信息安全风险评估与等级保护的关系探究
2015-02-27何海燕
何海燕
(湖南高速铁路职业技术学院 湖南衡阳 421002)
信息安全风险评估与等级保护的关系探究
何海燕
(湖南高速铁路职业技术学院 湖南衡阳 421002)
当前网络信息技术突飞猛进,人们对网络的需求越来越迫切,没有网络就没有如今的快速发展,正是由于网络的大量应用,它的安全也被人们所关注。网络欺诈以及个人电脑信息泄露的现象时有发生,这样人们在使用信息技术时就会有些担心。本文分析了信息安全风险评估与等级保护的关系,阐述了两者间的组成架构,以期对改善我国的信息安全现状有所帮助。
信息安全 风险评估 等级保护 关系
当前网络信息技术快速发展,人们越来越离不开网络信息技术,中国的网民数量达到十亿,可见,人们对它的依赖程度非常之大。我国的信息化建设取得了一定的成绩,各行业都在依靠信息技术成长,例如电子政务与电子商务就是最具代表性的行业。由于大多数网民不懂信息安全等知识,导致自己面临严重的信息安全风险,各种信息泄露事件时有发生。只依靠安全产品进行被动防守已经很难奏效,最好的办法就是各个信息系统运营者,通过加强信息安全风险评估和分级管理,来保障用户的利益。
一、信息安全风险评估与等级保护的现状
我国政府部门非常重视信息安全工作,制定和建立了一些法律法规加以约束。在2003年中央下发文件《关于加强信息安全保障工作的意见》,这份文件中就提出,政府部门要高度重视信息安全风险评估工作,把它作为重要任务来抓,同时,要实行信息等级保护政策,保护公民的信息安全;在2006年又发布《关于开展信息安全风险评估工作的意见》;正是由于这一系列的政策法规,我国的信息安全工作逐渐有了起色,公安部联合其他有关部门,制定出台了一系列政策文件,一起加强对信息安全的保障工作。为了进一步加强等级保护制度,在2008年公安部与其他部门联合发布加强风险评估的工作的通知;工信部也发布相关文件。这些文件均明确,政府部门要重视信息安全风险评估工作,非涉密网络信息系统的风险评估工作,由专业机构完成,并出具风险评估报告[1]。综合来看,我国的信息系统风险评估工作正在有条不紊的进行当中,正处在发展的阶段,在发展中,必定会存在一些不合理的地方,所以作为政府部门,要及时想出对策,完善当前的法律和制度,以确保风险评估工作正常的运行。
二、信息安全风险评估与等级保护的关系
当前网络信息技术突飞猛进,人们对网络的需求越来越迫切,没有网络就没有如今的快速发展,正是由于网络的大量应用,它的安全也被人们所关注。网络欺诈以及个人电脑信息泄露的现象时有发生,这样人们在使用信息技术时就会有些担心。各个行业、单位、个人都会用到信息系统,信息系统能够为使用者完成各种各样的任务和目标,有些机密信息往往也会包含在信息系统中,所以,很多不法分子或者是网络黑客,就会利用信息系统的漏洞进行攻击,他们的手法多样,技术远远领先于一般的防护软件,所以,很难避免被侵犯。还有,我们平时实用的信息系统相对脆弱,很容易被各种各样的威胁所利用,导致出现安全事件。在信息系统使用的各个阶段中,由于多种原因会造成信息安全风险,例如,在建设信息系统的初期,相关规划与设计没有普考虑到信息安全的重要性,使用者对安全方法认识不够明晰,不会去分析安全因素,因而在建设完成信息系统之后,往往会存在安全风险,而且这种初期的失误,会影响到信息系统的实施和运维阶段,后果非常严重;还有在已建设完成的信息系统中,会需要运行和记录大量的数据,计算过程也是相当繁琐复杂,如果在此时没有合理的计算方法和流程,就会导致信息系统存在大量的资源浪费现象。而如果采取等级保护的措施,就能将信息系统划分相应的等级,对重要信息系统实施重点保护,确保信息系统安全运行。因此,在建设信息系统的过程中,必须进行风险评估,又要考虑系统等级的因素,合理有效的规避系统风险,节省投资成本,建设安全的信息系统[2]。
风险评估在等级保护的各个阶段均有体现。在系统定级阶段,每一个信息系统使用者都得从实际出发,考虑业务方面的因素,综合考虑信息方面的内容,例如信息资产的重要性、多长时间发生一次威胁,以及系统脆弱的程度,根据这些因素判断信息系统将要面临什么样的风险,接下来要采取多少强度的安全方式,将信息安全风险尽量消除在可允许的范围内,防止出现更大的风险。所以,我们对信息系统进行安全风险评估,就显得非常有必要,它能最大程度的降低安全风险带来的危害。因此,风险评估的结果要引起相关部门的高度重视,把它合理的运用到等级保护中。在安全整改阶段,它是根据国家的要求,在管理层面和技术层面分别采取不同强度的安全措施,保障信息系统的安全。风险评估工作在整改阶段发挥着重要的作用,就是在全方位对信息系统进行保护和巩固,再采取进一步的工作安排。当然,在整改过程中也会出现这样那样的问题,可能会发生相互干扰的事件,情节严重的还可能带来长期的安全隐患。在完成信息系统的整改之后,在日后的维护过程中,使用者还要经常对信息系统进行安全风险评估,以确保现有的安全措施具有防范作用,防止出现过度保护或保护不足的现象。综合起来,我们发现,在等级保护的工作中,信息安全风险评估起到了基础性的作用,它能够确定信息系统的安全等级,方便日后的工作,在安全整改阶段可以当做整改的的重要依据,方便平时的维修工作,在后期的安全运行维护过程中,也起到了基础的作用,对维护信息系统的正常运行很有帮助[3]。
总结
所以,风险评估是信息安全等级保护的基础性工作,它能保证系统连续工作。然而,在工作中,信息安全风险评估还没有引起足够的重视,存在很多的问题。由于大多数网民不懂信息安全等知识,导致自己面临严重的信息安全风险,各种信息泄露事件时有发生。只依靠安全产品进行被动防守已经很难奏效,最好的办法就是各个信息系统运营者,通过加强信息安全风险评估和分级管理,来保障用户的利益。
[1]刘念,张建华.互动用电方式下的信息安全风险与安全需求分析.电力系统自动化,2009(09).
[2]潘平,杨平,何朝霞.基于多属性层次分析的信息安全风险评估方法.信息安全与技术,2010(10).
[3]何勇亮,黄爱国.基于信息安全等级保护的安全测评服务框架研究.第二届全国信息安全等级保护测评体系建设会议论文集,2013.
