风险评估机制和手段的引入使得信息网络安全体系具有了反馈控制和快速反应能力。下面让我们来看一下专家是如何看待网络风险评估的:
信息安全是一个相对的概念
1.我们知道网络是一个特殊的质管实体,信息安全既有相对性的属性又有动态性的特征,如何看待网络上存在的安全问题?
对于信息网络而言,目前看来在设计或建设阶段尚不能满足绝 对安全的需要,因此,其“免疫力”的后天形成机制,决定了安全风险评估是系统全生存周期中不可或缺的重要环节。现在的互联网络通常被认为存在五类基本安全问题:协同与信任的矛盾,有效性与安全性的矛盾,实时性与完全性的矛盾,网络的扩张性带来的不确定性以及网络的互联互通性造成的“短板效应”。
同时,网络安全问题又具有很强的动态特征,即使在网络建设初期达到了某种设定的安全指标,但随着网络设备的升级、网络服务的增加以及应用系统的更新,特别是五花八门的各种“入侵手段”也在发展之中,安全威胁会伴随网络应用的全过程,现在还看不出有一劳永逸解决问题的可能。
2.加强信息网络安全风险评估,对弥补网络“先天不足”,提高防范能力有什么促进作用?
如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大、影响程度如何,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,要如何改进、完善、提高和发展相关的技术手段;确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。
风险评估是解决上述问题的重要前提和基础性工作。一般来说,系统的安全性可通过风险大小来度量,科学地分析系统在保密性、完整性、可用性、可扩展性等方面所面临的威胁,及时地发现系统安全的主要问题和矛盾,就能够在安全风险的预防、减少、转移、补偿和分散之间做出实时适当的决策或抉择,较大程度地提高亡羊补牢的速度和效果。
正确认识网络安全风险评估
1.当前,加强信息网络风险评估面临的主要障碍是什么?
主要还是思想认识上的障碍。目前,在网络安全风险评估方面主要存在以下4种认识误区:
一是“怕担责任”,一些单位的领导害怕风险评估暴露本单位信息安全管理中的问题,更害怕责任追究制度,不是防患于未然,而是防不出事于未然,防不出通报于未然。
二是“怕找麻烦”,有的单位担心在进行安全风险评估过程中发现问题后要对网络系统和使用习惯进行改造或修正,由此可能会出现应用系统工作不稳定或业务流程变化影响到方方面面的工作;有的担心如果增加新的技术系统或装置可能会引入新的安全风险。
三是“感觉良好”,片面听信一些设备供应商夸张性的广告宣传,主观地认为本单位防范系统已是“铜墙铁壁”,缺少按评估体系科学办事的精神。
四是“讳疾忌医”,把安全评估当作“找茬”、“找麻烦”,拒绝进行正规的安全评估;个别单位的领导、人员在出现安全问题后,甚至有组织地涂改系统日志信息、更换硬盘或消除历史痕迹,试图掩盖问题,而全然不顾可能存在着的更大风险。这种行为属于恶意违规蓄意犯法,在法律和纪律处理层面应当罪加一等、严惩不贷。
2.加强信息网络安全风险评估应确立什么样的工作指导思想?
一句话,从系统着眼,从细节入手。从系统的角度看,信息安全风险评估有助于军队信息化建设的有序开展,促进信息安全保障体系的完善,提高信息系统的安全防护能力。其目的是,借助科学的评估体系和技术方法,弄清本单位信息安全的基本态势和网络环境安全状况,及时采取或完善安全保障措施,确保信息安全策略和方针在常态化中得到贯彻与执行。从细节的角度看,必须突出重点。要加快法制建设和技术标准建设,加强风险评估核心技术研究与攻关,加强信息安全风险意识的宣传教育,普及信息安全风险评估知识,加快培养信息安全风险评估的专门人才。
网络安全需要完善的风险评估机制和健全的技术手段,因为它能能从体系上保障或支撑我军信息化建设的有序展开,不断提高建网、用网和管网的水平。