論信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估的關(guān)系

倪培利?邵靜

摘 要 我國(guó)信息安全保障體系建設(shè)中，最基礎(chǔ)的制度是信息安全保護(hù)和風(fēng)險(xiǎn)評(píng)估之間的信息安全保護(hù)等級(jí)制度。信息安全保護(hù)等級(jí)制度所達(dá)到的目標(biāo)是將保護(hù)信息安全的工作統(tǒng)一起來(lái)，提升我國(guó)建設(shè)信息安全的整體水平。在保護(hù)信息安全的時(shí)候充分調(diào)動(dòng)社會(huì)所有人員的參與積極性，將他們的作用充分發(fā)揮出來(lái)，從而實(shí)現(xiàn)保護(hù)信息和維護(hù)信息系統(tǒng)的目的。

關(guān)鍵詞 信息安全;等級(jí)保護(hù);風(fēng)險(xiǎn)評(píng)估;關(guān)系

現(xiàn)代化建設(shè)中，諸多方面已經(jīng)逐漸的與電子信息技術(shù)相融合，在社會(huì)發(fā)展中，政府部門(mén)正在積極推行電子政務(wù)，在金融證券行業(yè)積極推動(dòng)網(wǎng)上銀行建設(shè)和網(wǎng)上證券交易，商務(wù)部門(mén)正在積極開(kāi)展電子商務(wù)活動(dòng)。企業(yè)的發(fā)展和社會(huì)的進(jìn)步，離不開(kāi)有效的信息數(shù)據(jù)支持。如今，信息更是作為戰(zhàn)略資源，為企業(yè)決策提供最基本的保障。

1信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估的概念

1.1 信息安全等級(jí)保護(hù)的概念

信息系統(tǒng)所承擔(dān)的功能是實(shí)現(xiàn)信息的存儲(chǔ)、傳輸和處理，信息安全等級(jí)保護(hù)主要是指對(duì)信息系統(tǒng)進(jìn)行分級(jí)保護(hù)。在管理信息系統(tǒng)的時(shí)候采用分等級(jí)管理，能夠?qū)踩a(chǎn)品在實(shí)際的使用過(guò)程中做好分級(jí)響應(yīng)和分級(jí)處理。信息安全等級(jí)保護(hù)在我國(guó)信息安全保障體系之中發(fā)揮著基礎(chǔ)性管理作用，對(duì)完善安全保障體系發(fā)揮重要作用。信息安全等級(jí)保護(hù)是保障信息安全的重要方法，其核心的內(nèi)容是將信息的安全進(jìn)行劃分等級(jí)，按照規(guī)定的標(biāo)準(zhǔn)建立起完善的監(jiān)督和管理方案。

在進(jìn)行信息安全劃分等級(jí)的時(shí)候，需要依據(jù)我國(guó)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》的基本條例，將信息安全等級(jí)保護(hù)劃分成五個(gè)等級(jí)。第一級(jí)是用戶自主保護(hù)等級(jí);第二級(jí)是審計(jì)系統(tǒng)保護(hù)等級(jí);第三級(jí)是安全標(biāo)記保護(hù)等級(jí);第四級(jí)是結(jié)構(gòu)化保護(hù)等級(jí)，第五級(jí)是訪問(wèn)驗(yàn)證保護(hù)等級(jí)[1]。

1.2 風(fēng)險(xiǎn)評(píng)估的概念

評(píng)估風(fēng)險(xiǎn)的工作就是根據(jù)一定的指標(biāo)低可能會(huì)出現(xiàn)的損失和影響提前判斷，將安全隱患進(jìn)行預(yù)防。從信息安全的角度而言，評(píng)估信息系統(tǒng)的風(fēng)險(xiǎn)是要對(duì)信息所應(yīng)對(duì)的各種威脅和挑戰(zhàn)，以及存在的弱點(diǎn)進(jìn)行分析，綜合各項(xiàng)影響因素所帶來(lái)的不利影響，提升企業(yè)應(yīng)對(duì)信息安全的能力。風(fēng)險(xiǎn)評(píng)估作為風(fēng)險(xiǎn)管理的基礎(chǔ)措施，是明確信息需求，保證信息安全的重要舉措，風(fēng)險(xiǎn)評(píng)估工作屬于策劃信息安全管理體系環(huán)節(jié)。

在評(píng)估風(fēng)險(xiǎn)的過(guò)程中，工作人員需要實(shí)現(xiàn)的工作內(nèi)容總體上可以分為五個(gè)角度。第一，對(duì)信息系統(tǒng)面臨的各項(xiàng)危機(jī)和風(fēng)險(xiǎn)進(jìn)行識(shí)別，形成預(yù)警意識(shí)。第二，預(yù)計(jì)風(fēng)險(xiǎn)可能會(huì)發(fā)生的概率以及風(fēng)險(xiǎn)會(huì)造成哪些方面的影響。第三，明確企業(yè)在應(yīng)對(duì)風(fēng)險(xiǎn)時(shí)所表現(xiàn)出來(lái)的能力。第四，明確控制風(fēng)險(xiǎn)和削減風(fēng)險(xiǎn)的優(yōu)先級(jí)。第五，制定出科學(xué)合理的風(fēng)險(xiǎn)應(yīng)對(duì)方案。

2信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估之間的關(guān)系

在我國(guó)信息安全建設(shè)中，最基本的制度是信息安全等級(jí)保護(hù)制度。信息安全等級(jí)保護(hù)工作的核心內(nèi)容是對(duì)信息進(jìn)行安全等級(jí)分級(jí)，在分級(jí)的過(guò)程中要嚴(yán)格按照建設(shè)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和監(jiān)督標(biāo)準(zhǔn)執(zhí)行。從一定程度上講，等級(jí)保護(hù)制度體現(xiàn)了國(guó)家保障信息安全的意志，更是體現(xiàn)出了建設(shè)信息安全系統(tǒng)時(shí)國(guó)家和單位的基本訴求。開(kāi)展信息安全工作時(shí)采取風(fēng)險(xiǎn)評(píng)估，作為一種技術(shù)手段能夠推動(dòng)實(shí)施信息安全等級(jí)保護(hù)的周期以及層次建立。單位在落實(shí)信息安全等級(jí)保護(hù)工作的時(shí)候，使用信息系統(tǒng)的工作單位可以將本單位的信息系統(tǒng)基本特征與行業(yè)的基本特點(diǎn)相結(jié)合，自主展開(kāi)評(píng)估風(fēng)險(xiǎn)的工作，進(jìn)而為實(shí)現(xiàn)等級(jí)保護(hù)進(jìn)行定級(jí)、評(píng)測(cè)和整改提供參考依據(jù)[2]。

3信息安全等級(jí)保護(hù)周期中的風(fēng)險(xiǎn)評(píng)估

建設(shè)信息安全等級(jí)保護(hù)的時(shí)候需要涉及很多的管理問(wèn)題和技術(shù)問(wèn)題，在不同系統(tǒng)之中的不同安全領(lǐng)域，都可以借助于一些具有有效性、安全性的措施展開(kāi)分析和判斷。對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，是用戶可以自主開(kāi)展的，在信息安全等級(jí)保護(hù)周期中開(kāi)展風(fēng)險(xiǎn)評(píng)估，大體上從三個(gè)角度展開(kāi)。

第一，為信息安全系統(tǒng)進(jìn)行定級(jí)：因?yàn)樾畔⑾到y(tǒng)具備其行業(yè)本身具有的特點(diǎn)和業(yè)務(wù)特征，并且信息系統(tǒng)在投入使用的過(guò)程中需要面臨不同的安全威脅。所以，在識(shí)別和關(guān)聯(lián)客觀威脅發(fā)生的頻率、評(píng)估資產(chǎn)的重要性以及評(píng)價(jià)系統(tǒng)自身脆弱性的時(shí)候要以信息安全風(fēng)險(xiǎn)評(píng)估的國(guó)家標(biāo)準(zhǔn)作為依據(jù)，通過(guò)采取合理的方式對(duì)信息系統(tǒng)進(jìn)行判斷，之后將可能會(huì)出現(xiàn)的影響控制在可以接受的范圍之內(nèi)。第二，信息系統(tǒng)實(shí)施的安全性。開(kāi)展安全實(shí)施的時(shí)候，要以國(guó)家規(guī)定的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)作為依據(jù)，在采取安全管理措施的時(shí)候要從技術(shù)方面和管理方面兩個(gè)角度著手，繼而保證安全措施建設(shè)能夠滿足于等級(jí)要求。在安全實(shí)施階段，風(fēng)險(xiǎn)評(píng)估能夠發(fā)揮出最直接的作用，評(píng)估和加固現(xiàn)有的信息安全系統(tǒng)，之后再部署安全設(shè)備。在安全實(shí)施的過(guò)程中，可能會(huì)發(fā)生能夠產(chǎn)生長(zhǎng)期影響的不良事故，比如安全集成的過(guò)程中設(shè)置完成了口令和超級(jí)用戶，但是并沒(méi)有將口令和超級(jí)用戶轉(zhuǎn)交，將會(huì)為后期的策略制定產(chǎn)生消極影響，科學(xué)合理的風(fēng)險(xiǎn)評(píng)估工作能夠?qū)⑦@類問(wèn)題及時(shí)發(fā)現(xiàn)并且解決。第三，安全運(yùn)維。安全運(yùn)維是信息安全系統(tǒng)的安全管理工作，主要分成兩個(gè)層面展開(kāi)。第一，將現(xiàn)有的信息系統(tǒng)安全等級(jí)進(jìn)行維護(hù)，保證信息安全系統(tǒng)不會(huì)出現(xiàn)問(wèn)題。在檢驗(yàn)信息系統(tǒng)安全性的過(guò)程中要嚴(yán)格按照國(guó)家相關(guān)的等級(jí)劃分標(biāo)準(zhǔn)，保證采取有效的安全措施展開(kāi)工作。第二，在進(jìn)行信息系統(tǒng)定級(jí)的時(shí)候，要尊重客觀變化和系統(tǒng)內(nèi)部的建設(shè)需求，定期將等級(jí)進(jìn)行調(diào)整，從而有效防止保護(hù)過(guò)度或者是保護(hù)不足的現(xiàn)象。風(fēng)險(xiǎn)評(píng)估在這三個(gè)環(huán)節(jié)之中可以幫助信息系統(tǒng)確定安全等級(jí)，是檢驗(yàn)安全實(shí)施階段評(píng)估系統(tǒng)能否達(dá)到安全等級(jí)的關(guān)鍵。定期或者是不定期的展開(kāi)評(píng)價(jià)風(fēng)險(xiǎn)的活動(dòng)，能夠保證信息安全等級(jí)穩(wěn)定[3]。

4結(jié)束語(yǔ)

我國(guó)保障信息安全的基本制度是信息安全等級(jí)保護(hù)制度，在信息安全等級(jí)保護(hù)制度之下的風(fēng)險(xiǎn)評(píng)估能夠增強(qiáng)保護(hù)信息安全的能力。在未來(lái)，信息安全等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估將為我國(guó)企業(yè)的信息安全提供最基本的保障，推動(dòng)我國(guó)信息技術(shù)進(jìn)步。

參考文獻(xiàn)

[1] 王姣，范科峰，莫瑋，等.基于模糊集和DS證據(jù)理論的信息安全風(fēng)險(xiǎn)評(píng)估方法[J].計(jì)算機(jī)應(yīng)用研究，2017，（11）：3432-3436.

[2] 柴繼文，王勝，梁暉輝，等.基于層次分析法的信息安全風(fēng)險(xiǎn)評(píng)估要素量化方法[J].重慶大學(xué)學(xué)報(bào)，2017，（04）：44-53.

[3] 房磊.發(fā)電排污信息安全風(fēng)險(xiǎn)評(píng)估對(duì)水污染治理的影響研究[J].環(huán)境科學(xué)與管理，2018，（01）：86-89.