2006年1月国家 网络 与信息安全协调小组发表了“关于开展信息安全风险评估工作的意见”,意见中指出:随着国民 经济 和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会 发展 对网络和信息系统的依赖性也越来越大。
1 什么是GIS
地理信息系统(Geographic Information System,简称GIS)是在 计算 机软硬件支持下,管理和研究空间数据的技术系统,它可以对空间数据按地理坐标或空间位置进行各种处理、对数据的有效管理、研究各种空间实体及相互关系,并能以地图、图形或数据的形式表示处理的结果。
2 风险评估简介
风险评估是在综合考虑成本效益的前提下,针对确立的风险管理对象所面临的风险进行识别、分析和评价,即根据资产的实际环境对资产的脆弱性、威胁进行识别,对脆弱性被威胁利用的可能性和所产生的影响进行评估,从而确认该资产的安全风险及其大小,并通过安全措施控制风险,使残余风险降低到可以控制的程度。
3 地理信息系统面临的威胁
评估开始之前首先要确立评估范围和对象,地理信息系统需要保护的资产包括物理资产和信息资产两部分。
3.1 物理资产
包括系统中的各种硬件、软件和物理设施。硬件资产包括计算机、交换机、集线器、网关设备等网络设备。软件资产包括计算机操作系统、网络操作系统、通用应用软件、网络管理软件、数据库管理软件和业务应用软件等。物理设施包括场地、机房、电力供给以及防水、防火、地震、雷击等的灾难应急等设施。
3.2 信息资产
包括系统数据信息、系统维护管理信息。系统数据信息主要包括地图数据。系统维护管理信息包括系统运行、审计日志、系统监督日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、IP地址分配信息等。
从应用的角度,地理信息系统由硬件、软件、数据、人员和方法五部分组成:硬件和软件为地理信息系统建设提供环境;数据是GIS的重要内容;方法为GIS建设提供解决方案;人员是系统建设中的关键和能动性因素,直接影响和协调其它几个组成部分。
4 风险评估工作流程
地理信息系统安全风险评估工作一般应遵循如下工作流程。
4.1 确定资产列表及信息资产价值
这一步需要对能够收集、建立、整理出来的、涉及到所有环节的信息资产进行统计。将它们按类型、作用、所属进行分类,并估算其价值,计算各类信息资产的数量、总量及增长速度,明确它们需要存在的期限或有效期。同时,还应考虑到今后的发展规划,预算今后的信息资产增长。这里所说的信息资产包括:物理资产(计算机硬件、通讯设备及建筑物等)信息/数据资产(文档、数据库等)、软件资产、制造产品和提供服务能力、人力资源以及无形资产(良好形象等),这些都是确定的对象。
