前言：本站為你精心整理了地理信息系統(tǒng)風(fēng)險(xiǎn)范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：風(fēng)險(xiǎn)評估在信息安全建設(shè)中占有重要地位，2006年起全國范圍開始了信息安全風(fēng)險(xiǎn)評估工作。論文通過介紹風(fēng)險(xiǎn)評估與地理信息系統(tǒng)的基本概念及相互關(guān)系，針對地理信息系統(tǒng)的特殊性要求，探討了對此類系統(tǒng)風(fēng)險(xiǎn)評估具體可操作的實(shí)施方法。

關(guān)鍵詞：地理信息系統(tǒng)；風(fēng)險(xiǎn)評估

2006年1月國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)表了“關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見”，意見中指出：隨著國民經(jīng)濟(jì)和社會信息化進(jìn)程的加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，國民經(jīng)濟(jì)和社會發(fā)展對網(wǎng)絡(luò)和信息系統(tǒng)的依賴性也越來越大。

1什么是GIS

地理信息系統(tǒng)（GeographicInformationSystem,簡稱GIS）是在計(jì)算機(jī)軟硬件支持下，管理和研究空間數(shù)據(jù)的技術(shù)系統(tǒng)，它可以對空間數(shù)據(jù)按地理坐標(biāo)或空間位置進(jìn)行各種處理、對數(shù)據(jù)的有效管理、研究各種空間實(shí)體及相互關(guān)系，并能以地圖、圖形或數(shù)據(jù)的形式表示處理的結(jié)果。

2風(fēng)險(xiǎn)評估簡介

風(fēng)險(xiǎn)評估是在綜合考慮成本效益的前提下，針對確立的風(fēng)險(xiǎn)管理對象所面臨的風(fēng)險(xiǎn)進(jìn)行識別、分析和評價(jià)，即根據(jù)資產(chǎn)的實(shí)際環(huán)境對資產(chǎn)的脆弱性、威脅進(jìn)行識別，對脆弱性被威脅利用的可能性和所產(chǎn)生的影響進(jìn)行評估，從而確認(rèn)該資產(chǎn)的安全風(fēng)險(xiǎn)及其大小，并通過安全措施控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可以控制的程度。

3地理信息系統(tǒng)面臨的威脅

評估開始之前首先要確立評估范圍和對象，地理信息系統(tǒng)需要保護(hù)的資產(chǎn)包括物理資產(chǎn)和信息資產(chǎn)兩部分。

3.1物理資產(chǎn)

包括系統(tǒng)中的各種硬件、軟件和物理設(shè)施。硬件資產(chǎn)包括計(jì)算機(jī)、交換機(jī)、集線器、網(wǎng)關(guān)設(shè)備等網(wǎng)絡(luò)設(shè)備。軟件資產(chǎn)包括計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)操作系統(tǒng)、通用應(yīng)用軟件、網(wǎng)絡(luò)管理軟件、數(shù)據(jù)庫管理軟件和業(yè)務(wù)應(yīng)用軟件等。物理設(shè)施包括場地、機(jī)房、電力供給以及防水、防火、地震、雷擊等的災(zāi)難應(yīng)急等設(shè)施。

3.2信息資產(chǎn)

包括系統(tǒng)數(shù)據(jù)信息、系統(tǒng)維護(hù)管理信息。系統(tǒng)數(shù)據(jù)信息主要包括地圖數(shù)據(jù)。系統(tǒng)維護(hù)管理信息包括系統(tǒng)運(yùn)行、審計(jì)日志、系統(tǒng)監(jiān)督日志、入侵檢測記錄、系統(tǒng)口令、系統(tǒng)權(quán)限設(shè)置、數(shù)據(jù)存儲分配、IP地址分配信息等。

從應(yīng)用的角度，地理信息系統(tǒng)由硬件、軟件、數(shù)據(jù)、人員和方法五部分組成:硬件和軟件為地理信息系統(tǒng)建設(shè)提供環(huán)境；數(shù)據(jù)是GIS的重要內(nèi)容；方法為GIS建設(shè)提供解決方案；人員是系統(tǒng)建設(shè)中的關(guān)鍵和能動性因素，直接影響和協(xié)調(diào)其它幾個組成部分。

4風(fēng)險(xiǎn)評估工作流程

地理信息系統(tǒng)安全風(fēng)險(xiǎn)評估工作一般應(yīng)遵循如下工作流程。

4.1確定資產(chǎn)列表及信息資產(chǎn)價(jià)值

這一步需要對能夠收集、建立、整理出來的、涉及到所有環(huán)節(jié)的信息資產(chǎn)進(jìn)行統(tǒng)計(jì)。將它們按類型、作用、所屬進(jìn)行分類，并估算其價(jià)值，計(jì)算各類信息資產(chǎn)的數(shù)量、總量及增長速度，明確它們需要存在的期限或有效期。同時(shí)，還應(yīng)考慮到今后的發(fā)展規(guī)劃，預(yù)算今后的信息資產(chǎn)增長。這里所說的信息資產(chǎn)包括:物理資產(chǎn)(計(jì)算機(jī)硬件、通訊設(shè)備及建筑物等)信息/數(shù)據(jù)資產(chǎn)(文檔、數(shù)據(jù)庫等)、軟件資產(chǎn)、制造產(chǎn)品和提供服務(wù)能力、人力資源以及無形資產(chǎn)(良好形象等)，這些都是確定的對象。4.2識別威脅

地理信息系統(tǒng)安全威脅是指可以導(dǎo)致安全事件發(fā)生和信息資產(chǎn)損失的活動。在實(shí)際評估時(shí)，威脅來源應(yīng)主要考慮這幾個方面，并分析這些威脅直接的損失和潛在的影響、數(shù)據(jù)破壞、喪失數(shù)據(jù)的完整性、資源不可用等：

（1）系統(tǒng)本身的安全威脅。

非法設(shè)備接入、終端病毒感染、軟件跨平臺出錯、操作系統(tǒng)缺陷、有缺陷的地理信息系統(tǒng)體系結(jié)構(gòu)的設(shè)計(jì)和維護(hù)出錯。

（2）人員的安全威脅。

由于內(nèi)部人員原因?qū)е碌男畔⑾到y(tǒng)資源不可用、內(nèi)部人員篡改數(shù)據(jù)、越權(quán)使用或偽裝成授權(quán)用戶的操作、未授權(quán)外部人員訪問系統(tǒng)資源、內(nèi)部用戶越權(quán)執(zhí)行未獲準(zhǔn)訪問權(quán)限的操作。

（3）外部環(huán)境的安全威脅。

包括電力系統(tǒng)故障可能導(dǎo)致系統(tǒng)的暫?；蚍?wù)中斷。

（4）自然界的安全威脅。

包括洪水、颶風(fēng)、地震等自然災(zāi)害可能引起系統(tǒng)的暫?；蚍?wù)中斷。

4.3識別脆弱性

地理信息系統(tǒng)存在的脆弱性(安全漏洞)是地理信息系統(tǒng)自身的一種缺陷，本身并不對地理信息系統(tǒng)構(gòu)成危害，在一定的條件得以滿足時(shí)，就可能被利用并對地理信息系統(tǒng)造成危害。

4.4分析現(xiàn)有的安全措施

對于已采取控制措施的有效性，需要進(jìn)行確認(rèn)，繼續(xù)保持有效的控制措施，以避免不必要的工作和費(fèi)用，對于那些確認(rèn)為不適當(dāng)?shù)目刂?，?yīng)取消或采用更合適的控制替代。

4.5確定風(fēng)險(xiǎn)

風(fēng)險(xiǎn)是資產(chǎn)所受到的威脅、存在的脆弱點(diǎn)及威脅利用脆弱點(diǎn)所造成的潛在影響三方面共同作用的結(jié)果。風(fēng)險(xiǎn)是威脅發(fā)生的可能性、脆弱點(diǎn)被威脅利用的可能性和威脅的潛在影響的函數(shù)，記為：

Rc=(Pt,Pv,I)

式中：Rc為資產(chǎn)受到威脅的風(fēng)險(xiǎn)系數(shù)；Pt為威脅發(fā)生的可能性；Pv為脆弱點(diǎn)被威脅利用的可能性；I為威脅的潛在影響(可用資產(chǎn)的相對價(jià)值V代替)。為了便于計(jì)算，通常將三者相乘或相加，得到風(fēng)險(xiǎn)系數(shù)。

4.6評估結(jié)果的處置措施

在確定了地理信息系統(tǒng)安全風(fēng)險(xiǎn)后，就應(yīng)設(shè)計(jì)一定的策略來處置評估得到的信息系統(tǒng)安全風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)計(jì)算得出風(fēng)險(xiǎn)值，確定風(fēng)險(xiǎn)等級，對不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?，并形成風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理的方式包括：回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)(降低發(fā)生的可能性或減小后果)、轉(zhuǎn)移風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)。

究竟采取何種風(fēng)險(xiǎn)處置措施，需要對地理信息系統(tǒng)進(jìn)行安全需求分析，但采取了上述風(fēng)險(xiǎn)處置措施，仍然不是十全十美，絕對不存在風(fēng)險(xiǎn)的信息系統(tǒng)，人們追求的所謂安全的地理信息系統(tǒng)，實(shí)際是指地理信息系統(tǒng)在風(fēng)險(xiǎn)評估并做出風(fēng)險(xiǎn)控制后，仍然存在的殘余風(fēng)險(xiǎn)可被接受的地理信息系統(tǒng)。所謂安全的地理信息系統(tǒng)是相對的。

4.7殘余風(fēng)險(xiǎn)的評價(jià)

對于不可接受范圍內(nèi)的風(fēng)險(xiǎn)，應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖螅瑢堄囡L(fēng)險(xiǎn)進(jìn)行評價(jià)，判定風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平，為風(fēng)險(xiǎn)管理提供輸入。殘余風(fēng)險(xiǎn)的評價(jià)可以依據(jù)組織風(fēng)險(xiǎn)評估的準(zhǔn)則進(jìn)行，考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生可能性的降低。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)通過管理層依據(jù)風(fēng)險(xiǎn)接受的原則，考慮是否接受此類風(fēng)險(xiǎn)或增加控制措施。

參考文獻(xiàn)

［1］賈穎禾.國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險(xiǎn)評估［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004，(7).