淺談二級信息系統等級測評的實施與體會

李正祥

深圳市公安局網絡警察支隊 廣東 518008

0 引言

等級測評是開展信息安全等級保護工作的關鍵環節，是保障已定級信息系統科學、合理開展安全整改工作的主要抓手。為深化我市等級保護工作，主動應對互聯網技術與信息化應用的快速發展，積極推進各重點單位開展等級測評和安全整改工作，2011年10月，我支隊自主研發了“二級信息系統安全自測評平臺”，通過該平臺實現對全市二級信息系統等級保護工作的主動化、信息化、動態化管控，有效提升信息安全等級保護工作效能。2011年12月，我支隊順利完成自測平臺的上線測試試點工作，擬于今年全面投入使用。

近年來，按照國家信息安全等級保護工作的統一部署，我市三級(或)以上信息系統通過等級測評試點、安全建設與整改等工作，安全管理水平得到明顯提高。特別是在2011年大運會期間，全市462個三級(或)以上信息系統未發生一起信息網絡安全事件，為大運網絡安保工作奠定了堅實基礎。為進一步深化我市等級保護工作，以良好的信息網絡環境迎接黨的“十八大”順利召開，2011年10月，我支隊自主研發了“二級信息系統安全自測評平臺”，通過該平臺將等級測評工作全面覆蓋二級、三級(或)以上信息系統，牢牢把握重點單位信息網絡安全管控陣地。

1 “自測平臺”的研發背景

相對于三級(或)以上信息系統，我市二級信息系統數量更大、涉及行業更廣。目前我市已定級、備案的二級信息系統共有1618個，占已定級、備案信息系統的78%，其中近80%的二級信息系統集中在我市黨政機關、金融、能源、衛生、教育等重點行業。從社會影響面和信息系統安全管控的全局來看，等級保護二級信息系統也是公安機關開展信息系統安全保護工作中不可或缺的重要組成部分。但是，根據《信息安全等級保護管理辦法》等規范性文件規定，三級(或)以上信息系統需開展等級測評工作，而對二級信息系統等級測評工作沒有提出強制性要求，因此，我市大部分二級信息系統等級保護工作進度明顯滯后于三級(或)以上信息系統。

一是等級保護政策落地難。近年來，信息系統運營使用單位對等級保護工作的投入主要集中在三級(或)以上信息系統，而二級信息系統由于缺乏強制性的等級測評要求，大部分信息系統運營使用單位對二級信息系統的等級保護工作缺乏重視、投入甚少，以致于等級保護相關政策，安全管理與技術要求難以落地。

二是安全建設整改進度慢。由于缺乏科學、合理的安全整改導向，大部分二級信息系統仍停留在定級、備案階段，安全整改進度明顯滯后，普遍存在“安全狀況不明晰”、“保護措施不到位”、“安全整改不規范”等情況。據統計，測評試點工作開展以來我市僅有6%的(100余個)二級信息系統開展了安全測評與整改工作。

三是安全案、事件比例高。2009年至2012年期間，我支隊共計接報已定級、備案信息系統發生的案、事件15起，其中涉及二級信息系統的案、事件13起。如，我市兒童醫院網站被攻擊、發展銀行被克隆、機場網站被DDoS攻擊等安全事件涉及的信息系統安全保護等級均為二級。

此外，相對三級(或)以上信息系統，我市二級信息系統發生變更的數量更多。由于缺乏動態化的管控機制，大部分變更信息系統未能按“系統發生變更后需測評合格后方可投入使用”的原則開展等級測評工作。據統計，2010年至2011年期間，我支隊共受理56個二級信息系統的變更材料，其中只有3個信息系統開展了等級測評工作。

由上可見，如何推進二級信息系統的安全管控已成為我支隊開展等級保護工作的一個難題，而要解決此問題，等級測評是必要條件。為此，我支隊結合等級測評的工作流程和測評指標，自主研發了一套適用于二級信息系統的安全自測評平臺(以下簡稱“自測平臺”)，全面實施二級信息系統等級保護安全管控。

2 “自測平臺”的功能特點

“自測平臺”是一個以公安網安部門、系統運營使用單位及測評機構的工作職能為設計基準，以提供標準化、合理化和規范化整改為設計目標的測評工具，該平臺涵蓋了“測評監管、測評實施和測評報告生成”等三大功能模塊(如圖1)。

圖1 等級保護監管系統

(1) 測評監管功能。公安網安部門通過“自測平臺”可全面對二級信息系統的“定級備案、測評進度與測評結論”進行實時查詢和分析、統計，并可結合工作實際，通過自測平臺的通告模塊及時向信息系統運營使用單位下達測評任務及相關工作要求(圖2)。

圖2 測評監管功能

(2) 測評實施功能。自測平臺嚴格按照《信息系統安全等級保護測評要求》等國家標準設計了測評流程和測評項目，信息系統運營使用單位通過自測平臺可完成問卷調查、管理與技術指標自測評及測評結果上傳等工作。此外，用戶測評過程中自測平臺還能自動獲取信息系統的關鍵配置，并對信息系統進行漏洞、木馬掃描等技術檢測工作，為測評報告的編寫提供可靠的技術支持(圖3)。

圖3 測評實施功能

(3) 測評報告生成功能。用戶測評完成后，測評機構根據用戶上傳的測評結果，通過自測平臺向用戶反饋測評報告及整改意見。

2011年12 月8 日至12月31日期間，我支隊組織10余家重點單位對自測平臺的功能模塊、操作流程及平臺的穩定性進行了測試使用。通過測試，自測平臺成功發現9家單位的25個二級信息系統存在管理漏洞32處，技術漏洞58處，發出整改意見25份。

3 “自測平臺”的應用體會

自測平臺作為等級測評的輔助工具，扭轉了我支隊以往對二級信息系統等級保護工作“監管難、推進難”的尷尬局面，為將等級測評工作全面覆蓋我市重點單位信息系統，推進二級信息系統的安全建設和整改工作提供了重要技術支撐，實現了等級保護安全管控的“四大轉變”：

(1) 創新管控方式，變“被動管控”為“主動管控”，彌補了二級信息系統的安全管控空缺。二級信息系統由于沒有強制要求開展等級測評工作，使得公安網安部門對二級信息系統的監管工作往往只停留于定級、備案階段，而對后期的測評與整改工作缺乏一套行之有效的監管方法。通過自測平臺的監管模塊，網安部門能從系統定級備案、等級測評、整改方案制定等環節對二級信息系統等級保護工作進行指導和督促，全流程、全方位地掌握二級信息系統等級保護工作動態，實現對二級信息系統等級保護工作的主動化管控。

(2) 創新測評理念，變“消極測評”為“主動測評”，消除了運營使用單位對等級測評工作的抵觸心理。部分單位對二級信息系統的等級測評工作仍然存在認知誤區和知識盲點，以致于二級信息系統的安全整改工作遲遲不能開展，嚴重拖緩了等級保護工作進度。自測平臺的設計理念是“內容全、耗時短、操作易、投入少”，通過自測平臺，自測單位可彈性地安排測評時間，并在最短時間內全面掌握系統相應安全等級的建設標準，查找安全建設差距，而無需投入大量的人員和經費，大大消除了用戶對等級測評工作的抵觸心理。

(3) 創新測評技術，變“人工實施”為“自動作業”，解決了測評機構以寡“測”眾的難題。以我市數據為例，等級測評機構兩家，而已定級、備案的二級信息系統共計1618個，僅僅依靠等級測評機構難以應付如此大量的二級系統等級測評工作。通過自測平臺的智能化點擊操作和人性化功能設計，全市562家二級信息系統運營使用單位可同時開展自測工作，且只需3天時間便能完成問卷調查、管理與技術指標自測評及測評結果上傳等系列工作，全面實現了等級測評工作的信息化、自動化和無紙化。此外，為確保自測平臺的數據安全，平臺采用自定義的加密算法和SSL協議來增強數據傳輸的保密性和完整性，并采用雙因子認證技術(UKEY+賬號、密碼)來增強用戶端的安全性。

(4) 創新測評管理，變“結果管理”為“動態管理”，扭轉了傳統測評工作管理滯后的局面。傳統的測評管理工作中，網安部門往往局限在對測評報告的結果管理。通過自測平臺，網安部門可通過任務下發、過程督導、結果審核等實現對二級信息系統自測評工作的動態化管理。此外，為了順應測評技術更新和信息系統變更的發展需求，自測平臺采用插件化的軟件架構，可以通過插件的調整及時更新和補充測評項目和測評方法。