風(fēng)險評估機(jī)制和手段的引入使得信息網(wǎng)絡(luò)安全體系具有了反饋控制和快速反應(yīng)能力。下面讓我們來看一下專家是如何看待網(wǎng)絡(luò)風(fēng)險評估的：

信息安全是一個相對的概念

1.我們知道網(wǎng)絡(luò)是一個特殊的質(zhì)管實體，信息安全既有相對性的屬性又有動態(tài)性的特征，如何看待網(wǎng)絡(luò)上存在的安全問題？

對于信息網(wǎng)絡(luò)而言，目前看來在設(shè)計或建設(shè)階段尚不能滿足絕對安全的需要，因此，其“免疫力”的后天形成機(jī)制，決定了安全風(fēng)險評估是系統(tǒng)全生存周期中不可或缺的重要環(huán)節(jié)?，F(xiàn)在的互聯(lián)網(wǎng)絡(luò)通常被認(rèn)為存在五類基本安全問題：協(xié)同與信任的矛盾，有效性與安全性的矛盾，實時性與完全性的矛盾，網(wǎng)絡(luò)的擴(kuò)張性帶來的不確定性以及網(wǎng)絡(luò)的互聯(lián)互通性造成的“短板效應(yīng)”。

同時，網(wǎng)絡(luò)安全問題又具有很強(qiáng)的動態(tài)特征，即使在網(wǎng)絡(luò)建設(shè)初期達(dá)到了某種設(shè)定的安全指標(biāo)，但隨著網(wǎng)絡(luò)設(shè)備的升級、網(wǎng)絡(luò)服務(wù)的增加以及應(yīng)用系統(tǒng)的更新，特別是五花八門的各種“入侵手段”也在發(fā)展之中，安全威脅會伴隨網(wǎng)絡(luò)應(yīng)用的全過程，現(xiàn)在還看不出有一勞永逸解決問題的可能。

2.加強(qiáng)信息網(wǎng)絡(luò)安全風(fēng)險評估，對彌補(bǔ)網(wǎng)絡(luò)“先天不足”，提高防范能力有什么促進(jìn)作用？

如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風(fēng)險有多大、影響程度如何，加強(qiáng)信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財力和物力，要如何改進(jìn)、完善、提高和發(fā)展相關(guān)的技術(shù)手段；確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級進(jìn)行安全建設(shè)和管理的依據(jù)等一系列具體問題。

風(fēng)險評估是解決上述問題的重要前提和基礎(chǔ)性工作。一般來說，系統(tǒng)的安全性可通過風(fēng)險大小來度量,科學(xué)地分析系統(tǒng)在保密性、完整性、可用性、可擴(kuò)展性等方面所面臨的威脅，及時地發(fā)現(xiàn)系統(tǒng)安全的主要問題和矛盾，就能夠在安全風(fēng)險的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散之間做出實時適當(dāng)?shù)臎Q策或抉擇，最大程度地提高亡羊補(bǔ)牢的速度和效果。

正確認(rèn)識網(wǎng)絡(luò)安全風(fēng)險評估

1.當(dāng)前，加強(qiáng)信息網(wǎng)絡(luò)風(fēng)險評估面臨的主要障礙是什么？

主要還是思想認(rèn)識上的障礙。目前，在網(wǎng)絡(luò)安全風(fēng)險評估方面主要存在以下4種認(rèn)識誤區(qū)：

一是“怕?lián)?zé)任”，一些單位的領(lǐng)導(dǎo)害怕風(fēng)險評估暴露本單位信息安全管理中的問題，更害怕責(zé)任追究制度，不是防患于未然，而是防不出事于未然，防不出通報于未然。

二是“怕找麻煩”，有的單位擔(dān)心在進(jìn)行安全風(fēng)險評估過程中發(fā)現(xiàn)問題后要對網(wǎng)絡(luò)系統(tǒng)和使用習(xí)慣進(jìn)行改造或修正，由此可能會出現(xiàn)應(yīng)用系統(tǒng)工作不穩(wěn)定或業(yè)務(wù)流程變化影響到方方面面的工作；有的擔(dān)心如果增加新的技術(shù)系統(tǒng)或裝置可能會引入新的安全風(fēng)險。

三是“感覺良好”，片面聽信一些設(shè)備供應(yīng)商夸張性的廣告宣傳，主觀地認(rèn)為本單位防范系統(tǒng)已是“銅墻鐵壁”，缺少按評估體系科學(xué)辦事的精神。

四是“諱疾忌醫(yī)”，把安全評估當(dāng)作“找茬”、“找麻煩”，拒絕進(jìn)行正規(guī)的安全評估；個別單位的領(lǐng)導(dǎo)、人員在出現(xiàn)安全問題后，甚至有組織地涂改系統(tǒng)日志信息、更換硬盤或消除歷史痕跡，試圖掩蓋問題，而全然不顧可能存在著的更大風(fēng)險。這種行為屬于惡意違規(guī)蓄意犯法，在法律和紀(jì)律處理層面應(yīng)當(dāng)罪加一等、嚴(yán)懲不貸。

2.加強(qiáng)信息網(wǎng)絡(luò)安全風(fēng)險評估應(yīng)確立什么樣的工作指導(dǎo)思想？

一句話，從系統(tǒng)著眼，從細(xì)節(jié)入手。從系統(tǒng)的角度看，信息安全風(fēng)險評估有助于軍隊信息化建設(shè)的有序開展，促進(jìn)信息安全保障體系的完善，提高信息系統(tǒng)的安全防護(hù)能力。其目的是，借助科學(xué)的評估體系和技術(shù)方法，弄清本單位信息安全的基本態(tài)勢和網(wǎng)絡(luò)環(huán)境安全狀況，及時采取或完善安全保障措施，確保信息安全策略和方針在常態(tài)化中得到貫徹與執(zhí)行。從細(xì)節(jié)的角度看，必須突出重點。要加快法制建設(shè)和技術(shù)標(biāo)準(zhǔn)建設(shè)，加強(qiáng)風(fēng)險評估核心技術(shù)研究與攻關(guān)，加強(qiáng)信息安全風(fēng)險意識的宣傳教育，普及信息安全風(fēng)險評估知識，加快培養(yǎng)信息安全風(fēng)險評估的專門人才。

構(gòu)建網(wǎng)絡(luò)安全風(fēng)險評估機(jī)制

1.加強(qiáng)我軍信息安全風(fēng)險的著力點是什么？

關(guān)鍵是要建立和完善信息安全風(fēng)險評估機(jī)制，也就是要構(gòu)建一個“發(fā)現(xiàn)隱患、制定對策、提升強(qiáng)度、效果認(rèn)證”的閉環(huán)式、反饋型、非線性的評估系統(tǒng)。同時，信息網(wǎng)絡(luò)在建設(shè)規(guī)劃階段必須進(jìn)行風(fēng)險評估以確定系統(tǒng)的安全目標(biāo)；在工程驗收階段一定要進(jìn)行效果認(rèn)證和風(fēng)險再評估以判定系統(tǒng)的安全目標(biāo)達(dá)成與否；在運(yùn)行維護(hù)階段要針對安全形勢和問題，進(jìn)行制度化的風(fēng)險評估工作，以確定安全措施的有效性和決定是否采取隔離或?qū)嵤┥壭袆?，以確保安全保障態(tài)勢始終維持在期望的目標(biāo)水平之上。

2.如何從制度層面保障我軍信息網(wǎng)絡(luò)安全風(fēng)險評估機(jī)制的落實？

從總體上講，要加強(qiáng)信息網(wǎng)絡(luò)安全風(fēng)險評估的組織領(lǐng)導(dǎo)，建議在全軍保密委之下成立信息安全管理專門委員會，統(tǒng)籌規(guī)劃、創(chuàng)新手段，強(qiáng)化風(fēng)險評估的各項機(jī)制，監(jiān)督各項制度措施的落實，及時反饋各種相關(guān)信息。從個體上講，每個人都要樹立正確的風(fēng)險防范意識，正確區(qū)分違規(guī)行為和網(wǎng)絡(luò)安全事件，對于嚴(yán)格按規(guī)定操作而遭到網(wǎng)絡(luò)攻擊的情形，應(yīng)及時上報，人人都要成為網(wǎng)絡(luò)信息安全的“探測器”、系統(tǒng)漏洞的“挖掘器”。及時上報安全漏洞應(yīng)當(dāng)常態(tài)化制度化，現(xiàn)階段給予適當(dāng)形式的鼓勵有利于形成必要的氛圍。

對于謊報、瞞報，甚至消除上網(wǎng)痕跡、掩蓋網(wǎng)絡(luò)漏洞的，應(yīng)視為嚴(yán)重違規(guī)行為，要嚴(yán)懲不貸；對惡意消除辦公計算機(jī)歷史信息，故意破壞日志信息完整性的，應(yīng)該按照故意泄密行為從重處分。同時，還要加強(qiáng)軍事信息安全的法制化建設(shè)，通過常態(tài)化的風(fēng)險評估來對我軍信息安全的相關(guān)制度進(jìn)行修訂，核心技術(shù)進(jìn)行研發(fā)，評價標(biāo)準(zhǔn)進(jìn)行升級，全方位地提高安全風(fēng)險評估機(jī)制對軍隊信息化建設(shè)的保障和支撐作用。

網(wǎng)絡(luò)安全需要完善的風(fēng)險評估機(jī)制和健全的技術(shù)手段，因為它能能從體系上保障或支撐我軍信息化建設(shè)的有序展開，不斷提高建網(wǎng)、用網(wǎng)和管網(wǎng)的水平。

【編輯推薦】

1. 天融信網(wǎng)絡(luò)安全準(zhǔn)入解決方案
2. 網(wǎng)絡(luò)安全的軍事化不可取
3. 大量黑客被招募 專門從事美國信息安全項目
4. 一個網(wǎng)絡(luò)安全從業(yè)者講述十年工作感悟
5. 網(wǎng)絡(luò)安全技術(shù)討論：黑客與白帽的較量