風(fēng)險(xiǎn)評(píng)估機(jī)制和手段的引入使得信息網(wǎng)絡(luò)安全體系具有了反饋控制和快速反應(yīng)能力。下面讓我們來(lái)看一下專家是如何看待網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的：

信息安全是一個(gè)相對(duì)的概念

1.我們知道網(wǎng)絡(luò)是一個(gè)特殊的質(zhì)管實(shí)體，信息安全既有相對(duì)性的屬性又有動(dòng)態(tài)性的特征，如何看待網(wǎng)絡(luò)上存在的安全問(wèn)題？

對(duì)于信息網(wǎng)絡(luò)而言，目前看來(lái)在設(shè)計(jì)或建設(shè)階段尚不能滿足絕對(duì)安全的需要，因此，其“免疫力”的后天形成機(jī)制，決定了安全風(fēng)險(xiǎn)評(píng)估是系統(tǒng)全生存周期中不可或缺的重要環(huán)節(jié)?，F(xiàn)在的互聯(lián)網(wǎng)絡(luò)通常被認(rèn)為存在五類基本安全問(wèn)題：協(xié)同與信任的矛盾，有效性與安全性的矛盾，實(shí)時(shí)性與完全性的矛盾，網(wǎng)絡(luò)的擴(kuò)張性帶來(lái)的不確定性以及網(wǎng)絡(luò)的互聯(lián)互通性造成的“短板效應(yīng)”。

同時(shí)，網(wǎng)絡(luò)安全問(wèn)題又具有很強(qiáng)的動(dòng)態(tài)特征，即使在網(wǎng)絡(luò)建設(shè)初期達(dá)到了某種設(shè)定的安全指標(biāo)，但隨著網(wǎng)絡(luò)設(shè)備的升級(jí)、網(wǎng)絡(luò)服務(wù)的增加以及應(yīng)用系統(tǒng)的更新，特別是五花八門的各種“入侵手段”也在發(fā)展之中，安全威脅會(huì)伴隨網(wǎng)絡(luò)應(yīng)用的全過(guò)程，現(xiàn)在還看不出有一勞永逸解決問(wèn)題的可能。

2.加強(qiáng)信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，對(duì)彌補(bǔ)網(wǎng)絡(luò)“先天不足”，提高防范能力有什么促進(jìn)作用？

如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度、分析安全威脅來(lái)自何方、安全風(fēng)險(xiǎn)有多大、影響程度如何，加強(qiáng)信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財(cái)力和物力，要如何改進(jìn)、完善、提高和發(fā)展相關(guān)的技術(shù)手段；確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級(jí)進(jìn)行安全建設(shè)和管理的依據(jù)等一系列具體問(wèn)題。

風(fēng)險(xiǎn)評(píng)估是解決上述問(wèn)題的重要前提和基礎(chǔ)性工作。一般來(lái)說(shuō)，系統(tǒng)的安全性可通過(guò)風(fēng)險(xiǎn)大小來(lái)度量,科學(xué)地分析系統(tǒng)在保密性、完整性、可用性、可擴(kuò)展性等方面所面臨的威脅，及時(shí)地發(fā)現(xiàn)系統(tǒng)安全的主要問(wèn)題和矛盾，就能夠在安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散之間做出實(shí)時(shí)適當(dāng)?shù)臎Q策或抉擇，最大程度地提高亡羊補(bǔ)牢的速度和效果。

正確認(rèn)識(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

1.當(dāng)前，加強(qiáng)信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估面臨的主要障礙是什么？

主要還是思想認(rèn)識(shí)上的障礙。目前，在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方面主要存在以下4種認(rèn)識(shí)誤區(qū)：

一是“怕?lián)?zé)任”，一些單位的領(lǐng)導(dǎo)害怕風(fēng)險(xiǎn)評(píng)估暴露本單位信息安全管理中的問(wèn)題，更害怕責(zé)任追究制度，不是防患于未然，而是防不出事于未然，防不出通報(bào)于未然。

二是“怕找麻煩”，有的單位擔(dān)心在進(jìn)行安全風(fēng)險(xiǎn)評(píng)估過(guò)程中發(fā)現(xiàn)問(wèn)題后要對(duì)網(wǎng)絡(luò)系統(tǒng)和使用習(xí)慣進(jìn)行改造或修正，由此可能會(huì)出現(xiàn)應(yīng)用系統(tǒng)工作不穩(wěn)定或業(yè)務(wù)流程變化影響到方方面面的工作；有的擔(dān)心如果增加新的技術(shù)系統(tǒng)或裝置可能會(huì)引入新的安全風(fēng)險(xiǎn)。

三是“感覺(jué)良好”，片面聽(tīng)信一些設(shè)備供應(yīng)商夸張性的廣告宣傳，主觀地認(rèn)為本單位防范系統(tǒng)已是“銅墻鐵壁”，缺少按評(píng)估體系科學(xué)辦事的精神。

四是“諱疾忌醫(yī)”，把安全評(píng)估當(dāng)作“找茬”、“找麻煩”，拒絕進(jìn)行正規(guī)的安全評(píng)估；個(gè)別單位的領(lǐng)導(dǎo)、人員在出現(xiàn)安全問(wèn)題后，甚至有組織地涂改系統(tǒng)日志信息、更換硬盤或消除歷史痕跡，試圖掩蓋問(wèn)題，而全然不顧可能存在著的更大風(fēng)險(xiǎn)。這種行為屬于惡意違規(guī)蓄意犯法，在法律和紀(jì)律處理層面應(yīng)當(dāng)罪加一等、嚴(yán)懲不貸。

2.加強(qiáng)信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估應(yīng)確立什么樣的工作指導(dǎo)思想？

一句話，從系統(tǒng)著眼，從細(xì)節(jié)入手。從系統(tǒng)的角度看，信息安全風(fēng)險(xiǎn)評(píng)估有助于軍隊(duì)信息化建設(shè)的有序開(kāi)展，促進(jìn)信息安全保障體系的完善，提高信息系統(tǒng)的安全防護(hù)能力。其目的是，借助科學(xué)的評(píng)估體系和技術(shù)方法，弄清本單位信息安全的基本態(tài)勢(shì)和網(wǎng)絡(luò)環(huán)境安全狀況，及時(shí)采取或完善安全保障措施，確保信息安全策略和方針在常態(tài)化中得到貫徹與執(zhí)行。從細(xì)節(jié)的角度看，必須突出重點(diǎn)。要加快法制建設(shè)和技術(shù)標(biāo)準(zhǔn)建設(shè)，加強(qiáng)風(fēng)險(xiǎn)評(píng)估核心技術(shù)研究與攻關(guān)，加強(qiáng)信息安全風(fēng)險(xiǎn)意識(shí)的宣傳教育，普及信息安全風(fēng)險(xiǎn)評(píng)估知識(shí)，加快培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估的專門人才。

構(gòu)建網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估機(jī)制

1.加強(qiáng)我軍信息安全風(fēng)險(xiǎn)的著力點(diǎn)是什么？

關(guān)鍵是要建立和完善信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，也就是要構(gòu)建一個(gè)“發(fā)現(xiàn)隱患、制定對(duì)策、提升強(qiáng)度、效果認(rèn)證”的閉環(huán)式、反饋型、非線性的評(píng)估系統(tǒng)。同時(shí)，信息網(wǎng)絡(luò)在建設(shè)規(guī)劃階段必須進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)；在工程驗(yàn)收階段一定要進(jìn)行效果認(rèn)證和風(fēng)險(xiǎn)再評(píng)估以判定系統(tǒng)的安全目標(biāo)達(dá)成與否；在運(yùn)行維護(hù)階段要針對(duì)安全形勢(shì)和問(wèn)題，進(jìn)行制度化的風(fēng)險(xiǎn)評(píng)估工作，以確定安全措施的有效性和決定是否采取隔離或?qū)嵤┥?jí)行動(dòng)，以確保安全保障態(tài)勢(shì)始終維持在期望的目標(biāo)水平之上。

2.如何從制度層面保障我軍信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估機(jī)制的落實(shí)？

從總體上講，要加強(qiáng)信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的組織領(lǐng)導(dǎo)，建議在全軍保密委之下成立信息安全管理專門委員會(huì)，統(tǒng)籌規(guī)劃、創(chuàng)新手段，強(qiáng)化風(fēng)險(xiǎn)評(píng)估的各項(xiàng)機(jī)制，監(jiān)督各項(xiàng)制度措施的落實(shí)，及時(shí)反饋各種相關(guān)信息。從個(gè)體上講，每個(gè)人都要樹(shù)立正確的風(fēng)險(xiǎn)防范意識(shí)，正確區(qū)分違規(guī)行為和網(wǎng)絡(luò)安全事件，對(duì)于嚴(yán)格按規(guī)定操作而遭到網(wǎng)絡(luò)攻擊的情形，應(yīng)及時(shí)上報(bào)，人人都要成為網(wǎng)絡(luò)信息安全的“探測(cè)器”、系統(tǒng)漏洞的“挖掘器”。及時(shí)上報(bào)安全漏洞應(yīng)當(dāng)常態(tài)化制度化，現(xiàn)階段給予適當(dāng)形式的鼓勵(lì)有利于形成必要的氛圍。

對(duì)于謊報(bào)、瞞報(bào)，甚至消除上網(wǎng)痕跡、掩蓋網(wǎng)絡(luò)漏洞的，應(yīng)視為嚴(yán)重違規(guī)行為，要嚴(yán)懲不貸；對(duì)惡意消除辦公計(jì)算機(jī)歷史信息，故意破壞日志信息完整性的，應(yīng)該按照故意泄密行為從重處分。同時(shí)，還要加強(qiáng)軍事信息安全的法制化建設(shè)，通過(guò)常態(tài)化的風(fēng)險(xiǎn)評(píng)估來(lái)對(duì)我軍信息安全的相關(guān)制度進(jìn)行修訂，核心技術(shù)進(jìn)行研發(fā)，評(píng)價(jià)標(biāo)準(zhǔn)進(jìn)行升級(jí)，全方位地提高安全風(fēng)險(xiǎn)評(píng)估機(jī)制對(duì)軍隊(duì)信息化建設(shè)的保障和支撐作用。

網(wǎng)絡(luò)安全需要完善的風(fēng)險(xiǎn)評(píng)估機(jī)制和健全的技術(shù)手段，因?yàn)樗苣軓捏w系上保障或支撐我軍信息化建設(shè)的有序展開(kāi)，不斷提高建網(wǎng)、用網(wǎng)和管網(wǎng)的水平。

【編輯推薦】

1. 天融信網(wǎng)絡(luò)安全準(zhǔn)入解決方案
2. 網(wǎng)絡(luò)安全的軍事化不可取
3. 大量黑客被招募 專門從事美國(guó)信息安全項(xiàng)目
4. 一個(gè)網(wǎng)絡(luò)安全從業(yè)者講述十年工作感悟
5. 網(wǎng)絡(luò)安全技術(shù)討論：黑客與白帽的較量