引言

    信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法，是維護國家信息安全的根本保障。通過開展信息安全等級保護工作，可以有效地解決我國信息安全面臨的主要問題，按照“明確重點、突出重點、保護重點”的原則，將有限的財力、物力、人力投入到重要信息系統的安全保護中去。通過實施信息系統安全等級保護自測評，能夠準確把握信息系統安全狀況，幫助信息系統運營使用單位和主管部門按照標準進行安全建設、整改和管理運行。

1 信息系統自測評與差距分析是等級保護工作的重要環節

    信息安全等級保護的工作流程主要有：等級保護定級與備案、系統安全建設與整改、等級測評三個階段。隨著國家信息安全等級保護工作的深入開展，重要的信息系統已經完成了定級備案工作，按照《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》明確要求，2012年底之前完成第三級(含)以上信息系統的安全建設整改工作，各單位已經著手開始制定等保整改和安全建設方案，通過建設與整改工作落實等級保護制度的各項要求。在建設和整改工作開始之前，我們不應當忽視其中一個重要的環節，那就是信息系統對照等級保護的基本要求完成定級系統的自測評與差距分析的工作，只有做好這個環節的工作，才能為我們的建設和整改工作提供充分的支持。

    《信息安全等級保護管理辦法》第十四條規定，信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，每年至少進行一次等級測評。由此可見測評與自查的重要性，行之有效的差距分析，是各單位制定整改方案的基礎依據。

    同時，我們看到信息系統等級保護工作全面推進，等級測評的需求量很大，而國家推薦符合《管理辦法》規定條件的測評機構是有限的。對一個單位信息系統的安全現狀的了解是一個持續與循序漸進的過程，測評機構的短周期的測評在某種程度上存在一定的局限性，而工作在運維一線的技術人員對自己信息系統的技術架構與運維管理水平有著深刻的認識，只有讓他們意識到等級保護工作的重要性，熟悉與掌握自測評的基本流程與方法，才能使自查工作與等級測評工作有機結合，各單位的信息安全等級保護工作才能進入螺旋上升的良性循環。

2 信息系統自測評遇到的主要問題

    信息系統自測評過程中普遍遇到的問題是：重要信息系統近年來都會做過一些風險評估的工作，因此信息系統負責人往往把目光焦點—下子集中到了脆弱性分析。信息系統的責任人對等級保護的相關政策與技術標準進行了學習，也完成了信息系統自主定級的過程。但面對《信息系統安全等級保護基本要求》等技術標準，面對自己的信息系統，往往是不知從何入手。“等級保護的測評與風險評估有什么區別，做完等級保護的測評我的系統是不是就安全了”、“為什么和我做的風險評估有很大差別”。針對上述問題，我們要明確等級保護的測評是合規性檢查，優秀測評工具是等級保護測評工作的助推器。

    2.1等級保護的測評是合規性檢測和差距分析

    信息系統在系統自測評之前就已經完成了系統的定級工作，已經明確了信息系統遭到破壞造成的侵害的程度。測評工作就是對某一級別的安全基線進行合規性檢查，主要回答的是某一個管理要素或技術要素有無的問題，確認你的信息系統與安全基線偏離程度。我們不應當把等級測評與風險評估孤立的對待，對等級測評的不符合項進行風險評估是必要的，不僅是脆弱性的驗證，還可以幫助我們判斷安全事件發生的概率、量化可能造成的損失。

    2.2自動化、規范化的等級測評工具

    等級測評最主要的手段是訪談，因此主觀因素的干擾不可避免。自動化、規范化的等級測評工具必不可少。優秀的測評工具應能夠清晰的梳理測評流程；合理分配測評項目到各個專業技術團隊；通過豐富的測評知識庫有效降低等級測評難度，提高等級測評效率；測評案例的模板化(如：門戶網站、數據庫等）；對測評結果自動進行分析，提取出不符合項，進行風險分析；安全趨勢分析(對歷年的自查與等級測評結果進行關聯分析)。

3 信息系統自測評的實踐

    3.1等級保護自測評主要流程：

    等級保護自測評的主要流程包括四個階段和輸出成果：

    項目階段 重要工作成果

    項目準備 《等級測評項目計劃書》、現場調研記錄表單

    方案編制 《等級測評指導書》、《等級測評方案》

    現場測評 現場測評記錄表單

    報告編寫 《系統等級測評報告》

    3.2測評方法的選擇：

    測評方法總體上說有三類：訪談、檢查和測試。

    訪談的目的是對信息系統整體情況進行了解，對各項規章制度頒布與落實情況的了解。如安全管理方面的基本情況就會涉及安全管理機構的設置情況、授權審批流程、整體安全策略、安全制度修訂與維護、人員安全管理等內容；系統規劃與建設中就會涉及信息系統安全方案總體設計、安全方案論證與評審、工程實施過程管理制度、測試與驗收管理制度等內容；系統運維中會涉及事件處置與應急響應制度等內容。

    檢查是我們主要的測評手段，通過對測評對象進行觀察、查驗和分析得出符合性結論。可以進行文檔檢查(也就是證據類信息的檢查)、實地察看(如機房選址、物理環境測評)、配置檢查(主要是檢查主機操作系統、應用系統、網絡交換設備與網絡安全設備的配置情況)。

    測試主要是按照預定的方法／工具查看和分析響應的結果。是獲取信息系統安全保護措施有效性的方法。如我們會使用網絡掃描工具驗證服務器開放的應用端口，判斷邊界防火墻設備防護的有效性。

    3.3明確等級保護自測評主要內容

    物理安全測評，機房位置是否合適，訪問控制、防盜竊、防破壞、防雷、防火、防靜電、溫濕度、電力、電磁防護做的怎么樣。網絡安全測評，結構安全網絡劃分、網絡訪問控制、撥號訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、惡意代碼防范、網絡設備防護。主機安全測評，身份鑒別、自主訪問控制、強制訪問控制、安全審計、系統保護、剩余信息保護、入侵防范、惡意代碼防范、資源控制。應用安全測評，身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制、代碼安全。數據安全測評，數據完整性、數據保密性、數據備份和恢復。安全管理機構測評，崗位怎么設置的，人員配備、授權和審批、溝通和合作、審核和檢查。管理制度的測評，有哪些管理制度，制定和發布的情況，發布的范圍和周期，評審修訂情況。人員安全管理測評，人員錄用、離崗、考核制度，安全意識教育和培訓，第三方人員訪問管理。系統建設管理測評，包括系統建設管理、安全方案設計、產品采購、自行軟件開發、外包軟件開發、實施工程、測評驗收、系統交付、系統備案、安全服務商選擇。系系統運維管理測評，環境管理、資產管理、介質管理、設備管理、監控管理、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處理、應急預案處理。

    3．4測評項目組織與實施

    測評項目的組織與實施我們使用測評工具按照圖l所示的流程完成。

    我們根據信息系統的規模調整測評周期、測評人員的數量，基本上劃分5個測評組完成測評任務：管理測評組、網絡測評組、主機測評組、系統應用測評組和數據庫測評組。測評準備階段我們強調了信息收集與分析全面陛與完整性，因為這是測評方案編制中測評對象選取與測評取樣的基礎；強調了測試工具接入點的選取方法與原則，不同的接人點會帶來很大的分析差異，特別是在有效陛層面的分析。

    測評方案編制階段，測評工具會根據系統的等級情況和測評對象的選定，關聯測評知識庫，自動生成測評指導書。

圖1測評項目實施流程

    在現場測評階段，測評人員都是依據測評指導書，對測評對象，測評單元進行逐項判定。在整體測評分析中，項目負責人根據實際情況對測評項進行關聯分析和測評結果修正。

    測評報告編制階段，測評人員通過測評結果的匯總，進行威脅確認，以打分的方式進行風險賦值和風險計算。最終形成測評結論。測評整改建議部分，我們可以對測評主要內容給出整改建議。

    在整個測評過程中我們強調項目質最管理和控制，突出的是變更控制管理和風險管理，整個測評過程中禁止系統管理員邊測評邊整改，防止由于測評導致系統故障。

4 信息系統自測評成果與差距分析

    單位內部的工程技術人員利用標準化、規范化的測評工具完成的信息系統自測評，可以使單位決策者在較短時間內全面了解本單位信息安全狀況，及時發現安全隱患，加大建設整改力度。通過對本單位23個定級系統自測評結果進行數據分析，就可以對這個單位信息系統安全狀況進行初步評價。

圖2 本單位信息系統臺規情況分類匯總

    通過對具體內容的梳理我們也提取出r一些共性的問題如下：

    4．1物理安全

    主要的問題是機房僅采用了單向門禁系統，并且對人員進H1缺少完整和嚴格的記錄要求；缺少攝像頭、電子溫濕度感應裝置等設備。多數信息系統能夠做判對重要資產采取基本的安全保護措施，但對線纜一類的資產大都缺少很好資產分類和標識規定。

    4.2網絡安全

    網絡都建市了IP分配規則并繪制網絡拓撲，但對于網絡基線信息的記錄工作做的不夠詳細，而且通常不會及時更新；防火墻等安全設備的安全策略沒有定期審核有效性，存在一定漏洞；沒有完善的網絡安全設備審計要求，網絡設備沒有開肩必要的審計功能，也沒有使用其它網絡審計工具，大多設備開啟的審計功能都是默認的設置；對于系統生成的日志也沒有專門設立單獨的人員進行管理：網絡設備自身防護沒有做到位等；開發環境和系統運行環境沒有隔離。

    4．3主機安全

    大多數操作系統的口令都沒有定期更新，管理員設置口令時也未考慮到口令復雜度要求；主機、數據庫缺乏統一的審計系統；管理員沒有定期執行安全漏洞掃描和及時更新安全補丁；系統身份鑒別時沒有采用組合身份鑒別技術。

    4．4應用安全

    在一個應用軟件的安全生命周期中，通常應具備的開發安全編碼規范、系統上線前安全測試、防篡改措施、不定期滲透測試等內容。這些內容沒有得到很好的落實。

    4．5管理安全

    信息安全管理制度發布和執行過程中，沒有定期對其進行評估，沒有根據實際環境和情況的變化，定期對制度進行修改和完善。對人員的培訓只集中在業務技能上，沒有針對信息安全方面的培訓，系統管理員的網絡安全意識較薄弱。沒有定期對網絡設備和服務器運行日志、審計數據進行分析，以便及時發現異常行為；沒有要求服務提供商定期提交安全漏洞分析報告，沒有針對安全漏洞補丁定期進行評估并更新。

5 結束語

    通過組織內部人員參與的信息系統自測評工作，是信息系統安全建設整改的基石。不僅使我們的工程技術人員通過實踐工作得到了鍛煉，提高了信息安全的專業技能，深刻理解了信息安全等級保護法規對信息安全工作的指導性意義，也使決策者全面了解本單位整體信息安全狀況，為信息安全方面的決策提供了數據支持。組織內部的自查、自測工作與專業機構的等級測評有機結合，可以使信息安全建設整改工作常態化、穩步推進我國信息系統安全保障水平。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：信息系統等級保護測評實踐

本文網址：http://www.guhuozai8.cn/html/consultation/1083934831.html