浅析涉密信息系统安全风险自评估

甘清云

摘 要：涉密信息系统安全风险自评估作为涉密信息系统安全风险评估的重要组成部分，正越来越受到重视。文章介绍了涉密信息系统安全风险自评估存在的问题、改进的措施。

关键词：涉密信息系统；安全风险自评估

1 引言

涉密信息系统在运行过程中面临不断变化的威胁、脆弱性和风险，其中既有来自外部的，也由来自内部的。为了最大程度地控制或消除风险，首先需要做的就是识别出风险，对风险进行评估。作为涉密信息系统风险评估最主要形式的涉密信息系统安全风险自评估正越来越受到重视。本文主要介绍了信息系统安全风险评估的概况、涉密信息系统安全风险自评估存在的问题、改进的措施。

2 涉密信息系统安全风险评估

信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提供科学依据。

随着信息系统规模和复杂度的日益增加，信息系统安全风险总是客观存在的，安全是安全风险与安全建设管理代价的综合平衡。不考虑安全风险的信息化是要付出代价的，有时代价难以承受；不计成本、片面追求绝对安全、试图消灭风险是不可能的。通过开展信息安全风险评估工作，可以发现信息系统安全防护存在的问题和薄弱环节，进而决定采取措施去减少、转移、避免风险，将风险控制在可以接受的范围内。

信息安全风险评估按照形式可以分为自评估、委托评估、检查评估。自评估由单位自行组织开展；委托评估由单位委托外部有风险评估资质的专业机构开展；检查评估由国家有关指定机构强制开展。

风险评估方法分为定量分析和定性分析。定量分析对后果和可能性进行分析，采用量化的数值描述后果和可能性，分析的有效性取决于所用的数值精确度和完整性。定性分析对后果和可能性进行分析，采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等），分析的有效性同样取决于所用的数值精确度和完整性。

风险自评估实施流程如图1所示。

3 涉密信息系统安全风险自评估存在的问题

3.1 涉密信息系统安全风险自评估没有标准、规范

涉密信息系统检查评估依据国家相关的保密标准和规范进行。针对涉密信息系统安全风险自评估工作，目前参考最多的还是GB/T 20984-2007《信息安全技术 信息安全风险评估规范》。GB/T 20984-2007作为信息安全风险评估规范，是可以对开展涉密信息系统风险自评估起到指导作用，但是该规范毕竟不是针对涉密信息系统专门制定的，缺乏实用性。

3.2 涉密信息系统安全风险自评估较难量化

按照GB/T 20984-2007开展的风险自评估，需要对资产的保密性、完整性、可用性、重要性赋值，需要对威胁赋值，还需要对脆弱性赋值，最后采用矩阵法或者相乘法計算风险。第一次对涉密信息系统进行风险自评估时采用量化的方法是比较可取的，但是后面周期性的风险自评估再采用量化的方法效果肯定不太理想。

3.3 涉密信息系统安全风险自评估主要依靠内部力量

涉密信息系统安全风险自评估主要是依靠内部信息安全人员来完成，与专业风险评估机构相比，人员的专业能力还是有一定的差距；内部人员评估自己平时负责管理的信息系统，难免有既是运动员又当裁判员的嫌疑。

3.4 涉密信息系统安全风险自评估没有贯穿涉密信息系统全生命周期

目前涉密信息系统安全风险自评估一般只在涉密信息系统运行阶段进行，在涉密信息系统生命周期的其他阶段很少或基本不开风险自评估。

3.5 涉密信息系统安全风险自评估报告质量有待提高

涉密信息系统安全风险自评估报告水平参差不齐，有的参照GB/T 20984-2007分别从资产识别、威胁识别、脆弱性识别、风险计算等进行详细描述，报告达上百页；有的只进行定性分析，提炼总结出风险一二三四五，报告可能只有几页。

4 涉密信息系统安全风险自评估改进措施

4.1 参照有关保密标准和涉密信息系统风险评估有关规范

建议涉密信息系统风险自评估在参照GB/T 20984-2007的基础上，重点参照有关保密标准和涉密信息系统安全风险评估实施规范。

4.2 周期性自评估流程适当简化，定性分析

周期性自评估可在评估流程上适当简化，重点考察自上次评估后系统发生变化后引入的新威胁、新脆弱性、新风险的评估，尽可能采用定性分析方法，而不是定量分析方法。

4.3 适当考虑委托评估

适当时候考虑选择有资质的风险评估机构进行委托评估。采用委托风险评估前，单位应与评估机构签订委托协议书，明确风险评估的目标、内容、交付物以及安全保密责任等。单位指定专人负责监督与管理风险评估全过程。

4.4 风险自评估贯穿涉密信息系统全生命周期

风险自评估应贯穿涉密信息系统全生命周期。涉密信息系统规划设计前应进行风险评估，根据评估结果确定系统保护需达到的基本要求。涉密信息系统建成验收时应进行风险评估，根据评估结论确定系统的安全目标是否达成。涉密信息系统运行过程中应进行风险评估，识别系统面临的不断变化的威胁、脆弱性和风险，从而确定安全措施的有效性。

4.5 评估报告根据评估方法的不同区别对待

评估报告需要根据所采用评估方法区别对待。建议第一次风险自评估可以参照GB/T 20984-2007开展，自评估报告包含几个要素：评估对象和范围，评估方法说明，资产、威胁、脆弱性分析、影响和可能性分析、风险评估结论和风险评估结果的管理。后面进行风险自评估结合有关保密标准和涉密信息系统风险评估有关规范开展，评估报告尽量简化，总结提炼出风险和隐患，提出整改措施。

5 结束语

涉密信息系统安全风险自评估作为涉密信息系统安全风险评估的重要组成部分，正越来越受到重视。针对涉密信息系统安全风险自评估目前存在的问题，只要我们认真研究，不断改进，涉密信息系统安全风险自评估一定会发挥更大的作用。

参考文献

[1] 杜虹. 涉密信息系统安全风险评估的探讨[J].信息安全与通信保密，2004，06，20-23.

[2] 张建军，孟亚平. 信息安全风险评估探索与实践[M].北京：中国标准出版社，2005：17-44.

[3] 刘玉林，王建新，谢永志. 涉密信息系统风险评估与安全测评实施[J].信息安全与通信保密，2007，01，142-147.

[4] 孔斌. 涉密信息系统检测评估综述[J].保密科学技术，2011，05，14-17.

[5] 杜虹. 涉密信息系统安全风险评估的探讨[J].信息安全与通信保密，2014，06，20-23.endprint