等级测评中的问题与建议

2017年6月1日，网络安全法正式施行,其中明确规定了国家实行网络安全等级保护制度，并明确了网络运营者应当按网络安全等级保护制度的要求，履行一系列安全保护义务。

自网络安全法施行以来，已经有多起因不进行等级保护或者而导致黑客入侵及数据泄露的案件发生。其中教育行业与服务平台已经成为黑客攻击的目标之一。在2017年中就发生了多起学校网站被攻击的事件，这些事件不仅在社会上造成恶劣影响，而且由于数据的泄露，后续很可能发生无法预测的恶性事件。经各地方网安部门调查，这些网站与系统均未进行网络安全等级保护的定级备案、等级测评等工作。

定级备案只是最基础的一步，之后还需要根据安全等级不同按规定时间限制开展定期等级测评。这步虽然重要，却常常被忽视。2017年7月20日，汕头网警支队发现汕头市某信息科技有限公司于2015年11月向公安机关报备的信息系统安全等级为第三级,经测评合格后投入使用，但2016年至今未按规定定期开展等级测评。

即使按时开展定期等级测评，也并不能保证这些系统不被黑客攻击或者消除数据泄露的风险。如果跟踪等级保护的实施过程，就会发现，如果严格按照公安及教育部的文件精神执行，严格按等级保护的步骤进行，则发生数据泄露或被窃取信息的几率将大大降低。

新的等保标准在老的等保标准上有了一些重要的变更，包括对边界防护、访问控制、通信传输、入侵防范、恶意代码防范、集中管控方面都有更新。并将老的等保标准中的一项安全通用要求扩展到六方面，增加了对云计算、移动互联、物联网、工业控制、大数据安全等与时俱进的技术方面的安全要求。此外对技术要求与管理要求更细致，如对技术要求不仅仅有物理与环境安全，还对网络与通信安全、计算和设备安全、应用和数据安全等提出了要求，在管理要求上提出安全策略和管理制度、安全管理机构和人员、安全建设管理以及安全运维管理等。

如果各单位严格按照等级保护的步骤去改进、评估机构严格按照等级保护的标准去执行，则毫无疑问信息安全保障工作的整体水平会有明显提高，而目前信息系统面临的威胁也会得到有效解决。

但是基于各单位的信息安全管理现状，等级保护并未充分发挥其作用。

等级保护测评机构的监管

目前大多数单位根据网络安全法与公安部门要求，已经完成备案。按要求，等级保护工作应该按照五步走：定级、初步备案、测评、整改、复评。接下来进入长期监督阶段。当然，也可以按三步走：完成定级报告、编写差距测评报告，最后进行完全整改建设与验收。不管怎样分步，实际过程中最重要的工作有两个：测评、整改。而这两个工作涉及到的主体分别是测评机构、申请测评的单位（以下简称单位），监督主体是公安部门。

其中，第三方等级保护测评机构对单位的信息系统安全防护情况的测评是衔接的关键一环，公安部门对单位的备案评估完全依赖于由此产生的评估报告。

这本来是一个比较可靠的环节，因为三方独立，都是第三方。但是在实际操作过程中，单位与测评机构有一层关系是购买服务与服务方，因此在测评过程中测评机构一般会偏向给出“友好”的测评报告供单位去公安部门备案。而因为已经通过备案，接下来的整改工作依然依托于单位的管理现状，所以整改效果非常有限。

针对等级保护测评过程中的这种可操作性，已经有专家学者在思考如何完善对等级保护测评机构的监督，探讨对测评机构进行有效监管的方法，但从法律法规的角度的规范角度，对测评机构的监管依然处于非常宽松的状态，而且未与单位的风险挂钩。

基于此，作者认为，为充分发挥等级保护的作用，保证等级保护测评的公正性，促进单位的信息系统安全管理的整改与完善，真正达到公安及教育部对等级保护所起的作用的预期，应该从两方面进行改进：

1.参考法官在七种情形下致错要终身追究的意见规定，在单位未进行新的测评之前，即在等级保护管理办法要求的无需进行再次测评的规定时间内，测评机构需要对单位在此期间发生的安全事件负一定的责任。该责任直接影响政府对该测评机构的业务市场与范围的约定。

2.若公安部门在对网络安全等级保护重点单位进行执法检查时发现有与测评报告不符的情况，要通报测评机构并予以警告。若公安部门或对应信息安全监测中心检测到单位系统存在安全威胁事件时，不仅要通报给单位知晓并及时处理，还要同步通报给对应测评机构知晓。

如果将测评机构的报告的客观性与单位的安全事件关联起来，评估报告一定会更客观、更公正。至少，不会出现“先写完善，以后再改”的情况。而是会尽量将漏洞写清楚，以免被追责。虽然测评机构可能会用“网络是不断变化的，网络的安全性只是暂时的”等借口来推脱责任，但只要将安全事件责任与测评机构挂钩，报告一定会比现在要详细客观的多。

公安部门与信息安全监测部门的责任

公安机关的日常任务已经是众所周知的繁重，但网络安全无小事。等级保护测试评估的客观性直接影响单位的信息安全程度，来不得半点马虎。正因为此，整个测评过程离不开公安机关的监管，只有在监管下运行与实施，才能保证测评与备案的有效性。

跟踪整个测评过程发现，测评涉及到单位网络安全相关的方方面面的细节：物理服务器、虚拟服务器的系统状态、病毒防治；通信链路中关键设备如核心交换机、汇聚交换机等密码设定要求、配置保存要求；各服务器系统的登录方式、远程访问方式、空闲退出时间限制；入网人员身份鉴别、入网电脑限制；出口边界控制；管理规章制度的制定与分布等。

从这些细节不难看出，等级保护测试评估的全过程涉及单位的系统安全的各个角落，但反过来讲，若这个过程无任何监管，各种漏洞被测评机构“筛”过依然牢固留存，后果不堪设想。在整个测评过程中，经常可以听到这样的声音：先写通过，回头再改；先写有这一项，回头再补上等。

要避免出现这种“走形式”的测评，必须在等保的全程增加监管。即使由于人手不足，无法对全程监管，在准许备案之前也要去单位进行细节抽查，只要发现有任何抽查细节不满足要求，应要求重新进行测评。

而在备案之后的整改过程中，也要求给出整改计划，并按时抽查整改情况。只有这样，才能提高单位的信息安全管理意识与重视程度，并逐步提高单位的整体管理水平。

单位自身的完善

在公安监管下的登记测评报告是公正的，整改过程也会有序进行。但即使这样，依然有一些非人为因素普遍存在亟待解决：

1.改变部门性质

很多单位的网络管理部门都是服务部门或者辅助部门，没有管理权，更遑论规章制度制定权。人员更是属于急缺资源，仅有寥寥几人用于维护设备、服务单位的其他部门与人员。

在公安监管下建立从上到下的实际管理而非糊弄公安机关而建的信息安全机构是非常有必要的，只有这样，才能真正切实改变岗位人员只是挂名、工作范围混乱无序、管理制度仅为应付检查所设立的局面，才能使网络技术人员职责分明，制度才会真正完善与实施，信息才能真正安全，等保测评才能起到真正的测评的作用，备案也才有意义。

2.集中技术培训

同时，技术人员的专业水平不高也是另一个严重的问题。在1994年CCIC分批投入运行时，国家同时培养了一大批公安信息化专业人才，并形成了一支计算机应用和网络管理的专业队伍，为公安信息系统的建设打下了初步基础。

在我国大力推行网络安全与等级保护测评制度的今天，单位网络管理部门的技术人员专业水平不达标，单位安全意识跟不上，没有有效的、接地气的培训途径等一系列问题都在制约着等级测评的整改与备案的实际效果。

一方面，各种信息安全公司与产品如雨后春笋般更新，各种安全设备性能推广令技术人员眼花缭乱；而另一方面，机房中的安全设备购买后被束之高阁，配置自最初的厂商配置后再无更改，对单位信息保护所起作用可见一斑。针对此，一些单位购买了专门的安全服务，将自家单位的信息安全配置与管理全权交给外面的公司，这在一定程度上似乎减少了自己单位的工作量与技术水平要求。但随着厂商业务的拓展、售后服务人员的更迭、产品质保期的结束，带来了更多不可控因素，使单位受制于人。

因此，针对需要进行等级保护测评的单位的技术人员的“等级保护测评知识”的培训势在必行。

3.可操作的整改计划

就目前而言，多数单位在公安机关备案后没有进行任何整改，一是测评公司的“大方”所致，二是技术水平受限，三是公安机关没有配备的后续检查。但整改计划的必要性与重要性已经深入人心，制作一份操作性强的整改计划、专人负责、专人整改，明确开始时间、结束时间，撰写整改细节文档，将等保测评过程中发现的问题一一整改到位，这才是网络安全法要求进行等级保护测评制度的真正目的。

结语

等级保护制度作为保护信息安全最有效的手段，不应该因为任何一方的“掉链子”或者“走过场”导致它失去应有的效力与作用。作为等级测评实施过程中的三个参与者，测评公司、公安部门与信息安全监测部门以及单位自身都要完善自身并监督彼此。

本文正是从三个参与者的角度出发，在跟踪发现目前测评实施过程存在的漏洞与问题的基础上，分别提出意见与建议，供三种角色进行借鉴，进而完善整个等级测评过程，达到网络安全法提出实行网络安全等级保护制度的初衷。