本站讯 4月21日消息，第十届中国信息安全大会的安全创新与风险管理分论坛在北京举行，本站频道作为战略合作媒体在现场做了直播报道。

以下为公安部信息安全等级保护评估中心朱建平做主题为“等级保护评测工作”的主题演讲。

主持人：尊敬的各位领导，各位来宾，女士们，先生们，大家下午好。欢迎光临2009年第十届中国信息安全大会，本论坛的主题是安全创新与风险管理。借此机会，我想介绍一下中国计算机协会，计算机安全专业委员会的基本情况。

首先介绍一下专委会的主要领导和组织机构：专委会的主任是方院士，特聘的副主任有沈超详，秘书长是我。以前的专委会主任顾建国局长作为我们专委会的荣誉主任，专委会的决策机会是常委委员会，执行机构是秘书处。专委会主要活动有每年举办一次，全国性的计算机安全学术交流会，也是专委会的年会。而且还适时举办多个信息安全的高峰论坛。今年9月5号，我们将在云南省丽江市举办第24次全国计算机安全学术交流会，现在正在进行征文活动，截止日期是6月15号。

现在进入下午的主题。在下午的主题中，每一个演讲者后，都设计了一个问答，有一个提问的机会，由演讲嘉宾进行回答，提问者可以得到一份由中国计算机报提供的精美礼品。把握好信息化发展方向，关系到国家的利益。尤其是在当前全球经济发生变化，信息化进程加快，网络的全局性日益增强的今天，没有国家的信息安全，就没有真正意义上的政治、经济、文化和国防安全。

近年来，有关部门围绕信息安全保障体系建设，大力开展信息安全等保护工作，已经取得了积极进展。下面请出第一位嘉宾朱建平先生，他的演讲题目是等级保护测评工作，有请。

朱建平：各位来宾大家下午好。由我来讲，我们评估中心专门是从事测评工作的，所以我想介绍政策法规。所以这个关于等级保护的政策方面，还是以后有机会让顾局有机会跟大家介绍。我今天跟大家讲讲和我们工作，等级评估工作相关的测评方面的一些工作。

今天想给大家讲三个方面的内容，一个是等级测评，在等级保护中的作用和地位。第二个是等级测评在奥运安保中间的作用。第三是等级测评一个简单的介绍。

信息安全等级保护的工作流程主要有五个规定：第一个就是定级，定级工作目前市部委下发了一个文件，基本上已经圆满结束了。接下来，第二个阶段的工作就是根据你这个信息系统定完是多少级，要进行相应这个级别的建设和整改工作。在整改和建设完成以后，就有一个对这个系统来进行一个测评。测评完了，应该向主管公安部门进行备案，根据备案材料，进行法规所赋予的监管权利和义务，对这个信息系统进行监管。

通过信息安全等级保护工作流程可以看出，定级是一个首要环节，是定级保护工作的一个开始的环节，但不是核心环节。定级只是一个手段，目的是为了保护国家对已经确定的安全保护等级的信息系统，根据信息技术发展，根据现在的黑客攻击能力，对一到五级的系统，在技术和管理方面，十个部分已经规定了最低的保护要求，如果满足了基本要求，系统就具备了相应等级的基本安全保护能力，达到了一个基本的安全状态，基本要求这个环节是信息安全等级保护的核心。已经确定安全保护的系统是否满足基本要求是需要信息安全等级测评来进行判断的。

系统安全等级测评，不同于一般的安全测和风险评估。等级测评活动的完全首先是依据系统安全保护等级和该级别系统的基本保护要求。同时还要求测评人员具有把握国家政策，理解和掌握相关的技术。最为重要的是等级测评的结果，将是国家信息安全监管部门依法行政管理的技术依据，因此，等级测评活动，是一项政策性很强的技术专业化的一个信息安全服务。

由此可见，信息安全等级测评，是开展信息安全等级保护工作的一个重要环节。是在国家管理下的技术支撑活动和纯粹的商业化的评估有明显的区别。信息安全等级测评，首先要满足国家管理的需求，但是可以采取市场化运行的一种模式。 第二给大家介绍一下去年奥运工作中，我们等级测评的一些工作。这是整个等级测评在奥运安保中作用的一个图。对于某一个奥运的信息系统，首先我们开展了一个定级的工作，采用了我们评估中心制订的国家标准，定级指南，对这个奥运系统进行定级。定级指南是2240，基本要求是2239。根据这个定级的标准，把这个奥运信息系统定完级以后，其实它应该具有什么样的保护，有什么要求，基本上已经定了。

然后有一个第一次的测评，就看它比如说定的是三级和基本保护的要求，三级的要求，看看它符合性有多少，那第一次测评基本上都是差距比较大。所以，这个奥运的系统进行了相应的整改。按照基本要求，当时对四个奥运的系统进行测评，问题还是比较大。找出来的问题比较多，经过整改了以后，使得它达到了基本保护要求的很多项的要求都已经满足了，但是我们觉得奥运系统，达到一个基本的安全状态还是不够。为什么？因为这是在我们现在提出的那个基本要求是泛泛针对整个信息系统，它是一个底线的基本要求。

这证明了，如果你达到了这样一个基本要求，证明了你这个系统达到了一个基本的安全状态。如果在一个特定的时期，比如说你在奥运期间，有很多国外的这些反华的势力还有其他的机构，可能会对这些系统进行一些不利于我们国家的一些情况的动作，所以，在这样特殊的威胁之前，对我们的奥运系统又进行了一个特殊安全需求的挖掘，然后又进行了风险评估和渗透测试。

在这个风险评估和渗透测试这些特殊的安全系统加进去以后，发现也有很多问题，然后再进行整改。整改了以后，再进行第二次测评，测评完了以后，在奥运之前，基本上这样反反复复做了三次，使得我们奥运的四个信息系统，在整个的奥运期间，大事没有出，小事也基本上没有，达到了我们国家对奥运信息系统预期的一个安全上的要求。

从奥运的工作中间，我们可以看到，应该要用等级保护的思想，对这个信息系统进行保护。然后风险评估是寻找系统的脆弱性，渗透测试主要是验证这个脆弱性的机构。所以我们认为等级保护是这个信息系统安全保护的一个基础。风险评估，它是一个有益的补充，然后渗透测试它是对这个系统安全性的一个验证。

第三，向大家介绍一下等级测评。这是等级测评的一个过程，针对某一个信息系统，跟奥运的一样，首先要用国家的标准对这个系统进行定级，定级的过程大家都比较清晰，主要是考虑它对国家重要性的程度，和它损害以后的危害和要素来进行定的级。定完级以后，用基本的要求，对它进行最基本的保护。但是由于现在很多的信息系统不是新建的，都是已经在运行使用的，所以它当时在运行使用设计的时候不是按照这个等级保护的要求来做，所以会有一些地方有一些差距。所以，一般在整个活动中间，定完级以后，后面的工作没有强制一定要进行测评，也可以根据标准，比如定了三级，可以根据级别要求，三级所要求的项和你自己的信息系统设计的那些安全状态进行比对，但是有很多的运行使用单位，它的信息中心，或者是信息安全的主管的那些部门，他人手比较少，信息系统比较大，这样一个比对工作无法单独自己完成，所以也就可以委托那些测评机构，对他的现状，目前的安全现状和他所定的级别之间的差距有多少，可以做第一次的测评。

我们评估中心目前现阶段做的大部分测评工作，主要是现状测评。测评完以后，可以提出一个系统整改的最基本的安全需求，就是和所定的级的差距项有多少项，这是整改的第一个需求。

根据这些需求，你也可以根据你自己行业的一些特殊的需求，比如说，你的上级主管部门要求你的，比如说银行，我们这个标准里面要求业务连续性没有那么高，但是银行的那个他要求你必须得要四个九的业务联系要求，也就是说一年只能够停半小时这样的要求，比我们的基本要求高，这些行业的特殊的安全需求，也可以加进来也是作为一个整改的内容。

然后进行整改以后，再进行法规上的要求的第三个规定动作，测评。第二次测评是一个符合性的测评，就是和国家要求你的级别所应该达到的保护能力的一个符合性测评，测评肯定存在两个结果，一个结果是做得不错，全部都按照基本要求，都测试合格了。我们认为你这个系统已经达到了一个基本的安全保护的状态，是可以备案运行使用。还有一种情况，肯定是存在某些项目没有达到，存在一些缺陷下，对于这个缺陷，我们目前处理的方法是，对这个缺陷下，要进行风险评估，并不是说，判你不合格，然后又让你打回去，再进行整改，再测评，这样可能会造成一些死循环。因为有些系统，由于本身的原因，业务上的一些原因，是不一定能够达到你这个级别所要求的那些技术。在缺陷存在的情况下，你就得要进行风险评估。看看有什么威胁，能对这个缺陷起作用，然后存在的风险有多大，如果你这个信息系统什么也没有，那可能你计算出来的风险就很大。那个时候，可能就得要回去加一些东西，如果说，你觉得强制保护工作做不到，那我做一些其他的，但是也是能够提升他的保护，然后降低这个风险的，比如说我做了一些防护控制和间谍，使得他的防止内部人员作案不容易了，然后再进行风险评估的时候，发现他的风险值就降低了。然后你通过增加一些其他的不是强制防护控制的机制，使得它的风险降低了，原来是5，现在变成了3，根据风险评估的界定，风险的大小可以决定这个信息系统是不是可以运行，所以我们把它作为是带病运行。并不是说是可以永远带病运行，如果是三级的系统，要一年做一次测评的。短期可以带病运行，但是不能保证长期的带病运行。如果长期的技术或者条件许可情况下，还得要按照要求来达到最上面的合格，达到一个基本安全保护的状态。

前面说的那么多必须要达到，那么要什么依据来让我做到。我现在向大家说一下，我们这个等级测评，最后判定的是系统的保护能力。什么是保护能力呢，就是该级别的系统，应该具备该级别的保护能力。信息系统由于种种原因造成被攻击目标。对信息系统，实行安全保护的目的，就是要对抗系统面临的各种威胁，从而降低由于威胁给系统带来的损失，但由于信息系统的保护成本很高，不可能全面抵抗各种各样的威胁，因此，系统因根据其重要的程度，具备不同程度的安全保护能力，以抑制受保护朋友，并在遭受攻击后得以的快速恢复。保护能力体现在两个方面，一个是抗威胁的能力，还有一个是系统的恢复能力，这两个方面，八宝壶成本合理得用在最需要的地方。

这里向大家介绍一下，第三级的保护能力。保护能力，应能够在统一安全测量下，防护系统免受来自外部有组织的团体，拥有较为丰富的资源，较为严重的自然灾害，持续时间较长，覆盖范围较广等，其他相当程度的威胁，内部人员的恶意威胁，较严重的技术故障等所造的损害，在系统遭受危害之后，能够较快恢复绝大部分的功能。

下面是这个保护能力的一个最终实现和体现的，这是一个图。某级的信息系统，三级的，我们认为，你必须具备三级的保护能力，就刚才前面介绍的，有两个部分组成，一个是应该抵抗的威胁和遭受破坏以后，你的恢复能力。

这个级别的保护能力，等级保护就是说，这个能力必须要强制必须要做到，和其他的一些测评是有本质的区别。然后这个保护能力，你怎么实际去做到？我们中间有一个安全目标。这个安全目标是把保护能力进行了细化，有各种安全措施来进行实现。怎么来实现这些安全目标？我们的基本要求，列出了一大堆的安全措施和安全机制来对应这个安全目标。当你在选择安全目标的时候，可以基本要求里面对应的，比如三级可以从三级里面去寻找对应的安全措施，也可以选取更高级别的，如果这个级别对你来讲比较弱，还可以选择更高级别的要求里面去选那些安全措施来满足你这个安全目标。

还有一个我觉得就是某一个层面，我实现得很困难，但是我是不是可以从其他层面上来保护？这个也是一个没有办法的办法。因为这个信息系统安全大家知道，还有一个终生防御的概念，我在各个层面上都可以加不同的安全机制，当某一个层面被突破以后，另外一个层面上还有一些保护措施，使得它的攻击比较难，因为有一个终生防御的这样一个机制在里面。当你的资金各方面存在困难，然后这个安全目标必须要实现的时候，可能我们要求你在某一个层面，比如说要求你是在主机层面上实现比较困难，可能在其他的层面上去实现。但是所对应的安全目标，是目前要满足的。措施可以选择，有一些基本要求的条款，你觉得这些条款对你实现来讲，或者和你现在已经采取的措施来讲，有一些地方你做的东西和我的是差不多的，所对应的安全目标也是一致的，那其实也是可以通过这个其他层面的安全措施的一些互补关系来进行分析。然后最终选取达到安全目标采取的措施。

还有就是现在新发展的那些安全措施，安全技术，我们也不排斥，等级保护的措施也排斥，只要你这些安全措施提供的安全功能和机制是能够满足我这个安全目标的，那我也可以认为你选择对的安全措施。还有一个就是刚才前面讲了，实在做不到，是不是可以探索，也能够满足你的安全目标，或者基本满足你的安全目标，这也是可以进行尝试的。因为你这个有保护，我们认为，你有保护，总比没有保护好，我这个做不到，我什么也不做，那肯定是不合适的。因为这条做不到，但是想了办法了，也采用了一些其他的保护能力比较低的，但是通过它的组合，使得它的安全能力进一步提高，这是一个保护能力，如何来实现的一个图。

我们的基本要求，对于不同的级别，推荐了十个方面的一些措施和机制。主要分技术要求管理要求。技术要求是五个方面，主要分在物理安全、网络安全、主机安全、应用安全、数据安全。

对于信息系统，安全等级保护的状况进行测试评估，应该包括两个方面，刚才前面讲了，按照我这个要求，已经做完了，要测评，怎么测评呢？下面向大家介绍一下测评。测评工作主要分两个方面。一个是单元测评，就是前面讲的分了十个方面，但是每个方面它下面还下挂着很多的那些单元的要求，比如物理安全，有物理位置的选择、控制等等一些单元的测评项。单元测评主要是信息安全保护的一个基本控制的情况，主要测这个情况。还有一个是整体测评。整体测评，它主要是分析信息系统的一个整体的安全性问题。

测评的基本方法有三种，一种是访谈，另外一种是检查，还有一个是测试。访谈的对象主要是人员，典型的访谈包括访谈信息安全主管，信息安全管理员，信息系统的网络安全员，设备安全管理员和用户。工具主要是管理核查表。适用的情况是对技术要求使用访谈方法进行测评的，目的是为了了解信息系统的全局性，包括局部，但是不是细节方向。一般不涉及到具体的实现细节和具体的技术措施，对管理要求，访谈的内容应该较为详细和明确。我们对这个访谈的策略，后面会讲，就是我这个测评有一个测评强度，访谈获得的证据，一般不作为系统测评判定的是否达到要求的一个主要依据，作为是一个参考的依据。但是对低级别的一些系统，有一些访谈的结果是可以作为他测评的依据的。

检查主要有评审、核查、审查、观察、研究和分析等等。检查对象是稳当、机制、设备等，工具是技术核查表。对管理要求，检查的方法主要用于规范性的要求，检查文档。你把防火墙的策略打出来，我看一看，是不是这个配制，和整体安全的要求，策略是不是一致，把这个都是检查，不是自己动手做。

最后的测试是要自己动手，主要分在功能、性能测试还有渗透测试这两个方面。测评对象包括安全的机制，设备等等。测试一般需要借助于特定的工具，比如扫描检测工具，网络协议分析仪等等。适用情况，对技术要求来讲，测试的目的是验证信息系统当前的安全机制，或者运行的有效性和安全强度等等。对管理要求一般不采用测试技术的。

接下来向大家介绍一下测评强度。对信息系统的要求，安全等级越高，基本要求强度越强。体现为安全控制的多少，而且越细。比如说物理安全上面的环境选择，一级的可能AB就两项，二级的ABCD有四项要求，三级的可能ABCDEF，这是体现安全控制的点的多，还有要求更细，这是基本要求上面的一些要求。

对测评也提出了不同的要求。安全等级级别越高，测评的强度应该越强。测评强度，体现在这个测评工作的努力程度上，反映出测评的广度和深度，这个强度从一级到四级是逐步增强的，也就是说，我所获得的证据的那个准确性就更高，遗漏的情况可能就会更少。

咱们可以举一个简单例子，比如说在做网络控制列表测评的时候，你这些用户名和用户都是你开的吗，每个用户是谁你都知道吗？他说这些都是我开的，还有几个什么以前的临时帐户什么的，为什么还留着？因为有的时候调试还要进行调试，你只要回答得出这些问题，上面的那些防护控制列表上的用户，只要你的管理员都知道这些帐户是什么用处的，那么一级基本合格。到二级这样强度和深度是不够的。首先问他，这些方面的没用的，经常不用的，临时的是不是都已经删除掉了？你上面现在有的这些防护控制列表，是不是是随意的，你自己控制的，说我可以添加一个用户，让它授予权限，还是必须每个开用户授权都是有明确的授权书，是根据授权书执行授权操作还是可以操作，那对二级来讲是不行的。有管理部门对这个人员的使用要求要授权，测试的要求就高了，深度就深了，更细了。到了三级要求更高，我举一个例子，表明这个测试，同样测一项指标，可能不同的级别，所付出的努力和所提的要求是完全不一样的。

向大家介绍一下系统测评。系统测评主要包括安全控制间的安全测评，还有层面间的安全测评，还有区域间的一些安全测评。根据这个关联作用，逐层测评分析安全控制间、层面间和区域间的关联关系，对整体安全保护能力的影响。这个主要是考虑就是前面我们是把这个系统的要求打碎了，把它技术分在五个层面上，但是我在测评的时候，我还要把它列起来，看它回到基本要求最前面的保护上去。所以某一个测评项，可能不满足，不并不是判定你整个的系统就不满足了。我首先通过系统测评要考虑是不是在同一层面上是不是存在一些安全机制，和它是互补的，我做了这个，等于是达到了另外一个一样的安全目标这样的功能、作用。还要看如果这个层面上没做，那另外一个层面上是不是做了，举一个简单的例子，防止信息在网络上传输的时候被人家窃取，如果你做了密文那就更好了。明文走密道合不合格，也起来了作用，因为这个标准上的要求是要密文走明道的，这个是不同层面间存在的互补关系，而且所对应的基本要求里面的防止内部人员通过网络侦听来获取信息这样一个安全目标，能够达到我们认为你这个系统整体测评在这一项上也是合格的。

还有就是区与区之间的测评，这是一个整体测评的，还有从系统整体结构方面来进行考虑，这是一个系统整体的测评的问题。测评是一个很复杂的，我们认为测评其实是有两个部分，一个是测一个是评，测，前面讲的单元测评是解决一个测的问题，获取证据，后面的评主要是从系统角度来进行评估和评判。这么多获得的那些证据把它串起来，分析相互之间的关系，然后做出最终的一个判断，使得你这个系统是不是达到了这个系统的保护能力的要求。我们所关注的是保护能力不能缺失，而不是说某一个安全机制或者措施缺失了。

这是我给大家介绍一下信息系统等级测评的结果测定。首先是一个根据你定完级以后，根据定级的要求，是偏重于信息安全类的，还是业务连续性要求类的，可以选择不同的安全指标级。首先先要选择测评的项，安全指标级选出来。然后再进行单元测评，这也就是获取证据测的问题，测出来，肯定有很多，标准上要求没做到，那就通过系统测评的方法，对这些进行分析。通过互补关联分析，分析完，确实这些安全机制虽然没有做，但是整个的保护能力没有缺失，我们认为这个系统是合格的，然后也认为你达到了一个基本的安全保护的状态。如果系统测评发现，你再怎么互补也补不上，你确实是保护能力存在缺失了，就是没有，防止内部人员作案这块安全目标就是缺失了，那系统测评肯定是存在不合格项。那这个不合格项下来我们就要通过风险评估的方法对它进行风险分析，然后发现如果说出了强制防护工作没有做，其他的根本没有做什么，风险很高，又得进行整改，然后再回到单项测评上重新再走一遍。如果说你已经做了一些其他方面的东西，使它风险了，那前面介绍的测评方法是一样的。

我的发言就讲到这里，谢谢大家。

提问：在整改工作以后，很多地方要建设安全设施，落实安全措施，建立并落实安全管理制度，落实这个责任制，有一些单位不太明白操作办法，您能否简单介绍一下操作上的方式和方法。

答：这个都是很明确的，这个系统谁主管谁运行就是谁负责。公安起到的是一个监管的作用，我举一个简单例子，可能大家就比较知道了。谁生的娃娃，自己的孩子自己抱，自己养。公安就像医院的检查的医生，规定你一个月了，你到医院里来做一个体格检查，量一下身高，抽点血化验一下，告诉你，这个小孩子很健康，继续这么养下去吧，那没有问题。如果发现小孩营养不良，各个指标不太好，医生可能就给你开一个整改的处方，要补补钙或者怎么样。但是回去补钙不是公安的事，职能还是自己的运行使用单位要给这个小孩去补钙，还是在运行使用单位之上。公安只是起到一个监督你，帮助你的这样一个，而不存在公安负什么责任。