“公安部新闻安全等级保护判断中心李升演讲”

本篇文章4721字，读完约12分钟

本科技新闻11月25日报道，2009中国(广州)计算机互联网与新闻安全高峰论坛今天在广州举行。 本技术作为独家门户网络支持媒体进行现场报道。

公安部新闻安全等级保护判断中心李升

公安部新闻安全等级保护判断中心的李升出席了这次论坛，介绍了目前国家新闻安全等级保护评价的现状和做法。

以下是其具体演讲的实录。

各位领导，各位专家，各位朋友，大家好！ 我来自公安部新闻安全等级保护中心。 今天下午向大家报告等级保护评价的相关内容。 我一直在学习跟踪等级保护的政策标准，参加技术标准的编制。 刚才郭处长回顾了整个等级保护事业的几年，介绍了各阶段的文件。

我今天首先在等级保护的过程中，在等级评价的环节中，向大家报告我的一点体会。 首先，我今天主要分两部分，部分介绍了其在等级保护中的作用和地位。 二、等级评价的复印件大致简单地向大家汇报。

一是水平评价在水平保护中的作用和地位。

2007年，新闻安全等级保护管理方法43号文刚刚发表，文件中确定了等级保护事业的事业构想。 其中包括几个事业的流程。 一个是系统分级，一个是建设整改，一个是等级考核、备案和监督检查，是等级保护工作的基础，也是主要事业。 要说在额定环节上没有掌握，后面一系列工作人员是围绕新闻系统等级展开的，是后面工作人员出现的曲折现象，在建设整改阶段，公安部发布了相关指导方针和标准，我们各部门根据国家相关技术标准，开展整改工作，

新闻安全等级保护制度是基本制度，该制度开展了新闻系统的基本保护要求，国家明确了新闻安全等级体系，根据新闻技术的迅速发展，根据黑客攻击的能力，对五个等级体系提出了技术上和管理上的具体要求 要求分为十个层次，是等级保护中重要的标准新闻安全等级保护要求，首要定位是新闻系统制定等级之后。 各系统根据各级技术和管理要求，开展了相应的建设事业，我们的评价也围绕基本要求展开。 说这是等级评估的事业非常重要，我们发现了通过评估分级的新闻系统是否符合国家相应等级的要求。

其中，确定了等级考核与常规安检和风险判断的区别，等级考核活动的完成首先要根据新闻系统的安全保护等级和该等级系统的基本保护要求，另外考核者要掌握国家政策，了解和掌握相关技术标准，熟悉等级考核方法流程和从业规范等方面的能力和知识， 这个等级评价活动政治性很强，因为是技术安全新闻服务。

从上面段落的说明可以看出，等级评价实际上要根据相应的政策标准，规范地开展评价服务。 另外，结果是结合相应管理政策的依据，在等级保护两方面，一个是管理，一个是技术立场，确定优势，首先是业务要求，在43号文管理方法确定要求，定期开展等级考核的43号文中，要求三级系统进行一年一度的等级考核的事业。 其执行主题也是符合条件的执行机构，郭部长表示开展等级评价的评价机构首先是可靠的。 进行必要的安全性审查，并对能力进行相应的实验。 其执行对象是规定等级的新闻系统，如果新闻系统没有等级评价，则无法提及该等级评价服务的主题。 不仅仅是光新闻系统的主管。

从技术角度看等级评价也有一定的优势，适合型评价的理由是根据新闻安全保护的基本要求按照国家标准进行的。 另外，评价的力度也有排名，在不同等级的新闻系统中，评价的力度有一些差异，所以稍后将专门介绍力度。

等级评价在等级保护过程中，新闻系统安全建设中，会出现在哪个环节？ 利用这张图，我想首先明确一个系统根据相关的标准，完成的安全等级，然后再进行相应的等级评价。 第一个原因是正在建设一些新闻系统。 我国的要求和相应的标准还没有制定。 我们回到国家标准上来，参照目前的体系与国家的要求有什么差距，寻找差距的话，就可以通过等级评价活动来展开。 对于新系统，发改委刚刚提到2072日，对于新系统，制定了等级保护的标准，部分配套政策指南也已出台。 现有的政策是结合等级保护制度展开的，发改委的项目在验收时不仅要进行风险判断，还要开展等级保护评估，作为最终验收的条件，对建设的系统，在设计之初，当时并没有出台。 有些设计和实施与国家评估相比可能还有些差距。 进行相应的整改。 整改完成后，针对等级考核活动评估我们的系统整改后是否符合国家相应等级的要求。 评估后，在结果满足国家要求后，我们会在正常的每年的运营过程中，进行等级评估吗？ 43号文确定了不同等级的系统，明年进行等级评价的判断不同，对3个等级的系统每年进行等级评价，为什么在进行等级评价后，结果也会合格，每年进行评价呢？ 由于该新闻系统安全防护动态的优势，首先新闻系统面临的外部环境不断变化，外部威胁也是日新月异的变化，另外自身的安全防护、新闻系统的构建、操作系统和自身的脆弱性也不断被发现，安全技术水平不断提高 新的安全措施正在出现，整个运维的管理活动也是动态的，一年后，系统发生变化后，我们来看看新闻系统的水平是否基于相应的技术要求。 新闻系统分为不同的等级。 首先，必须确定各级系统的保护能力。 级别保护是不同系统级别的首要目的是将有限的资源投入到最重要的地方，因为根据重要的系统进行投资的成本很高，对高级系统的保护能力要求很高。 为了实现保护能力，投入的技术各项管理价格必须相应加大。 其中的保护能力成为新闻系统因各种原因受到攻击的目标，抵抗来自各种威胁实体的攻击，对抗新闻系统出于实施安全保护的目的而面临的各种威胁，威胁造成损失，新闻系统的保护价格居高不下。

我们要看国家标准的基本要求，在具体要求下，一方面是安全防护能力要求，另一方面是安全防护水平，在不抵抗攻击的情况下，我们如何对恢复能力进行相应的要求，其中列举了一个三级系统的安全保护能力，三级如何 三级系统的重要标志、能力要求是统一的安全评价，按一个安全战略，不仅是管理，在互联网上对某个层面的要求也很高。 根据我这几年参加系统分级评估的情况，一些做系统运维的人，安全最重要的是来自互联网，所以大部分能源都放在网络安全保护上，无论哪个环节都出现漏洞或者无法管理的地方。 很可能会取得系统的突破。 由于其中强调统一的安全评估，战略在实现时基本要求中，要求相应的安全管理中心，针对统一的技术手段，统一的战略保证新闻系统在技术上能够一致。

有组织的团体应该既不是普通黑客，也不是国家级的，而是有组织的，从这个角度定位三级系统所达到的安全保护能力，进而对自然灾害和其他相当危害程度的威胁所造成的自首造成资源损害，从而发现安全漏洞和安全问题。 这个三级系统有明显的优势，我们的系统不仅有防护能力，而且在安全问题漏洞发生后，有安全漏洞

从一定水平的新闻系统保护能力来看，我们必须实现什么样的目标？ 在能力实现时，一方面考虑国家的基本要求对这一级系统的安全措施，另一方面根据系统的需求和优势，一些单位系统规定了二、三级，但该系统可以对其进行进一步投资，选择更高级别的安全和措施

这里说了基本要求中，分为技术和管理，各级系统分为技术和管理两个方面，技术上分为物理、互联网、主机、应用、数据，管理有安全管理机构、安全管理制度、人员安全管理等具体要求。

等级评价以基本要求、技术管理两个方面为中心，等级评价将对比这些要求效果展开。 其中，等级评价包括单元评价和整体评价、等级评价各项目的展开。 包括评价指标、实施和结果评价，等级评价中强调整体评价。 首先，我们在考虑比较我们的系统决定安全保护能力后实现的能力。 我们在相应的标准中进行了一点具体的细分。 这个细分的过程目标是比较系统的防护能力，根据新闻化后的评价指标展开的，所以我们在评价结束后，得出个别结论的测试结果后，回顾了系统的整体能力水平，系统优势千差万别，实现安全措施也不同。

评估过程中采用的方法只有三种。 一个是采访。 首先，评委要吸引新闻系统的相关人员进行目的交流，让评委了解分析或获取证据的过程。 这是因为，评价者在整个过程中需要与新闻系统的相关人员进行交流，直到对新闻系统的评价，如果系统的认知不全面，评价的结果就会出现偏差。 一是现场检查，包括检查、检测工作第一，检查文件和制度、安全管理记录、设备、网络设备和包括安全设备在内的设备配置。 另一个是利用相应的工具，对系统安全功能的实现和状况以及系统的脆弱性进行相应的测试，通过测试验证系统中安全功能和安全对策的实现程度。

这里面有采访的对象，这里面列举了其中的一部分。 根据检测项目，结合考核要求中的规范，对系统的设备进行了检测和检验。

郭部长在评价要求中，向整个测试活动介绍了相应的规范。 测试环节包括功能测试、性能测试、测试环节，在整个评价过程中非常谨慎。 目前测试的对象多为在线系统，对新建的系统没有运营采用，在测试过程中操作不规范，导致系统崩溃和异常，影响不大，建成的系统正在运营。 由于测试做法不正确，整个操作过程不规范，对我们的工作影响非常大，对新闻运行的单位影响也很大，无论是等级保护标准还是工作规范都有非常高的要求。

评估要求逐步加强，强度随水平而异。 由于被评估的系统有数百台设备，所有人员都有可能进行采访，所以不可能，也不现实，因此在评估过程中，根据系统的重要程度，安全等级投入适当的评估力，投入人力资源、投入时间、投入时间 在衡量力量的过程中，一个是评价的幅度，一个是评价的深度，在新闻系统明确水平后，进行水平评价，具体有许多评价对象，评价对象嵌入在新闻系统中的一点，即文档、机房、管理者系统

评价深度在评价过程中，我可以在同样的指标下，对一些一级系统，通过采访或简单的检查来完成我的要求，但有些需要经过严格的测试，投入到评价环节的价格也不一样。

评价投入越多，评价力度越强就越有保障，在我们的评价要求和标准上，比较各级系统，在广度和深度上通过采用三种方法的不同表现出差异。 另外，系统的优势不同，对评价的要求也不同，刚提到整体评价，第一内部包括安全控制点间安全评价、级间安全评价、区际安全评价。 各级系统分为技术管理两个方面，技术和管理分为不同的层面。 区域间的评价需要一个过程，即根据整个系统配置的情况进行相应的评价，等单元评价结束后再回到整个系统的评价，看看是否达到了保护能力。

在个别评价过程中，有符合或不符合某些项目的。 基本要求是与全国各行业的不同系统进行比较提出共同的系统，各安全有不同的优势，面临的外部环境不同。 这里有个性化的东西。 单位评估结束后，可以结合系统优势，达到保护能力。

风险分析不同于通常意义上的风险判断，风险分析要结合系统面临的外部环境，结合评价中存在的一些项目进行进一步分析，有了这种风险，面临的威胁也是高风险。 风险对系统来说，来自外部的威胁比较小，影响也不大，所以在这种情况下可以将这些项目作为不符合标准来计算。

在通过单独的评估后，安全控制点之间，例如安全控制点之间、物理访问控制和社会防盗线等细节之间，实际上这两个请求之间存在一定的相关关系，在这种情况下，在整体评估拆解时将考虑这些要素

因为级间评价是在基本要求中各级要求的。 例如，在三级系统中，要求互联网安全、互联网传输的加密，在应用安全中，在对应用数据进行加工并分成具体的一点项目后，回顾结合几个安全对策的级别 这是整体的评价。

这里面有工作流程。 这与通常的安全风险判断的大致流程相同。 包括准备阶段、现场测试和报告制作阶段。 在这里，等级评价也有很多要求。 如果基于标准、行为规范的话。

模块分为几个部分进行了列表。 我们把模板发给各部委。 不介绍具体的复印件。 这是按照模板规范制定的计划的一环。

因为今天时间的关系，我简单介绍这些。 如果您在下一步中对测评感兴趣，大家也可以联系我们。 我们可以进一步表达信息。 谢谢你！

来源：广州新闻直播