等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估與安全測(cè)評(píng)三者的區(qū)別
等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者的區(qū)別和聯(lián)系都有哪些?本篇我們從基礎(chǔ)的概念說起,一起搞清楚他們之間的關(guān)系
三者的基本概念和工作背景
1等級(jí)保護(hù)
基本概念:信息安全等級(jí)保護(hù)是指對(duì)國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件等等級(jí)響應(yīng)、處置。這里所指的信息系統(tǒng),是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò);信息是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息。
工作背景:1994年×××頒布的《×××計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》2規(guī)定:計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù),安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法,由公安部會(huì)同有關(guān)部門制定。1999年公安部組織起草了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999),規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí),即:第一級(jí):用戶自主保護(hù)級(jí);第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí);第三級(jí):安全標(biāo)記保護(hù)級(jí);第四級(jí):結(jié)構(gòu)化保護(hù)級(jí);第五級(jí):訪問驗(yàn)證保護(hù)級(jí)。GB17859中的分級(jí)是一種技術(shù)的分級(jí),即對(duì)系統(tǒng)客觀上具備的安全保護(hù)技術(shù)能力等級(jí)的劃分。2002年7月18日,公安部在GB17859的基礎(chǔ)上,又發(fā)布實(shí)施五個(gè)GA新標(biāo)準(zhǔn),分別是:GA/T 387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》、GA 388-2002 《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》、GA/T 389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》、GA/T 390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》、GA 391-2002 《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》。這些標(biāo)準(zhǔn)是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)系列標(biāo)準(zhǔn)的一部分?!蛾P(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見的通知》3(簡(jiǎn)稱66號(hào)文)將信息和信息系統(tǒng)的安全保護(hù)等級(jí)劃分為五級(jí),即:第一級(jí):自主保護(hù)級(jí);第二級(jí):指導(dǎo)保護(hù)級(jí);第三級(jí):監(jiān)督保護(hù)級(jí);第四級(jí):強(qiáng)制保護(hù)級(jí);第五級(jí):??乇Wo(hù)級(jí)。特別強(qiáng)調(diào)的是:66號(hào)文中的分級(jí)主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的,是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級(jí),而不是GB17859中定義的系統(tǒng)已具備的安全技術(shù)等級(jí)。
2風(fēng)險(xiǎn)評(píng)估
基本概念:信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范,對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析,判斷安全事件發(fā)生的概率以及可能造成的損失,提出風(fēng)險(xiǎn)管理措施的過程。
工作背景:風(fēng)險(xiǎn)評(píng)估不是一個(gè)新概念,金融、電子商務(wù)等許多領(lǐng)域都有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí),就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。國內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快,具體的評(píng)估方法也在不斷改進(jìn)。風(fēng)險(xiǎn)評(píng)估也從早期簡(jiǎn)單的漏洞掃描、人工審計(jì)、***性測(cè)試這種類型的純技術(shù)操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。×××信息化工作辦公室2004年組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則,對(duì)規(guī)范我國信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義。目前,國信辦正組織在全國北京、上海、黑龍江、云南等省市及稅務(wù)、銀行、電力等行業(yè)領(lǐng)域作風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作,探討對(duì)上述兩個(gè)風(fēng)險(xiǎn)評(píng)估/風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)草案的理解修訂及相關(guān)管理問題的研究,預(yù)計(jì)2005年9月份前完成試點(diǎn)工作,并在試點(diǎn)工作的基礎(chǔ)上形成有關(guān)開展信息安全風(fēng)險(xiǎn)評(píng)估工作的指導(dǎo)意見。
3系統(tǒng)安全測(cè)評(píng)
基本概念:由具備檢驗(yàn)技術(shù)能力和政府授權(quán)資格的權(quán)威機(jī)構(gòu),依據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范,按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測(cè)試評(píng)估活動(dòng),以幫助系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況、查找存在的安全問題,并提供安全改進(jìn)建議,從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn)。
工作背景:在我國,中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心(簡(jiǎn)稱CNITSEC)是較早并較有影響的開展有關(guān)系統(tǒng)安全測(cè)評(píng)認(rèn)證的機(jī)構(gòu)。這里強(qiáng)調(diào)一下測(cè)評(píng)和認(rèn)證的區(qū)別:測(cè)評(píng)如前述定義,認(rèn)證則是對(duì)測(cè)評(píng)活動(dòng)是否符合標(biāo)準(zhǔn)化要求和質(zhì)量管理要求所作的確認(rèn),認(rèn)證以標(biāo)準(zhǔn)和測(cè)評(píng)的結(jié)果作為依據(jù)。在美國,系統(tǒng)認(rèn)證的結(jié)果通常作為主管部門對(duì)新建系統(tǒng)投入運(yùn)行前的安全審批或已建系統(tǒng)安全動(dòng)態(tài)監(jiān)管(即系統(tǒng)認(rèn)可)的依據(jù)。根據(jù)美國FISMA6及NIST SP800-37的規(guī)定,系統(tǒng)認(rèn)證是“對(duì)信息系統(tǒng)的技術(shù)類、管理類和運(yùn)行類安全控制所進(jìn)行的綜合評(píng)估”,認(rèn)可則是“由管理層作出的決策,用來授權(quán)一個(gè)信息系統(tǒng)投入運(yùn)行”。我國的系統(tǒng)認(rèn)證雖然起步較早,但由于認(rèn)證周期、建設(shè)差異等多方面的原因,目前的系統(tǒng)認(rèn)證數(shù)量還非常少。特別是國家認(rèn)監(jiān)委成立后,強(qiáng)調(diào)了信息安全要“一個(gè)統(tǒng)一認(rèn)證出口”的要求。國家認(rèn)監(jiān)委等8部委聯(lián)合下發(fā)的《關(guān)于建立國家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》4(簡(jiǎn)稱57號(hào)文)中已明確規(guī)定了對(duì)信息安全產(chǎn)品進(jìn)行“統(tǒng)一標(biāo)準(zhǔn)、技術(shù)規(guī)范與合格評(píng)定程序;統(tǒng)一認(rèn)證目錄;統(tǒng)一認(rèn)證標(biāo)志;統(tǒng)一收費(fèi)標(biāo)準(zhǔn)”的“四統(tǒng)一”的認(rèn)證要求。在國家認(rèn)監(jiān)委對(duì)信息系統(tǒng)的安全認(rèn)證相關(guān)具體意見尚未出臺(tái)前,多數(shù)情況下,系統(tǒng)安全測(cè)評(píng)的結(jié)果可直接作為主管部門對(duì)系統(tǒng)安全認(rèn)可的依據(jù)。典型例子如上海市信息安全測(cè)評(píng)認(rèn)證中心,在相關(guān)職能部門授權(quán)下,已完成了對(duì)上海市100余家重要信息系統(tǒng)、涉密信息系統(tǒng)、區(qū)縣以上綜合醫(yī)院的信息系統(tǒng)的安全測(cè)評(píng)工作,并為市信息委、市×××、市衛(wèi)生局等信息化主管部門或行業(yè)主管部門提供了重要的技術(shù)決策依據(jù)。
三者的相互內(nèi)在聯(lián)系和區(qū)別
1三者關(guān)系的基本判斷
基本判斷:等級(jí)保護(hù)是指導(dǎo)我國信息安全保障體系建設(shè)的一項(xiàng)基礎(chǔ)管理制度,風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)都是在等級(jí)保護(hù)制度下,對(duì)信息及信息系統(tǒng)安全性評(píng)價(jià)方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。
等級(jí)保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性管理制度,其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)則只是針對(duì)信息安全評(píng)價(jià)方面兩種有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。從這個(gè)意義上講,等級(jí)保護(hù)要高于風(fēng)險(xiǎn)評(píng)估和系統(tǒng)測(cè)評(píng)。當(dāng)系統(tǒng)定級(jí)原則確定并根據(jù)該原則將系統(tǒng)分類分級(jí)后,那風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)都可以理解為在等級(jí)保護(hù)制度下的風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)制度下的系統(tǒng)測(cè)評(píng),操作時(shí)只需在原有風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)方法、操作程序的基礎(chǔ)上,加入特定等級(jí)的特殊要求就是了。打個(gè)比方:如果說等級(jí)保護(hù)是指導(dǎo)信息安全建設(shè)的憲法,則風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)則是針對(duì)系統(tǒng)安全性評(píng)估或合格判定方面的專項(xiàng)法律。至于66號(hào)文中提及的等級(jí)保護(hù)制度中的其他建設(shè)內(nèi)容,如等級(jí)化安全保障體系設(shè)計(jì)、等級(jí)化安全產(chǎn)品選用、等級(jí)化安全事件處理響應(yīng),由于和安全評(píng)估沒有特別直接的關(guān)系,本文不再展開討論。
2等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估的關(guān)系
基本判斷:風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)(不同等級(jí)不同安全需求)的出發(fā)點(diǎn)。風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)和等級(jí)保護(hù)中的系統(tǒng)定級(jí)均充分考慮到信息資產(chǎn)CIA特性的高低,但風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)加入了對(duì)現(xiàn)有安全控制措施的確認(rèn)因素,也就是說,等級(jí)保護(hù)中高級(jí)別的信息系統(tǒng)不一定就有高級(jí)別的安全風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn),它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案制定,以成本-效益平衡的原則,通過對(duì)用戶關(guān)心的重要資產(chǎn)(如信息、硬件、軟件、文檔、代碼、服務(wù)、設(shè)備、企業(yè)形象等)的分級(jí)、安全威脅(如人為威脅、自然威脅等)發(fā)生的可能性及嚴(yán)重性分析、對(duì)系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)系統(tǒng)平臺(tái)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運(yùn)行措施等方面的安全脆弱性(或稱薄弱環(huán)節(jié))分析,并通過對(duì)已有安全控制措施的確認(rèn),借助定量、定性分析的方法,推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn),并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級(jí)別制定風(fēng)險(xiǎn)處理計(jì)劃,確定下一步的安全需求方向。
等級(jí)保護(hù)的前提是對(duì)系統(tǒng)定級(jí),根據(jù)FIPS199,系統(tǒng)定級(jí)根據(jù)系統(tǒng)信息的機(jī)密性、完整性、可用性(簡(jiǎn)稱CIA特性)等三性損失的最大值來確定,即“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個(gè)步驟進(jìn)行系統(tǒng)最終的定級(jí)。將信息系統(tǒng)安全類別(簡(jiǎn)稱SC)表示為一個(gè)與CIA特性的潛在影響相關(guān)的三重函數(shù),一般模式是:SC= {(保密性,影響),(完整性,影響),(可用性,影響)}。
等級(jí)保護(hù)中的系統(tǒng)分類分級(jí)的思想和風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)的重要性分級(jí)基本一致,不同的是:等級(jí)保護(hù)的級(jí)別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā),定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級(jí),而風(fēng)險(xiǎn)評(píng)估中最終風(fēng)險(xiǎn)的等級(jí)則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合評(píng)估結(jié)果,也就是說,在風(fēng)險(xiǎn)評(píng)估中,CIA價(jià)值高的信息資產(chǎn)不一定風(fēng)險(xiǎn)等級(jí)就高。在確定系統(tǒng)安全等級(jí)級(jí)別后,風(fēng)險(xiǎn)評(píng)估的結(jié)果可作為實(shí)施等級(jí)保護(hù)、等級(jí)安全建設(shè)的出發(fā)點(diǎn)和參考。
3等級(jí)保護(hù)與系統(tǒng)測(cè)評(píng)的關(guān)系
基本判斷:系統(tǒng)安全測(cè)評(píng)及行政認(rèn)可是安全等級(jí)保護(hù)的落腳點(diǎn)。
根據(jù)NIST SP800-37,認(rèn)證過程偏重于對(duì)系統(tǒng)安全性的評(píng)估,認(rèn)可過程則屬于管理機(jī)關(guān)的行為,是指根據(jù)評(píng)估的結(jié)果來判斷信息系統(tǒng)的安全控制措施是否有效、殘余風(fēng)險(xiǎn)是否可接受。根據(jù)前述,在我國,目前主管部門安全認(rèn)可的依據(jù)多數(shù)是系統(tǒng)安全測(cè)評(píng)的結(jié)果。主管部門根據(jù)系統(tǒng)測(cè)評(píng)結(jié)果判斷,如果殘余風(fēng)險(xiǎn)可以接受,則允許系統(tǒng)投入運(yùn)行或繼續(xù)運(yùn)行,否則信息系統(tǒng)便沒有達(dá)到特定安全等級(jí)的安全要求。沒有最終的主管認(rèn)可過程,等級(jí)保護(hù)無法落到實(shí)處。從這個(gè)意義上講,進(jìn)行等級(jí)保護(hù)建設(shè)、實(shí)施風(fēng)險(xiǎn)管理過程后的系統(tǒng)安全測(cè)評(píng)及行政認(rèn)可是等級(jí)保護(hù)的落腳點(diǎn)。
D. 風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)的關(guān)系
基本判斷:風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)分別是針對(duì)系統(tǒng)生命周期建設(shè)不同階段存在的安全風(fēng)險(xiǎn)的相近判斷方法。對(duì)同一個(gè)生命周期的系統(tǒng),風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的起點(diǎn),系統(tǒng)測(cè)評(píng)是安全建設(shè)的終點(diǎn)?;蛘呖梢岳斫鉃椋到y(tǒng)安全測(cè)評(píng)是實(shí)施風(fēng)險(xiǎn)管理措施后的風(fēng)險(xiǎn)再評(píng)估。
二者均是對(duì)信息及信息系統(tǒng)系統(tǒng)安全性的一種評(píng)價(jià)判斷方法,因此,二者并沒有本質(zhì)的區(qū)別,或者說,二者的安全工作目標(biāo)基本一致,二者的工作核心都是對(duì)信息及系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)價(jià),因此,二者在實(shí)施內(nèi)容上有許多共同之處。具體講二者在操作方面的差異性,則風(fēng)險(xiǎn)評(píng)估是系統(tǒng)明確安全需求,確定成本-效益適合的安全控制措施的出發(fā)點(diǎn),風(fēng)險(xiǎn)評(píng)估通過對(duì)被評(píng)估用戶廣泛的、戰(zhàn)略性的分析來判斷機(jī)構(gòu)內(nèi)各類重要資產(chǎn)的風(fēng)險(xiǎn)級(jí)別;系統(tǒng)安全測(cè)評(píng)則是對(duì)已采取的安全控制措施(如管理措施、運(yùn)行措施、技術(shù)措施等)有效性的驗(yàn)證,安全測(cè)評(píng)更關(guān)注于對(duì)系統(tǒng)現(xiàn)有安全控制措施的技術(shù)驗(yàn)證,從而給出系統(tǒng)現(xiàn)存安全脆弱性的準(zhǔn)確判斷。行業(yè)主管部門或信息化主管部門在系統(tǒng)測(cè)評(píng)結(jié)果的基礎(chǔ)上,判斷系統(tǒng)安全風(fēng)險(xiǎn)是否可接受或已得到了有效的管理,從而給出是否批準(zhǔn)系統(tǒng)投入運(yùn)行或繼續(xù)運(yùn)行的最終結(jié)論。
三者在SDLC過程中的實(shí)施建議
通常情況下,我們將信息系統(tǒng)建設(shè)生命周期(SDLC)劃分為五個(gè)階段:規(guī)劃需求階段、設(shè)計(jì)開發(fā)階段、實(shí)施階段、運(yùn)行維護(hù)階段、廢棄階段。也就是說,系統(tǒng)是不斷變化的,安全建設(shè)也應(yīng)隨之發(fā)生變化。因此,從理論上分析,無論是等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估或是系統(tǒng)測(cè)評(píng),均適用于SDLC的各個(gè)階段。為避免三者之間相近的工作內(nèi)容在SDLC的同一個(gè)階段重復(fù)進(jìn)行,按照“誰主管,誰負(fù)責(zé);誰運(yùn)行,誰負(fù)責(zé)”的原則,從系統(tǒng)建設(shè)單位(多數(shù)情況下建設(shè)單位即運(yùn)行單位)、行業(yè)主管部門或信息化主管部門(簡(jiǎn)稱主管部門)等兩類不同發(fā)起主體或組織主體的角度考慮,建議按下述內(nèi)容實(shí)施:
1、規(guī)劃需求階段
建設(shè)單位自覺按照國家有關(guān)安全等級(jí)劃分及系統(tǒng)定級(jí)的原則進(jìn)行定級(jí),并報(bào)主管部門備案。
建設(shè)單位按照既定等級(jí)的風(fēng)險(xiǎn)評(píng)估管理要求和國家有關(guān)風(fēng)險(xiǎn)評(píng)估的技術(shù)標(biāo)準(zhǔn)自覺進(jìn)行風(fēng)險(xiǎn)評(píng)估,明確系統(tǒng)在機(jī)密性、完整性、可用性等方面的安全需求目標(biāo)。
2、設(shè)計(jì)開發(fā)階段及實(shí)施階段
建設(shè)單位(或委托承建單位)根據(jù)既定的安全需求目標(biāo),按照國家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),進(jìn)行系統(tǒng)安全體系結(jié)構(gòu)及詳細(xì)實(shí)施方案的設(shè)計(jì),采購和使用相應(yīng)等級(jí)的信息安全產(chǎn)品,建設(shè)安全設(shè)施,落實(shí)安全技術(shù)措施。
主管部門委托或指定第三方機(jī)構(gòu)對(duì)建設(shè)單位的系統(tǒng)安全設(shè)計(jì)方案進(jìn)行評(píng)審,并將第三方機(jī)構(gòu)出具的安全方案評(píng)審報(bào)告作為是否允許安全實(shí)施的依據(jù)。
注:建設(shè)單位在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),應(yīng)根據(jù)自身的客觀條件選擇自評(píng)估方式或委托第三方機(jī)構(gòu)評(píng)估的方式進(jìn)行;主管部門發(fā)起的安全測(cè)評(píng)一般應(yīng)委托具有授權(quán)資質(zhì)和技術(shù)能力的第三方機(jī)構(gòu)進(jìn)行??陀^上講,任何一個(gè)第三方機(jī)構(gòu)的評(píng)估接入都有可能對(duì)系統(tǒng)本身帶來新的安全威脅和風(fēng)險(xiǎn),為此,加強(qiáng)對(duì)第三方評(píng)估機(jī)構(gòu)的管理至關(guān)重要,特別是對(duì)參與基礎(chǔ)信息網(wǎng)絡(luò)或三級(jí)以上重要信息系統(tǒng)安全評(píng)估的機(jī)構(gòu)可實(shí)行強(qiáng)制許可制度,具體的許可制度和許可要求可以由相關(guān)信息安全主管部門或信息系統(tǒng)行業(yè)主管部門制定。此外,還應(yīng)加強(qiáng)對(duì)第三方評(píng)估機(jī)構(gòu)的安全保密教育,要求所有第三方評(píng)估機(jī)構(gòu)應(yīng)自覺遵守國家有關(guān)保密法規(guī)和其他相關(guān)規(guī)定,對(duì)評(píng)估工作中涉及的保密事項(xiàng),應(yīng)簽定保密協(xié)議,承擔(dān)保密責(zé)任并采取相應(yīng)保密措施。
3、運(yùn)行維護(hù)階段
主管部門在系統(tǒng)安全建設(shè)基本完成后,委托或指定第三方機(jī)構(gòu)對(duì)基本建成的系統(tǒng)進(jìn)行安全測(cè)評(píng),以評(píng)價(jià)系統(tǒng)當(dāng)前運(yùn)行環(huán)境下的安全控制措施是否和既定等級(jí)的安全需求一致、關(guān)鍵資產(chǎn)的安全風(fēng)險(xiǎn)是否控制在可接受范圍之內(nèi),并將第三方機(jī)構(gòu)的安全測(cè)評(píng)報(bào)告作為是否批準(zhǔn)系統(tǒng)投入運(yùn)行(即系統(tǒng)認(rèn)可)的依據(jù)。此外,考慮到信息技術(shù)、安全技術(shù)、安全***技術(shù)及相關(guān)標(biāo)準(zhǔn)、理論、方法的不斷發(fā)展,即使系統(tǒng)在認(rèn)可有效期內(nèi)沒有任何關(guān)于技術(shù)、業(yè)務(wù)及管理內(nèi)容的變更,主管部門也應(yīng)該發(fā)起周期性的安全測(cè)評(píng)和安全認(rèn)可,以保持系統(tǒng)的安全狀態(tài)維持在標(biāo)準(zhǔn)許可及公眾接受的范圍之內(nèi)。
在《關(guān)于進(jìn)一步加強(qiáng)上海市信息安全保障工作的實(shí)施意見》中,對(duì)上海行政區(qū)域內(nèi)公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),銀行/稅務(wù)/證券/海關(guān)/鐵道/電力/民航/水務(wù)/燃?xì)?軌道交通/醫(yī)療衛(wèi)生和大型國有企業(yè)等涉及國計(jì)民生的信息系統(tǒng),以及使用財(cái)政性資金建設(shè)的信息系統(tǒng)(統(tǒng)稱"重要信息系統(tǒng)")作出了強(qiáng)制實(shí)行等級(jí)保護(hù)和安全測(cè)評(píng)的要求。對(duì)新建、改建、擴(kuò)建的重要信息系統(tǒng),在立項(xiàng)后由安全測(cè)評(píng)機(jī)構(gòu)評(píng)審其安全設(shè)計(jì)方案,評(píng)審報(bào)告報(bào)有關(guān)主管部門確認(rèn),未通過評(píng)審的不得實(shí)施;正式投入運(yùn)行前,應(yīng)進(jìn)行系統(tǒng)安全測(cè)評(píng),測(cè)評(píng)結(jié)果報(bào)有關(guān)主管部門確認(rèn),未達(dá)到要求的不得投入運(yùn)行、不予驗(yàn)收;對(duì)已通過安全測(cè)評(píng)的重要信息系統(tǒng),投入運(yùn)行后要繼續(xù)加強(qiáng)安全保護(hù),由安全測(cè)評(píng)機(jī)構(gòu)定期進(jìn)行安全測(cè)評(píng)。
4、廢棄階段
建設(shè)單位重點(diǎn)對(duì)廢棄處理不當(dāng)對(duì)資產(chǎn)(如硬件、軟件、設(shè)備、文檔等)的影響、對(duì)信息/硬件/軟件的廢棄處置方面威脅、對(duì)訪問控制方面的弱點(diǎn)進(jìn)行綜合風(fēng)險(xiǎn)評(píng)估,以確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)膹U棄處置,并且要確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。
需要說明的是:上述實(shí)施建議主要針對(duì)同一個(gè)完整的SDLC,但事實(shí)上,在SDLC的某一個(gè)具體階段,也有可能由于業(yè)務(wù)類型變化(并可能導(dǎo)致安全等級(jí)變化)、新的安全威脅的出現(xiàn)或安全形勢(shì)的突變,要立即進(jìn)行安全需求及安全設(shè)計(jì)、安全實(shí)施方案的調(diào)整。這時(shí),應(yīng)參照上述SDLC過程中的“安全定級(jí)-風(fēng)險(xiǎn)評(píng)估-確定安全需求-安全體系設(shè)計(jì)及方案-方案評(píng)審-等級(jí)保護(hù)實(shí)施-安全測(cè)評(píng)-主管認(rèn)可”的步驟進(jìn)行。當(dāng)然,這個(gè)過程中涉及的風(fēng)險(xiǎn)評(píng)估、方案評(píng)審、安全測(cè)評(píng)等活動(dòng)要充分考慮利用已有的評(píng)估/測(cè)評(píng)成果,減少再評(píng)估/再測(cè)評(píng)造成的重復(fù)投入。
三者的基本概念和工作背景
1等級(jí)保護(hù)
基本概念:信息安全等級(jí)保護(hù)是指對(duì)國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件等等級(jí)響應(yīng)、處置。這里所指的信息系統(tǒng),是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò);信息是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息。
工作背景:1994年×××頒布的《×××計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》2規(guī)定:計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù),安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法,由公安部會(huì)同有關(guān)部門制定。1999年公安部組織起草了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999),規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí),即:第一級(jí):用戶自主保護(hù)級(jí);第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí);第三級(jí):安全標(biāo)記保護(hù)級(jí);第四級(jí):結(jié)構(gòu)化保護(hù)級(jí);第五級(jí):訪問驗(yàn)證保護(hù)級(jí)。GB17859中的分級(jí)是一種技術(shù)的分級(jí),即對(duì)系統(tǒng)客觀上具備的安全保護(hù)技術(shù)能力等級(jí)的劃分。2002年7月18日,公安部在GB17859的基礎(chǔ)上,又發(fā)布實(shí)施五個(gè)GA新標(biāo)準(zhǔn),分別是:GA/T 387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》、GA 388-2002 《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》、GA/T 389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》、GA/T 390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》、GA 391-2002 《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》。這些標(biāo)準(zhǔn)是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)系列標(biāo)準(zhǔn)的一部分?!蛾P(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見的通知》3(簡(jiǎn)稱66號(hào)文)將信息和信息系統(tǒng)的安全保護(hù)等級(jí)劃分為五級(jí),即:第一級(jí):自主保護(hù)級(jí);第二級(jí):指導(dǎo)保護(hù)級(jí);第三級(jí):監(jiān)督保護(hù)級(jí);第四級(jí):強(qiáng)制保護(hù)級(jí);第五級(jí):??乇Wo(hù)級(jí)。特別強(qiáng)調(diào)的是:66號(hào)文中的分級(jí)主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的,是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級(jí),而不是GB17859中定義的系統(tǒng)已具備的安全技術(shù)等級(jí)。
2風(fēng)險(xiǎn)評(píng)估
基本概念:信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范,對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析,判斷安全事件發(fā)生的概率以及可能造成的損失,提出風(fēng)險(xiǎn)管理措施的過程。
工作背景:風(fēng)險(xiǎn)評(píng)估不是一個(gè)新概念,金融、電子商務(wù)等許多領(lǐng)域都有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí),就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。國內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快,具體的評(píng)估方法也在不斷改進(jìn)。風(fēng)險(xiǎn)評(píng)估也從早期簡(jiǎn)單的漏洞掃描、人工審計(jì)、***性測(cè)試這種類型的純技術(shù)操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。×××信息化工作辦公室2004年組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則,對(duì)規(guī)范我國信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義。目前,國信辦正組織在全國北京、上海、黑龍江、云南等省市及稅務(wù)、銀行、電力等行業(yè)領(lǐng)域作風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作,探討對(duì)上述兩個(gè)風(fēng)險(xiǎn)評(píng)估/風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)草案的理解修訂及相關(guān)管理問題的研究,預(yù)計(jì)2005年9月份前完成試點(diǎn)工作,并在試點(diǎn)工作的基礎(chǔ)上形成有關(guān)開展信息安全風(fēng)險(xiǎn)評(píng)估工作的指導(dǎo)意見。
3系統(tǒng)安全測(cè)評(píng)
基本概念:由具備檢驗(yàn)技術(shù)能力和政府授權(quán)資格的權(quán)威機(jī)構(gòu),依據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范,按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測(cè)試評(píng)估活動(dòng),以幫助系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況、查找存在的安全問題,并提供安全改進(jìn)建議,從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn)。
工作背景:在我國,中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心(簡(jiǎn)稱CNITSEC)是較早并較有影響的開展有關(guān)系統(tǒng)安全測(cè)評(píng)認(rèn)證的機(jī)構(gòu)。這里強(qiáng)調(diào)一下測(cè)評(píng)和認(rèn)證的區(qū)別:測(cè)評(píng)如前述定義,認(rèn)證則是對(duì)測(cè)評(píng)活動(dòng)是否符合標(biāo)準(zhǔn)化要求和質(zhì)量管理要求所作的確認(rèn),認(rèn)證以標(biāo)準(zhǔn)和測(cè)評(píng)的結(jié)果作為依據(jù)。在美國,系統(tǒng)認(rèn)證的結(jié)果通常作為主管部門對(duì)新建系統(tǒng)投入運(yùn)行前的安全審批或已建系統(tǒng)安全動(dòng)態(tài)監(jiān)管(即系統(tǒng)認(rèn)可)的依據(jù)。根據(jù)美國FISMA6及NIST SP800-37的規(guī)定,系統(tǒng)認(rèn)證是“對(duì)信息系統(tǒng)的技術(shù)類、管理類和運(yùn)行類安全控制所進(jìn)行的綜合評(píng)估”,認(rèn)可則是“由管理層作出的決策,用來授權(quán)一個(gè)信息系統(tǒng)投入運(yùn)行”。我國的系統(tǒng)認(rèn)證雖然起步較早,但由于認(rèn)證周期、建設(shè)差異等多方面的原因,目前的系統(tǒng)認(rèn)證數(shù)量還非常少。特別是國家認(rèn)監(jiān)委成立后,強(qiáng)調(diào)了信息安全要“一個(gè)統(tǒng)一認(rèn)證出口”的要求。國家認(rèn)監(jiān)委等8部委聯(lián)合下發(fā)的《關(guān)于建立國家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》4(簡(jiǎn)稱57號(hào)文)中已明確規(guī)定了對(duì)信息安全產(chǎn)品進(jìn)行“統(tǒng)一標(biāo)準(zhǔn)、技術(shù)規(guī)范與合格評(píng)定程序;統(tǒng)一認(rèn)證目錄;統(tǒng)一認(rèn)證標(biāo)志;統(tǒng)一收費(fèi)標(biāo)準(zhǔn)”的“四統(tǒng)一”的認(rèn)證要求。在國家認(rèn)監(jiān)委對(duì)信息系統(tǒng)的安全認(rèn)證相關(guān)具體意見尚未出臺(tái)前,多數(shù)情況下,系統(tǒng)安全測(cè)評(píng)的結(jié)果可直接作為主管部門對(duì)系統(tǒng)安全認(rèn)可的依據(jù)。典型例子如上海市信息安全測(cè)評(píng)認(rèn)證中心,在相關(guān)職能部門授權(quán)下,已完成了對(duì)上海市100余家重要信息系統(tǒng)、涉密信息系統(tǒng)、區(qū)縣以上綜合醫(yī)院的信息系統(tǒng)的安全測(cè)評(píng)工作,并為市信息委、市×××、市衛(wèi)生局等信息化主管部門或行業(yè)主管部門提供了重要的技術(shù)決策依據(jù)。
三者的相互內(nèi)在聯(lián)系和區(qū)別
1三者關(guān)系的基本判斷
基本判斷:等級(jí)保護(hù)是指導(dǎo)我國信息安全保障體系建設(shè)的一項(xiàng)基礎(chǔ)管理制度,風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)都是在等級(jí)保護(hù)制度下,對(duì)信息及信息系統(tǒng)安全性評(píng)價(jià)方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。
等級(jí)保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性管理制度,其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)則只是針對(duì)信息安全評(píng)價(jià)方面兩種有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。從這個(gè)意義上講,等級(jí)保護(hù)要高于風(fēng)險(xiǎn)評(píng)估和系統(tǒng)測(cè)評(píng)。當(dāng)系統(tǒng)定級(jí)原則確定并根據(jù)該原則將系統(tǒng)分類分級(jí)后,那風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)都可以理解為在等級(jí)保護(hù)制度下的風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)制度下的系統(tǒng)測(cè)評(píng),操作時(shí)只需在原有風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)方法、操作程序的基礎(chǔ)上,加入特定等級(jí)的特殊要求就是了。打個(gè)比方:如果說等級(jí)保護(hù)是指導(dǎo)信息安全建設(shè)的憲法,則風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)則是針對(duì)系統(tǒng)安全性評(píng)估或合格判定方面的專項(xiàng)法律。至于66號(hào)文中提及的等級(jí)保護(hù)制度中的其他建設(shè)內(nèi)容,如等級(jí)化安全保障體系設(shè)計(jì)、等級(jí)化安全產(chǎn)品選用、等級(jí)化安全事件處理響應(yīng),由于和安全評(píng)估沒有特別直接的關(guān)系,本文不再展開討論。
2等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估的關(guān)系
基本判斷:風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)(不同等級(jí)不同安全需求)的出發(fā)點(diǎn)。風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)和等級(jí)保護(hù)中的系統(tǒng)定級(jí)均充分考慮到信息資產(chǎn)CIA特性的高低,但風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)加入了對(duì)現(xiàn)有安全控制措施的確認(rèn)因素,也就是說,等級(jí)保護(hù)中高級(jí)別的信息系統(tǒng)不一定就有高級(jí)別的安全風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn),它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案制定,以成本-效益平衡的原則,通過對(duì)用戶關(guān)心的重要資產(chǎn)(如信息、硬件、軟件、文檔、代碼、服務(wù)、設(shè)備、企業(yè)形象等)的分級(jí)、安全威脅(如人為威脅、自然威脅等)發(fā)生的可能性及嚴(yán)重性分析、對(duì)系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)系統(tǒng)平臺(tái)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運(yùn)行措施等方面的安全脆弱性(或稱薄弱環(huán)節(jié))分析,并通過對(duì)已有安全控制措施的確認(rèn),借助定量、定性分析的方法,推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn),并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級(jí)別制定風(fēng)險(xiǎn)處理計(jì)劃,確定下一步的安全需求方向。
等級(jí)保護(hù)的前提是對(duì)系統(tǒng)定級(jí),根據(jù)FIPS199,系統(tǒng)定級(jí)根據(jù)系統(tǒng)信息的機(jī)密性、完整性、可用性(簡(jiǎn)稱CIA特性)等三性損失的最大值來確定,即“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個(gè)步驟進(jìn)行系統(tǒng)最終的定級(jí)。將信息系統(tǒng)安全類別(簡(jiǎn)稱SC)表示為一個(gè)與CIA特性的潛在影響相關(guān)的三重函數(shù),一般模式是:SC= {(保密性,影響),(完整性,影響),(可用性,影響)}。
等級(jí)保護(hù)中的系統(tǒng)分類分級(jí)的思想和風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)的重要性分級(jí)基本一致,不同的是:等級(jí)保護(hù)的級(jí)別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā),定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級(jí),而風(fēng)險(xiǎn)評(píng)估中最終風(fēng)險(xiǎn)的等級(jí)則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合評(píng)估結(jié)果,也就是說,在風(fēng)險(xiǎn)評(píng)估中,CIA價(jià)值高的信息資產(chǎn)不一定風(fēng)險(xiǎn)等級(jí)就高。在確定系統(tǒng)安全等級(jí)級(jí)別后,風(fēng)險(xiǎn)評(píng)估的結(jié)果可作為實(shí)施等級(jí)保護(hù)、等級(jí)安全建設(shè)的出發(fā)點(diǎn)和參考。
3等級(jí)保護(hù)與系統(tǒng)測(cè)評(píng)的關(guān)系
基本判斷:系統(tǒng)安全測(cè)評(píng)及行政認(rèn)可是安全等級(jí)保護(hù)的落腳點(diǎn)。
根據(jù)NIST SP800-37,認(rèn)證過程偏重于對(duì)系統(tǒng)安全性的評(píng)估,認(rèn)可過程則屬于管理機(jī)關(guān)的行為,是指根據(jù)評(píng)估的結(jié)果來判斷信息系統(tǒng)的安全控制措施是否有效、殘余風(fēng)險(xiǎn)是否可接受。根據(jù)前述,在我國,目前主管部門安全認(rèn)可的依據(jù)多數(shù)是系統(tǒng)安全測(cè)評(píng)的結(jié)果。主管部門根據(jù)系統(tǒng)測(cè)評(píng)結(jié)果判斷,如果殘余風(fēng)險(xiǎn)可以接受,則允許系統(tǒng)投入運(yùn)行或繼續(xù)運(yùn)行,否則信息系統(tǒng)便沒有達(dá)到特定安全等級(jí)的安全要求。沒有最終的主管認(rèn)可過程,等級(jí)保護(hù)無法落到實(shí)處。從這個(gè)意義上講,進(jìn)行等級(jí)保護(hù)建設(shè)、實(shí)施風(fēng)險(xiǎn)管理過程后的系統(tǒng)安全測(cè)評(píng)及行政認(rèn)可是等級(jí)保護(hù)的落腳點(diǎn)。
D. 風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)的關(guān)系
基本判斷:風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)分別是針對(duì)系統(tǒng)生命周期建設(shè)不同階段存在的安全風(fēng)險(xiǎn)的相近判斷方法。對(duì)同一個(gè)生命周期的系統(tǒng),風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的起點(diǎn),系統(tǒng)測(cè)評(píng)是安全建設(shè)的終點(diǎn)?;蛘呖梢岳斫鉃椋到y(tǒng)安全測(cè)評(píng)是實(shí)施風(fēng)險(xiǎn)管理措施后的風(fēng)險(xiǎn)再評(píng)估。
二者均是對(duì)信息及信息系統(tǒng)系統(tǒng)安全性的一種評(píng)價(jià)判斷方法,因此,二者并沒有本質(zhì)的區(qū)別,或者說,二者的安全工作目標(biāo)基本一致,二者的工作核心都是對(duì)信息及系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)價(jià),因此,二者在實(shí)施內(nèi)容上有許多共同之處。具體講二者在操作方面的差異性,則風(fēng)險(xiǎn)評(píng)估是系統(tǒng)明確安全需求,確定成本-效益適合的安全控制措施的出發(fā)點(diǎn),風(fēng)險(xiǎn)評(píng)估通過對(duì)被評(píng)估用戶廣泛的、戰(zhàn)略性的分析來判斷機(jī)構(gòu)內(nèi)各類重要資產(chǎn)的風(fēng)險(xiǎn)級(jí)別;系統(tǒng)安全測(cè)評(píng)則是對(duì)已采取的安全控制措施(如管理措施、運(yùn)行措施、技術(shù)措施等)有效性的驗(yàn)證,安全測(cè)評(píng)更關(guān)注于對(duì)系統(tǒng)現(xiàn)有安全控制措施的技術(shù)驗(yàn)證,從而給出系統(tǒng)現(xiàn)存安全脆弱性的準(zhǔn)確判斷。行業(yè)主管部門或信息化主管部門在系統(tǒng)測(cè)評(píng)結(jié)果的基礎(chǔ)上,判斷系統(tǒng)安全風(fēng)險(xiǎn)是否可接受或已得到了有效的管理,從而給出是否批準(zhǔn)系統(tǒng)投入運(yùn)行或繼續(xù)運(yùn)行的最終結(jié)論。
三者在SDLC過程中的實(shí)施建議
通常情況下,我們將信息系統(tǒng)建設(shè)生命周期(SDLC)劃分為五個(gè)階段:規(guī)劃需求階段、設(shè)計(jì)開發(fā)階段、實(shí)施階段、運(yùn)行維護(hù)階段、廢棄階段。也就是說,系統(tǒng)是不斷變化的,安全建設(shè)也應(yīng)隨之發(fā)生變化。因此,從理論上分析,無論是等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估或是系統(tǒng)測(cè)評(píng),均適用于SDLC的各個(gè)階段。為避免三者之間相近的工作內(nèi)容在SDLC的同一個(gè)階段重復(fù)進(jìn)行,按照“誰主管,誰負(fù)責(zé);誰運(yùn)行,誰負(fù)責(zé)”的原則,從系統(tǒng)建設(shè)單位(多數(shù)情況下建設(shè)單位即運(yùn)行單位)、行業(yè)主管部門或信息化主管部門(簡(jiǎn)稱主管部門)等兩類不同發(fā)起主體或組織主體的角度考慮,建議按下述內(nèi)容實(shí)施:
1、規(guī)劃需求階段
建設(shè)單位自覺按照國家有關(guān)安全等級(jí)劃分及系統(tǒng)定級(jí)的原則進(jìn)行定級(jí),并報(bào)主管部門備案。
建設(shè)單位按照既定等級(jí)的風(fēng)險(xiǎn)評(píng)估管理要求和國家有關(guān)風(fēng)險(xiǎn)評(píng)估的技術(shù)標(biāo)準(zhǔn)自覺進(jìn)行風(fēng)險(xiǎn)評(píng)估,明確系統(tǒng)在機(jī)密性、完整性、可用性等方面的安全需求目標(biāo)。
2、設(shè)計(jì)開發(fā)階段及實(shí)施階段
建設(shè)單位(或委托承建單位)根據(jù)既定的安全需求目標(biāo),按照國家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),進(jìn)行系統(tǒng)安全體系結(jié)構(gòu)及詳細(xì)實(shí)施方案的設(shè)計(jì),采購和使用相應(yīng)等級(jí)的信息安全產(chǎn)品,建設(shè)安全設(shè)施,落實(shí)安全技術(shù)措施。
主管部門委托或指定第三方機(jī)構(gòu)對(duì)建設(shè)單位的系統(tǒng)安全設(shè)計(jì)方案進(jìn)行評(píng)審,并將第三方機(jī)構(gòu)出具的安全方案評(píng)審報(bào)告作為是否允許安全實(shí)施的依據(jù)。
注:建設(shè)單位在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),應(yīng)根據(jù)自身的客觀條件選擇自評(píng)估方式或委托第三方機(jī)構(gòu)評(píng)估的方式進(jìn)行;主管部門發(fā)起的安全測(cè)評(píng)一般應(yīng)委托具有授權(quán)資質(zhì)和技術(shù)能力的第三方機(jī)構(gòu)進(jìn)行??陀^上講,任何一個(gè)第三方機(jī)構(gòu)的評(píng)估接入都有可能對(duì)系統(tǒng)本身帶來新的安全威脅和風(fēng)險(xiǎn),為此,加強(qiáng)對(duì)第三方評(píng)估機(jī)構(gòu)的管理至關(guān)重要,特別是對(duì)參與基礎(chǔ)信息網(wǎng)絡(luò)或三級(jí)以上重要信息系統(tǒng)安全評(píng)估的機(jī)構(gòu)可實(shí)行強(qiáng)制許可制度,具體的許可制度和許可要求可以由相關(guān)信息安全主管部門或信息系統(tǒng)行業(yè)主管部門制定。此外,還應(yīng)加強(qiáng)對(duì)第三方評(píng)估機(jī)構(gòu)的安全保密教育,要求所有第三方評(píng)估機(jī)構(gòu)應(yīng)自覺遵守國家有關(guān)保密法規(guī)和其他相關(guān)規(guī)定,對(duì)評(píng)估工作中涉及的保密事項(xiàng),應(yīng)簽定保密協(xié)議,承擔(dān)保密責(zé)任并采取相應(yīng)保密措施。
3、運(yùn)行維護(hù)階段
主管部門在系統(tǒng)安全建設(shè)基本完成后,委托或指定第三方機(jī)構(gòu)對(duì)基本建成的系統(tǒng)進(jìn)行安全測(cè)評(píng),以評(píng)價(jià)系統(tǒng)當(dāng)前運(yùn)行環(huán)境下的安全控制措施是否和既定等級(jí)的安全需求一致、關(guān)鍵資產(chǎn)的安全風(fēng)險(xiǎn)是否控制在可接受范圍之內(nèi),并將第三方機(jī)構(gòu)的安全測(cè)評(píng)報(bào)告作為是否批準(zhǔn)系統(tǒng)投入運(yùn)行(即系統(tǒng)認(rèn)可)的依據(jù)。此外,考慮到信息技術(shù)、安全技術(shù)、安全***技術(shù)及相關(guān)標(biāo)準(zhǔn)、理論、方法的不斷發(fā)展,即使系統(tǒng)在認(rèn)可有效期內(nèi)沒有任何關(guān)于技術(shù)、業(yè)務(wù)及管理內(nèi)容的變更,主管部門也應(yīng)該發(fā)起周期性的安全測(cè)評(píng)和安全認(rèn)可,以保持系統(tǒng)的安全狀態(tài)維持在標(biāo)準(zhǔn)許可及公眾接受的范圍之內(nèi)。
在《關(guān)于進(jìn)一步加強(qiáng)上海市信息安全保障工作的實(shí)施意見》中,對(duì)上海行政區(qū)域內(nèi)公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),銀行/稅務(wù)/證券/海關(guān)/鐵道/電力/民航/水務(wù)/燃?xì)?軌道交通/醫(yī)療衛(wèi)生和大型國有企業(yè)等涉及國計(jì)民生的信息系統(tǒng),以及使用財(cái)政性資金建設(shè)的信息系統(tǒng)(統(tǒng)稱"重要信息系統(tǒng)")作出了強(qiáng)制實(shí)行等級(jí)保護(hù)和安全測(cè)評(píng)的要求。對(duì)新建、改建、擴(kuò)建的重要信息系統(tǒng),在立項(xiàng)后由安全測(cè)評(píng)機(jī)構(gòu)評(píng)審其安全設(shè)計(jì)方案,評(píng)審報(bào)告報(bào)有關(guān)主管部門確認(rèn),未通過評(píng)審的不得實(shí)施;正式投入運(yùn)行前,應(yīng)進(jìn)行系統(tǒng)安全測(cè)評(píng),測(cè)評(píng)結(jié)果報(bào)有關(guān)主管部門確認(rèn),未達(dá)到要求的不得投入運(yùn)行、不予驗(yàn)收;對(duì)已通過安全測(cè)評(píng)的重要信息系統(tǒng),投入運(yùn)行后要繼續(xù)加強(qiáng)安全保護(hù),由安全測(cè)評(píng)機(jī)構(gòu)定期進(jìn)行安全測(cè)評(píng)。
4、廢棄階段
建設(shè)單位重點(diǎn)對(duì)廢棄處理不當(dāng)對(duì)資產(chǎn)(如硬件、軟件、設(shè)備、文檔等)的影響、對(duì)信息/硬件/軟件的廢棄處置方面威脅、對(duì)訪問控制方面的弱點(diǎn)進(jìn)行綜合風(fēng)險(xiǎn)評(píng)估,以確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)膹U棄處置,并且要確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。
需要說明的是:上述實(shí)施建議主要針對(duì)同一個(gè)完整的SDLC,但事實(shí)上,在SDLC的某一個(gè)具體階段,也有可能由于業(yè)務(wù)類型變化(并可能導(dǎo)致安全等級(jí)變化)、新的安全威脅的出現(xiàn)或安全形勢(shì)的突變,要立即進(jìn)行安全需求及安全設(shè)計(jì)、安全實(shí)施方案的調(diào)整。這時(shí),應(yīng)參照上述SDLC過程中的“安全定級(jí)-風(fēng)險(xiǎn)評(píng)估-確定安全需求-安全體系設(shè)計(jì)及方案-方案評(píng)審-等級(jí)保護(hù)實(shí)施-安全測(cè)評(píng)-主管認(rèn)可”的步驟進(jìn)行。當(dāng)然,這個(gè)過程中涉及的風(fēng)險(xiǎn)評(píng)估、方案評(píng)審、安全測(cè)評(píng)等活動(dòng)要充分考慮利用已有的評(píng)估/測(cè)評(píng)成果,減少再評(píng)估/再測(cè)評(píng)造成的重復(fù)投入。