黃均輝

（中國電建集團中南勘測設(shè)計研究院有限公司數(shù)字工程中心，湖南 長沙 410014）

結(jié)合風險評估的信息系統(tǒng)等級保護應用研究

黃均輝

（中國電建集團中南勘測設(shè)計研究院有限公司數(shù)字工程中心，湖南 長沙 410014）

知識密集型企業(yè)高度關(guān)注商業(yè)數(shù)據(jù)安全。文章從企業(yè)面臨的信息安全風險出發(fā)，結(jié)合信息安全管理理論和國家標準，提出執(zhí)行計算機信息系統(tǒng)安全等級保護過程中，融入風險評估方法論，為相關(guān)企業(yè)的信息安全保障工作提供一定的借鑒和參考。

信息安全；等級保護；風險評估

企業(yè)借助信息化建設(shè)，實現(xiàn)突破地域限制的互聯(lián)互通、各類生產(chǎn)經(jīng)營業(yè)務活動的標準流程化、數(shù)據(jù)信息的集中存儲和共享，提高生產(chǎn)效率和帶來經(jīng)濟效益，但隨之也帶來了信息安全的風險和隱患。知識密集型企業(yè)的重要關(guān)鍵信息（商業(yè)數(shù)據(jù)、市場資料、研究成果）儲存在計算機里，一旦發(fā)生商業(yè)數(shù)據(jù)泄密、服務癱瘓、漏洞攻擊等信息安全事件，將破壞信息的保密性、完整性、可用性（簡稱CIA特性），嚴重影響企業(yè)的生產(chǎn)、經(jīng)營和競爭力，帶來重大損失。

1 知識密集型企業(yè)的信息安全風險

以下從信息安全風險的威脅源、威脅行為、脆弱性、影響四個方面，初步分析知識密集型企業(yè)的信息安全風險。

1.1 信息安全風險的威脅源

威脅源可分為環(huán)境和人為。環(huán)境包括自然災害、環(huán)境、機械失效；人為是指來自組織內(nèi)的受信任用戶或來自遠程位置使用互聯(lián)網(wǎng)身份不明的人（即個別員工或惡意入侵者）。

1.2 信息安全風險的威脅行為

威脅源采取恰當?shù)耐{方式才可能引發(fā)風險，威脅行為即方式，如身份假冒、口令攻擊、竊取數(shù)據(jù)、漏洞利用、社會工程、物理破壞等手段。

1.3 脆弱性是指可能被利用的薄弱環(huán)節(jié)

①網(wǎng)絡(luò)自身的脆弱性。在信息輸入、傳輸、輸出等過程中存在的信息容易被篡改、偽造、等不安全因素；在網(wǎng)絡(luò)中操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等方面存在安全漏洞、后門等不安全因素；②應用系統(tǒng)的脆弱性。應用系統(tǒng)開發(fā)過程中，偏重功能實現(xiàn)，忽視了軟件安全需求和設(shè)計工作。同時，企業(yè)實現(xiàn)了單點登錄，可訪問多個應用，該賬戶權(quán)限范圍內(nèi)的所有數(shù)據(jù)均得不到有效保護；③管理制度的脆弱性。內(nèi)部管理疏漏、管理制度的缺失或沒有落實，導致管理人員濫用職權(quán)、或者職責未分離；④工作人員的脆弱性。工作人員安全意識不足，不注重工作計算機的病毒防護，用戶口令規(guī)則過于簡單，都容易使計算機感染電腦病毒、泄漏密碼。

1.4 安全風險的影響

知識密集型企業(yè)基本已普及快速高效的信息化辦公環(huán)境，其研究成果數(shù)據(jù)、核心商業(yè)秘密數(shù)據(jù)，都在以信息化管理，各種客觀或人為因素都可能造成企業(yè)重要關(guān)鍵數(shù)據(jù)的丟失或泄密，信息安全問題在高度關(guān)注商業(yè)數(shù)據(jù)安全的知識密集型企業(yè)尤為突顯。

2 做好企業(yè)信息安全管理實施的設(shè)想

2.1 實施體系化

企業(yè)信息安全工作是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程。它遵循木桶原理，信息安全水平高低取決于防護最薄弱的環(huán)節(jié)。因此，以體系化的方式實施信息安全管理，并作為企業(yè)整體管理體系的一部分貫徹執(zhí)行，才能實現(xiàn)并保持一定的信息安全水平。

2.2 信息安全等級保護

計算機信息系統(tǒng)安全等級保護，是當前我國信息安全保障的一項基本制度和基礎(chǔ)管理原則。它規(guī)定了不同安全保護等級信息系統(tǒng)的最低保護要求，企業(yè)可根據(jù)系統(tǒng)定級結(jié)果及相應的基本安全要求開展建設(shè)和監(jiān)督管理，確保達到并維護一定級別的信息安全能力。

2.3 信息安全風險評估

風險評估是以信息資產(chǎn)為出發(fā)點、以威脅為觸發(fā)、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型，是獲知組織當前風險水平的一種手段，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當前的安全風險，并根據(jù)風險的嚴重級別制定風險處置計劃，確定下一步的安全需求方向。

2.4 實際應用

信息安全等級保護和風險評估都是實現(xiàn)信息安全的有效手段，在實際應用中需進一步的提升。信息安全等級保護有待進一步細化和更精準定量分析，以提高準確度；風險評估也只是一個通用的方法論，多依賴于經(jīng)驗，且主要對象為靜態(tài)資產(chǎn)，未涉及到管理流程、IT審計等方面的風險。因此，在構(gòu)筑企業(yè)信息安全工作中，建議把以上兩種方法結(jié)合實施。多管齊下并針對性的進行相應的擴展，構(gòu)筑信息安全整體保障體系，全面提升企業(yè)信息安全保障水平。

2.5 應用探討結(jié)合實施的作用

①識別信息資產(chǎn)真實的風險等級。等級保護是從系統(tǒng)的業(yè)務需求或CIA特性出發(fā)，定義系統(tǒng)應具備的安全保障業(yè)務等級，所包含的等級測評也是基于是否符合等級保護基本要求為目的；而風險評估中最終風險的等級則是綜合考慮了信息重要性、系統(tǒng)安全控制措施的有效性及運行現(xiàn)狀的綜合評估結(jié)果，并以PDCA循環(huán)持續(xù)推進風險管理為目的。因此，價值高的信息資產(chǎn)的風險等級不一定高，兩者結(jié)合實施將有助于識別真實的風險等級，確保保護措施、資源的有效利用；②豐富手段保證效果。在落實等級保護中，確定安全級別后，借助風險評估明確安全現(xiàn)狀，其結(jié)果可作為實施等級保護、等級安全建設(shè)的參考，有利于整體安全規(guī)劃與建設(shè)；在按標準進行等保建設(shè)中，也可以利用風險評估檢查等保的落實和執(zhí)行情況；在安全運行與維護中，也可以開展定期和不定期風險評估以確認安全等級是否發(fā)生變化。

3 做好企業(yè)信息安全管理實施的工作建議

企業(yè)信息安全保障體系在實施建立中，堅持“堅持管理與技術(shù)并重”的原則，并注重以下工作。

3.1 實際出發(fā)、保障業(yè)務是宗旨

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風險到可接受的程度，是促進發(fā)展而非限制發(fā)展。同時，從實際出發(fā)，強調(diào)綜合平衡安全成本與風險，如風險不大就沒有必要花太大的安全成本。

3.2 管理層支持是關(guān)鍵

管理層的參與程度是信息安全建設(shè)工作能否成功實施的最關(guān)鍵因素。應確保足夠的資源提供實質(zhì)性支持，在建設(shè)過程中制定并頒布信息安全方針、決定風險可接受級別和風險可接受準則、確保內(nèi)部審核的執(zhí)行和管理評審等。

3.3 技術(shù)與管理需要融合

技術(shù)不高但管理良好的系統(tǒng)遠比技術(shù)高超但管理混亂的系統(tǒng)安全，因為技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵。產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用。只有注重技術(shù)與管理相結(jié)合確保安全建設(shè)的全過程、全方面的有效執(zhí)行，才能保證信息安全的長期性和穩(wěn)定性。

4 結(jié)束語

信息安全風險日益加劇，知識密集型企業(yè)亟需加強信息安全保障建設(shè)。我國制定了信息安全保障建設(shè)的基礎(chǔ)管理原則——等級保護，也頒發(fā)了一系列技術(shù)標準《計算機信息系統(tǒng)安全等級保護劃分準則》（GB 17859-1999）、《信息系統(tǒng)安全等級保護實施指南》（GB/T 25058-2010）、《信息系統(tǒng)安全保護等級定級指南》（GB/T 22240-2008）等。企業(yè)在參照應用中，應針對性的進行應用和相應的擴展，文章提出上述結(jié)合風險評估的信息系統(tǒng)等級保護應用研究，企業(yè)應結(jié)合實際多管齊下，以構(gòu)筑滿足企業(yè)需要的信息安全整體保障體系，保障組織機構(gòu)使命的實現(xiàn)。

[1]李鵬輝.企業(yè)風險評估管理信息系統(tǒng)的設(shè)計與實現(xiàn)[D].北京工業(yè)大學,2012.

[2]劉佳琳.模糊統(tǒng)計決策理論基礎(chǔ)上的大型工程項目風險評估方法研究[D].吉林大學,2013.

[3]鄭毅.基于灰色理論的信息系統(tǒng)安全風險評估研究[D].成都理工大學,2013.

[4]曲兆嶺.民航機場運行指揮系統(tǒng)信息安全風險評估研究[D].中國民用航空飛行學院,2014.

[5]陳孟婕.電力信息系統(tǒng)動靜態(tài)風險評估技術(shù)研究[D].華東理工大學,2015.

F713.51

A

2096-2789（2016）11-0060-02

黃均輝（1983-），男，廣東江門人，工程師，研究方向：企業(yè)信息化項目建設(shè)，信息技術(shù)的引進與推廣。