風險評估機制和手段的引入使得信息網絡安全體系具有了反饋控制和快速反應能力。下面讓我們來看一下專家是如何看待網絡風險評估的：

信息安全是一個相對的概念

1.我們知道網絡是一個特殊的質管實體，信息安全既有相對性的屬性又有動態(tài)性的特征，如何看待網絡上存在的安全問題？

對于信息網絡而言，目前看來在設計或建設階段尚不能滿足絕對安全的需要，因此，其“免疫力”的后天形成機制，決定了安全風險評估是系統(tǒng)全生存周期中不可或缺的重要環(huán)節(jié)。現在的互聯網絡通常被認為存在五類基本安全問題：協(xié)同與信任的矛盾，有效性與安全性的矛盾，實時性與完全性的矛盾，網絡的擴張性帶來的不確定性以及網絡的互聯互通性造成的“短板效應”。

同時，網絡安全問題又具有很強的動態(tài)特征，即使在網絡建設初期達到了某種設定的安全指標，但隨著網絡設備的升級、網絡服務的增加以及應用系統(tǒng)的更新，特別是五花八門的各種“入侵手段”也在發(fā)展之中，安全威脅會伴隨網絡應用的全過程，現在還看不出有一勞永逸解決問題的可能。

2.加強信息網絡安全風險評估，對彌補網絡“先天不足”，提高防范能力有什么促進作用？

如何確切掌握網絡和信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風險有多大、影響程度如何，加強信息安全保障工作應采取哪些措施，要投入多少人力、財力和物力，要如何改進、完善、提高和發(fā)展相關的技術手段；確定已采取的信息安全措施是否有效以及提出按照相應信息安全等級進行安全建設和管理的依據等一系列具體問題。

風險評估是解決上述問題的重要前提和基礎性工作。一般來說，系統(tǒng)的安全性可通過風險大小來度量,科學地分析系統(tǒng)在保密性、完整性、可用性、可擴展性等方面所面臨的威脅，及時地發(fā)現系統(tǒng)安全的主要問題和矛盾，就能夠在安全風險的預防、減少、轉移、補償和分散之間做出實時適當的決策或抉擇，最大程度地提高亡羊補牢的速度和效果。

正確認識網絡安全風險評估

1.當前，加強信息網絡風險評估面臨的主要障礙是什么？

主要還是思想認識上的障礙。目前，在網絡安全風險評估方面主要存在以下4種認識誤區(qū)：

一是“怕擔責任”，一些單位的領導害怕風險評估暴露本單位信息安全管理中的問題，更害怕責任追究制度，不是防患于未然，而是防不出事于未然，防不出通報于未然。

二是“怕找麻煩”，有的單位擔心在進行安全風險評估過程中發(fā)現問題后要對網絡系統(tǒng)和使用習慣進行改造或修正，由此可能會出現應用系統(tǒng)工作不穩(wěn)定或業(yè)務流程變化影響到方方面面的工作；有的擔心如果增加新的技術系統(tǒng)或裝置可能會引入新的安全風險。

三是“感覺良好”，片面聽信一些設備供應商夸張性的廣告宣傳，主觀地認為本單位防范系統(tǒng)已是“銅墻鐵壁”，缺少按評估體系科學辦事的精神。

四是“諱疾忌醫(yī)”，把安全評估當作“找茬”、“找麻煩”，拒絕進行正規(guī)的安全評估；個別單位的領導、人員在出現安全問題后，甚至有組織地涂改系統(tǒng)日志信息、更換硬盤或消除歷史痕跡，試圖掩蓋問題，而全然不顧可能存在著的更大風險。這種行為屬于惡意違規(guī)蓄意犯法，在法律和紀律處理層面應當罪加一等、嚴懲不貸。

2.加強信息網絡安全風險評估應確立什么樣的工作指導思想？

一句話，從系統(tǒng)著眼，從細節(jié)入手。從系統(tǒng)的角度看，信息安全風險評估有助于軍隊信息化建設的有序開展，促進信息安全保障體系的完善，提高信息系統(tǒng)的安全防護能力。其目的是，借助科學的評估體系和技術方法，弄清本單位信息安全的基本態(tài)勢和網絡環(huán)境安全狀況，及時采取或完善安全保障措施，確保信息安全策略和方針在常態(tài)化中得到貫徹與執(zhí)行。從細節(jié)的角度看，必須突出重點。要加快法制建設和技術標準建設，加強風險評估核心技術研究與攻關，加強信息安全風險意識的宣傳教育，普及信息安全風險評估知識，加快培養(yǎng)信息安全風險評估的專門人才。

構建網絡安全風險評估機制

1.加強我軍信息安全風險的著力點是什么？

關鍵是要建立和完善信息安全風險評估機制，也就是要構建一個“發(fā)現隱患、制定對策、提升強度、效果認證”的閉環(huán)式、反饋型、非線性的評估系統(tǒng)。同時，信息網絡在建設規(guī)劃階段必須進行風險評估以確定系統(tǒng)的安全目標；在工程驗收階段一定要進行效果認證和風險再評估以判定系統(tǒng)的安全目標達成與否；在運行維護階段要針對安全形勢和問題，進行制度化的風險評估工作，以確定安全措施的有效性和決定是否采取隔離或實施升級行動，以確保安全保障態(tài)勢始終維持在期望的目標水平之上。

2.如何從制度層面保障我軍信息網絡安全風險評估機制的落實？

從總體上講，要加強信息網絡安全風險評估的組織領導，建議在全軍保密委之下成立信息安全管理專門委員會，統(tǒng)籌規(guī)劃、創(chuàng)新手段，強化風險評估的各項機制，監(jiān)督各項制度措施的落實，及時反饋各種相關信息。從個體上講，每個人都要樹立正確的風險防范意識，正確區(qū)分違規(guī)行為和網絡安全事件，對于嚴格按規(guī)定操作而遭到網絡攻擊的情形，應及時上報，人人都要成為網絡信息安全的“探測器”、系統(tǒng)漏洞的“挖掘器”。及時上報安全漏洞應當常態(tài)化制度化，現階段給予適當形式的鼓勵有利于形成必要的氛圍。

對于謊報、瞞報，甚至消除上網痕跡、掩蓋網絡漏洞的，應視為嚴重違規(guī)行為，要嚴懲不貸；對惡意消除辦公計算機歷史信息，故意破壞日志信息完整性的，應該按照故意泄密行為從重處分。同時，還要加強軍事信息安全的法制化建設，通過常態(tài)化的風險評估來對我軍信息安全的相關制度進行修訂，核心技術進行研發(fā)，評價標準進行升級，全方位地提高安全風險評估機制對軍隊信息化建設的保障和支撐作用。

網絡安全需要完善的風險評估機制和健全的技術手段，因為它能能從體系上保障或支撐我軍信息化建設的有序展開，不斷提高建網、用網和管網的水平。

【編輯推薦】

1. 天融信網絡安全準入解決方案
2. 網絡安全的軍事化不可取
3. 大量黑客被招募 專門從事美國信息安全項目
4. 一個網絡安全從業(yè)者講述十年工作感悟
5. 網絡安全技術討論：黑客與白帽的較量