等級保護�、風險評估和安全測評三者的區別
2021年11月08日
基本概念:信息安全等級保護是指對國家秘密信息��、法人和其他組織和公民的專有信息以及公開信息和存儲����、傳輸�、處理這些信息的信息系統分等級實行安全保護���,對信息系統中使用的安全產品實行按等級管理�����,對信息系統中發生的信息安全事件等等級響應、處置��。這里所指的信息系統�,是指由計算機及其相關和配套的設備、設施構成的�,按照一定的應用目標和規則對信息進行存儲��、傳輸、處理的系統或者網絡��;信息是指在信息系統中存儲����、傳輸、處理的數字化信息��。
工作背景:1994年×××頒布的《×××計算機信息系統安全保護條例》2規定:計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定�。1999年公安部組織起草了《計算機信息系統安全保護等級劃分準則》(GB 17859-1999)���,規定了計算機信息系統安全保護能力的五個等級��,即:第一級:用戶自主保護級;第二級:系統審計保護級;第三級:安全標記保護級�;第四級:結構化保護級�;第五級:訪問驗證保護級��。GB17859中的分級是一種技術的分級�,即對系統客觀上具備的安全保護技術能力等級的劃分�����。2002年7月18日�,公安部在GB17859的基礎上��,又發布實施五個GA新標準����,分別是:GA/T 387-2002《計算機信息系統安全等級保護網絡技術要求》�����、GA 388-2002 《計算機信息系統安全等級保護操作系統技術要求》、GA/T 389-2002《計算機信息系統安全等級保護數據庫管理系統技術要求》�����、GA/T 390-2002《計算機信息系統安全等級保護通用技術要求》���、GA 391-2002 《計算機信息系統安全等級保護管理要求》�。這些標準是我國計算機信息系統安全保護等級系列標準的一部分?��!蛾P于信息安全等級保護工作的實施意見的通知》3(簡稱66號文)將信息和信息系統的安全保護等級劃分為五級,即:第一級:自主保護級��;第二級:指導保護級��;第三級:監督保護級��;第四級:強制保護級;第五級:?���?乇Wo級�����。特別強調的是:66號文中的分級主要是從信息和信息系統的業務重要性及遭受破壞后的影響出發的,是系統從應用需求出發必須納入的安全業務等級���,而不是GB17859中定義的系統已具備的安全技術等級。
風險評估
基本概念:信息安全風險評估是參照風險評估標準和管理規范���,對信息系統的資產價值、潛在威脅���、薄弱環節���、已采取的防護措施等進行分析�����,判斷安全事件發生的概率以及可能造成的損失�,提出風險管理措施的過程�����。
工作背景:風險評估不是一個新概念�,金融��、電子商務等許多領域都有風險及風險評估需求的存在���。當風險評估應用于IT領域時�,就是對信息安全的風險評估。國內這幾年對信息安全風險評估的研究進展較快��,具體的評估方法也在不斷改進��。風險評估也從早期簡單的漏洞掃描�、人工審計�����、***性測試這種類型的純技術操作��,逐漸過渡到目前普遍采用BS7799、OCTAVE��、NIST SP800-26���、NIST SP800-30�、AS/NZS4360�����、SSE-CMM等方法����,充分體現以資產為出發點��、以威脅為觸發��、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。×××信息化工作辦公室2004年組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定�,并在其中規定了信息安全風險評估的工作流程����、評估內容�����、評估方法和風險判斷準則���,對規范我國信息安全風險評估的做法具有很好的指導意義���。目前�����,國信辦正組織在全國北京、上海��、黑龍江����、云南等省市及稅務���、銀行����、電力等行業領域作風險評估試點工作,探討對上述兩個風險評估/風險管理標準草案的理解修訂及相關管理問題的研究�����,預計2005年9月份前完成試點工作�,并在試點工作的基礎上形成有關開展信息安全風險評估工作的指導意見。
系統安全測評
基本概念:由具備檢驗技術能力和政府授權資格的權威機構�����,依據國家標準���、行業標準����、地方標準或相關技術規范,按照嚴格程序對信息系統的安全保障能力進行的科學公正的綜合測試評估活動��,以幫助系統運行單位分析系統當前的安全運行狀況、查找存在的安全問題���,并提供安全改進建議,從而最大程度地降低系統的安全風險。
工作背景:在我國���,中國信息安全產品測評認證中心(簡稱CNITSEC)是較早并較有影響的開展有關系統安全測評認證的機構。這里強調一下測評和認證的區別:測評如前述定義,認證則是對測評活動是否符合標準化要求和質量管理要求所作的確認�,認證以標準和測評的結果作為依據����。在美國��,系統認證的結果通常作為主管部門對新建系統投入運行前的安全審批或已建系統安全動態監管(即系統認可)的依據。根據美國FISMA6及NIST SP800-37的規定��,系統認證是“對信息系統的技術類�����、管理類和運行類安全控制所進行的綜合評估”�����,認可則是“由管理層作出的決策,用來授權一個信息系統投入運行”�。我國的系統認證雖然起步較早���,但由于認證周期�、建設差異等多方面的原因���,目前的系統認證數量還非常少����。特別是國家認監委成立后,強調了信息安全要“一個統一認證出口”的要求��。國家認監委等8部委聯合下發的《關于建立國家信息安全產品認證認可體系的通知》4(簡稱57號文)中已明確規定了對信息安全產品進行“統一標準�、技術規范與合格評定程序;統一認證目錄�;統一認證標志���;統一收費標準”的“四統一”的認證要求�。在國家認監委對信息系統的安全認證相關具體意見尚未出臺前����,多數情況下�,系統安全測評的結果可直接作為主管部門對系統安全認可的依據。典型例子如上海市信息安全測評認證中心���,在相關職能部門授權下,已完成了對上海市100余家重要信息系統、涉密信息系統�����、區縣以上綜合醫院的信息系統的安全測評工作��,并為市信息委�����、市×××、市衛生局等信息化主管部門或行業主管部門提供了重要的技術決策依據。
三者關系的基本判斷
基本判斷:等級保護是指導我國信息安全保障體系建設的一項基礎管理制度,風險評估、系統測評都是在等級保護制度下����,對信息及信息系統安全性評價方面兩種特定的����、有所區分但又有所聯系的的不同研究����、分析方法。
等級保護是指導我國信息安全保障體系總體建設的基礎管理原則���,是圍繞信息安全保障全過程的一項基礎性管理制度,其核心內容是對信息安全分等級�、按標準進行建設���、管理和監督���。風險評估���、系統測評則只是針對信息安全評價方面兩種有所區分但又有所聯系的的不同研究�、分析方法���。從這個意義上講���,等級保護要高于風險評估和系統測評�。當系統定級原則確定并根據該原則將系統分類分級后,那風險評估、系統測評都可以理解為在等級保護制度下的風險評估和等級保護制度下的系統測評�,操作時只需在原有風險評估��、系統測評方法、操作程序的基礎上,加入特定等級的特殊要求就是了���。打個比方:如果說等級保護是指導信息安全建設的憲法,則風險評估、安全測評則是針對系統安全性評估或合格判定方面的專項法律。至于66號文中提及的等級保護制度中的其他建設內容����,如等級化安全保障體系設計����、等級化安全產品選用����、等級化安全事件處理響應,由于和安全評估沒有特別直接的關系,本文不再展開討論。
等級保護與風險評估的關系
基本判斷:風險評估是等級保護(不同等級不同安全需求)的出發點。風險評估中的風險等級和等級保護中的系統定級均充分考慮到信息資產CIA特性的高低,但風險評估中的風險等級加入了對現有安全控制措施的確認因素,也就是說,等級保護中高級別的信息系統不一定就有高級別的安全風險���。
風險評估是安全建設的出發點,它的重要意義就在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案制定,以成本-效益平衡的原則�,通過對用戶關心的重要資產(如信息��、硬件、軟件、文檔����、代碼�����、服務��、設備���、企業形象等)的分級�、安全威脅(如人為威脅�、自然威脅等)發生的可能性及嚴重性分析、對系統物理環境��、硬件設備����、網絡平臺、基礎系統平臺��、業務應用系統��、安全管理����、運行措施等方面的安全脆弱性(或稱薄弱環節)分析���,并通過對已有安全控制措施的確認���,借助定量�����、定性分析的方法���,推斷出用戶關心的重要資產當前的安全風險,并根據風險的嚴重級別制定風險處理計劃����,確定下一步的安全需求方向�����。
等級保護的前提是對系統定級�,根據FIPS199����,系統定級根據系統信息的機密性、完整性��、可用性(簡稱CIA特性)等三性損失的最大值來確定���,即“明確各種信息類型----確定每種信息類型的安全類別----確定系統的安全類別”三個步驟進行系統最終的定級�。將信息系統安全類別(簡稱SC)表示為一個與CIA特性的潛在影響相關的三重函數,一般模式是:SC= {(保密性��,影響)�,(完整性,影響)�����,(可用性���,影響)}��。
等級保護中的系統分類分級的思想和風險評估中對信息資產的重要性分級基本一致����,不同的是:等級保護的級別是從系統的業務需求或CIA特性出發�,定義系統應具備的安全保障業務等級,而風險評估中最終風險的等級則是綜合考慮了信息的重要性�、系統現有安全控制措施的有效性及運行現狀后的綜合評估結果,也就是說,在風險評估中���,CIA價值高的信息資產不一定風險等級就高。在確定系統安全等級級別后,風險評估的結果可作為實施等級保護�����、等級安全建設的出發點和參考����。
等級保護與系統測評的關系
基本判斷:系統安全測評及行政認可是安全等級保護的落腳點。
根據NIST SP800-37��,認證過程偏重于對系統安全性的評估�,認可過程則屬于管理機關的行為,是指根據評估的結果來判斷信息系統的安全控制措施是否有效���、殘余風險是否可接受。根據前述��,在我國�����,目前主管部門安全認可的依據多數是系統安全測評的結果�����。主管部門根據系統測評結果判斷,如果殘余風險可以接受,則允許系統投入運行或繼續運行�����,否則信息系統便沒有達到特定安全等級的安全要求��。沒有最終的主管認可過程�,等級保護無法落到實處����。從這個意義上講�,進行等級保護建設、實施風險管理過程后的系統安全測評及行政認可是等級保護的落腳點��。
風險評估與系統測評的關系
基本判斷:風險評估與系統測評分別是針對系統生命周期建設不同階段存在的安全風險的相近判斷方法�。對同一個生命周期的系統,風險評估是安全建設的起點,系統測評是安全建設的終點�?��;蛘呖梢岳斫鉃?,系統安全測評是實施風險管理措施后的風險再評估。
二者均是對信息及信息系統系統安全性的一種評價判斷方法,因此��,二者并沒有本質的區別�,或者說,二者的安全工作目標基本一致,二者的工作核心都是對信息及系統安全風險的評價�����,因此�����,二者在實施內容上有許多共同之處�����。具體講二者在操作方面的差異性,則風險評估是系統明確安全需求,確定成本-效益適合的安全控制措施的出發點�����,風險評估通過對被評估用戶廣泛的�、戰略性的分析來判斷機構內各類重要資產的風險級別;系統安全測評則是對已采取的安全控制措施(如管理措施、運行措施���、技術措施等)有效性的驗證�����,安全測評更關注于對系統現有安全控制措施的技術驗證��,從而給出系統現存安全脆弱性的準確判斷。行業主管部門或信息化主管部門在系統測評結果的基礎上��,判斷系統安全風險是否可接受或已得到了有效的管理��,從而給出是否批準系統投入運行或繼續運行的最終結論���。
通常情況下�,我們將信息系統建設生命周期(SDLC)劃分為五個階段:規劃需求階段��、設計開發階段���、實施階段�、運行維護階段���、廢棄階段���。也就是說���,系統是不斷變化的�����,安全建設也應隨之發生變化�����。因此����,從理論上分析,無論是等級保護�、風險評估或是系統測評�����,均適用于SDLC的各個階段。為避免三者之間相近的工作內容在SDLC的同一個階段重復進行���,按照“誰主管,誰負責����;誰運行�,誰負責”的原則,從系統建設單位(多數情況下建設單位即運行單位)����、行業主管部門或信息化主管部門(簡稱主管部門)等兩類不同發起主體或組織主體的角度考慮�����,建議按下述內容實施:
1、規劃需求階段
建設單位自覺按照國家有關安全等級劃分及系統定級的原則進行定級����,并報主管部門備案����。
建設單位按照既定等級的風險評估管理要求和國家有關風險評估的技術標準自覺進行風險評估����,明確系統在機密性����、完整性、可用性等方面的安全需求目標。
2�、設計開發階段及實施階段
建設單位(或委托承建單位)根據既定的安全需求目標���,按照國家有關等級保護的管理規范和技術標準����,進行系統安全體系結構及詳細實施方案的設計����,采購和使用相應等級的信息安全產品,建設安全設施,落實安全技術措施���。
主管部門委托或指定第三方機構對建設單位的系統安全設計方案進行評審,并將第三方機構出具的安全方案評審報告作為是否允許安全實施的依據。
3、運行維護階段
主管部門在系統安全建設基本完成后,委托或指定第三方機構對基本建成的系統進行安全測評����,以評價系統當前運行環境下的安全控制措施是否和既定等級的安全需求一致�����、關鍵資產的安全風險是否控制在可接受范圍之內,并將第三方機構的安全測評報告作為是否批準系統投入運行(即系統認可)的依據。此外��,考慮到信息技術�����、安全技術����、安全***技術及相關標準���、理論�、方法的不斷發展����,即使系統在認可有效期內沒有任何關于技術、業務及管理內容的變更���,主管部門也應該發起周期性的安全測評和安全認可,以保持系統的安全狀態維持在標準許可及公眾接受的范圍之內�。
在《關于進一步加強上海市信息安全保障工作的實施意見》中���,對上海行政區域內公用通信網�����、廣播電視傳輸網等基礎信息網絡,銀行/稅務/證券/海關/鐵道/電力/民航/水務/燃氣/軌道交通/醫療衛生和大型國有企業等涉及國計民生的信息系統��,以及使用財政性資金建設的信息系統(統稱"重要信息系統")作出了強制實行等級保護和安全測評的要求����。對新建�����、改建、擴建的重要信息系統,在立項后由安全測評機構評審其安全設計方案���,評審報告報有關主管部門確認,未通過評審的不得實施;正式投入運行前�,應進行系統安全測評���,測評結果報有關主管部門確認�����,未達到要求的不得投入運行����、不予驗收;對已通過安全測評的重要信息系統�����,投入運行后要繼續加強安全保護�����,由安全測評機構定期進行安全測評��。
4、廢棄階段
建設單位重點對廢棄處理不當對資產(如硬件���、軟件、設備����、文檔等)的影響��、對信息/硬件/軟件的廢棄處置方面威脅、對訪問控制方面的弱點進行綜合風險評估���,以確保硬件和軟件等資產及殘留信息得到了適當的廢棄處置,并且要確保系統的更新換代能以一個安全和系統化的方式完成��。
需要說明的是:上述實施建議主要針對同一個完整的SDLC����,但事實上,在SDLC的某一個具體階段�,也有可能由于業務類型變化(并可能導致安全等級變化)、新的安全威脅的出現或安全形勢的突變��,要立即進行安全需求及安全設計���、安全實施方案的調整���。這時����,應參照上述SDLC過程中的“安全定級-風險評估-確定安全需求-安全體系設計及方案-方案評審-等級保護實施-安全測評-主管認可”的步驟進行。當然,這個過程中涉及的風險評估、方案評審、安全測評等活動要充分考慮利用已有的評估/測評成果,減少再評估/再測評造成的重復投入�����。
目前國家關于等級保護��、風險評估����、系統測評等方面的具體工作要求�����、技術標準�、管理辦法等尚未最終完全形成�。本文基于作者對國家有關等級保護、風險評估、系統安全測評等要求及內容的粗淺理解,結合作者的一些工作實踐�����,形成了對三者相互之間關系的一些基本判斷,并從實施行為發起者的角度���,提出了三者在系統建設生命周期SDLC中的操作建議。其實�,不管何種安全保護方法或安全評估方法����,只要實施有序����、監管有力�,都能大大改善、促進信息系統的安全建設、安全運行和安全管理����,從而推動整個國家信息安全保障體系的發展���,并為全面推進我國的國民經濟和社會信息化進程提供重要保障�。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
關注公眾號
獲取免費咨詢和安全服務
