構(gòu)建基于信息安全風(fēng)險(xiǎn)評(píng)估血液中心信息安全保障體系的必要性研究

摘 要：我國在推廣信息系統(tǒng)安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估后，逐步將其作為建設(shè)國家信息安全保障體系的一項(xiàng)基本制度。天津血液中心信息安全保障體系的建設(shè)，也必須遵守我國信息安全發(fā)展政策。血液信息安全保障體系建設(shè)目前尚處于探索階段，文章將分析目前血液信息安全保障體系的現(xiàn)狀，以及構(gòu)建基于信息安全風(fēng)險(xiǎn)評(píng)估信息安全保障體系的必要性。

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；保障體系

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： After China has promoted the information security system based on graded protection and risk assessment， gradually adopted it as a basic rule for building a national information security system. The establishment of the Tianjin Blood Center Information Security System must also comply with Chinas information security policy. The construction of the blood information security system is still at the exploratory stage， this paper will analyze the current status of the blood information security system and the necessity of building an information security system based on information security risk assessment.

Key words： information security； risk assessment； security system

1 引言

天津市血液中心始建于1969年，是不以盈利為目的集采血、供血、血液成分制備、醫(yī)學(xué)檢驗(yàn)、科研、培訓(xùn)和學(xué)術(shù)交流等為一體的天津市的省級(jí)采供血機(jī)構(gòu)。中心承擔(dān)著向全市100余家醫(yī)療機(jī)構(gòu)提供臨床用血和保障血液安全的重任，每年向全市醫(yī)療機(jī)構(gòu)提供各類血液及血液成分制品40余噸、血小板4.5萬單位。同時(shí)，還肩負(fù)著全市各級(jí)采供血機(jī)構(gòu)的質(zhì)量控制、業(yè)務(wù)培訓(xùn)、技術(shù)指導(dǎo)和醫(yī)療機(jī)構(gòu)醫(yī)療用血的業(yè)務(wù)指導(dǎo)，開展疑難血型鑒定及配血、新生兒溶血病的檢查、輸血反應(yīng)鑒定、強(qiáng)直性脊椎炎的診斷、組織配型、親子鑒定等輸血相關(guān)服務(wù)項(xiàng)目，是天津醫(yī)科大學(xué)檢驗(yàn)學(xué)院臨床教學(xué)基地和天津醫(yī)科大學(xué)研究生培養(yǎng)基地。

天津市血液中心主要的業(yè)務(wù)系統(tǒng)包括采供血業(yè)務(wù)信息系統(tǒng)、血液管理信息系統(tǒng)以及用血審批管理系統(tǒng)，這些業(yè)務(wù)系統(tǒng)所承載的信息資源是醫(yī)療衛(wèi)生行業(yè)基礎(chǔ)數(shù)據(jù)資源最重要的組成部分，在日常生活中發(fā)揮著越來越重要的作用。然而，隨著血液中心信息化建設(shè)的不斷推進(jìn)，信息系統(tǒng)及其周邊系統(tǒng)規(guī)模不斷擴(kuò)大，系統(tǒng)結(jié)構(gòu)更加復(fù)雜，信息安全問題日益突出，因此天津市血液中心提出了進(jìn)行信息安全保障體系建設(shè)。

血液中心信息安全保障體系應(yīng)該是一個(gè)完整的體系，不僅包括安全技術(shù)，更應(yīng)包括安全管理、安全法規(guī)標(biāo)準(zhǔn)等諸方面的內(nèi)容，這樣才能確保越來越復(fù)雜和龐大的信血液中心信息系統(tǒng)安全，并且具有持續(xù)性。目前，從國外的經(jīng)驗(yàn)、國內(nèi)的試點(diǎn)和政策都表明，信息安全風(fēng)險(xiǎn)評(píng)估是建設(shè)信息系統(tǒng)安全保障體系的有效手段和基礎(chǔ)工作。

2 信息安全風(fēng)險(xiǎn)評(píng)估

“信息安全風(fēng)險(xiǎn)評(píng)估（簡稱風(fēng)險(xiǎn)評(píng)估）就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能對(duì)組織造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，并為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而為最大限度地保障網(wǎng)絡(luò)和信息系統(tǒng)安全提供科學(xué)依據(jù)。”風(fēng)險(xiǎn)評(píng)估是建設(shè)信息安全保障體系過程中的重要的評(píng)價(jià)方法和決策機(jī)制。

2.1 國內(nèi)外信息安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀

“早在上個(gè)世紀(jì)70年代初期美國政府就提出了風(fēng)險(xiǎn)評(píng)估的要求，2002年頒布的《2002 聯(lián)邦信息安全管理法》對(duì)政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估提出了更加具體的要求。”歐洲等其他信息化發(fā)達(dá)國家也非常重視開展信息安全風(fēng)險(xiǎn)評(píng)估工作，將它作為提高信息安全保障水平的重要手段。國外風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)主要有BS7799、ISO/IEC 17799、OCTAVE、NIST SP800-30、 AS/NZS4360、SSE-CMM等。2003年7月，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)〔2003〕27號(hào)文件）明確提出“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛 在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉秘程 度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理”。從此，我國也啟動(dòng)了風(fēng) 險(xiǎn)評(píng)估。

從 2003 年至今，主要經(jīng)歷了兩個(gè)階段。

第一階段：風(fēng)險(xiǎn)評(píng)估調(diào)研和試點(diǎn)階段。

基于我國對(duì)信息安全保障體系建立的迫切需求，2003年7月23日剛剛審議通過《關(guān)于加強(qiáng)信息安全保障工作的意見》后，國務(wù)院信息化辦公室安全組就決定委托國家信息中心組建成立“信息安全風(fēng)險(xiǎn)評(píng)估課題組”，啟動(dòng)了風(fēng)險(xiǎn)評(píng)估工作的調(diào)研和試點(diǎn)工作。2003年8月至12月，課題組先后對(duì)北京、廣州、深圳和上海四個(gè)地區(qū)，十幾個(gè)行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究。2004年9月下旬，完成《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》兩個(gè)規(guī)范草案的初稿。2005年2月至8月，國務(wù)院信息辦在北京市、上海市、黑龍江省、云南省、人民銀行、稅務(wù)總局、國家電網(wǎng)公司、國家信息中心等地方、部門和單位組織開展了風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作。

第二階段：風(fēng)險(xiǎn)評(píng)估開展階段。

在調(diào)研和試點(diǎn)的基礎(chǔ)上，國信辦會(huì)同公安部、安全部、 國家保密局、密碼管理局、總參三部等部門及有關(guān)專家起草了《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小 組關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》（簡稱《意見》）征求意見稿。2006年3月7日，醞釀已久的《意見》正式對(duì)外公布。這是我國信息安全保障工作中的一件大事。《意見》要求，各信息化和信息安全主管部門要充分認(rèn)識(shí)風(fēng)險(xiǎn)評(píng)估工作對(duì)于提高信息安全管理水平的 重要意義，要從抓試點(diǎn)開始，逐步探索組織實(shí)施和管理的經(jīng)驗(yàn)，用3年左右的時(shí)間在我國基 礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行風(fēng)險(xiǎn)評(píng)估工作，全面提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力。

2.2 信息安全風(fēng)險(xiǎn)評(píng)估的意義

從國外經(jīng)驗(yàn)和我國對(duì)風(fēng)險(xiǎn)評(píng)估的高度重視，可見風(fēng)險(xiǎn)評(píng)估具有很大的現(xiàn)實(shí)意義。

（1）風(fēng)險(xiǎn)評(píng)估是建設(shè)信息安全保障體系的起點(diǎn)和基礎(chǔ)工作。風(fēng)險(xiǎn)評(píng)估是從信息系統(tǒng)實(shí)際存在的風(fēng)險(xiǎn)出發(fā)，發(fā)現(xiàn)風(fēng)險(xiǎn)，并盡量規(guī)避風(fēng)險(xiǎn)。所以，一切信息安全的建設(shè)和管理工作都必須建立在科學(xué)的風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上。

（2）實(shí)現(xiàn)信息安全的持續(xù)性和動(dòng)態(tài)性。風(fēng)險(xiǎn)評(píng)估貫穿信息系統(tǒng)的整個(gè)生命周期，從信息系統(tǒng)的規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)行維護(hù)階段直至信息系統(tǒng)廢止階段，保證了信息安全的持續(xù)性。同時(shí)，由于各階段的安全需求不同，使得風(fēng)險(xiǎn)評(píng)估的結(jié)果和所采取的安全措施也有所不同，實(shí)現(xiàn)了信息的動(dòng)態(tài)安全。

（3）實(shí)現(xiàn)信息安全的標(biāo)準(zhǔn)化和信息安全的監(jiān)督和認(rèn)證。風(fēng)險(xiǎn)評(píng)估有規(guī)范的評(píng)估標(biāo)準(zhǔn)或評(píng)估指南，使信息安全達(dá)到了標(biāo)準(zhǔn)化。使用統(tǒng)一的評(píng)估標(biāo)準(zhǔn)，可以進(jìn)行自評(píng)估、檢查評(píng)估和指定機(jī)構(gòu)評(píng)估等，使各種評(píng)估具有公正性。同時(shí)，通過自評(píng)估可發(fā)現(xiàn)安全隱患；通過檢查評(píng)估，可對(duì)信息安全實(shí)現(xiàn)監(jiān)督和管理；通過機(jī)構(gòu)評(píng)估，可進(jìn)行信息安全管理體系的測(cè)評(píng)認(rèn)證。

（4）風(fēng)險(xiǎn)評(píng)估提倡適度安全。因?yàn)樗行畔⑾到y(tǒng)安全風(fēng)險(xiǎn)是客觀存在的，試圖完全消滅風(fēng)險(xiǎn)或完全避免風(fēng)險(xiǎn)是不現(xiàn)實(shí)的。風(fēng)險(xiǎn)評(píng)估根據(jù)信息系統(tǒng)的安全等級(jí)、存在的風(fēng)險(xiǎn)，作出科學(xué)的判斷，并采取相應(yīng)的安全措施，從而既不會(huì)出現(xiàn)信息安全保障不力，也不會(huì)造成信息 安全過度保護(hù)。

（5）風(fēng)險(xiǎn)評(píng)估強(qiáng)調(diào)安全管理與安全技術(shù)并重。風(fēng)險(xiǎn)評(píng)估是信息安全管理的一種科學(xué)方 法，風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)是信息安全管理的準(zhǔn)則。只有安全管理與安全技術(shù)相結(jié)合，才可以建立真 正的信息安全保障體系。

3 血液中心信息安全保障現(xiàn)狀

盡管我國已提出了建設(shè)血液中心信息安全保障體系的目標(biāo)，但現(xiàn)實(shí)狀況是仍處于初步探索階段，與國內(nèi)外信息安全保障的要求還存在差距，主要表現(xiàn)在三個(gè)方面。

（1）偏重安全技術(shù)。天津市血液中心信息安全保障體系的建設(shè)，應(yīng)包括安全技術(shù)、安全管理和安全法規(guī)標(biāo)準(zhǔn)等。然而，長期以來人們對(duì)信息安全采取的手段偏重于依靠技術(shù)，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測(cè)、身份認(rèn)證等。但“事實(shí)上僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意，許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的。”據(jù)有關(guān)部門統(tǒng)計(jì)，在所有的信息安全事件中，屬于安全管理方面的原因比重高達(dá)70%以上，而這些安全問題是可以通過科學(xué)的信息安全管理來避免。“三分技術(shù)，七分管理”這個(gè)在其他領(lǐng)域總結(jié)出來的實(shí)踐經(jīng)驗(yàn)和原則，在信息安全領(lǐng)域也同樣適用。

（2）缺少適度保護(hù)意識(shí)。信息安全保護(hù)的原則之一是提倡適度保護(hù)。 “信息價(jià)值越高，所面臨的威脅風(fēng)險(xiǎn)就越大，信息安全問題就越突出。”反之亦然。不同的信息系統(tǒng)根據(jù)其所管理的信息的重要程度，其安全保護(hù)要求是不同的。

（3）缺少信息安全保護(hù)的持續(xù)性。當(dāng)前，血液中心信息系統(tǒng)除了日常進(jìn)行殺毒軟件升級(jí)和數(shù)據(jù)備份外，還需要完善安全建設(shè)，因此風(fēng)險(xiǎn)評(píng)估需要貫穿始終。

4 建設(shè)基于風(fēng)險(xiǎn)評(píng)估的信息安全保障體系的必要性

天津市血液中心信息安全保障體系，簡單來講就是在信息系統(tǒng)的整個(gè)生命周期內(nèi)，從技術(shù)、管理和標(biāo)準(zhǔn)法規(guī)等多方面，以積極防御、適度安全和動(dòng)態(tài)保障為安全保護(hù)原則，基于等級(jí)保護(hù)制度下的風(fēng)險(xiǎn)評(píng)估為手段，保障信息安全的保密性、完整性、可用性、真實(shí)性、可核查性、抗抵賴性和可控性屬性，并保障系統(tǒng)安全的持續(xù)性的體系。在信息化建設(shè)飛速發(fā)展的今天，對(duì)已建和在建的信息系統(tǒng)建立基于風(fēng)險(xiǎn)評(píng)估的信息安全保障體系具有十分的必要性。

4.1 學(xué)習(xí)先進(jìn)國家經(jīng)驗(yàn)和響應(yīng)我國信息安全保障政策的重大舉措

縱觀當(dāng)今國內(nèi)外的信息安全建設(shè)，對(duì)信息安全保障體系建設(shè)已上升到“維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益”的高度，都在建設(shè)和完善國家信息安全保障體系，并以等級(jí)保護(hù)制度下的風(fēng)險(xiǎn)評(píng)估作為切入點(diǎn)。信息資源是我國的重要信息資源，也需適應(yīng)時(shí)代發(fā)展和響應(yīng)國家政策，開展信息安全風(fēng)險(xiǎn)評(píng)估，建立具有自身特色的信息安全保障體系。

4.2 為信息安全保障體系建設(shè)提供科學(xué)的方法

信息安全保障體系的建設(shè)，是目前信息化建設(shè)中的重要工作，全國上下都高度重視，也在不斷探索有效的構(gòu)建方法，并加以規(guī)范和推廣。風(fēng)險(xiǎn)評(píng)估可以為構(gòu)建信息安全保障體系提供科學(xué)的方法，因?yàn)轱L(fēng)險(xiǎn)評(píng)估承認(rèn)風(fēng)險(xiǎn)的客觀存在、只能追求最小風(fēng)險(xiǎn)而不存在零風(fēng)險(xiǎn)、風(fēng)險(xiǎn)是不斷變化的、風(fēng)險(xiǎn)評(píng)估是一個(gè)確認(rèn)風(fēng)險(xiǎn)的過程、在風(fēng)險(xiǎn)和安全間找衡、所有的信息安全建設(shè)和管理都以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，這些都體現(xiàn)了風(fēng)險(xiǎn)評(píng)估的科學(xué)性。如果沒有科學(xué)的方法和手段不可能建設(shè)完善的信息安全保障體系。

4.3 符合信息安全管理的實(shí)際需求

目前，信息安全保障體系建設(shè)存在多方面的不足，尤其是對(duì)信息的安全管理不夠重視。國際上實(shí)現(xiàn)信息安全管理的有效手段是在信息安全等級(jí)保護(hù)制度下，進(jìn)行風(fēng)險(xiǎn)評(píng)估，也就是先根據(jù)信息系統(tǒng)的重要程度確定信息系統(tǒng)的安全等級(jí)，并根據(jù)該等級(jí)的保護(hù)要求進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定是否達(dá)到該等級(jí)的安全要求。風(fēng)險(xiǎn)評(píng)估所體現(xiàn)的適度安全、動(dòng)態(tài)安全、持久安全、評(píng)估制度化、常規(guī)化、規(guī)范化等，都是信息安全管理的內(nèi)容，是信息安全保障所實(shí)際需要的，也是信息安全保障體系建設(shè)的目標(biāo)。

4.4 將信息安全從事后“堵漏洞”，轉(zhuǎn)化為“預(yù)防為主”的方式

風(fēng)險(xiǎn)評(píng)估在系統(tǒng)規(guī)劃、設(shè)計(jì)階段就開始進(jìn)行，充分體現(xiàn)了積極防御的信息安全原則，防患于未然，以最低的代價(jià)、最大限度地減少信息安全風(fēng)險(xiǎn)，提高信息系統(tǒng)的安全保護(hù)能力，徹底改變往往造成嚴(yán)重或無法估量的安全事故后，再事后“堵漏洞”的狀況。

4.5 加強(qiáng)對(duì)信息安全的監(jiān)督工作

風(fēng)險(xiǎn)評(píng)估不僅可以達(dá)到自我掌握信息安全狀況，同時(shí)對(duì)風(fēng)險(xiǎn)評(píng)估的定期開展，達(dá)到促進(jìn)和監(jiān)督信息安全保障體系的建設(shè)，并且信息安全監(jiān)督也應(yīng)做到規(guī)范化、制度化和長期化。

5 基于信息安全風(fēng)險(xiǎn)評(píng)估的信息安全保障體系建設(shè)

至今為止，風(fēng)險(xiǎn)評(píng)估在信息安全保障體系建設(shè)中的應(yīng)用還未正式提出，但相信不久的將來一定會(huì)提出并開展這項(xiàng)工作。由于風(fēng)險(xiǎn)評(píng)估在我國也是開展不久，還在不斷的探索，基于風(fēng)險(xiǎn)評(píng)估的信息安全保障體系建設(shè)的研究、試驗(yàn)和應(yīng)用目前基本處于空白狀態(tài)。然而，由于信息資源的特殊性，國家風(fēng)險(xiǎn)評(píng)估的宏觀政策、指南、標(biāo)準(zhǔn)等不可能完全照搬到信息化工作中來，我們需根據(jù)信息自身的特點(diǎn)，研究適合信息安全風(fēng)險(xiǎn)評(píng)估的一系列政策、法規(guī)標(biāo)準(zhǔn)和指南，所以有很多工作需要我們?nèi)ヌ剿鳌Ｖ饕ㄋ膫€(gè)方面：（1）在國家風(fēng)險(xiǎn)評(píng)估的整體規(guī)劃和指導(dǎo)下，制定信息安全風(fēng)險(xiǎn)評(píng)估的指導(dǎo)原則；（2）制定基于風(fēng)險(xiǎn)評(píng)估的信息安全保障體系的構(gòu)架；（3）制定信息風(fēng)險(xiǎn)評(píng)估方法和流程；（4）制定信息風(fēng)險(xiǎn)評(píng)估的相關(guān)法規(guī)、標(biāo)準(zhǔn)和指南等。

在開展以上這些工作過程中，我們必須學(xué)習(xí)和運(yùn)用已有的國內(nèi)外相關(guān)法規(guī)標(biāo)準(zhǔn)等，主要有ISO/IEC 17799：2005、美國的NIST SP800-30、我國近期制定的《信息安全風(fēng)險(xiǎn)管理指南（報(bào)批稿）》《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》和《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》等。信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障體系建設(shè)的必由之路，希望各級(jí)行政 管理部門能及早認(rèn)識(shí)到其重要性和必要性，通過調(diào)研、試點(diǎn)、推廣等階段，在我國逐步實(shí)現(xiàn) 信息安全風(fēng)險(xiǎn)評(píng)估。

參考文獻(xiàn)

[1] 范紅，馮登國，吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].北京：清華大學(xué)出版社，2017.

[2] 郭鑫.信息安全風(fēng)險(xiǎn)評(píng)估手冊(cè)[M].北京：機(jī)械工業(yè)出版社.2018.

[3] 向宏.信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估[M].北京：電子工業(yè)出版社，2018.

作者簡介：

徐國星（1975-），男，天津人，本科，網(wǎng)絡(luò)工程師；主要研究方向和關(guān)注領(lǐng)域：血液信息安全、血液信息化管理。