本站小編為你精心準備了政府網(wǎng)絡(luò)安全風(fēng)險評估的模型與應(yīng)用參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

1政府網(wǎng)絡(luò)安全風(fēng)險評估的模型與應(yīng)用

1.1安全風(fēng)險評估應(yīng)用模型三階段。

在電子政務(wù)系統(tǒng)設(shè)的實施過程，主要分為規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段等三個階段。其中，安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段，安全等級評估主要作用于建設(shè)與施工階段，安全檢查評估主要作用于運行與管理階段。安全風(fēng)險分析，主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進行分析。對于信息資產(chǎn)的風(fēng)險等級的確定，以及其風(fēng)險的優(yōu)先控制順序，可以通過根據(jù)電子政務(wù)系統(tǒng)的需求，采用定性和定量的方法，制定相關(guān)的安全保障方案。安全等級評估，主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者，通過結(jié)合其自身的力量和相關(guān)的等級保護標準，進行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機構(gòu)，依據(jù)已頒布的標準或法規(guī)進行評估。通過定期或隨機的安全等級評估，掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向，能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患，提高系統(tǒng)的防御能力，并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進行較大程度上的更新或變革，則需要重新對系統(tǒng)進行安全等級評估工作。安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進行監(jiān)測，并給予解決問題的安全防范措施。

1.2安全風(fēng)險分析的應(yīng)用模型。

在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中，主要是借助安全風(fēng)險評測工具和第三方權(quán)威機構(gòu)，對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此，本文重點要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素。

在資產(chǎn)上，政府的信息資源不但具有經(jīng)濟價值，還擁有者重要的政治因素。因此，要從關(guān)鍵和敏感度出發(fā)，確定信息資產(chǎn)。在不足上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上，可能致使信息資源泄露，嚴重時造成重大的資源損失。

（2）基本流程。

根據(jù)安全需求，確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求，實行區(qū)域和安全邊界的劃分。識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則，并確定其大小與等級。結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護，以及費用應(yīng)當與風(fēng)險相平衡的原則，對風(fēng)險控制方法加以探究，從而制定出有效的安全風(fēng)險控制措施和解決方案。

（3）專家評判法。

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中，由于缺少相關(guān)的數(shù)據(jù)和資料，因此，可以通過專家評判的方法，為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果，作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi)，根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)（即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層），應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域，建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點，分析其可能為資產(chǎn)所帶來的影響，以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小，進而通過安全風(fēng)險評估專家進行評判，得到系統(tǒng)的風(fēng)險值及排序。在不同的安全層次中，每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

2結(jié)語

本文主要通過對政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)中，所進行的安全風(fēng)險評估進行研究，分析和探討在規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段三個階段中政府網(wǎng)絡(luò)安全建設(shè)的相關(guān)問題。并在各階段分別采用安全風(fēng)險分析、系統(tǒng)建設(shè)完成后的安全等級評估。在系統(tǒng)建成后的運行和管理階段，采用的安全檢查評估等方法，保障政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。此外，在安全風(fēng)險分析中，可操作的方法并不多，需要有關(guān)部門加強力度，加以研究和探析。在等級安全評估和安全檢查評估兩個階段，可以充分利用第三方權(quán)威機構(gòu)的評測工具，來加強政府網(wǎng)絡(luò)的安全性。

作者：陳偉奇單位：廣東省清遠市連南縣信息中心