信息安全风险评估在构筑信息安全保障体系中作用与地位.docVIP

信息安全风险评估在构筑信息安全保障体系中的作用与地位 　　【 摘 要 】 近年来，我国面临的信息安全形势十分严峻，对信息安全的保障需求日益提高，从而加大了对信息安全保障体系建设的迫切性。其中，作为衍生于信息安全保障体系建设过程中，又指导着信息安全保障工作开展的信息安全风险评估理论和实践，既是一个重要手段和补充，又是一个安全评估在信息技术领域应用的崭新领域。如何利用信息安全风险评估构筑信息安全保障体系，成为当前信息安全保障工作的重要课题。文章主要从信息安全需求、信息安全保障过程中实际存在的困难以及信息安全风险评估的理论等三个方面的论述，并针对信息安全风险评估在构筑信息安全保障体系中的作用与地位的问题展开探讨和研究，最后阐述了信息安全风险评估的实践理论对信息化安全保障工作的启示意义。 　　【 关键词 】 信息安全；安全风险评估；信息安全保障 　　1 引言 　　确保业务系统的稳定和高效运行是指承担业务运作的各项业务生产系统能够保证业务的正常、顺利、有效开展，相较于手工办理业务有较大的时间节约，实现办公效率的极大提高，包含两个方面：系统的可用性和高效性。 　　保证业务数据的完整性是指存储和传输的数据能够真实记录和反映业务办理的真实情况，即保证业务数据的准确性、不发生缺失或篡改。 　　保障业务数据的传输存储安全是指存储或传输的数据能够切实保证在未达到保密年限前提供或泄露给与业务不相关人员或组织，即保障业务数据在传输或存储过程中的不可窃取性。 　　2 信息安全保障体系建设的难点分析 　　在信息安全保障体系实际构建过程中存在三个方面的困难。 　　（1）风险点查找不明确，存在盲目性并缺乏效率。随着信息化程度的不断提升，信息系统规模的扩大和系统复杂度的提高，决定着信息化服务系统内的薄弱环节或者风险点，包括技术、管理、人员、环境、硬件等方面，难于查找，不易明确。 　　（2）资源有限，但风险往往无限放大，存在随意性，没有系统性。由于缺乏相关安全标准参考或是没有现成经验凭籍，往往眉毛胡子一把抓，不能突出重点，而将有限的资源进行分摊，致使资源不能有效利用，造成信息安全保障体系构建过程中的随意性。 　　（3）侧重于风险消除，实际上风险只能通过控制而降低影响。风险控制强调风险点是不可避免的，只能通过采取措施进行防范和控制。但在实际工作中，往往过于强调既有类似风险点安全隐患的完全清除，耗费了很大的代价。 　　3 信息安全风险评估的理论分析 　　信息安全风险评估（《评估指南》）是指依据国家有关信息技术标准，对信息系统及其处理、传输和存储的信息保密性、完整性和机密性等安全属性进行科学评价的过程，主要内容是评价信息系统自身存在的脆弱性、所面临的威胁以及脆弱性可能被利用的影响，并在综合权衡成本效益的前提下，针对评估发现的风险提出在管理、技术层面具备可行性的风险控制措施，目的在于增强残余风险的可控性。风险评估主要划分为五个阶段：风险评估准备、资产识别、威胁识别、脆弱性识别、风险分析。 　　信息安全风险评估理论认为，信息安全风险事件是由于在信息系统运行的环境中，人为或自然威胁的客观存在，导致其有可能通过利用系统自身存在的脆弱性进而促使安全事件的发生。即承认信息安全风险在信息化服务体系中不可避免，进而在此基础上应用“风险管理”的思想，对信息化服务体系中可能存在的风险进行控制和防范。 　　4 信息安全风险评估的实践 　　在构筑信息安全保障体系的过程中，为满足信息安全三大方面的需求，促使产生满足单位个性化信息安全保障工作中提供安全需求的实践理论。信息安全风险评估理论的产生是指信息安全风险评估理论伴随着信息安全保障工作的产生，又指导着信息安全保障工作的开展，二者之间是相互推进、相互制约的关系。作为工具之一，信息安全风险评估的实践理论可以服务于信息安全保障体系的建设过程中，其在信息安全保障体系构筑过程中的作用与地位主要体现在三个方面。 　　（1）信息风险评估的工作是信息安全保障工作的一个重要组成部分，可以用于指导构筑信息安全保障体系的实践中。在开展信息风险评估的工作中所使用的安全风险评估的内容和标准，涉及信息安全保障能力的物理、人员、环境、管理、技术等各方面内容，是对相应内容从应用系统的稳定性、数据的完整性以及相关资料机密性三个方面进行的指标化和定量化。同时，信息安全风险评估理论的主要内容，也是从单位内部信息安全保障的需求出发，总结了历年信息安全保障工作的经验，并以构筑安全可靠的信息安全保障体系为归宿点，反映了当前信息化服务体系的现实状况，勾划了未来构筑信息安全保障体系的标准蓝本和目标。所以说，可以形成对信息安全保障能力“全方位，最少遗漏”的评价结论，进而用于对构筑信息安全保障体系的指导。 　　（2）信息安全风险评估从物理、人员、环境、管理、