在信息化时代,网络安全已成为企业运营和社会发展的重要基石。而“等保”(信息安全等级保护)、“风险评估”和“安全测评”作为确保网络安全的三大利器,其重要性不言而喻。接下来,我们将深入探讨为什么要进行等保、风险评估和安全测评。

一、等级保护

基本概念:

网络安全等级保护旨在为国家秘密信息、法人及公民专有信息以及公开信息的安全提供多层次的保障。它涵盖了信息的存储、传输、处理环节,并对涉及这些环节的信息系统实行分级管理。同时,对系统中使用的安全产品也实行等级化监管,确保在信息安全事件发生时能够迅速、有效地响应和处置。这里所指的信息系统,是一个由计算机及其相关设备、设施构成的复杂网络,它依据特定的应用目标和规则,对数字化信息进行高效的存储、传输和处理。

背景与依据:

网络安全等级保护不仅是国家网络安全保障的核心制度,也是国家维护网络安全、推动信息化发展的基本策略和方法。它的实施体现了国家在网络安全领域的坚定意志和决心。整个工作流程包含五个关键阶段:定级、备案、建设整改、等级测评以及监督检查。一旦定级对象完成建设,运营或使用单位及其主管部门需选择符合国家标准的测评机构,依据《网络安全等级保护测评要求》等权威技术标准,定期对系统的安全等级状况进行评估。此外,包括GB 17859-1999《计算机信息系统安全保护等级划分准则》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等在内的多项国家标准和技术指南,为网络安全等级保护工作的顺利开展提供了坚实的法律和技术支撑。

二、信息安全风险评估

基本概念:

信息安全风险评估是一项系统性的过程,它依据风险评估的标准和管理规范,全面审视信息系统的多个维度。这一过程涉及对资产价值的评估、潜在威胁的识别、系统薄弱环节的剖析,以及已采取防护措施的审查。通过综合考量这些因素,风险评估旨在准确判断安全事件发生的可能性及其可能带来的损失,进而提出针对性的风险管理措施,确保信息系统的安全稳定运行。

背景与依据:

为了规范我国信息安全风险评估的实践,相关部门制定了《信息安全风险评估指南》及《信息安全风险管理指南》等标准草案。这些草案详细规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,为信息安全风险评估提供了明确的指导。此外,GBT 20984-2022《信息安全技术 信息安全风险评估方法》标准进一步明确了信息安全风险评估的基本概念、风险要素关系、风险分析原理,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。而GB-T 31509-2015《信息安全技术 信息安全风险评估实施指南》则针对非涉密信息系统的信息安全风险评估项目,规定了实施过程和方法,为安全评估机构或被评估组织提供了详细的项目管理、组织、实施和验收指导。这些标准和指南的发布和实施,对于提升我国信息安全风险评估的专业化、规范化水平具有重要意义。

三、系统安全测评

基本概念

信息安全测评是一项由具备检验技术能力和政府授权资格的权威机构执行的严谨活动。它依据国家标准、行业标准、地方标准或相关技术规范,通过科学公正的综合测试评估,对信息系统的安全保障能力进行全面审查。此过程旨在协助系统运行单位深入剖析系统当前的安全运行状态,精确识别潜在的安全隐患,并提出针对性的安全改进建议,以显著降低系统的安全风险,确保系统持续稳定运行。

背景与参考依据:

信息安全测评与认证在保障信息系统安全中各有侧重。测评旨在全面评估系统的安全保障能力,而认证则侧重于确认测评活动是否符合既定的标准化要求和质量管理标准。认证过程以相关标准和测评结果为依据,确保系统安全性的确认具有权威性和公信力。

尽管我国系统认证工作起步较早,但受限于认证周期、系统建设差异等多种因素,当前通过认证的系统数量相对较少。特别是国家认监委的成立,进一步强调了信息安全领域“一个统一认证出口”的重要性。国家认监委等8部委联合发布的《关于建立国家信息安全产品认证认可体系的通知》(简称57号文),明确提出了信息安全产品的“四统一”认证要求:统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准。在针对信息系统安全认证的具体指导意见尚未出台之前,系统安全测评的结果往往成为主管部门对系统安全认可的重要依据,确保了信息系统安全性的权威认证与有效监管。

四、三者关系的基本判断

等级保护作为我国信息安全保障体系的核心基础管理制度,为信息安全建设提供了全面的指导原则。它不仅涵盖了信息安全的全过程,还强调了对信息安全进行分等级、按标准的建设、管理和监督。在这一框架下,风险评估和系统测评作为两种特定且相互关联的研究、分析方法,共同构成了信息安全评价的重要组成部分。

从层次和重要性上看,等级保护无疑处于更高的地位。它作为信息安全建设的总体指导原则,为风险评估和系统测评提供了明确的方向和依据。一旦系统定级原则确定,并根据该原则将系统分类分级,风险评估和系统测评便可以在等级保护的框架内进行,确保它们与总体安全策略保持一致。

具体来说,风险评估和系统测评在操作时,只需在原有的方法、操作程序基础上,结合特定等级的特殊要求进行调整和优化。这种结合使得风险评估和系统测评更加精准、有效,能够更好地服务于信息安全建设的整体目标。

简而言之,等级保护如同指导信息安全建设的宪法,为信息安全保障提供了全面、系统的指导原则;而风险评估和系统测评则是针对系统安全性评估或合格判定的专项法律,它们在等级保护的框架下发挥着不可或缺的作用。

五、三者之间的关系

等级保护与风险评估的关系

风险评估是等级保护制度的基石,其出发点在于针对不同等级的信息系统所对应的不同安全需求进行精准分析。在风险评估中,风险等级的确定不仅充分考量了信息资产的CIA特性(机密性、完整性、可用性)的高低,还额外纳入了对现有安全控制措施的评估。这意味着,即便在等级保护中划分为高级别的信息系统,也并不必然意味着其安全风险就同样高,因为已实施的安全措施可能已大大降低了潜在风险。

风险评估在安全建设中具有举足轻重的地位。它摒弃了传统技术驱动的安全体系设计思路,转而以成本-效益平衡的原则为指导,全面审视用户关心的关键资产(如信息、硬件、软件、文档、服务、设备等)的分级,深入剖析安全威胁的可能性及严重性,并对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理及运行措施等多个方面的安全脆弱性进行分析。在综合考量已有安全控制措施的基础上,通过定量与定性分析的方法,精准推断出用户资产当前的安全风险,并据此制定风险处理计划,为下一步的安全需求指明方向。

等级保护制度的实施始于系统定级。依据FIPS199标准,系统定级基于信息机密性、完整性和可用性的潜在损失最大值来确定,经历“明确信息类型----确定安全类别----确定系统安全类别”三个关键步骤,最终将信息系统安全类别(SC)表达为一个与CIA特性潜在影响相关的三重函数。

等级保护中的系统分类分级与风险评估中对信息资产重要性的分级在思想上具有一致性。然而,二者在操作上有所不同:等级保护侧重于从业务需求或CIA特性出发,定义系统所需达到的安全保障业务等级;而风险评估则是对信息的重要性、现有安全控制措施的有效性及运行现状进行全面考量后的综合评估结果。这意味着,即便某信息资产在CIA价值上较高,但在风险评估中,若其安全控制措施得当且运行状况良好,其风险等级并不一定就高。因此,风险评估的结果为实施等级保护制度、规划等级安全建设提供了重要的出发点和参考依据。

等级保护与安全测评的关系

系统安全测评及行政认可是安全等级保护得以实施和落地的关键环节。

根据NIST SP800-37的指导,认证过程侧重于对系统安全性的细致评估,确保系统的安全措施达到了预期标准;而认可过程则是管理机关根据评估结果进行的决策行为,旨在判断信息系统的安全控制措施是否切实有效,以及残余风险是否在可接受的范围内。

在我国,目前主管部门对于系统安全认可的依据,主要依赖于系统安全测评的详尽结果。主管部门会根据系统测评的详细报告进行综合判断,若评估结果显示残余风险在可控范围内,系统将获得投入运行或继续运行的许可;反之,若系统未能满足特定安全等级的要求,主管部门将不予认可。

因此,系统安全测评及行政认可不仅是安全等级保护体系中的重要组成部分,更是确保等级保护制度得以有效执行和落地的关键步骤。没有这一最终的主管认可过程,等级保护将难以真正落到实处,发挥其应有的效用。

风险评估与安全测评的关系

风险评估与系统测评是系统生命周期不同阶段中对安全风险进行评估的两种紧密相关的方法。在系统的整个生命周期中,风险评估作为安全建设的起点,为系统设定了安全需求,并确定了符合成本-效益原则的安全控制措施;而系统安全测评则作为安全建设的终点,对已实施的安全控制措施的有效性进行验证。可以说,系统安全测评是对实施风险管理措施后系统安全风险的再次评估。

尽管风险评估和系统测评在操作层面有所不同,但它们的根本目标是一致的,即都是对信息及信息系统的安全性进行评价判断。在这一点上,两者并没有本质的区别。它们的核心工作都是对信息及系统的安全风险进行评估,因此在实施内容上存在着许多共同之处。

具体来说,风险评估侧重于从广泛的、战略性的角度,对被评估用户的各类重要资产进行风险级别的判断,为系统明确安全需求,并确定符合成本-效益原则的安全控制措施;而系统安全测评则更加关注于对已实施的安全控制措施(如管理措施、运行措施、技术措施等)进行技术验证,从而准确判断系统现存的安全脆弱性。基于系统测评的结果,行业主管部门或信息化主管部门将判断系统的安全风险是否可接受或已得到有效管理,并据此作出是否批准系统投入运行或继续运行的最终决策。

六、网络安全解决方案详解

等保合规

  • 服务安全可靠
    德迅云安全集结行业资深的专家服务团队,为您降低等保合规风险,提供安全、可靠、专业的安全合规产品和服务,快速、高效提升您的合规能力。
  • 合规生态完备
    无需头疼云上的信息系统综合规划建设,德迅云安全与专业的咨询机构、测评机构通力合作,为您提供完整、持续的等保合规咨询服务和等保测评服务。
  • 防护架构严固
    德迅云安全帮助您减少基础环境和安全产品投入,建立完整的安全技术架构,形成安全纵深防御,从而帮助您完成安全整改,以满足等保的合规技术要求。
  • 合规产品优质
    根据测评中发现的安全问题,德迅云安全为您提供周期的安全解决方案。结合灵活便捷、按需的选用安全合规产品和服务,极大节省您的合规成本。

风险评估

  • 第一步:评估准备
    1.项目成员人、工具包、访谈表单、流程;
    2.制定风险评估方案;
    3.了解应用系统、主机、数据库、网络环境、安全设备、组织架构、管理制度等。
  • 第二步:技术评估
    1.基线评估:对主机、网络设备、数据库、中间件(账户安全、访问控制、网络安全等27项);
    2.应用评估:安全功能、日常维护(身份认证、访问权限控制、传输安全等12项);
    3.渗透测试:业务系统、APP程序、微信小程序(信息泄露、注入漏洞、逻辑错误等15项)。
  • 第三步:管理评估
    1.技术管理评估:物理环境、通信与操作管理、访问控制、系统开发与维护、业务连续性;
    2.组织管理评估:安全策略、组织安全、资产分类与控制、人员安全、符合性。
  • 第四步:评估报告
    1.列出在风险评估工作中,发现的重要资产分布、脆弱性分布及综合威胁分布;
    2.详细描述安全风险现状及评估分析结果;
    3.提出风险控制方案,为之后的加固整改提出合理化建议。


德迅云安全小潘
1 声望0 粉丝