什么是信息安全、等級保護以及風險評估？

　　一、什么是信息安全?

　　信息安全主要包括以下五方面的內容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。信息安全本身包括的范圍很大，其中包括如何防范商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、消息認證、數據加密等)，直至安全系統，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全局安全。信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務連續性。

　　信息安全學科可分為狹義安全與廣義安全兩個層次，狹義的安全是建立在以密碼論為基礎的計算機安全領域，早期中國信息安全專業通常以此為基準，輔以計算機技術、通信網絡技術與編程等方面的內容;廣義的信息安全是一門綜合性學科，從傳統的計算機安全到信息安全，不但是名稱的變更也是對安全發展的延伸，安全不再是單純的技術問題，而是將管理、技術、法律等問題相結合的產物。本專業培養能夠從事計算機、通信、電子商務、電子政務、電子金融等領域的信息安全高級專門人才。

　　信息安全面臨的主要威脅來源有環境因素和人為因素，而威脅最大的并不是惡意的外部人員，恰恰是缺乏責任心或專業技能不足的內部人員，由于沒有遵循規章制度和操作流程或不具備崗位技能而導致信息系統故障或被攻擊。

　　信息安全涉及到物理環境、網絡、主機、應用等不同的信息領域，每個領域都有其相關的風險、威脅及解決方法。信息安全是一個動態發展的過程，僅僅依賴于安全產品的堆積來應對迅速發展變化的各種攻擊手段是不能持續有效的。

　　二、什么是等級保護?

　　信息安全等級保護是指對存儲、傳輸、處理信息的信息系統分等級實行安全保護，對信息系統中使用的安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級進行響應、處置。

　　等級保護是指導我國信息安全保障體系總體建設的基礎管理原則，是圍繞信息安全保障全過程的一項基礎性管理制度，其核心內容是對信息安全分等級、按標準進行建設、管理和監督。

　　按照《計算機信息系統安全保護等級劃分準則》規定的規定，我國實行五級信息安全等級保護。第一級：用戶自主保護級;第二級：系統審計保護級;第三級：安全標記保護級;第四級：結構化保護級;第五級：訪問驗證保護級;

　　信息系統的安全保護等級劃分為五級，即：第一級：自主保護級;第二級：指導保護級;第三級：監督保護級;第四級：強制保護級;第五級：?？乇Ｗo級。

　　66號文中的分級主要是從信息和信息系統的業務重要性及遭受破壞后的影響出發的，是系統從應用需求出發必須納入的安全業務等級，而不是GB17859中定義的安全技術等級。

　　三、什么是風險評估?

　　風險評估就是量化評判安全事件帶來的影響或損失的可能程度。

　　從信息安全的角度來講，風險評估是對信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。

　　風險評估的主要任務包括：1)識別組織面臨的各種風險;2)評估風險概率和可能帶來的負面影響;3)確定組織承受風險的能力;4)確定風險消減和控制的優先等級;5)推薦風險消減對策。

　　在風險評估過程中需要考慮幾個關鍵問題：

　　第一，要確定保護的對象(資產)是什么?它的直接和間接價值如何?

　　第二，資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?

　　第三，資產中存在哪里弱點可能會被威脅所利用?利用的容易程度又如何?

　　第四，一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響?

　　第五，組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度?

　　解決以上這些問題的過程，就是風險評估的過程。