网络安全中等保,风险评估,安全测评都是什么意思,有哪些联系
等级保护
基本概念梳理:
网络安全等级保护旨在为国家秘密信息、法人及公民专有信息以及公开信息的安全提供多层次的保障。它涵盖了信息的存储、传输、处理环节,并对涉及这些环节的信息系统实行分级管理。同时,对系统中使用的安全产品也实行等级化监管,确保在信息安全事件发生时能够迅速、有效地响应和处置。这里所指的信息系统,是一个由计算机及其相关设备、设施构成的复杂网络,它依据特定的应用目标和规则,对数字化信息进行高效的存储、传输和处理。
背景与依据:
网络安全等级保护不仅是国家网络安全保障的核心制度,也是国家维护网络安全、推动信息化发展的基本策略和方法。它的实施体现了国家在网络安全领域的坚定意志和决心。整个工作流程包含五个关键阶段:定级、备案、建设整改、等级测评以及监督检查。一旦定级对象完成建设,运营或使用单位及其主管部门需选择符合国家标准的测评机构,依据《网络安全等级保护测评要求》等权威技术标准,定期对系统的安全等级状况进行评估。此外,包括GB 17859-1999《计算机信息系统安全保护等级划分准则》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等在内的多项国家标准和技术指南,为网络安全等级保护工作的顺利开展提供了坚实的法律和技术支撑。
信息安全风险评估
基本概念:
信息安全风险评估是一项系统性的过程,它依据风险评估的标准和管理规范,全面审视信息系统的多个维度。这一过程涉及对资产价值的评估、潜在威胁的识别、系统薄弱环节的剖析,以及已采取防护措施的审查。通过综合考量这些因素,风险评估旨在准确判断安全事件发生的可能性及其可能带来的损失,进而提出针对性的风险管理措施,确保信息系统的安全稳定运行。
背景与参考依据:
为了规范我国信息安全风险评估的实践,相关部门制定了《信息安全风险评估指南》及《信息安全风险管理指南》等标准草案。这些草案详细规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,为信息安全风险评估提供了明确的指导。此外,GBT 20984-2022《信息安全技术 信息安全风险评估方法》标准进一步明确了信息安全风险评估的基本概念、风险要素关系、风险分析原理,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。而GB-T 31509-2015《信息安全技术 信息安全风险评估实施指南》则针对非涉密信息系统的信息安全风险评估项目,规定了实施过程和方法,为安全评估机构或被评估组织提供了详细的项目管理、组织、实施和验收指导。这些标准和指南的发布和实施,对于提升我国信息安全风险评估的专业化、规范化水平具有重要意义。
系统安全测评
基本概念:
信息安全测评是一项由具备检验技术能力和政府授权资格的权威机构执行的严谨活动。它依据国家标准、行业标准、地方标准或相关技术规范,通过科学公正的综合测试评估,对信息系统的安全保障能力进行全面审查。此过程旨在协助系统运行单位深入剖析系统当前的安全运行状态,精确识别潜在的安全隐患,并提出针对性的安全改进建议,以显著降低系统的安全风险,确保系统持续稳定运行。
背景与参考依据
信息安全测评与认证在保障信息系统安全中各有侧重。测评旨在全面评估系统的安全保障能力,而认证则侧重于确认测评活动是否符合既定的标准化要求和质量管理标准。认证过程以相关标准和测评结果为依据,确保系统安全性的确认具有权威性和公信力。
尽管我国系统认证工作起步较早,但受限于认证周期、系统建设差异等多种因素,当前通过认证的系统数量相对较少。特别是国家认监委的成立,进一步强调了信息安全领域“一个统一认证出口”的重要性。国家认监委等8部委联合发布的《关于建立国家信息安全产品认证认可体系的通知》(简称57号文),明确提出了信息安全产品的“四统一”认证要求:统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准。在针对信息系统安全认证的具体指导意见尚未出台之前,系统安全测评的结果往往成为主管部门对系统安全认可的重要依据,确保了信息系统安全性的权威认证与有效监管。
三者关系的基本判断
等级保护作为我国信息安全保障体系的核心基础管理制度,为信息安全建设提供了全面的指导原则。它不仅涵盖了信息安全的全过程,还强调了对信息安全进行分等级、按标准的建设、管理和监督。在这一框架下,风险评估和系统测评作为两种特定且相互关联的研究、分析方法,共同构成了信息安全评价的重要组成部分。
从层次和重要性上看,等级保护无疑处于更高的地位。它作为信息安全建设的总体指导原则,为风险评估和系统测评提供了明确的方向和依据。一旦系统定级原则确定,并根据该原则将系统分类分级,风险评估和系统测评便可以在等级保护的框架内进行,确保它们与总体安全策略保持一致。
具体来说,风险评估和系统测评在操作时,只需在原有的方法、操作程序基础上,结合特定等级的特殊要求进行调整和优化。这种结合使得风险评估和系统测评更加精准、有效,能够更好地服务于信息安全建设的整体目标。
简而言之,等级保护如同指导信息安全建设的宪法,为信息安全保障提供了全面、系统的指导原则;而风险评估和系统测评则是针对系统安全性评估或合格判定的专项法律,它们在等级保护的框架下发挥着不可或缺的作用。
等级保护与风险评估的关系
风险评估是等级保护制度的基石,其出发点在于针对不同等级的信息系统所对应的不同安全需求进行精准分析。在风险评估中,风险等级的确定不仅充分考量了信息资产的CIA特性(机密性、完整性、可用性)的高低,还额外纳入了对现有安全控制措施的评估。这意味着,即便在等级保护中划分为高级别的信息系统,也并不必然意味着其安全风险就同样高,因为已实施的安全措施可能已大大降低了潜在风险。
风险评估在安全建设中具有举足轻重的地位。它摒弃了传统技术驱动的安全体系设计思路,转而以成本-效益平衡的原则为指导,全面审视用户关心的关键资产(如信息、硬件、软件、文档、服务、设备等)的分级,深入剖析安全威胁的可能性及严重性,并对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理及运行措施等多个方面的安全脆弱性进行分析。在综合考量已有安全控制措施的基础上,通过定量与定性分析的方法,精准推断出用户资产当前的安全风险,并据此制定风险处理计划,为下一步的安全需求指明方向。
等级保护制度的实施始于系统定级。依据FIPS199标准,系统定级基于信息机密性、完整性和可用性的潜在损失最大值来确定,经历“明确信息类型----确定安全类别----确定系统安全类别”三个关键步骤,最终将信息系统安全类别(SC)表达为一个与CIA特性潜在影响相关的三重函数。
等级保护中的系统分类分级与风险评估中对信息资产重要性的分级在思想上具有一致性。然而,二者在操作上有所不同:等级保护侧重于从业务需求或CIA特性出发,定义系统所需达到的安全保障业务等级;而风险评估则是对信息的重要性、现有安全控制措施的有效性及运行现状进行全面考量后的综合评估结果。这意味着,即便某信息资产在CIA价值上较高,但在风险评估中,若其安全控制措施得当且运行状况良好,其风险等级并不一定就高。因此,风险评估的结果为实施等级保护制度、规划等级安全建设提供了重要的出发点和参考依据。
等级保护与安全测评的关系
系统安全测评及行政认可是安全等级保护得以实施和落地的关键环节。
根据NIST SP800-37的指导,认证过程侧重于对系统安全性的细致评估,确保系统的安全措施达到了预期标准;而认可过程则是管理机关根据评估结果进行的决策行为,旨在判断信息系统的安全控制措施是否切实有效,以及残余风险是否在可接受的范围内。
在我国,目前主管部门对于系统安全认可的依据,主要依赖于系统安全测评的详尽结果。主管部门会根据系统测评的详细报告进行综合判断,若评估结果显示残余风险在可控范围内,系统将获得投入运行或继续运行的许可;反之,若系统未能满足特定安全等级的要求,主管部门将不予认可。
因此,系统安全测评及行政认可不仅是安全等级保护体系中的重要组成部分,更是确保等级保护制度得以有效执行和落地的关键步骤。没有这一最终的主管认可过程,等级保护将难以真正落到实处,发挥其应有的效用。
风险评估与安全测评的关系
风险评估与系统测评是系统生命周期不同阶段中对安全风险进行评估的两种紧密相关的方法。在系统的整个生命周期中,风险评估作为安全建设的起点,为系统设定了安全需求,并确定了符合成本-效益原则的安全控制措施;而系统安全测评则作为安全建设的终点,对已实施的安全控制措施的有效性进行验证。可以说,系统安全测评是对实施风险管理措施后系统安全风险的再次评估。
尽管风险评估和系统测评在操作层面有所不同,但它们的根本目标是一致的,即都是对信息及信息系统的安全性进行评价判断。在这一点上,两者并没有本质的区别。它们的核心工作都是对信息及系统的安全风险进行评估,因此在实施内容上存在着许多共同之处。
具体来说,风险评估侧重于从广泛的、战略性的角度,对被评估用户的各类重要资产进行风险级别的判断,为系统明确安全需求,并确定符合成本-效益原则的安全控制措施;而系统安全测评则更加关注于对已实施的安全控制措施(如管理措施、运行措施、技术措施等)进行技术验证,从而准确判断系统现存的安全脆弱性。基于系统测评的结果,行业主管部门或信息化主管部门将判断系统的安全风险是否可接受或已得到有效管理,并据此作出是否批准系统投入运行或继续运行的最终决策。