黄均辉

（中国电建集团中南勘测设计研究院有限公司数字工程中心，湖南 长沙 410014）

结合风险评估的信息系统等级保护应用研究

黄均辉

（中国电建集团中南勘测设计研究院有限公司数字工程中心，湖南 长沙 410014）

知识密集型企业高度关注商业数据安全。文章从企业面临的信息安全风险出发，结合信息安全管理理论和国家标准，提出执行计算机信息系统安全等级保护过程中，融入风险评估方法论，为相关企业的信息安全保障工作提供一定的借鉴和参考。

信息安全；等级保护；风险评估

企业借助信息化建设，实现突破地域限制的互联互通、各类生产经营业务活动的标准流程化、数据信息的集中存储和共享，提高生产效率和带来经济效益，但随之也带来了信息安全的风险和隐患。知识密集型企业的重要关键信息（商业数据、市场资料、研究成果）储存在计算机里，一旦发生商业数据泄密、服务瘫痪、漏洞攻击等信息安全事件，将破坏信息的保密性、完整性、可用性（简称CIA特性），严重影响企业的生产、经营和竞争力，带来重大损失。

1 知识密集型企业的信息安全风险

以下从信息安全风险的威胁源、威胁行为、脆弱性、影响四个方面，初步分析知识密集型企业的信息安全风险。

1.1 信息安全风险的威胁源

威胁源可分为环境和人为。环境包括自然灾害、环境、机械失效；人为是指来自组织内的受信任用户或来自远程位置使用互联网身份不明的人（即个别员工或恶意入侵者）。

1.2 信息安全风险的威胁行为

威胁源采取恰当的威胁方式才可能引发风险，威胁行为即方式，如身份假冒、口令攻击、窃取数据、漏洞利用、社会工程、物理破坏等手段。

1.3 脆弱性是指可能被利用的薄弱环节

①网络自身的脆弱性。在信息输入、传输、输出等过程中存在的信息容易被篡改、伪造、等不安全因素；在网络中操作系统、数据库以及通信协议等方面存在安全漏洞、后门等不安全因素；②应用系统的脆弱性。应用系统开发过程中，偏重功能实现，忽视了软件安全需求和设计工作。同时，企业实现了单点登录，可访问多个应用，该账户权限范围内的所有数据均得不到有效保护；③管理制度的脆弱性。内部管理疏漏、管理制度的缺失或没有落实，导致管理人员滥用职权、或者职责未分离；④工作人员的脆弱性。工作人员安全意识不足，不注重工作计算机的病毒防护，用户口令规则过于简单，都容易使计算机感染电脑病毒、泄漏密码。

1.4 安全风险的影响

知识密集型企业基本已普及快速高效的信息化办公环境，其研究成果数据、核心商业秘密数据，都在以信息化管理，各种客观或人为因素都可能造成企业重要关键数据的丢失或泄密，信息安全问题在高度关注商业数据安全的知识密集型企业尤为突显。

2 做好企业信息安全管理实施的设想

2.1 实施体系化

企业信息安全工作是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。它遵循木桶原理，信息安全水平高低取决于防护最薄弱的环节。因此，以体系化的方式实施信息安全管理，并作为企业整体管理体系的一部分贯彻执行，才能实现并保持一定的信息安全水平。

2.2 信息安全等级保护

计算机信息系统安全等级保护，是当前我国信息安全保障的一项基本制度和基础管理原则。它规定了不同安全保护等级信息系统的最低保护要求，企业可根据系统定级结果及相应的基本安全要求开展建设和监督管理，确保达到并维护一定级别的信息安全能力。

2.3 信息安全风险评估

风险评估是以信息资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型，是获知组织当前风险水平的一种手段，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处置计划，确定下一步的安全需求方向。

2.4 实际应用

信息安全等级保护和风险评估都是实现信息安全的有效手段，在实际应用中需进一步的提升。信息安全等级保护有待进一步细化和更精准定量分析，以提高准确度；风险评估也只是一个通用的方法论，多依赖于经验，且主要对象为静态资产，未涉及到管理流程、IT审计等方面的风险。因此，在构筑企业信息安全工作中，建议把以上两种方法结合实施。多管齐下并针对性的进行相应的扩展，构筑信息安全整体保障体系，全面提升企业信息安全保障水平。

2.5 应用探讨结合实施的作用

①识别信息资产真实的风险等级。等级保护是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，所包含的等级测评也是基于是否符合等级保护基本要求为目的；而风险评估中最终风险的等级则是综合考虑了信息重要性、系统安全控制措施的有效性及运行现状的综合评估结果，并以PDCA循环持续推进风险管理为目的。因此，价值高的信息资产的风险等级不一定高，两者结合实施将有助于识别真实的风险等级，确保保护措施、资源的有效利用；②丰富手段保证效果。在落实等级保护中，确定安全级别后，借助风险评估明确安全现状，其结果可作为实施等级保护、等级安全建设的参考，有利于整体安全规划与建设；在按标准进行等保建设中，也可以利用风险评估检查等保的落实和执行情况；在安全运行与维护中，也可以开展定期和不定期风险评估以确认安全等级是否发生变化。

3 做好企业信息安全管理实施的工作建议

企业信息安全保障体系在实施建立中，坚持“坚持管理与技术并重”的原则，并注重以下工作。

3.1 实际出发、保障业务是宗旨

信息系统安全保障是在信息系统的整个生命周期中，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，是促进发展而非限制发展。同时，从实际出发，强调综合平衡安全成本与风险，如风险不大就没有必要花太大的安全成本。

3.2 管理层支持是关键

管理层的参与程度是信息安全建设工作能否成功实施的最关键因素。应确保足够的资源提供实质性支持，在建设过程中制定并颁布信息安全方针、决定风险可接受级别和风险可接受准则、确保内部审核的执行和管理评审等。

3.3 技术与管理需要融合

技术不高但管理良好的系统远比技术高超但管理混乱的系统安全，因为技术和产品是基础，管理才是关键。产品和技术，要通过管理的组织职能才能发挥最佳作用。只有注重技术与管理相结合确保安全建设的全过程、全方面的有效执行，才能保证信息安全的长期性和稳定性。

4 结束语

信息安全风险日益加剧，知识密集型企业亟需加强信息安全保障建设。我国制定了信息安全保障建设的基础管理原则——等级保护，也颁发了一系列技术标准《计算机信息系统安全等级保护划分准则》（GB 17859-1999）、《信息系统安全等级保护实施指南》（GB/T 25058-2010）、《信息系统安全保护等级定级指南》（GB/T 22240-2008）等。企业在参照应用中，应针对性的进行应用和相应的扩展，文章提出上述结合风险评估的信息系统等级保护应用研究，企业应结合实际多管齐下，以构筑满足企业需要的信息安全整体保障体系，保障组织机构使命的实现。

[1]李鹏辉.企业风险评估管理信息系统的设计与实现[D].北京工业大学,2012.

[2]刘佳琳.模糊统计决策理论基础上的大型工程项目风险评估方法研究[D].吉林大学,2013.

[3]郑毅.基于灰色理论的信息系统安全风险评估研究[D].成都理工大学,2013.

[4]曲兆岭.民航机场运行指挥系统信息安全风险评估研究[D].中国民用航空飞行学院,2014.

[5]陈孟婕.电力信息系统动静态风险评估技术研究[D].华东理工大学,2015.

F713.51

A

2096-2789（2016）11-0060-02

黄均辉（1983-），男，广东江门人，工程师，研究方向：企业信息化项目建设，信息技术的引进与推广。