我國信息安全風險評估面臨的問題及對策探討

孫偉成 畢 霞

0 引言

隨著計算機網絡信息技術的發展，網絡已經逐漸成為人們生活和工作中不可或缺的組成部分。根據中國互聯網絡信息中心統計的數據，到2012年6月底，中國的網民數量達到5.38億，世界排名第一[1]。然而，信息技術作為一把雙刃劍，人們在盡情享受信息技術帶來的巨大進步的同時，也在不斷地遭受病毒、黑客、特洛伊木馬等對信息安全造成的嚴重的威脅[2]。信息安全風險評估是加強信息安全建設的重要環節，通過開展信息安全風險評估工作，可以發現信息安全存在的問題和矛盾，并能迅速地找到諸多解決問題的辦法。

1 我國信息安全風險評估發展現狀

信息安全風險評估，就是從風險管理角度，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護策略和整改措施，并為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地為保障網絡和信息安全提供科學依據[3]。

我國在信息安全風險評估方面的研究起步較晚，對信息安全問題認識的逐步深化是促使信息安全風險評估發展的主要推動力。早期的信息安全工作是以信息保密為中心，通過保密檢查來發現問題，進而提出改進措施，是一種被動行為。自20世紀80年代之后，隨著計算機信息技術的推廣以及網絡信息技術的發展，人們越來越深刻地認識到信息安全的重要性，國家也開始把信息系統的安全評測納入工作范圍，風險評估逐步成為我國信息安全評估的重要組成部分。

進入20世紀90年代后，隨著互聯網的普及，國際大環境下的信息戰也直接或間接地威脅到了我國的信息環境。1994年2月，國家頒布的《中華人民共和國計算機信息系統安全保護條例》要求對計算機信息系統實行安全等級保護。其后，在有關部門的領導組織下，我國積極開展國內信息環境的安全評估工作。2004年，國家信息中心成立了“信息安全風險評估課題組”；2005年，上海、北京等地，也開展了信息安全風險評估的試點工作；2006年，國家也開始開展風險評估檢查工作，逐步提出了一系列相關技術標準和管理規范。信息安全風險意識也開始建立，并逐步有所加強。

2 我國信息安全風險評估面臨的主要問題

近年來，在國家有關部門的重視以及社會各界的廣泛參與下，我國信息安全風險評估已得到了初步發展，并在信息安全保障工作中發揮了一定的作用，但是，在筆者看來，我國的信息安全風險評估工作仍處于初級階段，也面臨著一些亟待解決的問題需要妥善考慮，主要包括以下幾個方面的問題。

2.1 風險評估角色不清、責任不明

風險評估是一項責任性極強的嚴肅工作，評估主體的確定以及扮演的角色、承擔的責任必須通過部門規章加以明確，否則將會給風險評估的過程帶來一系列問題。現存的風險評估主體權威不夠、程序不全、責任不明，使得被評單位對評估結果存有疑義，甚至不滿。如，目前由信息安全企業實施的風險評估，被評單位的實際配合往往不夠，限制頗多，使得評估方難以了解該單位的業務特點和管理要求。此外，很多單位的信息安全風險評估工作也并沒有同該企業各個階段的安全建設聯系起來，風險評估過后也沒有針對評估結果采取相應的對策，企業的信息安全狀況最終并為取得實質性的增強和改善，這些問題都導致了信息安全風險評估工作起不到應有的作用。

2.2 風險評估缺乏統一的標準

網絡信息安全風險評估在我國還沒有統一的標準，評估體系所應包含的評估框架、評估方法以及結果的運用等還未形成統一規范，也是如今信息安全風險評估所不得不面對的問題。風險評估流程不夠科學規范，就會導致評估結果不準確、不客觀，影響評估結果的使用。因此，需要針對風險評估的任務、過程、責任以及程序標準，才能統一要求，否則，必然是風險評估的效果受限于各個部門，使得風險評估結果參差不齊，難以達標。

2.3 風險評估專業管理人才匱乏

熟悉和有能力進行系統安全建設和進行風險評估的專業管理人才匱乏是制約信息安全風險評估發展最為關鍵的因素。人才是一國發展最重要的資源。我國信息安全風險評估起步晚是造成在這方面人才缺乏的主要原因，雖然一些開展信息安全風險評估的企業也注重業務人員的學習和培訓，但并不系統科學。有的人員只是能夠對一些設備進行基礎的數據測評，缺乏基于多方數據之上的系統的綜合分析與評估能力。

2.4 風險意識淡薄，缺乏正確的風險評估思想

風險意識淡薄、思想認識錯誤是進行信息安全風險評估所面臨的又一障礙。根據中國工程院院士、信息工程大學校長鄔江興少將的訪談錄[4]，目前，在網絡安全風險評估方面主要存在以下四種認識誤區：一是“怕擔責任”，怕風險評估暴漏組織在信息安全管理中的問題而被追究責任；二是“怕找麻煩”，怕在風險評估過程中發現組織存在的問題后要對整個組織的網絡系統進行改造和修正，由此可能會對各個系統或業務流程產生影響；三是“感覺良好”，片面主觀地認為自己所在單位的防范系統是“銅墻鐵壁”，缺少實事求是認識事物的精神；四是“諱疾忌醫”，把安全評估當成是“自找麻煩”，拒絕有關單位正規的安全評估。

3 完善我國信息安全風險評估的的對策建議

3.1 加強信息安全風險評估的基礎工作，明確責任

按照國家信息化發展的要求，逐步完善我國信息安全風險評估相關的標準規范建設，明確評估主體，明確責任，“誰評估誰負責”，實現評估管理的法制化和規范化。各行業部門要根據本行業特點制定相應的技術規范，構建安全、穩定、合理的國家基礎信息網絡風險評估試驗環境，滿足國家重要信息系統和基礎信息網絡風險評估的需求，同時也要建立國家基礎信息網絡等關鍵信息基礎設施的風險評估數據庫，積累資料。

3.2 制定適合我國國情的風險評估標準

制定信息安全風險評估的相關標準，引導和促進信息安全產業的發展。信息安全需要高技術標準的支撐，沒有技術標準規范就不能解決互連、互通、互操作意義下的信息安全。國際上已經有許多有關信息安全風險評估的標準，我們需要在立足我國國情的基礎上借鑒國外風險評估標準的制定，建立市場準入機制和監測體系，形成有效的安全技術標準屏障，為信息安全風險評估提供標準保證。

3.3 培養人才，建立信息安全風險評估專門人才認證體系

按照新時期信息安全風險評估的要求培養專門人才，建立人才認證體系，完善人才隊伍建設。要充分發揮職業教育機構在人才培養中的基礎性作用，通過系統地學習掌握基礎的理論知識、基本的操作技能以及行之有效的學習方法；其次，要利用社會資源進行高技能人才的培養，人才的培養不僅是職業教育機構以及企業發展的要求，也是社會的責任，我們應該在更大范圍、更廣領域為人才的成長創造機會。要發揮政府的服務職能，引導職業教育機構辦學，采用政府購買教育服務的運行機制，促進人才培養，將信息安全風險評估人才的培養納入終身教育體系，并成立專門的人才認證機構，保證人才質量。

3.4 加強風險意識宣傳，樹立正確的風險評估思想

各個單位及組織要把信息安全工作放在首位，加強整個組織對信息安全意識的培養，樹立正確的信息安全風險評估思想。加強組織員工對法律、道德教育以及風險控制方面的學習，把對組織信息安全風險控制制度的建設以及能力的培養作為考核組織領導工作績效的指標，促進各個組織、各個單位把信息安全風險管理落實到實際的工作中去。對于個人而言，要樹立正確的風險防范意識，對于違規行為以及網絡安全事件要有正確的認識，當在網絡中遇到惡意攻擊的情況時，要及時上報有關部門，爭做網絡信息完全的“檢測器”、“挖掘機”。

4 結語

綜上所述，信息風險安全問題是信息時代亟待解決的問題，而對組織的網絡信息安全進行有效地風險評估是規避風險、保證組織健康發展的關鍵。我國進行網絡信息安全風險評估的關鍵就在于在不斷的探索中找出信息安全風險評估中存在的一系列問題，并找出解決問題的可行性對策。發現問題、找出對策、解決問題，如此不斷地循環往復，最終實現對網絡信息安全風險評估的全面控制，保證信息安全是進行信息安全風險評估的最終目的。

[1]中國廣播網.中國網民數量達到5.38億 手機網民規模 達3.88億.[2012-07-19].http：//www.cnr.cn/gundong/201207/t20120719_510279110.shtml.

[2]黛素芳.網絡負面問題及倫理思考[J].湘潭大學社會科學學報，2001，25（6）：56259.

[3]范紅，馮登國，吳亞非.信息安全風險評估方法與應用[M].北京：清華大學出版社，2006：1.

[4]三臺政務網.信息工程大學校長鄔江興少將訪談錄.[2008-10-10].http：//www.my.gov.cn/santai/1369 666032767074304/20081010/344183.html.