淺析涉密信息系統安全風險自評估

甘清云

摘 要：涉密信息系統安全風險自評估作為涉密信息系統安全風險評估的重要組成部分，正越來越受到重視。文章介紹了涉密信息系統安全風險自評估存在的問題、改進的措施。

關鍵詞：涉密信息系統；安全風險自評估

1 引言

涉密信息系統在運行過程中面臨不斷變化的威脅、脆弱性和風險，其中既有來自外部的，也由來自內部的。為了最大程度地控制或消除風險，首先需要做的就是識別出風險，對風險進行評估。作為涉密信息系統風險評估最主要形式的涉密信息系統安全風險自評估正越來越受到重視。本文主要介紹了信息系統安全風險評估的概況、涉密信息系統安全風險自評估存在的問題、改進的措施。

2 涉密信息系統安全風險評估

信息安全風險評估是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，為防范和化解信息安全風險，將風險控制在可接受的水平，最大限度地保障信息安全提供科學依據。

隨著信息系統規模和復雜度的日益增加，信息系統安全風險總是客觀存在的，安全是安全風險與安全建設管理代價的綜合平衡。不考慮安全風險的信息化是要付出代價的，有時代價難以承受；不計成本、片面追求絕對安全、試圖消滅風險是不可能的。通過開展信息安全風險評估工作，可以發現信息系統安全防護存在的問題和薄弱環節，進而決定采取措施去減少、轉移、避免風險，將風險控制在可以接受的范圍內。

信息安全風險評估按照形式可以分為自評估、委托評估、檢查評估。自評估由單位自行組織開展；委托評估由單位委托外部有風險評估資質的專業機構開展；檢查評估由國家有關指定機構強制開展。

風險評估方法分為定量分析和定性分析。定量分析對后果和可能性進行分析，采用量化的數值描述后果和可能性，分析的有效性取決于所用的數值精確度和完整性。定性分析對后果和可能性進行分析，采用文字形式或敘述性的數值范圍描述風險的影響程度和可能性的大小（如高、中、低等），分析的有效性同樣取決于所用的數值精確度和完整性。

風險自評估實施流程如圖1所示。

3 涉密信息系統安全風險自評估存在的問題

3.1 涉密信息系統安全風險自評估沒有標準、規范

涉密信息系統檢查評估依據國家相關的保密標準和規范進行。針對涉密信息系統安全風險自評估工作，目前參考最多的還是GB/T 20984-2007《信息安全技術 信息安全風險評估規范》。GB/T 20984-2007作為信息安全風險評估規范，是可以對開展涉密信息系統風險自評估起到指導作用，但是該規范畢竟不是針對涉密信息系統專門制定的，缺乏實用性。

3.2 涉密信息系統安全風險自評估較難量化

按照GB/T 20984-2007開展的風險自評估，需要對資產的保密性、完整性、可用性、重要性賦值，需要對威脅賦值，還需要對脆弱性賦值，最后采用矩陣法或者相乘法計算風險。第一次對涉密信息系統進行風險自評估時采用量化的方法是比較可取的，但是后面周期性的風險自評估再采用量化的方法效果肯定不太理想。

3.3 涉密信息系統安全風險自評估主要依靠內部力量

涉密信息系統安全風險自評估主要是依靠內部信息安全人員來完成，與專業風險評估機構相比，人員的專業能力還是有一定的差距；內部人員評估自己平時負責管理的信息系統，難免有既是運動員又當裁判員的嫌疑。

3.4 涉密信息系統安全風險自評估沒有貫穿涉密信息系統全生命周期

目前涉密信息系統安全風險自評估一般只在涉密信息系統運行階段進行，在涉密信息系統生命周期的其他階段很少或基本不開風險自評估。

3.5 涉密信息系統安全風險自評估報告質量有待提高

涉密信息系統安全風險自評估報告水平參差不齊，有的參照GB/T 20984-2007分別從資產識別、威脅識別、脆弱性識別、風險計算等進行詳細描述，報告達上百頁；有的只進行定性分析，提煉總結出風險一二三四五，報告可能只有幾頁。

4 涉密信息系統安全風險自評估改進措施

4.1 參照有關保密標準和涉密信息系統風險評估有關規范

建議涉密信息系統風險自評估在參照GB/T 20984-2007的基礎上，重點參照有關保密標準和涉密信息系統安全風險評估實施規范。

4.2 周期性自評估流程適當簡化，定性分析

周期性自評估可在評估流程上適當簡化，重點考察自上次評估后系統發生變化后引入的新威脅、新脆弱性、新風險的評估，盡可能采用定性分析方法，而不是定量分析方法。

4.3 適當考慮委托評估

適當時候考慮選擇有資質的風險評估機構進行委托評估。采用委托風險評估前，單位應與評估機構簽訂委托協議書，明確風險評估的目標、內容、交付物以及安全保密責任等。單位指定專人負責監督與管理風險評估全過程。

4.4 風險自評估貫穿涉密信息系統全生命周期

風險自評估應貫穿涉密信息系統全生命周期。涉密信息系統規劃設計前應進行風險評估，根據評估結果確定系統保護需達到的基本要求。涉密信息系統建成驗收時應進行風險評估，根據評估結論確定系統的安全目標是否達成。涉密信息系統運行過程中應進行風險評估，識別系統面臨的不斷變化的威脅、脆弱性和風險，從而確定安全措施的有效性。

4.5 評估報告根據評估方法的不同區別對待

評估報告需要根據所采用評估方法區別對待。建議第一次風險自評估可以參照GB/T 20984-2007開展，自評估報告包含幾個要素：評估對象和范圍，評估方法說明，資產、威脅、脆弱性分析、影響和可能性分析、風險評估結論和風險評估結果的管理。后面進行風險自評估結合有關保密標準和涉密信息系統風險評估有關規范開展，評估報告盡量簡化，總結提煉出風險和隱患，提出整改措施。

5 結束語

涉密信息系統安全風險自評估作為涉密信息系統安全風險評估的重要組成部分，正越來越受到重視。針對涉密信息系統安全風險自評估目前存在的問題，只要我們認真研究，不斷改進，涉密信息系統安全風險自評估一定會發揮更大的作用。

參考文獻

[1] 杜虹. 涉密信息系統安全風險評估的探討[J].信息安全與通信保密，2004，06，20-23.

[2] 張建軍，孟亞平. 信息安全風險評估探索與實踐[M].北京：中國標準出版社，2005：17-44.

[3] 劉玉林，王建新，謝永志. 涉密信息系統風險評估與安全測評實施[J].信息安全與通信保密，2007，01，142-147.

[4] 孔斌. 涉密信息系統檢測評估綜述[J].保密科學技術，2011，05，14-17.

[5] 杜虹. 涉密信息系統安全風險評估的探討[J].信息安全與通信保密，2014，06，20-23.endprint