關(guān)于等級(jí)保護(hù)

一、國(guó)家信息安全等級(jí)保護(hù)情況概述

1994年,國(guó)務(wù)院頒布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,規(guī)定:計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法,由公安部會(huì)同有關(guān)部門制定。這一重大決定,明確了關(guān)于實(shí)行信息安全等級(jí)保護(hù)制度的有關(guān)規(guī)定,提出從整體上、根本上解決國(guó)家信息安全問(wèn)題的辦法,從而也拉開了等級(jí)保護(hù)工作的序幕。信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)信息安全的根本保障,是信息安全保障工作中國(guó)家意志的體現(xiàn)。信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查五個(gè)階段

timg.jpg

二、等保的發(fā)展歷程

● 1994年《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令):第一次提出“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”概念。

● 1999年,國(guó)家標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》頒布;1999年底,公安部與信息產(chǎn)業(yè)部、國(guó)家安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等相關(guān)部門起草了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)制度建設(shè)綱要》;

● 2003年,中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障的意見》(中辦發(fā)[2003]27號(hào));
● 2004年公安部聯(lián)合國(guó)家保密局、國(guó)家密碼管理局、國(guó)家保密委員會(huì)和國(guó)務(wù)院信息化工作辦公室發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào));2005年底,公安部和國(guó)務(wù)院信息化工作辦公室聯(lián)合印發(fā)了《關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知》(公信安[2005]1431號(hào));
● 2006年6月,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息辦聯(lián)合下發(fā)了《關(guān)于開展信息安全等級(jí)保護(hù)試點(diǎn)工作的通知》(公信安[2006]573號(hào));
● 2007年6月,公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室聯(lián)合下發(fā)了《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))等等。

● 2008年《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008):明確對(duì)于各等級(jí)信息系統(tǒng)的安全保護(hù)基本要求。

● 2017年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》:第二十一條明確國(guó)家實(shí)行等級(jí)保護(hù)制度,落實(shí)等級(jí)保護(hù)制度已經(jīng)上升到法律層面。

● 2018年 《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》征求意見稿發(fā)布。


三、國(guó)家在出臺(tái)相關(guān)政策文件的同時(shí),也逐步發(fā)布了對(duì)應(yīng)執(zhí)行的技術(shù)標(biāo)準(zhǔn)及規(guī)范,部分內(nèi)容包括:

● 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859-1999

● 《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》GB/T22240-2008

● 《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》

● 《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T22239-2008

● 《信息安全技術(shù)系統(tǒng)安全等級(jí)保護(hù)通用安全技術(shù)要求》GB/T20271-2006


測(cè)評(píng)工作是落實(shí)等級(jí)保護(hù)工作的重要過(guò)程,是等級(jí)保護(hù)建設(shè)過(guò)程的必要環(huán)節(jié),按照等級(jí)保護(hù)相關(guān)要求,各地分別依據(jù)相關(guān)法規(guī),通過(guò)評(píng)審、審查等過(guò)程評(píng)選出了等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)。截止到目前為止,全國(guó)范圍內(nèi)包括公安部信息安全等級(jí)保護(hù)評(píng)估中心、國(guó)家信息技術(shù)安全研究中心、中國(guó)信息安全測(cè)評(píng)中心、電力行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)中心等在內(nèi)已有將近上百家測(cè)評(píng)機(jī)構(gòu),負(fù)責(zé)落實(shí)測(cè)評(píng)工作,推動(dòng)著等級(jí)保護(hù)工作的落實(shí)。
等級(jí)保護(hù)中應(yīng)用安全及數(shù)據(jù)庫(kù)安全的測(cè)評(píng)要求
依據(jù)等級(jí)保護(hù)相關(guān)文件及標(biāo)準(zhǔn),信息系統(tǒng)等級(jí)保護(hù)建設(shè)的內(nèi)容覆蓋兩個(gè)方面,分別是安全技術(shù)體系和安全管理體系。按照《等級(jí)保護(hù)測(cè)評(píng)要求》的描述,等級(jí)保護(hù)測(cè)評(píng)的具體項(xiàng)為技術(shù)要求和管理要求,測(cè)評(píng)的方法為訪談/檢查/測(cè)試。針對(duì)測(cè)評(píng)過(guò)程中測(cè)試方法如下描述:測(cè)試是測(cè)評(píng)人員使用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象產(chǎn)生特定的行為,通過(guò)查看和分析結(jié)果以幫助測(cè)評(píng)人員獲取證據(jù)的過(guò)程。
就信息系統(tǒng)而言,數(shù)據(jù)是靈魂,應(yīng)用是軀體。對(duì)信息系統(tǒng)的安全測(cè)評(píng),很大程度上就是對(duì)應(yīng)用和數(shù)據(jù)庫(kù)的測(cè)評(píng)。
每個(gè)信息系統(tǒng)使用單位,基本都建設(shè)有門戶網(wǎng)站系統(tǒng),甚至還有基于B/S架構(gòu)的更龐大的內(nèi)部業(yè)務(wù)系統(tǒng)??上攵燃?jí)保護(hù)測(cè)評(píng)過(guò)程中會(huì)涉及到多少的WEB應(yīng)用系統(tǒng)。而數(shù)據(jù)庫(kù)系統(tǒng)是所有應(yīng)用系統(tǒng)的基礎(chǔ),是某些行業(yè)的核心、心臟,是應(yīng)用系統(tǒng)部不可或缺的一個(gè)部分,更是信息安全保障體系建設(shè)內(nèi)容的重要組成部分。

四、針對(duì)應(yīng)用系統(tǒng)的測(cè)評(píng),《等級(jí)保護(hù)測(cè)評(píng)要求》就測(cè)評(píng)方法作如下描述:

● 應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看應(yīng)用系統(tǒng)是否具有對(duì)人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)的功能;

● 應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),可通過(guò)對(duì)人機(jī)接口輸入的不同長(zhǎng)度或格式的數(shù)據(jù),查看系統(tǒng)的反應(yīng),驗(yàn)證系統(tǒng)人機(jī)接口有效性檢驗(yàn)功能是否正確;

● 應(yīng)滲透測(cè)試主要應(yīng)用系統(tǒng),進(jìn)行試圖繞過(guò)訪問(wèn)控制的操作,驗(yàn)證應(yīng)用系統(tǒng)的訪問(wèn)控制功能是否不存在明顯的弱點(diǎn)。


針對(duì)數(shù)據(jù)庫(kù)系統(tǒng),《等級(jí)保護(hù)測(cè)評(píng)要求》就測(cè)評(píng)方法作如下描述:

● 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng),查看匿名/默認(rèn)帳戶的訪問(wèn)權(quán)限是否已被禁用或者限制,是否刪除了系統(tǒng)中多余的、過(guò)期的以及共享的帳戶;

● 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的權(quán)限設(shè)置情況,查看是否依據(jù)安全策略對(duì)用戶權(quán)限進(jìn)行了限制;

     

● 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的補(bǔ)丁是否得到了及時(shí)更新;

     

● 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)帳戶列表,查看管理員用戶名分配是否唯一;

     

● 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng),查看是否提供了身份鑒別措施,其身份鑒別信息是否具有不易被冒用的特點(diǎn),如對(duì)用戶登錄口令的最小長(zhǎng)度、復(fù)雜度和更換周期進(jìn)行要求和限制;

     

● 應(yīng)檢查關(guān)鍵數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)庫(kù)管理員與操作系統(tǒng)管理員是否由不同管理員擔(dān)任。


等級(jí)保護(hù)測(cè)評(píng)技術(shù)人員的個(gè)人能力參差不齊,因此對(duì)于進(jìn)行技術(shù)測(cè)試的結(jié)果就會(huì)有偏差,有些時(shí)候,這些偏差會(huì)導(dǎo)致整個(gè)檢測(cè)結(jié)果不正確。如果有一種標(biāo)準(zhǔn)化的檢測(cè)工具,用來(lái)替代人工技術(shù)測(cè)試,又能得到標(biāo)準(zhǔn)化的結(jié)果輸出,而且這種標(biāo)準(zhǔn)化的結(jié)果,又能得到業(yè)界的普遍認(rèn)可,這將會(huì)給等級(jí)保護(hù)測(cè)評(píng)帶來(lái)巨大的裨益。