【 摘 要 】 對(duì)等級(jí)保護(hù)工作中如何結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了有益的探索，為有效地支撐信息系統(tǒng)等級(jí)保護(hù)建設(shè)的順利進(jìn)行提供了參考。

【 關(guān)鍵詞 】 信息安全；等級(jí)保護(hù)；風(fēng)險(xiǎn)評(píng)估

InformationSecurityHierarchyProtectionandRiskAssessment

Dai Lian-fen

（China Petroleum & Chemical Corporation Guangzhou BranchGuangdongGuangzhou 510725）

【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.

【 Keywords 】 information security;hierarchy protection;risk assessment

1 風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)建設(shè)工作的基礎(chǔ)

等級(jí)保護(hù)測(cè)評(píng)中的差距分析是按照等保的所有要求進(jìn)行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國(guó)家等保要求之間的符合程度。風(fēng)險(xiǎn)評(píng)估作為信息安全工作的一種重要技術(shù)手段，其目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況，比差距分析結(jié)果在技術(shù)上更加深入。為此，等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估之間存在互為依托、互為補(bǔ)充的關(guān)系，等級(jí)保護(hù)是國(guó)家一項(xiàng)信息安全政策，而風(fēng)險(xiǎn)評(píng)估則是貫徹這項(xiàng)制度的方法和手段，在實(shí)施信息安全等級(jí)保護(hù)周期和層次中發(fā)揮著重要作用。

風(fēng)險(xiǎn)評(píng)估貫穿等級(jí)保護(hù)工作的整個(gè)流程，只是在不同階段評(píng)估的內(nèi)容和結(jié)果不一樣?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)實(shí)施指南》將等級(jí)保護(hù)基本流程分為三個(gè)階段：定級(jí)，規(guī)劃與設(shè)計(jì)，實(shí)施、等級(jí)評(píng)估與改進(jìn)。在第一階段中，風(fēng)險(xiǎn)評(píng)估的對(duì)象內(nèi)容是資產(chǎn)評(píng)估，并在此基礎(chǔ)上進(jìn)行定級(jí)。在第二階段中，主要是對(duì)信息系統(tǒng)可能面臨的威脅和潛在的脆弱性進(jìn)行評(píng)估，根據(jù)評(píng)估結(jié)果，綜合平衡安全風(fēng)險(xiǎn)和成本，以及各系統(tǒng)特定安全需求，選擇和調(diào)整安全措施，確定出關(guān)鍵業(yè)務(wù)系統(tǒng)、子系統(tǒng)和各類保護(hù)對(duì)象的安全措施。在第三個(gè)階段中，則涉及評(píng)估系統(tǒng)是否滿足相應(yīng)的安全等級(jí)保護(hù)要求、評(píng)估系統(tǒng)的安全狀況等，同時(shí)根據(jù)結(jié)果進(jìn)行相應(yīng)的改進(jìn)。

等級(jí)保護(hù)所要完成的工作本質(zhì)就是根據(jù)信息系統(tǒng)的特點(diǎn)和風(fēng)險(xiǎn)狀況,對(duì)信息系統(tǒng)安全需求進(jìn)行分級(jí), 實(shí)施不同級(jí)別的保護(hù)措施。實(shí)施等級(jí)保護(hù)的一個(gè)重要前提就是了解系統(tǒng)的風(fēng)險(xiǎn)狀況和安全等級(jí), 所以風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)的重要基礎(chǔ)與依據(jù)。

2 等級(jí)保護(hù)建設(shè)過(guò)程中如何有效地結(jié)合風(fēng)險(xiǎn)評(píng)估

2.1 以風(fēng)險(xiǎn)評(píng)估中資產(chǎn)安全屬性的重要度來(lái)劃分信息系統(tǒng)等級(jí)

在公安部等四部局聯(lián)合下發(fā)了《信息安全等級(jí)保護(hù)的實(shí)施意見(jiàn)》公通字2004第66號(hào)文中，根據(jù)信息和信息系統(tǒng)的重要程度，將信息和信息系統(tǒng)劃分為了五個(gè)等級(jí)自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)和?？乇Ｗo(hù)級(jí)。實(shí)際上對(duì)信息系統(tǒng)的定級(jí)過(guò)程，也就是對(duì)信息資產(chǎn)的識(shí)別及賦值的過(guò)程。在國(guó)家的《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》中，提出了對(duì)信息系統(tǒng)的定級(jí)依據(jù)，而這些依據(jù)基本的思想是根據(jù)信息資產(chǎn)的機(jī)密性、完整性和可用性重要程度來(lái)確定信息系統(tǒng)的安全等級(jí)，這正是風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)進(jìn)行識(shí)別并賦值的過(guò)程：對(duì)信息資產(chǎn)的機(jī)密性進(jìn)行識(shí)別并賦值；對(duì)信息資產(chǎn)的完整性進(jìn)行識(shí)別并賦值；對(duì)信息資產(chǎn)的可用性進(jìn)行識(shí)別并賦值。從某種意義上來(lái)說(shuō)，信息系統(tǒng)(不是信息)的安全等級(jí)劃分，實(shí)際上也是對(duì)殘余風(fēng)險(xiǎn)的接受和認(rèn)可。

2.2 以風(fēng)險(xiǎn)評(píng)估中威脅程度來(lái)確定安全等級(jí)的要求

在等級(jí)保護(hù)中，對(duì)系統(tǒng)定級(jí)完成后，應(yīng)按照信息系統(tǒng)的相應(yīng)等級(jí)提出安全要求，安全要求實(shí)際上體現(xiàn)在信息系統(tǒng)在對(duì)抗威脅的能力與系統(tǒng)在被破壞后，恢復(fù)的速度與恢復(fù)的程度方面。而這些在風(fēng)險(xiǎn)評(píng)估中，則是對(duì)威脅的識(shí)別與賦值活動(dòng)；脆弱性識(shí)別與賦值活動(dòng)；安全措施的識(shí)別與確認(rèn)活動(dòng)。對(duì)于一個(gè)安全事件來(lái)說(shuō)，是威脅利用了脆弱性所導(dǎo)致的，在沒(méi)有威脅的情況下，信息系統(tǒng)的脆弱性不會(huì)自己導(dǎo)致安全事件的發(fā)生。所以對(duì)威脅的分析與識(shí)別是等級(jí)保護(hù)安全要求的基本前提，不同安全等級(jí)的信息系統(tǒng)應(yīng)該能夠?qū)共煌瑥?qiáng)度和時(shí)間長(zhǎng)度的安全威脅。

2.3 以風(fēng)險(xiǎn)評(píng)估的結(jié)果作為等級(jí)保護(hù)建設(shè)的安全設(shè)計(jì)的依據(jù)

在確定信息系統(tǒng)的安全等級(jí)和進(jìn)行風(fēng)險(xiǎn)評(píng)估后，應(yīng)該根據(jù)安全等級(jí)的要求和風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行安全方案設(shè)計(jì)，而在安全方案設(shè)計(jì)中，首要的依據(jù)是風(fēng)險(xiǎn)評(píng)估的結(jié)果，特別是對(duì)威脅的識(shí)別，在一些不存在的威脅的情況下，對(duì)相應(yīng)的脆弱性應(yīng)該不予考慮，只作為殘余風(fēng)險(xiǎn)來(lái)監(jiān)控。對(duì)于兩個(gè)等級(jí)相同的信息系統(tǒng)，由于所承載業(yè)務(wù)的不同，其信息的安全屬性也可能不同，對(duì)于需要機(jī)密性保護(hù)的信息系統(tǒng)，和對(duì)于一個(gè)需要完整性保護(hù)的信息系統(tǒng)，保護(hù)的策略必須是不同，雖然它們可能有相同的安全等級(jí)，但是保護(hù)的方法則不應(yīng)該是一樣的。所以，安全設(shè)計(jì)首先應(yīng)該以風(fēng)險(xiǎn)評(píng)估的結(jié)果作為依據(jù)，而將設(shè)計(jì)的結(jié)果與安全等級(jí)保護(hù)的要求相比較，對(duì)于需要保護(hù)的必須符合安全等級(jí)要求，而對(duì)于不需要保護(hù)的則可以暫不考慮安全等級(jí)的要求，而對(duì)于一些必須高于安全等級(jí)要求的，則必須依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，進(jìn)行相應(yīng)高標(biāo)準(zhǔn)的設(shè)計(jì)。

3 結(jié)束語(yǔ)

風(fēng)險(xiǎn)評(píng)估為等級(jí)保護(hù)工作的開(kāi)展提供基礎(chǔ)數(shù)據(jù)，是等級(jí)保護(hù)定級(jí)、建設(shè)的實(shí)際出發(fā)點(diǎn)，通過(guò)安全風(fēng)險(xiǎn)評(píng)估，可以發(fā)現(xiàn)信息系統(tǒng)可能存在的安全風(fēng)險(xiǎn)，判斷信息系統(tǒng)的安全狀況與安全等級(jí)保護(hù)要求之間的差距，從而不斷完善等級(jí)保護(hù)措施。文章對(duì)等級(jí)保護(hù)工作中如何結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了有益的探索，為有效地支撐計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)建設(shè)的順利進(jìn)行提供了參考。

參考文獻(xiàn)

[1] 吳賢.信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估的關(guān)系研究.信息網(wǎng)絡(luò)安全，2007.

[2] 馮登國(guó),張陽(yáng),張玉清.信息安全風(fēng)險(xiǎn)評(píng)估綜述.通信學(xué)報(bào)，2004.

作者簡(jiǎn)介：

戴蓮芬，女，畢業(yè)于成都科技大學(xué)（現(xiàn)四川大學(xué)），本科學(xué)歷，現(xiàn)供職于中石化廣州分公司，計(jì)算機(jī)應(yīng)用工程師；主要關(guān)注和研究領(lǐng)域：信息安全管理。