等级保护与三同步的过程结合.docx

1、 经验 IGITCW交流 Experience Exchange 等级保护与三同步的过程结合 廖其耀，李若虹 (广西壮族自治区信息安全测评中心，南宁 530001) 摘要：《网络安全法》明确网络和信息安全要实现“三同步”，明确我国实行网络安全等级保护制度。如何将“三同步”与“等级保护” 进行有效结合，对提高企业信息安全水平有重要作用。本文通过将等级保护工作流程融入信息系统生命周期中，并重点说明在建设过 程中协调多方厂商落实等级保护要求，力求实现等级保护和“三同步”的过程结合。 关键词：等级保护；三同步；过程结合 doi：10.3969/J.ISSN.167

2、2-7274.2019.05.206 中图分类号：TP311.52；TP309 文献标示码：A 1 网络与信息安全“三同步” 网络与信息安全“三同步”，指在信息系统生命周期中，网 络与信息安全要实现“同步规划”、“同步建设”、“同步使用”[1]。 “三同步”是信息系统自身的要求。信息系统是为特定业务 目标信息化而构建的，而信息安全是信息系统的安全保障。一 般而言，信息系统生命周期包括规划、建设、使用 / 运营三个阶 段。其中建设又包括系统分析、系统设计(概要设计 / 详细设计)、 系统实施 / 编码、系统验收等阶段。只有

3、落实“三同步”，在项 目规划、建设阶段中强化落实安全要求，才能避免在后期的运营 / 使用阶段进行安全整改导致的业务风险大、改造难度大、投入 成本高、耗时、耗力。只有落实“三同步”，才能有效形成信息 系统的安全防护能力，为做好后续运维工作打下基础。 2 网络安全等级保护 《网络安全法》规定“国家实行网络安全等级保护制度” [1] 。 等级保护，指对信息系统按等级进行保护，对信息产品 / 信息安 全产品按等级进行管理，对信息安全事件按等级进行应对 [2] 。等 级保护基于“自主保护”，“重点保护”，“同步建设”，“动态调整” 等原则，为系统备案单位协调信息安全与

4、信息化工作、开展等级 保护提供了指导。 当前我国等保的工作流程包括定级、备案、测评、建设 / 整改、 监督检查共 5 个步骤。定级指信息系统运营 / 使用单位根据信息 系统的重要程度、信息系统遭到破坏后的危害程度确定信息系统 等级。备案指信息系统运营单位对二级以上信息系统到所在地市 级以上公安机关办理备案手续。建设 / 整改指信息系统备案机构 根据等保要求和信息安全要求进行安全建设和整改。等级测评指 测评机构根据相关等级保护国家标准，对系统的安全保护措施进 行检测评估。定期自查、督导检查与监督检查指备案单位对信息 系统进行定期自查、行业主管部门定期进行督导检查、公安机

5、关 定期进行等保检查。 3 等级保护与“三同步”的结合 3.1 等级保护和“三同步”结合的基本原则 等级保护是我国的基本信息安全制度。信息安全是信息系统 自身的要求。为此，企业为了将等级保护要求和系统自身安全需 求相融合，有效落实信息安全工作，必须确立等级保护和“三同 步”的融合原则。等级保护和“三同步”的融合原则是将等级保 护工作纳入信息安全工作， 将信息安全工作纳入信息化工作之中。 将等级保护流程融入信息系统 / 项目生命周期 [3]。 等 级 保 护 要 求 不 能 替 代 信 息 安 全。 等 级 保 护 标 准《GB/ T22239 信息系统安全等级保护基

6、本要求》明确其是“基本要求”， 但该标准是国家层面的要求。如果建设单位有更高要求或针对其 业务的特殊信息安全需求，需将等级保护纳入其信息安全之中。 此外，必须将等保工作流程纳入信息系统生命周期之中，才 能提高等级保护和信息安全工作的有效性，有效落实等级保护和 信息安全工作。 3.2 等级保护和“三同步”的结合点  文章编码：1672-7274(2019)05-0246-01 《信息安全等级保护管理办法》的备案规定为新建二级以上 系统，应在运营后 30 日内，由其运营使用单位办理备案手续。 为将等级保护与“三同步”进行融合，基于该备案要求，以及信 息系统的

7、规划、建设、运营 / 使用”三阶段生命周期，形成等 级保护与“三同步”的结合点。在信息系统总体规划阶段进行定级。 在信息系统使用阶段进行等级保护的“备案、测评、整改、自查 和监督检查”工作。而在系统建设阶段，将等级保护要求以及系 统信息安全要求纳入系统的建设全过程之中，确保建设出符合等 级保护要求和信息安全要求的信息系统。 4 系统建设阶段落实等保要求和“三同步” 如前文所述，在等保工作流程和“三同步”流程的结合中， 在系统规划阶段进行等保定级，在系统运营使用阶段进行等保备 案、测评、监督检查等工作。因此，如何在系统建设过程中协调 多家软件厂商 / 集成厂商有效落实等

8、保要求，是等级保护与“三 同步”结合的关键点。为此， 在系统建设过程及其系统采购合同、 系统分析、系统设计、系统实施、系统验收各阶段中，必须充分 协调各方厂商落实等级保护和信息安全要求。 在采购合同中，将等级保护和信息安全要求纳入合同条款， 通过合同条款落实系统集成商、软件开发商、厂商的责任，避免 乙方后期工作不积极而无据可依的问题。 在系统分析、系统设计、系统实施阶段，软件开发商 / 集成 商根据系统业务和功能特性，结合等级保护要求和系统的一般安 全要求，结合系统面临的风险和威胁，形成系统的安全需求，形 成安全基线，并进行有针对性的设计、实施和测试。例如，设计 时从安全性、成本和用

9、户体验综合考虑并选择安全措施。实施时 形成安全编码规范并进行安全编码。软件测试 / 系统测试时进行 软件安全功能测试、源代码审查、系统安全测试。 在系统上线 / 验收阶段，系统运营使用方可成立系统上线验 收小组，对系统进行全面的安全验收检查，包括安全功能测试、 源码安全测试、安全配置基线核查、工具扫描、渗透测试等。对 验收过程中发现的问题及时进行整改，保证安全风险必须得到控 制后才可上线。 在系统建设各阶段，加强安全测试和验证、工程管理、监理、 评审，保证等级保护要求和信息安全要求的落实，保证系统上线 时，系统的所有安全风险必须是可控的。 5 结束语 等级保护已成为我国信息安全的基本制度。 “三同步”是信 息安全和信息系统自身的要求。只有在信息系统生命周期中实现 等级保护和“三同步”的结合，并在系统建设过程中协调各方落 实等级保护需求和信息安全需求，才能实现国家信息安全基本制 度和信息系统自身要求相结合，保证信息系统的业务安全。 参考文献 [1] 冯昌来，彭学梅 . 以等级保护工作为抓手践行信息安全与信息系统建设融合 [J]. 警察技术， 2014-06- 15， 94-97. 246DIGITCW 2019.05