當今時代，信息技術(shù)飛速發(fā)展，信息網(wǎng)絡(luò)廣泛普及，信息已成為事關(guān)全局的一種戰(zhàn)略資源。但信息技術(shù)也是一把雙刃劍，一方面，極大的便利了人類的生產(chǎn)和生活，網(wǎng)絡(luò)技術(shù)的發(fā)展使得地球成為一個大村落：另一方面，由于信息技術(shù)的脆弱性和不完善性，使得在信息的存儲、處理、傳輸過程中很容易被干擾、遺漏和丟失，甚至被泄漏、竊取、篡改和冒充，因此，信息安全成為企業(yè)信息化過程中不可或缺的要素。

隨著信息化應(yīng)用的日益廣泛，企業(yè)的信息系統(tǒng)中存儲的大量有價值的信息和數(shù)據(jù)已成為各種網(wǎng)絡(luò)犯罪組織和惡意勢力的攻擊目標，網(wǎng)絡(luò)非法行為日趨復雜，且更為頻繁，各種攻擊方法相互融合，攻擊手段更為隱秘，破壞性更強，攻擊從網(wǎng)絡(luò)層向應(yīng)用層遷移。但是，我們也應(yīng)該看到，信息安全雖然是由信息技術(shù)問題引起的，但信息安全問題的解決不能夠單純地由技術(shù)問題入手，還得從系統(tǒng)的、管理的角度切入，一個完美的解決安全問題的技術(shù)方案在現(xiàn)實中是不存在的.而且用信息技術(shù)解決信息技術(shù)的脆弱性和不完善性有可能帶來另外的脆弱性和不完善性。因此.信息安全中的技術(shù)問題是—個關(guān)鍵問題，不能解決全部問題。信息安全界有句名言：三分技術(shù)，七分管理，安全和管理是分不開的。即使有再好的安全設(shè)備和系統(tǒng)，而沒有一套良好的安全管理制度、管理方法并貫徹實施，信息安全問題就是空談。許多出現(xiàn)信息安全事故的單位，要么是有安全管理制度但沒有執(zhí)行，要么就是沒有安全管理制度。

一、信息系統(tǒng)的安全風險評估

所謂信皂系統(tǒng)的安全風險，是指由于系統(tǒng)存在的脆弱性、人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響。風險評估是分析分析確定風險的過程。任何系統(tǒng)的安全性都可通過風險的大小來衡量。

網(wǎng)絡(luò)信息系統(tǒng)得安全建設(shè)應(yīng)該建立在風險評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)得信息安全評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運用風險評估、風險管理的手段，才可以避免重復建設(shè)和投資的浪費。信息安全風險評估是風險平估理論和方法在信息系統(tǒng)中的運用，是科學分析理解信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風險，并在風險的預(yù)防、風險的控制、風險的轉(zhuǎn)移、風險的補償、風險的分散等之間做出抉擇的過程。所有信息安全建設(shè)都應(yīng)該是基于信息安全風險評估，只有在正確地、全面地理解風險后，才能在控制風險、減少風險之間做出正確的判斷，決定調(diào)動多少資源、以什么樣的代價、采取什么樣的應(yīng)對措施去化解、控制風險。在風險評估中，最終要根據(jù)對安全事件發(fā)生的可能性和負面影響的評估來識別信息系統(tǒng)的安全風險。造成信息安全事件的源頭，可以歸為外因和內(nèi)因。外因為威脅，內(nèi)因則為脆弱性。因此，在風險評估中要刻意刻畫信息安全事件，就必須對威脅和脆弱性都有深入了解，這構(gòu)成了風險評估工作的關(guān)鍵。

要確保信息網(wǎng)絡(luò)系統(tǒng)得安全高效，就必須建立和完善信息安全風險評估機制，也就是要構(gòu)建一個“發(fā)現(xiàn)隱患、制定對策、提高強度、效果認證”的封閉式、反饋型、非線性的評估系統(tǒng)。同時，信息網(wǎng)絡(luò)在建設(shè)規(guī)劃階段必須進行風險評估以確定系統(tǒng)的安全目標：在工程驗收階段一定要進行效果認證和風險在評估以判定系統(tǒng)得安全目標達成與否：在運行維護階段要針對安全形勢和問題，進行制度化的風險評估工作，以確定安全措施的有效性和決定是否采取隔離或?qū)嵤┥壭袆?，以確保安全保障形勢始終維持在期望的目標水平之上。

信息安全風險評估有助于信息化建設(shè)的有序開展，促進信息安全保障體系得完善，提高信息系統(tǒng)的安全防護能力。其目的是借助科學的評估體系和技術(shù)方法，弄清本單位信息安全的基本態(tài)勢和網(wǎng)絡(luò)環(huán)境安全狀況，及時采取或完善安全保障措施，確保信息安全策略和方針在常態(tài)化中得到貫徹與執(zhí)行。對于企業(yè)具體涵蓋的內(nèi)容來說，首先要明確企業(yè)的哪些資產(chǎn)需要保護：企業(yè)必須花費時間與精力來首先確定關(guān)鍵數(shù)據(jù)和相關(guān)的業(yè)務(wù)支持技術(shù)資產(chǎn)的價值。通常，各公司認為表述資產(chǎn)的價值是很容易的，但具體如要按級別界定就不那么簡單。對此，就需要用安全廠商與企業(yè)共同制定規(guī)范以確定需要保護的資產(chǎn)的安全級別，并為制定切實可行的安全管理策略打下基礎(chǔ)。另外，還需完成威脅識別的任務(wù)：如果企業(yè)想增強競爭實力，必須隨時改進和更新系統(tǒng)和網(wǎng)絡(luò)，但是機會增加常伴隨著安全風險的增加，尤其是機構(gòu)的數(shù)據(jù)對更多用戶開放的時候——咽為技術(shù)越先進，安全管理就越復雜。所以企業(yè)為了消除安全隱患，下—步就需要安全廠商與企業(yè)一起必須要對現(xiàn)有的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用進行相應(yīng)的風險評估，確定在企業(yè)的具體環(huán)境下到底存在哪些和安全隱患。在此基礎(chǔ)上，制定并實施，完成安全策略的責任分配，設(shè)立安全標準：幾乎所有企業(yè)目前都有策略，只不過許多策略都沒有書面化，只作為完成任務(wù)的一種手段。恰當?shù)陌踩呗员仨毰c機構(gòu)的所有業(yè)務(wù)需求直接相關(guān)。它基于幾類安全標準。標準分類將使企業(yè)能發(fā)現(xiàn)違反策略的行為，并指出每個區(qū)域的漏洞或潛在安全威脅區(qū)。最后，管理還應(yīng)包括安全廠商與企業(yè)共同組織的對企業(yè)安全管理^員進行安全培訓，以便維護和管理整個的實施和運行情況。

企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)必須按照風險管理的思想，對可能存在的威脅、脆弱性和需要保護的信息資源進行分析，依據(jù)風險評估的結(jié)果為信息系統(tǒng)選擇適當?shù)陌踩胧?，妥善?yīng)對可能發(fā)生的風險。目前，信息安全等級保護是發(fā)達國家保護關(guān)鍵信息基礎(chǔ)設(shè)施，保障信息安全的通行。

二、信息安全等級保護

(一)信息安全等級保護和風險評估的關(guān)系

1994年國務(wù)院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定計算機信息系統(tǒng)實行信息系統(tǒng)安全等級保護。2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的徊家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見)中明確提出： “要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息系統(tǒng)安全等級保護制度，制定信息系統(tǒng)安全等級保護的管理辦法和技術(shù)指南”。2004年公安部等四部委《關(guān)于信息系統(tǒng)安全等級保護工作的實施意見》也指出： “信息系統(tǒng)安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促遺信息化建設(shè)健康發(fā)展的—項基本制度”。等級保護工作的核心是對信息安全分等級，按標準進行建設(shè)、管理和監(jiān)督。風險評估做為信息安全工作的一種重要技術(shù)手段，為系統(tǒng)安全等級保護的定級、測評和整改等工作階段提供重要依據(jù)，在實施信息安全等級保護周期和層次中發(fā)揮著重要作用。在等級保護周期的系統(tǒng)等級階段中，依提信息安全風險評估國家標準對所評估資產(chǎn)的重要性、客觀威脅發(fā)生的頻率、以及系統(tǒng)自身脆弱性的嚴重程度進行識別和關(guān)聯(lián)分析，判斷信息系統(tǒng)應(yīng)采取什么強度的安全措施，然后將安全事件一旦發(fā)生后可能造成的影響控制在可接受的范圍內(nèi)：在安全實施階段，按照風險評估標準，對現(xiàn)有系統(tǒng)進行評估和加固，然后進行安全設(shè)備的部署，對在安全實施過程中也會發(fā)生事件并可能帶來長期的隱患，風險評估能及早發(fā)現(xiàn)并解決這些問題：在安全運維階段，按照風險評估標準開展定期和不定期的風險評估以便幫助確認它保持的安全等級是否發(fā)生變化。

風險評估的技術(shù)手段包括有系統(tǒng)審計、漏洞掃描和滲透測試，他們在等級保護的各個層。

(二)等級保護制度的落實

目前，國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全防護，對等級保護工作的實施實行監(jiān)督、管理，從而大力推行信息化建設(shè)的全面發(fā)展，但是，絕大多數(shù)的信息系統(tǒng)得運營、使用單位依舊采用傳統(tǒng)的工作方式解決等級保護工作中的一系列問題，尤其是相對數(shù)量的信息安全等級保護工作的職能部門，他們在落實等級保護工作中存在很大的問題，表現(xiàn)在以下幾個方面：

一是信息系統(tǒng)安全等級保護工作認識不深刻、重視不到位。信息系統(tǒng)得安全性問題不僅僅是用戶自身財產(chǎn)安全的問題，其所有者應(yīng)當承擔相應(yīng)的社會安全和公眾利益安全的義務(wù)。然而，部分執(zhí)行部門在開展等級保護工作中從始至終都在被動的應(yīng)付監(jiān)管部門的檢查，這種思想上的不重視給監(jiān)管部門工作開展帶來困難的同時，也阻礙整個信息系統(tǒng)安全等級保護工作的開展;二是信息系統(tǒng)安全等級保護工作管理無序、缺乏約束力。目前，—部分執(zhí)行單位他們對信息系統(tǒng)安全等級保護工作組織開展、管理實施無從下手，甚至對相關(guān)法律、政策和標準還不是很清楚，同時沒有各自內(nèi)部專門機構(gòu)對等保工作實施監(jiān)督：三是執(zhí)行單位的安全分工不清，沒有建立相應(yīng)得安全職能部門，這使得在安全等級保護工作中無法確定各相關(guān)部門的職責，從而無法落實安全責任制。

針對這些問題，建立信息安全管理組織是做好信息安全等級保護工作的必要條件。

1.建立信息安全管理組織的必要性

一個單位應(yīng)該也必須建立信息安全管理組織，這個組織是這個單位在信息系統(tǒng)安全方面的最高權(quán)力組織。信息安全是所有管理層成員所共有的責任，一個管理組織應(yīng)確保有明確的安全目標。在一個單位內(nèi)部，有關(guān)信息安全的工作需要一個強有力領(lǐng)導機構(gòu)來領(lǐng)帶和推動，這是由于：1)首先是一些單位的業(yè)務(wù)對信息系統(tǒng)形成了完全的依賴，另外信息安全會導致對社會公眾利益、社會秩序和國家安銷告成侵害，甚至是嚴重的侵害。2)在一個單位中多個部門的信息任務(wù)既有聯(lián)系又有相對的獨立性，而這些任務(wù)又是這個單位全部信息任務(wù)的組成部分，所有這些都需要—個強有力的機構(gòu)進行協(xié)調(diào)和指導。3)全員使用的信息系統(tǒng)中不同員工在其中所對應(yīng)的是不同的角色，在工作中的權(quán)限也有4)—個單位對信息系統(tǒng)安全所采取的各類措施和決策是需要權(quán)威機構(gòu)來審批和決定的。

2.信息系統(tǒng)使用單位的安全管理機構(gòu)的職能包括

1)信息系統(tǒng)安全管理就夠負責與信息安全有關(guān)的規(guī)劃、建設(shè)、投資、人事、安全政策、資源利用和事故處理等方面的決策和實施。2)負責與各級國家安全信息安全監(jiān)管機構(gòu)、上級主管部門和技術(shù)保衛(wèi)機構(gòu)建立日常的工作關(guān)系。3)組織、協(xié)調(diào)、指導計算機信息系統(tǒng)得安全開發(fā)工作。4)建立健全本系統(tǒng)的系統(tǒng)保護規(guī)程、制度。5)確定信息安全各崗位人員的職責和權(quán)限、建立崗位責任制。6)審議并通過安全規(guī)劃、年度安全報告、與信息安全相關(guān)的安全宣傳、教育培育計劃。7)執(zhí)行信息安全報告制度，定期向當?shù)毓残畔踩O(jiān)管部門報告本單位信息安全保護管理情況，及時報告重大安全事件。8)安全審計跟蹤分析和安全檢查，及時發(fā)現(xiàn)安全隱患和犯罪嫌疑，防患于未然，將可能的攻擊拒之門外。9)負責向所屬組織或機構(gòu)的領(lǐng)導層匯報工作，積極爭取領(lǐng)導層對信息安全的支持。1 0)信息發(fā)布的審核管理。

三、結(jié)束語

這種現(xiàn)代化、信息化的以等級保護為核心的信息安全管理體系，不僅有助于職能部門解決其使用傳統(tǒng)方式開展登記保護所導致的問題，也為各職能部門積極主動地解決自身安全問題提供了有效幫助。根據(jù)企業(yè)實際情況，進—步發(fā)展完善，加強定級對象信息系統(tǒng)整體防護，建設(shè)管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防護體系結(jié)構(gòu)，做好操作人員使用的終端防護，把住攻擊發(fā)生的源頭關(guān)，做到操作使用安全，以防內(nèi)為主，內(nèi)外兼防，提高計算節(jié)點自身防護能力，減少從外部入口上封堵，做到不同級別信息系統(tǒng)安全保護技術(shù)和管理逐級增強。  

【編輯推薦】

1. 認真貫徹落實信息安全等級保護制度
2. 我國網(wǎng)絡(luò)信息安全問題分析與建議