等級保護、風險評估和安全測評三者的區(qū)別和聯(lián)系都有哪些？本篇我們從基礎(chǔ)的概念說起，一起搞清楚他們之間的關(guān)系

三者的基本概念和工作背景

1等級保護

基本概念：信息安全等級保護是指對國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件等等級響應(yīng)、處置。這里所指的信息系統(tǒng)，是指由計算機及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。
工作背景：1994年×××頒布的《×××計算機信息系統(tǒng)安全保護條例》2規(guī)定：計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定。1999年公安部組織起草了《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859-1999），規(guī)定了計算機信息系統(tǒng)安全保護能力的五個等級，即：第一級：用戶自主保護級；第二級：系統(tǒng)審計保護級；第三級：安全標記保護級；第四級:結(jié)構(gòu)化保護級；第五級：訪問驗證保護級。GB17859中的分級是一種技術(shù)的分級，即對系統(tǒng)客觀上具備的安全保護技術(shù)能力等級的劃分。2002年7月18日，公安部在GB17859的基礎(chǔ)上，又發(fā)布實施五個GA新標準，分別是：GA/T 387-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求》、GA 388-2002 《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求》、GA/T 389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》、GA/T 390-2002《計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》、GA 391-2002 《計算機信息系統(tǒng)安全等級保護管理要求》。這些標準是我國計算機信息系統(tǒng)安全保護等級系列標準的一部分?！蛾P(guān)于信息安全等級保護工作的實施意見的通知》3（簡稱66號文）將信息和信息系統(tǒng)的安全保護等級劃分為五級，即：第一級：自主保護級；第二級：指導保護級；第三級：監(jiān)督保護級；第四級：強制保護級；第五級：?？乇Ｗo級。特別強調(diào)的是：66號文中的分級主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的，是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級，而不是GB17859中定義的系統(tǒng)已具備的安全技術(shù)等級。

2風險評估

基本概念：信息安全風險評估是參照風險評估標準和管理規(guī)范，對信息系統(tǒng)的資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風險管理措施的過程。
工作背景：風險評估不是一個新概念，金融、電子商務(wù)等許多領(lǐng)域都有風險及風險評估需求的存在。當風險評估應(yīng)用于IT領(lǐng)域時，就是對信息安全的風險評估。國內(nèi)這幾年對信息安全風險評估的研究進展較快，具體的評估方法也在不斷改進。風險評估也從早期簡單的漏洞掃描、人工審計、***性測試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型?！痢痢列畔⒒ぷ鬓k公室2004年組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定，并在其中規(guī)定了信息安全風險評估的工作流程、評估內(nèi)容、評估方法和風險判斷準則，對規(guī)范我國信息安全風險評估的做法具有很好的指導意義。目前，國信辦正組織在全國北京、上海、黑龍江、云南等省市及稅務(wù)、銀行、電力等行業(yè)領(lǐng)域作風險評估試點工作，探討對上述兩個風險評估/風險管理標準草案的理解修訂及相關(guān)管理問題的研究，預計2005年9月份前完成試點工作，并在試點工作的基礎(chǔ)上形成有關(guān)開展信息安全風險評估工作的指導意見。

3系統(tǒng)安全測評

基本概念：由具備檢驗技術(shù)能力和政府授權(quán)資格的權(quán)威機構(gòu)，依據(jù)國家標準、行業(yè)標準、地方標準或相關(guān)技術(shù)規(guī)范，按照嚴格程序?qū)π畔⑾到y(tǒng)的安全保障能力進行的科學公正的綜合測試評估活動，以幫助系統(tǒng)運行單位分析系統(tǒng)當前的安全運行狀況、查找存在的安全問題，并提供安全改進建議，從而最大程度地降低系統(tǒng)的安全風險。
工作背景：在我國，中國信息安全產(chǎn)品測評認證中心（簡稱CNITSEC）是較早并較有影響的開展有關(guān)系統(tǒng)安全測評認證的機構(gòu)。這里強調(diào)一下測評和認證的區(qū)別：測評如前述定義，認證則是對測評活動是否符合標準化要求和質(zhì)量管理要求所作的確認，認證以標準和測評的結(jié)果作為依據(jù)。在美國，系統(tǒng)認證的結(jié)果通常作為主管部門對新建系統(tǒng)投入運行前的安全審批或已建系統(tǒng)安全動態(tài)監(jiān)管（即系統(tǒng)認可）的依據(jù)。根據(jù)美國FISMA6及NIST SP800-37的規(guī)定，系統(tǒng)認證是“對信息系統(tǒng)的技術(shù)類、管理類和運行類安全控制所進行的綜合評估”，認可則是“由管理層作出的決策，用來授權(quán)一個信息系統(tǒng)投入運行”。我國的系統(tǒng)認證雖然起步較早，但由于認證周期、建設(shè)差異等多方面的原因，目前的系統(tǒng)認證數(shù)量還非常少。特別是國家認監(jiān)委成立后，強調(diào)了信息安全要“一個統(tǒng)一認證出口”的要求。國家認監(jiān)委等8部委聯(lián)合下發(fā)的《關(guān)于建立國家信息安全產(chǎn)品認證認可體系的通知》4（簡稱57號文）中已明確規(guī)定了對信息安全產(chǎn)品進行“統(tǒng)一標準、技術(shù)規(guī)范與合格評定程序；統(tǒng)一認證目錄；統(tǒng)一認證標志；統(tǒng)一收費標準”的“四統(tǒng)一”的認證要求。在國家認監(jiān)委對信息系統(tǒng)的安全認證相關(guān)具體意見尚未出臺前，多數(shù)情況下，系統(tǒng)安全測評的結(jié)果可直接作為主管部門對系統(tǒng)安全認可的依據(jù)。典型例子如上海市信息安全測評認證中心，在相關(guān)職能部門授權(quán)下，已完成了對上海市100余家重要信息系統(tǒng)、涉密信息系統(tǒng)、區(qū)縣以上綜合醫(yī)院的信息系統(tǒng)的安全測評工作，并為市信息委、市×××、市衛(wèi)生局等信息化主管部門或行業(yè)主管部門提供了重要的技術(shù)決策依據(jù)。

三者的相互內(nèi)在聯(lián)系和區(qū)別

1三者關(guān)系的基本判斷

基本判斷：等級保護是指導我國信息安全保障體系建設(shè)的一項基礎(chǔ)管理制度，風險評估、系統(tǒng)測評都是在等級保護制度下，對信息及信息系統(tǒng)安全性評價方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。
等級保護是指導我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則，是圍繞信息安全保障全過程的一項基礎(chǔ)性管理制度，其核心內(nèi)容是對信息安全分等級、按標準進行建設(shè)、管理和監(jiān)督。風險評估、系統(tǒng)測評則只是針對信息安全評價方面兩種有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。從這個意義上講，等級保護要高于風險評估和系統(tǒng)測評。當系統(tǒng)定級原則確定并根據(jù)該原則將系統(tǒng)分類分級后，那風險評估、系統(tǒng)測評都可以理解為在等級保護制度下的風險評估和等級保護制度下的系統(tǒng)測評，操作時只需在原有風險評估、系統(tǒng)測評方法、操作程序的基礎(chǔ)上，加入特定等級的特殊要求就是了。打個比方：如果說等級保護是指導信息安全建設(shè)的憲法，則風險評估、安全測評則是針對系統(tǒng)安全性評估或合格判定方面的專項法律。至于66號文中提及的等級保護制度中的其他建設(shè)內(nèi)容，如等級化安全保障體系設(shè)計、等級化安全產(chǎn)品選用、等級化安全事件處理響應(yīng)，由于和安全評估沒有特別直接的關(guān)系，本文不再展開討論。

2等級保護與風險評估的關(guān)系

基本判斷：風險評估是等級保護（不同等級不同安全需求）的出發(fā)點。風險評估中的風險等級和等級保護中的系統(tǒng)定級均充分考慮到信息資產(chǎn)CIA特性的高低，但風險評估中的風險等級加入了對現(xiàn)有安全控制措施的確認因素，也就是說，等級保護中高級別的信息系統(tǒng)不一定就有高級別的安全風險。
風險評估是安全建設(shè)的出發(fā)點，它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導向的安全體系結(jié)構(gòu)設(shè)計及詳細安全方案制定，以成本－效益平衡的原則，通過對用戶關(guān)心的重要資產(chǎn)（如信息、硬件、軟件、文檔、代碼、服務(wù)、設(shè)備、企業(yè)形象等）的分級、安全威脅（如人為威脅、自然威脅等）發(fā)生的可能性及嚴重性分析、對系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺、基礎(chǔ)系統(tǒng)平臺、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運行措施等方面的安全脆弱性（或稱薄弱環(huán)節(jié)）分析，并通過對已有安全控制措施的確認，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當前的安全風險，并根據(jù)風險的嚴重級別制定風險處理計劃，確定下一步的安全需求方向。
等級保護的前提是對系統(tǒng)定級，根據(jù)FIPS199，系統(tǒng)定級根據(jù)系統(tǒng)信息的機密性、完整性、可用性（簡稱CIA特性）等三性損失的最大值來確定，即“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個步驟進行系統(tǒng)最終的定級。將信息系統(tǒng)安全類別（簡稱SC）表示為一個與CIA特性的潛在影響相關(guān)的三重函數(shù)，一般模式是：SC= ｛（保密性，影響），（完整性，影響），（可用性，影響）｝。
等級保護中的系統(tǒng)分類分級的思想和風險評估中對信息資產(chǎn)的重要性分級基本一致，不同的是：等級保護的級別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā)，定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級，而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合評估結(jié)果，也就是說，在風險評估中，CIA價值高的信息資產(chǎn)不一定風險等級就高。在確定系統(tǒng)安全等級級別后，風險評估的結(jié)果可作為實施等級保護、等級安全建設(shè)的出發(fā)點和參考。

3等級保護與系統(tǒng)測評的關(guān)系

基本判斷：系統(tǒng)安全測評及行政認可是安全等級保護的落腳點。
根據(jù)NIST SP800-37，認證過程偏重于對系統(tǒng)安全性的評估，認可過程則屬于管理機關(guān)的行為，是指根據(jù)評估的結(jié)果來判斷信息系統(tǒng)的安全控制措施是否有效、殘余風險是否可接受。根據(jù)前述，在我國，目前主管部門安全認可的依據(jù)多數(shù)是系統(tǒng)安全測評的結(jié)果。主管部門根據(jù)系統(tǒng)測評結(jié)果判斷，如果殘余風險可以接受，則允許系統(tǒng)投入運行或繼續(xù)運行，否則信息系統(tǒng)便沒有達到特定安全等級的安全要求。沒有最終的主管認可過程，等級保護無法落到實處。從這個意義上講，進行等級保護建設(shè)、實施風險管理過程后的系統(tǒng)安全測評及行政認可是等級保護的落腳點。
D. 風險評估與系統(tǒng)測評的關(guān)系
基本判斷：風險評估與系統(tǒng)測評分別是針對系統(tǒng)生命周期建設(shè)不同階段存在的安全風險的相近判斷方法。對同一個生命周期的系統(tǒng)，風險評估是安全建設(shè)的起點，系統(tǒng)測評是安全建設(shè)的終點?；蛘呖梢岳斫鉃?，系統(tǒng)安全測評是實施風險管理措施后的風險再評估。
二者均是對信息及信息系統(tǒng)系統(tǒng)安全性的一種評價判斷方法，因此，二者并沒有本質(zhì)的區(qū)別，或者說，二者的安全工作目標基本一致，二者的工作核心都是對信息及系統(tǒng)安全風險的評價，因此，二者在實施內(nèi)容上有許多共同之處。具體講二者在操作方面的差異性，則風險評估是系統(tǒng)明確安全需求，確定成本－效益適合的安全控制措施的出發(fā)點，風險評估通過對被評估用戶廣泛的、戰(zhàn)略性的分析來判斷機構(gòu)內(nèi)各類重要資產(chǎn)的風險級別；系統(tǒng)安全測評則是對已采取的安全控制措施（如管理措施、運行措施、技術(shù)措施等）有效性的驗證，安全測評更關(guān)注于對系統(tǒng)現(xiàn)有安全控制措施的技術(shù)驗證，從而給出系統(tǒng)現(xiàn)存安全脆弱性的準確判斷。行業(yè)主管部門或信息化主管部門在系統(tǒng)測評結(jié)果的基礎(chǔ)上，判斷系統(tǒng)安全風險是否可接受或已得到了有效的管理，從而給出是否批準系統(tǒng)投入運行或繼續(xù)運行的最終結(jié)論。

三者在SDLC過程中的實施建議

通常情況下，我們將信息系統(tǒng)建設(shè)生命周期（SDLC）劃分為五個階段：規(guī)劃需求階段、設(shè)計開發(fā)階段、實施階段、運行維護階段、廢棄階段。也就是說，系統(tǒng)是不斷變化的，安全建設(shè)也應(yīng)隨之發(fā)生變化。因此，從理論上分析，無論是等級保護、風險評估或是系統(tǒng)測評，均適用于SDLC的各個階段。為避免三者之間相近的工作內(nèi)容在SDLC的同一個階段重復進行，按照“誰主管，誰負責；誰運行，誰負責”的原則，從系統(tǒng)建設(shè)單位（多數(shù)情況下建設(shè)單位即運行單位）、行業(yè)主管部門或信息化主管部門（簡稱主管部門）等兩類不同發(fā)起主體或組織主體的角度考慮，建議按下述內(nèi)容實施：
1、規(guī)劃需求階段
建設(shè)單位自覺按照國家有關(guān)安全等級劃分及系統(tǒng)定級的原則進行定級，并報主管部門備案。
建設(shè)單位按照既定等級的風險評估管理要求和國家有關(guān)風險評估的技術(shù)標準自覺進行風險評估，明確系統(tǒng)在機密性、完整性、可用性等方面的安全需求目標。
2、設(shè)計開發(fā)階段及實施階段
建設(shè)單位（或委托承建單位）根據(jù)既定的安全需求目標，按照國家有關(guān)等級保護的管理規(guī)范和技術(shù)標準，進行系統(tǒng)安全體系結(jié)構(gòu)及詳細實施方案的設(shè)計，采購和使用相應(yīng)等級的信息安全產(chǎn)品，建設(shè)安全設(shè)施，落實安全技術(shù)措施。
主管部門委托或指定第三方機構(gòu)對建設(shè)單位的系統(tǒng)安全設(shè)計方案進行評審，并將第三方機構(gòu)出具的安全方案評審報告作為是否允許安全實施的依據(jù)。
注：建設(shè)單位在進行風險評估時，應(yīng)根據(jù)自身的客觀條件選擇自評估方式或委托第三方機構(gòu)評估的方式進行；主管部門發(fā)起的安全測評一般應(yīng)委托具有授權(quán)資質(zhì)和技術(shù)能力的第三方機構(gòu)進行。客觀上講，任何一個第三方機構(gòu)的評估接入都有可能對系統(tǒng)本身帶來新的安全威脅和風險，為此，加強對第三方評估機構(gòu)的管理至關(guān)重要，特別是對參與基礎(chǔ)信息網(wǎng)絡(luò)或三級以上重要信息系統(tǒng)安全評估的機構(gòu)可實行強制許可制度，具體的許可制度和許可要求可以由相關(guān)信息安全主管部門或信息系統(tǒng)行業(yè)主管部門制定。此外，還應(yīng)加強對第三方評估機構(gòu)的安全保密教育，要求所有第三方評估機構(gòu)應(yīng)自覺遵守國家有關(guān)保密法規(guī)和其他相關(guān)規(guī)定，對評估工作中涉及的保密事項，應(yīng)簽定保密協(xié)議，承擔保密責任并采取相應(yīng)保密措施。
3、運行維護階段
主管部門在系統(tǒng)安全建設(shè)基本完成后，委托或指定第三方機構(gòu)對基本建成的系統(tǒng)進行安全測評，以評價系統(tǒng)當前運行環(huán)境下的安全控制措施是否和既定等級的安全需求一致、關(guān)鍵資產(chǎn)的安全風險是否控制在可接受范圍之內(nèi)，并將第三方機構(gòu)的安全測評報告作為是否批準系統(tǒng)投入運行（即系統(tǒng)認可）的依據(jù)。此外，考慮到信息技術(shù)、安全技術(shù)、安全***技術(shù)及相關(guān)標準、理論、方法的不斷發(fā)展，即使系統(tǒng)在認可有效期內(nèi)沒有任何關(guān)于技術(shù)、業(yè)務(wù)及管理內(nèi)容的變更，主管部門也應(yīng)該發(fā)起周期性的安全測評和安全認可，以保持系統(tǒng)的安全狀態(tài)維持在標準許可及公眾接受的范圍之內(nèi)。
在《關(guān)于進一步加強上海市信息安全保障工作的實施意見》中，對上海行政區(qū)域內(nèi)公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，銀行/稅務(wù)/證券/海關(guān)/鐵道/電力/民航/水務(wù)/燃氣/軌道交通/醫(yī)療衛(wèi)生和大型國有企業(yè)等涉及國計民生的信息系統(tǒng)，以及使用財政性資金建設(shè)的信息系統(tǒng)（統(tǒng)稱"重要信息系統(tǒng)"）作出了強制實行等級保護和安全測評的要求。對新建、改建、擴建的重要信息系統(tǒng)，在立項后由安全測評機構(gòu)評審其安全設(shè)計方案，評審報告報有關(guān)主管部門確認，未通過評審的不得實施；正式投入運行前，應(yīng)進行系統(tǒng)安全測評，測評結(jié)果報有關(guān)主管部門確認，未達到要求的不得投入運行、不予驗收；對已通過安全測評的重要信息系統(tǒng)，投入運行后要繼續(xù)加強安全保護，由安全測評機構(gòu)定期進行安全測評。
4、廢棄階段
建設(shè)單位重點對廢棄處理不當對資產(chǎn)（如硬件、軟件、設(shè)備、文檔等）的影響、對信息/硬件/軟件的廢棄處置方面威脅、對訪問控制方面的弱點進行綜合風險評估，以確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)膹U棄處置，并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。
需要說明的是：上述實施建議主要針對同一個完整的SDLC，但事實上，在SDLC的某一個具體階段，也有可能由于業(yè)務(wù)類型變化（并可能導致安全等級變化）、新的安全威脅的出現(xiàn)或安全形勢的突變，要立即進行安全需求及安全設(shè)計、安全實施方案的調(diào)整。這時，應(yīng)參照上述SDLC過程中的“安全定級－風險評估－確定安全需求－安全體系設(shè)計及方案－方案評審－等級保護實施－安全測評－主管認可”的步驟進行。當然，這個過程中涉及的風險評估、方案評審、安全測評等活動要充分考慮利用已有的評估/測評成果，減少再評估/再測評造成的重復投入。