等级保护、风险评估和安全测评三者的区别和联系都有哪些?本篇我们从基础的概念说起,一起搞清楚他们之间的关系.
三者的基本概念和工作背景
A. 等级保护
基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994 年 ××× 颁布的《××× 计算机信息系统安全保护条例》2 规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999 年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859 中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002 年 7 月 18 日,公安部在 GB17859 的基础上,又发布实施五个 GA 新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称 66 号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66 号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是 GB17859 中定义的系统已具备的安全技术等级。
B. 风险评估
基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于 IT 领域时,就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、性能测试这种类型的纯技术操作,逐渐过渡到目前普遍采用 BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM 等方法,充分体现以资产为出发点、以威胁为触发、以技术 / 管理 / 运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。××× 信息化工作办公室 2004 年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,对规范我国信息安全风险评估的做法具有很好的指导意义。目前,国信办正组织在全国北京、上海、黑龙江、云南等省市及税务、银行、电力等行业领域作风险评估试点工作,探讨对上述两个风险评估 / 风险管理标准草案的理解修订及相关管理问题的研究,预计 2005 年 9 月份前完成试点工作,并在试点工作的基础上形成有关开展信息安全风险评估工作的指导意见。
C. 系统安全测评
基本概念:由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。
工作背景:在我国,中国信息安全产品测评认证中心(简称 CNITSEC)是较早并较有影响的开展有关系统安全测评认证的机构。这里强调一下测评和认证的区别:测评如前述定义,认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。在美国,系统认证的结果通常作为主管部门对新建系统投入运行前的安全审批或已建系统安全动态监管(即系统认可)的依据。根据美国 FISMA6 及 NIST SP800-37 的规定,系统认证是 “对信息系统的技术类、管理类和运行类安全控制所进行的综合评估”,认可则是 “由管理层作出的决策,用来授权一个信息系统投入运行”。我国的系统认证虽然起步较早,但由于认证周期、建设差异等多方面的原因,目前的系统认证数量还非常少。特别是国家认监委成立后,强调了信息安全要 “一个统一认证出口” 的要求。国家认监委等 8 部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》4(简称 57 号文)中已明确规定了对信息安全产品进行 “统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准” 的 “四统一” 的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。典型例子如上海市信息安全测评认证中心,在相关职能部门授权下,已完成了对上海市 100 余家重要信息系统、涉密信息系统、区县以上综合医院的信息系统的安全测评工作,并为市信息委、市 ×××、市卫生局等信息化主管部门或行业主管部门提供了重要的技术决策依据。
三者的相互内在联系和区别
A. 三者关系的基本判断
基本判断:等级保护是指导我国信息安全保障体系建设的一项基础管理制度,风险评估、系统测评都是在等级保护制度下,对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的的不同研究、分析方法。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。风险评估、系统测评则只是针对信息安全评价方面两种有所区分但又有所联系的的不同研究、分析方法。从这个意义上讲,等级保护要高于风险评估和系统测评。当系统定级原则确定并根据该原则将系统分类分级后,那风险评估、系统测评都可以理解为在等级保护制度下的风险评估和等级保护制度下的系统测评,操作时只需在原有风险评估、系统测评方法、操作程序的基础上,加入特定等级的特殊要求就是了。打个比方:如果说等级保护是指导信息安全建设的宪法,则风险评估、安全测评则是针对系统安全性评估或合格判定方面的专项法律。至于 66 号文中提及的等级保护制度中的其他建设内容,如等级化安全保障体系设计、等级化安全产品选用、等级化安全事件处理响应,由于和安全评估没有特别直接的关系,本文不再展开讨论。
B. 等级保护与风险评估的关系
基本判断:风险评估是等级保护(不同等级不同安全需求)的出发点。风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产 CIA 特性的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中高级别的信息系统不一定就有高级别的安全风险。
风险评估是安全建设的出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,以成本-效益平衡的原则,通过对用户关心的重要资产(如信息、硬件、软件、文档、代码、服务、设备、企业形象等)的分级、安全威胁(如人为威胁、自然威胁等)发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性(或称薄弱环节)分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处理计划,确定下一步的安全需求方向。
等级保护的前提是对系统定级,根据 FIPS199,系统定级根据系统信息的机密性、完整性、可用性(简称 CIA 特性)等三性损失的最大值来确定,即 “明确各种信息类型 —- 确定每种信息类型的安全类别 —- 确定系统的安全类别” 三个步骤进行系统最终的定级。将信息系统安全类别(简称 SC)表示为一个与 CIA 特性的潜在影响相关的三重函数,一般模式是:SC= {(保密性,影响),(完整性,影响),(可用性,影响)}。
等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或 CIA 特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA 价值高的信息资产不一定风险等级就高。在确定系统安全等级级别后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。
C. 等级保护与系统测评的关系
基本判断:系统安全测评及行政认可是安全等级保护的落脚点。
根据 NIST SP800-37,认证过程偏重于对系统安全性的评估,认可过程则属于管理机关的行为,是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。根据前述,在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。没有最终的主管认可过程,等级保护无法落到实处。从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。
D. 风险评估与系统测评的关系
基本判断:风险评估与系统测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统,风险评估是安全建设的起点,系统测评是安全建设的终点。或者可以理解为,系统安全测评是实施风险管理措施后的风险再评估。
二者均是对信息及信息系统系统安全性的一种评价判断方法,因此,二者并没有本质的区别,或者说,二者的安全工作目标基本一致,二者的工作核心都是对信息及系统安全风险的评价,因此,二者在实施内容上有许多共同之处。具体讲二者在操作方面的差异性,则风险评估是系统明确安全需求,确定成本-效益适合的安全控制措施的出发点,风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别;系统安全测评则是对已采取的安全控制措施(如管理措施、运行措施、技术措施等)有效性的验证,安全测评更关注于对系统现有安全控制措施的技术验证,从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上,判断系统安全风险是否可接受或已得到了有效的管理,从而给出是否批准系统投入运行或继续运行的最终结论。![图片]
对三者在 SDLC 过程中的实施建议
通常情况下,我们将信息系统建设生命周期(SDLC)划分为五个阶段:规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说,系统是不断变化的,安全建设也应随之发生变化。因此,从理论上分析,无论是等级保护、风险评估或是系统测评,均适用于 SDLC 的各个阶段。为避免三者之间相近的工作内容在 SDLC 的同一个阶段重复进行,按照 “谁主管,谁负责;谁运行,谁负责” 的原则,从系统建设单位(多数情况下建设单位即运行单位)、行业主管部门或信息化主管部门(简称主管部门)等两类不同发起主体或组织主体的角度考虑,建议按下述内容实施:
1、规划需求阶段
建设单位自觉按照国家有关安全等级划分及系统定级的原则进行定级,并报主管部门备案。
建设单位按照既定等级的风险评估管理要求和国家有关风险评估的技术标准自觉进行风险评估,明确系统在机密性、完整性、可用性等方面的安全需求目标。
2、设计开发阶段及实施阶段
建设单位(或委托承建单位)根据既定的安全需求目标,按照国家有关等级保护的管理规范和技术标准,进行系统安全体系结构及详细实施方案的设计,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施。
主管部门委托或指定第三方机构对建设单位的系统安全设计方案进行评审,并将第三方机构出具的安全方案评审报告作为是否允许安全实施的依据。
注:建设单位在进行风险评估时,应根据自身的客观条件选择自评估方式或委托第三方机构评估的方式进行;主管部门发起的安全测评一般应委托具有授权资质和技术能力的第三方机构进行。客观上讲,任何一个第三方机构的评估接入都有可能对系统本身带来新的安全威胁和风险,为此,加强对第三方评估机构的管理至关重要,特别是对参与基础信息网络或三级以上重要信息系统安全评估的机构可实行强制许可制度,具体的许可制度和许可要求可以由相关信息安全主管部门或信息系统行业主管部门制定。此外,还应加强对第三方评估机构的安全保密教育,要求所有第三方评估机构应自觉遵守国家有关保密法规和其他相关规定,对评估工作中涉及的保密事项,应签定保密协议,承担保密责任并采取相应保密措施。
3、运行维护阶段
主管部门在系统安全建设基本完成后,委托或指定第三方机构对基本建成的系统进行安全测评,以评价系统当前运行环境下的安全控制措施是否和既定等级的安全需求一致、关键资产的安全风险是否控制在可接受范围之内,并将第三方机构的安全测评报告作为是否批准系统投入运行(即系统认可)的依据。此外,考虑到信息技术、安全技术、安全技术及相关标准、理论、方法的不断发展,即使系统在认可有效期内没有任何关于技术、业务及管理内容的变更,主管部门也应该发起周期性的安全测评和安全认可,以保持系统的安全状态维持在标准许可及公众接受的范围之内。
在《关于进一步加强上海市信息安全保障工作的实施意见》中,对上海行政区域内公用通信网、广播电视传输网等基础信息网络,银行 / 税务 / 证券 / 海关 / 铁道 / 电力 / 民航 / 水务 / 燃气 / 轨道交通 / 医疗卫生和大型国有企业等涉及国计民生的信息系统,以及使用财政性资金建设的信息系统(统称” 重要信息系统”)作出了强制实行等级保护和安全测评的要求。对新建、改建、扩建的重要信息系统,在立项后由安全测评机构评审其安全设计方案,评审报告报有关主管部门确认,未通过评审的不得实施;正式投入运行前,应进行系统安全测评,测评结果报有关主管部门确认,未达到要求的不得投入运行、不予验收;对已通过安全测评的重要信息系统,投入运行后要继续加强安全保护,由安全测评机构定期进行安全测评。
4、废弃阶段
建设单位重点对废弃处理不当对资产(如硬件、软件、设备、文档等)的影响、对信息 / 硬件 / 软件的废弃处置方面威胁、对访问控制方面的弱点进行综合风险评估,以确保硬件和软件等资产及残留信息得到了适当的废弃处置,并且要确保系统的更新换代能以一个安全和系统化的方式完成。
需要说明的是:上述实施建议主要针对同一个完整的 SDLC,但事实上,在 SDLC 的某一个具体阶段,也有可能由于业务类型变化(并可能导致安全等级变化)、新的安全威胁的出现或安全形势的突变,要立即进行安全需求及安全设计、安全实施方案的调整。这时,应参照上述 SDLC 过程中的 “安全定级-风险评估-确定安全需求-安全体系设计及方案-方案评审-等级保护实施-安全测评-主管认可” 的步骤进行。当然,这个过程中涉及的风险评估、方案评审、安全测评等活动要充分考虑利用已有的评估 / 测评成果,减少再评估 / 再测评造成的重复投入。
PS: 目前国家关于等级保护、风险评估、系统测评等方面的具体工作要求、技术标准、管理办法等尚未最终完全形成。本文基于作者对国家有关等级保护、风险评估、系统安全测评等要求及内容的粗浅理解,结合作者的一些工作实践,形成了对三者相互之间关系的一些基本判断,并从实施行为发起者的角度,提出了三者在系统建设生命周期 SDLC 中的操作建议。其实,不管何种安全保护方法或安全评估方法,只要实施有序、监管有力,都能大大改善、促进信息系统的安全建设、安全运行和安全管理,从而推动整个国家信息安全保障体系的发展,并为全面推进我国的国民经济和社会信息化进程提供重要保障。