安全資訊

三者的基本概念和工作背景

等級保護

基本概念：信息安全等級保護是指對國家秘密信息、法人和其他組織和公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護，對信息系統中使用的安全產(chǎn)品實(shí)行按等級管理，對信息系統中發(fā)生的信息安全事件等等級響應、處置。這里所指的信息系統，是指由計算機及其相關(guān)和配套的設備、設施構成的，按照一定的應用目標和規則對信息進(jìn)行存儲、傳輸、處理的系統或者網(wǎng)絡(luò )；信息是指在信息系統中存儲、傳輸、處理的數字化信息。

工作背景：1994年×××頒布的《×××計算機信息系統安全保護條例》2規定：計算機信息系統實(shí)行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會(huì )同有關(guān)部門(mén)制定。1999年公安部組織起草了《計算機信息系統安全保護等級劃分準則》（GB 17859-1999），規定了計算機信息系統安全保護能力的五個(gè)等級，即：第一級：用戶(hù)自主保護級；第二級：系統審計保護級；第三級：安全標記保護級；第四級:結構化保護級；第五級：訪(fǎng)問(wèn)驗證保護級。GB17859中的分級是一種技術(shù)的分級，即對系統客觀(guān)上具備的安全保護技術(shù)能力等級的劃分。2002年7月18日，公安部在GB17859的基礎上，又發(fā)布實(shí)施五個(gè)GA新標準，分別是：GA/T 387-2002《計算機信息系統安全等級保護網(wǎng)絡(luò )技術(shù)要求》、GA 388-2002 《計算機信息系統安全等級保護操作系統技術(shù)要求》、GA/T 389-2002《計算機信息系統安全等級保護數據庫管理系統技術(shù)要求》、GA/T 390-2002《計算機信息系統安全等級保護通用技術(shù)要求》、GA 391-2002 《計算機信息系統安全等級保護管理要求》。這些標準是我國計算機信息系統安全保護等級系列標準的一部分?！蛾P(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)的通知》3（簡(jiǎn)稱(chēng)66號文）將信息和信息系統的安全保護等級劃分為五級，即：第一級：自主保護級；第二級：指導保護級；第三級：監督保護級；第四級：強制保護級；第五級：專(zhuān)控保護級。特別強調的是：66號文中的分級主要是從信息和信息系統的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的，是系統從應用需求出發(fā)必須納入的安全業(yè)務(wù)等級，而不是GB17859中定義的系統已具備的安全技術(shù)等級。

風(fēng)險評估

基本概念：信息安全風(fēng)險評估是參照風(fēng)險評估標準和管理規范，對信息系統的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節、已采取的防護措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險管理措施的過(guò)程。

工作背景：風(fēng)險評估不是一個(gè)新概念，金融、電子商務(wù)等許多領(lǐng)域都有風(fēng)險及風(fēng)險評估需求的存在。當風(fēng)險評估應用于IT領(lǐng)域時(shí)，就是對信息安全的風(fēng)險評估。國內這幾年對信息安全風(fēng)險評估的研究進(jìn)展較快，具體的評估方法也在不斷改進(jìn)。風(fēng)險評估也從早期簡(jiǎn)單的漏洞掃描、人工審計、***性測試這種類(lèi)型的純技術(shù)操作，逐漸過(guò)渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型?！痢痢列畔⒒ぷ鬓k公室2004年組織完成了《信息安全風(fēng)險評估指南》及《信息安全風(fēng)險管理指南》標準草案的制定，并在其中規定了信息安全風(fēng)險評估的工作流程、評估內容、評估方法和風(fēng)險判斷準則，對規范我國信息安全風(fēng)險評估的做法具有很好的指導意義。目前，國信辦正組織在全國北京、上海、黑龍江、云南等省市及稅務(wù)、銀行、電力等行業(yè)領(lǐng)域作風(fēng)險評估試點(diǎn)工作，探討對上述兩個(gè)風(fēng)險評估/風(fēng)險管理標準草案的理解修訂及相關(guān)管理問(wèn)題的研究，預計2005年9月份前完成試點(diǎn)工作，并在試點(diǎn)工作的基礎上形成有關(guān)開(kāi)展信息安全風(fēng)險評估工作的指導意見(jiàn)。

系統安全測評

基本概念：由具備檢驗技術(shù)能力和政府授權資格的權威機構，依據國家標準、行業(yè)標準、地方標準或相關(guān)技術(shù)規范，按照嚴格程序對信息系統的安全保障能力進(jìn)行的科學(xué)公正的綜合測試評估活動(dòng)，以幫助系統運行單位分析系統當前的安全運行狀況、查找存在的安全問(wèn)題，并提供安全改進(jìn)建議，從而最大程度地降低系統的安全風(fēng)險。

工作背景：在我國，中國信息安全產(chǎn)品測評認證中心（簡(jiǎn)稱(chēng)CNITSEC）是較早并較有影響的開(kāi)展有關(guān)系統安全測評認證的機構。這里強調一下測評和認證的區別：測評如前述定義，認證則是對測評活動(dòng)是否符合標準化要求和質(zhì)量管理要求所作的確認，認證以標準和測評的結果作為依據。在美國，系統認證的結果通常作為主管部門(mén)對新建系統投入運行前的安全審批或已建系統安全動(dòng)態(tài)監管（即系統認可）的依據。根據美國FISMA6及NIST SP800-37的規定，系統認證是“對信息系統的技術(shù)類(lèi)、管理類(lèi)和運行類(lèi)安全控制所進(jìn)行的綜合評估”，認可則是“由管理層作出的決策，用來(lái)授權一個(gè)信息系統投入運行”。我國的系統認證雖然起步較早，但由于認證周期、建設差異等多方面的原因，目前的系統認證數量還非常少。特別是國家認監委成立后，強調了信息安全要“一個(gè)統一認證出口”的要求。國家認監委等8部委聯(lián)合下發(fā)的《關(guān)于建立國家信息安全產(chǎn)品認證認可體系的通知》4（簡(jiǎn)稱(chēng)57號文）中已明確規定了對信息安全產(chǎn)品進(jìn)行“統一標準、技術(shù)規范與合格評定程序；統一認證目錄；統一認證標志；統一收費標準”的“四統一”的認證要求。在國家認監委對信息系統的安全認證相關(guān)具體意見(jiàn)尚未出臺前，多數情況下，系統安全測評的結果可直接作為主管部門(mén)對系統安全認可的依據。典型例子如上海市信息安全測評認證中心，在相關(guān)職能部門(mén)授權下，已完成了對上海市100余家重要信息系統、涉密信息系統、區縣以上綜合醫院的信息系統的安全測評工作，并為市信息委、市×××、市衛生局等信息化主管部門(mén)或行業(yè)主管部門(mén)提供了重要的技術(shù)決策依據。

三者關(guān)系的基本判斷

基本判斷：等級保護是指導我國信息安全保障體系建設的一項基礎管理制度，風(fēng)險評估、系統測評都是在等級保護制度下，對信息及信息系統安全性評價(jià)方面兩種特定的、有所區分但又有所聯(lián)系的的不同研究、分析方法。

等級保護是指導我國信息安全保障體系總體建設的基礎管理原則，是圍繞信息安全保障全過(guò)程的一項基礎性管理制度，其核心內容是對信息安全分等級、按標準進(jìn)行建設、管理和監督。風(fēng)險評估、系統測評則只是針對信息安全評價(jià)方面兩種有所區分但又有所聯(lián)系的的不同研究、分析方法。從這個(gè)意義上講，等級保護要高于風(fēng)險評估和系統測評。當系統定級原則確定并根據該原則將系統分類(lèi)分級后，那風(fēng)險評估、系統測評都可以理解為在等級保護制度下的風(fēng)險評估和等級保護制度下的系統測評，操作時(shí)只需在原有風(fēng)險評估、系統測評方法、操作程序的基礎上，加入特定等級的特殊要求就是了。打個(gè)比方：如果說(shuō)等級保護是指導信息安全建設的憲法，則風(fēng)險評估、安全測評則是針對系統安全性評估或合格判定方面的專(zhuān)項法律。至于66號文中提及的等級保護制度中的其他建設內容，如等級化安全保障體系設計、等級化安全產(chǎn)品選用、等級化安全事件處理響應，由于和安全評估沒(méi)有特別直接的關(guān)系，本文不再展開(kāi)討論。

等級保護與風(fēng)險評估的關(guān)系

基本判斷：風(fēng)險評估是等級保護（不同等級不同安全需求）的出發(fā)點(diǎn)。風(fēng)險評估中的風(fēng)險等級和等級保護中的系統定級均充分考慮到信息資產(chǎn)CIA特性的高低，但風(fēng)險評估中的風(fēng)險等級加入了對現有安全控制措施的確認因素，也就是說(shuō)，等級保護中高級別的信息系統不一定就有高級別的安全風(fēng)險。

風(fēng)險評估是安全建設的出發(fā)點(diǎn)，它的重要意義就在于改變傳統的以技術(shù)驅動(dòng)為導向的安全體系結構設計及詳細安全方案制定，以成本－效益平衡的原則，通過(guò)對用戶(hù)關(guān)心的重要資產(chǎn)（如信息、硬件、軟件、文檔、代碼、服務(wù)、設備、企業(yè)形象等）的分級、安全威脅（如人為威脅、自然威脅等）發(fā)生的可能性及嚴重性分析、對系統物理環(huán)境、硬件設備、網(wǎng)絡(luò )平臺、基礎系統平臺、業(yè)務(wù)應用系統、安全管理、運行措施等方面的安全脆弱性（或稱(chēng)薄弱環(huán)節）分析，并通過(guò)對已有安全控制措施的確認，借助定量、定性分析的方法，推斷出用戶(hù)關(guān)心的重要資產(chǎn)當前的安全風(fēng)險，并根據風(fēng)險的嚴重級別制定風(fēng)險處理計劃，確定下一步的安全需求方向。

等級保護的前提是對系統定級，根據FIPS199，系統定級根據系統信息的機密性、完整性、可用性（簡(jiǎn)稱(chēng)CIA特性）等三性損失的最大值來(lái)確定，即“明確各種信息類(lèi)型----確定每種信息類(lèi)型的安全類(lèi)別----確定系統的安全類(lèi)別”三個(gè)步驟進(jìn)行系統最終的定級。將信息系統安全類(lèi)別（簡(jiǎn)稱(chēng)SC）表示為一個(gè)與CIA特性的潛在影響相關(guān)的三重函數，一般模式是：SC= ｛（保密性，影響），（完整性，影響），（可用性，影響）｝。

等級保護中的系統分類(lèi)分級的思想和風(fēng)險評估中對信息資產(chǎn)的重要性分級基本一致，不同的是：等級保護的級別是從系統的業(yè)務(wù)需求或CIA特性出發(fā)，定義系統應具備的安全保障業(yè)務(wù)等級，而風(fēng)險評估中最終風(fēng)險的等級則是綜合考慮了信息的重要性、系統現有安全控制措施的有效性及運行現狀后的綜合評估結果，也就是說(shuō)，在風(fēng)險評估中，CIA價(jià)值高的信息資產(chǎn)不一定風(fēng)險等級就高。在確定系統安全等級級別后，風(fēng)險評估的結果可作為實(shí)施等級保護、等級安全建設的出發(fā)點(diǎn)和參考。

 等級保護與系統測評的關(guān)系

基本判斷：系統安全測評及行政認可是安全等級保護的落腳點(diǎn)。

根據NIST SP800-37，認證過(guò)程偏重于對系統安全性的評估，認可過(guò)程則屬于管理機關(guān)的行為，是指根據評估的結果來(lái)判斷信息系統的安全控制措施是否有效、殘余風(fēng)險是否可接受。根據前述，在我國，目前主管部門(mén)安全認可的依據多數是系統安全測評的結果。主管部門(mén)根據系統測評結果判斷，如果殘余風(fēng)險可以接受，則允許系統投入運行或繼續運行，否則信息系統便沒(méi)有達到特定安全等級的安全要求。沒(méi)有最終的主管認可過(guò)程，等級保護無(wú)法落到實(shí)處。從這個(gè)意義上講，進(jìn)行等級保護建設、實(shí)施風(fēng)險管理過(guò)程后的系統安全測評及行政認可是等級保護的落腳點(diǎn)。

風(fēng)險評估與系統測評的關(guān)系

基本判斷：風(fēng)險評估與系統測評分別是針對系統生命周期建設不同階段存在的安全風(fēng)險的相近判斷方法。對同一個(gè)生命周期的系統，風(fēng)險評估是安全建設的起點(diǎn)，系統測評是安全建設的終點(diǎn)?；蛘呖梢岳斫鉃?，系統安全測評是實(shí)施風(fēng)險管理措施后的風(fēng)險再評估。

二者均是對信息及信息系統系統安全性的一種評價(jià)判斷方法，因此，二者并沒(méi)有本質(zhì)的區別，或者說(shuō)，二者的安全工作目標基本一致，二者的工作核心都是對信息及系統安全風(fēng)險的評價(jià)，因此，二者在實(shí)施內容上有許多共同之處。具體講二者在操作方面的差異性，則風(fēng)險評估是系統明確安全需求，確定成本－效益適合的安全控制措施的出發(fā)點(diǎn)，風(fēng)險評估通過(guò)對被評估用戶(hù)廣泛的、戰略性的分析來(lái)判斷機構內各類(lèi)重要資產(chǎn)的風(fēng)險級別；系統安全測評則是對已采取的安全控制措施（如管理措施、運行措施、技術(shù)措施等）有效性的驗證，安全測評更關(guān)注于對系統現有安全控制措施的技術(shù)驗證，從而給出系統現存安全脆弱性的準確判斷。行業(yè)主管部門(mén)或信息化主管部門(mén)在系統測評結果的基礎上，判斷系統安全風(fēng)險是否可接受或已得到了有效的管理，從而給出是否批準系統投入運行或繼續運行的最終結論。圖片

對三者在SDLC過(guò)程中的實(shí)施建議

通常情況下，我們將信息系統建設生命周期（SDLC）劃分為五個(gè)階段：規劃需求階段、設計開(kāi)發(fā)階段、實(shí)施階段、運行維護階段、廢棄階段。也就是說(shuō)，系統是不斷變化的，安全建設也應隨之發(fā)生變化。因此，從理論上分析，無(wú)論是等級保護、風(fēng)險評估或是系統測評，均適用于SDLC的各個(gè)階段。為避免三者之間相近的工作內容在SDLC的同一個(gè)階段重復進(jìn)行，按照“誰(shuí)主管，誰(shuí)負責；誰(shuí)運行，誰(shuí)負責”的原則，從系統建設單位（多數情況下建設單位即運行單位）、行業(yè)主管部門(mén)或信息化主管部門(mén)（簡(jiǎn)稱(chēng)主管部門(mén)）等兩類(lèi)不同發(fā)起主體或組織主體的角度考慮，建議按下述內容實(shí)施：

1、規劃需求階段

建設單位自覺(jué)按照國家有關(guān)安全等級劃分及系統定級的原則進(jìn)行定級，并報主管部門(mén)備案。

建設單位按照既定等級的風(fēng)險評估管理要求和國家有關(guān)風(fēng)險評估的技術(shù)標準自覺(jué)進(jìn)行風(fēng)險評估，明確系統在機密性、完整性、可用性等方面的安全需求目標。

2、設計開(kāi)發(fā)階段及實(shí)施階段

建設單位（或委托承建單位）根據既定的安全需求目標，按照國家有關(guān)等級保護的管理規范和技術(shù)標準，進(jìn)行系統安全體系結構及詳細實(shí)施方案的設計，采購和使用相應等級的信息安全產(chǎn)品，建設安全設施，落實(shí)安全技術(shù)措施。

主管部門(mén)委托或指定第三方機構對建設單位的系統安全設計方案進(jìn)行評審，并將第三方機構出具的安全方案評審報告作為是否允許安全實(shí)施的依據。

3、運行維護階段

主管部門(mén)在系統安全建設基本完成后，委托或指定第三方機構對基本建成的系統進(jìn)行安全測評，以評價(jià)系統當前運行環(huán)境下的安全控制措施是否和既定等級的安全需求一致、關(guān)鍵資產(chǎn)的安全風(fēng)險是否控制在可接受范圍之內，并將第三方機構的安全測評報告作為是否批準系統投入運行（即系統認可）的依據。此外，考慮到信息技術(shù)、安全技術(shù)、安全***技術(shù)及相關(guān)標準、理論、方法的不斷發(fā)展，即使系統在認可有效期內沒(méi)有任何關(guān)于技術(shù)、業(yè)務(wù)及管理內容的變更，主管部門(mén)也應該發(fā)起周期性的安全測評和安全認可，以保持系統的安全狀態(tài)維持在標準許可及公眾接受的范圍之內。

在《關(guān)于進(jìn)一步加強上海市信息安全保障工作的實(shí)施意見(jiàn)》中，對上海行政區域內公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡(luò )，銀行/稅務(wù)/證券/海關(guān)/鐵道/電力/民航/水務(wù)/燃氣/軌道交通/醫療衛生和大型國有企業(yè)等涉及國計民生的信息系統，以及使用財政性資金建設的信息系統（統稱(chēng)"重要信息系統"）作出了強制實(shí)行等級保護和安全測評的要求。對新建、改建、擴建的重要信息系統，在立項后由安全測評機構評審其安全設計方案，評審報告報有關(guān)主管部門(mén)確認，未通過(guò)評審的不得實(shí)施；正式投入運行前，應進(jìn)行系統安全測評，測評結果報有關(guān)主管部門(mén)確認，未達到要求的不得投入運行、不予驗收；對已通過(guò)安全測評的重要信息系統，投入運行后要繼續加強安全保護，由安全測評機構定期進(jìn)行安全測評。

4、廢棄階段

建設單位重點(diǎn)對廢棄處理不當對資產(chǎn)（如硬件、軟件、設備、文檔等）的影響、對信息/硬件/軟件的廢棄處置方面威脅、對訪(fǎng)問(wèn)控制方面的弱點(diǎn)進(jìn)行綜合風(fēng)險評估，以確保硬件和軟件等資產(chǎn)及殘留信息得到了適當的廢棄處置，并且要確保系統的更新?lián)Q代能以一個(gè)安全和系統化的方式完成。

需要說(shuō)明的是：上述實(shí)施建議主要針對同一個(gè)完整的SDLC，但事實(shí)上，在SDLC的某一個(gè)具體階段，也有可能由于業(yè)務(wù)類(lèi)型變化（并可能導致安全等級變化）、新的安全威脅的出現或安全形勢的突變，要立即進(jìn)行安全需求及安全設計、安全實(shí)施方案的調整。這時(shí)，應參照上述SDLC過(guò)程中的“安全定級－風(fēng)險評估－確定安全需求－安全體系設計及方案－方案評審－等級保護實(shí)施－安全測評－主管認可”的步驟進(jìn)行。當然，這個(gè)過(guò)程中涉及的風(fēng)險評估、方案評審、安全測評等活動(dòng)要充分考慮利用已有的評估/測評成果，減少再評估/再測評造成的重復投入。

目前國家關(guān)于等級保護、風(fēng)險評估、系統測評等方面的具體工作要求、技術(shù)標準、管理辦法等尚未最終完全形成。本文基于作者對國家有關(guān)等級保護、風(fēng)險評估、系統安全測評等要求及內容的粗淺理解，結合作者的一些工作實(shí)踐，形成了對三者相互之間關(guān)系的一些基本判斷，并從實(shí)施行為發(fā)起者的角度，提出了三者在系統建設生命周期SDLC中的操作建議。其實(shí)，不管何種安全保護方法或安全評估方法，只要實(shí)施有序、監管有力，都能大大改善、促進(jìn)信息系統的安全建設、安全運行和安全管理，從而推動(dòng)整個(gè)國家信息安全保障體系的發(fā)展，并為全面推進(jìn)我國的國民經(jīng)濟和社會(huì )信息化進(jìn)程提供重要保障。