結(jié)合風(fēng)險評估的信息系統(tǒng)等級保護應(yīng)用研究

黃均輝

（中國電建集團中南勘測設(shè)計研究院有限公司數(shù)字工程中心，湖南 長沙 410014）

結(jié)合風(fēng)險評估的信息系統(tǒng)等級保護應(yīng)用研究

黃均輝

（中國電建集團中南勘測設(shè)計研究院有限公司數(shù)字工程中心，湖南 長沙 410014）

知識密集型企業(yè)高度關(guān)注商業(yè)數(shù)據(jù)安全。文章從企業(yè)面臨的信息安全風(fēng)險出發(fā)，結(jié)合信息安全管理理論和國家標準，提出執(zhí)行計算機信息系統(tǒng)安全等級保護過程中，融入風(fēng)險評估方法論，為相關(guān)企業(yè)的信息安全保障工作提供一定的借鑒和參考。

信息安全；等級保護；風(fēng)險評估

企業(yè)借助信息化建設(shè)，實現(xiàn)突破地域限制的互聯(lián)互通、各類生產(chǎn)經(jīng)營業(yè)務(wù)活動的標準流程化、數(shù)據(jù)信息的集中存儲和共享，提高生產(chǎn)效率和帶來經(jīng)濟效益，但隨之也帶來了信息安全的風(fēng)險和隱患。知識密集型企業(yè)的重要關(guān)鍵信息（商業(yè)數(shù)據(jù)、市場資料、研究成果）儲存在計算機里，一旦發(fā)生商業(yè)數(shù)據(jù)泄密、服務(wù)癱瘓、漏洞攻擊等信息安全事件，將破壞信息的保密性、完整性、可用性（簡稱CIA特性），嚴重影響企業(yè)的生產(chǎn)、經(jīng)營和競爭力，帶來重大損失。

1 知識密集型企業(yè)的信息安全風(fēng)險

以下從信息安全風(fēng)險的威脅源、威脅行為、脆弱性、影響四個方面，初步分析知識密集型企業(yè)的信息安全風(fēng)險。

1.1 信息安全風(fēng)險的威脅源

威脅源可分為環(huán)境和人為。環(huán)境包括自然災(zāi)害、環(huán)境、機械失效；人為是指來自組織內(nèi)的受信任用戶或來自遠程位置使用互聯(lián)網(wǎng)身份不明的人（即個別員工或惡意入侵者）。

1.2 信息安全風(fēng)險的威脅行為

威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險，威脅行為即方式，如身份假冒、口令攻擊、竊取數(shù)據(jù)、漏洞利用、社會工程、物理破壞等手段。

1.3 脆弱性是指可能被利用的薄弱環(huán)節(jié)

①網(wǎng)絡(luò)自身的脆弱性。在信息輸入、傳輸、輸出等過程中存在的信息容易被篡改、偽造、等不安全因素；在網(wǎng)絡(luò)中操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等方面存在安全漏洞、后門等不安全因素；②應(yīng)用系統(tǒng)的脆弱性。應(yīng)用系統(tǒng)開發(fā)過程中，偏重功能實現(xiàn)，忽視了軟件安全需求和設(shè)計工作。同時，企業(yè)實現(xiàn)了單點登錄，可訪問多個應(yīng)用，該賬戶權(quán)限范圍內(nèi)的所有數(shù)據(jù)均得不到有效保護；③管理制度的脆弱性。內(nèi)部管理疏漏、管理制度的缺失或沒有落實，導(dǎo)致管理人員濫用職權(quán)、或者職責(zé)未分離；④工作人員的脆弱性。工作人員安全意識不足，不注重工作計算機的病毒防護，用戶口令規(guī)則過于簡單，都容易使計算機感染電腦病毒、泄漏密碼。

1.4 安全風(fēng)險的影響

知識密集型企業(yè)基本已普及快速高效的信息化辦公環(huán)境，其研究成果數(shù)據(jù)、核心商業(yè)秘密數(shù)據(jù)，都在以信息化管理，各種客觀或人為因素都可能造成企業(yè)重要關(guān)鍵數(shù)據(jù)的丟失或泄密，信息安全問題在高度關(guān)注商業(yè)數(shù)據(jù)安全的知識密集型企業(yè)尤為突顯。

2 做好企業(yè)信息安全管理實施的設(shè)想

2.1 實施體系化

企業(yè)信息安全工作是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程。它遵循木桶原理，信息安全水平高低取決于防護最薄弱的環(huán)節(jié)。因此，以體系化的方式實施信息安全管理，并作為企業(yè)整體管理體系的一部分貫徹執(zhí)行，才能實現(xiàn)并保持一定的信息安全水平。

2.2 信息安全等級保護

計算機信息系統(tǒng)安全等級保護，是當(dāng)前我國信息安全保障的一項基本制度和基礎(chǔ)管理原則。它規(guī)定了不同安全保護等級信息系統(tǒng)的最低保護要求，企業(yè)可根據(jù)系統(tǒng)定級結(jié)果及相應(yīng)的基本安全要求開展建設(shè)和監(jiān)督管理，確保達到并維護一定級別的信息安全能力。

2.3 信息安全風(fēng)險評估

風(fēng)險評估是以信息資產(chǎn)為出發(fā)點、以威脅為觸發(fā)、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型，是獲知組織當(dāng)前風(fēng)險水平的一種手段，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險，并根據(jù)風(fēng)險的嚴重級別制定風(fēng)險處置計劃，確定下一步的安全需求方向。

2.4 實際應(yīng)用

信息安全等級保護和風(fēng)險評估都是實現(xiàn)信息安全的有效手段，在實際應(yīng)用中需進一步的提升。信息安全等級保護有待進一步細化和更精準定量分析，以提高準確度；風(fēng)險評估也只是一個通用的方法論，多依賴于經(jīng)驗，且主要對象為靜態(tài)資產(chǎn)，未涉及到管理流程、IT審計等方面的風(fēng)險。因此，在構(gòu)筑企業(yè)信息安全工作中，建議把以上兩種方法結(jié)合實施。多管齊下并針對性的進行相應(yīng)的擴展，構(gòu)筑信息安全整體保障體系，全面提升企業(yè)信息安全保障水平。

2.5 應(yīng)用探討結(jié)合實施的作用

①識別信息資產(chǎn)真實的風(fēng)險等級。等級保護是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā)，定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級，所包含的等級測評也是基于是否符合等級保護基本要求為目的；而風(fēng)險評估中最終風(fēng)險的等級則是綜合考慮了信息重要性、系統(tǒng)安全控制措施的有效性及運行現(xiàn)狀的綜合評估結(jié)果，并以PDCA循環(huán)持續(xù)推進風(fēng)險管理為目的。因此，價值高的信息資產(chǎn)的風(fēng)險等級不一定高，兩者結(jié)合實施將有助于識別真實的風(fēng)險等級，確保保護措施、資源的有效利用；②豐富手段保證效果。在落實等級保護中，確定安全級別后，借助風(fēng)險評估明確安全現(xiàn)狀，其結(jié)果可作為實施等級保護、等級安全建設(shè)的參考，有利于整體安全規(guī)劃與建設(shè)；在按標準進行等保建設(shè)中，也可以利用風(fēng)險評估檢查等保的落實和執(zhí)行情況；在安全運行與維護中，也可以開展定期和不定期風(fēng)險評估以確認安全等級是否發(fā)生變化。

3 做好企業(yè)信息安全管理實施的工作建議

企業(yè)信息安全保障體系在實施建立中，堅持“堅持管理與技術(shù)并重”的原則，并注重以下工作。

3.1 實際出發(fā)、保障業(yè)務(wù)是宗旨

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險到可接受的程度，是促進發(fā)展而非限制發(fā)展。同時，從實際出發(fā)，強調(diào)綜合平衡安全成本與風(fēng)險，如風(fēng)險不大就沒有必要花太大的安全成本。

3.2 管理層支持是關(guān)鍵

管理層的參與程度是信息安全建設(shè)工作能否成功實施的最關(guān)鍵因素。應(yīng)確保足夠的資源提供實質(zhì)性支持，在建設(shè)過程中制定并頒布信息安全方針、決定風(fēng)險可接受級別和風(fēng)險可接受準則、確保內(nèi)部審核的執(zhí)行和管理評審等。

3.3 技術(shù)與管理需要融合

技術(shù)不高但管理良好的系統(tǒng)遠比技術(shù)高超但管理混亂的系統(tǒng)安全，因為技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵。產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用。只有注重技術(shù)與管理相結(jié)合確保安全建設(shè)的全過程、全方面的有效執(zhí)行，才能保證信息安全的長期性和穩(wěn)定性。

4 結(jié)束語

信息安全風(fēng)險日益加劇，知識密集型企業(yè)亟需加強信息安全保障建設(shè)。我國制定了信息安全保障建設(shè)的基礎(chǔ)管理原則——等級保護，也頒發(fā)了一系列技術(shù)標準《計算機信息系統(tǒng)安全等級保護劃分準則》（GB 17859-1999）、《信息系統(tǒng)安全等級保護實施指南》（GB/T 25058-2010）、《信息系統(tǒng)安全保護等級定級指南》（GB/T 22240-2008）等。企業(yè)在參照應(yīng)用中，應(yīng)針對性的進行應(yīng)用和相應(yīng)的擴展，文章提出上述結(jié)合風(fēng)險評估的信息系統(tǒng)等級保護應(yīng)用研究，企業(yè)應(yīng)結(jié)合實際多管齊下，以構(gòu)筑滿足企業(yè)需要的信息安全整體保障體系，保障組織機構(gòu)使命的實現(xiàn)。

[1]李鵬輝.企業(yè)風(fēng)險評估管理信息系統(tǒng)的設(shè)計與實現(xiàn)[D].北京工業(yè)大學(xué),2012.

[2]劉佳琳.模糊統(tǒng)計決策理論基礎(chǔ)上的大型工程項目風(fēng)險評估方法研究[D].吉林大學(xué),2013.

[3]鄭毅.基于灰色理論的信息系統(tǒng)安全風(fēng)險評估研究[D].成都理工大學(xué),2013.

[4]曲兆嶺.民航機場運行指揮系統(tǒng)信息安全風(fēng)險評估研究[D].中國民用航空飛行學(xué)院,2014.

[5]陳孟婕.電力信息系統(tǒng)動靜態(tài)風(fēng)險評估技術(shù)研究[D].華東理工大學(xué),2015.

F713.51

A

2096-2789（2016）11-0060-02

黃均輝（1983-），男，廣東江門人，工程師，研究方向：企業(yè)信息化項目建設(shè)，信息技術(shù)的引進與推廣。