基于模糊层次分析电子政务信息安全风险评估研究.docVIP

基于模糊层次分析电子政务信息安全风险评估研究 　　本文对电子政务信息安全风险评估进行了深入的分析,并通过建立新的评估方法,为实现电子政务信息安全风险的评估提供理论依据。但电子政务信息安全是个很复杂的问题,电子政务信息安全风险评估要求研究者在管理、计算机科学、数学等领域要有很深的了解,才能做到电子政务信息安全风险的评估是系统的、科学的。 　　 　　20世纪90年代以来,信息技术飞速发展,尤其是互联网技术的普遍应用,使信息化成为各国普遍关注的最重要的领域之一。2006年中共中央办公厅、国务院办公厅印发了《2006―2020年国家信息化发展战略》,提出了到2020年我国信息化发展的战略目标。同时推动了政府信息化的建设,随着电子政务所承载的信息资源的增加和开放程度的加深,逐渐地带来了不少的安全威胁和安全隐患。因此信息安全风险评估问题越来越受到人们的重视,使人们意识到寻求一种有效的解决方案来应对这些威胁和风险。 　　国内外信息安全风险评估研究 　　风险评估最早于20世纪五六十年代开始应用于欧美核电厂的安全性评估中,随后在发达国家的航天工程、化学工业、环境保护、医疗卫生、交通运输、国民经济等众多领域得到推广和应用。电子政务信息安全是经济与社会信息化的先决条件之一,是国家信息化建设的重要内容。如何保证电子政务信息安全的可靠性,国内外很多学者对信息安全问题从信息安全的不同方面和不同角度进行了研究。通过文献查阅,举例比较、分析说明几种发展比较成熟的方法的优缺点如表1所示: 　　 表1 各种方法的比较 　　电子政务信息安全风险评估要素模型的改进 　　根据对信息安全风险评估要素模型的研究,将模型作个对比分析:国际标准ISO 13335-1 中的信息安全风险评估要素模型是个一般的信息安全风险评估要素模型,模型中简单地介绍了威胁、脆弱性、资产、安全措施、资产、影响对风险的关系;国际标准ISO 15408在ISOISO 13335-1的基础之上增加了资产的所有者因素,并将安全措施改成对策,核心讨论了资产、弱点、威胁、风险、对策之间的关系;2005年,我国国务院信息化工作办公室发布的《信息安全风险评估指南》增加了围绕资产进行的业务战略、安全事件及残余风险,并讨论了它们与资产、弱点、威胁、风险、安全需求、安全措施的关系。电子政务信息的安全不同于一般的信息安全,具有特殊性,是国家与人民关注的重点,依据ISO 13335-1、ISO 15408、《信息安全风险评估指南》对电子政务信息安全评估要素模型进行改进。改进后的评估要素关系模型,如1所示: 　　 图1 电子政务信息安全评估要素模型的改进 　　电子政务信息安全风险评估指标体系的构建 　　电子政务信息安全风险评估目前没有一个完全统一的评估指标体系,在评估时依据评估标准进行合适的筛选,以适应评估的需要。在依据国际标准ISO/IEC 17799《信息安全风险管理细则》、NIST SP800-26《信息技术风险安全自评估指南》、NIST SP800-53《美国联邦信息系统最低安全控制准则》和我国的《信息安全风险评估指南》以及查阅相关文献,充分考虑电子政务信息安全的特殊性,并结合改进后的电子政务信息安全风险评估要素关系模型,将技术、管理、人员、软件、硬件、信息资产合理融合,建立电子政务信息安全风险评估的指标体系。 　　为了全面客观地评估电子政务信息安全风险,本文设计了电子政务信息安全风险评估指标体系,建立了物理环境安全(A1)(机房访问策略(A11)、物理设施(A12)、温湿度(A13)、物理监控(A14)、电源安全(A15))、网络设备安全(A2)(网线(A21)、集线器(A22)、路由器(A23)、服务器(A24)、网络接口(A25))、人员安全(A3)(人员安全管理制度(A31)、人员能力(A32)、人员安全意识(A33)、人员岗位职责(A34)、身份认证(A35)、权限管理控制(A36))、通信操作安全(A4)(防火墙控制(A41)、防病毒软件升级(A42)、介质安全(A43)、配置管理(A44)、入侵检测(A45)、网络隔离(A46)、通信加密(A47)、文档(A48)、重要信息分类(A49)、数据备份(A410))、组织安全战略(A5)(信息安全组织机构(A51)、组织安全意识(A52)、安全保障能力(A53)、预警能力(A54)、组织安全教育与培训(A55)、信息安全发展规划(A56))、系统安全(A6)(操作系统访问控制(A61)、数据库访问控制(A62)、应用系统访问控制(A63)、系统开发与维护(A64))六个维度的指标体系,较全面地反应电子政务信息安全风险评估。 　　指标体系的效度是评估指标对评估对象的评估程度的评估反映并反映评价目的的达成。在电子政务信息安全风险评估指