1 風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)建設(shè)工作的基礎(chǔ)
等級(jí)保護(hù)測(cè)評(píng)中的差距分析是按照等保的所有要求進(jìn)行符合性檢查,檢查信息系統(tǒng)現(xiàn)狀與國(guó)家等保要求之間的符合程度。風(fēng)險(xiǎn)評(píng)估作為信息安全工作的一種重要技術(shù)手段,其目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況,比差距分析結(jié)果在技術(shù)上更加深入。為此,等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估之間存在互為依托、互為補(bǔ)充的關(guān)系,等級(jí)保護(hù)是國(guó)家一項(xiàng)信息安全政策,而風(fēng)險(xiǎn)評(píng)估則是貫徹這項(xiàng)制度的方法和手段,在實(shí)施信息安全等級(jí)保護(hù)周期和層次中發(fā)揮著重要作用。
風(fēng)險(xiǎn)評(píng)估貫穿等級(jí)保護(hù)工作的整個(gè)流程,只是在不同階段評(píng)估的內(nèi)容和結(jié)果不一樣!缎畔⑾到y(tǒng)安全等級(jí)保護(hù)實(shí)施指南》將等級(jí)保護(hù)基本流程分為三個(gè)階段:定級(jí),規(guī)劃與設(shè)計(jì),實(shí)施、等級(jí)評(píng)估與改進(jìn)。在第一階段中,風(fēng)險(xiǎn)評(píng)估的對(duì)象內(nèi)容是資產(chǎn)評(píng)估,并在此基礎(chǔ)上進(jìn)行定級(jí)。在第二階段中,主要是對(duì)信息系統(tǒng)可能面臨的威脅和潛在的脆弱性進(jìn)行評(píng)估,根據(jù)評(píng)估結(jié)果。綜合平衡安全風(fēng)險(xiǎn)和成本,以及各系統(tǒng)特定安全需求,選擇和調(diào)整安全措施,確定出關(guān)鍵業(yè)務(wù)系統(tǒng)、子系統(tǒng)和各類保護(hù)對(duì)象的安全措施。在第三個(gè)階段中。則涉及評(píng)估系統(tǒng)是否滿足相應(yīng)的安全等級(jí)保護(hù)要求、評(píng)估系統(tǒng)的安全狀況等,同時(shí)根據(jù)結(jié)果進(jìn)行相應(yīng)的改進(jìn)。
等級(jí)保護(hù)所要完成的工作本質(zhì)就是根據(jù)信息系統(tǒng)的特點(diǎn)和風(fēng)險(xiǎn)狀況,對(duì)信息系統(tǒng)安全需求進(jìn)行分級(jí),實(shí)施不同級(jí)別的保護(hù)措施。實(shí)施等級(jí)保護(hù)的一個(gè)重要前提就是了解系統(tǒng)的風(fēng)險(xiǎn)狀況和安全等級(jí),所以風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)的重要基礎(chǔ)與依據(jù)。
2 等級(jí)保護(hù)建設(shè)過(guò)程中如何有效地結(jié)合風(fēng)險(xiǎn)評(píng)估
2.1 以風(fēng)險(xiǎn)評(píng)估中資產(chǎn)安全屬性的重要度來(lái)劃分信息系統(tǒng)等級(jí)
在公安部等四部局聯(lián)合下發(fā)了《信息安全等級(jí)保護(hù)的實(shí)施意見(jiàn)》公通字2004第66號(hào)文中,根據(jù)信息和信息系統(tǒng)的重要程度,將信息和信息系統(tǒng)劃分為了五個(gè)等級(jí)自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)和專控保護(hù)級(jí)。實(shí)際上對(duì)信息系統(tǒng)的定級(jí)過(guò)程,也就是對(duì)信息資產(chǎn)的識(shí)別及賦值的過(guò)程。在國(guó)家的《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》中,提出了對(duì)信息系統(tǒng)的定級(jí)依據(jù),而這些依據(jù)基本的思想是根據(jù)信息資產(chǎn)的機(jī)密性、完整性和可用性重要程度來(lái)確定信息系統(tǒng)的安全等級(jí),這正是風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)進(jìn)行識(shí)別并賦值的過(guò)程:對(duì)信息資產(chǎn)的機(jī)密性進(jìn)行識(shí)別并賦值;對(duì)信息資產(chǎn)的完整性進(jìn)行識(shí)別并賦值;對(duì)信息資產(chǎn)的可用性進(jìn)行識(shí)別并賦值。從某種意義上來(lái)說(shuō),信息系統(tǒng)(不是信息)的安全等級(jí)劃分,實(shí)際上也是對(duì)殘余風(fēng)險(xiǎn)的接受和認(rèn)可。
2.2 以風(fēng)險(xiǎn)評(píng)估中威脅程度來(lái)確定安全等級(jí)的要求
在等級(jí)保護(hù)中,對(duì)系統(tǒng)定級(jí)完成后,應(yīng)按照信息系統(tǒng)的相應(yīng)等級(jí)提出安全要求,安全要求實(shí)際上體現(xiàn)在信息系統(tǒng)在對(duì)抗威脅的能力與系統(tǒng)在被破壞后,恢復(fù)的速度與恢復(fù)的程度方面。而這些在風(fēng)險(xiǎn)評(píng)估中,則是對(duì)威脅的識(shí)別與賦值活動(dòng):脆弱性識(shí)別與賦值活動(dòng);安全措施的識(shí)別與確認(rèn)活動(dòng)。對(duì)于一個(gè)安全事件來(lái)說(shuō),是威脅利用了脆弱性所導(dǎo)致的,在沒(méi)有威脅的情況下,信息系統(tǒng)的脆弱性不會(huì)自己導(dǎo)致安全事件的發(fā)生。所以對(duì)威脅的分析與識(shí)別是等級(jí)保護(hù)安全要求的基本前提,不同安全等級(jí)的信息系統(tǒng)應(yīng)該能夠?qū)共煌瑥?qiáng)度和時(shí)間長(zhǎng)度的安全威脅。
2.3 以風(fēng)險(xiǎn)評(píng)估的結(jié)果作為等級(jí)保護(hù)建設(shè)的安全設(shè)計(jì)的依據(jù)
在確定信息系統(tǒng)的安全等級(jí)和進(jìn)行風(fēng)險(xiǎn)評(píng)估后,應(yīng)該根據(jù)安全等級(jí)的要求和風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行安全方案設(shè)計(jì),而在安全方案設(shè)計(jì)中,首要的依據(jù)是風(fēng)險(xiǎn)評(píng)估的結(jié)果,特別是對(duì)威脅的識(shí)別,在一些不存在的威脅的情況下,對(duì)相應(yīng)的脆弱性應(yīng)該不予考慮,只作為殘余風(fēng)險(xiǎn)來(lái)監(jiān)控。對(duì)于兩個(gè)等級(jí)相同的信息系統(tǒng),由于所承載業(yè)務(wù)的不同,其信息的安全屬性也可能不同,對(duì)于需要機(jī)密性保護(hù)的信息系統(tǒng),和對(duì)于一個(gè)需要完整性保護(hù)的信息系統(tǒng),保護(hù)的策略必須是不同,雖然它們可能有相同的安全等級(jí)。但是保護(hù)的方法則不應(yīng)該是一樣的。所以,安全設(shè)計(jì)首先應(yīng)該以風(fēng)險(xiǎn)評(píng)估的結(jié)果作為依據(jù),而將設(shè)計(jì)的結(jié)果與安全等級(jí)保護(hù)的要求相比較。對(duì)于需要保護(hù)的必須符合安全等級(jí)要求,而對(duì)于不需要保護(hù)的則可以暫不考慮安全等級(jí)的要求,而對(duì)于一些必須高于安全等級(jí)要求的,則必須依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,進(jìn)行相應(yīng)高標(biāo)準(zhǔn)的設(shè)計(jì)。
3 結(jié)束語(yǔ)
風(fēng)險(xiǎn)評(píng)估為等級(jí)保護(hù)工作的開(kāi)展提供基礎(chǔ)數(shù)據(jù),是等級(jí)保護(hù)定級(jí)、建設(shè)的實(shí)際出發(fā)點(diǎn),通過(guò)安全風(fēng)險(xiǎn)評(píng)估,可以發(fā)現(xiàn)信息系統(tǒng)可能存在的安全風(fēng)險(xiǎn),判斷信息系統(tǒng)的安全狀況與安全等級(jí)保護(hù)要求之間的差距,從而不斷完善等級(jí)保護(hù)措施。文章對(duì)等級(jí)保護(hù)工作中如何結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了有益的探索。為有效地支撐計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)建設(shè)的順利進(jìn)行提供了參考。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:談信息安全等級(jí)保護(hù)建設(shè)與風(fēng)險(xiǎn)評(píng)估
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112184893.html