引言

    信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法，是維護(hù)國(guó)家信息安全的根本保障。通過開展信息安全等級(jí)保護(hù)工作，可以有效地解決我國(guó)信息安全面臨的主要問題，按照“明確重點(diǎn)、突出重點(diǎn)、保護(hù)重點(diǎn)”的原則，將有限的財(cái)力、物力、人力投入到重要信息系統(tǒng)的安全保護(hù)中去。通過實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)自測(cè)評(píng)，能夠準(zhǔn)確把握信息系統(tǒng)安全狀況，幫助信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門按照標(biāo)準(zhǔn)進(jìn)行安全建設(shè)、整改和管理運(yùn)行。

1 信息系統(tǒng)自測(cè)評(píng)與差距分析是等級(jí)保護(hù)工作的重要環(huán)節(jié)

    信息安全等級(jí)保護(hù)的工作流程主要有：等級(jí)保護(hù)定級(jí)與備案、系統(tǒng)安全建設(shè)與整改、等級(jí)測(cè)評(píng)三個(gè)階段。隨著國(guó)家信息安全等級(jí)保護(hù)工作的深入開展，重要的信息系統(tǒng)已經(jīng)完成了定級(jí)備案工作，按照《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知》明確要求，2012年底之前完成第三級(jí)(含)以上信息系統(tǒng)的安全建設(shè)整改工作，各單位已經(jīng)著手開始制定等保整改和安全建設(shè)方案，通過建設(shè)與整改工作落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求。在建設(shè)和整改工作開始之前，我們不應(yīng)當(dāng)忽視其中一個(gè)重要的環(huán)節(jié)，那就是信息系統(tǒng)對(duì)照等級(jí)保護(hù)的基本要求完成定級(jí)系統(tǒng)的自測(cè)評(píng)與差距分析的工作，只有做好這個(gè)環(huán)節(jié)的工作，才能為我們的建設(shè)和整改工作提供充分的支持。

    《信息安全等級(jí)保護(hù)管理辦法》第十四條規(guī)定，信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，每年至少進(jìn)行一次等級(jí)測(cè)評(píng)。由此可見測(cè)評(píng)與自查的重要性，行之有效的差距分析，是各單位制定整改方案的基礎(chǔ)依據(jù)。

    同時(shí)，我們看到信息系統(tǒng)等級(jí)保護(hù)工作全面推進(jìn)，等級(jí)測(cè)評(píng)的需求量很大，而國(guó)家推薦符合《管理辦法》規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)是有限的。對(duì)一個(gè)單位信息系統(tǒng)的安全現(xiàn)狀的了解是一個(gè)持續(xù)與循序漸進(jìn)的過程，測(cè)評(píng)機(jī)構(gòu)的短周期的測(cè)評(píng)在某種程度上存在一定的局限性，而工作在運(yùn)維一線的技術(shù)人員對(duì)自己信息系統(tǒng)的技術(shù)架構(gòu)與運(yùn)維管理水平有著深刻的認(rèn)識(shí)，只有讓他們意識(shí)到等級(jí)保護(hù)工作的重要性，熟悉與掌握自測(cè)評(píng)的基本流程與方法，才能使自查工作與等級(jí)測(cè)評(píng)工作有機(jī)結(jié)合，各單位的信息安全等級(jí)保護(hù)工作才能進(jìn)入螺旋上升的良性循環(huán)。

2 信息系統(tǒng)自測(cè)評(píng)遇到的主要問題

    信息系統(tǒng)自測(cè)評(píng)過程中普遍遇到的問題是：重要信息系統(tǒng)近年來都會(huì)做過一些風(fēng)險(xiǎn)評(píng)估的工作，因此信息系統(tǒng)負(fù)責(zé)人往往把目光焦點(diǎn)—下子集中到了脆弱性分析。信息系統(tǒng)的責(zé)任人對(duì)等級(jí)保護(hù)的相關(guān)政策與技術(shù)標(biāo)準(zhǔn)進(jìn)行了學(xué)習(xí)，也完成了信息系統(tǒng)自主定級(jí)的過程。但面對(duì)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，面對(duì)自己的信息系統(tǒng)，往往是不知從何入手。“等級(jí)保護(hù)的測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估有什么區(qū)別，做完等級(jí)保護(hù)的測(cè)評(píng)我的系統(tǒng)是不是就安全了”、“為什么和我做的風(fēng)險(xiǎn)評(píng)估有很大差別”。針對(duì)上述問題，我們要明確等級(jí)保護(hù)的測(cè)評(píng)是合規(guī)性檢查，優(yōu)秀測(cè)評(píng)工具是等級(jí)保護(hù)測(cè)評(píng)工作的助推器。

    2.1等級(jí)保護(hù)的測(cè)評(píng)是合規(guī)性檢測(cè)和差距分析

    信息系統(tǒng)在系統(tǒng)自測(cè)評(píng)之前就已經(jīng)完成了系統(tǒng)的定級(jí)工作，已經(jīng)明確了信息系統(tǒng)遭到破壞造成的侵害的程度。測(cè)評(píng)工作就是對(duì)某一級(jí)別的安全基線進(jìn)行合規(guī)性檢查，主要回答的是某一個(gè)管理要素或技術(shù)要素有無的問題，確認(rèn)你的信息系統(tǒng)與安全基線偏離程度。我們不應(yīng)當(dāng)把等級(jí)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估孤立的對(duì)待，對(duì)等級(jí)測(cè)評(píng)的不符合項(xiàng)進(jìn)行風(fēng)險(xiǎn)評(píng)估是必要的，不僅是脆弱性的驗(yàn)證，還可以幫助我們判斷安全事件發(fā)生的概率、量化可能造成的損失。

    2.2自動(dòng)化、規(guī)范化的等級(jí)測(cè)評(píng)工具

    等級(jí)測(cè)評(píng)最主要的手段是訪談，因此主觀因素的干擾不可避免。自動(dòng)化、規(guī)范化的等級(jí)測(cè)評(píng)工具必不可少。優(yōu)秀的測(cè)評(píng)工具應(yīng)能夠清晰的梳理測(cè)評(píng)流程；合理分配測(cè)評(píng)項(xiàng)目到各個(gè)專業(yè)技術(shù)團(tuán)隊(duì)；通過豐富的測(cè)評(píng)知識(shí)庫(kù)有效降低等級(jí)測(cè)評(píng)難度，提高等級(jí)測(cè)評(píng)效率；測(cè)評(píng)案例的模板化(如：門戶網(wǎng)站、數(shù)據(jù)庫(kù)等）；對(duì)測(cè)評(píng)結(jié)果自動(dòng)進(jìn)行分析，提取出不符合項(xiàng)，進(jìn)行風(fēng)險(xiǎn)分析；安全趨勢(shì)分析(對(duì)歷年的自查與等級(jí)測(cè)評(píng)結(jié)果進(jìn)行關(guān)聯(lián)分析)。

3 信息系統(tǒng)自測(cè)評(píng)的實(shí)踐

    3.1等級(jí)保護(hù)自測(cè)評(píng)主要流程：

    等級(jí)保護(hù)自測(cè)評(píng)的主要流程包括四個(gè)階段和輸出成果：

    項(xiàng)目階段 重要工作成果

    項(xiàng)目準(zhǔn)備 《等級(jí)測(cè)評(píng)項(xiàng)目計(jì)劃書》、現(xiàn)場(chǎng)調(diào)研記錄表單

    方案編制 《等級(jí)測(cè)評(píng)指導(dǎo)書》、《等級(jí)測(cè)評(píng)方案》

    現(xiàn)場(chǎng)測(cè)評(píng) 現(xiàn)場(chǎng)測(cè)評(píng)記錄表單

    報(bào)告編寫 《系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》

    3.2測(cè)評(píng)方法的選擇：

    測(cè)評(píng)方法總體上說有三類：訪談、檢查和測(cè)試。

    訪談的目的是對(duì)信息系統(tǒng)整體情況進(jìn)行了解，對(duì)各項(xiàng)規(guī)章制度頒布與落實(shí)情況的了解。如安全管理方面的基本情況就會(huì)涉及安全管理機(jī)構(gòu)的設(shè)置情況、授權(quán)審批流程、整體安全策略、安全制度修訂與維護(hù)、人員安全管理等內(nèi)容；系統(tǒng)規(guī)劃與建設(shè)中就會(huì)涉及信息系統(tǒng)安全方案總體設(shè)計(jì)、安全方案論證與評(píng)審、工程實(shí)施過程管理制度、測(cè)試與驗(yàn)收管理制度等內(nèi)容；系統(tǒng)運(yùn)維中會(huì)涉及事件處置與應(yīng)急響應(yīng)制度等內(nèi)容。

    檢查是我們主要的測(cè)評(píng)手段，通過對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)和分析得出符合性結(jié)論。可以進(jìn)行文檔檢查(也就是證據(jù)類信息的檢查)、實(shí)地察看(如機(jī)房選址、物理環(huán)境測(cè)評(píng))、配置檢查(主要是檢查主機(jī)操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)交換設(shè)備與網(wǎng)絡(luò)安全設(shè)備的配置情況)。

    測(cè)試主要是按照預(yù)定的方法／工具查看和分析響應(yīng)的結(jié)果。是獲取信息系統(tǒng)安全保護(hù)措施有效性的方法。如我們會(huì)使用網(wǎng)絡(luò)掃描工具驗(yàn)證服務(wù)器開放的應(yīng)用端口，判斷邊界防火墻設(shè)備防護(hù)的有效性。

    3.3明確等級(jí)保護(hù)自測(cè)評(píng)主要內(nèi)容

    物理安全測(cè)評(píng)，機(jī)房位置是否合適，訪問控制、防盜竊、防破壞、防雷、防火、防靜電、溫濕度、電力、電磁防護(hù)做的怎么樣。網(wǎng)絡(luò)安全測(cè)評(píng)，結(jié)構(gòu)安全網(wǎng)絡(luò)劃分、網(wǎng)絡(luò)訪問控制、撥號(hào)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)。主機(jī)安全測(cè)評(píng)，身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、系統(tǒng)保護(hù)、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制。應(yīng)用安全測(cè)評(píng)，身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制、代碼安全。數(shù)據(jù)安全測(cè)評(píng)，數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復(fù)。安全管理機(jī)構(gòu)測(cè)評(píng)，崗位怎么設(shè)置的，人員配備、授權(quán)和審批、溝通和合作、審核和檢查。管理制度的測(cè)評(píng)，有哪些管理制度，制定和發(fā)布的情況，發(fā)布的范圍和周期，評(píng)審修訂情況。人員安全管理測(cè)評(píng)，人員錄用、離崗、考核制度，安全意識(shí)教育和培訓(xùn)，第三方人員訪問管理。系統(tǒng)建設(shè)管理測(cè)評(píng)，包括系統(tǒng)建設(shè)管理、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)、自行軟件開發(fā)、外包軟件開發(fā)、實(shí)施工程、測(cè)評(píng)驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、安全服務(wù)商選擇。系系統(tǒng)運(yùn)維管理測(cè)評(píng)，環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處理、應(yīng)急預(yù)案處理。

    3．4測(cè)評(píng)項(xiàng)目組織與實(shí)施

    測(cè)評(píng)項(xiàng)目的組織與實(shí)施我們使用測(cè)評(píng)工具按照?qǐng)Dl所示的流程完成。

    我們根據(jù)信息系統(tǒng)的規(guī)模調(diào)整測(cè)評(píng)周期、測(cè)評(píng)人員的數(shù)量，基本上劃分5個(gè)測(cè)評(píng)組完成測(cè)評(píng)任務(wù)：管理測(cè)評(píng)組、網(wǎng)絡(luò)測(cè)評(píng)組、主機(jī)測(cè)評(píng)組、系統(tǒng)應(yīng)用測(cè)評(píng)組和數(shù)據(jù)庫(kù)測(cè)評(píng)組。測(cè)評(píng)準(zhǔn)備階段我們強(qiáng)調(diào)了信息收集與分析全面陛與完整性，因?yàn)檫@是測(cè)評(píng)方案編制中測(cè)評(píng)對(duì)象選取與測(cè)評(píng)取樣的基礎(chǔ)；強(qiáng)調(diào)了測(cè)試工具接入點(diǎn)的選取方法與原則，不同的接人點(diǎn)會(huì)帶來很大的分析差異，特別是在有效陛層面的分析。

    測(cè)評(píng)方案編制階段，測(cè)評(píng)工具會(huì)根據(jù)系統(tǒng)的等級(jí)情況和測(cè)評(píng)對(duì)象的選定，關(guān)聯(lián)測(cè)評(píng)知識(shí)庫(kù)，自動(dòng)生成測(cè)評(píng)指導(dǎo)書。

圖1測(cè)評(píng)項(xiàng)目實(shí)施流程

    在現(xiàn)場(chǎng)測(cè)評(píng)階段，測(cè)評(píng)人員都是依據(jù)測(cè)評(píng)指導(dǎo)書，對(duì)測(cè)評(píng)對(duì)象，測(cè)評(píng)單元進(jìn)行逐項(xiàng)判定。在整體測(cè)評(píng)分析中，項(xiàng)目負(fù)責(zé)人根據(jù)實(shí)際情況對(duì)測(cè)評(píng)項(xiàng)進(jìn)行關(guān)聯(lián)分析和測(cè)評(píng)結(jié)果修正。

    測(cè)評(píng)報(bào)告編制階段，測(cè)評(píng)人員通過測(cè)評(píng)結(jié)果的匯總，進(jìn)行威脅確認(rèn)，以打分的方式進(jìn)行風(fēng)險(xiǎn)賦值和風(fēng)險(xiǎn)計(jì)算。最終形成測(cè)評(píng)結(jié)論。測(cè)評(píng)整改建議部分，我們可以對(duì)測(cè)評(píng)主要內(nèi)容給出整改建議。

    在整個(gè)測(cè)評(píng)過程中我們強(qiáng)調(diào)項(xiàng)目質(zhì)最管理和控制，突出的是變更控制管理和風(fēng)險(xiǎn)管理，整個(gè)測(cè)評(píng)過程中禁止系統(tǒng)管理員邊測(cè)評(píng)邊整改，防止由于測(cè)評(píng)導(dǎo)致系統(tǒng)故障。

4 信息系統(tǒng)自測(cè)評(píng)成果與差距分析

    單位內(nèi)部的工程技術(shù)人員利用標(biāo)準(zhǔn)化、規(guī)范化的測(cè)評(píng)工具完成的信息系統(tǒng)自測(cè)評(píng)，可以使單位決策者在較短時(shí)間內(nèi)全面了解本單位信息安全狀況，及時(shí)發(fā)現(xiàn)安全隱患，加大建設(shè)整改力度。通過對(duì)本單位23個(gè)定級(jí)系統(tǒng)自測(cè)評(píng)結(jié)果進(jìn)行數(shù)據(jù)分析，就可以對(duì)這個(gè)單位信息系統(tǒng)安全狀況進(jìn)行初步評(píng)價(jià)。

圖2 本單位信息系統(tǒng)臺(tái)規(guī)情況分類匯總

    通過對(duì)具體內(nèi)容的梳理我們也提取出r一些共性的問題如下：

    4．1物理安全

    主要的問題是機(jī)房?jī)H采用了單向門禁系統(tǒng)，并且對(duì)人員進(jìn)H1缺少完整和嚴(yán)格的記錄要求；缺少攝像頭、電子溫濕度感應(yīng)裝置等設(shè)備。多數(shù)信息系統(tǒng)能夠做判對(duì)重要資產(chǎn)采取基本的安全保護(hù)措施，但對(duì)線纜一類的資產(chǎn)大都缺少很好資產(chǎn)分類和標(biāo)識(shí)規(guī)定。

    4.2網(wǎng)絡(luò)安全

    網(wǎng)絡(luò)都建市了IP分配規(guī)則并繪制網(wǎng)絡(luò)拓?fù)洌�但�?duì)于網(wǎng)絡(luò)基線信息的記錄工作做的不夠詳細(xì)，而且通常不會(huì)及時(shí)更新；防火墻等安全設(shè)備的安全策略沒有定期審核有效性，存在一定漏洞；沒有完善的網(wǎng)絡(luò)安全設(shè)備審計(jì)要求，網(wǎng)絡(luò)設(shè)備沒有開肩必要的審計(jì)功能，也沒有使用其它網(wǎng)絡(luò)審計(jì)工具，大多設(shè)備開啟的審計(jì)功能都是默認(rèn)的設(shè)置；對(duì)于系統(tǒng)生成的日志也沒有專門設(shè)立單獨(dú)的人員進(jìn)行管理：網(wǎng)絡(luò)設(shè)備自身防護(hù)沒有做到位等；開發(fā)環(huán)境和系統(tǒng)運(yùn)行環(huán)境沒有隔離。

    4．3主機(jī)安全

    大多數(shù)操作系統(tǒng)的口令都沒有定期更新，管理員設(shè)置口令時(shí)也未考慮到口令復(fù)雜度要求；主機(jī)、數(shù)據(jù)庫(kù)缺乏統(tǒng)一的審計(jì)系統(tǒng)；管理員沒有定期執(zhí)行安全漏洞掃描和及時(shí)更新安全補(bǔ)丁；系統(tǒng)身份鑒別時(shí)沒有采用組合身份鑒別技術(shù)。

    4．4應(yīng)用安全

    在一個(gè)應(yīng)用軟件的安全生命周期中，通常應(yīng)具備的開發(fā)安全編碼規(guī)范、系統(tǒng)上線前安全測(cè)試、防篡改措施、不定期滲透測(cè)試等內(nèi)容。這些內(nèi)容沒有得到很好的落實(shí)。

    4．5管理安全

    信息安全管理制度發(fā)布和執(zhí)行過程中，沒有定期對(duì)其進(jìn)行評(píng)估，沒有根據(jù)實(shí)際環(huán)境和情況的變化，定期對(duì)制度進(jìn)行修改和完善。對(duì)人員的培訓(xùn)只集中在業(yè)務(wù)技能上，沒有針對(duì)信息安全方面的培訓(xùn)，系統(tǒng)管理員的網(wǎng)絡(luò)安全意識(shí)較薄弱。沒有定期對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器運(yùn)行日志、審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為；沒有要求服務(wù)提供商定期提交安全漏洞分析報(bào)告，沒有針對(duì)安全漏洞補(bǔ)丁定期進(jìn)行評(píng)估并更新。

5 結(jié)束語(yǔ)

    通過組織內(nèi)部人員參與的信息系統(tǒng)自測(cè)評(píng)工作，是信息系統(tǒng)安全建設(shè)整改的基石。不僅使我們的工程技術(shù)人員通過實(shí)踐工作得到了鍛煉，提高了信息安全的專業(yè)技能，深刻理解了信息安全等級(jí)保護(hù)法規(guī)對(duì)信息安全工作的指導(dǎo)性意義，也使決策者全面了解本單位整體信息安全狀況，為信息安全方面的決策提供了數(shù)據(jù)支持。組織內(nèi)部的自查、自測(cè)工作與專業(yè)機(jī)構(gòu)的等級(jí)測(cè)評(píng)有機(jī)結(jié)合，可以使信息安全建設(shè)整改工作常態(tài)化、穩(wěn)步推進(jìn)我國(guó)信息系統(tǒng)安全保障水平。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.lukmueng.com/

本文標(biāo)題：信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)實(shí)踐

本文網(wǎng)址：http://m.lukmueng.com/html/consultation/1083934831.html