等級(jí)測(cè)評(píng)中的問(wèn)題與建議

2017年6月1日，網(wǎng)絡(luò)安全法正式施行,其中明確規(guī)定了國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，并明確了網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行一系列安全保護(hù)義務(wù)。

自網(wǎng)絡(luò)安全法施行以來(lái)，已經(jīng)有多起因不進(jìn)行等級(jí)保護(hù)或者而導(dǎo)致黑客入侵及數(shù)據(jù)泄露的案件發(fā)生。其中教育行業(yè)與服務(wù)平臺(tái)已經(jīng)成為黑客攻擊的目標(biāo)之一。在2017年中就發(fā)生了多起學(xué)校網(wǎng)站被攻擊的事件，這些事件不僅在社會(huì)上造成惡劣影響，而且由于數(shù)據(jù)的泄露，后續(xù)很可能發(fā)生無(wú)法預(yù)測(cè)的惡性事件。經(jīng)各地方網(wǎng)安部門調(diào)查，這些網(wǎng)站與系統(tǒng)均未進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)測(cè)評(píng)等工作。

定級(jí)備案只是最基礎(chǔ)的一步，之后還需要根據(jù)安全等級(jí)不同按規(guī)定時(shí)間限制開展定期等級(jí)測(cè)評(píng)。這步雖然重要，卻常常被忽視。2017年7月20日，汕頭網(wǎng)警支隊(duì)發(fā)現(xiàn)汕頭市某信息科技有限公司于2015年11月向公安機(jī)關(guān)報(bào)備的信息系統(tǒng)安全等級(jí)為第三級(jí),經(jīng)測(cè)評(píng)合格后投入使用，但2016年至今未按規(guī)定定期開展等級(jí)測(cè)評(píng)。

即使按時(shí)開展定期等級(jí)測(cè)評(píng)，也并不能保證這些系統(tǒng)不被黑客攻擊或者消除數(shù)據(jù)泄露的風(fēng)險(xiǎn)。如果跟蹤等級(jí)保護(hù)的實(shí)施過(guò)程，就會(huì)發(fā)現(xiàn)，如果嚴(yán)格按照公安及教育部的文件精神執(zhí)行，嚴(yán)格按等級(jí)保護(hù)的步驟進(jìn)行，則發(fā)生數(shù)據(jù)泄露或被竊取信息的幾率將大大降低。

新的等保標(biāo)準(zhǔn)在老的等保標(biāo)準(zhǔn)上有了一些重要的變更，包括對(duì)邊界防護(hù)、訪問(wèn)控制、通信傳輸、入侵防范、惡意代碼防范、集中管控方面都有更新。并將老的等保標(biāo)準(zhǔn)中的一項(xiàng)安全通用要求擴(kuò)展到六方面，增加了對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)安全等與時(shí)俱進(jìn)的技術(shù)方面的安全要求。此外對(duì)技術(shù)要求與管理要求更細(xì)致，如對(duì)技術(shù)要求不僅僅有物理與環(huán)境安全，還對(duì)網(wǎng)絡(luò)與通信安全、計(jì)算和設(shè)備安全、應(yīng)用和數(shù)據(jù)安全等提出了要求，在管理要求上提出安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理以及安全運(yùn)維管理等。

如果各單位嚴(yán)格按照等級(jí)保護(hù)的步驟去改進(jìn)、評(píng)估機(jī)構(gòu)嚴(yán)格按照等級(jí)保護(hù)的標(biāo)準(zhǔn)去執(zhí)行，則毫無(wú)疑問(wèn)信息安全保障工作的整體水平會(huì)有明顯提高，而目前信息系統(tǒng)面臨的威脅也會(huì)得到有效解決。

但是基于各單位的信息安全管理現(xiàn)狀，等級(jí)保護(hù)并未充分發(fā)揮其作用。

等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管

目前大多數(shù)單位根據(jù)網(wǎng)絡(luò)安全法與公安部門要求，已經(jīng)完成備案。按要求，等級(jí)保護(hù)工作應(yīng)該按照五步走：定級(jí)、初步備案、測(cè)評(píng)、整改、復(fù)評(píng)。接下來(lái)進(jìn)入長(zhǎng)期監(jiān)督階段。當(dāng)然，也可以按三步走：完成定級(jí)報(bào)告、編寫差距測(cè)評(píng)報(bào)告，最后進(jìn)行完全整改建設(shè)與驗(yàn)收。不管怎樣分步，實(shí)際過(guò)程中最重要的工作有兩個(gè)：測(cè)評(píng)、整改。而這兩個(gè)工作涉及到的主體分別是測(cè)評(píng)機(jī)構(gòu)、申請(qǐng)測(cè)評(píng)的單位（以下簡(jiǎn)稱單位），監(jiān)督主體是公安部門。

其中，第三方等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)對(duì)單位的信息系統(tǒng)安全防護(hù)情況的測(cè)評(píng)是銜接的關(guān)鍵一環(huán)，公安部門對(duì)單位的備案評(píng)估完全依賴于由此產(chǎn)生的評(píng)估報(bào)告。

這本來(lái)是一個(gè)比較可靠的環(huán)節(jié)，因?yàn)槿姜?dú)立，都是第三方。但是在實(shí)際操作過(guò)程中，單位與測(cè)評(píng)機(jī)構(gòu)有一層關(guān)系是購(gòu)買服務(wù)與服務(wù)方，因此在測(cè)評(píng)過(guò)程中測(cè)評(píng)機(jī)構(gòu)一般會(huì)偏向給出“友好”的測(cè)評(píng)報(bào)告供單位去公安部門備案。而因?yàn)橐呀?jīng)通過(guò)備案，接下來(lái)的整改工作依然依托于單位的管理現(xiàn)狀，所以整改效果非常有限。

針對(duì)等級(jí)保護(hù)測(cè)評(píng)過(guò)程中的這種可操作性，已經(jīng)有專家學(xué)者在思考如何完善對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的監(jiān)督，探討對(duì)測(cè)評(píng)機(jī)構(gòu)進(jìn)行有效監(jiān)管的方法，但從法律法規(guī)的角度的規(guī)范角度，對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管依然處于非常寬松的狀態(tài)，而且未與單位的風(fēng)險(xiǎn)掛鉤。

基于此，作者認(rèn)為，為充分發(fā)揮等級(jí)保護(hù)的作用，保證等級(jí)保護(hù)測(cè)評(píng)的公正性，促進(jìn)單位的信息系統(tǒng)安全管理的整改與完善，真正達(dá)到公安及教育部對(duì)等級(jí)保護(hù)所起的作用的預(yù)期，應(yīng)該從兩方面進(jìn)行改進(jìn)：

1.參考法官在七種情形下致錯(cuò)要終身追究的意見規(guī)定，在單位未進(jìn)行新的測(cè)評(píng)之前，即在等級(jí)保護(hù)管理辦法要求的無(wú)需進(jìn)行再次測(cè)評(píng)的規(guī)定時(shí)間內(nèi)，測(cè)評(píng)機(jī)構(gòu)需要對(duì)單位在此期間發(fā)生的安全事件負(fù)一定的責(zé)任。該責(zé)任直接影響政府對(duì)該測(cè)評(píng)機(jī)構(gòu)的業(yè)務(wù)市場(chǎng)與范圍的約定。

2.若公安部門在對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)重點(diǎn)單位進(jìn)行執(zhí)法檢查時(shí)發(fā)現(xiàn)有與測(cè)評(píng)報(bào)告不符的情況，要通報(bào)測(cè)評(píng)機(jī)構(gòu)并予以警告。若公安部門或?qū)?yīng)信息安全監(jiān)測(cè)中心檢測(cè)到單位系統(tǒng)存在安全威脅事件時(shí)，不僅要通報(bào)給單位知曉并及時(shí)處理，還要同步通報(bào)給對(duì)應(yīng)測(cè)評(píng)機(jī)構(gòu)知曉。

如果將測(cè)評(píng)機(jī)構(gòu)的報(bào)告的客觀性與單位的安全事件關(guān)聯(lián)起來(lái)，評(píng)估報(bào)告一定會(huì)更客觀、更公正。至少，不會(huì)出現(xiàn)“先寫完善，以后再改”的情況。而是會(huì)盡量將漏洞寫清楚，以免被追責(zé)。雖然測(cè)評(píng)機(jī)構(gòu)可能會(huì)用“網(wǎng)絡(luò)是不斷變化的，網(wǎng)絡(luò)的安全性只是暫時(shí)的”等借口來(lái)推脫責(zé)任，但只要將安全事件責(zé)任與測(cè)評(píng)機(jī)構(gòu)掛鉤，報(bào)告一定會(huì)比現(xiàn)在要詳細(xì)客觀的多。

公安部門與信息安全監(jiān)測(cè)部門的責(zé)任

公安機(jī)關(guān)的日常任務(wù)已經(jīng)是眾所周知的繁重，但網(wǎng)絡(luò)安全無(wú)小事。等級(jí)保護(hù)測(cè)試評(píng)估的客觀性直接影響單位的信息安全程度，來(lái)不得半點(diǎn)馬虎。正因?yàn)榇耍麄€(gè)測(cè)評(píng)過(guò)程離不開公安機(jī)關(guān)的監(jiān)管，只有在監(jiān)管下運(yùn)行與實(shí)施，才能保證測(cè)評(píng)與備案的有效性。

跟蹤整個(gè)測(cè)評(píng)過(guò)程發(fā)現(xiàn)，測(cè)評(píng)涉及到單位網(wǎng)絡(luò)安全相關(guān)的方方面面的細(xì)節(jié)：物理服務(wù)器、虛擬服務(wù)器的系統(tǒng)狀態(tài)、病毒防治；通信鏈路中關(guān)鍵設(shè)備如核心交換機(jī)、匯聚交換機(jī)等密碼設(shè)定要求、配置保存要求；各服務(wù)器系統(tǒng)的登錄方式、遠(yuǎn)程訪問(wèn)方式、空閑退出時(shí)間限制；入網(wǎng)人員身份鑒別、入網(wǎng)電腦限制；出口邊界控制；管理規(guī)章制度的制定與分布等。

從這些細(xì)節(jié)不難看出，等級(jí)保護(hù)測(cè)試評(píng)估的全過(guò)程涉及單位的系統(tǒng)安全的各個(gè)角落，但反過(guò)來(lái)講，若這個(gè)過(guò)程無(wú)任何監(jiān)管，各種漏洞被測(cè)評(píng)機(jī)構(gòu)“篩”過(guò)依然牢固留存，后果不堪設(shè)想。在整個(gè)測(cè)評(píng)過(guò)程中，經(jīng)?？梢月牭竭@樣的聲音：先寫通過(guò)，回頭再改；先寫有這一項(xiàng)，回頭再補(bǔ)上等。

要避免出現(xiàn)這種“走形式”的測(cè)評(píng)，必須在等保的全程增加監(jiān)管。即使由于人手不足，無(wú)法對(duì)全程監(jiān)管，在準(zhǔn)許備案之前也要去單位進(jìn)行細(xì)節(jié)抽查，只要發(fā)現(xiàn)有任何抽查細(xì)節(jié)不滿足要求，應(yīng)要求重新進(jìn)行測(cè)評(píng)。

而在備案之后的整改過(guò)程中，也要求給出整改計(jì)劃，并按時(shí)抽查整改情況。只有這樣，才能提高單位的信息安全管理意識(shí)與重視程度，并逐步提高單位的整體管理水平。

單位自身的完善

在公安監(jiān)管下的登記測(cè)評(píng)報(bào)告是公正的，整改過(guò)程也會(huì)有序進(jìn)行。但即使這樣，依然有一些非人為因素普遍存在亟待解決：

1.改變部門性質(zhì)

很多單位的網(wǎng)絡(luò)管理部門都是服務(wù)部門或者輔助部門，沒(méi)有管理權(quán)，更遑論規(guī)章制度制定權(quán)。人員更是屬于急缺資源，僅有寥寥幾人用于維護(hù)設(shè)備、服務(wù)單位的其他部門與人員。

在公安監(jiān)管下建立從上到下的實(shí)際管理而非糊弄公安機(jī)關(guān)而建的信息安全機(jī)構(gòu)是非常有必要的，只有這樣，才能真正切實(shí)改變崗位人員只是掛名、工作范圍混亂無(wú)序、管理制度僅為應(yīng)付檢查所設(shè)立的局面，才能使網(wǎng)絡(luò)技術(shù)人員職責(zé)分明，制度才會(huì)真正完善與實(shí)施，信息才能真正安全，等保測(cè)評(píng)才能起到真正的測(cè)評(píng)的作用，備案也才有意義。

2.集中技術(shù)培訓(xùn)

同時(shí)，技術(shù)人員的專業(yè)水平不高也是另一個(gè)嚴(yán)重的問(wèn)題。在1994年CCIC分批投入運(yùn)行時(shí)，國(guó)家同時(shí)培養(yǎng)了一大批公安信息化專業(yè)人才，并形成了一支計(jì)算機(jī)應(yīng)用和網(wǎng)絡(luò)管理的專業(yè)隊(duì)伍，為公安信息系統(tǒng)的建設(shè)打下了初步基礎(chǔ)。

在我國(guó)大力推行網(wǎng)絡(luò)安全與等級(jí)保護(hù)測(cè)評(píng)制度的今天，單位網(wǎng)絡(luò)管理部門的技術(shù)人員專業(yè)水平不達(dá)標(biāo)，單位安全意識(shí)跟不上，沒(méi)有有效的、接地氣的培訓(xùn)途徑等一系列問(wèn)題都在制約著等級(jí)測(cè)評(píng)的整改與備案的實(shí)際效果。

一方面，各種信息安全公司與產(chǎn)品如雨后春筍般更新，各種安全設(shè)備性能推廣令技術(shù)人員眼花繚亂；而另一方面，機(jī)房中的安全設(shè)備購(gòu)買后被束之高閣，配置自最初的廠商配置后再無(wú)更改，對(duì)單位信息保護(hù)所起作用可見一斑。針對(duì)此，一些單位購(gòu)買了專門的安全服務(wù)，將自家單位的信息安全配置與管理全權(quán)交給外面的公司，這在一定程度上似乎減少了自己?jiǎn)挝坏墓ぷ髁颗c技術(shù)水平要求。但隨著廠商業(yè)務(wù)的拓展、售后服務(wù)人員的更迭、產(chǎn)品質(zhì)保期的結(jié)束，帶來(lái)了更多不可控因素，使單位受制于人。

因此，針對(duì)需要進(jìn)行等級(jí)保護(hù)測(cè)評(píng)的單位的技術(shù)人員的“等級(jí)保護(hù)測(cè)評(píng)知識(shí)”的培訓(xùn)勢(shì)在必行。

3.可操作的整改計(jì)劃

就目前而言，多數(shù)單位在公安機(jī)關(guān)備案后沒(méi)有進(jìn)行任何整改，一是測(cè)評(píng)公司的“大方”所致，二是技術(shù)水平受限，三是公安機(jī)關(guān)沒(méi)有配備的后續(xù)檢查。但整改計(jì)劃的必要性與重要性已經(jīng)深入人心，制作一份操作性強(qiáng)的整改計(jì)劃、專人負(fù)責(zé)、專人整改，明確開始時(shí)間、結(jié)束時(shí)間，撰寫整改細(xì)節(jié)文檔，將等保測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題一一整改到位，這才是網(wǎng)絡(luò)安全法要求進(jìn)行等級(jí)保護(hù)測(cè)評(píng)制度的真正目的。

結(jié)語(yǔ)

等級(jí)保護(hù)制度作為保護(hù)信息安全最有效的手段，不應(yīng)該因?yàn)槿魏我环降摹暗翩溩印被蛘摺白哌^(guò)場(chǎng)”導(dǎo)致它失去應(yīng)有的效力與作用。作為等級(jí)測(cè)評(píng)實(shí)施過(guò)程中的三個(gè)參與者，測(cè)評(píng)公司、公安部門與信息安全監(jiān)測(cè)部門以及單位自身都要完善自身并監(jiān)督彼此。

本文正是從三個(gè)參與者的角度出發(fā)，在跟蹤發(fā)現(xiàn)目前測(cè)評(píng)實(shí)施過(guò)程存在的漏洞與問(wèn)題的基礎(chǔ)上，分別提出意見與建議，供三種角色進(jìn)行借鑒，進(jìn)而完善整個(gè)等級(jí)測(cè)評(píng)過(guò)程，達(dá)到網(wǎng)絡(luò)安全法提出實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的初衷。