| 出版日期:2004-03-22 总期号:1298 本年期号:19 |
|
 |
做好信息安全风险动态评估
吴亚非 信息化程度愈高,信息安全问题就愈突出,信息安全保障工作就愈重要。 信息安全风险评估和检查被列为我国信息安全保障工作重点任务之一。 如何做好风险评估,请听来自专家的意见。 我国信息化建设已进入全面推进和加快发展的重要时期,信息系统已经成为能源、交通、金融等国家关键基础设施的神经中枢,系统的安全直接影响到关键基础设施的正常运转。国家关键基础设施和重要信息系统越来越依赖于网络,各级政府的行政管理和公共服务越来越多地通过网络实现。事实证明,信息化程度愈高,信息安全问题就愈突出,信息安全保障工作就愈加重要。党中央、国务院一贯高度重视信息安全问题,做出了一系列重要决策和部署。 2003年9月,中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》,进一步明确了我国信息安全保障工作的总体要求、主要原则和重点任务。信息安全风险评估和检查被列为我国信息安全保障工作重点任务之一。 今年1月9日至10日,全国信息安全保障工作会议在北京召开。会议提出,开展信息安全风险评估和检查,要抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。 什么是风险评估 开展信息安全风险评估工作,就是要分析信息系统面临的风险和威胁,发现隐患和漏洞,找出薄弱环节,从而有针对性地进行信息系统安全建设和管理。 信息系统的安全风险,是由来自人为的与自然的威胁,利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。信息安全风险评估(以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程。它要评估信息系统的脆弱性、信息系统面临的威胁,以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。 信息安全风险评估要关注如下基本要素:使命,一个单位通过信息化要来实现的工作任务;依赖度,一个单位的使命对信息系统和信息的依靠程度;资产,通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等;价值,资产的重要程度和敏感程度;威胁,一个单位的信息资产的安全可能受到的侵害,威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果;脆弱性,信息资产及其防护措施在安全方面的不足和弱点;脆弱性也常常被称为弱点或漏洞;风险,风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量,风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响,风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响;残余风险,采取了安全防护措施,提高了防护能力后,仍然可能存在的风险;安全需求,为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求;安全防护措施,对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 现状不容乐观 我国各个部门和行业对风险评估的认识和开展的情况是不平衡的,大致可分为以下几类:一是有认识,有行动,有措施,有效果;二是有认识,有行动,但措施不当;三是有认识,无行动,无措施;四是无认识,无行动,无措施。 在信息化依赖程度较高的行业和部门中,信息化手段已经成为其生产第一线上不可或缺的基础设施。在安全事件的驱动下,也有针对性地进行了一些风险评估工作。但大多数单位还是外聘信息安全企业和本单位的人员结合开展风险评估工作。在信息化依赖程度较低的行业和部门中,一般对信息安全的内涵和外延、信息安全保障的技术和管理涉足不深,认识模糊,风险概念不强,有的处于计划进行风险评估的状态,有的还根本没有提上议事日程。一批国内信息安全企业开始对客户提供信息系统安全评估服务,并且承担了一些行业单位的系统安全评估工作。一些外资企业已经涉足我国的信息系统安全评估工作,他们带来了国外风险评估的理念和标准,宣传了风险评估,培养了一批人才,其中一些骨干已经回流到国内信息安全企业。但是需要注意的是,外资企业介入国家关键部门的风险评估也会带来风险。 总地来讲,在重视风险评估的单位中,“安全事件驱动”是一个重要原因。除此而外,信息化程度的不同以及对信息化依赖程度的不同,也决定了对风险评估的重视程度和工作程度的不同。但是,仍有不少单位虽然也存在潜在的安全事件,有较高的信息化程度,但在风险评估问题上,却还处于起步或将要起步的阶段。 归纳起来,我国在风险评估方面仍然存在以下问题:风险评估的研究积累不足,缺乏风险评估的规范化标准,熟悉和有能力进行风险评估的专业技术和管理人才匮乏,风险评估的角色和责任混乱,风险评估实施不当会导致新的风险。 几点建议 针对我国风险评估的现状与存在的问题,以及信息安全建设的紧迫要求,当前风险评估工作应围绕以下几个方面来进行,包括:确立推进风险评估工作应当遵守的指导原则;建立健全和完善风险评估的工作机制;统筹建设风险评估的基础设施和基础环境;开展基础信息网络和重要信息系统的风险评估试点示范;抓紧制定和完善有关政策、法规、标准;加强宣传教育,提高风险意识。 栏目合作:国家信息中心 信息安全研究与服务中心 |
||||||||||||||||||||||||||
