企業的信息安全建設思路

　　前言

　　當今時代，信息技術飛速發展，信息網絡廣泛普及，信息已成為事關全局的一種戰略資源。但是信息技術也是一把雙刃劍，一方面極大的便利了人類的生產和生活，另一方面也由于信息技術的脆弱性和不完善性，使得在信息的存儲、處理、傳輸過程中很容易被干擾、遺漏和丟失，甚至被泄漏、竊取、篡改和冒充，因此，信息安全成為企業信息化過程中不可或缺的要素。

　　隨著信息技術的飛速發展，企業的信息成為各種網絡犯罪組織和惡意勢力的攻擊目標，網絡非法行為日趨復雜，且更為頻繁，各種攻擊方法相互融合，攻擊手段更為隱秘，破壞性更強，攻擊從網絡層向應用層遷移。但是，我們也應該看到，信息安全雖然是由信息技術問題引起的，但信息安全問題的解決不能夠單純地由技術問題入手，還得從系統的、管理的角度切入，一個完美的解決安全問題的技術方案在現實中是不存在的.而且用信息技術解決信息技術的脆弱性和不完善性有可能帶來另外的脆弱性和不完善性。

　　一、信息系統的安全風險評估

　　所謂信息系統的安全風險，是指由于系統存在的脆弱性、人為或自然的威脅導致安全事件發生的可能性及其造成的影響。風險評估是分析分析確定風險的過程。任何系統的安全性都可通過風險的大小來衡量。

　　網絡信息系統得安全建設應該建立在風險評估的基礎上，這是信息化建設的內在要求，系統主管部門和運營、應用單位都必須做好本系統得信息安全評估工作。只有在建設的初期，在規劃的過程中，就運用風險評估、風險管理的手段，才可以避免重復建設和投資的浪費。信息安全風險評估是風險平估理論和方法在信息系統中的運用，是科學分析理解信息和信息系統在機密性、完整性、可用性等方面所面臨的風險，并在風險的預防、風險的控制、風險的轉移、風險的補償、風險的分散等之間做出抉擇的過程。所有信息安全建設都應該是基于信息安全風險評估，只有在正確地、全面地理解風險后，才能在控制風險、減少風險之間做出正確的判斷，決定調動多少資源、以什么樣的代價、采取什么樣的應對措施去化解、控制風險。在風險評估中，最終要根據對安全事件發生的可能性和負面影響的評估來識別信息系統的安全風險。造成信息安全事件的源頭，可以歸為外因和內因。外因為威脅，內因則為脆弱性。因此，在風險評估中要刻意刻畫信息安全事件，就必須對威脅和脆弱性都有深入了解，這構成了風險評估工作的關鍵。

　　二、信息安全等級保護

　　分為五個等級，分別為：第一級(自主保護級)、第二級(指導保護級)、第三級(監督保護級)、第四級(強制保護級)、第五級(?？乇Ｗo級)系統的重要程度從1-5級逐級升高。

　　三、信息安全等級保護和風險評估的關系

　　1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》規定計算機信息系統實行信息系統安全等級保護。2003年中央辦公廳、國務院辦公廳轉發的徊家信息化領導小組關于加強信息安全保障工作的意見)中明確提出： “要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息系統安全等級保護制度，制定信息系統安全等級保護的管理辦法和技術指南”。2004年公安部等四部委《關于信息系統安全等級保護工作的實施意見》也指出： “信息系統安全等級保護制度是國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力水平，維護國家安全、社會穩定和公共利益，保障和促遺信息化建設健康發展的—項基本制度”。等級保護工作的核心是對信息安全分等級，按標準進行建設、管理和監督。風險評估做為信息安全工作的一種重要技術手段，為系統安全等級保護的定級、測評和整改等工作階段提供重要依據，在實施信息安全等級保護周期和層次中發揮著重要作用。在等級保護周期的系統等級階段中，依提信息安全風險評估國家標準對所評估資產的重要性、客觀威脅發生的頻率、以及系統自身脆弱性的嚴重程度進行識別和關聯分析，判斷信息系統應采取什么強度的安全措施，然后將安全事件一旦發生后可能造成的影響控制在可接受的范圍內：在安全實施階段，按照風險評估標準，對現有系統進行評估和加固，然后進行安全設備的部署，對在安全實施過程中也會發生事件并可能帶來長期的隱患，風險評估能及早發現并解決這些問題：在安全運維階段，按照風險評估標準開展定期和不定期的風險評估以便幫助確認它保持的安全等級是否發生變化。

　　四、建立信息安全管理組織的必要性

　　一個單位應該也必須建立信息安全管理組織，這個組織是這個單位在信息系統安全方面的最高權力組織。信息安全是所有管理層成員所共有的責任，一個管理組織應確保有明確的安全目標。在一個單位內部，有關信息安全的工作需要一個強有力領導機構來領帶和推動，這是由于：1)首先是一些單位的業務對信息系統形成了完全的依賴，另外信息安全會導致對社會公眾利益、社會秩序和國家安銷告成侵害，甚至是嚴重的侵害。2)在一個單位中多個部門的信息任務既有聯系又有相對的獨立性，而這些任務又是這個單位全部信息任務的組成部分，所有這些都需要—個強有力的機構進行協調和指導。3)全員使用的信息系統中不同員工在其中所對應的是不同的角色，在工作中的權限也有4)—個單位對信息系統安全所采取的各類措施和決策是需要權威機構來審批和決定的。