信息安全風(fēng)險(xiǎn)評估與等級(jí)保護(hù)的關(guān)系探究

何海燕

（湖南高速鐵路職業(yè)技術(shù)學(xué)院 湖南衡陽 421002）

信息安全風(fēng)險(xiǎn)評估與等級(jí)保護(hù)的關(guān)系探究

何海燕

（湖南高速鐵路職業(yè)技術(shù)學(xué)院 湖南衡陽 421002）

當(dāng)前網(wǎng)絡(luò)信息技術(shù)突飛猛進(jìn)，人們對網(wǎng)絡(luò)的需求越來越迫切，沒有網(wǎng)絡(luò)就沒有如今的快速發(fā)展，正是由于網(wǎng)絡(luò)的大量應(yīng)用，它的安全也被人們所關(guān)注。網(wǎng)絡(luò)欺詐以及個(gè)人電腦信息泄露的現(xiàn)象時(shí)有發(fā)生，這樣人們在使用信息技術(shù)時(shí)就會(huì)有些擔(dān)心。本文分析了信息安全風(fēng)險(xiǎn)評估與等級(jí)保護(hù)的關(guān)系，闡述了兩者間的組成架構(gòu)，以期對改善我國的信息安全現(xiàn)狀有所幫助。

信息安全 風(fēng)險(xiǎn)評估 等級(jí)保護(hù) 關(guān)系

當(dāng)前網(wǎng)絡(luò)信息技術(shù)快速發(fā)展，人們越來越離不開網(wǎng)絡(luò)信息技術(shù)，中國的網(wǎng)民數(shù)量達(dá)到十億，可見，人們對它的依賴程度非常之大。我國的信息化建設(shè)取得了一定的成績，各行業(yè)都在依靠信息技術(shù)成長，例如電子政務(wù)與電子商務(wù)就是最具代表性的行業(yè)。由于大多數(shù)網(wǎng)民不懂信息安全等知識(shí)，導(dǎo)致自己面臨嚴(yán)重的信息安全風(fēng)險(xiǎn)，各種信息泄露事件時(shí)有發(fā)生。只依靠安全產(chǎn)品進(jìn)行被動(dòng)防守已經(jīng)很難奏效，最好的辦法就是各個(gè)信息系統(tǒng)運(yùn)營者，通過加強(qiáng)信息安全風(fēng)險(xiǎn)評估和分級(jí)管理，來保障用戶的利益。

一、信息安全風(fēng)險(xiǎn)評估與等級(jí)保護(hù)的現(xiàn)狀

我國政府部門非常重視信息安全工作，制定和建立了一些法律法規(guī)加以約束。在2003年中央下發(fā)文件《關(guān)于加強(qiáng)信息安全保障工作的意見》，這份文件中就提出，政府部門要高度重視信息安全風(fēng)險(xiǎn)評估工作，把它作為重要任務(wù)來抓，同時(shí)，要實(shí)行信息等級(jí)保護(hù)政策，保護(hù)公民的信息安全；在2006年又發(fā)布《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》；正是由于這一系列的政策法規(guī)，我國的信息安全工作逐漸有了起色，公安部聯(lián)合其他有關(guān)部門，制定出臺(tái)了一系列政策文件，一起加強(qiáng)對信息安全的保障工作。為了進(jìn)一步加強(qiáng)等級(jí)保護(hù)制度，在2008年公安部與其他部門聯(lián)合發(fā)布加強(qiáng)風(fēng)險(xiǎn)評估的工作的通知；工信部也發(fā)布相關(guān)文件。這些文件均明確，政府部門要重視信息安全風(fēng)險(xiǎn)評估工作，非涉密網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)評估工作，由專業(yè)機(jī)構(gòu)完成，并出具風(fēng)險(xiǎn)評估報(bào)告［1］。綜合來看，我國的信息系統(tǒng)風(fēng)險(xiǎn)評估工作正在有條不紊的進(jìn)行當(dāng)中，正處在發(fā)展的階段，在發(fā)展中，必定會(huì)存在一些不合理的地方，所以作為政府部門，要及時(shí)想出對策，完善當(dāng)前的法律和制度，以確保風(fēng)險(xiǎn)評估工作正常的運(yùn)行。

二、信息安全風(fēng)險(xiǎn)評估與等級(jí)保護(hù)的關(guān)系

當(dāng)前網(wǎng)絡(luò)信息技術(shù)突飛猛進(jìn)，人們對網(wǎng)絡(luò)的需求越來越迫切，沒有網(wǎng)絡(luò)就沒有如今的快速發(fā)展，正是由于網(wǎng)絡(luò)的大量應(yīng)用，它的安全也被人們所關(guān)注。網(wǎng)絡(luò)欺詐以及個(gè)人電腦信息泄露的現(xiàn)象時(shí)有發(fā)生，這樣人們在使用信息技術(shù)時(shí)就會(huì)有些擔(dān)心。各個(gè)行業(yè)、單位、個(gè)人都會(huì)用到信息系統(tǒng)，信息系統(tǒng)能夠?yàn)槭褂谜咄瓿筛鞣N各樣的任務(wù)和目標(biāo)，有些機(jī)密信息往往也會(huì)包含在信息系統(tǒng)中，所以，很多不法分子或者是網(wǎng)絡(luò)黑客，就會(huì)利用信息系統(tǒng)的漏洞進(jìn)行攻擊，他們的手法多樣，技術(shù)遠(yuǎn)遠(yuǎn)領(lǐng)先于一般的防護(hù)軟件，所以，很難避免被侵犯。還有，我們平時(shí)實(shí)用的信息系統(tǒng)相對脆弱，很容易被各種各樣的威脅所利用，導(dǎo)致出現(xiàn)安全事件。在信息系統(tǒng)使用的各個(gè)階段中，由于多種原因會(huì)造成信息安全風(fēng)險(xiǎn)，例如，在建設(shè)信息系統(tǒng)的初期，相關(guān)規(guī)劃與設(shè)計(jì)沒有普考慮到信息安全的重要性，使用者對安全方法認(rèn)識(shí)不夠明晰，不會(huì)去分析安全因素，因而在建設(shè)完成信息系統(tǒng)之后，往往會(huì)存在安全風(fēng)險(xiǎn)，而且這種初期的失誤，會(huì)影響到信息系統(tǒng)的實(shí)施和運(yùn)維階段，后果非常嚴(yán)重；還有在已建設(shè)完成的信息系統(tǒng)中，會(huì)需要運(yùn)行和記錄大量的數(shù)據(jù)，計(jì)算過程也是相當(dāng)繁瑣復(fù)雜，如果在此時(shí)沒有合理的計(jì)算方法和流程，就會(huì)導(dǎo)致信息系統(tǒng)存在大量的資源浪費(fèi)現(xiàn)象。而如果采取等級(jí)保護(hù)的措施，就能將信息系統(tǒng)劃分相應(yīng)的等級(jí)，對重要信息系統(tǒng)實(shí)施重點(diǎn)保護(hù)，確保信息系統(tǒng)安全運(yùn)行。因此，在建設(shè)信息系統(tǒng)的過程中，必須進(jìn)行風(fēng)險(xiǎn)評估，又要考慮系統(tǒng)等級(jí)的因素，合理有效的規(guī)避系統(tǒng)風(fēng)險(xiǎn)，節(jié)省投資成本，建設(shè)安全的信息系統(tǒng)［2］。

風(fēng)險(xiǎn)評估在等級(jí)保護(hù)的各個(gè)階段均有體現(xiàn)。在系統(tǒng)定級(jí)階段，每一個(gè)信息系統(tǒng)使用者都得從實(shí)際出發(fā)，考慮業(yè)務(wù)方面的因素，綜合考慮信息方面的內(nèi)容，例如信息資產(chǎn)的重要性、多長時(shí)間發(fā)生一次威脅，以及系統(tǒng)脆弱的程度，根據(jù)這些因素判斷信息系統(tǒng)將要面臨什么樣的風(fēng)險(xiǎn)，接下來要采取多少強(qiáng)度的安全方式，將信息安全風(fēng)險(xiǎn)盡量消除在可允許的范圍內(nèi)，防止出現(xiàn)更大的風(fēng)險(xiǎn)。所以，我們對信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估，就顯得非常有必要，它能最大程度的降低安全風(fēng)險(xiǎn)帶來的危害。因此，風(fēng)險(xiǎn)評估的結(jié)果要引起相關(guān)部門的高度重視，把它合理的運(yùn)用到等級(jí)保護(hù)中。在安全整改階段，它是根據(jù)國家的要求，在管理層面和技術(shù)層面分別采取不同強(qiáng)度的安全措施，保障信息系統(tǒng)的安全。風(fēng)險(xiǎn)評估工作在整改階段發(fā)揮著重要的作用，就是在全方位對信息系統(tǒng)進(jìn)行保護(hù)和鞏固，再采取進(jìn)一步的工作安排。當(dāng)然，在整改過程中也會(huì)出現(xiàn)這樣那樣的問題，可能會(huì)發(fā)生相互干擾的事件，情節(jié)嚴(yán)重的還可能帶來長期的安全隱患。在完成信息系統(tǒng)的整改之后，在日后的維護(hù)過程中，使用者還要經(jīng)常對信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估，以確?，F(xiàn)有的安全措施具有防范作用，防止出現(xiàn)過度保護(hù)或保護(hù)不足的現(xiàn)象。綜合起來，我們發(fā)現(xiàn)，在等級(jí)保護(hù)的工作中，信息安全風(fēng)險(xiǎn)評估起到了基礎(chǔ)性的作用，它能夠確定信息系統(tǒng)的安全等級(jí)，方便日后的工作，在安全整改階段可以當(dāng)做整改的的重要依據(jù)，方便平時(shí)的維修工作，在后期的安全運(yùn)行維護(hù)過程中，也起到了基礎(chǔ)的作用，對維護(hù)信息系統(tǒng)的正常運(yùn)行很有幫助［3］。

總結(jié)

所以，風(fēng)險(xiǎn)評估是信息安全等級(jí)保護(hù)的基礎(chǔ)性工作，它能保證系統(tǒng)連續(xù)工作。然而，在工作中，信息安全風(fēng)險(xiǎn)評估還沒有引起足夠的重視，存在很多的問題。由于大多數(shù)網(wǎng)民不懂信息安全等知識(shí)，導(dǎo)致自己面臨嚴(yán)重的信息安全風(fēng)險(xiǎn)，各種信息泄露事件時(shí)有發(fā)生。只依靠安全產(chǎn)品進(jìn)行被動(dòng)防守已經(jīng)很難奏效，最好的辦法就是各個(gè)信息系統(tǒng)運(yùn)營者，通過加強(qiáng)信息安全風(fēng)險(xiǎn)評估和分級(jí)管理，來保障用戶的利益。

［1］劉念，張建華.互動(dòng)用電方式下的信息安全風(fēng)險(xiǎn)與安全需求分析.電力系統(tǒng)自動(dòng)化，2009（09）.

［2］潘平，楊平，何朝霞.基于多屬性層次分析的信息安全風(fēng)險(xiǎn)評估方法.信息安全與技術(shù)，2010（10）.

［3］何勇亮，黃愛國.基于信息安全等級(jí)保護(hù)的安全測評服務(wù)框架研究.第二屆全國信息安全等級(jí)保護(hù)測評體系建設(shè)會(huì)議論文集，2013.