構建基于信息安全風險評估血液中心信息安全保障體系的必要性研究

摘 要：我國在推廣信息系統安全等級保護和風險評估后，逐步將其作為建設國家信息安全保障體系的一項基本制度。天津血液中心信息安全保障體系的建設，也必須遵守我國信息安全發展政策。血液信息安全保障體系建設目前尚處于探索階段，文章將分析目前血液信息安全保障體系的現狀，以及構建基于信息安全風險評估信息安全保障體系的必要性。

關鍵詞：信息安全；風險評估；保障體系

中圖分類號：TP391 文獻標識碼：A

Abstract： After China has promoted the information security system based on graded protection and risk assessment， gradually adopted it as a basic rule for building a national information security system. The establishment of the Tianjin Blood Center Information Security System must also comply with Chinas information security policy. The construction of the blood information security system is still at the exploratory stage， this paper will analyze the current status of the blood information security system and the necessity of building an information security system based on information security risk assessment.

Key words： information security； risk assessment； security system

1 引言

天津市血液中心始建于1969年，是不以盈利為目的集采血、供血、血液成分制備、醫學檢驗、科研、培訓和學術交流等為一體的天津市的省級采供血機構。中心承擔著向全市100余家醫療機構提供臨床用血和保障血液安全的重任，每年向全市醫療機構提供各類血液及血液成分制品40余噸、血小板4.5萬單位。同時，還肩負著全市各級采供血機構的質量控制、業務培訓、技術指導和醫療機構醫療用血的業務指導，開展疑難血型鑒定及配血、新生兒溶血病的檢查、輸血反應鑒定、強直性脊椎炎的診斷、組織配型、親子鑒定等輸血相關服務項目，是天津醫科大學檢驗學院臨床教學基地和天津醫科大學研究生培養基地。

天津市血液中心主要的業務系統包括采供血業務信息系統、血液管理信息系統以及用血審批管理系統，這些業務系統所承載的信息資源是醫療衛生行業基礎數據資源最重要的組成部分，在日常生活中發揮著越來越重要的作用。然而，隨著血液中心信息化建設的不斷推進，信息系統及其周邊系統規模不斷擴大，系統結構更加復雜，信息安全問題日益突出，因此天津市血液中心提出了進行信息安全保障體系建設。

血液中心信息安全保障體系應該是一個完整的體系，不僅包括安全技術，更應包括安全管理、安全法規標準等諸方面的內容，這樣才能確保越來越復雜和龐大的信血液中心信息系統安全，并且具有持續性。目前，從國外的經驗、國內的試點和政策都表明，信息安全風險評估是建設信息系統安全保障體系的有效手段和基礎工作。

2 信息安全風險評估

“信息安全風險評估（簡稱風險評估）就是從風險管理角度，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能對組織造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，并為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而為最大限度地保障網絡和信息系統安全提供科學依據?！憋L險評估是建設信息安全保障體系過程中的重要的評價方法和決策機制。

2.1 國內外信息安全風險評估現狀

“早在上個世紀70年代初期美國政府就提出了風險評估的要求，2002年頒布的《2002 聯邦信息安全管理法》對政務信息安全風險評估提出了更加具體的要求?！睔W洲等其他信息化發達國家也非常重視開展信息安全風險評估工作，將它作為提高信息安全保障水平的重要手段。國外風險評估標準主要有BS7799、ISO/IEC 17799、OCTAVE、NIST SP800-30、 AS/NZS4360、SSE-CMM等。2003年7月，《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發〔2003〕27號文件）明確提出“要重視信息安全風險評估工作，對網絡與信息系統安全的潛 在威脅、薄弱環節、防護措施等進行分析評估，綜合考慮網絡與信息系統的重要性、涉秘程 度和面臨的信息安全風險等因素，進行相應等級的安全建設和管理”。從此，我國也啟動了風 險評估。

從 2003 年至今，主要經歷了兩個階段。

第一階段：風險評估調研和試點階段。

基于我國對信息安全保障體系建立的迫切需求，2003年7月23日剛剛審議通過《關于加強信息安全保障工作的意見》后，國務院信息化辦公室安全組就決定委托國家信息中心組建成立“信息安全風險評估課題組”，啟動了風險評估工作的調研和試點工作。2003年8月至12月，課題組先后對北京、廣州、深圳和上海四個地區，十幾個行業的50多家單位進行了深入細致的調查與研究。2004年9月下旬，完成《信息安全風險評估指南》和《信息安全風險管理指南》兩個規范草案的初稿。2005年2月至8月，國務院信息辦在北京市、上海市、黑龍江省、云南省、人民銀行、稅務總局、國家電網公司、國家信息中心等地方、部門和單位組織開展了風險評估試點工作。

第二階段：風險評估開展階段。

在調研和試點的基礎上，國信辦會同公安部、安全部、 國家保密局、密碼管理局、總參三部等部門及有關專家起草了《國家網絡與信息安全協調小 組關于開展信息安全風險評估工作的意見》（簡稱《意見》）征求意見稿。2006年3月7日，醞釀已久的《意見》正式對外公布。這是我國信息安全保障工作中的一件大事?！兑庖姟芬螅餍畔⒒托畔踩鞴懿块T要充分認識風險評估工作對于提高信息安全管理水平的 重要意義，要從抓試點開始，逐步探索組織實施和管理的經驗，用3年左右的時間在我國基 礎信息網絡和重要信息系統普遍推行風險評估工作，全面提升網絡和信息系統安全保障能力。

2.2 信息安全風險評估的意義

從國外經驗和我國對風險評估的高度重視，可見風險評估具有很大的現實意義。

（1）風險評估是建設信息安全保障體系的起點和基礎工作。風險評估是從信息系統實際存在的風險出發，發現風險，并盡量規避風險。所以，一切信息安全的建設和管理工作都必須建立在科學的風險評估的基礎上。

（2）實現信息安全的持續性和動態性。風險評估貫穿信息系統的整個生命周期，從信息系統的規劃階段、設計階段、實施階段、運行維護階段直至信息系統廢止階段，保證了信息安全的持續性。同時，由于各階段的安全需求不同，使得風險評估的結果和所采取的安全措施也有所不同，實現了信息的動態安全。

（3）實現信息安全的標準化和信息安全的監督和認證。風險評估有規范的評估標準或評估指南，使信息安全達到了標準化。使用統一的評估標準，可以進行自評估、檢查評估和指定機構評估等，使各種評估具有公正性。同時，通過自評估可發現安全隱患；通過檢查評估，可對信息安全實現監督和管理；通過機構評估，可進行信息安全管理體系的測評認證。

（4）風險評估提倡適度安全。因為所有信息系統安全風險是客觀存在的，試圖完全消滅風險或完全避免風險是不現實的。風險評估根據信息系統的安全等級、存在的風險，作出科學的判斷，并采取相應的安全措施，從而既不會出現信息安全保障不力，也不會造成信息 安全過度保護。

（5）風險評估強調安全管理與安全技術并重。風險評估是信息安全管理的一種科學方 法，風險評估標準是信息安全管理的準則。只有安全管理與安全技術相結合，才可以建立真 正的信息安全保障體系。

3 血液中心信息安全保障現狀

盡管我國已提出了建設血液中心信息安全保障體系的目標，但現實狀況是仍處于初步探索階段，與國內外信息安全保障的要求還存在差距，主要表現在三個方面。

（1）偏重安全技術。天津市血液中心信息安全保障體系的建設，應包括安全技術、安全管理和安全法規標準等。然而，長期以來人們對信息安全采取的手段偏重于依靠技術，從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、身份認證等。但“事實上僅僅依靠技術和產品保障信息安全的愿望卻往往難盡人意，許多復雜、多變的安全威脅和隱患靠產品是無法消除的。”據有關部門統計，在所有的信息安全事件中，屬于安全管理方面的原因比重高達70%以上，而這些安全問題是可以通過科學的信息安全管理來避免?！叭旨夹g，七分管理”這個在其他領域總結出來的實踐經驗和原則，在信息安全領域也同樣適用。

（2）缺少適度保護意識。信息安全保護的原則之一是提倡適度保護。 “信息價值越高，所面臨的威脅風險就越大，信息安全問題就越突出?！狈粗嗳弧２煌男畔⑾到y根據其所管理的信息的重要程度，其安全保護要求是不同的。

（3）缺少信息安全保護的持續性。當前，血液中心信息系統除了日常進行殺毒軟件升級和數據備份外，還需要完善安全建設，因此風險評估需要貫穿始終。

4 建設基于風險評估的信息安全保障體系的必要性

天津市血液中心信息安全保障體系，簡單來講就是在信息系統的整個生命周期內，從技術、管理和標準法規等多方面，以積極防御、適度安全和動態保障為安全保護原則，基于等級保護制度下的風險評估為手段，保障信息安全的保密性、完整性、可用性、真實性、可核查性、抗抵賴性和可控性屬性，并保障系統安全的持續性的體系。在信息化建設飛速發展的今天，對已建和在建的信息系統建立基于風險評估的信息安全保障體系具有十分的必要性。

4.1 學習先進國家經驗和響應我國信息安全保障政策的重大舉措

縱觀當今國內外的信息安全建設，對信息安全保障體系建設已上升到“維護國家安全、社會穩定和公共利益”的高度，都在建設和完善國家信息安全保障體系，并以等級保護制度下的風險評估作為切入點。信息資源是我國的重要信息資源，也需適應時代發展和響應國家政策，開展信息安全風險評估，建立具有自身特色的信息安全保障體系。

4.2 為信息安全保障體系建設提供科學的方法

信息安全保障體系的建設，是目前信息化建設中的重要工作，全國上下都高度重視，也在不斷探索有效的構建方法，并加以規范和推廣。風險評估可以為構建信息安全保障體系提供科學的方法，因為風險評估承認風險的客觀存在、只能追求最小風險而不存在零風險、風險是不斷變化的、風險評估是一個確認風險的過程、在風險和安全間找衡、所有的信息安全建設和管理都以風險評估為基礎，這些都體現了風險評估的科學性。如果沒有科學的方法和手段不可能建設完善的信息安全保障體系。

4.3 符合信息安全管理的實際需求

目前，信息安全保障體系建設存在多方面的不足，尤其是對信息的安全管理不夠重視。國際上實現信息安全管理的有效手段是在信息安全等級保護制度下，進行風險評估，也就是先根據信息系統的重要程度確定信息系統的安全等級，并根據該等級的保護要求進行風險評估，確定是否達到該等級的安全要求。風險評估所體現的適度安全、動態安全、持久安全、評估制度化、常規化、規范化等，都是信息安全管理的內容，是信息安全保障所實際需要的，也是信息安全保障體系建設的目標。

4.4 將信息安全從事后“堵漏洞”，轉化為“預防為主”的方式

風險評估在系統規劃、設計階段就開始進行，充分體現了積極防御的信息安全原則，防患于未然，以最低的代價、最大限度地減少信息安全風險，提高信息系統的安全保護能力，徹底改變往往造成嚴重或無法估量的安全事故后，再事后“堵漏洞”的狀況。

4.5 加強對信息安全的監督工作

風險評估不僅可以達到自我掌握信息安全狀況，同時對風險評估的定期開展，達到促進和監督信息安全保障體系的建設，并且信息安全監督也應做到規范化、制度化和長期化。

5 基于信息安全風險評估的信息安全保障體系建設

至今為止，風險評估在信息安全保障體系建設中的應用還未正式提出，但相信不久的將來一定會提出并開展這項工作。由于風險評估在我國也是開展不久，還在不斷的探索，基于風險評估的信息安全保障體系建設的研究、試驗和應用目前基本處于空白狀態。然而，由于信息資源的特殊性，國家風險評估的宏觀政策、指南、標準等不可能完全照搬到信息化工作中來，我們需根據信息自身的特點，研究適合信息安全風險評估的一系列政策、法規標準和指南，所以有很多工作需要我們去探索。主要包括四個方面：（1）在國家風險評估的整體規劃和指導下，制定信息安全風險評估的指導原則；（2）制定基于風險評估的信息安全保障體系的構架；（3）制定信息風險評估方法和流程；（4）制定信息風險評估的相關法規、標準和指南等。

在開展以上這些工作過程中，我們必須學習和運用已有的國內外相關法規標準等，主要有ISO/IEC 17799：2005、美國的NIST SP800-30、我國近期制定的《信息安全風險管理指南（報批稿）》《信息安全風險評估規范》《信息系統安全等級保護實施指南》和《電子政務信息安全等級保護實施指南》等。信息安全風險評估是信息安全保障體系建設的必由之路，希望各級行政 管理部門能及早認識到其重要性和必要性，通過調研、試點、推廣等階段，在我國逐步實現 信息安全風險評估。

參考文獻

[1] 范紅，馮登國，吳亞非.信息安全風險評估方法與應用[M].北京：清華大學出版社，2017.

[2] 郭鑫.信息安全風險評估手冊[M].北京：機械工業出版社.2018.

[3] 向宏.信息安全測評與風險評估[M].北京：電子工業出版社，2018.

作者簡介：

徐國星（1975-），男，天津人，本科，網絡工程師；主要研究方向和關注領域：血液信息安全、血液信息化管理。