祝利鋒

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作。

近年來，隨著信息安全等級保護工作機制的不斷完善，主管部門監(jiān)督檢查力度的不斷加大，信息系統(tǒng)開展等級測評的數(shù)量穩(wěn)步增長，測評覆蓋率顯著提升。通過統(tǒng)計分析本單位近些年測評的數(shù)百個信息系統(tǒng)的數(shù)據(jù)，可以得出以下結(jié)論：一是較早開展等級測評的行業(yè)，經(jīng)過測評和整改建設(shè)，測評符合率逐年提高；二是隨著等級測評工作的持續(xù)推進，近期才開展首次測評的行業(yè)特別是基層單位的信息安全工作基礎(chǔ)較薄弱，測評得分明顯偏低。通過對物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等10個層面的測評結(jié)果進行統(tǒng)計，其中網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、系統(tǒng)運維管理等方面的不符合率相對較高，信息系統(tǒng)的建設(shè)、使用、運維階段存在一些較普遍的問題。

信息系統(tǒng)安全保護措施落實情況分析

整體而言，隨著等級測評工作的持續(xù)推進，黨政機關(guān)、企事業(yè)單位對信息系統(tǒng)安全等級保護的認識和重視程度得到普遍提升，在管理和技術(shù)兩方面主要采取了以下安全措施：

信息安全管理措施落實情況

在信息安全管理方面呈現(xiàn)出兩級分化的特點。一些重點行業(yè)的業(yè)務(wù)信息化程度高、自身信息技術(shù)隊伍力量足、信息安全投入經(jīng)費有保障，其安全管理措施一般也能得到有效落實，在機構(gòu)、人員、制度、建設(shè)管理、運維管理等方面均能較好地符合相關(guān)標準的要求。這一類的典型包括銀行、證券、電力等行業(yè)主管部門對信息安全監(jiān)管嚴格的幾大行業(yè)。相反，部分對信息系統(tǒng)管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業(yè)人員的配備達不到標準規(guī)范的要求，安全責(zé)任部門地位偏低權(quán)限不足，很難制定并有效貫徹落實結(jié)合本單位實際的信息安全管理制度。

信息安全技術(shù)措施落實情況

多數(shù)單位通過部署邊界安全設(shè)備，強化入侵防范措施來提高網(wǎng)絡(luò)的安全性；通過加固操作系統(tǒng)和數(shù)據(jù)庫的安全策略，啟用安全審計，安裝殺毒軟件等措施，來提高主機安全防護水平；通過開發(fā)應(yīng)用系統(tǒng)的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強化業(yè)務(wù)應(yīng)用的安全性；通過部署數(shù)據(jù)備份設(shè)備、加密措施，加強對數(shù)據(jù)安全的保護。

信息系統(tǒng)常見安全問題分析

隨著等級測評工作的覆蓋面進一步擴大，近年來初次測評的單位和基層部門仍發(fā)現(xiàn)一些典型問題。

信息安全意識有待提高

很多單位對當前日趨嚴峻的網(wǎng)絡(luò)安全形勢認識不足，將信息安全工作視為被動應(yīng)付上級檢查、被動應(yīng)對安全事件的任務(wù)來消極對待。一些單位認為取得“基本符合”的測評結(jié)論就高枕無憂，完成測評備案就完成了等級保護。由此造成對信息安全合規(guī)的落實不夠、資金和人員投入不足、重建設(shè)輕運維、有制度無執(zhí)行、有預(yù)案不演練等問題，根源還是安全意識薄弱。

信息安全管理有待加強

信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面。

信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權(quán)審批流于形式、執(zhí)行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結(jié)合本單位實際進行修訂，導(dǎo)致缺乏可操作性。

系統(tǒng)建設(shè)管理不到位。系統(tǒng)建設(shè)過程中落實信息安全“同步建設(shè)”原則不到位。在軟件開發(fā)階段較普遍未遵循安全編碼規(guī)范，導(dǎo)致安全功能缺失、應(yīng)用層漏洞頻現(xiàn)。在系統(tǒng)驗收階段，很多單位僅注重業(yè)務(wù)功能驗收，缺乏專門的安全性測試；電子政務(wù)類項目較普遍未按規(guī)定在項目驗收環(huán)節(jié)完成“一證兩報告”（即等級測評報告、風(fēng)險評估報告和系統(tǒng)備案證明）。

系統(tǒng)運維管理不到位。在系統(tǒng)運維管理方面，部分單位運維和開發(fā)崗位不分，職責(zé)不清，存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產(chǎn)管理、介質(zhì)管理、變更管理等方面缺乏操作規(guī)程和相關(guān)記錄，數(shù)據(jù)備份策略不明，應(yīng)急預(yù)案不完善并缺乏演練。

關(guān)鍵技術(shù)措施有待落實

分析近年來的測評結(jié)果，安全技術(shù)措施不足問題主要體現(xiàn)在以下幾個方面：

在物理安全方面，隨著電子政務(wù)集約化建設(shè)的推進，大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機房，但仍有部分單位自有機房條件簡陋，位置選擇不規(guī)范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環(huán)境監(jiān)控措施不足。

在網(wǎng)絡(luò)安全方面，常見網(wǎng)絡(luò)和安全設(shè)備的配置不到位，如未合理劃分區(qū)域、未精細配置訪問控制策略、未對重要設(shè)備做地址綁定等；較普遍缺少專業(yè)審計系統(tǒng)。部分單位設(shè)備老舊，安全產(chǎn)品本身存在一定缺陷導(dǎo)致無法滿足等級保護要求。個別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡(luò)層面未采取必要安全措施的同時，還違規(guī)接通互聯(lián)網(wǎng)，存在極大的安全隱患。

在主機安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關(guān)閉非必要服務(wù)等問題。此外，由于主流操作系統(tǒng)和數(shù)據(jù)庫很少支持強制訪問控制機制，相關(guān)要求普遍未落實。

在應(yīng)用安全方面，很多應(yīng)用軟件安全功能不足，缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試，相當一部分系統(tǒng)存在高危風(fēng)險，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網(wǎng)頁木馬等問題。

在數(shù)據(jù)安全方面，較常見的是數(shù)據(jù)保密性和完整性措施薄弱。此外，部分信息系統(tǒng)的備份和恢復(fù)措施欠完善，缺乏有效的災(zāi)難恢復(fù)手段。

針對新技術(shù)的等級保護測評標準有待出臺

隨著浙江政務(wù)服務(wù)網(wǎng)的大力推進，省內(nèi)各級政務(wù)云平臺的建設(shè)使用已全面開展，有相當數(shù)量的電子政務(wù)系統(tǒng)已遷移上云。同時涉及城市公共設(shè)施、水電氣等工控系統(tǒng)密集的行業(yè)對等級保護工作越來越重視，對云計算、工控系統(tǒng)、移動APP等的測評需求不斷加大。但現(xiàn)有的《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》未涉及云計算、工業(yè)控制、移動互聯(lián)等領(lǐng)域，在測評實踐中已遇到諸多不適應(yīng)情況。針對這些新技術(shù)新應(yīng)用的等級保護測評標準需求已非常迫切。

重要信息系統(tǒng)安全保護對策建議

針對上述存在的問題，本文提出以下對策建議，以供參考。

提高信息安全意識

提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強信息安全培訓(xùn)。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展，還應(yīng)通過多種方式開展信息安全政策解讀和信息安全標準宣貫，強化對全員的安全意識教育和考查。建議結(jié)合一些合適的安全職業(yè)技能培訓(xùn)，落實信息安全相關(guān)崗位“持證上崗”的要求。

加強信息安全管理

“三分技術(shù)，七分管理”，各單位應(yīng)轉(zhuǎn)變觀念，將“信息安全”與“系統(tǒng)穩(wěn)定、功能正?！蓖戎匾暺饋恚瑢踩芾硪笈c自身業(yè)務(wù)緊密結(jié)合，制訂完善的體系化的安全管理制度。

在系統(tǒng)建設(shè)管理過程中，應(yīng)要求開發(fā)人員遵循安全編碼規(guī)范進行開發(fā)；在系統(tǒng)驗收環(huán)節(jié)，應(yīng)認真做好安全性驗收測試。在電子政務(wù)領(lǐng)域應(yīng)落實國家對電子政務(wù)項目管理的制度要求，驗收階段完成等級測評，未通過測評的應(yīng)不予驗收。

在系統(tǒng)運維管理方面，應(yīng)加強制定信息系統(tǒng)日常管理操作的詳細規(guī)范，明確定義工作流程和操作步驟，使日常運行管理制度化、規(guī)范化。對信息資產(chǎn)按重要性進行分類梳理，建立完善應(yīng)急災(zāi)備措施，定期開展演練，確保備份的有效性。

落實關(guān)鍵技術(shù)措施

針對測評發(fā)現(xiàn)的問題，各單位應(yīng)根據(jù)系統(tǒng)所定級別，結(jié)合自身條件，綜合考慮問題的影響范圍、嚴重程度、整改難度等因素，制定整改計劃，有步驟地落實相關(guān)技術(shù)措施。對于策略配置類的問題及時糾正；對于整改難度大、需要添置硬件或修改代碼的問題，應(yīng)在充分測試和試運行的基礎(chǔ)上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題，建議國家加強相關(guān)產(chǎn)業(yè)政策的引導(dǎo)，促進安全廠商研發(fā)技術(shù)、推出產(chǎn)品，解決市場供應(yīng)問題。各級主管部門應(yīng)通過測評、整改、監(jiān)督檢查、再測評的閉環(huán)管理，督促關(guān)鍵技術(shù)措施的落實。

加快新技術(shù)的等級保護測評標準編制工作

目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準，尚處于征求意見階段。其余新技術(shù)領(lǐng)域的等級保護標準制定工作進度更晚，隨著智慧城市、云計算、大數(shù)據(jù)、移動互聯(lián)、工業(yè)控制等新技術(shù)的快速應(yīng)用，安全標準相對滯后的問題更加突出，應(yīng)進一步加快相關(guān)新標準的制定。

（作者單位：浙江省發(fā)展信息安全測評技術(shù)有限公司 ）