地理信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估重要意義

地理信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估重要意義

摘要：風(fēng)險(xiǎn)評(píng)估在信息安全建設(shè)中占有重要地位，2006年起全國(guó)范圍開始了信息安全風(fēng)險(xiǎn)評(píng)估工作。論文通過介紹風(fēng)險(xiǎn)評(píng)估與地理信息系統(tǒng)的基本概念及相互關(guān)系，針對(duì)地理信息系統(tǒng)的特殊性要求，探討了對(duì)此類系統(tǒng)風(fēng)險(xiǎn)評(píng)估具體可操作的實(shí)施方法。

關(guān)鍵詞：地理信息系統(tǒng)；風(fēng)險(xiǎn)評(píng)估

2006年1月國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)表了“關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見”，意見中指出：隨著國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的依賴性也越來越大。

1什么是GIS

地理信息系統(tǒng)是在計(jì)算機(jī)軟硬件支持下，管理和研究空間數(shù)據(jù)的技術(shù)系統(tǒng)，它可以對(duì)空間數(shù)據(jù)按地理坐標(biāo)或空間位置進(jìn)行各種處理、對(duì)數(shù)據(jù)的有效管理、研究各種空間實(shí)體及相互關(guān)系，并能以地圖、圖形或數(shù)據(jù)的形式表示處理的結(jié)果。

2風(fēng)險(xiǎn)評(píng)估簡(jiǎn)介

風(fēng)險(xiǎn)評(píng)估是在綜合考慮成本效益的前提下，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)，即根據(jù)資產(chǎn)的實(shí)際環(huán)境對(duì)資產(chǎn)的脆弱性、威脅進(jìn)行識(shí)別，對(duì)脆弱性被威脅利用的可能性和所產(chǎn)生的影響進(jìn)行評(píng)估，從而確認(rèn)該資產(chǎn)的安全風(fēng)險(xiǎn)及其大小，并通過安全措施控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可以控制的程度。

3地理信息系統(tǒng)面臨的威脅

評(píng)估開始之前首先要確立評(píng)估范圍和對(duì)象，地理信息系統(tǒng)需要保護(hù)的資產(chǎn)包括物理資產(chǎn)和信息資產(chǎn)兩部分。

物理資產(chǎn)

包括系統(tǒng)中的各種硬件、軟件和物理設(shè)施。硬件資產(chǎn)包括計(jì)算機(jī)、交換機(jī)、集線器、網(wǎng)關(guān)設(shè)備等網(wǎng)絡(luò)設(shè)備。軟件資產(chǎn)包括計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)操作系統(tǒng)、通用應(yīng)用軟件、網(wǎng)絡(luò)管理軟件、數(shù)據(jù)庫(kù)管理軟件和業(yè)務(wù)應(yīng)用軟件等。物理設(shè)施包括場(chǎng)地、機(jī)房、電力供給以及防水、防火、地震、雷擊等的災(zāi)難應(yīng)急等設(shè)施。

信息資產(chǎn)

包括系統(tǒng)數(shù)據(jù)信息、系統(tǒng)維護(hù)管理信息。系統(tǒng)數(shù)據(jù)信息主要包括地圖數(shù)據(jù)。系統(tǒng)維護(hù)管理信息包括系統(tǒng)運(yùn)行、審計(jì)日志、系統(tǒng)監(jiān)督日志、入侵檢測(cè)記錄、系統(tǒng)口令、系統(tǒng)權(quán)限設(shè)置、數(shù)據(jù)存儲(chǔ)分配、IP地址分配信息等。

從應(yīng)用的角度，地理信息系統(tǒng)由硬件、軟件、數(shù)據(jù)、人員和方法五部分組成:硬件和軟件為地理信息系統(tǒng)建設(shè)提供環(huán)境；數(shù)據(jù)是GIS的重要內(nèi)容；方法為GIS建設(shè)提供解決方案；人員是系統(tǒng)建設(shè)中的關(guān)鍵和能動(dòng)性因素，直接影響和協(xié)調(diào)其它幾個(gè)組成部分。

4風(fēng)險(xiǎn)評(píng)估工作流程

地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作一般應(yīng)遵循如下工作流程。

確定資產(chǎn)列表及信息資產(chǎn)價(jià)值

這一步需要對(duì)能夠收集、建立、整理出來的、涉及到所有環(huán)節(jié)的信息資產(chǎn)進(jìn)行統(tǒng)計(jì)。將它們按類型、作用、所屬進(jìn)行分類，并估算其價(jià)值，計(jì)算各類信息資產(chǎn)的數(shù)量、總量及增長(zhǎng)速度，明確它們需要存在的期限或有效期。同時(shí)，還應(yīng)考慮到今后的發(fā)展規(guī)劃，預(yù)算今后的信息資產(chǎn)增長(zhǎng)。這里所說的信息資產(chǎn)包括:物理資產(chǎn)信息/數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、制造產(chǎn)品和提供服務(wù)能力、人力資源以及無形資產(chǎn)，這些都是確定的對(duì)象。

識(shí)別威脅

地理信息系統(tǒng)安全威脅是指可以導(dǎo)致安全事件發(fā)生和信息資產(chǎn)損失的活動(dòng)。在實(shí)際評(píng)估時(shí)，威脅來源應(yīng)主要考慮這幾個(gè)方面，并分析這些威脅直接的損失和潛在的影響、數(shù)據(jù)破壞、喪失數(shù)據(jù)的完整性、資源不可用等：

系統(tǒng)本身的安全威脅。

非法設(shè)備接入、終端病毒感染、軟件跨平臺(tái)出錯(cuò)、操作系統(tǒng)缺陷、有缺陷的地理信息系統(tǒng)體系結(jié)構(gòu)的設(shè)計(jì)和維護(hù)出錯(cuò)。

人員的安全威脅。

由于內(nèi)部人員原因?qū)е碌男畔⑾到y(tǒng)資源不可用、內(nèi)部人員篡改數(shù)據(jù)、越權(quán)使用或偽裝成授權(quán)用戶的操作、未授權(quán)外部人員訪問系統(tǒng)資源、內(nèi)部用戶越權(quán)執(zhí)行未獲準(zhǔn)訪問權(quán)限的操作。

外部環(huán)境的安全威脅。

包括電力系統(tǒng)故障可能導(dǎo)致系統(tǒng)的暫?；蚍?wù)中斷。

自然界的安全威脅。

包括洪水、颶風(fēng)、地震等自然災(zāi)害可能引起系統(tǒng)的暫?；蚍?wù)中斷。

識(shí)別脆弱性

地理信息系統(tǒng)存在的脆弱性是地理信息系統(tǒng)自身的一種缺陷，本身并不對(duì)地理信息系統(tǒng)構(gòu)成危害，在一定的條件得以滿足時(shí)，就可能被利用并對(duì)地理信息系統(tǒng)造成危害。

分析現(xiàn)有的安全措施

對(duì)于已采取控制措施的有效性，需要進(jìn)行確認(rèn)，繼續(xù)保持有效的控制措施，以避免不必要的工作和費(fèi)用，對(duì)于那些確認(rèn)為不適當(dāng)?shù)目刂疲瑧?yīng)取消或采用更合適的控制替代。

確定風(fēng)險(xiǎn)

風(fēng)險(xiǎn)是資產(chǎn)所受到的威脅、存在的脆弱點(diǎn)及威脅利用脆弱點(diǎn)所造成的潛在影響三方面共同作用的結(jié)果。風(fēng)險(xiǎn)是威脅發(fā)生的可能性、脆弱點(diǎn)被威脅利用的可能性和威脅的潛在影響的函數(shù)，記為：

Rc=

式中：Rc為資產(chǎn)受到威脅的風(fēng)險(xiǎn)系數(shù)；Pt為威脅發(fā)生的可能性；Pv為脆弱點(diǎn)被威脅利用的可能性；I為威脅的潛在影響。為了便于計(jì)算，通常將三者相乘或相加，得到風(fēng)險(xiǎn)系數(shù)。新晨范文網(wǎng)

評(píng)估結(jié)果的處置措施

在確定了地理信息系統(tǒng)安全風(fēng)險(xiǎn)后，就應(yīng)設(shè)計(jì)一定的策略來處置評(píng)估得到的信息系統(tǒng)安全風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)計(jì)算得出風(fēng)險(xiǎn)值，確定風(fēng)險(xiǎn)等級(jí)，對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧⑿纬娠L(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理的方式包括：回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)。

究竟采取何種風(fēng)險(xiǎn)處置措施，需要對(duì)地理信息系統(tǒng)進(jìn)行安全需求分析，但采取了上述風(fēng)險(xiǎn)處置措施，仍然不是十全十美，絕對(duì)不存在風(fēng)險(xiǎn)的信息系統(tǒng)，人們追求的所謂安全的地理信息系統(tǒng)，實(shí)際是指地理信息系統(tǒng)在風(fēng)險(xiǎn)評(píng)估并做出風(fēng)險(xiǎn)控制后，仍然存在的殘余風(fēng)險(xiǎn)可被接受的地理信息系統(tǒng)。所謂安全的地理信息系統(tǒng)是相對(duì)的。

殘余風(fēng)險(xiǎn)的評(píng)價(jià)

對(duì)于不可接受范圍內(nèi)的風(fēng)險(xiǎn)，應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖螅瑢?duì)殘余風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，判定風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平，為風(fēng)險(xiǎn)管理提供輸入。殘余風(fēng)險(xiǎn)的評(píng)價(jià)可以依據(jù)組織風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則進(jìn)行，考慮選擇的控制措施和已有的控制措施對(duì)于威脅發(fā)生可能性的降低。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)目刂拼胧┖笕蕴幱诓?/p>