信息安全風險評估現狀及完善對策研究

戴傳祇

（吉林建筑大學電氣與計算機學院，長春 130000）

在科學技術不斷變革發展的新時代下，網絡已然成為了人們工作、學習、生活中一項必不可少的因素，對人們的行為、思想方式產生了顛覆式的影響。尤其是在互聯網+的作用下，計算機信息技術以各種形式進入到了社會各個傳統行業當中，對整個社會的發展起到了極大的帶動作用。但無論信息技術優勢如何凸顯，也始終難以隱藏其不利的一面。人們在享受信息技術所帶來的各種便利的同時，也正在遭受著以木馬、黑客、病毒等為代表的信息安全威脅。這不僅對網絡用戶的用網體驗造成了不好的影響，更對其個人的信息安全造成了巨大的威脅。為此，我們有必要在信息安全風險評估的作用下，來迅速找到問題所在，進而有針對性的制定出極具有效性的解決辦法。

1 信息安全風險評估概述

信息系統安全風險指的是，基于系統本身的脆弱性，而由自然、人為等因素所造成的安全威脅事件，以及造成的不良影響。信息安全風險評估則是指，依照我國信息技術相關行業安全標準，對信息系統本身以及尤其所處理的各類數據信息的可用性、完整性、保密性等安全屬性予以科學的評估，對安全事件有可能會帶來的負面影響進準確預判。以此來為風險控制工作的開展提供充足的評判依據，確保信息網絡安全性能的提升。

2 信息安全風險評估現狀

受互聯網信息技術發展的限制，我國信息安全風險評估起步較晚。早期的信息安全風險評估多是基于信息安全問題所造成的不良影響而開展的，是一種事后的被動行為。自上世紀80年代，在計算機技術、網絡信息技術不斷發展的作用下，越來越多的人認識到了信息安全的重要意義。計算機網絡行業、國家都開始將信息安全評估納入其工作任務重點當中。1994年國家頒布了專門的計算機信息安全保護條例——《中華人民共和國計算機信息系統安全保護條例》；2004年“信息安全風險評估課題組”在國家信息中心成立；2006年國家開始針對信息安全風險評估檢查工作制定專業的管理規范、技術標準。自此我國信息安全風險評估工作開始于全國范圍內正式實施開來。

就當前階段我國的信息安全風險評估工作實施情況來講，雖然經過多年的努力也取得了一定的成效，但受各方面現實因素的影響，也存在著一些需要注意的問題。包括，風險評估人員缺乏良好的風險評估意識、思想，對待工作存在“諱疾忌醫”、“應付了事”的消極態度；缺乏專業的風險評估人才。現有風險評估人員其能力水平只限于應對基礎的數據測評，缺乏多方面的數據系統綜合評估能力；目前我國在信息安全風險評估標準制定方面仍未達到高度的統一。尤其是對于系統評估具體方法的選擇、框架的制定、結果運用等都存在差異化的情況，這不僅對評估結果的準確性造成了一定的影響，更導致了評估責任以及程序的劃分。

3 信息安全風險評估完善對策

一是，轉變風險評估思想，樹立風險防范意識。強化信息安全風險防御的主動性，建立積極、發展、開放的信息安全風險評估防御方式，改變過去被動、隔離、封堵為主的落后風險評估、防御方式。并將內網的應用管理、存儲管理、行為管理、用戶管理等作為主要評估內容。同時，還要積極樹立正確的信息安全風險評估思想，在教育、培訓的作用下強化相關人員對信息安全相關倫理道德、法律法規的學習，以此來促使考核小組人員能夠樹立正確的防范意識，使其能夠真正成為“檢測器”一般的存在，去積極挖掘網絡中的風險，并在科學評估的基礎上及時上報。以此來降低網絡安全風險造成的不良影響。

二是，明確責任劃分。為確保信息安全風險評估流程的規范化，我們要根據國家《信息安全風險管理指南》對風險評估內容、流程予以確定，并根據風險評估各主體特點，對其自身的責任、義務進行劃分，積極推行誰評估誰負責的工作準則，確保風險評估管理早日實現規范化、法制化。此外，更要在對世界各國信息安全風險評估準則予以參考的基礎上，結合我國的特殊國情以及信息安全總體情況，建立信息安全檢測評估體系、市場準入機制，以此來為信息安全評估工作的開展提供重要的標準，確保我國信息安全風險評估工作的高質量、高水平。