政府網(wǎng)絡(luò)安全風(fēng)險評估的模型與應(yīng)用范文
本站小編為你精心準(zhǔn)備了政府網(wǎng)絡(luò)安全風(fēng)險評估的模型與應(yīng)用參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
1政府網(wǎng)絡(luò)安全風(fēng)險評估的模型與應(yīng)用
1.1安全風(fēng)險評估應(yīng)用模型三階段。
在電子政務(wù)系統(tǒng)設(shè)的實施過程,主要分為規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段等三個階段。其中,安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段,安全等級評估主要作用于建設(shè)與施工階段,安全檢查評估主要作用于運行與管理階段。安全風(fēng)險分析,主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進(jìn)行分析。對于信息資產(chǎn)的風(fēng)險等級的確定,以及其風(fēng)險的優(yōu)先控制順序,可以通過根據(jù)電子政務(wù)系統(tǒng)的需求,采用定性和定量的方法,制定相關(guān)的安全保障方案。安全等級評估,主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者,通過結(jié)合其自身的力量和相關(guān)的等級保護(hù)標(biāo)準(zhǔn),進(jìn)行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機(jī)構(gòu),依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評估。通過定期或隨機(jī)的安全等級評估,掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向,能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患,提高系統(tǒng)的防御能力,并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革,則需要重新對系統(tǒng)進(jìn)行安全等級評估工作。安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進(jìn)行監(jiān)測,并給予解決問題的安全防范措施。
1.2安全風(fēng)險分析的應(yīng)用模型。
在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中,主要是借助安全風(fēng)險評測工具和第三方權(quán)威機(jī)構(gòu),對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進(jìn)行評估工作。在此,本文重點要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。
(1)主要因素。
在資產(chǎn)上,政府的信息資源不但具有經(jīng)濟(jì)價值,還擁有者重要的政治因素。因此,要從關(guān)鍵和敏感度出發(fā),確定信息資產(chǎn)。在不足上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng),存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上,可能致使信息資源泄露,嚴(yán)重時造成重大的資源損失。
(2)基本流程。
根據(jù)安全需求,確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求,實行區(qū)域和安全邊界的劃分。識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則,并確定其大小與等級。結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護(hù),以及費用應(yīng)當(dāng)與風(fēng)險相平衡的原則,對風(fēng)險控制方法加以探究,從而制定出有效的安全風(fēng)險控制措施和解決方案。
(3)專家評判法。
在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中,由于缺少相關(guān)的數(shù)據(jù)和資料,因此,可以通過專家評判的方法,為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果,作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi),根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層),應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域,建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點,分析其可能為資產(chǎn)所帶來的影響,以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小,進(jìn)而通過安全風(fēng)險評估專家進(jìn)行評判,得到系統(tǒng)的風(fēng)險值及排序。在不同的安全層次中,每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。
2結(jié)語
本文主要通過對政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)中,所進(jìn)行的安全風(fēng)險評估進(jìn)行研究,分析和探討在規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段三個階段中政府網(wǎng)絡(luò)安全建設(shè)的相關(guān)問題。并在各階段分別采用安全風(fēng)險分析、系統(tǒng)建設(shè)完成后的安全等級評估。在系統(tǒng)建成后的運行和管理階段,采用的安全檢查評估等方法,保障政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。此外,在安全風(fēng)險分析中,可操作的方法并不多,需要有關(guān)部門加強(qiáng)力度,加以研究和探析。在等級安全評估和安全檢查評估兩個階段,可以充分利用第三方權(quán)威機(jī)構(gòu)的評測工具,來加強(qiáng)政府網(wǎng)絡(luò)的安全性。
作者:陳偉奇單位:廣東省清遠(yuǎn)市連南縣信息中心
