信息安全风险评估在济南率先展开

“虽然从事信息化工作的人都会有一定的安全意识，对漏洞监测、漏洞扫描、防火墙等安全知识也都有基本的了解，但是对于风险评估这一概念却重视得还不够。与传统的认识不完全一样，风险评估是把系统中的每一项都作为一份资产，根据资产的重要性分析它的威胁，再根据威胁查看漏洞在哪里，并提供可行的建议。”

    “风险评估是相对客观、专业和细致的，在风险评估中，资产的价值、资产被破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度等都是风险评估的关键因素。

　　“虽然从事信息化工作的人都会有一定的安全意识，对漏洞监测、漏洞扫描、防火墙等安全知识也都有基本的了解，但是对于风险评估这一概念却重视得还不够。与传统的认识不完全一样，风险评估是把系统中的每一项都作为一份资产，根据资产的重要性分析它的威胁，再根据威胁查看漏洞在哪里，并提供可行的建议。”经历了风险评估之后，济南市劳动局信息中心主任李寒梅对此深有感触。

　　从2006年10月开始，作为济南市的两个试点之一，济南市劳动局对信息系统进行了一次全面的信息安全风险评估，并最终形成一份包括信息系统价值、系统弱点、面临的风险以及系统等级划分规则等内容的报告。

　　安全风险引发评估需求

　　济南市劳动和社会保障信息系统存储了济南市100万人的社会保障信息，其中大部分是企业职工的资料。虽然劳动保险并不像银行那样拥有巨大的现金流，但直接关系到养老、现代医疗支付等百姓的切身利益，所以对信息安全的要求非常高。

　　目前，济南市劳动和社会保障信息系统包括劳动保障、社会保险等5个险种的收缴、支付等全过程的管理，拥有劳动就业系统的职业介绍、再就业优惠等方面的信息和上千个网点，这些网点包括各个业务的经办机构，劳动局内部业务的经办机构，以及医院、药店、定点医疗机构和社区服务机构。劳动保障信息系统是最为关键的核心建设，也是面铺得最广、信息量最大的一个系统，巨大的信息流和资金流迫切要求劳动保障系统高效、安全地运行。

　　李寒梅告诉记者，济南市劳动和社会保障工作基本上依赖于信息系统，系统要是出现问题，日常业务就处于停滞状态。“尤其是系统加入了医疗保险的信息之后，整个系统需要7×24小时不间断地运行，而且每天都要24小时有人值班。因为病人看病不分时间，晚上也会有急诊，治病就医是与百姓密切相关的大事，一旦系统出现问题，医院和劳动部门的压力都很大。”

　　“到目前为止，虽然系统的核心网没出现过安全方面的问题，但是外部网受到的安全威胁较多，像医院端就感染过病毒，部分医院因为病毒侵袭出现了网络堵塞，所以说网络是很脆弱的。” 李寒梅说。正因为系统面临的安全威胁，济南市劳动局将风险评估提上了日程，希望相关专业机构提供具有权威性和专业性的评估，指出客观存在的风险、漏洞，然后根据评估结果和评估方案，有针对性地加强信息安全建设。

　　“当我们有这个想法的时候，国家正好也出台了《信息安全风险评估指南》，济南市更是将劳动局定为风险评估的两个试点单位之一。在整个运作过程中采用了招标、投标的方式，最后项目落到山东省安全测评中心。”李寒梅介绍说，“安全测评中心把系统的每一项都分为不同的资产进行认定; 然后进行资产的重要性分级，认定各项资产的风险系数; 并在业务进行期得到了隐性的监测数据，对从内部制度建设到具体业务系统之间的环节和流程都进行了详细调研; 测评中心再模拟数据，最终得出结论。”

　　由于IT资产自身的脆弱性，使得威胁的发生成为可能，从而形成了不同的风险。在风险评估中，资产的价值、资产被破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度等都是风险评估的关键因素。风险评估的价值就在于对风险的认识，认识到了风险的存在才能采取相应的解决措施。对于风险的处理可以在考虑了管理成本后，选择适合企业自身的控制方法，对同类风险因素采用相同的基线控制，这样有助于在保证效果的前提下降低成本。

　　信息安全深度防御——体制建设

　　防火墙、反病毒、IDS等信息安全技术和产品已经进入了成千上万的网络系统中，然而，在病毒面前还是有很多网络难逃瘫痪的厄运，系统漏洞、间谍软件、网络欺诈等事件层出不穷。在这种新的安全形势下，每个IT主管都面临着巨大的压力——如何才能打破这种疲于应对的尴尬局面？

　　来自一线CIO的忠告

　　风险评估的价值在于对风险的认识，企业可以选择适合自身的控制方法，对同类风险因素采用相同的基线控制。

——济南市劳动局信息中心主任 李寒梅

　　李寒梅认为，在山东省，信息安全整体上处于起步阶段，大家虽然对此有认识，但认识还不够清晰。“其实，风险评估和信息安全应该是从系统一开始建设就要考虑的，在业务规划期、业务建设期和业务运行期都要考虑这个问题，而且要持续地做下去。”充分了解自身网络，随之根据各种漏洞和不足建立健全的信息安全管理体制，在管理和技术上加固网络，才能防患于未然。

　　建立健全的信息安全管理机制，其实就是在技术和管理上打造可靠的运营系统和管理制度。“从内部管理上来讲，系统毕竟是通过操作人员去处理，虽然软件在设计的时候也从安全方面做了很多考虑，譬如: 分级授权、通过密码和用户名来控制网络资源访问等，但是具体的业务还是要由操作人员来进行。”李寒梅说。在系统的后期建设中，劳动局信息中心主要是对后台的数据库、系统软件及硬件进行管理维护; 在中心内部也建立了一系列制度，来避免人为事故，比如保证每一次进入系统时都要有两人在场，任何人都不能随意进入系统，采用严格的授权制度和密码设置，然后互相监督，杜绝恶意操作。

　　李寒梅透露，随着数据不断增加和网络不断扩展，核心的数据库和服务器的负荷都比较大，效率有所下降，劳动局正在酝酿结合这次风险评估进行系统整体的、全面的升级，同时也解决一些硬件环境上的问题。譬如，定期的自动备份和人工备份系统还是处在基础阶段，计划在升级的时候再上一套新的备份系统。“做了风险评估后，我们认识到，包括数据本地备份、异地备份在内的整个系统的数据安全都需要加强; 在防范人为攻击、网络病毒入侵等网络安全方面也需要加强。”

　　“一个系统建设得好不好，关键是你的业务规划有没有做好，有些功能在技术上可以很好地实现，但是如果业务设置、业务流程有问题的话，再好的技术也会遇到麻烦。这就需要CIO及信息中心在系统建设之初就深入了解各部门的业务需求，做好规划工作。”谈到CIO在信息化建设中的作用时，李寒梅侃侃而谈。

　　虽然同属于劳动局，但是各事业单位有不同的管理机构，它们之间的交叉、衔接确实还存在一些问题。譬如，有些信息的入口不一致，造成系统里面的数据混乱、衔接不畅等。目前，济南市劳动局信息中心正计划通过系统升级打通各部门之间的“信息孤岛”。

　　劳动部门的信息系统处于不断变革的状态中，相关领域的新政策、新文件不断颁布，这就需要信息系统不断进行相应的调整。CIO及信息中心不仅要掌握技术知识，还要了解各个业务环节之间的运行关系，对于系统该怎样维护、怎样优化等问题有准确的认识。“我要求信息中心的同事们不仅要成为一个技术方面的专业人员，还要成为一个业务专家，一旦业务上有什么需要的话，能够比较快地实现，信息中心应该起到在领导层和具体业务部门之间上下衔接的作用。”

[作者：佚名]