Time: 2009-10-25  网易科技

公安部信息安全等级保护评估中心李升演讲

  11月25日消息,2009中国(广州)计算机网络与信息安全高峰论坛今天在广州举行。网易科技作为独家门户网络支持媒体进行现场报道。

等级保护资讯网

  公安部信息安全等级保护评估中心 李升

  公安部信息安全等级保护评估中心李升出席本次论坛,介绍了当前国家信息安全等级保护测评现状及方法。

  以下是其具体的演讲实录:

  各位领导,各位专家,各位朋友大家下午好!我是来自于公安部信息安全等级保护中心,今天下午我给大家汇报一下有关等级保护测评的相关内容,我一直在学习跟踪等级保护的政策标准,参加了一些技术标准的编制,刚刚郭处长对整个等级保护工作这么几年做了一个回顾,对每个阶段文件做了介绍。

  我今天主要围绕在等级保护过程当中,在等级测评环节,把我的一些体会跟大家汇报一下,首先我今天介绍了主要是分两部分,一部分是等级测评在等级保护当中的作用和地位。二、等级测评的内容大概简要的跟大家汇报一下。

  第一部分是等级测评在等级保护当中的作用和地位。

  刚刚提到在2007年的时候,发了信息安全等级保护管理办法,就是43号文,在文件当中对等级保护工作的工作思路做了明确,其中包括几个工作的流程,一个是系统的定级,一个是建设整改,一个是等级测评,在就是备案和监督检查,定级工作是整个等级保护工作的基础,也是首要的工作,这个工作重要,如果说在定级环节没有把握住,后面的一系列工作都是围绕信息系统的等级开展的,后面自工作就出现的跑偏的现象,在建设整改阶段,在整改阶段,公安部出台了相关的指南和标准,我们各单位依据国家出台相关的技术标准,开展了整改建设工作,等级测评实际上是一个技术的活动,仅仅跟等级保护的制度是结合在一起的,因为首先是等级测评,已经定了级的信息系统,一会儿介绍等级测评的具体内容介绍。

  信息安全等级保护制度是基本的制度,这个制度是信息系统的基本保护要求展开的,国家确定了安全保护等级的系统,根据信息技术发展,根据黑客攻击的能力,对五个级别的系统在技术上和管理上提出了具体的要求,要求分成了十个层面,等级保护当中重要的标准信息安全等级保护的要求,主要的定位是信息系统定完了级以后了,每个系统根据每个级别的技术和管理上的要求,开展相应的建设工作,我们的测评也是紧紧围绕基本要求展开的,因此我们说等级测评的工作非常的重要,通过测评发现定级的信息系统是否达到国家的相应级别的要求。

  这里面把等级测评和一般的安全检测和风险评估的差别明确一下,等级测评活动完成首先是依据信息系统安全保护等级和该级别系统的基本保护要求,同时还需要测评人员就把握国家政策,理解和掌握相关技术标准,熟悉等级测评方法流程和工作规范等方面的能力和知识,最重要等级测评的结果将是国家信息安全监督管理部门依法行政管理的技术依据,因此等级测评活动是政治性和强的,技术专业化的信息安全服务。

  从上面的这一段描述可以看出,等级测评实际上要依据相应的政策标准,规范的开展了测评服务,并且结果跟相应的管理政策相结合的依据,等级保护两个方面,一个是管理,一个是技术的角度,把特点明确一下,首先是工作要求,在43号文管理办法当中明确要求,定期的开展等级测评,在43号文里面提到对三级系统要求每年做一次等级测评的工作,它的执行主题也是符合条件的执行机构,刚刚郭处长提到开展等级测评的测评机构首先是可信的,要进行必要的安全性审查,同时也要对能力进行相应的实验,它的执行对象是定过级以后的信息系统,如果信息系统没有定级,那等级测评就无从谈起,另外等级测评服务的主题,不光光是信息系统的主管部门,同时也是国家信息监管部门对相应的部门负责。

  从技术的角度看等级测评也有一定的特点,之所以是符合型测评,都是依据信息安全保护基本要求国家标准开展。另外,测评的力度也是分等级的,在不同的等级信息系统的当中,测评的力度有些差别,一会儿在把力度专门介绍一下。

  等级测评在等级保护过程当中,在信息系统的安全建设当中,在哪一个环节出现呢?我想用这张图表示一下,首先看一个系统依据相关的标准,确定了完的安全等级以后,进一步进行相应的等级测评,主要原因有些信息系统是已建的,我国的要求和相应的标准还没有出台,我们回过头来对照国家的标准,看一下现在的系统参照国家的要求还有那些差距,寻找差距的话,就可以通过等级测评活动来开展。对于新建的系统,刚刚提到发改委2072号当中说过,对于新建的系统,等级保护的标准出台了,有些配套政策指南也出台了,现有的政策结合了等级保护制度开展了,要求发改委的项目在验收的时候,不仅仅要做风险的评估,同时要开展等级保护测评,作为最后验收的条件,对于已建系统,在建设设计之初,当时标准没有出来,有些设计和实施可能对照国家的测评还有一些差距,就要进行相应的整改,整改完成了以后对等级测评活动判断我们系统经过了整改以后,是否达到了国家相应级别的要求,经过测评了以后,结果达到了国家的要求以后,我们在正常的每年的运营过程当中,我们是否还要进行等级测评呢?在43号文当中明确了对不同级别的系统,明年开展等级测评评估不一样,对三级系统,每年进行等级测评,为什么说经过了等级测评以后,结果也是合格了,还要每年开展测评呢?这主要是从信息系统的安全防护动态的特点出发,首先信息系统面临的外部环境在不断的变化,外部的威胁也是在日新月异的变化,另外自身的安全防护,有了信息系统的组建,操控系统和自身的漏洞也是在不断的被发现,安全技术水平在不断的发展,新的安全措施在出现,整个运维管理的活动也是动态的,经过了一年以后,我们可能要回过头看看系统发生变化后,信息系统的水平是否根据相应的技术要求,信息系统分了不同的等级,首先要明确每一级系统的保护能力,因为等级保护对不同的系统分级主要的目的是把有限的资源投入到最重要的地方,对于重要的系统相应的投入的成本要高,投入的精力要大,对于高级别的系统保护能力的要求就相应比较高,为了实现保护能力,相应投入的技术各项管理成本就要相应大一些,这里面保护能力给大家介绍一下,信息系统由于种种的原因,经常成为被攻击的目标,抵抗着来自各方面威胁实体的攻击,信息系统实行安全保护的目的对抗系统面临的各种威胁,尽力降低威胁带来了损失,由于信息系统的保护成本很高,不可能全面抵抗各种威胁,系统根据重要的程度,具备不同程度的安全保护能力,以抑制受破坏程度,并在遭受攻击后得以快速的恢复。

  我们看国家的标准基本要求时,在具体的要求下面,一方面是安全防护能力的要求,同时也对安全防护水平,没有抵抗攻击的情况以后,我们如何对恢复能力进行相应的要求,这里面举了一个三级系统安全保护的能力,对于三级是怎样要求的,要实现怎样的能力,三级系统统一安全策略下,拥有较为丰富的资源威胁发起的恶意攻击,三级系统重要的标志,能力要求是统一的安全测评,推一的安全策略,不光光是在管理上,或者说在网络上在某个层面要求比较高,根据我这几年参加过系统的等级测评,有些做系统运维的人员对安全主要来自于网络的,所以把大部分的精力都放在网络安全防护上,在任何一个环节如果出现了漏洞或者是管理不到位的地方,很可能造成系统的突破点,因此这里面强调统一的安全测评,策略在实现的时候发现在基本要求里面,要求相应的安全管理中心,对统一的技术手段,统一的策略保证信息系统在技术上能够一致。

  有组织的团体,不是针对一般的黑客,也不是针对国家级的,应该是有组织的,从这个角度对三级系统达到的安全保护能力做了定位,同时也应该对较为严重的自然灾害以及其他的相当危害程度的威胁所造成自主要资源损害,能够发现安全漏洞和安全事件,这是三级系统比较明显的特点,我们的系统不仅仅要有防护的能力,同时对安全事件发生以及安全漏洞出现了以后,有一个自我检测的功能,能够较快的速度发挥绝大部分的功能。

  从某一级信息系统保护能力出发,我们要实现怎样的目标,在能力实现的时候,一方面考虑国家基本要求对这一级系统的安全措施,同时也可以考虑根据系统的需要和特点,有些单位系统认为虽然定了二、三级,但是这个系统对于它来说还可以进一步的投入,可以选取一些更高级别的安全和措施。

  这里面刚刚我提到在基本要求当中,分为技术和管理,对每一级系统都分了技术和管理两个方面,在技术上又分了物理、网络、主机、应用、数据,在管理上有安全管理机构,安全管理制度,人员安全管理等有具体的要求。

  等级测评是围绕基本的要求,技术管理两方面,等级测评是针对这些要求效果展开的,这里面提到等级测评包括单元测评和整体测评,等级测评每个小项开展,包括测评指标和实施以及结果判断,在等级测评当中强调了整体测评,主要是考虑在我们一个系统要实现安全保护能力明确了以后,针对要实现的能力,我们在相应的标准当中做了一些具体的细化,这个细化的过程目标是针对系统的防护能力,根据信息化以后的测评指标展开的,所以我们在测评完了以后,对单项结论测试结果出来了以后,回顾到系统的整体能力的层面判断系统,因为系统的特点是千差万别的,扩大实现安全措施也是不一样的,我们要结合系统具体的特点,在结合单向测评的结果,最后要做一个总体测评的过程。

  在等级测评过程当中使用的方法无非是三个,一种是访谈,主要指测评人员通过引导信息系统相关人员进行目的交流以帮助测评人员理解分析或取得证据的过程,这是非常重要的一个方法,因为在在测评人员到信息系统测评,整个过程当中都需要和信息系统的相关人员进行交流,我们对系统认识如果不全面的话,对整个系统的运维状况不了解,测评的结果出现了偏差,因此,访谈一定要充分。一种是检查、检查工作主要是通过一些现场的察看,包括对文档和制度,安全管理的记录,以及一些设备、包括网络设备和安全设备,对他们设备的配置进行了检查。另外一种是测试,利用相应的工具,对系统的安全功能实现和状况,以及系统的漏洞进行相应的测试,通过测试验证系统当中安全功能和安全措施实现的程度。

  这里面提到访谈的对象,这里面只是列举了其中的部分。检查根据测评项,结合测评要求当中的规范,对系统的设备进行了检查和查阅。

  刚刚郭处长介绍了测评要求里面,对整个测试活动进行了相应的规范,在测试环节包括了功能测试、性能测试、测试环节在整个测评过程当中是非常慎重的,现在测试的对象大多数在线的系统,对于新建的系统没有投入运营使用,在测试过程当中,操作不规范,造成了系统当机或者异常,就不会出现太大的影响,在建的系统是运营的,由于测试的方法不正确,整个操作过程不规范,将对我们的工作影响是非常大的,对信息运行的单位也是影响比较大,在等级保护标准也好、工作规范也好要求是非常高的。

  测评要求逐级增强,根据不同的级别,强度也是不同的,因为对测评的系统,有些设备可能是上百台的,所有的人员都去做访谈的,这是不可能的,也是不现实的,所以我们在测评过程当中,根据系统的重要程度,安全等级投入相应的测评力度,对人力资源的投入,对时间的投入,可能相应有些差别,在衡量力度指标过程当中,一个是测评的广度,一个是测评的深度,在信息系统确定等级了以后,对它进行了等级的测评,具体有很多测评对象,测评对象是信息系统当中的一些组建有文档、机房、管理人员系统。

  测评的深度就是在测评过程当中,我对于同一个指标下,有些对于第一级别的系统,通过访谈或者是简单的检查能够完成我的要求,但是有些必须要经过严格的测试,相当于在测评的环节投入的成本也是不同的。

  测评投入越多,测评力度越强就越有保障,在我们测评要求和标准当中,针对每一级的系统,在广度和深度上通过三种方法不同的使用体现了差别。同时也是根据系统的特点,对于测评的要求是不一样的,刚刚提到整体测评,主要内部包括了安全控制点间安全测评,层面间安全测评,区域间安全测评。每一级的系统分为技术管理两个方面,技术和管理分了不同的层面。区域间的测评要结合系统整个部署的情况进行相应的测评,从单元测评测完了以后要回归到系统整体的评价,看看是否实现达到了保护能力, 需要有这样的一个过程。

  在单项测评过程当中,有部分符合项目和不符合项目判断,基本要求是针对全国各行业不同的系统提出通用的系统,每个安全就有不同的特点,所面临的外部环境不一样,这里面就有个性化的东西,单位测评完了以后结合系统的特点,保护能力就可以达到。

  风险分析跟一般意义上的风险评估不一样,风险分析主要是结合系统所面临的外部环境,结合测评当中存在的几项做进一步的分析,如果确实是有这样的隐患,同时面临的威胁也是高风险的。风险对于系统来说,外部威胁比较的小,造成的影响也不是很大,这时候可以把这些项目不作为不符合项来计算。

  通过单项测评后,通过安全控制点间,例如有些在安全控制点,有些细微的项目,例如物理访问控制和社会防盗线,实际上这两个要求之间有一定的关联关系,这时候可能在整体测评分析时结合特点考虑这些因素。

  层面间测评也要考虑,因为在基本要求当中按照各个层面去要求的,例如说在三级系统当中,对网络安全,要求网络传输进行了加密,在应用安全里面,对应用数据进行了加工,我们分了具体的一些项目以后,回过头结合来结合有些安全措施的层面。这是整体测评。

  这里面有一个工作的流程,这和一般的安全风险评估大概流程差不多,包括准备的阶段,现场测试和报告编制阶段,这里面对等级测评也有很多的要求,只要依据标准,行为规范。

  模块就分了几个部分,列了一下,我们把模版发给各部委,具体的内容就不介绍了,通过模版规范编制的规划环节。

  今天由于时间的关系,我就简单介绍这些。下一步对等级测评关心的话,大家也可以联系我。我们可以做进一步的沟通。谢谢大家!


18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。