【交易技术前沿】重要信息系统等级保护工作实践与探索 / 王玥


本文选自《交易技术前沿》第十五期 （2014年6月）。

摘

要：本文基于上海证券交易所在长期等级保护工作实践过程中对等级保护政策、标准及实施的一些理解和经验，从业务安全需求与等级保护、管理和运维体系设计、安全基线与自动化配置核查等几个方面进行了总结，同时从实践的角度对等级保护工作提出了建设性意见。关键词：等级保护；业务安全需求；安全基线；配置核查证券期货业信息系统作为国家八大重要信息系统之一，关系到国家金融安全、社会稳定和广大投资者的权益保护，保障证券期货信息系统安全稳定运行意义重大。上海证券交易所核心交易系统和通信系统作为支撑中国证券市场的重要基础设施，在行业主管部门、公安机关、测评机构的指导和支持下，其等级保护工作经过持续多年持续改进，取得了不少成果和经验，信息安全保障水平有了显著提高，为证券市场全面贯彻落实国家信息安全等级保护制度提供了有力支持。
等级保护与传统的安全建设内容如风险评估、体系认证、安全项目建设等有很大的区别，首先，等级保护工作具有较为明显的“强制性”，因此对信息系统运营单位，也就是最终的责任承担者来讲主观能动性相对较低；其次，等级保护涉及的机构比传统的安全建设要更广泛，传统的安全建设是简单的甲方、乙方关系，甲方提出需求、乙方满足需求，而由于等级保护是国家意志的体现，重要信息系统等级保护工作所涉及的机构不仅有信息系统主管单位、整改建设实施单位，还有测评机构、行业主管单位、行业监管单位、国家主管单位等，如何协调好这些单位的动作，如何明晰相互的责权利关系，如何在这些单位参与的情况下高效完成等级保护工作，这确实是需要仔细考虑的问题，因此在等级保护具体执行环节还有很大的改进和提升空间。2.1业务需求与等级保护要求结合

在等级保护工作中，要保护的对象应是信息系统承载的业务。在定级阶段，系统所定等级的一个重要依据是业务及系统提供服务影响，但在整改阶段，很多系统的建设方法却偏离了定级的初衷，目前有相当一部分系统管理者和使用者认为定级系统的建设整改工作只是满足标准的要求和规定，针对等级保护的标准要求一条一条进行简单对比，僵化的比较，包括部分测评中心也是这样开展测评，使等级保护的建设、整改脱离了保护对象的自身安全需求，演变为标准的符合与不符合，导致保护重点不突出、同质化严重等现象，整改效果受到很大影响。例如：门户网站和外网的系统同是三级系统，但二者的防护重点和内容是完全不一样的，门户网站保障重点是防挂马、防篡改、防越权等，而外网的系统保障重点是：防DDoS攻击、入侵检测、网络安全态势分析及预测，如果采用相同的保障措施，是不可想象的。
因此在实践中，上交所建设、整改方案的设计，坚持业务和系统所提供服务的安全需求是系统安全规划、系统整改设计的核心。在对重要信息系统整改方案设计之前，进行细粒度的业务调研，在此基础上参照等级保护的标准要求，进行建设、整改规划。
经过详尽的业务分析后，在整体安全规划的指导下，将等级保护的标准要求分为三类：
第一类是针对急需解决的系统安全问题采用的技术、管理措施，是整改的重点和主要内容；
第二类是系统需要完善的安全内容，但现阶段由于各方面原因暂时难以实施的部分，作为安全规划延续内容，明确提出后期建设计划；
第三类是不适合项，该类要求是不符合当前业务要求，暂不予考虑整改。
对于第二类、第三类以及高等级系统采用低等级防护措施的情况，应给予详细的解释说明。这部分工作应通过业务风险评估等咨询方式完成，也就是说应有具备咨询能力的机构完成。通过这样的设计，使系统承载业务安全需求与等级保护的要求紧密结合，做到即符合合规性要求，又满足自身的实际安全需求。

2.2
管理和运维体系设计

信息系统等级保护工作的本质是一个管理问题。在等级保护建设整改阶段，相当一部分单位将重点放在技术体系设计和产品搭建上，而忽略了信息安全管理和运维体系的建设和有效性，严重影响了技术体系效能的发挥。以往的安全管理体系建设过分的强调技术和管理的分离，在实践中发现这样的管理体系很难真正起到管理的作用，具体实施过程中很难落地，系统的安全体系建设应是技术、管理和运维相互融合的完整的工作体系。如果说安全技术是建筑材料、是手段。安全管理和运维就是真正的粘合剂、是根本。
在等级保护管理和运维体系设计实践中，我们并没有采用将标准中管理条目和要求展开进行设计，而是结合目标系统的行业及业务特点，设计差异化的管理体系设计，对标准中对管理体系的分类和要求进行归纳、分析，因为在实践中我们发现，大而全、事无巨细的管理体系在实际工作中应用效果并不理想，体系包括四个层面：策略、制度、流程、工作表单，策略和制度层面尽可能精炼，每个制度后面均有相对应的流程和工作表单支撑，使等级保护的管理要求融入到各项制度中，也使各项制度和技术体系通过流程和操作表单实现了落地，同时为日后的审计和回顾打下了良好的基础。

2.3
以过程而不是项目的观点看待等级保护

现在有一个倾向：即认为等级保护工作是一个阶段性的工作，是一个项目，通过一个项目实施就完成等级保护工作，这是需要纠正的。随着系统承载业务和提供服务的不断变化、安全保障技术的持续完善、新攻击方法和手段的日新月异，信息系统安全保障工作顺应形势不断调整和改进，等级保护工作应该是一个过程，贯穿于信息系统生命周期的各个阶段，是系统安全保障的常态工作。因此上交所在实践中，通过等级保护工作，与信息系统建设单位建立战略合作伙伴关系，提供系统全生命周期的咨询、设计、服务、实施、应急等伴随性技术支持工作，在系统安全体系设计过程中，保证了安全体系建设的持续性。
同时在信息系统等级保护设计和实施中，必须避免一蹴而就的偏激和功利做法，应在深入理解系统安全需求和等级保护建设要求的基础上，采用分阶段、分期的方法，逐步深化系统的等级保护安全建设。应首先实施以满足系统主要安全需求为主要目的的安全基线建设，再启动以符合等级保护基本要求为主线的合规建设，同时围绕系统自身业务特点和运行环境对等保不符合项进行分析，以决定下一步安全规划方向，最后建立统一安全管理和态势感知平台，通过逐步推进的方式，实现最有效的安全保障体系。

2.4
安全基线与自动化配置核查推动等级保护

安全配置规范中的要求，对不同的业务系统不应该是一成不变的，如何即满足业务系统的可用性和有满足业务系统的安全性是一个综合考虑的过程，每一类业务系统的业务要求不同，可能需要安全配置的要求也进行对应的调整，对业务系统运行有影响的安全配置需要慎重采用。所以安全配置规范需要根据不同业务系统的特性进行调整，形成针对每一类业务系统的安全配置基线，是保障业务可用和系统安全的重要过程。我们将等级保护基本要求和业务需求进行融合，形成可操作的安全配置基线，从而确保重要系统在规划、建设、开发和运维过程中均能达到相对应的等级保护要求。
在等级保护检查、测评、整改工作过程中，对信息系统进行对应级别的安全风险检查是技术方面的必要工作。下一步，我们将根据安全配置基线开发自动化安全配置核查的工具，把技术要求落实到各类主机、网络和安全设备的配置检查工作上。结合等级保护工作，对信息资产进行等保定级跟踪，根据资产定级自动进行对应级别的安全配置检查，对合规情况进行等保符合性报告，保证系统建设符合等保要求、促使等保监督检查工作高效执行。

2.5
等级保护与ISO27001 信息安全管理体系融合

等级保护制度体现国家意志，具有强制性，是以国家安全、社会秩序和公共利益为出发点，从宏观上指导全国的信息安全工作，最终目的是构建国家整体的信息安全保障体系；ISO27001是国际标准，是信息安全管理体系的最佳实践，具有自主性，一个组织所采取的风险处置措施取决于其风险接受程度，最终目标是保证组织的业务连续性。

目前，本所也正在推进ISO27001信息安全管理体系（ISMS）建设，一个是合规要求，一个是最佳实践，如何协调二者关系，做到“一箭双雕”，需要在安全制度、策略、流程层面上进行融合。虽然等级保护和ISO 27001标准在安全措施分类上存在一定差别，但从实施层面看，仅仅实施ISO 27001标准还达不到等级保护的要求，所以必须以等级保护作为主线来推进组织的信息安全管理。为了更好的实现等级保护测评和整改工作的落地，可以借鉴ISO 27001的标准的流程框架，将等级保护基本要求中的管理与宏观技术要求写入ISMS一级体系文件，将等级保护基本要求中的技术控制指标以安全策略的形式写入ISMS二级、三级体系文件，同时将各类管理要求以检查点的方式落入ISMS中的控制流程，从而实现两套体系的融合。3.1
等级保护测评工作标准化

等级保护测评是一项政策性很强的专业化技术活动，根据我国《信息安全等级保护等级测评实施细则》相关规定，测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务。一次高质量的测评服务应满足以下几个条件：
1.
客观性，测评应在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。
2.
公正性，测评人员应当没有偏见，并在测评工作中尽量摆脱个人主张。
3.
安全性，测评工作在实施过程中不应触发被测系统已有安全风险或引入新风险。
4.
重用性，应鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。
5.
可重现性，不同测评机构，依照同样的要求，使用同样的测评方式，重复执行的测评活动应该得到同样的结果。
各测评中心对等级保护制度、政策、文件、标准的理解却存在巨大的差异，导致各地测评机构的条件、测评机构的组织架构、测评技术体系、测评流程等极不统一，不同测评机构的测评手段和方法没有可比性，在某种程度上影响了等级保护工作的深入开展。建议加大对各地测评机构的行业规范、政策、技能的标准化培训，使测评机构整体水平得到提升、测评内容和方法统一、规范。

3.2
标准的权威解析

目前证券期货行业指导等级保护各阶段工作的标准已经比较完备，先后出台了《证券期货业信息系统安全等级保护基本要求》、《证券期货业信息系统安全等级保护测评要求》和《证券期货业重要信息系统安全要求表》，对于证券期货行业各类支撑市场运行的重要信息系统等级保护工作提出了明确的细化要求，对各系统运行单位安全建设具有重要的指导意义，但如何将要求转化为具体的建设指标，还需要有更具体的解读，对标准中的理论词汇如强制访问控制、主体、客体等也应结合现实情况给出明确的解释，而不是仅仅在理论层面进行描述，在实际测评工作中，我们发现测评人员对标准的理解也不尽一致。因此，建议等级保护工作的主管部门应推动《信息系统安全等级保护基本要求实施技术指引》的制定工作，从操作层面对基本要求、测评要求进行细化和解释，方便有效指导各单位开展信息系统安全建设或者整改工作。

3.3
设计具备行业和业务特点的测评整改方案

等级保护的文件和标准具有很强的普适性，但不同行业、承载不同业务的信息系统还是具有鲜明的行业特点，如运营商、证券行业、银行业，其信息系统的安全关注点各不相同，应此不同行业组织与测评机构的相互配合是测评工作的一个难点和重点。测评机构犹如“医生”，“病人”要配合“医生”做好“望闻问切”，“医生”也要全面了解“病人”的病史和病征，才能做到对症下药。测评工作是对信息系统开展的一种专业性、服务性的检测活动。当双方对测评工作的了解和理解不一致时，可能会而导致测评结果与实际情况不符，甚至误导信息系统安全建设方向。为避免在测评工作过程中给重要信息系统安全造成新的风险和隐患，懂得行业等级保护特点的测评队伍的引入，对保证等级测评的客观、公正和安全显得尤为重要。

3.4
利用等级保护工作把握行业信息系统安全态势

信息安全等级保护工作覆盖了证券期货行业的所有重要信息系统，几乎囊括了所有安全要素，通过开展等级保护测评工作，可以方便的获得重要信息系统安全相关基础信息数据。从行业信息安全主管机构的视角来看，利用重要信息系统测评数据，经过汇总、分析、监测，可帮助行业信息安全主管部门及时对全行业信息安全总体状况、安全短板和安全趋势进行预测和研判，为后续行业信息安全规划、信息安全政策制定、信息安全系统建设提供可靠依据和强有力的支持。以上是上交所在等级保护实践过程中的一点经验和体会。从历年的测评结果来看，在信息安全建设和管理方面，还有很多事情可以做，我们将进一步总结经验，积极整改测评中发现的风险点，不断推进等级保护工作的深化和细化，更好的成为等级保护制度的宣传者、等级保护政策落地的推进者和实施者。



免责声明



本公众号内容仅供参考。对任何因直接或间接使用本公众号内容而造成的损失，包括但不限于因有关内容不准确、不完整而导致的损失，本公众号不承担任何法律责任。如有问题请反馈至tech_support@sse.com.cn。



--------------------------
上海证券交易所为证券公司、基金管理公司等市场参与者及相关行业机构提供交易技术支持与服务，包括日常交易技术支持、技术交流研讨、市场调查反馈、证券信息技术知识库、测试等服务。



点击"阅读全文"了解详情

    关注 上交所技术服务