记者就信息安全等级保护与风险评估的问题，采访了北京中科网威信息技术有限公司的总裁助理殷国强先生。殷总系统阐述了中科网威对于信息安全、等级保护以及风险评估的理解和实践，介绍了中科网威进行等级保护风险评估的经典案例。

    一、什么是信息安全？

    目前常说的所谓信息主要是指在信息系统中存储、传输、处理的数字化信息。信息安全通常是指保证信息数据不受偶然的或者恶意的原因遭到破坏、更改、泄露，保证信息系统能够连续可靠正常地运行，信息服务不中断。信息安全涉及到信息的保密性、完整性、可用性、可控性。 保密性是保证信息不泄漏给未经授权的人；完整性是防止信息被未经授权的篡改；可用性是保证信息及信息系统确实为授权使用者所用；可控性就是对信息及信息系统实施安全监控。

    信息安全面临的主要威胁来源有环境因素和人为因素，而威胁最大的并不是恶意的外部人员，恰恰是缺乏责任心或专业技能不足的内部人员，由于没有遵循规章制度和操作流程或不具备岗位技能而导致信息系统故障或被攻击。

    信息安全涉及到物理环境、网络、主机、应用等不同的信息领域，每个领域都有其相关的风险、威胁及解决方法。信息安全是一个动态发展的过程，仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。

    二、什么是等级保护？

    信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

    等级保护是指导我国信息安全保障体系总体建设的基础管理原则，是围绕信息安全保障全过程的一项基础性管理制度，其核心内容是对信息安全分等级、按标准进行建设、管理和监督。

    按照《计算机信息系统安全保护等级划分准则》规定的规定，我国实行五级信息安全等级保护。第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级；

    由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级，即：第一级：自主保护级；第二级：指导保护级；第三级：监督保护级；第四级：强制保护级；第五级：专控保护级。

    66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应用需求出发必须纳入的安全业务等级，而不是GB17859中定义的安全技术等级。

　  三、什么是风险评估？

    风险评估就是量化评判安全事件带来的影响或损失的可能程度。

    从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

   风险评估的主要任务包括：1）识别组织面临的各种风险；2）评估风险概率和可能带来的负面影响；3）确定组织承受风险的能力；4）确定风险消减和控制的优先等级；5）推荐风险消减对策。

[page]    在风险评估过程中需要考虑几个关键问题：

    第一，要确定保护的对象（资产）是什么？它的直接和间接价值如何？

    第二，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

    第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？

    第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？

    第五，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？

    解决以上这些问题的过程，就是风险评估的过程。

    四、中科网威的风险评估案例

    2010年，某市税务局通过招标，对市属税务单位进行了一次风险评估。

    在招标中，要求风险评估单位具有安全服务资质、风险评估资质、参与过国家信息安全评估产品标准的制订，有具有自主知识产权的风险评估产品、有6名以上CISP等。北京中科网威信息技术有限公司因技术实力突出而一举中标。

    根据先期确定的风险评估实施方案，风险评估工作的对象为市局及其五个下属的区县级税务分局的信息系统。评估范围是市局的数据管理中心及五个下属区县局，涵盖物理环境、网络、应用、管理和终端等方面的评估；从20个分局中抽取了三个征管局和两个县区局，针对征管系统、OA系统、国地税数据交换系统进行检查评估。

    经过2个月的评估，北京中科网威信息技术有限公司出具了风险评估报告，指明该市局税务系统的信息安全风险突出表现在以下五个方面：

    1） 安全管理体系不够健全

    2） 管理执行力度较差，缺乏监管与奖惩机制

    3） 各类人员不同程度的缺乏安全意识

    4） 现有安全措施不足，总体安全策略没有在技术上落实

    5） 安全风险过于集中，对于突发事件缺乏应急准备

    针对发现的风险，北京中科网威信息技术有限公司协助市税务局制订了完整的整改方案，采取了一系列措施进行安全建设整改。经过4个月的安全建设和整改，完善了安全体系，有效防范了大部分安全风险，取得了令人满意的阶段性成果，并通过了国税总局进行的信息安全等级测评。

    在总结会上，市局信息中心孙主任表示，在实行等级保护过程中，风险评估的作用至关重要，这次之所以顺利通过等级测评，就是前期的风险评估工作扎实到位，使得信息安全建设有的放矢。

第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。