淺談二級信息系統(tǒng)等級測評的實施與體會

李正祥

深圳市公安局網(wǎng)絡警察支隊 廣東 518008

0 引言

等級測評是開展信息安全等級保護工作的關鍵環(huán)節(jié)，是保障已定級信息系統(tǒng)科學、合理開展安全整改工作的主要抓手。為深化我市等級保護工作，主動應對互聯(lián)網(wǎng)技術與信息化應用的快速發(fā)展，積極推進各重點單位開展等級測評和安全整改工作，2011年10月，我支隊自主研發(fā)了“二級信息系統(tǒng)安全自測評平臺”，通過該平臺實現(xiàn)對全市二級信息系統(tǒng)等級保護工作的主動化、信息化、動態(tài)化管控，有效提升信息安全等級保護工作效能。2011年12月，我支隊順利完成自測平臺的上線測試試點工作，擬于今年全面投入使用。

近年來，按照國家信息安全等級保護工作的統(tǒng)一部署，我市三級(或)以上信息系統(tǒng)通過等級測評試點、安全建設與整改等工作，安全管理水平得到明顯提高。特別是在2011年大運會期間，全市462個三級(或)以上信息系統(tǒng)未發(fā)生一起信息網(wǎng)絡安全事件，為大運網(wǎng)絡安保工作奠定了堅實基礎。為進一步深化我市等級保護工作，以良好的信息網(wǎng)絡環(huán)境迎接黨的“十八大”順利召開，2011年10月，我支隊自主研發(fā)了“二級信息系統(tǒng)安全自測評平臺”，通過該平臺將等級測評工作全面覆蓋二級、三級(或)以上信息系統(tǒng)，牢牢把握重點單位信息網(wǎng)絡安全管控陣地。

1 “自測平臺”的研發(fā)背景

相對于三級(或)以上信息系統(tǒng)，我市二級信息系統(tǒng)數(shù)量更大、涉及行業(yè)更廣。目前我市已定級、備案的二級信息系統(tǒng)共有1618個，占已定級、備案信息系統(tǒng)的78%，其中近80%的二級信息系統(tǒng)集中在我市黨政機關、金融、能源、衛(wèi)生、教育等重點行業(yè)。從社會影響面和信息系統(tǒng)安全管控的全局來看，等級保護二級信息系統(tǒng)也是公安機關開展信息系統(tǒng)安全保護工作中不可或缺的重要組成部分。但是，根據(jù)《信息安全等級保護管理辦法》等規(guī)范性文件規(guī)定，三級(或)以上信息系統(tǒng)需開展等級測評工作，而對二級信息系統(tǒng)等級測評工作沒有提出強制性要求，因此，我市大部分二級信息系統(tǒng)等級保護工作進度明顯滯后于三級(或)以上信息系統(tǒng)。

一是等級保護政策落地難。近年來，信息系統(tǒng)運營使用單位對等級保護工作的投入主要集中在三級(或)以上信息系統(tǒng)，而二級信息系統(tǒng)由于缺乏強制性的等級測評要求，大部分信息系統(tǒng)運營使用單位對二級信息系統(tǒng)的等級保護工作缺乏重視、投入甚少，以致于等級保護相關政策，安全管理與技術要求難以落地。

二是安全建設整改進度慢。由于缺乏科學、合理的安全整改導向，大部分二級信息系統(tǒng)仍停留在定級、備案階段，安全整改進度明顯滯后，普遍存在“安全狀況不明晰”、“保護措施不到位”、“安全整改不規(guī)范”等情況。據(jù)統(tǒng)計，測評試點工作開展以來我市僅有6%的(100余個)二級信息系統(tǒng)開展了安全測評與整改工作。

三是安全案、事件比例高。2009年至2012年期間，我支隊共計接報已定級、備案信息系統(tǒng)發(fā)生的案、事件15起，其中涉及二級信息系統(tǒng)的案、事件13起。如，我市兒童醫(yī)院網(wǎng)站被攻擊、發(fā)展銀行被克隆、機場網(wǎng)站被DDoS攻擊等安全事件涉及的信息系統(tǒng)安全保護等級均為二級。

此外，相對三級(或)以上信息系統(tǒng)，我市二級信息系統(tǒng)發(fā)生變更的數(shù)量更多。由于缺乏動態(tài)化的管控機制，大部分變更信息系統(tǒng)未能按“系統(tǒng)發(fā)生變更后需測評合格后方可投入使用”的原則開展等級測評工作。據(jù)統(tǒng)計，2010年至2011年期間，我支隊共受理56個二級信息系統(tǒng)的變更材料，其中只有3個信息系統(tǒng)開展了等級測評工作。

由上可見，如何推進二級信息系統(tǒng)的安全管控已成為我支隊開展等級保護工作的一個難題，而要解決此問題，等級測評是必要條件。為此，我支隊結(jié)合等級測評的工作流程和測評指標，自主研發(fā)了一套適用于二級信息系統(tǒng)的安全自測評平臺(以下簡稱“自測平臺”)，全面實施二級信息系統(tǒng)等級保護安全管控。

2 “自測平臺”的功能特點

“自測平臺”是一個以公安網(wǎng)安部門、系統(tǒng)運營使用單位及測評機構(gòu)的工作職能為設計基準，以提供標準化、合理化和規(guī)范化整改為設計目標的測評工具，該平臺涵蓋了“測評監(jiān)管、測評實施和測評報告生成”等三大功能模塊(如圖1)。

圖1 等級保護監(jiān)管系統(tǒng)

(1) 測評監(jiān)管功能。公安網(wǎng)安部門通過“自測平臺”可全面對二級信息系統(tǒng)的“定級備案、測評進度與測評結(jié)論”進行實時查詢和分析、統(tǒng)計，并可結(jié)合工作實際，通過自測平臺的通告模塊及時向信息系統(tǒng)運營使用單位下達測評任務及相關工作要求(圖2)。

圖2 測評監(jiān)管功能

(2) 測評實施功能。自測平臺嚴格按照《信息系統(tǒng)安全等級保護測評要求》等國家標準設計了測評流程和測評項目，信息系統(tǒng)運營使用單位通過自測平臺可完成問卷調(diào)查、管理與技術指標自測評及測評結(jié)果上傳等工作。此外，用戶測評過程中自測平臺還能自動獲取信息系統(tǒng)的關鍵配置，并對信息系統(tǒng)進行漏洞、木馬掃描等技術檢測工作，為測評報告的編寫提供可靠的技術支持(圖3)。

圖3 測評實施功能

(3) 測評報告生成功能。用戶測評完成后，測評機構(gòu)根據(jù)用戶上傳的測評結(jié)果，通過自測平臺向用戶反饋測評報告及整改意見。

2011年12 月8 日至12月31日期間，我支隊組織10余家重點單位對自測平臺的功能模塊、操作流程及平臺的穩(wěn)定性進行了測試使用。通過測試，自測平臺成功發(fā)現(xiàn)9家單位的25個二級信息系統(tǒng)存在管理漏洞32處，技術漏洞58處，發(fā)出整改意見25份。

3 “自測平臺”的應用體會

自測平臺作為等級測評的輔助工具，扭轉(zhuǎn)了我支隊以往對二級信息系統(tǒng)等級保護工作“監(jiān)管難、推進難”的尷尬局面，為將等級測評工作全面覆蓋我市重點單位信息系統(tǒng)，推進二級信息系統(tǒng)的安全建設和整改工作提供了重要技術支撐，實現(xiàn)了等級保護安全管控的“四大轉(zhuǎn)變”：

(1) 創(chuàng)新管控方式，變“被動管控”為“主動管控”，彌補了二級信息系統(tǒng)的安全管控空缺。二級信息系統(tǒng)由于沒有強制要求開展等級測評工作，使得公安網(wǎng)安部門對二級信息系統(tǒng)的監(jiān)管工作往往只停留于定級、備案階段，而對后期的測評與整改工作缺乏一套行之有效的監(jiān)管方法。通過自測平臺的監(jiān)管模塊，網(wǎng)安部門能從系統(tǒng)定級備案、等級測評、整改方案制定等環(huán)節(jié)對二級信息系統(tǒng)等級保護工作進行指導和督促，全流程、全方位地掌握二級信息系統(tǒng)等級保護工作動態(tài)，實現(xiàn)對二級信息系統(tǒng)等級保護工作的主動化管控。

(2) 創(chuàng)新測評理念，變“消極測評”為“主動測評”，消除了運營使用單位對等級測評工作的抵觸心理。部分單位對二級信息系統(tǒng)的等級測評工作仍然存在認知誤區(qū)和知識盲點，以致于二級信息系統(tǒng)的安全整改工作遲遲不能開展，嚴重拖緩了等級保護工作進度。自測平臺的設計理念是“內(nèi)容全、耗時短、操作易、投入少”，通過自測平臺，自測單位可彈性地安排測評時間，并在最短時間內(nèi)全面掌握系統(tǒng)相應安全等級的建設標準，查找安全建設差距，而無需投入大量的人員和經(jīng)費，大大消除了用戶對等級測評工作的抵觸心理。

(3) 創(chuàng)新測評技術，變“人工實施”為“自動作業(yè)”，解決了測評機構(gòu)以寡“測”眾的難題。以我市數(shù)據(jù)為例，等級測評機構(gòu)兩家，而已定級、備案的二級信息系統(tǒng)共計1618個，僅僅依靠等級測評機構(gòu)難以應付如此大量的二級系統(tǒng)等級測評工作。通過自測平臺的智能化點擊操作和人性化功能設計，全市562家二級信息系統(tǒng)運營使用單位可同時開展自測工作，且只需3天時間便能完成問卷調(diào)查、管理與技術指標自測評及測評結(jié)果上傳等系列工作，全面實現(xiàn)了等級測評工作的信息化、自動化和無紙化。此外，為確保自測平臺的數(shù)據(jù)安全，平臺采用自定義的加密算法和SSL協(xié)議來增強數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾裕⒉捎秒p因子認證技術(UKEY+賬號、密碼)來增強用戶端的安全性。

(4) 創(chuàng)新測評管理，變“結(jié)果管理”為“動態(tài)管理”，扭轉(zhuǎn)了傳統(tǒng)測評工作管理滯后的局面。傳統(tǒng)的測評管理工作中，網(wǎng)安部門往往局限在對測評報告的結(jié)果管理。通過自測平臺，網(wǎng)安部門可通過任務下發(fā)、過程督導、結(jié)果審核等實現(xiàn)對二級信息系統(tǒng)自測評工作的動態(tài)化管理。此外，為了順應測評技術更新和信息系統(tǒng)變更的發(fā)展需求，自測平臺采用插件化的軟件架構(gòu)，可以通過插件的調(diào)整及時更新和補充測評項目和測評方法。