政府网络安全风险评估的模型与应用范文

1政府网络安全风险评估的模型与应用

1.1安全风险评估应用模型三阶段。

在电子政务系统设的实施过程，主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中，安全风险分析主要作用于规划与设计阶段，安全等级评估主要作用于建设与施工阶段，安全检查评估主要作用于运行与管理阶段。安全风险分析，主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定，以及其风险的优先控制顺序，可以通过根据电子政务系统的需求，采用定性和定量的方法，制定相关的安全保障方案。安全等级评估，主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者，通过结合其自身的力量和相关的等级保护标准，进行安全等级评估的方式，称为自评估。而他评估则是指通过第三方权威专业评估机构，依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估，掌握系统动态、业务调整、网络威胁等动向，能够及时预防和处理系统中存在的安全漏洞、隐患，提高系统的防御能力，并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革，则需要重新对系统进行安全等级评估工作。安全检查评估，主要是在对漏洞扫描、模拟攻击，以及对安全隐患的检查等方面，对电子政务网络系统的运行状态进行监测，并给予解决问题的安全防范措施。

1.2安全风险分析的应用模型。

在政府网络安全风险评估工作中，主要是借助安全风险评测工具和第三方权威机构，对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此，本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中，着重需要考虑到的是其主要因素、基本流程和专家评判法。

（1）主要因素。

在资产上，政府的信息资源不但具有经济价值，还拥有者重要的政治因素。因此，要从关键和敏感度出发，确定信息资产。在不足上，政府电子政务网络系统，存在一定的脆弱性和被利用的潜在性。在威胁上，政府电子政务网络系统受到来自内、外部的威胁。在影响上，可能致使信息资源泄露，严重时造成重大的资源损失。

（2）基本流程。

根据安全需求，确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求，实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则，并确定其大小与等级。结合相关的系统安全需求和等级保护，以及费用应当与风险相平衡的原则，对风险控制方法加以探究，从而制定出有效的安全风险控制措施和解决方案。

（3）专家评判法。

在建设政府电子政务网络系统的前期决策中，由于缺少相关的数据和资料，因此，可以通过专家评判的方法，为政府电子政务网络系统提供一个大概的参考数值和结果，作为决策前期的基础。在安全区域内，根据网络拓扑结构（即物理层、网络层、系统层、应用层、数据层、用户层），应用需求和安全需求划分的安全边界和安全区域，建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点，分析其可能为资产所带来的影响，以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小，进而通过安全风险评估专家进行评判，得到系统的风险值及排序。在不同的安全层次中，每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法，能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。

2结语

本文主要通过对政府电子政务网络系统的建设中，所进行的安全风险评估进行研究，分析和探讨在规划与设计阶段、建设与实施阶段、运行与管理阶段三个阶段中政府网络安全建设的相关问题。并在各阶段分别采用安全风险分析、系统建设完成后的安全等级评估。在系统建成后的运行和管理阶段，采用的安全检查评估等方法，保障政府电子政务网络系统的安全。此外，在安全风险分析中，可操作的方法并不多，需要有关部门加强力度，加以研究和探析。在等级安全评估和安全检查评估两个阶段，可以充分利用第三方权威机构的评测工具，来加强政府网络的安全性。

作者：陈伟奇单位：广东省清远市连南县信息中心