【3.A.S.T】网络安全爱好者's Archiver

黑客学习

柔肠寸断 发表于 2009-5-13 18:36

信息安全中的等级保护和风险评估的区别

信息安全中的等级保护和风险评估的区别
等级保护的基本概念
       信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。

       根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。

       等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。


国家相关标准:
       GB 17859-1999《计算机信息系统安全保护等级划分准则》

       GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》

       GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》

       GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》

       GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》

       GA 391-2002 《计算机信息系统安全等级保护管理要求》


等级保护基本要求的框架结构

等级划分
       建立包括系统安全功能、系统之间、网络之间、设备之间、用户之间的可信鉴别保障平台,对信息系统的安全等级从功能上划分为五个级别的安全保护能力:

n         第一级:用户自主保护级 ;

n         第二级:系统审计保护级 ;

n         第三级:安全标记保护级 ;

n         第四级:结构化保护级 (系统整体安全设计);

n         第五级:访问验证保护级。


内容组成
       等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。


       风险评估是以安全建设为出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处置计划,确定下一步的安全需求方向。

       等级保护的前提是对系统定级,系统定级根据系统信息的机密性、完整性、可用性等三大性来确定。即是“明确各种信息类型----确定每种信息类型的安全类别----确定系统的安全类别”三个步骤进行系统最终的定级。

       等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。

       可以简单的理解为等保是标准或体系,评估一种是手段。

       等保其实就是帮助用户分析、评定信息系统的等级,以便在后期的工作中根据不同的等级进行不同级别的安全防护 ,而风险评估是帮助用户发现目前的安全现状,以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况。而风险评估的结果可作为实施等级保护等级安全建设的出发点和参考。



       今天被人问到信息安全中的等级保护和风险评估的区别在什么地方。下午在回来的火车上,一没有美女相伴,也没有传说中的什么艳遇,基于很无聊等各种原因,就有了这篇充数的文章。纯属拙见,有不妥之处还望斧正。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.