如何用安全风险分析来评估可接受的风险等级（二）.docVIP

第 第 PAGE 1 页 共 NUMPAGES 1 页 免责声明：图文来源于网络搜集，版权归原作者所以 若侵犯了您的合法权益，请作者与本上传人联系，我们将及时更正删除。 如何用安全风险分析来评估可接受的风险等级 信息安全等级保护与风险评估 一、什么是信息安全。 目前常说的所谓信息主要是指在信息系统中存储、传输、处理的数字化信息。信息安全通常是指保证信息数据不受偶然的或者恶意的原因遭到破坏、更改、泄露，保证信息系统能够连续可靠正常地运行，信息服务不中断。信息安全涉及到信息的保密性、完整性、可用性、可控性。保密性是保证信息不泄漏给未经授权的人;完整性是防止信息被未经授权的篡改;可用性是保证信息及信息系统确实为授权使用者所用;可控性就是对信息及信息系统实施安全监控。 信息安全面临的主要威胁来源有环境因素和人为因素，而威胁最大的并不是恶意的外部人员，恰恰是缺乏责任心或专业技能不足的内部人员，由于没有遵循规章制度和操作流程或不具备岗位技能而导致信息系统故障或被攻击。 信息安全涉及到物理环境、网络、主机、应用等不同的信息领域，每个领域都有其相关的风险、威胁及解决方法。信息安全是一个动态发展的过程，仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。 二、什么是等级保护。 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。 等级保护是指导我国信息安全保障体系总体建设的基础管理原则，是围绕信息安全保障全过程的一项基础性管理制度，其核心内容是对信息安全分等级、按标准进行建设、管理和监督。 按照《计算机信息系统安全保护等级划分准则》规定的规定，我国实行五级信息安全等级保护。第一级：用户自主保护级;第二级：系统审计保护级;第三级：安全标记保护级;第四级：结构化保护级;第五级：访问验证保护级; 由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级，即：第一级：自主保护级;第二级：指导保护级;第三级：监督保护级;第四级：强制保护级;第五级：专控保护级。 66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应用需求出发必须纳入的安全业务等级，而不是gb17859中定义的安全技术等级。 三、什么是风险评估。 风险评估就是量化评判安全事件带来的影响或损失的可能程度。 从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。 风险评估的主要任务包括。1）识别组织面临的各种风险;2）评估风险概率和可能带来的负面影响;3）确定组织承受风险的能力;4）确定风险消减和控制的优先等级;5）推荐风险消减对策。 在风险评估过程中需要考虑几个关键问题： 第一，要确定保护的对象（资产）是什么。它的直接和间接价值如何。 第二，资产面临哪些潜在威胁。导致威胁的问题所在。威胁发生的可能性有多大。 第三，资产中存在哪里弱点可能会被威胁所利用。利用的容易程度又如何。 第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响。 第五，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度。 解决以上这些问题的过程，就是风险评估的过程。 四、中科网威的风险评估案例 2021年，某市税务局通过招标，对市属税务单位进行了一次风险评估。 在招标中，要求风险评估单位具有安全服务资质、风险评估资质、参与过国家信息安全评估产品标准的制订，有具有自主知识产权的风险评估产品、有6名以上cisp等。北京中科网威信息技术有限公司因技术实力突出而一举中标。 根据先期确定的风险评估实施方案，风险评估工作的对象为市局及其五个下属的区县级税务分局的信息系统。评估范围是市局的数据管理中心及五个下属区县局，涵盖物理环境、网络、应用、管理和终端等方面的评估;从20个分局中抽取了三个征管局和两个县区局，针对征管系统、oa系统、国地税数据交换系统进行检查评估。 经过2个月的评估，北京中科网威信息技术有限公司出具了风险评估报告，指明该市局税务系统的信息安全风险突出表现在以下五个方面：