引言:易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐�����,為您精心挑選了一篇圖書館網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估范例�����。如需獲取更多原創(chuàng)內(nèi)容�����,可隨時(shí)聯(lián)系我們的客服老師�。
為促進(jìn)高校圖書館的建設(shè)和發(fā)展�����,教育部在2015年底發(fā)布的《普通高等學(xué)校圖書館規(guī)程》中提出:圖書館的主要職能是教育職能和信息服務(wù)職能[1]����。當(dāng)前���,在“雙一流”建設(shè)的宏觀背景下����,高校圖書館緊隨時(shí)代脈搏�,利用云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)等技術(shù)服務(wù)于科研情報(bào)�、教育教學(xué)�����、資源保障���、決策支撐和社會(huì)大眾�����,并向智慧化方向發(fā)展。然而�,開放的網(wǎng)絡(luò)環(huán)境必然面臨大量網(wǎng)絡(luò)攻擊��。近年來(lái)互聯(lián)網(wǎng)安全事件越發(fā)頻繁,由此造成的財(cái)產(chǎn)損失難以估計(jì)�����。數(shù)據(jù)顯示��,2020年��,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)監(jiān)測(cè)發(fā)現(xiàn)我國(guó)境內(nèi)被篡改網(wǎng)站數(shù)量為243,709個(gè)����,被植入后門的網(wǎng)站數(shù)量為61,948個(gè),接收到網(wǎng)絡(luò)安全事件報(bào)告103,109件[2]�?;ヂ?lián)網(wǎng)安全威脅與風(fēng)險(xiǎn)正逐步滲入至社會(huì)各領(lǐng)域�����。高校圖書館因存在大量外部網(wǎng)絡(luò)對(duì)接需求����,在對(duì)接邊界處缺乏必要的安全防護(hù)設(shè)備�����,既不能對(duì)外部用戶進(jìn)行資源訪問控制�����,也不能進(jìn)行安全端口過濾,一定程度上存在很大的安全隱患[3]���。一旦高校圖書館內(nèi)部網(wǎng)絡(luò)受到安全威脅,則可能導(dǎo)致信息服務(wù)業(yè)務(wù)癱瘓��、讀者個(gè)人信息和教師科研成果被竊取��,對(duì)社會(huì)造成惡劣影響���。因此�,開展行之有效的風(fēng)險(xiǎn)評(píng)估工作���,保障其網(wǎng)絡(luò)安全的任務(wù)尤為重要�。并按風(fēng)險(xiǎn)評(píng)估結(jié)果采用適當(dāng)?shù)陌踩胧?jǐn)防網(wǎng)絡(luò)安全問題發(fā)生[4]。文章從網(wǎng)絡(luò)安全風(fēng)險(xiǎn)三大要素開展高校圖書館網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型的構(gòu)建及評(píng)估研究���。
1網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的重要性
各黨政機(jī)關(guān)����、企事業(yè)單位等網(wǎng)絡(luò)運(yùn)營(yíng)者均應(yīng)貫徹落實(shí)文件相關(guān)要求,以等級(jí)測(cè)評(píng)為主線���,確保信息和信息載體符合基線要求,以風(fēng)險(xiǎn)評(píng)估為著力點(diǎn)���,識(shí)別網(wǎng)絡(luò)安全隱患,確保風(fēng)險(xiǎn)可控�?��?梢哉f���,等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估可在相互補(bǔ)充��、有機(jī)結(jié)合的基礎(chǔ)上���,形成統(tǒng)一����、完善的安全測(cè)評(píng)體系���,兩者相得益彰[5]��。對(duì)高校圖書館而言�,建立合適的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型是一種主動(dòng)防御思想�����,可在安全事故發(fā)生前預(yù)警和響應(yīng)��,把威脅降至最低以保障資產(chǎn)完整��。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)所面臨的威脅��、存在的脆弱點(diǎn)、造成的影響�,以及三者綜合作用所帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估�����。實(shí)施過程即量化評(píng)價(jià)網(wǎng)絡(luò)安全事件會(huì)帶來(lái)的影響或損失的可能程度,并提出有針對(duì)性的防護(hù)對(duì)策與整改措施����。意義和作用體現(xiàn)如下:(1)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的基礎(chǔ)與起點(diǎn)所有安全建設(shè)都應(yīng)立足于安全風(fēng)險(xiǎn)評(píng)估之上��。只有正確地、全面地理解風(fēng)險(xiǎn)�,才能在控制�、降低����、轉(zhuǎn)移風(fēng)險(xiǎn)之間做出正確判斷,決定調(diào)用的資源量�、以何種代價(jià)�����、采取何種應(yīng)對(duì)措施去化解和控制風(fēng)險(xiǎn)。(2)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是需求驅(qū)動(dòng)和突出重點(diǎn)原則的具體體現(xiàn)理論上沒有絕對(duì)的安全�,風(fēng)險(xiǎn)永遠(yuǎn)客觀存在����。面對(duì)風(fēng)險(xiǎn)�����,必須堅(jiān)持從實(shí)際出發(fā)���,堅(jiān)持需求驅(qū)動(dòng)、突出重點(diǎn)。如果不計(jì)成本�����、片面地追求絕對(duì)安全�����、試圖完全規(guī)避風(fēng)險(xiǎn)則只能起到事倍功半的效果����。(3)加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前網(wǎng)絡(luò)安全工作的客觀需要和緊迫需求社會(huì)信息化進(jìn)程的加速發(fā)展�����,導(dǎo)致了人們對(duì)信息技術(shù)的依賴程度逐漸增大����,由此產(chǎn)生的社會(huì)網(wǎng)絡(luò)安全問題也逐漸突出。因此�����,必須上升到社會(huì)穩(wěn)定����、經(jīng)濟(jì)發(fā)展的高度來(lái)看待網(wǎng)絡(luò)安全問題的重要程度。而風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基本���,只有根據(jù)科學(xué)規(guī)范和標(biāo)準(zhǔn),大力加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作���,才能切實(shí)做好安全管理工作��。如何制定合理的���、適用于高校圖書館的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是較為關(guān)鍵的問題�,它需要結(jié)合風(fēng)險(xiǎn)評(píng)估理論與方法進(jìn)行選擇�。
2高校圖書館網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)
風(fēng)險(xiǎn)評(píng)估模型的構(gòu)建需要包括建立評(píng)估指標(biāo)體系、評(píng)估指標(biāo)標(biāo)準(zhǔn)化以及評(píng)估方法的確定等關(guān)鍵環(huán)節(jié)��。模型中包括了定性和定量數(shù)據(jù)�,用本質(zhì)特征作界定,以數(shù)量形式來(lái)表象����。因定量的數(shù)值型數(shù)據(jù)計(jì)量功能遠(yuǎn)大于定性數(shù)據(jù)���,模型設(shè)計(jì)中則將定性分析部分轉(zhuǎn)為定量分析��,可使計(jì)量結(jié)果更加精確。利用層次分析法結(jié)合模糊綜合分析法可在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型中有效解決定性指標(biāo)的定量處理。層次分析法可以計(jì)算影響網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有關(guān)因素的相對(duì)權(quán)重值����,對(duì)各因素權(quán)重值排序�����,做橫向比較;模糊綜合分析可以根據(jù)專家較為權(quán)威的主觀評(píng)估,計(jì)算出當(dāng)前網(wǎng)絡(luò)信息體系的級(jí)別,從而采取有效安全防范措施�����,確保網(wǎng)絡(luò)信息系統(tǒng)的安全�����。結(jié)合上述兩種方法和高校信息安全等級(jí)保護(hù)的現(xiàn)狀,可制定出簡(jiǎn)單易行的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型由《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》[6]可知�����,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分為資產(chǎn)���、脆弱性�����、威脅三大因素��,每個(gè)因素又包括若干個(gè)子因素(如圖2所示)。其中��,資產(chǎn)是由組織擁有或控制的����,預(yù)期能夠?yàn)榻M織帶來(lái)經(jīng)濟(jì)效益的資源,其子評(píng)估指標(biāo)集包括保密性���、完整性和可用性三方面:保密性是指網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過程����,即信息只為授權(quán)用戶使用�;完整性是指數(shù)據(jù)信息在傳輸��、存儲(chǔ)過程中不會(huì)被非法篡改或在遭到篡改后被立即發(fā)現(xiàn)�����;可用性是指信息用戶在被授予一定權(quán)限后能夠?qū)π畔①Y源進(jìn)行只讀�、修改等操作��。威脅就是對(duì)組織及資產(chǎn)構(gòu)成潛在破壞的因素或事件,其子評(píng)估指標(biāo)集包括環(huán)境因素和人為因素:環(huán)境因素是指自然災(zāi)害��、意外事故與非人為導(dǎo)致的設(shè)備故障���;人為因素是指非授權(quán)人員對(duì)系統(tǒng)的訪問或攻擊以及管理人員疏忽所導(dǎo)致的系統(tǒng)故障����。脆弱性是體系內(nèi)部存在的、可被威脅利用并會(huì)造成系統(tǒng)損壞或資產(chǎn)丟失的條件因素�����,其子評(píng)估指標(biāo)集包括有技術(shù)脆弱性和管理脆弱性��。
2.1構(gòu)建脆弱性評(píng)估模型
脆弱性也可稱為弱點(diǎn)或漏洞����,一旦被威脅成功利用就可能對(duì)資產(chǎn)造成損害���。而脆弱性評(píng)估就是對(duì)組織內(nèi)部資產(chǎn)的脆弱性進(jìn)行識(shí)別�����,并對(duì)具體資產(chǎn)脆弱性的嚴(yán)重程度進(jìn)行量化賦值����,它是信息安全風(fēng)險(xiǎn)評(píng)估工作中的重要組成部分�����,因?yàn)樵诮ㄔO(shè)網(wǎng)絡(luò)信息系統(tǒng)時(shí)��,即便采取了充分的防護(hù)措施,仍無(wú)法填補(bǔ)所有漏洞��。因此�,要想獲知體系內(nèi)部是否存在易遭受威脅的薄弱環(huán)節(jié)��,最佳的辦法就是對(duì)組織內(nèi)部資產(chǎn)的脆弱性進(jìn)行分析與評(píng)估�����,將評(píng)估結(jié)果作為確定安全策略與采取控制手段的參考依據(jù),以達(dá)到主動(dòng)防御的安全目的。根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019),安全通用要求下脆弱性的識(shí)別需要從技術(shù)與管理兩方面進(jìn)行,技術(shù)方面涉及安全物理環(huán)境��、安全通信網(wǎng)絡(luò)�����、安全區(qū)域邊界�����、安全計(jì)算環(huán)境和安全管理中心五個(gè)層面;管理方面可分為安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理五部分[7]�,前者與技術(shù)操作有關(guān)����,后者與管理手段有關(guān)�����。故高校圖書館網(wǎng)絡(luò)的脆弱性必須兼顧技術(shù)安全與管理規(guī)范兩方面�,針對(duì)不同的識(shí)別對(duì)象���,參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施�,以管理和技術(shù)雙輪驅(qū)動(dòng)作為安全保障手段。[8]在此基礎(chǔ)上,利用層次分析法與模糊綜合評(píng)價(jià)方法設(shè)計(jì)脆弱性評(píng)估模型,兩者的運(yùn)用在此為脆弱性識(shí)別提供了成熟的權(quán)重計(jì)算方案�����,最終可得到一個(gè)客觀����、合理的脆弱性評(píng)估結(jié)論。將上述脆弱性識(shí)別評(píng)估模型運(yùn)用到高校圖書館中需要對(duì)圖書館網(wǎng)絡(luò)體系中可能存在的脆弱性因素作更細(xì)致的識(shí)別,以便得到客觀�、準(zhǔn)確的評(píng)分從而能更精確的評(píng)判脆弱性等級(jí)���。(1)管理脆弱性識(shí)別及評(píng)估對(duì)管理脆弱性進(jìn)行評(píng)估需要有科學(xué)�����、合理的評(píng)定依據(jù)。參考《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)的安全通用要求要素,可作為評(píng)定管理脆弱性的依據(jù)?�?山Y(jié)合高校圖書館管理機(jī)制對(duì)參考要求作進(jìn)一步改進(jìn)�����,以涵蓋圖書館內(nèi)部管理工作的方方面面����。根據(jù)管理脆弱性下的若干因素及子因素�,制定評(píng)估等級(jí),每個(gè)等級(jí)標(biāo)準(zhǔn)用數(shù)值區(qū)間表示。然后以此為基準(zhǔn)�����,制訂專家評(píng)分表����,由若干專家對(duì)評(píng)估對(duì)象進(jìn)行分析與評(píng)估后為各指標(biāo)打分,從而對(duì)各個(gè)因素做出合理估算。再通過對(duì)專家評(píng)分意見進(jìn)行統(tǒng)計(jì)與歸納,最后可采用加法評(píng)分���、乘法評(píng)分或加乘評(píng)分等方法求出評(píng)估對(duì)象的總分值��,從而得到管理脆弱性的最終評(píng)估結(jié)果��。(2)技術(shù)脆弱性識(shí)別及評(píng)估參考《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)安全通用要求要素,羅列出技術(shù)脆弱性指標(biāo)體系����,根據(jù)表2所示����,對(duì)高校圖書館網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中技術(shù)脆弱性識(shí)別進(jìn)行設(shè)定�,構(gòu)成技術(shù)脆弱性評(píng)估體系(可根據(jù)高校圖書館功能情況增加等保安全擴(kuò)展要求要素)。并通過防火墻����、入侵防御����、事態(tài)感知���、行為管理�����、漏洞掃描等技術(shù)手段對(duì)高校圖書館現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)技術(shù)脆弱性指標(biāo)進(jìn)行賦值�,便可構(gòu)造出各個(gè)單因素模糊綜合評(píng)估矩陣����。再結(jié)合層次分析法計(jì)算各項(xiàng)指標(biāo)的權(quán)重值即可得出多因素模糊綜合評(píng)估的最終結(jié)果。
2.2脆弱性識(shí)別綜合評(píng)估結(jié)果
經(jīng)查閱大量文獻(xiàn)資料����,其中并沒有對(duì)技術(shù)脆弱性與管理脆弱性的權(quán)重賦值有權(quán)威說法���,因此認(rèn)定不能夠?qū)烧哌M(jìn)行模糊綜合評(píng)估而確定最終參考值。針對(duì)技術(shù)脆弱性與管理脆弱性是兩個(gè)不同的維度��,可建立一個(gè)二維綜合評(píng)估矩陣模型�����,對(duì)脆弱性識(shí)別進(jìn)行最直觀的綜合評(píng)估[9]���,如圖4所示�����。其中�,橫軸為技術(shù)脆弱性的評(píng)估�����,縱軸為管理脆弱性的評(píng)估�??筛鶕?jù)實(shí)際情況擬定矩陣模型的大小范圍。圖4示例的矩陣模型由5×5的區(qū)域?qū)Υ嗳跣宰R(shí)別進(jìn)行評(píng)估�。在該矩陣模型中A����、B���、C��、D區(qū)域?qū)儆诶硐氲拇嗳跣宰R(shí)別評(píng)估��,可將級(jí)別定為高。E���、F�、G、H、I區(qū)域?qū)儆诖卫硐氪嗳跣宰R(shí)別評(píng)估����,可將級(jí)別定為中�。其余區(qū)域則不理想�,定級(jí)為低。
2.3高校圖書館網(wǎng)絡(luò)安全整體風(fēng)險(xiǎn)評(píng)估
通過層次分析法和模糊綜合分析法可以同樣確定資產(chǎn)和威脅這兩個(gè)因素的評(píng)分。通常采用預(yù)先定義好的風(fēng)險(xiǎn)評(píng)估矩陣(表3),根據(jù)資產(chǎn)重要程度(0-4級(jí))����、安全威脅級(jí)別(低���、中�、高)���、安全脆弱性級(jí)別(低��、中�、高)等要素將風(fēng)險(xiǎn)評(píng)估定義為9個(gè)級(jí)別(0-8級(jí))��,從而最終確定高校圖書館內(nèi)部網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)級(jí)別�。風(fēng)險(xiǎn)評(píng)估結(jié)果可以系統(tǒng)地評(píng)估各種風(fēng)險(xiǎn)事件發(fā)生的概率大小���、概率分布���,及發(fā)生后損失的嚴(yán)重程度����。形成風(fēng)險(xiǎn)評(píng)估報(bào)告可以列出在風(fēng)險(xiǎn)評(píng)估中,發(fā)現(xiàn)的重要資產(chǎn)分布、脆弱性分布及綜合威脅分布,詳細(xì)描述發(fā)現(xiàn)的安全風(fēng)險(xiǎn)現(xiàn)狀及評(píng)估分析結(jié)果����,按照提前擬定的風(fēng)險(xiǎn)處置方案�����,并選取適當(dāng)?shù)拇胧﹣?lái)降低風(fēng)險(xiǎn)大小���,以加固網(wǎng)絡(luò)安全體系�����。
3結(jié)語(yǔ)
現(xiàn)如今���,移動(dòng)終端已成為移動(dòng)互聯(lián)網(wǎng)重要基礎(chǔ)設(shè)施���,成為網(wǎng)絡(luò)的延伸�,在新計(jì)算、新網(wǎng)絡(luò)、新應(yīng)用、新數(shù)據(jù)的不斷推廣下,入侵���、攻擊和病毒行為正跟隨網(wǎng)絡(luò)技術(shù)潮流向分布化、規(guī)模化���、趨利化、復(fù)雜化和間接化等方向發(fā)展。高校圖書館順應(yīng)時(shí)代潮流����,同時(shí)也必須主動(dòng)應(yīng)對(duì)新環(huán)境下的高校圖書館網(wǎng)絡(luò)安全威脅�,建立一種以管理措施為基礎(chǔ)���、技術(shù)措施為補(bǔ)充���,等保測(cè)評(píng)為核心����、風(fēng)險(xiǎn)評(píng)估為輔助的網(wǎng)絡(luò)安全綜合保障體系�����。文章旨在為該體系制定一種科學(xué)規(guī)范的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方案���,提前預(yù)判網(wǎng)絡(luò)安全事件����,增強(qiáng)內(nèi)部的安全保障機(jī)制�����,有助于實(shí)現(xiàn)高校圖書館信息化和網(wǎng)絡(luò)安全的協(xié)調(diào)發(fā)展�。
參考文獻(xiàn):
[1]中華人民共和國(guó)教育部.普通高等學(xué)校圖書館規(guī)程[DB/OL].
[2]中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.第47次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R].86-89.
[3]楊永青.新形勢(shì)下高校網(wǎng)絡(luò)安全防護(hù)路徑探究[J].蚌埠學(xué)院學(xué)報(bào)��,2021����,10(06):99-103.
[4]陳慶標(biāo)����,李風(fēng).基于ITBPM模型的圖書館信息安全風(fēng)險(xiǎn)評(píng)估[J].農(nóng)業(yè)圖書情報(bào)學(xué)刊,2016����,28(11):42-45.
[5]馬卓元�����,楊向東,李丹.等級(jí)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的聯(lián)系與區(qū)別[J].網(wǎng)絡(luò)安全和信息化���,2021(01):32.
[6]馬力��,祝國(guó)邦�,陸磊.《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全����,2019(02):77-84.
[7]劉鵬,孫謙��,賀寶華���,等.“技術(shù)與制度”雙輪驅(qū)動(dòng)�,保障校園網(wǎng)絡(luò)數(shù)據(jù)安全[J].中國(guó)教育信息化,2019(01):66-69.
[8]王建軍����,何平���,昝冬平.外包信息系統(tǒng)脆弱性評(píng)價(jià)模型研究[J].管理評(píng)論�����,2011(06):76-80.
作者:李旸 單位:蚌埠醫(yī)學(xué)院衛(wèi)生管理學(xué)院
