摘要：信息安全关系到国家安全，保证信息安全是每个企业的职责。风险评估是保障信息系统安全的重要手段，认清风险评估的价值，发挥自我风险评估的特点，充分保障企业信息安全。本文从风险评估的角度出发，通过企业自我风险评估的经验，发表对自我风险评估的一些认识和看法。
    关键词：信息安全；风险评估；自我评估
    0、引言
    信息化是社会发展的必然趋势。在信息电子化的过程中，信息泄漏可能性成倍的增加，防止涉密信息泄漏成为信息化建设中的重点难题。在一个企业里，信息系统的建立可节约包括时间、人员、低值易耗品等资源，大大控制了成本。但凡事皆有利弊，由于网络的共享性而造成的泄密事件往往能给一个企业带来致命的打击。如果网络安全事故出现在政府部门或涉密单位，那么泄露的有可能是国家机密，这种损失将不可估量。对于一个企业来说，意识到信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，将是企业实施安全建设必须首先解决的问题，也是制定安全策略的基础与依据。正确认识风险评估工作的重要性是做好信息安全工作的起点。

    1、什么是风险评估
    信息系统的风险评估，简单的说就是发现风险，进行定性或定量分析，为风险管理提供依据。操作时针对现有安全需求进行评估和分析，定义安全策略，建立安全框架，实施安全方案，得出合规性报告，确定目前的安全基线，并随着业务的发展，进行周期性的再评估，保障信息系统的安全。风险评估的意义在于对风险的认识，而风险的处理过程，可以在考虑了管理成本后，选择适合企业自身的控制方法，对同类的风险因素采用相同的基线控制，这样有助于在保证效果的前提下降低风险评估的成本。
    风险评估的方式可以为请专业部门进行评估和企业自身做评估。专业部门进行的优点是有风险评估的专业人才，风险评估的经验比较丰富，对风险评估相关的各类标准、法律、法规有着比较深刻的理解，同时评估的过程比较规范，评估结果的客观性比较好，可信度较高。但由于受到专业知识技能以及评估时间的限制，一般对被评估系统的了解有限。另外，由于风险评估中必然会接触到被评估单位的敏感情况，并且评估结果本身也属于敏感信息，所以难以深刻地理解被评估系统中存在的风险。自评估的优点是有利于自身系统的保密性；有利于发挥行业和部门内人员的业务特长；有利于降低风险评估的费用；有利于提高本单位的风险评估技能与信息安全知识；有利于加强信息系统相关人员的安全意识。缺点：由于被评估方缺少统一的规范和要求，缺乏风险评估的专业技能，自评估的结果可能不深入，不规范，不到位。同时，受到单位内部各种不利因素的影响，自评估的结果可能损失一定的客观性，从而降低评估结果的可信程度。
    但信息系统的安全风险并不是固定不变的，新的系统漏洞被发现、新型攻击手段的产生等等都是对信息系统安全的新威胁，而面对这些新的危险，继续延用以前的风险评估指标及安全策略是不科学，也是不现实的。所以风险评估应该纳入信息系统安全的日常工作中，成为一个经常性的工作项目。应该说自评估具有着不可替换的优势。

    2、自我风险评估
    2.1 自我风险评估的六个方面
    2.1.1 定制个性化的评估方法
    虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
    2.1.2 安全整体框架的设计
    风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架，至少应该明确。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。
    2.1.3 多用户决策评估
    不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。
    2.1.4 敏感性分析
    由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出根源，提出确实有效的解决办法。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。
    2.1.5 集中化决策管理
    安全风险评估需要具有多种知识和能力的人参与，对这些能力和知识的管理，有助于提高评估的效果。集中化决策管理，是评估项目成功的保障条件之一，它不仅是项目管理问题，而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人，去执行相应的关键任务。如控制台审计和渗透性测试，由不具备攻防经验和知识的人执行，就达不到任何效果。
    2.1.6 评估结果管理
    安全风险评估的输出，不应是文档的堆砌，而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统，但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统，使用它来指导评估过程，管理评估结果，以便在管理层面提高评估效果。

    2.2 在企业对自主网络进行自我风险评估过程中的关注点。
    2.2.1 防止泄密的工作也就分为管理和技术两个方面，管理是核心，技术是作为保障管理的重要手段。在涉密网络的建设过程中，制定严格、详细、可行的管理规章制度固然是根本，但是没有完善的技术手段作为支持和保障，很多管理规程就会成为一纸空谈。没有了管理，再好的技术也不可能从全方位保护网络的安全。
    关注“木桶效应”，在管理和技术上发现最薄弱的环节，制定针对性的安全策略。
    2.2.2 要做好保密工作首先要清楚涉密信息泄漏的途径有哪些，只要有效的封堵了信息泄漏的途径就能够保证信息不泄漏，或者说能够有效防止涉密信息泄漏。关于信息泄漏途径总体看来就是三大类：主动泄密、无意失密和被窃密。
    主动泄密、无意失密的根源在于涉密单位内部，主要责任在于教育和管理，是保密知识、保密意识和保密制度执行问题。要封堵泄密和失密的途径不是一件容易的事，主要还是想办法提高涉密人员主观上的忠诚度和责任心并加强客观上的制度落实和管理工作。
    被窃密的根源来自涉密单位外部，主要责任在于技术防范措施不力或者措施执行不力。窃密活动往往目标性强，一旦成功危害巨大。而相对于泄密和失密，窃密的途径却相对容易切断。
    作为一个涉密网络，最基础的要求是与非涉密网络、互联网物理隔离，国家对物理隔离的环境有很具体的要求，其实也就从一个基础层面上保证了涉密网络发生外来攻击的概率很小。没有了外部攻击，网络的安全主要就集中在内部的泄密或失密上。
    2.2.3 为了保证能够充分的发挥技术的保障作用，很多网络在建设的过程中会大量的使用网络安全设备，在每个网络汇聚点安装防火墙、入侵检测系统；数据传输、保存全部加密；所有用户配置硬件加密Key；内网杀毒、监控、审计软件齐全；网络划分若干个Vlan等等。但从实际效果来看，过多的网络安全设备并不能起到加倍安全性的作用，反倒是因为多个网络设备参与网络数据交换导致运行效率降低，只能起到事倍功半的效果。根据风险评估指标，制定安全策略，才能真正有效的选择合适的安全产品，有效的避免投资浪费。
    2.2.4 移动介质的管理是网络安全的一个关键。移动介质的携带方便，价格低廉，靠人为的监督和管理不能够从根本上限制移动介质在工作场所的流动，技术手段是必不可少的工具。国家对涉密移动介质管理软件有专门的管理方法，软件必须经过专门部门的认证许可，软件安全性应该有较好的保证。功能性上比较看重移动介质的标识和保存数据的加密，移动介质标识后，应该保证不受认可的介质不能被系统中的计算机识别；数据加密，应该保证涉密介质只能在本系统中使用，遗失或被带出后不能被正常读取。
    2.2.5 打印控制是内网监控中所必需的功能，监控打印流量或文件名称，确实保证敏感信息不被非法打印。但根据保密的要求，打印内容应该不能够被监控系统保存，防止从另外一个角度上泄密。

    3、小结
    充分认识风险评估的重要性，做好经常性的自我风险评估，根据风险评估发现的系统安全薄弱点来制定相应的信息安全策略，是保障信息系统整体安全的重要环节。发挥技术人员的专业特长，做好信息系统的安全保障也是计算机系统管理人员的职责。但我们必须认识自己的不足，努力提高专业技术水平和保密意识，使工作更有效率、更见成效。

                                                                                                                                                                                                                    2008年4月28日
 

(责任编辑：)