引言:易發表網憑借豐富的文秘實踐,為您精心挑選了一篇圖書館網絡安全風險評估范例。如需獲取更多原創內容����,可隨時聯系我們的客服老師�。
為促進高校圖書館的建設和發展,教育部在2015年底發布的《普通高等學校圖書館規程》中提出:圖書館的主要職能是教育職能和信息服務職能[1]。當前,在“雙一流”建設的宏觀背景下,高校圖書館緊隨時代脈搏��,利用云計算�、移動互聯�����、大數據等技術服務于科研情報���、教育教學���、資源保障、決策支撐和社會大眾�,并向智慧化方向發展����。然而,開放的網絡環境必然面臨大量網絡攻擊��。近年來互聯網安全事件越發頻繁,由此造成的財產損失難以估計。數據顯示,2020年,國家計算機網絡應急技術處理協調中心(CNCERT)監測發現我國境內被篡改網站數量為243,709個���,被植入后門的網站數量為61�����,948個����,接收到網絡安全事件報告103,109件[2]?���;ヂ摼W安全威脅與風險正逐步滲入至社會各領域��。高校圖書館因存在大量外部網絡對接需求���,在對接邊界處缺乏必要的安全防護設備�����,既不能對外部用戶進行資源訪問控制���,也不能進行安全端口過濾��,一定程度上存在很大的安全隱患[3]。一旦高校圖書館內部網絡受到安全威脅�����,則可能導致信息服務業務癱瘓、讀者個人信息和教師科研成果被竊取����,對社會造成惡劣影響���。因此,開展行之有效的風險評估工作��,保障其網絡安全的任務尤為重要���。并按風險評估結果采用適當的安全措施,謹防網絡安全問題發生[4]�����。文章從網絡安全風險三大要素開展高校圖書館網絡安全風險評估模型的構建及評估研究。
1網絡安全風險評估的重要性
各黨政機關�、企事業單位等網絡運營者均應貫徹落實文件相關要求�,以等級測評為主線,確保信息和信息載體符合基線要求�����,以風險評估為著力點����,識別網絡安全隱患�,確保風險可控?�?梢哉f,等級測評和風險評估可在相互補充�����、有機結合的基礎上,形成統一�、完善的安全測評體系�,兩者相得益彰[5]。對高校圖書館而言�����,建立合適的網絡安全風險評估模型是一種主動防御思想,可在安全事故發生前預警和響應��,把威脅降至最低以保障資產完整�。網絡安全風險評估是對信息資產所面臨的威脅�、存在的脆弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估����。實施過程即量化評價網絡安全事件會帶來的影響或損失的可能程度��,并提出有針對性的防護對策與整改措施。意義和作用體現如下:(1)網絡安全風險評估是信息安全建設的基礎與起點所有安全建設都應立足于安全風險評估之上。只有正確地���、全面地理解風險�����,才能在控制�、降低�����、轉移風險之間做出正確判斷��,決定調用的資源量����、以何種代價、采取何種應對措施去化解和控制風險�。(2)網絡安全風險評估是需求驅動和突出重點原則的具體體現理論上沒有絕對的安全��,風險永遠客觀存在���。面對風險�,必須堅持從實際出發,堅持需求驅動、突出重點��。如果不計成本、片面地追求絕對安全、試圖完全規避風險則只能起到事倍功半的效果。(3)加強風險評估工作是當前網絡安全工作的客觀需要和緊迫需求社會信息化進程的加速發展���,導致了人們對信息技術的依賴程度逐漸增大�,由此產生的社會網絡安全問題也逐漸突出�。因此����,必須上升到社會穩定���、經濟發展的高度來看待網絡安全問題的重要程度。而風險評估是風險管理的基本��,只有根據科學規范和標準���,大力加強風險評估工作�,才能切實做好安全管理工作。如何制定合理的���、適用于高校圖書館的網絡安全風險評估是較為關鍵的問題,它需要結合風險評估理論與方法進行選擇���。
2高校圖書館網絡安全風險評估設計
風險評估模型的構建需要包括建立評估指標體系����、評估指標標準化以及評估方法的確定等關鍵環節。模型中包括了定性和定量數據,用本質特征作界定�����,以數量形式來表象���。因定量的數值型數據計量功能遠大于定性數據�����,模型設計中則將定性分析部分轉為定量分析���,可使計量結果更加精確�����。利用層次分析法結合模糊綜合分析法可在網絡安全風險評估模型中有效解決定性指標的定量處理���。層次分析法可以計算影響網絡安全風險有關因素的相對權重值,對各因素權重值排序���,做橫向比較;模糊綜合分析可以根據專家較為權威的主觀評估�,計算出當前網絡信息體系的級別�����,從而采取有效安全防范措施�����,確保網絡信息系統的安全�。結合上述兩種方法和高校信息安全等級保護的現狀�,可制定出簡單易行的網絡安全風險評估模型由《信息安全技術信息安全風險評估實施指南》[6]可知,網絡安全風險分為資產、脆弱性���、威脅三大因素�����,每個因素又包括若干個子因素(如圖2所示)����。其中�,資產是由組織擁有或控制的�,預期能夠為組織帶來經濟效益的資源����,其子評估指標集包括保密性�、完整性和可用性三方面:保密性是指網絡信息不被泄露給非授權的用戶、實體或過程���,即信息只為授權用戶使用�����;完整性是指數據信息在傳輸�����、存儲過程中不會被非法篡改或在遭到篡改后被立即發現���;可用性是指信息用戶在被授予一定權限后能夠對信息資源進行只讀、修改等操作。威脅就是對組織及資產構成潛在破壞的因素或事件��,其子評估指標集包括環境因素和人為因素:環境因素是指自然災害、意外事故與非人為導致的設備故障�;人為因素是指非授權人員對系統的訪問或攻擊以及管理人員疏忽所導致的系統故障�����。脆弱性是體系內部存在的��、可被威脅利用并會造成系統損壞或資產丟失的條件因素�����,其子評估指標集包括有技術脆弱性和管理脆弱性。
2.1構建脆弱性評估模型
脆弱性也可稱為弱點或漏洞,一旦被威脅成功利用就可能對資產造成損害。而脆弱性評估就是對組織內部資產的脆弱性進行識別��,并對具體資產脆弱性的嚴重程度進行量化賦值�����,它是信息安全風險評估工作中的重要組成部分,因為在建設網絡信息系統時,即便采取了充分的防護措施�����,仍無法填補所有漏洞。因此��,要想獲知體系內部是否存在易遭受威脅的薄弱環節����,最佳的辦法就是對組織內部資產的脆弱性進行分析與評估�����,將評估結果作為確定安全策略與采取控制手段的參考依據,以達到主動防御的安全目的����。根據《網絡安全等級保護基本要求》(GB/T22239-2019)����,安全通用要求下脆弱性的識別需要從技術與管理兩方面進行�����,技術方面涉及安全物理環境、安全通信網絡����、安全區域邊界、安全計算環境和安全管理中心五個層面�;管理方面可分為安全管理制度��、安全管理機構��、安全管理人員、安全建設管理和安全運維管理五部分[7]���,前者與技術操作有關,后者與管理手段有關����。故高校圖書館網絡的脆弱性必須兼顧技術安全與管理規范兩方面����,針對不同的識別對象�,參照相應的技術或管理標準實施���,以管理和技術雙輪驅動作為安全保障手段。[8]在此基礎上�����,利用層次分析法與模糊綜合評價方法設計脆弱性評估模型���,兩者的運用在此為脆弱性識別提供了成熟的權重計算方案,最終可得到一個客觀��、合理的脆弱性評估結論。將上述脆弱性識別評估模型運用到高校圖書館中需要對圖書館網絡體系中可能存在的脆弱性因素作更細致的識別�����,以便得到客觀、準確的評分從而能更精確的評判脆弱性等級�����。(1)管理脆弱性識別及評估對管理脆弱性進行評估需要有科學����、合理的評定依據。參考《網絡安全等級保護基本要求》(GB/T22239-2019)的安全通用要求要素����,可作為評定管理脆弱性的依據���??山Y合高校圖書館管理機制對參考要求作進一步改進�����,以涵蓋圖書館內部管理工作的方方面面。根據管理脆弱性下的若干因素及子因素,制定評估等級��,每個等級標準用數值區間表示。然后以此為基準,制訂專家評分表��,由若干專家對評估對象進行分析與評估后為各指標打分,從而對各個因素做出合理估算。再通過對專家評分意見進行統計與歸納,最后可采用加法評分�、乘法評分或加乘評分等方法求出評估對象的總分值���,從而得到管理脆弱性的最終評估結果。(2)技術脆弱性識別及評估參考《網絡安全等級保護基本要求》(GB/T22239-2019)安全通用要求要素��,羅列出技術脆弱性指標體系��,根據表2所示,對高校圖書館網絡安全風險評估中技術脆弱性識別進行設定,構成技術脆弱性評估體系(可根據高校圖書館功能情況增加等保安全擴展要求要素)。并通過防火墻����、入侵防御�、事態感知、行為管理、漏洞掃描等技術手段對高校圖書館現有網絡信息系統技術脆弱性指標進行賦值���,便可構造出各個單因素模糊綜合評估矩陣�。再結合層次分析法計算各項指標的權重值即可得出多因素模糊綜合評估的最終結果�。
2.2脆弱性識別綜合評估結果
經查閱大量文獻資料���,其中并沒有對技術脆弱性與管理脆弱性的權重賦值有權威說法���,因此認定不能夠對兩者進行模糊綜合評估而確定最終參考值�。針對技術脆弱性與管理脆弱性是兩個不同的維度�����,可建立一個二維綜合評估矩陣模型,對脆弱性識別進行最直觀的綜合評估[9]��,如圖4所示。其中����,橫軸為技術脆弱性的評估�����,縱軸為管理脆弱性的評估?���?筛鶕嶋H情況擬定矩陣模型的大小范圍�����。圖4示例的矩陣模型由5×5的區域對脆弱性識別進行評估���。在該矩陣模型中A�����、B���、C���、D區域屬于理想的脆弱性識別評估�����,可將級別定為高�。E、F�、G�、H、I區域屬于次理想脆弱性識別評估�����,可將級別定為中。其余區域則不理想�����,定級為低。
2.3高校圖書館網絡安全整體風險評估
通過層次分析法和模糊綜合分析法可以同樣確定資產和威脅這兩個因素的評分��。通常采用預先定義好的風險評估矩陣(表3),根據資產重要程度(0-4級)�、安全威脅級別(低�����、中�����、高)、安全脆弱性級別(低�、中���、高)等要素將風險評估定義為9個級別(0-8級),從而最終確定高校圖書館內部網絡安全的風險級別。風險評估結果可以系統地評估各種風險事件發生的概率大小、概率分布����,及發生后損失的嚴重程度���。形成風險評估報告可以列出在風險評估中�,發現的重要資產分布、脆弱性分布及綜合威脅分布,詳細描述發現的安全風險現狀及評估分析結果��,按照提前擬定的風險處置方案,并選取適當的措施來降低風險大小,以加固網絡安全體系。
3結語
現如今,移動終端已成為移動互聯網重要基礎設施�����,成為網絡的延伸,在新計算、新網絡�����、新應用、新數據的不斷推廣下,入侵��、攻擊和病毒行為正跟隨網絡技術潮流向分布化、規?;?����、趨利化����、復雜化和間接化等方向發展。高校圖書館順應時代潮流,同時也必須主動應對新環境下的高校圖書館網絡安全威脅,建立一種以管理措施為基礎、技術措施為補充,等保測評為核心�、風險評估為輔助的網絡安全綜合保障體系。文章旨在為該體系制定一種科學規范的網絡安全風險評估方案,提前預判網絡安全事件�,增強內部的安全保障機制�����,有助于實現高校圖書館信息化和網絡安全的協調發展。
參考文獻:
[1]中華人民共和國教育部.普通高等學校圖書館規程[DB/OL].
[2]中國互聯網絡信息中心.第47次中國互聯網絡發展狀況統計報告[R].86-89.
[3]楊永青.新形勢下高校網絡安全防護路徑探究[J].蚌埠學院學報�����,2021,10(06):99-103.
[4]陳慶標���,李風.基于ITBPM模型的圖書館信息安全風險評估[J].農業圖書情報學刊��,2016�,28(11):42-45.
[5]馬卓元,楊向東����,李丹.等級測評與風險評估的聯系與區別[J].網絡安全和信息化�,2021(01):32.
[6]馬力,祝國邦�,陸磊.《網絡安全等級保護基本要求》(GB/T22239-2019)標準解讀[J].信息網絡安全����,2019(02):77-84.
[7]劉鵬,孫謙,賀寶華����,等.“技術與制度”雙輪驅動�,保障校園網絡數據安全[J].中國教育信息化�,2019(01):66-69.
[8]王建軍���,何平����,昝冬平.外包信息系統脆弱性評價模型研究[J].管理評論,2011(06):76-80.
作者:李旸 單位:蚌埠醫學院衛生管理學院
