【 摘 要 】 对等级保护工作中如何结合信息安全风险评估进行了有益的探索，为有效地支撑信息系统等级保护建设的顺利进行提供了参考。

【 关键词 】 信息安全；等级保护；风险评估

InformationSecurityHierarchyProtectionandRiskAssessment

Dai Lian-fen

（China Petroleum & Chemical Corporation Guangzhou BranchGuangdongGuangzhou 510725）

【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.

【 Keywords 】 information security;hierarchy protection;risk assessment

1 风险评估是等级保护建设工作的基础

等级保护测评中的差距分析是按照等保的所有要求进行符合性检查，检查信息系统现状与国家等保要求之间的符合程度。风险评估作为信息安全工作的一种重要技术手段，其目标是深入、详细地检查信息系统的安全风险状况，比差距分析结果在技术上更加深入。为此，等级保护与风险评估之间存在互为依托、互为补充的关系，等级保护是国家一项信息安全政策，而风险评估则是贯彻这项制度的方法和手段，在实施信息安全等级保护周期和层次中发挥着重要作用。

风险评估贯穿等级保护工作的整个流程，只是在不同阶段评估的内容和结果不一样。《信息系统安全等级保护实施指南》将等级保护基本流程分为三个阶段：定级，规划与设计，实施、等级评估与改进。在第一阶段中，风险评估的对象内容是资产评估，并在此基础上进行定级。在第二阶段中，主要是对信息系统可能面临的威胁和潜在的脆弱性进行评估，根据评估结果，综合平衡安全风险和成本，以及各系统特定安全需求，选择和调整安全措施，确定出关键业务系统、子系统和各类保护对象的安全措施。在第三个阶段中，则涉及评估系统是否满足相应的安全等级保护要求、评估系统的安全状况等，同时根据结果进行相应的改进。

等级保护所要完成的工作本质就是根据信息系统的特点和风险状况,对信息系统安全需求进行分级, 实施不同级别的保护措施。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级, 所以风险评估是等级保护的重要基础与依据。

2 等级保护建设过程中如何有效地结合风险评估

2.1 以风险评估中资产安全属性的重要度来划分信息系统等级

在公安部等四部局联合下发了《信息安全等级保护的实施意见》公通字2004第66号文中，根据信息和信息系统的重要程度，将信息和信息系统划分为了五个等级自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。实际上对信息系统的定级过程，也就是对信息资产的识别及赋值的过程。在国家的《信息系统安全等级保护定级指南》中，提出了对信息系统的定级依据，而这些依据基本的思想是根据信息资产的机密性、完整性和可用性重要程度来确定信息系统的安全等级，这正是风险评估中对信息资产进行识别并赋值的过程：对信息资产的机密性进行识别并赋值；对信息资产的完整性进行识别并赋值；对信息资产的可用性进行识别并赋值。从某种意义上来说，信息系统(不是信息)的安全等级划分，实际上也是对残余风险的接受和认可。

2.2 以风险评估中威胁程度来确定安全等级的要求

在等级保护中，对系统定级完成后，应按照信息系统的相应等级提出安全要求，安全要求实际上体现在信息系统在对抗威胁的能力与系统在被破坏后，恢复的速度与恢复的程度方面。而这些在风险评估中，则是对威胁的识别与赋值活动；脆弱性识别与赋值活动；安全措施的识别与确认活动。对于一个安全事件来说，是威胁利用了脆弱性所导致的，在没有威胁的情况下，信息系统的脆弱性不会自己导致安全事件的发生。所以对威胁的分析与识别是等级保护安全要求的基本前提，不同安全等级的信息系统应该能够对抗不同强度和时间长度的安全威胁。

2.3 以风险评估的结果作为等级保护建设的安全设计的依据

在确定信息系统的安全等级和进行风险评估后，应该根据安全等级的要求和风险评估的结果进行安全方案设计，而在安全方案设计中，首要的依据是风险评估的结果，特别是对威胁的识别，在一些不存在的威胁的情况下，对相应的脆弱性应该不予考虑，只作为残余风险来监控。对于两个等级相同的信息系统，由于所承载业务的不同，其信息的安全属性也可能不同，对于需要机密性保护的信息系统，和对于一个需要完整性保护的信息系统，保护的策略必须是不同，虽然它们可能有相同的安全等级，但是保护的方法则不应该是一样的。所以，安全设计首先应该以风险评估的结果作为依据，而将设计的结果与安全等级保护的要求相比较，对于需要保护的必须符合安全等级要求，而对于不需要保护的则可以暂不考虑安全等级的要求，而对于一些必须高于安全等级要求的，则必须依据风险评估的结果，进行相应高标准的设计。

3 结束语

风险评估为等级保护工作的开展提供基础数据，是等级保护定级、建设的实际出发点，通过安全风险评估，可以发现信息系统可能存在的安全风险，判断信息系统的安全状况与安全等级保护要求之间的差距，从而不断完善等级保护措施。文章对等级保护工作中如何结合信息安全风险评估进行了有益的探索，为有效地支撑计算机信息系统等级保护建设的顺利进行提供了参考。

参考文献

[1] 吴贤.信息安全等级保护和风险评估的关系研究.信息网络安全，2007.

[2] 冯登国,张阳,张玉清.信息安全风险评估综述.通信学报，2004.

作者简介：

戴莲芬，女，毕业于成都科技大学（现四川大学），本科学历，现供职于中石化广州分公司，计算机应用工程师；主要关注和研究领域：信息安全管理。