信息安全等级保护测评工作中存在的一些问题探讨.pdfVIP

2013 年增刊 优 秀 论 文 信息安全等级保护测评工作中存在的 一些问题探讨 张竞，李昀 （上海交通大学信息安全服务技术研究实验室，上海 200030） 摘　要 ：文章从等级保护标准及其理解和把握，以及测评结论、量化分级和新技术等层面，对目前 等级保护测评工作中存在和面临的一些问题加以总结和探讨，分析了问题本身，并且提出了一些建议， 旨在进一步推动等级保护测评工作的进步与发展。 关键词 ：等级保护 ；测评 ；问题探讨 中图分类号 ：TP309 文献标识码 ： A 0 引言 信息系统信息安全等级保护制度是我国信息安全领域的一项基本国策 [1] 。在公安部的牵头下，通过十几年的探索和实践，信 息安全等级保护工作已在全国范围内开展和实施。等级保护工作分为定级、备案、建设整改、等级测评和监督检查五个环节，其 中等级测评工作的主体是第三方测评机构，通过开展等级测评，判断信息系统的安全保护能力是否达到相关国家标准。笔者作 为测评机构的一名测评师，根据近年来的测评工作中碰到的问题，总结出的测评经验，探讨信息安全等级保护测评工作存在的一 些问题，提出相应的建议，希望信息安全等级测评工作能不断完善和发展。 1 标准的不尽合理 在公安部的大力推动下，就信息安全等级保护工作我国已经制定并发布了有关信息安全等级保护工作的一系列标准，形成了 比较完善的标准体系。其中，《信息系统安全等级保护基本要求》以下简称《基本要求》针对不同等级的信息系统，提出了应当具 备的安全保护能力，等级测评作为一项标准符合性测评工作，检测并衡量被测系统是否具备标准所要求的安全保护能力。因此 该标准是等级保护测评工作的根本性依据，它从技术和管理两个维度，共十个方面对不同等级信息系统作出了安全控制要求。通 过这些年来的等级测评工作，发现该标准存在以下三方面的问题。 1）有些要求项的内容制定不够完善和全面，子类要求项的内容不能全面代表子类的安全防护水平，即使在某子类要求项全 部符合的情况下，即该子类的单元测评结论为符合，但实际该子类的安全性仍不容乐观，以 7.1.3“主机安全”类下的 7.1.3.5“恶 意代码防范”子类为例，其三个要求项为 [2] ：（1）要求安装安全防恶意代码软件，并及时更新软件版本和恶意代码库 ；（2）要求 主机安装的防恶意代码软件与网络部署的防恶意代码产品有不同恶意代码库 ；（3）要求防恶意代码的统一管理。 在实际测评过程中，某信息系统完全符合上述三项要求，但实际感染病毒的情况仍比较严重，这意味着这三项要求不能代 表该子类的真正安全防护水平。 2）有些要求项的内容制定过于狭隘，但这个问题与 1）的问题恰恰相反，该问题导致某些要求项在部分符合或者不符合 的情况下，实际的安全防护是到位的，以 7.1.2.3“安全审计”下的 C 项要求为例，该项要求能够根据记录数据进行分析，并 生成审计报表，在实际测评过程中，发现存在产品和技术没有自动生产审计报表功能，而只有一条条的审计记录，但是管理 人员确实通过人工的方式进行了数据分析，并定期生成分析报告，在这种情况下，要求项是不满足的，但实际真正实现了数据 分析和报表的功能。 收稿时间 ： 2013-05-15 基金项目 ： 上海市科委重点科技攻关课题 [11511504302] 作者简介 ： 张竞（1979-），女，上海，工程师，硕士，主要研究方向 ：信息安全 ；李昀（1974-） ，女，河南，讲师，博士，主要研究方向 ：云计算、 信息安全、移动互联网、人机交互等。 53 优 秀 论 文 2013 年增刊 3）标准内容存在重复性，以 7.1.5.2“数据保密性”下的 a 同，导致对测评结论的争议性。 项要求为例，要求采用加密或其他有效措施实现系统管理数 由于标准是普适性的，针对每个等级的信息系统的要求 据、鉴别信息和重要业务数据传输保密性，该项要求其实在 都是一样的，但现