關于等級保護

一、國家信息安全等級保護情況概述

1994年,國務院頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》,規(guī)定:計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。這一重大決定,明確了關于實行信息安全等級保護制度的有關規(guī)定,提出從整體上、根本上解決國家信息安全問題的辦法,從而也拉開了等級保護工作的序幕。信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護信息安全的根本保障,是信息安全保障工作中國家意志的體現(xiàn)。信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段

timg.jpg

二、等保的發(fā)展歷程

● 1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令):第一次提出“計算機信息系統(tǒng)實行安全等級保護”概念。

● 1999年,國家標準GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》頒布;1999年底,公安部與信息產(chǎn)業(yè)部、國家安全部、國家保密局、國家密碼管理委員會等相關部門起草了《計算機信息系統(tǒng)安全保護等級制度建設綱要》;

● 2003年,中共中央辦公廳、國務院辦公廳轉發(fā)了《國家信息化領導小組關于加強信息安全保障的意見》(中辦發(fā)[2003]27號);
● 2004年公安部聯(lián)合國家保密局、國家密碼管理局、國家保密委員會和國務院信息化工作辦公室發(fā)布《關于信息安全等級保護工作的實施意見》(公通字[2004]66號);2005年底,公安部和國務院信息化工作辦公室聯(lián)合印發(fā)了《關于開展信息系統(tǒng)安全等級保護基礎調查工作的通知》(公信安[2005]1431號);
● 2006年6月,公安部、國家保密局、國家密碼管理局、國務院信息辦聯(lián)合下發(fā)了《關于開展信息安全等級保護試點工作的通知》(公信安[2006]573號);
● 2007年6月,公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室聯(lián)合下發(fā)了《信息安全等級保護管理辦法》(公通字[2007]43號)等等。

● 2008年《信息安全技術 信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008):明確對于各等級信息系統(tǒng)的安全保護基本要求。

● 2017年《中華人民共和國網(wǎng)絡安全法》:第二十一條明確國家實行等級保護制度,落實等級保護制度已經(jīng)上升到法律層面。

● 2018年 《網(wǎng)絡安全等級保護條例》征求意見稿發(fā)布。


三、國家在出臺相關政策文件的同時,也逐步發(fā)布了對應執(zhí)行的技術標準及規(guī)范,部分內容包括:

● 《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-1999

● 《信息安全技術信息系統(tǒng)安全等級保護定級指南》GB/T22240-2008

● 《信息安全技術信息系統(tǒng)安全等級保護實施指南》

● 《信息安全技術信息系統(tǒng)安全等級保護基本要求》GB/T22239-2008

● 《信息安全技術系統(tǒng)安全等級保護通用安全技術要求》GB/T20271-2006


測評工作是落實等級保護工作的重要過程,是等級保護建設過程的必要環(huán)節(jié),按照等級保護相關要求,各地分別依據(jù)相關法規(guī),通過評審、審查等過程評選出了等級保護測評機構。截止到目前為止,全國范圍內包括公安部信息安全等級保護評估中心、國家信息技術安全研究中心、中國信息安全測評中心、電力行業(yè)信息安全等級保護測評中心等在內已有將近上百家測評機構,負責落實測評工作,推動著等級保護工作的落實。
等級保護中應用安全及數(shù)據(jù)庫安全的測評要求
依據(jù)等級保護相關文件及標準,信息系統(tǒng)等級保護建設的內容覆蓋兩個方面,分別是安全技術體系和安全管理體系。按照《等級保護測評要求》的描述,等級保護測評的具體項為技術要求和管理要求,測評的方法為訪談/檢查/測試。針對測評過程中測試方法如下描述:測試是測評人員使用預定的方法/工具使測評對象產(chǎn)生特定的行為,通過查看和分析結果以幫助測評人員獲取證據(jù)的過程。
就信息系統(tǒng)而言,數(shù)據(jù)是靈魂,應用是軀體。對信息系統(tǒng)的安全測評,很大程度上就是對應用和數(shù)據(jù)庫的測評。
每個信息系統(tǒng)使用單位,基本都建設有門戶網(wǎng)站系統(tǒng),甚至還有基于B/S架構的更龐大的內部業(yè)務系統(tǒng)??上攵燃壉Wo測評過程中會涉及到多少的WEB應用系統(tǒng)。而數(shù)據(jù)庫系統(tǒng)是所有應用系統(tǒng)的基礎,是某些行業(yè)的核心、心臟,是應用系統(tǒng)部不可或缺的一個部分,更是信息安全保障體系建設內容的重要組成部分。

四、針對應用系統(tǒng)的測評,《等級保護測評要求》就測評方法作如下描述:

● 應檢查關鍵應用系統(tǒng),查看應用系統(tǒng)是否具有對人機接口輸入或通信接口輸入的數(shù)據(jù)進行有效性檢驗的功能;

● 應測試關鍵應用系統(tǒng),可通過對人機接口輸入的不同長度或格式的數(shù)據(jù),查看系統(tǒng)的反應,驗證系統(tǒng)人機接口有效性檢驗功能是否正確;

● 應滲透測試主要應用系統(tǒng),進行試圖繞過訪問控制的操作,驗證應用系統(tǒng)的訪問控制功能是否不存在明顯的弱點。


針對數(shù)據(jù)庫系統(tǒng),《等級保護測評要求》就測評方法作如下描述:

● 應檢查關鍵服務器操作系統(tǒng)和關鍵數(shù)據(jù)庫管理系統(tǒng),查看匿名/默認帳戶的訪問權限是否已被禁用或者限制,是否刪除了系統(tǒng)中多余的、過期的以及共享的帳戶;

● 應檢查關鍵服務器操作系統(tǒng)和關鍵數(shù)據(jù)庫管理系統(tǒng)的權限設置情況,查看是否依據(jù)安全策略對用戶權限進行了限制;

     

● 應檢查關鍵服務器操作系統(tǒng)和關鍵數(shù)據(jù)庫管理系統(tǒng)的補丁是否得到了及時更新;

     

● 應檢查關鍵服務器操作系統(tǒng)和關鍵數(shù)據(jù)庫管理系統(tǒng)帳戶列表,查看管理員用戶名分配是否唯一;

     

● 應檢查關鍵服務器操作系統(tǒng)和關鍵數(shù)據(jù)庫管理系統(tǒng),查看是否提供了身份鑒別措施,其身份鑒別信息是否具有不易被冒用的特點,如對用戶登錄口令的最小長度、復雜度和更換周期進行要求和限制;

     

● 應檢查關鍵數(shù)據(jù)庫服務器的數(shù)據(jù)庫管理員與操作系統(tǒng)管理員是否由不同管理員擔任。


等級保護測評技術人員的個人能力參差不齊,因此對于進行技術測試的結果就會有偏差,有些時候,這些偏差會導致整個檢測結果不正確。如果有一種標準化的檢測工具,用來替代人工技術測試,又能得到標準化的結果輸出,而且這種標準化的結果,又能得到業(yè)界的普遍認可,這將會給等級保護測評帶來巨大的裨益。