何海燕
(湖南高速鐵路職業(yè)技術(shù)學(xué)院 湖南衡陽 421002)
信息安全風(fēng)險評估與等級保護(hù)的關(guān)系探究
何海燕
(湖南高速鐵路職業(yè)技術(shù)學(xué)院 湖南衡陽 421002)
當(dāng)前網(wǎng)絡(luò)信息技術(shù)突飛猛進(jìn),人們對網(wǎng)絡(luò)的需求越來越迫切,沒有網(wǎng)絡(luò)就沒有如今的快速發(fā)展,正是由于網(wǎng)絡(luò)的大量應(yīng)用,它的安全也被人們所關(guān)注。網(wǎng)絡(luò)欺詐以及個人電腦信息泄露的現(xiàn)象時有發(fā)生,這樣人們在使用信息技術(shù)時就會有些擔(dān)心。本文分析了信息安全風(fēng)險評估與等級保護(hù)的關(guān)系,闡述了兩者間的組成架構(gòu),以期對改善我國的信息安全現(xiàn)狀有所幫助。
信息安全 風(fēng)險評估 等級保護(hù) 關(guān)系
當(dāng)前網(wǎng)絡(luò)信息技術(shù)快速發(fā)展,人們越來越離不開網(wǎng)絡(luò)信息技術(shù),中國的網(wǎng)民數(shù)量達(dá)到十億,可見,人們對它的依賴程度非常之大。我國的信息化建設(shè)取得了一定的成績,各行業(yè)都在依靠信息技術(shù)成長,例如電子政務(wù)與電子商務(wù)就是最具代表性的行業(yè)。由于大多數(shù)網(wǎng)民不懂信息安全等知識,導(dǎo)致自己面臨嚴(yán)重的信息安全風(fēng)險,各種信息泄露事件時有發(fā)生。只依靠安全產(chǎn)品進(jìn)行被動防守已經(jīng)很難奏效,最好的辦法就是各個信息系統(tǒng)運營者,通過加強信息安全風(fēng)險評估和分級管理,來保障用戶的利益。
我國政府部門非常重視信息安全工作,制定和建立了一些法律法規(guī)加以約束。在2003年中央下發(fā)文件《關(guān)于加強信息安全保障工作的意見》,這份文件中就提出,政府部門要高度重視信息安全風(fēng)險評估工作,把它作為重要任務(wù)來抓,同時,要實行信息等級保護(hù)政策,保護(hù)公民的信息安全;在2006年又發(fā)布《關(guān)于開展信息安全風(fēng)險評估工作的意見》;正是由于這一系列的政策法規(guī),我國的信息安全工作逐漸有了起色,公安部聯(lián)合其他有關(guān)部門,制定出臺了一系列政策文件,一起加強對信息安全的保障工作。為了進(jìn)一步加強等級保護(hù)制度,在2008年公安部與其他部門聯(lián)合發(fā)布加強風(fēng)險評估的工作的通知;工信部也發(fā)布相關(guān)文件。這些文件均明確,政府部門要重視信息安全風(fēng)險評估工作,非涉密網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險評估工作,由專業(yè)機構(gòu)完成,并出具風(fēng)險評估報告[1]。綜合來看,我國的信息系統(tǒng)風(fēng)險評估工作正在有條不紊的進(jìn)行當(dāng)中,正處在發(fā)展的階段,在發(fā)展中,必定會存在一些不合理的地方,所以作為政府部門,要及時想出對策,完善當(dāng)前的法律和制度,以確保風(fēng)險評估工作正常的運行。
當(dāng)前網(wǎng)絡(luò)信息技術(shù)突飛猛進(jìn),人們對網(wǎng)絡(luò)的需求越來越迫切,沒有網(wǎng)絡(luò)就沒有如今的快速發(fā)展,正是由于網(wǎng)絡(luò)的大量應(yīng)用,它的安全也被人們所關(guān)注。網(wǎng)絡(luò)欺詐以及個人電腦信息泄露的現(xiàn)象時有發(fā)生,這樣人們在使用信息技術(shù)時就會有些擔(dān)心。各個行業(yè)、單位、個人都會用到信息系統(tǒng),信息系統(tǒng)能夠為使用者完成各種各樣的任務(wù)和目標(biāo),有些機密信息往往也會包含在信息系統(tǒng)中,所以,很多不法分子或者是網(wǎng)絡(luò)黑客,就會利用信息系統(tǒng)的漏洞進(jìn)行攻擊,他們的手法多樣,技術(shù)遠(yuǎn)遠(yuǎn)領(lǐng)先于一般的防護(hù)軟件,所以,很難避免被侵犯。還有,我們平時實用的信息系統(tǒng)相對脆弱,很容易被各種各樣的威脅所利用,導(dǎo)致出現(xiàn)安全事件。在信息系統(tǒng)使用的各個階段中,由于多種原因會造成信息安全風(fēng)險,例如,在建設(shè)信息系統(tǒng)的初期,相關(guān)規(guī)劃與設(shè)計沒有普考慮到信息安全的重要性,使用者對安全方法認(rèn)識不夠明晰,不會去分析安全因素,因而在建設(shè)完成信息系統(tǒng)之后,往往會存在安全風(fēng)險,而且這種初期的失誤,會影響到信息系統(tǒng)的實施和運維階段,后果非常嚴(yán)重;還有在已建設(shè)完成的信息系統(tǒng)中,會需要運行和記錄大量的數(shù)據(jù),計算過程也是相當(dāng)繁瑣復(fù)雜,如果在此時沒有合理的計算方法和流程,就會導(dǎo)致信息系統(tǒng)存在大量的資源浪費現(xiàn)象。而如果采取等級保護(hù)的措施,就能將信息系統(tǒng)劃分相應(yīng)的等級,對重要信息系統(tǒng)實施重點保護(hù),確保信息系統(tǒng)安全運行。因此,在建設(shè)信息系統(tǒng)的過程中,必須進(jìn)行風(fēng)險評估,又要考慮系統(tǒng)等級的因素,合理有效的規(guī)避系統(tǒng)風(fēng)險,節(jié)省投資成本,建設(shè)安全的信息系統(tǒng)[2]。
風(fēng)險評估在等級保護(hù)的各個階段均有體現(xiàn)。在系統(tǒng)定級階段,每一個信息系統(tǒng)使用者都得從實際出發(fā),考慮業(yè)務(wù)方面的因素,綜合考慮信息方面的內(nèi)容,例如信息資產(chǎn)的重要性、多長時間發(fā)生一次威脅,以及系統(tǒng)脆弱的程度,根據(jù)這些因素判斷信息系統(tǒng)將要面臨什么樣的風(fēng)險,接下來要采取多少強度的安全方式,將信息安全風(fēng)險盡量消除在可允許的范圍內(nèi),防止出現(xiàn)更大的風(fēng)險。所以,我們對信息系統(tǒng)進(jìn)行安全風(fēng)險評估,就顯得非常有必要,它能最大程度的降低安全風(fēng)險帶來的危害。因此,風(fēng)險評估的結(jié)果要引起相關(guān)部門的高度重視,把它合理的運用到等級保護(hù)中。在安全整改階段,它是根據(jù)國家的要求,在管理層面和技術(shù)層面分別采取不同強度的安全措施,保障信息系統(tǒng)的安全。風(fēng)險評估工作在整改階段發(fā)揮著重要的作用,就是在全方位對信息系統(tǒng)進(jìn)行保護(hù)和鞏固,再采取進(jìn)一步的工作安排。當(dāng)然,在整改過程中也會出現(xiàn)這樣那樣的問題,可能會發(fā)生相互干擾的事件,情節(jié)嚴(yán)重的還可能帶來長期的安全隱患。在完成信息系統(tǒng)的整改之后,在日后的維護(hù)過程中,使用者還要經(jīng)常對信息系統(tǒng)進(jìn)行安全風(fēng)險評估,以確?,F(xiàn)有的安全措施具有防范作用,防止出現(xiàn)過度保護(hù)或保護(hù)不足的現(xiàn)象。綜合起來,我們發(fā)現(xiàn),在等級保護(hù)的工作中,信息安全風(fēng)險評估起到了基礎(chǔ)性的作用,它能夠確定信息系統(tǒng)的安全等級,方便日后的工作,在安全整改階段可以當(dāng)做整改的的重要依據(jù),方便平時的維修工作,在后期的安全運行維護(hù)過程中,也起到了基礎(chǔ)的作用,對維護(hù)信息系統(tǒng)的正常運行很有幫助[3]。
所以,風(fēng)險評估是信息安全等級保護(hù)的基礎(chǔ)性工作,它能保證系統(tǒng)連續(xù)工作。然而,在工作中,信息安全風(fēng)險評估還沒有引起足夠的重視,存在很多的問題。由于大多數(shù)網(wǎng)民不懂信息安全等知識,導(dǎo)致自己面臨嚴(yán)重的信息安全風(fēng)險,各種信息泄露事件時有發(fā)生。只依靠安全產(chǎn)品進(jìn)行被動防守已經(jīng)很難奏效,最好的辦法就是各個信息系統(tǒng)運營者,通過加強信息安全風(fēng)險評估和分級管理,來保障用戶的利益。
[1]劉念,張建華.互動用電方式下的信息安全風(fēng)險與安全需求分析.電力系統(tǒng)自動化,2009(09).
[2]潘平,楊平,何朝霞.基于多屬性層次分析的信息安全風(fēng)險評估方法.信息安全與技術(shù),2010(10).
[3]何勇亮,黃愛國.基于信息安全等級保護(hù)的安全測評服務(wù)框架研究.第二屆全國信息安全等級保護(hù)測評體系建設(shè)會議論文集,2013.