我國信息安全風(fēng)險(xiǎn)評(píng)估面臨的問題及對(duì)策探討

孫偉成 畢 霞

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)逐漸成為人們生活和工作中不可或缺的組成部分。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心統(tǒng)計(jì)的數(shù)據(jù)，到2012年6月底，中國的網(wǎng)民數(shù)量達(dá)到5.38億，世界排名第一[1]。然而，信息技術(shù)作為一把雙刃劍，人們?cè)诒M情享受信息技術(shù)帶來的巨大進(jìn)步的同時(shí)，也在不斷地遭受病毒、黑客、特洛伊木馬等對(duì)信息安全造成的嚴(yán)重的威脅[2]。信息安全風(fēng)險(xiǎn)評(píng)估是加強(qiáng)信息安全建設(shè)的重要環(huán)節(jié)，通過開展信息安全風(fēng)險(xiǎn)評(píng)估工作，可以發(fā)現(xiàn)信息安全存在的問題和矛盾，并能迅速地找到諸多解決問題的辦法。

1 我國信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展現(xiàn)狀

信息安全風(fēng)險(xiǎn)評(píng)估，就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)策略和整改措施，并為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地為保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)[3]。

我國在信息安全風(fēng)險(xiǎn)評(píng)估方面的研究起步較晚，對(duì)信息安全問題認(rèn)識(shí)的逐步深化是促使信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展的主要推動(dòng)力。早期的信息安全工作是以信息保密為中心，通過保密檢查來發(fā)現(xiàn)問題，進(jìn)而提出改進(jìn)措施，是一種被動(dòng)行為。自20世紀(jì)80年代之后，隨著計(jì)算機(jī)信息技術(shù)的推廣以及網(wǎng)絡(luò)信息技術(shù)的發(fā)展，人們?cè)絹碓缴羁痰卣J(rèn)識(shí)到信息安全的重要性，國家也開始把信息系統(tǒng)的安全評(píng)測(cè)納入工作范圍，風(fēng)險(xiǎn)評(píng)估逐步成為我國信息安全評(píng)估的重要組成部分。

進(jìn)入20世紀(jì)90年代后，隨著互聯(lián)網(wǎng)的普及，國際大環(huán)境下的信息戰(zhàn)也直接或間接地威脅到了我國的信息環(huán)境。1994年2月，國家頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》要求對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。其后，在有關(guān)部門的領(lǐng)導(dǎo)組織下，我國積極開展國內(nèi)信息環(huán)境的安全評(píng)估工作。2004年，國家信息中心成立了“信息安全風(fēng)險(xiǎn)評(píng)估課題組”；2005年，上海、北京等地，也開展了信息安全風(fēng)險(xiǎn)評(píng)估的試點(diǎn)工作；2006年，國家也開始開展風(fēng)險(xiǎn)評(píng)估檢查工作，逐步提出了一系列相關(guān)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范。信息安全風(fēng)險(xiǎn)意識(shí)也開始建立，并逐步有所加強(qiáng)。

2 我國信息安全風(fēng)險(xiǎn)評(píng)估面臨的主要問題

近年來，在國家有關(guān)部門的重視以及社會(huì)各界的廣泛參與下，我國信息安全風(fēng)險(xiǎn)評(píng)估已得到了初步發(fā)展，并在信息安全保障工作中發(fā)揮了一定的作用，但是，在筆者看來，我國的信息安全風(fēng)險(xiǎn)評(píng)估工作仍處于初級(jí)階段，也面臨著一些亟待解決的問題需要妥善考慮，主要包括以下幾個(gè)方面的問題。

2.1 風(fēng)險(xiǎn)評(píng)估角色不清、責(zé)任不明

風(fēng)險(xiǎn)評(píng)估是一項(xiàng)責(zé)任性極強(qiáng)的嚴(yán)肅工作，評(píng)估主體的確定以及扮演的角色、承擔(dān)的責(zé)任必須通過部門規(guī)章加以明確，否則將會(huì)給風(fēng)險(xiǎn)評(píng)估的過程帶來一系列問題?，F(xiàn)存的風(fēng)險(xiǎn)評(píng)估主體權(quán)威不夠、程序不全、責(zé)任不明，使得被評(píng)單位對(duì)評(píng)估結(jié)果存有疑義，甚至不滿。如，目前由信息安全企業(yè)實(shí)施的風(fēng)險(xiǎn)評(píng)估，被評(píng)單位的實(shí)際配合往往不夠，限制頗多，使得評(píng)估方難以了解該單位的業(yè)務(wù)特點(diǎn)和管理要求。此外，很多單位的信息安全風(fēng)險(xiǎn)評(píng)估工作也并沒有同該企業(yè)各個(gè)階段的安全建設(shè)聯(lián)系起來，風(fēng)險(xiǎn)評(píng)估過后也沒有針對(duì)評(píng)估結(jié)果采取相應(yīng)的對(duì)策，企業(yè)的信息安全狀況最終并為取得實(shí)質(zhì)性的增強(qiáng)和改善，這些問題都導(dǎo)致了信息安全風(fēng)險(xiǎn)評(píng)估工作起不到應(yīng)有的作用。

2.2 風(fēng)險(xiǎn)評(píng)估缺乏統(tǒng)一的標(biāo)準(zhǔn)

網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估在我國還沒有統(tǒng)一的標(biāo)準(zhǔn)，評(píng)估體系所應(yīng)包含的評(píng)估框架、評(píng)估方法以及結(jié)果的運(yùn)用等還未形成統(tǒng)一規(guī)范，也是如今信息安全風(fēng)險(xiǎn)評(píng)估所不得不面對(duì)的問題。風(fēng)險(xiǎn)評(píng)估流程不夠科學(xué)規(guī)范，就會(huì)導(dǎo)致評(píng)估結(jié)果不準(zhǔn)確、不客觀，影響評(píng)估結(jié)果的使用。因此，需要針對(duì)風(fēng)險(xiǎn)評(píng)估的任務(wù)、過程、責(zé)任以及程序標(biāo)準(zhǔn)，才能統(tǒng)一要求，否則，必然是風(fēng)險(xiǎn)評(píng)估的效果受限于各個(gè)部門，使得風(fēng)險(xiǎn)評(píng)估結(jié)果參差不齊，難以達(dá)標(biāo)。

2.3 風(fēng)險(xiǎn)評(píng)估專業(yè)管理人才匱乏

熟悉和有能力進(jìn)行系統(tǒng)安全建設(shè)和進(jìn)行風(fēng)險(xiǎn)評(píng)估的專業(yè)管理人才匱乏是制約信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展最為關(guān)鍵的因素。人才是一國發(fā)展最重要的資源。我國信息安全風(fēng)險(xiǎn)評(píng)估起步晚是造成在這方面人才缺乏的主要原因，雖然一些開展信息安全風(fēng)險(xiǎn)評(píng)估的企業(yè)也注重業(yè)務(wù)人員的學(xué)習(xí)和培訓(xùn)，但并不系統(tǒng)科學(xué)。有的人員只是能夠?qū)σ恍┰O(shè)備進(jìn)行基礎(chǔ)的數(shù)據(jù)測(cè)評(píng)，缺乏基于多方數(shù)據(jù)之上的系統(tǒng)的綜合分析與評(píng)估能力。

2.4 風(fēng)險(xiǎn)意識(shí)淡薄，缺乏正確的風(fēng)險(xiǎn)評(píng)估思想

風(fēng)險(xiǎn)意識(shí)淡薄、思想認(rèn)識(shí)錯(cuò)誤是進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估所面臨的又一障礙。根據(jù)中國工程院院士、信息工程大學(xué)校長鄔江興少將的訪談錄[4]，目前，在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方面主要存在以下四種認(rèn)識(shí)誤區(qū)：一是“怕?lián)?zé)任”，怕風(fēng)險(xiǎn)評(píng)估暴漏組織在信息安全管理中的問題而被追究責(zé)任；二是“怕找麻煩”，怕在風(fēng)險(xiǎn)評(píng)估過程中發(fā)現(xiàn)組織存在的問題后要對(duì)整個(gè)組織的網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造和修正，由此可能會(huì)對(duì)各個(gè)系統(tǒng)或業(yè)務(wù)流程產(chǎn)生影響；三是“感覺良好”，片面主觀地認(rèn)為自己所在單位的防范系統(tǒng)是“銅墻鐵壁”，缺少實(shí)事求是認(rèn)識(shí)事物的精神；四是“諱疾忌醫(yī)”，把安全評(píng)估當(dāng)成是“自找麻煩”，拒絕有關(guān)單位正規(guī)的安全評(píng)估。

3 完善我國信息安全風(fēng)險(xiǎn)評(píng)估的的對(duì)策建議

3.1 加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)工作，明確責(zé)任

按照國家信息化發(fā)展的要求，逐步完善我國信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)的標(biāo)準(zhǔn)規(guī)范建設(shè)，明確評(píng)估主體，明確責(zé)任，“誰評(píng)估誰負(fù)責(zé)”，實(shí)現(xiàn)評(píng)估管理的法制化和規(guī)范化。各行業(yè)部門要根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范，構(gòu)建安全、穩(wěn)定、合理的國家基礎(chǔ)信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估試驗(yàn)環(huán)境，滿足國家重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的需求，同時(shí)也要建立國家基礎(chǔ)信息網(wǎng)絡(luò)等關(guān)鍵信息基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)庫，積累資料。

3.2 制定適合我國國情的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)

制定信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)標(biāo)準(zhǔn)，引導(dǎo)和促進(jìn)信息安全產(chǎn)業(yè)的發(fā)展。信息安全需要高技術(shù)標(biāo)準(zhǔn)的支撐，沒有技術(shù)標(biāo)準(zhǔn)規(guī)范就不能解決互連、互通、互操作意義下的信息安全。國際上已經(jīng)有許多有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)，我們需要在立足我國國情的基礎(chǔ)上借鑒國外風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的制定，建立市場(chǎng)準(zhǔn)入機(jī)制和監(jiān)測(cè)體系，形成有效的安全技術(shù)標(biāo)準(zhǔn)屏障，為信息安全風(fēng)險(xiǎn)評(píng)估提供標(biāo)準(zhǔn)保證。

3.3 培養(yǎng)人才，建立信息安全風(fēng)險(xiǎn)評(píng)估專門人才認(rèn)證體系

按照新時(shí)期信息安全風(fēng)險(xiǎn)評(píng)估的要求培養(yǎng)專門人才，建立人才認(rèn)證體系，完善人才隊(duì)伍建設(shè)。要充分發(fā)揮職業(yè)教育機(jī)構(gòu)在人才培養(yǎng)中的基礎(chǔ)性作用，通過系統(tǒng)地學(xué)習(xí)掌握基礎(chǔ)的理論知識(shí)、基本的操作技能以及行之有效的學(xué)習(xí)方法；其次，要利用社會(huì)資源進(jìn)行高技能人才的培養(yǎng)，人才的培養(yǎng)不僅是職業(yè)教育機(jī)構(gòu)以及企業(yè)發(fā)展的要求，也是社會(huì)的責(zé)任，我們應(yīng)該在更大范圍、更廣領(lǐng)域?yàn)槿瞬诺某砷L創(chuàng)造機(jī)會(huì)。要發(fā)揮政府的服務(wù)職能，引導(dǎo)職業(yè)教育機(jī)構(gòu)辦學(xué)，采用政府購買教育服務(wù)的運(yùn)行機(jī)制，促進(jìn)人才培養(yǎng)，將信息安全風(fēng)險(xiǎn)評(píng)估人才的培養(yǎng)納入終身教育體系，并成立專門的人才認(rèn)證機(jī)構(gòu)，保證人才質(zhì)量。

3.4 加強(qiáng)風(fēng)險(xiǎn)意識(shí)宣傳，樹立正確的風(fēng)險(xiǎn)評(píng)估思想

各個(gè)單位及組織要把信息安全工作放在首位，加強(qiáng)整個(gè)組織對(duì)信息安全意識(shí)的培養(yǎng)，樹立正確的信息安全風(fēng)險(xiǎn)評(píng)估思想。加強(qiáng)組織員工對(duì)法律、道德教育以及風(fēng)險(xiǎn)控制方面的學(xué)習(xí)，把對(duì)組織信息安全風(fēng)險(xiǎn)控制制度的建設(shè)以及能力的培養(yǎng)作為考核組織領(lǐng)導(dǎo)工作績效的指標(biāo)，促進(jìn)各個(gè)組織、各個(gè)單位把信息安全風(fēng)險(xiǎn)管理落實(shí)到實(shí)際的工作中去。對(duì)于個(gè)人而言，要樹立正確的風(fēng)險(xiǎn)防范意識(shí)，對(duì)于違規(guī)行為以及網(wǎng)絡(luò)安全事件要有正確的認(rèn)識(shí)，當(dāng)在網(wǎng)絡(luò)中遇到惡意攻擊的情況時(shí)，要及時(shí)上報(bào)有關(guān)部門，爭做網(wǎng)絡(luò)信息完全的“檢測(cè)器”、“挖掘機(jī)”。

4 結(jié)語

綜上所述，信息風(fēng)險(xiǎn)安全問題是信息時(shí)代亟待解決的問題，而對(duì)組織的網(wǎng)絡(luò)信息安全進(jìn)行有效地風(fēng)險(xiǎn)評(píng)估是規(guī)避風(fēng)險(xiǎn)、保證組織健康發(fā)展的關(guān)鍵。我國進(jìn)行網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵就在于在不斷的探索中找出信息安全風(fēng)險(xiǎn)評(píng)估中存在的一系列問題，并找出解決問題的可行性對(duì)策。發(fā)現(xiàn)問題、找出對(duì)策、解決問題，如此不斷地循環(huán)往復(fù)，最終實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估的全面控制，保證信息安全是進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的最終目的。

[1]中國廣播網(wǎng).中國網(wǎng)民數(shù)量達(dá)到5.38億 手機(jī)網(wǎng)民規(guī)模 達(dá)3.88億.[2012-07-19].http：//www.cnr.cn/gundong/201207/t20120719_510279110.shtml.

[2]黛素芳.網(wǎng)絡(luò)負(fù)面問題及倫理思考[J].湘潭大學(xué)社會(huì)科學(xué)學(xué)報(bào)，2001，25（6）：56259.

[3]范紅，馮登國，吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].北京：清華大學(xué)出版社，2006：1.

[4]三臺(tái)政務(wù)網(wǎng).信息工程大學(xué)校長鄔江興少將訪談錄.[2008-10-10].http：//www.my.gov.cn/santai/1369 666032767074304/20081010/344183.html.