等级保护、风险评估和安全测评三者之间的区别与联系

1、.：.；等级维护、风险评价和平安测评三者之间的区别与联络刚接触平安测试这项任务的时候，对等级维护、风险评价和平安测评三者之间的联络很不清楚，经常会弄混淆。幸得有这样一篇文章，详细引见了三者的概念区别以及联络，廓清了他们之间的关系。好文章不敢独享，特在此和大家一同分享。 VUk2pEGO. k? X7h2 一、三者的根本概念和任务背景 1-4W4# A、等级维护 _Uc le %&0_0BU 根本概念：信息平安等级维护是指对国家信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处置这些信息的信息系统分等级实行平安维护，对信息系统中运用的平安产品实行按等级管理，对信息系统中发生的信息平

2、安事件等等级呼应、处置。这里所指的信息系统，是指由计算机及其相关和配套的设备、设备构成的，按照一定的运用目的和规那么对信息进展存储、传输、处置的系统或者网络；信息是指在信息系统中存储、传输、处置的数字化信息。 +Ccj #M; 任务背景：1994年国务院公布的2规定：计算机信息系统实行平安等级维护，平安等级的划分规范和平安等级维护的详细方法，由公安部会同有关部门制定。1999年公安部组织起草了GB 17859-1999，规定了计算机信息系统平安维护才干的五个等级，即：第一级：用户自主维护级；第二级：系统审计维护级；第三级：平安标志维护级；第四级:构造化维护级；第五级：访问验证维护级。GB178

3、59中的分级是一种技术的分级，即对系统客观上具备的平安维护技术才干等级的划分。2002年7月18日，公安部在GB17859的根底上，又发布实施五个GA新规范，分别是：GA/T 387-2002、GA 388-2002 、GA/T 389-2002、GA/T 390-2002、GA 391-2002 。这些规范是我国计算机信息系统平安维护等级系列规范的一部分。3简称66号文将信息和信息系统的平安维护等级划分为五级，即：第一级：自主维护级；第二级：指点维护级；第三级：监视维护级；第四级：强迫维护级；第五级：专控维护级。特别强调的是：66号文中的分级主要是从信息和信息系统的业务重要性及蒙受破坏后的影

4、响出发的，是系统从运用需求出发必需纳入的平安业务等级，而不是GB17859中定义的系统已具备的平安技术等级。 # *vIwX-Q 9q(*rAm XDRw!H, hi969 B、风险评价 tm%3 F &;I=*BkE$ 根本概念：信息平安风险评价是参照风险评价规范和管理规范，对信息系统的资产价值、潜在要挟、薄弱环节、已采取的防护措施等进展分析，判别平安事件发生的概率以及能够呵斥的损失，提出风险管理措施的过程。 ( E;!.=% ?zn k8| kqdF)Wa am 任务背景：风险评价不是一个新概念，金融、电子商务等许多领域都有风险及风险评价需求的存在。当风险评价运用于IT领域时，就是对信息平

5、安的风险评价。国内这几年对信息平安风险评价的研讨进展较快，详细的评价方法也在不断改良。风险评价也从早期简单的破绽扫描、人工审计、浸透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分表达以资产为出发点、以要挟为触发、以技术/管理/运转等方面存在的脆弱性为诱因的信息平安风险评价综合方法及操作模型。国务院信息化任务办公室2004年组织完成了及规范草案的制定，并在其中规定了信息平安风险评价的任务流程、评价内容、评价方法和风险判别准那么，对规范我国信息平安风险评价的做法具

6、有很好的指点意义。目前，国信办正组织在全国北京、上海、黑龙江、云南等省市及税务、银行、电力等行业领域作风险评价试点任务，讨论对上述两个风险评价/风险管理规范草案的了解修订及相关管理问题的研讨，估计2005年9月份前完成试点任务，并在试点任务的根底上构成有关开展信息平安风险评价任务的指点意见。 V/P;n 5F&xU$a- 0(F 8 avdH=&= C、系统平安测评 X p|P+ ;c;N(2 ;XKe) AApWJ3 根本概念：由具备检验技术才干和政府授权资历的权威机构，根据国家规范、行业规范、地方规范或相关技术规范，按照严厉程序对信息系统的平安保证才干进展的科学公正的综合测试评价活动，以协

7、助 系统运转单位分析系统当前的平安运转情况、查找存在的平安问题，并提供平安改良建议，从而最大程度地降低系统的平安风险。 1HPYW7jk b9FfDDOq AXBf ) lyZt PS 任务背景：在我国，中国信息平安产品测评认证中心简称CNITSEC是较早并较有影响的开展有关系统平安测评认证的机构。这里强调一下测评和认证的区别：测评如前述定义，认证那么是对测评活动能否符合规范化要求和质量管理要求所作确实认，认证以规范和测评的结果作为根据。在美国，系统认证的结果通常作为主管部门对新建系统投入运转前的平安审批或已建系统平安动态监管即系统认可的根据。根据美国FISMA6及NIST SP800-37的

8、规定，系统认证是“对信息系统的技术类、管理类和运转类平安控制所进展的综合评价，认可那么是“由管理层作出的决策，用来授权一个信息系统投入运转。我国的系统认证虽然起步较早，但由于认证周期、建立差别等多方面的缘由，目前的系统认证数量还非常少。特别是国家认监委成立后，强调了信息平安要“一个一致认证出口的要求。国家认监委等8部委结合下发的4简称57号文中已明确规定了对信息平安产品进展“一致规范、技术规范与合格评定程序；一致认证目录；一致认证标志；一致收费规范的“四一致的认证要求。在国家认监委对信息系统的平安认证相关详细意见尚未出台前，多数情况下，系统平安测评的结果可直接作为主管部门对系统平安认可的根据。

9、典型例子如上海市信息平安测评认证中心，在相关职能部门授权下，已完成了对上海市100余家重要信息系统、涉密信息系统、区县以上综合医院的信息系统的平安测评任务，并为市信息委、市国家严密局、市卫生局等信息化主管部门或行业主管部门提供了重要的技术决策根据。 &G4yM N!RkV:X E6 glR x|3f$ =b 二、三者的相互内在联络和区别 Ll,HgU; +Tc r$z+ D5AXV _DlkTi5(w +aa( YGL 根本判别：等级维护是指点我国信息平安保证体系建立的一项根底管理制度，风险评价、系统测评都是在等级维护制度下，对信息及信息系统平安性评价方面两种特定的、有所区分但又有所联络的的不

10、同研讨、分析方法。 OanHG MJxTzQE NW82p &nC)T $m$tfa- GQZLOjsop Z :5vo 根本判别：风险评价是等级维护不同等级不同平安需求的出发点。风险评价中的风险等级和等级维护中的系统定级均充分思索到信息资产CIA特性的高低，但风险评价中的风险等级参与了对现有平安控制措施确实认要素，也就是说，等级维护中高级别的信息系统不一定就有高级别的平安风险。 Yn0l=, n X6Ro es2 LdSBNg#3 ppwjr + 风险评价是平安建立的出发点，它的重要意义就在于改动传统的以技术驱动为导向的平安体系构造设计及详细平安方案制定，以本钱效益平衡的原那么，经过对用户关

11、怀的重要资产如信息、硬件、软件、文档、代码、效力、设备、企业笼统等的分级、平安要挟如人为要挟、自然要挟等发生的能够性及严重性分析、对系统物理环境、硬件设备、网络平台、根底系统平台、业务运用系统、平安管理、运转措施等方面的平安脆弱性或称薄弱环节分析，并经过对已有平安控制措施确实认，借助定量、定性分析的方法，推断出用户关怀的重要资产当前的平安风险，并根据风险的严重级别制定风险处置方案，确定下一步的平安需求方向。 ,dze= pv:7kgod a?yO/ 2 $6&P 69 等级维护的前提是对系统定级，根据FIPS199，系统定级根据系统信息的性、完好性、可用性简称CIA特性等三性损失的最大值来确定

12、，即“明确各种信息类型-确定每种信息类型的平安类别-确定系统的平安类别三个步骤进展系统最终的定级。将信息系统平安类别简称SC表示为一个与CIA特性的潜在影响相关的三重函数，普通方式是：SC= 严密性，影响，完好性，影响，可用性，影响。 m 6Xex.d (WW*yv.J Y 8. MnG9KR 等级维护中的系统分类分级的思想和风险评价中对信息资产的重要性分级根本一致，不同的是：等级维护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的平安保证业务等级，而风险评价中最终风险的等级那么是综合思索了信息的重要性、系统现有平安控制措施的有效性及运转现状后的综合评价结果，也就是说，在风险评价中，

13、CIA价值高的信息资产不一定风险等级就高。在确定系统平安等级级别后，风险评价的结果可作为实施等级维护、等级平安建立的出发点和参考。 /3MTutM|X 8mQmG4 w- NIgBs C、等级维护与系统测评的关系 5 I q&eUwc Tum9Xa 9Y9 pKTU 6Y#-5oE u/ D、风险评价与系统测评的关系 A+JM* eB ELF,T ( HvITw% X%+FM 根本判别：风险评价与系统测评分别是针对系统生命周期建立不同阶段存在的平安风险的相近判别方法。对同一个生命周期的系统，风险评价是平安建立的起点，系统测评是平安建立的终点。或者可以了解为，系统平安测评是实施风险管理措施后的风

14、险再评价。 (7Pk5 91oIxW 8DNo # ;,b4O7 二者均是对信息及信息系统系统平安性的一种评价判别方法，因此，二者并没有本质的区别，或者说，二者的平安任务目的根本一致，二者的任务中心都是对信息及系统平安风险的评价，因此，二者在实施内容上有许多共同之处。详细讲二者在操作方面的差别性，那么风险评价是系统明确平安需求，确定本钱效益适宜的平安控制措施的出发点，风险评价经过对被评价用户广泛的、战略性的分析来判别机构内各类重要资产的风险级别；系统平安测评那么是对已采取的平安控制措施如管理措施、运转措施、技术措施等有效性的验证，平安测评更关注于对系统现有平安控制措施的技术验证，从而给出系统现

15、存平安脆弱性的准确判别。行业主管部门或信息化主管部门在系统测评结果的根底上，判别系统平安风险能否可接受或已得到了有效的管理，从而给出能否同意系统投入运转或继续运转的最终结论。 #ynyg%| _8Si8+j oR.KtS$uh N=) E$h 三、对三者在SDLC过程中的实施建议 ;SBM7fwRk GaEJ$c MBoWHe) uJ S+;H 通常情况下，我们将信息系统建立生命周期SDLC划分为五个阶段：规划需求阶段、设计开发阶段、实施阶段、运转维护阶段、废弃阶段。也就是说，系统是不断变化的，平安建立也应随之发生变化。因此，从实际上分析，无论是等级维护、风险评价或是系统测评，均适用于SDLC

16、的各个阶段。为防止三者之间相近的任务内容在SDLC的同一个阶段反复进展，按照“谁主管，谁担任；谁运转，谁担任的原那么，从系统建立单位多数情况下建立单位即运转单位、行业主管部门或信息化主管部门简称主管部门等两类不同发起主体或组织主体的角度思索，建议按下述内容实施： SdI) Sr_R? 5 zysY xbex6iZE 1、规划需求阶段 $CaF5?Ke dMsX=EIl!9K wVCZ=L iARIvhfdi EfY|S3Av 建立单位按照既定等级的风险评价管理要求和国家有关风险评价的技术规范自觉进展风险评价，明确系统在性、完好性、可用性等方面的平安需求目的。 h?2qX (3C6Wt 2nj9

17、a5 2、设计开发阶段及实施阶段 |9POl= pR2QS W?8 |h fU_itb( 建立单位或委托承建单位根据既定的平安需求目的，按照国家有关等级维护的管理规范和技术规范，进展系统平安体系构造及详细实施方案的设计，采购和运用相应等级的信息平安产品，建立平安设备，落实平安技术措施。 Klh7&HzR XA ! A Pr h9c54Ux wIv5&X-B &Cp)y 3、运转维护阶段 |lAu6d ! EHXbj t8 gW K s QfP8U 主管部门在系统平安建立根本完成后，委托或指定第三方机构对根本建成的系统进展平安测评，以评价系统当前运转环境下的平安控制措施能否和既定等级的平安需求一

18、致、关键资产的平安风险能否控制在可接受范围之内，并将第三方机构的平安测评报告作为能否同意系统投入运转即系统认可的根据。此外，思索到信息技术、平安技术、平安攻防技术及相关规范、实际、方法的不断开展，即使系统在认可有效期内没有任何关于技术、业务及管理内容的变卦，主管部门也应该发起周期性的平安测评和平安认可，以坚持系统的平安形状维持在规范答应及公众接受的范围之内。 8r(S=dA U)aXRS vttmSdY w+ gA3Dg 在5中，对上海行政区域内公用通讯网、广播电视传输网等根底信息网络，银行/税务/证券/海关/铁道/电力/民航/水务/燃气/轨道交通/医疗卫生和大型国有企业等涉及国计民生的信息系

19、统，以及运用财政性资金建立的信息系统统称重要信息系统作出了强迫实行等级维护和平安测评的要求。对新建、改建、扩建的重要信息系统，在立项后由平安测评机构评审其平安设计方案，评审报告报有关主管部门确认，未经过评审的不得实施；正式投入运转前，应进展系统平安测评，测评结果报有关主管部门确认，未到达要求的不得投入运转、不予验收；对已经过平安测评的重要信息系统，投入运转后要继续加强平安维护，由平安测评机构定期进展平安测评。 2/O/h azKbGS/X wMNtN3 udM4 $8 $EHAHNL?Lx p6u$)wt 建立单位重点对废弃处置不当对资产如硬件、软件、设备、文档等的影响、对信息/硬件/软件的废弃处置方面要挟、对访问控制方面的弱点进展综合风险评价，以确保硬件和软件等资产及残留信息