信息系统等级保护测评实践

0引言

信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，是维护国家信息安全的根本保障。通过开展信息安全等级保护工作，可以有效地解决我国信息安全面临的主要问题，按照“明确重点、突出重点、保护重点”的原则，将有限的财力、物力、人力投入到重要信息系统的安全保护中去。通过实施信息系统安全等级保护自测评，能够准确把握信息系统安全状况，帮助信息系统运营使用单位和主管部门按照标准进行安全建设、整改和管理运行。

1信息系统自测评与差距分析是等级保护工作的重要环节

信息安全等级保护的工作流程主要有：等级保护定级与备案、系统安全建设与整改、等级测评三个阶段。随着国家信息安全等级保护工作的深入开展，重要的信息系统已经完成了定级备案工作，按照《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》明确要求，2012年底之前完成第三级(含)以上信息系统的安全建设整改工作，各单位已经着手开始制定等保整改和安全建设方案，通过建设与整改工作落实等级保护制度的各项要求。在建设和整改工作开始之前，我们不应当忽视其中一个重要的环节，那就是信息系统对照等级保护的基本要求完成定级系统的自测评与差距分析的工作，只有做好这个环节的工作，才能为我们的建设和整改工作提供充分的支持。

《信息安全等级保护管理办法》第十四条规定，信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，每年至少进行一次等级测评。由此可见测评与自查的重要性，行之有效的差距分析，是各单位制定整改方案的基础依据。

同时，我们看到信息系统等级保护工作全面推进，等级测评的需求量很大，而国家推荐符合《管理办法》规定条件的测评机构是有限的。对一个单位信息系统的安全现状的了解是一个持续与循序渐进的过程，测评机构的短周期的测评在某种程度上存在一定的局限性，而工作在运维一线的技术人员对自己信息系统的技术架构与运维管理水平有着深刻的认识，只有让他们意识到等级保护工作的重要性，熟悉与掌握自测评的基本流程与方法，才能使自查工作与等级测评工作有机结合，各单位的信息安全等级保护工作才能进入螺旋上升的良性循环。

2信息系统自测评遇到的主要问题

信息系统自测评过程中普遍遇到的问题是：重要信息系统近年来都会做过一些风险评估的工作，因此信息系统负责人往往把目光焦点—下子集中到了脆弱性分析。信息系统的责任人对等级保护的相关政策与技术标准进行了学习，也完成了信息系统自主定级的过程。但面对《信息系统安全等级保护基本要求》等技术标准，面对自己的信息系统，往往是不知从何入手。“等级保护的测评与风险评估有什么区别，做完等级保护的测评我的系统是不是就安全了”、“为什么和我做的风险评估有很大差别”。针对上述问题，我们要明确等级保护的测评是合规性检查，优秀测评工具是等级保护测评工作的助推器。

2.1等级保护的测评是合规性检测和差距分析

信息系统在系统自测评之前就已经完成了系统的定级工作，已经明确了信息系统遭到破坏造成的侵害的程度。测评工作就是对某一级别的安全基线进行合规性检查，主要回答的是某一个管理要素或技术要素有无的问题，确认你的信息系统与安全基线偏离程度。我们不应当把等级测评与风险评估孤立的对待，对等级测评的不符合项进行风险评估是必要的，不仅是脆弱性的验证，还可以帮助我们判断安全事件发生的概率、量化可能造成的损失。

2.2自动化、规范化的等级测评工具

等级测评最主要的手段是访谈，因此主观因素的干扰不可避免。自动化、规范化的等级测评工具必不可少。优秀的测评工具应能够清晰的梳理测评流程；合理分配测评项目到各个专业技术团队；通过丰富的测评知识库有效降低等级测评难度，提高等级测评效率；测评案例的模板化(如：门户网站、数据库等）；对测评结果自动进行分析，提取出不符合项，进行风险分析；安全趋势分析(对历年的自查与等级测评结果进行关联分析)。

3信息系统自测评的实践

3.1等级保护自测评主要流程：

等级保护自测评的主要流程包括四个阶段和输出成果：

项目阶段 重要工作成果
项目准备 《等级测评项目计划书》、现场调研记录表单
方案编制 《等级测评指导书》、《等级测评方案》
现场测评 现场测评记录表单
报告编写 《系统等级测评报告》

3.2测评方法的选择：

测评方法总体上说有三类：访谈、检查和测试。

访谈的目的是对信息系统整体情况进行了解，对各项规章制度颁布与落实情况的了解。如安全管理方面的基本情况就会涉及安全管理机构的设置情况、授权审批流程、整体安全策略、安全制度修订与维护、人员安全管理等内容；系统规划与建设中就会涉及信息系统安全方案总体设计、安全方案论证与评审、工程实施过程管理制度、测试与验收管理制度等内容；系统运维中会涉及事件处置与应急响应制度等内容。

检查是我们主要的测评手段，通过对测评对象进行观察、查验和分析得出符合性结论。可以进行文档检查(也就是证据类信息的检查)、实地察看(如机房选址、物理环境测评)、配置检查(主要是检查主机操作系统、应用系统、网络交换设备与网络安全设备的配置情况)。

测试主要是按照预定的方法／工具查看和分析响应的结果。是获取信息系统安全保护措施有效性的方法。如我们会使用网络扫描工具验证服务器开放的应用端口，判断边界防火墙设备防护的有效性。

3.3明确等级保护自测评主要内容

物理安全测评，机房位置是否合适，访问控制、防盗窃、防破坏、防雷、防火、防静电、温湿度、电力、电磁防护做的怎么样。网络安全测评，结构安全网络划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。主机安全测评，身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制。应用安全测评，身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制、代码安全。数据安全测评，数据完整性、数据保密性、数据备份和恢复。安全管理机构测评，岗位怎么设置的，人员配备、授权和审批、沟通和合作、审核和检查。管理制度的测评，有哪些管理制度，制定和发布的情况，发布的范围和周期，评审修订情况。人员安全管理测评，人员录用、离岗、考核制度，安全意识教育和培训，第三方人员访问管理。系统建设管理测评，包括系统建设管理、安全方案设计、产品采购、自行软件开发、外包软件开发、实施工程、测评验收、系统交付、系统备案、安全服务商选择。系