結合風險評估的信息系統等級保護應用研究

黃均輝

（中國電建集團中南勘測設計研究院有限公司數字工程中心，湖南 長沙 410014）

結合風險評估的信息系統等級保護應用研究

黃均輝

（中國電建集團中南勘測設計研究院有限公司數字工程中心，湖南 長沙 410014）

知識密集型企業高度關注商業數據安全。文章從企業面臨的信息安全風險出發，結合信息安全管理理論和國家標準，提出執行計算機信息系統安全等級保護過程中，融入風險評估方法論，為相關企業的信息安全保障工作提供一定的借鑒和參考。

信息安全；等級保護；風險評估

企業借助信息化建設，實現突破地域限制的互聯互通、各類生產經營業務活動的標準流程化、數據信息的集中存儲和共享，提高生產效率和帶來經濟效益，但隨之也帶來了信息安全的風險和隱患。知識密集型企業的重要關鍵信息（商業數據、市場資料、研究成果）儲存在計算機里，一旦發生商業數據泄密、服務癱瘓、漏洞攻擊等信息安全事件，將破壞信息的保密性、完整性、可用性（簡稱CIA特性），嚴重影響企業的生產、經營和競爭力，帶來重大損失。

1 知識密集型企業的信息安全風險

以下從信息安全風險的威脅源、威脅行為、脆弱性、影響四個方面，初步分析知識密集型企業的信息安全風險。

1.1 信息安全風險的威脅源

威脅源可分為環境和人為。環境包括自然災害、環境、機械失效；人為是指來自組織內的受信任用戶或來自遠程位置使用互聯網身份不明的人（即個別員工或惡意入侵者）。

1.2 信息安全風險的威脅行為

威脅源采取恰當的威脅方式才可能引發風險，威脅行為即方式，如身份假冒、口令攻擊、竊取數據、漏洞利用、社會工程、物理破壞等手段。

1.3 脆弱性是指可能被利用的薄弱環節

①網絡自身的脆弱性。在信息輸入、傳輸、輸出等過程中存在的信息容易被篡改、偽造、等不安全因素；在網絡中操作系統、數據庫以及通信協議等方面存在安全漏洞、后門等不安全因素；②應用系統的脆弱性。應用系統開發過程中，偏重功能實現，忽視了軟件安全需求和設計工作。同時，企業實現了單點登錄，可訪問多個應用，該賬戶權限范圍內的所有數據均得不到有效保護；③管理制度的脆弱性。內部管理疏漏、管理制度的缺失或沒有落實，導致管理人員濫用職權、或者職責未分離；④工作人員的脆弱性。工作人員安全意識不足，不注重工作計算機的病毒防護，用戶口令規則過于簡單，都容易使計算機感染電腦病毒、泄漏密碼。

1.4 安全風險的影響

知識密集型企業基本已普及快速高效的信息化辦公環境，其研究成果數據、核心商業秘密數據，都在以信息化管理，各種客觀或人為因素都可能造成企業重要關鍵數據的丟失或泄密，信息安全問題在高度關注商業數據安全的知識密集型企業尤為突顯。

2 做好企業信息安全管理實施的設想

2.1 實施體系化

企業信息安全工作是人員、技術、操作三者緊密結合的系統工程，是不斷演進、循環發展的動態過程。它遵循木桶原理，信息安全水平高低取決于防護最薄弱的環節。因此，以體系化的方式實施信息安全管理，并作為企業整體管理體系的一部分貫徹執行，才能實現并保持一定的信息安全水平。

2.2 信息安全等級保護

計算機信息系統安全等級保護，是當前我國信息安全保障的一項基本制度和基礎管理原則。它規定了不同安全保護等級信息系統的最低保護要求，企業可根據系統定級結果及相應的基本安全要求開展建設和監督管理，確保達到并維護一定級別的信息安全能力。

2.3 信息安全風險評估

風險評估是以信息資產為出發點、以威脅為觸發、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型，是獲知組織當前風險水平的一種手段，借助定量、定性分析的方法，推斷出用戶關心的重要資產當前的安全風險，并根據風險的嚴重級別制定風險處置計劃，確定下一步的安全需求方向。

2.4 實際應用

信息安全等級保護和風險評估都是實現信息安全的有效手段，在實際應用中需進一步的提升。信息安全等級保護有待進一步細化和更精準定量分析，以提高準確度；風險評估也只是一個通用的方法論，多依賴于經驗，且主要對象為靜態資產，未涉及到管理流程、IT審計等方面的風險。因此，在構筑企業信息安全工作中，建議把以上兩種方法結合實施。多管齊下并針對性的進行相應的擴展，構筑信息安全整體保障體系，全面提升企業信息安全保障水平。

2.5 應用探討結合實施的作用

①識別信息資產真實的風險等級。等級保護是從系統的業務需求或CIA特性出發，定義系統應具備的安全保障業務等級，所包含的等級測評也是基于是否符合等級保護基本要求為目的；而風險評估中最終風險的等級則是綜合考慮了信息重要性、系統安全控制措施的有效性及運行現狀的綜合評估結果，并以PDCA循環持續推進風險管理為目的。因此，價值高的信息資產的風險等級不一定高，兩者結合實施將有助于識別真實的風險等級，確保保護措施、資源的有效利用；②豐富手段保證效果。在落實等級保護中，確定安全級別后，借助風險評估明確安全現狀，其結果可作為實施等級保護、等級安全建設的參考，有利于整體安全規劃與建設；在按標準進行等保建設中，也可以利用風險評估檢查等保的落實和執行情況；在安全運行與維護中，也可以開展定期和不定期風險評估以確認安全等級是否發生變化。

3 做好企業信息安全管理實施的工作建議

企業信息安全保障體系在實施建立中，堅持“堅持管理與技術并重”的原則，并注重以下工作。

3.1 實際出發、保障業務是宗旨

信息系統安全保障是在信息系統的整個生命周期中，從技術、管理、工程和人員等方面提出安全保障要求，確保信息系統的保密性、完整性和可用性，降低安全風險到可接受的程度，是促進發展而非限制發展。同時，從實際出發，強調綜合平衡安全成本與風險，如風險不大就沒有必要花太大的安全成本。

3.2 管理層支持是關鍵

管理層的參與程度是信息安全建設工作能否成功實施的最關鍵因素。應確保足夠的資源提供實質性支持，在建設過程中制定并頒布信息安全方針、決定風險可接受級別和風險可接受準則、確保內部審核的執行和管理評審等。

3.3 技術與管理需要融合

技術不高但管理良好的系統遠比技術高超但管理混亂的系統安全，因為技術和產品是基礎，管理才是關鍵。產品和技術，要通過管理的組織職能才能發揮最佳作用。只有注重技術與管理相結合確保安全建設的全過程、全方面的有效執行，才能保證信息安全的長期性和穩定性。

4 結束語

信息安全風險日益加劇，知識密集型企業亟需加強信息安全保障建設。我國制定了信息安全保障建設的基礎管理原則——等級保護，也頒發了一系列技術標準《計算機信息系統安全等級保護劃分準則》（GB 17859-1999）、《信息系統安全等級保護實施指南》（GB/T 25058-2010）、《信息系統安全保護等級定級指南》（GB/T 22240-2008）等。企業在參照應用中，應針對性的進行應用和相應的擴展，文章提出上述結合風險評估的信息系統等級保護應用研究，企業應結合實際多管齊下，以構筑滿足企業需要的信息安全整體保障體系，保障組織機構使命的實現。

[1]李鵬輝.企業風險評估管理信息系統的設計與實現[D].北京工業大學,2012.

[2]劉佳琳.模糊統計決策理論基礎上的大型工程項目風險評估方法研究[D].吉林大學,2013.

[3]鄭毅.基于灰色理論的信息系統安全風險評估研究[D].成都理工大學,2013.

[4]曲兆嶺.民航機場運行指揮系統信息安全風險評估研究[D].中國民用航空飛行學院,2014.

[5]陳孟婕.電力信息系統動靜態風險評估技術研究[D].華東理工大學,2015.

F713.51

A

2096-2789（2016）11-0060-02

黃均輝（1983-），男，廣東江門人，工程師，研究方向：企業信息化項目建設，信息技術的引進與推廣。