等級保護���、風險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些?
等級保護、風險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些�?
等級保護���、風險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些����?
三者的基本概念和工作背景
等級保護
基本概念:網絡安全等級保護是指對國家秘密信息����、法人和其他組織和公民的專有信息以及公開信息和存儲、傳輸����、處理這些信息的信息系統(tǒng)分等級實行安全保護��,對信息系統(tǒng)中使用的安全產品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件等等級響應����、處置�����。這里所指的信息系統(tǒng),是指由計算機及其相關和配套的設備�����、設施構成的�,按照一定的應用目標和規(guī)則對信息進行存儲、傳輸�、處理的系統(tǒng)或者網絡���;信息是指在信息系統(tǒng)中存儲�����、傳輸��、處理的數(shù)字化信息�����。
背景及參考依據(jù):網絡安全等級保護是國家網絡安全保障的基本制度、基本策略��、基本方法����。開展網絡安全等級保護工作是保護信息化發(fā)展、維護網絡安全的根本保障,是網絡安全保障工作中國家意志的體現(xiàn)�。網絡安全等級保護工作包括定級����、備案����、建設整改、等級測評、監(jiān)督檢查五個階段。定級對象建設完成后,運營��、使用單位或者其主管部門應當選擇符合國家要求的測評機構�����,依據(jù)《網絡安全等級保護測評要求》等技術標準�,定期對定級對象安全等級狀況開展等級測評���。GB 17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》�����、GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》��、GB/T 28448-2019《信息安全技術 網絡安全等級保護測評要求》、《中華人民共和國網絡安全法》、GB/T 28449-2018《信息安全技術 網絡安全等級保護測評過程指南》、GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》��、GB/T 36627-2018《信息安全技術 網絡安全等級保護測試評估技術指南》��、GB/T 25058-2019《信息安全技術 網絡安全等級保護實施指南》��。
風險評估
基本概念:信息安全風險評估是參照風險評估標準和管理規(guī)范,對信息系統(tǒng)的資產價值、潛在威脅����、薄弱環(huán)節(jié)���、已采取的防護措施等進行分析�,判斷安全事件發(fā)生的概率以及可能造成的損失����,提出風險管理措施的過程。
背景及參考依據(jù):《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定,并在其中規(guī)定了信息安全風險評估的工作流程���、評估內容、評估方法和風險判斷準則,對規(guī)范我國信息安全風險評估的做法具有很好的指導意義,GBT 20984-2022 《信息安全技術 信息安全風險評估方法》描述了信息安全風險評估的基本概念�����、風險要素關系�、風險分析原理、風險評估實施流程和平估方法,以及風險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。GB-T 31509-2015 《信息安全技術 信息安全風險評估實施指南》規(guī)定了信息安全風險評估實施的過程和方法�����,用于各類安全評估機構或被評估組織對非涉密信息系統(tǒng)的信息安全風險評估項目的管理,指導風險評估項目的組織����、實施、驗收等工作。
系統(tǒng)安全測評
基本概念:由具備檢驗技術能力和政府授權資格的quanwei機構����,依據(jù)國家標準、行業(yè)標準���、地方標準或相關技術規(guī)范,按照嚴格程序對信息系統(tǒng)的安全保障能力進行的科學公正的綜合測試評估活動�����,以幫助系統(tǒng)運行單位分析系統(tǒng)當前的安全運行狀況����、查找存在的安全問題,并提供安全改進建議��,從而最大程度地降低系統(tǒng)的安全風險���。
背景及參考依據(jù):測評和認證的區(qū)別:測評如前述定義����,認證則是對測評活動是否符合標準化要求和質量管理要求所作的確認,認證以標準和測評的結果作為依據(jù)���。我國的系統(tǒng)認證起步較早,但由于認證周期��、建設差異等多方面的原因�,目前的系統(tǒng)認證數(shù)量還非常少。特別是國家認監(jiān)委成立后�,強調了信息安全要“一個統(tǒng)一認證出口”的要求��。國家認監(jiān)委等8部委聯(lián)合下發(fā)的《關于建立國家信息安全產品認證認可體系的通知》4(簡稱57號文)中已明確規(guī)定了對信息安全產品進行“統(tǒng)一標準、技術規(guī)范與合格評定程序���;統(tǒng)一認證目錄;統(tǒng)一認證標志��;統(tǒng)一收費標準”的“四統(tǒng)一”的認證要求�。在國家認監(jiān)委對信息系統(tǒng)的安全認證相關具體意見尚未出臺前,多數(shù)情況下�,系統(tǒng)安全測評的結果可直接作為主管部門對系統(tǒng)安全認可的依據(jù)�����。
三者的相互內在聯(lián)系和區(qū)別
三者關系的基本判斷
基本判斷:等級保護是指導我國信息安全保障體系建設的一項基礎管理制度����,風險評估�����、系統(tǒng)測評都是在等級保護制度下,對信息及信息系統(tǒng)安全性評價方面兩種特定的�、有所區(qū)分但又有所聯(lián)系的的不同研究�����、分析方法。
等級保護是指導我國信息安全保障體系總體建設的基礎管理原則��,是圍繞信息安全保障全過程的一項基礎性管理制度�,其核心內容是對信息安全分等級、按標準進行建設����、管理和監(jiān)督�����。風險評估、系統(tǒng)測評則只是針對信息安全評價方面兩種有所區(qū)分但又有所聯(lián)系的的不同研究��、分析方法�����。從這個意義上講���,等級保護要高于風險評估和系統(tǒng)測評。當系統(tǒng)定級原則確定并根據(jù)該原則將系統(tǒng)分類分級后,那風險評估����、系統(tǒng)測評都可以理解為在等級保護制度下的風險評估和等級保護制度下的系統(tǒng)測評�,操作時只需在原有風險評估�����、系統(tǒng)測評方法�、操作程序的基礎上�����,加入特定等級的特殊要求就是了�。打個比方:如果說等級保護是指導信息安全建設的憲法�����,則風險評估��、安全測評則是針對系統(tǒng)安全性評估或合格判定方面的專項法律。至于66號文中提及的等級保護制度中的其他建設內容,如等級化安全保障體系設計、等級化安全產品選用���、等級化安全事件處理響應,由于和安全評估沒有特別直接的關系,本文不再展開討論��。
等級保護與風險評估的關系
基本判斷:風險評估是等級保護(不同等級不同安全需求)的出發(fā)點�。風險評估中的風險等級和等級保護中的系統(tǒng)定級均充分考慮到信息資產CIA特性的高低,但風險評估中的風險等級加入了對現(xiàn)有安全控制措施的確認因素,也就是說,等級保護中**別的信息系統(tǒng)不一定就有**別的安全風險����。
風險評估是安全建設的出發(fā)點����,它的重要意義就在于改變傳統(tǒng)的以技術驅動為導向的安全體系結構設計及詳細安全方案制定��,以成本-效益平衡的原則,通過對用戶關心的重要資產(如信息�、硬件���、軟件����、文檔�、代碼、服務�����、設備、企業(yè)形象等)的分級、安全威脅(如人為威脅��、自然威脅等)發(fā)生的可能性及嚴重性分析���、對系統(tǒng)物理環(huán)境���、硬件設備���、網絡平臺�����、基礎系統(tǒng)平臺��、業(yè)務應用系統(tǒng)、安全管理、運行措施等方面的安全脆弱性(或稱薄弱環(huán)節(jié))分析����,并通過對已有安全控制措施的確認,借助定量�、定性分析的方法���,推斷出用戶關心的重要資產當前的安全風險����,并根據(jù)風險的嚴重級別制定風險處理計劃���,確定下一步的安全需求方向��。
等級保護的前提是對系統(tǒng)定級��,根據(jù)FIPS199,系統(tǒng)定級根據(jù)系統(tǒng)信息的機密性���、完整性、可用性(簡稱CIA特性)等三性損失的最大值來確定�����,即“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個步驟進行系統(tǒng)最終的定級���。將信息系統(tǒng)安全類別(簡稱SC)表示為一個與CIA特性的潛在影響相關的三重函數(shù)��,一般模式是:SC= {(保密性��,影響),(完整性�����,影響)�,(可用性,影響)}���。
等級保護中的系統(tǒng)分類分級的思想和風險評估中對信息資產的重要性分級基本一致,不同的是:等級保護的級別是從系統(tǒng)的業(yè)務需求或CIA特性出發(fā)�,定義系統(tǒng)應具備的安全保障業(yè)務等級,而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合評估結果��,也就是說����,在風險評估中,CIA價值高的信息資產不一定風險等級就高���。在確定系統(tǒng)安全等級級別后,風險評估的結果可作為實施等級保護�����、等級安全建設的出發(fā)點和參考�����。
等級保護與系統(tǒng)測評的關系
基本判斷:系統(tǒng)安全測評及行政認可是安全等級保護的落腳點���。
根據(jù)NIST SP800-37�,認證過程偏重于對系統(tǒng)安全性的評估,認可過程則屬于管理機關的行為�����,是指根據(jù)評估的結果來判斷信息系統(tǒng)的安全控制措施是否有效�、殘余風險是否可接受。根據(jù)前述�,在我國�����,目前主管部門安全認可的依據(jù)多數(shù)是系統(tǒng)安全測評的結果。主管部門根據(jù)系統(tǒng)測評結果判斷���,如果殘余風險可以接受,則允許系統(tǒng)投入運行或繼續(xù)運行��,否則信息系統(tǒng)便沒有達到特定安全等級的安全要求���。沒有最終的主管認可過程����,等級保護無法落到實處����。從這個意義上講,進行等級保護建設、實施風險管理過程后的系統(tǒng)安全測評及行政認可是等級保護的落腳點�。
風險評估與系統(tǒng)測評的關系
基本判斷:風險評估與系統(tǒng)測評分別是針對系統(tǒng)生命周期建設不同階段存在的安全風險的相近判斷方法��。對同一個生命周期的系統(tǒng),風險評估是安全建設的起點,系統(tǒng)測評是安全建設的終點。或者可以理解為,系統(tǒng)安全測評是實施風險管理措施后的風險再評估。
二者均是對信息及信息系統(tǒng)系統(tǒng)安全性的一種評價判斷方法,二者并沒有本質的區(qū)別����,或者說����,二者的安全工作目標基本一致��,二者的工作核心都是對信息及系統(tǒng)安全風險的評價����,二者在實施內容上有許多共同之處�。具體講二者在操作方面的差異性,則風險評估是系統(tǒng)明確安全需求,確定成本-效益適合的安全控制措施的出發(fā)點,風險評估通過對被評估用戶廣泛的����、戰(zhàn)略性的分析來判斷機構內各類重要資產的風險級別����;系統(tǒng)安全測評則是對已采取的安全控制措施(如管理措施�����、運行措施、技術措施等)有效性的驗證����,安全測評更關注于對系統(tǒng)現(xiàn)有安全控制措施的技術驗證�����,從而給出系統(tǒng)現(xiàn)存安全脆弱性的準確判斷。行業(yè)主管部門或信息化主管部門在系統(tǒng)測評結果的基礎上����,判斷系統(tǒng)安全風險是否可接受或已得到了有效的管理�����,從而給出是否批準系統(tǒng)投入運行或繼續(xù)運行的最終
