市县级基础地理信息系统安全风险评估规范研究

[摘 要] 基础地理信息系统是构建“智慧城市”的基础，是城市经济社会信息化的重要基石和保证，随着基础地理信息化进程的加快，网络与信息系统的基础性、全局性作用日益增强，测绘地理信息对网络和信息系统的依赖性也越来越大。网络和信息系统自身存在的缺陷、脆弱性以及面临的威胁，使地理信息系统的运行客观上存在着潜在风险，信息安全已经成为影响基础地理信息化发展的重大问题。泰州市作为国家数字区域地理空间框架建设示范城市，国家“智慧城市”试点市，在基础地理信息系统风险评估规范研究做了大量研究和探索工作。本文首先从国内外信息安全风险评估研究现状入手，重点提出了市县级基础地理信息系统安全风险评估规范研究方法和手段；最后进一步阐述了研究的体会。

[关键词] 基础地理；信息系统；安全；风险评估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082

[中图分类号] TP315 [文献标识码] A [文章编号] 1673 - 0194（2015）21- 0155- 03

1 引 言

风险是以一定的发生概率的潜在危机形式存在的可能性，而不是已经存在的客观结果或既定事实。风险管理是通过对风险的识别、衡量和控制，以最小的成本将风险导致的各种损失结果减少到最小的管理方法。随着信息化向纵深发展，基础地理信息系统被广泛应用，但信息安全方面的威胁也大大增加，具体到市县级基础地理信息系统中存在各类风险，这些风险有着自身的特点，对系统的影响也随着不同阶段而不同。其中信息安全风险是指系统本身的脆弱性在来自环境的威胁下而产生的风险，这些风险会对信息系统核心资产的安全性、完整性和可用性造成破坏。对测绘行业信息安全风险的评估是进行有效风险管理的基础，是对风险计划和风险控制过程的有力支撑，而如何识别和度量风险成为一个难题，目前测绘地理信息行业没有一个行业性安全评估类或者安全管理类规范标准，通用安全评估规范在很多方面对于测绘地理信息系统复杂性和行业特点缺乏适用性，往往较难落地，为此提出市县级国土资源基础地理信息系统安全风险评估规范研究。

2 国内外信息安全风险评估的研究现状

信息安全风险评估经历了很长一段的发展时期。风险评估的重点也由最初简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到技术与管理相结合的科学方法。由于信息安全问题的突出重要性，以及发生安全问题的后果严重性，目前评估工作已经得到重视和开展。国内外很多学者都在积极投身于信息安全的研究，期望找到保护信息安全的盔甲。美国在信息安全风险管理领域的研究与应用独占鳌头，政府控管体制健全，己经形成了较为完整的风险分析、评估、监督、检查问责的工作机制。DOD作为风险评估的领路者，1970年就已对当时的大型机、远程终端作了第一次比较大规模的风险评估； 1999年，美国总审计局在总结实践的基础上，出版了相关文档，指导美国组织进行风险评估；2001年美国国家标准和技术协会（NIST）推出SP800系列的特别报告中也涉及到风险评估的内容；欧洲各国对信息安全风险一直采取“趋利避害”的安全策略，于2001-2003年完成了安全关键系统的风险分析平台项目CORAS，被誉为欧洲经典。我国信息安全评估起步较晚，2003年7月，国信办信息安全风险评估课题组启动了信息安全风险评估相关标准的编制工作；8月，信息安全评估课题组对我国信息安全工作的现状进行了调研，完成了相关的评估报告，总结了风险评估是信息安全的基础性工作；2004年3月国家《信息安全风险评估指南》与《信息安全风险管理指南》的征求意见稿；2005年2月至9月，开始了国家基础信息网络和重要信息系统的信息安全风险评估试点工作；2007年7月我国颁布了《信息安全技术信息安全风险评估规范》（GB/T 20984一2007）并于2007年11月1日实施；2008年4月22日，在国家信息中心召开了《信息系统风险评估实施指南》预制标准第二次研讨会，此次会议主要就标准工作组制定的《实施指南》目录框架进行了详细研究与讨论，《信息系统风险评估实施指南》作为GB/T 20984-2007《信息安全风险评估规范》和《信息安全风险管理规范》之后又一技术性研究课题，将充实信息安全风险评估和风险管理具体实施工作。

3 市县级基础地理信息系统安全风险评估规范研究方法和手段

3.1 市县级基础地理信息系统安全风险评估规范研究方法

市县级基础地理信息系统安全风险评估规范研究通过综合分析评估后的资产信息、威胁信息、脆弱性信息，最终生成风险信息。资产的评估主要从保密性、完整性、可用性三方面的安全属性进行影响分析，从资产的相对价值中体现了威胁的严重程度；威胁评估是对资产所受威胁发生可能性的评估；脆弱性的评估是对资产脆弱程度的评估；具体如下：

（1）资产评估。资产评估的主要工作就是对市、县、乡三级基础地理信息系统风险评估范围内的资产进行识别，确定所有的评估对象，然后根据评估的资产在业务和应用流程中的作用对资产进行分析，识别出其关键资产并进行重要程度赋值。根据资产评估报告的结果，可以清晰的分析出市、县、乡三级基础地理信息系统中各主要业务的重要性，以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度，从而得出信息系统的安全等级。同时，可以明确各业务系统的关键资产，确定安全评估和保护的重点对象。

在此基础上，建立针对市、县、乡三级基础地理信息系统中的资产配置库，对资产的名称、类型、属性以及相互关系、安全级别、责任主体等信息进行描述。

（2）威胁评估。威胁是指可能对资产或组织造成损害事故的潜在原因。威胁识别的任务主要是识别可能的威胁主体（威胁源）、威胁途径和威胁方式，威胁主体是指可能会对信息资产造成威胁的主体对象，威胁方式是指威胁主体利用脆弱性的威胁形式，威胁主体会采用威胁方法利用资产存在的脆弱性对资产进行破坏。

在此基础上，充分调研，分析现有记录、安全事件、日志及各类告警信息，整理本行业信息系统在物理、网络、主机、应用和数据及管理方面面临的安全威胁，形成风险点列表。

（3）脆弱性评估。脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。

通过研究，将建立本行业的涉及主要终端、服务器、网络设备、安全设备、数据库及应用等主要系统的基线库，从而为脆弱性检测在“安全配置”方面提供指标支撑。

（4）综合风险评估及计算方法。风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。在风险评估模型中，主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的后果。

综合风险计算方法：根据风险计算公式R= f（A，V，T）=f（Ia，L（Va，T）），即：风险值=资产价值×威胁可能性×弱点严重性，下表是综合风险分析的举例：

注：R表示风险；A表示资产；V表示脆弱性；T表示威胁；Ia表示资产发生安全事件后对组织业务的影响（也称为资产的重要程度）；Va表示某一资产本身的脆弱性，L表示威胁利用资产的脆弱性造成安全事件发生的可能性。

风险的级别划分为5级（见表1），等级越高，风险越高。

各信息系统风险值计算及总体风险计算则按照风险的不同级别和各级别风险的个数进行加权计算，具体的加权计算方法如下。

风险级别权重分配：

极高风险 30%

高风险 25%

中风险 20%

低风险 15%

很低风险 10%

各级别风险个数对应关系（即各级别风险相对于很低风险的个数换算）：

极高风险 16

高风险 8

中风险 4

低风险 2

很低风险 1

风险计算公式R’=K（av，p，n）=av×p×n，其中，av代表各级别风险求平均后总和，p代表相应的风险级别权重，n代表相应的风险个数权重。

总体风险值=R’（极高）+ R’（高） + R’（中） + R’（低） + R’（很低）

3.2 市县级基础地理信息系统安全风险评估规范研究的手段

（1）专家分析。对于已有的安全管理制度和策略，由经验丰富的安全专家进行管理方面的风险分析，结合江苏省基础地理信息系统安全建设现状，指出当前安全规划和安全管理制度存在的不足，并给出安全建议。

（2）工具检测。采用成熟的扫描或检测工具，对于网络中的服务器、数据库系统、网络设备等进行扫描评估；为了充分了解各业务系统当前的网络安全现状及其安全威胁，因此需要利用基于各种评估侧面的评估工具对评估对象进行扫描评估，对象包括各类主机系统、网络设备等，扫描评估的结果将作为整个评估内容的一个重要参考依据。

（3）基线评估。采用基线风险评估，根据本行业的实际情况，对信息系统进行安全基线检查，拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。

（4）人工评估。工具扫描因为其固定的模板，适用的范围，特定的运行环境，以及它的缺乏智能性等诸多因素，因而有着很大的局限性；而人工评估与工具扫描相结合，可以完成许多工具所无法完成的事情，从而得出全面的、客观的评估结果。人工检测评估主要是依靠具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈，业务流程了解等方式，对评估对象进行全面的评估。

（5）渗透测试。在整个风险评估的过程中，结合外部渗透测试的方式发现系统中可能面临的安全威胁和已经存在的系统脆弱性。

4 结 语

基础地理信息系统是一项十分复杂的、庞大的系统工程，也是一项长期的战略任务，为了保证市县级国土资源基础地理信息系统安全必须针对不同业务研究建立科学的、可度量的、可操作的安全风险评估规范，对其信息安全保障的整体状态进行科学的、客观的评价与描述，从而确定所建设的信息安全保障体系的保障水平、保障实效和保障周期等问题。