| 單價: | 面議 |
| 發貨期限: | 自買家付款之日起 天內發貨 |
| 所在地: | 直轄市 北京 北京大興 |
| 有效期至: | 長期有效 |
| 發布時間: | 2023-11-26 04:01 |
| 最后更新: | 2023-11-26 04:01 |
| 瀏覽次數: | 117 |
| 采購咨詢: |
請賣家聯系我
|
等級保護、風險評估和安全測評三者的區別和聯系都有哪些?
等級保護、風險評估和安全測評三者的區別和聯系都有哪些?
等級保護、風險評估和安全測評三者的區別和聯系都有哪些?
三者的基本概念和工作背景
等級保護
基本概念:網絡安全等級保護是指對國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的安全產品實行按等級管理,對信息系統中發生的信息安全事件等等級響應、處置。這里所指的信息系統,是指由計算機及其相關和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡;信息是指在信息系統中存儲、傳輸、處理的數字化信息。
背景及參考依據:網絡安全等級保護是國家網絡安全保障的基本制度、基本策略、基本方法。開展網絡安全等級保護工作是保護信息化發展、維護網絡安全的根本保障,是網絡安全保障工作中國家意志的體現。網絡安全等級保護工作包括定級、備案、建設整改、等級測評、監督檢查五個階段。定級對象建設完成后,運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構,依據《網絡安全等級保護測評要求》等技術標準,定期對定級對象安全等級狀況開展等級測評。GB 17859-1999《計算機信息系統安全保護等級劃分準則》、GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》、GB/T 28448-2019《信息安全技術 網絡安全等級保護測評要求》、《中華人民共和國網絡安全法》、GB/T 28449-2018《信息安全技術 網絡安全等級保護測評過程指南》、GB/T 20984-2007《信息安全技術 信息安全風險評估規范》、GB/T 36627-2018《信息安全技術 網絡安全等級保護測試評估技術指南》、GB/T 25058-2019《信息安全技術 網絡安全等級保護實施指南》。
風險評估
基本概念:信息安全風險評估是參照風險評估標準和管理規范,對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。
背景及參考依據:《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定,并在其中規定了信息安全風險評估的工作流程、評估內容、評估方法和風險判斷準則,對規范我國信息安全風險評估的做法具有很好的指導意義,GBT 20984-2022 《信息安全技術 信息安全風險評估方法》描述了信息安全風險評估的基本概念、風險要素關系、風險分析原理、風險評估實施流程和平估方法,以及風險評估在信息系統生命周期不同階段的實施要點和工作形式。GB-T 31509-2015 《信息安全技術 信息安全風險評估實施指南》規定了信息安全風險評估實施的過程和方法,用于各類安全評估機構或被評估組織對非涉密信息系統的信息安全風險評估項目的管理,指導風險評估項目的組織、實施、驗收等工作。
系統安全測評
基本概念:由具備檢驗技術能力和政府授權資格的quanwei機構,依據國家標準、行業標準、地方標準或相關技術規范,按照嚴格程序對信息系統的安全保障能力進行的科學公正的綜合測試評估活動,以幫助系統運行單位分析系統當前的安全運行狀況、查找存在的安全問題,并提供安全改進建議,從而最大程度地降低系統的安全風險。
背景及參考依據:測評和認證的區別:測評如前述定義,認證則是對測評活動是否符合標準化要求和質量管理要求所作的確認,認證以標準和測評的結果作為依據。我國的系統認證起步較早,但由于認證周期、建設差異等多方面的原因,目前的系統認證數量還非常少。特別是國家認監委成立后,強調了信息安全要“一個統一認證出口”的要求。國家認監委等8部委聯合下發的《關于建立國家信息安全產品認證認可體系的通知》4(簡稱57號文)中已明確規定了對信息安全產品進行“統一標準、技術規范與合格評定程序;統一認證目錄;統一認證標志;統一收費標準”的“四統一”的認證要求。在國家認監委對信息系統的安全認證相關具體意見尚未出臺前,多數情況下,系統安全測評的結果可直接作為主管部門對系統安全認可的依據。
三者的相互內在聯系和區別
三者關系的基本判斷
基本判斷:等級保護是指導我國信息安全保障體系建設的一項基礎管理制度,風險評估、系統測評都是在等級保護制度下,對信息及信息系統安全性評價方面兩種特定的、有所區分但又有所聯系的的不同研究、分析方法。
等級保護是指導我國信息安全保障體系總體建設的基礎管理原則,是圍繞信息安全保障全過程的一項基礎性管理制度,其核心內容是對信息安全分等級、按標準進行建設、管理和監督。風險評估、系統測評則只是針對信息安全評價方面兩種有所區分但又有所聯系的的不同研究、分析方法。從這個意義上講,等級保護要高于風險評估和系統測評。當系統定級原則確定并根據該原則將系統分類分級后,那風險評估、系統測評都可以理解為在等級保護制度下的風險評估和等級保護制度下的系統測評,操作時只需在原有風險評估、系統測評方法、操作程序的基礎上,加入特定等級的特殊要求就是了。打個比方:如果說等級保護是指導信息安全建設的憲法,則風險評估、安全測評則是針對系統安全性評估或合格判定方面的專項法律。至于66號文中提及的等級保護制度中的其他建設內容,如等級化安全保障體系設計、等級化安全產品選用、等級化安全事件處理響應,由于和安全評估沒有特別直接的關系,本文不再展開討論。
等級保護與風險評估的關系
基本判斷:風險評估是等級保護(不同等級不同安全需求)的出發點。風險評估中的風險等級和等級保護中的系統定級均充分考慮到信息資產CIA特性的高低,但風險評估中的風險等級加入了對現有安全控制措施的確認因素,也就是說,等級保護中**別的信息系統不一定就有**別的安全風險。
風險評估是安全建設的出發點,它的重要意義就在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案制定,以成本-效益平衡的原則,通過對用戶關心的重要資產(如信息、硬件、軟件、文檔、代碼、服務、設備、企業形象等)的分級、安全威脅(如人為威脅、自然威脅等)發生的可能性及嚴重性分析、對系統物理環境、硬件設備、網絡平臺、基礎系統平臺、業務應用系統、安全管理、運行措施等方面的安全脆弱性(或稱薄弱環節)分析,并通過對已有安全控制措施的確認,借助定量、定性分析的方法,推斷出用戶關心的重要資產當前的安全風險,并根據風險的嚴重級別制定風險處理計劃,確定下一步的安全需求方向。
等級保護的前提是對系統定級,根據FIPS199,系統定級根據系統信息的機密性、完整性、可用性(簡稱CIA特性)等三性損失的最大值來確定,即“明確各種信息類型----確定每種信息類型的安全類別----確定系統的安全類別”三個步驟進行系統最終的定級。將信息系統安全類別(簡稱SC)表示為一個與CIA特性的潛在影響相關的三重函數,一般模式是:SC= {(保密性,影響),(完整性,影響),(可用性,影響)}。
等級保護中的系統分類分級的思想和風險評估中對信息資產的重要性分級基本一致,不同的是:等級保護的級別是從系統的業務需求或CIA特性出發,定義系統應具備的安全保障業務等級,而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統現有安全控制措施的有效性及運行現狀后的綜合評估結果,也就是說,在風險評估中,CIA價值高的信息資產不一定風險等級就高。在確定系統安全等級級別后,風險評估的結果可作為實施等級保護、等級安全建設的出發點和參考。
等級保護與系統測評的關系
基本判斷:系統安全測評及行政認可是安全等級保護的落腳點。
根據NIST SP800-37,認證過程偏重于對系統安全性的評估,認可過程則屬于管理機關的行為,是指根據評估的結果來判斷信息系統的安全控制措施是否有效、殘余風險是否可接受。根據前述,在我國,目前主管部門安全認可的依據多數是系統安全測評的結果。主管部門根據系統測評結果判斷,如果殘余風險可以接受,則允許系統投入運行或繼續運行,否則信息系統便沒有達到特定安全等級的安全要求。沒有最終的主管認可過程,等級保護無法落到實處。從這個意義上講,進行等級保護建設、實施風險管理過程后的系統安全測評及行政認可是等級保護的落腳點。
風險評估與系統測評的關系
基本判斷:風險評估與系統測評分別是針對系統生命周期建設不同階段存在的安全風險的相近判斷方法。對同一個生命周期的系統,風險評估是安全建設的起點,系統測評是安全建設的終點。或者可以理解為,系統安全測評是實施風險管理措施后的風險再評估。
二者均是對信息及信息系統系統安全性的一種評價判斷方法,二者并沒有本質的區別,或者說,二者的安全工作目標基本一致,二者的工作核心都是對信息及系統安全風險的評價,二者在實施內容上有許多共同之處。具體講二者在操作方面的差異性,則風險評估是系統明確安全需求,確定成本-效益適合的安全控制措施的出發點,風險評估通過對被評估用戶廣泛的、戰略性的分析來判斷機構內各類重要資產的風險級別;系統安全測評則是對已采取的安全控制措施(如管理措施、運行措施、技術措施等)有效性的驗證,安全測評更關注于對系統現有安全控制措施的技術驗證,從而給出系統現存安全脆弱性的準確判斷。行業主管部門或信息化主管部門在系統測評結果的基礎上,判斷系統安全風險是否可接受或已得到了有效的管理,從而給出是否批準系統投入運行或繼續運行的最終