信息系统安全等级保护实践与思考

来源:用户上传      作者:

　　摘 要
　　信息安全等级保护制度是我国信息安全保障的一项基本制度，本文对信息系统安全等级保护工作涉及的定级、备案、测评和整改等四个环节实施方法和工作流程进行了详细阐述，并结合湖北省国土资源厅电子政务系统实施信息安全等级保护的实践经验，对具体工作的开展提出了建议，以期为其他行业开展信息系统安全等级保护工作提供借鉴。
　　【关键词】定级 备案 等级测评 安全整改
　　1 引言
　　信息安全等级保护制度是我国信息安全保障的一项基本制度，早在1994年，国务院就颁布了《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号），明确规定计算机信息系统实行安全等级保护，之后国家又陆续颁布了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）、《信息安全等级保护管理办法》（公通字[2007]43号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）、《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等政策文件，为开展信息系统安全等级保护工作提供了标准和规范。
　　2014年，湖北省国土资源厅开展了信息系统安全等级保护工作，对电子政务系统、矿业权交易系统和门户网站系统等三个主要信息系统完成了定级备案和测评整改工作，三个信息系统均通过三级测评，获得了公安部门颁发的备案证明。本文将以湖北省国土资源厅电子政务系统实施信息安全等级保护过程为例，介绍信息系统安全等级保护工作的实施方法和工作流程。
　　2 信息系统安全等级保护实施方法和工作流程
　　2.1 系统定级
　　2.1.1 系统定级方法
　　定级是信息系统实施信息安全等级保护工作的首要环节，也是等级测评和安全整改等后续工作的基础。根据国家信息安全等级保护标准，信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级较高者决定。业务信息安全是指系统内信息的完整性、保密性和可用性；系统服务安全是指系统能不能及时、有效地提供服务，能不能完成预定的业务目标，是否会出现系统瘫痪、拒绝服务等现象，两者安全等级都是由定级对象受到破坏时所侵害客体以及对客体造成的侵害程度这两个要素决定。
　　定级对象受到破坏时所侵害客体包括国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益。从这个定义中，我们可以看出侵害客体是有高低之分的，在实际定级过程中，我们可以按照从高到低的顺序依次进行判断，首先判断是否侵害国家安全，其次判断是否侵害社会秩序和公共利益， 最后判断是否侵害公民、法人和其他组织的合法权益。
　　在确定所侵害客体后，就要对可能造成的危害后果进行分析，确定系统定级的第二个要素侵害程度。一般来说，系统受到破坏，可能造成的危害后果主要包括影响行使工作职能、导致业务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响、对其他组织和个人造成损失等。在GB/T22240 2008《信息安全技术 信息系统安全等级保护定级指南》中根据这些危害后果的严重性，将对客体的侵害程度分为一般损害、严重损害和特别严重损害三种类型，并对每种类型的标准给出了具体描述。在实际定级过程中，我们可以对实际的危害后果进行分析，根据定级指南中所给出的标准，确定侵害程度的类型。
　　在两个要素都确定后，就可以根据表1安全保护等级矩阵表，确定业务信息安全和系统服务安全的等级，进而确定信息系统的安全等级。
　　2.1.2 系统定级工作建议
　　系统的安全等级不同，等级测评的内容也不相同，因此定级是否准确直接关系到后期能否通过测评，顺利拿到公安部门颁发的备案证明。结合湖北省国土资源厅的实践经验，建议在实际定级工作中，按照“自主定级、专家评审”的原则，先根据上述系统定级方法，自主确定系统的安全等级，然后组织专家进行评审，从而避免定级不准确，给后续工作带来不良影响。
　　2.2 系统备案
　　在系统安全保护等级确定后30日内，就要到公安机关进行备案，备案时需要提交《信息系统安全等级保护备案表》及其电子文档。对于二级以上信息系统，备案时需提交《信息系统安全等级保护备案表》中的表一、二、三，在系统测评整改工作完成后30日内提交表四及其有关资料。公安机关接收全部备案材料后，会对其进行审核。对于定级准确、材料齐全的，公安机关会出具《信息系统安全等级保护备案证明》。
　　2.3 系统等级测评
　　信息系统等级测评是信息安全等级保护工作的重要环节之一，它是通过信息安全等级测评机构，定期对系统进行测评，以确保信息系统的安全保护措施符合相应等级的安全要求。根据《信息安全等级保护管理办法》规定，三级及以上信息系统应每年开展一次测评。
　　2.3.1 等级测评内容
　　信息系统等级测评内容涉及安全技术和安全管理两大类别，主要包括物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等10个测评单元。每个测评单元根据系统的安全等级不同，包含不同的测评功能项。
　　2.3.2 等级测评工作流程
　　等级测评过程分为测评准备、编制方案、现场测评和测评综合分析等四个阶段。
　　（1）测评准备阶段。
　　本阶段是整个测评工作的基础，其工作是否充分直接关系到后续工作能否顺利开展，主要任务是掌握被测系统的详细情况，准备测评工具，为编制测评方案做好准备。
　　（2）编制方案阶段
　　本阶段是测评工作的关键环节，其主要任务是确定与被测系统相适应的测评对象、测评指标和测评内容等，形成测评方案。
　　（3）现场测评阶段
　　本阶段是测评工作的核心环节，其主要任务是按照测评方案，分步实施所有测评项目，以了解系统的真实安全状况，发现系统存在的安全隐患。测评方法主要有人员访谈、现场检查、工具测试等。 　　（4）测评综合分析阶段
　　本阶段是测评工作最后一个环节，其主要任务是根据现场测评结果，找出系统的安全现状与相应等级保护要求之间的差距，并分析这些差距可能导致被测系统面临的风险，从而给出等级测评结论，形成等级测评报告。测评结论分为不符合、基本符合、符合三种，其中基本符合与符合表示通过测评。
　　2.3.3 等级测评工作建议
　　等级测评是后续整改工作的基础，结合湖北省国土资源厅的实践经验，建议在实际测评过程中，将测评工作分为初次测评和二次测评两个阶段，初次测评，也叫差距测评，在整改工作之前完成，其目的主要在于根据系统确定的安全等级，查找系统现有安全措施与等级保护基本要求之间的差距，明确后续安全整改的重点；二次测评在安全整改完成后进行，其目的主要是检验整改工作的成效。如果经二次测评，系统安全状况还没有达到等级保护基本要求，就需要进一步整改，并进行多次测评，直至达到等级保护基本要求，获得系统等级测评报告。
　　2.4 安全整改
　　在等级测评工作完成后，就进入安全整改阶段，根据测评发现的问题逐项整改，以达到等级保护基本要求。在整改时应该按照管理安全和技术安全两个层面分别进行整改。针对管理安全方面的问题，应该通过编写和完善管理文档资料进行整改，以满足基本要求。针对技术安全方面的问题，应该仔细分析，区分哪些是可以通过修改配置策略等技术手段进行修复的，哪些是需要通过部署安全产品才能解决的，然后有针对性地采取不同方法进行整改，对于有多种方法可以解决的问题，应该遵循低成本，低风险的原则选择最佳解决途径。
　　信息系统等级测评后需要整改的问题往往会有很多，对被测单位而言，可能会面临时间紧、任务重、成本高的问题，为此建议在实际整改过程中可以按照问题的重要程度，以及先易后难的原则分步进行，优先解决可能对系统带来高风险的问题，以及短期内比较容易解决的问题，然后再逐步解决其他问题。一般来说，信息系统安全整改工作分为五个步骤进行。第一步，根据测评情况，制定安全整改工作计划，对整个整改工作进行总体部署；第二步，结合测评情况，对信息系统安全保护现状进行分析，从技术安全和管理安全两个层面确定整改需求；第三步，制定安全整改方案；第四步，根据整改方案进行整改；第五步，开展系统二次测评，找出系统中仍然存在的安全隐患和威胁，进一步整改，以达到安全保护等级的基本要求。
　　3 湖北省国土资源厅电子政务系统信息安全等级保护实践案例
　　3.1 系统概述
　　湖北省国土资源厅电子政务系统是湖北省国土资源厅的核心信息系统，部署在国土资源主干网，实现了与互联网严格物理隔离。该系统是全厅的主要办公平台，目前全厅日常公文办理，以及建设用地、矿业权、土地开发整理等主要业务审批均通过该系统完成。
　　3.2 定级备案
　　湖北省国土资源厅电子政务系统承担了全厅主要业务审批功能，其业务信息包括全省建设用地、矿业权和土地开发整理等重要业务数据，显然一旦这些数据被泄露或者被篡改，将会对全省建设用地、矿业权这些社会公共资源的分配造成严重影响，进而严重损害社会公共的利益，因此本案例所侵害客体应该是社会秩序和公共利益这一类，而侵害程度显然是严重影响，根据业务信息安全等级确定的原则，应该确定为第三级。
　　另一方面，由于该系统是全厅的主要办公平台，面向全厅所有工作人员，一旦系统服务受到破坏，全厅日常工作必然无法开展。而湖北省国土资源厅作为国家机关，工作职能就是承担社会管理和公共服务，从这点上分析，系统服务受到破坏就会影响国家机关社会管理和公共服务的工作秩序，因此本案例所侵害客体是社会秩序和公共利益这一类，侵害程度显然也应该属于严重影响，根据系统服务安全等级确定的原则，也应该确定为第三级。
　　根据信息系统的安全保护等级由业务信息安全保护等级和系统服务安全等级较高者决定的原则，最终确定湖北省国土资源厅电子政务系统安全保护等级为第三级。
　　3.3 等级测评
　　在确定系统安全等级后，湖北省国土资源厅通过政府公开采购，委托测评机构按照《GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求》标准，从安全技术和安全管理两大类10个层面，共计73个测评功能项，713个基本要求项，对电子政务系统的安全状况进行了全面测评和综合评估。检查内容涵盖全部安全产品、操作系统、数据库，对各类网络产品及主机服务器，采用了抽查的方法，并兼顾类别与数量，各类管理文档约10余个，访谈人员约10余次，最终形成了《湖北省国土资源厅电子政务系统信息安全等级测评报告及整改建议》。根据测评报告，湖北省国土资源厅电子政务系统现有安全状况不符合信息系统安全等级保护三级的基本要求，需要整改。
　　3.4 安全整改及二次测评
　　根据测评结构的测评报告及整改建议，湖北省国土资源厅电子政务系统需要整改595项内容，覆盖安全技术和安全管理共10个方面。鉴于整改任务重，而经费又有限的实际情况，湖北省国土资源厅根据专家的建议，制定了分步整改的计划，2014年优先整改管理安全方面的问题和技术安全方面可能对系统带来高风险的问题，其余问题再逐步进行整改。根据这个思路，湖北省国土资源厅2014年完成了安全管理方面的问题整改，以及通过配置安全策略、修复系统漏洞、安装安全补丁等技术手段和部署防火墙、入侵防御系统、网络审计系统等安全防护设备，对技术安全方面可能对系统带来高风险的问题进行了整改。在整改完成后，湖北省国土资源厅又委托测评机构开展了二次测评，经过测评，全部713个基本要求项中260项符合，222项不适用，231项不符合，符合率36%，不符合率33%。经过分析，测评项目组认为湖北省国土资源厅电子政务系统经过整改，安全状况明显改善，测评结果中尽管还存在一些部分不符合或者不符合项，但是不会导致信息系统面临高等级的安全风险，其安全保护能力基本符合等级保护三级的基本要求。
　　4 结束语
　　信息安全等级保护已成为我国信息安全保障领域的一项基本国策，实施信息安全等级保护，能够有效提高信息系统的整体安全水平。本文对信息系统安全等级保护工作的整体过程进行了详细介绍，并结合实际工作开展给出了具体的建议，相信对于其他行业开展信息系统安全等级保护工作也具有重要的借鉴意义。
　　参考文献
　　[1]信息安全等级保护管理办法[S].公通字[2007]43号，2007.
　　[2]GB/T22238-2008.信息安全技术[S].信息系统安全等级保护基本要求.
　　作者单位
　　湖北省国土资源厅信息中心 湖北省武汉市 430071
转载注明来源:https://www.xzbu.com/1/view-11616996.htm