亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        數(shù)字檔案館信息安全風(fēng)險(xiǎn)自評(píng)估軟件設(shè)計(jì)研究

        2014-12-28 02:45:28趙寧燕錢萬里
        檔案與建設(shè) 2014年2期
        關(guān)鍵詞:檔案館信息安全資產(chǎn)

        趙寧燕 錢萬里

        (蘇州市職業(yè)大學(xué),蘇州大學(xué),江蘇蘇州,215000)

        檔案信息資源建設(shè)過程中,豐富多樣的數(shù)字信息大都由形成者使用和保管著,分散存儲(chǔ)在各自的單機(jī)、局域網(wǎng)機(jī)或互聯(lián)網(wǎng)絡(luò)機(jī)的信息系統(tǒng)中。由于網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)自身的缺陷和潛在的威脅、管理人員安全意識(shí)的淡漠,及越來越猖狂的黑客侵入竊密事件,來自不同層面、不同方面的信息安全風(fēng)險(xiǎn),時(shí)時(shí)刻刻威脅著數(shù)字檔案信息的安全。數(shù)字檔案信息安全管理形勢嚴(yán)峻、任務(wù)繁重、刻不容緩。

        信息安全風(fēng)險(xiǎn)評(píng)估是利用風(fēng)險(xiǎn)管理理論進(jìn)行檔案信息的安全管理,面對(duì)日益復(fù)雜的檔案信息管理系統(tǒng)和與日俱增的檔案數(shù)字信息資源,傳統(tǒng)手工的信息安全風(fēng)險(xiǎn)評(píng)估方法已難以勝任,考慮到檔案信息的封閉性和保密性特征,及檔案本身所具有的記憶、憑證和參考作用,也不適宜經(jīng)常進(jìn)行信息安全風(fēng)險(xiǎn)的委托評(píng)估。運(yùn)用風(fēng)險(xiǎn)管理理論,從風(fēng)險(xiǎn)管理角度來研究適合檔案行業(yè)特點(diǎn),具有可操作性和實(shí)用性[1]的數(shù)字檔案信息安全風(fēng)險(xiǎn)自評(píng)估軟件(以下簡稱“自評(píng)估軟件”),科學(xué)、系統(tǒng)地完成數(shù)字檔案信息安全風(fēng)險(xiǎn)的自評(píng)估,是解決檔案信息安全管理面臨困境的有效途徑之一。利用自評(píng)估軟件得出的評(píng)估結(jié)果,合理改進(jìn)安全措施,將數(shù)字檔案信息安全風(fēng)險(xiǎn)控制在可接受范圍內(nèi),對(duì)保障數(shù)字檔案館信息安全有著積極和深遠(yuǎn)的意義。

        1.自評(píng)估軟件設(shè)計(jì)標(biāo)準(zhǔn)

        自評(píng)估軟件設(shè)計(jì)除要遵守和執(zhí)行軟件設(shè)計(jì)、數(shù)字檔案信息建設(shè)規(guī)范《計(jì)算機(jī)管理軟件設(shè)計(jì)規(guī)范》《檔案信息計(jì)算機(jī)管理軟件設(shè)計(jì)》《檔案信息化建設(shè)指南》《數(shù)字檔案館建設(shè)指南》《電子文件管理》等相關(guān)標(biāo)準(zhǔn)外,還應(yīng)遵守和執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、國務(wù)院信息化工作辦公室[2006]9號(hào)《信息安全評(píng)估指南(征求意見稿)》、GB/18336-2001《信息技術(shù)安全性評(píng)估準(zhǔn)則》、GB/17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》等相關(guān)標(biāo)準(zhǔn)。

        2.自評(píng)估軟件設(shè)計(jì)流程

        自評(píng)估軟件設(shè)計(jì)時(shí),應(yīng)結(jié)合風(fēng)險(xiǎn)管理理念,充分考慮檔案業(yè)務(wù)和數(shù)字檔案館數(shù)據(jù)的特點(diǎn),從安全管理信息的角度出發(fā),遵守相關(guān)標(biāo)準(zhǔn),確定有效算法,采用科學(xué)方法和技巧,緊緊圍繞風(fēng)險(xiǎn)管理目標(biāo)進(jìn)行設(shè)計(jì)。自評(píng)估軟件應(yīng)能完成數(shù)字檔案館信息安全風(fēng)險(xiǎn)自評(píng)估過程的各項(xiàng)任務(wù):準(zhǔn)確識(shí)別數(shù)字檔案館信息資產(chǎn)、威脅及威脅所利用的脆弱點(diǎn),科學(xué)評(píng)估資產(chǎn)面臨的風(fēng)險(xiǎn),提供合理的風(fēng)險(xiǎn)評(píng)估結(jié)果及安全措施改進(jìn)建議,最大限度地為保障數(shù)字檔案館資產(chǎn)安全提供科學(xué)依據(jù),滿足數(shù)字檔案館信息安全管理的決策要求。

        軟件整體設(shè)計(jì)思想:首先,軟件自身應(yīng)具有較強(qiáng)的抵御風(fēng)險(xiǎn)能力,符合數(shù)字檔案信息安全風(fēng)險(xiǎn)評(píng)估要求,具有開放性特征、智能化能力和可擴(kuò)展性潛質(zhì);其次,軟件應(yīng)能與多種操作系統(tǒng)及應(yīng)用環(huán)境兼容,具有與主流風(fēng)險(xiǎn)評(píng)估輔助工具(如:漏洞掃描工具、滲透測試工具等)的數(shù)據(jù)接口功能;第三,選用的評(píng)估方法典型、完善,提供的評(píng)估算法先進(jìn)、成熟,得出的評(píng)估結(jié)果可信、實(shí)用,必要時(shí),能夠?qū)崟r(shí)提供安全預(yù)警信息;第四,軟件應(yīng)用界面友好、便捷,數(shù)據(jù)處理高效、簡潔,數(shù)據(jù)導(dǎo)入/導(dǎo)出安全、流暢;數(shù)據(jù)庫結(jié)構(gòu)靈活可變,數(shù)據(jù)庫間關(guān)聯(lián)性強(qiáng);數(shù)據(jù)輸出格式組合自由,結(jié)果輸出形式多樣可選。軟件設(shè)計(jì)流程圖如圖1。

        3.自評(píng)估軟件核心模塊設(shè)計(jì)思路

        3.1 數(shù)據(jù)采集模塊

        圖1 自評(píng)估軟件設(shè)計(jì)流程圖

        圖2 數(shù)字檔案館指標(biāo)體系

        數(shù)據(jù)采集指的是收集滿足自評(píng)估過程中所需的各類信息[2]。數(shù)據(jù)采集模塊主要負(fù)責(zé)完成數(shù)字檔案館資產(chǎn)、威脅、脆弱性三項(xiàng)關(guān)鍵要素的數(shù)據(jù)采集工作及安全措施確認(rèn)工作。組織、管理和存儲(chǔ)所采集的數(shù)據(jù),形成數(shù)字檔案館資產(chǎn)數(shù)據(jù)庫,這三項(xiàng)關(guān)鍵要素?cái)?shù)據(jù)的客觀、精準(zhǔn)和真實(shí)性,直接影響到數(shù)字檔案館信息安全風(fēng)險(xiǎn)指標(biāo)體系的建立和風(fēng)險(xiǎn)計(jì)算結(jié)果,是數(shù)字檔案館信息安全風(fēng)險(xiǎn)評(píng)估工作的基礎(chǔ)工作。

        step1:以數(shù)字檔案館資產(chǎn)基于表現(xiàn)形式分類的原則,設(shè)計(jì)參數(shù)輸入界面,主要包含檔案數(shù)據(jù)、軟件、硬件、服務(wù)、人員等五大類和若干小類[3]參數(shù)的輸入,采集資產(chǎn)分類數(shù)據(jù)庫。提供資產(chǎn)管理工具、主動(dòng)探測工具、手工記錄表格等方式,輔助參數(shù)的采集。

        step2:資產(chǎn)威脅主要來源于組織管理、環(huán)境影響、人為因素、硬件設(shè)備、網(wǎng)絡(luò)系統(tǒng)、館藏檔案數(shù)據(jù)等六個(gè)方面,考慮到一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅,一個(gè)威脅也可能對(duì)不同的資產(chǎn)造成影響[4],參數(shù)輸入界面設(shè)計(jì)成多選項(xiàng)操作模式,允許用戶根據(jù)實(shí)際環(huán)境有選擇地輸入資產(chǎn)可能面臨的威脅源,準(zhǔn)確地采集資產(chǎn)威脅數(shù)據(jù)庫。模塊提供IDS/IPS采樣分析工具、安全審計(jì)工具、人員訪談數(shù)據(jù)接入模式等,幫助用戶快速完成資產(chǎn)所面臨威脅數(shù)據(jù)的采集。

        step3:從技術(shù)脆弱和管理脆弱兩個(gè)方面設(shè)計(jì)參數(shù)輸入界面,采集資產(chǎn)脆弱性數(shù)據(jù)庫。允許用戶根據(jù)已有的安全措施,輸入資產(chǎn)實(shí)際的脆弱源,并能根據(jù)安全措施的改進(jìn),自動(dòng)調(diào)整脆弱源。提供漏洞掃描工具、滲透測試工具,快速、準(zhǔn)確地協(xié)助對(duì)現(xiàn)有環(huán)境下資產(chǎn)脆弱源數(shù)據(jù)的采集。

        step4:參照《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》,在確認(rèn)和識(shí)別其安全措施的基礎(chǔ)上,分別對(duì)資產(chǎn)數(shù)據(jù)庫進(jìn)行資產(chǎn)保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性、可控性和可追溯性[5]等安全屬性的賦值,安全屬性對(duì)風(fēng)險(xiǎn)所起作用的比重用“權(quán)重”因子區(qū)分;對(duì)資產(chǎn)威脅數(shù)據(jù)庫進(jìn)行資產(chǎn)威脅出現(xiàn)頻率賦值;對(duì)資產(chǎn)脆弱數(shù)據(jù)庫進(jìn)行資產(chǎn)脆弱嚴(yán)重程度賦值,形成自評(píng)估軟件資產(chǎn)評(píng)估三項(xiàng)關(guān)鍵要素?cái)?shù)據(jù)庫,該庫與前面采集的三個(gè)數(shù)據(jù)庫進(jìn)行關(guān)聯(lián),隨著采集庫數(shù)據(jù)的改變,能自動(dòng)、動(dòng)態(tài)地更新該庫中相應(yīng)的數(shù)據(jù)。

        3.2 評(píng)估指標(biāo)體系模塊

        信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)復(fù)雜的動(dòng)態(tài)系統(tǒng)工程,評(píng)估因素繁多、零亂,相互關(guān)系交叉、重疊,許多評(píng)估因素可以量化,而有些因素卻難以量化[6]。自評(píng)估軟件采用綜合評(píng)估思想,用指標(biāo)體系的方式層次化分解評(píng)估因素,清晰地勾勒出數(shù)字檔案館信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系脈絡(luò),形象地反映出數(shù)字檔案館信息安全風(fēng)險(xiǎn)評(píng)估的全貌關(guān)系。由于數(shù)字檔案館自身所處的物理環(huán)境和地理位置不同、安全措施實(shí)施的差異,信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系將有所不同。限于篇幅,文中列出了數(shù)字檔案館風(fēng)險(xiǎn)評(píng)估通用指標(biāo)體系的6個(gè)一級(jí)指標(biāo)和25個(gè)二級(jí)指標(biāo)。(如圖2)指標(biāo)庫為開放性設(shè)計(jì),允許用戶根據(jù)實(shí)際情況,自行增加下級(jí)指標(biāo)層,最多允許增加到五級(jí)指標(biāo)層,并能保存為自己的評(píng)估指標(biāo)體系庫。

        數(shù)字檔案館指標(biāo)體系的建立,使雜亂、無序的風(fēng)險(xiǎn)評(píng)估因素層次分明、歸類清晰,使復(fù)雜的評(píng)估過程化繁為簡、規(guī)范有序,且有利于信息安全措施的分塊實(shí)施、分層改進(jìn)。體系模塊內(nèi)嵌多種體系指標(biāo)量化算法,如:標(biāo)度法、模糊數(shù)法、專家調(diào)查表法、特征向量法、順序指標(biāo)量化方法等[7]。力爭能最大限度、最科學(xué)地量化評(píng)估對(duì)象的所有評(píng)估因素。

        3.3 評(píng)估模型庫模塊

        用戶在完成相關(guān)數(shù)據(jù)采集和指標(biāo)體系建立的基礎(chǔ)上,選擇一種或多種適合的評(píng)估模型,快捷、準(zhǔn)確地完成對(duì)自身數(shù)字檔案館信息安全風(fēng)險(xiǎn)的自評(píng)估工作。評(píng)估模型庫中內(nèi)嵌多個(gè)典型、成熟、算法多樣的風(fēng)險(xiǎn)評(píng)估模型,以適應(yīng)不同數(shù)字檔案館信息安全風(fēng)險(xiǎn)評(píng)估環(huán)境。評(píng)估模型主要分成三大類:a.基于多元統(tǒng)計(jì)的評(píng)估模型:故障樹分析法(FTA)、事件樹分析法、因子分析法、風(fēng)險(xiǎn)圖法;b.基于知識(shí)與決策技術(shù)的評(píng)估模型:因素分析法、邏輯分析法、群決策方法;c.基于系統(tǒng)的綜合評(píng)估方法:模糊理論綜合評(píng)估模型FAHP、模糊神經(jīng)網(wǎng)絡(luò)綜合評(píng)估模型FNN、灰色理論評(píng)估模型AHP[8]等。

        該模塊為開放性設(shè)計(jì),允許用戶自行添加和編輯評(píng)估模型,刪除不用或不需要的評(píng)估模型,逐步積累成通用或?qū)S玫脑u(píng)估模型庫。自評(píng)估完成后,軟件會(huì)以多種形式給出評(píng)估結(jié)果報(bào)告,并從降低風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)三個(gè)角度,提出科學(xué)、合理的風(fēng)險(xiǎn)處理建議。必要時(shí),評(píng)估結(jié)果可與預(yù)先設(shè)置的安全預(yù)警指標(biāo)進(jìn)行比對(duì),形成安全預(yù)警提示報(bào)告。

        3.4 輔助評(píng)估工具管理模塊

        數(shù)字檔案館建設(shè)規(guī)劃、設(shè)計(jì)、運(yùn)行維護(hù)的每個(gè)階段都需要進(jìn)行信息安全風(fēng)險(xiǎn)自評(píng)估,這是貫穿于整個(gè)建設(shè)過程中的一項(xiàng)常態(tài)工作,如果所有參數(shù)都采用手工輸入,將是一項(xiàng)無法想象的復(fù)雜、繁瑣、高強(qiáng)度、高難度的工作。管理模塊提供流行、成熟的輔助評(píng)估工具,來幫助用戶快速完成自評(píng)估中資產(chǎn)數(shù)據(jù)采集、指標(biāo)體系建立等基礎(chǔ)工作,以提高評(píng)估效率。

        管理模塊提供的輔助評(píng)估工具類型有:漏洞掃描工具、滲透測試工具、入侵檢測工具。該模塊為開放性設(shè)計(jì),可隨時(shí)添加、刪除各類輔助評(píng)估工具,并能自適應(yīng)最新輔助評(píng)估工具,評(píng)估工具產(chǎn)生的數(shù)據(jù)可以無縫對(duì)接到用戶定義的自評(píng)估數(shù)據(jù)庫中,成為后續(xù)風(fēng)險(xiǎn)自評(píng)估的部分或全部數(shù)據(jù)。

        3.5 通用模塊

        與常用管理軟件相同,自評(píng)估軟件也需要若干通用模塊來協(xié)助完成自評(píng)估過程中數(shù)據(jù)處理、存儲(chǔ)和傳輸、結(jié)果輸出、報(bào)(圖)表打印等任務(wù),和自評(píng)估軟件核心模塊共同組成一個(gè)功能完整、操作簡便的自評(píng)估軟件。

        通用模塊含用戶管理模塊:用戶身份驗(yàn)證、用戶權(quán)限設(shè)定、用戶增加/刪除、用戶密碼更新等;系統(tǒng)設(shè)置模塊:軟件使用環(huán)境設(shè)置、網(wǎng)絡(luò)設(shè)置、郵件設(shè)置、數(shù)據(jù)更新時(shí)間設(shè)置、數(shù)據(jù)保存目錄設(shè)置、日志管理等;數(shù)據(jù)導(dǎo)入/導(dǎo)出模塊:接收外部專業(yè)工具產(chǎn)生的多種格式數(shù)據(jù),支持本地保存、發(fā)送至郵件、文件傳輸?shù)刃问綄?dǎo)出多種格式數(shù)據(jù);數(shù)據(jù)管理模塊:維護(hù)各數(shù)據(jù)庫數(shù)據(jù)(增加、刪除、編輯),支持對(duì)數(shù)據(jù)庫數(shù)據(jù)的檢索、分類、匯總、查詢和瀏覽;文檔打印模塊:支持各類文檔、圖表、報(bào)表的變格式輸出;幫助模塊:軟件用戶手冊(cè)、版本信息、升級(jí)信息等。

        4.自評(píng)估軟件應(yīng)用價(jià)值

        盡管數(shù)字檔案館在建設(shè)的各個(gè)時(shí)期會(huì)充分考慮信息的安全,會(huì)盡最大的力量,采用最先進(jìn)的技術(shù)手段和各種安全措施來防護(hù)數(shù)字檔案可能受到的威脅,避免可能的脆弱性,然而,世上沒有“永遠(yuǎn)、絕對(duì)”的安全環(huán)境和“確保、肯定”的無漏洞信息系統(tǒng),受各種因素影響和各種條件限制,在安全措施缺失或薄弱的情形下,資產(chǎn)總是客觀存在著各式各樣的安全風(fēng)險(xiǎn)。應(yīng)用自評(píng)估軟件可以在數(shù)字檔案館建設(shè)和運(yùn)行的各個(gè)生命周期中進(jìn)行定期或不定期的信息安全風(fēng)險(xiǎn)自評(píng)估,通過持續(xù)不斷地循環(huán)評(píng)估,實(shí)時(shí)、動(dòng)態(tài)地確定信息安全風(fēng)險(xiǎn)等級(jí),進(jìn)行合理的安全措施改進(jìn),保障數(shù)字檔案信息在相對(duì)時(shí)間內(nèi)的“絕對(duì)”安全。

        自評(píng)估軟件的使用,將會(huì)規(guī)范數(shù)字檔案信息安全風(fēng)險(xiǎn)自評(píng)估的流程,解決評(píng)估過程中繁瑣的數(shù)據(jù)采集工作,理順雜亂無序的評(píng)估因素指標(biāo),提高評(píng)估時(shí)效,使評(píng)估結(jié)果更加客觀、可信,對(duì)數(shù)字檔案館信息安全風(fēng)險(xiǎn)評(píng)估長效機(jī)制的建立和實(shí)施,有著極高的應(yīng)用價(jià)值。

        *本文系國家檔案局科技項(xiàng)目計(jì)劃“數(shù)字檔案館信息安全風(fēng)險(xiǎn)自評(píng)估軟件的研究與開發(fā)”(2009-X-20)研究成果之一。

        [1]項(xiàng)文新.檔案信息安全風(fēng)險(xiǎn)評(píng)估流程[J].檔案學(xué)研究 2012(1):76-79.

        [2]張健.電子文件信息安全管理評(píng)估體系研究[J].檔案學(xué)通訊 2011(4):67-69.

        [3]中華人民共和國國家標(biāo)準(zhǔn).信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T 20984-2007:6-7“表1一種基于表現(xiàn)形式的資產(chǎn)分類方法”.

        [4]張澤虹.信息安全管理與風(fēng)險(xiǎn)評(píng)估[M].北京:電子工業(yè)出版社,2010:136.

        [5]項(xiàng)文新.檔案信息安全保障體系框架研究[J].檔案學(xué)研究 2010(2):68-73.

        [6][8]吳曉平,付鈺.信息安全風(fēng)險(xiǎn)評(píng)估教程[M].武漢:武漢大學(xué)出版社,2011:54.

        [7]吳曉平,付鈺.信息安全風(fēng)險(xiǎn)評(píng)估教程[M].武漢:武漢大學(xué)出版社,2011.

        猜你喜歡
        檔案館信息安全資產(chǎn)
        輕資產(chǎn)型企業(yè)需自我提升
        商周刊(2018年19期)2018-10-26 03:31:24
        保護(hù)信息安全要滴水不漏
        央企剝離水電資產(chǎn)背后
        能源(2017年7期)2018-01-19 05:05:02
        高校信息安全防護(hù)
        關(guān)于縣級(jí)檔案館館藏檔案開發(fā)利用的思考
        全省部分檔案館新館掠影
        浙江檔案(2017年10期)2017-03-31 06:27:31
        保護(hù)個(gè)人信息安全刻不容緩
        when與while檔案館
        關(guān)于資產(chǎn)減值會(huì)計(jì)問題的探討
        信息安全
        江蘇年鑒(2014年0期)2014-03-11 17:10:07
        日本精品免费看99久久| 全部亚洲国产一区二区| 免费亚洲一区二区三区av| 亚洲a∨无码男人的天堂| 久久精品人成免费| 久久丁香花综合狼人| 蜜桃传媒免费观看视频| 中文字幕av伊人av无码av| 日本少妇被黑人xxxxx| 午夜精品一区二区三区无码不卡| 久久狠狠髙潮曰十八女人| 熟女一区二区三区在线观看| 日本怡春院一区二区三区| 日本午夜精品理论片A级APP发布| av免费看网站在线观看| 中文乱码字字幕在线国语| 欧美性巨大╳╳╳╳╳高跟鞋| 国产成人精品免费久久久久| 精品国产夫妻自拍av| 无码精品一区二区三区在线| 成人无码免费一区二区三区| 人妻精品一区二区三区视频| 免费看片的网站国产亚洲| 国产v片在线播放免费无码| 亚洲成成品网站源码中国有限公司 | 先锋五月婷婷丁香草草| 亚洲精品无码久久毛片| 搡老女人老妇女老熟妇69| 亚洲色图三级在线观看| 国产高清在线精品一区二区三区| 无码人妻专区免费视频| 国产美女一区三区在线观看| 风韵人妻丰满熟妇老熟| 三年片免费观看大全有| 日韩中文网| 亚洲三区av在线播放| 欧美老肥婆牲交videos| 中文字幕无线码中文字幕| 免费国产在线精品三区| 亚洲精品中文字幕乱码影院| 在线亚洲午夜理论av大片|