等级保护&风险评估:了解基本测评流程,知道各角色岗位在测评工作中的职责,学习国标文件

1 等级保护

1.1 等级保护概念

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

1.2 等级保护依据

等级保护工作开展的依据是《中华人民共和国网络安全法》

第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少 于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。

第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

伴随着《中华人民共和国网络安全法》的正式发布和实施,等级保护制度从一个规范性动作上升到了法律层面,确立了其在网络安全领域的基础、核心地位。简而言之,关键信息基础设施相关单位不按要求履行等保测评工作即是违法行为。

1.3 为什么要强制实行等级保护

国家强制推进实行等保制度的原因来自内、外两个部分:

  • 内部因素:随着信息化建设工作的发展和推进,网络安全工作也需要同步推进,以此来保障国家重要行业和关键环节的安全系数。
  • 外部因素:攻击技术不断发展和迭代,境外敌对势力的入侵形势日益严峻。

1.4 等级保护对象

等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等(简称:云大物移工)。

1.5 安全保护等级

等级保护对象根据其在国家安全,经济建设,社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。

第五个等级涉及国家安全,未在国标文件列出具体内容,且普通人一般基础不到

等级定义安全保护能力
第一 级: 用户 自主 保护 级等级保护对象受到破坏后, 会对公民、法人和其他组织 的合法权益造成损害,但不 损害国家安全、社会秩序和 公共利益。应能够防护免受来自个人的、拥有很少资源的威胁源发 起的恶意攻击、一般的自然灾难,以及其他相当危害程 度的威胁所造成的关键资源损害,在自身遭到损害后, 能够恢复部分功能。
第二 级: 系统 审计 保护 级等级保护对象受到破坏后, 会对公民、法人和其他组织 的合法权益产生严重损害, 或者对社会秩序和公共利益 造成损害,但不损害国家安 全。应能够防护免受来自外部小型组织的、拥有少量资源的 威胁源发起的恶意攻击、一般的自然灾难,以及其他相 当危害程度的威胁所造成的重要资源损害,能够发现重 要的安全漏洞和处置安全事件,在自身遭到损害后,能 够在一段时间内恢复部分功能。
第三 级: 安全 标记 保护 级等级保护对象受到破坏后, 会对公民、法人和其他组织 的合法权益产生特别严重损 害,或者对社会秩序和公共 利益造成严重损害,或者对 国家安全造成损害。应能够在统一安全策略下防护免受来自外部有组织的团 体、拥有较为丰富资源的威胁源发起的恶意攻击、较为 严重的自然灾难,以及其他相当危害程度的威胁所造成 的主要资源损害,能够及时发现、监测攻击行为和处置 安全事件,在自身遭到损害后,能够较快恢复绝大部分 功能。
第四 级: 结构 化保 护级等级保护对象受到破坏后, 会对社会秩序和公共利益造 成特别严重损害,或者对国 家安全造成严重损害。应能够在统一安全策略下防护免受来自国家级别的、敌 对组织的、拥有丰富资源的威胁源发起的恶意攻击,严 重的自然灾难,,以及其他相当危害程度的威胁所造成 的资源损害,能够及时发现、监测发现攻击行为和安全 事件,在自身遭到损害后﹐能够迅速恢复所有功能。
第五 级: 访问 验证 保护 级等级保护对象受到破坏后, 会对国家安全造成特别严重 损害。

1.6 等级保护角色&职责

  • 等级保护管理部门: 等级保护管理部门依照等级保护相关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。如:公安机关、国家保密局、国家密码局等;

  • 主管部门: 负责依照国家网络安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区等级保护对象运营、使用单位的网络安全等级保护工作。 如:教育部或者所在地区的教育局;

  • 运营、使用单位: 就是需要做等保测评的相关单位,如医院,学校,xx科技公司等;

  • 网络安全服务机构: 可以协助测评对象做相应等保动作的相关单位,如:深信服、赛可达实验室、国家计算机网络应急技术处理协调中心等;

  • 网络安全等级测评机构: 等保测评经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。简单理解为公安部授权的可以对测评对象发放证书的单位,如果想查询具备等保测评资质的厂商,可以访问网络安全等级保护网,在信息查询栏目中,点击全国网络安全等级测评与检测评估机构目录,可以看到各省市的测评机构名单和联系方式。

  • 网络安全产品供应商: 提供相关安全产品的厂商,如:360、深信服、天融信、启明星辰、绿盟等;

1.7 等级保护规定动作

  • 定级: 自主定级、专家评审、主管部门审批、公安机关审核监督。

  • 备案: 定级工作完成后,经过专家评审、行业主管部门审核后,报送所在地公安机关进行备案。

  • 安全建设或整改: 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。

  • 等级测评: 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

  • 监督检查: 信息系统运营、使用单位及其主管部门定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。受理备案的公安机关定期对备案系统的等级保护工作情况进行检查,若存在违规项,下发整改通知,必要时会采取规定处罚措施。

1.8 基本实施流程

  1. 系统定级: 信息系统运营使用单位或主管部门按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草《网络安全等级保护定级报告》;二级以上系统,定级结论需要进行专家评审、主管部门审核和备案。
  2. 系统备案: 信息系统安全保护等级为第二级以上时,备案时应当提交《网络安全等级保护备案表》和定级报告;第三级以上系统,还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案等。公安机关一般会在10日内给予反馈,如果备案通过,会发放备案证明;如果备案不通过,需要重新定级。
  3. 系统初测: 测评机构按照管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行初步检测评估,针对安全不符合项提出安全整改建议。
  4. 等保整改: 依据《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度。整改主要分为管理整改和技术整改。
  5. 复测获得报告: 运营使用单位应当选择合适的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。测评结论分为优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求。
  6. 监督检查: 向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责。

2 风险评估

信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据

2.1 风险评估准备

  • 确定风险评估的目标、范围、方法、标准和责任;
  • 收集风险评估所需的内外部信息,包括历史数据和未来预测;
  • 筛选、提炼、对比、分类、组合信息,以便进行风险评估。

2.2 资产识别

  • 识别风险评估对象的资产,包括物理资产、信息资产、人力资产等;
  • 确定资产的价值、重要性、敏感性等属性;
  • 确定资产的所有者和使用者。

2.3 威胁识别

  • 识别可能对资产造成损害或影响的威胁,包括自然威胁、人为威胁等;
  • 确定威胁的来源、类型、频率、强度等特征;
  • 确定威胁发生的条件和触发因素。

2.4 脆弱性识别

  • 识别资产存在的脆弱性,即可能被威胁利用的缺陷或漏洞;
  • 确定脆弱性的程度、范围、持续时间等特征;
  • 确定脆弱性产生的原因和影响因素。

2.5 已有安全措施的确认

  • 确认已经采取或计划采取的安全措施,包括技术措施、管理措施、法律措施等;
  • 确定安全措施的有效性、合理性、成本效益等属性;
  • 确定安全措施对威胁和脆弱性的影响程度。

2.6 风险分析和交付风险评估记录

  • 分析风险发生的可能性和影响程度,确定风险水平;
  • 比较风险水平和风险承受度,确定风险是否可接受;
  • 制定风险应对策略,包括风险承担、规避、转移、减轻等;
  • 编制风险评估报告,记录风险评估过程和结果,提出风险管理建议。

3 总结

等级保护、风险评估和安全测评区别是什么?

  • 等级保护是指对涉及国计民生的网络和信息系统按其重要程度及实际安全需求进行分等级保护,对网络和信息系统中使用的安全产品实行按等级管理,对网络和信息系统中发生的信息安全事件进行分等级响应、处置。它是保障国家网络和信息安全的基本制度、基本策略、基本方法。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。
  • 风险评估是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
  • 安全测评是指按照严格的程序对信息系统进行安全能力的综合测试评估活动,由正规、检验技术丰富且被政府授权资格的权威机构进行检查,帮助系统运行单位分析单位目前的安全运行状况、排查存在的安全问题,并提供改进建议降低系统的安全风险。

总之,等级保护是一种管理制度,风险评估是一种评价方法,安全测评是一种测试活动。三者都是为了提高信息系统的安全性能和防御能力,但侧重点和执行方式不同。