关于等级保护

一、国家信息安全等级保护情况概述

1994年,国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,规定:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。这一重大决定,明确了关于实行信息安全等级保护制度的有关规定,提出从整体上、根本上解决国家信息安全问题的办法,从而也拉开了等级保护工作的序幕。信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段

timg.jpg

二、等保的发展历程

● 1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令):第一次提出“计算机信息系统实行安全等级保护”概念。

● 1999年,国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》颁布;1999年底,公安部与信息产业部、国家安全部、国家保密局、国家密码管理委员会等相关部门起草了《计算机信息系统安全保护等级制度建设纲要》;

● 2003年,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障的意见》(中办发[2003]27号);
● 2004年公安部联合国家保密局、国家密码管理局、国家保密委员会和国务院信息化工作办公室发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号);
● 2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号);
● 2007年6月,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》(公通字[2007]43号)等等。

● 2008年《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008):明确对于各等级信息系统的安全保护基本要求。

● 2017年《中华人民共和国网络安全法》:第二十一条明确国家实行等级保护制度,落实等级保护制度已经上升到法律层面。

● 2018年 《网络安全等级保护条例》征求意见稿发布。


三、国家在出台相关政策文件的同时,也逐步发布了对应执行的技术标准及规范,部分内容包括:


● 《计算机信息系统安全保护等级划分准则》GB17859-1999

● 《信息安全技术信息系统安全等级保护定级指南》GB/T22240-2008

● 《信息安全技术信息系统安全等级保护实施指南》

● 《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008

● 《信息安全技术系统安全等级保护通用安全技术要求》GB/T20271-2006


测评工作是落实等级保护工作的重要过程,是等级保护建设过程的必要环节,按照等级保护相关要求,各地分别依据相关法规,通过评审、审查等过程评选出了等级保护测评机构。截止到目前为止,全国范围内包括公安部信息安全等级保护评估中心、国家信息技术安全研究中心、中国信息安全测评中心、电力行业信息安全等级保护测评中心等在内已有将近上百家测评机构,负责落实测评工作,推动着等级保护工作的落实。
等级保护中应用安全及数据库安全的测评要求
依据等级保护相关文件及标准,信息系统等级保护建设的内容覆盖两个方面,分别是安全技术体系和安全管理体系。按照《等级保护测评要求》的描述,等级保护测评的具体项为技术要求和管理要求,测评的方法为访谈/检查/测试。针对测评过程中测试方法如下描述:测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程。
就信息系统而言,数据是灵魂,应用是躯体。对信息系统的安全测评,很大程度上就是对应用和数据库的测评。
每个信息系统使用单位,基本都建设有门户网站系统,甚至还有基于B/S架构的更庞大的内部业务系统。可想而知等级保护测评过程中会涉及到多少的WEB应用系统。而数据库系统是所有应用系统的基础,是某些行业的核心、心脏,是应用系统部不可或缺的一个部分,更是信息安全保障体系建设内容的重要组成部分。

四、针对应用系统的测评,《等级保护测评要求》就测评方法作如下描述:

● 应检查关键应用系统,查看应用系统是否具有对人机接口输入或通信接口输入的数据进行有效性检验的功能;

● 应测试关键应用系统,可通过对人机接口输入的不同长度或格式的数据,查看系统的反应,验证系统人机接口有效性检验功能是否正确;

● 应渗透测试主要应用系统,进行试图绕过访问控制的操作,验证应用系统的访问控制功能是否不存在明显的弱点。


针对数据库系统,《等级保护测评要求》就测评方法作如下描述:

● 应检查关键服务器操作系统和关键数据库管理系统,查看匿名/默认帐户的访问权限是否已被禁用或者限制,是否删除了系统中多余的、过期的以及共享的帐户;

● 应检查关键服务器操作系统和关键数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制;

     

● 应检查关键服务器操作系统和关键数据库管理系统的补丁是否得到了及时更新;

     

● 应检查关键服务器操作系统和关键数据库管理系统帐户列表,查看管理员用户名分配是否唯一;

     

● 应检查关键服务器操作系统和关键数据库管理系统,查看是否提供了身份鉴别措施,其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制;

     

● 应检查关键数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。


等级保护测评技术人员的个人能力参差不齐,因此对于进行技术测试的结果就会有偏差,有些时候,这些偏差会导致整个检测结果不正确。如果有一种标准化的检测工具,用来替代人工技术测试,又能得到标准化的结果输出,而且这种标准化的结果,又能得到业界的普遍认可,这将会给等级保护测评带来巨大的裨益。