等級保護與三同步的過程結合

廖其耀，李若虹

（廣西壯族自治區(qū)信息安全測評中心，南寧 530001）

1 網絡與信息安全“三同步”

網絡與信息安全“三同步”，指在信息系統(tǒng)生命周期中，網絡與信息安全要實現(xiàn)“同步規(guī)劃”、“同步建設”、“同步使用”[1]。

“三同步”是信息系統(tǒng)自身的要求。信息系統(tǒng)是為特定業(yè)務目標信息化而構建的，而信息安全是信息系統(tǒng)的安全保障。一般而言，信息系統(tǒng)生命周期包括規(guī)劃、建設、使用/運營三個階段。其中建設又包括系統(tǒng)分析、系統(tǒng)設計（概要設計/詳細設計）、系統(tǒng)實施/編碼、系統(tǒng)驗收等階段。只有落實“三同步”，在項目規(guī)劃、建設階段中強化落實安全要求，才能避免在后期的運營/使用階段進行安全整改導致的業(yè)務風險大、改造難度大、投入成本高、耗時、耗力。只有落實“三同步”，才能有效形成信息系統(tǒng)的安全防護能力，為做好后續(xù)運維工作打下基礎。

2 網絡安全等級保護

《網絡安全法》規(guī)定“國家實行網絡安全等級保護制度”[1]。等級保護，指對信息系統(tǒng)按等級進行保護，對信息產品/信息安全產品按等級進行管理，對信息安全事件按等級進行應對[2]。等級保護基于“自主保護”，“重點保護”，“同步建設”，“動態(tài)調整”等原則，為系統(tǒng)備案單位協(xié)調信息安全與信息化工作、開展等級保護提供了指導。

當前我國等保的工作流程包括定級、備案、測評、建設/整改、監(jiān)督檢查共5個步驟。定級指信息系統(tǒng)運營/使用單位根據信息系統(tǒng)的重要程度、信息系統(tǒng)遭到破壞后的危害程度確定信息系統(tǒng)等級。備案指信息系統(tǒng)運營單位對二級以上信息系統(tǒng)到所在地市級以上公安機關辦理備案手續(xù)。建設/整改指信息系統(tǒng)備案機構根據等保要求和信息安全要求進行安全建設和整改。等級測評指測評機構根據相關等級保護國家標準，對系統(tǒng)的安全保護措施進行檢測評估。定期自查、督導檢查與監(jiān)督檢查指備案單位對信息系統(tǒng)進行定期自查、行業(yè)主管部門定期進行督導檢查、公安機關定期進行等保檢查。

3 等級保護與“三同步”的結合

3.1 等級保護和“三同步”結合的基本原則

等級保護是我國的基本信息安全制度。信息安全是信息系統(tǒng)自身的要求。為此，企業(yè)為了將等級保護要求和系統(tǒng)自身安全需求相融合，有效落實信息安全工作，必須確立等級保護和“三同步”的融合原則。等級保護和“三同步”的融合原則是將等級保護工作納入信息安全工作，將信息安全工作納入信息化工作之中。將等級保護流程融入信息系統(tǒng)/項目生命周期[3]。

等級保護要求不能替代信息安全。等級保護標準《GB/T22239信息系統(tǒng)安全等級保護基本要求》明確其是“基本要求”，但該標準是國家層面的要求。如果建設單位有更高要求或針對其業(yè)務的特殊信息安全需求，需將等級保護納入其信息安全之中。

此外，必須將等保工作流程納入信息系統(tǒng)生命周期之中，才能提高等級保護和信息安全工作的有效性，有效落實等級保護和信息安全工作。

3.2 等級保護和“三同步”的結合點

《信息安全等級保護管理辦法》的備案規(guī)定為新建二級以上系統(tǒng)，應在運營后30日內，由其運營使用單位辦理備案手續(xù)。為將等級保護與“三同步”進行融合，基于該備案要求，以及信息系統(tǒng)的“規(guī)劃、建設、運營/使用”三階段生命周期，形成等級保護與“三同步”的結合點。在信息系統(tǒng)總體規(guī)劃階段進行定級。在信息系統(tǒng)使用階段進行等級保護的“備案、測評、整改、自查和監(jiān)督檢查”工作。而在系統(tǒng)建設階段，將等級保護要求以及系統(tǒng)信息安全要求納入系統(tǒng)的建設全過程之中，確保建設出符合等級保護要求和信息安全要求的信息系統(tǒng)。

4 系統(tǒng)建設階段落實等保要求和“三同步”

如前文所述，在等保工作流程和“三同步”流程的結合中，在系統(tǒng)規(guī)劃階段進行等保定級，在系統(tǒng)運營使用階段進行等保備案、測評、監(jiān)督檢查等工作。因此，如何在系統(tǒng)建設過程中協(xié)調多家軟件廠商/集成廠商有效落實等保要求，是等級保護與“三同步”結合的關鍵點。為此，在系統(tǒng)建設過程及其系統(tǒng)采購合同、系統(tǒng)分析、系統(tǒng)設計、系統(tǒng)實施、系統(tǒng)驗收各階段中，必須充分協(xié)調各方廠商落實等級保護和信息安全要求。

在采購合同中，將等級保護和信息安全要求納入合同條款，通過合同條款落實系統(tǒng)集成商、軟件開發(fā)商、廠商的責任，避免乙方后期工作不積極而無據可依的問題。

在系統(tǒng)分析、系統(tǒng)設計、系統(tǒng)實施階段，軟件開發(fā)商/集成商根據系統(tǒng)業(yè)務和功能特性，結合等級保護要求和系統(tǒng)的一般安全要求，結合系統(tǒng)面臨的風險和威脅，形成系統(tǒng)的安全需求，形成安全基線，并進行有針對性的設計、實施和測試。例如，設計時從安全性、成本和用戶體驗綜合考慮并選擇安全措施。實施時形成安全編碼規(guī)范并進行安全編碼。軟件測試/系統(tǒng)測試時進行軟件安全功能測試、源代碼審查、系統(tǒng)安全測試。

在系統(tǒng)上線/驗收階段，系統(tǒng)運營使用方可成立系統(tǒng)上線驗收小組，對系統(tǒng)進行全面的安全驗收檢查，包括安全功能測試、源碼安全測試、安全配置基線核查、工具掃描、滲透測試等。對驗收過程中發(fā)現(xiàn)的問題及時進行整改，保證安全風險必須得到控制后才可上線。

在系統(tǒng)建設各階段，加強安全測試和驗證、工程管理、監(jiān)理、評審，保證等級保護要求和信息安全要求的落實，保證系統(tǒng)上線時，系統(tǒng)的所有安全風險必須是可控的。

5 結束語

等級保護已成為我國信息安全的基本制度。“三同步”是信息安全和信息系統(tǒng)自身的要求。只有在信息系統(tǒng)生命周期中實現(xiàn)等級保護和“三同步”的結合，并在系統(tǒng)建設過程中協(xié)調各方落實等級保護需求和信息安全需求，才能實現(xiàn)國家信息安全基本制度和信息系統(tǒng)自身要求相結合，保證信息系統(tǒng)的業(yè)務安全。