安全資訊

本篇為管理要求中系統建設管理的部分，文中內容都是個(gè)人觀(guān)點(diǎn)，如有不對的地方歡迎糾正。文章以等保三級系統為基礎，從合規角度解讀要求。本部分為人員安全和安全管理機構部分。

正文

不多說(shuō)了，直接進(jìn)入正題。最后兩個(gè)部分，內容比較多，分別進(jìn)行解讀。

a) **應明確信息系統的邊界和安全保護等級；b) **應以書(shū)面的形式說(shuō)明確定信息系統為某個(gè)安全保護等級的方法和理由；c) **應組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對信息系統定級結果的合理性和正確性進(jìn)行論證和審定；d) **應確保信息系統的定級結果經(jīng)過(guò)相關(guān)部門(mén)的批準。 |

系統定級在以前并非強制，一般都是政府部門(mén)、事業(yè)單位會(huì )被要求必須定級。但是2017年6月《網(wǎng)安法》出臺后，要求所有系統原則上都必須定級備案，這樣一來(lái)，政府、國企、事業(yè)、大中型私企都要定級，只有部分很小的系統，對社會(huì )影響可以忽略不計的那種可以不去做，不過(guò)如果后期業(yè)務(wù)發(fā)展，要與大公司或政府合作，那還是要備案，所以基本就是說(shuō)只要你有運行的系統就要定級備案。

對于如何定級可以參考GB/T-22240-2008，里邊寫(xiě)的比較詳細，在后邊備案和測評章節會(huì )簡(jiǎn)單解釋一下，因為內容比較多，五個(gè)級別，各級別的定義，三個(gè)客體，影響程度，定級矩陣，標準里都有提到。

a) 說(shuō)得是邊界的界定，定級以系統為單位，要明確邊界，不能無(wú)限延伸，一般來(lái)說(shuō)按照老的標準，從邊界防火墻到核心，再到系統所在的服務(wù)器區間，以及下邊可以訪(fǎng)問(wèn)該系統的PC或移動(dòng)端，這一整套網(wǎng)絡(luò )都屬于該系統，那么邊界就是從防火墻到用戶(hù)終端這么一個(gè)圈；

b) 一般定級都會(huì )先提交系統相關(guān)的詳細資料，之后會(huì )填下定級報告；國家提倡自主定級，就是企業(yè)自己組織專(zhuān)家組或聘請第三方專(zhuān)家來(lái)為系統定級，主要依據還是系統對社會(huì )影響的程度，系統的量級（參考GB/T-22240），一般來(lái)說(shuō)大多系統會(huì )定為二級，一部分為三級，四級系統一般會(huì )有國家級機構來(lái)定，五級系統就不是我們操心的了。各省級測評機構最多有權測評三級系統。

c) 這塊其實(shí)感覺(jué)有些多余，一般來(lái)說(shuō)自定級和專(zhuān)家評審之后，會(huì )把定級結果送交到公安，如果合理會(huì )走后續流程，如果不合適會(huì )通知重新定級；所以這個(gè)正確性與否其實(shí)讓公安來(lái)把控就好了，不過(guò)一般來(lái)說(shuō)大多不會(huì )定錯級，除非有些企業(yè)為了投機故意低報級別。

d) 去公安申報，先申請備案，按正常流程走就可以，這是外部流程。企業(yè)內部要對系統定級，要先向上級申請，提出某系統要進(jìn)行定級備案，經(jīng)高層審批通過(guò)后，開(kāi)始執行外部流程。注意不要只考慮外部流程，忘了內部審批流程。

a)**應根據系統的安全保護等級選擇基本安全措施，并依據風(fēng)險分析的結果補充和調整安全措施；b)**應指定和授權專(zhuān)門(mén)的部門(mén)對信息系統的安全建設進(jìn)行總體規劃，制定近期和遠期的安全建設工作計劃；c)**應根據信息系統的等級劃分情況，統一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規劃和詳細設計方案，并形成配套文件；d)**應組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規劃、詳細設計方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準后，才能正式實(shí)施；e)**應根據等級測評、安全評估的結果定期調整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規劃、詳細設計方案 等相關(guān)配套文件。** |

a) 本項在1.0本中解釋起來(lái)有點(diǎn)麻煩，不過(guò)按照最近的“三同步”解釋?zhuān)蠹叶济靼琢?，在系統設計初期就要考慮安全性的問(wèn)題，如果還不太了解，可以參考SDL中安全設計階段，一個(gè)是對軟件，一個(gè)是對系統，目的相同。

b) 類(lèi)似于要啟動(dòng)項目就要建立一個(gè)項目組團隊，系統定級備案也是一樣，不是一個(gè)人就能搞定的事（包括系統設計和建設），然后要有項目計劃，這點(diǎn)不難理解。

c) 這里說(shuō)的是提前規劃的情況，目前大多數還是先有系統后做定級，這種三同步的規劃沒(méi)多少企業(yè)會(huì )真正落實(shí)，規劃周期長(cháng)，設計復雜，而且當年沒(méi)有強制性要求，沒(méi)人關(guān)心定級的事；本項要看的就是系統當初設計時(shí)的設計文檔，各階段的記錄和報告，類(lèi)似于SDLC。

d) 本項是c的后續流程，按照正常流程，設計方案要內部評審，通過(guò)后才可正式實(shí)施，不過(guò)做到這么細的國內公司還是少數，而且中間的記錄文檔也不全，檢查的時(shí)候很多東西都是臨時(shí)偽造，補充出來(lái)的，其實(shí)這部分主要強調的還是流程管理的東西，檢查時(shí)能拿出系統設計方案內部評審報告和記錄就OK.

e) 按照要求二級系統2年一次復測，三級系統1年一次復測，這期間系統多少會(huì )有功能上的變更（如果有大變化就要重新定級），這樣一來(lái)，系統相關(guān)的文檔肯定會(huì )有變化，本項檢查的就是不同版本變化中的過(guò)程文檔和記錄。

a)**應確保安全產(chǎn)品采購和使用符合國家的有關(guān)規定；b)**應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門(mén)的要求；c)**應指定或授權專(zhuān)門(mén)的部門(mén)負責產(chǎn)品的采購；d)**應預先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。 |

本節內容沒(méi)什么可細講的，都是按照相關(guān)標準采購設備和產(chǎn)品，采購部門(mén)基本會(huì )按照這些要求來(lái)選擇供應商。這里額外會(huì )要求一點(diǎn)：政府、國企、央企和國資背景企業(yè)的關(guān)鍵系統不能使用國外網(wǎng)絡(luò )產(chǎn)品（Ciso、Juniper這類(lèi)），私營(yíng)企業(yè)沒(méi)有這方面的要求。如果有可能，盡量采購國產(chǎn)產(chǎn)品和軟件。

a) **應確保開(kāi)發(fā)環(huán)境與實(shí)際運行環(huán)境物理分開(kāi)，開(kāi)發(fā)人員和測試人員分離，測試數據和測試結果受到控制；b) 應制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準則；c) **應制定代碼編寫(xiě)安全規范，要求開(kāi)發(fā)人員參照規范編寫(xiě)代碼；d) **應確保提供軟件設計的相關(guān)文檔和使用指南，并由專(zhuān)人負責保管；e) **應確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權和批準。 |

有自己開(kāi)發(fā)團隊的情況下：

a) 一般來(lái)說(shuō)，測試環(huán)境基本都是封閉的，和外網(wǎng)、生產(chǎn)網(wǎng)、辦公網(wǎng)這些都沒(méi)有通信，這單還比較容易做到；開(kāi)發(fā)人員和測試人員分離，一般可能做不到，畢竟經(jīng)常要在一起討論，所以實(shí)際檢查中，更多的是關(guān)注測試環(huán)境的隔離情況。

b) 檢查中會(huì )查看開(kāi)發(fā)人員的行為規范和操作規范，開(kāi)發(fā)部門(mén)管理制度等一系列文檔；

c) 編碼規范估計每家公司都會(huì )有，但不是有就可以，要看你有沒(méi)有去按照規范去做，一般就是日常的編碼規范和編碼安全培訓，以及在行為準則中如何規定的。

d) 本點(diǎn)要求是系統要有開(kāi)發(fā)各階段的文檔，以及系統的使用手冊/指南，往往都是各階段文檔齊備，但是缺少使用指南（文檔和指南都是便于交接工作，由于人員變動(dòng)，時(shí)間久了很多東西根本不從查起，如果沒(méi)做好文檔和流程管理，就會(huì )造成新人接手系統一問(wèn)三不知的情況）。由專(zhuān)人負責保管這項不是重點(diǎn)，因為臨時(shí)安排一個(gè)人來(lái)應付檢查，也沒(méi)法查出來(lái)。

e) 還是流程的事，版本變更，功能上線(xiàn)，系統發(fā)布都要有過(guò)程記錄。

a)**應根據開(kāi)發(fā)需求檢測軟件質(zhì)量；b)**應在軟件安裝之前檢測軟件包中可能存在的惡意代碼；c)**應要求開(kāi)發(fā)單位提供軟件設計的相關(guān)文檔和使用指南；d)**應要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)。 |

外包第三方開(kāi)發(fā)團隊的情況：

a) 系統的功能測試，壓力測試等，要保留測試報告以備檢查；

b) 系統安全測試，白盒、黑盒、交互式等的測試，要有系統上線(xiàn)前的安全測試報告，并且對發(fā)現的漏洞已進(jìn)行整改（一般是針對中高危級別的漏洞）；

c) 很多企業(yè)外包開(kāi)發(fā)，系統功能OK就可以了，需求文檔、設計文檔、設計方案、測試文檔全都沒(méi)有，檢查的時(shí)候，外包商又說(shuō)之前的員工離職了，現在這個(gè)系統的具體信息我們也不太清楚，這種局面就很鬧心了；所以說(shuō)，對外包商要求嚴一點(diǎn)，以后給自己找的麻煩就會(huì )少一點(diǎn)。

d) 和b有點(diǎn)重復，類(lèi)似于代碼審計工作，一般中小企業(yè)不太會(huì )花錢(qián)去做這塊，大多找個(gè)開(kāi)源工具掃一下，挑幾個(gè)高危的修修了事。大型企業(yè)這塊做的比較好（接觸過(guò)的幾家），各種安全測試、代碼審計、滲透測試，能做的都會(huì )做，雖然不強制要求中小企業(yè)也這么去搞，但是希望在能力范圍能盡力去做好安全工作，不要為了應付檢查做一下表面工作。

a)**應指定或授權專(zhuān)門(mén)的部門(mén)或人員負責工程實(shí)施過(guò)程的管理；b)**應制定詳細的工程實(shí)施方案控制實(shí)施過(guò)程， 并要求工程實(shí)施單位能正式地執行安全工程過(guò)程；c) **應制定工程實(shí)施方面的管理制度，明確說(shuō)明實(shí)施過(guò)程的控制方法和人員行為準則。** |

無(wú)論自研還是外包，肯定都會(huì )指定一個(gè)項目經(jīng)理，一般來(lái)說(shuō)會(huì )是甲方的人，也可能叫負責人，乙方的叫項目經(jīng)理，主要就是負責把控項目進(jìn)度和質(zhì)量。實(shí)施部分要有詳細的實(shí)施方案，進(jìn)度計劃表，啟動(dòng)會(huì )記錄，里程碑記錄，變更記錄，延期記錄（如果有的情況）。甲方對于項目實(shí)施會(huì )有一些管理制度，保密協(xié)議之類(lèi)的，檢查的時(shí)候不會(huì )非常細，但是會(huì )看各階段的文檔記錄，以證明項目是按照計劃和流程穩步推進(jìn)的。

a)**應委托公正的第三方測試單位對系統進(jìn)行安全性測試，并出具安全性測試報告；b)在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案，在測試驗收過(guò)程中應詳細記錄測試驗收結果，并形成測試驗收報告；c)**應對系統測試驗收的控制方法和人員行為準則進(jìn)行書(shū)面規定；d)**應指定或授權專(zhuān)門(mén)的部門(mén)負責系統測試驗收的管理，并按照管理規定的要求完成系統測試驗收工作；e)**應組織相關(guān)部門(mén)和相關(guān)人員對系統測試驗收報告進(jìn)行審定，并簽字確認。 |

a) 一般開(kāi)發(fā)團隊不會(huì )負責安全問(wèn)題，所以會(huì )由安全團隊來(lái)做測試，大多是以第三方就是乙方來(lái)做安全測試（代碼審計、黑盒、滲透、基線(xiàn)等等）；如果有自己的安全團隊也可以?xún)炔縼?lái)搞，但是不能水，要認真測試。檢查時(shí)會(huì )看測試報告，包括代碼審計報告、滲透測試報告、漏掃報告等。

b) 這點(diǎn)要求的就是兩個(gè)文檔，一個(gè)是驗收方案（甲方會(huì )明確怎樣才算合格）；另一個(gè)就是驗收報告，里邊約定驗收結果，并由甲乙方蓋章簽字。

c) 說(shuō)實(shí)話(huà)這條我也沒(méi)詳細查過(guò)，一般都是略過(guò)去，所以無(wú)法解釋?zhuān)辛私獾目梢粤粞匝a充一下；

d) 這點(diǎn)很好理解，制定專(zhuān)人或部門(mén)來(lái)管理驗收工作，臨時(shí)指定等項目結束再解聘也是可以的，不過(guò)要有文檔能證明此項工作；

e) 一般都會(huì )在項目驗收（報告會(huì )）同時(shí)進(jìn)行，高層領(lǐng)導、技術(shù)專(zhuān)家也會(huì )出席，同意后才會(huì )蓋章簽字，可以在項目驗收會(huì )的簽到表中體現。

a)**應制定詳細的系統交付清單，并根據交付清單對所交接的設備、軟件和文檔等進(jìn)行清點(diǎn)；b)**應對負責系統運行維護的技術(shù)人員進(jìn)行相應的技能培訓；c)**應確保提供系統建設過(guò)程中的文檔和指導用戶(hù)進(jìn)行系統運行維護的文檔；d)**應對系統交付的控制方法和人員行為準則進(jìn)行書(shū)面規定；e)**應指定或授權專(zhuān)門(mén)的部門(mén)負責系統交付的管理工作，并按照管理規定的要求完成系統交付工作。** |

交付部分很容易理解，不需要詳細解釋了吧。同驗收部分一樣，d項檢查的時(shí)候沒(méi)有特別要求客戶(hù)去做，所以這塊還是不太了解。其他部分類(lèi)似的。

a)**應指定專(zhuān)門(mén)的部門(mén)或人員負責管理系統定級的相關(guān)材料，并控制這些材料的使用；b)**應將系統等級及相關(guān)材料報系統主管部門(mén)備案；c)**應將系統等級及其他要求的備案材料報相應公安機關(guān)備案。**

7.2.4.10**等級測評（G3）a)**在系統運行過(guò)程中，應至少每年對系統進(jìn)行一次等級測評 ，發(fā)現不符合相應等級保護標準要求的及時(shí)整改；b)**應在系統發(fā)生變更時(shí)及時(shí)對系統進(jìn)行等級測評，發(fā)現級別發(fā)生變化的及時(shí)調整級別并進(jìn)行安全改造，發(fā)現不符合相應等級保護標準要求的及時(shí)整改；c)應選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評；d)**應指定或授權專(zhuān)門(mén)的部門(mén)或人員負責等級測評的管理。 |

備案和測評這兩部分放在一起來(lái)說(shuō)，是一個(gè)連續的過(guò)程。

定級前要知道的幾點(diǎn)，等級保護制度主要監管方式公安部，分為五個(gè)級別，涉及三個(gè)客體，即：

a) 公民、法人和其他組織的合法權益；

b) 社會(huì )秩序、公共利益；

c) 國家安全。

對客體的危害程度分為三個(gè)級別：

a) 造成一般損害；

b) 造成嚴重損害；

c) 造成特別嚴重損害。

定級備案其實(shí)是一起的，要先到當地公安進(jìn)行備案，然后會(huì )讓你提交一堆文檔，包括：備案表、工作自查表、基本情況調研表等等；此后要先自定級，提交定級報告；再之后聘請測評機構對系統進(jìn)行測評—整改—復測—下發(fā)備案證明—每年監督檢查。

如果定級備案后，系統有較大變更，比如新增一個(gè)模塊，需要聘請專(zhuān)業(yè)機構進(jìn)行重新定級，上述流程要重新再來(lái)一次。如果這種情況不報，被年檢查出來(lái)，企業(yè)和負責人要接受警告或處罰。（詳細的可以參考22240）

a)**應確保安全服務(wù)商的選擇符合國家的有關(guān)規定；b)**應與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責任；c)**應確保選定的安全服務(wù)商提供技術(shù)培訓和服務(wù)承諾，必要的與其簽訂服務(wù)合同。** |

屬于第三方管理制度范疇，這里說(shuō)的比較簡(jiǎn)單，至少要有供應商管理制度、供應商服務(wù)合同、服務(wù)詳細說(shuō)明等文檔。推薦看一下ISO 27002中15 供應商關(guān)系部分的細節（內容較多，不進(jìn)行擴展了）。

結語(yǔ)

以上為管理要求在系統建設管理部分的要求。內容比較多的一部分，更多的是強調流程和記錄。如果看過(guò)ISO27002或者C5（今年開(kāi)始叫做COBIT2019了），那么理解起來(lái)就很容易了。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡(luò )安全

等級保護測評（三）：主機安全

等級保護測評（四）：應用與數據安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統建設管理

等級保護測評（七）：系統運維管理