大家在開展安全測(cè)評(píng)工作的時(shí)候，常常會(huì)提出一個(gè)問(wèn)題，對(duì)等級(jí)保護(hù)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估二者之間的區(qū)別很不清楚，常常會(huì)弄混淆。下面由安徽靈狐科技為大家手撕迷團(tuán)，在此和大家一起分享：

1、什么是等級(jí)保護(hù)？

     網(wǎng)絡(luò)安全等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系建設(shè)的一項(xiàng)基礎(chǔ)管理制度，對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。等級(jí)保護(hù)是我國(guó)關(guān)于信息安全的基本政策，國(guó)家法律法規(guī)、相關(guān)政策制度要求單位開展等級(jí)保護(hù)工作。如《信息安全等級(jí)保護(hù)管理辦法》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。

2、什么是等級(jí)保護(hù)測(cè)評(píng)？

     網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)指的是用戶單位委托第三方有測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)單位已定級(jí)備案的信息系統(tǒng)開展安全測(cè)試的過(guò)程，測(cè)試結(jié)束后出具相應(yīng)的符合網(wǎng)警檢查的信息系統(tǒng)測(cè)評(píng)報(bào)告。

3、什么是信息安全風(fēng)險(xiǎn)評(píng)估？

     信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)管理措施的過(guò)程。

    風(fēng)險(xiǎn)評(píng)估的目的是全面、準(zhǔn)確的了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)。準(zhǔn)確了解組織的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀。

4、等級(jí)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別？

     等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估這兩個(gè)是對(duì)等的，二者都是安全測(cè)評(píng)的方法。等級(jí)測(cè)評(píng)評(píng)估的是系統(tǒng)的安全防護(hù)能力，風(fēng)險(xiǎn)評(píng)估檢測(cè)的是系統(tǒng)面臨的風(fēng)險(xiǎn)。具體來(lái)說(shuō)，就是風(fēng)險(xiǎn)評(píng)估評(píng)估的是系統(tǒng)面臨的威脅、系統(tǒng)自身的脆弱性，等級(jí)測(cè)評(píng)評(píng)估的是系統(tǒng)的脆弱性和安全措施，二者可以結(jié)合使用。

5、等級(jí)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的關(guān)系？

      基本判斷：風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)（不同等級(jí)不同安全需求）的出發(fā)點(diǎn)。風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)和等級(jí)保護(hù)中的系統(tǒng)定級(jí)均充分考慮到信息資產(chǎn)CIA特性的高低，但風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)加入了對(duì)現(xiàn)有安全控制措施的確認(rèn)因素，也就是說(shuō)，等級(jí)保護(hù)中高級(jí)別的信息系統(tǒng)不一定就有高級(jí)別的安全風(fēng)險(xiǎn)。
 
       風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn)，它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案制定，以成本－效益平衡的原則，通過(guò)對(duì)用戶關(guān)心的重要資產(chǎn)（如信息、硬件、軟件、文檔、代碼、服務(wù)、設(shè)備、企業(yè)形象等）的分級(jí)、安全威脅（如人為威脅、自然威脅等）發(fā)生的可能性及嚴(yán)重性分析、對(duì)系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)系統(tǒng)平臺(tái)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運(yùn)行措施等方面的安全脆弱性（或稱薄弱環(huán)節(jié)）分析，并通過(guò)對(duì)已有安全控制措施的確認(rèn)，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級(jí)別制定風(fēng)險(xiǎn)處理計(jì)劃，確定下一步的安全需求方向。

      等級(jí)保護(hù)的前提是對(duì)系統(tǒng)定級(jí)，根據(jù)FIPS199，系統(tǒng)定級(jí)根據(jù)系統(tǒng)信息的機(jī)密性、完整性、可用性（簡(jiǎn)稱CIA特性）等三性損失的最大值來(lái)確定，即“明確各種信息類型----確定每種信息類型的安全類別----確定系統(tǒng)的安全類別”三個(gè)步驟進(jìn)行系統(tǒng)最終的定級(jí)。將信息系統(tǒng)安全類別（簡(jiǎn)稱SC）表示為一個(gè)與CIA特性的潛在影響相關(guān)的三重函數(shù)，一般模式是：SC= ｛（保密性，影響），（完整性，影響），（可用性，影響）｝。

      等級(jí)保護(hù)中的系統(tǒng)分類分級(jí)的思想和風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)的重要性分級(jí)基本一致，不同的是：等級(jí)保護(hù)的級(jí)別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā)，定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級(jí)，而風(fēng)險(xiǎn)評(píng)估中最終風(fēng)險(xiǎn)的等級(jí)則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合評(píng)估結(jié)果，也就是說(shuō)，在風(fēng)險(xiǎn)評(píng)估中，CIA價(jià)值高的信息資產(chǎn)不一定風(fēng)險(xiǎn)等級(jí)就高。在確定系統(tǒng)安全等級(jí)級(jí)別后，風(fēng)險(xiǎn)評(píng)估的結(jié)果可作為實(shí)施等級(jí)保護(hù)、等級(jí)安全建設(shè)的出發(fā)點(diǎn)和參考。

     友情提示：特別對(duì)新開發(fā)的系統(tǒng)軟件，上線運(yùn)行之前，根據(jù)《網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)，必不可少的三大測(cè)評(píng)：等級(jí)保護(hù)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、軟件測(cè)評(píng)。并由專業(yè)第三方檢測(cè)機(jī)構(gòu)出具報(bào)告。

等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者的基本概念和工作背景

A、等級(jí)保護(hù)

基本概念：

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件等等級(jí)響應(yīng)、處置。這里所指的信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息。

背景：

1994年×××頒布的《×××計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》2規(guī)定：計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定。1999年公安部組織起草了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999），規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)，即：第一級(jí)：用戶自主保護(hù)級(jí)；第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí)：安全標(biāo)記保護(hù)級(jí)；第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)；第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)。GB17859中的分級(jí)是一種技術(shù)的分級(jí)，即對(duì)系統(tǒng)客觀上具備的安全保護(hù)技術(shù)能力等級(jí)的劃分。2002年7月18日，公安部在GB17859的基礎(chǔ)上，又發(fā)布實(shí)施五個(gè)GA新標(biāo)準(zhǔn)，分別是：GA/T 387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》、GA 388-2002 《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》、GA/T 389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求》、GA/T 390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》、GA 391-2002 《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》。這些標(biāo)準(zhǔn)是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)系列標(biāo)準(zhǔn)的一部分。《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見的通知》3（簡(jiǎn)稱66號(hào)文）將信息和信息系統(tǒng)的安全保護(hù)等級(jí)劃分為五級(jí)，即：第一級(jí)：自主保護(hù)級(jí)；第二級(jí)：指導(dǎo)保護(hù)級(jí)；第三級(jí)：監(jiān)督保護(hù)級(jí)；第四級(jí)：強(qiáng)制保護(hù)級(jí)；第五級(jí)：專控保護(hù)級(jí)。特別強(qiáng)調(diào)的是：66號(hào)文中的分級(jí)主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的，是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級(jí)，而不是GB17859中定義的系統(tǒng)已具備的安全技術(shù)等級(jí)。

B、風(fēng)險(xiǎn)評(píng)估

基本概念：

信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)管理措施的過(guò)程。

工作背景：

風(fēng)險(xiǎn)評(píng)估不是一個(gè)新概念，金融、電子商務(wù)等許多領(lǐng)域都有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí)，就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。國(guó)內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快，具體的評(píng)估方法也在不斷改進(jìn)。風(fēng)險(xiǎn)評(píng)估也從早期簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作，逐漸過(guò)渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型?！痢痢列畔⒒ぷ鬓k公室2004年組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定，并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則，對(duì)規(guī)范我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義。目前，國(guó)信辦正組織在全國(guó)北京、上海、黑龍江、云南等省市及稅務(wù)、銀行、電力等行業(yè)領(lǐng)域作風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作，探討對(duì)上述兩個(gè)風(fēng)險(xiǎn)評(píng)估/風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)草案的理解修訂及相關(guān)管理問(wèn)題的研究，預(yù)計(jì)2005年9月份前完成試點(diǎn)工作，并在試點(diǎn)工作的基礎(chǔ)上形成有關(guān)開展信息安全風(fēng)險(xiǎn)評(píng)估工作的指導(dǎo)意見。

C、系統(tǒng)安全測(cè)評(píng)

基本概念：

由具備檢驗(yàn)技術(shù)能力和政府授權(quán)資格的權(quán)威機(jī)構(gòu)，依據(jù)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范，按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測(cè)試評(píng)估活動(dòng)，以幫助系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況、查找存在的安全問(wèn)題，并提供安全改進(jìn)建議，從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn)。

工作背景：

在我國(guó)，中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（簡(jiǎn)稱CNITSEC）是較早并較有影響的開展有關(guān)系統(tǒng)安全測(cè)評(píng)認(rèn)證的機(jī)構(gòu)。這里強(qiáng)調(diào)一下測(cè)評(píng)和認(rèn)證的區(qū)別：測(cè)評(píng)如前述定義，認(rèn)證則是對(duì)測(cè)評(píng)活動(dòng)是否符合標(biāo)準(zhǔn)化要求和質(zhì)量管理要求所作的確認(rèn)，認(rèn)證以標(biāo)準(zhǔn)和測(cè)評(píng)的結(jié)果作為依據(jù)。在美國(guó)，系統(tǒng)認(rèn)證的結(jié)果通常作為主管部門對(duì)新建系統(tǒng)投入運(yùn)行前的安全審批或已建系統(tǒng)安全動(dòng)態(tài)監(jiān)管（即系統(tǒng)認(rèn)可）的依據(jù)。根據(jù)美國(guó)FISMA6及NIST SP800-37的規(guī)定，系統(tǒng)認(rèn)證是“對(duì)信息系統(tǒng)的技術(shù)類、管理類和運(yùn)行類安全控制所進(jìn)行的綜合評(píng)估”，認(rèn)可則是“由管理層作出的決策，用來(lái)授權(quán)一個(gè)信息系統(tǒng)投入運(yùn)行”。我國(guó)的系統(tǒng)認(rèn)證雖然起步較早，但由于認(rèn)證周期、建設(shè)差異等多方面的原因，目前的系統(tǒng)認(rèn)證數(shù)量還非常少。特別是國(guó)家認(rèn)監(jiān)委成立后，強(qiáng)調(diào)了信息安全要“一個(gè)統(tǒng)一認(rèn)證出口”的要求。國(guó)家認(rèn)監(jiān)委等8部委聯(lián)合下發(fā)的《關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》4（簡(jiǎn)稱57號(hào)文）中已明確規(guī)定了對(duì)信息安全產(chǎn)品進(jìn)行“統(tǒng)一標(biāo)準(zhǔn)、技術(shù)規(guī)范與合格評(píng)定程序；統(tǒng)一認(rèn)證目錄；統(tǒng)一認(rèn)證標(biāo)志；統(tǒng)一收費(fèi)標(biāo)準(zhǔn)”的“四統(tǒng)一”的認(rèn)證要求。在國(guó)家認(rèn)監(jiān)委對(duì)信息系統(tǒng)的安全認(rèn)證相關(guān)具體意見尚未出臺(tái)前，多數(shù)情況下，系統(tǒng)安全測(cè)評(píng)的結(jié)果可直接作為主管部門對(duì)系統(tǒng)安全認(rèn)可的依據(jù)。典型例子如上海市信息安全測(cè)評(píng)認(rèn)證中心，在相關(guān)職能部門授權(quán)下，已完成了對(duì)上海市100余家重要信息系統(tǒng)、涉密信息系統(tǒng)、區(qū)縣以上綜合醫(yī)院的信息系統(tǒng)的安全測(cè)評(píng)工作，并為市信息委、市×××、市衛(wèi)生局等信息化主管部門或行業(yè)主管部門提供了重要的技術(shù)決策依據(jù)。

二、三者的相互內(nèi)在聯(lián)系和區(qū)別

A、三者關(guān)系的基本判斷

基本判斷：

等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系建設(shè)的一項(xiàng)基礎(chǔ)管理制度，風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)都是在等級(jí)保護(hù)制度下，對(duì)信息及信息系統(tǒng)安全性評(píng)價(jià)方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。

等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則，是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性管理制度，其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)則只是針對(duì)信息安全評(píng)價(jià)方面兩種有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。從這個(gè)意義上講，等級(jí)保護(hù)要高于風(fēng)險(xiǎn)評(píng)估和系統(tǒng)測(cè)評(píng)。當(dāng)系統(tǒng)定級(jí)原則確定并根據(jù)該原則將系統(tǒng)分類分級(jí)后，那風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)都可以理解為在等級(jí)保護(hù)制度下的風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)制度下的系統(tǒng)測(cè)評(píng)，操作時(shí)只需在原有風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)方法、操作程序的基礎(chǔ)上，加入特定等級(jí)的特殊要求就是了。打個(gè)比方：如果說(shuō)等級(jí)保護(hù)是指導(dǎo)信息安全建設(shè)的憲法，則風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)則是針對(duì)系統(tǒng)安全性評(píng)估或合格判定方面的專項(xiàng)法律。至于66號(hào)文中提及的等級(jí)保護(hù)制度中的其他建設(shè)內(nèi)容，如等級(jí)化安全保障體系設(shè)計(jì)、等級(jí)化安全產(chǎn)品選用、等級(jí)化安全事件處理響應(yīng)，由于和安全評(píng)估沒(méi)有特別直接的關(guān)系，本文不再展開討論。