信息系統(tǒng)風險評估對網(wǎng)絡(luò)和信息安全的重要意義探討

摘 要 信息技術(shù)的發(fā)展和互聯(lián)網(wǎng)應用的普及，讓網(wǎng)絡(luò)和信息系統(tǒng)面臨著前所未有的潛在威脅和信息安全風險。2013年，維基解密網(wǎng)站披露了美國“棱鏡計劃”，網(wǎng)絡(luò)監(jiān)聽事件使美國陷入“外交風暴”。 同年，微軟公司發(fā)布了一款Windows XP操作系統(tǒng)“死亡倒計時工具”，并宣布對Windows XP的更新支持將在2014年4月8日停止。2014年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組成立，體現(xiàn)了黨中央全面深化改革的意志和保障網(wǎng)絡(luò)安全的決心。文章圍繞中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組戰(zhàn)略部署，主要闡述了信息系統(tǒng)風險評估對網(wǎng)絡(luò)和信息安全的重要意義。

關(guān)鍵詞 信息系統(tǒng)；風險評估；網(wǎng)絡(luò)；信息安全；意義

中圖分類號：TP311 文獻標識碼：A 文章編號：1671-7597（2014）04-0166-01

“十二五”規(guī)劃實施以來，經(jīng)濟持續(xù)快速增長，信息化建設(shè)穩(wěn)步推進，網(wǎng)絡(luò)和信息系統(tǒng)高速發(fā)展。然而，網(wǎng)絡(luò)和信息系統(tǒng)風險對國家安全、公共安全和社會穩(wěn)定構(gòu)成了嚴重威脅。2013年11月，黨的十八屆三中全會決定設(shè)立國家安全委員會，完善國家安全體制和國家安全戰(zhàn)略。在2014年3月召開的全國“兩會”上，人大代表和政協(xié)委員紛紛為網(wǎng)絡(luò)和信息安全建言獻策，網(wǎng)絡(luò)和信息安全再一次提升到國家安全和社會穩(wěn)定的政治高度。

1 信息系統(tǒng)風險評估

風險，指遭受損失、傷害、毀滅的可能性。風險是由于非行為主體可控因素，使得這些因素被外力利用而造成的損失。在信息安全領(lǐng)域，指由于信息系統(tǒng)的脆弱性，人為或自然威脅導致安全事件發(fā)生的可能性及其造成的影響。信息系統(tǒng)風險評估是識別并判斷信息系統(tǒng)面臨風險的過程。風險評估是一個結(jié)合技術(shù)手段，為識別管理問題、制定管理策略服務的系統(tǒng)工程；是以威脅為出發(fā)點，結(jié)合系統(tǒng)脆弱性判斷的評估過程；是周期性了解安全風險，采取相應安全控制措施的前提。它為降低網(wǎng)絡(luò)風險、實施風險管理和控制提供了重要依據(jù)。風險評估是加強信息安全保障體系建設(shè)和管理的關(guān)鍵環(huán)節(jié)，是發(fā)現(xiàn)信息安全存在問題，找到解決方案的有效手段。

2 信息系統(tǒng)安全現(xiàn)狀

信息系統(tǒng)涉及社會經(jīng)濟方方面面，在政務和商務領(lǐng)域發(fā)揮了重要作用，信息安全問題不單是一個局部性和技術(shù)性問題，而是一個跨領(lǐng)域、跨行業(yè)、跨部門的綜合性安全問題。據(jù)統(tǒng)計，某省會城市各大機關(guān)、企事業(yè)單位中，有10%的單位出現(xiàn)過信息系統(tǒng)不穩(wěn)定運行情況；有30%的單位出現(xiàn)過來自網(wǎng)絡(luò)、非法入侵等方面的攻擊；出現(xiàn)過信息安全問題的單位比例高達86%！缺少信息安全建設(shè)專項資金，信息安全專業(yè)人才缺乏，應急響應體系和信息安全測評機構(gòu)尚未組建，存在著“重建設(shè)、輕管理，重應用、輕安全”的現(xiàn)象，已成為亟待解決的問題。

各部門對信息系統(tǒng)風險評估的重視程度與其信息化水平呈現(xiàn)正比，即信息化水平越高，對風險評估越重視。然而，由于地區(qū)差異和行業(yè)發(fā)展不平衡，各部門重視風險評估的一個重要原因是“安全事件驅(qū)動”，即“不出事不重視”，真正做到“未雨綢繆”的少之又少。目前我國信息安全體系還未健全和完善，真正意義上的信息系統(tǒng)風險評估尚待成熟。有的部門對信息系統(tǒng)風險評估還停留在傳達一下文件、出具一個報告、安排一場測試，由于評估單位在評估資質(zhì)、評估標準、評估方法等方面還不夠規(guī)范和統(tǒng)一，甚至出現(xiàn)對同一個信息系統(tǒng)，不同評估單位得出不同評估結(jié)論的案例。

3 國家信息安全戰(zhàn)略部署

2014年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組成立并召開第一次會議。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢、成長治之業(yè)。網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設(shè)成為網(wǎng)絡(luò)強國。

4 信息系統(tǒng)風險評估的重要意義

4.1 確診風險，對癥下藥

信息系統(tǒng)風險是客觀存在的，也是可以被感知和認識從而進行科學管理的。信息系統(tǒng)面臨的風險是什么、有多大，應該采取什么樣的措施去減少、化解和規(guī)避風險？就像人的軀體有健康和疾病，設(shè)備狀況有正常和故障，糧食質(zhì)量有營養(yǎng)和變質(zhì)，如何確認信息系統(tǒng)的狀態(tài)和發(fā)現(xiàn)信息系統(tǒng)存在的風險和面臨的威脅，就需要進行風險評估。

4.2 夯實安全根基，鞏固信息大廈

信息系統(tǒng)建設(shè)之初就存在安全問題，好比高樓大廈建在流沙之上，地基不固，樓建的越高倒塌的風險就越大。風險評估是信息系統(tǒng)這座高樓大廈的安全根基，它可以幫助信息系統(tǒng)管理者了解潛在威脅，合理利用現(xiàn)有資源開展規(guī)劃建設(shè)，讓信息系統(tǒng)安全“贏在起跑線上”。風險評估還可以為信息系統(tǒng)建設(shè)者節(jié)省信息系統(tǒng)建設(shè)總體投資，達到“以最小成本獲得最大安全保障”的效果。

4.3 信息安全管理的“利器”

信息安全的一大特點就是看不見摸不著就“中招”，如病毒攻擊、黑客入侵、網(wǎng)絡(luò)泄密等，在不知不覺中就已經(jīng)遭受了重大損失。信息安全是高科技較量，沒有科學的方法和手段，很難全面發(fā)現(xiàn)潛在的問題和威脅。“工欲善其事，必先利其器。”風險評估便是信息安全管理的“利器”。

4.4 尋求適度安全和建設(shè)成本的最佳平衡點

安全是相對的，成本是有限的。在市場經(jīng)濟高度發(fā)達的今天，信息系統(tǒng)建設(shè)要達到預期經(jīng)濟效益和社會效益，就不能脫離實際地追求“零風險”和絕對安全。風險評估為管理者算了一筆經(jīng)濟賬，讓我們認清信息系統(tǒng)面臨的威脅和風險，在此基礎(chǔ)上決定哪些風險必須規(guī)避，哪些風險可以容忍，以便在潛在風險損失與建設(shè)管理成本之間尋求一個最佳平衡點，力求達到預期效益的最大化。

4.5 既要借鑒先進經(jīng)驗，又要重視預警防范

沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。建設(shè)網(wǎng)絡(luò)強國，要有自己的技術(shù)，有過硬的技術(shù)。風險評估是信息化發(fā)達國家的重要經(jīng)驗。1995年英國標準協(xié)會提出《信息安全管理實施細則》BS7799，2000年，BS7799通過國際標準化組織ISO認可并成為國際標準。2002年美國頒布《聯(lián)邦信息系統(tǒng)安全認證和認可指南》，為信息系統(tǒng)風險評估提供了政策和技術(shù)支持。目前我們的信息化在某些關(guān)鍵技術(shù)、關(guān)鍵設(shè)備上還受制于人。“他山之石”可為我所用，亦須知其鋒芒與瑕疵，加強預警防范與借鑒先進技術(shù)同樣重要。

參考文獻

[1]ISO/IEC 17799：2005信息安全管理實施指南.

[2]GB/T 18336-2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則.

[3]GB/T 19716-2005信息技術(shù) 信息安全管理實用規(guī)則.

作者簡介

趙可（1981-），男，山東濟南人，工程師，學士學位，研究方向：計算機網(wǎng)絡(luò)和信息系統(tǒng)管理。endprint