1 風(fēng)險評估是等級保護(hù)建設(shè)工作的基礎(chǔ)

    等級保護(hù)測評中的差距分析是按照等保的所有要求進(jìn)行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度。風(fēng)險評估作為信息安全工作的一種重要技術(shù)手段，其目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險狀況，比差距分析結(jié)果在技術(shù)上更加深入。為此，等級保護(hù)與風(fēng)險評估之間存在互為依托、互為補(bǔ)充的關(guān)系，等級保護(hù)是國家一項(xiàng)信息安全政策，而風(fēng)險評估則是貫徹這項(xiàng)制度的方法和手段，在實(shí)施信息安全等級保護(hù)周期和層次中發(fā)揮著重要作用。

    風(fēng)險評估貫穿等級保護(hù)工作的整個流程，只是在不同階段評估的內(nèi)容和結(jié)果不一樣。《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》將等級保護(hù)基本流程分為三個階段：定級，規(guī)劃與設(shè)計(jì)，實(shí)施、等級評估與改進(jìn)。在第一階段中，風(fēng)險評估的對象內(nèi)容是資產(chǎn)評估，并在此基礎(chǔ)上進(jìn)行定級。在第二階段中，主要是對信息系統(tǒng)可能面臨的威脅和潛在的脆弱性進(jìn)行評估，根據(jù)評估結(jié)果。綜合平衡安全風(fēng)險和成本，以及各系統(tǒng)特定安全需求，選擇和調(diào)整安全措施，確定出關(guān)鍵業(yè)務(wù)系統(tǒng)、子系統(tǒng)和各類保護(hù)對象的安全措施。在第三個階段中。則涉及評估系統(tǒng)是否滿足相應(yīng)的安全等級保護(hù)要求、評估系統(tǒng)的安全狀況等，同時根據(jù)結(jié)果進(jìn)行相應(yīng)的改進(jìn)。

    等級保護(hù)所要完成的工作本質(zhì)就是根據(jù)信息系統(tǒng)的特點(diǎn)和風(fēng)險狀況，對信息系統(tǒng)安全需求進(jìn)行分級，實(shí)施不同級別的保護(hù)措施。實(shí)施等級保護(hù)的一個重要前提就是了解系統(tǒng)的風(fēng)險狀況和安全等級，所以風(fēng)險評估是等級保護(hù)的重要基礎(chǔ)與依據(jù)。

2 等級保護(hù)建設(shè)過程中如何有效地結(jié)合風(fēng)險評估

    2．1 以風(fēng)險評估中資產(chǎn)安全屬性的重要度來劃分信息系統(tǒng)等級

    在公安部等四部局聯(lián)合下發(fā)了《信息安全等級保護(hù)的實(shí)施意見》公通字2004第66號文中，根據(jù)信息和信息系統(tǒng)的重要程度，將信息和信息系統(tǒng)劃分為了五個等級自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級和專控保護(hù)級。實(shí)際上對信息系統(tǒng)的定級過程，也就是對信息資產(chǎn)的識別及賦值的過程。在國家的《信息系統(tǒng)安全等級保護(hù)定級指南》中，提出了對信息系統(tǒng)的定級依據(jù)，而這些依據(jù)基本的思想是根據(jù)信息資產(chǎn)的機(jī)密性、完整性和可用性重要程度來確定信息系統(tǒng)的安全等級，這正是風(fēng)險評估中對信息資產(chǎn)進(jìn)行識別并賦值的過程：對信息資產(chǎn)的機(jī)密性進(jìn)行識別并賦值；對信息資產(chǎn)的完整性進(jìn)行識別并賦值；對信息資產(chǎn)的可用性進(jìn)行識別并賦值。從某種意義上來說，信息系統(tǒng)(不是信息)的安全等級劃分，實(shí)際上也是對殘余風(fēng)險的接受和認(rèn)可。

    2．2 以風(fēng)險評估中威脅程度來確定安全等級的要求

    在等級保護(hù)中，對系統(tǒng)定級完成后，應(yīng)按照信息系統(tǒng)的相應(yīng)等級提出安全要求，安全要求實(shí)際上體現(xiàn)在信息系統(tǒng)在對抗威脅的能力與系統(tǒng)在被破壞后，恢復(fù)的速度與恢復(fù)的程度方面。而這些在風(fēng)險評估中，則是對威脅的識別與賦值活動：脆弱性識別與賦值活動；安全措施的識別與確認(rèn)活動。對于一個安全事件來說，是威脅利用了脆弱性所導(dǎo)致的，在沒有威脅的情況下，信息系統(tǒng)的脆弱性不會自己導(dǎo)致安全事件的發(fā)生。所以對威脅的分析與識別是等級保護(hù)安全要求的基本前提，不同安全等級的信息系統(tǒng)應(yīng)該能夠?qū)�抗不同�?qiáng)度和時間長度的安全威脅。

    2．3 以風(fēng)險評估的結(jié)果作為等級保護(hù)建設(shè)的安全設(shè)計(jì)的依據(jù)

    在確定信息系統(tǒng)的安全等級和進(jìn)行風(fēng)險評估后，應(yīng)該根據(jù)安全等級的要求和風(fēng)險評估的結(jié)果進(jìn)行安全方案設(shè)計(jì)，而在安全方案設(shè)計(jì)中，首要的依據(jù)是風(fēng)險評估的結(jié)果，特別是對威脅的識別，在一些不存在的威脅的情況下，對相應(yīng)的脆弱性應(yīng)該不予考慮，只作為殘余風(fēng)險來監(jiān)控。對于兩個等級相同的信息系統(tǒng)，由于所承載業(yè)務(wù)的不同，其信息的安全屬性也可能不同，對于需要機(jī)密性保護(hù)的信息系統(tǒng)，和對于一個需要完整性保護(hù)的信息系統(tǒng)，保護(hù)的策略必須是不同，雖然它們可能有相同的安全等級。但是保護(hù)的方法則不應(yīng)該是一樣的。所以，安全設(shè)計(jì)首先應(yīng)該以風(fēng)險評估的結(jié)果作為依據(jù)，而將設(shè)計(jì)的結(jié)果與安全等級保護(hù)的要求相比較。對于需要保護(hù)的必須符合安全等級要求，而對于不需要保護(hù)的則可以暫不考慮安全等級的要求，而對于一些必須高于安全等級要求的，則必須依據(jù)風(fēng)險評估的結(jié)果，進(jìn)行相應(yīng)高標(biāo)準(zhǔn)的設(shè)計(jì)。

3 結(jié)束語

    風(fēng)險評估為等級保護(hù)工作的開展提供基礎(chǔ)數(shù)據(jù)，是等級保護(hù)定級、建設(shè)的實(shí)際出發(fā)點(diǎn)，通過安全風(fēng)險評估，可以發(fā)現(xiàn)信息系統(tǒng)可能存在的安全風(fēng)險，判斷信息系統(tǒng)的安全狀況與安全等級保護(hù)要求之間的差距，從而不斷完善等級保護(hù)措施。文章對等級保護(hù)工作中如何結(jié)合信息安全風(fēng)險評估進(jìn)行了有益的探索。為有效地支撐計(jì)算機(jī)信息系統(tǒng)等級保護(hù)建設(shè)的順利進(jìn)行提供了參考。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標(biāo)題：談信息安全等級保護(hù)建設(shè)與風(fēng)險評估

本文網(wǎng)址：http://m.guhuozai8.cn/html/support/1112184893.html