OCTAVE风险评估方法在电子政务外网的应用

信息安全研究 ›› 2018, Vol. 4 ›› Issue (10): 922-927.

OCTAVE风险评估方法在电子政务外网的应用

葛晓囡¹,²,林玉堂¹,²,黄振博¹,²,王焱¹,²

1. 国家信息中心信息与网络安全部信息安全评估处
2. 国家信息中心信息与网络安全部信息安全评估处

收稿日期:2018-10-11 出版日期:2018-10-15 发布日期:2018-10-11
通讯作者: 葛晓囡
作者简介:葛晓囡军事学硕士，2016年毕业于西安电子科技大学密码学专业.现从事等级测评、风险评估等网络安全相关工作. 林玉堂 2008年毕业于中国人民解放军军械工程学院.先后从事等级测评、风险评估等相关工作. 黄振博工学学士，CCIE网络专家 2009年毕业于大连理工大学城市学院网络工程专业.现从事信息安全风险咨询评估、网络安全架构设计等相关工作. 王焱 2012年毕业于长春工业大学信息安全技术专业，先后从事系统集成、等级测评、风险评估等相关工作.

An Application of OCTAVE Method in the Risk Assessment of E-Government Extranet System

Received:2018-10-11 Online:2018-10-15 Published:2018-10-11

摘要/Abstract

摘要： 介绍一种基于OCTAVE的信息安全风险评估方法，包含创建基于资产的威胁轮廓、确定基础设施漏洞、制订安全战略和环节计划3个阶段，阐明该方法的8个具体过程.通过与NIST方法对比，凸显该方法自主进行、可操作性强的优势.最后，结合电子政务外网系统特点，详细描述OCTAVE方法在电子政务外网系统的风险评估中的应用.创建基于资产的威胁轮廓，针对基础设施漏洞制定安全策略和环节计划.包括组建合理的安全管理机构、严格执行管理制度和背景调查规定及建立严格的系统防护措施.

关键词: 可操作性关键威胁评估和脆弱性评估, 信息安全, 风险评估, 政务外网, 等级保护

Abstract: This paper introduces an information security risk assessment method based on OCTAVE, which consists of three phases and eight specific processes. Firstly, it created an asset-based threat outline, secondly it identified infrastructure vulnerabilities, at last, it produces a security strategy and project plan. Compared with the NIST method, this method highlights the advantages of the method autonomously and operability. Finally, the application of OCTAVE method in the risk assessment of e-government extranet system is described in detail. It creats asset-based threat profiles and developed security policies and link plans for infrastructure vulnerabilities. This includes the establishment of a reasonable safety management organization, strict implementation of management systems and background investigation requirements, and establishment of strict system protection measures.

Key words: OCTAVE, information security, risk assessment, e-government extranet system, classified protection

葛晓囡林玉堂黄振博王焱. OCTAVE风险评估方法在电子政务外网的应用[J]. 信息安全研究, 2018, 4(10): 922-927.

[1]	周媛. 公安机关信息安全问题的SWOT-AHP分析及对策研究[J]. 信息安全研究, 2021, 7(2): 190-196.
[2]	王新文. 基于区块链的数字证书系统在电子政务外网中的应用探究[J]. 信息安全研究, 2021, 7(1): 81-85.
[3]	仲蓓鑫林浩孔苏鹏程实. 基于区块链技术的多源网络数据隐私保护方法[J]. 信息安全研究, 2021, 7(1): 86-89.
[4]	胡鹏鹏. 大数据背景下个人生物识别信息的立法保护研究[J]. 信息安全研究, 2020, 6(9): 0-0.
[5]	安超周纯杰. 基于控制行为模型的工控系统异常检测方法 [J]. 信息安全研究, 2020, 6(6): 0-0.
[6]	王勇孙嘉启淮华瑞. 基于“业务+数据”视角的民航网络安全态势感知技术研究[J]. 信息安全研究, 2020, 6(6): 0-0.
[7]	王柏华孙长杰李照川王伟兵. 远程办公中基于区块链技术的身份认证方法[J]. 信息安全研究, 2020, 6(4): 317-326.
[8]	王冠严志伟. 可信密码模块应用层接口优化设计与实现[J]. 信息安全研究, 2020, 6(4): 354-361.
[9]	何意刘兴伟马宏亮. 车联网拟态防御系统研究[J]. 信息安全研究, 2020, 6(3): 244-251.
[10]	陈芳. 基于支付标记化技术的电子支付信息保护方案及应用[J]. 信息安全研究, 2020, 6(3): 259-265.
[11]	陈雪鸿杨帅锋孙岩. 工业控制系统安全等级保护测评研究[J]. 信息安全研究, 2020, 6(3): 272-278.
[12]	宣耀. “雪亮工程”中的公安视频网安全防护体系建设[J]. 信息安全研究, 2020, 6(2): 171-180.
[13]	王斯梁冯暄陈翼蔡友保. 北斗导航系统信息安全研究[J]. 信息安全研究, 2020, 6(12): 1068-1073.
[14]	肖志宏. 我国主权数字货币安全风险及法律规制[J]. 信息安全研究, 2020, 6(12): 1101-1108.
[15]	许超刘倩. 电子政务国产化应用赋能信息技术创新生态[J]. 信息安全研究, 2020, 6(10): 0-0.