等级保护与三同步的过程结合

廖其耀，李若虹

（广西壮族自治区信息安全测评中心，南宁 530001）

1 网络与信息安全“三同步”

网络与信息安全“三同步”，指在信息系统生命周期中，网络与信息安全要实现“同步规划”、“同步建设”、“同步使用”[1]。

“三同步”是信息系统自身的要求。信息系统是为特定业务目标信息化而构建的，而信息安全是信息系统的安全保障。一般而言，信息系统生命周期包括规划、建设、使用/运营三个阶段。其中建设又包括系统分析、系统设计（概要设计/详细设计）、系统实施/编码、系统验收等阶段。只有落实“三同步”，在项目规划、建设阶段中强化落实安全要求，才能避免在后期的运营/使用阶段进行安全整改导致的业务风险大、改造难度大、投入成本高、耗时、耗力。只有落实“三同步”，才能有效形成信息系统的安全防护能力，为做好后续运维工作打下基础。

2 网络安全等级保护

《网络安全法》规定“国家实行网络安全等级保护制度”[1]。等级保护，指对信息系统按等级进行保护，对信息产品/信息安全产品按等级进行管理，对信息安全事件按等级进行应对[2]。等级保护基于“自主保护”，“重点保护”，“同步建设”，“动态调整”等原则，为系统备案单位协调信息安全与信息化工作、开展等级保护提供了指导。

当前我国等保的工作流程包括定级、备案、测评、建设/整改、监督检查共5个步骤。定级指信息系统运营/使用单位根据信息系统的重要程度、信息系统遭到破坏后的危害程度确定信息系统等级。备案指信息系统运营单位对二级以上信息系统到所在地市级以上公安机关办理备案手续。建设/整改指信息系统备案机构根据等保要求和信息安全要求进行安全建设和整改。等级测评指测评机构根据相关等级保护国家标准，对系统的安全保护措施进行检测评估。定期自查、督导检查与监督检查指备案单位对信息系统进行定期自查、行业主管部门定期进行督导检查、公安机关定期进行等保检查。

3 等级保护与“三同步”的结合

3.1 等级保护和“三同步”结合的基本原则

等级保护是我国的基本信息安全制度。信息安全是信息系统自身的要求。为此，企业为了将等级保护要求和系统自身安全需求相融合，有效落实信息安全工作，必须确立等级保护和“三同步”的融合原则。等级保护和“三同步”的融合原则是将等级保护工作纳入信息安全工作，将信息安全工作纳入信息化工作之中。将等级保护流程融入信息系统/项目生命周期[3]。

等级保护要求不能替代信息安全。等级保护标准《GB/T22239信息系统安全等级保护基本要求》明确其是“基本要求”，但该标准是国家层面的要求。如果建设单位有更高要求或针对其业务的特殊信息安全需求，需将等级保护纳入其信息安全之中。

此外，必须将等保工作流程纳入信息系统生命周期之中，才能提高等级保护和信息安全工作的有效性，有效落实等级保护和信息安全工作。

3.2 等级保护和“三同步”的结合点

《信息安全等级保护管理办法》的备案规定为新建二级以上系统，应在运营后30日内，由其运营使用单位办理备案手续。为将等级保护与“三同步”进行融合，基于该备案要求，以及信息系统的“规划、建设、运营/使用”三阶段生命周期，形成等级保护与“三同步”的结合点。在信息系统总体规划阶段进行定级。在信息系统使用阶段进行等级保护的“备案、测评、整改、自查和监督检查”工作。而在系统建设阶段，将等级保护要求以及系统信息安全要求纳入系统的建设全过程之中，确保建设出符合等级保护要求和信息安全要求的信息系统。

4 系统建设阶段落实等保要求和“三同步”

如前文所述，在等保工作流程和“三同步”流程的结合中，在系统规划阶段进行等保定级，在系统运营使用阶段进行等保备案、测评、监督检查等工作。因此，如何在系统建设过程中协调多家软件厂商/集成厂商有效落实等保要求，是等级保护与“三同步”结合的关键点。为此，在系统建设过程及其系统采购合同、系统分析、系统设计、系统实施、系统验收各阶段中，必须充分协调各方厂商落实等级保护和信息安全要求。

在采购合同中，将等级保护和信息安全要求纳入合同条款，通过合同条款落实系统集成商、软件开发商、厂商的责任，避免乙方后期工作不积极而无据可依的问题。

在系统分析、系统设计、系统实施阶段，软件开发商/集成商根据系统业务和功能特性，结合等级保护要求和系统的一般安全要求，结合系统面临的风险和威胁，形成系统的安全需求，形成安全基线，并进行有针对性的设计、实施和测试。例如，设计时从安全性、成本和用户体验综合考虑并选择安全措施。实施时形成安全编码规范并进行安全编码。软件测试/系统测试时进行软件安全功能测试、源代码审查、系统安全测试。

在系统上线/验收阶段，系统运营使用方可成立系统上线验收小组，对系统进行全面的安全验收检查，包括安全功能测试、源码安全测试、安全配置基线核查、工具扫描、渗透测试等。对验收过程中发现的问题及时进行整改，保证安全风险必须得到控制后才可上线。

在系统建设各阶段，加强安全测试和验证、工程管理、监理、评审，保证等级保护要求和信息安全要求的落实，保证系统上线时，系统的所有安全风险必须是可控的。

5 结束语

等级保护已成为我国信息安全的基本制度。“三同步”是信息安全和信息系统自身的要求。只有在信息系统生命周期中实现等级保护和“三同步”的结合，并在系统建设过程中协调各方落实等级保护需求和信息安全需求，才能实现国家信息安全基本制度和信息系统自身要求相结合，保证信息系统的业务安全。