等級保護(hù)、風(fēng)險評估、安全測評三者的內(nèi)在聯(lián)系及實施建議

1、1等級保護(hù)、風(fēng)險評估、安全測評三者的內(nèi)在聯(lián)系及實施建議等級保護(hù)、風(fēng)險評估、安全測評三者的內(nèi)在聯(lián)系及實施建議趙瑞穎前言前言自《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》1出臺后，等級保護(hù)、風(fēng)險評估、系統(tǒng)安全測評（或稱系統(tǒng)安全評估，簡稱安全測評）都是當(dāng)前國家信息安全保障體系建設(shè)中的熱點話題。本文從這三者的基本概念和工作背景出發(fā)，分析了三者相互之間的內(nèi)在聯(lián)系和區(qū)別并作了基本判斷。本文還結(jié)合信息系統(tǒng)的開發(fā)生命周期模型（簡稱SDLC），本

2、著“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)”的原則，從發(fā)起實施主體的角度給出了三者在SDLC過程中的實施建議。一、三者的基本概念和工作背景一、三者的基本概念和工作背景A、等級保護(hù)、等級保護(hù)基本概念：基本概念：信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件等等級響應(yīng)、處置。這里所指的信息系統(tǒng)，

3、是指由計算機及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。工作背景：工作背景：1994年國務(wù)院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》2規(guī)定：計算機信息系統(tǒng)實行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定。1999年公安部組織起草了《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB178591

4、999），規(guī)定了計算機信息系統(tǒng)安全保護(hù)能力的五個等級，即：第一級：用戶自主保護(hù)級；第二級：系統(tǒng)審計保護(hù)級；第三級：安全標(biāo)記保護(hù)級；第四級:結(jié)構(gòu)化保護(hù)級；第五級：訪問驗證保護(hù)級。GB17859中的分級是一種技術(shù)的分級，即對系統(tǒng)客觀上具備的安全保護(hù)技術(shù)能力等級的劃分。2002年7月18日，公安部在GB17859的基礎(chǔ)上，又發(fā)布實施五個GA新標(biāo)準(zhǔn)，分別是：GAT3872002《計算機信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》、GA3882002《計算

5、機信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》、GAT3892002《計算機信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》、GAT3902002《計算機信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》、GA3912002《計算機信息系統(tǒng)安全等級保護(hù)管理要求》。這些標(biāo)準(zhǔn)是我國計算機信息系統(tǒng)安全保護(hù)等級系列標(biāo)準(zhǔn)的一部分?！蛾P(guān)于信息安全等級保護(hù)工作的實施意見的通知》3（簡稱66號文）將信息和信息系統(tǒng)的安全保護(hù)等級劃分為五級，即：第一級：自主保護(hù)級；第二級：指導(dǎo)保護(hù)

6、級；第三級：監(jiān)督保護(hù)級；第四級：強制保護(hù)級；第五級：?？乇Ｗo(hù)級。特別強調(diào)的是：66號文中的分級主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的，是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級，而不是GB17859中定義的系統(tǒng)已具備的安全技術(shù)等級。B、風(fēng)險評估、風(fēng)險評估基本概念：基本概念：信息安全風(fēng)險評估是參照風(fēng)險評估標(biāo)準(zhǔn)和管理規(guī)范，對信息系統(tǒng)的資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能

7、造成的損失，提出風(fēng)險管理措施的過程。工作背景：工作背景：風(fēng)險評估不是一個新概念，金融、電子商務(wù)等許多領(lǐng)域都有風(fēng)險及風(fēng)險評估需求的存在。當(dāng)風(fēng)險評估應(yīng)用于IT領(lǐng)域時，就是對信息安全的風(fēng)險評估。國內(nèi)這幾年對3的的不同研究、分析方法。從這個意義上講，等級保護(hù)要高于風(fēng)險評估和系統(tǒng)測評。當(dāng)系統(tǒng)定級原則確定并根據(jù)該原則將系統(tǒng)分類分級后，那風(fēng)險評估、系統(tǒng)測評都可以理解為在等級保護(hù)制度下的風(fēng)險評估和等級保護(hù)制度下的系統(tǒng)測評，操作時只需在原有風(fēng)險評估、系統(tǒng)

8、測評方法、操作程序的基礎(chǔ)上，加入特定等級的特殊要求就是了。打個比方：如果說等級保護(hù)是指導(dǎo)信息安全建設(shè)的憲法，則風(fēng)險評估、安全測評則是針對系統(tǒng)安全性評估或合格判定方面的專項法律。至于66號文中提及的等級保護(hù)制度中的其他建設(shè)內(nèi)容，如等級化安全保障體系設(shè)計、等級化安全產(chǎn)品選用、等級化安全事件處理響應(yīng)，由于和安全評估沒有特別直接的關(guān)系，本文不再展開討論。B、等級保護(hù)與風(fēng)險評估的關(guān)系、等級保護(hù)與風(fēng)險評估的關(guān)系基本判斷：風(fēng)險評估是等級保護(hù)（不同等級

9、不同安全需求）的出發(fā)點。風(fēng)險評估中的基本判斷：風(fēng)險評估是等級保護(hù)（不同等級不同安全需求）的出發(fā)點。風(fēng)險評估中的風(fēng)險等級和等級保護(hù)中的系統(tǒng)定級均充分考慮到信息資產(chǎn)風(fēng)險等級和等級保護(hù)中的系統(tǒng)定級均充分考慮到信息資產(chǎn)CIA特性的高低，但風(fēng)險評估中特性的高低，但風(fēng)險評估中的風(fēng)險等級加入了對現(xiàn)有安全控制措施的確認(rèn)因素，也就是說，等級保護(hù)中高級別的信息的風(fēng)險等級加入了對現(xiàn)有安全控制措施的確認(rèn)因素，也就是說，等級保護(hù)中高級別的信息系統(tǒng)不一定就有高級別

10、的安全風(fēng)險。系統(tǒng)不一定就有高級別的安全風(fēng)險。風(fēng)險評估是安全建設(shè)的出發(fā)點，它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計及詳細(xì)安全方案制定，以成本－效益平衡的原則，通過對用戶關(guān)心的重要資產(chǎn)（如信息、硬件、軟件、文檔、代碼、服務(wù)、設(shè)備、企業(yè)形象等）的分級、安全威脅（如人為威脅、自然威脅等）發(fā)生的可能性及嚴(yán)重性分析、對系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺、基礎(chǔ)系統(tǒng)平臺、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運行措施等方面的安全脆弱性（或稱薄弱環(huán)

11、節(jié)）分析，并通過對已有安全控制措施的確認(rèn)，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險，并根據(jù)風(fēng)險的嚴(yán)重級別制定風(fēng)險處理計劃，確定下一步的安全需求方向。等級保護(hù)的前提是對系統(tǒng)定級，根據(jù)FIPS199，系統(tǒng)定級根據(jù)系統(tǒng)信息的機密性、完整性、可用性（簡稱CIA特性）等三性損失的最大值來確定，即“明確各種信息類型――確定每種信息類型的安全類別――確定系統(tǒng)的安全類別”三個步驟進(jìn)行系統(tǒng)最終的定級。將信息系統(tǒng)安全類別（簡稱SC）

12、表示為一個與CIA特性的潛在影響相關(guān)的三重函數(shù)，一般模式是：SC=｛（保密性，影響），（完整性，影響），（可用性，影響）｝。等級保護(hù)中的系統(tǒng)分類分級的思想和風(fēng)險評估中對信息資產(chǎn)的重要性分級基本一致，不同的是：等級保護(hù)的級別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā)，定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級，而風(fēng)險評估中最終風(fēng)險的等級則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合評估結(jié)果，也就是說，在風(fēng)險評估中，CIA價值高的

13、信息資產(chǎn)不一定風(fēng)險等級就高。在確定系統(tǒng)安全等級級別后，風(fēng)險評估的結(jié)果可作為實施等級保護(hù)、等級安全建設(shè)的出發(fā)點和參考。C、等級保護(hù)與系統(tǒng)測評的關(guān)系、等級保護(hù)與系統(tǒng)測評的關(guān)系基本判斷：系統(tǒng)安全測評及行政認(rèn)可是安全等級保護(hù)的落腳點?；九袛啵合到y(tǒng)安全測評及行政認(rèn)可是安全等級保護(hù)的落腳點。根據(jù)NISTSP80037，認(rèn)證過程偏重于對系統(tǒng)安全性的評估，認(rèn)可過程則屬于管理機關(guān)的行為，是指根據(jù)評估的結(jié)果來判斷信息系統(tǒng)的安全控制措施是否有效、殘余風(fēng)險是