“三位一体”的信息安全检测

　　近年来，随着我国信息化建设的不断深入以及信息化水平逐步提高，网络与信息系统作为支撑信息化发展的基础要素，已在不同行业广泛应用，同时各行业对网络与信息系统的依赖程度也越来越高。但随着信息化进程迅速发展，网络应用的类别日益增多，信息系统业务复杂程度不断提高，网络与信息系统安全正逐步成为普遍关注的核心焦点。

　　作为信息安全保障工作的重要组成部分，网络与信息系统安全检测是必不可少的手段之一，通过安全检测可全面了解网络与信息系统的安全现状，可深入分析网络与信息系统中存在的安全隐患，有的放矢地采取整改措施。目前，网络与信息系统安全检测方法主要包括三类，即信息安全风险评估、信息系统安全等级保护等级测评和信息系统安全检查，三者之间既有关联性也存在一定的差异性。通过安全检查能够全面了解一个企事业单位信息安全总体状况和信息安全工作落实情况；通过等级测评可清晰梳理应用系统重要程度，以及保护措施是否到位；通过风险评估，对信息系统和信息化资产所面临的信息安全风险有定量和定性的认识。

　　为什么要做安全检测？

　　通过对上述三类安全检测方法进行研究发现，三者在检测目标、检测对象的选取、检测流程和检测内容等方面存在着较多的一致性和关联性。也就是说，尽管安全检测方法比较多样，不过其中所涉及的各项因素是比较统一的。这可以说是一种殊途同归。

　　在检测目标方面，我们所要达到的目的是，通过定期开展风险评估、等级测评和安全检查等方面的检测工作，及时掌握网络与信息系统安全状况和面临的威胁，认真查找隐患，堵塞安全漏洞，完善安全措施，减少安全风险，提高应急处置能力，确保网络与信息系统持续安全稳定运行。

　　在检测对象选择方面，风险评估、等级测评和安全检查所选择的检测对象都应涵盖物理环境、网络、服务器、应用系统（应用软件）、数据、终端计算机、管理制度和人员等方面，只是由于数据采集范围不同，检测对象的选择略有差异。

　　在检测流程方面，风险评估、等级测评和安全检查这三类检测方法的工作流程基本都可以分为三个阶段，分别为准备阶段、现场实施阶段和分析总结阶段。首先准备阶段的工作包括成立实施团队，确认被检测单位的工作范围、梳理被检测单位的信息资产，编写工作方案、技术方案和实施类等文档，准备现场实施的检测工具。其次在现场实施阶段要进行资产的识别、威胁的识别、物理安全检测、网络安全检测、应用安全检测、终端安全检测、已有安全措施确认，同时进行现场检测数据的整理分析。最后对现场检测结果进行分析总结，对分析的结果进行综合判定，编制报告。

　　在检测内容方面，风险评估、等级测评和安全检查三类检测方法的工作内容都包括了技术安全检测和管理安全检测两大部分，其中技术安全检测主要包含物理安全、网络安全、主机安全和应用安全等方面的内容，管理安全检测主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容。三类检测方法的工作内容都是以信息系统为核心，对支撑信息系统的物理环境、网络环境、主机、应用软件、数据以及管理制度进行安全检测，并针对发现的安全问题提出整改建议。

　　不过，需要提起注意的是，尽管风险评估、等级测评和安全检查三类检测方法的要素存在一定统一，但是在数据采集、分析和结果输出方法上依然存在差异性。风险评估需要进行资产的赋值、威胁的赋值和脆弱性赋值，并依据三个赋值进行风险计算，最后进行定性和定量的分析得到信息系统的风险值；等级测评需要对每个信息系统进行单元差距测评和整体测评，对每个检测项给出差距测评的结果，并进行整体评价；安全检查是以被检测单位整体安全状况为基础，通过适当的抽取检测对象进行安全检测，发现一个单位存在的信息安全问题，以及信息安全措施的落实情况。

　　实现三类检测方法的融合

　　通过上文的分析发现，风险评估、等级测评和安全检查三类检测方法存在着较多的关联性，特别是在检测数据的收集方面可采用相同的检测方式、使用相同的检测工具，只是在数据分析和结果展示方面分别采用各自的方式进行。因此，实现风险评估、等级测评和安全检查三类安全检测方法的有机融合，应该从三类安全检测方法的共性出发，结合其各自的特点，达到进行一次现场采集数据，实现三类安全检测结果输出的目标。

　　三类安全检测方法的融合主要采取以下方式进行：以信息安全等级保护基本要求为依据，通过等级保护测评的分析方法找到信息系统的安全差距；通过风险评估的分析方法确定安全差距是否存在风险，进一步确认哪些安全差距的风险是可以接受的，哪些安全差距的风险是不可接受的；通过安全检查综合分析的方法进行总结与提炼，形成被检测单位信息安全整体情况的描述。

　　要达到风险评估、等级测评和安全检查三类安全检测方法的有机融合，应按照以下四个阶段的工作流程来实现，主要包括确定检测范围（信息系统定级情况梳理）、开展安全检测准备阶段工作、开展安全检测实施阶段工作和开展安全检测总结阶段工作。

　　①确定检测范围（信息系统定级情况梳理）。首先向被检测单位下发信息系统定级情况调研表，由被检测单位填写后上报，经初步整理形成被检测单位信息系统定级情况列表。与被检测单位信息系统相关人员协商定级情况，并对定级不准的信息系统进行修订，形成信息系统定级列表，得到信息系统定级情况梳理结果，同时将此次定级结果反馈信息系统相关人员，并确定被检测单位的工作范围。

　　②安全检测准备阶段工作。主要包括成立实施团队、确定工作范围、制定工作方案、制定技术方案、制定实施方案、确认资产、制定实施操作类文档和准备检测工具等，准备阶段的工作成果输出到现场实施阶段。

　　③安全检测实施阶段工作。实施阶段的工作流程主要包括六个步骤，第一步需进行现场培训工作，包括介绍检测工作执行的流程和内容，检测工作执行中需要配合的条件等；第二步进行信息系统定级情况确认、信息系统详细描述和信息资产的识别；第三步需要开展物理安全检测、管理安全检测、网络安全检测、应用安全检测、终端安全检测和威胁识别；第四步通过现场检测对已有安全措施进行确认；第五步形成现场检测数据初步分析结果，进一步确认脆弱性并赋值；第六步与被检测方确认检测结果并进行现场工作小结。在现场实施阶段中数据采集的具体内容包括以下方面，其中风险评估需要现场采集的数据包括信息资产识别及其赋值、威胁识别及其赋值、脆弱性识别及其赋值和已有安全措施确认等。等级保护测评需要现场采集的数据包括物理安全测评、管理安全测评、主机安全测评、网络设备测评、安全设备测评、数据安全测评和应用软件安全测评等。安全检查需要现场采集的数据包括物理安全检查、管理安全检查、网络安全检查、服务器安全检查和终端安全检查等。

　　④安全检测总结阶段的工作包括了四个方面的内容，分别为数据分析、结果判定、报告编制和报告综述，数据分析包括了安全检查结果分析、系统整体测评结果分析和风险计算；结果判定包括了安全检查结果判定、系统综合测评结论和不可接受的风险判定；报告编制包括了安全检查、等级测评和风险评估等报告的编写工作；在综合安全检查、等级测评和风险评估报告的基础上，形成被检测单位的报告综述。

　　总之，风险评估、等级测评和安全检查这三类安全检测方法在技术实现上没有原则性的差别，只不过相互的关注点存在差异性，等级测评关注保护能力的实现，符合性要求多，分析的内容少；风险评估关注资产、威胁与脆弱性，分析的内容多；安全检查从单位整体信息安全角度出发，关注安全措施的落实情况。另外三类安全检测方法在实施过程上基本一致，所以实现三类安全检测方法的有机融合是完全可行的，通过不断的实践逐步总结出一套等级测评、风险评估和安全检查深度融合的检测流程与检测方法，进一步推动网络与信息系统安全检测工作的深入开展。

　　安全检测的三种方法

　　网络与信息系统安全检测的方法主要包括三类，即信息安全风险评估、信息系统安全等级保护等级测评和信息系统安全检查。

　　1、信息安全风险评估

　　信息安全风险评估是国家信息安全主管部门规定的信息安全保障基础性工作之一，也是各行业信息安全保障工作需重点推进的工作内容。我国主要依据GB/T 20984-2007 《信息安全风险评估规范》的要求开展信息安全风险评估工作。

　　2、信息系统安全等级保护等级测评

　　为了全面贯彻落实信息安全等级保护制度，公安部会同有关部门在全国范围内组织开展了信息系统安全等级保护工作，该项工作主要分为定级、备案、建设整改、等级测评和监督检查五个环节。等级测评是其中的重要环节，主要依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》等标准开展工作。

　　3、信息系统安全检查

　　信息系统安全检查实行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，采取各单位自查与统一组织抽查相结合的方式进行。安全检查工作需统筹安排，突出重点，明确责任，注重时效，保证质量。信息系统安全检查工作主要依据每年国务院办公厅的通知和工信部发文来开展工作。

　　解放军信息安全测评认证中心 李智勇、徐太忠、孙峰岭、许晨