倪培利?邵靜

摘 要 我國信息安全保障體系建設中，最基礎的制度是信息安全保護和風險評估之間的信息安全保護等級制度。信息安全保護等級制度所達到的目標是將保護信息安全的工作統(tǒng)一起來，提升我國建設信息安全的整體水平。在保護信息安全的時候充分調(diào)動社會所有人員的參與積極性，將他們的作用充分發(fā)揮出來，從而實現(xiàn)保護信息和維護信息系統(tǒng)的目的。

關鍵詞 信息安全;等級保護;風險評估;關系

現(xiàn)代化建設中，諸多方面已經(jīng)逐漸的與電子信息技術(shù)相融合，在社會發(fā)展中，政府部門正在積極推行電子政務，在金融證券行業(yè)積極推動網(wǎng)上銀行建設和網(wǎng)上證券交易，商務部門正在積極開展電子商務活動。企業(yè)的發(fā)展和社會的進步，離不開有效的信息數(shù)據(jù)支持。如今，信息更是作為戰(zhàn)略資源，為企業(yè)決策提供最基本的保障。

1信息安全等級保護和風險評估的概念

1.1 信息安全等級保護的概念

信息系統(tǒng)所承擔的功能是實現(xiàn)信息的存儲、傳輸和處理，信息安全等級保護主要是指對信息系統(tǒng)進行分級保護。在管理信息系統(tǒng)的時候采用分等級管理，能夠?qū)踩a(chǎn)品在實際的使用過程中做好分級響應和分級處理。信息安全等級保護在我國信息安全保障體系之中發(fā)揮著基礎性管理作用，對完善安全保障體系發(fā)揮重要作用。信息安全等級保護是保障信息安全的重要方法，其核心的內(nèi)容是將信息的安全進行劃分等級，按照規(guī)定的標準建立起完善的監(jiān)督和管理方案。

在進行信息安全劃分等級的時候，需要依據(jù)我國《計算機信息系統(tǒng)安全保護等級劃分準則》的基本條例，將信息安全等級保護劃分成五個等級。第一級是用戶自主保護等級;第二級是審計系統(tǒng)保護等級;第三級是安全標記保護等級;第四級是結(jié)構(gòu)化保護等級，第五級是訪問驗證保護等級[1]。

1.2 風險評估的概念

評估風險的工作就是根據(jù)一定的指標低可能會出現(xiàn)的損失和影響提前判斷，將安全隱患進行預防。從信息安全的角度而言，評估信息系統(tǒng)的風險是要對信息所應對的各種威脅和挑戰(zhàn)，以及存在的弱點進行分析，綜合各項影響因素所帶來的不利影響，提升企業(yè)應對信息安全的能力。風險評估作為風險管理的基礎措施，是明確信息需求，保證信息安全的重要舉措，風險評估工作屬于策劃信息安全管理體系環(huán)節(jié)。

在評估風險的過程中，工作人員需要實現(xiàn)的工作內(nèi)容總體上可以分為五個角度。第一，對信息系統(tǒng)面臨的各項危機和風險進行識別，形成預警意識。第二，預計風險可能會發(fā)生的概率以及風險會造成哪些方面的影響。第三，明確企業(yè)在應對風險時所表現(xiàn)出來的能力。第四，明確控制風險和削減風險的優(yōu)先級。第五，制定出科學合理的風險應對方案。

2信息安全等級保護和風險評估之間的關系

在我國信息安全建設中，最基本的制度是信息安全等級保護制度。信息安全等級保護工作的核心內(nèi)容是對信息進行安全等級分級，在分級的過程中要嚴格按照建設標準、管理標準和監(jiān)督標準執(zhí)行。從一定程度上講，等級保護制度體現(xiàn)了國家保障信息安全的意志，更是體現(xiàn)出了建設信息安全系統(tǒng)時國家和單位的基本訴求。開展信息安全工作時采取風險評估，作為一種技術(shù)手段能夠推動實施信息安全等級保護的周期以及層次建立。單位在落實信息安全等級保護工作的時候，使用信息系統(tǒng)的工作單位可以將本單位的信息系統(tǒng)基本特征與行業(yè)的基本特點相結(jié)合，自主展開評估風險的工作，進而為實現(xiàn)等級保護進行定級、評測和整改提供參考依據(jù)[2]。

3信息安全等級保護周期中的風險評估

建設信息安全等級保護的時候需要涉及很多的管理問題和技術(shù)問題，在不同系統(tǒng)之中的不同安全領域，都可以借助于一些具有有效性、安全性的措施展開分析和判斷。對風險進行評估，是用戶可以自主開展的，在信息安全等級保護周期中開展風險評估，大體上從三個角度展開。

第一，為信息安全系統(tǒng)進行定級：因為信息系統(tǒng)具備其行業(yè)本身具有的特點和業(yè)務特征，并且信息系統(tǒng)在投入使用的過程中需要面臨不同的安全威脅。所以，在識別和關聯(lián)客觀威脅發(fā)生的頻率、評估資產(chǎn)的重要性以及評價系統(tǒng)自身脆弱性的時候要以信息安全風險評估的國家標準作為依據(jù)，通過采取合理的方式對信息系統(tǒng)進行判斷，之后將可能會出現(xiàn)的影響控制在可以接受的范圍之內(nèi)。第二，信息系統(tǒng)實施的安全性。開展安全實施的時候，要以國家規(guī)定的信息安全等級保護標準作為依據(jù)，在采取安全管理措施的時候要從技術(shù)方面和管理方面兩個角度著手，繼而保證安全措施建設能夠滿足于等級要求。在安全實施階段，風險評估能夠發(fā)揮出最直接的作用，評估和加固現(xiàn)有的信息安全系統(tǒng)，之后再部署安全設備。在安全實施的過程中，可能會發(fā)生能夠產(chǎn)生長期影響的不良事故，比如安全集成的過程中設置完成了口令和超級用戶，但是并沒有將口令和超級用戶轉(zhuǎn)交，將會為后期的策略制定產(chǎn)生消極影響，科學合理的風險評估工作能夠?qū)⑦@類問題及時發(fā)現(xiàn)并且解決。第三，安全運維。安全運維是信息安全系統(tǒng)的安全管理工作，主要分成兩個層面展開。第一，將現(xiàn)有的信息系統(tǒng)安全等級進行維護，保證信息安全系統(tǒng)不會出現(xiàn)問題。在檢驗信息系統(tǒng)安全性的過程中要嚴格按照國家相關的等級劃分標準，保證采取有效的安全措施展開工作。第二，在進行信息系統(tǒng)定級的時候，要尊重客觀變化和系統(tǒng)內(nèi)部的建設需求，定期將等級進行調(diào)整，從而有效防止保護過度或者是保護不足的現(xiàn)象。風險評估在這三個環(huán)節(jié)之中可以幫助信息系統(tǒng)確定安全等級，是檢驗安全實施階段評估系統(tǒng)能否達到安全等級的關鍵。定期或者是不定期的展開評價風險的活動，能夠保證信息安全等級穩(wěn)定[3]。

4結(jié)束語

我國保障信息安全的基本制度是信息安全等級保護制度，在信息安全等級保護制度之下的風險評估能夠增強保護信息安全的能力。在未來，信息安全等級保護與風險評估將為我國企業(yè)的信息安全提供最基本的保障，推動我國信息技術(shù)進步。

參考文獻

[1] 王姣，范科峰，莫瑋，等.基于模糊集和DS證據(jù)理論的信息安全風險評估方法[J].計算機應用研究，2017，（11）：3432-3436.

[2] 柴繼文，王勝，梁暉輝，等.基于層次分析法的信息安全風險評估要素量化方法[J].重慶大學學報，2017，（04）：44-53.

[3] 房磊.發(fā)電排污信息安全風險評估對水污染治理的影響研究[J].環(huán)境科學與管理，2018，（01）：86-89.