基于等級(jí)測(cè)評(píng)實(shí)踐的信息安全狀況分析

祝利鋒

信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作。

近年來(lái)，隨著信息安全等級(jí)保護(hù)工作機(jī)制的不斷完善，主管部門(mén)監(jiān)督檢查力度的不斷加大，信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)的數(shù)量穩(wěn)步增長(zhǎng)，測(cè)評(píng)覆蓋率顯著提升。通過(guò)統(tǒng)計(jì)分析本單位近些年測(cè)評(píng)的數(shù)百個(gè)信息系統(tǒng)的數(shù)據(jù)，可以得出以下結(jié)論：一是較早開(kāi)展等級(jí)測(cè)評(píng)的行業(yè)，經(jīng)過(guò)測(cè)評(píng)和整改建設(shè)，測(cè)評(píng)符合率逐年提高；二是隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn)，近期才開(kāi)展首次測(cè)評(píng)的行業(yè)特別是基層單位的信息安全工作基礎(chǔ)較薄弱，測(cè)評(píng)得分明顯偏低。通過(guò)對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等10個(gè)層面的測(cè)評(píng)結(jié)果進(jìn)行統(tǒng)計(jì)，其中網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、系統(tǒng)運(yùn)維管理等方面的不符合率相對(duì)較高，信息系統(tǒng)的建設(shè)、使用、運(yùn)維階段存在一些較普遍的問(wèn)題。

信息系統(tǒng)安全保護(hù)措施落實(shí)情況分析

整體而言，隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn)，黨政機(jī)關(guān)、企事業(yè)單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的認(rèn)識(shí)和重視程度得到普遍提升，在管理和技術(shù)兩方面主要采取了以下安全措施：

信息安全管理措施落實(shí)情況

在信息安全管理方面呈現(xiàn)出兩級(jí)分化的特點(diǎn)。一些重點(diǎn)行業(yè)的業(yè)務(wù)信息化程度高、自身信息技術(shù)隊(duì)伍力量足、信息安全投入經(jīng)費(fèi)有保障，其安全管理措施一般也能得到有效落實(shí)，在機(jī)構(gòu)、人員、制度、建設(shè)管理、運(yùn)維管理等方面均能較好地符合相關(guān)標(biāo)準(zhǔn)的要求。這一類的典型包括銀行、證券、電力等行業(yè)主管部門(mén)對(duì)信息安全監(jiān)管嚴(yán)格的幾大行業(yè)。相反，部分對(duì)信息系統(tǒng)管控相對(duì)松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門(mén)，其信息安全專業(yè)人員的配備達(dá)不到標(biāo)準(zhǔn)規(guī)范的要求，安全責(zé)任部門(mén)地位偏低權(quán)限不足，很難制定并有效貫徹落實(shí)結(jié)合本單位實(shí)際的信息安全管理制度。

信息安全技術(shù)措施落實(shí)情況

多數(shù)單位通過(guò)部署邊界安全設(shè)備，強(qiáng)化入侵防范措施來(lái)提高網(wǎng)絡(luò)的安全性；通過(guò)加固操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全策略，啟用安全審計(jì)，安裝殺毒軟件等措施，來(lái)提高主機(jī)安全防護(hù)水平；通過(guò)開(kāi)發(fā)應(yīng)用系統(tǒng)的安全模塊，從身份鑒別、訪問(wèn)控制、日志記錄等方面，強(qiáng)化業(yè)務(wù)應(yīng)用的安全性；通過(guò)部署數(shù)據(jù)備份設(shè)備、加密措施，加強(qiáng)對(duì)數(shù)據(jù)安全的保護(hù)。

信息系統(tǒng)常見(jiàn)安全問(wèn)題分析

隨著等級(jí)測(cè)評(píng)工作的覆蓋面進(jìn)一步擴(kuò)大，近年來(lái)初次測(cè)評(píng)的單位和基層部門(mén)仍發(fā)現(xiàn)一些典型問(wèn)題。

信息安全意識(shí)有待提高

很多單位對(duì)當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)認(rèn)識(shí)不足，將信息安全工作視為被動(dòng)應(yīng)付上級(jí)檢查、被動(dòng)應(yīng)對(duì)安全事件的任務(wù)來(lái)消極對(duì)待。一些單位認(rèn)為取得“基本符合”的測(cè)評(píng)結(jié)論就高枕無(wú)憂，完成測(cè)評(píng)備案就完成了等級(jí)保護(hù)。由此造成對(duì)信息安全合規(guī)的落實(shí)不夠、資金和人員投入不足、重建設(shè)輕運(yùn)維、有制度無(wú)執(zhí)行、有預(yù)案不演練等問(wèn)題，根源還是安全意識(shí)薄弱。

信息安全管理有待加強(qiáng)

信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面。

信息安全管理制度不完善?；鶎訂挝恍畔踩芾碇贫炔蝗?、人員配備不足、授權(quán)審批流于形式、執(zhí)行記錄缺失等問(wèn)題較為常見(jiàn)。部分單位的信息安全管理制度照搬模版，未結(jié)合本單位實(shí)際進(jìn)行修訂，導(dǎo)致缺乏可操作性。

系統(tǒng)建設(shè)管理不到位。系統(tǒng)建設(shè)過(guò)程中落實(shí)信息安全“同步建設(shè)”原則不到位。在軟件開(kāi)發(fā)階段較普遍未遵循安全編碼規(guī)范，導(dǎo)致安全功能缺失、應(yīng)用層漏洞頻現(xiàn)。在系統(tǒng)驗(yàn)收階段，很多單位僅注重業(yè)務(wù)功能驗(yàn)收，缺乏專門(mén)的安全性測(cè)試；電子政務(wù)類項(xiàng)目較普遍未按規(guī)定在項(xiàng)目驗(yàn)收環(huán)節(jié)完成“一證兩報(bào)告”（即等級(jí)測(cè)評(píng)報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告和系統(tǒng)備案證明）。

系統(tǒng)運(yùn)維管理不到位。在系統(tǒng)運(yùn)維管理方面，部分單位運(yùn)維和開(kāi)發(fā)崗位不分，職責(zé)不清，存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產(chǎn)管理、介質(zhì)管理、變更管理等方面缺乏操作規(guī)程和相關(guān)記錄，數(shù)據(jù)備份策略不明，應(yīng)急預(yù)案不完善并缺乏演練。

關(guān)鍵技術(shù)措施有待落實(shí)

分析近年來(lái)的測(cè)評(píng)結(jié)果，安全技術(shù)措施不足問(wèn)題主要體現(xiàn)在以下幾個(gè)方面：

在物理安全方面，隨著電子政務(wù)集約化建設(shè)的推進(jìn)，大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機(jī)房，但仍有部分單位自有機(jī)房條件簡(jiǎn)陋，位置選擇不規(guī)范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環(huán)境監(jiān)控措施不足。

在網(wǎng)絡(luò)安全方面，常見(jiàn)網(wǎng)絡(luò)和安全設(shè)備的配置不到位，如未合理劃分區(qū)域、未精細(xì)配置訪問(wèn)控制策略、未對(duì)重要設(shè)備做地址綁定等；較普遍缺少專業(yè)審計(jì)系統(tǒng)。部分單位設(shè)備老舊，安全產(chǎn)品本身存在一定缺陷導(dǎo)致無(wú)法滿足等級(jí)保護(hù)要求。個(gè)別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡(luò)層面未采取必要安全措施的同時(shí)，還違規(guī)接通互聯(lián)網(wǎng)，存在極大的安全隱患。

在主機(jī)安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計(jì)功能、不及時(shí)更新補(bǔ)丁、不關(guān)閉非必要服務(wù)等問(wèn)題。此外，由于主流操作系統(tǒng)和數(shù)據(jù)庫(kù)很少支持強(qiáng)制訪問(wèn)控制機(jī)制，相關(guān)要求普遍未落實(shí)。

在應(yīng)用安全方面，很多應(yīng)用軟件安全功能不足，缺少身份鑒別、審計(jì)日志、信息加密等能力。由于很少進(jìn)行安全掃描、滲透測(cè)試，相當(dāng)一部分系統(tǒng)存在高危風(fēng)險(xiǎn)，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網(wǎng)頁(yè)木馬等問(wèn)題。

在數(shù)據(jù)安全方面，較常見(jiàn)的是數(shù)據(jù)保密性和完整性措施薄弱。此外，部分信息系統(tǒng)的備份和恢復(fù)措施欠完善，缺乏有效的災(zāi)難恢復(fù)手段。

針對(duì)新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)有待出臺(tái)

隨著浙江政務(wù)服務(wù)網(wǎng)的大力推進(jìn)，省內(nèi)各級(jí)政務(wù)云平臺(tái)的建設(shè)使用已全面開(kāi)展，有相當(dāng)數(shù)量的電子政務(wù)系統(tǒng)已遷移上云。同時(shí)涉及城市公共設(shè)施、水電氣等工控系統(tǒng)密集的行業(yè)對(duì)等級(jí)保護(hù)工作越來(lái)越重視，對(duì)云計(jì)算、工控系統(tǒng)、移動(dòng)APP等的測(cè)評(píng)需求不斷加大。但現(xiàn)有的《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》未涉及云計(jì)算、工業(yè)控制、移動(dòng)互聯(lián)等領(lǐng)域，在測(cè)評(píng)實(shí)踐中已遇到諸多不適應(yīng)情況。針對(duì)這些新技術(shù)新應(yīng)用的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)需求已非常迫切。

重要信息系統(tǒng)安全保護(hù)對(duì)策建議

針對(duì)上述存在的問(wèn)題，本文提出以下對(duì)策建議，以供參考。

提高信息安全意識(shí)

提高全員信息安全意識(shí)是全面提升信息安全保障水平的根本解決之道。要樹(shù)立全體人員的安全觀念，加強(qiáng)信息安全培訓(xùn)。除了通過(guò)強(qiáng)化工作考核和安全檢查來(lái)督促信息安全工作的深入開(kāi)展，還應(yīng)通過(guò)多種方式開(kāi)展信息安全政策解讀和信息安全標(biāo)準(zhǔn)宣貫，強(qiáng)化對(duì)全員的安全意識(shí)教育和考查。建議結(jié)合一些合適的安全職業(yè)技能培訓(xùn)，落實(shí)信息安全相關(guān)崗位“持證上崗”的要求。

加強(qiáng)信息安全管理

“三分技術(shù)，七分管理”，各單位應(yīng)轉(zhuǎn)變觀念，將“信息安全”與“系統(tǒng)穩(wěn)定、功能正常”同等重視起來(lái)，將安全管理要求與自身業(yè)務(wù)緊密結(jié)合，制訂完善的體系化的安全管理制度。

在系統(tǒng)建設(shè)管理過(guò)程中，應(yīng)要求開(kāi)發(fā)人員遵循安全編碼規(guī)范進(jìn)行開(kāi)發(fā)；在系統(tǒng)驗(yàn)收環(huán)節(jié)，應(yīng)認(rèn)真做好安全性驗(yàn)收測(cè)試。在電子政務(wù)領(lǐng)域應(yīng)落實(shí)國(guó)家對(duì)電子政務(wù)項(xiàng)目管理的制度要求，驗(yàn)收階段完成等級(jí)測(cè)評(píng)，未通過(guò)測(cè)評(píng)的應(yīng)不予驗(yàn)收。

在系統(tǒng)運(yùn)維管理方面，應(yīng)加強(qiáng)制定信息系統(tǒng)日常管理操作的詳細(xì)規(guī)范，明確定義工作流程和操作步驟，使日常運(yùn)行管理制度化、規(guī)范化。對(duì)信息資產(chǎn)按重要性進(jìn)行分類梳理，建立完善應(yīng)急災(zāi)備措施，定期開(kāi)展演練，確保備份的有效性。

落實(shí)關(guān)鍵技術(shù)措施

針對(duì)測(cè)評(píng)發(fā)現(xiàn)的問(wèn)題，各單位應(yīng)根據(jù)系統(tǒng)所定級(jí)別，結(jié)合自身?xiàng)l件，綜合考慮問(wèn)題的影響范圍、嚴(yán)重程度、整改難度等因素，制定整改計(jì)劃，有步驟地落實(shí)相關(guān)技術(shù)措施。對(duì)于策略配置類的問(wèn)題及時(shí)糾正；對(duì)于整改難度大、需要添置硬件或修改代碼的問(wèn)題，應(yīng)在充分測(cè)試和試運(yùn)行的基礎(chǔ)上實(shí)施整改。對(duì)于強(qiáng)制訪問(wèn)控制、敏感標(biāo)記、雙因子鑒別等難點(diǎn)問(wèn)題，建議國(guó)家加強(qiáng)相關(guān)產(chǎn)業(yè)政策的引導(dǎo)，促進(jìn)安全廠商研發(fā)技術(shù)、推出產(chǎn)品，解決市場(chǎng)供應(yīng)問(wèn)題。各級(jí)主管部門(mén)應(yīng)通過(guò)測(cè)評(píng)、整改、監(jiān)督檢查、再測(cè)評(píng)的閉環(huán)管理，督促關(guān)鍵技術(shù)措施的落實(shí)。

加快新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)編制工作

目前公安部信息安全等級(jí)保護(hù)評(píng)估中心在牽頭起草針對(duì)云計(jì)算安全的等級(jí)保護(hù)標(biāo)準(zhǔn)，尚處于征求意見(jiàn)階段。其余新技術(shù)領(lǐng)域的等級(jí)保護(hù)標(biāo)準(zhǔn)制定工作進(jìn)度更晚，隨著智慧城市、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、工業(yè)控制等新技術(shù)的快速應(yīng)用，安全標(biāo)準(zhǔn)相對(duì)滯后的問(wèn)題更加突出，應(yīng)進(jìn)一步加快相關(guān)新標(biāo)準(zhǔn)的制定。

（作者單位：浙江省發(fā)展信息安全測(cè)評(píng)技術(shù)有限公司 ）