信息安全等級保護測評助力發現系統潛在安全隱患——訪大連市公安局網絡警察支隊調研員陸寶華

文｜本刊記者

記者：等級保護工作已經開展好幾年了，目前到了普遍測評階段，您如何評價等保測評工作？

陸寶華：不測評就無法發現某個信息系統存在的問題，而不能把真實的安全需要找出來，就無法進行正確地整改。測評是信息系統使用單位的潛在需求，在2004年等級保護工作真正推動之前，一些重要行業已經在做的風險評估，和等級保護測評工作是同樣作用的。

記者：在等保測評工作實施過程中，目前有哪些經驗借鑒和薄弱環節？

陸寶華：目前我們國家在測評水平上是不一致的，國家隊的測評人員由于對信息保障的認識比較高，理解比較深，對國家標準的掌握也比較透徹，技術水平也比較高，所以測評結果科學可信。但在各地方，由于其測評隊伍人員對信息保障的理解較缺乏，雖然進行了培訓，但是想通過一次兩次培訓就把這個問題真正解決是困難的，所以測評水平也就打了折扣。

記者：去年的CSDN事件和今年初的PuTTY事件，特別是PuTTY事件，一些被測評合格單位的小型機賬號和密碼還出現泄露，該如何解釋？

陸寶華：我們目前所依據的測評標準《等級保護基本要求》（GBT22239-2008）是六年前制定的，當時我們的安全水平和技術與現在相比有一定差距，如果標準太高，將很難達到要求。以操作系統為例，由于我國所采用的操作系統基本上是國外生產的，而且都C2級水平，當時國內還沒有可以真正使用的對其改造和替代的產品。也就是說如果我們真正按照三級的技術要求（GB17859-1999和GBT20271-2006）來測評，能達標的不會有幾個。

其次，應用程序存在著嚴重的安全問題，導致這些應用程序很容易被黑客入侵，加之操作系統和數據庫的漏洞，被掛馬是很容易的，所以就會出現PuTTY導致的后果。

記者：C2級操作系統和我國等級保護三級要求的主要區別是什么？

陸寶華：C2級操作系統，在我國17859-1999中，被稱之為審計保護級。C類是一個大類，分為C1級和C2級，稱之為自主保護類。在這一類保護機制中，數據文件等客體的訪問控制權限是由客體的屬主和（或）系統管理員所控制，并且系統管理員擁有無所不能的權限,比如他可以刪除審計數據，這樣將帶來很大的安全問題。

首先，這種訪問控制機制不能保護操作系統自身的完整性，對于客體的創建幾乎沒有限制；其次，訪問控制權限在轉移的過程中會發生改變，甚至會違背最初的安全策略；第三，不能保證系統管理員本身的絕對安全，黑客完全有可能獲得系統管理員的權限。

而三級以上的操作系統，則支持強制訪問控制機制，客體的訪問權

簡介：陸寶華，男，1954年生，大連市公安局網絡警察支隊調研員。工作以來發表了近百篇關于集群通信與信息保障方面的論文，出版著作包括《信息系統安全原理與應用》《信息安全等級保護技術基礎培訓教程》《信息安全等級保護基本要求培訓教程》等。研究領域：信息安全等級保護與無線專業網通信。限是由系統規則給出的。在系統內創建客體受到了限制，創建客體的主體必須具備相應的權限，主體的級別、創建客體的屬性等，對操作系統本身的完整性就有了保護，病毒、木馬等惡意代碼就很難感染系統了。同時，三級以上的操作系統要求實現三權分立，取消系統管理員，將其權限分解為安全員（制定規則）、系統管理員（規則執行者）和審計員（監督），實現檢查平衡。

記者：目前國內有支持三級以上的產品嗎？

陸寶華：有。國產的基于linux的麒麟操作系統和磐石操作系統已經達到了四級的要求。

記者：除了基于linux重新開發操作系統，還有其他方式的產品嗎？

陸寶華：還有對操作系統的改造產品，如椒圖科技的JHSE。它是對Windows、所有的Unix和Linux進行了可信改造，或者說是安全加固。在增強型DTE（安全域）模型基礎上，同時支持增強型BLP、RBAC模型，解決了對數據的保密性保護和完整性保護的矛盾，對惡意代碼有極好地免疫作用。增強型DTE（安全域）技術，可以把不同的應用封閉在各自的安全域內，即便這個域內的應用存在漏洞，被入侵，也不會導致其他域內應用出現問題，更不至于侵害整個操作系統。同時域內使用RBAC模型和數據加密技術，域外還有BLP模型和完整性校驗技術支持，入侵者想把數據“拿得走、看得懂”也絕對是徒勞。