等級保護測評過程中的風險控制

宋超臣 王希忠

（黑龍江省信息安全測評中心 黑龍江 150090）

0 引言

隨著信息技術的廣泛應用和迅速發(fā)展，信息安全已經(jīng)成為了影響社會發(fā)展的重要議題。信息安全涉及到國家的政治、經(jīng)濟、軍事、文化、教育等諸多領域，信息的存儲、傳輸和處理是政府進行宏觀調(diào)控與決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息的有力依據(jù)。信息作為一種特殊的資源，面臨非法篡改、偽造、竊取以及截取等安全隱患，并導致信息的丟失、泄密、甚至造成惡意代碼的傳播，給國家的信息化建設帶來不利影響。進入二十一世紀以來，我國信息安全問題涉及的領域不斷擴大，這已經(jīng)引起了我國政府的高度重視。

信息安全等級保護制度是我國應對信息安全風險，及時發(fā)現(xiàn)信息系統(tǒng)漏洞的一項重要舉措。實行信息安全等級保護制度有利于提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展[1]。為了推動信息安全等級保護工作，公安部根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》（147號令）會同有關部門制定了信息安全等級保護配套的政策體系和標準體系。《信息安全等級保護管理辦法》（公通字[2007]43號）明確了信息安全等級保護工作包括定級備案、建設整改、等級測評和監(jiān)督檢查等主要工作[2]。

目前，信息安全等級保護工作的研究主要集中在測評方法、理論、模型、流程等方面，沒有考慮到測評過程中的如何規(guī)避測評風險，如何保障被測信息系統(tǒng)的正常運行，不引人第三方風險等。本文針對上述問題，從測評準備、測評過程和測評結(jié)果等三方面分析面臨的信息安全風險。

本文第1節(jié)給出了項目研究背景；第2節(jié)測評過程中的主要風險及如何控制；第3節(jié)總結(jié)本文并指出下一步的工作。

1 研究背景

1.1 工作背景

隨著信息技術的廣泛應用和迅速發(fā)展，信息安全問題涉及的領域越來越多，做好信息安全工作是保障國家經(jīng)濟建設持續(xù)健康發(fā)展的當務之急。2003年9月，中共中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）文件，指出“要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)”，此后國家不斷加大信息安全工作力度，先后發(fā)布了一系列加強信息安全保障工作的政策[3]。

黨的十七大報告中指出“發(fā)展現(xiàn)代產(chǎn)業(yè)體系，大力推進信息化與工業(yè)化融合”，這一方針對信息安全保障工作提出了更高要求。《中華人民共和國國民經(jīng)濟和社會發(fā)展第十一個五年規(guī)劃綱要》中指出，“積極推進信息化，要堅持以信息化帶動工業(yè)化，以工業(yè)化促進信息化，提高經(jīng)濟社會信息化水平”。要“強化信息安全保障”，“積極防御、綜合防范，提高信息安全保障能力；強化安全監(jiān)控、應急響應、密鑰管理、網(wǎng)絡信任等信息安全基礎設施建設；加強基礎信息網(wǎng)絡和國家重要信息系統(tǒng)的安全防護；推進信息安全產(chǎn)品產(chǎn)業(yè)化；發(fā)展咨詢、測評、災備等專業(yè)化信息安全服務；健全安全等級保護、風險評估和安全準入制度”。國家發(fā)改委等三部委聯(lián)合發(fā)布的《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技[2008]2071號）中，也明確指出要“加強和規(guī)范國家電子政務工程建設項目信息安全風險評估工作”。

1.2 測評流程

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置[4]。

等級測評過程分為四個基本測評活動【信息安全技術 信息系統(tǒng)安全等級保護測評過程指南】：測評準備活動、方案編制活動、現(xiàn)場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。

測評準備活動本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。本活動的主要任務是掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。

方案編制活動是開展等級測評工作的關鍵活動，為現(xiàn)場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統(tǒng)相適應的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導書測評指導書，形成測評方案。

現(xiàn)場測評活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執(zhí)行測評指導書測評指導書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

分析與報告編制活動是給出等級測評工作結(jié)果的活動，是總結(jié)被測系統(tǒng)整體安全保護能力的綜合評價活動。本活動的主要任務是根據(jù)現(xiàn)場測評結(jié)果，通過單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風險分析等方法，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統(tǒng)面臨的風險，從而給出等級測評結(jié)論，形成測評報告文本。

2 風險控制

2.1 測評風險

由于等級保護測評機構(gòu)的引入，對被測單位會造成一定影響，甚至影響到系統(tǒng)的正常運行。等級測評實施過程中，被測系統(tǒng)可能面臨以下風險[5]：

（1）系統(tǒng)功能性驗證。在現(xiàn)場測評時，需要對設備和系統(tǒng)進行一定的驗證測試工作，部分測試內(nèi)容需要上機查看一些信息，這就可能對系統(tǒng)的運行造成一定的影響，甚至存在誤操作的可能。

（2）工具測試影響系統(tǒng)正常運行。在現(xiàn)場測評時，會使用一些技術測試工具進行漏洞掃描測試、性能測試甚至抗?jié)B透能力測試。測試可能會對系統(tǒng)的負載造成一定的影響，漏洞掃描測試和滲透測試可能對服務器和網(wǎng)絡通訊造成一定影響甚至傷害。

（3）敏感信息泄漏。泄漏被測系統(tǒng)狀態(tài)信息，如網(wǎng)絡拓撲、IP地址、業(yè)務流程、安全機制、安全隱患和有關文檔信息。

2.2 風險控制

針對以上測評風險，應在日常工作中和測評過程的準備階段、方案編制階段、現(xiàn)場測評階段予以控制[6]。

2.2.1 敏感信息泄露防范

敏感信息泄露防范要從人員管理和設備管理兩方面入手。人員管理一方面采用安全管理的方式加強信息安全教育，提高信息安全意識，避免主觀泄露被測單位信息的可能；另一方面采用保密合同，確保測評人員泄露被測單位信息后，可追究責任，必要時可采取法律手段。所以，各測評單位應建立相關制度，定期進行人員教育，并對人員錄用、離崗等相關過程做出規(guī)定，防范主觀上泄露被測單位的敏感信息。

設備管理要注意測評存儲介質(zhì)保管、工作計算機的惡意代碼防范。對存儲被測單位信息的介質(zhì)，要妥善保管，制定相應制度和審批程序，防止存儲介質(zhì)的混用和丟失。工作計算機要做好惡意代碼的防范工作，對存有敏感信息的工作計算機要做到專機專用，并防止其接入互聯(lián)網(wǎng)，造成被測單位信息泄露。

總之，要防范敏感信息泄露要制定嚴格的管理制度和相應流程，規(guī)范測評設備的使用，制約測評人員行為，減少敏感信息泄露的可能性。

2.2.2 系統(tǒng)功能驗證風險防范

在等級保護測評過程中，主要有訪談、檢查和測試三種測評方式。在設備配置查看過程中，誤操作容易引起被測系統(tǒng)的異常，而測試過程中，例如輸入數(shù)據(jù)檢查驗證，則有可能進行驗證而對信息系統(tǒng)造成破壞。要規(guī)避系統(tǒng)功能驗證風險必須在準備階段充分了解被測信息系統(tǒng)的情況，除了必要的信息收集外，還應查看相關開發(fā)文件和配置說明等。應避免有風險的功能驗證，如查看信息系統(tǒng)的源代碼或說明文件檢查被測信息系統(tǒng)是否達到等保要求的功能。為防范誤操作引起的風險，應在測評準備階段制定相應的應急預案。應急預案應通過被測單位的審查，檢驗其有效性。在測評前，重要信息系統(tǒng)應進行備份。

2.2.3 工具測試風險范

由于工具測試對網(wǎng)絡帶寬和設備性能會造成一定影響，滲透性測試還可能破壞系統(tǒng)的可用性，因此在測評準備階段要充分了解掃描系統(tǒng)的掃描策略，并對被測單位的設備性能、網(wǎng)絡帶寬等進行調(diào)研。在制定掃描計劃時，應避免網(wǎng)絡高峰和設備繁忙時段，并針對被測信息系統(tǒng)制定安全的掃描策略。

3 結(jié)束語

本文針對現(xiàn)有等級保護測評過程中缺乏風險規(guī)避的問題，提出了一種風險控制方法，提高了測評過程中的安全性。在未來工作中，應將風險控制引入到測評流程中，建立一套安全、可行的等級保護測評流程。

[1]沈昌祥.加快推進信息安全等級保護工作[J].特別報道，2008，5.

[2]趙戰(zhàn)生.理解等級保護，落實等級保護[J].警察技術，2007，5.

[3]朱建平 李 明.信息安全等級保護標準體系研究[J].信息安全，2005，5.

[4]楊磊，郭志博.信息安全等級保護的等級測評[J].中國人民公安大學學報，2010，51.

[5]王代潮.實踐等級保護 加強風險管理[J].技術與應用，2007，5.

[6]信息系統(tǒng)安全等級保護測評過程指南.中國國家標準化管理委員會，2007.