摘 要：我國在推廣信息系統(tǒng)安全等級保護(hù)和風(fēng)險評估后，逐步將其作為建設(shè)國家信息安全保障體系的一項基本制度。天津血液中心信息安全保障體系的建設(shè)，也必須遵守我國信息安全發(fā)展政策。血液信息安全保障體系建設(shè)目前尚處于探索階段，文章將分析目前血液信息安全保障體系的現(xiàn)狀，以及構(gòu)建基于信息安全風(fēng)險評估信息安全保障體系的必要性。

關(guān)鍵詞：信息安全；風(fēng)險評估；保障體系

中圖分類號：TP391 文獻(xiàn)標(biāo)識碼：A

Abstract： After China has promoted the information security system based on graded protection and risk assessment， gradually adopted it as a basic rule for building a national information security system. The establishment of the Tianjin Blood Center Information Security System must also comply with Chinas information security policy. The construction of the blood information security system is still at the exploratory stage， this paper will analyze the current status of the blood information security system and the necessity of building an information security system based on information security risk assessment.

Key words： information security； risk assessment； security system

1 引言

天津市血液中心始建于1969年，是不以盈利為目的集采血、供血、血液成分制備、醫(yī)學(xué)檢驗、科研、培訓(xùn)和學(xué)術(shù)交流等為一體的天津市的省級采供血機(jī)構(gòu)。中心承擔(dān)著向全市100余家醫(yī)療機(jī)構(gòu)提供臨床用血和保障血液安全的重任，每年向全市醫(yī)療機(jī)構(gòu)提供各類血液及血液成分制品40余噸、血小板4.5萬單位。同時，還肩負(fù)著全市各級采供血機(jī)構(gòu)的質(zhì)量控制、業(yè)務(wù)培訓(xùn)、技術(shù)指導(dǎo)和醫(yī)療機(jī)構(gòu)醫(yī)療用血的業(yè)務(wù)指導(dǎo)，開展疑難血型鑒定及配血、新生兒溶血病的檢查、輸血反應(yīng)鑒定、強(qiáng)直性脊椎炎的診斷、組織配型、親子鑒定等輸血相關(guān)服務(wù)項目，是天津醫(yī)科大學(xué)檢驗學(xué)院臨床教學(xué)基地和天津醫(yī)科大學(xué)研究生培養(yǎng)基地。

天津市血液中心主要的業(yè)務(wù)系統(tǒng)包括采供血業(yè)務(wù)信息系統(tǒng)、血液管理信息系統(tǒng)以及用血審批管理系統(tǒng)，這些業(yè)務(wù)系統(tǒng)所承載的信息資源是醫(yī)療衛(wèi)生行業(yè)基礎(chǔ)數(shù)據(jù)資源最重要的組成部分，在日常生活中發(fā)揮著越來越重要的作用。然而，隨著血液中心信息化建設(shè)的不斷推進(jìn)，信息系統(tǒng)及其周邊系統(tǒng)規(guī)模不斷擴(kuò)大，系統(tǒng)結(jié)構(gòu)更加復(fù)雜，信息安全問題日益突出，因此天津市血液中心提出了進(jìn)行信息安全保障體系建設(shè)。

血液中心信息安全保障體系應(yīng)該是一個完整的體系，不僅包括安全技術(shù)，更應(yīng)包括安全管理、安全法規(guī)標(biāo)準(zhǔn)等諸方面的內(nèi)容，這樣才能確保越來越復(fù)雜和龐大的信血液中心信息系統(tǒng)安全，并且具有持續(xù)性。目前，從國外的經(jīng)驗、國內(nèi)的試點和政策都表明，信息安全風(fēng)險評估是建設(shè)信息系統(tǒng)安全保障體系的有效手段和基礎(chǔ)工作。

2 信息安全風(fēng)險評估

“信息安全風(fēng)險評估（簡稱風(fēng)險評估）就是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能對組織造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施，并為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受的水平，從而為最大限度地保障網(wǎng)絡(luò)和信息系統(tǒng)安全提供科學(xué)依據(jù)。”風(fēng)險評估是建設(shè)信息安全保障體系過程中的重要的評價方法和決策機(jī)制。

2.1 國內(nèi)外信息安全風(fēng)險評估現(xiàn)狀

“早在上個世紀(jì)70年代初期美國政府就提出了風(fēng)險評估的要求，2002年頒布的《2002 聯(lián)邦信息安全管理法》對政務(wù)信息安全風(fēng)險評估提出了更加具體的要求?！睔W洲等其他信息化發(fā)達(dá)國家也非常重視開展信息安全風(fēng)險評估工作，將它作為提高信息安全保障水平的重要手段。國外風(fēng)險評估標(biāo)準(zhǔn)主要有BS7799、ISO/IEC 17799、OCTAVE、NIST SP800-30、 AS/NZS4360、SSE-CMM等。2003年7月，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)〔2003〕27號文件）明確提出“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛 在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉秘程 度和面臨的信息安全風(fēng)險等因素，進(jìn)行相應(yīng)等級的安全建設(shè)和管理”。從此，我國也啟動了風(fēng) 險評估。

從 2003 年至今，主要經(jīng)歷了兩個階段。

第一階段：風(fēng)險評估調(diào)研和試點階段。

基于我國對信息安全保障體系建立的迫切需求，2003年7月23日剛剛審議通過《關(guān)于加強(qiáng)信息安全保障工作的意見》后，國務(wù)院信息化辦公室安全組就決定委托國家信息中心組建成立“信息安全風(fēng)險評估課題組”，啟動了風(fēng)險評估工作的調(diào)研和試點工作。2003年8月至12月，課題組先后對北京、廣州、深圳和上海四個地區(qū)，十幾個行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究。2004年9月下旬，完成《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》兩個規(guī)范草案的初稿。2005年2月至8月，國務(wù)院信息辦在北京市、上海市、黑龍江省、云南省、人民銀行、稅務(wù)總局、國家電網(wǎng)公司、國家信息中心等地方、部門和單位組織開展了風(fēng)險評估試點工作。

第二階段：風(fēng)險評估開展階段。

在調(diào)研和試點的基礎(chǔ)上，國信辦會同公安部、安全部、 國家保密局、密碼管理局、總參三部等部門及有關(guān)專家起草了《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小 組關(guān)于開展信息安全風(fēng)險評估工作的意見》（簡稱《意見》）征求意見稿。2006年3月7日，醞釀已久的《意見》正式對外公布。這是我國信息安全保障工作中的一件大事?！兑庖姟芬螅餍畔⒒托畔踩鞴懿块T要充分認(rèn)識風(fēng)險評估工作對于提高信息安全管理水平的 重要意義，要從抓試點開始，逐步探索組織實施和管理的經(jīng)驗，用3年左右的時間在我國基 礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行風(fēng)險評估工作，全面提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力。

2.2 信息安全風(fēng)險評估的意義

從國外經(jīng)驗和我國對風(fēng)險評估的高度重視，可見風(fēng)險評估具有很大的現(xiàn)實意義。

（1）風(fēng)險評估是建設(shè)信息安全保障體系的起點和基礎(chǔ)工作。風(fēng)險評估是從信息系統(tǒng)實際存在的風(fēng)險出發(fā)，發(fā)現(xiàn)風(fēng)險，并盡量規(guī)避風(fēng)險。所以，一切信息安全的建設(shè)和管理工作都必須建立在科學(xué)的風(fēng)險評估的基礎(chǔ)上。

（2）實現(xiàn)信息安全的持續(xù)性和動態(tài)性。風(fēng)險評估貫穿信息系統(tǒng)的整個生命周期，從信息系統(tǒng)的規(guī)劃階段、設(shè)計階段、實施階段、運行維護(hù)階段直至信息系統(tǒng)廢止階段，保證了信息安全的持續(xù)性。同時，由于各階段的安全需求不同，使得風(fēng)險評估的結(jié)果和所采取的安全措施也有所不同，實現(xiàn)了信息的動態(tài)安全。

（3）實現(xiàn)信息安全的標(biāo)準(zhǔn)化和信息安全的監(jiān)督和認(rèn)證。風(fēng)險評估有規(guī)范的評估標(biāo)準(zhǔn)或評估指南，使信息安全達(dá)到了標(biāo)準(zhǔn)化。使用統(tǒng)一的評估標(biāo)準(zhǔn)，可以進(jìn)行自評估、檢查評估和指定機(jī)構(gòu)評估等，使各種評估具有公正性。同時，通過自評估可發(fā)現(xiàn)安全隱患；通過檢查評估，可對信息安全實現(xiàn)監(jiān)督和管理；通過機(jī)構(gòu)評估，可進(jìn)行信息安全管理體系的測評認(rèn)證。

（4）風(fēng)險評估提倡適度安全。因為所有信息系統(tǒng)安全風(fēng)險是客觀存在的，試圖完全消滅風(fēng)險或完全避免風(fēng)險是不現(xiàn)實的。風(fēng)險評估根據(jù)信息系統(tǒng)的安全等級、存在的風(fēng)險，作出科學(xué)的判斷，并采取相應(yīng)的安全措施，從而既不會出現(xiàn)信息安全保障不力，也不會造成信息 安全過度保護(hù)。

（5）風(fēng)險評估強(qiáng)調(diào)安全管理與安全技術(shù)并重。風(fēng)險評估是信息安全管理的一種科學(xué)方 法，風(fēng)險評估標(biāo)準(zhǔn)是信息安全管理的準(zhǔn)則。只有安全管理與安全技術(shù)相結(jié)合，才可以建立真 正的信息安全保障體系。

3 血液中心信息安全保障現(xiàn)狀

盡管我國已提出了建設(shè)血液中心信息安全保障體系的目標(biāo)，但現(xiàn)實狀況是仍處于初步探索階段，與國內(nèi)外信息安全保障的要求還存在差距，主要表現(xiàn)在三個方面。

（1）偏重安全技術(shù)。天津市血液中心信息安全保障體系的建設(shè)，應(yīng)包括安全技術(shù)、安全管理和安全法規(guī)標(biāo)準(zhǔn)等。然而，長期以來人們對信息安全采取的手段偏重于依靠技術(shù)，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、身份認(rèn)證等。但“事實上僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意，許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的?！睋?jù)有關(guān)部門統(tǒng)計，在所有的信息安全事件中，屬于安全管理方面的原因比重高達(dá)70%以上，而這些安全問題是可以通過科學(xué)的信息安全管理來避免?！叭旨夹g(shù)，七分管理”這個在其他領(lǐng)域總結(jié)出來的實踐經(jīng)驗和原則，在信息安全領(lǐng)域也同樣適用。

（2）缺少適度保護(hù)意識。信息安全保護(hù)的原則之一是提倡適度保護(hù)。 “信息價值越高，所面臨的威脅風(fēng)險就越大，信息安全問題就越突出?！狈粗嗳?。不同的信息系統(tǒng)根據(jù)其所管理的信息的重要程度，其安全保護(hù)要求是不同的。

（3）缺少信息安全保護(hù)的持續(xù)性。當(dāng)前，血液中心信息系統(tǒng)除了日常進(jìn)行殺毒軟件升級和數(shù)據(jù)備份外，還需要完善安全建設(shè)，因此風(fēng)險評估需要貫穿始終。

4 建設(shè)基于風(fēng)險評估的信息安全保障體系的必要性

天津市血液中心信息安全保障體系，簡單來講就是在信息系統(tǒng)的整個生命周期內(nèi)，從技術(shù)、管理和標(biāo)準(zhǔn)法規(guī)等多方面，以積極防御、適度安全和動態(tài)保障為安全保護(hù)原則，基于等級保護(hù)制度下的風(fēng)險評估為手段，保障信息安全的保密性、完整性、可用性、真實性、可核查性、抗抵賴性和可控性屬性，并保障系統(tǒng)安全的持續(xù)性的體系。在信息化建設(shè)飛速發(fā)展的今天，對已建和在建的信息系統(tǒng)建立基于風(fēng)險評估的信息安全保障體系具有十分的必要性。

4.1 學(xué)習(xí)先進(jìn)國家經(jīng)驗和響應(yīng)我國信息安全保障政策的重大舉措

縱觀當(dāng)今國內(nèi)外的信息安全建設(shè)，對信息安全保障體系建設(shè)已上升到“維護(hù)國家安全、社會穩(wěn)定和公共利益”的高度，都在建設(shè)和完善國家信息安全保障體系，并以等級保護(hù)制度下的風(fēng)險評估作為切入點。信息資源是我國的重要信息資源，也需適應(yīng)時代發(fā)展和響應(yīng)國家政策，開展信息安全風(fēng)險評估，建立具有自身特色的信息安全保障體系。

4.2 為信息安全保障體系建設(shè)提供科學(xué)的方法

信息安全保障體系的建設(shè)，是目前信息化建設(shè)中的重要工作，全國上下都高度重視，也在不斷探索有效的構(gòu)建方法，并加以規(guī)范和推廣。風(fēng)險評估可以為構(gòu)建信息安全保障體系提供科學(xué)的方法，因為風(fēng)險評估承認(rèn)風(fēng)險的客觀存在、只能追求最小風(fēng)險而不存在零風(fēng)險、風(fēng)險是不斷變化的、風(fēng)險評估是一個確認(rèn)風(fēng)險的過程、在風(fēng)險和安全間找衡、所有的信息安全建設(shè)和管理都以風(fēng)險評估為基礎(chǔ)，這些都體現(xiàn)了風(fēng)險評估的科學(xué)性。如果沒有科學(xué)的方法和手段不可能建設(shè)完善的信息安全保障體系。

4.3 符合信息安全管理的實際需求

目前，信息安全保障體系建設(shè)存在多方面的不足，尤其是對信息的安全管理不夠重視。國際上實現(xiàn)信息安全管理的有效手段是在信息安全等級保護(hù)制度下，進(jìn)行風(fēng)險評估，也就是先根據(jù)信息系統(tǒng)的重要程度確定信息系統(tǒng)的安全等級，并根據(jù)該等級的保護(hù)要求進(jìn)行風(fēng)險評估，確定是否達(dá)到該等級的安全要求。風(fēng)險評估所體現(xiàn)的適度安全、動態(tài)安全、持久安全、評估制度化、常規(guī)化、規(guī)范化等，都是信息安全管理的內(nèi)容，是信息安全保障所實際需要的，也是信息安全保障體系建設(shè)的目標(biāo)。

4.4 將信息安全從事后“堵漏洞”，轉(zhuǎn)化為“預(yù)防為主”的方式

風(fēng)險評估在系統(tǒng)規(guī)劃、設(shè)計階段就開始進(jìn)行，充分體現(xiàn)了積極防御的信息安全原則，防患于未然，以最低的代價、最大限度地減少信息安全風(fēng)險，提高信息系統(tǒng)的安全保護(hù)能力，徹底改變往往造成嚴(yán)重或無法估量的安全事故后，再事后“堵漏洞”的狀況。

4.5 加強(qiáng)對信息安全的監(jiān)督工作

風(fēng)險評估不僅可以達(dá)到自我掌握信息安全狀況，同時對風(fēng)險評估的定期開展，達(dá)到促進(jìn)和監(jiān)督信息安全保障體系的建設(shè)，并且信息安全監(jiān)督也應(yīng)做到規(guī)范化、制度化和長期化。

5 基于信息安全風(fēng)險評估的信息安全保障體系建設(shè)

至今為止，風(fēng)險評估在信息安全保障體系建設(shè)中的應(yīng)用還未正式提出，但相信不久的將來一定會提出并開展這項工作。由于風(fēng)險評估在我國也是開展不久，還在不斷的探索，基于風(fēng)險評估的信息安全保障體系建設(shè)的研究、試驗和應(yīng)用目前基本處于空白狀態(tài)。然而，由于信息資源的特殊性，國家風(fēng)險評估的宏觀政策、指南、標(biāo)準(zhǔn)等不可能完全照搬到信息化工作中來，我們需根據(jù)信息自身的特點，研究適合信息安全風(fēng)險評估的一系列政策、法規(guī)標(biāo)準(zhǔn)和指南，所以有很多工作需要我們?nèi)ヌ剿?。主要包括四個方面：（1）在國家風(fēng)險評估的整體規(guī)劃和指導(dǎo)下，制定信息安全風(fēng)險評估的指導(dǎo)原則；（2）制定基于風(fēng)險評估的信息安全保障體系的構(gòu)架；（3）制定信息風(fēng)險評估方法和流程；（4）制定信息風(fēng)險評估的相關(guān)法規(guī)、標(biāo)準(zhǔn)和指南等。

在開展以上這些工作過程中，我們必須學(xué)習(xí)和運用已有的國內(nèi)外相關(guān)法規(guī)標(biāo)準(zhǔn)等，主要有ISO/IEC 17799：2005、美國的NIST SP800-30、我國近期制定的《信息安全風(fēng)險管理指南（報批稿）》《信息安全風(fēng)險評估規(guī)范》《信息系統(tǒng)安全等級保護(hù)實施指南》和《電子政務(wù)信息安全等級保護(hù)實施指南》等。信息安全風(fēng)險評估是信息安全保障體系建設(shè)的必由之路，希望各級行政 管理部門能及早認(rèn)識到其重要性和必要性，通過調(diào)研、試點、推廣等階段，在我國逐步實現(xiàn) 信息安全風(fēng)險評估。

參考文獻(xiàn)

[1] 范紅，馮登國，吳亞非.信息安全風(fēng)險評估方法與應(yīng)用[M].北京：清華大學(xué)出版社，2017.

[2] 郭鑫.信息安全風(fēng)險評估手冊[M].北京：機(jī)械工業(yè)出版社.2018.

[3] 向宏.信息安全測評與風(fēng)險評估[M].北京：電子工業(yè)出版社，2018.

作者簡介：

徐國星（1975-），男，天津人，本科，網(wǎng)絡(luò)工程師；主要研究方向和關(guān)注領(lǐng)域：血液信息安全、血液信息化管理。