等级保护测评过程中的风险控制

宋超臣 王希忠

（黑龙江省信息安全测评中心 黑龙江 150090）

0 引言

随着信息技术的广泛应用和迅速发展，信息安全已经成为了影响社会发展的重要议题。信息安全涉及到国家的政治、经济、军事、文化、教育等诸多领域，信息的存储、传输和处理是政府进行宏观调控与决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息的有力依据。信息作为一种特殊的资源，面临非法篡改、伪造、窃取以及截取等安全隐患，并导致信息的丢失、泄密、甚至造成恶意代码的传播，给国家的信息化建设带来不利影响。进入二十一世纪以来，我国信息安全问题涉及的领域不断扩大，这已经引起了我国政府的高度重视。

信息安全等级保护制度是我国应对信息安全风险，及时发现信息系统漏洞的一项重要举措。实行信息安全等级保护制度有利于提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展[1]。为了推动信息安全等级保护工作，公安部根据《中华人民共和国计算机信息系统安全保护条例》（147号令）会同有关部门制定了信息安全等级保护配套的政策体系和标准体系。《信息安全等级保护管理办法》（公通字[2007]43号）明确了信息安全等级保护工作包括定级备案、建设整改、等级测评和监督检查等主要工作[2]。

目前，信息安全等级保护工作的研究主要集中在测评方法、理论、模型、流程等方面，没有考虑到测评过程中的如何规避测评风险，如何保障被测信息系统的正常运行，不引人第三方风险等。本文针对上述问题，从测评准备、测评过程和测评结果等三方面分析面临的信息安全风险。

本文第1节给出了项目研究背景；第2节测评过程中的主要风险及如何控制；第3节总结本文并指出下一步的工作。

1 研究背景

1.1 工作背景

随着信息技术的广泛应用和迅速发展，信息安全问题涉及的领域越来越多，做好信息安全工作是保障国家经济建设持续健康发展的当务之急。2003年9月，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）文件，指出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”，此后国家不断加大信息安全工作力度，先后发布了一系列加强信息安全保障工作的政策[3]。

党的十七大报告中指出“发展现代产业体系，大力推进信息化与工业化融合”，这一方针对信息安全保障工作提出了更高要求。《中华人民共和国国民经济和社会发展第十一个五年规划纲要》中指出，“积极推进信息化，要坚持以信息化带动工业化，以工业化促进信息化，提高经济社会信息化水平”。要“强化信息安全保障”，“积极防御、综合防范，提高信息安全保障能力；强化安全监控、应急响应、密钥管理、网络信任等信息安全基础设施建设；加强基础信息网络和国家重要信息系统的安全防护；推进信息安全产品产业化；发展咨询、测评、灾备等专业化信息安全服务；健全安全等级保护、风险评估和安全准入制度”。国家发改委等三部委联合发布的《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）中，也明确指出要“加强和规范国家电子政务工程建设项目信息安全风险评估工作”。

1.2 测评流程

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置[4]。

等级测评过程分为四个基本测评活动【信息安全技术 信息系统安全等级保护测评过程指南】：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

测评准备活动本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。

现场测评活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

分析与报告编制活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。

2 风险控制

2.1 测评风险

由于等级保护测评机构的引入，对被测单位会造成一定影响，甚至影响到系统的正常运行。等级测评实施过程中，被测系统可能面临以下风险[5]：

（1）系统功能性验证。在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。

（2）工具测试影响系统正常运行。在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。

（3）敏感信息泄漏。泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。

2.2 风险控制

针对以上测评风险，应在日常工作中和测评过程的准备阶段、方案编制阶段、现场测评阶段予以控制[6]。

2.2.1 敏感信息泄露防范

敏感信息泄露防范要从人员管理和设备管理两方面入手。人员管理一方面采用安全管理的方式加强信息安全教育，提高信息安全意识，避免主观泄露被测单位信息的可能；另一方面采用保密合同，确保测评人员泄露被测单位信息后，可追究责任，必要时可采取法律手段。所以，各测评单位应建立相关制度，定期进行人员教育，并对人员录用、离岗等相关过程做出规定，防范主观上泄露被测单位的敏感信息。

设备管理要注意测评存储介质保管、工作计算机的恶意代码防范。对存储被测单位信息的介质，要妥善保管，制定相应制度和审批程序，防止存储介质的混用和丢失。工作计算机要做好恶意代码的防范工作，对存有敏感信息的工作计算机要做到专机专用，并防止其接入互联网，造成被测单位信息泄露。

总之，要防范敏感信息泄露要制定严格的管理制度和相应流程，规范测评设备的使用，制约测评人员行为，减少敏感信息泄露的可能性。

2.2.2 系统功能验证风险防范

在等级保护测评过程中，主要有访谈、检查和测试三种测评方式。在设备配置查看过程中，误操作容易引起被测系统的异常，而测试过程中，例如输入数据检查验证，则有可能进行验证而对信息系统造成破坏。要规避系统功能验证风险必须在准备阶段充分了解被测信息系统的情况，除了必要的信息收集外，还应查看相关开发文件和配置说明等。应避免有风险的功能验证，如查看信息系统的源代码或说明文件检查被测信息系统是否达到等保要求的功能。为防范误操作引起的风险，应在测评准备阶段制定相应的应急预案。应急预案应通过被测单位的审查，检验其有效性。在测评前，重要信息系统应进行备份。

2.2.3 工具测试风险范

由于工具测试对网络带宽和设备性能会造成一定影响，渗透性测试还可能破坏系统的可用性，因此在测评准备阶段要充分了解扫描系统的扫描策略，并对被测单位的设备性能、网络带宽等进行调研。在制定扫描计划时，应避免网络高峰和设备繁忙时段，并针对被测信息系统制定安全的扫描策略。

3 结束语

本文针对现有等级保护测评过程中缺乏风险规避的问题，提出了一种风险控制方法，提高了测评过程中的安全性。在未来工作中，应将风险控制引入到测评流程中，建立一套安全、可行的等级保护测评流程。

[1]沈昌祥.加快推进信息安全等级保护工作[J].特别报道，2008，5.

[2]赵战生.理解等级保护，落实等级保护[J].警察技术，2007，5.

[3]朱建平 李 明.信息安全等级保护标准体系研究[J].信息安全，2005，5.

[4]杨磊，郭志博.信息安全等级保护的等级测评[J].中国人民公安大学学报，2010，51.

[5]王代潮.实践等级保护 加强风险管理[J].技术与应用，2007，5.

[6]信息系统安全等级保护测评过程指南.中国国家标准化管理委员会，2007.