摘 要 信息技术的发展和互联网应用的普及,让网络和信息系统面临着前所未有的潜在威胁和信息安全风险。2013年,维基解密网站披露了美国“棱镜计划”,网络监听事件使美国陷入“外交风暴”。 同年,微软公司发布了一款Windows XP操作系统“死亡倒计时工具”,并宣布对Windows XP的更新支持将在2014年4月8日停止。2014年2月,中央网络安全和信息化领导小组成立,体现了党中央全面深化改革的意志和保障网络安全的决心。文章围绕中央网络安全和信息化领导小组战略部署,主要阐述了信息系统风险评估对网络和信息安全的重要意义。
关键词 信息系统;风险评估;网络;信息安全;意义
中图分类号:TP311 文献标识码:A 文章编号:1671-7597(2014)04-0166-01
“十二五”规划实施以来,经济持续快速增长,信息化建设稳步推进,网络和信息系统高速发展。然而,网络和信息系统风险对国家安全、公共安全和社会稳定构成了严重威胁。2013年11月,党的十八届三中全会决定设立国家安全委员会,完善国家安全体制和国家安全战略。在2014年3月召开的全国“两会”上,人大代表和政协委员纷纷为网络和信息安全建言献策,网络和信息安全再一次提升到国家安全和社会稳定的政治高度。
1 信息系统风险评估
风险,指遭受损失、伤害、毁灭的可能性。风险是由于非行为主体可控因素,使得这些因素被外力利用而造成的损失。在信息安全领域,指由于信息系统的脆弱性,人为或自然威胁导致安全事件发生的可能性及其造成的影响。信息系统风险评估是识别并判断信息系统面临风险的过程。风险评估是一个结合技术手段,为识别管理问题、制定管理策略服务的系统工程;是以威胁为出发点,结合系统脆弱性判断的评估过程;是周期性了解安全风险,采取相应安全控制措施的前提。它为降低网络风险、实施风险管理和控制提供了重要依据。风险评估是加强信息安全保障体系建设和管理的关键环节,是发现信息安全存在问题,找到解决方案的有效手段。
2 信息系统安全现状
信息系统涉及社会经济方方面面,在政务和商务领域发挥了重要作用,信息安全问题不单是一个局部性和技术性问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计,某省会城市各大机关、企事业单位中,有10%的单位出现过信息系统不稳定运行情况;有30%的单位出现过来自网络、非法入侵等方面的攻击;出现过信息安全问题的单位比例高达86%!缺少信息安全建设专项资金,信息安全专业人才缺乏,应急响应体系和信息安全测评机构尚未组建,存在着“重建设、轻管理,重应用、轻安全”的现象,已成为亟待解决的问题。
各部门对信息系统风险评估的重视程度与其信息化水平呈现正比,即信息化水平越高,对风险评估越重视。然而,由于地区差异和行业发展不平衡,各部门重视风险评估的一个重要原因是“安全事件驱动”,即“不出事不重视”,真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善,真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试,由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一,甚至出现对同一个信息系统,不同评估单位得出不同评估结论的案例。
3 国家信息安全战略部署
2014年2月,中央网络安全和信息化领导小组成立并召开第一次会议。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。
4 信息系统风险评估的重要意义
4.1 确诊风险,对症下药
信息系统风险是客观存在的,也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大,应该采取什么样的措施去减少、化解和规避风险?就像人的躯体有健康和疾病,设备状况有正常和故障,粮食质量有营养和变质,如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁,就需要进行风险评估。
4.2 夯实安全根基,巩固信息大厦
信息系统建设之初就存在安全问题,好比高楼大厦建在流沙之上,地基不固,楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基,它可以帮助信息系统管理者了解潜在威胁,合理利用现有资源开展规划建设,让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资,达到“以最小成本获得最大安全保障”的效果。
4.3 信息安全管理的“利器”
信息安全的一大特点就是看不见摸不着就“中招”,如病毒攻击、黑客入侵、网络泄密等,在不知不觉中就已经遭受了重大损失。信息安全是高科技较量,没有科学的方法和手段,很难全面发现潜在的问题和威胁。“工欲善其事,必先利其器。”风险评估便是信息安全管理的“利器”。
4.4 寻求适度安全和建设成本的最佳平衡点
安全是相对的,成本是有限的。在市场经济高度发达的今天,信息系统建设要达到预期经济效益和社会效益,就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账,让我们认清信息系统面临的威胁和风险,在此基础上决定哪些风险必须规避,哪些风险可以容忍,以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点,力求达到预期效益的最大化。
4.5 既要借鉴先进经验,又要重视预警防范
没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术。风险评估是信息化发达国家的重要经验。1995年英国标准协会提出《信息安全管理实施细则》BS7799,2000年,BS7799通过国际标准化组织ISO认可并成为国际标准。2002年美国颁布《联邦信息系统安全认证和认可指南》,为信息系统风险评估提供了政策和技术支持。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用,亦须知其锋芒与瑕疵,加强预警防范与借鉴先进技术同样重要。
参考文献
[1]ISO/IEC 17799:2005信息安全管理实施指南.
[2]GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则.
[3]GB/T 19716-2005信息技术 信息安全管理实用规则.
作者简介
赵可(1981-),男,山东济南人,工程师,学士学位,研究方向:计算机网络和信息系统管理。
摘 要 信息技术的发展和互联网应用的普及,让网络和信息系统面临着前所未有的潜在威胁和信息安全风险。2013年,维基解密网站披露了美国“棱镜计划”,网络监听事件使美国陷入“外交风暴”。 同年,微软公司发布了一款Windows XP操作系统“死亡倒计时工具”,并宣布对Windows XP的更新支持将在2014年4月8日停止。2014年2月,中央网络安全和信息化领导小组成立,体现了党中央全面深化改革的意志和保障网络安全的决心。文章围绕中央网络安全和信息化领导小组战略部署,主要阐述了信息系统风险评估对网络和信息安全的重要意义。
关键词 信息系统;风险评估;网络;信息安全;意义
中图分类号:TP311 文献标识码:A 文章编号:1671-7597(2014)04-0166-01
“十二五”规划实施以来,经济持续快速增长,信息化建设稳步推进,网络和信息系统高速发展。然而,网络和信息系统风险对国家安全、公共安全和社会稳定构成了严重威胁。2013年11月,党的十八届三中全会决定设立国家安全委员会,完善国家安全体制和国家安全战略。在2014年3月召开的全国“两会”上,人大代表和政协委员纷纷为网络和信息安全建言献策,网络和信息安全再一次提升到国家安全和社会稳定的政治高度。
1 信息系统风险评估
风险,指遭受损失、伤害、毁灭的可能性。风险是由于非行为主体可控因素,使得这些因素被外力利用而造成的损失。在信息安全领域,指由于信息系统的脆弱性,人为或自然威胁导致安全事件发生的可能性及其造成的影响。信息系统风险评估是识别并判断信息系统面临风险的过程。风险评估是一个结合技术手段,为识别管理问题、制定管理策略服务的系统工程;是以威胁为出发点,结合系统脆弱性判断的评估过程;是周期性了解安全风险,采取相应安全控制措施的前提。它为降低网络风险、实施风险管理和控制提供了重要依据。风险评估是加强信息安全保障体系建设和管理的关键环节,是发现信息安全存在问题,找到解决方案的有效手段。
2 信息系统安全现状
信息系统涉及社会经济方方面面,在政务和商务领域发挥了重要作用,信息安全问题不单是一个局部性和技术性问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计,某省会城市各大机关、企事业单位中,有10%的单位出现过信息系统不稳定运行情况;有30%的单位出现过来自网络、非法入侵等方面的攻击;出现过信息安全问题的单位比例高达86%!缺少信息安全建设专项资金,信息安全专业人才缺乏,应急响应体系和信息安全测评机构尚未组建,存在着“重建设、轻管理,重应用、轻安全”的现象,已成为亟待解决的问题。
各部门对信息系统风险评估的重视程度与其信息化水平呈现正比,即信息化水平越高,对风险评估越重视。然而,由于地区差异和行业发展不平衡,各部门重视风险评估的一个重要原因是“安全事件驱动”,即“不出事不重视”,真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善,真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试,由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一,甚至出现对同一个信息系统,不同评估单位得出不同评估结论的案例。
3 国家信息安全战略部署
2014年2月,中央网络安全和信息化领导小组成立并召开第一次会议。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。
4 信息系统风险评估的重要意义
4.1 确诊风险,对症下药
信息系统风险是客观存在的,也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大,应该采取什么样的措施去减少、化解和规避风险?就像人的躯体有健康和疾病,设备状况有正常和故障,粮食质量有营养和变质,如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁,就需要进行风险评估。
4.2 夯实安全根基,巩固信息大厦
信息系统建设之初就存在安全问题,好比高楼大厦建在流沙之上,地基不固,楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基,它可以帮助信息系统管理者了解潜在威胁,合理利用现有资源开展规划建设,让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资,达到“以最小成本获得最大安全保障”的效果。
4.3 信息安全管理的“利器”
信息安全的一大特点就是看不见摸不着就“中招”,如病毒攻击、黑客入侵、网络泄密等,在不知不觉中就已经遭受了重大损失。信息安全是高科技较量,没有科学的方法和手段,很难全面发现潜在的问题和威胁。“工欲善其事,必先利其器。”风险评估便是信息安全管理的“利器”。
4.4 寻求适度安全和建设成本的最佳平衡点
安全是相对的,成本是有限的。在市场经济高度发达的今天,信息系统建设要达到预期经济效益和社会效益,就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账,让我们认清信息系统面临的威胁和风险,在此基础上决定哪些风险必须规避,哪些风险可以容忍,以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点,力求达到预期效益的最大化。
4.5 既要借鉴先进经验,又要重视预警防范
没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术。风险评估是信息化发达国家的重要经验。1995年英国标准协会提出《信息安全管理实施细则》BS7799,2000年,BS7799通过国际标准化组织ISO认可并成为国际标准。2002年美国颁布《联邦信息系统安全认证和认可指南》,为信息系统风险评估提供了政策和技术支持。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用,亦须知其锋芒与瑕疵,加强预警防范与借鉴先进技术同样重要。
参考文献
[1]ISO/IEC 17799:2005信息安全管理实施指南.
[2]GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则.
[3]GB/T 19716-2005信息技术 信息安全管理实用规则.
作者简介
赵可(1981-),男,山东济南人,工程师,学士学位,研究方向:计算机网络和信息系统管理。