當(dāng)今時代，信息技術(shù)飛速發(fā)展，信息網(wǎng)絡(luò)廣泛普及，信息已成為事關(guān)全局的一種戰(zhàn)略資源。但信息技術(shù)也是一把雙刃劍，一方面，極大的便利了人類的生產(chǎn)和生活，網(wǎng)絡(luò)技術(shù)的發(fā)展使得地球成為一個大村落：另一方面，由于信息技術(shù)的脆弱性和不完善性，使得在信息的存儲、處理、傳輸過程中很容易被干擾、遺漏和丟失，甚至被泄漏、竊取、篡改和冒充，因此，信息安全成為企業(yè)信息化過程中不可或缺的要素。

隨著信息化應(yīng)用的日益廣泛，企業(yè)的信息系統(tǒng)中存儲的大量有價(jià)值的信息和數(shù)據(jù)已成為各種網(wǎng)絡(luò)犯罪組織和惡意勢力的攻擊目標(biāo)，網(wǎng)絡(luò)非法行為日趨復(fù)雜，且更為頻繁，各種攻擊方法相互融合，攻擊手段更為隱秘，破壞性更強(qiáng)，攻擊從網(wǎng)絡(luò)層向應(yīng)用層遷移。但是，我們也應(yīng)該看到，信息安全雖然是由信息技術(shù)問題引起的，但信息安全問題的解決不能夠單純地由技術(shù)問題入手，還得從系統(tǒng)的、管理的角度切入，一個完美的解決安全問題的技術(shù)方案在現(xiàn)實(shí)中是不存在的.而且用信息技術(shù)解決信息技術(shù)的脆弱性和不完善性有可能帶來另外的脆弱性和不完善性。因此.信息安全中的技術(shù)問題是—個關(guān)鍵問題，不能解決全部問題。信息安全界有句名言：三分技術(shù)，七分管理，安全和管理是分不開的。即使有再好的安全設(shè)備和系統(tǒng)，而沒有一套良好的安全管理制度、管理方法并貫徹實(shí)施，信息安全問題就是空談。許多出現(xiàn)信息安全事故的單位，要么是有安全管理制度但沒有執(zhí)行，要么就是沒有安全管理制度。

一、信息系統(tǒng)的安全風(fēng)險(xiǎn)評估

所謂信皂系統(tǒng)的安全風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性、人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。風(fēng)險(xiǎn)評估是分析分析確定風(fēng)險(xiǎn)的過程。任何系統(tǒng)的安全性都可通過風(fēng)險(xiǎn)的大小來衡量。

網(wǎng)絡(luò)信息系統(tǒng)得安全建設(shè)應(yīng)該建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)得信息安全評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理的手段，才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。信息安全風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)平估理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)分析理解信息和信息系統(tǒng)在機(jī)密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的預(yù)防、風(fēng)險(xiǎn)的控制、風(fēng)險(xiǎn)的轉(zhuǎn)移、風(fēng)險(xiǎn)的補(bǔ)償、風(fēng)險(xiǎn)的分散等之間做出抉擇的過程。所有信息安全建設(shè)都應(yīng)該是基于信息安全風(fēng)險(xiǎn)評估，只有在正確地、全面地理解風(fēng)險(xiǎn)后，才能在控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)之間做出正確的判斷，決定調(diào)動多少資源、以什么樣的代價(jià)、采取什么樣的應(yīng)對措施去化解、控制風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)評估中，最終要根據(jù)對安全事件發(fā)生的可能性和負(fù)面影響的評估來識別信息系統(tǒng)的安全風(fēng)險(xiǎn)。造成信息安全事件的源頭，可以歸為外因和內(nèi)因。外因?yàn)橥{，內(nèi)因則為脆弱性。因此，在風(fēng)險(xiǎn)評估中要刻意刻畫信息安全事件，就必須對威脅和脆弱性都有深入了解，這構(gòu)成了風(fēng)險(xiǎn)評估工作的關(guān)鍵。

要確保信息網(wǎng)絡(luò)系統(tǒng)得安全高效，就必須建立和完善信息安全風(fēng)險(xiǎn)評估機(jī)制，也就是要構(gòu)建一個“發(fā)現(xiàn)隱患、制定對策、提高強(qiáng)度、效果認(rèn)證”的封閉式、反饋型、非線性的評估系統(tǒng)。同時，信息網(wǎng)絡(luò)在建設(shè)規(guī)劃階段必須進(jìn)行風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)：在工程驗(yàn)收階段一定要進(jìn)行效果認(rèn)證和風(fēng)險(xiǎn)在評估以判定系統(tǒng)得安全目標(biāo)達(dá)成與否：在運(yùn)行維護(hù)階段要針對安全形勢和問題，進(jìn)行制度化的風(fēng)險(xiǎn)評估工作，以確定安全措施的有效性和決定是否采取隔離或?qū)嵤┥壭袆?，以確保安全保障形勢始終維持在期望的目標(biāo)水平之上。

信息安全風(fēng)險(xiǎn)評估有助于信息化建設(shè)的有序開展，促進(jìn)信息安全保障體系得完善，提高信息系統(tǒng)的安全防護(hù)能力。其目的是借助科學(xué)的評估體系和技術(shù)方法，弄清本單位信息安全的基本態(tài)勢和網(wǎng)絡(luò)環(huán)境安全狀況，及時采取或完善安全保障措施，確保信息安全策略和方針在常態(tài)化中得到貫徹與執(zhí)行。對于企業(yè)具體涵蓋的內(nèi)容來說，首先要明確企業(yè)的哪些資產(chǎn)需要保護(hù)：企業(yè)必須花費(fèi)時間與精力來首先確定關(guān)鍵數(shù)據(jù)和相關(guān)的業(yè)務(wù)支持技術(shù)資產(chǎn)的價(jià)值。通常，各公司認(rèn)為表述資產(chǎn)的價(jià)值是很容易的，但具體如要按級別界定就不那么簡單。對此，就需要用安全廠商與企業(yè)共同制定規(guī)范以確定需要保護(hù)的資產(chǎn)的安全級別，并為制定切實(shí)可行的安全管理策略打下基礎(chǔ)。另外，還需完成威脅識別的任務(wù)：如果企業(yè)想增強(qiáng)競爭實(shí)力，必須隨時改進(jìn)和更新系統(tǒng)和網(wǎng)絡(luò)，但是機(jī)會增加常伴隨著安全風(fēng)險(xiǎn)的增加，尤其是機(jī)構(gòu)的數(shù)據(jù)對更多用戶開放的時候——咽為技術(shù)越先進(jìn)，安全管理就越復(fù)雜。所以企業(yè)為了消除安全隱患，下—步就需要安全廠商與企業(yè)一起必須要對現(xiàn)有的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評估，確定在企業(yè)的具體環(huán)境下到底存在哪些和安全隱患。在此基礎(chǔ)上，制定并實(shí)施，完成安全策略的責(zé)任分配，設(shè)立安全標(biāo)準(zhǔn)：幾乎所有企業(yè)目前都有策略，只不過許多策略都沒有書面化，只作為完成任務(wù)的一種手段。恰當(dāng)?shù)陌踩呗员仨毰c機(jī)構(gòu)的所有業(yè)務(wù)需求直接相關(guān)。它基于幾類安全標(biāo)準(zhǔn)。標(biāo)準(zhǔn)分類將使企業(yè)能發(fā)現(xiàn)違反策略的行為，并指出每個區(qū)域的漏洞或潛在安全威脅區(qū)。最后，管理還應(yīng)包括安全廠商與企業(yè)共同組織的對企業(yè)安全管理^員進(jìn)行安全培訓(xùn)，以便維護(hù)和管理整個的實(shí)施和運(yùn)行情況。

企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)必須按照風(fēng)險(xiǎn)管理的思想，對可能存在的威脅、脆弱性和需要保護(hù)的信息資源進(jìn)行分析，依據(jù)風(fēng)險(xiǎn)評估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧咨茟?yīng)對可能發(fā)生的風(fēng)險(xiǎn)。目前，信息安全等級保護(hù)是發(fā)達(dá)國家保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，保障信息安全的通行。

二、信息安全等級保護(hù)

(一)信息安全等級保護(hù)和風(fēng)險(xiǎn)評估的關(guān)系

1994年國務(wù)院頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行信息系統(tǒng)安全等級保護(hù)。2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的徊家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見)中明確提出： “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息系統(tǒng)安全等級保護(hù)制度，制定信息系統(tǒng)安全等級保護(hù)的管理辦法和技術(shù)指南”。2004年公安部等四部委《關(guān)于信息系統(tǒng)安全等級保護(hù)工作的實(shí)施意見》也指出： “信息系統(tǒng)安全等級保護(hù)制度是國家在國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，提高信息安全保障能力水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促遺信息化建設(shè)健康發(fā)展的—項(xiàng)基本制度”。等級保護(hù)工作的核心是對信息安全分等級，按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。風(fēng)險(xiǎn)評估做為信息安全工作的一種重要技術(shù)手段，為系統(tǒng)安全等級保護(hù)的定級、測評和整改等工作階段提供重要依據(jù)，在實(shí)施信息安全等級保護(hù)周期和層次中發(fā)揮著重要作用。在等級保護(hù)周期的系統(tǒng)等級階段中，依提信息安全風(fēng)險(xiǎn)評估國家標(biāo)準(zhǔn)對所評估資產(chǎn)的重要性、客觀威脅發(fā)生的頻率、以及系統(tǒng)自身脆弱性的嚴(yán)重程度進(jìn)行識別和關(guān)聯(lián)分析，判斷信息系統(tǒng)應(yīng)采取什么強(qiáng)度的安全措施，然后將安全事件一旦發(fā)生后可能造成的影響控制在可接受的范圍內(nèi)：在安全實(shí)施階段，按照風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，對現(xiàn)有系統(tǒng)進(jìn)行評估和加固，然后進(jìn)行安全設(shè)備的部署，對在安全實(shí)施過程中也會發(fā)生事件并可能帶來長期的隱患，風(fēng)險(xiǎn)評估能及早發(fā)現(xiàn)并解決這些問題：在安全運(yùn)維階段，按照風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)開展定期和不定期的風(fēng)險(xiǎn)評估以便幫助確認(rèn)它保持的安全等級是否發(fā)生變化。

風(fēng)險(xiǎn)評估的技術(shù)手段包括有系統(tǒng)審計(jì)、漏洞掃描和滲透測試，他們在等級保護(hù)的各個層。

(二)等級保護(hù)制度的落實(shí)

目前，國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全防護(hù)，對等級保護(hù)工作的實(shí)施實(shí)行監(jiān)督、管理，從而大力推行信息化建設(shè)的全面發(fā)展，但是，絕大多數(shù)的信息系統(tǒng)得運(yùn)營、使用單位依舊采用傳統(tǒng)的工作方式解決等級保護(hù)工作中的一系列問題，尤其是相對數(shù)量的信息安全等級保護(hù)工作的職能部門，他們在落實(shí)等級保護(hù)工作中存在很大的問題，表現(xiàn)在以下幾個方面：

一是信息系統(tǒng)安全等級保護(hù)工作認(rèn)識不深刻、重視不到位。信息系統(tǒng)得安全性問題不僅僅是用戶自身財(cái)產(chǎn)安全的問題，其所有者應(yīng)當(dāng)承擔(dān)相應(yīng)的社會安全和公眾利益安全的義務(wù)。然而，部分執(zhí)行部門在開展等級保護(hù)工作中從始至終都在被動的應(yīng)付監(jiān)管部門的檢查，這種思想上的不重視給監(jiān)管部門工作開展帶來困難的同時，也阻礙整個信息系統(tǒng)安全等級保護(hù)工作的開展;二是信息系統(tǒng)安全等級保護(hù)工作管理無序、缺乏約束力。目前，—部分執(zhí)行單位他們對信息系統(tǒng)安全等級保護(hù)工作組織開展、管理實(shí)施無從下手，甚至對相關(guān)法律、政策和標(biāo)準(zhǔn)還不是很清楚，同時沒有各自內(nèi)部專門機(jī)構(gòu)對等保工作實(shí)施監(jiān)督：三是執(zhí)行單位的安全分工不清，沒有建立相應(yīng)得安全職能部門，這使得在安全等級保護(hù)工作中無法確定各相關(guān)部門的職責(zé)，從而無法落實(shí)安全責(zé)任制。

針對這些問題，建立信息安全管理組織是做好信息安全等級保護(hù)工作的必要條件。

1.建立信息安全管理組織的必要性

一個單位應(yīng)該也必須建立信息安全管理組織，這個組織是這個單位在信息系統(tǒng)安全方面的最高權(quán)力組織。信息安全是所有管理層成員所共有的責(zé)任，一個管理組織應(yīng)確保有明確的安全目標(biāo)。在一個單位內(nèi)部，有關(guān)信息安全的工作需要一個強(qiáng)有力領(lǐng)導(dǎo)機(jī)構(gòu)來領(lǐng)帶和推動，這是由于：1)首先是一些單位的業(yè)務(wù)對信息系統(tǒng)形成了完全的依賴，另外信息安全會導(dǎo)致對社會公眾利益、社會秩序和國家安銷告成侵害，甚至是嚴(yán)重的侵害。2)在一個單位中多個部門的信息任務(wù)既有聯(lián)系又有相對的獨(dú)立性，而這些任務(wù)又是這個單位全部信息任務(wù)的組成部分，所有這些都需要—個強(qiáng)有力的機(jī)構(gòu)進(jìn)行協(xié)調(diào)和指導(dǎo)。3)全員使用的信息系統(tǒng)中不同員工在其中所對應(yīng)的是不同的角色，在工作中的權(quán)限也有4)—個單位對信息系統(tǒng)安全所采取的各類措施和決策是需要權(quán)威機(jī)構(gòu)來審批和決定的。

2.信息系統(tǒng)使用單位的安全管理機(jī)構(gòu)的職能包括

1)信息系統(tǒng)安全管理就夠負(fù)責(zé)與信息安全有關(guān)的規(guī)劃、建設(shè)、投資、人事、安全政策、資源利用和事故處理等方面的決策和實(shí)施。2)負(fù)責(zé)與各級國家安全信息安全監(jiān)管機(jī)構(gòu)、上級主管部門和技術(shù)保衛(wèi)機(jī)構(gòu)建立日常的工作關(guān)系。3)組織、協(xié)調(diào)、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)得安全開發(fā)工作。4)建立健全本系統(tǒng)的系統(tǒng)保護(hù)規(guī)程、制度。5)確定信息安全各崗位人員的職責(zé)和權(quán)限、建立崗位責(zé)任制。6)審議并通過安全規(guī)劃、年度安全報(bào)告、與信息安全相關(guān)的安全宣傳、教育培育計(jì)劃。7)執(zhí)行信息安全報(bào)告制度，定期向當(dāng)?shù)毓残畔踩O(jiān)管部門報(bào)告本單位信息安全保護(hù)管理情況，及時報(bào)告重大安全事件。8)安全審計(jì)跟蹤分析和安全檢查，及時發(fā)現(xiàn)安全隱患和犯罪嫌疑，防患于未然，將可能的攻擊拒之門外。9)負(fù)責(zé)向所屬組織或機(jī)構(gòu)的領(lǐng)導(dǎo)層匯報(bào)工作，積極爭取領(lǐng)導(dǎo)層對信息安全的支持。1 0)信息發(fā)布的審核管理。

三、結(jié)束語

這種現(xiàn)代化、信息化的以等級保護(hù)為核心的信息安全管理體系，不僅有助于職能部門解決其使用傳統(tǒng)方式開展登記保護(hù)所導(dǎo)致的問題，也為各職能部門積極主動地解決自身安全問題提供了有效幫助。根據(jù)企業(yè)實(shí)際情況，進(jìn)—步發(fā)展完善，加強(qiáng)定級對象信息系統(tǒng)整體防護(hù)，建設(shè)管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防護(hù)體系結(jié)構(gòu)，做好操作人員使用的終端防護(hù)，把住攻擊發(fā)生的源頭關(guān)，做到操作使用安全，以防內(nèi)為主，內(nèi)外兼防，提高計(jì)算節(jié)點(diǎn)自身防護(hù)能力，減少從外部入口上封堵，做到不同級別信息系統(tǒng)安全保護(hù)技術(shù)和管理逐級增強(qiáng)。  

【編輯推薦】

1. 認(rèn)真貫徹落實(shí)信息安全等級保護(hù)制度
2. 我國網(wǎng)絡(luò)信息安全問題分析與建議