地理信息系統風險評估

摘 要：風險評估在信息安全建設中占有重要地位，2006年起全國范圍開始了信息安全風險評估工作。論文通過介紹風險評估與地理信息系統的基本概念及相互關系，針對地理信息系統的特殊性要求，探討了對此類系統風險評估具體可操作的實施方法。

關鍵詞：地理信息系統；風險評估

中圖分類號：F273.1 文獻標識碼：A 文章編號：1672-3198（2007）07-0189-02

2006年1月國家網絡與信息安全協調小組發表了“關于開展信息安全風險評估工作的意見”，意見中指出：隨著國民經濟和社會信息化進程的加快，網絡與信息系統的基礎性、全局性作用日益增強，國民經濟和社會發展對網絡和信息系統的依賴性也越來越大。

1 什么是GIS

地理信息系統（Geographic Information System，簡稱GIS）是在計算機軟硬件支持下，管理和研究空間數據的技術系統，它可以對空間數據按地理坐標或空間位置進行各種處理、對數據的有效管理、研究各種空間實體及相互關系，并能以地圖、圖形或數據的形式表示處理的結果。

2 風險評估簡介

風險評估是在綜合考慮成本效益的前提下，針對確立的風險管理對象所面臨的風險進行識別、分析和評價，即根據資產的實際環境對資產的脆弱性、威脅進行識別，對脆弱性被威脅利用的可能性和所產生的影響進行評估，從而確認該資產的安全風險及其大小，并通過安全措施控制風險，使殘余風險降低到可以控制的程度。

3 地理信息系統面臨的威脅

評估開始之前首先要確立評估范圍和對象，地理信息系統需要保護的資產包括物理資產和信息資產兩部分。

3.1 物理資產

包括系統中的各種硬件、軟件和物理設施。硬件資產包括計算機、交換機、集線器、網關設備等網絡設備。軟件資產包括計算機操作系統、網絡操作系統、通用應用軟件、網絡管理軟件、數據庫管理軟件和業務應用軟件等。物理設施包括場地、機房、電力供給以及防水、防火、地震、雷擊等的災難應急等設施。

3.2 信息資產

包括系統數據信息、系統維護管理信息。系統數據信息主要包括地圖數據。系統維護管理信息包括系統運行、審計日志、系統監督日志、入侵檢測記錄、系統口令、系統權限設置、數據存儲分配、IP地址分配信息等。

從應用的角度，地理信息系統由硬件、軟件、數據、人員和方法五部分組成:硬件和軟件為地理信息系統建設提供環境；數據是GIS的重要內容；方法為GIS建設提供解決方案；人員是系統建設中的關鍵和能動性因素，直接影響和協調其它幾個組成部分。

4 風險評估工作流程

地理信息系統安全風險評估工作一般應遵循如下工作流程。

4.1 確定資產列表及信息資產價值

這一步需要對能夠收集、建立、整理出來的、涉及到所有環節的信息資產進行統計。將它們按類型、作用、所屬進行分類，并估算其價值，計算各類信息資產的數量、總量及增長速度，明確它們需要存在的期限或有效期。同時，還應考慮到今后的發展規劃，預算今后的信息資產增長。這里所說的信息資產包括:物理資產(計算機硬件、通訊設備及建筑物等)信息/數據資產(文檔、數據庫等)、軟件資產、制造產品和提供服務能力、人力資源以及無形資產(良好形象等)，這些都是確定的對象。

4.2 識別威脅

地理信息系統安全威脅是指可以導致安全事件發生和信息資產損失的活動。在實際評估時，威脅來源應主要考慮這幾個方面，并分析這些威脅直接的損失和潛在的影響、數據破壞、喪失數據的完整性、資源不可用等：

（1）系統本身的安全威脅。

非法設備接入、終端病毒感染、軟件跨平臺出錯、操作系統缺陷、有缺陷的地理信息系統體系結構的設計和維護出錯。

（2）人員的安全威脅。

由于內部人員原因導致的信息系統資源不可用、內部人員篡改數據、越權使用或偽裝成授權用戶的操作、未授權外部人員訪問系統資源、內部用戶越權執行未獲準訪問權限的操作。

（3）外部環境的安全威脅。

包括電力系統故障可能導致系統的暫停或服務中斷。

（4）自然界的安全威脅。

包括洪水、颶風、地震等自然災害可能引起系統的暫停或服務中斷。

4.3 識別脆弱性

地理信息系統存在的脆弱性(安全漏洞)是地理信息系統自身的一種缺陷，本身并不對地理信息系統構成危害，在一定的條件得以滿足時，就可能被利用并對地理信息系統造成危害。

4.4 分析現有的安全措施

對于已采取控制措施的有效性，需要進行確認，繼續保持有效的控制措施，以避免不必要的工作和費用，對于那些確認為不適當的控制，應取消或采用更合適的控制替代。

4.5 確定風險

風險是資產所受到的威脅、存在的脆弱點及威脅利用脆弱點所造成的潛在影響三方面共同作用的結果。風險是威脅發生的可能性、脆弱點被威脅利用的可能性和威脅的潛在影響的函數，記為：

Rc= (Pt， Pv， I)

式中：Rc為資產受到威脅的風險系數；Pt為威脅發生的可能性；Pv為脆弱點被威脅利用的可能性；I為威脅的潛在影響(可用資產的相對價值V代替)。為了便于計算，通常將三者相乘或相加，得到風險系數。

4.6 評估結果的處置措施

在確定了地理信息系統安全風險后，就應設計一定的策略來處置評估得到的信息系統安全風險。根據風險計算得出風險值，確定風險等級，對不可接受的風險選擇適當的處理方式及控制措施，并形成風險處理計劃。風險處理的方式包括：回避風險、降低風險(降低發生的可能性或減小后果)、轉移風險和接受風險。

究竟采取何種風險處置措施，需要對地理信息系統進行安全需求分析，但采取了上述風險處置措施，仍然不是十全十美，絕對不存在風險的信息系統，人們追求的所謂安全的地理信息系統，實際是指地理信息系統在風險評估并做出風險控制后，仍然存在的殘余風險可被接受的地理信息系統。所謂安全的地理信息系統是相對的。

4.7 殘余風險的評價

對于不可接受范圍內的風險，應在選擇了適當的控制措施后，對殘余風險進行評價，判定風險是否已經降低到可接受的水平，為風險管理提供輸入。殘余風險的評價可以依據組織風險評估的準則進行，考慮選擇的控制措施和已有的控制措施對于威脅發生可能性的降低。某些風險可能在選擇了適當的控制措施后仍處于不可接受的風險范圍內，應通過管理層依據風險接受的原則，考慮是否接受此類風險或增加控制措施。

參考文獻

［1］賈穎禾.國務院信息化工作辦公室網絡與信息安全組.信息安全風險評估［J］.網絡安全技術與應用，2004，(7).