《国家信息安全测评》

国家信息安全测评

信息安全等级合规测评

合规，简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内，等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等，是典型的合规性要求。

信息安全合规测评是国家强制要求的，信息系统运营、使用单位或者其主管部门，必须在系统建设、改造完成后，选择具备资质测评机构，依据信息安全合规性要求，对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有强制性和周期性（定期检测），是国家信息安全部门督促合规性要求落地实施，保障信息安全的重要手段。

一、信息安全合规性要求

1、等级保护

等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发《关于信息安全等级保护工作的实施意见》、《信息安全等级保护信息安全等级保护管理办法》开展。

2、分级保护

分级保护针对的是涉密信息系统，根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是bmb17《涉及国家秘密的信息系统分级保护技术要求》和bmb20《涉及国家秘密的信息系统分级保护管理规范》。

国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构，山东省软件评测中心是国家保密科技测评中心在山东省设立的分中心。

3、塞班斯法案针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席塞班斯联合提出，又被称作《2002年塞班斯-奥克斯利法案》（简称塞班斯法案），法案对美国《1933年证券法》、《1934年证券交易法》做了不少修订，在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。

塞班斯法案成为在美上市企业躲不过去的坎。它规定，上市公司的财务报告必须包括一份内控报告，并明确规定公司管理层对建立和维护财务报告的内部控制体系及相应控制流程负有完全责任；此外，财务报告中必须附有其内控体系和相应流程有效性的年度评估。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确，还要保证内控系统能通过相关审计。

4、计算机信息系统安全专用产品销售许可

计算机信息系统安全专用产品销售许可证是为了加强计算机信息系统安全专用产品的管理，保证安全专用产品的安全功能，由公安部公共信息网络安全监察局颁发的许可证书。

办理依据：

（1）《中华人民共和国计算机信息系统安全保护条例》、（1994年2月18日，国务院令147号发布）。

（2）、《计算机信息系统安全专用产品检测和销售许可证管理办法》（1997年12月1日，公安部令第32号）。

（3）、《计算机病毒防治管理办法》（2000年4月26日，公安部令第51号）。审批办理流程：

（1）、产品检测。申请单位须将样品送指定检测机构进行检测。

（2）、申请办证。检测合格后，申请单位按规定提交证书申请的相关材料。（3）、审批发证。公安部公共信息网络安全监察局。

5、信息系统密码安全管理

为推动商用密码发展，确保国家重要信息系统密码安全，具备检测资质的机构依据《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技术实施要求》《信息系统安全等级保护基本要求》，对信息安全等级为三级以上（含三级）信息系统中的商用密码系统进行测评。的商用密码系统安全等级保护测评工作拟分以下三个阶段：测评申请阶段、现场检测阶段、报告与结论阶段。

在信息安全合规性要求中，等级保护和分级保护以其涉及范围广，实施具有高度专业化和复杂性的特点，成为信息安全合规测评工作的重点和难点，后面的文章将会对这两个概念进行重点解读。

二、区分信息安全等级保护与分级保护

通过上文我们知道，信息安全等级保护与分级保护是在信息安全合规测评中两个非常重要的概念，二者密切相关又有区别。山东省软件评测中心结合在等级保护测评和分级保护测评中的具体实践，对等级保护和分级保护进行详细介绍，理清两者间的关联。

1、信息系统等级保护

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。

信息系统安全等级保护将安全保护的监管级别划分为五个级别：

第一级。用户自主保护级完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级：系统审计保护级本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。第三级：安全标记保护级除具有第二级系统审计保护级的所有功能外，还它要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、审计。

第四级。结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。

第五级。访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动，仲裁访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。

在等级保护的实际操作中，强调从五个部分进行保护，即：

物理部分：包括周边环境，门禁检查，防火、防水、防潮、防鼠、虫害和防雷，防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等；

支撑系统：包括计算机系统、操作系统、数据库系统和通信系统；网络部分：包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理；

应用系统：包括系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控制，密码保护机制和信息存储管理；

管理制度。包括管理的组织机构和各级的职责、权限划分和责任追究制度，人员的管理和培训、教育制度，设备的管理和引进、退出制度，环境管理和监控，安防和巡查制度，应急响应制度和程序，规章制度的建立、更改和废止的控制程序。

由这五部分的安全控制机制构成系统整体安全控制机制。

2、涉密信息系统分级保护

涉密信息系统实行分级保护，先要根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级；涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是bmb17《涉及国家秘密的信息系统分级保护技术要求》和bmb20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面，对不同级别的涉密信息系统有明确的分级保护措施，从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。

涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级（增强）、绝密级三个等级：

秘密级。信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。

机密级：信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：

（1）信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；

（2）信息系统中的机密级信息含量较高或数量较多；（3）信息系统使用单位对信息系统的依赖程度较高。

绝密级。信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相联。

涉密信息系统要按照分级保护的标准，结合涉密信息系统应用的实际情况进行方案设计。涉密信息系统定级遵循“谁建设、谁定级”的原则，可以根据信息密级、系统重要性和安全策略划分为不同的安全域，针对不同的安全域确定不同的等级，并进行相应的保护。建设完成之后应该进行审批；审批前由国家保密局授权的涉密信息系统测评机构进行系统测评（山东省软件评测中心是山东省内唯一的涉密信息系统检测机构），确定在技术层面是否达到了涉密信息系统分级保护的要求。

3、等级保护和分级保护之间的关系

国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统，而不论它是否涉密。如：国家事务处理信息系统（党政机关办公系统）；金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统；国防工业企业、科研等单位的信息系统等。

涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统，重点是党政机关、军队和军工单位，由各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全，确保国家秘密不被泄漏。

国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法，进一步确定了信息安全发展的主线和中心任务，提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。而涉密信息系统分级保护则是是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

三、等级合规测评的主要内容

1、单元测评。单元测评从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面，测评《信息系统安全等级保护基本要求》（gb/t22239-2008）所要求的基本安全控制在信息系统中的实施配置情况。

2、整体测评。整体测评主要测评分析信息系统的整体安全性。在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等，是在单元测评基础上进行的进一步测评分析。

四、等级合规测评的重要作用

1、等级合规测评是落实信息安全等级保护制度的重要环节

在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求。信息系统定级是整个等级保护工作的开始，等级保护基本要求是对不同等级信息系统实行等级保护的基础。客户可以基于定级指南对信息系统定级，基于等级保护基本要求实施保护措施，从而将有效落实国家有关等级保护的制度要求和文件精神。

2、等级测评报告是信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料

3、经济性原则。测评活动应尽可能降低成本，减少投入。基于测评成本和工作复杂性，鼓励测评工作部分使用能反映信息系统当前安全状态的已有测评结果，包括商业安全产品测评结果和信息系统已有的安全测评结果。

4、结果一致性原则。针对同一信息系统的等级测评，不同测评机构依据同一的测评方案和测评方法得出的测评结果应当一致，同一测评机构重复执行相同测评过程得出的结果应当一致。

5、安全性原则。测评机构和测评人员在测评活动中，应当履行安全保密义务，承担相应的法律责任，确保被测评信息系统安全运行和用户的工作秘密及商业秘密不被泄露。