安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目中的風(fēng)險(xiǎn)管理

1、安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目中的風(fēng)險(xiǎn)管理摘要：信息系統(tǒng)安全等級(jí)測(cè)評(píng)是等保工作的重要環(huán)節(jié)，等保測(cè)評(píng)工作的成果直接影響到等 級(jí)保護(hù)制度的落實(shí)及開展。目前等保測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)項(xiàng)目的開展過程中，會(huì)遇到各種各樣的 因素影響測(cè)評(píng)項(xiàng)目的實(shí)施。為了有效地開展等級(jí)保護(hù)測(cè)評(píng)工作，需要在項(xiàng)目實(shí)施過程中對(duì)其 所可能遇到的風(fēng)險(xiǎn)進(jìn)行管理。本文主要運(yùn)用風(fēng)險(xiǎn)管理方法，對(duì)測(cè)評(píng)活動(dòng)中的主要風(fēng)險(xiǎn)進(jìn)行分 析，通過分析在不同階段面臨的風(fēng)險(xiǎn)值，來評(píng)價(jià)各測(cè)評(píng)項(xiàng)目階段主要需要應(yīng)對(duì)的風(fēng)險(xiǎn)內(nèi)容， 并在此基礎(chǔ)上面提出了相應(yīng)的應(yīng)對(duì)措施。關(guān)鍵詞：等級(jí)保護(hù)；測(cè)評(píng)；風(fēng)險(xiǎn)管理；The risk management of Information security l

2、evel protection assessmentHu Hao(China Unicom System Integration Limited Corporation, Beijing 100032)Abstract : Assessment is an important part of Information system security level protection, the result directly affect the level protection system and developing the implementation. At present the ev

3、aluation institutions would meet various factors which affect assessment project implementation. In order to effectively develop level protection, the possible risk in project implementation process should be managed. This paper mainly with the application of risk management methods of assessment ac

4、tivities, the main risk analysis in different stages, by analyzing the risks of value, to evaluate the test project phase is needs to deal with risk content, and based on this, it puts forward the corresponding countermeasures.Key words : Information security level protection ,Assessment, Risk manag

5、ement0引言信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn) 信息化健康發(fā)展，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益的根本保障。信息安全等級(jí)保護(hù)測(cè)評(píng) 是等級(jí)保護(hù)工作的重要環(huán)節(jié)，信息系統(tǒng)備案單位通過開展等級(jí)測(cè)評(píng)，可以查找自身系統(tǒng)安全 隱患和薄弱環(huán)節(jié)，明確系統(tǒng)與相應(yīng)等級(jí)標(biāo)準(zhǔn)要求的差距和不足，有針對(duì)性地進(jìn)行安全建設(shè)整 改2 0等級(jí)測(cè)評(píng)工作對(duì)于測(cè)評(píng)機(jī)構(gòu)來說，測(cè)評(píng)風(fēng)險(xiǎn)是一個(gè)非常重要的概念。參考美國(guó)風(fēng)險(xiǎn)管理專家 CArther W川iams , Jr Rocjard M Heoms作出的風(fēng)險(xiǎn)定義，即“給定情況下的可能結(jié)果 的差異性”。也就是說，測(cè)評(píng)風(fēng)險(xiǎn)就是測(cè)評(píng)機(jī)構(gòu)通過控制自身

6、測(cè)評(píng)活動(dòng)所產(chǎn)生的測(cè)評(píng)結(jié)果差 異性網(wǎng)。而測(cè)評(píng)結(jié)果的差異性將直接影響到信息系統(tǒng)的安全性及等保測(cè)評(píng)工作的有效性上面，隨著等 級(jí)保護(hù)工作的開展，行業(yè)主管部門及被測(cè)評(píng)單位對(duì)于測(cè)評(píng)結(jié)果的準(zhǔn)確程度及測(cè)評(píng)過程中的風(fēng) 險(xiǎn)控制要求越來越嚴(yán)格。為了持續(xù)性的開展等保測(cè)評(píng)業(yè)務(wù)，測(cè)評(píng)項(xiàng)目工作中的風(fēng)險(xiǎn)控制將成 為測(cè)評(píng)機(jī)構(gòu)所面臨的重要任務(wù)。根據(jù)風(fēng)險(xiǎn)管理的定義：風(fēng)險(xiǎn)是指可能對(duì)目標(biāo)的實(shí)現(xiàn)產(chǎn)生影響的事件發(fā)生的不確定性。對(duì)企業(yè) 來說，風(fēng)險(xiǎn)是某種不利因素產(chǎn)生并造成實(shí)際損失，致使企業(yè)目標(biāo)無法實(shí)現(xiàn)或降低實(shí)現(xiàn)目標(biāo)的 效率的可能性。風(fēng)險(xiǎn)管理就是采取一定的措施對(duì)風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)價(jià)，使風(fēng)險(xiǎn)降到可以接受的 程度，并將其控制在某一可以接受的水平上。風(fēng)險(xiǎn)

7、管理是一個(gè)系統(tǒng)過程，包括風(fēng)險(xiǎn)的識(shí)別、 衡量和控制等環(huán)節(jié)；風(fēng)險(xiǎn)管理的目標(biāo)在于控制和減少損失，提高有關(guān)單位或個(gè)人的經(jīng)濟(jì)利益 或社會(huì)效果；風(fēng)險(xiǎn)管理是一種管理方法。本文主要運(yùn)用風(fēng)險(xiǎn)管理方法，對(duì)測(cè)評(píng)活動(dòng)中的主要風(fēng)險(xiǎn)進(jìn)行分析，并提出相應(yīng)的應(yīng)對(duì)措施測(cè)評(píng)項(xiàng)目風(fēng)險(xiǎn)識(shí)別等保測(cè)評(píng)工作存在風(fēng)險(xiǎn)，而測(cè)評(píng)風(fēng)險(xiǎn)是可以識(shí)別的，只有識(shí)別出測(cè)評(píng)風(fēng)險(xiǎn)，才能對(duì)風(fēng)險(xiǎn)加以 控制和防范。下文對(duì)在測(cè)評(píng)過程中，容易出現(xiàn)的主要風(fēng)險(xiǎn)進(jìn)行分析。有效性風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)是對(duì)客戶的信息系統(tǒng)進(jìn)行標(biāo)準(zhǔn)符合性評(píng)判，系統(tǒng)信息的采集、評(píng)價(jià)尤為重要，測(cè)評(píng) 結(jié)果的有效性、符合性與一致性直接關(guān)系測(cè)評(píng)機(jī)構(gòu)的服務(wù)質(zhì)量與信譽(yù)，關(guān)系到測(cè)評(píng)機(jī)構(gòu)的生 存和發(fā)展。在等級(jí)測(cè)評(píng)過程中首先要進(jìn)

8、行的是信息收集工作，在信息收集的過程中，經(jīng)常會(huì)存在信息收 集不完整、信息描述不準(zhǔn)確等問題，而不準(zhǔn)確的信息將會(huì)對(duì)測(cè)評(píng)方案編制工作中測(cè)評(píng)指標(biāo)及 測(cè)評(píng)對(duì)象的選擇帶來偏差。而在作業(yè)指導(dǎo)書的編制過程及現(xiàn)場(chǎng)測(cè)評(píng)中，不同工程師對(duì)標(biāo)準(zhǔn)要 求的理解也會(huì)影響到測(cè)評(píng)工作的有效性和準(zhǔn)確性。在報(bào)告編制過程中測(cè)評(píng)師對(duì)測(cè)評(píng)結(jié)果的分 析是否合理，對(duì)于測(cè)評(píng)結(jié)論的有效性也有較大影響。公正性風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)工作的結(jié)論對(duì)于國(guó)家等級(jí)保護(hù)體系及信息安全管理有著相當(dāng)重要的作用。同時(shí)，等 級(jí)測(cè)評(píng)的報(bào)告對(duì)于被測(cè)評(píng)單位的信息安全管理工作也有著比較重要的影響。因此，等級(jí)保護(hù) 測(cè)評(píng)報(bào)告的公正性是非常重要的，關(guān)系到測(cè)評(píng)機(jī)構(gòu)的信譽(yù)。在測(cè)評(píng)過程中，測(cè)評(píng)工程師

9、、測(cè)評(píng)機(jī)構(gòu)通常會(huì)受到市場(chǎng)競(jìng)爭(zhēng)壓力、測(cè)評(píng)機(jī)構(gòu)自身業(yè)務(wù)發(fā)展壓 力、被測(cè)評(píng)機(jī)構(gòu)合同及財(cái)務(wù)壓力等多方面的影響，從而導(dǎo)致測(cè)評(píng)結(jié)論的公正性問題。保密性風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)工作，要求測(cè)評(píng)機(jī)構(gòu)深入了解被測(cè)評(píng)系統(tǒng)的管理、技術(shù)及業(yè)務(wù)方面的信息。而這些 信息大部分涉及到企業(yè)或機(jī)構(gòu)的商業(yè)、工作秘密。如果測(cè)評(píng)工作中，測(cè)評(píng)機(jī)構(gòu)泄漏了檢測(cè)單 位的系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信 息，將會(huì)對(duì)檢測(cè)單位的信息系統(tǒng)帶來極大的安全問題。因此，保密性風(fēng)險(xiǎn)的控制，是測(cè)評(píng)工 作能夠順利開展的前提條件。在測(cè)評(píng)過程中，資料收集、現(xiàn)場(chǎng)測(cè)評(píng)記錄、編制報(bào)告等活動(dòng)都會(huì)使用到被測(cè)評(píng)單位系統(tǒng)相關(guān) 信息，在信息的使用和交

10、換過程中多存在著信息泄漏的風(fēng)險(xiǎn)。實(shí)施操作風(fēng)險(xiǎn)測(cè)評(píng)人員在客戶現(xiàn)場(chǎng)實(shí)施測(cè)評(píng)，是等級(jí)測(cè)評(píng)中的主要活動(dòng)，被測(cè)評(píng)單位生產(chǎn)現(xiàn)場(chǎng)環(huán)境復(fù)雜， 信息系統(tǒng)在網(wǎng)運(yùn)行。一旦在現(xiàn)場(chǎng)測(cè)評(píng)的過程中，發(fā)生信息安全問題，將會(huì)對(duì)被測(cè)評(píng)方的信息 系統(tǒng)帶來比較嚴(yán)重的損害，有可能會(huì)造成系統(tǒng)中斷、數(shù)據(jù)丟失等。嚴(yán)重的可能帶來經(jīng)濟(jì)方面 的損失。因此，現(xiàn)場(chǎng)測(cè)評(píng)的安全風(fēng)險(xiǎn)規(guī)避是測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)重視和研究的重要問題。上一頁1 2下一頁在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測(cè)試工作，部分測(cè)試內(nèi)容需要上機(jī)查看一 些信息，這就可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。同時(shí)，在測(cè)評(píng)過 程中，會(huì)使用一些技術(shù)測(cè)評(píng)工具進(jìn)行漏洞掃描測(cè)試、性能測(cè)試甚至抗?jié)B透能力測(cè)試。測(cè)試可 能會(huì)對(duì)系統(tǒng)的負(fù)載造成一定的影響，漏洞掃描測(cè)試和