1、.：.；等級維護、風險評價和平安測評三者之間的區別與聯絡剛接觸平安測試這項任務的時候，對等級維護、風險評價和平安測評三者之間的聯絡很不清楚，經常會弄混淆。幸得有這樣一篇文章，詳細引見了三者的概念區別以及聯絡，廓清了他們之間的關系。好文章不敢獨享，特在此和大家一同分享。 VUk2pEGO. k? X7h2 一、三者的根本概念和任務背景 1-4W4# A、等級維護 _Uc le %&0_0BU 根本概念：信息平安等級維護是指對國家信息、法人和其他組織和公民的專有信息以及公開信息和存儲、傳輸、處置這些信息的信息系統分等級實行平安維護，對信息系統中運用的平安產品實行按等級管理，對信息系統中發生的信息平

2、安事件等等級呼應、處置。這里所指的信息系統，是指由計算機及其相關和配套的設備、設備構成的，按照一定的運用目的和規那么對信息進展存儲、傳輸、處置的系統或者網絡；信息是指在信息系統中存儲、傳輸、處置的數字化信息。 +Ccj #M; 任務背景：1994年國務院公布的2規定：計算機信息系統實行平安等級維護，平安等級的劃分規范和平安等級維護的詳細方法，由公安部會同有關部門制定。1999年公安部組織起草了GB 17859-1999，規定了計算機信息系統平安維護才干的五個等級，即：第一級：用戶自主維護級；第二級：系統審計維護級；第三級：平安標志維護級；第四級:構造化維護級；第五級：訪問驗證維護級。GB178

3、59中的分級是一種技術的分級，即對系統客觀上具備的平安維護技術才干等級的劃分。2002年7月18日，公安部在GB17859的根底上，又發布實施五個GA新規范，分別是：GA/T 387-2002、GA 388-2002 、GA/T 389-2002、GA/T 390-2002、GA 391-2002 。這些規范是我國計算機信息系統平安維護等級系列規范的一部分。3簡稱66號文將信息和信息系統的平安維護等級劃分為五級，即：第一級：自主維護級；第二級：指點維護級；第三級：監視維護級；第四級：強迫維護級；第五級：專控維護級。特別強調的是：66號文中的分級主要是從信息和信息系統的業務重要性及蒙受破壞后的影

4、響出發的，是系統從運用需求出發必需納入的平安業務等級，而不是GB17859中定義的系統已具備的平安技術等級。 # *vIwX-Q 9q(*rAm XDRw!H, hi969 B、風險評價 tm%3 F &;I=*BkE$ 根本概念：信息平安風險評價是參照風險評價規范和管理規范，對信息系統的資產價值、潛在要挾、薄弱環節、已采取的防護措施等進展分析，判別平安事件發生的概率以及能夠呵斥的損失，提出風險管理措施的過程。 ( E;!.=% ?zn k8| kqdF)Wa am 任務背景：風險評價不是一個新概念，金融、電子商務等許多領域都有風險及風險評價需求的存在。當風險評價運用于IT領域時，就是對信息平

5、安的風險評價。國內這幾年對信息平安風險評價的研討進展較快，詳細的評價方法也在不斷改良。風險評價也從早期簡單的破綻掃描、人工審計、浸透性測試這種類型的純技術操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分表達以資產為出發點、以要挾為觸發、以技術/管理/運轉等方面存在的脆弱性為誘因的信息平安風險評價綜合方法及操作模型。國務院信息化任務辦公室2004年組織完成了及規范草案的制定，并在其中規定了信息平安風險評價的任務流程、評價內容、評價方法和風險判別準那么，對規范我國信息平安風險評價的做法具

6、有很好的指點意義。目前，國信辦正組織在全國北京、上海、黑龍江、云南等省市及稅務、銀行、電力等行業領域作風險評價試點任務，討論對上述兩個風險評價/風險管理規范草案的了解修訂及相關管理問題的研討，估計2005年9月份前完成試點任務，并在試點任務的根底上構成有關開展信息平安風險評價任務的指點意見。 V/P;n 5F&xU$a- 0(F 8 avdH=&= C、系統平安測評 X p|P+ ;c;N(2 ;XKe) AApWJ3 根本概念：由具備檢驗技術才干和政府授權資歷的權威機構，根據國家規范、行業規范、地方規范或相關技術規范，按照嚴厲程序對信息系統的平安保證才干進展的科學公正的綜合測試評價活動，以協

7、助 系統運轉單位分析系統當前的平安運轉情況、查找存在的平安問題，并提供平安改良建議，從而最大程度地降低系統的平安風險。 1HPYW7jk b9FfDDOq AXBf ) lyZt PS 任務背景：在我國，中國信息平安產品測評認證中心簡稱CNITSEC是較早并較有影響的開展有關系統平安測評認證的機構。這里強調一下測評和認證的區別：測評如前述定義，認證那么是對測評活動能否符合規范化要求和質量管理要求所作確實認，認證以規范和測評的結果作為根據。在美國，系統認證的結果通常作為主管部門對新建系統投入運轉前的平安審批或已建系統平安動態監管即系統認可的根據。根據美國FISMA6及NIST SP800-37的

8、規定，系統認證是“對信息系統的技術類、管理類和運轉類平安控制所進展的綜合評價，認可那么是“由管理層作出的決策，用來授權一個信息系統投入運轉。我國的系統認證雖然起步較早，但由于認證周期、建立差別等多方面的緣由，目前的系統認證數量還非常少。特別是國家認監委成立后，強調了信息平安要“一個一致認證出口的要求。國家認監委等8部委結合下發的4簡稱57號文中已明確規定了對信息平安產品進展“一致規范、技術規范與合格評定程序；一致認證目錄；一致認證標志；一致收費規范的“四一致的認證要求。在國家認監委對信息系統的平安認證相關詳細意見尚未出臺前，多數情況下，系統平安測評的結果可直接作為主管部門對系統平安認可的根據。

9、典型例子如上海市信息平安測評認證中心，在相關職能部門授權下，已完成了對上海市100余家重要信息系統、涉密信息系統、區縣以上綜合醫院的信息系統的平安測評任務，并為市信息委、市國家嚴密局、市衛生局等信息化主管部門或行業主管部門提供了重要的技術決策根據。 &G4yM N!RkV:X E6 glR x|3f$ =b 二、三者的相互內在聯絡和區別 Ll,HgU; +Tc r$z+ D5AXV _DlkTi5(w +aa( YGL 根本判別：等級維護是指點我國信息平安保證體系建立的一項根底管理制度，風險評價、系統測評都是在等級維護制度下，對信息及信息系統平安性評價方面兩種特定的、有所區分但又有所聯絡的的不

10、同研討、分析方法。 OanHG MJxTzQE NW82p &nC)T $m$tfa- GQZLOjsop Z :5vo 根本判別：風險評價是等級維護不同等級不同平安需求的出發點。風險評價中的風險等級和等級維護中的系統定級均充分思索到信息資產CIA特性的高低，但風險評價中的風險等級參與了對現有平安控制措施確實認要素，也就是說，等級維護中高級別的信息系統不一定就有高級別的平安風險。 Yn0l=, n X6Ro es2 LdSBNg#3 ppwjr + 風險評價是平安建立的出發點，它的重要意義就在于改動傳統的以技術驅動為導向的平安體系構造設計及詳細平安方案制定，以本錢效益平衡的原那么，經過對用戶關

11、懷的重要資產如信息、硬件、軟件、文檔、代碼、效力、設備、企業籠統等的分級、平安要挾如人為要挾、自然要挾等發生的能夠性及嚴重性分析、對系統物理環境、硬件設備、網絡平臺、根底系統平臺、業務運用系統、平安管理、運轉措施等方面的平安脆弱性或稱薄弱環節分析，并經過對已有平安控制措施確實認，借助定量、定性分析的方法，推斷出用戶關懷的重要資產當前的平安風險，并根據風險的嚴重級別制定風險處置方案，確定下一步的平安需求方向。 ,dze= pv:7kgod a?yO/ 2 $6&P 69 等級維護的前提是對系統定級，根據FIPS199，系統定級根據系統信息的性、完好性、可用性簡稱CIA特性等三性損失的最大值來確定

12、，即“明確各種信息類型-確定每種信息類型的平安類別-確定系統的平安類別三個步驟進展系統最終的定級。將信息系統平安類別簡稱SC表示為一個與CIA特性的潛在影響相關的三重函數，普通方式是：SC= 嚴密性，影響，完好性，影響，可用性，影響。 m 6Xex.d (WW*yv.J Y 8. MnG9KR 等級維護中的系統分類分級的思想和風險評價中對信息資產的重要性分級根本一致，不同的是：等級維護的級別是從系統的業務需求或CIA特性出發，定義系統應具備的平安保證業務等級，而風險評價中最終風險的等級那么是綜合思索了信息的重要性、系統現有平安控制措施的有效性及運轉現狀后的綜合評價結果，也就是說，在風險評價中，

13、CIA價值高的信息資產不一定風險等級就高。在確定系統平安等級級別后，風險評價的結果可作為實施等級維護、等級平安建立的出發點和參考。 /3MTutM|X 8mQmG4 w- NIgBs C、等級維護與系統測評的關系 5 I q&eUwc Tum9Xa 9Y9 pKTU 6Y#-5oE u/ D、風險評價與系統測評的關系 A+JM* eB ELF,T ( HvITw% X%+FM 根本判別：風險評價與系統測評分別是針對系統生命周期建立不同階段存在的平安風險的相近判別方法。對同一個生命周期的系統，風險評價是平安建立的起點，系統測評是平安建立的終點。或者可以了解為，系統平安測評是實施風險管理措施后的風

14、險再評價。 (7Pk5 91oIxW 8DNo # ;,b4O7 二者均是對信息及信息系統系統平安性的一種評價判別方法，因此，二者并沒有本質的區別，或者說，二者的平安任務目的根本一致，二者的任務中心都是對信息及系統平安風險的評價，因此，二者在實施內容上有許多共同之處。詳細講二者在操作方面的差別性，那么風險評價是系統明確平安需求，確定本錢效益適宜的平安控制措施的出發點，風險評價經過對被評價用戶廣泛的、戰略性的分析來判別機構內各類重要資產的風險級別；系統平安測評那么是對已采取的平安控制措施如管理措施、運轉措施、技術措施等有效性的驗證，平安測評更關注于對系統現有平安控制措施的技術驗證，從而給出系統現

15、存平安脆弱性的準確判別。行業主管部門或信息化主管部門在系統測評結果的根底上，判別系統平安風險能否可接受或已得到了有效的管理，從而給出能否同意系統投入運轉或繼續運轉的最終結論。 #ynyg%| _8Si8+j oR.KtS$uh N=) E$h 三、對三者在SDLC過程中的實施建議 ;SBM7fwRk GaEJ$c MBoWHe) uJ S+;H 通常情況下，我們將信息系統建立生命周期SDLC劃分為五個階段：規劃需求階段、設計開發階段、實施階段、運轉維護階段、廢棄階段。也就是說，系統是不斷變化的，平安建立也應隨之發生變化。因此，從實際上分析，無論是等級維護、風險評價或是系統測評，均適用于SDLC

16、的各個階段。為防止三者之間相近的任務內容在SDLC的同一個階段反復進展，按照“誰主管，誰擔任；誰運轉，誰擔任的原那么，從系統建立單位多數情況下建立單位即運轉單位、行業主管部門或信息化主管部門簡稱主管部門等兩類不同發起主體或組織主體的角度思索，建議按下述內容實施： SdI) Sr_R? 5 zysY xbex6iZE 1、規劃需求階段 $CaF5?Ke dMsX=EIl!9K wVCZ=L iARIvhfdi EfY|S3Av 建立單位按照既定等級的風險評價管理要求和國家有關風險評價的技術規范自覺進展風險評價，明確系統在性、完好性、可用性等方面的平安需求目的。 h?2qX (3C6Wt 2nj9

17、a5 2、設計開發階段及實施階段 |9POl= pR2QS W?8 |h fU_itb( 建立單位或委托承建單位根據既定的平安需求目的，按照國家有關等級維護的管理規范和技術規范，進展系統平安體系構造及詳細實施方案的設計，采購和運用相應等級的信息平安產品，建立平安設備，落實平安技術措施。 Klh7&HzR XA ! A Pr h9c54Ux wIv5&X-B &Cp)y 3、運轉維護階段 |lAu6d ! EHXbj t8 gW K s QfP8U 主管部門在系統平安建立根本完成后，委托或指定第三方機構對根本建成的系統進展平安測評，以評價系統當前運轉環境下的平安控制措施能否和既定等級的平安需求一

18、致、關鍵資產的平安風險能否控制在可接受范圍之內，并將第三方機構的平安測評報告作為能否同意系統投入運轉即系統認可的根據。此外，思索到信息技術、平安技術、平安攻防技術及相關規范、實際、方法的不斷開展，即使系統在認可有效期內沒有任何關于技術、業務及管理內容的變卦，主管部門也應該發起周期性的平安測評和平安認可，以堅持系統的平安形狀維持在規范答應及公眾接受的范圍之內。 8r(S=dA U)aXRS vttmSdY w+ gA3Dg 在5中，對上海行政區域內公用通訊網、廣播電視傳輸網等根底信息網絡，銀行/稅務/證券/海關/鐵道/電力/民航/水務/燃氣/軌道交通/醫療衛生和大型國有企業等涉及國計民生的信息系

19、統，以及運用財政性資金建立的信息系統統稱重要信息系統作出了強迫實行等級維護和平安測評的要求。對新建、改建、擴建的重要信息系統，在立項后由平安測評機構評審其平安設計方案，評審報告報有關主管部門確認，未經過評審的不得實施；正式投入運轉前，應進展系統平安測評，測評結果報有關主管部門確認，未到達要求的不得投入運轉、不予驗收；對已經過平安測評的重要信息系統，投入運轉后要繼續加強平安維護，由平安測評機構定期進展平安測評。 2/O/h azKbGS/X wMNtN3 udM4 $8 $EHAHNL?Lx p6u$)wt 建立單位重點對廢棄處置不當對資產如硬件、軟件、設備、文檔等的影響、對信息/硬件/軟件的廢棄處置方面要挾、對訪問控制方面的弱點進展綜合風險評價，以確保硬件和軟件等資產及殘留信息