關于等級保護

一、國家信息安全等級保護情況概述

1994年,國務院頒布了《中華人民共和國計算機信息系統安全保護條例》,規定:計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。這一重大決定,明確了關于實行信息安全等級保護制度的有關規定,提出從整體上、根本上解決國家信息安全問題的辦法,從而也拉開了等級保護工作的序幕。信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發展、維護信息安全的根本保障,是信息安全保障工作中國家意志的體現。信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段

timg.jpg

二、等保的發展歷程

● 1994年《中華人民共和國計算機信息系統安全保護條例》(國務院147號令):第一次提出“計算機信息系統實行安全等級保護”概念。

● 1999年,國家標準GB17859-1999《計算機信息系統安全保護等級劃分準則》頒布;1999年底,公安部與信息產業部、國家安全部、國家保密局、國家密碼管理委員會等相關部門起草了《計算機信息系統安全保護等級制度建設綱要》;

● 2003年,中共中央辦公廳、國務院辦公廳轉發了《國家信息化領導小組關于加強信息安全保障的意見》(中辦發[2003]27號);
● 2004年公安部聯合國家保密局、國家密碼管理局、國家保密委員會和國務院信息化工作辦公室發布《關于信息安全等級保護工作的實施意見》(公通字[2004]66號);2005年底,公安部和國務院信息化工作辦公室聯合印發了《關于開展信息系統安全等級保護基礎調查工作的通知》(公信安[2005]1431號);
● 2006年6月,公安部、國家保密局、國家密碼管理局、國務院信息辦聯合下發了《關于開展信息安全等級保護試點工作的通知》(公信安[2006]573號);
● 2007年6月,公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室聯合下發了《信息安全等級保護管理辦法》(公通字[2007]43號)等等。

● 2008年《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2008):明確對于各等級信息系統的安全保護基本要求。

● 2017年《中華人民共和國網絡安全法》:第二十一條明確國家實行等級保護制度,落實等級保護制度已經上升到法律層面。

● 2018年 《網絡安全等級保護條例》征求意見稿發布。


三、國家在出臺相關政策文件的同時,也逐步發布了對應執行的技術標準及規范,部分內容包括:

● 《計算機信息系統安全保護等級劃分準則》GB17859-1999

● 《信息安全技術信息系統安全等級保護定級指南》GB/T22240-2008

● 《信息安全技術信息系統安全等級保護實施指南》

● 《信息安全技術信息系統安全等級保護基本要求》GB/T22239-2008

● 《信息安全技術系統安全等級保護通用安全技術要求》GB/T20271-2006


測評工作是落實等級保護工作的重要過程,是等級保護建設過程的必要環節,按照等級保護相關要求,各地分別依據相關法規,通過評審、審查等過程評選出了等級保護測評機構。截止到目前為止,全國范圍內包括公安部信息安全等級保護評估中心、國家信息技術安全研究中心、中國信息安全測評中心、電力行業信息安全等級保護測評中心等在內已有將近上百家測評機構,負責落實測評工作,推動著等級保護工作的落實。
等級保護中應用安全及數據庫安全的測評要求
依據等級保護相關文件及標準,信息系統等級保護建設的內容覆蓋兩個方面,分別是安全技術體系和安全管理體系。按照《等級保護測評要求》的描述,等級保護測評的具體項為技術要求和管理要求,測評的方法為訪談/檢查/測試。針對測評過程中測試方法如下描述:測試是測評人員使用預定的方法/工具使測評對象產生特定的行為,通過查看和分析結果以幫助測評人員獲取證據的過程。
就信息系統而言,數據是靈魂,應用是軀體。對信息系統的安全測評,很大程度上就是對應用和數據庫的測評。
每個信息系統使用單位,基本都建設有門戶網站系統,甚至還有基于B/S架構的更龐大的內部業務系統??上攵燃壉Wo測評過程中會涉及到多少的WEB應用系統。而數據庫系統是所有應用系統的基礎,是某些行業的核心、心臟,是應用系統部不可或缺的一個部分,更是信息安全保障體系建設內容的重要組成部分。

四、針對應用系統的測評,《等級保護測評要求》就測評方法作如下描述:

● 應檢查關鍵應用系統,查看應用系統是否具有對人機接口輸入或通信接口輸入的數據進行有效性檢驗的功能;

● 應測試關鍵應用系統,可通過對人機接口輸入的不同長度或格式的數據,查看系統的反應,驗證系統人機接口有效性檢驗功能是否正確;

● 應滲透測試主要應用系統,進行試圖繞過訪問控制的操作,驗證應用系統的訪問控制功能是否不存在明顯的弱點。


針對數據庫系統,《等級保護測評要求》就測評方法作如下描述:

● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統,查看匿名/默認帳戶的訪問權限是否已被禁用或者限制,是否刪除了系統中多余的、過期的以及共享的帳戶;

● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統的權限設置情況,查看是否依據安全策略對用戶權限進行了限制;

     

● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統的補丁是否得到了及時更新;

     

● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統帳戶列表,查看管理員用戶名分配是否唯一;

     

● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統,查看是否提供了身份鑒別措施,其身份鑒別信息是否具有不易被冒用的特點,如對用戶登錄口令的最小長度、復雜度和更換周期進行要求和限制;

     

● 應檢查關鍵數據庫服務器的數據庫管理員與操作系統管理員是否由不同管理員擔任。


等級保護測評技術人員的個人能力參差不齊,因此對于進行技術測試的結果就會有偏差,有些時候,這些偏差會導致整個檢測結果不正確。如果有一種標準化的檢測工具,用來替代人工技術測試,又能得到標準化的結果輸出,而且這種標準化的結果,又能得到業界的普遍認可,這將會給等級保護測評帶來巨大的裨益。