基于ISM模型的电子政务信息系统风险分析.pdfVIP

维普资讯 第34卷 第2期 电子 科 技 大 学 学 报 VO1．34 NO．2 2005年 4月 Journal of UEST Of China Apr．2005 基于ISM模型的电子政务信息系统风险分析 汤志伟 ，杜人杰，高天鹏 (电子科技大学人文社科学院 成都 610054) 【摘要】以系统安全工程能力成熟模型作为理论依据，构造出基于模型的风险因素，采用解释结构模型对电 子政务信息系统的风险进行了科学的分析与评价，并结合具体实例，重点探讨了方法的应用与结果的分析，给出 了预防电子政务信息系统风险的思路和方法。 关 键 词 电子政务信息系统； 系统安全工程能力成熟模型；解释结构模型；风险分析 中图分类号 TP315；TP391 文献标识码 A RiskAnalysisofE-GovernmentInformationSystem BasedonISM TANGZhi-wei，DURen-jie，GAOTian-peng (SchoolofHumanitiesandSocialScience，[JESTofChma Chengdu 610054) Abstract Thispaper constructsrisk factorsbase on SSE．CMM ， and Presentsa scientific explorationofthenaalysisnad assessmentofe-governmentinformationsystem’Sriskby applyinghte mehtodsofsystem engnieernig nadISM ．Itfocusesonhteapplication ofhtemehtodsnadhteresult naalysisnihteactualcase．Someproposalsna dsolutionsforhteriskarealsoraisednihtePaDer． Keywords e-governmentinfomr ationsystem ； systemssecurityengnieeringcapabilitymaturity model； niterpretativestrucutralmodelnig； riskna alysis 电子政务信息系统直接涉及对国家秘密信息和高敏感度的核心政务的保护，涉及到维护公共秩序和行 政监管的准确实施，涉及到为社会提供公共服务的质量保证 【“。周密的电子政务信息系统风险分析，是制 定可靠、有效的安全防护措施的必要前提。本文以系统安全工程能力成熟模型(SystemsSecuriytEngnieernig CapabiliytMautriytModel，SSE-CMM)作为信息安全工程风险分析的理论依据 【，结合实际工作中的经验， 构建了基于过程模型的风险因素集，并采用解释结构模型法对电子政务信息系统的风险进行分析。 1 电子政务信息系统风险因素识别 在本文中，风险因素识别主要是对风险的认识与鉴别，判明电子政务信息系统安全存在哪些风险因素， 采用基于过程模型SSE．CMM的指导来保证信息系统的安全。系统安全工程能力成熟模型是通过过程管理 的途径将信息安全转变为一个完好的、成熟的、可测量的先进体系。SSE．CMM模型框架是一个二维架构 【】， 横轴维上有11个系统安全工程过程域(PA01．PAl1)，分别描述风险过程、工程过程和信任度过程。纵轴维上 有6个能力成熟级别，每个级别的判定反映为一组共同特征(CommonFeautre，CF)，而每个共 同特征进而通 过一组确定的通用实践(GeneralPractice，GP)来描述。过程能力由GP来衡量。GP、CF和能力级别组成三级 结构。 SSE．CMM风险过程包括对威胁、脆弱性、影响和相关风险的分析。借助于SSE-CMM风险过程，可