1 風(fēng)險評估是等級保護建設(shè)工作的基礎(chǔ)

    等級保護測評中的差距分析是按照等保的所有要求進行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度。風(fēng)險評估作為信息安全工作的一種重要技術(shù)手段，其目標是深入、詳細地檢查信息系統(tǒng)的安全風(fēng)險狀況，比差距分析結(jié)果在技術(shù)上更加深入。為此，等級保護與風(fēng)險評估之間存在互為依托、互為補充的關(guān)系，等級保護是國家一項信息安全政策，而風(fēng)險評估則是貫徹這項制度的方法和手段，在實施信息安全等級保護周期和層次中發(fā)揮著重要作用。

    風(fēng)險評估貫穿等級保護工作的整個流程，只是在不同階段評估的內(nèi)容和結(jié)果不一樣�！缎畔⑾到y(tǒng)安全等級保護實施指南》將等級保護基本流程分為三個階段：定級，規(guī)劃與設(shè)計，實施、等級評估與改進。在第一階段中，風(fēng)險評估的對象內(nèi)容是資產(chǎn)評估，并在此基礎(chǔ)上進行定級。在第二階段中，主要是對信息系統(tǒng)可能面臨的威脅和潛在的脆弱性進行評估，根據(jù)評估結(jié)果。綜合平衡安全風(fēng)險和成本，以及各系統(tǒng)特定安全需求，選擇和調(diào)整安全措施，確定出關(guān)鍵業(yè)務(wù)系統(tǒng)、子系統(tǒng)和各類保護對象的安全措施。在第三個階段中。則涉及評估系統(tǒng)是否滿足相應(yīng)的安全等級保護要求、評估系統(tǒng)的安全狀況等，同時根據(jù)結(jié)果進行相應(yīng)的改進。

    等級保護所要完成的工作本質(zhì)就是根據(jù)信息系統(tǒng)的特點和風(fēng)險狀況，對信息系統(tǒng)安全需求進行分級，實施不同級別的保護措施。實施等級保護的一個重要前提就是了解系統(tǒng)的風(fēng)險狀況和安全等級，所以風(fēng)險評估是等級保護的重要基礎(chǔ)與依據(jù)。

2 等級保護建設(shè)過程中如何有效地結(jié)合風(fēng)險評估

    2．1 以風(fēng)險評估中資產(chǎn)安全屬性的重要度來劃分信息系統(tǒng)等級

    在公安部等四部局聯(lián)合下發(fā)了《信息安全等級保護的實施意見》公通字2004第66號文中，根據(jù)信息和信息系統(tǒng)的重要程度，將信息和信息系統(tǒng)劃分為了五個等級自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級和�？乇Ｗo級。實際上對信息系統(tǒng)的定級過程，也就是對信息資產(chǎn)的識別及賦值的過程。在國家的《信息系統(tǒng)安全等級保護定級指南》中，提出了對信息系統(tǒng)的定級依據(jù)，而這些依據(jù)基本的思想是根據(jù)信息資產(chǎn)的機密性、完整性和可用性重要程度來確定信息系統(tǒng)的安全等級，這正是風(fēng)險評估中對信息資產(chǎn)進行識別并賦值的過程：對信息資產(chǎn)的機密性進行識別并賦值；對信息資產(chǎn)的完整性進行識別并賦值；對信息資產(chǎn)的可用性進行識別并賦值。從某種意義上來說，信息系統(tǒng)(不是信息)的安全等級劃分，實際上也是對殘余風(fēng)險的接受和認可。

    2．2 以風(fēng)險評估中威脅程度來確定安全等級的要求

    在等級保護中，對系統(tǒng)定級完成后，應(yīng)按照信息系統(tǒng)的相應(yīng)等級提出安全要求，安全要求實際上體現(xiàn)在信息系統(tǒng)在對抗威脅的能力與系統(tǒng)在被破壞后，恢復(fù)的速度與恢復(fù)的程度方面。而這些在風(fēng)險評估中，則是對威脅的識別與賦值活動：脆弱性識別與賦值活動；安全措施的識別與確認活動。對于一個安全事件來說，是威脅利用了脆弱性所導(dǎo)致的，在沒有威脅的情況下，信息系統(tǒng)的脆弱性不會自己導(dǎo)致安全事件的發(fā)生。所以對威脅的分析與識別是等級保護安全要求的基本前提，不同安全等級的信息系統(tǒng)應(yīng)該能夠?qū)�抗不同強度和時間長度的安全威脅。

    2．3 以風(fēng)險評估的結(jié)果作為等級保護建設(shè)的安全設(shè)計的依據(jù)

    在確定信息系統(tǒng)的安全等級和進行風(fēng)險評估后，應(yīng)該根據(jù)安全等級的要求和風(fēng)險評估的結(jié)果進行安全方案設(shè)計，而在安全方案設(shè)計中，首要的依據(jù)是風(fēng)險評估的結(jié)果，特別是對威脅的識別，在一些不存在的威脅的情況下，對相應(yīng)的脆弱性應(yīng)該不予考慮，只作為殘余風(fēng)險來監(jiān)控。對于兩個等級相同的信息系統(tǒng)，由于所承載業(yè)務(wù)的不同，其信息的安全屬性也可能不同，對于需要機密性保護的信息系統(tǒng)，和對于一個需要完整性保護的信息系統(tǒng)，保護的策略必須是不同，雖然它們可能有相同的安全等級。但是保護的方法則不應(yīng)該是一樣的。所以，安全設(shè)計首先應(yīng)該以風(fēng)險評估的結(jié)果作為依據(jù)，而將設(shè)計的結(jié)果與安全等級保護的要求相比較。對于需要保護的必須符合安全等級要求，而對于不需要保護的則可以暫不考慮安全等級的要求，而對于一些必須高于安全等級要求的，則必須依據(jù)風(fēng)險評估的結(jié)果，進行相應(yīng)高標準的設(shè)計。

3 結(jié)束語

    風(fēng)險評估為等級保護工作的開展提供基礎(chǔ)數(shù)據(jù)，是等級保護定級、建設(shè)的實際出發(fā)點，通過安全風(fēng)險評估，可以發(fā)現(xiàn)信息系統(tǒng)可能存在的安全風(fēng)險，判斷信息系統(tǒng)的安全狀況與安全等級保護要求之間的差距，從而不斷完善等級保護措施。文章對等級保護工作中如何結(jié)合信息安全風(fēng)險評估進行了有益的探索。為有效地支撐計算機信息系統(tǒng)等級保護建設(shè)的順利進行提供了參考。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：談信息安全等級保護建設(shè)與風(fēng)險評估

本文網(wǎng)址：http://www.oesoe.com/html/support/1112184893.html