按照电子政务外网项目对于项目的具体要求,信息安全风险评估工作分为两个阶段,具体安排如下:
5 风险评估效果
5.1 风险评估分析
对电子政务外网信息安全风险评估分析包括以下内容:
5.1.1 资产类型与赋值
将所有评估资产划分为物理资产、业务系统资产、网络设备资产、安全设备资产、主机系统资产、管理资产等6类,对这些关键资产的“资产重要程度权重”赋值。
5.1.2 威胁识别与分析
判断威胁出现的频率是威胁赋值的重要内容,根据经验和(或)有关的统计数据来进行判断,将网络的10个功能区域、“威胁严重程度赋值”。
5.1.3 脆弱性描述
通过管理脆弱性、网络脆弱性、系统脆弱性、应用脆弱性、物理脆弱性、渗透测试脆弱性的描述,分别对各项管理制度及岗位职责、访问数据及应用存储、主机系统、业务系统、业务应用系统等指标赋值。
5.1.4 风险排名
采用区间划分的方法进行风险等级的划分。风险等级,从1到5划分为五级,等级越大,风险也越高。根据省政务外网的各业务系统及网络区域的风险计算结果进行风险高低的排名。
5.1.5 综合分析与评价
综合现场的访谈、问卷调查、安全技术核查、安全工具检测的结果,对网络的物理环境、管理组织机构、网络安全防护、业务系统(网站)安全、主机安全策略、终端管理和安全防护能力进行综合风险分析,形成风险评估报告。
5.2 措施和整改
对《电子政务外网信息安全风险评估报告》中提出的问题,逐条进行了研究,采取相应的整改措施。如操作系统的安全配置,网络设备的密码设置,门禁系统管理,建立健全网络管理员、网络密码管理员和网络审计员制度等安全管理制度和措施、启用系统漏洞扫描、介质使用规程和管理监控终端等。
根据《电子政务外网信息安全风险评估报告》中的整改建议,建设了《电子政务外网网络系统安全整改项目工程》,该工程包括:网络安全综合审计平台、综合业务监控管理项目、政务终端安全护理省级平台建设和网络系统安全加固四部分。
通过采取上述措施和网络系统安全整改,降低了网络信息安全在保密性、完整性、可用性、可扩展性等方面所面临的威胁,提高了网络的安全性和防御能力。对网络信息系统的安全程度、风险程度及采取的信息安全措施是否有效有了更深的认识,增强了判断网络信息风险的能力,对网络技术人员提高和发展相关的技术起到了积极推动作用。
6 项目建议
信息安全风险评估是信息安全保障的基础性工作和重要环节。对电子政务外网信息安全的风险评估,经历了从无到有、从起步到提高的过程。今后,为了更好的开展此项目工作,提出以下建议:
6.1 强化认识,积极推动信息安全风险评估工作
要充分认识到信息安全风险评估的重要性,认识到此项工作有助于信息化建设的有序开展,促进信息安全保障体系的完善,提高信息系统的安全防护能力。加强信息安全风险意识的宣传教育,普及信息安全风险评估知识,积极推动信息安全风险评估工作。
6.2 科学分析,正确面对风险评估暴露的问题
网络信息工作者要从全局着眼,从细节做起,相信借助科学的评估体系和技术方法,弄清本单位信息安全的基本态势和网络环境安全状况,客观面对风险暴露出问题,不要怕担责任或依此就否定自己的工作,应采取或完善安全保障措施,确保网络信息安全。
6.3 加强合作,深化风险评估工作
信息安全风险评估工作是一个综合性系统工程,设计网络、安全、软件、硬件以及业务操作、管理技能和审计等方方面面的工作,因此,要充分发挥各个岗位人员的专业特长,加强交流和沟通,发扬团结协作精神,保证风险评估工作的效率和质量。
6.4 有机结合,将风险评估意识渗透到日常管理工作
开展信息安全风险评估和加强日常管理工作是相辅导成的,每个网络信息工作者都按职责分工开展日常工作,信息安全风险评估工作是由安全员承担,风险评估工作设计内容多,覆盖了网络系统的全部,只有每个网络信息工作者将风险评估意识渗透到日常管理工作,严格按照操作规程和管理制度运维,才能及时发现系统的安全问题和存在的危险,提高信息系统的安全防护能力。
(责任编辑:)