信息系统风险评估对网络和信息安全重要意义探讨.docVIP

信息系统风险评估对网络和信息安全重要意义探讨 　　摘 要 信息技术的发展和互联网应用的普及，让网络和信息系统面临着前所未有的潜在威胁和信息安全风险。2013年，维基解密网站披露了美国“棱镜计划”，网络监听事件使美国陷入“外交风暴”。 同年，微软公司发布了一款Windows XP操作系统“死亡倒计时工具”，并宣布对Windows XP的更新支持将在2014年4月8日停止。2014年2月，中央网络安全和信息化领导小组成立，体现了党中央全面深化改革的意志和保障网络安全的决心。文章围绕中央网络安全和信息化领导小组战略部署，主要阐述了信息系统风险评估对网络和信息安全的重要意义。 　　关键词 信息系统；风险评估；网络；信息安全；意义 　　中图分类号：TP311 文献标识码：A 文章编号：1671-7597（2014）04-0166-01 　　“十二五”规划实施以来，经济持续快速增长，信息化建设稳步推进，网络和信息系统高速发展。然而，网络和信息系统风险对国家安全、公共安全和社会稳定构成了严重威胁。2013年11月，党的十八届三中全会决定设立国家安全委员会，完善国家安全体制和国家安全战略。在2014年3月召开的全国“两会”上，人大代表和政协委员纷纷为网络和信息安全建言献策，网络和信息安全再一次提升到国家安全和社会稳定的政治高度。 　　1 信息系统风险评估 　　风险，指遭受损失、伤害、毁灭的可能性。风险是由于非行为主体可控因素，使得这些因素被外力利用而造成的损失。在信息安全领域，指由于信息系统的脆弱性，人为或自然威胁导致安全事件发生的可能性及其造成的影响。信息系统风险评估是识别并判断信息系统面临风险的过程。风险评估是一个结合技术手段，为识别管理问题、制定管理策略服务的系统工程；是以威胁为出发点，结合系统脆弱性判断的评估过程；是周期性了解安全风险，采取相应安全控制措施的前提。它为降低网络风险、实施风险管理和控制提供了重要依据。风险评估是加强信息安全保障体系建设和管理的关键环节，是发现信息安全存在问题，找到解决方案的有效手段。 　　2 信息系统安全现状 　　信息系统涉及社会经济方方面面，在政务和商务领域发挥了???要作用，信息安全问题不单是一个局部性和技术性问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计，某省会城市各大机关、企事业单位中，有10%的单位出现过信息系统不稳定运行情况；有30%的单位出现过来自网络、非法入侵等方面的攻击；出现过信息安全问题的单位比例高达86%！缺少信息安全建设专项资金，信息安全专业人才缺乏，应急响应体系和信息安全测评机构尚未组建，存在着“重建设、轻管理，重应用、轻安全”的现象，已成为亟待解决的问题。 　　各部门对信息系统风险评估的重视程度与其信息化水平呈现正比，即信息化水平越高，对风险评估越重视。然而，由于地区差异和行业发展不平衡，各部门重视风险评估的一个重要原因是“安全事件驱动”，即“不出事不重视”，真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善，真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试，由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一，甚至出现对同一个信息系统，不同评估单位得出不同评估结论的案例。 　　3 国家信息安全战略部署 　　2014年2月，中央网络安全和信息化领导小组成立并召开第一次会议。做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。 　　4 信息系统风险评估的重要意义 　　4.1 确诊风险，对症下药 　　信息系统风险是客观存在的，也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大，应该采取什么样的措施去减少、化解和规避风险？就像人的躯体有健康和疾病，设备状况有正常和故障，粮食质量有营养和变质，如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁，就需要进行风险评估。 　　4.2 夯实安全根基，巩固信息大厦 　　信息系统建设之初就存在安全问题，好比高楼大厦建在流沙之上，地基不固，楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基，它可以帮助信息系统管理者了解潜在威胁，合理利用现有资源开展规划建设，让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资，达到“以最小成本获得最大安全保障”的效果。 　　4.3 信息安全管理的“利器”