信息系統風險評估對網絡和信息安全的重要意義探討

摘 要 信息技術的發展和互聯網應用的普及，讓網絡和信息系統面臨著前所未有的潛在威脅和信息安全風險。2013年，維基解密網站披露了美國“棱鏡計劃”，網絡監聽事件使美國陷入“外交風暴”。 同年，微軟公司發布了一款Windows XP操作系統“死亡倒計時工具”，并宣布對Windows XP的更新支持將在2014年4月8日停止。2014年2月，中央網絡安全和信息化領導小組成立，體現了黨中央全面深化改革的意志和保障網絡安全的決心。文章圍繞中央網絡安全和信息化領導小組戰略部署，主要闡述了信息系統風險評估對網絡和信息安全的重要意義。

關鍵詞 信息系統；風險評估；網絡；信息安全；意義

中圖分類號：TP311 文獻標識碼：A 文章編號：1671-7597（2014）04-0166-01

“十二五”規劃實施以來，經濟持續快速增長，信息化建設穩步推進，網絡和信息系統高速發展。然而，網絡和信息系統風險對國家安全、公共安全和社會穩定構成了嚴重威脅。2013年11月，黨的十八屆三中全會決定設立國家安全委員會，完善國家安全體制和國家安全戰略。在2014年3月召開的全國“兩會”上，人大代表和政協委員紛紛為網絡和信息安全建言獻策，網絡和信息安全再一次提升到國家安全和社會穩定的政治高度。

1 信息系統風險評估

風險，指遭受損失、傷害、毀滅的可能性。風險是由于非行為主體可控因素，使得這些因素被外力利用而造成的損失。在信息安全領域，指由于信息系統的脆弱性，人為或自然威脅導致安全事件發生的可能性及其造成的影響。信息系統風險評估是識別并判斷信息系統面臨風險的過程。風險評估是一個結合技術手段，為識別管理問題、制定管理策略服務的系統工程；是以威脅為出發點，結合系統脆弱性判斷的評估過程；是周期性了解安全風險，采取相應安全控制措施的前提。它為降低網絡風險、實施風險管理和控制提供了重要依據。風險評估是加強信息安全保障體系建設和管理的關鍵環節，是發現信息安全存在問題，找到解決方案的有效手段。

2 信息系統安全現狀

信息系統涉及社會經濟方方面面，在政務和商務領域發揮了重要作用，信息安全問題不單是一個局部性和技術性問題，而是一個跨領域、跨行業、跨部門的綜合性安全問題。據統計，某省會城市各大機關、企事業單位中，有10%的單位出現過信息系統不穩定運行情況；有30%的單位出現過來自網絡、非法入侵等方面的攻擊；出現過信息安全問題的單位比例高達86%！缺少信息安全建設專項資金，信息安全專業人才缺乏，應急響應體系和信息安全測評機構尚未組建，存在著“重建設、輕管理，重應用、輕安全”的現象，已成為亟待解決的問題。

各部門對信息系統風險評估的重視程度與其信息化水平呈現正比，即信息化水平越高，對風險評估越重視。然而，由于地區差異和行業發展不平衡，各部門重視風險評估的一個重要原因是“安全事件驅動”，即“不出事不重視”，真正做到“未雨綢繆”的少之又少。目前我國信息安全體系還未健全和完善，真正意義上的信息系統風險評估尚待成熟。有的部門對信息系統風險評估還停留在傳達一下文件、出具一個報告、安排一場測試，由于評估單位在評估資質、評估標準、評估方法等方面還不夠規范和統一，甚至出現對同一個信息系統，不同評估單位得出不同評估結論的案例。

3 國家信息安全戰略部署

2014年2月，中央網絡安全和信息化領導小組成立并召開第一次會議。做好網絡安全和信息化工作，要處理好安全和發展的關系，做到協調一致、齊頭并進，以安全保發展、以發展促安全，努力建久安之勢、成長治之業。網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題，要從國際國內大勢出發，總體布局，統籌各方，創新發展，努力把我國建設成為網絡強國。

4 信息系統風險評估的重要意義

4.1 確診風險，對癥下藥

信息系統風險是客觀存在的，也是可以被感知和認識從而進行科學管理的。信息系統面臨的風險是什么、有多大，應該采取什么樣的措施去減少、化解和規避風險？就像人的軀體有健康和疾病，設備狀況有正常和故障，糧食質量有營養和變質，如何確認信息系統的狀態和發現信息系統存在的風險和面臨的威脅，就需要進行風險評估。

4.2 夯實安全根基，鞏固信息大廈

信息系統建設之初就存在安全問題，好比高樓大廈建在流沙之上，地基不固，樓建的越高倒塌的風險就越大。風險評估是信息系統這座高樓大廈的安全根基，它可以幫助信息系統管理者了解潛在威脅，合理利用現有資源開展規劃建設，讓信息系統安全“贏在起跑線上”。風險評估還可以為信息系統建設者節省信息系統建設總體投資，達到“以最小成本獲得最大安全保障”的效果。

4.3 信息安全管理的“利器”

信息安全的一大特點就是看不見摸不著就“中招”，如病毒攻擊、黑客入侵、網絡泄密等，在不知不覺中就已經遭受了重大損失。信息安全是高科技較量，沒有科學的方法和手段，很難全面發現潛在的問題和威脅?！肮び破涫?，必先利其器?！憋L險評估便是信息安全管理的“利器”。

4.4 尋求適度安全和建設成本的最佳平衡點

安全是相對的，成本是有限的。在市場經濟高度發達的今天，信息系統建設要達到預期經濟效益和社會效益，就不能脫離實際地追求“零風險”和絕對安全。風險評估為管理者算了一筆經濟賬，讓我們認清信息系統面臨的威脅和風險，在此基礎上決定哪些風險必須規避，哪些風險可以容忍，以便在潛在風險損失與建設管理成本之間尋求一個最佳平衡點，力求達到預期效益的最大化。

4.5 既要借鑒先進經驗，又要重視預警防范

沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。建設網絡強國，要有自己的技術，有過硬的技術。風險評估是信息化發達國家的重要經驗。1995年英國標準協會提出《信息安全管理實施細則》BS7799，2000年，BS7799通過國際標準化組織ISO認可并成為國際標準。2002年美國頒布《聯邦信息系統安全認證和認可指南》，為信息系統風險評估提供了政策和技術支持。目前我們的信息化在某些關鍵技術、關鍵設備上還受制于人。“他山之石”可為我所用，亦須知其鋒芒與瑕疵，加強預警防范與借鑒先進技術同樣重要。

參考文獻

[1]ISO/IEC 17799：2005信息安全管理實施指南.

[2]GB/T 18336-2001信息技術 安全技術 信息技術安全性評估準則.

[3]GB/T 19716-2005信息技術 信息安全管理實用規則.

作者簡介

趙可（1981-），男，山東濟南人，工程師，學士學位，研究方向：計算機網絡和信息系統管理。endprint