信息安全等级保护与风险评估

1、信息安全等级保护与风险评估 信息安全等级保护是指对存储、 传输、处理信息的信息系统分等级实行安全 保护，对信息系统中使用的安全产品实行按等级管理， 对信息系统中发生的信息 安全事件分等级进行响应、处置。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、 按标准进 行建设、管理和监督。 国家对信息安全等级保护工作运用法律和技术规范逐级加 强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。等级保护基本要求的内容分技术和管理两大部分， 其中技术部分分为： 物理 安全、网络安全、主机安全、应用安全和数据安全及备份恢复等 5 大类，管理部 分分为：安全管理制度、安全管理机构、人员安全管

2、理、系统建设管理和系统运 维管理等 5 大类。按照计算机信息系统安全保护等级划分准则 规定的规定， 我国实行五级 信息安全等级保护。 第一级：用户自主保护级 ; 第二级：系统审计保护级 ; 第三级： 安全标记保护级 ;第四级：结构化保护级 ; 第五级：访问验证保护级。由公安部、国家保密局、 国家密码管理委员会办公室、 国务院信息化工作办 公室联合发出的 66 号文关于信息安全等级保护工作的实施意见的通知将信 息和信息系统的安全保护等级划分为五级，即：第一级：自主保护级 ; 第二级： 指导保护级 ; 第三级：监督保护级 ;第四级：强制保护级 ;第五级：专控保护级。66 号文中的分级主要是从信息和

3、信息系统的业务重要性及遭受破坏后的影 响出发的，是系统从应用需求出发必须纳入的安全业务等级，而不是 GB17859 中定义的安全技术等级。风险评估就是量化评判安全事件带来的影响或损失的可能程度。从信息安全的角度来讲， 风险评估是对信息资产所面临的威胁、 存在的弱点、 造成的影响， 以及三者综合作用所带来风险的可能性的评估。 作为风险管理的基 础，风险评估是组织确定信息安全需求的一个重要途径， 属于组织信息安全管理 体系策划的过程。风险评估的主要任务包括：1) 识别组织面临的各种风险 ;2) 评估风险概率和可能带来的负面影响 ;3) 确定组织承受风险的能力 ;4) 确定风险消减和控制的优先等级

4、;5) 推荐风险消减对策。在风险评估过程中需要考虑几个关键问题：一、要确定保护的对象 ( 资产) 是什么 ?它的直接和间接价值如何 ?二、资产面临哪些潜在威胁 ?导致威胁的问题所在 ?威胁发生的可能 性有多大?三、资产中存在哪里弱点可能会被威胁所利用 ?利用的容易程度又如 何?四、一旦威胁事件发生， 组织会遭受怎样的损失或者面临怎样的负面 影响?五、组织应该采取怎样的安全措施才能将风险带来的损失降低到最 低程度?解决以上这些问题的过程，就是风险评估的过程。风险评估是以安全建设为出发点， 它的重要意义就在于改变传统的以技术驱 动为导向的安全体系结构设计及详细安全方案制定， 通过对用户关心的重要资

5、产 的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网 络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆 弱性的分析，并通过对已有安全控制措施的确认，借助定量、定性分析的方法， 推断出用户关心的重要资产当前的安全风险， 并根据风险的严重级别制定风险处 置计划，确定下一步的安全需求方向。等级保护的前提是对系统定级，系统定级根据系统信息的机密性、完整性、 可用性等三大性来确定。 即是“明确各种信息类型 确定每种信息类型的安全类别 确定系统的安全类别”三个步骤进行系统最终的定级。等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级 基本一致， 不同的是：等级保护的级别是从系统的业务需求或 CIA 特性出发，定 义系统应具备的安全保障业务等级， 而风险评估中最终风险的等级则是综合考虑 了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结 果，也就是说，在风险评估中， CIA 价值高的信息资产不一定风险等级就高。等保其实就是帮助用户分析、评定信息系统的等级，以便在后期的工作中根 据不同的等级进行不同级别的安全防护，而风险评估是帮助