刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄
混淆。幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。好文章不敢
独享,特在此和大家一起分享。
一、三者的基本概念和工作背景
基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存
储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,
对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配
套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息
是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系
统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999
年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系
统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标
记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即
对系统客观上具备的安全保护技术能力等级的划分。2002年 7月 18日,公安部在 GB17859的基础上,又发
布实施五个 GA 新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA
388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等
级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA
391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列
标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称 66号文)将信息和信息系统的安
全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:
强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要
性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是 GB17859中定
义的系统已具备的安全技术等级。
资源评论
