GBT26318-2010 物流网络信息系统风险与防范

本标准适用于我国物流企业对信息系统或物流信息系统公共服务平台进行规范与管理，并可作为相关机构对物流网络信息系统进行安全评价的依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 १ 术语和定义 下列术语和定义适用于本文件。 3.1资产 asset对组织具有价值的信息或资源，是安全策略保护的对象。 [GB/T 20984-2007，定义3.1] 3.2资产价值 asset value资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。 [GB/T 20984--2007，定义 3.2] 3.3威胁 threat可能导致对系统或组织危害的不希望事故潜在起因。[GB/T 20984-2007，定义3.17] 物流网络信息系统 logistics network information system以计算机技术和通信技术结合为基础，通过对物流相关信息的收集、加工、处理、存储和传递来达到对物流活动的有效控制管理，并为企业提供信息分析和决策支持的人机系统。 3.8风险评估 risk assessment对信息和信息处理设施的威胁（threat）、影响（impact）和薄弱点（vulnerability）及三者发生的可能性的评估。 注：风险评估是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查（目标可以是工作站、服务器、交换机、数据库应用等各种对象），然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。 3.9风险管理 risk management以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理是一个识别、控制、降低或消除安全风险的活动，通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。 4物流网络信息系统技术原则和风险分类 4.1 物流网络信息系统示例 物流网络信息系统是物流实体网络的重要支撑，伴随物流基础设施网络、实体服务网络而相应收集、加工、处理、存储和传递有关用户需求信息、市场动态、物流服务、企业内部业务处理情况等各类信息，有效地管理物流服务的各个环节，能够提供诸如结算功能、实时的客户查询功能以及各种接口模块等，并为企业提供信息分析和决策支持。由于物流基础设施网络、实体服务网络、服务技术、服务范围、服务层次、服务程度、服务区域等的不同，物流网络信息系统也因此根据不同企业的需求，以有不同层次、不同程度的应用和不同子系统构成，诸如以下示例中不同功能的系统有着不同的构成。 示例1：跨境、跨区域贸易物流商务协同平台，对贸易物流流程中需要进行交换的数据进行整理、分析和归类，增强各类数据的继承性，最大程度降低手工数据填写工作，提高信息交换的效率和准确性，并实现与生产方，采购方，物流服务提供方，承运人、港口、海关、检验检疫等业务平台的数据交互，见图1 4.2.1先进性 物流业务涉及跨区域《跨境）业务协同、流程协同、管理协同，系统宜采用国际先进的网络技术模式和软件体系结构，使系统具有一定的前瞻性，支持系统可持续发展的需要。 4.2.2 实用性 物流业务涉及的业务范围广，应结合企业的个性化服务需要，在实用性系统设计过程中应考虑与原有的业务应用系统之间无缝、平滑接人， 4.2.3 可靠性 物流业务具有多元化的特点，业务环节多，流程复杂，服务链长，系统应具备可靠性和容错性，能不间断和有足够的延时来处理突发事件。 4.2.4 安全性 物流业务沙及单证制作、递交、审核，流转交换；货权转移；货币结算等，应构建完整的安全体系，包括安全基础设施以及传输安全、网络安全、数据安全、信息安全、应用安全以及系统安全，系统在安全等级、交叉验证、CA认证系统、网络安全等各个环节应采取有力的安全保证措施。 4.2.5 标准规范性 物流业务涉及多个参与方，系统建设应符合一定的规范要求，以达到互联互通，统一管理的目的， 4.2.6 扩展性 随着现代物流业务的日益发展，系统应满足长期、可持续发展的需要，具有良好的扩展性，适应未来信息量与业务量增长的需要，系统应为各业务系统及整体应用系统的接人预留接口，以增强系统的弹性、通用性与可替换性。 4.3 风险分类 4.3.1 物流基础数据风险 数据的收集和输入、信息的存储、信息的传输、信息的处理和信息输出过程中，如因不及时、不真实、不准确、丢失、外泄等引发的风险。 4.3.2 实体风险 包括参与方的风险、未经授权的操作风险或人为地对设施、设备进行攻击和破坏等。 4.3.3 硬件风险 由于计算机及网络设备因各种突发灾害或因运行环境或因硬件本身及相关元器件的技术缺陷、故降导致系统不能正常工作而带来的风险；物流信息技术运用或系统配置不当或使用未经授权或不符合标准的设备引发的风险等.