监视收集部件所监视和收集的信息，分析和预测安全风险变动；和输出部件，输出由所述分析预测部件所分析和预测的结果。
2.根据权利要求1所述的安全监视装置，其特征在于具有控制部件，根据由所述分析预测部件所分析和预测的结果，控制安全强度。
3.根据权利要求2所述的安全监视装置，其特征在于所述控制部件使所述安全设备的设定参数变化。
4.根据权利要求2或3所述的安全监视装置，其特征在于所述控制部件使对于所述安全设备的访问资格变化。
5.根据权利要求2～4中的任意一项所述的安全监视装置，其特征在于所述控制部件使安全划分变化。
6.根据权利要求1～5中的任意一项所述的安全监视装置，其特征在于所述监视收集部件监视和收集所述安全设备的设定状态和对所述安全设备的访问次数；所述分析预测部件根据所述设定状态和所述访问次数，分析和预测安全风险变动。
7.根据权利要求6所述的安全监视装置，其特征在于所述分析预测部件根据所述设定状态，计算静态风险应对力，根据所述访问次数，计算动态风险应对力，根据该静态风险应对力和动态风险应对力，计算综合风险应对力，根据该综合风险应对力，计算风险的发生频度。
8.根据权利要求1～7中的任意一项所述的安全监视装置，其特征在于所述分析预测部件根据由所述监视收集部件所监视和收集的信息、和所取得的资产价值，分析和预测安全风险变动。
9.根据权利要求8所述的安全监视装置，其特征在于所述分析预测部件根据所取得的资产数量和单位数量的资产价值，实时计算资产价值。
10.根据权利要求9所述的安全监视装置，其特征在于所述监视收集部件实时监视和收集来自读取对资产所赋予的标识符的安全设备的读取信息；所述分析预测部件根据由所述监视收集部件所监视和收集的所述读取信息，实时检测资产数量。
11.根据权利要求1～10中的任意一项所述的安全监视装置，其特征在于在将监视对象的安全划分进行阶层化时，所述监视收集部件实时监视和收集来自位于各层的安全设备的信息；所述分析预测部件根据由所述监视收集部件所监视和收集的信息，按各层计算风险应对力，根据各风险应对力，计算所述安全划分全体的风险应对力。
12.一种安全监视系统，由安全设备、连接在该安全设备上的监视安全的安全监视装置构成，其特征在于所述安全设备将所设定的信息或所检测的信息向所述安全监视装置发送；所述安全监视装置实时监视和收集来自所述安全设备的信息，根据该信息，分析和预测安全风险变动，输出该所分析和所预测的结果。
13.一种安全监视方法，监视与安全设备有关的安全，其特征在于实时监视和收集来自安全设备的信息，根据该信息，分析和预测安全风险变动，输出该所分析和所预测的结果。
全文摘要
提供一种安全监视装置，在与用于确保资产安全的安全设备连接的监视安全的安全监视装置中，根据设定的监视条件，实时监视和收集来自安全设备的信息，根据监视和收集的信息，分析和预测安全风险变动，显示分析和预测的结果，输出。正确认识安全或风险的状态，能采取适当的对策。
文档编号G06F21/60GK101079128SQ20071010421
公开日2007年11月28日 申请日期2007年5月23日 优先权日2006年5月24日
发明者黑田卓也, 中尾寿朗, 川崎浩生, 久保文彦 申请人:欧姆龙株式会社