浅谈信息安全等保合规检测技术与实现

一 引言

随着信息化建设的全面开展，各行各业对信息系统安全防护需求日益增强。同时，国家制定了信息系统等级保护基本要求及相关标准和规范，明确规定了我国信息安全战略目标，并通过正式文件的形式将等级保护确认为国家信息安全的基本制度和根本方法。2007年以来，公安部会同有关部门联合出台了《信息安全等级保护管理办法》等12个政策文件和《信息系统安全保护等级定级指南》等30多个等级保护技术标准，拉开了全国信息安全等级保护的序幕。

开展等级保护工作以来，公安机关承担监督、检查、指导此项工作。对全国重要信息系统进行定级备案、等级测评和安全建设整改。经调研发现，无论是公安机关在监督检查还是测评机构在等保测评过程中，都缺乏科学规范，客观高效的技术检查工具。检查和测评结果对人员的技能熟练程度、经验丰富程度的依赖性强，结果受人为因素影响严重，过程不规范、效率低，缺乏对数据的深入分析和挖掘。

基于信息安全产业发展的客观需要和等级保护检查测评现状，我们对公安机关等级保护监督检查、测评机构等级保护测评等过程进行调研和分析，结合安恒信息多年来的等级保护咨询，整改和加固经验，提出一种基于统一分析模型的等级保护合规检测方法。

二 技术检查工具库设计

GB/T 22239-2008《信息系统安全等级保护基本要求》从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面针对不同等级信息系统的具体安全防护能力提出了明确要求。为了能实现控制点的自动检查，需将等级保护基本要求项进行拆分和细化，并落实到各IT资产中，实现等级保护控制点的自动化采集检查。

根据I T 资产类型的区别， 按照等级保护安全层面对I T 资产划分为物理环境、网络架构、网络设备、安全设备、主机、数据库、应用系统、安全管理等大类，将每一大类对应到安恒明鉴系列检查工具上。以等级保护基本要求控制点为采集内容，资产为采集对象。通过远程扫描或本地扫描的方式，对IT资产进行配置数据和脆弱性的自动采集。并对采集结果进行编码和分类。

三 等级保护检查指标库和知识库设计

等级保护检查管理系统是把技术检查工具集收集的I T 资产配置和脆弱性数据进行集中智能关联和合规评判的重要平台。支持检查计划和检查任务导入，根据检查计划生成相应的检查记录单， 检查记录单中的检查指标包括检查范围、检查内容、检查项、检查要点和检查结果录入类型等信息。依据《信息系统安全等级保护基本要求》将检查指标库细分为检查范围、检查内容、检查项和检查要点这四个层级，以确保检查结果的惟一性。如图所示。

依据指标库要求，结合安恒信息多年的等保咨询和加固整改经验，对应设计实现的等级保护检查知识库。检查知识库中封装了重要信息系统安全检查工作实施经验、专家知识和分析模型，使等级保护检查管理系统的检查内容和检查记录可以按照知识库内置的知识、模型和规则进行自动化分析，为重要信息系统安全检查工作提供检查方法、检查结果判定依据、工具检查结果自动分析、不符合项的风险提示，并且针对不同类型检查任务可以自动生成相应的检查记录。

四 等级保护检查管理系统实现

通过检查项编码和检查结果编码， 把工具检查的结果跟指标库中的检查项进行关联处理。针对每一个检查项，对应的若干项检查要点权重和关联关系，得出该检查项是否符合等级保护要求。再以此类推得到整个信息系统的等级保护合规情况，依据相关标准规范和《信息系统安全等级测评报告模板》得出等级保护合规性报告。如图所示

等级保护检查管理系统以《信息系统安全等级保护基本要求》控制点为标准，通过配置核查和脆弱性评估实现了等级保护控制点的采集、聚合、合规、分析，最终实现了等级保护检查的自动化和规范化。一方面为公安网安提供了专业化的等级保护监管执法检查工具，另外一方面也为测评机构提供了高效的等保测评支撑工具。

五 结束语

本文通过对我国信息安全等级保护现状的调查和研究， 结合安恒信息多年来在信息安全等级保护领域的工程实践。仔细研究等级保护相关政策和标准，结合安恒信息明鉴系列配置和脆弱性检查工具的深厚积累，提出了基于统一分析模型的信息系统量化合规检查模型。通过对检查项和检查结果进行编码，细化等级保护制度为检查指标和检查知识库，后台统一编码和统一分析关联，自动得出信息系统等级保护合规性情况。该系统可以为执法监管部门和具体从事信息安全等级保护工作人员提供专业规范和高效的支撑，让等级保护制度落到实处，让等级保护工作做到实处，提高工作的便利性。