基层企事业单位信息系统安全风险评估.pdfVIP

第二十一届全国信息必威体育官网网址学术会议（ＩＳ２０１１）论文集 基层企事业单位信息系统的安全风险评估 □侯跃英 中国工程物理研究院计算机应用研究所 摘　要：在基层企事业单位，现有各类信息系统都存在着一定的安全风险问题。风险评估是基层 企事业单位信息系统安全管理过程中的一项持续性的基础性工作。一要坚持具有多种知识和能力的 人，特别是具备攻防经验和知识的人员共同参与，有助于提高评估的整体效果；二要尽量区分和细化不 同的基层企事业单位的环境差异、需求差异；三要坚持将评估过程转化为众多用户共同“决策”的过程， 引导用户全面了解风险，自觉规避风险；四要增强敏感性，进行深入的关联分析，通过一两个漏洞分析 能推断出可能相关的其他技术和管理漏洞；五要坚持并积极引导用户自觉地将其个性化需求限制在相 关标准和法律规范的范畴内；六要规范安全风险评估的记录文档和结论，加强对评估结论的管理。风 险评估的总体目标，是认清信息安全形势、把握信息安全状况，进而明确和强化安全管理责任，采取切 实有效的安全保障措施，保持信息安全策略的一致性和持续性，使信息系统的运行更加经济有效。 关键词：基层单位；信息安全；风险评估 面临着各种各样的威胁。任何信息系统都会有安全风 １ 险，我们的目标，是经常采取即时的、综合的安全措施 来控制风险，努力使各种风险及其危害降到最低程度。 近几年来，信息安全风险评估问题越来越受到各 因此，风险评估是基层企事业单位信息系统安全管理 有关部门和基层企事业单位的高度重视。在基层企事 过程中的一项持续性的基础性工作。风险评估的总体 业单位，现有各类信息系统，都存在着安全风险问题， 目标，是认清信息安全形势、把握信息安全状况，进而 即技术上的漏洞。很多漏洞是可以并很容易被利用 明确和强化安全管理责任，采取切实有效的安全保障 的，加上一些人为的或自然的潜在威胁，很可能导致一 措施，保持信息安全策略的一致性和持续性，使信息系 些信息安全事故的发生并造成严重影响，特别是负面 统的运行更加经济有效。 影响，这就是信息系统的脆弱性。 信息安全风险评估，就是指对信息系统及其处理、 ２ 传输、存储的信息的安全属性进行科学识别和评价。 由于人的认识能力的局限性，风险评估也是有限的，相 随着信息化的发展，信息系统已经渗透到基层单 对的信息安全风险是无限的，不可避免的。在信息化 位管理的各个方面，随着信息化的需求急剧增加，信息 建设的进程中，在信息安全的现实环境中，人们总是要 化建设的不断深化，信息安全的威胁也与日俱增。人 ３　　　８ 必威体育官网网址科学技术 ２０１１年１０月 基层企事业单位信息系统的安全风险评估 为因素、自然环境因素、技术发展因素都可能对我们的 公安等部门，电信、金融等行业都推出了各自的风险评 信息系统造成威胁。风险评估，也应当从这三个方面 估规范，已经开始进行风险评估实践。 入手，齐头并进。基层单位信息安全管理，是随着信息 就基层企事业单位而言，强调信息安全主要是指 安全问题的积累和对其认识的逐步深化不断发展的。 保护网络信息系统，使其不受威胁、不出事故。从技术 最初的信息安全工作中心主要是信息必威体育官网网址，通过必威体育官网网址 角度来说，基层信息安全与必威体育官网网址的目标主要表现在系 检查来发现问题，改进提高。有人提出，现在的主要问 统的可用性、完整性、可靠性、必威体育官网网址性、真实性、不可抵 题：一是信息系统安全风险评估的研究积累不足；二是 赖性等方面，实现这些目标的途径和手段是多种多样 缺乏信息系统安全风险评估的规范化标准；三是缺乏 的。 评估的人才；四是信息系统安全