系统安全测评
基本概念:由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。
背景及参考依据:测评和认证的区别:测评如前述定义,认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。我国的系统认证虽然起步较早,但由于认证周期、建设差异等多方面的原因,目前的系统认证数量还非常少。特别是国家认监委成立后,强调了信息安全要“一个统一认证出口”的要求。国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》4(简称57号文)中已明确规定了对信息安全产品进行“统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准”的“四统一”的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。
三者的相互内在联系和区别
三者关系的基本判断
基本判断:等级保护是指导我国信息安全保障体系建设的一项基础管理制度,风险评估、系统测评都是在等级保护制度下,对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的的不同研究、分析方法。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。风险评估、系统测评则只是针对信息安全评价方面两种有所区分但又有所联系的的不同研究、分析方法。从这个意义上讲,等级保护要高于风险评估和系统测评。当系统定级原则确定并根据该原则将系统分类分级后,那风险评估、系统测评都可以理解为在等级保护制度下的风险评估和等级保护制度下的系统测评,操作时只需在原有风险评估、系统测评方法、操作程序的基础上,加入特定等级的特殊要求就是了。打个比方:如果说等级保护是指导信息安全建设的宪法,则风险评估、安全测评则是针对系统安全性评估或合格判定方面的专项法律。至于66号文中提及的等级保护制度中的其他建设内容,如等级化安全保障体系设计、等级化安全产品选用、等级化安全事件处理响应,由于和安全评估没有特别直接的关系,本文不再展开讨论。
等级保护与风险评估的关系
基本判断:风险评估是等级保护(不同等级不同安全需求)的出发点。风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中高级别的信息系统不一定就有高级别的安全风险。
风险评估是安全建设的出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,以成本-效益平衡的原则,通过对用户关心的重要资产(如信息、硬件、软件、文档、代码、服务、设备、企业形象等)的分级、安全威胁(如人为威胁、自然威胁等)发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性(或称薄弱环节)分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处理计划,确定下一步的安全需求方向。
等级保护的前提是对系统定级,根据FIPS199,系统定级根据系统信息的机密性、完整性、可用性(简称CIA特性)等三性损失的最大值来确定,即“明确各种信息类型----确定每种信息类型的安全类别----确定系统的安全类别”三个步骤进行系统最终的定级。将信息系统安全类别(简称SC)表示为一个与CIA特性的潜在影响相关的三重函数,一般模式是:SC= {(保密性,影响),(完整性,影响),(可用性,影响)}。
等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。在确定系统安全等级级别后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。
等级保护与系统测评的关系
基本判断:系统安全测评及行政认可是安全等级保护的落脚点。
根据NIST SP800-37,认证过程偏重于对系统安全性的评估,认可过程则属于管理机关的行为,是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。根据前述,在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。没有最终的主管认可过程,等级保护无法落到实处。从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。
风险评估与系统测评的关系
基本判断:风险评估与系统测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统,风险评估是安全建设的起点,系统测评是安全建设的终点。或者可以理解为,系统安全测评是实施风险管理措施后的风险再评估。
二者均是对信息及信息系统系统安全性的一种评价判断方法,因此,二者并没有本质的区别,或者说,二者的安全工作目标基本一致,二者的工作核心都是对信息及系统安全风险的评价,因此,二者在实施内容上有许多共同之处。具体讲二者在操作方面的差异性,则风险评估是系统明确安全需求,确定成本-效益适合的安全控制措施的出发点,风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别;系统安全测评则是对已采取的安全控制措施(如管理措施、运行措施、技术措施等)有效性的验证,安全测评更关注于对系统现有安全控制措施的技术验证,从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上,判断系统安全风险是否可接受或已得到了有效的管理,从而给出是否批准系统投入运行或继续运行的最终结论。
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
n.net/topics/618653875)
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
3548
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
