谈信息安全等级保护建设与风险评估.docx

PAGE 1 PAGE 1 谈信息安全等级保护建设与风险评估  对等级保护工作中如何结合信息安全风险评估进行了有益的探索,为有效地支撑信息系统等级保护建设的顺当进行供应了参考。  1风险评估是等级保护建设工作的基础  等级保护测评中的差距分析是根据等保的全部要求进行符合性检查，检查信息系统现状与国家等保要求之间的符合程度。风险评估作为信息安全工作的一种重要技术手段，其目标是深入、具体地检查信息系统的安全风险状况，比差距分析结果在技术上更加深入。为此，等级保护与风险评估之间存在互为依托、互为补充的关系，等级保护是国家一项信息安全政策，而风险评估则是贯彻这项制度的方法和手段，在实施信息安全等级保护周期和层次中发挥着重要作用。  风险评估贯穿等级保护工作的整个流程，只是在不同阶段评估的内容和结果不一样。《信息系统安全等级保护实施指南》将等级保护基本流程分为三个阶段：定级，规划与设计，实施、等级评估与改进。在第一阶段中，风险评估的对象内容是资产评估，并在此基础上进行定级。在第二阶段中，主要是对信息系统可能面临的威逼和潜在的脆弱性进行评估，依据评估结果。综合平衡安全风险和成本，以及各系统特定安全需求，选择和调整安全措施，确定出关键业务系统、子系统和各类保护对象的安全措施。在第三个阶段中。则涉及评估系统是否满意相应的安全等级保护要求、评估系统的安全状况等，同时依据结果进行相应的改进。  等级保护所要完成的工作本质就是依据信息系统的特点和风险状况，对信息系统安全需求进行分级，实施不同级别的保护措施。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级，所以风险评估是等级保护的重要基础与依据。  2等级保护建设过程中如何有效地结合风险评估  2．1以风险评估中资产安全属性的重要度来划分信息系统等级  在公安部等四部局联合下发了《信息安全等级保护的实施意见》公通字2004第66号文中，依据信息和信息系统的重要程度，将信息和信息系统划分为了五个等级自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。实际上对信息系统的定级过程，也就是对信息资产的识别及赋值的过程。在国家的《信息系统安全等级保护定级指南》中，提出了对信息系统的定级依据，而这些依据基本的思想是依据信息资产的机密性、完整性和可用性重要程度来确定信息系统的安全等级，这正是风险评估中对信息资产进行识别并赋值的过程：对信息资产的机密性进行识别并赋值；对信息资产的完整性进行识别并赋值；对信息资产的可用性进行识别并赋值。从某种意义上来说，信息系统(不是信息)的安全等级划分，实际上也是对残余风险的接受和认可。  2．2以风险评估中威逼程度来确定安全等级的要求  在等级保护中，对系统定级完成后，应根据信息系统的相应等级提出安全要求，安全要求实际上体现在信息系统在对抗威逼的能力与系统在被破坏后，恢复的速度与恢复的程度方面。而这些在风险评估中，则是对威逼的识别与赋值活动：脆弱性识别与赋值活动；安全措施的识别与确认活动。对于一个安全事件来说，是威逼利用了脆弱性所导致的，在没有威逼的状况下，信息系统的脆弱性不会自己导致安全事件的发生。所以对威逼的分析与识别是等级保护安全要求的基本前提，不同安全等级的信息系统应当能够对抗不同强度和时间长度的安全威逼。  2．3以风险评估的结果作为等级保护建设的安全设计的依据  在确定信息系统的安全等级和进行风险评估后，应当依据安全等级的要求和风险评估的结果进行安全方案设计，而在安全方案设计中，首要的依据是风险评估的结果，特殊是对威逼的识别，在一些不存在的威逼的状况下，对相应的脆弱性应当不予考虑，只作为残余风险来监控。对于两个等级相同的信息系统，由于所承载业务的不同，其信息的安全属性也可能不同，对于需要机密性保护的信息系统，和对于一个需要完整性保护的信息系统，保护的策略必需是不同，虽然它们可能有相同的安全等级。但是保护的方法则不应当是一样的。所以，安全设计首先应当以风险评估的结果作为依据，而将设计的结果与安全等级保护的要求相比较。对于需要保护的必需符合安全等级要求，而对于不需要保护的则可以暂不考虑安全等级的要求，而对于一些必需高于安全等级要求的，则必需依据风险评估的结果，进行相应高标准的设计。  3结束语  风险评估为等级保护工作的开展供应基础数据，是等级保护定级、建设的实际动身点，通过安全风险评估，可以发觉信息系统可能存在的安全风险，推断信息系统的安全状况与安全等级保护要求之间的差距，从而不断完善等级保护措施。文章对等级保护工作中如何结合信息安全风险评估进行了有益的探索。为有效地支撑计算机信息系统等级保护建设的顺当进行供应了参考。