信息安全等級保護是指對存儲、傳輸、處理信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級進行響應(yīng)、處置。
??????? 等級保護的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標準進行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術(shù)規(guī)范逐級加強監(jiān)管力度。突出重點,保障重要信息資源和重要信息系統(tǒng)的安全。
??????? 等級保護基本要求的內(nèi)容分技術(shù)和管理兩大部分,其中技術(shù)部分分為:物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類,管理部分分為:安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等5大類。
??????? 按照《計算機信息系統(tǒng)安全保護等級劃分準則》規(guī)定的規(guī)定,我國實行五級信息安全等級保護。第一級:用戶自主保護級;第二級:系統(tǒng)審計保護級;第三級:安全標記保護級;第四級:結(jié)構(gòu)化保護級;第五級:訪問驗證保護級。
??????? 由公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息化工作辦公室聯(lián)合發(fā)出的66號文《關(guān)于信息安全等級保護工作的實施意見的通知》將信息和信息系統(tǒng)的安全保護等級劃分為五級,即:第一級:自主保護級;第二級:指導(dǎo)保護級;第三級:監(jiān)督保護級;第四級:強制保護級;第五級:??乇Wo級。
??????? 66號文中的分級主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的,是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級,而不是GB17859中定義的安全技術(shù)等級。
??????? 風(fēng)險評估就是量化評判安全事件帶來的影響或損失的可能程度。
??????? 從信息安全的角度來講,風(fēng)險評估是對信息資產(chǎn)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風(fēng)險的可能性的評估。作為風(fēng)險管理的基礎(chǔ),風(fēng)險評估是組織確定信息安全需求的一個重要途徑,屬于組織信息安全管理體系策劃的過程。
??????? 風(fēng)險評估的主要任務(wù)包括:
??????? 1)?識別組織面臨的各種風(fēng)險;
??????? 2)?評估風(fēng)險概率和可能帶來的負面影響;
??????? 3)?確定組織承受風(fēng)險的能力;
??????? 4)?確定風(fēng)險消減和控制的優(yōu)先等級;
??????? 5)?推薦風(fēng)險消減對策。
??????? 在風(fēng)險評估過程中需要考慮幾個關(guān)鍵問題:
??????? 一、?要確定保護的對象(資產(chǎn))是什么?它的直接和間接價值如何?
??????? 二、?資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問題所在?威脅發(fā)生的可能性有多大?
??????? 三、?資產(chǎn)中存在哪里弱點可能會被威脅所利用?利用的容易程度又如何?
??????? 四、?一旦威脅事件發(fā)生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?
??????? 五、?組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險帶來的損失降低到最低程度?
??????? 解決以上這些問題的過程,就是風(fēng)險評估的過程。
??????? 風(fēng)險評估是以安全建設(shè)為出發(fā)點,它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計及詳細安全方案制定,通過對用戶關(guān)心的重要資產(chǎn)的分級、安全威脅發(fā)生的可能性及嚴重性分析、對系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺、基礎(chǔ)系統(tǒng)平臺、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運行措施等等方面的安全脆弱性的分析,并通過對已有安全控制措施的確認,借助定量、定性分析的方法,推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險,并根據(jù)風(fēng)險的嚴重級別制定風(fēng)險處置計劃,確定下一步的安全需求方向。
??????? 等級保護的前提是對系統(tǒng)定級,系統(tǒng)定級根據(jù)系統(tǒng)信息的機密性、完整性、可用性等三大性來確定。即是“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個步驟進行系統(tǒng)最終的定級。
??????? 等級保護中的系統(tǒng)分類分級的思想和風(fēng)險評估中對信息資產(chǎn)的重要性分級基本一致,不同的是:等級保護的級別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā),定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級,而風(fēng)險評估中最終風(fēng)險的等級則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合評估結(jié)果,也就是說,在風(fēng)險評估中,CIA價值高的信息資產(chǎn)不一定風(fēng)險等級就高。
??????? 等保其實就是幫助用戶分析、評定信息系統(tǒng)的等級,以便在后期的工作中根據(jù)不同的等級進行不同級別的安全防護 ,而風(fēng)險評估是幫助用戶發(fā)現(xiàn)目前的安全現(xiàn)狀,以便在后期進行整體的安全規(guī)劃與建設(shè)。我們可以用風(fēng)險評估這種手段檢查等保的落實和執(zhí)行情況。而風(fēng)險評估的結(jié)果可作為實施等級保護等級安全建設(shè)的出發(fā)點和參考。
???????