信息安全风险评估现状及完善对策研究

戴传祇

（吉林建筑大学电气与计算机学院，长春 130000）

在科学技术不断变革发展的新时代下，网络已然成为了人们工作、学习、生活中一项必不可少的因素，对人们的行为、思想方式产生了颠覆式的影响。尤其是在互联网+的作用下，计算机信息技术以各种形式进入到了社会各个传统行业当中，对整个社会的发展起到了极大的带动作用。但无论信息技术优势如何凸显，也始终难以隐藏其不利的一面。人们在享受信息技术所带来的各种便利的同时，也正在遭受着以木马、黑客、病毒等为代表的信息安全威胁。这不仅对网络用户的用网体验造成了不好的影响，更对其个人的信息安全造成了巨大的威胁。为此，我们有必要在信息安全风险评估的作用下，来迅速找到问题所在，进而有针对性的制定出极具有效性的解决办法。

1 信息安全风险评估概述

信息系统安全风险指的是，基于系统本身的脆弱性，而由自然、人为等因素所造成的安全威胁事件，以及造成的不良影响。信息安全风险评估则是指，依照我国信息技术相关行业安全标准，对信息系统本身以及尤其所处理的各类数据信息的可用性、完整性、保密性等安全属性予以科学的评估，对安全事件有可能会带来的负面影响进准确预判。以此来为风险控制工作的开展提供充足的评判依据，确保信息网络安全性能的提升。

2 信息安全风险评估现状

受互联网信息技术发展的限制，我国信息安全风险评估起步较晚。早期的信息安全风险评估多是基于信息安全问题所造成的不良影响而开展的，是一种事后的被动行为。自上世纪80年代，在计算机技术、网络信息技术不断发展的作用下，越来越多的人认识到了信息安全的重要意义。计算机网络行业、国家都开始将信息安全评估纳入其工作任务重点当中。1994年国家颁布了专门的计算机信息安全保护条例——《中华人民共和国计算机信息系统安全保护条例》；2004年“信息安全风险评估课题组”在国家信息中心成立；2006年国家开始针对信息安全风险评估检查工作制定专业的管理规范、技术标准。自此我国信息安全风险评估工作开始于全国范围内正式实施开来。

就当前阶段我国的信息安全风险评估工作实施情况来讲，虽然经过多年的努力也取得了一定的成效，但受各方面现实因素的影响，也存在着一些需要注意的问题。包括，风险评估人员缺乏良好的风险评估意识、思想，对待工作存在“讳疾忌医”、“应付了事”的消极态度；缺乏专业的风险评估人才。现有风险评估人员其能力水平只限于应对基础的数据测评，缺乏多方面的数据系统综合评估能力；目前我国在信息安全风险评估标准制定方面仍未达到高度的统一。尤其是对于系统评估具体方法的选择、框架的制定、结果运用等都存在差异化的情况，这不仅对评估结果的准确性造成了一定的影响，更导致了评估责任以及程序的划分。

3 信息安全风险评估完善对策

一是，转变风险评估思想，树立风险防范意识。强化信息安全风险防御的主动性，建立积极、发展、开放的信息安全风险评估防御方式，改变过去被动、隔离、封堵为主的落后风险评估、防御方式。并将内网的应用管理、存储管理、行为管理、用户管理等作为主要评估内容。同时，还要积极树立正确的信息安全风险评估思想，在教育、培训的作用下强化相关人员对信息安全相关伦理道德、法律法规的学习，以此来促使考核小组人员能够树立正确的防范意识，使其能够真正成为“检测器”一般的存在，去积极挖掘网络中的风险，并在科学评估的基础上及时上报。以此来降低网络安全风险造成的不良影响。

二是，明确责任划分。为确保信息安全风险评估流程的规范化，我们要根据国家《信息安全风险管理指南》对风险评估内容、流程予以确定，并根据风险评估各主体特点，对其自身的责任、义务进行划分，积极推行谁评估谁负责的工作准则，确保风险评估管理早日实现规范化、法制化。此外，更要在对世界各国信息安全风险评估准则予以参考的基础上，结合我国的特殊国情以及信息安全总体情况，建立信息安全检测评估体系、市场准入机制，以此来为信息安全评估工作的开展提供重要的标准，确保我国信息安全风险评估工作的高质量、高水平。