甘清云

摘 要：涉密信息系統(tǒng)安全風(fēng)險自評估作為涉密信息系統(tǒng)安全風(fēng)險評估的重要組成部分，正越來越受到重視。文章介紹了涉密信息系統(tǒng)安全風(fēng)險自評估存在的問題、改進(jìn)的措施。

關(guān)鍵詞：涉密信息系統(tǒng)；安全風(fēng)險自評估

1 引言

涉密信息系統(tǒng)在運(yùn)行過程中面臨不斷變化的威脅、脆弱性和風(fēng)險，其中既有來自外部的，也由來自內(nèi)部的。為了最大程度地控制或消除風(fēng)險，首先需要做的就是識別出風(fēng)險，對風(fēng)險進(jìn)行評估。作為涉密信息系統(tǒng)風(fēng)險評估最主要形式的涉密信息系統(tǒng)安全風(fēng)險自評估正越來越受到重視。本文主要介紹了信息系統(tǒng)安全風(fēng)險評估的概況、涉密信息系統(tǒng)安全風(fēng)險自評估存在的問題、改進(jìn)的措施。

2 涉密信息系統(tǒng)安全風(fēng)險評估

信息安全風(fēng)險評估是從風(fēng)險管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施，為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，最大限度地保障信息安全提供科學(xué)依據(jù)。

隨著信息系統(tǒng)規(guī)模和復(fù)雜度的日益增加，信息系統(tǒng)安全風(fēng)險總是客觀存在的，安全是安全風(fēng)險與安全建設(shè)管理代價的綜合平衡。不考慮安全風(fēng)險的信息化是要付出代價的，有時代價難以承受；不計成本、片面追求絕對安全、試圖消滅風(fēng)險是不可能的。通過開展信息安全風(fēng)險評估工作，可以發(fā)現(xiàn)信息系統(tǒng)安全防護(hù)存在的問題和薄弱環(huán)節(jié)，進(jìn)而決定采取措施去減少、轉(zhuǎn)移、避免風(fēng)險，將風(fēng)險控制在可以接受的范圍內(nèi)。

信息安全風(fēng)險評估按照形式可以分為自評估、委托評估、檢查評估。自評估由單位自行組織開展；委托評估由單位委托外部有風(fēng)險評估資質(zhì)的專業(yè)機(jī)構(gòu)開展；檢查評估由國家有關(guān)指定機(jī)構(gòu)強(qiáng)制開展。

風(fēng)險評估方法分為定量分析和定性分析。定量分析對后果和可能性進(jìn)行分析，采用量化的數(shù)值描述后果和可能性，分析的有效性取決于所用的數(shù)值精確度和完整性。定性分析對后果和可能性進(jìn)行分析，采用文字形式或敘述性的數(shù)值范圍描述風(fēng)險的影響程度和可能性的大小（如高、中、低等），分析的有效性同樣取決于所用的數(shù)值精確度和完整性。

風(fēng)險自評估實施流程如圖1所示。

3 涉密信息系統(tǒng)安全風(fēng)險自評估存在的問題

3.1 涉密信息系統(tǒng)安全風(fēng)險自評估沒有標(biāo)準(zhǔn)、規(guī)范

涉密信息系統(tǒng)檢查評估依據(jù)國家相關(guān)的保密標(biāo)準(zhǔn)和規(guī)范進(jìn)行。針對涉密信息系統(tǒng)安全風(fēng)險自評估工作，目前參考最多的還是GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》。GB/T 20984-2007作為信息安全風(fēng)險評估規(guī)范，是可以對開展涉密信息系統(tǒng)風(fēng)險自評估起到指導(dǎo)作用，但是該規(guī)范畢竟不是針對涉密信息系統(tǒng)專門制定的，缺乏實用性。

3.2 涉密信息系統(tǒng)安全風(fēng)險自評估較難量化

按照GB/T 20984-2007開展的風(fēng)險自評估，需要對資產(chǎn)的保密性、完整性、可用性、重要性賦值，需要對威脅賦值，還需要對脆弱性賦值，最后采用矩陣法或者相乘法計算風(fēng)險。第一次對涉密信息系統(tǒng)進(jìn)行風(fēng)險自評估時采用量化的方法是比較可取的，但是后面周期性的風(fēng)險自評估再采用量化的方法效果肯定不太理想。

3.3 涉密信息系統(tǒng)安全風(fēng)險自評估主要依靠內(nèi)部力量

涉密信息系統(tǒng)安全風(fēng)險自評估主要是依靠內(nèi)部信息安全人員來完成，與專業(yè)風(fēng)險評估機(jī)構(gòu)相比，人員的專業(yè)能力還是有一定的差距；內(nèi)部人員評估自己平時負(fù)責(zé)管理的信息系統(tǒng)，難免有既是運(yùn)動員又當(dāng)裁判員的嫌疑。

3.4 涉密信息系統(tǒng)安全風(fēng)險自評估沒有貫穿涉密信息系統(tǒng)全生命周期

目前涉密信息系統(tǒng)安全風(fēng)險自評估一般只在涉密信息系統(tǒng)運(yùn)行階段進(jìn)行，在涉密信息系統(tǒng)生命周期的其他階段很少或基本不開風(fēng)險自評估。

3.5 涉密信息系統(tǒng)安全風(fēng)險自評估報告質(zhì)量有待提高

涉密信息系統(tǒng)安全風(fēng)險自評估報告水平參差不齊，有的參照GB/T 20984-2007分別從資產(chǎn)識別、威脅識別、脆弱性識別、風(fēng)險計算等進(jìn)行詳細(xì)描述，報告達(dá)上百頁；有的只進(jìn)行定性分析，提煉總結(jié)出風(fēng)險一二三四五，報告可能只有幾頁。

4 涉密信息系統(tǒng)安全風(fēng)險自評估改進(jìn)措施

4.1 參照有關(guān)保密標(biāo)準(zhǔn)和涉密信息系統(tǒng)風(fēng)險評估有關(guān)規(guī)范

建議涉密信息系統(tǒng)風(fēng)險自評估在參照GB/T 20984-2007的基礎(chǔ)上，重點參照有關(guān)保密標(biāo)準(zhǔn)和涉密信息系統(tǒng)安全風(fēng)險評估實施規(guī)范。

4.2 周期性自評估流程適當(dāng)簡化，定性分析

周期性自評估可在評估流程上適當(dāng)簡化，重點考察自上次評估后系統(tǒng)發(fā)生變化后引入的新威脅、新脆弱性、新風(fēng)險的評估，盡可能采用定性分析方法，而不是定量分析方法。

4.3 適當(dāng)考慮委托評估

適當(dāng)時候考慮選擇有資質(zhì)的風(fēng)險評估機(jī)構(gòu)進(jìn)行委托評估。采用委托風(fēng)險評估前，單位應(yīng)與評估機(jī)構(gòu)簽訂委托協(xié)議書，明確風(fēng)險評估的目標(biāo)、內(nèi)容、交付物以及安全保密責(zé)任等。單位指定專人負(fù)責(zé)監(jiān)督與管理風(fēng)險評估全過程。

4.4 風(fēng)險自評估貫穿涉密信息系統(tǒng)全生命周期

風(fēng)險自評估應(yīng)貫穿涉密信息系統(tǒng)全生命周期。涉密信息系統(tǒng)規(guī)劃設(shè)計前應(yīng)進(jìn)行風(fēng)險評估，根據(jù)評估結(jié)果確定系統(tǒng)保護(hù)需達(dá)到的基本要求。涉密信息系統(tǒng)建成驗收時應(yīng)進(jìn)行風(fēng)險評估，根據(jù)評估結(jié)論確定系統(tǒng)的安全目標(biāo)是否達(dá)成。涉密信息系統(tǒng)運(yùn)行過程中應(yīng)進(jìn)行風(fēng)險評估，識別系統(tǒng)面臨的不斷變化的威脅、脆弱性和風(fēng)險，從而確定安全措施的有效性。

4.5 評估報告根據(jù)評估方法的不同區(qū)別對待

評估報告需要根據(jù)所采用評估方法區(qū)別對待。建議第一次風(fēng)險自評估可以參照GB/T 20984-2007開展，自評估報告包含幾個要素：評估對象和范圍，評估方法說明，資產(chǎn)、威脅、脆弱性分析、影響和可能性分析、風(fēng)險評估結(jié)論和風(fēng)險評估結(jié)果的管理。后面進(jìn)行風(fēng)險自評估結(jié)合有關(guān)保密標(biāo)準(zhǔn)和涉密信息系統(tǒng)風(fēng)險評估有關(guān)規(guī)范開展，評估報告盡量簡化，總結(jié)提煉出風(fēng)險和隱患，提出整改措施。

5 結(jié)束語

涉密信息系統(tǒng)安全風(fēng)險自評估作為涉密信息系統(tǒng)安全風(fēng)險評估的重要組成部分，正越來越受到重視。針對涉密信息系統(tǒng)安全風(fēng)險自評估目前存在的問題，只要我們認(rèn)真研究，不斷改進(jìn)，涉密信息系統(tǒng)安全風(fēng)險自評估一定會發(fā)揮更大的作用。

參考文獻(xiàn)

[1] 杜虹. 涉密信息系統(tǒng)安全風(fēng)險評估的探討[J].信息安全與通信保密，2004，06，20-23.

[2] 張建軍，孟亞平. 信息安全風(fēng)險評估探索與實踐[M].北京：中國標(biāo)準(zhǔn)出版社，2005：17-44.

[3] 劉玉林，王建新，謝永志. 涉密信息系統(tǒng)風(fēng)險評估與安全測評實施[J].信息安全與通信保密，2007，01，142-147.

[4] 孔斌. 涉密信息系統(tǒng)檢測評估綜述[J].保密科學(xué)技術(shù)，2011，05，14-17.

[5] 杜虹. 涉密信息系統(tǒng)安全風(fēng)險評估的探討[J].信息安全與通信保密，2014，06，20-23.endprint