壹、等級保護、風險評估和安全測評的概念和提出背景
1、等級保護
信息安全等級保護是指對國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的安全產品實行按等級管理,對信息系統中發生的信息安全事件進行等級響應、處置。
註意:這裏所指的信息系統,是指由計算機及其相關、配套的設備和設施構成的,按照壹定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡。信息則是指在信息系統中存儲、傳輸、處理的數字化信息。
提出背景:
1994年2月頒布的《中華人民***和國計算機信息系統安全保護條例》規定:計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。
1999年,公安部組織起草了《計算機信息系統安全保護等級劃分準則》(GB 17859-1999),規定了計算機信息系統安全保護能力的五個等級,即第壹級:用戶自主保護級;第二級:系統審計保護級;第三級:安全標記保護級;第四級:結構化保護級;第五級:訪問驗證保護級。GB17859中的分級是壹種技術的分級,即對系統客觀上具備的安全保護技術能力等級的劃分。
2002年7月18日,公安部在GB17859的基礎上,又發布實施了五個GA新標準,分別是:GA/T 387-2002《計算機信息系統安全等級保護網絡技術要求》、GA 388-2002 《計算機信息系統安全等級保護操作系統技術要求》、GA/T 389-2002《計算機信息系統安全等級保護數據庫管理系統技術要求》、GA/T 390-2002《計算機信息系統安全等級保護通用技術要求》、GA 391-2002 《計算機信息系統安全等級保護管理要求》。這些標準是我國計算機信息系統安全保護等級系列標準的壹部分。
2004年,在《關於信息安全等級保護工作的實施意見的通知》(簡稱66號文)中,信息和信息系統的安全保護等級被劃分為五級,即第壹級:自主保護級;第二級:指導保護級;第三級:監督保護級;第四級:強制保護級;第五級:專控保護級。特別強調的是,66號文中的分級主要是從信息和信息系統的業務重要性及遭受破壞後的影響出發的,是系統從應用需求出發必須納入的安全業務等級,而不是GB17859中定義的系統已具備的安全技術等級。
2、風險評估
信息安全風險評估是參照風險評估標準和管理規範,對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。
提出背景:
風險評估不是壹個新概念,金融、電子商務等許多領域都有風險及風險評估需求的存在。當風險評估應用於IT領域時,就是對信息安全的風險評估。國內這幾年對信息安全風險評估的研究進展較快,具體的評估方法也在不斷改進。風險評估也從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現以資產為出發點、以威脅為觸發、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。
2004年,國務院信息化工作辦公室組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定,並在其中規定了信息安全風險評估的工作流程、評估內容、評估方法和風險判斷準則,這對規範我國信息安全風險評估的做法具有很好的指導意義。
3、系統安全測評
由具備檢驗技術能力和政府授權資格的權威機構,依據國家標準、行業標準、地方標準或相關技術規範,按照嚴格程序對信息系統的安全保障能力進行的科學公正的綜合測試評估活動,以幫助系統運行單位分析系統當前的安全運行狀況、查找存在的安全問題,並提供安全改進建議,從而最大程度地降低系統的安全風險。
註意:認證則是對測評活動是否符合標準化要求和質量管理要求所作的確認,認證以標準和測評的結果作為依據。
提出背景:
我國的系統認證雖然起步較早,但由於認證周期、建設差異等多方面的原因,目前的系統認證數量還非常少。在我國,中國信息安全產品測評認證中心(簡稱CNITSEC)是較早並較有影響力的開展有關系統安全測評認證的機構。
國家認監委等8部委聯合下發的《關於建立國家信息安全產品認證認可體系的通知》(簡稱57號文)明確規定,對信息安全產品進行“統壹標準、技術規範與合格評定程序;統壹認證目錄;統壹認證標誌;統壹收費標準”的“四統壹”的認證要求。在國家認監委對信息系統的安全認證相關具體意見尚未出臺前,多數情況下,系統安全測評的結果可直接作為主管部門對系統安全認可的依據。
二、三者的聯系和區別
等級保護是指導我國信息安全保障體系建設的壹項基礎管理制度,而風險評估、系統測評則是在等級保護制度下,對信息及信息系統安全性進行評價的兩種特定的、有所區分但又有所聯系的的不同的研究、分析方法。從這個意義上講,等級保護要高於風險評估和系統測評。
打個比方:如果說等級保護是指導信息安全建設的憲法,風險評估和安全測評則是針對系統安全性評估或合格判定方面的專項法律。