淺談二級信息系統(tǒng)等級測評的實(shí)施與體會

李正祥

深圳市公安局網(wǎng)絡(luò)警察支隊(duì) 廣東 518008

0 引言

等級測評是開展信息安全等級保護(hù)工作的關(guān)鍵環(huán)節(jié)，是保障已定級信息系統(tǒng)科學(xué)、合理開展安全整改工作的主要抓手。為深化我市等級保護(hù)工作，主動應(yīng)對互聯(lián)網(wǎng)技術(shù)與信息化應(yīng)用的快速發(fā)展，積極推進(jìn)各重點(diǎn)單位開展等級測評和安全整改工作，2011年10月，我支隊(duì)自主研發(fā)了“二級信息系統(tǒng)安全自測評平臺”，通過該平臺實(shí)現(xiàn)對全市二級信息系統(tǒng)等級保護(hù)工作的主動化、信息化、動態(tài)化管控，有效提升信息安全等級保護(hù)工作效能。2011年12月，我支隊(duì)順利完成自測平臺的上線測試試點(diǎn)工作，擬于今年全面投入使用。

近年來，按照國家信息安全等級保護(hù)工作的統(tǒng)一部署，我市三級(或)以上信息系統(tǒng)通過等級測評試點(diǎn)、安全建設(shè)與整改等工作，安全管理水平得到明顯提高。特別是在2011年大運(yùn)會期間，全市462個(gè)三級(或)以上信息系統(tǒng)未發(fā)生一起信息網(wǎng)絡(luò)安全事件，為大運(yùn)網(wǎng)絡(luò)安保工作奠定了堅(jiān)實(shí)基礎(chǔ)。為進(jìn)一步深化我市等級保護(hù)工作，以良好的信息網(wǎng)絡(luò)環(huán)境迎接黨的“十八大”順利召開，2011年10月，我支隊(duì)自主研發(fā)了“二級信息系統(tǒng)安全自測評平臺”，通過該平臺將等級測評工作全面覆蓋二級、三級(或)以上信息系統(tǒng)，牢牢把握重點(diǎn)單位信息網(wǎng)絡(luò)安全管控陣地。

1 “自測平臺”的研發(fā)背景

相對于三級(或)以上信息系統(tǒng)，我市二級信息系統(tǒng)數(shù)量更大、涉及行業(yè)更廣。目前我市已定級、備案的二級信息系統(tǒng)共有1618個(gè)，占已定級、備案信息系統(tǒng)的78%，其中近80%的二級信息系統(tǒng)集中在我市黨政機(jī)關(guān)、金融、能源、衛(wèi)生、教育等重點(diǎn)行業(yè)。從社會影響面和信息系統(tǒng)安全管控的全局來看，等級保護(hù)二級信息系統(tǒng)也是公安機(jī)關(guān)開展信息系統(tǒng)安全保護(hù)工作中不可或缺的重要組成部分。但是，根據(jù)《信息安全等級保護(hù)管理辦法》等規(guī)范性文件規(guī)定，三級(或)以上信息系統(tǒng)需開展等級測評工作，而對二級信息系統(tǒng)等級測評工作沒有提出強(qiáng)制性要求，因此，我市大部分二級信息系統(tǒng)等級保護(hù)工作進(jìn)度明顯滯后于三級(或)以上信息系統(tǒng)。

一是等級保護(hù)政策落地難。近年來，信息系統(tǒng)運(yùn)營使用單位對等級保護(hù)工作的投入主要集中在三級(或)以上信息系統(tǒng)，而二級信息系統(tǒng)由于缺乏強(qiáng)制性的等級測評要求，大部分信息系統(tǒng)運(yùn)營使用單位對二級信息系統(tǒng)的等級保護(hù)工作缺乏重視、投入甚少，以致于等級保護(hù)相關(guān)政策，安全管理與技術(shù)要求難以落地。

二是安全建設(shè)整改進(jìn)度慢。由于缺乏科學(xué)、合理的安全整改導(dǎo)向，大部分二級信息系統(tǒng)仍停留在定級、備案階段，安全整改進(jìn)度明顯滯后，普遍存在“安全狀況不明晰”、“保護(hù)措施不到位”、“安全整改不規(guī)范”等情況。據(jù)統(tǒng)計(jì)，測評試點(diǎn)工作開展以來我市僅有6%的(100余個(gè))二級信息系統(tǒng)開展了安全測評與整改工作。

三是安全案、事件比例高。2009年至2012年期間，我支隊(duì)共計(jì)接報(bào)已定級、備案信息系統(tǒng)發(fā)生的案、事件15起，其中涉及二級信息系統(tǒng)的案、事件13起。如，我市兒童醫(yī)院網(wǎng)站被攻擊、發(fā)展銀行被克隆、機(jī)場網(wǎng)站被DDoS攻擊等安全事件涉及的信息系統(tǒng)安全保護(hù)等級均為二級。

此外，相對三級(或)以上信息系統(tǒng)，我市二級信息系統(tǒng)發(fā)生變更的數(shù)量更多。由于缺乏動態(tài)化的管控機(jī)制，大部分變更信息系統(tǒng)未能按“系統(tǒng)發(fā)生變更后需測評合格后方可投入使用”的原則開展等級測評工作。據(jù)統(tǒng)計(jì)，2010年至2011年期間，我支隊(duì)共受理56個(gè)二級信息系統(tǒng)的變更材料，其中只有3個(gè)信息系統(tǒng)開展了等級測評工作。

由上可見，如何推進(jìn)二級信息系統(tǒng)的安全管控已成為我支隊(duì)開展等級保護(hù)工作的一個(gè)難題，而要解決此問題，等級測評是必要條件。為此，我支隊(duì)結(jié)合等級測評的工作流程和測評指標(biāo)，自主研發(fā)了一套適用于二級信息系統(tǒng)的安全自測評平臺(以下簡稱“自測平臺”)，全面實(shí)施二級信息系統(tǒng)等級保護(hù)安全管控。

2 “自測平臺”的功能特點(diǎn)

“自測平臺”是一個(gè)以公安網(wǎng)安部門、系統(tǒng)運(yùn)營使用單位及測評機(jī)構(gòu)的工作職能為設(shè)計(jì)基準(zhǔn)，以提供標(biāo)準(zhǔn)化、合理化和規(guī)范化整改為設(shè)計(jì)目標(biāo)的測評工具，該平臺涵蓋了“測評監(jiān)管、測評實(shí)施和測評報(bào)告生成”等三大功能模塊(如圖1)。

圖1 等級保護(hù)監(jiān)管系統(tǒng)

(1) 測評監(jiān)管功能。公安網(wǎng)安部門通過“自測平臺”可全面對二級信息系統(tǒng)的“定級備案、測評進(jìn)度與測評結(jié)論”進(jìn)行實(shí)時(shí)查詢和分析、統(tǒng)計(jì)，并可結(jié)合工作實(shí)際，通過自測平臺的通告模塊及時(shí)向信息系統(tǒng)運(yùn)營使用單位下達(dá)測評任務(wù)及相關(guān)工作要求(圖2)。

圖2 測評監(jiān)管功能

(2) 測評實(shí)施功能。自測平臺嚴(yán)格按照《信息系統(tǒng)安全等級保護(hù)測評要求》等國家標(biāo)準(zhǔn)設(shè)計(jì)了測評流程和測評項(xiàng)目，信息系統(tǒng)運(yùn)營使用單位通過自測平臺可完成問卷調(diào)查、管理與技術(shù)指標(biāo)自測評及測評結(jié)果上傳等工作。此外，用戶測評過程中自測平臺還能自動獲取信息系統(tǒng)的關(guān)鍵配置，并對信息系統(tǒng)進(jìn)行漏洞、木馬掃描等技術(shù)檢測工作，為測評報(bào)告的編寫提供可靠的技術(shù)支持(圖3)。

圖3 測評實(shí)施功能

(3) 測評報(bào)告生成功能。用戶測評完成后，測評機(jī)構(gòu)根據(jù)用戶上傳的測評結(jié)果，通過自測平臺向用戶反饋測評報(bào)告及整改意見。

2011年12 月8 日至12月31日期間，我支隊(duì)組織10余家重點(diǎn)單位對自測平臺的功能模塊、操作流程及平臺的穩(wěn)定性進(jìn)行了測試使用。通過測試，自測平臺成功發(fā)現(xiàn)9家單位的25個(gè)二級信息系統(tǒng)存在管理漏洞32處，技術(shù)漏洞58處，發(fā)出整改意見25份。

3 “自測平臺”的應(yīng)用體會

自測平臺作為等級測評的輔助工具，扭轉(zhuǎn)了我支隊(duì)以往對二級信息系統(tǒng)等級保護(hù)工作“監(jiān)管難、推進(jìn)難”的尷尬局面，為將等級測評工作全面覆蓋我市重點(diǎn)單位信息系統(tǒng)，推進(jìn)二級信息系統(tǒng)的安全建設(shè)和整改工作提供了重要技術(shù)支撐，實(shí)現(xiàn)了等級保護(hù)安全管控的“四大轉(zhuǎn)變”：

(1) 創(chuàng)新管控方式，變“被動管控”為“主動管控”，彌補(bǔ)了二級信息系統(tǒng)的安全管控空缺。二級信息系統(tǒng)由于沒有強(qiáng)制要求開展等級測評工作，使得公安網(wǎng)安部門對二級信息系統(tǒng)的監(jiān)管工作往往只停留于定級、備案階段，而對后期的測評與整改工作缺乏一套行之有效的監(jiān)管方法。通過自測平臺的監(jiān)管模塊，網(wǎng)安部門能從系統(tǒng)定級備案、等級測評、整改方案制定等環(huán)節(jié)對二級信息系統(tǒng)等級保護(hù)工作進(jìn)行指導(dǎo)和督促，全流程、全方位地掌握二級信息系統(tǒng)等級保護(hù)工作動態(tài)，實(shí)現(xiàn)對二級信息系統(tǒng)等級保護(hù)工作的主動化管控。

(2) 創(chuàng)新測評理念，變“消極測評”為“主動測評”，消除了運(yùn)營使用單位對等級測評工作的抵觸心理。部分單位對二級信息系統(tǒng)的等級測評工作仍然存在認(rèn)知誤區(qū)和知識盲點(diǎn)，以致于二級信息系統(tǒng)的安全整改工作遲遲不能開展，嚴(yán)重拖緩了等級保護(hù)工作進(jìn)度。自測平臺的設(shè)計(jì)理念是“內(nèi)容全、耗時(shí)短、操作易、投入少”，通過自測平臺，自測單位可彈性地安排測評時(shí)間，并在最短時(shí)間內(nèi)全面掌握系統(tǒng)相應(yīng)安全等級的建設(shè)標(biāo)準(zhǔn)，查找安全建設(shè)差距，而無需投入大量的人員和經(jīng)費(fèi)，大大消除了用戶對等級測評工作的抵觸心理。

(3) 創(chuàng)新測評技術(shù)，變“人工實(shí)施”為“自動作業(yè)”，解決了測評機(jī)構(gòu)以寡“測”眾的難題。以我市數(shù)據(jù)為例，等級測評機(jī)構(gòu)兩家，而已定級、備案的二級信息系統(tǒng)共計(jì)1618個(gè)，僅僅依靠等級測評機(jī)構(gòu)難以應(yīng)付如此大量的二級系統(tǒng)等級測評工作。通過自測平臺的智能化點(diǎn)擊操作和人性化功能設(shè)計(jì)，全市562家二級信息系統(tǒng)運(yùn)營使用單位可同時(shí)開展自測工作，且只需3天時(shí)間便能完成問卷調(diào)查、管理與技術(shù)指標(biāo)自測評及測評結(jié)果上傳等系列工作，全面實(shí)現(xiàn)了等級測評工作的信息化、自動化和無紙化。此外，為確保自測平臺的數(shù)據(jù)安全，平臺采用自定義的加密算法和SSL協(xié)議來增強(qiáng)數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾?，并采用雙因子認(rèn)證技術(shù)(UKEY+賬號、密碼)來增強(qiáng)用戶端的安全性。

(4) 創(chuàng)新測評管理，變“結(jié)果管理”為“動態(tài)管理”，扭轉(zhuǎn)了傳統(tǒng)測評工作管理滯后的局面。傳統(tǒng)的測評管理工作中，網(wǎng)安部門往往局限在對測評報(bào)告的結(jié)果管理。通過自測平臺，網(wǎng)安部門可通過任務(wù)下發(fā)、過程督導(dǎo)、結(jié)果審核等實(shí)現(xiàn)對二級信息系統(tǒng)自測評工作的動態(tài)化管理。此外，為了順應(yīng)測評技術(shù)更新和信息系統(tǒng)變更的發(fā)展需求，自測平臺采用插件化的軟件架構(gòu)，可以通過插件的調(diào)整及時(shí)更新和補(bǔ)充測評項(xiàng)目和測評方法。