对央行计算机安全风险评估工作的思考.pdfVIP

信息安全·实务 栏目编辑梁丽雯 E -maíl:líven_Ol@163.com 对5爬行计 相去盒凤险评值Z伟嗣恩毒 ? 中国人民银行榆林市中心支行耿显龙 近年来，人民银行正逐步开展计算机安全风险评 二.计算机安全风险评估工作存在的问题 估工作，改变了以往保障计算机安全单纯依靠技术手 (一)风险评估工作流程与技术标准不规范 段和安全产品的状况。弄清楚信息系统现有以及潜在 风险评估既是一个管理问题，也是一个技术问 的风险，充分评估这些风险可能带来的威胁和影响，将 ??。人民银行计算机安全等级保护制度在执行中，提 是实施安全建设必须解决的问题，也是制定安全策略 出了谁主管，谁负责;谁运营，谁负责的原则。但是， 的基础和依据。 没有明确解决什么才是真正意义上的负责，怎样才算负 责。没有针对风险评估的任务、责任、过程、程序制定 计算机安全风险评估工作现状 规乎在与完善的工作流程和技术标准。风险评估工作的 (一)风险评估的概念和目的 效果往往受限于各部门和个人的认识，有多大认识，有 1.风险评估的概念。依据国家有关的规章制度 多大能力，风险评估就只能进行到多大程度，就只能产 及信息技术标准，对信息系统及由其处理、传输和存 生多大效果。 储的信息的保密性、完整性和可用性等安全属性进行 (二)风险评估体系不具备通用性和可操作性 科学、公正的综合评估的活动过程。它要评估信息系 现有的纷繁复杂的风险评估体系要迅速向它的所 统的脆弱性、信息系统面临的威胁以及脆弱性被威胁 有分支机构普及，面临很大的工作难度:第一，那么复 源利用后所产生的实际负面影响，并根据安全事件发 杂的体系工程是基层技术人员能够掌握的吗?面对如 生的可能性和负面影响的程度来识别信息系统的安 此大规模的检测对象，传统的工具加人工操作的检测 全风险。 方式己不能满足现实中高效检测的需要。另外，这