等级保护、风险评估和安全测评三者之间的区别与联系39753.docx

《等级保护、风险评估和安全测评三者之间的区别与联系39753.docx》由会员分享，可在线阅读，更多相关《等级保护、风险评估和安全测评三者之间的区别与联系39753.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全全测试这项项工作的时时候，对等等级保护、风风险评估和和安全测评评三者之间间的联系很很不清楚，常常常会弄混混淆。幸得得有这样一一篇文章，详详细介绍了了三者的概概念区别以以及联系，澄澄清了他们们之间的关关系。好文文章不敢独独享，特在在此和大家家一起分享享。 VUUk2pEEGO. k? XX7h2 一、三者者的基本概概念和工作作背景 11-4W44# A、等级级保护 _Uc lle %&0_0BU 基本概念念：信息安安全等级保保护是指对对国家秘密密信息、法法人和其他他组织和公公民的专有有信息以及及公开信息息和存储、传传输、处理理这些信息息的

2、信息系系统分等级级实行安全全保护，对对信息系统统中使用的的安全产品品实行按等等级管理，对对信息系统统中发生的的信息安全全事件等等等级响应、处处置。这里里所指的信信息系统，是是指由计算算机及其相相关和配套套的设备、设设施构成的的，按照一一定的应用用目标和规规则对信息息进行存储储、传输、处处理的系统统或者网络络；信息是是指在信息息系统中存存储、传输输、处理的的数字化信信息。 +Ccj #M; 工作背景景：19994年国务务院颁布的的中华人人民共和国国计算机信信息系统安安全保护条条例2规规定：计算算机信息系系统实行安安全等级保保护，安全全等级的划划分标准和和安全等级级保护的具具体办法，由由公安部会会

3、同有关部部门制定。11999年年公安部组组织起草了了计算机机信息系统统安全保护护等级划分分准则（GGB 177859-19999），规定定了计算机机信息系统统安全保护护能力的五五个等级，即即：第一级级：用户自自主保护级级；第二级级：系统审审计保护级级；第三级级：安全标标记保护级级；第四级级:结构化化保护级；第五级：访问验证证保护级。GGB178859中的的分级是一一种技术的的分级，即即对系统客客观上具备备的安全保保护技术能能力等级的的划分。22002年年7月188日，公安安部在GBB178559的基础础上，又发发布实施五五个GA新新标准，分分别是：GGA/T 387-20022计算机机信息系统

4、统安全等级级保护网络络技术要求求、GAA 3888-20002 计计算机信息息系统安全全等级保护护操作系统统技术要求求、GAA/T 3389-22002计计算机信息息系统安全全等级保护护数据库管管理系统技技术要求、GGA/T 390-20022计算机机信息系统统安全等级级保护通用用技术要求求、GAA 3911-20002 计计算机信息息系统安全全等级保护护管理要求求。这些些标准是我我国计算机机信息系统统安全保护护等级系列列标准的一一部分。关关于信息安安全等级保保护工作的的实施意见见的通知33（简称666号文）将将信息和信信息系统的的安全保护护等级划分分为五级，即即：第一级级：自主保保护级；第第

5、二级：指指导保护级级；第三级级：监督保保护级；第第四级：强强制保护级级；第五级级：专控保保护级。特特别强调的的是：666号文中的的分级主要要是从信息息和信息系系统的业务务重要性及及遭受破坏坏后的影响响出发的，是是系统从应应用需求出出发必须纳纳入的安全全业务等级级，而不是是GB177859中中定义的系系统已具备备的安全技技术等级。 # *vIwXX-Q 9q(*rAmm XDRww!H, hi969 B、风险险评估 tm%33 F &;I=*BkkE$ 基本概念念：信息安安全风险评评估是参照照风险评估估标准和管管理规范，对对信息系统统的资产价价值、潜在在威胁、薄薄弱环节、已已采取的防防护措施等等

6、进行分析析，判断安安全事件发发生的概率率以及可能能造成的损损失，提出出风险管理理措施的过过程。 ( E;!.=% ?znn k8| kqdFF)Wa am 工作背景景：风险评评估不是一一个新概念念，金融、电电子商务等等许多领域域都有风险险及风险评评估需求的的存在。当当风险评估估应用于IIT领域时时，就是对对信息安全全的风险评评估。国内内这几年对对信息安全全风险评估估的研究进进展较快，具具体的评估估方法也在在不断改进进。风险评评估也从早早期简单的的漏洞扫描描、人工审审计、渗透透性测试这这种类型的的纯技术操操作，逐渐渐过渡到目目前普遍采采用BS77799、OOCTAVVE、NIIST SSP800

7、0-26、NNIST SP8000-300、AS/NZS44360、SSSE-CCMM等方方法，充分分体现以资资产为出发发点、以威威胁为触发发、以技术术/管理/运行等方方面存在的的脆弱性为为诱因的信信息安全风风险评估综综合方法及及操作模型型。国务院院信息化工工作办公室室20044年组织完完成了信信息安全风风险评估指指南及信信息安全风风险管理指指南标准准草案的制制定，并在在其中规定定了信息安安全风险评评估的工作作流程、评评估内容、评评估方法和和风险判断断准则，对对规范我国国信息安全全风险评估估的做法具具有很好的的指导意义义。目前，国国信办正组组织在全国国北京、上上海、黑龙龙江、云南南等省市及及税

8、务、银银行、电力力等行业领领域作风险险评估试点点工作，探探讨对上述述两个风险险评估/风风险管理标标准草案的的理解修订订及相关管管理问题的的研究，预预计20005年9月月份前完成成试点工作作，并在试试点工作的的基础上形形成有关开开展信息安安全风险评评估工作的的指导意见见。 V/P;n 5F&xxU$aa- 0(FF 8 avddH=&= C、系统统安全测评评 X p|PP+ ;c;N(2 ;XKKe) AAppWJ3 基本概念念：由具备备检验技术术能力和政政府授权资资格的权威威机构，依依据国家标标准、行业业标准、地地方标准或或相关技术术规范，按按照严格程程序对信息息系统的安安全保障能能力进行的的

9、科学公正正的综合测测试评估活活动，以帮帮助系统运运行单位分分析系统当当前的安全全运行状况况、查找存存在的安全全问题，并并提供安全全改进建议议，从而最最大程度地地降低系统统的安全风风险。 11HPYWW7jk b9FffDDOqq AXBff ) lyZt PSS 工作背景景：在我国国，中国信信息安全产产品测评认认证中心（简简称CNIITSECC）是较早早并较有影影响的开展展有关系统统安全测评评认证的机机构。这里里强调一下下测评和认认证的区别别：测评如如前述定义义，认证则则是对测评评活动是否否符合标准准化要求和和质量管理理要求所作作的确认，认认证以标准准和测评的的结果作为为依据。在在美国，系系统

10、认证的的结果通常常作为主管管部门对新新建系统投投入运行前前的安全审审批或已建建系统安全全动态监管管（即系统统认可）的的依据。根根据美国FFISMAA6及NIIST SSP8000-37的的规定，系系统认证是是“对信息系系统的技术术类、管理理类和运行行类安全控控制所进行行的综合评评估”，认可则则是“由管理层层作出的决决策，用来来授权一个个信息系统统投入运行行”。我国的的系统认证证虽然起步步较早，但但由于认证证周期、建建设差异等等多方面的的原因，目目前的系统统认证数量量还非常少少。特别是是国家认监监委成立后后，强调了了信息安全全要“一个统一一认证出口口”的要求。国国家认监委委等8部委委联合下发发的

11、关于于建立国家家信息安全全产品认证证认可体系系的通知44（简称557号文）中中已明确规规定了对信信息安全产产品进行“统一标准准、技术规规范与合格格评定程序序；统一认认证目录；统一认证证标志；统统一收费标标准”的“四统一”的认证要要求。在国国家认监委委对信息系系统的安全全认证相关关具体意见见尚未出台台前，多数数情况下，系系统安全测测评的结果果可直接作作为主管部部门对系统统安全认可可的依据。典典型例子如如上海市信信息安全测测评认证中中心，在相相关职能部部门授权下下，已完成成了对上海海市1000余家重要要信息系统统、涉密信信息系统、区区县以上综综合医院的的信息系统统的安全测测评工作，并并为市信息息委

12、、市国国家保密局局、市卫生生局等信息息化主管部部门或行业业主管部门门提供了重重要的技术术决策依据据。 &G4yMM N!RkkV:XX E6 gglR x|3ff$ =bb 二、三者者的相互内内在联系和和区别 Ll,HHgU; +Tcc rr$zz+ D55AXV _DlkkTi5(w +aa( YGLL 基本判断断：等级保保护是指导导我国信息息安全保障障体系建设设的一项基基础管理制制度，风险险评估、系系统测评都都是在等级级保护制度度下，对信信息及信息息系统安全全性评价方方面两种特特定的、有有所区分但但又有所联联系的的不不同研究、分分析方法。 OanHHG MJxTTzQE NW82pp &n

13、CC)T $m$ttfa- GQZLLOjsoop Z :5vo 基本判断断：风险评评估是等级级保护（不不同等级不不同安全需需求）的出出发点。风风险评估中中的风险等等级和等级级保护中的的系统定级级均充分考考虑到信息息资产CIIA特性的的高低，但但风险评估估中的风险险等级加入入了对现有有安全控制制措施的确确认因素，也也就是说，等等级保护中中高级别的的信息系统统不一定就就有高级别别的安全风风险。 YYn0l=, nn X6RRo ess2 LdSBBNg#33 ppwjjr + 风险评估估是安全建建设的出发发点，它的的重要意义义就在于改改变传统的的以技术驱驱动为导向向的安全体体系结构设设计及详细细

14、安全方案案制定，以以成本效效益平衡的的原则，通通过对用户户关心的重重要资产（如如信息、硬硬件、软件件、文档、代代码、服务务、设备、企企业形象等等）的分级级、安全威威胁（如人人为威胁、自自然威胁等等）发生的的可能性及及严重性分分析、对系系统物理环环境、硬件件设备、网网络平台、基基础系统平平台、业务务应用系统统、安全管管理、运行行措施等方方面的安全全脆弱性（或或称薄弱环环节）分析析，并通过过对已有安安全控制措措施的确认认，借助定定量、定性性分析的方方法，推断断出用户关关心的重要要资产当前前的安全风风险，并根根据风险的的严重级别别制定风险险处理计划划，确定下下一步的安安全需求方方向。 ,dzee=

15、pv:77kgodd a?yO/ 2 $6&PP 69 等级保护护的前提是是对系统定定级，根据据FIPSS199，系系统定级根根据系统信信息的机密密性、完整整性、可用用性（简称称CIA特特性）等三三性损失的的最大值来来确定，即即“明确各种种信息类型型-确定每种种信息类型型的安全类类别-确定系系统的安全全类别”三个步骤骤进行系统统最终的定定级。将信信息系统安安全类别（简简称SC）表表示为一个个与CIAA特性的潜潜在影响相相关的三重重函数，一一般模式是是：SC= （保保密性，影影响），（完完整性，影影响），（可可用性，影影响）。 m 6XXex.dd (WW*yv.JJ Y 8. MnGG9KR

16、等级保护护中的系统统分类分级级的思想和和风险评估估中对信息息资产的重重要性分级级基本一致致，不同的的是：等级级保护的级级别是从系系统的业务务需求或CCIA特性性出发，定定义系统应应具备的安安全保障业业务等级，而而风险评估估中最终风风险的等级级则是综合合考虑了信信息的重要要性、系统统现有安全全控制措施施的有效性性及运行现现状后的综综合评估结结果，也就就是说，在在风险评估估中，CIIA价值高高的信息资资产不一定定风险等级级就高。在在确定系统统安全等级级级别后，风风险评估的的结果可作作为实施等等级保护、等等级安全建建设的出发发点和参考考。 /33MTuttM|XX 8mQQmG4 w- NIggBs

17、 C、等级级保护与系系统测评的的关系 55 II q&eUUwc Tum99Xa 9Y9 pKTUU 6Y#-5oE u/ D、风险险评估与系系统测评的的关系 AA+JM* eB ELF,T ( HvITTw% X%+FFM 基本判断断：风险评评估与系统统测评分别别是针对系系统生命周周期建设不不同阶段存存在的安全全风险的相相近判断方方法。对同同一个生命命周期的系系统，风险险评估是安安全建设的的起点，系系统测评是是安全建设设的终点。或或者可以理理解为，系系统安全测测评是实施施风险管理理措施后的的风险再评评估。 (7Pkk5 91oIIxW 8DNNoo # ;,b4O77 二者均是是对信息及及信

18、息系统统系统安全全性的一种种评价判断断方法，因因此，二者者并没有本本质的区别别，或者说说，二者的的安全工作作目标基本本一致，二二者的工作作核心都是是对信息及及系统安全全风险的评评价，因此此，二者在在实施内容容上有许多多共同之处处。具体讲讲二者在操操作方面的的差异性，则则风险评估估是系统明明确安全需需求，确定定成本效效益适合的的安全控制制措施的出出发点，风风险评估通通过对被评评估用户广广泛的、战战略性的分分析来判断断机构内各各类重要资资产的风险险级别；系系统安全测测评则是对对已采取的的安全控制制措施（如如管理措施施、运行措措施、技术术措施等）有有效性的验验证，安全全测评更关关注于对系系统现有安安

19、全控制措措施的技术术验证，从从而给出系系统现存安安全脆弱性性的准确判判断。行业业主管部门门或信息化化主管部门门在系统测测评结果的的基础上，判判断系统安安全风险是是否可接受受或已得到到了有效的的管理，从从而给出是是否批准系系统投入运运行或继续续运行的最最终结论。 #ynyg%| _8Sii8+j oR.KKtS$uuh N=) E$h 三、对三三者在SDDLC过程程中的实施施建议 ;SBM77fwRkk GaEEJ$cc MBooWHee) uJ SS+;H 通常情况况下，我们们将信息系系统建设生生命周期（SSDLC）划划分为五个个阶段：规规划需求阶阶段、设计计开发阶段段、实施阶阶段、运行行维护

20、阶段段、废弃阶阶段。也就就是说，系系统是不断断变化的，安安全建设也也应随之发发生变化。因因此，从理理论上分析析，无论是是等级保护护、风险评评估或是系系统测评，均均适用于SSDLC的的各个阶段段。为避免免三者之间间相近的工工作内容在在SDLCC的同一个个阶段重复复进行，按按照“谁主管，谁谁负责；谁谁运行，谁谁负责”的原则，从从系统建设设单位（多多数情况下下建设单位位即运行单单位）、行行业主管部部门或信息息化主管部部门（简称称主管部门门）等两类类不同发起起主体或组组织主体的的角度考虑虑，建议按按下述内容容实施： SdI) Sr_R? 5 zysYY xbexx6iZZE 1、规划划需求阶段段 $C

21、aaF5?Ke dMsXX=EIIl!99K wVCZZ=L iARIIvhfddi EfY|S3Avv 建设单位位按照既定定等级的风风险评估管管理要求和和国家有关关风险评估估的技术标标准自觉进进行风险评评估，明确确系统在机机密性、完完整性、可可用性等方方面的安全全需求目标标。 h?2qqX (3C66Wt 2njj9a5 2、设计计开发阶段段及实施阶阶段 |9POll= pR2QS W?8 |h fU_iitb( 建设单位位（或委托托承建单位位）根据既既定的安全全需求目标标，按照国国家有关等等级保护的的管理规范范和技术标标准，进行行系统安全全体系结构构及详细实实施方案的的设计，采采购和使用用

22、相应等级级的信息安安全产品，建建设安全设设施，落实实安全技术术措施。 Klh77&HzRR XA ! A Prr h9c554Ux wIvv5&X-B &Cp)yy 3、运行行维护阶段段 |lAAu6d ! EHXXbj t8 ggW KK s QffP8UU 主管部门门在系统安安全建设基基本完成后后，委托或或指定第三三方机构对对基本建成成的系统进进行安全测测评，以评评价系统当当前运行环环境下的安安全控制措措施是否和和既定等级级的安全需需求一致、关关键资产的的安全风险险是否控制制在可接受受范围之内内，并将第第三方机构构的安全测测评报告作作为是否批批准系统投投入运行（即即系统认可可）的依据据。此

23、外，考考虑到信息息技术、安安全技术、安安全攻防技技术及相关关标准、理理论、方法法的不断发发展，即使使系统在认认可有效期期内没有任任何关于技技术、业务务及管理内内容的变更更，主管部部门也应该该发起周期期性的安全全测评和安安全认可，以以保持系统统的安全状状态维持在在标准许可可及公众接接受的范围围之内。 8r(SS=dA U)aXRS vttmmSdY w+ ggA3Dgg 在关于于进一步加加强上海市市信息安全全保障工作作的实施意意见5中中，对上海海行政区域域内公用通通信网、广广播电视传传输网等基基础信息网网络，银行行/税务/证券/海海关/铁道道/电力/民航/水水务/燃气气/轨道交交通/医疗疗卫生和

24、大大型国有企企业等涉及及国计民生生的信息系系统，以及及使用财政政性资金建建设的信息息系统（统统称重要要信息系统统）作出出了强制实实行等级保保护和安全全测评的要要求。对新新建、改建建、扩建的的重要信息息系统，在在立项后由由安全测评评机构评审审其安全设设计方案，评评审报告报报有关主管管部门确认认，未通过过评审的不不得实施；正式投入入运行前，应应进行系统统安全测评评，测评结结果报有关关主管部门门确认，未未达到要求求的不得投投入运行、不不予验收；对已通过过安全测评评的重要信信息系统，投投入运行后后要继续加加强安全保保护，由安安全测评机机构定期进进行安全测测评。 22/O/hh azKbbGS/XX w

25、MNttN3 udM44 $88 $EHAAHNL?Lx p6u$)wtt 建设单位位重点对废废弃处理不不当对资产产（如硬件件、软件、设设备、文档档等）的影影响、对信信息/硬件件/软件的的废弃处置置方面威胁胁、对访问问控制方面面的弱点进进行综合风风险评估，以以确保硬件件和软件等等资产及残残留信息得得到了适当当的废弃处处置，并且且要确保系系统的更新新换代能以以一个安全全和系统化化的方式完完成。 FFI9kk( 6O8TF 3hy7 !fUrrDOM00E 需要说明明的是：上上述实施建建议主要针针对同一个个完整的SSDLC，但但事实上，在在SDLCC的某一个个具体阶段段，也有可可能由于业业务类型变

26、变化（并可可能导致安安全等级变变化）、新新的安全威威胁的出现现或安全形形势的突变变，要立即即进行安全全需求及安安全设计、安安全实施方方案的调整整。这时，应应参照上述述SDLCC过程中的的“安全定级级风险评评估确定定安全需求求安全体体系设计及及方案方方案评审等级保护护实施安安全测评主管认可可”的步骤进进行。当然然，这个过过程中涉及及的风险评评估、方案案评审、安安全测评等等活动要充充分考虑利利用已有的的评估/测测评成果，减减少再评估估/再测评评造成的重重复投入。 VMK-ALL /PsIW k CC+/ ah%&u 四、结束束语 jrrT5Rww_q Rdaoo nX)a-= a118Hp|% 目

27、前国家家关于等级级保护、风风险评估、系系统测评等等方面的具具体工作要要求、技术术标准、管管理办法等等尚未最终终完全形成成。本文基基于作者对对国家有关关等级保护护、风险评评估、系统统安全测评评等要求及及内容的粗粗浅理解，结结合作者的的一些工作作实践，形形成了对三三者相互之之间关系的的一些基本本判断，并并从实施行行为发起者者的角度，提提出了三者者在系统建建设生命周周期SDLLC中的操操作建议。其其实，不管管何种安全全保护方法法或安全评评估方法，只只要实施有有序、监管管有力，都都能大大改改善、促进进信息系统统的安全建建设、安全全运行和安安全管理，从从而推动整整个国家信信息安全保保障体系的的发展，并并为全面推推进我国的的国民经济济和社会信信息化进程程提供重要要保障。