风险评估、等保、测评三者之间的区别与联系

刚接触安全测试这项工作的时候，对等级保护、风险评估和安全测评三者之间的联系很不清楚，常常会弄混淆。幸得有这样一篇文章，详细介绍了三者的概念区别以及联系，澄清了他们之间的关系。好文章不敢独享，特在此和大家一起分享。

　一、三者的基本概念和工作背景

　　A、等级保护

基本概念：信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

　B、风险评估

基本概念：信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

　C、系统安全测评

基本概念：由具备检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动，以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题，并提供安全改进建议，从而最大程度地降低系统的安全风险。

二、三者的相互内在联系和区别

　　A、三者关系的基本判断

基本判断：等级保护是指导我国信息安全保障体系建设的一项基础管理制度，风险评估、系统测评都是在等级保护制度下，对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的的不同研究、分析方法。

等级保护是指导我国信息安全保障体系总体建设的基础管理原则，是围绕信息安全保障全过程的一项基础性管理制度，其核心内容是对信息安全分等级、按标准进行建设、管理和监督。风险评估、系统测评则只是针对信息安全评价方面两种有所区分但又有所联系的的不同研究、分析方法。从这个意义上讲，等级保护要高于风险评估和系统测评。当系统定级原则确定并根据该原则将系统分类分级后，那风险评估、系统测评都可以理解为在等级保护制度下的风险评估和等级保护制度下的系统测评，操作时只需在原有风险评估、系统测评方法、操作程序的基础上，加入特定等级的特殊要求就是了。打个比方：如果说等级保护是指导信息安全建设的宪法，则风险评估、安全测评则是针对系统安全性评估或合格判定方面的专项法律。至于66号文中提及的等级保护制度中的其他建设内容，如等级化安全保障体系设计、等级化安全产品选用、等级化安全事件处理响应，由于和安全评估没有特别直接的关系，本文不再展开讨论。

　B、等级保护与风险评估的关系

基本判断：风险评估是等级保护（不同等级不同安全需求）的出发点。风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低，但风险评估中的风险等级加入了对现有安全控制措施的确认因素，也就是说，等级保护中高级别的信息系统不一定就有高级别的安全风险。

风险评估是安全建设的出发点，它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，以成本－效益平衡的原则，通过对用户关心的重要资产（如信息、硬件、软件、文档、代码、服务、设备、企业形象等）的分级、安全威胁（如人为威胁、自然威胁等）发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性（或称薄弱环节）分析，并通过对已有安全控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处理计划，确定下一步的安全需求方向。

等级保护的前提是对系统定级，根据FIPS199，系统定级根据系统信息的机密性、完整性、可用性（简称CIA特性）等三性损失的最大值来确定，即“明确各种信息类型—-确定每种信息类型的安全类别—-确定系统的安全类别”三个步骤进行系统最终的定级。将信息系统安全类别（简称SC）表示为一个与CIA特性的潜在影响相关的三重函数，一般模式是：SC= ｛（保密性，影响），（完整性，影响），（可用性，影响）｝。

等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致，不同的是：等级保护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果，也就是说，在风险评估中，CIA价值高的信息资产不一定风险等级就高。在确定系统安全等级级别后，风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。

　C、等级保护与系统测评的关系

基本判断：系统安全测评及行政认可是安全等级保护的落脚点。

根据NIST SP800-37，认证过程偏重于对系统安全性的评估，认可过程则属于管理机关的行为，是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。根据前述，在我国，目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断，如果残余风险可以接受，则允许系统投入运行或继续运行，否则信息系统便没有达到特定安全等级的安全要求。没有最终的主管认可过程，等级保护无法落到实处。从这个意义上讲，进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。

　D、风险评估与系统测评的关系

基本判断：风险评估与系统测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统，风险评估是安全建设的起点，系统测评是安全建设的终点。或者可以理解为，系统安全测评是实施风险管理措施后的风险再评估。

二者均是对信息及信息系统系统安全性的一种评价判断方法，因此，二者并没有本质的区别，或者说，二者的安全工作目标基本一致，二者的工作核心都是对信息及系统安全风险的评价，因此，二者在实施内容上有许多共同之处。具体讲二者在操作方面的差异性，则风险评估是系统明确安全需求，确定成本－效益适合的安全控制措施的出发点，风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别；系统安全测评则是对已采取的安全控制措施（如管理措施、运行措施、技术措施等）有效性的验证，安全测评更关注于对系统现有安全控制措施的技术验证，从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上，判断系统安全风险是否可接受或已得到了有效的管理，从而给出是否批准系统投入运行或继续运行的最终结论。

　　三、对三者在SDLC过程中的实施建议

通常情况下，我们将信息系统建设生命周期（SDLC）划分为五个阶段：规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说，系统是不断变化的，安全建设也应随之发生变化。因此，从理论上分析，无论是等级保护、风险评估或是系统测评，均适用于SDLC的各个阶段。为避免三者之间相近的工作内容在SDLC的同一个阶段重复进行，按照“谁主管，谁负责；谁运行，谁负责”的原则，从系统建设单位（多数情况下建设单位即运行单位）、行业主管部门或信息化主管部门（简称主管部门）等两类不同发起主体或组织主体的角度考虑，建议按下述内容实施：

　1、规划需求阶段

建设单位自觉按照国家有关安全等级划分及系统定级的原则进行定级，并报主管部门备案。

建设单位按照既定等级的风险评估管理要求和国家有关风险评估的技术标准自觉进行风险评估，明确系统在机密性、完整性、可用性等方面的安全需求目标。

　2、设计开发阶段及实施阶段

建设单位（或委托承建单位）根据既定的安全需求目标，按照国家有关等级保护的管理规范和技术标准，进行系统安全体系结构及详细实施方案的设计，采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施。

主管部门委托或指定第三方机构对建设单位的系统安全设计方案进行评审，并将第三方机构出具的安全方案评审报告作为是否允许安全实施的依据。

注：建设单位在进行风险评估时，应根据自身的客观条件选择自评估方式或委托第三方机构评估的方式进行；主管部门发起的安全测评一般应委托具有授权资质和技术能力的第三方机构进行。客观上讲，任何一个第三方机构的评估接入都有可能对系统本身带来新的安全威胁和风险，为此，加强对第三方评估机构的管理至关重要，特别是对参与基础信息网络或三级以上重要信息系统安全评估的机构可实行强制许可制度，具体的许可制度和许可要求可以由相关信息安全主管部门或信息系统行业主管部门制定。此外，还应加强对第三方评估机构的安全保密教育，要求所有第三方评估机构应自觉遵守国家有关保密法规和其他相关规定，对评估工作中涉及的保密事项，应签定保密协议，承担保密责任并采取相应保密措施。

　　3、运行维护阶段

主管部门在系统安全建设基本完成后，委托或指定第三方机构对基本建成的系统进行安全测评，以评价系统当前运行环境下的安全控制措施是否和既定等级的安全需求一致、关键资产的安全风险是否控制在可接受范围之内，并将第三方机构的安全测评报告作为是否批准系统投入运行（即系统认可）的依据。此外，考虑到信息技术、安全技术、安全攻防技术及相关标准、理论、方法的不断发展，即使系统在认可有效期内没有任何关于技术、业务及管理内容的变更，主管部门也应该发起周期性的安全测评和安全认可，以保持系统的安全状态维持在标准许可及公众接受的范围之内。

　　4、废弃阶段

建设单位重点对废弃处理不当对资产（如硬件、软件、设备、文档等）的影响、对信息/硬件/软件的废弃处置方面威胁、对访问控制方面的弱点进行综合风险评估，以确保硬件和软件等资产及残留信息得到了适当的废弃处置，并且要确保系统的更新换代能以一个安全和系统化的方式完成。

需要说明的是：上述实施建议主要针对同一个完整的SDLC，但事实上，在SDLC的某一个具体阶段，也有可能由于业务类型变化（并可能导致安全等级变化）、新的安全威胁的出现或安全形势的突变，要立即进行安全需求及安全设计、安全实施方案的调整。这时，应参照上述SDLC过程中的“安全定级－风险评估－确定安全需求－安全体系设计及方案－方案评审－等级保护实施－安全测评－主管认可”的步骤进行。当然，这个过程中涉及的风险评估、方案评审、安全测评等活动要充分考虑利用已有的评估/测评成果，减少再评估/再测评造成的重复投入。

　四、结束语

目前国家关于等级保护、风险评估、系统测评等方面的具体工作要求、技术标准、管理办法等尚未最终完全形成。本文基于作者对国家有关等级保护、风险评估、系统安全测评等要求及内容的粗浅理解，结合作者的一些工作实践，形成了对三者相互之间关系的一些基本判断，并从实施行为发起者的角度，提出了三者在系统建设生命周期SDLC中的操作建议。其实，不管何种安全保护方法或安全评估方法，只要实施有序、监管有力，都能大大改善、促进信息系统的安全建设、安全运行和安全管理，从而推动整个国家信息安全保障体系的发展，并为全面推进我国的国民经济和社会信息化进程提供重要保障。