廖其耀，李若虹

（廣西壯族自治區(qū)信息安全測評中心，南寧 530001）

1 網(wǎng)絡(luò)與信息安全“三同步”

網(wǎng)絡(luò)與信息安全“三同步”，指在信息系統(tǒng)生命周期中，網(wǎng)絡(luò)與信息安全要實現(xiàn)“同步規(guī)劃”、“同步建設(shè)”、“同步使用”[1]。

“三同步”是信息系統(tǒng)自身的要求。信息系統(tǒng)是為特定業(yè)務(wù)目標信息化而構(gòu)建的，而信息安全是信息系統(tǒng)的安全保障。一般而言，信息系統(tǒng)生命周期包括規(guī)劃、建設(shè)、使用/運營三個階段。其中建設(shè)又包括系統(tǒng)分析、系統(tǒng)設(shè)計（概要設(shè)計/詳細設(shè)計）、系統(tǒng)實施/編碼、系統(tǒng)驗收等階段。只有落實“三同步”，在項目規(guī)劃、建設(shè)階段中強化落實安全要求，才能避免在后期的運營/使用階段進行安全整改導(dǎo)致的業(yè)務(wù)風(fēng)險大、改造難度大、投入成本高、耗時、耗力。只有落實“三同步”，才能有效形成信息系統(tǒng)的安全防護能力，為做好后續(xù)運維工作打下基礎(chǔ)。

2 網(wǎng)絡(luò)安全等級保護

《網(wǎng)絡(luò)安全法》規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護制度”[1]。等級保護，指對信息系統(tǒng)按等級進行保護，對信息產(chǎn)品/信息安全產(chǎn)品按等級進行管理，對信息安全事件按等級進行應(yīng)對[2]。等級保護基于“自主保護”，“重點保護”，“同步建設(shè)”，“動態(tài)調(diào)整”等原則，為系統(tǒng)備案單位協(xié)調(diào)信息安全與信息化工作、開展等級保護提供了指導(dǎo)。

當前我國等保的工作流程包括定級、備案、測評、建設(shè)/整改、監(jiān)督檢查共5個步驟。定級指信息系統(tǒng)運營/使用單位根據(jù)信息系統(tǒng)的重要程度、信息系統(tǒng)遭到破壞后的危害程度確定信息系統(tǒng)等級。備案指信息系統(tǒng)運營單位對二級以上信息系統(tǒng)到所在地市級以上公安機關(guān)辦理備案手續(xù)。建設(shè)/整改指信息系統(tǒng)備案機構(gòu)根據(jù)等保要求和信息安全要求進行安全建設(shè)和整改。等級測評指測評機構(gòu)根據(jù)相關(guān)等級保護國家標準，對系統(tǒng)的安全保護措施進行檢測評估。定期自查、督導(dǎo)檢查與監(jiān)督檢查指備案單位對信息系統(tǒng)進行定期自查、行業(yè)主管部門定期進行督導(dǎo)檢查、公安機關(guān)定期進行等保檢查。

3 等級保護與“三同步”的結(jié)合

3.1 等級保護和“三同步”結(jié)合的基本原則

等級保護是我國的基本信息安全制度。信息安全是信息系統(tǒng)自身的要求。為此，企業(yè)為了將等級保護要求和系統(tǒng)自身安全需求相融合，有效落實信息安全工作，必須確立等級保護和“三同步”的融合原則。等級保護和“三同步”的融合原則是將等級保護工作納入信息安全工作，將信息安全工作納入信息化工作之中。將等級保護流程融入信息系統(tǒng)/項目生命周期[3]。

等級保護要求不能替代信息安全。等級保護標準《GB/T22239信息系統(tǒng)安全等級保護基本要求》明確其是“基本要求”，但該標準是國家層面的要求。如果建設(shè)單位有更高要求或針對其業(yè)務(wù)的特殊信息安全需求，需將等級保護納入其信息安全之中。

此外，必須將等保工作流程納入信息系統(tǒng)生命周期之中，才能提高等級保護和信息安全工作的有效性，有效落實等級保護和信息安全工作。

3.2 等級保護和“三同步”的結(jié)合點

《信息安全等級保護管理辦法》的備案規(guī)定為新建二級以上系統(tǒng)，應(yīng)在運營后30日內(nèi)，由其運營使用單位辦理備案手續(xù)。為將等級保護與“三同步”進行融合，基于該備案要求，以及信息系統(tǒng)的“規(guī)劃、建設(shè)、運營/使用”三階段生命周期，形成等級保護與“三同步”的結(jié)合點。在信息系統(tǒng)總體規(guī)劃階段進行定級。在信息系統(tǒng)使用階段進行等級保護的“備案、測評、整改、自查和監(jiān)督檢查”工作。而在系統(tǒng)建設(shè)階段，將等級保護要求以及系統(tǒng)信息安全要求納入系統(tǒng)的建設(shè)全過程之中，確保建設(shè)出符合等級保護要求和信息安全要求的信息系統(tǒng)。

4 系統(tǒng)建設(shè)階段落實等保要求和“三同步”

如前文所述，在等保工作流程和“三同步”流程的結(jié)合中，在系統(tǒng)規(guī)劃階段進行等保定級，在系統(tǒng)運營使用階段進行等保備案、測評、監(jiān)督檢查等工作。因此，如何在系統(tǒng)建設(shè)過程中協(xié)調(diào)多家軟件廠商/集成廠商有效落實等保要求，是等級保護與“三同步”結(jié)合的關(guān)鍵點。為此，在系統(tǒng)建設(shè)過程及其系統(tǒng)采購合同、系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實施、系統(tǒng)驗收各階段中，必須充分協(xié)調(diào)各方廠商落實等級保護和信息安全要求。

在采購合同中，將等級保護和信息安全要求納入合同條款，通過合同條款落實系統(tǒng)集成商、軟件開發(fā)商、廠商的責任，避免乙方后期工作不積極而無據(jù)可依的問題。

在系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實施階段，軟件開發(fā)商/集成商根據(jù)系統(tǒng)業(yè)務(wù)和功能特性，結(jié)合等級保護要求和系統(tǒng)的一般安全要求，結(jié)合系統(tǒng)面臨的風(fēng)險和威脅，形成系統(tǒng)的安全需求，形成安全基線，并進行有針對性的設(shè)計、實施和測試。例如，設(shè)計時從安全性、成本和用戶體驗綜合考慮并選擇安全措施。實施時形成安全編碼規(guī)范并進行安全編碼。軟件測試/系統(tǒng)測試時進行軟件安全功能測試、源代碼審查、系統(tǒng)安全測試。

在系統(tǒng)上線/驗收階段，系統(tǒng)運營使用方可成立系統(tǒng)上線驗收小組，對系統(tǒng)進行全面的安全驗收檢查，包括安全功能測試、源碼安全測試、安全配置基線核查、工具掃描、滲透測試等。對驗收過程中發(fā)現(xiàn)的問題及時進行整改，保證安全風(fēng)險必須得到控制后才可上線。

在系統(tǒng)建設(shè)各階段，加強安全測試和驗證、工程管理、監(jiān)理、評審，保證等級保護要求和信息安全要求的落實，保證系統(tǒng)上線時，系統(tǒng)的所有安全風(fēng)險必須是可控的。

5 結(jié)束語

等級保護已成為我國信息安全的基本制度?！叭健笔切畔踩托畔⑾到y(tǒng)自身的要求。只有在信息系統(tǒng)生命周期中實現(xiàn)等級保護和“三同步”的結(jié)合，并在系統(tǒng)建設(shè)過程中協(xié)調(diào)各方落實等級保護需求和信息安全需求，才能實現(xiàn)國家信息安全基本制度和信息系統(tǒng)自身要求相結(jié)合，保證信息系統(tǒng)的業(yè)務(wù)安全。