收藏
下载资源

等级保护、风险评估和安全测评三者之间的区别与联系

上传人:鲁** 文档编号:490441130 上传时间:2023-08-24 格式:DOCX 页数:9 大小:24.77KB
返回 下载 相关 举报
等级保护、风险评估和安全测评三者之间的区别与联系_第1页
第1页 / 共9页
等级保护、风险评估和安全测评三者之间的区别与联系_第2页
第2页 / 共9页
等级保护、风险评估和安全测评三者之间的区别与联系_第3页
第3页 / 共9页
等级保护、风险评估和安全测评三者之间的区别与联系_第4页
第4页 / 共9页
等级保护、风险评估和安全测评三者之间的区别与联系_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《等级保护、风险评估和安全测评三者之间的区别与联系》由会员分享,可在线阅读,更多相关《等级保护、风险评估和安全测评三者之间的区别与联系(9页珍藏版)》请在金锄头文库上搜索。

1、 欢迎阅读本文档,希望本文档能对您有所帮助!等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。好文章不敢独享,特在此和大家一起分享。 VUk2pEGO. k? X7h2 一、三者的基本概念和工作背景 1-4W4# A、等级保护 _Uc le %&0_0BU 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品

2、实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 +Ccj #M; 工作背景:1994年国务院颁布的中华人民共和国计算机信息系统安全保护条例2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了计算机信息系统安全保护等级划分准则(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户

3、自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002计算机信息系统安全等级保护网络技术要求、GA 388-2002 计算机信息系统安全等级保护操作系统技术要求、GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求、GA/T 390-2002计算机信息系统安全等级保护通用技术要求、GA 391-2002 计算机信息系统安全

4、等级保护管理要求。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。关于信息安全等级保护工作的实施意见的通知3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。 # *vIwX-Q 9q(*rAm XDRw!H, hi969 B、风险评估 tm%3 F &;I=*BkE$ 基本概念:信息安全

5、风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。 ( E;!.=% ?zn k8| kqdF)Wa am 工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、N

6、IST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。国务院信息化工作办公室2004年组织完成了信息安全风险评估指南及信息安全风险管理指南标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,对规范我国信息安全风险评估的做法具有很好的指导意义。目前,国信办正组织在全国北京、上海、黑龙江、云南等省市及税务、银行、电力等行业领域作风险评估试点工作,探讨对上述两个风险评估/风险管理标准草案的理解修订及相关管理问题的研究,预计200

7、5年9月份前完成试点工作,并在试点工作的基础上形成有关开展信息安全风险评估工作的指导意见。 V/P;n 5F&xU$a- 0(F 8 avdH=&= C、系统安全测评 X p|P+ ;c;N(2 ;XKe) AApWJ3 基本概念:由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。 1HPYW7jk b9FfDDOq AXBf ) lyZt PS 工作背景:在我国,

8、中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响的开展有关系统安全测评认证的机构。这里强调一下测评和认证的区别:测评如前述定义,认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。在美国,系统认证的结果通常作为主管部门对新建系统投入运行前的安全审批或已建系统安全动态监管(即系统认可)的依据。根据美国FISMA6及NIST SP800-37的规定,系统认证是“对信息系统的技术类、管理类和运行类安全控制所进行的综合评估”,认可则是“由管理层作出的决策,用来授权一个信息系统投入运行”。我国的系统认证虽然起步较早,但由于认证周期、建设差异等多

9、方面的原因,目前的系统认证数量还非常少。特别是国家认监委成立后,强调了信息安全要“一个统一认证出口”的要求。国家认监委等8部委联合下发的关于建立国家信息安全产品认证认可体系的通知4(简称57号文)中已明确规定了对信息安全产品进行“统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准”的“四统一”的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。典型例子如上海市信息安全测评认证中心,在相关职能部门授权下,已完成了对上海市100余家重要信息系统、涉密信息系统、区县以上综合医院的信息系统的安

10、全测评工作,并为市信息委、市国家保密局、市卫生局等信息化主管部门或行业主管部门提供了重要的技术决策依据。 &G4yM N!RkV:X E6 glR x|3f$ =b 二、三者的相互内在联系和区别 Ll,HgU; +Tc r$z+ D5AXV _DlkTi5(w +aa( YGL 基本判断:等级保护是指导我国信息安全保障体系建设的一项基础管理制度,风险评估、系统测评都是在等级保护制度下,对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的的不同研究、分析方法。 OanHG MJxTzQE NW82p &nC)T $m$tfa- GQZLOjsop Z :5vo 基本判断:风险评估是等

11、级保护(不同等级不同安全需求)的出发点。风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中高级别的信息系统不一定就有高级别的安全风险。 Yn0l=, n X6Ro es2 LdSBNg#3 ppwjr + 风险评估是安全建设的出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,以成本效益平衡的原则,通过对用户关心的重要资产(如信息、硬件、软件、文档、代码、服务、设备、企业形象等)的分级、安全威胁(如人为威胁、自然威胁等)发生的可能性及严重性分析、对系

12、统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性(或称薄弱环节)分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处理计划,确定下一步的安全需求方向。 ,dze= pv:7kgod a?yO/ 2 $6&P 69 等级保护的前提是对系统定级,根据FIPS199,系统定级根据系统信息的机密性、完整性、可用性(简称CIA特性)等三性损失的最大值来确定,即“明确各种信息类型-确定每种信息类型的安全类别-确定系统的安全类别”三个步骤进行系统最终的定级。将信息系统安全类别(简

13、称SC)表示为一个与CIA特性的潜在影响相关的三重函数,一般模式是:SC= (保密性,影响),(完整性,影响),(可用性,影响)。 m 6Xex.d (WW*yv.J Y 8. MnG9KR 等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。在确定系统安全等级级别后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。 /3MTutM|X 8mQmG4 w- NIgBs C、等级保护与系统测评的关系 5 I q&eUw(F 基本判断:系统安全测评及行政认可是安全等级保护的落脚点。 =Mg/mQI oD5VE /+FZDRf!r #%R|P3 根据NIST SP800-37,认证过程偏重于对系统安全性的评估,认可过程则属于管理机关的行为,是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。根据前述,在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号