国家信息安全风险评估工作历程
一、引言
随着国民经济和社会信息化进程的全面加快,网络和信息系统的基础性、全局性作用日益增强,国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大,由此而产生的信息安全问题对国家安全的影响日益增加、日益突出。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。党的十六届四中全会,更是把信息安全和政治安全、经济安全、文化安全放在同等重要的位置并列提出,这在我们党的历史上是前所未有的。
2003年7月,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉秘程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”; 2004年1月9日,黄菊同志在全国信息安全保障会议上作了关于“全面加强信息安全保障工作,促进信息化健康发展”的讲话,提出了 “抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。” 的明确要求。
二、国家开展信息安全风险评估工作的概况
⑴ 调查研究阶段
国务院信息化工作办公室网络与信息安全组(以下简称国务院信息办安全组 )为落实中办发2003[27]号文件的要求,于2003年7月23日决定委托国家信息中心组建成立“信息安全风险评估课题组”,对信息安全风险评估工作的现状进行全面深入了解,提出我国开展信息安全风险评估的对策和办法,为下一步信息安全的建设和管理做准备。
根据国务院信息办安全组的要求, 国家信息中心迅速成立了来自公安部、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局、国家计算机网络与信息安全中心、中国信息安全产品测评认证中心、北京市信息办和中国人民解放军测评认证中心等单位同志组成的“信息安全风险评估课题组”,开展信息安全风险评估工作。
2003年8月至12月, 课题组先后对四个地区(北京、广州、深圳和上海),十几个行业的50多家单位进行了深入细致的调查与研究,召开了9 次座谈会,经过四个多月的努力,完成了约十万字的《信息安全风险评估调查报告》、《信息安全风险评估研究报告》和《关于加强信息安全风险评估工作的建议》三份文稿;其中《信息安全风险评估研究报告》列为2004年1月全国信息安全保障会议的传阅文件。
《信息安全风险评估调查报告》认为︰
①各单位对风险评估的重视程度与信息化程度成正比关系
由于各单位对信息化依赖程度的不同,使得对于风险评估这一问题的认识各有不同。信息化依赖程度比较高的单位普遍认为:风险评估是加强信息网络安全建设的一项重要措施,是信息化建设和发展信息网络安全产业的重要步骤,是一个关乎国家信息安全发展的战略性问题。所以风险评估必然是基于一定信息化程度之上的一个自然的需求。也就是说,本单位的业务离开计算机信息系统就不能开展时,保证信息系统安全运行自然成为题中之意。
②国内现阶段风险评估状况
国内部门、地区和单位现阶段风险评估状况可分为以下几类:一是有认识、有行动、有措施、有效果;二是有认识、有行动、但措施不当;三是有认识、无行动、无措施;四是无认识、无行动、无措施。部门、地区和单位发展不平衡。行业单位重视风险评估的一个重要原因是“安全事件驱动”。
③安全风险评估不规范。
目前国内现在还没有一个典型意义上、系统、完整的信息安全风险评估。有的风险评估往往只给出一个笼统的报告;有的只是用技术工具测一测,没有系统规范评论,而且对于风险评估需要分级分类的观点也未达成共识;由于没有评估标准,对同一个系统评估,不同评估单位得出不同的评估结果。
④存在的主要问题
1、无组织管理机构
国家无统一主管部门、统一政策和管理办法,国家没有统筹规划和监督管理。
2、法制建设欠缺
信息安全风险评估工作的法律法规不健全,风险评估工作中“管理者、运营者、建设者和使用者”的责任、义务和权利没有明确的、可操作的说明;评估机构和人员的管理没有法律依据。
3、管理标准与技术标准滞后
国内在信息安全风险评估方面的标准化工作滞后,缺乏完善的评估技术和管理标准。
4、风险评估人才匮乏
风险评估人才非常匮乏,特别是既懂管理又懂技术的风险评估人才。
《信息安全风险评估研究报告》指出︰
1、信息系统的安全性可以通过风险的大小来度量, 通过科学地分析系统在保密性、完整性、可用性等方面所面临的威胁,发现系统安全的主要问题和矛盾,就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策,最大限度地控制和化解安全威胁。
2、信息安全风险评估是解决如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要方法和基础性工作。
3、信息安全风险评估工作是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
《信息安全风险评估研究报告》提出︰
1、风险评估是信息系统安全的基础性工作
信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但其直接目的是为了控制安全风险。
2、风险评估是分级防护和突出重点的具体体现
信息安全建设必须从实际出发,坚持分级防护、突出重点。风险评估正是这一要求在实际工作中的具体体现。从理论上讲,不存在绝对的安全,实践中也不可能做到绝对安全,风险总是客观存在的。安全是风险与成本的综合平衡。盲目追求安全和完全回避风险是不现实的,也不是分级防护原则所要求的。要从实际出发,坚持分级防护、突出重点,就必须正确地评估风险,以便采取有效、科学、客观和经济的措施。
《信息安全风险评估研究报告》认为︰
1、加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了系统的复杂程度。发达国家越来越重视风险评估工作,提倡风险评估制度化。他们提出,没有有效的风险评估,便会导致信息安全需求与安全解决方案的严重脱离。因此,他们强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。在我国目前的国情下,为加强宏观信息安全管理,促进信息安全保障体系建设,就必须加强风险评估工作,并逐步使风险评估工作朝着制度化的方向发展。
2、风险评估工作当前是要加快法制建设和技术标准建设;加强风险评估核心技术研究与攻关,重点发展具有自主知识产权的相关技术和产品,为国家基础信息网络和重要信息系统的风险评估提供自主可控的工具、模型与实用技术;建立国家风险评估数据库;加强信息安全风险意识的宣传教育,普及信息安全风险评估知识;通过资质培训、学历教育等多种形式,加快培养信息安全风险评估的专门人才。
《信息安全风险评估研究报告》建议︰
1、信息系统安全风险评估的总体目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。
2、信息系统安全风险评估的形式是:自评估和安全检查评估。安全检查评估由信息安全主管机关或信息系统上级主管机关发起,依据国家风险评估的管理规范和技术标准进行的检查评估,通过行政手段加强信息安全的重要措施。包括安全保密检查、生产安全检查、专项检查等。自评估是信息系统运营或应用单位依靠自身力量或委托有资质的评估机构,依据国家风险评估的管理规范和技术标准,对自管的信息系统进行风险评估。
3、信息系统安全风险评估的目的是:认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
4、信息系统安全风险评估的主要环节是:信息系统在设计阶段进行风险评估以确定系统的安全目标;在建设验收阶段进行风险评估以确定系统的安全目标达到与否;在运行维护阶段要针对安全形势和问题, 定期或不定期地不断进行风险评估以确定安全措施的有效性,确保安全保障目标始终如一得以实现。
5、信息安全风险评估的近期工作是:贯彻落实27号文件;建立健全和完善信息系统安全风险评估的工作机制;统筹建设信息安全风险评估的基础设施和基础环境。启动评估工作流程、工作规范标准的研究与制定;推进基础信息网络和重要信息系统的信息安全风险评估试点示范工作;加强宣传教育,提高风险意识。
⑵ 标准草案编制阶段
根据《信息安全风险评估研究报告》近期工作的建议, 2004年三月下旬课题组专家经过充分的讨论与分析,报国务院信息办安全组批准,开展了《信息安全风险评估指南》和《信息安全风险管理指南》二个规范草案的制定。国家信息中心信息安全研究与服务中心在课题组专家的指导下,组织了近二十家有实际工作经验的企事业单位约四十多人,开了二十多次工作会议,进行了信息安全风险评估标准规范草案的制定工作;到九月下旬, 完成《信息安全风险评估指南》和《信息安全风险管理指南》二个规范草案的初稿。2004年全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2005年度国家信息安全标准制定工作计划中, 将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中。
《信息安全风险评估指南》规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,适用于信息系统的使用单位进行自我风险评估,以及风险评估机构对信息系统进行独立的风险评估。主要用以识别信息系统中存在的风险,为确立信息系统安全等级提供参考;指导信息系统的安全管理;为执法部门监督提供参考;信息系统建设完成后,验收时用于参考;为信息系统业务发生变更时提供安全参考。
《信息安全风险评估指南》分为两个部分:第一部分:主体部分。主要介绍风险评估的定义、风险评估的模型以及风险评估的实施过程。对资产、威胁和脆弱性的识别进行了详细的描述,同时描述了风险评估在信息系统生命周期中的作用,以及风险评估的不同形式。指南将原则性与可操作性进行有机的结合,既为风险评估的实施者、信息安全管理人员以及相关人员提供风险评估的依据,同时也力求避免评估过程的僵化。
第二部分:附录部分。包括信息安全风险评估的方法、工具介绍和一个实施案例。目的是使用户了解到风险评估方法的多样性和灵活性。
《信息安全风险管理指南》定义了信息安全风险管理的内容和过程。风险管理的目的和意义是风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡,并最终通过对支持其使命的信息系统及数据进行保护而提高其使命能力。风险管理由三个部分组成:风险评估、风险减缓以及基于风险的决策。风险评估过程将全面评估信息系统的资产、威胁、脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定信息系统的风险,并判断风险的优先级,建议处理风险的措施。基于风险评估的结果,风险处理过程将考察信息安全措施的成本,选择合适的方法处理风险,将风险控制到可接受的程度。基于风险的决策是风险管理的最后过程,旨在由信息系统的主管者或运营者判断残余风险是否处在可接受的水平之内。基于这一判断,主管者或运营者将做出决策,决定是否允许信息系统运行。
⑶ 全国试点工作阶段
2005年春节前夕,国务院信息办安全组决定在前两年课题组风险评估研究工作的基础上,由国务院信息办组织, 在北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力总公司和国家信息中心八个部门开展风险评估试点工作,目的是在现有基础信息网络和重要信息系统的管理体制下,探索如何推进开展信息安全风险评估工作,检验草拟的国家标准草案<<信息安全风险评估指南>>和<<信息安全风险管理指南>>的可行性与可用性,为全面推广信息安全风险评估工作和国家出台相关政策文件做前期准备。
在试点工作中将解决和搞清楚以下问题:
1、探索信息安全风险评估管理机制的建设,研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责”的原则,包括信息安全风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容;明确信息安全风险评估的角色、责任、方法、过程及结果;
2、摸索协同开展风险评估工作和信息安全等级保护工作、保密检查工作的实践经验;
3、完善信息安全风险评估管理规范与技术标准;
4、了解信息安全检查评估和自评估模式的效果与不足;
5、完善国家相关政策文件。
这次试点的八个部门共有二十多个单位参加。各试点单位的评估模式包括自评估、检查评估和委托评估三种评估模式,涉及的系统包括政府、银行、电力、税务、电子政务网络等重要信息系统,涉及到规划和设计阶段、实施阶段、运行和维护阶段等信息系统生命周期的各个阶段。经过几个月的努力,国家信息安全风险评估试点工作已取得了阶段成果,待九月试点工作结束后,将在今年年底前召开经验交流大会,总结与交流这次试点工作取得的成果与经验。
四、结束语
几年来信息安全风险评估工作开展是较为顺利的,这是国信办领导决策的结果,是信息安全专家把关的结果,也是业内各方广泛积极参与的结果。信息安全风险评估是一项长期的工作,目前所做的工作仅仅是一个开头,还有很多问题需要在实践中不断摸索,在理论中深入研究加以解决,仍需审慎前行。信息安全风险评估任重而道远。
