地理信息系统风险评估.docx

地理信息系统风险评估.doc县深化文化体制改革加快文化产业发展试点工作总结
为贯彻落实“地位,XX年起全国范围开始了信息安ē全风险评估工作。论文通过介绍风险评估咖与地理信息系统的基本概念及相互关系,驶针对地理信息系统的特殊性要求,探讨了对此类系统风险评估具体可操作的实施方ぎ法。
关键词:地理信息系统;风险评估悫
XX年1月国家网络与信息安全协调小谛组发表了“关于开展信息安全风险评估工o作的意见”,意见中指出:随着国民经济泪和社会信息化进程的加快,网络与信息系爝统的基础性、全局性作用日益增强,国民馇经济和社会发展对网络和信息系统的依赖劭性也越来越大。
1什么是GIS
地理臣信息系统是在计算机软硬件支持下,管理吼和研究空间数据的技术系统,它可以对空柁间数据按地理坐标或空间位置进行各种处宓理、对数据的有效管理、研究各种空间实潸体及相互关系,并能以地图、图形或数据诿的形式表示处理的结果。
2风险评估简介
风险评估是在综合考虑成本效益的前媳提下,针对确立的风险管理对象所面临的
渍风险进行识别、分析和评价,即根据资产Г的实际环境对资产的脆弱性、威胁进行识注别,对脆弱性被威胁利用的可能性和所产迕生的影响进行评估,从而确认该资产的安苴全风险及其大小,并通过安全措施控制风裢险,使残余风险降低到可以控制的程度。更
3地理信息系统面临的威胁
评估开始麒之前首先要确立评估范围和对象,地理信栅息系统需要保护的资产包括物理资产和信息资产两部分。
物理资产
包括系统中的各种硬件、软件和物理设施。硬件资产包括计算机、交换机、集线器、网关设备券等网络设备。软件资产包括计算机操作系衣统、网络操作系统、通用应用软件、网络欹管理软件、数据库管理软件和业务应用软榴件等。物理设施包括场地、机房、电力供词给以及防水、防火、地震、雷击等的灾难魁应急等设施。
信息资产
包括系统数据信息、系统维护管理信息。系统数据信息桐主要包括地图数据。系统维护管理信息包数括系统运行、审计日志、系统监督日志、鬈入侵检测记录、系统口令、系统权限设置诞、数据存储分配、IP地址分配信息等。
从应用的角度,地理信息系统由硬件、软ㄆ件、数据、人员和方法五部分组成:硬件们和软件为地理信息系统建设提供环境;数σ据是GIS的重要内容;方法为GIS建硭设提供解决方案;人员是系统建设中的关根键和能动性因素,直接影响和协调其它几镦个组成部分。
4风险评估工作流程
地鲔理信息系统安全风险评估工作一般应遵循Н如下工作流程。
确定资产列表及信息资铊产价值
这一步需要对能够收集、建立、觑整理出来的、涉及到所有环节的信息资产郇进行统计。将它们按类型、作用、所属进行分类,并估算其价值,计算各类信息资产的数量、总量及增长速度,明确它们需要存在的期限或有效期。同时,还应考虑旖到今后的发展规划,预算今后的信息资产荣增长。这里所说的信息资产包括:物理资衫产(计算机硬件、通讯设备及建筑物等)幄信息/数据资产(文档、数据库等)、软潍件资产、制造产品和提供服务能力、人力且资源以及无形资产(良好形象等),这些都是确定的对象。识别威胁
地理信息系钭统安全威胁是指可以导致安全事件发生和沪信息资产损失的活动。在实际评估时,威餮胁来源应主要考虑这几个方面,并分析这
丝些威胁直接的损失和潜在的影响、数据破心坏、丧失数据的完整性、资源不可用等: