该如何应对信息安全风险呢?笔者认为主要应该从以下几方面着手:第一,应建立信息安全风险的应对战略和政策。我们应该明确政府的角色,强化信息安全风险管理的责任;第二,建立和发展信息安全风险管理的文化;第三,做好国家信息安全的薄弱环节识别,减少信息化系统的问题;
第四,通过有效的教育和培训,提高和强化整个社会的信息安全风险管理和安全意识能力;第五,强化信息化相关的立法,建立有效的管理机制,以防止和化解信息安全风险;第六,建立健全国家信息化的技术安全平台,通过安全技术保障信息系统的安全。信息安全应该是管理和技术并重才行。以前说七分管理,三分技术。有管理,没有一定的技术支持肯定是不行的,但光有技术,管理不到位肯定也是不行的;第七,采取有效的措施,确保敏感信息和国家重要信息基础设施的安全;第八,保障政府系统的安全。这是非常重要的,在2001年中美黑客大战中,70%~80%被“黑”的网站是政府网站;第九,建立国家网络空间安全的危机管理系统;第十,通过信息的共享和广泛的合作,化解信息安全风险。
要应对安全风险,首先要确切掌握网络和信息系统的安全程度,分析安全威胁来自何方,安全风险有多大,风险评估就是解决这一问题的重要方法和基础性工作。
系统的安全性可以通过风险大小来衡量,科学地分析系统的保密性、完整性、程序性方面面临的问题,发现危险的主要位置,就能在风险的预防、减少、转移、补偿和分散上做出决策,最大限度地控制和化解安全风险。实际上,我们都知道安全和效率是互相矛盾的,如何在安全和效率之间进行平衡,这是风险评估中一个非常重要的内容。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
