等级保护风险评估和安全测评三者之间的区别与联系
等级保护风险评价
等级保护风险评价 This manuscript was revised on November 28, 2020等级保护、风险评估、安全测评三者的内在联系及实施建议赵瑞颖前言自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后,等级保护、风险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体系建设中的热点话题。
本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内在联系和区别并作了基本判断。
本文还结合信息系统的开发生命周期模型(简称SDLC),本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在SDLC过程中的实施建议。
一、三者的基本概念和工作背景A、等级保护基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。
等级保护、风险评估和安全测评三者之间的区别与联系
等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。
幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。
好文章不敢独享,特在此和大家一起分享。
一、三者的基本概念和工作背景A、等级保护基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。
安全评估与等级保护
安全评估与等级保护
安全评估和等级保护是指对系统、网络、设备等进行安全性评估,根据评估结果确定相应的安全等级,并采取相应的措施来保护系统的安全。
安全评估是指对系统、网络、设备等的安全性进行全面、系统、深入的评估和分析,找出可能存在的安全隐患和风险,并提出相应的安全改进建议。
安全评估的方法包括安全漏洞扫描、弱点分析、风险评估、安全建模等。
等级保护是根据安全评估的结果,根据风险等级,对系统和数据进行分类和分级保护。
一般分为四个等级:一级为严重等级,需要最高级别的保护措施;二级为重要等级,需要较高级别的保护措施;三级为一般等级,需要一般级别的保护措施;四级为低级别,需要最低级别的保护措施。
等级保护主要包括安全策略的制定、安全技术的落地、安全管理的强化等方面的工作。
根据不同的等级,采取相应的安全措施,例如加密、防火墙、访问控制、安全审计等。
通过安全评估和等级保护,可以确保系统、网络和设备能够达到一定的安全水平,保护敏感信息的安全,并减少被攻击和泄露的风险。
风险评估与安全评估的联系
风险评估与安全评估的联系
风险评估和安全评估都是评估和分析可能出现的潜在风险和安全相关问题的过程,它们在以下几个方面存在联系:
1. 目的相似:风险评估和安全评估的主要目的都是评估和识别可能存在的各种风险和安全隐患,以便采取预防和控制措施,降低事故和损失发生的概率。
2. 评估方法类似:风险评估和安全评估的方法都包括搜集和分析相关信息,进行定量或定性的评估,制定有效的控制措施,并对评估结果进行报告和跟踪。
3. 影响范围一致:风险评估和安全评估都需要考虑到可能出现的影响范围,包括人员安全、财产安全、环境安全等各个方面。
4. 互为支撑:风险评估和安全评估相互支撑。
风险评估的结果可以为安全评估提供重要的参考依据,而安全评估的结果可以帮助确定风险评估中需要重点关注的领域。
5. 管理措施一致:风险评估和安全评估都需要制定相应的管理措施来降低风险和提高安全性。
无论是针对已知风险还是潜在风险,都需要采取相应的措施来减少事故发生的概率和对人员和财产的伤害。
总之,风险评估和安全评估是相辅相成、紧密相关的概念。
通过对潜在风险和安全隐患的全面评估和分析,可以准确识别出
存在的问题,并采取相应措施进行预防和控制,从而提高安全水平、减少事故发生的概率。
等保测评和安全评估技术协议
等保测评和安全评估技术协议1. 引言等保测评和安全评估技术协议是在信息安全领域中广泛应用的一种方法和工具,旨在评估和提高系统的安全性和可靠性。
本文将详细介绍等保测评和安全评估技术协议的概念、目的、流程以及常用的评估工具和方法。
2. 等保测评和安全评估技术协议的概念等保测评是指根据国家等级保护标准,对信息系统的安全性进行评估和等级划分的过程。
而安全评估技术协议是指评估人员与被评估单位之间达成的一种合作协议,明确评估的目标、范围、方法和时间等方面的内容。
3. 等保测评和安全评估技术协议的目的等保测评和安全评估技术协议的主要目的是为了保护信息系统的安全性,提高信息系统的可靠性和可用性。
通过评估和等级划分,可以发现系统中存在的安全风险和漏洞,并提供相应的解决方案和改进措施。
4. 等保测评和安全评估技术协议的流程4.1 准备阶段:在准备阶段,评估人员需要与被评估单位进行沟通,明确评估的目标、范围和时间等方面的内容。
双方还需要签订评估技术协议,明确评估的方法和步骤。
4.2 信息收集阶段:在信息收集阶段,评估人员需要收集被评估单位的相关信息,包括系统架构、安全策略、安全控制措施等。
评估人员可以通过检查文件、访谈相关人员和进行技术扫描等方式进行信息收集。
4.3 风险评估阶段:在风险评估阶段,评估人员需要对收集到的信息进行分析和评估,识别系统中存在的安全风险和漏洞。
评估人员可以使用各种评估工具和方法,如漏洞扫描、渗透测试等。
4.4 报告编写阶段:在报告编写阶段,评估人员需要将评估结果整理成报告,并向被评估单位提供。
报告应包括评估的目标、范围、方法和结果等内容,同时还应提供相应的建议和改进措施。
4.5 结果确认阶段:在结果确认阶段,评估人员需要与被评估单位进行沟通,确认评估结果的准确性和可行性。
双方可以就评估结果进行讨论,并达成一致意见。
5. 常用的评估工具和方法5.1 漏洞扫描工具:漏洞扫描工具可以帮助评估人员发现系统中存在的安全漏洞和弱点。
等级保护和风险评估分别是什么意思?
等级保护和风险评估分别是什么意思?初接触网络安全的时候,很多人总会将“等级保护”和“风险评估”混淆在一起,甚至认为它们有着相同的作用和意义,那么你知道等级保护和风险评估有何关系吗?小编通过这篇文章为大家讲解一下。
等级保护等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。
国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。
突出重点,保障重要信息资源和重要信息系统的安全。
等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
风险评估风险评估就是量化评判安全事件带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。
作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
等级保护和风险评估有何关系?①等级保护是指导我国信息安全保障体系建设的一项基础管理制度,而风险评估、系统测评则是在等级保护制度下,对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的不同的研究、分析方法。
从这个意义上来讲,等级保护要高于风险评估和系统测评。
②等级保护的前提是对系统定级,系统定级根据系统信息的机密性、完整性、可用性等三大性来确定,即是明确各种信息类型-确定每种信息类型的安全类别-确定系统的安全类别三个步骤进行系统最终的定级。
等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。
等级保护和等级测评简介共42页
严重损害:是指对客体造成严重损害,经采 取恢复或弥补措施,仍产生较大影响。
造成特别严重损害:是指对客体造成特别严 重损害,后果特别严重,影响重大且无法弥 补。
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
测评方法
访谈
访谈是指测评人员通过与信息系统有关人员(个人/群体) 进行交流、讨论等活动,获取相关证据以表明信息系统安 全保护措施是否有效落实的一种方法。在访谈范围上,应 基本覆盖所有的安全相关人员类型,在数量上可以抽样。
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
等级保护工作主要内容
信息系统分等级进行安全保护和监管。
系统定级 备案 安全建设整改 等级测评 监督检查
安全服务机构:开展技术支持、服务等工 作,接受监管部门监督管理。
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
信息系统定级
从信息系统对国家安全、经济建设、公共 利益等方面的重要性,以及信息系统被破 坏后造成危害的严重性角度对信息系统确 定的等级:重要性定级。
二级安全等级保护测评及风险评估内容
二级安全等级保护测评及风险评估内容
二级安全等级保护测评和风险评估是评估信息系统或网络安全的安全性和可靠性的过程。
它主要包括以下内容:1. 风险评估:通过识别和评估信息系统或网络中潜在的威胁和漏洞,确定系统或网络的安全风险等级。
风险评估一般包括威胁辨识、漏洞扫描、风险估算和风险排名等环节。
2. 资产评估:对信息系统或网络中的各种资产进行评估,包括硬件设备、软件应用、数据库、用户权限等。
通过评估资产的价值和重要性,确定资产的保护措施和优先级。
3. 安全控制评估:评估信息系统或网络中已有的安全控制措施的有效性和合规性。
包括评估密码策略、访问控制、数据加密、安全日志、防火墙等安全控制措施的部署情况和实际应用效果。
4. 安全策略和流程评估:评估信息系统或网络中的安全策略、规程和操作流程的合理性和有效性。
包括评估密码管理流程、网络接入控制策略、安全事件处理流程等。
5. 物理安全评估:评估信息系统或网络中物理环境的安全性,包括机房的物理访问控制、安全设备的部署和防护措施等。
6. 威胁和漏洞评估:评估信息系统或网络中存在的威胁和漏洞,包括网络扫描、漏洞评估、安全漏洞修补等。
7. 安全事件响应评估:评估信息系统或网络中的安全事件响应机制和能力,包括评估安全事件检测、响应流程、恢复和备份策略等。
通过以上评估内容的全面评估,可以帮助确定信息系统或网络的安全等级,并提供保护措施和优先级,以应对安全风险。
等级保护、风险评估与安全测评三者之间的区别
等级保护、风险评估与安全测评三者之间的区别1. 等级保护(Protection Level):等级保护是一种针对信息系统的安全需求进行分类和分级的方法。
它是按照信息系统的重要性和敏感性将其划分为不同的等级,以确定适当的安全控制策略和保护措施。
等级保护主要关注信息系统的重要性和敏感性,以确定系统需要采取的保护等级。
2. 风险评估(Risk Assessment):风险评估是对信息系统或网络中的潜在威胁和可能的风险进行分析和评估的过程。
它通过识别资产、威胁和漏洞,并对其造成的潜在影响进行评估,从而确定具体的风险水平。
风险评估的目的是为了识别威胁和漏洞,评估其潜在影响,并确定相应的风险级别,以便决策者能够制定适当的风险应对策略。
3. 安全测评(Security Assessment):安全测评是对系统或网络进行安全性能测试的过程,旨在评估其安全性状态和安全控制措施的有效性。
安全测评通常包括系统的安全配置、漏洞扫描、渗透测试等活动,以发现系统中的潜在漏洞和薄弱点。
安全测评的目的是为了检测系统的脆弱性和弱点,发现系统可能存在的安全漏洞,并提供改进建议和措施,以加强系统的安全性。
综上所述,等级保护是根据信息系统的重要性和敏感性进行分类和分级,风险评估是评估系统潜在风险和威胁的过程,而安全测评则是对系统进行安全性能测试和评估的过程。
它们在信息安全管理中各有不同的目的,但都对系统的安全性起着重要的作用。
等级保护(Protection Level)、风险评估(Risk Assessment)和安全测评(Security Assessment)是信息系统安全管理的重要组成部分,它们分别从不同的角度来保障信息系统的安全性。
下面将进一步阐述它们之间的区别和关系。
首先,等级保护是一种安全管理方法,通过对信息系统进行分类和分级,确定适当的安全控制策略和保护措施。
等级保护的目的是根据信息系统的重要性和敏感性来确定安全等级,并制定相应的安全要求和措施。
等级保护、风险评估与安全测评三者之间的区别
等级爱护、风险评估和安全测评三者之间的区不与联系刚接触安全测试这项工作的时候,对等级爱护、风险评估和安全测评三者之间的联系专门不清晰,常常会弄混淆。
幸得有如此一篇文章,详细介绍了三者的概念区不以及联系,澄清了他们之间的关系。
好文章不敢独享,特在此和大伙儿一起分享。
一、三者的差不多概念和工作背景A、等级爱护差不多概念:信息安全等级爱护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全爱护,对信息系统中使用的安全产品实行按等级治理,对信息系统中发生的信息安全事件等等级响应、处置。
那个地点所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全爱护条例》2规定:计算机信息系统实行安全等级爱护,安全等级的划分标准和安全等级爱护的具体方法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全爱护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全爱护能力的五个等级,即:第一级:用户自主爱护级;第二级:系统审计爱护级;第三级:安全标记爱护级;第四级:结构化爱护级;第五级:访问验证爱护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全爱护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又公布实施五个GA新标准,分不是:GA/T 387-2002《计算机信息系统安全等级爱护网络技术要求》、GA 388-2002 《计算机信息系统安全等级爱护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级爱护数据库治理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级爱护通用技术要求》、GA 391-2002 《计算机信息系统安全等级爱护治理要求》。
等级保护与风险评估的区别
等级保护标准总体框架
中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》 中保委发[2004]7号 国保发[2005]16号 终 端 安 全 技 术 要 求 分 BMB20-2007 BMB22-2007 级 保 护 方 案 设 计 指 南 BMB17-2006
公通字[2004]66号《关于信息安全等级保护工作的实施意见》 公通字[2006]43号《信息安全登记保护管理办法》 数 操 通 网 服 等 基 测 实 务 作 络 据 用 本 级 评 施 库 系 安 基 器 准 划 要 指 全 安 安 统 础 求 则 分 南 全 全 安 安 技 准 术 全 全 技 技 则 术 术 技 技 要 术 术 求 要 要 求 求 要 要 求 求 定 级 指 南
等保测评与风险评估的区别
• 流程不同
等保测评与风险评估的区别
• 流程不同
等保测评与风险评估的区别
• 流程不同
等保测评与风险评估的区别
• 流程不同
等保测评与风险评估的区别
• 流程不同
等保测评与风险评估的区别
可以简单的理解为等保是标准或体系,风险评 估是一种针对性的手段。
物理安全 10 8 6 应用安全 4 2 0 网络安全 应用安全
等级保护基本要求构架
某级系统 基本要求 技术要求 管理要求
安 物 网 理 安 全 全 全 安 安 全 全 构 络 机 用 安 安 理 机 制 度 主 应 据 数 管 理 全 管 全
安 人 员 安 全 管
系 统 建 运 设 管 理 理 理 管 维 统
系
风险评估的基本概念
• 风险评估是以安全建设为出发点,它的重要意义就在于改 变传统的以技术驱动为导向的安全体系结构设计及详细安 全方案制定,通过对用户关心的重要资产的分级、安全威 胁发生的可能性及严重性分析、对系统物理环境、硬件设 备、网络平台、基础系统平台、业务应用系统、安全管理、 运行措施等等方面的安全脆弱性的分析,并通过对已有安 全控制措施的确认,借助定量、定性分析的方法,推断出 用户关心的重要资产当前的安全风险,并根据风险的严重 级别制定风险处置计划,确定下一步的安全需求方向。
等级保护_风险评估_安全测评三者的内在关系及实施建议_赵瑞颖
。
证是 对 信息系统 的技 术 类 管 理 类和 运 行 类安全 控 制所 进行 的综 合评 估 决 策 用 来授权 一 个信 息系统 投入 运 行
,
“
、
”,
认可 则是
。 。
“
由管 理层 作 出的
”
。
认 证 以标准 和 测评 的结 果 作 为 依据
,
我 国 的系统 认证 虽 然起步
国家 认监 委等 8 部
, , 、
、
,
,
。
,
,
,
,
。
,
,
、
、
称 C 认 特性 ) 等三性损失的最 大值来确 定
,
即 明 确各 种信息类 型
。
“
一确定 系统的 安全 类别
. 2 2
”
三 个 步骤 进 行 系 统 最终 的 定级
—
。
确定每 种信息类型 的安全 类别 一
等级保护 与系 统测评 的关系
:
基本 判断 系统安全测评及行 政认 可是安全 等级 保护的落脚点 认 可 的依据多 数是系统安全测评 的结果
、
强伟 d保要 强调的是
。
:
6 号文 中的分级 主 要是从 信息和信 息系统 的业 务重 要 性及 遭受破 坏后的影 响 出发的 是 系统从应用需求
,
出发 必 须纳入 的 安全业 务等级
1 2
.
而非 G B
17 8 5 9
中定义 的系统 客观上 已具 备的安全技 术能 力等级
。
根据 前述
,
,
目前 我国主管部 门安 全
,
主 管部 门根据 系 统测评 结果 判断
网络安全等级保护:等级保护测评、分级保护测评、密码保护测评三者之间的关系
网络安全等级保护:等级保护测评、分级保护测评、密码保护测评三者之间的关系本期关键词:网络安全等级保护、等级保护、分级保护、密码测评其实,我们很多从事信息安全行业的人,交流时常常会提及“等保”“分保”“密评”这些概念,那么他们之间的联系与区别往往不是说的太清楚,大部分都在说他们之间的不同,而联系这块在很多公众号中是未提及的。
甚至对“等保”“分保”“测评”这些词汇认知也是模棱两可的。
看到我这个标题的朋友,自然会发现无论是“等级保护”“分级保护”“密码保护”后面我都加了“测评”俩字。
因为我个人认为这是较为严谨的描述,当然我接下来也会“引经据典”说明之。
首先,我根据《信息安全等级保护管理办法》即常说的43号文简单整理了一张图来说明之,供大家参考!我相信,明眼人也看出来了。
所谓“等级保护测评”“分级保护测评”“密码保护测评”是等级保护制度下三个方面,统归在等级保护制度之下。
换言之,我们口中常说的“等保”是“等级保护测评”的简称最恰切,而不是“等级保护”的简称,等级保护涵盖公安、保密、密码三个管理部门监管的三个方向,《网络安全法》第二十一条国家实行网络安全等级保护制度。
就是常说的“等保”“分保”“密评”共同组成《网络安全法》中要求的“网络安全等级保护制度”,所以网络运营者要履行非涉密信息系统的等级保护测评、密码保护测评以及涉密系统的分级保护测评,这样才是真正履行网络安全等级保护制度。
所以,做等级保护测评的千万不能曲解法律法规,不然在协助客户工作中,有可能把客户带偏。
我们借助《信息安全等级保护管理办法》43号文谈一下“分级保护测评”,在《信息安全等级保护管理办法》的第四章明确了涉密信息系统的分级保护管理等内容,其中第二十四条这样描述“涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息等。
等级保护、风险评估、安全测评的区别!
等级保护、风险评估、安全测评的区别!无论是学习网络安全还是从事网络安全相关工作,凡是接触安全行业的人,往往都听说过“等级保护”、“风险评估”、“安全测评”等关键词。
但是,有很多朋友肯定还没有搞懂它们之间的区别和联系,那么等级保护、风险评估、安全测评三者之间有什么联系和区别?通过这篇文章为大家详细解答一下。
三者的概念介绍等级保护是指对涉及国计民生的网络和信息系统按其重要程度及实际安全需求进行分等级保护,对网络和信息系统中使用的安全产品实行按等级管理,对网络和信息系统中发生的信息安全事件进行分等级响应、处置。
它是保障国家网络和信息安全的基本制度、基本策略、基本方法。
等级保护一般分为五个等级:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。
风险评估风险评估是指在风险事件发生之前或者之后,该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能进行量化评估的工作。
即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全角度来讲,风险评估是对信息资产的潜在威胁、弱点、造成的影响等事件进行综合分析,判断安全事件在综合作用下发生的概率以及造成的损失,从而组织风险管理措施的过程。
安全测评按照严格的程序对信息系统进行安全能力的综合测试评估活动,由正规、检验技术丰富且被政府授权资格的权威机构进行检查,帮助系统运行单位分析单位目前的安全运行状况、排查存在的安全问题,并提供改进建议降低系统的安全风险。
三者之间的联系与区别等级保护:它是我国信息保障建设体系中的一个最基础的管理制度。
风险评估、安全测评:两者都属于等级保护制度下对信息、信息系统的安全进行评价,只不过两种方式在区别中又有所联系。
从某种程度来讲,等级保护在风险评估和安全测评之上。
一旦系统定级并分类分级后,不论是风险评估还是安全测评,我们都可以把它们当作是等级保护制度之下的评估和测评;操作时只需要在原有的操作程序、方法基础上加入特定的制度要求就可以了。
安全防护评估及等保测评
安全防护评估及等保测评1. 简介随着信息技术在各个领域的广泛应用,信息系统的安全已经成为一个关注焦点。
为了保护系统免受由未经授权的访问、恶意软件、数据泄露以及其他安全威胁引起的损失,安全防护评估和等保测评作为一种应对策略变得越来越重要。
本文将介绍安全防护评估及等保测评的基本概念、目的和过程。
2. 安全防护评估2.1 概念安全防护评估是指对信息系统进行全面、系统地检查和评估,以确定系统可能存在的安全风险和薄弱环节。
其目的是发现潜在的安全问题,并为系统提供相应的修复措施和建议。
2.2 目的安全防护评估的目的是确保信息系统的机密性、完整性和可用性。
通过安全防护评估,可以评估系统的安全性能,查明系统的安全问题,发现可能存在的安全风险,并提供改进建议,以强化系统的安全防护能力。
2.3 过程安全防护评估的过程包括以下几个主要步骤:2.3.1 准备阶段在准备阶段,评估团队需要明确评估的范围和目标,并制定相应的评估计划。
同时,还需要收集相关的信息和资料,为后续的评估工作做好准备。
2.3.2 实施阶段实施阶段是评估的核心阶段,主要包括系统的文档分析、物理安全检查、技术检查和安全漏洞扫描等工作。
通过这些工作,评估团队能够全面了解系统的安全状况,并发现潜在的安全问题。
2.3.3 结果汇报阶段在结果汇报阶段,评估团队将对评估结果进行整理和分析,形成评估报告。
该报告将详细说明系统的安全问题和风险,以及相应的修复措施和建议。
3. 等保测评3.1 概念等保测评是指根据国家或行业标准,对信息系统的安全等级进行评估和确认的过程。
其目的是评估信息系统是否符合对应的安全等级要求,并为系统提供相应的加固和改进建议。
3.2 目的等保测评的目的是在确保信息系统安全的前提下,为信息系统提供合理的安全等级,并指导系统管理员采取适当的安全措施,确保系统的安全与可控。
3.3 过程等保测评的过程包括以下几个主要步骤:3.3.1 等级确认在等级确认阶段,根据国家或行业标准,确定信息系统的安全等级。
信息安全等级保护测评师模拟试题(一)
信息安全等级保护测评师模拟试题(一)信息安全等级保护测评师模拟试题(一)1.【单选题】3分| cisco的配置通过什么协议备份A ftpB tftpC telnetD ssh2.【单选题】3分| 国家实施信息安全等级保护制度的原因A 网络发展的要求B 信息安全形势严峻C 个人需求D 维护国家安全3.【单选题】3分| 在信息安全等级保护中,等级3级别中,恶意代码应该在___进行检测和清除A 内网B 网络边界C 主机D 终端电脑4.【单选题】3分| ()进行等级确定和等级保护管理的最终对象A 业务系统B 功能模块C 信息系统D 网络系统5.【单选题】3分| 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由_____所确定。
A 业务子系统的安全等级平均值B 业务子系统的最高安全等级C 业务子系统的最低安全等级D 以上说法都错误6.【单选题】3分| 关于资产价值的评估,______说法是正确的A 资产的价值指采购费用B 资产的价值无法估计C 资产价值的定量评估要比定性评估简单容易D 资产的价值与其重要性密切相关7.【单选题】3分| 安全威胁是产生安全事件的______。
A 内因B 外因C 根本原因D 不相关因素8.【单选题】3分| 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。
那么其在等级保护中属于_____A 强制保护级B 监督保护级C 指导保护级D 自主保护级9.【单选题】3分| 安全规划设计基本过程包括、安全总体设计、安全建设规划A 项目调研B 概要设计C 需求分析D 产品设计10.【单选题】3分| 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别A 1B 4C 3D 511.【多选题】10分| 等级保护对象受到破坏时所侵害的客体包括的三个方面为:()A 公民、法人和其他组织的合法权益B 社会秩序、公共利益C 国家安全D 个人利益12.【多选题】10分| 根据定级指南,信息系统安全包括哪两个方面的安全()A 业务信息安全B 系统服务安全C 系统运维安全D 系统建设安全13.【多选题】10分| 作为定级对象的信息系统应具有如下基本特征A 具有唯一确定的安全责任单位B 具有信息系统的基本要素C 承载单一或相对独立的业务应用D 单位具有独立的法人14.【判断题】1分| 按等级保护三级要求,应对非法接入客户端进行检查、定位。
等级保护、风险评估和安全测评三者之间的区别与联系
等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。
幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。
好文章不敢独享,特在此和大家一起分享。
一、三者的基本概念和工作背景A、等级保护基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。
等级保护风险评估和安全测评三者之间的区别与联系
等级保护风险评估和安全测评三者之间的区别与联系随着信息技术的不断发展,网络和信息系统在我们的日常生活和商业运营中扮演了越来越重要的角色。
然而,随之而来的是不断增加的网络威胁和风险。
为了保护关键信息资产和确保系统的安全性,等级保护风险评估和安全测评成为了不可或缺的安全实践。
本文将探讨等级保护风险评估和安全测评之间的区别与联系,以帮助读者更好地理解这两个关键概念。
**1. 等级保护风险评估**等级保护风险评估是一种广泛用于政府和军事组织中的方法,用于评估信息系统的风险和确定所需的安全措施。
它的主要特点如下:- **关注重要性等级:** 等级保护风险评估侧重于确定信息系统中的数据和资产的重要性等级。
这些等级通常分为不同的等级,如机密、秘密和非机密等,以根据其敏感性进行分类。
- **定制的方法:** 该评估方法通常根据特定组织的需求和信息资产来进行定制。
它考虑了组织的目标和风险容忍度。
- **法律法规要求:** 对于一些政府机构和军事组织来说,等级保护风险评估是法律法规的要求。
这意味着它必须执行以满足合规性要求。
- **涉及安全分类:** 该评估通常涉及将信息系统的各个组件分类为适当的保护等级,并采取相应的措施来确保数据的机密性和完整性。
**2. 安全测评**安全测评是一种广泛用于商业和政府组织的方法,用于评估信息系统的安全性和发现潜在的弱点。
其主要特点如下:- **全面性评估:** 安全测评旨在全面评估信息系统的各个方面,包括硬件、软件、网络架构、数据存储和人员行为等。
- **强调漏洞和威胁:** 安全测评的焦点是发现系统中的漏洞、弱点和潜在威胁,以便及时修复它们。
- **模拟攻击:** 在安全测评中,安全专家可能会模拟攻击,以测试系统的强度和抵御能力。
- **强调实时威胁:** 安全测评通常关注当前的威胁和漏洞,以确保系统能够应对最新的威胁。
**3. 区别与联系**虽然等级保护风险评估和安全测评都是信息系统安全领域的关键实践,但它们之间存在一些关键区别和联系:- **区别:**- **焦点不同:** 等级保护风险评估主要关注信息资产的重要性等级,而安全测评主要关注系统的漏洞和威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。
幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。
好文章不敢独享,特在此和大家一起分享。
一、三者的基本概念和工作背景A、等级保护基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。
这些标准是我国计算机信息系统安全保护等级系列标准的一部分。
《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
B、风险评估基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。
当风险评估应用于IT领域时,就是对信息安全的风险评估。
国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。
风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
国务院信息化工作办公室2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,对规范我国信息安全风险评估的做法具有很好的指导意义。
目前,国信办正组织在全国北京、上海、黑龙江、云南等省市及税务、银行、电力等行业领域作风险评估试点工作,探讨对上述两个风险评估/风险管理标准草案的理解修订及相关管理问题的研究,预计2005年9月份前完成试点工作,并在试点工作的基础上形成有关开展信息安全风险评估工作的指导意见。
C、系统安全测评基本概念:由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。
工作背景:在我国,中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响的开展有关系合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。
在美国,系统认证的结果通常作为主管部门对新建系统投入运行前的安全审批或已建系统安全动态监管(即系统认可)的依据。
根据美国FISMA6及NIST SP800-37的规定,系统认证是“对信息系统的技术类、管理类和运行类安全控制所进行的综合评估”,认可则是“由管理层作出的决策,用来授权一个信息系统投入运行”。
我国的系统认证虽然起步较早,但由于认证周期、建设差异等多方面的原因,目前的系统认证数量还非常少。
特别是国家认监委成立后,强调了信息安全要“一个统一认证出口”的要求。
国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》4(简称57号文)中已明确规定了对信息安全产品进行“统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准”的“四统一”的认证要求。
在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。
典型例子如上海市信息安全测评认证中心,在相关职能部门授权下,已完成了对上海市100余家重要信息系统、涉密信息系统、区县以上综合医院的信息系统的安全测评工作,并为市信息委、市国家保密局、市卫生局等信息化主管部门或行业主管部门提供了重要的技术决策依据。
二、三者的相互内在联系和区别A、三者关系的基本判断基本判断:等级保护是指导我国信息安全保障体系建设的一项基础管理制度,风险评估、系统测评都是在等级保护制度下,对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的的不同研究、分析方法。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
风险评估、系统测评则只是针对信息安全评价方面两种有所区分但又有所联系的的不同研究、分析方法。
从这个意义上讲,等级保护要高于风险评估和系统测评。
当系统定级原则确定并根据该原则将系统分类分级后,那风险评估、系统估、系统测评方法、操作程序的基础上,加入特定等级的特殊要求就是了。
打个比方:如果说等级保护是指导信息安全建设的宪法,则风险评估、安全测评则是针对系统安全性评估或合格判定方面的专项法律。
至于66号文中提及的等级保护制度中的其他建设内容,如等级化安全保障体系设计、等级化安全产品选用、等级化安全事件处理响应,由于和安全评估没有特别直接的关系,本文不再展开讨论。
B、等级保护与风险评估的关系基本判断:风险评估是等级保护(不同等级不同安全需求)的出发点。
风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中高级别的信息系统不一定就有高级别的安全风险。
风险评估是安全建设的出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,以成本-效益平衡的原则,通过对用户关心的重要资产(如信息、硬件、软件、文档、代码、服务、设备、企业形象等)的分级、安全威胁(如人为威胁、自然威胁等)发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性(或称薄弱环节)分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处理计划,确定下一步的安全需求方向。
等级保护的前提是对系统定级,根据FIPS199,系统定级根据系统信息的机密性、完整性、可用性(简称CIA特性)等三性损失的最大值来确定,即“明确各种信息类型----确定每种信息类型的安全类别----确定系统的安全类别”三个步骤进行系统最终的定级。
将信息系统安全类别(简称SC)表示为一个与CIA特性的潜在影响相关的三重函数,一般模式是:SC= {(保密性,影响),(完整性,影响),(可用性,影响)}。
等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。
在确定系统安全等级级别后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。
C、等级保护与系统测评的关系基本判断:系统安全测评及行政认可是安全等级保护的落脚点。
根据NIST SP800-37,认证过程偏重于对系统安全性的评估,认可过程则属于管理机关的行为,是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。
根据前述,在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。
主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。
没有最终的主管认可过程,等级保护无法落到实处。
从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。
D、风险评估与系统测评的关系基本判断:风险评估与系统测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。
对同一个生命周期的系统,风险评估是安全建设的起点,系统测评是安全建设的终点。
或者可以理解为,系统安全测评是实施风险管理措施后的风险再评估。
二者均是对信息及信息系统系统安全性的一种评价判断方法,因此,二者并没有本质的区别,或者说,二者的安全工作目标基本一致,二者的工作核心都是对信息及系统安全风险的评价,因此,二者在实施内容上有许多共同之处。
具体讲二者在操作方面的差异性,则风险评估是系统明确安全需求,确定成本-效益适合的安全控制措施的出发点,风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别;系统安全测评则是对已采取的安全控制措施(如管理措施、运行措施、技术措施等)有效性的验证,安全测评更关注于对系统现有安全控制措施的技术验证,从而给出系统现存安全脆弱性的准确判断。