摘 要 信息技术的发展和互联网应用的普及，让网络和信息系统面临着前所未有的潜在威胁和信息安全风险。2013年，维基解密网站披露了美国“棱镜计划”，网络监听事件使美国陷入“外交风暴”。 同年，微软公司发布了一款Windows XP操作系统“死亡倒计时工具”，并宣布对Windows XP的更新支持将在2014年4月8日停止。2014年2月，中央网络安全和信息化领导小组成立，体现了党中央全面深化改革的意志和保障网络安全的决心。文章围绕中央网络安全和信息化领导小组战略部署，主要阐述了信息系统风险评估对网络和信息安全的重要意义。

关键词 信息系统；风险评估；网络；信息安全；意义

中图分类号：TP311 文献标识码：A 文章编号：1671-7597（2014）04-0166-01

“十二五”规划实施以来，经济持续快速增长，信息化建设稳步推进，网络和信息系统高速发展。然而，网络和信息系统风险对国家安全、公共安全和社会稳定构成了严重威胁。2013年11月，党的十八届三中全会决定设立国家安全委员会，完善国家安全体制和国家安全战略。在2014年3月召开的全国“两会”上，人大代表和政协委员纷纷为网络和信息安全建言献策，网络和信息安全再一次提升到国家安全和社会稳定的政治高度。

1 信息系统风险评估

风险，指遭受损失、伤害、毁灭的可能性。风险是由于非行为主体可控因素，使得这些因素被外力利用而造成的损失。在信息安全领域，指由于信息系统的脆弱性，人为或自然威胁导致安全事件发生的可能性及其造成的影响。信息系统风险评估是识别并判断信息系统面临风险的过程。风险评估是一个结合技术手段，为识别管理问题、制定管理策略服务的系统工程；是以威胁为出发点，结合系统脆弱性判断的评估过程；是周期性了解安全风险，采取相应安全控制措施的前提。它为降低网络风险、实施风险管理和控制提供了重要依据。风险评估是加强信息安全保障体系建设和管理的关键环节，是发现信息安全存在问题，找到解决方案的有效手段。

2 信息系统安全现状

信息系统涉及社会经济方方面面，在政务和商务领域发挥了重要作用，信息安全问题不单是一个局部性和技术性问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计，某省会城市各大机关、企事业单位中，有10%的单位出现过信息系统不稳定运行情况；有30%的单位出现过来自网络、非法入侵等方面的攻击；出现过信息安全问题的单位比例高达86%！缺少信息安全建设专项资金，信息安全专业人才缺乏，应急响应体系和信息安全测评机构尚未组建，存在着“重建设、轻管理，重应用、轻安全”的现象，已成为亟待解决的问题。

各部门对信息系统风险评估的重视程度与其信息化水平呈现正比，即信息化水平越高，对风险评估越重视。然而，由于地区差异和行业发展不平衡，各部门重视风险评估的一个重要原因是“安全事件驱动”，即“不出事不重视”，真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善，真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试，由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一，甚至出现对同一个信息系统，不同评估单位得出不同评估结论的案例。

3 国家信息安全战略部署

2014年2月，中央网络安全和信息化领导小组成立并召开第一次会议。做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。

4 信息系统风险评估的重要意义

4.1 确诊风险，对症下药

信息系统风险是客观存在的，也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大，应该采取什么样的措施去减少、化解和规避风险？就像人的躯体有健康和疾病，设备状况有正常和故障，粮食质量有营养和变质，如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁，就需要进行风险评估。

4.2 夯实安全根基，巩固信息大厦

信息系统建设之初就存在安全问题，好比高楼大厦建在流沙之上，地基不固，楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基，它可以帮助信息系统管理者了解潜在威胁，合理利用现有资源开展规划建设，让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资，达到“以最小成本获得最大安全保障”的效果。

4.3 信息安全管理的“利器”

信息安全的一大特点就是看不见摸不着就“中招”，如病毒攻击、黑客入侵、网络泄密等，在不知不觉中就已经遭受了重大损失。信息安全是高科技较量，没有科学的方法和手段，很难全面发现潜在的问题和威胁。“工欲善其事，必先利其器。”风险评估便是信息安全管理的“利器”。

4.4 寻求适度安全和建设成本的最佳平衡点

安全是相对的，成本是有限的。在市场经济高度发达的今天，信息系统建设要达到预期经济效益和社会效益，就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账，让我们认清信息系统面临的威胁和风险，在此基础上决定哪些风险必须规避，哪些风险可以容忍，以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点，力求达到预期效益的最大化。

4.5 既要借鉴先进经验，又要重视预警防范

没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术。风险评估是信息化发达国家的重要经验。1995年英国标准协会提出《信息安全管理实施细则》BS7799，2000年，BS7799通过国际标准化组织ISO认可并成为国际标准。2002年美国颁布《联邦信息系统安全认证和认可指南》，为信息系统风险评估提供了政策和技术支持。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用，亦须知其锋芒与瑕疵，加强预警防范与借鉴先进技术同样重要。

参考文献

[1]ISO/IEC 17799：2005信息安全管理实施指南.

[2]GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则.

[3]GB/T 19716-2005信息技术 信息安全管理实用规则.

作者简介

赵可（1981-），男，山东济南人，工程师，学士学位，研究方向：计算机网络和信息系统管理。endprint