浅析涉密信息系统安全保密策略、安全审计、风险评估之间的关系

　　【 摘 要 】 安全保密策略是涉密信息系统安全稳定运行的指导依据，安全审计是发现涉密信息系统安全隐患和安全事件的技术手段，风险评估则是涉密信息系统安全建设的起点和基础。文章介绍了涉密信息系统安全保密策略、安全审计、风险评估的概念和内容，分析了三者之间相辅相成的关系。 

　　【 关键词 】 涉密信息系统；安全保密策略；安全审计；风险评估 

　　1 引言 

　　随着信息化技术在军工企业的广泛应用，涉密信息系统安全问题日益突出。论文范文为此，国家颁布了一部法律《中华人民共和国保守国家秘密法》，下发了四个文件《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《关于开展涉密信息系统审批管理工作有关事项的通知》、《关于开展涉密网络安全保密风险评估工作的通知》，提出了四个标准《武器装备科研生产单位一级保密资格标准》、《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规定》、《涉及国家秘密的信息分级保护方案设计指南》。通过制定一系列的政策标准、安全措施条例使得我国涉密信息系统安全防护工作从方案设计、技术要求、管理规范到安全测评，形成了一套完整的标准与规范体系。 

　　做好涉密信息系统安全保密工作，主要依赖于先进的安全防护技术、健全的管理体系和优秀的系统维护人员。本文主要从涉密信息系统安全保密管理体系着手，简单介绍涉密信息系统安全保密策略、安全审计、风险评估的概念和内容，并分析三者之间相辅相成的关系。 

　　2 涉密信息系统安全保密策略 

　　涉密信息系统安全保密策略是为确保涉密计算机及信息系统安全保密而制定的一系列文档化文件，是涉密信息系统安全保密防护技术和管理措施实施的规范，是涉密信息系统使用人员在使用涉密信息系统时必须遵循的行为准则。 

　　安全保密策略的主要内容包括安全保密管理机构设置、物理安全策略、运行安全策略、信息安全策略、备份与恢复策略、病毒和恶意代码防护策略、应急计划与响应。在策略制定时，对每个策略模块按照不同的实施对象再细分为若干个子策略，这样涉密信息系统的策略就基本完善了。例如，信息安全策略模块包括身份鉴别、边界防护、访问控制、应用系统与数据库安全、信息交换安全等策略子项。每个策略子项的编写应统一格式统一思路，同时要回答清楚三个问题，即策略的实施对象、策略的内容、策略的执行。最后在安全策略制定时应兼顾结构上的系统性、内容上的可理解性、技术上的可实现性、管理上的可执行性。 

　　3 涉密信息系统安全审计 

　　涉密信息系统安全审计是运用各种技术手段，全面检测信息系统中的各种会话和事件，记录并分析各种可疑行为、违规操作，帮助定位安全事件源头和追查取证，防范和发现网络违规活动。 

　　目前我国没有比较完善的、权威的、有规范性的安全审计法规和指南，现在的审计工作都是依照各自经验开展，审计对象、审计方法、审计分析角度各有不同。 

　　一般来说，审计对象可按两种方式划分：（1）按审计主体划分：主要对对系统管理员、安全保密管理员、安全审计员及其他相关人员；（2）按审计客体划分：主要对涉密网络设备、服务器、用户终端、应用系统、安全保密产品、数据库、安全保密管理实施情况。 

　　审计方法一般有使用安全审计分析软件、审计员人工审计以及安全审计软件和人工审计相结合的审计方法。 

　　审计分析工作是个复杂的过程，在审计分析时要有敏锐的意识、快速的反映能力，能够将多种事件相关联，分析其隐藏的漏洞和威胁。 

　　4 涉密信息系统风险评估 

　　涉密信息系统风险评估预见性的对信息系统各生命周期进行评估计算，了解信息系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度。没有准确及时的风险评估，就无法对系统的信息安全状况做出准确的判断。 

　　涉密信息系统风险评估主要围绕着四要素展开：信息资产、威胁、脆弱性和风险分析。其中信息资产是对企业、机构具有价值的信息或资源，是安全策略保护的对象。威胁是对企业、机构及其资产构成潜在破坏的可能性因素或者事件。脆弱性是被评估资产本身存在的弱点，它可以被威胁利用、引起资产的损害，是风险评估中重要的内容。风险分析是对风险的认识制定相应的策略、做出有力的抵御、降低风险。