摘 要 信息技術(shù)的發(fā)展和互聯(lián)網(wǎng)應(yīng)用的普及，讓網(wǎng)絡(luò)和信息系統(tǒng)面臨著前所未有的潛在威脅和信息安全風(fēng)險(xiǎn)。2013年，維基解密網(wǎng)站披露了美國(guó)“棱鏡計(jì)劃”，網(wǎng)絡(luò)監(jiān)聽(tīng)事件使美國(guó)陷入“外交風(fēng)暴”。 同年，微軟公司發(fā)布了一款Windows XP操作系統(tǒng)“死亡倒計(jì)時(shí)工具”，并宣布對(duì)Windows XP的更新支持將在2014年4月8日停止。2014年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，體現(xiàn)了黨中央全面深化改革的意志和保障網(wǎng)絡(luò)安全的決心。文章圍繞中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組戰(zhàn)略部署，主要闡述了信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估對(duì)網(wǎng)絡(luò)和信息安全的重要意義。

關(guān)鍵詞 信息系統(tǒng)；風(fēng)險(xiǎn)評(píng)估；網(wǎng)絡(luò)；信息安全；意義

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）04-0166-01

“十二五”規(guī)劃實(shí)施以來(lái)，經(jīng)濟(jì)持續(xù)快速增長(zhǎng)，信息化建設(shè)穩(wěn)步推進(jìn)，網(wǎng)絡(luò)和信息系統(tǒng)高速發(fā)展。然而，網(wǎng)絡(luò)和信息系統(tǒng)風(fēng)險(xiǎn)對(duì)國(guó)家安全、公共安全和社會(huì)穩(wěn)定構(gòu)成了嚴(yán)重威脅。2013年11月，黨的十八屆三中全會(huì)決定設(shè)立國(guó)家安全委員會(huì)，完善國(guó)家安全體制和國(guó)家安全戰(zhàn)略。在2014年3月召開(kāi)的全國(guó)“兩會(huì)”上，人大代表和政協(xié)委員紛紛為網(wǎng)絡(luò)和信息安全建言獻(xiàn)策，網(wǎng)絡(luò)和信息安全再一次提升到國(guó)家安全和社會(huì)穩(wěn)定的政治高度。

1 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)，指遭受損失、傷害、毀滅的可能性。風(fēng)險(xiǎn)是由于非行為主體可控因素，使得這些因素被外力利用而造成的損失。在信息安全領(lǐng)域，指由于信息系統(tǒng)的脆弱性，人為或自然威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是識(shí)別并判斷信息系統(tǒng)面臨風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)評(píng)估是一個(gè)結(jié)合技術(shù)手段，為識(shí)別管理問(wèn)題、制定管理策略服務(wù)的系統(tǒng)工程；是以威脅為出發(fā)點(diǎn)，結(jié)合系統(tǒng)脆弱性判斷的評(píng)估過(guò)程；是周期性了解安全風(fēng)險(xiǎn)，采取相應(yīng)安全控制措施的前提。它為降低網(wǎng)絡(luò)風(fēng)險(xiǎn)、實(shí)施風(fēng)險(xiǎn)管理和控制提供了重要依據(jù)。風(fēng)險(xiǎn)評(píng)估是加強(qiáng)信息安全保障體系建設(shè)和管理的關(guān)鍵環(huán)節(jié)，是發(fā)現(xiàn)信息安全存在問(wèn)題，找到解決方案的有效手段。

2 信息系統(tǒng)安全現(xiàn)狀

信息系統(tǒng)涉及社會(huì)經(jīng)濟(jì)方方面面，在政務(wù)和商務(wù)領(lǐng)域發(fā)揮了重要作用，信息安全問(wèn)題不單是一個(gè)局部性和技術(shù)性問(wèn)題，而是一個(gè)跨領(lǐng)域、跨行業(yè)、跨部門(mén)的綜合性安全問(wèn)題。據(jù)統(tǒng)計(jì)，某省會(huì)城市各大機(jī)關(guān)、企事業(yè)單位中，有10%的單位出現(xiàn)過(guò)信息系統(tǒng)不穩(wěn)定運(yùn)行情況；有30%的單位出現(xiàn)過(guò)來(lái)自網(wǎng)絡(luò)、非法入侵等方面的攻擊；出現(xiàn)過(guò)信息安全問(wèn)題的單位比例高達(dá)86%！缺少信息安全建設(shè)專(zhuān)項(xiàng)資金，信息安全專(zhuān)業(yè)人才缺乏，應(yīng)急響應(yīng)體系和信息安全測(cè)評(píng)機(jī)構(gòu)尚未組建，存在著“重建設(shè)、輕管理，重應(yīng)用、輕安全”的現(xiàn)象，已成為亟待解決的問(wèn)題。

各部門(mén)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的重視程度與其信息化水平呈現(xiàn)正比，即信息化水平越高，對(duì)風(fēng)險(xiǎn)評(píng)估越重視。然而，由于地區(qū)差異和行業(yè)發(fā)展不平衡，各部門(mén)重視風(fēng)險(xiǎn)評(píng)估的一個(gè)重要原因是“安全事件驅(qū)動(dòng)”，即“不出事不重視”，真正做到“未雨綢繆”的少之又少。目前我國(guó)信息安全體系還未健全和完善，真正意義上的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估尚待成熟。有的部門(mén)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估還停留在傳達(dá)一下文件、出具一個(gè)報(bào)告、安排一場(chǎng)測(cè)試，由于評(píng)估單位在評(píng)估資質(zhì)、評(píng)估標(biāo)準(zhǔn)、評(píng)估方法等方面還不夠規(guī)范和統(tǒng)一，甚至出現(xiàn)對(duì)同一個(gè)信息系統(tǒng)，不同評(píng)估單位得出不同評(píng)估結(jié)論的案例。

3 國(guó)家信息安全戰(zhàn)略部署

2014年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立并召開(kāi)第一次會(huì)議。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢(shì)、成長(zhǎng)治之業(yè)。網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題，要從國(guó)際國(guó)內(nèi)大勢(shì)出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)。

4 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的重要意義

4.1 確診風(fēng)險(xiǎn)，對(duì)癥下藥

信息系統(tǒng)風(fēng)險(xiǎn)是客觀存在的，也是可以被感知和認(rèn)識(shí)從而進(jìn)行科學(xué)管理的。信息系統(tǒng)面臨的風(fēng)險(xiǎn)是什么、有多大，應(yīng)該采取什么樣的措施去減少、化解和規(guī)避風(fēng)險(xiǎn)？就像人的軀體有健康和疾病，設(shè)備狀況有正常和故障，糧食質(zhì)量有營(yíng)養(yǎng)和變質(zhì)，如何確認(rèn)信息系統(tǒng)的狀態(tài)和發(fā)現(xiàn)信息系統(tǒng)存在的風(fēng)險(xiǎn)和面臨的威脅，就需要進(jìn)行風(fēng)險(xiǎn)評(píng)估。

4.2 夯實(shí)安全根基，鞏固信息大廈

信息系統(tǒng)建設(shè)之初就存在安全問(wèn)題，好比高樓大廈建在流沙之上，地基不固，樓建的越高倒塌的風(fēng)險(xiǎn)就越大。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)這座高樓大廈的安全根基，它可以幫助信息系統(tǒng)管理者了解潛在威脅，合理利用現(xiàn)有資源開(kāi)展規(guī)劃建設(shè)，讓信息系統(tǒng)安全“贏在起跑線上”。風(fēng)險(xiǎn)評(píng)估還可以為信息系統(tǒng)建設(shè)者節(jié)省信息系統(tǒng)建設(shè)總體投資，達(dá)到“以最小成本獲得最大安全保障”的效果。

4.3 信息安全管理的“利器”

信息安全的一大特點(diǎn)就是看不見(jiàn)摸不著就“中招”，如病毒攻擊、黑客入侵、網(wǎng)絡(luò)泄密等，在不知不覺(jué)中就已經(jīng)遭受了重大損失。信息安全是高科技較量，沒(méi)有科學(xué)的方法和手段，很難全面發(fā)現(xiàn)潛在的問(wèn)題和威脅?！肮び破涫?，必先利其器?！憋L(fēng)險(xiǎn)評(píng)估便是信息安全管理的“利器”。

4.4 尋求適度安全和建設(shè)成本的最佳平衡點(diǎn)

安全是相對(duì)的，成本是有限的。在市場(chǎng)經(jīng)濟(jì)高度發(fā)達(dá)的今天，信息系統(tǒng)建設(shè)要達(dá)到預(yù)期經(jīng)濟(jì)效益和社會(huì)效益，就不能脫離實(shí)際地追求“零風(fēng)險(xiǎn)”和絕對(duì)安全。風(fēng)險(xiǎn)評(píng)估為管理者算了一筆經(jīng)濟(jì)賬，讓我們認(rèn)清信息系統(tǒng)面臨的威脅和風(fēng)險(xiǎn)，在此基礎(chǔ)上決定哪些風(fēng)險(xiǎn)必須規(guī)避，哪些風(fēng)險(xiǎn)可以容忍，以便在潛在風(fēng)險(xiǎn)損失與建設(shè)管理成本之間尋求一個(gè)最佳平衡點(diǎn)，力求達(dá)到預(yù)期效益的最大化。

4.5 既要借鑒先進(jìn)經(jīng)驗(yàn)，又要重視預(yù)警防范

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化。建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)，要有自己的技術(shù)，有過(guò)硬的技術(shù)。風(fēng)險(xiǎn)評(píng)估是信息化發(fā)達(dá)國(guó)家的重要經(jīng)驗(yàn)。1995年英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)提出《信息安全管理實(shí)施細(xì)則》BS7799，2000年，BS7799通過(guò)國(guó)際標(biāo)準(zhǔn)化組織ISO認(rèn)可并成為國(guó)際標(biāo)準(zhǔn)。2002年美國(guó)頒布《聯(lián)邦信息系統(tǒng)安全認(rèn)證和認(rèn)可指南》，為信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了政策和技術(shù)支持。目前我們的信息化在某些關(guān)鍵技術(shù)、關(guān)鍵設(shè)備上還受制于人。“他山之石”可為我所用，亦須知其鋒芒與瑕疵，加強(qiáng)預(yù)警防范與借鑒先進(jìn)技術(shù)同樣重要。

參考文獻(xiàn)

[1]ISO/IEC 17799：2005信息安全管理實(shí)施指南.

[2]GB/T 18336-2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則.

[3]GB/T 19716-2005信息技術(shù) 信息安全管理實(shí)用規(guī)則.

作者簡(jiǎn)介

趙可（1981-），男，山東濟(jì)南人，工程師，學(xué)士學(xué)位，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)管理。endprint