浅谈基于业务的信息安全等级保护风险评估方法 文章摘要：文章通过对组织业务进行分析，根据组织的业务识别出重要的资产，提出一 种基于业务的信息资产识别和评估方法，为等级保护的定级、测评和整改等工作提供科学的 参考依据。 1引言 伴随着信息技术的发展和信息时代的到来，信息系统在国家的政治、军事和经济领域的 广泛应用，整个社会对信息系统的依赖性越来越大，信息系统的安全问题己成为关系经济稳 定、发展和国家安全的社会问题。信息安全经历了最初以密码技术为主的信息保密阶段和以 防火墙、入侵检测技术为主的信息保护阶段，发展到以综合保护、检测、反应技术为主的信 息安全保障时代，而对系统实施安全等级保护、进行风险评估是信息安全保障的重要基础。 为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平， 维护国家安全，构建和谐社会的需要，2007年，全国信息安全标准化委员会正式下达了公 安部牵头制定的《信息系统安全保护等级定级指南》、《信息系统安全等级保护实施指南》、 《信息系统安全等级保护基本要求》等系列指导标准(审批稿)，拉开了全国信息安全等级保 护的序幕。等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更是一项基础性 和制度性的工作。 我国的信息安全等级保护制度就是要根据信息系统的特点和风险状况，对信息系统的安 全需求进行分级，实施不同级别的保护措施。根据2004年9月四部委联合签发的《关于信 息安全等级保护工作的实施意见》的要求，要重点保护基础信息网络和关系国家安全、经济 命脉、社会稳定的重要信息系统。这类系统主要包括：国家事务处理信息系统；财政、金融、 税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息 系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信 息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。因此，我 国的信息安全等级保护制度从一定角度看是信息安全保障工作中国家意志的体现，体现了国 家对相应系统建设和使用单位在信息安全建设的基本要求。通过评估单位的特点可以看出， 其对象主要是重要的行业和企事业单位。 实施等级保护的一个重要前提就是了解系统的风险状况和安全等级，所以风险评估是等 级保护的重要基础与依据。信息安全风险评估是一个组织确保信息安全的基础和前提，所以 注重信息安全风险评估的质量是保证信息安全的基础性工作。 信息安全风险评估是对信息系统风险进行辨识和分析的过程，是对威胁、影响、脆弱性 三者发生的可能性的评估。目的就是了解目前与未来的风险所在，评估这些风险可能带来的 安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据指引。文章 提出的基于业务的信息资产评估方法试图建立一种适应等级保护的信息安全风险评估方法， 为信息安全等级保护工作的开展做好前期风险评估和系统定级工作。 2基于业务的信息资产评估流程 资产是风险评估的第一要素，其他要素的评估都以资产为前提的。信息安全的资产评估 目的是为了明晰评估范围内与信息安全相关的资产清单、资产关系和资产价值。先是摸清家 底，列出评估范围内关系到信息安全的所有资产。然后整理家底，针对资产的性质进行分类， 针对资产的关系进行梳理，针对资产的价值进行分级。这样就为分类分级和适度有效地保护 资产打下了良好基础。 一个信息系统的安全等级相当于这个信息系统能够承受风险的标签，等级越高，防御力 度就越大，控制粒度就越细，安全感就越强，风险就越小，但投入也就越大，反之亦然。所 以，如何根据一个组织的真实情况进行定级就显得尤为重要，而所有这些问题的基础都是围 绕资产识别展开的。 在任何一个组织中，信息安全的目的始终都是用来保障组织业务的正常运行。因此本文 在资产的识别过程中试图将组织的业务安全这个潜在的抽象概念映射成资产的安全这个可 以定性和定量测量评估的概念上来，从而能够科学地把握组织的业务安全需求及其变化。信 息资产评估流程图如图l所示。 3基于业务的信息资产识别方法 对于任何一个组织和机构而言，安全的目的始终都是保障组织业务的正常运行。因此， 资产识别过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分 析。我们将组织的业务安全映射成资产的安全，使得我们能够科学地把握组织的业务安全需 求及其变化。 基于业务的信息资产识别方法，第一步就是要全面掌握受评单位的各项业务，要了解把 握组织业务的类别、分布，组织的关键业务和附属业务。 我们可以通过以下方法和途径全面了解掌握组织的业务：首先，仔细分析受评单位信息 化建设的有关文档，比如《信息化发展战略书