五分钟了解等级保护、风险评估和安全测评三者的区别和联系?

等级保护

基本概念:网络安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。

背景及参考依据:网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对定级对象安全等级状况开展等级测评。GB 17859-1999《计算机信息系统安全保护等级划分准则》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》、《中华人民共和国网络安全法》、GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》、GB/T 20984-2007《信息安全技术 信息安全风险评估规范》、GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》、GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》。

图片

风险评估

基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。

背景及参考依据:《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,对规范我国信息安全风险评估的做法具有很好的指导意义,GBT 20984-2022 《信息安全技术 信息安全风险评估方法》描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和平估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。GB-T 31509-2015 《信息安全技术 信息安全风险评估实施指南》规定了信息安全风险评估实施的过程和方法,用于各类安全评估机构或被评估组织对非涉密信息系统的信息安全风险评估项目的管理,指导风险评估项目的组织、实施、验收等工作。

图片

系统安全测评

基本概念:由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。

背景及参考依据:测评和认证的区别:测评如前述定义,认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。我国的系统认证虽然起步较早,但由于认证周期、建设差异等多方面的原因,目前的系统认证数量还非常少。特别是国家认监委成立后,强调了信息安全要“一个统一认证出口”的要求。国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》4(简称57号文)中已明确规定了对信息安全产品进行“统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准”的“四统一”的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。

图片

三者的相互内在联系和区别

三者关系的基本判断

基本判断:等级保护是指导我国信息安全保障体系建设的一项基础管理制度,风险评估、系统测评都是在等级保护制度下,对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的的不同研究、分析方法。

等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。风险评估、系统测评则只是针对信息安全评价方面两种有所区分但又有所联系的的不同研究、分析方法。从这个意义上讲,等级保护要高于风险评估和系统测评。当系统定级原则确定并根据该原则将系统分类分级后,那风险评估、系统测评都可以理解为在等级保护制度下的风险评估和等级保护制度下的系统测评,操作时只需在原有风险评估、系统测评方法、操作程序的基础上,加入特定等级的特殊要求就是了。打个比方:如果说等级保护是指导信息安全建设的宪法,则风险评估、安全测评则是针对系统安全性评估或合格判定方面的专项法律。至于66号文中提及的等级保护制度中的其他建设内容,如等级化安全保障体系设计、等级化安全产品选用、等级化安全事件处理响应,由于和安全评估没有特别直接的关系,本文不再展开讨论。

图片

等级保护与风险评估的关系

基本判断:风险评估是等级保护(不同等级不同安全需求)的出发点。风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中高级别的信息系统不一定就有高级别的安全风险。

风险评估是安全建设的出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,以成本-效益平衡的原则,通过对用户关心的重要资产(如信息、硬件、软件、文档、代码、服务、设备、企业形象等)的分级、安全威胁(如人为威胁、自然威胁等)发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性(或称薄弱环节)分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处理计划,确定下一步的安全需求方向。

等级保护的前提是对系统定级,根据FIPS199,系统定级根据系统信息的机密性、完整性、可用性(简称CIA特性)等三性损失的最大值来确定,即“明确各种信息类型----确定每种信息类型的安全类别----确定系统的安全类别”三个步骤进行系统最终的定级。将信息系统安全类别(简称SC)表示为一个与CIA特性的潜在影响相关的三重函数,一般模式是:SC= {(保密性,影响),(完整性,影响),(可用性,影响)}。

等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。在确定系统安全等级级别后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。

图片

 等级保护与系统测评的关系

基本判断:系统安全测评及行政认可是安全等级保护的落脚点。

根据NIST SP800-37,认证过程偏重于对系统安全性的评估,认可过程则属于管理机关的行为,是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。根据前述,在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。没有最终的主管认可过程,等级保护无法落到实处。从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。

风险评估与系统测评的关系

基本判断:风险评估与系统测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统,风险评估是安全建设的起点,系统测评是安全建设的终点。或者可以理解为,系统安全测评是实施风险管理措施后的风险再评估。

二者均是对信息及信息系统系统安全性的一种评价判断方法,因此,二者并没有本质的区别,或者说,二者的安全工作目标基本一致,二者的工作核心都是对信息及系统安全风险的评价,因此,二者在实施内容上有许多共同之处。具体讲二者在操作方面的差异性,则风险评估是系统明确安全需求,确定成本-效益适合的安全控制措施的出发点,风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别;系统安全测评则是对已采取的安全控制措施(如管理措施、运行措施、技术措施等)有效性的验证,安全测评更关注于对系统现有安全控制措施的技术验证,从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上,判断系统安全风险是否可接受或已得到了有效的管理,从而给出是否批准系统投入运行或继续运行的最终结论。

图片

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/320683.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vs配置cplex12.10

1.创建c空项目 2.修改运行环境 为release以及x64 3.创建cpp文件 4.鼠标右键点击项目中的属性 5.点击c/c,点击第一项常规,配置附加库目录 5.添加文件索引,主要用于把路径导进来 6.这一步要添加的目录与你安装的cplex的目录有关系 F:\program…

【Qt】按钮类控件

文章目录 1 :peach:Push Button:peach:2 :peach:Radio Buttion:peach:3 :peach:Check Box:peach:4 :peach:Tool Button:peach: 1 🍑Push Button🍑 使⽤ QPushButton 表⽰⼀个按钮,这也是当前我们最熟悉的⼀个控件了,QPushButton …

[Algorithm][BFS][最短路问题][迷宫中离入口最近的出口][最小基因变化][单词接龙][为高尔夫比赛砍树]详细讲解

0.原理讲解 最短路径是图里的常见问题本专题主要讲解边权为一的最短路问题 边权全都相同即可,并非只能为一 方法:从起点开始,来一次BFS即可如何找出最短路径是多长呢? 拓展的层数,就是最短路的长度 1.迷宫中离入口最…

在k8s中安装Grafana并对接Prometheus,实现k8s集群监控数据的展示

🐇明明跟你说过:个人主页 🏅个人专栏:《Grafana:让数据说话的魔术师》 🏅 🔖行路有良友,便是天堂🔖 目录 一、引言 1、Grafana简介 2、Grafana的重要性与影响力 …

01-基本概念

1. 到底什么是数据结构? 数据结构是指在计算机中组织和存储数据的方式,它涉及到数据元素之间的关系以及对这些关系进行操作的方法。数据结构可以看作是一种将数据组织起来以便有效使用的方式,它关注数据的组织、存储和操作,以及如…

解决github的remote rejected|git存储库的推送保护

前言 git存储库的推送保护。当你试图推送代码到GitHub仓库时,由于存在与主分支(master)相关的仓库规则违规行为,推送会被拒绝了。这种保护机制帮助确保只有经过授权和符合规定的代码才能被合并到主分支,从而保护了主分…

上海亚商投顾:沪指创年内新高 化工板块掀涨停潮

上海亚商投顾前言:无惧大盘涨跌,解密龙虎榜资金,跟踪一线游资和机构资金动向,识别短期热点和强势个股。 一.市场情绪 三大指数昨日高开震荡,沪指涨超1%续创年内新高,深成指、创业板指均涨约2%。化工股集体…

SQL 基础 | AS 的用法介绍

SQL(Structured Query Language)是一种用于管理和操作数据库的标准编程语言。 在SQL中,AS关键字有几种不同的用法,主要用于重命名表、列或者查询结果。 以下是AS的一些常见用法: 重命名列:在SELECT语句中&a…

maven冲突问题

在编写maven当中的依赖时&#xff0c;有时候会出现一些问题&#xff0c;这种问题为Maven的当中的依赖。 在导入依赖的时候&#xff1a;出现了两种依赖发生了版本冲突的问题&#xff1f; <?xml version"1.0" encoding"UTF-8"?> <project xmlns…

VBA 创建透视表,录制宏,自动化报表

目录 一. 数据准备二. 需求三. 准备好报表模板四. 执行统计操作&#xff0c;录制宏4.1 根据数据源创建透视表4.2 填充数据到报表4.3 结束宏录制 五. 执行录制好的宏&#xff0c;自动化报表 一. 数据准备 ⏹数据源1 姓名学科成绩丁志敏语文91李平平语文81王刚语文64张伊语文50…

正点原子[第二期]Linux之ARM(MX6U)裸机篇学习笔记-13-按键实验

前言&#xff1a; 本文是根据哔哩哔哩网站上“正点原子[第二期]Linux之ARM&#xff08;MX6U&#xff09;裸机篇”视频的学习笔记&#xff0c;在这里会记录下正点原子 I.MX6ULL 开发板的配套视频教程所作的实验和学习笔记内容。本文大量引用了正点原子教学视频和链接中的内容。…

自动化运维工具---Ansible

一 Puppet Puppet是历史悠久的运维工具之一。它是一种基础架构即代码(laC)工具&#xff0c;使用户可以定义其基础 架构所需的状态&#xff0c;并使系统自动化以实现相同状态。 Puppet可监视用户的所有系统&#xff0c;并防止任何偏离已定义状态的情况。从简单的工作流程自动…

Mysql数据在磁盘上的存储结构

一. 前言 一行数据的存储格式大致如下所示: 变长字段的长度列表&#xff0c;null值列表&#xff0c;数据头&#xff0c;column01的值&#xff0c;column02的值&#xff0c;column0n的值… 二. 变长字段 在MySQL里有一些字段的长度是变长的&#xff0c;是不固定的&#xff0c;…

设计模式Java实现-工厂模式

✨这里是第七人格的博客✨小七&#xff0c;欢迎您的到来~✨ &#x1f345;系列专栏&#xff1a;设计模式&#x1f345; ✈️本篇内容: 工厂模式✈️ &#x1f371;本篇收录完整代码地址&#xff1a;https://gitee.com/diqirenge/design-pattern &#x1f371; 楔子 记得刚…

Python量化炒股的统计数据图

Python量化炒股的统计数据图 单只股票的收益统计图 查看单只股票的收盘价信息 单击聚宽JoinQuant量化炒股平台中的“策略研究/研究环境”命令&#xff0c;进入Jupyter Notebook的研究平台。然后单击“新建”按钮&#xff0c;创建Python3文件&#xff0c;输入如下代码如下&am…

ComfyUI搭建和注意事项for WIN[笔记]

下载ComfyUI(GitHub - comfyanonymous/ComfyUI: The most powerful and modular stable diffusion GUI, api and backend with a graph/nodes interface.) 从源码上搭建比较麻烦&#xff0c;一般不推荐&#xff0c;所以跑到release里面找一个下载。我的显卡是GeFore GTX 1050 …

STM32编译前置条件配置

本文基于stm32f104系列芯片&#xff0c;记录编程代码前需要的操作&#xff1a; 添加库文件 在ST官网下载标准库STM32F10x_StdPeriph_Lib_V3.5.0&#xff0c;解压后&#xff0c;得到以下界面 启动文件 进入Libraries&#xff0c;然后进入CMSIS&#xff0c;再进入CM3&#xff…

深度学习中的不确定性量化:技术、应用和挑战综述(一)

不确定性量化(UQ)在减少优化和决策过程中的不确定性方面起着关键作用&#xff0c;应用于解决各种现实世界的科学和工程应用。贝叶斯近似和集成学习技术是文献中使用最广泛的两种UQ方法。在这方面&#xff0c;研究人员提出了不同的UQ方法&#xff0c;并测试了它们在各种应用中的…

018、Python+fastapi,第一个Python项目走向第18步:ubuntu24.04 安装cuda和pytorch环境

一、说明 我们安装了pytorch环境之后&#xff0c;会用yolo v9 来测试一下&#xff0c;看8g 显存能不能跑下来&#xff0c;上次用无影云电脑&#xff0c;4cpu8g内存直接爆了&#xff0c;云电脑也死机了&#xff0c;提示一直占用内存不释放&#xff0c;我自己的云电脑不能占用内…

Java中的maven的安装和配置

maven的作用 依赖管理 方便快捷的管理项目依赖的资源&#xff0c;避免版本冲突问题 统一项目管理 提供标准&#xff0c;统一的项目结构 项目构建 标准跨平台&#xff08;Linux、windows、MacOS&#xff09;的自动化项目构建方式 maven的安装和配置 在maven官网下载maven Ma…