本站小編為你精心準(zhǔn)備了公共信息安全風(fēng)險量化管理探討參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

《近現(xiàn)代國際關(guān)系史研究》2016年第2期

【摘要】公共信息安全管理，已滲透我們生活的各個方面，公共信息買賣、惡意篡改、竊聽等違法案件層出不窮。嚴(yán)重影響了公民的生活和社會的穩(wěn)定?；诖?，作者采用文獻(xiàn)調(diào)研并結(jié)合實(shí)踐，提出鞏固公共部門信息安全風(fēng)險管理三步法，通過風(fēng)險量化來加強(qiáng)公共信息安全管理。

【關(guān)鍵詞】公共信息；信息安全管理；風(fēng)險管理

信息安全風(fēng)險管理是用可接受的成本識別、度量、控制或降低可能影響信息系統(tǒng)的安全風(fēng)險，并使其與受保護(hù)的資產(chǎn)的價值相當(dāng)?shù)囊环N過程。作者將公共信息安全風(fēng)險管控總結(jié)為三步法[]，即：1.風(fēng)險資產(chǎn)量化評估；2.設(shè)置風(fēng)險優(yōu)先級；3.風(fēng)險分類處理。

一、風(fēng)險資產(chǎn)分類量化評估

公共信息風(fēng)險評估的價值就在于確定風(fēng)險，確定風(fēng)險的前提就是確定資產(chǎn)，包括硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)文檔等，再進(jìn)行一一評估。評估步驟如下

（一）數(shù)據(jù)文檔資產(chǎn)：包括各種業(yè)務(wù)相關(guān)的電子類資料和紙質(zhì)文件

據(jù)資料的列舉和分組應(yīng)該以業(yè)務(wù)功能和保密性要求為主要考慮，也就是說，識別出的數(shù)據(jù)資料應(yīng)該具有某種業(yè)務(wù)功能，此外，還應(yīng)該重點(diǎn)考慮其保密性要求。本部門產(chǎn)生的以及其他部門按正常流程交付過來使用的，都在列舉范疇內(nèi)。本部門盡量清晰，來自外部門的可以按照比較寬泛的類別來界定。1.軟件資產(chǎn)：各種安裝使用的軟件，包括系統(tǒng)軟件、業(yè)務(wù)應(yīng)用軟件、辦公軟件等。各種安裝使用的軟件，包括系統(tǒng)軟件、業(yè)務(wù)應(yīng)用軟件等。所列舉的軟件應(yīng)該與產(chǎn)生、支持和操作已識別的數(shù)據(jù)或文檔資產(chǎn)有直接關(guān)系2.硬件資產(chǎn)：使用的硬件設(shè)施，這些硬件設(shè)施或者安裝有已識別的軟件，或者其上存放有已識別的數(shù)據(jù)資產(chǎn)，或者是對業(yè)務(wù)有支持作用。3.人員資產(chǎn)：對已識別的數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)、軟件資產(chǎn)和硬件資產(chǎn)進(jìn)行使用、操作和支持的人員角色。4.服務(wù)資產(chǎn)：主要是負(fù)責(zé)管理的服務(wù)，如：外包人員服務(wù)、公共管理服務(wù)等。①

二、評估風(fēng)險優(yōu)先級

（一）評估數(shù)據(jù)文檔資產(chǎn)風(fēng)險級別

1.一級機(jī)密數(shù)據(jù)和一級機(jī)密文檔：包含國家機(jī)密信息，任何對此類信息的非授權(quán)訪問和泄露都會造成重大損失。因此，此類信息始終要求最高級別的安全保障，其訪問者必須嚴(yán)格控制在最小的范圍內(nèi)。

2.秘密數(shù)據(jù)和秘密文檔：涉及個人隱私或公共機(jī)構(gòu)或特定部門行政秘密及技術(shù)秘密的信息，由于其內(nèi)容的敏感性和重要性，信息訪問者必須具有合理的原因和用途，并要求獲得有效的授權(quán)。

3.內(nèi)部數(shù)據(jù)和內(nèi)部文檔：僅供內(nèi)部傳閱和使用的信息，此類信息的對外披露不直接造成組織聲譽(yù)、經(jīng)營、財務(wù)上的損失或造成的損失較小，但有可能會給公共機(jī)構(gòu)和員工帶來負(fù)面影響，因此需要經(jīng)過適當(dāng)?shù)氖跈?quán)才能對外公開。例如：公共機(jī)構(gòu)員工手冊、部門內(nèi)各類政策文檔等。此級別信息的訪問控制遵循公共機(jī)構(gòu)內(nèi)部開放的默認(rèn)原則，即默認(rèn)為公共機(jī)構(gòu)內(nèi)部所有人員均可訪問或使用。4.公開數(shù)據(jù)和公開文檔：所有可以直接對外披露的公共機(jī)構(gòu)信息，此類信息的不會對公共機(jī)構(gòu)、客戶以及行政伙伴帶來任何不利的影響。例如：公共機(jī)構(gòu)已公開的產(chǎn)品目錄、市場宣傳資料或刊登于公共機(jī)構(gòu)公共網(wǎng)站的信息公告等。此級別信息的訪問控制一般不做限制.

（二）評估硬件資產(chǎn)風(fēng)險級別

1.一級:核心服務(wù)器：支持核心應(yīng)用系統(tǒng)的服務(wù)器，比如SAPERP系統(tǒng),MES系統(tǒng)的服務(wù)器。承載著公共機(jī)構(gòu)最核心的應(yīng)用程序、數(shù)據(jù)等信息。在業(yè)務(wù)恢復(fù)時需要首先考慮。

2.二級.一般服務(wù)器：支持一般應(yīng)用系統(tǒng)的辦公服務(wù)器，比如一般部門文件服務(wù)器、打印服務(wù)器等。在業(yè)務(wù)恢復(fù)時不在優(yōu)先考慮的范疇。標(biāo)準(zhǔn)終端設(shè)備：終端用戶個人使用的桌面電腦和筆記本電腦。

3.三級.非標(biāo)準(zhǔn)終端設(shè)備：因特殊工作用途使用的非標(biāo)準(zhǔn)類電腦，如研發(fā)、生產(chǎn)或測試用工作站等。

4.四級.核心網(wǎng)絡(luò)設(shè)備：核心路由器，交換機(jī)和防火墻等，如在網(wǎng)關(guān)，虛網(wǎng)間的網(wǎng)絡(luò)設(shè)備。

5.五級.一般網(wǎng)絡(luò)設(shè)備：如連接終端用戶的路由器、交換機(jī)、視頻會議系統(tǒng)、語音網(wǎng)關(guān)，以及支持公共機(jī)構(gòu)業(yè)務(wù)運(yùn)作和監(jiān)控保障的網(wǎng)絡(luò)安全類設(shè)備

6.六級.服務(wù)器存儲設(shè)備：磁盤陣列，備份磁帶等。

7.七級.終端電腦存儲設(shè)備：終端辦公使用的移動硬盤，公共機(jī)構(gòu)的USB盤、光盤、數(shù)碼相機(jī)等。

8.八級.物理環(huán)境設(shè)施：包括門禁系統(tǒng)，UPS，火警系統(tǒng)，煙感系統(tǒng)，防水系統(tǒng)，滅火系統(tǒng)，監(jiān)控系統(tǒng)，和電源系統(tǒng)等在機(jī)房中的環(huán)境控制和監(jiān)控設(shè)備。

9.九級.外圍設(shè)備：打印機(jī)、掃描儀、傳真機(jī)等支持辦公的硬件設(shè)備。

（三）評估服務(wù)類風(fēng)險級別

1.一級.網(wǎng)絡(luò)類服務(wù)：提供網(wǎng)絡(luò)、通信的基礎(chǔ)服務(wù)。

2.二級.外包運(yùn)維服務(wù)：外包服務(wù)商提供的人員支持、硬件設(shè)備租賃、信息資產(chǎn)維修、信息處置等服務(wù)。

3.三級.外包開發(fā)服務(wù)：外包服務(wù)商提供的信息系統(tǒng)開發(fā)服務(wù)。

4.四級.物業(yè)服務(wù)。

5.五級.外包設(shè)計服務(wù)：外包服務(wù)商提供的設(shè)計服務(wù)，

（四）評估軟件類風(fēng)險級別

1.一級：核心業(yè)務(wù)系統(tǒng)指政府部門研發(fā)團(tuán)隊自主開發(fā)的、外購客戶化或未經(jīng)客戶化的應(yīng)用程序，用于支持公共部門核心業(yè)務(wù)的應(yīng)用程序。

2.二級：一般業(yè)務(wù)系統(tǒng)指公共部門研發(fā)團(tuán)隊自主開發(fā)的、外購客戶化或未經(jīng)客戶化的應(yīng)用程序，用于支持公共部門日常運(yùn)營的應(yīng)用程序。

3.三級:服務(wù)器級支持軟件，使用在服務(wù)器上的各類支撐軟件，包括服務(wù)器級別操作系統(tǒng)、數(shù)據(jù)庫軟件、中間件等。

4.四級：PC級支持軟件，使用在終端上的各類軟件產(chǎn)品，包括PC級別操作系統(tǒng)、辦公人員用于日常業(yè)務(wù)的記錄和溝通所使用的軟件、辦公工具軟件等。

5.五級：管理工具類軟件指IT部門維護(hù)人員用于桌面維護(hù)、數(shù)據(jù)庫管理、備份管理、數(shù)據(jù)分析等管理活動使用的工具軟件。

（五）評估人員類風(fēng)險級別

1.一級：高層、管理層。

2.二級：IT核心員工，包括IT部門的應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫管理員、操作系統(tǒng)管理員等IT運(yùn)維人員、開發(fā)人員和系統(tǒng)管理人員。

3.三級：其他核心員工，主要指可以接觸到部門敏感數(shù)據(jù)的員工。

4.四級：一般員工，應(yīng)用系統(tǒng)操作人員（一般是系統(tǒng)使用者，沒有配置和管理權(quán)限）。

5.五級：外部人員，長期駐場的外部員工、外部開發(fā)人員。

三、風(fēng)險分析處理

對于各類別風(fēng)險定義好相應(yīng)的風(fēng)險級別后，開始執(zhí)行風(fēng)險分析和處理，主要方法有三種，定量分析方法、基于知識的分析方法、和基于風(fēng)險優(yōu)先級的分析處理，本文將著重介紹第三種基于風(fēng)險優(yōu)先級的分析處理。

（一）定量分析方法

A:定量分析的過程：(1)確定資產(chǎn)價格；(2)評價特定威脅EF百分比；(3)計算特定即ARO，威脅發(fā)生的頻率；(4)計算資產(chǎn)的SLE：SLE=AssetValue×EF；(5)計算資產(chǎn)的ALE：ALE=SLE×ARO②

（二）基于知識的分析方法

對于安全決策者而言，這些工作包括資產(chǎn)估價、安全投資成本以及風(fēng)險效益之間的決策等?？偠灾鄬υu估法容易出現(xiàn)疏漏，而且，依據(jù)各自的經(jīng)驗進(jìn)行安全風(fēng)險相關(guān)的工作總是缺乏專業(yè)性和一致性。③

（三）基于風(fēng)險優(yōu)先級的分析處理

當(dāng)遇到難以計量的風(fēng)險時，很難用第一種來處理，通常我們采取優(yōu)先級來處理風(fēng)險。要對安全措施的可行性、有效性進(jìn)行分析。采用最適當(dāng)?shù)陌踩胧?，使風(fēng)險降至最低。最后根據(jù)責(zé)任來分配任務(wù)和資源，實(shí)現(xiàn)所選擇的安全措施并匯報殘余風(fēng)險。④綜上所述，通過風(fēng)險量化來加強(qiáng)電子政務(wù)信息安全管理是行之有效的方法，用可接受的成本識別、度量、控制或降低可能影響信息系統(tǒng)的安全風(fēng)險，此方法基于風(fēng)險管理的信息安全保障體系，將安全風(fēng)險管理的思想全面應(yīng)用于信息安全保障的各個重要環(huán)節(jié)。

參考文獻(xiàn)：

[1]高鋼,互聯(lián)網(wǎng)時代公共信息傳播的理念轉(zhuǎn)型[J],當(dāng)代傳播,2014-03.

[2]何振;曹丹;電子政務(wù)建設(shè)中的信息安全問題及其對策探討[J],湘潭大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2009-05.

[3]韓麗君;國內(nèi)三網(wǎng)融合現(xiàn)狀[J],價值工程,2012-07.

[4]李曉蓉,基于免疫的信息安全風(fēng)險評估技術(shù)的研究[D],南京航空航天大學(xué)碩士論文,2009.

[6]劉莎莎.市委辦政務(wù)信息系統(tǒng)安全等級保護(hù)策略研究[D].廣西大學(xué),2012-12.

作者：孫玉婷 單位：復(fù)旦大學(xué)