等级保护、风险评估 - 中国安全网.doc

等级保护、风险评估、安全测评三者的内在联系及实施建议 赵瑞颖 前言 自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后，等级保护、风险评估、系统安全测评（或称系统安全评估，简称安全测评）都是当前国家信息安全保障体系建设中的热点话题。本文从这三者的基本概念和工作背景出发，分析了三者相互之间的内在联系和区别并作了基本判断。本文还结合信息系统的开发生命周期模型（简称SDLC），本着“谁主管谁负责、谁运行谁负责”的原则，从发起实施主体的角度给出了三者在SDLC过程中的实施建议。 一、三者的基本概念和工作背景 A、等级保护 基本概念：信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景：1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB 17859-1999），规定了计算机信息系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级:结构化保护级；第五级：访问验证保护级。GB17859中的分级是一种技术的分级，即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日发布实施五个GA新标准GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》GA 388-2002? 《计算机信息系统安全等级保护操作系统技术要求》GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》GA 391-2002? 《计算机信息系统安全等级保护管理要求》这些标准是我国计算机信息系统安全保护等级系列标准的一部分。风险评估从漏洞扫描、人工审计、渗透测试这类型的纯技术操作到BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法安全风险评估方法操作模型。由具备检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动，以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题，并提供安全改进建议，从而最大程度地降低系统的安全风险。 5