冬日的一天,某测评认证中心机房内,袁先生正与同事登陆上Internet,利用自主研发的远程渗透性检测技术,试图远程进入一家银行网络系统,以期检测这家银行网络系统是否存在可利用的漏洞。
冬日的一天,某测评认证中心机房内,袁先生正与同事登陆上Internet,利用自主研发的远程渗透性检测技术,试图远程进入一家银行网络系统,以期检测这家银行网络系统是否存在可利用的漏洞。
袁先生是该测评认证中心的主任,受央行委托,他正在对这家银行进行风险评估。所谓风险评估,是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。一直以来,企业对风险评估很少主动提出评估的需求,因为他们大多认为安全产品足以解决信息安全问题。此次,袁先生之所以能够为XX银行实施评估,是源于一项国务院信息化工作办公室(以下简称国信办)评估试点项目。
走了三段路
虽然我国企业对信息安全的重视程度越来越高,但对事前防范的认识还很低。因为他们没有意识到,信息安全的威胁来自于内部破坏、外部攻击、内外联合进行的破坏以及自然危害,必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资产进行分析,并依据风险评估的结果为信息系统选择有针对性的安全措施,以将风险控制在可接受的范围内。
值得庆幸的是,国信办非常重视风险评估工作。在2005年12月16日在北京举办的《中国信息安全风险评估现状与展望高峰论坛》上,记者从中国信息协会信息安全专业委员会副主任吴亚非处获悉,国信办早在2年前就着手推广风险评估工作,并在3个月前开展了风险评估试点工作,目的是为了出台国家信息安全风险评估政策文件和标准,这些政策和标准将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。
他介绍,“我国信息安全风险评估工作始于2003年7月,历经了调研、标准编写和试点工作三个阶段。”
2003年7月,国信办组织的课题组先后对四个地区十几个行业的50多家单位进行了深入细致的调查与研究,向国信办提交了《信息安全风险评估调查报告》和《信息安全风险评估研究报告》。
2004年3月29日,信息安全风险评估标准编制工作正式启动,并于2004年10月先后完成了《信息安全风险评估指南》与《信息安全风险管理指南》的征求意见稿。
2005年2月,国信办选择人民银行、税务、电力、电子政务外网、北京市、上海市、黑龙江省和云南省8个部门地方约20多个单位启动了国家基础信息网络和重要信息系统风险评估试点工作。各试点单位参照两个指南展开风险评估试点工作,并对其进行了验证,提出了修订建议。
“评估指南”即将出炉
“目前,《信息安全风险评估指南》已经过审议,预计2006年中期,会有真正的标准出台。之后,将是《信息安全风险管理指南》的落地,现在《信息安全风险管理指南》征求意见稿正在修改与完善之中。”吴主任还补充道:“这两个指南,都是从技术上规范了标准,但对从事评估工作的第三方服务机构并没有给出管理规范,今后,这方面的工作也会跟进。因为管理是非常重要的,技术的实现在很大程度上取决于管理,所以,未来也会出台一些规范第三方服务机构的标准措施。”
我国要建评估制度
事有凑巧,就在《中国信息安全风险评估现状与展望高峰论坛》举办的当日,国家网络与信息安全协调领导小组正式通过了《关于开展信息安全风险评估的若干意见》,并宣布2006年起,利用三年的时间,将在全国范围内对国家基础信息网络和重要信息系统建立风险评估制度。这意味着,风险评估已成为国家信息安全建设必走之路。
网友评论