淺析涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估

甘清云

摘 要：涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估作為涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的重要組成部分，正越來越受到重視。文章介紹了涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估存在的問題、改進(jìn)的措施。

關(guān)鍵詞：涉密信息系統(tǒng)；安全風(fēng)險(xiǎn)自評(píng)估

1 引言

涉密信息系統(tǒng)在運(yùn)行過程中面臨不斷變化的威脅、脆弱性和風(fēng)險(xiǎn)，其中既有來自外部的，也由來自內(nèi)部的。為了最大程度地控制或消除風(fēng)險(xiǎn)，首先需要做的就是識(shí)別出風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。作為涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估最主要形式的涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估正越來越受到重視。本文主要介紹了信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的概況、涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估存在的問題、改進(jìn)的措施。

2 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地保障信息安全提供科學(xué)依據(jù)。

隨著信息系統(tǒng)規(guī)模和復(fù)雜度的日益增加，信息系統(tǒng)安全風(fēng)險(xiǎn)總是客觀存在的，安全是安全風(fēng)險(xiǎn)與安全建設(shè)管理代價(jià)的綜合平衡。不考慮安全風(fēng)險(xiǎn)的信息化是要付出代價(jià)的，有時(shí)代價(jià)難以承受；不計(jì)成本、片面追求絕對(duì)安全、試圖消滅風(fēng)險(xiǎn)是不可能的。通過開展信息安全風(fēng)險(xiǎn)評(píng)估工作，可以發(fā)現(xiàn)信息系統(tǒng)安全防護(hù)存在的問題和薄弱環(huán)節(jié)，進(jìn)而決定采取措施去減少、轉(zhuǎn)移、避免風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可以接受的范圍內(nèi)。

信息安全風(fēng)險(xiǎn)評(píng)估按照形式可以分為自評(píng)估、委托評(píng)估、檢查評(píng)估。自評(píng)估由單位自行組織開展；委托評(píng)估由單位委托外部有風(fēng)險(xiǎn)評(píng)估資質(zhì)的專業(yè)機(jī)構(gòu)開展；檢查評(píng)估由國家有關(guān)指定機(jī)構(gòu)強(qiáng)制開展。

風(fēng)險(xiǎn)評(píng)估方法分為定量分析和定性分析。定量分析對(duì)后果和可能性進(jìn)行分析，采用量化的數(shù)值描述后果和可能性，分析的有效性取決于所用的數(shù)值精確度和完整性。定性分析對(duì)后果和可能性進(jìn)行分析，采用文字形式或敘述性的數(shù)值范圍描述風(fēng)險(xiǎn)的影響程度和可能性的大小（如高、中、低等），分析的有效性同樣取決于所用的數(shù)值精確度和完整性。

風(fēng)險(xiǎn)自評(píng)估實(shí)施流程如圖1所示。

3 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估存在的問題

3.1 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估沒有標(biāo)準(zhǔn)、規(guī)范

涉密信息系統(tǒng)檢查評(píng)估依據(jù)國家相關(guān)的保密標(biāo)準(zhǔn)和規(guī)范進(jìn)行。針對(duì)涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估工作，目前參考最多的還是GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。GB/T 20984-2007作為信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，是可以對(duì)開展涉密信息系統(tǒng)風(fēng)險(xiǎn)自評(píng)估起到指導(dǎo)作用，但是該規(guī)范畢竟不是針對(duì)涉密信息系統(tǒng)專門制定的，缺乏實(shí)用性。

3.2 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估較難量化

按照GB/T 20984-2007開展的風(fēng)險(xiǎn)自評(píng)估，需要對(duì)資產(chǎn)的保密性、完整性、可用性、重要性賦值，需要對(duì)威脅賦值，還需要對(duì)脆弱性賦值，最后采用矩陣法或者相乘法計(jì)算風(fēng)險(xiǎn)。第一次對(duì)涉密信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)自評(píng)估時(shí)采用量化的方法是比較可取的，但是后面周期性的風(fēng)險(xiǎn)自評(píng)估再采用量化的方法效果肯定不太理想。

3.3 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估主要依靠?jī)?nèi)部力量

涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估主要是依靠?jī)?nèi)部信息安全人員來完成，與專業(yè)風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)相比，人員的專業(yè)能力還是有一定的差距；內(nèi)部人員評(píng)估自己平時(shí)負(fù)責(zé)管理的信息系統(tǒng)，難免有既是運(yùn)動(dòng)員又當(dāng)裁判員的嫌疑。

3.4 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估沒有貫穿涉密信息系統(tǒng)全生命周期

目前涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估一般只在涉密信息系統(tǒng)運(yùn)行階段進(jìn)行，在涉密信息系統(tǒng)生命周期的其他階段很少或基本不開風(fēng)險(xiǎn)自評(píng)估。

3.5 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估報(bào)告質(zhì)量有待提高

涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估報(bào)告水平參差不齊，有的參照GB/T 20984-2007分別從資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、風(fēng)險(xiǎn)計(jì)算等進(jìn)行詳細(xì)描述，報(bào)告達(dá)上百頁；有的只進(jìn)行定性分析，提煉總結(jié)出風(fēng)險(xiǎn)一二三四五，報(bào)告可能只有幾頁。

4 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估改進(jìn)措施

4.1 參照有關(guān)保密標(biāo)準(zhǔn)和涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估有關(guān)規(guī)范

建議涉密信息系統(tǒng)風(fēng)險(xiǎn)自評(píng)估在參照GB/T 20984-2007的基礎(chǔ)上，重點(diǎn)參照有關(guān)保密標(biāo)準(zhǔn)和涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施規(guī)范。

4.2 周期性自評(píng)估流程適當(dāng)簡(jiǎn)化，定性分析

周期性自評(píng)估可在評(píng)估流程上適當(dāng)簡(jiǎn)化，重點(diǎn)考察自上次評(píng)估后系統(tǒng)發(fā)生變化后引入的新威脅、新脆弱性、新風(fēng)險(xiǎn)的評(píng)估，盡可能采用定性分析方法，而不是定量分析方法。

4.3 適當(dāng)考慮委托評(píng)估

適當(dāng)時(shí)候考慮選擇有資質(zhì)的風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)進(jìn)行委托評(píng)估。采用委托風(fēng)險(xiǎn)評(píng)估前，單位應(yīng)與評(píng)估機(jī)構(gòu)簽訂委托協(xié)議書，明確風(fēng)險(xiǎn)評(píng)估的目標(biāo)、內(nèi)容、交付物以及安全保密責(zé)任等。單位指定專人負(fù)責(zé)監(jiān)督與管理風(fēng)險(xiǎn)評(píng)估全過程。

4.4 風(fēng)險(xiǎn)自評(píng)估貫穿涉密信息系統(tǒng)全生命周期

風(fēng)險(xiǎn)自評(píng)估應(yīng)貫穿涉密信息系統(tǒng)全生命周期。涉密信息系統(tǒng)規(guī)劃設(shè)計(jì)前應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估結(jié)果確定系統(tǒng)保護(hù)需達(dá)到的基本要求。涉密信息系統(tǒng)建成驗(yàn)收時(shí)應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估結(jié)論確定系統(tǒng)的安全目標(biāo)是否達(dá)成。涉密信息系統(tǒng)運(yùn)行過程中應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別系統(tǒng)面臨的不斷變化的威脅、脆弱性和風(fēng)險(xiǎn)，從而確定安全措施的有效性。

4.5 評(píng)估報(bào)告根據(jù)評(píng)估方法的不同區(qū)別對(duì)待

評(píng)估報(bào)告需要根據(jù)所采用評(píng)估方法區(qū)別對(duì)待。建議第一次風(fēng)險(xiǎn)自評(píng)估可以參照GB/T 20984-2007開展，自評(píng)估報(bào)告包含幾個(gè)要素：評(píng)估對(duì)象和范圍，評(píng)估方法說明，資產(chǎn)、威脅、脆弱性分析、影響和可能性分析、風(fēng)險(xiǎn)評(píng)估結(jié)論和風(fēng)險(xiǎn)評(píng)估結(jié)果的管理。后面進(jìn)行風(fēng)險(xiǎn)自評(píng)估結(jié)合有關(guān)保密標(biāo)準(zhǔn)和涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估有關(guān)規(guī)范開展，評(píng)估報(bào)告盡量簡(jiǎn)化，總結(jié)提煉出風(fēng)險(xiǎn)和隱患，提出整改措施。

5 結(jié)束語

涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估作為涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的重要組成部分，正越來越受到重視。針對(duì)涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估目前存在的問題，只要我們認(rèn)真研究，不斷改進(jìn)，涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估一定會(huì)發(fā)揮更大的作用。

參考文獻(xiàn)

[1] 杜虹. 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的探討[J].信息安全與通信保密，2004，06，20-23.

[2] 張建軍，孟亞平. 信息安全風(fēng)險(xiǎn)評(píng)估探索與實(shí)踐[M].北京：中國標(biāo)準(zhǔn)出版社，2005：17-44.

[3] 劉玉林，王建新，謝永志. 涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與安全測(cè)評(píng)實(shí)施[J].信息安全與通信保密，2007，01，142-147.

[4] 孔斌. 涉密信息系統(tǒng)檢測(cè)評(píng)估綜述[J].保密科學(xué)技術(shù)，2011，05，14-17.

[5] 杜虹. 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的探討[J].信息安全與通信保密，2014，06，20-23.endprint