地理職稱論文地理信息系統(tǒng)風(fēng)險(xiǎn)評估

　　究竟采取何種風(fēng)險(xiǎn)處置措施，需要對地理信息系統(tǒng)進(jìn)行安全需求分析，但采取了上述風(fēng)險(xiǎn)處置措施，仍然不是十全十美，絕對不存在風(fēng)險(xiǎn)的信息系統(tǒng)，人們追求的所謂安全的地理信息系統(tǒng)，實(shí)際是指地理信息系統(tǒng)在風(fēng)險(xiǎn)評估并做出風(fēng)險(xiǎn)控制后，仍然存在的殘余風(fēng)險(xiǎn)可被接受的地理信息系統(tǒng)。所謂安全的地理信息系統(tǒng)是相對的。

　　《干旱區(qū)地理》(雙月刊)創(chuàng)刊于1978年，由中國科學(xué)院新疆生態(tài)與地理研究所和中國地理學(xué)會(huì)主辦、科學(xué)出版社出版。獲獎(jiǎng)情況：1994-1996、1997-1999年度科技期刊質(zhì)量評比優(yōu)秀期刊三等獎(jiǎng);2000～2001年: 新疆維吾爾自治區(qū)科技期刊《干旱區(qū)地理》漢文版榮獲優(yōu)秀期刊二等獎(jiǎng)。、2002～2003年: 在新疆維吾爾自治區(qū)科技期刊質(zhì)量評比中 ，《干旱區(qū)地理》漢文版榮獲“新疆科技期刊獎(jiǎng)”，也被評為科技期刊“一級期刊”。2004年: 在第三屆新疆期刊評選獎(jiǎng)評選活動(dòng)中,《干旱區(qū)地理》榮獲第三屆“新疆期刊獎(jiǎng)”。 被評為科技期刊“一級期刊”。

　　摘 要：風(fēng)險(xiǎn)評估在信息安全建設(shè)中占有重要地位，2006年起全國范圍開始了信息安全風(fēng)險(xiǎn)評估工作。論文通過介紹風(fēng)險(xiǎn)評估與地理信息系統(tǒng)的基本概念及相互關(guān)系，針對地理信息系統(tǒng)的特殊性要求，探討了對此類系統(tǒng)風(fēng)險(xiǎn)評估具體可操作的實(shí)施方法。

　　關(guān)鍵詞：地理信息系統(tǒng);風(fēng)險(xiǎn)評估

　　2006年1月國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)表了“關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見”，意見中指出：隨著國民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，國民經(jīng)濟(jì)和社會(huì)發(fā)展對網(wǎng)絡(luò)和信息系統(tǒng)的依賴性也越來越大。

　　1 什么是GIS

　　地理信息系統(tǒng)(Geographic Information System,簡稱GIS)是在計(jì)算機(jī)軟硬件支持下，管理和研究空間數(shù)據(jù)的技術(shù)系統(tǒng)，它可以對空間數(shù)據(jù)按地理坐標(biāo)或空間位置進(jìn)行各種處理、對數(shù)據(jù)的有效管理、研究各種空間實(shí)體及相互關(guān)系，并能以地圖、圖形或數(shù)據(jù)的形式表示處理的結(jié)果。

　　2 風(fēng)險(xiǎn)評估簡介

　　風(fēng)險(xiǎn)評估是在綜合考慮成本效益的前提下，針對確立的風(fēng)險(xiǎn)管理對象所面臨的風(fēng)險(xiǎn)進(jìn)行識別、分析和評價(jià)，即根據(jù)資產(chǎn)的實(shí)際環(huán)境對資產(chǎn)的脆弱性、威脅進(jìn)行識別，對脆弱性被威脅利用的可能性和所產(chǎn)生的影響進(jìn)行評估，從而確認(rèn)該資產(chǎn)的安全風(fēng)險(xiǎn)及其大小，并通過安全措施控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可以控制的程度。

　　3 地理信息系統(tǒng)面臨的威脅

　　評估開始之前首先要確立評估范圍和對象，地理信息系統(tǒng)需要保護(hù)的資產(chǎn)包括物理資產(chǎn)和信息資產(chǎn)兩部分。

　　3.1 物理資產(chǎn)

　　包括系統(tǒng)中的各種硬件、軟件和物理設(shè)施。硬件資產(chǎn)包括計(jì)算機(jī)、交換機(jī)、集線器、網(wǎng)關(guān)設(shè)備等網(wǎng)絡(luò)設(shè)備。軟件資產(chǎn)包括計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)操作系統(tǒng)、通用應(yīng)用軟件、網(wǎng)絡(luò)管理軟件、數(shù)據(jù)庫管理軟件和業(yè)務(wù)應(yīng)用軟件等。物理設(shè)施包括場地、機(jī)房、電力供給以及防水、防火、地震、雷擊等的災(zāi)難應(yīng)急等設(shè)施。

　　3.2 信息資產(chǎn)

　　包括系統(tǒng)數(shù)據(jù)信息、系統(tǒng)維護(hù)管理信息。系統(tǒng)數(shù)據(jù)信息主要包括地圖數(shù)據(jù)。系統(tǒng)維護(hù)管理信息包括系統(tǒng)運(yùn)行、審計(jì)日志、系統(tǒng)監(jiān)督日志、入侵檢測記錄、系統(tǒng)口令、系統(tǒng)權(quán)限設(shè)置、數(shù)據(jù)存儲(chǔ)分配、IP地址分配信息等。

　　從應(yīng)用的角度，地理信息系統(tǒng)由硬件、軟件、數(shù)據(jù)、人員和方法五部分組成:硬件和軟件為地理信息系統(tǒng)建設(shè)提供環(huán)境;數(shù)據(jù)是GIS的重要內(nèi)容;方法為GIS建設(shè)提供解決方案;人員是系統(tǒng)建設(shè)中的關(guān)鍵和能動(dòng)性因素，直接影響和協(xié)調(diào)其它幾個(gè)組成部分。

　　4 風(fēng)險(xiǎn)評估工作流程

　　地理信息系統(tǒng)安全風(fēng)險(xiǎn)評估工作一般應(yīng)遵循如下工作流程。

　　4.1 確定資產(chǎn)列表及信息資產(chǎn)價(jià)值

　　這一步需要對能夠收集、建立、整理出來的、涉及到所有環(huán)節(jié)的信息資產(chǎn)進(jìn)行統(tǒng)計(jì)。將它們按類型、作用、所屬進(jìn)行分類，并估算其價(jià)值，計(jì)算各類信息資產(chǎn)的數(shù)量、總量及增長速度，明確它們需要存在的期限或有效期。同時(shí)，還應(yīng)考慮到今后的發(fā)展規(guī)劃，預(yù)算今后的信息資產(chǎn)增長。這里所說的信息資產(chǎn)包括:物理資產(chǎn)(計(jì)算機(jī)硬件、通訊設(shè)備及建筑物等)信息/數(shù)據(jù)資產(chǎn)(文檔、數(shù)據(jù)庫等)、軟件資產(chǎn)、制造產(chǎn)品和提供服務(wù)能力、人力資源以及無形資產(chǎn)(良好形象等)，這些都是確定的對象。

　　4.2 識別威脅

　　地理信息系統(tǒng)安全威脅是指可以導(dǎo)致安全事件發(fā)生和信息資產(chǎn)損失的活動(dòng)。在實(shí)際評估時(shí)，威脅來源應(yīng)主要考慮這幾個(gè)方面，并分析這些威脅直接的損失和潛在的影響、數(shù)據(jù)破壞、喪失數(shù)據(jù)的完整性、資源不可用等：

　　(1)系統(tǒng)本身的安全威脅。

　　非法設(shè)備接入、終端病毒感染、軟件跨平臺出錯(cuò)、操作系統(tǒng)缺陷、有缺陷的地理信息系統(tǒng)體系結(jié)構(gòu)的設(shè)計(jì)和維護(hù)出錯(cuò)。

　　(2)人員的安全威脅。

　　由于內(nèi)部人員原因?qū)е碌男畔⑾到y(tǒng)資源不可用、內(nèi)部人員篡改數(shù)據(jù)、越權(quán)使用或偽裝成授權(quán)用戶的操作、未授權(quán)外部人員訪問系統(tǒng)資源、內(nèi)部用戶越權(quán)執(zhí)行未獲準(zhǔn)訪問權(quán)限的操作。

　　(3)外部環(huán)境的安全威脅。

　　包括電力系統(tǒng)故障可能導(dǎo)致系統(tǒng)的暫�；蚍�務(wù)中斷。

　　(4)自然界的安全威脅。

　　包括洪水、颶風(fēng)、地震等自然災(zāi)害可能引起系統(tǒng)的暫�；蚍�務(wù)中斷。

　　4.3 識別脆弱性

　　地理信息系統(tǒng)存在的脆弱性(安全漏洞)是地理信息系統(tǒng)自身的一種缺陷，本身并不對地理信息系統(tǒng)構(gòu)成危害，在一定的條件得以滿足時(shí)，就可能被利用并對地理信息系統(tǒng)造成危害。

　　4.4 分析現(xiàn)有的安全措施

　　對于已采取控制措施的有效性，需要進(jìn)行確認(rèn)，繼續(xù)保持有效的控制措施，以避免不必要的工作和費(fèi)用，對于那些確認(rèn)為不適當(dāng)?shù)目刂�，�?yīng)取消或采用更合適的控制替代。

　　4.5 確定風(fēng)險(xiǎn)

　　風(fēng)險(xiǎn)是資產(chǎn)所受到的威脅、存在的脆弱點(diǎn)及威脅利用脆弱點(diǎn)所造成的潛在影響三方面共同作用的結(jié)果。風(fēng)險(xiǎn)是威脅發(fā)生的可能性、脆弱點(diǎn)被威脅利用的可能性和威脅的潛在影響的函數(shù)，記為：

　　Rc= (Pt, Pv, I)

　　式中：Rc為資產(chǎn)受到威脅的風(fēng)險(xiǎn)系數(shù);Pt為威脅發(fā)生的可能性;Pv為脆弱點(diǎn)被威脅利用的可能性;I為威脅的潛在影響(可用資產(chǎn)的相對價(jià)值V代替)。為了便于計(jì)算，通常將三者相乘或相加，得到風(fēng)險(xiǎn)系數(shù)。

　　4.6 評估結(jié)果的處置措施

　　在確定了地理信息系統(tǒng)安全風(fēng)險(xiǎn)后，就應(yīng)設(shè)計(jì)一定的策略來處置評估得到的信息系統(tǒng)安全風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)計(jì)算得出風(fēng)險(xiǎn)值，確定風(fēng)險(xiǎn)等級，對不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧�，并形成風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理的方式包括：回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)(降低發(fā)生的可能性或減小后果)、轉(zhuǎn)移風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)。

　　4.7 殘余風(fēng)險(xiǎn)的評價(jià)

　　對于不可接受范圍內(nèi)的風(fēng)險(xiǎn)，應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖�，對殘余風(fēng)險(xiǎn)進(jìn)行評價(jià)，判定風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平，為風(fēng)險(xiǎn)管理提供輸入。殘余風(fēng)險(xiǎn)的評價(jià)可以依據(jù)組織風(fēng)險(xiǎn)評估的準(zhǔn)則進(jìn)行，考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生可能性的降低。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)通過管理層依據(jù)風(fēng)險(xiǎn)接受的原則，考慮是否接受此類風(fēng)險(xiǎn)或增加控制措施。

轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///jjlw/9949.html