| 單價(jià): | 面議 |
| 發(fā)貨期限: | 自買家付款之日起 天內(nèi)發(fā)貨 |
| 所在地: | 直轄市 北京 北京大興 |
| 有效期至: | 長(zhǎng)期有效 |
| 發(fā)布時(shí)間: | 2023-11-26 04:01 |
| 最后更新: | 2023-11-26 04:01 |
| 瀏覽次數(shù): | 113 |
| 采購(gòu)咨詢: |
請(qǐng)賣家聯(lián)系我
|
等級(jí)保護(hù),、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者的區(qū)別和聯(lián)系都有哪些?
等級(jí)保護(hù),、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者的區(qū)別和聯(lián)系都有哪些,?
等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者的區(qū)別和聯(lián)系都有哪些,?
三者的基本概念和工作背景
等級(jí)保護(hù)
基本概念:網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息,、法人和其他組織和公民的專有信息以及公開信息和存儲(chǔ)、傳輸,、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),,對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件等等級(jí)響應(yīng),、處置,。這里所指的信息系統(tǒng),,是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的,,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ),、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò),;信息是指在信息系統(tǒng)中存儲(chǔ),、傳輸、處理的數(shù)字化信息,。
背景及參考依據(jù):網(wǎng)絡(luò)安全等級(jí)保護(hù)是國(guó)家網(wǎng)絡(luò)安全保障的基本制度,、基本策略、基本方法,。開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展,、維護(hù)網(wǎng)絡(luò)安全的根本保障,是網(wǎng)絡(luò)安全保障工作中國(guó)家意志的體現(xiàn),。網(wǎng)絡(luò)安全等級(jí)保護(hù)工作包括定級(jí),、備案、建設(shè)整改,、等級(jí)測(cè)評(píng),、監(jiān)督檢查五個(gè)階段。定級(jí)對(duì)象建設(shè)完成后,,運(yùn)營(yíng),、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國(guó)家要求的測(cè)評(píng)機(jī)構(gòu),依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),,定期對(duì)定級(jí)對(duì)象安全等級(jí)狀況開展等級(jí)測(cè)評(píng),。GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,、GB/T 28448-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》,、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、GB/T 28449-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》,、GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》,、GB/T 36627-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》、GB/T 25058-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》,。
風(fēng)險(xiǎn)評(píng)估
基本概念:信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范,,對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值,、潛在威脅,、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析,,判斷安全事件發(fā)生的概率以及可能造成的損失,,提出風(fēng)險(xiǎn)管理措施的過(guò)程,。
背景及參考依據(jù):《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程,、評(píng)估內(nèi)容,、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則,對(duì)規(guī)范我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義,,GBT 20984-2022 《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》描述了信息安全風(fēng)險(xiǎn)評(píng)估的基本概念,、風(fēng)險(xiǎn)要素關(guān)系、風(fēng)險(xiǎn)分析原理,、風(fēng)險(xiǎn)評(píng)估實(shí)施流程和平估方法,,以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。GB-T 31509-2015 《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施的過(guò)程和方法,,用于各類安全評(píng)估機(jī)構(gòu)或被評(píng)估組織對(duì)非涉密信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的管理,指導(dǎo)風(fēng)險(xiǎn)評(píng)估項(xiàng)目的組織,、實(shí)施、驗(yàn)收等工作,。
系統(tǒng)安全測(cè)評(píng)
基本概念:由具備檢驗(yàn)技術(shù)能力和政府授權(quán)資格的quanwei機(jī)構(gòu),,依據(jù)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范,,按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測(cè)試評(píng)估活動(dòng),以幫助系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況,、查找存在的安全問題,,并提供安全改進(jìn)建議,從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn),。
背景及參考依據(jù):測(cè)評(píng)和認(rèn)證的區(qū)別:測(cè)評(píng)如前述定義,,認(rèn)證則是對(duì)測(cè)評(píng)活動(dòng)是否符合標(biāo)準(zhǔn)化要求和質(zhì)量管理要求所作的確認(rèn),認(rèn)證以標(biāo)準(zhǔn)和測(cè)評(píng)的結(jié)果作為依據(jù),。我國(guó)的系統(tǒng)認(rèn)證雖然起步較早,,但由于認(rèn)證周期、建設(shè)差異等多方面的原因,,目前的系統(tǒng)認(rèn)證數(shù)量還非常少,。特別是國(guó)家認(rèn)監(jiān)委成立后,強(qiáng)調(diào)了信息安全要“一個(gè)統(tǒng)一認(rèn)證出口”的要求,。國(guó)家認(rèn)監(jiān)委等8部委聯(lián)合下發(fā)的《關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》4(簡(jiǎn)稱57號(hào)文)中已明確規(guī)定了對(duì)信息安全產(chǎn)品進(jìn)行“統(tǒng)一標(biāo)準(zhǔn),、技術(shù)規(guī)范與合格評(píng)定程序;統(tǒng)一認(rèn)證目錄,;統(tǒng)一認(rèn)證標(biāo)志,;統(tǒng)一收費(fèi)標(biāo)準(zhǔn)”的“四統(tǒng)一”的認(rèn)證要求。在國(guó)家認(rèn)監(jiān)委對(duì)信息系統(tǒng)的安全認(rèn)證相關(guān)具體意見尚未出臺(tái)前,,多數(shù)情況下,,系統(tǒng)安全測(cè)評(píng)的結(jié)果可直接作為主管部門對(duì)系統(tǒng)安全認(rèn)可的依據(jù),。
三者的相互內(nèi)在聯(lián)系和區(qū)別
三者關(guān)系的基本判斷
基本判斷:等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系建設(shè)的一項(xiàng)基礎(chǔ)管理制度,風(fēng)險(xiǎn)評(píng)估,、系統(tǒng)測(cè)評(píng)都是在等級(jí)保護(hù)制度下,,對(duì)信息及信息系統(tǒng)安全性評(píng)價(jià)方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究,、分析方法,。
等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性管理制度,,其核心內(nèi)容是對(duì)信息安全分等級(jí),、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督,。風(fēng)險(xiǎn)評(píng)估,、系統(tǒng)測(cè)評(píng)則只是針對(duì)信息安全評(píng)價(jià)方面兩種有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法,。從這個(gè)意義上講,,等級(jí)保護(hù)要高于風(fēng)險(xiǎn)評(píng)估和系統(tǒng)測(cè)評(píng)。當(dāng)系統(tǒng)定級(jí)原則確定并根據(jù)該原則將系統(tǒng)分類分級(jí)后,,那風(fēng)險(xiǎn)評(píng)估,、系統(tǒng)測(cè)評(píng)都可以理解為在等級(jí)保護(hù)制度下的風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)制度下的系統(tǒng)測(cè)評(píng),操作時(shí)只需在原有風(fēng)險(xiǎn)評(píng)估,、系統(tǒng)測(cè)評(píng)方法,、操作程序的基礎(chǔ)上,加入特定等級(jí)的特殊要求就是了,。打個(gè)比方:如果說(shuō)等級(jí)保護(hù)是指導(dǎo)信息安全建設(shè)的憲法,,則風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)則是針對(duì)系統(tǒng)安全性評(píng)估或合格判定方面的專項(xiàng)法律,。至于66號(hào)文中提及的等級(jí)保護(hù)制度中的其他建設(shè)內(nèi)容,,如等級(jí)化安全保障體系設(shè)計(jì)、等級(jí)化安全產(chǎn)品選用,、等級(jí)化安全事件處理響應(yīng),,由于和安全評(píng)估沒有特別直接的關(guān)系,本文不再展開討論,。
等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估的關(guān)系
基本判斷:風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)(不同等級(jí)不同安全需求)的出發(fā)點(diǎn),。風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)和等級(jí)保護(hù)中的系統(tǒng)定級(jí)均充分考慮到信息資產(chǎn)CIA特性的高低,但風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)加入了對(duì)現(xiàn)有安全控制措施的確認(rèn)因素,,也就是說(shuō),,等級(jí)保護(hù)中**別的信息系統(tǒng)不一定就有**別的安全風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn),它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案制定,,以成本-效益平衡的原則,通過(guò)對(duì)用戶關(guān)心的重要資產(chǎn)(如信息,、硬件,、軟件、文檔,、代碼,、服務(wù)、設(shè)備,、企業(yè)形象等)的分級(jí),、安全威脅(如人為威脅、自然威脅等)發(fā)生的可能性及嚴(yán)重性分析,、對(duì)系統(tǒng)物理環(huán)境,、硬件設(shè)備、網(wǎng)絡(luò)平臺(tái),、基礎(chǔ)系統(tǒng)平臺(tái),、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理,、運(yùn)行措施等方面的安全脆弱性(或稱薄弱環(huán)節(jié))分析,,并通過(guò)對(duì)已有安全控制措施的確認(rèn),借助定量,、定性分析的方法,,推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn),并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級(jí)別制定風(fēng)險(xiǎn)處理計(jì)劃,,確定下一步的安全需求方向,。
等級(jí)保護(hù)的前提是對(duì)系統(tǒng)定級(jí),根據(jù)FIPS199,,系統(tǒng)定級(jí)根據(jù)系統(tǒng)信息的機(jī)密性,、完整性、可用性(簡(jiǎn)稱CIA特性)等三性損失的最大值來(lái)確定,,即“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個(gè)步驟進(jìn)行系統(tǒng)最終的定級(jí),。將信息系統(tǒng)安全類別(簡(jiǎn)稱SC)表示為一個(gè)與CIA特性的潛在影響相關(guān)的三重函數(shù),一般模式是:SC= {(保密性,,影響),,(完整性,影響),,(可用性,,影響)}。
等級(jí)保護(hù)中的系統(tǒng)分類分級(jí)的思想和風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)的重要性分級(jí)基本一致,不同的是:等級(jí)保護(hù)的級(jí)別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā),,定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級(jí),,而風(fēng)險(xiǎn)評(píng)估中最終風(fēng)險(xiǎn)的等級(jí)則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合評(píng)估結(jié)果,,也就是說(shuō),,在風(fēng)險(xiǎn)評(píng)估中,CIA價(jià)值高的信息資產(chǎn)不一定風(fēng)險(xiǎn)等級(jí)就高,。在確定系統(tǒng)安全等級(jí)級(jí)別后,,風(fēng)險(xiǎn)評(píng)估的結(jié)果可作為實(shí)施等級(jí)保護(hù)、等級(jí)安全建設(shè)的出發(fā)點(diǎn)和參考,。
等級(jí)保護(hù)與系統(tǒng)測(cè)評(píng)的關(guān)系
基本判斷:系統(tǒng)安全測(cè)評(píng)及行政認(rèn)可是安全等級(jí)保護(hù)的落腳點(diǎn),。
根據(jù)NIST SP800-37,認(rèn)證過(guò)程偏重于對(duì)系統(tǒng)安全性的評(píng)估,,認(rèn)可過(guò)程則屬于管理機(jī)關(guān)的行為,,是指根據(jù)評(píng)估的結(jié)果來(lái)判斷信息系統(tǒng)的安全控制措施是否有效、殘余風(fēng)險(xiǎn)是否可接受,。根據(jù)前述,,在我國(guó),目前主管部門安全認(rèn)可的依據(jù)多數(shù)是系統(tǒng)安全測(cè)評(píng)的結(jié)果,。主管部門根據(jù)系統(tǒng)測(cè)評(píng)結(jié)果判斷,,如果殘余風(fēng)險(xiǎn)可以接受,則允許系統(tǒng)投入運(yùn)行或繼續(xù)運(yùn)行,,否則信息系統(tǒng)便沒有達(dá)到特定安全等級(jí)的安全要求,。沒有最終的主管認(rèn)可過(guò)程,等級(jí)保護(hù)無(wú)法落到實(shí)處,。從這個(gè)意義上講,,進(jìn)行等級(jí)保護(hù)建設(shè)、實(shí)施風(fēng)險(xiǎn)管理過(guò)程后的系統(tǒng)安全測(cè)評(píng)及行政認(rèn)可是等級(jí)保護(hù)的落腳點(diǎn),。
風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)的關(guān)系
基本判斷:風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)分別是針對(duì)系統(tǒng)生命周期建設(shè)不同階段存在的安全風(fēng)險(xiǎn)的相近判斷方法,。對(duì)同一個(gè)生命周期的系統(tǒng),風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的起點(diǎn),,系統(tǒng)測(cè)評(píng)是安全建設(shè)的終點(diǎn),。或者可以理解為,,系統(tǒng)安全測(cè)評(píng)是實(shí)施風(fēng)險(xiǎn)管理措施后的風(fēng)險(xiǎn)再評(píng)估,。
二者均是對(duì)信息及信息系統(tǒng)系統(tǒng)安全性的一種評(píng)價(jià)判斷方法,因此,,二者并沒有本質(zhì)的區(qū)別,,或者說(shuō),二者的安全工作目標(biāo)基本一致,二者的工作核心都是對(duì)信息及系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)價(jià),,因此,,二者在實(shí)施內(nèi)容上有許多共同之處。具體講二者在操作方面的差異性,,則風(fēng)險(xiǎn)評(píng)估是系統(tǒng)明確安全需求,,確定成本-效益適合的安全控制措施的出發(fā)點(diǎn),風(fēng)險(xiǎn)評(píng)估通過(guò)對(duì)被評(píng)估用戶廣泛的,、戰(zhàn)略性的分析來(lái)判斷機(jī)構(gòu)內(nèi)各類重要資產(chǎn)的風(fēng)險(xiǎn)級(jí)別;系統(tǒng)安全測(cè)評(píng)則是對(duì)已采取的安全控制措施(如管理措施,、運(yùn)行措施,、技術(shù)措施等)有效性的驗(yàn)證,安全測(cè)評(píng)更關(guān)注于對(duì)系統(tǒng)現(xiàn)有安全控制措施的技術(shù)驗(yàn)證,,從而給出系統(tǒng)現(xiàn)存安全脆弱性的準(zhǔn)確判斷,。行業(yè)主管部門或信息化主管部門在系統(tǒng)測(cè)評(píng)結(jié)果的基礎(chǔ)上,判斷系統(tǒng)安全風(fēng)險(xiǎn)是否可接受或已得到了有效的管理,,從而給出是否批準(zhǔn)系統(tǒng)投入運(yùn)行或繼續(xù)運(yùn)行的最終結(jié)論,。