等級保護、風險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些���?
等級保護���、風險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些?
等級保護�、風險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些?
三者的基本概念和工作背景
等級保護
基本概念:網(wǎng)絡(luò)安全等級保護是指對國家秘密信息���、法人和其他組織和公民的專有信息以及公開信息和存儲��、傳輸��、處理這些信息的信息系統(tǒng)分等級實行安全保護����,對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理�,對信息系統(tǒng)中發(fā)生的信息安全事件等等級響應、處置��。這里所指的信息系統(tǒng)���,是指由計算機及其相關(guān)和配套的設(shè)備��、設(shè)施構(gòu)成的��,按照一定的應用目標和規(guī)則對信息進行存儲��、傳輸��、處理的系統(tǒng)或者網(wǎng)絡(luò)�;信息是指在信息系統(tǒng)中存儲、傳輸���、處理的數(shù)字化信息�����。
背景及參考依據(jù):網(wǎng)絡(luò)安全等級保護是國家網(wǎng)絡(luò)安全保障的基本制度���、基本策略、基本方法�����。開展網(wǎng)絡(luò)安全等級保護工作是保護信息化發(fā)展�����、維護網(wǎng)絡(luò)安全的根本保障,是網(wǎng)絡(luò)安全保障工作中國家意志的體現(xiàn)���。網(wǎng)絡(luò)安全等級保護工作包括定級�、備案�、建設(shè)整改、等級測評��、監(jiān)督檢查五個階段�。定級對象建設(shè)完成后�,運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構(gòu)����,依據(jù)《網(wǎng)絡(luò)安全等級保護測評要求》等技術(shù)標準,定期對定級對象安全等級狀況開展等級測評����。GB 17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》、GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》����、GB/T 28448-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》、《中華人民共和國網(wǎng)絡(luò)安全法》�、GB/T 28449-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指南》、GB/T 20984-2007《信息安全技術(shù) 信息安全風險評估規(guī)范》、GB/T 36627-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測試評估技術(shù)指南》����、GB/T 25058-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護實施指南》。
風險評估
基本概念:信息安全風險評估是參照風險評估標準和管理規(guī)范��,對信息系統(tǒng)的資產(chǎn)價值��、潛在威脅���、薄弱環(huán)節(jié)��、已采取的防護措施等進行分析�����,判斷安全事件發(fā)生的概率以及可能造成的損失���,提出風險管理措施的過程。
背景及參考依據(jù):《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定����,并在其中規(guī)定了信息安全風險評估的工作流程、評估內(nèi)容��、評估方法和風險判斷準則,對規(guī)范我國信息安全風險評估的做法具有很好的指導意義����,GBT 20984-2022 《信息安全技術(shù) 信息安全風險評估方法》描述了信息安全風險評估的基本概念、風險要素關(guān)系��、風險分析原理��、風險評估實施流程和平估方法�,以及風險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。GB-T 31509-2015 《信息安全技術(shù) 信息安全風險評估實施指南》規(guī)定了信息安全風險評估實施的過程和方法��,用于各類安全評估機構(gòu)或被評估組織對非涉密信息系統(tǒng)的信息安全風險評估項目的管理,指導風險評估項目的組織�、實施����、驗收等工作。
系統(tǒng)安全測評
基本概念:由具備檢驗技術(shù)能力和政府授權(quán)資格的quanwei機構(gòu)�,依據(jù)國家標準、行業(yè)標準����、地方標準或相關(guān)技術(shù)規(guī)范,按照嚴格程序?qū)π畔⑾到y(tǒng)的安全保障能力進行的科學公正的綜合測試評估活動���,以幫助系統(tǒng)運行單位分析系統(tǒng)當前的安全運行狀況����、查找存在的安全問題,并提供安全改進建議����,從而最大程度地降低系統(tǒng)的安全風險。
背景及參考依據(jù):測評和認證的區(qū)別:測評如前述定義���,認證則是對測評活動是否符合標準化要求和質(zhì)量管理要求所作的確認��,認證以標準和測評的結(jié)果作為依據(jù)����。我國的系統(tǒng)認證雖然起步較早�,但由于認證周期、建設(shè)差異等多方面的原因�����,目前的系統(tǒng)認證數(shù)量還非常少�����。特別是國家認監(jiān)委成立后,強調(diào)了信息安全要“一個統(tǒng)一認證出口”的要求�����。國家認監(jiān)委等8部委聯(lián)合下發(fā)的《關(guān)于建立國家信息安全產(chǎn)品認證認可體系的通知》4(簡稱57號文)中已明確規(guī)定了對信息安全產(chǎn)品進行“統(tǒng)一標準��、技術(shù)規(guī)范與合格評定程序�����;統(tǒng)一認證目錄��;統(tǒng)一認證標志�;統(tǒng)一收費標準”的“四統(tǒng)一”的認證要求。在國家認監(jiān)委對信息系統(tǒng)的安全認證相關(guān)具體意見尚未出臺前���,多數(shù)情況下,系統(tǒng)安全測評的結(jié)果可直接作為主管部門對系統(tǒng)安全認可的依據(jù)����。
三者的相互內(nèi)在聯(lián)系和區(qū)別
三者關(guān)系的基本判斷
基本判斷:等級保護是指導我國信息安全保障體系建設(shè)的一項基礎(chǔ)管理制度,風險評估�����、系統(tǒng)測評都是在等級保護制度下,對信息及信息系統(tǒng)安全性評價方面兩種特定的�、有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法�。
等級保護是指導我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障全過程的一項基礎(chǔ)性管理制度�����,其核心內(nèi)容是對信息安全分等級����、按標準進行建設(shè)、管理和監(jiān)督�。風險評估、系統(tǒng)測評則只是針對信息安全評價方面兩種有所區(qū)分但又有所聯(lián)系的的不同研究��、分析方法����。從這個意義上講,等級保護要高于風險評估和系統(tǒng)測評����。當系統(tǒng)定級原則確定并根據(jù)該原則將系統(tǒng)分類分級后,那風險評估���、系統(tǒng)測評都可以理解為在等級保護制度下的風險評估和等級保護制度下的系統(tǒng)測評�,操作時只需在原有風險評估、系統(tǒng)測評方法����、操作程序的基礎(chǔ)上,加入特定等級的特殊要求就是了��。打個比方:如果說等級保護是指導信息安全建設(shè)的憲法�����,則風險評估�����、安全測評則是針對系統(tǒng)安全性評估或合格判定方面的專項法律����。至于66號文中提及的等級保護制度中的其他建設(shè)內(nèi)容,如等級化安全保障體系設(shè)計��、等級化安全產(chǎn)品選用�����、等級化安全事件處理響應�,由于和安全評估沒有特別直接的關(guān)系,本文不再展開討論����。
等級保護與風險評估的關(guān)系
基本判斷:風險評估是等級保護(不同等級不同安全需求)的出發(fā)點。風險評估中的風險等級和等級保護中的系統(tǒng)定級均充分考慮到信息資產(chǎn)CIA特性的高低����,但風險評估中的風險等級加入了對現(xiàn)有安全控制措施的確認因素,也就是說����,等級保護中**別的信息系統(tǒng)不一定就有**別的安全風險。
風險評估是安全建設(shè)的出發(fā)點�����,它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導向的安全體系結(jié)構(gòu)設(shè)計及詳細安全方案制定���,以成本-效益平衡的原則���,通過對用戶關(guān)心的重要資產(chǎn)(如信息、硬件�、軟件����、文檔����、代碼、服務�����、設(shè)備�����、企業(yè)形象等)的分級���、安全威脅(如人為威脅�����、自然威脅等)發(fā)生的可能性及嚴重性分析�、對系統(tǒng)物理環(huán)境�����、硬件設(shè)備�����、網(wǎng)絡(luò)平臺�、基礎(chǔ)系統(tǒng)平臺、業(yè)務應用系統(tǒng)��、安全管理��、運行措施等方面的安全脆弱性(或稱薄弱環(huán)節(jié))分析���,并通過對已有安全控制措施的確認�,借助定量����、定性分析的方法,推斷出用戶關(guān)心的重要資產(chǎn)當前的安全風險�,并根據(jù)風險的嚴重級別制定風險處理計劃,確定下一步的安全需求方向�����。
等級保護的前提是對系統(tǒng)定級,根據(jù)FIPS199�����,系統(tǒng)定級根據(jù)系統(tǒng)信息的機密性��、完整性�、可用性(簡稱CIA特性)等三性損失的最大值來確定,即“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個步驟進行系統(tǒng)最終的定級�����。將信息系統(tǒng)安全類別(簡稱SC)表示為一個與CIA特性的潛在影響相關(guān)的三重函數(shù)����,一般模式是:SC= {(保密性,影響)��,(完整性���,影響)����,(可用性����,影響)}��。
等級保護中的系統(tǒng)分類分級的思想和風險評估中對信息資產(chǎn)的重要性分級基本一致�,不同的是:等級保護的級別是從系統(tǒng)的業(yè)務需求或CIA特性出發(fā)���,定義系統(tǒng)應具備的安全保障業(yè)務等級,而風險評估中最終風險的等級則是綜合考慮了信息的重要性�、系統(tǒng)現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合評估結(jié)果,也就是說�,在風險評估中,CIA價值高的信息資產(chǎn)不一定風險等級就高�����。在確定系統(tǒng)安全等級級別后��,風險評估的結(jié)果可作為實施等級保護���、等級安全建設(shè)的出發(fā)點和參考�����。
等級保護與系統(tǒng)測評的關(guān)系
基本判斷:系統(tǒng)安全測評及行政認可是安全等級保護的落腳點��。
根據(jù)NIST SP800-37�����,認證過程偏重于對系統(tǒng)安全性的評估����,認可過程則屬于管理機關(guān)的行為,是指根據(jù)評估的結(jié)果來判斷信息系統(tǒng)的安全控制措施是否有效���、殘余風險是否可接受�����。根據(jù)前述�,在我國�����,目前主管部門安全認可的依據(jù)多數(shù)是系統(tǒng)安全測評的結(jié)果�����。主管部門根據(jù)系統(tǒng)測評結(jié)果判斷���,如果殘余風險可以接受��,則允許系統(tǒng)投入運行或繼續(xù)運行�����,否則信息系統(tǒng)便沒有達到特定安全等級的安全要求��。沒有最終的主管認可過程����,等級保護無法落到實處�。從這個意義上講,進行等級保護建設(shè)���、實施風險管理過程后的系統(tǒng)安全測評及行政認可是等級保護的落腳點���。
風險評估與系統(tǒng)測評的關(guān)系
基本判斷:風險評估與系統(tǒng)測評分別是針對系統(tǒng)生命周期建設(shè)不同階段存在的安全風險的相近判斷方法。對同一個生命周期的系統(tǒng)�,風險評估是安全建設(shè)的起點,系統(tǒng)測評是安全建設(shè)的終點��?;蛘呖梢岳斫鉃?��,系統(tǒng)安全測評是實施風險管理措施后的風險再評估。
二者均是對信息及信息系統(tǒng)系統(tǒng)安全性的一種評價判斷方法�����,因此�����,二者并沒有本質(zhì)的區(qū)別��,或者說�����,二者的安全工作目標基本一致�����,二者的工作核心都是對信息及系統(tǒng)安全風險的評價����,因此,二者在實施內(nèi)容上有許多共同之處�����。具體講二者在操作方面的差異性,則風險評估是系統(tǒng)明確安全需求���,確定成本-效益適合的安全控制措施的出發(fā)點����,風險評估通過對被評估用戶廣泛的��、戰(zhàn)略性的分析來判斷機構(gòu)內(nèi)各類重要資產(chǎn)的風險級別����;系統(tǒng)安全測評則是對已采取的安全控制措施(如管理措施��、運行措施���、技術(shù)措施等)有效性的驗證��,安全測評更關(guān)注于對系統(tǒng)現(xiàn)有安全控制措施的技術(shù)驗證��,從而給出系統(tǒng)現(xiàn)存安全脆弱性的準確判斷�。行業(yè)主管部門或信息化主管部門在系統(tǒng)測評結(jié)果的基礎(chǔ)上�����,判斷系統(tǒng)安全風險是否可接受或已得到了有效的管理,從而給出是否批準系統(tǒng)投入運行或繼續(xù)運行的最終結(jié)論��。
