基于等级测评实践的信息安全状况分析

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。

近年来，随着信息安全等级保护工作机制的不断完善，主管部门监督检查力度的不断加大，信息系统开展等级测评的数量稳步增长，测评覆盖率显著提升。通过统计分析本单位近些年测评的数百个信息系统的数据，可以得出以下结论：一是较早开展等级测评的行业，经过测评和整改建设，测评符合率逐年提高；二是随着等级测评工作的持续推进，近期才开展首次测评的行业特别是基层单位的信息安全工作基础较薄弱，测评得分明显偏低。通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面的测评结果进行统计，其中网络安全、主机安全、应用安全、系统运维管理等方面的不符合率相对较高，信息系统的建设、使用、运维阶段存在一些较普遍的问题。

信息系统安全保护措施落实情况分析

整体而言，随着等级测评工作的持续推进，党政机关、企事业单位对信息系统安全等级保护的认识和重视程度得到普遍提升，在管理和技术两方面主要采取了以下安全措施：

信息安全管理措施落实情况

在信息安全管理方面呈现出两级分化的特点。一些重点行业的业务信息化程度高、自身信息技术队伍力量足、信息安全投入经费有保障，其安全管理措施一般也能得到有效落实，在机构、人员、制度、建设管理、运维管理等方面均能较好地符合相关标准的要求。这一类的典型包括银行、证券、电力等行业主管部门对信息安全监管严格的几大行业。相反，部分对信息系统管控相对松散的单位如大专院校、在信息安全投入方面得不到充分保障的单位如基层政府部门，其信息安全专业人员的配备达不到标准规范的要求，安全责任部门地位偏低权限不足，很难制定并有效贯彻落实结合本单位实际的信息安全管理制度。

信息安全技术措施落实情况

多数单位通过部署边界安全设备，强化入侵防范措施来提高网络的安全性；通过加固操作系统和数据库的安全策略，启用安全审计，安装杀毒软件等措施，来提高主机安全防护水平；通过开发应用系统的安全模块，从身份鉴别、访问控制、日志记录等方面，强化业务应用的安全性；通过部署数据备份设备、加密措施，加强对数据安全的保护。

信息系统常见安全问题分析

随着等级测评工作的覆盖面进一步扩大，近年来初次测评的单位和基层部门仍发现一些典型问题。

信息安全意识有待提高

很多单位对当前日趋严峻的网络安全形势认识不足，将信息安全工作视为被动应付上级检查、被动应对安全事件的任务来消极对待。一些单位认为取得“基本符合”的测评结论就高枕无忧，完成测评备案就完成了等级保护。由此造成对信息安全合规的落实不够、资金和人员投入不足、重建设轻运维、有制度无执行、有预案不演练等问题，根源还是安全意识薄弱。

信息安全管理有待加强

信息安全管理不到位主要表现在安全管理制度、系统建设管理、系统运维管理等方面。

信息安全管理制度不完善。基层单位信息安全管理制度不全、人员配备不足、授权审批流于形式、执行记录缺失等问题较为常见。部分单位的信息安全管理制度照搬模版，未结合本单位实际进行修订，导致缺乏可操作性。

系统建设管理不到位。系统建设过程中落实信息安全“同步建设”原则不到位。在软件开发阶段较普遍未遵循安全编码规范，导致安全功能缺失、应用层漏洞频现。在系统验收阶段，很多单位仅注重业务功能验收，缺乏专门的安全性测试；电子政务类项目较普遍未按规定在项目验收环节完成“一证两报告”（即等级测评报告、风险评估报告和系统备案证明）。

系统运维管理不到位。在系统运维管理方面，部分单位运维和开发岗位不分，职责不清，存在一人身兼数职现象。很多单位在信息资产管理、介质管理、变更管理等方面缺乏操作规程和相关记录，数据备份策略不明，应急预案不完善并缺乏演练。

关键技术措施有待落实

分析近年来的测评结果，安全技术措施不足问题主要体现在以下几个方面：

在物理安全方面，随着电子政务集约化建设的推进，大量信息系统已经集中到高规格的专业机房，但仍有部分单位自有机房条件简陋，位置选择不规范，出入管理较随意，防盗防破坏、防雷防火防潮能力较差，环境监控措施不足。

在网络安全方面，常见网络和安全设备的配置不到位，如未合理划分区域、未精细配置访问控制策略、未对重要设备做地址绑定等；较普遍缺少专业审计系统。部分单位设备老旧，安全产品本身存在一定缺陷导致无法满足等级保护要求。个别单位用于生产控制的重要信息系统在网络层面未采取必要安全措施的同时，还违规接通互联网，存在极大的安全隐患。

在主机安全方面，部分单位存在弱口令、不启用登录失败处理和安全审计功能、不及时更新补丁、不关闭非必要服务等问题。此外，由于主流操作系统和数据库很少支持强制访问控制机制，相关要求普遍未落实。

在应用安全方面，很多应用软件安全功能不足，缺少身份鉴别、审计日志、信息加密等能力。由于很少进行安全扫描、渗透测试，相当一部分系统存在高危风险，如SQL注入、跨站脚本、文件上传等漏洞，以及弱口令、网页木马等问题。

在数据安全方面，较常见的是数据保密性和完整性措施薄弱。此外，部分信息系统的备份和恢复措施欠完善，缺乏有效的灾难恢复手段。

针对新技术的等级保护测评标准有待出台

随着浙江政务服务网的大力推进，省内各级政务云平台的建设使用已全面开展，有相当数量的电子政务系统已迁移上云。同时涉及城市公共设施、水电气等工控系统密集的行业对等级保护工作越来越重视，对云计算、工控系统、移动APP等的测评需求不断加大。但现有的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》未涉及云计算、工业控制、移动互联等领域，在测评实践中已遇到诸多不适应情况。针对这些新技术新应用的等级保护测评标准需求已非常迫切。

重要信息系统安全保护对策建议

针对上述存在的问题，本文提出以下对策建议，以供参考。

提高信息安全意识

提高全员信息安全意识是全面提升信息安全保障水平的根本解决之道。要树立全体人员的安全观念，加强信息安全培训。除了通过强化工作考核和安全检查来督促信息安全工作的深入开展，还应通过多种方式开展信息安全政策解读和信息安全标准宣贯，强化对全员的安全意识教育和考查。建议结合一些合适的安全职业技能培训，落实信息安全相关岗位“持证上岗”的要求。

加强信息安全管理

“三分技术，七分管理”，各单位应转变观念，将“信息安全”与“系统稳定、功能正常”同等重视起来，将安全管理要求与自身业务紧密结合，制订完善的体系化的安全管理制度。

在系统建设管理过程中，应要求开发人员遵循安全编码规范进行开发；在系统验收环节，应认真做好安全性验收测试。在电子政务领域应落实国家对电子政务项目管理的制度要求，验收阶段完成等级测评，未通过测评的应不予验收。

在系统运维管理方面，应加强制定信息系统日常管理操作的详细规范，明确定义工作流程和操作步骤，使日常运行管理制度化、规范化。对信息资产按重要性进行分类梳理，建立完善应急灾备措施，定期开展演练，确保备份的有效性。

落实关键技术措施

针对测评发现的问题，各单位应根据系统所定级别，结合自身条件，综合考虑问题的影响范围、严重程度、整改难度等因素，制定整改计划，有步骤地落实相关技术措施。对于策略配置类的问题及时纠正；对于整改难度大、需要添置硬件或修改代码的问题，应在充分测试和试运行的基础上实施整改。对于强制访问控制、敏感标记、双因子鉴别等难点问题，建议国家加强相关产业政策的引导，促进安全厂商研发技术、推出产品，解决市场供应问题。各级主管部门应通过测评、整改、监督检查、再测评的闭环管理，督促关键技术措施的落实。

加快新技术的等级保护测评标准编制工作

目前公安部信息安全等级保护评估中心在牵头起草针对云计算安全的等级保护标准，尚处于征求意见阶段。其余新技术领域的等级保护标准制定工作进度更晚，随着智慧城市、云计算、大数据、移动互联、工业控制等新技术的快速应用，安全标准相对滞后的问题更加突出，应进一步加快相关新标准的制定。

（作者单位：浙江省发展信息安全测评技术有限公司 ）