当前全球网络化进程发展迅速。网络应用的类别日益增多。复杂程度越来越高,网络与信息安全正在上升为大家普遍关注的核心焦点之一。网络欺诈、利用应用软件漏洞进行传播恶意代码以致计算机或信息系统不可用等事件时有发生。分析了信息安全风险评估与等级保护的关系,明确了风险评估可以作为信息安全等级保护的基础性工作;同时建议各行业在选择服务商时可采信中国信息安全认证中心的信息安全风险评估服务资质认证结果。
引言
当前全球网络化进程发展迅速,网络应用的类别日益增多,复杂程度越来越高,网络与信息安全正在上升为大家普遍关注的核心焦点之一。在中国,随着经济的迅速发展,信息化建设取得令人瞩目的成绩,越来越多的基础设施和经济、社会以及文化事业依赖于信息化和互联网执行,如电子政务与电子商务等广泛深入的应用。这些应用带给人们显著的信息共享与购物便利,同时也面临更多的信息安全风险,包括网络欺诈、利用应用软件漏洞进行传播恶意代码以致计算机或信息系统不可用等事件的发生。从目前来看,只依靠安全产品进行被动防守已经很难抵御日益疯狂的各种进攻,建议每一个信息系统运营者可通过加强信息安全风险评估和分级管理,做到系统安全可控,保护每一个最终用户的切身利益。
1信息安全风险评估与等级保护的现状与关系
中国政府高度重视信息安全工作。颁发了一系列政策文件及国家标准。如,2003年中央颁发了第27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》,该文件明确提出“要重视信息安全风险评估工作”及“实行信息安全等级保护”的要求;2006年由原国信办发布《关于开展信息安全风险评估工作的意见》(国信办2006年5号文);同时,随着信息安全等级保护制度的推行,公安部会同有关部门出台了一系列政策文件,主要政策文件包括:《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)、《信息安全等级保护管理办法》(公通字【2007】43号)等;国家信息安全标准化委员会颁发了《信息安全风险评估规范》(GB/T 20984-2007)、《信息系统安全等级保护基本要求》(GB/T 22239—2008)等多个国家标准。
为了进一步落实等级保护制度、开展风险评估工作,2008年国家发改委、公安部、保密局共同发布《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技【2008】2071号);工信部发布了《中华人民共和国工业和信息化部令》(2010年工信部第11号部长令)等文件。这些文件均明确了重要信息系统应开展信息安全风险评估工作,非涉密信息系统的风险评估应按照国家标准,由相关的专业机构完成工作。并出具风险评估报告等要求”。
信息系统由于要支持组织完成相应的使命、任务或实现组织战略目标,往往成为竞争对手、黑客等各种攻击者攻击的目标和对象,同时由于多种原因导致系统具有不同程度的脆弱性。从而被外界或内部的威胁所利用,导致安全事件的频发。在信息系统安全生命周期的各个阶段中,往往由于各种原因导致了信息安全风险:首先,由于在信息系统规划与设计阶段,运营者对安全目标和策略认识不够清晰,没有识别及分析安全因素,导致风险延续到信息系统的实施和运维阶段;其次,已建设完成的信息系统往往规模庞大、系统复杂,数据安全属性要求存在差异,如果没有对业务需求和流程进行科学分析,对整个信息系统采用相同的风险评估方法及采取安全保护措施,将不能保证资源的合理配置,造成浪费。实施等级保护,可以将信息系统划分、确定等级,实现对重要系统的重点保护。因此,建设安全的信息系统须在信息系统的全生命周期中不断进行风险评估,同时考虑系统等级的要求。综合平衡系统风险与安全投资成本,最终才能够建设满足实际需要的安全的信息系统。
信息安全风险评估贯穿于等级保护的系统定级与安全整改阶段
系统定级阶段,系统定级是根据信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定的。每一个系统运营者须从业务需求出发,依据《信息安全风险评估规范》(GB/T 20984-2007)国家标准对所评估信息资产的重要性、威胁发生的频率,以及系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统面临的风险及应采取什么强度的安全措施将风险可能造成的影响控制在可接受的范围内。所以对信息系统进行全面的风险评估,了解信息及信息系统对国家安全、经济建设和社会生活的重要程度及遭到破坏后对其的危害程度。因此,风险评估的结果可作为确定信息系统保护级别的一个参考依据。
安全整改阶段。安全整改是根据信息安全等级保护国家标准的要求,从管理与技术两个方面选择不同强度的安全措施,来确保信息系统满足相应的等级要求。风险评估在整改阶段直接发挥作用,即针对现有系统进行评估和加固,然后再进行安全设备部署等。在整改过程中也会发生事件并可能带来长期的安全隐患,如产品部署过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题,风险评估能够及早发现并解决这些问题。信息系统进行安全整改后,在长期的安全运行维护过程中,运营者需要通过定期对信息系统进行风险评估,以确保:一是维护现有安全措施级别的有效性;二是根据客观情况的变化以及系统内部建设的实际需要,等级需要进行调整以防止过度保护或保护不足。
综上所述,在等级保护的环节中风险评估的基础性作用为:在系统定级阶段用于帮助确定系统的安全等级,在安全整改阶段可以作为评估系统是否达到必需的安全等级的重要依据,后期的安全运行维护过程中开展定期风险评估以便帮助确认安全等级是否发生变化。所以,风险评估是信息安全等级保护的基础性工作,保证等级保护连续性的重要手段之一。然而在实际工作中,信息系统的运营或使用单位往往没有足够的技术人员与管理人员对其系统进行全面、深入的风险评估及较准确的定级、测评,也没有足够的专业测试工具支持工作。因此,需要一批专业的、安全保密意识较强的信息安全风险评估服务提供商(以下简称服务商)为信息系统提供风险评估等安全服务。
2采购方可采信风险评估服务资质认证结果
中国信息安全认证中心(以下简称ISCCC)依据国家、行业相关标准对服务商的基本能力、从业经验、技术能力和管理能力提出了明确的要求,开展了信息安全风险评估服务资质认证业务。因为服务商的服务能力不尽相同,所以ISCCC把服务能力划分为3个级别。其中一级最高,三级最低。截止到2010年12月31日,ISCCC共颁发了32张风险评估服务资质认证证书,其中包括国家信息中心也获得了此项认证。此项认证业务的推出。获得了业界的一致好评与普遍认同,在诸多单位的信息安全服务招标过程中,均明确了服务商必须获得ISCCC颁发的信息安全风险评估服务资质认证证书。
在信息安全风险评估服务资质认证审核过程中,ISCCC调查发现部分服务商对客户开展风险评估服务的同时进行等级测评等服务。这样确实使最终客户能够清楚其信息系统的安全状况、与系统等级要求是否有差距、差距在哪里,以及采取哪些安全控制措施可以达到系统等级的要求。同时,几乎每一个服务商在风险评估服务项目实施过程中均为最终客户提供系统的、有针对性的信息安全培训,包括信息安全意识、信息安全基础知识等;某些客户甚至提出结合行业要求的安全培训需求。服务商提供这些专业培训不仅提升了最终用户的安全意识与安全技能,而且也提高了系统运营者甚至整个行业的信息安全保证能力。
3结语
综上所述,服务商通过在信息系统的全生命周期中开展风险评估服务,保证了信息系统安全建设的合理性与有效性;同时结合等级保护制度要求,真正体现了重要系统重点防护的等级保护思想,从而促进信息安全保障体系的形成与健康发展。所以,ISCCC在以后的工作中将一如既往地保持严谨的工作态度,与国内外信息安全有关组织建立良好的沟通渠道,为信息安全服务商提供交流和学习的平台,为中国的信息安全建设提供更好的服务,为国家安全与社会安定贡献应有的力量。
(责任编辑:)
