等级保护风险评估和安全测评三者之间的区别与联系

等级保护风险评估和安全测评三者之间的区分与联系刚接触平安测试这项任务的时分，对等级维护、风险评价和平安测评三者之间的联络很不清楚，常常会弄混杂。幸得有这样一篇文章，具体引见了三者的概念区分以及联络，廓清了他们之间的关系。好文章不敢独享，特在此和大家一同共享。一、三者的根本概念和任务背景A、等级维护根本概念：信息平安等级维护是指对国度隐秘信息、法人和其他组织和公民的专有信息以及地下信息和存对信息系统中发作的信息平安事情等等级照顾、处置。这里所指的信息系统，是指由计算机及其相关和配套的设备、设备构成的，依照肯定的运用目的和规那么对信息停顿存储、传输、处置的系统或许网络；信息是指在信息系统中存储、传输、处置的数字化信息。任务背景：1994年国务院公布的«中华人民共和国计算机信息系统平安维护条例»2规章：计算机信息系统1999年公安部组织起草了«计算机信息系统平安维护等级划分准那么»〔GB17859-1999系统平安维护才能的五个等级，即：第一级：用户自主维护级；其次级：系统审计维护级；第三级：平安标志维护级；第四级:构造化维护级；第五级：访问验证维护级。GB17859中的分级是一种技术的分级，2023年7月18GB17859公布实施五个GA标准，区分是：GA/T387-2023«计算机信息系统平安等级维护网络技术要求»、GA388-2023«计算机信息系统平安等级维护操作系统技术要求»、GA/T389-2023«计算机信息系统平安等级维护数据库治理系统技术要求»、GA/T390-2023«计算机信息系统平安等级维护通用技术要求»、GA391-2023«计算机信息系统平安等级维护治理要求»。这些标准是我国计算机信息系统平安维护等级系列标准的一局部。«关于信息平安等级维护任务的实施意见的通知»3〔简称66号文〕将信息和信息系统的平安维护等级划分为五级，即：第一级：自主维护级；其次级：教导维护级；第三级：监视维护级；第四级：强迫维护级；第五级：专控维护级。特别强调的是：66号文中的分级主要是从信息和信息系统的业务重要性及患病破坏后的影响动身的，是系统从运用需求动身必需归入的平安业务等级，而不是GB17859中定义的系统已具有的平安技术等级。B、风险评价根本概念：信息平安风险评价是参照风险评价标准和治理标准，对信息系统的资产价值、潜在挟制、薄弱环节、已实行的防护措施等停顿剖析，判别平安事情发作的概率以及能够形成的损失，提出风险治理措施的进程。任务背景：风险评价不是一个概念，金融、电子商务等很多范围都有风险及风险评价需求的存在。当风险评价运用于IT范围时，就是对信息平安的风险评价。国际这几年对信息平安风险评价的研讨停顿较快，具体的评价方法也在不时改进。风险评价也从早期简单的马脚扫描、人工审计、浸透性测试这种类型的纯BS7799OCTAVENISTSP800-26NISTSP800-30AS/NZS4360、SSE-CMM等方法，充分表达以资产为动身点、以挟制为触发、以技术/治理/运转等方面存在的脆弱性为诱因的信息平安风险评价综合方法及操作模型。国务院信息化任务办公室2023年组织完成了«信息平安风险评价指南»及«信息平安风险治理指南»标准草案的制定，并在其中规章了信息平安风险评价的任务流程、评信办正组织在全国北京、上海、黑龙江、云南等省市及税务、银行、电力等行业范围作风险评价试点任务，争论对上述两个风险评价/2023年9月份前完成试点任务，并在试点任务的根底上构成有关开放信息平安风险评价任务的教导意见。C、系统平安测评根本概念：由具有检验技术才能和政府授权资格的威望机构，依据国度标准、行业标准、中心标准或相关技术标准，依照严峻挨次对信息系统的平安保证才能停顿的迷信公正的综合测试评价活动，以帮助系统运转单位剖析系统以后的平安运转状况、查找存在的平安效果，并供给平安改进建议，从而最大水平地降低系统的平安风险。任务背景：在我国，中国信息平安产品测评认证中心〔简称CNITSEC〕是较早并较有影响的开放有关系统平安测评认证的机构。这里强调一下测评和认证的区分：测评如前述定义，认证那么是对测评活动能否契合标准化要求和质量治理要求所作确实认，认证以标准和测评的结果作为依据。在美国，系统认证的结果通常作为主管部门对建系统投入运转前的平安审批或已建系统平安静态监管〔即系统认可〕的依据。依据美国FISMA6NISTSP800-37的规章，系统认证是〝对信息系统的技术类、治理类和运转类平安掌握所停顿的综合评价〞，认可那么是〝由治理层作出的决策，用来授权一个信息系统投入运转〞。我国的系统认证虽然起步较早，但由于认证周期、树立差异等多方面的缘由，目前的系统认证数量还格外少。特别是国度认监委成立后，强调了信息平安要〝一个全都认证出口〞的要求。国度认监委等8部委结合下发的«关于树立国度信息平安产品认证认可体系的通知»4〔简称57号文〕中已明白规章了对信息平安产品停止〝全都标准、技术标准与合格评定挨次；全都认证名目；全都认证标志；全都收费标准〞的〝四全都〞的认证要求。在国度认监委对信息系统的平安认证相关具体意见尚未出台前，少数状况下，系统平安测评的结果可直接作为主管部门对系统平安认可的依据。典型例子如上海市信息平安测评认证中心，在相关职能部门授权下，已完成了对上海市100余家重要信息系统、涉密信息系统、区县以上综合医院的信息系统的平安测评任务，并为市信息委、市国度、市卫生局等信息化主管部门或行业主管部门供给了重要的技术决策依据。二、三者的相互内在联络和区分A、三者关系的根本判别根本判别：等级维护是教导我国信息平安保证体系树立的一项根底治理制度，风险评价、系统测评都是在等级维护制度下，对信息及信息系统平安性评价方面两种特定的、有所区分但又有所联络的的不同研讨、剖析方法。等级维护是教导我国信息平安保证体系总体树立的根底治理，是围绕信息平安保证全进程的一项基础性治理制度，其中心内容是对信息平安分等级、按标准停顿树立、治理和监视。风险评价、系统测评那么只是针对信息平安评价方面两种有所区分但又有所联络的的不同研讨、剖析方法。从这个意义上讲，等级维护要高于风险评价和系统测评。当系统定级确定并依据该将系统分类分级后，那风险评价、系统测评都可以了解为在等级维护制度下的风险评价和等级维护制度下的系统测评，操作时只需在原有风险评价、系统测评方法、操作挨次的根底上，参与特定等级的特别要求就是了。打个比方：假设说等级维护是教导信息平安树立的宪法，那么风险评价、平安测评那么是针对系统平安性评价或合格判定方面的专项法律。至于66号文中提及的等级维护制度中的其他树立内容，如等级化平安保证体系设计、等级化平安产品选用、等级化平安事情处置照顾，由于和平安评价没有特别直接的关系，本文不再开放争论。B、等级维护与风险评价的关系根本判别：风险评价是等级维护〔不同等级不同平安需求〕的动身点。风险评价中的风险等级和等级维护中的系统定级均充分思考到信息资产CIA施确实认要素，也就是说，等级维护中初级别的信息系统不肯定就有初级别的平安风险。风险评价是平安树立的动身点，它的重要意义就在于改动传统的以技术驱动为导向的平安体系构造设计及具体平安方案制定，以本钱－效益平衡的，经过对用户关心的重要资产〔如信息、硬件、软件、文档、代码、效劳、设备、企业笼统等〕的分级、平安挟制〔如人为挟制、自然挟制等〕发作的能够性及严重性剖析、对系统物理环境、硬件设备、网络平台、根底系统平台、业务运用系统、平安治理、运转措施等方面的平安脆弱性〔或称薄弱环节〕剖析，并经过对已有平安掌握措施确实认，借助定量、定性剖析的方法，推断出用户关心的重要资产以后的平安风险，并依据风险的严峻级别制定风险处置方案，确定下一步的平安需求方向。等级维护的前提是对系统定级，依据FIPS199，系统定级依据系统信息的隐秘性、完整性、可用性〔简称CIA特性〕等三性损失的最大值来确定，即〝明白各种信息类型 确定每种信息类型的平安类别 确定系统的平安类别〞三个步骤停顿系统最终的定级。将信息系统平安类别〔简称SC〕表示为一个与CIA特性SC=。等级维护中的系统分类分级的思想和风险评价中对信息资产的重要性分级根本分歧，不同的是：等级维护的级别是从系统的业务需求或CIA的等级那么是综合思考了信息的重要性、系统现有平安掌握措施的有效性及运转现状后的综合评价结果CIA风险评价的结果可作为实施等级维护、等级平安树立的动身点和参考。C、等级维护与系统测评的关系根本判别：系统平安测评及行政认可是平安等级维护的落脚点。依据NISTSP800-37，认证进程侧重于对系统平安性的评价，认可进程那么属于治理机关的行为，是指依据评价的结果来判别信息系统的平安掌握措施能否有效、剩余风险能否可承受。依据前述，在我国，目前主管部门平安认可的依据少数是系统平安测评的结果。主管部门依据系统测评结果判别，假设剩余风险可以承受，那么允许系统投入运转或连续运转，否那么信息系统便没有到达特定平安等级的平安要求。没有最终的主管认可进程，等级维护无法落到实处。从这个意义上讲，停顿等级维护树立、实施风险治理进程后的系统平安测评及行政认可是等级维护的落脚点。D、风险评价与系统测评的关系根本判别：风险评价与系统测评区分是针对系统生命周期树立不同阶段存在的平安风险的相近判别方法。对同一个生命周期的系统，风险评价是平安树立的终点，系统测评是平安树立的终点。或许可以了解为，系统平安测评是实施风险治理措施后的风险再评价。二者均是对信息及信息系统系统平安性的一种评价判别方法，因此，二者并没有实质的区分，或许说，二者的平安任务目的根本分歧，二者的任务中心都是对信息及系统平安风险的评价，因此，二者在实施内容上有很多共同之处。具体讲二者在操作方面的差异性，那么风险评价是系统明白平安需求，确定本钱－效益适宜的平安掌握措施的动身点，风险评价经过对被评价用户普遍的、战略性的剖析来判别机构内各类重有效性的验证，平安测评更关注于对系统现有平安掌握措施的技术验证，从而给出系统现存平安脆弱性的准确判别。行业主管部门或信息化主管部门在系统测评结果的根底上，判别系统平安风险能否可承受或已失掉了有效的治理，从而给出能否同意系统投入运转或连续运转的最终结论。三、对三者在SDLC进程中的实施建议通常状况下，我们将信息系统树立生命周期〔SDLC〕划分为五个阶段：规划需求阶段、设计开发阶段、实施阶段、运转维护阶段、废弃阶段。也就是说，系统是不时变化的，平安树立也应随之发作变化。因此，从实际上剖析，无论是等级维护、风险评价或是系统测评，均适用于SDLC的各个阶段。为防止三者之间相近的任务内容在SDLC的同一个阶段重复停顿，依照〝谁主管，谁担当；谁运转，谁担当〞的，从等两类不同发起主体或组织主体的角度思考，建议按下述内容实施：1、规划需求阶段树立单位自觉依照国度有关平安等级划分及系统定级的停顿定级，并报主管部门备案。树立单位依照既定等级的风险评价治理要求和国度有关风险评价的技术标准自觉停顿风险评价，明白系统在隐秘性、完整性、可用性等方面的平安需求目的。2、设计开发阶段及实施阶段树立单位〔或托付承建单位〕依据既定的平安需求目的，依照国度有关等级维护的治理标准和技术标准，停顿系统平安体系构造及具体实施方案的设计，推销和运用相应等级的信息平安产品，树立平安设备，落实平安技术措施。主管部门托付或指定第三方机构对树立单位的系统平安设计方案停顿评审，并将第三方机构出具的平安方案评审报告作为能否允许平安实施的依据。注：树立单位在停顿风险评价时，应依据自身的客观条件选择自评价方式或托付第三方机构评价的方式停止；主管部门发起的平安测评一般应托付具有授权资质和技术才能的第三方机构停顿。客观上讲，任何一个第三方机构的评价接入都有能够对系统自身带来的平安挟制和风险，为此，增加对第三方评价机构的治理至关重要，特别是对参与根底信息网络或三级以上重要信息系统平安评价的机构可实行强迫容许制度，具体的容许制度和容许要求可以由相关信息平安主管部门或信息系统行业主管部门制定。此外，还应增加对第三方评价机构的平安，要求一切第三方评价机构应自觉遵守国度有关保密法规和其他相关规章，对评价任务中触及的保密事项，应签定保密协议，承担保密责任并实行相应保密措施。3、运转维护阶段主管部门在系统平安树立根本完成后，托付或指定第三方机构对根本建成的系统停顿平安测评，以评价系统以后运转环境下的平安掌握措施能否和既定等级的平安需求分歧、关键资产的平安风险能否掌握在可接受范围之内，并将第三方机构的平安测评报告作为能否同意系统投入运转〔即系统认可〕的依据。此外，思考到信息技术、平安技术、平安攻防技术及相关标准、实际、方法的不时开展，即使系统在认可有效期内没有任何关于技术、业务及治理内容的变卦，主管部门也应当发起周期性的平安测评和平安认可，以坚持系统的平安外形维持在标准容许及群众承受的范围之内。在«关于进一步增加上海市信息平安保证任务的实施意见»5中，对上海行政区域内公用通讯网、播送电视传输网等根底信息网络，银行/税务/证券/海关/铁道/电力/民航/水务/燃气/轨道交通/医疗卫生和大型国有企业等触及国计民生的信息系统，以及运用财政性资金树立的信息系统〔统称“重要信息系统“〕作出了强迫实行等级维护和平安测评的要求。对建、改建、扩建的重要信息系统，在立项后由平安测评机构评审其平安设计方案，评审报告报有关主管部门确认，未经过评审的不得实施；正式投入运转前，应停顿系统平安测评，测评结果报有关主管部门确