本站小编为你精心准备了公共信息安全风险量化管理探讨参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
《近现代国际关系史研究》2016年第2期
【摘要】公共信息安全管理,已渗透我们生活的各个方面,公共信息买卖、恶意篡改、窃听等违法案件层出不穷。严重影响了公民的生活和社会的稳定。基于此,作者采用文献调研并结合实践,提出巩固公共部门信息安全风险管理三步法,通过风险量化来加强公共信息安全管理。
【关键词】公共信息;信息安全管理;风险管理
信息安全风险管理是用可接受的成本识别、度量、控制或降低可能影响信息系统的安全风险,并使其与受保护的资产的价值相当的一种过程。作者将公共信息安全风险管控总结为三步法[],即:1.风险资产量化评估;2.设置风险优先级;3.风险分类处理。
一、风险资产分类量化评估
公共信息风险评估的价值就在于确定风险,确定风险的前提就是确定资产,包括硬件资产、软件资产、数据文档等,再进行一一评估。评估步骤如下
(一)数据文档资产:包括各种业务相关的电子类资料和纸质文件
据资料的列举和分组应该以业务功能和保密性要求为主要考虑,也就是说,识别出的数据资料应该具有某种业务功能,此外,还应该重点考虑其保密性要求。本部门产生的以及其他部门按正常流程交付过来使用的,都在列举范畴内。本部门尽量清晰,来自外部门的可以按照比较宽泛的类别来界定。1.软件资产:各种安装使用的软件,包括系统软件、业务应用软件、办公软件等。各种安装使用的软件,包括系统软件、业务应用软件等。所列举的软件应该与产生、支持和操作已识别的数据或文档资产有直接关系2.硬件资产:使用的硬件设施,这些硬件设施或者安装有已识别的软件,或者其上存放有已识别的数据资产,或者是对业务有支持作用。3.人员资产:对已识别的数据资产、文档资产、软件资产和硬件资产进行使用、操作和支持的人员角色。4.服务资产:主要是负责管理的服务,如:外包人员服务、公共管理服务等。①
二、评估风险优先级
(一)评估数据文档资产风险级别
1.一级机密数据和一级机密文档:包含国家机密信息,任何对此类信息的非授权访问和泄露都会造成重大损失。因此,此类信息始终要求最高级别的安全保障,其访问者必须严格控制在最小的范围内。
2.秘密数据和秘密文档:涉及个人隐私或公共机构或特定部门行政秘密及技术秘密的信息,由于其内容的敏感性和重要性,信息访问者必须具有合理的原因和用途,并要求获得有效的授权。
3.内部数据和内部文档:仅供内部传阅和使用的信息,此类信息的对外披露不直接造成组织声誉、经营、财务上的损失或造成的损失较小,但有可能会给公共机构和员工带来负面影响,因此需要经过适当的授权才能对外公开。例如:公共机构员工手册、部门内各类政策文档等。此级别信息的访问控制遵循公共机构内部开放的默认原则,即默认为公共机构内部所有人员均可访问或使用。4.公开数据和公开文档:所有可以直接对外披露的公共机构信息,此类信息的不会对公共机构、客户以及行政伙伴带来任何不利的影响。例如:公共机构已公开的产品目录、市场宣传资料或刊登于公共机构公共网站的信息公告等。此级别信息的访问控制一般不做限制.
(二)评估硬件资产风险级别
1.一级:核心服务器:支持核心应用系统的服务器,比如SAPERP系统,MES系统的服务器。承载着公共机构最核心的应用程序、数据等信息。在业务恢复时需要首先考虑。
2.二级.一般服务器:支持一般应用系统的办公服务器,比如一般部门文件服务器、打印服务器等。在业务恢复时不在优先考虑的范畴。标准终端设备:终端用户个人使用的桌面电脑和笔记本电脑。
3.三级.非标准终端设备:因特殊工作用途使用的非标准类电脑,如研发、生产或测试用工作站等。
4.四级.核心网络设备:核心路由器,交换机和防火墙等,如在网关,虚网间的网络设备。
5.五级.一般网络设备:如连接终端用户的路由器、交换机、视频会议系统、语音网关,以及支持公共机构业务运作和监控保障的网络安全类设备
6.六级.服务器存储设备:磁盘阵列,备份磁带等。
7.七级.终端电脑存储设备:终端办公使用的移动硬盘,公共机构的USB盘、光盘、数码相机等。
8.八级.物理环境设施:包括门禁系统,UPS,火警系统,烟感系统,防水系统,灭火系统,监控系统,和电源系统等在机房中的环境控制和监控设备。
9.九级.外围设备:打印机、扫描仪、传真机等支持办公的硬件设备。
(三)评估服务类风险级别
1.一级.网络类服务:提供网络、通信的基础服务。
2.二级.外包运维服务:外包服务商提供的人员支持、硬件设备租赁、信息资产维修、信息处置等服务。
3.三级.外包开发服务:外包服务商提供的信息系统开发服务。
4.四级.物业服务。
5.五级.外包设计服务:外包服务商提供的设计服务,
(四)评估软件类风险级别
1.一级:核心业务系统指政府部门研发团队自主开发的、外购客户化或未经客户化的应用程序,用于支持公共部门核心业务的应用程序。
2.二级:一般业务系统指公共部门研发团队自主开发的、外购客户化或未经客户化的应用程序,用于支持公共部门日常运营的应用程序。
3.三级:服务器级支持软件,使用在服务器上的各类支撑软件,包括服务器级别操作系统、数据库软件、中间件等。
4.四级:PC级支持软件,使用在终端上的各类软件产品,包括PC级别操作系统、办公人员用于日常业务的记录和沟通所使用的软件、办公工具软件等。
5.五级:管理工具类软件指IT部门维护人员用于桌面维护、数据库管理、备份管理、数据分析等管理活动使用的工具软件。
(五)评估人员类风险级别
1.一级:高层、管理层。
2.二级:IT核心员工,包括IT部门的应用系统管理员、数据库管理员、操作系统管理员等IT运维人员、开发人员和系统管理人员。
3.三级:其他核心员工,主要指可以接触到部门敏感数据的员工。
4.四级:一般员工,应用系统操作人员(一般是系统使用者,没有配置和管理权限)。
5.五级:外部人员,长期驻场的外部员工、外部开发人员。
三、风险分析处理
对于各类别风险定义好相应的风险级别后,开始执行风险分析和处理,主要方法有三种,定量分析方法、基于知识的分析方法、和基于风险优先级的分析处理,本文将着重介绍第三种基于风险优先级的分析处理。
(一)定量分析方法
A:定量分析的过程:(1)确定资产价格;(2)评价特定威胁EF百分比;(3)计算特定即ARO,威胁发生的频率;(4)计算资产的SLE:SLE=AssetValue×EF;(5)计算资产的ALE:ALE=SLE×ARO②
(二)基于知识的分析方法
对于安全决策者而言,这些工作包括资产估价、安全投资成本以及风险效益之间的决策等。总而言之,相对评估法容易出现疏漏,而且,依据各自的经验进行安全风险相关的工作总是缺乏专业性和一致性。③
(三)基于风险优先级的分析处理
当遇到难以计量的风险时,很难用第一种来处理,通常我们采取优先级来处理风险。要对安全措施的可行性、有效性进行分析。采用最适当的安全措施,使风险降至最低。最后根据责任来分配任务和资源,实现所选择的安全措施并汇报残余风险。④综上所述,通过风险量化来加强电子政务信息安全管理是行之有效的方法,用可接受的成本识别、度量、控制或降低可能影响信息系统的安全风险,此方法基于风险管理的信息安全保障体系,将安全风险管理的思想全面应用于信息安全保障的各个重要环节。
参考文献:
[1]高钢,互联网时代公共信息传播的理念转型[J],当代传播,2014-03.
[2]何振;曹丹;电子政务建设中的信息安全问题及其对策探讨[J],湘潭大学学报(哲学社会科学版),2009-05.
[3]韩丽君;国内三网融合现状[J],价值工程,2012-07.
[4]李晓蓉,基于免疫的信息安全风险评估技术的研究[D],南京航空航天大学硕士论文,2009.
[6]刘莎莎.市委办政务信息系统安全等级保护策略研究[D].广西大学,2012-12.
作者:孙玉婷 单位:复旦大学