网站首页 | 经济学论文 | 证券金融 | 管理学 | 会计审计 | 法学论文 | 医药学论文 | 社会学论文 | 教育论文 | 计算机 | 艺术论文 | 哲学论文 | 财务管理 |
写论文网
  • 民法论文
  • 经济法论文
  • 国际法论文
  • 法学理论论文
  • 司法制度论文
  • 国家法论文
  • 宪法论文
  • 刑法论文
  • 行政法论文
    • 您的位置:写论文网 > 法学论文 > 经济法论文 > 疾控信息系统 [风险评估方法... 正文 2019-08-04 08:38:57

    疾控信息系统 [风险评估方法在疾控信息系统安全管理中的应用]

    相关热词搜索:疾控 风险评估 方法 信息系统安全 管理 信息网络安全风险评估的方法 信息安全风险评估标准

    【关键词】信息系统 风险评估 安全风险 疾

    随着信息时代的迈进,行业信息系统在

    疾病预防控制领域得到了充足发展。我省已经

    初步建成以疾病监测、疫情报告为主体的疾控

    信息系统。疾控信息系统数据量大、数据安全

    要求高、客户端数量多、运维人员少,信息系

    统安全尤为重要。本文遵照《信息安全风险评

    估规范》在疾病预防控制行业对信息系统风险

    评估工作进行了应用探索。

    1 评估方法

    1.1 资产的识别、评估与赋值

    资产的评估主要评估信息系统资产的价

    值、信息系统弱点被威胁利用的可能性、信息

    系统面临威胁的概率。参照《信息安全技术信

    息安全风险评估指南》中资产脆弱性和威胁识

    别相关内容(表7 与表9)进行赋值(五个级别:

    非常高、高、中等、低、非常低,权重:5、4、

    3、2、1)。

    1.2 风险值计算

    用字母“A”来表示疾控信息资产的价值,

    字母“V”来表示信息系统弱点被威胁利用

    的可能性,字母“T”来表示系统面临威胁的

    概率。风险值=R(A,T,V)=R(L(T,V),F(Ia,

    Va))。安全事件发生的可能性:L=T*V;安全

    事件发生造成的损失:F=V*A;资产的风险值:

    Rn=L*F;系统的风险值:R=Max(Rn)。Ia:安

    全事件所作用的资产价值;Va:脆弱性严重程

    度;L:威胁利用资产的脆弱性导致安全事件

    发生的可能性;F:安全事件发生后产生的损失。

    1.3 风险等级评估

    信息系统风险值为取资产风险值最大值

    R=Max(Rn)。根据风险值大小将风险等级分为

    5 级:第一级(很低:1 ~ 125)、第二级(低:

    126 ~ 250)、第三级(中等:251 ~ 375)、

    第四级(高:376 ~ 500)、第五级(很高:

    501 ~ 625)

    2 评估应用

    文/曹彦 江涛

    随着信息时代的迈进,行业

    信息系统在疾病预防控制领域得

    到了充足发展。疾控信息系统数

    据量大、数据安全要求高、客户

    端数量多、运维人员少,信息系

    统安全风险评估工作往往无从下

    手。本文参照风险评估方法,结

    合疾控信息系统的特点,探索疾

    控中心的信息系统的安全应用。

    摘 要

    2.1 风险的确认与赋值

    2.1.1 通过资产识别,明确应急指挥系统资产

    服务器、网络交换机、入侵检测系统、

    防火墙、软件、数据库、技术资料。根据专家

    赋值法参照信息资产的保密性、完整性和可用

    性对信息资产的价值进行赋值,见表1。

    2.1.2 主要脆弱性问题确认

    参照《信息安全技术信息安全风险评估

    指南》中威胁分类的定义,确认信息资产存在

    的主要脆弱性问题并赋值,见表1。

    2.2 风险值的计算

    (1)通过脆弱性与发生概率的乘积来计

    算威胁发生的可能性L(L=V*T)。通过计算可

    见L 值最大为20,最小为4。

    (2)通过脆弱性与资产价值的乘积来计

    算威胁产生的损失F(F=A*V)。通过计算可

    见F 值最大为20,最小值为10。

    (3)通过威胁发生的可能性与威胁产生

    的损失的乘积计算相关脆弱性问题的风险值

    Rn(Rn=L*F)。Rn 最大值为320,最小值为

    40。

    2.3 结论

    Rn 最大值为320, 最小值为40。根据

    风险分级标准:第一级(很低:1 ~ 125)、

    第二级(低:126 ~ 250)、第三级(中等:

    251 ~ 375)、第四级(高:376 ~ 500)、第

    五级(很高:501 ~ 625),应急指挥系统的

    风险值取最大值320,结论为系统风险中等。

    从对风险子项Rn 分值分析可见应急指挥

    系统安全问题主要还在软件和管理措施上。信

    息系统风险整改过程中交换机弱口令、信息系

    统重要信息敏感性标记和用户审计问题风险值

    最大,应优先处理。

    3 讨论

    疾控信息系统据量大、数据安全要求高、

    客户端数量多、专业运维人员少,基层单位的

    信息系统风险评估工作往往无从下手。本评估

    方法以《信息安全技术信息安全风险评估规

    范》、《信息安全技术信息安全风险评估指南》

    为基础,依据风险发生的可能性、风险造成的

    损失对风险进行识别与归类,能够判断出信息

    系统存在的风险。

    但在实际操作中笔者也发现可能会存在

    以下问题:

    3.1 脆弱性问题的遗漏

    根据技术水平与工作经验,不同的人员

    对资产脆弱性问题的判断和标准会有所不同,

    可能会导致关键脆弱性问题的遗漏。实际操作

    中建议参照《信息安全技术信息安全风险评

    估规范》中资产、威胁、脆弱性分类进行对照

    识别。

    3.2 赋值的偏差

    本评估赋值依赖历史经验与专家判断,

    可能会因不同专家的不同判断而得出不同的结

    论。实际操作中应尽可能使用多名专家赋值取

    均值方法得到相对较为真实可靠的结果。

    本方法作为疾控信息系统安全风险评估

    的方法尝试,其结果能够反映疾控信息系统资

    产当前安全风险状况,能够协助基层工作人员

    较便捷地识别出信息系统存在的风险点。

    参考文献

    [1] 信息安全技术 信息安全风险评估规范

    [S].GBT 20984-2007.

    [2] 信息安全技术信息安全风险评估指南[S].

    GBT 20984-2007.

    作者单位

    浙江省疾病预防控制中心 浙江省杭州市

    310051

    表1:信息资产赋值表

    资产主要脆弱性问题脆弱性V 威胁发生概率T 资产价值A

    服务器

    双因子认证4 3 5

    剩余信息保护3 2 5

    网络交换机

    日志审计3 3 4

    用户唯一标识3 3 4

    弱口令4 5 4

    入侵检测系统

    日志审计3 3 4

    限制远程登录地址4 4 4

    防火墙日志审计2 2 5

    软件

    双因子认证4 3 5

    重要信息敏感标记4 4 5

    每个用户的安全审计4 4 5

    数据库

    双因子认证4 3 5

    管理地址限制4 3 5

    疾控信息系统 [风险评估方法在疾控信息系统安全管理中的应用] 相关文章
    • 范文大全
    • 教案
    • 优秀作文
    • 教师范文
    • 综合阅读
    • 读后感
    • 说说
    最新范文
    疾控信息系统 [风险评估方法在疾控信息系统安全管理中的应用] 》由(写论文网)整理提供,版权归原作者、原出处所有。
    Copyright © 2019 写论文网 All Rights Reserved.