一、什么是信息安全風(fēng)險(xiǎn)評(píng)估？

? ? 信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)管理措施的過(guò)程。

簡(jiǎn)單來(lái)說(shuō)就是在信息系統(tǒng)在接入互聯(lián)網(wǎng)之前進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，提前確定系統(tǒng)的網(wǎng)絡(luò)安全漏洞情況，是否符合系統(tǒng)入網(wǎng)安全評(píng)估的測(cè)評(píng)標(biāo)準(zhǔn)以及網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的標(biāo)準(zhǔn)。

二、根據(jù)信息安全技術(shù)評(píng)估準(zhǔn)則，即CC，信息技術(shù)安全產(chǎn)品的評(píng)估由1-7個(gè)等級(jí)來(lái)劃分：

1. EAL1：功能測(cè)試

2. EAL2：結(jié)構(gòu)測(cè)試

3. EAL3：系統(tǒng)的測(cè)試和檢測(cè)

4. EAL4：系統(tǒng)的設(shè)計(jì)、測(cè)試、復(fù)查

5. EAL5：半形式化設(shè)計(jì)和測(cè)試

6. EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試

7. EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試

分級(jí)評(píng)估是通過(guò)對(duì)信息技術(shù)產(chǎn)品的安全性進(jìn)行獨(dú)立評(píng)估后所取得的安全保證等級(jí)，表明產(chǎn)品的安全性及可信度。獲得的認(rèn)證級(jí)別越高，安全性與可信度越高，產(chǎn)品可對(duì)抗更高級(jí)別的威脅，適用于較高的風(fēng)險(xiǎn)環(huán)境。 ?

不同的應(yīng)用場(chǎng)合（或環(huán)境）對(duì)信息技術(shù)產(chǎn)品能夠提供的安全性保證程度的要求不同。產(chǎn)品認(rèn)證所需代價(jià)隨著認(rèn)證級(jí)別升高而增加。通過(guò)區(qū)分認(rèn)證級(jí)別滿足適應(yīng)不同使用環(huán)境的需要。 ?

7個(gè)級(jí)別的高低次序在確定時(shí)權(quán)衡了各個(gè)級(jí)別所獲得的保證、達(dá)到該保證度所需的測(cè)評(píng)認(rèn)證代價(jià)，以及測(cè)評(píng)認(rèn)證工作的可行性。每個(gè)高級(jí)別的認(rèn)證級(jí)別都要比所有較低級(jí)別提供更多的保證，通過(guò)在同一保證類中高級(jí)別的保證組件替換低級(jí)別的相應(yīng)組件（即增加嚴(yán)格性、范圍或深度），或增加另一個(gè)保證類中的保證組件（例如，添加新的保證要求）來(lái)實(shí)現(xiàn)。