何海燕
(湖南高速鐵路職業(yè)技術(shù)學(xué)院 湖南衡陽 421002)
信息安全風(fēng)險(xiǎn)評估與等級(jí)保護(hù)的關(guān)系探究
何海燕
(湖南高速鐵路職業(yè)技術(shù)學(xué)院 湖南衡陽 421002)
當(dāng)前網(wǎng)絡(luò)信息技術(shù)突飛猛進(jìn),人們對網(wǎng)絡(luò)的需求越來越迫切,沒有網(wǎng)絡(luò)就沒有如今的快速發(fā)展,正是由于網(wǎng)絡(luò)的大量應(yīng)用,它的安全也被人們所關(guān)注。網(wǎng)絡(luò)欺詐以及個(gè)人電腦信息泄露的現(xiàn)象時(shí)有發(fā)生,這樣人們在使用信息技術(shù)時(shí)就會(huì)有些擔(dān)心。本文分析了信息安全風(fēng)險(xiǎn)評估與等級(jí)保護(hù)的關(guān)系,闡述了兩者間的組成架構(gòu),以期對改善我國的信息安全現(xiàn)狀有所幫助。
信息安全 風(fēng)險(xiǎn)評估 等級(jí)保護(hù) 關(guān)系
當(dāng)前網(wǎng)絡(luò)信息技術(shù)快速發(fā)展,人們越來越離不開網(wǎng)絡(luò)信息技術(shù),中國的網(wǎng)民數(shù)量達(dá)到十億,可見,人們對它的依賴程度非常之大。我國的信息化建設(shè)取得了一定的成績,各行業(yè)都在依靠信息技術(shù)成長,例如電子政務(wù)與電子商務(wù)就是最具代表性的行業(yè)。由于大多數(shù)網(wǎng)民不懂信息安全等知識(shí),導(dǎo)致自己面臨嚴(yán)重的信息安全風(fēng)險(xiǎn),各種信息泄露事件時(shí)有發(fā)生。只依靠安全產(chǎn)品進(jìn)行被動(dòng)防守已經(jīng)很難奏效,最好的辦法就是各個(gè)信息系統(tǒng)運(yùn)營者,通過加強(qiáng)信息安全風(fēng)險(xiǎn)評估和分級(jí)管理,來保障用戶的利益。
我國政府部門非常重視信息安全工作,制定和建立了一些法律法規(guī)加以約束。在2003年中央下發(fā)文件《關(guān)于加強(qiáng)信息安全保障工作的意見》,這份文件中就提出,政府部門要高度重視信息安全風(fēng)險(xiǎn)評估工作,把它作為重要任務(wù)來抓,同時(shí),要實(shí)行信息等級(jí)保護(hù)政策,保護(hù)公民的信息安全;在2006年又發(fā)布《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》;正是由于這一系列的政策法規(guī),我國的信息安全工作逐漸有了起色,公安部聯(lián)合其他有關(guān)部門,制定出臺(tái)了一系列政策文件,一起加強(qiáng)對信息安全的保障工作。為了進(jìn)一步加強(qiáng)等級(jí)保護(hù)制度,在2008年公安部與其他部門聯(lián)合發(fā)布加強(qiáng)風(fēng)險(xiǎn)評估的工作的通知;工信部也發(fā)布相關(guān)文件。這些文件均明確,政府部門要重視信息安全風(fēng)險(xiǎn)評估工作,非涉密網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)評估工作,由專業(yè)機(jī)構(gòu)完成,并出具風(fēng)險(xiǎn)評估報(bào)告[1]。綜合來看,我國的信息系統(tǒng)風(fēng)險(xiǎn)評估工作正在有條不紊的進(jìn)行當(dāng)中,正處在發(fā)展的階段,在發(fā)展中,必定會(huì)存在一些不合理的地方,所以作為政府部門,要及時(shí)想出對策,完善當(dāng)前的法律和制度,以確保風(fēng)險(xiǎn)評估工作正常的運(yùn)行。
當(dāng)前網(wǎng)絡(luò)信息技術(shù)突飛猛進(jìn),人們對網(wǎng)絡(luò)的需求越來越迫切,沒有網(wǎng)絡(luò)就沒有如今的快速發(fā)展,正是由于網(wǎng)絡(luò)的大量應(yīng)用,它的安全也被人們所關(guān)注。網(wǎng)絡(luò)欺詐以及個(gè)人電腦信息泄露的現(xiàn)象時(shí)有發(fā)生,這樣人們在使用信息技術(shù)時(shí)就會(huì)有些擔(dān)心。各個(gè)行業(yè)、單位、個(gè)人都會(huì)用到信息系統(tǒng),信息系統(tǒng)能夠?yàn)槭褂谜咄瓿筛鞣N各樣的任務(wù)和目標(biāo),有些機(jī)密信息往往也會(huì)包含在信息系統(tǒng)中,所以,很多不法分子或者是網(wǎng)絡(luò)黑客,就會(huì)利用信息系統(tǒng)的漏洞進(jìn)行攻擊,他們的手法多樣,技術(shù)遠(yuǎn)遠(yuǎn)領(lǐng)先于一般的防護(hù)軟件,所以,很難避免被侵犯。還有,我們平時(shí)實(shí)用的信息系統(tǒng)相對脆弱,很容易被各種各樣的威脅所利用,導(dǎo)致出現(xiàn)安全事件。在信息系統(tǒng)使用的各個(gè)階段中,由于多種原因會(huì)造成信息安全風(fēng)險(xiǎn),例如,在建設(shè)信息系統(tǒng)的初期,相關(guān)規(guī)劃與設(shè)計(jì)沒有普考慮到信息安全的重要性,使用者對安全方法認(rèn)識(shí)不夠明晰,不會(huì)去分析安全因素,因而在建設(shè)完成信息系統(tǒng)之后,往往會(huì)存在安全風(fēng)險(xiǎn),而且這種初期的失誤,會(huì)影響到信息系統(tǒng)的實(shí)施和運(yùn)維階段,后果非常嚴(yán)重;還有在已建設(shè)完成的信息系統(tǒng)中,會(huì)需要運(yùn)行和記錄大量的數(shù)據(jù),計(jì)算過程也是相當(dāng)繁瑣復(fù)雜,如果在此時(shí)沒有合理的計(jì)算方法和流程,就會(huì)導(dǎo)致信息系統(tǒng)存在大量的資源浪費(fèi)現(xiàn)象。而如果采取等級(jí)保護(hù)的措施,就能將信息系統(tǒng)劃分相應(yīng)的等級(jí),對重要信息系統(tǒng)實(shí)施重點(diǎn)保護(hù),確保信息系統(tǒng)安全運(yùn)行。因此,在建設(shè)信息系統(tǒng)的過程中,必須進(jìn)行風(fēng)險(xiǎn)評估,又要考慮系統(tǒng)等級(jí)的因素,合理有效的規(guī)避系統(tǒng)風(fēng)險(xiǎn),節(jié)省投資成本,建設(shè)安全的信息系統(tǒng)[2]。
風(fēng)險(xiǎn)評估在等級(jí)保護(hù)的各個(gè)階段均有體現(xiàn)。在系統(tǒng)定級(jí)階段,每一個(gè)信息系統(tǒng)使用者都得從實(shí)際出發(fā),考慮業(yè)務(wù)方面的因素,綜合考慮信息方面的內(nèi)容,例如信息資產(chǎn)的重要性、多長時(shí)間發(fā)生一次威脅,以及系統(tǒng)脆弱的程度,根據(jù)這些因素判斷信息系統(tǒng)將要面臨什么樣的風(fēng)險(xiǎn),接下來要采取多少強(qiáng)度的安全方式,將信息安全風(fēng)險(xiǎn)盡量消除在可允許的范圍內(nèi),防止出現(xiàn)更大的風(fēng)險(xiǎn)。所以,我們對信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估,就顯得非常有必要,它能最大程度的降低安全風(fēng)險(xiǎn)帶來的危害。因此,風(fēng)險(xiǎn)評估的結(jié)果要引起相關(guān)部門的高度重視,把它合理的運(yùn)用到等級(jí)保護(hù)中。在安全整改階段,它是根據(jù)國家的要求,在管理層面和技術(shù)層面分別采取不同強(qiáng)度的安全措施,保障信息系統(tǒng)的安全。風(fēng)險(xiǎn)評估工作在整改階段發(fā)揮著重要的作用,就是在全方位對信息系統(tǒng)進(jìn)行保護(hù)和鞏固,再采取進(jìn)一步的工作安排。當(dāng)然,在整改過程中也會(huì)出現(xiàn)這樣那樣的問題,可能會(huì)發(fā)生相互干擾的事件,情節(jié)嚴(yán)重的還可能帶來長期的安全隱患。在完成信息系統(tǒng)的整改之后,在日后的維護(hù)過程中,使用者還要經(jīng)常對信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估,以確?,F(xiàn)有的安全措施具有防范作用,防止出現(xiàn)過度保護(hù)或保護(hù)不足的現(xiàn)象。綜合起來,我們發(fā)現(xiàn),在等級(jí)保護(hù)的工作中,信息安全風(fēng)險(xiǎn)評估起到了基礎(chǔ)性的作用,它能夠確定信息系統(tǒng)的安全等級(jí),方便日后的工作,在安全整改階段可以當(dāng)做整改的的重要依據(jù),方便平時(shí)的維修工作,在后期的安全運(yùn)行維護(hù)過程中,也起到了基礎(chǔ)的作用,對維護(hù)信息系統(tǒng)的正常運(yùn)行很有幫助[3]。
所以,風(fēng)險(xiǎn)評估是信息安全等級(jí)保護(hù)的基礎(chǔ)性工作,它能保證系統(tǒng)連續(xù)工作。然而,在工作中,信息安全風(fēng)險(xiǎn)評估還沒有引起足夠的重視,存在很多的問題。由于大多數(shù)網(wǎng)民不懂信息安全等知識(shí),導(dǎo)致自己面臨嚴(yán)重的信息安全風(fēng)險(xiǎn),各種信息泄露事件時(shí)有發(fā)生。只依靠安全產(chǎn)品進(jìn)行被動(dòng)防守已經(jīng)很難奏效,最好的辦法就是各個(gè)信息系統(tǒng)運(yùn)營者,通過加強(qiáng)信息安全風(fēng)險(xiǎn)評估和分級(jí)管理,來保障用戶的利益。
[1]劉念,張建華.互動(dòng)用電方式下的信息安全風(fēng)險(xiǎn)與安全需求分析.電力系統(tǒng)自動(dòng)化,2009(09).
[2]潘平,楊平,何朝霞.基于多屬性層次分析的信息安全風(fēng)險(xiǎn)評估方法.信息安全與技術(shù),2010(10).
[3]何勇亮,黃愛國.基于信息安全等級(jí)保護(hù)的安全測評服務(wù)框架研究.第二屆全國信息安全等級(jí)保護(hù)測評體系建設(shè)會(huì)議論文集,2013.