2022年风险评估方法在疾控信息系统安全管理中的应用 .pdf

《2022年风险评估方法在疾控信息系统安全管理中的应用 .pdf》由会员分享，可在线阅读，更多相关《2022年风险评估方法在疾控信息系统安全管理中的应用 .pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、风险评估方法在疾控信息系统安全管理中的应用-安全生产论文风险评估方法在疾控信息系统安全管理中的应用摘 要随着信息时代的迈进，行业信息系统在疾病预防控制领域得到了充足发展。疾控信息系统数据量大、数据安全要求高、客户端数量多、运维人员少，信息系统安全风险评估工作往往无从下手。本文参照风险评估方法，结合疾控信息系统的特点，探索疾控中心的信息系统的安全应用。【关键词】信息系统风险评估 安全风险 疾控随着信息时代的迈进，行业信息系统在疾病预防控制领域得到了充足发展。我省已经初步建成以疾病监测、疫情报告为主体的疾控信息系统。疾控信息系统数据量大、数据安全要求高、客户端数量多、运维人员少，信息系统安全尤为重

2、要。本文遵照信息安全风险评估规范在疾病预防控制行业对信息系统风险评估工作进行了应用探索。1 评估方法1.1 资产的识别、评估与赋值资产的评估主要评估信息系统资产的价值、信息系统弱点被威胁利用的可能性、信息系统面临威胁的概率。参照信息安全技术信息安全风险评估指南中资产脆弱性和威胁识别相关内容（表7 与表 9）进行赋值（五个级别：非常高、高、中等、低、非常低，权重：5、4、3、2、1）。1.2 风险值计算用字母“A”来表示疾控信息资产的价值，字母“V”来表示信息系统弱点被威胁利用的可能性，字母“T”来表示系统面临威胁的概率。风险值 =R精选学习资料 - - - - - - - - - 名师归纳总结

3、 - - - - - - -第 1 页，共 4 页（A，T，V）=R （L（T，V）， F（Ia，Va）。安全事件发生的可能性：L=T*V ；安全事件发生造成的损失：F=V*A ；资产的风险值： Rn=L*F；系统的风险值： R=Max （Rn）。 Ia：安全事件所作用的资产价值；Va：脆弱性严重程度； L：威胁利用资产的脆弱性导致安全事件发生的可能性；F：安全事件发生后产生的损失。1.3 风险等级评估信息系统风险值为取资产风险值最大值R=Max （Rn）。根据风险值大小将风险等级分为5 级：第一级（很低：1 125 ）、第二级（低：126 250 ）、第三级（中等：251 375 ）、第四级

4、（高：376 500 ）、第五级（很高： 501625 ）2 评估应用2.1 风险的确认与赋值2.1.1 通过资产识别，明确应急指挥系统资产为服务器、网络交换机、入侵检测系统、防火墙、软件、数据库、技术资料。根据专家赋值法参照信息资产的保密性、完整性和可用性对信息资产的价值进行赋值，见表1。2.1.2 主要脆弱性问题确认参照信息安全技术信息安全风险评估指南中威胁分类的定义，确认信息资产存在的主要脆弱性问题并赋值，见表1。2.2 风险值的计算（ 1 ） 通 过 脆 弱 性 与 发 生 概 率 的 乘 积 来 计 算 威 胁 发 生 的 可 能 性L（L=V*T ）。通过计算可见L 值最大为 20

5、，最小为 4。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 2 页，共 4 页（2）通过脆弱性与资产价值的乘积来计算威胁产生的损失F（F=A*V ）。通过计算可见 F 值最大为 20，最小值为 10 。（3）通过威胁发生的可能性与威胁产生的损失的乘积计算相关脆弱性问题的风险值 Rn（Rn=L*F）。Rn 最大值为 320 ，最小值为 40。2.3 结论Rn 最大值为 320 ，最小值为 40。根据风险分级标准：第一级（很低：1125 ）、第二级（低：126 250 ）、第三级（中等：251 375 ）、第四级（高： 376 500 ）、第五级（很

6、高：501 625 ），应急指挥系统的风险值取最大值 320 ，结论为系统风险中等。从对风险子项Rn 分值分析可见应急指挥系统安全问题主要还在软件和管理措施上。信息系统风险整改过程中交换机弱口令、信息系统重要信息敏感性标记和用户审计问题风险值最大，应优先处理。3 讨论疾控信息系统据量大、数据安全要求高、客户端数量多、专业运维人员少，基层单位的信息系统风险评估工作往往无从下手。本评估方法以信息安全技术 信息安全风险评估规范、信息安全技术信息安全风险评估指南为基础，依据风险发生的可能性、风险造成的损失对风险进行识别与归类，能够判断出信息系统存在的风险。但在实际操作中笔者也发现可能会存在以下问题：3

7、.1 脆弱性问题的遗漏根据技术水平与工作经验，不同的人员对资产脆弱性问题的判断和标准会有所不同，可能会导致关键脆弱性问题的遗漏。实际操作中建议参照信息安精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 3 页，共 4 页全技术 信息安全风险评估规范中资产、威胁、脆弱性分类进行对照识别。3.2 赋值的偏差本评估赋值依赖历史经验与专家判断，可能会因不同专家的不同判断而得出不同的结论。实际操作中应尽可能使用多名专家赋值取均值方法得到相对较为真实可靠的结果。本方法作为疾控信息系统安全风险评估的方法尝试，其结果能够反映疾控信息系统资产当前安全风险状况，能够协助基层工作人员较便捷地识别出信息系统存在的风险点。参考文献1 信息安全技术 信息安全风险评估规范 S.GBT 20984-2007. 2 信息安全技术信息安全风险评估指南S.GBT 20984-2007. 作者单位浙江省疾病预防控制中心浙江省杭州市 310051 精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 4 页，共 4 页