網(wǎng)絡安全:完善信息網(wǎng)絡安全風險評估
風險評估機制和手段的引入使得信息網(wǎng)絡安全體系具有了反饋控制和快速反應能力。下面讓我們來看一下專家是如何看待網(wǎng)絡風險評估的:
信息安全是一個相對的概念
1.我們知道網(wǎng)絡是一個特殊的質(zhì)管實體,信息安全既有相對性的屬性又有動態(tài)性的特征,如何看待網(wǎng)絡上存在的安全問題?
對于信息網(wǎng)絡而言,目前看來在設(shè)計或建設(shè)階段尚不能滿足絕對安全的需要,因此,其“免疫力”的后天形成機制,決定了安全風險評估是系統(tǒng)全生存周期中不可或缺的重要環(huán)節(jié)。現(xiàn)在的互聯(lián)網(wǎng)絡通常被認為存在五類基本安全問題:協(xié)同與信任的矛盾,有效性與安全性的矛盾,實時性與完全性的矛盾,網(wǎng)絡的擴張性帶來的不確定性以及網(wǎng)絡的互聯(lián)互通性造成的“短板效應”。
同時,網(wǎng)絡安全問題又具有很強的動態(tài)特征,即使在網(wǎng)絡建設(shè)初期達到了某種設(shè)定的安全指標,但隨著網(wǎng)絡設(shè)備的升級、網(wǎng)絡服務的增加以及應用系統(tǒng)的更新,特別是五花八門的各種“入侵手段”也在發(fā)展之中,安全威脅會伴隨網(wǎng)絡應用的全過程,現(xiàn)在還看不出有一勞永逸解決問題的可能。
2.加強信息網(wǎng)絡安全風險評估,對彌補網(wǎng)絡“先天不足”,提高防范能力有什么促進作用?
如何確切掌握網(wǎng)絡和信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風險有多大、影響程度如何,加強信息安全保障工作應采取哪些措施,要投入多少人力、財力和物力,要如何改進、完善、提高和發(fā)展相關(guān)的技術(shù)手段;確定已采取的信息安全措施是否有效以及提出按照相應信息安全等級進行安全建設(shè)和管理的依據(jù)等一系列具體問題。
風險評估是解決上述問題的重要前提和基礎(chǔ)性工作。一般來說,系統(tǒng)的安全性可通過風險大小來度量,科學地分析系統(tǒng)在保密性、完整性、可用性、可擴展性等方面所面臨的威脅,及時地發(fā)現(xiàn)系統(tǒng)安全的主要問題和矛盾,就能夠在安全風險的預防、減少、轉(zhuǎn)移、補償和分散之間做出實時適當?shù)臎Q策或抉擇,最大程度地提高亡羊補牢的速度和效果。
正確認識網(wǎng)絡安全風險評估
1.當前,加強信息網(wǎng)絡風險評估面臨的主要障礙是什么?
主要還是思想認識上的障礙。目前,在網(wǎng)絡安全風險評估方面主要存在以下4種認識誤區(qū):
一是“怕?lián)熑?rdquo;,一些單位的領(lǐng)導害怕風險評估暴露本單位信息安全管理中的問題,更害怕責任追究制度,不是防患于未然,而是防不出事于未然,防不出通報于未然。
二是“怕找麻煩”,有的單位擔心在進行安全風險評估過程中發(fā)現(xiàn)問題后要對網(wǎng)絡系統(tǒng)和使用習慣進行改造或修正,由此可能會出現(xiàn)應用系統(tǒng)工作不穩(wěn)定或業(yè)務流程變化影響到方方面面的工作;有的擔心如果增加新的技術(shù)系統(tǒng)或裝置可能會引入新的安全風險。
三是“感覺良好”,片面聽信一些設(shè)備供應商夸張性的廣告宣傳,主觀地認為本單位防范系統(tǒng)已是“銅墻鐵壁”,缺少按評估體系科學辦事的精神。
四是“諱疾忌醫(yī)”,把安全評估當作“找茬”、“找麻煩”,拒絕進行正規(guī)的安全評估;個別單位的領(lǐng)導、人員在出現(xiàn)安全問題后,甚至有組織地涂改系統(tǒng)日志信息、更換硬盤或消除歷史痕跡,試圖掩蓋問題,而全然不顧可能存在著的更大風險。這種行為屬于惡意違規(guī)蓄意犯法,在法律和紀律處理層面應當罪加一等、嚴懲不貸。
2.加強信息網(wǎng)絡安全風險評估應確立什么樣的工作指導思想?
一句話,從系統(tǒng)著眼,從細節(jié)入手。從系統(tǒng)的角度看,信息安全風險評估有助于軍隊信息化建設(shè)的有序開展,促進信息安全保障體系的完善,提高信息系統(tǒng)的安全防護能力。其目的是,借助科學的評估體系和技術(shù)方法,弄清本單位信息安全的基本態(tài)勢和網(wǎng)絡環(huán)境安全狀況,及時采取或完善安全保障措施,確保信息安全策略和方針在常態(tài)化中得到貫徹與執(zhí)行。從細節(jié)的角度看,必須突出重點。要加快法制建設(shè)和技術(shù)標準建設(shè),加強風險評估核心技術(shù)研究與攻關(guān),加強信息安全風險意識的宣傳教育,普及信息安全風險評估知識,加快培養(yǎng)信息安全風險評估的專門人才。
構(gòu)建網(wǎng)絡安全風險評估機制
1.加強我軍信息安全風險的著力點是什么?
關(guān)鍵是要建立和完善信息安全風險評估機制,也就是要構(gòu)建一個“發(fā)現(xiàn)隱患、制定對策、提升強度、效果認證”的閉環(huán)式、反饋型、非線性的評估系統(tǒng)。同時,信息網(wǎng)絡在建設(shè)規(guī)劃階段必須進行風險評估以確定系統(tǒng)的安全目標;在工程驗收階段一定要進行效果認證和風險再評估以判定系統(tǒng)的安全目標達成與否;在運行維護階段要針對安全形勢和問題,進行制度化的風險評估工作,以確定安全措施的有效性和決定是否采取隔離或?qū)嵤┥壭袆樱源_保安全保障態(tài)勢始終維持在期望的目標水平之上。
2.如何從制度層面保障我軍信息網(wǎng)絡安全風險評估機制的落實?
從總體上講,要加強信息網(wǎng)絡安全風險評估的組織領(lǐng)導,建議在全軍保密委之下成立信息安全管理專門委員會,統(tǒng)籌規(guī)劃、創(chuàng)新手段,強化風險評估的各項機制,監(jiān)督各項制度措施的落實,及時反饋各種相關(guān)信息。從個體上講,每個人都要樹立正確的風險防范意識,正確區(qū)分違規(guī)行為和網(wǎng)絡安全事件,對于嚴格按規(guī)定操作而遭到網(wǎng)絡攻擊的情形,應及時上報,人人都要成為網(wǎng)絡信息安全的“探測器”、系統(tǒng)漏洞的“挖掘器”。及時上報安全漏洞應當常態(tài)化制度化,現(xiàn)階段給予適當形式的鼓勵有利于形成必要的氛圍。
對于謊報、瞞報,甚至消除上網(wǎng)痕跡、掩蓋網(wǎng)絡漏洞的,應視為嚴重違規(guī)行為,要嚴懲不貸;對惡意消除辦公計算機歷史信息,故意破壞日志信息完整性的,應該按照故意泄密行為從重處分。同時,還要加強軍事信息安全的法制化建設(shè),通過常態(tài)化的風險評估來對我軍信息安全的相關(guān)制度進行修訂,核心技術(shù)進行研發(fā),評價標準進行升級,全方位地提高安全風險評估機制對軍隊信息化建設(shè)的保障和支撐作用。
網(wǎng)絡安全需要完善的風險評估機制和健全的技術(shù)手段,因為它能能從體系上保障或支撐我軍信息化建設(shè)的有序展開,不斷提高建網(wǎng)、用網(wǎng)和管網(wǎng)的水平。
【編輯推薦】
