风险评估势在必行

时间: 2006-01-16 09:16:18    来自:中国计算机用户
 

  这日,某测评认证中心机房内,袁先生正与同事登陆上Internet,利用自主研发的远程渗透性检测技术,试图进入远程XX银行网络系统,以期检测XX银行网络系统是否存在的可利用漏洞。

  袁先生是该测评认证中心的主任,受央行委托,他正在对XX银行进行风险评估。所谓风险评估,是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。一直以来,企业对风险评估很少主动提出评估的需求,因为他们大多认识安全产品足以解决信息安全问题。此次,袁建军之所以能够为XX银行实施评估,是源于一项评估试点项目。

  两年走了三段路

  虽然我国企业对信息安全的重视程度越来越高,但对事前防范的认识还很低。因为他们没有意识到,信息安全的威胁来自于内部破坏、外部攻击、内外联合进行的破坏以及自然危害,必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资产进行分析,并依据风险评估的结果为信息系统选择有针对性的安全措施,才可规避、转移和降低风险,妥善应对可能发生的风险,并将风险控制在可接受的范围内。

  值得庆幸的是,国务院信息化工作办公室(以下简称国信办)非常重视风险评估工作。在20051216日在北京举办的《中国信息安全风险评估现状与展望高峰论坛》上,记者从中国信息协会信息安全专业委员会副主任吴亚非处获悉,国信办早在2年前就着手推广风险评估工作,并在3个月前开展了风险评估试点工作,目的是为了出台国家信息安全风险评估政策文件和标准,这些政策和标准将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。

  他介绍,我国信息安全风险评估工作始于20037月,历经了调研、标准编写和试点工作三个阶段。
2003
7月,国信办组织的课题组先后对四个地区(北京、广州、深圳和上海)十几个行业的50多家单位进行了深入细致的调查与研究,向国信办提交了《信息安全风险评估调查报告》和《信息安全风险评估研究报告》。

  20043月至20051月为标准编制阶段,根据国信办领导的指示,2004329日标信息安全风险评估标准编制工作正式启动,并于200410月先后完成了《信息安全风险评估指南》与《信息安全风险管理指南》的征求意见稿。

  20052月至9月为试点工作阶段。20052月,国信办选择人民银行、税务、电力、电子政务外网、北京市、上海市、黑龙江省和云南省8个部门地方约20多个单位启动了国家基础信息网络和重要信息系统风险评估试点工作。各试点单位参照《信息安全风险评估指南》及《信息安全风险管理指南》展开风险评估工作,并对两项标准草案进行了验证,提出了修订建议。

  评估指南即将出炉

  目前,《信息安全风险评估指南》已经过审议,预计2006年中,会有真正的标准将出台。之后,将是《信息安全风险管理指南》的落地,现在《信息安全风险管理指南》﹝征求意见稿﹞正在修改与完善之中。吴主任还补充道:这两个指南,都是从技术上规范了标准,但对从事评估工作的第三方服务机构并没有给出管理规范,今后,这方面的工作也会跟进。因为管理是非常重要的,技术的实现在很大程度上取决于管理,所以,未来也会出台一些规范第三方服务机构的标准措施。

  三年建立评估制度

  无独有偶,就在《中国信息安全风险评估现状与展望高峰论坛》举办的当日,国家网络信息安全与协调小组正式通过了《关于开展信息安全风险评估的若干意见》,2006年起开始,利用三年的时间,将在全国范围内对国家基础信息网络和重要信息系统建立风险评估制度。这意味着,风险评估已成为国家信息安全建设必走之路。

 

 

 
期期必出30码网站