我国信息安全风险评估面临的问题及对策探讨

孙伟成 毕 霞

0 引言

随着计算机网络信息技术的发展，网络已经逐渐成为人们生活和工作中不可或缺的组成部分。根据中国互联网络信息中心统计的数据，到2012年6月底，中国的网民数量达到5.38亿，世界排名第一[1]。然而，信息技术作为一把双刃剑，人们在尽情享受信息技术带来的巨大进步的同时，也在不断地遭受病毒、黑客、特洛伊木马等对信息安全造成的严重的威胁[2]。信息安全风险评估是加强信息安全建设的重要环节，通过开展信息安全风险评估工作，可以发现信息安全存在的问题和矛盾，并能迅速地找到诸多解决问题的办法。

1 我国信息安全风险评估发展现状

信息安全风险评估，就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护策略和整改措施，并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地为保障网络和信息安全提供科学依据[3]。

我国在信息安全风险评估方面的研究起步较晚，对信息安全问题认识的逐步深化是促使信息安全风险评估发展的主要推动力。早期的信息安全工作是以信息保密为中心，通过保密检查来发现问题，进而提出改进措施，是一种被动行为。自20世纪80年代之后，随着计算机信息技术的推广以及网络信息技术的发展，人们越来越深刻地认识到信息安全的重要性，国家也开始把信息系统的安全评测纳入工作范围，风险评估逐步成为我国信息安全评估的重要组成部分。

进入20世纪90年代后，随着互联网的普及，国际大环境下的信息战也直接或间接地威胁到了我国的信息环境。1994年2月，国家颁布的《中华人民共和国计算机信息系统安全保护条例》要求对计算机信息系统实行安全等级保护。其后，在有关部门的领导组织下，我国积极开展国内信息环境的安全评估工作。2004年，国家信息中心成立了“信息安全风险评估课题组”；2005年，上海、北京等地，也开展了信息安全风险评估的试点工作；2006年，国家也开始开展风险评估检查工作，逐步提出了一系列相关技术标准和管理规范。信息安全风险意识也开始建立，并逐步有所加强。

2 我国信息安全风险评估面临的主要问题

近年来，在国家有关部门的重视以及社会各界的广泛参与下，我国信息安全风险评估已得到了初步发展，并在信息安全保障工作中发挥了一定的作用，但是，在笔者看来，我国的信息安全风险评估工作仍处于初级阶段，也面临着一些亟待解决的问题需要妥善考虑，主要包括以下几个方面的问题。

2.1 风险评估角色不清、责任不明

风险评估是一项责任性极强的严肃工作，评估主体的确定以及扮演的角色、承担的责任必须通过部门规章加以明确，否则将会给风险评估的过程带来一系列问题。现存的风险评估主体权威不够、程序不全、责任不明，使得被评单位对评估结果存有疑义，甚至不满。如，目前由信息安全企业实施的风险评估，被评单位的实际配合往往不够，限制颇多，使得评估方难以了解该单位的业务特点和管理要求。此外，很多单位的信息安全风险评估工作也并没有同该企业各个阶段的安全建设联系起来，风险评估过后也没有针对评估结果采取相应的对策，企业的信息安全状况最终并为取得实质性的增强和改善，这些问题都导致了信息安全风险评估工作起不到应有的作用。

2.2 风险评估缺乏统一的标准

网络信息安全风险评估在我国还没有统一的标准，评估体系所应包含的评估框架、评估方法以及结果的运用等还未形成统一规范，也是如今信息安全风险评估所不得不面对的问题。风险评估流程不够科学规范，就会导致评估结果不准确、不客观，影响评估结果的使用。因此，需要针对风险评估的任务、过程、责任以及程序标准，才能统一要求，否则，必然是风险评估的效果受限于各个部门，使得风险评估结果参差不齐，难以达标。

2.3 风险评估专业管理人才匮乏

熟悉和有能力进行系统安全建设和进行风险评估的专业管理人才匮乏是制约信息安全风险评估发展最为关键的因素。人才是一国发展最重要的资源。我国信息安全风险评估起步晚是造成在这方面人才缺乏的主要原因，虽然一些开展信息安全风险评估的企业也注重业务人员的学习和培训，但并不系统科学。有的人员只是能够对一些设备进行基础的数据测评，缺乏基于多方数据之上的系统的综合分析与评估能力。

2.4 风险意识淡薄，缺乏正确的风险评估思想

风险意识淡薄、思想认识错误是进行信息安全风险评估所面临的又一障碍。根据中国工程院院士、信息工程大学校长邬江兴少将的访谈录[4]，目前，在网络安全风险评估方面主要存在以下四种认识误区：一是“怕担责任”，怕风险评估暴漏组织在信息安全管理中的问题而被追究责任；二是“怕找麻烦”，怕在风险评估过程中发现组织存在的问题后要对整个组织的网络系统进行改造和修正，由此可能会对各个系统或业务流程产生影响；三是“感觉良好”，片面主观地认为自己所在单位的防范系统是“铜墙铁壁”，缺少实事求是认识事物的精神；四是“讳疾忌医”，把安全评估当成是“自找麻烦”，拒绝有关单位正规的安全评估。

3 完善我国信息安全风险评估的的对策建议

3.1 加强信息安全风险评估的基础工作，明确责任

按照国家信息化发展的要求，逐步完善我国信息安全风险评估相关的标准规范建设，明确评估主体，明确责任，“谁评估谁负责”，实现评估管理的法制化和规范化。各行业部门要根据本行业特点制定相应的技术规范，构建安全、稳定、合理的国家基础信息网络风险评估试验环境，满足国家重要信息系统和基础信息网络风险评估的需求，同时也要建立国家基础信息网络等关键信息基础设施的风险评估数据库，积累资料。

3.2 制定适合我国国情的风险评估标准

制定信息安全风险评估的相关标准，引导和促进信息安全产业的发展。信息安全需要高技术标准的支撑，没有技术标准规范就不能解决互连、互通、互操作意义下的信息安全。国际上已经有许多有关信息安全风险评估的标准，我们需要在立足我国国情的基础上借鉴国外风险评估标准的制定，建立市场准入机制和监测体系，形成有效的安全技术标准屏障，为信息安全风险评估提供标准保证。

3.3 培养人才，建立信息安全风险评估专门人才认证体系

按照新时期信息安全风险评估的要求培养专门人才，建立人才认证体系，完善人才队伍建设。要充分发挥职业教育机构在人才培养中的基础性作用，通过系统地学习掌握基础的理论知识、基本的操作技能以及行之有效的学习方法；其次，要利用社会资源进行高技能人才的培养，人才的培养不仅是职业教育机构以及企业发展的要求，也是社会的责任，我们应该在更大范围、更广领域为人才的成长创造机会。要发挥政府的服务职能，引导职业教育机构办学，采用政府购买教育服务的运行机制，促进人才培养，将信息安全风险评估人才的培养纳入终身教育体系，并成立专门的人才认证机构，保证人才质量。

3.4 加强风险意识宣传，树立正确的风险评估思想

各个单位及组织要把信息安全工作放在首位，加强整个组织对信息安全意识的培养，树立正确的信息安全风险评估思想。加强组织员工对法律、道德教育以及风险控制方面的学习，把对组织信息安全风险控制制度的建设以及能力的培养作为考核组织领导工作绩效的指标，促进各个组织、各个单位把信息安全风险管理落实到实际的工作中去。对于个人而言，要树立正确的风险防范意识，对于违规行为以及网络安全事件要有正确的认识，当在网络中遇到恶意攻击的情况时，要及时上报有关部门，争做网络信息完全的“检测器”、“挖掘机”。

4 结语

综上所述，信息风险安全问题是信息时代亟待解决的问题，而对组织的网络信息安全进行有效地风险评估是规避风险、保证组织健康发展的关键。我国进行网络信息安全风险评估的关键就在于在不断的探索中找出信息安全风险评估中存在的一系列问题，并找出解决问题的可行性对策。发现问题、找出对策、解决问题，如此不断地循环往复，最终实现对网络信息安全风险评估的全面控制，保证信息安全是进行信息安全风险评估的最终目的。

[1]中国广播网.中国网民数量达到5.38亿 手机网民规模 达3.88亿.[2012-07-19].http：//www.cnr.cn/gundong/201207/t20120719_510279110.shtml.

[2]黛素芳.网络负面问题及伦理思考[J].湘潭大学社会科学学报，2001，25（6）：56259.

[3]范红，冯登国，吴亚非.信息安全风险评估方法与应用[M].北京：清华大学出版社，2006：1.

[4]三台政务网.信息工程大学校长邬江兴少将访谈录.[2008-10-10].http：//www.my.gov.cn/santai/1369 666032767074304/20081010/344183.html.