风险评估方法在疾控信息系统安全管理中的应用

《风险评估方法在疾控信息系统安全管理中的应用 》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、风险评估方法在疾控信息系统安全管理中的应用【关键词】信息系统风险评估安全风险疾控随着信息时代的迈进，行业信息系统在疾病预防控制领域得到了充足发展。我省已经初步建成以疾病监测、疫情报告为主体的疾控信息系统。疾控信息系统数据量大、数据安全要求高、客户端数量多、运维人员少，信息系统安全尤为重要。本文遵照《信息安全风险评估规范》在疾病预防控制行业对信息系统风险评估工作进行了应用探索。1评估方法1.1资产的识别、评估与赋值资产的评估主要评估信息系统资产的价值、信息系统弱点被威胁利用的可能性、信息系统面临威胁的概率。参

2、照《信息安全技术信息安全风险评估指南》中资产脆弱性和威胁识别相关内容（表7与表9）进行赋值（五个级别：非常高、高、中等、低、非常低，权重：5、4、3、2、1）。1.2风险值计算用字母“A”来表示疾控信息资产的价值，字母“V”来表示信息系统弱点被威胁利用的可能性，字母“T”来表示系统面临威胁的概率。风险值=R（A,T,V）=R(L(T,V),F(Ia，Va))。安全事件发生的可能性：L=T*V；安全事件发生造成的损失：F=V*A；资产的风险值：Rn=L*F；系统的风险值：R=Max(Rn)。Ia：安全事件所作

3、用的资产价值；Va：脆弱性严重程度；L：威胁利用资产的脆弱性导致安全事件发生的可能性；F：安全事件发生后产生的损失。1.3风险等级评估信息系统风险值为取资产风险值最大值R=Max(Rn)。根据风险值大小将风险等级分为5级：第一级（很低：1～125）、第二级（低：126～250）、第三级（中等：251～375）、第四级（高：376～500）、第五级（很高：501～625）2评估应用文/曹彦江涛随着信息时代的迈进，行业信息系统在疾病预防控制领域得到了充足发展。疾控信息系统数据量大、数据安全要求高、客户端数量多、

4、运维人员少，信息系统安全风险评估工作往往无从下手。本文参照风险评估方法，结合疾控信息系统的特点，探索疾控中心的信息系统的安全应用。摘要2.1风险的确认与赋值为服务器、X络交换机、入侵检测系统、防火墙、软件、数据库、技术资料。根据专家赋值法参照信息资产的保密性、完整性和可用性对信息资产的价值进行赋值，见表1。参照《信息安全技术信息安全风险评估指南》中威胁分类的定义，确认信息资产存在的主要脆弱性问题并赋值，见表1。2.2风险值的计算（1）通过脆弱性与发生概率的乘积来计算威胁发生的可能性L(L=V*T)。通过计算

5、可见L值最大为20，最小为4。（2）通过脆弱性与资产价值的乘积来计算威胁产生的损失F（F=A*V）。通过计算可见F值最大为20，最小值为10。（3）通过威胁发生的可能性与威胁产生的损失的乘积计算相关脆弱性问题的风险值Rn（Rn=L*F）。Rn最大值为320，最小值为40。2.3结论Rn最大值为320，最小值为40。根据风险分级标准：第一级（很低：1～125）、第二级（低：126～250）、第三级（中等：251～375）、第四级（高：376～500）、第五级（很高：501～625），应急指挥系统的风险值取最大

6、值320，结论为系统风险中等。从对风险子项Rn分值分析可见应急指挥系统安全问题主要还在软件和管理措施上。信息系统风险整改过程中交换机弱口令、信息系统重要信息敏感性标记和用户审计问题风险值最大，应优先处理。3讨论疾控信息系统据量大、数据安全要求高、客户端数量多、专业运维人员少，基层单位的信息系统风险评估工作往往无从下手。本评估方法以《信息安全技术信息安全风险评估规范》、《信息安全技术信息安全风险评估指南》为基础，依据风险发生的可能性、风险造成的损失对风险进行识别与归类，能够判断出信息系统存在的风险。但在实际操

7、作中笔者也发现可能会存在以下问题：3.1脆弱性问题的遗漏根据技术水平与工作经验，不同的人员对资产脆弱性问题的判断和标准会有所不同，可能会导致关键脆弱性问题的遗漏。实际操作中建议参照《信息安全技术信息安全风险评估规范》中资产、威胁、脆弱性分类进行对照识别。3.2赋值的偏差本评估赋值依赖历史经验与专家判断，可能会因不同专家的不同判断而得出不同的结论。实际操作中应尽可能使用多名专家赋值取均值方法得到相对较为真实可靠的结果。本方法作为疾控信息系统安全风险评估的方法尝试，其结果能够反映疾控信息系统资产当前安全风险状况

8、，能够协助基层工作人员较便捷地识别出信息系统存在的风险点。