甘清云

摘 要：涉密信息系統(tǒng)安全風險自評估作為涉密信息系統(tǒng)安全風險評估的重要組成部分，正越來越受到重視。文章介紹了涉密信息系統(tǒng)安全風險自評估存在的問題、改進的措施。

關鍵詞：涉密信息系統(tǒng)；安全風險自評估

1 引言

涉密信息系統(tǒng)在運行過程中面臨不斷變化的威脅、脆弱性和風險，其中既有來自外部的，也由來自內部的。為了最大程度地控制或消除風險，首先需要做的就是識別出風險，對風險進行評估。作為涉密信息系統(tǒng)風險評估最主要形式的涉密信息系統(tǒng)安全風險自評估正越來越受到重視。本文主要介紹了信息系統(tǒng)安全風險評估的概況、涉密信息系統(tǒng)安全風險自評估存在的問題、改進的措施。

2 涉密信息系統(tǒng)安全風險評估

信息安全風險評估是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，為防范和化解信息安全風險，將風險控制在可接受的水平，最大限度地保障信息安全提供科學依據(jù)。

隨著信息系統(tǒng)規(guī)模和復雜度的日益增加，信息系統(tǒng)安全風險總是客觀存在的，安全是安全風險與安全建設管理代價的綜合平衡。不考慮安全風險的信息化是要付出代價的，有時代價難以承受；不計成本、片面追求絕對安全、試圖消滅風險是不可能的。通過開展信息安全風險評估工作，可以發(fā)現(xiàn)信息系統(tǒng)安全防護存在的問題和薄弱環(huán)節(jié)，進而決定采取措施去減少、轉移、避免風險，將風險控制在可以接受的范圍內。

信息安全風險評估按照形式可以分為自評估、委托評估、檢查評估。自評估由單位自行組織開展；委托評估由單位委托外部有風險評估資質的專業(yè)機構開展；檢查評估由國家有關指定機構強制開展。

風險評估方法分為定量分析和定性分析。定量分析對后果和可能性進行分析，采用量化的數(shù)值描述后果和可能性，分析的有效性取決于所用的數(shù)值精確度和完整性。定性分析對后果和可能性進行分析，采用文字形式或敘述性的數(shù)值范圍描述風險的影響程度和可能性的大?。ㄈ绺摺⒅?、低等），分析的有效性同樣取決于所用的數(shù)值精確度和完整性。

風險自評估實施流程如圖1所示。

3 涉密信息系統(tǒng)安全風險自評估存在的問題

3.1 涉密信息系統(tǒng)安全風險自評估沒有標準、規(guī)范

涉密信息系統(tǒng)檢查評估依據(jù)國家相關的保密標準和規(guī)范進行。針對涉密信息系統(tǒng)安全風險自評估工作，目前參考最多的還是GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》。GB/T 20984-2007作為信息安全風險評估規(guī)范，是可以對開展涉密信息系統(tǒng)風險自評估起到指導作用，但是該規(guī)范畢竟不是針對涉密信息系統(tǒng)專門制定的，缺乏實用性。

3.2 涉密信息系統(tǒng)安全風險自評估較難量化

按照GB/T 20984-2007開展的風險自評估，需要對資產的保密性、完整性、可用性、重要性賦值，需要對威脅賦值，還需要對脆弱性賦值，最后采用矩陣法或者相乘法計算風險。第一次對涉密信息系統(tǒng)進行風險自評估時采用量化的方法是比較可取的，但是后面周期性的風險自評估再采用量化的方法效果肯定不太理想。

3.3 涉密信息系統(tǒng)安全風險自評估主要依靠內部力量

涉密信息系統(tǒng)安全風險自評估主要是依靠內部信息安全人員來完成，與專業(yè)風險評估機構相比，人員的專業(yè)能力還是有一定的差距；內部人員評估自己平時負責管理的信息系統(tǒng)，難免有既是運動員又當裁判員的嫌疑。

3.4 涉密信息系統(tǒng)安全風險自評估沒有貫穿涉密信息系統(tǒng)全生命周期

目前涉密信息系統(tǒng)安全風險自評估一般只在涉密信息系統(tǒng)運行階段進行，在涉密信息系統(tǒng)生命周期的其他階段很少或基本不開風險自評估。

3.5 涉密信息系統(tǒng)安全風險自評估報告質量有待提高

涉密信息系統(tǒng)安全風險自評估報告水平參差不齊，有的參照GB/T 20984-2007分別從資產識別、威脅識別、脆弱性識別、風險計算等進行詳細描述，報告達上百頁；有的只進行定性分析，提煉總結出風險一二三四五，報告可能只有幾頁。

4 涉密信息系統(tǒng)安全風險自評估改進措施

4.1 參照有關保密標準和涉密信息系統(tǒng)風險評估有關規(guī)范

建議涉密信息系統(tǒng)風險自評估在參照GB/T 20984-2007的基礎上，重點參照有關保密標準和涉密信息系統(tǒng)安全風險評估實施規(guī)范。

4.2 周期性自評估流程適當簡化，定性分析

周期性自評估可在評估流程上適當簡化，重點考察自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅、新脆弱性、新風險的評估，盡可能采用定性分析方法，而不是定量分析方法。

4.3 適當考慮委托評估

適當時候考慮選擇有資質的風險評估機構進行委托評估。采用委托風險評估前，單位應與評估機構簽訂委托協(xié)議書，明確風險評估的目標、內容、交付物以及安全保密責任等。單位指定專人負責監(jiān)督與管理風險評估全過程。

4.4 風險自評估貫穿涉密信息系統(tǒng)全生命周期

風險自評估應貫穿涉密信息系統(tǒng)全生命周期。涉密信息系統(tǒng)規(guī)劃設計前應進行風險評估，根據(jù)評估結果確定系統(tǒng)保護需達到的基本要求。涉密信息系統(tǒng)建成驗收時應進行風險評估，根據(jù)評估結論確定系統(tǒng)的安全目標是否達成。涉密信息系統(tǒng)運行過程中應進行風險評估，識別系統(tǒng)面臨的不斷變化的威脅、脆弱性和風險，從而確定安全措施的有效性。

4.5 評估報告根據(jù)評估方法的不同區(qū)別對待

評估報告需要根據(jù)所采用評估方法區(qū)別對待。建議第一次風險自評估可以參照GB/T 20984-2007開展，自評估報告包含幾個要素：評估對象和范圍，評估方法說明，資產、威脅、脆弱性分析、影響和可能性分析、風險評估結論和風險評估結果的管理。后面進行風險自評估結合有關保密標準和涉密信息系統(tǒng)風險評估有關規(guī)范開展，評估報告盡量簡化，總結提煉出風險和隱患，提出整改措施。

5 結束語

涉密信息系統(tǒng)安全風險自評估作為涉密信息系統(tǒng)安全風險評估的重要組成部分，正越來越受到重視。針對涉密信息系統(tǒng)安全風險自評估目前存在的問題，只要我們認真研究，不斷改進，涉密信息系統(tǒng)安全風險自評估一定會發(fā)揮更大的作用。

參考文獻

[1] 杜虹. 涉密信息系統(tǒng)安全風險評估的探討[J].信息安全與通信保密，2004，06，20-23.

[2] 張建軍，孟亞平. 信息安全風險評估探索與實踐[M].北京：中國標準出版社，2005：17-44.

[3] 劉玉林，王建新，謝永志. 涉密信息系統(tǒng)風險評估與安全測評實施[J].信息安全與通信保密，2007，01，142-147.

[4] 孔斌. 涉密信息系統(tǒng)檢測評估綜述[J].保密科學技術，2011，05，14-17.

[5] 杜虹. 涉密信息系統(tǒng)安全風險評估的探討[J].信息安全與通信保密，2014，06，20-23.endprint