等级保护、风险评估和安全测评三者之间的区别及联系.doc

等级保护、风险评估和安全测评三者之间的区别与联系 刚接触安全测试这项工作的时候，对等级保护、风险评估和安全测评三者之间的联系很不清楚，常常会弄混淆。幸得有这样一篇文章，详细介绍了三者的概念区别以及联系，澄清了他们之间的关系。好文章不敢独享，特在此和大家一起分享。 VUk2pEGO. k? X7h2 一、三者的基本概念和工作背景 1-4W4# A、等级保护 _Uc le %0_0BU 基本概念：信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。 +Ccj @#M; 工作背景：1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB 17859-1999），规定了计算机信息系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级:结构化保护级；第五级：访问验证保护级。GB17859中的分级是一种技术的分级，即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日，公安部在GB17859的基础上，又发布实施五个GA新标准，分别是：GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3（简称66号文）将信息和信息系统的安全保护等级划分为五级，即：第一级：自主保护级；第二级：指导保护级；第三级：监督保护级；第四级：强制保护级；第五级：专控保护级。特别强调的是：66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应用需求出发必须纳入的安全业务等级，而不是GB17859中定义的系统已具备的安全技术等级。 # **vIwX-Q 9q(*rAm XDRw![H,~ hi^@969 B、风险评估 tm%3` F ;I=*B~kE$ 基本概念：信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。 ( E;!.=% ?zn k8| kqdF)Wa am 工作背景：风险评估不是一个新概念，金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时，就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快，具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。国务院信息化工作办公室2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定，并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则，对规范我国信息安全风险评估的做法具有很好的指导意义。目前，国信办正组织在全国北京、上海、黑龙江、云南等省市及税务、银行、电力等行业领域作风险评估试点工作，探讨对上述两个风险评估/风险管理标准草案的理解修订及相关管理问题的研究，预计2005年9月份前完成试点工作，并在试点工作的基础上形成有关开展信息安全风险评估工作的指导意见。 V/P};n 5FxU$$a- 0(F 8 av~dH== C、系统安全测评 X} p|P+ ;c};N(2 ;]XKe) AApWJ3 基本概念：由具备检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按