結(jié)合風(fēng)險(xiǎn)評(píng)估的信息系統(tǒng)等級(jí)保護(hù)應(yīng)用研究

黃均輝

（中國電建集團(tuán)中南勘測(cè)設(shè)計(jì)研究院有限公司數(shù)字工程中心，湖南 長沙 410014）

結(jié)合風(fēng)險(xiǎn)評(píng)估的信息系統(tǒng)等級(jí)保護(hù)應(yīng)用研究

黃均輝

（中國電建集團(tuán)中南勘測(cè)設(shè)計(jì)研究院有限公司數(shù)字工程中心，湖南 長沙 410014）

知識(shí)密集型企業(yè)高度關(guān)注商業(yè)數(shù)據(jù)安全。文章從企業(yè)面臨的信息安全風(fēng)險(xiǎn)出發(fā)，結(jié)合信息安全管理理論和國家標(biāo)準(zhǔn)，提出執(zhí)行計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)過程中，融入風(fēng)險(xiǎn)評(píng)估方法論，為相關(guān)企業(yè)的信息安全保障工作提供一定的借鑒和參考。

信息安全；等級(jí)保護(hù)；風(fēng)險(xiǎn)評(píng)估

企業(yè)借助信息化建設(shè)，實(shí)現(xiàn)突破地域限制的互聯(lián)互通、各類生產(chǎn)經(jīng)營業(yè)務(wù)活動(dòng)的標(biāo)準(zhǔn)流程化、數(shù)據(jù)信息的集中存儲(chǔ)和共享，提高生產(chǎn)效率和帶來經(jīng)濟(jì)效益，但隨之也帶來了信息安全的風(fēng)險(xiǎn)和隱患。知識(shí)密集型企業(yè)的重要關(guān)鍵信息（商業(yè)數(shù)據(jù)、市場資料、研究成果）儲(chǔ)存在計(jì)算機(jī)里，一旦發(fā)生商業(yè)數(shù)據(jù)泄密、服務(wù)癱瘓、漏洞攻擊等信息安全事件，將破壞信息的保密性、完整性、可用性（簡稱CIA特性），嚴(yán)重影響企業(yè)的生產(chǎn)、經(jīng)營和競爭力，帶來重大損失。

1 知識(shí)密集型企業(yè)的信息安全風(fēng)險(xiǎn)

以下從信息安全風(fēng)險(xiǎn)的威脅源、威脅行為、脆弱性、影響四個(gè)方面，初步分析知識(shí)密集型企業(yè)的信息安全風(fēng)險(xiǎn)。

1.1 信息安全風(fēng)險(xiǎn)的威脅源

威脅源可分為環(huán)境和人為。環(huán)境包括自然災(zāi)害、環(huán)境、機(jī)械失效；人為是指來自組織內(nèi)的受信任用戶或來自遠(yuǎn)程位置使用互聯(lián)網(wǎng)身份不明的人（即個(gè)別員工或惡意入侵者）。

1.2 信息安全風(fēng)險(xiǎn)的威脅行為

威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險(xiǎn)，威脅行為即方式，如身份假冒、口令攻擊、竊取數(shù)據(jù)、漏洞利用、社會(huì)工程、物理破壞等手段。

1.3 脆弱性是指可能被利用的薄弱環(huán)節(jié)

①網(wǎng)絡(luò)自身的脆弱性。在信息輸入、傳輸、輸出等過程中存在的信息容易被篡改、偽造、等不安全因素；在網(wǎng)絡(luò)中操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等方面存在安全漏洞、后門等不安全因素；②應(yīng)用系統(tǒng)的脆弱性。應(yīng)用系統(tǒng)開發(fā)過程中，偏重功能實(shí)現(xiàn)，忽視了軟件安全需求和設(shè)計(jì)工作。同時(shí)，企業(yè)實(shí)現(xiàn)了單點(diǎn)登錄，可訪問多個(gè)應(yīng)用，該賬戶權(quán)限范圍內(nèi)的所有數(shù)據(jù)均得不到有效保護(hù)；③管理制度的脆弱性。內(nèi)部管理疏漏、管理制度的缺失或沒有落實(shí)，導(dǎo)致管理人員濫用職權(quán)、或者職責(zé)未分離；④工作人員的脆弱性。工作人員安全意識(shí)不足，不注重工作計(jì)算機(jī)的病毒防護(hù)，用戶口令規(guī)則過于簡單，都容易使計(jì)算機(jī)感染電腦病毒、泄漏密碼。

1.4 安全風(fēng)險(xiǎn)的影響

知識(shí)密集型企業(yè)基本已普及快速高效的信息化辦公環(huán)境，其研究成果數(shù)據(jù)、核心商業(yè)秘密數(shù)據(jù)，都在以信息化管理，各種客觀或人為因素都可能造成企業(yè)重要關(guān)鍵數(shù)據(jù)的丟失或泄密，信息安全問題在高度關(guān)注商業(yè)數(shù)據(jù)安全的知識(shí)密集型企業(yè)尤為突顯。

2 做好企業(yè)信息安全管理實(shí)施的設(shè)想

2.1 實(shí)施體系化

企業(yè)信息安全工作是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程。它遵循木桶原理，信息安全水平高低取決于防護(hù)最薄弱的環(huán)節(jié)。因此，以體系化的方式實(shí)施信息安全管理，并作為企業(yè)整體管理體系的一部分貫徹執(zhí)行，才能實(shí)現(xiàn)并保持一定的信息安全水平。

2.2 信息安全等級(jí)保護(hù)

計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)，是當(dāng)前我國信息安全保障的一項(xiàng)基本制度和基礎(chǔ)管理原則。它規(guī)定了不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求，企業(yè)可根據(jù)系統(tǒng)定級(jí)結(jié)果及相應(yīng)的基本安全要求開展建設(shè)和監(jiān)督管理，確保達(dá)到并維護(hù)一定級(jí)別的信息安全能力。

2.3 信息安全風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是以信息資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型，是獲知組織當(dāng)前風(fēng)險(xiǎn)水平的一種手段，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級(jí)別制定風(fēng)險(xiǎn)處置計(jì)劃，確定下一步的安全需求方向。

2.4 實(shí)際應(yīng)用

信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估都是實(shí)現(xiàn)信息安全的有效手段，在實(shí)際應(yīng)用中需進(jìn)一步的提升。信息安全等級(jí)保護(hù)有待進(jìn)一步細(xì)化和更精準(zhǔn)定量分析，以提高準(zhǔn)確度；風(fēng)險(xiǎn)評(píng)估也只是一個(gè)通用的方法論，多依賴于經(jīng)驗(yàn)，且主要對(duì)象為靜態(tài)資產(chǎn)，未涉及到管理流程、IT審計(jì)等方面的風(fēng)險(xiǎn)。因此，在構(gòu)筑企業(yè)信息安全工作中，建議把以上兩種方法結(jié)合實(shí)施。多管齊下并針對(duì)性的進(jìn)行相應(yīng)的擴(kuò)展，構(gòu)筑信息安全整體保障體系，全面提升企業(yè)信息安全保障水平。

2.5 應(yīng)用探討結(jié)合實(shí)施的作用

①識(shí)別信息資產(chǎn)真實(shí)的風(fēng)險(xiǎn)等級(jí)。等級(jí)保護(hù)是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā)，定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級(jí)，所包含的等級(jí)測(cè)評(píng)也是基于是否符合等級(jí)保護(hù)基本要求為目的；而風(fēng)險(xiǎn)評(píng)估中最終風(fēng)險(xiǎn)的等級(jí)則是綜合考慮了信息重要性、系統(tǒng)安全控制措施的有效性及運(yùn)行現(xiàn)狀的綜合評(píng)估結(jié)果，并以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險(xiǎn)管理為目的。因此，價(jià)值高的信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)不一定高，兩者結(jié)合實(shí)施將有助于識(shí)別真實(shí)的風(fēng)險(xiǎn)等級(jí)，確保保護(hù)措施、資源的有效利用；②豐富手段保證效果。在落實(shí)等級(jí)保護(hù)中，確定安全級(jí)別后，借助風(fēng)險(xiǎn)評(píng)估明確安全現(xiàn)狀，其結(jié)果可作為實(shí)施等級(jí)保護(hù)、等級(jí)安全建設(shè)的參考，有利于整體安全規(guī)劃與建設(shè)；在按標(biāo)準(zhǔn)進(jìn)行等保建設(shè)中，也可以利用風(fēng)險(xiǎn)評(píng)估檢查等保的落實(shí)和執(zhí)行情況；在安全運(yùn)行與維護(hù)中，也可以開展定期和不定期風(fēng)險(xiǎn)評(píng)估以確認(rèn)安全等級(jí)是否發(fā)生變化。

3 做好企業(yè)信息安全管理實(shí)施的工作建議

企業(yè)信息安全保障體系在實(shí)施建立中，堅(jiān)持“堅(jiān)持管理與技術(shù)并重”的原則，并注重以下工作。

3.1 實(shí)際出發(fā)、保障業(yè)務(wù)是宗旨

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，是促進(jìn)發(fā)展而非限制發(fā)展。同時(shí)，從實(shí)際出發(fā)，強(qiáng)調(diào)綜合平衡安全成本與風(fēng)險(xiǎn)，如風(fēng)險(xiǎn)不大就沒有必要花太大的安全成本。

3.2 管理層支持是關(guān)鍵

管理層的參與程度是信息安全建設(shè)工作能否成功實(shí)施的最關(guān)鍵因素。應(yīng)確保足夠的資源提供實(shí)質(zhì)性支持，在建設(shè)過程中制定并頒布信息安全方針、決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則、確保內(nèi)部審核的執(zhí)行和管理評(píng)審等。

3.3 技術(shù)與管理需要融合

技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全，因?yàn)榧夹g(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵。產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用。只有注重技術(shù)與管理相結(jié)合確保安全建設(shè)的全過程、全方面的有效執(zhí)行，才能保證信息安全的長期性和穩(wěn)定性。

4 結(jié)束語

信息安全風(fēng)險(xiǎn)日益加劇，知識(shí)密集型企業(yè)亟需加強(qiáng)信息安全保障建設(shè)。我國制定了信息安全保障建設(shè)的基礎(chǔ)管理原則——等級(jí)保護(hù)，也頒發(fā)了一系列技術(shù)標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》（GB 17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T 25058-2010）、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》（GB/T 22240-2008）等。企業(yè)在參照應(yīng)用中，應(yīng)針對(duì)性的進(jìn)行應(yīng)用和相應(yīng)的擴(kuò)展，文章提出上述結(jié)合風(fēng)險(xiǎn)評(píng)估的信息系統(tǒng)等級(jí)保護(hù)應(yīng)用研究，企業(yè)應(yīng)結(jié)合實(shí)際多管齊下，以構(gòu)筑滿足企業(yè)需要的信息安全整體保障體系，保障組織機(jī)構(gòu)使命的實(shí)現(xiàn)。

[1]李鵬輝.企業(yè)風(fēng)險(xiǎn)評(píng)估管理信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京工業(yè)大學(xué),2012.

[2]劉佳琳.模糊統(tǒng)計(jì)決策理論基礎(chǔ)上的大型工程項(xiàng)目風(fēng)險(xiǎn)評(píng)估方法研究[D].吉林大學(xué),2013.

[3]鄭毅.基于灰色理論的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[D].成都理工大學(xué),2013.

[4]曲兆嶺.民航機(jī)場運(yùn)行指揮系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估研究[D].中國民用航空飛行學(xué)院,2014.

[5]陳孟婕.電力信息系統(tǒng)動(dòng)靜態(tài)風(fēng)險(xiǎn)評(píng)估技術(shù)研究[D].華東理工大學(xué),2015.

F713.51

A

2096-2789（2016）11-0060-02

黃均輝（1983-），男，廣東江門人，工程師，研究方向：企業(yè)信息化項(xiàng)目建設(shè)，信息技術(shù)的引進(jìn)與推廣。