基于等級測評實踐的信息安全狀況分析

祝利鋒

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作。

近年來，隨著信息安全等級保護工作機制的不斷完善，主管部門監督檢查力度的不斷加大，信息系統開展等級測評的數量穩步增長，測評覆蓋率顯著提升。通過統計分析本單位近些年測評的數百個信息系統的數據，可以得出以下結論：一是較早開展等級測評的行業，經過測評和整改建設，測評符合率逐年提高；二是隨著等級測評工作的持續推進，近期才開展首次測評的行業特別是基層單位的信息安全工作基礎較薄弱，測評得分明顯偏低。通過對物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等10個層面的測評結果進行統計，其中網絡安全、主機安全、應用安全、系統運維管理等方面的不符合率相對較高，信息系統的建設、使用、運維階段存在一些較普遍的問題。

信息系統安全保護措施落實情況分析

整體而言，隨著等級測評工作的持續推進，黨政機關、企事業單位對信息系統安全等級保護的認識和重視程度得到普遍提升，在管理和技術兩方面主要采取了以下安全措施：

信息安全管理措施落實情況

在信息安全管理方面呈現出兩級分化的特點。一些重點行業的業務信息化程度高、自身信息技術隊伍力量足、信息安全投入經費有保障，其安全管理措施一般也能得到有效落實，在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業主管部門對信息安全監管嚴格的幾大行業。相反，部分對信息系統管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業人員的配備達不到標準規范的要求，安全責任部門地位偏低權限不足，很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。

信息安全技術措施落實情況

多數單位通過部署邊界安全設備，強化入侵防范措施來提高網絡的安全性；通過加固操作系統和數據庫的安全策略，啟用安全審計，安裝殺毒軟件等措施，來提高主機安全防護水平；通過開發應用系統的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強化業務應用的安全性；通過部署數據備份設備、加密措施，加強對數據安全的保護。

信息系統常見安全問題分析

隨著等級測評工作的覆蓋面進一步擴大，近年來初次測評的單位和基層部門仍發現一些典型問題。

信息安全意識有待提高

很多單位對當前日趨嚴峻的網絡安全形勢認識不足，將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂，完成測評備案就完成了等級保護。由此造成對信息安全合規的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執行、有預案不演練等問題，根源還是安全意識薄弱。

信息安全管理有待加強

信息安全管理不到位主要表現在安全管理制度、系統建設管理、系統運維管理等方面。

信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權審批流于形式、執行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結合本單位實際進行修訂，導致缺乏可操作性。

系統建設管理不到位。系統建設過程中落實信息安全“同步建設”原則不到位。在軟件開發階段較普遍未遵循安全編碼規范，導致安全功能缺失、應用層漏洞頻現。在系統驗收階段，很多單位僅注重業務功能驗收，缺乏專門的安全性測試；電子政務類項目較普遍未按規定在項目驗收環節完成“一證兩報告”（即等級測評報告、風險評估報告和系統備案證明）。

系統運維管理不到位。在系統運維管理方面，部分單位運維和開發崗位不分，職責不清，存在一人身兼數職現象。很多單位在信息資產管理、介質管理、變更管理等方面缺乏操作規程和相關記錄，數據備份策略不明，應急預案不完善并缺乏演練。

關鍵技術措施有待落實

分析近年來的測評結果，安全技術措施不足問題主要體現在以下幾個方面：

在物理安全方面，隨著電子政務集約化建設的推進，大量信息系統已經集中到高規格的專業機房，但仍有部分單位自有機房條件簡陋，位置選擇不規范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環境監控措施不足。

在網絡安全方面，常見網絡和安全設備的配置不到位，如未合理劃分區域、未精細配置訪問控制策略、未對重要設備做地址綁定等；較普遍缺少專業審計系統。部分單位設備老舊，安全產品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產控制的重要信息系統在網絡層面未采取必要安全措施的同時，還違規接通互聯網，存在極大的安全隱患。

在主機安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外，由于主流操作系統和數據庫很少支持強制訪問控制機制，相關要求普遍未落實。

在應用安全方面，很多應用軟件安全功能不足，缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試，相當一部分系統存在高危風險，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網頁木馬等問題。

在數據安全方面，較常見的是數據保密性和完整性措施薄弱。此外，部分信息系統的備份和恢復措施欠完善，缺乏有效的災難恢復手段。

針對新技術的等級保護測評標準有待出臺

隨著浙江政務服務網的大力推進，省內各級政務云平臺的建設使用已全面開展，有相當數量的電子政務系統已遷移上云。同時涉及城市公共設施、水電氣等工控系統密集的行業對等級保護工作越來越重視，對云計算、工控系統、移動APP等的測評需求不斷加大。但現有的《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》未涉及云計算、工業控制、移動互聯等領域，在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。

重要信息系統安全保護對策建議

針對上述存在的問題，本文提出以下對策建議，以供參考。

提高信息安全意識

提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展，還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫，強化對全員的安全意識教育和考查。建議結合一些合適的安全職業技能培訓，落實信息安全相關崗位“持證上崗”的要求。

加強信息安全管理

“三分技術，七分管理”，各單位應轉變觀念，將“信息安全”與“系統穩定、功能正常”同等重視起來，將安全管理要求與自身業務緊密結合，制訂完善的體系化的安全管理制度。

在系統建設管理過程中，應要求開發人員遵循安全編碼規范進行開發；在系統驗收環節，應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求，驗收階段完成等級測評，未通過測評的應不予驗收。

在系統運維管理方面，應加強制定信息系統日常管理操作的詳細規范，明確定義工作流程和操作步驟，使日常運行管理制度化、規范化。對信息資產按重要性進行分類梳理，建立完善應急災備措施，定期開展演練，確保備份的有效性。

落實關鍵技術措施

針對測評發現的問題，各單位應根據系統所定級別，結合自身條件，綜合考慮問題的影響范圍、嚴重程度、整改難度等因素，制定整改計劃，有步驟地落實相關技術措施。對于策略配置類的問題及時糾正；對于整改難度大、需要添置硬件或修改代碼的問題，應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題，建議國家加強相關產業政策的引導，促進安全廠商研發技術、推出產品，解決市場供應問題。各級主管部門應通過測評、整改、監督檢查、再測評的閉環管理，督促關鍵技術措施的落實。

加快新技術的等級保護測評標準編制工作

目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準，尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚，隨著智慧城市、云計算、大數據、移動互聯、工業控制等新技術的快速應用，安全標準相對滯后的問題更加突出，應進一步加快相關新標準的制定。

（作者單位：浙江省發展信息安全測評技術有限公司 ）