电子政务系统信息安全风险评估研究
|
摘要
电子政务系统实现了政府组织结构和工作流程的优化,提高政府在行政、经济和服务方面的效率,但同时也面临着来自自然环境、物理环境和社会环境等方面的安全风险。电子政务系统一旦出现问题,就会对政府部门和社会公众产生危害,严重的还将对国家安全产生威胁,因此保障电子政务系统安全具有重大意义。信息安全风险评估作为判定信息系统安全风险的重要手段,在电子政务信息安全保障体系建设中发挥重要作用。
论文首先分析电子政务系统所面临的安全风险,介绍针对电子政务系统信息安全风险评估的评估要素、评估形式和评估步骤等。重点研究了目前风险评估的常用方法,如OCTAVE、SSE-CMM、FAT、AHP等,在比较的基础之上提出了针对电子政务系统评估的方法和评估模型。
论文以某市数字档案馆作为信息安全风险评估的对象,并且以OCTAVE模型来评估系统,同时把风险评估辅助软件应用到数字档案馆评估中,这样可以使评估结果更准确、减轻评估人员的负担。对数字档案馆风险评估实际操作流程为:进行资产评估、威胁评估和脆弱性评估。得出哪些是重要信息资产,关键资产面临什么样的威胁,其业务的开展怎样依赖这些资产,如果泄密会给组织带来多大的损失,在此基础上给出资产、威胁、脆弱性的赋值标准和风险等级判断准则,列出不同等级的保护。最后划定出风险值的大小,从而实现对数字档案馆的安全风险识别。
Electron government affair realized the organization of government,optimized the flow of job,and improved the efficiency about administration, economy and service .There are some risk from element, physics and society. Risk evaluation is one of the most important content about security risk,and plays a very important role in the establish process of information safety.
Firstly, this paper summarize the actuality and problem about electron government affair information system safety risk evaluation, analyzed the content and characteristic of the electron government affair information system, consult some rule of law, listed the factor and process of electron government affair information system risk evaluation.
Secondly, introduced the mode and way about information safety risk evaluation, about OCTAVE、SSE-CMM、FAT、AHP etc,considering the electron-government-affair is a complicated network system, take digital archives of one city for example, as the information-safety risk-evaluation role,so it is very exact.Thirdly, we carry through asset evaluation, threat evaluation and frangibility evaluation about digital archives system, to get which is important information asset, what is the threat, how to rely on this asset, what is the loss if blow the gaff and bring forward the estimation rule about asset, threat and frangibility, list all kinds of safeguard. At last,combine practice and take numeric archives information safety risk evaluation of a city for example, evaluate the bulk about risk, wish this paper have some value to electron government affair information safety risk evaluation.
论文首先分析电子政务系统所面临的安全风险,介绍针对电子政务系统信息安全风险评估的评估要素、评估形式和评估步骤等。重点研究了目前风险评估的常用方法,如OCTAVE、SSE-CMM、FAT、AHP等,在比较的基础之上提出了针对电子政务系统评估的方法和评估模型。
论文以某市数字档案馆作为信息安全风险评估的对象,并且以OCTAVE模型来评估系统,同时把风险评估辅助软件应用到数字档案馆评估中,这样可以使评估结果更准确、减轻评估人员的负担。对数字档案馆风险评估实际操作流程为:进行资产评估、威胁评估和脆弱性评估。得出哪些是重要信息资产,关键资产面临什么样的威胁,其业务的开展怎样依赖这些资产,如果泄密会给组织带来多大的损失,在此基础上给出资产、威胁、脆弱性的赋值标准和风险等级判断准则,列出不同等级的保护。最后划定出风险值的大小,从而实现对数字档案馆的安全风险识别。
Electron government affair realized the organization of government,optimized the flow of job,and improved the efficiency about administration, economy and service .There are some risk from element, physics and society. Risk evaluation is one of the most important content about security risk,and plays a very important role in the establish process of information safety.
Firstly, this paper summarize the actuality and problem about electron government affair information system safety risk evaluation, analyzed the content and characteristic of the electron government affair information system, consult some rule of law, listed the factor and process of electron government affair information system risk evaluation.
Secondly, introduced the mode and way about information safety risk evaluation, about OCTAVE、SSE-CMM、FAT、AHP etc,considering the electron-government-affair is a complicated network system, take digital archives of one city for example, as the information-safety risk-evaluation role,so it is very exact.Thirdly, we carry through asset evaluation, threat evaluation and frangibility evaluation about digital archives system, to get which is important information asset, what is the threat, how to rely on this asset, what is the loss if blow the gaff and bring forward the estimation rule about asset, threat and frangibility, list all kinds of safeguard. At last,combine practice and take numeric archives information safety risk evaluation of a city for example, evaluate the bulk about risk, wish this paper have some value to electron government affair information safety risk evaluation.
引文
①刘明良、徐艳玲.基于应用集成的电子政务的网络安全风险研究[J].郧阳师范高等专科学校学报,2007(3):75-77.
①汤志伟、杜人杰、高天鹏.基于ISM模型的电子政务信息系统风险分析[J].电子科技大学学报,2005(4):251-253.
②王琼霄、荆继武、高能.OCTAVE风险评估方法在电子政务中的应用[J].信息网络安全,2006(9):39-42.
③范红.风险评估在信息系统中的运用[J].中国计算机用户,2004(39):44.
①沈昌祥.风险管理与应急体系[J]网络安全技术与应用,2006(6):6-8.
②ISO/IEC 13335:2004《信息技术.安全技术.信息和通信技术安全的管理》[S].北京:中国标准出版社,2004:14.
①GB/T 5271.8-2001《信息技术词汇第8部分:安全》[S]北京:中国标准出版社,2001:36.
②ISO/IEC TR 18044《信息技术.安全技术.信息安全事件管理》[S]北京:中国标准出版社,2004:26.
③GB/T 20984-2007《信息安全技术、信息安全风险评估规范》[S]北京:中国标准出版社,2007:4.
①郭红芳,曾向阳.风险分析方法研究[J].计算机工程,2001(3):131-132.
①王琼霄,荆继武,高能.OCTAVE风险评估方法在电子政务中的应用[J].信息网络安全,2006(9):43-45.
①魏选平,卞树檀.故障树分析法及其应用[J].计算机科学与技术,2004(3):43-45.
①周萍.电子政务风险评估方法[J].科技广场,2007(11):105-107.
①刘炜,刘鲁.电子政务系统安全工程能力的综合评估方法[J].计算机工程与应用2006(25):223-226.
①GB/T 20984一2007.信息安全技术:信息安全风险评估规范[S].北京:中国标准出版社,2007:17.
[1]王英梅、王胜开、陈国顺、程湘云.信息安全风险评估[M].北京:电子工业出版社,2007.
[2]吴亚非、李新友、禄凯住.信息安全风险评估[M].北京:清华大学出版社,2007.
[3]范红、冯登国、吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2006.
[4]范红,冯登国.信息安全风险评估实施教程[M].北京:清华大学出版社,2007.
[5]向宏傅郦.信息安全测评与风险评估[M].北京:电子工业出版社,2009.
[6]贾颖禾.信息安全风险评估综述[J].国家信息安全测评认证,2003(5):35-39.
[7]崔秀玲,王德欣.论我国电子政务现状与信息安全[J].临沂师范学院学报,2003(5):61-62.
[8]龚平.保障电子政务信息安全[J].中国创业投资与高科技,2003(6):21-23.
[9]曲成义,陈晓桦.信息系统安全评估概念研究[J].信息安全与通信保密,2003(9):16-20.
[10]新禾.自我评估与自主保护_信息安全保障_IA_的基石[J].网络安全技术与应用,2003(10):14-17.
[11]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004(7):10-18.
[12]王毅刚,吴昌伦.信息安全风险评估的策划[J].信息技术与标准化,2004(9):15-17.
[13]刘闻欢.风险评估的四大方法[J].中国计算机用户,2004(7):44-46.
[14]赵洪彪.信息安全风险分析的概念和框架[J].计算机安全,2004(4):55-57.
[15]范红.风险评估在信息系统中的运用[J].中国计算机用户,2004(39):44.
[16]曹立斌.风险评估的五个步骤[J].安防科技,2004(8):11-12.
[17]蔡昱,张玉清,冯登国.风险评估在电子政务系统中的应用[J].计算机工程与应用,2004(26):155-159.
[18]杨志新.政府网络安全风险评估[J].系统工程,2005(4):58-60.
[19]茆意宏,朱晓欢,黄水清.信息安全管理标准BS 7799与信息安全风险评估方法OCTAVE的比较研究[J].新世纪图书馆,2005(2):53-55.
[20]王红阳.通过风险评估掌握当前的安全状况[J].机械工业信息与网络,2005(3):48-49.
[21]程湘云,王英梅,刘增良.一种定量的信息安全风险评估模型[J].空军工程大学学报(自然科学版),2005(12):56-59.
[22]李鹤田.信息系统安全风险评估标准现状与展望[J].世界标准化与质量管理,2005(12):47-48.
[23]周前.电子政务中信息安全的风险评估与防范措施[J].软件导刊,2005(15):33-34.
[24]范红.信息安全风险评估国家标准简述[J].信息网络安全,2006(1):58-61.
[25]张立涛,应力,钱省三.信息安全风险评估中若干操作问题的研究[J].山东理工大学学报(自然科学版),2006(1):79-83.
[26]邓崧,彭艳.用OCTAVE方法分析电子政务系统的信息安全[J].情报杂志,2006(1):75-77.
[27]杜虹.涉密信息系统安全风险评估[J].信息网络安全,2006(1):66-68.
[28]周伟良,朱方洲.电子政务系统安全风险评估研究[J].电子政务,2007(9):29-34.
[29]梁洪涛,王大萌,黄俊强,马遥.信息安全风险评估规范在电子政务中的应用[J].信息技术,2007(7):133-135.
[30]程建华,靖继鹏.信息安全风险评估方法研究—基于“资产—威胁”评价指数矩阵风险分析方法研究[J].计算机安全,2008(3):26-29.
[31]任帅,慕德俊,张军骏,姚磊.信息安全风险评估方法研究[J].信息安全与通信保密,2009(2):54-56.
[32]李海燕,刘开茗,吴琳.一个信息安全风险评估系统的设计及应用[J].网络通讯及安全,2009(5):306-307.
[33]汤志伟,高天鹏.采用OCTAVE模型的电子政务信息系统风险评估[J].电子科技大学学报,2009(1):130-133.
[34]韩霞.新型信息安全保护方法OCTAVE Method在电子政务中的应用[J].计算机安全,2005(8):41-47.
[35]王琼霄、荆继武、高能.OCTAVE风险评估方法在电子政务中的应用[J].信息网络安全,2006(9):39-42.
[36]达建华,彭庚.基于相关者理论的电子政务风险评估框架[J].工业技术经济,2008(3):38-41.
[37]吴绍忠.数字化档案馆信息安全风险评估[J].中国档案,2009(6):57-58.
[38]国务院信息化工作办公室.电子政务信息安全等级保护实施指南(试行)[S].北京:中国标准出版社,2005(9).
[39] GB/T 20984一2007.信息安全技术:信息安全风险评估规范[S].北京:中国标准出版社,2007.
[40] GB17859一1999.计算机信息系统安全保护等级划分准则[S].北京:中国标准出版社,1999.
[41]ISO/IEC 27002:2005.信息技术—安全技术—信息安全管理实用规则[S].国家标准化技术委员会,2005.
[42] ISO/IEC 15408.Common Criteria for Information Teehnology Security Evaluation[S].London:Intemational Standard Press,2001.
[43] Kim,Young-Gab,Lim,Jongin Quantitative Risk Analysis and Evaluation in Information Systems: A Case Study [J]. Lecture Notes in Computer Science,2007(48):46-51.
[44] Panzer,Martina,Renner,Britta.To be or not to be at risk: Spontaneous reactions to risk information[J]. Psychology and Health,2008(23):39.
[45] Harada,Shigeaki,Takimoto,Eiji,Maruoka,Akira.Online Allocation with Risk Information[J].IEICE Transactions on Information and Systems,2006(89):37-40.
[46] Kahn.Randolph.The Risk-Cost Retention Model:A New Approach to Retention[J].Information Management Journal,2006(5):19-22.
[47] Wang,Z-x. Dai,Z-k.The Mathematical Method of Risk Evaluation in Information System[J].Journal-Sichuan university natural Science Edition,2004(5):30-32.
[48] Visschers,Vivianneh M.Meertens,Reem.Passchier,Wimf.devries,Nannek.How Does the General Public Evaluate Risk Information?The Impact of Associations with Other Risks[J].Risk Analysis,2007(3):24-29.
[49] Fleming,Karl N.Markov models for evaluating risk-informed in-service inspection strategies for nuclear power plant piping systems[J].Reliability Engineering and System Safety,2004(1):136-140.
[50] OCTAVE Method,software Engineering Institute Carnegie Mellon网址:http://www.cert.org/octave/octavemethod.html.
[51] Systems Security Engineering-Capability Maturity Model网址: http://www.sse-cmm.org/index.html.
[52]全球领先的风险与决策分析软件Palisade网址:http://www.palisade.com/cn/.
[53]信息安全共性技术国家工程研究中心NERCIS网址:http://www.nercis.ac.cn/index.jsp.
[54]信息安全专业论坛(华安信达)网址:http://bbs.cisps.org/.
[55]中国计算机安全网址:http://www.infosec.org.cn/.
[56]全国信息安全标准化技术委员会网址:http://www.tc260.org.cn/.
[57]谷安天下网址:http://www.gooann.com/Default.aspx.
①汤志伟、杜人杰、高天鹏.基于ISM模型的电子政务信息系统风险分析[J].电子科技大学学报,2005(4):251-253.
②王琼霄、荆继武、高能.OCTAVE风险评估方法在电子政务中的应用[J].信息网络安全,2006(9):39-42.
③范红.风险评估在信息系统中的运用[J].中国计算机用户,2004(39):44.
①沈昌祥.风险管理与应急体系[J]网络安全技术与应用,2006(6):6-8.
②ISO/IEC 13335:2004《信息技术.安全技术.信息和通信技术安全的管理》[S].北京:中国标准出版社,2004:14.
①GB/T 5271.8-2001《信息技术词汇第8部分:安全》[S]北京:中国标准出版社,2001:36.
②ISO/IEC TR 18044《信息技术.安全技术.信息安全事件管理》[S]北京:中国标准出版社,2004:26.
③GB/T 20984-2007《信息安全技术、信息安全风险评估规范》[S]北京:中国标准出版社,2007:4.
①郭红芳,曾向阳.风险分析方法研究[J].计算机工程,2001(3):131-132.
①王琼霄,荆继武,高能.OCTAVE风险评估方法在电子政务中的应用[J].信息网络安全,2006(9):43-45.
①魏选平,卞树檀.故障树分析法及其应用[J].计算机科学与技术,2004(3):43-45.
①周萍.电子政务风险评估方法[J].科技广场,2007(11):105-107.
①刘炜,刘鲁.电子政务系统安全工程能力的综合评估方法[J].计算机工程与应用2006(25):223-226.
①GB/T 20984一2007.信息安全技术:信息安全风险评估规范[S].北京:中国标准出版社,2007:17.
[1]王英梅、王胜开、陈国顺、程湘云.信息安全风险评估[M].北京:电子工业出版社,2007.
[2]吴亚非、李新友、禄凯住.信息安全风险评估[M].北京:清华大学出版社,2007.
[3]范红、冯登国、吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2006.
[4]范红,冯登国.信息安全风险评估实施教程[M].北京:清华大学出版社,2007.
[5]向宏傅郦.信息安全测评与风险评估[M].北京:电子工业出版社,2009.
[6]贾颖禾.信息安全风险评估综述[J].国家信息安全测评认证,2003(5):35-39.
[7]崔秀玲,王德欣.论我国电子政务现状与信息安全[J].临沂师范学院学报,2003(5):61-62.
[8]龚平.保障电子政务信息安全[J].中国创业投资与高科技,2003(6):21-23.
[9]曲成义,陈晓桦.信息系统安全评估概念研究[J].信息安全与通信保密,2003(9):16-20.
[10]新禾.自我评估与自主保护_信息安全保障_IA_的基石[J].网络安全技术与应用,2003(10):14-17.
[11]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004(7):10-18.
[12]王毅刚,吴昌伦.信息安全风险评估的策划[J].信息技术与标准化,2004(9):15-17.
[13]刘闻欢.风险评估的四大方法[J].中国计算机用户,2004(7):44-46.
[14]赵洪彪.信息安全风险分析的概念和框架[J].计算机安全,2004(4):55-57.
[15]范红.风险评估在信息系统中的运用[J].中国计算机用户,2004(39):44.
[16]曹立斌.风险评估的五个步骤[J].安防科技,2004(8):11-12.
[17]蔡昱,张玉清,冯登国.风险评估在电子政务系统中的应用[J].计算机工程与应用,2004(26):155-159.
[18]杨志新.政府网络安全风险评估[J].系统工程,2005(4):58-60.
[19]茆意宏,朱晓欢,黄水清.信息安全管理标准BS 7799与信息安全风险评估方法OCTAVE的比较研究[J].新世纪图书馆,2005(2):53-55.
[20]王红阳.通过风险评估掌握当前的安全状况[J].机械工业信息与网络,2005(3):48-49.
[21]程湘云,王英梅,刘增良.一种定量的信息安全风险评估模型[J].空军工程大学学报(自然科学版),2005(12):56-59.
[22]李鹤田.信息系统安全风险评估标准现状与展望[J].世界标准化与质量管理,2005(12):47-48.
[23]周前.电子政务中信息安全的风险评估与防范措施[J].软件导刊,2005(15):33-34.
[24]范红.信息安全风险评估国家标准简述[J].信息网络安全,2006(1):58-61.
[25]张立涛,应力,钱省三.信息安全风险评估中若干操作问题的研究[J].山东理工大学学报(自然科学版),2006(1):79-83.
[26]邓崧,彭艳.用OCTAVE方法分析电子政务系统的信息安全[J].情报杂志,2006(1):75-77.
[27]杜虹.涉密信息系统安全风险评估[J].信息网络安全,2006(1):66-68.
[28]周伟良,朱方洲.电子政务系统安全风险评估研究[J].电子政务,2007(9):29-34.
[29]梁洪涛,王大萌,黄俊强,马遥.信息安全风险评估规范在电子政务中的应用[J].信息技术,2007(7):133-135.
[30]程建华,靖继鹏.信息安全风险评估方法研究—基于“资产—威胁”评价指数矩阵风险分析方法研究[J].计算机安全,2008(3):26-29.
[31]任帅,慕德俊,张军骏,姚磊.信息安全风险评估方法研究[J].信息安全与通信保密,2009(2):54-56.
[32]李海燕,刘开茗,吴琳.一个信息安全风险评估系统的设计及应用[J].网络通讯及安全,2009(5):306-307.
[33]汤志伟,高天鹏.采用OCTAVE模型的电子政务信息系统风险评估[J].电子科技大学学报,2009(1):130-133.
[34]韩霞.新型信息安全保护方法OCTAVE Method在电子政务中的应用[J].计算机安全,2005(8):41-47.
[35]王琼霄、荆继武、高能.OCTAVE风险评估方法在电子政务中的应用[J].信息网络安全,2006(9):39-42.
[36]达建华,彭庚.基于相关者理论的电子政务风险评估框架[J].工业技术经济,2008(3):38-41.
[37]吴绍忠.数字化档案馆信息安全风险评估[J].中国档案,2009(6):57-58.
[38]国务院信息化工作办公室.电子政务信息安全等级保护实施指南(试行)[S].北京:中国标准出版社,2005(9).
[39] GB/T 20984一2007.信息安全技术:信息安全风险评估规范[S].北京:中国标准出版社,2007.
[40] GB17859一1999.计算机信息系统安全保护等级划分准则[S].北京:中国标准出版社,1999.
[41]ISO/IEC 27002:2005.信息技术—安全技术—信息安全管理实用规则[S].国家标准化技术委员会,2005.
[42] ISO/IEC 15408.Common Criteria for Information Teehnology Security Evaluation[S].London:Intemational Standard Press,2001.
[43] Kim,Young-Gab,Lim,Jongin Quantitative Risk Analysis and Evaluation in Information Systems: A Case Study [J]. Lecture Notes in Computer Science,2007(48):46-51.
[44] Panzer,Martina,Renner,Britta.To be or not to be at risk: Spontaneous reactions to risk information[J]. Psychology and Health,2008(23):39.
[45] Harada,Shigeaki,Takimoto,Eiji,Maruoka,Akira.Online Allocation with Risk Information[J].IEICE Transactions on Information and Systems,2006(89):37-40.
[46] Kahn.Randolph.The Risk-Cost Retention Model:A New Approach to Retention[J].Information Management Journal,2006(5):19-22.
[47] Wang,Z-x. Dai,Z-k.The Mathematical Method of Risk Evaluation in Information System[J].Journal-Sichuan university natural Science Edition,2004(5):30-32.
[48] Visschers,Vivianneh M.Meertens,Reem.Passchier,Wimf.devries,Nannek.How Does the General Public Evaluate Risk Information?The Impact of Associations with Other Risks[J].Risk Analysis,2007(3):24-29.
[49] Fleming,Karl N.Markov models for evaluating risk-informed in-service inspection strategies for nuclear power plant piping systems[J].Reliability Engineering and System Safety,2004(1):136-140.
[50] OCTAVE Method,software Engineering Institute Carnegie Mellon网址:http://www.cert.org/octave/octavemethod.html.
[51] Systems Security Engineering-Capability Maturity Model网址: http://www.sse-cmm.org/index.html.
[52]全球领先的风险与决策分析软件Palisade网址:http://www.palisade.com/cn/.
[53]信息安全共性技术国家工程研究中心NERCIS网址:http://www.nercis.ac.cn/index.jsp.
[54]信息安全专业论坛(华安信达)网址:http://bbs.cisps.org/.
[55]中国计算机安全网址:http://www.infosec.org.cn/.
[56]全国信息安全标准化技术委员会网址:http://www.tc260.org.cn/.
[57]谷安天下网址:http://www.gooann.com/Default.aspx.