公安部朱建平:等级保护评测是信息安全首要环节

编辑:高文鑫通信科技公司- 热度:198℃

还有就是区与区之间的测评,这是一个整体测评的,还有从系统整体结构方面来进行考虑,这是一个系统整体的测评的问题。测评是一个很复杂的,我们认为测评其实是有两个部分,一个是测一个是评,测,前面讲的单元测评是解决一个测的问题,获取证据,后面的评主要是从系统角度来进行评估和评判。这么多获得的那些证据把它串起来,分析相互之间的关系,然后做出最终的一个判断,使得你这个系统是不是达到了这个系统的保护能力的要求。我们所关注的是保护能力不能缺失,而不是说某一个安全机制或者措施缺失了。

答:这个都是很明确的,这个系统谁主管谁运行就是谁负责。公安起到的是一个监管的作用,我举一个简单例子,可能大家就比较知道了。谁生的娃娃,自己的孩子自己抱,自己养。公安就像医院的检查的医生,规定你一个月了,你到医院里来做一个体格检查,量一下身高,抽点血化验一下,告诉你,这个小孩子很健康,继续这么养下去吧,那没有问题。如果发现小孩营养不良,各个指标不太好,医生可能就给你开一个整改的处方,要补补钙或者怎么样。但是回去补钙不是公安的事,职能还是自己的运行使用单位要给这个小孩去补钙,还是在运行使用单位之上。公安只是起到一个监督你,帮助你的这样一个,而不存在公安负什么责任。

tyl

这个级别的保护能力,等级保护就是说,这个能力必须要强制必须要做到,和其他的一些测评是有本质的区别。然后这个保护能力,你怎么实际去做到?我们中间有一个安全目标。这个安全目标是把保护能力进行了细化,有各种安全措施来进行实现。怎么来实现这些安全目标?我们的基本要求,列出了一大堆的安全措施和安全机制来对应这个安全目标。当你在选择安全目标的时候,可以基本要求里面对应的,比如三级可以从三级里面去寻找对应的安全措施,也可以选取更高级别的,如果这个级别对你来讲比较弱,还可以选择更高级别的要求里面去选那些安全措施来满足你这个安全目标。

这是我给大家介绍一下信息系统等级测评的结果测定。首先是一个根据你定完级以后,根据定级的要求,是偏重于信息安全类的,还是业务连续性要求类的,可以选择不同的安全指标级。首先先要选择测评的项,安全指标级选出来。然后再进行单元测评,这也就是获取证据测的问题,测出来,肯定有很多,标准上要求没做到,那就通过系统测评的方法,对这些进行分析。通过互补关联分析,分析完,确实这些安全机制虽然没有做,但是整个的保护能力没有缺失,我们认为这个系统是合格的,然后也认为你达到了一个基本的安全保护的状态。如果系统测评发现,你再怎么互补也补不上,你确实是保护能力存在缺失了,就是没有,防止内部人员作案这块安全目标就是缺失了,那系统测评肯定是存在不合格项。那这个不合格项下来我们就要通过风险评估的方法对它进行风险分析,然后发现如果说出了强制防护工作没有做,其他的根本没有做什么,风险很高,又得进行整改,然后再回到单项测评上重新再走一遍。如果说你已经做了一些其他方面的东西,使它风险了,那前面介绍的测评方法是一样的。

从奥运的工作中间,我们可以看到,应该要用等级保护的思想,对这个信息系统进行保护。然后风险评估是寻找系统的脆弱性,渗透测试主要是验证这个脆弱性的机构。所以我们认为等级保护是这个信息系统安全保护的一个基础。风险评估,它是一个有益的补充,然后渗透测试它是对这个系统安全性的一个验证。

提问:在整改工作以后,很多地方要建设安全设施,落实安全措施,建立并落实安全管理制度,落实这个责任制,有一些单位不太明白操作办法,您能否简单介绍一下操作上的方式和方法。

下面是这个保护能力的一个最终实现和体现的,这是一个图。某级的信息系统,三级的,我们认为,你必须具备三级的保护能力,就刚才前面介绍的,有两个部分组成,一个是应该抵抗的威胁和遭受破坏以后,你的恢复能力。

朱建平:各位来宾大家下午好。由我来讲,我们评估中心专门是从事测评工作的,所以我想介绍政策法规。所以这个关于等级保护的政策方面,还是以后有机会让顾局有机会跟大家介绍。我今天跟大家讲讲和我们工作,等级评估工作相关的测评方面的一些工作。

第三,向大家介绍一下等级测评。这是等级测评的一个过程,针对某一个信息系统,跟奥运的一样,首先要用国家的标准对这个系统进行定级,定级的过程大家都比较清晰,主要是考虑它对国家重要性的程度,和它损害以后的危害和要素来进行定的级。定完级以后,用基本的要求,对它进行最基本的保护。但是由于现在很多的信息系统不是新建的,都是已经在运行使用的,所以它当时在运行使用设计的时候不是按照这个等级保护的要求来做,所以会有一些地方有一些差距。所以,一般在整个活动中间,定完级以后,后面的工作没有强制一定要进行测评,也可以根据标准,比如定了三级,可以根据级别要求,三级所要求的项和你自己的信息系统设计的那些安全状态进行比对,但是有很多的运行使用单位,它的信息中心,或者是信息安全的主管的那些部门,他人手比较少,信息系统比较大,这样一个比对工作无法单独自己完成,所以也就可以委托那些测评机构,对他的现状,目前的安全现状和他所定的级别之间的差距有多少,可以做第一次的测评。

我们评估中心目前现阶段做的大部分测评工作,主要是现状测评。测评完以后,可以提出一个系统整改的最基本的安全需求,就是和所定的级的差距项有多少项,这是整改的第一个需求。

友情链接: 织梦CMS官方  DedeCMS维基手册  织梦技术论坛