等級保護與三同步的過程結合

廖其耀，李若虹

（廣西壯族自治區信息安全測評中心，南寧 530001）

1 網絡與信息安全“三同步”

網絡與信息安全“三同步”，指在信息系統生命周期中，網絡與信息安全要實現“同步規劃”、“同步建設”、“同步使用”[1]。

“三同步”是信息系統自身的要求。信息系統是為特定業務目標信息化而構建的，而信息安全是信息系統的安全保障。一般而言，信息系統生命周期包括規劃、建設、使用/運營三個階段。其中建設又包括系統分析、系統設計（概要設計/詳細設計）、系統實施/編碼、系統驗收等階段。只有落實“三同步”，在項目規劃、建設階段中強化落實安全要求，才能避免在后期的運營/使用階段進行安全整改導致的業務風險大、改造難度大、投入成本高、耗時、耗力。只有落實“三同步”，才能有效形成信息系統的安全防護能力，為做好后續運維工作打下基礎。

2 網絡安全等級保護

《網絡安全法》規定“國家實行網絡安全等級保護制度”[1]。等級保護，指對信息系統按等級進行保護，對信息產品/信息安全產品按等級進行管理，對信息安全事件按等級進行應對[2]。等級保護基于“自主保護”，“重點保護”，“同步建設”，“動態調整”等原則，為系統備案單位協調信息安全與信息化工作、開展等級保護提供了指導。

當前我國等保的工作流程包括定級、備案、測評、建設/整改、監督檢查共5個步驟。定級指信息系統運營/使用單位根據信息系統的重要程度、信息系統遭到破壞后的危害程度確定信息系統等級。備案指信息系統運營單位對二級以上信息系統到所在地市級以上公安機關辦理備案手續。建設/整改指信息系統備案機構根據等保要求和信息安全要求進行安全建設和整改。等級測評指測評機構根據相關等級保護國家標準，對系統的安全保護措施進行檢測評估。定期自查、督導檢查與監督檢查指備案單位對信息系統進行定期自查、行業主管部門定期進行督導檢查、公安機關定期進行等保檢查。

3 等級保護與“三同步”的結合

3.1 等級保護和“三同步”結合的基本原則

等級保護是我國的基本信息安全制度。信息安全是信息系統自身的要求。為此，企業為了將等級保護要求和系統自身安全需求相融合，有效落實信息安全工作，必須確立等級保護和“三同步”的融合原則。等級保護和“三同步”的融合原則是將等級保護工作納入信息安全工作，將信息安全工作納入信息化工作之中。將等級保護流程融入信息系統/項目生命周期[3]。

等級保護要求不能替代信息安全。等級保護標準《GB/T22239信息系統安全等級保護基本要求》明確其是“基本要求”，但該標準是國家層面的要求。如果建設單位有更高要求或針對其業務的特殊信息安全需求，需將等級保護納入其信息安全之中。

此外，必須將等保工作流程納入信息系統生命周期之中，才能提高等級保護和信息安全工作的有效性，有效落實等級保護和信息安全工作。

3.2 等級保護和“三同步”的結合點

《信息安全等級保護管理辦法》的備案規定為新建二級以上系統，應在運營后30日內，由其運營使用單位辦理備案手續。為將等級保護與“三同步”進行融合，基于該備案要求，以及信息系統的“規劃、建設、運營/使用”三階段生命周期，形成等級保護與“三同步”的結合點。在信息系統總體規劃階段進行定級。在信息系統使用階段進行等級保護的“備案、測評、整改、自查和監督檢查”工作。而在系統建設階段，將等級保護要求以及系統信息安全要求納入系統的建設全過程之中，確保建設出符合等級保護要求和信息安全要求的信息系統。

4 系統建設階段落實等保要求和“三同步”

如前文所述，在等保工作流程和“三同步”流程的結合中，在系統規劃階段進行等保定級，在系統運營使用階段進行等保備案、測評、監督檢查等工作。因此，如何在系統建設過程中協調多家軟件廠商/集成廠商有效落實等保要求，是等級保護與“三同步”結合的關鍵點。為此，在系統建設過程及其系統采購合同、系統分析、系統設計、系統實施、系統驗收各階段中，必須充分協調各方廠商落實等級保護和信息安全要求。

在采購合同中，將等級保護和信息安全要求納入合同條款，通過合同條款落實系統集成商、軟件開發商、廠商的責任，避免乙方后期工作不積極而無據可依的問題。

在系統分析、系統設計、系統實施階段，軟件開發商/集成商根據系統業務和功能特性，結合等級保護要求和系統的一般安全要求，結合系統面臨的風險和威脅，形成系統的安全需求，形成安全基線，并進行有針對性的設計、實施和測試。例如，設計時從安全性、成本和用戶體驗綜合考慮并選擇安全措施。實施時形成安全編碼規范并進行安全編碼。軟件測試/系統測試時進行軟件安全功能測試、源代碼審查、系統安全測試。

在系統上線/驗收階段，系統運營使用方可成立系統上線驗收小組，對系統進行全面的安全驗收檢查，包括安全功能測試、源碼安全測試、安全配置基線核查、工具掃描、滲透測試等。對驗收過程中發現的問題及時進行整改，保證安全風險必須得到控制后才可上線。

在系統建設各階段，加強安全測試和驗證、工程管理、監理、評審，保證等級保護要求和信息安全要求的落實，保證系統上線時，系統的所有安全風險必須是可控的。

5 結束語

等級保護已成為我國信息安全的基本制度。“三同步”是信息安全和信息系統自身的要求。只有在信息系統生命周期中實現等級保護和“三同步”的結合，并在系統建設過程中協調各方落實等級保護需求和信息安全需求，才能實現國家信息安全基本制度和信息系統自身要求相結合，保證信息系統的業務安全。