廖其耀
摘 要:信息系统等级保护是我国当前信息安全工作的基本制度。风险评估、等级测评是信息安全等级保护的重要阶段和方法。简要论述了等级保护、风险评估和等级测评三者的概念、区别和联系,并在基于三者含义及其关系的基础上,结合等级测评的内在要求,论述了基于风险分析的等级测评。
关键词:等级保护;风险评估;等级测评;信息系统
中图分类号:TP309 文献标识码:A DOI:10.15913/j.cnki.kjycx.2017.09.128
1 信息系统等级保护、风险评估和等级测评
1.1 等级保护
信息安全等级保护包括3个方面的内容,分别是对信息技术产品分不同等级进行管理,对信息和处理信息的信息系统分不同等级进行安全保护,对信息安全事件分不同等级进行响应和处置。
1999年,我国发布《计算机信息系统安全保护等级划分准则》(GB 17859—1999)标准,根据信息技术产品(比如操作系统等)的安全保护技术能力,把信息技术产品从低到高分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级5个级别。
GB 17859—1999标准为信息技术产品提出了安全保护要求,但不能体现信息安全风险管理思想,也不能覆盖信息系统的技术、管理等方面的内容。为此,公安部制定和发布的《关于信息安全等级保护工作的实施意见的通知》(66号文)、《信息系统安全等级保护定级指南》(GB/T 22240—2008)等文件中,根据信息系统的重要程度,遭到破坏后对客体(比如国家安全、社会秩序等)的危害程度,将信息系统的保护等级由低到高分为自主保护级、指导保护级、监督保护级、强制保护级和专控保护级5个级别。
1.2 风险评估
我国于2004年发布了《信息安全风险评估规范》(GB/T 20984—2007)和《信息安全风险管理指南》,规范了信息安全风险评估的内容、流程、方法和风险判断准则。信息安全风险评估,就是根据风险管理的原理,系统地分析信息系统的不同级别的资产、所面临的不同级别的威胁和系统资产存在的脆弱性3个要素,进而评估安全事件发生时可能导致的不同级别的危害,并提出有针对性的防护对策,从而为信息安全风险控制提供依据。
1.3 等级测评
由我国发布的《信息安全技术 信息系统安全等级保护实施指南》等一系列标准可知,等级测评是等级保护流程的5个环节(定级、备案、建设整改、等级测评和监督检查)中的第4个环节。信息安全等级保护测评,本质上是一种合规性安全测评。具体而言,是指由政府授权、具备一定检验技术能力的第三方测评机构,依据等级保护相关的法规、标准,检测和评估系统的安全保护能力是否符合系统等级保护的要求。
1.4 三者之间的联系和区别
当前,等级保护已成为我国信息安全的一项基本制度。风险评估和相应的风险管理是等级保护的本质和依据。等级测评是落实信息安全等级保护制度不可缺少的步骤。
信息系统等级保护,核心是根据信息系统的重要性进行系统定級,然后根据信息系统等级确定相应等级的保护要求,并进行相应等级的安全保护建设、管理和监督。通过等级保护,信息系统相关实施部门、主管部门才可根据信息系统的等级,有针对性地建设、监督和管理。我国从信息系统等级保护入手信息安全工作,并制定了一系列的政策、标准,形成了我国信息安全的基本制度。
风险评估和风险管理的思路,就是分析资产的不同等级和资产面临的风险的不同等级,并以此为依据有针对性地进行相应的管理。信息系统等级保护工作体现了风险管理的思路。等级保护中的系统定级工作,就是评估信息系统资产的价值。而确定系统等级后,通过风险评估可以准确评估信息系统不同级别的资产当前面临的不同级别的安全风险。由此,依据风险管理的思想,信息系统运维单位可以有针对性地确定信息系统的安全需求,并进行信息安全建设;信息安全主管单位可以根据信息资产的重要性及其风险等级,进行有针对性的监督和管理。这样做,可以避免信息安全的“过度保护”或“保护不到位”,保证信息安全建设符合信息系统等级。所以,风险评估和风险管理是等级保护工作的本质和依据。
等级测评是落实等级保护工作不可或缺的步骤。《信息安全风险评估规范》只说明了风险评估的流程和方法,但没有说明不同等级信息系统的不同级别的安全保护要求。而《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)等标准提出了不同级别的信息系统应具有的不同级别的安全保护要求。此外,我国当前未限制从事风险评估工作的主体单位,执行等级测评的单位一般是具有相应授权的第三方机构。因此,通过等级测评,可以判断系统的安全保护措施是否符合系统的等级要求,并判断系统当前面临的不同级别的风险。信息系统的运维部门可以根据等级测评结果,有针对性地进行安全建设整改工作;信息安全主管部门可以根据等级测评结果,决定是否允许系统运行,以加强对信息安全的监管,落实国家的等级保护工作。因此,当前我国信息安全主管部门对信息系统安全性的认可和监管,依据的是权威机构的等级测评结果,而不是依据风险评估结果。
2 基于风险分析的等级测评
作为落实信息系统等级保护的重要环节,等级测评主要分为测评准备、现场测评、分析及报告编制3个基本测评活动。为了准确判断系统所面临的安全风险,准确判断系统的安全防护能力是否满足该系统的等级要求,必须把风险分析的思想贯彻于等级测评各阶段中。
2.1 测评准备阶段
在测评准备阶段,主要进行与信息系统相关的信息收集工作,然后,基于所收集和分析的信息,编制相应的测评方案,准备相关测评指导书、测评表格和测试工具。这个阶段是后续阶段工作的基础,影响着整个等级测评过程的质量。测评准备工作不够充分,将导致现场测评工作不能顺利开展,等级测评结果不够有效和准确。
在这个阶段要完成风险分析中的资产识别和威胁评估工作。为此,该阶段必须结合风险分析的方法,确定评估范围,考虑资产识别和评估,并进行威胁评估。然后结合资产价值和系统威胁情况,在制订测评方案时,必须综合考虑威胁可能利用的信息系统入口,有针对性地设计漏洞扫描、渗透测试方案。
2.2 现场测评阶段
在现场测评阶段,测评人员将按照测评方案的要求,根据测评作业指导书和等级保护相关标准的要求,采取现场查看、访谈、配置核查、渗透测试等方法,检测和验证信息系统,从而了解并验证信息系统所具有的实际防护情况,及时发现信息系统中存在的安全漏洞(脆弱性)。
这个阶段要完成风险分析中的脆弱性评估工作。为了有效验证系统的脆弱性,判断系统面临的风险,本阶段必须结合信息系统的资产、面临的威胁,从技术、管理、策略等方面进行脆弱程度检查。特别在技术方面,采用配置核查、漏洞扫描、渗透测试、恶意代码检查等方法检查和评估,从而有效验证系统的脆弱性。
2.3 分析及报告编制
在分析及报告编制阶段,主要工作是根据现场测评阶段所获取的数据,结合《信息系统安全等级保护测评准则》的有关要求,采用科学的风险计算方法,通过单项测评结论判定、控制点间测评、层面间测评、区域间测评和系统结构测评等各个层面的测评,判定安全事件的可能性及其造成的损失,从而得出各个安全漏洞的風险值和整个信息系统的风险值,并最终判断系统的安全保护措施是否符合系统的安全等级,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,给出相应的整改建议。
这个阶段要完成风险评估工作。为此,必须贯彻科学的风险计算方法,准确评价整个信息系统所面临的风险,才能为后续的安全建设整改工作提供支持,进而帮助信息安全相关主管单位顺利、有效地完成信息安全工作。
3 结束语
随着信息安全问题的日益增加,依据国家标准对信息系统实施等级保护、风险评估和等级测评,以保证信息和信息系统的保密性、完整性、可用性,让维护系统实施机构业务流程的顺利进行的意识逐渐深入人心。只有依照相关等级保护的国家规定和标准工作,才能促进信息系统的安全建设、运行和监管,保证信息安全和业务安全。作为等级保护的重要环节和方法,基于风险分析的等级测评可以准确判断信息系统所面临的安全风险,从而为信息系统的安全整改奠定基础。
参考文献
[1]赵瑞颖.等级保护、风险评估、安全测评三者的内在联系及实施建议[G]//第二十次全国计算机安全学术交流会论文集.西宁:中国计算机学会,2005.
[2]清华大学,北京大学,中国科学院.GB 17859—1999 计算机信息系统安全保护等级划分准则[S].北京:中国标准出版社,1999.
[3]公安部国家保密局,国家密码管理委员会办公室,国务院信息化工作办公室,公通字〔2004〕66号.关于印发《关于信息安全等级保护工作的实施意见》的通知[EB/OL]. http://www.atmb.net.cn/web/UploadFile/2010111094557873.pdf,2010.11.10.
[4]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.GB/T 22240—2008 信息安全技术 信息系统安全等级保护定级指南[S].北京:中国标准出版社,2008.
[5]国家信息中心,公安部第三研究所,国家保密技术研究所,等.GB/T 20984—2007 信息安全技术信息安全风险评估规范[S].北京:中国标准出版社,2007.
[6]周元德,董凤翔,胡波,等.基于等级保护的信息安全风险评估方法[J].铁道工程学报,2006,23(9):89-92.
〔编辑:白洁〕