張　彭，孟爾貴，楊文君

（泰州市國土資源局，江蘇 泰州 225300）

市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究

張彭，孟爾貴，楊文君

（泰州市國土資源局，江蘇 泰州 225300）

基礎(chǔ)地理信息系統(tǒng)是構(gòu)建“智慧城市”的基礎(chǔ)，是城市經(jīng)濟(jì)社會信息化的重要基石和保證，隨著基礎(chǔ)地理信息化進(jìn)程的加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，測繪地理信息對網(wǎng)絡(luò)和信息系統(tǒng)的依賴性也越來越大。網(wǎng)絡(luò)和信息系統(tǒng)自身存在的缺陷、脆弱性以及面臨的威脅，使地理信息系統(tǒng)的運行客觀上存在著潛在風(fēng)險，信息安全已經(jīng)成為影響基礎(chǔ)地理信息化發(fā)展的重大問題。泰州市作為國家數(shù)字區(qū)域地理空間框架建設(shè)示范城市，國家“智慧城市”試點市，在基礎(chǔ)地理信息系統(tǒng)風(fēng)險評估規(guī)范研究做了大量研究和探索工作。本文首先從國內(nèi)外信息安全風(fēng)險評估研究現(xiàn)狀入手，重點提出了市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究方法和手段；最后進(jìn)一步闡述了研究的體會。

基礎(chǔ)地理；信息系統(tǒng)；安全；風(fēng)險評估

1　引言

風(fēng)險是以一定的發(fā)生概率的潛在危機(jī)形式存在的可能性，而不是已經(jīng)存在的客觀結(jié)果或既定事實。風(fēng)險管理是通過對風(fēng)險的識別、衡量和控制，以最小的成本將風(fēng)險導(dǎo)致的各種損失結(jié)果減少到最小的管理方法。隨著信息化向縱深發(fā)展，基礎(chǔ)地理信息系統(tǒng)被廣泛應(yīng)用，但信息安全方面的威脅也大大增加，具體到市縣級基礎(chǔ)地理信息系統(tǒng)中存在各類風(fēng)險，這些風(fēng)險有著自身的特點，對系統(tǒng)的影響也隨著不同階段而不同。其中信息安全風(fēng)險是指系統(tǒng)本身的脆弱性在來自環(huán)境的威脅下而產(chǎn)生的風(fēng)險，這些風(fēng)險會對信息系統(tǒng)核心資產(chǎn)的安全性、完整性和可用性造成破壞。對測繪行業(yè)信息安全風(fēng)險的評估是進(jìn)行有效風(fēng)險管理的基礎(chǔ)，是對風(fēng)險計劃和風(fēng)險控制過程的有力支撐，而如何識別和度量風(fēng)險成為一個難題，目前測繪地理信息行業(yè)沒有一個行業(yè)性安全評估類或者安全管理類規(guī)范標(biāo)準(zhǔn)，通用安全評估規(guī)范在很多方面對于測繪地理信息系統(tǒng)復(fù)雜性和行業(yè)特點缺乏適用性，往往較難落地，為此提出市縣級國土資源基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究。

2　國內(nèi)外信息安全風(fēng)險評估的研究現(xiàn)狀

信息安全風(fēng)險評估經(jīng)歷了很長一段的發(fā)展時期。風(fēng)險評估的重點也由最初簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到技術(shù)與管理相結(jié)合的科學(xué)方法。由于信息安全問題的突出重要性，以及發(fā)生安全問題的后果嚴(yán)重性，目前評估工作已經(jīng)得到重視和開展。國內(nèi)外很多學(xué)者都在積極投身于信息安全的研究，期望找到保護(hù)信息安全的盔甲。美國在信息安全風(fēng)險管理領(lǐng)域的研究與應(yīng)用獨占鰲頭，政府控管體制健全，己經(jīng)形成了較為完整的風(fēng)險分析、評估、監(jiān)督、檢查問責(zé)的工作機(jī)制。DOD作為風(fēng)險評估的領(lǐng)路者，1970年就已對當(dāng)時的大型機(jī)、遠(yuǎn)程終端作了第一次比較大規(guī)模的風(fēng)險評估；1999年，美國總審計局在總結(jié)實踐的基礎(chǔ)上，出版了相關(guān)文檔，指導(dǎo)美國組織進(jìn)行風(fēng)險評估；2001年美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會（NIST）推出SP800系列的特別報告中也涉及到風(fēng)險評估的內(nèi)容；歐洲各國對信息安全風(fēng)險一直采取“趨利避害”的安全策略，于2001-2003年完成了安全關(guān)鍵系統(tǒng)的風(fēng)險分析平臺項目CORAS，被譽(yù)為歐洲經(jīng)典。我國信息安全評估起步較晚，2003年7月，國信辦信息安全風(fēng)險評估課題組啟動了信息安全風(fēng)險評估相關(guān)標(biāo)準(zhǔn)的編制工作；8月，信息安全評估課題組對我國信息安全工作的現(xiàn)狀進(jìn)行了調(diào)研，完成了相關(guān)的評估報告，總結(jié)了風(fēng)險評估是信息安全的基礎(chǔ)性工作；2004年3月國家發(fā)布《信息安全風(fēng)險評估指南》與《信息安全風(fēng)險管理指南》的征求意見稿；2005 年2月至9月，開始了國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估試點工作；2007年7月我國頒布了《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T 20984一2007）并于2007年11月1日實施；2008年4月22日，在國家信息中心召開了《信息系統(tǒng)風(fēng)險評估實施指南》預(yù)制標(biāo)準(zhǔn)第二次研討會，此次會議主要就標(biāo)準(zhǔn)工作組制定的《實施指南》目錄框架進(jìn)行了詳細(xì)研究與討論，《信息系統(tǒng)風(fēng)險評估實施指南》作為GB/T 20984-2007《信息安全風(fēng)險評估規(guī)范》和《信息安全風(fēng)險管理規(guī)范》之后又一技術(shù)性研究課題，將充實信息安全風(fēng)險評估和風(fēng)險管理具體實施工作。

3　市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究方法和手段

3.1市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究方法

市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息，最終生成風(fēng)險信息。資產(chǎn)的評估主要從保密性、完整性、可用性三方面的安全屬性進(jìn)行影響分析，從資產(chǎn)的相對價值中體現(xiàn)了威脅的嚴(yán)重程度；威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估；脆弱性的評估是對資產(chǎn)脆弱程度的評估；具體如下：

（1）資產(chǎn)評估。資產(chǎn)評估的主要工作就是對市、縣、鄉(xiāng)三級基礎(chǔ)地理信息系統(tǒng)風(fēng)險評估范圍內(nèi)的資產(chǎn)進(jìn)行識別，確定所有的評估對象，然后根據(jù)評估的資產(chǎn)在業(yè)務(wù)和應(yīng)用流程中的作用對資產(chǎn)進(jìn)行分析，識別出其關(guān)鍵資產(chǎn)并進(jìn)行重要程度賦值。根據(jù)資產(chǎn)評估報告的結(jié)果，可以清晰的分析出市、縣、鄉(xiāng)三級基礎(chǔ)地理信息系統(tǒng)中各主要業(yè)務(wù)的重要性，以及各業(yè)務(wù)中各種類別的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的重要程度，從而得出信息系統(tǒng)的安全等級。同時，可以明確各業(yè)務(wù)系統(tǒng)的關(guān)鍵資產(chǎn)，確定安全評估和保護(hù)的重點對象。

在此基礎(chǔ)上，建立針對市、縣、鄉(xiāng)三級基礎(chǔ)地理信息系統(tǒng)中的資產(chǎn)配置庫，對資產(chǎn)的名稱、類型、屬性以及相互關(guān)系、安全級別、責(zé)任主體等信息進(jìn)行描述。

（2）威脅評估。威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。威脅識別的任務(wù)主要是識別可能的威脅主體 （威脅源）、威脅途徑和威脅方式，威脅主體是指可能會對信息資產(chǎn)造成威脅的主體對象，威脅方式是指威脅主體利用脆弱性的威脅形式，威脅主體會采用威脅方法利用資產(chǎn)存在的脆弱性對資產(chǎn)進(jìn)行破壞。

在此基礎(chǔ)上，充分調(diào)研，分析現(xiàn)有記錄、安全事件、日志及各類告警信息，整理本行業(yè)信息系統(tǒng)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)及管理方面面臨的安全威脅，形成風(fēng)險點列表。

（3）脆弱性評估。脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。

通過研究，將建立本行業(yè)的涉及主要終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫及應(yīng)用等主要系統(tǒng)的基線庫，從而為脆弱性檢測在“安全配置”方面提供指標(biāo)支撐。

（4）綜合風(fēng)險評估及計算方法。風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。在風(fēng)險評估模型中，主要包含信息資產(chǎn)、脆弱性、威脅和風(fēng)險四個要素。每個要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，脆弱性的屬性是脆弱性被威脅利用后對資產(chǎn)帶來的影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性，風(fēng)險的屬性是風(fēng)險發(fā)生的后果。

綜合風(fēng)險計算方法：根據(jù)風(fēng)險計算公式R=f（A，V，T）=f（Ia，L （Va，T）），即：風(fēng)險值=資產(chǎn)價值×威脅可能性×弱點嚴(yán)重性，下表是綜合風(fēng)險分析的舉例：

注：R表示風(fēng)險；A表示資產(chǎn)；V表示脆弱性；T表示威脅；Ia表示資產(chǎn)發(fā)生安全事件后對組織業(yè)務(wù)的影響 （也稱為資產(chǎn)的重要程度）；Va表示某一資產(chǎn)本身的脆弱性，L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。

風(fēng)險的級別劃分為5級（見表1），等級越高，風(fēng)險越高。

表1　風(fēng)險等級劃分

各信息系統(tǒng)風(fēng)險值計算及總體風(fēng)險計算則按照風(fēng)險的不同級別和各級別風(fēng)險的個數(shù)進(jìn)行加權(quán)計算，具體的加權(quán)計算方法如下。

風(fēng)險級別權(quán)重分配：

極高風(fēng)險30%

高風(fēng)險25%

中風(fēng)險20%

低風(fēng)險15%

很低風(fēng)險10%

各級別風(fēng)險個數(shù)對應(yīng)關(guān)系 （即各級別風(fēng)險相對于很低風(fēng)險的個數(shù)換算）：

極高風(fēng)險16

高風(fēng)險8

中風(fēng)險4

低風(fēng)險2

很低風(fēng)險1

風(fēng)險計算公式R’=K（av，p，n）=av×p×n，其中，av代表各級別風(fēng)險求平均后總和，p代表相應(yīng)的風(fēng)險級別權(quán)重，n代表相應(yīng)的風(fēng)險個數(shù)權(quán)重。

總體風(fēng)險值=R’（極高）+R’（高）+R’（中）+R’（低）+R’（很低）

3.2市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究的手段

（1）專家分析。對于已有的安全管理制度和策略，由經(jīng)驗豐富的安全專家進(jìn)行管理方面的風(fēng)險分析，結(jié)合江蘇省基礎(chǔ)地理信息系統(tǒng)安全建設(shè)現(xiàn)狀，指出當(dāng)前安全規(guī)劃和安全管理制度存在的不足，并給出安全建議。

（2）工具檢測。采用成熟的掃描或檢測工具，對于網(wǎng)絡(luò)中的服務(wù)器、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進(jìn)行掃描評估；為了充分了解各業(yè)務(wù)系統(tǒng)當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀及其安全威脅，因此需要利用基于各種評估側(cè)面的評估工具對評估對象進(jìn)行掃描評估，對象包括各類主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等，掃描評估的結(jié)果將作為整個評估內(nèi)容的一個重要參考依據(jù)。

（3）基線評估。采用基線風(fēng)險評估，根據(jù)本行業(yè)的實際情況，對信息系統(tǒng)進(jìn)行安全基線檢查，拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出其中的差距，得出基本的安全需求，通過選擇并實施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險。所謂的安全基線，是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。

（4）人工評估。工具掃描因為其固定的模板，適用的范圍，特定的運行環(huán)境，以及它的缺乏智能性等諸多因素，因而有著很大的局限性；而人工評估與工具掃描相結(jié)合，可以完成許多工具所無法完成的事情，從而得出全面的、客觀的評估結(jié)果。人工檢測評估主要是依靠具有豐富經(jīng)驗的安全專家在各服務(wù)項目中通過針對不同的評估對象采用顧問訪談，業(yè)務(wù)流程了解等方式，對評估對象進(jìn)行全面的評估。

（5）滲透測試。在整個風(fēng)險評估的過程中，結(jié)合外部滲透測試的方式發(fā)現(xiàn)系統(tǒng)中可能面臨的安全威脅和已經(jīng)存在的系統(tǒng)脆弱性。

4　結(jié)語

基礎(chǔ)地理信息系統(tǒng)是一項十分復(fù)雜的、龐大的系統(tǒng)工程，也是一項長期的戰(zhàn)略任務(wù)，為了保證市縣級國土資源基礎(chǔ)地理信息系統(tǒng)安全必須針對不同業(yè)務(wù)研究建立科學(xué)的、可度量的、可操作的安全風(fēng)險評估規(guī)范，對其信息安全保障的整體狀態(tài)進(jìn)行科學(xué)的、客觀的評價與描述，從而確定所建設(shè)的信息安全保障體系的保障水平、保障實效和保障周期等問題。

10.3969/j.issn.1673-0194.2015.21.082

TP315

A

1673-0194（2015）21-0155-03

2015-09-02