?

2022-06-17 15:17

邁入“等保2.0時代”以后，我國對于等級保護的要求更為嚴格和具體。等級保護、風險評估和安全測評這三個詞，也因此總是出現(xiàn)在人們的視野之中，還總是被混淆。那這三者究竟分別是什么呢？如何區(qū)分它們？它們之間有什么聯(lián)系嗎？今天帶大家一起來了解一下。

等級保護

概念

信息安全等級保護是指對國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件進行等級響應、處置。

注意：這里所指的信息系統(tǒng)，是指由計算機及其相關、配套的設備和設施構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡。信息則是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。

背景

圖|等級保護政策標準體系

1994年2月頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定：計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。

1999年，公安部組織起草了《計算機信息系統(tǒng)安全保護等級劃分準則》(GB 17859-1999)，規(guī)定了計算機信息系統(tǒng)安全保護能力的五個等級，即第一級：用戶自主保護級；第二級：系統(tǒng)審計保護級；第三級：安全標記保護級；第四級：結(jié)構(gòu)化保護級；第五級：訪問驗證保護級。GB17859中的分級是一種技術(shù)的分級，即對系統(tǒng)客觀上具備的安全保護技術(shù)能力等級的劃分。

2002年7月18日，公安部在GB17859的基礎上，又發(fā)布實施了五個GA新標準，分別是:GA/T 387-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術(shù)要求》、GA 388-2002 《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求》、GA/T 389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》、GA/T 390-2002《計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》、GA 391-2002 《計算機信息系統(tǒng)安全等級保護管理要求》。這些標準是我國計算機信息系統(tǒng)安全保護等級系列標準的一部分。

2004年，在《關于信息安全等級保護工作的實施意見的通知》(簡稱66號文)中，信息和信息系統(tǒng)的安全保護等級被劃分為五級，即第一級：自主保護級；第二級：指導保護級；第三級：監(jiān)督保護級；第四級：強制保護級；第五級：?？乇Ｗo級。特別強調(diào)的是，66號文中的分級主要是從信息和信息系統(tǒng)的業(yè)務重要性及遭受破壞后的影響出發(fā)的，是系統(tǒng)從應用需求出發(fā)必須納入的安全業(yè)務等級，而不是GB17859中定義的系統(tǒng)已具備的安全技術(shù)等級。

風險評估

概念

信息安全風險評估是參照風險評估標準和管理規(guī)范，對信息系統(tǒng)的資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風險管理措施的過程。

背景

風險評估不是一個新概念，金融、電子商務等許多領域都有風險及風險評估需求的存在。當風險評估應用于IT領域時，就是對信息安全的風險評估。國內(nèi)這幾年對信息安全風險評估的研究進展較快，具體的評估方法也在不斷改進。風險評估也從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

2004年，國務院信息化工作辦公室組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定，并在其中規(guī)定了信息安全風險評估的工作流程、評估內(nèi)容、評估方法和風險判斷準則，這對規(guī)范我國信息安全風險評估的做法具有很好的指導意義。

系統(tǒng)安全測評

概念

由具備檢驗技術(shù)能力和政府授權(quán)資格的權(quán)威機構(gòu)，依據(jù)國家標準、行業(yè)標準、地方標準或相關技術(shù)規(guī)范，按照嚴格程序?qū)π畔⑾到y(tǒng)的安全保障能力進行的科學公正的綜合測試評估活動，以幫助系統(tǒng)運行單位分析系統(tǒng)當前的安全運行狀況、查找存在的安全問題，并提供安全改進建議，從而最大程度地降低系統(tǒng)的安全風險。

注意：認證則是對測評活動是否符合標準化要求和質(zhì)量管理要求所作的確認，認證以標準和測評的結(jié)果作為依據(jù)。

背景

我國的系統(tǒng)認證雖然起步較早，但由于認證周期、建設差異等多方面的原因，目前的系統(tǒng)認證數(shù)量還非常少。在我國，中國信息安全產(chǎn)品測評認證中心(簡稱CNITSEC)是較早并較有影響力的開展有關系統(tǒng)安全測評認證的機構(gòu)。

國家認監(jiān)委等8部委聯(lián)合下發(fā)的《關于建立國家信息安全產(chǎn)品認證認可體系的通知》(簡稱57號文)明確規(guī)定，對信息安全產(chǎn)品進行“統(tǒng)一標準、技術(shù)規(guī)范與合格評定程序；統(tǒng)一認證目錄；統(tǒng)一認證標志；統(tǒng)一收費標準”的“四統(tǒng)一”的認證要求。在國家認監(jiān)委對信息系統(tǒng)的安全認證相關具體意見尚未出臺前，多數(shù)情況下，系統(tǒng)安全測評的結(jié)果可直接作為主管部門對系統(tǒng)安全認可的依據(jù)。

等級保護、風險評估、系統(tǒng)測評的聯(lián)系和區(qū)別

等級保護是指導我國信息安全保障體系建設的一項基礎管理制度。

風險評估、系統(tǒng)測評則是在等級保護制度下，對信息及信息系統(tǒng)安全性進行評價的兩種特定的、有所區(qū)分但又有所聯(lián)系的不同研究、分析方法。

從這個意義上講，等級保護要高于風險評估和系統(tǒng)測評。

等級保護和風險評估如何區(qū)別？

等級保護的前提是對系統(tǒng)定級，系統(tǒng)定級根據(jù)系統(tǒng)信息的機密性、完整性、可用性等三大性來確定，即是明確各種信息類型-確定每種信息類型的安全類別-確定系統(tǒng)的安全類別三個步驟進行系統(tǒng)最終的定級。

等級保護中的系統(tǒng)分類分級的思想和風險評估中對信息資產(chǎn)的重要性分級基本一致，不同的是：等級保護的級別是從系統(tǒng)的業(yè)務需求或CIA特性出發(fā)，定義系統(tǒng)應具備的安全保障業(yè)務等級，而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合評估結(jié)果，也就是說，在風險評估中，CIA價值高的信息資產(chǎn)不一定風險等級就高。

等級保護其實就是幫助用戶分析、評定信息系統(tǒng)的等級，以便在后期的工作中根據(jù)不同的等級進行不同級別的安全防護；而風險評估則是幫助用戶了解目前的安全現(xiàn)狀，以便在后期進行整體的安全規(guī)劃與建設。我們可以用風險評估這種手段檢查等保的落實和執(zhí)行情況，將風險評估的結(jié)果作為實施等級保護等級安全建設的出發(fā)點和參考。

注：在信息安全等級保護工作中，根據(jù)信息系統(tǒng)的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）來劃分信息系統(tǒng)的安全等級，三個性質(zhì)簡稱CIA。

看完今天的科普之后，相信大家對等級保護、風險評估和系統(tǒng)測評都有了一些基本的了解。2022年，各項法律政策越來越完善，定期開展安全檢測和風險評估已經(jīng)成為了國家對相關行業(yè)的基本要求，在等級保護制度之下，做好風險評估和系統(tǒng)測評工作，落實網(wǎng)絡安全審查要求、建立健全網(wǎng)絡安全監(jiān)測預警和信息共享機制是每個行業(yè)企業(yè)和網(wǎng)絡安全廠商應盡的責任，了解相關的知識，也可以幫助我們更好的為關鍵信息基礎設施的安全保護工作貢獻力量。文章來源地址http://www.zghlxwxcb.cn/news/detail-785616.html

到了這里，關于等級保護、風險評估和安全測評分別是什么？的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！