返回
政府部门信息系统安全风险分析要点探究

政府部门信息系统安全风险分析要点探究

ID:14641639

大小:39.00 KB

页数:8页

时间:2018-07-29

政府部门信息系统安全风险分析要点探究_第1页
政府部门信息系统安全风险分析要点探究_第2页
政府部门信息系统安全风险分析要点探究_第3页
政府部门信息系统安全风险分析要点探究_第4页
政府部门信息系统安全风险分析要点探究_第5页
资源描述:

《政府部门信息系统安全风险分析要点探究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、政府部门信息系统安全风险分析要点探究742009-04doi:10.3969~.issn.1671-1122.2009.04.026政府部门信息系统安全风险分析要点探究袁艺芳摘要:本文以政府部门信息系统为对象目标,通过对政府部门信息系统特点的分析把握,阐述安全风险分析的要点,步骤和方法,以期从客观,实用的角度,尽可能获得最贴近政府部门信息系统安全风险实际的分析结果,为政府部门正确制定安全对策,实施正确的安全防范措施奠定坚实的基础.关键词:安全漏洞;安全威胁:安全风险中图分类号:TP393文献标识码:C0概述措施,建立符合客观要求的安全防范

2、体系提供依据.信息系统安全风险分析,是一种针对信息系统进行的识别,确认安全漏洞和威胁,评估损失,确定安全对策的系统性方法.信息系统安全风险分析是作为风险管理的重要工具,是信息系统安全管理的重要组成部分,也是顺利破解安全难题的一把金钥匙.对于一个从事安全管理的人员而言,能准确分析信息系统安全风险分析对象的特点,在全面确认安全漏洞以及安全威胁的基础上,依据信息系统安全风险分析的关键要点,步骤和方法,对信息系统实施综合的安全风险评估工作,是一项重要而基本的工作技能,对于提高发现问题和分析问题的能力起着至关重要的作用.信息系统安全风险分析过程分为

3、不同的阶段.就政府部门而言,在国家法律法规及相关政策的指导下,按照《计算机信息系统安全保护等级划分准则》[GB17859—1999】的标准和要求,对其管理的各类信息系统和资源开展价值估算和安全等级评估工作,是其中的第一个阶段.运用分析,探测评估工具和测试方法,或第三方评估机构,实现对政府部门重要信息系统的安全评估,确认信息系统系统存在的安全漏洞和威胁,是其中的第二个阶段.在满足国家有关信息系统与安全等级相应安全技术和管理要求的基础上,通过定性,定量的分析方法评估政府部门信息系统的安全风险和可能造成的损失.并依据评估结果,在有限的资金投入范

4、围内,提出相应安全对策及建议,达到最优的资源配置,是其中第三阶段的内容,也是安全风险分析的根本目标和意义所在.政府部门的信息系统,普遍存在业务数据机密性要求高,业务连续性要求强,网络结构相对封闭,信息系统架构形式多样等特点.因此,为排除或减少各层面的安全漏洞以及针对安全漏洞实施的威胁行为,确保相应安全对策的正确,科学,有效,使安全风险降低到可承受的范围内,需要政府部门组织有关机构和人员,按照安全风险分析的不同阶段和要点,科学运用分析步骤和方法,适时对政府部门信息系统开展安全风险分析和评估工作,为下一步采取具体的安全防范1安全风险分析的步骤

5、1)确定风险分析的对象及其范围,性质,特点和安全要求.2)确认不同对象所存在不同层面的安全漏洞.3)分析不同安全漏洞可能引起的安全威胁.4)根据对象的特点,确定安全风险的性质和大小.5)降低,避免,转移,接受安全风险.2安全风险分析的要点2.1安全风险分析的对象安全管理人员可以通过对对象目标的结构,范围,所处环境和安全原则和要求等要素的细化分析,从宏观上对信息系统可能的安全风险进行定性的把握(如图1所示).1)对象的范围要求:是对对象目标进行整体安全风险分析还是对关键局部进行安全风险分析;2)对象目标的基本安全要求:即从信息的机密性,可用

6、性,完整性等特性考虑,确定安全风险分析必须遵循的安全特性要求.图1安全风险分析对象要素分布图3)对象目标所处的环境:即明确对象目标所处的物理环境和运行环境.4)对象目标的结构特点:通常而言,即明确分析对象是专用性质的封闭结构,使用用户集中于内部用户;还是通用性质的开放结构,使用用户同时包括内部用户和外部用户.尽管安全风险分析的对象的类型千差万别,但以上对象的特性和要点是我们必须提前把握好的.不遗漏任何一个有可能影响风险分析结果的细节.这样做的结果可以为我们下一步锁定高安全风险点,有侧重地进行定量或定性的安全风险分析提供有力依据.现以政府部

7、门以Web架构提供对外便民服务信息系统和仅在政府专网独立运行的某业务信息系统两个不同的分析对象为例,参照以上要素进行分析.对外便民服务信息系统具有相对开放的结构特点,用户一般为普通公众.便民服务业务对数据的可用性和完整性的要求往往大于其对机密性要求,安全风险范围贯穿前端Web访问到后端数据处理和反馈整个过程.而在政府专网上独立运行的业务信息系统具有相对封闭的结构特点,用户一般为内部用户.用户对数据的完整性和机密性要求往往大于可用性要求,安全风险范围一般集中在特定的软硬件设备上.因此可以定性的认为,前一类信息系统面临的外部黑客攻击,非法入侵

8、等威胁的概率较大,安全漏洞存在的范围较情况复杂.而后者面临的内部人员误操作,越权访问等威胁的概率大,安全漏洞存在的范围相对固定.加上对政府部门信息系统所处物理环境(如防地震等自然灾害的能力,电

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。