2022年风险评估方法在疾控信息系统安全管理中的应用.docx

《2022年风险评估方法在疾控信息系统安全管理中的应用.docx》由会员分享，可在线阅读，更多相关《2022年风险评估方法在疾控信息系统安全管理中的应用.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选学习资料 - - - - - - - - - 风险评估方法在疾控信息系统安全治理中的应用-安全生产 论文 风险评估方法在疾控信息系统安全治理中的应用 摘 要随着信息时代的迈进,行业信息系统在疾病预防掌握领域得到了充 足进展；疾控信息系统数据量大、数据安全要求高、客户端数量多、运维人员 少,信息系统安全风险评估工作往往无从下手；本文参照风险评估方法,结合 疾控信息系统的特点,探究疾控中心的信息系统的安全应用；【关键词】信息系统风险评估 安全风险 疾控随着信息时代的迈进,行业信息系统在疾病预防掌握领域得到了充分发 展；我省已经初步建成以疾病监测、疫情报告为主体的疾控信息系统；疾控信 息系统数据

2、量大、数据安全要求高、客户端数量多、运维人员少,信息系统安 全尤为重要；本文遵照信息安全风险评估规范在疾病预防掌握行业对信息 系统风险评估工作进行了应用探究；1 评估方法 1.1 资产的识别、评估与赋值 资产的评估主要评估信息系统资产的价值、信息系统弱点被威逼利用的可 能性、信息系统面临威逼的概率；参照信息安全技术信息安全风险评估指南中资产脆弱性和威逼识别相关内容（表 特别高、高、中等、低、特别低,权重：1.2 风险值运算7 与表 9）进行赋值（五个级别：5、4、3、2、1）；用字母“A” 来表示疾控信息资产的价值,字母“V” 来表示信息系统弱点被威逼利用的可能性,字母“T” 来表示系统面临威

3、逼的概率；风险值 =R名师归纳总结 - - - - - - -第 1 页,共 4 页精选学习资料 - - - - - - - - - （ A,T,V） =R （L（ T,V）, F（Ia, Va）；安全大事发生的可能性：L=T*V ；安全大事发生造成的缺失：F=V*A ；资产的风险值： Rn=L*F ；系统的风险值： R=Max （ Rn）； Ia：安全大事所作用的资产价值；Va：脆弱性严峻程度； L：威逼利用资产的脆弱性导致安全大事发生的可能性；F：安全大事发生后产生的缺失；1.3 风险等级评估信息系统风险值为取资产风险值最大值R=Max （Rn ）；依据风险值大小将风险等级分为 5 级：第

4、一级（很低：1 125 ）、其次级（低：126 250 ）、第三级（中等：251 375 ）、第四级（高：376 500 ）、第五级（很高： 501 625 ）2 评估应用 2.1 风险的确认与赋值 2.1.1 通过资产识别,明确应急指挥系统资产为 服务器、网络交换机、入侵检测系统、防火墙、软件、数据库、技术资料；依据专家赋值法参照信息资产的保密性、完整性和可用性对信息资产的价 值进行赋值,见表 1；2.1.2 主要脆弱性问题确认 参照信息安全技术信息安全风险评估指南中威逼分类的定义,确认信 息资产存在的主要脆弱性问题并赋值,见表 1；2.2 风险值的运算（ 1 ） 通 过 脆 弱 性 与 发

5、 生 概 率 的 乘 积 来 计 算 威 胁 发 生 的 可 能 性 L（L=V*T ）；通过运算可见L 值最大为 20,最小为 4；名师归纳总结 - - - - - - -第 2 页,共 4 页精选学习资料 - - - - - - - - - （2）通过脆弱性与资产价值的乘积来运算威逼产生的缺失 F（F=A*V ）；通过运算可见 F 值最大为 20 ,最小值为 10 ；（3）通过威逼发生的可能性与威逼产生的缺失的乘积运算相关脆弱性问题的风险值 Rn（Rn=L*F ）； Rn 最大值为 320 ,最小值为 40；2.3 结论Rn 最大值为 320 ,最小值为 40；依据风险分级标准：第一级（很

6、低：1125 ）、其次级（低：126 250 ）、第三级（中等：251 375 ）、第四级（高： 376 500 ）、第五级（很高：最大值 320 ,结论为系统风险中等；501 625 ）,应急指挥系统的风险值取从对风险子项 Rn 分值分析可见应急指挥系统安全问题主要仍在软件和管 理措施上；信息系统风险整改过程中交换机弱口令、信息系统重要信息敏锐性 标记和用户审计问题风险值最大,应优先处理；3 争论 疾控信息系统据量大、数据安全要求高、客户端数量多、专业运维人员 少,基层单位的信息系统风险评估工作往往无从下手；本评估方法以信息安 全技术 信息安全风险评估规范、信息安全技术信息安全风险评估指南为

7、 基础,依据风险发生的可能性、风险造成的缺失对风险进行识别与归类,能够 判定出信息系统存在的风险；但在实际操作中笔者也发觉可能会存在以下问题：3.1 脆弱性问题的遗漏 依据技术水平与工作体会,不同的人员对资产脆弱性问题的判定和标准会 有所不同,可能会导致关键脆弱性问题的遗漏；实际操作中建议参照信息安名师归纳总结 - - - - - - -第 3 页,共 4 页精选学习资料 - - - - - - - - - 全技术 信息安全风险评估规范中资产、威逼、脆弱性分类进行对比识别；3.2 赋值的偏差 本评估赋值依靠历史体会与专家判定,可能会因不同专家的不同判定而得 出不同的结论；实际操作中应尽可能使用多名专家赋值取均值方法得到相对较为真实牢靠的结果；本方法作为疾控信息系统安全风险评估的方法尝试,其结果能够反映疾控信息系统资产当前安全风险状况,能够帮助基层工作人员较便利地识别出信息 系统存在的风险点；参考文献1 信息安全技术 信息安全风险评估规范 S.GBT 20984-2007. 2 信息安全技术信息安全风险评估指南 作者单位S.GBT 20984-2007. 名师归纳总结 浙江省疾病预防掌握中心浙江省杭州市 310051 第 4 页,共 4 页- - - - - - -