随着信息化应用的日益广泛,企业的信息系统中存储的大量有价值的信息和数据已成为各种网络犯罪组织和恶意势力的攻击目标,网络非法行为日趋复杂,且更为频繁,各种攻击方法相互融合,攻击手段更为隐秘,破坏性更强,攻击从网络层向应用层迁移。但是,我们也应该看到,信息安全虽然是由信息技术问题引起的,但信息安全问题的解决不能够单纯地由技术问题入手,还得从系统的、管理的角度切入,一个完美的解决安全问题的技术方案在现实中是不存在的.而且用信息技术解决信息技术的脆弱性和不完善性有可能带来另外的脆弱性和不完善性。因此.信息安全中的技术问题是—个关键问题,不能解决全部问题。信息安全界有句名言:三分技术,七分管理,安全和管理是分不开的。即使有再好的安全设备和系统,而没有一套良好的安全管理制度、管理方法并贯彻实施,信息安全问题就是空谈。许多出现信息安全事故的单位,要么是有安全管理制度但没有执行,要么就是没有安全管理制度。
一、信息系统的安全风险评估
所谓信皂系统的安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是分析分析确定风险的过程。任何系统的安全性都可通过风险的大小来衡量。
网络信息系统得安全建设应该建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统得信息安全评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,才可以避免重复建设和投资的浪费。信息安全风险评估是风险平估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出抉择的过程。所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险之间做出正确的判断,决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。在风险评估中,最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。造成信息安全事件的源头,可以归为外因和内因。外因为威胁,内因则为脆弱性。因此,在风险评估中要刻意刻画信息安全事件,就必须对威胁和脆弱性都有深入了解,这构成了风险评估工作的关键。
要确保信息网络系统得安全高效,就必须建立和完善信息安全风险评估机制,也就是要构建一个“发现隐患、制定对策、提高强度、效果认证”的封闭式、反馈型、非线性的评估系统。同时,信息网络在建设规划阶段必须进行风险评估以确定系统的安全目标:在工程验收阶段一定要进行效果认证和风险在评估以判定系统得安全目标达成与否:在运行维护阶段要针对安全形势和问题,进行制度化的风险评估工作,以确定安全措施的有效性和决定是否采取隔离或实施升级行动,以确保安全保障形势始终维持在期望的目标水平之上。
信息安全风险评估有助于信息化建设的有序开展,促进信息安全保障体系得完善,提高信息系统的安全防护能力。其目的是借助科学的评估体系和技术方法,弄清本单位信息安全的基本态势和网络环境安全状况,及时采取或完善安全保障措施,确保信息安全策略和方针在常态化中得到贯彻与执行。对于企业具体涵盖的内容来说,首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常,各公司认为表述资产的价值是很容易的,但具体如要按级别界定就不那么简单。对此,就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别,并为制定切实可行的安全管理策略打下基础。另外,还需完成威胁识别的任务:如果企业想增强竞争实力,必须随时改进和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——咽为技术越先进,安全管理就越复杂。所以企业为了消除安全隐患,下—步就需要安全厂商与企业一起必须要对现有的网络、系统、应用进行相应的风险评估,确定在企业的具体环境下到底存在哪些和安全隐患。在此基础上,制定并实施,完成安全策略的责任分配,设立安全标准:几乎所有企业目前都有策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。恰当的安全策略必须与机构的所有业务需求直接相关。它基于几类安全标准。标准分类将使企业能发现违反策略的行为,并指出每个区域的漏洞或潜在安全威胁区。最后,管理还应包括安全厂商与企业共同组织的对企业安全管理^员进行安全培训,以便维护和管理整个的实施和运行情况。
企业的网络信息系统必须按照风险管理的思想,对可能存在的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。目前,信息安全等级保护是发达国家保护关键信息基础设施,保障信息安全的通行。
二、信息安全等级保护
(一)信息安全等级保护和风险评估的关系
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的徊家信息化领导小组关于加强信息安全保障工作的意见)中明确提出: “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》也指出: “信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力水平,维护国家安全、社会稳定和公共利益,保障和促遗信息化建设健康发展的—项基本制度”。等级保护工作的核心是对信息安全分等级,按标准进行建设、管理和监督。风险评估做为信息安全工作的一种重要技术手段,为系统安全等级保护的定级、测评和整改等工作阶段提供重要依据,在实施信息安全等级保护周期和层次中发挥着重要作用。在等级保护周期的系统等级阶段中,依提信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统应采取什么强度的安全措施,然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内:在安全实施阶段,按照风险评估标准,对现有系统进行评估和加固,然后进行安全设备的部署,对在安全实施过程中也会发生事件并可能带来长期的隐患,风险评估能及早发现并解决这些问题:在安全运维阶段,按照风险评估标准开展定期和不定期的风险评估以便帮助确认它保持的安全等级是否发生变化。
(责任编辑:adminadmin2008)
