风险评估从务虚到热启动
风险评估刺激信息安全
2005年8月15日,国务院信息化办公室曲维枝常务副主任,在国信办网络与安全组、公安部十一局领导和信息安全风险评估试点工作专家组部分专家的陪同下,前往北京市朝阳区调研了信息安全风险评估试点情况。——这则不起眼的消息8月19日出现在北京之窗网站上,没有别的媒介跟进和渲染,在安全圈内也没有引起什么波纹。
安全界对风险评估的反映有些迟缓让人不解。因为对正处于发展变化之际的信息安全领域来说,风险评估实实在在是一个闪亮的信号。自2003年7月22日国家信息化领导小组第三次会议审议通过了《关于加强信息安全保障工作的意见》以后,信息安全界曾经为之欢呼雀跃了一番。但热闹之后,人们却发现,被寄以厚望的中办发27号文件,原来只是一个指导性的文件,不可能立竿见影地给信息安全领域带来实质性的变化。由此,一段时间以来,一种无所适从的倾向弥漫在信息安全的上空。
应该说,27号文下发以后,信息安全的务实性工作一直是国信办在抓的一件事,并且从去年逐渐启动起来。公安部等四部委联合下发了《关于加强信息安全等级保护的意见》,提出要建立和实施信息安全等级保护制度;国家认证认可监督管理委员会等八部委联合发下发了《关于建立国家信息安全产品认证认可体系的通知》,计划一统分散的认证格局,如此不等。曲维枝在朝阳调研时指出,信息安全等级保护是我国信息安全保障工作的一项基本制度,在落实等级化建设和保护过程中,风险评估是一种很好的方法和手段。曲维枝强调,我国信息化建设的很多关键软、硬件从国外进口,在此情况下,我们应当从管理、政策和标准等方面来弥补不足。
然而等级保护,已经也被提出了多年,似乎并不新鲜,更因为操做方法上不好把握,依然给人以“虚”的感觉。在这样的情况下,风险评估却随着信息化建设和信息安全的发展渐生渐长,正在从务虚走向实质性的试点推广阶段,而且有可能从明年开始全国范围内大举推广,这将给信息安全带来很多新的“刺激”。
启动程序三期显效
让我们先来回顾一下这一年来,风险评估到底发生了哪些事关全局的事件。在“信息安全风险评估课题”组负责日常工作的国家信息中心信息安全研究与服务中心吴亚非常务副主任,为我们梳理了这一过程的前因后果。
关于风险评估的突然间热起,吴亚非认为是基于三个问题。一是对相应的安全产品在使用时,所能达到的安全度有多少,过去说不太清楚;二是在使用了安全产品以后还存在哪些安全问题,也说不太清楚;三是为什么买这些安全产品,也没有相应的依据。经过几年的发展,这个问题变得越来越突出了,迫切需要给予解答。正是基于此,27号文件在加强信息安全保障工作的总体要求和部署中,将信息安全风险评估作为一项重要的举措。黄菊同志在全国信息安全保障工作会议的讲话中明确要求:“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。”
2003年7月23日,也就是《关于加强信息安全保障工作的意见》刚刚审议通过后的次日,国信办网络与信息安全组就决定委托国家信息中心组建成立“信息安全风险评估课题组”,对信息安全风险评估工作的现状进行全面深入了解,提出我国开展信息安全风险评估的对策和办法,为下一步信息安全的建设和管理做准备。
根据国信办安全组的要求,国家信息中心迅速成立了由国家公安部、安全部、信产部、国家认监委、国家标准化委、国家密码管理局、国家保密局、国家计算机网络与信息安全中心、中国信息安全产品测评认证中心、北京市信息办和中国人民解放军测评认证中心等单位同志组成的“信息安全风险评估课题组”,开展相关工作。
2003年8月至12月,课题组先后对北京、广州、深圳和上海4个地区、10多个行业的50多家单位进行了深入细致的调查与研究,历时4个多月,完成了约10万字的《信息安全风险评估调查报告》、《信息安全风险评估研究报告》和《关于加强信息安全风险评估工作的建议》三份文稿,其中《关于信息安全风险评估研究报告》在全国信息安全保障工作会议上被列为会议传阅文件。
研究报告指出,风险评估是信息系统分级防护和突出重点的具体体现,没有风险评估,会导致信息安全需求与安全解决方案的严重脱离。研究报告提出:信息系统安全风险评估的形式是,自评估和检查评估。调查报告指出,目前风险评估中存在的突出问题是缺乏组织管理机构、法制建设欠缺、管理标准和技术标准滞后、风险评估人才匮乏等。这两份报告在分析了风险评估的现状和问题以后,提出了风险评估要做的事,风险评估的目标意义和实施建议。
在以上调查研究阶段结束以后, 2004年3月课题组专家经过充分讨论与分析,经国信办安全组批准,开展了《信息安全风险评估指南》和《信息安全风险评估管理指南》两个标准和规范草案的制定。国家信息中心信息安全研究与服务中心在课题组专家的指导下,组织了近20家有实际工作经验的企事业单位约40多人,于2004年9月完成了两个指南的初稿。全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2005年度国家信息安全标准制定工作计划中,将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中,国信办决定先在全国试点。国信安标委几个专业组的组长都是这个标准组的专家组成员,可以说这个标准的专家组的层次是最高的,实践的范围是最大的,花的钱是最多的。国信安标委要求把这个标准做成精品标准。
接下来,从2005年初开始,国信办安全组决定在前两年课题组风险评估研究工作的基础上,由国信办组织,在北京、上海、黑龙江、云南、人民银行、国家税务总局、国家电力总公司和国家信息中心8个部门共20多个单位开展风险评估的试点工作,目的是在现有基础信息网络和重要信息系统的管理体制下,探索如何推进信息安全风险评估工作,检验草拟的国家标准的可行性与可用性,为全面推广信息安全风险评估工作和国家出台相关政策文件做前期准备。中间开了三次试点领导工作小组会议和好几次专家会议。各试点单位以自评估、检查评估和委托评估三种模式进行,涉及的系统包括政府、银行、电力、税务、电子政务网络等重要信息系统,涵盖了规划和设计、实施、运行和维护等信息系统生命周期的各个阶段。经过几个月的努力,国家信息安全风险评估试点工作取得了阶段性的成果,效果是比较好的。试点工作计划9月结束,今年年底将召开经验交流大会。
风险评估经历了调查研究、标准规范的制订、试点这三个阶段,都是为了一个目标,就是国家要正式启动风险评估这项工作。
信息安全由虚变实
据悉,国信办目前正在组织起草和拟定出台一个国家风险评估的指导意见,这个意见今年秋天有可能获得通过。这样有了风险评估国家标准、有了试点工作的经验和范本,有了国家关于风险评估的政策性文件,明年风险评估工作就将在全国范围内大规模地推广实施。
人们注意到,在已经形成的文件中提到了风险评估的三个环节、两种形式。风险评估的三个环节是指,在方案设计的时候要评估确定它的安全等级,在工程建完以后要评估它所达到的安全等级,在系统运行和维护的时候要定期和不定期地评估确认它保持的安全等级。这是一个长期的工作,不是做一次两次就完了的事。这也是落实27号文件“谁主管谁负责、谁运营谁负责”的一个具体的方式。而评估的形式,是指自评估和检查评估。为什么讲要以自评估为主呢?就是说这个评估是你自己搞出来的,将来出了问题要查你的领导责任。因而风险评估在为主管信息化项目的人提供了审批项目的依据和办法的同时,也为他们追加了相应的责任。原来课题组还想搞的第三标准是风险评估的审批标准,目标就是解决谁主管谁负责的的问题,更加细化操做流程和明确责任。
吴亚非说,在项目进行过程中发现,现在存在的主要是这么几个问题。一个是如何把风险评估和等级保护的关系阐述得更准确一点,另外,风险评估专业人才的匮乏,相应的配套制度还不完善、评估队伍如何管理等等都需要加以弥补和充实。风险评估还有一个最大问题,就是风险评估带来的风险如何规避的问题?也就是说,你评完以后把人家的家底都弄清楚了,如果泄露出去怎么办?为此,课题组建议行业搞自已的风险评估队伍,建自己的风险评估中心。因为本行业自己去做评估,对自己的业务系统,比外面人要更清楚,也比较放心。这一建议国家也考虑采纳了。在实际中,越是核心的单位,或单位越核心的系统,到了一定程度他绝对不会让外人去评估的,这一情况在调查和试点过程中都可以得到证实。
总的来说,这是在国家层面讲的,不是企业层面的。首先关注的是,要保证国家基础信息网络和重要信息系统的安全,这是硬性的要求。将要出台的关于风险评估的指导意见,其根本目标是强调如何在全国推广风险评估工作,重在推广,而不是强调如何管这件事。
人们认识到,把网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求。信息安全的保障工作要实行等级保护,而等级保护因为风险评估的开展有了切实的依据,每一层的责任也进一步明确了,这就使得27号文提出的总体保障思路有了看得见、摸得着的东西,变成可操做的的具体工作。国信办安全组王渝次司长反复强调的所谓抓落实,此即其一。再者,因为有了风险评估,能够把情况摸得清楚了,用什么样的产品和如何用的问题,将解决以往一些单位盲目采购中的过与不及的问题。为此我们说,信息安全下一步将会由务虚走向具体操做的程序,在这一过程中,风险评估无疑起到了一个很好的催化的作用。
安全公司如何应对
现在的问题是,风险评估对信息安全企业会产生什么样的影响。这几年来,一些公司的业务不断向安全服务转移,并把风险评估作为一项重要的服务内容。在现已公开的资料中可以看到,这样的收费服务项目在重要行业每个单子就有上百万元的入帐。像联想、东软、启明星辰等公司都有这方面的案例。据有关机构推算,在发达国家,风险评估占系统总体投入的比例为1%至5%,金融、电信等行业可达3%至5%,以此计算,仅在银行系统每年这一数额就有几个亿。
早在2003年,当信息安全市场还在苦战苦斗的时候,一些公司把注意力转到了安全服务包括风险评估上,这一年有人干脆把它称之为风险评估年。但是,由于标准和管理制度的缺乏,在实际运作过程中,主要还是针对具体问题,通过一些工具和经验,找到问题,提出解决的办法,真正规范的风险评估工作还属纸上谈兵。
如今,相应的标准和国家政策都将出台,人们可能会注意到,在评估形式中只提到了自评估和检查评估,也就是说没有提到第三方的问题。那么信息安全公司能否参与风险评估或如何参与风险评估呢?这是一个值得深思的问题。据悉,以后每个行业要制定自己的风险评估的实施细则,评估队伍如何管,将来也要出台相应的管理办法。可能的出现的局面是,在自评估过程中,评估行业或部门会委托一些具有一定资质的安全公司来做除最核心部分以外的风险评估工作。在这方面信息安全公司的专业作用将得到体现,不论如何要求,这些专业的安全公司都会担当风险评估的重要角色。
所以对信息安全企业来说,影响主要表现在两个方面。一是风险评估使用户单位在选用安全产品时,因为责任的关系,必须选用过硬的产品,这为真正优秀的品牌开启绿灯;另一影响是,部分安全公司以某种形式直接参与风险评估并从中得利,因为全国范围内的大规模推广将使市场需求大幅提升。但今后具体如何参与,这是信息安全企业界需要认真考虑和着力面对的问题。因为虽然市场看好,可它毕竟不是单纯的产品层面的东西,涉及的管理问题很多,还需要在实践中磨合。
在经过了两三年时间的务虚之后,我们终于有望在明年看到信息安全发生的实质性变化,虽然现在这样说还为时过早,也很难预测过程中会出现什么新的问题,比如会不会导致走过场应付差事的现象?但一个不争的事实却是,这次风险评估的全国性热启动是在27号文件出台两年多以后,经多方反复探索论证和试点以后,在标准规范政策完成的情况下开始的,因而它必将对信息安全的格局产生重大影响。
风险评估
风险分析或风险评估一词大约出现于1956年哈佛商业评论(Harvard Business Review),当时所谓的风险主要是指保险公司的财务风险而言,后来在学术界与保险界专家的倡导下,成立了风险与保险管理学会(The Risk and Insuranc)。到上世纪九十年代,风险分析已经成为一门整合性的新科学。它涉及到技术、管理和社会等层面。
《信息安全风险评估研究报告》若干观点摘录:
信息系统安全风险评估
是传统的风险理论和方法在信息系统中的运用。它解决如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力、物力,确定已采取的信息安全措施是否有效,以及提出按照相应的信息安全等级进行安全建设和管理的依据等一系列具体问题的重要方法和基础性工作。
信息系统安全风险评估的总体目标和目的
服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全防护能力。
认清信息安全环境、信息安全状况,有助于达成共识,明确责任,采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
信息系统安全风险评估的形式
自评估和安全检查评估。安全检查评估由信息安全主管机关或信息系统上级主管机关发起,依据国家风险评估的管理规范和技术标准进行的检查评估,通过行政手段加强信息安全的重要措施。自评估是信息系统运营或应用单位依靠自身力量或委托有资质的评估机构,依据国家风险评估的管理规范和技术标准,对自管的信息系统进行风险评估。
信息系统安全风险评估的主要环节
信息系统在设计阶段进行风险评估以确定系统的安全目标;在建设验收阶段进行风险评估以确定系统的安全目标达到与否;在运行维护阶段要针对安全形势和问题,定期或不定期地不断地进行风险评估以确定安全措施的有效性,确保安全保障目标始终如一得以实现。
